計算機網(wǎng)絡安全與技術的研究學校敦化電視廣播大學年級專業(yè)姓名學號聯(lián)系電話工作單位指導教師建立起有中國特色的網(wǎng)絡安全體系我們知道,21世紀的一些重要特征就是數(shù)字化,網(wǎng)絡化和信息化,它是一個以網(wǎng)絡為核心的信息時代。要實現(xiàn)信息化就必須依靠完善的網(wǎng)絡，因為網(wǎng)絡可以非常迅速的傳遞信息。因此網(wǎng)絡現(xiàn)在已成為信息社會的命脈和發(fā)展知識經(jīng)濟的基礎。隨著計算機網(wǎng)絡的發(fā)展，網(wǎng)絡中的安全問題也日趨嚴重。當網(wǎng)絡的用戶來自社會各個階層與部門時，大量在網(wǎng)絡中存儲和傳輸?shù)臄?shù)據(jù)就需要保護。當人類步入21世紀這一信息社會、網(wǎng)絡社會的時候，我國將建立起一套完整的網(wǎng)絡安全體系，特別是從政策上和法律上建立起有中國特色的網(wǎng)絡安全體系。一個國家的安全體系實際上包括國家的法律和政策，以及技術與市場的發(fā)展平臺。我國在構建信息信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡安全問題,最終的辦法就是通過發(fā)展名族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡安全技術的整體提高。計算機網(wǎng)絡安全的含義計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網(wǎng)絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外，還要考慮如何應付突發(fā)的災害，軍事打擊等對網(wǎng)絡硬件的破壞，以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信，保持網(wǎng)絡通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件極其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。一、網(wǎng)絡安全初步分析（一）、網(wǎng)絡安全的必要性隨著計算機技術的不斷發(fā)展，計算機網(wǎng)絡已經(jīng)成為信息時代的重要特征。人們稱它為信息高速公路。網(wǎng)絡是計算機技術和通信技術的產(chǎn)物，適應社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設自己的信息高速公路。我國近年來計算機網(wǎng)絡發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里，計算機網(wǎng)絡一定會得到極大的發(fā)展，那時將全面進入信息時代。正因為網(wǎng)絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。（二）、網(wǎng)絡的安全管理面對網(wǎng)絡安全的脆弱性，除了在網(wǎng)絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡安全的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡安全所必須考慮的基本問題。（三）、采用先進的技術和產(chǎn)品要保證計算機網(wǎng)絡安全的安全性，還要采用一些先進的技術和產(chǎn)品。目前主要采用的相關技術和產(chǎn)品有以下幾種。1防火墻技術為保證網(wǎng)絡安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護的網(wǎng)絡和外部公共網(wǎng)絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內(nèi)部服務可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務，以及哪些外部服務可以被內(nèi)部人員訪問。它可以監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認其來源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有應用層網(wǎng)關、數(shù)據(jù)包過濾、代理服務器等幾大類型。2數(shù)據(jù)加密技術與防火墻配合使用的安全技術還有數(shù)據(jù)加密技術，是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術手段之一。隨著信息技術的發(fā)展，網(wǎng)絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術和物理防范技術的不斷發(fā)展。按作用的不同，數(shù)據(jù)加密技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術四種。3認證技術認證技術是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程，即認證建立信息的發(fā)送者或接受者的身份。認證的主要目的有兩個第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲等。目前使用的認證技術主要有消息認證、身份認證、數(shù)字簽名。4計算機病毒的防范首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件較強的查毒、殺毒能力。在當前全球計算機網(wǎng)絡上流行的計算機病毒有4萬多種，在各種操作系統(tǒng)中包括WINDOWS、UNIX和NETWARE系統(tǒng)都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強的特點。完善的升級服務。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層出不窮的計算機病毒。（四）、常見的網(wǎng)絡攻擊和防范對策1特洛伊木馬特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡中傳播的指令。特洛伊木馬具有很強的生命力，在網(wǎng)絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網(wǎng)絡攻擊者可以讀寫未經(jīng)授權的文件，甚至可以獲得對被攻擊的計算機的控制權。防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡掃描軟件定期監(jiān)視內(nèi)部主機上的監(jiān)聽TCP服務。2郵件炸彈郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡黑客通過計算機網(wǎng)絡對某一目標的報復活動中。防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復消息，也可以使自己的SMTP連接只能達成指定的服務器，從而免受外界郵件的侵襲。3過載攻擊過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊，它是通過大量地進行人為的增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。防止過載攻擊的方法有限制單個用戶所擁有的最大進程數(shù)；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在著一定的負面效應。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應，從而出現(xiàn)類似拒絕服務的現(xiàn)象。通常，管理員可以使用網(wǎng)絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機列表和網(wǎng)絡地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡內(nèi)部還是網(wǎng)絡外部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。4淹沒攻擊正常情況下，TCP連接建立要經(jīng)過3次握手的過程，即客戶機向客戶機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時的主機IP不存在或當時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機發(fā)送SYN請求，被攻擊主機就一直處于等待狀態(tài)，從而無法響應其他用戶請求。對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYNRECEIVED狀態(tài)的連接數(shù)，當連接數(shù)超過某一給定的數(shù)值時，實時關閉這些連接。二、安全技術的研究（一）、安全技術的研究現(xiàn)狀和方向我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。根據(jù)防火墻所采用的技術不同，將它分為4個基本類型包過濾型、代理型和監(jiān)測型。（二）、包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會含一些特定信息，防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一單發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。包過濾技術的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術，只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷，無法識別基于應用層的惡意侵入。（三、）代理型代理型的安全性能要高過包過濾型，并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務器相當于一臺真正的服務器；從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務器，代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)，然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。實際上，作為當前防火墻產(chǎn)品的主流趨勢，大多數(shù)代理服務器（也稱應用網(wǎng)關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的，應用網(wǎng)關能提供對協(xié)議的過濾。正是由于應用網(wǎng)關的這些特點，使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。三、結束語互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護，讓我們的網(wǎng)絡體系完善可靠。在英特網(wǎng)為我們提供了大量的機會和便利的同時，也在安全性方面給我們帶來了巨大的挑戰(zhàn)，我們不能因為害怕挑戰(zhàn)而拒絕它，否則就會得不償失，信心安全是當今社會乃至整個國