1、个人收集整理 勿做商业用途计算机网络安全计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私,因此成为敌对势力、不法分子的攻击目标. 随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂,系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损失。随着计算机系统的广泛应用,各类应用人员队伍迅速发展壮大,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。 从认识论的高度看,人们
2、往往首先关注系统功能,然后才被动的从现象注意系统应用的安全问题.因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象.计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽量降低。一、网络安全技术主要作用。具体地说,网络安全技术主要作用有以下几点:1采用多层防卫手段,将受到侵扰和破坏的概率降到最低;2提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;3提供恢复被破坏的数据和系统的手段,尽量降低损失;4提供查获侵入者的
3、手段.网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。 (一)安全需求通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。1、可用性: 授权实体有权访问数据。2、机密性: 信息不暴露给未授权实体或进程.3、完整性: 保证数据不被未授权修改.4、可控性: 控制授权范围内的信息流向及操作方式.5、可审查性:对出现的安全问题提供依据与手段。6、访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行
4、严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制.7、数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段.8、安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。(二)风险分析网络安全是网络正常运行的前提.网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进
5、行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析.风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。二、解决方案(一) 设计原则针对网络系统实际情况,解决网络的安全保密问题是当务之急,考
6、虑技术难度及经费等因素,设计时应遵循如下思想:1大幅度地提高系统的安全性和保密性;2保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;3易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;4尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;5安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;6安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;7分步实施原则:分级管理 分步实施。(二)安全策略针对上述分析,我们采取以下安全策略:1采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。2采用各种安全技术,构筑防御系统,主要
7、有:(1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。(2) NAT技术:隐藏内部网络信息。(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网.在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此.(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性
8、。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题.(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。3实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。4建立分层管理和各级安全管理中心。(三) 防御系统我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,
9、构成网络安全的防御系统。1、物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行,在物理安全方面应采取如下措施:(1)产品保障方面:主要指产品采购、运输、安装等方面的安全措施。(2)运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务.对一些关键设备
10、和系统,应设置备份系统。(3)防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。(4)保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。2、防火墙技术防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或
11、其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙.用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:(1)屏蔽路由器:又称包过滤防火墙。(2)双穴主机:双穴主机是包过滤网关的一种替代。(3)主机过滤结构:这种结构实际上是包过滤和代理的结合。(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。3、入侵检测入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构
12、的完整性.它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:(1)监视、分析用户及系统活动;(2)系统构造和弱点的审计;(3)识别反映已知进攻的活动模式并向相关人士报警;(4)异常行为模式的统计分析;(5)评估重要系统和数据文件的完整性;(6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为.4、安全服务网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,
13、各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整.针对以上问题和网管人员的不足,下面介绍一系列比较重要的网络服务。包括:(1)通信伙伴认证通信伙伴认证服务的作用是通信伙伴之间相互确庥身份,防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式,一种是检查一方标识的单方认证,一种是通信双方相互检查对方标识的相互认证。通信伙伴认证服务可以通过加密机制,数字签名机制以及认证机制实现。(2)访问控制访问控制服务的作用是保证只有被授权的用户才能访问网络和
14、利用资源.访问控制的基本原理是检查用户标识,口令,根据授予的权限限制其对资源的利用范围和程度.例如是否有权利用主机CPU运行程序,是否有权对数据库进行查询和修改等等.访问控制服务通过访问控制机制实现。(3)数据保密数据保密服务的作用是防止数据被无权者阅读。数据保密既包括存储中的数据,也包括传输中的数据.保密查以对特定文件,通信链路,甚至文件中指定的字段进行.数据保密服务可以通过加密机制和路由控制机制实现。(4)业务流分析保护业务流分析保护服务的作用是防止通过分析业务流,来获取业务量特征,信息长度以及信息源和目的地等信息。业务流分析保护服务可以通过加密机制,伪装业务流机制,路由控制机制实现.(5
15、)数据完整性保护数据完整性保护服务的作用是保护存储和传输中的数据不被删除,更改,插入和重复,必要时该服务也可以包含一定的恢复功能。数据完整性保护服务可以通过加密机制,数字签名机制以及数据完整性机制实现。(6)签字签字服务是用发送签字的办法来对信息的接收进行确认,以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。签字服务通过数字签名机制及公证机制实现。5、安全技术的研究现状和动向我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等.但因信息网络安
16、全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。 参考文献【1】
17、钟乐海网络安全技术电子工业出版社003-0601【2】William Stallings大学计算机教育国外著名教材清华大学出版社2002【3】IP网络安全技术编写组IP网络安全技术人民邮电出版社2008-212009年 兴安职业技术学院计算机网络安全院 系: 专 业: 姓 名: 指导老师: 完成时间: 目 录一、网络安全技术主要作用1(一)安全需求1(二)风险分析2二、解决方案2(一) 设计原则 2(二)安全策略3(三) 防御系统 3三、参考文献7【摘要】随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简
18、单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息.此时,它关心的对象是那些无权使用,但却试图获得远程服务的人.安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。【关键词】包过滤 防火墙 访问控制 网络安全 数据保密服务 毕业论文独创性声明 本人所呈交的学位论文是我在导师的指导下进行的研究工作及取得的研究成果。据我所知,除文中已经注明引用的内容外,本论文不包含其他个人已经发表或撰写过的研究成果。对本文的研究做出重要贡献的个人和集体,均已在文中作了明确说明并表示谢意。 作者签名: 日期: 兴安职业技术学院毕业论文(设计)评定论文(设计)题目:院(系) 专业 年级 作者 学号 指导教师评语:论文(设计)成绩: 指导教师签字: 年 月 日
浙ICP备2021020529号-1 | 浙B2-20240490 
