畢業(yè)論文設(shè)計(jì)----網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展趨勢(shì)

1、<p>　　網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展趨勢(shì)</p><p><b>　　作者：XXX</b></p><p>　　【摘 要】 網(wǎng)絡(luò)安全的解決是一個(gè)綜合性問題，涉及到諸多因素，包括技術(shù)、產(chǎn)品和管理等。本文主要研究了信息安全現(xiàn)狀及發(fā)展趨勢(shì)，信現(xiàn)代息系統(tǒng)中的信息安全其核心問題是密碼理論及其應(yīng)用，其基礎(chǔ)是可信信息系統(tǒng)的構(gòu)作與評(píng)估。隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵在

2、不斷的延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為"攻（攻擊）、防（防范）、測(cè)（檢測(cè)）、控（控制）、管（管理）、評(píng)（評(píng)估）"等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。其中防火墻技術(shù)現(xiàn)今人們很關(guān)注，它是在市場(chǎng)上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品。</p><p>　　【關(guān)鍵詞】網(wǎng)絡(luò)安全 發(fā)展趨勢(shì) 密碼理論 防火墻技術(shù)</p><p>

3、<b>　　第一章引言</b></p><p>　　理論研究而言，一些關(guān)鍵的基礎(chǔ)理論需要保密，因?yàn)閺幕A(chǔ)理論研究到實(shí)際應(yīng)用的距離很短?，F(xiàn)代信息系統(tǒng)中的信息安全其核心問題是密碼理論及其應(yīng)用，其基礎(chǔ)是可信信息系統(tǒng)的構(gòu)作與評(píng)估。隨著計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)通信技術(shù)以及信息產(chǎn)業(yè)的高速發(fā)展，介入Internet的個(gè)人和單位主機(jī)數(shù)量快速增長(zhǎng)，尤其是計(jì)算機(jī)再政府、國(guó)防、金融、公安、和商業(yè)等部門的廣泛應(yīng)用，社會(huì)對(duì)計(jì)

4、算機(jī)的依賴越來越大，而計(jì)算機(jī)系統(tǒng)的安全一旦受到破壞，不僅會(huì)導(dǎo)致嚴(yán)重的社會(huì)混亂，也會(huì)帶來巨大的經(jīng)濟(jì)損失。世界重要發(fā)達(dá)郭嘉每年因計(jì)算機(jī)犯罪所造成的經(jīng)濟(jì)損失令人吃驚，遠(yuǎn)遠(yuǎn)超過了普通經(jīng)濟(jì)犯罪的損失。因此，確保計(jì)算機(jī)系統(tǒng)的安全已成為世界關(guān)注的社會(huì)問題，信息安全已成為信息科 學(xué)的熱點(diǎn)課題，信息安全專業(yè)也受到了社會(huì)各界的普遍關(guān)注。</p><p>　　總的來說，目前在信息安全領(lǐng)域人們所關(guān)注的焦點(diǎn)主要有以下幾方面：</p&

5、gt;<p>　　1） 密碼理論與技術(shù)；</p><p>　　2） 安全協(xié)議理論與技術(shù)；</p><p>　　3） 安全體系結(jié)構(gòu)理論與技術(shù)；</p><p>　　4） 信息對(duì)抗理論與技術(shù)；</p><p>　　5） 網(wǎng)絡(luò)安全與安全產(chǎn)品。</p><p><b>　　6）防火墻技術(shù)</b&g

6、t;</p><p>　　第二章 信息安全領(lǐng)域各項(xiàng)研究現(xiàn)狀及發(fā)展趨勢(shì)</p><p>　　1、安全協(xié)議理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢(shì)</p><p>　　安全協(xié)議的研究主要包括兩方面內(nèi)容，即安全協(xié)議的安全性分析方法研究和各種實(shí)用安全協(xié)議的設(shè)計(jì)與分析研究。安全協(xié)議的安全性分析方法主要有兩類，一類是攻擊檢驗(yàn)方法，一類是形式化分析方法，其中安全協(xié)議的形式化分析方法是安全協(xié)議

7、研究中最關(guān)鍵的研究問題之一，它的研究始于80年代初，目前正處于百花齊放，充滿活力的狀態(tài)之中。許多一流大學(xué)和公司的介入，使這一領(lǐng)域成為研究熱點(diǎn)。隨著各種有效方法及思想的不斷涌現(xiàn)，這一領(lǐng)域在理論上正在走向成熟。</p><p>　　從大的方面講，在協(xié)議形式化分析方面比較成功的研究思路可以分為三種：第一種思路是基于推理知識(shí)和信念的模態(tài)邏輯；第二種思路是基于狀態(tài)搜索工具和定理證明技術(shù)；第三種思路是基于新的協(xié)議模型發(fā)展證明

8、正確性理論。沿著第一種思路，Brackin推廣了GNY邏輯并給出了該邏輯的高階邏輯(HOL)理論，之后利用HOL理論自動(dòng)證明在該系統(tǒng)內(nèi)與安全相關(guān)的命題；Kindred則提出安全協(xié)議的理論生成，解決更廣的問題：給定一個(gè)邏輯和協(xié)議，生成協(xié)議的整個(gè)理論的有限表示。盡管也有人提出不同的認(rèn)證邏輯來檢查不同的攻擊，但是與前兩項(xiàng)工作相比是不重要的。第二種思路是近幾年研究的焦點(diǎn)，大量一般目的的形式化方法被用于這一領(lǐng)域，取得了大量成果，突出的成果有：Lo

9、we使用進(jìn)程代數(shù)CSP發(fā)現(xiàn)了Needham-Schroeder公鑰協(xié)議的十七年未發(fā)現(xiàn)的漏洞；Schneider用進(jìn)程代數(shù)CSP歸范了大量的安全性質(zhì)；基于進(jìn)程代數(shù)CSP ，Lowe和Roscoe分別發(fā)展了不同的理論和方法把大系統(tǒng)中協(xié)議安全性質(zhì)的研究約化為小系統(tǒng)中協(xié)議安全性質(zhì)的研究；Abadi及 Gordon發(fā)展推演密碼協(xié)議的Spi演算，J.Mitchell等把Spi演算與</p><p>　　目前，已經(jīng)提出了大量的

10、實(shí)用安全協(xié)議，有代表的有：電子商務(wù)協(xié)議，IPSec協(xié)議，TLS協(xié)議，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP），PGP協(xié)議，PEM協(xié)議，S-HTTP協(xié)議，S/MIME協(xié)議等。實(shí)用安全協(xié)議的安全性分析特別是電子商務(wù)協(xié)議，IPSec協(xié)議，TLS協(xié)議是當(dāng)前協(xié)議研究中的另一個(gè)熱點(diǎn)。</p><p>　　典型的電子商務(wù)協(xié)議有SET協(xié)議，iKP協(xié)議等。另外，值得注意的是Kailar邏輯，它是目前分析電子商務(wù)協(xié)議的最有效的一種形式化方法。&

11、lt;/p><p>　　為了實(shí)現(xiàn)安全I(xiàn)P，Internet工程任務(wù)組IETF于1994年開始了一項(xiàng)IP安全工程，專門成立了IP安全協(xié)議工作組IPSEC，來制定和推動(dòng)一套稱為IPSec的IP安全協(xié)議標(biāo)準(zhǔn)。其目標(biāo)就是把安全集成到IP層，以便對(duì)Internet的安全業(yè)務(wù)提供底層的支持。IETF于1995年8月公布了一系列關(guān)于IPSec的建議標(biāo)準(zhǔn)。IPSec適用于IPv4和下一代IP協(xié)議IPv6，并且是IPv6自身必備的安全

12、機(jī)制。但由于IPSec還比較新，正處于研究發(fā)展和完善階段。</p><p>　　在安全協(xié)議的研究中，除理論研究外，實(shí)用安全協(xié)議研究的總趨勢(shì)是走向標(biāo)準(zhǔn)化。我國(guó)學(xué)者雖然在理論研究方面和國(guó)際上已有協(xié)議的分析方面做了一些工作，但在實(shí)際應(yīng)用方面與國(guó)際先進(jìn)水平還有一定的差距，當(dāng)然，這主要是由于我國(guó)的信息化進(jìn)程落后于先進(jìn)國(guó)家的原因。</p><p>　　2．密碼理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢(shì)</p&

13、gt;<p>　　密碼理論與技術(shù)主要包括兩部分，即基于數(shù)學(xué)的密碼理論與技術(shù)（包括公鑰密碼、分組密碼、序列密碼、認(rèn)證碼、數(shù)字簽名、Hash函數(shù)、身份識(shí)別、密鑰管理、PKI技術(shù)等）和非數(shù)學(xué)的密碼理論與技術(shù)（包括信息隱形，量子密碼，基于生物特征的識(shí)別理論與技術(shù)）。 公鑰密碼主要用于數(shù)字簽名和密鑰分配。當(dāng)然，數(shù)字簽名和密鑰分配都有自己的研究體系，形成了各自的理論框架。目前數(shù)字簽名的研究?jī)?nèi)容非常豐富，包括普通簽名和特殊簽名。特殊簽

14、名有盲簽名，代理簽名，群簽名，不可否認(rèn)簽名，公平盲簽名，門限簽名，具有消息恢復(fù)功能的簽名等，它與具體應(yīng)用環(huán)境密切相關(guān)。顯然，數(shù)字簽名的應(yīng)用涉及到法律問題，美國(guó)聯(lián)邦政府基于有限域上的離散對(duì)數(shù)問題制定了自己的數(shù)字簽名標(biāo)準(zhǔn)（DSS），部分州已制定了數(shù)字簽名法。法國(guó)是第一個(gè)制定數(shù)字簽名法的國(guó)家，其他國(guó)家也正在實(shí)施之中。在密鑰管理方面，國(guó)際上都有一些大的舉動(dòng)，密鑰管理中還有一種很重要的技術(shù)就是秘密共享技術(shù)，它是一種分割秘密的技術(shù)，目的是阻止秘密過

15、于集中，我國(guó)學(xué)者在這些方面也做了一些跟蹤研究，發(fā)表了很多論文，按照X.509標(biāo)準(zhǔn)實(shí)現(xiàn)了一些CA。但沒有聽說過哪個(gè)部門有制定數(shù)字簽名法的意向。目前人們關(guān)注</p><p>　　認(rèn)證碼是一個(gè)理論性比較強(qiáng)的研究課題，自80年代后期以來，在其構(gòu)造和界的估計(jì)等方面已經(jīng)取得了長(zhǎng)足的發(fā)展，我國(guó)學(xué)者在這方面的研究工作也非常出色，影響較大。目前這方面的理論相對(duì)比較成熟，很難有所突破。另外，認(rèn)證碼的應(yīng)用非常有限，幾乎停留在理論研究上

16、，已不再是密碼學(xué)中的研究熱點(diǎn)。</p><p>　　序列密碼主要用于政府、軍方等國(guó)家要害部門，盡管用于這些部門的理論和技術(shù)都是保密的，但由于一些數(shù)學(xué)工具（比如代數(shù)、數(shù)論、概率等）可用于研究序列密碼，其理論和技術(shù)相對(duì)而言比較成熟。從八十年代中期到九十年代初，序列密碼的研究非常熱，在序列密碼的設(shè)計(jì)與生成以及分析方面出現(xiàn)了一大批有價(jià)值的成果，我國(guó)學(xué)者在這方面也做了非常優(yōu)秀的工作。雖然，近年來序列密碼不是一個(gè)研究熱點(diǎn)，但

17、有很多有價(jià)值的公開問題需要進(jìn)一步解決，比如自同步流密碼的研究，有記憶前饋網(wǎng)絡(luò)密碼系統(tǒng)的研究，混沌序列密碼和新研究方法的探索等。另外，雖然沒有制定序列密碼標(biāo)準(zhǔn)，但在一些系統(tǒng)中廣泛使用了序列密碼比如RC4，用于存儲(chǔ)加密。事實(shí)上，歐洲的NESSIE計(jì)劃中已經(jīng)包括了序列密碼標(biāo)準(zhǔn)的制定，這一舉措有可能導(dǎo)致序列密碼研究熱。</p><p>　　國(guó)外目前不僅在密碼基礎(chǔ)理論方面的研究做的很好，而且在實(shí)際應(yīng)用方面也做的非常好。制定

18、了一系列的密碼標(biāo)準(zhǔn)，特別規(guī)范。算法的征集和討論都已經(jīng)公開化，但密碼技術(shù)作為一種關(guān)鍵技術(shù)，各國(guó)都不會(huì)放棄自主權(quán)和控制權(quán)，都在爭(zhēng)奪霸權(quán)地位。我國(guó)在密碼基礎(chǔ)理論的某些方面的研究做的很好，但在實(shí)際應(yīng)用方面與國(guó)外的差距較大，沒有自己的標(biāo)準(zhǔn)，也不規(guī)范。</p><p>　　目前國(guó)際上對(duì)非數(shù)學(xué)的密碼理論與技術(shù)（包括信息隱形，量子密碼，基于生物特征的識(shí)別理論與技術(shù)等）非常關(guān)注，討論也非?；钴S。信息隱藏將在未來網(wǎng)絡(luò)中保護(hù)信息免于破

19、壞起到重要作用，信息隱藏是網(wǎng)絡(luò)環(huán)境下把機(jī)密信息隱藏在大量信息中不讓對(duì)方發(fā)覺的一種方法。特別是圖象疊加、數(shù)字水印、潛信道、隱匿協(xié)議等的理論與技術(shù)的研究已經(jīng)引起人們的重視。1996年以來，國(guó)際上召開了多次有關(guān)信息隱藏的專業(yè)研討會(huì)?；谏锾卣鳎ū热缡中?、指紋、語(yǔ)音、視網(wǎng)膜、虹膜、臉形、DNA等）的識(shí)別理論與技術(shù)已有所發(fā)展，形成了一些理論和技術(shù)，也形成了一些產(chǎn)品，這類產(chǎn)品往往由于成本高而未被廣泛采用。1969年美國(guó)哥倫比亞大學(xué)的Wiesner

20、創(chuàng)造性地提出了共軛編碼的概念，遺憾的是他的這一思想當(dāng)時(shí)沒有被人們接受。十年后，源于共軛編碼概念的量子密碼理論與技術(shù)才取得了令人驚異的進(jìn)步，已先后在自由空間和商用光纖中完成了單光子密鑰交換協(xié)議，英國(guó)BT實(shí)驗(yàn)室通過30公里的光纖信道實(shí)現(xiàn)了每秒20k比特的密鑰分配。近年來，英、美、日等國(guó)的許多大學(xué)和研究機(jī)構(gòu)競(jìng)相投入到量子密碼的研究之中，更大的計(jì)劃在歐洲進(jìn)行。到目前為止，主要有三大類量子密碼實(shí)現(xiàn)方案：一是基于單</p><p

21、>　　密碼技術(shù)特別是加密技術(shù)是信息安全技術(shù)中的核心技術(shù)，國(guó)家關(guān)鍵基礎(chǔ)設(shè)施中不可能引進(jìn)或采用別人的加密技術(shù)，只能自主開發(fā)。目前我國(guó)在密碼技術(shù)的應(yīng)用水平方面與國(guó)外還有一定的差距。國(guó)外的密碼技術(shù)必將對(duì)我們有一定的沖擊力，特別是在加入WTO組織后這種沖擊力只會(huì)有增無(wú)減。有些做法必須要逐漸與國(guó)際接軌，不能再采用目前這種關(guān)門造車的做法，因此，我們必須要有我們自己的算法，自己的一套標(biāo)準(zhǔn)，自己的一套體系，來對(duì)付未來的挑戰(zhàn)。實(shí)用密碼技術(shù)的基礎(chǔ)是密碼

22、基礎(chǔ)理論，沒有好的密碼理論不可能有好的密碼技術(shù)、也不可能有先進(jìn)的、自主的、創(chuàng)新的密碼技術(shù)。因此，首先必須持之以恒地堅(jiān)持和加強(qiáng)密碼基礎(chǔ)理論研究，與國(guó)際保持同步，這方面的工作必須要有政府的支持和投入。另一方面，密碼理論研究也是為了應(yīng)用，沒有應(yīng)用的理論是沒有價(jià)值的。我們應(yīng)在現(xiàn)有理論和技術(shù)基礎(chǔ)上充分吸收國(guó)外先進(jìn)經(jīng)驗(yàn)形成自主的、創(chuàng)新的密碼技術(shù)以適應(yīng)國(guó)民經(jīng)濟(jì)的發(fā)展。</p><p>　　特別值得一提的是歐洲大計(jì)劃NESSIE

23、工程必將大大推動(dòng)密碼學(xué)的研究和發(fā)展，我們應(yīng)予以密切關(guān)注。</p><p>　　3．安全體系結(jié)構(gòu)理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢(shì)</p><p>　　安全體系結(jié)構(gòu)理論與技術(shù)主要包括：安全體系模型的建立及其形式化描述與分析，安全策略和機(jī)制的研究，檢驗(yàn)和評(píng)估系統(tǒng)安全性的科學(xué)方法和準(zhǔn)則的建立，符合這些模型、策略和準(zhǔn)則的系統(tǒng)的研制（比如安全操作系統(tǒng)，安全數(shù)據(jù)庫(kù)系統(tǒng)等）。</p><p

24、>　　我國(guó)在系統(tǒng)安全的研究與應(yīng)用方面與先進(jìn)國(guó)家和地區(qū)存在很大差距。近幾年來，在我國(guó)進(jìn)行了安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)、多級(jí)安全機(jī)制的研究，但由于自主安全內(nèi)核受控于人，難以保證沒有漏洞。而且大部分有關(guān)的工作都以美國(guó)1985年的TCSEC標(biāo)準(zhǔn)為主要參照系。開發(fā)的防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)系統(tǒng)等產(chǎn)品和技術(shù)，主要集中在系統(tǒng)應(yīng)用環(huán)境的較高層次上，在完善性、規(guī)范性、實(shí)用性上還存在許多不足，特別是在多平臺(tái)的兼容性、多協(xié)議的適應(yīng)性、多

25、接口的滿足性方面存在很大距離，其理論基礎(chǔ)和自主的技術(shù)手段也有待于發(fā)展和強(qiáng)化。然而，我國(guó)的系統(tǒng)安全的研究與應(yīng)用畢竟已經(jīng)起步，具備了一定的基礎(chǔ)和條件。1999年10月發(fā)布了"計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則"，該準(zhǔn)則為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)。</p><p>　　Linux開放源代碼為我們自主研制安全操作系統(tǒng)提供了前所未有的機(jī)遇。作為信息系統(tǒng)賴以支持

26、的基礎(chǔ)系統(tǒng)軟件--操作系統(tǒng)，其安全性是個(gè)關(guān)鍵。長(zhǎng)期以來，我國(guó)廣泛使用的主流操作系統(tǒng)都是從國(guó)外引進(jìn)的。從國(guó)外引進(jìn)的操作系統(tǒng)，其安全性難以令人放心。具有我國(guó)自主版權(quán)的安全操作系統(tǒng)產(chǎn)品在我國(guó)各行各業(yè)都迫切需要。我國(guó)的政府、國(guó)防、金融等機(jī)構(gòu)對(duì)操作系統(tǒng)的安全都有各自的要求，都迫切需要找到一個(gè)既滿足功能、性能要求，又具備足夠的安全可信度的操作系統(tǒng)。Linux的發(fā)展及其應(yīng)用在國(guó)際上的廣泛興起，在我國(guó)也產(chǎn)生了廣泛的影響，只要其安全問題得到妥善解決，將會(huì)

27、得到我國(guó)各行各業(yè)的普遍接受。 </p><p>　　4．網(wǎng)絡(luò)安全與安全產(chǎn)品研究現(xiàn)狀及發(fā)展趨勢(shì)</p><p>　　網(wǎng)絡(luò)安全是信息安全中的重要研究?jī)?nèi)容之一，也是當(dāng)前信息安全領(lǐng)域中的研究熱點(diǎn)。研究?jī)?nèi)容包括：網(wǎng)絡(luò)安全整體解決方案的設(shè)計(jì)與分析，網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。網(wǎng)絡(luò)安全包括物理安全和邏輯安全。物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信、計(jì)算機(jī)設(shè)備及相關(guān)設(shè)施的物理保護(hù)，免于破壞、丟失等。邏輯安全包含信息完整性、

28、保密性、非否認(rèn)性和可用性。它是一個(gè)涉及網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、人員管理等方方面面的事情，必須綜合考慮。</p><p>　　網(wǎng)絡(luò)中的安全威脅主要有：</p><p>　　1）身份竊取，指用戶身份在通信時(shí)被非法截?。?lt;/p><p>　　2）假冒，指非法用戶假冒合法用戶身份獲取敏感信息的行為；</p><p>　　3）數(shù)據(jù)竊取，指非法

29、用戶截獲通信網(wǎng)絡(luò)的數(shù)據(jù)；</p><p>　　4）否認(rèn)，指通信方事后否認(rèn)曾經(jīng)參與某次活動(dòng)的行為；</p><p><b>　　5）非授權(quán)訪問；</b></p><p>　　6）拒絕服務(wù)，指合法用戶的正當(dāng)申請(qǐng)被拒絕、延遲、更改等；</p><p><b>　　7）錯(cuò)誤路由。</b></p>

30、<p>　　解決網(wǎng)絡(luò)信息安全問題的主要途徑是利用密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。密碼技術(shù)用于隱蔽傳輸信息、認(rèn)證用戶身份等。網(wǎng)絡(luò)訪問控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來攻擊。</p><p>　　目前，在市場(chǎng)上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：</p><p>　　1） 防火墻：防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部

31、網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對(duì)內(nèi)部資源的非法訪問，防止內(nèi)部對(duì)外部的不安全訪問。主要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它其本身可能存在安全問題，也可能會(huì)是一個(gè)潛在的瓶頸。</p><p>　　2） 安全路由器：由于WAN連接需要專用的路由器設(shè)備，因而可通過路

32、由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。</p><p>　　3） 虛擬專用網(wǎng)(VPN)：虛擬專用網(wǎng)（VPN）是在公共數(shù)據(jù)網(wǎng)絡(luò)上，通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)，實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互聯(lián)。VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。</p><p>　　4） 安全服務(wù)器：安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存

33、儲(chǔ)、傳輸?shù)陌踩Ｃ軉栴}，其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制，對(duì)局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。</p><p>　　5） 電子簽證機(jī)構(gòu)--CA和PKI產(chǎn)品：電子簽證機(jī)構(gòu)（CA）作為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。CA可向用戶發(fā)行電子簽證證書，為用戶提供成員身份驗(yàn)證和密鑰管理等功能。PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件。&l

34、t;/p><p>　　6） 用戶認(rèn)證產(chǎn)品：由于IC卡技術(shù)的日益成熟和完善，IC卡被更為廣泛地用于用戶認(rèn)證產(chǎn)品中，用來存儲(chǔ)用戶的個(gè)人私鑰，并與其他技術(shù)如動(dòng)態(tài)口令相結(jié)合，對(duì)用戶身份進(jìn)行有效的識(shí)別。同時(shí)，還可利用IC卡上的個(gè)人私鑰與數(shù)字簽名技術(shù)結(jié)合，實(shí)現(xiàn)數(shù)字簽名機(jī)制。隨著模式識(shí)別技術(shù)的發(fā)展，諸如指紋、視網(wǎng)膜、臉部特征等高級(jí)的身份識(shí)別技術(shù)也將投入應(yīng)用，并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合，必將使得對(duì)于用戶身份的認(rèn)證和識(shí)別更趨完善。&l

35、t;/p><p>　　7） 安全管理中心：由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。</p><p>　　8） 入侵檢測(cè)系統(tǒng)（IDS）：入侵檢測(cè)，作為傳統(tǒng)保護(hù)機(jī)制（比如訪問控制，身份識(shí)別等）的有效補(bǔ)充，形成了信息系統(tǒng)中不可或缺的反饋鏈。</

36、p><p>　　9） 安全數(shù)據(jù)庫(kù)：由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫(kù)內(nèi)，有些信息是有價(jià)值的，也是敏感的，需要保護(hù)。安全數(shù)據(jù)庫(kù)可以確保數(shù)據(jù)庫(kù)的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控制與用戶身份識(shí)別等。</p><p>　　10） 安全操作系統(tǒng)：給系統(tǒng)中的關(guān)鍵服務(wù)器提供安全運(yùn)行平臺(tái)，構(gòu)成安全WWW服務(wù)，安全FTP服務(wù)，安全SMTP服務(wù)等，并作為各類網(wǎng)絡(luò)安全產(chǎn)品的堅(jiān)實(shí)底座，確保這些安全產(chǎn)品的

37、自身安全。</p><p>　　在上述所有主要的發(fā)展方向和產(chǎn)品種類上，都包含了密碼技術(shù)的應(yīng)用，并且是非常基礎(chǔ)性的應(yīng)用。很多的安全功能和機(jī)制的實(shí)現(xiàn)都是建立在密碼技術(shù)的基礎(chǔ)之上，甚至可以說沒有密碼技術(shù)就沒有安全可言。但是，我們也應(yīng)該看到密碼技術(shù)與通信技術(shù)、計(jì)算機(jī)技術(shù)以及芯片技術(shù)的融合正日益緊密，其產(chǎn)品的分界線越來越模糊，彼此也越來越不能分割。在一個(gè)計(jì)算機(jī)系統(tǒng)中，很難簡(jiǎn)單地劃分某個(gè)設(shè)備是密碼設(shè)備，某個(gè)設(shè)備是通信設(shè)備。而

38、這種融合的最終目的還是在于為用戶提供高可信任的、安全的計(jì)算機(jī)和網(wǎng)絡(luò)信息系統(tǒng)。</p><p>　　第三章 防火墻技術(shù)在信息安全領(lǐng)域中的應(yīng)用及其前景</p><p>　　防火墻一般有三個(gè)特性： </p><p>　　1）所有的通信都經(jīng)過防火墻 </p><p>　　2）防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量 </p><p>　

39、　3）防火墻能經(jīng)受的住對(duì)其本身的攻擊 </p><p>　　為什么要使用防火墻？很多人都會(huì)有這個(gè)問題，也有人提出，如果把每個(gè)單獨(dú)的系統(tǒng)配置好，其實(shí)也能經(jīng)受住攻擊。遺憾的是很多系統(tǒng)在缺省情況下都是脆弱的。最顯著的例子就是Windows系統(tǒng)，我們不得不承認(rèn)在Windows 2003以前的時(shí)代， Windows默認(rèn)開放了太多不必要的服務(wù)和端口，共享信息沒有合理配置與審核。如果管理員通過安全部署，包括刪除多余的服務(wù)和組件

40、，嚴(yán)格執(zhí)行NTFS權(quán)限分配，控制系統(tǒng)映射和共享資源的訪問，以及帳戶的加固和審核，補(bǔ)丁的修補(bǔ)等。做好了這些，我們也可以非常自信的說，Windows足夠安全。也可以抵擋住網(wǎng)絡(luò)上肆無(wú)忌憚的攻擊。但是致命的一點(diǎn)是，該服務(wù)器系統(tǒng)無(wú)法在安全性，可用性和功能上進(jìn)行權(quán)衡和妥協(xié)。 </p><p>　　如果沒有防火墻，粗略的下個(gè)結(jié)論，就是：整個(gè)網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。遺憾的是這并不是一個(gè)正確的結(jié)論，真實(shí)的

41、情況比這更糟：整個(gè)網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的部分所嚴(yán)格制約。即非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來。沒有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)每個(gè)服務(wù)都永遠(yuǎn)運(yùn)行在最佳狀態(tài)。網(wǎng)絡(luò)越龐大，把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同樣高的安全水平就越復(fù)雜，將會(huì)耗費(fèi)大量的人力和時(shí)間。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰。</p><p>　　防火墻成為了與不可信任網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶，我們通過部署防火墻，就可以通過關(guān)注防

42、火墻的安全來保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過防火墻進(jìn)行審記和保存，對(duì)于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)?？傊?，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn)。 </p><p>　　防火墻的主要優(yōu)點(diǎn)如下： </p><p>　　1）防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安全，并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。 </p><p&g

43、t;　　2）防火墻可以用于限制對(duì)某些特殊服務(wù)的訪問。 </p><p>　　3）防火墻功能單一，不需要在安全性，可用性和功能上做取舍。 </p><p>　　4）防火墻有審記和報(bào)警功能，有足夠的日志空間和記錄功能，可以延長(zhǎng)安全響應(yīng)的周期。 </p><p>　　同樣的，防火墻也有許多弱點(diǎn)： </p><p>　　1）不能防御已經(jīng)授權(quán)的訪問,以

44、及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊. </p><p>　　2）不能防御合法用戶惡意的攻擊.以及社交攻擊等非預(yù)期的威脅. </p><p>　　3）不能修復(fù)脆弱的管理措施和存在問題的安全策略 </p><p>　　4）不能防御不經(jīng)過防火墻的攻擊和威脅 </p><p>　　在開始之前，我們首先必須面對(duì)一個(gè)事實(shí)，絕對(duì)的安全是沒有的。我們所能做的，是減

45、少企業(yè)所面臨的安全風(fēng)險(xiǎn)，延長(zhǎng)安全的穩(wěn)定周期，縮短消除威脅的反映時(shí)間。網(wǎng)管與安全人員需要解決的是來自內(nèi)部和外部的混合威脅，是蓄意或無(wú)意的攻擊和破壞，是需要提高整體安全防范意識(shí)與科學(xué)的協(xié)調(diào)和管理。客觀的去分析現(xiàn)今的企業(yè)網(wǎng)絡(luò)，我們不難發(fā)現(xiàn)，在經(jīng)歷了普及終端和網(wǎng)絡(luò)互聯(lián)的時(shí)代后，我們面對(duì)的問題還有很多，如客戶端的非法操作，對(duì)網(wǎng)絡(luò)的不合法的訪問與利用；網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)缺陷與混雜的部署環(huán)境；網(wǎng)絡(luò)邊界與關(guān)鍵應(yīng)用的區(qū)域缺乏必要的防御措施和審記系統(tǒng)等等。 &

46、lt;/p><p><b>　　第四章 結(jié)果與結(jié)論</b></p><p>　　網(wǎng)絡(luò)安全的解決是一個(gè)綜合性問題，涉及到諸多因素，包括技術(shù)、產(chǎn)品和管理等。目前國(guó)際上已有眾多的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，但由于出口政策和自主性等問題，不能直接用于解決我國(guó)自己的網(wǎng)絡(luò)安全，因此我國(guó)的網(wǎng)絡(luò)安全只能借鑒這些先進(jìn)技術(shù)和產(chǎn)品，自行解決?？尚业氖牵壳皣?guó)內(nèi)已有一些網(wǎng)絡(luò)安全解決方案和產(chǎn)品，不過，

47、這些解決方案和產(chǎn)品與國(guó)外同類產(chǎn)品相比尚有一定的差距。</p><p><b>　　【參考資料】:</b></p><p>　　1）陳鐘 “網(wǎng)絡(luò)與信息安全”研究生講義 密碼技術(shù)基礎(chǔ)</p><p>　　2）Andrew S.Tanenbaum, Albert S.Woodhull “Operating System Design and Impl