綜述網絡信息安全技術精品多篇

參考文獻： 篇一

[1]白碩，網絡條件下計算機病毒的防範[J]。網絡安全技術與應用，2002.

[2]張震國，構建完善的病毒防護體系[J]。網絡安全技術與應用，2002.

[3]吳海燕、石磊、李清玲，網絡信息安全技術綜述[J]。電腦知識與技術，2005，12：55-57.

[4]劉宏月，訪問控制技術研究進展[J]。小型微型計算機系統，2004，25(1)：56-59.

[5]http：//b

[6]覃肖雲，信息安全技術的研究現狀與發展趨勢[J]。廣西醫科大學學報，2008，S1：93-94.

概述 篇二

隨着網絡信息技術的迅猛發展，我們已進入信息化時代，互聯網給我們的生活帶來了極大的方便，改變了我們感知世界瞭解世界的渠道，同時，由於互聯網連接方式多樣性、終端分佈廣泛性和網絡的開放性等也對我們的信息安全構成威脅。網絡信息安全是一個包含計算機應用技術、網絡通信技術、密碼信息技術、信息安全技術、應用工程數學、數論、信息方法論等技術的綜合學科。要想能夠提出完整的、系統的、協同的處理方案來，我們就要在平時對上述學科進行知識積累，只有這樣我們才能保證信息的有效共享和相對安全。一般情況下，網絡信息安全可簡單的歸納為以下三方面。

1.1 網絡服務的可用性

網絡服務的可用性是指所有資源在適當的時候可以被授權方訪問，防止由於計算機病毒或其它人為因素而造成網絡系統的“拒絕服務”，簡稱DoS，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。

加大對網絡信息訪問的控制，可以有效防止“拒絕服務”的發生。“防火牆”是近近幾年網絡安全技術的重要技術之一，它是網絡信息通信的咽喉，只有通過安全策略的相關信息才允許通過防火牆，如果網絡中加入防火牆，我們的網絡環境就會變得相對安全。然而，網絡環境的安全常常是和互聯網的靈活性、開放性和便利性相矛盾的。雖然防火牆的阻斷功能在加強內部局域網絡安全方面起到積極作用，可是也阻礙了內部網絡信息與外界網絡信息的有效交流。

1.2 網絡信息的保密性

網絡信息的保密性是指信息按指定要求不透露給未經授權的個人、實體或過程，或提供其利用的特性。應用訪問控制技術，能有效地防止網絡信息資源不被非法使用和訪問。訪問控制技術包括入網訪問控制、網絡權限控制、服務器控制等。入網訪問控制是網絡訪問的首層訪問控制，通過用户身份判斷來獲取相關網絡資源，控制准許用户入網的時間和准許他們入網地點；網絡的權限控制通過對不同身份的用户或用户組賦予不同的權限，對不同權限的用户或用户組對信息資源的操作進行有效的限制；網絡服務器的安全控制包括：可以設置口令鎖定服務器控制枱，以防止非法用户修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

1.3 網絡信息的完整性

網絡信息的完整性是指所有資源只能由授權方或以授權的方式進行修改，完整性具有三個特殊方面：被授權行為；資源分離和保護；以及錯誤的檢測和糾正。其目的在於防止信息被未經授權的用户篡改。由於公用網絡的開放性，信息在網絡傳送過程中會遭遇類似黑客的截取、中斷、篡改和偽造等方法的破壞，造成數據的失真、丟失和不可用。採用加密的手段可以增強重要信息的安全性，即使信息在傳輸過程中被非法用户攻擊，加密後的信息也不易泄漏，加密技術解決了數據的機密性要求，同時也可以用來保護數據完整性。但也不能過高估計加密的重要性，加密不能解決所有的安全問題。不當加密可能對安全毫無作用甚至降低整個系統的性能。

網絡信息安全與安全產品研究現狀及發展趨勢 篇三

網絡信息安全是信息安全中的研究重點之一，也是當前信息安全領域中的研究熱點。研究內容包括：網絡信息安全的主要技術和解決方案、網絡安全產品的研發等。網絡信息安全包括物理安全和邏輯安全。物理安全指網絡信息在通信、計算機設備及相關設施的物理保護，免於破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認性和可用性等，它是一個涉及網絡安全、操作系統、數據庫、應用系統、人為因素等方方面面的事情，必須綜合考慮。

目前，在市場上比較流行，而又能夠代表未來發展方向的安全產品大致有以下幾類：防火牆、安全路由器、虛擬專用網(VPN)、安全服務器、電子簽證機構-用户認證產品、入侵-CA和PKI產品、安全管理中心、檢測系統(IDS)、安全數據庫和安全操作系統。在上述所有主要的發展方向和產品種類上，都包含了密碼技術的應用，並且是非常基礎性的應用。目前密碼技術與通信技術、計算機技術以及芯片技術的融合正日益緊密，其產品的分界線越來越模糊，彼此也越來越不能分割。網絡安全的解決是一個綜合性問題，涉及諸多因素，包括技術、產品和管理等[6]。

網絡信息安全問題已成為世界性的問題。它不但應用於普通的電子商務，而且應用於政府和軍方，關係到整個國家的經濟安全和國防安全。信息技術已經成為整個社會經濟發展的重要基礎，在國計民生佔有不可估量的地位；另外，政府主管機構、國防建設對信息技術的安全性、穩定性、可維護性和可發展性提出了越來越迫切的要求，因此，從社會經濟發展和國家安全角度來講，加大發展信息安全技術是我們今後一項長期而艱鉅的任務。

目前主要網絡安全技術 篇四

2.1 病毒防護技術

計算機病毒是一種能夠在計算機運行過程中實現損壞本機或者傳染給其他計算機系統，導致計算機工作異常的一種程序。比如向計算機系統中侵入病毒、蛀蟲、特洛伊木馬、陷門、邏輯炸彈；或通過、冒充等方式來破壞系統正常工作。

現在，成熟的反病毒技術已經能夠做到對已知病毒的徹底預防和殺除，這主要涉及以下三大技術[1 2]。

1)實時監控技術。這種技術可為計算機系統構建一道動態、實時的反病毒體系，通過修改系統程序，使其本身具備防範病毒入侵的能力，拒病毒於計算機系統之外。2)自動解壓縮技術。目前在因特網、光盤以及Windows系統中接觸到的大多數文件都以壓縮狀態存放，以便節省傳輸時間或節約存放空間，這就使得各類壓縮文件成為計算機病毒傳播的温牀。3)全平台防範病毒技術。目前我們常用的操作系統有：Windows XP、Windows 7、Windows serve、LINUX、UNIX等。為了提高反病毒軟件查殺病毒的有效性，做到與系統的底層無縫連接，必須在不同的操作系統上使用相應的殺毒軟件。

2.2 防火牆技術

防火牆是介於兩或多個網絡之間，實現網絡訪問控制的組件集合體，它的主要功能是過濾。防火牆甚至可以檢查一個包的所有內容，包括數據部分。從實現原理上分，防火牆的技術大致包括四大類：網絡級防火牆、應用級網關、電路級網關和規則檢查防火牆[3]。

2.2.1 網絡級防火牆。數據包過濾技術是防火牆為系統提供安全保障的主要技術， 它通過設備對進出網絡的數據流進行有選擇地控制與操作[4]。包是網絡上信息流動的其本單位， 它由數據負載和協議頭兩個部分組成。包過濾操作一般都是在選擇路由的同時對網絡層數據包進行挑選或過濾。選擇是根據系統內設置的過濾邏輯進行的， 被稱為訪問控制表或規則表。規則表指定允許哪些類型的數據包可以流入或流出內部網絡。

2.2.2 應用級防火牆。應用級網關可對進出的數據包進行檢查，由網關通過複製傳送信息，阻斷在安全服務器、終端機機與非法的主機間建立直接聯繫。應用級網關能夠解析應用層上的協議，可以設置複雜的訪問控制，能夠實現精密的註冊和稽核。它針對數據過濾協議，能夠對數據包進行分析並形成相應的分析的報告。應用級網關對有些不安全登錄和控制所有進出的通信的環境進行嚴密監控，防止有價值的信息或程序被盜取。

2.2.3 電路級網關。電路級網關主要功能是監控可信的服務器或客户機與不安全的主機間的TCP握手信息，通過這種方法來確定此次會話的合法性，它在會話層上進行數據包過濾，它比網絡級防火牆高出二層。另外它還提供理服務器功能。這種代理服務指派管理人員批准或拒絕特定的應用程序或一個應用的特定功能。 2.2.4 規則檢查防火牆。該防火牆結合了以上幾種防火牆的特點。其不同之處在於，它並不打破客户機和服務器模式來分析應用層的數據，它允許安全的客户機和非法的主機直接建立連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

2.3 網絡加密技術

加密技術的基本過程就是對原來為明文的文件或數據按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之後才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法竊取、閲讀的目的。該過程的逆過程為解密，即將該編碼信息轉化為其原來數據的過程。按加密密鑰與解密密鑰的對稱性，加密技術可分為對稱型加密、不對稱型加密、不可逆加密。

1)對稱型加密：是一種相對傳統的加密方法，其原理是使用單一得密鑰對數據進行加密和解密。信息發送方利用用密鑰將信息加密，然後通過網絡傳給信息接收方，接收方再利用同一密鑰將信息進行解密。其特點是計算量比較小、加密效率相對較高，即便傳輸網絡不安全，信息被截取，由於信息進行了加密，信息也是安全的。然而這種算法應用在分佈式系統上比較困難，主要是由於在於分佈式的系統中密鑰管理很困難，使用比較複雜。

2)不對稱型加密：其特 點是有兩個密鑰：一個是公共密鑰，一個是私有密鑰，公共密鑰是公開的，是用來對元數據進行加密的，私有密鑰是個人單獨擁有的。要想完成整個加密和解密過程，必須把兩者結合起來使用。在使用這種加密方法的時後我們要注意有效的管理和如何確認公共密鑰的真實性、合法性。

3)不可逆加密：其特點是整個加密過程不用密鑰，數據一旦被加密將無法解密，只有採用相同的輸入數據經過相同的不可逆加密算法才能得到相同的加密數據。這種加密算法不存在密鑰分發和管理的問題，可是它的加密計算工作異常複雜，只適合對數據量較小的情況經行加密。

2.4 入侵檢測技術[5]

入侵檢測系統是一種安置在受保護網絡內部的設備，用來監視網絡中發生了什麼事情。可以在攻擊的開始、進行過程中或者攻擊發生以後對攻擊進行檢測。入侵檢測可分為如下若干類：

1)基於主機的入侵檢測（也稱HIDS）：將其安裝在要保護的服務器上用於保護單台主機不受網絡入侵。它通過檢測系統文件、進程記錄等信息，幫助系統管理人員記錄或發現攻擊行為或攻擊企圖，以便制定相應策略。HIDS 檢測的'準確度較高，能夠檢測到無明顯行為特徵的攻擊，可對各種操作系統進行有針對性的檢測，適合用於加密和交換環境，成本低，不受網絡環境影響。主要缺點是它檢測時效性較差，佔主機資源大，能夠檢測的攻擊類型少，檢測效果取決於日誌系統制約，並且隱蔽性較差。

2)基於網絡的入侵檢測(NIDS)：主要用於防止對某個網絡的攻擊，結合防火牆使用，利用原始的網絡分組數據包來作為進行攻擊分析的數據源，通過網絡適配器來實時監控和分析所有通過網絡進行傳輸的通信。當檢測到入侵行為時，入侵檢測系統通過報警、中斷連接等方式做出迴應。NIDS可對網絡上的端口進行掃描、IP欺騙等常見的攻擊行為進行監控，在保護多台主機的同時不影響被保護對象的性能，具有很好的隱蔽性，對入侵證據起到保護作用。缺點是防入侵欺騙能力較差，檢測受硬件條件限制較大，不能對加密後的數據進行處理等。

3)分佈式入侵檢測：其模式是採用分佈式智能代理結構，由一箇中央智能代理和多個分佈在各地網絡的地方代理組成。其中每個地方代理都負責監控網絡信息流的某一方面，多個地方代理互相協作、分佈檢測來共同完成一項監測任務；中央代理負責調控各個地方代理的工作，從整體上完成對網絡事件進行綜合分析的任務。