专业导论课程论文.doc

自动化学院2008级网络工程“专业导论”考试（课程论文） （题目 对网络信息安全的认识）课 程 名 称 专业导论 考 试 方 式 论文 姓 名 李俊威 学 号 3108001265 专 业 网络工程 成 绩 指 导 教 师 程良伦教授 学习时间：2008年10月6日至2008年12月7日摘要：该论文是我通过电子邮件，网络的安全与效率，威胁网络的手段，网络信息安全的常用手段来阐述我对网络信息安全的认知。关键词：安全电子邮件 Security and efficiency1安全电子邮件解决方案随着计算机技术和通信技术的飞速发展，信息化的浪潮席卷全球。运用信息化手段，个人、企事业或政府机构可以通过信息资源的深入开发和广泛利用，实现生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化，有效降低成本，提高生产效率，扩大市场，不断提高生产、经营、管理、决策的效率和水平，进而提高整个单位的经济效益和竞争力。在这之中，电子邮件起到越来越重要的作用。然而，电子邮件作为当前和未来网络使用者的重要沟通方式，不可避免地涉及到众多的敏感数据，如财务报表、法律文件、电子订单或设计方案等等，通过传统电子邮件方式的工作方式，由于互联网的开放性、广泛性和匿名性，会给电子邮件带来很多安全隐患： 用户名和口令的弱点：传统的邮件系统是以用户名和口令的方式进行身份认证的，由于用户名和口令方式本身的不安全因素：口令弱、明文传输容易被窃听等造成整个邮件系统的安全性下降。 信息的机密性：邮件内容包括很多商业或政府机密，必需保证邮件内容的机密性。然而，传统的邮件系统是以明文的方式在网络上进行流通，很容易被不怀好意的人非法窃听，造成损失；而且邮件是以明文的方式存放在邮件服务器中的，邮件管理员可以查看所有的邮件，根本没有任何对邮件机密性的保护。 信息的完整性：由于传统的邮件发送模式，使得邮件中的敏感信息和重要数据在传输过程中有可能被恶意篡改，使得邮件接受者不能收到完整的邮件信息而造成不必要的损失。 信息的不可抵赖性：由于传统的邮件工作模式（用户名口令、明文传输等），对邮件没有任何的保护措施，使得邮件发送和接受的双方都不能肯定邮件的真实性和机密完整性，同时双方都可以否认对邮件的发送和接受，很难在出现事故的时候追查某一方的责任。 针对普通邮件存在的安全隐患，北京天威诚信电子商务服务有限公司（iTruschina）推出了基于PKI（Public Key Infrastructure，公钥基础设施）技术的、易于实施的、完善的安全电子邮件解决方案。采用天威诚信的产品和服务，构架客户的CA认证系统（CA：Certification Authority，认证中心）或为客户提供邮件证书服务，为电子邮件用户发放数字证书，邮件用户使用数字证书发送加密和签名邮件，来保证用户邮件系统的安全： 使用邮件接收者的数字证书（公钥）对电子邮件的内容和附件进行加密，加密邮件只能由接收者持有的私钥才能解密，只有邮件接收者才能阅读，确保电子邮件在传输的过程中不被他人阅读、截取和篡改； 使用邮件发送者的数字证书（私钥）对电子邮件进行数字签名，邮件接收者通过验证邮件的数字签名以及签名者的证书，来验证邮件是否被篡改，并判断发送者的真实身份，确保电子邮件的真实性和完整性，并防止发送者抵赖。天威诚信安全电子邮件解决方案考虑用户的使用习惯，提供两种不同的解决方案： 在采用传统的邮件客户端软件（如Outlook、Outlook Express、Netscape messenger和Notes等）收发电子邮件时，邮件客户端已经集成了安全邮件的应用，用户获取数字证书后，对邮件客户端进行安全设置，就能够发送安全电子邮件。 对于通过Web方式收发邮件（简称为Webmail），天威诚信提供安全Webmail产品，电子邮件系统配置安全Webmail后，将为Webmail增加安全Web邮件的功能，用户通过Web方式就能够收发加密签名邮件。2网络的安全与效率企业建网站，最痛苦的是莫过于有限的经费和无限的性能要求。网站设计者对硬件得投入总是慎之有慎：小型机太贵了，不如用PC做负载均衡；对外提供的服务多，还是多买几台PC，每两台提供一种服务，整体性能和可靠性都有保证；安全不能不考虑，防火墙至少要有一台。北京某企业门户网站正是按照这个想法开始建设，决定提供WEB、FTP下载、在线点播等服务，并预定了开通日期。 网站系统联调阶段，猛然发现，当初考虑欠妥，只有一个公网的IP地址能用，要提供的服务却有一大堆。而且，大部分防火墙所宣称的“负载均衡”，并非是网络层的“负载均衡”，而是基于代理，只能支持WEB，不支持其他业务，尤其是网站苦心开发多年，赖以生存的特色服务。若不是意外发现了高阳信安的DS2000-Biz防火墙，当初做设计的小伙子就面临下岗了。 高阳信安的DS2000-Biz防火墙外表上和大多数防火墙没有多大区别，提供了外网、内网接口，对外提供服务的服务器都放置在DMZ区。说明书很简洁，内容却非常详细，按照手册的要求略作配置，防火墙就工作了。 简单的设定了几条安全规则后，注意力集中在了解决网络地址问题上。可是，在DS2000-Biz的设置软件中，可以发现，问题的解决异乎寻常的简单。首先将公网的IP地址赋予外网端口。然后，设置动态地址转换，将内网的地址段映射到公网的IP地址，内网的用户已经能正常的访问INTERNET了。将公网的IP地址的80端口分配给WWW服务，依次填入2台WWW服务器在DMZ区的IP地址，找一台笔记本电脑拨号上网，用浏览器访问一下，正常。在后台可以看到，2台WWW服务器都工作了，负载基本相同。 FTP服务器的负载均衡设置与此相识，很简单。同样测试了一下，工作情况良好。其实，FTP服务的负载均衡很难实现。因为WWW服务是无连接的，每个请求发向哪一台服务器没有影响；但FTP服务不同，防火墙必须 “记住”每一条连接，并“保持”住。DS2000-Biz防火墙在这方面的智能化程度较高，用户省去许多烦恼。 解决了FTP服务器之后，在线点播服务也顺利实现。DS2000-Biz防火墙通过复用唯一的一个公网IP地址，全部实现了公司内部上网和对外提供多种服务的要求，而且，相互之间丝毫没有冲突，基于网络层的“负载均衡”工作流畅，一切是如此轻松。 一切安装完毕后，安全检测必不可少。PIN扫描、SYN 攻击、IP碎片攻击，无论是WIN NT还是最近流行的LINUX都该倒下了，可是处于DS2000-Biz防火墙保护下的服务器居然没有反应。再轮番用ISS、SAINT扫描、模拟攻击，依然没有发现漏洞。防火墙的状态监测可以清楚的看到每一次攻击的行为，使在一旁做模拟攻击的哥们很泄气。 做性能测试没有成功，也几乎不可能成功。当6台服务器都处于满负荷工作状态时，DS2000-Biz防火墙显然还游刃有余，丢包率为0%。将来投入实际使用时，网络瓶颈只会是数据专线。 “工欲善其事，必先利其器”， 借助高阳信安的DS2000-Biz防火墙，企业门户网站的安全与效率二者得兼，网管员完全放心了，今后只需要集中精力考虑网站的自身发展了。3威胁计算机网络信息的手段 计算机网络安全是保证网络正常运行、维护网上正常秩序、提高网络效率的基本前提。网络信息安全主要包括信息的保密性和完整性。网络信息面临被窃密和破坏的威胁。 通信侦察指在信息传输过程中，网络破坏者采用通信侦察设备对无线电信号进行侦收（侦听）、对有线电信号进行窃听，获得有用信息。 电磁截获指电子设备在工作过程中，电磁波会向四周辐射，如果被网络破坏者截获，就会造成信息泄密；近来的研究已发展到可在1000 m以外接受计算机显示器上辐射的电磁波信息并用普通电视复现这些信息。 介入浏览指网络破坏者对存贮在计算机网络中的数据进行检索和查看，以窃取有用信息。 网络信息被破坏可通过通信干扰、病毒介入、黑客侵袭和实体破坏等手段来实施。 通信干扰指在信息传输过程中，网络破坏者将在通信侦察的基础上，采用无用信号对网络系统中有用信号进行干扰压制；特别是无线电信号容易受通信干扰设备的干扰，无法接受到有用信号而造成信息的中断破坏。 病毒介入指计算机病毒侵入网络系统后，影响网络系统的正常运行，造成网络信息的破坏。轻者占用存储空间，影响系统的工作效率，重者毁掉重要数据，甚至删除所有数据，导致整个系统瘫痪。 黑客侵袭指网络破坏者对计算机的数据进行修改、删除或安插假信息、假命令，可以很容易地造成信息破坏。 实体破坏指网络破坏者采用暴力手段摧毁网络系统实体，造成网络信息的彻底破坏；实体的破坏还可能由于可靠性、人为操作、自然灾害（如雷电、火险、水灾、地震等）对系统构成严重威胁；雷电是电子时代的一大公害，他产生的强电磁脉冲能烧毁电子设备元器件。4网络信息安全的常用手段 网络信息安全技术通常从防止信息窃密和防止信息破坏2方面来考虑。 (1) 通信反侦察 网络在传输信息过程中很容易被网络破坏者侦收，为了防止这一点，有线电通信常采用光缆和可防窃听的保密电缆线路等；无线电通信则通常采用扩频技术、悴发传输技术、毫米波和激光通信技术等，这几种通信手段都具有强的抗截获能力和抗干扰能力。 (2) 防电磁泄露 计算机系统电磁辐射泄露也会使信息失密，因此，通常采用机房屏蔽和设备屏蔽技术来抑制和防护电磁辐射泄漏。机房屏蔽是用屏蔽室对计算机系统实施屏蔽。屏蔽性能最好的是采用实体的钢和钢板的双层屏蔽以及双层间绝缘的屏蔽室。设备屏蔽，比如为防止视频显示器电磁辐射，在其玻璃上喷涂一层导电薄膜，在玻璃周围用导电条将导电薄膜与机壳相连接地，达到屏蔽电磁场的效果。另外，还要从设备的研制和生产上加以考虑（如改善电路布局、搞好电源线路和信号线路滤波等）电子设备电磁辐射的防护和抑制。 (3) 防火墙技术 防火墙是目前所有保护网络的方法中最能普遍接受的方法，而且防火墙技术还属于新兴技术，95%的入侵者无法突破防火墙。防火墙的主要功能是控制对受保护网络的非法往返访问，他通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用来防范内外部的非法访问。 防火墙是阻止网络入侵者对网络进行访问的任何设备。此设备通常是软件和硬件的组合体，他通常根据一些规则来挑选想要或不想要的地址。防火墙可用软件构成，也可由硬件或软、硬件共同构成。软件部分可以是专利软件、共享软件或免费软件，而硬件部分是指能支持软件部分运行的任何硬件。网络中的防火墙有2种：包过滤器和应用网关。 包过滤器主要工作于OSI协议栈的网络层和运输层，常实现于路由器上，一般基于IP包信息（源IP地址、目的IP地址、TCPUDP端口）制定过滤规则。由IP包信息可以制定包过滤器的逻辑过滤规则，封锁外部网上的用户与内部网上重要站点的连接或与某些端口的连接，也可以对内封锁与外部某些IP地址的连接。这种防火墙技术实现简单，易于配置，但也有其局限性，如过滤规则的制定较复杂且一般路由器不具有任何记录功能，无法防范基于高层协议的威胁。应用级网关运行代理服务程序，将所有跨越防火墙的通信链路分成2段，实现了内外信息的隔离，并对内部网的IP地址空间进行映像，屏蔽了内部的拓扑结构和主机IP地址，限制了网外用户的未授权访问和黑客的非法入侵，提高了安全性。其不足之处是对不同的服务需配置专用代理服务软件，且需要较强的硬件支持，网络的开放性较差。 电路网关主要功能是监视通信双方的TCP会话握手信号，若合法就为双方建立连接，其后不再进行过滤直接进行转发，通常这种技术不以独立的产品出现而与其他网关结合在一起。 (4) 密钥管理 网络安全系统运行效率的高低与密钥管理密切相关，若对于DES和RSA密码体制丢失了密钥，则整个网络安全系统变成为虚有。密钥管理由密钥的产生、分配和安装3个部分组成。 (5) 通信保密 在计算机网络中，通信保密分为链路加密、结点加密和端对端加密。在这3种方式中，端端加密从成本、灵活性和保密性方面看是优于其他两种方式的。端端加密指的是在发送结点加密数据，在中间结点传送加密数据（数据不以明文出现），而在接受结点解密数据。 (6) 文件保密 网络中的重要资源是文件，网络安全系统一般采用口令、访问控制等安全措施，但这些措施抗渗透性不强，容易被伪造、假冒，从而使非法用户侵入文件系统，针对这种