專業(yè)導(dǎo)論課程論文.doc

自動(dòng)化學(xué)院2008級(jí)網(wǎng)絡(luò)工程“專業(yè)導(dǎo)論”考試（課程論文） （題目 對(duì)網(wǎng)絡(luò)信息安全的認(rèn)識(shí)）課 程 名 稱 專業(yè)導(dǎo)論 考 試 方 式 論文 姓 名 李俊威 學(xué) 號(hào) 3108001265 專 業(yè) 網(wǎng)絡(luò)工程 成 績(jī) 指 導(dǎo) 教 師 程良倫教授 學(xué)習(xí)時(shí)間：2008年10月6日至2008年12月7日摘要：該論文是我通過(guò)電子郵件，網(wǎng)絡(luò)的安全與效率，威脅網(wǎng)絡(luò)的手段，網(wǎng)絡(luò)信息安全的常用手段來(lái)闡述我對(duì)網(wǎng)絡(luò)信息安全的認(rèn)知。關(guān)鍵詞：安全電子郵件 Security and efficiency1安全電子郵件解決方案隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的飛速發(fā)展，信息化的浪潮席卷全球。運(yùn)用信息化手段，個(gè)人、企事業(yè)或政府機(jī)構(gòu)可以通過(guò)信息資源的深入開發(fā)和廣泛利用，實(shí)現(xiàn)生產(chǎn)過(guò)程的自動(dòng)化、管理方式的網(wǎng)絡(luò)化、決策支持的智能化和商務(wù)運(yùn)營(yíng)的電子化，有效降低成本，提高生產(chǎn)效率，擴(kuò)大市場(chǎng)，不斷提高生產(chǎn)、經(jīng)營(yíng)、管理、決策的效率和水平，進(jìn)而提高整個(gè)單位的經(jīng)濟(jì)效益和競(jìng)爭(zhēng)力。在這之中，電子郵件起到越來(lái)越重要的作用。然而，電子郵件作為當(dāng)前和未來(lái)網(wǎng)絡(luò)使用者的重要溝通方式，不可避免地涉及到眾多的敏感數(shù)據(jù)，如財(cái)務(wù)報(bào)表、法律文件、電子訂單或設(shè)計(jì)方案等等，通過(guò)傳統(tǒng)電子郵件方式的工作方式，由于互聯(lián)網(wǎng)的開放性、廣泛性和匿名性，會(huì)給電子郵件帶來(lái)很多安全隱患： 用戶名和口令的弱點(diǎn)：傳統(tǒng)的郵件系統(tǒng)是以用戶名和口令的方式進(jìn)行身份認(rèn)證的，由于用戶名和口令方式本身的不安全因素：口令弱、明文傳輸容易被竊聽等造成整個(gè)郵件系統(tǒng)的安全性下降。 信息的機(jī)密性：郵件內(nèi)容包括很多商業(yè)或政府機(jī)密，必需保證郵件內(nèi)容的機(jī)密性。然而，傳統(tǒng)的郵件系統(tǒng)是以明文的方式在網(wǎng)絡(luò)上進(jìn)行流通，很容易被不懷好意的人非法竊聽，造成損失；而且郵件是以明文的方式存放在郵件服務(wù)器中的，郵件管理員可以查看所有的郵件，根本沒有任何對(duì)郵件機(jī)密性的保護(hù)。 信息的完整性：由于傳統(tǒng)的郵件發(fā)送模式，使得郵件中的敏感信息和重要數(shù)據(jù)在傳輸過(guò)程中有可能被惡意篡改，使得郵件接受者不能收到完整的郵件信息而造成不必要的損失。 信息的不可抵賴性：由于傳統(tǒng)的郵件工作模式（用戶名口令、明文傳輸?shù)龋?，?duì)郵件沒有任何的保護(hù)措施，使得郵件發(fā)送和接受的雙方都不能肯定郵件的真實(shí)性和機(jī)密完整性，同時(shí)雙方都可以否認(rèn)對(duì)郵件的發(fā)送和接受，很難在出現(xiàn)事故的時(shí)候追查某一方的責(zé)任。 針對(duì)普通郵件存在的安全隱患，北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司（iTruschina）推出了基于PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）技術(shù)的、易于實(shí)施的、完善的安全電子郵件解決方案。采用天威誠(chéng)信的產(chǎn)品和服務(wù)，構(gòu)架客戶的CA認(rèn)證系統(tǒng)（CA：Certification Authority，認(rèn)證中心）或?yàn)榭蛻籼峁┼]件證書服務(wù)，為電子郵件用戶發(fā)放數(shù)字證書，郵件用戶使用數(shù)字證書發(fā)送加密和簽名郵件，來(lái)保證用戶郵件系統(tǒng)的安全： 使用郵件接收者的數(shù)字證書（公鑰）對(duì)電子郵件的內(nèi)容和附件進(jìn)行加密，加密郵件只能由接收者持有的私鑰才能解密，只有郵件接收者才能閱讀，確保電子郵件在傳輸?shù)倪^(guò)程中不被他人閱讀、截取和篡改； 使用郵件發(fā)送者的數(shù)字證書（私鑰）對(duì)電子郵件進(jìn)行數(shù)字簽名，郵件接收者通過(guò)驗(yàn)證郵件的數(shù)字簽名以及簽名者的證書，來(lái)驗(yàn)證郵件是否被篡改，并判斷發(fā)送者的真實(shí)身份，確保電子郵件的真實(shí)性和完整性，并防止發(fā)送者抵賴。天威誠(chéng)信安全電子郵件解決方案考慮用戶的使用習(xí)慣，提供兩種不同的解決方案： 在采用傳統(tǒng)的郵件客戶端軟件（如Outlook、Outlook Express、Netscape messenger和Notes等）收發(fā)電子郵件時(shí)，郵件客戶端已經(jīng)集成了安全郵件的應(yīng)用，用戶獲取數(shù)字證書后，對(duì)郵件客戶端進(jìn)行安全設(shè)置，就能夠發(fā)送安全電子郵件。 對(duì)于通過(guò)Web方式收發(fā)郵件（簡(jiǎn)稱為Webmail），天威誠(chéng)信提供安全Webmail產(chǎn)品，電子郵件系統(tǒng)配置安全Webmail后，將為Webmail增加安全Web郵件的功能，用戶通過(guò)Web方式就能夠收發(fā)加密簽名郵件。2網(wǎng)絡(luò)的安全與效率企業(yè)建網(wǎng)站，最痛苦的是莫過(guò)于有限的經(jīng)費(fèi)和無(wú)限的性能要求。網(wǎng)站設(shè)計(jì)者對(duì)硬件得投入總是慎之有慎：小型機(jī)太貴了，不如用PC做負(fù)載均衡；對(duì)外提供的服務(wù)多，還是多買幾臺(tái)PC，每?jī)膳_(tái)提供一種服務(wù)，整體性能和可靠性都有保證；安全不能不考慮，防火墻至少要有一臺(tái)。北京某企業(yè)門戶網(wǎng)站正是按照這個(gè)想法開始建設(shè)，決定提供WEB、FTP下載、在線點(diǎn)播等服務(wù)，并預(yù)定了開通日期。 網(wǎng)站系統(tǒng)聯(lián)調(diào)階段，猛然發(fā)現(xiàn)，當(dāng)初考慮欠妥，只有一個(gè)公網(wǎng)的IP地址能用，要提供的服務(wù)卻有一大堆。而且，大部分防火墻所宣稱的“負(fù)載均衡”，并非是網(wǎng)絡(luò)層的“負(fù)載均衡”，而是基于代理，只能支持WEB，不支持其他業(yè)務(wù)，尤其是網(wǎng)站苦心開發(fā)多年，賴以生存的特色服務(wù)。若不是意外發(fā)現(xiàn)了高陽(yáng)信安的DS2000-Biz防火墻，當(dāng)初做設(shè)計(jì)的小伙子就面臨下崗了。 高陽(yáng)信安的DS2000-Biz防火墻外表上和大多數(shù)防火墻沒有多大區(qū)別，提供了外網(wǎng)、內(nèi)網(wǎng)接口，對(duì)外提供服務(wù)的服務(wù)器都放置在DMZ區(qū)。說(shuō)明書很簡(jiǎn)潔，內(nèi)容卻非常詳細(xì)，按照手冊(cè)的要求略作配置，防火墻就工作了。 簡(jiǎn)單的設(shè)定了幾條安全規(guī)則后，注意力集中在了解決網(wǎng)絡(luò)地址問(wèn)題上?？墒?，在DS2000-Biz的設(shè)置軟件中，可以發(fā)現(xiàn)，問(wèn)題的解決異乎尋常的簡(jiǎn)單。首先將公網(wǎng)的IP地址賦予外網(wǎng)端口。然后，設(shè)置動(dòng)態(tài)地址轉(zhuǎn)換，將內(nèi)網(wǎng)的地址段映射到公網(wǎng)的IP地址，內(nèi)網(wǎng)的用戶已經(jīng)能正常的訪問(wèn)INTERNET了。將公網(wǎng)的IP地址的80端口分配給WWW服務(wù)，依次填入2臺(tái)WWW服務(wù)器在DMZ區(qū)的IP地址，找一臺(tái)筆記本電腦撥號(hào)上網(wǎng)，用瀏覽器訪問(wèn)一下，正常。在后臺(tái)可以看到，2臺(tái)WWW服務(wù)器都工作了，負(fù)載基本相同。 FTP服務(wù)器的負(fù)載均衡設(shè)置與此相識(shí)，很簡(jiǎn)單。同樣測(cè)試了一下，工作情況良好。其實(shí)，F(xiàn)TP服務(wù)的負(fù)載均衡很難實(shí)現(xiàn)。因?yàn)閃WW服務(wù)是無(wú)連接的，每個(gè)請(qǐng)求發(fā)向哪一臺(tái)服務(wù)器沒有影響；但FTP服務(wù)不同，防火墻必須 “記住”每一條連接，并“保持”住。DS2000-Biz防火墻在這方面的智能化程度較高，用戶省去許多煩惱。 解決了FTP服務(wù)器之后，在線點(diǎn)播服務(wù)也順利實(shí)現(xiàn)。DS2000-Biz防火墻通過(guò)復(fù)用唯一的一個(gè)公網(wǎng)IP地址，全部實(shí)現(xiàn)了公司內(nèi)部上網(wǎng)和對(duì)外提供多種服務(wù)的要求，而且，相互之間絲毫沒有沖突，基于網(wǎng)絡(luò)層的“負(fù)載均衡”工作流暢，一切是如此輕松。 一切安裝完畢后，安全檢測(cè)必不可少。PIN掃描、SYN 攻擊、IP碎片攻擊，無(wú)論是WIN NT還是最近流行的LINUX都該倒下了，可是處于DS2000-Biz防火墻保護(hù)下的服務(wù)器居然沒有反應(yīng)。再輪番用ISS、SAINT掃描、模擬攻擊，依然沒有發(fā)現(xiàn)漏洞。防火墻的狀態(tài)監(jiān)測(cè)可以清楚的看到每一次攻擊的行為，使在一旁做模擬攻擊的哥們很泄氣。 做性能測(cè)試沒有成功，也幾乎不可能成功。當(dāng)6臺(tái)服務(wù)器都處于滿負(fù)荷工作狀態(tài)時(shí)，DS2000-Biz防火墻顯然還游刃有余，丟包率為0%。將來(lái)投入實(shí)際使用時(shí)，網(wǎng)絡(luò)瓶頸只會(huì)是數(shù)據(jù)專線。 “工欲善其事，必先利其器”， 借助高陽(yáng)信安的DS2000-Biz防火墻，企業(yè)門戶網(wǎng)站的安全與效率二者得兼，網(wǎng)管員完全放心了，今后只需要集中精力考慮網(wǎng)站的自身發(fā)展了。3威脅計(jì)算機(jī)網(wǎng)絡(luò)信息的手段 計(jì)算機(jī)網(wǎng)絡(luò)安全是保證網(wǎng)絡(luò)正常運(yùn)行、維護(hù)網(wǎng)上正常秩序、提高網(wǎng)絡(luò)效率的基本前提。網(wǎng)絡(luò)信息安全主要包括信息的保密性和完整性。網(wǎng)絡(luò)信息面臨被竊密和破壞的威脅。 通信偵察指在信息傳輸過(guò)程中，網(wǎng)絡(luò)破壞者采用通信偵察設(shè)備對(duì)無(wú)線電信號(hào)進(jìn)行偵收（偵聽）、對(duì)有線電信號(hào)進(jìn)行竊聽，獲得有用信息。 電磁截獲指電子設(shè)備在工作過(guò)程中，電磁波會(huì)向四周輻射，如果被網(wǎng)絡(luò)破壞者截獲，就會(huì)造成信息泄密；近來(lái)的研究已發(fā)展到可在1000 m以外接受計(jì)算機(jī)顯示器上輻射的電磁波信息并用普通電視復(fù)現(xiàn)這些信息。 介入瀏覽指網(wǎng)絡(luò)破壞者對(duì)存貯在計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行檢索和查看，以竊取有用信息。 網(wǎng)絡(luò)信息被破壞可通過(guò)通信干擾、病毒介入、黑客侵襲和實(shí)體破壞等手段來(lái)實(shí)施。 通信干擾指在信息傳輸過(guò)程中，網(wǎng)絡(luò)破壞者將在通信偵察的基礎(chǔ)上，采用無(wú)用信號(hào)對(duì)網(wǎng)絡(luò)系統(tǒng)中有用信號(hào)進(jìn)行干擾壓制；特別是無(wú)線電信號(hào)容易受通信干擾設(shè)備的干擾，無(wú)法接受到有用信號(hào)而造成信息的中斷破壞。 病毒介入指計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)系統(tǒng)后，影響網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，造成網(wǎng)絡(luò)信息的破壞。輕者占用存儲(chǔ)空間，影響系統(tǒng)的工作效率，重者毀掉重要數(shù)據(jù)，甚至刪除所有數(shù)據(jù)，導(dǎo)致整個(gè)系統(tǒng)癱瘓。 黑客侵襲指網(wǎng)絡(luò)破壞者對(duì)計(jì)算機(jī)的數(shù)據(jù)進(jìn)行修改、刪除或安插假信息、假命令，可以很容易地造成信息破壞。 實(shí)體破壞指網(wǎng)絡(luò)破壞者采用暴力手段摧毀網(wǎng)絡(luò)系統(tǒng)實(shí)體，造成網(wǎng)絡(luò)信息的徹底破壞；實(shí)體的破壞還可能由于可靠性、人為操作、自然災(zāi)害（如雷電、火險(xiǎn)、水災(zāi)、地震等）對(duì)系統(tǒng)構(gòu)成嚴(yán)重威脅；雷電是電子時(shí)代的一大公害，他產(chǎn)生的強(qiáng)電磁脈沖能燒毀電子設(shè)備元器件。4網(wǎng)絡(luò)信息安全的常用手段 網(wǎng)絡(luò)信息安全技術(shù)通常從防止信息竊密和防止信息破壞2方面來(lái)考慮。 (1) 通信反偵察 網(wǎng)絡(luò)在傳輸信息過(guò)程中很容易被網(wǎng)絡(luò)破壞者偵收，為了防止這一點(diǎn)，有線電通信常采用光纜和可防竊聽的保密電纜線路等；無(wú)線電通信則通常采用擴(kuò)頻技術(shù)、悴發(fā)傳輸技術(shù)、毫米波和激光通信技術(shù)等，這幾種通信手段都具有強(qiáng)的抗截獲能力和抗干擾能力。 (2) 防電磁泄露 計(jì)算機(jī)系統(tǒng)電磁輻射泄露也會(huì)使信息失密，因此，通常采用機(jī)房屏蔽和設(shè)備屏蔽技術(shù)來(lái)抑制和防護(hù)電磁輻射泄漏。機(jī)房屏蔽是用屏蔽室對(duì)計(jì)算機(jī)系統(tǒng)實(shí)施屏蔽。屏蔽性能最好的是采用實(shí)體的鋼和鋼板的雙層屏蔽以及雙層間絕緣的屏蔽室。設(shè)備屏蔽，比如為防止視頻顯示器電磁輻射，在其玻璃上噴涂一層導(dǎo)電薄膜，在玻璃周圍用導(dǎo)電條將導(dǎo)電薄膜與機(jī)殼相連接地，達(dá)到屏蔽電磁場(chǎng)的效果。另外，還要從設(shè)備的研制和生產(chǎn)上加以考慮（如改善電路布局、搞好電源線路和信號(hào)線路濾波等）電子設(shè)備電磁輻射的防護(hù)和抑制。 (3) 防火墻技術(shù) 防火墻是目前所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的方法，而且防火墻技術(shù)還屬于新興技術(shù)，95%的入侵者無(wú)法突破防火墻。防火墻的主要功能是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法往返訪問(wèn)，他通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用來(lái)防范內(nèi)外部的非法訪問(wèn)。 防火墻是阻止網(wǎng)絡(luò)入侵者對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)的任何設(shè)備。此設(shè)備通常是軟件和硬件的組合體，他通常根據(jù)一些規(guī)則來(lái)挑選想要或不想要的地址。防火墻可用軟件構(gòu)成，也可由硬件或軟、硬件共同構(gòu)成。軟件部分可以是專利軟件、共享軟件或免費(fèi)軟件，而硬件部分是指能支持軟件部分運(yùn)行的任何硬件。網(wǎng)絡(luò)中的防火墻有2種：包過(guò)濾器和應(yīng)用網(wǎng)關(guān)。 包過(guò)濾器主要工作于OSI協(xié)議棧的網(wǎng)絡(luò)層和運(yùn)輸層，常實(shí)現(xiàn)于路由器上，一般基于IP包信息（源IP地址、目的IP地址、TCPUDP端口）制定過(guò)濾規(guī)則。由IP包信息可以制定包過(guò)濾器的邏輯過(guò)濾規(guī)則，封鎖外部網(wǎng)上的用戶與內(nèi)部網(wǎng)上重要站點(diǎn)的連接或與某些端口的連接，也可以對(duì)內(nèi)封鎖與外部某些IP地址的連接。這種防火墻技術(shù)實(shí)現(xiàn)簡(jiǎn)單，易于配置，但也有其局限性，如過(guò)濾規(guī)則的制定較復(fù)雜且一般路由器不具有任何記錄功能，無(wú)法防范基于高層協(xié)議的威脅。應(yīng)用級(jí)網(wǎng)關(guān)運(yùn)行代理服務(wù)程序，將所有跨越防火墻的通信鏈路分成2段，實(shí)現(xiàn)了內(nèi)外信息的隔離，并對(duì)內(nèi)部網(wǎng)的IP地址空間進(jìn)行映像，屏蔽了內(nèi)部的拓?fù)浣Y(jié)構(gòu)和主機(jī)IP地址，限制了網(wǎng)外用戶的未授權(quán)訪問(wèn)和黑客的非法入侵，提高了安全性。其不足之處是對(duì)不同的服務(wù)需配置專用代理服務(wù)軟件，且需要較強(qiáng)的硬件支持，網(wǎng)絡(luò)的開放性較差。 電路網(wǎng)關(guān)主要功能是監(jiān)視通信雙方的TCP會(huì)話握手信號(hào)，若合法就為雙方建立連接，其后不再進(jìn)行過(guò)濾直接進(jìn)行轉(zhuǎn)發(fā)，通常這種技術(shù)不以獨(dú)立的產(chǎn)品出現(xiàn)而與其他網(wǎng)關(guān)結(jié)合在一起。 (4) 密鑰管理 網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行效率的高低與密鑰管理密切相關(guān)，若對(duì)于DES和RSA密碼體制丟失了密鑰，則整個(gè)網(wǎng)絡(luò)安全系統(tǒng)變成為虛有。密鑰管理由密鑰的產(chǎn)生、分配和安裝3個(gè)部分組成。 (5) 通信保密 在計(jì)算機(jī)網(wǎng)絡(luò)中，通信保密分為鏈路加密、結(jié)點(diǎn)加密和端對(duì)端加密。在這3種方式中，端端加密從成本、靈活性和保密性方面看是優(yōu)于其他兩種方式的。端端加密指的是在發(fā)送結(jié)點(diǎn)加密數(shù)據(jù)，在中間結(jié)點(diǎn)傳送加密數(shù)據(jù)（數(shù)據(jù)不以明文出現(xiàn)），而在接受結(jié)點(diǎn)解密數(shù)據(jù)。 (6) 文件保密 網(wǎng)絡(luò)中的重要資源是文件，網(wǎng)絡(luò)安全系統(tǒng)一般采用口令、訪問(wèn)控制等安全措施，但這些措施抗?jié)B透性不強(qiáng)，容易被偽造、假冒，從而使非法用戶侵入文件系統(tǒng)，針對(duì)這種