网络安全与信息安全现代网络与信息安全

网络安全与信息安全现代网络与信息安全 大学计算机基础计算机科学概论 题目：现代网络与信息安全 论 文 目录 第一章 现代网络技术 3 1网络 _ ?3 2网络的定义 ?4 3计算机网络的分类 ?4 4网络协议 ?5 5本章小结 ?6 第二章 信息安全 7 初识信息安全 ?7 信息安全的定义 ?7 密码学与信息加密技术 ?8 防火墙技术?9 入侵检测技术 ?10 信息隐藏技术 ?11 本章小结 ?12 现代网络与信息安全 提要 随着计算机技术的突飞猛进，计算机网络的日新月异，网络已经深入到我们生活之中。无论是小到家庭，还是大到企业甚至国家，网络都成为了必不可缺的一部分。本文讲解了有关网络历史，网络技术等内容，旨在增强我们对网络的认知和深入了解。然而我们对这个网络究竟了解多少，我们是否能意识到给我们生活、工作带来快捷、便利的网络同时所潜伏的不安全因素。因此，信息安全成为了我们在研究网络技术的同时又一个重要的研究领域。 关键字：网络 协议 互联网 信息 安全 防火墙 第一章 现代网络技术 1 网络 _ 1.1全球发展史 我想，要了解网络，我们就应该先了解它的发源。而据显示，网络最初的是美国国防部的一个军事网络，即最初的网络并非民用或商业网络，而是军事网络，其开发的目的也就不约而同的与战争联系了起来。70年代，美国国防部开始进行DARPA 计划，开始架设高速且有弹性的网络，重点是当美、前苏两地间的网络如果断线时，资料仍可经由别的国家绕道，到达目的地。也就是说，第一次网络的出现，与美苏争霸有着必然的联系。而这次美方战略计划的成果就是ARPANET 。之后随冷战的解冻，ARPANET 也慢慢开放给民间使用。但是美国基于军事安全上的考虑，另外成立了国家科学基金会，建立NSFNET ，专门负责全球性民间的网络交流。这就是美国的Inter 。 其实，还有比Inter 出现更早的网络。在计算机时代早期，众所周知的巨型机时代，计算机世界被称为分时系统的大系统所统治。分时系统允许你通过只含显示器和键盘的哑终端来使用主机。哑终端很像PC ，但没有它自己的CPU 、内存和硬盘。靠哑终端，成百上千的用户可以同时访问主机。这是如何工作的呢？原来，分时系统能将主机时间分成片，给用户分配时间片。片很短，会使用户产生错觉，以为主机完全为他所用。在七十年代，大的分时系统被更小的微机系统 所取代。微机系统在小规模上采用了分时系统。所以说， 并不是直到七十年代PC 发明后，才想出了今天的网络。尽 管说这种网络是一种狭义上的网络，但是它的出现无不为 以后的网络打下了良好的基础。 1969年12月，Inter 的前身美国的ARPA 网 投入运行，它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化，它为后来的计算机网络打下了基础。 进入九十年代，计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII 后，全世界许多国家纷纷制定和建立本国的NII ，从而极大地推动了计算机网络技术的发展，使计算机网络进入了一个崭新的阶段。目前，全球以美国为核心的高速计算机互联网络即Inter 已经形成，Inter 已经成为人类最重要的、最大的知识宝库。 1.2国内发展史 纵观我国互联网发展的历程，我们可以将其划分为以下4个阶段： 一、 从1987年9月20日钱天白教授发出第一封E-mail 开始，到1994年4月20日NCFG 正式连入Inter 这段时间里，中国的互联网在艰苦地摸索着前行。 二、 从1994-1997年11月中国互联网信息中心发布第一次中国Inter 发展状况统计报告，互联网已经开始从少数科学家手中的科研工具，走向广大群众。人们通过各种媒体开始了解到互联网的神奇之处：通过谦价的方式方便地获取自己所需要的信息。 三、 1998-1999年中国网民开始成J 型曲线增长，上网变成了一种需求。据资料显示，很多企业学校纷纷进入了网络时代，从以前的“纸上谈兵”到“PPT 教学”。对于IT 业来说，这无疑是一个机遇也是一场挑战。 四、 进入2000年后，中国的网络又迈向了新的步伐。到目前为止在我国已形成四大互联网络： 中国公用计算机互联网（China NET） 中国教育科研网（CERNET ） 中科院科技网（CSTNET ） 中国金桥网（ChinaGBN ） 2 网络的定义 当谈到这个话题，虽然自己接触网络已有六年之久，但是对于什么是网络，目前还没有一个明确的认识。通过查阅书籍，发现在计算机发展的不同阶段，人们给出了计算机网络的不同定义。 广义的观点定义了计算机通信，用户透明性的观点定义了分布式计算机系统，而资源共享的观点的定义能比较准确地描述计算机网络的基本特征。 资源共享观点将计算机网络定义为“以能够共享资源的方式互联起来的自治计算机系统的集合”。 而我认为，网络并不是单纯的计算机通信，它是一种信息的分享与传递，就如同构建了一个巨大的平台，我们将共享的信息放在上面，供有享有权的用户使用。 综上所述，计算机网络就是利用网络通信设备和线路将地理位置分散的，具有独立功能的多个计算机连接起来，按照功能完善的网络软件，即网络通信协议，信息交换方式和网络操作系统等，进行数据通信，以实现网络中资源共享和信息传递的系统。 3 计算机网络的分类 1、按网络覆盖的地理范围分类： （1）、局域网：局域网是计算机在比较小的范围内由有线通信线路组成的网络。如我们平常的多媒体教室就以其构建，或利用局域网构建平台玩对战游戏等。 （2）、城域网：城域网规模局限在一座城市的范围内，覆盖的范围从几十公里至数百公里，城域网基本上是局域网的延伸，通常使用与局域网相似的技术，但是在传输介质和布线结构方面牵涉范围比较广。 （3）、广域网：覆盖的地理范围非常广，又称远程网，在采用的技术、应用范围和协议标准方面有所不同。 但就目前而言，我们对网络的这种分类已经趋向模糊，加上随着光纤网络的发展使得网络的这种分类愈加单一化。 2、按传榆介质分类： （1）、有线网：采用同轴电缆、双绞线，甚至利用有线电视电缆来连接的计算机网络。 （2）、无线网：用空气做传输介质，用电磁波作为载体来传播数据。目前我们众所周知的wifi ，3G 等无线网络已经是较为普遍的无线网络。尽管它与有线网比较，较为方便快捷，但是也存在信号不稳定和安全性差等问题。 3、按网络的拓扑结构分类： （1）、星型网络：各站点通过点到点的链路与中心相连，特 点是很容易在网络中增加新的站点，数据的安全性和优先级 容易控制，易实现网络监控，但一旦中心节点有故障会引起 整个网络瘫痪。 （2）、总线型网络：网络中所有的站点共享一条数据通道， 总线型网络安装简单方便，需要铺设的电线最短，成本低， 某个站点的故障一般不会影响整个网络，但介质的故障会 导致网络瘫痪，总线网安全性低，监控比较困难，增加新 站点也不如星型网络容易。一般网吧采用此模式。 （3）、树型网络 （4）、环型网络 （5）、网状型络 4、按网络的功能划分： （1）电路交换 （2）报文交换 （3）分组交换 4、按通信方式分类： （1）、点对点传输网络 （2）、广播式传输网络 4 网络协议 4.1网络协议的概念 它是指计算机网络中进行数据交换而建立的规则、标准或约定的集合。这就如同，我们要想进入一家影院去看电影，就要去买票，每一张票就会对应一个座位号，而网络亦是如此，它也有自己的“座位号“。协议是用来描述进程之间信息交换数据时的规则术语。在计算机网络中，两个相互通信的实体处在不同的地理位置，其上的两个进程相互通信，需要通过交换信息来协调它们的动作和达到同步，而信息的交换必须按照预先共同约定好的过程进行。 一个网络协议至少包括三要素: 语法 用来规定信息格式；数据及控制信息的格式、编码及信号电平等。 语义 用来说明通信双方应当怎么做；用于协调与差错处理的控制信息。 定时 定义了何时进行通信，先讲什么，后讲什么，讲话的速度等。 4.2 不同协议的作用 IP:网际协议，它是 TCP/IP 体系中两个最重要的协议之一，IP 使互连起来的许多计算机网络能够进行通信。无连接的数据报传输. 数据报路由。 ARP （地址解析协议），实现地址转换：将IP 地址转换成物理地址。 RARP （逆向地址解析协议）， 将物理地址转换成IP 地址。 ICMP:Inter 控制消息协议，进行差错控制和传输控制，减少分组的丢失。 4.3 IP地址的分类 目前的IP 地址（IPv4）由32个二进制位表示，每8位二进制数为一个整数，中间由小数点间隔，经查看，我自己的IP 地址为222.247.53.22。整个IP 地址空间有4组8位二进制数，表示主机所在网络的地址以及主机在该网络中的标识共同组成。 为了便于寻址和层次化的构造网络，IP 地址被分为A 、B 、C 、D 、E 五类，商业应用中只用到A 、B 、C 三类。 A 类地址：A 类地址的网络标识由第一组8位二进制数表示，网络中的主机标识占3组8位二进制数，A 类地址的特点是网络标识的第一位二进制数取值必须为“0”。不难算出，A 类地址允许有126个网段，每个网络大约允许有1 670万台主机，通常分配给拥有大量主机的网络（如主干网）。 B 类地址：B 类地址的网络标识由前两组8位二进制数表示，网络中的主机标识占两组8位二进制数，B 类地址的特点是网络标识的前两位二进制数取值必须为“10”。B 类地址允许有16 384个网段，每个网络允许有65 533台主机，适用于结点比较多的网络（如区域网）。 C 类地址：C 类地址的网络标识由前3组8位二进制数表示，网络中的主机标识占1组8位二进制数，C 类地址的特点是网络标识的前3位二进制数取值必须为“110”。具有C 类地址的网络允许有254台主机，使用于结点比较少的网络（如校园网，针对湖南大学校园，做了如下调查。湖南大学校园网络建于1996年，呈环形与星型相结合的网络拓扑结构。我校申请到的CERNET 网IP 地址有20480个，CHINANET 网的IP 地址80个。目前本校已经拥有了IPV4和IPV6两种IP 地址。而无线校园网接入业务使用动态主机配置协议，用户不需设置本机IP 信息，IP 信息自动获取，这种获取方式更加快捷方便。） 5本章小结 本章简要的介绍了计算机网络的基本知识，旨在通过对这些知识的了解，使我们认识到网络的发展和其博大精深，更加对网络的学习产生积极的影响。 通过介绍网络的全球发展，让我们了解到了网络最初的，并且怎样一步步走向今天如此庞大的互联网（其实网络不仅仅只有互联网，例如航天有专用的航天网，军事有专用的军事网等等）。我们同时了解到了中国网络技术起步较晚，但是仍然跟随着 _脚步，努力的奋斗着。通过对计算机网络的分类，我们认识到了不同的分类方式，产生了不一样的网络系统特性，有按照距离划分，有按照功能划分，也有按照通信方式划分等等。通过对网络协议的简单了解，我们明白了Inter 是由大量的计算机连接在一个巨大的通信平台上，他们共同遵循TCP/IP，并通过一定方式将数据发送到这个平台上，供合法用户分享与使用。因 此，网络的传播是广泛的，这就不免的为一些不法分子（黑客等）利用网络攻击其他用户提供了场所。 总之，网络是一把双刃剑，在带给我们利益的同时也暗暗引发着一定的祸端。因此，信息的保密与安全成为了必不可少的话题。 第二章信息安全 6初识信息安全 从人类原始的情感交流方式发展到现代通信技术，经历了漫长的历史过程。但这些通讯都符合一个基本模型，即信源信道信宿。只要有信息传递，就必然存在第三方的窃取，小到聊天信息，大到国家企业机密。而信息的不安全正是由于非法的用户通过传播病毒，计算机漏洞等方式查看他人信息而导致的。无论是个人、企业，还是政府机构，只要使用计算机网络，都会存在安全问题。一般来说，计算机网络本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。一方面，计算机网络的硬件和通信设施极易受自然环境和人为的物理破坏；另一方面，计算机网络的软件资源和数据信息易受到非法窃取、复制、篡改等。对于这些因素，一方面我们要加强自我认知能力，辨别虚假信息（如拒绝接收不明的电子邮件，因为它很有可能携带病毒；访问正规合法的网站）；另一方面，这便是信息安全学界应该为之而拼搏的事情。因此，信息安全的问题 _。 7信息安全的定义 7.1 信息安全的定义 : 信息安全就是保护信息及其关键要素，包括使用、存储以及传输信息的系统和硬件等。 对于它的定义我们可以从两方面探讨，一方面是信息的保护，另一方面是信息的辨认。首先，信息的保护是从自身信息来讲，对于自己的信息如何安全有效的传达给目标对象而不被第三方窃取与篡改，是保护的重点内容；其次，是外部信息的辨认，针对每一个信息，我们要知道他的，以确保其合法性，如有些网站表面上看是正规的，但实际上是一个钓鱼网站，这时我们如果输入帐号密码便会被第三方窃取。而我们通常使用的杀毒软件自带的病毒库亦是如此，它会将大量以前的病毒收集起来，存入病毒库中。当有不明文件载入计算机时，它会对其进行辨认，方法是利用统计学原理，分析整合病毒库中的病毒样本，通过计算机的综合比对判断出该文件是否隐藏有病毒。因此，对于装有杀毒软件的用户，应该及时更新病毒库，确保新的病毒能够被识别。 因此内部信息的保护和外部信息的辨认相辅相成，缺一不可。 7.2 信息安全的3种特性： （1）机密性：信息的机密性确保了只有那些有足够权限并且经证实有这个需要的人，才能够访问该信息。 （2）完整性：完整性即指整体性, 完全性, 以及未受侵蚀的特性或状态。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误；另一方面是指信息处理方法的正确性。 （3）可用性：可用性也是信息的一种特性，在信息处于可用状态时， 信息及相关的信息资产在授权人需要的时候可以立即获得。 7.3 信息安全实施途径 信息安全计划的实施可以通过自下而上和自上而下两种途径来实现 ： （1）自下而上方法：指系统管理员试图从系统的底层来增强系统的安全。 （2）自上而下方法：高层管理者提供资源和指导，发布政策、措施以及处理步骤，指定项目的目标和预期效益，每个步骤都必须有专人负责。 8 密码学与信息加密技术 8.1密码学基本概念 最初对加密的了解，是在一些影视作品中认识的，而大多数与谍战有着密切的关系。也就是说，密码学在战争时期大量被用于军事战略之中。 信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段，它以数学计算为基础，信息论和复杂性理论是其两个重要组成部分。密码学的发展历程大致经历了三个阶段：古代加密方法、古典密码和近代密码。 密码学的概念是研究信息系统安全保密的科学，是密码编码学和密码分析学的统称。 在密码学中，有一个五元组：明文，密文，密钥，加密算法，解密算法，对应的加密方案称为密码体制。 明文：是作为加密输入的原始信息，即消息的原始形式，通常用m 或p 表示。 密文:是明文经加密变换后的结果，即消息被加密处理后的形式，通常用c 表示。 密钥：是参与密码变换的参数，通常用K 表示。 加密算法：是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程，通常用E 表示，即c=Ek（p ） 解密算法：是将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程，通常用D 表示，即p=Dk（c ） 对于有实用意义的密码体制而言，总是要求它满足： p=Dk（Ek （p ），即用加密算法得到的密文总是能用一定的解密算法恢复出原始的明文。 这种密码体系在电子邮件中有着广泛的应用。例如，我们在使用Outlook Express 发送邮件时，可以通过数字签名验证身份。首先我们要向商业机构数字标识，数字标识由“公用密钥”“私人密钥”和“数字签名”组成。收到邮件时，利用公用密钥进行加密，然后再使用私人密钥对邮件进行解密和阅读。 8.2加密技术基本原理 加密技术是利用密码学的原理与方法对传输数据提供保护的手段，它以数学计算为基础，信息论和复杂性理论是其两个重要组成部分。加密体制的分类：从原理上可分为两大类：即单钥或对称密码体制和双钥或非对称密码体制。 8.3常见网络数据加密方式 常见的网络数据加密方式有：链路加密：对网络中两个相邻节点之间传输的数据进行加密保护。节点加密：指在信息传输路过的节点处进行解密和加密。端到端加密：指对一对用户之间的数据连续的提供保护。 9 防火墙技术 9.1防火墙初步介绍 防火墙的基本概念：它是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。电脑拥有了这道屏障，便能够较为安全的收发信息。 防火墙的主要功能：过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息和内容对网络攻击检测和告警 防火墙的局限性：网络的安全性通常是以网络服务的开放性和灵活性为代价防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。 防火墙的体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。 防火墙可以分为网络层防火墙和应用层防火墙，这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT 技术等。 9.2技术原理 包过滤技术的工作原理：工作在网络层，通常基于IP 数据包的源地址、目的地址、源端口和目的端口进行过滤。包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。 代理服务技术的工作原理：所谓代理服务器，是指代表客户处理连接请求的程序。工作于应用层，且针对特定的应用层协议。 状态检测技术的工作原理：也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。 9.3个人防火墙 个人防火墙的主要功能：IP 数据包过滤功能安全规则的修订功能对特定网络攻击数据包的拦截功能应用程序网络访问控制功能网络快速切断、恢复功能日志记录功能网络攻击的报警功能产品自身安全功能 个人防火墙的特点：优点：增加了保护级别，不需要额外的硬件资源；除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击；是对公共网络中的系统提供了保护，能够为用户陷隐蔽暴露在网络上的信息，比如IP 地址之类的信息等。缺点：对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁；在运行时需要战胜个人计算机的内存、CPU 时间等资源；只能对单机提供保护，不能保护网络系统。 10 入侵检测技术 10.1入侵检测技术的概念 众所周知，我们在进行各种网上活动（网购，网戏，网聊等）时，需要输入密码，然而这些用键盘输入的密码会被WINDOWS 系统临时记录下来。如WINDOWS 目录下往往有pwl 的密码文件。很多密码被保存在这里，这样如果非法用户侵入我们的系统，便会造成密码外泄。如何避免这种入侵呢？为此我们提供了一种动态的网络检测技术入侵检测。它主要用于识别对计算机和网络资源的恶意使用行为，包括外部用户的入侵行为和内部用户的未经授权活动。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。这样，当我们的密码文件遭到非法访问时，入侵检测便会派上用场。当然，我们也可以人工清理这些密码文件，或者用鼠标密码代替键盘密码。 10.2基于网络和主机的入侵检测系统： 基于网络的入侵检测系统是网络上的一个监听设备(或一个专用主机) ，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。 基于主机的入侵检测系统运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。 10.3入侵检测原理及其分类 入侵检测的原理：通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 入侵检测系统的分类：基于数据源的分类：按数据源所处的位置，把入侵检测系统分为五类：即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统；基于检测理论分类，可分为异常检测和误用检测；基于检测时效的分类，可分为离线检测方式和在线检测方式。 10.4入侵检测技术在WLAN 上的应用 我们都知道，无线信号利用空气传播，因此它更为容易被第三方发现，拦截并窃取。随着无线局域网(WLAN)的发展,WLAN 的安全问题也变得日益严峻。传统的入侵检测系统已不能用于WLAN ，而WLAN 内入侵检测系统的研究和实现才刚刚起步。基础结构模式WLAN 采用分布式网络入侵检测，可用于大型网络；移动自组网中采用基于主机的入侵检测系统，用于检测异常的节点活动和发现恶意节点。为此，需要进一步研究的问题有：在框架上实现原型系统来验证其有效性；在加密的网络环境中更加有效地进行入侵检测。 11 信息隐藏技术 11.1信息隐藏技术的原理 信息隐藏原理与三个方面有关。要讲信息的隐藏，需要了解信息的感知与记忆。我们之所以可以看到某一事物，是由于眼睛的视觉作用，之所以可以听到声音，是由于耳朵的听觉作用，之所以能嗅某一气味是由于鼻子的嗅觉作用?然而我们不能感知所有的实际存在的信息，除了感知灵敏度外，也有其他的因素限制了我们的感知能力。 由于这一特殊的原因，利用我们的感知空白区域的缺陷，我们就能把信息隐藏起来，达到保护信息的目的。 11.2信息隐藏的思路 对于隐藏信息，我们可以隐藏信息本身，或者隐藏储存位置，隐藏传输信道等。对于上网的用户而言，隐藏IP 地址是一种有效防止干扰和提高网速的方法。隐藏IP 的最简单的方式是设置代理。据了解，很