版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p><b> 計(jì)算機(jī)科學(xué)系</b></p><p><b> ?。ó厴I(yè)設(shè)計(jì)論文)</b></p><p> 課題名稱(chēng): 網(wǎng)絡(luò)安全 </p><p> 專(zhuān) 業(yè): 計(jì)科系現(xiàn)代教育技術(shù) </p><p> 班 級(jí): ⒑計(jì)算機(jī)專(zhuān)科班
2、 </p><p> 姓 名: </p><p> 學(xué) 號(hào): </p><p> 指導(dǎo)老師: </p><p> 設(shè)計(jì)時(shí)間: 2012-2013學(xué)年第2學(xué)期 </p><p><b&g
3、t; 網(wǎng)絡(luò)安全</b></p><p> 摘要:計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題,直接關(guān)系到一個(gè)國(guó)家的政治、軍事、經(jīng)濟(jì)等領(lǐng)域的安全和穩(wěn)定。目前黑客猖獗,平均每18秒鐘世界上就有一次黑客事件發(fā)生。因此,提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí),增強(qiáng)防范意識(shí),強(qiáng)化防范措施,是保證信息產(chǎn)業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。</p><p> 文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化,闡述了我國(guó)發(fā)展民族
4、信息安全體系的重要性及建立有中國(guó)特色的網(wǎng)絡(luò)安全體系的必要性,以及網(wǎng)絡(luò)的安全管理。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì),包括對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對(duì)網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類(lèi)及其主要技術(shù)特征,防火墻部署原則,并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時(shí)就信息交換加密技術(shù)的分類(lèi)及RSA算法作了簡(jiǎn)要的分析,論述了其安全體系的構(gòu)成。最后分析網(wǎng)絡(luò)安全技術(shù)的研究現(xiàn)狀和動(dòng)向。</p><p>
5、 關(guān)鍵字:網(wǎng)絡(luò)信息安全 防范技術(shù) 網(wǎng)絡(luò)管理 </p><p><b> 目 錄</b></p><p><b> 網(wǎng)絡(luò)安全1</b></p><p><b> 目 錄1</b></p><p> 第一章 引 言2</p&
6、gt;<p><b> 1.1 概述2</b></p><p> 1.2 網(wǎng)絡(luò)安全的研究目的3</p><p> 1.3網(wǎng)絡(luò)安全的含義4</p><p> 第二章 網(wǎng)絡(luò)安全初步分析5</p><p> 2.1 網(wǎng)絡(luò)安全的必要5</p><p> 2.2 網(wǎng)絡(luò)的安
7、全管理5</p><p> 2.2.1 安全管理原則5</p><p> 2.2.2 安全管理的實(shí)現(xiàn)6</p><p> 2.3 采用先進(jìn)的技術(shù)和產(chǎn)品6</p><p> 2.3.1 防火墻技術(shù)6</p><p> 2.3.2加密技術(shù)6</p><p> 2.3.3 認(rèn)證
8、技術(shù)7</p><p> 2.3.4 計(jì)算機(jī)病毒的防范7</p><p> 2.4 常見(jiàn)的網(wǎng)絡(luò)攻擊及防范對(duì)策7</p><p> 2.4.1 郵件炸彈7</p><p> 2.4.2 特洛伊木馬8</p><p> 2.4.3 過(guò)載攻擊8</p><p> 2.4.4 淹
9、沒(méi)攻擊8</p><p> 第三章 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)10</p><p> 3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析10</p><p> 3.2 網(wǎng)絡(luò)攻擊淺析11</p><p> 第四章 防范技術(shù)13</p><p> 4.1 防火墻的定義與選擇13</p><p> 4.2 對(duì)稱(chēng)
10、加密技術(shù)14</p><p> 4.3公開(kāi)密鑰加密14</p><p> 4.4 RSA算法14</p><p> 4.5 注冊(cè)與認(rèn)證管理15</p><p> 4.5.1 認(rèn)證機(jī)構(gòu)15</p><p> 4.5.2 注冊(cè)機(jī)構(gòu)15</p><p> 4.5.3 密鑰備份和
11、恢復(fù)15</p><p> 4.5.4 證書(shū)管理與撤消系統(tǒng)15</p><p> 第五章 安全技術(shù)的研究16</p><p> 5.1 安全技術(shù)的研究現(xiàn)狀和方向16</p><p> 5.1.1 包過(guò)濾型16</p><p> 5.1.2 代理型16</p><p><
12、;b> 結(jié)束語(yǔ)18</b></p><p> 參 考 文 獻(xiàn)18</p><p><b> 第一章 引 言</b></p><p><b> 1.1 概述</b></p><p> 21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本
13、的變化。世界各國(guó)的競(jìng)爭(zhēng)已成為已經(jīng)濟(jì)為基礎(chǔ)、以科技(特別是高科技)為先導(dǎo)的綜合國(guó)力的競(jìng)爭(zhēng)。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專(zhuān)門(mén)的領(lǐng)域變成了無(wú)處不在。當(dāng)人類(lèi)步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候,信息化的發(fā)展將起到非常重要的作用,我國(guó)也將要建立起一套完整的安全網(wǎng)絡(luò)安全體系。</p><p> 當(dāng)今,信息科學(xué)技術(shù)是知識(shí)高度密集、科學(xué)高度綜合、具有科學(xué)與技術(shù)融合特征的學(xué)科。他直接滲透到經(jīng)濟(jì)、
14、文化和社會(huì)的各個(gè)領(lǐng)域,迅速改變著人們的觀(guān)念、生活和社會(huì)的結(jié)構(gòu),是當(dāng)代發(fā)展知識(shí)經(jīng)濟(jì)的支柱之一。信息安全體系實(shí)際上包括國(guó)家的法規(guī)和政策,以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我們?cè)跇?gòu)建信息防衛(wèi)系統(tǒng)時(shí),應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品,要想真正解決網(wǎng)絡(luò)安全問(wèn)題,最終的辦法就是通過(guò)發(fā)展民族的安全產(chǎn)業(yè),帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。</p><p> 網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn):</p><p> ?、倬W(wǎng)絡(luò)的安
15、全機(jī)制與技術(shù)要不斷地變化;</p><p> ②網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣化,如果采用統(tǒng)一的技術(shù)和策略也就不安全了;</p><p> ③隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的提高,進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多,因此,網(wǎng)絡(luò)安全技術(shù)也變成復(fù)雜的系統(tǒng)工程。</p><p> 信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系,需要國(guó)家政策和法規(guī)的支持及
16、技術(shù)人員研究開(kāi)發(fā)。安全與反安全就像矛盾的兩個(gè)方面,相互促進(jìn)、總是不斷地向上攀升,所以網(wǎng)絡(luò)安全將來(lái)也會(huì)變成一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。</p><p> 1.2 網(wǎng)絡(luò)安全的研究目的</p><p> 目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅,其構(gòu)成的因素是多方面的。這種威脅將不斷給社會(huì)帶來(lái)了巨大的損失。網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視。隨著計(jì)算機(jī)網(wǎng)</p><p&g
17、t; 絡(luò)的不斷發(fā)展,全球信息化已成為人類(lèi)發(fā)展的大趨勢(shì);網(wǎng)絡(luò)安全技術(shù)的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革。通過(guò)網(wǎng)絡(luò),他們可以從異地取回重要數(shù)據(jù),由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性、經(jīng)濟(jì)性等特征,致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊,因此同時(shí)他們也將面對(duì)數(shù)據(jù)安全的威脅。所以網(wǎng)上信息的安全和保密也成為最難最重要的問(wèn)題。對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)(C3I系統(tǒng))、銀行和政府等傳輸敏感
18、數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言,其網(wǎng)上信息的安全和保密尤為重要。</p><p> 綜上所述:網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施,否則該網(wǎng)絡(luò)將是多余的、甚至?xí)?guó)家安全。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中,網(wǎng)絡(luò)都存在著自然脆弱性和人為等諸多因素的潛在威脅。故此,網(wǎng)絡(luò)的安全措施應(yīng)能全方位地針對(duì)各種不同的威脅和網(wǎng)絡(luò)的脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通,研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉
19、睫。</p><p> 本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施。認(rèn)真分析網(wǎng)絡(luò)面臨的威脅,我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程,是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下,首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門(mén)領(lǐng)導(dǎo)的重視,加強(qiáng)工作人員的責(zé)任心和防范意識(shí),自覺(jué)執(zhí)行各項(xiàng)安全制度,在此基礎(chǔ)上,再采用先進(jìn)的技術(shù)和產(chǎn)品,構(gòu)造全方位的防御機(jī)制,使系統(tǒng)在理想的狀態(tài)下運(yùn)行。<
20、/p><p> 1.3網(wǎng)絡(luò)安全的含義</p><p> 信息安全是指網(wǎng)絡(luò)系統(tǒng)的部件、程序、數(shù)據(jù)的安全性,他通過(guò)網(wǎng)絡(luò)信息的存儲(chǔ)、傳輸和使用過(guò)程的體現(xiàn)。所謂的網(wǎng)絡(luò)安全行就是保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或設(shè)備,使其免受非授權(quán)使用或訪(fǎng)問(wèn)。網(wǎng)絡(luò)安全本質(zhì)上就是信息安全,廣而言之,凡是涉及網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)可理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。</p><p>
21、 第二章 網(wǎng)絡(luò)安全初步分析</p><p> 2.1 網(wǎng)絡(luò)安全的必要</p><p> 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征,人們稱(chēng)它為信息高速公路。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物,是社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來(lái)的,各國(guó)都在建設(shè)自己的信息高速公路。我國(guó)近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快,在國(guó)防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長(zhǎng)的時(shí)
22、間里,計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展,那時(shí)將全面進(jìn)入信息時(shí)代。正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛,又在生活中扮演很重要的角色,所以其安全性是不容忽視的。</p><p> 2.2 網(wǎng)絡(luò)的安全管理</p><p> 網(wǎng)絡(luò)管理是指對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行檢測(cè)和控制,使其能夠有效、可靠、安全、經(jīng)濟(jì)地提供服服務(wù)。面對(duì)網(wǎng)絡(luò)安全的脆弱性,除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能,完善系統(tǒng)的安全保密設(shè)施外,還必須花大力氣加
23、強(qiáng)網(wǎng)絡(luò)的安全管理,因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題。</p><p> 2.2.1 安全管理原則</p><p> 網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于3個(gè)原則:</p><p> ?、佟《嗳素?fù)責(zé)原則:每一項(xiàng)與安全有關(guān)的活動(dòng),都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的,他們忠誠(chéng)可靠,能勝任此項(xiàng)
24、工作;他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。與安全有關(guān)的活動(dòng)有:訪(fǎng)問(wèn)控制使用證件的發(fā)放與回收;信息處理系統(tǒng)使用的媒介發(fā)放與回收;處理保密信息;硬件和軟件的維護(hù);系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改;重要程序和數(shù)據(jù)的刪除和銷(xiāo)毀等。</p><p> ?、凇∪纹谟邢拊瓌t:一般來(lái)講,任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù),以免使他認(rèn)為這個(gè)職務(wù)是專(zhuān)有的或永久性的。為遵循任期有限原則,工作人員應(yīng)不定期地循環(huán)任職,強(qiáng)制實(shí)行
25、休假制度,并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn),以使任期有限制度切實(shí)可行。</p><p> ?、邸÷氊?zé)分離原則:除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn),在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。出與對(duì)安全的考慮,下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開(kāi):計(jì)算機(jī)操作與計(jì)算機(jī)編程;機(jī)密資料的接收與傳送;安全管理和系統(tǒng)管理;應(yīng)用程序和系統(tǒng)程序的編制;訪(fǎng)問(wèn)證件的管理與其他工作;計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保
26、管等。</p><p> 2.2.2 安全管理的實(shí)現(xiàn)</p><p> 信息安全實(shí)現(xiàn)是指為保證提供一定的安全保證所必需遵守的規(guī)則。具體工作如下:</p><p> ?、佟∮脩?hù)對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估,確定該系統(tǒng)的安全等級(jí)。</p><p> ?、凇「鶕?jù)確定的安全等級(jí),確定安全管理范圍。</p><p> ③
27、制訂相應(yīng)管理制度,對(duì)于安全等級(jí)要求較高的系統(tǒng),要實(shí)行分區(qū)控制,限制工作人員出入與己無(wú)關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別系統(tǒng),采用磁卡、身份卡等手段,對(duì)人員進(jìn)行識(shí)別、登記管理。</p><p> 2.3 采用先進(jìn)的技術(shù)和產(chǎn)品</p><p> 要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性,還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。</p><p
28、> 2.3.1 防火墻技術(shù)</p><p> 為保證網(wǎng)絡(luò)安全,防止外部網(wǎng)對(duì)內(nèi)部網(wǎng)的非法入侵,在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱(chēng)為防火墻。它是一個(gè)或一組系統(tǒng),該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪(fǎng)問(wèn),外界的哪些人可以訪(fǎng)問(wèn)內(nèi)部的哪些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪(fǎng)問(wèn)。它可監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,確認(rèn)其來(lái)源及去處,檢查數(shù)據(jù)的格式及內(nèi)容,并依照用戶(hù)的規(guī)則傳送或阻止數(shù)據(jù)。其主要有
29、:應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過(guò)濾、代理服務(wù)器等幾大類(lèi)型。</p><p><b> 2.3.2加密技術(shù)</b></p><p> 與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù),是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。原始的消息稱(chēng)為明文,而加密后的消息稱(chēng)為密文。從明文到密文的變換過(guò)程稱(chēng)加密,從密文到明文的變換過(guò)程稱(chēng)解密。隨著信息
30、技術(shù)的發(fā)展,網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外,從技術(shù)上分別在軟件和硬件兩方面采取措施,推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同, 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。</p><p> 2.3.3 認(rèn)證技術(shù)</p><p> 認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段,指驗(yàn)證一個(gè)最終用戶(hù)
31、或設(shè)備的身份過(guò)程,即認(rèn)證建立信息的發(fā)送者或接收者的身份。認(rèn)證的主要目的有兩個(gè):第一,驗(yàn)證信息的發(fā)送者是真正的,而不是冒充的,這稱(chēng)為信號(hào)源識(shí)別;第二,驗(yàn)證信息的完整性,保證信息在傳送過(guò)程中未被竄改或延遲等。目前使用的認(rèn)證技術(shù)主要有:消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。它對(duì)于開(kāi)放環(huán)境中的各種信息的安全有重作用。</p><p> 2.3.4 計(jì)算機(jī)病毒的防范</p><p> 首先要加強(qiáng)工作人員
32、防病毒的意識(shí),其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件:</p><p> ?、?、較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有4萬(wàn)多種,在各種操作系統(tǒng)中包括Windows、 UNIX都有大量能夠造成危害的計(jì)算機(jī)病毒,這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒,具有查毒、殺毒范圍廣、能力強(qiáng)的特點(diǎn)。</p><p> ?、?、完善的升級(jí)服務(wù)。與其它軟件
33、相比,防病毒軟件更需要不斷地更新升級(jí),以查殺層出不窮的計(jì)算機(jī)病毒。</p><p> 2.4 常見(jiàn)的網(wǎng)絡(luò)攻擊及防范對(duì)策</p><p> 2.4.1 郵件炸彈</p><p> 郵件炸彈是最古老的匿名攻擊之一,通過(guò)設(shè)置一臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件,攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬,占據(jù)郵箱的空間,使用戶(hù)的存儲(chǔ)空間消耗殆盡,從而阻止用戶(hù)對(duì)正常郵件的接
34、收,防礙計(jì)算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。</p><p> 防止郵件炸彈的方法主要有通過(guò)配置路由器,有選擇地接收電子郵件,對(duì)郵件地址進(jìn)行配置,自動(dòng)刪除來(lái)自同一主機(jī)的過(guò)量或重復(fù)的消息,也可使自己的SMTP連接只能達(dá)成指定的服務(wù)器,從而免受外界郵件的侵襲。</p><p> 2.4.2 特洛伊木馬</p><p>
35、 特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因?yàn)樵谔芈逡?lt;/p><p> 木馬中存在這些用戶(hù)不知道的額外操作代碼,因此含有特洛伊木馬的程序在執(zhí)行時(shí),表面上是執(zhí)行正常的程序,而實(shí)際上是在執(zhí)行用戶(hù)不希望的程序。特洛伊木馬程序包括兩個(gè)部分,即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力,在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí),它能把自己插入一些未被感染的程序中,從而使它
36、們受到感染。此類(lèi)攻擊對(duì)計(jì)算機(jī)的危害極大,通過(guò)特洛伊木馬,網(wǎng)絡(luò)攻擊者可以讀寫(xiě)未經(jīng)授權(quán)的文件,甚至可以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán)。 </p><p> 防止在正常程序中隱藏特洛伊木馬的主要是人們?cè)谏晌募r(shí),對(duì)每一個(gè)文件進(jìn)行數(shù)字簽名,而在運(yùn)行文件時(shí)通過(guò)對(duì)數(shù)字簽名的檢查來(lái)判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行,運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽(tīng)TCP服務(wù)。</p
37、><p> 2.4.3 過(guò)載攻擊</p><p> 過(guò)載攻擊是攻擊者通過(guò)服務(wù)器長(zhǎng)時(shí)間發(fā)出大量無(wú)用的請(qǐng)求,使被攻擊的服務(wù)器一直處于繁忙的狀態(tài),從而無(wú)法滿(mǎn)足其他用戶(hù)的請(qǐng)求。過(guò)載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊,它是通過(guò)大量地進(jìn)行人為地增大CPU的工作量,耗費(fèi)CPU的工作時(shí)間,使其它的用戶(hù)一直處于等待狀態(tài)。</p><p> 防止過(guò)載攻擊的方法有:限制單個(gè)用戶(hù)
38、所擁有的最大進(jìn)程數(shù);殺死一些耗時(shí)的進(jìn)程。</p><p> 2.4.4 淹沒(méi)攻擊</p><p> 正常情況下,TCP連接建立要經(jīng)歷3次握手的過(guò)程,即客戶(hù)機(jī)向主機(jī)發(fā)送SYN請(qǐng)求信號(hào);目標(biāo)主機(jī)收到請(qǐng)求信號(hào)后向客戶(hù)機(jī)發(fā)送SYN/ACK消息;客戶(hù)機(jī)收到SYN/ACK消息后再向主機(jī)發(fā)送RST信號(hào)并斷開(kāi)連接。TCP的這三次握手過(guò)程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒(méi)有被使
39、用的主機(jī)的IP地址,向被攻擊主機(jī)發(fā)出SYN請(qǐng)求信號(hào),當(dāng)被攻擊主機(jī)收到SYN請(qǐng)求信號(hào)后,它向這臺(tái)不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。由于此時(shí)主機(jī)的IP不存在或當(dāng)時(shí)沒(méi)有被使用所以無(wú)法向主機(jī)發(fā)送RST,因此,造成被攻擊的主機(jī)一直處于等待狀態(tài),直至超時(shí)。如果攻擊者不斷地向被攻擊的主機(jī)發(fā)送SYN請(qǐng)求,被攻擊主機(jī)就會(huì)一直處于等待狀態(tài),從而無(wú)法響應(yīng)其他用戶(hù)的請(qǐng)求。</p><p> 對(duì)付淹沒(méi)攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)
40、處于SYN-RECEIVED狀態(tài)的連接數(shù),當(dāng)連接數(shù)超過(guò)某一給定的數(shù)值時(shí),實(shí)時(shí)關(guān)閉這些連接。</p><p> 第三章 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)</p><p> 3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析</p><p> 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)首先應(yīng)因地制宜,根據(jù)組網(wǎng)單位的實(shí)際情況按照單位的各部門(mén)安全性要求劃分,盡量使同一安全級(jí)別的上網(wǎng)計(jì)算機(jī)處于同一網(wǎng)段的安全控制域中。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主
41、要有總線(xiàn)型,星型,環(huán)形等,而目前大多數(shù)都采用載波偵聽(tīng)多路訪(fǎng)問(wèn)/沖突檢測(cè)(Carrier Sense Multiple Access with Collision Detection ,CSMA/CD)也就是發(fā)展到現(xiàn)在的IEEE802.3規(guī)范,利用這一方法建成的網(wǎng)絡(luò),我們稱(chēng)之為以太網(wǎng),在以太網(wǎng)的通信方式中,每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù),將以太網(wǎng)卡(支持IEEE802.3規(guī)范的網(wǎng)卡)設(shè)置為混雜模式,網(wǎng)卡便會(huì)將電纜上傳輸?shù)乃械?/p>
42、數(shù)據(jù)讀入緩沖區(qū),以供系統(tǒng)和程序調(diào)用.但是入侵者還是可能通過(guò)割開(kāi)網(wǎng)線(xiàn),非法接入等手段來(lái)偵聽(tīng)網(wǎng)絡(luò),截獲數(shù)據(jù),根據(jù)線(xiàn)路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心,因此布線(xiàn)要杜絕經(jīng)過(guò)不可靠的區(qū)域,以防止非法接入,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機(jī)的介質(zhì)訪(fǎng)問(wèn)控制器(MAC)地址,該地址為6個(gè)字節(jié),是用來(lái)區(qū)分網(wǎng)絡(luò)設(shè)備的唯一標(biāo)志.此外,對(duì)于每一個(gè)接入網(wǎng)絡(luò)中的計(jì)算機(jī)都必須先登記后連線(xiàn)接入,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的MA</p><p>
43、 網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段,實(shí)際上也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施.其目的是將非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相互隔離,從而防上可能的非法偵聽(tīng).</p><p> 以交換式集線(xiàn)器代替共享式集線(xiàn)器 對(duì)局域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后,以太網(wǎng)的偵聽(tīng)的危險(xiǎn)仍然存在.這是因?yàn)榫W(wǎng)絡(luò)最終用戶(hù)的接入往往是通過(guò)分支集線(xiàn)器而不是中心交換機(jī),而使用最廣泛的分支集線(xiàn)器通常是共享式集線(xiàn)器.這樣,當(dāng)用戶(hù)與主機(jī)
44、進(jìn)行數(shù)據(jù)通信時(shí),兩臺(tái)機(jī)器之間的數(shù)據(jù)包(稱(chēng)為單播包Nicest Packet)還是會(huì)被同一臺(tái)集線(xiàn)器上的其他用戶(hù)所偵聽(tīng).因此應(yīng)該以交換式集線(xiàn)器代替共享式集線(xiàn)器,使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法偵聽(tīng)。</p><p> VLAN(虛擬局域網(wǎng))的劃分 為了克服以太網(wǎng)的廣播問(wèn)題,除上述方法外,還可以運(yùn)用VLAN技術(shù),將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信,以防止大部分基于網(wǎng)絡(luò)偵聽(tīng)的入侵。</p><p
45、> 基于以上拓?fù)浣Y(jié)構(gòu)的連接方式,用電纜和集線(xiàn)器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段,在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收,為了防止網(wǎng)絡(luò)的入侵嗅探,可以把網(wǎng)絡(luò)分段,隔離網(wǎng)絡(luò)通信合用橋接器,交換器,路由器,應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離,同時(shí)將多個(gè)局域網(wǎng)進(jìn)行互聯(lián),拓展網(wǎng)絡(luò)形成廣域網(wǎng),還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng).但對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對(duì)外界的攻擊的防范和應(yīng)策.</p><p&g
46、t; 3.2 網(wǎng)絡(luò)攻擊淺析</p><p> 攻擊是指非授權(quán)行為,任何危害系統(tǒng)信息安全的活動(dòng)都是安全攻擊。攻擊的范圍從簡(jiǎn)單的使服務(wù)器無(wú)法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別以來(lái)于擁護(hù)采取的安全措施。</p><p> 在此先分析眼下比較流行的攻擊Dodos分布式拒絕服務(wù)攻擊:Does是Denial of Service的簡(jiǎn)稱(chēng),即拒絕服務(wù),造成Does的攻擊
47、行為被稱(chēng)為Does攻擊,其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的Does攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò),使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡,最后導(dǎo)致合法的用戶(hù)請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī),使得所有可用的操作系統(tǒng)資源都被消耗殆盡,最終計(jì)算機(jī)無(wú)法再處理合法用戶(hù)的請(qǐng)求。而分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊是借助于客
48、戶(hù)/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。通常,攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶(hù)/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。(見(jiàn)圖一)而且現(xiàn)在沒(méi)有有限的方法來(lái)避</p>
49、<p> 因?yàn)榇斯艋赥CP/IP協(xié)議的漏洞,要想避免除非不使用此協(xié)議,顯然這是很難做到的那我們要如何放置呢?</p><p> 1.確保所有服務(wù)器采用最新系統(tǒng),并打上安全補(bǔ)丁。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn),幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁。 </p><p> 2.確保管理員對(duì)所有主機(jī)進(jìn)行檢查,而不僅針對(duì)關(guān)鍵主機(jī)。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在運(yùn)
50、行什么?誰(shuí)在使用主機(jī)?哪些人可以訪(fǎng)問(wèn)主機(jī)?不然,即使黑客侵犯了系統(tǒng),也很難查明。 </p><p> 3.確保運(yùn)行在Unix上的所有服務(wù)都有TCP封裝程序,限制對(duì)主機(jī)的訪(fǎng)問(wèn)權(quán)限。 </p><p> 4.禁止內(nèi)部網(wǎng)通過(guò)Modem連接至PSTN系統(tǒng)。否則,黑客能通過(guò)電話(huà)線(xiàn)發(fā)現(xiàn)未受保護(hù)的主機(jī),即刻就能訪(fǎng)問(wèn)極為機(jī)密的數(shù)據(jù)。 </p><p> 6.限制在防火墻外與網(wǎng)
51、絡(luò)文件共享。這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件,并以特洛伊木馬替換它,文件傳輸功能無(wú)異將陷入癱瘓。 </p><p> 8.在防火墻上運(yùn)行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當(dāng)造成的,使DoS/DDoS攻擊成功率很高,所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。 </p><p> 9.檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更,幾乎可以肯定:相關(guān)
52、的主機(jī)安全受到了威脅。</p><p><b> 第四章 防范技術(shù)</b></p><p> 4.1 防火墻的定義與選擇</p><p> 網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪(fǎng)問(wèn)控制,防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式
53、按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。防火墻可以是一臺(tái)計(jì)算機(jī)系統(tǒng),也可以是兩臺(tái)或更多的系統(tǒng)協(xié)同工作起到防火墻的作用。</p><p> 目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類(lèi)型。</p><p> 雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無(wú)
54、法防范通過(guò)防火墻以外的其它途徑的攻擊,不能防止來(lái)自?xún)?nèi)部變節(jié)者和不經(jīng)心的用戶(hù)們帶來(lái)的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。</p><p> 防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安
55、全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶(hù)認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。</p><p> 防火墻的選擇:①防火墻作為網(wǎng)絡(luò)系統(tǒng)的安全屏障, 防火墻本身是安全的 作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其
56、諾防線(xiàn)一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過(guò)防線(xiàn)進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒(méi)有任何安全性可言了。 </p><p> 通常,防火墻的安全性問(wèn)題來(lái)自?xún)蓚€(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類(lèi)問(wèn)題一般用戶(hù)根本無(wú)從入手,只有通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶(hù)來(lái)說(shuō),保守的方法是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來(lái)說(shuō),防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員
57、對(duì)防火墻不十分熟悉,就有可能在配置過(guò)程中遺留大量的安全漏洞。②在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒(méi)有必要購(gòu)置過(guò)于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購(gòu)置的防火墻沒(méi)有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶(hù)足夠的彈性空間,在安全水平要求不高的情況下,可以只選購(gòu)基本系統(tǒng),
58、而隨著要求的提高,用戶(hù)仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶(hù)的投資,對(duì)提供防火墻產(chǎn)品的廠(chǎng)商來(lái)說(shuō),也擴(kuò)大了產(chǎn)品覆蓋面。 </p><p> 4.2 對(duì)稱(chēng)加密技術(shù)</p><p> 在對(duì)稱(chēng)加密技術(shù)中,對(duì)信息的加密和解密都使用相同的鑰,也就是說(shuō)一把鑰匙開(kāi)一把鎖。這種加密方法可簡(jiǎn)化加密處理過(guò)程,信息交換雙方都不必彼此研究和交換專(zhuān)用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性
59、和報(bào)文完整性就可以得以保證。對(duì)稱(chēng)加密技術(shù)也存在一些不足,如果交換一方有N個(gè)交換對(duì)象,那么他就要維護(hù)N個(gè)私有密鑰,對(duì)稱(chēng)加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。如三重DES是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的一種變形,這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密,從而使有效密鑰長(zhǎng)度達(dá)到112位。 </p><p> 4.3公開(kāi)密鑰加密 </p>&
60、lt;p> 公鑰密碼的發(fā)展是整個(gè)密碼學(xué)發(fā)展史上最偉大的一次革命。它是基于數(shù)學(xué)函數(shù)的算法而不再是基于置換和代替技術(shù)。更重要的是,公鑰密碼是非對(duì)稱(chēng)的,公鑰算法依賴(lài)于一個(gè)與之相關(guān)但不相同的解密密鑰。他使用兩個(gè)獨(dú)立的密鑰。公鑰密碼在保密性、密鑰分配和認(rèn)證領(lǐng)域有重要的意義。</p><p> 4.4 RSA算法 </p><p> RSA算法是Rivest、Shamir和Adleman于
61、1977年提出的第一個(gè)完善的公鑰密碼體制,其安全性是基于分解大整數(shù)的困難性。它是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。在RSA體制中使用了這樣一個(gè)基本事實(shí):到目前為止,無(wú)法找到一個(gè)有效的算法來(lái)分解兩大素?cái)?shù)之積。利用目前已經(jīng)掌握的知識(shí)和理論,分解2048bit的大整數(shù)已經(jīng)超過(guò)了64位計(jì)算機(jī)的運(yùn)算能力,因此在目前和預(yù)見(jiàn)的將來(lái),它是足夠安全的。</p><p> 4.5 注冊(cè)與認(rèn)證管理</p>
62、<p> 4.5.1 認(rèn)證機(jī)構(gòu)</p><p> CA(Certification Authorty)就是這樣一個(gè)確保信任度的權(quán)威實(shí)體,它的主要職責(zé)是頒發(fā)證書(shū)、驗(yàn)證用戶(hù)身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶(hù)電子身份證明—證書(shū),任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶(hù)。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書(shū)被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的,這不僅與密碼
63、學(xué)有關(guān)系,而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外,靈活也是CA能否得到市場(chǎng)認(rèn)同的一個(gè)關(guān)鍵,它不需支持各種通用的國(guó)際標(biāo)準(zhǔn),能夠很好地和其他廠(chǎng)家的CA產(chǎn)品兼容。 </p><p> 4.5.2 注冊(cè)機(jī)構(gòu) </p><p> RA(Registration Authority)是用戶(hù)和CA的接口,它所獲得的用戶(hù)標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書(shū)的基礎(chǔ)。RA不僅要支持面對(duì)面的登記,也必須支持遠(yuǎn)程登
64、記。要確保整個(gè)PKI系統(tǒng)的安全、靈活,就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。 </p><p> 4.5.3 密鑰備份和恢復(fù) </p><p> 為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。 </p><p
65、> 4.5.4 證書(shū)管理與撤消系統(tǒng) </p><p> 證書(shū)是用來(lái)證明證書(shū)持有者身份的電子介質(zhì),它是用來(lái)綁定證書(shū)持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書(shū)的整個(gè)生命周期里是有效的。但是,有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書(shū)不再有效的情況這就需要進(jìn)行證書(shū)撤消,證書(shū)撤消的理由是各種各樣的,可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因。證書(shū)撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書(shū)或采用在線(xiàn)查詢(xún)機(jī)制,隨時(shí)查詢(xún)被
66、撤消的證書(shū)。</p><p> 第五章 安全技術(shù)的研究</p><p> 5.1 安全技術(shù)的研究現(xiàn)狀和方向</p><p> 我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段,正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段,現(xiàn)已開(kāi)發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性?huà)呙柢浖?。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生
67、化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果,提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案,目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開(kāi)展研究,各部分相互協(xié)同形成有機(jī)整體。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類(lèi)型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理型和監(jiān)測(cè)型。 </p><p> 5.1.1 包過(guò)濾型</p><p>
68、 包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。</p>
69、<p> 包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。</p><p> 但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻。&
70、lt;/p><p><b> 5.1.2 代理型</b></p><p> 代理型防火墻也可以被稱(chēng)為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶(hù)機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶(hù)機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶(hù)機(jī)。當(dāng)客戶(hù)機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)
71、求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶(hù)機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。</p><p> 代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶(hù)機(jī)可能產(chǎn)生的所有應(yīng)用類(lèi)型逐一進(jìn)行設(shè)置,
72、大大增加了系統(tǒng)管理的復(fù)雜性。 </p><p> 實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱(chēng)應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如,它可以過(guò)濾掉FTP連接中的PUT命令,而且通過(guò)代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)
73、絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。</p><p><b> 結(jié)束語(yǔ)</b></p><p> 互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人民不可或缺的工具,其發(fā)展速度也快得驚人,以此而來(lái)的攻擊破壞可謂層出不窮,為了有效的防止入侵把損失降到最低,我們必須時(shí)刻注意安全問(wèn)題,使用盡量多而可靠的安全工具經(jīng)常維護(hù),讓我們的網(wǎng)絡(luò)體系完善可靠,在INTERNET為我們提供了大量的便捷的
74、同時(shí),也在安全性方面帶給我們嚴(yán)峻的挑戰(zhàn).我們不能因?yàn)楹ε绿魬?zhàn)而拒絕它,否則會(huì)得不償失.信息安全是一個(gè)國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。對(duì)于這個(gè)問(wèn)題,我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見(jiàn)信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分,甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)電子化、信息化的發(fā)展將起到非常重要的作用。網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程
75、,我們致力于結(jié)合本國(guó)家的網(wǎng)絡(luò)特點(diǎn),制定妥善的網(wǎng)絡(luò)安全策略,將INTERNET的不安全性降至現(xiàn)有條件下的最低點(diǎn),讓它為我們的工作和現(xiàn)代化建設(shè)更好的服務(wù).</p><p><b> 參 考 文 獻(xiàn)</b></p><p> [1] 教育部考試中心編 2011版 網(wǎng)絡(luò)技術(shù) 北京 高等教育出版社</p><p> [2] Andrew S.Ta
76、nenbaum 計(jì)算機(jī)網(wǎng)絡(luò) 第四版 北京清華大學(xué)出版社</p><p> [3] 遠(yuǎn)望圖書(shū)部 局域網(wǎng)一點(diǎn)通 人民交通出版社</p><p> [4] 李偉 網(wǎng)絡(luò)安全實(shí)用技術(shù)標(biāo)準(zhǔn)教程 北京 清華大學(xué)出版社</p><p> [5] 褚建立、劉彥舫 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 北京 清華大學(xué)出版社</p><p> [6] 黎連
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文
- 計(jì)算機(jī)畢業(yè)論文--計(jì)算機(jī)網(wǎng)絡(luò)安全
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文
- eklhbm有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)的論文計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文淺析計(jì)算機(jī)網(wǎng)絡(luò)安全
- 計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文---淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全及建設(shè)
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文 (3)
- bampgpu計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文
- ckfeeq計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文
- 畢業(yè)論文--計(jì)算機(jī)網(wǎng)絡(luò)安全研究
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文 (2)
- 計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文 (2)
- 計(jì)算機(jī)網(wǎng)絡(luò)專(zhuān)業(yè)畢業(yè)論文(網(wǎng)絡(luò)安全)
- 計(jì)算機(jī)網(wǎng)絡(luò)安全與防范畢業(yè)論文
- 計(jì)算機(jī)網(wǎng)絡(luò)安全與防范畢業(yè)論文
- 計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)畢業(yè)論文
- 計(jì)算機(jī)網(wǎng)絡(luò)安全與防范畢業(yè)論文
評(píng)論
0/150
提交評(píng)論