计算机网络安全毕业论问.doc 22页

'计算机网络安全毕业论文目录首页........................................................................1目录........................................................................3第一章引言1.1概述.................................................................41.2网络安全技术的研究目的意义和背景....................................41.3计算机网络安全的含义.................................................5第二章网络安全初步分析2.1网络安全的必要性.....................................................62.2网络的安全管理.......................................................62.2.1安全管理原则.................................................62.2.2安全管理的实现.................................................72.3采用先进的技术和产品2.3.1防火墙技术....................................................72.3.2数据加密技术..................................................72.3.3认证技术......................................................72.3.4计算机病毒的防范..............................................72.4常见的网络攻击及防范对策...............................................82.4.1特洛伊木马....................................................82.4.4淹没攻击......................................................8第三章网络攻击分析及特点........................................................9第四章网络安全面临的威胁3.1自然灾害3.2网络软件漏洞3.3黑客的威胁和攻击3.4计算机病毒3.5垃圾邮件和间谍软件3.6计算机犯罪第4章计算机网络安全防范策略4.1防火墙技术4.1.1防火墙的主要功能4.1.2防火墙的主要优点4.1.3防火墙的主要缺陷4.1.4防火墙的分类4.1.5防火墙的部署4.2数据加密技术4.3系统容灾技术 4.4入侵检测技术4.4.1入侵检测系统的分类4.4.2目前入侵检测系统的缺陷4.4.3防火墙与入侵检测系统的相互联动4.4.4结语4.5漏洞扫描技术4.6物理安全第四章网络安全技术4.1防火墙的定义和选择......................................................124.2加密技术................................................................124.2.1对称加密技术.....................................................124.2.2非对称加密/公开密钥加密..........................................12.4.2.3RSA算法.........................................................124.3注册与认证管理...........................................................134.3.1认证机构...........................................................134.3.2注册机构..........................................................134.3.3密钥备份和恢复....................................................13第五章安全技术的研究5.1安全技术的研究现状和方向................................................145.1.1包过滤型..........................................................145.1.2代理型............................................................14结束语.....................................................................15参考文献第一章引言1.1概述我们知道,21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络，因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。随着计算机网络的发展，网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国特色的网络安全体系。一个国家的安全体系实际上包括国家的法律和政策，以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。 网络安全产品有以下几个特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断的变化；第三，随着网络在社会各个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面，总是不断的向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。信息安全是国家发展所面临的一个重要问题，对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。1.2网络安全技术的研究目的、意义和背景目前计算机网络面临着很大的威胁，其构成的因素是多方面的。这种威胁将不断给社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。随着计算机络的不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言，其网上信息的安全性和保密性尤为重要。因此，上述的网络必须要有足够强的安全措施，否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性，故此，网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性，这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通，研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。认真分析网络面临的威胁，我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下，首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础上，再采用现金的技术和产品，构造全防卫的防御机制，使系统在理想的状态下运行。1.3计算机网络安全的含义计算机网络安全的具体含义会随着使用者的变化而变化，使用者的不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的灾害，军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。 第二章网络安全初步分析2.1网络安全的必要性随着计算机技术的不断发展，计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物，适应社会对信息共享和信息传递的要求发展起来的，各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快，在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里，计算机网络一定会得到极大的发展，那时将全面进入信息时代。正因为网络应用的如此广泛，又在生活中扮演很重要的角色，所以其安全性是不容忽视的。2.2网络的安全管理面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络安全的安全管理，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题。 2.2.1安全管理原则网络信息系统的安全管理主要基于3个原则：①多人负责原则每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有：访问控制使用证件的发放与回收，信息处理系统使用的媒介发放与回收，处理保密信息，硬件与软件的维护，系统软件的设计、实现和修改，重要数据的删除和销毁等。②任期有限原则一般来讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期的循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。③职责分离原则除非经系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑，下面每组内的两项信息处理工作应当分开：计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。2.2.2安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采用相应的规范。具体工作是:①根据工作的重要程度，确定该系统的安全等级。②根据确定的安全等级，确定安全管理范围。③制定相应的机房出入管理制度，对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统，采用此卡、身份卡等手段，对人员进行识别，登记管理。2.3采用先进的技术和产品要保证计算机网络安全的安全性，还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。2.3.1防火墙技术为保证网络安全，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统，该系统可以设定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。其主要有：应用层网关、数据包过滤、代理服务器等几大类型。 2.3.2数据加密技术与防火墙配合使用的安全技术还有数据加密技术，是为了提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用的不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。2.3.3认证技术认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接受者的身份。认证的主要目的有两个：第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别；第二，验证信息的完整性，保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有：消息认证、身份认证、数字签名。2.3.4计算机病毒的防范首先要加强工作人员防病毒的意识，其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件：①较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种，在各种操作系统中包括Windows、UNIX和Netware系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查杀、杀毒范围广、能力强的特点。②完善的升级服务。与其他软件相比，防病毒软件更需要不断的更新升级，以查杀层出不穷的计算机病毒。2.4常见的网络攻击和防范对策2.4.1特洛伊木马特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的过程中，从而使它们受到感染。此类攻击对计算机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。2.4.2邮件炸弹 邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同以地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复消息，也可以使自己的SMTP连接只能达成指定的服务器，从而免受外界邮件的侵袭。2.4.3过载攻击过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击，它是通过大量地进行人为的增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。防止过载攻击的方法有：限制单个用户所拥有的最大进程数；杀死一些耗时的进程。然而，不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外，还可以让系统自动检查是否过载或者重新启动系统。2.4.4淹没攻击正常情况下，TCP连接建立要经过3次握手的过程，即客户机向客户机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息；客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST，因此，造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断的向被攻击的主机发送SYN请求，被攻击主机就一直处于等待状态，从而无法响应其他用户请求。对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。 第三章网络攻击分析及特点攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击：Does是DenialofService的简称，即拒绝服务，造成Does的攻击行为被称为Does攻击，其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。而分布式拒绝服务（DDoS:DistributedDenialofService）攻击是借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。因为此攻击基于TCP/IP协议的漏洞，要想避免除非不使用此协议，显然这是很难做到的那我们要如何放置呢？1.确保所有服务器采用最新系统，并打上安全补丁。计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。2. 确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么？谁在使用主机？哪些人可以访问主机？不然，即使黑客侵犯了系统，也很难查明。3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统—甚至是受防火墙保护的系统。4.确保运行在Unix上的所有服务都有TCP封装程序，限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN系统。否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据。6.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令，而Telnet和Rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换他，文件传输功能无异将陷入瘫痪。8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区（DMZ）及网络的内部保密部分。9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的，使DoS/DDoS攻击成功率很高，所以一定要认真检查特权端口和非特权端口。10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更，几乎可以坑定：相关的主机安全收到了威胁。计算机网络的攻击特1．损失巨大由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。2．威胁社会和国家安全一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。3．手段多样与手法隐蔽 计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。4．以软件攻击为主几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。第3章计算机网络安全面临的威胁3.1自然灾害计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。3.2网络软件漏洞网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。3.3黑客的威胁和攻击这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、www的欺骗技术和寻找系统漏洞等。3.4计算机病毒 20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。3.6计算机犯罪计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息。4.1防火墙技术网络安全所说的防火墙(FireWall)是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。4.1.1防火墙的主要功能防火墙的主要功能包括：1、防火墙可以对流经它的网络通信进行扫描，从而过滤掉一些攻击，以免其在目标计算机上被执行。2、防火墙可以关闭不使用的端口，而且它还能禁止特定端口的输出信息。3、防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明入侵者的所有通信，过滤掉不安全的服务和控制非法用户对网络的访问。4、防火墙可以控制网络内部人员对Internet上特殊站点的访问。5、防火墙提供了监视Internet安全和预警的方便端点4.1.2防火墙的主要优点防火墙的主要优点包括:1、可作为网络安全策略的焦点防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地加强了网络安全，并简化了网络管理。2、可以有效记录网络活动由于防火墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使用和预警功能。3、为解决IP地址危机提供了可行方案由于Internet的日益发展及IP地址空间有限，使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。 4、防火墙能够强化安全策略因为网络上每天都有上百万人在收集信息、交换信息，不可避免地会出现个别品德不良，或违反规则的人，防火墙就是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过.5、防火墙能有效地记录网络上的活动因为所有进出信息都必须通过防火墙，所以防火墙非常适用于收集关于系统和网络使用和误用的信息.作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录.6、防火墙限制暴露用户点防火墙能够用来隔开网络中的两个网段，这样就能够防止影响一个网段的信息通过整个网络进行传播.7、防火墙是一个安全策略的检查站所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外.4.1.3防火墙的主要缺陷由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火墙的主要缺陷有：1、防火墙对绕过它的攻击行为无能为力。2、防火墙无法防范病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只能安装反病毒软件。3、防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。4、不能防范恶意的知情者防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去.如果入侵者已经在防火墙内部，防火墙是无能为力的.内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙.对于来自知情者的威胁，只能要求加强内部管理，如主机安全和用户教育等.5、不能防范不通过它的连接防火墙能够有效地防止通过它的传输信息，然而它却不能防止不通过它而传输的信息.例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵.6、不能防备全部的威胁防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一扇防火墙能自动防御所有新的威胁.7、防火墙不能防范病毒防火墙一般不能消除网络上的病毒.4.1.4防火墙的分类防火墙的实现从层次上大体可分为三类：包过滤防火墙，代理防火墙和复合型防火墙。1、包过滤防火墙包过滤防火墙是在IP层实现，它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址，目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。 2、代理防火墙代理防火墙也叫应用层网关防火墙，包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用代理防火墙是更好的选择。3、复合型防火墙复合型防火墙是将数据包过滤和代理服务结合在一起使用，从而实现了网络安全性、性能和透明度的优势互补。4.1.5防火墙的部署防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查，防护功能。1、防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。2、如果内部网络规模较大，并且设置虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙。3、通过公网连接的总部与各分支机构之间应该设置防火墙。4、主干交换机至服务器区域工作组交换机的骨干链路上。5、远程拨号服务器与骨干交换机或路由器之间。总之，在网络拓扑上，防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应安装防火墙。4.2数据加密技术数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用，密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。4.3系统容灾技术一个完整的网络安全体系，只有防范和检测措施是不够的，还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失，一旦发生漏防漏检事件，其后果将是灾难性的。此外，天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障，不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器，在两者之间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用，异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连，构成完整的数据容灾系统，也能提供数据库容灾功能。4.4入侵检测技术 入侵检测技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。典型的IDS系统模型包括4个功能部件：1、事件产生器，提供事件记录流的信息源。2、事件分析器，这是发现入侵迹象的分析引擎。3、响应单元，这是基于分析引擎的分析结果产生反应的响应部件。4、事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。4.4.1入侵检测系统的分类入侵检测系统根据数据来源不同，可分为基于网络的入侵检测系统和基于主机的入侵检测系统。网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式，监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说，网络型入侵检测系统担负着保护整个网络的任务。主机型入侵检测系统是以系统日志、应用程序日志等作为数据源，当然也可以通过其它手段（如检测系统调用）从所有的主机上收集信息进行分析。入侵检测系统根据检测的方法不同可分为两大类：异常和误用。异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。4.4.2目前入侵检测系统的缺陷入侵检测系统作为网络安全防护的重要手段，目前的IDS还存在很多问题，有待于我们进一步完善。1、高误报率误报率主要存在于两个方面：一方面是指正常请求误认为入侵行为；另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。2、缺乏主动防御功能入侵检测技术作为一种被动且功能有限的安全防御技术，缺乏主动防御功能。因此，需要在一代IDS产品中加入主动防御功能，才能变被动为主动。4.4.3防火墙与入侵检测系统的相互联动防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理，如无通告拒绝、ICMP拒绝、转发通过（可转发至任何端口）、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。当我们实现防火墙与入侵检测系统的相互联动后，IDS就不必为它所连接的链路转发业务流量。因此，IDS可以将大部分的系统资源用于对采集报文的分析，而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作，如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复（实时监控功能）等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。 综上所述，防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点，淡化各自的缺陷，使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中，动态技术与静态技术的联动将有很大的发展市场和空间。4.4.4结语网络安全是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本（或是可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。4.5漏洞扫描技术漏洞扫描是自动检测远端或本地主机安全的技术，它查询TCP/IP各种服务的端口，并记录目标主机的响应，收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者利用可得到的攻击方法，并把它们集成到整个扫描中，扫描后以统计的格式输出，便于参考和分析。4.6物理安全为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。为保证网络的正常运行，在物理安全方面应采取如下措施:1、产品保障方面:主要指产品采购、运输、安装等方面的安全措施。2、运行安全方面:网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。3、防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。4、保安方面:主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程，各种新技术将会不断出现和应用。???网络安全孕育着无限的机遇和挑战，作为一个热门的研究领域和其拥有的重要战略意义，相信未来网络安全技术将会取得更加长足的发展。第四章网络安全技术4.1防火墙的定义和选择4.1.1防火墙的定义 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。4.1.2防火墙的选择总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本（TCO）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论选择防火墙的标准有很多，但最重要的是以下两条：（1）防火墙本身是安全的作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像玛奇诺防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。通常，防火墙的安全性问题来自两个方面：其一是防火墙本身的设计是否合理，其二是使用不当。一般来说，防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙十分不熟悉，就有可能在配置过程中遗留大量的安全漏洞。（2）可扩充性在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性，或扩充成本极高，这便是对投资的浪费。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购基本系统，而随着要求的提供，用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资，对提供防火墙产品的厂商来说，也扩大产品的覆盖面。4.2加密技术信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1对称加密技术在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56位密钥对信息进行3次加密，从而使有效密钥长度达到112位。 4.2.2非对称加密技术在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛分布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。4.2.3RSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下：公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)e与(p-1)(q-1)互素私有密钥：d=e-1{mod(p-1)(q-1)}加密：c=me(modn)，其中m为明文，c为密文。解密：m=cd(modn)利用目前已经掌握的只是和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。4.3注册与认证管理4.3.1认证机构CA（CertificationAuthorty）就是这样一个确保信任度的权威实体，它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且还与整个PKI系统的构架和模型有关。4.3.2注册机构RA(RegistrationAuthority)是用户和CA的借口，它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。4.3.3密钥备份和恢复为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 4.3.4证书管理与撤销系统证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销，证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制，随时查询被撤销的证书。第五章安全技术的研究5.1安全技术的研究现状和方向我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。根据防火墙所采用的技术不同，将它分为4个基本类型：包过滤型、网络地址转换-NAT、代理型和监测型。 5.2包过滤型包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会含一些特定信息，防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一单发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入。5.3代理型代理型的安全性能要高过包过滤型，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。结束语 互联网现在已经成为了人们不可缺少的通信工具，其发展速度也快的惊人，以此而来的攻击破坏层出不穷，为了有效的防止入侵把损失降到最低，我们必须适合注意安全问题，使用尽量多而可靠的安全工具经常维护，让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时，也在安全性方面给我们带来了巨大的挑战，我们不能因为害怕挑战而拒绝它，否则就会得不偿失，信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要的组成部分，甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程，我们应该结合现在网络发展的特点，制定妥善的网络安全策略，将英特网的不安全性降至到现有条件下的最低点，让它为我们的工作和现代化建设做出更好的服务。参考文献[1]谢希仁.计算机网络电子工业出版社[2]汤小丹、梁红兵.计算机操作系统西安电子科技大学出版社[3]李伟.网络安全实用技术标准教程清华大学出版社[4]AndrewS.Tanenbaum.计算机网络清华大学出版社[1]李军义.计算机网络技术与应用[M].北京：北方交通大学出版社，2006.7．[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.[3]嘉宁.网络防火墙技术浅析[J].通信工程.2004(3).[4]郑成兴.网络入侵防范的理论与实践[M].北京：机械工业出版社，2006.9.[5][美]MerikeKaeo著.网络安全性设计[M].北京：人民邮电出版社，2005.9.[6]黄怡强,等.浅谈软件开发需求分析阶段的主要任务[M].中山大学学报论丛，2002(01).[7]胡道元.计算机局域网[M].北京:清华大学出版社.2001.[8]朱理森，张守连.计算机网络应用技术[M].北京:专利文献出版社，2001.[9]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社. '