*** 攻击防护软件设计报告, *** 攻击防护措施

内容导读：导航目录:1、计算机***安全与防范论文2、你可以把那份校园网***安全设计方案发给我吗？3、***安全的开题报告怎么写啊？4、企业***常见的攻击手法和防护措施？5、计算机***安全漏洞及防范...……

导航目录:

• 1、计算机 *** 安全与防范论文
• 2、你可以把那份校园网 *** 安全设计方案发给我吗？
• 3、 *** 安全的开题报告怎么写啊？
• 4、企业 *** 常见的攻击手法和防护措施？
• 5、计算机 *** 安全漏洞及防范开题报告

计算机 *** 安全与防范论文

*** 安全是指 *** 系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行， *** 服务不中断。 *** 安全从其本质上来讲就是 *** 上的信息安全。从广义来说，凡是涉及到 *** 上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是 *** 安全的研究领域。 *** 安全是一门涉及计算机科学、 *** 技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

*** 安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在 *** 上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。

*** 安全应具有以下五个方面的特征：

保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。

完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如 *** 环境下拒绝服务、破坏 *** 和有关系统的正常运行等都属于对可用性的攻击；

可控性：对信息的传播及内容具有控制能力。

可审查性：出现的安全问题时提供依据与手段

从 *** 运行和管理者角度说，他们希望对本地 *** 信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和 *** 资源非法占用和非法控制等威胁，制止和防御 *** 黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲， *** 上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。

随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部 *** 的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互连网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于 *** 连接的安全问题也日益突出，整体的 *** 安全主要表现在以下几个方面： *** 的物理安全、 *** 拓扑结构安全、 *** 系统安全、应用系统安全和 *** 管理的安全等。

因此计算机安全问题，应该象每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。

物理安全分析

*** 的物理安全是整个 *** 系统安全的前提。在校园网工程建设中，由于 *** 系统属于弱电工程，耐压值很低。因此，在 *** 工程的设计和施工中，必须优先考虑保护人和 *** 设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免 *** 的物理安全风险。

*** 结构的安全分析

*** 拓扑结构设计也直接影响到 *** 系统的安全性。假如在外部和内部 *** 进行通信时，内部 *** 的机器安全就会受到威胁，同时也影响在同一 *** 上的许多其他系统。透过 *** 传播，还会影响到连上Internet/Intrant的其他的 *** ；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务 *** 进行必要的隔离，避免 *** 结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。

系统的安全分析

所谓系统的安全是指整个 *** 操作系统和 *** 硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其 *** 作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

应用系统的安全分析

应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。

——应用系统的安全是动态的、不断变化的。

应用的安全涉及方面很多，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。

——应用的安全性涉及到信息、数据的安全性。

信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些 *** 系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息（包括管理员口令与帐户、上传信息等）的机密性与完整性。

管理的安全风险分析

管理是 *** 中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当 *** 出现攻击行为或 *** 受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对 *** 的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

建立全新 *** 安全机制，必须深刻理解 *** 并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障 *** 的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息 *** 便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个 *** 的损失都是难以估计的。因此， *** 的安全建设是校园网建设过程中重要的一环。

你可以把那份校园网 *** 安全设计方案发给我吗？

成都信息工程学院

*** 工程系

《安全系统整体解决方案设计》

课程设计报告

成绩（总分）：

*** 现状描述

（10分） 漏洞分析

（20分） 物理安全

（15分） 主机安全

（20分） *** 安全

（25分） 总结

（10分）

姓名： 熊怀刚

学号： 2004033031

班级： 信安（1）班

之一章 企业 *** 的现状描述 3

1.1 企业 *** 的现状描述 3

第二章 企业 *** 的漏洞分析 4

2.1 物理安全 4

2.2 主机安全 4

2.3外部安全 4

2.4内部安全 5

2.5内部 *** 之间、内外 *** 之间的连接安全 5

第三章 企业 *** 安全整体解决方案设计 5

3.1 企业 *** 的设计目标 5

3.2 企业 *** 的设计原则 6

3.3 物理安全解决方案 6

3.4 主机安全解决方案 7

3.5 *** 安全解决方案 7

第四章 方案的验证及调试 8

第五章 总结 9

参考资料 9

企业 *** 整体解决方案设计

之一章 企业 *** 的现状描述

1.1 企业 *** 的现状描述

*** 拓扑图

以Internet发展为代表的全球性信息化浪潮日益深刻，信息 *** 技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统（Unix和NT）部分迅速融合成为一个异构企业部分。

以往安全系统的设计是采用被动防护模式，针对系统出现的各种情况采取相应的防护措施，当新的应用系统被采纳以后、或者发现了新的系统漏洞，使系统在实际运行中遭受攻击，系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大，而且往往是在系统破坏造成以后才进行处理，防护效果不理想，也很难对 *** 的整体防护做出规划和评估。

安全的漏洞往往存在于系统中最薄弱的环节，邮件系统、网关无一不直接威胁着企业 *** 的正常运行;中小企业需要防止 *** 系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题，而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是 *** 安全的现状，还是中小企业自身都向广大安全厂商提出了更高的要求。

第二章 企业 *** 的漏洞分析

2.1 物理安全

*** 的物理安全的风险是多种多样的。

*** 的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个 *** 系统安全的前提，在这个企业区局域网内，由于 *** 的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强 *** 设备和机房的管理，防止非法进入计算机控制室和各种盗窃，破坏活动的发生，这些风险是可以避免的。

2.2 主机安全

对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统，其开发厂商必然有其Back-Door。我们可以这样讲：没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证，特别是在到达服务器主机之前的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

与日常生活当中一样，企业主机也存在着各种各样的安全问题。使用者的使用权限不同，企业主机所付与的管理权限也不一样，同一台主机对不同的人有着不同的使用范围。同时，企业主机也会受到来自病毒，黑客等的袭击，企业主机对此也必须做好预防。在安装应用程序的时候，还得注意它的合法权限，以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作，甚至盗取企业机密。

2.3外部安全

拒绝服务攻击。值得注意的是，当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务，也是真个企业的 *** 安全水平进入一个新境界的重要标志。

外部入侵。这里是通常所说的黑客威胁。从前面几年时间的 *** 安全管理经验和渗透测试结果来看，当前大多数电信 *** 设备和服务都存在着被入侵的痕迹，甚至各种后门。这些是对 *** 自主运行的控制权的巨大威胁，使得客户在重要和关键应用场合没有信心，损失业务，甚至造成灾难性后果。

病毒。病毒时时刻刻威胁着整个互联网。前段时间美国国防部和全年北京某部内部网遭受的大规模病毒爆发都使得整个内部办公和业务瘫痪数个小时，而MS Blaster及Nimda和Code Red的爆发更是具有深远的影响，促使人们不得不在 *** 的各个环节考虑对于各种病毒的检测防治。对病毒的彻底防御重要性毋庸置疑。

2.4内部安全

最新调查显示，在受调查的企业中60%以上的员工利用 *** 处理私人事务。对 *** 的不正当使用，降低了生产率、阻碍电脑 *** 、消耗企业 *** 资源、并引入病毒和间谍，或者使得不法员工可以通过 *** 泄漏企业机密，从而导致企业数千万美金的损失。

不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。

2.5内部 *** 之间、内外 *** 之间的连接安全

内部 *** 与外部 *** 间如果在没有采取一定的安全防护措施，内部 *** 容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。

内部局网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的 *** 安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业 *** 结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的 *** 连接安全直接影响企业的高效运作

第三章 企业 *** 安全整体解决方案设计

3.1 企业 *** 的设计目标

企业 *** 安全的设计目标与其他 *** 安全的设计目标一致，包括：保密性，完整性等面向数据的安全及可用性，可控性，可审查性等面向用户的安全。面向用户的安全即 *** 安全又包含：鉴别，授权，访问控制，抗否认性和可服务性，以及在于内容的个人隐私，知识产权等的保护。企业 *** 的安全即指该 *** 系统的硬件，软件及其系统中的数据的安全。 *** 信息的传输，存储，处理和使用都要求处于安全的状态。

保密性：指信息不泄露给非授权的个人，实体和过程，或供其使用的特性。

完整性：指信息未经授权不能被修改，不被破坏，不 *** 入，不延迟，不乱序和不丢失的特性。对 *** 信息安全进行攻击其最终目的就是破坏信息的完整性。

可用性：指合法用户访问并能按要求顺序使用信息的特性，即保证合法用户在需要时可以访问到信息及相关资产。

可控性：指授权机构对信息的内容及传播具有控制能力的特性，可以控制授权范围内的信息流向以及方式。

可审查性：指在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。

3.2 企业 *** 的设计原则

在对这个企业局域网 *** 系统安全方案设计、规划时，应遵循以下原则：

综合性、整体性原则：应用系统工程的观点、 *** ，分析 *** 的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种 *** 适当综合的应用结果。一个计算机 *** ，包括个人、设备、软件、数据等。这些环节在 *** 中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机 *** 安全应遵循整体安全性原则，根据规定的安全策略制定出合理的 *** 安全体系结构。

需求、风险、代价平衡的原则：对任一 *** ，绝对安全难以达到，也不一定是必要的。对一个 *** 进行实际 、额研究（包括任务、性能、结构、可靠性、可维护性等），并对 *** 面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

一致性原则：一致性原则主要是指 *** 安全问题应与整个 *** 的工作周期（或生命周期）同时存在，制定的安全体系结构必须与 *** 的安全需求相一致。安全的 *** 系统设计（包括初步或详细设计）及实施计划、 *** 验证、验收、运行等，都要有安全的内容光焕发及措施，实际上，在 *** 建设的开始就考虑 *** 安全对策，比在 *** 建设好后再考虑安全措施，不但容易，且花费也小得多。

易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

分步实施原则：由于 *** 系统及其应用扩展范围广阔，随着 *** 规模的扩大及应用的增加， *** 脆弱性也会不断增加。一劳永逸地解决 *** 安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足 *** 系统及信息安全的基本需求，亦可节省费用开支。

多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

可评价性原则：如何预先评价一个安全设计并验证其 *** 的安全性，这需要通过国家有关 *** 信息安全测评认证机构的评估来实现。

3.3 物理安全解决方案

环境安全：对系统所在环境的安全保护，如区域保护和灾难保护。

设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。

媒体安全：包括媒体数据的安全及媒体本身的安全。

3.4 主机安全解决方案

1.对主机用户进行分组管理，根据不同的安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证，确保用户的密码不会被他人所猜测到。

2.及时更新主机系统，防止因系统漏洞而遭到黑客或病毒的攻击。

3.对于应用服务，我们应该只开放那些需要的服务，并随时更新。而对于那些用不到的服务应该尽量关闭。

4.安装并及时升级杀毒软件以避免来自病毒的苦恼

5.安装防火墙可以有效的防止黑客的攻击

3.5 *** 安全解决方案

在内部 *** 中，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个 *** 划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个 *** 传播。针对某些 *** ，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部 *** 安全问题对全局 *** 造成的影响。

将分散系统整合成一个异构 *** 系统，数据存储系统整合成 *** 数据中心，通过存储局域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心，为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和 *** 集中管理、监控技术，将所有 *** 安全和数据安全产品有机的结合在一起，在漏洞预防、攻击处理、破坏修复三方面给用户提供整体的解决方案，能够极大地提高系统防护效果，降低 *** 管理的风险和复杂性。

整体防护主要包括以下方面：

数据访问控制系统:

•防火墙——对不同安全域之间信息交换进行访问控制。

•防病毒——对计算机病毒进行检测、查杀和系统修复。

•入侵检测——对 *** 进行监测, 提供对 *** 攻击的实时保护, 是防火墙的合理补充。

•漏洞扫描——对 *** 安全性通过扫描进行分析评估。

•VPN加密——对 *** 数据进行封包和加密，使公网上传输私有数据，达到私有 *** 的安全级别。

•物理隔离——内部网不得直接或间接地连接公共网，满足高度数据安全要求。

数据安全处理系统：

•数据存储——基于RAID的存储技术防止系统硬件故障。

•双机容错——提供系统应用级的故障处理，适用于高可靠性需求。

•数据备份——基于时间对文件和数据库级别的系统故障提供解决方案。

•灾难恢复——对整个主机系统提供保障和系统的快速故障修复能力。

下图是防护系统对一个完整的 *** 攻击及防护 *** 的演示效果图：

第四章 方案的验证及调试

采用集中管理、统一监控的整体防护解决方案，能够极大的提高内部 *** 对 *** 攻击的防范能力和数据故障的处理能力，降低了 *** 管理的复杂性，提高了整个 *** 的可用性和稳定性。具体表现在以下方面：

•漏洞扫描和防病毒系统增强了各个 *** 节点自身系统的稳定性和抗攻击能力。

•防火墙作为 *** 系统的屏障极大地降低了内部系统遭受 *** 攻击的可能性。

•入侵检测与防火墙采用联动联防提高了系统自动对 *** 攻击的识别和防御能力。

• *** 隔离系统将内部核心业务系统与外部 *** 物理隔离，降低了 *** 风险。

•磁盘阵列和双机容错提高了主机系统对软硬件故障的自动修复能力。

• *** 存储方案将系统应用与数据读写分离，提高了系统的处理速度，节省了 *** 带宽。

•数据备份和灾难恢复降低了由于数据丢失造成的 *** 风险，提高了系统管理员排除故障的速度和效果。

•系统主干的所有防护设备都采用了冗余设计，防止了单点失效产生的故障隐患。

•采用 *** 管理工具使系统管理员对整个 *** 的运行状况一目了然，使 *** 管理更加简单、方便。

整个安全防护系统的效果评估作为一个整体的安全防护系统，方案设计中对于攻击行为的每一个步骤都有相应的措施进行防御，并且系统管理员可以通过 *** 管理软件掌握内部所有的安全隐患和攻击企图，根据具体情况采取灵活的处理措施，从而达到更大的防护效果。

第五章 总结

通过这次课程设计，我才了解到做一个企业 *** 安全系统整体解决方案的复杂。在我经历了网上查资料，书本找资料的过程中，我也只是完成了这么一些。对于一个企业 *** 来说，我想：理论终究是理论，还需要时间验证，而且在企业 *** 中面临着各种各样的问题，或者是在这个方案中没有提到的，那么在整体方案设计的方面我需要学习的东西还很多。已经大四了，马上就要毕业了，我也将进入到另一个学习的范畴中了，一个更需要努力更需要动手实践的领域！

参考资料

（1）保护 *** 空间的国家战略 美国

（3）计算机系统安全 曹天杰等 高等教学出版社

（4）密码编码学与 *** 安全-原理与实践（第三版）William Stallings等 电子工业出版

*** 安全的开题报告怎么写啊？

我的论文是这样:

一、分析当前 *** 安全形势：

1、 *** 定义

2、 *** 安全定义

3、当前形势及面临的问题

二、结合形势对当前 *** 的攻击 *** 和以后有可能出现的 *** 攻击 *** 进行介绍：

1、在更高层次上，可分为主动攻击和被动攻击；

主动攻击包括：拒绝服务攻击、信息篡改、资源使用、欺骗、入侵攻击、口令攻击、等攻击 *** 。

被动攻击包括：嗅探、信息收集等攻击 *** 。

2、攻击步骤与 ***

黑客攻击的基本步骤：搜集信息；实施入侵；上传程序、下载数据；利用一些 *** 来保持访问，如后门、特洛伊木马；隐藏踪迹等。

对以上提到的攻击 *** 进行详细分析介绍。

三、由 *** 的攻击 *** 写到反攻击、反病毒技术。

硬件方面：安装病毒防护卡、保护卡；

软件方面：

1、采用杀毒软件进行查毒、防毒；

2、防火墙技术；

3、信息加密技术。

反病毒有3种最基本的技术——行为监视（activity monitoring）、变化检测（change detection）和扫描（scan）

四、重点介绍一下防火墙技术：

1、对防火墙做初步介绍，包括种类、功能、防火墙技术原理、局限性等。

2、对防火墙的现状及发展趋势进行分析。

3、如何对防火墙进行安全配置。

五、综合论述当今 *** 安全面临的问题，提出自己的观点。进一步阐述对未来 *** 安全问题的预见及解决 *** 。

企业 *** 常见的攻击手法和防护措施？

随着Internet/Intranet技术的飞速发展和广泛应用， *** 安全问题愈来愈突出，已成为当前的一大技术热点。黑客技术的公开和有组织化，以及 *** 的开放性使得 *** 受到攻击的威胁越来越大。而企业对这一问题严重性的认识和所具备的应付能力还远远不够。加上管理不当，应用人员水平参差不齐，没有有效的方式控制 *** 的安全状况，企业理想中的安全与实际的安全程度存在巨大的差距。

1、 *** 安全面临的威胁

（1）、人为的无意失误，如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对 *** 安全带来威胁。

（2）、人为的恶意攻击，来自内部的攻击者往往会对内部网安全造成更大的威胁，因为他们本身就是单位内部人员，对单位的业务流程，应用系统， *** 结构甚至是 *** 系统管理非常熟悉，而这些人员对Intranet发起攻击的成功率可能更高，造成的损失更大，所以这部分攻击者应该成为我们要防范的主要目标。

（3）、 *** 软件的漏洞和“后门” *** 软件不可能是百分之百的无缺陷和无漏洞的，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻入 *** 内部的事件大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，可一旦“后门”洞开，其造成的后果将不堪设想。

（4）、互联 *** 的不安全因素，国际互联 *** 是跨越时空的，所以安全问题也是跨越时空的。虽然我们国家的 *** 不发达，但是我们遭到的安全危险却是同国外一样的，这是一个很严重的问题。在不同的行业，所遭受的攻击因行业和 *** 服务的不同而不同。在电信或者ICP市场，进攻服务系统比较多；而在银行业，对数据系统的进攻相对更频繁； *** 方面，对服务的进攻，尤其是其信息发布系统很频繁。

（5）、病毒入侵，目前， *** 病毒种类繁多，病毒很容易通过互联网或其他途径（如通过各接入点、日常维护操作、磁盘、其他外网）进入 *** 内部各服务器，造成 *** 拥塞、业务中断、系统崩溃。而现在流行的各种新型 *** 病毒，将 *** 蠕虫、计算机病毒、木马程序合为一体，发展到融和了多种技术于一体，互相利用和协同，已不仅仅是单一的攻击和漏洞利用，使系统自身防不胜防。病毒发作对系统数据的破坏性、和系统本身都将会造成很大的影响。

2、 *** 攻击的一般 ***

从黑客的角度来看，黑客可以利用的方式多种多样，包括：

（1）使用探察软件，猜测和分析操作系统类别、 *** 提供服务、 *** 的结构等；

（2）使用强制攻击软件对 *** 进行攻击，例如针对POP的强行的密码猜解，SQL的密码猜解等；

（3）使用漏洞扫描工具，发现漏洞，进而采用缓存溢出等手段直接或者间接的获取系统超级用户权限；如系统平台自身由于漏洞被黑客利用，将直接导致全厂业务服务的中断。

（4）使用木马进行非法连接；

（5）利用疏忽的数据库简单配置，例如超级管理员密码简单甚至为空或者用户密码和用户名相同等漏洞，获取数据库的某些权限，进而获得系统的权限。

（6）利用可信任的关系进行攻击，例如深圳电信网站的某些数据库设定的访问地址，这样黑客可以先攻击这些被数据库信任的地址进行逐“跳”的攻击。

（7）DDOS攻击，使用各种工具进行洪水攻击；利用漏洞的拒绝服务攻击。

3、企业 *** 安全防护措施

根据企业 *** 系统的实际防护需要，必须保护的内容包括：Web主机（门户网站、OA系统等基于Web访问的主机），数据库主机，邮件服务器等， *** 入口，内部 *** 检测。对企业重要的是有效防护Web服务器的非法访问和网页被非法修改，防护数据库服务器数据被非授权用户非法访问或被黑客篡改、删除。一旦发现服务器遭入侵或网页被篡改，能进行及时报警和恢复处理。

（1）防火墙，在外部 *** 同内部 *** 之间应设置防火墙设备。如通过防火墙过滤进出 *** 的数据；对进出 *** 的访问行为进行控制和阻断；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对 *** 攻击的监测和告警。禁止外部用户进入内部 *** ，访问内部机器；保证外部用户可以且只能访问到某些指定的 *** 息；限制内部用户只能访问到某些特定的Intenet资源，如WWW服务、FTP服务、TELNET服务等；防火墙产品本身具有很强的抗攻击能力。使用硬件防火墙，管理和维护更加方便有效。

（2）、入侵检测系统，企业内部主机操作系统种类一般在两种以上，而目前漏洞攻击手法大部分是基于操作系统已有的安全漏洞进行攻击，通过使用防火墙设备可以防范大部分的黑客攻击，但是有些攻击手法是通过防火墙上开启的正常服务来实现的，而且防火墙不能防范内部用户的恶意行为和误操作。通过使用入侵检测系统，可以监视用户和系统的运行状态，查找非法用户和合法用户的越权操作；检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；对用户非法活动的统计分析，发现攻击行为的规律；检查系统程序和数据的一致性和正确性；能够实时对检测到的攻击行为进行反应。

（3） *** 漏洞扫描入侵者一般总是通过寻找 *** 中的安全漏洞来寻找入侵点。进行系统自身的脆弱性检查的主要目的是先于入侵者发现漏洞并及时弥补，从而进行安全防护。由于 *** 是动态变化的： *** 结构不断发生变化、主机软件不断更新和增添；所以，我们必须经常利用 *** 漏洞扫描器对 *** 设备进行自动的安全漏洞检测和分析，包括：应用服务器、WWW服务器、邮件服务器、DNS服务器、数据库服务器、重要的文件服务器及交换机等 *** 设备，通过模拟黑客攻击手法，探测 *** 设备中存在的弱点和漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。

（4）、防病毒系统要防止计算机病毒在 *** 上传播、扩散，需要从Internet、邮件、文件服务器和用户终端四个方面来切断病毒源，才能保证整个 *** 免除计算机病毒的干扰，避免 *** 上有害信息、垃圾信息的大量产生与传播。单纯的杀毒软件都是单一版系统，只能在单台计算机上使用，只能保证病毒出现后将其杀灭，不能阻止病毒的传播和未知病毒的感染；若一个用户没有这些杀毒软件，它将成为一个病毒传染源，影响其它用户， *** 传播型病毒的影响更甚。只有将防毒、杀毒融为一体来考虑，才能较好的达到彻底预防和清除病毒的目的。

因此，使用 *** 防、杀毒的全面解决方案才是消除病毒影响的更佳办法。它可以将进出企业网的病毒、邮件病毒进行有效的清除，并提供基于 *** 的单机杀毒能力。 *** 病毒防护系统能保证病毒库的及时更新，以及对未知病毒的稽查。另外，要提高 *** 运行的管理水平，有效地、全方位地保障 *** 安全。

4、企业 *** 安全解决方案

广义的计算机系统安全的范围很广，它不仅包括计算机系统本身，还包括自然灾害（如雷电、地震、火灾等），物理损坏（如硬盘损坏、设备使用寿命到期等），设备故障（如停电、电磁干扰等），意外事故等。

狭义的系统安全包括计算机主机系统和 *** 系统上的主机、 *** 设备和某些终端设备的安全问题，主要针对对这些系统的攻击、侦听、欺骗等非法手段的防护。以下所有的计算机系统安全均是狭义的系统安全范畴。规划企业 *** 安全方案，要根据企业的 *** 现状和 *** 安全需求，结合 *** 安全分析，一是需要加强对 *** 出口安全方面的控制和管理，防止安全事故的发生；二是加强内部 *** 访问控制，以业务分工来规划 *** ，限制 *** 用户的访问范围；同时增加 *** 安全检测设备，对用户的非法访问进行监控。我们建议，企业的安全解决方案一般应有下面一些做法：

（1）在Internet接入处，放置高性能硬件防火墙（包括防火墙+带宽管理+流探测+互动IDS等）。防火墙要支持包过滤和应用级 *** 两种技术，具有三种管理方式，能够很方便的设置防火墙的各种安全策略，并且能够与 *** 入侵检测系统进行互动，相互配合，阻挡黑客的攻击。

（2）在内网快速以大网交换机上连接一个 *** 入侵检测系统，对进入内网的数据包进行检查，确保没有恶意的数据包进入，从而影响内网数据服务器的正常工作。

（3）使用互联网入侵检测系统对DMZ区和内网的服务器（包括Web服务器/应用服务器、数据服务器、DNS服务器、邮件服务器和管理服务器等），以及桌面计算机进行扫描和评估，进行人工安全分析，以确定其存在的各种安全隐患和漏洞，并根据扫描的结果提出加固建议，保护企业 *** 系统的正常工作。

（4）在各主要服务器上安装服务器防病毒产品，对服务器进行病毒防护，确保病毒不会进入各服务器，并且不会通过服务器进行传播。

（5）用一台专用的PC服务器安装服务器防病毒系统，并在内网上安装工作站防病毒产品，通过服务器防病毒系统对这些工作站进行管理和升级。

计算机 *** 安全漏洞及防范开题报告

1. 背景和意义

随着计算机的发展,人们越来越意识到 *** 的重要性,通过 *** ,分散在各处的计算机被 *** 联系在一起。做为 *** 的组成部分,把众多的计算机联系在一起,组成一个局域网,在这个局域网中,可以在它们之间共享程序、文档等各种资源；还可以通过 *** 使多台计算机共享同一硬件,如打印机、调制解调器等；同时我们也可以通过 *** 使用计算机发送和接收传真,方便快捷而且经济。

21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、 *** 社会的时候,我国将建立起一套完整的 *** 安全体系,特别是从政策上和法律上建立起有中国自己特色的 *** 安全体系。

一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决 *** 安全问题,最终的办法就是通过发展民族的安全产业,带动我国 *** 安全技术的整体提高。

*** 安全产品有以下几大特点：之一, *** 安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了；第二, *** 的安全机制与技术要不断地变化；第三,随着 *** 在社会个方面的延伸,进入 *** 的手段也越来越多,因此, *** 安全技术是一个十分复杂的系统工程。为此建立有中国特色的 *** 安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。 *** 不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。第二章 *** 安全现状

2. *** 安全面临的挑战

*** 安全可能面临的挑战

垃圾邮件数量将变本加厉。

根据电子邮件安全服务提供商Message Labs公司最近的一份报告,预计2003年全球垃圾邮件数量的增长率将超过正常电子邮件的增长率,而且就每封垃圾邮件的平均容量来说,也将比正常的电子邮件要大得多。这无疑将会加大成功狙击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的企业公司恐怕得早做未雨绸缪的工作,否则就得让自己的员工们在今后每天不停地在键盘上按动“删除键”了。另外,反垃圾邮件软件也得不停升级,因为目前垃圾邮件传播者已经在实行“打一枪换一个地方”的游击战术了。

即时通讯工具照样难逃垃圾信息之劫。

即时通讯工具以前是不大受垃圾信息所干扰的,但现在情况已经发生了很大的变化。垃圾邮件传播者会通过种种手段清理搜集到大量的 *** 地址,然后再给正处于即时通讯状态的用户们发去信息,诱导他们去访问一些非法收费网站。更令人头疼的是,目前一些推销合法产品的厂家也在使用这种让人厌烦的手段来让网民们上钩。目前市面上还没有任何一种反即时通讯干扰信息的软件,这对软件公司来说无疑也是一个商机。

内置防护软件型硬件左右为难。

现在人们对 *** 安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现,预计在今后的几年中将会成为一种潮流。但这种具有自护功能的硬件产品却正遭遇着一种尴尬,即在有人欢迎这种产品的同时,也有人反对这样的产品。往好处讲,这种硬件产品更容易安装,整体价格也相对低廉一些。但它也有自身的弊端：如果企业用户需要更为专业化的软件服务时,这种产品就不会有很大的弹性区间。

企业用户 *** 安全维护范围的重新界定。

目前各大企业公司的员工们在家里通过宽带接入而登录自己公司的 *** 系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为 *** 安全带来了新问题,即企业用户 *** 安全维护范围需要重新界定。因为他们都是远程登录者,并没有纳入传统的企业 *** 安全维护的“势力范围”之内。另外,由于来自 *** 的攻击越来越严重,许多企业用户不得不将自己 *** 系统内的每一台PC机都装上防火墙、反侵入系统以及反病毒软件等一系列的 *** 安全软件。这同样也改变了以往企业用户 *** 安全维护范围的概念。

个人的信用资料。

个人信用资料在公众的日常生活中占据着重要的地位。以前的 *** 犯罪者只是通过 *** 窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计2003年这种犯罪现象将会发展到全面窃取美国公众的个人信用资料的程度。如 *** 犯罪者可以对你的银行存款账号、社会保险账号以及你最近的行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给美国公众的日常人生活带来极大的负面影响。

3.病毒现状

互联网的日渐普及使得我们的日常生活不断 *** 化,但与此同时 *** 病毒也在继续肆虐威胁泛滥。在过去的六个月内,互联网安全饱受威胁,黑客蠕虫入侵问题越来越严重,已成泛滥成灾的趋势。

2003年8月,冲击波蠕虫在视窗暴露安全漏洞短短26天之后喷涌而出,8天内导致全球电脑用户损失高达20亿美元之多,无论是企业系统或家庭电脑用户无一幸免。

据最新出炉的赛门铁克互联网安全威胁报告书(Symantec Internet Security Threat Report)显示,在2003年上半年,有超过994种新的Win32病毒和蠕虫被发现,这比2002年同时期的445种多出一倍有余。而目前Win32病毒的总数大约是4千个。在2001年的同期,只有308种新Win32病毒被发现。

这份报告是赛门铁克在今年1月1日至6月31日之间,针对全球性的 *** 安全现状,提出的最为完整全面的威胁趋势分析。受访者来自世界各地500名安全保护管理服务用户,以及2万个DeepSight威胁管理系统侦察器所探测的数据。

赛门铁克高级区域董事罗尔威尔申在记者通气会上表示,微软虽然拥有庞大的用户市占率,但是它的漏洞也非常的多,成为病毒目标是意料中事。

他指出,开放源码如Linux等之所以没有受到太多病毒蠕虫的袭击,完全是因为使用者太少,以致于病毒制造者根本没有把它不放在眼里。他举例说,劫匪当然知道要把目标锁定在拥有大量现金的银行,所以他相信随着使用Linux平台的用户数量的增加,慢慢地将会有针对Linux的病毒和蠕虫出现。

不过,他不同意开放源码社群的合作精神将能有效地对抗任何威胁的袭击。他说,只要是将源码暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不怀好意的人多的是。

即时通讯病毒4倍增长

赛门铁克互联网安全威胁报告书指出,在2003年上半年使用诸如ICQ之类即时通讯软件(Instant Messaging,IM)和对等联网(P2P)来传播的病毒和蠕虫比2002年增加了400%,在50大病毒和蠕虫排行榜中,使用IM和P2P来传播的恶意代码共有19个。据了解,IM和P2P是 *** 安全保护措施不足导致但这并不是主因,主因在于它们的流行广度和使用者的无知。

该报告显示,该公司在今年上半年发现了1千432个安全漏洞,比去年同时期的1千276个安全漏洞,增加了12%。其中80%是可以被人遥控的,因此严重型的袭击可以通过 *** 来进行,所以赛门铁克将这类可遥控的漏洞列为中度至高度的严重危险。另外,今年上半年的新中度严重漏洞增加了21%、高度严重漏洞则增加了6%,但是低度严重漏洞则减少了11%。

至于整数错误的漏洞也有增加的趋势,今年的19例比起去年同期的3例,增加了16例。微软的互联网浏览器漏洞在今年上半年也有12个,而微软的互联网资讯服务器的漏洞也是非常的多,赛门铁克相信它将是更多袭击的目标；以前袭击它的有尼姆达(Nimda)和红色代码(Code Red)。

该报告显示了64%的袭击是针对软件新的安全漏洞(少过1年的发现期),显示了病毒制造者对漏洞的反应越来越快了。以Blaster冲击波为例,就是在Windows安全漏洞被发现短短26天后出现的。

知名病毒和蠕虫的威胁速度和频率也增加了不少,今年上半年的知名威胁比去年同期增加了20%,有60%的恶意代码(Malicious Code)是知名病毒。今年1月在短短数小时内造成全球性的瘫痪的Slammer蠕虫,正是针对2002年7月所发现的安全漏洞。另外,针对机密信息的袭击也比去年上半年增加了50%,Bugbear.B就是一个专锁定银行的蠕虫。

黑客病毒特征

赛门铁克互联网安全威胁报告书中也显现了有趣的数据,比如周末的袭击有比较少的趋向,这与去年同期的情况一样。

虽然如此,周末两天加上来也有大约20%,这可能是袭击者会认为周末没人上班,会比较疏于防备而有机可乘。赛门铁克表示这意味着 *** 安全保护监视并不能因为周末休息而有所放松。

该报告书也比较了蠕虫类和非蠕虫类袭击在周末的不同趋势,非蠕虫类袭击在周末会有下降的趋势,而蠕虫类袭击还是保持平时的水平。蠕虫虽然不管那是星期几,但是有很多因素也能影响它传播的率,比如周末少人开机,确对蠕虫的传播带来一些影响。

该报告书也得出了在互联网中病毒袭击发生的高峰时间,是格林威治时间下午1点至晚上10点之间。虽然如此,各国之间的时差关系,各国遭到袭击的高峰时间也会有少许不同。比如说,华盛顿袭击高峰时间是早上8时和下午5时,而日本则是早上10时和晚上7时。

知名病毒和蠕虫的威胁速度和频率也增加了不少,今年上半年的知名威胁比去年同期增加了20%,有60%的恶意代码(Malicious Code)是知名病毒。今年1月在短短数小时内造成全球性的瘫痪的Slammer蠕虫,正是针对2002年7月所发现的安全漏洞。另外,针对机密信息的袭击也比去年上半年增加了50%,Bugbear.B就是一个专锁定银行的蠕虫。管理漏洞---如两台服务器同一用户/密码,则入侵了A服务器,B服务器也不能幸免；软件漏洞---如Sun系统上常用的Netscape EnterPrise Server服务,只需输入一个路径,就可以看到Web目录下的所有文件清单；又如很多程序只要接受到一些异常或者超长的数据和参数,就会导致缓冲区溢出；结构漏洞---比如在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听 *** 通信流的数据；又如防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而酿成黑客入侵事故；信任漏洞---比如本系统过分信任某个外来合作伙伴的机器,一旦这台合作伙伴的机器被黑客入侵,则本系统的安全受严重威胁；

综上所述,一个黑客要成功入侵系统,必须分析各种和这个目标系统相关的技术因素、管理因素和人员因素。

因此得出以下结论：

a、世界上没有绝对安全的系统；b、 *** 上的威胁和攻击都是人为的,系统防守和攻击的较量无非是人的较量；c、特定的系统具备一定安全条件,在特定环境下,在特定人员的维护下是易守难攻的；d、 *** 系统内部软硬件是随着应用的需要不断发展变化的； *** 系统外部的威胁、新的攻击模式层出不穷,新的漏洞不断出现,攻击手段的花样翻新, *** 系统的外部安全条件也是随着时间的推移而不断动态变化的。

一言以蔽之, *** 安全是相对的,是相对人而言的,是相对系统和应用而言的,是相对时间而言的。 4,安全防御体系

3.1.2

现代信息系统都是以 *** 支撑,相互联接,要使信息系统免受黑客、病毒的攻击,关键要建立起安全防御体系,从信息的保密性（保证信息不泄漏给未经授权的人）,拓展到信息的完整性（防止信息被未经授权的篡改,保证真实的信息从真实的信源无失真地到达真实的信宿）、信息的可用性（保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其它人为因素造成的系统拒绝服务,或为敌手可用）、信息的可控性（对信息及信息系统实施安全监控管理）、信息的不可否认性（保证信息行为人不能否认自己的行为）等。

安全防御体系是一个系统工程,它包括技术、管理和立法等诸多方面。为了方便,我们把它简化为用三维框架表示的结构。其构成要素是安全特性、系统单元及开放互连参考模型结构层次。

安全特性维描述了计算机信息系统的安全服务和安全机制,包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性。采取不同的安全政策或处于不同安全保护等级的计算机信息系统可有不同的安全特性要求。系统单元维包括计算机信息系统各组成部分,还包括使用和管理信息系统的物理和行政环境。开放系统互连参考模型结构层次维描述了等级计算机信息系统的层次结构。

该框架是一个立体空间,突破了以往单一功能考虑问题的旧模式,是站在顶层从整体上进行规划的。它把与安全相关的物理、规章及人员等安全要素都容纳其中,涉及系统保安和人员的行政管理等方面的各种法令、法规、条例和制度等均在其考虑之列。

另外,从信息战出发,消极的防御是不够的,应是攻防并重,在防护基础上检测漏洞、应急反应和迅速恢复生成是十分必要的。

目前,世界各国都在抓紧加强信息安全防御体系。美国在2000年1月到2003年5月实行《信息系统保护国家计划V1.0》,从根本上提高防止信息系统入侵和破坏能力。我国急切需要强化信息安全保障体系,确立我军的信息安全战略和防御体系。这既是时代的需要,也是国家安全战略和军队发展的需要,更是现实斗争的需要,是摆在人们面前刻不容缓的历史任务。 5加密技术

密码理论与技术主要包括两部分,即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形,量子密码,基于生物特征的识别理论与技术）。

自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类：一类是基于大整数因子分解问题的,其中最典型的代表是RSA；另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。由于分解大整数的能力日益增强,所以对RSA的安全带来了一定的威胁。目前768比特模长的RSA已不安全。一般建议使用1024比特模长,预计要保证20年的安全就要选择1280比特的模长,增大模长带来了实现上的难度。而基于离散对数问题的公钥密码在目前技术下512比特模长就能够保证其安全性。特别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的计算更困难,目前技术下只需要160比特模长即可,适合于智能卡的实现,因而受到国内外学者的广泛关注。国际上制定了椭圆曲线公钥密码标准IEEEP1363,RSA等一些公司声称他们已开发出了符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点,包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。

公钥密码主要用于数字签名和密钥分配。当然,数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名有盲签名, *** 签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦 *** 基于有限域上的离散对数问题制定了自己的数字签名标准（DSS）,部分州已制定了数字签名法。法国是之一个制定数字签名法的国家,其他国家也正在实施之中。在密钥管理方面,国际上都有一些大的举动,比如1993年美国提出的密钥托管理论和技术、国际标准化组织制定的X.509标准（已经发展到第3版本）以及麻省里工学院开发的Kerboros协议(已经发展到第5版本)等,这些工作影响很大。密钥管理中还有一种很重要的技术就是秘密共享技术,它是一种分割秘密的技术,目的是阻止秘密过于集中,自从1979年Shamir提出这种思想以来,秘密共享理论和技术达到了空前的发展和应用,特别是其应用至今人们仍十分关注。我国学者在这些方面也做了一些跟踪研究,发表了很多论文,按照X.509标准实现了一些CA。但没有听说过哪个部门有制定数字签名法的意向。目前人们关注的是数字签名和密钥分配的具体应用以及潜信道的深入研究。

认证码是一个理论性比较强的研究课题,自80年代后期以来,在其构造和界的估计等方面已经取得了长足的发展,我国学者在这方面的研究工作也非常出色,影响较大。目前这方面的理论相对比较成熟,很难有所突破。另外,认证码的应用非常有限,几乎停留在理论研究上,已不再是密码学中的研究热点。

Hash函数主要用于完整性校验和提高数字签名的有效性,目前已经提出了很多方案,各有千秋。美国已经制定了Hash标准-SHA-1,与其数字签名标准匹配使用。由于技术的原因,美国目前正准备更新其Hash标准,另外,欧洲也正在制定Hash标准,这必然导致Hash函数的研究特别是实用技术的研究将成为热点。

信息交换加密技术分为两类：即对称加密和非对称加密。

1.对称加密技术

在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密 *** 可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形,这种 *** 使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。

2.非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开,而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。更具有代表性是RSA公钥密码体制。

3.RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的之一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

公开密钥：n=pq(p、q分别为两个互异的大素数,p、q必须保密)