重庆邮电大学自考本科毕业论文——网络信息安全.doc

编 号： 审定成绩： 重庆邮电大学自考本科毕业论文专 业： 论文题目： 准考证号： 姓 名： 指导教师： 工作单位或家庭地址： 联系电话： 重庆邮电大学*(本科)专业毕业设计（论文）任务书学 生 姓 名 准考证号码 专 业 指导教师姓名 指导教师单位 一、 设计题目： 二、设计（论文）要求： 三、设计（论文）的主要内容：四、主要参考资料： 指导教师（签名）部门负责人（签 名）（校外设计请加盖单位公章）年 月 日 重 庆 邮 电 大学自考本科毕业设计（论文）开题报告 考 号 姓 名 导师单位 导师姓名 填表日期 年 月 论文题目 课题调查与文献阅读 理论分析与实验方法 注：此页不够可增加。工作进度计划 学生签字： 年 月 日指导教师意见 签字： 年 月 日 部门意见 负责人签字： 年 月 日说明：1. 开题报告工作是毕业设计的重要环节，务必高度重视。2. 开题报告在毕业设计的第三周内完成，并由导师和导师所在部门负责人签字。重庆邮电大学*(本科)专业毕业设计（论文）指 导 教 师 意 见指导教师评语：建议成绩 （分数）指导教师（签名） 年 月 日 重庆邮电大学*(本科)专业毕业设计（论文）评 阅 教 师 意 见评阅教师评语：建议成绩 （分数）评阅教师（签名） 年 月 日 重庆邮电大学*(本科)专业毕业设计（论文）答 辩 记 录一、 学生介绍设计（论文）情况：二、提问及答辩情况：提问一：答 辩：提问二：答 辩：提问三：答 辩：提问四：答 辩：提问五：答 辩：记 录（签名） 年 月 日 重庆邮电大学*(本科)专业毕业设计（论文）答辩小组意见答辩小组评语：答辩成绩 （分数）（校外加盖单位公章）毕业设计总评成绩：指导教师给定 建议成绩（1）评阅教师给定 建议成绩（2）答辩小组给定 答辩成绩（3）毕业设计总评成绩（1）0.3（2）0.3（3）0.4答辩小组结论性意见：答 辩 小 组 负 责 人（签名） 院答辩委员会负责人 （签名） （校外设计请加盖单位公章）年 月 日 重庆邮电大学自考本科毕业设计（论文）【摘要】随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的，计算机。【关键词】计算机 网络策略 安全信息III【Abstract】Since the 21st century, human life high-speed economic development, great changes took place in the popularization of computer application, especially to the economic and social life in all areas. Along with the computer in social life, is widely used in various fields【Key Words】目 录摘 要III前言1第一章 网络信息安全2第一节 网络安全概述2第二节 网络环境安全2第三节 网络安全胁迫3第二章攻击技术7第一节 技术分析7第二节 特洛绎木马和ARP攻击7一、特络绎木马7二、ARP攻击8第三节 攻击目标8第三章 计算机系统物理安全10第一节 物理安全概述10一、物理安全:信息系统安全的前提10二、物理安全包括三个方面10三、防止线路截获：预防，探测，定位，对抗10第二节 场地与机房10一、计算机环境10二、机房位置10第三节 电磁泄漏11一、信息泄漏的两种表现形式11二、计算机外部设备泄漏11三、二种泄漏方式11四、影响计算机辐射强度的因素主要有12第四节 硬件安全12第四章 网络安全内容实践13第一节 智能卡安全技术13第二节 数据加密技术13第三节 防火墙安全技术14结束语15参考文献16前言目前计算机和网络技术在各个领域中的迅速普及与广泛应用，计算机病毒事件和黑客攻击与非法入侵事件也在不断发生，如计算机系统和文件被病毒毁坏、重要资料信息被窃、网站和网络系统被攻击导致瘫痪黑客攻击和病毒破坏给社会造成了巨大的经济损失，甚至危害到社会的安定。计算机安全的最软弱之处也正是人们的粗心大意，以及对安全防范知识的不了解，因此，向广大网民提供通用性的计算机网络技术,兼顾理论知识和实用技术两方面的内容,达到掌握计算机网络原理、提高网络应用技术水平的目的。本书共包括4章,其中第 1章包含了Internet应用的主要内容；第2章针对当前流行的网络攻击进行了详细介绍;第34章为物理安全和内容实践,讲述了组网过程中的一些实用技术。第一章 网络信息安全第一节 网络安全概述网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。第二节 网络环境安全影响计算机网络环境下信息安全的技术问题包括通信安全技术和计算机安全技术两个方面，二者共同维护着信息安全。一、保证通信安全所涉及的技术有：1、信息加密技术。信息加密技术是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密过程由形形色色的加密算法来具体实施，它以较小的代价获得较大的安全保护。2、信息确认技术。信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使：（1）合法的接收者能够验证他收到的消息是否真实；（2）发信者无法抵赖自己发出的消息；（3）除合法发信者外，别人无法伪造消息；（4）发生争执时可由第三人仲裁。按照其具体目的，信息确认系统可分为消息确认、身份确认和数字签名。3、网络控制技术。包括：（1）防火墙技术。它是一种允许接入外部网络，但同时又能够识别和抵抗非授权访问的网络安全技术。（2）审计技术。它使信息系统自动记录下网络中机器的使用时间、敏感操作和违纪操作等。（3）访问控制技术。它允许用户对其常用的信息库进行适当权利的访问，限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵d。安全协议。整个系统的安全强度实际上取决于所使用的安全协议的安全性。二、计算机安全涉及计算机硬件、软件和数据的安全。所涉及的技术问题主要有：1、容错计算机技术。容错计算机具有的基本特点是：稳定可靠的电源、预知故障、保证数据的完整性和数据恢复等。当任何一个可操作的子系统遭到破坏后，容错计算机能够继续正常运行。2、安全操作系统。操作系统是计算机工作的平台，一般的操作系统都在一定程度上具有访问控制、安全内核和系统设计等安全功能。但相反的例证是微软视窗系统的“NSA密钥”则在很大程度上危害着用户的信息安全。3、计算机反病毒技术。计算机病毒其实是一种在计算机系统运行过程中能够实现传染和侵害的功能程序，是影响计算机安全不容忽视的重要因素。第三节 网络安全胁迫 随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：一、人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。二、人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。三、网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。1、物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。2、访问控制策略访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。(1)入网访问控制入网访问控制为网络访问提供了第一层访问控制。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。(2)网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表 来描述。(3)目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。(4)属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。(5)网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。(6)网络监测和锁定控制网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。第二章 攻击技术第一节 技术分析随着互联网的日益普及，现在连上网的计算机越来越多。网上的黑客站点也是呈几何递增，各种黑客软件的出现让一个只接触互联网很短时间的人很快就能成为一名傻瓜式的黑客。网络的安全问题日益严重。你的计算机一旦接入Internet，就面临着安全性威胁。而最常见的黑客攻击方法有： l 拒绝服务攻击（Denial of Service）包括分布式Ddos攻击l 电子邮件攻击l 缓冲区溢出攻击l 网络监听攻击技术l IP欺骗攻击l 扫描程序与口令攻击l 计算机病毒l 特洛和PGP攻击 一、 IP攻击 这种攻击方式主要应用于用IP协议传送的报文中。它仅适用于少数几种平台。所谓IP欺骗，无非就是伪造他人的源IP地址。其实质就是让一台机器来扮演另一台机器，籍以达到蒙混过关的目的。IP攻击技术只能实现对某些特定的运行Free TCP/IP协议的计算机进行攻击。一般来说，任何使用Sun RPC调用的配置、利用IP地址认证的网络服务、MIT的X Window系统、R服务等这些服务第二节 特洛绎木马和ARP攻击一、特络绎木马Trojan Horse的中文名是特洛伊木马，它是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码以被该变，而一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客早已指定的任务。一旦中了木马，那么你的一切信息都落入了黑客的手中。你的上网密码、信用卡帐号、邮箱密码等等，而且黑客可以随意使用你的硬盘，甚至格式化你的硬盘，让你电脑中的数据完全化为灰烬。由于木马是客户端服务器程序，所以黑客一般是利用别的途径将木马安放到你的电脑中，主要是通过电子邮件和共享的途径进来。然后,木马一般会在以下三个地方安营扎寨:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个文件,大部分木马是使用这三种方式启动的.也有捆绑方式启动的,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上.如果捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存.捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马.非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马由很强的隐蔽性.木马的服务器程序文件一般位置是在c:windows和c:windowssystem中,为什么要在这两个目录下,因为windows的一些系统文件在这两个位置,如果你误删了文件,你的电脑可能崩溃,你不得不重新安装系统.二、ARP攻击网络提示连接出现故障，IP冲突，无法打开网页，频繁弹出错误对话框。如果你的PC有以上的表现，那就要考虑是否遭到ARP攻击了。 ARP欺骗是通过MAC翻译错误造成计算机内的身份识别冲突，它和DOS一样，目前没有特别系统的解决方案，但有一些值得探讨的技术技巧。 一般我们采取安装防火墙来查找攻击元凶，利用ARP detect可以直接找到攻击者以及可能参与攻击的对象。ARP detect默认启动后会自动识别网络参数，当然用户还是有必要进行深入设置。首先要选择好参与内网连接的网卡，这点非常重要，因为以后所有的嗅探工作都是基于选择的网卡进行的。然后检查IP地址、网关等参数。 需要提醒用户的是，检测范围根据网络内IP分布情况来设置，如果IP段不清楚，可以通过CMD下的ipconfig来查看网关和本机地址。不要加入过多无效IP，否则影响后期扫描工作。不过遗憾的是，这种方法在很多ARP病毒攻击的情况下并不乐观。首先我们需要管理员多做一些工作，尤其是路由器上的IP地址绑定，并且随时查看网络当前状态是否存在IP伪装终端，先确实找到攻击源并采取隔离措施。第三节 攻击目标要想成功入侵一个系统，之前的准备工作是非常关键的。要想成功，准备一定要充分。试想如果连对方是用的什么样的操作系统，IP地址是多少，有什么样的漏洞等一无所知的话，入侵从何谈起。首先要做的就是确定自己的攻击目标。假设我们的攻击目标是美国的商业公司，那么我们应该先查到它们的IP地址，查IP的方法很多。一般我是用Yahoo的搜索引擎对.com结尾的进行搜索，搜到它的域名后可以直接用Ping命令得到IP地址。还有就是网上有很多的黑客站点将许多的IP地址公布了出来，可以直接得到。接下来就是对目标的扫描。现成的扫描工具太多，我也没有一一用过，一般情况我是用SuperScan对目标的端口进行全面的扫描，找出它那些开放的端口中可以利用的端口，然后用相应的方法进行攻击尝试。第三章 计算机系统物理安全第一节 物理安全概述一、物理安全:信息系统安全的前提 保护计算机设备、设施免遭自然灾害和环境事故（如电磁污染等）以及人为操作失误及计算机犯罪行为导致的破坏。人为的对物理安全的威胁包括：偷窃、废物搜寻、间谍活动二、物理安全包括三个方面环境安全：对系统所在环境的安全保护。区域保护：电子监控灾难保护：灾难的预警、应急处理、恢复设备安全：防盗：上锁，报警器；防毁：接地保护，外壳防电磁信息泄漏：屏蔽，吸收，干扰 三、防止线路截获：预防，探测，定位，对抗抗电磁干扰：对抗外界，消除内部电源保护：UPS，纹波抑制器媒体安全 ：对媒体及媒体数据的安全保护。 媒体的安全 ： 媒体的安全保管。 防盗；防毁、防霉等。媒体数据安全：防拷贝，消磁，丢失。 第二节 场地与机房一、计算机环境计算机系统的安全与外界环境有密切的关系，用户无法改变系统器件、工艺、材料等因素，但能决定工作环境。计算机安装和运行的各种条件包括：工作场地：配电与接地、环境干扰、环境破坏运行条件：温度、湿度、电源人为影响：误操作、盗窃、破坏等自然影响：灾害、雷击、火灾、鼠害等二、机房位置1、机房位置避开场所：有害气体，存放腐蚀、易燃、易爆。潮湿，落雷区域。如在高层、地下室，用水设备下层或隔壁。强振动源和强噪音源。强电磁场干扰。2、洁净与温湿度机房温度：22摄氏度，湿度：50%。温湿度对元器件影响较大，使其参数变化，接触不良，氧化断裂，产生静电等。灰尘、浮飘微粒少，具有通风或增湿去湿保证3、灾害防御系统包括配电系统、火灾报警及消防设施。防御考虑：防水、防静电、防雷击、防鼠害。4、屏蔽处理对主机房及重要信息存储部门防止磁鼓，磁带与高辐射设备等的信号外泄。屏蔽室与外界的所有连接均要采取隔离措施，如信号线、电话线、空调等。由于电缆传输辐射信息的不可避免性，可采用光缆传输。第三节 电磁泄漏一、信息泄漏的两种表现形式从网络进入的攻击所造成的信息泄漏；电磁袭击所造成的电磁泄漏。电磁泄漏的危害：危害计算机周围的人体健康；对周围电子设备形成电磁干扰；导致信息泄密，造成重大损失。1985年荷兰人的实验，是人们认识到电磁泄漏的危害。二、计算机外部设备泄漏主机：各种数字电路的电磁泄漏显示器：视频信号的电磁泄漏键盘：按键开关引起的电磁泄漏打印机：低频电磁泄漏通信设备和电源线：也会产生电磁泄漏。三、二种泄漏方式辐射泄漏：以电磁波的形式辐射出去。由计算机内部的各种传输线、印刷板线路产生。电磁波的发射借助于上述起天线作用的传输来实现。传导泄漏：通过各种线路和金属管传导出去。例如，电源线，机房内的电话线，上、下水管道和暖气管道，地线等媒介。金属导体有时也起着天线作用，将传导的信号辐射出去。最大量和最基本的辐射源是载流导线。四、影响计算机辐射强度的因素主要有1、功率和频率理论分析和计算表明，载流导线中的电流强度越大，辐射源辐射的强度越大；反之则越小。实际测试表明，设备的功率越大，辐射的强度越高。对于传导场来说，信号频率越高，辐射泄漏强度越高。2、与辐射源的距离一般说来，在其它条件相同的情况下，与辐射源越远，场衰减越大，其场强与距离成反比。为此可在机房附近设立隔离带或警戒区，使计算机向本单位以外的辐射场衰减到最小。3、屏蔽状况辐射源是否设置屏蔽措施，对其辐射强度影响很大。第四节 硬件安全网络病毒是我们最熟悉不过的，一般代码都很短，但是破坏力惊人。轻则死机，重则系统数据丢失，无法启动。网络更是给病毒的传播大开绿灯，使得一个才出的病毒可以在短短的几分钟内传遍整个世界。预防计算机病毒主要应做好以下几点：机器专人管理负责。第四章 网络安全内容实践第一节 智能卡安全技术与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体, 一般就像信用卡一样, 由授权用户所持有并由该用户赋与它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时, 智能卡的保密性能还是相当有效的。网络安全和数据保护达些防范措施都有一定的限度, 并不是越安全就越可靠。因而, 在看一个内部网是否安全时不仅要考察其手段, 而更重要的是对该网络所采取的各种措施, 其中不光是物理防范, 还有人员的素质等其他“软”因素, 进行综合评估, 从而得出是否安全的结论。第二节 数据加密技术与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。一、数据传输加密技术。目的是对传输中的数据流加密, 常用的方针有线路加密和端端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密, 并进入TCP/IP数据包回封, 然后作为不可阅读和不可识别的数据穿过互联网, 当这些信息一旦到达目的地, 被将自动重组、解密, 成为可读数据。二、数据存储加密技术。目是防止在存储环节上的数据失密, 可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现; 后者则是对用户资格、格限加以审查和限制, 防止非法用户存取数据或合法用户越权存取数据。三、数据完整性鉴别技术。目的是对介入信息的传送、存取、处理的人的身份和相关数 据内容进行验证, 达到保密的要求, 一般包括口令、密钥、身份、数据等项的鉴别, 系统通过对比验证对象输入的特征值是否符合预先设定的参数, 实现对数据的安全保护。四、密钥管理技术。为了数据使用的方便, 数据加密在许多场合集中表现为密钥的应用, 因此密钥往往是保密与窃密的主要对象。密钥的媒体有: 磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。第三节 防火墙安全技术“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有二类, 标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界, 即公用网; 另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(dual home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的边疆, 可以确保数据包不能直接从外部网络到达内部网络,反之亦然。随着防火墙技术的进步, 双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置, 使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问者对专用网络的非法访问。一般来说, 这种防火墙是最不容易被破坏的。结束语计算机安全实用技术既包括了网络安全、物理安全、技术安全。在实践过程中我认为网络主要关心的应该是预防，提前避免不必要的事情发生。加强对网络的维护，加强个人技术的提升，针对不同网络做出不同的规划策略。网络安全的具体意义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐，同时也避免其它用户的非授权访问和破坏。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。从本质上来讲，我们要做的就是网络系统的硬件、软件及其系统中的数据要受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是所要研究的领域参考文献1符彦惟计算机网络安全实用技术清华大学出版社2008第22页2徐超汉计算机网络安全实用技术电子工业出版社2009第105页3余柏山Inte