网络安全与技术.docx
《网络安全与技术.docx》由会员分享,可在线阅读,更多相关《网络安全与技术.docx(11页珍藏版)》请在冰豆网上搜索。
网络安全与技术
摘要
随着计算机网络的不断发展和普及,计算机带来了无穷的资源,随之而来的网络安全问题也显得尤为重要。
近两年间,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理。
随着网络规模的急剧膨胀。
网络用户的快速增长,如何保证网络能正常的运行不受各种网络黑客的侵害就成了不可回避的一个紧迫问题。
解决网络安全问题刻不容缓。
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的保密性,完整性,完整性,可用性,可控性和真实性受到保护。
关键词:
安全管理技术;信息安全;防火墙技术;病毒防治
绪言
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。
现代网络技术中最关键也是最容易被忽视的安全性问题,现在已经成为人们关注的焦点,也成为热门研究和人才需要的新领域。
未了保证网络信息俺去以及网络硬件及系统的正常顺利运转是基本前提,因此计算机网络和技术安全建设就显得尤为重要。
一、网络安全技术:
网络安全技术的种类有很多,具体包括:
密码学中的加密技术、消息鉴别与数字证书、网络安全协议、防火墙、病毒知识与防护、入侵检测技术、网络系统安全。
目前,我国信息网络安全技术及产品发展迅速,其中,计算机病毒防治、防火墙、安全网管、黑客入侵检测及预警、网络安全漏洞扫描、主页自动保护、有害信息检测、访问控制等一些关键性产品已实现国产化。
但是,正如《国家信息安全报告》强调指出:
“这些产品安全技术的完善性、规范性、实用性还存在许多不足,特别是在多平台的兼容性、多协性的适应性、多接口的满足性方面存在很大距离,理论基础和自主技术手段也需要发展和强化”。
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与审查性。
二、网络安全现状
网络安全是网络正常运行的前提。
网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。
要知道如何防护,首先需要了解安全风险来自何处。
风险分析是网络安全技术需要提供的一个重要功能。
它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析,分析必须包括所有有关的成分。
1.广域网安全风险分析
广域网安全系统包括技术和管理两个面,涵盖物理层、系统层、网络层、应用层和管理层各个层上面的诸多风险类。
网络哪个层上面的网络措施不到位,都回存在很大的安全隐患,都有可能造成网络中断。
1)信息与网络安全的防御能力较弱。
2)对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。
我国从发达国家和跨国公司引进和购买了大量的信息技术和设备,但由于受技术水平等限制,许多单位和部门对从外国引进的关键信息设备可能预做手脚的情况却无从检测和排除,以致我们几乎是在“抱着定时炸弹”工作。
3)基础信息产业博瑞,核心技术严重依赖国外。
4)信息安全管理机构缺乏权威。
信息安全特别是在经济等领域的安全管理条块分割、相互隔离,缺乏沟通和下调。
没有国家级的信息安全最高权威机构以及与国家信息化程相一致的信息安全工程规划。
5)信息犯罪在我国有快速发展之趋势。
随着信息设备特别是互联网的大幅普及,各类信息犯罪活到亦呈现出快速发展趋势。
今年来,境外一些反华势力还在因特网上频频发散反动言论,而各种电脑病毒及黑客对计算机网络的侵害屡屡发生。
据不完全统计,我国目前已发现的计算机病毒约有2000-3000多种,而且还在以更快的速度增加着。
6)信息安全技术设备的研发和应用有待提高。
2.局域网安全风险分析
局域网是指在小范围内有服务器和多台电脑组成的工作组互联网络。
由于通过交换器和服务器连接网内每一台电脑,因此局域网内的传输速率不较低,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传输提供了有效地通道和数据信息的安全埋下了隐患。
欺骗性的软件使用数据安全性降低。
由于局域网很大的一部分用处是自愿共享,而且正是由于共享资源的“数据开放性”导致数据信息容易被篡改和删除,数据安全性较低,例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图已有收信人给出的敏感信息。
最长用的手法是冒充一些真正的网站来骗取用户的敏感的数据(户名、口令、账号ID、ATMPIN码或信用卡详情等)。
由于大型网站反应比较迅速,而且所踢狗的安全功能不断增强,网络钓鱼已经越来越多地把目光对准了较小的网站,同时由于用户缺乏数据备份等数据安全方面知识和售段,因此会造成经常性的信息对视等现象发生。
三、信息系统安全技术分类
建立信息安全保障体系,需要从便捷方位、检测和安全反应等着手。
信息安全技术考试从边界方向建立信息安全保障体系综合技术方向发展
1.边界方位技术
边界方位技术主要提高抵御能力,可分为物理实体的防护技术和信息防护(防泄漏、放破坏)技术。
物理实体防御技术:
主要是对有形的信息载体实施保护,使之不被偷窃、复制或丢失。
如磁盘信息消除技术,室内防盗报警技术,密码锁、指纹锁、眼底锁等。
信息载体的传输、使用、保管、销毁等各个环节都可应用这类技术。
信息防护技术:
主要是对信息的处理过程和传输过程实施保护,使之不被非法入侵、外传、窃听、干扰、拷贝。
信息处理的防护主要有二种技术:
一种是软硬件加密保护技术,如口令证、密码技术、防病毒技术等;另一种是网络保密技术,主要是指防止内部网秘密信息非法外传的保密网关、安全路由器、防火墙等。
信息传输的防护也有两种技术:
一种是对信息传输信道采取措施,如专网通信技术、光纤同喜技术、干扰技术等;另一种是对传递信息使用密码技术进行加密,是窃听这既是截获信息也无法知悉其真实内容。
常用的加密设备有电话保密机
传真保密机、电子邮件密码系统等。
2.检测技术
系统运行过程中,检测信息是否被窃取,系统是否遭到入侵,并找出泄露的原因和攻击的来源。
入侵检测技术是发现“敌人”渗透企图和入侵行为的技术。
现实情况表明,网络信息系统越来越复杂,系统设计漏洞和管理漏洞层出不穷。
在近年发生的网络攻击时间中,突破边界防卫系统的案例并不多见,黑客们的攻击行动主要是利用各种漏洞长驱直入,使边界防卫设施形同虚设。
3.安全反应技术
将“敌人”攻击为怀降低到最小限度的技术。
安全的网络信息形同必须具备在被攻陷后迅速恢复的能力。
综合安全保障体系:
实施防御、常规评估和基础设施。
实施防御:
入侵基础、应急响应、灾难恢复和防守反击等。
入侵检测模块对通过防火墙的数据流进一步检查,阻止恶意攻击;应急响应模块对攻击时间进行应急处理;灾难恢复模块按照策略对遭受破坏的信息进行恢复;防守反击模块按照策略实施反击。
常规评估:
利用脆弱性数据库检测系统存在的安全隐患,为实时防御和常规评估系统。
对抗性:
防护技术与攻击技术相伴而生,相对抗而存在和发展。
多样性:
设计的技术种类很多,如涉及有线无线通信技术、计算机技术、电子技术等;服务对象多,服务范围广,涉及到办公自动化的所有设备和人类信息交流的全过程。
密码性:
攻击者和防护者总是力图隐蔽自己所采用的技术手段和方法,避免对方有针对性地采用更先进的技术措施。
四、计算机系统安全主要应解决好的以下问题
1.物理链路的安全,通过采用链路加密、专网技术和通信线路管制的手段提高通信线路的安全防护能力。
2.系统的安全,通过采用技术手段和防护设备提高系统对攻击者的抵御能力。
3.信息的安全,通过采用加密的手段确保计算机系统中存储、处理、传输的信息不被非法访问、截收、更改、复制、破坏、删除。
4.设备环境的安全,通过一定的技术手段确保信息设备的电磁泄漏辐射符合保密标注,安放设备的房间安全可靠等。
5.技术手段与管理、教育相结合,通过健全法律、法章制度和加强思想教育杜绝管理上的漏洞和思想认识上的漏洞。
6.服务器区域没有进行独立防护。
局域网内计算机的数据快速、便捷快递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且拖过服务器进行信息传递,就会感染服务器,这样的局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。
虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。
五、密码学中的加密技术
1.密码学的基本概念
密码编码是密码体制的设计学,二密码分析学则是在未知密钥的情况下从密文推演出文明或密钥的技术。
密码编码与密码分析学合起来即为密码学。
如果不论截取者获得多少密文,但在密文中都没有足够的信息来唯一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论上是不可破的。
因此,人们关心的是要研制出在计算机(而不是理论上)是不可破的密码体制。
如果一个密码体制中的密码不能被可以使用的计算资源破译,则这一密码体制称为在计算上是安全的。
2.密码分析者常用的方法
穷举攻击:
尝试密钥空间中所有可能的密钥,从统计学的角度讲,要尝试完密钥空间中大约一半的密钥才可能碰到正确的密钥。
今天标准的对称密钥的长度是128bit,档密钥空间增大时,尝试的次数必然增大,从而增加穷举攻击的难度
六、消息鉴别与数字证书
1.数字签名机制
数字签名是消息安全的一个重要研究领域,使用数字签名的主要目的与手写签名一样:
证明消息发布者的设分。
数字签名实现以下几个目的:
1)可信:
接受者通过签名可以确信消息来自声明的发送者。
2)不可伪造:
签名应当是独一无二,其他人无法假冒和伪造。
3)不可重用:
签名是消息的一部分,不能被挪用到其他文件上。
2.数字签名的基本原理
数字签名实际上是附加在数据单元上一些数据或是对数据单元所作的密码变换。
这种数据或交换能使数据单元的接受者确认数据单元的来源和数据的完整性。
签名机制的基本特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能唯一由他自己生成。
当首犯双方发生争执的时候,第三方(仲裁机构)能够根据信息上的数字签名来裁定这条信息是否确实由送方发出,从而实现抵赖服务。
3.数字证书
数字证书就是网络通信中标志通信各方身份信息的一系列数据,就像实现生活中我们拥有一张身份证和驾驶执照一样,它可以表明持证人的身份或持证人具有某种资格。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密、解密、数字签名和签名验证,确保网上传递信息的机密性、完整性、以及交易实体身份的真实性,签名的不可否认性,从而保证网络应用的安全性。
4.数字证书的分类
1)个人证书:
书中包含个人身份信息和个人的公钥,用于标识书持有人的个人身份。
数字安全证书和对应的私钥存储于E-key中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中表明身份。
2)企业或机构身份证书:
证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。
数字安全证书对应的私钥储存与E-key或IC卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易支付信息等方面。
3)支付网关证书:
支付网关证书是正式签发中心针对支付网签发的数字证书,是支付网实现数据加解密的主要工具,用于数字签名和信息加密。
支付网关证书只能在有效状态下使用,且不能被申请转让。
4)服务器证书:
符合X.509标准的数字安全证书,证书中包含服务器信息和服务器的公钥,在网络通讯中用于标识和验证服务器的身份。
数字安全证书和对应的私钥存储于E-key中。
服务器软件利用证书机制保证与其他服务器或客户端通信时双方的者实行、安全性、可信任度等。
5)企业或机构代码签名证书是CA中心发给软件提供商的数字证书,包含软件提供商的身份信息、公钥及CA的签名。
软件提供商使用代码签名证书对软件进行签名后
升级会员 