(最新整理)网络安全技术及其发展趋势

1、(完整)网络安全技术及其发展趋势(完整)网络安全技术及其发展趋势 编辑整理：尊敬的读者朋友们：这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)网络安全技术及其发展趋势）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快 业绩进步，以下为(完整)网络安全技术及其发展趋势的全部内容。网络安全技术及其发展趋势邓奇强摘要:介绍目前网络安全存在的威胁因素、网络安全的基本技术

2、，提出了我国网络安全的发展趋势.关键词：网络安全，技术，发展趋势中国分类号：tp39308 文献标识码：a 文章编码：1671-9743（2005)02009303网络安全经过了20 多年的发展，已经发展成为一个跨多门学科的综合性科学，它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等,在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。 密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。 加密算法是一些公式和法则，它规定了明文和密文之间的变换方法。 由于

3、加密算法的公开化和解密技术的发展，加上发达国家对关键加密算法的出口限制,各个国家正不断致力于开发和设计新的加密算法和加密机制.1、 什么是网络安全网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保您信息网络的安全性。2、网络安全存在的威胁因素一般认为,目前网络存在的威胁主要表现在:非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。

4、它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等.信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息)，信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。破坏数据完整性:以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。拒绝服务攻击：它不断对网络服务系统进行

5、干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。利用网络传播病毒:通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。3、 网络安全的基本技术由于网络所带来的诸多不安全因素，使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。 如今，快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括数据加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。3.1防火墙技术“防火墙”是一种形象的说法!

6、 其实它是一种由计算机硬件和软件的组合！ 使互联网与内部网之间建立起一个安全网关(scurity gateway）,从而保护内部网免受非法用户的侵入. 所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有二类，标准防火墙和双家网关。标准防火墙墙系统包括一个unix工作站，该工作站的两端各接一个路由器进行缓冲。 其中一个路由器的接口是外部世界, 即公用网;另一个则联接内部网。标准防火墙使用专门的软件，并要求较高的管理水平%而且在信息传输上有一定的延迟. 双家网关（dual home gateway)则是标准防火墙的扩充,又称堡垒主机(botion host）或应用层网关（application

7、s layer gateway），它是一个单个的系统, 但却能同时完成标准防火墙的所有功能.其优点是能运行更复杂的应用， 同时防止在互联网和内部系统之间建立的任何直接的边疆, 可以确保数据包不能直接从外部网络到达内部网络，反之亦然。随着防火墙技术的进步，双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关(隐蔽子网)。 隐蔽主机网关是当前一种常见的防火墙配置。 顾名思义，这种配置一方面将路由器进行隐蔽， 另一方面在互联网和内部网之间安装堡垒主机. 堡垒主机装在内部网上， 通过路由器的配置， 使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安

8、全级别最商的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击. 隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问. 一般来说，这种防火墙是最不容易被破坏的。3。2 数据加密技术与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性， 防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展， 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外， 从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展.按作用不同， 数据加密技术主要分

9、为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。(1）数据传输加密技术目的是对传输中的数据流加密，常用的方针有线路加密和端端加密两种.前者侧重在线路上而不考虑信源与信宿， 是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密， 并进入tcp/ip数据包回封，然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地， 被将自动重组、解密，成为可读数据。(2）数据存储加密技术目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现； 后者则是对用户资格、格限加以审查和限制%！ 防

10、止非法用户存取数据或合法用户越权存取数据.（3)数据完整性鉴别技术目的是对介入信息的传送、存取、处理的人的身份和相关数! 据内容进行验证%！ 达到保密的要求， 一般包括口令、密钥、身份、数据等项的鉴别， 系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。(4）密钥管理技术为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用， 因此密钥往往是保密与窃密的主要对象。 密钥的媒体有：磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。3。3 网络地址转换技术(nat）网络地址转换器也称为地址共享器(address

11、 share)或地址映射器，设计它的初衷是为了解决ip地址不足，现多用于网络安全。 它是一个ietf标准，允许一个机构以一个地址出现在internet 上nat将每个局域网节点的地址转换成一个ip 地址，反之亦然。 它也可以应用到防火墙技术里,把个别ip 地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，从而隐藏内部网络，达到保密作用，使系统的安全性提高，同时，它还帮助网络可以超越地址的限制,合理地安排网络中的公有internet 地址和私有ip地址的使用.3。4 操作系统安全内核技术除了在传统网络安全技术上着手，人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性

12、问题的部分从内核中剔除出去，从而使系统更安全。 操作系统平台的安全措施包括：采用安全性较高的操作系统；对操作系统的安全配置；利用安全扫描系统检查操作系统的漏洞等。美国国防部(dod）技术标准把操作系统的安全等级分成d1、c1、c2、b1、b2、b3、a 级,其安全等级由低到高。目前主要的操作系统的安全等级都是c2级（例如,unix、windows nt)，其特征包括：用户必须通过用户注册名和口令让系统识别；系统可以根据用户注册名决定用户访问资源的权限；系统可以对系统中发生的每一件事进行审核和记录；可以创建其他具有系统管理权限的用户。b1 级操作系统除上述机制外，还不允许文件的拥有者改变其许可权

13、限。b2级操作系统要求计算机系统中所有对象都加标签,且给设备（如磁盘、磁带或终端)分配单个或多个安全级别.3.5 身份验证技术身份验证（identification）是用户向系统出示自己身份证明的过程。 身份认证是系统查核用户身份证明的过程！ 这两个过程是判明和确认通信双方真实身份的两个重要环节，人们常把这两项工作统称为身份验证（或身份鉴别）.(1）数字签名基于公共密钥的身份验证公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者,即任何得到公开密钥的人都可以生成和发送报文,数字签名机制则在此基础上提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题！数字签名一般采用不对称加密技术（如r

14、sa）,通过对整个明文进行某种变换，得到一个值，作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文，则签名有效，证明对方的身份是真实的。 当然，签名也可以采用多种方式，例如，将签名附在明文之后！ 数字签名普遍用于银行、电子商务等的身份验证。（2）kerberos 系统基于dce/kerberos 的身份验证kerberos系统是美国麻省理工学院为athena 工程而设计的，为分布式计算环境提供一种对用户双方进行身份验证的方法。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户,如是合法的用户，再审核该用户是否有权对他所请求的服务或主机进行访问.从加

15、密算法上来讲，其身份验证是建立在对称加密的基础上的.3.6 网络防病毒技术由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。 网络反病毒技术包括预防病毒、检测病毒和消毒三种技术：（1）预防病毒技术:它通过自身常驻系统内存，优先获得系统的控制权,监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏! 这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等).(2）检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。（3)消毒技术：它通过对计算机病毒的分

16、析，开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。4、 网络安全的发展趋势从技术上,网络安全取决于两个方面：网络设备的硬件和软件. 网络安全则由网络设备的软件和硬件互相配合来实现的。但是，由于网络安全作为网络对其上的信息提供的一种增值服务，人们往往发现软件的处理速度成为网络的瓶颈，因此，将网络安全的密码算法和安全协议用硬件实现，实现线速的安全处理仍然将是网络安全发展的一个主要方向。对于我国而言，网络安全的发展趋势将是逐步具备自主研制网络设备的能力，自发研制关键芯片，采用自己的操作系统和数据库，以及使用国产的网管软件。中国计算机安全的关键是要有自主的知识产权和关键技术,从根本上摆脱对外国技术的依赖. 另一方面，在安全技术不断发展的同时，全面加强安全技术的应用也是网络安全发展的一个