许昌职业技术学院
毕业论文
题 目: 简析网络安全与管理
姓 名:
班 级:专 业:
指导教师:
完成时间:
目 录
一.绪论 .......................................................................... 错误!未定义书签。
二.概述网络安全.......................................................... 错误!未定义书签。 三.网络存在的安全隐患分析 ............................... 错误!未定义书签。 四.网络的安全策略分析 ........................................ 错误!未定义书签。
1. 防火墙 ................................................................................... 错误!未定义书签。 2.数据加密与用户授权访问控制技术 ............................. 错误!未定义书签。 3.病毒防护 ................................................................................ 错误!未定义书签。 4.安全管理队伍的建设 ......................................................... 错误!未定义书签。 结论 .................................................................................. 错误!未定义书签。 致谢 .................................................................................. 错误!未定义书签。
参考文献 ............................................................................................................ 7
简析网络安全与管理
张冬伟
(许昌职业技术学院 信息工程系)
摘要:现今高速发展的社会已经进入了21世纪,而21世纪的重要特征就是数字化、网络化和信息化,这是一个以网络为核心的信息时代。Internet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。特别是互联网的普及,使人们的学习、工作、和生活方式发生了很大的变化,与计算机网络系统的联系也越来越密切。计算机网络系统提供了丰富的资源以便用户共享,提高了系统的灵活性和便捷性,这些特点也增加了网络系统的脆弱性、网络受威胁和攻击的可能性以及网络安全的复杂性;尽而导致了网络安全事故频繁发生。这就在要求我们去不断的学习,不断充实自己,以应对技术不断更新的今天,对网络安全的威胁。 关键词:网络、密码技术、防火墙技术、病毒防护、数据管理
一、绪论
走进21世纪,就意味着进入了网络信息飞速发展的时代。网络给人们带来了方便,但是他的飞速发展也带了一些人们无法消灭的问题。本质上说,网络安全就是网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或恶意的影响而遭到破坏、更改、泄露,系统连续可靠的正常运行,网络服务不中断。广义上说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全既有技术方面的问题又有管理方面的问题,两方面相互补充,缺一不可。
不仅是硬件和软件的问题,还有很多网络安全问题是人们管理不当导致的,因此管理也是网络安全的重要保证。没有什么软件是完美的,这也就给了一些聪明的、狡猾的、专业的小人机会,他们通过各种机会对一些网络进行攻击,破坏网络的安全,进而达到他们金钱的利益。技术上我们要防范非法用户的攻击,管理上要加强自身对网络上的管理。
网络安全与管理包括了局域网安全、因特网安全、防火墙技术、密码技术、病毒防护以及网络管理等。这几部分通过合作才能保证网络系统的安全,这些不仅有技术上的影响,也有人为因素的影响,只有通过人为因素的管理加上技术上面的支持,才
能实现网络系统的安全。
二、概述网络安全
网络安全是指保持网络中的软、硬件资源不受非法访问、获取、篡改、破坏而使用的计算机网络维护技术,它是保障网络稳定、正常运行的重要方面。凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性都是涉及到网络安全的领域。可靠性用于保证系统在人为或者随机破坏下的安全程度;可用性是网络信息系统面向用户的安全性能;保密性通过信息加密、身份认证、访问控制、安全通信协议等技术实现,它是在可靠性和可用性的基础之上,保障网络信息安全的重要手段。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输;可控性是对网络信息的传播及内容具有控制能力的特性,保障系统依据授权提供服务,使系统在任务时候都不被非授权人使用。
网络安全模型是动态网络安全过程的抽象描述。通过对安全模型的研究,了解安全动态过程的构成因素,是构建合理而实用的安全策略体系的前提之一。为了达到安全防范的目标必须建立合理的网络安全模型,以指导网络安全工作的部署和管理。 网络安全可以分为物理安全、逻辑安全、操作系统安全和连网安全等类别。物理安全就是指相关设备的物理保护,以免于破坏、丢失等;逻辑安全则是通过软操作方式现网络安全的,通常指安装杀毒软件,关闭服务、端口,加密等方式实现网络安全;操作系统的安全关系到网络的整体性能,所以操作系统起着非常重要的组织作用;连网安全性就体现在内部网络安全和外部网络安全两方面,内部网络安全性表现在对来自外部网络的攻击有一定的防御能力,保护连网资源不被非授权使用,外部网络则是保证数据通信的可靠性。
三、网络存在的安全隐患分析
近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受
时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
总而言之,对Internet/Intranet安全构成的威胁可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成Internet瘫痪或引起Internet商业的经济损失等等。人们面临的计算机网络系统的安全威胁日益严重。
四、网络的安全策略分析
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等,主要的网络防护措施包括:
1、防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查
时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
总而言之,对Internet/Intranet安全构成的威胁可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成Internet瘫痪或引起Internet商业的经济损失等等。人们面临的计算机网络系统的安全威胁日益严重。
四、网络的安全策略分析
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等,主要的网络防护措施包括:
1、防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查
数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
防火墙的选择应该考虑自身设计和管理的安全性,系统的稳定性,性能是否高效,是否可靠,有没有强大、灵活的功能,配置是否方便,能否拒绝服务攻击,能不能扩展和升级。最重要的是能不能加强网络的安全性,更好的保护主机和数据。
2、数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
在采用密码技术保护的现代通信系统中,密码算法通常是公开的,因此其安全性就取决于对密钥的保护。密钥生成算法的强度、密钥的长度、密钥的保密和安全管理是保证系统安全的重要因素。所有的密钥都有生命周期,这是因为有大量的密文有助
于密码的分析。一个密钥使用时间太长,为攻击者收集大量密文提供了机会,破译一个密钥需要的时间,限制密钥的使用时间也就限制了密钥的破译时间,大大降低了密钥被破译的可能性。
3、病毒防护
计算机病毒是人为制造的程序,他能够影响计算机的正常运行,常见的病毒有木马病毒、宏病毒、蠕虫病毒、PE病毒等。病毒虽然短小,但包括引导部分、传染部分、表现部分三部分,正是这三部分让病毒具有传染性、破坏性、隐蔽性、潜伏性和触发性等特点。
随着网络技术的发展病毒的特点也在不断的发展,这就要求我们在管理和预防上要做的更好,主要的措施有:使用较强的密码,对于不同的帐号用不同的密码;经常备份重要的数据;不要打开来历不明的电子邮件;正确的配置系统,减少病毒的入侵,利用系统提供的安全机制提高系统的防范能力;定期对敏感文件进行检查,保证及时发现已感染的病毒和黑客程序;慎用软盘、光盘等移动存储介质;定义浏览器安全设置,不要轻易下载ActiveX控件或Java脚本;安装最新的操作系统、应用软件的安全补丁程序;安装优秀的防病毒软件,这期对整个硬盘进行病毒检测、清除工作;当计算机不使用时,不要接入互联网,一定要断掉连接;重要的计算机系统和网络一定要严格与互联网物理隔离。通过这些措施一定能有效的防止病毒的入侵,增加系统的安全性能。
4、安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
结论
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。 因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
要做到全面的网络安全,需要综合考虑各个方面,包括系统自身的硬件和软件安全,也包括完善的网络管理制度以及先进的网络安全技术等。未来的信息网络安全技术可从数据的加/解密算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。希望此文能够让你了解一定的网络安全知识,对你的网络安全有所帮助。
致谢
感谢授课老师课上对我的教导,你们丰富的授课内容拓宽了我的视野,让我能更顺利的完成这篇文章;感谢我的同学和朋友们,你们不仅让我感受到友情的力量,也让我感觉到了生活的愉悦,通过课堂讨论学到的思维方式将使我受益终生;没有你们的帮助,我也不能够这么顺利的完成这篇文章。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意! 参考文献
[1]王宏伟.网络安全威胁与对策.应用技术,2006
[2]冯登国.网络安全原理与技术.科技出版社,2007
[3]陈明,网络安全教程,清华大学出版社,2004
许昌职业技术学院
毕业论文
题 目: 简析网络安全与管理
姓 名:
班 级:专 业:
指导教师:
完成时间:
目 录
一.绪论 .......................................................................... 错误!未定义书签。
二.概述网络安全.......................................................... 错误!未定义书签。 三.网络存在的安全隐患分析 ............................... 错误!未定义书签。 四.网络的安全策略分析 ........................................ 错误!未定义书签。
1. 防火墙 ................................................................................... 错误!未定义书签。 2.数据加密与用户授权访问控制技术 ............................. 错误!未定义书签。 3.病毒防护 ................................................................................ 错误!未定义书签。 4.安全管理队伍的建设 ......................................................... 错误!未定义书签。 结论 .................................................................................. 错误!未定义书签。 致谢 .................................................................................. 错误!未定义书签。
参考文献 ............................................................................................................ 7
简析网络安全与管理
张冬伟
(许昌职业技术学院 信息工程系)
摘要:现今高速发展的社会已经进入了21世纪,而21世纪的重要特征就是数字化、网络化和信息化,这是一个以网络为核心的信息时代。Internet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。特别是互联网的普及,使人们的学习、工作、和生活方式发生了很大的变化,与计算机网络系统的联系也越来越密切。计算机网络系统提供了丰富的资源以便用户共享,提高了系统的灵活性和便捷性,这些特点也增加了网络系统的脆弱性、网络受威胁和攻击的可能性以及网络安全的复杂性;尽而导致了网络安全事故频繁发生。这就在要求我们去不断的学习,不断充实自己,以应对技术不断更新的今天,对网络安全的威胁。 关键词:网络、密码技术、防火墙技术、病毒防护、数据管理
一、绪论
走进21世纪,就意味着进入了网络信息飞速发展的时代。网络给人们带来了方便,但是他的飞速发展也带了一些人们无法消灭的问题。本质上说,网络安全就是网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或恶意的影响而遭到破坏、更改、泄露,系统连续可靠的正常运行,网络服务不中断。广义上说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全既有技术方面的问题又有管理方面的问题,两方面相互补充,缺一不可。
不仅是硬件和软件的问题,还有很多网络安全问题是人们管理不当导致的,因此管理也是网络安全的重要保证。没有什么软件是完美的,这也就给了一些聪明的、狡猾的、专业的小人机会,他们通过各种机会对一些网络进行攻击,破坏网络的安全,进而达到他们金钱的利益。技术上我们要防范非法用户的攻击,管理上要加强自身对网络上的管理。
网络安全与管理包括了局域网安全、因特网安全、防火墙技术、密码技术、病毒防护以及网络管理等。这几部分通过合作才能保证网络系统的安全,这些不仅有技术上的影响,也有人为因素的影响,只有通过人为因素的管理加上技术上面的支持,才
能实现网络系统的安全。
二、概述网络安全
网络安全是指保持网络中的软、硬件资源不受非法访问、获取、篡改、破坏而使用的计算机网络维护技术,它是保障网络稳定、正常运行的重要方面。凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性都是涉及到网络安全的领域。可靠性用于保证系统在人为或者随机破坏下的安全程度;可用性是网络信息系统面向用户的安全性能;保密性通过信息加密、身份认证、访问控制、安全通信协议等技术实现,它是在可靠性和可用性的基础之上,保障网络信息安全的重要手段。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输;可控性是对网络信息的传播及内容具有控制能力的特性,保障系统依据授权提供服务,使系统在任务时候都不被非授权人使用。
网络安全模型是动态网络安全过程的抽象描述。通过对安全模型的研究,了解安全动态过程的构成因素,是构建合理而实用的安全策略体系的前提之一。为了达到安全防范的目标必须建立合理的网络安全模型,以指导网络安全工作的部署和管理。 网络安全可以分为物理安全、逻辑安全、操作系统安全和连网安全等类别。物理安全就是指相关设备的物理保护,以免于破坏、丢失等;逻辑安全则是通过软操作方式现网络安全的,通常指安装杀毒软件,关闭服务、端口,加密等方式实现网络安全;操作系统的安全关系到网络的整体性能,所以操作系统起着非常重要的组织作用;连网安全性就体现在内部网络安全和外部网络安全两方面,内部网络安全性表现在对来自外部网络的攻击有一定的防御能力,保护连网资源不被非授权使用,外部网络则是保证数据通信的可靠性。
三、网络存在的安全隐患分析
近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受
时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
总而言之,对Internet/Intranet安全构成的威胁可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成Internet瘫痪或引起Internet商业的经济损失等等。人们面临的计算机网络系统的安全威胁日益严重。
四、网络的安全策略分析
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等,主要的网络防护措施包括:
1、防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查
时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
总而言之,对Internet/Intranet安全构成的威胁可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成Internet瘫痪或引起Internet商业的经济损失等等。人们面临的计算机网络系统的安全威胁日益严重。
四、网络的安全策略分析
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等,主要的网络防护措施包括:
1、防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查
数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
防火墙的选择应该考虑自身设计和管理的安全性,系统的稳定性,性能是否高效,是否可靠,有没有强大、灵活的功能,配置是否方便,能否拒绝服务攻击,能不能扩展和升级。最重要的是能不能加强网络的安全性,更好的保护主机和数据。
2、数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
在采用密码技术保护的现代通信系统中,密码算法通常是公开的,因此其安全性就取决于对密钥的保护。密钥生成算法的强度、密钥的长度、密钥的保密和安全管理是保证系统安全的重要因素。所有的密钥都有生命周期,这是因为有大量的密文有助
于密码的分析。一个密钥使用时间太长,为攻击者收集大量密文提供了机会,破译一个密钥需要的时间,限制密钥的使用时间也就限制了密钥的破译时间,大大降低了密钥被破译的可能性。
3、病毒防护
计算机病毒是人为制造的程序,他能够影响计算机的正常运行,常见的病毒有木马病毒、宏病毒、蠕虫病毒、PE病毒等。病毒虽然短小,但包括引导部分、传染部分、表现部分三部分,正是这三部分让病毒具有传染性、破坏性、隐蔽性、潜伏性和触发性等特点。
随着网络技术的发展病毒的特点也在不断的发展,这就要求我们在管理和预防上要做的更好,主要的措施有:使用较强的密码,对于不同的帐号用不同的密码;经常备份重要的数据;不要打开来历不明的电子邮件;正确的配置系统,减少病毒的入侵,利用系统提供的安全机制提高系统的防范能力;定期对敏感文件进行检查,保证及时发现已感染的病毒和黑客程序;慎用软盘、光盘等移动存储介质;定义浏览器安全设置,不要轻易下载ActiveX控件或Java脚本;安装最新的操作系统、应用软件的安全补丁程序;安装优秀的防病毒软件,这期对整个硬盘进行病毒检测、清除工作;当计算机不使用时,不要接入互联网,一定要断掉连接;重要的计算机系统和网络一定要严格与互联网物理隔离。通过这些措施一定能有效的防止病毒的入侵,增加系统的安全性能。
4、安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
结论
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。 因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
要做到全面的网络安全,需要综合考虑各个方面,包括系统自身的硬件和软件安全,也包括完善的网络管理制度以及先进的网络安全技术等。未来的信息网络安全技术可从数据的加/解密算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。希望此文能够让你了解一定的网络安全知识,对你的网络安全有所帮助。
致谢
感谢授课老师课上对我的教导,你们丰富的授课内容拓宽了我的视野,让我能更顺利的完成这篇文章;感谢我的同学和朋友们,你们不仅让我感受到友情的力量,也让我感觉到了生活的愉悦,通过课堂讨论学到的思维方式将使我受益终生;没有你们的帮助,我也不能够这么顺利的完成这篇文章。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意! 参考文献
[1]王宏伟.网络安全威胁与对策.应用技术,2006
[2]冯登国.网络安全原理与技术.科技出版社,2007
[3]陈明,网络安全教程,清华大学出版社,2004