星论文网欢迎您的来访,本中致力于各类论文代写,论文发表,代写代发论文服务

    计算机技术正在日新月异地迅猛发展，功能强大的计算机和Intranet / Internet在世界范围内普及。信息化和网络化是当今世界经济与社会发展的大趋势，信息资源的深入开发利用以及各行各业的信息化、网络化己经迅速展开;全社会广泛应用信息技术，计算机域网络广泛应用为人们所关注。但与此同时，网络安全技术在人们的现实生活中有着广泛的应用。

    本文首先介绍了计算机网络安全的内容、含义和特征，之后介绍了影响计算机网络安全的认为因素和自然因素，并介绍了2003年对我国计算机网络信息安全的调查。最后一部分主要详细阐述了计算机网络安全的策略，其中包括防火墙计算、入侵检测技术、身份认证技术等。

关键字：计算机网络安全     因素    策略

人类正进入信息化社会，计算机网络已成为一项促进社会发展的重要“基础设施”。它的迅速发展和广泛应用，正深刻地改变人类的思想观念、工作方式和生活方式。但是由于 Internet 的开放性和超越组织与国界等特点，使它在安全性上存在一些隐患。因此，加强网络的安全措施，提高计算机网络的防御能力，势在必行。
一、计算机网络安全概述

计算机网络系统安全主要包括三个方面的内容：安全性、保密性、完整性。从系统安全的内容出发，计算机网络系统中安全机制基本的任务是访问控制：即授权、确定访问权限、实施访问权限、计算机网络审计跟踪。

（1）计算机网络系统的安全性。它主要是指内部与外部安全。内部安全是在系统的软件、硬件及周围的设施中实现的。外部安全主要是人事安全，是对某人参与计算机网络系统工作和这位工作人员接触到的敏感信息是否值得信赖的一种审查过程。

（2）计算机网络系统保密性。加密是对传输过程中的数据进行保护的重要方法，又是对存储在各种媒体上的数据加以保护的一种有效的手段。系统安全是我们的最终目标，而加密是实现这一目标的有效的手段。

（3）计算机网络系统的完整性。完整性技术是保护计算机网络系统内软件（程序）与数据不被非法删改的一种技术手段，它可分为数据完整性和软件完整性。  

（4）计算机网络安全访问控制。（1）授权：决定哪个主体有资格访问哪个客体。（2）确定访问权限：决定是否有权读、写、运行、删除以及附着。（3）实施访问权限：在一个计算机网络系统中，访问控制权指本系统内主体对客体的访问控制，不涉及访问本系统。   

（5）计算机网络审计跟踪。在一个计算机网络系统中，审计跟踪对使用何种系统资源、使用时间、如何使用以及由哪个用户使用等问题提供了一个完备的纪录，以备非法事件发生后能够有效追查。它是在用户进人系统进行各种操作时自动进行的。

   网络安全从其本质上来讲就是网络上信息的安全，它涉及的领域相当广泛。这是因为，在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义的角度来说:凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。下面给出网络安全的一个通用定义:

    网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，控制非法、有害的信息、进行传播，本质上是维护道德、法规或国家利益。

    网络上信息内容的安全，即我们讨论的狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充等有损于合法用户的行为，本质上是保护用户的利益和隐私。

    网络安全与其所保护的信息对象有关，其含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播即内容具有控制能力。网络安全的结构层次包括:物理安全、安全控制和安全服务。

网络安全应该具有以下四个方面的特征:

（1）保密性:信息不泄露给非授权用户、实体或过程或供其利用的特性；

（2）完整性:数据未经授权不能进行改变的特性，及信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性；

（3）可用性:可被授权实体访问并按需求使用的特性，即当需要时能否存取所需的信息；

（4）可控性:对信息的传播及内容具有控制能力。

1.1软件漏洞

任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的，而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击，主要在以下几个方面：

1.1.1、协议漏洞。例如，IMAP和POP3协议一定要在Unix根目录下运行，攻击者利用这一漏洞攻击IMAP破坏系统的根目录，从而获得超级用户的特权。

1.1.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下，就接受任何长度的数据输入，把溢出部分放在堆栈内，系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令，来造成系统不稳定状态。

1.1.3、口令攻击。例如，U nix系统软件通常把加密的口令保存在一个文件中，而该文件可通过拷贝或口令破译方法受到入侵。因此，任何不及时更新的系统，都是容易被攻击的。

1.2 病毒攻击

    因为企业网络同样也是连接在互联网上的一个网络，所以它不可避免的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的，而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器，造成机器“罢工”并成为感染添另一方面会大量占用网络带宽，阻塞正常流量，形成拒绝服务攻击。

2.1操作失误

操作员安全配置不当造成的安全漏洞，用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见，随着网络管理制度的建立和对使用人员的培训，此种情况逐渐减少.对网络安全己不构成主要威胁。  

2.2恶意攻击

这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。

    随着信息化进程的深入，企业、部门计算机网络信息安全己经引起人们的重视，但依然存在不少问题。一是安全技术保障体系尚不完善，企业花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。

    2003年5月至2004年5月，在7072家被调查单位中有4057家单位发生过信息网络安全事件，占被调查总数的58%。其中，发生过1次的占总数的22%，2次的占13%， 3次以上的占23%，此外，有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析，遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出，占安全事件总数的79%，其次是垃圾邮件，占36%，拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，共占到总数的43%.

    调查结果表明，造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%，登录密码过于简单或未修改密码导致发生安全事件的占19%.

对于网络安全管理情况的调查:调查表明，近年来，使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，12%的单位建立了安全组织，有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明，认为单位信息网络安全防护能力“较高”和“一般”的比较多，分别占44%。但是，被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平和社会化服务的程度还比较低。

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为甚。

    防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

    防火墙是网络安全的屏障：一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

   IETF将一个入侵检测系统分为四个组件：事件产生器(Event Generators )；事件分析器(Event Analyzers )；响应单元(Response Units)和事件数据库(Event Data Bases )。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

根据检测对象的不同，入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID ( Intrusion Detection )：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(Promise Mode )，对所有本网段内的数据包并进行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类:一种基于标志(C Signature-Based )，另一种基于异常情况(Abnormally-Based )。

互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌现，PKI ( Public Key Infrastructure，公开密钥基础设施)即是其中一员。

    PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。目前，PKI技术己趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN)， Web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从PKI技术的使用中获得了巨大的收益。

    在PKI体系中，CA ( Certificate Authority，认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

    数字证书，又叫“数字身份证”、“数字ID"，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。

身份认证是指计算机及网络系统确认操作者身份的过程。我们熟悉的如防火墙、入侵检测、VPN、安全网关、安全目录等，与身份认证系统有什么区别和联系呢?我们从这些安全产品实现的功能来分析就明白了:防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议；入侵检测系统能够发现未经授权用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网段，安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理，他们解决了哪个数字身份对应能干什么的

问题。而身份认证解决了用户的物理身份和数字身份相对应的问题，给他们提供了权限管理的依据。

    从木桶理论来看，这些安全产品就是组成木桶的一块块木板，则整个系统的安全性取决于最短的一块木板。这些模块在不同的层次上阻止了未经授权的用户访问系统，这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没有用。因此，身份认证是整个信息安全体系最基础的环节，身份安全是信息安全的基础。

    目前常见的身份认证方式主要有三种，第一种是使用用户名加口令的方式，这时是最常见的，但这也是最原始、最不安全的身份确认方式，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等)，该技术以人体唯一的生物特征为依据，具有很好的安全性和有效性，但实现的技术复杂，技术不成熟，实施成本昂贵，在应用推广中不具有现实意义;第三种也是现在电子政务和电子商务领域最流行的身份认证方式——基于USB Key的身份认证。

防御计算机病毒应该从两个方面着手，首先应该加强内部网络管理人员以及使用人员的安全意识，使他们能养成正确上网、安全上网的好习惯。再者，应该加强技术上的防范措施，比如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下：

5.1权限设置，口令控制。很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。在选择口令应往意，必须选择超过6个字符并且由字母和数字共同组成的口令；操作员应定期变一次口令；不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果，因为系统本身不会把口令泄露出去。但在网络系统中，由于认证信息要通过网递，口令很容易被攻击者从网络传输线路上窃取，所以网络环境中，使用口令控制并不是很安全的方法。

5.2 简易安装，集中管理。在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。

5.3 实时杀毒，报警隔离。当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。在计算机硬件和软件，LAN服务器，服务器上的网关，Internet层层设防，对每种病毒都实行隔离、过滤，而且完全在后台操作。例如:某一终端机如果通过软盘感染了计算机病毒，势必会在LAN上蔓延，而服务器具有了防毒功能，病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉，当在网络中任何一台工作站或服务器上发现病毒时，它都会立即报警通知网络管理员。

5.4以网为本，多层防御。网络防毒不同于单机防毒。计算机网络是一个开放的系统，它是同时运行多程序、多数据流向和各种数据业务的服务。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒，一旦上网仍会被病毒感染，它是不能在网络上彻底有效地查杀病毒，确保系统安全的。所以网络防毒一定要以网为本，从网络系统和角度重新设计防毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。

1.防火墙的系统总体设计思想

1.1设计防火墙系统的拓扑结构

在确定防火墙系统的拓扑结构时，首先必须确定被保护网络的安全级别。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑，以决定防火墙系统的拓扑结构。

1.2制定网络安全策略

在实现过程中，没有允许的服务是被禁止的，没有被禁止的服务都是允许的，因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流，逐一完成每一项许可的服务；第二条策略是允许一切没有被禁止的服务，防火墙转发所有的信息，逐项删除被禁止的服务。

1.3确定包过滤规则

包过滤规则是以处理IP包头信息为基础，设计在包过滤规则时，一般先组织好包过滤规则，然后再进行具体设置。

1.4设计代理服务

代理服务器接受外部网络节点提出的服务请求，如果此请求被接受，代理服务器再建立与实服务器的连接。由于它作用于应用层，故可利用各种安全技术，如身份验证、日志登录、审计跟踪、密码技术等，来加强网络安全性，解决包过滤所不能解决的问题。

1.5 严格定义功能模块，分散实现

防火墙由各种功能模块组成，如包过滤器、代理服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现，功能分散减少了实现的难度，增加了可靠程度。

1.6防火墙维护和管理方案的考虑

防火墙的日常维护是对访问记录进行审计，发现入侵和非法访问情况。据此对防火墙的安全性进行评价，需要时进行适当改进，管理工作要根据网络拓扑结构的改变或安全策略的变化，对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能，以保证网络极其信息的安全性。

2.一种典型防火墙设计实例——数据包防火墙设计

数据包过滤防火墙工作于DOD ( Department of Defense)模型的网络层，其技术核心是对是流经防火墙每个数据包进行行审查，分析其包头中所包含的源地址、目的地址、封装协议(TCP， UDP、ICMP， IP Tunnel等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息，确定其是否与系统预先设定的安全策略相匹配，以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用，这一过程就称为数据包过滤。

本例中网络环境为：内部网络使用的网段为192.168.1.0， eth0为防火墙与Internet接口的网卡，eth1为防火墙与内部网络接口的网卡。

数据包过滤规则的设计如下：

2.1与服务有关的安全检查规则

这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输.这类服务包括WWW， FTP， Telnet， SMTP等.我们以WWW包过滤为例，来分析这类数据包过滤的实现.

WWW数据包采用TCP或UDP协议，其端口为80，设置安全规则为允许内部网络用户对Internet的WWW访问，而限制Internet用户仅能访问内部网部的WWW服务器，(假定其IP地址为192.168.1.11)。

要实现上述WWW安全规则，设置WWW数据包过滤为，在防火eth0端仅允许目的地址为内部网络WWW服务器地址数据包通过，而在防火墙eth 1端允许所有来自内部网络WWW数据包通过。

 #Define HTTP packets

 #允许Internet客户的WWW包访问WWW服务器

/sbin/ipchains-A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.1.11/32 www -i eth0 –j ACCEPT

 /sbin/ipchains-A input -p tcp -s 0.0.0.0/fl 1024:-d 192.168.1.11132 www -i eth0 –j ACCEPT

 #允许WWW服务器回应Internet客户的WWW访问请求

 /sbin/ipchains-A input-ptcp -s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl –j ACCEPT

 /sbin/ipchains-A input -p udp -s 192.168.1.11 /32www:-d 0.0.0.0/0 1024:-i eth1 –j ACCEPT

 显然，设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。

 与此相似，我们可以建立起与FTP， Telnet， SMTP等服务有关的数据包检查规则；

2.2与服务无关的安全检查规则

    这类安全规则是通过对路由表、数据包的特定IP选项和特定段等内容的检查来实现的，主要有以下几点：

①数据包完整性检查(Tiny Fragment ):安全规则为拒绝不完整数据包进人Ipchains本身并不具备碎片过滤功能，实现完整性检查的方法是利用REDHAT，在编译其内核时设定IP ； always defrayments set to‘y’。 REDHAT检查进人的数据包的完整性，合并片段而抛弃碎片。

 ②源地址IP ( Source IP Address Spoofing)欺骗:安全规则为拒绝从外部传输来的数据包伪装成来自某一内部网络主机，以期能渗透到内部网络中.要实现这一安全规则，设置拒绝数据包过滤规则为，在防火墙eth0端拒绝1P源地址为内部网络地址的数据包通过。 

 ③源路由(Source Routing)欺骗:安全规则为拒绝从外部传输来的数据包包含自行指定的路由信息，实现的方法也是借助REDHAT的路由功能，拒绝来自外部的包含源路由选项的数据包。

 

    安全路由方案设计是利用编程技术，实现由用户拉制的动态路由连接，由用户根据需要动态修改路由信息，使用完毕后关闭路由，从而实现安全访问。具体做法如下:

1、在局域网中用Windows NT来代替专用路由器，并结合网络中原有Windows NT服务器构成如图2的网络拓扑结构。

图 2

2、利用客户/服务器结构在NT路由器实现动态安全路由。客户程序和服务器程序可以通过采用socket编程，编程语言可以用C、C++、VB和JAVA等。

3、基于Windows NT的安全路由实现(以VB为例))o

首先，在Windows NT路由器上加载动态路由服务器1 ( Dynamic Route Server Daemon，以下简称DRSD1)

其次，在服务器2上加载动态路由服务器2(以下简称DRSD2 )，并借助socket，与DRSDI之间建立一条可靠的TCPlIP会话连接，便于NT路由器与服务器2之间互相交换信息，同时开始端口侦听，处理并转发由动态路由客户机发送来的信息。

第三，在局域网内的所有主机上加载动态路由客户机(Dynamic Route Client，以下简称DRC )。当这些主机需要与外部网络通讯时，便可启动DRC，向服务器2上的DRSD2发出连通请求，DRSD2接受该请求并校验用户的IP地址和口令，将合法的连接请求转发到NT路由器上的DRSD1;路由器上的DRSDI在接收到DRSD2的请求后，根据请求的内容动态修改自己的静态路由信息表。

在服务器(DRSD2)端，利用Winsock控件建立一个侦听插座，随时准备响应客户机传来的连接请求(Listen)。当侦听到请求信息时，运用DataArrival事件接收请求，并进行身份校验，然后向NT路由器上的DRSD1发送修改路由请求，DRSD1在接到请求后，根据请求内容修改其静态路由表中该主机的路由信息。

客户(DRC)端也是用一个Winsock插座来通过其RemoteHost和RemotePort属性建立与服务器的连接。当需要与外部通讯时，可通过该插座向DRSD2发送用户识别信息，并经由DRSD2向DRSD1发送路由更改信息( SendData )，同时通过Data_Received事件返回其执行状态信息。

 

   计算机网络的策略虽然目前已经发展的比较完善，而且目前许多产品的使用都不象以前那么昂贵和复杂，它正在向着平民化、普及化方向发展。但是由于网络安全问题层出不穷，而且越发复杂和多元化，所以对计算机网络安全策略的研究也应该日新月异，及时预防计算机网络中不安全事件的发生，同时对于已经发生的不安全事件，我们应该用已有的技术及时处理和完善。

[1]贾晶，陈元，王丽娜编著，信息系统的安全与保密，第一版，1999.01，清华大学出版社

[2] Eric Maiwald，Wi1liEducation， Security Planning & Disaster Recovery，2003， Posts & Telecommunications Press， PP. 86-94

[3]程胜利，谈冉，熊文龙，程煌，计算机病毒及其防治技术，2004.09 ，清华大学出版社

[4]张小磊， 计算机病毒诊断与防治，2003，中国环境科学出版社

[5]东软集团有限公司，NetEye防火墙使用指南3.0，1-3

[6]段钢，加密与解密，第二版，2004.01，电子工业出版社

[7]张剑，网络安全防御系统的设计与实现，电子科技大学硕士学位论文，2001.01

[8]黑客防线2005精华奉献本上、下册，人民邮电出版社，2005

[9]陆浪如，信息安全评估标准的研究与信息安全系统的设计，解放军信息工程大学军事学博士学位论文，2001.06

[10]黄月江，信息安全与保密，北京:国防工业出版社，1999

[13] YU Jian-ping1， XIE Wei-xin1， YAN Qiao， security and its defence techniques Semiconductor Technology Vol. 27 No. 1