- 谁能帮我找一个关于"网络安全"的毕业论文,大约6000字左右,可?
- 谁能帮我找一个关于"安全"的毕业论文,大约6000字左右,可以写防火墙、病毒,选择其中的一种就好了,谢谢,我很着急
- 浅析安全技术(一)
--------------------------------------------------------------------------------
摘要:文中就信息网络安全内涵发生的根本变化,阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。
关键词:网络安全 防火墙 技术特征
1.概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
2.防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
2.1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点
,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.3.代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4.监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
还有
网络安全的技术保障与法律保障
杨坚争,男,1952年生,郑州大学法学院副教授,英国伯明翰大学客座研究员。
的综合运用才能确保网络的安全运行。本文着重分析了防火墙系统的作用和存在的问题,并试图从法律角度提 出若干保障措施以弥补技术保障措施的不足。
一、网络安全问题的提出
早期计算机网络的作用,是共享数据并促进大学、政府研究和开发机构、军事部门的科学研究工作。那时 制定的网络协议,几乎没有注意到安全性问题。因为许可进入网络的单位都被认定为是可靠的和可以信赖的, 并且已经参与研究和共享数据。然而,当1991年美国国家科学基金会(NSF)取消了互联网上不允许商业活动的限 制后,越来越多的公司、企业、商业机构、银行和个人进入互联网络,利用其资源和服务进行商业活动,网络 安全问题就突现出来。每个厂商都有一些不能为外人或竞争者知道的信息和数据,如特定的单证、交易金额、 销售计划、客户名单等,他们不希望外部用户访问这些信息和数据。但是,计算机窃贼或破坏者却千方百计闯 入互联网络和主计算机,盗用数据、破坏资源、制造事端。有时,善意的用户也可能会在网络中偶然获取到厂 商暴露的信息和数据,尤其是在某些计算机系统缺乏安全保障措施时。在这种情况下,计算机网络安全技术应 运而生,以满足这种发展中的需要,使得网络用户在获取同全球网络连接的好处的同时,保证其专用信息及资 产的安全。
一个良好的网络安全系统,不仅应当能够防范恶意的无关人员,而且应当能够防止专有数据和服务程序的 偶然泄露,同时不需要内部用户都成为安全专家。设置这样一个系统,用户才能够在其内部资源得到保护的安 全环境下,享受访问公用网络的好处。
目前,互联网上使用的基本安全系统是防火墙系统,配合使用的还有数据加密技术和智能卡技术。本文着 重分析防火墙系统的作用和存在的问题,并试图从法律角度提出若干保障措施以弥补技术保障措施的不足。
二、防火墙的作用
防火墙(Firewall)是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合、使互联网(Int ernet)与内部网(Intranet)之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵 入。防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成,其基本工作原理如图所示。
附图{图}
防火墙方法有助于提高计算机主系统总体的安全性,因而可使联网用户获得许多好处。
1.防止易受攻击的服务
防火墙通过包过滤路由器过滤不安全的服务来降低子网上主系统所冒的风险。因为包过滤路由器只允许经 过选择的协议通过防火墙,因此,子网网络环境可经受较少的外部攻击。
例如,防火墙可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。这样得到的好处是可以防 护这些服务不会被外部攻击者利用,而同时允许在大大降低外部攻击者利用的风险情况下使用这些服务。对局 域网特别有用的服务如NIS或NFS因而可得到共用,并用来减轻主系统的管理负担。
防火墙还可以防护基于路由选择的攻击,如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网 点。防火墙可以排斥所有源点发送的包和ICMP改向,然后把偶发事件通知管理人员。
2.控制访问网点系统
防火墙还有能力控制对网点系统的访问。例如,某些主系统可以由外部网络访问,而其他主系统则能有效 地封闭起来,防止非法访问。除了邮件服务器或信息服务器等特殊情况外,网点可以防止外部对其主系统的访 问。其他的访问政策也都可以通过防火墙程序的设计加以执行。
3.集中安全性
对一个机构来说,防火墙实际上可能并不昂贵,因为所有的或大多数经过修改的软件和附加的安全性软件 都放在防火墙系统上,而不是分散在很多主系统上。尤其是一次性口令系统和其他附加验证软件都可以放在防 火墙上,而不是放在每个需要从Internet访问的系统上。
其他的网络安全性解决方案,如Kerberos(NIST94C)要对每个主系统进行修改。尽管Kerberos和其他技术有 许多优点值得考虑,而且在某些情况下比防火墙适实用,但是防火墙往往更便于实施,因为只有防火墙需要运 行专门的软件。
4.增强的保密
保密对某些网点是非常重要的,因为一般被认为无关大局的信息实际上常含有对攻击者有用的线索。使用 防火墙后,某些网点希望封锁某些服务,如Finger和域名服务。Finger显示有关用户的信息,如最后注册时间 、邮件有没有被访问等等。但是,Finger也可能把有关用户的信息泄露给攻击者,所以,防火墙系统不可缺少 。
防火墙还可以用来封锁有关网点系统DNS信息。因此,网点系统名字和IP地址都不必提供给Internet主系统 。有些网点认为,通过封锁这种信息,它们正在把对攻击者有用的信息隐藏起来。
5.有关网络使用、滥用的记录和统计
如果对Internet的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使用率的有 价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响警报,则还可以提供防火墙和网络是否受到试 探或攻击的细节,并确定防火墙上的控制措施是否得当。网络使用率统计数字之所以重要,还因为它可作为网 络需求研究和风险分析的依据。
三、防火墙存在的问题
尽管防火墙方案有上述这些优点,但它不一定是Internet安全性问题的灵丹妙药,因为其本身也存在许多 缺点,而且有很多事情是防火墙所不能防护的。
1.限制利用合乎需要的服务
防火墙最明显的缺点是它可能封锁用户所需的某些服务,如TELNET、FTP、XWindows、NFS等。但这一缺点 并不是防火墙所独有的。对主系统的多级限制也会产生这个问题。一个能使安全性要求同用户需要保持平衡的 、规划得当的安全性政策可以大大有助于缓解与减少利用服务有关的问题。
2.后门访问的广泛可能性
防火墙不能防护从后门进入网点。例如,如果对调制解调器不加限制,仍然许可访问由防火墙保护的网点 ,那么,攻击者可以有效地跳过防火墙。调制解调器的速度现在快到足以使SLIP(串行线IP)和PPP(点对点协 议)切实可行。在受保护子网内SLIP和PPP连接在本质上是另一个网络连接点和潜在的后门。如果允许调制解调 器从后门访问,那么,前门的防火墙又有什么用呢?
3.几乎不能防护内部人员的攻击
虽然防火墙可以用来防护局外人获取灵敏的数据,但它不能防止内部人员将数据拷贝到磁带上,并把数据 带出设施。因此,认为有了防火墙就可以防护内部人员的攻击是错误的。如果忽略其他窃取数据或攻击系统的 手段,把大量资源存放在防火墙上也是不明智的。
4.其他问题
新的信息服务器和客户机——新的信息服务器和客户机,如World Wide Web(WWW)、Gopher、WAIS等,不宜 实施防火墙政策,很有可能遭到数据驱动的攻击。因为这些微机处理的数据可能包含发出的各种指令,这些指 令可能告诉攻击者更改访问控制和主系统上与安全有关的重要文件。
MBONE——视频和话音用多址IP传输封装在其他信息包内,防火墙一般在不检查包内容的情况下将这些信息 包转发出去。如果信息包含有更改安全性控制措施并认可入侵者的命令的话,那么,MBONE传输就是一种潜在的 威胁。
病毒——防火墙不能防止用户从Internet归档文件中下装受病毒感染的个人机程序,或把这些程序附加到 电子函件上传输出去。由于这些程序可能以各种方法编码或压缩,因而防火墙不能精确地对这些程序进行扫描 来搜寻病毒特征。病毒问题仍然存在,而且必须用其他政策和抗病毒控制措施进行处理。吞吐量——防火墙是 一种潜在的瓶颈,所有的连接都必须通过防火墙,许多信息都要经过检查,信息的传递可能要受到传输速率的 影响。
集中性——防火墙系统把安全性集中在一点上,而不是把它分布在各系统间,防火墙受损可能会对子网上 其他保护不力的系统造成巨大的损害。
四、法律保障的措施很明显,单纯的技术保障措施难以完全保证网络运行的安全,相应的法律保 障措施必不可少。目前。各国政府纷纷出台各种法律规定,规范网络行为,以保证网络体系的整体安全。我们 政府也已颁布了《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机网络国际联网管 理暂行规定》等一系列安全法规。认真落实这些强制性的安全措施,就能够为计算机信息系统提供良好的运作 环境。
1.加强国际互联网出入信道的管理
《中华人民共和国计算机网络国际联网管理暂行规定》规定,我国境内的计算机互联网必须使用国家公用 电信网提供的国际出入信道进行国际联网。任何单位和个人不得自行建立或者使用其他信道进行国际联网。除 国际出入口局作为国家总关口外,邮电部还将中国公用计算机互联网划分为全国骨干网和各省、市、自治区接 入网进行分层管理,以便对入网信息进行有效的过滤、隔离和监测。
2.市场准入制度《中华人民共和国计算机网络国际联网管理暂行规定》规定了从事国际互联网经营活动和 从事非经营活动的接入单位必须具备的条件:
(1)是依法设立的企业法人或者事业单位;
(2)具备相应的计算机信息网络、装备以及相应的技术人员和管理人员;
(3)具备健全的安全保密管理制度和技术保护措施;
(4)符合法律和国务院规定的其他条件。
《中华人民共和国计算机信息系统安全保护条例》规定,进行国际联网的计算机信息系统,有计算机信息 系统的使用单位报省级以上的人民政府公安机关备案。
3.安全责任
从事国际互联网业务的单位和个人,应当遵守国家有关法律、行政法规、严格执行安全保密制度,不得利 用国际互联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安 的信息和淫秽色情等信息。
计算机网络系统运行管理部门必须设有安全组织或安全负责人,其基本职责包括:保障本部门计算机网络 的安全运行;制定安全管理的方案和规章制度;定期检察安全规章制度的执行情况,负责系统工作人员的安全 教育和管理;收集安全记录,及时发现薄弱环节并提出改进措施;向安全监督机关和上一级主管部门报告本系 统的安全情况。
每个工作站和每个终端都要建立健全网络操作的各项制度,加强对内部操作人员的安全教育和监督,严格 网络工作人员的操作职责,加强密码、口令和授权的管理,及时更换有关密码、口令,重视软件和数据库的管 理和维护工作,加强对磁盘文件和软盘的发放和保管,禁止在网上使用非法软件、软盘。
网络用户也应提高安全意识,注意保守秘密,并应对自己的资金、文件、情报等机要事宜经常检查,杜绝 漏洞。
网络系统安全保障是一个复杂的系统工程,它涉及诸多方面,包括技术、设备、各类人员、管理制度、法 律调整等,需要在网络硬件及环境、软件和数据、网际通讯等不同层次上实施一系列不尽相同的保护措施。只 有将技术保障措施和法律保障措施密切结合起来,才能实现安全性,保证我国计算机网络健康发展。