第一篇:畢業論文英文文獻翻譯--計算機網絡安全淺析
計算機網絡安全淺析
摘要:針對計算機網絡系統存在的安全性和可靠性問題,本文從網絡安全的重要性、理論基礎、具備功能以及解決措施等方面提出一些見解,并且進行了詳細闡述,以使廣大用戶在計算機網絡方面增強安全防范意識。
關鍵詞:計算機網絡 虛擬專用網技術 加密技術 防火墻引言:
隨著計算機網絡技術的發展,網絡的安全性和可靠性已成為不同使用層次的用戶共同關心的問題。人們都希望自己的網絡系統能夠更加可靠地運行,不受外來入侵者干擾和破壞。所以解決好網絡的安全性和可靠性問題,是保證網絡正常運行的前提和保障。
一、網絡安全的重要性。
在信息化飛速發展的今天,計算機網絡得到了廣泛應用,但隨著網絡之間的信息傳輸量的急劇增長,一些機構和部門在得益于網絡加快業務運作的同時,其上網的數據也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網絡上的信息,竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容,偽造用戶身份,否認自己的簽名。更有甚者,攻擊者可以刪除數據庫內容,摧毀網絡節點,釋放計算機病毒等等。這致使數據的安全性和自身的利益受到了嚴重的威脅。根據美國 FBI(美國聯邦調查局)的調查,美國每年因為網絡安全造成的經濟損失超過170 億美元。75的公司報告財政損失是由于計算機系統的安全問題造成的。超過 50的安全威脅來自內部。而僅有 59的損失可以定量估算。在中國,針對銀行、證券等金融領域的計算機系統的安全問題所造成的經濟損失金額已高達數億元,針對其他行業的網絡安全威脅也時有發生。由此可見,無論是有意的攻擊,還是無意的誤操作,都將會給系統帶來不可估量的損失。所以,計算機網絡必須有足夠強的安全措施。無論是在局域網還是在廣域網中,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。
二、網絡安全的理論基礎。國際標準化組織(ISO)曾建議計算機安全的定義為: “計算機系統要保護其硬件、數據不被偶然或故意地泄露、更改和破壞。”為了幫助計算機用戶區分和解決計算機網絡安全問題,美國國防部公布了 “桔皮書”(orangebook,正式名稱為“可,對多用戶計算機系統安全級別的劃分進行了規定。信計算機系統標準評估準則”)桔皮書將計算機安全由低到高分為四類七級:D1、C1、C2、B1、B2、B3、A1。其中 D1級是不具備最低安全限度的等級,C1 和 C2 級是具備最低安全限度的等級,B1 和 B2 級是具有中等安全保護能力的等級,B3 和 A1 屬于最高安全等級。在網絡的具體設計過程中,應根據網絡總體規劃中提出的各項技術規范、設備類型、性能要求以及經費等,綜合考慮來確定一個比較合理、性能較高的網絡安全級別,從而實現網絡的安全性和可靠性。
三、網絡安全應具備的功能。
為了能更好地適應信息技術的發展,計算機網絡應用系統必須具備以下功能:(1)訪問控制:通過對特定網段、服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。
(2)檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。
(3)攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,并采取響應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。
(4)加密通訊:主動地加密通訊,可使攻擊者不能了解、修改敏感信息。(5)認證:良好的認證體系可防止攻擊者假冒合法用戶。
(6)備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務。
(7)多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。(8)設立安全監控中心:為信息系統提供安全體系管理、監控、保護及緊急情況服務。
四、網絡系統安全綜合解決措施 要想實現網絡安全功能,應對網絡系統進行全方位防范,從而制定出比較合理的網絡安全體系結構。下面就網絡系統的安全問題,提出一些防范措施。
物理安全可以分為兩個方面: 一是人為對網絡的損害; 二是網絡對使用者的危害。
最常見的是施工人員由于對地下電纜不了解,從而造成電纜的破壞,這種情況可通過立標志牌加以防范; 未采用結構化布線的網絡經常會出現使用者對電纜的損壞,這就需要盡量采用結構化布線來安裝網絡;人為或自然災害的影響,需在規劃設計時加以考慮。訪問控制安全,訪問控制識別并驗證用戶,將用戶限制在已授權的活動和資源范圍之內。
網絡的訪問控制安全可以從以下幾個方面考慮。
(1)口令:網絡安全系統的最外層防線就是網絡用戶的登錄,在注冊過程中,系統會檢查用戶的登錄名和口令的合法性,只有合法的用戶才可以進入系統。
(2)網絡資源屬主、屬性和訪問權限:網絡資源主要包括共享文件、共享打印機、網絡通信設備等網絡用戶都有可以使用的資源。資源屬主體現了不同用戶對資源的從屬關系,如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性,如可被誰讀、寫或執行等。訪問權限主要體現在用戶對網絡資源的可用程度上。利用指定網絡資源的屬主、屬性和訪問權限可以有效地在應用級控制網絡系統的安全性。
(3)網絡安全監視:網絡監視通稱為“網管”,它的作用主要是對整個網絡的運行進行動態地監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全問題,如定位網絡故障點、捉住 IP 盜用者、控制網絡訪問范圍等。
(4)審計和跟蹤:網絡的審計和跟蹤包括對網絡資源的使用、網絡故障、系統記帳等方面的記錄和分析。一般由兩部分組成:一是記錄事件,即將各類事件統統記錄到文件中;二是對記錄進行分析和統計,從而找出問題所在。數據傳輸安全,傳輸安全要求保護網絡上被傳輸的信息,以防止被動地和主動地侵犯。
對數據傳輸安全可以采取如下措施:(1)加密與數字簽名:數字簽名是數據的接收者用來證實數據的發送者確實無誤的一種方法,它主要通過加密算法和證實協議而實現。
(2)防火墻:防火墻(Firewall)是 Internet 上廣泛應用的一種安全措施,它可以設置在不同網絡或網絡安全域之間的一系列部件的組合。它能通過監測、限制、更改跨越防火墻的數據流,盡可能地檢測網絡內外信息、結構和運行狀況,以此來實現網絡的安全保護。
(3)UserName/Password 認證:該種認證方式是最常用的一種認證方式,用于操作系統登錄、telnet(遠程登錄)、rlogin(遠程登錄)等,但此種認證方式過程不加密,即 password容易被監聽和解密。
(4)使用摘要算法的認證:Radius(遠程撥號認證協議)、OSPF(開放路由協議)、SNMPSecurityProtocol 等均使用共享的 SecurityKey(密鑰),加上摘要算法(MD5)進行認證,但摘要算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的 securitykey,所以敏感信息不能在網絡上傳輸。市場上主要采用的摘要算法主要有 MD5 和 SHA‐1。
(5)基于 PKI 的認證:使用 PKI(公開密鑰體系)進行認證和加密。該種方法安全程度較高,綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高,但是涉及到比較繁重的證書管理任務。
(6)虛擬專用網絡(VPN)技術:VPN 技術主要提供在公網上的安全的雙向通訊,采用透明的加密方案以保證數據的完整性和保密性。
總結:綜上所述,對于計算機網絡傳輸的安全問題,我們必須要做到以下幾點。第一,應嚴格限制上網用戶所訪問的系統信息和資源,這一功能可通過在訪問服務器上設置 NetScreen防火墻來實現。第二,應加強對上網用戶的身份認證,使用 RADIUS 等專用身份驗證服務器。一方面,可以實現對上網用戶帳號的統一管理;另一方面,在身份驗證過程中采用加密的手段,避免用戶口令泄露的可能性。第三,在數據傳輸過程中采用加密技術,防止數據被非法竊取。一種方法是使用 PGP for Business Security 對數據加密。另一種方法是采用 NetScreen防火墻所提供的 VPN 技術。VPN 在提供網間數據加密的同時,也提供了針對單機用戶的加密客戶端軟件,即采用軟件加密的技術來保證數據傳輸的安全性。
Abstract: Security of Computer Network System
This paper discussed the secure and dependable problem about the computer networksystem.On some aspects: the importance of network security basic theory function and themethod of solving a problem etc.Good views for solving the problem are put forward.Itstrengthens people’s consciousness on network security.Key words:
Computer network Virtual private network Encryption techniques FirewallIntroduction Along with the computer network technology development the network securityand the reliability have become the question of common interest by all users.The people all hopedtheir own network system can move reliably not external intruder disturbance and destruction.Therefore solves the network security and the reliable problem carefully is a guarantee thenetwork normal operation’s premise and safeguard.First the importance of the network security.With the informationization developing fasttoday the computer network obtained the widespread application but along with the networkinformation transmission capacity growing faster some organizations and departments benefit thespeedup with the service operation in the network while the data has also suffered to extentattack and destruction.The aggressor may intercept the information in the network steals theuser’s password the database information also may tamper with the database content the forgeuser’s status denies own signature.And what is more the aggressor may delete the databasecontent the destroy node releases computer virus and so on.This cause data security and ownbenefit have received the serious threat.According to American FBI US Federal Bureau of Investigation investigation the networksecurity creates the economic loss surpasses *** dollars every year.75 corporationreport finance loss is because the computer system security problem creates.More than 50 safethreat come from inside.But only 59 loss could be possible estimate.In China the economicloss amount in view of financial domain and the bank negotiable securities computer systemsecurity problems creates has reached as high as several hundred million Yuan also sometimesoccurs in view of other profession network security threat.Thus it can be seen regardless of is the mean attack or unconscious disoperation will all beable to bring the inestimable loss to the system.Therefore the computer network must have theenough strong security measure.Regardless of is in the local area network or in WAN thenetwork security measure should be Omni-directional in view of each kind of different threat andthe vulnerability so that it can guarantee the network information’s secrecy the integrity and theusability.Second network security rationale.International Standardization Organization ISO oncesuggested the computer security the definition was: “The computer system must protect itshardware the data not accidentally or reveals intentionally the change and the destruction.” Inorder to help the computer user discrimination and the solution computer network securityproblem the American Department of Defense announced “the orange peel book” orange bookofficial name is “credible computer system standard appraisal criterion” has carried on thestipulation to the multiuser computer system security rank division.The orange peel book from low to high divides into the computer security four kinds of sevenlevels: D1 C1 C2 B1 B2 B3 A1.Above allD1 level does not have the lowest safety marginrank C1 and the C2 level has the lowest safety margin rank B1 and the B2 level has the mediumsafekeeping of security ability rank B3 and A1 belongs to the highest security rating.In the network concrete design process it should act according to each technology standardthe equipment type the performance requirement as well as the funds which in the networkoverall plan proposed and so on the overall evaluation determines one quite reasonably theperformance high network security rank thus realization network security and reliability.Third the network security should have function.In order to adapt the informationtechnology development well the computer network application system must have followingfunction: 1 Access control: Through to the specific webpage the service establishment access control system in arrives the overwhelming majority attack impediment in front of the attack goal.2 Inspects the security loophole: Through to security loophole cyclical inspection even if attacks may get the attack goal also may cause the overwhelming majority attack to be invalid.3 Attack monitoring: Through to specific webpage service establishment attack monitoring system but real-time examines the overwhelming majority attack and adopts the response the motion for example separation network connection recording attack process pursuit attack source and so on.4 Encryption communication: Encrypts on own initiative the communication may enable the aggressor to understand the revision sensitive information.5 Authentication: The good authentication system may prevent the aggressor pretends the validated user.6 Backup and restoration: The good backup and restores the mechanism may causes the losses when the attack as soon as possible restores the data and the system service.7 Multi-layered defense: The aggressor after breaks through the first defense line delays or blocks it to reach the attack goal.8 Sets up the safe monitoring center: Provides the security system management the monitoring the protection and the emergency case service for the information system.Fourth the network system safety comprehensive solution measures.If want to realize thenetwork security function we should carry on the Omni-directional guarding to the networksystem and thus formulate the quite reasonable network security architecture.Below on thenetwork system security problem proposes some guard measure.Physics safe may divide into two aspects: One is the artificial harm to the network the otheris the network to the users.Most common thing is the constructor who did not understand to theburied cable clearly thus lead to the destruction of electric cable this kind of situation maythrough standing symbolized the sign guards against Has not used the structurized wiring thenetwork to be able to appear the user frequently to the electric cable damage this needs to use thestructurized wiring to install the network as far as possible Artificial or natural disaster influencewhen to consider the plan.The access control security the access control distinguishes and confirms the user limits theuser in the already activity and the resources scope which is authorized.The network accesscontrol safe may consider from following several aspects.1 password: The network security system most outer layer defense line is network users registering in the registration process the system would inspect the user to register the name and the password validity only then the legitimate user can enter the system.2 The network resources’ host the attribute and the visit jurisdiction: The network resources mainly include the resources which shared files the shared printer network users and so on that all the network users can use.The resources were the host to manifest the different user to the resources subordinate relations such as builder modifier and group member and so on.The resources attribute expressed itself deposit and withdrawal characteristics as can read by who write or the execution and so on.The visit jurisdiction mainly manifests in the user to the network resources available degree in using assigns the network resources to be the host the attribute and the visit jurisdiction may effectively in the application cascade control network system security.3 Network security surveillance: The network surveillance is generally called for “the network management” its function mainly is carries on the dynamic surveillance to the entire network movement and handles each kind of event promptly.May understand simply through the network surveillance discovers and solves in the network security problem such as the localization network fault point seizes the IP embezzler the control network visit scope and so on.4 Audit and track: Network audit and track which is including the network aspect resources use network breakdown and system keeping.It composed generally by two parts: One the recording event soon each kind of event entirely records in the document Two carries on the analysis and the statistics to.
第二篇:畢業論文 英文文獻翻譯
_______ 學 院
畢業論文文獻資料翻譯
原文名稱: “Goldilocks” Liberalization: The Uneven Path Toward Interest Rate Reform in China
課題名稱:利率市場化對我國商業銀行的影響分析
學生姓名:號:
指導老師:
所在系部:專業名稱:
年月
譯文
“金發”自由化:中國利率市場化改革的不平之路
Shih and Victor
中國政府的自由化
2003年,中國從亞洲金融危機進入到一段時間的持續增長后,利率市場化改革似乎終于在掌握之內。就如以前一樣,中國人民銀行的熱衷者發布幾篇報告以支持利率市場化,而四大銀行的代表也提供放慢改革(成2002年)的理由。此外,中國在2003終于擺脫通貨緊縮的威脅并恢復相對高速的增長,只有在2004年有中等程度的通脹(圖3)。一些驚喜,在2004年10月29日,對貸款利率的上限被解除,允許銀行以他們想要的高利息收費(人民日報2005)。此外,銀行也可以給予儲戶低于存款基準利率的利率。類似總督戴顯龍的幾年前的時間表,中國人民銀行發布了一份報告,奠定了完全利率市場化的具體計劃。
盡管推行這種市場化,但金融體系的基本邏輯任然保持了一樣。在存款方面,存款利率上下限的去除主要是象征性的,因為銀行沒有理由去不必要地降低利率,使其低于他們的競爭對手所提供的利率。因此,很少數的銀行利用市場化的優勢來給出低于存款基準利率的利率(2006年綠色)。關于貸款利率市場化,央行的理由是,它將使銀行“根據客戶不同風險的狀況給予不同的貸款和利率”(2005年中國人民銀行貨幣政策研究小組)。雖然這聽起來像一個顯著的效率增益,但這是發出了現實的信號,即銀行繼續提供廉價融資,給予有更低的官僚風險狀況的國家資助項目和國有企業。在此期間,通過存款利率上限和貸款利率的下限,銀行之間的“毀滅性競爭”仍然受到嚴格的限制。因此,銀行仍然不能通過提供更高的存款利率互相競爭。同樣,銀行無法通過提供給借款者更低的利率來相互競爭,因為銀行能提供的最低利率為基準利率的90%。中國人民銀行的一份報告顯示,整個國有銀行全部貸款的27%,被設臵于法定最低利率,這表明銀行將會通過給出法定最低利率來競爭(中國人民銀行貨幣政策的研究團隊 2005)。為了給中國人民銀行信貸,促使城市商業銀行和農村信用社貸款利率的市場化,通過提供更多高利率的貸款給在私營部門的高風險的的借款人,提供融資給原先被凍結的正規銀行系統分部(中國人民銀行貨幣政策的研究團隊 2005)。
進入2008-2009年的經濟衰退,對利率的再次控制促進了大規模的反周期投資驅動器。如圖2所示,中國人民銀行在全球經濟低迷時繼續保證銀行業穩健的利率傳導。移
除貸款利率的上限,銀行通過貸款賺更多的錢。因此,當中央要求銀行于2008年11月為4萬億人民幣經濟刺激方案提供融資,銀行以極大的熱情回應。導致2009年中國的貸款向上急速膨脹,比上年增長了驚人的30%。中國人民銀行在2009年原本設臵信貸配額是5萬億人民幣向上一點點。到今年年底,銀行已經做出了歷史上最大量的新增貸款,總額近10萬億人民幣(潘克赫斯特,鄭,和王 2009)。銀行持有的存款利率低于基準利率而貸款利率高于基準利率,實際上可收獲可觀的利潤,即使在經濟衰退期間(漢2009)。因此,貸款利率上界的自由化得益于所有有關的政治人物。高層的技術專家保留為最大的反周期投資驅動湊集資金的能力,這在中國的歷史上是相對容易的。銀行仍然防止“毀滅性競爭”,并繼續享有穩健的貸款利率傳導。由于銀行為經濟刺激計劃提供資金的意愿,財政部不需要發行很多的債務,從而限制財政赤字的規模。雖然一些大型國有企業由于釋放出的貸款利率可能付出更高的借貸成本,銀行急于提供大量的融資額給他們,使他們向其他實體轉貸資金而賺取利潤。隨著世界逐步擺脫經濟危機,由于前兩年的快速信貸擴張,通貨膨脹的壓力在中國建立的非常迅速。2011年初,通貨膨脹調轉進入危險的境況。然而中國領導人在危機模式下,利率進一步自由化的任何談話被擱臵。另一位金發的時刻必須在下一輪利率自由化之前提出,使其可以被理解。
結論
雖然中國并沒有回應外部強加給我們的政策改革壓力,但是它已經開始自身的重大經濟改革。在城市里,許多規模較小的國有企業被私有化或關閉了,而私營部門被允許自由成長(諾頓1996)。大多數商品和服務價格已經被放開(韋德曼2003)。盡管中國經濟發生了翻天覆地的變化,但是國家將繼續以控制社會的宏觀的經濟杠桿,允許它通過重要的途徑影響經濟效果。中央級的技術專家可以通過控制資金的流動和投資方向,確保通脹不上升至無法控制的地步,而增長依然強勁。同時,這些手段也允許他們購買被其他政治局成員保護的利益支持,包括當地官員和國有企業管理人員,特別是在經濟停滯的時候。為了保持這些手段的有效性,他們需要儲戶在中國的國家金融體系的抵押品。如果私人銀行出現為存款人提供更高的利率,國有銀行必須匹配上更高的利率,從而增加了成本,為大規模的經濟刺激計劃提供資金。盡管強大的激勵促使頂級技術專家保持現狀,但是利率市場化改革在中國已經取得了一些進展。即使在20世紀80年代,非正式的銀行也提供著很高的存款利率。進入20世紀90年代,央行行長感受到西方關于貨幣政策以及中國人民銀行政治性角色的擔憂,開始認真的推行利率市場化。他們在通貨膨脹低,經濟增長強勁的時候推進自由化改革。
雖然方便政策制定者制定政治目標,但是中國的利率管制將繼續使中國的儲戶以及一些國外的制造商肩負重但。只要銀行爭奪存款被禁止,數以百萬的儲戶將繼續被人為壓低存款利率,來補貼國有銀行的盈利能力。國家以較低的成本調動大量資金的能力,也有對世界的負面影響。大部分剩余的國有企業主要集中在重工業和大宗商品部門。因此,就如中國政府智囊團指出的那樣,通過寬松的信貸政策,使他們得以保留,而在全球經濟衰退的時候,或者在某些情況下,他們甚至擴大自己的能力(國際金融研究中心2009年)。這加劇了全球的產能過剩,并導致中國某些行業的商品,特別是鋼材,在世界市場上引起傾銷。因此,政府的持續努力以操縱利率,這種行為的一個重要受害者是中國國有企業的全球競爭者。
第三篇:9.畢業論文英文文獻翻譯
Audit Office Size, Audit Quality, and AuditPricing Jong-Hag Choi, Chansog(Francis)Kim, Jeong-Bon Kim, and YoonseokZang SUMMARY: Using a large sample of U.S.audit client firms over the period 2000–2005,this paper investigates whether and how the size of a local practice office within anaudit firmhereafter, office size is a significant, engagement-specific factor determiningaudit quality and audit fees over and beyond audit firm size at the national level andauditor industry leadership at the city or office level.For our empirical tests, audit qualityis measured by unsigned abnormal accruals, and the office size is measured in twodifferent ways: one based on the number of audit clients in each office and the otherbased on a total of audit fees earned by each office.Our results show that the officesize has significantly positive relations with both audit quality and audit fees, even aftercontrolling for national-level audit firm size and office-level industry expertise.Thesepositive relations support the view that large local offices provide higher-quality auditscompared with small local offices, and that such quality differences are priced in themarket for audit services.Keywords:audit office;office size;audit quality;audit pricing.Data Availability:Data are publicly available from sources identified in the paper.The way we think about an accounting firm changes dramatically when we shift the unit of analysisaway from the firm as a whole, to the analysis of specific city-based offices within a firm.In termsof DeAngelo’s1981b argument, a Big 4 accounting firm is not so big when we shift to theofficelevel of analysis.For example, while Enron represented less than 2 percent of Arthur Ander-sen’s national revenues from publicly listed clients, it was more than 35 percent of such revenues in the Houston office.INTRODUCTION
As alluded to in the above quote, the size of a city-based audit engagement office could bea more crucial determinant of audit quality and thus audit feesthan the size of anational-level audit firm because the city-based office is a semi-autonomous unit withinan audit firm with its own client base.It is an office-based engagement partner or audit team, notnational headquarters, who actually administers and implements individual audit engagement con-tracts, including the delivery of audit services and the issuance of an audit opinion.In this regard,Wallman(1996)and Francis(2004)argue that the assessment of auditor independence needs tofocus more on the individual office level rather than the entire firm level because most of the auditdecisions with respect to a particular client are made within each individual office.The anecdotalevidence on the collapse of Enron, which was audited by the Houston office of Arthur Andersen,is a good example that demonstrates the importance of office-level audit quality.However, much of extant audit research has focused its attention on two national-level audit firm characteristics asfundamental determinants of audit quality, namely: audit firm size(e.g., Simunic and Stein 1987;Becker et al.1998;Francis and Krishnan 1999;Kim et al.2003;Choi and Doogar 2005), andauditor industry leadership(e.g., DeFond et al.2000;Balsam et al.2003;Krishnan 2005).These studies find, in general, that large audit firms with international brand names(i.e., Big4 auditors)or industry expertise provide higher-quality audit services than small audit firms which lack such brand names or industry expertise.Implicit in this line of research is the assumptionthat audit quality is homogeneous across offices of various sizes located in different cities withinthe same audit firm.As a result, we have little evidence on cross-office differences in audit quality,and in particular, whether and how the size of a local engagement office has an impact on auditquality and/or audit pricing.A natural question
to
ask
is:
Is
the
office
size
an additionalengagement-specific factor determining audit quality and thus audit pricing over and beyond auditfirm size and industry leadership? We aim to provide direct evidence on this unexplored question.Several recent studies provide indirect evidence suggesting that audit quality may differacross different engagement offices within an audit firm.For example, in the first U.S.study thatuses each engagement office as the unit of analysis, Reynolds and Francis(2000, 375)find thatwhen client size is measured at the office level using office-specific clienteles, “Big 5 auditorsreport
more
conservatively
for
larger clients.”Further,Ferguson et al.(2003)and Francis et al.(2005)find that city-specific, office-level industry leadership, when combined with the national-level leadership, generates the highest audit fee premiums and thus, by inference, higher auditquality in the Australian and U.S.audit markets, respectively, while national-level industry lead-ership alone has no effect.Subsequently, Francis et al.(2006)document that client earningsquality proxied by abnormal accruals is higher when auditors are city-level industry leaders alone,or they are both city-level and national-level industry leaders.Put differently, their results indicatethat national-level industry leadership alone has no significant impact on audit quality.Morerecently, Choi et al.(2007)show that the geographical proximity of the city-based engagementoffice to clients’ headquarters is positively associated with the accrual quality of clients, suggest-ing that the geographical location of the auditor’s office is an important engagement-specificdeterminant of audit quality.The above findings, taken together, suggest that city-based, office-level characteristics may play an important role in determining audit quality and thus audit pricing.It should be pointed out, however, that none of these studies has paid attention to the question ofwhether the size of a local engagement office is systematically associated with audit quality andfees paid to auditors.To bridge this gap in our knowledge, we investigate a hitherto under-researched question ofwhether, and how, the size of a local engagement office hereafter, office sizeis associated withaudit quality and audit pricing.We first hypothesize that office size is systematically associatedwith audit quality even after controlling for audit firm size at the national level and auditorindustry expertise at the office level.As will be further elaborated in the next section, one would observe a positive association if the audits by large offices are of higher quality than the audits bysmall offices.Second, we also examine the association between the office size and audit fees.Previous research shows that audit quality is priced in the market(Choi et al.2008;Craswell et al.1995;Ferguson et al.2003;Francis et al.2005).To the extent that the office size is positivelyassociated with audit quality, one can predict that the larger is the office size, the higher is theaudit quality, and thus the greater is the audit fee.Therefore, a positive association between theoffice size and audit fees could be viewed as evidence corroborating the positive associationbetween the office size and audit quality.In testing our hypotheses, we assert that biased earnings reporting can be used to drawinferences about audit quality, and we use the magnitude of abnormal accruals as a proxy for auditquality.To measure abnormal accruals, we rely on two alternative models developed by Ball andShivakumar(2006)and Kothari et al.(2005).In addition, we estimate the size of a local engage-ment office using the Audit Analytics database, which provides the identity of audit engagementoffices for all SEC registrant clients.We measure office size in two different ways: one based onthe number of audit clients in each office, and the other based on a total of audit fees earned byeach office.Briefly, our results reveal that in the U.S.audit market, both audit quality and audit fees arepositively associated with office size after controlling for audit firm size at the national levelproxied by a Big 4 dummy variable , industry leadership at the local office level proxied by anindustry specialist dummy variable), and other relevant factors.These results are robust to abattery of sensitivity checks we perform.Our study contributes to the existing literature in several ways.First, our paper is one of fewstudies which document that audit quality is not homogeneous across local offices within an auditfirm.To our knowledge, our paper is one of the first studies that provide direct evidence that thesize of an
audit
engagement
office
is
an
important engagement-specific determinant of auditquality in the U.S.The results of our study suggest that future research on audit quality differentiation needs to pay more attention to office-level auditor behavior as the unit of analysis and tothe size of a local engagement office.Second, this paper is the first to consider office size as acritical factor in audit pricing.Given that no previous research has examined whether audit feesare influenced by the size of a local office, our evidence helps us better understand the nature ofauditor-client relationships in the context of audit pricing.Finally, the findings in this study provide both regulators and practitioners with useful insightsinto what determines audit quality and thus audit fees.Our results suggest that regulators wouldhave a better assessment of audit quality if they shift the level of quality comparison to smallversus large auditors at the office level, and away from Big 4 versus non-Big 4 auditors at thenational level.Economic theory on quality premiums claims that producing goods and services ofa uniform quality for various markets and consumers over time is crucial for maintaining qualitypremiums(e.g., Klein and Leffler 1981;Kreps and Wilson 1982;Shapiro 1983).Similarly, ourevidence suggests that large, Big 4 auditors should take care to maintain a similar level of auditquality across offices of different sizes because a systematically poor-quality audit service per-formed by a local office could potentially cause damage to the reputation for the entire audit firm.HYPOTHESIS DEVELOPMENT Office Size and Audit Quality A growing body of audit research emphasizes the importance of analyzing the behavior ofauditors in city-based, local engagement offices.However, none of these studies has paid atten-tion to the size of a local office in the context of audit quality.Why does the office size matter inaudit quality over and beyond two well-known audit firm characteristics, i.e., audit firm size orbrand name(Big 4 versus non-Big 4)and industry expertise? In DeAngelo’s(1981b)framework, an auditor’s incentive to compromise audit quality withrespect to a particular client depends on the economic importance of the client relative to theauditor’s client portfolio.Her analysis indicates that large auditors are likely to provide higher-quality audit services to a particular client than small auditors because an auditor’s economicdependence on that client is negligible for large auditors, and large auditors have more to lose(i.e.,bear higher reputation loss)in case of audit failures, compared with small auditors.DeAngelo’s(1981b)theory can also be applied to the analysis of audit quality differentiationbetween large versus small offices, because a local engagement office can be viewed as a semi-autonomous unit in terms of its audit decisions, client base, revenue sources, and other factors(Francis 2004;Francis et al.2006;Wallman 1996).Large local offices are less likely to depend ona particular client than small local offices because the former have deeper office-level clientelesand thus are less economically dependent on a particular client.In other words, large offices areless likely to acquiesce to client pressure for substandard reporting than small offices.Further, local offices, whether small or large, may not bear the full amount of reputationlosses associated with an audit failure because a substantial portion of the reputation losses arelikely borne by the national-level audit firm itself.While the reputation losses in the event of auditfailures are likely to be greater for large audit firms(DeAngelo1981b), the losses are not necessarily greater for large local offices than for small local offices, because these costs are morefirm-wide in nature rather than office-specific.This means that local offices may be more concerned with the economic importance of a particular client than a potential litigation risk fromaudit failures, in particular, when the offices are small in size.The above arguments lead us topredict that large local offices with relatively deep local clienteles are less likely to compromise audit quality with respect to a particular client, and thus that they are likely to provide higher-quality audit services, ceteris paribus, compared with small local offices with relatively thin localclienteles.In such a case, one would observe a positive association between office size and auditquality.We call this prediction the economic dependence perspective.SUMMARY AND CONCLUDING REMARKS While previous auditing research has examined whether and how audit fees and audit qualityare influenced by audit firm size at the national level and auditor industry leadership at both thenational level and the city level, this line of research has paid little attention to the effect of thesize of a local engagement office within an audit firm(i.e., office size)in the context of auditquality and audit pricing.Unlike previous research, the focus of this paper is on whether the officesize is an additional, engagement-specific factor determining audit quality and audit pricing overand beyond national-level audit firm size and office-level industry leadership.Our results can besummarized as follows.First, we find that the office size is positively associated with audit quality proxied by un-signed abnormal accruals.Our finding is consistent with what we call the economic dependenceperspective: large(small)local offices with deep office-level clienteles are less(more)likely to depend on a particular client, and thus are better(less)able to resist client pressure on substandardor biased reporting.Second, we find that large local offices are able to charge higher audit fees totheir clients than small ones, which is consistent with the view that large offices provide higher-quality audits than small offices, and this quality differential is priced as a fee premium in themarket for audit services.However, the above finding is at odds with the view that large officeshave a cost advantage in producing audit services of similar quality and thus are able to chargelower billing rates compared with small offices.Taken together, our results highlight that officesize is one of the most important engagement-specific determinants of audit quality and auditpricing.Last, while we use two alternative, advanced accrual models to alleviate a concern overthe limitations inherent in the Jones(1991)model estimates of abnormal accruals, our measures ofaudit quality, namely unsigned abnormal accruals, may suffer from nontrivial measurement errors.We therefore cannot completely rule out the possibility that the estimated coefficients on our testvariables are biased.However, given that a contemporaneous study of Francis and Yu(2009)documents the same positive association between audit quality and audit office size using twoadditional proxies for audit quality, i.e., auditors’ tendency to issue going-concern opinion andclient firms’ likelihood to meet earnings benchmarks, we believe that our results are unlikelydriven by possible measurement errors.Overall, our results suggest that both regulators and audit firms should pay more attention tothe behavior of small offices because they are more likely to be economically dependent on aparticular client, and thus to compromise audit quality.In particular, Big 4 audit firms may need toimplement strategies for providing a more homogenous level of audit services across offices ofdifferent sizes because a poor-quality audit by a small office could significantly damage thereputation of the entire firm.In today’s global business environment, the issue of maintaining“uniform quality” should be an even more important concern to reputable auditors because theirbusiness becomes increasingly internationalized in terms of locations and client profiles.Forexample, it may be more difficult for Big 4 audit firms to maintain uniform quality of service atthe office level across different jurisdictions around the world.Further, local offices in differentjurisdictions(e.g., European Union and China)have their own client bases and are likely to bemore autonomous in making audit-related decisions than those within the U.S.It is thereforepossible that the size of a local practicing office plays a more significant role in determining thequality of audit services in other non-U.S.jurisdictions than in the U.S.Given the scarcity ofinternational evidence regarding the effect of audit office size on audit quality and audit pricing,we recommend further research on the issue using international samples from different jurisdic-tions.審計辦事處規模,審計質量與審計定價
Jong-Hag Choi, Chansog(Francis)Kim, Jeong-Bon Kim, and YoonseokZang 摘要:此論文使用2000-2005年間對美國審計事務所大量取樣的所得數據,以此調查審計事務所中當地辦事處規模大小對審計質量和審計價格。實證檢驗中,審計質量是由異常應計來衡量的,辦事處規模則有兩種衡量方法:一個是基于每個辦事處的審計客戶數量,另一個是基于每個辦事處掙得的審計費用總額。調查結果顯示,辦事處規模大小對審計質量與審計費用都有著明顯的正相關關系,即使控制了國家級審計公司的規模以及辦公水平行業,結果也是如此。這正相關關系印證了規模大的本土辦事處相對規模小的辦事處來說,能過提供更高質量的審計。質量上的差異在審計市場中有價碼的差別。關鍵字:審計事務所,辦事處規模,審計質量,審計定價 數據可用性:數據皆為公開可用,論文中有指明數據來源。
當我們把對事務所整體的分析轉變為對特定的城市中的辦事處的分析時,我們對審計事務所的看法同時也有了劇烈的變化。根據迪安哥羅在1981年的論證,當分析辦事處規模時,四大會計師事務時也就沒有那么大了。舉例來說,如果安然公司代表安達信會計事務所上市客戶小于2%的收入,那他代表的就是休斯敦辦事處大于35%的利潤。
簡介
正如前文所說,相對于國家級辦事處來說,市級審計辦事處的規模對審計質量有著更為重要的決定作用。因為市級辦事處是半自治的單位,在審計公司中有他專屬的客戶群。真正管理和執行審計委托合同(包括審計服務的交付和審核意見的發表)的并不是全國總部,而是辦事處合作伙伴。就這點而言,威廉與弗蘭西斯提出觀點,審計獨立性的評估需要更多地關注辦事處的程度而不是整體公司的程度。因為特定客戶的大多數的審計決定都是由單獨的辦事處制定的。由安達信會計師事務所休斯敦辦事處所審計的安然集團的倒閉便是一個很好的例子,證明辦事處級別的審計質量的重要性之高。然而,現在許多審計研究都把焦點集中于國家級審計公司的特點,認為兩個審計質量基本的決定性因素是審計公司規模和審計行業領導。
研究發現,一般而言,擁有國際知名商標的大審計公司(比如四大)或是有行業專長的公司比非有名及缺乏行業專長的小公司擁有更高質量的審計服務。這個研究隱含的假設是同一公司在不同城市的不同規模的辦事處的審計質量是平均的。因此,我們幾乎沒有收集到不同辦事處的審計質量的差別,特別是本土辦事處的規模是否影響到審計質量或是審計定價。所以有一個問題:辦事處規模是不是決定審計質量的另一個因素因此審計定價比審計公司規模和行業領先地位的高。我們只在為這個還沒解決的問題提供直接的證據。最近有幾項研究都提供直接證據證明同一公司的不同辦事處的審計質量有所不同。例如,最初美國的雷諾和弗朗西斯使用單獨的辦事處作為研究的單位,他們發現當用具體辦事處的客戶來衡量客戶規模時,“五大審計師對大客戶更為謹慎。”此外,弗格森和弗朗西斯等發現,在澳大利亞和美國審計市場中,當市級行業領先水平與國家級領先水平聯合時,審計收費是最高的。而單獨國家級行業領先水平則沒有這樣的效果。隨后,弗朗西斯等證實如果審計師是市級行業領導者或同時為國家級與市級領導水平時,非正常應計所代理的客戶收益相對較高。換句話說,研究結果表明單獨的國家級領先水平對審計質量沒有特別顯著的影響。最近,崔等人指出辦事處與總部的地理集中程度和客戶的應計質量成正相關,說明審計辦事處的地理位置對審計質量是有決定性影響的。整合以上的發現,說明本地辦事處規模對審計質量以及審計定價的決定起很重要的作用。這里需要指出的是,盡管如此,卻沒有研究者關注過本地辦事處的規模是否與審計質量以及審計收費有系統性聯系這個問題。
為了填補這一知識空缺,我們決定調查這個迄今還未被研究過的問題,即辦事處規模是否與審計質量和定價有關系以及如何聯系。首先我們假設辦事處規模與審計質量有系統性關聯,即使控制了國家標準的審計公司規模和行業專長這兩個變量。如果大公司的審計質量比小公司高,則說明是正相關關聯,這我們在下文會做進一步闡述。接著,我們還檢驗了辦事處規模與審計定價之間的關系。之前有研究指出審計質量在市場上被標價。辦事處規模與審計質量正相關,以此來看,我們可以推測,辦事處規模越大,審計質量越高,因此審計費用也會越多。所以,我們可以由辦事處規模和審計定價的正相關關系推出辦事處規模和審計質量的正相關關系。
為了檢驗之前的假設,我們用有偏向性的收益報告來作關于審計質量的推論,另外我們用非正常應計的級數來代表審計質量。衡量非正常應計時,我們使用由保爾和庫瑪和科薩里等人開發的兩個備擇模型。此外,我們用審計分析數據庫來估量本地辦事處的規模,此數據庫為美國證券交易委員會注冊的客戶提供審計辦事處的身份認證。
衡量辦事處規模大小的方法有多種,一種是基于每個辦事處的審計客戶數量,另一種是基于每個辦事處所掙得的審計費用。
簡單來說,研究結果指出在美國的審計市場,(控制審計公司規模為國家標準,行業領先水準為國家標準以及其他相關因素)審計質量和審計費用都與辦事處規模呈正相關。這樣的結果與我們所做的一連串靈敏度測試一致。
我們的研究完善了現存的文獻,體現在幾方面。第一,該論文論證了同一審計公司的不同辦事處的審計質量并不是相同的。就我們所知,在美國,我們的論文是最先有直接證據證明審計辦事處的規模是決定審計質量的重要因素。研究結果指出,今后有關審計質量差異的研究應多關注辦事處審計師行為以及本地辦事處的規模。其次,本文最先提出辦事處規模是影響審計定價的關鍵因素。先前從未有研究驗證審計費用是否被本地辦事處規模所影響,我們的證據可以讓人們更好地了解在審計定價下審計師與客戶的關系。
最后,該研究結果為調查者和從業者提供了實用的關于審計質量和審計定價的見解。我們的研究結果建議調查者如果把質量等級比較改為大小公司審計員之分的比較,則該有一個更好的對于審計質量的評估。質量溢價的經濟理論要求為不同的市場提供統一質量的產品和服務,消費者始終是維持質量溢價的關鍵。同樣的,我們的證據顯示,四大會計師行應該在不同規模的辦事處維持相近水準的審計質量,因為一個當地辦事處所犯的系統性低質量的服務錯誤能導致整個審計公司的名譽損失。
假說發展
越來越多的審計調查強調在本地公司或當地辦事處工作的審計師的分析行為的重要性。但是,卻沒有一份調查是關注當地辦事處規模大小背景下的審計質量。為什么公司規模對審計質量的影響超過另外兩種著名審計公司的特征,也就是審計公司的品牌(四大和非四大)和工業的專門技能。
在迪安哥拉的體系中,一個審計師的動機對于審計質量的妥協是關于個別客戶的經濟意義決定并且和審計師的客戶的投資組合有關。他的分析指出高級審計師比低級審計師更傾向于提供更高質量的審計服務給個別客戶。因為對于審計師來說,他的經濟觀受客戶的影響是可以忽略不計的,還有相比于低級審計師來說,高級審計師有更多可以去輸(比方說,承受更高榮譽的損失)以防審計失誤。迪安哥拉的理論還可以應用于造成大公司和小公司之間的審計質量的不同。因為當地的審計公司根據它的審計決定,客戶群,收入來源還有其它事實可以看做是一個半自治的聯盟。大的審計公司相對于小的審計公司來說更沒可能依靠某些個別的客戶因為前者有更為廣泛的客戶源,因此在經濟上依賴個別客戶的可能性更小。換言之,大公司更不可能像小公司一樣在個別客戶的施壓下默認一些不符合標準的報告。
更進一步的說,本地審計公司,不管是大的還是小的,都不想因為審計失誤而承受全部名譽的損失因為對于國家級別的公司來說它們只是更可能只是損失了一部分的名譽。萬一因為審計失誤發生榮譽損失,對于大公司來說更容易承受,這樣的損失對大公司來說更好承擔一些。因為這些代價對于特定的某些公司和一些大公司來說是不一樣的。特別來說,這就意味著當地公司的規模比較小的時候會更多的考慮個別客戶的經濟的重要性而不是潛在可能造成官司的審計失誤。上面的討論可以讓我們預測,在其它條件相同時,相對于客源小的公司,有一定的大范圍的客戶的大審計公司是更不可能對某些個別的客戶在審計質量上由于尊重而妥協。因此他們更可能提供高水準的審計服務。在這種情況下,客戶會對公司規模大小和審計質量產生樂觀的聯系。我們把這稱之為經濟信賴觀點。
總結與評注
前面所述調研主要研究國家級審計辦事處規模和市級或國家級的審計行業趨勢是否對審計費用和審計質量造成影響,以及如何影響。此處聲明,在審計質量和審計費用一定的情況下,此研究不考慮審計公司內部審計部門的影響。此論文主要探究辦事處規模是否是除國家級審計公司規模和公司級審計行業標準外,影響審計質量和審計費用的一個額外的、有條件的因素。
首先,我們發現辦事處的規模大小是與審計質量正相關,表現為無符號的異常收益。這個結果于我們所說的經濟意義相一致;擁有忠實的公司級客戶群的高級(或低級)辦事處很少依賴于個別幾個客戶,因此,這些辦事處就很少因為客戶施壓而虛假上報。其次,我們發現當地的高級辦事處收費比小型的辦事處要高。這也是和我們發現的高級辦事處的審計質量普遍要高于小型辦事處的結論,同時這種高質量的服務在市場上是作為審計溢價計算的。但是,以上結論卻于另一種理論相矛盾。該理論認為大型辦事處的優勢在于提供與小型辦事處相似的服務卻有更高的收費,因而計費費率也較低。總而言之,我們的結論強調辦事處規模是影響審計質量和審計費用的其中一個重要因素。最后一點,當我們使用這兩種可互換的先進模型來減少在瓊斯模型中對不正常收益的估計缺陷時,我們可能犯了一些很重要的計算錯誤。因此,我們無法排除在測試中所估算出的系數有偏差的可能性。但是,在根據Francis 和Yu的論述:審計質量和審計辦事處規模成正相關,也就是說,審計師將越來越關注這兩者的關系同時客戶公司也將從中獲取不少好處。我們自信這個結論沒有任何破綻。
總的來說,我們的結論是:鑒于個別客戶對小型審計辦事處來說,經濟意義更大,通常這類公司會更加注重審計質量。因此,審計監察部門和審計公司應該多加關注小型辦事處的相關做法,從而提高自身的審計質量。特別是四大會計師事務所在處理相似的審計服務時,更應該實施跨規模的措施,因為任何一個審計部門的審計失誤都將使公司名聲掃地。在全球化的今天,各大跨國公司遍布全球各地,擁有國際化的客戶,保障“始終如一的高質服務”是所有跨國公司的高級審計師越來越關注的問題。例如,由于各會計事務所所在國家或地區的不同,所需遵循的司法體系也有很大不同,如何在這樣的環境中“保持始終如一的高質服務”對四大會計師事務所來說無疑是一種挑戰。再者,處于不同司法體系下的事務所又擁有不同的客戶群,這些事務所在制定審計方法方面需要比在美國當地的分公司有更大的自主權。因此,當地事務所對審計質量的影響可能要比在美國相同規模的事務所大。鑒于,國際上很少有人論證審計辦事處規模對審計質量和審計費用的影響,我們希望大家能從這個角度共同來探究不同體系下的國際案例。
第四篇:計算機網絡安全畢業論文
計算機網絡安全畢業論文
課題名稱:計算機網絡安全 姓名:呂金亮 班級:1031網絡 專業:計算機應用 指導教師: 完成日期:
摘要:
21世紀的一些重要特征就是數字化,網絡化和信息化,它是一個以網絡為核心的信息時代。隨著計算機互聯網技術的飛速發展,網絡信息已經成為社會發展的重要組成部分。它涉及到政府、經濟、文化、軍事等諸多領域。由于計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征,致使網絡信息容易受到來自黑客竊取、計算機系統容易受惡意軟件攻擊,因此,網絡信息資源的安全及管理維護成為當今信息話時代的一個重要話題。
文中首先論述了信息網絡安全內涵發生的根本變化,闡述了我國發展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性,以及網絡面臨的安全性威脅(黑客入侵)及管理維護(防火墻安全技術)。進一步闡述了網絡拓撲結構的安全設計,包括對網絡拓撲結構的分析和對網絡安全的淺析。然后具體講述了網絡防火墻安全技術的分類及其主要技術特征,防火墻部署原則,并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法做了簡要的分析,論述了其安全體系的構成。
關鍵詞:信息安全 網絡 防火墻 數據加密
目錄
首頁........................................................................1 目錄........................................................................3 第一章 引言 1.1 概述.................................................................4 1.2 1.3 網絡安全技術的研究目的 意義和背景....................................4 計算機網絡安全的含義.................................................5 第二章 網絡安全初步分析 2.1 網絡安全的必要性.....................................................6 2.2 網絡的安全管理.......................................................6 2.2.1安全管理原則.................................................6 2.2.2安全管理的實現.................................................7 2.3 采用先進的技術和產品
2.3.1 防火墻技術....................................................7 2.3.2 數據加密技術..................................................7 2.3.3 認證技術......................................................7 2.3.4 計算機病毒的防范..............................................7 2.4 常見的網絡攻擊及防范對策...............................................8 2.4.1 特洛伊木馬....................................................8 2.4.4 淹沒攻擊......................................................8 第三章 網絡攻擊分析及特點........................................................9 第四章 網絡安全面臨的威脅 3.1自然災害 3.2網絡軟件漏洞 3.3黑客的威脅和攻擊 3.4計算機病毒
3.5垃圾郵件和間諜軟件 3.6計算機犯罪
第4章 計算機網絡安全防范策略
4.1 防火墻技術
4.1.1 防火墻的主要功能 4.1.2 防火墻的主要優點 4.1.3 防火墻的主要缺陷 4.1.4 防火墻的分類 4.1.5 防火墻的部署 4.2 數據加密技術 4.3 系統容災技術 4.4 入侵檢測技術
4.4.1 入侵檢測系統的分類 4.4.2 目前入侵檢測系統的缺陷
4.4.3 防火墻與入侵檢測系統的相互聯動 4.4.4 結語 4.5 漏洞掃描技術
4.6 物理安全
第四章 網絡安全技術
4.1 防火墻的定義和選擇......................................................12 4.2 加密技術................................................................12 4.2.1 對稱加密技術.....................................................12 4.2.2 非對稱加密/公開密鑰加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注冊與認證管理...........................................................13 4.3.1 認證機構...........................................................13 4.3.2 注冊機構..........................................................13 4.3.3 密鑰備份和恢復....................................................13 第五章 安全技術的研究
5.1 安全技術的研究現狀和方向................................................14 5.1.1 包過濾型..........................................................14 5.1.2 代理型............................................................14
結束語.....................................................................15 參 考 文 獻
第一章 引言
1.1 概述
我們知道, 21世紀的一些重要特征就是數字化,網絡化和信息化,它是一個以網絡為核心的信息時代。要實現信息化就必須依靠完善的網絡,因為網絡可以非常迅速的傳遞信息。因此網絡現在已成為信息社會的命脈和發展知識經濟的基礎。
隨著計算機網絡的發展,網絡中的安全問題也日趨嚴重。當網絡的用戶來自社會各個階層與部門時,大量在網絡中存儲和傳輸的數據就需要保護。當人類步入21世紀這一信息社會、網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國特色的網絡安全體系。
一個國家的安全體系實際上包括國家的法律和政策,以及技術與市場的發展平臺。我國在構建信息信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展名族的安全產業,帶動我國網絡安全技術的整體提高。
網絡安全產品有以下幾個特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷的變化;第三,隨著網絡在社會各個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合開發。安全與反安全就像矛盾的兩個方面,總是不斷的向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題,對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來數字化、網絡化、信息化的發展將起到非常重要的作用。
1.2 網絡安全技術的研究目的、意義和背景
目前計算機網絡面臨著很大的威脅,其構成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網絡安全已被信息社會的各個領域所重視。
隨著計算機絡的不斷發展,全球信息化已成為人類發展的大趨勢;給政府機構、企事業單位帶來了革命性的改革。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統、銀行和政府等傳輸銘感數據的計算機網絡系統而言,其網上信息的安全性和保密性尤為重要。因此,上述的網絡必須要有足夠強的安全措施,否則該網絡將是個無用、甚至會危機國家安全的網絡。無論是在局域網中還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性,故此,網絡的安全措施應是能全方位的針對各種不同的威脅和網絡的脆弱性,這樣才能確保網絡信息的保密性、完整性、和可行。為了確保信息安的安全與暢通,研究計算機網絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網絡安全的管理及技術措施。
認真分析網絡面臨的威脅,我認為計算機網絡系統的安全防范工作是一個極為復雜的系統工程,是一個安全管理和技術防范相結合的工程。在目前法律法規尚不完善的情況下,首先是各計算機網絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執行各項安全制度,在此基礎上,再采用現金的技術和產品,構造全防衛的防御機制,使系統在理想的狀態下運行。
1.3 計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者的不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的災害,軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件極其在網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。
第二章 網絡安全初步分析
2.1 網絡安全的必要性
隨著計算機技術的不斷發展,計算機網絡已經成為信息時代的重要特征。人們稱它為信息高速公路。網絡是計算機技術和通信技術的產物,適應社會對信息共享和信息傳遞的要求發展起來的,各國都在建設自己的信息高速公路。我國近年來計算機網絡發展的速度也很快,在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里,計算機網絡一定會得到極大的發展,那時將全面進入信息時代。正因為網絡應用的如此廣泛,又在生活中扮演很重要的角色,所以其安全性是不容忽視的。
2.2 網絡的安全管理
面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡安全的安全管理,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網絡安全所必須考慮的基本問題。
2.2.1安全管理原則
網絡信息系統的安全管理主要基于3個原則: ① 多人負責原則
每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統主管領導指派的,他們忠誠可靠,能勝任此項工作;他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有:訪問控制使用證件的發放與回收,信息處理系統使用的媒介發放與回收,處理保密信息,硬件與軟件的維護,系統軟件的設計、實現和修改,重要數據的刪除和銷毀等。
② 任期有限原則
一般來講,任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期的循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使任期有限制度切實可行。③ 職責分離原則
除非經系統主管領導批準,在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情。出于對安全的考慮,下面每組內的兩項信息處理工作應當分開:計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統管理、應用程序和系統程序的編制、訪問證件的管理與其他工作、計算機操作與信息處理系統使用媒介的保管等。
2.2.2 安全管理的實現
信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制定相應的管理制度或采用相應的規范。具體工作是:
①
根據工作的重要程度,確定該系統的安全等級。
②
根據確定的安全等級,確定安全管理范圍。
③
制定相應的機房出入管理制度,對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別系統,采用此卡、身份卡等手段,對人員進行識別,登記管理。
2.3 采用先進的技術和產品
要保證計算機網絡安全的安全性,還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。
2.3.1 防火墻技術
為保證網絡安全,防止外部網對內部網的非法入侵,在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統,該系統可以設定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。它可以監測、限制、更改跨越防火墻的數據流,確認其來源及去處,檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據。其主要有:應用層網關、數據包過濾、代理服務器等幾大類型。
2.3.2 數據加密技術
與防火墻配合使用的安全技術還有數據加密技術,是為了提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要技術手段之一。隨著信息技術的發展,網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數據加密技術和物理防范技術的不斷發展。按作用的不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
2.3.3 認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發送者或接受者的身份。認證的主要目的有兩個:第一,驗證信息的發送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被篡改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數字簽名。
2.3.4 計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
① 較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種,在各種操作系統中包括Windows、UNIX 和 Netware 系統都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統環境下的病毒,具有查殺、殺毒范圍廣、能力強的特點。
② 完善的升級服務。與其他軟件相比,防病毒軟件更需要不斷的更新升級,以查殺層出不窮的計算機病毒。
2.4 常見的網絡攻擊和防范對策
2.4.1 特洛伊木馬
特洛伊木馬是夾帶在執行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼,因此含有特洛伊木馬的程序在執行時,表面上是執行正常的程序,而實際上是在執行用戶不希望的程序。特洛伊木馬的程序包括兩部分,即實現攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力,在網絡中當人們執行一個含有特洛伊木馬的程序時,它能把自己插入一些未被感染的過程中,從而使它們受到感染。此類攻擊對計算機的危害極大,通過特洛伊木馬,網絡攻擊者可以讀寫未經授權的文件,甚至可以獲得對被攻擊的計算機的控制權。
防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時,對每一個文件進行數字簽名,而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執行,運用網絡掃描軟件定期監視內部主機上的監聽TCP服務。2.4.2 郵件炸彈
郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同以地址發送電子郵件,攻擊者能夠耗盡接受者網絡的帶寬,占據郵箱的空間,使用戶的存儲空間消耗殆盡,從而阻止用戶對正常郵件的接收,妨礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。
防止郵件炸彈的方法主要有通過配置路由器,有選擇地接收電子郵件,對郵件地址進行配置,自動刪除來自同一主機的過量或重復消息,也可以使自己的SMTP連接只能達成指定的服務器,從而免受外界郵件的侵襲。
2.4.3 過載攻擊
過載攻擊是攻擊者通過服務器長時間發出大量無用的請求,使被攻擊的服務器一直處于繁忙的狀態,從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊,它是通過大量地進行人為的增大CPU的工作量,耗費CPU的工作時間,使其它的用戶一直處于等待狀態。
防止過載攻擊的方法有:限制單個用戶所擁有的最大進程數;殺死一些耗時的進程。然而,不幸的是這兩種方法都存在著一定的負面效應。通過對單個用戶所擁有的最大進程數的限制和耗時進程的刪除,會使用戶某些正常的請求得不到系統的響應,從而出現類似拒絕服務的現象。通常,管理員可以使用網絡監視工具來發現這種攻擊,通過主機列表和網絡地址列表來的所在,也可以登錄防火墻或路由器來發現攻擊究竟是來自于網絡內部還是網絡外部。另外,還可以讓系統自動檢查是否過載或者重新啟動系統。2.4.4 淹沒攻擊
正常情況下,TCP連接建立要經過3次握手的過程,即客戶機向客戶機發送SYN請求信號;目標主機收到請求信號后向客戶機發送SYN/ACK消息;客戶機收到SYN/ACK消息后再向主機發送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址,向被攻擊主機發出SYN請求信號,當被攻擊主機收到SYN請求信號后,它向這臺不存在IP地址的偽裝主機發出SYN/消息。由于此時的主機IP不存在或當時沒有被使用所以無法向主機發送RST,因此,造成被攻擊的主機一直處于等待狀態,直至超時。如果攻擊者不斷的向被攻擊的主機發送SYN請求,被攻擊主機就一直處于等待狀態,從而無法響應其他用戶請求。
對付淹沒攻擊的最好方法就是實時監控系統處于SYN-RECEIVED狀態的連接數,當連接數超過某一給定的數值時,實時關閉這些連接。
第三章 網絡攻擊分析及特點
攻擊是指非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網絡上成功實施的攻擊級別以來于擁護采取的安全措施。
在此先分析下比較流行的攻擊Dodos分布式拒絕服務攻擊:Does是Denial of Service的簡稱,即拒絕服務,造成Does的攻擊行為被稱為Does攻擊,其目的是使計算機或網絡無法提供正常的服務。最常見的Does攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡,使得所有可用網絡資源都被消耗殆盡,最后導致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。而分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊是借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在 Internet 上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。而且現在沒有有限的方法來避免這樣的攻擊。
因為此攻擊基于TCP/IP 協議的漏洞,要想避免除非不使用此協議,顯然這是很難做到的那我們要如何放置呢?
1.確保所有服務器采用最新系統,并打上安全補丁。計算機緊急響應協調中心發現,幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。
2.確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統在 運行什么? 誰在使用主機? 哪些人可以訪問主機? 不然,即使黑客侵犯了系統,也很難查明。
3.確保從服務器相應的目錄或文件數據庫中刪除未使用的服務如FTP或NFS.等守護程序存在一些已知的漏洞,黑客通過根攻擊就能獲得訪問特權系統的權限,并能訪問其他系統—甚至是受防火墻保護的系統。
4.確保運行在 Unix上的所有服務都有TCP封裝程序,限制對主機的訪問權。5.禁止內部網通過Modem連接至PSTN 系統。否則,黑客能通過電話線發現未受保護的主機,即刻就能訪問極為機密的數據。
6.禁止使用網絡訪問程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳遞口令,而Telnet和 Rlogin 則正好相反,黑客能搜尋到這些口令,從而立即訪問網絡上的重要服務器。此外,在Unix上應該將.rhost 和 hosts.equiv 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!7.限制在防火墻外與網絡文件共享。這會使黑客有機會截獲系統文件,并以特洛伊木馬替換他,文件傳輸功能無異將陷入癱瘓。
8.確保手頭上有一張最新的網絡拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網絡設備,還應該包括網絡邊界、非軍事區(DMZ)及網絡的內部保密部分。
9.在防火墻上運行端口映射程序或端口掃描程序。大多數時間是由于防火墻配置不當造成的,使DoS/ DDoS攻擊成功率很高,所以一定要認真檢查特權端口和非特權端口。
10.檢查所有網絡設備和主機/服務器系統的日志。只要日志出現紕漏或時間出現變更,幾乎可以坑定:相關的主機安全收到了威脅。
計算機網絡的攻擊特
1.損失巨大
由于攻擊和入侵的對象是網絡上的計算機,因此攻擊一旦成功,就會使網絡中的計算機處于癱瘓狀態,從而給計算機用戶造成巨大的經濟損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均每起計算機犯罪案件所成的經濟損失是一般案件的幾十到幾百倍。
2.威脅社會和國家安全
一些計算機網絡攻擊者出于各種目的經常把政府部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。
3.手段多樣與手法隱蔽
計算機攻擊的手段可以說五花八門:網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息,又可以通過截取別人的帳號和口令進入別人的計算機系統,還可以通過一些特殊的方法繞過人們精心設計的防火墻,等等。這些過程都可以在很短的時間內通過計算機完成,因而犯罪不留痕跡,隱蔽性很強。
4.以軟件攻擊為主
幾乎所有的網絡入侵都是通過對軟件的截取和攻擊進而破壞整個計算機系統的。因此,計算機犯罪具有隱蔽性,這要求人們對計算機的各種軟件(包括計算機通信過程中的信息流)進行嚴格的保護。
第3章 計算機網絡安全面臨的威脅
3.1自然災害
計算機信息系統僅僅是一個智能的機器,易受自然災害及環境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄露或干擾等措施,接地系統也疏于周到考慮,抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數據丟失的現象時有發生。由于噪音和電磁輻射,導致網絡信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。
3.2網絡軟件漏洞
網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設想。
3.3黑客的威脅和攻擊
這是計算機網絡所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行,并不盜竊系統資料,通常采用拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、www的欺騙技術和尋找系統漏洞等。
3.4計算機病毒
20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進入到系統中進行擴散。計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。
3.6計算機犯罪
計算機犯罪,通常是利用竊取口令等手段非法侵入計算機信息系統,傳播有害信息,惡意破壞計算機系統,實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網絡環境中,大量信息在網上流動,這為不法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息。
4.1 防火墻技術
網絡安全所說的防火墻(Fire Wall)是指內部網和外部網之間的安全防范系統。它使得內部網絡與因特網之間或與其它外部網絡之間互相隔離、限制網絡互訪,用來保護內部網絡。防火墻通常安裝在內部網與外部網的連接點上。所有來自Internet(外部網)的傳輸信息或從內部網發出的信息都必須穿過防火墻。
4.1.1 防火墻的主要功能 防火墻的主要功能包括:
1、防火墻可以對流經它的網絡通信進行掃描,從而過濾掉一些攻擊,以免其在目標計算機上被執行。
2、防火墻可以關閉不使用的端口,而且它還能禁止特定端口的輸出信息。
3、防火墻可以禁止來自特殊站點的訪問,從而可以防止來自不明入侵者的所有通信,過濾掉不安全的服務和控制非法用戶對網絡的訪問。
4、防火墻可以控制網絡內部人員對Internet上特殊站點的訪問。
5、防火墻提供了監視Internet安全和預警的方便端點
4.1.2 防火墻的主要優點
防火墻的主要優點包括:
1、可作為網絡安全策略的焦點
防火墻可作為網絡通信的阻塞點。所有進出網絡的信息都必須通過防火墻。防火墻將受信任的專用網與不受信任的公用網隔離開來,將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統的一臺或幾臺主機上。從而在結構上形成了一個控制中心,極大地加強了網絡安全,并簡化了網絡管理。
2、可以有效記錄網絡活動
由于防火墻處于內網與外網之間,即所有傳輸的信息都會穿過防火墻。所以,防火墻很適合收集和記錄關于系統和網絡使用的多種信息,提供監視、管理與審計網絡的使用和預警功能。
3、為解決IP地址危機提供了可行方案 由于Internet的日益發展及IP地址空間有限,使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設置網絡地址轉換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。
4、防火墻能夠強化安全策略
因為網絡上每天都有上百萬人在收集信息、交換信息,不可避免地會出現個別品德不良,或違反規則的人,防火墻就是為了防止不良現象發生的“交通警察”,它執行站點的安全策略,僅僅容許“認可的”和符合規則的請求通過.5、防火墻能有效地記錄網絡上的活動
因為所有進出信息都必須通過防火墻,所以防火墻非常適用于收集關于系統和網絡使用和誤用的信息.作為訪問的唯一點,防火墻能在被保護的網絡和外部網絡之間進行記錄.6、防火墻限制暴露用戶點
防火墻能夠用來隔開網絡中的兩個網段,這樣就能夠防止影響一個網段的信息通過整個網絡進行傳播.7、防火墻是一個安全策略的檢查站
所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外.4.1.3 防火墻的主要缺陷
由于互聯網的開放性,防火墻也有一些弱點,使它不能完全保護網絡不受攻擊。防火墻的主要缺陷有:
1、防火墻對繞過它的攻擊行為無能為力。
2、防火墻無法防范病毒,不能防止感染了病毒的軟件或文件的傳輸,對于病毒只能安裝反病毒軟件。
3、防火墻需要有特殊的較為封閉的網絡拓撲結構來支持。網絡安全性的提高往往是以犧牲網絡服務的靈活性、多樣性和開放性為代價。
4、不能防范惡意的知情者
防火墻可以禁止系統用戶經過網絡連接發送專有的信息,但用戶可以將數據復制到磁盤、磁帶上,放在公文包中帶出去.如果入侵者已經在防火墻內部,防火墻是無能為力的.內部用戶可以偷竊數據,破壞硬件和軟件,并且巧妙地修改程序而不接近防火墻.對于來自知情者的威脅,只能要求加強內部管理,如主機安全和用戶教育等.5、不能防范不通過它的連接
防火墻能夠有效地防止通過它的傳輸信息,然而它卻不能防止不通過它而傳輸的信息.例如,如果站點允許對防火墻后面的內部系統進行撥號訪問,那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵.6、不能防備全部的威脅
防火墻被用來防備已知的威脅,如果是一個很好的防火墻設計方案,就可以防備新的威脅,但沒有一扇防火墻能自動防御所有新的威脅.7、防火墻不能防范病毒
防火墻一般不能消除網絡上的病毒.4.1.4 防火墻的分類 防火墻的實現從層次上大體可分為三類:包過濾防火墻,代理防火墻和復合型防火墻。
1、包過濾防火墻
包過濾防火墻是在IP層實現,它可以只用路由器來實現。包過濾防火墻根據報文的源IP地址,目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。
2、代理防火墻
代理防火墻也叫應用層網關防火墻,包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但它不適合單位用來控制內部人員訪問外部網絡,對于這樣的企業,應用代理防火墻是更好的選擇。
3、復合型防火墻
復合型防火墻是將數據包過濾和代理服務結合在一起使用,從而實現了網絡安全性、性能和透明度的優勢互補。
4.1.5 防火墻的部署
防火墻是網絡安全的關口設備,只有在關鍵網絡流量通過防火墻的時候,防火墻才能對此實行檢查,防護功能。
1、防火墻的位置一般是內網與外網的接合處,用來阻止來自外部網絡的入侵。
2、如果內部網絡規模較大,并且設置虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻。
3、通過公網連接的總部與各分支機構之間應該設置防火墻。
4、主干交換機至服務器區域工作組交換機的骨干鏈路上。
5、遠程撥號服務器與骨干交換機或路由器之間。
總之,在網絡拓撲上,防火墻應當處在網絡的出口與不同安全等級區域的結合處。安裝防火墻的原則是:只要有惡意侵入的可能,無論是內部網還是外部網的連接處都應安裝防火墻。
4.2 數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
4.3 系統容災技術
一個完整的網絡安全體系,只有防范和檢測措施是不夠的,還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失,一旦發生漏防漏檢事件,其后果將是災難性的。此外,天災人禍、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難,也能快速地恢復系統和數據,才能完整地保護網絡信息系統的安全。現階段主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障,不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
4.4 入侵檢測技術
入侵檢測技術是從各種各樣的系統和網絡資源中采集信息(系統運行狀態、網絡流經的信息等),并對這些信息進行分析和判斷。通過檢測網絡系統中發生的攻擊行為或異常行為,入侵檢測系統可以及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應,從而將攻擊行為帶來的破壞和影響降至最低。同時,入侵檢測系統也可用于監控分析用戶和系統的行為、審計系統配置和漏洞、識別異常行為和攻擊行為(通過異常檢測和模式匹配等技術)、對攻擊行為或異常行為進行響應、審計和跟蹤等。
典型的IDS系統模型包括4個功能部件:
1、事件產生器,提供事件記錄流的信息源。
2、事件分析器,這是發現入侵跡象的分析引擎。
3、響應單元,這是基于分析引擎的分析結果產生反應的響應部件。
4、事件數據庫,這是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
4.4.1 入侵檢測系統的分類
入侵檢測系統根據數據來源不同,可分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統。網絡型入侵檢測系統的實現方式是將某臺主機的網卡設置成混雜模式,監聽本網段內的所有數據包并進行判斷或直接在路由設備上放置入侵檢測模塊。一般來說,網絡型入侵檢測系統擔負著保護整個網絡的任務。
主機型入侵檢測系統是以系統日志、應用程序日志等作為數據源,當然也可以通過其它手段(如檢測系統調用)從所有的主機上收集信息進行分析。
入侵檢測系統根據檢測的方法不同可分為兩大類:異常和誤用。
異常入侵檢測根據用戶的異常行為或對資源的異常存放來判斷是否發生了入侵事件。
4.4.2 目前入侵檢測系統的缺陷
入侵檢測系統作為網絡安全防護的重要手段,目前的IDS還存在很多問題,有待于我們進一步完善。
1、高誤報率
誤報率主要存在于兩個方面:一方面是指正常請求誤認為入侵行為;另一方面是指對IDS用戶不關心事件的報警。導致IDS產品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。
2、缺乏主動防御功能
入侵檢測技術作為一種被動且功能有限的安全防御技術,缺乏主動防御功能。因此,需要在一代IDS產品中加入主動防御功能,才能變被動為主動。
4.4.3 防火墻與入侵檢測系統的相互聯動
防火墻是一個跨接多個物理網段的網絡安全關口設備。它可以對所有流經它的流量進行各種各樣最直接的操作處理,如無通告拒絕、ICMP拒絕、轉發通過(可轉發至任何端口)、各以報頭檢查修改、各層報文內容檢查修改、鏈路帶寬資源管理、流量統計、訪問日志、協議轉換等。當我們實現防火墻與入侵檢測系統的相互聯動后,IDS就不必為它所連接的鏈路轉發業務流量。因此,IDS可以將大部分的系統資源用于對采集報文的分析,而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作,如入侵活動報警、不同業務類別的網絡流量統計、網絡多種流量協議恢復(實時監控功能)等。IDS高智能的數據分析技術、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。
綜上所述,防火墻與IDS在功能上可以形成互補關系。這樣的組合較以前單一的動態技術或靜態技術都有了較大的提高。使網絡的防御安全能力大大提高。防火墻與IDS的相互聯動可以很好地發揮兩者的優點,淡化各自的缺陷,使防御系統成為一個更加堅固的圍墻。在未來的網絡安全領域中,動態技術與靜態技術的聯動將有很大的發展市場和空間。4.4.4 結語
網絡安全是一個很大的系統工程,除了防火墻和入侵檢測系統之外,還包括反病毒技術和加密技術。反病毒技術是查找和清除計算機病毒技術。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據病毒特征碼數據庫來進行對比式查殺。加密技術主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉換數據的功能或方法。它是將數據信息轉換為一種不易解讀的模式來保護信息,除非有解密密鑰才能閱讀信息。加密技術包括算法和密鑰。算法是將普通的文本(或是可以理解的信息)與一串數字(密鑰)的結合,產生不可理解的密文的步驟。密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網絡的信息通信安全。
4.5 漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
4.6 物理安全
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。為保證網絡的正常運行,在物理安全方面應采取如下措施:
1、產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。
2、運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。
3、防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品,如輻射干擾機。
4、保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。
計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程,各種新技術將會不斷出現和應用。??? 網絡安全孕育著無限的機遇和挑戰,作為一個熱門的研究領域和其擁有的重要戰略意義,相信未來網絡安全技術將會取得更加長足的發展。
第四章 網絡安全技術
4.1 防火墻的定義和選擇
4.1.1防火墻的定義
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。
目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。
作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸。但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客入侵等方向發展。
4.1.2 防火墻的選擇
總擁有成本防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也不應該考慮在內。如果僅作粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論選擇防火墻的標準有很多,但最重要的是以下兩條:
(1)防火墻本身是安全的
作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像瑪奇諾防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網絡系統也就沒有任何安全性可言了。
通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻十分不熟悉,就有可能在配置過程中遺留大量的安全漏洞。
(2)可擴充性
在網絡系統建設的初期,由于內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提供,用戶仍然有進一步增加選擇的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大產品的覆蓋面。
4.2 加密技術
信息交換加密技術分為兩類:即對稱加密和非對稱加密.4.2.1 對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖.這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏,那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那么他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES(數據加密標準)的一種變形,這種方法使用兩個獨立的56位密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
4.2.2 非對稱加密技術
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛分布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的算法來分散兩大素數之積。RSA算法的描述如下:
公開密鑰: n=pq(p、q 分別為兩個互異的大素數,p、q 必須保密)e與(p-1)(q-1)互素
私有密鑰:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 為明文,c為密文。
解密:m=cd(mod n)利用目前已經掌握的只是和理論,分解2048bit的大整數已經超過了64位計算機的運算能力,因此在目前和預見的將來,它是足夠安全的。
4.3 注冊與認證管理
4.3.1 認證機構
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頻發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明一證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且還與整個PKI系統的構架和模型有關。
4.3.2 注冊機構
RA(Registration Authority)是用戶和CA的借口,它所獲得的用戶標識的準確性是CA發給證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易于操作的RA系統。
4.3.3 密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統強健性、安全性、可用性的重要因素。
4.3.4 證書管理與撤銷系統
證書是用來證明證書持有者身份的電子介質,它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤銷,證書撤銷的理由是各種各樣的。可能包括工作變動到對密鑰懷疑等一系列原因。證書撤銷系統實現是利用周期性的發布機制撤銷證書或采用在線查詢機制,隨時查詢被撤銷的證書。
第五章 安全技術的研究
5.1 安全技術的研究現狀和方向
我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。根據防火墻所采用的技術不同,將它分為4個基本類型:包過濾型、網絡地址轉換-NAT、代理型和監測型。
5.2 包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會含一些特定信息,防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一單發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入。
5.3 代理型
代理型的安全性能要高過包過濾型,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。
代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
結束語
互聯網現在已經成為了人們不可缺少的通信工具,其發展速度也快的驚人,以此而來的攻擊破壞層出不窮,為了有效的防止入侵把損失降到最低,我們必須適合注意安全問題,使用盡量多而可靠的安全工具經常維護,讓我們的網絡體系完善可靠。在英特網為我們提供了大量的機會和便利的同時,也在安全性方面給我們帶來了巨大的挑戰,我們不能因為害怕挑戰而拒絕它,否則就會得不償失,信心安全是當今社會乃至整個國家發展所面臨的一個只管重要的問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要的組成部分,甚至應該看到它對我國未來電子化、信息化的發展講起到非常重要的作用。網絡安全是一項動態的、整體的系統工程,我們應該結合現在網絡發展的特點,制定妥善的網絡安全策略,將英特網的不安全性降至到現有條件下的最低點,讓它為我們的工作和現代化建設做出更好的服務。
參考文獻
[1] 謝希仁.計算機網絡 電子工業出版社
[2]湯小丹、梁紅兵.計算機操作系統 西安電子科技大學出版社 [3] 李偉.網絡安全實用技術標準教程 清華大學出版社 [4] Andrew S.Tanenbaum.計算機網絡 清華大學出版社
[1]李軍義.計算機網絡技術與應用[M].北京:北方交通大學出版社,2006.7. [2]蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2005.[3]嘉寧.網絡防火墻技術淺析[J].通信工程.2004(3).[4]鄭成興.網絡入侵防范的理論與實踐[M].北京:機械工業出版社,2006.9.[5][美] Merike Kaeo 著.網絡安全性設計[M].北京:人民郵電出版社,2005.9.[6]黃怡強,等.淺談軟件開發需求分析階段的主要任務[M].中山大學學報論叢,2002(01).[7]胡道元.計算機局域網[M].北京:清華大學出版社.2001.[8]朱理森,張守連.計算機網絡應用技術[M].北京:專利文獻出版社,2001.[9]謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社.
第五篇:計算機網絡安全畢業論文(范文)
網絡安全
網絡安全
摘要:計算機網絡安全問題,直接關系到一個國家的政治、軍事、經濟等領域的安全和穩定。目前黑客猖獗,平均每18秒鐘世界上就有一次黑客事件發生。因此,提高對網絡安全重要性的認識,增強防范意識,強化防范措施,是保證信息產業持續穩定發展的重要保證和前提條件。
文中首先論述了信息網絡安全內涵發生的根本變化,闡述了我國發展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性,以及網絡的安全管理。進一步闡述了網絡拓撲結構的安全設計,包括對網絡拓撲結構的分析和對網絡安全的淺析。然后具體講述了網絡防火墻安全技術的分類及其主要技術特征,防火墻部署原則,并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法作了簡要的分析,論述了其安全體系的構成。最后分析網絡安全技術的研究現狀和動向。
關鍵詞:網絡安全,防火墻,RSA算法
Abstract
Zhu Yi
(The Computer Department Of Liuan Normal University,Wuhu Liuan 241000)
Abstract:The computer network security problem, directly relates to domain the and so on a national politics, military, economy security and the stability.At present the hacker is rampant, in the average every 18seconds worlds has a time of hacker attack to occur.Therefore, enhances to the network security important understanding, enhancement guard consciousness, the strengthened guard measure, is guaranteed the information industries continues the important guarantee and the prerequisite which stably develops.In the article first elaborated the radical change which the information network security connotation occurs, elaborated our country develops the nationality information security system importance and the establishment has the Chinese characteristic the network security system necessity, as well as network safety control.Further elaborated the
network topology safe design, including to network topology analysis and to network security brief analysis.Then specifically narrated the network firewall security technology classification and it’s the main technical characteristic, the firewall deployment principle, and the position which deployed from the firewall in detail elaborated the firewall choice standard.Meanwhile has made the brief analysis on the exchange of information encryption technology classification and the RSA algorithm, elaborated its security system constitution.Finally analyzes the network security technology the research present situation and the trend.概述
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高。
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。目前計算機網絡面臨著很大的威脅,其構成的因素是多
方面的。這種威脅將不斷給社會帶來了巨大的損失。網絡安全已被信息社會的各個領域所重視。隨著計算機網
絡的不斷發展,全球信息化已成為人類發展的大趨勢;給政府機構、企事業單位帶來了革命性的改革。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、病毒、惡意軟件和其他不軌行為的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統、銀行和政府等傳輸敏感數據的計算機網絡系統而言,其網上信息的安全和保密尤為重要。因此,上述的網絡必須有足夠強的安全措施,否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性。故此,網絡的安全措施應是能全方位地針對各種不同的威脅和網絡的脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通,研究計算機網絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網絡安全的管理及其技術措施。
認真分析網絡面臨的威脅,我認為計算機網絡系統的安全防范工作是一個極為復雜的系統工程,是一個安全管理和技術防范相結合的工程。在目前法律法規尚不完善的情況下,首先是各計算機網絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執行各項安全制度,在此基礎上,再采用先進的技術和產品,構造全方位的防御機制,使系統在理想的狀態下運行。
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的災害、軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。
參考文獻:
[1]雷震甲.網絡工程師文獻 北京 清華大學出版社
[2] 黎連業、張維、向東明.路由器及其應用技術 北京 清華大學出版社
網 絡 安 全 論
文
姓名:單澤銘 學號:1228122033
點擊咨詢 