第一篇:信息安全与技术复习
1.简单替换密码加解密 参 考 :
实 验1 凯撒密码
2.DES 算法的原理 参考:课件 第 3 章 对称密钥加密-DES 分组密码加密 64 位为一组=56+8 奇偶校验位 初始置换 明文置换和秘钥置换 左移 56-》48 位子秘钥 扩展运算 32-》 48 位有 16 位重复出现 S-box 代替 48-》32 位 混乱代码
3.RSA 算法的全过程 参考:课件 RSA 算法
4.基于公开密钥的数字签名方案
参考:课件 数字签名和 hash 5.单向散列函数的特点 参考:课件 数字签名和 hash 6.在软件系统中,要安全地保护用户的密码,应该采取哪些措施。
参考:教材 7.3
口令和秘钥 7.基于对称密钥的安全的双向认证协议 参考:教材 9.3 图 9-12
8.支持相互认证、会话密钥以及 PFS 的协议 参考:教材 9.3 图 9-22
9.编程题:软件注册提示程序(VC/java)参考:
实验 8 内容 4 10.从软件保护的角度考虑,设计程序时应该注意的问题。
防 反汇编 反编译 反调试 防篡改 申请版权
第二篇:信息安全技术
1、信息安全的概念,信息安全理念的三个阶段(信息保护-5特性,信息保障-PDRR,综合应用-PDRR+管理)
信息安全是指信息网络的硬件、软件及其系统中的数据得到保护,不受偶然的或者恶意的原因遭到破坏、更改、泄露,系统连续、可靠地正常运行,信息服务不中断。
三阶段:
1)信息保护阶段(5特性)机密性、完整性、可用性、可控性、不可抵赖性
2)信息保障阶段
PDRR模型:保护、检测、相应、恢复的有机结合。
3)综合保护阶段=PDRR+安全管理
2、ISC2的五重保护体系,信息安全体系-三个方面,信息安全技术体系
62.653、信息系统安全,等级保护,认证
68.734、物理安全的概念,涉及的三个方面的内容
785、灾难备份的概念,安全备份三要素,备份的方式、存储技术
90.91.926、操作系统安全的概念,5大技术要求
106-1137、访问控制:概念,类型,控制过程
107.108.控制过程1148、安全审计的概念、作用
1139、风险评估的概念
15010、加密技术的一般概念,密码体制及类型,公钥体制的特点
172.174.11、信息加密传输、发送者身份认证的实现方式。数字签名、身份认证、消息认证、信息隐藏的概念。
177.188.187.189.12、PKI的概念和组成。
192.13、防火墙的概念、作用、特点、技术分类
211.212.213.22014、入侵检测的概念、系统组成,四类主要技术
231.234.24115、VPN的概念、常用隧道协议,IPSec两种封装模式的特点、三个主要协议的作用,VPN的应用模式
262.270.28116、信息安全职业道德主要关注的问题
17、什么是计算机犯罪?有哪三种主要形式?
18、信息系统安全保护法律规范由哪三类内容构成?
19、信息系统安全等级保护分级的衡量标准是什么?相关的主要标准与政策有哪些?分别有什么作用?
第三篇:信息安全理论与技术总结
第一章 信息安全基础知识
信息安全特征:保密性、完整性、可用性、可控性、可审查性 信息安全含义:系统安全、系统中信息安全、管理安全
网络安全含义:运行系统安全、网络上系统信息的安全、网络上信息传播的安全、网络上信息内容的安全 信息安全服务与目标主要是指保护信息系统 ISO安全体系结构:安全服务、安全机制、安全管理
安全服务:认证服务、访问控制服务、数据保密性服务、数据完整性服务、不可否认服务
安全机制:加密机智、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制、公证机制
安全管理:系统安全管理、安全服务管理、安全机制管理
网络安全防范体系:关于网络安全防范系统的最高层概念抽象,他由各种网络安全防范单元组成,各组成单元按照一定的规则关系,能够有机集成起来,共同实现网络安全目标 网络安全体系:组织体系、技术体系、管理体系 PDRR:防护、检测、恢复、响应
PPDR:安全策略、防护、检测、恢复、响应
PPDR:安全=风险分析+执行策略+系统实施+漏洞检测+实时响应 PPDR方向:提高系统的防护时间,降低检测时间和响应时间
五层网络安全模型:网络、操作系统、用户、应用程序、数据是否安全 TCSEC:D无保护级、C自主保护级、B强制保护级、A验证保护级 网络与信息安全=信息安全技术+信息安全管理体系
ISMS建设:定义信息安全策略、定义NISMS范围、进行信息安全风险评估、信息安全风险管理、确定管制目标和选择管制措施、准备信息安全适用性说明
第三章密钥管理技术
密钥类型:数据加密密钥(会话密钥)、密钥加密密钥、主密钥
会话密钥:用户一次通话或交换数据是使用的密钥,大多是临时的,动态的 密钥加密密钥:用于对会话密钥或下层密钥进行保护
主密钥:主要用于对密钥加密密钥、会话密钥或其他下层密钥的保护,主密钥是用户选定或系统分配给用户的,分发基于物理渠道或其他可靠的方法
集中式密钥分配方案:由一个可信赖的联机服务器作为密钥分配中心或密钥传递中心 具体过程:假定A是发起方,B为响应方,并且A、B与KDC有共享的密钥Ka、Kb ①.A->KDC:IDA//IDB//N1:A向KDC发送A和B的身份IDA、IDB和本次业务唯一标识符N1,每次请求所使用的N1都不同。②.KDC->A:EKa[Ks//IDA//IDB//N1//EKb[Ks//IDA]]:KDC对A应答,信息由Ka加密,Ks是A和B的会话密钥 ③.A->B:EKb[Ks//IDA]:A收到信息后将Ks存起来并将加密过的共享密钥发送给B ④.B->A:EKs[N2]:B用共享密钥加密另一个随机数N2发送给A ⑤.A->B:EKS[f(N2)]:A响应B发送的信息,并用某种函数进行计算并加密后发送给B
分布式密钥分配方案:网络通信中各个通信方具有相同的地位,他们之间的密钥分配取决于它们之间的协商
①.A->B:IDA//N1:A向B发出请求,包括A的标识符IDA和标识符N1 ②.B->A:EMKm[Ks//IDA//IDB//f(N1)//N2]:B使用A共享的主密钥MKm加密共享密钥Ks、A和B的标识符、f(N1)和随机数N2 ③.A->B:EKs[F(n2)]:A使用B产生的会话密钥Ks对f(N2)进行加密,并发送给B
非对称密码技术的密钥分配方案:
①.简单分配:
a)A->B:PKA//IDA:A将A的公钥和身份识别号发送给B b)B->A:EPKA[KS]:B用A的公钥加密后的KS发送给A ②.具有保密和认证功能的密钥分配:
a)A->B:EPKB[N1//IDA] b)B->A:EPKA[N1//N2] c)A->B:EPKB[N2] d)B->A:EPKB[ESKA[KS]]
第四章 数字签名和认证技术
数字签名的要求:签名是可信的,签名是不可伪造的,签名是不可复制的,签名的消息是不可改变的,签名是不可抵赖的
数字签名的步骤:
①.使用单向散列算法算出原始数据的hash ②.发送方用自己的私钥加密hash ③.发送方把原始数据和加密的hash发送给对方
④.接收方用发送方的公钥解密,并用相同的hash函数对数据进行计算hash ⑤.如果计算所出来的hash值与发方发送的相同则可以确定确实是发方的
数字证书的用处:确保信息是由签名者自己发送的,保证信息自签发后未做过任何修改 认证信息类型:所知道的秘密、所拥有的实物、生物特征信息、上下文信息
认证的用途:验证网络资源访问者的身份、发送者和接收者的真实性、网络信息的完整性
认证技术:静态密码、IC卡、短信密码、动态口令牌、USB Key、数字签名、生物识别、双因素身份认证、身份零知识证明
第五章 访问控制技术
访问控制:针对越权使用的防御措施,保证网络资源不被非法使用和非法访问 基本目标:防止对任何资源进行未授权的访问 作用:机密性、完整性
访问控制策略:自主访问控制、强制访问控制、基于角色的访问控制 自主访问控制:
特点:灵活性高 缺点:安全性低
分类:基于个人的策略、基于组的策略
访问控制的常用实现方法:访问控制表、访问能力表、安全标签、基于口令的机制
防火墙:防火墙是设置在被保护网络和外部网络之间的一道屏障,这道屏障的作用是阻断来自外部对本网络的威胁和入侵
基本功能:网络安全的屏障、控制对主机系统的访问、强化网络安全策略、对网络存取和访问进行监控审计 附加功能:NAT、VPN 缺点:不能防范内部网络的攻击、不经由防火墙的攻击、病毒或文件的传输、利用标准网络协议中缺陷进行的攻击、利用服务器漏洞进行的攻击、新的网络安全问题、限制了有用的网络服务
基本结构:屏蔽路由器、双宿主机防火墙(堡垒主机)、屏蔽主机防火墙(屏蔽路由器和堡垒主机)、屏蔽子网防火墙(内外网之间建立被隔离的子网)类型:
①.数据包过滤路由器:对数据包实施有选择的通过规则、选择依据,只有满足规则的数据包才会被转发到相应的网络接口,其余数据包则从数据流中删除。②.应用层网关:又称代理服务器,包过滤在网络层拦截所有的信息流,代理技术针对的是某一程序,在应用层上实现防火墙的功能。③.电路级网关技术 ④.状态检测技术
网络服务访问权限策略:定义在网络中允许的或禁止的网络服务,而且还包括对拨号访问和SLIIP/PPP连接的限制 防火墙设计策略:黑名单、白名单
防火墙攻击策略:扫描防火墙策略、通过防火墙认证机制策略(IP欺骗、TCP序号攻击)、利用防火墙漏洞策略 第四代防火墙的主要技术与功能:多端口结构、透明的访问方式、灵活的代理系统、多级的过滤技术、网络地址转换技术、internet网关技术、安全服务器网络、用户鉴别与加密、用户定制服务、审计和告警功能 入侵检测系统模型:事件产生器、事件分析器、响应单元、事件数据库
入侵检测技术分类:基于误用的入侵检测系统(基于特征)、基于异常的入侵检测系统
入侵检测系统的组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关辅助模块 入侵检测系统的分类:基于主机、基于网络、分布式、基于网络的分布式
第六章恶意代码及防范技术
恶意代码:故意执行危害信息安全的恶意任务的代码
主要危害:破坏数据、占用磁盘存储空间、抢占系统资源、影响计算机运行速度
命名机制:<病毒前缀>.<病毒名>.<病毒后缀>,常见病毒前缀木马为Trojan,蠕虫为Worm 恶意代码的生存周期:设计-传播-感染-触发-运行-消亡
传播机制:互联网、局域网、移动存储设备、无线设备和点对点系统 感染机制:感染执行文件、感染引导区、感染结构化文档
触发机制:日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、调用中断功能触发、型号触发
分析方法:基于代码特征、基于代码语义、基于代码行为、检测方法:基于特征码、启发式检测法、基于行为的检测法、完整性检测法、基于特征函数的检测方法
第七章网络攻击与防御技术
扫描技术:IP扫描(ping、icmp)、端口扫描(SYN、UDP数据包)、漏洞扫描
嗅探方法:MAC洪范:向交换机发送大量虚假MAC和IP的包,使交换机进入类似hub的工作方式
MAC欺骗:伪造MAC
ARP欺骗
其他信息收集技术:利用公开服务、网络拓扑检测(tracert)、系统类型检测 网络欺骗:
①.IP欺骗:
a)找一台被目标主机信任的主机 b)使被信任的主机丧失工作能力
c)伪装成被信任的主机,向目标主机发送syn d)猜测或嗅探SYN+ACK的值
e)向目标主机发送ACK来建立连接
②.电子邮件欺骗:伪造电子邮件头(利用SMTP)③.Web欺骗(钓鱼网站)④.ARP欺骗
a)对路由器ARP缓存表的欺骗
i.截获网关数据 ii.按照一定的频率发给路由器错误的内网MAC地址 iii.真实的地址信息无法通过更新保存在路由器的ARP缓存中,正常PC无法收到消息 b)伪造网关:建立假网关,被欺骗的pc都向假网关发送数据
口令攻击:
①.主动口令攻击
a)字典攻击 b)强力攻击 c)组合攻击 ②.被动口令攻击
a)网络数据流窃听 b)重放 c)钓鱼
缓冲区溢出:用户输入的数据长度超过哦程序为其分配的内存空间,这些数据就会覆盖程序为其他数据分配的内存空间。
C语言中可能产生溢出的函数:strlen、strcpy、malloc、strcat等 缓冲区溢出类型:栈溢出、堆溢出、整型溢出:
①.存储溢出 ②.计算溢出 ③.符号问题
拒绝服务(DoS):导致计算机系统崩溃、贷款耗尽或硬盘被填满,导致不能提供正常的服务 拒绝服务攻击:带宽攻击(以极大的通信量冲击网络)、连通性攻击(大量连接请求冲击计算机)攻击方式:利用系统漏洞、利用协议漏洞
①.SYN Flood(发送大量TCP连接请求)
②.UDP Flood(发送大量伪造源地址的UDP包)③.Land(发送大量源地址与目的地址相同的包)④.死ping(发送超过65535字节的ICMP包)
第八章系统安全技术
五大类安全服务:认证(鉴别)、访问控制、数据保密性、数据完整性、抗否认性
八大类安全机制:加密、数字签名、访问控制、数据完整性、认证、业务流填充、路由控制、公证 IPSec协议:鉴别首部协议(AH)(源鉴别和数据完整性)、封装安全性载荷协议(ESP)(鉴别、数据完整性、机密性)
IPSec功能:认证功能(AH)(无连接完整性和真实性)、认证和机密组合功能(ESP)(数据机密性、有限抗流量分析、无连接完整性、数据源认证、抗重传)、密钥交换功能(真实性、可靠性)IPSec目标:保护IP数据包安全、为抵御网络攻击提供防护措施
SSL(安全套接层):握手协议(协商加密参数)、记录协议(交换数据)、警告协议(告知何时终止)连接步骤:
①.客户机连接到服务器,并要求服务器验证它自身的身份 ②.服务器通过发送的数字证书来证明身份
③.服务器发出请求对客户端的证书进行验证(因缺乏公钥体系结构当今大多数服务器不进行客户端验证)④.协商用于加密消息的加密算法和用于完整性检查的哈希函数 ⑤.客户机和服务器生成会话密钥
a)客户机生成一个随机数,并使用服务器的公钥对它进行加密发送给服务器 b)服务器用更加随机的数据相应 c)使用哈希函数用随机数据生成密钥
SSL基本属性:连接是私有的、可以使用非对称加密、连接是可靠的 TLS(传输层安全):提供保密性和数据完整性
组成:TLS记录协议和TLS握手协议
TLS握手协议:改变密码规格协议、警惕协议、握手协议
第十章 PKI技术
PKI:用公开密钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施
研究对象:数字证书、CA、证书用户、证书注册机构、证书储存、证书服务器、证书状态查询服务器、证书验证服务器
服务:认证、完整性、机密性、不可否认性
PKI结构:PKI策略、软硬件系统、CA、注册机构(RA)、证书发布系统、PKI应用
PKI策略:建立和定义了一个组织在信息安全方面的指导方针,同时定义了密码系统使用的处理方法和原则
CA:管理公钥整个生命周期;作用有发放证书、规定证书有效期、通过废除列表(CRL)来废除证书
RA:获取并认证用户的身份,向CA提出证书请求
证书发放系统:负责证书的发放
PKI应用:VPN、安全电子邮件、Web安全、电子商务等
第四篇:网络与信息安全技术小结
网络信息安全
网络与信息安全技术
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机 科学、网络技术、通信技术、密码技术、信息安全技术、应用 数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
随着计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多。存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。下面介绍了计算机安全技术的解决方案。
1、物理隔离网络
所谓“物理隔离”是指内部网不直接或间接地连接公共网。实现物理隔离的方法有:
(1)一人双机:在资金充足的情况下,给需要的人员配备2台电脑, 1台接入互联网, 1台只接入内部网。
(2)网络安全隔离卡:在电脑上加装1块网络安全隔离卡,并再配备1块硬盘,随时根据使用者的要求,在内外网之间进行切换。
(3)隔离计算机:例如:国内首创的神郁3000隔离计算机,使用者可以在网络之间实时在线、自由地切换,无需重新启动计算机。
2、防火墙
目前,常见的防火墙主要有三类:
(1)分组过滤型防火墙:数据分组过滤或包过滤,包过滤原理和技术可以认为是各种网络防火墙的基础构件。
(2)应用代理型防火墙:应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。
(3)复合型防火墙:复合型防火墙将数据包过滤和代理服务结合在一起使用。
目前出现的新技术类型主要有以下几种状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和其他一些新技术是未来防火墙的趋势。
3、抗攻击网关
抗攻击网关可以避免拒绝服务攻击(DoS)和连接耗尽攻击等网络攻击带来的问题,用户只需将抗攻击网关架设在路由器之前就可以使用,通过独立的监控系统就可以实时监控和报警,并可以给出安全事件报告。目前,抗攻击网关的类型主要有入侵检测、指纹识别、免疫型等。入侵检测和指纹识别需要大量消耗CPU和内存才能计算识别出攻击,然后,给出过滤规则,这种机制本身就容易遭受拒绝服务攻击,因此,免疫型抗攻击网关是今后发展的趋势。以中网宙斯盾抗攻击网关为例,它本身对攻击是免疫的,不需要大量计算,将数据包直接转发过去,但不能产生攻击。
4、防病毒网关
防病毒网关放置在内部网络和互联网连接处。当在内部网络内发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,同时具有
网络信息安全
反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。目前,代表性的产品有亿邮防病毒网关、中网电子邮件防病毒网关、北信源防毒网关等。
5、认证
目前,常用的身份识别技术主要是基于RAD IUS的鉴别、授权和管理(AAA)系统。RAD IUS(remote authentica2tion dial in user service)是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档,如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用RAD IUS技术的产品。
6、虚拟专用网
随着商务的发展,办公形式的改变, 分支机构之间的通信有很大需求,如果使用公用的互联网络来进行通信,而不是架设专用线路,这样,就可以显著降低使用成本。VPN(virtual p rivate network)即虚拟专用网是解决这一问题的方法。VPN建立一条通过公众网络的逻辑上的专用连接,使得用户在异地访问内部网络时,能够和在本地访问一样的资源,同时,不用担心泄密的问题。采用IPSec协议的产品是市场的主流和标准, 有相当多的厂商都推出了相应产品。
7、入侵检测和集中网管
入侵检测(intrusion detection)是对入侵行为的发觉,是一种增强系统安全的有效方法,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。目前,入侵检测系统的产品很多,仅国内的就有东软、海信、联想等十几种;集中网管主要体现在对网管的集中上,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中网管实现对不同厂商网管系统的集中管控。大唐、朗讯、华勤等厂商各自有不同的集中网管产品上市。
8、数据加密技术
(1)数据加密技术的含义
所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密,常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件 内容 是一些看不懂的代码),然后进入 TCP/IP 数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
(2)常用的数据加密技术
目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,分别称为“公钥”和“私钥”,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。
(3)数据加密技术的发展现状
在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是会受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国的数据加密标准
网络信息安全
DES。近几年来我国对加密算法的研究主要集中在密码强度 分析 和实用化研究上。
9、访问控制
(1)身份验证
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网信息安全的第一道屏障。
(2)存取控制
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全 理论 的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
通过学习关于网络安全的知识,我认识到了网络安全技术的重要性和一些基本防范黑客和病毒攻击的基本方法策略。作为一名大学生或者日常生活中经常使用电脑的人们,应该注意下面几点:
1、提高安全意识。不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从 Internet 下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排,单纯的 英文 或者数字很容易穷举;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
2、使用防毒、防黑等防火墙软件。防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进 / 出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
3、设置代理服务器,隐藏自己的 IP 地址。保护自己的 IP 地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的 IP 地址,攻击者也是没有办法的,而保护 IP 地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。
4、将防毒、防黑当成日常例性工作。定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。
5、提高警惕。由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。
6、备份资料。对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。随着全球信息化步伐的加快,网络信息安全越来越重要。
第五篇:网络信息安全与防火墙技术
网络信息安全与防火墙技术
钟琛
(2012级软件开发(3)20150609)
摘 要:随着计算机网络技术的迅速发展,特别是互联网应用得越来越广泛,网络安全成为了社会关注的焦点问题。由于网络开放的、无控制机构的特点,使其安全得不到保障。社会针对计算机网络安全,提出了许多保护措施,其中防火墙技术的应用相对较为明显,不仅显示了高水平的安全保护,于此同时营造了安全、可靠的运行环境。大部分的黑客入侵事件都是因为没有正确安装防火墙而引起的,所以我们应该高度重视和注意防火墙技术。因此,该文对计算机网络安全进行研究,并且分析防火墙技术的应用。关键字:计算机;网络技术;网络安全;防火墙技术
Abstract:With the rapid development of computer network technology, particularly the Internet, network security has become focused by more and more people.As the network open, uncontrolled body characteristics, its security cannot be guaranteed.Social people put forward a number of safeguards to protect computer network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating environment.Most of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall technology.Therefore this article aimed to show some study of computer network security research, and analysis the application of firewall technology.Key words: computer;network technology;network security;firework technology
随着计算机网络的飞速发展,人们的工作,学习和生活正在不断地被计算机信息技术改变,人们的工作效率有了很大的提高,但由于计算机网络的多样性、分布不均的终端、互联性和开放性的特点,这种形式在网络和网络中极容易受到黑客,病毒,恶意软件和其他意图不明的行为攻击,因此网络信息的安全性和保密性是一个关键的问题。因此,网络的安全措施应该是一个能够面对全方位不同的威胁,只有这样网络信息的保密性、完整性和可用性才能得到保障。分析计算机网络安全与防火墙技术
计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,网络安全反映计算机网络安全和防火墙技术之间的技术优势。计算机网络安全与防火墙技术的分析如下: 1.1计算机网络安全
安全是计算机网络运行的主要原则,随着现代社会的信息化发展,计算机网络已经得到了推进,但是其在操作过程中依然出现安全威胁,影响计算机网络的安全级别,计算机网络安全威胁包括:
1.1.1 数据威胁
在计算机网络中数据是主体,在运行的过程中数据存在许多漏洞,从而导致计算机网络的安全问题。例如:一个计算机网络节点的数据,比较容易篡改,破坏数据的完整性,攻击者利用数据内容的一部分,窥探内网数据、泄漏数据,利用计算机网络系统漏洞,植入木马、病毒,导致系统数据瘫痪,无法支持计算机网络安全的运行。1.1.2 外力破坏
外力破坏是计算机网络安全运行不可忽视的危险部分,最主要的是人为破坏,如:病毒、木马的攻击等。目前,这种类型对计算机网络的影响比较大,一些网站病毒、邮件病毒等方式的攻击者,对用户的计算机进行攻击、病毒植入时,大多是因为用户操作习惯的不正确,从而使计算机网络系统出现漏洞。例如:用户浏览外部网站很长一段时间,但不能对病毒进行定期处理,攻击者可以很容易地找出用户的浏览习惯,添加此类链接的特性攻击网站,当用户点击该网站时,病毒立即开始攻击客户的计算机。1.1.3 环境威胁
在共享环境中的计算机网络,资源受到威胁。环境是计算机网络操作的基础,用户在访问外部网络时必须经过网络环境,所以是有显著的环境威胁的,当用户访问网络时,该攻击在网络环境中非常强,攻击者通过网络环境设置主要攻击范围,特别是对网络环境内交互的数据包进行攻击,保护内部网络的结构受到损坏,对环境的威胁,必须发挥防火墙技术的全部功能。
2防火墙的基本原理 2.1防火墙的概念
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它按照规定的安全策略对网络之间进行传输的数据包进行检查,然后决定是否允许该通信,将内部网对外部网屏蔽信息、运行状况和结构,从而使内部网络达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。
防火墙本质上是一种隔离控制技术,其核心思想是在网络中不安全的环境,构建一个相对安全的内部网络环境。从逻辑上讲它既是一个解析器又是一个限制器,它要求所有传入和传出的网络数据流必须验证和授权并且将外部网络和内部网络在逻辑上分离出来。
防火墙可以全部是硬件,也可以全部是软件,它也可以是硬件和软件两者。防火墙与内部网络和外部网络(互联网)之间的关系如图1。
图1 2.2 防火墙的作用
2.2.1 “木桶”理论在网络安全的应用
网络安全概念有一个“木桶”理论:一只水桶能装水并不取决于桶有多高,而是取决于高度和最短的那块木板的桶组成。防火墙理论的应用是“木桶”。在一个环境中没有防火墙,网络安全只能体现在许多主机的功能,所有主机都必须共同努力,以实现更高程度的安全性。防火墙可以简化安全管理,网络安全是加强防火墙系统,而不是分布在内部网络中的所有主机上。
2.2.2 内部网络安全性的强化
防火墙可以限制未授权的用户,如防止黑客或者破坏网络的人进入内部网络,不让不安全的脆弱性的服务(如NFS)和没有进行授权的信息或通信进出网络,并抵抗从各个地方和路线来的攻击。
2.2.3 将网络存取和访问进行记录、监控
作为一个单一的网络接入点,所有传入和传出的信息必须通过防火墙,防火墙是非常适合收集系统和网络的使用和误用,并且将记录信息。在防火墙上可以很容易地监控网络安全,并且报警。
2.2.4 限制内部用户访问特殊站点
防火墙来确定合法用户的用户认证。通过事先确定的检查策略,以决定哪些内部用户可以使用该服务,可以访问某些网站。2.2.5 限制暴露用户点,阻止内部攻击
用防火墙将内部网络进行划分,它使网段隔离,以防止网络问题通过整个网络,这限制了本地焦点或敏感网络安全问题的全球网络上传播的影响,同时保护网络从该网络中的其他网络攻击
2.2.6 网络地址转换
防火墙部署为一个NAT逻辑地址,因此防火墙可以使地址空间短缺的问题得到缓解,并当一个组织变革带来的ISP重新编号时消除麻烦。作为一个单一的网络接入点,所有传入和传出的信息必须经过防火 2.2.7 虚拟私人网络
防火墙还支持互联网服务功能的企业网络技术体系VPN。VPN将企业在局域网还是在世界各地的专用子网的地理分布,有机地联系起来,形成一个整体。不仅省去了专用通信线路,而且还提供技术支持,信息共享。3防火墙的类型
在设计中的防火墙,除了安全策略,还要确定防火墙类型和拓扑结构。根据所用不同的防火墙技术,我们可以分为四个基本类型:包过滤型、网络地址转换--NAT,代理服务器型和监视器类型。3.1包过滤型
包过滤防火墙产品是基于其技术网络中的子传输技术在初始产品。网络上的数据传输是以“包”为单位的,数据被划分成大小相当的包,每个包将包含特定信息,如地址数据源,目的地址,TCP / UDP源端口和目的端口等。防火墙通过读取地址信息来确定“包”是否从受信任的安全站点,如果发现来自不安全站点的数据包,防火墙将这些数据阻挡在外部。3.2网络地址转化--NAT 网络地址转换是把IP地址转换成临时的、外部的,注册的D类地址的标准方法。它允许拥有私有IP地址的内网访问互联网。这也意味着,用户不能获得每个设备的IP地址注册为网络。当内网通过安全的网卡访问外网时,会有一个映射记录产生。系统将外出的源地址和源端口映射为一个伪装的地址和端口,所以地址和端口通过不安全网络卡和外部网络连接的伪装,所以它隐藏了真正的内部网络地址。3.2代理(Proxy)型
代理防火墙同样也可以被称为代理服务器,它比包过滤产品更加安全,并已开始开发应用程序层。在客户端和服务器之间的代理服务器位于,完全阻断两者的数据交换。从客户端的角度来看,代理服务器充当真实服务器,从服务器运行时,代理服务器是一个真正的客户端。当客户端需要使用服务器上的数据,第一数据请求发送到代理服务器,然后代理服务器获得数据到服务器响应请求,然后由代理服务器将数据发送给客户端。由于在外部系统与内部服务器之间没有直接的数据联通,这对企业网络系统来说,外部的恶意破坏不足以伤害到。3.4监测型
监控防火墙是新一代的产品,最初的防火墙定义实际上已经被这一技术超越了。防火墙可以监视每一层活性,实时监控数据,在监视器防火墙上的数据的分析的基础上,可以有效地确定各层的非法侵入。与此同时,这种检测防火墙产品一般还具有分布式探测器,这些探测器放置在节点、各种应用服务器和其它网络之间,不仅可以检测来自网络外部的攻击,同时对从内部恶意破坏也有很强的的预防效果。据权威部门计算,在攻击的网络系统中,从网络中有相当比例的是从内部网络开始的。因此,监测的防火墙不仅超越了防火墙的传统定义,而且在安全性也超越了前两代产品。虽然监测防火墙的安全方面已经超出包过滤和代理防火墙,但由于监测防火墙昂贵的实施技术,而且不易于管理,所以现在在实际使用中的防火墙产品仍然在第二代代理型产品,但在某些方面已经开始使用监控防火墙。基于全面考虑了系统成本和安全技术的成本,用户可以选择性地使用某些技术进行监控。这不仅保证了网络的安全性要求,而且还可以有效地控制总拥有成本的安全系统。4 结束语
防火墙是新型的重要的Internet安全措施,在当前社会得到了充分的认可和广泛的应用,并且由于防火墙不仅仅限于TCP / IP 协议的特点,也让它渐渐地在除了Internet之外其他的领域也有了更好的发展。但是防火墙只是保护网络安全和网络政策和策略中的一部分,所以这并不能解决网络安全中的所有问题。防火墙如果要保护网络安全,那么这和许多因素有关,要想得到一个既高效又通用、安全的防火墙,通常要将各种各样的防火墙技术和其它网络安全技术结合在一起,并且配合要有一个可行的组织和管理措施,形成深度有序的安全防御体系。
参考文献
[1]宿洁,袁军鹏.防火墙技术及其进展,计算机工程与应用(期刊论文),2004 [2]马利,梁红杰.计算机网络安全中的防火墙技术应用研究,电脑知识与技术,2014 [3]解静静.网络信息安全与防火墙技术,计算机光盘软件与应用,2014 [4]陈倩.浅析网络安全及防火墙技术在网络安全中的应用,网络安全技术与应用,2014 [5]赵子举.浅谈入侵检测与防火墙技术,电子世界,2014
点击咨询 