序論:在您撰寫網(wǎng)絡(luò)安全論文時,參考他人的優(yōu)秀作品可以開闊視野�,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導您走向新的創(chuàng)作高度�����。
第1篇
[論文摘要]隨著計算機技術(shù)的發(fā)展���,在計算機上處理業(yè)務(wù)已由單機處理功能發(fā)展到面向內(nèi)部局域網(wǎng)���、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。在信息處理能力提高的同時��,基于網(wǎng)絡(luò)連接的安全問題也日益突出�,探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問題由來以及幾種主要網(wǎng)絡(luò)安全技術(shù)。
隨著計算機網(wǎng)絡(luò)的發(fā)展���,其開放性��,共享性���,互連程度擴大,網(wǎng)絡(luò)的重要性和對社會的影響也越來越大���。而網(wǎng)絡(luò)安全問題顯得越來越重要了��。國際標準化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護�����,保護計算機硬件����、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”�����,上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容�����,其邏輯安全的內(nèi)容可理解為我們常說的信息安全��,是指對信息的保密性��、完整性和可用性的保護��,而網(wǎng)絡(luò)安全性的含義是信息安全的引申��,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性�����、完整性和可用性的保護�。
一�����、網(wǎng)絡(luò)的開放性帶來的安全問題
眾所周知,Internet是開放的����,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客�、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中�,安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問題���,各種安全機制�、策略和工具被研究和應(yīng)用���。然而����,即使在使用了現(xiàn)有的安全工具和機制的情況下�,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點:
(一)每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境
防火墻是一種有效的安全工具���,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)��,限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問�����。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問���,防火墻往往是無能為力的���。因此,對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為����,防火墻是很難發(fā)覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現(xiàn)期望的效果���,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶���,不正當?shù)脑O(shè)置就會產(chǎn)生不安全因素����。例如�,NT在進行合理的設(shè)置后可以達到C2級的安全性����,但很少有人能夠?qū)T本身的安全策略進行合理的設(shè)置�����。雖然在這方面����,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較�����,針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性����。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺�。比如說,眾所周知的ASP源碼問題�����,這個問題在IIS服務(wù)器4.0以前一直存在,它是IIS服務(wù)的設(shè)計者留下的一個后門���,任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼���,從而可以收集系統(tǒng)信息,進而對系統(tǒng)進行攻擊�����。對于這類入侵行為�����,防火墻是無法發(fā)覺的��,因為對于防火墻來說����,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴�。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞�����。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來�,程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用��,而且這種攻擊通常不會產(chǎn)生日志����,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG����,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新����,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題�����,這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢��。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時�,其他的安全問題又出現(xiàn)了。因此�����,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊���。
二�����、網(wǎng)絡(luò)安全的主要技術(shù)
安全是網(wǎng)絡(luò)賴以生存的保障���,只有安全得到保障,網(wǎng)絡(luò)才能實現(xiàn)自身的價值����。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣��,主要的技術(shù)如認證����、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線����。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問���,使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息���。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂�,從而使未被授權(quán)的人看不懂它��。主要存在兩種主要的加密類型:私匙加密和公匙加密���。
1.私匙加密�����。私匙加密又稱對稱密匙加密�,因為用來加密信息的密匙就是解密信息所使用的密匙���。私匙加密為信息提供了進一步的緊密性����,它不提供認證��,因為使用該密匙的任何人都可以創(chuàng)建�����、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快�����,很容易在硬件和軟件中實現(xiàn)��。
2.公匙加密��。公匙加密比私匙加密出現(xiàn)得晚�����,私匙加密使用同一個密匙加密和解密����,而公匙加密使用兩個密匙,一個用于加密信息�����,另一個用于解密信息��。公匙加密系統(tǒng)的缺點是它們通常是計算密集的���,因而比私匙加密系統(tǒng)的速度慢得多����,不過若將兩者結(jié)合起來,就可以得到一個更復雜的系統(tǒng)����。
(三)防火墻技術(shù)
防火墻是網(wǎng)絡(luò)訪問控制設(shè)備�����,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)�����,它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器�,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?�,其中最流行的技術(shù)有靜態(tài)分組過濾�、動態(tài)分組過濾、狀態(tài)過濾和服務(wù)器技術(shù)�����,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比�����,又要考慮安全兼顧網(wǎng)絡(luò)連接能力��。此外���,現(xiàn)今良好的防火墻還采用了VPN�、檢視和入侵檢測技術(shù)�。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略�����;而且防火墻只實現(xiàn)了粗粒度的訪問控制�����,也不能與企業(yè)內(nèi)部使用的其他安全機制(如訪問控制)集成使用���;另外�����,防火墻難于管理和配置�,由多個系統(tǒng)(路由器、過濾器�����、服務(wù)器��、網(wǎng)關(guān)�����、保壘主機)組成的防火墻����,管理上難免有所疏忽����。
(四)入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)�,是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄���,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動�����,從而達到限制這些活動��,以保護系統(tǒng)的安全��。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)���,最好采用混合入侵檢測��,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)����,則會構(gòu)架成一套完整立體的主動防御體系�。
(五)虛擬專用網(wǎng)(VPN)技術(shù)
VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一��,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)�,使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制���,這兩種機制為路由過濾技術(shù)和隧道技術(shù)����。目前VPN主要采用了如下四項技術(shù)來保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)�、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP��、L2TP和Ipsec����。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù),這些安全服務(wù)包括不同強度的源鑒別�����、數(shù)據(jù)加密和數(shù)據(jù)完整性等����。VPN也有幾種分類方法���,如按接入方式分成專線VPN和撥號VPN���;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的���。
(六)其他網(wǎng)絡(luò)安全技術(shù)
1.智能卡技術(shù)�����,智能卡技術(shù)和加密技術(shù)相近�����,其實智能卡就是密匙的一種媒體����,由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致���。智能卡技術(shù)一般與身份驗證聯(lián)合使用���。
2.安全脆弱性掃描技術(shù),它為能針對網(wǎng)絡(luò)分析系統(tǒng)當前的設(shè)置和防御手段�����,指出系統(tǒng)存在或潛在的安全漏洞����,以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)�����。
3.網(wǎng)絡(luò)數(shù)據(jù)存儲�����、備份及容災(zāi)規(guī)劃����,它是當系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復數(shù)據(jù)����,使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。
4.IP盜用問題的解決�。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時�����,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符����,如果相符就放行�����。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息�����。
5.Web����,Email,BBS的安全監(jiān)測系統(tǒng)��。在網(wǎng)絡(luò)的www服務(wù)器���、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)����,實時跟蹤��、監(jiān)視網(wǎng)絡(luò)����,截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www�����、Email、FTP�、Telnet應(yīng)用的內(nèi)容,建立保存相應(yīng)記錄的數(shù)據(jù)庫����。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中心報告�����,采取措施���。
第2篇
[論文摘要]隨著計算機技術(shù)的發(fā)展�,在計算機上處理業(yè)務(wù)已由單機處理功能發(fā)展到面向內(nèi)部局域網(wǎng)�、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。在信息處理能力提高的同時�����,基于網(wǎng)絡(luò)連接的安全問題也日益突出����,探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問題由來以及幾種主要網(wǎng)絡(luò)安全技術(shù)。
隨著計算機網(wǎng)絡(luò)的發(fā)展�,其開放性,共享性����,互連程度擴大,網(wǎng)絡(luò)的重要性和對社會的影響也越來越大�����。而網(wǎng)絡(luò)安全問題顯得越來越重要了��。國際標準化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護��,保護計算機硬件�、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”���,上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容����,其邏輯安全的內(nèi)容可理解為我們常說的信息安全�����,是指對信息的保密性、完整性和可用性的保護��,而網(wǎng)絡(luò)安全性的含義是信息安全的引申�,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護�����。
一�����、網(wǎng)絡(luò)的開放性帶來的安全問題
眾所周知���,Internet是開放的�����,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患����,黑客和反黑客��、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中�����,安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注����。為了解決這些安全問題�,各種安全機制、策略和工具被研究和應(yīng)用����。然而,即使在使用了現(xiàn)有的安全工具和機制的情況下����,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點:
(一)每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境
防火墻是一種有效的安全工具�,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問�。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問,防火墻往往是無能為力的��。因此�,對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的��。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現(xiàn)期望的效果,在很大程度上取決于使用者����,包括系統(tǒng)管理者和普通用戶,不正當?shù)脑O(shè)置就會產(chǎn)生不安全因素����。例如,NT在進行合理的設(shè)置后可以達到C2級的安全性��,但很少有人能夠?qū)T本身的安全策略進行合理的設(shè)置�。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置��,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較�,針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題�,多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說����,眾所周知的ASP源碼問題,這個問題在IIS服務(wù)器4.0以前一直存在�,它是IIS服務(wù)的設(shè)計者留下的一個后門,任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息�,進而對系統(tǒng)進行攻擊。對于這類入侵行為���,防火墻是無法發(fā)覺的����,因為對于防火墻來說�,該入侵行為的訪問過程和正常的WEB訪問是相似的���,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴��。
(四)只要有程序����,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞�。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來,程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG����。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會產(chǎn)生日志��,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG��,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范���。
(五)黑客的攻擊手段在不斷地更新��,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢�����,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題�����,這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢�����。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時�����,其他的安全問題又出現(xiàn)了���。因此����,黑客總是可以使用先進的���、安全工具不知道的手段進行攻擊����。
二��、網(wǎng)絡(luò)安全的主要技術(shù)
安全是網(wǎng)絡(luò)賴以生存的保障�,只有安全得到保障����,網(wǎng)絡(luò)才能實現(xiàn)自身的價值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展�����,其涉及的技術(shù)面非常廣�,主要的技術(shù)如認證、加密���、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線���。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問���,使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂���,從而使未被授權(quán)的人看不懂它���。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密���。私匙加密又稱對稱密匙加密�,因為用來加密信息的密匙就是解密信息所使用的密匙�。私匙加密為信息提供了進一步的緊密性,它不提供認證���,因為使用該密匙的任何人都可以創(chuàng)建����、加密和平共處送一條有效的消息����。這種加密方法的優(yōu)點是速度很快����,很容易在硬件和軟件中實現(xiàn)�����。
2.公匙加密��。公匙加密比私匙加密出現(xiàn)得晚�,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙���,一個用于加密信息���,另一個用于解密信息����。公匙加密系統(tǒng)的缺點是它們通常是計算密集的,因而比私匙加密系統(tǒng)的速度慢得多���,不過若將兩者結(jié)合起來���,就可以得到一個更復雜的系統(tǒng)�。
(三)防火墻技術(shù)
防火墻是網(wǎng)絡(luò)訪問控制設(shè)備�,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù),它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器��,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)��。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?,其中最流行的技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾�����、狀態(tài)過濾和服務(wù)器技術(shù)�����,它們的安全級別依次升高�,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網(wǎng)絡(luò)連接能力�。此外,現(xiàn)今良好的防火墻還采用了VPN���、檢視和入侵檢測技術(shù)�����。
防火墻的安全控制主要是基于IP地址的���,難以為用戶在防火墻內(nèi)外提供一致的安全策略�����;而且防火墻只實現(xiàn)了粗粒度的訪問控制��,也不能與企業(yè)內(nèi)部使用的其他安全機制(如訪問控制)集成使用�����;另外�����,防火墻難于管理和配置����,由多個系統(tǒng)(路由器�����、過濾器���、服務(wù)器�����、網(wǎng)關(guān)���、保壘主機)組成的防火墻,管理上難免有所疏忽�����。
(四)入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?����,F(xiàn)象的技術(shù)���,是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)�。在入侵檢測系統(tǒng)中利用審計記錄�,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動���,以保護系統(tǒng)的安全��。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)�����,最好采用混合入侵檢測���,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)��,則會構(gòu)架成一套完整立體的主動防御體系��。
(五)虛擬專用網(wǎng)(VPN)技術(shù)
VPN是目前解決信息安全問題的一個最新���、最成功的技術(shù)課題之一,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)���,使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播�。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制���,這兩種機制為路由過濾技術(shù)和隧道技術(shù)���。目前VPN主要采用了如下四項技術(shù)來保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)��、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認證技術(shù)(Authentication)���。其中幾種流行的隧道技術(shù)分別為PPTP�、L2TP和Ipsec���。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù)����,這些安全服務(wù)包括不同強度的源鑒別���、數(shù)據(jù)加密和數(shù)據(jù)完整性等���。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN��;按隧道協(xié)議可分為第二層和第三層的��;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的��。
(六)其他網(wǎng)絡(luò)安全技術(shù)
1.智能卡技術(shù)����,智能卡技術(shù)和加密技術(shù)相近���,其實智能卡就是密匙的一種媒體,由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字����,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用���。
2.安全脆弱性掃描技術(shù)�,它為能針對網(wǎng)絡(luò)分析系統(tǒng)當前的設(shè)置和防御手段��,指出系統(tǒng)存在或潛在的安全漏洞����,以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。
3.網(wǎng)絡(luò)數(shù)據(jù)存儲����、備份及容災(zāi)規(guī)劃,它是當系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復數(shù)據(jù)�����,使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。
4.IP盜用問題的解決�。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時��,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符��,如果相符就放行�。否則不允許通過路由器�,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
5.Web�����,Email�,BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器����、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),實時跟蹤���、監(jiān)視網(wǎng)絡(luò)�����,截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容�����,并將其還原成完整的www��、Email���、FTP�����、Telnet應(yīng)用的內(nèi)容���,建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容�,及時向上級安全網(wǎng)管中心報告,采取措施�。
第3篇
近來較典型的是蠕蟲與木馬,比如說木馬程序它通過將自身偽裝吸引用戶下載執(zhí)行����,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞����、竊取被種者的文件�����,甚至遠程操控被種者的電腦�。近來就出現(xiàn)許多人的網(wǎng)絡(luò)賬戶遭到木馬程序盜取的案例�。這些網(wǎng)絡(luò)病毒使人民財產(chǎn)受到嚴重侵害����,也嚴重威脅到我們的正常工作與生活。惡意的攻擊和入侵所謂惡意的攻擊和入侵可對信息的有效性和完整性進行有選擇的破壞�����,也可在不影響網(wǎng)絡(luò)正常工作的情況下��,對網(wǎng)絡(luò)進行數(shù)據(jù)監(jiān)聽����,截獲或捕捉傳播在網(wǎng)絡(luò)中的信息,這是計算機網(wǎng)絡(luò)面臨的主要威脅��,引發(fā)網(wǎng)絡(luò)安全的問題��。
計算機網(wǎng)絡(luò)受到威脅后果嚴重
1.國家安全將遭受到威脅
網(wǎng)絡(luò)黑客攻擊的目標常包括銀行、政府及軍事部門���,竊取和修改信息�。這會對社會和國家安全造成嚴重威脅����,有可能帶來無法挽回的損失。
2.損失巨大
很多網(wǎng)絡(luò)是大型網(wǎng)絡(luò)���,像互聯(lián)網(wǎng)是全球性網(wǎng)絡(luò)����,這些網(wǎng)絡(luò)上連接著無數(shù)計算機及網(wǎng)絡(luò)設(shè)備����,如果攻擊者攻擊入侵連接在網(wǎng)絡(luò)上的計算機和網(wǎng)絡(luò)設(shè)備,會破壞成千上萬臺計算機�,從而給用戶造成巨大經(jīng)濟損失。
3.手段多樣���,手法隱蔽
網(wǎng)絡(luò)攻擊所需設(shè)備簡單���,所花時間短����,某些過程只需一臺連接Internet的PC即可完成�����。這個特征決定了攻擊者的方式多樣性和隱蔽性�����。比如網(wǎng)絡(luò)攻擊者既可以用監(jiān)視網(wǎng)上數(shù)據(jù)來盜取他人的保密信息����;可以通過截取他人的帳號和口令潛入他人的計算機系統(tǒng)����;可以通過一些方法來繞過或破壞他人安裝的防火墻等等。
網(wǎng)絡(luò)安全防范技術(shù)
1.病毒的防范
計算機病毒變得越來越復雜�����,對計算機信息系統(tǒng)構(gòu)成極大的威脅�。在網(wǎng)絡(luò)環(huán)境中對計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。它的入侵檢測技術(shù)包括基于主機和基于網(wǎng)絡(luò)兩種���。單機防病毒軟件一般安裝在單臺PC上�,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒�。對網(wǎng)絡(luò)病毒的防范主要包括預防病毒、檢測病毒和殺毒三種技術(shù)���。網(wǎng)絡(luò)版防病毒系統(tǒng)包括:(1)系統(tǒng)中心:系統(tǒng)中心實時記錄計算機的病毒監(jiān)控�、檢測和清除的信息���,實現(xiàn)對整個防護系統(tǒng)的自動控制���。(2)服務(wù)器端:服務(wù)器端為網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)應(yīng)用而設(shè)計。(3)客戶端:客戶端對當前工作站上病毒監(jiān)控����、檢測和清除,并在需要時向系統(tǒng)中心發(fā)送病毒監(jiān)測報告���。(4)管理控制臺:管理控制臺是為了網(wǎng)絡(luò)管理員的應(yīng)用而設(shè)計的����,通過它可以集中管理網(wǎng)絡(luò)上所有已安裝的防病毒系統(tǒng)防護軟件的計算機。
2.防火墻的配置
首先我們了解防火墻所處的位置決定了一些特點包括(1)所有的從外部到內(nèi)部的通信都必須經(jīng)過它(����。2)只有有內(nèi)部訪問策略授權(quán)的通信才能被允許通過。(3)系統(tǒng)本身具有很強的高可靠性����。所以防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墑是實現(xiàn)網(wǎng)絡(luò)安全最基本����、最經(jīng)濟、最有效的安全措施之一��。防火墻是所有安全工具中最重要的一個組成部分�。它在內(nèi)部信任網(wǎng)絡(luò)和其他任何非信任網(wǎng)絡(luò)上提供了不同的規(guī)則進行判斷和驗證,確定是否允許該類型的信息通過����。一個防火墻策略要符合4個目標�,而每個目標通常都不是通過一個單獨的設(shè)備或軟件來實現(xiàn)的。通過以防火墻為中心的安全方案配置����,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上����。也可對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻���,那么��,防火墻就能記錄下這些訪問并做出日志記錄���,同時,也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)����。當有網(wǎng)絡(luò)入侵或攻擊時,防火墻能進行適當?shù)膱缶?��,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息�����。再次�����,利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分��,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離��,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響�,防止內(nèi)部信息的外泄。
3.數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)
與防火墻相比�,數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)��。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護��,需要系統(tǒng)級別的支持�����,一般在操作系統(tǒng)中實現(xiàn)���。數(shù)據(jù)加密包括傳輸過程中的數(shù)據(jù)加密和存儲數(shù)據(jù)加密�����,對于傳輸加密,一般有硬件加密和軟件加密兩種方法實現(xiàn)���。網(wǎng)絡(luò)中的數(shù)據(jù)加密����,要選擇加密算法和密鑰,可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種���。對稱密鑰算法中���,收發(fā)雙方使用相同的密鑰。比較著名的對稱密鑰算法有:美國的DES���、歐洲的IDEA等��。
4.應(yīng)用入侵檢測技術(shù)
入侵檢測系統(tǒng)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息����,再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)����。入侵檢測系統(tǒng)的功能包括:監(jiān)控和分析系統(tǒng)、用戶的行為�;評估系統(tǒng)文件與數(shù)據(jù)文件的完整性,檢查系統(tǒng)漏洞��;對系統(tǒng)的異常行為進行分析和識別,及時向網(wǎng)絡(luò)管理人員報警����;跟蹤管理操作系統(tǒng),識別無授僅用戶活動�����。具體應(yīng)用就是指對那些面向系統(tǒng)資源和網(wǎng)絡(luò)資源的未經(jīng)授權(quán)的行為進行識別和響應(yīng)��。入侵檢測通過監(jiān)控系統(tǒng)的使用情況���,來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的人侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖���。目前主要有兩類入侵檢測系統(tǒng)基于主機的和基于網(wǎng)絡(luò)的。前者檢查某臺主機系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為�,并及時做出響應(yīng)。后者是在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流�,查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵,并對發(fā)現(xiàn)的人侵做出及時的響應(yīng)��。
5.規(guī)范安全管理行為
單單在網(wǎng)絡(luò)安全技術(shù)上提高也是不夠的��,因為網(wǎng)絡(luò)人員也可能是造成網(wǎng)絡(luò)安全的因素��,所以安全管理行為的規(guī)范是必須的����。一要內(nèi)部有完善的安全管理規(guī)范,二要建立基于安全策略的搞笑網(wǎng)絡(luò)管理平臺����。兩方面統(tǒng)籌規(guī)劃部署,達到提高整體安全性的效果���。
第4篇
論文關(guān)鍵詞:IPv6��,網(wǎng)絡(luò)安全
1.基于IPv6的網(wǎng)絡(luò)建設(shè)
在全球互聯(lián)網(wǎng)高度發(fā)展的今天�����,由于網(wǎng)絡(luò)與通信的日益融合���,基于IPv4地址編碼方式已于2011年1月枯竭。那么��,IPv6成為解決IPv4地址耗盡問題的最好解決方法網(wǎng)絡(luò)安全絡(luò)安全論文�����,按照正常方式從IPv4向IPv6轉(zhuǎn)換成功的話,全球所有的終端均可擁有一個IP地址��,從而可實現(xiàn)全球網(wǎng)絡(luò)的概念���。
IPv6是下一版本的互聯(lián)網(wǎng)協(xié)議�����,也可以說是下一代互聯(lián)網(wǎng)的協(xié)議��,它的提出最初是因為隨著互聯(lián)網(wǎng)的迅速發(fā)展�,IPv4定義的有限地址空間將耗盡�,而地址空間的不足必將妨礙互聯(lián)網(wǎng)的進一步發(fā)展。為了擴大地址空間����,通過IPv6以重新定義地址空間。IPv6采用128位地址長度���,幾乎可以不受限制地提供IP地址網(wǎng)絡(luò)安全絡(luò)安全論文�,從而確保了端到端連接的可能性�����。
除了地址分配問題外,IPv6雖然有整體吞吐量��、高服務(wù)質(zhì)量等優(yōu)勢�,但在安全接入方面并不比IPv4更為顯著�。IPv6并不意味著網(wǎng)絡(luò)就自然安全了,雖然不使用地址翻譯���,但仍然會使用防火墻�����,.net本身并不會帶來安全的因素���。IPv6與IPv4面臨同樣的安全問題。
2. IPSec安全協(xié)議
2.1 IPSec安全協(xié)議的體系結(jié)構(gòu)
在IPv6中,IPSec安全協(xié)議是一個協(xié)議套件,主要包括:認證頭(Authentication Header,AH)��、封裝安全載荷(Encapsulating Security Payload,ESP)���、Internet密鑰交換(Internet Key Exchange,IKE)等相關(guān)組件論文開題報告范文論文下載����。它提供的安全服務(wù)有:數(shù)據(jù)源身份驗證,無連接數(shù)據(jù)完整性檢查,數(shù)據(jù)內(nèi)容的機密性保證,抗重播保護以及有限數(shù)據(jù)流機密性保證�����。IPSec協(xié)議的體系結(jié)構(gòu)如圖1所示。
2.2IPSec認證頭AH協(xié)議
認證頭AH用于為IP提供數(shù)據(jù)完成性����、數(shù)據(jù)原始身份驗證和一些可選的、有限的抗重播服務(wù)�。AH定義了對數(shù)據(jù)所實施的安全保護的方法、頭的位置�����、身份驗證的覆蓋范圍,以及輸入和輸出處理規(guī)則,但不對所用的身份驗證算法進行具體定義[���。AH的格式如圖2所示����。認證頭AH有2種工作模式,即傳輸模式和隧道模式���。傳輸模式只對傳輸層數(shù)據(jù)和IP頭中的固定字段提供認證保護,主要適合于主機實現(xiàn)[3]���。隧道模式則對整個IP數(shù)據(jù)提供認證保護。
2.3 IPSec封裝安全載荷ESP協(xié)議
封裝安全載荷ESP為IP提供機密性、數(shù)據(jù)源驗證�、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。ESP的格式不是固定的,依據(jù)采用不同的加密算法而不同,但起始處必須是安全參數(shù)索引(SPI),用以定義加密算法及密鑰的生存周期等��。ESP格式如圖3所示��。封裝安全載荷ESP有2種不同的加密工作模式,即傳輸模式和隧道模式�。傳輸模式ESP只對傳輸層數(shù)據(jù)單元加密,IPv6和各種擴展頭以及ESP中的SPI段用明文傳輸,該方式適用于主機到主機的加密。隧道模式ESP對整個IP分組進行加密,該模式以新的包含有足夠路由信息的IP頭封裝,從而便于中間結(jié)點的識別,該方式適用于設(shè)置有防火墻或其他類型安全網(wǎng)關(guān)的結(jié)構(gòu)體系���。
2.4 IPSec密鑰交換IKE協(xié)議
第5篇
1.1五層體系架構(gòu)設(shè)計
隨著互聯(lián)網(wǎng)的飛速發(fā)展,城市人民的生活基本進入信息化時代�,人們不管是網(wǎng)上購物,還是在線聊天等����,或多或少了一些個人信息。甚至我國很大一部分的企業(yè)關(guān)鍵信息都存儲于網(wǎng)絡(luò)��,因此網(wǎng)絡(luò)是信息傳遞和存儲的載體��,它的正常運行有效地保證了用戶信息的安全��。網(wǎng)絡(luò)信息安全主要涵蓋網(wǎng)絡(luò)信息安全�����、傳輸安全和內(nèi)容安全三個方面,網(wǎng)絡(luò)數(shù)據(jù)傳播的渠道方式以及傳播的信息內(nèi)容是否真實可靠�����?����;谖覈W(wǎng)絡(luò)安全基本情況��,所謂網(wǎng)絡(luò)安全����,主要體現(xiàn)在從以下四個方面:網(wǎng)絡(luò)信息數(shù)據(jù)的完整性、保密性以及共享數(shù)據(jù)的可控性和可用性��。每一個安全特征都需要每個網(wǎng)絡(luò)用戶自覺維護����,才能實現(xiàn)。本文根據(jù)網(wǎng)絡(luò)安全要求及其特征�����,對目前網(wǎng)絡(luò)安全做了體現(xiàn)架構(gòu)分析。根據(jù)用戶群體的不同將網(wǎng)絡(luò)劃分為五個層次���,分別為應(yīng)用和保密基礎(chǔ)層���、應(yīng)用群體、用戶群體�、系統(tǒng)群體以及網(wǎng)絡(luò)群體。目前�,本文所提的五層網(wǎng)絡(luò)安全體系在全球范圍內(nèi)已經(jīng)得到了公認,并且也已經(jīng)成功應(yīng)用在網(wǎng)絡(luò)安全產(chǎn)品之中�,五層網(wǎng)絡(luò)安全體系主要涵蓋五層,下面針對每層的安全性問題做簡要分析����。
1.1.1網(wǎng)絡(luò)層的安全性
網(wǎng)絡(luò)信息和傳輸是否能得到控制是網(wǎng)絡(luò)層安全性的核心問題���,網(wǎng)絡(luò)用戶通過固定的IP地址進入網(wǎng)絡(luò)系統(tǒng)�����,而網(wǎng)絡(luò)則對此IP地址傳輸?shù)臄?shù)據(jù)進行檢查����,查看信息內(nèi)容是否安全,安全則允許傳輸�,否則屏蔽。目前網(wǎng)絡(luò)安全性提高方法主要由兩種:防火墻產(chǎn)品和VPN(虛擬專用網(wǎng))�����。
1.1.2系統(tǒng)的安全性
網(wǎng)絡(luò)系統(tǒng)中的安全性主要包括兩個方面:第一是非法黑客對網(wǎng)絡(luò)系統(tǒng)的入侵和破壞���;第二是傳統(tǒng)病毒對網(wǎng)絡(luò)系統(tǒng)的入侵和破壞�。病毒是一種可復制性�����、具有攻擊型可執(zhí)行文件�����,這些病毒的源頭是非法程序員通過網(wǎng)絡(luò)散布的�����、破壞正常文件的可執(zhí)行文件��;黑客是通過非法渠道進入網(wǎng)絡(luò)系統(tǒng)竊取他人資料�����;這兩種方式都是破壞系統(tǒng)安全性的渠道。
1.1.3用戶操作安全性
目前�,網(wǎng)絡(luò)數(shù)據(jù)主要分為兩種,一種是靜態(tài)數(shù)據(jù)����;一種是動態(tài)數(shù)據(jù);而用戶都是通過靜態(tài)數(shù)據(jù)進行校驗����,登錄系統(tǒng),但往往由于用戶操作失誤或遺失賬號密碼���,導致系統(tǒng)出現(xiàn)漏洞�,給非法用戶提供了侵入系統(tǒng)接口�����。
1.1.4應(yīng)用程序的安全性
應(yīng)用程序安全性主要涉及兩個方面的問題:一是應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限��;二是應(yīng)用程序?qū)τ脩舻暮戏?quán)限���。即合法用戶通過應(yīng)用程序操作合法數(shù)據(jù)�。
1.1.5數(shù)據(jù)的安全性
數(shù)據(jù)作為整個架構(gòu)層次的核心部分���,其保存前����、中和后都需要進行加密��,充分保證數(shù)據(jù)的安全性��,即使在數(shù)據(jù)被竊后���。通過數(shù)據(jù)加密等措施�,即使數(shù)據(jù)丟失�����,也可以讓非法入侵者得到的是加密文件����,無法了解其信息內(nèi)容。上述的五層安全體系并非孤立分散��。他們是有機的結(jié)合體����,通過互相的數(shù)據(jù)共享和聯(lián)通��,形成整個網(wǎng)絡(luò)體系架構(gòu)��,以上便是本文所設(shè)計及介紹的五層網(wǎng)絡(luò)安全體系����。
1.2安全技術(shù)分析
從上個世紀網(wǎng)絡(luò)盛行時�����,網(wǎng)絡(luò)安全就被世人所關(guān)注�,針對網(wǎng)絡(luò)漏洞和病毒,科學家和研究者制定出各種協(xié)議和規(guī)則����,甚至研究出各種網(wǎng)絡(luò)安全技術(shù),下面就幾種成熟的網(wǎng)絡(luò)安全技術(shù)進行分別介紹�。
(1)防火墻技術(shù)。
防火墻作為一種網(wǎng)絡(luò)數(shù)據(jù)核查軟件��,很好的杜絕了網(wǎng)絡(luò)用戶通過非法渠道獲取其他網(wǎng)絡(luò)用戶信息�,它通過分包和IP地址并行校驗機制����,對外來數(shù)據(jù)進行一一檢查�,此種技術(shù)很好的保障了內(nèi)部數(shù)據(jù)的安全性����。目前,防火墻技術(shù)主要是分組過濾和服務(wù)兩種類型����,它們的主要宗旨是保護外來非法數(shù)據(jù)對本地數(shù)據(jù)的入侵和破壞,防火墻技術(shù)是一種真正保證本地數(shù)據(jù)的有效工具��,它通過固定的網(wǎng)絡(luò)協(xié)議對往來電子郵件進行過濾���,使進出數(shù)據(jù)都得到了很好的檢驗�����。
(2)應(yīng)用網(wǎng)關(guān)�����。
應(yīng)用網(wǎng)關(guān)主要是針對網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的數(shù)據(jù)包進行過濾��,一般與防火墻技術(shù)組合使用��,防火墻將數(shù)據(jù)包送至應(yīng)用網(wǎng)關(guān)�����,應(yīng)用網(wǎng)關(guān)可以被用來處理電子郵件��,遠程登錄�����,及文件傳輸�。
(3)虛擬私人網(wǎng)絡(luò)。
虛擬網(wǎng)絡(luò)主要是為一些用戶專門訪問而成立的技術(shù)�,因此可以在Internet上建立自己的虛擬私人網(wǎng)絡(luò)是一個安全的策略。通過路由器���,虛擬鏈接就形成了����。這樣就可以由用戶建立一個專內(nèi)網(wǎng)絡(luò)����,進行數(shù)據(jù)交換,形成內(nèi)部網(wǎng)絡(luò)。由此可見���,通過這種手段來保護數(shù)據(jù)的安全。
(4)數(shù)據(jù)加密技術(shù)����。
為防止數(shù)據(jù)被外部非法用戶所竊取的另外一個重要技術(shù)就是數(shù)據(jù)加密技術(shù),它也是目前最為常用���,而且安全性和可靠性非常高�����,數(shù)據(jù)加密技術(shù)主要包括密鑰機制�����、數(shù)據(jù)傳輸��、存儲和完整性等�����。數(shù)據(jù)傳輸加密技術(shù)���。數(shù)據(jù)存儲加密技術(shù)���。數(shù)據(jù)完整性鑒別技術(shù)。密鑰管理技術(shù)�。
(5)智能卡技術(shù)。
智能卡技術(shù)主要是對存儲數(shù)據(jù)的磁盤進行管理�����,在存儲空間設(shè)置授權(quán)機制����,非授權(quán)數(shù)據(jù)和非授權(quán)的操作用戶都將無法與智能卡進行交互,這種方式充分保障了智能卡總的數(shù)據(jù)安全性�,適合獨立和重要數(shù)據(jù)保護應(yīng)用技術(shù)之一。
2.數(shù)據(jù)加密
2.1數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證某些信息只有目標接收人才能讀懂其含義的一種方法��。所有的加密技術(shù)都要使用算法���,算法是一種復雜的數(shù)字規(guī)則�����,被設(shè)計用來攪亂信息�,以防止第三者對信息的截獲。密碼體制技術(shù)是研究通信安全保密的學科�����,它由密碼編碼學和密碼分析學兩部分組成�����。密碼編碼學是研究對信息進行變換�,以保護信息在傳送過程中不被第三方竊取�����、解讀和利用的方法���,它涉及對數(shù)據(jù)的保護���、控制和標識。密碼分析學研究如何分析和破譯密碼�,二者既相互對立,又相互促進����。加密算法的抗攻擊能力可用加密強度來衡量���,加密強度由三個因素組成:算法強度、密鑰的保密性���、密鑰長度�。加密技術(shù)是信息安全系統(tǒng)中常用的一種數(shù)據(jù)保護工具����,而這種加密技術(shù)可用在交易過程中使用,加密體制無外乎分為兩種���,一種是對稱加密�,另一種是非對稱加密體制�����。除了這兩種加密體制外�����,還包括了哈希技術(shù)和數(shù)字簽名技術(shù)����。這些加密技術(shù)都在五層體系架構(gòu)中發(fā)揮著重要的作用�。
(1)對稱加密/對稱密鑰加密/專用密鑰加密體制�����。
如果使用對稱加密方式��,相同的密鑰被使用在信息加密和解密的過程中��,加密算法可以通過使用對稱加密方法將其簡化����,每個貿(mào)易方都采用相同的加密算法并只交換共享的專用密鑰�,而不必彼此研究和交換專用的加密算法。
(2)非對稱加密/公開密鑰加密����。
非對稱加密和公開密鑰加密同屬一個意思。即在這種加密體制中�����,密鑰被分解為一個加密密鑰和一個專用的解密密鑰����。非對稱加密算法中最著名的就是RSA算法�,它的優(yōu)點是加密復雜度高����,不易破解,但他的缺點是運行速度慢����。因此在實際加密過程中基本不采用此種加密算法。對應(yīng)加密量大的應(yīng)用��,公開密鑰加密算法通常用于對稱加密方法密鑰的加密����。
2.2密鑰安全分析
密鑰是數(shù)據(jù)加密技術(shù)中的核心算法點,本文所討論的五層架構(gòu)體系中所有的數(shù)據(jù)傳輸和存儲及訪問���,都基于數(shù)據(jù)加密技術(shù)的支持�����,隨著技術(shù)的發(fā)展�����,加密技術(shù)不斷完善�����,但完成安全的數(shù)據(jù)通訊��,僅僅有加密和解密算法還是不夠的����,還需要有安全的密鑰分配協(xié)議的支持。在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中���,采用公鑰密碼系統(tǒng)有較好的安全性�����,但加密解密的速度慢,而私鑰雖然速度快����,但不安全,因此密鑰分配協(xié)議(簡稱KDP)是一種增強加密和解密的安全性��。目前���,世界存在的密鑰分配協(xié)議有兩種�����,一種是基于單一網(wǎng)絡(luò)的密鑰分配協(xié)議����;一種是基于網(wǎng)絡(luò)時鐘同步的網(wǎng)絡(luò)密鑰分配協(xié)議;還有一種是基于層次的KDP����。但這三種協(xié)議由于種種原因(必要前提、不可修補等)而不能長時間應(yīng)用與數(shù)據(jù)加密技術(shù)中�。
2.3可修補密鑰分配協(xié)議
本文基于數(shù)據(jù)加密技術(shù)和網(wǎng)絡(luò)安全的五層體系架構(gòu)考慮,設(shè)計一種可替補的密鑰分配協(xié)議方法�����,通過此協(xié)議�����,增加數(shù)據(jù)加密密鑰的合理性和減小密鑰丟失的風險性��,提高網(wǎng)絡(luò)安全性能�。所謂密鑰可修補分配協(xié)議的重點在于當一個密鑰由于病毒、黑客或用戶誤操作而導致的系統(tǒng)漏洞,因此系統(tǒng)就出現(xiàn)各種被惡意破壞的可能存在��,目前部分密鑰分配協(xié)議中采用新密鑰代替被泄露的密鑰��,但也無法保證沒有了安全漏洞��。而本文所設(shè)計的密鑰分配協(xié)議不僅能取代泄露的密鑰��,而且可使系統(tǒng)恢復至初始��,此種協(xié)議被稱為可替補協(xié)議����。
3.總結(jié)
第6篇
網(wǎng)絡(luò)安全通信是實現(xiàn)信息系統(tǒng)互聯(lián)互通的主要手段,因此建立多級安全網(wǎng)絡(luò)通信模型是實現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)安全互聯(lián)的重要保障����。當前,雖然正對多級安全模型的研究已經(jīng)取得了一定的效果���,但是依舊不能夠滿足多級安全網(wǎng)絡(luò)通信的實際需求,存在著靈活性較差�����、客體信息聚合推導泄密、傳輸信息泄密干擾等問題���。因此�����,實現(xiàn)多級安全網(wǎng)絡(luò)信息系統(tǒng)間的安全互聯(lián)互通的關(guān)鍵是支持具有多級安全屬性的網(wǎng)絡(luò)通信安全機制�。
二�、安全標記綁定技術(shù)
在網(wǎng)絡(luò)信息系統(tǒng)中,安全標記是強制訪問控制實施的基礎(chǔ)�����。實現(xiàn)安全標記與課堂之間的綁定是多級安全網(wǎng)絡(luò)中實現(xiàn)數(shù)據(jù)安全共享的關(guān)鍵��。實現(xiàn)安全標記與客體的綁定包括信息客體�、進程等,當前的安全標記與客體的綁定并不能夠滿足多級安全控制的需要����,需要對存在的問題進行分析,在此基礎(chǔ)上提出基于數(shù)據(jù)樹統(tǒng)一化描述的安全標志與課堂的綁定方式����,從而實現(xiàn)了綁定的統(tǒng)一性,確保了安全標記的安全性,為實施更為細粒度的訪問控制提供了保障�����。
三���、信息客體聚合推導控制方法
多級安全網(wǎng)絡(luò)中存在著客體信息聚合導致了信息泄密問題���。需要對客體之間的關(guān)系進行分析,通過多級安全網(wǎng)絡(luò)信息課堂聚合推導控制方法實現(xiàn)對多級安全網(wǎng)絡(luò)訪問控制策略的制定����。通過對關(guān)聯(lián)客體與相似客體的角度研究了客體聚合推導控制。信息客體聚合推導控制方法包括兩個方面�,一方面是基于屬性關(guān)聯(lián)的客體聚合信息級別推演方法,另一方面是基于聚類分析的客體聚合信息級別推演方法�����。通過這兩種方式實現(xiàn)多級安全網(wǎng)絡(luò)防護基本原則的改變���,對多級安全網(wǎng)絡(luò)中主體對客體的訪問進行有效的控制���,降低或者消除泄密的風險。
四���、通信協(xié)議簇設(shè)計
通信的基礎(chǔ)就是協(xié)議��,只有通過安全協(xié)議才能夠?qū)崿F(xiàn)安全互聯(lián)����。在多級安全網(wǎng)絡(luò)中����,存在著通信關(guān)系比較復雜的現(xiàn)象,其靈活性較差�����。尤其是在實現(xiàn)了信息系統(tǒng)互聯(lián)之后�,容易引起攻擊者興趣的往往是具有了一定安全級別的信息。在對多級安全網(wǎng)絡(luò)的特點進行分析了基礎(chǔ)上����,對多級安全網(wǎng)絡(luò)的通信協(xié)議簇進行了設(shè)計,產(chǎn)生了MLN-SCP�,這種通信協(xié)議簇包括兩個方面,一方面是多級安全通道建立協(xié)議ML-STEP�����,主要的作用是建立多級安全通道,對通道的秘鑰材料進行協(xié)商�,從而確保數(shù)據(jù)傳輸過程中的安全,另一方面是多級安全網(wǎng)絡(luò)傳輸協(xié)議MLN-STP���,主要的作用是通過安全通道模式與UDP封裝通道模式實現(xiàn)數(shù)據(jù)的安全封裝與安全標記的攜帶��,對通道內(nèi)數(shù)據(jù)傳輸?shù)陌踩M行保障����。通信協(xié)議簇MLN-SCP更加適合與多級安全網(wǎng)絡(luò)信息系統(tǒng)之間的安全互聯(lián)�。
五、總結(jié)
第7篇
1.1系統(tǒng)功能
在網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中�,網(wǎng)絡(luò)服務(wù)評估系統(tǒng)的數(shù)據(jù)源是最重要的數(shù)據(jù)源之一。一方面���,它能向上層管理者提供目標網(wǎng)絡(luò)的安全態(tài)勢評估�����。另一方面����,服務(wù)數(shù)據(jù)源為其它傳感器(Log傳感器、SNMP傳感器����、Netflow傳感器)的數(shù)據(jù)分析提供參考和依據(jù)[1]���。
1.2主要功能
(1)風險評估�,根據(jù)國家安全標準并利用測試系統(tǒng)的數(shù)據(jù)和主要的風險評估模型��,獲取系統(tǒng)數(shù)據(jù)�����,定義系統(tǒng)風險�����,并提出應(yīng)對措施[2]����。
(2)安全態(tài)勢評估與預測,利用得到的安全測試數(shù)據(jù)�,按照預測、隨機和綜合量化模型���,對信息系統(tǒng)作出安全態(tài)勢評估與預測�,指出存在的安全隱患并提出安全解決方案。
(3)建立數(shù)據(jù)庫支撐����,包括評估模型庫、專家知識庫��、標準規(guī)范庫等���。
(4)輸出基于圖表樣式和數(shù)據(jù)文件格式的評估結(jié)果�。
2系統(tǒng)組成和總體架構(gòu)
2.1系統(tǒng)組成
網(wǎng)絡(luò)安全評估系統(tǒng)態(tài)勢評估系統(tǒng)是在Windows7平臺下�,采用C++builder2007開發(fā)的。它的數(shù)據(jù)交互是通過核心數(shù)據(jù)庫來運行的�����,為了使評估的計算速度和讀寫數(shù)據(jù)庫數(shù)據(jù)更快��,應(yīng)將子系統(tǒng)與核心數(shù)據(jù)庫安裝在同一機器上���。子系統(tǒng)之間的數(shù)據(jù)交互方式分別為項目數(shù)據(jù)交互和結(jié)果數(shù)據(jù)交互��。前者分發(fā)采用移動存儲的形式進行��,而后者的提交獲取是通過核心數(shù)據(jù)庫運行��。
2.2總體架構(gòu)
系統(tǒng)包括人機交互界面����、控制管理、數(shù)據(jù)整合�、漏洞掃描�����、安全態(tài)勢評估和預測����、本地數(shù)據(jù)庫等六個模塊組成。網(wǎng)絡(luò)安全評估系統(tǒng)中的漏洞掃描部分采用插件技術(shù)設(shè)計總體架構(gòu)����。掃描目標和主控臺是漏洞掃描子系統(tǒng)的主要部分,后者是漏洞掃描子系統(tǒng)運行的中心���,主控臺主要是在用戶打開系統(tǒng)之后���,通過操作界面與用戶進行交流�����,按照用戶下達的命令及調(diào)用測試引擎對網(wǎng)絡(luò)上的主機進行漏洞測試��,測試完成后調(diào)取所占用的資源�����,并取得掃描結(jié)果��,最后形成網(wǎng)絡(luò)安全測試評估報告���,通過這個測試,有利于管理人員發(fā)現(xiàn)主機有可能會被黑客利用的漏洞���,在這些薄弱區(qū)被黑客攻擊之前對其進行加強整固�����,從而提高主機網(wǎng)絡(luò)系統(tǒng)的安全性����。
3系統(tǒng)工作流程
本系統(tǒng)首先從管理控制子系統(tǒng)獲取評估任務(wù)文件[3],然后根據(jù)任務(wù)信息從中心數(shù)據(jù)庫獲取測試子系統(tǒng)的測試數(shù)據(jù)�,再對這些數(shù)據(jù)進行融合(加權(quán)、去重)��,接著根據(jù)評估標準����、評估模型和支撐數(shù)據(jù)庫進行評估[4],評估得到網(wǎng)絡(luò)信息系統(tǒng)的安全風險��、安全態(tài)勢����,并對網(wǎng)絡(luò)信息系統(tǒng)的安全態(tài)勢進行預測�,最后將評估結(jié)果進行可視化展示,并生成相關(guān)評估報告��,以幫助用戶進行最終的決策[5]�����。
4系統(tǒng)部分模塊設(shè)計
4.1網(wǎng)絡(luò)主機存活性識別的設(shè)計
“存活”是用于表述網(wǎng)絡(luò)主機狀態(tài)[6]���,在網(wǎng)絡(luò)安全評估系統(tǒng)中存活性識別流程對存活主機識別采用的方法是基于ARP協(xié)議�����。它的原理是當主機或路由器正在尋找另外主機或路由器在此網(wǎng)絡(luò)上的物理地址的時候�,就發(fā)出ARP查詢分組。由于發(fā)送站不知道接收站的物理地址���,查詢便開始進行網(wǎng)絡(luò)廣播��。所有在網(wǎng)絡(luò)上的主機和路由器都會接收和處理分組�����,但僅有意圖中的接收者才會發(fā)現(xiàn)它的IP地址�����,并響應(yīng)分組��。
4.2網(wǎng)絡(luò)主機開放端口/服務(wù)掃描設(shè)計
端口是計算機與外界通訊交流的出口[7]�����,軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)的通信協(xié)議端口���,是一種抽象的軟件結(jié)構(gòu)�����,包括一些數(shù)據(jù)結(jié)構(gòu)和FO(基本輸入輸出)緩沖區(qū)[8]��。
4.3網(wǎng)絡(luò)安全評估系統(tǒng)的實現(xiàn)
該實現(xiàn)主要有三個功能��,分別是打開�����、執(zhí)行和退出系統(tǒng)[9]�。打開是指打開系統(tǒng)分發(fā)的評估任務(wù)�,顯示任務(wù)的具體信息;執(zhí)行任務(wù)指的是把檢測數(shù)據(jù)融合,存入數(shù)據(jù)庫;退出系統(tǒng)是指關(guān)閉系統(tǒng)�。然后用戶在進行掃描前可以進行選擇掃描哪些項,對自己的掃描范圍進行設(shè)置��。進入掃描后���,界面左邊可以顯示掃描選項,即用戶選中的需要掃描的項[10]��。界面右邊顯示掃描進程�����。掃描結(jié)束后,用戶可以點擊“生成報告”�����,系統(tǒng)生成用戶的網(wǎng)絡(luò)安全評估系統(tǒng)檢測報告�,最終評定目標主機的安全等級[11]。
5結(jié)束語
(1)系統(tǒng)研究還不夠全面和深入��。網(wǎng)絡(luò)安全態(tài)勢評估是一門新技術(shù)[12]����,很多問題如規(guī)劃和結(jié)構(gòu)還沒有解決。很多工作僅限于理論�,設(shè)計方面存在爭論,沒有統(tǒng)一的安全態(tài)勢評估系統(tǒng)模型[13]����。
(2)網(wǎng)絡(luò)安全狀況評估沒有一致的衡量標準。網(wǎng)絡(luò)安全是一個全面統(tǒng)一的概念[14]�,而網(wǎng)絡(luò)安全態(tài)勢的衡量到現(xiàn)在還沒有一個全面的衡量機制[15]。這就導致現(xiàn)在還沒有遵守的標準����,無法判斷方法的優(yōu)劣�。
