第一篇:网络安全与维护毕业论文
网络安全与维护毕业论文
论文关键词:
计算机 网络安全 网络建设 安全技术 论文摘要:
随着计算机技术和通信技术的发展,计算机网络正变得日益重要,已经渗透到各行业的生产管理、经营管理等各个领域。因此,认清网络的脆弱性和存在的潜在威胁,并采取强有力的防范措施,对于保障计算机网络的安全、可靠、正常运行具有十分重要的意义。本文分析了对网络安全建设造成威胁的诸多原因,并在技术及管理方面提出了相应的防范对策。随着计算机网络的不断发展,信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点,致使网络易受攻击。具体的攻击是多方面的,有来自黑客的攻击也有其他诸如计算机病毒等形式的攻击。因此,网络的安全措施就显得尤为重要,只有针对各种不同的威胁或攻击采取必要的措施,才能确保网络信息的保密性、安全性和可靠性。
1威胁计算机网络安全的因素
计算机网络安全所面临的威胁是多方面的,一般认为,目前网络存在的威胁主要表现在: 1.1非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
1.2信息泄漏或丢失
指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏(黑客利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通
信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。
1.3破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
1.4拒绝服务攻击
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务
1.5利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。2网络安全建设方法与技术
网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从
网络规划阶段制定各种策略,并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全,需要从多个方面采取对策。攻击随时可能发生,系统随时可能被攻破,对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。2.1计算机病毒防治
大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时,对于病毒库中已知的病毒或可疑程序、可疑代码,杀毒软件可以及时地发现,并向系统发出警报,准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有,对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。感染病毒后要及时修补系统漏洞,并进行病毒检测和清除。2.2防火墙技术
防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合,能在内部网络与外部网络之间构造起一个保护层网络内外的所有通信都必须经过此保护层进行检查与连接,只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问,也可以控制内部对外部特殊站点的访问,提供监视Internet安全和预警的方便端点。当然,防火墙并不是万能的,即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙,尽量少开端口,采用过滤严格WEB程序以及加密HTTP协议,管理好内部网络用户,经常升级,这样可以更好地利用防火墙保护网络的安全。2.3入侵检测
攻击者进行网络攻击和入侵的原因,在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,比如操作系统、网络服务、TCP/IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制,那么即使攻击者已经侵入到内部网络,侵入到关键的主机,并从事非法的操作,我们的网管人员也很难察觉到。这样,攻击者就有足够的时间来做他们想做的任何事情。基于网络的IDS,即入侵检测系统,可以提供全天候的网络监控,帮助网络系统快速发现网络攻击事件,提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流,当检测到未经授权的活动时,IDS可以向管理控制台发送警告,其中含有详细的活动信息,还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。2.4安全漏洞扫描技术
安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,操作系统的漏洞随时都在发布,只有及时更新才能完全的扫描出系统的漏洞,阻止黑客的入侵。2.5数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的密性直接取决于所采用的密码算法和密钥长度。2.6安全隔离技术
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念"安全隔离技术应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。
2.7黑客诱骗技术
黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统,其最重要的功能是特殊设置的对于系统中所有操作的监视和记录,网络安全专家通过精心的伪装使得黑客在进入到目标系统后,仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客,网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假信息。这样,当黑客正为攻入目标系统而沾沾自喜的时候,他在目标系统中的所有行为,包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录,可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平,通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标,根据这些信息,管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。2.8网络安全管理防范措施
对于安全领域存在的问题,应采取多种技术手段和措施进行防范。在多种技术手段并用 的同时,管理工作同样不容忽视。规划网络的安全策略、确定网络安全工作的目标和对象、控制用户的访问权限、制定书面或口头规定、落实网络管理人员的职责、加强网络的安全管理、制定有关规章制度等等,对于确保网络的安全、可靠运行将起到十分有效的作用。网络安全管理策略包括:确定安全管理等级和安全管理范围;指定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
第二篇:网络安全与维护-演讲稿
1.尊敬的各位领导、同事们:
大家好!
人类已步入信息时代,网络越来越强烈地介入我们的生活,网络世界呢是一个精彩的世界。QQ、网络购物、网络游戏、远程办公,丰富并改变着我们的生活,但是精彩的背后蕴含着危险。大家可曾碰到过,你的QQ号被盗?这个很常见吧。网银被盗?文档、照片或者其他数据不见了?正在电脑上看文档的时候,鼠标自己动了,恩,你的电脑中毒了,今天我们就来谈一谈网络安全与维护。(接下来请看大屏幕)
2.尊敬的各位领导、同事们:
大家好!
伴随着新一轮信息技术革命浪潮,互联网改变了人们的生产、生活方式。话在网上说、钱在网上花、事在网上办已经成为一种生活常态。在充分享受互联网种种便利的同时,网络安全问题也相伴而生,网络攻击、网络诈骗、网络侵权时有发生,侵犯个人隐私、窃取个人信息。
网络安全的案例
张先生在网上买书时,卖家要求他进入一个“新世纪购物网站”,下载一个1分钱的订单。张先生按照订单的要求 就把银行卡号和密码都输进去 但过了很长一段时间 还是没看到书 然后到银行查账 发现卡上的一万多块钱都没了。所以网上购物应保持警惕,不要贪便宜,更不要轻易泄露银行账户和密码。
小朱手机收到 “幸运”提示:“恭喜您被系统抽中为移动无限惊喜活动幸运用户,您将获得移动公司送出的惊喜奖金32000元以及三星公司赞助的Q40笔记本电脑一台。”小朱非常兴奋,就用手机打开所谓的“官方网站”,网站上清楚地写着“需要预先支付600元手续费”,为了能尽快得到奖金和奖品,小朱匆匆到网吧附近的银行,给对方提供的银行账号汇去了600元钱。按照网页上的要求,小朱拨打区号为0898的客服电话确认时,一操南方口音的男子接电话称需再汇6400元的个人所得税,此时小朱才觉得不对劲儿。
第三篇:计算机网络安全与维护
《计算机网络安全与维护 》期末习题
一、选择题
1.计算机网络的安全是指(C)。
A.网络中设备设置环境的安全
B.网络使用者的安全
C.网络中信息的安全
D.网络的财产安全
2.以下(D)不是保证网络安全的要素。
A.信息的保密性B.发送信息的不可否认性
C.数据交换的完整性D.数据存储的唯一性
3.信息不泄漏给非授权的用户、实体或过程,指的是信息(A)的特性。
A.保密性B.完整性C.可用性D.可控性
4.拒绝服务攻击(A)
A.用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击
B.全称是Distributed Denial Of Service
C.拒绝来自一个服务器所发送回应请求的指令
D.入侵控制一个服务器后远程关机
5.当感觉到操作系统运行速度明显减慢,打开任务管理器后发现CPU的使用率达到100%
时,最有可能受到(B)攻击。
A.特洛伊木马B.拒绝服务C.欺骗D.中间人攻击
6.对于发弹端口型的木马,(A)主动打开端口,并处于监听状态。
Ⅰ.木马的客户端Ⅱ.木马的服务器端Ⅲ.第三服务器
A.ⅠB.ⅡC.ⅢD.Ⅰ或 Ⅲ
7.DDos攻击破坏了(A)。
A.可用性B.保密性C.完整性D.真实性
8.在网络攻击活动中,死亡之PING是(A)类的攻击程序。
A.拒绝服务B.字典攻击C.网络监听D.病毒
9.(B)类型的软件能够阻止外部主机对本地计算机的端口扫描。
A.反病毒软件B.个人防火墙
C.基于TCP/IP的检查工具,如netstatD.加密软件
10.局域网中如果某台计算机受到了ARP欺骗,那么它发出去的数据包中,(D)地址是错
误的。
A.源IP地址B.目标IP地址C.源MAC地址D.目标MAC地址
11.网络监听是(B)。
A.远程观察一个用户的计算机B.监视网络的状态、传输和数据流
C.监视PC系统的运行情况D.监视一个网站的发展方向
12.熊猫烧香病毒是一种(C)。
A.单机病毒B.宏病毒C.蠕虫病毒D.引导型病毒
13.计算机病毒是一种(C)
A.软件故障B.硬件故障
C.程序D.细菌
14.以下关于加密说法正确的是(D)
A.加密包括对称加密和非对称加密两种
B.信息隐藏是加密的一种方法
C.如果没有信息加密的密钥,只要知道加密程序的细节就可以对信息进行解密
D.密钥的位数越多,信息的安全性越高
15.数字签名为保证其不可更改性,双方约定使用(A)。
A.Hash算法B.RSA算法C.CAP算法D.ACR算法
16.数字签名技术是公开密钥算法的一个典型应用,在发送端,采用(B)对要发送的信息
进行数字签名。
A.发送者的公钥B.发送者的私钥
C.接收者的公钥D.接收者的私钥
17.DES算法是一种(B)加密算法。
A.非对称密钥B.对称密钥C.公开密钥D.HASH
18.数字证书采用公钥体制时,每个用户设定一把公钥,由本人公开,用其进行(A)。
A.加密和验证签名B.解密和签名C.加密D.解密
19.在公开密钥体制中,加密密钥即(C)。
A.解密密钥B.私密密钥C.公开密钥D.私有密钥
20.为确保企业局域网的信息安全,防止来自Internet的黑客入侵,采用(C)可以实现
一定的防范作用。
A.网络管理软件B.邮件列表C.防火墙D.防病毒软件
21.下列关于防火墙的说法正确的是(D)。
A.防火墙的安全性能是根据系统安全的要求而设置的B.防火墙的安全性能是一致的,一般没有级别之分
C.防火墙不能把内部网络隔离为可信任网络
D.一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的安全系统
22.(B)不是防火墙的功能。
A.过滤进出网络的数据包B.保护存储数据安全
C.封堵某些禁止的访问行为D.记录通过防火墙的信息内容和活动
23.防火墙技术可分为(D)等3大类型。
A.包过滤、入侵检测和数据加密
B.包过滤、入侵检测和应用代理
C.包过滤、数据代理和入侵检测
D.包过滤、状态检测和应用代理
24.有一个主机专门被用作内部网络和外部网络的分界线。该主机有两块网卡,分别连接两
个网络。防火墙里面的系统可以与这台主机通信,防火墙外面系统也可以与这台主机通信,这是(A)防火墙。
A.屏蔽主机式体系结构B.筛选路由式体系结构
C.双网主机式体系结构D.屏蔽子网式体系结构
25.对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并
在内存中记录下连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种防火墙技术称为(B)。
A.包过滤技术B.状态检测技术C.代理服务技术D.以上都不正确
26.设置Windows账户的密码长度最小值,通过(C)进行设置。
A.任务管理器B.服务管理器C.本地安全策略D.本地用户和组
27.有些病毒为了在计算机启动的时候自动加载,可以更改注册表,(C)键值更改注册表
自动加载项。
A.HKLMsoftwarecurrentcontrolsetservices
B.HKLMSAMSAMdomainaccountuser
C.HKLMsoftwaremicrosoftwindowscurrentversionrun
D.HKLMsoftwarecurrentcontrolsetcontrolsetup
28.IDEA密钥的长度为(D)
A.56B.64C.124D.128
29.当感觉到操作系统运行速度明显减慢,打开任务管理器后发现CPU的使用率达到100%时,最有可能受到(B)攻击。
A.特洛伊木马B.拒绝服务C.欺骗D.中间人攻击
30.为了避免冒名发送数据或发送后不承认的情况出现,可以采取的办法是(B)。
A.数字水印B.数字签名C.访问控制D.发电子邮件确认
31.信息安全技术的核心是(A)
A.PKIB.SETC.SSLD.ECC
32.以下算法中属于非对称算法的是(B)
A.DESB.RSA算法C.IDEAD.三重DES
33.包过滤型防火墙工作在(C)
A.会话层B.应用层C.网络层D.数据链路层
34.在防火墙技术中,内网这一概念通常指的是(A)
A.受信网络B.非受信网络C.防火墙内的网络D.互联网
三、判断题
1)
2)
3)
4)
5)设计初期,TCP/IP通信协议并没有考虑到安全性问题。(√)目前没有理想的方法可以彻底根除IP地址欺骗。(√)GIF和JPG格式的文件不会感染病毒。(×)缓冲区溢出并不是一种针对网络的攻击方法。(×)DDoS攻击破坏性大,难以防范,也难以查找攻击源,被认为是当前最有效的攻击手法。
(√)
6)入侵检测系统能够完成入侵检测任务的前提是监控、分析用户和系统的活动。(√)
7)防火墙将限制有用的网络服务。(√)
8)计算机信息系统的安全威胁同时来自内、外两个方面。(√)
9)包过滤防火墙可以防御SYN式扫描。(×)
10)冒充信件回复、冒名Yahoo发信、下载电子贺卡同意书,使用的是叫做“字典攻击”的方法。(×)
11)当服务器遭受到Dos攻击的时候,只需要重新启动系统就可以攻击。(×)
12)在Outlook Express中仅预览邮件的内容而不打开邮件的附件是不会中毒的。(×)
13)木马与传统病毒不同的是:木马不自我复制。(√)
14)只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会使系统感染病
毒。(×)
15)重新格式化硬盘可以清除所有病毒。(×)
16)DES属于公开密钥算法。(×)
17)状态检测防火墙可以防御SYN式扫描。(√)
18)计算机网络的安全是指网络设备设置环境的安全。(×)
19)灰鸽子是传统木马,服务器端主动打开端口。(×)
20)文本文件不会感染宏病毒。(×)
21)IP过滤型防火墙在应用层进行网络信息流动控制。(×)
22)在混合加密体系中,使用对称加密算法对要发送的数据进行加密,其密钥则使用非对称
加密算法进行加密。(√)
23)一般来说,Window XP的进程中有4个以上的svchost.exe进程。(√)
24)PGP加密系统不能对磁盘进行加密。(×)
第四篇:计算机网络安全与防范毕业论文
计算机网络安全与防范
盐 城 师 范 学 院
毕业论文
2013-2014学
计算机网络安全与防范
学生姓名 学 院 专 业 班 级 学 号 指导教师
2013年 6 月 16 日
计算机网络安全与防范
计算机网络安全与防范
摘 要
计算机网络飞速发展的同时,安全问题不容忽视。网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。
在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展,加上发达国家对关键加密算法的出口限制,各个国家正不断致力于开发和设计新的加密算法和加密机制。
从技术上,[2]网络安全取决于两个方面:网络设备的硬件和软件。网络安全则由网络设备的软件和硬件互相配合来实现的。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现线速的安全处理仍然将是网络安全发展的一个主要方向。
在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。
总之,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。
关键词:计算机;网络;安全;防范
计算机网络安全与防范
[5]Use of information technology to people's lives, ringing all aspects of the work of the
Abstract
convenience and benefits of countless, but the computer information technology and other technologies, like a double-edged sword.When most people practical information technology to improve efficiency, create more wealth for the community, while others are doing the opposite use of information technology may do.They hacking of computer systems to steal confidential information, data tampering and break pots, to society is difficult to estimate the tremendous loss.According to statistics, about 20 seconds, a global computer intrusion incidents, Internet firewall on the network about 1 / 4 was broken, about 70% of executives report network information disclosure of confidential information received the loss.Network security is a matter of national security and sovereignty, social stability, democratic culture, inherit and carry forward the important issue of network security related to computer science, network technology, communication technology, cryptography, information security technology, applied mathematics, number theory, information theory, etc.a variety of science.This paper analyzes the current existence of network security threats and could face attack, network attack was designed and implemented defensive measures, and research-based strategy is proposed as the core of a secure, protection, detection and response as a means A campus network security system to ensure the safety of the campus network, a practical solution.For example: a firewall, authentication encryption, anti-virus technology is today commonly used method, this method of in-depth exploration of these various aspects of network security problems, can make the reader's understanding of network security technology.Keywords: network security, security, network, firewall, intrusion detection, Telnet, TCSEC, P2DR
计算机网络安全与防范
目 录
摘 要......................................................................I 目 录.....................................................................IV 第1章 绪 论..............................................................1 1.1 计算机网络发展前景...................................................1 1.2 本章小结............................................错误!未定义书签。第2章 计算机网络安全概述..................................................2 2.1 计算机网络安全的概念.................................................2 2.2 计算机网络安全现状...................................................3 2.3 本章小结............................................错误!未定义书签。第3章 网络安全的威胁因素..................................................4 3.1 网络安全的威胁因素...................................................4 3.2 本章小结............................................错误!未定义书签。第4章 几种常用的网络安全技术..............................................4 4.1 防火墙技术...........................................................4 4.1.1 防火墙的主要功能.................................................5 4.1.2 防火墙的主要优点.................................................5 4.1.3 防火墙的主要缺陷.................................................6 4.1.4 防火墙的分类.....................................................6 4.1.5 防火墙的部署.....................................................7 4.2 数据加密技术.........................................................8 4.3 系统容灾技术.........................................................8 4.4 入侵检测技术.........................................................9 4.4.1 入侵检测系统的分类...............................................9
计算机网络安全与防范
4.4.2 目前入侵检测系统的缺陷..........................................10 4.4.3 防火墙与入侵检测系统的相互联动..................................10 4.4.4 结语............................................错误!未定义书签。4.5 漏洞扫描技术........................................................11 4.6 物理安全............................................................11 4.7 本章小结............................................错误!未定义书签。第5章 结束语与展望.......................................................11 5.1 论文总结............................................................11 5.2 工作展望............................................................12 致 谢.....................................................................13 参考文献..................................................................14
计算机网络安全与防范
第1章 绪 论
1.1 计算机网络发展前景
[1]计算机网络就是计算机之间通过连接介质(如网络线、光纤等)互联起来,按照网络协议进行数据通信,实现资源共享的一种组织形式。计算机网络是二十世纪60年代起源于美国,原本用于军事通讯,后逐渐进入民用,经过短短40年不断的发展和完善,现已广泛应用于各个领域,并正以高速向前迈进。在不久的将来,我们将看到一个充满虚拟性的新时代。在这个虚拟时代,人们的工作和生活方式都会极大地改变,那时我们将进行虚拟旅行,读虚拟大学,在虚拟办公室里工作,进行虚拟的驾车测试等。
对计算机网络发展的前景,我有如下看法:
〔1〕全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单纯的大型数据中心发展成为一个更加聪明的高智商网络,将成为人与信息之间的高层调节者。其中的个人网站复制功能将不断预期人们的信息需求和喜好,用户将通过网站复制功能筛选网站,过滤掉与己无关的信息并将所需信息以最佳格式展现出来。同时,个人及企业将获得大量个性化服务。这些服务将会由软件设计人员在一个开放的平台中实现。由软件驱动的智能网技术和无线技术将使网络触角伸向人们所能到达的任何角落,同时允许人们自行选择接收信息的形式。
〔2〕带宽的成本将变得非常低廉,甚至可以忽略不计。随着带宽瓶颈的突破,未来网络的收费将来自服务而不是带宽。交互性的服务,如节目联网的视频游戏、电子报纸和杂志等服务将会成为未来网络价值的主体。
〔3〕计算机网络飞速发展的同时,安全问题不容忽视。网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。
在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展,加上发达国家对关键加密算法的出口限制,各个国家正不断致力于开发和设计新的加密算法和加密机制。
从技术上,网络安全取决于两个方面:网络设备的硬件和软件。网络安全则由网络设
计算机网络安全与防范
备的软件和硬件互相配合来实现的。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现线速的安全处理仍然将是网络安全发展的一个主要方向。
在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。
总之,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。
第2章 计算机网络安全概述
2.1 计算机网络安全的概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
计算机网络安全与防范
2.2 计算机网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。[6]在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、DOS和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
计算机网络安全与防范
第3章 网络安全的威胁因素
3.1 网络安全的威胁因素
归纳起来,针对网络安全的威胁主要有:软件漏洞、配置不当、安全意识不强、病毒、黑客攻击等。
〔1〕软件漏洞:
每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。
〔2〕配置不当: 安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
〔3〕安全意识不强: 用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
〔4〕病毒: 目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。
〔5〕黑客攻击: 对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
第4章 几种常用的网络安全技术
4.1 防火墙技术
计算机网络安全与防范
网络安全所说的防火墙(Fire Wall)是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet(外部网)的传输信息或从内部网发出的信息都必须穿过防火墙[3]。4.1.1 防火墙的主要功能
防火墙的主要功能包括:
〔1〕防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击,以免其在目标计算机上被执行。
〔2〕防火墙可以关闭不使用的端口,而且它还能禁止特定端口的输出信息。〔3〕防火墙可以禁止来自特殊站点的访问,从而可以防止来自不明入侵者的所有通信,过滤掉不安全的服务和控制非法用户对网络的访问。
〔4〕防火墙可以控制网络内部人员对Internet上特殊站点的访问。〔5〕防火墙提供了监视Internet安全和预警的方便端点。4.1.2 防火墙的主要优点
防火墙的主要优点包括: 〔1〕可作为网络安全策略的焦点
防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心,极大地加强了网络安全,并简化了网络管理。
〔2〕可以有效记录网络活动
由于防火墙处于内网与外网之间,即所有传输的信息都会穿过防火墙。所以,防火墙很适合收集和记录关于系统和网络使用的多种信息,提供监视、管理与审计网络的使用和预警功能。
〔3〕为解决IP地址危机提供了可行方案
由于Internet的日益发展及IP地址空间有限,使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。
计算机网络安全与防范
4.1.3 防火墙的主要缺陷
由于互联网的开放性,防火墙也有一些弱点,使它不能完全保护网络不受攻击。防火墙的主要缺陷有:
〔1〕防火墙对绕过它的攻击行为无能为力。
〔2〕防火墙无法防范病毒,不能防止感染了病毒的软件或文件的传输,对于病毒只能安装反病毒软件。
〔3〕防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。4.1.4 防火墙的分类
防火墙的实现从层次上大体可分为三类:包过滤防火墙,代理防火墙和复合型防火墙。
〔1〕包过滤防火墙
包过滤防火墙是在IP层实现,它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址,目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。
包过滤路由器的最大优点是:对用户来说是透明的,即不需要用户名和密码来登陆。
包过滤路由器的弊端是明显的,由于它通常没有用户的使用记录,我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点,就是不能在用户级别上进行过滤,即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址,则很容易地通过包过滤防火墙。
〔2〕代理防火墙
代理防火墙也叫应用层网关防火墙,包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络,对于这样的企业,应用代理防火墙是更好的选择。
代理服务是设置在Internet防火墙网关上的应用,是在网管员允许下或拒绝的特定的应用程序或者特定服务,一般情况下可应用于特定的互联网服务,如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。
应用层网关包括应用代理服务器、回路级代理服务器、代管服务器、IP通道、网络
计算机网络安全与防范
地址转换器、隔离域名服务器和邮件技术等。
〔3〕复合型防火墙
复合型防火墙是将数据包过滤和代理服务结合在一起使用,从而实现了网络安全性、性能和透明度的优势互补。
随着技术的发展,防火墙产品还在不断完善、发展。目前出现的新技术类型主要有以下几种:状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。4.1.5 防火墙的部署
防火墙是网络安全的关口设备,只有在关键网络流量通过防火墙的时候,防火墙才能对此实行检查,防护功能。
〔1〕防火墙的位置一般是内网与外网的接合处,用来阻止来自外部网络的入侵。〔2〕如果内部网络规模较大,并且设置虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙。
〔3〕通过公网连接的总部与各分支机构之间应该设置防火墙。〔4〕主干交换机至服务器区域工作组交换机的骨干链路上。〔5〕远程拨号服务器与骨干交换机或路由器之间。
总之,在网络拓扑上,防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是:只要有恶意侵入的可能,无论是内部网还是外部网的连接处都应安装防火墙。
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。由于它简单实用且透明度高,可以在不修改原有网络应用系统的情况下,达到一定的安全要求,所以被广泛使用。据预测近5年世界防火墙需求的年增长率将达到174%。
目前,市场上防火墙产品很多,一些厂商还把防火墙技术并入其硬件产品中,即在其硬件产品中采取功能更加先进的安全防范机制。可以预见防火墙技术作为一种简单实用的网络信息安全技术将得到进一步发展。然而,防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的,也就是说要保证网络信息的安全还必须有其他一系列措施,例如对数据进行加密处理。需要说明的是防火墙只能抵御来自外部网络的侵扰,而对企业内部网络的安全却无能为力。要保证企业内
计算机网络安全与防范
部网的安全,还需通过对内部网络的有效控制和管理来实现。
4.2 数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用,密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。
数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。
4.3 系统容灾技术
一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网
计算机网络安全与防范
络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合,构成的数据存储系统,是数据技术发展的重要阶段。随着存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。
4.4 入侵检测技术
入侵检测技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应,从而将攻击行为带来的破坏和影响降至最低。同时,入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。
典型的IDS系统模型包括4个功能部件: 〔1〕事件产生器,提供事件记录流的信息源。
〔2〕事件分析器,这是发现入侵迹象的分析引擎。
〔3〕响应单元,这是基于分析引擎的分析结果产生反应的响应部件。
〔4〕事件数据库,这是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。4.4.1 入侵检测系统的分类
入侵检测系统根据数据来源不同,可分为基于网络的入侵检测系统和基于主机的入侵检测系统。
[4]网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式,监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说,网络型入侵检测系统担负着保护整个网络的任务。
主机型入侵检测系统是以系统日志、应用程序日志等作为数据源,当然也可以通过其它手段(如检测系统调用)从所有的主机上收集信息进行分析。
入侵检测系统根据检测的方法不同可分为两大类:异常和误用。
异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。
误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比较用户的活动来了解
计算机网络安全与防范
入侵。例如,著名的Internet蠕虫事件是利用finger上的守护进程,允许用户远程读取文件系统,因而存在可以查看文件内容的漏洞和(Linux上的守护进程,利用其漏洞可取得root权限)的漏洞进行攻击。对这种攻击可以使用这种检测方法。4.4.2 目前入侵检测系统的缺陷
入侵检测系统作为网络安全防护的重要手段,目前的IDS还存在很多问题,有待于我们进一步完善。
〔1〕高误报率
误报率主要存在于两个方面:一方面是指正常请求误认为入侵行为;另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。
〔2〕缺乏主动防御功能
入侵检测技术作为一种被动且功能有限的安全防御技术,缺乏主动防御功能。因此,需要在一代IDS产品中加入主动防御功能,才能变被动为主动。4.4.3 防火墙与入侵检测系统的相互联动
防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理,如无通告拒绝、ICMP拒绝、转发通过(可转发至任何端口)、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。
当我们实现防火墙与入侵检测系统的相互联动后,IDS就不必为它所连接的链路转发业务流量。因此,IDS可以将大部分的系统资源用于对采集报文的分析,而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作,如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复(实时监控功能)等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。
综上所述,防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点,淡化各自的缺陷,使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中,动态技术与静态技术的联动将有很大的发展市场和空间。
计算机网络安全与防范
4.5 漏洞扫描技术
漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者利用可得到的攻击方法,并把它们集成到整个扫描中,扫描后以统计的格式输出,便于参考和分析。
4.6 物理安全
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。为保证网络的正常运行,在物理安全方面应采取如下措施:
〔1〕产品保障方面:主要指产品采购、运输、安装等方面的安全措施。
〔2〕运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
〔3〕防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。〔4〕保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程,各种新技术将会不断出现和应用。
网络安全孕育着无限的机遇和挑战,作为一个热门的研究领域和其拥有的重要战略意义,相信未来网络安全技术将会取得更加长足的发展。
第5章 结束语与展望
5.1 论文总结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,计算机网络安全与防范
通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。对于这一问题我们应该十分重视。
影响计算机网络安全的主要因素:
〔1〕网络系统在稳定性和可扩充性方面存在问题。
由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。〔2〕网络硬件的配置不协调。
一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
〔3〕缺乏安全策略。
许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
〔4〕访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。〔5〕管理制度不健全,网络管理、维护任其自然。
5.2 工作展望
[7]对网络安全本质的认识却还处于一个相当原始的阶段,其表现形式是基于密码术的网络安全和基于防火墙的网络安全尚不能完美地结合成一种更加有效的安全机制。我们期望,如果能够提出一个合理的数学模型,将会对网络安全的研究和可实际应用网络安全系统的开发起非常大的促进作用。
从实用的角度出发,目前人们已提出了一些基于人工智能的网络安全检测专家系统。这方面,SRI(Stanford Research Institute)和Purdue大学已做了许多工作。同时,基于主动网络安全检测的安全系统的研究也已起步,在这方面,Internet Security Systems也已有一些产品问世。
计算机网络安全与防范
致 谢
感谢所有关心、支持、帮助过我的良师益友。感谢参考文献中的各位作者,真诚的感谢对我的帮助。通过这次学习,使我更深刻的认识网络安全的重要性,同时防范也是不容忽视的!
计算机网络安全与防范
参考文献
[1] 李军义.计算机网络技术与应用[M].北京:北方交通大学出版社,2006.7. [2] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.[3] 张嘉宁.网络防火墙技术浅析[J].通信工程.2004(3).[4] 郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006.9.[5] [美] Merike Kaeo 著.网络安全性设计[M].北京:人民邮电出版社,2005.9.[6] 胡道元.计算机局域网[M].北京:清华大学出版社.2001.[7] 朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.
第五篇:计算机毕业论文 网络安全与管理
论文关键字:网络安全 管理 网络发展 网络现状
一 绪论 安全管理的发展趋势和现状
1、网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型 问题点 问题描述
协议设计 安全问题被忽视 制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题 架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题 设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误 协议设计错误,导致系统服务容易失效或招受攻击。
软件设计 设计错误 协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误 程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作 操作失误 操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护 默认值不安全 软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统 软件和操作系统的各种补丁程序没有及时修复。
内部安全问题 对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:
一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;
二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;
三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;
四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个
更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二 网络安全面临的主要问题
1.网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全 措施加以防范,完全处于被动挨打的位置。
2.组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐 患,从而失去了防御攻击的先机。
3.组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机。
4.组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5.网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三 网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1.安全需求分析 “知已知彼,百战不殆”。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2.安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3.制定安全策略 根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4.定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5.外部支持 计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6.计算机网络安全管理 安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
四 总结
计算机网络的安全问题越来越受到人们的重视,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
点击咨询 