網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷.
網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
網路安全的目的是保障用戶業務的順利進行,滿足用戶的業務需求是網路安全的首要任務,離開這一主題,奢談安全技術和產品無異於南轅北轍。
網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私,
訪問和破壞。
計算機網路面臨的安全威脅大體可分為兩種:一是對網路本身的威脅,二是對網路中信息的威脅。對網路本身的威脅包括對網路設備和網路軟體系統平台的威脅;對網路中信息的威脅除了包括對網路中數據的威脅外,還包括對處理這些數據的信息系統應用軟體的威脅。
影響計算機網路安全的因素很多,對網路安全的威脅主要來自人為的無意失誤、人為的惡意攻擊和網路軟體系統的漏洞和「後門」三個方面的因素。
人為的無意失誤是造成網路不安全的重要原因。網路管理員在這方面不但肩負重任,還面臨越來越大的壓力。稍有考慮不周,安全配置不當,就會造成安全漏洞。另外,用戶安全意識不強,不按照安全規定操作,如口令選擇不慎,將自己的賬戶隨意轉借他人或與別人共享,都會對網路安全帶來威脅。
人為的惡意攻擊是目前計算機網路所面臨的最大威脅。人為攻擊又可以分為兩類:一類是主動攻擊,它以各種方式有選擇地破壞系統和數據的有效性和完整性;另一類是被動攻擊,它是在不影響網路和應用系統正常運行的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害,導致網路癱瘓或機密泄漏。
網路軟體系統不可能百分之百無缺陷和無漏洞。另外,許多軟體都存在設計編程人員為了方便而設置的「後門」。這些漏洞和「後門」恰恰是黑客進行攻擊的首選目標。
B. 信息安全技術 與此課題有關的國內,國外研究情況、課題研究的主要內容、目的和意義
熱心相助
您好!
國內外網路安全技術研究現狀
1.國外網路安全技術的現狀
(1)構建完善網路安全保障體系
針對未來網路信息戰和各種網路威脅、安全隱患越來越暴露的安全問題。新的安全需求、新的網路環境、新的威脅,促使美國和其他很多發達國家為具體的技術建立一個以深度防禦為特點的整體網路安全平台——網路安全保障體系。
(2)優化安全智能防禦技術
美國等國家對入侵檢測、漏洞掃描、入侵防禦技術、防火牆技術、病毒防禦、訪問控制、身份認證等傳統的網路安全技術進行更為深入的研究,改進其實現技術,為國防等重要機構研發了新型的智能入侵防禦系統、檢測系統、漏洞掃描系統、防火牆、統一資源管理等多種安全產品。
另外,美國還結合生物識別、公鑰基礎設施PKI(Public Key Infrastructure )和智能卡技術研究訪問控制技術。美國軍隊將生物測量技術作為一個新的研究重點。從美國發生了恐怖襲擊事件,進一步意識到生物識別技術在信息安全領域的潛力。除利用指紋、聲音成功鑒別身份外,還發展了遠距人臉掃描和遠距虹膜掃描的技術,避免了傳統識別方法易丟失、易欺騙等許多缺陷。
(3)強化雲安全信息關聯分析
目前,針對各種更加復雜及頻繁的網路攻擊,加強對單個入侵監測系統數據和漏洞掃描分析等層次的雲安全技術的研究,及時地將不同安全設備、不同地區的信息進行關聯性分析,快速而深入地掌握攻擊者的攻擊策略等信息。美國在捕獲攻擊信息和掃描系統弱點等傳統技術上取得了很大的進展。
(4)加強安全產品測評技術
系統安全評估技術包括安全產品評估和信息基礎設施安全性評估技校。
美國受恐怖襲擊「9.11」事件以來,進一步加強了安全產品測評技術,軍隊的網路安全產品逐步採用在網路安全技術上有競爭力的產品,需要對其進行嚴格的安全測試和安全等級的劃分,作為選擇的重要依據。
(5)提高網路生存(抗毀)技術
美軍注重研究當網路系統受到攻擊或遭遇突發事件、面臨失效的威脅時,盡快使系統關鍵部分能夠繼續提供關鍵服務,並能盡快恢復所有或部分服務。結合系統安全技術,從系統整體考慮安全問題,是網路系統更具有韌性、抗毀性,從而達到提高系統安全性的目的。
主要研究內容包括進程的基本控制技術、容錯服務、失效檢測和失效分類、服務分布式技術、服務高可靠性控制、可靠性管理、服務再協商技術。
(6)優化應急響應技術
在美國「9.11」 襲擊事件五角大樓被炸的災難性事件中,應急響應技術在網路安全體系中不可替代的作用得到了充分的體現。僅在遭受襲擊後幾小時就基本成功地恢復其網路系統的正常運作,主要是得益於事前在西海岸的數據備份和有效的遠程恢復技術。在技術上有所准備,是美軍五角大樓的信息系統得以避免致命破壞的重要原因。
(7)新密碼技術的研究
美國政府在進一步加強傳統密碼技術研究的同時,研究和應用改進新橢圓曲線和AES等對稱密碼,積極進行量子密碼新技術的研究。量子技術在密碼學上的應用分為兩類:一是利用量子計算機對傳統密碼體制進行分析;二是利用單光子的測不準原理在光纖一級實現密鑰管理和信息加密,即量子密碼學。
2. 我國網路安全技術方面的差距
我國對網路安全技術研究非常重視,已經納入國家「973」計劃、「863」計劃和國家自然科學基金等重大高新技術研究項目,而且在密碼技術等方面取得重大成果。但是,與先進的發達國家的新技術、新方法、新應用等方面相比還有差距,應當引起警覺和高度重視,特別是一些關鍵技術必須盡快趕上,否則「被動就要挨打」。
(1)安全意識差,忽視風險分析
我國較多企事業機構在進行構建及實施網路信息系統前,經常忽略或簡化風險分析,導致無法全面地認識系統存在的威脅,很可能導致安全策略、防護方案脫離實際。
(2)急需自主研發的關鍵技術
現在,我國計算機軟硬體包括操作系統、資料庫系統等關鍵技術嚴重依賴國外,而且缺乏網路傳輸專用安全協議,這是最大的安全隱患、風險和缺陷,一旦發生信息戰時,非國產的晶元、操作系統都有可能成為對方利用的工具。所以,急需進行操作系統等安全化研究,並加強專用協議的研究,增強內部信息傳輸的保密性。
對於已有的安全技術體系,包括訪問控制技術體系、認證授權技術體系、安全DNS體系、公鑰基礎設施PKI技術體系等,並制訂持續性發展研究計劃,不斷發展完善,為網路安全保障充分發揮更大的作用。
(3)安全檢測防禦薄弱
網路安全檢測與防禦是網路信息有效保障的動態措施,通過入侵檢測與防禦、漏洞掃描等手段,定期對系統進行安全檢測和評估,及時發現安全問題,進行安全預警,對安全漏洞進行修補加固,防止發生重大網路安全事故。
我國在安全檢測與防禦方面比較薄弱,應研究將入侵檢測與防禦、漏洞掃描、路由等技術相結合,實現跨越多邊界的網路入侵攻擊事件的檢測、防禦、追蹤和取證。
(4)安全測試與評估不完善
如測試評估的標准還不完整,測試評估的自動化工具匱乏,測試評估的手段不全面,滲透性測試的技術方法貧乏,尤其在評估網路整體安全性方面。
(5)應急響應能力欠缺
應急響應就是對網路系統遭受的意外突發事件的應急處理,其應急響應能力是衡量系統生存性的重要指標。網路系統一旦發生突發事件,系統必須具備應急響應能力,使系統的損失降至最低,保證系統能夠維持最必需的服務,以便進行系統恢復。
我國應急處理的能力較弱,缺乏系統性,對系統存在的脆弱性、漏洞、入侵、安全突發事件等相關知識研究不夠深入。特別是在跟蹤定位、現場取證、攻擊隔離等方面的技術,缺乏研究和相應的產品。
(6)強化系統恢復技術不足
網路系統恢復指系統在遭受破壞後,能夠恢復為可用狀態或仍然維持最基本服務的能力。我國在網路系統恢復方面的工作,主要從系統可靠性角度進行考慮,以磁碟鏡像備份、數據備份為主,以提高系統的可靠性。然而,系統可恢復性的另一個重要指標是當系統遭受毀滅性破壞後的恢復能力,包括整個運行系統的恢復和數據信息的恢復等。在這方面的研究明顯存在差距,應注重相關遠程備份、異地備份與恢復技術的研究,包括研究遠程備份中數據一致性、完整性、訪問控制等關鍵技術。
3.網路安全技術的發展態勢
網路安全的發展態勢主要體現在以下幾個方面:
(1)網路安全技術水平不斷提高
隨著網路安全威脅的不斷加劇和變化,網路安全技術正在不斷創新和提高,從傳統安全技術向可信技術、深度檢測、終端安全管控和Web安全等新技術發展,也不斷出現一些雲安全、智能檢測、智能防禦技術、加固技術、網路隔離、可信服務、虛擬技術、信息隱藏技術和軟體安全掃描等新技術。可信技術是一個系統工程,包含可信計算技術、可信對象技術和可信網路技術,用於提供從終端及網路系統的整體安全可信環境。
(2)安全管理技術高度集成
網路安全技術優化集成已成趨勢,如殺毒軟體與防火牆集成、虛擬網VPN與防火牆的集成、入侵檢測系統IDS與防火牆的集成,以及安全網關、主機安全防護系統、網路監控系統等集成技術。
(3)新型網路安全平台
統一威脅管理UTM(UnifiedThreat Management)是實現網路安全的重要手段,也是網路安全技術發展的一大趨勢,已成為集多種網路安全防護技術一體化的解決方案,在保障網路安全的同時大量降低運維成本。主要包括:網路安全平台、統一威脅管理工具和日誌審計分析系統等。將在5.5.5中具體進行介紹。
【案例1-6】國際互聯網安全聯盟DMARC(Domain-based Message Authentication, Reporting & Conformance)。由於全球知名互聯網公司多次出現網站被黑、域名被更改及詐騙性郵件等網路安全問題,在2012年由谷歌、Facebook、微軟、雅虎、網易等15家組建成立,僅1年多時間就使約19.76億的電子郵箱用戶受益,約為全球33億電子郵箱用戶中三分之二,每月攔截過上億封詐騙性郵件。
2013年中國互聯網安全聯盟成立。由網易、網路、人人、騰訊、新浪、微軟、阿里巴巴集團及支付寶七家企業依照相關法律、法規,在平等互利、共同發展、優勢互補、求同存異的原則下共同發起組建,制定了《互聯網企業安全漏洞披露與處理公約》。其中,擁有超過5.3億郵箱用戶的網易公司,已經取得了重大成果。
(4)高水平的服務和人才
網路安全威脅的嚴重性及新變化,對解決網路安全技術和經驗要求更高,急需高水平的網路安全服務和人才。隨著網路安全產業和業務的發展網路安全服務必將擴展,對網路系統進行定期的風險評估,通過各種措施對網路系統進行安全加固,逐漸交給網路安全服務公司或團隊將成為一種趨勢。為用戶提供有效的網路安全方案是服務的基本手段,對網路系統建設方案的安全評估、對人員安全培訓也是服務的重要內容。
(5)特殊專用安全工具
對網路安全影響范圍廣、危害大的一些特殊威脅,應採用特殊專用工具,如專門針對分布式拒絕服務攻擊DDoS的防範系統,專門解決網路安全認證、授權與計費的AAA(Authentication Authorization Accounting)認證系統、單點登錄系統、入侵防禦系統、智能防火牆和內網非法外聯系統等。
近年來,世界競爭會變得更加激烈,經濟從「金融危機」影響下的持續低迷中艱難崛起,企業更注重探尋新的經濟增長點、優先保護品牌、用戶數據、技術研發和知識產權等。同時,在面臨新的挑戰中精打細算,減少非生產項目的投入,使用更少的信息安全人員,以更少的預算保護企業資產和資源。
摘自:高等教育出版社,網路安全技術與實踐,賈鐵軍教授新書。
C. 網路安全技術主要研究網的什麼和什麼,以確保網路免受各種威脅和攻擊
網路安全主要研究計算機網路的安全技術和安 全機制,以確保網路免受各種威脅和攻擊,做到正常運行。
D. 網路安全研究的內容
網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。 網路安全應具有以下五個方面的特徵: 保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控制能力。
可審查性:出現的安全問題時提供依據與手段 從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
記得採納啊
E. 結合實驗課項目及所收集信息,談談如何構建安全網路信息環境,以及如何從技術角度應對各種網路安全威脅
一、引言
微型計算機和區域網的廣泛應用,基於client/server體系結構的分布式系統的出現,I
SDN,寬頻ISDN的興起,ATM技術的實施,衛星通信及全球信息網的建設,根本改變了以往主機
-終端型的網路應用模式;傳統的、基於Mainframe的安全系統結構已不能適用於新的網路環
境,主要原因是:
(1)微型機及LAN的引入,使得網路結構成多樣化,網路拓撲復雜化;
(2)遠地工作站及遠地LAN對Mainframe的多種形式的訪問,使得網路的地理分布擴散化
;
(3)多種通訊協議的各通訊網互連起來,使得網路通信和管理異質化。
構作Micro-LAN-Mainframe網路環境安全體系結構的目標同其它應用環境中信息安全的
目標一致,即:
(1)存儲並處理於計算機和通信系統中的信息的保密性;
(2)存儲並處理於計算機和通信系統中的信息的完整性;
(3)存儲並處理於計算機和通信系統中的信息的可用性;
(4)對信息保密性、完整性、拒絕服務侵害的監查和控制。
對這些安全目標的實現不是絕對的,在安全系統構作中,可因地制宜,進行適合於自身條
件的安全投入,實現相應的安全機制。但有一點是應該明確的,信息安全是國民經濟信息化
必不可少的一環,只有安全的信息才是財富。
對於潛在的財產損失,保險公司通常是按以下公式衡量的:
潛在的財產損失=風險因素×可能的損失
這里打一個比方,將信息系統的安全威脅比作可能的財產損失,將系統固有的脆弱程度
比作潛在的財產損失,於是有:
系統的脆弱程度=處於威脅中的系統構件×安全威脅
此公式雖不能將系統安全性定量化,但可以作為分析信息安全機制的適用性和有效性的
出發點。
對計算機犯罪的統計表明,絕大多數是內部人員所為。由於在大多數Micro-LAN-Mainf
rame系統中,用戶登錄信息、用戶身份證件及其它數據是以明文形式傳輸的,任何人通過連
接到主機的微型機都可秘密地竊取上述信息。圖1給出了我們在這篇文章中進行安全性分析
的網路模型,其安全性攻擊點多達20個。本文以下各部分將詳細討論對此模型的安全威脅及
安全對策。
@@14219700.GIF;圖1.Micro-LAN-Mainframe網路模型@@
二、開放式系統安全概述
1.OSI安全體系結構
1989年2月15日,ISO7498-2標準的頒布,確立了OSI參考模型的信息安全體系結構,它對
構建具體網路環境的信息安全構架有重要的指導意義。其核心內容包括五大類安全服務以
及提供這些服務所需要的八類安全機制。圖2所示的三維安全空間解釋了這一體系結構。
@@14219701.GIF;ISO安全體系結構@@
其中,一種安全服務可以通過某種安全機制單獨提供,也可以通過多種安全機制聯合提
供;一種安全機制可用於提供一種或多種安全服務。
2.美軍的國防信息系統安全計劃DISSP
DISSP是美軍迄今為止最龐大的信息系統安全計劃。它將為美國防部所有的網路(話音
、數據、圖形和視頻圖象、戰略和戰術)提供一個統一的、完全綜合的多級安全策略和結構
,並負責管理該策略和結構的實現。圖3所示的DISSP安全框架三維模型,全面描述了信息系
統的安全需求和結構。第一維由九類主要的安全特性外加兩類操作特性組成,第二維是系統
組成部件,它涉及與安全需求有關的信息系統部件,並提供一種把安全特性映射到系統部件
的簡化手段;第三維是OSI協議層外加擴展的兩層,OSI模型是面向通信的,增加兩層是為了適
應信息處理。
@@14219702.GIF;DISSP安全框架雛形@@
3.通信系統的安全策略
1節和2節較全面地描述了信息系統的安全需求和結構,具有相當的操作指導意義。但僅
有這些,對於構作一個應用於某組織的、具體的網路應用環境的安全框架或安全系統還是不
夠的。
目前,計算機廠商在開發適用於企業范圍信息安全的有效策略方面並沒有走在前面,這
就意味著用戶必須利用現有的控制技術開發並維護一個具有足夠安全級別的分布式安全系
統。一個安全系統的構作涉及的因素很多,是一個龐大的系統工程。一個明晰的安全策略必
不可少,它的指導原則如下:
·對安全暴露點實施訪問控制;
·保證非法操作對網路的數據完整性和可用性無法侵害;
·提供適當等級的、對傳送數據的身份鑒別和完整性維護;
·確保硬體和線路的聯接點的物理安全;
·對網路設備實施訪問控制;
·控制對網路的配置;
·保持對網路設施的控制權;
·提供有準備的業務恢復。
一個通信系統的安全策略應主要包括以下幾個方面的內容:
總綱;
適用領域界定;
安全威脅分析;
企業敏感信息界定;
安全管理、責任落實、職責分明;
安全控制基線;
網路操作系統;
信息安全:包括用戶身份識別和認證、文件伺服器控制、審計跟蹤和安全侵害報告、數
據完整性及計算機病毒;
網路安全:包括通信控制、系統狀態控制、撥號呼叫訪問控制;
災難恢復。
三、LAN安全
1.LAN安全威脅
1)LAN環境因素造成的安全威脅
LAN環境因素,主要是指LAN用戶缺乏安全操作常識;LAN提供商的安全允諾不能全部兌現
。
2)LAN自身成員面臨的安全威脅
LAN的每一組成部件都需要保護,包括伺服器、工作站、工作站與LAN的聯接部件、LAN
與LAN及外部世界的聯接部件、線路及線路接續區等。
3)LAN運行時面臨的安全威脅
(1)通信線路上的電磁信號輻射
(2)對通信介質的攻擊,包括被動方式攻擊(搭線竊聽)和主動方式攻擊(無線電仿冒)
(3)通過聯接上網一個未經授權的工作站而進行的網路攻擊。攻擊的方式可能有:竊聽
網上登錄信息和數據;監視LAN上流量及與遠程主機的會話,截獲合法用戶log off指令,繼續
與主機會話;冒充一個主機LOC ON,從而竊取其他用戶的ID和口令。
(4)在合法工作站上進行非法使用,如竊取其他用戶的ID、口令或數據
(5)LAN與其他網路聯接時,即使各成員網原能安全運行,聯網之後,也可能發生互相侵害
的後果。
(6)網路病毒
4)工作站引發的安全威脅
(1)TSR和通信軟體的濫用:在分布式應用中,用戶一般在本地微機及主機擁有自己的數
據。將微機作為工作站,LAN或主機系統繼承了其不安全性。TSR是用戶事先載入,由規定事
件激活的程序。一個截獲屏幕的TSR可用於竊取主機上的用戶信息。這樣的TSR還有許多。
某些通信軟體將用戶鍵入字元序列存為一個宏,以利於實現對主機的自動LOGON,這也是很危
險的。
(2)LAN診斷工具的濫用:LAN診斷工具本用於排除LAN故障,通過分析網上數據包來確定
線路雜訊。由於LAN不對通信鏈路加密,故LAN診斷工具可用於竊取用戶登錄信息。
(3)病毒與微機通信:例如Jerusalem-B病毒可使一個由幾千台運行3270模擬程序的微機
組成的網路癱瘓。
2 LAN安全措施
1)通信安全措施
(1)對抗電磁信號偵聽:電纜加屏蔽層或用金屬管道,使較常規電纜難以搭線竊聽;使用
光纖消除電磁輻射;對敏感區域(如電話室、PBX所在地、伺服器所在地)進行物理保護。
(2)對抗非法工作站的接入:最有效的方法是使用工作站ID,工作站網卡中存有標識自身
的唯一ID號,LAN操作系統在用戶登錄時能自動識別並進行認證。
(3)對抗對合法工作站的非法訪問:主要通過訪問控制機制,這種機制可以邏輯實現或物
理實現。
(4)對通信數據進行加密,包括鏈路加密和端端加密。
2)LAN安全管理
(1)一般控制原則,如對伺服器訪問只能通過控制台;工作站間不得自行聯接;同一時刻
,一個用戶只能登錄一台工作站;禁止使用網上流量監視器;工作站自動掛起;會話清除;鍵盤
封鎖;交易跟蹤等。
(2)訪問控制,如文件應受保護,文件應有多級訪問權力;SERVER要求用戶識別及認證等
。
(3)口令控制,規定最大長度和最小長度;字元多樣化;建立及維護一個軟字型檔,鑒別弱口
令字;經常更換口令等。
(4)數據加密:敏感信息應加密
(5)審計日誌:應記錄不成功的LOGIN企圖,未授權的訪問或操作企圖,網路掛起,脫離聯
接及其他規定的動作。應具備自動審計日誌檢查功能。審計文件應加密等。
(6)磁碟利用:公用目錄應只讀,並限制訪問。
(7)數據備份:是LAN可用性的保證;
(8)物理安全:如限制通信訪問的用戶、數據、傳輸類型、日期和時間;通信線路上的數
據加密等。
四、PC工作站的安全
這里,以荷蘭NMB銀行的PC安全工作站為例,予以說明。在該系統中,PC機作為IBM SNA主
機系統的工作站。
1.PC機的安全局限
(1)用戶易於攜帶、易於訪問、易於更改其設置。
(2)MS-DOS或PC-DOS無訪問控制功能
(3)硬體易受侵害;軟體也易於攜帶、拷貝、注入、運行及損害。
2.PC安全工作站的目標
(1)保護硬體以對抗未授權的訪問、非法篡改、破壞和竊取;
(2)保護軟體和數據以對抗:未授權的訪問、非法篡改、破壞和竊取、病毒侵害;
(3)網路通信和主機軟硬體也應類似地予以保護;
3.安全型PC工作站的設計
(1)PC硬體的物理安全:一個的可行的方法是限制對PC的物理訪問。在PC機的後面加一
個盒子,只有打開這個盒子才能建立所需要的聯接。
(2)軟體安全:Eracon PC加密卡提供透明的磁碟訪問;此卡提供了4K位元組的CMOS存儲用
於存儲密鑰資料和進行密鑰管理。其中一半的存儲區對PC匯流排是只可寫的,只有通過卡上數
據加密處理的密鑰輸入口才可讀出。此卡同時提供了兩個通信信道,其中一個支持同步通信
。具體的安全設計細節還有:
A、使用Clipcards提供的訪問權授予和KEY存儲(為離線應用而設)、Clipcards讀寫器
接於加密卡的非同步口。
B、對硬碟上全部數據加密,對不同性質的文件區分使用密鑰。
C、用戶LOGON時,強制進入與主機的安全監控器對話,以對該用戶進行身份驗證和權力
賦予;磁碟工作密鑰從主機傳送過來或從Clipcards上讀取(OFFLINE);此LOGON外殼控制應用
環境和密鑰交換。
D、SNA3270模擬器:利用Eracon加密卡實現與VTAM加解密設備功能一致的對數據幀的加
密。
E、主機安全監控器(SECCON):如果可能,將通過3270模擬器實現與PC安全監控程序的不
間斷的會話;監控器之間的一套消息協議用於完成對系統的維護。
五、分布式工作站的安全
分布式系統的工作站較一般意義上的網路工作站功能更加全面,它不僅可以通過與網上
伺服器及其他分布式工作站的通信以實現信息共享,而且其自身往往具備較強的數據存儲和
處理能力。基於Client/Server體系結構的分布式系統的安全有其特殊性,表現如下:
(1)較主機系統而言,跨區域網和廣域網,聯接區域不斷擴展的工作站環境更易受到侵害
;
(2)由於工作站是分布式的;往往分布於不同建築、不同地區、甚至不同國家,使安全管
理變得更加復雜;
(3)工作站也是計算機犯罪的有力工具,由於它分布廣泛,安全威脅無處不在;
(4)工作站環境往往與Internet及其他半公開的數據網互聯,因而易受到更廣泛的網路
攻擊。
可見,分布式工作站環境的安全依賴於工作站和與之相聯的網路的安全。它的安全系統
應不劣於主機系統,即包括用戶的身份識別和認證;適當的訪問控制;強健的審計機制等。除
此之外,分布式工作站環境還有其自身的特殊安全問題,如對網路伺服器的認證,確保通信中
數據的保密性和完整性等。這些問題將在後面討論。
六、通信中的信息安全
通過以上幾部分的討論,我們已將圖1所示的網路組件(包括LAN、網路工作站、分布式
工作站、主機系統)逐一進行了剖析。下面,我們將就它們之間的聯接安全進行討論。
1.加密技術
結合OSI七層協議模型,不難理解加密機制是怎樣用於網路的不同層次的。
(1)鏈路加密:作用於OSI數據模型的數據鏈路層,信息在每一條物理鏈路上進行加密和
解密。它的優點是獨立於提供商,能保護網上控制信息;缺點是浪費設備,降低傳輸效率。
(2)端端加密:作用於OSI數據模型的第4到7層。其優點是花費少,效率高;缺點是依賴於
網路協議,安全性不是很高。
(3)應用加密:作用於OSI數據模型的第7層,獨立於網路協議;其致命缺點是加密演算法和
密鑰駐留於應用層,易於失密。
2.撥號呼叫訪問的安全
撥號呼叫安全設備主要有兩類,open-ended設備和two-ended設備,前者只需要一台設備
,後者要求在線路兩端各加一台。
(1)open-ended設備:主要有兩類,埠保護設備(PPDs)和安全數據機。PPDs是處於
主機埠和撥號線路之間的前端通信處理器。其目的是隱去主機的身份,在將用戶請求送至
主機自身的訪問控制機制前,對該用戶進行預認證。一些PPDs具有回叫功能,大部分PPDs提
供某種形式的攻擊示警。安全數據機主要是回叫型的,大多數有內嵌口令,用戶呼叫調
制解調器並且輸入口令,數據機驗證口令並拆線。數據機根據用戶口令查到相應電
話號碼,然後按此號碼回叫用戶。
(2)two-ended設備:包括口令令牌、終端認證設備、鏈路加密設備和消息認證設備。口
令令牌日益受到大家歡迎,因為它在認證線路另一端的用戶時不需考慮用戶的位置及網路的
聯接類型。它比安全數據機更加安全,因為它允許用戶移動,並且禁止前向呼叫。
口令令牌由兩部分組成,運行於主機上與主機操作系統和大多數常用訪問控制軟體包接
口的軟體,及類似於一個接卡箱運算器的硬體設備。此軟體和硬體實現相同的密碼演算法。當
一個用戶登錄時,主機產生一個隨機數給用戶,用戶將該隨機數加密後將結果返回給主機;與
此同時,運行於主機上的軟體也作同樣的加密運算。主機將這兩個結果進行對比,如果一致
,則准予登錄。
終端認證設備是指將各個終端唯一編碼,以利於主機識別的軟體及硬體系統。只有帶有
正確的網路介面卡(NIC)標識符的設備才允許登錄。
鏈路加密設備提供用於指導線路的最高程度的安全保障。此類系統中,加密盒置於線路
的兩端,這樣可確保傳送數據的可信性和完整性。唯一的加密密鑰可用於終端認證。
消息認證設備用於保證傳送消息的完整性。它們通常用於EFT等更加註重消息不被更改
的應用領域。一般採用基於DES的加密演算法產生MAC碼。
七、安全通信的控制
在第六部分中,我們就通信中採取的具體安全技術進行了較為詳細的討論。但很少涉及
安全通信的控制問題,如網路監控、安全審計、災難恢復、密鑰管理等。這里,我們將詳細
討論Micro-LAN-Mainframe網路環境中的用戶身份認證、伺服器認證及密鑰管理技術。這三
個方面是緊密結合在一起的。
1.基於Smartcards的用戶認證技術
用戶身份認證是網路安全的一個重要方面,傳統的基於口令的用戶認證是十分脆弱的。
Smartcards是一類一話一密的認證工具,它的實現基於令牌技術。其基本思想是擁有兩個一
致的、基於時間的加密演算法,且這兩個加密演算法是同步的。當用戶登錄時,Smartcards和遠
端系統同時對用戶鍵入的某一個系統提示的數進行運算(這個數時刻變化),如果兩邊運行結
果相同,則證明用戶是合法的。
在這一基本的Smartcards之上,還有一些變種,其實現原理是類似的。
2.kerboros用戶認證及保密通信方案
對於分布式系統而言,使用Smartcards,就需要為每一個遠地系統准備一個Smartcard,
這是十分繁瑣的,MIT設計與開發的kerboros用戶認證及保密通信方案實現了對用戶的透明
,和對用戶正在訪問的網路類型的免疫。它同時還可用於節點間的保密通信及數據完整性的
校驗。kerboros的核心是可信賴的第三方,即認證服務中心,它擁有每一個網路用戶的數據
加密密鑰,需要用戶認證的網路服務經服務中心注冊,且每一個此類服務持有與服務中心通
信的密鑰。
對一個用戶的認證分兩步進行,第一步,kerboros認證工作站上的某用戶;第二步,當該
用戶要訪問遠地系統伺服器時,kerboros起一個中介人的作用。
當用戶首次登錄時,工作站向伺服器發一個請求,使用的密鑰依據用戶口令產生。服務
中心在驗明用戶身份後,產生一個ticket,所使用的密鑰只適合於該ticket-granting服務。
此ticket包含用戶名、用戶IP地址、ticket-granting服務、當前時間、一個隨機產生的密
鑰等;服務中心然後將此ticket、會話密鑰用用戶密鑰加密後傳送給用戶;用戶將ticket解
密後,取出會話密鑰。當用戶想聯接某網路伺服器時,它首先向服務中心發一個請求,該請求
由兩部分組成,用戶先前收到的ticket和用戶的身份、IP地址、聯接伺服器名及一個時間值
,此信息用第一次傳回的會話密鑰加密。服務中心對ticket解密後,使用其中的會話密鑰對
用戶請求信息解密。然後,服務中心向該用戶提供一個可與它相聯接的伺服器通信的會話密
鑰及一個ticket,該ticket用於與伺服器通信。
kerboros方案基於私鑰體制,認證服務中心可能成為網路瓶頸,同時認證過程及密鑰管
理都十分復雜。
3.基於公鑰體制的用戶認證及保密通信方案
在ISO11568銀行業密鑰管理國際標准中,提出了一種基於公鑰體制,依託密鑰管理中心
而實現的密鑰管理方案。該方案中,通信雙方的會話密鑰的傳遞由密鑰管理中心完成,通信
雙方的身份由中心予以公證。這樣就造成了密鑰管理中心的超負荷運轉,使之成為網上瓶頸
,同時也有利於攻擊者利用流量分析確定網路所在地。
一個改進的方案是基於公鑰體制,依託密鑰認證中心而實現的密鑰管理方案。該方案中
,通信雙方會話密鑰的形成由雙方通過交換密鑰資料而自動完成,無須中心起中介作用,這樣
就減輕了中心的負擔,提高了效率。由於篇幅所限,這里不再展開討論。
八、結論
計算機網路技術的迅速發展要求相應的網路安全保障,一個信息系統安全體系結構的確
立有助於安全型信息系統的建設,一個具體的安全系統的建設是一項系統工程,一個明晰的
安全策略對於安全系統的建設至關重要,Micro-LAN-Mainframe網路環境的信息安全是相對
的,但其豐富的安全技術內涵是值得我們學習和借鑒的。
F. 速求網路安全技術研究畢業論文範文
1 緒論隨著互聯網的飛速發展,網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的,通常也是狡猾的、專業的,並且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說,收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。2 方案目標本方案主要從網路層次考慮,將網路系統設計成一個支持各級別用戶或用戶群的安全網路,該網在保證系統內部網路安全的同時,還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,資料庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是,安全技術並不能杜絕所有的對網路的侵擾和破壞,它的作用僅在於最大限度地防範,以及在受到侵擾的破壞後將損失盡旦降低。具體地說,網路安全技術主要作用有以下幾點:
1.採用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎,近年來,網路安全技術得到了迅猛發展,已經產生了十分豐富的理論和實際內容。3 安全需求通過對網路系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權實體有權訪問數據
機密性: 信息不暴露給未授權實體或進程
完整性: 保證數據不被未授權修改
可控性: 控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火牆將內部網路與外部不可信任的網路隔離,對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網路,由於不同的應用業務以及不同的安全級別,也需要使用防火牆將不同的LAN或網段進行隔離,並實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容,一是採用網路監控與入侵防範系統,識別網路各種違規操作與攻擊行為,即時響應(如報警)並進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏4 風險分析網路安全是網路正常運行的前提。網路安全不單是單點的安全,而是整個信息網的安全,需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況,應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。5 解決方案5.1 設計原則
針對網路系統實際情況,解決網路的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統
G. 分析計算機網路安全技術的主要應用和發展趨勢
【問題解答】
1.計算機網路安全技術的主要應用(參見:清華大學出版社《網路安全實用技術》)
計算機網路安全(簡稱網路安全)是指通過採用各種技術和管理措施,使網路系統正常運行,從而確保網路數據的可用性、完整性和保密性。網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護。
網路啊安全技術的主要應用,包括:
物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權,等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料[1]。
其他技術及措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來,圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
2.計算機網路安全技術及其發展趨勢
http://wenku..com/view/6bee3f55f01dc281e53af039.html
http://www.qikan.com.cn/Article/jsjg/jsjg201120/jsjg201120111.html
H. 網路安全技術主要是什麼
網路安全技術指致力於解決諸多如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略等。
網路安全技術是一種特殊的伴生技術,為其所服務的底層應用而開發,隨著底層應用進一步的互聯、普及和智能化,安全技術變得越來越重要。近幾年來,雲計算、邊緣計算、物聯網、人工智慧、工業4.0、大數據以及區塊鏈技術等新興領域尖端計算和信息技術不斷普及,影響深遠,但也帶來了嚴峻的安全挑戰。
網路安全技術是一種特殊的伴生技術,它為其所服務的底層應用而開發。隨著這些底層應用變得越來越互聯、普及和智能化,安全技術在當今社會也變得越來越重要。
網路安全一直是一個受到持續關注的熱點領域。不斷發展的安全技術本質上是由新生技術的成功推動的,如雲、物聯網、人工智慧等新技術的不斷出現。隨著這些嶄新應用所面對的不斷變化的安全威脅的出現,網路安全技術的前沿也不斷拓展。新的網路安全技術需要將網路、計算系統、安全理論以及工程基礎作為多學科課題進行整體研究與實踐。通過調查實際應用的系統功能和安全需求,我們最終可以解決不斷出現的具有高度挑戰性的全新安全問題並共同構建真正安全的網路空間。
I. 如何獲得信息安全領域最新的研究進展
【熱心相助】
國內外網路安全技術研究現狀(註:清華大學出版社,網路安全實用技術、賈鐵軍主編)
1.國外網路安全技術的現狀
(1)構建完善網路安全保障體系。 針對未來網路信息戰和各種網路威脅、安全隱患越來越暴露的安全問題。新的安全需求、新的網路環境、新的威脅,促使美國和其他很多發達國家為具體的技術建立一個以深度防禦為特點的整體網路安全平台——網路安全保障體系。
(2)改進常用安全防護技術。美國等國家對入侵檢測、漏洞掃描、入侵防禦技術、防火牆技術、病毒防禦、訪問控制、身份認證等傳統的網路安全技術進行更為深入的研究,改進其實現技術,為國防等重要機構研發了新型的智能入侵防禦系統、檢測系統、漏洞掃描系統、防火牆等多種安全產品。
另外,美國等發達國家還結合生物識別、PKI和智能卡技術研究訪問控制技術。美國軍隊將生物測量技術作為一個新的研究重點。從美國發生了恐怖襲擊事件,進一步意識到生物識別技術在信息安全領域的潛力。除利用指紋、聲音成功鑒別身份外,還發展了遠距人臉掃描和遠距虹膜掃描的技術,避免了傳統識別方法易丟失、易欺騙等許多缺陷。
(3)強化雲安全信息關聯分析。目前,針對各種更加復雜及頻繁的網路攻擊,加強對單個入侵監測系統數據和漏洞掃描分析等層次的雲安全技術的研究,及時地將不同安全設備、不同地區的信息進行關聯性分析,快速而深入地掌握攻擊者的攻擊策略等信息。美國在捕獲攻擊信息和掃描系統弱點等傳統技術上取得了很大的進展。
(4)加強安全產品測評技術。系統安全評估技術包括安全產品評估和信息基礎設施安全性評估技校。
美國受恐怖襲擊「9.11」事件以來,進一步加強了安全產品測評技術,軍隊的網路安全產品逐步採用在網路安全技術上有競爭力的產品,需要對其進行嚴格的安全測試和安全等級的劃分,作為選擇的重要依據。
(5)提高網路生存(抗毀)技術。美軍注重研究當網路系統受到攻擊或遭遇突發事件、面臨失效的威脅時,盡快使系統關鍵部分能夠繼續提供關鍵服務,並能盡快恢復所有或部分服務。結合系統安全技術,從系統整體考慮安全問題,是網路系統更具有韌性、抗毀性,從而達到提高系統安全性的目的。
主要研究內容包括進程的基本控制技術、容錯服務、失效檢測和失效分類、服務分布式技術、服務高可靠性控制、可靠性管理、服務再協商技術。
(6)優化應急響應技術。在美國「9.11」 襲擊事件五角大樓被炸的災難性事件中,應急響應技術在網路安全體系中不可替代的作用得到了充分的體現。僅在遭受襲擊後幾小時就基本成功地恢復其網路系統的正常運作,主要是得益於事前在西海岸的數據備份和有效的遠程恢復技術。在技術上有所准備,是美軍五角大樓的信息系統得以避免致命破壞的重要原因。
(7)新密碼技術的研究。美國政府在進一步加強傳統密碼技術研究的同時,研究和應用改進新橢圓曲線和AES等對稱密碼,積極進行量子密碼新技術的研究。量子技術在密碼學上的應用分為兩類:一是利用量子計算機對傳統密碼體制進行分析;二是利用單光子的測不準原理在光纖一級實現密鑰管理和信息加密,即量子密碼學。
2. 我國網路安全技術方面的差距
雖然,我國對網路安全技術方面的研究取得一些新成果,但是,與先進的發達國家的新技術、新方法、新應用等方面相比還有差距,需要盡快趕上,否則「被動就要挨打」。
(1)安全意識差,忽視風險分析
目前,我國較多企事業機構在進行構建及實施網路信息系統前,經常忽略或簡化風險分析,導致無法全面地認識系統存在的威脅,很可能導致安全策略、防護方案脫離實際。
(2)急需自主研發的關鍵技術
現在,我國計算機軟硬體包括操作系統、資料庫系統等關鍵技術嚴重依賴國外,而且缺乏網路傳輸專用安全協議,這是最大的安全隱患、風險和缺陷,一旦發生信息戰時,非國產的晶元、操作系統都有可能成為敵方利用的工具。所以,急需進行操作系統等安全化研究,並加強專用協議的研究,增強內部信息傳輸的保密性。
對於已有的安全技術體系,包括訪問控制技術體系、認證授權技術體系、安全DNS體系、IA工具集合、公鑰基礎設施PKI技術體系等,應該制訂持續性發展研究計劃,不斷發展完善,為網路安全保障充分發揮更大的作用。
(3)安全檢測薄弱
網路安全檢測與防禦是網路信息有效保障的動態措施,通過入侵檢測與防禦、漏洞掃描等手段,定期對系統進行安全檢測和評估,及時發現安全問題,進行安全預警,對安全漏洞進行修補加固,防止發生重大網路安全事故。
我國在安全檢測與防禦方面比較薄弱,應研究將入侵檢測與防禦、漏洞掃描、路由等技術相結合,實現跨越多邊界的網路入侵攻擊事件的檢測、防禦、追蹤和取證。
(4)安全測試與評估不完善
如測試評估的標准還不完整,測試評估的自動化工具匱乏,測試評估的手段不全面,滲透性測試的技術方法貧乏,尤其在評估網路整體安全性方面幾乎空白。
(5)應急響應能力弱
應急響應就是對網路系統遭受的意外突發事件的應急處理,其應急響應能力是衡量系統生存性的重要指標。網路系統一旦發生突發事件,系統必須具備應急響應能力,使系統的損失降至最低,保證系統能夠維持最必需的服務,以便進行系統恢復。
我國應急處理的能力較弱,缺乏系統性,對系統存在的脆弱性、漏洞、入侵、安全突發事件等相關知識研究不夠深入。特別是在跟蹤定位、現場取證、攻擊隔離等方面的技術,缺乏研究和相應的產品。
(6)需要強化系統恢復技術
網路系統恢復指系統在遭受破壞後,能夠恢復為可用狀態或仍然維持最基本服務的能力。我國在網路系統恢復方面的工作,主要從系統可靠性角度進行考慮,以磁碟鏡像備份、數據備份為主,以提高系統的可靠性。然而,系統可恢復性的另一個重要指標是當系統遭受毀滅性破壞後的恢復能力,包括整個運行系統的恢復和數據信息的恢復等。在這方面的研究明顯存在差距,應注重相關遠程備份、異地備份與恢復技術的研究,包括研究遠程備份中數據一致性、完整性、訪問控制等關鍵技術。
有關推薦網站不讓,單獨發送。