信息安全技术论文

《信息安全技术》课程论文
论文题目：网络信息安全技术
学院(系)：信息工程学院
专业：信息与通信工程
班级：
学生姓名：
学号：
*师：***
2013年 6月 1 日
武汉理工大学硕士论文--《信息安全技术》
网络信息安全技术
XXX
（武汉理工大学信息工程学院，湖北武汉 430070）
摘要：随着网络和计算机技术日新月异地飞速发展，网络安全越发的与人们的日常生活的各个方面联系到了一起，随之而来的引起了越来越多的重视。

尽管新的安全问题不断产生和变化，但保证其安全性还是奋斗的终极目标。

因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。

同时要加快网络信息安全技术手段的研究和创新，从而使网络的信息能安全可靠地为广大用户服务。

那么本文主要介绍了网络安全技术的基本概念及其所要解决的问题，还有网络安全技术的常用技术以及未来的发展趋势。

关键字：网络信息安全，服务，防火墙
1绪论
在人类认知的有限范围内，信息被定义为人类社会以及自然界其他生命体中需要传递、交换、存储和提取的抽象内容。

这样的所谓信息存在于现实世界的一切事物之中，被人类利用来认识世界和改造世界。

自从人类开始利用信息来为自己服务后，信息安全问题就自然而然地凸现出来，并随之出现了众多相应的解决办法，不过在当时，这个问题并不显得非常重要。

但随着人与人、人与自然交流的日益频繁，信息数量的急剧膨胀，并且当其影响到各个相对独立主体重要利益的时候（无论大到国与国之间的战争，或小到个人与个人之间的秘密隐私），信息安全问题就显得特别重要。

多年以来，虽然人们总是不自觉地利用信息安全技术来保证我们的秘密，但是只有当计算机网络出现以后，全球最大的互连网Internet 连接到千家万户时，信息安全才成为普通百姓也关注的话题。

随着计算机网络技术的发展和普及应
用，全球信息化已成为人类发展的大趋势。

由于网络具有连接形式多样性、终端分布不
均匀性和网络的开放性、互联性等特征，致
使网络极易受黑客、恶意软件和其他不轨行
为的攻击，使得计算机网络的安全问题日益
突出。

网络安全成为涉及社会生活各个领域
的一个核心问题。

我国的网络安全技术在近几年得到快速的发展，这一方面得益于从中央到地方政府的广泛重视，另一方面因为网络安全问题日益突出，网络安全企业不断跟进最新安全技术，不断推出满足用户需求、具有时代特色的安全产品，进一步促进了网络安全技术的发展。

从技术层面来看，目前网络安全产品在发展过程中面临的主要问题是：以往人们主要关心系统与网络基础层面的防护问题，而现在人们更加关注应用层面的安全防护问题，安全防护已经从底层或简单数据层面上升到了应用层面，这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴，越来越多的安全技术已经与应用相结合。

2 网络信息安全基本概念及其所要解决的问题
信息安全是指为建立信息处理系统而采取的
技术上和管理上的安全保护，以实现电子信息的保密性、完整性、可用性和可控性。

当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。

然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。

面对侵袭网络安全的种种威胁，必须考虑信息的安全这个至关重要的问题。

2.1基本概念
（1）信息的完整性（Integrity）
信息在存储、传递和提取的过程中没有残缺、丢失等现象的出现，这就要求信息的存储介质、存储方式、传播媒体、传播方法、读取方式等要完全可靠，因为信息总是以一定的方式来记录、传递与提取的，它以多种多样的形式存储于多样的物理介质中，并随时可能通过某种方式来传递。

简单地说如果一段记录由于某种原因而残缺不全了，那么其记录的信息也就不完整了。

那么我们就可以认为这种存储方式或传递方式是不安全的。

（2）信息的机密性（Confidentiality）
就是信息不被泄露或窃取。

这也是一般人们所理
解的安全概念。

人们总希望有些信息不被自己不信任的人所知晓，因而采用一些方法来防止，比如把秘密的信息进行加密，把秘密的文件放在别人无法拿到的地方等等，都是实现信息机密性的方法。

（3）信息的有效性（Availability）
一种是对信息的存取有效性的保证，即以规定的方法能够准确无误地存取特定的信息资源；一种是信息的时效性，指信息在特定的时间段内能被有权存取该信息的主体所存取。

等等。

当然，信息安全概念是随着时代的发展而发展的，信息安全概念以及内涵都在不断地发展变化，并且人们以自身不同的出发点和侧重点不同提出了许许多多不同的理论。

另外，针对某特定的安全应用时，这些关于信息安全的概念也许并不能完全地包含所有情况，比如信息的真实性（Authenticity）、实用性（Utinity）、占有性（Possession）等，就是一些其他具体的信息安全情况而提出的。

2.2所要解决的问题
计算机网络安全的层次上大致可分为：物理安全、安全控制、安全服务三个方面。

2.2.1物理安全
物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。

对于计算机网络设备、设施等等免于遭受自然或人为的破坏。

主要有环境安全（即自然环境对计算机网络设备与设施的影响）；设备安全则是指防止设备被盗窃、毁坏、电磁辐射、电磁干扰、窃听等；媒体安全，保证媒体本身以及媒体所载数据的安全性。

该层次上的不安全因素包括三大类：
（1）自然灾害、物理损坏、设备故障
此类不安全因素的特点是：突发性、自然性、非针对性。

这种不安全因素对网络信息的完整性和可用性威胁最大，而对网络信息的保密性影响却较小，因为在一般情况下，物理上的破坏将销毁网络信息本身。

解决此类不安全隐患的有效方法是采取各种防护措施、制定安全规章、随时备份数据等。

（2）电磁辐射、痕迹泄露等
此类不安全因素的特点是：隐蔽性、人为实施的故意性、信息的无意泄露性。

这种不安全因素主要破坏网络信息的保密性，而对网络信息的完整性和可用性影响不大。

解决此类不安全隐患的有效方法是采取辐射防护、屏幕口令、隐藏销毁等手段。

（3）操作失误、意外疏漏
其特点是：人为实施的无意性和非针对性。

主要破坏了网络信息的完整性和可用性，而对保密性影响不大。

主要采用状态检测、报警确认、应急恢复等来防范。

2.2.2安全控制
安全控制是指在网络信息系统中对存储和传输辐射信息的操作和进程进行控制和管理。

在网络信息处理层次上对信息进行安全保护。

（1）操作系统的安全控制
包括对用户合法身份的核实，对文件读写权限的控制等。

此类控制主要是保护被存储数据的安全。

（2）网络接口模块的安全控制
在网络环境下对来自其他机器的网络通信进程进行安全控制。

此类控制主要包括身份认证、客户权限设置与判别、日志审计等手段。

（3）网络互连设备的安全控制
对整个子网内的所有主机的传输信息和运行状态进行安全检测和控制。

此类控制主要通过网管软件或路由器配置实现。

2.2.3安全服务
安全服务是指在应用程序层对网络信息的保
密性、完整性和真实性进行保护和鉴别，防止各种安全威胁和攻击，其可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。

安全服务主要内容包括：安全机制、安全连接、安全协议、安全策略等。

（1）安全机制是利用密码算法对重要而敏感的数据进行处理。

以保护网络信息的保密性为目标的数据加密和解密；以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证；以保护网络信息的完整性，防止和检测数据被修改、插入、删除和改变的信息认证等。

（2）安全连接是在安全处理前与网络通信方之间的连接过程。

安全连接为安全处理进行了必要的准备工作。

安全连接主要包括会话密钥的分配和生成以及身份验证。

（3）安全协议使网络环境下互不信任的通信方能够相互配合，并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性、公平性。

（4）安全策略是安全机制、安全连接和安全协议的有机组合方式，是网络信息安全性完整的解决方案。

不同的网络信息系统和不同的应用环境需要不同的安全策略。

3网络安全常用技术
通常保障网络信息安全的方法有两大类：以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。

3.1防火墙技术
“防火墙”（Firewall）安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。

它具有简单实用的特点，并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。

防火墙一方面通过检查、分析、过滤从内部网流出的IP包，尽可能地对外部网络屏蔽被保护网络或节点的信息、结构，另一方面对内屏蔽外部某些危险地址，实现对内部网络的保护。

实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。

（1）网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。

一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。

包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。

如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。

其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

（2）应用级网关
应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。

应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。

但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

应用级网关有较好的访问控制，是目前最安
全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。

在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。

（3）电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。

实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起，如Trust Information Systems公司的Gauntlet Internet Firewall；DEC公司的Alta Vista Firewall等产品。

另外，电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer），代理服务器是个防火墙，在其上运行一个叫做“地址转移”的进程，来将所有你公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。

但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。

（4）规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。

它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。

它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。

当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。

3.2数字加密和用户授权访问控制技术
与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。

用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。

数据加密主要用于对动态信息的保护。

对动态数据的攻击分为主动攻击和被动攻击。

对于主动攻击，虽无法避免，但却可以有效地检测;而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。

数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是受“密钥”控制的。

在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为“对称密钥算法”。

这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。

如果加密/解密过程各有不相干的密钥，构成加密/解密的密钥对，则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”，相应的加密/解密密钥分别称为“公钥”和“私钥”。

在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。

私钥是保密的，用于解密其接收的公钥加密过的信息。

典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。

3.3入侵检测技术
入侵检测系统(Intrusion Detection System 简称IDS)是从多种计算机系统及网络系统中收集信息，再通过这此信息分析入侵特征的网络安全系统。

IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检
测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。

在入侵攻击过程中，能减少入侵攻击所造成的损失;在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。

入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

3.4防病毒技术
随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。

在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。

单机防病毒软件一般安装在单台PC 上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。

网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除。

3.5安全管理队伍的建设
在计算机网络系统中，绝对的安全是不存在的，制定健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。

同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使用人员和管理人员的安全防范意识。

网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本网内的IP地址资源统一管理、统一分配。

对于盗用IP资源的用户必须依据管理制度严肃处理。

只有共同努力，才能使计算机网络的安全可靠得到保障，从而使广大网络用户的利益得到保障。

4网络安全技术发展趋势
主要有以下几个大的发展趋势
(1)网络溯源技术和支持系统，是网络安全
可持续发展的必由之路
网络安全技术不断发展的同时，黑客攻击网
络的技术也在不断发展，这就形成了一种无
止境的对抗,
这种对抗的背后是网络溯源技术的缺失。

溯源技术指通过技术手段，将内容、网络行为以及应用行为等追溯到该行为发起者。

而溯源技术的缺失更多的是由于开放的IP网络缺乏足够溯源能力，导致针对网络违法行为的法规缺乏有效的技术支撑。

(2)从协议到系统，全面支持差异化的安全
业务
差异化安全业务支持系统形成的原因如图1所示。

从网络运营的角度来看，不管是运营商还是部署企业网的企业，对网络安全的投入越来越多，除了购买必要的防火墙、入侵检测系统、漏洞扫描等，还需要定期对网络安全进行评估。

由于网络攻击技术不断发展，迫使运营商为网络安全投入资金处于不断增长过程中。

特别是网络融合的趋势逐步成为现实，IP网络成为下一代网络的承载网。

当电信运营商运营全IP化的网络时，为了达到电信级的服务标准，对网络安全的投入更是急剧增加。

从运营的角度来看，一个持续投入的领域，必然希望能够获得相应的资本回报，由此才能产生良性发展，即把投入转化成有效投
资，因此安全成为一项可运营的业务有其明显的内在需求。

(3) 通用的安全协议将逐步消失，取而代之
的是融合安全技术
当网络安全还没有成为网络应用的重要问题时，制定的通信协议基本上不考虑协议和网络的安全性。

而当这些协议大规模使用出现诸多安全漏洞和安全威胁后，不得不采取补救措施，即发展安全协议保护通信的安全，因此IPSec、IKE、TLS等通用的安全协议应运而生，并获得广泛的应用，在充分重视安全重要性后，新的协议在设计过程中就充分考虑安全方面的需要，协议的安全性成了新的协议是否被认可的重要指标，因此新的通信协议普遍融入了安全技术，如SIP本身就附带诸多安全机制，IPv6本身附带了必要的安全字段，这种发展趋势将会持续，由此可以预见，传统的通用安全协议应用范围将逐渐缩小，最终消失，取而代之的是所有通信协议都具备相应的安全机制。

5总结
随着网络的发展，技术的进步，网络安全面临的挑战也在增大。

一方面，对网络的攻击方式层出不穷，攻击方式的增加意味着对网络威胁的增大；随着硬件技术和并行技术的发展，计算机的计算能力迅速提高。

另一方面，网络应用范围的不断扩大，使人们对网络依赖的程度增大，对网络的破坏造成的损失和混乱会比以往任何时候都大。

这些网络信息安全保护提出了更高的要求，也使网络信息安全学科的地位越显得重要，网络信息安全必然随着网络应用的发展而不断发展。

参考文献
[1] 陈月波.网络信息安全[M].武汉：武汉理工大学出版社，2005 .
[2] 钟乐海，王朝斌，李艳梅.网络安全技术[M].北京：电子工业出版社,2003.
[3] 张千里.网络安全基础与应用[M].北京：人民邮电出版社,2007.
[4] 吴金龙,蔡灿辉,王晋隆.网络安全[M].北京：高等教育出版社,2004.
[5] 杨英．安全技术防范基础[M]．北京：电子工业出版社，2009.
[6] 徐国志，信息安全工程导论．人民邮电出版社．2010.7。