网络安全技术与管理论文

昆山登云科技职业学院毕业论文11编号12011121127昆山登云科技职业学院毕业设计论文教学系信息技术系专业班级计算机网络与应用122学生姓名范永华指导教师杨艳红2015年3月7日网络安全技术与管理昆山登云科技职业学院毕业论文22前言随着计算机和网络技术在各个领域中的迅速普及与广泛应用，计算机病毒事件和黑客攻击与非法入侵事件也在不断发生，如计算机系统和文件被病毒毁坏、重要资料信息被窃、网站和网络系统被攻击导致瘫痪黑客攻击和病毒破坏给社会造成了巨大的经济损失，甚至危害到社会的安定。因此，计算机信息和网络安全越来越引起人们的关注。目前，由于互联网信息的开放性，导致病毒、黑客工具和黑客攻击技术的泛滥，所以从个人计算机到网络系统均面临着黑客入侵的威胁。毫无疑问，计算机系统的安全已经成为关系个人与社会生活的重大问题，也同样成为一个急待解决而又十分复杂的课题。从防范的角度考虑，在影响计算机安全的诸多因素中，人的因素还是第一位的，因此所有计算机相关人员，包括用户、系统管理员以及超级管理员。都需要尽更大的努力去提高对计算机信息及网络安全的认识。计算机安全的最软弱之处也正是人们的粗心大意，以及对安全防范知识的不了解，因此，向普通用户普及计算机信息网络安全知识，以实例讲解黑客攻击和防范攻击的原理方法就成为我们撰写本书的立足点。虽然，本书的主要对象是个人电脑用户，但对网络系统管理员和网络安全管理员也同样具有很高的参考价值。昆山登云科技职业学院毕业论文33摘要服务器是计算机使用当中对于用户最为重要的，而计算机网络存在的问题影响着计算机功能的发挥，通过对网络安全问题的分析，我们从网络安全体系的建立，网络安全的全过程管理等方面维护着网络安全，从而保证用户计算机使用的安全顺畅。文章分析了网络的安全管理所涉及的问题，并根据本身的工作实践介绍了对于网络内外的供电设备系统、计算机病毒防治、防火墙技术等问题采取的安全管理措施。【关键词】网络安全；防火墙；数据库；病毒；黑客计算机网络安全技术管理昆山登云科技职业学院毕业论文44目录前言2摘要3第一章绪论错误未定义书签。11网络安全简介错误未定义书签。12网络管理简介错误未定义书签。121显示网络拓扑图5122端口状态监视与分析6123网络性能与状态的图表分析6124故障诊断和报警6125简化网络设备管理6126具有配置VLAN的能力6第二章当前的计算机网络安全威胁分析721强化计算机管理是网络系统安全的保证722强化访问控制力促计算机网络系统运行正常7第三章计算机网络防范技术的建立931防御系统9311物理安全932防火墙和防毒墙技术建立9321VPN技术1033身份证和访问技术的建立1134数据加密技术应用于网络数据库加密1135操作系统中密钥密码技术的应用12第四章总结13致谢14参考文献15昆山登云科技职业学院毕业论文55第一章绪论一概述11网络安全简介网络的安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。网络安全应具有以下五个方面的特征1保密性信息不泄露给非授权用户、实体或过程，或供其利用的特性。2完整性数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。3可用性可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击4可控性对信息的传播及内容具有控制能力。5可审查性出现的安全问题时提供依据与手段从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。12网络管理简介网络管理是保障网络可靠运行的最重要手段。网络管理员通过网络管理系统对网络进行全面监控。一个功能完善的网络管理系统主要具有以下几大功能。121显示网络拓扑图昆山登云科技职业学院毕业论文66网络管理系统首先都具有联网设备自动发现功能，并通过使用IP和IPX网络彩色编码分级视图，建立起网络的布局映像图。IP和IPX网络彩色编码分级视图122端口状态监视与分析对网络设备的端口状态进行监控以及分析是任何一个网管系统都必须具备的关键功能。通过网管系统，网络管理人员可以很方便地得到端口状态的扩展数据、带宽利用、交通统计表、协议信息和其他的网络功效统计表等。123网络性能与状态的图表分析任何一个网管系统都具备灵活的曲线与图表分析能力，使网络管理人员能够很快掌握网络运行状态，并快速记录有关数据，同时可以把分析的结果以文件的形式输出或用于电子表格等其他的数据分析工具。昆山登云科技职业学院毕业论文77校园网月运行情况统计表时间2013年5月1日至2013年6月1日网络接入、维护及用户服务情况网络接入用户数办公区新增实名用户6人共计2378人雁塔校区学生区新增30人共计2656人现场故障诊断/维修雁塔校区19（人次）长安校区28（人次）网络设备的检修、维护情况雁塔校区中心机房日常查看，SAM计费操作系统升级、计费数据备份。各楼宇汇聚及接入交换实时在线监测。完成科技公寓、行政楼、图科楼、新计费系统上线。长安校区查看中心机房所有设备运行状况,日常维护。网络监控各楼宇接入及汇聚交换机运行状况。完成全校办公区新计费系统上线。网络性能统计分析昆山登云科技职业学院毕业论文88昆山登云科技职业学院毕业论文99网络重大故障及处理情况时间地点故障现象与分析处理措施2013521老校区早8点晚6点全校停电来电后及时恢复网络201352新校区网管机监控新老校区链路网络不稳定，而且有丢包现象。分析排查原因后，图书馆A段5F汇聚到核心存在单模模块跑多模链路。把汇聚的单模模块换多模模块，网络恢复正常2013521新校区雁塔校区配电室增容改造新、老设备交割。下午1643新校区断网，晚上1946网络恢复正常来电网络恢复124故障诊断和报警故障诊断及报警是网络管理系统重要的管理功能之一。网络管理系统配置了大量网络管理软件，可对整个网络状况进行快速、全面、智能化的检测，不仅可以判断网络中所有设备的连通或断开的情况，而且能够通过检测整个网络的流量分布，判断网络通信的瓶颈位置，以便及时调整网络设备的分布，调整网络设备的工作时间，使网络工作在最佳的状态。对网络中故障的诊断是通过网络状态参数的阈值管理，为多种网络设备产生一个警报或事件通知。事件滤波器使事件压缩成有用的信息，以加速故障诊断。125简化网络设备管理在网络管理系统环境下，简化对交换机、路由器等设备的管理。126具有配置VLAN的能力一般交换机VLAN的配置直接在交换机上实现，而通过网络管理系统在交换机之间配置VLAN，使VLAN的配置更简单快捷。随着网络技术的不断发展，应用水平的不断提高，对网络管理提出了更高的要求，其实所谓的网络安全一般情况下指的就是网络的信息安全，计算机在昆山登云科技职业学院毕业论文1010受到不法分子的攻击时，会致使用户的重要信息外泄或者计算机数据被破损。随着科学技术的不断发展变更，网络攻击的手段也在不断地更新换代，攻击的方式也越来越复杂。怎样能更好地预防计算机网络安全隐患是迫在眉睫的问题。如今的网络攻击都是有组织有预谋的，一些木马病毒也日益猖獗泛滥。网络安全预防工作受到严重的威胁。现在的网络发展还不够成熟，黑客很容易实施网络攻击，网络结构不紧密也造成网络信息传递严重受到威胁，与此同时计算机软件的不成熟也大大加深了计算机网络管理的难度。针对这些问题加强计算机网络安全，提高计算机网络安全预防能力刻不容缓。不断地增强，网络管理的理念、技术和方法也在不断地创新。总之，通过网络管理系统，最终的目的就是能够提高网络的可用性和可靠性，从而在整体上提高网络运行的效率，降低管理成本。第二章当前的计算机网络安全威胁分析21强化计算机管理是网络系统安全的保证加强设施管理，确保计算机网络系统实体安全。建立健全安全管理制度，防止非法用户进入计算机控制室和各种非法行为的发生；注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫，并不定期的对运行环境条件（温度、湿度、清洁度、三防措施、供电接头、志线及设备）进行检查、测试和维护；着力改善抑制和防止电磁泄漏的能力，确保计算机系统有一个良好的电磁兼容的工作环境。22强化访问控制，力促计算机网络系统运行正常。访问控制是网络安全防范和保护的主要措施，它的任务是保证网络资源不被非法用户使用和非常访问，是网络安全最重要的核心策略之一。第一，建立入网访问功能模块。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为3个过程用户名的识别与验证；用户口令的识别与验证；用户帐号的检查。在3个过程中如果其中一个不能成立，系统就视为非法用户，则不能访问该。网络用户的用户名与口令昆山登云科技职业学院毕业论文1111进行验证是防止非法访问的第一道防线。网络用户注册时首先输入用户名与口令，远程服务器将验证所输入的用户名是否合法，如果验证合法，才能进一步验证口令，否则，用户将被拒之门外。网络管理员将对普通用户的帐号使用、访问网络时间、方式进行管理，还能控制用户登录入网的站点以及限制用户入网的工作站数量。第二建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型特殊用户（系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。第三，建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等，还可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。第四，建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台；设置服务器登录时间限制、非法访问者检测和关闭的时间间隔；安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障，也是控制进、出两个方向通信的门槛。防火墙有2种类型一是双重宿主主机体系结构的防火墙；二是被屏蔽主机体系结构的防火墙。流行的软件有金山毒霸、KV3000、瑞星、KILL等。第五，建立档案信息加密制度。保密性是机系统安全的一个重要方面，主要是利用密码信息对加密数据进行处理，防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率，但在保密信息的收集、处理、使用、传输同时，也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。第六，建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中，日志将记录自某用户登录时起，到其退出系统时止，这所执行的所有操作，包括登录失败操作，对数据库的操作及系统功能的使用。日志所记录的有执行某操作的用户保执行操作的机器IP地址操作类型操作对象及操作执行时间等，以备日后审计核查之用。第七，建立完昆山登云科技职业学院毕业论文1212善的备份及恢复机制。为了防止存储设备的异常损坏，可采用由热插拔SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。同时，建立强大的数据库触发器和恢复重要数据的操作以及更新任务，确保在任何情况下使重要数据均能最大限度地得到恢复。第八建立安全管理机构。安全管理机构的健全与否，直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统、软硬件、通信、保安等有关人员组成。第三章计算机网络安全防范技术的建立31防御系统我们采用防火墙技术、NAT技术、VPN技术、网络加密技术（IPSEC）、身份认证技术、多层次多级别的防病毒系统、入侵检测技术，构成网络安全的防御系统。311物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行，在物理安全方面应采取如下措施1产品保障方面主要指产品采购、运输、安装等方面的安全措施。2运行安全方面网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。3防电磁辐射方面所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。4保安方面主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。昆山登云科技职业学院毕业论文131332防火墙和防毒墙技术的建立作为一种网络隔离技术，防火墙是所有安全策略中的根本基础，防火墙会对外部网络与内部网络实施强制性的主动控制，它一般分为三种技术手段过滤技术、状态检测技术、网关技术。所谓的过滤技术是指运用网络层对数据包进行过滤与筛选，就是通过先前预订的过滤逻辑，检测每一个通过数据的源地址、目标地址和其适用的端口来确定是否通过；所谓状态检测技术就是防火墙通过一个网关执行网络安全策略的检测引擎而获得非常好的安全检测，状态检测技术中一经出现链接失误就会停止整个运行操作；所谓应用网络信息技术，是指系统利用数据安全查杀工作站将用户的网站给隔离保护链接，通过这种保护以便实现网络安全。防火墙技术一般来讲是指过滤用户网络的入口与整个网络的传输过程。防火墙技术被广泛应用于企业局域网与互联网的交接地，防火墙虽然可以清除网络病毒，对用户信息实施安全保护，但是在一定程度上却严重影响了用户的网络速度，为用户带来了不便。321VPN技术VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现，可以保证企业员工安全地访问公司网络。VPN有三种解决方案（1）如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用远程访问虚拟网（ACCESSVPN）。ACCESSVPN通过一个拥有专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。ACCESSVPN能使用户随时、随地以所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。（2）如果要进行企业内部各分支机构的互连，使用企业内部虚拟网INTRANETVPN是很好的方式。越来越多的企业需要在全国乃至全世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务范围越来越广时，网络结构也趋于复杂，所以花的费用也越来越大。利用VPN特性可以在INTERNET上组建世界昆山登云科技职业学院毕业论文1414范围内的INTRANETVPN。利用INTERNET的线路保证网络的互联性，利用隧道、加密等VPN特性可以保证信息在整个INTERNETVPN上安全传输。（3）如果提供B2B之间的安全访问服务，则可以考虑外联网VPN。利用VPN技术可以组建安全的外联网。既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络安全。外联网VPN通过一个使用专用连接的共享基础设施，将客户，供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有专用网络的相同政策，包括安全、服务质量（QOS）、可管理性和可靠性。33身份认证和访问控制技术的建立目前来讲计算机网络安全的最重要组成部分就是身份认证与访问控制，计算机网络会通过对使用者身份的辨别来确定使用者的身份。这种技术在计算机使用中被频繁运用，不同的操作权限设定不一样登陆口令，以避免不法分子非法使用相关重要的权限实施不正当的网络攻击。一般情况下登录口令是由字母与数字共同组成的，用户定期地对口令进行更改与保密以便对口令进行正当的维护。用户应当避免在邮件或者传递信息中将口令泄露，一旦被黑客得到相应的信息，就会带来一定网络安全隐患。由此看来，口令认证并不是绝对安全的，黑客有可能通过网络传播与其他途径对口令进行窃取，从而危害网络安全。这时我们可以运用访问控制来有效阻止黑客，这种控制根据用户本人进行身份限定，确定其权限，按照确定的规则来确认访问者的身份是否合法，通过注册口令、对用户分组、控制文件权限来实现。34数据加密技术应用于网络数据库加密现阶段，在金融系统以及各大银行系统主要采用的就是数据加密技术。网络数据库管理系统平台多为WINDOWSNT或者UNIX，平台操作系统的安全级别通常为CI级或02级，故计算机存储系统和数据传输公共信道极其脆弱，易被PC机等类似设备以一定方式窃取或篡改有用数据以及各种密码。在计算机运行过程中，电脑会自动将信息资料传输到存储设备中，然后计算机系统会分析这些信息所运行的环境是否安全，如果存在安全隐患，系统会自动将信息反馈到操昆山登云科技职业学院毕业论文1515作端，从而保护数据信息不被更改。所以，数据加密对于系统内外部的安全管理具有重要的保护作用，网络数据库用户应当通过访问权限或设定口令字等方式对关键数据进行加密保护。35操作系统中密钥密码技术的应用密钥技术室当前非常重要的数据加密形式，具有较高的安全性。它包括数据的加密和解密，在当前计算机网络中的应用非常广泛，尤其是购物中应用更多，这也与其分类有关。密钥可以分为公用密钥和私人密钥两种。在购物过程中，商家一般使用的是公用密钥，而私人密钥由于在使用过程中加密和解密使用的都是同一个密钥，所以其安全性也较公用密钥高。但是，私人密钥同样也会出现缺陷。例如，当用户由于不同的使用目的而需要不同的密钥时，系统可能会出现错误或麻烦。遇到这种情况的时候，用户可以使用公用密钥来解决这一问题。在操作的时候，传输信息的用户可以用公用密钥对所要传输的信息进行加密，当信息传输到接收方时，接收方用户利用私人密钥对传输文件进行解密。这种方式简单并且实用，既避免了传输方要用很多私人密钥的麻烦，也避免私人密钥的泄漏。简单的例子就是在商场利用信用卡购物时，一般情况下，对于信用卡中存储的个人信息，商场终端的解密密钥基本都可以解读并且读取。商场终端会在读取用户信息之后将信息传输到发卡银行，银行确认信用卡及用户信息。这样一来，商场终端就会将客户的个人信息存储下来，就给用户个人信息安全带来了隐患，导致很多用户担心自己的信用卡号会被不良商家盗用。密钥密码技术的使用解决了这一问题，要求商场在使用过程中使用两个密钥解读加密数据以确保用户信息的安全性。两个解密密钥一个由商场来掌握并使用，另一个由信用卡开卡银行来掌握并使用。两个密钥使用的权限各不相同，商场终端密钥只能读取到用户所用信用卡是否是某银行开卡用户，对于用户的个人信息资料不能读取。但是信用卡公司通过密钥解密就可以读取到信用卡持卡人的所有信息，以此确认持卡人是否具有使用这张信用卡的权限。这种技术的应用明显提高了信用卡交易过程中的安全性。昆山登云科技职业学院毕业论文1616第四章总结网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强监管和建立保护屏障不可或缺。可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调都