1、計算機網(wǎng)絡技術與應用網(wǎng)絡安全技術與方案學校學生學院專業(yè)_學號網(wǎng)絡安全技術與方案學生：班級：摘要：隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡安全問題已經不容忽視。網(wǎng)絡安全技術是指致力于解決諸如如何有效進行介人控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段，廣泛應用的網(wǎng)絡安全技術主要有：數(shù)據(jù)加密與數(shù)據(jù)隱藏技術、認證與鑒別技術與防火墻技術等。本文對網(wǎng)絡安全的技術進行了描述與解釋，并對網(wǎng)絡存在的安全問題進行了分析，并對這些安全隱患做出了行之有效的解決方案。關鍵詞：網(wǎng)絡、安全、防火墻技術、加密、認證技術NetworksecuritytechnologiesandsolutionsAbstract:Withtherapid

2、developmentofInternet,networksecurityissueshavenotsallowtoignore.Networksecuritytechnologyisdedicatedtosolvingsuchashowtoeffectivelycontroltheintermediatepeople,andhowtoensurethesecurityofdatatransmissiontechnology,extensiveapplicationofnetworksecuritytechnologymainlyinclude:dataencryptionanddatahid

3、ingtechnology,authenticationandidentificationtechnologyandfirewalltechnologyetc.Inthispaper,thetechnologyofnetworksecurityaredescribedandexplained,andanalyzesthesecurityproblemofnetwork,andhasmadeaeffectivesolutiontothesecurityhiddendanger.Keywords:network,security,firewalltechnology,encryptionandau

4、thenticationtechniques1緒論隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金

5、錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。網(wǎng)絡安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網(wǎng)絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現(xiàn)。一、計算機網(wǎng)絡的安全技術計算機網(wǎng)絡安全是指通過采用各種安全技術和管理上的安全措施，確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性，其目的是確保經過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄漏等。隨著計

6、算機網(wǎng)絡技術的快速發(fā)展和互聯(lián)網(wǎng)的應用變得越來越寬泛，帶來前所未有的海量信息的同時，網(wǎng)絡的開放性與自由性也帶來了私有信息和數(shù)據(jù)被破壞或者侵犯的可能性，網(wǎng)絡信息安全變得日益重要起來，并被各個領域所重視。從計算機網(wǎng)絡技術安全上來說，主要有防病毒、防火墻等多個安全組件組成，一個單獨的組件無法確保網(wǎng)絡信息的安全性。目前，廣泛應用的網(wǎng)絡安全技術主要有：數(shù)據(jù)加密與數(shù)據(jù)隱藏技術、認證與鑒別技術與防火墻技術等。1、數(shù)據(jù)加密與數(shù)據(jù)隱藏技術數(shù)據(jù)加密我們經常需要一種措施來保護我們的數(shù)據(jù)，防止被一些懷有不良用心的人所看到或者破壞。在信息時代，信息可以幫助團體或個人使他們受益，同樣信息也可以用來對他們構成威脅而造成破壞。

7、在競爭激烈的大公司中，工業(yè)間諜經常會獲取對方的情報。因此，在客觀上就需要一種強有力的安全措施來保護機密數(shù)據(jù)不被竊取或篡改。數(shù)據(jù)加密與解密從宏觀上講是非常簡單的，很容易理解。加密與解密的一些方法是非常直接的，很容易掌握，可以很方便的對機密數(shù)據(jù)進行加密和解密。對稱密鑰是最古老的，一般說“密電碼”采用的就是對稱密鑰。由于對稱密鑰運算量小、速度快、安全強度高，因而目前仍廣泛被采用。DES是一種數(shù)據(jù)分組的加密算法，它將數(shù)據(jù)分成長度為64位的數(shù)據(jù)塊，其中8位用作奇偶校驗，剩余的56位作為密碼的長度。第一步將原文進行置換，得到64位的雜亂無章的數(shù)據(jù)組；第二步將其分成均等兩段；第三步用加密函數(shù)進行變換，并在給

8、定的密鑰參數(shù)條件下，進行多次迭代而得到加密密文。公開密鑰，又稱非對稱密鑰，加密和解密時使用不同的密鑰，即不同的算法，雖然兩者之間存在一定的關系，但不可能輕易地從一個推導出另一個。有一把公用的加密密鑰，有多把解密密鑰。非對稱密鑰由于兩個密鑰各不相同，因而可以將一個密鑰公開，而將另一個密鑰保密，同樣可以起到加密的作用。在這種編碼過程中，一個密碼用來加密消息，而另一個密碼用來解密消息。在兩個密鑰中有一種關系，通常是數(shù)學關系。公鑰和私鑰都是一組十分長的、數(shù)字上相關的素數(shù)。有一個密鑰不足以翻譯出消息，因為用一個密鑰加密的消息只能用另一個密鑰才能解密。每個用戶可以得到唯一的一對密鑰，一個是公開的，另一個是

9、保密的。公共密鑰保存在公共區(qū)域，可在用戶中傳遞。而私鑰必須存放在安全保密的地方。任何人都可以有你的公鑰，但是只有你一個人能有你的私鑰。所以不必擔心大家都有我的公鑰，因為它不能用來解密消息。公開密鑰的加密機制雖提供了良好的保密性，但難以鑒別發(fā)送者，即任何得到公開密鑰的人都可以生成和發(fā)送報文。數(shù)字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等問題。1.2數(shù)據(jù)隱藏數(shù)據(jù)隱藏技術是指隱藏數(shù)據(jù)的存在性。通常是將數(shù)據(jù)隱藏在一個容量更大的數(shù)據(jù)載體之中，形成隱秘載體，使非法者難于觀察其中隱藏有某些數(shù)據(jù)，或難于從中提取被隱藏數(shù)據(jù)。信息隱藏主要是研究如何將某一機密信息秘密隱藏于另一公開的信息中，然后通過

10、信息公開的傳輸來傳遞機密信息。對加密通信而言，監(jiān)測或者非法攔截者可以通過截取密文，并對其進行破譯，或破壞密文后在發(fā)送，從而保證機密信息安全。但對信息隱藏而言，監(jiān)測者或者非法攔截者則難以公開信息中判斷機密信息是否存在，難以截獲機密信息，從而能夠保證機密信息的安全。2、認證與鑒別技術2.1數(shù)字簽名數(shù)字簽名（DigitalSignature）技術是非對稱加密算法的典型應用。數(shù)字簽名的應用過程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗或其他與數(shù)據(jù)內容有關的變量進行加密處理，完成對數(shù)據(jù)的合法“簽名”，數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”，并將解讀結果用于對數(shù)據(jù)完整性的檢驗，以確認簽名的合法性

11、。數(shù)字簽名技術是在網(wǎng)絡系統(tǒng)虛擬環(huán)境中確認身份的重要技術，完全可以代替現(xiàn)實過程中的“親筆簽字”，在技術和法律上有保證。在數(shù)字簽名應用中，發(fā)送者的公鑰可以很方便地得到，但他的私鑰則需要嚴格保密。數(shù)字簽名是解決網(wǎng)絡通信中特有安全問題的一種有效方法，它能夠實現(xiàn)電子文檔的辨認和驗證，在保證數(shù)據(jù)的完整性、私有性、不可抵賴性方面起著極其重要的作用。為了實現(xiàn)網(wǎng)絡環(huán)境下的身份鑒別、數(shù)據(jù)完整性認證和抗否認的功能。CC數(shù)字簽名原理圖CA認證CA中心主要職責是頒發(fā)和管理數(shù)字證書，其中心任務是頒發(fā)數(shù)字證書，并履行用戶身份認證的責任。CA中心在安全責任分散、運行安全管理、系統(tǒng)安全、物理安全、數(shù)據(jù)庫安全、人員安全、密鑰管理

12、等方面，需要十分嚴格的政策和規(guī)程，要有完善的安全機制，另外要有完善的安全審計、運行監(jiān)控、容災備份、事故快速反應等實施措施，對身份認證、訪問控制、防病毒防攻擊等方面也要有強大的工具支撐oCA中心的證書審批業(yè)務部門則負責對證書申請者進行資格審查，并決定是否同意給該申請者發(fā)放證書，并承擔因審核錯誤引起的、為不滿足資格的證書申請者發(fā)放證書所引起的一切后果。3、防火墻技術3.1防火墻防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的

13、抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的安全。防火墻是網(wǎng)絡安全的屏障:一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。防火墻可以強化網(wǎng)絡安全策略:通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。對網(wǎng)絡存取和訪問進行監(jiān)控審計:如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這

14、些訪問并做出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。防止內部信息的外泄:通過利用防火墻對內部網(wǎng)絡的劃分，可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。除了安全作用，有的防火墻還支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或專用子網(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。3.2防火墻的種類防火墻產品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關以及電路層網(wǎng)關、屏蔽主機防火墻、雙宿主機等類型。在邏輯上,防火墻是一個分離器、一個限制器,也是一個分析器,

15、它有效地監(jiān)控了所要保護的內部網(wǎng)和外部公共網(wǎng)絡之間的任何活動。從理論上看,防火墻處于網(wǎng)絡安全的最底層,負責網(wǎng)絡間的安全認證與傳輸,但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化,現(xiàn)代防火墻技術已經逐步走向網(wǎng)絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網(wǎng)絡應用提供相應的安全服務。對網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進行檢查,用于確定網(wǎng)絡哪些內部服務允許外部訪問,以及內部網(wǎng)絡主機訪問哪些外部服務等,從而保證了所要保護的內部計算機網(wǎng)絡的穩(wěn)定正常運行以及內部網(wǎng)絡上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術的防火墻實現(xiàn)的功能的側重點不同,防火墻實際上代表了一個網(wǎng)絡的訪

16、問控制原則二、網(wǎng)絡安全解決方案1、常見的網(wǎng)絡威脅網(wǎng)絡竊聽在廣域網(wǎng)中，每個節(jié)點都能讀取網(wǎng)上的數(shù)據(jù)，這是互聯(lián)網(wǎng)的主要脆弱點。互聯(lián)網(wǎng)體系結構允許監(jiān)視器接受網(wǎng)上傳輸?shù)乃袛?shù)據(jù)楨而不考慮傳輸目的地址，這種特性使得竊聽網(wǎng)上的數(shù)據(jù)或非授權訪問很容易且不易被發(fā)現(xiàn)。完整性破壞當信息系統(tǒng)被有意或無意的修改或破壞時，就會發(fā)生數(shù)據(jù)完整性破壞。數(shù)據(jù)修改數(shù)據(jù)修改是在非授權和不能監(jiān)測的方式下對數(shù)據(jù)的改變。當節(jié)點修改加入網(wǎng)中的楨并傳送修改版本時就發(fā)生了數(shù)據(jù)修改。即使采用某些級別的認證機制，此種供給也能危及可信節(jié)點的通信。重發(fā)重發(fā)就是重復一份保文或報文的一部分，以便產生一個被授權效果。當節(jié)點考貝發(fā)到其他節(jié)點的報文并在其后重發(fā)它

17、們時，如果不能檢測重發(fā)，節(jié)點依據(jù)此報文的內容接受某些操作。假冒當一個實體假扮成另一個實體時，就發(fā)生了假冒。很多網(wǎng)絡適配器都允許網(wǎng)楨的源地址由節(jié)點自己來選取或改變，這就使冒充變得較為容易。服務否認當一個授權實體不能獲得對網(wǎng)絡資源的訪問或當緊急操作被推遲時，就發(fā)生了服務否認。這可能是由網(wǎng)絡部件的物理損壞而引起的，也可能由超載而引起。1.7計算機病毒這是一種人為編制的隱藏在計算機中很難被發(fā)現(xiàn)且具有特定破壞能力的程序或代碼，能夠通過軟盤、硬盤、通信鏈路和其他途徑在計算機網(wǎng)絡能轉播和蔓延，具有極大的破壞性。2、計算機安全技術的解決方案物理隔離技術物理隔離是指內部網(wǎng)不直接或間接地連接公共網(wǎng)，物理隔離的目的

18、是保護路由器、工作站、網(wǎng)絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內部信息網(wǎng)絡不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為內部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡的可控性增強，便于內部管理。實施內外網(wǎng)物理隔離，技術上可以確保：在物理傳導上使內外網(wǎng)絡隔斷，確保外部網(wǎng)不能通過網(wǎng)絡連接而侵入內部網(wǎng)，同時防止內部網(wǎng)信息通過網(wǎng)絡連接泄露到外部網(wǎng)。物理隔離的指導思想與防火墻有很大的不同：防火墻絕不是物理隔離產品，防火墻的根本起因是不同網(wǎng)絡間既要保證需要的數(shù)據(jù)交換和相互訪問，又要防御惡意或非法訪問。而無論從包過濾技術還是從代理技術來說，其關鍵的都

19、在于使數(shù)據(jù)有選擇的通過，而不是徹底的把數(shù)據(jù)隔離。物理隔離與防火墻是兩個不同的安全策略，它們功能互補，但不能互相代替。它們二者的安全策略非常清楚，即：把需要保密的內部數(shù)據(jù)，進行100%的保護，實行物理隔離，而對可公開的數(shù)據(jù)，則交由防火墻去保護。網(wǎng)絡認證技術口令認證，當被認證對象要求訪問提供服務的系統(tǒng)時，提供服務的認證方要求被認證對象提交該對象的口令，認證方收到口令后，將其與系統(tǒng)中存儲的用戶El令進行比較，以確認被認證對象是否為合法訪問者。但這種明文輸入的口令，很容易泄密，傳輸過程中也可能被截獲，系統(tǒng)中所有用戶的口令以文件形式存儲在認證方，攻擊者還可以利用系統(tǒng)中存在的漏洞獲取系統(tǒng)的口令文件。而且這

20、種認證只能進行單向認證，即系統(tǒng)可以認證用戶，而用戶無法對系統(tǒng)進行認證，這使得攻擊者可能偽裝成系統(tǒng)騙取用戶的口令。雙因素認證，除口令外，還必須擁有系統(tǒng)頒發(fā)的令牌訪問設備，當用戶向系統(tǒng)登錄時，用戶除輸人口令外，還必須輸入令牌訪問設備所顯示的數(shù)字，該數(shù)字與認證服務器同步，不斷變化。這種方法比基于口令的認證方法具有更好的安全性，在一定程度上解決了口令認證方法中的問題Kerberos，該認證過程的實現(xiàn)不依賴于主機操作系統(tǒng)的認證，無需基于主機地址的信任，不要求網(wǎng)絡上所有主機的物理安全，并假定網(wǎng)絡上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。在以上情況下，Kerberos作為一種可信任的第方認證服務，是通

21、過傳統(tǒng)的密碼技術(如：共享密鑰)執(zhí)行認證服務的。CHAP，使用3次握手周期性的驗證對端身份。在鏈路建立初始化時這樣做，也可以在鏈路建立后任何時間重復驗證。x.509證書及認證框架，X.509給出的鑒別框架是一種基于公開密鑰體制的鑒別業(yè)務密鑰管理。一個用戶有兩把密鑰：一把是用戶的專用密鑰，另一把是其他用戶都可利用的公共密鑰。用戶可用常規(guī)密鑰(如DES)為信息加密，然后再用接收者的公共密鑰對DES進行加密并將之附于信息之上，這樣接收者可用對應的專用密鑰打開DES密鎖，并對信息解密。病毒防護技術在早期的單機環(huán)境下，病毒主要有寄生性、隱蔽性、非法性、傳染性、破壞性、潛伏性、可觸發(fā)性等特點，隨著計算機網(wǎng)

22、絡在工作、生活、學習中發(fā)揮著越來越重要的作用，各種網(wǎng)絡安全問題逐漸增多，網(wǎng)絡病毒越發(fā)趨于復雜，除具有單機環(huán)境下的特點外，還呈現(xiàn)出感染速度快、擴散面廣、傳播的形式復雜多樣、難于徹底清除、破壞性大等新的特點。與此同時，許多防病毒廠商也升級了一些新的防病毒技術，主要包括數(shù)字免疫系統(tǒng)、監(jiān)控病毒源技術、主動內核技術、“分布式處理”技術、安全網(wǎng)管技術。防病毒網(wǎng)關放置在內部網(wǎng)絡和互聯(lián)網(wǎng)連接處。當在內部網(wǎng)絡內發(fā)現(xiàn)病毒時,可能已經感染了很多計算機,防病毒網(wǎng)關可以將大部分病毒隔離在外部,同時具有反垃圾郵件和反間諜軟件的能力。當出現(xiàn)新的病毒時,管理員只要將防病毒網(wǎng)關升級就可以抵御新病毒的攻擊。目前,代表性的產品有億

23、郵防病毒網(wǎng)關、中網(wǎng)電子郵件防病毒網(wǎng)關、北信源防毒網(wǎng)關等。入侵檢測系統(tǒng)(Intrusiondetectionsystem,簡稱IDS)IDS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企業(yè)、攻擊行為或者攻擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。它作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應人侵。與其他安全產品不同的是，人侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進行分析，并得m有用的結果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡安全的運行。具體說來，人侵檢測系統(tǒng)的主要功能有：監(jiān)測并分析用戶和系統(tǒng)的活動，核查系統(tǒng)配置和漏洞評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性，識別已知的攻擊行為，統(tǒng)計分析異常行為，操作系統(tǒng)日志管理、并識別違反安全策略的用戶活動。信息網(wǎng)絡的發(fā)展本身就是信息安全防護技術和信息安全攻擊技術不斷搏弈的過程。隨著信息安全技術的發(fā)展，我們經歷了從基本安全隔離、主機加同階段、到后來的網(wǎng)絡認證階段、直