《计算机网络安全技术浅析 毕业论文》由会员分享,可在线阅读,更多相关《计算机网络安全技术浅析 毕业论文(8页珍藏版)》请在金锄头文库上搜索。
1、1计算机网络安全技术浅析摘 要:论叙了网络安全的概念及涉及的领域,介绍了确保网络安全的主要技术。关键词:网络安全 技术 防火墙 加密 入侵检测 安全隔离 虚拟专用网一、概述20 世纪 90 年代以来,计算机进入到网络应用阶段,呈现出前所未有的社会化趋势。Internet/Intranet 技术日趋成熟,很多政府机构、民间组织和企业都建立了自己的内部网络并将之与 Internet 联通。上述政府机构、组织和企业网络中的核心机密均成为攻击者的目标。因此网络安全问题越来越受到各级领导、专家、技术开发和应用人员的重视。二、网络安全的概念国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建
2、立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。三、网络安全涉及的领域1、社会经济领域在社会经济领域中,主要是党政机关的网络安全问题,它关系到我国的政治稳定和国计民生。国家经济领域内的网络安全问题,它对国家经济持续稳定发展起着决定作用。国防和军队网络安全问题,关系到国家安全和主权完整。2、技术领域在技术领域中,网络安全包括实体
3、安全,用来保证硬件和软件本身的安全;运行安全,用来保证计算机能在良好的环境里持续工作;信息安全,用来保障信息不会被非法阅读、修改和泄露。3、电子商务领域2网络上的电子商务应用已渗透到我国经济生活的各个方面,电子商务交易安全将直接影响到整个国民经济的正常运行,影响到亿万买卖双方的切身利益。所以有效保护银行、企业和个人的各种权益,防止不良行为和恶意侵袭,已经成为计算机网络安全保护的一个新的重点。四、确保网络安全的主要技术1、防火墙技术防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个
4、网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙处于 5 层网络安全体系中的最底层,属于网络层安全技术范畴。防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合,这种安全部件处于被保护网络和其它网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或作出其它操作,防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与 Internet 之间的隔离,也可用于内部网络不同网段的隔离,后者通常称为 Intra
5、net 防火墙。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。具体如下:(1)包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP 源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现
6、成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的 Java 小程序以及电子邮件中附带的病毒。3有经验的黑客很容易伪造 IP 地址,骗过包过滤型防火墙。(2)网络地址转化-NAT网络地址转换是一种用于把 IP 地址转换成临时的、外部的、注册的 IP 地址标准。它允许具有私有 IP 地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的 IP 地址。NAT 的工作过程是:在内部网络
7、通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的 IP 地址和端口来请求访问。OLM 防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要
8、用户进行设置,用户只要进行常规操作即可。(3)代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描
9、,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。(4)监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网4络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有
10、相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但监测型防火墙技术的实现成本较高,也不易管理。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。2、数据加
11、密技术数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。计算机网络应用特别是电子商务应用的飞速发展,对数据完整性以及身份鉴定技术提出了新的要求,数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。数据传输的完整性通常通过数字签名的方式来实现,即数据的发送方在发送数据的同时利用单向的 Ha
12、sh 函数或者其它信息文摘算法计算出所传输数据的消息文摘,并将该消息文摘作为数字签名随数据一同发送。接收方在收到数据的同时也收到该数据的数字签名,接收方使用相同的算法计算出接收到的数据的数字签名,并将该数字签名和接收到的数字签名进行比较,若二者相同,则说明数据在传输过程中未被修改,数据完整性得到了保证。常用的消息文摘算法包括 SHA、MD4 和 MD5 等。根据密钥类型不同可以将现代密码技术分为两类:对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系) 。在对称加密算法中,数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性。对称加密算法的主要优点是加密和解密速度快
13、,加密强度高,且算法公开,但其最大的缺点是实现密钥的秘密分发困难,在大量用户的情况下密钥管理复杂,而且无法完成身份认证等功能,不便于应用在网络开放的环境中。目前最著名的对称加密算法有数据加密标准 DES 和欧洲数据加密标准 IDEA 等。5在公钥密码体系中,数据加密和解密采用不同的密钥,而且用加密密钥加密的数据只有采用相应的解密密钥才能解密,更重要的是从加密密码来求解解密密钥在十分困难。在实际应用中,用户通常将密钥对中的加密密钥公开(称为公钥) ,而秘密持有解密密钥(称为私钥) 。利用公钥体系可以方便地实现对用户的身份认证,也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密,信息接收者
14、在收到这些信息之后利用该用户向外公布的公钥进行解密,如果能够解开,说明信息确实为该用户所发送,这样就方便地实现了对信息发送方身份的鉴别和认证。在实际应用中通常将公钥密码体系和数字签名算法结合使用,在保证数据传输完整性的同时完成对用户的身份认证。目前的公钥密码算法都是基于一些复杂的数学难题,例如目前广泛使用的 RSA 算法就是基于大整数因子分解这一著名的数学难题。目前常用的非对称加密算法包括整数因子分解(以 RSA 为代表) 、椭园曲线离散对数和离散对数(以 DSA 为代表) 。公钥密码体系的优点是能适应网络的开放性要求,密钥管理简单,并且可方便地实现数字签名和身份认证等功能,是目前电子商务等技
15、术的核心基础。其缺点是算法复杂,加密数据的速度和效率较低。因此在实际应用中,通常将对称加密算法和非对称加密算法结合使用,利用 DES 或者 IDEA 等对称加密算法来进行大容量数据的加密,而采用 RSA 等非对称加密算法来传递对称加密算法所使用的密钥,通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。3、网络入侵检测技术网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。网络入侵检测
16、技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析,及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段,或者直接接收受监控网络旁路过来的数据流。为了更有效地发现网络受攻击的迹象,网络入侵检测部件应能够分析网络上使用的各种网络协议,识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的,这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新,提高入侵检测部件对网络攻击行为的识别能力。利用网络入侵检测技术可以实现网络安全检测和实时攻击识别,但它只能作为网络安全的一个重要的安全组件,网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完6整的网络安全解决方案,其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应,但其侧重点还是在于发现,而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面,而网络入侵检测技术除了减小网络系统的安全风险之外,还能对一些非预期的攻击进行识别并做出反应,切断攻击连接或通知
