网络安全技术的论文有哪些多篇

网络安全技术论文 篇一

1 引言

随着无线网络技术的出现，为用户提供了一种崭新的接入互联网的方式，使我们摆脱了网线的束缚，更使我们距离随时随地与任何人进行任何内容通信的人类通信终极梦想又进了一步。但是由于无线网络是采用公共的电磁波作为载体，电磁波能够穿过天花板、玻璃、楼层和墙等物体，因此在一个无线网络接入点所在的服务区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号，这样就可能包括一些恶意用户也能接收到该无线网络信号，因此数据安全成为了无线网络技术当下迫切要解决的问题。

2 无线网络的安全隐患

当前在规划和建设无线网络中现面临两大问题：

（1）网络劫持

网络劫持指的是网络黑客将自己的主机伪装成默认网关或者特定主机，使得所有试图进入网络或者连接到被网络黑客顶替的机器上的用户都会自动连接到伪装机器上。典型的无线网络劫持就是使用欺骗性AP。他们会通过构建一个信号强度好的AP，使得无线用户忽视通常的AP而连接到欺骗性AP上，这样网络黑客就会接收到来自其他合法用户的验证请求和信息后，就可以将自己伪装成为合法用户并进入目标网络。

（2）嗅探

这是一种针对计算机网络通信的电子窃听。通过使用这种工具，网络黑客能够察看到无线网络的所有通信。要想使无线网络不被该工具发现，必须关闭用于网络识别的广播以及任何未经授权用户访问资格。然而关闭广播意味着无线网络不能被正常用户端发现，因此要使用户免受该工具攻击的唯一方法就是尽可能使用加密。

3 无线网络主要信息安全技术

（1）扩频技术

该技术是军方为了使用无线通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中，是一直被干扰和越权接收的。扩频技术是将非常低的能量在一系列的频率范围中发送。通常我们使用直序扩频技术和跳频扩频技术来实现传输。一些无线网络产品在ISM波段的2.4～2.4835GHz范围内传输信号，在这个范围内可以得到79个隔离的不同通道，无线信号是被发送到成为随机序列排列的每一个通道上。我们知道无线电波每秒钟变换频率次数是很多的，现将无线信号按顺序发送到每一个通道上，并且在每一通道上停留固定的时间，在转换前要覆盖所有通道。如果不知道在每—通道上停留的时问和跳频图案，系统外的劫持站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰，也不用担心网络上的数据被其他人截获。

（2）用户验证

即采用密码控制，在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。由于无线网络支持使用笔记本或其它移动设备的漫游用户，所以精确的密码策略可以增加一个安全级别，这样就可以确保该无线网络只被授权人使用。

（3）数据加密

对数据的安全要求极高的系统，例如金融或军队的网络，需要一些特别的安全措施，这就要用到数据加密的技术。借助于硬件或软件，在数据包被发送之前给予加密，那么只有拥有正确密钥的工作站才能解密并读出数据。

如果要求整体的安全性，数据加密将是最好的解决办法。这种方法通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中，由制造商提供，另外我们还可以选择低价格的第三方产品。

(4)WEP加密配置

WEP加密配置是确保经过授权的无线网络用户不被窃听的验证算法，是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。

（5）防止入侵者访问网络资源

这是用一个验证算法来实现的。在这种算法中，适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下，入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。

4 改进方法及措施

（1）正确放置网络的接入点设备

在网络配置中，要确保无线接入点放置在防火墙范围之外。

（2）利用MAC阻止黑客攻击

利用基于MAC地址的访问控制表，确保只有经过注册的用户端才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁，设置的障碍越多，越会使黑客知难而退，不得不转而寻求其它低安全性的网络。

(3)WEP协议的重要性

WEP是802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应该立即更改WEP密钥的缺省值。

最理想的方式是WEP的密钥能够在用户登录后进行动态改变。这样，黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的WEP密钥管理技术能够实现最优保护，为网络增加另外一层防范。

（4）简化网络安全管理：集成无线和有线网络安全策略

无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平，降低管理成本。例如，不论用户是通过有线还是无线方式进入网络时，都需要采用集成化的单一用户ID和密码。

（5）不能让非专业人员构建无线网络

尽管现在无线网络的构建已经非常方便，即使是非专业人员也可以自己在办公室内安装无线路由器和接入点设备。但是，他们在安装过程中很少考虑到网络的安全性，这样就会通过网络探测工具扫描就能够给黑客留下攻击的后门。因而，在没有专业系统管理员同意和参与的情况下，要限制无线网络的构建，这样才能保证无线网络的安全。

网络安全技术论文 篇二

1 引言

随着计算机网络技术的飞速发展，无线网络技术以独特的优点，被许多企业、政府、家庭所使用，但在其安装、使用便利，接入方式灵活的同时，由于无线网络传送的数据是利用无线电波在空中辐射传播，这种传播方式是发散的、开放的，这给数据安全带来了诸多潜在的隐患。无线网络可能会遭到搜索攻击、信息泄露攻击、无线身份验证欺骗攻击、网络接管与篡改、拒绝服务攻击等安全威胁，因此，探讨新形势下无线网络安全的应对之策，对确保无线网络安全，提高网络运行质量具有十分重要的意义。

2 无线网络存在的主要安全威胁

无线网络存在的主要安全威胁有两类：一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击；另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见，无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。

2.1 攻击者侵入威胁

无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线在合适的范围内对网络发起攻击而不需要任何物理方式的侵入。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。还有的部分设备、技术不完善，导致网络安全性受到挑战。这些挑战可能包括窃听、截取和监听。以被动和无法觉察的方式入侵检测设备的，即使网络不对外广播网络信息，只要能够发现任何明文信息，攻击者仍然可以使用一些网络工具，如AiroPeek和TCPDump来监听和分析通信量，从而识别出可以解除的信息。

2.2 相关无线网络保密机制存在缺陷

WEP机制用来提高无线网络安全性，但长期的运行结果是该机制存在一定的安全缺陷，值得影响大家的关注。加密算法过于简单。WEP中的IV由于位数太短和初始化复位设计，常常出现重复使用现象，易于被他人解除密钥。而对用于进行流加密的RC4算法，在其头256个字节数据中的密钥存在弱点，容易被黑客攻破。一个是接入点和客户端使用相同的加密密钥。如果在家庭或者小企业内部，一个访问节点只连接几台PC的话还可以，但如果在不确定的客户环境下则无法使用。让全部客户都知道密钥的做法，无疑在宣告WLAN根本没有加密。不同的制造商提供了两种WEP级别，一种建立在40位密钥和24位初始向量基础上，被称作64位密码；另一种是建立在104位密码加上24位初始向量基础上的，被称作128位密码。高水平的黑客，要窃取通过40位密钥加密的传输资料并非难事，40位的长度就拥有2的40次方的排列组合，而RSA的解除速度，每秒就能列出2.45×109种排列组合，很容易就可以被解除出来。

虽然WEP有着种种的不安全，但是很多情况下，许多访问节点甚至在没有激活WEP的情况下就开始使用网络了，这好像在敞开大门迎接敌人一样。用NetStumbler等工具扫描一下网络就能轻易记下MAC地址、网络名、服务设置标识符、制造商、信道、信号强度、信噪比的情况。作为防护功能的扩展，最新的无线局域网产品的防护功能www本站uawen.本站cn更进了一步，利用密钥管理协议实现每15分钟更换一次WEP密钥，即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。然而，一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改，几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。

2.3 搜索攻击威胁

进行搜索也是攻击无线网络的一种方法，现在有很多针对无线网络识别与攻击的技术和软件。NetStumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的，或即使加密功能是处于活动状态，如果没有关闭AP（无线基站）广播信息功能，AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息，如网络名称、SSID（安全集标识符）等可给黑客提供入侵的条件。同时，许多用户由于安全意识淡薄，没有改变缺省的配置选项，而缺省的加密设置都是比较简单或脆弱，容易遭受黑客攻击。

除通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。

2.4 网络身份冒充

网络身份冒充是采取假冒相关用户的身份，通过网络设备，使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的，最简单的方法是重新定义无线网络或网卡的MAC地址。由于TCP/IP的设计原因，几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是，因为巨大的管理负担，这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候，简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。

3 无线网络安全对策探讨

提高无线网络安全等级，必须首先从思想要高度重视，提出有效的应对举措，确保无线网络安全。

3.1 科学进行网络部署

选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件，同时还要做到如下几点：修改设备的默认值；把基站看作 RAS（RemoteAccessServer，远程访问服务器）；指定专用于无线网络的IP协议；在AP上使用速度最快的、能够支持的安全功能；考虑天线对授权用户和入侵者的影响；在网络上，针对全部用户使用一致的授权规则；在不会被轻易损坏的位置部署硬件。

3.2 合理配置网络的接入点设备

要对无线网络加装防火墙，并且在进行网络配置时，要首先确保无线接入点放置在防火墙范围之外，提高防火墙的防御功效。同时，要利用基于MAC地址的ACLs（访问控制表）确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁，设置的障碍越多，越会使黑客知难而退，不得不转而寻求其他低安全性的网络。

3.3 重视发挥WEP协议的重要作用

WEP是802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即更改WEP密钥的缺省值。最理想的方式是WEP的密钥能够在用户登录后进行动态改变，这样，黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的WEP密钥管理技术能够实现最优保护，为网络增加另外一层防范。此外，所有无线局域网都有一个缺省的SSID（服务标识符）或网络名，立即更改这个名字，用文字和数字符号来表示。如果企业具有网络管理能力，应该定期更改SSID：即取消SSID自动播放功能。

网络安全技术的论文 篇三

1 引言

21世纪全世界的计算机大部分都将通过互联网连到一起，在信息社会中，随着国民经济的信息化程度的提高，有关的大量情报和商务信息都高度集中地存放在计算机中，随着网络应用范围的扩大，信息的泄露问题也变得日益严重，因此，计算机网络的安全性问题就越来越重要。

2 网络威胁

2.1网络威胁的来源

（1）网络操作系统的不安全性：目前流行的操作系统均存在网络安全漏洞。

（2）来自外部的安全威胁：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒等。

（3）网络通信协议本身缺乏安全性（如：TCP/IP协议）：协议的最大缺点就是缺乏对IP地址的保护，缺乏对IP包中源IP地址真实性的认证机制与保密措施。

（4）木马及病毒感染。

（5）应用服务的安全：许多应用服务系统在访问控制及安全通信方面考虑的不周全。

2.2网络攻击的发展趋势

目前新发现的安全漏洞每年都要增加一倍。管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标，而且现在攻击工具越来越复杂，与以前相比，攻击工具的特征更难发现，更难利用特征进行检测，具有反侦察的动态行为攻击者采用隐蔽攻击工具特性的技术。攻击自动化程度和攻击速度提高，杀伤力逐步提高。越来越多的攻击技术可以绕过防火墙。在许多的网站上都有大量的穿过防火墙的技术和资料。由此可见管理人员应对组成网络的各种软硬件设施进行综合管理，以达到充分利用这些资源的目的，并保证网络向用户提供可靠的通信服务。

3 网络安全技术

3.1网络安全管理措施

安全管理是指按照本地的指导来控制对网络资源的访问，以保证网络不被侵害，并保证重要信息不被未授权的用户访问。网络安全管理主要包括：安全设备的管理、安全策略管理、安全风险控制、安全审计等几个方面。安全设备管理：指对网络中所有的安全产品。如防火墙、、防病毒、入侵检测（网络、主机）、漏洞扫描等产品实现统一管理、统一监控。

安全策略管理：指管理、保护及自动分发全局性的安全策略，包括对安全设备、操作系统及应用系统的安全策略的管理。

安全分析控制：确定、控制并消除或缩减系统资源的不定事件的总过程，包括风险分析、选择、实现与测试、安全评估及所有的安全检查（含系统补丁程序检查）。

安全审计：对网络中的安全设备、操作系统及应用系统的日志信息收集汇总。实现对这些信息的查询和统计；并通过对这些集中的信息的进一步分析，可以得出更深层次的安全分析结果。

3.2网络安全防护措施

3.2.1防火墙技术

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备，主要方法有：堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换(NAT)、代理型和监测型。

（1）包过滤型

包过滤型产品是防火墙的初级产品，这种技术由路由器和Filter共同完成，路由器审查每个包以便确定其是否与某一包过滤原则相匹配。防火墙通过读取数据包中的“包头”的地址信息来判断这些“包”是否来自可信任的安全站，如果来自危险站点，防火墙便会将这些数据拒绝。包过滤的优点是处理速度快易于维护。其缺点是包过滤技术完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法告知何人进入系统，无法识别基于应用层的恶意入侵，如木马程序，另一不足是不能在用户级别上进行过滤。即不能鉴别不同的用户和防止IP盗用。

（2）网络地址转换

网络地址转换在内部网络通过安全网卡访问外部网络时。将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，而隐藏真实的内部网络地址。利用网络地址转换技术能透明地对所有内部地址作转换，使外部网络无法了解内部结构，同时允许内部网络使用自编的IP地址和专用网络。防火墙根据预先定义好的映射规则来判断这个访问是否安全。

（3）代理型

代理型的特点是将所有跨越防火墙的网络通讯链路分为二段。防火墙内外计算机系统间的应用层的“连接”由二个终止于代理服务器上的“连接”来实现，外部计算机的网络链路只能到达代理服务器，由此实现了“防火墙”内外计算机系统的隔离，代理服务器在此等效于一个网络传输层上的数据转发器的功能，外部的恶意侵害也就很难破坏内部网络系统。代理型防火墙的优点是安全性较高，可对应用层进行侦测和扫描，对基于应用层的入侵和病毒十分有效。其缺点是对系统的整体性能有较大的影响，系统管理复杂。

（4）监测型

监测型防火墙是新一代的产品，监测型防火墙能够对各层的数据进行主动的、实时的监测。在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中。不仅能够监测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品，但其缺点是实现成本较高，管理复杂。所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面已开始使用监测型防火墙。

3.2.2物理隔离

所谓“物理隔离”是指内部网不得直接或间接地连接公共网。虽然能够利用防火墙、代理服务器、入侵监测等技术手段来抵御来自互联网的非法入侵。但是这些技术手段都还存在许多不足，使得内网信息的绝对安全无法实现。“物理隔离”一般采用网络隔离卡的方法。它由三部分组成：内网处理单元、外网处理单元和一个隔离岛。它将单一的PC物理隔离成两个虚拟工作站，分别有自己独立的硬盘分区和操作系统，并能通过各自的专用接口与网络连接。它通过有效而全面地控制计算机的硬盘数据线，使得计算机一次只能访问及使用其中的一个硬盘分区，从而最大限度地保证了安全（内网）与非安全（外网）之间的物理隔离。隔离岛在外网区域时可以读/写文件，而在内网区域时只可以读取文件，这样就创建了一个只能从外网到内网、操作简便且非常安全的单向数据通道。

4 结论

随着网络的发展会有更多新的计算机的攻击方式和手段出现，也会有更多更新的防护技术手段出现，做好网络安全防护工作是计算机管理和应用的重要内容，做好计算机的安全管理，配合高效的防火墙，能够很好地保障网络的安全，极大提高网络的运行效率。