(最新整理)網(wǎng)絡安全技術(shù)及其發(fā)展趨勢

1、(完整)網(wǎng)絡安全技術(shù)及其發(fā)展趨勢(完整)網(wǎng)絡安全技術(shù)及其發(fā)展趨勢 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對文中內(nèi)容進行仔細校對，但是難免會有疏漏的地方，但是任然希望（(完整)網(wǎng)絡安全技術(shù)及其發(fā)展趨勢）的內(nèi)容能夠給您的工作和學習帶來便利。同時也真誠的希望收到您的建議和反饋，這將是我們進步的源泉，前進的動力。本文可編輯可修改，如果覺得對您有幫助請收藏以便隨時查閱，最后祝您生活愉快 業(yè)績進步，以下為(完整)網(wǎng)絡安全技術(shù)及其發(fā)展趨勢的全部內(nèi)容。網(wǎng)絡安全技術(shù)及其發(fā)展趨勢鄧奇強摘要:介紹目前網(wǎng)絡安全存在的威脅因素、網(wǎng)絡安全的基本技術(shù)

2、，提出了我國網(wǎng)絡安全的發(fā)展趨勢.關(guān)鍵詞：網(wǎng)絡安全，技術(shù)，發(fā)展趨勢中國分類號：tp39308 文獻標識碼：a 文章編碼：1671-9743（2005)02009303網(wǎng)絡安全經(jīng)過了20 多年的發(fā)展，已經(jīng)發(fā)展成為一個跨多門學科的綜合性科學，它包括:通信技術(shù)、網(wǎng)絡技術(shù)、計算機軟件、硬件設計技術(shù)、密碼學、網(wǎng)絡安全與計算機安全技術(shù)等,在理論上,網(wǎng)絡安全是建立在密碼學以及網(wǎng)絡安全協(xié)議的基礎上的。 密碼學是網(wǎng)絡安全的核心,利用密碼技術(shù)對信息進行加密傳輸、加密存儲、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。 加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。 由于

3、加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達國家對關(guān)鍵加密算法的出口限制,各個國家正不斷致力于開發(fā)和設計新的加密算法和加密機制.1、 什么是網(wǎng)絡安全網(wǎng)絡安全是一項動態(tài)的、整體的系統(tǒng)工程，從技術(shù)上來說，網(wǎng)絡安全由安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保您信息網(wǎng)絡的安全性。2、網(wǎng)絡安全存在的威脅因素一般認為,目前網(wǎng)絡存在的威脅主要表現(xiàn)在:非授權(quán)訪問：沒有預先經(jīng)過同意，就使用網(wǎng)絡或計算機資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡設備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。

4、它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等.信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如“黑客”們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、帳號等重要信息)，信息在存儲介質(zhì)中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。破壞數(shù)據(jù)完整性:以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。拒絕服務攻擊：它不斷對網(wǎng)絡服務系統(tǒng)進行

5、干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務。利用網(wǎng)絡傳播病毒:通過網(wǎng)絡傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。3、 網(wǎng)絡安全的基本技術(shù)由于網(wǎng)絡所帶來的諸多不安全因素，使得網(wǎng)絡使用者必須采取相應的網(wǎng)絡安全技術(shù)來堵塞安全漏洞和提供安全的通信服務。 如今，快速發(fā)展的網(wǎng)絡安全技術(shù)能從不同角度來保證網(wǎng)絡信息不受侵犯,網(wǎng)絡安全的基本技術(shù)主要包括數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、網(wǎng)絡地址轉(zhuǎn)換技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗證技術(shù)、網(wǎng)絡防病毒技術(shù)。3.1防火墻技術(shù)“防火墻”是一種形象的說法!

6、 其實它是一種由計算機硬件和軟件的組合！ 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)(scurity gateway）,從而保護內(nèi)部網(wǎng)免受非法用戶的侵入. 所謂防火墻就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。防火墻有二類，標準防火墻和雙家網(wǎng)關(guān)。標準防火墻墻系統(tǒng)包括一個unix工作站，該工作站的兩端各接一個路由器進行緩沖。 其中一個路由器的接口是外部世界, 即公用網(wǎng);另一個則聯(lián)接內(nèi)部網(wǎng)。標準防火墻使用專門的軟件，并要求較高的管理水平%而且在信息傳輸上有一定的延遲. 雙家網(wǎng)關(guān)（dual home gateway)則是標準防火墻的擴充,又稱堡壘主機(botion host）或應用層網(wǎng)關(guān)（application

7、s layer gateway），它是一個單個的系統(tǒng), 但卻能同時完成標準防火墻的所有功能.其優(yōu)點是能運行更復雜的應用， 同時防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆, 可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡到達內(nèi)部網(wǎng)絡，反之亦然。隨著防火墻技術(shù)的進步，雙家網(wǎng)關(guān)的基礎上又演化出兩種防火墻配置, 一種是隱蔽主機網(wǎng)關(guān), 另一種是隱蔽智能網(wǎng)關(guān)(隱蔽子網(wǎng))。 隱蔽主機網(wǎng)關(guān)是當前一種常見的防火墻配置。 顧名思義，這種配置一方面將路由器進行隱蔽， 另一方面在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間安裝堡壘主機. 堡壘主機裝在內(nèi)部網(wǎng)上， 通過路由器的配置， 使該堡壘主機成為內(nèi)部網(wǎng)與互聯(lián)網(wǎng)進行通信的唯一系統(tǒng)。目前技術(shù)最為復雜而且安

8、全級別最商的防火墻是隱蔽智能網(wǎng)關(guān)，它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊. 隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務進行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡的非法訪問. 一般來說，這種防火墻是最不容易被破壞的。3。2 數(shù)據(jù)加密技術(shù)與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性， 防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展， 網(wǎng)絡安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外， 從技術(shù)上分別在軟件和硬件兩方面采取措施,推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展.按作用不同， 數(shù)據(jù)加密技術(shù)主要分

9、為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。(1）數(shù)據(jù)傳輸加密技術(shù)目的是對傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端端加密兩種.前者側(cè)重在線路上而不考慮信源與信宿， 是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發(fā)送者端自動加密， 并進入tcp/ip數(shù)據(jù)包回封，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng),當這些信息一旦到達目的地， 被將自動重組、解密，成為可讀數(shù)據(jù)。(2）數(shù)據(jù)存儲加密技術(shù)目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實現(xiàn)； 后者則是對用戶資格、格限加以審查和限制%！ 防

10、止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù).（3)數(shù)據(jù)完整性鑒別技術(shù)目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)! 據(jù)內(nèi)容進行驗證%！ 達到保密的要求， 一般包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別， 系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。(4）密鑰管理技術(shù)為了數(shù)據(jù)使用的方便，數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應用， 因此密鑰往往是保密與竊密的主要對象。 密鑰的媒體有：磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。3。3 網(wǎng)絡地址轉(zhuǎn)換技術(shù)(nat）網(wǎng)絡地址轉(zhuǎn)換器也稱為地址共享器(address

11、 share)或地址映射器，設計它的初衷是為了解決ip地址不足，現(xiàn)多用于網(wǎng)絡安全。 它是一個ietf標準，允許一個機構(gòu)以一個地址出現(xiàn)在internet 上nat將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個ip 地址，反之亦然。 它也可以應用到防火墻技術(shù)里,把個別ip 地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部網(wǎng)絡設備，從而隱藏內(nèi)部網(wǎng)絡，達到保密作用，使系統(tǒng)的安全性提高，同時，它還幫助網(wǎng)絡可以超越地址的限制,合理地安排網(wǎng)絡中的公有internet 地址和私有ip地址的使用.3。4 操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡安全技術(shù)上著手，人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡安全性,嘗試把系統(tǒng)內(nèi)核中可能引起安全性

12、問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。 操作系統(tǒng)平臺的安全措施包括：采用安全性較高的操作系統(tǒng)；對操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國國防部(dod）技術(shù)標準把操作系統(tǒng)的安全等級分成d1、c1、c2、b1、b2、b3、a 級,其安全等級由低到高。目前主要的操作系統(tǒng)的安全等級都是c2級（例如,unix、windows nt)，其特征包括：用戶必須通過用戶注冊名和口令讓系統(tǒng)識別；系統(tǒng)可以根據(jù)用戶注冊名決定用戶訪問資源的權(quán)限；系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進行審核和記錄；可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。b1 級操作系統(tǒng)除上述機制外，還不允許文件的擁有者改變其許可權(quán)

13、限。b2級操作系統(tǒng)要求計算機系統(tǒng)中所有對象都加標簽,且給設備（如磁盤、磁帶或終端)分配單個或多個安全級別.3.5 身份驗證技術(shù)身份驗證（identification）是用戶向系統(tǒng)出示自己身份證明的過程。 身份認證是系統(tǒng)查核用戶身份證明的過程！ 這兩個過程是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)，人們常把這兩項工作統(tǒng)稱為身份驗證（或身份鑒別）.(1）數(shù)字簽名基于公共密鑰的身份驗證公開密鑰的加密機制雖提供了良好的保密性，但難以鑒別發(fā)送者,即任何得到公開密鑰的人都可以生成和發(fā)送報文,數(shù)字簽名機制則在此基礎上提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題！數(shù)字簽名一般采用不對稱加密技術(shù)（如r

14、sa）,通過對整個明文進行某種變換，得到一個值，作為核實簽名。接收者使用發(fā)送者的公開密鑰對簽名進行解密運算,如其結(jié)果為明文，則簽名有效，證明對方的身份是真實的。 當然，簽名也可以采用多種方式，例如，將簽名附在明文之后！ 數(shù)字簽名普遍用于銀行、電子商務等的身份驗證。（2）kerberos 系統(tǒng)基于dce/kerberos 的身份驗證kerberos系統(tǒng)是美國麻省理工學院為athena 工程而設計的，為分布式計算環(huán)境提供一種對用戶雙方進行身份驗證的方法。它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證，確認其是否是合法的用戶,如是合法的用戶，再審核該用戶是否有權(quán)對他所請求的服務或主機進行訪問.從加

15、密算法上來講，其身份驗證是建立在對稱加密的基礎上的.3.6 網(wǎng)絡防病毒技術(shù)由于在網(wǎng)絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，一次計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。 網(wǎng)絡反病毒技術(shù)包括預防病毒、檢測病毒和消毒三種技術(shù)：（1）預防病毒技術(shù):它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán),監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞! 這類技術(shù)有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等).(2）檢測病毒技術(shù)：它是通過對計算機病毒的特征來進行判斷的技術(shù)，如自身校驗、關(guān)鍵字、文件長度的變化等。（3)消毒技術(shù)：它通過對計算機病毒的分

16、析，開發(fā)出具有刪除病毒程序并恢復原文件的軟件。網(wǎng)絡反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測;在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權(quán)限等。4、 網(wǎng)絡安全的發(fā)展趨勢從技術(shù)上,網(wǎng)絡安全取決于兩個方面：網(wǎng)絡設備的硬件和軟件. 網(wǎng)絡安全則由網(wǎng)絡設備的軟件和硬件互相配合來實現(xiàn)的。但是，由于網(wǎng)絡安全作為網(wǎng)絡對其上的信息提供的一種增值服務，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡的瓶頸，因此，將網(wǎng)絡安全的密碼算法和安全協(xié)議用硬件實現(xiàn)，實現(xiàn)線速的安全處理仍然將是網(wǎng)絡安全發(fā)展的一個主要方向。對于我國而言，網(wǎng)絡安全的發(fā)展趨勢將是逐步具備自主研制網(wǎng)絡設備的能力，自發(fā)研制關(guān)鍵芯片，采用自己的操作系統(tǒng)和數(shù)據(jù)庫，以及使用國產(chǎn)的網(wǎng)管軟件。中國計算機安全的關(guān)鍵是要有自主的知識產(chǎn)權(quán)和關(guān)鍵技術(shù),從根本上擺脫對外國技術(shù)的依賴. 另一方面，在安全技術(shù)不斷發(fā)展的同時，全面加強安全技術(shù)的應用也是網(wǎng)絡安全發(fā)展的一個