摘要\\(詳見正文\\)

引言

正文

1、計算機網絡安全的內涵

2、影響網絡安全的因素

3、計算機網絡安全的表現形式

3.1 不良信息的傳播

3.2 病毒的危害

3.3 遭受非法入侵及惡意破壞

3.4 設備、線路損壞

4.1在管理方面的安全防范對策

4.2在物理安全方面的防范對策

4.3.在技術防范措施方面的安全對策

4.3.1 采用高性能的防火墻技術

4.3.2 采用雙宿主機方法

4.3.3采用嚴格的加密技術

4.3.4身份識別和驗證技術

4.3.5 授權與訪問控制

4.3.6完整性檢驗

4.3.7 反病毒技術

5、常見的網絡安全系統

5.1防火墻

5.2 IDS\\(Intrusion Detection System入侵檢測系統\\)

5.3 IPS \\(Intrusion Prevention System入侵防御系統\\)

5.4對三者進行比較

結論

參考文獻

致 謝

以下是論文正文

摘 要：本文闡述了計算機網絡安全的管理及控制和影響計算機網絡安全的主要因素,提出了計算機網絡安全的表現形式并從技術方面和非技術方面提出了相應的安全對策.對當前應用較為廣泛的幾類網絡安全系統:防火墻,IDS\\(入侵檢測系統\\)lips\\(入侵防御系統\\)進行分析.詳細闡明了三類安全技術的基本原理及其當前的應用狀況.

關鍵字:網絡安全,信息安全,防火墻,IDS\\(入侵檢測系統\\),IPS\\(入侵防御系統\\)

前 言

計算機網絡作為現代社會的基礎設施,越來越多地出現在人們的工作、學習、生活中,其作用越來越重要,并且不可替什.但由于人們的安全意識與資金方面的原因,在信息網絡的安全方面往往沒有太多的投人與設置.在信息網絡形成的初期,由于信息資源和用戶數量不多,信息網絡的安全問題顯得還不突出.

隨著應用的深人及用戶數量的不斷增加,各種各樣的安全問題開始困擾網絡管理人員,信息資源數據的丟失、系統運行效率下降、系統癱瘓的事情時有發生.因此,如何建立一個安全、穩定、高效的計算機信息網絡系統,就顯得十分迫切并成為重要的問題.本文主要針對計算機網絡安全的基本知識進行了說明,并就當前常見的網絡安全系統進行了對比.

1、計算機網絡安全的內涵

計算機網絡安全包涵"網絡安全"和"信息安全"兩部分[1]."網絡安全"\\(Network Security\\)和"信息安全"\\(Information Security\\)是指確保網絡上的硬件資源、軟件資源和信息資源不被非法用戶破壞和使用.網絡安全涉及的內容眾多、范圍廣泛,如合理的安全策略和安全機制.網絡安全技術包括訪問控制和口令、加密、數字簽名、認證、內容過濾、包過濾、防\\(殺\\)毒軟件以及防火墻等.網絡安全,特別是信息安全,強調的是網絡中信息或數據的完整性、可用性、可控性、不可否認性以及保密性.信息安全的內涵也已發展為"攻\\(攻擊\\)、防\\(防范\\)、測\\(檢測\\)、控\\(控制\\)、管\\(管理\\)、評\\(評估\\)"等多方面的基礎理論和實施技術.網絡安全防范的內容也不再僅僅局限于硬件安全,具體說主要包含了物理安全、鏈路安全、網絡安全、系統安全、應用安全及管理安全6個方面.

網絡物理安全是整個網絡系統安全的前提;鏈路傳輸安全主要保障數據在網絡上傳輸的真實性、可靠性、機密性、完整性;網絡結構的安全則體現在內部網絡與外部網絡互聯時來自外部網絡的安全威脅及來自內部網絡自身的安全威脅二個方面;系統安全指的是網絡操作系統、應用系統的安全;應用的安全不是一成不變的,要隨時針對不同的應用檢測安全漏洞,采取相應的安全措施,降低應用的安全風險;管理安全指的是通過安全管理制度的制定、責權的制定、管理工作的執行來降低安全的風險.

2、影響網絡安全的因素

作為全球使用范圍最大的信息網,Internet自身協議的開放性極大地方便了各種計算機連網,拓寬了共享資源.Internet的迅速發展得益于它的開放性,但由此帶來的安全問題也絕對不可忽視,在Internet網上,總統和平民百姓地位平等,信息資源和垃圾數據同樣存在,網絡管理員和網絡攻擊者進行著殊死的較量.

影響計算機網絡安全的因素很多,有人為因素,也有自然因素,人為因素的危害更大.主要表現為:非授權訪問、特洛伊木馬、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、端口偵探等方面[2].歸結起來,針對網絡安全的威脅主要有6個方面: 1.人為的無意失誤;2.人為惡意攻擊;3.網絡軟件的漏洞和"后門";4.網絡本身的保護機制不健全;5.病毒問題:;6.信息污染.

3、計算機網絡安全的表現形式

3.1 不良信息的傳播

隨著網絡范圍的不斷擴大,應用水平的不斷加深,越來越多的人進人到了Internet這個大家庭.目前,Internet上各種信息良芳不齊,其中有些不良信息違反人類的道德標準和有關法律法規,對世界觀和人生觀正在形成的年輕人來說危害非常大.如果不采取安全措施,會導致這些信息在網絡上傳播,侵蝕年輕人的心靈.

3.2 病毒的危害

計算機病毒是一種人為制造的,寄生于計算機應用程序或操作系統中的可執行部分,并且能夠自我復制、傳播的程序.通過網絡傳播的病毒在傳播速度、破壞性和傳播范圍等方面都遠遠超過單機病毒.網絡中的計算機在運行、下載程序和電子郵件時都有可能感染病毒,一旦感染病毒,就有可能造成主機系統的癱瘓或者崩潰.

3.3 遭受非法入侵及惡意破壞

一些人因為好奇心、功力心或者惡意心的驅使,利用網絡設備、網絡協議和操作系統的安全漏洞以及管理上的疏漏,使用各種非法手段訪問資源、刪改數據、破壞系統.對這些行為如不及時加以控制,也有可能造成主機系統的癱瘓或者崩潰,給用戶帶來嚴重的不良后果及損失.

3.4 設備、線路損壞

主要是指對網絡硬件設備的穩定性.網絡設備包括服務器、交換機、集線器、路由器、工作站、電源等.線路包括光纖線路、電纜線路、衛星線路等.它們分布在整個網絡內,管理起來非常困難.由于人為或者不可抗力\\(如天氣、自然災害等原因\\)的因素,設備、線路會發生損壞或故障,這樣會造成網絡全部或部分癱瘓.

4、網絡信息的安全對策

針對網絡信息存在的主要問題,我們在進行網絡設計時從管理人手,在授權、物理、技術方面采取了多層防范措施并舉,根本上克服了網絡中存在的安全問題[3]:

4.1在管理方面的安全防范對策

制定嚴格的規章制度和措施,加強對人員的審查和管理,結合軟硬件及數據方面的安全問題進行安全教育,提高工作人員的保密觀念和責任心,嚴守操作規則和各項保密規定,防止人為事故的發生;加強對信息的安全管理,對各種信息進行等級分類,有絕密、機密、秘密和非秘密信息等,對保密數據從采集、傳輸、處理、儲存和使用等整個過程,都要對數據采取安全措施,防止數據有意或無意泄露.

4.2在物理安全方面的防范對策

指計算機及通信設備的安全,如設備的溫度、濕度、防靜電、防磁場、防電子輻射等性能.保護傳輸線路的安全,集中器和調制解調器應置于受監視的地方,以防外連的企圖,并定期檢查,以防搭線竊聽、外連或破壞行為發生;對于儲存數據的磁帶、磁盤和光盤等進行安全維護,數據定期備份,重要硬件也應雙備份.

4.3.在技術防范措施方面的安全對策

4.3.1 采用高性能的防火墻技術

防火墻技術是維護網絡安全最重要的手段.防火墻在兩個網絡之間實施相應的訪問控制和過濾策略,同時它又是部件和系統的匯集器,在兩個網絡之間通過對網絡作拓樸結構和服務類型上的隔離來加強網絡安全的保護.我們在實現防火墻的技術方面主要有以下兩種:

包過濾技術通過包過濾路由器對進出內部網絡的P數據包按信息過濾規則進行監視、過濾和篩選,允許授權信息通過,拒絕非授權或可疑信息通過.信息過濾

規則按其所收到的P包信息為基礎,如源地址、目的地址、TCP/IP端口號、封裝協議類型,TCP鏈路狀態等,當一個IP數據包滿足過濾規則時,則被允許通過,否則拒絕通過,從而起到保護內部網絡的作用.

應用網關技術由一臺專用計算機來實現,是內外網絡連接的橋梁,又稱代理服務,在網關上運行代理程序,一方面代替原來的服務器程序,與客戶程序建立連

接;另一方面又代替原來的客戶程序與服務器連接,使得合法用戶可以通過應用網關,安全地使用因特網服務,對于非法用戶則加以拒絕.

4.3.2 采用雙宿主機方法

又稱保堡主機,是一臺配有多個網絡接口的主機,通常應用網關也會放在雙宿主機上,對所傳遞的服務請求做出響應,如果認為是安全的,代理就會將消息傳到相應主機上,而用戶只能使用代理服務器支持的服務.雙宿主機還有日志的功能,記錄網絡上的所有事件,系統管理員可以監控任何可疑的活動并進行相應處理.

4.3.3采用嚴格的加密技術

當非法用戶采用地址欺騙等方法繞過了防火墻,安全網絡功能就會喪失殆盡.加密技術是網絡信息安全的主動的、開放型防范手段.通過對網絡傳輸的信息進行加密,使信息傳輸在全封閉狀態下運行,傳輸的信息不會被第三者識別、修改、盜取和偽造,保證信息的完整性和統一性.使用加密技術不僅具有保密性能好,使用方便等優點,而且還融人了防篡改、抗否認的數字簽名技術,成本低,功能強.

4.3.4身份識別和驗證技術

身份識別和驗證的核心是識別訪問者是否屬本系統的合法用戶,以防止非法用戶進人系統.最常見的是在用戶接人和用戶登錄到主機時,用戶需要輸人用戶名和口令字,系統在完成與系統中保存的用戶名和口令字對比后,判斷該訪問者是否合法用戶,從而決定是否讓其進人系統,這就要求用戶保護好口令,以防泄露.

4.3.5 授權與訪問控制

授權是指分配給用戶一定的獲得服務的權力或操作管理的權力,主要是通過對用戶的分類和分級來防止一個用戶進行其不應擁有的系統操作能力和服務.訪問控制是一種訪問者對特定網絡資源是否能訪問或者訪問的深度和廣度的控制.通過提取訪問者的戶名、地址以及所要求訪問的網絡資源或服務等信息,然后核對系統訪問控制表,讓符合條件的訪問者進行網絡資源的訪問或得到網絡服務,不合條件的拒絕訪問.訪問控制技術可以控制用戶訪問網絡資源和獲得網絡服務,保護網絡資源和重要數據不被盜用.

4.3.6完整性檢驗

完整性檢驗技術是通過系統對重要文件或數據進行完整性的檢查,來確認文件或數據是否被篡改[4].信息的完整性檢驗表現為:信息來自正確的發送方而非假冒,信息送到了正確的接收方沒有丟失或誤送,接收信息的內容和發送時一致,沒有重復接收,信息接收的時序和發送時一致.完整性檢驗技術主要是避免使用被動的不完整的和錯誤的信息,及時發現系統中的問題,以便及時采取措施.

4.3.7 反病毒技術

包括病毒預防、病毒檢測、病毒清除.實現方法是對網絡服務器中的文件進行頻繁地掃描和監測,在工作站上采用防病毒芯片和對網絡目錄用文件設置訪問權限等.

5、常見的網絡安全系統

隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢.但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊.那么,我們如何防止和避免遭受攻擊和人侵,以確保網上信息的安全呢?本文將對當前應用較為廣泛的三類常見網絡安全系統- 防火墻,IDS\\(網絡人侵檢測系統\\),IPS\\(人侵防御系統\\)進行分析[5].

5.1防火墻

防火墻是目前最成熟的網絡安全技術,也是市場上最常見的網絡安全產品,在互聯網上是一種非常有效的網絡安全工具.它主要是通過對外界屏蔽,以保護內部網絡的信息和結構.它是設置在內部可信網絡和外部不可信網絡之間的屏障,可以通過實施比較廣泛的安全策略來控制信息流人可信網絡,防止不可預料的潛在的入侵破壞;它也能限制可信網絡中的用戶對外部網絡的非授權訪問,也因此削弱了網絡的功能.

一般的防火墻都可以達到以下目的:一是可以限制他人進人內部網絡,過濾掉不安全服務和非法用戶;二是防止人侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便.由于防火墻假設了網絡邊界和服務,因此適合于相對獨立的網絡.目前防火墻已經在Internet上得到了廣泛的應用,而且由于防火墻不限于TCP/IP協議的特點,也使其逐步在Internet之外更具生命力.

面對當前如此多的防火墻產品,如何選擇最符合自身需要的產品呢?通常應從安全策略考慮:首先,是防火墻自身的安全性,如果不能確保自身安全,自然也不能安全保護內部網絡;其次,考慮特殊的需求,每個企業應根據自身的特殊需求來選擇,并不是每一個防火墻都能滿足客戶需求;最后,一個好的防火墻還應提供完善的售后服務.

防火墻不是萬能的,它具有如下缺點:一是防火墻可以阻斷攻擊,但不能消滅攻擊源;二是防火墻不能抵抗最新的未設置策略的攻擊漏洞;三是防火墻對服務器合法開放的端口的攻擊大多無法阻止;四是防火墻不能解決來自內部網絡的攻擊和安全問題;五是防火墻本身也會出現問題和受到攻擊;六是防火墻不處理病毒,不能防止受病毒感染的文件的傳輸;等等.因此,客觀地講,防火墻并不是解決網絡安全問題的萬能藥方,而只是網絡安全政策和策略中的一個組成部分.

5.2 IDS\\(Intrusion Detection System入侵檢測系統\\)

IDS是繼"防火墻"、"信息加密"等傳統安全保護方法之后的新一代安全保障技術[6].入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術.它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象.IDS一般位于內部網的人口處,安裝在防火墻的后面,用于檢測人侵和內部用戶的非法活動,提供對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前進行攔截和響應人侵處理.它可在不影響網絡性能的情況下對網絡進行監聽,從而實現對網絡的保護.

IDS能檢測到的攻擊類型常見的是:系統掃描\\(System Scanning\\)、拒絕服務\\(Deny of Service\\)和系統滲透\\(System Penetration\\)o I DS對攻擊的檢測方法主要有:被動、非在線地發現和實時、在線地發現計算機網絡中的攻擊者.IDS的主要優勢是監聽網絡流量,但又不會影響網絡的性能.作為對防火墻的有益補充,IDS能夠幫助網絡系統快速發現網絡攻擊的發生,可擴展系統管理員的安全管理能力,包括安全審計、監視、進攻識別和響應等,從而提高了信息安全基礎結構的完整性,被認為是繼防火墻之后的第二道安全閘門.

IDS技術的一大優點是只需收集相關的數據集合,可顯著減少系統負擔,且技術已相當成熟.它與防火墻采用的方法一樣,檢測準確率和效率都相當高.I DS的缺點是需要不斷升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段,同時其本身的抗攻擊能力差.

由于 I DS 和防火墻分別用于不同的目的,因此通常情況下可以同時選擇使用IDS和防火墻,以便更好地保護系統.但是IDS和防火墻聯動后,其穩定性并不是很理想,特別是攻擊者有可能利用偽造的包信息,讓IDS錯誤判斷,進而錯誤指揮防火墻,從而將合法的地址屏蔽掉.

5.3 IPS \\(Intrusion Prevention System入侵防御系統\\)

IPS 是 一 種主動的、智能的人侵檢測、防范、阻止系統,不但能檢測人侵的發生,而且能通過一定的響應方式,實時地終止入侵行為的發生和發展,實時地保護信息系統不受實質性攻擊的一種智能化的安全產品.IPS不僅能實現檢測攻擊,還能有效阻斷攻擊,它提供深層防護,注重主動防御,可以說IPS是基于IDS的、建立在IDS發展基礎上的新生網絡安全產品.

IPS 實現實時檢查和阻止人侵的原理是:IPS擁有數目眾多的過濾器,能夠防止各種攻擊.針對不同的攻擊行為,IP設計不同的過濾器.每一種過濾器設置其相應的過濾規則,從而確保其準確性.當有新的攻擊手段被發現,IPS就會創建一個新的過濾器,同時設置其相應的過濾規則.IPS數據包處理引擎是專業化定制的集成電路,可以深層檢查數據包的內容.依據數據包中報頭信息,所有流經IPS的數據包將被分類,如源IP地址和目的護地址、端口號和應用域等.每種過濾器負責分析相對應的數據包.通過檢查的數據包可以繼續前進,包含惡意內容的數據包就會被丟棄,被懷疑的數據包需要接受進一步的檢查.過濾器引擎集合了流水和大規模并行處理硬件,能夠同時執行數千次的數據包過濾檢查,從而確保數據包能夠不間斷地快速通過系統,不會對速度造成影響.IPS的關鍵技術是:主動防御技術、防火墻與IPS互動技術、集成多種檢測技術和硬件加速系統.其主要技術特征是:嵌入式運行模式、完善的安全策略、高質量的入侵特征庫、高效處理數據包的能力和強大的響應功能.

IPS 在很多方面融合了其他產品的一些特點,并作了很多方面的改進,但目前IPS的技術還不是很成熟,它所面臨的挑戰主要有:單點故障、性能瓶頸、誤報和漏報等.其存在的最大隱患是有可能引起誤操作,這種"主動性"誤操作會阻塞合法的網絡事件,最終影響到商務操作和客戶信任度.它比較適合于組織大范圍的、針對性不是很強的攻擊.

5.4對三者進行比較

三者相比,防火墻是外圍警戒,充當著防護的第一層,可根據指定的策略決定哪些流量可以通過,哪些不能;IPS的功能則比較單一,它是防護的第二層,它可以檢測出在網絡中自由流動的通信中存在的攻擊信息,可對防火墻所不能過濾的攻擊進行過濾,是防火墻的有效補充.IPS與IDS相比較,在入侵檢測技術上它們都采用特征庫、基于協議分析和異常檢測等方式進行檢測.不同的是,IDS只是在惡意流量傳送時或傳送后才發出報警,其系統的策略更新需要大量的人的參與;而IPS則可提供前瞻性的防護,其設計的宗旨在于預先攔截入侵活動和攻擊性網絡流量.IPS增加了在線連接和網絡數據阻斷兩個新的特征,因此IPS的安全策略更新可以是在線的、自動的,類似于通常所說的網橋式防火墻.強大的響應功能即進行主動防御的保障是IPS區別與IDS的最顯著的特點.

結論

總的來說 ,目前,防火墻和IDS在網絡安全市場中占主導地位.防火墻是網關形式,要求高性能和高可靠性.因此防火墻注重吞吐率、延時、HA等方面的要求,并且其傳輸要求也非常高.但是防火墻不能避免蠕蟲的泛濫、垃圾郵件、病毒傳播、拒絕服務等,在新出現的安全攻擊事件中,顯得無能為力.IDS是主流的人侵檢測技術.它是一個以檢測和發現為特征的技術行為,其追求的是漏報率和誤報率的降低,具有較高的技術特征,但其最大的問題在于只能檢測攻擊,不能阻止攻擊.而IPS可以說是將防火墻,IDS,防病毒和脆弱性評估等技術的優點與自動防止攻擊的功能融為一體的安全產品,其最顯著的特征是具有主動防御功能.但由于當前其技術發展的不成熟,因此將IPS與防火墻,IDS等網絡安全技術相結合才能有效保證網絡的安全.

參 考 文 獻

[1]謝希仁.計算機網絡.大連:大連理工大學出版社,2003 .

[2]戚文靜.網絡安全與管理.北京:中國水利水電出版社,2003 .

[3]袁家政.計算機網絡.西安:西安電子科技大學出版社,2001 .

[4]周海剛.網絡安全技術基礎.北京:清華大學出版社,北京交通大學出版社,2004.

[5]邵波,王其和.計算機網絡安全技術及應用.北京:電子工業出版社,2005.

[6]裘鋒 .IDS,IPS技術研究.計算機與現代化,2004,\\(1 2\\).

致 謝

在指導老師幫助下,我完成了論文寫作.在論文寫作過程中,得到各位老師的精心幫助,并得到學校網站管理人員的協助,我和本專業的若干同學在論文寫作和修改過程中進行了多次探討.在此,我誠摯地向指導老師和所有幫助我寫作論文的老師、同學致謝!