网络安全技术论文.doc

计算机信息管理学院本科学年论文登记表 姓 名 郝龙江 学 号 802102152 专 业 计算机科学与技术 班 级 08计科一班 指导教师 导师职称 最终成绩 计算机信息管理学院学年论文写作指导记录初稿指导记录初稿提交时间指导内容：导师意见： 指导教师签字及日期学生签字及日期二稿指导记录修改稿提交时间指导内容：导师意见： 指导教师签字及日期学生签字及日期三稿指导记录修改稿提交时间指导内容：导师意见：指导教师签字及日期学生签字及日期指导教师评语论文打印稿提交时间指导教师评阅意见：指导教师建议论文成绩： 指导教师： 年 月 日 内蒙古财经学院本科学年论文网络安全技术浅析 网络安全技术解决方案作 者 郝龙江 系 别 计算机信息管理学院 专 业 计算机科学与技术 年 级 08计科一班 学 号 802102152 指导教师 导师职称 内 容 提 要网络安全技术是指致力于解决诸如如何有效进行介人控制，以及如何保证数据传输的安全性的技术手段，主要包括物理的安全分析技术，网络结构安全分析技术，系统安全分析技术。管理安全分析技术，以及其他的安全服务和安全机制策略，其目标是确保计算机网络的持续健康运行。关键词：计算机网络；网络故障：网络维护；安全技术 Abstract网络安全技术浅析 网络安全技术解决方案随着计算机联网的逐步实现，Internet前景越来越美好，全球经济发展正在进入信息经济时代，知识经济初见端倪。网络安全越来越受到重视。网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全是一个十分复杂的系统工程。所以安全产业将来也是一个随着新技术发展而不断发展的产业。网络安全主要是信息安全，那么 计算机信息的保密问题显得越来越重要，无论是个人信息通信还是电子商务发展，都迫切需要保证Internet网上信息传输的安全，需要保证信息安全。信息安全技术是一门综合学科，它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。 所谓网络安全性，用最朴实的话来说就是：用一组规则约束所有的网络活动，只有被允许的活动才能正常运行，所有不允许的活动都被禁止。那什么样的活动是不允许的？什么样的活动会对网络安全造成文协呢？一般来说有七种。1.1网络窃听 在广域网中，每个节点都能读取网上的数据，这是互联网的主要脆弱点。互联网体系结构允许监视器接受网上传输的所有数据桢而不考虑传输目的地址，这种特性使得窃听网上的数据或非授权访问很容易且不易被发现。1.2 完整性破坏当信息系统被有意或无意的修改或破坏时，就会发生数据完整性破坏。1.3数据修改数据修改是在非授权和不能监测的方式下对数据的改变。当节点修改加入网中的桢并传送修改版本时就发生了数据修改。即使采用某些级别的认证机制，此种供给也能危及可信节点的通信。1.4 重发重发就是重复一份保文或报文的一部分，以便产生一个被授权效果。当节点考贝发到其他节点的报文并在其后重发它们时，如果不能检测重发，节点依据此报文的内容接受某些操作。1.5假冒 当一个实体假扮成另一个实体时，就发生了假冒。很多网络适配器都允许网桢的源地址由节点自己来选取或改变，这就使冒充变得较为容易。1.6服务否认当一个授权实体不能获得对网络资源的访问或当紧急操作被推迟时，就发生了服务否认。这可能是由网络部件的物理损坏而引起的，也可能由超载而引起。1.7计算机病毒这是一种人为编制的隐藏在计算机中很难被发现且具有特定破坏能力的程序或代码，能够通过软盘。硬盘。通信链路和其他途径在计算机网络能转播和蔓延，具有极大的破坏性。 计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多,存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。下面介绍了计算机安全技术的解决方案1物理隔离技术 所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。 实施内外网物理隔离，技术上可以确保： 在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网，同时防止内部网信息通过网络连接泄露到外部网。 物理隔离的指导思想与防火墙有很大的不同：防火墙绝不是物理隔离产品，防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问，又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说，其关键的都在于使数据有选择的通过，而不是彻底的把数据隔离。物理隔离与防火墙是两个不同的安全策略，它们功能互补，但不能互相代替。它们二者的安全策略非常清楚，即：把需要保密的内部数据，进行100%的保护，实行物理隔离，而对可公开的数据，则交由防火墙去保护。 为了更好的掌握物理隔离技术及物理隔离产品的选择重点，我们从以下几个方面进行探讨：一：物理隔离的方式物理隔离常见的方式有物理安全隔离卡、物理隔离集线器、物理隔离网闸等。 ，物理安全隔离卡 物理安全隔离卡是物理隔离的低级实现形式，一个物理安全隔离卡只能管一台个人计算机，甚至只能在Windows环境下工作，每次切换都需要开关机一次。物理安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一台工作站可在完全安全状态下联结内、外网。物理安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线连接主板，另一边连接IDE硬盘，内、外网的连接均须通过网络安全隔离卡。PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。 在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。 ，物理隔离集线器 网络安全隔离集线器是一种多路开关切换设备，它与网络安全隔离卡配合使用。它具有标准的RJ-45接口，入口与网络安全隔离卡相连，出口分别与内外网络的集线器（HUB）相连。它检测网络安全隔离卡发出的特殊信号，识别出所连接的计算机，自动将其网络线切换至相应的网络HUB上。实现多台独立的安全计算机与内外两个网络的安全连接以及自动切换，进一步提高了系统的安全性。并且解决了多网布线问题，可以让连接两个网络的安全计算机只通过一条网络线即可与多网切换连接。对现存网络改进有较大帮助。 ，物理隔离网闸 物理隔离网闸，是利用双主机形式，从物理上来隔离阻断潜在攻击的连接。其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有文件“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击，无法入侵，无法破坏。 物理隔离网闸(GAP)的硬件主要包括三部分：分别是专用安全隔离切换装置（数据暂存区）、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元。这种独特和巧妙的设计，保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元，从而实现内外网的安全隔离。2 网络认证技术(1)口令认证，当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交该对象的口令，认证方收到口令后，将其与系统中存储的用户El令进行比较，以确认被认证对象是否为合法访问者。但这种明文输入的口令，很容易泄密，传输过程中也可能被截获，系统中所有用户的口令以文件形式存储在认证方，攻击者还可以利用系统中存在的漏洞获取系统的口令文件。而且这种认证只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证，这使得攻击者可能伪装成系统骗取用户的口令。(2)双因素认证，除口令外，还必须拥有系统颁发的令牌访问设备，当用户向系统登录时，用户除输人口令外，还必须输入令牌访问设备所显示的数字，该数字与认证服务器同步，不断变化。这种方法比基于口令的认证方法具有更好的安全性，在一定程度上解决了口令认证方法中的问题(3)Kerberos，该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第 方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。(4)CHAP，使用3次握手周期性的验证对端身份。在链路建立初始化时这样做，也可以在链路建立后任何时间重复验证。(5)x509证书及认证框架，X509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密，然后再用接收者的公共密钥对DES进行加密并将之附于信息之上，这样接收者可用对应的专用密钥打开DES密锁，并对信息解密。 目前,常用的身份识别技术主要是基于RAD IUS的鉴别、授权和管理(AAA) 系统。RAD IUS ( remote authentica2tion dial in user service)是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档,如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用RAD IUS技术的产品。3 病毒防护技术在早期的单机环境下，病毒主要有寄生性、隐蔽性、非法性、传染性、破坏性、潜伏性、可触发性等特点，随着计算机网络在工作、生活、学习中发挥着越来越重要的作用，各种网络安全问题逐渐增多，网络病毒越发趋于复杂，除具有单机环境下的特点外，还呈现出感染速度快、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大等新的特点。与此同时，许多防病毒厂商也升级了一些新的防病毒技术，主要包括数字免疫系统、监控病毒源技术、主动内核技术、 “分布式处理”技术、安全网管技术。防病毒网关放置在内部网络和互联网连接处。当在内部网络内发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。目前,代表性的产品有亿邮防病毒网关、中网电子邮件防病毒网关、北信源防毒网关等4 防火墙技术防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合，包括计算机硬件和软件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外，还有多种防火墙产品正朝着数据安全与用户认证，防止病毒与黑客侵入等方向发展。VPN防火墙是目前较先进的防火墙技术。VPN防火墙，在增加了用户安全的基础上，增加了VPN功能，通过VPN功能更能够保证企业内部网络的安全，使得用户远程访问也变得更加安全。相对于其它的网络产品而言，VPN防火墙的技术含量较高，价格相对比较高一些，企业选购需要注意哪些问题呢？什么样的VPN防火墙更能够适合你的需要呢？下面笔者就给大家推荐几款防火墙，希望能够在企业选购防火墙时能够有所帮助。VPN防火墙是指集成了VPN功能的防火墙，我们知道防火墙能够增强网络内部的安全，阻止外部的非法用户或是数据通过防火墙，使只允许授权的数据通过，VPN防火墙可以通过VPN功能，在不安全的互联网上提供一个虚拟专用网络，这样就能够保证远程访问的时候，保证企业机密数据的安全。一般来说VPN防火墙具有以下几个特点：1、管理网络用户权限：防火墙只允许被授权的用户或是数据通过，而非法数据会被拒之门外，同时能够方便的监视网络的安全性，并在网络受到不安全因素的影响时报警。2、NAT地址转换：通过防火墙的NAT技术，可以将有限的动态或静态IP地址与内部的IP地址相对应，用来缓解IP地址空间的短缺。3、虚拟专用网络：VPN防火墙能够通过VPN技术，为用户提供虚拟专用网络，使得数据能够安全的通过互联网传送，保证企业数据的安全5 入侵检测系统(Intrusion detection system，简称IDS)IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企业、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。它作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应人侵。与其他安全产品不同的是， 人侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得m有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。具体说来，人侵检测系统的主要功能有：监测并分析用户和系统的活动，核查系统配置和漏洞评估系统关键资源和数据文件的完整性，识别已知的攻击行为，统计分析异常行为，操作系统日志管理、并识别违反安全策略的用户活动。信息网络的发展本身就是信息安全防护技术和信息安全攻击技术不断搏弈的过程。随着信息安全技术的发展，我们经历了从基本安全隔离、主机加同阶段、到后来的网络认证阶段、直到将行为监控和审计也纳入安全的范畴。这样的演变不仅仅是为了避免恶意攻击，更重要的是为了提高网络的可信度。安全与反安全就像矛盾的两个方面，总是不断地向上攀升.6.虚拟专用网 随着商务的发展,办公形式的改变, 分支机构之间的通信有很大需求,如果使用公用的互联网络来进行通信,而不是架设专用线路,这样,就可以显著降低使用成本。VPN( virtual p rivate network)即虚拟专用网是解决这一问题的方法。VPN建立一条通过公众网络