网络安全技术与方案

计算机网络技术与应用——网络安全技术与方案学校 学生 学院 专 业_学号 网络安全技术与方案学生：班级：摘要：随着互联网的快速发展，网络安全问题已经不容忽视。网络安全技术是指致力于解决诸如如何有效进行介人控制，以及如何保证数据传输的安全性的技术手段，广泛应用的网络安全技术主要有：数据加密与数据隐藏技术、认证与鉴别技术与防火墙技术等。本文对网络安全的技术进行了描述与解释，并对网络存在的安全问题进行了分析，并对这些安全隐患做出了行之有效的解决方案。关键词：网络、安全、防火墙技术、加密、认证技术NetworksecuritytechnologiesandsolutionsAbstract:WiththerapiddevelopmentofInternet,networksecurityissueshavenotsallowtoignore.Networksecuritytechnologyisdedicatedtosolvingsuchashowtoeffectivelycontroltheintermediatepeople,andhowtoensurethesecurityofdatatransmissiontechnology,extensiveapplicationofnetworksecuritytechnologymainlyinclude:dataencryptionanddatahidingtechnology,authenticationandidentificationtechnologyandfirewalltechnologyetc.Inthispaper,thetechnologyofnetworksecurityaredescribedandexplained,andanalyzesthesecurityproblemofnetwork,andhasmadeaeffectivesolutiontothesecurityhiddendanger.Keywords:network,security,firewalltechnology,encryptionandauthenticationtechniques1绪论随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。网络安全性可以被粗略地分为4个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。一、计算机网络的安全技术计算机网络安全是指通过采用各种安全技术和管理上的安全措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。随着计算机网络技术的快速发展和互联网的应用变得越来越宽泛，带来前所未有的海量信息的同时，网络的开放性与自由性也带来了私有信息和数据被破坏或者侵犯的可能性，网络信息安全变得日益重要起来，并被各个领域所重视。从计算机网络技术安全上来说，主要有防病毒、防火墙等多个安全组件组成，一个单独的组件无法确保网络信息的安全性。目前，广泛应用的网络安全技术主要有：数据加密与数据隐藏技术、认证与鉴别技术与防火墙技术等。1、数据加密与数据隐藏技术1.1数据加密我们经常需要一种措施来保护我们的数据，防止被一些怀有不良用心的人所看到或者破坏。在信息时代，信息可以帮助团体或个人使他们受益，同样信息也可以用来对他们构成威胁而造成破坏。在竞争激烈的大公司中，工业间谍经常会获取对方的情报。因此，在客观上就需要一种强有力的安全措施来保护机密数据不被窃取或篡改。数据加密与解密从宏观上讲是非常简单的，很容易理解。加密与解密的一些方法是非常直接的，很容易掌握，可以很方便的对机密数据进行加密和解密。对称密钥是最古老的，一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高，因而目前仍广泛被采用。 DES是一种数据分组的加密算法，它将数据分成长度为64位的数据块，其中8位用作奇偶校验，剩余的56位作为密码的长度。第一步将原文进行置换，得到64位的杂乱无章的数据组；第二步将其分成均等两段；第三步用加密函数进行变换，并在给定的密钥参数条件下，进行多次迭代而得到加密密文。公开密钥，又称非对称密钥，加密和解密时使用不同的密钥，即不同的算法，虽然两者之间存在一定的关系，但不可能轻易地从一个推导出另一个。有一把公用的加密密钥，有多把解密密钥。非对称密钥由于两个密钥各不相同，因而可以将一个密钥公开，而将另一个密钥保密，同样可以起到加密的作用。在这种编码过程中，一个密码用来加密消息，而另一个密码用来解密消息。在两个密钥中有一种关系，通常是数学关系。公钥和私钥都是一组十分长的、数字上相关的素数。有一个密钥不足以翻译出消息，因为用一个密钥加密的消息只能用另一个密钥才能解密。每个用户可以得到唯一的一对密钥，一个是公开的，另一个是保密的。公共密钥保存在公共区域，可在用户中传递。而私钥必须存放在安全保密的地方。任何人都可以有你的公钥，但是只有你一个人能有你的私钥。所以不必担心大家都有我的公钥，因为它不能用来解密消息。公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。1.2数据隐藏数据隐藏技术是指隐藏数据的存在性。通常是将数据隐藏在一个容量更大的数据载体之中，形成隐秘载体，使非法者难于观察其中隐藏有某些数据，或难于从中提取被隐藏数据。信息隐藏主要是研究如何将某一机密信息秘密隐藏于另一公开的信息中，然后通过信息公开的传输来传递机密信息。对加密通信而言，监测或者非法拦截者可以通过截取密文，并对其进行破译，或破坏密文后在发送，从而保证机密信息安全。但对信息隐藏而言，监测者或者非法拦截者则难以公开信息中判断机密信息是否存在，难以截获机密信息，从而能够保证机密信息的安全。2、认证与鉴别技术2.1数字签名数字签名(DigitalSignature)技术是非对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。数字签名是解决网络通信中特有安全问题的一种有效方法，它能够实现电子文档的辨认和验证，在保证数据的完整性、私有性、不可抵赖性方面起着极其重要的作用。为了实现网络环境下的身份鉴别、数据完整性认证和抗否认的功能。数字签名原理图2.2CA认证CA中心主要职责是颁发和管理数字证书，其中心任务是颁发数字证书，并履行用户身份认证的责任。CA中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面，需要十分严格的政策和规程，要有完善的安全机制，另外要有完善的安全审计、运行监控、容灾备份、事故快速反应等实施措施，对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑°CA中心的证书审批业务部门则负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果。3、防火墙技术3.1防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙是网络安全的屏障:一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。3.2防火墙的种类防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动。从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。对网络之间传输的数据包依照一定的安全策略进行检查,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,防火墙实际上代表了一个网络的访问控制原则二、网络安全解决方案1、常见的网络威胁1.1网络窃听在广域网中，每个节点都能读取网上的数据，这是互联网的主要脆弱点。互联网体系结构允许监视器接受网上传输的所有数据桢而不考虑传输目的地址，这种特性使得窃听网上的数据或非授权访问很容易且不易被发现。1.2完整性破坏当信息系统被有意或无意的修改或破坏时，就会发生数据完整性破坏。1.3数据修改数据修改是在非授权和不能监测的方式下对数据的改变。当节点修改加入网中的桢并传送修改版本时就发生了数据修改。即使采用某些级别的认证机制，此种供给也能危及可信节点的通信。1.4重发重发就是重复一份保文或报文的一部分，以便产生一个被授权效果。当节点考贝发到其他节点的报文并在其后重发它们时，如果不能检测重发，节点依据此报文的内容接受某些操作。1.5假冒当一个实体假扮成另一个实体时，就发生了假冒。很多网络适配器都允许网桢的源地址由节点自己来选取或改变，这就使冒充变得较为容易。1.6服务否认当一个授权实体不能获得对网络资源的访问或当紧急操作被推迟时，就发生了服务否认。这可能是由网络部件的物理损坏而引起的，也可能由超载而引起。1.7计算机病毒这是一种人为编制的隐藏在计算机中很难被发现且具有特定破坏能力的程序或代码，能够通过软盘、硬盘、通信链路和其他途径在计算机网络能转播和蔓延，具有极大的破坏性。2、计算机安全技术的解决方案2.1物理隔离技术物理隔离是指内部网不直接或间接地连接公共网，物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。实施内外网物理隔离，技术上可以确保：在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网，同时防止内部网信息通过网络连接泄露到外部网。物理隔离的指导思想与防火墙有很大的不同：防火墙绝不是物理隔离产品，防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问，又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说，其关键的都在于使数据有选择的通过，而不是彻底的把数据隔离。物理隔离与防火墙是两个不同的安全策略，它们功能互补，但不能互相代替。它们二者的安全策略非常清楚，即：把需要保密的内部数据，进行100%的保护，实行物理隔离，而对可公开的数据，则交由防火墙去保护。2.2网络认证技术(1)口令认证，当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交该对象的口令，认证方收到口令后，将其与系统中存储的用户El令进行比较，以确认被认证对象是否为合法访问者。但这种明文输入的□令，很容易泄密，传输过程中也可能被截获，系统中所有用户的口令以文件形式存储在认证方，攻击者还可以利用系统中存在的漏洞获取系统的□令文件。而且这种认证只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证，这使得攻击者可能伪装成系统骗取用户的□令。(2)又因素认证，除□令外，还必须拥有系统颁发的令牌访问设备，当用户向系统登录时，用户除输人□令外，还必须输入令牌访问设备所显示的数字，该数字与认证服务器同步，不断变化。这种方法比基于□令的认证方法具有更好的安全性，在一定程度上解决了□令认证方法中的问题(3Xerberos该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。CHAP，使用3次握手周期性的验证对端身份。在链路建立初始化时这样做，也可以在链路建立后任何时间重复验证。x.509证书及认证框架，X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密，然后再用接收者的公共密钥对DES进行加密并将之附于信息之上，这样接收者可用对应的专用密钥打开DES密锁，并对信息解密。2.3病毒防护技术在早期的单机环境下，病毒主要有寄生性、隐蔽性、非法性、传染性、破坏性、潜伏性、可触发性等特点，随着计算机网络在工作、生活、学习中发挥着越来越重要的作用，各种网络安全问题逐渐增多，网络病毒越发趋于复杂，除具有单机环境下的特点外，还呈现出感染速度快、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大等新的特点。与此同时，许多防病毒厂商也升级了一些新的防病毒技术，主要包括数字免疫系统、监控病毒源技术、主动内核技术、“分布式处理”技术、安全网管技术。防病毒网关放置在内部网络和互联网连接处。当在内部网络内发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。目前,代表性的产品有亿邮防病毒网关、中网电子邮件防病毒网关、北信源防毒网关等。2.4入侵检测系统(Intrusiondetectionsystem,简称IDS)IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企业、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。它作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应人侵。与其他安全产品不同的是，人侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得m有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。具体说来，人侵检测系统的主要功能有：监测并分析用户和系统的活动，.核查系统配置和漏洞..评估系统关键资源和数据文件的完整性，识别已知的攻