计算机网络安全毕业论文修正版

TOC\o"1-5"\h\z1.绪论 1.网络安全基础概述 2网络安全理论基础 2.计算机网络攻击的特点损失巨大 3\o"CurrentDocument"威胁社会和国家安全 3\o"CurrentDocument"手段多样,手法隐蔽 3\o"CurrentDocument"以软件攻击为主 3.计算机网络安全存在的隐忧间谍软件： 4\o"CurrentDocument"混合攻击： 4\o"CurrentDocument"绕道攻击： 4\o"CurrentDocument"强盗 AP： 4\o"CurrentDocument"网页及浏览器攻击 4\o"CurrentDocument"蠕虫及病毒： 5\o"CurrentDocument"网络欺诈： 5\o"CurrentDocument"击键记录： 5.安全策略\o"CurrentDocument"防火墙技术 6\o"CurrentDocument"建立安全实时相应和应急恢复的整体防御 6\o"CurrentDocument"阻止入侵或非法访问 6\o"CurrentDocument"数据传输加密技术 6\o"CurrentDocument"密钥管理技术 7\o"CurrentDocument"加强网络安全的人为管理 7.网络安全的防范提高安全意识 8\o"CurrentDocument"使用防毒、防黑等防火墙软件 8\o"CurrentDocument"设置代理服务器，隐藏自己的 IP地址 8\o"CurrentDocument"将防毒、防黑当成日常例性工作 9\o"CurrentDocument"提高警惕 9\o"CurrentDocument"备份资料 9.网络安全现状\o"CurrentDocument"安全是什么？ 10\o"CurrentDocument"建立有效的安全矩阵 11\o"CurrentDocument"允许访问控制： 11\o"CurrentDocument"灵活性和伸缩性 11\o"CurrentDocument"安全机制 12.网络安全可能面临的挑战.1垃圾邮件数量将变本加厉。 13\o"CurrentDocument".2内置防护软件型硬件左右为难。 13\o"CurrentDocument"7.3企业用户网络安全维护范围的重新界定。 13\o"CurrentDocument".4个人的信用资料 14.结论 15参考文献致谢计算机网络安全绪论本文主要介绍了有关网络信息安全的基础知识：网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展，网络信息安全问题终究会得到解决。随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一。关键词：网络信息安全；计算机犯罪率；社会问题第一章 网络安全基础概述1.1网络安全的理论基础国际标准化组织（ISO）曾建议计算机安全的定义为： 计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。 ”为了帮助计算机用户区分和解决计算机网络安全问题， 美国国防部公布了 “桔皮书”（orangebook，正式名称为 “可信计算机系统标准评估准则 ”），对多用户计算机系统安全级别的划分进行了规定。桔皮书将计算机安全由低到高分为四类七级： D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级，C1和C2级是具备最低安全限度的等级，B1和B2级是具有中等安全保护能力的等级， B3和A1属于最高安全等级。D1级：计算机安全的最低一级，不要求用户进行用户登录和密码保护，任何人都可以使用，整个系统是不可信任的，硬件软件都易被侵袭。C1级：自主安全保护级， 要求硬件有一定的安全级（如计算机带锁） ，用户必须通过登录认证方可使用系统，并建立了访问许可权限机制。C2级：受控存取保护级，比 C1级增加了几个特性：引进了受控访问环境，进一步限制了用户执行某些系统指令；授权分级使系统管理员给用户分组，授予他们访问某些程序和分级目录的权限；采用系统审计，跟踪记录所有安全事件及系统管理员工作。B1级：标记安全保护级，对网络上每个对象都予实施保护；支持多级安全，对网络、应用程序工作站实施不同的安全策略；对象必须在访问控制之下，不允许拥有者自己改变所属资源的权限。B2级：结构化保护级，对网络和计算机系统中所有对象都加以定义，给一个标签；为工作站、终端等设备分配不同的安全级别；按最小特权原则取消权力无限大的特权用户。B3级：安全域级，要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上；采用硬件来保护系统的数据存储区；根据最小特权原则，增加了系统安全员，将系统管理员、系统操作员和系统安全员的职责分离，将人为因素对计算机安全的威胁减至最小。A1级：验证设计级，是计算机安全级中最高一级，本级包括了以上各级别的所有措施，并附加了一个安全系统的受监视设计；合格的个体必须经过分析并通过这一设计；所有构成系统的部件的来源都必须有安全保证；还规定了将安全计算机系统运送到现场安装所必须遵守的程序。在网络的具体设计过程中，应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等，综合考虑来确定一个比较合理、性能较高的网络安全级别，从而实现网络的安全性和可靠性。第二章 计算机网络攻击的特点损失巨大由于攻击和入侵的对象是网络上的计算机 ,因此攻击一旦成功 ,就会使网络中的计算机处于瘫痪状态 ,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。威胁社会和国家安全一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标 ,从而对社会和国家安全造成威胁。手段多样 ,手法隐蔽计算机攻击的手段可以说五花八门 :网络攻击者既可以通过监视网上数据来获取别人的保密信息 ,又可以通过截取别人的帐号和口令进入别人的计算机系统 ,还可以通过一些特殊的方法绕过人们精心设计的防火墙 ,等等。这些过程都可以在很短的时间内通过计算机完成 ,因而犯罪不留痕迹 ,隐蔽性很强。以软件攻击为主几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此 ,计算机犯罪具有隐蔽性 ,这要求人们对计算机的各种软件 （包括计算机通信过程中的信息流 ）进行严格的保护。第三章 计算机网络安全存在的隐忧间谍软件所谓“间谍软件”，一股指从计算机上搜集信息，并在未得到该计算机用户许可时便将信息传递到第三方的软件，包括监视击键，搜集机密信息（密码、信用卡号、PIN码等），获取电子邮件地址，跟踪浏览习惯等。间谍软件还有一个副产品，在其影响下这些行为不可避免的响网络性能，减慢系统速度，进而影响整个商业进程。混合攻击混合攻击集合了多种不同类型的攻击方式，它们集病毒，蠕虫以及其他恶意代码于一身，针对服务器或者互联网的漏洞进行快速的攻击、传播、扩散，从而导致极大范围内的破坏。绕道攻击网关级别的安全防护无法保护电脑免遭来自 CD,USB设备或者闪盘上的恶意软件攻击。同理，那些被拿到办公室之外使用的员工电脑也无法得到有效的保护。假如你将电脑拿到一个无线热点区域之中，那么窃听者以及AP盗用者都有可能拦截到电脑的相关通讯 如果你的电脑并未采取足够客户端安全防护措施的话。而这些攻击，我们就将其称为“绕道攻击”。强盗AP是指那些既不属于IT部门也并非由IT部门根据公司安全策略进行配置的AP,代表着一种主要的网络安全风险来源，它们可以允许未经授权的人对网络通讯进行监听，并尝试注人风险，一旦某个强盗AP连接到了网络上，只需简单的将一个WiFi适配器插入一个USB端口，或者将一台AP连到一个被人忽略的以太网端口，又或者使用一台配备了Wi Fi的笔记本电脑以及掌上电脑，那么未经授权的用户就可以在公司建筑的外面（甚至可能是更远一些的地方）访问你的网络。网页及浏览器攻击网页漏洞攻击试图通过Web服务器来破坏安全防护，比如微软的IISApache,Sunday的JavaWeb服务器，以及IBM的Web Sphere蠕虫及病毒感染现有计算机程序的病毒，以及那些本身就是可执行文件的蠕虫，是最广为人知的计算机安全威胁病毒。一般倾向于栖身在文档、表格或者其他文件之中 ，然后通过电子邮件进行传播，而蠕虫通常是直接通过网络对自身进行传播。一旦病毒或者蠕虫感染了一台电脑，它不仅会试图感染其他系统，同时还会对现有系统大搞破坏。网络欺诈网络钓鱼只是企图欺骗用户相信那些虚假的电子邮件、电话或网站 ，这些网站往往和网上银行或支付服务相关，让你认为它们是合法的，而其意图则是让用户提交自己的私人信息，或是下载恶意程序来感染用户的计算机。击键记录击键记录，或者输人记录，指的都是那些对用户键盘输人（可能还有鼠标移动）进行记录的程序，那些程序以此来获取用户的用户名、密码、电子邮件地址 ，即时通信相关信息，以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中，然后悄悄的将这些文件转发出去，供记录者进行不法活动。第四章安全策略防火墙技术防火墙的作用是对网络访问实施访问控制策略。使用防火墙 （Firewall）是一种确保网络安全的方法。防火墙是指设置在不同网络 （如可信任的企业内部网和不可信的公共网 ）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口 ,能根据企业的安全政策控制 （允许、 拒绝、监测 ）出入网络的信息流 ,且本身具有较强的抗攻击能力。它是提供信息安全服务 ,实现网络和信息安全的基础设施。建立安全实时相应和应急恢复的整体防御没有百分百安全和保密的网络信息 ,因此要求网络要在被攻击和破坏时能够及时发现 ,及时反映 ,尽可能快的恢复网络信息中心的服务 ,减少损失 ,网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。阻止入侵或非法访问入网访问控制为网络访问提供第一层访问控制 ,它控制哪些用户能够登录到服务器并获取网络资源 ,控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。对所有用户的访问进行审计 ,如果多次输入口令不正确 ,则认为是非法用户的入侵 ,应给出报警信息。数据传输加密技术目的是对传输中的数据流加密 ,常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿 ,是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密，并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网 ,当这些信息一旦到达目的地 ,将被自动重组、解密 ,成为可读数据。密钥管理技术为了数据使用的方便 ,数据加密在许多场合集中表现为密钥的应用 ,因此密钥往往是保密与窃密的主要对象。密钥的媒体有 :磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。加强网络安全的人为管理在网络安全中 ,除了采用上述技术措施之外 ,加强网络的安全管理、制定有效的规章制度 ,对于确保网络的安全、可靠运行 ,将起到十分有效的作用。加强网络的安全管理包括 :确定安全管理等级和安全管理范围 ;制定有关网络操作使用规程和人员出入机房管理制度 ;制定网络系统的维护制度和应急措施等。首先是加强立法,及时补充和修订现有的法律法规。用法律手段打击计算机犯罪。其次是加强计算机人员安全防范意识 ,提高人员的安全素质。另外还需要健全的规章制度和有效易于操作的网络安全管理平台。第五章 网络安全的防范提高安全意识不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序；尽量避免从 Internet下载不知名的软件、游戏程序；密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举；及时下载安装系统补丁程序；不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。使用防毒、防黑等防火墙软件防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。设置代理服务器，隐藏自己的 IP地址保护自己的 IP地址是很重要的。 事实上，即便你的机器上被安装了木马程序，若没有你的 IP地址，攻击者也是没有办法的，而保护 IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。将防毒、防黑当成日常例性工作在日常使用计算机的时候应该经常升级病毒库，查杀病毒，以确保计算机病毒没有可乘之机。提高警惕由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒，不要访问一些不正规的网站，防止黑客通过这些通道危害计算机安全。备份资料在信息化的潮流中，在信息化与否之间没有第二种选择，只有选择如何更好地让信息化为提高单位工作效率，为增强企业竞争力服务。如何让信息化建设真正有效地为单位或企业服务，是个颇费心思的问题；这也是一个不断尝试，不断改进和完善的过程。在单位或企业的业务平台真正实现完全向信息系统转移，运作非常依赖信息资产前，企业管理层安全意识薄弱的问题是有一定的客观原因的；随着企业信息化水平的不断加深，管理层网络安全意识应该会逐步得到增强，并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。这一点，从电信、金融、电力等极度依赖信息系统的领域可以看出来。 鉴于当前世界网络面临如此多的安全隐患，世界各国均十分重视，纷纷采取对策。第六章：网络安全现状Internet对于任何一个具有网络连接和ISP帐号的人都是开放的,事实上它本身被设计成了一个开放的网络。因此它本身并没有多少内置的能力使信息安全，从一个安全的角度看， Internet是天生不安全的。 然而，商界和个人现在都想在 Internet上应用一些安全的原则，在Internet发明人当初没有意识到的方式下有效的使用它。对于Internet用户一个新的挑战是如何在允许经授权的人在使用它的同时保护敏感信息。安全是什么？简单的说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护公司财产的需要，包括信息和物理设备（例如计算机本身） 。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作，以及什么时候。当涉及到公司安全的时候什么是适宜的在公司与公司之间是不同的，但是任何一个具有网络的公司都必须具有一个解决适宜性、从属性和物理安全问题的安全策略。伴随着现代的、先进的复杂技术例如局域网（LAN）和广域网（WAN）、Internet网以及VPN。安全的想法和实际操作已经变得比简单巡逻网络边界更加复杂。对于网络来说一个人可以定义安全为一个持续的过程，在这个过程中管理员将确保信息仅仅被授权的用户所共享。建立有效的安全矩阵尽管一个安全系统的成分和构造在公司之间是不同的，但某些特征是一致的，一个可行的安全矩阵是高度安全的和容易使用的，它实际上也需要一个合情合理的开销。一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。一个安全矩阵是灵活的可发展的，拥有很高级的预警和报告功能特点描述：允许访问控制：通过只允许合法用户访问来达到的目的 ,最大扩展通信的功能同时最小化黑客访问的可能性 ,当黑客已经访问到的资源时尽可能地减小破坏性。容易使用：如果一个安全系统很难使用，员工可能会想办法绕开它 ,要保证界面是直观的。合理的花费：不仅要考虑初始的花费还要考虑以后升级所需要的费用。还要考虑用于管理所要花的费用；需要多少员工，达到什么样的水平来成功的实施和维护系统。灵活性和伸缩性：系统要能让公司按其想法做一些商业上的事情，系统要随着公司的增长而加强优秀的警报和报告：当一个安全破坏发生时，系统要能快速地通知管理员足够详细的内容。要配置系统尽可能正确地对发出警告。可以通过Email,计算机屏幕,pager等等来发出通知。安全机制：根据ISO提出的，安全机制是一种技术，一些软件或实施一个或更多安全服务的过程。ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管可以通过使用加密来保证数据的保密性，数据的完整性和不可否定性，但实施在每种服务时需要不同的加密技术。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到 OSI参考模型的任一层上。普通的机制包括：?信任的功能性：指任何加强现有机制的执行过程。例如，当升级的 TCP/IP堆栈或运行一些软件来加强的 Novell，NT,UNIX系统认证功能时，使用的就是普遍的机制。?事件检测：检查和报告本地或远程发生的事件?审计跟踪：任何机制都允许监视和记录网络上的活动?安全恢复： 对一些事件作出反应， 包括对于已知漏洞创建短期和长期的解决方案，还包括对受危害系统的修复。额外的安全标准除了ISO7498-2还存在一些其它政府和工业标准。主要包括?BritishStandard7799：概括了特殊的 “控制”，如系统访问控制和安全策略的使用以及物理安全措施。 目的为了帮助管理者和 IT专家建立程序来保持信息的安全性。?公共标准?桔皮书（美国）桔皮书为了标准化安全的级别，美国政府发表了一系列的标准来定义一般安全的级别。这些标准发表在一系列的书上通常叫做 “彩虹系列”，因为每本书的封面的颜色都是不同的。由为重要的是桔皮书。它定义了一系列的标准，从 D级别开始（最低的级别）一直到 A1（最安全）级 。第七章：网络安全可能面临的挑战垃圾邮件数量将变本加厉根据电子邮件安全服务提供商MessageLabs公司最近的一份报告，预计2003年全球垃圾邮件数量的增长率将超过正常电子邮件的增长率，而且就每封垃圾邮件的平均容量来说，也将比正常的电子邮件要大得多。这无疑将会加大成功狙击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的企业公司恐怕得早做未雨绸缪的工作，否则就得让自己的员工们在今后每天不停地在键盘上按动“删除键”了。另外，反垃圾邮件软件也得不停升级， 因为目前垃圾邮件传播者已经在实行 “打一枪换一个地方 ”的游击战术了。即时通讯工具照样难逃垃圾信息之劫。即时通讯工具以前是不大受垃圾信息所干扰的，但现在情况已经发生了很大的变化。垃圾邮件传播者会通过种种手段清理搜集到大量的网络地址，然后再给正处于即时通讯状态的用户们发去信息，诱导他们去访问一些非法收费网站。更令人头疼的是，目前一些推销合法产品的厂家也在使用这种让人厌烦的手段来让网民们上钩。目前市面上还没有任何一种反即时通讯干扰信息的软件，这对软件公司来说无疑也是一个商机。7.2内置防护软件型硬件左右为难。现在人们对网络安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现，预计在今后的几年中将会成为一种潮流。但这种具有自护功能的硬件产品却正遭遇着一种尴尬，即在有人欢迎这种产品的同时，也有人反对这样的产品。往好处讲，这种硬件产品更容易安装，整体价格也相对低廉一些。但它也有自身的弊端：如果企业用户需要更为专业化的软件服务时，这种产品就不会有很大的弹性区间。7.3企业用户网络安全维护范围的重新界定。目前各大企业公司的员工们在家里通过宽带接入而登录自己公司的网络系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为网络安全带来了新问题，