國外計算機網路安全防護的研究

1. 煩死了！論文還要寫「研究的背景」和「研究的意義」！哎～有誰知道《計算機網路安全與防範》這個課題的「

沒有誰能幫你這個忙，只能友情提醒你，網路代 寫都是騙子，且沒人會這樣幫你寫，自己去網上找找資料 ，網路文庫，知網上有很多

2. 基於web的安全防範措施的研究與應用

一、計算機網路攻擊的常見手法

互聯網發展至今，除了它表面的繁榮外，也出現了一些不良現象，其中黑客攻擊是最令廣大網民頭痛的事情，它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。

（一）利用網路系統漏洞進行攻擊

許多網路系統都存在著這樣那樣的漏洞，這些漏洞有可能是系統本身所有的，如WindowsNT、UNIX等都有數量不等的漏洞，也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。

對於系統本身的漏洞，可以安裝軟體補丁；另外網管也需要仔細工作，盡量避免因疏忽而使他人有機可乘。

（二）通過電子郵件進行攻擊

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時，還有可能造成郵件系統對於正常的工作反映緩慢，甚至癱瘓，這一點和後面要講到的「拒絕服務攻擊（DDoS）比較相似。

對於遭受此類攻擊的郵箱，可以使用一些垃圾郵件清除軟體來解決，其中常見的有SpamEater、Spamkiller等，Outlook等收信軟體同樣也能達到此目的。

（三）解密攻擊

在互聯網上，使用密碼是最常見並且最重要的安全保護方法，用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人，只要有密碼，系統就會認為你是經過授權的正常用戶，因此，取得密碼也是黑客進行攻擊的一重要手法。取得密碼也還有好幾種方法，一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到伺服器端，而黑客就能在兩端之間進行數據監聽。但一般系統在傳送密碼時都進行了加密處理，即黑客所得到的數據中不會存在明文的密碼，這給黑客進行破解又提了一道難題。這種手法一般運用於區域網，一旦成功攻擊者將會得到很大的操作權益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼，但這項工作十分地費時，不過如果用戶的密碼設置得比較簡單，如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。

為了防止受到這種攻擊的危害，用戶在進行密碼設置時一定要將其設置得復雜，也可使用多層密碼，或者變換思路使用中文密碼，並且不要以自己的生日和電話甚至用戶名作為密碼，因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息，如生日等，然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼，這樣使其被破解的可能性又下降了不少。

（四）後門軟體攻擊

後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權利，可以對其進行完全的控制，除了可以進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。這些後門軟體分為伺服器端和用戶端，當黑客進行攻擊時，會使用用戶端程序登陸上已安裝好伺服器端程序的電腦，這些伺服器端程序都比較小，一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時，後門軟體的伺服器端就安裝完成了，而且大部分後門軟體的重生能力比較強，給用戶進行清除造成一定的麻煩。

當在網上下載數據時，一定要在其運行之前進行病毒掃描，並使用一定的反編譯軟體，查看來源數據是否有其他可疑的應用程序，從而杜絕這些後門軟體。

（五）拒絕服務攻擊

互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊（DDoS）的難度比較小，但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包，幾乎佔取該伺服器所有的網路寬頻，從而使其無法對正常的服務請求進行處理，而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強，一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件，而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。

對於個人上網用戶而言，也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作，所以大家在上網時一定要安裝好防火牆軟體，同時也可以安裝一些可以隱藏IP地址的程序，怎樣能大大降低受到攻擊的可能性。

二、計算機網路安全的防火牆技術

計算機網路安全是指利用網路管理控制和技術措施，保證在一個網路環境里，信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的，就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。

（一）防火牆的含義

所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要信息。

（二）防火牆的安全性分析

防火牆對網路的安全起到了一定的保護作用，但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究，作者對防火牆的安全性有如下幾點認識：

1．只有正確選用、合理配置防火牆，才能有效發揮其安全防護作用

防火牆作為網路安全的一種防護手段，有多種實現方式。建立合理的防護系統，配置有效的防火牆應遵循這樣四個基本步驟：

a.風險分析；

b.需求分析；

c.確立安全政策；

d.選擇准確的防護手段，並使之與安全政策保持一致。

然而，多數防火牆的設立沒有或很少進行充分的風險分析和需求分析，而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆，這樣的防火牆能否「防火」還是個問題。

2．應正確評估防火牆的失效狀態

評價防火牆性能如何，及能否起到安全防護作用，不僅要看它工作是否正常，能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡，而且要看到一旦防火牆被攻破，它的狀態如何? 按級別來分，它應有這樣四種狀態：

a.未受傷害能夠繼續正常工作；

b.關閉並重新啟動，同時恢復到正常工作狀態；

c.關閉並禁止所有的數據通行；

d. 關閉並允許所有的數據通行。

前兩種狀態比較理想，而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證，無法確定其失效狀態等級，因此網路必然存在安全隱患。

3.防火牆必須進行動態維護

防火牆安裝和投入使用後，並非萬事大吉。要想充分發揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯系，時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞，就會盡快發布補救(Patch) 產品，此時應盡快確認真偽(防止特洛伊木馬等病毒)，並對防火牆軟體進行更新。

4.目前很難對防火牆進行測試驗證

防火牆能否起到防護作用，最根本、最有效的證明方法是對其進行測試，甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大，主要原因是：

a.防火牆性能測試目前還是一種很新的技術，尚無正式出版刊物，可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。

b.防火牆測試技術尚不先進，與防火牆設計並非完全吻合，使得測試工作難以達到既定的效果。

c.選擇「誰」進行公正的測試也是一個問題。

可見，防火牆的性能測試決不是一件簡單的事情，但這種測試又相當必要，進而提出這樣一個問題：不進行測試，何以證明防火牆安全？

5.非法攻擊防火牆的基本「招數」

a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面，因此攻擊者無需表明進攻數據包的真正來源，只需偽裝IP地址，取得目標的信任，使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。

b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能，處於失效狀態。

c.防火牆也可能被內部攻擊。因為安裝了防火牆後，隨意訪問被嚴格禁止了， 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息，個別人會對防火牆不滿進而可能攻擊它、破壞它，期望回到從前的狀態。這里，攻擊的目標常常是防火牆或防火牆運行的操作系統，因此不僅涉及網路安全，還涉及主機安全問題。

（三）防火牆的基本類型

實現防火牆的技術包括四大類：網路級防火牆（也叫包過濾型防火牆）、應用級網關、電路級網關和規則檢查防火牆。

1.網路級防火牆

一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。

先進的網路級防火牆可以判斷這一點，它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容，把判斷的信息同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

下面是某一網路級防火牆的訪問控制規則：

(1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1；

(2)允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet (23口)到主機150.0.0.2上；

(3)允許任何地址的E-mail(25口)進入主機150.0.0.3；

(4)允許任何WWW數據（80口）通過；

(5)不允許其他數據包進入。

網路級防火牆簡潔、速度快、費用低，並且對用戶透明，但是對網路的保護很有限，因為它只檢查地址和埠，對網路更高協議層的信息無理解能力。

2.規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣， 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣， 可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/服務機模式來分析應用層的數據， 它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

目前在市場上流行的防火牆大多屬於規則檢查防火牆，因為該防火牆對於用戶透明，在OSI最高層上加密數據，不需要你去修改客戶端的程序，也不需對每個需要在防火牆上運行的服務額外增加一個代理。如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。

從趨勢上看，未來的防火牆將位於網路級防火牆和應用級防火牆之間，也就是說，網路級防火牆將變得更加能夠識別通過的信息，而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統，可保護數據以加密方式通過，使所有組織可以放心地在節點間傳送數據。

（四）防火牆的配置

防火牆配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間，這個Dual-omedGateway又稱為bastionhost。 這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力，而它往往是受「黑客」攻擊的首選目標，它自己一旦被攻破，整個網路也就暴露了。Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，並且只接受來自Bastionhost的數據作為出去的數據。這種結構依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網，稱之為"停火區"（DMZ，即DemilitarizedZone）,Bastionhost放置在"停火區"內。這種結構安全性好，只有當兩個安全單元被破壞後，網路才被暴露，但是成本也很昂貴。

（五）防火牆的安全措施

各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施：

1.防電子欺騙術

防電子欺騙術功能是保證數據包的IP地址與網關介面相符，防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別，並向網路管理員報警。

2.網路地址轉移

地址轉移是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP定址方式的諸多限制，完善內部定址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。

3.開放式結構設計

開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易，典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。

4.路由器安全管理程序

它為Bay和Cisco的路由器提供集中管理和訪問列表控制。

（六）傳統防火牆的五大不足

1．無法檢測加密的Web流量

如果你正在部署一個光鍵的門戶網站，希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求，對於傳統的網路防火牆而言，是個大問題。

由於網路防火牆對於加密的SSL流中的數據是不可見的，防火牆無法迅速截獲SSL數據流並對其解密，因此無法阻止應用程序的攻擊，甚至有些網路防火牆，根本就不提供數據解密的功能。

2、普通應用程序加密後，也能輕易躲過防火牆的檢測

網路防火牆無法看到的，不僅僅是SSL加密的數據。對於應用程序加密的數據，同樣也不可見。在如今大多數網路防火牆中，依賴的是靜態的特徵庫，與入侵監測系統（IDS，Intrusion Detect System）的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時，防火牆才能識別和截獲攻擊數據。

但如今，採用常見的編碼技術，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉換成某種形式，既能欺騙前端的網路安全系統，又能夠在後台伺服器中執行。這種加密後的攻擊代碼，只要與防火牆規則庫中的規則不一樣，就能夠躲過網路防火牆，成功避開特徵匹配。

3、對於Web應用程序，防範能力不足

網路防火牆於1990年發明，而商用的Web伺服器，則在一年以後才面世。基於狀態檢測的防火牆，其設計原理，是基於網路層TCP和IP地址，來設置與加強狀態訪問控制列表（ACLs，Access Control Lists）。在這一方面，網路防火牆表現確實十分出色。

近年來，實際應用過程中，HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商，均已轉移到基於Web的體系結構，安全防護的目標，不再只是重要的業務數據。網路防火牆的防護范圍，發生了變化。

對於常規的企業區域網的防範，通用的網路防火牆仍佔有很高的市場份額，繼續發揮重要作用，但對於新近出現的上層協議，如XML和SOAP等應用的防範，網路防火牆就顯得有些力不從心。

由於體系結構的原因，即使是最先進的網路防火牆，在防範Web應用程序時，由於無法全面控制網路、應用程序和數據流，也無法截獲應用層的攻擊。由於對於整體的應用數據流，缺乏完整的、基於會話（Session）級別的監控能力，因此很難預防新的未知的攻擊。

4、應用防護特性，只適用於簡單情況

目前的數據中心伺服器，時常會發生變動，比如：

★ 定期需要部署新的應用程序；

★ 經常需要增加或更新軟體模塊；

★ QA們經常會發現代碼中的bug，已部署的系統需要定期打補丁。

在這樣動態復雜的環境中，安全專家們需要採用靈活的、粗粒度的方法，實施有效的防護策略。

雖然一些先進的網路防火牆供應商，提出了應用防護的特性，但只適用於簡單的環境中。細看就會發現，對於實際的企業應用來說，這些特徵存在著局限性。在多數情況下，彈性概念（proof-of-concept）的特徵無法應用於現實生活中的數據中心上。

比如，有些防火牆供應商，曾經聲稱能夠阻止緩存溢出：當黑客在瀏覽器的URL中輸入太長數據，試圖使後台服務崩潰或使試圖非法訪問的時候，網路防火牆能夠檢測並制止這種情況。

細看就會發現，這些供應商採用對80埠數據流中，針對URL長度進行控制的方法，來實現這個功能的。

如果使用這個規則，將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁，確實需要涉及到很長的URL時，就要屏蔽該規則。

網路防火牆的體系結構，決定了網路防火牆是針對網路埠和網路層進行操作的，因此很難對應用層進行防護，除非是一些很簡單的應用程序。

5、無法擴展帶深度檢測功能

基於狀態檢測的網路防火牆，如果希望只擴展深度檢測（deep inspection）功能，而沒有相應增加網路性能，這是不行的。

真正的針對所有網路和應用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務，包括以下幾個方面：

★ SSL加密/解密功能；

★ 完全的雙向有效負載檢測；

★ 確保所有合法流量的正常化；

★ 廣泛的協議性能；

這些任務，在基於標准PC硬體上，是無法高效運行的，雖然一些網路防火牆供應商採用的是基於ASIC的平台，但進一步研究，就能發現：舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。

三、結束語

由於互聯網路的開放性和通信協議的安全缺陷，以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點，網上傳輸的數據信息很容易泄露和被破壞，網路受到的安全攻擊非常嚴重，因此建立有效的網路安全防範體系就更為迫切。實際上，保障網路安全不但需要參考網路安全的各項標准以形成合理的評估准則，更重要的是必須明確網路安全的框架體系、安全防範的層次結構和系統設計的基本原則，分析網路系統的各個不安全環節，找到安全漏洞，做到有的放矢。

3. 網路病毒過濾規則 國外發展趨勢

防火牆包過濾技術發展趨勢 。2. 防火牆的體系結構發展趨勢 。3. 防火牆的系統管理發展趨勢 防火牆的系統管理也有一些發展趨勢，主要體現在以下幾個方面： （1）. 首先是集中式管理，分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本，並保證在大型網路中安全策略的一致性。快速響應和快速防禦也要求採用集中式管理系統。目前這種分布式防火牆早已在Cisco（思科）、3Com等大的網路設備開發商中開發成功，也就是目前所稱的"分布式防火牆"和"嵌入式防火牆"。關於這一新技術在本篇下面將詳細介紹。（2）. 強大的審計功能和自動日誌分析功能。這兩點的應用可以更早地發現潛在的威脅並預防攻擊的發生。日誌功能還可以管理員有效地發現系統中存的安全漏洞，及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火牆通常是比較高級的，早期的靜態包過濾防火牆是不具有的（3）. 網路安全產品的系統化 隨著網路安全技術的發展，現在有一種提法，叫做"建立以防火牆為核心的網路安全體系"。因為我們在現實中發現，僅現有的防火牆技術難以滿足當前網路安全需求。通過建立一個以防火牆為核心的安全體系，就可以為內部網路系統部署多道安全防線，各種安全技術各司其職，從各方面防禦外來入侵。如現在的IDS設備就能很好地與防火牆一起聯合。一般情況下，為了確保系統的通信性能不受安全設備的影響太大，IDS設備不能像防火牆一樣置於網路入口處，只能置於旁路位置。而在實際使用中，IDS的任務往往不僅在於檢測，很多時候在IDS發現入侵行為以後，也需要IDS本身對入侵及時遏止。顯然，要讓處於旁路偵聽的IDS完成這個任務又太難為，同時主鏈路又不能串接太多類似設備。在這種情況下，如果防火牆能和IDS、病毒檢測等相關安全產品聯合起來，充分發揮各自的長處，協同配合，共同建立一個有效的安全防範體系，那麼系統網路的安全性就能得以明顯提升。目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測部分直接"做"到防火牆中，使防火牆具有IDS和病毒檢測設備的功能；另一種是各個產品分立，通過某種通訊方式形成一個整體，一旦發現安全事件，則立即通知防火牆，由防火牆完成過濾和報告。目前更看重後一種方案，因為它實現方式較前一種容易許多。分布式防火牆技術在前面已提到一種新的防火牆技術，即分布式防火牆技術已在逐漸興起，並在國外一些大的網路設備開發商中得到了實現，由於其優越的安全防護體系，符合未來的發展趨勢，所以這一技術一出現便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火牆技術。因為傳統的防火牆設置在網路邊界，外於內、外部互聯網之間，所以稱為"邊界防火牆（Perimeter Firewall）"。隨著人們對網路安全防護要求的提高，邊界防火牆明顯感覺到力不從心，因為給網路帶來安全威脅的不僅是外部網路，更多的是來自內部網路。但邊界防火牆無法對內部網路實現有效地保護，除非對每一台主機都安裝防火牆，這是不可能的。基於此，一種新型的防火牆技術，分布式防火牆（Distributed Firewalls）技術產生了。它可以很好地解決邊界防火牆以上的不足，當然不是為每對路主機安裝防火牆，而是把防火牆的安全防護系統延伸到網路中各對台主機。一方面有效地保證了用戶的投資不會很高，另一方面給網路所帶來的安全防護是非常全面的我們都知道，傳統邊界防火牆用於限制被保護企業內部網路與外部網路（通常是互聯網）之間相互進行信息存取、傳遞操作，它所處的位置在內部網路與外部網路之間。實際上，所有以前出現的各種不同類型的防火牆，從簡單的包過濾在應用層代理以至自適應代理，都是基於一個共同的假設，那就是防火牆把內部網路一端的用戶看成是可信任的，而外部網路一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火牆是一種主機駐留式的安全系統，它是以主機為保護對象，它的設計理念是主機以外的任何用戶訪問都是不可信任的，都需要進行過濾。當然在實際應用中，也不是要求對網路中每對台主機都安裝這樣的系統，這樣會嚴重影響網路的通信性能。它通常用於保護企業網路中的關鍵結點伺服器、數據及工作站免受非法入侵的破壞

4. 求一篇計算機網路方面的畢業論文

計算機網路信息安全及其防護策略的研究
雙擊自動滾屏 文章來源：一流設計吧
發布者：16sheji8
發布時間：2008-9-16 9:21:39
閱讀：527次

摘 要 計算機網路信息安全在國民生活中受到越來越多的關注，原因在於：許多重要的信息存儲在網路上，一旦這些信息泄露出去將造成無法估量的損失。之所以網路信息會泄露出去，一方面有許多入侵者千方百計想「看」到一些關心的數據或者信息；另一方面網路自身存在安全隱患才使得入侵者得逞。針對這些問題，該文歸納並提出了一些網路信息安全防護的方法和策略。

關鍵詞 計算機網路 信息安全 黑客 網路入侵

1 引言

近年來，伴隨著互聯網技術在全球迅猛發展，人們在提供了極大的方便，然而，信息化在給人們帶來種種物質和文化享受的同時，我們也正受到日益嚴重的來自網路的安全威脅，諸如網路的數據竊賊、黑客的侵襲、病毒發布者，甚至系統內部的泄密者。盡管我們正在廣泛地使用各種復雜的軟體技術，如防火牆、代理伺服器、侵襲探測器、通道控制機制，但是，無論在發達國家，還是在發展中國家（包括我國），黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害。與此同時，更讓人不安的是，互聯網上黑客網站還在不斷增加，學習黑客技術、獲得黑客攻擊工具變得輕而易舉。這樣，使原本就十分脆弱的互聯網越發顯得不安全。針對各種來自網上的安全威脅，怎樣才能確保網路信息的安全性，尤其是網路上重要的數據的安全性。本文通過對幾起典型的網路安全事件的分析，以及對威脅網路安全的幾種典型方法研究的結果，提出實現防護網路安全的具體策略。

2 計算機網路信息安全面臨的威脅

近年來，威脅網路安全的事件不斷發生，特別是計算機和網路技術發展迅速的國家和部門發生的網路安全事件越來越頻繁和嚴重。一些國家和部門不斷遭到入侵攻擊，本文列舉以下事例以供分析和研究之用。
2.1事件一：

2005年7月14日國際報道 英國一名可能被引渡到美國的黑客McKinnon表示，安全性差是他能夠入侵美國國防部網站的主要原因。他面臨「與計算機有關的欺詐」的指控，控方稱，他的活動涉及了美國陸軍、海軍、空軍以及美國航空航天局。

可以看出，一方面盡管這位黑客的主動入侵沒有惡意，但是事實上對美國國防部的網路信息在安全方面造成威脅，假如這位黑客出於某種目的，那麼後果將無法估量；另一方面網路技術很高的國家和部門也會被黑客成功入侵。
2.2事件二：

2005年6月17日報道萬事達信用卡公司稱，大約4000萬名信用卡用戶的賬戶被一名黑客利用電腦病毒侵入，遭到入侵的數據包括信用卡用戶的姓名、銀行和賬號，這都能夠被用來盜用資金。如果該黑客真的用這些信息來盜用資金

本文來自: 一流設計吧(www.16sheji8.cn) 詳細出處參考： http://www.16sheji8.cn/onews.asp?id=1273

5. 學信息安全專業研究生美國加州大學留學有什麼條件

加州大學研究生申請條件基本上可以分為文書材料類，語言成績，學術成績，其他等4大類別，對於文書材料的要求基本相同都是2-3封推薦信，個人陳述，個人簡歷，論文等。其他類包含的項目也是基本類似，主要是發表論文，大型比賽獲獎證書，實習/工作經歷，藝術作品集（藝術專業學生需要）。其他差異部分多是語言成績和學術成績的最低分數要求。加州各個大學研究生申請條件加州大學伯克利分校，這所加州大學研究生申請條件大部分專業需要有托福最低90分，雅思7.0分，GRE或者GMAT成績，最低分數在720+。加州大學洛杉磯分校，研究生申請條件對於托福和雅思的要求分別在最低100分和7分托福聽說讀寫各單項不得低於17,24,21,25。需要提交GRE和GMAT成績，個別的還需要提交GRE科目成績。加州大學聖塔芭芭拉分校，研究生申請條件托福最低80分，雅思最低7分，需要提交GRE。加州大學歐文分校，研究生申請條件托福最低80分，雅思最低7分，個別專業單項不得低於6分，沒有統一的GRE和GMAT成績要求。加州大學戴維斯分校，托福80+，雅思7.0+是最基本的研究生申請條件對於GRE成績沒有統一要求但是建議不得低於320分。加州大學聖地亞哥分校，研究生申請條件托福最低80分，雅思7.0分，需要提交GRE但是沒設置最低分數。加州大學聖魯克斯分校，這所加州大學研究生申請條件雅思最低要求不得低於7分，對於GRE沒有統一的要求，GPA不得低於3.0但是錄取多為3.4分。加州大學河濱分校，托福最低90分，雅思7.0分，GPA不得低於3.0分需要GRE成績。加州大學舊金山分校，研究生申請要求雅思7.0分對於托福沒有明確說明，需要提交GRE成績，最低GPA是3.0分。加州大學美熹德分校，研究生申請條件托福最低80分，聽說讀寫分別不得低於17，26,18,19分；雅思6.5分，單項聽說讀寫分別不得低於6，8,6,5.5分。以上就是10所美國加州大學研究生申請條件相同和不同的申請要求，這些大學在美國留學學費收費也是各不相同。
留學以自己的水平能申請到什麼層次的大學，可以使用留學志願參考系統一鍵定位。
使用方法：把你的GPA、語言成績、專業名稱、院校背景（211/985/雙非）等信息輸入到系統中，系統會自動匹配出與你成績情況類似的同學案例，可以依據自己的條件看看有沒有適合自己的留學案例，了解一下與自己情況類似的人，他/她們都去了哪些院校，作為自己選擇院校的參考。

6. 計算機網路安全漏洞及防範開題報告

1. 背景和意義
隨著計算機的發展,人們越來越意識到網路的重要性,通過網路,分散在各處的計算機被網路聯系在一起。做為網路的組成部分,把眾多的計算機聯系在一起,組成一個區域網,在這個區域網中,可以在它們之間共享程序、文檔等各種資源；還可以通過網路使多台計算機共享同一硬體,如列印機、數據機等；同時我們也可以通過網路使用計算機發送和接收傳真,方便快捷而且經濟。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網路社會的時候,我國將建立起一套完整的網路安全體系,特別是從政策上和法律上建立起有中國自己特色的網路安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平台。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網路安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網路安全技術的整體提高。
網路安全產品有以下幾大特點：第一,網路安全來源於安全策略與技術的多樣化,如果採用一種統一的技術和策略也就不安全了；第二,網路的安全機制與技術要不斷地變化；第三,隨著網路在社會個方面的延伸,進入網路的手段也越來越多,因此,網路安全技術是一個十分復雜的系統工程。為此建立有中國特色的網路安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。第二章網路安全現狀
2.網路安全面臨的挑戰
網路安全可能面臨的挑戰
垃圾郵件數量將變本加厲。
根據電子郵件安全服務提供商Message Labs公司最近的一份報告,預計2003年全球垃圾郵件數量的增長率將超過正常電子郵件的增長率,而且就每封垃圾郵件的平均容量來說,也將比正常的電子郵件要大得多。這無疑將會加大成功狙擊垃圾郵件的工作量和難度。目前還沒有安裝任何反垃圾郵件軟體的企業公司恐怕得早做未雨綢繆的工作,否則就得讓自己的員工們在今後每天不停地在鍵盤上按動「刪除鍵」了。另外,反垃圾郵件軟體也得不停升級,因為目前垃圾郵件傳播者已經在實行「打一槍換一個地方」的游擊戰術了。
即時通訊工具照樣難逃垃圾信息之劫。
即時通訊工具以前是不大受垃圾信息所干擾的,但現在情況已經發生了很大的變化。垃圾郵件傳播者會通過種種手段清理搜集到大量的網路地址,然後再給正處於即時通訊狀態的用戶們發去信息,誘導他們去訪問一些非法收費網站。更令人頭疼的是,目前一些推銷合法產品的廠家也在使用這種讓人厭煩的手段來讓網民們上鉤。目前市面上還沒有任何一種反即時通訊干擾信息的軟體,這對軟體公司來說無疑也是一個商機。
內置防護軟體型硬體左右為難。
現在人們對網路安全問題受重視的程度也比以前大為提高。這種意識提高的表現之一就是許多硬體設備在出廠前就內置了防護型的軟體。這種做法雖然前幾年就已經出現,預計在今後的幾年中將會成為一種潮流。但這種具有自護功能的硬體產品卻正遭遇著一種尷尬,即在有人歡迎這種產品的同時,也有人反對這樣的產品。往好處講,這種硬體產品更容易安裝,整體價格也相對低廉一些。但它也有自身的弊端：如果企業用戶需要更為專業化的軟體服務時,這種產品就不會有很大的彈性區間。
企業用戶網路安全維護范圍的重新界定。
目前各大企業公司的員工們在家裡通過寬頻接入而登錄自己公司的網路系統已經是一件很尋常的事情了。這種工作新方式的出現同樣也為網路安全帶來了新問題,即企業用戶網路安全維護范圍需要重新界定。因為他們都是遠程登錄者,並沒有納入傳統的企業網路安全維護的「勢力范圍」之內。另外,由於來自網路的攻擊越來越嚴重,許多企業用戶不得不將自己網路系統內的每一台PC機都裝上防火牆、反侵入系統以及反病毒軟體等一系列的網路安全軟體。這同樣也改變了以往企業用戶網路安全維護范圍的概念。
個人的信用資料。
個人信用資料在公眾的日常生活中占據著重要的地位。以前的網路犯罪者只是通過網路竊取個人用戶的信用卡賬號,但隨著網上竊取個人信用資料的手段的提高,預計2003年這種犯罪現象將會發展到全面竊取美國公眾的個人信用資料的程度。如網路犯罪者可以對你的銀行存款賬號、社會保險賬號以及你最近的行蹤都能做到一覽無余。如果不能有效地遏制這種犯罪趨勢,無疑將會給美國公眾的日常人生活帶來極大的負面影響。
3.病毒現狀
互聯網的日漸普及使得我們的日常生活不斷網路化,但與此同時網路病毒也在繼續肆虐威脅泛濫。在過去的六個月內,互聯網安全飽受威脅,黑客蠕蟲入侵問題越來越嚴重,已成泛濫成災的趨勢。
2003年8月,沖擊波蠕蟲在視窗暴露安全漏洞短短26天之後噴涌而出,8天內導致全球電腦用戶損失高達20億美元之多,無論是企業系統或家庭電腦用戶無一倖免。
據最新出爐的賽門鐵克互聯網安全威脅報告書(Symantec Internet Security Threat Report)顯示,在2003年上半年,有超過994種新的Win32病毒和蠕蟲被發現,這比2002年同時期的445種多出一倍有餘。而目前Win32病毒的總數大約是4千個。在2001年的同期,只有308種新Win32病毒被發現。
這份報告是賽門鐵克在今年1月1日至6月31日之間,針對全球性的網路安全現狀,提出的最為完整全面的威脅趨勢分析。受訪者來自世界各地500名安全保護管理服務用戶,以及2萬個DeepSight威脅管理系統偵察器所探測的數據。
賽門鐵克高級區域董事羅爾威爾申在記者通氣會上表示,微軟雖然擁有龐大的用戶市佔率,但是它的漏洞也非常的多,成為病毒目標是意料中事。
他指出,開放源碼如Linux等之所以沒有受到太多病毒蠕蟲的襲擊,完全是因為使用者太少,以致於病毒製造者根本沒有把它不放在眼裡。他舉例說,劫匪當然知道要把目標鎖定在擁有大量現金的銀行,所以他相信隨著使用Linux平台的用戶數量的增加,慢慢地將會有針對Linux的病毒和蠕蟲出現。
不過,他不同意開放源碼社群的合作精神將能有效地對抗任何威脅的襲擊。他說,只要是將源碼暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不懷好意的人多的是。
即時通訊病毒4倍增長
賽門鐵克互聯網安全威脅報告書指出,在2003年上半年使用諸如ICQ之類即時通訊軟體(Instant Messaging,IM)和對等聯網(P2P)來傳播的病毒和蠕蟲比2002年增加了400%,在50大病毒和蠕蟲排行榜中,使用IM和P2P來傳播的惡意代碼共有19個。據了解,IM和P2P是網路安全保護措施不足導致但這並不是主因,主因在於它們的流行廣度和使用者的無知。
該報告顯示,該公司在今年上半年發現了1千432個安全漏洞,比去年同時期的1千276個安全漏洞,增加了12%。其中80%是可以被人遙控的,因此嚴重型的襲擊可以通過網路來進行,所以賽門鐵克將這類可遙控的漏洞列為中度至高度的嚴重危險。另外,今年上半年的新中度嚴重漏洞增加了21%、高度嚴重漏洞則增加了6%,但是低度嚴重漏洞則減少了11%。
至於整數錯誤的漏洞也有增加的趨勢,今年的19例比起去年同期的3例,增加了16例。微軟的互聯網瀏覽器漏洞在今年上半年也有12個,而微軟的互聯網資訊伺服器的漏洞也是非常的多,賽門鐵克相信它將是更多襲擊的目標；以前襲擊它的有尼姆達(Nimda)和紅色代碼(Code Red)。
該報告顯示了64%的襲擊是針對軟體新的安全漏洞(少過1年的發現期),顯示了病毒製造者對漏洞的反應越來越快了。以Blaster沖擊波為例,就是在Windows安全漏洞被發現短短26天後出現的。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是一個專鎖定銀行的蠕蟲。
黑客病毒特徵
賽門鐵克互聯網安全威脅報告書中也顯現了有趣的數據,比如周末的襲擊有比較少的趨向,這與去年同期的情況一樣。
雖然如此,周末兩天加上來也有大約20%,這可能是襲擊者會認為周末沒人上班,會比較疏於防備而有機可乘。賽門鐵克表示這意味著網路安全保護監視並不能因為周末休息而有所放鬆。
該報告書也比較了蠕蟲類和非蠕蟲類襲擊在周末的不同趨勢,非蠕蟲類襲擊在周末會有下降的趨勢,而蠕蟲類襲擊還是保持平時的水平。蠕蟲雖然不管那是星期幾,但是有很多因素也能影響它傳播的率,比如周末少人開機,確對蠕蟲的傳播帶來一些影響。
該報告書也得出了在互聯網中病毒襲擊發生的高峰時間,是格林威治時間下午1點至晚上10點之間。雖然如此,各國之間的時差關系,各國遭到襲擊的高峰時間也會有少許不同。比如說,華盛頓襲擊高峰時間是早上8時和下午5時,而日本則是早上10時和晚上7時。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是一個專鎖定銀行的蠕蟲。管理漏洞---如兩台伺服器同一用戶/密碼,則入侵了A伺服器,B伺服器也不能倖免；軟體漏洞---如Sun系統上常用的Netscape EnterPrise Server服務,只需輸入一個路徑,就可以看到Web目錄下的所有文件清單；又如很多程序只要接受到一些異常或者超長的數據和參數,就會導致緩沖區溢出；結構漏洞---比如在某個重要網段由於交換機、集線器設置不合理,造成黑客可以監聽網路通信流的數據；又如防火牆等安全產品部署不合理,有關安全機制不能發揮作用,麻痹技術管理人員而釀成黑客入侵事故；信任漏洞---比如本系統過分信任某個外來合作夥伴的機器,一旦這台合作夥伴的機器被黑客入侵,則本系統的安全受嚴重威脅；
綜上所述,一個黑客要成功入侵系統,必須分析各種和這個目標系統相關的技術因素、管理因素和人員因素。
因此得出以下結論：
a、世界上沒有絕對安全的系統；b、網路上的威脅和攻擊都是人為的,系統防守和攻擊的較量無非是人的較量；c、特定的系統具備一定安全條件,在特定環境下,在特定人員的維護下是易守難攻的；d、網路系統內部軟硬體是隨著應用的需要不斷發展變化的；網路系統外部的威脅、新的攻擊模式層出不窮,新的漏洞不斷出現,攻擊手段的花樣翻新,網路系統的外部安全條件也是隨著時間的推移而不斷動態變化的。
一言以蔽之,網路安全是相對的,是相對人而言的,是相對系統和應用而言的,是相對時間而言的。 4,安全防禦體系
3.1.2
現代信息系統都是以網路支撐,相互聯接,要使信息系統免受黑客、病毒的攻擊,關鍵要建立起安全防禦體系,從信息的保密性（保證信息不泄漏給未經授權的人）,拓展到信息的完整性（防止信息被未經授權的篡改,保證真實的信息從真實的信源無失真地到達真實的信宿）、信息的可用性（保證信息及信息系統確實為授權使用者所用,防止由於計算機病毒或其它人為因素造成的系統拒絕服務,或為敵手可用）、信息的可控性（對信息及信息系統實施安全監控管理）、信息的不可否認性（保證信息行為人不能否認自己的行為）等。
安全防禦體系是一個系統工程,它包括技術、管理和立法等諸多方面。為了方便,我們把它簡化為用三維框架表示的結構。其構成要素是安全特性、系統單元及開放互連參考模型結構層次。
安全特性維描述了計算機信息系統的安全服務和安全機制,包括身份鑒別、訪問控制、數據保密、數據完整、防止否認、審計管理、可用性和可靠性。採取不同的安全政策或處於不同安全保護等級的計算機信息系統可有不同的安全特性要求。系統單元維包括計算機信息系統各組成部分,還包括使用和管理信息系統的物理和行政環境。開放系統互連參考模型結構層次維描述了等級計算機信息系統的層次結構。
該框架是一個立體空間,突破了以往單一功能考慮問題的舊模式,是站在頂層從整體上進行規劃的。它把與安全相關的物理、規章及人員等安全要素都容納其中,涉及系統保安和人員的行政管理等方面的各種法令、法規、條例和制度等均在其考慮之列。
另外,從信息戰出發,消極的防禦是不夠的,應是攻防並重,在防護基礎上檢測漏洞、應急反應和迅速恢復生成是十分必要的。
目前,世界各國都在抓緊加強信息安全防禦體系。美國在2000年1月到2003年5月實行《信息系統保護國家計劃V1.0》,從根本上提高防止信息系統入侵和破壞能力。我國急切需要強化信息安全保障體系,確立我軍的信息安全戰略和防禦體系。這既是時代的需要,也是國家安全戰略和軍隊發展的需要,更是現實斗爭的需要,是擺在人們面前刻不容緩的歷史任務。 5加密技術
密碼理論與技術主要包括兩部分,即基於數學的密碼理論與技術（包括公鑰密碼、分組密碼、序列密碼、認證碼、數字簽名、Hash函數、身份識別、密鑰管理、PKI技術等）和非數學的密碼理論與技術（包括信息隱形,量子密碼,基於生物特徵的識別理論與技術）。
自從1976年公鑰密碼的思想提出以來,國際上已經提出了許多種公鑰密碼體制,但比較流行的主要有兩類：一類是基於大整數因子分解問題的,其中最典型的代表是RSA；另一類是基於離散對數問題的,比如ElGamal公鑰密碼和影響比較大的橢圓曲線公鑰密碼。由於分解大整數的能力日益增強,所以對RSA的安全帶來了一定的威脅。目前768比特模長的RSA已不安全。一般建議使用1024比特模長,預計要保證20年的安全就要選擇1280比特的模長,增大模長帶來了實現上的難度。而基於離散對數問題的公鑰密碼在目前技術下512比特模長就能夠保證其安全性。特別是橢圓曲線上的離散對數的計算要比有限域上的離散對數的計算更困難,目前技術下只需要160比特模長即可,適合於智能卡的實現,因而受到國內外學者的廣泛關注。國際上制定了橢圓曲線公鑰密碼標准IEEEP1363,RSA等一些公司聲稱他們已開發出了符合該標準的橢圓曲線公鑰密碼。我國學者也提出了一些公鑰密碼,另外在公鑰密碼的快速實現方面也做了一定的工作,比如在RSA的快速實現和橢圓曲線公鑰密碼的快速實現方面都有所突破。公鑰密碼的快速實現是當前公鑰密碼研究中的一個熱點,包括演算法優化和程序優化。另一個人們所關注的問題是橢圓曲線公鑰密碼的安全性論證問題。
公鑰密碼主要用於數字簽名和密鑰分配。當然,數字簽名和密鑰分配都有自己的研究體系,形成了各自的理論框架。目前數字簽名的研究內容非常豐富,包括普通簽名和特殊簽名。特殊簽名有盲簽名,代理簽名,群簽名,不可否認簽名,公平盲簽名,門限簽名,具有消息恢復功能的簽名等,它與具體應用環境密切相關。顯然,數字簽名的應用涉及到法律問題,美國聯邦政府基於有限域上的離散對數問題制定了自己的數字簽名標准（DSS）,部分州已制定了數字簽名法。法國是第一個制定數字簽名法的國家,其他國家也正在實施之中。在密鑰管理方面,國際上都有一些大的舉動,比如1993年美國提出的密鑰託管理論和技術、國際標准化組織制定的X.509標准（已經發展到第3版本）以及麻省里工學院開發的Kerboros協議(已經發展到第5版本)等,這些工作影響很大。密鑰管理中還有一種很重要的技術就是秘密共享技術,它是一種分割秘密的技術,目的是阻止秘密過於集中,自從1979年Shamir提出這種思想以來,秘密共享理論和技術達到了空前的發展和應用,特別是其應用至今人們仍十分關注。我國學者在這些方面也做了一些跟蹤研究,發表了很多論文,按照X.509標准實現了一些CA。但沒有聽說過哪個部門有制定數字簽名法的意向。目前人們關注的是數字簽名和密鑰分配的具體應用以及潛信道的深入研究。
認證碼是一個理論性比較強的研究課題,自80年代後期以來,在其構造和界的估計等方面已經取得了長足的發展,我國學者在這方面的研究工作也非常出色,影響較大。目前這方面的理論相對比較成熟,很難有所突破。另外,認證碼的應用非常有限,幾乎停留在理論研究上,已不再是密碼學中的研究熱點。
Hash函數主要用於完整性校驗和提高數字簽名的有效性,目前已經提出了很多方案,各有千秋。美國已經制定了Hash標准-SHA-1,與其數字簽名標准匹配使用。由於技術的原因,美國目前正准備更新其Hash標准,另外,歐洲也正在制定Hash標准,這必然導致Hash函數的研究特別是實用技術的研究將成為熱點。
信息交換加密技術分為兩類：即對稱加密和非對稱加密。
1.對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那麼他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。如三重DES是DES（數據加密標准）的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開,而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
3.RSA演算法
RSA演算法是Rivest、Shamir和Adleman於1977年提出的第一個完善的公鑰密碼體制,其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止,無法找到一個有效的演算法來分解兩大素數之積。RSA演算法的描述如下：
公開密鑰：n=pq(p、q分別為兩個互異的大素數,p、q必須保密)

7. 對計算機網路網路安全威脅及防範措施國內外的研究成果及現狀，重要的是國內外的研究現狀謝謝大家！！

不管是國內還是國外，網路安全都是按照ISO27001准標來做的。這一點，我們國內還而做的很好。好國家推出了信息安全等級保護及分保。你可以去查一下這方面的內容。

8. 計算機網路安全的內容簡介

涉及的內容： 第1章 計算機網路安全概述 1 1.1 計算機網路安全的基本概念 1 1.1.1 網路安全的定義 1 1.1.2 網路安全的特性 2 1.2 計算機網路安全的威脅 3 1.2.1 網路安全威脅的分類 3 1.2.2 計算機病毒的威脅 3 1.2.3 木馬程序的威脅

9. 計算機網路安全開題報告中的文獻綜述怎麼寫

文獻綜述
一 緒論
隨著互聯網的飛速發展，網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。故此，在網路廣泛使用的今天，我們更應該了解網路安全，做好防範措施，做好網路信息的保密性、完整性和可用性。
二 主要內容
本文主要闡釋互聯網的基本信息及其維護，參考文獻對本文起了巨大作用，網路安全問題無處不在，互聯網的飛速發展，網路安全表現的格外突出，陝西師范大學自然科學學報李安國教授的報導，分析了計算機網路的重要性，並指出了一些常用的解決方法，解釋了網路安全的定義，防護層次，哈爾濱工業大學教授張濤，吳沖闡釋信息安全系統的漏洞的研究，網路攻擊檢測與防範技術的定義，形式。計算機網路安全基礎，網路攻擊的防護與檢測技術，計算機操作系統的漏洞與計算機病毒的解釋，講解維護與防範技巧。
三 總結
整篇文章感觸良多，並非所有的參考文獻中的都是完美的研究成果，仍然存在一些缺陷，所以我們要在前人研究的基礎上繼續這個可研究的趨勢。吸取前人的優點，一步步完善自己。
四 參考文獻
[1] 高吉祥. 電子技術基礎實驗與課程設計[M ]. 北京:電子工業出版社, 2002.
[2] 吳沖. 計算機網路[M].清華大學出版2005.
[3] 謝希仁. 計算機網路第五版[M] 高等教育出版社,2002.
[4] 李安國. 陝西大學自然科學自然報[M] 高等教育出版社,2001.
[5] 張濤. 信息系統安全與漏洞[M] 國防工業出版社2006.
[6] 康華光. 電子技術基礎[M ]. 北京: 高等教育出版社,2002.
[7] 吳微,文軍. 單片機原理及製作[M ]. 武漢:武漢大學出版社, 1992.
[8] 趙保經. 中國集成電路大全[M ]. 北京:國防工業出版社,1985.
[9] 何國偉 軟體可靠性[M]. 國防工業出版社，1998.

給個例子你看一下