网络安全技术研究论文——吴小龙.doc

《网络安全技术研究论文——吴小龙.doc》由会员分享，可在线阅读，更多相关《网络安全技术研究论文——吴小龙.doc（16页珍藏版）》请在三一办公上搜索。

1、网络安全技术专 业： 国际网络工程 班 级： 093221 学 生： 吴小龙 指导教师： 杨涛 西安数字技术学院贰零壹壹年摘要 近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访

2、问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。关键词：网络、安全、VPN、加密技术、防火墙技目 录摘要1关键词：1目 录21绪论32方案目标43安全需求54风险分析95解决方案105.1 设计原则105.2 安全策略105.3 安全服务115.4 安全技术的研究现状和动向12结论14致谢15参考文献16 1绪论随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能

3、读取，更不能修改传送给其它接收者的信息。此时，它关心的对像是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和回放的问题，以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。网络安全性可以被粗略地分为四个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，

4、这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和檔锁来实现。2方案目标本方案主要从网络层次考虑，将网络系统设计成一个支持各级别用户或用户群的安全网络，该网在保证系统内部网络安全的同时，还实现Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求，比如：可以满足个人的通话保密性，也可以满足企业客户的计算机系统的安全保障，数据库不被非法访问和破坏，系统不被病毒侵犯，同时也可以防止诸如反动淫秽等有害信息在网上传播等。需要明确的是，安全技术并不能杜绝所有的对网络的

5、侵扰和破坏，它的作用仅在于最大限度地防范，以及在受到侵扰的破坏后将损失尽量降低。具体地说，网络安全技术主要作用有以下几点：（1）采用多层防卫手段，将受到侵扰和破坏的概率降到最低；（2）提供迅速检测非法使用和非法初始进入点的手段，核查跟踪侵入者的活动；（3）提供恢复被破坏的数据和系统的手段，尽量降低损失；（4）提供查获侵入者的手段。网络安全技术是实现安全管理的基础，近年来，网络安全技术得到了迅猛发展，已经产生了十分丰富的理论和实际内容。3安全需求 目前我国信息安全现状：1、用户认为目前网上交易存在的最大问题是：安全性得不到保障： 33.4%付款不方便： 11.5%产品质量、售后服务及厂商信用得不

6、到保障： 33.0%送货耗时、渠道不畅： 8.7%价格不够诱人： 6.6%网上提供的信息不可靠： 6.0%其它： 0.8%2、在一年内用户计算机被入侵的情况：被入侵过： 47.1%没有被入侵过： 43.0%不知道： 9.9%对于电子邮件帐号，用户多久换一次密码：1个月： 8.8%3个月-半年： 21.4%半年-1年： 19.7%一直不换 ： 50.1%3、在网上用户主要采取什么安全措施：密码加密 ： 36.9%防病毒软件： 74.5%防火墙： 67.6%电子签名 ： 7.3%不清楚，由系统管理员负责： 7.4%什么措施都不采用 ： 3.6%4、2000年5月出版的国家信息安全报告指出，我国目前

7、的信息安全度介于相对安全与轻度不安全之间。如按安全度满分为9分的话，我们的分值约在5.5分。 1）、信息与网络安全的防护能力较弱。 对我国金融系统计算机网络现状，专家们有一形象的比喻：用不加锁的储柜存放资金（网络缺乏安全防护）；让“公共汽车”运送钞票（网络缺乏安全保障）；使用“邮寄”传送资金（转账支付缺乏安全渠道）；用“商店柜台”存取资金（授权缺乏安全措施）；拿“平信”邮寄机密信息（敏感信息缺乏保密措施）等。 2）、对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。 我国从发达国家和跨国公司引进和购买了大量的信息技术和设备。在这些关键设备如电脑硬件、软件中，有一部分可能隐藏

8、着“特洛伊木马”，对我国政治、经济、军事等的安全存在着巨大的潜在威胁。但由于受技术水平等的限制，许多单位和部门对从国外，特别是美国等引进的关键信息设备可能预做手脚的情况却无从检测和排除，以致我们许多单位和部门几乎是在“抱着定时炸弹”工作。 3）、基础信息产业薄弱，核心技术严重依赖国外。 硬件：电脑制造业有很大的进步，但其中许多核心部件都是原始设备制造商的，我们对其的研发、生产能力很弱，关键部位完全处于受制于人的地位。软件：面临市场垄断和价格歧视的威胁。美国微软几乎垄断了我国电脑软件的基础和核心市场。离开了微软的操作系统，国产的大多软件都失去了操作平台。缺乏自主知识产权产品 。4）、信息安全管理

9、机构缺乏权威。信息安全特别是在经济等领域的安全管理条块分割、相互隔离，缺乏沟通和协调。没有国家级的信息安全最高权威机构以及与国家信息化进程相一致的信息安全工程规划。 目前国家信息安全的总体框架已经搭就。已制定报批和发布了有关信息技术安全的一系列的国家标准、国家军用标准。国家信息安全基础设施正在逐步建成包括国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、公钥基础设施与监管中心、信息战防御研究中心等。5）、信息犯罪在我国有快速发展之趋势。西方一些国家采取

10、各种手段特别是电子信息手段来窃取我国的各类机密，包括核心机密。此外，随着信息设备特别是互联网的大幅普及，各类信息犯罪活动亦呈现出快速发展之势。以金融业计算机犯罪为例，从 1986年发现第一起银行计算机犯罪案起，发案率每年以30的速度递增。近年来，境外一些反华势力还在因特网上频频散发反动言论，而各种电脑病毒及黑客对计算机网络的侵害亦屡屡发生。据不完全统计，我国目前已发现的计算机病毒约有20003000多种，而且还在以更快的速度增加着。6）、信息安全技术及设备的研发和应用有待提高近年来，我国在立法和依法管理方面加大力度，推进计算机信息网络安全技术和产品的研究、开发和应用，建立了计算机病毒防治产品检

11、验中心、计算机信息系统安全专用产品质量检验中心，加强了对计算机信息网络安全产品的管理。目前，我国信息网络安全技术及产品发展迅速，其中，计算机病毒防治、防火墙、安全网管、黑客入侵检测及预警、网络安全漏洞扫描、主页自动保护、有害信息检测、访问控制等一些关键性产品已实现国产化。但是，正如国家信息安全报告强调指出的：“这些产品安全技术的完善性、规范性、实用性还存在许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大距离，理论基础和自主技术手段也需要发展和强化。通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性

12、、可控性与可审查性。即，可用性： 授权实体有权访问数据。机密性： 信息不暴露给未授权实体或进程。完整性： 保证数据不被未授权修改。可控性： 控制授权范围内的信息流向及操作方式。可审查性：对出现的安全问题提供依据与手段。访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计： 是识别与防止网络攻击行为、追查网络泄密行

13、为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，实时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏。4风险分析网络安全是网络正常运行的前提。网络安全不单是单点的安全，而是整个信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成网络的中断。根据国内网络系统的网络结构和应用

14、情况，应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测，对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。5解决方案5.1 设计原则 针对网络系统实际情况，解决网络的安全保密问题是当务之急，考虑技术难度及经费等因素，设计时应遵循如下思想：（1）大幅度地提高系统的安全性和保密性；（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； （3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；（4）尽量不影响原网络拓扑结构，同时便于系统及系统功能的

15、扩展；（5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；（6）安全与密码产品具有合法性，及经过国家有关管理部门的认可或认证。5.2 安全策略针对上述分析，我们采取以下安全策略：（1）采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行。（2）采用各种安全技术，构筑防御系统，主要有：防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。NAT技术：隐藏内部网络信息。VPN：虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的信道在公共网络上创建一个安全的私有连接。它通过安全的数据信道将远程用户、公司分支机构、公司业务伙伴

16、等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。网络加密技术(Ipsec) ：采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。认证：提供基于身份的认证，并在各种认证机制中可选择使用。多层次多级别的企业级的防病毒系统：采用多层次多级别的企业级的防病毒系统，对病毒实现全面的防护。网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御

17、外来攻击的能力。（3）实时响应与恢复：制定和完善安全管理制度，提高对网络攻击等实时响应与恢复能力。（4）建立分层管理和各级安全管理中心。5.3 安全服务网络是个动态的系统，它的变化包括网络设备的调整，网络配置的变化，各种操作系统、应用程序的变化，管理人员的变化。即使最初制定的安全策略十分可*，但是随着网络结构和应用的不断变化，安全策略可能失效，必须及时进行相应的调整。针对以上问题和网管人员的不足，下面介绍一系列比较重要的网络服务。包括：（1）通信伙伴认证通信伙伴认证服务的作用是通信伙伴之间相互确庥身份，防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证

18、有两种形式，一种是检查一方标识的单方认证，一种是通信双方相互检查对方标识的相互认证。通信伙伴认证服务可以通过加密机制，数字签名机制以及认证机制实现。（2）访问控制 访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。访问控制的基本原理是检查用户标识，口令，根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序，是否有权对数据库进行查询和修改等等。访问控制服务通过访问控制机制实现。（3）资料保密数据保密服务的作用是防止资料被无权者阅读。数据保密既包括存储中的数据，也包括传输中的数据。保密查以对特定檔，通信链路，甚至檔中指定的字段进行。数据保密服务可以通过加密机

19、制和路由控制机制实现。（4）业务流分析保护业务流分析保护服务的作用是防止通过分析业务流，来获取业务量特征，信息长度以及信息源和目的地等信息。业务流分析保护服务可以通过加密机制，伪装业务流机制，路由控制机制实现。（5）数据完整性保护数据完整性保护服务的作用是保护存储和传输中的数据不被删除，更改，插入和重复，必要时该服务也可以包含一定的恢复功能。资料完整性保护服务可以通过加密机制，数字签名机制以及数据完整性机制实现。（6）签字签字服务是用发送签字的办法来对信息的接收进行确认，以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。签字服务通过数字签名机制及公证机

20、制实现。5.4 安全技术的研究现状和动向我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。国际上信息安全研究起步较早，力度大，积累多，应用广，在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”（Beu& La padula模型）的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具

21、的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。作为信息安全关键技术密码学，近年来空前活跃，美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制，克服了网络信息系统密钥管理的困难，同时解决了数字签名问题，它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点，目前正处于研究和发展阶段，它带动了论证理论、密钥管理等研究，由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术，21世纪人类步入信息社会后，信息这一社会发展的

22、重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。 结论随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其它接收者的信息。此时，它关心的对像是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和回

23、放的问题，以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。要做到全面的网络安全，需要综合考虑各个方面，包括系统自身的硬件和软件安全，也包括完善的网络管理制度以及先进的网络安全技术等。未来的信息网络安全技术可从数据的加/解密算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。致谢首先我要感谢西安数字技术学院感谢CBD教育集团感谢所有的授课老师对我的教导,是你们丰富的授课内容拓宽了我的视野,让我能更顺利

24、的完成这篇文章；感谢我的同学们,你们不仅让我感受到友情的力量,也让我感觉到了生活的愉悦,通过课堂讨论学到的思维方式将使我受益终生。在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚的谢意！ 参考文献【1】杨永高.基于TCP/IP协议的IP网关的设计与实现J.小型微型计算机系统. 1996：1214【2】李鸿培.入侵检测中几个关键问题的研究D.西安：西安电子科技大学.2001：45130【3】刘人境、张朋柱等，变革博弈误区，正确制定企业战略，（西北大学学报），1999年第2期，P35【4】戴维贝赞可等著，武亚军等译，公司战略经济学，北京大学出版社，1999，P613【5】杨水利、金毅 多目标决策问题的一种求解方法 中国运筹学学会第五届学术会议论文集 西安电子科技大学出版社（ISBN7560604889/O.0030）96年10月，P45