中国人民解放军高等教育自学考试
计 算 机 应 用 (本 科) 专 业
论文题目:
作者姓名:
准考证号:
起止时间:
毕 业 论 文 网络安全技术的发展趋势 谢俊娥 [1**********]4 2011年3月1日-2011年4月30日
网络安全技术的发展趋势
摘 要 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
关键词 网络技术 防火墙 防病毒 VPN
目录
一、前言 ................................................ 5
二、网络安全主流技术的现状 ............................... 6
三、网络安全主流技术发展趋势 ............................. 6
1、防火墙技术发展趋势。 ............................... 6
1.1防火墙系统结构。 ................................ 6
1.2包过滤技术。 .................................... 7
1.3防火墙的系统管理。 .............................. 8
1.4分布式防火墙技术 。 ............................. 8
2、入侵检测技术发展趋势。 ............................. 9
2.1宽带高速实时的检测技术 。 ....................... 9
2.2大规模分布式的检测技术 。 ...................... 10
2.3数据挖掘技术 。 ................................ 11
2.4检测算法 。 .................................... 12
2.5入侵响应技术 。 ................................ 13
3、VPN技术的发展趋势。 .............................. 13
3.1集成化解决方案。 ............................... 13
3.2数字签名 。 .................................... 13
3.3类 型 技 术。 .................................. 14
3.4 IPSEC技术 。 .................................. 14
4.计算机网络犯罪预防 ................................. 15
1 计算机网络立功的特点 ............................ 15
2 预防计算机立功的措施 ............................ 16
四、结束语 ............................................. 19
致谢 ................................................... 19
参考文献 ............................................... 19
一、前言
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。网络可以构造地区性的网络、企事业内部网络、局域网网络,甚至家庭网络和个人网络。网络的根本特征并不一定是它的规模,而是资源共享,消除资源孤岛。
现代社会互联网高速发展,可以在世界范围内进行资源共享和业务办理。在简单的双机互联的年代,它主要考虑的是相关人员能读取和使用。而随着计算机软硬件的不断升级,信息处理能力不断提高,基于网络安全也逐渐成为一个重要的问题。近几年来,有关网络安全技术和网络安全产品的研发已经有了长足的进步,部分技术和产品已日趋成熟。但是,单个安全技术或者安全产品的功能和性能都有着局限性,只能满足系统与网络特定的安全需求。因此,如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前安全
领域的研究热点之一。
二、网络安全主流技术的现状
防火墙技术。
从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫、垃圾邮件、计算机病毒以及拒绝服务的侵扰。
1、 入侵检测技术。未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的提高空间
3、VPN技术。企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。 因为VPN利用了公共网络,所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet,暴露出两个主要危险: 一方面来自internet的未经授权的对企业内部网的存取。 另一方面当企业通过INTERNET进行通讯时,信息可能受到窃听和非法修改。
三、网络安全主流技术发展趋势
1、防火墙技术发展趋势。
1.1防火墙系统结构。
网络技术的日新月异的确带给人们越来越多的便捷,然而却使得传统的防火墙技术面临新的挑战。①虚拟专用网(vpn)的引入。随着企业规模逐渐扩大,合作伙伴也在不断增多,就需要通过公共网络来
建立自己的专用网络来满足业务需求。②内部网络的安全威胁日益加大。提起网络安全,人们首先想到的总是黑客攻击和病毒危害。然而,来自企业网络内部的威胁却远远大于来自外网的攻击。另外,无线上网设备的接入也是导致内网结构不稳定的因素之一。因为传统边界防火墙是把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。必须改进防火墙的系统结构,巩固内网的通信和安全。
1.2包过滤技术。
一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能,该功能在无线网络应用中是非常必要的。所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这种方法可以弥补以上各种单独过滤技术的不足。 现在通常被称之为"病毒防火墙",当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
1.3防火墙的系统管理。
集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。防火墙的系统管理能够更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。随着网络安全技术的发展,出现了"建立以防火墙为核心的网络安全体系"。因为仅现有的防火墙技术难以满足当前网络安全需求,需要通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
1.4分布式防火墙技术 。
分布式防火墙是一种主机驻留式的安全系统,负责对网络边界、各子网和网络内部各节点之间的安全防护,它的防火墙体系结构由网络防火墙、主机防火墙、中心管理这三部分所组成。它是以主机为保护对象,它的设计理念是主机以外的任何用户访问都是不可信任的,都需要进行过滤。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙负责对网络边界、各子网和网络内部各节点之间安全防护,所以"分布式防火墙"是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙
体系结构包含如下部分:
1.4.1.网络防火墙(Network Firewall):有纯软件和硬件两种产品,它是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。
1.4.2.主机防火墙(Host Firewall):同样也有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机进行防护。它作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。
1.4.3.中心管理(Central Managerment):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙的安全防护灵活性,具备可管理性。
2、入侵检测技术发展趋势。
2.1宽带高速实时的检测技术 。
大量高速网络技术如ATM、千兆以太网等近年里相继出现,在此背景下的各种宽带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面临的问题。目前的千兆IDS产品其性能指标与实际要求相差很远。要提高其性能主要需考虑以下两个方面:首先,
IDS的软件结构和算法需要重新设计,以期适应高速网的环境,提高运行速度和效率;其次,随着高速网络技术的不断发展与成熟,新的高速网络协议的设计也必将成为未来发展的趋势,那么,现有IDS如何适应和利用未来的新网络协议将是一个全新的问题。
2.2大规模分布式的检测技术 。
传统的集中式IDS的基本模型是在网络的不同网段放置多个探测器收集当前网络状态的信息,然后将这些信息传送到中央控制台进行处理分析。这种方式存在明显的缺陷。首先,对于大规模的分布式攻击,中央控制台的负荷将会超过其处理极限,这种情况会造成大量信息处理的遗漏,导致漏警率的增高。其次,多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担,导致网络系统性能的降低。再者,由于网络传输的时延问题,中央控制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态,不能实时反映当前网络状态。 面对以上问题,新的解决方法也随之产生,例如普渡大学开发的AAFID系统,该系统是Purdue大学设计的一种采用树形分层构造的代理群体,最根部的是监视器代理,提供全局的控制、管理以及分析由上一层节点提供的信息,在树叶部分的代理专门用来收集信息。处在中间层的代理被称为收发器,这些收发器一方面实现对底层代理的控制,一方面可以起到信息的预处理过程,把精练的信息反馈给上层的监视器。这种结构采用了本地代理处理本地事件,中央代理负责整体分析的模式。与集中式不同,它强调通过全体
智能代理的协同工作来分析入侵策略。这种方法明显优于前者,但同时带来一些新的问题,如代理间的协作、代理间的通信等。这些问题仍在进一步研究之中。
2.3数据挖掘技术 。
操作系统的日益复杂和网络数据流量的急剧增加,导致了审计数据以惊人速度剧增,如何在海量的审计数据中提取出具有代表性的系统特征模式,以对程序和用户行为作出更精确的描述,是实现入侵检测的关键。 数据挖掘技术是一项通用的知识发现技术,其目的是要从海量数据中提取对用户有用的数据。将该技术用于入侵检测领域,利用数据挖掘中的关联分析、序列模式分析等算法提取相关的用户行为特征,并根据这些特征生成安全事件的分类模型,应用于安全事件的自动鉴别。一个完整的基于数据挖掘的入侵检测模型要包括对审计数据的采集,数据预处理、特征变量选取、算法比较、挖掘结果处理等一系列过程。这项技术难点在于如何根据具体应用的要求,从用于安全的先验知识出发,提取出可以有效反映系统特性的特征属性,应用适合的算法进行数据挖掘。另一技术难点在于如何将挖掘结果自动地应用到实际的IDS中。目前,国际上在这个方向上的研究很活跃,这些研究多数得到了美国国防部高级计划署、国家自然科学基金的支持。但我们也应看到,数据挖掘技术用于入侵检测的研究总体上来说还处于理论探讨阶段,离实际应用还有相当距离。
2.4检测算法 。
在入侵检测技术的发展过程中,新算法的出现可以有效提高检测的效率。以下三种机器学习算法为当前检测算法的改进注入新的活力。它们分别是计算机免疫技术、神经网络技术和遗传算法。 计算机免疫技术是直接受到生物免疫机制的启发而提出的。生物系统中的脆弱性因素都是由免疫系统来妥善处理的,而这种免疫机制在处理外来异体时呈现了分布的、多样性的、自治的以及自修复的特征,免疫系统通过识别异常或以前未出现的特征来确定入侵。计算机免疫技术为入侵检测提供了一下思路,即通过正常行为的学习来识别不符合常态的行为序列。在这方面已经作了若干研究工作,仍有待于进一步深入。 神经网络技术在入侵检测中研究的时间较长,并在不断发展。早期的研究通过训练向后传播神经网络来识别已知的网络入侵,进一步研究识别未知的网络入侵行为。今天的神经网络技术已经具备相当强的攻击模式分析能力,它能够较好地处理带噪声的数据,而且分析速度很快,可以用于实时分析。现在提出了各种其他的神经网络架构诸如自组织特征映射网络等,以期克服后向传播网络的若干限制性缺陷。
遗传算法在入侵内检测中的应用时间不长,在一些研究试验中,利用若干字符串序列来定义用于分析检测的指令组,用以识别正常或者异常行为的这些指令在初始训练阶段中不断进化,提高分析能力。该算法的应用还有待于进一步的研究。
2.5入侵响应技术 。
当IDS分析出入侵行为或可疑现象后,系统需要采取相应手段,将入侵造成的损失降到最小程度。一般可以通过生成事件告警、E-mail或短信息来通知管理员。随着网络的日益复杂和安全要求的提高,更加实时的和系统自动入侵响应方法正逐渐被研究和应用。这类入侵响应大致分为三类:系统保护、动态策略和攻击对抗。这三方面都属于网络对抗的范畴,系统保护以减少入侵损失为目的,动态策略以提高系统安全性为职责,而入侵对抗则不仅可以实时保护系统,还可实现入侵跟踪和反入侵的主动防御策略。
3、VPN技术的发展趋势。
3.1集成化解决方案。
完整的集成化的企业范围的VPN安全解决方案,提供在INTERNET上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。企业网络的全面安全要求保证。保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒。
3.2数字签名 。
数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算能力上是不
可行的。 并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。 通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥,并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。
3.3类 型 技 术。
基本会话密钥 DES 加密通讯 、加密密钥 Deff-Hellman 生成会话密钥 、认证密钥 RSA 验证加密密钥 。基于此种加密模式,需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。
3.4 IPSEC技术 。
IPSec作为在IP v4及IP v6上的加密通讯框架,已为大多数厂商所支持,预计在1998年将确定为IETF标准,是VPN实现的Internet标准。 IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。Ipsec Tunnel不要求修改已配备好的设备和应用,网络黑客户不能看到实际的的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道,因此,绝大多数均使用该模式。 ISAKMP/Oakley使用X.509数字证书,因此,使VPN能够容
易地扩大到企业级。(易于管理)。 在为远程拨号服务的Client端,也能够实现Ipsec的客户端,为拨号用户提供加密网络通讯。 由于Ipsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。
4.计算机网络犯罪预防
本篇文章来源于 大学生论文网(www.51its.com.cn) 原文出处:http://www.51its.com.cn/html/jsj/jsjwl/37160.html
随着计算机网络的普遍深化和扩展,它在为国度机关提高任务效率和任务质量、为企事业单位带来有限商机和庞大经济效益的同时,也为五花八门的计算机网络立功提供了较多的无隙可乘。人们在享用着计算机网络传输带来的便利的同时,也为日益缺乏控制、肆意繁殖蔓延的计算机网络立功所困扰。网络如同 一把双刃剑,在极大地造福人类的同时,也无情地损害着人类的生活和开展。
1 计算机网络立功的特点
同传统立功相比,计算机网络立功具有以下特点:
(1) 立功的本钱低,传达迅速,传达范围广。如例用黑客顺序的立功,只需几封电子邮件,被攻击者一翻开,就完成了。因此,不少立功分子越来越喜欢用互联网来实施立功,而且计算机网络立功的受益者范围很广,接受者是全世界的人。
(2) 立功的手腕隐蔽性高。由于网络的开放性、不确定性、虚拟
性和逾越时空性等,立功手腕看不见、摸不着,破坏性涉及面广,但立功嫌疑人的活动性却不大,证据难以固定,使得计算机网络立功具有极高的隐蔽性,添加了计算机网络立功案件的侦破难度。
(3) 立功行为具有严重的社会危害性。随着计算机的普遍普及、信息技术的不时开展,现代社会对计算机的依靠水平日益减轻,大到国防、电力、金融、通讯系统,小到机关的办公网络、家庭计算机都是立功分子损害的目的。
(4) 立功的智能化水平越来越高。立功分子大多具有一定学历,受过较好教育或专业练习 ,了解计算机系统技术,对实施立功范围的业务比拟熟练。
(5) 立功主体趋于低龄化,立功实施人以青少年为主体,而且年龄越来越低,低龄人占罪犯比例越来越高。
(6) 应用网络停止金融立功的比例不时降低。应用金融网络用户终端诈骗、偷盗的案例多见报道,大多是以计算机缓存的用户团体信息为目的,以计算机网络为工具,以更多地“赚钱”为目的,窃取用户信誉卡号码、银行密码等,到达自已的目的。
2 预防计算机立功的措施
(1) 增强立法。关于计算机网络立功,我国现行刑法只在第285、286条规则了合法侵入计算机系统和破坏计算机系统的立功,面对日益蔓延的计算机网络立功,这两条罪名很难将其囊括,而依据罪刑法定准绳,法无明文规则不为罪,以致许许多多计算机网络立功行为逃
避了法律的制裁。为更好地依法打击计算机违法立功活动,维护网络平安,有必要自创兴旺国度的方法,制定一部专门法律,经过增强其针对性、系统性和可操作性,为依法管理计算机网络违法立功提供必要的法律保证。
(2) 加快网络警察队伍树立。网络警察是警察队伍的新支,这支新的警察部队的目的之一,是停止网上搜索,以防范和跟踪在数秒钟之内就能犯下的、简直不留下任何痕迹的各种不良行为和立功活动的幽灵。因此,要求网络警察必需具有较深沉的计算机知识和专业技艺,能紧跟新技术的开展,熟练把握 各种计算机技艺。
(3) 增强网络技术和新型网络产品的开发研制,增强系统自我维护才干。由于计算机立功是一种高智商立功,正如加密与反加密这一矛盾体一样,只要不时地更新技术,研制新型产品,增强网络的自我防护才干,梗塞平安破绽和提供平安的通信服务,增强要害 保密技术,如加密路由器技术、平安内核技术、数据加密技术、网络地址转换技术、身份证认证制度、代理效劳技术、防火墙、网络反病毒技术等重点项目的研制和改良,不给任何计算机立功分子无隙可乘,才干营建一个平安有序的虚拟社会。
(4) 增强网络平安管理。不时完善平安管理机制,严厉遵守平安管理规章,及时根绝管理破绽。优秀的管理体系可以提高一半的任务效率,异样,迷信合理的网络管理体系可以大大增强网络的平安性。大少数网管都没有严厉遵守网络相关操作章程致使于疏忽了诸多平安破绽。理想上,大少数平安事情和平安隐患的发作,管理不善是主要缘
由。有调查标明,一半以上的电脑网络破绽是人为形成的,更多的网络攻击立功来自系统内部的员工。所以,增强管理,防堵各种平安破绽是十分必要的。
(5) 实行网络域名注册实名制。以到达梗塞破绽、震慑立功的目的。
(6) 增强物理进攻。保密单位、经济、金融等要害 部门对涉密内容要与网络停止分别,不在网络上操作整理相关信息,触及网络信息的操作,须从网络下载后再在隔离的计算机上整理调用。
(7) 增强国际协作。随同着经济开展的全球化和网络开展的全球化,很多计算机立功案件不再是单单与一个国度相关,而能够触及到几个国度执法效果,因此,我们必需增强预防计算机立功的国际协作,一方面学习国外的先进技术和预防阅历,另一方面,增强执法协作,果断打击跨国立功。在当今世界曾经成为地球村的时分,预防计算机立功活动必需增强国际协作。没有国际协作交流,就不能取得打击计算机立功的片面成功。
(8) 增强网络品德教育。良好的网络品德环境是预防计算机立功的第一步。邓小平同志早就要求我们:计算机要从娃娃抓起,而从娃娃抓起的不应该仅仅是计算机知识的教授,还应当包括良好的网络品德的培育。计算机网络立功的年龄已出现低龄化的趋向,十几岁的“小黑客”曾经出现。在狠抓“两个文明”树立的同时,一定不要遗忘网络文明是肉体文明的主要组成局部。虚拟空间与理想空间肉体文明树立义务相比拟而言,也许前者比后者更为艰难。只要增强者文教育 ,
用优秀的文明品德思想引导网络社会构成既契合时代提高的要求又合理合法的网络品德观。我们必需鼎力增强思想品德教育,树立迷信安康谐和的网络品德观,这才是真正有效预防计算机立功的重要措施。
四、结束语
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
致谢
回首走过的岁月,心中倍感充实,当我写完这篇毕业论文的时候,有一种如释重负的感觉,感慨良多。 首先诚挚的感谢我的论文指导老师。他在忙碌的教学工作中挤出时间来审查、修改我的论文。还有教过我的所有老师们,你们严谨细致、一丝不苟的作风一直是我工作、学习中的榜样;他们循循善诱的教导和不拘一格的思路给予我无尽的启迪。 感谢陪伴在我身边的同学、朋友,感谢他们为我提出的有益的建议和意见,有了他们的支持、鼓励和帮助,我才能充实的度过了学习生活。
参考文献
[1]程胜利.计算机病毒及其防治技术[M].北京:清华大学出版社;
2005
[2]张颖、王辉.一种与入侵检测互动的INTERNET安全防范系统[J].计算机工程与应用。2003
[3]朱雁辉编著.Windows防火墙与网络封包截获技术.电子工业出版社;2002
[4]王莉,温欣燕.计算机网络立功的特点及预防处置方案.
[5]夏锦尧.计算机立功效果的调查剖析与防范.中国人民公安大学出版社,2001.
[6]王彦丽.计算机网络立功浅析.摘自论文网搜索引擎旧事
中国人民解放军高等教育自学考试
计 算 机 应 用 (本 科) 专 业
论文题目:
作者姓名:
准考证号:
起止时间:
毕 业 论 文 网络安全技术的发展趋势 谢俊娥 [1**********]4 2011年3月1日-2011年4月30日
网络安全技术的发展趋势
摘 要 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
关键词 网络技术 防火墙 防病毒 VPN
目录
一、前言 ................................................ 5
二、网络安全主流技术的现状 ............................... 6
三、网络安全主流技术发展趋势 ............................. 6
1、防火墙技术发展趋势。 ............................... 6
1.1防火墙系统结构。 ................................ 6
1.2包过滤技术。 .................................... 7
1.3防火墙的系统管理。 .............................. 8
1.4分布式防火墙技术 。 ............................. 8
2、入侵检测技术发展趋势。 ............................. 9
2.1宽带高速实时的检测技术 。 ....................... 9
2.2大规模分布式的检测技术 。 ...................... 10
2.3数据挖掘技术 。 ................................ 11
2.4检测算法 。 .................................... 12
2.5入侵响应技术 。 ................................ 13
3、VPN技术的发展趋势。 .............................. 13
3.1集成化解决方案。 ............................... 13
3.2数字签名 。 .................................... 13
3.3类 型 技 术。 .................................. 14
3.4 IPSEC技术 。 .................................. 14
4.计算机网络犯罪预防 ................................. 15
1 计算机网络立功的特点 ............................ 15
2 预防计算机立功的措施 ............................ 16
四、结束语 ............................................. 19
致谢 ................................................... 19
参考文献 ............................................... 19
一、前言
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。网络可以构造地区性的网络、企事业内部网络、局域网网络,甚至家庭网络和个人网络。网络的根本特征并不一定是它的规模,而是资源共享,消除资源孤岛。
现代社会互联网高速发展,可以在世界范围内进行资源共享和业务办理。在简单的双机互联的年代,它主要考虑的是相关人员能读取和使用。而随着计算机软硬件的不断升级,信息处理能力不断提高,基于网络安全也逐渐成为一个重要的问题。近几年来,有关网络安全技术和网络安全产品的研发已经有了长足的进步,部分技术和产品已日趋成熟。但是,单个安全技术或者安全产品的功能和性能都有着局限性,只能满足系统与网络特定的安全需求。因此,如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前安全
领域的研究热点之一。
二、网络安全主流技术的现状
防火墙技术。
从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫、垃圾邮件、计算机病毒以及拒绝服务的侵扰。
1、 入侵检测技术。未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的提高空间
3、VPN技术。企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。 因为VPN利用了公共网络,所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet,暴露出两个主要危险: 一方面来自internet的未经授权的对企业内部网的存取。 另一方面当企业通过INTERNET进行通讯时,信息可能受到窃听和非法修改。
三、网络安全主流技术发展趋势
1、防火墙技术发展趋势。
1.1防火墙系统结构。
网络技术的日新月异的确带给人们越来越多的便捷,然而却使得传统的防火墙技术面临新的挑战。①虚拟专用网(vpn)的引入。随着企业规模逐渐扩大,合作伙伴也在不断增多,就需要通过公共网络来
建立自己的专用网络来满足业务需求。②内部网络的安全威胁日益加大。提起网络安全,人们首先想到的总是黑客攻击和病毒危害。然而,来自企业网络内部的威胁却远远大于来自外网的攻击。另外,无线上网设备的接入也是导致内网结构不稳定的因素之一。因为传统边界防火墙是把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。必须改进防火墙的系统结构,巩固内网的通信和安全。
1.2包过滤技术。
一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能,该功能在无线网络应用中是非常必要的。所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这种方法可以弥补以上各种单独过滤技术的不足。 现在通常被称之为"病毒防火墙",当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
1.3防火墙的系统管理。
集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。防火墙的系统管理能够更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。随着网络安全技术的发展,出现了"建立以防火墙为核心的网络安全体系"。因为仅现有的防火墙技术难以满足当前网络安全需求,需要通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
1.4分布式防火墙技术 。
分布式防火墙是一种主机驻留式的安全系统,负责对网络边界、各子网和网络内部各节点之间的安全防护,它的防火墙体系结构由网络防火墙、主机防火墙、中心管理这三部分所组成。它是以主机为保护对象,它的设计理念是主机以外的任何用户访问都是不可信任的,都需要进行过滤。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙负责对网络边界、各子网和网络内部各节点之间安全防护,所以"分布式防火墙"是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙
体系结构包含如下部分:
1.4.1.网络防火墙(Network Firewall):有纯软件和硬件两种产品,它是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。
1.4.2.主机防火墙(Host Firewall):同样也有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机进行防护。它作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。
1.4.3.中心管理(Central Managerment):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙的安全防护灵活性,具备可管理性。
2、入侵检测技术发展趋势。
2.1宽带高速实时的检测技术 。
大量高速网络技术如ATM、千兆以太网等近年里相继出现,在此背景下的各种宽带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面临的问题。目前的千兆IDS产品其性能指标与实际要求相差很远。要提高其性能主要需考虑以下两个方面:首先,
IDS的软件结构和算法需要重新设计,以期适应高速网的环境,提高运行速度和效率;其次,随着高速网络技术的不断发展与成熟,新的高速网络协议的设计也必将成为未来发展的趋势,那么,现有IDS如何适应和利用未来的新网络协议将是一个全新的问题。
2.2大规模分布式的检测技术 。
传统的集中式IDS的基本模型是在网络的不同网段放置多个探测器收集当前网络状态的信息,然后将这些信息传送到中央控制台进行处理分析。这种方式存在明显的缺陷。首先,对于大规模的分布式攻击,中央控制台的负荷将会超过其处理极限,这种情况会造成大量信息处理的遗漏,导致漏警率的增高。其次,多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担,导致网络系统性能的降低。再者,由于网络传输的时延问题,中央控制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态,不能实时反映当前网络状态。 面对以上问题,新的解决方法也随之产生,例如普渡大学开发的AAFID系统,该系统是Purdue大学设计的一种采用树形分层构造的代理群体,最根部的是监视器代理,提供全局的控制、管理以及分析由上一层节点提供的信息,在树叶部分的代理专门用来收集信息。处在中间层的代理被称为收发器,这些收发器一方面实现对底层代理的控制,一方面可以起到信息的预处理过程,把精练的信息反馈给上层的监视器。这种结构采用了本地代理处理本地事件,中央代理负责整体分析的模式。与集中式不同,它强调通过全体
智能代理的协同工作来分析入侵策略。这种方法明显优于前者,但同时带来一些新的问题,如代理间的协作、代理间的通信等。这些问题仍在进一步研究之中。
2.3数据挖掘技术 。
操作系统的日益复杂和网络数据流量的急剧增加,导致了审计数据以惊人速度剧增,如何在海量的审计数据中提取出具有代表性的系统特征模式,以对程序和用户行为作出更精确的描述,是实现入侵检测的关键。 数据挖掘技术是一项通用的知识发现技术,其目的是要从海量数据中提取对用户有用的数据。将该技术用于入侵检测领域,利用数据挖掘中的关联分析、序列模式分析等算法提取相关的用户行为特征,并根据这些特征生成安全事件的分类模型,应用于安全事件的自动鉴别。一个完整的基于数据挖掘的入侵检测模型要包括对审计数据的采集,数据预处理、特征变量选取、算法比较、挖掘结果处理等一系列过程。这项技术难点在于如何根据具体应用的要求,从用于安全的先验知识出发,提取出可以有效反映系统特性的特征属性,应用适合的算法进行数据挖掘。另一技术难点在于如何将挖掘结果自动地应用到实际的IDS中。目前,国际上在这个方向上的研究很活跃,这些研究多数得到了美国国防部高级计划署、国家自然科学基金的支持。但我们也应看到,数据挖掘技术用于入侵检测的研究总体上来说还处于理论探讨阶段,离实际应用还有相当距离。
2.4检测算法 。
在入侵检测技术的发展过程中,新算法的出现可以有效提高检测的效率。以下三种机器学习算法为当前检测算法的改进注入新的活力。它们分别是计算机免疫技术、神经网络技术和遗传算法。 计算机免疫技术是直接受到生物免疫机制的启发而提出的。生物系统中的脆弱性因素都是由免疫系统来妥善处理的,而这种免疫机制在处理外来异体时呈现了分布的、多样性的、自治的以及自修复的特征,免疫系统通过识别异常或以前未出现的特征来确定入侵。计算机免疫技术为入侵检测提供了一下思路,即通过正常行为的学习来识别不符合常态的行为序列。在这方面已经作了若干研究工作,仍有待于进一步深入。 神经网络技术在入侵检测中研究的时间较长,并在不断发展。早期的研究通过训练向后传播神经网络来识别已知的网络入侵,进一步研究识别未知的网络入侵行为。今天的神经网络技术已经具备相当强的攻击模式分析能力,它能够较好地处理带噪声的数据,而且分析速度很快,可以用于实时分析。现在提出了各种其他的神经网络架构诸如自组织特征映射网络等,以期克服后向传播网络的若干限制性缺陷。
遗传算法在入侵内检测中的应用时间不长,在一些研究试验中,利用若干字符串序列来定义用于分析检测的指令组,用以识别正常或者异常行为的这些指令在初始训练阶段中不断进化,提高分析能力。该算法的应用还有待于进一步的研究。
2.5入侵响应技术 。
当IDS分析出入侵行为或可疑现象后,系统需要采取相应手段,将入侵造成的损失降到最小程度。一般可以通过生成事件告警、E-mail或短信息来通知管理员。随着网络的日益复杂和安全要求的提高,更加实时的和系统自动入侵响应方法正逐渐被研究和应用。这类入侵响应大致分为三类:系统保护、动态策略和攻击对抗。这三方面都属于网络对抗的范畴,系统保护以减少入侵损失为目的,动态策略以提高系统安全性为职责,而入侵对抗则不仅可以实时保护系统,还可实现入侵跟踪和反入侵的主动防御策略。
3、VPN技术的发展趋势。
3.1集成化解决方案。
完整的集成化的企业范围的VPN安全解决方案,提供在INTERNET上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。企业网络的全面安全要求保证。保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒。
3.2数字签名 。
数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算能力上是不
可行的。 并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。 通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥,并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。
3.3类 型 技 术。
基本会话密钥 DES 加密通讯 、加密密钥 Deff-Hellman 生成会话密钥 、认证密钥 RSA 验证加密密钥 。基于此种加密模式,需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。
3.4 IPSEC技术 。
IPSec作为在IP v4及IP v6上的加密通讯框架,已为大多数厂商所支持,预计在1998年将确定为IETF标准,是VPN实现的Internet标准。 IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。Ipsec Tunnel不要求修改已配备好的设备和应用,网络黑客户不能看到实际的的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道,因此,绝大多数均使用该模式。 ISAKMP/Oakley使用X.509数字证书,因此,使VPN能够容
易地扩大到企业级。(易于管理)。 在为远程拨号服务的Client端,也能够实现Ipsec的客户端,为拨号用户提供加密网络通讯。 由于Ipsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。
4.计算机网络犯罪预防
本篇文章来源于 大学生论文网(www.51its.com.cn) 原文出处:http://www.51its.com.cn/html/jsj/jsjwl/37160.html
随着计算机网络的普遍深化和扩展,它在为国度机关提高任务效率和任务质量、为企事业单位带来有限商机和庞大经济效益的同时,也为五花八门的计算机网络立功提供了较多的无隙可乘。人们在享用着计算机网络传输带来的便利的同时,也为日益缺乏控制、肆意繁殖蔓延的计算机网络立功所困扰。网络如同 一把双刃剑,在极大地造福人类的同时,也无情地损害着人类的生活和开展。
1 计算机网络立功的特点
同传统立功相比,计算机网络立功具有以下特点:
(1) 立功的本钱低,传达迅速,传达范围广。如例用黑客顺序的立功,只需几封电子邮件,被攻击者一翻开,就完成了。因此,不少立功分子越来越喜欢用互联网来实施立功,而且计算机网络立功的受益者范围很广,接受者是全世界的人。
(2) 立功的手腕隐蔽性高。由于网络的开放性、不确定性、虚拟
性和逾越时空性等,立功手腕看不见、摸不着,破坏性涉及面广,但立功嫌疑人的活动性却不大,证据难以固定,使得计算机网络立功具有极高的隐蔽性,添加了计算机网络立功案件的侦破难度。
(3) 立功行为具有严重的社会危害性。随着计算机的普遍普及、信息技术的不时开展,现代社会对计算机的依靠水平日益减轻,大到国防、电力、金融、通讯系统,小到机关的办公网络、家庭计算机都是立功分子损害的目的。
(4) 立功的智能化水平越来越高。立功分子大多具有一定学历,受过较好教育或专业练习 ,了解计算机系统技术,对实施立功范围的业务比拟熟练。
(5) 立功主体趋于低龄化,立功实施人以青少年为主体,而且年龄越来越低,低龄人占罪犯比例越来越高。
(6) 应用网络停止金融立功的比例不时降低。应用金融网络用户终端诈骗、偷盗的案例多见报道,大多是以计算机缓存的用户团体信息为目的,以计算机网络为工具,以更多地“赚钱”为目的,窃取用户信誉卡号码、银行密码等,到达自已的目的。
2 预防计算机立功的措施
(1) 增强立法。关于计算机网络立功,我国现行刑法只在第285、286条规则了合法侵入计算机系统和破坏计算机系统的立功,面对日益蔓延的计算机网络立功,这两条罪名很难将其囊括,而依据罪刑法定准绳,法无明文规则不为罪,以致许许多多计算机网络立功行为逃
避了法律的制裁。为更好地依法打击计算机违法立功活动,维护网络平安,有必要自创兴旺国度的方法,制定一部专门法律,经过增强其针对性、系统性和可操作性,为依法管理计算机网络违法立功提供必要的法律保证。
(2) 加快网络警察队伍树立。网络警察是警察队伍的新支,这支新的警察部队的目的之一,是停止网上搜索,以防范和跟踪在数秒钟之内就能犯下的、简直不留下任何痕迹的各种不良行为和立功活动的幽灵。因此,要求网络警察必需具有较深沉的计算机知识和专业技艺,能紧跟新技术的开展,熟练把握 各种计算机技艺。
(3) 增强网络技术和新型网络产品的开发研制,增强系统自我维护才干。由于计算机立功是一种高智商立功,正如加密与反加密这一矛盾体一样,只要不时地更新技术,研制新型产品,增强网络的自我防护才干,梗塞平安破绽和提供平安的通信服务,增强要害 保密技术,如加密路由器技术、平安内核技术、数据加密技术、网络地址转换技术、身份证认证制度、代理效劳技术、防火墙、网络反病毒技术等重点项目的研制和改良,不给任何计算机立功分子无隙可乘,才干营建一个平安有序的虚拟社会。
(4) 增强网络平安管理。不时完善平安管理机制,严厉遵守平安管理规章,及时根绝管理破绽。优秀的管理体系可以提高一半的任务效率,异样,迷信合理的网络管理体系可以大大增强网络的平安性。大少数网管都没有严厉遵守网络相关操作章程致使于疏忽了诸多平安破绽。理想上,大少数平安事情和平安隐患的发作,管理不善是主要缘
由。有调查标明,一半以上的电脑网络破绽是人为形成的,更多的网络攻击立功来自系统内部的员工。所以,增强管理,防堵各种平安破绽是十分必要的。
(5) 实行网络域名注册实名制。以到达梗塞破绽、震慑立功的目的。
(6) 增强物理进攻。保密单位、经济、金融等要害 部门对涉密内容要与网络停止分别,不在网络上操作整理相关信息,触及网络信息的操作,须从网络下载后再在隔离的计算机上整理调用。
(7) 增强国际协作。随同着经济开展的全球化和网络开展的全球化,很多计算机立功案件不再是单单与一个国度相关,而能够触及到几个国度执法效果,因此,我们必需增强预防计算机立功的国际协作,一方面学习国外的先进技术和预防阅历,另一方面,增强执法协作,果断打击跨国立功。在当今世界曾经成为地球村的时分,预防计算机立功活动必需增强国际协作。没有国际协作交流,就不能取得打击计算机立功的片面成功。
(8) 增强网络品德教育。良好的网络品德环境是预防计算机立功的第一步。邓小平同志早就要求我们:计算机要从娃娃抓起,而从娃娃抓起的不应该仅仅是计算机知识的教授,还应当包括良好的网络品德的培育。计算机网络立功的年龄已出现低龄化的趋向,十几岁的“小黑客”曾经出现。在狠抓“两个文明”树立的同时,一定不要遗忘网络文明是肉体文明的主要组成局部。虚拟空间与理想空间肉体文明树立义务相比拟而言,也许前者比后者更为艰难。只要增强者文教育 ,
用优秀的文明品德思想引导网络社会构成既契合时代提高的要求又合理合法的网络品德观。我们必需鼎力增强思想品德教育,树立迷信安康谐和的网络品德观,这才是真正有效预防计算机立功的重要措施。
四、结束语
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
致谢
回首走过的岁月,心中倍感充实,当我写完这篇毕业论文的时候,有一种如释重负的感觉,感慨良多。 首先诚挚的感谢我的论文指导老师。他在忙碌的教学工作中挤出时间来审查、修改我的论文。还有教过我的所有老师们,你们严谨细致、一丝不苟的作风一直是我工作、学习中的榜样;他们循循善诱的教导和不拘一格的思路给予我无尽的启迪。 感谢陪伴在我身边的同学、朋友,感谢他们为我提出的有益的建议和意见,有了他们的支持、鼓励和帮助,我才能充实的度过了学习生活。
参考文献
[1]程胜利.计算机病毒及其防治技术[M].北京:清华大学出版社;
2005
[2]张颖、王辉.一种与入侵检测互动的INTERNET安全防范系统[J].计算机工程与应用。2003
[3]朱雁辉编著.Windows防火墙与网络封包截获技术.电子工业出版社;2002
[4]王莉,温欣燕.计算机网络立功的特点及预防处置方案.
[5]夏锦尧.计算机立功效果的调查剖析与防范.中国人民公安大学出版社,2001.
[6]王彦丽.计算机网络立功浅析.摘自论文网搜索引擎旧事