2022年网络工程概论 .pdf

《2022年网络工程概论 .pdf》由会员分享，可在线阅读，更多相关《2022年网络工程概论 .pdf（5页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络安全技术与防范摘要： 网络安全问题一直是计算机良好发展的关键性因素。随着网络的飞速发展,网络安全问题日趋凸现。本文通过对网络安全的主要威胁因素进行分析, 着重阐述了几种常用的网络安全的防范措施。关键词： 计算机网络网络安全防范措施一、网络安全的基本概念通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。 所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据，不会发生增加、修改、丢失和泄露等。常见的网路安全问题有如下几种：1)人为的失误如对与用户口令选择或将账号随意告知他人或与别人共享等, 都会给计算机带来网络安全威胁。2)信息截取通过信道进行

2、信息的截取，获取机密信息， 或通过信息的流量分析，通信频度、长度分析，推出有用的信息，这种方式不破坏信息的内容，不易被发现。3)计算机软件的漏洞每一个网络软件或操作系统的存在都不可能是没有缺陷、没有漏洞的 ,这就是说每一台计算机都是不安全的, 只要计算机室连接入网的, 都将成为众矢之的。4)网络病毒目前计算机病毒是数据安全的头号大敌, 它是制造者在计算机程序中植入的损坏计算机数据或功能,对计算机软硬件的正常运行造成影响并能够自我复制的计算机程序代码或指令。计算机病毒具有触发性、破坏性、寄生性、传染性、隐蔽性等特点。因此, 针对计算机病毒的防范尤为重要。5)电脑黑客电脑黑客 (Cracker)是

3、对计算机数据安全构成威胁的另一个重要方面。电脑黑客是利用系统中的安全漏洞非法进入他人的系统, 是一种甚至比病毒更危害的安全因素。二、网络安全的防范措施目前常用的几种网络安全技术防范措施有以下几种：( 一) 防火墙安全技术所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使 Internet与 Intranet 之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，该计算机流入流出的所有网络通信均要经过此名师资料总结 - - -精品资料欢迎下载 - - - - - -

4、- - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 5 页 - - - - - - - - - 防火墙。在网络中，所谓“ 防火墙 ” ，是指一种将内部网和公众访问网(如 Internet) 分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“ 同意 ” 的人和数据进入你的网络，同时将你“ 不同意 ” 的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。防火墙包括网络层防火墙和应用层防火墙。网络层防火墙可视为一种IP 封包过滤器，运作在底层的TCP/IP 协议堆栈上。我们可以以枚举的方式，

5、只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项 “ 否定规则 ” 就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP 地址、来源端口号、目的IP 地址或端口号、服务类型(如WWW 或是FTP)。 也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。应用层防火墙是在TCP/IP 堆栈的 “ 应用层 ” 上运作，您使用浏览器时所产生的数据流或是使用FTP 时的

6、数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。XML 防火墙是一种新型态的应用层防火墙。( 二) 加密技术加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段, 利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密） 。加密技术包括两个

7、元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密 （公开密钥加密）。 对称加密以数据加密标准（ DES ， Data Encryption Standard ）算法为典型代表，非对称加密通常以RSA （Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同

8、，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 5 页 - - - - - - - - - 对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES ） ，另一个对称密钥加密系统是国际数据加密算法（IDEA ） ，它比DES 的加密性好，而且

9、对计算机功能要求也没有那么高。IDEA 加密标准由PGP （ Pretty Good Privacy ）系统使用。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密（privatekey） 。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。加密技术中还有一种重要的证书签发机构CA 。CA 是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证

10、书进行签名，以确保证书持有者的身份和公钥的拥有权。CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证CA 的签字从而信任CA ，任何人都可以得到CA 的证书（含公钥），用以验证它所签发的证书。如果用户想得到一份属于自己的证书，他应先向CA 提出申请。在CA 判明申请者的身份后，便为他分配一个公钥，并且CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪，他就用CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。网络加密通常有以下四种类型：1、无客户端SSL ： SSL 的原始应用。在这种应用中，一

11、台主机计算机在加密的链路上直接连接到一个来源(如 Web 服务器、邮件服务器、目录等)。2、配置VPN 设备的无客户端SSL ：这种使用SSL 的方法对于主机来说与第一种类似。但是，加密通讯的工作是由VPN 设备完成的，而不是由在线资源完成的(如Web 或者邮件服务器)。3、主机至网络：在上述两个方案中，主机在一个加密的频道直接连接到一个资源。在这种方式中，主机运行客户端软件(SSL 或者 IPsec客户端软件)连接到一台VPN 设备并且成为包含这个主机目标资源的那个网络的一部分。SSL ：由于设置简单，SSL 已经成为这种类型的VPN 的事实上的选择。客户端软件通常是很小的基于Java 的程

12、序。用户甚至可能都注意不到。IPsec ： 在 SSL 成为创建主机至网络的流行方式之前，要使用IPsec 客户端软件。IPsec仍在使用，但是，它向用户提供了许多设置选择，容易造成混淆。4、网络至网络：有许多方法能够创建这种类型加密的隧道VPN. 但是，要使用的技术几乎总是IPsec. ( 三) 数字签名与身份认证“数字签名” 系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 5 页 - - - - - -

13、- - - 的数据， 和与数据电文有关的任何方法，它可用于数据电文有关的签字持有人和表明此人认可数据电文所含信息。数字签名的特点: 信息是由签名者发送的；信息自签发后到收到为止未曾做过任何修改；如果 A否认对信息的签名， 可以通过仲裁解决A和B之间的争议； 数字签名又不同于手写签名。数字签名使用原理：数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一个一对多的关系：任何拥有发送方公开密钥的人都可以验证数字签名的正确性。而私有密钥的加密解密则使用的是接收方的密钥对，这是多对一的关系：任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯

14、一拥有接收方私有密钥的人才能对信息解密。通常一个用户拥有两个密钥对，另一个密钥对用来对数字签名进行加密解密，一个密钥对用来对私有密钥进行加密解密。这种方式提供了更高的安全性。身份认证的几个相关概念：1.认证：在做任何动作之前必须要有方法来识别动作执行者的真实身份。认证又称为鉴别、确认。身份认证主要是通过标识和鉴别用户的身份，防止攻击者假冒合法用户获取访问权限。2.授权：授权是指当用户身份被确认合法后，赋予该用户进行文件和数据等操作的权限。这种权限包括读、写、执行及从属权等。3.审计：每一个人都应该为自己所做的操作负责，所以在做完事情之后都要审计身份认证的主要方法：口令识别法；个人特征识别法；签

15、名识别法；指纹识别技术；语音识别系统；视网膜图像识别系统；识别过程；身份识别系统的选择。( 四) 计算机系统容灾技术灾难容忍和系统恢复能力弥补了网络安全体系仅有的防范和检测措施的不足。由于没有哪一种网络安全设施是万无一失的, 一旦发生安全漏洞事件, 其后果将是不可设想的。还有,人为等不可预料导致的事件也会对信息系统造成巨大的毁坏。所以一个安全体系就算发生灭难, 也能对系统和数据快速地恢复, 进而完整地保护网络信息系统。目前系统容灾技术主要有数据备份。但对于离线介质不能保证系统安全。数据容灾通过 IP容灾技术来保证数据的安全。数据容灾是在两个存储器（一个在本地，一个在异地）之间建立复制关系。本地

16、存储器供本地备份系统使用, 异地存储器对本地备份存储器的关键数据实时复制。两者通过IP相联系 ,组成完整的数据容灾系统。系统容错技术还有一种就是集群技术, 是通过对系统的容错和整体冗余来解决不可用和系统死机问题。本地集群网络、 异地集群网络和双机热备份是集群系名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 5 页 - - - - - - - - - 统多种形式实现, 提供了不同的系统可用性和容灾性。其中容灾性是最好的是异地集群网络。数据存储系统集成了存储、备份和容灾技术。

17、是数据技术发展的重要阶段。伴着存储网络化时代的发展 , 一体化的多功能网络存储器势必将取代传统的功能单一的存储器。( 五) 软件漏洞扫描技术自动检测本地主机或远端安全的技术就是漏洞扫描, 它随时查询 TCP/IP 服务的端口 , 收集关于某些特定项目的有用信息，并记录目标主机的响应。漏洞扫面技术是通过安全扫描程序来实现。 扫描程序可以迅速的检查出现存的安全脆弱点。扫描程序吧可得到的攻击方法集成到整个扫描中, 之后以统计的格式输出供以后参考和分析。( 六)物理安全技术系统信息还有可能在空间扩散，这就需要信息网络系统的物理安全。为减少或干扰扩散出去的空间信号，一般是在物理上采取一定的防护措施。物理

18、安全方面一般的措施如下：1)产品保障：主要指产品采购、运输、安装等方面的安全措施。2)运行安全方： 网络中的产品在使用过程中, 必须能够从生成厂家或供货单位得到迅速的技术支持和服务。对一些关键设备和系统, 应设置备份系统。3)防电磁辐射方面： 针对所有重要涉密的设备都需安装防电磁辐射产品, 如辐射干扰机等。4)安保方面：主要是防盗、防火等, 还包括网络系统所有网络设备、计算机、安全设备的安全防护。【参考文献】：1.刘采利 . 浅析计算机网络安全隐患2.刘学辉 . 计算机网络安全的威胁因素及防范技术3.张蕴卿 . 丁际交计算机网络安全的威胁因素及防范技术名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 5 页 - - - - - - - - -