計算機網(wǎng)絡(luò)安全技術(shù)研究--論文

1、XXXXX 學(xué)院 成人高等教育業(yè)論文論文題目: 計算機網(wǎng)絡(luò)安全技術(shù)研究姓名XXXXXX院(系) ： XXXXXX 院專業(yè)班級(113474016)計算機科學(xué)與技術(shù)學(xué)號2XXXXXX指導(dǎo)教師XXXXXXXXX 院繼續(xù)教育學(xué)院制22學(xué)生承諾書承諾人（簽名）：本人承諾在畢業(yè)論文（設(shè)計）活動中遵守學(xué)校有關(guān)規(guī)定、恪守學(xué)術(shù)規(guī)范，在本人畢業(yè)論文（設(shè)計）內(nèi)容除特別注明和引用外，均為本人觀點，不存在剽竊、抄襲他人的學(xué)術(shù)觀點、思想和成果，不存在偽造、篡改實驗數(shù)據(jù)。如有違規(guī)行為發(fā)生，我愿承擔(dān)一切責(zé)任，接受學(xué)校的處理，并承擔(dān)相應(yīng)的法律責(zé)任。21世紀(jì)的一些重要特征就是數(shù)字化，網(wǎng)絡(luò)化和信息化，它是一個以網(wǎng)絡(luò)為核心的信 息

2、時代。隨著計算機互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息已經(jīng)成為社會發(fā)展的重要組成部 分。它涉及到政府、經(jīng)濟、文化、軍事等諸多領(lǐng)域。由于計算機網(wǎng)絡(luò)組成形式多樣性、 終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)信息容易受到來自黑客竊取、計 算機系統(tǒng)容易受惡意軟件攻擊，因此，網(wǎng)絡(luò)信息資源的安全及管理維護成為當(dāng)今信息話 時代的一個重要話題。文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述了我國發(fā)展民族信息安全 體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性 ，以及網(wǎng)絡(luò)面臨的安全性威脅 （黑客入侵）及管理維護（防火墻安全技術(shù)）。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計， 包括對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對網(wǎng)絡(luò)安全

3、的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù) 的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻 的選擇標(biāo)準(zhǔn)。同時就信息交換加密技術(shù)的分類及 RSA®法做了簡要的分析，論述了其安 全體系的構(gòu)成。關(guān)鍵詞：信息安全網(wǎng)絡(luò)防火墻數(shù)據(jù)加密摘要 3目錄 4第一章 引言1.1 概述 61.2 網(wǎng)絡(luò)安全技術(shù)的研究目的意義和背景61.3 計算機網(wǎng)絡(luò)安全的含義7第二章 網(wǎng)絡(luò)安全初步分析2.1 網(wǎng)絡(luò)安全的必要性82.2 網(wǎng)絡(luò)的安全管理 82.2.1 安全管理原則 82.2.2 安全管理的實現(xiàn) 82.3 采用先進(jìn)的技術(shù)和產(chǎn)品2.3.1 防火墻技術(shù)92.3.2 數(shù)據(jù)加密技術(shù) 102.3.

4、3 認(rèn)證技術(shù)102.3.4 計算機病毒的防范102.4 常見的網(wǎng)絡(luò)攻擊及防范對策112.4.1 特洛伊木馬112.4.2 郵件炸彈112.4.3 過載攻擊122.4.4 淹沒攻擊12第三章網(wǎng)絡(luò)攻擊分析13第四章網(wǎng)絡(luò)安全技術(shù)154.1 防火墻的定義和選擇154.2 加密技術(shù)164.2.1 對稱加密技術(shù)164.2.2 非對稱加密/公開密鑰加密164.2.3 RS頗法164.3 注冊與認(rèn)證管理 174.3.1 認(rèn)證機構(gòu)174.3.2 注冊機構(gòu)184.3.3 密鑰備份和恢復(fù) 184.3.4 證書管理與撤銷系統(tǒng) 18第五章安全技術(shù)的研究5.1 安全技術(shù)的研究現(xiàn)狀和方向 195.2 包過濾型195.3 代

5、理型19結(jié)束語21參考文獻(xiàn)第一章引言1.1 概述我們知道，21世紀(jì)的一些重要特征就是數(shù)字化，網(wǎng)絡(luò)化和信息化，它是一個以網(wǎng)絡(luò) 為核心的信息時代。要實現(xiàn)信息化就必須依靠完善的網(wǎng)絡(luò)，因為網(wǎng)絡(luò)可以非常迅速的傳 遞信息。因此網(wǎng)絡(luò)現(xiàn)在已成為信息社會的命脈和發(fā)展知識經(jīng)濟的基礎(chǔ)。隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問題也日趨嚴(yán)重。當(dāng)網(wǎng)絡(luò)的用戶來自社會各 個階層與部門時，大量在網(wǎng)絡(luò)中存儲和傳輸?shù)臄?shù)據(jù)就需要保護。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策 上和法律上建立起有中國特色的網(wǎng)絡(luò)安全體系。一個國家的安全體系實際上包括國家的法律和政策，以及技術(shù)與市場的發(fā)展

6、平臺。 我國在構(gòu)建信息信息防衛(wèi)系統(tǒng)時，應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品，我國要想真正解決 網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展名族的安全產(chǎn)業(yè)，帶動我國網(wǎng)絡(luò)安全技術(shù)的整 體提高。網(wǎng)絡(luò)安全產(chǎn)品有以下幾個特點：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化， 如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機制與技術(shù)要不斷的 變化；第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng) 絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國 家政策和法規(guī)的支持及集團聯(lián)合開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷的 向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技

7、術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。信息安全是國家發(fā)展所面臨的一個重要問題， 對于這個問題，我們還沒有從系統(tǒng)的 規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的 發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系 統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來數(shù)字化、網(wǎng)絡(luò)化、信息化的發(fā)展將 起到非常重要的作用。1.2 網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景目前計算機網(wǎng)絡(luò)面臨著很大的威脅， 其構(gòu)成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。隨著計算機絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機構(gòu)、

8、企事業(yè)單位帶來了革命性的改革。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布 不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)容易受黑客、病毒、惡意軟件和 其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。對于軍用 的自動化指揮網(wǎng)絡(luò)、C3I系統(tǒng)、銀行和政府等傳輸銘感數(shù)據(jù)的計算機網(wǎng)絡(luò)系統(tǒng)而言， 其 網(wǎng)上信息的安全性和保密性尤為重要。因此，上述的網(wǎng)絡(luò)必須要有足夠強的安全措施， 否則該網(wǎng)絡(luò)將是個無用、甚至?xí)C國家安全的網(wǎng)絡(luò)。無論是在局域網(wǎng)中還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性，故此，網(wǎng)絡(luò) 的安全措施應(yīng)是能全方位的針對各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能

9、確保網(wǎng)絡(luò) 信息的保密性、完整性、和可行。為了確保信息安的安全與暢通，研究計算機網(wǎng)絡(luò)的 安全以及防范措施已迫在眉睫。本文就進(jìn)行初步探討計算機網(wǎng)絡(luò)安全的管理及技術(shù)措 施。認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計算機網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個極為復(fù) 雜的系統(tǒng)工程，是一個安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善 的情況下，首先是各計算機網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強工作人員的責(zé)任心和防范 意識，自覺執(zhí)行各項安全制度，在此基礎(chǔ)上，再采用現(xiàn)金的技術(shù)和產(chǎn)品，構(gòu)造全防衛(wèi) 的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。1.3 計算機網(wǎng)絡(luò)安全的含義計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網(wǎng)

10、絡(luò) 安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私 或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了 關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害，軍事打擊等對網(wǎng)絡(luò)硬件的 破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件極其在網(wǎng)絡(luò)上傳輸信息 的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的， 也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得 網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。第二章網(wǎng)絡(luò)安全初步分析2.1 網(wǎng)絡(luò)安全的必要性隨著計算機

11、技術(shù)的不斷發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)成為信息時代的重要特征。人們稱 它為信息高速公路。網(wǎng)絡(luò)是計算機技術(shù)和通信技術(shù)的產(chǎn)物，適應(yīng)社會對信息共享和信 息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我國近年來計算機網(wǎng) 絡(luò)發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在 不長的時間里，計算機網(wǎng)絡(luò)一定會得到極大的發(fā)展，那時將全面進(jìn)入信息時代。正因 為網(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。2.2 網(wǎng)絡(luò)的安全管理面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安 全保密措施外，還必須花大力氣加強網(wǎng)絡(luò)安全的安全管理，因為諸多的不安

12、全因素恰 恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡(luò)安全所必須考慮的基本問 題。2.2.1 安全管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于 3個原則：多人負(fù)責(zé)原則每一項與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng) 導(dǎo)指派的，他們忠誠可靠，能勝任此項工作；他們應(yīng)該簽署工作情況記錄以證明安 全工作以得到保障。與安全有關(guān)的活動有：訪問控制使用證件的發(fā)放與回收，信息 處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護，系統(tǒng)軟件的 設(shè)計、實現(xiàn)和修改，重要數(shù)據(jù)的刪除和銷毀等。任期有限原則 一般來講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個職務(wù)是專有 的或永

13、久性的。為遵循任期有限原則，工作人員應(yīng)不定期的循環(huán)任職，強制實行休 假制度，并規(guī)定對工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實可行。職責(zé)分離原則除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé) 以外的任何與安全有關(guān)的事情。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工 作應(yīng)當(dāng)分開：計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統(tǒng) 管理、應(yīng)用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機操作與信 息處理系統(tǒng)使用媒介的保管等。2.2.2 安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理 制度或采用相應(yīng)的規(guī)范。具體工

14、作是：根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。根據(jù)確定的安全等級，確定安全管理范圍。制定相應(yīng)的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限 制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)， 采用此卡、身份卡等手段，對人員進(jìn)行識別，登記管理。2.3 采用先進(jìn)的技術(shù)和產(chǎn)品要保證計算機網(wǎng)絡(luò)安全的安全性， 還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用 的相關(guān)技術(shù)和產(chǎn)品有以下幾種。2.3.1 防火墻技術(shù)為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi) 部服務(wù)可以被

15、外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)， 以及哪些外部服務(wù) 可以被內(nèi)部人員訪問。它可以監(jiān)測、限制、 更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來源及 去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。2.3.2 數(shù)據(jù)加密技術(shù)與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)， 是為了提高信息系統(tǒng)及數(shù)據(jù)的安全 性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā) 展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強數(shù) 據(jù)的安全保護外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術(shù)和 物理

16、防范技術(shù)的不斷發(fā)展。按作用的不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、 數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。2.3.3 認(rèn)證技術(shù)認(rèn)證技術(shù)是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要 作用。認(rèn)證是指驗證一個最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接受 者的身份。認(rèn)證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的， 這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲 等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。2.3.4 計算機病毒的防范首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒

17、軟件應(yīng)該具備以下條件： 較強的查毒、殺毒能力。在當(dāng)前全球計算機網(wǎng)絡(luò)上流行的計算機病毒有4萬多種， 在各種操作系統(tǒng)中包括 Windows、UNIX和Netware系統(tǒng)都有大量能夠造成危害的 計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查 殺、殺毒范圍廣、能力強的特點。 完善的升級服務(wù)。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層 出不窮的計算機病毒。2.4 常見的網(wǎng)絡(luò)攻擊和防范對策2.4.1 特洛伊木馬特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木 馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面 上是執(zhí)

18、行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩 部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。 特洛伊木馬具有很強的生命力, 在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻 擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計算機的控制權(quán)。防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進(jìn)行 數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文 件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡(luò)掃描軟件定期監(jiān)

19、視 內(nèi)部主機上的監(jiān)聽TCP服務(wù)。2.4.2 郵件炸彈郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機器不斷的大量的向同以 地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存 儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。此種攻擊 經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計算機網(wǎng)絡(luò)對某一目標(biāo)的報復(fù)活動中。防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址 進(jìn)行配置，自動刪除來自同一主機的過量或重復(fù)消息，也可以使自己的 SMTP®接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。2.4.3 過載攻擊過載攻擊是攻擊者通過服務(wù)器長時間發(fā)出大量無

20、用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種 方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為的增大 CPU勺工作量，耗費CPU勺工作時間， 使其它的用戶一直處于等待狀態(tài)。防止過載攻擊的方法有：限制單個用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時的進(jìn)程。然 而，不幸的是這兩種方法都存在著一定的負(fù)面效應(yīng)。通過對單個用戶所擁有的最大進(jìn)程 數(shù)的限制和耗時進(jìn)程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類 似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機列 表和網(wǎng)絡(luò)地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟

21、是來自于網(wǎng)絡(luò) 內(nèi)部還是網(wǎng)絡(luò)外部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。2.4.4 淹沒攻擊正常情況下，TCR4接建立要經(jīng)過3次握手的過程，即客戶機向客戶機發(fā)送SYN青求信號； 目標(biāo)主機收到請求信號后向客戶機發(fā)送 SYN/AC附息；客戶機收到SYN/AC附息后再向 主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機會。攻 擊者可以使用一個不存在或當(dāng)時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當(dāng)被攻擊主機收到SYN青求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/ 消息。由于此時的主機IP不存在或當(dāng)時沒有被使用所以無法向主機發(fā)送RST

22、因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機發(fā)送 SYN青求，被攻擊主機就一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶請求。對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時，實時關(guān)閉這些連接。第三章網(wǎng)絡(luò)攻擊分析攻擊是指非授權(quán)行為。攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到安全破 壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實施的攻擊級別以來于擁護采取的安全措施。在此先分析下比較流行的攻擊 Dodos分布式拒絕服務(wù)攻擊：Does是Denial of Service 的簡稱，即拒絕服務(wù)，造成 Does的攻擊行為被稱為Doe

23、s攻擊，其目的是使計算機或網(wǎng) 絡(luò)無法提供正常的服務(wù)。最常見的 Does攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬 攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法 的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機，使得所有可用 的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕 服務(wù)(DDoS:Distributed Denial of Service )攻擊是借助于客戶/服務(wù)器技術(shù)，將多個 計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊賬號將 DDoSE

24、控程序安裝在一個計算機上， 在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。因為此攻擊基于TCP/IP協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做 到的那我們要如何放置呢？1 .確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補丁。計算機緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)， 幾乎每個受到DDo畋擊的系統(tǒng)都沒有及時打上補丁。2 .確保管理員對所有主機進(jìn)行檢查，而不僅針對關(guān)鍵主機。這是為了確保管理員知 道每個主機系統(tǒng)在 運

25、行什么？ 誰在使用主機？哪些人可以訪問主機？不然，即使黑客侵犯了系統(tǒng)，也很難查明。3 .確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫中刪除未使用的服務(wù)如FTP或NFS.等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其 他系統(tǒng)一甚至是受防火墻保護的系統(tǒng)。4 .確保運行在Unix上的所有服務(wù)都有TC陽裝程序，限制對主機的訪問權(quán)。5 .禁止內(nèi)部網(wǎng)通過Modem®接至PSTN系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保 護的主機，即刻就能訪問極為機密的數(shù)據(jù)。6 .禁止使用網(wǎng)絡(luò)訪問程序如 Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的 訪問程序如SSH&#

26、174;（代。SSH會在網(wǎng)上以明文格式傳遞口令，而 Telnet和Rlogin 則正 好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外，在Unix 上應(yīng)該將 . rhost 和 hosts.equiv 文件刪除, 因為不用猜口令, 這些文件就會提供登錄訪問 !7 . 限制在防火墻外與網(wǎng)絡(luò)文件共享。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊 木馬替換他，文件傳輸功能無異將陷入癱瘓。8 . 確保手頭上有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP 地址、主機、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū) （ DMZ） 及網(wǎng)絡(luò)的內(nèi)部保密部分。9 . 在防火墻上運行端口映

27、射程序或端口掃描程序。大多數(shù)時間是由于防火墻配置不當(dāng)造成的，使DoS/ DDoSfc擊成功率很高，所以一定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。10 . 檢查所有網(wǎng)絡(luò)設(shè)備和主機/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更，幾乎可以坑定：相關(guān)的主機安全收到了威脅。第四章網(wǎng)絡(luò)安全技術(shù)4.1 防火墻的定義和選擇4.1.1 防火墻的定義網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制， 防止外部網(wǎng)絡(luò)用戶以非法手段通 過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián) 設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢 查，以決定網(wǎng)絡(luò)之間的通信是否被允許，

28、并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及 電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障， 防火墻是最先受到人們重視的網(wǎng)絡(luò) 安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn) 證與傳輸。但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已 經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能 為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶 認(rèn)證、防止病毒與黑客入侵等方向發(fā)展。4.1.2 防火墻的選擇總擁有成本

29、防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（TCO不應(yīng)該超過受保護網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其 系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為 10萬元，則該部門所配備防火墻的總成本也 不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也不應(yīng) 該考慮在內(nèi)。如果僅作粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的 建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下兩條：（1）防火墻本身是安全的作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機。 如果像瑪奇諾防線一樣，正面雖然牢不可破，

30、但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi) 部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。通常，防火墻的安全性問題來自兩個方面： 其一是防火墻本身的設(shè)計是否合理， 其 二是使用不當(dāng)。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理 員對防火墻十分不熟悉，就有可能在配置過程中遺留大量的安全漏洞。(2)可擴充性在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也 較小，因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴容和網(wǎng)絡(luò)應(yīng)用 的增加，網(wǎng)絡(luò)的風(fēng)險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產(chǎn)品。 如果早期購置的防火墻沒有可擴充性，或擴充成本極高，這便是對投資

31、的浪費。好的產(chǎn) 品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)， 而隨著要求的提供，用戶仍然有進(jìn)一步增加選擇的余地。這樣不僅能夠保護用戶的投資， 對提供防火墻產(chǎn)品的廠商來說，也擴大產(chǎn)品的覆蓋面。4.2 加密技術(shù)信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密.4.2.1 對稱加密技術(shù)在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把 鎖.這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密 算法。如果在交換階段私有密鑰未曾泄漏，那么機密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有N個交換對象

32、，那么他就要維護 N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都 是通過這把密鑰加密后傳送給對方。如三重 DES是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的一種變形，這 種方法使用兩個獨立的56位密鑰對信息進(jìn)行3次加密，從而使有效密鑰長度達(dá)到112位。4.2.2 非對稱加密技術(shù)在非對稱加密體系中，密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私 有密鑰(解密密鑰)加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能 有生成密鑰的交換方掌握，公開密鑰可廣泛分布，但它只對應(yīng)于生成密鑰的交換方。

33、非 對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份 認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之 上，是計算機復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。4.2.3 RSA 算法RSAM法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分散兩大素數(shù)之積。RSAT法的描述如下：公開密鑰：n=pq(p、q分別為兩個互異的大素數(shù)，p、q必須保密)e 與(p-1)(q-1)互素私

34、有密鑰：d=e-1 mod(p-1)(q-1)加密：c=me(mod n),其中m為明文，c為密文。解密：m=cd(mod n)利用目前已經(jīng)掌握的只是和理論，分解 2048bit的大整數(shù)已經(jīng)超過了 64位計算機的 運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。4.3 注冊與認(rèn)證管理4.3.1 認(rèn)證機構(gòu)CA (Certification Authorty )就是這樣一個確保信任度的權(quán)威實體，它的主要職 責(zé)是頻發(fā)證書、驗證用戶身份的真實性。由 CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明一證書，任 何相彳S該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取 一系列相應(yīng)的措施來防止電子

35、證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關(guān) 重要的，這不僅與密碼學(xué)有關(guān)系，而且還與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。4.3.2 注冊機構(gòu)RA(Registration Authority)是用戶和CA的借口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA發(fā)給證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個 PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。4.3.3 密鑰備份和恢復(fù)為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的， 設(shè) 計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、 恢復(fù)，也是關(guān)系到整個PKI 系統(tǒng)強健性、安

36、全性、可用性的重要因素。4.3.4 證書管理與撤銷系統(tǒng)證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相 應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會 出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤銷，證書撤銷的理由是各種各 樣的。可能包括工作變動到對密鑰懷疑等一系列原因。證書撤銷系統(tǒng)實現(xiàn)是利用周期性 的發(fā)布機制撤銷證書或采用在線查詢機制，隨時查詢被撤銷的證書。第五章安全技術(shù)的研究5.1 安全技術(shù)的研究現(xiàn)狀和方向我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安 全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)

37、關(guān)、黑客入侵檢測、系統(tǒng)脆 弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù) 學(xué)、物理、生化信息技術(shù)和計算機技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系 統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、 現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同 形成有機整體。根據(jù)防火墻所采用的技術(shù)不同，將它分為4個基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT、代理型和監(jiān)測型。5.2 包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，具技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上 的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù) 據(jù)包中都會含一些特定信息，防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是 否來自可信任的安全站點，一單發(fā)現(xiàn)來