计算机网络之网络安全论.doc

计算机网络之网络安全一、 计算机网络面临的安全性威胁计算机网络上的通信面临两大威胁，即主动攻击和被动攻击。1、 主动攻击：主动攻击即攻击者访问他所需信息的故意行为。如远程登录到指定机器的端口找出公司运行的邮件服务器的信息；伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。主动攻击常见的攻击方式有以下几种：（1）、篡改：攻击者故意篡改网络上传送的报文。包括彻底中断传送的报文，把完全伪造的报文传送给接收方。（2）、计算机病毒：编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus）。具有非授权可执行性、隐蔽性、破坏性、传染性、可触发性。（3）、特洛伊木马：一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，实时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的， 它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。 特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和丢失。 特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。（4）逻辑炸弹：逻辑炸弹引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激。（5）、拒绝服务：拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。2、被动攻击：被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。窃听、监听都具有被动攻击的本性，攻击者的目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。二、计算机网络的安全防护网络信息安全是一个非常关键而又复杂的问题， 它涉及技术、管理等方面的安全措施和相应的政策法律。 在这里仅从技术的角度来研究对信息安全的保护， 包括身份认证、 访问控制、 内容安全、审计和跟踪、响应和恢复几个部分。1.网络安全的访问控制技术访问控制的主要任务是采取各种措施保证网络信息系统不被非法使用和访问。 一般采用基于资源的集中式控制、 基于资源和目的地址的过滤管理以及网络签证等技术来实现。 访问控制所包括的典型技术有：防火墙、虚拟专用网（VPN）、 授权管理基础设施(PMI)等。（1）、防火墙 （firewall） 是指设置在不同网络或网络安全域之间的一系列部件的组合， 它是不同网络或网络安全域之间信息的惟一出入口。防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，是一个位于计算机和它所连接的网络之间的软件或硬件该计算机流入流出的所有网络通信均要经过此防火墙。防火墙技术分为网络层与应用层两类， 分别是包过滤防火墙与应用层网关。（2）、虚拟专网（VPN）技术是采用密码技术，使用 IP 隧道封装加密数据， 进行信息加密传输， 保证信息完整， 并结合网络访问控制技术， 抵抗各种外来攻击。 在IP 层实现了认证、 数据加密、 防止 DOS 攻击、 访问控制以及审计等安全机制， 从而使其成为安全可靠的网络信息安全传输工具。PMI （Privilege Management Infrastructure） 是属性机构、 属性证书、 属性证书注册申请中心、 属性库、 策略库等部件的集合体，用来实现权限和证书的产生、 管理、 存储、 分发和撤销功能。 PMI可以向应用系统提供对实体（人、服务器、程序等）的权限管理和授权服务， 实现实体身份到应用权限的映射， 提供与实际应用处理模式相应的、 与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。2.网络安全的身份认证技术身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。包括几种常用的认证形式：A、使用静态密码，即用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。B、智能卡，即智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。C、动态密码，即客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。D、数字签名，数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。E、生物识别，运用who you are方法， 通过可测量的身体或行为等生物特征进行身份认证的一种技术。E、身份认证，即动态口令牌+ 静态密码。3.网络安全的内容安全技术内容安全主要是直接保护系统中传输和存储的数据。 主是通过对信息和内容本身进行变形和变换， 或者对具体的内容进行检查来实现。内容安全所包括的典型技术有：加密、防病毒、内容过滤等。（1）、加密是信息安全领域的一种基本、实用且非常重要的技术。主要分为对称加密、 非对称加密两类。 对称加密使用单个密钥对数据进行加密或解密， 其特点是计算量小、 加密效率高， 但是此类算法在分布式系统上使用较为困难，主要是密钥管理困难;非对称加密算法也称公开密钥加密算法，其特点是有两个密钥(即公用密钥和私有密钥），只有二者搭配使用才能完成加密和解密的全过程。 由于非对称算法拥有两个密钥， 它特别适用于分布式系统中的数据加密， 因此在Internet中得到广泛应用。 在实际应用中， 通常将对称加密和非对称加密结合起来， 同时保证了加密的高效性（对称密钥的快速加密）和高强度性（公钥的强加密）。（2）、防病毒，病毒是一种进行自我复制、广泛传播、对计算机及其数据进行严重破坏的程序。 由于病毒具有隐蔽性与随机性的特点， 使用户防不胜防， 因此， 防范病毒必须建立多层的网络级病毒防治系统，综合运用预防病毒、检测病毒和杀除病毒技术。（3）、内容过滤， 内容过滤就是采取适当的技术措施， 对网络上的不良信息进行过滤， 既阻止不良信息对人们的侵害， 又可以通过规范用户的上网行为，提高工作效率，合理利用网络资源。4.网络安全的审计和跟踪技术（1）、算机网络安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。在不至于混淆情况下，简称为安全审计，实际是记录与审查用户操作计算机及网络系统活动的过程，是提高系统安全性的重要举措。系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动，如用户所使用的资源、使用时间、执行的操作等。安全审计对系统记录和行为进行独立的审查和估计，其主要作用和目的包括5个方面：A、对可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。B、测试系统的控制情况，及时进行调整，保证与安全策略和操作规程协调一致。C、对已出现的破坏事件，做出评估并提供有效的灾难恢复和追究责任的依据。D、对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。E、协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。（2）跟踪技术，在网络中跟踪入侵者是逐渐发展起来的一种技术 , 进行网络跟踪就需要整个网络中的所有主机相互配合 , 通过收集分析网络中的每台主机的有关信息 , 将入侵者的活动轨迹展现出来。 要实现这样的操作 , 就需要网络中的所有主机都是安全可信的 , 即网络的主机没有被入侵者攻击破坏 , 收集到的数据是可信的 , 而且在传输这些数据也没有被破坏或修改 , 在此基础上对这些收集到的数据进行处理 , 包括对数据进行过滤和筛选 , 将入侵者在整个网络中的活动轨迹连接起来 , 实现网络入侵的跟踪。随着带宽的逐渐增加 , 网络入侵者在互联网中控制大量代理攻击服务器 , 可以快速发动大规模的攻击 , 在这样的环境下进行网络跟踪 , 则需要网络跟踪技术能够快速、准确的反应 , 并尽量减少占用系统的有效资源。三、总结网络信息安全是一项复杂的长期性的系统工程。 只有融合各种安全技术， 构建综合的动态网络来最大化安全防护的效果；同时开展网络信息安全和防范技术教育，从法律法规、管理、技术这三个层次上采取有效措施，加强防范，避免黑客人侵、信息被窃，以保证信息网络的正常运行。