信息安全概论论文.doc

信息安全概论论文信息安全概论论文 浅析计算机网络问题与对策 学院 经济贸易学院 专业 物流管理 班级 普招 2 班 姓名 栗鹏辉 学号 201128060144 2 摘摘 要 要 3 3 前言前言 3 3 二 计算机通信网络安全概述二 计算机通信网络安全概述 3 3 三 影响计算机通信网络安全的因素分析三 影响计算机通信网络安全的因素分析 4 4 3 1 影响计算机通信网络安全的客观因素 4 4 3 1 1 网络资源的共享性 4 4 3 1 2 网络操作系统的漏洞 4 4 3 1 3 网络系统设计的缺陷 4 4 3 1 4 网络的开放性 4 4 3 1 5 恶意攻击 4 4 3 2 5 5 四 计算机网络的安全策略四 计算机网络的安全策略 5 5 4 1 物理安全策略 5 5 4 2 常用的网络安全技术 5 5 4 2 1 网络加密技术 5 5 4 2 2 防火墙技术 6 6 4 2 3 操作系统安全内核技术 7 7 4 2 4 身份验证技术身份验证技术 7 7 4 2 5 网络防病毒技术 8 8 五 结束语五 结束语 8 8 参考文献 参考文献 9 9 3 浅析计算机网络问题与对策 摘摘 要 要 随着计算机信息技术的迅猛发展 计算机网络已经越发成为农业 工 业 第三产业和国防工业的重要信息交换媒介 并且渗透到社会生活的各 个角落 因此 认清网络的脆弱性和潜在威胁的严重性 采取强有力安全 策略势在必行 计算机网络安全工作是一项长期而艰巨的任务 它应该贯 彻于整个信息网络的筹划 组成 测试的全过程 本文结合实际情况 分 析网络安全问题并提出相应对策 关键词 关键词 计算机 网络安全 网络威胁 前言前言 随着计算机技术的迅速发展 在计算机上完成的工作已由基于单机的 文件处理 自动化办公 发展到今天的企业内部网 企业外部网和国际互 联网的世界范围内的信息共享和业务处理 也就是我们常说的局域网 城 域网和广域网 计算机网络的应用领域已从传统的小型业务系统逐渐向大 型业务系统扩展 计算机网络在为人们提供便利 带来效益的同时 也使 人类面临着信息安全的巨大挑战 组织和单位的计算机网络是黑客攻击的主要目标 如果黑客组织能攻 破组织及单位的计算机网络防御系统 他就有访问成千上万计算机的可能 性 据统计 近年来因网络安全事故造成的损失每年高达上千亿美元 计 算机系统的脆弱性已为各国政府与机构所认识 二 计算机通信网络安全概述二 计算机通信网络安全概述 所谓计算机通信网络安全 是指根据计算机通信网络特性 通过相应 的安全技术和措施 对计算机通信网络的硬件 操作系统 应用软件和数 据等加以保护 防止遭到破坏或窃取 其实质就是要保护计算机通讯系统 和通信网络中的各种信息资源免受各种类型的威胁 干扰和破坏 计算机 4 通信网络的安全是指挥 控制信息安全的重要保证 根据国家计算机网络应急技术处理协调中心的权威统计 通过分布式 密网捕获的新的漏洞攻击恶意代码数量平均每天 112 次 每天捕获最多的 次数高达 4369 次 因此 随着网络一体化和互联互通 我们必须加强计 算机通信网络安全防范意思 提高防范手段 三 影响计算机通信网络安全的因素分析三 影响计算机通信网络安全的因素分析 计算机通信网络的安全涉及到多种学科 包括计算机科学 网络技术 通信技术 密码技术 信息安全技术 应用数学 数论 信息论等十数种 这些技术各司其职 保护网络系统的硬件 软件以及系统中的数据免遭各 种因素的破坏 更改 泄露 保证系统连续可靠正常运行 3 13 1 影响计算机通信网络安全的客观因素 影响计算机通信网络安全的客观因素 3 1 13 1 1 网络资源的共享性 网络资源的共享性 计算机网络最主要的一个功能就是 资源 共享 无论你是在天涯海角 还是远在天边 只要有网络 就能找到你所 需要的信息 所以 资源共享的确为我们提供了很大的便利 但这为系统 安全的攻击者利用共享的资源进行破坏也提供了机会 3 1 23 1 2 网络操作系统的漏洞网络操作系统的漏洞 操作系统漏洞是指计算机操作系统本身 所存在的问题或技术缺陷 由于网络协议实现的复杂性 决定了操作系统 必然存在各种的缺陷和漏洞 3 1 33 1 3 网络系统设计的缺陷网络系统设计的缺陷 网络设计是指拓扑结构的设计和各种网 络设备的选择等 网络设备 网络协议 网络操作系统等都会直接带来安 全隐患 3 1 43 1 4 网络的开放性 网络的开放性 网上的任何一个用户很方便访问互联网上的信 息资源 从而很容易获取到一个企业 单位以及个人的信息 3 1 53 1 5 恶意攻击恶意攻击 恶意攻击就是人们常见的黑客攻击及网络病毒 是 最难防范的网络安全威胁 随着电脑教育的大众化 这类攻击也越来越多 影响越来越大 无论是 DOS 攻击还是 DDOS 攻击 简单的看 都只是一种 破坏网络服务的黑客方式 虽然具体的实现方式千变万化 但都有一个共 同点 就是其根本目的是使受害主机或网络无法及时接收并处理外界请求 或无法及时回应外界请求 具体表现方式有以下几种 1 制造大流量无 用数据 造成通往被攻击主机的网络拥塞 使被攻击主机无法正常和外界 通信 2 利用被攻击主机提供服务或传输协议上处理重复连接的缺陷 5 反复高频的发出攻击性的重复服务请求 使被攻击主机无法及时处理其它 正常的请求 3 利用被攻击主机所提供服务程序或传输协议的本身实现 缺陷 反复发送畸形的攻击数据引发系统错误而分配大量系统资源 使主 机处于挂起状态甚至死机 DOS 攻击几乎是从互联网络的诞生以来 就伴随着互联网络的发展而 一直存在也不断发展和升级 值得一提的是 要找 DOS 的工具一点不难 黑客网络社区都有共享黑客软件的传统 并会在一起交流攻击的心得经验 你可以很轻松的从 Internet 上获得这些工具 所以任何一个上网者都可 能构成网络安全的潜在威胁 DOS 攻击给飞速发展的互联网络安全带来重 大的威胁 然而从某种程度上可以说 D0S 攻击永远不会消失而且从技术 上目前没有根本的解决办法 3 23 2 影响计算机网络通信安全的主观因素 影响计算机网络通信安全的主观因素 主要是计算机系统网络管 理人员缺乏安全观念和必备技术 如安全意识 防范意思等 四 计算机网络的安全策略四 计算机网络的安全策略 4 14 1 物理安全策略物理安全策略 物理安全策略目的是保护计算机系统 网络服务 器 打印机等硬件实体和通信链路免受自然灾害 人为破坏和搭线攻击 验证用户的身份和使用权限 防止用户越权操作 确保计算机系统有一个 良好的电磁兼容工作环境 建立完备的安全管理制度 防止非法进入计算 机控制室和各种偷窃 破坏活动的发生 物理安全策略还包括加强网络的 安全管理 制定有关规章制度 对于确保网络的安全 可靠地运行 将起 到十分有效的作用 网络安全管理策略包括 确定安全管理等级和安全管 理范围 制订有关网络操作使用规程和人员出入机房管理制度 制定网络 系统的维护制度和应急措施等 4 24 2 常用的网络安全技术常用的网络安全技术 由于网络所带来的诸多不安全因素 使得网络使用者必须采取相应的 网络安全技术来堵塞安全漏洞和提供安全的通信服务 如今 快速发展的 网络安全技术能从不同角度来保证网络信息不受侵犯 网络安全的基本技 术主要包括网络加密技术 防火墙技术 操作系统安全内核技术 身份验 证技术 网络防病毒技术 4 2 14 2 1 网络加密技术网络加密技术 网络加密技术是网络安全最有效的技术之一 一个加密网络 不但可以防止非授权用户的搭线窃听和入网 而且也是对 付恶意软件的有效方法之一 网络信息加密的目的是保护网内的数据 文 6 件 口令和控制信息 保护网上传输的数据 网络加密常用的方法有链路 加密 端点加密和节点加密三种 链路加密的目的是保护网络节点之间的 链路信息安全 端点加密的目的是对源端用户到目的端用户的数据提供加 密保护 节点加密的目的是对源节点到目的节点之间的传输链路提供加密 保护 用户可根据网络情况选择上述三种加密方式 信息加密过程是由形 形色色的加密算法来具体实施的 它以很小的代价提供很牢靠的安全保护 在多数情况下 信息加密是保证信息机密性的唯一方法 据不完全统计 到目前为止 已经公开发表的各种加密算法多达数百种 如果按照收发双方的密钥是否相同来分类 可以将这些加密算法分为 常规密码算法和公钥密码算法 在实际应用中 人们通常将常规密码和公 钥密码结合在一起使用 比如 利用 DES 或者 IDEA 来加密信息 而采用 RSA 来传递会话密钥 如果按照每次加密所处理的比特来分类 可以将加 密算法分为序列密码算法和分组密码算法 前者每次只加密一个比特 4 2 24 2 2 防火墙技术防火墙技术 防火墙技术是设置在被保护网络和外界之间的一 道屏障 是通过计算机硬件和软件的组合来建立起一个安全网关 从而保 护内部网络免受非法用户的入侵 它可以通过鉴别 限制 更改跨越防火 墙的数据流 来实何保证通信网络的安全对今后计算机通信网络的发展尤 为重要 现对网络的安全保护 防火墙的组成可以表示为 防火墙 过滤 器 安全策略 网关 它是一种非常有效的网络安全技术 在 Internet 上 通过它来隔离风险区域与安全区域的连接 但不防碍人们对风险区域 的访问 防火墙可以监控进出网络的通信数据 从而完成仅让安全 核准 的信息进入 同时又抵制对企业构成威胁的数据进入的任务 根据防火墙所采用的技术不同 我们可以将它分为四种基本类型 包过 滤型 网络地址转换 NAT 代理型和状态监测型 包过滤型产品是防火墙的初级产品 其技术依据是网络中的分包传输技 术 工作在网络层 网络上的数据都是以 包 为单位进行传输的 数据被 分割成为一定大小的数据包 每一个数据包中都会包含一些特定信息 如数 据的源地址 目标地址 源端口和目标端口等 防火墙通过读取数据包中 的地址信息来判断这些 包 是否来自可信任的安全站点 一旦发现来自危 险站点的数据包 防火墙便会将这些数据拒之门外 但包过滤防火墙的缺点 有三 一是非法访问一旦突破防火墙 即可对主机上的软件和配置漏洞进 行攻击 二是数据包的源地址 目的地址以及 IP 的端口号都在数据包的 头部 很有可能被窃听或假冒 三是无法执行某些安全策略 网络地址转化 NAT 你不能攻击你看不见的东西 是网络地址转 换的理论基础 网络地址转换是一种用于把 IP 地址转换成临时的 外部 7 的 注册的 IP 地址标准 它允许具有私有 IP 地址的内部网络访问因特网 当数据包流经网络时 NAT 将从发送端的数据包中移去专用的 IP 地址 并用一个伪 IP 地址代替 NAT 软件保留专用 IP 地址和伪 IP 地址的一张 地址映射表 当一个数据包返回到 NAT 系统 这一过程将被逆转 当符合 规则时 防火墙认为访问是安全的 可以接受访问请求 也可以将连接请 求映射到不同的内部计算机中 当不符合规则时 防火墙认为该访问是不 安全的 不能被接受 防火墙将屏蔽外部的连接请求 如果黑客在网上捕 获到这个数据包 他们也不能确定发送端的真实 IP 地址 从而无法攻击 内部网络中的计算机 NAT 技术也存在一些缺点 例如 木马程序可以通 过 NAT 进行外部连接 穿透防火墙 代理型防火墙也可以被称为代理服务器 它的安全性要高于包过滤型产 品 它分为应用层网关和电路层网关 代理服务器位于客户机与服务器之 间 完全阻挡了二者间的数据交流 从客户机来看 代理服务器相当于一台 真正的服务器 而从服务器来看 代理服务器又是一台真正的客户机 当客 户机需要使用服务器上的数据时 首先将数据请求发给代理服务器 代理服 务器再根据这一请求向服务器索取数据 然后再由代理服务器将数据传输 给客户机 从内部发出的数据包经过这样的防火墙处理后 就好像是源于 防火墙外部网卡一样 从而可以达到隐藏内部结构的作用 这种防火墙是 网络专家公的最安全的防火墙 缺点是速度相对较慢 监测型防火墙是新一代的产品 这一技术实际已经超越了最初的防火墙 定义 它是由 Check Point 软件技术有限公司率先提出的 也称为动态包 过滤防火墙 总的来说 具有 高安全性 高效性 可伸缩性和易扩展性 实际上 作为当前防火墙产品的主流趋势 大多数代理服务器也集成了包过 滤技术 这两种技术的混合显然比单独使用具有更大的优势 总的来说 网 络的安全性通常是以网络服务的开放性和灵活性为代价的 防火墙只是整 个网络安全防护体系的一部分 而且防火墙并非万无一失 除了使用了防 火墙后技术 我们还使用了其他技术来加强安全保护 数据加密技术是保 障信息安全的基石 所谓数据加密技术就是使用数字方法来重新组织数据 使得除了合法受者外 任何其他人想要恢复原先的 消息 是非常困难的 目前最常用的加密技术有对称加密技术和非对称加密技术 对称加密技术 是指同时运用一个密钥进行加密和解密 非对称加密技术就是加密和解密 所用的密钥不一样 4 2 34 2 3 操作系统安全内核技术操作系统安全内核技术 操作系统安全内核技术除了在传统网 络安全技术上着手 人们开始在操作系统的层次上考虑网络安全性 尝试 把系统内核中可能引起安全性问题的部分从内核中剔除出去 从而使系统 8 更安全 操作系统平台的安全措施包括 采用安全性较高的操作系统 对 操作系统的安全配置 利用安全扫描系统检查操作系统的漏洞等 美国国 防部技术标准把操作系统的安全等级分成了 D1 C1 C2 B1 B2 B3 A 级 其安全等级由低到高 目前主要的操作系统的安全等级都是 C2 级 其 特征包括 用户必须通过用户注册名和口令让系统识别 系统可以根 据用户注册名决定用户访问资源的权限 系统可以对系统中发生的每一 件事进行审核和记录 可以创建其他具有系统管理权限的用户 4 2 44 2 4 身份验证技术身份验证技术身份验证技术身份验证技术 身份验证技术身份验证技术是用 户向系统出示自己身份证明的过程 身份认证是系统查核用户身份证明的 过程 这两个过程是判明和确认通信双方真实身份的两个重要环节 人们 常把这两项工作统称为身份验证 它的安全机制在于首先对发出请求的用 户进行身份验证 确认其是否为合法的用户 如是合法用户 再审核该用 户是否有权对他所请求的服务或主机进行访问 从加密算法上来讲 其身 份验证是建立在对称加密的基础上的 为了使网络具有是否允许用户存取数据的判别能力 避免出现非法传 送 复制或篡改数据等不安全现象 网络需要采用的识别技术 常用的识 别方法有口令 唯一标识符 标记识别等 口令是最常用的识别用户的方 法 通常是由计算机系统随机产生 不易猜测 保密性强 必要时 还可 以随时更改 实行固定或不固定使用有效期制度 进一步提高网络使用的 安全性 唯一标识符一般用于高度安全的网络系统 采用对存取控制和网 络管理实行精确而唯一的标识用户的方法 每个用户的唯一标识符是由网 络系统在用户建立时生成的一个数字 且该数字在系统周期内不会被别的 用户再度使用 标记识别是一种包括一个随机精确码卡片 如磁卡等 的 识别方式 一个标记是一个口令的物理实现 用它来代替系统打入一个口 令 一个用户必须具有一个卡片 但为了提高安全性 可以用于多个口令 的使用 4 2 54 2 5 网络防病毒技术 网络防病毒技术 在网络环境下 计算机病毒具有不可估量的 威胁性和破坏力 CIH 病毒及爱虫病毒就足以证明如果不重视计算机网络 防病毒 那可能给社会造成灾难性的后果 因此计算机病毒的防范也是网 络安全技术中重要的一环 网络防病毒技术的具体实现方法包括对网络服 务器中的文件进行频繁地扫描和监测 工作站上采用防病毒芯片和对网络 目录及文件设置访问权限等 防病毒必须从网络整体考虑 从方便管理人 员的能 在夜间对全网的客户机进行扫描 检查病毒情况 利用在线报警 功能 网络上每一台机器出现故障 病毒侵入时 网络管理人员都能及时