計(jì)算機(jī)網(wǎng)絡(luò)安全與技術(shù)的研究

1、計(jì)算機(jī)網(wǎng)絡(luò)安全與技術(shù)的研究 學(xué) 校：敦化電視廣播大學(xué) 年級(jí)專業(yè)： 姓 名： 學(xué) 號(hào)： 聯(lián)系電話： 工作單位： 指導(dǎo)教師： 建立起有中國(guó)特色的網(wǎng)絡(luò)安全體系我們知道, 21世紀(jì)的一些重要特征就是數(shù)字化,網(wǎng)絡(luò)化和信息化,它是一個(gè)以網(wǎng)絡(luò)為核心的信息時(shí)代。要實(shí)現(xiàn)信息化就必須依靠完善的網(wǎng)絡(luò)，因?yàn)榫W(wǎng)絡(luò)可以非常迅速的傳遞信息。因此網(wǎng)絡(luò)現(xiàn)在已成為信息社會(huì)的命脈和發(fā)展知識(shí)經(jīng)濟(jì)的基礎(chǔ)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問(wèn)題也日趨嚴(yán)重。當(dāng)網(wǎng)絡(luò)的用戶來(lái)自社會(huì)各個(gè)階層與部門時(shí)，大量在網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)就需要保護(hù)。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國(guó)將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上

2、建立起有中國(guó)特色的網(wǎng)絡(luò)安全體系。一個(gè)國(guó)家的安全體系實(shí)際上包括國(guó)家的法律和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我國(guó)在構(gòu)建信息信息防衛(wèi)系統(tǒng)時(shí),應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品,我國(guó)要想真正解決網(wǎng)絡(luò)安全問(wèn)題,最終的辦法就是通過(guò)發(fā)展名族的安全產(chǎn)業(yè),帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。計(jì)算機(jī)網(wǎng)絡(luò)安全的含義 計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者的不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害，軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異

3、常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件極其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。一、網(wǎng)絡(luò)安全初步分析（一）、網(wǎng)絡(luò)安全的必要性隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征。人們稱它為信息高速公路。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，適應(yīng)社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來(lái)的，各國(guó)都在建設(shè)自己的信息高速公路。我國(guó)近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國(guó)防、電信、銀行、廣播等方面都有

4、廣泛的應(yīng)用。我相信在不長(zhǎng)的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí)代。正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。（二）、網(wǎng)絡(luò)的安全管理 面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)安全的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題。（三）、 采用先進(jìn)的技術(shù)和產(chǎn)品 要保證計(jì)算機(jī)網(wǎng)絡(luò)安全的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。1.防火墻技術(shù) 為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對(duì)內(nèi)部網(wǎng)的非

5、法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。它可以監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來(lái)源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過(guò)濾、代理服務(wù)器等幾大類型。2.數(shù)據(jù)加密技術(shù)與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上

6、、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用的不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。3. 認(rèn)證技術(shù) 認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段，它對(duì)于開放環(huán)境中的各種信息的安全有重要作用。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過(guò)程，即認(rèn)證建立信息的發(fā)送者或接受者的身份。認(rèn)證的主要目的有兩個(gè)：第一，驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號(hào)源識(shí)別；第二，驗(yàn)證信息的完整性，保證信息在傳送過(guò)程中未被篡改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。4.計(jì)算機(jī)病毒的

7、防范首先要加強(qiáng)工作人員防病毒的意識(shí)，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件： 較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有4萬(wàn)多種，在各種操作系統(tǒng)中包括windows 、 unix 和 netware 系統(tǒng)都有大量能夠造成危害的計(jì)算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強(qiáng)的特點(diǎn)。 完善的升級(jí)服務(wù)。與其他軟件相比，防病毒軟件更需要不斷的更新升級(jí)，以查殺層出不窮的計(jì)算機(jī)病毒。（四）、常見的網(wǎng)絡(luò)攻擊和防范對(duì)策1. 特洛伊木馬特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因?yàn)樵谔芈逡聊抉R中存在這些用戶不知

8、道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時(shí)，表面上是執(zhí)行正常的程序，而實(shí)際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí)，它能把自己插入一些未被感染的過(guò)程中，從而使它們受到感染。此類攻擊對(duì)計(jì)算機(jī)的危害極大，通過(guò)特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán)。防止在正常程序中隱藏特洛伊木馬的主要是人們?cè)谏晌募r(shí)，對(duì)每一個(gè)文件進(jìn)行數(shù)字簽名，而在運(yùn)行文件時(shí)通過(guò)對(duì)數(shù)字簽名的檢查來(lái)判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。

9、避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽tcp服務(wù)。2.郵件炸彈 郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲(chǔ)空間消耗殆盡，從而阻止用戶對(duì)正常郵件的接收，妨礙計(jì)算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。 防止郵件炸彈的方法主要有通過(guò)配置路由器，有選擇地接收電子郵件，對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來(lái)自同一主機(jī)的過(guò)量或重復(fù)消息，也可以使自己的smtp連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。3.過(guò)載攻擊 過(guò)載攻擊是攻擊者通過(guò)服務(wù)

10、器長(zhǎng)時(shí)間發(fā)出大量無(wú)用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無(wú)法滿足其他用戶的請(qǐng)求。過(guò)載攻擊中被攻擊者用的最多的一種方法是進(jìn)程攻擊，它是通過(guò)大量地進(jìn)行人為的增大cpu的工作量，耗費(fèi)cpu的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。 防止過(guò)載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。然而，不幸的是這兩種方法都存在著一定的負(fù)面效應(yīng)。通過(guò)對(duì)單個(gè)用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除，會(huì)使用戶某些正常的請(qǐng)求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來(lái)發(fā)現(xiàn)這種攻擊，通過(guò)主機(jī)列表和網(wǎng)絡(luò)地址列表來(lái)的所在，也可以登錄防火墻或路由器來(lái)發(fā)現(xiàn)攻

11、擊究竟是來(lái)自于網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部。另外，還可以讓系統(tǒng)自動(dòng)檢查是否過(guò)載或者重新啟動(dòng)系統(tǒng)。4.淹沒(méi)攻擊 正常情況下，tcp連接建立要經(jīng)過(guò)3次握手的過(guò)程，即客戶機(jī)向客戶機(jī)發(fā)送syn請(qǐng)求信號(hào)；目標(biāo)主機(jī)收到請(qǐng)求信號(hào)后向客戶機(jī)發(fā)送syn/ack消息；客戶機(jī)收到syn/ack消息后再向主機(jī)發(fā)送rst信號(hào)并斷開連接。tcp的這三次握手過(guò)程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒(méi)有被使用的主機(jī)的ip地址，向被攻擊主機(jī)發(fā)出syn請(qǐng)求信號(hào)，當(dāng)被攻擊主機(jī)收到syn請(qǐng)求信號(hào)后，它向這臺(tái)不存在ip地址的偽裝主機(jī)發(fā)出syn/消息。由于此時(shí)的主機(jī)ip不存在或當(dāng)時(shí)沒(méi)有被使用所以無(wú)法向主機(jī)發(fā)送rst，因此，

12、造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。如果攻擊者不斷的向被攻擊的主機(jī)發(fā)送syn請(qǐng)求，被攻擊主機(jī)就一直處于等待狀態(tài)，從而無(wú)法響應(yīng)其他用戶請(qǐng)求。對(duì)付淹沒(méi)攻擊的最好方法就是實(shí)時(shí)監(jiān)控系統(tǒng)處于syn-received狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過(guò)某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。二、安全技術(shù)的研究（一）、安全技術(shù)的研究現(xiàn)狀和方向 我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期

13、積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。根據(jù)防火墻所采用的技術(shù)不同，將它分為4個(gè)基本類型：包過(guò)濾型、代理型和監(jiān)測(cè)型。（二）、包過(guò)濾型 包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)含一些特定信息，防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn)，一單發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管

14、理員也可以根據(jù)實(shí)際情況靈活制定判斷規(guī)則。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入。（三、）代理型 代理型的安全性能要高過(guò)包過(guò)濾型，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；從服務(wù)器來(lái)看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，

15、代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì)，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過(guò)濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn)，使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。三、結(jié)束語(yǔ) 互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來(lái)的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問(wèn)題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的網(wǎng)絡(luò)體系完善可靠。在英特網(wǎng)為我們提供了大量的機(jī)會(huì)和便利的同時(shí)，也在安全性方面給我們帶來(lái)了巨大的挑戰(zhàn)，我們不能因?yàn)楹ε绿魬?zhàn)而拒絕它，否則就會(huì)得不償失，信心安全是當(dāng)今社會(huì)乃至