網路安全防護論文

網路安全是指網路上的資訊和資源不被非授權使用者使用。網路安全設計內容眾多,如合理的安全策略和安全機制。以下是小編為大家準備的網路安全防護論文，僅供參考!

　　網路安全防護論文：

一、網路安全概述

網路安全是指網路上的資訊和資源不被非授權使用者使用。網路安全設計內容眾多,如合理的安全策略和安全機制。網路安全技術包括訪問控制和口令、加密、數字簽名、包過濾以及防火牆。網路安全,特別是資訊保安,強調的是網路中資訊或資料的完整性、可用性及保密性。完整性是指保護資訊不被非授權使用者修改或破壞。可用性是指避免拒絕授權訪問或拒絕服務。保密性是指保護資訊不被洩漏給非授權使用者。

網路安全產品有以下特點:一是網路安全來源於安全策略與技術的多樣化;二是網路的安全機制與技術要不斷地變化;三是建立有中國特色的網路安全體系,需要國家政策和法規的支援及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷髮展的產業。

二、網路安全存在的威脅因素

目前網路存在的威脅主要有以下方面:

第一,非授權訪問,即沒有預先經過同意,就使用網路或計算機資源。

第二,資訊遺漏或丟失,即敏感資料在有意或無意中被洩漏出去或丟失。

第三,破壞資料完整性,即以非法方式竊得對資料得使用權,刪除、修改、插入或重發某些重要資訊,以取得有益於攻擊者得響應;惡意新增,修改資料,以干擾使用者得正常使用。

三、網路安全技術

(一)防火牆

網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路使用者以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯裝置。它對兩個或多個網路之間傳輸的資料包如連結方式按照一定的安全策略來實施檢查,以決定網路之間的通訊是否被允許,並監視網路執行狀態。根據防火牆所採用的技術不同,我們可以將它分為3種基本型別:包過濾型、網路地址轉換-NAT、代理型。

1、包過濾型。包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的資料都是以“包”為單位進行傳輸的,資料被分割成為一定大小的資料包,每一個數據包中都會包含一些特定資訊,如資料的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取資料包中的地址資訊來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的資料包,防火牆便會將這些資料拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據資料包的來源、目標和埠等網路資訊進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程式以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。

2、網路地址轉化-NAT。網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準。它允許具有私有IP地址的內部網路訪問因特網。它還意味著使用者不許要為其網路中每一臺機器取得註冊的IP地址。在內部網路通過安全網絡卡訪問外部網路時,將產生一個對映記錄。系統將外出的源地址和源埠對映為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網絡卡與外部網路連線,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網絡卡訪問內部網路時,它並不知道內部網路的連線情況,而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的對映規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連線請求對映到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將遮蔽外部的連線請求。網路地址轉換的過程對於使用者來說是透明的,不需要使用者進行設定,使用者只要進行常規操作即可。

3、代理型。代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的資料交流。從客戶機來看,代理伺服器相當於一臺真正的伺服器;而從伺服器來看,代理伺服器又是一臺真正的客戶機。當客戶機需要使用伺服器上的資料時,首先將資料請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取資料,然後再由代理伺服器將資料傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的資料通道,外部的惡意侵害也就很難傷害到企業內部網路系統。

代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體效能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用型別逐一進行設定,大大增加了系統管理的複雜性。

(二)加密技術

與防火牆配合使用的還有資料加密技術。目前各國除了從法律上、管理上加強資料的安全保護之外,從技術上分別在軟體和硬體兩方面採取措施推動資料加密技術和物理防範技術不斷髮展。按作用不同,資料加密技術分為資料傳輸、資料儲存、資料完整性的鑑別和金鑰管理技術4種。資料傳輸加密技術是對傳輸中的資料流加密,常用的方法有線路加密和端一端加密兩種;資料儲存加密技術目的是防止儲存環節上的資料失密,可分為密文儲存和存取控制兩種。前者一般是通過加密演算法轉換、附加密碼、加密模組等方法實現;後者則是對使用者資格、格限加以審查和限制,防止非法使用者存取資料或合法使用者越權存取資料。資料完整性鑑別技術目的是對介入資訊的傳送、存取、處理人的身份和相關資料內容進行驗證,達到保密的要求,一般包括口令、金鑰、身份、資料等項的鑑別,系統通過對本驗證物件輸入的特徵值是否符合預先設定的引數。實現對資料的安全保護。金鑰管理技術是為了資料使用的方便,往往是保密和竊密的主要物件。金鑰的媒體有磁卡、磁帶、磁碟、半導體儲存器等。金鑰的管理技術包括金鑰的產生、分配儲存、更換與銷燬等各環節的保密措施。

(三)PKI技術

PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是資訊保安技術的核心,也是電子商務的關鍵和基礎技術。由於通過網路進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關係變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的'機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴充套件性。它是認證機構(CA)、註冊機構(RA)、策略管理、金鑰(Key)與證書(Certificate)管理、金鑰備份與恢復、撤消系統等功能模組的有機結合。

1、認證機構。CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證使用者身份的真實性。由CA簽發的網路使用者電子身份證明-證書,任何相信該CA的人,按照第3方信任原則,也都應當相信持有證明的該使用者。CA也要採取一系列相應的措施來防止電子證書被偽造或篡改。

2、註冊機構。RA(Registration Authorty)是使用者和CA的介面,它所獲得的使用者標識的準確性是CA頒發證書的基礎。RA不僅要支援面對面的登記,也必須支援遠端登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網路化、安全的且易於操作的RA系統。

3、策略管理。在PKI系統中,制定並實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求,並且能通過CA和RA技術融入到CA和RA的系統實現中。同時,這些策略應該符合密碼學和系統安全的要求,科學地應用密碼學與網路安全的理論,並且具有良好的擴充套件性和互用性。

4、金鑰備份和恢復。為了保證資料的安全性,應定期更新金鑰和恢復意外損壞的金鑰是非常重要的,設計和實現健全的金鑰管理方案,保證安全的金鑰備份、更新、恢復,也是關係到整個PKI系統強健性、安全性、可用性的重要因素。

5、證書管理與撤消系統。證書是用來證明證書持有者身份的電子介質,它是用來繫結證書持有者身份和其相應公鑰的。通常,這種繫結在已頒發證書的整個生命週期裡是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對金鑰懷疑等一系列原因。證書撤消系統的實現是利用週期性的釋出機制撤消證書或採用線上查詢機制,隨時查詢被撤消的證書。

(四)網路防病毒技術

在網路環境下,計算機病毒有不可估量的威脅性和破壞力,一次計算機病毒的防範是網路安全性建設中重要的一環。網路反病毒技術包括預防病毒、檢測病毒和消毒三種技術。

預防病毒技術,即通過自身的常駐系統記憶體,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術有加密可執行程式、引導區保護、系統監控和讀寫控制。

檢測病毒技術,即通過對計算機病毒的特徵進行判斷的技術,如自身校驗、關鍵字、檔案長度的變化等。

消毒技術,即通過對計算機病毒的分析,開發出具有刪除病毒程式並恢復原文的軟體。

網路反病毒技術的具體實現方法包括對網路伺服器中的檔案進行頻繁的掃描和監測;在工作站上用防毒晶片和對網路目錄及檔案設定訪問許可權等。

四、安全技術的研究現狀和動向

我國資訊網路安全研究歷經了通訊保密、資料保護兩個階段,正在進入網路資訊保安研究階段,現已開發研製出防火牆、安全路由器、安全閘道器、黑客入侵檢測、系統脆弱性掃描軟體等。對我國而言,網路安全的發展趨勢將是逐步具備自主研製網路裝置的能力,自發研製關鍵晶片,採用自己的作業系統和資料庫,以及使用國產的網管軟體。我國電腦保安的關鍵在於要有自主的智慧財產權和關鍵技術,從根本上擺脫對國外技術的依賴。

網路安全技術在21世紀將成為資訊網路發展的關鍵技術,21世紀人類步入資訊社會後,資訊這一社會發展的重要戰略資源需要網路安全技術的有力保障,才能形成社會發展的推動力。在我國資訊網路安全技術的研究和產品開發仍處於起步階段,仍有大量的工作需要我們去研究、開發和探索,以走出有中國特色的產學研聯合發展之路,趕上或超過已開發國家的水平,以此保證我國資訊網路的安全,推動我國國民經濟的高速發展。