前言：我們精心挑選了數篇優質網絡安全論文文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

[論文摘要]隨著計算機技術的發展，在計算機上處理業務已由單機處理功能發展到面向內部局域網、全球互聯網的世界范圍內的信息共享和業務處理功能。在信息處理能力提高的同時，基于網絡連接的安全問題也日益突出，探討了網絡安全的現狀及問題由來以及幾種主要網絡安全技術。

隨著計算機網絡的發展，其開放性，共享性，互連程度擴大，網絡的重要性和對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。國際標準化組織（ISO）將“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。

一、網絡的開放性帶來的安全問題

眾所周知，Internet是開放的，而開放的信息系統必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中，安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

（一）每一種安全機制都有一定的應用范圍和應用環境

防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

（二）安全工具的使用受到人為因素的影響

一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。

（三）系統的后門是傳統安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題，多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現

然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

二、網絡安全的主要技術

安全是網絡賴以生存的保障，只有安全得到保障，網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展，其涉及的技術面非常廣，主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。

（一）認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。

（二）數據加密

加密就是通過一種方式使信息變得混亂，從而使未被授權的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快，很容易在硬件和軟件中實現。

2.公匙加密。公匙加密比私匙加密出現得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的，因而比私匙加密系統的速度慢得多，不過若將兩者結合起來，就可以得到一個更復雜的系統。

（三）防火墻技術

防火墻是網絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數據，它不同于只會確定網絡信息傳輸方向的簡單路由器，而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊，其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網絡連接能力。此外，現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內外提供一致的安全策略；而且防火墻只實現了粗粒度的訪問控制，也不能與企業內部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統（路由器、過濾器、服務器、網關、保壘主機）組成的防火墻，管理上難免有所疏忽。

（四）入侵檢測系統

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

（五）虛擬專用網（VPN）技術

VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一，所謂虛擬專用網（VPN）技術就是在公共網絡上建立專用網絡，使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全：隧道技術（Tunneling)、加解密技術（Encryption&Decryption)、密匙管理技術（KeyManagement)和使用者與設備身份認證技術（Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務，這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協議可分為第二層和第三層的；按發起方式可分成客戶發起的和服務器發起的。

（六）其他網絡安全技術

1．智能卡技術，智能卡技術和加密技術相近，其實智能卡就是密匙的一種媒體，由授權用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。

2．安全脆弱性掃描技術，它為能針對網絡分析系統當前的設置和防御手段，指出系統存在或潛在的安全漏洞，以改進系統對網絡入侵的防御能力的一種安全技術。

3．網絡數據存儲、備份及容災規劃，它是當系統或設備不幸遇到災難后就可以迅速地恢復數據，使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。

4．IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個IP廣播包的工作站返回一個警告信息。

5．Web，Email，BBS的安全監測系統。在網絡的www服務器、Email服務器等中使用網絡安全監測系統，實時跟蹤、監視網絡，截獲Internet網上傳輸的內容，并將其還原成完整的www、Email、FTP、Telnet應用的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時向上級安全網管中心報告，采取措施。

第2篇

近來較典型的是蠕蟲與木馬，比如說木馬程序它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦。近來就出現許多人的網絡賬戶遭到木馬程序盜取的案例。這些網絡病毒使人民財產受到嚴重侵害，也嚴重威脅到我們的正常工作與生活。惡意的攻擊和入侵所謂惡意的攻擊和入侵可對信息的有效性和完整性進行有選擇的破壞，也可在不影響網絡正常工作的情況下，對網絡進行數據監聽，截獲或捕捉傳播在網絡中的信息，這是計算機網絡面臨的主要威脅，引發網絡安全的問題。

計算機網絡受到威脅后果嚴重

1.國家安全將遭受到威脅

網絡黑客攻擊的目標常包括銀行、政府及軍事部門，竊取和修改信息。這會對社會和國家安全造成嚴重威脅，有可能帶來無法挽回的損失。

2.損失巨大

很多網絡是大型網絡，像互聯網是全球性網絡，這些網絡上連接著無數計算機及網絡設備，如果攻擊者攻擊入侵連接在網絡上的計算機和網絡設備，會破壞成千上萬臺計算機，從而給用戶造成巨大經濟損失。

3.手段多樣，手法隱蔽

網絡攻擊所需設備簡單，所花時間短，某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性。比如網絡攻擊者既可以用監視網上數據來盜取他人的保密信息；可以通過截取他人的帳號和口令潛入他人的計算機系統；可以通過一些方法來繞過或破壞他人安裝的防火墻等等。

網絡安全防范技術

1.病毒的防范

計算機病毒變得越來越復雜，對計算機信息系統構成極大的威脅。在網絡環境中對計算機病毒的防范是網絡安全性建設中重要的一環。它的入侵檢測技術包括基于主機和基于網絡兩種。單機防病毒軟件一般安裝在單臺PC上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。對網絡病毒的防范主要包括預防病毒、檢測病毒和殺毒三種技術。網絡版防病毒系統包括：（1）系統中心：系統中心實時記錄計算機的病毒監控、檢測和清除的信息，實現對整個防護系統的自動控制。（2）服務器端：服務器端為網絡服務器操作系統應用而設計。（3）客戶端：客戶端對當前工作站上病毒監控、檢測和清除，并在需要時向系統中心發送病毒監測報告。（4）管理控制臺：管理控制臺是為了網絡管理員的應用而設計的，通過它可以集中管理網絡上所有已安裝的防病毒系統防護軟件的計算機。

2.防火墻的配置

首先我們了解防火墻所處的位置決定了一些特點包括（1）所有的從外部到內部的通信都必須經過它（。2）只有有內部訪問策略授權的通信才能被允許通過。（3）系統本身具有很強的高可靠性。所以防火墻是網絡安全的屏障，配置防火墑是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分。它在內部信任網絡和其他任何非信任網絡上提供了不同的規則進行判斷和驗證，確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標，而每個目標通常都不是通過一個單獨的設備或軟件來實現的。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證）配置在防火墻上。也可對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時，也能提供網絡使用情況的統計數據。當有網絡入侵或攻擊時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。再次，利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響，防止內部信息的外泄。

3.數據加密與用戶授權訪問控制技術

與防火墻相比，數據加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護，需要系統級別的支持，一般在操作系統中實現。數據加密包括傳輸過程中的數據加密和存儲數據加密，對于傳輸加密，一般有硬件加密和軟件加密兩種方法實現。網絡中的數據加密，要選擇加密算法和密鑰，可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中，收發雙方使用相同的密鑰。比較著名的對稱密鑰算法有：美國的DES、歐洲的IDEA等。

4.應用入侵檢測技術

入侵檢測系統是從多種計算機系統及網絡系統中收集信息，再通過這些信息分析入侵特征的網絡安全系統。入侵檢測系統的功能包括：監控和分析系統、用戶的行為；評估系統文件與數據文件的完整性，檢查系統漏洞；對系統的異常行為進行分析和識別，及時向網絡管理人員報警；跟蹤管理操作系統，識別無授僅用戶活動。具體應用就是指對那些面向系統資源和網絡資源的未經授權的行為進行識別和響應。入侵檢測通過監控系統的使用情況，來檢測系統用戶的越權使用以及系統外部的人侵者利用系統的安全缺陷對系統進行入侵的企圖。目前主要有兩類入侵檢測系統基于主機的和基于網絡的。前者檢查某臺主機系統日志中記錄的未經授權的可疑行為，并及時做出響應。后者是在連接過程中監視特定網段的數據流，查找每一數據包內隱藏的惡意入侵，并對發現的人侵做出及時的響應。

5.規范安全管理行為

單單在網絡安全技術上提高也是不夠的，因為網絡人員也可能是造成網絡安全的因素，所以安全管理行為的規范是必須的。一要內部有完善的安全管理規范，二要建立基于安全策略的搞笑網絡管理平臺。兩方面統籌規劃部署，達到提高整體安全性的效果。

第3篇

論文關鍵詞：IPv6，網絡安全

 

1.基于IPv6的網絡建設

在全球互聯網高度發展的今天，由于網絡與通信的日益融合，基于IPv4地址編碼方式已于2011年1月枯竭。那么，IPv6成為解決IPv4地址耗盡問題的最好解決方法網絡安全絡安全論文，按照正常方式從IPv4向IPv6轉換成功的話，全球所有的終端均可擁有一個IP地址，從而可實現全球網絡的概念。

IPv6是下一版本的互聯網協議，也可以說是下一代互聯網的協議，它的提出最初是因為隨著互聯網的迅速發展，IPv4定義的有限地址空間將耗盡，而地址空間的不足必將妨礙互聯網的進一步發展。為了擴大地址空間，通過IPv6以重新定義地址空間。IPv6采用128位地址長度，幾乎可以不受限制地提供IP地址網絡安全絡安全論文，從而確保了端到端連接的可能性。

除了地址分配問題外，IPv6雖然有整體吞吐量、高服務質量等優勢，但在安全接入方面并不比IPv4更為顯著。IPv6并不意味著網絡就自然安全了，雖然不使用地址翻譯，但仍然會使用防火墻，.net本身并不會帶來安全的因素。IPv6與IPv4面臨同樣的安全問題。

2. IPSec安全協議

2.1 IPSec安全協議的體系結構

在IPv6中,IPSec安全協議是一個協議套件,主要包括:認證頭(Authentication Header,AH)、封裝安全載荷(Encapsulating Security Payload,ESP)、Internet密鑰交換(Internet Key Exchange,IKE)等相關組件論文開題報告范文論文下載。它提供的安全服務有:數據源身份驗證,無連接數據完整性檢查,數據內容的機密性保證,抗重播保護以及有限數據流機密性保證。IPSec協議的體系結構如圖1所示。

2.2IPSec認證頭AH協議

認證頭AH用于為IP提供數據完成性、數據原始身份驗證和一些可選的、有限的抗重播服務。AH定義了對數據所實施的安全保護的方法、頭的位置、身份驗證的覆蓋范圍,以及輸入和輸出處理規則,但不對所用的身份驗證算法進行具體定義[。AH的格式如圖2所示。認證頭AH有2種工作模式,即傳輸模式和隧道模式。傳輸模式只對傳輸層數據和IP頭中的固定字段提供認證保護,主要適合于主機實現[3]。隧道模式則對整個IP數據提供認證保護。

2.3 IPSec封裝安全載荷ESP協議

封裝安全載荷ESP為IP提供機密性、數據源驗證、抗重播以及數據完整性等安全服務。ESP的格式不是固定的,依據采用不同的加密算法而不同,但起始處必須是安全參數索引(SPI),用以定義加密算法及密鑰的生存周期等。ESP格式如圖3所示。封裝安全載荷ESP有2種不同的加密工作模式,即傳輸模式和隧道模式。傳輸模式ESP只對傳輸層數據單元加密,IPv6和各種擴展頭以及ESP中的SPI段用明文傳輸,該方式適用于主機到主機的加密。隧道模式ESP對整個IP分組進行加密,該模式以新的包含有足夠路由信息的IP頭封裝,從而便于中間結點的識別,該方式適用于設置有防火墻或其他類型安全網關的結構體系。

2.4 IPSec密鑰交換IKE協議