计算机网络安全个人作业

网络安全 问题 已成为信息时代人类共 同面临的挑战 网络信 息安全问题成为当务之急 如果不很好地解决这个问题 必将影 响我国信息化的进程 一 计算机网络安全的含义 计算机网络安全的具体含义会随着使用者的变化而变化 使 用者不同 对 网络安全的认识和要求也就不同 例如从普通使用 者的角度来说 可能仅仅希望个人隐私或信息在网络上传输时 避免被窃听 篡改和伪造 而网络提供商除了关心这些网络信息 安全外 还要考虑如何应付突发的自然灾害 军事打击等对网络 硬件的破坏 以及出现异常时如何恢复通信 保持网络通信的连 续性 从本质上来讲 网络安全包括组成网络系统的硬件 软件 及其在网络上传输信息的安全性 网络安全既有技术方面的问题 也有管理方面的问题 两方面相互补充 缺一不可 二 网络攻击和入侵途径 网络入侵是指网络攻击者通过非法的手段 如破译 口令 电 子欺骗等 获得非法的权 限 并通过使用这些非法的权限使网络 攻击者能对被攻击的主机进行非授权的操作 网络入侵的主要途 径有 破译口令 I P 欺骗和 D N S 欺骗 口令是计算机系统抵御入侵者的一种重要手段 所谓口令入 侵是指使用某些合法用户的账号和 口令登录到 目的主机 然后再 实施攻击活动 这种方法 的前提是必须先得到该主机上的某个合 法用户的账号 然后再进行合法用户 口令的破译 I P 欺骗是指攻击者伪造别人的 I P 地址 让一台计算机假 冒 另一台计算机 以达到蒙混过关的目的 它只能对某些特定的运行 T C P I P 的计算机进行入侵 I P 欺骗利用 了 T C P I P 网络协议 的 脆弱性 入侵者假冒被入侵主机的信任主机与被入侵主机进行连 接 并对被入侵主机所信任的主机发起淹没攻击 使被信任的主 机处于瘫痪状态 当主机正在进行远程服务时 网络入侵者最容 易获得 目标网络的信任关系 从而进行 I P 欺骗 I P 地址确实属于一个被信任客户 三 网络安全的防范措施 计算机网络安全防范的重点是防范计算机病毒和黑客犯罪 具体地讲 要达到以保密性 信息完整性 服务可用性 可控性 系统易用性和可审查性 一 提高安全意识 加大安全管理力度 对网络系统的安全来说 最重要的是网络系统体系的 安全 管理 应遵 七分管理 三分技术 的安全原则 因此 要保证 网络安全 首先必须重视 网络安全管理 要把 网络安全管理的各 项措施落到实处 二 利用网络安全技术 1 防火墙技术 防火墙是一种被广泛采用的重要的安全技术 它在内部网络与因特网之间建立起一个安全网关 通过监测 限 制 更改数据流 尽可能地对外部网络屏蔽有关被保护网络的信 息 从而达到抵御来自外部网络的攻击 防止不法分子入侵 保 护内部网络资源的 目的 可见 防火墙技术最适合于在企业专网 中使用 特别是在企业专网与公共网络互联时使用 2 入侵检测技术 入侵检测技术是一种主动保护自己免受黑 客攻击 的网络安全技术 它具有监视分析用户和系统的行为 审 计系统配置和漏洞 评估敏感系统和数据的完整性 识别攻击行 为 对异常行为进行统计 自动收集和系统相关的补丁 进行审 计跟踪识别违反安全法规的行为等功能 使系统管理员可以有效 地监视 审计 评估 自己的系统 3 漏洞扫描技术 漏洞扫描是 自动检测远端或本地主机安全 脆弱点的技术 它查询 T C P I P 端口并纪录目标的响应 收集 关 于某些特定项 目的有用信息 这项技术具体是由安全扫描程序实 现的 安全扫描程序能够对一个系统的代码进行反复获取 编译 和运行 并对上述检测所获得的大量数据进行分析 从而可以快 速地在较大范围内发现系统的脆弱点 域名系统 D N s 是一种用于 T C P I P 应用程序的分布式数据 库 它提供主机名字和 I P 地址之间的转换信息 通常网络用户通 过 U D P 协议和 D N S 服务器进行通信 而服务器在特定的 5 3 端口监 听 并返回用户所需的相关信息 D N S 协议不对转换或信息性的 更新进行身份认证 这使得该协议被人以一些不同的方式加以利 用 当攻击者危害 D N S 服务器并明确地更改主机名一 I P 地址映 射 表时 D N S 欺骗就会发生 这些改变被写入 D N S 服务器上的转 换 表 因而 当一个客户机请求查询时 用户只能得到这个伪造的 地址 该地址是一个完全处于攻击者控制下的机器的 I P 地址 因 为网络上的主机都信任 D N S 服务器 所以一个被破坏的 D N S 服 务 器可以将客户引导到非法的服务器 也可以欺骗服务器相信一个 4 加密技术 采用密码加密技术对信息加密 是最常用的安 全保护措施 该技术的特征是利用现代的数据加密技术来保护网 络系统中包括用户数据在内的所有数据流 只有指定的用户或网 络设备才能够解译加密数据 总之 在我国 网络研究起步较晚 网络安全技术还有待提 高和发展 为了确保网络的安全运行 除了做好上述的技术措施 之外 我们还要建立严密的管理制度 制定完善的管理措施 提 高人们对网络安全的认识 加强伦理道德教育 完善法律 法规 对计算机犯罪进行法律制裁 随着网络技术的不断发展 计算机 网络会有一个和谐和安全的环境 摘要 互联网络 Internet 起源于 1969 年的 ARPANet 最初用于军事 目的 1993 年开始用于商业应用 进入快速发展阶段 到目前为止 互连网已经覆盖了 5 个国家和 地区的数千万台计算机 用户数量超过一 亿 随着计算机网络的普及 计算机网络的应用向深度和广度不断 发展 企业上网 政府上网 网上学校 网上购 物 一个网络化社会的雏形已经展现在我们面前 在网络给人 们带来巨大的便利的同时 也带来了一些不容 忽视的问题 网络信息的安全保密问题就是其中之一 l 网络信息安全的涵义 网络信息既有存储于网络节点上信息 资源 即静态信息 又有传播于网络节点间 的信息 即动态信息 而这些静态信息和动 态信息中有些是开放的 如广告 公共信息 等 有些是保密的 如 私人间的通信 政府 及军事部门 商业机密等 嘲络信息安全一 般是指网络信息的机密性 Confidentiality 完整性 Integrity 可用性 Availability 及真 实性 Authenticity 网络信息的机密性是指 网络信息的内容不会被未授权的第三方所 知 网络信息的完整性是指信息在存储或传 输时不被修改 破坏 不出现信息包的丢失 乱序等 即不能为未授权的第三方修改 信 息的完整性是信息安全的基本要求 破坏信 息的完整性是影响信息安全的常用手段 当 前 运行于瓦联嘲上的协议 如 TCP IP 等 能够确保信息在数据包级别的完整性 即做 到了传输过程中不丢信息包 不重复接收信 息包 但却无法制止未授权第 i 方对信息包 内部的修改 网络信息的可用性包括对静态 信息的可得到和可操作性及对动态信息内 容的可见性 网络信息的真实性是指信息的 可信度 主要是指对信息所有者或发送者的 身份的确认 前不久 美国计算机安全专家又提出了 一种新的安全框架 包括 机密性 Confidentiality 完整性 Int Availability 真实性 Authenticity 实用性 utitity 占有性 Possession 即在原来的 基础上增加了实用性 占有性 认为这样才 能解释各种网络安全 口 J 题 网络信息的实用 性是指信息加密密钥不可丢失 不是泄密 丢失了密钥的信息也就丢失了信息的实用 性 成为垃圾 嘲络信息的占有性是指存储 信息的节点 磁 c 等信息载体被盗用 导致 对信息的占用权的丧失 保护信息占有性的 方法有使用版权 专利 商业秘密性 提供物 理和逻辑的存取限制方法 维护和检查有关 盗窃文件的审记记录 使用标签等 2 攻击互联网络安全性的类型 对互联网络的攻击包括对静态数据的 攻击和对动态数据的攻击 对静态数据的 攻击主要有 1 口令猜测 通过穷举方式搜索口令空 间 逐一测试 得到口令 进而非法入侵系 统 2 tP 地址欺骗 攻击者伪装成源自一 台内部主机的一个外部地点传送信息包 这 些信息包中包含有内部系统的源 IP 地址 冒名他人 窃取信息 3 指定路由 发送方指定一信息包到达 目的站点的路由 而这条路由是经过精心设 计的 绕过设有安全控制的路由 根据对动态信息的攻击形式不同 可以 将攻击分为手动攻击和被动攻击两种 被动攻击主要是指攻击者监听网络上 传递的信息流 从而获取信息的内容 interception 或仅仅希望得到信息流的长 度 传输频率等数据 称为流最分析 traffic analysis 被动攻击和窃听示意图如图 l 图 除了被动攻击的方式外 攻击者还可以 采用土动攻击的方式 主动攻击是指攻击者 通过有选择的修改 删除 延迟 乱序 复制 插入数据流或数据流的一部分以达到其非 法目的 丰动攻击可以归纳为中断 篡改 伪 造三种 见罔 3 中断是指阻断由发送方到 接收方的信息流 使接收方无法得到该信 息 这是针对信息可用性的攻击 如图 4 篡改是指攻击者修改 破坏由发送方到接收 方的信息流 使接收方得到错误的信息 从 而破坏信息的完整性 如图 5 伪造足针对 信息的真实性的攻击 攻击者或者是首先记 录一段发送方与接收方之 日 j 的信息流 然后 在适当时间向接收方或发送方重放 playback 这段信息 或者是完全伪造一段 信息流 冒充接收方可信任的第三方 向接 收方发送 3 网络安全机制应具有的功能 由于上述威胁的存在 因此采取措施对 网络信息加以保护 以使受到攻击的威胁减 到最小是必须的 一个网络安全系统应有如 下的功能 1 身份识别 身份识别足安全系统应具 备的最基本功能 这是验证通信双方身份的 有效手段 用户向其系统请求服务时 要出 示自己的身份证明 例如输入 UserID 和 Password 而系统虑具备查验用户的身份证 明的能力 对于用户的输入 能够明确判别 该输入是否来自合法用户 2 存取权限控制 其基本任务是防止非 法用户进入系统及防止合法用户对系统资 源的非法使用 在开放系统中 网上资源的 使用应制订一些规定 一是定义哪些用户可 以访问哪些资源 二是定义可以访问的用户 各自具备的读 写 操作等权限 3 数字签名 即通过一定的机制如 RSA 公钥加密算法等 使信息接收方能够 做出 该信息是来自某一 数据源且只可能来 自该数据源 的判断 4 保护数据完整性 既通过一定的机制 如加入消息摘要等 以发现信息是否被非法 修改 避免用户或主机被伪信息欺骗 5 审计追踪 既通过记录日志 对一些有关信息统计等手段 使系 统在出现安全问 题时能够追查原因 6 密钥管理 信息加密是保障信息安全 的重要途径 以密文方式在相对安全的信道 上传递信息 可以让用户比较放心地使用网 络 如果密钥泄露或居心不良者通过积累大 量密文而增加密文的破译机会 都会对通信 安全造成威胁 因此 对密钥的产生 存储 传递和定期更换进行有效地控制而引入密 钥管理机制 对增加网络的安全性和抗攻击 性也是非常蕈要的 4 网络信息安全常用技术 通常保障网络信息安全的方法有两大 类 以 防火墙 技术为代表的被动防卫型 建立在数据加密 用户授权确认机制上的开 放型网络安全保障技术 1 防火墙技术 防火墙 Firewall 安 全保障技术主要是为了保护与互联网相连 的企业内部网络或单独节点 它具有简单实 用的特点 并且透明度高 可以在不修改原 有网络应用系统的情况下达到一定的安全 要求 防火墙一方面通过检查 分析 过滤从 内部网流出的 IP 包 尽可能地对外部网络 屏蔽被保护网络或节点的信息 结构 另一 方面对内屏蔽外部某些危险地址 实现对内 部网络的保护 2 数据加密与用户授权访问控制技术 与 舫火墙相比 数据加密与用户授权访问控制 技术比较灵活 更加适用于开放网络 用户 授权访问控制书要用于对静态信息的保护 需要系统级别的支持 一般在操作系统中实 现 数据加密主要用于对动态信息的保护 前面已经提到 对动态数据的攻击分为主动 攻击和被动攻击 我们注意到 对于主动攻 击 虽无法避免 但却可以宵效的检测 而对 于被动攻击 虽无法检测 但却町以避免 而 实现这一切的基础就是数据加密 数据加密 实质上是对以符号为基础的数据进行移位 和置换的变换算法 这种变换是受称为密钥 的符号串控制的 在传统的加密算法中 加 密密钥与解密密钥是相同的 或者可以由其 中一个推知另一个 称为对称密钥算法 这 样的密钥必须秘密保管 只能为授权用户所 知 授权用户既可以用该密钥加密信息 也 可以用该密钥解密信息 有了信息加密的手段 我们就可以对动 态信息采取保护措施了 为了防止信息内容 泄露 我们可以将被传送的信息加密 使信 息以密文的形式在网络上传输 这样 攻击 者即使截获了信息 也只是密文 而无法知 道信息的内容 为了检测出攻击者篡改了消 息内容 可以采用认证的方法 即或是对整个信息加密 或是由一 些消息认证函数 MAC 函数 生成消息认证码 Message Authentication Code 再对消息认证码加密 随信息 4 同发送 攻击者对信息的修改将导 致信息与消息认 正码的不一致 从而达到检 测消息完整性的目的