网络技术基础(2010040305023).doc

网络安全问题随着计算机技术的迅速发展日益突出，从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。网络安全从其本质上来讲就是网络上的信息安全。从广义来说, 凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。既包括信息系统本身的安全问题, 也有物理的和逻辑的技术措施, 一种技术只能解决一方面的问题, 而不是万能的。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性, 保证网络的安全。这也是 21世纪网络安全领域的迫切需要。一、计算机网络安全存在的问题1 网络入侵指具有熟练习的编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授法的网络或文件访问, 入侵进入他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限; 或者是作为进一步进入其他系统的跳板 (俗称 /肉鸡0) ; 或者恶意破坏这个系统, 使其毁坏而丧失服务能力。2后门和木马程序从最早计算机被入侵开始, 黑客们就已经发展了“ 后门”这门技术, 利用这门技术, 他们可以再次进入系统。后门的功能主要有: 使管理员无法阻止种植者再次进入系统; 使种植者在系统中不易被发现; 使种植者进入系统花费最少时间。木马, 又称为特洛伊木马, 是一类特殊的后门程序。英文叫做“T ro jan horse”, 其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具, 具有隐蔽性和非授权性的特点。木马里一般有两个程序, 一个是服务器程序, 一个是控制器程序。如果一台电脑被安装了木马服务器程序, 那么,黑客就可以使木马控计算机病毒指编制或者在计算机程序中插入的破坏计算。3 计算机病毒和蠕虫计算机功能或者破坏数据, 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与传统的病毒不同, 蠕虫病毒以计算机为载体, 利用操作系统和应用程序的漏洞主动进行攻击, 是一种通过网络传统的恶性病毒。它具有病毒的一些共性, 如传播性, 隐蔽性, 破坏性等等, 同时具有自己的一些特征, 文件寄生 (有的只存在于内存中 ), 对网络造成拒绝服务, 以及和黑客技术相结合等。在产生的破坏性上, 蠕虫病毒也不是普通病毒所能比拟的, 网络的发展使得蠕虫可以在短短的时间内蔓延整个网络, 造成网络瘫痪。4 DO S(拒绝服务 )攻击DO S是一种很简单, 但也是很有效的进攻方式 , 这种进攻方式没有方法能够阻止。它的目的就是拒绝你的服务访问,破坏组织的正常运作。最终它会使你的部分 Internet连接和网络系统失效 DOS(拒绝服务 )总的来说有两种实现手段:A、发送 ping 信息包: 攻击者可以破坏你的 Interne t连接,例如, 不停的向你的主机发送 ping信息包, 直到网络出现阻塞。这样就有效的阻止你的主机接收和回应合法的请求。B、M ailBomb ing(邮件炸弹 ): 这是 DOS拒绝服务攻击的另一种方式。在这种方式下, 攻击者向你的邮件系统发送大量的邮件信息。不仅影响了你的带宽, 同时也致使你的邮件服务器没有能力处理其它的邮件。制器程序进入这台电脑, 通过命令服务器程序达到控制你的电脑的目的。2 校园网中常用网络安全技术2.1 防火墙防火墙是指处于内部网计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络权限的硬件和软件的组合，在校园网中使用防火墙可以极大降低网络安全威胁。防火墙可以过滤不安全的服务降低威胁，同时也可以通过设置过滤规则直接屏蔽不健康、有危害的网站。 防火墙还可以对网络访问进行监控，并记下这些访问，做出日志记录，提出网络使用的统计信息，在对日志分析时如果认为网络存在安全问题，防火墙还可以进行报警，并提供详细信息防止内部信息再次外泄。其次防火墙还可以利用 NAT 技术隐藏校园网内部结构信息，增加网络安全性，同时利用 NAT 技术还可以解决 IP 地址不足的问题。 除上面所说的之外还可以利用防火墙对网络内部网段进行隔离，降低网络安全一旦出现问题时威胁扩散的范围。需要说明的是，防火墙的功能很强大，但是并不能防范来自校园网内部的攻击，也不能阻止已感染病毒的文件继续扩散病毒。2.2 病毒防护软件校园网中病毒的威胁无处不在，严重威胁着我们的文档和信息安全，而且病毒具有扩散快、破坏性强的特点。为了防范病毒的破坏我们应该在每个计算机中都安装好病毒防护软件，而且要及时升级病毒库。 病毒防护程序大多数是通过病的特征码来识别病毒的，随着新病毒的不断出现，防毒软件产商会不断更新病毒特征库，如果你计算机中的病毒库没有升级就无法查杀新出现的病毒。2.3 入侵检测系统（IDS）入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术，是一种检测计算机网络中违反安全策略行为的技术。IDS 可以自动监视并分析用户、系统活动，找出非授权的非法使用或合法用户的越权操作。 IDS 还可以检测系统的配置正确性，并找出安全漏洞，并提示用户处理漏洞。 同时 IDS 还可以识别已知类型的进攻，并向用户做出报警。 除以上的功能，IDS 还可以实时对检测到的入侵行为做出反应，并可以通过分析发现新的攻击模式，还可以评估重要系统和数据文件的完整性。2.4 数字加密和用户授权访问控制技术为了保证信息的安全在计算机网络中还可以使用数字加密和用户授权访问控制技术。用户授权访问控制技术主要用于静态信息的保护，可以设定访问相应信息的用户类型、使用权限等属性。 在校园网中应该设定严格的用户授权访问策略，严格设定重要信息可以访问的用户类型、用户名，及访问时所应具有的权限。数字加密技术可以用来保护动态信息，例如在电子商务、电子银行等活动都可以看到数字加密技术的应用。 数字加密技术分为对称加密和非对称加密两种类型。 对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。 不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道3安全技术的研究现状与发展趋势由于计算机、网络和通信技术的快速发展, 信息技术得到了极大的普及与应用, 信息安全的内涵也在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性, 进而又发展为/ 攻( 攻击) 、防( 防范) 、测 ( 检测)、控( 控制) 、管(管理) 、评(评估)0等多方面的基础理论和实施技术。信息安全涉及数学、物理、网络、通信和计算机诸多学科的知识。与其他学科相比, 信息安全的研究更强调自主性和创新性, 自主性可以避免/ 陷门0, 体现国家主权; 而创新性可以抵抗各种攻击, 适应技术发展的需求。本文主要从5 个方面介绍了国内外信息安全研究的现状及发展趋势。1 密码理论与技术的研究现状及其发展趋势现代信息系统中的信息安全其核心问题是密码理论及其应用。密码理论与技术主要包括两部分, 即基于数学的密码理论与技术( 包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash 函数、身份识别、密钥管理、PKI 技术等) 和非数学的密码理论与技术( 包括信息隐形、量子密码、基于生物特征的识别理论与技术) 1。目前最为人们所关注的实用密码技术是 PKI 技术。国外的 PKI 应用已经开始。许多网络公司正在使用PK I 技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此, 总的说来, PKI 技术仍在发展中。IDC 公司的Internet 安全资深分析家认为: PK I 技术将成为所有应用的计算基础结构的核心部件, 包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有 PKI 产品才有能力提供这些功能。目前国际上对非数学的密码理论与技术非常关注, 讨论也非常活跃。信息隐藏将在未来网络中保护信息免于破坏起到重要作用。信息隐藏是网络环境下把机密信息隐藏在大量信息中不让对方发觉的一种方法, 特别是图像叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引起人们的重视。基于生物特征(比如手形、指纹、语音、视网膜、虹膜、脸形、DNA 等)的识别理论与技术已有所发展, 形成了一些理论和技术, 也形成了一些产品, 这类产品往往由于成本高而未被广泛采用。2 安全协议理论与技术的研究现状及其发展趋势安全协议的研究主要包括两方面内容, 即安全协议的安全性分析方法研究和各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类, 一类是攻击检验方法, 另一类是形式化分析方法, 其中安全协议的形式化分析方法是安全协议研究中最关键的研究问题之一, 它的研究始于20 世纪80年代初, 目前正处于百花齐放、充满活力的状态之中。目前, 已经提出了大量的实用安全协议, 有代表性的有:电子商务协议、IPSec 协议、TLS 协议、简单网络管理协议( SN M P) 、P GP 协议、P EM 协议、S- HT T P 协议、S/ M IM E 协议等。实用安全协议的安全性分析, 特别是电子商务协议、IPSec 协议、T LS 协议是当前协议研究中的另一个热点。典型的电子商务协议有 SET 协议、iKP 协议等。另外, 值得注意的是 Kailar 逻辑, 它是目前分析电子商务协议的最有效的一种形式化方法。在安全协议的研究中, 除理论研究外, 实用安全协议研究的总趋势是走向标准化。3 安全体系结构理论与技术研究现状及发展趋势安全体系结构理论与技术主要包括: 安全体系模型的建立及其形式化描述与分析, 安全策略和机制的研究, 检验和评估系统安全性的科学方法和准则的建立, 符合这些模型、策略和准则的系统的研制( 比如安全操作系统、安全数据库系统、安全防火墙系统等) 。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷) 共同提出/ 信息技术安全评价通用准则0( CCfor IT SEC) 。CC 综合了国际上已有的评测准则和技术标准的精华, 给出了框架和原则要求, 但它仍然缺少综合解决信息的多种安全属性的理论模型依据。CC 标准于 1999年 7 月通过国际标准化组织认可, 确立为国际标准, 编号为ISO/ IEC15408。4 信息对抗理论与技术研究现状及发展趋势信息对抗理论与技术主要包括 2: 黑客防范体系, 信息伪装理论与技术, 信息分析与监控, 入侵检测原理与技术, 反击方法, 应急响应系统, 计算机病毒, 人工免疫系统在反病毒和抗入侵系统中的应用等。该领域正在发展阶段, 理论和技术都很不成熟, 也比较零散, 但它的确是一个研究热点。目前看到的成果主要是一些产品(比如 IDS、防范软件、杀病毒软件等), 攻击程序和黑客攻击成功的事件。当前在该领域最引人注目的问题是网络攻击, 该领域的另一个比较热门的问题是入侵检测与防范。这方面的研究相对比较成熟, 也形成了系列产品, 典型代表是 IDS 产品。5 网络安全与安全产品研究现状及发展趋势网络安全是信息安全中的重要研究内容之一, 也是当前信息安全领域中的研究热点。研究内容包括: 网络安全整体解决方案的设计与分析、网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护, 免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性, 它是一个涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的事情, 必须综合考虑。解决网络信息安全问题的主要途径是利用密码技术和网络访问控制技术。密码技术用于隐蔽传输信息、认证用户身份等。网络访问控制技术用于对系统进行安全保护, 抵抗各种外来攻击。目前, 在市场上比较流行, 而又能够代表未来发展方向的安全产品大致有以下几类: 防火墙、安全路由器、虚拟专用网(VPN) 、安全服务器、电子签证机构) ) 用户认证产品、入侵)CA 和 PK I 产品、安全管理中心、检测系统( IDS) 、安全数据库和安全操作系统。在上述所有主要的发展方向和产品种类上, 都包含了密码技术的应用, 并且是非常基础性的应用。很多的安全功能和机制的实现都是建立在密码技术的基础之上, 甚至可以说没有密码技术就没有安全可言。但是, 我们也应该看到密码技术与通信技术、计算机技术以及芯片技术的融合正日益紧密, 其产品的分界线越来越模糊,彼此也越来越不能分割。在一个计算机系统中, 很难简单地划分某个设备是密码设备, 某个设备是通信设备。而这种融合的最终目的还是在于为用户提供高可信任的、安全的计算机和网络信息系统。网络安全的解决是一个综合性问题, 涉及诸多因素, 包括技术、产品和管理等。信息安全问题已成为社会关注的焦点。特别是随着 In-ternet 的普及和电子商务、政府上网工程的启动, 一方面, 信息技术已经成为整个社会经济和企业生存发展的重要基础,在国计民生和企业经营中的重要性日益凸现; 另一方面, 政府主管机构企业和用户对信息技术的安全性、稳定性、可维护性和可发展性提出了越来越迫切的要求, 因此, 从社会发展和国家安全角度来看, 加大发展信息安全技术的力度已刻不容缓。4总结随着网络技术的发展，网络安全问题将面临越来越严峻的挑战。 一旦出现安全问题，所造成的损坏也会越来越严重。 虽然我们有很多的网络安全技术可以使用，但是网络安全问题绝对不是仅仅通过技术手段就可以解决的；网络安全技术很关键，但使用和管理计算机的人更关键。 在网络安全管理中应该首先加强对人的管理，加强管理员和使用者的安全意识教育、建立包含全部人员的安全责任追踪制度。除此之外我们