信息安全技術論文

1、式模理7次浮信息安全技術課程論文論文題目：網(wǎng)絡信息安全技術學院（系）：信息工程學院專 業(yè)：信息與通信工程班 級：學生姓名：學 號：教 師：艾青松2013年6月1日武漢理工大學碩士論文-信息安全技術網(wǎng)絡信息安全技術xxx（武漢理工大學 信息工程學院，湖北 武漢430070 ）摘 要：隨著網(wǎng)絡和計算機技術日新月異地飛速發(fā)展，網(wǎng)絡安全越發(fā)的與人們的日常生活的各個方面聯(lián)系到了一起，隨之而來的引起了越來越多的重視。盡管新的安全問題不斷產(chǎn)生和變化，但保證其安全 性還是奮斗的終極目標。因此網(wǎng)絡信息的安全必須依靠不斷創(chuàng)新的技術進步與應用、自身管理制度的 不斷完善和加強、網(wǎng)絡工作人員素質(zhì)的不斷提高等措施來保障。

2、同時要加快網(wǎng)絡信息安全技術手段的 研究和創(chuàng)新，從而使網(wǎng)絡的信息能安全可靠地為廣大用戶服務。那么本文主要介紹了網(wǎng)絡安全技術的 基本概念及其所要解決的問題，還有網(wǎng)絡安全技術的常用技術以及未來的發(fā)展趨勢。關鍵字：網(wǎng)絡信息安全，服務，防火墻1武漢理工大學碩士課程論文一信息安全技術1緒論在人類認知的有限范圍內(nèi)，信息被定義為人類社會以及自然界其他生命體中需要傳遞、交換、存儲和提取的抽象內(nèi)容。這樣的所謂信息存在于 現(xiàn)實世界的一切事物之中，被人類利用來認識世 界和改造世界。自從人類開始利用信息來為自己 服務后，信息安全問題就自然而然地凸現(xiàn)出來， 并隨之出現(xiàn)了眾多相應的解決辦法，不過在當時，這個問題并不顯得非常

3、重要。但隨著人與人、人 與自然交流的日益頻繁，信息數(shù)量的急劇膨脹， 并且當其影響到各個相對獨立主體重要利益的時 候(無論大到國與國之間的戰(zhàn)爭，或小到個人與 個人之間的秘密隱私)，信息安全問題就顯得特 別重要。多年以來，雖然人們總是不自覺地利用 信息安全技術來保證我們的秘密，但是只有當計 算機網(wǎng)絡出現(xiàn)以后，全球最大的互連網(wǎng)internet連接到千家萬戶時，信息安全才成為普通百姓也 關注的話題。隨著計算機網(wǎng)絡技術的發(fā)展和普及應 用，全球信息化已成為人類發(fā)展的大趨勢。 由于網(wǎng)絡具有連接形式多樣性、終端分布不 均勻性和網(wǎng)絡的開放性、互聯(lián)性等特征，致 使網(wǎng)絡極易受黑客、惡意軟件和其他不軌行 為的攻擊，使

4、得計算機網(wǎng)絡的安全問題日益 突出。網(wǎng)絡安全成為涉及社會生活各個領域 的一個核心問題。我國的網(wǎng)絡安全技術在近幾年得到快速的發(fā) 展，這一方面得益于從中央到地方政府的廣泛重 視，另一方面因為網(wǎng)絡安全問題日益突出，網(wǎng)絡 安全企業(yè)不斷跟進最新安全技術，不斷推出滿足 用戶需求、具有時代特色的安全產(chǎn)品，進一步促 進了網(wǎng)絡安全技術的發(fā)展。從技術層面來看，目前網(wǎng)絡安全產(chǎn)品在發(fā)展過程中面臨的主要問題 是：以往人們主要關心系統(tǒng)與網(wǎng)絡基礎層面的防護問題，而現(xiàn)在人們更加關注應用層面的安全防 護問題，安全防護已經(jīng)從底層或簡單數(shù)據(jù)層面上 升到了應用層面，這種應用防護問題已經(jīng)深入到 業(yè)務行為的相關性和信息內(nèi)容的語義范疇，越來

5、 越多的安全技術已經(jīng)與應用相結(jié)合。2網(wǎng)絡信息安全基本概念及 其所要解決的問題信息安全是指為建立信息處理系統(tǒng)而采取的 技術上和管理上的安全保護，以實現(xiàn)電子信息的 保密性、完整性、可用性和可控性。當今信息時 代，計算機網(wǎng)絡已經(jīng)成為一種不可缺少的信息交 換工具。然而，由于計算機網(wǎng)絡具有開放性、互 聯(lián)性、連接方式的多樣性及終端分布的不均勻性， 再加上本身存在的技術弱點和人為的疏忽，致使 網(wǎng)絡易受計算機病毒、黑客或惡意軟件的侵害。 面對侵襲網(wǎng)絡安全的種種威脅，必須考慮信息的 安全這個至關重要的問題。2.1基本概念(1)信息的完整性(integrity )信息在存儲、傳遞和提取的過程中沒有殘缺、 丟失等現(xiàn)

6、象的出現(xiàn)，這就要求信息的存儲介質(zhì)、 存儲方式、傳播媒體、傳播方法、讀取方式等要 完全可靠，因為信息總是以一定的方式來記錄、 傳遞與提取的，它以多種多樣的形式存儲于多樣 的物理介質(zhì)中，并隨時可能通過某種方式來傳遞。 簡單地說如果一段記錄由于某種原因而殘缺不全 了，那么其記錄的信息也就不完整了。那么我們 就可以認為這種存儲方式或傳遞方式是不安全 的。(2)信息的機密性(confidentiality ) 就是信息不被泄露或竊取。這也是一般人們所理解的安全概念。人們總希望有些信息不被自己不 信任的人所知曉，因而采用一些方法來防止，比 如把秘密的信息進行加密，把秘密的文件放在別 人無法拿到的地方等等，

7、都是實現(xiàn)信息機密性的 方法。(3)信息的有效性(availability )一種是對信息的存取有效性的保證，即以規(guī)定的 方法能夠準確無誤地存取特定的信息資源；一種 是信息的時效性，指信息在特定的時間段內(nèi)能被 有權存取該信息的主體所存取。等等。當然，信 息安全概念是隨著時代的發(fā)展而發(fā)展的，信息安 全概念以及內(nèi)涵都在不斷地發(fā)展變化，并且人們 以自身不同的出發(fā)點和側(cè)重點不同提出了許許多 多不同的理論。另外，針對某特定的安全應用時， 這些關于信息安全的概念也許并不能完全地包含 所有情況，比如信息的真實性(authenticity )、實用性(utinity )、占有性(possession )等， 就

8、是一些其他具體的信息安全情況而提出的。2.2所要解決的問題計算機網(wǎng)絡安全的層次上大致可分為：物理 安全、安全控制、安全服務三個方面。2.2.1 物理安全物理安全是指在物理介質(zhì)層次上對存儲和傳 輸?shù)木W(wǎng)絡信息的安全保護。對于計算機網(wǎng)絡設備、 設施等等免于遭受自然或人為的破壞。主要有環(huán) 境安全(即自然環(huán)境對計算機網(wǎng)絡設備與設施的 影響)；設備安全則是指防止設備被盜竊、毀壞、 電磁輻射、電磁干擾、竊聽等；媒體安全，保證 媒體本身以及媒體所載數(shù)據(jù)的安全性。該層次上 的不安全因素包括三大類：(1)自然災害、物理損壞、設備故障此類不安全因素的特點是：突發(fā)性、自然性、 和可用性威脅最大，而對網(wǎng)絡信息的保密性影

9、響 卻較小，因為在一般情況下，物理上的破壞將銷 毀網(wǎng)絡信息本身。解決此類不安全隱患的有效方 法是采取各種防護措施、制定安全規(guī)章、隨時備 份數(shù)據(jù)等。(2)電磁輻射、痕跡泄露等此類不安全因素的特點是：隱蔽性、人為實 施的故意性、信息的無意泄露性。這種不安全因 素主要破壞網(wǎng)絡信息的保密性，而對網(wǎng)絡信息的 完整性和可用性影響不大。解決此類不安全隱患 的有效方法是采取輻射防護、屏幕口令、隱藏銷 毀等手段。(3)操作失誤、意外疏漏其特點是：人為實施的無意性和非針對性。 主要破壞了網(wǎng)絡信息的完整性和可用性，而對保 密性影響不大。主要采用狀態(tài)檢測、報警確認、 應急恢復等來防范。2.2.2 安全控制安全控制是指

10、在網(wǎng)絡信息系統(tǒng)中對存儲和傳 輸輻射信息的操作和進程進行控制和管理。在網(wǎng) 絡信息處理層次上對信息進行安全保護。(1)操作系統(tǒng)的安全控制包括對用戶合法身份的核實，對文件讀寫權 限的控制等。此類控制主要是保護被存儲數(shù)據(jù)的 安全。(2)網(wǎng)絡接口模塊的安全控制在網(wǎng)絡環(huán)境下對來自其他機器的網(wǎng)絡通信進 程進行安全控制。此類控制主要包括身份認證、 客戶權限設置與判別、日志審計等手段。(3)網(wǎng)絡互連設備的安全控制非針對性。這種不安全因素對網(wǎng)絡信息的完整性對整個子網(wǎng)內(nèi)的所有主機的傳輸信息和運行 狀態(tài)進行安全檢測和控制。此類控制主要通過網(wǎng) 管軟件或路由器配置實現(xiàn)。2.2.3 安全服務安全服務是指在應用程序?qū)訉W(wǎng)絡信

11、息的保 密性、完整性和真實性進行保護和鑒別，防止各 種安全威脅和攻擊，其可以在一定程度上彌補和 完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡信息系統(tǒng)的安全漏洞。 安全服務主要內(nèi)容包括：安全機制、安全連接、 安全協(xié)議、安全策略等。(1)安全機制是利用密碼算法對重要而敏感 的數(shù)據(jù)進行處理。以保護網(wǎng)絡信息的保密性為目 標的數(shù)據(jù)加密和解密；以保證網(wǎng)絡信息來源的真 實性和合法性為目標的數(shù)字簽名和簽名驗證；以 保護網(wǎng)絡信息的完整性，防止和檢測數(shù)據(jù)被修改、 插入、刪除和改變的信息認證等。(2)安全連接是在安全處理前與網(wǎng)絡通信方 之間的連接過程。安全連接為安全處理進行了必 要的準備工作。安全連接主要包括會話密鑰的分 配和生成以及身

12、份驗證。(3)安全協(xié)議使網(wǎng)絡環(huán)境下互不信任的通信 方能夠相互配合，并通過安全連接和安全機制的 實現(xiàn)來保證通信過程的安全性、可靠性、公平性。(4)安全策略是安全機制、安全連接和安全 協(xié)議的有機組合方式，是網(wǎng)絡信息安全性完整的 解決方案。不同的網(wǎng)絡信息系統(tǒng)和不同的應用環(huán) 境需要不同的安全策略。3網(wǎng)絡安全常用技術通常保障網(wǎng)絡信息安全的方法有兩大類：以 “防火墻”技術為代表的被動防衛(wèi)型和建立在數(shù) 據(jù)加密、用戶授權確認機制上的開放型網(wǎng)絡安全 保障技術。3.1 防火墻技術“防火墻”(firewall )安全保障技術主要是 為了保護與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡或單獨節(jié)點。它具有簡單實用的特點，并且透明度高，可

13、以在不修改原有網(wǎng)絡應用系統(tǒng)的情況下達到一定的 安全要求。防火墻一方面通過檢查、分析、過濾 從內(nèi)部網(wǎng)流出的ip包，盡可能地對外部網(wǎng)絡屏蔽 被保護網(wǎng)絡或節(jié)點的信息、結(jié)構(gòu)，另一方面對內(nèi) 屏蔽外部某些危險地址，實現(xiàn)對內(nèi)部網(wǎng)絡的保護。實現(xiàn)防火墻的技術包括四大類：網(wǎng)絡級防火 墻(也叫包過濾型防火墻)、應用級網(wǎng)關、電路級 網(wǎng)關和規(guī)則檢查防火墻。(1)網(wǎng)絡級防火墻一般是基于源地址和目的地址、應用或協(xié)議 以及每個ip包的端口來作出通過與否的判斷。一 個路由器便是一個“傳統(tǒng)”的網(wǎng)絡級防火墻，大 多數(shù)的路由器都能通過檢查這些信息來決定是否 將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個ip包來 自何方，去向何處。先進的網(wǎng)絡級

14、防火墻可以判斷這一點，它可 以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些 數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進行比較， 在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒 絕包的通過。包過濾防火墻檢查每一條規(guī)則直至 發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī) 則能符合，防火墻就會使用默認規(guī)則，一般情況 下，默認規(guī)則就是要求防火墻丟棄該包。其次， 通過定義基于tcp或udp據(jù)包的端口號，防火 墻能夠判斷是否允許建立特定的連接，如 telnet、ftp連接。(2)應用級網(wǎng)關應用級網(wǎng)關能夠檢查進出的數(shù)據(jù)包，通過網(wǎng) 關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機 與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關 能夠理解

15、應用層上的協(xié)議，能夠做復雜一些的訪 問控制，并做精細的注冊和稽核。但每一種協(xié)議 需要相應的代理軟件，使用時工作量大，效率不 如網(wǎng)絡級防火墻。應用級網(wǎng)關有較好的訪問控制，是目前最安全的防火墻技術，但實現(xiàn)困難，而且有的應用級 網(wǎng)關缺乏“透明度”。在實際使用中，用戶在受信 任的網(wǎng)絡上通過防火墻訪問internet 時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄(login)才能訪問 internet 或 intranet 。(3)電路級網(wǎng)關電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器 與不受信任的主機間的tcp握手信息，這樣來決定該會話(session)是否合法，電路級網(wǎng)關是在 osi模型中會話層上來過濾數(shù)據(jù)

16、包，這樣比包過 濾防火墻要高二層。實際上電路級網(wǎng)關并非作為一個獨立的產(chǎn)品 存在，它與其他的應用級網(wǎng)關結(jié)合在一起，如trust information systems 公司的 gauntlet internet firewall ; dec 公司的 alta vista firewall等產(chǎn)品。另外，電路級網(wǎng)關還提供一個 重要的安全功能：代理服務器(proxyserver ), 代理服務器是個防火墻，在其上運行一個叫做“地 址轉(zhuǎn)移”的進程，來將所有你公司內(nèi)部的ip地址 映射到一個“安全”的ip地址，這個地址是由防 火墻使用的。但是，作為電路級網(wǎng)關也存在著一 些缺陷，因為該網(wǎng)關是在會話層工作的，它

17、就無 法檢查應用層級的數(shù)據(jù)包。(4)規(guī)則檢查防火墻該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關 和應用級網(wǎng)關的特點。它同包過濾防火墻一樣， 規(guī)則檢查防火墻能夠在 osi網(wǎng)絡層上通過ip地址 和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng) 關一樣，能夠檢查 syn和ack標記和序列數(shù)字是 否邏輯有序。當然它也象應用級網(wǎng)關一樣，可以 在osi應用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi) 容是否能符合公司網(wǎng)絡的安全規(guī)則。3.2 數(shù)字加密和用戶授權訪問控制技術與防火墻相比，數(shù)據(jù)加密與用戶授權訪問控 制技術比較靈活，更加適用于開放的網(wǎng)絡。用戶 授權訪問控制主要用于對靜態(tài)信息的保護，需要 系統(tǒng)級別的支持，一般在操作系統(tǒng)中實

18、現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動 態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主 動攻擊，雖無法避免，但卻可以有效地檢測；而對 于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn) 這一切的基礎就是數(shù)據(jù)加密。數(shù)據(jù)加密實質(zhì)上是 對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算 法，這種變換是受“密鑰”控制的。在傳統(tǒng)的加 密算法中，加密密鑰與解密密鑰是相同的，或者 可以由其中一個推知另一個，稱為“對稱密鑰算 法”。這樣的密鑰必須秘密保管，只能為授權用戶 所知，授權用戶既可以用該密鑰加密信急，也可 以用該密鑰解密信息，des是對稱加密算法中最 具代表性的算法。如果加密/解密過程各有不相干 的密鑰，構(gòu)成加密/解

19、密的密鑰對，則稱這種加密 算法為“非對稱加密算法”或稱為“公鑰加密算 法”，相應的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中， 公鑰是公開的，任 何人可以用公鑰加密信息，再將密文發(fā)送給私鑰 擁有者。私鑰是保密的，用于解密其接收的公鑰 加密過的信息。典型的公鑰加密算法如rsa是目前使用比較廣泛的加密算法。3.3 入侵檢測技術入侵檢測系統(tǒng)(intrusion detection system 簡稱ids)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收 集信息，再通過這此信息分析入侵特征的網(wǎng)絡安 全系統(tǒng)。ids被認為是防火墻之后的第二道安全 閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，

20、并利用報警與防護系統(tǒng)驅(qū)逐入侵 攻擊。在入侵攻擊過程中，能減少入侵攻擊所造 成的損失；在被入侵攻擊后，收集入侵攻擊的相關 信息，作為防范系統(tǒng)的知識，添加入策略集中， 增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型 的入侵。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測 技術是為保證計算機系統(tǒng)的安全而設計與配置的 一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn) 象的技術，是一種用于檢測計算機網(wǎng)絡中違反安 全策略行為的技術。3.4 防病毒技術隨著計算機技術的不斷發(fā)展，計算機病毒變 得越來越復雜和高級，對計算機信息系統(tǒng)構(gòu)成極 大的威脅。在病毒防范中普遍使用的防病毒軟件， 從功能

21、上可以分為網(wǎng)絡防病毒軟件和單機防病毒 軟件兩大類。單機防病毒軟件一般安裝在單臺pc上，即對本地和本地工作站連接的遠程資源采用 分析掃描的方式檢測、清除病毒。網(wǎng)絡防病毒軟 件則主要注重網(wǎng)絡防病毒，一旦病毒入侵網(wǎng)絡或 者從網(wǎng)絡向其它資源傳染，網(wǎng)絡防病毒軟件會立 刻檢測到并加以刪除。3.5 安全管理隊伍的建設在計算機網(wǎng)絡系統(tǒng)中，絕對的安全是不存在 的，制定健全的安全管理體制是計算機網(wǎng)絡安全 的重要保證，只有通過網(wǎng)絡管理人員與使用人員 的共同努力，運用一切可以使用的工具和技術， 盡一切可能去控制、減小一切非法的行為，盡可 能地把不安全的因素降到最低。同時，要不斷地 加強計算機信息網(wǎng)絡的安全規(guī)范化管理力

22、度，大 力加強安全技術建設，強化使用人員和管理人員 的安全防范意識。網(wǎng)絡內(nèi)使用的ip地址作為一種 資源以前一直為某些管理人員所忽略，為了更好地進行安全管理工作，應該對本網(wǎng)內(nèi)的ip地址資 源統(tǒng)一管理、統(tǒng)一分配。對于盜用ip資源的用戶 必須依據(jù)管理制度嚴肅處理。只有共同努力，才 能使計算機網(wǎng)絡的安全可靠得到保障，從而使廣大網(wǎng)絡用戶的利益得到保障。4網(wǎng)絡安全技術發(fā)展趨勢主要有以下幾個大的發(fā)展趨勢(1)網(wǎng)絡溯源技術和支持系統(tǒng)，是網(wǎng)絡安全可持續(xù)發(fā)展的必由之路網(wǎng)絡安全技術不斷發(fā)展的同時，黑客攻擊網(wǎng) 絡的技術也在不斷發(fā)展，這就形成了一種無 止境的對抗，這種對抗的背后是網(wǎng)絡溯源技術的缺失。溯源技 術指通過技術

23、手段，將內(nèi)容、網(wǎng)絡行為以及應用 行為等追溯到該行為發(fā)起者。而溯源技術的缺失 更多的是由于開放的ip網(wǎng)絡缺乏足夠溯源能力， 導致針對網(wǎng)絡違法行為的法規(guī)缺乏有效的技術支 撐。(2)從協(xié)議到系統(tǒng)，全面支持差異化的安全 業(yè)務差異化安全業(yè)務支持系統(tǒng)形成的原因如圖1所示。從網(wǎng)絡運營的角度來看，不管是運營商還 是部署企業(yè)網(wǎng)的企業(yè)，對網(wǎng)絡安全的投入越來越 多，除了購買必要的防火墻、入侵檢測系統(tǒng)、漏 洞掃描等，還需要定期對網(wǎng)絡安全進行評估。由 于網(wǎng)絡攻擊技術不斷發(fā)展，迫使運營商為網(wǎng)絡安 全投入資金處于不斷增長過程中。特別是網(wǎng)絡融 合的趨勢逐步成為現(xiàn)實，ip網(wǎng)絡成為下一代網(wǎng)絡 的承載網(wǎng)。當電信運營商運營全ip化的網(wǎng)絡時，為了達到電信級的服務標準，對網(wǎng)絡安全的投入 更是急劇增加。從運營的角度來看，一個持續(xù)投 入的領域，必然希望能夠獲得相應的資本回報， 由此才能產(chǎn)生良性發(fā)展，即把投入轉(zhuǎn)化成有效投資，因此安全成為一項可運營的業(yè)務有其明顯的