網絡安全技術論文三篇
今天學習啦小編要跟大家分享的是網絡安全技術論文三篇,歡迎大家閱讀!!!
網絡安全技術論文一:
計算機網絡安全從技術上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、加密及數字簽名技術、PKI技術等,以下就此幾項技術分別進行分析。
一、防火墻技術
防火墻是指一個由軟件或和硬件設備組合而成,處于企業(yè)或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統(tǒng)計數據。當發(fā)生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
二、加密及數字簽名技術
加密技術的出現為全球電子商務提供了保證,從而使基于Internet上的電子交易系統(tǒng)成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規(guī)的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。
不對稱加密,即“公開密鑰密碼體制,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道,分別稱為“公開密鑰”和“秘密密鑰”。
目前,廣為采用的一種對稱加密方式是數據加密標準(DES),DES對64位二進制數據加密,產生64位密文數據,實際密鑰長度為56位(有8位用于奇偶校驗,解密時的過程和加密時相似,但密鑰的順序正好相反),這個標準由美國國家安全局和國家標準與技術局來管理。DES的成功應用是在銀行業(yè)中的電子資金轉賬(EFT)領域中?,F在DES也可由硬件實現,AT&T首先用LSI芯片實現了DES的全部工作模式,該產品稱為數據加密處理機DEP。另一個系統(tǒng)是國際數據加密算法(IDEA),它比DES的加密性好,而且計算機功能也不需要那么強。在未來,它的應用將被推廣到各個領域。IDEA加密標準由PGP(Pretty Good Privacy)系統(tǒng)使用,PGP是一種可以為普通電子郵件用戶提供加密、解密方案的安全系統(tǒng)。在PGP系統(tǒng)中,使用IDEA(分組長度128bit)、RSA(用于數字簽名、密鑰管理)、MD5(用于數據壓縮)算法,它不但可以對你的郵件保密以防止非授權者閱讀,還能對你的郵件加以數字簽名從而使收信人確信郵件是由你發(fā)出。
在電腦網絡系統(tǒng)中使用的數字簽名技術將是未來最通用的個人安全防范技術,其中采用公開密鑰算法的數字簽名會進一步受到網絡建設者的青睞。這種數字簽名的實現過程非常簡單:首先,發(fā)送者用其秘密密鑰對郵件進行加密,建立了一個“數字簽名”,然后通過公開的通信途徑將簽名和郵件一起發(fā)給接收者,接收者在收到郵件后使用發(fā)送者的另一個密匙——公開密鑰對簽名進行解密,如果計算的結果相同他就通過了驗證。數字簽名能夠實現對原始郵件不可抵賴性的鑒別。另外,多種類型的專用數字簽名方案也將在電子貨幣、電子商業(yè)和其他的網絡安全通信中得到應用。
三、PKI技術
PKI(Public Key Infrastructure,公開密鑰基礎設施)是一種遵循既定標準的密鑰管理平臺,它是通過使用公開密鑰技術和數字證書來確保系統(tǒng)信息安全并負責驗證數字證書持有者身份。例如,某企業(yè)可以建立公鑰基礎設施(PKI)體系來控制對其計算機網絡的訪問。在將來,企業(yè)還可以通過公鑰基礎設施(PKI)系統(tǒng)來完成對進入企業(yè)大門和建筑物的提貨系統(tǒng)的訪問控制。
PKI讓個人或企業(yè)安全地從事其商業(yè)行為。企業(yè)員工可以在互聯網上安全地發(fā)送電子郵件而不必擔心其發(fā)送的信息被非法的第三方(競爭對手等)截獲。企業(yè)可以建立其內部Web站點,只對其信任的客戶發(fā)送信息。
PKI采用各參與方都信任一個同一CA(認證中心),由該CA來核對和驗證各參與方身份的身份這種信任機制。例如,許多個人和企業(yè)都信任合法的駕駛證或護照。這是因為他們都信任頒發(fā)這些證件的同一機構——政府,因而他們也就信任這些證件。然而,一個學生的學生證只能被核發(fā)此證的學校來進行驗證。數字證書也一樣。
在一個典型、完整和有效的PKI系統(tǒng)中,除證書的創(chuàng)建和發(fā)布,特別是證書的撤銷,一個可用的PKI產品還必須提供相應的密鑰管理服務,包括密鑰的備份、恢復和更新等。沒有一個好的密鑰管理系統(tǒng),將極大影響一個PKI系統(tǒng)的規(guī)模、可伸縮性和在協同網絡中的運行成本。在一個企業(yè)中,PKI系統(tǒng)必須有能力為一個用戶管理多對密鑰和證書;能夠提供安全策略編輯和管理工具,如密鑰周期和密鑰用途。 PKI發(fā)展的一個重要方面就是標準化問題,它也是建立互操作性的基礎。目前,PKI標準化主要有兩個方面:一是RSA公司的公鑰加密標準PKCS(Public Key Cryptography Standards),它定義了許多基本PKI部件,包括數字簽名和證書請求格式等;二是由Internet工程任務組IETF(Internet Engineering Task Force)和PKI工作組PKIX(Public Key Infrastructure Working Group)所定義的一組具有互操作性的公鑰基礎設施協議。在今后很長的一段時間內,PKCS和PKIX將會并存,大部分的PKI產品將保持兼容性,這兩種標準都會得到支持。
四、結束語
網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網絡提供強大的安全服務。
網絡安全技術論文二:
1 引言
計算機網絡的普及和網絡技術的發(fā)展深刻地改變了傳統(tǒng)的生產、經營、管理和生活方式,在構建信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產品,要想真正解決網絡安全問題,要從系統(tǒng)的規(guī)劃上去考慮它,從技術上、產業(yè)上、政策上來發(fā)展它。網絡安全是一個系統(tǒng)的概念,有效的安全策略或方案的制定,是網絡信息安全的首要目標。通過運用多種網絡安全技術,如數據加密技術、訪問控制、認證授權、防火墻、入侵檢測和防病毒等來實現信息安全。計算機網絡的高速發(fā)展帶給了人類巨大利益的同時,也帶來了許多負面的影響,在網絡安全體系中,為了彌補TCP/IP協議等各種安全漏洞,防火墻技術是很常用、很有效的防御系統(tǒng),是網絡安全防護的重要組成部分。
2 防火墻
防火墻是設置在不同網絡或者不同網絡安全域之間的一系列控制裝置的組合。防火墻產品主要有堡壘主機、包過濾路由器、應用層網關以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。在邏輯上,防火墻是一個分離器、一個限制器,也是一個分析器,它有效地監(jiān)控了所要保護的內部網和外部公共網絡之間的任何活動。從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發(fā)展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。對網絡之間傳輸的數據包依照一定的安全策略進行檢查,用于確定網絡哪些內部服務允許外部訪問,以及內部網絡主機訪問哪些外部服務等,從而保證了所要保護的內部計算機網絡的穩(wěn)定正常運行以及內部網絡上數據和信息資源的完整性、可用性和保密性。不同技術的防火墻實現的功能的側重點不同,防火墻實際上代表了一個網絡的訪問控制原則。
2.1 防火墻的種類
從技術上看,防火墻有包過濾型、代理服務器型等幾種基本類型。它們之間各有所長,具體使用哪一種或是否混合使用,要根據具體需求確定。
2.1.1 包過濾型
包過濾型防火墻是建立在路由器上,在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型產品是防火墻的初級產品,網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,與網絡管理員預先設定的訪問控制表進行比較,確定是否符合預定義好的安全策略并決定數據包的放行或丟棄。這種防火墻的優(yōu)點是簡單、方便、速度快、透明性好,對網絡性能影響不大,可以用于禁止外部不合法用戶對企業(yè)內部網的訪問,也可以用來禁止訪問某些服務類型,但是不能識別內容有危險的信息包,無法實施對應用級協議的安全處理。發(fā)現來自危險站點的數據包,防火墻便會將這些數據拒之門外。包過濾技術的優(yōu)點是簡單實用,實現成本相對較低,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。包過濾技術的缺陷也是明顯的。包過濾在網絡層上攔截所有的信息流,不保存與傳輸和應用相關的狀態(tài)信息。體現出一種無狀態(tài)性。在包過濾技術里只要符合過濾規(guī)則的數據包就可以穿過防火墻,在內網和外網間建立連接,這樣使得外部網可以訪問內部網,無形中增加了內部網的危險性。
2.1.2 代理服務器型
代理服務器型防火墻是在計算機或服務器上運行代理的服務程序,直接對特定的應用層進行服務,因此也稱為應用層網關級防火墻。安全性要高于包過濾型產品,并已經開始向應用層發(fā)展。代理服務防火墻在內部網中設置了一個代理服務器,并將外部網和內部網之間的連接分為兩段,一段是從外部網上的客戶端主機請求引到代理服務器,另一段由代理服務器連到內部網的某個主機服務器上。代理服務器型防火墻的核心,是運行于防火墻主機上的代理服務器進程,實質上是為特定網絡應用連接企業(yè)內部網與Internet的網關。代理服務器型防火墻的缺點是可能影響網絡的性能,對用戶不透明,且對每一種TCP/IP服務都要設計一個代理模塊,建立對應的網關,實現起來比較復雜。代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。
2.1.3 網絡地址轉化―NAT
網絡地址轉換是一種將私有地址轉化為合法IP地址的轉換技術,它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。NAT不僅解決了IP地址緊缺的問題,而且能使得內外網絡隔離,提供一定的網絡安全保障。內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。
2.1.4 監(jiān)測型
監(jiān)測型防火墻技術超越了最初的防火墻的網絡層定義以及只位于內部網絡與外部網絡間接口的位置定義。監(jiān)測型防火墻產品帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。監(jiān)測型防火墻能夠對各層的數據進行主動的、實時的監(jiān)測,在對這些數據加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入?;趯ο到y(tǒng)成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術。
3 結束語
隨著網絡的飛速發(fā)展,網絡中的惡意軟件越來越猖狂。為了盡最大可能地防范它們對網絡和系統(tǒng)的破壞,需要采用防火墻等網絡安全工具,在網絡邊界保護內部網絡的安全。從以上分析來看各種網絡安全技術都有各自的側重點和優(yōu)缺點,只有在網絡系統(tǒng)中將各種安全防護技術結合起來使用,才能使網絡安全得到最大限度的保護。
網絡安全技術論文三:
1 引言
21世紀全世界的計算機大部分都將通過互聯網連到一起,在信息社會中,隨著國民經濟的信息化程度的提高,有關的大量情報和商務信息都高度集中地存放在計算機中,隨著網絡應用范圍的擴大,信息的泄露問題也變得日益嚴重,因此,計算機網絡的安全性問題就越來越重要。
2 網絡威脅
2.1網絡威脅的來源
(1)網絡操作系統(tǒng)的不安全性:目前流行的操作系統(tǒng)均存在網絡安全漏洞。
(2)來自外部的安全威脅:非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統(tǒng)正常運行、利用網絡傳播病毒等。
(3)網絡通信協議本身缺乏安全性(如:TCP/IP協議):協議的最大缺點就是缺乏對IP地址的保護,缺乏對IP包中源IP地址真實性的認證機制與保密措施。
(4)木馬及病毒感染。
(5)應用服務的安全:許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮的不周全。
2.2網絡攻擊的發(fā)展趨勢
目前新發(fā)現的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞,而且每年都會發(fā)現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發(fā)現攻擊目標,而且現在攻擊工具越來越復雜,與以前相比,攻擊工具的特征更難發(fā)現,更難利用特征進行檢測,具有反偵察的動態(tài)行為攻擊者采用隱蔽攻擊工具特性的技術。攻擊自動化程度和攻擊速度提高,殺傷力逐步提高。越來越多的攻擊技術可以繞過防火墻。在許多的網站上都有大量的穿過防火墻的技術和資料。由此可見管理人員應對組成網絡的各種軟硬件設施進行綜合管理,以達到充分利用這些資源的目的,并保證網絡向用戶提供可靠的通信服務。
3 網絡安全技術
3.1網絡安全管理措施
安全管理是指按照本地的指導來控制對網絡資源的訪問,以保證網絡不被侵害,并保證重要信息不被未授權的用戶訪問。網絡安全管理主要包括:安全設備的管理、安全策略管理、安全風險控制、安全審計等幾個方面。安全設備管理:指對網絡中所有的安全產品。如防火墻、、防病毒、入侵檢測(網絡、主機)、漏洞掃描等產品實現統(tǒng)一管理、統(tǒng)一監(jiān)控。
安全策略管理:指管理、保護及自動分發(fā)全局性的安全策略,包括對安全設備、操作系統(tǒng)及應用系統(tǒng)的安全策略的管理。
安全分析控制:確定、控制并消除或縮減系統(tǒng)資源的不定事件的總過程,包括風險分析、選擇、實現與測試、安全評估及所有的安全檢查(含系統(tǒng)補丁程序檢查)。
安全審計:對網絡中的安全設備、操作系統(tǒng)及應用系統(tǒng)的日志信息收集匯總。實現對這些信息的查詢和統(tǒng)計;并通過對這些集中的信息的進一步分析,可以得出更深層次的安全分析結果。
3.2網絡安全防護措施
3.2.1防火墻技術
防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環(huán)境的特殊網絡互聯設備,主要方法有:堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換(NAT)、代理型和監(jiān)測型。
(1)包過濾型
包過濾型產品是防火墻的初級產品,這種技術由路由器和Filter共同完成,路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火墻通過讀取數據包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站,如果來自危險站點,防火墻便會將這些數據拒絕。包過濾的優(yōu)點是處理速度快易于維護。其缺點是包過濾技術完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法告知何人進入系統(tǒng),無法識別基于應用層的惡意入侵,如木馬程序,另一不足是不能在用戶級別上進行過濾。即不能鑒別不同的用戶和防止IP盜用。
(2)網絡地址轉換
網絡地址轉換在內部網絡通過安全網卡訪問外部網絡時。將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,而隱藏真實的內部網絡地址。利用網絡地址轉換技術能透明地對所有內部地址作轉換,使外部網絡無法了解內部結構,同時允許內部網絡使用自編的IP地址和專用網絡。防火墻根據預先定義好的映射規(guī)則來判斷這個訪問是否安全。
(3)代理型
代理型的特點是將所有跨越防火墻的網絡通訊鏈路分為二段。防火墻內外計算機系統(tǒng)間的應用層的“連接”由二個終止于代理服務器上的“連接”來實現,外部計算機的網絡鏈路只能到達代理服務器,由此實現了“防火墻”內外計算機系統(tǒng)的隔離,代理服務器在此等效于一個網絡傳輸層上的數據轉發(fā)器的功能,外部的惡意侵害也就很難破壞內部網絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可對應用層進行偵測和掃描,對基于應用層的入侵和病毒十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,系統(tǒng)管理復雜。
(4)監(jiān)測型
監(jiān)測型防火墻是新一代的產品,監(jiān)測型防火墻能夠對各層的數據進行主動的、實時的監(jiān)測。在對這些數據加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種監(jiān)測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中。不僅能夠監(jiān)測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產品,但其缺點是實現成本較高,管理復雜。所以目前在實用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面已開始使用監(jiān)測型防火墻。
3.2.2物理隔離
所謂“物理隔離”是指內部網不得直接或間接地連接公共網。雖然能夠利用防火墻、代理服務器、入侵監(jiān)測等技術手段來抵御來自互聯網的非法入侵。但是這些技術手段都還存在許多不足,使得內網信息的絕對安全無法實現。“物理隔離”一般采用網絡隔離卡的方法。它由三部分組成:內網處理單元、外網處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站,分別有自己獨立的硬盤分區(qū)和操作系統(tǒng),并能通過各自的專用接口與網絡連接。它通過有效而全面地控制計算機的硬盤數據線,使得計算機一次只能訪問及使用其中的一個硬盤分區(qū),從而最大限度地保證了安全(內網)與非安全(外網)之間的物理隔離。隔離島在外網區(qū)域時可以讀/寫文件,而在內網區(qū)域時只可以讀取文件,這樣就創(chuàng)建了一個只能從外網到內網、操作簡便且非常安全的單向數據通道。
4 結論
隨著網絡的發(fā)展會有更多新的計算機的攻擊方式和手段出現,也會有更多更新的防護技術手段出現,做好網絡安全防護工作是計算機管理和應用的重要內容,做好計算機的安全管理,配合高效的防火墻,能夠很好地保障網絡的安全,極大提高網絡的運行效率。
網絡安全技術論文三篇
上一篇:關于淺談網絡安全論文有哪些
下一篇:關于excel密碼