(最新整理)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)

1、(完整)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)(完整)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì) 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對(duì)文中內(nèi)容進(jìn)行仔細(xì)校對(duì)，但是難免會(huì)有疏漏的地方，但是任然希望（(完整)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來(lái)便利。同時(shí)也真誠(chéng)的希望收到您的建議和反饋，這將是我們進(jìn)步的源泉，前進(jìn)的動(dòng)力。本文可編輯可修改，如果覺(jué)得對(duì)您有幫助請(qǐng)收藏以便隨時(shí)查閱，最后祝您生活愉快 業(yè)績(jī)進(jìn)步，以下為(完整)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)的全部?jī)?nèi)容。網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)鄧奇強(qiáng)摘要:介紹目前網(wǎng)絡(luò)安全存在的威脅因素、網(wǎng)絡(luò)安全的基本技術(shù)

2、，提出了我國(guó)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì).關(guān)鍵詞：網(wǎng)絡(luò)安全，技術(shù)，發(fā)展趨勢(shì)中國(guó)分類(lèi)號(hào)：tp39308 文獻(xiàn)標(biāo)識(shí)碼：a 文章編碼：1671-9743（2005)02009303網(wǎng)絡(luò)安全經(jīng)過(guò)了20 多年的發(fā)展，已經(jīng)發(fā)展成為一個(gè)跨多門(mén)學(xué)科的綜合性科學(xué)，它包括:通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計(jì)算機(jī)安全技術(shù)等,在理論上,網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。 密碼學(xué)是網(wǎng)絡(luò)安全的核心,利用密碼技術(shù)對(duì)信息進(jìn)行加密傳輸、加密存儲(chǔ)、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡(jiǎn)單的存取控制和授權(quán)等技術(shù)更可靠。 加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。 由于

3、加密算法的公開(kāi)化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國(guó)家對(duì)關(guān)鍵加密算法的出口限制,各個(gè)國(guó)家正不斷致力于開(kāi)發(fā)和設(shè)計(jì)新的加密算法和加密機(jī)制.1、 什么是網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，從技術(shù)上來(lái)說(shuō)，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件是無(wú)法確保您信息網(wǎng)絡(luò)的安全性。2、網(wǎng)絡(luò)安全存在的威脅因素一般認(rèn)為,目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在:非授權(quán)訪問(wèn)：沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。

4、它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等.信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如“黑客”們利用電磁泄漏或搭線竊聽(tīng)等方式可截獲機(jī)密信息,或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶口令、帳號(hào)等重要信息)，信息在存儲(chǔ)介質(zhì)中丟失或泄漏,通過(guò)建立隱蔽隧道等竊取敏感信息等。破壞數(shù)據(jù)完整性:以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。拒絕服務(wù)攻擊：它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行

5、干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。利用網(wǎng)絡(luò)傳播病毒:通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。3、 網(wǎng)絡(luò)安全的基本技術(shù)由于網(wǎng)絡(luò)所帶來(lái)的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來(lái)堵塞安全漏洞和提供安全的通信服務(wù)。 如今，快速發(fā)展的網(wǎng)絡(luò)安全技術(shù)能從不同角度來(lái)保證網(wǎng)絡(luò)信息不受侵犯,網(wǎng)絡(luò)安全的基本技術(shù)主要包括數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)。3.1防火墻技術(shù)“防火墻”是一種形象的說(shuō)法!

6、 其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合！ 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)(scurity gateway）,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入. 所謂防火墻就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開(kāi)的屏障。防火墻有二類(lèi)，標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)。標(biāo)準(zhǔn)防火墻墻系統(tǒng)包括一個(gè)unix工作站，該工作站的兩端各接一個(gè)路由器進(jìn)行緩沖。 其中一個(gè)路由器的接口是外部世界, 即公用網(wǎng);另一個(gè)則聯(lián)接內(nèi)部網(wǎng)。標(biāo)準(zhǔn)防火墻使用專(zhuān)門(mén)的軟件，并要求較高的管理水平%而且在信息傳輸上有一定的延遲. 雙家網(wǎng)關(guān)（dual home gateway)則是標(biāo)準(zhǔn)防火墻的擴(kuò)充,又稱(chēng)堡壘主機(jī)(botion host）或應(yīng)用層網(wǎng)關(guān)（application

7、s layer gateway），它是一個(gè)單個(gè)的系統(tǒng), 但卻能同時(shí)完成標(biāo)準(zhǔn)防火墻的所有功能.其優(yōu)點(diǎn)是能運(yùn)行更復(fù)雜的應(yīng)用， 同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆, 可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò)，反之亦然。隨著防火墻技術(shù)的進(jìn)步，雙家網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種防火墻配置, 一種是隱蔽主機(jī)網(wǎng)關(guān), 另一種是隱蔽智能網(wǎng)關(guān)(隱蔽子網(wǎng))。 隱蔽主機(jī)網(wǎng)關(guān)是當(dāng)前一種常見(jiàn)的防火墻配置。 顧名思義，這種配置一方面將路由器進(jìn)行隱蔽， 另一方面在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間安裝堡壘主機(jī). 堡壘主機(jī)裝在內(nèi)部網(wǎng)上， 通過(guò)路由器的配置， 使該堡壘主機(jī)成為內(nèi)部網(wǎng)與互聯(lián)網(wǎng)進(jìn)行通信的唯一系統(tǒng)。目前技術(shù)最為復(fù)雜而且安

8、全級(jí)別最商的防火墻是隱蔽智能網(wǎng)關(guān)，它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊. 隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專(zhuān)用網(wǎng)絡(luò)的非法訪問(wèn). 一般來(lái)說(shuō)，這種防火墻是最不容易被破壞的。3。2 數(shù)據(jù)加密技術(shù)與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性， 防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展， 網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外， 從技術(shù)上分別在軟件和硬件兩方面采取措施,推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展.按作用不同， 數(shù)據(jù)加密技術(shù)主要分

9、為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。(1）數(shù)據(jù)傳輸加密技術(shù)目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端端加密兩種.前者側(cè)重在線路上而不考慮信源與信宿， 是對(duì)保密信息通過(guò)各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動(dòng)加密， 并進(jìn)入tcp/ip數(shù)據(jù)包回封，然后作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過(guò)互聯(lián)網(wǎng),當(dāng)這些信息一旦到達(dá)目的地， 被將自動(dòng)重組、解密，成為可讀數(shù)據(jù)。(2）數(shù)據(jù)存儲(chǔ)加密技術(shù)目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過(guò)加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)； 后者則是對(duì)用戶資格、格限加以審查和限制%！ 防

10、止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù).（3)數(shù)據(jù)完整性鑒別技術(shù)目的是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)! 據(jù)內(nèi)容進(jìn)行驗(yàn)證%！ 達(dá)到保密的要求， 一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別， 系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。(4）密鑰管理技術(shù)為了數(shù)據(jù)使用的方便，數(shù)據(jù)加密在許多場(chǎng)合集中表現(xiàn)為密鑰的應(yīng)用， 因此密鑰往往是保密與竊密的主要對(duì)象。 密鑰的媒體有：磁卡、磁帶、磁盤(pán)、半導(dǎo)體存儲(chǔ)器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷(xiāo)毀等各環(huán)節(jié)上的保密措施。3。3 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(nat）網(wǎng)絡(luò)地址轉(zhuǎn)換器也稱(chēng)為地址共享器(address

11、 share)或地址映射器，設(shè)計(jì)它的初衷是為了解決ip地址不足，現(xiàn)多用于網(wǎng)絡(luò)安全。 它是一個(gè)ietf標(biāo)準(zhǔn)，允許一個(gè)機(jī)構(gòu)以一個(gè)地址出現(xiàn)在internet 上nat將每個(gè)局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個(gè)ip 地址，反之亦然。 它也可以應(yīng)用到防火墻技術(shù)里,把個(gè)別ip 地址隱藏起來(lái)不被外界發(fā)現(xiàn)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備，從而隱藏內(nèi)部網(wǎng)絡(luò)，達(dá)到保密作用，使系統(tǒng)的安全性提高，同時(shí)，它還幫助網(wǎng)絡(luò)可以超越地址的限制,合理地安排網(wǎng)絡(luò)中的公有internet 地址和私有ip地址的使用.3。4 操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手，人們開(kāi)始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性,嘗試把系統(tǒng)內(nèi)核中可能引起安全性

12、問(wèn)題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。 操作系統(tǒng)平臺(tái)的安全措施包括：采用安全性較高的操作系統(tǒng)；對(duì)操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國(guó)國(guó)防部(dod）技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)的安全等級(jí)分成d1、c1、c2、b1、b2、b3、a 級(jí),其安全等級(jí)由低到高。目前主要的操作系統(tǒng)的安全等級(jí)都是c2級(jí)（例如,unix、windows nt)，其特征包括：用戶必須通過(guò)用戶注冊(cè)名和口令讓系統(tǒng)識(shí)別；系統(tǒng)可以根據(jù)用戶注冊(cè)名決定用戶訪問(wèn)資源的權(quán)限；系統(tǒng)可以對(duì)系統(tǒng)中發(fā)生的每一件事進(jìn)行審核和記錄；可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。b1 級(jí)操作系統(tǒng)除上述機(jī)制外，還不允許文件的擁有者改變其許可權(quán)

13、限。b2級(jí)操作系統(tǒng)要求計(jì)算機(jī)系統(tǒng)中所有對(duì)象都加標(biāo)簽,且給設(shè)備（如磁盤(pán)、磁帶或終端)分配單個(gè)或多個(gè)安全級(jí)別.3.5 身份驗(yàn)證技術(shù)身份驗(yàn)證（identification）是用戶向系統(tǒng)出示自己身份證明的過(guò)程。 身份認(rèn)證是系統(tǒng)查核用戶身份證明的過(guò)程！ 這兩個(gè)過(guò)程是判明和確認(rèn)通信雙方真實(shí)身份的兩個(gè)重要環(huán)節(jié)，人們常把這兩項(xiàng)工作統(tǒng)稱(chēng)為身份驗(yàn)證（或身份鑒別）.(1）數(shù)字簽名基于公共密鑰的身份驗(yàn)證公開(kāi)密鑰的加密機(jī)制雖提供了良好的保密性，但難以鑒別發(fā)送者,即任何得到公開(kāi)密鑰的人都可以生成和發(fā)送報(bào)文,數(shù)字簽名機(jī)制則在此基礎(chǔ)上提供了一種鑒別方法,以解決偽造、抵賴(lài)、冒充和篡改等問(wèn)題！數(shù)字簽名一般采用不對(duì)稱(chēng)加密技術(shù)（如r

14、sa）,通過(guò)對(duì)整個(gè)明文進(jìn)行某種變換，得到一個(gè)值，作為核實(shí)簽名。接收者使用發(fā)送者的公開(kāi)密鑰對(duì)簽名進(jìn)行解密運(yùn)算,如其結(jié)果為明文，則簽名有效，證明對(duì)方的身份是真實(shí)的。 當(dāng)然，簽名也可以采用多種方式，例如，將簽名附在明文之后！ 數(shù)字簽名普遍用于銀行、電子商務(wù)等的身份驗(yàn)證。（2）kerberos 系統(tǒng)基于dce/kerberos 的身份驗(yàn)證kerberos系統(tǒng)是美國(guó)麻省理工學(xué)院為athena 工程而設(shè)計(jì)的，為分布式計(jì)算環(huán)境提供一種對(duì)用戶雙方進(jìn)行身份驗(yàn)證的方法。它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶進(jìn)行身份驗(yàn)證，確認(rèn)其是否是合法的用戶,如是合法的用戶，再審核該用戶是否有權(quán)對(duì)他所請(qǐng)求的服務(wù)或主機(jī)進(jìn)行訪問(wèn).從加

15、密算法上來(lái)講，其身份驗(yàn)證是建立在對(duì)稱(chēng)加密的基礎(chǔ)上的.3.6 網(wǎng)絡(luò)防病毒技術(shù)由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，一次計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。 網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒三種技術(shù)：（1）預(yù)防病毒技術(shù):它通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán),監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞! 這類(lèi)技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫(xiě)控制（如防病毒卡等).(2）檢測(cè)病毒技術(shù)：它是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等。（3)消毒技術(shù)：它通過(guò)對(duì)計(jì)算機(jī)病毒的分

16、析，開(kāi)發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè);在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。4、 網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)從技術(shù)上,網(wǎng)絡(luò)安全取決于兩個(gè)方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件. 網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來(lái)實(shí)現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對(duì)其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn)，實(shí)現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。對(duì)于我國(guó)而言，網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)將是逐步具備自主研制網(wǎng)絡(luò)設(shè)備的能力，自發(fā)研制關(guān)鍵芯片，采用自己的操作系統(tǒng)和數(shù)據(jù)庫(kù)，以及使用國(guó)產(chǎn)的網(wǎng)管軟件。中國(guó)計(jì)算機(jī)安全的關(guān)鍵是要有自主的知識(shí)產(chǎn)權(quán)和關(guān)鍵技術(shù),從根本上擺脫對(duì)外國(guó)技術(shù)的依賴(lài). 另一方面，在安全技術(shù)不斷發(fā)展的同時(shí)，全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)