網(wǎng)絡(luò)技術(shù)基礎(chǔ)(2010040305023).doc

網(wǎng)絡(luò)安全問題隨著計算機技術(shù)的迅速發(fā)展日益突出，從網(wǎng)絡(luò)運行和管理者角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說, 凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。既包括信息系統(tǒng)本身的安全問題, 也有物理的和邏輯的技術(shù)措施, 一種技術(shù)只能解決一方面的問題, 而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能完好、實時地保證信息的完整性和確證性, 保證網(wǎng)絡(luò)的安全。這也是 21世紀網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。一、計算機網(wǎng)絡(luò)安全存在的問題1 網(wǎng)絡(luò)入侵指具有熟練習的編寫和調(diào)試計算機程序的技巧并使用這些技巧來獲得非法或未授法的網(wǎng)絡(luò)或文件訪問, 入侵進入他方內(nèi)部網(wǎng)的行為。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲權(quán)限、寫權(quán)限以及訪問其他存儲內(nèi)容的權(quán)限; 或者是作為進一步進入其他系統(tǒng)的跳板 (俗稱 /肉雞0) ; 或者惡意破壞這個系統(tǒng), 使其毀壞而喪失服務(wù)能力。2后門和木馬程序從最早計算機被入侵開始, 黑客們就已經(jīng)發(fā)展了“ 后門”這門技術(shù), 利用這門技術(shù), 他們可以再次進入系統(tǒng)。后門的功能主要有: 使管理員無法阻止種植者再次進入系統(tǒng); 使種植者在系統(tǒng)中不易被發(fā)現(xiàn); 使種植者進入系統(tǒng)花費最少時間。木馬, 又稱為特洛伊木馬, 是一類特殊的后門程序。英文叫做“T ro jan horse”, 其名稱取自希臘神話的特洛伊木馬記,它是一種基于遠程控制的黑客工具, 具有隱蔽性和非授權(quán)性的特點。木馬里一般有兩個程序, 一個是服務(wù)器程序, 一個是控制器程序。如果一臺電腦被安裝了木馬服務(wù)器程序, 那么,黑客就可以使木馬控計算機病毒指編制或者在計算機程序中插入的破壞計算。3 計算機病毒和蠕蟲計算機功能或者破壞數(shù)據(jù), 影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。與傳統(tǒng)的病毒不同, 蠕蟲病毒以計算機為載體, 利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊, 是一種通過網(wǎng)絡(luò)傳統(tǒng)的惡性病毒。它具有病毒的一些共性, 如傳播性, 隱蔽性, 破壞性等等, 同時具有自己的一些特征, 文件寄生 (有的只存在于內(nèi)存中 ), 對網(wǎng)絡(luò)造成拒絕服務(wù), 以及和黑客技術(shù)相結(jié)合等。在產(chǎn)生的破壞性上, 蠕蟲病毒也不是普通病毒所能比擬的, 網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò), 造成網(wǎng)絡(luò)癱瘓。4 DO S(拒絕服務(wù) )攻擊DO S是一種很簡單, 但也是很有效的進攻方式 , 這種進攻方式?jīng)]有方法能夠阻止。它的目的就是拒絕你的服務(wù)訪問,破壞組織的正常運作。最終它會使你的部分 Internet連接和網(wǎng)絡(luò)系統(tǒng)失效 DOS(拒絕服務(wù) )總的來說有兩種實現(xiàn)手段:A、發(fā)送 ping 信息包: 攻擊者可以破壞你的 Interne t連接,例如, 不停的向你的主機發(fā)送 ping信息包, 直到網(wǎng)絡(luò)出現(xiàn)阻塞。這樣就有效的阻止你的主機接收和回應(yīng)合法的請求。B、M ailBomb ing(郵件炸彈 ): 這是 DOS拒絕服務(wù)攻擊的另一種方式。在這種方式下, 攻擊者向你的郵件系統(tǒng)發(fā)送大量的郵件信息。不僅影響了你的帶寬, 同時也致使你的郵件服務(wù)器沒有能力處理其它的郵件。制器程序進入這臺電腦, 通過命令服務(wù)器程序達到控制你的電腦的目的。2 校園網(wǎng)中常用網(wǎng)絡(luò)安全技術(shù)2.1 防火墻防火墻是指處于內(nèi)部網(wǎng)計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)權(quán)限的硬件和軟件的組合，在校園網(wǎng)中使用防火墻可以極大降低網(wǎng)絡(luò)安全威脅。防火墻可以過濾不安全的服務(wù)降低威脅，同時也可以通過設(shè)置過濾規(guī)則直接屏蔽不健康、有危害的網(wǎng)站。 防火墻還可以對網(wǎng)絡(luò)訪問進行監(jiān)控，并記下這些訪問，做出日志記錄，提出網(wǎng)絡(luò)使用的統(tǒng)計信息，在對日志分析時如果認為網(wǎng)絡(luò)存在安全問題，防火墻還可以進行報警，并提供詳細信息防止內(nèi)部信息再次外泄。其次防火墻還可以利用 NAT 技術(shù)隱藏校園網(wǎng)內(nèi)部結(jié)構(gòu)信息，增加網(wǎng)絡(luò)安全性，同時利用 NAT 技術(shù)還可以解決 IP 地址不足的問題。 除上面所說的之外還可以利用防火墻對網(wǎng)絡(luò)內(nèi)部網(wǎng)段進行隔離，降低網(wǎng)絡(luò)安全一旦出現(xiàn)問題時威脅擴散的范圍。需要說明的是，防火墻的功能很強大，但是并不能防范來自校園網(wǎng)內(nèi)部的攻擊，也不能阻止已感染病毒的文件繼續(xù)擴散病毒。2.2 病毒防護軟件校園網(wǎng)中病毒的威脅無處不在，嚴重威脅著我們的文檔和信息安全，而且病毒具有擴散快、破壞性強的特點。為了防范病毒的破壞我們應(yīng)該在每個計算機中都安裝好病毒防護軟件，而且要及時升級病毒庫。 病毒防護程序大多數(shù)是通過病的特征碼來識別病毒的，隨著新病毒的不斷出現(xiàn)，防毒軟件產(chǎn)商會不斷更新病毒特征庫，如果你計算機中的病毒庫沒有升級就無法查殺新出現(xiàn)的病毒。2.3 入侵檢測系統(tǒng)（IDS）入侵檢測技術(shù)是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。IDS 可以自動監(jiān)視并分析用戶、系統(tǒng)活動，找出非授權(quán)的非法使用或合法用戶的越權(quán)操作。 IDS 還可以檢測系統(tǒng)的配置正確性，并找出安全漏洞，并提示用戶處理漏洞。 同時 IDS 還可以識別已知類型的進攻，并向用戶做出報警。 除以上的功能，IDS 還可以實時對檢測到的入侵行為做出反應(yīng)，并可以通過分析發(fā)現(xiàn)新的攻擊模式，還可以評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。2.4 數(shù)字加密和用戶授權(quán)訪問控制技術(shù)為了保證信息的安全在計算機網(wǎng)絡(luò)中還可以使用數(shù)字加密和用戶授權(quán)訪問控制技術(shù)。用戶授權(quán)訪問控制技術(shù)主要用于靜態(tài)信息的保護，可以設(shè)定訪問相應(yīng)信息的用戶類型、使用權(quán)限等屬性。 在校園網(wǎng)中應(yīng)該設(shè)定嚴格的用戶授權(quán)訪問策略，嚴格設(shè)定重要信息可以訪問的用戶類型、用戶名，及訪問時所應(yīng)具有的權(quán)限。數(shù)字加密技術(shù)可以用來保護動態(tài)信息，例如在電子商務(wù)、電子銀行等活動都可以看到數(shù)字加密技術(shù)的應(yīng)用。 數(shù)字加密技術(shù)分為對稱加密和非對稱加密兩種類型。 對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。 不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道3安全技術(shù)的研究現(xiàn)狀與發(fā)展趨勢由于計算機、網(wǎng)絡(luò)和通信技術(shù)的快速發(fā)展, 信息技術(shù)得到了極大的普及與應(yīng)用, 信息安全的內(nèi)涵也在不斷地延伸,從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性, 進而又發(fā)展為/ 攻( 攻擊) 、防( 防范) 、測 ( 檢測)、控( 控制) 、管(管理) 、評(評估)0等多方面的基礎(chǔ)理論和實施技術(shù)。信息安全涉及數(shù)學(xué)、物理、網(wǎng)絡(luò)、通信和計算機諸多學(xué)科的知識。與其他學(xué)科相比, 信息安全的研究更強調(diào)自主性和創(chuàng)新性, 自主性可以避免/ 陷門0, 體現(xiàn)國家主權(quán); 而創(chuàng)新性可以抵抗各種攻擊, 適應(yīng)技術(shù)發(fā)展的需求。本文主要從5 個方面介紹了國內(nèi)外信息安全研究的現(xiàn)狀及發(fā)展趨勢。1 密碼理論與技術(shù)的研究現(xiàn)狀及其發(fā)展趨勢現(xiàn)代信息系統(tǒng)中的信息安全其核心問題是密碼理論及其應(yīng)用。密碼理論與技術(shù)主要包括兩部分, 即基于數(shù)學(xué)的密碼理論與技術(shù)( 包括公鑰密碼、分組密碼、序列密碼、認證碼、數(shù)字簽名、Hash 函數(shù)、身份識別、密鑰管理、PKI 技術(shù)等) 和非數(shù)學(xué)的密碼理論與技術(shù)( 包括信息隱形、量子密碼、基于生物特征的識別理論與技術(shù)) 1。目前最為人們所關(guān)注的實用密碼技術(shù)是 PKI 技術(shù)。國外的 PKI 應(yīng)用已經(jīng)開始。許多網(wǎng)絡(luò)公司正在使用PK I 技術(shù)來保證網(wǎng)絡(luò)的認證、不可否認、加解密和密鑰管理等。盡管如此, 總的說來, PKI 技術(shù)仍在發(fā)展中。IDC 公司的Internet 安全資深分析家認為: PK I 技術(shù)將成為所有應(yīng)用的計算基礎(chǔ)結(jié)構(gòu)的核心部件, 包括那些越出傳統(tǒng)網(wǎng)絡(luò)界限的應(yīng)用。B2B電子商務(wù)活動需要的認證、不可否認等只有 PKI 產(chǎn)品才有能力提供這些功能。目前國際上對非數(shù)學(xué)的密碼理論與技術(shù)非常關(guān)注, 討論也非?；钴S。信息隱藏將在未來網(wǎng)絡(luò)中保護信息免于破壞起到重要作用。信息隱藏是網(wǎng)絡(luò)環(huán)境下把機密信息隱藏在大量信息中不讓對方發(fā)覺的一種方法, 特別是圖像疊加、數(shù)字水印、潛信道、隱匿協(xié)議等的理論與技術(shù)的研究已經(jīng)引起人們的重視?；谏锾卣?比如手形、指紋、語音、視網(wǎng)膜、虹膜、臉形、DNA 等)的識別理論與技術(shù)已有所發(fā)展, 形成了一些理論和技術(shù), 也形成了一些產(chǎn)品, 這類產(chǎn)品往往由于成本高而未被廣泛采用。2 安全協(xié)議理論與技術(shù)的研究現(xiàn)狀及其發(fā)展趨勢安全協(xié)議的研究主要包括兩方面內(nèi)容, 即安全協(xié)議的安全性分析方法研究和各種實用安全協(xié)議的設(shè)計與分析研究。安全協(xié)議的安全性分析方法主要有兩類, 一類是攻擊檢驗方法, 另一類是形式化分析方法, 其中安全協(xié)議的形式化分析方法是安全協(xié)議研究中最關(guān)鍵的研究問題之一, 它的研究始于20 世紀80年代初, 目前正處于百花齊放、充滿活力的狀態(tài)之中。目前, 已經(jīng)提出了大量的實用安全協(xié)議, 有代表性的有:電子商務(wù)協(xié)議、IPSec 協(xié)議、TLS 協(xié)議、簡單網(wǎng)絡(luò)管理協(xié)議( SN M P) 、P GP 協(xié)議、P EM 協(xié)議、S- HT T P 協(xié)議、S/ M IM E 協(xié)議等。實用安全協(xié)議的安全性分析, 特別是電子商務(wù)協(xié)議、IPSec 協(xié)議、T LS 協(xié)議是當前協(xié)議研究中的另一個熱點。典型的電子商務(wù)協(xié)議有 SET 協(xié)議、iKP 協(xié)議等。另外, 值得注意的是 Kailar 邏輯, 它是目前分析電子商務(wù)協(xié)議的最有效的一種形式化方法。在安全協(xié)議的研究中, 除理論研究外, 實用安全協(xié)議研究的總趨勢是走向標準化。3 安全體系結(jié)構(gòu)理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢安全體系結(jié)構(gòu)理論與技術(shù)主要包括: 安全體系模型的建立及其形式化描述與分析, 安全策略和機制的研究, 檢驗和評估系統(tǒng)安全性的科學(xué)方法和準則的建立, 符合這些模型、策略和準則的系統(tǒng)的研制( 比如安全操作系統(tǒng)、安全數(shù)據(jù)庫系統(tǒng)、安全防火墻系統(tǒng)等) 。近年來六國七方(美國國家安全局和國家技術(shù)標準研究所、加、英、法、德、荷) 共同提出/ 信息技術(shù)安全評價通用準則0( CCfor IT SEC) 。CC 綜合了國際上已有的評測準則和技術(shù)標準的精華, 給出了框架和原則要求, 但它仍然缺少綜合解決信息的多種安全屬性的理論模型依據(jù)。CC 標準于 1999年 7 月通過國際標準化組織認可, 確立為國際標準, 編號為ISO/ IEC15408。4 信息對抗理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢信息對抗理論與技術(shù)主要包括 2: 黑客防范體系, 信息偽裝理論與技術(shù), 信息分析與監(jiān)控, 入侵檢測原理與技術(shù), 反擊方法, 應(yīng)急響應(yīng)系統(tǒng), 計算機病毒, 人工免疫系統(tǒng)在反病毒和抗入侵系統(tǒng)中的應(yīng)用等。該領(lǐng)域正在發(fā)展階段, 理論和技術(shù)都很不成熟, 也比較零散, 但它的確是一個研究熱點。目前看到的成果主要是一些產(chǎn)品(比如 IDS、防范軟件、殺病毒軟件等), 攻擊程序和黑客攻擊成功的事件。當前在該領(lǐng)域最引人注目的問題是網(wǎng)絡(luò)攻擊, 該領(lǐng)域的另一個比較熱門的問題是入侵檢測與防范。這方面的研究相對比較成熟, 也形成了系列產(chǎn)品, 典型代表是 IDS 產(chǎn)品。5 網(wǎng)絡(luò)安全與安全產(chǎn)品研究現(xiàn)狀及發(fā)展趨勢網(wǎng)絡(luò)安全是信息安全中的重要研究內(nèi)容之一, 也是當前信息安全領(lǐng)域中的研究熱點。研究內(nèi)容包括: 網(wǎng)絡(luò)安全整體解決方案的設(shè)計與分析、網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。網(wǎng)絡(luò)安全包括物理安全和邏輯安全。物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信、計算機設(shè)備及相關(guān)設(shè)施的物理保護, 免于破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認性和可用性, 它是一個涉及網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員管理等方方面面的事情, 必須綜合考慮。解決網(wǎng)絡(luò)信息安全問題的主要途徑是利用密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。密碼技術(shù)用于隱蔽傳輸信息、認證用戶身份等。網(wǎng)絡(luò)訪問控制技術(shù)用于對系統(tǒng)進行安全保護, 抵抗各種外來攻擊。目前, 在市場上比較流行, 而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類: 防火墻、安全路由器、虛擬專用網(wǎng)(VPN) 、安全服務(wù)器、電子簽證機構(gòu)) ) 用戶認證產(chǎn)品、入侵)CA 和 PK I 產(chǎn)品、安全管理中心、檢測系統(tǒng)( IDS) 、安全數(shù)據(jù)庫和安全操作系統(tǒng)。在上述所有主要的發(fā)展方向和產(chǎn)品種類上, 都包含了密碼技術(shù)的應(yīng)用, 并且是非?；A(chǔ)性的應(yīng)用。很多的安全功能和機制的實現(xiàn)都是建立在密碼技術(shù)的基礎(chǔ)之上, 甚至可以說沒有密碼技術(shù)就沒有安全可言。但是, 我們也應(yīng)該看到密碼技術(shù)與通信技術(shù)、計算機技術(shù)以及芯片技術(shù)的融合正日益緊密, 其產(chǎn)品的分界線越來越模糊,彼此也越來越不能分割。在一個計算機系統(tǒng)中, 很難簡單地劃分某個設(shè)備是密碼設(shè)備, 某個設(shè)備是通信設(shè)備。而這種融合的最終目的還是在于為用戶提供高可信任的、安全的計算機和網(wǎng)絡(luò)信息系統(tǒng)。網(wǎng)絡(luò)安全的解決是一個綜合性問題, 涉及諸多因素, 包括技術(shù)、產(chǎn)品和管理等。信息安全問題已成為社會關(guān)注的焦點。特別是隨著 In-ternet 的普及和電子商務(wù)、政府上網(wǎng)工程的啟動, 一方面, 信息技術(shù)已經(jīng)成為整個社會經(jīng)濟和企業(yè)生存發(fā)展的重要基礎(chǔ),在國計民生和企業(yè)經(jīng)營中的重要性日益凸現(xiàn); 另一方面, 政府主管機構(gòu)企業(yè)和用戶對信息技術(shù)的安全性、穩(wěn)定性、可維護性和可發(fā)展性提出了越來越迫切的要求, 因此, 從社會發(fā)展和國家安全角度來看, 加大發(fā)展信息安全技術(shù)的力度已刻不容緩。4總結(jié)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題將面臨越來越嚴峻的挑戰(zhàn)。 一旦出現(xiàn)安全問題，所造成的損壞也會越來越嚴重。 雖然我們有很多的網(wǎng)絡(luò)安全技術(shù)可以使用，但是網(wǎng)絡(luò)安全問題絕對不是僅僅通過技術(shù)手段就可以解決的；網(wǎng)絡(luò)安全技術(shù)很關(guān)鍵，但使用和管理計算機的人更關(guān)鍵。 在網(wǎng)絡(luò)安全管理中應(yīng)該首先加強對人的管理，加強管理員和使用者的安全意識教育、建立包含全部人員的安全責任追蹤制度。除此之外我們