網絡安全方面的論文

網絡安全方面的論文網絡安全方面的論文網絡安全方面的論文網絡安全方面的論文通過學習網絡攻擊透析與防御,我對網絡攻擊有了新的了解。隨著計算機網絡的發(fā)展,其開放性,共享性,互連程度擴大,網絡的重要性與對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立與采取的技術與管理的安全保護,保護計算機硬件、軟件數據不因偶然與惡意的原因而遭到破壞、更改與泄漏”,上述計算機安全的定義包含物理安全與邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,就是指對信息的保密性、完整性與可用性的保護,而網絡安全性的含義就是信息安全的引申,即網絡安全就是對網絡信息保密性、完整性與可用性的保護。在網絡與應用系統保護方面采取了安全措施,每個網絡/應用系統分別部署了防火墻、訪問控制設備等安全產品,采取了備份、負載均衡、硬件冗余等安全措施;2、實現了區(qū)域性的集中防病毒,實現了病毒庫的升級與防病毒客戶端的監(jiān)控與管理;3、安全工作由各網絡/應用系統具體的維護人員兼職負責,安全工作分散到各個維護人員;4、應用系統賬號管理、防病毒等方面具有一定流程,在網絡安全管理方面的流程相對比較薄弱,需要進一步進行修訂;5、員工安全意識有待加強,日常辦公中存在一定非安全操作情況,終端使用與接入情況復雜。一、網絡的開放性帶來的安全問題眾所周知,Internet就是開放的,而開放的信息系統必然存在眾多潛在的安全隱患,黑客與反黑客、破壞與反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題,各種安全機制、策略與工具被研究與應用。然而,即使在使用了現有的安全工具與機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:(一)每一種安全機制都有一定的應用范圍與應用環(huán)境防火墻就是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但就是對于內部網絡之間的訪問,防火墻往往就是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為與內外勾結的入侵行為,防火墻就是很難發(fā)覺與防范的。(二)安全工具的使用受到人為因素的影響一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者與普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統就是否進行了合理的設置,但就是這些掃描工具基本上也只就是基于一種缺省的系統安全策略進行比較,針對具體的應用環(huán)境與專門的應用需求就很難判斷設置的正確性。(三)系統的后門就是傳統安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題,多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4、0以前一直存在,它就是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻就是無法發(fā)覺的,因為對于防火墻來說,該入侵行為的訪問過程與正常的WEB訪問就是相似的,唯一區(qū)別就是入侵訪問在請求鏈接中多加了一個后綴。網絡安全方面的論文全文共3頁，當前為第1頁。(四)只要有程序,就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現與公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。網絡安全方面的論文全文共3頁，當前為第1頁。(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現

然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發(fā)現以前未知的安全問題,這就使得它們對新出現的安全問題總就是反應太慢。當安全工具剛發(fā)現并努力更正某方面的安全問題時,其她的安全問題又出現了。因此,黑客總就是可以使用先進的、安全工具不知道的手段進行攻擊。二、網絡安全的體系架構網絡安全的任何一項工作,都必須在網絡安全組織、網絡安全策略、網絡安全技術、網絡安全運行體系的綜合作用下才能取得成效。首先必須有具體的人與組織來承擔安全工作,并且賦予組織相應的責權;其次必須有相應的安全策略來指導與規(guī)范安全工作的開展,明確應該做什么,不應該做什么,按什么流程與方法來做;再次若有了安全組織、安全目標與安全策略后,需要選擇合適的安全技術方案來滿足安全目標;最后在確定了安全組織、安全策略、安全技術后,必須通過規(guī)范的運作過程來實施安全工作,將安全組織、安全策略與安全技術有機地結合起來,形成一個相互推動、相互聯系地整體,通過實際的工程運作與動態(tài)的運營維護,最終實現安全工作的目標。完善的網絡安全體系應包括安全策略體系、安全組織體系、安全技術體系、安全運作體系。三、網絡安全的主要技術

安全就是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發(fā)展而發(fā)展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測就是網絡安全的重要防線。(一)認證對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問她們無權查瞧的信息。(二)數據加密加密就就是通過一種方式使信息變得混亂,從而使未被授權的人瞧不懂它。主要存在兩種主要的加密類型:私匙加密與公匙加密。1、私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創(chuàng)建、加密與平共處送一條有效的消息。這種加密方法的優(yōu)點就是速度很快,很容易在硬件與軟件中實現。2、公匙加密。公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密與解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點就是它們通常就是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。防火墻就是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而就是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊,其中最流行的技術有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾與代理服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力。此外,現今良好的防火墻還采用了VPN、檢視與入侵檢測技術。防火墻的安全控制主要就是基于IP地址的,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現了粗粒度的訪問控制,也不能與企業(yè)內部使用的其她安全機制(如訪問控制)集成使用;另外,防火墻難于管理與配置,由多個系統(路由器、過濾器、代理服務器、網關、保壘主機)組成的防火墻,管理上難免有所疏忽。(四)入侵檢測系統網絡安全方面的論文全文共3頁，當前為第2頁。入侵檢測技術就是為保證計算機系統的安全而設計與配置的一種能夠及時發(fā)現并報告系統中未授權或異?，F象的技術,就是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡與基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。網絡安全方面的論文全文共3頁，當前為第2頁。五)虛擬專用網(VPN)技術VPN就是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術與隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密匙管理技術(KeyManagement)與使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP與Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密與數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN與撥號VPN;按隧道協議可分為第二層與第三層的;按發(fā)起方式可分成客戶發(fā)起的與服務器發(fā)起的。(六)其她網絡安全技術

1.智能卡技術,智能卡技術與加密技術相近,其實智能卡就就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。2.安全脆弱性掃描技術,它為能針對網絡分析系統當前的設置與防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。3.網絡數據存儲、備份及容災規(guī)劃,它就是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。4.IP盜用問題的解決。在路由器上捆綁IP與MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC就是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。5.Web,Email,BBS的安全監(jiān)測系統。在網絡的www服務器、Email服務器等中使用網絡安全監(jiān)測系統,實時跟蹤、監(jiān)視網絡,截獲Internet網上傳輸的內容,并將其還原