探究网络安全与防范措施论文.doc

《探究网络安全与防范措施论文.doc》由会员分享，可在线阅读，更多相关《探究网络安全与防范措施论文.doc（9页珍藏版）》请在咨信网上搜索。

探究网络安全与防范措施论文 ———————————————————————————————— 作者： ———————————————————————————————— 日期： 9 个人收集整理 勿做商业用途 探究网络安全与防范措施 我们生活在科学技术迅猛发展而社会急剧变化的时代,在网络广泛发展的今天，网络提供的业务不断丰富其给人类的生活、工作等方面带来便利的同时，基于网络连接的安全问题也日益突出，网络安全成为人类无法忽视的棘手难题。黑客,病毒，网络诈骗,不良信息等问题的存在，正时刻威胁我们的电脑安全,网络安全令人担忧。我们应采取及时的防范措施去维护网络安全并营造绿色健康的网络环境。 当今，互联网已成为我们社会结构的一个基本组成部分.网络被应用于各个方面，包括电子银行、电子商务、现代化的企业管理、信息服务业等都以计算机网络系统为基础.安全性是互联网技术中很关键的也是很容易被忽略的问题. 一、 网络安全的含义、本质及特征 （一） 含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变得越来越重要。其也是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 文档为个人收集整理,来源于网络个人收集整理，勿做商业用途 　　 （二） 本质 指网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 （三） 特征 1、保密性:信息不泄露给非授权用户、实体或过程，或供其利用的特性。 2、完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性. 3、可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 4、可控性：对信息的传播及内容具有控制能力. 5、可审查性:出现的安全问题时提供依据与手段。 二、 网络安全技术案例 国外 　　1996年初，据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计，有53％的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多. 　　1994年末，俄罗斯黑客弗拉基米尔？利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。 　　1996年8月17日，美国司法部的网络服务器遭到黑客入侵,并将“ 美国司法部" 的主页改为“ 美国不公正部" ，将司法部部长的照片换成了阿道夫？希特勒,将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。 　　1996年9月18日，黑客又光顾美国中央情报局的网络服务器，将其主页由“中央情报局” 改为“ 中央愚蠢局” 。 1996年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址. 国内 　　1996年2月,刚开通不久的Chinanet受到攻击，且攻击得逞。 　　1997年初，北京某ISP被黑客成功侵入，并在清华大学“ 水木清华” BBS站的“ 黑客与解密" 讨论区张贴有关如何免费通过该ISP进入Internet的文章. 　　1997年4月23日，美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个PPP用户侵入中国互联网络信息中心的服务器,破译该系统的shutdown帐户，把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头. 　　1996年初CHINANET受到某高校的一个研究生的攻击；96年秋，北京某ISP和它的用户发生了一些矛盾,此用户便攻击该ISP的服务器，致使服务中断了数小时。 2010年，Google发布公告称将考虑退出中国市场,而公告中称：造成此决定的重要原因是因为Google被黑客攻击。 三、 引起网络安全问题的主要原因 (一）每一种安全机制都有一定的应用范围和应用环境 　　防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问.但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。 (二)安全工具的使用受到人为因素的影响 　　一个安全工具能不能实现期望的效果,在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。例如，NT在进行合理的设置后可以达到C2级的安全性，但很少有人能够对NT本身的安全策略进行合理的设置.虽然在这方面，可以通过静态扫描工具来检测系统是否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。 （三）系统的后门是传统安全工具难于考虑到的地方 　　防火墙很难考虑到这类安全问题，多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在，它是IIS服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。 （四）只要有程序,就可能存在BUG 　　甚至连安全工具本身也可能存在安全的漏洞.几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。比如说现在很多程序都存在内存溢出的BUG，现有的安全工具对于利用这些BUG的攻击几乎无法防范。 （五)黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现 　　然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。 四、 关于网络安全的主要防范措施 网络安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广,主要的技术如认证、加密、防火墙、杀毒软件及入侵检测是网络安全的重要防线。 （一)认证 　　对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。 (二)数据加密 　　加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。 1. 私匙加密.私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信息所使用的密匙.私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息.这种加密方法的优点是速度很快，很容易在硬件和软件中实现。 2. 公匙加密。公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解密，而公匙加密使用两个密匙,一个用于加密信息，另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过若将两者结合起来，就可以得到一个更复杂的系统。 （三）防火墙技术 　　 “防火墙"是一种形象的说法,其实它是一种计算机硬件和软件的组合,使互联网与内部网之间建立起 一个安全网关,从而保护内部网免受非法用户的侵入. 　　能够完成“防火墙”工作的可以是简单的隐蔽路由器，这种“防火墙”如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可以在互联网协议端口级上阻止网间或主机间通信，起到一定的过滤作用。 由于隐蔽路由器仅仅是对路由器的参数做些修改，因而也有人不把它归入“防火墙”一级的措施. 真正意义的“防火墙”有两类,一类被称为标准“防火墙”；另一类叫双家网关。标准“防火墙"系统包括一个Unix工作站,该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；而另一个则联接内部网。标准“防火墙”使用专门的软件，并要求较高的管理水平,而且在信息传输上有一定的延迟。而双家网关则是对标准“防火墙”的扩充。双家网关又称堡垒主机或应用层网关,它是一个单个的系统，但却能同时完成标准“防火墙"的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的连接，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。 此外，现今良好的防火墙还采用了VPN、检视和入侵检测技术。 1。 入侵检测系统 　　入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术.在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全.在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。 2。 虚拟专用网（VPN）技术 　　VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一，所谓虚拟专用网（VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播.用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术（Encryption & Decryption)、密匙管理技术（Key Management）和使用者与设备身份认证技术（Authentication）。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法，如按接入方式分成专线VPN和拨号VPN；按隧道协议可分为第二层和第三层的；按发起方式可分成客户发起的和服务器发起的。 (四）其他网络安全技术 1．智能卡技术.智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体，由授权用户持有并由该用户赋与它一个口令或密码字，该密码字与内部网络服务器上注册的密码一致.智能卡技术一般与身份验证联合使用。 2．安全脆弱性扫描技术.它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞，以改进系统对网络入侵的防御能力的一种安全技术。 　　 3．网络数据存储、备份及容灾规划。它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据，使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。 　　 4．IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给这个IP广播包的工作站返回发出一个警告信息. 　　 5．Web，Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统，实时跟踪、监视网络， 截获Internet网上传输的内容，并将其还原成完整的www、Email、FTP、Telnet应用的内容 ，建立保存相应记录的数据库.及时发现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。 　　 6．利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力.在这种情况下，我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据.设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份. （五)杀毒软件及时更新与升级. 现今比较常用的杀毒软件有360安全卫士、卡巴斯基、瑞星等。360安全卫士是一款由奇虎公司推出的完全免费(奇虎官方声明:“永久免费”）的安全类上网辅助工具软件，拥有木马查杀、恶意软件清理、漏洞补丁修复、电脑全面体检、垃圾和痕迹清理、系统优化等多种功能。其他强大防毒软件还有费尔托斯特安全（Twister Anti-TrojanVirus)、微点主要防御软件、NOD32、诺顿。但因每一款软件的病毒库数据有限，而几乎每天都会诞生新的电脑病毒，所以至今没有一款强大的杀毒软件能扫清所有病毒。但及时更新与升级杀毒软件并定期扫描木马仍是必要的,其能保证电脑的基本安全，也能保证电脑用户不会无意中将有毒文件上传到网络。 网络安全是一个系统的工程，需要仔细考虑系统的安全需求，并将各种安全技术结合在一起，才能生成一个高效、通用、安全的网络系统。网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性，为网络提供强大的安全服务。 ［参考文献] 1、 百度百科 2、 免费论文下载中心 http：// 3、 服务器的物理安全 http：//www.91ri。org/1040。html 4、 中国民间网络 http：// 5、 网络安全攻防研究室 http://www。91ri。org 6、 杨寅春-《网络安全技术》（高职高专计算机专业规划教材） 西安电子科技大学出版社 2009年 7、 赵安军、曾应元、徐邦海、学春藤 —《网络安全技术与应用》 人民邮电出版社 2007年