《计算机科学与技术毕业设计论文_网络安全综述.doc》由会员分享,可在线阅读,更多相关《计算机科学与技术毕业设计论文_网络安全综述.doc(32页珍藏版)》请在三一办公上搜索。
1、网络安全综述摘 要随着互联网技术的发展,各企业都认识到要在激烈的市场竞争中取得先机,就必须依靠信息技术。企业信息网络的建立可以帮助企业进行高效办公、高效通信和高效管理。然而这一切都必须建立在安全的基础之上,没有安全网络这一利器恐怕会使企业自身受到伤害。本文通过对计算机防病毒、防火墙、入侵检测、数据自动备份与容灾等各种安全技术和理论的分析研究,归纳总结出了全网动态安全体系模型风险分析+制定策略+防御系统+实时检测十实时响应,得出了建立整体的、多层次的、全方位的网络安全模式是企业网络安全的有效方法。本文遵照网络安全设计原则,在充分考察和调研的基础上通过选择合适的网络产品设计出了先进、科学、合理的网
2、络安全方案。本文另一个观点是,企业网络安全是技术和管理的综合,网络安全离不开必要的技术手段,但针对企业网络系统具体应用特点建立和完善各种管理制度十分必要。关键词:网络安全;防病毒;防火墙;入侵检测 AbstractWith the development of Internet technology, enterprises must recognize that in the fierce competition in the market in the initiative, we must rely on information technology. Enterprise inform
3、ation network can help enterprises to establish an efficient office, effective communication and efficient management. But all this must be built on the basis of safety, no safety net of this weapon would run their own harm. Based on computer anti-virus, firewall, intrusion detection, automatic data
4、 backup and disaster recovery and other security technology and theoretical analysis, summarized the entire network to the dynamic security system model = risk analysis in formulating strategy + + + real-time defense system Detection of 10 real-time response, that the establishment of the overall an
5、d multi-level, comprehensive enterprise network security model is an effective way to network security. In this paper, in compliance with network security design principles, in the full inspection and investigation on the basis of the network by selecting the appropriate design of advanced products,
6、 a scientific and rational network security solutions. In this paper, another view is that corporate network security is a comprehensive technology and management, network security is inseparable from the necessary technical means, but the enterprise network system application specific characteristi
7、cs of the establishment and improvement of various management system is very necessary. Key words: Nnetwork security; Anti-virus,Firewall,Intrusion detection目录前言1第1章 网络安全概述21.1网络安全的定义21.2网络安全的特征21.3网络不安全因素的来源21.4企业网络安全设计的重要性4第2章网络安全技术基础52.1密码理论52.1.1常规密钥密码体制(对称加密)52.1.2公开密钥密码体制(非对称加密)62.1.3 DES算法和RS
8、A算法的比较和应用622防火墙技术72.2.1防火墙定义72.2.2防火墙的类别82.2.3不同类别防火墙优缺点102.2.4防火墙技术展望1123防病毒技术研究112.3.1计算机病毒的机理112.3.2计算机病毒的特点和发展趋势122.3.3计算机病毒防治技术1324入侵检测技术研究142.4.1入侵检测概念和技术分析142.4.1.1入侵检测技术分析152.4.1.2入侵检测常用的检测方法162.4.1.3入侵检测系统核心技术发展经历172.4.2. 网络入侵检测解决方案182.4.3入侵技术和入侵检测技术发展趋势2025数据备份与容灾212.5.1数据备份与容灾概述212.5.2数据备
9、份与容灾原理22253系统构成23结论25致 谢27参考文献28前言互联网技术的发展使现代企业有更强大的工具进行快捷和有效的商业活动。计算机网络系统是企业内外各种信息传输、交互和共享的基础。随着世界经济一体化,国内外大中型企业都建起了规模庞大的企业内部网(Intranet)并与国际互联网互联。企业间己经开始利用专网或国际互联网进行协同设计和物流供应等活动。由于网络的互联性、开放性和网络系统本身的漏洞和缺欠,企业网每时每刻都面临来自内外部的威胁和攻击。所以网络和数据安全对企业十分重要。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点,所以企业网络和数据
10、安全只靠单一的安全手段无能为力。当前我国大中型企业缺少专业的网络安全人员,国内网络安全公司在为用户设计安全方案时缺少统一标准和规范,所以由于设计不合理或维护管理跟不上,有的企业虽然配置了安全产品但却没起到安全保护作用,每年造成巨大的投资浪费,同时每年由于信息安全问题造成的损失也十分巨大。如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。根据企业的具体需求和发展的需要,建立了庞大的企业内部局域网,该网通过专线与国际互联网实现了互联,网络上运行着大量重要的企业经营信息。该网络在98年初期建设使用,随着网上各种应用的
11、增加和计算机病毒技术、黑客技术的提高,企业己有的网络安全措施表露出许多问题,曾经出现过几次安全事故,虽然没给企业带来损失,但这种警示使企业认识到网络安全的重要。本文作者根据多年来从事企业信息化建设和网络管理实践,针对网络安全提出的具体课题,阅读了大量参考文献并经过考察和调研设计出了企业网络和数据安全解决方案。本设计通过对计算机网络存在的各种安全隐患的分析,通过对计算机病毒、防火墙、入侵检测、数据自动备份与容灾等各种安全技术理论的研究和各种安全产品性能原理分析,提出了建立整体的、多层次的、全方位的网络安全解决方案是企业网络安全的有效方法。另外,一般来说网络安全防护等级的强弱与用户投资多少成正比,
12、但并不是在设计网络安全方案时就一定选择性能指标高、价格昂贵的产品,网络设计一定要针对用户网络结构和信息资源或应用的重要程度来选择合适的网络产品,要遵照先进性、可靠性、适用性和经济性等原则。本文论述了网络产品的选型和配置的具体方法。该设计正在算机网络实际中得到应用,较好的解决了企业网络安全问题。第1章 网络安全概述1.1网络安全的定义国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”我国自己提出的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄
13、露,系统能连续正常运行。”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。总的说来,计算机网络的安全性,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。网络安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。与其他学科相比,信息安全的研究更强调自主性和创新性。1.2网络安全的特征网络安全具有以下四方面的基本特征:1.数据的完整性:指数据未经授权不能进行改变的特
14、性,即只有得到允许的人才能修改数据,并且可以判断出数据是否己经被修改。2.数据的保密性:指数据不泄露给非授权用户、实体,或供其利用的特性。数据加密就是用来实现这一目标的,通过加密使数据在传输、使用和转换过程中不被第三方非法获取。3.数据的可用性:指可被授权实体访问并按照需求使用的特性,即攻击者不能占用所有的资源而阻碍授权者的工作。4.数据的可控性:指可以控制授权范围内的信息流向及行为方式,如对数据的访问、传播及内容具有控制能力。系统要能够控制谁可以访问系统或网络的数据以及如何访问,同时能够对网络的用户进行验证,并对所有用户的网络活动记录在案。1.3网络不安全因素的来源1.信息网络安全技术的发展
15、滞后于信息网络技术网络技术的发展可以说是日新月异,新技术、新产品层出不穷,世界各国及一些大的跨国公司都在这方面投入了不少心力,可对产品本身的安全性来说,进展不大,有的还在延续第一代产品的安全技术。以Cisco公司为例,其低端路由产品从cisco250系列到750系列,其密码加密算法基本一致。而其他功能,特别是数据吞吐能力及数据交换速率提高之大,令人膛目。在我国,许多大的应用系统也是建立在国外大型操作系统的基础之上。如果我们的网络安全产品也从国外引进,会使我们的计算机信息系统完全暴露在外,后果堪忧。2.TCP/IP协议未考虑安全性在TCP/IP中,安全不是涉及的一个初始目标,它只是美国军方开发的
16、一个基础部分,目的是为战争中的通信提供一种不易被破坏的连接方式,它从一开始就是一种松散的、无连接的、不可靠的方式,这一特点造成在网上传送的信息很容易被拦截、偷窥和篡改。3.操作系统本身的安全性目前流行的许多操作系统均存在网络安全漏洞,如UNIX,MSNT和Windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。4.未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制从“梅莉莎”病毒、“CIH”病毒及2000年的“爱虫”病毒到2001年的“欢乐时光”、“红色代码”、“蓝色代码”、“尼姆达”和“求职信”计算机病毒纷纷利用计算
17、机网络作为自己繁殖和传播的载体及工具,呈现出愈演愈烈的势头,且造成的危害也越来越大。如“求职信”病毒就是利用MSOUTLOK邮件程序的安全漏洞进行传播的。5.来自内部网用户的安全威胁来自内部用户的安全威胁远大于外部网用户的安全威胁,特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。6.缺乏有效的手段监视、评估网络系统的安全性完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能做出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,
18、对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。7.使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失。在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。8.网络安全是技术和管理的综合,网络安全是动态的。缺
19、少专业网络管理员,缺少有效的管理制度和措施也是造成网络安全的主要原因。1.4企业网络安全设计的重要性1.信息化是企业经营和发展时刻离不开的手段,目前国内外大中型企业都建起了比较完善的信息系统,如CAD,ERP,CRM,O A系统、企业网站和电子邮件系统等重要应用,企业信息传输、交互和处理已从企业内延伸到其他企业和最终用户。企业庞大的信息资源需要网络具有较高的可靠性、安全性和保密性。2.企业建起了庞大的内部网和外部网,企业网与国际互联网互联,所以企业网络和信息时刻都处在来自内外部威胁之下。有关资料表明,来自黑客攻击己由关注政府、研究机构开始扩展到企业。近年来,企业遭到黑客和病毒破坏所造成的损失不
20、断上升。3.根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。其中75%的公司报告财政损失是由于计算机系统的安全问题造成的,超过50%的安全威胁来自内部。另据统计,我国90%以上的网站存在安全漏洞。很多网站也曾受到过黑客的攻击和计算机病毒的侵害,给国家和企业都造成了较大的损失。据去年CID对50家企业网络的调查表明,已采取相应安全解决方案的企业有1.21%,计划近期加强网络安全的企业有46.67%,想进一步了解的用户有32.42%,而近期不考虑的用户仅有9.7%。4.企业信息化程度不同,企业网络结构和网络系统各异,尤其我国多数企业网络和系统建设时没有找专门的网络或系统集
21、成公司,所以网络结构不规范,潜在的安全隐患较大。5.部分企业由于缺少对网络安全的认识和理解,安全意识差。由于网络安全需一定的投入作保障,所以部分企业在信息开发应用上肯于花钱,但在网络安全上投入资金不足,怀有一种侥幸心理,直到酿成大祸。6.由于网络安全十分复杂,既包含较广、较深的技术又溶入了专业性较强的管理。网络安全是整体的、全方位的和多层次的,网络安全是动态的持续改进的过程,部门不同、信息重要程度不同所需的安全等级和策略各异。有的企业认为配置了防火墙就高枕无忧了,有的企业则一谈网络安全就购买功能最强、价格最贵的网络产品。资金投了但没有达到预想的效果,致使企业在网络安全改造上浪费大量的资金。7.
22、目前,我国金融、证券、电信等行业和科研机构由于资金、人才等方面有保证,再加上信息的特殊性,这些部门的安全性做得较好,而企业网络和信息安全的研究和应用还处于起步期。由于网络安全技术复杂、网络安全产品种类多样,企业在网络安全上无从下手。8大型企业拥有较庞大的企业内部局域网,并与国际互联网通过专线互联,网上运行各类重要的生产经营信息。企业投资侧重于网络和计算机硬件设备,数据库和各类应用软件,而在网络安全技术上力度不够。经常出现由于安全策略的不完善性,致使几次出现数据丢失和网络安全故障。9.基于以上原因,进行企业网络安全研究,探索和总结出经济、实用的企业网络和数据安全设计方法和整体应用方案具有重大意义
23、。第2章网络安全技术基础2.1密码理论为了保护所传输的数据在传递过程中不被别人窃听或修改,就必须对数据进行加密(加密后的数据称为密文),这样,即使别人窃取了数据(密文),由于没有密钥而无法将之还原成明文(未经加密数据),从而保证了数据的安全性,接收方因有正确的密钥,因此可以将密文还原成正确的明文。2.1.1常规密钥密码体制(对称加密)所谓常规密钥密码体制,即加密密钥与解密密钥是相同的。在早期的常规密钥密码体制中,典型的有代替密码,其原理可用一个例子来说明。例如,将字母a,b,c,d,w,x,y,Z的自然顺序保持不变,但使之与D,E,F,G,Z,A,B,C分别对应(即相差3个字符)。若明文为st
24、udent则对应的密文为VWXGHQW(此时密钥为3)。由于英文字母中各字母出现的频度早已有人进行过统计,所以根据字母频度表可以很容易对这种代替密码进行破译。目前常用的对称加密算法是DES算法。DES算法原是IBM公司为保护产品的机密于1971年至1972年研制成功的,后被美国国家标准局和国家安全局选为数据加密标准,并于1977年颁布使用。ISO也已将DES作为数据加密标准。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(有8位用于奇偶校验)。解密时的过程和加密时的相似,但16个密钥的顺序正好相反。DES的保密性仅取决于对密钥的保密,而算法是公开的。
25、DES内部的复杂结构是至今没有找到捷径破译方法的根本原因。现在DES可由软件和硬件实现。对称加密的特点是文件加密和解密用的是同一个密钥,即加密密钥也可以用作解密密钥,所以这种方法在密码学中叫做对称加密算法。通常,对称加密算法使用起来简单快捷。密钥较短,且破译困难,除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DES的加密性好,而且需要的计算机功能也不那么强。IDEA加密标准由PGP(Pretty GoodPrivacy)系统使用。2.1.2公开密钥密码体制(非对称加密)公开密钥(public key)密码体制出现于1976年。它最主要的特点就是加密和解密
26、使用不同的密钥,每个用户保存着一对密钥公开密钥PK和秘密密钥SK,因此,这种体制又称为双钥或非对称密钥密码体制。在这种体制中,PK是公开信息,用作加密密钥,而SK需要由用户自己保密,用作解密密钥。加密算法E和解密算法D也都是公开的。虽然SK与PK是成对出现,但却不能根据PK计算出SK。公开密钥算法的特点如下:(l)用加密密钥PK对明文X加密后,再用解密密钥SK解密,即可恢复出明文,或写为:DSK(EPK(X)=X(2)加密密钥不能用来解密,即DPK(EPK(X))X(3)在计算机上可以容易地产生成对的PK和SK。(4)从己知的PK实际上是不可能推导出SK。(5)加密和解密的运算可以对调,即:E
27、PK(DSK(X)=X2.1.3 DES算法和RSA算法的比较和应用1.DES算法:DES算法的优点是加解密速度快、算法容易实现、安全性好。但是,对称加密算法在电子商务交易过程中存在3个问题:A.要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的,所以双方可能需要借助于邮件和电话等其他相对不够安全的手段来进行协商。B.密钥的数目将快速增长而变得难于管理,因为每一对可能的通讯实体需要使用不同的密钥,很难适应开放社会中大量的信息交流。C.对称加密算法一般不能提供信息完整性的鉴别。2.公钥体系(RSA):RSA的优点是密钥管理方便、传递安全、并
28、且能提供信息完整性鉴别。但是RSA计算量大、速度慢、效率低、实时性差,一般不适于加密大量信息。根据上述对两种典型密码算法优缺点的分析,在实际应用过程中可以考虑设计一种由非对称加密算法和对称加密算法相结合实现的综合保密系统,比如利用DES算法加解密速度快、算法容易实现、安全性好的优点对大量的数据进行加密,利用RSA算法密匙管理方便的特点来对DES的密匙进行加密。用RSA算法对DES的密匙加密后就可将其公开,而RSA的加密密匙也是可以公开的,因此,整个系统需保密的只有少量的RSA的保密密匙。原因是DES的密匙量并不大(只有64BITS),RSA只要对其做1-2个分组的加密即可完成对DES密匙的处理
29、,也不会影响系统效率。这样,少量的密匙在网络中就能比较容易地分配和传输了。第一步,发送方生成一个与接收方共同商定的对称加密算法的密钥(例如DES或IDEA密钥),用接收方的公开密钥对这个对称密钥进行加密,然后通过网络传输到接收方;第二步,发送方对需要传输的文件用生成的对称密钥进行加密,然后通过网络把加密后的文件传输到接收方:第三步,接收方用自己的公开密钥进行解密后得到发送方的对称密钥。第四步,接受方用对称密钥对文件进行解密得到文件的明文形式。因为只有接收方才拥有自己的公开密钥,所以即使其他人得到了经过加密的发送方的对称密钥,也因为无法进行解密而保证了对称密钥的安全性,从而也保证了传输文件的安全
30、性。实际上,上述在文件传输过程中实现了两个加密解密过程:文件本身的加密和解密与私有密钥的加密解密,这分别通过私有密钥和公开密钥来实现。根据电子商务系统的特点,全面地加密保护应该包括对远程通信过程中、网内通信过程中传输的数据实施加密保护。而实际上,并非系统中所有的数据都需要加密。一般来说,管理级别越高,所拥有的数据保密要求也越高,而某些用户涉及的数据可能不需要任何级别的加密,因此,电子商务系统应以采用端对端加密方式为主,根据具体情况辅以链路加密方式,这样就可以根据需要对网中的数据有选择地采取不同级别的加密保护。22防火墙技术2.2.1防火墙定义防火墙是在内部网和外部网之间建起一道屏障,并决定哪些
31、内部资源可以被外界访问,哪些外部服务可以被内部人员访问的设备。内部网和外部网之间传输的所有信息都要经过防火墙的检查,只有授权的数据才能通过。“黑客会打上我的主意吗?”这么想就对了,黑客就像钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢? 防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。 天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。
32、最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。 2.2.2防火墙的类别根据对数据处理方法的不同,防火墙大致可分为两大体系:包过滤防火墙和代
33、理防火墙(应用层网关防火墙)。前者以Checkpoint防火墙和Cisco公的PIX防火墙为代表,后者以NAI公司的Gauntlet防火墙为代表。包过滤技术是根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配。如果过滤规则允许通过,那么该数据包就会按照路由表中的信息被转发。如果过滤规则拒绝数据包通过,则该数据包就会被丢弃,这就是最初的静态包过滤技术。静态包过滤技术的缺陷十分明显,如果允许FTP类型的服务通过防火墙,就得开放所有大于1024的端口号,这样做无疑很危险。如果为了安全起见关闭这些端口,就会阻隔内外网络之间必要的FTP传输。最新的包状态监测技术通过跟踪对数据包建立的连接,
34、按照需要在过滤规则中动态增加或更新条目,来解决这个问题。当数据传输完毕、连接终止或连接超时后,防火墙就会将临时的包过滤规则移去,从而保证了防火墙的安全性,同时又使得类似FTP的服务得以顺利运行。包过滤(PacketFiltering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AcesControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。其实现原理如下页图2.1所示。代理防火墙采用代理(Proxy)技术参与TCP连接的全过程,这样从内部发出的数据包经过防火墙处理后,
35、就象来自于防火墙外部网卡一样,从而达到隐藏内部网结构的目的。代理防火墙被公认为是最安全的防火墙,其核心技术就是代理服务器技术。由于每一个内外网络之间的连接都要通过Pr。xy的介入和转换,通过专门为特定服务编写的安全化应用程序进行处理,然后由防火墙本身提交请求和应答,不给内外网络的计算机任何直接会话的机会,从而避免入侵者采用数据驱动的攻击方式入侵内部网,所以说代理防火墙最突出的优点就是安全。其缺点是速度相对较慢。代理防火墙工作原理示意图如下:自适应代理技术是最近在商业应用中实现的一种革命性的防火墙技术。该技术结合了代理类型防火墙安全性好和包过滤防火墙速度高的优点,在不损失安全性的基础上将防火墙的
36、性能提高了10倍以上。包过滤防火墙和代理防火墙代表了当今防火墙产品中的两种主流类型。它们在性能方面各有所长,但是两大流派并非势不两立。为了提高产品竞争力,各厂商正在相互融合。比如,NAI公司的Gauntlet防火墙新产品结合了先进的自适应代理技术,并完全集成了包状态监视技术来弥补速度的缺陷。为了具有普通包过滤防火墙所不具有的用户验证、审计等功能,Check Point公司在防火墙产品中加入了代理防火墙的一些功能。目前市场上基于软件和硬件的防火墙产品很多,需根据企业的实际情况来选择满足自己需要的产品。2.2.3不同类别防火墙优缺点包过滤防火墙的优点:1.实现包过滤防火墙的费用开销较低,因为一般的
37、路由器都可以提供包过滤功能;2.由于包过滤防火墙在一般情况下仅仅检查数据包头,所以在处理速度上占有一定的优势。包过滤防火墙的缺点:1.定义数据包过滤器比较复杂,需网管员对各种internet服务、包头格式以及每种协议数据包中的每个域的意义有深入的理解。2.允许数据包直接通过防火墙这道屏障,但是任何直接经过防火墙的数据包都有被用做数据驱动式攻击的潜在危险。数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据组成,但是该数据包括了一些隐藏的指令,能够让主机修改访问控制和与安全有关的文件,使得入侵者获得对系统的访问权。3.IP包过滤器可能无法对网络上流动的信息进行全面的控制。包过滤路由
38、器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境。代理防火墙的优点1.防火墙内置了一些为提高安全性而编制的proxy应用程序。这些应用程序能够透彻地理解每一个相关服务命令,对来往数据包进行安全化处理,第三章网络安全技术研究而不是简单地中继数据。2.代理防火墙不允许数据包直接通过防火墙,可以隐藏内部服务器和客户机的实际IP和身份,避免数据驱动式攻击的发生。代理防火墙的缺点1.新的internet服务在不断增加,为了让这些类型的服务通过防火墙而又不失代理防火墙的高级别的安全性,防火墙厂商必须不断推出相应于每一种新服务的新的代理应用程序。这就要求厂商有足够的研发能力和整体实力,以及具有一
39、个代理应用程序相当完备的防火墙产品。2.代理防火墙中的代理应用程序要对来往数据进行细的检查和审计,对计算机的性能上有一定的要求。对于运行ATM或千兆位以太网等高速网络的环境之间架设防火墙的情况下,则除了提高防火墙机器的配置之外,还要通过防火墙阵列等方式来提高处理速度。2.2.4防火墙技术展望从防火墙产品及功能上,下面几点是防火墙下一步的走向:1.防火墙将从目前对子网或内部网管理方式向远程上网集中管理的方式发展。2.过滤深度不断加强,从日前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX,Java等的过滤,并逐渐有病毒清除功能。3.利用防火墙建立虚拟专网(VPN)是未来较
40、长时间内用户使用的主流,IP加密需求越来越强,安全协议的开发是一大热点。4.单向防火墙(又叫网络二极管)将作为一种产品门类而出现。5.对网络攻击的检测和告警将成为防火墙的重要功能。6.安全管理工具不断完善,特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。23防病毒技术研究2.3.1计算机病毒的机理计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。它是人为利用计算机硬件固有的脆弱性,编制的具有某些特殊功能的程序。其目的在于利用各种途径和方法侵入计算机系统,伺机触发运行,实施破坏和传染。有些病毒所引起的后果仅
41、仅是磁盘空间的损失;有些病毒在其侵入过程中破坏程序,留下一个感染过的无法使用的程序文件;有些病毒则有可能造成整个系统瘫痪。计算机病毒的种类虽多,但对病毒代码进行分析、比较可看出,它们的主要结构是类似的,有其共同特点。整个病毒代码虽短小但也包含三部分:引导部分,传染部分,表现部分。引导部分的作用是将病毒主体加载到内存,为传染部分做准备(如驻留内存,修改中断,修改高端内存,保存原中断向量等操作)。传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式,传染条件上各有不同。表现部分是病毒间差异最大的部分,前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如
42、:以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分,这部分根据编制者的不同目的而千差万别,或者根本没有这部分。病毒产生的原因主要有:开个玩笑,一个恶作剧,个别人的报复心理,用于版权保护。2.3.2计算机病毒的特点和发展趋势基本特点是:计算机病毒的可执行性、广泛传染性、潜伏性、可触发性、破坏性、衍生性、主动性、隐蔽性。新的特点是:1.病毒与其他技术相融合。某些病毒及普通病毒、蠕虫、木马和黑客等技术于一身,具有混合型特征,破坏性极强。2.传播途径多,扩散速度快。很多病毒与internet和intranet紧密结合,通过系统漏洞、局域网、网页、邮件等方式进行传播,
43、扩散速度极快。目前此类病毒已有20种之多。3.欺骗性强欺骗。很多病毒利用人们的好奇心理,往往具有很强的诱惑性和欺骗性,使得它更容易传染,如“库尔尼科娃”病毒即是利用网坛美女库尔尼科娃的魅力。4.大量消耗系统与网络资源。计算机感染了REDCODE等病毒后,病毒会不断遍历磁盘、分配内存,导致系统资源很快被消耗殆尽,最终使得计算机速度越来越慢或网络阻塞。5.病毒出现频度高,病毒生成工具多。早期的计算机病毒都是编程高手制作的,写病毒是为了显示自己的技术,但库尔尼科娃病毒的设计者只是修改了下载的VBS蠕虫孵化器变生成了该病毒。这种工具在网络上很容易就可以获得,因此新病毒的出现频度超出以往的任何时候。计算
44、机病毒发展趋势:1.传播途径开始多样化。从过去的仅仅通过文件、电子邮件以及局域网共享传播,转变为通过QQ、MSN、Yahoomessage、手机短消息等即时通讯软件传播。2.开始跨操作系统平台传播。如最近出现的W工NUX病毒就能直接从Windows作平台直接传染到UN工X平台上。3.开始对抗反病毒。前一阶段出现的“汉城”病毒,就是专门被制作出来向在汉城举办的全球性反病毒大会叫板的,还有的病毒专门攻击反病毒软件和其他安全措施。4.攻击的设备开始多样化。从一般的电脑转移到手机、PDA、信息家电等。5.热衷于窃取数据并将其泄密。如今年上海某高校的招生机密,就被一种名叫“Sircam”的病毒大肆泄密。
45、6.病毒开始和黑客技术联袂。这直接表现在不少病毒利用电脑服务器漏洞,植入后门程式如特洛伊木马,或凭借电子邮件大肆传播衍生无数分身的电脑“蠕虫”。7.电脑病毒开始利用社会学原理进行传播。如仇恨心理、好奇心理、恶作剧心理等,如前一阵“库尔尼科娃”病毒的大流行,就是利用人们对网坛美女库尔尼科娃的爱慕心理传播的。8.病毒的制造开始儿童化。一些“黑客软件”、“病毒软件”的出现,让无法对自己行为负责的儿童也成为病毒的制造者和传播者。2.3.3计算机病毒防治技术基本技术:特征码扫描法。特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病
46、毒。虚拟执行技术。该技术通过虚拟执行方法查杀病毒,可以对付加密、变形、异型及病毒生产机生产的病毒。文件实时监控技术。通过利用操作系统底层接口技术,对系统中的所有类型文件或指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警。防毒新技术:智能引擎技术口智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。计算机监控技术。文件实时监控、内存实时监控、脚本实时监控、邮件实时监控、注册表实时监控。嵌入式杀毒技术。嵌入式杀毒技术是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的
47、主要的应用软件提供被动式的防护。如对MS-Office,Outlook,IE,Winzip,NetAnt等应用软件进行被动式杀毒。未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。压缩智能还原技术。反病毒专家们发明了未知解压技术,它可以对压缩或打包文件在内存中还原,从而使得病毒完全暴露出来。多层防御,集中管理技术。杀毒软件在网络上方便、快速安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置、管理和自动进行病毒代码升级,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的
48、一部分,自动提供最佳的网络病毒防御措施。病毒免疫技术。病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。24入侵检测技术研究2.4.1入侵检测概念和技术分析随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测系统(IDS)诠释 IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应。 在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只
