陳進(jìn)-計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

1、陳進(jìn)-計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文 興義民族師范學(xué)院計(jì)算機(jī)科學(xué)系畢業(yè)設(shè)計(jì)論文課題名稱 網(wǎng)絡(luò)安全 專 業(yè) 計(jì)科系現(xiàn)代教育技術(shù) 班 級(jí) 計(jì)算機(jī)?？瓢?姓 名 陳 進(jìn) 學(xué) 號(hào) 201030811011 指導(dǎo)老師 饒 靜 設(shè)計(jì)時(shí)間 2012-7>2013學(xué)年第2學(xué)期 網(wǎng)絡(luò)安全摘要計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題直接關(guān)系到一個(gè)國(guó)家的政治軍事經(jīng)濟(jì)等領(lǐng)域的安全和穩(wěn)定目前黑客猖獗平均每18秒鐘世界上就有一次黑客事件發(fā)生因此提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)增強(qiáng)防范意識(shí)強(qiáng)化防范措施是保證信息產(chǎn)業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件文中論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化闡述我國(guó)發(fā)展民族信息安全體系的重要性及建立有中國(guó)特色的網(wǎng)絡(luò)安全體系的

2、必要性網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征防火墻部署原則并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)就信息交換加密技術(shù)的分類及RSA算法作分析論述了其安全體系的構(gòu)成目 錄網(wǎng)絡(luò)安全1目 錄1第一章 引 言211 概述212 網(wǎng)絡(luò)安全的研究目的313網(wǎng)絡(luò)安全的含義4第二章 網(wǎng)絡(luò)安全初步分析521 網(wǎng)絡(luò)安全的必要522 網(wǎng)絡(luò)的安全管理5221 安全管理原則5222 安全管理的實(shí)現(xiàn)623 采用先進(jìn)的技術(shù)和產(chǎn)品6231 防火墻技術(shù)6232加密技術(shù)6233 認(rèn)證技術(shù)7234 計(jì)算機(jī)病毒的防范724 常見(jiàn)的網(wǎng)絡(luò)攻擊及防范對(duì)策7241 郵件炸彈7242 特洛伊木馬8243 過(guò)載攻擊8244 淹沒(méi)攻擊8第

3、三章 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)1031 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析1032 網(wǎng)絡(luò)攻擊淺析11第四章 防范技術(shù)1341 防火墻的定義與選擇1342 對(duì)稱加密技術(shù)1443公開(kāi)密鑰加密1444 RSA算法1445 注冊(cè)與認(rèn)證管理15451 認(rèn)證機(jī)構(gòu)15452 注冊(cè)機(jī)構(gòu)15453 密鑰備份和恢復(fù)15454 證書管理與撤消系統(tǒng)15第五章 安全技術(shù)的研究1651 安全技術(shù)的研究現(xiàn)狀和方向16511 包過(guò)濾型16512 代理型16結(jié)束語(yǔ)18參 考 文 獻(xiàn)18第一章 引 言11 概述21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起信息安全的內(nèi)涵也就發(fā)生了根本的變化它不僅從一般性的防衛(wèi)變成了一種非常普通的防范而且還從一種

4、專門的領(lǐng)域變成了無(wú)處不在當(dāng)人類步入21世紀(jì)這一信息社會(huì)網(wǎng)絡(luò)社會(huì)的時(shí)候信息化的發(fā)展將起到非常重要的作用我將建立起一套完整的安全網(wǎng)絡(luò)安全體系信息安全體系實(shí)際上包括國(guó)家的法規(guī)和政策以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)我在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品要想真正解決網(wǎng)絡(luò)安全問(wèn)題最終的辦法就是通過(guò)發(fā)展民族的安全產(chǎn)業(yè)帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣化如果采用統(tǒng)一的技術(shù)和策略也就不安全了隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多因此網(wǎng)絡(luò)安全技術(shù)復(fù)雜的系統(tǒng)工程信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題為此建立有中國(guó)特

5、色的網(wǎng)絡(luò)安全體系需要國(guó)家政策和法規(guī)的支持及研究開(kāi)發(fā)安全與反安全就像矛盾的兩個(gè)方面總是不斷地向上攀升所以安全將來(lái)也一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅其構(gòu)成的因素是多方面的這種威脅將不斷給社會(huì)帶來(lái)了巨大的損失網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展全球信息化已成為人類發(fā)展的大趨勢(shì)網(wǎng)絡(luò)安全給政府機(jī)構(gòu)企事業(yè)單位帶來(lái)了革命性的改革由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性互連性性等特征致使網(wǎng)絡(luò)易受黑客病毒惡意軟件和其他不軌的攻擊所以網(wǎng)上信息的安全和保密重要的問(wèn)題對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)C3I系統(tǒng)銀行和政府等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)

6、而言其網(wǎng)上信息的安全和保密尤為重要上述網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施否則該網(wǎng)絡(luò)將是甚至?xí)?guó)家安全無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然脆弱性和人為等諸多因素的潛在威脅故此網(wǎng)絡(luò)的安全措施應(yīng)能全方位地針對(duì)各種不同的威脅和脆弱性這樣才能確保網(wǎng)絡(luò)信息的保密性完整性和可用性為了確保信息的安全與暢通研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施認(rèn)真分析網(wǎng)絡(luò)面臨的威脅我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程在目前法律法規(guī)尚不完善的情況下首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視加強(qiáng)工作人員的責(zé)任心和防范意識(shí)自覺(jué)執(zhí)行

7、各項(xiàng)安全制度在此基礎(chǔ)上再采用先進(jìn)的技術(shù)和產(chǎn)品構(gòu)造全方位的防御機(jī)制使系統(tǒng)在理想的狀態(tài)下運(yùn)行第二章 網(wǎng)絡(luò)安全初步分析21 網(wǎng)絡(luò)安全的必要隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征人們稱它為信息高速公路網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物是社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來(lái)的各國(guó)都在建設(shè)自己的信息高速公路我國(guó)近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快在國(guó)防電信銀行廣播等方面都有廣泛的應(yīng)用我相信在不長(zhǎng)的時(shí)間里計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展那時(shí)將全面進(jìn)入信息時(shí)正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛又在生活中扮演很重要的角色所以其安全性是不容忽視的網(wǎng)絡(luò)的安全管理面對(duì)網(wǎng)絡(luò)安全的脆弱性除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功

8、能完善系統(tǒng)的安全保密設(shè)施外還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題22安全管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于3個(gè)原則多人負(fù)責(zé)原則每一項(xiàng)與安全有關(guān)的活動(dòng)都必須有兩人或多人在場(chǎng)這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的他們忠誠(chéng)可靠能勝任此項(xiàng)工作他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障與安全有關(guān)的活動(dòng)有訪問(wèn)控制使用證件的發(fā)放與回收信息處理系統(tǒng)使用的媒介發(fā)放與回收處理保密信息硬件和軟件的維護(hù)系統(tǒng)軟件的設(shè)計(jì)實(shí)現(xiàn)和修改重要程序和數(shù)據(jù)的刪除和銷毀等任期有限原則一般來(lái)講任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)以免使他認(rèn)為這個(gè)職

9、務(wù)是專有的或永久性的為遵循任期有限原則工作人員應(yīng)不定期地循環(huán)任職強(qiáng)制實(shí)行休假制度并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)以使任期有限制度切實(shí)可行職責(zé)分離原則除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)在信息處理系統(tǒng)工作的人員不要打聽(tīng)了解或參與職責(zé)以外的任何與安全有關(guān)的事情出與對(duì)安全的考慮下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開(kāi)計(jì)算機(jī)操作與計(jì)算機(jī)編程機(jī)密資料的接收與傳送安全管理和系統(tǒng)管理應(yīng)用程序和系統(tǒng)程序的編制訪問(wèn)證件的管理與其他工作計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等222 安全管理的實(shí)現(xiàn)信息具體工作確定該系統(tǒng)的安全等級(jí)根據(jù)確定的安全等級(jí)確定安全管理范圍制訂相應(yīng)管理制度對(duì)于安全等級(jí)要求較高的系統(tǒng)要實(shí)行分區(qū)控制限制工作人員出入與

10、己無(wú)關(guān)的區(qū)域出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別系統(tǒng)采用磁卡身份卡等手段對(duì)人員進(jìn)行識(shí)別登記管理采用先進(jìn)的技術(shù)和產(chǎn)品要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性還要采用一些先進(jìn)的技術(shù)和產(chǎn)品目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種231 防火墻技術(shù)為保證網(wǎng)絡(luò)安全防止外部網(wǎng)對(duì)內(nèi)部網(wǎng)的非法入侵在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻它是一個(gè)或一組系統(tǒng)該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問(wèn)外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)它可監(jiān)測(cè)限制更改跨越防火墻的數(shù)據(jù)流確認(rèn)其來(lái)源及去處檢查數(shù)據(jù)的格式及內(nèi)容并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)其主要有應(yīng)用層網(wǎng)關(guān)數(shù)據(jù)包過(guò)濾代理服務(wù)器等幾大類型

11、232加密技術(shù)與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一隨著信息技術(shù)的發(fā)展網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注目前各國(guó)除了從法律上管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外從技術(shù)上分別在軟件和硬件兩方面采取措施推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展按作用不同 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸數(shù)據(jù)存儲(chǔ)數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種233 認(rèn)證技術(shù)認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過(guò)程即認(rèn)證建立信息的發(fā)送者或接收者的身份認(rèn)證的主要目的有兩個(gè)第一驗(yàn)證信息的發(fā)送者是真正的而不是冒充的這稱為信號(hào)源識(shí)別第

12、二驗(yàn)證信息的完整性保證信息在傳送過(guò)程中未被竄改或延遲等目前使用的認(rèn)證技術(shù)主要有消息認(rèn)證身份認(rèn)證數(shù)字簽名它對(duì)于開(kāi)放環(huán)境中的各種信息的安全有重作用234 計(jì)算機(jī)病毒的防范首先要加強(qiáng)工作人員防病毒的意識(shí)其次是安裝好的殺毒軟件合格的防病毒軟件應(yīng)該具備以下條件較強(qiáng)的查毒殺毒能力在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有萬(wàn)多種在各種操作系統(tǒng)中包括Windows UNIX都有大量能夠造成危害的計(jì)算機(jī)病毒這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒具有查毒殺毒范圍廣能力強(qiáng)的特點(diǎn)完善的升級(jí)服務(wù)與其它軟件相比防病毒軟件更需要不斷地更新升級(jí)以查殺層出不窮的計(jì)算機(jī)病毒木馬中存在這些用戶不知道的額外操作代碼因此含

13、有特洛伊木馬的程序在執(zhí)行時(shí)表面上是執(zhí)行正常的程序而實(shí)際上是在執(zhí)行用戶不希望的程序特洛伊木馬程序包括兩個(gè)部分即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令特洛伊木馬具有很強(qiáng)的生命力在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí)它能把自己插入一些未被感染的程序中從而使它們受到感染此類攻擊對(duì)計(jì)算機(jī)的危害極大通過(guò)特洛伊木馬網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件甚至可以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán) 防止在正常程序中隱藏特洛伊木馬的主要是人們?cè)谏晌募r(shí)對(duì)每一個(gè)文件進(jìn)行數(shù)字簽名而在運(yùn)行文件時(shí)通過(guò)對(duì)數(shù)字簽名的檢查來(lái)判斷文件是否被修改從而確定文件中是否含有特洛伊木馬避免下載可疑程序并拒絕執(zhí)行運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主

14、機(jī)上的監(jiān)聽(tīng)TCP服務(wù)243 過(guò)載攻擊過(guò)載攻擊是攻擊者通過(guò)服務(wù)器長(zhǎng)時(shí)間發(fā)出大量無(wú)用的請(qǐng)求使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)從而無(wú)法滿足其他用戶的請(qǐng)求過(guò)載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊它是通過(guò)大量地進(jìn)行人為地增大CPU的工作量耗費(fèi)CPU的工作時(shí)間使其它的用戶一直處于等待狀態(tài)防止過(guò)載攻擊的方法有限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)殺死一些耗時(shí)的進(jìn)程244 淹沒(méi)攻擊正常情況下TCP連接建立要經(jīng)歷3次握手的過(guò)程即客戶機(jī)向主機(jī)發(fā)送SYN請(qǐng)求信號(hào)目標(biāo)主機(jī)收到請(qǐng)求信號(hào)后向客戶機(jī)發(fā)送SYNACK消息客戶機(jī)收到SYNACK消息后再向主機(jī)發(fā)送RST信號(hào)并斷開(kāi)連接TCP的這三次握手過(guò)程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)

15、攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒(méi)有被使用的主機(jī)的IP地址向被攻擊主機(jī)發(fā)出SYN請(qǐng)求信號(hào)當(dāng)被攻擊主機(jī)收到SYN請(qǐng)求信號(hào)后它向這臺(tái)不存在IP地址的偽裝主機(jī)發(fā)出SYN消息由于此時(shí)主機(jī)的IP不存在或當(dāng)時(shí)沒(méi)有被使用所以無(wú)法向主機(jī)發(fā)送RST因此造成被攻擊的主機(jī)一直處于等待狀態(tài)直至超時(shí)如果攻擊者不斷地向被攻擊的主機(jī)發(fā)送SYN請(qǐng)求被攻擊主機(jī)就會(huì)一直處于等待狀態(tài)從而無(wú)法響應(yīng)其他用戶的請(qǐng)求對(duì)付淹沒(méi)攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)當(dāng)連接數(shù)超過(guò)某一給定的數(shù)值時(shí)實(shí)時(shí)關(guān)閉這些連接第三章 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)31 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)首先應(yīng)因地制宜根據(jù)組網(wǎng)單位的實(shí)際情況按照單位的

16、各部門安全性要求劃分盡量使同一安全級(jí)別的上網(wǎng)計(jì)算機(jī)處于同一網(wǎng)段的安全控制域中局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主要有總線型星型環(huán)形等而目前大多數(shù)都采用載波偵聽(tīng)多路訪問(wèn)沖突檢測(cè)Carrier Sense Multiple Access with Collision Detection CSMACD也就是發(fā)展到現(xiàn)在的IEEE8023規(guī)范利用這一方法建成的網(wǎng)絡(luò)我們稱之為以太網(wǎng)在以太網(wǎng)的通信方式中每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù)將以太網(wǎng)卡 支持IEEE8023規(guī)范的網(wǎng)卡 設(shè)置為混雜模式網(wǎng)卡便會(huì)將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū)以供系統(tǒng)和程序調(diào)用但是入侵者還是可能通過(guò)割開(kāi)網(wǎng)線非法接入等手段來(lái)偵聽(tīng)網(wǎng)絡(luò)截獲數(shù)據(jù)根

17、據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心因此布線要杜絕經(jīng)過(guò)不可靠的區(qū)域以防止非法接入在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機(jī)的介質(zhì)訪問(wèn)控制器 MAC 地址該地址為6個(gè)字節(jié)是用來(lái)區(qū)分網(wǎng)絡(luò)設(shè)備的唯一標(biāo)志此外對(duì)于每一個(gè)接入網(wǎng)絡(luò)中的計(jì)算機(jī)都必須先登記后連線接入網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的MAC地址便發(fā)出警告網(wǎng)管人員立即查找該設(shè)備因此在局域網(wǎng)中應(yīng)該采用以下三種組網(wǎng)方式來(lái)加強(qiáng)安全防范Nicest Packet 還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽(tīng)因此應(yīng)該以交換式集線器代替共享式集線器使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送從而防止非法偵聽(tīng)VLAN 虛擬局域網(wǎng) 的劃分 為了克服以太網(wǎng)的廣播問(wèn)題除上述方法外還可以運(yùn)用VLAN技

18、術(shù)將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信以防止大部分基于網(wǎng)絡(luò)偵聽(tīng)的入侵基于以上拓?fù)浣Y(jié)構(gòu)的連接方式用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收為了防止網(wǎng)絡(luò)的入侵嗅探可以把網(wǎng)絡(luò)分段隔離網(wǎng)絡(luò)通信合用橋接器交換器路由器應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離同時(shí)將多個(gè)局域網(wǎng)進(jìn)行互聯(lián)拓展網(wǎng)絡(luò)形成廣域網(wǎng)還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)但對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對(duì)外界的攻擊的防范和應(yīng)策32 網(wǎng)絡(luò)攻擊淺析攻擊是指非授權(quán)行為任何危害系統(tǒng)信息安全的活動(dòng)都是安全攻擊攻擊的范圍從簡(jiǎn)單的使服務(wù)器無(wú)法提供正常的服務(wù)到安全破壞控制服務(wù)器在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別以來(lái)于擁護(hù)采取

19、的安全措施在此先分析眼下比較流行的攻擊Dodos分布式拒絕服務(wù)攻擊Does是Denial of Service的簡(jiǎn)稱即拒絕服務(wù)造成Does的攻擊行為被稱為Does攻擊其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)最常見(jiàn)的Does攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過(guò)連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)使得所有可用的操作系統(tǒng)資源都被消耗殆盡最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求而分布式拒絕服務(wù) DDoSDistributed Denial of Service 攻擊是借助于客戶服務(wù)器技術(shù)將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為

20、攻擊平臺(tái)對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊從而成倍地提高拒絕服務(wù)攻擊的威力通常攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上代理程序收到指令時(shí)就發(fā)動(dòng)攻擊利用客戶服務(wù)器技術(shù)主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行見(jiàn)圖一而且現(xiàn)在沒(méi)有有限的方法來(lái)避免這樣的攻擊因?yàn)榇斯艋赥CPIP協(xié)議的漏洞要想避免除非不使用此協(xié)議顯然這是很難做到的那我們要如何放置呢1確保所有服務(wù)器采用最新系統(tǒng)并打上安全補(bǔ)丁計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁 2確保管理員對(duì)所有主機(jī)

21、進(jìn)行檢查而不僅針對(duì)關(guān)鍵主機(jī)這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在運(yùn)行什么誰(shuí)在使用主機(jī)哪些人可以訪問(wèn)主機(jī)不然即使黑客侵犯了系統(tǒng)也很難查明 3確保運(yùn)行在Unix上的所有服務(wù)都有TCP封裝程序限制對(duì)主機(jī)的訪問(wèn)權(quán)限 4禁止內(nèi)部網(wǎng)通過(guò)Modem連接至PSTN系統(tǒng)否則黑客能通過(guò)電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)即刻就能訪問(wèn)極為機(jī)密的數(shù)據(jù) 6限制在防火墻外與網(wǎng)絡(luò)文件共享這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件并以特洛伊木馬替換它文件傳輸功能無(wú)異將陷入癱瘓 8在防火墻上運(yùn)行端口映射程序或端口掃描程序大多數(shù)事件是由于防火墻配置不當(dāng)造成的使DoSDDoS攻擊成功率很高所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口 9檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)服務(wù)器系

22、統(tǒng)的日志只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更幾乎可以肯定相關(guān)的主機(jī)安全受到了威脅第四章 防范技術(shù)41 防火墻的定義與選擇網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查以決定網(wǎng)絡(luò)之間的通信是否被允許并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)防火墻目前的防火墻產(chǎn)品主要有堡壘主機(jī)包過(guò)濾路由器應(yīng)用層網(wǎng)關(guān) 代理服務(wù)器 以及電路層網(wǎng)關(guān)屏蔽主機(jī)防火墻雙宿主機(jī)等類型雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段但也有明顯不足無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊不能防

23、止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅也不能完全防止傳送已感染病毒的軟件或文件以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層屬于網(wǎng)絡(luò)層安全技術(shù)范疇作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一雖然從理論上看防火墻處于網(wǎng)絡(luò)安全的最底層負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸?shù)S著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù)同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證防止病毒與黑客侵入等方向發(fā)展防火墻的選擇防火墻作為網(wǎng)絡(luò)系統(tǒng)的安全屏障

24、 防火墻本身是安全的 作為信息系統(tǒng)安全產(chǎn)品防火墻本身也應(yīng)該保證安全不給外部侵入者以可乘之機(jī)如果像防線一樣正面雖然牢不可破但進(jìn)攻者能夠輕易地繞過(guò)防線進(jìn)入系統(tǒng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)也就沒(méi)有任何安全性可言了 通常防火墻的安全性問(wèn)題來(lái)自兩個(gè)方面其一是防火墻本身的設(shè)計(jì)是否合理這類問(wèn)題一般用戶根本無(wú)從入手只有通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定所以對(duì)用戶來(lái)說(shuō)保守的方法是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品其二是使用不當(dāng)一般來(lái)說(shuō)防火墻的許多配置需要系統(tǒng)管理員手工修改如果系統(tǒng)管理員對(duì)防火墻不十分熟悉就有可能在配置過(guò)程中遺留大量的安全漏洞在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期由于內(nèi)部信息系統(tǒng)的規(guī)模較小遭受攻擊造成的損失也較小因此沒(méi)有必要購(gòu)

25、置過(guò)于復(fù)雜和昂貴的防火墻產(chǎn)品但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品如果早期購(gòu)置的防火墻沒(méi)有可擴(kuò)充性或擴(kuò)充成本極高這便是對(duì)投資的浪費(fèi)好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間在安全水平要求不高的情況下可以只選購(gòu)基本系統(tǒng)而隨著要求的提高用戶仍然有進(jìn)一步增加選件的余地這樣不僅能夠保護(hù)用戶的投資對(duì)提供防火墻產(chǎn)品的廠商來(lái)說(shuō)也擴(kuò)大了產(chǎn)品覆蓋面 對(duì)稱加密技術(shù)在對(duì)稱加密技術(shù)中對(duì)信息的加密和解密都使用相同的鑰也就是說(shuō)一把鑰匙開(kāi)一把鎖這種加密方法可簡(jiǎn)化加密處理過(guò)程信息交換雙方都不必彼此研究和交換專用的加密算法如果在交換階段私有密鑰未曾泄露那么機(jī)密性和報(bào)文完整性就

26、可以得以保證對(duì)稱加密技術(shù)也存在一些不足如果交換一方有N個(gè)交換對(duì)象那么他就要維護(hù)N個(gè)私有密鑰對(duì)稱加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的如三重DES是DES數(shù)據(jù)加密標(biāo)準(zhǔn)的一種變形這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密從而使有效密鑰長(zhǎng)度達(dá)到112位 公開(kāi)密鑰加密 鑰RSA算法 RSA算法是RivestShamir和Adleman于197年提出的第一個(gè)完善的公鑰密碼體制其安全性是基于分解大整數(shù)的困難性在RSA體制中使用了這樣一個(gè)基本事實(shí)到目前為止無(wú)法找到一個(gè)有效的算法來(lái)分解兩大素?cái)?shù)之積利用目前已經(jīng)掌握的知識(shí)和理論分解2048bit的大

27、整數(shù)已經(jīng)超過(guò)了64位計(jì)算機(jī)的運(yùn)算能力因此在目前和預(yù)見(jiàn)的將來(lái)它是足夠安全的認(rèn)證機(jī)構(gòu)CACertification Authorty就是這樣一個(gè)確保信任度的權(quán)威實(shí)體它的主要職責(zé)是頒發(fā)證書驗(yàn)證用戶身份的真實(shí)性由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明證書任何相信該CA的人按照第三方信任原則也都應(yīng)當(dāng)相信持有證明的該用戶CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書被偽造或篡改構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的這不僅與密碼學(xué)有關(guān)系而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)此外靈活也是CA能否得到市場(chǎng)認(rèn)同的一個(gè)關(guān)鍵它不需支持各種通用的國(guó)際標(biāo)準(zhǔn)能夠很好地和其他廠家的CA產(chǎn)品兼容 452 注冊(cè)機(jī)構(gòu) RARegistrati

28、on Authority是用戶和CA的接口它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)RA不僅要支持面對(duì)面的登記也必須支持遠(yuǎn)程登記要確保整個(gè)PKI系統(tǒng)的安全靈活就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化安全的且易于操作的RA系統(tǒng) 密鑰備份和恢復(fù) 為了保證數(shù)據(jù)的安全性應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案保證安全的密鑰備份更新恢復(fù)也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性安全性可用性的重要因素 證書管理與撤消系統(tǒng) 證書是用來(lái)證明證書持有者身份的電子介質(zhì)它是用來(lái)綁定證書持有者身份和其相應(yīng)公鑰的通常這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的但是有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況這就需要

29、進(jìn)行證書撤消證書撤消的理由是各種各樣的可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制隨時(shí)查詢被撤消的證書第五章 安全技術(shù)的研究安全技術(shù)的研究現(xiàn)狀和我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密數(shù)據(jù)保護(hù)兩個(gè)階段正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段現(xiàn)已開(kāi)發(fā)研制出防火墻安全路由器安全網(wǎng)關(guān)黑客入侵檢測(cè)系統(tǒng)脆弱性掃描軟件等但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)物理生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果提出系統(tǒng)的完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案目前應(yīng)從安全體系結(jié)構(gòu)安全協(xié)議現(xiàn)代密碼理論信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面

30、開(kāi)展研究各部分相互協(xié)同形成有機(jī)整體根據(jù)防火墻所采用的技術(shù)不同我們可以將它分為四種基本類型包過(guò)濾型網(wǎng)絡(luò)地址轉(zhuǎn)換代理型和監(jiān)測(cè)型 51包過(guò)濾型包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進(jìn)行傳輸?shù)臄?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息如數(shù)據(jù)的源地址目標(biāo)地址TCPUDP源端口和目標(biāo)端口等防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些包是否來(lái)自可信任的安全站點(diǎn)一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包防火墻便會(huì)將這些數(shù)據(jù)拒之門外系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用實(shí)現(xiàn)成本較低在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全但包過(guò)濾技術(shù)的缺陷也是明顯的包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)只能根據(jù)數(shù)據(jù)包的來(lái)源目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷無(wú)法識(shí)別基于應(yīng)用層的惡意侵入如惡意的Java小程序以及電子郵件中附帶的病毒有經(jīng)驗(yàn)的黑客很容易偽造IP地址騙過(guò)包過(guò)濾型防火墻代理型代理型防火墻也可以被稱為代理服務(wù)器它的安全性要高于包過(guò)濾型產(chǎn)品并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展代理服務(wù)器位于客戶機(jī)與服務(wù)器之間完全阻擋了二者間的數(shù)據(jù)交流從客戶機(jī)來(lái)看代理服務(wù)器相當(dāng)于一臺(tái)真正的