關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全研究所介紹
最近有網(wǎng)友想了解下計(jì)算機(jī)網(wǎng)絡(luò)安全研究所,所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!
計(jì)算機(jī)網(wǎng)絡(luò)安全研究所一:
網(wǎng)絡(luò)與信息安全研究所〈教育部網(wǎng)絡(luò)信息安全審計(jì)與監(jiān)控工程研究中心〉,NiSL其前身是由復(fù)旦大學(xué)首席教授張根度創(chuàng)建于1977年的復(fù)旦網(wǎng)絡(luò)實(shí)驗(yàn)室,是中國(guó)高校中最早的網(wǎng)絡(luò)實(shí)驗(yàn)室之一。主要研究方向包括計(jì)算機(jī)網(wǎng)絡(luò)、信息安全、系統(tǒng)管理、移動(dòng)計(jì)算和大型應(yīng)用系統(tǒng)等。目前,研究所承建并運(yùn)行著教育部網(wǎng)絡(luò)信息安全審計(jì)與監(jiān)控工程研究中心、復(fù)旦-日立創(chuàng)新軟件技術(shù)聯(lián)合實(shí)驗(yàn)室和復(fù)旦-EMC創(chuàng)新網(wǎng)絡(luò)技術(shù)聯(lián)合實(shí)驗(yàn)室。
NiSL的學(xué)科帶頭人為計(jì)算機(jī)學(xué)院首任院長(zhǎng)張世永教授、以及鐘亦平教授、吳杰副教授、吳承榮副教授等,共有教師20名、在讀博士生和碩士生40余名,是一支富有創(chuàng)新活力的學(xué)術(shù)團(tuán)隊(duì)。
研究所在學(xué)術(shù)上提倡“早準(zhǔn)深廣巧”和軟硬件結(jié)合,創(chuàng)造了十幾項(xiàng)中國(guó)第一的科研成果,包括:中國(guó)第一臺(tái)分組交換機(jī)、第一個(gè)與因特網(wǎng)相連、第一個(gè)國(guó)際認(rèn)可的一致性測(cè)試實(shí)驗(yàn)室、第一套互聯(lián)網(wǎng)監(jiān)控設(shè)備等,促進(jìn)我國(guó)開(kāi)放了互聯(lián)網(wǎng),推進(jìn)了上海和全國(guó)的信息港建設(shè),為我國(guó)信息技術(shù)標(biāo)準(zhǔn)化和信息安全做出了重大的貢獻(xiàn)。獲得各類(lèi)科技獎(jiǎng)近20項(xiàng),包括國(guó)家科技進(jìn)步二等獎(jiǎng)2項(xiàng),省部級(jí)科技進(jìn)步一等獎(jiǎng)8項(xiàng),二等獎(jiǎng)7項(xiàng)。發(fā)表論文300多篇,主編或編寫(xiě)著作10余本。申請(qǐng)發(fā)明專(zhuān)利19項(xiàng)。畢業(yè)碩士/博士生百余名。主辦和協(xié)辦10多次國(guó)際學(xué)術(shù)會(huì)議,常年與國(guó)外高校和研究機(jī)構(gòu)聯(lián)合培養(yǎng)博士生和共同研究前沿課題。并注重科研成果產(chǎn)業(yè)化,創(chuàng)辦了“復(fù)旦網(wǎng)絡(luò)”和“復(fù)旦光華”等高科技企業(yè)。
計(jì)算機(jī)網(wǎng)絡(luò)安全研究所二:
網(wǎng)絡(luò)與信息安全研究所-NiSL
NiSL其前身是由復(fù)旦大學(xué)首席教授張根度創(chuàng)建于1977年的復(fù)旦網(wǎng)絡(luò)實(shí)驗(yàn)室,是中國(guó)高校中最早的網(wǎng)絡(luò)實(shí)驗(yàn)室之一。主要研究方向包括計(jì)算機(jī)網(wǎng)絡(luò)、信息安全、系統(tǒng)管理、移動(dòng)計(jì)算和大型應(yīng)用系統(tǒng)等。目前,研究所承建并運(yùn)行著教育部網(wǎng)絡(luò)信息安全審計(jì)與監(jiān)控工程研究中心、復(fù)旦-日立創(chuàng)新軟件技術(shù)聯(lián)合實(shí)驗(yàn)室和復(fù)旦-EMC創(chuàng)新網(wǎng)絡(luò)技術(shù)聯(lián)合實(shí)驗(yàn)室。
NiSL的學(xué)科帶頭人為計(jì)算機(jī)學(xué)院首任院長(zhǎng)張世永教授、以及鐘亦平教授、吳杰副教授、吳承榮副教授等,共有教師20名、在讀博士生和碩士生40余名,是一支富有創(chuàng)新活力的學(xué)術(shù)團(tuán)隊(duì)。
研究所在學(xué)術(shù)上提倡“早準(zhǔn)深廣巧”和軟硬件結(jié)合,創(chuàng)造了十幾項(xiàng)中國(guó)第一的科研成果,包括:中國(guó)第一臺(tái)分組交換機(jī)、第一個(gè)與因特網(wǎng)相連、第一個(gè)國(guó)際認(rèn)可的一致性測(cè)試實(shí)驗(yàn)室、第一套互聯(lián)網(wǎng)監(jiān)控設(shè)備等,促進(jìn)我國(guó)開(kāi)放了互聯(lián)網(wǎng),推進(jìn)了上海和全國(guó)的信息港建設(shè),為我國(guó)信息技術(shù)標(biāo)準(zhǔn)化和信息安全做出了重大的貢獻(xiàn)。獲得各類(lèi)科技獎(jiǎng)近20項(xiàng),包括國(guó)家科技進(jìn)步二等獎(jiǎng)2項(xiàng),省部級(jí)科技進(jìn)步一等獎(jiǎng)8項(xiàng),二等獎(jiǎng)7項(xiàng)。發(fā)表論文300多篇,主編或編寫(xiě)著作10余本。申請(qǐng)發(fā)明專(zhuān)利19項(xiàng)。畢業(yè)碩士/博士生百余名。主辦和協(xié)辦10多次國(guó)際學(xué)術(shù)會(huì)議,常年與國(guó)外高校和研究機(jī)構(gòu)聯(lián)合培養(yǎng)博士生和共同研究前沿課題。并注重科研成果產(chǎn)業(yè)化,創(chuàng)辦了“復(fù)旦網(wǎng)絡(luò)”和“復(fù)旦光華”等高科技企業(yè)。
首先學(xué)習(xí)啦小編給各位介紹下計(jì)算機(jī)網(wǎng)絡(luò)安全是什么
計(jì)算機(jī)網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件,也包括共享的資源,快捷的網(wǎng)絡(luò)服務(wù),所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計(jì)算機(jī)網(wǎng)絡(luò)所涉及的全部?jī)?nèi)容。參照ISO給出的計(jì)算機(jī)安全定義,我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)安全是指:“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件,軟件和數(shù)據(jù)資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行,網(wǎng)絡(luò)服務(wù)正常有序。”
網(wǎng)絡(luò)安全概述:是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露、系統(tǒng)能夠連續(xù)可靠正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。
網(wǎng)絡(luò)安全的特征
1、保密性:指網(wǎng)絡(luò)信息的內(nèi)容不會(huì)被未授權(quán)的第三方所知;
2、完整性:指網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞、不出現(xiàn)信息包的丟失、亂序等;
3、可用性:包括對(duì)靜態(tài)信息的可得到和可操作性及對(duì)動(dòng)態(tài)信息內(nèi)容的可見(jiàn)性,網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等屬于對(duì)可用性的攻擊;
4、真實(shí)性:指網(wǎng)絡(luò)信息的可信度,主要是指對(duì)信息所有者或發(fā)送者的身份確認(rèn);
5、可控性:指對(duì)信息的傳播及內(nèi)容具有控制能力,包括 信息加密密鑰不可丟失(不是泄密),存儲(chǔ)信息的節(jié)點(diǎn)、磁盤(pán)等信息載體不被盜用等。
計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí):
內(nèi)部網(wǎng)
目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng),任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收,也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此,黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽(tīng),就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包,對(duì)其進(jìn)行解包分析,從而竊取關(guān)鍵信息,這就是以太網(wǎng)所固有的安全隱患。
事實(shí)上,Internet上許多免費(fèi)的黑客工具,如SATAN、ISS、NETCAT等等,都把以太網(wǎng)偵聽(tīng)作為其最基本的手段。
當(dāng)前,局域網(wǎng)安全的解決辦法有以下幾種:
1.網(wǎng)絡(luò)分段
網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段,但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法偵聽(tīng),網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。
目前,海關(guān)的局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局,應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪問(wèn)控制功能和三層交換功能,綜合應(yīng)用物理分段與邏輯分段兩種方法,來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。例如:在海關(guān)系統(tǒng)中普遍使用的DEC MultiSwitch 900的入侵檢測(cè)功能,其實(shí)就是一種基于MAC地址的訪問(wèn)控制,也就是上述的基于數(shù)據(jù)鏈路層的物理分段。
2.以交換式集線器代替共享式集線器
對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后,以太網(wǎng)偵聽(tīng)的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶(hù)的接入往往是通過(guò)分支集線器而不是中心交換機(jī),而使用最廣泛的分支集線器通常是共享式集線器。這樣,當(dāng)用戶(hù)與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí),兩臺(tái)機(jī)器之間的數(shù)據(jù)包(稱(chēng)為單播包Unicast Packet)還是會(huì)被同一臺(tái)集線器上的其他用戶(hù)所偵聽(tīng)。一種很危險(xiǎn)的情況是:用戶(hù)TELNET到一臺(tái)主機(jī)上,由于TELNET程序本身缺乏加密功能,用戶(hù)所鍵入的每一個(gè)字符(包括用戶(hù)名、密碼等重要信息),都將被明文發(fā)送,這就給黑客提供了機(jī)會(huì)。
因此,應(yīng)該以交換式集線器代替共享式集線器,使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法偵聽(tīng)。當(dāng)然,交換式集線器只能控制單播包而無(wú)法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,廣播包和多播包內(nèi)的關(guān)鍵信息,要遠(yuǎn)遠(yuǎn)少于單播包。
3.VLAN的劃分
為了克服以太網(wǎng)的廣播問(wèn)題,除了上述方法外,還可以運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù),將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信,防止大部分基于網(wǎng)絡(luò)偵聽(tīng)的入侵。
目前的VLAN技術(shù)主要有三種:基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?;诙丝诘腣LAN雖然稍欠靈活,但卻比較成熟,在實(shí)際應(yīng)用中效果顯著,廣受歡迎?;贛AC地址的VLAN為移動(dòng)計(jì)算提供了可能性,但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN,理論上非常理想,但實(shí)際應(yīng)用卻尚不成熟。
在集中式網(wǎng)絡(luò)環(huán)境下,我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里,在這個(gè)VLAN里不允許有任何用戶(hù)節(jié)點(diǎn),從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下,我們可以按機(jī)構(gòu)或部門(mén)的設(shè)置來(lái)劃分VLAN。各部門(mén)內(nèi)部的所有服務(wù)器和用戶(hù)節(jié)點(diǎn)都在各自的VLAN內(nèi),互不侵?jǐn)_。
VLAN內(nèi)部的連接采用交換實(shí)現(xiàn),而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。目前,大多數(shù)的交換機(jī)(包括海關(guān)內(nèi)部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國(guó)際標(biāo)準(zhǔn)的路由協(xié)議。如果有特殊需要,必須使用其他路由協(xié)議(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網(wǎng)口路由器來(lái)代替交換機(jī),實(shí)現(xiàn)VLAN之間的路由功能。當(dāng)然,這種情況下,路由轉(zhuǎn)發(fā)的效率會(huì)有所下降。
無(wú)論是交換式集線器還是VLAN交換機(jī),都是以交換技術(shù)為核心,它們?cè)诳刂茝V播、防止黑客上相當(dāng)有效,但同時(shí)也給一些基于廣播原理的入侵監(jiān)控技術(shù)和協(xié)議分析技術(shù)帶來(lái)了麻煩。因此,如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備,就必須選用特殊的帶有SPAN(Switch Port Analyzer)功能的交換機(jī)。這種交換機(jī)允許系統(tǒng)管理員將全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上,提供給接在這一端口上的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備。筆者在廈門(mén)海關(guān)外部網(wǎng)設(shè)計(jì)中,就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機(jī),既得到了交換技術(shù)的好處,又使原有的Sniffer協(xié)議分析儀“英雄有用武之地”。
廣域網(wǎng)
B.廣域網(wǎng)安全
由于廣域網(wǎng)大多采用公網(wǎng)來(lái)進(jìn)行數(shù)據(jù)傳輸,信息在廣域網(wǎng)上傳輸時(shí)被截取和利用的可能性就比局域網(wǎng)要大得多。如果沒(méi)有專(zhuān)用的軟件對(duì)數(shù)據(jù)進(jìn)行控制,只要使用Internet上免費(fèi)下載的“包檢測(cè)”工具軟件,就可以很容易地對(duì)通信數(shù)據(jù)進(jìn)行截取和破譯。
因此,必須采取手段,使得在廣域網(wǎng)上發(fā)送和接收信息時(shí)能夠保證:
?、俪税l(fā)送方和接收方外,其他人是無(wú)法知悉的(隱私性);
?、趥鬏斶^(guò)程中不被篡改(真實(shí)性);
③發(fā)送方能確知接收方不是假冒的(非偽裝性);
?、馨l(fā)送方不能否認(rèn)自己的發(fā)送行為(不可抵賴(lài)性)。
為了達(dá)到以上安全目的,廣域網(wǎng)通常采用以下安全解決辦法:
1.加密技術(shù)
加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴(lài)于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全,而是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來(lái)保障網(wǎng)絡(luò)的安全可靠性。數(shù)據(jù)加密技術(shù)可以分為三類(lèi),即對(duì)稱(chēng)型加密、不對(duì)稱(chēng)型加密和不可逆加密。
其中不可逆加密算法不存在密鑰保管和分發(fā)問(wèn)題,適用于分布式網(wǎng)絡(luò)系統(tǒng),但是其加密計(jì)算量相當(dāng)可觀,所以通常用于數(shù)據(jù)量有限的情形下使用。計(jì)算機(jī)系統(tǒng)中的口令就是利用不可逆加密算法加密的。近年來(lái),隨著計(jì)算機(jī)系統(tǒng)性能的不斷提高,不可逆加密算法的應(yīng)用逐漸增加,常用的如RSA公司的MD5和美國(guó)國(guó)家標(biāo)準(zhǔn)局的SHS。在海關(guān)系統(tǒng)中廣泛使用的Cisco路由器,有兩種口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未發(fā)現(xiàn)破解方法(除非使用字典攻擊法)。而Enable Password則采用了非常脆弱的加密算法(即簡(jiǎn)單地將口令與一個(gè)常數(shù)進(jìn)行XOR與或運(yùn)算),目前至少已有兩種破解軟件。因此,最好不用Enable Password。
2.技術(shù)
(虛擬專(zhuān)網(wǎng))技術(shù)的核心是采用隧道技術(shù),將企業(yè)專(zhuān)網(wǎng)的數(shù)據(jù)加密封裝后,透過(guò)虛擬的公網(wǎng)隧道進(jìn)行傳輸,從而防止敏感數(shù)據(jù)的被竊??梢栽贗nternet、服務(wù)提供商的IP、幀中繼或ATM網(wǎng)上建立。企業(yè)通過(guò)公網(wǎng)建立,就如同通過(guò)自己的專(zhuān)用網(wǎng)建立內(nèi)部網(wǎng)一樣,享有較高的安全性、優(yōu)先性、可靠性和可管理性,而其建立周期、投入資金和維護(hù)費(fèi)用卻大大降低,同時(shí)還為移動(dòng)計(jì)算提供了可能。因此,技術(shù)一經(jīng)推出,便紅遍全球。
但應(yīng)該指出的是,目前技術(shù)的許多核心協(xié)議,如L2TP、IPSec等,都還未形成通用標(biāo)準(zhǔn)。這就使得不同的服務(wù)提供商之間、設(shè)備之間的互操作性成為問(wèn)題。因此,企業(yè)在建網(wǎng)選型時(shí),一定要慎重選擇服務(wù)提供商和設(shè)備。
3.身份認(rèn)證技術(shù)
對(duì)于從外部撥號(hào)訪問(wèn)總部?jī)?nèi)部網(wǎng)的用戶(hù),由于使用公共電話網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來(lái)的風(fēng)險(xiǎn),必須更加嚴(yán)格控制其安全性。一種常見(jiàn)的做法是采用身份認(rèn)證技術(shù),對(duì)撥號(hào)用戶(hù)的身份進(jìn)行驗(yàn)證并記錄完備的登錄日志。較常用的身份認(rèn)證技術(shù),有Cisco公司提出的TACACS+以及業(yè)界標(biāo)準(zhǔn)的RADIUS。筆者在廈門(mén)海關(guān)外部網(wǎng)設(shè)計(jì)中,就選用了Cisco公司的CiscoSecure ACS V2.3軟件進(jìn)行RADIUS身份認(rèn)證。
外部網(wǎng)
C.外部網(wǎng)安全
海關(guān)的外部網(wǎng)建設(shè),通常指與Internet的互聯(lián)及與外部企業(yè)用戶(hù)的互聯(lián)兩種。無(wú)論哪一種外部網(wǎng),都普遍采用基于TCP/IP的Internet協(xié)議族。Internet協(xié)議族自身的開(kāi)放性極大地方便了各種計(jì)算機(jī)的組網(wǎng)和互聯(lián),并直接推動(dòng)了網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展。但是,由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視,以及Internet在使用和管理上的無(wú)政府狀態(tài),逐漸使Internet自身的安全受到威脅,黑客事件頻頻發(fā)生。
對(duì)外部網(wǎng)安全的威脅主要表現(xiàn)在:非授權(quán)訪問(wèn)、冒充合法用戶(hù)、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽(tīng)等。
外部網(wǎng)安全解決辦法主要依靠防火墻技術(shù)、入侵檢測(cè)技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)。在實(shí)際的外部網(wǎng)安全設(shè)計(jì)中,往往采取上述三種技術(shù)(即防火墻、入侵檢測(cè)、網(wǎng)絡(luò)防病毒)相結(jié)合的方法。筆者在廈門(mén)海關(guān)外部網(wǎng)設(shè)計(jì)中,就選用了NAI公司最新版本的三宿主自適應(yīng)動(dòng)態(tài)防火墻Gauntlet Active Firewall。該防火墻產(chǎn)品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件,將防火墻技術(shù)、入侵檢測(cè)技術(shù)與網(wǎng)絡(luò)防病毒技術(shù)融為一體,緊密結(jié)合,相得益彰,性?xún)r(jià)比比較高。