網絡安全防護論文

網絡安全是指網絡上的信息和資源不被非授權用户使用。網絡安全設計內容眾多,如合理的安全策略和安全機制。以下是小編為大家準備的網絡安全防護論文，僅供參考!

　　網絡安全防護論文：

一、網絡安全概述

網絡安全是指網絡上的信息和資源不被非授權用户使用。網絡安全設計內容眾多,如合理的安全策略和安全機制。網絡安全技術包括訪問控制和口令、加密、數字簽名、包過濾以及防火牆。網絡安全,特別是信息安全,強調的是網絡中信息或數據的完整性、可用性及保密性。完整性是指保護信息不被非授權用户修改或破壞。可用性是指避免拒絕授權訪問或拒絕服務。保密性是指保護信息不被泄漏給非授權用户。

網絡安全產品有以下特點:一是網絡安全來源於安全策略與技術的多樣化;二是網絡的安全機制與技術要不斷地變化;三是建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨着新技術發展而不斷髮展的產業。

二、網絡安全存在的威脅因素

目前網絡存在的威脅主要有以下方面:

第一,非授權訪問,即沒有預先經過同意,就使用網絡或計算機資源。

第二,信息遺漏或丟失,即敏感數據在有意或無意中被泄漏出去或丟失。

第三,破壞數據完整性,即以非法方式竊得對數據得使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者得響應;惡意添加,修改數據,以干擾用户得正常使用。

三、網絡安全技術

(一)防火牆

網絡防火牆技術是一種用來加強網絡之間訪問控制,防止外部網絡用户以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,並監視網絡運行狀態。根據防火牆所採用的技術不同,我們可以將它分為3種基本類型:包過濾型、網絡地址轉換-NAT、代理型。

1、包過濾型。包過濾型產品是防火牆的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火牆通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。

2、網絡地址轉化-NAT。網絡地址轉換是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味着用户不許要為其網絡中每一台機器取得註冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它並不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求。網絡地址轉換的過程對於用户來説是透明的,不需要用户進行設置,用户只要進行常規操作即可。

3、代理型。代理型防火牆也可以被稱為代理服務器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理服務器位於客户機與服務器之間,完全阻擋了二者間的數據交流。從客户機來看,代理服務器相當於一台真正的服務器;而從服務器來看,代理服務器又是一台真正的客户機。當客户機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然後再由代理服務器將數據傳輸給客户機。由於外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。

代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客户機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的複雜性。

(二)加密技術

與防火牆配合使用的還有數據加密技術。目前各國除了從法律上、管理上加強數據的安全保護之外,從技術上分別在軟件和硬件兩方面採取措施推動數據加密技術和物理防範技術不斷髮展。按作用不同,數據加密技術分為數據傳輸、數據存儲、數據完整性的鑑別和密鑰管理技術4種。數據傳輸加密技術是對傳輸中的數據流加密,常用的方法有線路加密和端一端加密兩種;數據存儲加密技術目的是防止存儲環節上的數據失密,可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉換、附加密碼、加密模塊等方法實現;後者則是對用户資格、格限加以審查和限制,防止非法用户存取數據或合法用户越權存取數據。數據完整性鑑別技術目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,一般包括口令、密鑰、身份、數據等項的鑑別,系統通過對本驗證對象輸入的特徵值是否符合預先設定的參數。實現對數據的安全保護。密鑰管理技術是為了數據使用的方便,往往是保密和竊密的主要對象。密鑰的媒體有磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷燬等各環節的保密措施。

(三)PKI技術

PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由於通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關係變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的'機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構(CA)、註冊機構(RA)、策略管理、密鑰(Key)與證書(Certificate)管理、密鑰備份與恢復、撤消系統等功能模塊的有機結合。

1、認證機構。CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用户身份的真實性。由CA簽發的網絡用户電子身份證明-證書,任何相信該CA的人,按照第3方信任原則,也都應當相信持有證明的該用户。CA也要採取一系列相應的措施來防止電子證書被偽造或篡改。

2、註冊機構。RA(Registration Authorty)是用户和CA的接口,它所獲得的用户標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易於操作的RA系統。

3、策略管理。在PKI系統中,制定並實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求,並且能通過CA和RA技術融入到CA和RA的系統實現中。同時,這些策略應該符合密碼學和系統安全的要求,科學地應用密碼學與網絡安全的理論,並且具有良好的擴展性和互用性。

4、密鑰備份和恢復。為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關係到整個PKI系統強健性、安全性、可用性的重要因素。

5、證書管理與撤消系統。證書是用來證明證書持有者身份的電子介質,它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命週期裏是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用週期性的發佈機制撤消證書或採用在線查詢機制,隨時查詢被撤消的證書。

(四)網絡防病毒技術

在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,一次計算機病毒的防範是網絡安全性建設中重要的一環。網絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術。

預防病毒技術,即通過自身的常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術有加密可執行程序、引導區保護、系統監控和讀寫控制。

檢測病毒技術,即通過對計算機病毒的特徵進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。

消毒技術,即通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文的軟件。

網絡反病毒技術的具體實現方法包括對網路服務器中的文件進行頻繁的掃描和監測;在工作站上用防毒芯片和對網絡目錄及文件設置訪問權限等。

四、安全技術的研究現狀和動向

我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研製出防火牆、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。對我國而言,網絡安全的發展趨勢將是逐步具備自主研製網絡設備的能力,自發研製關鍵芯片,採用自己的操作系統和數據庫,以及使用國產的網管軟件。我國計算機安全的關鍵在於要有自主的知識產權和關鍵技術,從根本上擺脱對國外技術的依賴。

網絡安全技術在21世紀將成為信息網絡發展的關鍵技術,21世紀人類步入信息社會後,信息這一社會發展的重要戰略資源需要網絡安全技術的有力保障,才能形成社會發展的推動力。在我國信息網絡安全技術的研究和產品開發仍處於起步階段,仍有大量的工作需要我們去研究、開發和探索,以走出有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展。