網(wǎng)絡安全畢業(yè)論文

興義民族師范學院計算機科學系 I- 興義民族師范學院 計算機科學系 （ 畢業(yè)設計論文 ） 課題名稱 ： 網(wǎng)絡安全 專 業(yè) ： 計科系現(xiàn)代教育技術 班 級 ： 計算機?？瓢?姓 名 ： 陳 進 學 號 ： 201030811011 指導老師 ： 饒 靜 設計時間 ： 2012-2013 學年第 2 學期 興義民族師范 學院計算機科學系 - 1 - 網(wǎng)絡安全 摘要 :計算機網(wǎng)絡安全問題，直接關系到一個國家的政治、軍事、經(jīng)濟等領域的安全和穩(wěn)定。目前黑客猖獗，平均每 18 秒鐘世界上就有一次黑客事件發(fā)生。因此，提高對網(wǎng)絡安全重要性的認識，增強防范意識，強化防范措施，是保證信息產(chǎn)業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。 文中 首先 論述了信息網(wǎng)絡安全內(nèi)涵發(fā)生的根本變化，闡述 了 我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡安全體系的必要性 ，以及網(wǎng)絡的安全管理。進一步闡述了網(wǎng)絡拓撲結(jié)構的安全設計，包括對網(wǎng)絡拓撲結(jié)構的分析和對網(wǎng)絡安全的淺析。然后具體講述了 網(wǎng)絡防火墻 安全技術的分類及其主要技術特征 ， 防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準。 同時 就信息交換加密技術的分類及 RSA 算法作 了簡要的 分析，論述了其安全體系的構成 。最后分析網(wǎng)絡安全技術的研究現(xiàn)狀和動向。 關鍵字 ：網(wǎng)絡信息安全 防范技術 網(wǎng)絡管理 興義民族師范 學院計算機科學系 - 2 - 目 錄 網(wǎng)絡安全 . 1 目 錄 . 2 第一章 引 言 . 3 1.1 概述 . 3 1.2 網(wǎng)絡安全的研究目的 . 3 1.3 網(wǎng)絡安全的含義 . 4 第二章 網(wǎng)絡安全初步分析 . 5 2.1 網(wǎng)絡安全的必要 . 5 2.2 網(wǎng)絡的安全管理 . 5 2.2.1 安全管理原則 . 5 2.2.2 安全管理的實現(xiàn) . 6 2.3 采用先進的技術和產(chǎn)品 . 6 2.3.1 防火墻技術 . 6 2.3.2 加密技術 . 6 2.3.3 認證技術 . 7 2.3.4 計算機病毒的防范 . 7 2.4 常見的網(wǎng)絡攻擊及防范對策 . 7 2.4.1 郵件炸彈 . 7 2.4.2 特洛伊木馬 . 8 2.4.3 過載攻擊 . 8 2.4.4 淹沒攻擊 . 8 第三章 網(wǎng)絡結(jié)構的安全設計 . 10 3.1 網(wǎng)絡拓撲結(jié)構分析 . 10 3.2 網(wǎng)絡攻擊淺析 . 11 第四章 防范技術 . 13 4.1 防火墻的定義與選擇 . 13 4.2 對稱加密技術 . 14 4.3 公開密鑰加密 . 14 4.4 RSA 算法 . 14 4.5 注冊與認證管理 . 15 4.5.1 認證機構 . 15 4.5.2 注冊機構 . 15 4.5.3 密鑰備份和恢復 . 15 4.5.4 證書管理與撤消系統(tǒng) . 15 第五章 安全技術的研究 . 17 5.1 安全技術的研究現(xiàn)狀和方向 . 17 5.1.1 包過濾型 . 17 5.1.2 代理型 . 17 結(jié)束語 . 19 參 考 文 獻 . 20 興義民族師范 學院計算機科學系 - 3 - 第一章 引 言 1.1 概述 21 世紀全世界的計算機都將通過 Internet 聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。 世界各國的競爭已成為已經(jīng)濟為基礎、以科技（特別是高科技）為先導的綜合國力的競爭。 它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入 21 世紀這一信息社會、網(wǎng)絡社會的時候， 信息化的發(fā)展將起到非常重要的作用 ， 我 國 也 將 要 建立起一套完整的 安全 網(wǎng)絡安全體系 。 當今，信息科學技術是知識高度密集、科學高度綜合、具有科學與技術融合特征的學科。他直接滲透到經(jīng)濟、文化和社會的各個領域，迅速改變著人們的觀念、生活和社會的結(jié)構，是 當代發(fā)展知識經(jīng)濟的支柱之一。 信息安 全體系實際上包括國家的法規(guī)和政策，以及技術與市場的發(fā)展平臺。我 們 在構建信息防衛(wèi)系統(tǒng)時，應著力發(fā)展自己獨特的安全產(chǎn)品，要想真正解決網(wǎng)絡安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動我國網(wǎng)絡安全技術的整體提高。 網(wǎng)絡安全產(chǎn)品有以下幾大特點： 網(wǎng)絡的安全機制與技術要不斷地變化； 網(wǎng)絡安全來源于安全策 略與技術的多樣化，如果采用統(tǒng)一的技術和策略也就不安全了； 隨著網(wǎng)絡在社會各個方面的 提高 ，進入網(wǎng)絡的手段也越來越多，因此，網(wǎng)絡安全技術 也變成 復雜的系統(tǒng)工程。 信息安全是國家發(fā) 展所面臨的一個重要問題。 為此建立有中國特色的網(wǎng)絡安全體系，需要國家政策和法規(guī)的支持及 技術人員 研究開發(fā)。安全與反安全就像矛盾的兩個方面， 相互促進、 總是不斷地向上攀升，所以 網(wǎng)絡 安全將來也 會 變成 一個隨著新技術發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。 1.2 網(wǎng)絡安全 的研究目的 興義民族師范 學院計算機科學系 - 4 - 目前計算機網(wǎng)絡面臨著很大的威脅，其構成的因素是多方面的。這種威脅將不斷給社會帶來了巨大的損失。網(wǎng)絡安全已被信息社會的各個領域所重視。隨著計算機網(wǎng)絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢； 網(wǎng)絡安全 技術的發(fā)展 給政府機構、企事業(yè)單位帶來了革命性的改革。 通過 網(wǎng)絡，他們可以從異地取回重要數(shù)據(jù)， 由于計算機網(wǎng)絡具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性 、經(jīng)濟 性 等特征，致使網(wǎng)絡易受黑客、病毒、惡意軟件和其他不軌 行為 的攻擊， 因此同時他們也將面對數(shù)據(jù)安全的威脅。 所以網(wǎng)上信息的安全和保密 也成為最難最 重要的問題。對于軍用的自動化指揮網(wǎng)絡 （ C3I 系統(tǒng) ） 、銀行和政府等傳輸敏感數(shù)據(jù)的計算機網(wǎng)絡系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。 綜 上 所 述 ： 網(wǎng)絡必須有足夠強的安全措施，否則該網(wǎng)絡將是 多余的 、甚至會危國家安全。無論是在局域網(wǎng)還是在廣域網(wǎng)中， 網(wǎng)絡 都存在著自然 脆弱性和 人為等諸多因素的潛在威脅 。故此，網(wǎng)絡的安全措施應 能全方位地針對各種不同的威脅和 網(wǎng)絡的 脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計算機網(wǎng)絡的安全以及防范措施已迫在眉睫。 本文就進行初步探討計算機網(wǎng)絡安全的管理及其技術措施。 認真分析網(wǎng)絡面臨的威脅，我認為計算機網(wǎng)絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網(wǎng)絡應用部門領導的重視，加強工作人員的責任心和防范意識，自覺執(zhí)行各項安全制度，在此 基礎上，再采用先進的技術和產(chǎn)品，構造全方位的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。 1.3 網(wǎng)絡 安 全的含義 信息 安全是 指 網(wǎng)絡系統(tǒng)的部件、 程序、數(shù)據(jù)的安全性，他通過網(wǎng)絡信息的存儲、傳輸和使用過程的體現(xiàn)。所謂的網(wǎng)絡安全行就是保護網(wǎng)絡程序、數(shù)據(jù)或設備，使其免受非授權使用或訪問。 網(wǎng)絡安全本質(zhì)上就是信息安全 ，廣而言之，凡是涉及網(wǎng)絡信息的保密性、完整性、可用性、真實性和可控性的相關可理論都是網(wǎng)絡安全的研究領域。興義民族師范學院計算機科學系 5- 第二章 網(wǎng)絡安全初步分析 2.1 網(wǎng)絡安全的必要 隨著計算機技術的不斷發(fā)展，計算機網(wǎng)絡已經(jīng)成為信息時代的重要特征 ，人們稱它為信息高速公路。網(wǎng)絡是計算機技術和通信技術的產(chǎn)物，是 社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設自己的信息高速公路。我國近年來計算機網(wǎng)絡發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里，計算機網(wǎng)絡一定會得到極大的發(fā)展，那時將全面進入信息時 代。 正因為網(wǎng)絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的 。 2.2 網(wǎng)絡的安全管理 網(wǎng)絡管理是指對網(wǎng)絡運行狀態(tài)進行檢測和控制， 使其能夠有效、可靠、安全、經(jīng)濟地提供服服務。 面對網(wǎng)絡安全 的脆弱性，除了在網(wǎng)絡設計上增加安全服務功能，完善系統(tǒng)的安全保密設施外，還必須花大力氣加強網(wǎng)絡的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡安全所必須考慮的基本問題。 2.2.1 安全管理原則 網(wǎng)絡信息系統(tǒng)的安全管理主要基于 3 個原則 ： 多人負責原則 ： 每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有：訪問控制使用證件的發(fā)放與回收；信息處理系統(tǒng) 使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護；系統(tǒng)軟件的設計、實現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷毀等。 任期有限原則 ： 一般來講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。 職責分離原則 ： 除非經(jīng)系統(tǒng)主管領導批準，在信息處理系統(tǒng)工作的人員不要興義民族師范 學院計算機科學系 - 6 - 打聽、了解或參與職責以外的任何與安全有關的事情。出與對安全的考慮，下面每組內(nèi)的兩項信息處理工作應 當分開：計算機操作與計算機編程；機密資料的接收與傳送；安全管理和系統(tǒng)管理；應用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計算機操作與信息處理系統(tǒng)使用媒介的保管等。 2.2.2 安全管理的實現(xiàn) 信息 安全實現(xiàn)是指為保證提供一定的安全保證所必需遵守的規(guī)則 。具體工作 如下 ： 用戶對自身面臨的威脅進行風險評估 ，確定該系統(tǒng)的安全等級。 根據(jù)確定的安全等級，確定安全管理范圍。 制訂相應管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別 系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別 、登記管理。 2.3 采用先進的技術和產(chǎn)品 要保證計算機網(wǎng)絡系統(tǒng)的安全性，還要采用一些先進的技術和產(chǎn)品。目前主要采用的相關技術和產(chǎn)品有以下幾種。 2.3.1 防火墻技術 為保證網(wǎng)絡安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護的網(wǎng)絡和外部公共網(wǎng)絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內(nèi)部服務可已被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務，以及哪些外部服務可以被內(nèi)部人員訪問。它可監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認其來源及去處， 檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應用層網(wǎng)關、數(shù)據(jù)包過濾、代理服務器等幾大類型。 2.3.2 加密技術 與防火墻配合使用的安全技術還有數(shù)據(jù)加密技術，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術手段之一。 原始的消息稱興義民族師范 學院計算機科學系 - 7 - 為明文，而加密 后的消息稱為密文。從明文到密文的變換過程稱加密，從密文到明文的變換過程稱解密。 隨著信息技術的發(fā)展，網(wǎng)絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外，從技術上分別在軟件和硬件兩方面采取措 施，推動著數(shù)據(jù)加密技術和物理防范技術的不斷發(fā)展。按作用不同 , 數(shù)據(jù)加密技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術四種。 2.3.3 認證技術 認證技術是防止主動攻擊的重要手段，指驗證一個最終用戶或設備的身份過程，即認證建立信息的發(fā)送者或接收者的身份。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有：消息認證、身份認證、數(shù)字簽名。 它對于開放環(huán)境中的各種信息的安全有重 作用。 2.3.4 計算機病毒的防范 首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件： 、較強的查毒、殺毒能力。在當前全球計算機網(wǎng)絡上流行的計算機病毒有萬多種，在各種操作系統(tǒng)中包括 Windows、 UNIX 都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強的特點。 、完善的升級服務。與其它軟件相比，防病毒軟件更需要不斷地更新升級，以查殺層出不窮的計算機病毒。 2.4 常見的網(wǎng)絡攻擊及防范對策 2.4.1 郵件炸彈 郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計算機的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡黑客通過計算機網(wǎng)絡對某一目標的報復活動中。 興義民族師范 學院計算機科學系 - 8 - 防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息，也可使自己的 SMTP 連接只能達成指定的服務器，從而免受外界郵件的侵襲。 2.4.2 特洛伊 木馬 特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡中傳播的指令。特洛伊木馬具有很強的生命力，在網(wǎng)絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對計算 機的危害極大，通過特洛伊木馬，網(wǎng)絡攻擊者可以讀寫未經(jīng)授權的文件，甚至可以獲得對被攻擊的計算機的控制權。 防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡掃描軟件定期監(jiān)視內(nèi)部主機上的監(jiān)聽 TCP 服務。 2.4.3 過載攻擊 過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻 擊者用得最多的一種方法是進程攻擊，它是通過大量地進行人為地增大 CPU 的工作量，耗費 CPU 的工作時間，使其它的用戶一直處于等待狀態(tài)。 防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數(shù)；殺死一些耗時的進程。 2.4.4 淹沒攻擊 正常情況下， TCP 連接建立要經(jīng)歷 3 次握手的過程，即客戶機向主機發(fā)送 SYN 請求信號；目標主機收到請求信號后向客戶機發(fā)送 SYN/ACK 消息；客戶機收到 SYN/ACK興義民族師范 學院計算機科學系 - 9 - 消息后再向主機發(fā)送 RST 信號并斷開連接。 TCP 的這三次握手過程為人們提供了攻擊網(wǎng)絡的機會。攻擊者可以使用一個不存在或當時沒 有被使用的主機的 IP 地址，向被攻擊主機發(fā)出 SYN 請求信號，當被攻擊主機收到 SYN 請求信號后，它向這臺不存在 IP地址的偽裝主機發(fā)出 SYN/消息。由于此時主機的 IP 不存在或當時沒有被使用所以無法向主機發(fā)送 RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷地向被攻擊的主機發(fā)送 SYN 請求，被攻擊主機就會一直處于等待狀態(tài)，從而無法響應其他用戶的請求。 對付淹沒攻擊的最好方法是實時監(jiān)控系統(tǒng)處于 SYN-RECEIVED 狀態(tài)的連接數(shù)，當連接數(shù)超過某一給定的數(shù)值時，實時關閉這些連接。 興義民族師范 學院計算機科學系 - 10 - 第三章 網(wǎng)絡結(jié)構 的安全設計 3.1 網(wǎng)絡拓撲結(jié)構分析 網(wǎng)絡的拓撲結(jié)構首先應因地制宜，根據(jù)組網(wǎng)單位的實際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網(wǎng)計算機處于同一網(wǎng)段的安全控制域中。局域網(wǎng)中的拓撲結(jié)構主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問 / 沖 突 檢 測 （ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 IEEE802.3 規(guī)范 ,利用這一方法建成 的網(wǎng)絡 ,我們稱之為以太網(wǎng) ,在以太網(wǎng)的通信方式中 ,每一個工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù) ,將以太網(wǎng)卡 (支持 IEEE802.3規(guī)范的網(wǎng)卡 )設置為混雜模式 ,網(wǎng)卡便會將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū) ,以供系統(tǒng)和程序調(diào)用 .但是入侵者還是可能通過割開網(wǎng)線 ,非法接入等手段來偵聽網(wǎng)絡 ,截獲數(shù)據(jù) ,根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡的信息中心 ,因此布線要杜絕經(jīng)過不可靠的區(qū)域 ,以防止非法接入 ,在各網(wǎng)段的控制器上設置網(wǎng)段內(nèi)所有主機的介質(zhì)訪問控制器 (MAC)地址 ,該地址為 6 個字節(jié) ,是用來區(qū)分網(wǎng)絡設備的唯一標志 .此外 ,對于每一個接入網(wǎng) 絡中的計算機都必須先登記后連線接入 ,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的 MAC地址便發(fā)出警告 ,網(wǎng)管人員立即查找該設備 ,因此在局域網(wǎng)中應該采用以下三種組網(wǎng)方式來加強安全防范 . 網(wǎng)絡分段 網(wǎng)絡分段通常被認為是控制網(wǎng)絡廣播風暴的一種基本手段 ,實際上也是保證網(wǎng)絡安全的一項重要措施 .其目的是將非法用戶與敏感的網(wǎng)絡資源相互隔離 ,從而防上可能的非法偵聽 . 以交換式集線器代替共享式集線器 對局域網(wǎng)的中心計算機進行分段后 ,以太網(wǎng)的偵聽的危險仍然存在 .這是因為網(wǎng)絡最終用戶的接入往往是通過分支集線器而不是中心交換機 ,而使用最廣泛的分 支集線器通常是共享式集線器 .這樣 ,當用戶與主機進行數(shù)據(jù)通信時 ,兩臺機器之間的數(shù)據(jù)包 (稱為單播包 Nicest Packet)還是會被同一臺集線器上的其他用戶所偵聽 .因此應該以交換式集線器代替共享式集線器 ,使單播包公在兩個節(jié)點之間傳送 ,從而防止非法偵聽。 VLAN(虛擬局域網(wǎng) )的劃分 為了克服以太網(wǎng)的廣播問題 ,除上述方法外 ,還可以運用 VLAN 技術 ,將以太網(wǎng)通信變?yōu)辄c到點通信 ,以防止大部分基于網(wǎng)絡偵聽的入侵。 興義民族師范 學院計算機科學系 - 11 - 基于以上拓撲結(jié)構的連接方式 ,用電纜和集線器連接而成的網(wǎng)絡始終是同一網(wǎng)段 ,在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連 接設備接收 ,為了防止網(wǎng)絡的入侵嗅探 ,可以把網(wǎng)絡分段 ,隔離網(wǎng)絡通信合用橋接器 ,交換器 ,路由器 ,應用網(wǎng)關都可以實現(xiàn)各網(wǎng)段的通信隔離 ,同時將多個局域網(wǎng)進行互聯(lián) ,拓展網(wǎng)絡形成廣域網(wǎng) ,還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)但對于網(wǎng)絡拓撲結(jié)構的安全技術是加強對外界的攻擊的防范和應策 . 3.2 網(wǎng)絡攻擊淺析 攻擊是指非授權行為，任何危害系統(tǒng)信息安全的活動都是安全攻擊。 攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網(wǎng)絡上成功實施的攻擊級別以來于擁護采取的安全措施。 在此先分析眼下比較 流行的攻擊 Dodos 分布式拒絕服務攻擊： Does 是 Denial of Service 的簡稱，即拒絕服務，造成 Does 的攻擊行為被稱為 Does 攻擊，其目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的 Does 攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕服務 (DDoS:Distributed Denial of Service)攻擊是借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動 DoS 攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將 DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Internet 上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶 /服務器技術，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。（見圖一）而且現(xiàn)在沒有有限的方法來避免這樣的攻擊 因為此攻擊基于 TCP/IP 協(xié) 議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？ 1.確保所有服務器采用最新系統(tǒng)，并打上安全補丁。計算機緊急響應協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到 DDoS 攻擊的系統(tǒng)都沒有及時打上補丁。 2確保管理員對所有主機進行檢查，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在運行什么？誰在使用主機？哪些人可以訪問主機？不然，即使黑客興義民族師范 學院計算機科學系 - 12 - 侵犯了系統(tǒng)，也很難查明。 3確保運行在 Unix 上的所有服務都有 TCP 封裝程序，限制對主機的訪問權限。 4禁止內(nèi)部網(wǎng)通過 Modem 連接至 PSTN 系統(tǒng)。否 則，黑客能通過電話線發(fā)現(xiàn)未受保護的主機，即刻就能訪問極為機密的數(shù)據(jù)。 6限制在防火墻外與網(wǎng)絡文件共享。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。 8在防火墻上運行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當造成的，使 DoS/DDoS 攻擊成功率很高，所以定要認真檢查特權端口和非特權端口。 9檢查所有網(wǎng)絡設備和主機 /服務器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時間出現(xiàn)變更，幾乎可以肯定：相關的主機安全受到了威脅。 興義民族師范 學院計算機科學系 - 13 - 第四章 防范 技術 4.1 防火墻的定義 與 選擇 網(wǎng)絡 防火墻 技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。 防火墻 可以是一臺計算機系統(tǒng)，也可以是兩臺或更多的系統(tǒng)協(xié)同工作起到防火墻的作用。 目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關 (代理服務器 )以及電路層網(wǎng)關、屏蔽主機防火墻、雙宿主機等類型。 雖然防火墻是目前保 護網(wǎng)絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。 防火墻處于 5 層網(wǎng)絡安全體系中的最底層 ,屬于網(wǎng)絡層安全技術范疇。作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障 ,防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看 ,防火墻處于網(wǎng)絡安全的最底層 ,負責網(wǎng)絡間的安全認證與傳輸 ,但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化 ,現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡 層之外的其他安全層次 ,不僅要完成傳統(tǒng)防火墻的過濾任務 ,同時還能為各種網(wǎng)絡應用提供相應的安全服務。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。 防火墻的選擇 ： 防火墻作為網(wǎng)絡系統(tǒng)的安全屏障 , 防火墻本身是安全的 作為信息系統(tǒng)安全產(chǎn)品 ,防火墻本身也應該保證安全 ,不給外部侵入者以可乘之機。如果像 馬其諾 防線一樣 ,正面雖然牢不可破 ,但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部 ,網(wǎng)絡系統(tǒng)也就沒有任何安全性可言了。 通常 ,防火墻的安全性問題來自兩個方面 :其一是防火墻本身的設計是否合理 ,這類問 題一般用戶根本無從入手 ,只有通過權威認證機構的全面測試才能確定。所以對用戶來說 ,保守的方法是選擇一個通過多家權威認證機構測試的產(chǎn)品。其二是使用興義民族師范 學院計算機科學系 - 14 - 不當。一般來說 ,防火墻的許多配置需要系統(tǒng)管理員手工修改 ,如果系統(tǒng)管理員對防火墻不十分熟悉 ,就有可能在配置過程中遺留大量的安全漏洞。 在網(wǎng)絡系統(tǒng)建設的初期 ,由于內(nèi)部信息系統(tǒng)的規(guī)模較小 ,遭受攻擊造成的損失也較小 ,因此沒有必要購置過于復雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡的擴容和網(wǎng)絡應用的增加 ,網(wǎng)絡的風險成本也會急劇上升 ,此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性 ,或擴充成本極高 ,這便是對投資的浪費。好的產(chǎn)品應該留給用戶足夠的彈性空間 ,在安全水平要求不高的情況下 ,可以只選購基本系統(tǒng) ,而隨著要求的提高 ,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資 ,對提供防火墻產(chǎn)品的廠商來說 ,也擴大了產(chǎn)品覆蓋面。 4.2 對稱加密技術 在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖 。 這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得 以保證。對稱加密技術也存在一些不足，如果交換一方有 N 個交換對象，那么他就要維護 N 個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重 DES 是 DES（數(shù)據(jù)加密標準）的一種變形，這種方法使用兩個獨立的 56 為密鑰對信息進行 3 次加密，從而使有效密鑰長度達到 112 位。 4.3 公開密鑰加密 公 鑰 密碼的發(fā)展是整個密碼學發(fā)展史上最偉大的一次革命。它是基于數(shù)學函數(shù)的算法而不再是基于置換和代替技術。更重要的是，公鑰 密碼是非對稱的，公鑰算法依賴于一個與之相關 但不相同的解密密鑰。他使用兩個獨立的密鑰。公鑰密碼在保密性、密鑰分配和認證領域有重要的意義。 4.4 RSA 算法 RSA 算法是 Rivest、 Shamir 和 Adleman 于 1977 年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。 它是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。 在 RSA 體制中使用了這樣一個基本事實：到目前為止，無法找興義民族師范 學院計算機科學系 - 15 - 到一個有效的算法來分解兩大素數(shù)之積。利用目前已經(jīng)掌握的知識和理論，分解2048bit 的大整數(shù)已經(jīng)超過了 64 位計算機的運算能力，因此在目前和預見的將來，它是足夠 安全的。 4.5 注冊與認證管理 4.5.1 認證機構 CA（ Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由 CA 簽發(fā)的網(wǎng)絡用戶電子身份證明 證書，任何相信該 CA 的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA 也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的 CA 是至關重要的，這不僅與密碼學有關系，而且與整個 PKI 系統(tǒng)的構架和模型有關。此外，靈活也是 CA 能否得到市場認同的一個關鍵，它不需支持 各種通用的國際標準，能夠很好地和其他廠家的 CA 產(chǎn)品兼容。 4.5.2 注冊機構 RA（ Registration Authority）是用戶和 CA 的接口，它所獲得的用戶標識的準確性是 CA 頒發(fā)證書的基礎。 RA 不僅要支持面對面的登記，也必須支持遠程登記。要確保整個 PKI 系統(tǒng)的安全、靈活，就必須設計和實現(xiàn)網(wǎng)絡化、安全的且易于操作的RA 系統(tǒng)。 4.5.3 密鑰備份和恢復 為了保證數(shù)據(jù)的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關 系到整個 PKI 系統(tǒng)強健性、安全性、可用性的重要因素。 4.5.4 證書管理與撤消系統(tǒng) 證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進行證書撤消，證書撤消的興義民族師范 學院計算機科學系 - 16 - 理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制，隨時查詢被撤消的證書。 興義民族師范 學院計算機科學系 - 17 - 第五章 安全技術的研究 5.1 安全技術的研究現(xiàn)狀和 方向 我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系結(jié)構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體 。 根據(jù)防火墻所采用的技術不同 ,我們可以將它分為 四種基本類型 :包過濾型、網(wǎng)絡地址轉(zhuǎn)換、代理型和監(jiān)測型。 5.1.1 包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品 ,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以 “ 包 ” 為單位進行傳輸?shù)?,數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包 ,每一個數(shù)據(jù)包中都會包含一些特定信息 ,如數(shù)據(jù)的源地址、目標地址、 TCP/UDP 源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “ 包 ” 是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包 ,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術的優(yōu) 點是簡單實用 ,實現(xiàn)成本較低 ,在應用環(huán)境比較簡單的情況下 ,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術 ,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷 ,無法識別基于應用層的惡意侵入 ,如惡意的 Java 小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容