關於計算機網路安全研究所介紹

　　最近有網友想了解下計算機網路安全研究所,所以小編就整理了相關資料分享給大家,具體內容如下.希望大家參考參考!!!

　　計算機網路安全研究所一：

　　網路與資訊保安研究所〈教育部網路資訊保安審計與監控工程研究中心〉，NiSL其前身是由復旦大學首席教授張根度創建於1977年的復旦網路實驗室，是中國高校中最早的網路實驗室之一。主要研究方向包括計算機網路、資訊保安、系統管理、移動計算和大型應用系統等。目前，研究所承建並執行著教育部網路資訊保安審計與監控工程研究中心、復旦-日立創新軟體技術聯合實驗室和復旦-EMC創新網路技術聯合實驗室。

　　NiSL的學科帶頭人為計算機學院首任院長張世永教授、以及鍾亦平教授、吳傑副教授、吳承榮副教授等，共有教師20名、在讀博士生和碩士生40餘名，是一支富有創新活力的學術團隊。

　　研究所在學術上提倡“早準深廣巧”和軟硬體結合，創造了十幾項中國第一的科研成果，包括：中國第一臺分組交換機、第一個與因特網相連、第一個國際認可的一致性測試實驗室、第一套網際網路監控裝置等，促進我國開放了網際網路，推進了上海和全國的資訊港建設，為我國資訊科技標準化和資訊保安做出了重大的貢獻。獲得各類科技獎近20項，包括國家科技進步二等獎2項，省部級科技進步一等獎8項，二等獎7項。發表論文300多篇，主編或編寫著作10餘本。申請發明專利19項。畢業碩士/博士生百餘名。主辦和協辦10多次國際學術會議，常年與國外高校和研究機構聯合培養博士生和共同研究前沿課題。並注重科研成果產業化，創辦了“復旦網路”和“復旦光華”等高科技企業。

　　計算機網路安全研究所二：

　　網路與資訊保安研究所-NiSL

　　NiSL其前身是由復旦大學首席教授張根度創建於1977年的復旦網路實驗室，是中國高校中最早的網路實驗室之一。主要研究方向包括計算機網路、資訊保安、系統管理、移動計算和大型應用系統等。目前，研究所承建並執行著教育部網路資訊保安審計與監控工程研究中心、復旦-日立創新軟體技術聯合實驗室和復旦-EMC創新網路技術聯合實驗室。

首先小編給各位介紹下計算機網路安全是什麼

　　計算機網路安全不僅包括組網的硬體、管理控制網路的軟體，也包括共享的資源，快捷的網路服務，所以定義網路安全應考慮涵蓋計算機網路所涉及的全部內容。參照ISO給出的電腦保安定義，我認為計算機網路安全是指：“保護計算機網路系統中的硬體，軟體和資料資源，不因偶然或惡意的原因遭到破壞、更改、洩露，使網路系統連續可靠性地正常執行，網路服務正常有序。”

　　網路安全概述：是指網路系統的硬體、軟體及其系統中的資料受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、洩露、系統能夠連續可靠正常執行，網路服務不中斷。

　　網路安全的特徵

　　1、保密性：指網路資訊的內容不會被未授權的第三方所知;

　　2、完整性：指網路資訊在儲存或傳輸時不被修改、破壞、不出現資訊包的丟失、亂序等;

　　3、可用性：包括對靜態資訊的可得到和可操作性及對動態資訊內容的可見性，網路環境下拒絕服務、破壞網路和有關係統的正常執行等屬於對可用性的攻擊;

　　4、真實性：指網路資訊的可信度，主要是指對資訊所有者或傳送者的身份確認;

　　5、可控性：指對資訊的傳播及內容具有控制能力，包括資訊加密金鑰不可丟失不是洩密，儲存資訊的節點、磁碟等資訊載體不被盜用等。

　　計算機網路安全知識：

　　內部網

　　目前的區域網基本上都採用以廣播為技術基礎的乙太網，任何兩個節點之間的通訊資料包，不僅為這兩個節點的網絡卡所接收，也同時為處在同一乙太網上的任何一個節點的網絡卡所擷取。因此，黑客只要接入乙太網上的任一節點進行偵聽，就可以捕獲發生在這個乙太網上的所有資料包，對其進行解包分析，從而竊取關鍵資訊，這就是乙太網所固有的安全隱患。

　　A.區域網安全

　　事實上，Internet上許多免費的黑客工具，如SATAN、ISS、NETCAT等等，都把乙太網偵聽作為其最基本的手段。

　　當前，區域網安全的解決辦法有以下幾種：

　　1.網路分段

　　網路分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是保證網路安全的一項重要措施。其目的就是將非法使用者與敏感的網路資源相互隔離，從而防止可能的非法偵聽，網路分段可分為物理分段和邏輯分段兩種方式。

　　目前，海關的區域網大多采用以交換機為中心、路由器為邊界的網路格局，應重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對區域網的安全控制。例如：在海關係統中普遍使用的DEC MultiSwitch 900的入侵檢測功能，其實就是一種基於MAC地址的訪問控制，也就是上述的基於資料鏈路層的物理分段。

　　2.以交換式集線器代替共享式集線器

　　對區域網的中心交換機進行網路分段後，乙太網偵聽的危險仍然存在。這是因為網路終端使用者的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行資料通訊時，兩臺機器之間的資料包稱為單播包Unicast Packet還是會被同一臺集線器上的其他使用者所偵聽。一種很危險的情況是：使用者TELNET到一臺主機上，由於TELNET程式本身缺乏加密功能，使用者所鍵入的每一個字元包括使用者名稱、密碼等重要資訊，都將被明文傳送，這就給黑客提供了機會。

　　因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。當然，交換式集線器只能控制單播包而無法控制廣播包Broadcast Packet和多播包Multicast Packet。所幸的是，廣播包和多播包內的關鍵資訊，要遠遠少於單播包。

　　3.VLAN的劃分

　　為了克服乙太網的廣播問題，除了上述方法外，還可以運用VLAN虛擬區域網技術，將乙太網通訊變為點到點通訊，防止大部分基於網路偵聽的入侵。

　　目前的VLAN技術主要有三種：基於交換機埠的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於埠的VLAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基於協議的VLAN，理論上非常理想，但實際應用卻尚不成熟。

　　在集中式網路環境下，我們通常將中心的所有主機系統集中到一個VLAN裡，在這個VLAN裡不允許有任何使用者節點，從而較好地保護敏感的主機資源。在分散式網路環境下，我們可以按機構或部門的設定來劃分VLAN。各部門內部的所有伺服器和使用者節點都在各自的VLAN內，互不侵擾。

　　VLAN內部的連線採用交換實現，而VLAN與VLAN之間的連線則採用路由實現。目前，大多數的交換機包括海關內部普遍採用的DEC MultiSwitch 900都支援RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要，必須使用其他路由協議如CISCO公司的EIGRP或支援DECnet的IS-IS，也可以用外接的多乙太網口路由器來代替交換機，實現VLAN之間的路由功能。當然，這種情況下，路由轉發的效率會有所下降。

　　無論是交換式集線器還是VLAN交換機，都是以交換技術為核心，它們在控制廣播、防止黑客上相當有效，但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此，如果區域網記憶體在這樣的入侵監控裝置或協議分析裝置，就必須選用特殊的帶有SPANSwitch Port Analyzer功能的交換機。這種交換機允許系統管理員將全部或某些交換埠的資料包對映到指定的埠上，提供給接在這一埠上的入侵監控裝置或協議分析裝置。筆者在廈門海關外部網設計中，就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機，既得到了交換技術的好處，又使原有的Sniffer協議分析儀“英雄有用武之地”。

　　廣域網

　　B.廣域網安全

　　由於廣域網大多采用公網來進行資料傳輸，資訊在廣域網上傳輸時被擷取和利用的可能性就比區域網要大得多。如果沒有專用的軟體對資料進行控制，只要使用Internet上免費下載的“包檢測”工具軟體，就可以很容易地對通訊資料進行擷取和破譯。

　　因此，必須採取手段，使得在廣域網上傳送和接收資訊時能夠保證：

　　①除了傳送方和接收方外，其他人是無法知悉的隱私性;

　　②傳輸過程中不被篡改真實性;

　　③傳送方能確知接收方不是假冒的非偽裝性;

　　④傳送方不能否認自己的傳送行為不可抵賴性。

　　為了達到以上安全目的，廣域網通常採用以下安全解決辦法：

　　1.加密技術

　　加密型網路安全技術的基本思想是不依賴於網路中資料通道的安全性來實現網路系統的安全，而是通過對網路資料的加密來保障網路的安全可靠性。資料加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。

　　其中不可逆加密演算法不存在金鑰保管和分發問題，適用於分散式網路系統，但是其加密計算量相當可觀，所以通常用於資料量有限的情形下使用。計算機系統中的口令就是利用不可逆加密演算法加密的。近年來，隨著計算機系統性能的不斷提高，不可逆加密演算法的應用逐漸增加，常用的如RSA公司的MD5和美國國家標準局的SHS。在海關係統中廣泛使用的Cisco路由器，有兩種口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就採用了MD5不可逆加密演算法，因而目前尚未發現破解方法除非使用字典攻擊法。而Enable Password則採用了非常脆弱的加密演算法即簡單地將口令與一個常數進行XOR與或運算，目前至少已有兩種破解軟體。因此，最好不用Enable Password。

　　2.技術

　　虛擬專網技術的核心是採用隧道技術，將企業專網的資料加密封裝後，透過虛擬的公網隧道進行傳輸，從而防止敏感資料的被竊。可以在Internet、服務提供商的IP、幀中繼或ATM網上建立。企業通過公網建立，就如同通過自己的專用網建立內部網一樣，享有較高的安全性、優先性、可靠性和可管理性，而其建立週期、投入資金和維護費用卻大大降低，同時還為移動計算提供了可能。因此，技術一經推出，便紅遍全球。

　　但應該指出的是，目前技術的許多核心協議，如L2TP、IPSec等，都還未形成通用標準。這就使得不同的服務提供商之間、裝置之間的互操作性成為問題。因此，企業在建網選型時，一定要慎重選擇服務提供商和裝置。

　　3.身份認證技術

　　對於從外部撥號訪問總部內部網的使用者，由於使用公共電話網進行資料傳輸所帶來的風險，必須更加嚴格控制其安全性。一種常見的做法是採用身份認證技術，對撥號使用者的身份進行驗證並記錄完備的登入日誌。較常用的身份認證技術，有Cisco公司提出的TACACS+以及業界標準的RADIUS。筆者在廈門海關外部網設計中，就選用了Cisco公司的CiscoSecure ACS V2.3軟體進行RADIUS身份認證。

　　外部網

　　C.外部網安全

　　海關的外部網建設，通常指與Internet的互聯及與外部企業使用者的互聯兩種。無論哪一種外部網，都普遍採用基於TCP/IP的Internet協議族。Internet協議族自身的開放性極大地方便了各種計算機的組網和互聯，並直接推動了網路技術的迅猛發展。但是，由於在早期網路協議設計上對安全問題的忽視，以及Internet在使用和管理上的無政府狀態，逐漸使Internet自身的安全受到威脅，黑客事件頻頻發生。

　　對外部網安全的威脅主要表現在：非授權訪問、冒充合法使用者、破壞資料完整性、干擾系統正常執行、利用網路傳播病毒、線路竊聽等。

　　外部網安全解決辦法主要依靠防火牆技術、入侵檢測技術和網路防病毒技術。在實際的外部網安全設計中，往往採取上述三種技術即防火牆、入侵檢測、網路防病毒相結合的方法。筆者在廈門海關外部網設計中，就選用了NAI公司最新版本的三宿主自適應動態防火牆Gauntlet Active Firewall。該防火牆產品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件，將防火牆技術、入侵檢測技術與網路防病毒技術融為一體，緊密結合，相得益彰，價效比比較高。