网络安全技术论文

计算机信息管理学院本科学年论文登记表姓名郝龙江学号802102152专业计算机科学与技术班级08计科一班指导教师导师职称最终成绩计算机信息管理学院-1-学年论文写作指导记录初稿指导记录初稿提交时间指导内容：导师意见：指导教师签字及日期学生签字及日期二稿指导记录修改稿提交时间指导内容：导师意见：指导教师签字及日期学生签字及日期三稿指导记录修改稿提交时间指导内容：导师意见：指导教师签字及日期学生签字及日期-2-指导教师评语论文打印稿提交时间指导教师评阅意见：指导教师建议论文成绩：指导教师：年月日-3-内蒙古财经学院本科学年论文网络安全技术浅析——网络安全技术解决方案作者郝龙江系别计算机信息管理学院专业计算机科学与技术年级08计科一班学号802102152指导教师导师职称-4-内容提要网络安全技术是指致力于解决诸如如何有效进行介人控制，以及如何保证数据传输的安全性的技术手段，主要包括物理的安全分析技术，网络结构安全分析技术，系统安全分析技术。管理安全分析技术，以及其他的安全服务和安全机制策略，其目标是确保计算机网络的持续健康运行。关键词：计算机网络；网络故障：网络维护；安全技术Abstract-5-网络安全技术浅析——网络安全技术解决方案随着计算机联网的逐步实现，Internet前景越来越美好，全球经济发展正在进入信息经济时代，知识经济初见端倪。网络安全越来越受到重视。网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全是一个十分复杂的系统工程。所以安全产业将来也是一个随着新技术发展而不断发展的产业。网络安全主要是信息安全，那么计算机信息的保密问题显得越来越重要，无论是个人信息通信还是电子商务发展，都迫切需要保证Internet网上信息传输的安全，需要保证信息安全。信息安全技术是一门综合学科，它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。所谓网络安全性，用最朴实的话来说就是：用一组规则约束所有的网络活动，只有被允许的活动才能正常运行，所有不允许的活动都被禁止。那什么样的活动是不允许的？什么样的活动会对网络安全造成文协呢？一般来说有七种。1.1网络窃听在广域网中，每个节点都能读取网上的数据，这是互联网的主要脆弱点。互联网体系结构允许监视器接受网上传输的所有数据桢而不考虑传输目的地址，这种特性使得窃听网上的数据或非授权访问很容易且不易被发现。1.2完整性破坏当信息系统被有意或无意的修改或破坏时，就会发生数据完整性破坏。1.3数据修改数据修改是在非授权和不能监测的方式下对数据的改变。当节点修改加入网中的桢并传送修改版本时就发生了数据修改。即使采用某些级别的认证机制，此种供给也能危及可信节点的通信。1.4重发重发就是重复一份保文或报文的一部分，以便产生一个被授权效果。当节点考贝发到其他节点的报文并在其后重发它们时，如果不能检测重发，节点依据此报文的内容接受某些操作。1.5假冒当一个实体假扮成另一个实体时，就发生了假冒。很多网络适配器都允许网桢的源地址由节点自己来选取或改变，这就使冒充变得较为容易。1.6服务否认当一个授权实体不能获得对网络资源的访问或当紧急操作被推迟时，就发生了服务否认。这可能是由网络部件的物理损坏而引起的，也可能由超载而引起。1.7计算机病毒这是一种人为编制的隐藏在计算机中很难被发现且具有特定破坏能力的程序或代码，能够通过软盘。硬盘。通信链路和其他途径在计算机网络能转播和蔓延，具有极大的破坏性。计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多,存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。下面介绍了计算机安全技术的解决方案-6-1物理隔离技术所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。实施内外网物理隔离，技术上可以确保：在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网，同时防止内部网信息通过网络连接泄露到外部网。物理隔离的指导思想与防火墙有很大的不同：防火墙绝不是物理隔离产品，防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问，又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说，其关键的都在于使数据有选择的通过，而不是彻底的把数据隔离。物理隔离与防火墙是两个不同的安全策略，它们功能互补，但不能互相代替。它们二者的安全策略非常清楚，即：把需要保密的内部数据，进行100%的保护，实行物理隔离，而对可公开的数据，则交由防火墙去保护。为了更好的掌握物理隔离技术及物理隔离产品的选择重点，我们从以下几个方面进行探讨：一：物理隔离的方式物理隔离常见的方式有物理安全隔离卡、物理隔离集线器、物理隔离网闸等。１，物理安全隔离卡物理安全隔离卡是物理隔离的低级实现形式，一个物理安全隔离卡只能管一台个人计算机，甚至只能在Windows环境下工作，每次切换都需要开关机一次。物理安全隔离卡的功能即是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态，既可在安全状态，又可在公共状态，两个状态是完全隔离的，从而使一台工作站可在完全安全状态下联结内、外网。物理安全隔离卡实际是被设置在PC中最低的物理层上，通过卡上一边的IDE总线连接主板，另一边连接IDE硬盘，内、外网的连接均须通过网络安全隔离卡。PC机硬盘被物理分隔成为两个区域，在IDE总线物理层上，在固件中控制磁盘通道，在任何时候，数据只能通往一个分区。在安全状态时，主机只能使用硬盘的安全区与内部网联结，而此时外部网（如Internet）联接是断开的，且硬盘的公共区的通道是封闭的。在公共状态时，主机只能使用硬盘的公共区，可以与外部网联结，而此时与内部网是断开的，且硬盘安全区也是被封闭的。２，物理隔离集线器网络安全隔离集线器是一种多路开关切换设备，它与网络安全隔离卡配合使用。它具有标准的RJ-45接口，入口与网络安全隔离卡相连，出口分别与内外网络的集线器（HUB）相连。它检测网络安全隔离卡发出的特殊信号，识别出所连接的计算机，自动将其网络线切换至相应的网络HUB上。实现多台独立的安全计算机与内外两个网络的安全连接以及自动切换，进一步提高了系统的安全性。并且解决了多网布线问题，可以让连接两个网络的安全计算机只通过一条网络线即可与多网切换连接。对现存网络改进有较大帮助。３，物理隔离网闸物理隔离网闸，是利用双主机形式，从物理上来隔离阻断潜在攻击的连接。其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有文件“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击，无法入侵，无法破坏。-7-物理隔离网闸(GAP)的硬件主要包括三部分：分别是专用安全隔离切换装置（数据暂存区）、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元。这种独特和巧妙的设计，保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元，从而实现内外网的安全隔离。2网络认证技术(1)口令认证，当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交该对象的口令，认证方收到口令后，将其与系统中存储的用户El令进行比较，以确认被认证对象是否为合法访问者。但这种明文输入的口令，很容易泄密，传输过程中也可能被截获，系统中所有用户的口令以文件形式存储在认证方，攻击者还可以利用系统中存在的漏洞获取系统的口令文件。而且这种认证只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证，这使得攻击者可能伪装成系统骗取用户的口令。(2)双因素认证，除口令外，还必须拥有系统颁发的令牌访问设备，当用户向系统登录时，用户除输人口令外，还必须输入令牌访问设备所显示的数字，该数字与认证服务器同步，不断变化。这种方法比基于口令的认证方法具有更好的安全性，在一定程度上解决了口令认证方法中的问题(3)Kerberos，该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。(4)CHAP，使用3次握手周期性的验证对端身份。在链路建立初始化时这样做，也可以在链路建立后任何时间重复验证。(5)x．509证书及认证框架，X．509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密，然后再用接收者的公共密钥对DES进行加密并将之附于信息之上，这样接收者可用对应的专用密钥打开DES密锁，并对信息解密。目前,常用的身份识别技术主要是基于RADIUS的鉴别、授权和管理(AAA)系统。RADIUS(remoteauthentica2tiondialinuserservice)是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档,如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用RADIUS技术的产品。3病毒防护技术在早期的单机环境下，病毒主要有寄生性、隐蔽性、非法性、传染性、破坏性、潜伏性、可触发性等特点，随着计算机网络在工作、生活、学习中发挥着越来越重要的作用，各种网络安全问题逐渐增多，网络病毒越发趋于复杂，除具有单机环境下的特点外，还呈现出感染速度快、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大等新的特点。与此同时，许多防病毒厂商也升级了一些新的防病毒技术，主要包括数字免疫系统、监控病毒源技术、主动内核技术、“分布式处理”技术、安全网管技术。防病毒网关放置在内部网络和互联网连接处。当在内部网络内发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。目前,代表性的产品有亿邮防病毒网关、中网电子邮件防病毒网关、北信源防毒网关等4防火墙技术-8-防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合，包括计算机硬件和软件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外，还有多种防火墙产品正朝着数据安全与用户认证，防止病毒与黑客侵入等方向发展。VPN防火墙是目前较先进的防火墙技术。VPN防火墙，在增加了用户安全的基础上，增加了VPN功能，通过VPN功能更能够保证企业内部网络的安全，使得用户远程访问也变得更加安全。相对于其