课程论文题目网络安全的发展一、网络安全1.1网络安全概述网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。网络安全使得网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。1.2网络安全特性保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;可控性:对信息的传播及内容具有控制能力。可审查性:出现安全问题时提供依据与手段2从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。1.3网络安全技术随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。二、网络安全现状2.1计算机网络所面临的威胁32.1.1计算机病毒计算机病毒自它出现时起即引起人们极大地关注,特别是随着计算机网络技术的高速发展和Interne的全球化进程,计算机病毒成为信息系统最大的安全隐患之一。据资料显示,目前世界上存在着至少上万种病毒,并且每天都至少有10多种新的病毒的产生,计算机病毒技术也正朝着智能化、网络化和可控制化的方向发展。美军认为未来将用鼠标、键盘和计算机病毒进行战争,在研制防止计算机病毒的方法的同时也在大力开发攻击性计算机病毒。2.1.2黑客的破坏黑客是指具有计算机专长的行家里手,他们利用计算机网络结构、系统软件或管理的缺陷,闯人计算机网络,窃取、修改或破坏网络中的信息,或散布对敌方不利的信息。黑客是计算机网络一个最危险的敌人。常用的手段有:漏洞:许多的网络系统都存在着这样那样漏洞,这些漏洞有可能是系统本身所有的也有可能是由于网管的疏忽而造成的。黑客就是针对这些漏洞瘫痪系统或网络。人侵:黑客最常用的手段,通过木马或后门侵入到别人的计算机取得系统用户权限后实施破坏或窃取文件。欺骗:通过软件盗用别人的帐户和密码来冒充授权用户登录重点网站进行破坏。拒绝服务:在黑客无法侵人系统后,利用大量肉鸡通过发送海量数据报堵塞网络或通过正常连接占用系统资源从而使系统服务失效的一种破坏方式。对象包括服务、主机、网络以及网络设备等。2.2网络安全防护的主要技术2.2.1隔离技术隔离技术包括物理隔离技术和逻辑隔离技术,物理隔离就是将本单位的主机或网络从物理上与因特网断开,涉密文件存放在单独的计算机上,上网采用专用计算机,单位与单位之间的远距离通信亦采用专线,此时,网络安全问题变为管理问题了。但这种隔离技术耗费较大,特别是单位之间的专线建设成本较高,当距离较远时,为敌方在脆弱节点非法接人提供了可能。采用逻辑隔离时被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道。一般使用协议转换、数据格式剥离和数据流控制的方法,在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向,不能在两个网络之间直接进行数据交换。42.2.2病毒监控和防火墙技术病毒监控是我们见得最多、用得最普遍的安全技术方案,这种技术主要针对病毒,随着病毒监控技术的不断发展,目前主流杀毒软件还可以预防木马及其它的一些黑客程序的人侵。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进人内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。2.2.3入侵检测和网络监控技术人侵检测(IDS-IntrusionDetectionSystem)是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被人侵或滥用的征兆。1987年,DerothyDenning首次提出T一种检测入侵的思想,经过不断发展和完善,作为监控和识别攻击的标准解决方案,IDS系统已经成为安全防御系统的重要组成部分。根据采用的分析技术可分为签名分析法和统计分析法:签名分析法:主要用来监测对系统的已知弱点进行人侵的行为。人们从攻击模式中归纳出它的签名,编写到IDS系统的代码里,签名分析实际上是一种模板匹配操作。统计分析法:以统计学为理论基础,以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。2.2.4文件加密和数字签名技术文件加密与数字签名技术是为提高信息系统及数据的安全保密性,防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。根据作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别三种.数据传输加密技术主要用来对传输中的数据流加密,通常有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过的各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(原文)加密成密文(一些看不懂的代码),当这些信息到达目的地时,由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。数据存储加密技术的目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方法对本地存储的文件进行加密和数字签名。后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。数据完整性鉴别技术主要对介人信息的传送、5存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输人的特征值是否符合预先设定的参数,实现对数据的安全保护。三、网络安全技术的发展趋势3.1加强病毒监控随着病毒技术的发展,病毒的宿主也越来越多,在上世纪90年代初的海湾战争中,美国中情局获悉伊拉克从法国购买了供防空系统使用的新型打印机,准备通过约旦首都安曼偷运到巴格达,美方即派特工在安曼机场用一块固化病毒芯片与打印机中的同类芯片作了调包,美军在战略空袭发起前,以遥控手段激活病毒,使其从打印机窜人主机。造成伊拉克防空指挥系统程序错乱,工作失灵,致使整个防空系统中的预警和C41系统瘫痪,为美军的空袭创造了有利的态势。在宿主增多的同时,传播途径也越来越广,目前较受关注的一项病毒注人技术是利用电磁波注人病毒技术。这种技术的基本思想是把计算机病毒调制在电磁信号并向敌方计算机网络系统所在方向辐射,电磁信号通过网络中某些适当的节点进人网络,计算机病毒开始在网络中传播,产生破坏作用。所以,加强病毒监控成为网络安全的一项重要内容。3.2建立安全可靠的虚拟专用网虚拟专用网(VPN)系统采用复杂的算法来加密传输的信息,使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。其工作流程大致如下:①要保护的主机发送不加密信息到连接公共网络的虚拟专网设备;②虚拟专网设备根据网络管理员设置的规则,确认是否需要对数据进行加密或让数据直接通过;③对需要加密的数据,虚拟专网设备对整个数据包(包括要传送的数据、发送端和接收端的IP地址)进行加密和附上数字签名;④虚拟专网设备加上新的数据包头,其中包括目的地虚拟专网设备需要的安全信韩立宁等网络安全现状及发展趋势息和一些初始化参数;⑤虚拟专网设备对加密后数据、鉴别包以及源IP地址、目标虚拟专网设备IP地址进行重新封装,重新封装后数据包通过虚拟通道在公网上传输;⑥当数据包到达目标虚拟专网设备时,数字签名被核对无误后数据包被解密。在VPN上实施了三种数据安全措施:加密,即对数据进行扰码操作,以便只有预期的接收者才能获得真实数据;鉴别,即接收者与发送者间的识别;集成,即确保数据在传输过程中不被改变。3.3IDS向IMD过渡随着黑客技术不断的发展,IDS的一些缺点开始暴露:误报漏报率高、没有主动防御6能力,缺乏准确定位和处理机制等,人侵检测技术必将从简单的事件报警逐步向趋势预测和深人的行为分析方向过渡,有人提出了人侵防御系统(IPS,IntrusionPreventionSystem),在IDS监测的功能上增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。而随着人侵检测技术的进一步发展,具有大规模部署、人侵预警、精确定位以及监管结合四大典型特征的人侵管理系统(IMS,IntrusionManagementSystem)将逐步成为安全检测技术的发展方向。IMS体系的一个核心技术就是对漏洞生命周期和机理的研究,在配合安全域良好划分和规模化部署的条件下,IMS将可以实现快速的人侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快、更准、更全面的安全检测和事件预防。3.3UTM技术的出现在攻击向混合化、多元化发展的今天,单一功能的防火墙或病毒防护已不能满足网络安全的要求,而基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,集防火墙,VPN、网关防病毒、IDS等多种防护手段于一体的统一威胁管理(UTM,UnifiedThreatManagement,)技术应运而生具体功能见图1,对协议栈的防护,防火墙只能简单的防护第二到第四层,主要针对像IP,端口等静态的信息进行防护和控制,而UTM的目标是除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客人侵等外部威胁起到综合检测和治理的作用,把防护上升到应用层,实现七层协议的保护。四、系统分析与设计4