第一篇:计算机网络安全毕业论文修正版
大兴安岭职业学院毕业论文
目 录
1.绪论.......................................................1 1.网络安全基础概述............................................2 网络安全理论基础..............................................2 2.计算机网络攻击的特点
2.1损失巨大........................................................3 2.2威胁社会和国家安全..............................................3 2.3手段多样,手法隐蔽...............................................3 2.4以软件攻击为主..................................................3 3.计算机网络安全存在的隐忧
3.1 间谍软件:....................................................4 3.2 混合攻击:....................................................4 3.3 绕道攻击:....................................................4 3.4 强盗AP:......................................................4 3.5 网页及浏览器攻击...............................................4 3.6 蠕虫及病毒:..................................................5 3.7 网络欺诈:....................................................5 3.8 击键记录:....................................................5 4.安全策略
4.1 防火墙技术....................................................6 4.2 建立安全实时相应和应急恢复的整体防御..........................6 4.3 阻止入侵或非法访问............................................6 4.4 数据传输加密技术..............................................6 4.5 密钥管理技术..................................................7 4.6 加强网络安全的人为管理........................................7 5.网络安全的防范
5.1 提高安全意识..................................................8 5.2 使用防毒、防黑等防火墙软件....................................8 5.3 设置代理服务器,隐藏自己的IP地址.............................8 5.4 将防毒、防黑当成日常例性工作..................................9 5.5 提高警惕......................................................9 5.6 备份资料......................................................9 6.网络安全现状
6.1安全是什么?...................................................10 6.2建立有效的安全矩阵.............................................11 6.3 允许访问控制:................................................11 6.4灵活性和伸缩性.................................................11 6.5安全机制.......................................................12 7.网络安全可能面临的挑战 7.1垃圾邮件数量将变本加厉。.....................................13 7.2内置防护软件型硬件左右为难。.................................13
大兴安岭职业学院毕业论文
7.3企业用户网络安全维护范围的重新界定。.........................13 7.4个人的信用资料...............................................14 8.结论......................................................15 9参考文献 10致谢
大兴安岭职业学院毕业论文
计算机网络安全
绪论
本文主要介绍了有关网络信息安全的基础知识:网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展,网络信息安全问题终究会得到解决。随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。关键词:网络信息安全;计算机犯罪率;社会问题
大兴安岭职业学院毕业论文
第一章 网络安全基础概述
1.1网络安全的理论基础
国际标准化组织(ISO)曾建议计算机安全的定义为:“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了帮助计算机用户区分和解决计算机网络安全问题,美国国防部公布了“桔皮书”(orange book,正式名称为“可信计算机系统标准评估准则”),对多用户计算机系统安全级别的划分进行了规定。桔皮书将计算机安全由低到高分为四类七级:D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级,C1和C2级是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,B3和A1属于最高安全等级。D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬件软件都易被侵袭。
C1级:自主安全保护级,要求硬件有一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。
C2级:受控存取保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计,跟踪记录所有安全事件及系统管理员工作。
B1级:标记安全保护级,对网络上每个对象都予实施保护;支持多级安全,对网络、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。
大兴安岭职业学院毕业论文
B2级:结构化保护级,对网络和计算机系统中所有对象都加以定义,给一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。
B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。
A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计;合格的个体必须经过分析并通过这一设计;所有构成系统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。在网络的具体设计过程中,应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等,综合考虑来确定一个比较合理、性能较高的网络安全级别,从而实现网络的安全性和可靠性。
大兴安岭职业学院毕业论文
第二章 计算机网络攻击的特点
2.1 损失巨大
由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中 的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。
2.2 威胁社会和国家安全
一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。
2.3 手段多样,手法隐蔽
计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。
2.4 以软件攻击为主
几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
大兴安岭职业学院毕业论文
第三章 计算机网络安全存在的隐忧
3.1间谍软件
所谓“间谍软件”,一般指从计算机上搜集信息,并在未得到该计算机用户许
可时便将信息传递到第三方的软件,包括监视击键,搜集机密信息(密码、信用卡号、PIN码等),获取电子邮件地址,跟踪浏览习惯等。间谍软件还有一个副产品,在其 影响下这些行为不可避免的响网络性能,减慢系统速度,进而影响整个商业进程。
3.2 混合攻击
混合攻击集合了多种不同类型的攻击方式,它们集病毒,蠕虫以及其他恶意代
码于一身,针对服务器或者互联网的漏洞进行快速的攻击、传播、扩散,从而导致 极大范围内的破坏。
3.3 绕道攻击
网关级别的安全防护无法保护电脑免遭来自CD,USB设备或者闪盘上的恶意软件攻击。同理,那些被拿到办公室之外使用的员工电脑也无法得到有效的保护。假如你将电脑拿到一个无线热点区域之中,那么窃听者以及AP盗用者都有可能拦截到电脑的相关通讯如果你的电脑并未采取足够客户端安全防护措施的话。而这些攻击,我们就将其称为“绕道攻击”。
3.4 强盗AP
是指那些既不属于IT部门,也并非由IT部门根据公司安全策略进行配置的AP,代表着一种主要的网络安全风险来源,它们可以允许未经授权的人对网络通讯进行监听,并尝试注人风险,一旦某个强盗AP连接到了网络上,只需简单的将一个WiFi适配器插入一个USB端口,或者将一台AP连到一个被人忽略的以太网端口,又或者使用一台配备了WiFi的笔记本电脑以及掌上电脑,那么未经授权的用户就可以在公司建筑的外面(甚至可能是更远一些的地方)访问你的网络。
大兴安岭职业学院毕业论文
3.5 网页及浏览器攻击
网页漏洞攻击试图通过Web服务器来破坏安全防护,比如微软的
IISApache,Sunday的Java Web服务器,以及IBM的WebSphere。
3.6 蠕虫及病毒
感染现有计算机程序的病毒,以及那些本身就是可执行文件的蠕虫,是最广为
人知的计算机安全威胁病毒。一般倾向于栖身在文档、表格或者其他文件之中,然后通过电子邮件进行传播,而蠕虫通常是直接通过网络对自身进行传播。一旦病毒或者蠕虫感染了一台电脑,它不仅会试图感染其他系统,同时还会对现有系统大搞破坏。
3.7 网络欺诈
网络钓鱼只是企图欺骗用户相信那些虚假的电子邮件、电话或网站,这些网站往往和网上银行或支付服务相关,让你认为它们是合法的,而其意图则是让用户提交自己的私人信息,或是下载恶意程序来感染用户的计算机。
3.8 击键记录
击键记录,或者输人记录,指的都是那些对用户键盘输人(可能还有鼠标移动)进行记录的程序,那些程序以此来获取用户的用户名、密码、电子邮件地址,即时 通信相关信息,以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中,然后悄悄的将这些文件转发出去,供记录者进行不法活动。
大兴安岭职业学院毕业论文
第四章 安全策略
4.1 防火墙技术
防火墙的作用是对网络访问实施访问控制策略。使用防火墙(Firewall)是一
种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
4.2 建立安全实时相应和应急恢复的整体防御
没有百分百安全和保密的网络信息,因此要求网络要在被攻击和破坏时能够及时发现,及时反映,尽可能快的恢复网络信息中心的服务,减少损失,网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。
4.3 阻止入侵或非法访问
入网访问控制为网络访问提供第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。对所有用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
4.4 数据传输加密技术
目的是对传输中的数据流加密,常用的方针有线路加密和端到端加密两种。前
者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密 9
大兴安岭职业学院毕业论文
钥提供安全保护的。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。
4.5 密钥管理技术
为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥
往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
4.6 加强网络安全的人为管理
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理、制定有效 的规章制度,对于确保网络的安全、可靠运行,将起到十分有效的作用。加强网络 的安全管理包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。首先是加强立法,及时补充和修订现有的法律法规。用法律手段打击计算机犯罪。其次是加强计算机人员安全防范意识,提高人员的安全素质。另外还需要健全的规章制度和有效易于操作的网络安全管理平台。
大兴安岭职业学院毕业论文
第五章 网络安全的防范
5.1提高安全意识
不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从Internet下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
5.2使用防毒、防黑等防火墙软件
防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
5.3设置代理服务器,隐藏自己的IP地址
保护自己的IP地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。
大兴安岭职业学院毕业论文
5.4将防毒、防黑当成日常例性工作
在日常使用计算机的时候应该经常升级病毒库,查杀病毒,以确保计算机病毒没有可乘之机。
5.5提高警惕
由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒,不要访问一些不正规的网站,防止黑客通过这些通道危害计算机安全。
5.6备份资料
在信息化的潮流中,在信息化与否之间没有第二种选择,只有选择如何更好地让信息化为提高单位工作效率,为增强企业竞争力服务。如何让信息化建设真正有效地为单位或企业服务,是个颇费心思的问题;这也是一个不断尝试,不断改进和完善的过程。在单位或企业的业务平台真正实现完全向信息系统转移,运作非常依赖信息资产前,企业管理层安全意识薄弱的问题是有一定的客观原因的;随着企业信息化水平的不断加深,管理层网络安全意识应该会逐步得到增强,并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。这一点,从电信、金融、电力等极度依赖信息系统的领域可以看出来。鉴于当前世界网络面临如此多的安全隐患,世界各国均十分重视,纷纷采取对策。
大兴安岭职业学院毕业论文
第六章:网络安全现状
Internet对于任何一个具有网络连接和ISP帐号的人都是开放的,事实上它本身被设计成了一个开放的网络。因此它本身并没有多少内置的能力使信息安全,从一个安全的角度看,Internet 是天生不安全的。然而,商界和个人现在都想在Internet上应用一些安全的原则,在Internet发明人当初没有意识到的方式下有效的使用它。对于Internet 用户一个新的挑战是如何在允许经授权的人在使用它的同时保护敏感信息。
6.1安全是什么?
简单的说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护公司财产的需要,包括信息和物理设备(例如计算机本身)。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作,以及什么时候。当涉及到公司安全的时候什么是适宜的在公司与公司之间是不同的,但是任何一个具有网络的公司都必须具有一个解决适宜性、从属性和物理安全问题的安全策略。伴随着现代的、先进的复杂技术例如局域网(LAN)和广域网(WAN)、Internet网以及VPN。安全的想法和实际操作已经变得比简单巡逻网络边界更加复杂。对于网络来说一个人可以定义安全为一个持续的过程,在这个过程中管理员将确保信息仅仅被授权的用户所共享。
大兴安岭职业学院毕业论文
6.2建立有效的安全矩阵
尽管一个安全系统的成分和构造在公司之间是不同的,但某些特征是一致的,一个可行的安全矩阵是高度安全的和容易使用的,它实际上也需要一个合情合理的开销。一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙,入侵检测系统,审查方案构成。
一个安全矩阵是灵活的可发展的,拥有很高级的预警和报告功能 特点描述:
6.3 允许访问控制:
通过只允许合法用户访问来达到的目的,最大扩展通信的功能同时最小化黑客访问的可能性,当黑客已经访问到的资源时尽可能地减小破坏性。容易使用:如果一个安全系统很难使用,员工可能会想办法绕开它,要保证界面是直观的。合理的花费:不仅要考虑初始的花费还要考虑以后升级所需要的费用。还要考虑用于管理所要花的费用;需要多少员工,达到什么样的水平来成功的实施和维护系统。
6.4灵活性和伸缩性:
系统要能让公司按其想法做一些商业上的事情,系统要随着公司的增长而加强 优秀的警报和报告:当一个安全破坏发生时,系统要能快速地通知管理员足够详细的内容。要配置系统尽可能正确地对发出警告。可以通过Email,计算机屏幕,pager等等来发出通知。
大兴安岭职业学院毕业论文
6.5安全机制:
根据ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。
ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管可以通过使用加密来保证数据的保密性,数据的完整性和不可否定性,但实施在每种服务时需要不同的加密技术。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层上。普通的机制包括:
• 信任的功能性:指任何加强现有机制的执行过程。例如,当升级的TCP/IP堆栈或运行一些软件来加强的Novell,NT,UNIX系统认证功能时,使用的就是普遍的机制。
• 事件检测:检查和报告本地或远程发生的事件
• 审计跟踪:任何机制都允许监视和记录网络上的活动
• 安全恢复:对一些事件作出反应,包括对于已知漏洞创建短期和长期的解决方案,还包括对受危害系统的修复。
额外的安全标准
除了ISO 7498-2还存在一些其它政府和工业标准。主要包括
• British Standard 7799:概括了特殊的“控制”,如系统访问控制和安全策略的使用以及物理安全措施。目的为了帮助管理者和IT专家建立程序来保持信息的安全性。
• 公共标准
• 桔皮书(美国)
桔皮书
为了标准化安全的级别,美国政府发表了一系列的标准来定义一般安全的级别。这些标准发表在一系列的书上通常叫做“彩虹系列”,因为每本书的封面的颜色都是不同的。由为重要的是桔皮书。它定义了一系列的标准,从D级别开始(最低的级别)一直到A1(最安全)级。
大兴安岭职业学院毕业论文
第七章:网络安全可能面临的挑战
7.1垃圾邮件数量将变本加厉
根据电子邮件安全服务提供商Message Labs公司最近的一份报告,预计2003年全球垃圾邮件数量的增长率将超过正常电子邮件的增长率,而且就每封垃圾邮件的平均容量来说,也将比正常的电子邮件要大得多。这无疑将会加大成功狙击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的企业公司恐怕得早做未雨绸缪的工作,否则就得让自己的员工们在今后每天不停地在键盘上按动“删除键”了。另外,反垃圾邮件软件也得不停升级,因为目前垃圾邮件传播者已经在实行“打一枪换一个地方”的游击战术了。即时通讯工具照样难逃垃圾信息之劫。
即时通讯工具以前是不大受垃圾信息所干扰的,但现在情况已经发生了很大的变化。垃圾邮件传播者会通过种种手段清理搜集到大量的网络地址,然后再给正处于即时通讯状态的用户们发去信息,诱导他们去访问一些非法收费网站。更令人头疼的是,目前一些推销合法产品的厂家也在使用这种让人厌烦的手段来让网民们上钩。目前市面上还没有任何一种反即时通讯干扰信息的软件,这对软件公司来说无疑也是一个商机。
7.2内置防护软件型硬件左右为难。
现在人们对网络安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现,预计在今后的几年中将会成为一种潮流。但这种具有自护功能的硬件产品却正遭遇着一种尴尬,即在有人欢迎这种产品的同时,也有人反对这样的产品。往好处讲,这种硬件产品更容易安装,整体价格也相对低廉一些。但它也有自身的弊端:如果企业用户需要更为专业化的软件服务时,这种产品就不会有很大的弹性区间。
7.3企业用户网络安全维护范围的重新界定。
目前各大企业公司的员工们在家里通过宽带接入而登录自己公司的网络系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为网络安全带来了新问
大兴安岭职业学院毕业论文
题,即企业用户网络安全维护范围需要重新界定。因为他们都是远程登录者,并没有纳入传统的企业网络安全维护的“势力范围”之内。另外,由于来自网络的攻击越来越严重,许多企业用户不得不将自己网络系统内的每一台PC机都装上防火墙、反侵入系统以及反病毒软件等一系列的网络安全软件。这同样也改变了以往企业用户网络安全维护范围的概念。
7.4个人的信用资料。
个人信用资料在公众的日常生活中占据着重要的地位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计2004年这种犯罪现象将会发展到全面窃取公众的个人信用资料的程度。如网络犯罪者可以对的银行存款账号、社会保险账号以及最近的行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给公众的日常人生活带来极大的负面影响。
大兴安岭职业学院毕业论文
结论
网络安全是一个永远说不完的话题,关于如何解决好网络安全问题,网络安全技术与工具是网络安全的基础,高水平的网络安全技术队伍是网络安全的保证,严格的管理则是网络安全的关键。我们要清醒认识到任何网络安全和数据保护的防范措施都是有一定的限度,一劳永逸的网络安全体系是不存在的。网络安全需要我们每一个人的参与。
大兴安岭职业学院毕业论文
参考文献
〔1.〕《文件加密与数字签名》北京大学出版社 赵春利
〔2.〕《网络常见攻击技术与防范完全手册》东北林业出版社 刘力光
〔3.〕《企业网络安全建设的一些心得》哈尔滨师范大学出版社 张利
〔4.〕《现行主要网络安全技术介绍》北京大学出版社 李利
〔5.〕《网络安全典型产品介绍》哈尔滨师范大学出版社 冯小
〔6.〕《防火墙概念与访问控制列表》北京人民出版社
王小波
〔7.〕《赛迪网技术应用》北京人民出版社
王霜
〔8.〕《网络攻击概览》东北林业出版社
赵春平〔9.〕《加密技术的方方面面》工业出版社
王刚
大兴安岭职业学院毕业论文
致谢
历时将近两个月的时间终于将这篇论文写完,在论文的写作过程中遇到了无数的困难和障碍,都在同学和老师的帮助下度过了。尤其要强烈感谢我的论文指导老师—宋德明老师,他对我进行了无私的指导和帮助,不厌其烦的帮助进行论文的修改和改进。另外,在校图书馆查找资料的时候,图书馆的老师也给我提供了很多方面的支持与帮助。在此向帮助和指导过我的各位老师表示最忠心的感谢!感谢这篇论文所涉及到的各位学者。本文引用了数位学者的研究文献,如果没有各位学者的研究成果的帮助和启发,我将很难完成本篇论文的写作。感谢我的同学和朋友,在我写论文的过程中给予我了很多你问素材,还在论文的撰写和排版灯过程中提供热情的帮助。由于我的学术水平有限,所写论文难免有不足之处,恳请各位老师和学友批评和指正!
第二篇:计算机网络安全毕业论文
计算机网络安全毕业论文
课题名称:计算机网络安全 姓名:吕金亮 班级:1031网络 专业:计算机应用 指导教师: 完成日期:
摘要:
21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全及管理维护成为当今信息话时代的一个重要话题。
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络面临的安全性威胁(黑客入侵)及管理维护(防火墙安全技术)。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法做了简要的分析,论述了其安全体系的构成。
关键词:信息安全 网络 防火墙 数据加密
目录
首页........................................................................1 目录........................................................................3 第一章 引言 1.1 概述.................................................................4 1.2 1.3 网络安全技术的研究目的 意义和背景....................................4 计算机网络安全的含义.................................................5 第二章 网络安全初步分析 2.1 网络安全的必要性.....................................................6 2.2 网络的安全管理.......................................................6 2.2.1安全管理原则.................................................6 2.2.2安全管理的实现.................................................7 2.3 采用先进的技术和产品
2.3.1 防火墙技术....................................................7 2.3.2 数据加密技术..................................................7 2.3.3 认证技术......................................................7 2.3.4 计算机病毒的防范..............................................7 2.4 常见的网络攻击及防范对策...............................................8 2.4.1 特洛伊木马....................................................8 2.4.4 淹没攻击......................................................8 第三章 网络攻击分析及特点........................................................9 第四章 网络安全面临的威胁 3.1自然灾害 3.2网络软件漏洞 3.3黑客的威胁和攻击 3.4计算机病毒
3.5垃圾邮件和间谍软件 3.6计算机犯罪
第4章 计算机网络安全防范策略
4.1 防火墙技术
4.1.1 防火墙的主要功能 4.1.2 防火墙的主要优点 4.1.3 防火墙的主要缺陷 4.1.4 防火墙的分类 4.1.5 防火墙的部署 4.2 数据加密技术 4.3 系统容灾技术 4.4 入侵检测技术
4.4.1 入侵检测系统的分类 4.4.2 目前入侵检测系统的缺陷
4.4.3 防火墙与入侵检测系统的相互联动 4.4.4 结语 4.5 漏洞扫描技术
4.6 物理安全
第四章 网络安全技术
4.1 防火墙的定义和选择......................................................12 4.2 加密技术................................................................12 4.2.1 对称加密技术.....................................................12 4.2.2 非对称加密/公开密钥加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注册与认证管理...........................................................13 4.3.1 认证机构...........................................................13 4.3.2 注册机构..........................................................13 4.3.3 密钥备份和恢复....................................................13 第五章 安全技术的研究
5.1 安全技术的研究现状和方向................................................14 5.1.1 包过滤型..........................................................14 5.1.2 代理型............................................................14
结束语.....................................................................15 参 考 文 献
第一章 引言
1.1 概述
我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几个特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断的变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面,总是不断的向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。
1.2 网络安全技术的研究目的、意义和背景
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。
随着计算机络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言,其网上信息的安全性和保密性尤为重要。因此,上述的网络必须要有足够强的安全措施,否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
1.3 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
第二章 网络安全初步分析
2.1 网络安全的必要性
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物,适应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。
2.2 网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2.2.1安全管理原则
网络信息系统的安全管理主要基于3个原则: ① 多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有:访问控制使用证件的发放与回收,信息处理系统使用的媒介发放与回收,处理保密信息,硬件与软件的维护,系统软件的设计、实现和修改,重要数据的删除和销毁等。
② 任期有限原则
一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。③ 职责分离原则
除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。
2.2.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是:
①
根据工作的重要程度,确定该系统的安全等级。
②
根据确定的安全等级,确定安全管理范围。
③
制定相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统,采用此卡、身份卡等手段,对人员进行识别,登记管理。
2.3 采用先进的技术和产品
要保证计算机网络安全的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
2.3.1 防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:应用层网关、数据包过滤、代理服务器等几大类型。
2.3.2 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为了提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
2.3.3 认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接受者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
2.3.4 计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
① 较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查杀、杀毒范围广、能力强的特点。
② 完善的升级服务。与其他软件相比,防病毒软件更需要不断的更新升级,以查杀层出不穷的计算机病毒。
2.4 常见的网络攻击和防范对策
2.4.1 特洛伊木马
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的过程中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。2.4.2 邮件炸弹
邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同以地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复消息,也可以使自己的SMTP连接只能达成指定的服务器,从而免受外界邮件的侵袭。
2.4.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击,它是通过大量地进行人为的增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外,还可以让系统自动检查是否过载或者重新启动系统。2.4.4 淹没攻击
正常情况下,TCP连接建立要经过3次握手的过程,即客户机向客户机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断的向被攻击的主机发送SYN请求,被攻击主机就一直处于等待状态,从而无法响应其他用户请求。
对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
第三章 网络攻击分析及特点
攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。
在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击:Does是Denial of Service的简称,即拒绝服务,造成Does的攻击行为被称为Does攻击,其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。而分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。
因为此攻击基于TCP/IP 协议的漏洞,要想避免除非不使用此协议,显然这是很难做到的那我们要如何放置呢?
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么? 谁在使用主机? 哪些人可以访问主机? 不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统—甚至是受防火墙保护的系统。
4.确保运行在 Unix上的所有服务都有TCP封装程序,限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN 系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据。
6.禁止使用网络访问程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令,而Telnet和 Rlogin 则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost 和 hosts.equiv 文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换他,文件传输功能无异将陷入瘫痪。
8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的,使DoS/ DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更,几乎可以坑定:相关的主机安全收到了威胁。
计算机网络的攻击特
1.损失巨大
由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。
2.威胁社会和国家安全
一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。
3.手段多样与手法隐蔽
计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。
4.以软件攻击为主
几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
第3章 计算机网络安全面临的威胁
3.1自然灾害
计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。
3.2网络软件漏洞
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。
3.3黑客的威胁和攻击
这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、www的欺骗技术和寻找系统漏洞等。
3.4计算机病毒
20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
3.6计算机犯罪
计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息。
4.1 防火墙技术
网络安全所说的防火墙(Fire Wall)是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet(外部网)的传输信息或从内部网发出的信息都必须穿过防火墙。
4.1.1 防火墙的主要功能 防火墙的主要功能包括:
1、防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击,以免其在目标计算机上被执行。
2、防火墙可以关闭不使用的端口,而且它还能禁止特定端口的输出信息。
3、防火墙可以禁止来自特殊站点的访问,从而可以防止来自不明入侵者的所有通信,过滤掉不安全的服务和控制非法用户对网络的访问。
4、防火墙可以控制网络内部人员对Internet上特殊站点的访问。
5、防火墙提供了监视Internet安全和预警的方便端点
4.1.2 防火墙的主要优点
防火墙的主要优点包括:
1、可作为网络安全策略的焦点
防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心,极大地加强了网络安全,并简化了网络管理。
2、可以有效记录网络活动
由于防火墙处于内网与外网之间,即所有传输的信息都会穿过防火墙。所以,防火墙很适合收集和记录关于系统和网络使用的多种信息,提供监视、管理与审计网络的使用和预警功能。
3、为解决IP地址危机提供了可行方案 由于Internet的日益发展及IP地址空间有限,使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。
4、防火墙能够强化安全策略
因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过.5、防火墙能有效地记录网络上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息.作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录.6、防火墙限制暴露用户点
防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播.7、防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外.4.1.3 防火墙的主要缺陷
由于互联网的开放性,防火墙也有一些弱点,使它不能完全保护网络不受攻击。防火墙的主要缺陷有:
1、防火墙对绕过它的攻击行为无能为力。
2、防火墙无法防范病毒,不能防止感染了病毒的软件或文件的传输,对于病毒只能安装反病毒软件。
3、防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。
4、不能防范恶意的知情者
防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去.如果入侵者已经在防火墙内部,防火墙是无能为力的.内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙.对于来自知情者的威胁,只能要求加强内部管理,如主机安全和用户教育等.5、不能防范不通过它的连接
防火墙能够有效地防止通过它的传输信息,然而它却不能防止不通过它而传输的信息.例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵.6、不能防备全部的威胁
防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一扇防火墙能自动防御所有新的威胁.7、防火墙不能防范病毒
防火墙一般不能消除网络上的病毒.4.1.4 防火墙的分类 防火墙的实现从层次上大体可分为三类:包过滤防火墙,代理防火墙和复合型防火墙。
1、包过滤防火墙
包过滤防火墙是在IP层实现,它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址,目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。
2、代理防火墙
代理防火墙也叫应用层网关防火墙,包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络,对于这样的企业,应用代理防火墙是更好的选择。
3、复合型防火墙
复合型防火墙是将数据包过滤和代理服务结合在一起使用,从而实现了网络安全性、性能和透明度的优势互补。
4.1.5 防火墙的部署
防火墙是网络安全的关口设备,只有在关键网络流量通过防火墙的时候,防火墙才能对此实行检查,防护功能。
1、防火墙的位置一般是内网与外网的接合处,用来阻止来自外部网络的入侵。
2、如果内部网络规模较大,并且设置虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙。
3、通过公网连接的总部与各分支机构之间应该设置防火墙。
4、主干交换机至服务器区域工作组交换机的骨干链路上。
5、远程拨号服务器与骨干交换机或路由器之间。
总之,在网络拓扑上,防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是:只要有恶意侵入的可能,无论是内部网还是外部网的连接处都应安装防火墙。
4.2 数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用,密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。
4.3 系统容灾技术
一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
4.4 入侵检测技术
入侵检测技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应,从而将攻击行为带来的破坏和影响降至最低。同时,入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。
典型的IDS系统模型包括4个功能部件:
1、事件产生器,提供事件记录流的信息源。
2、事件分析器,这是发现入侵迹象的分析引擎。
3、响应单元,这是基于分析引擎的分析结果产生反应的响应部件。
4、事件数据库,这是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
4.4.1 入侵检测系统的分类
入侵检测系统根据数据来源不同,可分为基于网络的入侵检测系统和基于主机的入侵检测系统。网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式,监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说,网络型入侵检测系统担负着保护整个网络的任务。
主机型入侵检测系统是以系统日志、应用程序日志等作为数据源,当然也可以通过其它手段(如检测系统调用)从所有的主机上收集信息进行分析。
入侵检测系统根据检测的方法不同可分为两大类:异常和误用。
异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。
4.4.2 目前入侵检测系统的缺陷
入侵检测系统作为网络安全防护的重要手段,目前的IDS还存在很多问题,有待于我们进一步完善。
1、高误报率
误报率主要存在于两个方面:一方面是指正常请求误认为入侵行为;另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。
2、缺乏主动防御功能
入侵检测技术作为一种被动且功能有限的安全防御技术,缺乏主动防御功能。因此,需要在一代IDS产品中加入主动防御功能,才能变被动为主动。
4.4.3 防火墙与入侵检测系统的相互联动
防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理,如无通告拒绝、ICMP拒绝、转发通过(可转发至任何端口)、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。当我们实现防火墙与入侵检测系统的相互联动后,IDS就不必为它所连接的链路转发业务流量。因此,IDS可以将大部分的系统资源用于对采集报文的分析,而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作,如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复(实时监控功能)等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。
综上所述,防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点,淡化各自的缺陷,使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中,动态技术与静态技术的联动将有很大的发展市场和空间。4.4.4 结语
网络安全是一个很大的系统工程,除了防火墙和入侵检测系统之外,还包括反病毒技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息,除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本(或是可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。
4.5 漏洞扫描技术
漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者利用可得到的攻击方法,并把它们集成到整个扫描中,扫描后以统计的格式输出,便于参考和分析。
4.6 物理安全
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。为保证网络的正常运行,在物理安全方面应采取如下措施:
1、产品保障方面:主要指产品采购、运输、安装等方面的安全措施。
2、运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
3、防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。
4、保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程,各种新技术将会不断出现和应用。??? 网络安全孕育着无限的机遇和挑战,作为一个热门的研究领域和其拥有的重要战略意义,相信未来网络安全技术将会取得更加长足的发展。
第四章 网络安全技术
4.1 防火墙的定义和选择
4.1.1防火墙的定义
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。
4.1.2 防火墙的选择
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论选择防火墙的标准有很多,但最重要的是以下两条:
(1)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像玛奇诺防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙十分不熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(2)可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提供,用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大产品的覆盖面。
4.2 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56位密钥对信息进行3次加密,从而使有效密钥长度达到112位。
4.2.2 非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛分布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下:
公开密钥: n=pq(p、q 分别为两个互异的大素数,p、q 必须保密)e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 为明文,c为密文。
解密:m=cd(mod n)利用目前已经掌握的只是和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.3 注册与认证管理
4.3.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且还与整个PKI系统的构架和模型有关。
4.3.2 注册机构
RA(Registration Authority)是用户和CA的借口,它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.3 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.3.4 证书管理与撤销系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销,证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制,随时查询被撤销的证书。
第五章 安全技术的研究
5.1 安全技术的研究现状和方向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。根据防火墙所采用的技术不同,将它分为4个基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。
5.2 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会含一些特定信息,防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一单发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
5.3 代理型
代理型的安全性能要高过包过滤型,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
结束语
互联网现在已经成为了人们不可缺少的通信工具,其发展速度也快的惊人,以此而来的攻击破坏层出不穷,为了有效的防止入侵把损失降到最低,我们必须适合注意安全问题,使用尽量多而可靠的安全工具经常维护,让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时,也在安全性方面给我们带来了巨大的挑战,我们不能因为害怕挑战而拒绝它,否则就会得不偿失,信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要的组成部分,甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程,我们应该结合现在网络发展的特点,制定妥善的网络安全策略,将英特网的不安全性降至到现有条件下的最低点,让它为我们的工作和现代化建设做出更好的服务。
参考文献
[1] 谢希仁.计算机网络 电子工业出版社
[2]汤小丹、梁红兵.计算机操作系统 西安电子科技大学出版社 [3] 李伟.网络安全实用技术标准教程 清华大学出版社 [4] Andrew S.Tanenbaum.计算机网络 清华大学出版社
[1]李军义.计算机网络技术与应用[M].北京:北方交通大学出版社,2006.7. [2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.[3]嘉宁.网络防火墙技术浅析[J].通信工程.2004(3).[4]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006.9.[5][美] Merike Kaeo 著.网络安全性设计[M].北京:人民邮电出版社,2005.9.[6]黄怡强,等.浅谈软件开发需求分析阶段的主要任务[M].中山大学学报论丛,2002(01).[7]胡道元.计算机局域网[M].北京:清华大学出版社.2001.[8]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.[9]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社.
第三篇:计算机网络安全毕业论文(范文)
网络安全
网络安全
摘要:计算机网络安全问题,直接关系到一个国家的政治、军事、经济等领域的安全和稳定。目前黑客猖獗,平均每18秒钟世界上就有一次黑客事件发生。因此,提高对网络安全重要性的认识,增强防范意识,强化防范措施,是保证信息产业持续稳定发展的重要保证和前提条件。
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络的安全管理。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法作了简要的分析,论述了其安全体系的构成。最后分析网络安全技术的研究现状和动向。
关键词:网络安全,防火墙,RSA算法
Abstract
Zhu Yi
(The Computer Department Of Liuan Normal University,Wuhu Liuan 241000)
Abstract:The computer network security problem, directly relates to domain the and so on a national politics, military, economy security and the stability.At present the hacker is rampant, in the average every 18seconds worlds has a time of hacker attack to occur.Therefore, enhances to the network security important understanding, enhancement guard consciousness, the strengthened guard measure, is guaranteed the information industries continues the important guarantee and the prerequisite which stably develops.In the article first elaborated the radical change which the information network security connotation occurs, elaborated our country develops the nationality information security system importance and the establishment has the Chinese characteristic the network security system necessity, as well as network safety control.Further elaborated the
network topology safe design, including to network topology analysis and to network security brief analysis.Then specifically narrated the network firewall security technology classification and it’s the main technical characteristic, the firewall deployment principle, and the position which deployed from the firewall in detail elaborated the firewall choice standard.Meanwhile has made the brief analysis on the exchange of information encryption technology classification and the RSA algorithm, elaborated its security system constitution.Finally analyzes the network security technology the research present situation and the trend.概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。目前计算机网络面临着很大的威胁,其构成的因素是多
方面的。这种威胁将不断给社会带来了巨大的损失。网络安全已被信息社会的各个领域所重视。随着计算机网
络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,网络的安全措施应是能全方位地针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及其技术措施。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用先进的技术和产品,构造全方位的防御机制,使系统在理想的状态下运行。
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
参考文献:
[1]雷震甲.网络工程师文献 北京 清华大学出版社
[2] 黎连业、张维、向东明.路由器及其应用技术 北京 清华大学出版社
网 络 安 全 论
文
姓名:单泽铭 学号:1228122033
第四篇:计算机网络安全毕业论文最终版
一、计算机安全基本概述....................2
二、影响网络安全的主要因素及攻击的主要方式.............2
2.1 影响网络安全的主要因素.....................2
2.2 计算机网络受攻击的主要形式.....................3
2.3 计算机网络中的安全缺陷及产生的原因..............3
三、强化计算机管理是网络系统安全的保证....................3
3.1 加强设施管理,建立健全安全管理制度..............3
四、加强计算机网络安全的对策措施................4
4.1 加强网络安全教育和管理.....................4
4.2 运用网络加密技术........................4
4.3 加强计算机网络访问控制.....................5
4.4 使用防火墙技术.....................5
五、网络系统安全综合解决措施................5
5.1 物理安全........................5
5.2 访问控制安全........................5
5.3 数据传输安全........................5
六、结束语...........................6
浅谈计算机网络安全
考号:姓名:陈一涵
〔内容提要〕
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,但由于计算机网络联结形式的多样性、终端分布的不均匀性、网络的开放性、网络资源的共享性等因素,致使网络系统的硬件、软件及网络上传输的信息易遭受偶然的或恶意的攻击、破坏。网络安全问题也越来越突出,为确保信息的安全与畅通,我们必须不断加强和提高网络安全防范意识,确保网络信息的保密性、完整性和可用性。本文分析了影响网络安全的主要因素及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出了针对性的建议。〔关键词〕计算机网络 安全 管理 攻击防范
正文
一、计算机安全基本概述
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而 遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
二、影响网络安全的主要因素及攻击的主要方式
2.1 影响网络安全的主要因素
计算机网络所面临的威胁是多方面的,既包括对网络中信息的威胁,也包括对网络中设备的威胁,但归结起来,主要有三点:一是人为的无意失误。如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。二是人为的恶意攻击。这也是目前计算机网络所面临的最大威胁,比如敌手的攻击和计算机犯罪都属于这种情况,此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。三是网络软件的漏洞和“后门”。任何一款软件都或多或少存在漏洞,这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善,没有及时补上系统漏洞造成的。此外,软件
公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁,一旦“后门”洞开,别人就能随意进入系统,后果不堪设想。
2.2 计算机网络受攻击的主要形式
计算机网络被攻击,主要有六种形式。①内部窃密和破坏。内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。②截收信息。攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式,截获机密信息或通过对信息流和流向、通信频度和长度等参数的分析,推出有用的信息。③非法访问。指未经授权使用网络资源或以未授权的方式使用网络资源,主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。④利用TCP/IP 协议上的某些不安全因素。目前广泛使用TCP/IP 协议存在大量安全漏洞,如通过伪造数据包进行,指定源路由(源点可以指定信息包传送到目的节点的中间路由)等方式,进行APR 欺骗和IP 欺骗攻击。⑤病毒破坏。利用病毒占用带宽,堵塞网络,瘫痪服务器,造成系统崩溃或让服务器充斥大量垃圾信息,导致数据性能降低。⑥其它网络攻击方式。包括破坏网络系统的可用性,使合法用户不能正常访问网络资源,拒绝服务甚至摧毁系统,破坏系统信息的完整性,还可能冒充主机欺骗合法用户,非法占用系统资源等。
2.3 计算机网络中的安全缺陷及产生的原因
(1)网络安全天生脆弱。计算机网络安全系统的脆弱性是伴随计算机网络一同产生的。在网络建设中,网络特性决定了不可能无条件、无限制地提高其安全性能。要使网络更方便快捷,又要保证网络安全,这是一个非常棘手的“两难选择”,而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的。
(2)黑客攻击后果严重。近几年,黑客猖狂肆虐,四面出击,使交通通讯网络中断,军事指挥系统失灵,电力供水系统瘫痪,银行金融系统混乱等,危及国家的政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。
(3)网络杀手集团化。目前,网络杀手除了一般的黑客外,还有一批具有高精尖技术的“专业杀手”,更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”,其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说,由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前,美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外,为达到预定目的,对出售给潜在敌手的计算机芯片进行暗中修改,在CPU中设置“芯片陷阱”,可使美国通过因特网发布指令让敌方电脑停止工作,以起到“定时炸弹”的作用。
三、强化计算机管理是网络系统安全的保证
3.1 加强设施管理,建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作,确保计算机网络系统实体安全。
3.2 强化访问控制策略。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。各种安全策略必须相互配合才能真正起到保护作用,但访问控制是保证网络安全最重要的核心策略之一。
(1)访问控制策略。它提供了第一层访问控制。在这一层允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。入网访问控制可分三步实现:用户名的识别与验证;用户口令的识别验证;用户帐号的检查。三步操作中只要有任何一步未过,用户将被拒之门外。网络管理员将对普通用户的帐号使用、访问网络时间、方式进行管理,还能控制用户登录入网的站点以及限制用户入网的工作站数量。
(2)网络权限控制策略。它是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。
共分三种类型:特殊用户(如系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
(3)建立网络服务器安全设置。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法访问设备等。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入INTERNET网络为甚。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和INTERNET之间的任何活动,保证了内部网络的安全。
(4)信息加密策略。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有线路加密、端点加密和节点加密三种。线路加密的目的是保护网络节点之间的线路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输线路提供保护。用户可根据网络情况酌情选择上述加密方式。
(5)属性安全控制策略。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删、执行修改、显示等。
(6)建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户所执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。
四、加强计算机网络安全的对策措施
4.1 加强网络安全教育和管理:对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐__射引起的数据错误;线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为。
4.2 运用网络加密技术:网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击,又可以防止非授权用户的访问。
4.3 加强计算机网络访问控制:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
4.4 使用防火墙技术:采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制,并且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效地监控内部网和Internet 之间的任何活动,保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
五、网络系统安全综合解决措施
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
5.1 物理安全。物理安全可以分为两个方面:一是人为对网络的损害;二是网络对使用者的危害。网络对使用者的危害主要是电缆的电击、高频信号的幅射等,这需要对网络的绝缘、接地和屏蔽工作做好。
5.2 访问控制安全。访问控制识别并验证用户,将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。
(1)口令。网络安全系统的最外层防线就是网络用户的登录,在注册过程中,系统会检查用户的登录名和口令的合法性,只有合法的用户才可以进入系统。
(2)网络资源属主、属性和访问权限。网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源的从属关系,如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性,如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。
(3)网络安全监视。网络监视通称为“网管”,它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题,如定位网络故障点、捉住IP盗用者、控制网络访问范围等。
(4)审计和跟踪。网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。
5.3 数据传输安全。传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施:
(1)加密与数字签名。任何良好的安全系统必须包括加密!这已成为既定的事实。数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现。
(2)防火墙。防火墙(Firewall)是Internet上广泛应用的一种安全措施,它可以设置在不同网络或网络安全域之间的一系列部件的组合。它能通过监测、限制、更改跨越防火墙的数据流,尽可能地检测网络内外信息、结构和运行状况,以此来实现网络的安全保护。
(3)User Name/Password认证。该种认证方式是最常用的一种认证方式,用于操作系
统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。
(4)使用摘要算法的认证。Radius(远程拨号认证协议)、OSPF(开放路由协议)、SNMP Security Protocol等均使用共享的Security Key(密钥),加上摘要算法(MD5)进行认证,但摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。
(5)基于PKI的认证。使用PKI(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
(6)虚拟专用网络(VPN)技术。VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
六、结束语
对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。一方面,可以实现对上网用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP for Business Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
网络安全与网络的发展戚戚相关。网络安全是一个系统的工程,不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,安全保护的对象是计算机,而安全保护的主体则是人,应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,才可能 防微杜渐。把可能出现的损失降低到最低点,才能生成一个高效、通用、安全的网络系统。
〔参考文献〕
1、谢希仁著:《计算机网路简明教程》[M].电子工业出版社。2007年版
2、高性能网络技术教程[M].清华大学出版社。2002年版
3、《网络常见攻击技术与防范完全手册》
4、《现行主要网络安全技术介绍》
5、《防火墙概念与访问控制列表》
6、《网络攻击概览》
7、《加密技术的方方面面》
第五篇:计算机网络安全毕业论文[小编推荐]
计算机网络安全毕业论文
课题名称:计算机网络安全 姓名:
班级:信息系092班 专业:计算机应用 指导教师: 完成日期:
论文摘要: 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全及管理维护成为当今信息话时代的一个重要话题。
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络面临的安全性威胁(黑客入侵)及管理维护(防火墙安全技术)。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法做了简要的分析,论述了其安全体系的构成。
关键词:信息安全 网络 防火墙 数据加密
目录
首页........................................................................1 目录........................................................................3 第一章 1.1 1.2 1.3 引言
概述.................................................................4 网络安全技术的研究目的 意义和背景....................................4 计算机网络安全的含义.................................................5 第二章 网络安全初步分析 2.1 网络安全的必要性.....................................................6 2.2 网络的安全管理.......................................................6 2.2.1安全管理原则.................................................6 2.2.2安全管理的实现.................................................7 2.3 采用先进的技术和产品
2.3.1 防火墙技术....................................................7 2.3.2 数据加密技术..................................................7 2.3.3 认证技术......................................................7 2.3.4 计算机病毒的防范..............................................7 2.4 常见的网络攻击及防范对策...............................................8 2.4.1 特洛伊木马....................................................8 2.4.4 淹没攻击......................................................8 第三章 网络攻击分析........................................................9 第四章 网络安全技术
4.1 防火墙的定义和选择......................................................12 4.2 加密技术................................................................12 4.2.1 对称加密技术.....................................................12 4.2.2 非对称加密/公开密钥加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注册与认证管理...........................................................13 4.3.1 认证机构...........................................................13 4.3.2 注册机构..........................................................13 4.3.3 密钥备份和恢复....................................................13 第五章 安全技术的研究
5.1 安全技术的研究现状和方向................................................14 5.1.1 包过滤型..........................................................14 5.1.2 代理型............................................................14
结束语.....................................................................15 参 考 文 献
第一章 引言
1.1 概述
我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几个特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断的变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面,总是不断的向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。
1.2 网络安全技术的研究目的、意义和背景
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。
随着计算机络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言,其网上信息的安全性和保密性尤为重要。因此,上述的网络必须要有足够强的安全措施,否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
1.3 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
第二章 网络安全初步分析
2.1 网络安全的必要性
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物,适应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。
2.2 网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2.2.1安全管理原则
网络信息系统的安全管理主要基于3个原则:
① 多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有:访问控制使用证件的发放与回收,信息处理系统使用的媒介发放与回收,处理保密信息,硬件与软件的维护,系统软件的设计、实现和修改,重要数据的删除和销毁等。
② 任期有限原则
一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。③ 职责分离原则
除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。
2.2.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是:
① 根据工作的重要程度,确定该系统的安全等级。②
根据确定的安全等级,确定安全管理范围。
③
制定相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统,采用此卡、身份卡等手段,对人员进行识别,登记管理。
2.3 采用先进的技术和产品
要保证计算机网络安全的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
2.3.1 防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:应用层网关、数据包过滤、代理服务器等几大类型。
2.3.2 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为了提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
2.3.3 认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接受者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
2.3.4 计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
① 较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查杀、杀毒范围广、能力强的特点。② 完善的升级服务。与其他软件相比,防病毒软件更需要不断的更新升级,以查杀层出不穷的计算机病毒。
2.4 常见的网络攻击和防范对策
2.4.1 特洛伊木马
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的过程中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
2.4.2 邮件炸弹
邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同以地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复消息,也可以使自己的SMTP连接只能达成指定的服务器,从而免受外界邮件的侵袭。
2.4.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击,它是通过大量地进行人为的增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外,还可以让系统自动检查是否过载或者重新启动系统。2.4.4 淹没攻击
正常情况下,TCP连接建立要经过3次握手的过程,即客户机向客户机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断的向被攻击的主机发送SYN请求,被攻击主机就一直处于等待状态,从而无法响应其他用户请求。
对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
第三章 网络攻击分析
攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。
在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击:Does是Denial of Service的简称,即拒绝服务,造成Does的攻击行为被称为Does攻击,其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。而分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。因为此攻击基于TCP/IP 协议的漏洞,要想避免除非不使用此协议,显然这是很难做到的那我们要如何放置呢?
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么? 谁在使用主机? 哪些人可以访问主机? 不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统—甚至是受防火墙保护的系统。
4.确保运行在 Unix上的所有服务都有TCP封装程序,限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN 系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据。
6.禁止使用网络访问程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令,而Telnet和 Rlogin 则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost 和 hosts.equiv 文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换他,文件传输功能无异将陷入瘫痪。
8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的,使DoS/ DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更,几乎可以坑定:相关的主机安全收到了威胁。
第四章 网络安全技术
4.1 防火墙的定义和选择
4.1.1防火墙的定义
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。
4.1.2 防火墙的选择
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论选择防火墙的标准有很多,但最重要的是以下两条:
(1)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像玛奇诺防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙十分不熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(2)可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提供,用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大产品的覆盖面。
4.2 加密技术 信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56位密钥对信息进行3次加密,从而使有效密钥长度达到112位。
4.2.2 非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛分布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下:
公开密钥: n=pq(p、q 分别为两个互异的大素数,p、q 必须保密)e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 为明文,c为密文。
解密:m=cd(mod n)利用目前已经掌握的只是和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.3 注册与认证管理
4.3.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且还与整个PKI系统的构架和模型有关。
4.3.2 注册机构
RA(Registration Authority)是用户和CA的借口,它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.3 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.3.4 证书管理与撤销系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销,证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制,随时查询被撤销的证书。
第五章 安全技术的研究
5.1 安全技术的研究现状和方向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。根据防火墙所采用的技术不同,将它分为4个基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。
5.2 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会含一些特定信息,防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一单发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
5.3 代理型
代理型的安全性能要高过包过滤型,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
结束语
互联网现在已经成为了人们不可缺少的通信工具,其发展速度也快的惊人,以此而来的攻击破坏层出不穷,为了有效的防止入侵把损失降到最低,我们必须适合注意安全问题,使用尽量多而可靠的安全工具经常维护,让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时,也在安全性方面给我们带来了巨大的挑战,我们不能因为害怕挑战而拒绝它,否则就会得不偿失,信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要的组成部分,甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程,我们应该结合现在网络发展的特点,制定妥善的网络安全策略,将英特网的不安全性降至到现有条件下的最低点,让它为我们的工作和现代化建设做出更好的服务。
参考文献
[1] 谢希仁.计算机网络 电子工业出版社
[2]汤小丹、梁红兵.计算机操作系统 西安电子科技大学出版社 [3] 李伟.网络安全实用技术标准教程 清华大学出版社 [4] Andrew S.Tanenbaum.计算机网络 清华大学出版社
点击咨询 