網路安全技術的論文有哪些
最近有網友想了解下網路安全技術的相關論文,所以小編就整理了相關資料分享給大家,具體內容如下.希望大家參考參考!!!
網路安全技術的論文一:
一、引言
21世紀全世界的計算機都將通過Internet聯到一起,資訊保安的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在。要想真正解決網路安全問題,就得要從系統的規劃上去考慮它,從技術、產業、政策等方面來發展它。網路安全是一個系統的概念,有效的安全策略或方案的制定,是網路資訊保安的首要目標。運用多種網路安全技術來實現資訊傳遞的安全與可靠是維護網路安全的主要措施。
二、影響網路安全的主要因素
一計算機病毒
計算機病毒的含義是,編制或者在計算機程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式程式碼。它主要有程式性、傳染性、潛伏性、可觸發性這四個特點。
二網路資源共享性因素
資源共享是計算機網路應用的最主要的目的,但這又為系統安全的攻擊者利用共享的資源進行破壞提供了機會。隨著聯網需求的日益增長,外部服務請求不可能做到完全的隔離,所以攻擊者就利用服務請求的機會很容易獲取網路資料包。
三網路開放性因素
網上的任何一個使用者很方便訪問網際網路上的資訊資源,從而很容易獲取到一個企業、單位以及個人的敏感性資訊。
三、網路安全的主要技術
網路安全的技術是指致力於解決諸如如何有效進行介入控制,以及何如保證資料傳輸的安全性的技術手段。本論文主要介紹兩種網路安全技術:防火牆技術和安全審計系統。
一防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路使用者以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互連裝置。它對兩個或多個網路之間傳輸的資料包如連結方式按照一定的安全策略來實施檢查,以決定網路之間的通訊是否被允許,並監視網路執行狀態。目前的防火牆產品主要有包過濾路由器、應用層閘道器代理伺服器以及電路層閘道器、遮蔽主機防火牆等型別。
包過濾型防火牆是建立在路由器上,在伺服器或計算機上也可以安裝包過濾防火牆軟體。包過濾型產品是防火牆的初級產品,網路上的資料都是以“包”為單位進行傳輸的,資料被分割成為一定大小的資料包,每一個數據包中都會包含一些特定資訊,如資料的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取資料包中的地址資訊來判斷這些“包”是否來自可信任的安全站點,與網路管理員預先設定的訪問控制表進行比較,確定是否符合預定義好的安全策略並決定資料包的放行或丟棄。封包過濾型控制方式最大的好處是效率高,但卻有幾個嚴重缺點:管理複雜,無法對連線作完全的控制,規則設定的先後順序會嚴重影響結果,不易維護以及記錄功能少。
代理服務型防火牆,代表某個專用的網路與網際網路進行通訊的防火牆,類似在股東會上某人以你的名義代理你來投票。當你將瀏覽器配置成運用代理功能時,防火牆就將你的瀏覽器的請求轉給網際網路;當網際網路返回響應時,代理伺服器再把它轉給你的瀏覽器。代理伺服器也用於頁面的快取,代理伺服器在從網際網路上下載特定頁面前先從快取器取出這些頁面。內部網路與外部網路之間不存在直接連線。代理伺服器型防火牆的核心,是運行於防火牆主機上的代理伺服器程序,實質上是為特定網路應用連線企業內部網與Internet的閘道器。代理伺服器型防火牆的缺點是可能影響網路的效能,對使用者不透明,且對每一種TCP/IP服務都要設計一個代理模組,建立對應的閘道器,實現起來比較複雜。代理型防火牆的優點是安全性較高,代理伺服器提供了詳細的日誌和審計功能,大大提高了網路的安全性,也為改進現有軟體的安全效能提供了可能。
監測型防火牆技術超越了最初的防火牆的網路層定義以及只位於內部網路與外部網路間介面的位置定義。監測型防火牆產品帶有分散式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。監測型防火牆能夠對各層的資料進行主動的、實時的監測,在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。基於對系統成本與安全技術成本的綜合考慮,使用者可以選擇性地使用某些監測型技術。
二安全審計系統
安全審計系統是在一個特定的企事業單位的網路環境下,為了保障業務系統和網路資訊資料不受來自使用者的破壞、洩密、竊取,而運用各種技術手段實時監控網路環境中的網路行為、通訊內容,以便集中收集、分析、報警、處理的一種技術手段。
1、安全審計系統的必要性
防火牆這種網路安全技術,可實現對網路異常行為的管理和監測,如網路連線和訪問的合法性進行控制、監測網路攻擊事件等,但是不能監控網路內容和已經授權的正常內部網路訪問行為,因此對正常網路訪問行為導致的資訊洩密事件、網路資源濫用行為即時通訊、論壇、線上視訊、P2P下載、網路遊戲等也無能為力,也難以實現針對內容、行為的監控管理及安全事件的追查取證。
2、安全審計系統的特點
1細粒度的網路內容審計 安全審計系統可對系統訪問及操作、網站訪問、郵件收發、遠端終端訪問、資料庫訪問、論壇發帖等進行關鍵資訊監測、還原。
2全面的網路行為審計 安全審計系統可對網路行為,如網站訪問、郵件收發、資料庫訪問、遠端終端訪問、即時通訊、論壇、線上視訊、P2P下載、網路遊戲等,提供全面的行為監控,方便事後追查取證。
3綜合流量分析 安全審計系統可對網路流量進行綜合分析,為網路頻寬資源的管理提供可靠的策略支援。
四、結束語
為了盡最大可能地防範黑客、病毒等對網路和系統的破壞,需要採用防火牆和審計系統等等網路安全工具,在網路邊界保護內部網路的安全。但是各種網路安全技術都有各自的側重點和優缺點,只有在網路系統中將不同安全防護技術結合起來使用,才能使網路安全得到最大限度的保護。
網路安全技術的論文二:
1 引言
21世紀全世界的計算機大部分都將通過網際網路連到一起,在資訊社會中,隨著國民經濟的資訊化程度的提高,有關的大量情報和商務資訊都高度集中地存放在計算機中,隨著網路應用範圍的擴大,資訊的洩露問題也變得日益嚴重,因此,計算機網路的安全性問題就越來越重要。
2 網路威脅
2.1網路威脅的來源
1網路作業系統的不安全性:目前流行的作業系統均存在網路安全漏洞。
2來自外部的安全威脅:非授權訪問、冒充合法使用者、破壞資料完整性、干擾系統正常執行、利用網路傳播病毒等。
3網路通訊協議本身缺乏安全性如:TCP/IP協議:協議的最大缺點就是缺乏對IP地址的保護,缺乏對IP包中源IP地址真實性的認證機制與保密措施。
4木馬及病毒感染。
5應用服務的安全:許多應用服務系統在訪問控制及安全通訊方面考慮的不周全。
2.2網路攻擊的發展趨勢
目前新發現的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞,而且每年都會發現安全漏洞的新型別。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標,而且現在攻擊工具越來越複雜,與以前相比,攻擊工具的特徵更難發現,更難利用特徵進行檢測,具有反偵察的動態行為攻擊者採用隱蔽攻擊工具特性的技術。攻擊自動化程度和攻擊速度提高,殺傷力逐步提高。越來越多的攻擊技術可以繞過防火牆。在許多的網站上都有大量的穿過防火牆的技術和資料。由此可見管理人員應對組成網路的各種軟硬體設施進行綜合管理,以達到充分利用這些資源的目的,並保證網路向用戶提供可靠的通訊服務。
3 網路安全技術
3.1網路安全管理措施
安全管理是指按照本地的指導來控制對網路資源的訪問,以保證網路不被侵害,並保證重要資訊不被未授權的使用者訪問。網路安全管理主要包括:安全裝置的管理、安全策略管理、安全風險控制、安全審計等幾個方面。安全裝置管理:指對網路中所有的安全產品。如防火牆、、防病毒、入侵檢測網路、主機、漏洞掃描等產品實現統一管理、統一監控。
安全策略管理:指管理、保護及自動分發全域性性的安全策略,包括對安全裝置、作業系統及應用系統的安全策略的管理。
安全分析控制:確定、控制並消除或縮減系統資源的不定事件的總過程,包括風險分析、選擇、實現與測試、安全評估及所有的安全檢查含系統補丁程式檢查。
安全審計:對網路中的安全裝置、作業系統及應用系統的日誌資訊收集彙總。實現對這些資訊的查詢和統計;並通過對這些集中的資訊的進一步分析,可以得出更深層次的安全分析結果。
3.2網路安全防護措施
3.2.1防火牆技術
防火牆是指設定在不同網路如可信任的企業內部網和不可信的公共網或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出,能根據企業的安全政策控制允許、拒絕、監測出入網路的資訊流,且本身具有較強的抗攻擊能力。它是提供資訊保安服務,實現網路和資訊保安的基礎設施。網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路使用者以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯裝置,主要方法有:堡壘主機、包過濾路由器、應用層閘道器代理伺服器以及電路層閘道器、遮蔽主機防火牆、雙宿主機等型別。
根據防火牆所採用的技術不同,我們可以將它分為四種基本型別:包過濾型、網路地址轉換NAT、代理型和監測型。
1包過濾型
包過濾型產品是防火牆的初級產品,這種技術由路由器和Filter共同完成,路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火牆通過讀取資料包中的“包頭”的地址資訊來判斷這些“包”是否來自可信任的安全站,如果來自危險站點,防火牆便會將這些資料拒絕。包過濾的優點是處理速度快易於維護。其缺點是包過濾技術完全基於網路層的安全技術,只能根據資料包的來源、目標和埠等網路資訊進行判斷,無法告知何人進入系統,無法識別基於應用層的惡意入侵,如木馬程式,另一不足是不能在使用者級別上進行過濾。即不能鑑別不同的使用者和防止IP盜用。
2網路地址轉換
網路地址轉換在內部網路通過安全網絡卡訪問外部網路時。將產生一個對映記錄。系統將外出的源地址和源埠對映為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網絡卡與外部網路連線,而隱藏真實的內部網路地址。利用網路地址轉換技術能透明地對所有內部地址作轉換,使外部網路無法瞭解內部結構,同時允許內部網路使用自編的IP地址和專用網路。防火牆根據預先定義好的對映規則來判斷這個訪問是否安全。
3代理型
代理型的特點是將所有跨越防火牆的網路通訊鏈路分為二段。防火牆內外計算機系統間的應用層的“連線”由二個終止於代理伺服器上的“連線”來實現,外部計算機的網路鏈路只能到達代理伺服器,由此實現了“防火牆”內外計算機系統的隔離,代理伺服器在此等效於一個網路傳輸層上的資料轉發器的功能,外部的惡意侵害也就很難破壞內部網路系統。代理型防火牆的優點是安全性較高,可對應用層進行偵測和掃描,對基於應用層的入侵和病毒十分有效。其缺點是對系統的整體效能有較大的影響,系統管理複雜。
4監測型
監測型防火牆是新一代的產品,監測型防火牆能夠對各層的資料進行主動的、實時的監測。在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種監測型防火牆產品一般還帶有分散式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中。不僅能夠監測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品,但其缺點是實現成本較高,管理複雜。所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面已開始使用監測型防火牆。
3.2.2物理隔離
所謂“物理隔離”是指內部網不得直接或間接地連線公共網。雖然能夠利用防火牆、代理伺服器、入侵監測等技術手段來抵禦來自網際網路的非法入侵。但是這些技術手段都還存在許多不足,使得內網資訊的絕對安全無法實現。“物理隔離”一般採用網路隔離卡的方法。它由三部分組成:內網處理單元、外網處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站,分別有自己獨立的硬碟分割槽和作業系統,並能通過各自的專用介面與網路連線。它通過有效而全面地控制計算機的硬碟資料線,使得計算機一次只能訪問及使用其中的一個硬碟分割槽,從而最大限度地保證了安全內網與非安全外網之間的物理隔離。隔離島在外網區域時可以讀/寫檔案,而在內網區域時只可以讀取檔案,這樣就建立了一個只能從外網到內網、操作簡便且非常安全的單向資料通道。
4 結論
隨著網路的發展會有更多新的計算機的攻擊方式和手段出現,也會有更多更新的防護技術手段出現,做好網路安全防護工作是計算機管理和應用的重要內容,做好計算機的安全管理,配合高效的防火牆,能夠很好地保障網路的安全,極大提高網路的執行效率。
網路安全技術的論文三:
網際網路的飛速發展給人們的生產生活帶來了巨大變化,然而網路安全技術作為一個獨特的領域越來越受到全球網路建設者及使用者的關注,本文主要就網路中經常受到的網路攻擊及預防措施進行論述。
一、常見的網路攻擊
一入侵系統攻擊。此類攻擊如果成功,將使你的系統上的資源被對方一覽無遺,對方可以直接控制你的機器,可任意修改或盜取被控機器中的各種資訊。
二欺騙類攻擊。網路協議本身的一些缺陷可以被利用,使黑客可以對網路進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
三利用病毒攻擊。病毒是黑客實施網路攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性,而且在網路中其危害更加可怕,目前可通過網路進行傳播的病毒已有數萬種,可通過注入技術進行破壞和攻擊。
四木馬程式攻擊。特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的使用者祕密安裝到目標系統的程式。一旦安裝成功並取得管理員許可權,安裝此程式的人就可以直接遠端控制目標系統。
五網路偵聽。網路偵聽為主機工作模式,主機能接受到本網段在同一條物理通道上傳輸的所有資訊。只要使用網路監聽工具,就可以輕易地擷取所在網段的所有使用者口令和賬號等有用的資訊資料。
六對防火牆的攻擊。防火牆也是由軟體和硬體組成的,在設計和實現上都不可避免地存在著缺陷,對防火牆的攻擊方法也是多種多樣的,如探測攻擊技術、認證的攻擊技術等。
二、防禦措施主要有以下幾種
一防火牆。防火牆是建立在被保護網路與不可信網路之間的一道安全屏障,用於保護企業內部網路和資源。它在內部和外部兩個網路之間建立一個安全控制點,對進、出內部網路的服務和訪問進行控制和審計。
根據防火牆所採用的技術不同,我們可以將它分為四種基本型別:包過濾型、網路地址轉換――NAT、代理型和監測型。
1、包過濾型。包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的資料都是以“包”為單位進行傳輸的,資料被分割成為一定大小的資料包,每一個數據包中都會包含一些特定資訊,如資料的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取資料包中的地址資訊來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的資料包,防火牆便會將這些資料拒之門外,系統管理員也可以根據實際情況靈活制定判斷規則。
2、網路地址轉化――NAT。網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準,它允許具有私有IP地址的內部網路訪問因特網,它還意味著使用者不需要為其網路中每一臺機器取得註冊的IP地址,在內部網路通過安全網絡卡訪問外部網路時,將產生一個對映記錄,系統將外出的源地址和源埠對映為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網絡卡與外部網路連線,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網絡卡訪問內部網路時,它並不知道內部網路的連線情況,而只是通過一個開放的IP地址和埠來請求訪問OLM防火牆,根據預先定義好的對映規則來判斷這個訪問是否安全;當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連線請求對映到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將遮蔽外部的連線請求。網路地址轉換的過程對於使用者來說是透明的,不需要使用者進行設定,使用者只要進行常規操作即可。
3、代理型。代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的資料交流。從客戶機來看,代理伺服器相當於一臺真正的伺服器;而從伺服器來看,代理伺服器又是一臺真正的客戶機。當客戶機需要使用伺服器上的資料時,首先將資料請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取資料,然後再由代理伺服器將資料傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的資料通道,外部的惡意侵害也就很難傷害到企業內部的網路系統。
4、監測型。監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的資料進行主動的、實時的監測,在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分散式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。
二虛擬專用網。虛擬專用網的實現技術和方式有很多,但是所有的產品都應該保證通過公用網路平臺傳輸資料的專用性和安全性。如在非面向連線的公用IP網路上建立一個隧道,利用加密技術對經過隧道傳輸的資料進行加密,以保證資料的私有性和安全性。此外,還需要防止非法使用者對網路資源或私有資訊的訪問。
三虛擬區域網。選擇虛擬區域網VLAN技術可從鏈路層實施網路安全。VLAN是指在交換區域網的基礎上,採用網路管理軟體構建的可跨越不同網段、不同網路的端到端的邏輯網路。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網路裝置,允許處於不同地理位置的網路使用者加入到一個邏輯子網中。該技術能有效地控制網路流量、防止廣播風暴,但VLAN技術的侷限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬區域網PVLAN技術。
四漏洞檢測。漏洞檢測就是對重要計算機系統或網路系統進行檢查,發現其中存在的薄弱環節和所具有的攻擊性特徵。通常採用兩種策略,即被動式策略和主動式策略。被動式策略基於主機檢測,對系統中不合適的設定、口令以及其他同安全規則相背的物件進行檢查;主動式策略基於網路檢測,通過執行一些指令碼檔案對系統進行攻擊,並記錄它的反應,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統是防火牆的延伸,並能有效地結合其他網路安全產品的效能,保證計算機系統或網路系統的安全性和可靠性。
五入侵檢測。入侵檢測系統將網路上傳輸的資料實時捕獲下來,檢查是否有黑客入侵或可疑活動的發生,一旦發現有黑客入侵或可疑活動的發生,系統將做出實時報警響應。
六密碼保護。加密措施是保護資訊的最後防線,被公認為是保護資訊傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保資訊的真實和不被盜取應用,但隨著計算機效能的飛速發展,破解部分公開演算法的加密方法已變得越來越可能。
七安全策略。安全策略可以認為是一系列政策的集合,用來規範對組織資源的管理、保護以及分配,以達到最終安全的目的,安全策略的制定需要基於一些安全模型。
總之,網路安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,為網路提供強大的安全服務――這也是網路安全領域的迫切需要。
計算機網路安全知識的相關論文