浅析网络安全技术

浅析网络安全技术目录摘要 3一、绪论 3（一）课题背景及目的 3（二）网络安全技术概述 4二、网络在开放的同时存在的安全问题 4（一）安全机制的局限性 4（二）安全管理机制的建立与完善 5（三）安全工具产生的影响 5（四）网络系统在安全方面的不足 5（五）只要有程序，就可能存在BUG 6（六）黑客攻击的力度 6三、网络安全技术案例 6（一）国外 6（二）国内 7四、网络安全体系的探讨 8（一）病毒的防范 8（二）运用防火墙 8（三）采用入侵检测系统 9（四）漏洞扫描系统 9（五）IP盗用问题的解决，在路由器上捆绑IP和MAC地址 9（六）利用网络监听维护子网系统安全 10结语 10致谢词 11参考文献 11摘要简单介绍计算机网络的产生发展以及计算机网络安全问题产生的原因，并通过举例等方法提出了解决计算机网络安全问题的预防和解决办法，探讨在当前网络的发展中，网络在开放的同时存在的安全问题、安全机制的局限性、安全管理机制的建立与完善、安全工具产生的影响、系统在安全方面的不足、网络系统的漏洞等。并提出了解决网络安全问题的办法：网络安全体系的完善，网络病毒的防范，运用防火墙，采用入侵检测系统，漏洞扫描系统等。关键字：网络

防火墙

黑客一、绪论（一）课题背景及目的二十一世纪全世界的计算机都将通过因特网连接到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在防范措施。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。随着计算机技术的发展，计算机的任务已由基于单机的数学运算、文件处理，基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多。因此，网络安全技术是一个十分复杂的系统工程技术。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题。对于这个问题要从技术上、产业上、政策上来解决它，要看到信息安全的发展是我国高科技产业的一部分，也要看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分。（二）网络安全技术概述过去两个世纪中，工业技术代表了一个国家的军事实力和经济实力。飞速发展的今天，对信息技术的掌握是在二十一世纪增强综合国力的关键。网络的安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。二、网络在开放的同时存在的安全问题计算机网络的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点：（一）安全机制的局限性每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。（二）安全管理机制的建立与完善常用的安全管理机制有：口令管理；各种密钥的生成、分发与管理；全网统一的管理员身份鉴别与授权；建立全系统的安全评估体系；建立安全审计制度；建立系统及数据的备份制度；建立安全事件、安全报警反应机制和处理预案；建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力，还应制定灾难性事故的应急计划，如应急行动方案，资源（硬件，软件，数据等）备份及操作计划，系统恢复和检测方法等。（三）安全工具产生的影响安全工具的使用效果受到人为因素的影响。一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理员和普通用户，不正当的使用就会产生不安全因素。例如，NT在进行合理的设置后可以达到C2级的安全性，但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面，可以通过静态扫描工具来检测系统是否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。（四）网络系统在安全方面的不足系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；比如说：众所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法察觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的Web访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。（五）只要有程序，就可能存在BUG经常玩游戏的人们都知道，游戏里面往往会有很多BUG。很多所谓的“外挂”就是利用了游戏的BUG而制作的。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来，程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。比如说现在很多程序都存在内存溢出的BUG，而安全工具对于利用这些BUG的攻击几乎无法防范。所以说，只要是程序，就可能存在BUG。（六）黑客攻击的力度几乎每天都有不同系统安全问题出现。黑客的攻击手段在不断地更新，而安全工具的更新速度远远落后于攻击手段的更新速度，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具无法发现的手段进行攻击。这就导致了网络安全防范的难度。三、网络安全技术案例（一）国外1996年初，据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计，有53％的企业受到过计算机病毒的侵害，42％的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。1994年末，俄罗斯黑客弗拉基米尔.利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。1996年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“美国司法部”的主页改为“美国不公正部”，将司法部部长的照片换成了阿道夫.希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。1996年9月18日，黑客又光顾美国中央情报局的网络服务器，将其主页由“中央情报局”改为“中央愚蠢局”。1996年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。（二）国内1996年2月，刚开通不久的Chinanet受到攻击，且攻击得逞。1997年初，北京某ISP被黑客成功侵入，并在清华大学“水木清华”BBS站的“黑客与解密”讨论区张贴有关如何免费通过该ISP进入Internet的文章。1997年4月23日，美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个PPP用户侵入中国互联网络信息中心的服务器，破译该系统的shutdown帐户，把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。1996年初CHINANET受到某高校的一个研究生的攻击；96年秋，北京某ISP和它的用户发生了一些矛盾，此用户便攻击该ISP的服务器，致使服务中断了数小时。2010年，Google发布公告称讲考虑退出中国市场，而公告中称：造成此决定的重要原因是因为Google被黑客攻击。四、网络安全体系的探讨现阶段为保证网络正常工作常用的方法如下：（一）病毒的防范病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。我们将病毒的途径分为：(1)通过FTP，电子邮件传播。(2)通过软盘、光盘、磁带传播。(3)通过Web游览传播，主要是恶意的Java控件网站。(4)通过群件系统传播。病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。（二）运用防火墙利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。（三）采用入侵检测系统入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。（四）漏洞扫描系统解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。（五）IP盗用问题的解决，在路由器上捆绑IP和MAC地址当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC地址是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器。（六）利用网络监听维护子网系统安全对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的