1、网络安全 计算机网络安全论文网络安全 计算机网络安全论文(2008-09-06 11:08:53)标签:包过滤 防火墙 访问控制 网络安全 数据保密服务 it 分类:网络安全 1 绪论随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处
2、或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。网络安全性可以被粗略地分为 4 个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来2 方案目标本方案主要从网络层次考虑,将网络系统设计成一个支持各
3、级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与 Internet 或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:1采用多层防卫手段,将受到侵扰和破坏的概率降到最低;2提供迅速检测非法使用和非法初始进入点的手段,核查跟
4、踪侵入者的活动;3提供恢复被破坏的数据和系统的手段,尽量降低损失;4提供查获侵入者的手段。网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。3 安全需求通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性: 授权实体有权访问数据机密性: 信息不暴露给未授权实体或进程完整性: 保证数据不被未授权修改可控性: 控制授权范围内的信息流向及操作方式可审查性:对出现的安全问题提供依据与手段访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外
5、部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的 LAN 或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏4 风险分析网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全
6、,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。5 解决方案5.1 设计原则针对网络系统实际
7、情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:1大幅度地提高系统的安全性和保密性;2保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;3易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;4尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;5安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;6安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;7分步实施原则:分级管理 分步实施。5.2 安全策略针对上述分析,我们采取以下安全策略:1采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下
8、运行。2采用各种安全技术,构筑防御系统,主要有:(1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。(2) NAT 技术:隐藏内部网络信息。(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP
9、 包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。3实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。4建立分层管理和各级安全管理中心。5.3 防御系统我们采用防火墙技术、NAT 技术、VPN 技术、网络加密技术(Ipsec) 、
10、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。5.3.1 物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行,在物理安全方面应采取如下措施:1产品保障方面:主要指产品采购、运输、安装等方面的安全措施。2运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生
11、成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。3防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。4保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。5.3.2 防火墙技术防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和 Internet 之间地任何活动,保证了内部网络地安全;在物理实现
12、上,防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:(1)屏蔽路由器:又称包过滤防火墙。(2)双穴主机:双穴主机是包过滤网关的一种替代。(3)主机过滤结构:这种结构实际上是包过滤和代理的结合。(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。5.3.2.1 包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上
13、的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP 源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应
14、用层的恶意侵入,如恶意的 Java 小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造 IP 地址,骗过包过滤型防火墙。5.3.2.2 网络地址转化NAT网络地址转换是一种用于把 IP 地址转换成临时的、外部的、注册的IP 地址标准。它允许具有私有 IP 地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的 IP 地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道
15、内部网络的连接情况,而只是通过一个开放的 IP地址和端口来请求访问。OLM 防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。5.3.2.3 代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当
16、于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。5.3.2.4 监测型监测型防火墙是新一代的产品,这一技术实际已
17、经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目
18、前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉 FTP 连接中的 PUT 命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要
19、集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。相关性:毕业论文,免费毕业论文,大学毕业论文,毕业论文模板5.3.3 入侵检测入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应) ,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:1监视、分析用户及系统活动;2系
20、统构造和弱点的审计;3识别反映已知进攻的活动模式并向相关人士报警;4异常行为模式的统计分析;5评估重要系统和数据文件的完整性;6 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。5.4 安全服务网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。针对以上问题和网管人员的不足,下面介绍一系列比较重要的网络服务。包括:1通信伙伴认证通信伙伴认证服务的作用是通信伙伴之间相互确庥身份,防止他人插入通信过程。认证一般在通信之前进行。但
21、在必要的时候也可以在通信过程中随时进行。认证有两种形式,一种是检查一方标识的单方认证,一种是通信双方相互检查对方标识的相互认证。通信伙伴认证服务可以通过加密机制,数字签名机制以及认证机制实现。2访问控制访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。访问控制的基本原理是检查用户标识,口令,根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机 CPU 运行程序,是否有权对数据库进行查询和修改等等。访问控制服务通过访问控制机制实现。3数据保密数据保密服务的作用是防止数据被无权者阅读。数据保密既包括存储中的数据,也包括传输中的数据。保密查以对特定文件,通信链路,甚至文件中
22、指定的字段进行。数据保密服务可以通过加密机制和路由控制机制实现。4业务流分析保护业务流分析保护服务的作用是防止通过分析业务流,来获取业务量特征,信息长度以及信息源和目的地等信息。业务流分析保护服务可以通过加密机制,伪装业务流机制,路由控制机制实现。5数据完整性保护数据完整性保护服务的作用是保护存储和传输中的数据不被删除,更改,插入和重复,必要时该服务也可以包含一定的恢复功能。数据完整性保护服务可以通过加密机制,数字签名机制以及数据完整性机制实现6签字签字服务是用发送签字的办法来对信息的接收进行确认,以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。签字
23、服务通过数字签名机制及公证机制实现。5.5 安全技术的研究现状和动向我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。国际上信息安全研究起步较早,力度大,积累多,应用广,在 70 年代
24、美国的网络安全技术基础理论研究成果“计算机保密模型” (Beu& La padula 模型)的基础上,指定了“可信计算机系统安全评估准则” (TCSEC) ,其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。结论随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的
25、问题。本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解关于计算机网络安全问题的研究和探讨摘要随着计算机网络越来越深入到人们生活中的各个方面,计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅速,攻击手段层出不穷。而计算机网络攻击一旦成功,就会使网络上成千上万的计算机处于瘫痪状态,从而给计算机用户造成巨大的损失。因此,认真研究当今计算机网络存在的安全问
26、题,提高计算机网络安全防范、意识是非常紧迫和必要的。关键词安全问题;相关技术;对策1 几种计算机网络安全问题1.1 TCP/IP 协议的安全问题目前网络环境中广泛采用的 TCP/IP 协议。互联网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信,正因为其开放性,TCP/IP 协议本身就意味着一种安全风险。由于大量重要的应用程序都以 TCP 作为它们的传输层协议,因此 TCP 的安全性问题会给网络带来严重的后果。1.2 网络结构的安全问题互联网是一种网间网技术。它是由无数个局域网连成的巨大网络组成。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多
27、机器的重重转发,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦测,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。加之互联网上大多数数据流都没有进行加密,因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所固有的安全隐患。1.3 路由器等网络设备的安全问题路由器的主要功能是数据通道功能和控制功能。路由器作为内部网络与外部网络之间通信的关键设备,严格说来,所有的网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器本身的设计缺陷
28、展开的,而有些方式干脆就是在路由器上进行的。2 计算机网络安全的相关技术计算机网络安全的实现有赖于各种网络安全技术。从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。2.1 防火墙技术所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。 “防火墙”一方面阻止外界对内部网络资源的非法访问,另一方面也可以防止系统内部对外部系统的不安全访问
29、。实现防火墙的主要技术有:数据包过滤、应用级网关、代理服务和地址转换。2.2 数据加密技术从密码体制方面而言,加密技术可分为对称密钥密码体制和非对称密钥密码体制,对称密钥密码技术要求加密、解密双方拥有相同的密钥,由于加密和解密使用同样的密钥,所以加密方和解密方需要进行会话密钥的密钥交换。会话密钥的密钥交换通常采用数字信封方式,即将会话密钥用解密方的公钥加密传给解密方,解密方再用自己的私钥将会话密钥还原。对称密钥密码技术的应用在于数据加密非对称密钥密码技术是加密、解密双方拥有不同的密钥,在不知道特定信息的情况下,加密密钥和解密密钥在计算机上是不能相互算出的。加密、解密双方各只有一对私钥和公钥。非
30、对称密钥密码技术的应用比较广泛,可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。2.3 入侵检测技术入侵检测系统可以分为两类,分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前,在实际环境中应用较多的是基于主机的入侵检测系统,它把监测器以软件模块的形式直接安插在了受管服务器的内部,它除了继续保持基于网络的入侵检测系统的功能和优点外,可以不受网络协议、速率和加密的影响,直接针对主机和内部的信息系统,同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。2.4 防病毒技术随着计算机技术
31、的不断发展,计算机病毒变得越来越复杂和高级,其扩散速度也越来越快,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台 PC 上,它们主要注重于所谓的“单机防病毒” ,即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。3 建议采取的几种安全对策3.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与
32、敏感的网络资源相互隔离,从而防止可能的非法侦听。3.2 以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听,所以应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。3.3 VLAN 的划分为了克服以太网的广播问题,除了上述方法外,还可以运用 VLAN技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。在集中式网络
33、环境下,通常将中心的所有主机系统集中到一个VLAN 里,在这个 VLAN 里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的 VLAN 内,互不侵扰。VLAN 内部的连接采用交换实现,而 VLAN 与 VLAN 之间的连接则采用路由实现。当然,计算机网络安全不是仅有很好的网络安全设计方案就万事大吉,还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构,制定严格的安全制度,指定安全管理人员,随时对整个计算机系统进行严格的监控和管理。参考文献1王达.网管员必读
34、网络安全M.电子工业出版社,2007.2张敏波.网络安全实战详解M.电子工业出版社,2008. 网络安全及其防范措施 作者 卢云燕 来自 (广东商学院信息学院,广东广州,) 人气 1494 背景色 字号 大 中 小 文章编号:()0239-03 收稿日期:摘 要:介绍了网络安全的含义和作用,从网络面临的威胁、网络攻击手段等方面,分析了目前网络存在的各种安全隐患,并提出了具体的防范措施。关键词:网络安全;信息安全;网络管理中图分类号:TP393.08 文献标识码:随着的发展,网络丰富的信息资源给用户带来了极大的方便,同时也给上网用户带来了安全问题。由于的开放性和超越组织与国界等特点,使它在安全性
35、上存在一些隐患。而且信息安全的内涵也发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,还从一种专门的领域变成了无处不在。 网络安全的含义及防范内容计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。建立网络安全保护措施的目的,是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网络安全防范的重点有两个方面:一是计算机病毒,二是黑客犯罪。计算机病毒是大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序;黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等。随着网
36、络经济的发展和电子商务的运行,严防黑客入侵,切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全和秩序稳定。因此,各级组织和部门必须给予高度重视。 网络安全的防范措施在网络安全领域,攻击随时可能发生,系统随时可能被攻破,对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。 防火墙技术网络防火墙技术是一种用来加强网络之间访问控制、防止外部网络用户以非法手段进入内部网络、保护内部网络操作环境的特殊网络互联设备,它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙处于层网络安全体系中
37、的最底层,属于网络层安全技术范畴,负责网络间的安全认证与传输。随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,还能为各种网络应用提供相应的安全服务。另外,还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 安装网络杀毒软件计算机网络中的病毒不但会使系统的处理速度变慢,甚至还可能导致整个计算机网络系统的瘫痪,从而破坏软件系统和数据文件。互联网上病毒的传播速度极快,病毒的发展
38、也在加速。因此,要想保护网络的安全,就应该安装网络杀毒软件。 加密技术信息交换加密技术分为两类:对称加密和非对称加密。在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法,如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。 在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥) 。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用
39、于身份认证、数字签名等信息交换领域。最具有代表性是公钥密码体制。 虚拟专用网技术虚拟专用网( ,)是近年来随着的发展而迅速发展起来的一种技术。现代企业越来越多地利用资源来进行商业活动。许多企业趋向于利用来替代它们私有数据网络。这种利用来传输私有信息而形成的逻辑网络就称为虚拟专用网。目前,主要采用四项技术来保证安全,这四项技术分别是隧道技术() 、加解密技术( ) 、密钥管理技术( ) 、使用者与设备身份认证技术() 。隧道技术是一种通过使用互联网络的基础设施,在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包,隧道协议将这些其他协议的数据帧或包重新封装在新的包中发
40、送。新的包提供了路由信息,从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由,数据包一旦到达网络终点,将被解包并转发到最终目的地。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。隧道技术是指包括数据封装、传输和解包在内的全过程。 加解密技术是指对通过公共互联网络传递的数据经过加密,确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术,可直接利用现有技术。 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为与/两种。主要是利用的演算法则,在网络上传输密钥;在中,双方都
41、有两把密钥,分别用于公用、私用。 方案必须能够验证用户身份并严格控制只有授权用户才能访问。另外,方案还必须能够提供审计和计费功能,显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 网络地址转换器当受保护网连接到因特网上时,受保护网用户若要访问因特网,就必须使用一个合法的地址。但合法因特网地址有限,而且受保护网络往往有自己的一套地址规划。网络地址转换器就是在防火墙上安装一个合法地址集,当内部某一用户要访问因特网时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器(如服务器) ,网络地址转换
42、器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的地址和大量的主机之间的矛盾,又对外隐藏了内部主机的地址,提高了安全性。 安全隔离面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念“安全隔离技术”应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。隔离产品发展至今共经历了代。第一代完全隔离。采用完全独立的设备、存储和线路来访问不同的网络,做到了完全地物理隔离,但需要多套网络和系统,建设和维护成本较高。第二代硬件
43、卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问,它仍然存在使用不便、可用性差等问题,有的设计上还存在较大的安全隐患。第三代数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间较长,甚至需要手工完成,不仅大大降低了访问速度,更不支持常见的网络应用,只能完成特定的基于文件的数据交换。第四代空气开关隔离。该技术是通过使用单刀双掷开关,通过内外部网络分时访问临时缓存器来完成数据交换的,但存在支持网络应用少、传输速度慢和硬件故障率高等问题,往往成为网络的瓶颈。第五代安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制来实现网络间的隔离和数据交换,不仅解决了以
44、往隔离技术存在的问题,并且在网络隔离的同时实现高效的内外网数据的安全交换,它透明地支持多种网络应用,成为当前隔离技术的发展方向。 入侵监测技术入侵监测技术近年来在规模与方法上都发生了变化,随着入侵的手段与技术的进步与发展,入侵监测技术也有了新的发展趋势,即分布式与智能化。分布式入侵监测有两层含义:一是针对分布式网络攻击的监测方法;二是使用分布式的方法来监测分布式的攻击,其中的关键技术为监测信息的协同处理与入侵攻击的全局信息的提取。智能化入侵监测是使用智能化的方法与手段来进行入侵监测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化
45、。另外,利用专家系统的思想来构建入侵监测系统也是常用的方法之一,特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵监测系统的防范能力不断增强,具有更广泛的应用前景。应用智能化的概念来进行入侵监测的尝试已有报道。较为一致的解决方案为高效常规意义下的入侵监测系统与具有智能监测功能的监测软件或模块的结合使用。 网络安全管理策略在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护
46、制度和应急措施等。 结语随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。参考文献 戚文静网络安全与管理 北京:中国水利水电出版社, 黄允聪网络安全基础 北京:清华大学出版社, 高文莲浅谈网络安全及其防范措施 吕梁高等专科学校学报, (): 张越今网络安全与计算机犯罪勘查技术学 北京:清华大学出版社, (实习编辑:李 敏)网络安全的开题报告怎么写啊?悬赏分:100 - 解决时间:2007-4-2 16:41 要求:第一、选题依据(包括
47、:国内外目前对该论题的研究现状、水平发展趋势简述;论文选题的依据及论题的理论意义、现实意义及应用价值;将在哪些方面有所进展或突破及可能达到的水平等。 )第二、研究内容(包括:本人对开展论题研究工作的设想,列出具体研究内容和重点要解决的问题)能写出参考文献最好哦,谢谢了,非常感谢 提问者: tobyqq - 助理 四级 最佳答案我的论文是这样: 一、分析当前网络安全形势: 1、网络定义 2、网络安全定义 3、当前形势及面临的问题 二、结合形势对当前网络的攻击方法和以后有可能出现的网络攻击方法进行介绍: 1、在最高层次上,可分为主动攻击和被动攻击; 主动攻击包括:拒绝服务攻击、信息篡改、资源使用、
48、欺骗、入侵攻击、口令攻击、等攻击方法。 被动攻击包括:嗅探、信息收集等攻击方法。 2、攻击步骤与方法 黑客攻击的基本步骤:搜集信息;实施入侵;上传程序、下载数据;利用一些方法来保持访问,如后门、特洛伊木马;隐藏踪迹等。 对以上提到的攻击方法进行详细分析介绍。 三、由网络的攻击方法写到反攻击、反病毒技术。 硬件方面:安装病毒防护卡、保护卡; 软件方面: 1、采用杀毒软件进行查毒、防毒; 2、防火墙技术; 3、信息加密技术。 反病毒有 3 种最基本的技术行为监视(activity monitoring) 、变化检测(change detection)和扫描(scan) 四、重点介绍一下防火墙技术: 1、对防火墙做初步介绍,包括种类、功能、防火墙技术原理、局限性等。 2、对防火墙的现状及发展趋势进行分析。 3、如何对防火墙进行安全配置。 五、综合论述当今网络安全面临的问题,提出自己的观点。进一步阐述对未来网络安全问题的预见及解决方法。 7
