网络安全论文范文

前言：我们精心挑选了数篇优质网络安全论文文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

[论文摘要]随着计算机技术的发展，在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时，基于网络连接的安全问题也日益突出，探讨了网络安全的现状及问题由来以及几种主要网络安全技术。

随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”，上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。

一、网络的开放性带来的安全问题

众所周知，Internet是开放的，而开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点：

（一）每一种安全机制都有一定的应用范围和应用环境

防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。

（二）安全工具的使用受到人为因素的影响

一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。例如，NT在进行合理的设置后可以达到C2级的安全性，但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面，可以通过静态扫描工具来检测系统是否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。

（三）系统的后门是传统安全工具难于考虑到的地方

防火墙很难考虑到这类安全问题，多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说，众所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的WEB访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。

（四）只要有程序，就可能存在BUG

甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来，程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。比如说现在很多程序都存在内存溢出的BUG，现有的安全工具对于利用这些BUG的攻击几乎无法防范。

（五）黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现

然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

二、网络安全的主要技术

安全是网络赖以生存的保障，只有安全得到保障，网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广，主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。

（一）认证

对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。

（二）数据加密

加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种主要的加密类型：私匙加密和公匙加密。

1.私匙加密。私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。

2.公匙加密。公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解密，而公匙加密使用两个密匙，一个用于加密信息，另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过若将两者结合起来，就可以得到一个更复杂的系统。

（三）防火墙技术

防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、检视和入侵检测技术。

防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他安全机制（如访问控制）集成使用；另外，防火墙难于管理和配置，由多个系统（路由器、过滤器、服务器、网关、保垒主机）组成的防火墙，管理上难免有所疏忽。

（四）入侵检测系统

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。

（五）虚拟专用网（VPN）技术

VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一，所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制，这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全：隧道技术（Tunneling)、加解密技术（Encryption&Decryption)、密匙管理技术（KeyManagement)和使用者与设备身份认证技术（Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务，这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法，如按接入方式分成专线VPN和拨号VPN；按隧道协议可分为第二层和第三层的；按发起方式可分成客户发起的和服务器发起的。

（六）其他网络安全技术

1．智能卡技术，智能卡技术和加密技术相近，其实智能卡就是密匙的一种媒体，由授权用户持有并由该用户赋与它一个口令或密码字，该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。

2．安全脆弱性扫描技术，它为能针对网络分析系统当前的设置和防御手段，指出系统存在或潜在的安全漏洞，以改进系统对网络入侵的防御能力的一种安全技术。

3．网络数据存储、备份及容灾规划，它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据，使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。

4．IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。

5．Web，Email，BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其还原成完整的www、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。

第2篇

近来较典型的是蠕虫与木马，比如说木马程序它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。近来就出现许多人的网络账户遭到木马程序盗取的案例。这些网络病毒使人民财产受到严重侵害，也严重威胁到我们的正常工作与生活。恶意的攻击和入侵所谓恶意的攻击和入侵可对信息的有效性和完整性进行有选择的破坏，也可在不影响网络正常工作的情况下，对网络进行数据监听，截获或捕捉传播在网络中的信息，这是计算机网络面临的主要威胁，引发网络安全的问题。

计算机网络受到威胁后果严重

1.国家安全将遭受到威胁

网络黑客攻击的目标常包括银行、政府及军事部门，窃取和修改信息。这会对社会和国家安全造成严重威胁，有可能带来无法挽回的损失。

2.损失巨大

很多网络是大型网络，像互联网是全球性网络，这些网络上连接着无数计算机及网络设备，如果攻击者攻击入侵连接在网络上的计算机和网络设备，会破坏成千上万台计算机，从而给用户造成巨大经济损失。

3.手段多样，手法隐蔽

网络攻击所需设备简单，所花时间短，某些过程只需一台连接Internet的PC即可完成。这个特征决定了攻击者的方式多样性和隐蔽性。比如网络攻击者既可以用监视网上数据来盗取他人的保密信息；可以通过截取他人的帐号和口令潜入他人的计算机系统；可以通过一些方法来绕过或破坏他人安装的防火墙等等。

网络安全防范技术

1.病毒的防范

计算机病毒变得越来越复杂，对计算机信息系统构成极大的威胁。在网络环境中对计算机病毒的防范是网络安全性建设中重要的一环。它的入侵检测技术包括基于主机和基于网络两种。单机防病毒软件一般安装在单台PC上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。对网络病毒的防范主要包括预防病毒、检测病毒和杀毒三种技术。网络版防病毒系统包括：（1）系统中心：系统中心实时记录计算机的病毒监控、检测和清除的信息，实现对整个防护系统的自动控制。（2）服务器端：服务器端为网络服务器操作系统应用而设计。（3）客户端：客户端对当前工作站上病毒监控、检测和清除，并在需要时向系统中心发送病毒监测报告。（4）管理控制台：管理控制台是为了网络管理员的应用而设计的，通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。

2.防火墙的配置

首先我们了解防火墙所处的位置决定了一些特点包括（1）所有的从外部到内部的通信都必须经过它（。2）只有有内部访问策略授权的通信才能被允许通过。（3）系统本身具有很强的高可靠性。所以防火墙是网络安全的屏障，配置防火墒是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是所有安全工具中最重要的一个组成部分。它在内部信任网络和其他任何非信任网络上提供了不同的规则进行判断和验证，确定是否允许该类型的信息通过。一个防火墙策略要符合4个目标，而每个目标通常都不是通过一个单独的设备或软件来实现的。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证）配置在防火墙上。也可对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时，也能提供网络使用情况的统计数据。当有网络入侵或攻击时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次，利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响，防止内部信息的外泄。

3.数据加密与用户授权访问控制技术

与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密包括传输过程中的数据加密和存储数据加密，对于传输加密，一般有硬件加密和软件加密两种方法实现。网络中的数据加密，要选择加密算法和密钥，可以将这些加密算法分为对称密钥算法和公钥密钥算法两种。对称密钥算法中，收发双方使用相同的密钥。比较著名的对称密钥算法有：美国的DES、欧洲的IDEA等。

4.应用入侵检测技术

入侵检测系统是从多种计算机系统及网络系统中收集信息，再通过这些信息分析入侵特征的网络安全系统。入侵检测系统的功能包括：监控和分析系统、用户的行为；评估系统文件与数据文件的完整性，检查系统漏洞；对系统的异常行为进行分析和识别，及时向网络管理人员报警；跟踪管理操作系统，识别无授仅用户活动。具体应用就是指对那些面向系统资源和网络资源的未经授权的行为进行识别和响应。入侵检测通过监控系统的使用情况，来检测系统用户的越权使用以及系统外部的人侵者利用系统的安全缺陷对系统进行入侵的企图。目前主要有两类入侵检测系统基于主机的和基于网络的。前者检查某台主机系统日志中记录的未经授权的可疑行为，并及时做出响应。后者是在连接过程中监视特定网段的数据流，查找每一数据包内隐藏的恶意入侵，并对发现的人侵做出及时的响应。

5.规范安全管理行为

单单在网络安全技术上提高也是不够的，因为网络人员也可能是造成网络安全的因素，所以安全管理行为的规范是必须的。一要内部有完善的安全管理规范，二要建立基于安全策略的搞笑网络管理平台。两方面统筹规划部署，达到提高整体安全性的效果。

第3篇

论文关键词：IPv6，网络安全

 

1.基于IPv6的网络建设

在全球互联网高度发展的今天，由于网络与通信的日益融合，基于IPv4地址编码方式已于2011年1月枯竭。那么，IPv6成为解决IPv4地址耗尽问题的最好解决方法网络安全络安全论文，按照正常方式从IPv4向IPv6转换成功的话，全球所有的终端均可拥有一个IP地址，从而可实现全球网络的概念。

IPv6是下一版本的互联网协议，也可以说是下一代互联网的协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将耗尽，而地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，通过IPv6以重新定义地址空间。IPv6采用128位地址长度，几乎可以不受限制地提供IP地址网络安全络安全论文，从而确保了端到端连接的可能性。

除了地址分配问题外，IPv6虽然有整体吞吐量、高服务质量等优势，但在安全接入方面并不比IPv4更为显著。IPv6并不意味着网络就自然安全了，虽然不使用地址翻译，但仍然会使用防火墙，.net本身并不会带来安全的因素。IPv6与IPv4面临同样的安全问题。

2. IPSec安全协议

2.1 IPSec安全协议的体系结构

在IPv6中,IPSec安全协议是一个协议套件,主要包括:认证头(Authentication Header,AH)、封装安全载荷(Encapsulating Security Payload,ESP)、Internet密钥交换(Internet Key Exchange,IKE)等相关组件论文开题报告范文论文下载。它提供的安全服务有:数据源身份验证,无连接数据完整性检查,数据内容的机密性保证,抗重播保护以及有限数据流机密性保证。IPSec协议的体系结构如图1所示。

2.2IPSec认证头AH协议

认证头AH用于为IP提供数据完成性、数据原始身份验证和一些可选的、有限的抗重播服务。AH定义了对数据所实施的安全保护的方法、头的位置、身份验证的覆盖范围,以及输入和输出处理规则,但不对所用的身份验证算法进行具体定义[。AH的格式如图2所示。认证头AH有2种工作模式,即传输模式和隧道模式。传输模式只对传输层数据和IP头中的固定字段提供认证保护,主要适合于主机实现[3]。隧道模式则对整个IP数据提供认证保护。

2.3 IPSec封装安全载荷ESP协议

封装安全载荷ESP为IP提供机密性、数据源验证、抗重播以及数据完整性等安全服务。ESP的格式不是固定的,依据采用不同的加密算法而不同,但起始处必须是安全参数索引(SPI),用以定义加密算法及密钥的生存周期等。ESP格式如图3所示。封装安全载荷ESP有2种不同的加密工作模式,即传输模式和隧道模式。传输模式ESP只对传输层数据单元加密,IPv6和各种扩展头以及ESP中的SPI段用明文传输,该方式适用于主机到主机的加密。隧道模式ESP对整个IP分组进行加密,该模式以新的包含有足够路由信息的IP头封装,从而便于中间结点的识别,该方式适用于设置有防火墙或其他类型安全网关的结构体系。

2.4 IPSec密钥交换IKE协议