網(wǎng)絡安全探究論文
時間:2022-11-26 10:03:00
導語:網(wǎng)絡安全探究論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
[論文關鍵詞]網(wǎng)絡安全計算機網(wǎng)絡安全防范
[論文摘要]隨著計算機技術的發(fā)展,在計算機上處理業(yè)務已由單機處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務處理功能。在信息處理能力提高的同時,基于網(wǎng)絡連接的安全問題也日益突出,探討了網(wǎng)絡安全的現(xiàn)狀及問題由來以及幾種主要網(wǎng)絡安全技術。
隨著計算機網(wǎng)絡的發(fā)展,其開放性,共享性,互連程度擴大,網(wǎng)絡的重要性和對社會的影響也越來越大。而網(wǎng)絡安全問題顯得越來越重要了。國際標準化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”,上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡安全性的含義是信息安全的引申,即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。
一、網(wǎng)絡的開放性帶來的安全問題
眾所周知,Internet是開放的,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網(wǎng)絡建設者的關注。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現(xiàn)有的安全工具和機制的情況下,網(wǎng)絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點:
(一)每一種安全機制都有一定的應用范圍和應用環(huán)境
防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡結(jié)構(gòu),限制外部網(wǎng)絡到內(nèi)部網(wǎng)絡的訪問。但是對于內(nèi)部網(wǎng)絡之間的訪問,防火墻往往是無能為力的。因此,對于內(nèi)部網(wǎng)絡到內(nèi)部網(wǎng)絡之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶,不正當?shù)脑O置就會產(chǎn)生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠?qū)T本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較,針對具體的應用環(huán)境和專門的應用需求就很難判斷設置的正確性。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網(wǎng)絡上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進而對系統(tǒng)進行攻擊。對于這類入侵行為,防火墻是無法發(fā)覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來,程序設計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會產(chǎn)生日志,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
二、網(wǎng)絡安全的主要技術
安全是網(wǎng)絡賴以生存的保障,只有安全得到保障,網(wǎng)絡才能實現(xiàn)自身的價值。網(wǎng)絡安全技術隨著人們網(wǎng)絡實踐的發(fā)展而發(fā)展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測是網(wǎng)絡安全的重要防線。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快,很容易在硬件和軟件中實現(xiàn)。
2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結(jié)合起來,就可以得到一個更復雜的系統(tǒng)。
(三)防火墻技術
防火墻是網(wǎng)絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù),它不同于只會確定網(wǎng)絡信息傳輸方向的簡單路由器,而是在網(wǎng)絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡不受惡意傳輸?shù)墓簦渲凶盍餍械募夹g有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網(wǎng)絡連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實現(xiàn)了粗粒度的訪問控制,也不能與企業(yè)內(nèi)部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(tǒng)(路由器、過濾器、服務器、網(wǎng)關、保壘主機)組成的防火墻,管理上難免有所疏忽。
(四)入侵檢測系統(tǒng)
入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術,是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。在校園網(wǎng)絡中采用入侵檢測技術,最好采用混合入侵檢測,在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。
(五)虛擬專用網(wǎng)(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(wǎng)(VPN)技術就是在公共網(wǎng)絡上建立專用網(wǎng)絡,使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡中傳播。用以在公共通信網(wǎng)絡上構(gòu)建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密匙管理技術(KeyManagement)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務器發(fā)起的。
(六)其他網(wǎng)絡安全技術
1.智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯(lián)合使用。
2.安全脆弱性掃描技術,它為能針對網(wǎng)絡分析系統(tǒng)當前的設置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進系統(tǒng)對網(wǎng)絡入侵的防御能力的一種安全技術。
3.網(wǎng)絡數(shù)據(jù)存儲、備份及容災規(guī)劃,它是當系統(tǒng)或設備不幸遇到災難后就可以迅速地恢復數(shù)據(jù),使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術方案。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
5.Web,Email,BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡的www服務器、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網(wǎng)絡,截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應用的內(nèi)容,建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中心報告,采取措施。
6.利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下,我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務器的審計文件提供備份。
網(wǎng)絡安全是一個系統(tǒng)的工程,需要仔細考慮系統(tǒng)的安全需求,并將各種安全技術結(jié)合在一起,才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。網(wǎng)絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡管理人才才能完好、實時地保證信息的完整性和確證性,為網(wǎng)絡提供強大的安全服務。
- 上一篇:高校政治處述職述廉報告
- 下一篇:辦公室綜合科科長述職述廉