計算機網(wǎng)絡(luò)安全論文2011.11

1、分類號： TP319 秦皇島職業(yè)技術(shù)學院計算機網(wǎng)絡(luò)安全學生姓名學生姓名 劉建明劉建明專專 業(yè)業(yè) 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全班班 級級10901021090102指導教師指導教師 趙鳳霞趙鳳霞指導教師職稱指導教師職稱 講師講師摘要摘要計算機網(wǎng)絡(luò)安全問題，直接關(guān)系到一個國家的政治、軍事、經(jīng)濟等領(lǐng)域的安全和穩(wěn)定。目前黑客猖獗，平均每 18 秒鐘世界上就有一次黑客事件發(fā)生。因此，提高對網(wǎng)絡(luò)安全重要性的認識，增強防范意識，強化防范措施，是保證信息產(chǎn)業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性，以及網(wǎng)絡(luò)

2、的安全管理。進一步闡述了網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全設(shè)計，包括對網(wǎng)絡(luò)拓撲結(jié)構(gòu)的分析和對網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術(shù)的分類及 RSA 算法作了簡要的分析，論述了其安全體系的構(gòu)成。最后分析網(wǎng)絡(luò)安全技術(shù)的研究現(xiàn)狀和動向。關(guān)鍵詞關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻目 錄摘要摘要 .2 2目目 錄錄 .3 3第一章第一章 引引 言言 .4 41.11.1 概述概述 .4 41.21.2 網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景 .4 41.31.3 計算機網(wǎng)絡(luò)安全的含義

3、計算機網(wǎng)絡(luò)安全的含義 .4 4第二章第二章 網(wǎng)絡(luò)安全初步分析網(wǎng)絡(luò)安全初步分析 .6 62.12.1 網(wǎng)絡(luò)安全的必要網(wǎng)絡(luò)安全的必要 .6 62.22.2 網(wǎng)絡(luò)的安全管理網(wǎng)絡(luò)的安全管理 .6 62.2.12.2.1 安全管理原則安全管理原則 .6 62.2.22.2.2 安全管理的實現(xiàn)安全管理的實現(xiàn) .6 6第三章第三章 網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全設(shè)計 .7 73.13.1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析 .7 73.23.2 網(wǎng)絡(luò)攻擊淺析網(wǎng)絡(luò)攻擊淺析 .7 7第四章第四章 防火墻技術(shù)防火墻技術(shù) .8 84.14.1 防火墻的定義和由來防火墻的定義和由來 .8 84.24.2 防火

4、墻的選擇防火墻的選擇 .8 84.34.3 加密技術(shù)加密技術(shù) .8 8結(jié)束語結(jié)束語 .9 9致致 謝謝 .1010參參 考考 文文 獻獻 .1111第一章引 言1.1 概述21 世紀全世界的計算機都將通過 Internet 聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當人類步入 21 世紀這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。 一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)

5、時，應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。 網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。 信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政

6、府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。 1.2 網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景目前計算機網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會帶來了巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。認真分析網(wǎng)絡(luò)面臨的威脅，我認為計算機網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術(shù)防范相結(jié)合的工程。1.3 計算機網(wǎng)絡(luò)安全的含義計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認識和要求

7、也就不同。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。第二章 網(wǎng)絡(luò)安全初步分析2.1 網(wǎng)絡(luò)安全的必要隨著計算機技術(shù)的不斷發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)成為信息時代的重要特征，人們稱它為信息高速公路。網(wǎng)絡(luò)是計算機技術(shù)和通信技術(shù)的產(chǎn)物，是應(yīng)社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我國近年來計算機網(wǎng)絡(luò)發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長的時間里

8、，計算機網(wǎng)絡(luò)一定會得到極大的發(fā)展，那時將全面進入信息時代。正因為網(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。2.2 網(wǎng)絡(luò)的安全管理面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密設(shè)施外，還必須花大力氣加強網(wǎng)絡(luò)的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡(luò)安全所必須考慮的基本問題。2.2.1 安全管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于 3 個原則：多人負責原則每一項與安全有關(guān)的活動，都必須有兩人或多人在場。任期有限原則一般來講，任何人最好不要長期擔任與安全有關(guān)的職務(wù)，以免使他認為這個職務(wù)是專有的或永久

9、性的。職責分離原則除非經(jīng)系統(tǒng)主管領(lǐng)導批準，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關(guān)的事情。2.2.2 安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是：根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。根據(jù)確定的安全等級，確定安全管理范圍。制訂相應(yīng)的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。第三章 網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全設(shè)計3.1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析網(wǎng)絡(luò)的拓撲結(jié)構(gòu)首先應(yīng)因地制宜，根據(jù)組網(wǎng)單位的實際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網(wǎng)

10、計算機處于同一網(wǎng)段的安全控制域中。局域網(wǎng)中的拓撲結(jié)構(gòu)主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問/沖突檢測（Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 IEEE802.3 規(guī)范,利用這一方法建成的網(wǎng)絡(luò),我們稱之為以太網(wǎng),在以太網(wǎng)的通信方式中,每一個工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù),將以太網(wǎng)卡(支持 IEEE802.3 規(guī)范的網(wǎng)卡)設(shè)置為混雜模式,網(wǎng)卡便會將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū),以供系統(tǒng)和程序調(diào)用.但是入侵者還是可能通過割開網(wǎng)線,非法接入等手段來偵聽網(wǎng)絡(luò),截獲

11、數(shù)據(jù),根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心,因此布線要杜絕經(jīng)過不可靠的區(qū)域,以防止非法接入,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機的介質(zhì)訪問控制器(MAC)地址,該地址為 6 個字節(jié),是用來區(qū)分網(wǎng)絡(luò)設(shè)備的唯一標志.此外,對于每一個接入網(wǎng)絡(luò)中的計算機都必須先登記后連線接入,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的 MAC 地址便發(fā)出警告,網(wǎng)管人員立即查找該設(shè)備,因此在局域網(wǎng)中應(yīng)該采用以下三種組網(wǎng)方式來加強安全防范.網(wǎng)絡(luò)分段 以交換式集線器代替共享式集線器 VLAN(虛擬局域網(wǎng))的劃分 基于以上拓撲結(jié)構(gòu)的連接方式,用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段,在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收,為了防止網(wǎng)

12、絡(luò)的入侵嗅探,可以把網(wǎng)絡(luò)分段,隔離網(wǎng)絡(luò)通信合用橋接器,交換器,路由器,應(yīng)用網(wǎng)關(guān)都可以實現(xiàn)各網(wǎng)段的通信隔離,同時將多個局域網(wǎng)進行互聯(lián),拓展網(wǎng)絡(luò)形成廣域網(wǎng),還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)但對于網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全技術(shù)是加強對外界的攻擊的防范和應(yīng)策.3.2 網(wǎng)絡(luò)攻擊淺析攻擊是指非授權(quán)行為。攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實施的攻擊級別以來于擁護采取的安全措施。第四章 防火墻技術(shù)4.1 防火墻的定義和由來網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作

13、環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻處于 5 層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。4.2 防火墻的選擇總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(

14、TCO)不應(yīng)該超過受保護網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為 10 萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過 10 萬元。當然,對于關(guān)鍵部門來說,其所造成的負面影響和連帶損失也應(yīng)考慮在內(nèi)。4.3 加密技術(shù)信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。 4.3.1 對稱加密技術(shù)在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。4.3.2 非

15、對稱加密/公開密鑰加密 在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰） 。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學難題之上，是計算機復雜性理論發(fā)展的必然結(jié)果。最具有代表性是 RSA 公鑰密碼體制。結(jié)束語互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人民不可或缺的工具

16、，其發(fā)展速度也快得驚人，以此而來的攻擊破壞可謂層出不窮，為了有效的防止入侵把損失降到最低，我們必須時刻注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護，讓我們的網(wǎng)絡(luò)體系完善可靠，在 INTERNET 為我們提供了大量的機會的同時,也在安全性方面帶給我們嚴峻的挑戰(zhàn).我們不能因為害怕挑戰(zhàn)而拒絕它,否則會得不償失.信息安全是一個國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化

17、的發(fā)展將起到非常重要的作用。網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，我們致力于結(jié)合本國家的網(wǎng)絡(luò)特點,制定妥善的網(wǎng)絡(luò)安全策略,將 INTERNET 的不安全性降至現(xiàn)有條件下的最低點,讓它為我們的工作和現(xiàn)代化建設(shè)更好的服務(wù).致 謝在論文即將完成之際，回顧緊張但又充實的學習和設(shè)計過程，本人在此向所有關(guān)心我的及幫助我的老師和同學們致以最真誠的感謝。在本次畢業(yè)設(shè)計中，我從指導老師趙老師身上學到了很多東西。他認真負責的工作態(tài)度，嚴謹?shù)闹螌W精神和深厚的理論水平都使我收益匪淺。他無論在理論上還是在實踐中，都給與我很大的幫助，使我得到很大的提高，這對于我以后的工作和學習都有一種巨大的幫助，在此感謝他耐心的輔導。在撰寫論文階段，他幾次審閱我們的論文，提出了許多寶貴意見，沒有他的指導，我們就不能較好的完成的任務(wù)。另外，我還要感謝在這幾年來對我有所教導的老師，他們