计算机网络技术毕业设计（论文）-网络常见安全隐患及排除.doc

题目网络常见安全隐患与排除设计小组 姓名 学号 二级学院专业计算机网络技术年 级 09级 班 级 网络三班 指导教师 职 称 年月日云南爱因森软件职业学院教务处网络常见安全隐患及排除摘要随着网络运用的普及，网络攻击和防护进入了人们的视野。网络对抗不仅成为政治、经济、国防领域的一种新的对抗形式，而且关系到普通的网络用户。这对了解网络安全、掌握网络攻防技术提出了更高的要求。伴随网络安全形势的日益恶化，用户上网也面临着更多的安全风险。如据金山毒霸云安全实检测中心最新的数据分析显示，2010年高考期间，仅单日就有近千家高校网站出现被“挂马”情况对此，在线冲浪时，如何识别威胁，在线浏览时，如何拦截木马入侵，不慎中招后，如何快速修复故障？成为了亿万网民关心的热点，提供一系列优质服务的专业安全软件，同期也成了网民所关注的焦点。网络像一把双刃剑，它既有好的方面又有不好的方面。随着internet的不断发展,伴随而来的上网安全问题越来越引人关注。总的来说危害计算机安全的原因主要有两大方面，一方面是硬件安全，一方面是软件安全。而它们所说的安全都是相对应计算机里面的数据来说的。其中包括沉迷网络、网络黄毒、个人信息安全 网上购物骗局、暴力反动等现象。关键字：安全，故障，病毒目录第一章 上网安全31.1网络安全概述31.2 木马防御三步骤41.2.1 识别网址安全 预知链接风险41.2.2 拦截恶意网址 防范木马入侵51.2.3 修复浏览限制 解除木马劫持5第二章 家用电脑上网安全62.3 web安全82.4 拨号上网92.5 经常修改密码92.6 请他人安装后应立即修改密码92.7 使用“拨号后出现终端窗口”功能102.8 删除.pwl文件102.9 禁止安装击键记录程序10第三掌 校园网络安全问题103.1 校园网络103.1.1计算机系统漏洞113.1.2计算机病毒的破坏113.1.3来自网络外部的入侵、攻击等恶意破坏行为113.1.4校园网内部的攻击113.1.5校园网用户对网络资源的滥用113.1.6非正常途径访问或内部破坏123.1.7网络硬件设备受损123.1.8校园网安全管理有缺陷123.2 造成这些现状的原因123.2.1网络安全维护的投入不足123.2.2网络管理员责任心不强123.2.3师生的网络安全意识和观念淡薄123.2.4盗版资源泛滥133.3对策措施13第四章 企业网络安全概述134.1 网络安全134.2 安全隐患144.2.1 完整性144.2.2 机密性144.2.3 可用性144.3 安全分类144.4 网络安全目标154.4.1 消除盗窃154.4.2 确定身份154.4.3 鉴别假冒154.4.4 保密15第五章 企业数据安全165.1 数据库安全165.1.1 数据库的安全问题165.1.2 数据库安全策略与配置165.2 数据安全的策略175.3 用户安全的策略175.4 导致数据失效的原因分析185.4.1 计算机系统的故障分类以及故障发生的概率分析18第六章 网络安全186.1 网络安全186.2 网络安全分析196.2.1 物理安全分析196.2.2 网络结构的安全分析206.2.3 系统的安全分析206.2.4应用系统的安全分析206.3管理的安全风险分析216.3.1 网络安全措施216.3.2 安全防范意识216.4 网络安全案例226.4 .1.概况226.5.网络安全类型226.6.网络安全特征226.7.威胁网络安全因素236.8 网络安全工具236.9黑客常用的信息收集工具236.10 nternet 防火墙246.10.1 internet防火墙与安全策略的关系246.10.2 防火墙的好处246.10.3 internet防火墙的作用246.11.internet的安全隐患主要体现在下列几方面：25第六章 结论27参考文献28第一章 上网安全1.1网络安全概述现在，几乎每天，各种媒体都在宣传网络安全的重要性：又出现了某种新病毒，提醒人们要多加注意；又发现了某个高危险漏洞，告诫用户要及时打补丁总之，各种各样的安全威胁充斥网络，上网的人要小心再小心。这种宣传给人的直接感觉是：网络很危险。有人说，最安全的方法就是拔掉网线，不上网。显然，这不现实。那么到底应该如何才能获取安全感？这个问题是萦绕在许多人，包括信息安全专家心中的困惑。 我认为，要做到安全上网，很难，也很简单。说难，原因众所周知，网络上的确布满了陷阱，一不小心，你就可能掉进去。说简单，因为网络安全中，人的因素最重要 。只要做好一点从自己做起，脑子里时刻紧绷“安全”这根弦，你就可以避免卷入大多数的安全事件。也许很多人不同意我的观点，如果真的像你说得那么简单，为什么市场上还有那么多安全产品，我们还有必要买吗？笔者认为，安全产品很重要，一定要买。因为大多数人无法做到心中时刻有安全，而好的安全产品可以帮你在疏忽的时候把好关。 以病毒或蠕虫为例。其实有些人中毒的原因很简单，就是好奇和大意。例如，曾经有一种病毒是以著名网球美女莎拉波娃为诱饵，其附件名称让人认为就是她的照片，很多人因为想一堵网球美女的风采，点击后就不幸中毒了。再看看漏洞，几年前，曾经红极一时的红色代码病毒就是利用了很多企业的服务器没有及时升级、打补丁而造成的。还有网络诈骗，以最近的一个号称是有史以来最大的互联网股票欺诈案为例，据英国某家网络安全公司说，他们在过去24小时内，侦察到大约5亿封炒作一家名为“黄金时段便利店”的美国上市公司股票。这些邮件里含有诸如“抓紧时间，股票即将开始狂涨”之类的鼓动性语言。据悉，由此，这家公司股票在一天内就飙升了30%。之所以有人上当，还是因为贪心和大意。试想，但凡正规的企业怎么会通过类似小广告的垃圾邮件来推销自己？即“陌生人从来不会为你主动提供好的股票投资建议”。以上这些事例都告诉我们一个很浅显的道理：真正的网络安全实际上靠的不是这个或那个安全产品，而是你自身固有的安全意识。好的安全产品只能像良师益友一样，不断地提醒你：注意了，这种网络行为很可疑，它有可能是某种安全威胁。但最后判断是否阻挡这种可疑的网络行为，还要靠你自己。各种安全威胁的源头或者作者都是人，他们制造这些麻烦的初衷就是利用人的弱点，例如贪婪、好奇、大意这些弱点几乎存在于每个普通人的身上，这也是为什么那么多人会屡屡中招的原因。信息安全专家把这种威胁归结为“社会工程学”。1.2 木马防御三步骤 在伴随网络安全形势的日益恶化，用户上网也面临着更多的安全风险。如据金山毒霸云安全实检测中心最新的数据分析显示，2010年高考期间，仅单日就有近千家高校网站出现被“挂马”情况对此，在线冲浪时，如何识别威胁，在线浏览时，如何拦截木马入侵，不慎中招后，如何快速修复故障？成为了亿万网民关心的热点，提供一系列优质服务的专业安全软件，同期也成了网民所关注的焦点。1.2.1 识别网址安全 预知链接风险安全软件正在从传统的被动防护向主动防御转变，在用户不慎点击恶意网址或“钓鱼”网站后，防护软件对其进行拦截之外，是否具备对恶意网址的“预知”能力，成为了当前用户选择安全软件的关键一点。在成千上万的搜索结果中，检测搜索结果安全性，才可有效避免用户盲目点击和面临安全风险。对此，在专业安全软件中，打破了以往先点击、再拦截的防护惯例，软件提供了基于 “可信云安全”技术的 “网址云鉴定”服务。用户通过开启网盾提供的浏览器“搜索保护”功能，即可在搜索相关热词过程中，自动检测和识别对应网址的安全，抢先预知链接风险。 “搜索保护”功能，当前支持包括百度、谷歌、bing(必应)、搜狗等主流搜索引擎，开启此服务后，会以绿色“”表示网址为安全，以红色“x”警示网址存在风险。将鼠标悬浮在提示图标处，还可了解对其的安全说明，如其为存在风险的恶意网址，还是带有欺诈内容的“钓鱼”站点。1.2.2 拦截恶意网址 防范木马入侵安全软件正在向着多元化的防护转变，对此，对于恶意网址的防护上，不同安全软件也会给予用户不同的安全服务， 如传统安全软件利用恶意网址库方式来整合资源，收集网址数据来实现检测，采用“云安全”的安全产品，则会通过智能鉴定技术，根据恶意网址行为、属性来加以识别。金山网盾等专业安全软件，就可实现智能拦截，有效防范木马入侵。譬如金山网盾“网页木马过滤”和“钓鱼网站”拦截功能，支持包括ie、傲游、搜狗等多款浏览器软件，开启防护后，还会分别以不同闪框颜色来表明当前访问地址的安全性。如在访问恶意网址时，会以红色闪框提示，访问钓鱼网站和广告网址时，会以黄色闪框提示。安全网址则会通过绿色闪框显示，方便大家有效辨别网址安全状况。同时，金山网盾还对各类恶意网址进行了有效划分，通过不同提示和对网站类型的判定，详细告知用户不同网站的威胁类型，如部分网站存在高危风险，用户访问会被恶性植入木马，造成系统崩溃和影响到数据安全、部分网站存在欺诈内容，谨慎点击谨防上当等等。金山网盾强大的恶意网站拦截功能，令用户无需担心因被“挂马”而导致计算机存在风险。1.2.3 修复浏览限制 解除木马劫持今天中招了，明天被“挂马”了，在上网一段时间后，很多用户出现了上网速度慢入黄牛，浏览器的默认主页也会篡改，指向一些第三方站点。ie属性更被修改的面目全非，启动和加载项也混乱不堪的现象，甚至及时开启了部分安全软件，依然可能会遭遇攻击。导致饱受木马病毒侵害。对此，在识别、防护功能之外，对于专业安全软件来讲，修复功能同样重要。在金山网盾中，还具有“网址锁定”和“浏览器修复”两大亮点功能。如通过金山网盾“主页锁定“功能，我们可以将默认的浏览器主页锁定为空白页，或如搜索引擎、新闻网站等孩子上网的首选站点。强制锁定后，用户无需再担心默认主页被篡改，从而转向到第三方站点。特别是自动诱因用户转向一些恶意网址。而金山网盾“浏览器修复”功能，则可以在第一时间检测到因不慎访问恶意网址而被植入的威胁，自动检测当前浏览器默认主页是否被恶意篡改并指向异常网址、是否存在流氓软件推广的异常桌面图标等。扫描完成后，根据金山网盾提示快速完成修复。上网冲浪风险多，安全软件不可少，用户面临着众多安全风险，金山网盾等专业安全软件则为用户提供了多重的安全服务，从识别到拦截，从防护到检测、修复，用户通过金山网盾可轻松实现对恶意网址的快速检测，利用其为用户提供的一系列安全服务，在线冲浪时让各类病毒木马无所遁形。第二章 家用电脑上网安全现今越来越多的电脑爱好者上网，网络安全也就为越来越多人所关心。许多网虫说网络是“自由的世界”，可正是这个“自由的世界”没有法规守则，就有一些人利用网络的漏洞去蓄意攻击一般的网友。所以当你尽情地在网上冲浪时，小心别触礁哦！2.1 密码安全上网后大家首先就会接触到密码，我们会在许多地方用到它，你的密码尤其是上网帐户密码一旦被人窃取，后果是非常严重的！下面我就给大家讲讲怎样保护密码的安全：. 对一些重要的密码尽量采用数字与字符相混杂的口令，多用特殊字符，诸如%、&、#、和$,而且最好不要用有意义的单词、生日和电话号码等。你必须保证你的密码不易被人猜中。.在上网拨号程序中除非出于必要请尽量不要保存口令。因为windows会将口令保存到以pwl为后缀的文件中，别人（尤其是有机会接近或读取你机器的人）一旦获取该文件，就可以用pwlview这样的黑客工具获得你的帐户口令，盗用你的帐号上网！.上网后就会知道，要求设置密码的情况有很多。提醒你一句，每个密码最好不同！（什么？你记不住？笨，拿个本记下来）因为攻击者一般在破获一个密码后，会用这个密码去尝试用户每一个需要口令的地方！想想看，别人用一个口令慢慢地盗用你的帐号上网；再去偷看与冒发你的e-mail；也许还会用你的身份去聊天室损害你的形象；去泡你常泡的mm（我真不敢想象）。. 许多网上的商业站点要求你设置个人密码，千万不要使用与你的isp帐户相同的密码。某些站点为了方便会把这个密码存在你的浏览器的缓存文件或者cookie中，这也就意味着任何站点都能看到你设置的密码(只要它想看），于是你的帐户密码就泄露出去了。. 你必须经常更改口令，重要的密码在一个月内至少更改一次。因为这样即便黑客当时破译了你的密码，你也会在密码被人滥用之前将其改变。. 最后一点关键：不要向任何人透露你的密码，特别是别人问起时。一些攻击者常常冒充你的isp，编一些类如：由于系统更新，需要你的密码之类的谎话。千万不要上当！要知道你的isp是不会向你问口令密码的。2.2 程序安全后门程前一段时间,上网的朋友许多都被一个叫back orifice的软件吓唬住了!因为听说黑客可以随意地删加你计算机中的文件、可以随意开关你的计算机。于是弄得大家网也不敢上,饭也不敢吃。（是吗？）唉有这么严重吗？其实它就是一个基于windows的远端控制软件。类似的软件还有：netspy（网络间谍）、provmon等等。但是他们的工作原理都是一样的。首先把服务（server）端程序给欲攻击方，并且执行它。攻击者自己就运行客户器（client）端程序来控制欲攻击方。这类软件又叫“特洛伊木马程序”。原理说白了就是攻击者在知道你的ip地址后再来攻击你，所以就不是那么可怕了。防治的方法也有许多：你一旦接受到一个不明的程序，就有可能是一个后门程序。攻击者常把后门程序换一个名字用mail发给你，并骗说一些：“这是个好东东，你一定要试试”，“帮我测试一下程序”之类的话。你一定要注意了！下面我把常见的后门程序的大小告诉大家：boserver（122k）、netspy（127k）、xspy（118k）。 上网觉得不对劲时（仿佛感觉有人在遥远的地方关心你），你就按ctrl+alt+del看看系统是否运行了什么其他的程序，你马上停止它。然而有些程序如back orifice并不显示在ctrl+alt+del的进程列表中，所以如果你安装的是win98，最好运行“附件”/“系统工具”/“系统信息”，然后双击“软件环境”，选择“正在运行任务”，赫然看见“ .exe”，此乃boserver(back orifice的服务器程序）！找到程序后立即终止它！再看看程序从何而来。一般你可以看看windows注册表中hkey_local_machingsoftwaremicrosoftwindowscurrentversion下的runservice和run主键里查找这些程序，然后删掉它。 你应该注意你常去的地方是不是把你的ip显示了出来（特别是一些聊天室），你一定要小心了！可能攻击你的人就是这样才能控制你的。因为我们拨号上网的用户ip是动态的，你每次上网的ip是服务器随机分配给你的，所以自己的ip如果不让人知道，是不会遭到袭击的。我在不久前的电脑报上看见一个倒霉蛋，她的计算机一直被人控制着，害得她只有偷偷上网。唉其实她只要重装操作系统就行了。这是最简单的治疗后门程序的办法（也是最笨的）。知道了后门程序的原理，大家可以松一口气了。大家接着往下看2.3 web安全在网上交流的方式中最常用、最直接的就是在聊天室聊天了。与一些朋友轻松讨论问题，开开玩笑，真是舒坦！可是攻击者就利用网上的漏洞，从中作梗妨碍大家的交流。（真是可气哇）现在的许多web聊天室支持使用html语句，当然这在一定程度上给了大家方便。但是攻击者完全可以利用这个让你“下课”！我列出这些聊天室的漏洞，大家一定听好了： 攻击者常常发给你（或大家！）一个足以让你死机的html语句。如一个死循环：|。因为html语句是不会在聊天室显示出来的，所以你遭攻击可能还不知道！防治的办法是在你的浏览器中预先关闭你的java脚本。方法是：打开windows的控制面板中的“internet选项”，点击“安全”,然后选择“自定义”设置。可以看见里面有一个选项叫“脚本”/“活动脚本”,单击检查框打上勾使其“禁用”，还有一个“java”选项你也把他禁用了，然后确定，ok！另外有的聊天室会把你聊天用的密码写入你的缓存里面，想想如果你不幸中了后门程序，被一个黑客的阴影笼罩，他正好去读你的缓存，你的聊天密码又正好与上网密码相同，呜呼提醒你如果遇上这样的聊天室最好每次清理你的缓存（windows目录下的internet temp文件夹），删掉一些文件名含有你密码的文件，才能保证你聊天的安全问题！电子邮件大概是网上用得最广也是最令人放心不下的了。它太不安全、太不可靠也太脆弱了！我们最后才讲它是因为它同时又太重要了！好吧，这里就向你提供一个全面的邮件安全与邮箱保护方案。安全邮件与数字签名由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息，而且随着互联网的飞速发展，这类应用会更加频繁。因此保证邮件的真实性（即不被他人伪造）和不被其他人截取和偷阅也变得日趋重要。因为我们知道：用许多黑客软件如email er能够很容易地发送假地址邮件和匿名邮件，另外即使是正确地址发来的邮件在传递途中也很容易被别人截取并阅读。这些对于重要信件来说是难以容忍的。下面我们就以outlook express为例介绍发送安全邮件和加密邮件的具体方法。在outlook express中可以通过数字签名来证明你的邮件的身份，即让对方确信该邮件是由你的机器（注意：是机器！）发送的。outlook express同时提供邮件加密功能使得你的邮件只有预定的接收者才能接收并阅读它们，但前提是你必须先获得对方的数字标识（不懂？下面慢慢解释给你听）。要对邮件进行数字签名必须首先获得一个私人的数字标识（digital id,你的数字身份证）。所谓数字标识是指由独立的授权机构发放的证明你在internet上身份的证件，是你在因特网上的身份证。这些发证的商业机构将发放给你这个身份证并不断效验其有效性。你首先向这些公司申请数字标识，然后就可以利用这个数字标识对你写的邮件进行数字签名。如果你获得了别人的数字标识那么你还可以跟他发送加密邮件。下面我们简单阐述一下数字标识的工作原理。数字标识由“公用密钥”、“私人密钥”和“数字签名”三部分组成。你通过对发送的邮件进行数字签名可以把你的数字标识发送给他人，这时他们收到的实际上是公用密钥，以后他们就可以通过这个公用密钥对发给你的邮件进行加密，你再在outlook express中使用私人密钥对加密邮件进行解密和阅读。 数字标识的数字签名部分是你的电子身份卡，数字签名可使收件人确信邮件是您发送的，并且未被伪造或篡改。序目前flash对位图的处理功能还比较弱，因为它最初是从矢量处理起始的，加之矢量图形是flash gui设计之基石，所以估计还会沿着矢量处理的道路继续前进。 2.4 拨号上网 与局域网用户相比，普通拨号上网的用户在预防黑客入侵的对抗中，往往处于更不利的地位。但是，许多上网的虫虫一向对网络安全抱着无所谓的态度，认为最多不过是被人盗用账号而损失几千元而已，却没有想到被盗用的账号如果被黑客利用做为跳板从事网络破坏活动，你可能就要背黑锅了。根据笔者一位朋友对拨号上网用户的抽样追踪发现，在广州城里，居然有三成多的用户半年以内都不更换一次账号密码!由于从事黑客活动越来越容易，是到了需要提高网络安全意识的时候了，下面的方法将有助于拨号上网用户预防黑客入侵。图2.1 连接向导图2.2 账户安全2.5 经常修改密码 老生常谈了，但却是最简单有效的方法。由于许多黑客利用穷举法来破解密码，像john这一类的密码破解程序可从因特网上免费下载，只要加上一个足够大的字典在足够快的机器上没日没夜地运行，就可以获得需要的帐号及密码，因此，经常修改密码对付这种盗用就显得十分奏效。由于那么多潜在的黑客千方百计想要获得别人的密码，那么拨号上网用户就应该加强防范，以下四个原则可提高密码的抗破解能力。不要选择常用字做密码。用单词和符号混合组成密码。使用9个以上的字符做密码，使你的密码尽可能地长，对windows系统来说，密码最少要由9个字符组成才算安全。密码组成中最好混合使用大小写字母，一般情况下密码只由英文字母组成，密码中可使用26或52个字母。若对一个8个字母组成的密码进行破解，密码中字母有无大小写之分将使破解时间产生256倍的差别。2.6 请他人安装后应立即修改密码这是一个很容易忽略的细节，许多用户第一次不懂得如何拨号上网，就请别人来教，这样常常把用户名和密码告诉此人，这个人记住以后就可以回去盗用服务了。所以，用户最好自己学会如何拨号后再去申请上网账号，或者首先向isp问清如何修改自己的密码，在别人教会自己如何拨号后，立刻将密码改掉，避免被人盗用。2.7 使用“拨号后出现终端窗口”功能 选中某一连接，单击鼠标右键，选“属性/常规/配置/选项/拨号后出现终端窗口”，然后拨号时，在拨号界面上不要填入用户名和密码(更不要选中“保存密码”项)，在出现拨号终端窗口后再进行相应的输入，这可以避免用户名和密码被记录到硬盘上的密码文件中，同时，也可以避免被某些黑客程序捕获用户名和密码。图2.3 终端安全2.8 删除.pwl文件 在 windows目录下往往有一些以“.pwl”为后缀名的密码文件，“.pwl”是password的音译缩写。比如:在最初的windows 95操作系统中密码的保存即存在安全漏洞，从而使黑客可以利用相应的程序轻松获取保存在pwl文件里的密码。这一漏洞在windows 97中已经被修复。因此，你需要为你的电脑安装windows 97以上版本的操作系统。pwl文件还常常记录其他地方要用到的密码，比如开启exchange电子信箱的密码、玩mud游戏的密码等，要经常删除这些 pwl文件避免将密码留在硬盘上。 2.9 禁止安装击键记录程序 很多人知道doskey.exe这个程序，这个在 dos下常用的外部命令能通过恢复以前输入的命令来加快输入命令的速度，在windows下也有了许多类似的程序，如keylog，它不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。还有些程序能将击键字母记录到根目录下的某一特定文件中，而这一文件可以用文本编辑器来查看。密码就是这样被泄露出去的，偷盗者只要在根目录下看看就可以了，根本无需任何专业知识!第三掌 校园网络安全问题3.1 校园网络 校园网具有速度快、规模大,计算机系统管理复杂,随着其应用的深入,校园网络的安全问题也逐渐突出,直接影响着学校的教学、管理、科研活动。因此,在全面了解校园网的安全现状基础上,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。当前,校园网网络常见的安全隐患有以下几种。 3.1.1计算机系统漏洞目前,校园网中被广泛使用的网络操作系统主要是windows,存在各种各样的安全问题,服务器、操作系统、防火墙、tcp/ip协议等方面都存在大量安全漏洞。而且随着时间的推移,将会有更多漏洞被人发现并利用。许多新型计算机病毒都是利用操作系统的漏洞进行传染,如不对操作系统进行及时更新,这些漏洞就是一个个安全隐患。3.1.2计算机病毒的破坏计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。计算机病毒具有以下特点:一是攻击隐蔽性强;二是繁殖能力强;三是传染途径广;四是潜伏期长;五是破坏力大。如arp欺骗病毒、熊猫烧香病毒,网络执行官、网络特工、arpkiller、灰鸽子等木马病毒,表现为集体掉线、部分掉线、单机掉线、游戏帐号、qq帐号、网上银行卡等帐号和密码被盗等等,严重威胁了校园网络的正常使用。 3.1.3来自网络外部的入侵、攻击等恶意破坏行为校园网与internet相连,在享受internet方便快捷的同时,也面临着遭遇攻击的风险。黑客也经常利用网络攻击校园网的服务器,以窃取一些重要信息。目前在因特网上,可以自由下载很多攻击工具,这类攻击工具设置简单、使用方便,破坏力大,这意味着攻击所需要的技术门槛大大降低。因此,一个技术平平的普通攻击者很可能就是对网络系统造成巨大危害的黑客。 3.1.4校园网内部的攻击高校校园网是广大师生进行教学与科研活动的主要平台,由于高校部分学生对网络知识很感兴趣,具有相当高的专业知识水平,对内部网络的结构和应用模式又比较了解,攻击校园网就成了他们表现自己的能力,实践自己所学知识的首选,经常有意无意的攻击校园网系统,干扰校园网的安全运行。 3.1.5校园网用户对网络资源的滥用实际上有相当一部分的internet访问是与工作无关的,有人利用校园网资源进行商业的或免费的视频、软件资源下载服务,甚至有的是去访问色情、暴力、反动站点,导致大量非法内容或垃圾邮件出入,占用了大量珍贵的网络带宽,internet资源严重被浪费,造成流量堵塞、上网速度慢等问题,而且不良信息内容也极大地危害青少年学生的身心健康。 3.1.6非正常途径访问或内部破坏在高校中,有人为了报复而销毁或篡改人事档案记录;有人私自改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据;一些学生通过非正常的手段获取习题的答案或者在考试前获得考试内容,使正常的教学练习失去意义。这些行为都严重地破坏了学校的管理秩序。 3.1.7网络硬件设备受损校园网络涉及硬件的设备分布在整个校园内,管理起来有一定的难度,暴露在外面的设施,都有可能遭到有意或无意地损坏,这样可能会造成校园网络全部或部分瘫痪的严重后果。 3.1.8校园网安全管理有缺陷随着校园内计算机应用的大范围普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入,忽视软件投资;重运行,轻管理的现象。主要表现为对网络安全的认识不足,将网络系统作为一项纯技术工程来实施,没有一套完善的安全管理方案;网络系统管理员只将精力集中于ip的申请分配和开通、帐户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上,而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。3.2 造成这些现状的原因 3.2.1网络安全维护的投入不足网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。3.2.2网络管理员责任心不强很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以也就不会花很多的心思去维护网络、维护硬件。 3.2.3师生的网络安全意识和观念淡薄很多学生包括部分教师对网络安全不够重视,法律意识也不是很强。通过网络,或通过带毒的移动存储介质,经常有意无意的传播病毒,攻击校园网系统,干扰校园网的安全运行。3.2.4盗版资源泛滥由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,盗版安装的计算机系统今后会留下大量的安全漏洞。系统自动更新引起的电脑黑屏事件,就是因为microsoft公司对盗版的xp操作系统的更新作了限制。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。3.3对策措施 校园网的安全问题是一个较为复杂的系统工程,要从用户、管理、技术三方面的因素来考虑。从严格的意义上来讲,100%的安全网络系统是没有的,网络安全工作是一个循序渐进、不断完善的过程。 在目前的情况下,需要全面考虑综合运用防火墙、入侵检测、杀毒软件等多项技术,互相配合、加强管理。为了提高校园网络的安全性,提出以下几点安全策略。 第四章 企业网络安全概述4.1 网络安全计算机网络安全是指计算机及其网络系统资源和信息不受自然和人为有害因素的威胁危害，即指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因遭到破坏、更改和泄露，确保系统能连续可靠正常运行，使网络服务不中断。计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性科学。从广义上来说，凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以，广义的计算机网络安全还包括信息设备的物理安全性，诸如场地环境保护、防火措施、防水措施、放电保护、静电保护、电源保护、空调设备、计算机辐和计算机病毒等。安全风险不能完全消除或者防止，但是可通过有效地风险管理和评估，将风险最小化到可以接受的水平。至于什么才是可以接受的 ，这取决于个人或者企业的承受力。如果减少风险所带来的收益超过了采取各种措施的费用，那么进行风险管理就是值得的。4.2 安全隐患网络安全的目的是实现网络信息的完整性、机密性和可用性。4.2.1 完整性完整性是指确保数据不允许被非授权人修改或者破坏的能力。完整性确保了发送信息与接受信息是一致的，即使数据是非保密的，也必须保证数据的完整性，就像一个人不允许其他人知道他的日常业务，但决不允许他人擅自修改其业务一样。4.2.2 机密性机密性将保护数据不泄露给非授权地第三方。无论是客户数据还是公司内部数据，企业都有责任保证数据的私密性。所有的客户都有权要求保护他们的个人信息，一个企业也必须尊重客户的隐私权并与客户之间保持一种信任的关系。公司拥有的信息不仅是敏感的，而且也需要保密，只有被许可的部分才能被访问，这些信息的传递也是以一种安全的方式进行并能阻止未授权地访问。4.2.3 可用性可用性是指计算机系统的连续操作能力，其对立面试拒绝服务，这种攻击通过垃圾信息来淹没网络设备，减慢直到整个系统崩溃。应用程序需要不同级别的可用性，这取决于停机时间对业务的影响。例如，若一个应用程序师可用的，那么所有的组件，包括应用程序和数据库服务器、存储设备和端到端的网络连接等，都必须是可提供持续服务的。随着更多企业和组织对基于网络应用和internet依赖性的增加，多媒体数据的集成也对各种应用的可用性提出了更高的要求。各种原因造成的系统停机，都可能导致可用性的缺乏，降低客户的信任度，甚至减少企业的收入。4.3 安全分类对于网络安全隐患，主要有以下四方面的原因：1）技术缺陷：每个网络和计算机技术都存在内在的安全问题。2）配置缺陷：暴露出的安全问题，甚至大多数是安全技术的配置错误。3）政策缺陷：缺乏安全策略或者不正确的执行管理，都可能使最好的安全和网络技术失去作用。4）人为错误：工作人员写下自己的口令随意放置，或者多人共享一个口令等，都是一些常见的问题。4.4 网络安全目标网络安全最重要的一个目标是获得那些任何不是被明确许可的操作被禁止的情况。正在发展的一个安全策略目标是定义一个组织的计算机和网络的使用期望值。“安全”意味着防止系统内部和外部两方面的攻击。网络安全包括安全数据、应用和用户。4.4.1 消除盗窃据统计美国的公司因为信息失窃而损失1000亿美元的收益，这通常发生于报表和机密信息被当成垃圾丢弃。4.4.2 确定身份安全措施可能降低方便性，一般来说，简单的口令是一个效率的身份鉴定形式，但是更强大的身份鉴定需要更多的成本开销。4.4.3 鉴别假冒任何隐藏的假冒都是一个潜在的安全漏洞，为了防止假冒，一般来说，要有足够的身份鉴定、授权和审核以及专家的确认或者否定，然后在提出相应的建议。4.4.4 保密大多数安全是建立在保密的基础上的。许多安全专家发现漏洞都是一些很容易修补的众所周知的缺陷，因为必须确保网络安装最新的版本的补丁。在以后的几年当中，据估计90%的对计算机的攻击将继续利用那些已有的补丁程序或预防措施的安全缺陷。对数据进行分类并确定哪些数据需要保密是一件迫切的事，需要保密的包括口令、信用卡号、银行账号等。为了确保秘密数据的安全性，必须对系统进行分层并确保安装最新的补丁程序。4.5攻击互联网络安全性的类型对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击。对静态数据的攻击主要有：口令猜测：通过穷举方式搜索口令空间，逐一测试，得到口令，进而非法入侵系统。ip地址欺骗：攻击者伪装成源自一台内部主机的一个外部地点传送信息包，这些信息包中包含有内部系统的源ip地址，冒名他人，窃取信息。指定路由：发送方指定一信息包到达目的站点的路由，而这条路由是经过精心设计的、绕过设有安全控制的路由。根据对动态信息的攻击形式不同，可以将攻击分为主动攻击和被动攻击两种。被动攻击主要是指攻击者监听网络上传递的信息流，从而获取信息的内容（interception），或仅仅希望得到信息流的长度、传输频率等数据，称为流量分析（traffic analysis）。被动攻击和窃听示意图如图所示：第五章 企业数据安全5.1 数据库安全 数据库系统是存储只要信息的场所，并担负着管理这些数据信息的任务。数据库安全问题，在数据技术诞生之后就一直存在，并随着数据库技术的发展而不断深化。因而，如何保证和加强其安全性和保密性，已成为目前迫切需要解决的热门课题。5.1.1 数据库的安全问题计算机安全性的三方面是安全性、保密性和可用性，都与数据库管理系统有关系。数据库系统安全问题可归纳为以下三方面：1. 保障数据库系统的保密性。2. 保障数据库系统的完整性。3. 数据库系统的可用性。5.1.2 数据库安全策略与配置 数据库的安全策略包括系统的策略、数据安全的策略、用户安全的策略等。1. 系统安全的策略1） 数据库用户的管理每个数据库都有一个或几个管理员，负责维护所有的安全策略方面的问题，这类管理员称为安全管理员。如果数据库系统很小，数据库管理员也就担当起安全管理员的责任。但是，如果数据库很大，通常就要指定一个人或一群人专门担当安全管理员的责任2） 用户的鉴别数据库用户可以通过操作系统、网络服务或数据库进行身份确认，来鉴别（核实合法用户）。3） 操作系统的安全 如果可以的话，对于任何数据库应用来说，还应该考虑数据库管理员必须具有操作系统会识别用户的数据库角色，那么，安全管理员就必须有操作系统权限，以便修改操作系统转户的安全域。图5.1 数据库安全5.2 数据安全的策略 安全包括在对象层上控制访问和使用数据库的机制。数据库安全策略应确定，能访问特殊的模式对象、允许每个用户在对象上做的特殊的动作类型。例如，访问数据库表时，一些用户只能执行select和insert语句，而不能执行delete语句。5.3 用户安全的策略1） 普通用户的权限管理 安全管理员应该考虑涉及所有类型用户的权限管理问题。例如，在一个有许多用户名的数据库中，使用角色来管理用户可用的权限是非常有益的。否则，如果数据库只有少数用户名，就将权限明确地赋予用户，避免使用角色，这样反而更容易。2） 密码安全如果用户是通过数据库进行用户身份的确认，那么建议使用密码加密的方法与数据库进行连接。3) 终端用户的安全 安全管理员必须定义终端用户的安全策略。如果一个数据库有很多用户，安全管理员可以解决讲那些用户的组分类成用户组，然而为这些组创建用户角色，安全管理员可以给每个用户角色赋予必要地权限或引用角色，在将用户角色赋予给这些用户。对于例外情况，安全管理员还必须确定，必须将什么权限明确地赋予那个用户。4）管理员的安全安全管理员应该有一个处理数据库管理员的安全策略。例如，但数据库很大，且有几种类型的数据库管理员时，安全管理员就应该将相关的管理员权限划分几个管理角色。然后将这些管理员角色赋予适当的管理员用户。相反，当数据库很小而且只有几个管理员时，创建一个管理员角色并把这个管理角色赋予所有管理员，可能就更方便些。5.4 导致数据失效的原因分析5.4.1 计算机系统的故障分类以及故障发生的概率分析 1）计算机软硬件故障发生概率：对于某一企业，发生可能性最大，也最频繁，是经常发生的一类故障； 预防方法：本地双机热备，实现系统冗余，增强业务系统的高可用性。 2）人为操作故障 发生概率：对管理较严、人员素质较高的企业，偶尔发生；对管理较松、人员培训不足的企业，会经常发生；预防方法：提高系统自动化运行管理水平，做好本地数据冷备份，减少人的操作与干预，或制定严格的管理规范，避免误操作。 3）资源不足引起的计划性停机 发生概率：对于某一企业，随着业务的快速增长，平均每年均会发生如软、硬件升级、系统资源扩充等事件，业务增长越快的企业，发生亦越频繁； 预防方法：本地双机，系统冗余。 4） 生产地点的灾难 发生概率：对于某一企业，发生概率较小；对于全国范围，有偶然发生的必然性；预防方法：灾难恢复中心。第六章 网络安全6.1 网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。 网络安全应具有以下四个方面的特征： 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性：对信息的传播及内容具有控制能力。 从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（intranet）、企业外部网（extranet）、全球互连网（internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 因此计算机安全问题，应该象每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。 6.2 网络安全分析6.2.1 物理安全分析 网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。 6.2.2 网络结构的安全分析 网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上internet/intrant的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（web、dns、email等）和外网及内部其它业务网络进行必要的隔离，避免网络结构