第一篇:网络信息安全与防火墙技术
网络信息安全与防火墙技术
钟琛
(2012级软件开发(3)20150609)
摘 要:随着计算机网络技术的迅速发展,特别是互联网应用得越来越广泛,网络安全成为了社会关注的焦点问题。由于网络开放的、无控制机构的特点,使其安全得不到保障。社会针对计算机网络安全,提出了许多保护措施,其中防火墙技术的应用相对较为明显,不仅显示了高水平的安全保护,于此同时营造了安全、可靠的运行环境。大部分的黑客入侵事件都是因为没有正确安装防火墙而引起的,所以我们应该高度重视和注意防火墙技术。因此,该文对计算机网络安全进行研究,并且分析防火墙技术的应用。关键字:计算机;网络技术;网络安全;防火墙技术
Abstract:With the rapid development of computer network technology, particularly the Internet, network security has become focused by more and more people.As the network open, uncontrolled body characteristics, its security cannot be guaranteed.Social people put forward a number of safeguards to protect computer network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating environment.Most of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall technology.Therefore this article aimed to show some study of computer network security research, and analysis the application of firewall technology.Key words: computer;network technology;network security;firework technology
随着计算机网络的飞速发展,人们的工作,学习和生活正在不断地被计算机信息技术改变,人们的工作效率有了很大的提高,但由于计算机网络的多样性、分布不均的终端、互联性和开放性的特点,这种形式在网络和网络中极容易受到黑客,病毒,恶意软件和其他意图不明的行为攻击,因此网络信息的安全性和保密性是一个关键的问题。因此,网络的安全措施应该是一个能够面对全方位不同的威胁,只有这样网络信息的保密性、完整性和可用性才能得到保障。分析计算机网络安全与防火墙技术
计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,网络安全反映计算机网络安全和防火墙技术之间的技术优势。计算机网络安全与防火墙技术的分析如下: 1.1计算机网络安全
安全是计算机网络运行的主要原则,随着现代社会的信息化发展,计算机网络已经得到了推进,但是其在操作过程中依然出现安全威胁,影响计算机网络的安全级别,计算机网络安全威胁包括:
1.1.1 数据威胁
在计算机网络中数据是主体,在运行的过程中数据存在许多漏洞,从而导致计算机网络的安全问题。例如:一个计算机网络节点的数据,比较容易篡改,破坏数据的完整性,攻击者利用数据内容的一部分,窥探内网数据、泄漏数据,利用计算机网络系统漏洞,植入木马、病毒,导致系统数据瘫痪,无法支持计算机网络安全的运行。1.1.2 外力破坏
外力破坏是计算机网络安全运行不可忽视的危险部分,最主要的是人为破坏,如:病毒、木马的攻击等。目前,这种类型对计算机网络的影响比较大,一些网站病毒、邮件病毒等方式的攻击者,对用户的计算机进行攻击、病毒植入时,大多是因为用户操作习惯的不正确,从而使计算机网络系统出现漏洞。例如:用户浏览外部网站很长一段时间,但不能对病毒进行定期处理,攻击者可以很容易地找出用户的浏览习惯,添加此类链接的特性攻击网站,当用户点击该网站时,病毒立即开始攻击客户的计算机。1.1.3 环境威胁
在共享环境中的计算机网络,资源受到威胁。环境是计算机网络操作的基础,用户在访问外部网络时必须经过网络环境,所以是有显著的环境威胁的,当用户访问网络时,该攻击在网络环境中非常强,攻击者通过网络环境设置主要攻击范围,特别是对网络环境内交互的数据包进行攻击,保护内部网络的结构受到损坏,对环境的威胁,必须发挥防火墙技术的全部功能。
2防火墙的基本原理 2.1防火墙的概念
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它按照规定的安全策略对网络之间进行传输的数据包进行检查,然后决定是否允许该通信,将内部网对外部网屏蔽信息、运行状况和结构,从而使内部网络达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。
防火墙本质上是一种隔离控制技术,其核心思想是在网络中不安全的环境,构建一个相对安全的内部网络环境。从逻辑上讲它既是一个解析器又是一个限制器,它要求所有传入和传出的网络数据流必须验证和授权并且将外部网络和内部网络在逻辑上分离出来。
防火墙可以全部是硬件,也可以全部是软件,它也可以是硬件和软件两者。防火墙与内部网络和外部网络(互联网)之间的关系如图1。
图1 2.2 防火墙的作用
2.2.1 “木桶”理论在网络安全的应用
网络安全概念有一个“木桶”理论:一只水桶能装水并不取决于桶有多高,而是取决于高度和最短的那块木板的桶组成。防火墙理论的应用是“木桶”。在一个环境中没有防火墙,网络安全只能体现在许多主机的功能,所有主机都必须共同努力,以实现更高程度的安全性。防火墙可以简化安全管理,网络安全是加强防火墙系统,而不是分布在内部网络中的所有主机上。
2.2.2 内部网络安全性的强化
防火墙可以限制未授权的用户,如防止黑客或者破坏网络的人进入内部网络,不让不安全的脆弱性的服务(如NFS)和没有进行授权的信息或通信进出网络,并抵抗从各个地方和路线来的攻击。
2.2.3 将网络存取和访问进行记录、监控
作为一个单一的网络接入点,所有传入和传出的信息必须通过防火墙,防火墙是非常适合收集系统和网络的使用和误用,并且将记录信息。在防火墙上可以很容易地监控网络安全,并且报警。
2.2.4 限制内部用户访问特殊站点
防火墙来确定合法用户的用户认证。通过事先确定的检查策略,以决定哪些内部用户可以使用该服务,可以访问某些网站。2.2.5 限制暴露用户点,阻止内部攻击
用防火墙将内部网络进行划分,它使网段隔离,以防止网络问题通过整个网络,这限制了本地焦点或敏感网络安全问题的全球网络上传播的影响,同时保护网络从该网络中的其他网络攻击
2.2.6 网络地址转换
防火墙部署为一个NAT逻辑地址,因此防火墙可以使地址空间短缺的问题得到缓解,并当一个组织变革带来的ISP重新编号时消除麻烦。作为一个单一的网络接入点,所有传入和传出的信息必须经过防火 2.2.7 虚拟私人网络
防火墙还支持互联网服务功能的企业网络技术体系VPN。VPN将企业在局域网还是在世界各地的专用子网的地理分布,有机地联系起来,形成一个整体。不仅省去了专用通信线路,而且还提供技术支持,信息共享。3防火墙的类型
在设计中的防火墙,除了安全策略,还要确定防火墙类型和拓扑结构。根据所用不同的防火墙技术,我们可以分为四个基本类型:包过滤型、网络地址转换--NAT,代理服务器型和监视器类型。3.1包过滤型
包过滤防火墙产品是基于其技术网络中的子传输技术在初始产品。网络上的数据传输是以“包”为单位的,数据被划分成大小相当的包,每个包将包含特定信息,如地址数据源,目的地址,TCP / UDP源端口和目的端口等。防火墙通过读取地址信息来确定“包”是否从受信任的安全站点,如果发现来自不安全站点的数据包,防火墙将这些数据阻挡在外部。3.2网络地址转化--NAT 网络地址转换是把IP地址转换成临时的、外部的,注册的D类地址的标准方法。它允许拥有私有IP地址的内网访问互联网。这也意味着,用户不能获得每个设备的IP地址注册为网络。当内网通过安全的网卡访问外网时,会有一个映射记录产生。系统将外出的源地址和源端口映射为一个伪装的地址和端口,所以地址和端口通过不安全网络卡和外部网络连接的伪装,所以它隐藏了真正的内部网络地址。3.2代理(Proxy)型
代理防火墙同样也可以被称为代理服务器,它比包过滤产品更加安全,并已开始开发应用程序层。在客户端和服务器之间的代理服务器位于,完全阻断两者的数据交换。从客户端的角度来看,代理服务器充当真实服务器,从服务器运行时,代理服务器是一个真正的客户端。当客户端需要使用服务器上的数据,第一数据请求发送到代理服务器,然后代理服务器获得数据到服务器响应请求,然后由代理服务器将数据发送给客户端。由于在外部系统与内部服务器之间没有直接的数据联通,这对企业网络系统来说,外部的恶意破坏不足以伤害到。3.4监测型
监控防火墙是新一代的产品,最初的防火墙定义实际上已经被这一技术超越了。防火墙可以监视每一层活性,实时监控数据,在监视器防火墙上的数据的分析的基础上,可以有效地确定各层的非法侵入。与此同时,这种检测防火墙产品一般还具有分布式探测器,这些探测器放置在节点、各种应用服务器和其它网络之间,不仅可以检测来自网络外部的攻击,同时对从内部恶意破坏也有很强的的预防效果。据权威部门计算,在攻击的网络系统中,从网络中有相当比例的是从内部网络开始的。因此,监测的防火墙不仅超越了防火墙的传统定义,而且在安全性也超越了前两代产品。虽然监测防火墙的安全方面已经超出包过滤和代理防火墙,但由于监测防火墙昂贵的实施技术,而且不易于管理,所以现在在实际使用中的防火墙产品仍然在第二代代理型产品,但在某些方面已经开始使用监控防火墙。基于全面考虑了系统成本和安全技术的成本,用户可以选择性地使用某些技术进行监控。这不仅保证了网络的安全性要求,而且还可以有效地控制总拥有成本的安全系统。4 结束语
防火墙是新型的重要的Internet安全措施,在当前社会得到了充分的认可和广泛的应用,并且由于防火墙不仅仅限于TCP / IP 协议的特点,也让它渐渐地在除了Internet之外其他的领域也有了更好的发展。但是防火墙只是保护网络安全和网络政策和策略中的一部分,所以这并不能解决网络安全中的所有问题。防火墙如果要保护网络安全,那么这和许多因素有关,要想得到一个既高效又通用、安全的防火墙,通常要将各种各样的防火墙技术和其它网络安全技术结合在一起,并且配合要有一个可行的组织和管理措施,形成深度有序的安全防御体系。
参考文献
[1]宿洁,袁军鹏.防火墙技术及其进展,计算机工程与应用(期刊论文),2004 [2]马利,梁红杰.计算机网络安全中的防火墙技术应用研究,电脑知识与技术,2014 [3]解静静.网络信息安全与防火墙技术,计算机光盘软件与应用,2014 [4]陈倩.浅析网络安全及防火墙技术在网络安全中的应用,网络安全技术与应用,2014 [5]赵子举.浅谈入侵检测与防火墙技术,电子世界,2014
第二篇:网络与信息安全技术小结
网络信息安全
网络与信息安全技术
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机 科学、网络技术、通信技术、密码技术、信息安全技术、应用 数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
随着计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多。存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。下面介绍了计算机安全技术的解决方案。
1、物理隔离网络
所谓“物理隔离”是指内部网不直接或间接地连接公共网。实现物理隔离的方法有:
(1)一人双机:在资金充足的情况下,给需要的人员配备2台电脑, 1台接入互联网, 1台只接入内部网。
(2)网络安全隔离卡:在电脑上加装1块网络安全隔离卡,并再配备1块硬盘,随时根据使用者的要求,在内外网之间进行切换。
(3)隔离计算机:例如:国内首创的神郁3000隔离计算机,使用者可以在网络之间实时在线、自由地切换,无需重新启动计算机。
2、防火墙
目前,常见的防火墙主要有三类:
(1)分组过滤型防火墙:数据分组过滤或包过滤,包过滤原理和技术可以认为是各种网络防火墙的基础构件。
(2)应用代理型防火墙:应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。
(3)复合型防火墙:复合型防火墙将数据包过滤和代理服务结合在一起使用。
目前出现的新技术类型主要有以下几种状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和其他一些新技术是未来防火墙的趋势。
3、抗攻击网关
抗攻击网关可以避免拒绝服务攻击(DoS)和连接耗尽攻击等网络攻击带来的问题,用户只需将抗攻击网关架设在路由器之前就可以使用,通过独立的监控系统就可以实时监控和报警,并可以给出安全事件报告。目前,抗攻击网关的类型主要有入侵检测、指纹识别、免疫型等。入侵检测和指纹识别需要大量消耗CPU和内存才能计算识别出攻击,然后,给出过滤规则,这种机制本身就容易遭受拒绝服务攻击,因此,免疫型抗攻击网关是今后发展的趋势。以中网宙斯盾抗攻击网关为例,它本身对攻击是免疫的,不需要大量计算,将数据包直接转发过去,但不能产生攻击。
4、防病毒网关
防病毒网关放置在内部网络和互联网连接处。当在内部网络内发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,同时具有
网络信息安全
反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。目前,代表性的产品有亿邮防病毒网关、中网电子邮件防病毒网关、北信源防毒网关等。
5、认证
目前,常用的身份识别技术主要是基于RAD IUS的鉴别、授权和管理(AAA)系统。RAD IUS(remote authentica2tion dial in user service)是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档,如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用RAD IUS技术的产品。
6、虚拟专用网
随着商务的发展,办公形式的改变, 分支机构之间的通信有很大需求,如果使用公用的互联网络来进行通信,而不是架设专用线路,这样,就可以显著降低使用成本。VPN(virtual p rivate network)即虚拟专用网是解决这一问题的方法。VPN建立一条通过公众网络的逻辑上的专用连接,使得用户在异地访问内部网络时,能够和在本地访问一样的资源,同时,不用担心泄密的问题。采用IPSec协议的产品是市场的主流和标准, 有相当多的厂商都推出了相应产品。
7、入侵检测和集中网管
入侵检测(intrusion detection)是对入侵行为的发觉,是一种增强系统安全的有效方法,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。目前,入侵检测系统的产品很多,仅国内的就有东软、海信、联想等十几种;集中网管主要体现在对网管的集中上,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中网管实现对不同厂商网管系统的集中管控。大唐、朗讯、华勤等厂商各自有不同的集中网管产品上市。
8、数据加密技术
(1)数据加密技术的含义
所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密,常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件 内容 是一些看不懂的代码),然后进入 TCP/IP 数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
(2)常用的数据加密技术
目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,分别称为“公钥”和“私钥”,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。
(3)数据加密技术的发展现状
在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是会受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国的数据加密标准
网络信息安全
DES。近几年来我国对加密算法的研究主要集中在密码强度 分析 和实用化研究上。
9、访问控制
(1)身份验证
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网信息安全的第一道屏障。
(2)存取控制
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全 理论 的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
通过学习关于网络安全的知识,我认识到了网络安全技术的重要性和一些基本防范黑客和病毒攻击的基本方法策略。作为一名大学生或者日常生活中经常使用电脑的人们,应该注意下面几点:
1、提高安全意识。不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从 Internet 下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排,单纯的 英文 或者数字很容易穷举;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
2、使用防毒、防黑等防火墙软件。防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进 / 出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
3、设置代理服务器,隐藏自己的 IP 地址。保护自己的 IP 地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的 IP 地址,攻击者也是没有办法的,而保护 IP 地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。
4、将防毒、防黑当成日常例性工作。定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。
5、提高警惕。由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。
6、备份资料。对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。随着全球信息化步伐的加快,网络信息安全越来越重要。
第三篇:网络与信息安全技术小结 (7000字)
网络与信息安全技术
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机 科学、网络技术、通信技术、密码技术、信息安全技术、应用 数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
随着计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多。存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。下面介绍了计算机安全技术的解决方案。
1、物理隔离网络
所谓“物理隔离”是指内部网不直接或间接地连接公共网。实现物理隔离的方法有:(1)一人双机:在资金充足的情况下,给需要的人员配备2台电脑, 1台接入互联网, 1台只接入内部网。
(2)网络安全隔离卡:在电脑上加装1块网络安全隔离卡,并再配备1块硬盘,随时根据使用者的要求,在内外网之间进行切换。
(3)隔离计算机:例如:国内首创的神郁3000隔离计算机,使用者可以在网络之间实时在线、自由地切换,无需重新启动计算机。
2、防火墙
目前,常见的防火墙主要有三类:(1)分组过滤型防火墙:数据分组过滤或包过滤,包过滤原理和技术可以认为是各种网络防火墙的基础构件。
(2)应用代理型防火墙:应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。
(3)复合型防火墙:复合型防火墙将数据包过滤和代理服务结合在一起使用。目前出现的新技术类型主要有以下几种状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和其他一些新技术是未来防火墙的趋势。
3、抗攻击网关
抗攻击网关可以避免拒绝服务攻击(dos)和连接耗尽攻击等网络攻击带来的问题,用户只需将抗攻击网关架设在路由器之前就可以使用,通过独立的监控系统就可以实时监控和报警,并可以给出安全事件报告。目前,抗攻击网关的类型主要有入侵检测、指纹识别、免疫型等。入侵检测和指纹识别需要大量消耗cpu和内存才能计算识别出攻击,然后,给出过滤规则,这种机制本身就容易遭受拒绝服务攻击,因此,免疫型抗攻击网关是今后发展的趋势。以中网宙斯盾抗攻击网关为例,它本身对攻击是免疫的,不需要大量计算,将数据包直接转发过去,但不能产生攻击。
4、防病毒网关
防病毒网关放置在内部网络和互联网连接处。当在内部网络内发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。目前,代表性的产品有亿邮防病毒网关、中网电子邮件防病毒网关、北信源防毒网关等。
5、认证
目前,常用的身份识别技术主要是基于rad ius的鉴别、授权和管理(aaa)系统。rad ius(remote authentica2tion dial in user service)是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档,如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用rad ius技术的产品。
6、虚拟专用网
随着商务的发展,办公形式的改变, 分支机构之间的通信有很大需求,如果使用公用的互联网络来进行通信,而不是架设专用线路,这样,就可以显著降低使用成本。vpn(virtual p rivate network)即虚拟专用网是解决这一问题的方法。vpn建立一条通过公众网络的逻辑上的专用连接,使得用户在异地访问内部网络时,能够和在本地访问一样的资源,同时,不用担心泄密的问题。采用ipsec协议的产品是市场的主流和标准, 有相当多的厂商都推出了相应产品。
7、入侵检测和集中网管
入侵检测(intrusion detection)是对入侵行为的发觉,是一种增强系统安全的有效方法,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。目前,入侵检测系统的产品很多,仅国内的就有东软、海信、联想等十几种;集中网管主要体现在对网管的集中上,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中网管实现对不同厂商网管系统的集中管控。大唐、朗讯、华勤等厂商各自有不同的集中网管产品上市。
8、数据加密技术
(1)数据加密技术的含义
所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密,常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件 内容 是一些看不懂的代码),然后进入 tcp/ip 数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
(2)常用的数据加密技术
目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,分别称为“公钥”和“私钥”,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。
(3)数据加密技术的发展现状
在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是会受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国的数据加密标准des。近几年来我国对加密算法的研究主要集中在密码强度 分析 和实用化研究上。
9、访问控制
(1)身份验证
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网信息安全的第一道屏障。
(2)存取控制
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全 理论 的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。通过学习关于网络安全的知识,我认识到了网络安全技术的重要性和一些基本防范黑客和病毒攻击的基本方法策略。作为一名大学生或者日常生活中经常使用电脑的人们,应该注意下面几点:
1、提高安全意识。不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从 internet 下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排,单纯的 英文 或者数字很容易穷举;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
2、使用防毒、防黑等防火墙软件。防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进 / 出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
3、设置代理服务器,隐藏自己的 ip 地址。保护自己的 ip 地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的 ip 地址,攻击者也是没有办法的,而保护 ip 地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。
4、将防毒、防黑当成日常例性工作。定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。
5、提高警惕。由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。
6、备份资料。对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。随着全球信息化步伐的加快,网络信息安全越来越重要。
第四篇:《网络与信息安全技术》学习心得
《网络与信息安全技术》课程报告
课题名称:《网络与信息安全技术》学习心得
课题负责人名(学号):20*** 同组成员名单(角色):曹航
指导教师:赵亮 评阅成绩: 评阅意见:
提交报告时间:2016年6月17日
《网络与信息安全技术》学习心得
课程名称: 学生姓名: 学生学号:
软件工程专业
学生曹航指导老师赵亮
[摘要]信息作为一种资源,对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,保证信息的安全。同时从密码编码,垃圾邮件入手,简要分析阐述信息安全技术的发展趋势。
关键词:信息安全密码编码保护 / 7 课程名称: 学生姓名: 学生学号:
目录
《网络与信息安全技术》课程报告..............................................................................................0 前言..................................................................................................................................................3
一、课程内容概述........................................................................................................................3
二、信息技术.................................................................................................................................3 2.1 信息技术发展史...............................................................................................................3 2.2 古老的技术,新兴的科学..............................................................................................4 2.3 信息安全技术发展趋势..................................................................................................4
三、密码编码学............................................................................................................................4 3.1 密码编码学概述...............................................................................................................4 3.2 密码编码学开发意义.......................................................................................................5 3.3 密码体制概述....................................................................................................................5
四、总结.........................................................................................................................................6/ 7 课程名称: 学生姓名: 学生学号:
前言
《网络与信息安全技术》这门课程我们实际用的课本是《密码编码学与网络安全》,听起来逼格很高的。作为一门选修课,这门课也确实学到了点东西,了解了一些加密算法,也知道信息安全的重要性。至于更高深的东西,我要说懂了,要么就是无知,要么就是小看了知识,毕竟很多人终其一生也是在研究密码编码学与网络安全这门学问。但对于有志在此领域钻研的同学,这门课程是一个非常关键的入门,同时也增加了我们的计算机知识的广度。
一、课程内容概述
该课程反映了该领域的最新发展趋势与进展,详尽讲述了密码编码学与网络安全的原理、技术与实践。首先,该课程系统地解释了加密的概念与标准、密码、对称与公钥加密、数字签名等内容;接着探讨了网络安全的实践,为鉴别、电子邮件安全、IP安全以及Web安全引入了最新的应用;最后,该课程回顾了系统安全的挑战,涉及到了主要的攻击与当今的最佳防范措施。像往常一样,该课程提供了非常卓越的支持,包括大量的补充材料以及联机资源。
该课程系统地介绍了密码编码学与网络安全的基本原理和应用技术。该课程主要包括下列四个部分:对称密码部分讨论了对称密码的算法和设计原理;公钥加密和散列函数部分讨论了公钥密码的算法和设计原理、报文认证码和散列函数的应用等;网络安全应用部分讨论了系统层的安全问题,包括电子邮件安全、IP安全以及Web安全等;系统安全部分讨论了入侵者和病毒造成的威胁及相应的对策、防火墙和可信系统的应用等。总之,该课程可深可浅,很不错的入门,通过学习该课程,让我们更加了解信息安全,以及人们为了信息安全采用了哪些手段。
二、信息技术
2.1 信息技术发展史
第一次信息技术革命是语言的使用,发生在距今约35 000年~50 000年前。
二、大约在公元前3500年出现了文字。
三、印刷的发明,大约在公元1040年,我国开始使用活字印刷技术(欧洲人1451年开始使用印刷技术)。
四、电报、电话、广播和电视的发明和普及应用。
五、始于20世纪60年代,其标志是电子计算机的普及应用及计算机与现代通信技术的有机结合。著名的摩尔定律指出,每隔18个月,人类的信息量就会增加一倍。人类正处于一个信息的海洋。
随着计算机网络技术的飞速发展,尤其是互联网的应用越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,导致了一系列的网络安全问题。现今,网络信息的安全性日益重要,是社会各个领域重视的重大问题之一。/ 7 课程名称: 学生姓名: 学生学号:
2.2 古老的技术,新兴的科学
纵观信息安全的发展历程,可将其划分为以下几个阶段:
信息通信安全主导期(远古之20实际60年代)。1949年, Shannon发表著名论文《保密系统的信息论》是现代通信安全的代表之作。密码学在这一时期发展为一门独立的学科门类。
信息与信息系统安全发展时期(60年代中期之80年代中期)。 网络安全与信息保障发展期(80年代中期之90年代末)。 可信计算时期(当今)。
所以说信息安全技术是一门古老的技术,新兴的科学。发展前景广泛,与日常生活联系越来越密切。
2.3 信息安全技术发展趋势
信息化时代应经到来,信息安全技术在飞速发展,其表现出以下主要趋势: 抽象化:公理化研究方法逐步成为基本研究工具。
可信化:从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。
网络化:网络应用和普及仍然会进一步引发安全技术的创新发展。标准化:专利标准化,标准专利化。
集成化:从单一功能的信息安全技术与产品向多种功能或融合的方向发展。
集成化的特点表现很突出。现在的很多电子技术产品,往往功能多,一部手机就可以实现网上账户的交易
三、密码编码学
3.1 密码编码学概述
密码编码学(cryptography)是密码体制的设计学,而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。
密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。电报最早是由美国的摩尔斯在1844年发明的,故也被叫做摩尔斯电码。它由两种基本信号和不同的/ 7 课程名称: 学生姓名: 学生学号:
间隔时间组成:短促的点信号“ .”,读“ 的 ”(Di);保持一定时间的长信号“—”,读“答 ”(Da)。间隔时间:滴,1t;答,3t;滴答间,1t;字母间,3t;字间,5t。
密码学(在西欧语文中,源于希腊语kryptós“隐藏的”,和gráphein“书写”)是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。著名的密码学者Ron Rivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。
密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换,随着通信技术的发展,对语音、图像、数据等都可实施加、脱密变换。
3.2 密码编码学开发意义
密码技术是一门古老而十分有用的技术,随着计算机通信技术的迅猛发展,大量的敏感信息通过公共设施或计算机网络进行交换。特别是Internet的广泛应用、电子商务和电子政务的迅速发展,越来越多的信息需要严格的保密,如:银行账号、个人隐私等。正是这种对信息的机密性和真实性的需求,密码学才逐成为比较热门的学科。
在当今密码学不仅用于国家军事安全上,人们已经将重点更多的集中在实际应用,在你的生活就有很多密码,例如为了防止别人查阅你文件,你可以将你的文件加密;为了防止窃取你钱物,你在银行账户上设置密码,等等。随着科技的发展和信息保密的需求,密码学的应用将融入了你的日常生活。
3.3 密码体制概述
3.3.1 密码算法和密钥
密码算法也叫密码函数,是用于加密和解密的数学函数。通常情况下,有两个相关的函数,一个用作加密,另一个用作解密。
如果算法本身是保密的,这种算法称为受限制算法。受限制的密码算法不可能进行质量控制或标准化,每个用户组织必须有他们自己的唯一的算法,这样的阻止不可能采用流行的硬件或软件产品。但是,窃听者却可以买到这些流行产品并学习其中的算法,进而破解密码。尽管有一定的缺陷,但是受限制的算法对低密级的应用来说还是很流行的。/ 7 课程名称: 学生姓名: 学生学号:
3.3.2 密码学体制分类
现今的密码体制的技术分为私用密钥加密技术(对称加密)和公开密钥加密技术(非对称加密)。加密算法的组织结构图如图
四、总结
密码学充满了神秘性,让我对她产生了浓厚的兴趣和好奇。最近的这次人类战争中,即二战,认识到密码和情报是一件事情。而在当代密码学跟数学,计算机只是一个大背景,因为信息将会以网络为媒介,所以现代密码学更多的是以数字化的信息而非纸质为研究对象。所以密码学归根结底是数学问题,计算能力是数学的一个方面,高性能的计算机可以成为国力的象征,分析情报就是一方面。数学研究等一些自然基础学科的研究才是国家实力的坚定的基石,才是一个自然科学的学生的理想所在。数学研究很广泛,而密码学涉及很有限,大多与计算机学科相关,如离散数学。从数学的分类包括:数论、近世代数、矩阵论、域论,以及其它结合较为紧密地理论:信息论、编码论、量子学、混沌论。
从以上密码学的发展历史可以看出,整个密码学的发展过程是从简单到复杂,从不完美到完美,从具有单一功能到具有多种功能的过程。这是符合历史发展规律和人类对客观事物的认识规律的。而且也可以看出密码学的发展受到其它学科如数学、计算机科学的极大促动。这说明,在科学的发展进程中,各个学科互相推动,互相联系,乃至互相渗透,其结果是不断涌现出新的交叉学科,从而达到人类对事物更深的认识。从密码学的发展中还可以看出,任何一门学科如果具有广泛的应用基础,那么这个学科就能从中汲取发展动力,就会有进一步发展的基础。
基于密码学有着坚实的应用基础,可以相信,密码学一定能不断地发展,不断地完善,从而会给全人类提供更加安全的各种服务,让我们祝福这一天的到来吧!/ 7
第五篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。