logo资料库

计算机网络安全 论文.doc

发布时间:2022-06-10 发布人:admin 分类:说明书 资料大小:0.04M 资料格式:doc 举报 版权申诉
第1页 / 共7页
第2页 / 共7页
第3页 / 共7页
第4页 / 共7页
第5页 / 共7页
第6页 / 共7页
第7页 / 共7页
资料共7页,全文预览结束
    在网络基础设施中,必须尽力保证网络上所有信息流都是有效信息流。有效信息流可以归于期望的网络信 息流一类,例如:支持的服务、无欺骗的信息流等等。 防火墙用于控制网络间的信息流,且经常用来控制所支持的网络服务流。网络基础设施中的验证数据 能够提供更为合理的安全性,以防报文分组被更改。利用防火墙来阻止网络攻击有助于阻止欺骗的信息流。 网络防火墙 确保基础设施完整性的一种常用方法是采用防火墙。用最简单的话说,防火墙的作用就是用来控制信 息流的流动。它制定一系列规则允许或拒绝不同类型的通信,并执行所制定的路由决策。经许可或被拒绝 的通信可以包括特定的网络服务。在通常情况下,防火墙都部署在网络基础设施的关键入口或出口。 目前有 3 类包含不同过滤功能的防火墙:第一类是包过滤。这类防火墙只根据单个包的 TCP、UDP、 ICMP 和 IP 报头决定允许或拒绝信息流。包过滤器将综合考虑信息流方向(入站或出站)、IP 源地址和目标 地址、以及 TCP 或 UDP 的源端口号和目的端口号。第二类是电路层过滤。这类防火墙通过保护状态信息 和重构与信息流相关的数据流来控制访问。电路层过滤防火墙不会把包从一端移到另一端,除非此站点属 于已建立连接的一部分。另一类是应用层过滤。这类防火墙用于处理与特定 IP 应用相关的报文。可以调整 这些网关以在用于特定的协议,当采用更加新的协议时,不能有效地保护信息流。在确定何种过滤防火墙 更适合实际的环境前,应当先检查该环境中可以实施的信息流控制。大多数控制都基于信息流方向、信息 流来源、IP 地址、端口号、认证和应用内容这几种特性的组合 信息流方向,入站和出站的信息流都能够被过滤。通常情况下,入站信息流均从外部不可信的信息员 进入内部的可信网络。而出站信息流则从内部可信网络发送到外部不可信网络。在管理信息流时,需要考 虑的因素之一是该信息流来源来自内部(可信的)网络还是外部(不可信)网络。在 IP 地址当中,可以使用源 地址或目的地址对特定的信息流进行过滤。这种方法用于实现先导控制,有助避免欺骗性攻击。TCP 和 UDP 的源和目的端口号均可用来区分并过滤不同类型的服务。在一些可信网络的入口,用户在访问特定的服务 (如 Telnet、FTP 或 HTTP)前需要通过认证。可用的认证机制很多,但它们的目标是一致的,都用来对应用 进行控制以及审核服务的访问对象。再就是检查应用内容和选定某种控制是有用的。为此可能需要详细了 解对某个 URL 或特殊内容类型(像 Java 小程序)的过滤。 网络服务和经认证的数据
    选择服务和协议的类型可能是一项十分艰巨的任务。一种简单的方法是先允许所有类型的服务和协议, 然后再根据需要加以禁止。这种策略实施起来方便,因为所需要做的只是启动所有的服务并允许所有的协 议在网络间通行。当出现安全漏洞时,就在主机或网络层上限制出现漏洞的服务或为服务添加补丁。 这种方法相当简单,但它同时也容易遭受大多数网络攻击。一种更安全的方法是先拒绝所有类型的服 务和协议。然后根据需要允许一些服务。按照这种方法,先关闭所有服务,然后有选择地启动需要的服务。 全部拒绝模式通常要比全部允许模式安全,可是要成功地实施却需要更多的工作。同时要求对各种服务作 更深入的了解。最理想的情况是:只允许已知的服务类型,就可以更好地分析特定的服务或协议,并且可 以设计适合站点安全等级的安全机制。安全措施的复杂性会随着所提供服务个数的增加而呈指数增长。因 此应该以怀疑的态度评估所有新增的服务,以保证添加的服务是必需的。 为确保合理数据完整性,应该验证大多数跨越网络的信息流。另外,为了保证网络基础设施的完善性, 对安全基础设施进行操作(如路由更新)的信息流也应该通过验证。 假如不对路由更新验证,则未授权或恶意的路由更新报文就会危及信息流安全。因为如果敌对团队故 意改变信息流的方向或对信息流进行分析,就会对网络安全构成威胁。例如,未经授权的路由器可以向网 络中某个路由器发送伪造的路由更新信息,使该路由器把信息流发往错误的目的地址,通过分析这个被转 向的信息流就可以掌握发送该报文组织的机密信息。 即使入侵者能够直接访问物理网络,校验和(checksum,一种依据封包内容计算出来的值)仍然可以阻 止向网络注入伪造的报文分组。如果再与序号或其他惟一标识符相结合使用,校验和甚至还能组织重放攻 击。重放攻击指入侵者或发生故障的路由器重新发送旧的(但曾经是正确的)路由更新信息。对有序号或有 其他唯一标识的路由器更新进行完全加密就能保证大部分的安全性。这种方法能够阻止入侵者发现网络的 拓扑。加密方法的不足是在于增加看更新过程的系统开销。 网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性, 正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信 息论等多种学科的综合性学科。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、
    更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、 可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望 涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手 利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐,? 问和破坏。 从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷 门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。 对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息 泄露,避免对社会产生危害,对国家造成巨大损失。 从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对 其进行控制。 编者按:"千里之提,溃于蚁穴"。配置再完善的防火墙、功能再强大的入侵检测系统、结构再复杂的系统 密码也挡不住内部人员从网管背后的一瞥。"微软被黑案"的事例证明,当前企业网络最大的安全漏洞来自 内部管理的不严密。因此网络安全,重在管理。那么如何管理呢?请仔细研读下文。 网络安全的重要性及现状 随着计算机网络的普及和发展,我们的生活和工作都越来越依赖于网络。与此相关的网络安全问题也随之 凸现出来,并逐渐成为企业网络应用所面临的主要问题。那么网络安全这一要领是如何提到人们的议事日 程中来的呢? 1. 网络安全的概念的发展过程 网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络的安全性。当网络仅仅用来传送
    一般性信息的时候,当网络的覆盖面积仅仅限于一幢大楼、一个校园的时候,安全问题并没有突出地表现 出来。但是,当在网络上运行关键性的如银行业务等,当企业的主要业务运行在网络上,当政府部门的活 动正日益网络化的时候,计算机网络安全就成为一个不容忽视的问题。 随着技术的发展,网络克服了地理上的限制,把分布在一个地区、一个国家,甚至全球的分支机构联系起 来。它们使用公共的传输信道传递敏感的业务信息,通过一定的方式可以直接或间接地使用某个机构的私 有网络。组织和部门的私有网络也因业务需要不可避免地与外部公众网直接或间接地联系起来,以上因素 使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化,从而造成网络的可控制性急剧降低, 安全性变差。 随着组织和部门对网络依赖性的增强,一个相对较小的网络也突出地表现出一定的安全问题,尤其是当组 织的部门的网络就要面对来自外部网络的各种安全威胁,即使是网络自身利益没有明确的安全要求,也可 能由于被攻击者利用而带来不必要的法律纠纷。网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全 要求已经构成了对网络安全的迫切需求。 2. 解决网络安全的首要任务 但是,上面的现状仅仅是问题的一个方面,当人们把过多的注意力投向黑客攻击和网络病毒所带来的安全 问题的时候,却不知道内部是引发安全问题的根源,正所谓 "祸起萧墙"。国内外多家安全权威机构统计表 明,大约有七八成的安全事件完全或部分地由内部引发。在一定程度上,外部的安全问题可以通过购置一 定的安全产品来解决,但是,大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引 起的。因此,建立组织的部门的网络安全体系是解决网络安全的首要任务。 网络安全存在的主要问题 任何一种单一的技术或产品者无法满足无法满足网络对安全的要求,只有将技术和管理有机结合起来,从 控制整个网络安全建设、运行和维护的全过程角度入手,才能提高网络的整体安全水平。 无论是内部安全问题还是外部安全问题,归结起来一般有以下几个方面:
    1. 网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全 措施加以防范, 完全处于被动挨打的位置。 2. 组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐 患,从而失去了 防御攻击的先机。 3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机。 4. 组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施 不能充分有效 地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。 5. 网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络, 不能及时发现 已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。 网络安全管理体系的建立 实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保 证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网 络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程 通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程 组成。 1. 安全需求分析 "知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全 体系结构,从而有效地保证网络系统的安全。 2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估, 以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全 体系结构提供直接的依据。 3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
    4. 定期安全审核安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络 安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也 会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反 映这种变化,必须进行定期安全审核。 5. 外部支持计算机网络安全同必要的外部支持是分不开的。通过 专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安 全提供安全预警。 6. 计算机网络安全管理 安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性 组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。 我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研 究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描 软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生 化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协 同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分 析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。 国际上信息安全研究起步较早,力度大,积累多,应用广,在 70 年代美国的网络安全技术 基础理论研究成果“计算机保密模型”(Beu& La padula 模型)的基础上,指定了“可信计算 机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释, 形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分 析始于 80 年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限 性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、 亚各洲举行的密码学和信息安全学术会议频繁。1976 年美国学者提出的公开密钥密码体制, 克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而 电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论 证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码 体制,如量子密码、DNA 密码、混沌理论等密码新技术正处于探索之中。因此网络安全技 术在 21 世纪将成为信息网络发展的关键技术,21 世纪人类步入信息社会后,信息这一社会
    发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信 息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发 和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证 我国信息网络的安全,推动我国国民经济的高速发展。
    分享到:
    收藏

    相关推荐

    资料库

    网络技术

    共收录2367份资料,累计7个分类,关注成员有19位,主要包括:综合布线,网管软件,网络监控,网络设备,其它,系统集成,网络基础

    热门标签

    综合布线 网管软件 网络监控 网络设备 其它 系统集成 网络基础

    最新资料