第一篇:基于密碼技術的網絡安全通信協議研究
基于密碼技術的網絡安全通信協議研究
摘 要:隨著我國信息科學技術的快速發展,各種網絡通信設備得到了大范圍的推廣和使用。如果某些通信協議存在安全隱患,很可能在網絡應用中被其他惡意用戶攻擊。安全通信協議在信息傳輸過程中可以實現保密功能,并且為通信雙方確認身份提供了便利。因此,在網絡應用中保障通信協議安全十分關鍵。本文以密碼技術為基礎對網絡安全通信協議進行了研究和探討。
關鍵詞:密碼技術;網絡安全;通信協議
人們將日常生活中容易理解的內容通過一定的轉換或者變化,讓這些內容變為不能通過常規思維理解的信息,這就是密碼技術。密碼技術從本質來看屬于數學應用,其應用過程可以分為加密、傳遞和解密三步[1]。為了便于執行通信過程中的加密和解密操作,進而保障網絡通信安全,人們制定了安全通信協議,該協議規定了通信雙方執行各項操作的順序與規范。安全通信協議的參與方在兩個或以上,參與者在執行各步操作過程中應該按照規定依此完成,不可跳過和漏項。安全通信協議在信息傳輸過程中可以實現保密功能,并且為通信雙方確認身份提供了便利。安全協議可以在滿足網絡安全的基礎上,減少網絡通信中影響運行效率的各種因素。本文以密碼技術為基礎對網絡安全通信協議進行了研究和探討。密碼技術在網絡通信協議中的應用
網絡通信系統中可以使用密碼技術對傳輸的信息進行加密,并且設置必要的身份鑒別,同時也可以運用授權和控制訪問存取的方式保障通信安全。網絡通信中的密碼技術主要是對數據進行加密,在信息的傳輸、存儲方面應用較多。從網絡通信數據加密的方式來看,常見的有節點加密、鏈路加密等[2]。這些加密方法在應用過程中各有特點,在傳輸密級程度較高的信息過程中,應該綜合運用多種加密方式。在實際運用過程中應該結合通信安全的需求,考慮加密技術是否會增加網絡運行過程中的負荷等。由于在不同的情況下每一個通信實體具有的網絡結構存在很大差異,因此實際應用過程中應該根據不同的網絡結構設置安全通信協議。目前常用的安全通信協議有密鑰協商、身份認證和加密等[3]。
在網絡通信安全防護階段可以綜合運用信息加密、身份驗證和鑒別等多種密碼保護技術,以此保障網絡通信安全。管理人員可以運用密碼技術限制非授權用戶進入系統,可綜合運用身份識別、口令機制等達到目的。如果入侵者進入系統的方式比較特殊,可以運用訪問控制和驗證等方式達到保密信息的目的。如果入侵者能夠通過特殊的方式獲取保密信號,管理者應該根據實際情況對信息進行不同程度的加密。
企業級別網絡可以分為商務服務網、辦公網和內部信息網三部分,每一個子網對信息的安全需求不同,應該結合實際使用不同的密碼技術,在降低投入成本的同時滿足整體安全需求。商務服務網可以使用控制細粒度訪問的方式,對用戶和服務器等進行身份驗證。企業內部信息網不僅需要防止非法入侵以及外部用戶的非法訪問,也需要對內部用戶進行管理,適當控制內部用戶的對外訪問。辦公網是企業網絡的核心,禁止信息從網絡向外部流動,并且在用戶和服務器之間設置安全通道,在安全通道中設置身份認證等,避免外部用戶進入辦公網絡中。基于密碼技術的網絡安全通信協議對策
在深入分析企業級網絡通信協議的安全需求后,我們可以充分結合密碼技術以及現有的設備和技術,在網絡系統中保障安全保密技術和保密模式的一致性,將密碼、秘鑰等集中起來進行統一管理,密碼的處理使用專用的硬件,以此保障企業級網絡系統的安全。常用的網絡通信安全協議對策有:
⑴將VPN設備接入內網的路由器節點中,構建一個VPN的專用安全通道,對VPN通道中的信息進行認證和加密,以IPSEC作為參考。虛擬專用網絡(VPN)是信息網絡中的一項新技術,在企業網絡中設置獨立的VPN設備,可以在不提高運營成本的前提下保障各種信息數據的交換安全,運用這種方式也可以避免在WAN中投入過多的成本,并且能夠充分利用各種信息資源。VPN的專用安全通道可以對各種數據進行封裝傳輸,并且各種信息均經過密鑰處理,可以在公共網絡上安全地傳輸和通信。
⑵在網絡的重要服務器配置或者用戶終端設置密碼機,將端端加密和節點加密等密碼技術應用于特殊系統中,在系統標準應用方面提供加密或者身份認證等服務。在通信網絡中建立密碼邏輯管理中心,對用戶密碼機、專用密鑰等進行分配與管理,以此更好地管理各種網絡安全設備或者密鑰等。
⑶將安全授權、設備控制應用于企業網絡各子網的重要節點上,實現接入口的身份認證和用戶授權,制定并合理配置各種細粒度安全策略,讓加密和鑒別等為網絡通信細粒度訪問控制把關。在內外信息網絡中設置網絡防火墻,有效隔離企業網絡中的業務子網絡,對網絡中的出入路由器進行控制,較粗粒度地進行進出數據控制,確保數據傳輸和通信過程中的保密性,在不同層次的安全訪問控制過程中使用較粗粒度控制。結語
在計算機信息網絡應用范圍不斷擴展的同時,網絡通信安全問題也變得更為嚴峻。因此,在網絡中綜合利用密碼技術以及各種安全通信技術,能夠避免網絡通信信息受到侵害,保障信息數據的傳輸安全,這對于促進信息化的發展具有十分重要的意義。
[參考文獻]
[1]吳鈺鋒,劉泉,李方敏.網絡安全中的密碼技術研究及其應用[J].真空電子技術,2011(06).[2]喻建文,李雯.基于密碼技術的網絡安全服務的實現機制[J].計算機與數字工程,2012(03).[3]夏清國,姚群,高德遠.信息安全中密碼技術的分析及研究[J].現代電子技術,2011(03).
第二篇:密碼技術
密碼技術
簡介
密碼學(在西歐語文中之源于希臘語kryptós,“隱藏的”,和gráphein,“書寫”)是研究如何隱密地傳遞信息的學科。在現代特別指對信息以及其傳輸的數學性研究,常被認為是數學和計算機科學的分支,和信息論也密切相關。著名的密碼學者Ron Rivest解釋道:“密碼學是關于如何在敵人存在的環境中通訊”,自工程學的角度,這相當于密碼學與純數學的異同。密碼學是 信息安全等相關議題,如認證、訪問控制的核心。密碼學的首要目是隱藏信息的涵義,并不是將隱藏信息的存在。密碼學也促進了計算機科學,特別是在于電腦與網絡安全所使用的技術,如訪問控制與信息的機密性。密碼學已被應用在日常生活:包括自動柜員機的芯片卡、電腦使用者存取密碼、電子商務等等。
術語
直到現代以前,密碼學幾乎專指加密算法:將普通信息(明文)轉換成難以理解的資料(密文)的過程;解密算法則是其相反的過程:由密文轉換回明文;密碼機(cipher或cypher)包含了這兩種算法,一般加密即同時指稱加密與解密的技術。密碼機的具體運作由兩部分決定:一個是算法,另一個是鑰匙。鑰匙是一個用于密碼機算法的秘密參數,通常只有通訊者擁有。歷史上,鑰匙通常未經認證或完整性測試而被直接使用在密碼機上。
密碼協議(cryptographic protocol)是使用密碼技術的通信協議(communication protocol)。近代密碼學者多認為除了傳統上的加解密算法,密碼協議也一樣重要,兩者為密碼學研究的兩大課題。在英文中,cryptography和cryptology都可代表密碼學,前者又稱密碼術。但更嚴謹地說,前者(cryptography)指密碼技術的使用,而后者(cryptology)指研究密碼的學科,包含密碼術與密碼分析。密碼分析(cryptanalysis)是研究如何破解密碼學的學科。但在實際使用中,通常都稱密碼學(英文通常稱cryptography),而不具體區分其含義。
口語上,編碼(code)常意指加密或隱藏信息的各種方法。然而,在密碼學中,編碼有更特定的意義:它意指以碼字(code word)取代特定的明文。例如,以?蘋果派?(apple pie)替換?拂曉攻擊?(attack at dawn)。編碼已經不再被使用在嚴謹的密碼學,它在信息論或通訊原理上有更明確的意義。
在漢語口語中,電腦系統或網絡使用的個人帳戶口令(password)也常被以密碼代稱,雖然口令亦屬密碼學研究的范圍,但學術上口令與密碼學中所稱的鑰匙(key)并不相同,即使兩者間常有密切的關連。
現代密碼學
現代密碼學大致可被區分為數個領域。對稱鑰匙密碼學指的是傳送方與接收方都擁有相同的鑰匙。直到1976年這都還是唯一的公開加密法。
現代的研究主要在分組密碼(Block Cipher)與流密碼(Stream Cipher)及其應用。分組密碼在某種意義上是阿伯提的多字符加密法的現代化。分組密碼取用明文的一個區塊和鑰匙,輸出相同大小的密文區塊。由于信息通常比單一區塊還長,因此有了各種方式將連續的區塊編織在一起。DES和AES是美國聯邦政府核定的分組密碼標準(AES將取代DES)。盡管將從標準上廢除,DES依然很流行(triple-DES變形仍然相當安全),被使用在非常多的應用上,從自動交易機、電子郵件到遠端存取。也有許多其他的區塊加密被發明、釋出,品質與應用上各有不同,其中不乏被破解者。
流密碼,相對于區塊加密,制造一段任意長的鑰匙原料,與明文依位元或字符結合,有點類似一次墊(one-time pad)。輸出的串流根據加密時的內部狀態而定。在一些流密碼上由鑰匙控制狀態的變化。RC4是相當有名的流密碼。
密碼雜湊函數(有時稱作消息摘要函數,雜湊函數又稱散列函數或哈希函數)不一定使用到鑰匙,但和許多重要的密碼算法相關。它將輸入資料(通常是一整份文件)輸出成較短的固定長度雜湊值,這個過程是單向的,逆向操作難以完成,而且碰撞(兩個不同的輸入產生相同的雜湊值)發生的機率非常小。
信息認證碼或押碼(Message authentication codes, MACs)很類似密碼雜湊函數,除了接收方額外使用秘密鑰匙來認證雜湊值。
公開密鑰密碼體系(Public Key Infranstructures,)
公開密鑰密碼體系,簡稱公鑰密碼體系,又稱非對稱密鑰密碼體系,相對于對稱密鑰密碼體系,最大的特點在于加密和解密使用不同的密鑰。
在對稱密鑰密碼體系中,加密和解密使用相同的密鑰,也許對不同的信息使用不同的密鑰,但都面臨密鑰管理的難題。由于每對通訊方都必須使用異于他組的密鑰,當網絡成員的數量增加時,密鑰數量成二次方增加。更尷尬的難題是:當安全的通道不存在于雙方時,如何建立一個共有的密鑰以利安全的通訊?如果有通道可以安全地建立密鑰,何不使用現有的通道。這個?雞生蛋、蛋生雞?的矛盾是長年以來密碼學無法在真實世界應用的阻礙。
1976年,美國學者Whitfield Diffie與Martin Hellman發表開創性的論文,提出公開密鑰密碼體系的概念:一對不同值但數學相關的密鑰,公開鑰匙(或公鑰, public key)與私密鑰匙(私鑰,private key or secret key)。在公鑰系統中,由公開密鑰推算出配對的私密密鑰于計算上是不可行的。歷史學者David Kahn這樣描述公開密鑰密碼學;“從文藝復興的多字符取代法后最革命性的概念。”在公鑰系統中,公鑰可以隨意流傳,但私鑰只有該人擁有。典型的用法是,其他人用公鑰來加密給該接受者,接受者使用自己的私鑰解密。Diffie與Hellman也展示了如何利用公開鑰匙密碼學來達成Diffie-Hellman鑰匙交換協定。
1978年,MIT的Ron Rivest、Adi Shamir和Len Adleman發明另一個公開密鑰系統,RSA。
直到1997年的公開文件中大眾才知道,早在1970年代早期,英國情報機構GCHQ的數學家James H.Ellis便已發明非對稱密鑰密碼學,而且Diffie-Hellman與RSA都曾被Malcolm J.Williamson與Clifford Cocks分別發明于前。這兩個最早的公鑰系統提供優良的加密法基礎,因而被大量使用。其他公鑰系統還有
Cramer-Shoup、Elgamal、以及橢圓曲線密碼學等等。
除了加密外,公開密鑰密碼學最顯著的成就是實現了數字簽名。數字簽名名符其實是普通簽章的數位化,他們的特性都是某人可以輕易制造簽章,但他人卻難以仿冒。數字簽名可以永久地與被簽署信息結合,無法自信息上移除。數字簽名大致包含兩個算法:一個是簽署,使用私密密鑰處理信息或信息的雜湊值而產生簽章;另一個是驗證,使用公開鑰匙驗證簽章的真實性。RSA和DSA是兩種最流行的數字簽名機制。數字簽名是公開密鑰
基礎建設(public key infranstructures, PKI)以及許多網絡安全機制(SSL/TLS, VPNs等)的基礎。
公開密鑰的算法大多基于計算復雜度上的難題,通常來自于數論。例如,RSA源于整數因子分解問題;DSA源于離散對數問題。近年發展快速的橢圓曲線密碼學則基于和橢圓曲線相關的數學難題,與離散對數相當。由于這些底層的問題多涉及模數乘法或指數運算,相對于分組密碼需要更多計算資源。因此,公開密鑰系統通常是復合式的,內含一個高效率的對稱密鑰算法,用以加密信息,再以公開密鑰加密對稱鑰匙系統所使用的鑰匙,以增進效率。
基于身份認證密碼體系(Identity-Based Cryptograph,)
在1984年以色列科學家Shamir提出了基于標識的密碼系統的概念(IBC)。在基于標識的系統中,每個實體具有一個標識。該標識可以是任何有意義的字符串。但和傳統公鑰系統最大的不同是,在基于標識的系統中,實體的標識本身就是實體的公開密鑰。由于標識本身就是實體的公鑰,這類系統就不再依賴證書和證書管理系統如PKI,從而極大地簡化了管理密碼系統的復雜性。在提出IBC概念的同時,Shamir提出了一個采用RSA算法的基于標識的簽名算法(IBS)。但是基于標識的加密算法(IBC)長時期未能找到有效解決方法。
在2000年,三位日本密碼學家R.Sakai, K.Ohgishi 和 M.Kasahara提出了使用橢圓曲線上的pairing設計基于標識的密碼系統的思路。在該論文中他們提出了一種無交互的基于標識的密鑰生成協議.在該系統中,他們設計了一種可用于基于標識的密碼系統中的系統初始化方法和密碼生成算法。
在2001年,D.Boneh和M.Franklin , R.Sakai, K.Ohgishi 和 M.Kasahara 以及C.Cocks 分別提出了三個基于標識的加密算法。前兩個都是采用橢圓曲線上pairing的算法。第三種算法利用平方剩余難問題。前兩種算法都采用了與中相同的思路初試化系統并生成用戶的私鑰。由于D.Boneh和M.Franklin提出的IBC(BF-IBC)的安全性可以證明并且有較好的效率,所以引起了極大的反響。
基于標識的密碼技術在過去幾年中得到快速發展。研究人員設計了大量的新密碼系統。隨著應用的逐漸廣泛,相應算法的標準化工作也在逐步展開。IEEE P1363.3的基于標識的密碼技術工作組正在進行相關算法的標準化工作。ISO/IEC已經標準化了兩個基于標識的簽名算法。
2007年,中國國家密碼局組織了國家標識密碼體系IBC標準規范
(Identity-Based Cryptograph, IBC)的編寫和評審工作。由五位院士和來自黨政軍、科研院所的密碼專家組成了評審組,對該標準規范在安全性、可靠性、實用性和創新性等方面進行了多次嚴格審查,2007年12月16日國家IBC標準正式通過了評審。專家們一致認定,該標準擁有獨立知識產權,屬于國內首創,達到了國際領先水平,并已逐步開始應用在智能密鑰、加密郵件、網絡安全設備等產品中中。
有關的法律禁令
密碼技術長期以來都是情報或司法機構的興趣。由于這些單位的隱密性以及禁令后個人隱私的減少,密碼技術也是人權支持者關心的焦點。環繞密碼技術的法律議題已有很長的歷史,特別是在可以執行高品質密碼的廉價計算機問世后。
在某些國家甚至本國的密碼技術應用也受到了限制:
直到1999年,法國仍然限制國內密碼技術的使用。
在中國,使用密碼技術需要申請執照。
許多國家有更嚴格的限制,例如白俄羅斯、哈薩克、蒙古、巴基斯坦、俄羅斯、新加坡、突尼斯、委內瑞拉和越南。
在美國,國內密碼技術的使用是合法的,但仍然有許多法律沖突。
一個特別重要的議題是密碼軟件與硬件的出口管制。由于密碼分析在二戰時期扮演的重要腳色,也期待密碼學可以持續在國家安全上效力,許多西方國家政府嚴格規范密碼學的出口。二戰之后,在美國散布加密科技到國外曾是違法的。事實上,加密技術曾被視為軍需品,就像坦克與核武。直到個人電腦和因特網問世后情況才改變。好的密碼學與壞的密碼學對絕大部分使用者來說是沒有差別的,其實多數情況下,大部分現行密碼技術普遍緩慢而且易出錯。然而當因特網與個人電腦日益成長,優良的加密技術逐漸廣為人知。可見出口管制將成為商務與研究上的阻礙。
密碼技術在中國的發展狀況
我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,目前應從安全體系結構、安
全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。
第三篇:網絡安全技術
網絡安全技術
——防火墻技術與病毒
摘 要:
計算機網絡安全,指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段。而計算機網絡安全主要包括計算機網絡安全的概況、虛擬網技術、防火墻技術、入侵檢測技術, 安全掃描技術, 電子認證和數字簽名技術.VPN技術、數據安全、計算機病毒等。防火墻技術作為時下比較成熟的一種網絡安全技術,其安全性直接關系到用戶的切身利益。針對網絡安全獨立元素——防火墻技術,通過對防火墻日志文件的分析,設計相應的數學模型和軟件雛形,采用打分制的方法,判斷系統的安全等級,實現對目標網絡的網絡安全風險評估,為提高系統的安全性提供科學依據。本文將以最常見的WORD宏病毒為例來解釋計算機病毒傳播過程。
關鍵詞:網絡安全 防火墻技術 計算機病毒
1.1 研究背景
隨著互聯網的普及和發展,尤其是Internet的廣泛使用,使計算機應用更加廣泛與深入。同時,我們不得不注意到,網絡雖然功能強大,也有其脆弱易受到攻擊的一面。據美國FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全求平均每20秒鐘就發生一起Internet計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在利用網絡的優越性的同時,對網絡安全問題也決不能忽視。如何建立比較安全的網絡體系,值得我們關注研究。
1.2 計算機病毒簡介
計算機病毒是指那些具有自我復制能力的計算機程序, 它能影響計算機軟件、硬件的正常運行, 破壞數據的正確與完整。計算機病毒的來源多種多樣, 有的是計算機工作人員或業余愛好者為了純粹尋開心而制造出來的;有的則是軟件公司為保護自己的產品被非法拷貝而制造的報復性懲罰, 因為他們發現病毒比加密對付非法拷貝更有效且更有威脅, 這種情況助長了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個人行為和政府行為兩種, 個人行為多為雇員對雇主的報復行為, 而政府行為則是有組織的戰略戰術手段。另外有的病毒還是用于研究或實驗而設計的“有用”程序, 由于某種原因失去控制擴散出實驗室, 從而成為危害四方的計算機病毒。
1987 年, 計算機用戶忽然發現, 在世界的各個角落, 幾乎同時出現了形形色色的計算機病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發現的幾種病毒, 其名氣也最大, 它們是: 臺灣一號病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過一萬種。
1988 年底, 我國國家統計系統發現小球病毒。隨后, 中國有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國一些科研部門和國家機關也相繼發現病毒入侵。自從“中國炸彈”病毒出現后,已發現越來越多的國產病毒。比如目前國內主要有:感染Window s3.x 的“V3783”,感染Window s95/ 98的“CIH”病毒。
縱觀計算機病毒的發展歷史, 我們不難看出, 計算機病毒已從簡單的引導型、文件型病毒或它們的混合型發展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺發展到攻擊安全性較高的Window s95/ 98平臺;從破壞磁盤數據發展到直接對硬件芯片進行攻擊。1995 年宏病毒的出現, 使病毒從感染可執行文件過渡到感染某些非純粹的數據文件。最近有資料顯示已發現JAVA病毒, 各種跡象表明病毒正向著各個領域滲透, 這些新病毒更隱秘, 破壞性更強。
計算機病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統引導區為主, 大多數病毒只是開個小小的玩笑。
按傳染方式分類可分為引導型病毒、文件型病毒和混合型病毒3種。引導型病毒主要是感染磁盤的引導區, 系統從包含了病毒的磁盤啟動時傳播, 它一般不對磁盤文件進行感染;文件型病毒一般只傳染磁盤上的可執行文件(COM, EXE), 其特點是附著于正常程序文件, 成為程序文件的一個外殼或部件;混合型病毒則兼有以上兩種病毒的特點, 既感染引導區又感染文件, 因此擴大了這種病毒的傳染途徑。
按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統型病毒等3 種。其中源碼型病毒主要攻擊高級語言編寫的源程序, 它會將自己插入到系統的源程序中, 并隨源程序一起編譯、連接成可執行文件, 從而導致剛剛生成的可執行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區的病毒, 它只攻擊某些特定程序, 針對性強;操作系統型病毒是用其自身部分加入或替代操作系統的部分功能, 危害性較大。
病毒按程序運行平臺分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發作于DOS,Windows9X,WindowsNT, OS/2等操作系統平臺上的病毒。而計算機病毒的主要危害:不同的計算機病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統數據區, 包括硬盤的主引導扇區、Boot 扇區、FAT 表、文件目錄。一般來說, 攻擊系統數據區的病毒是惡性病毒, 受損的數據不易恢復。二是攻擊文件, 包括刪除、改名、替換文件內容、刪除部分程序代碼、內容顛倒、變碎片等等。三是攻擊內存。
1.3防火墻概述
隨著Internet的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題,使得網絡安全問題越來越突出。因此,保護網絡資源不被非授權訪問,阻止病毒的傳播感染顯得尤為重要。就目前而言,對于局部網絡的保護,防火墻仍然不失為一種有效的手段,防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發展起來的一種技術,其應用非常廣泛。
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。[4]防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻提供信息安全服務,是實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網絡和互聯網之間的任何活動,保證了內部網絡的安全。
2.防火墻的原理及分類
顧名思義,包過濾防火墻[9]就是把接收到的每個數據包同預先設定的包過濾規則相比較,從而決定是否阻塞或通過。過濾規則是基于網絡層IP包包頭信息的比較。包過濾防火墻工作在網絡層,IP包的包頭中包含源、目的IP地址,封裝協議類型(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口號,ICMP消息類型,TCP包頭中的ACK等等。如果接收的數據包與允許轉發的規則相匹配,則數據包按正常情況處理;如果與拒絕轉發的規則相匹配,則防火墻丟棄數據包;如果沒有匹配規則,則按缺省情況處理。包過濾防火墻是速度最快的防火墻,這是因為它處于網絡層,并且只是粗略的檢查連接的正確性,所以在一般的傳統路由器上就可以實現,對用戶來說都是透明的。但是它的安全程度較低,很容易暴露內部網絡,使之遭受攻擊。例如,HTTP。通常是使用80端口。如果公司的安全策略允許內部員工訪問網站,包過濾防火墻可能設置允所有80端口的連接通過,這時,意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網絡。包過濾防火墻的維護比較困難,定義過濾規則也比較復雜,因為任何一條過濾規則的不完善都會給網絡黑客造成可乘之機。同時,包過濾防火墻一般無法提供完善的日志。
應用級代理技術通過在OSI的最高層檢查每一個IP包,從而實現安全策略。代理技術與包過濾技術完全不同,包過濾技術在網絡層控制所有的信息流,而代理技術一直處理到應用層,在應用層實現防火墻功能。它的代理功能,就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內部網絡。這一內建代理機制提供額外的安全,這是因為它將內部和外部網絡隔離開來,使網絡外部的黑客在防火墻內部網絡上進行探測變得困難,更重要的是能夠讓網絡管理員對網絡服務進行全面的控制。但是,這將花費更多的處理時間,并且由于代理防火墻支持的應用有限,每一種應用都需要安裝和配置不同的應用代理程序。比如訪問WEB站點的HTTP,用于文件傳輸的FTP,用于E一MAIL的SMTP/POP3等等。如果某種應用沒有安裝代理程序,那么該項服務就不被支持并且不能通過防火墻進行轉發;同時升級一種應用時,相應的代理程序也必須同時升級。
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應用級網關一類。它是針對數據包過濾[10]和應用網關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”,由兩個終止代理服務器上的“鏈接”來實現,外部計算機的網絡鏈路只能到達代理服務器,從而起到了隔離防火墻內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、注冊登記,形成報告,同時當發現被攻擊跡象時會向網絡管理員發出警報,并保留攻擊痕跡。應用代理型防火墻是內部網與外部網的隔離點,起著監視和隔絕應用層通信流的作用。同時 也常結合入過濾器的功能。它工作在OSI模型的最高層,掌握著應用系統中可用作安全決策的全部信息。
復合型防火墻:由于對更高安全性的要求,常把基于包過濾的方法與基于應用代理的方法結合起來,形成復合型防火墻產品。這種結合通常是以下兩種方案。屏蔽主機防火墻體系結構,在該結構中,分組過濾路由器或防火墻與Internet相連,同時一個堡壘機安裝在內部網絡,通過在分組過濾器路由器或防火墻上過濾規則的設置,使堡壘機成為Internet上其他節點所能到達的唯一節點,這確保了內部網絡不受未授權外部用戶的攻擊。屏蔽子網防火墻體系結構:堡壘機放在一個子網內,形成非軍事化區,兩個分組過濾路由器放在這一子網的兩端,使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中,堡壘機和分組過濾路由器共同構成了整個防火墻的安全基礎。執行save命令保存退出后就可以在企業外網出口指定IP時實現防火墻數據轉發以及安全保護功能了。
3.1防火墻包過濾技術發展趨勢
(1)安全策略功能
一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的,包過濾技術的防火墻不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網絡通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗證。
(2)多級過濾技術
所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網絡層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。
這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網絡層,從這個概念出發,又有很多內容可以擴展,為將來的防火墻技術發展打下基礎。
(3)功能擴展
功能擴展是指一種集成多種功能的設計趨勢,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產品中了,很多時候我們已經無法分辨這樣的產品到底是以防火墻為主,還是以某個功能為主了,即其已經逐漸向我們普遍稱之為IPS(入侵防御系統)的產品轉化了。有些防火墻集成了防病毒功能,通常被稱之為“病毒防火墻”,當然目前主要還是在個人防火墻中體現,因為它是純軟件形式,更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。
3.1防火墻的體系結構發展趨勢
隨著網絡應用的增加,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體應用將會越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來,基于網絡處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火墻的性能要比傳統防火墻的性能好許多。
與基于ASIC的純硬件防火墻相比,基于網絡處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網絡數據流,比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。參考文獻
[1] 艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004,(s):79一82.[2] 高峰.許南山.防火墻包過濾規則問題的研究[M].計算機應用.2003,23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業.2000.[5] 魏利華.防火墻技術及其性能研究.能源研究與信息.2004,20(l):57一62
[6] 李劍,劉美華,曹元大.分布式防火墻系統.安全與環境學報.2002,2(l):59一61
[7] 王衛平,陳文惠,朱衛未.防火墻技術分析.信息安全與通信保密.2006,(8):24一27
[8] 付歌,楊明福.一個快速的二維數據包分類算法.計算機工程.2004,30(6):76一78
[9] 付歌,楊明福,王興軍.基于空間分解的數據包分類技術.計算機工程與應用.2004(8):63一65
[10] 〕韓曉非,王學光,楊明福.位并行數據包分類算法研究.華東理工大學學報.2003,29(5):504一508
[11] 韓曉非,楊明福,王學光.基于元組空間的位并行包分類算法.計算機工程與應用.2003,(29):188一192
[12] 馮東雷,張勇,白英彩.一種高性能包分類漸增式更新算法.計算機研究與發展.2003,40(3):387一392
第四篇:網絡安全技術
網絡信息安全與策略
【摘要】隨著我國網路信息科技的高速發展,網絡信息安全問題日益突出。以網絡方式獲取信息和交流信息已成為現代信息社會的一個重要特征。網絡給人們生活帶來極大便利的同時,也給許多部門、單位和個人帶來了極大的風險,造成嚴重的經濟損失。最新報道:央視《經濟半小時》播出“我國黑客木馬形成產業 2009年收入可超百億元”節目,可以看出黑客通過網絡傳播木馬的嚴重性。本文主要探討了網絡信息安全中存在的威脅,并提出了相應的技術保障和對策。【關鍵字】網絡
信息
安全
黑客
病毒
技術
一、網絡信息安全的內涵
在網絡出現以前,信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護以實現電子信息的保密性、完整性、可用性、可控性和不可否認性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.網絡信息安全的內容
(1)硬件實體安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作;預防地震、水災、颶風、雷擊等的措施;滿足設備正常運行環境要求;防止電磁輻射、泄露;媒體的安全備份及管理等。
(2)軟件系統安全。即計算機程序和文檔資料及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
(3)運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
(4)數據信息安全。即網絡中存儲及流通數據的安全。要保護網絡中的數據文件和數據信息在傳輸過程中不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
2.網絡信息安全的目標
(1)保密性。保密性是指利用密碼技術對敏感信息進行加密處理同時采取抑制、屏蔽措施防止電磁泄漏,保證信息只有合法用戶才能利用,而不會泄露給非授權人、實休。
(2)完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
(3)可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息。
(4)可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
(5)不可否認性。不可否認性是指在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
二、網絡信息安全面臨的威脅
1.操作系統自身的因素
無論哪一種操作系統,其體系結構本身就是不安全的一種因素。由于操作系統的程序是可以動態連接的,包過I/O的驅動程序與系統服務都可以用打補丁的方法升級和進行動態連接。而這種動態連接正是計算機病毒產生的溫床,該產品的廠商可以使用,“黑客”成員也可以使用。因此,這種打補丁與滲透開發的操作系統是不可能從根本上解決安全問題。
2.網絡協議和軟件的安全缺陷
因特網的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙:大多數因特網上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略:許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被內部人員濫用,黑客從一些服務中可以獲得有用的信息,而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性:訪問控制的配置一般十分復雜,所以很容易被錯誤配置,從而給黑客以可乘之機。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現在,銀行之間在專用網上傳輸數據所用的協議都是保密的,這樣就可以有效地防止入侵。當然,人們不能把TCP/IP和其實現代碼保密,這樣不利于TCP/IP網絡的發展。
3.電腦黑客攻擊多樣化
進人2006年以來,網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法,用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。寬帶網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。
調查資料顯示,2006年初發現企業的系統承受的攻擊規模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標,目標系統不論是網頁服務器、域名服務器,還是電子郵件服務器,都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理,借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡,把大量的查詢要求傳至開放的DNS服務器,這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。
美國司法部的一項調查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下,外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡,即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外,由于企業員工可以通過任何一臺未經確認和處理的設備,以有效合法的個人身份憑證進入網絡,使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘,嚴重威脅網絡系統的安全。有資料顯示,最近拉美國家的網絡詐騙活動增多,作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”,網上詐騙活動日益增多。
4計算機病毒
計算機病毒是專門用來破壞計算機正常工作,具有高級技巧的程序。它并不獨立存在,而是寄生在其他程序之中,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網絡技術的不斷發展、網絡空間的廣泛運用,病毒的種類急劇增加。目前全世界的計算機活體病毒達14萬多種,其傳播途徑不僅通過軟盤、硬盤傳播,還可以通過網絡的電子郵件和下載軟件傳播。從國家計算機病毒應急處理中日常監測結果來看,計算機病毒呈現出異常活躍的態勢。據2001年調查,我國約73%的計算機用戶曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用戶高達59%,而且病毒的破壞性較大。被病毒破壞全部數據的占14%,破壞部分數據的占57%。只要帶病毒的電腦在運行過程中滿足設計者所預定的條件,計算機病毒便會發作,輕者造成速度減慢、顯示異常、丟失文件,重者損壞硬件、造成系統癱瘓。
5.人性的脆弱性
人們與生俱來就有信任他人、樂于助人以及對未知事物的好奇心等弱點。狡猾的電腦黑客往往利用這些弱點,通過E-mail、偽造的Web網站、向特定的用戶提幾個簡單的問題的伎倆,騙取公司的保密資料或從個人用戶那里騙取網上購物的信用卡、用戶名和密碼,達到入侵網絡信息系統的目的,使得那些采用多種先進技術的安全保護措施形同虛設。
6管理因素
用戶安全意識淡薄, 管理不善是當前存在的一個嚴重的問題。目前我國安全管理方面存在的問題主要有: 一是缺乏強有力的權威管理機構, 由于我國網絡安全立法滯后, 安全管理部門受人力、技術等條件的限制影響著安全管理措施的有效實施。二是缺乏安全審計,安全審計是把與安全相關的事件記錄到安全日志中,我國現有的網絡系統大多數缺少安全審計, 安全日志形同虛設。三是安全意識淡薄。人們對信息安全認識不夠, 過分依賴信息安全產品, 缺乏細致的內部網絡管理機制, 一些用戶警惕性不高, 操作麻痹, 甚至把自己賬號隨意給他人。
三、保障網絡信息安全的對策和技術
1.安全通信協議和有關標準。
在網絡安全技術應用領域,安全通信協議提供了一種標準,基于這些標準,企業可以很方便地建立自己的安全應用系統。目前主要的安全通信協議有SSL(TLS)、IPsec和S/MIME SL提供基于客戶/服務器模式的安全標準,SSL(TLS)在傳輸層和應用層之間嵌入一個子層,主要用于實現兩個應用程序之間安全通訊機制,提供面向連接的保護;IP安全協議(IPsec)提供網關到網關的安全通信標準,在網絡層實現,IPsec能夠保護整個網絡;S/MIME在應用層提供對信息的安全保護,主要用于信息的安全存儲、信息認證、傳輸和信息轉發。三種安全通信協議雖然均提供了類似的安全服務,但是他們的具體應用范圍是不同的,在實際應用中,應根據具體情況選擇相應的安全通信協議。
2.防火墻技術
防火墻技術是為了保證網絡路由安全性而在內部網和外部網之間的界面上構造一個保護層。所有的內外連接都強制性地經過這一保護層接受檢查過濾,只有被授權的通信才允許通過。防火墻的安全意義是雙向的,一方面可以限制外部網對內部網的訪問,另一方面也可以限制內部網對外部網中不健康或敏感信息的訪問。同時,防火墻還可以對網絡存取訪問進行記錄和統計,對可疑動作告警,以及提供網絡是否受到監視和攻擊的詳細信息。防火墻系統的實現技術一般分為兩種,一種是分組過濾技術,一種是代理服務技術。分組過濾基于路由器技術,其機理是由分組過濾路由器對IP分組進行選擇,根據特定組織機構的網絡安全準則過濾掉某些IP地址分組,從而保護內部網絡。代理服務技術是由一個高層應用網關作為代理服務器,對于任何外部網的應用連接請求首先進行安全檢查,然后再與被保護網絡應用服務器連接。代理服務技術可使內、外網絡信息流動受到雙向監控。
3.訪問拉制技術
訪問控制根據用戶的身份賦予其相應的權限,即按事先確定的規則決定主體對客體的訪問是否合法,當一主體試圖非法使用一個未經授權使用的客體時,該機制將拒絕這一企圖,其主要通過注冊口令、用戶分組控制、文件權限控制三個層次完成。此外,審計、日志、入侵偵察及報警等對保護網絡安全起一定的輔助作用,只有將上述各項技術很好地配合起來,才能為網絡建立一道安全的屏障。
4.反病毒軟件
反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術特色。首先, 出現了病毒防火墻。該技術為用戶提供了一個實時監防止病毒發作的工具,它對用戶訪問的每一個文件進行病毒檢測, 確認無毒后才會讓系統接管進行下一步的工作。其次, 反病毒軟件提出了在線升級的方式。第三, 完成了統一的防病毒管理。第四,嵌入式查毒技術的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2003 和OfficeXP 組件當中,使其與可能發生病毒侵擾的應用程序有機地結合為一體, 在占用系統資源最小的情況下查殺病毒。
5.入侵檢測技術
隨著網絡安全風險系數的不斷提高, 作為對防火墻及其有益的補充, IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力包括安全審計、監視、進攻識別和響應, 提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統, 該系統處于防火墻之后, 可以和防火墻及路由器配合工作, 用來檢查一個LAN 網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析, 通過集中控制臺來管理、檢測。
6.PKI技術
PKI是在公開密鑰理論和技術基礎上發展起來的一種綜合安全平臺,能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理,從而達到保證網上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網絡計算環境,從而使得人們在這個無法直接相互面對的環境里,能夠確認彼此的身份和所交換的信息,能夠安全地從事商務活動。目前,PKI技術己趨于成熟,其應用已覆蓋了從安全電子郵件、虛擬專用網絡(VPN),Web交互安全到電子商務、電子政務、電子事務安全的眾多領域,許多企業和個人已經從PKI技術的使用中獲得了巨大的收益。
在PKI體系中,CA(CertificateAuthority,認證中心)和數字證書是密不可分的兩個部分。認證中心又叫CA中心,它是負責產生、分配并管理數字證書的可信賴的第三方權威機構。認證中心是PKI安全體系的核心環節,因此又稱作PKI/CA。認證中心通常采用多層次的分級結構,上級認證中心負責簽發和管理下級認證中心的證書,最下一級的認證中心直接面向最終用戶。數字證書,又叫“數字身份證”、“數字ID”,是由認證中心發放并經認證中心數字簽名的,包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件,可以用來證明數字證書持有者的真實身份。
7.增強網絡安全意識
利用講座和電視視頻直播給上網的朋友們普及有關網絡安全知識,使他們知道網絡中時時刻刻都存在潛在的威脅,可能會帶來經濟損失和精神損失。同時,還要讓他們知道一切不明身份的垃圾郵件千萬不要打開,因為它可能給你的電腦帶進病毒。通過事實中的案例告訴網民在網絡中做任何事情一定不要放松自己的警惕,加強自己電腦的殺毒軟件,多關注網上欺騙手段的視頻。總之,利用一切可以利用的手段加強網民的網絡安全意識。
8.法律保護
隨著互聯網技術的發展,大量的信息在互聯網上進行傳播,不可避免地會侵犯他人的合法權益,而且這種侵犯將因為互聯網比其他媒體更有廣泛的影響而加重侵權的嚴重程度。從這個意義上來說,一個人可以不上網,但是他的合法權益被他人通過互聯網侵犯卻是有可能的,因此,加強與互聯網相關的立法建設,對于全體國民都是非常重要的。
四、結論
隨著信息技術的飛速發展,網絡及網絡信息安全技術已經深入到了社會的多個領域。網絡和信息時代給我們帶來技術進步和生活便利的同時,也給國家和個人都帶了巨大經濟損失。網民要加強自己的防范意識,保證自己的財產不受到侵犯。我還希望國家相關部門規范網絡信息安全標準,加快先進技術的研發來保障網絡通訊的安全。同時,加強相關法律法規的力度來保證人民的根本利益,為我們提供一個安全的網絡環境。參考文獻:
[1]龐淑英.網絡信息安全技術基礎及應用.2009 [2]李俊宇.信息安全技術基礎冶金工業出版社.2004.12 [3]王麗輝.網絡安全及相關技術吉林農業科技學院學報,第19卷第2期.2005 [4]何萬敏.網絡信息安全與防范技術甘肅農業.2005年第1期 [5]黃慧陳閡中.針對黑客攻擊的預防措施計算機安全.2005 [6]王云峰.信息安全技術及策略[J].廣東廣播電視大學學報,2006
第五篇:《網絡安全――密碼安全》教學案例
《網絡安全――密碼安全》教學案例
一、教學目標設計
1、知識目標
通過QQ密碼破解等實例向學生說明網絡密碼安全防范的重要性,并向學生介紹如何提高網絡安全,特別是密碼安全問題。
2、能力目標
通過多媒體網絡教學和實踐操作,培養學生自主學習的能力和團體合作精神,培養他們獲取、處理和應用信息的良好信息素養,培養他們自主、創造性地學習和活動,充分發展學生個性,促進學生心理品質發展和社會技能的進步。
3、情感目標
通過觀察、實踐操作、搜集和交流信息,體驗菜鳥黑客網上破密,讓學生對網絡安全中的密碼安全問題有一個概括的了解,從而培養網絡安全防范意識。
二、教學內容分析
這是在Internet上完后增加的一堂課外知識課,教學分三部分:
第一部分讓學生填寫“情況調查”網頁,了解學生的“網絡安全”防范意識。
第二部分向學生介紹幾種QQ密碼的破解過程
第三部分引導學生提高網絡安全防范意識。
三、教學對象分析
參加本課學習的對象是小學五年級的學生,他們已經過一段時間的計算機學習,計算機操作較熟練,學生已具有初步的發現問題和解決問題的能力,網絡安全問題是他們在網上沖浪時較關心的問題,讓學生去操作、去嘗試,體會自己探索的成功感,從而充分激發起學習興趣,調動起學習積極性和主動參與意識。
四、教學思路和教學軟件設計
根據教學對象分析和教學目標,采取以下教學流程:情況調查——引導探究——網上交流——歸納小結——網絡資料。通過演示講授和學生操作計算機,以講解法、互動討論法組織整個教學過程。
五、網絡教學環境設計
本堂課的教學地點將在網絡教室,能與因特網相連,計算機像筆、紙、書本一樣,成了學生學習的工具。整節課采用了多種工具軟件,課前用Authorware制作了一個課件,充當上課的板書使用,用Lanstar進行多媒體網絡教學,利用Webzip下載了一些軟件,如QQ秘密潛入工具、QQ密碼好好盜工具、天網防火墻等,利用DreamWeaver制作了網站《網絡安全――密碼安全》,將教學中要利用的網上信息通過超級鏈接與網站中有關內容相連,學生使用IE可以快速的訪問教師的網站,進行資料的查看、情況調查、及利用網頁中的留言板發表自己的想法,全班圍繞網絡安全問題進行交流學習。
六、教學過程設計與分析
本課力圖體現基于在網絡環境下開展學生積極性學習,以網絡為手段,以學生為主體,是學生自主探索、發現新知的過程。教師在教學過程中起組織者、輔導者、參與者和促進者的作用。通過學習,提高學生發現、吸收新信息和提出新問題的能力,最終培養學生創造性地解決問題的學習方式。
(一)創設情景,導入新課
教師講述:在網絡世界和信息時代里,幾乎每個人都面臨著安全威脅。平時
第 1 頁 不注意安全,往往在付出慘重的代價時才后悔。今天我們通過填寫網頁中的調查表來了解一下網絡安全這個問題。
學生行為:填寫網絡安全情況調查表
1、曾經聽別人說過QQ號、郵箱號或其它用戶帳號被盜的情況?
未聽說
聽說
2、你自己的QQ號、郵箱號或其它用戶帳號被盜?
沒有
有
3、你平時設置的密碼大都是以下列哪種方式設置? 電話號碼
生日號碼
姓名
其它(還包含其它的特殊符
號)用以上方式混合設置
4、你認為你的用戶帳號絕對安全嗎?
是
不是
不知道
教師行為:查看調查結果,以柱狀圖的形式直觀的體現調查的結果,如下圖:
設計思路及分析:利用網頁直觀顯示調查結果的方式,向學生說明提高網絡安全防范意識的重要性。直觀的網上調查和顯示結果,也為學習者提供多樣化的外部刺激,吸引學生深入學習計算機主動性,喚起學生的求知欲,激發學習的興趣。
(二)演示指導學習,掌握網絡安全知識 教師行為:
1、使用LanStar在計算機屏幕上顯示: QQ密碼盜取及防范
第一種:在線破解及防范 第二種:木馬竊密及防范 第三種:秘密潛入及防范
2、教師操作講解:
? QQ密碼被盜的第一種方法是“在線破解”。這種盜號方式最大的好處就是想破解哪個號碼就破解哪個,少則幾分鐘就能破解,為學生準備的軟件有“QQ在線破解器”,只作說明,并不實地演示
? 第二種是使用木馬偷取。給學生準備“好友號好好盜”這個軟件,這是一個通過將木馬邦定在一個圖片上的盜取QQ號的軟件,使用簡單方便。
? 第三種是QQ秘密潛入。給學生準備“QQ秘密潛入”這個軟件,這是一個只針對0630版QQ起作用的秘密潛入QQ軟件。
第 2 頁
3、教師小結:網絡中沒有絕對的安全,如何防范QQ密碼被盜?引導學生自主學習,成了真正的學生學習的指導者,為學生提供適當的幫助和指導,對學生的學習情況進行監控,對學生學習中遇到的問題個別解決,促進學生的學習進程。
學生行為:
1、在學習目標的指導下,利用教師準備好的網站進行自主探究,通過對相關站點,超級鏈接進行訪問。
2、積極思考教師所提出的問題。(1)如何防范QQ在線破解類軟件?(2)如何防范QQ木馬類軟件?(3)如何防范QQ秘密潛入類軟件?
3、瀏覽教師所提供的網站,并進一步深入思考教師所提出的問題。如:(1)http://www.tmdps.cn/
(三)互動學習,完成彈性教學
這節課,教師提供學生交流的機會,學生們可通過互相幫助、分工合作、互相激勵來促進彼此的學習,形成面對面的促進性互動。
教師作為:教師作為其中的一員參與交流,除對交流起組織作用外,還對交流作點評、導撥,引導學生協作學習。
學生行為:學生分小組自由討論,進入網站的留言版交流各自學習的結果,并接受其他同學和教師的質詢。
設計思路及分析:
同桌學生組成合作學習小組,通過留言板交流,不僅提高了學生學習的主動性和對學習的自我控制,還培養了人際合作精神和信息交流的能力,促進了心理品質發展。整個教學過程中,學生是學習過程的主體,始終擁有高度的自主性,能夠對學習過程自我設計、自我控制,讓學生通過網絡主動探索、發現和體驗、初步學會對大量信息的收集、分析和判斷,學會自主創造性地學習和活動,從而發展學生的信息科技能力和創造能力。
(四)歸納小結 教師行為:
1、在學生交流的基礎上,根據前面所提出的問題,幫助學生理清知識體系。
2、通過今天的學習,你們認為在網絡上竊取各種密碼的行為是合法的嗎? 學生行為:
進一步思考教師所提出的問題。設計思路及分析:組織學生對整堂課知識的總結,引導學生增強網絡法制觀念和網絡倫理道德觀念,提高對假、丑、惡的分辨能力,使自已在網上的言行符合法律法規和社會公德的要求。
七、教學反思
采用互動試的教學模式進行多媒體網絡教學,教師的教和學生的學都是圍繞著如何完成一個具體的任務進行的。教師教學思路清晰,學生學習目的明確,更容易掌握學習內容。在信息技術教學中,“教師一堂言”的局面只會養成學生依賴的心理,就無法提高學生的主動參與意識。互動試的教學模式其優勢是明顯的,但也會存在一些問題。由于教師主要是進行方法的引導,學生有更多的時間自己
第 3 頁 去動手操作,而學生的學習和操作能力是不同的,因而在同一節課內,全班同學掌握的知識多少會有不同,容易造成學生成績兩極化和教學知識點的疏漏。這就要求教師在教學中,要加強課堂小結和知識點的回顧,使得學習能力差的同學或操作有疏漏的同學能通過教師的總結和回顧,跟上教學進度,全面掌握知識點,達到教學目標。同時,要加強學生間的交流,使學生在合作中共同提高。
此外,教師根據教學內容設計任務時,還要注意根據學生的特點,盡可能設計一些帶有趣味性、實用性、可行性的任務,使學生愿學、愛學、樂學,使學生在掌握信息技術的同時,有利于對學生信息素養、創新能力的培養,能得心應手地解決實際問題,使計算機真正成為他們的學習創作工具。
[參考文獻]:《黑客防范100例》、網絡資料 [準備資料]:課件、網站、課內介紹的幾個軟件
第 4 頁
點擊咨詢 