计算机专业毕业设计（论文）-XX校园局域网组成计划及网络安全部署1.doc

xxx学院计算机系毕业论文题目 ：xx公司局域网组成计划及网络安全部署 姓 名： 学 号： 专 业： 班 级： 指导教师： 提交日期： 前言当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异，从各个方面影响和改变着我们的生活，而其中的计算机网络技术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和快速。随着人们对于信息资源共享以及信息交流的迫切需求，促使网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。自1995年中国教育教研网（cernet）建成后，校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用，对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程，开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、intranet/internet的应用、网络安全，网络系统的维护等内容。1. 计算机网络计算机网络是指通过传输媒休连接的多部计算机组成的系统，使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网(local area network,lan)、城域网(metropolitan area network,man)、广域网(wide area network,wan)。我们经常用到的因特网(internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。1.1 校园网的建设思路校园网的建设是一项非常复杂的系统工程，校园作为一个特殊的网络应用环境，它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠，维护简单的原则。校园网的建设主要应用局域网技术以及多媒体技术为主的各种网络应用技术。局域网技术是一项在20世纪70年代发展起来的计算机互联技术，经过多年的发展，技术已经成熟，并得到了广泛的应用，局域网技术成为网络技术的重要组成部分。计算机多媒体技术是伴随着多媒体信息的应用而得到迅速的计算机应用技术，在网络环境下，多媒体得到了更快更好的应用，使我们得到了更好更多的信息。校园网是使用了局域网技术以及各种多媒体应用技术，并结合internet应用等其它的技术来建设。使得校园网能满足现代教学对信息处理的要求，使计算机的应用能对教学管理现代化起重要的促进作用，能实现信息查寻、教务管理，并与外部网络系统进行交流等多种需要。1.2 校园网的建设原则校园网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使校园网的建设工作健康稳定地开展。首先，校园网的建设是一个为学校教育教学活动长期服务的工作，因此在校园网的规划建设过程中，必须从学校长远发展规划出发，以服务于教育为基本点，结合学校当前教育教学的实际需要，做出科学的规划部署。在校园网的规划建设中，一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥校园网络的功效，提高校园网对学校教育的服务水平。1.3 局域网简介局域网是同一建筑、同一校园、方圆几公里远的地域内的专用网络。局域网通常用来连接公司办公室或企业内部的个人计算机和工作站，以共享软、硬件资源。美国电气和电子工程师协会（ieee）局域网标准委员会员会曾提出局域网的一些具体特征：局域网在通信距离有一定的限制，一般在12km的地域范围内。比如在一个办公楼内、一个学校等。较高传输率的物理通信信道也是局域网的一个主要特征，在广域网中用电话线连接的计算机一般也只有2040kpbs的速率。因为连接线路都比较短，中间几乎不会爱任何干扰，所以局域网还具有始终一致的低误码率。局域网一般是一个单位或部门专用的，所以管理起很方便。另外局域网的拓扑结构比较简单，所支持连接的计算机数量也是有限的。组网时也就相对很容易连接。1.3.1网络的体系结构网络通常按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络，层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务，这一点是相同的。层和协议的集合被称为网络体系结构。作为具体的网络体系结构，当前重要的和使用广泛的网络体结构有osi体系结构和tcp/ip体系结构。osi是开放系统互连基本参考模型osi/rm（open system interconnection reference model）缩写，它被分成7层，这7个层次分别定义了不同的功能。几乎所有的网络都是基于这种体系结构的模型进行改进并定义的，这些层次从上到下分别是应用层、表示层、会话层、运输层、网络层，数据链路层和物理层，其中物理层是位于体系结构的最低层，它定义了osi网络中的物理特性和电气特性。tcp/ip（transmission control protocol/internet protocol,传输控制协议和互连网协议）缩写，tcp/ip体系结构是当前应用于internet网络中的体系结构，它是由osi结构演变来的，它没有表示层，只有应用层、运输层，网际层和网络接口层。1.4网络协议网络协议是通信双方共同遵守的约定和规范，网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送，在校园局域网上用到的协议主要有，icp/ip协议、ipx/spx协议等。(1) tcp/ip协议tcp/ip协议是目前在网络中应用得最广泛的协议，icp/ip实际上是一个关于internet的标准，并随着的internet广泛应用而风靡全球，它也成为局域网的首选协议。tcp/ip是一种分层协议，它共被分为个4层次，大约包含近期100个非专有协议，通过这些协议，可以高效和可靠地实现计算机系统之间的互连。tcp/ip协议中的核心协议有tcp（传输控制协议）、udp（用户数据报协议）和ip（因特网协议）tcp协议可以在网络用户启动的软件应用进程之间建立通信会话，并实现数据流量控制和错误检测，这样就可以在不可靠的网络上提供可靠的端到端数据传输。udp协议是一种无连接的协议，它在传输数据之前不建立连接，也不提供良好的可靠性和差错检查，只仅仅依赖于校验来保证可靠性。udp不进行流量控制，没有序列或者确认，因此它处理和传输数据的速度快，还被用来传输关键的网络状态消息。ip协议的基本功能是提供数据传输、数据包编址、数据包路由，分段等。通过ip编址约定，可以成功地将数据通过路由传输到正确的网络或者子网。每个网络站点具有一个32位的ip地址，它和48位mac地址一起协作，完成网络通信，ip协议也是一种无连接的协议。（2）超文本传输协议(http)http(hypertext transfer protocol ),超文本传输协议)是www浏览器和www服务器之间的应用层协议，是用于分布式协作超文本信息系统的、通用的、面向对象的协议，http协议还是基于tcp/ip协议之上的应用层协。（3）文件传输协议(ftp)ftp(file transfer protocol ,文件传输协议)是由支持internet文件传输的各种规则所组成的集合。这些规则能使网络用户把文件从一个主机拷贝到另一个主机上，ftp是采客户/服务器方式服务的。（4）远程登录协议（telnet）远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具，其主要目标是提供终端设备与面向进程接口的标准方法，telnet是应用层的协议，采用客户/服务器模式工作的，telnet不仅允许用户登录到远端主机上，还允许用执行远端主机的命令，这样用户就能以极小的网络资源代价完成大型的网络应用。2. 常用网络设备网络设备主要是指硬件系统，各种网络设备之间是有着相互关联而不是相互独立的，每一部分在网络中有着不同的作用，缺一不可，只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统，网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。2.1 网卡网卡（简称nic），也网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络，都必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的id号，也就是mac（media access control）地址，计算机在连入网络之后，就是依靠这个id号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话，有10mbit/s网卡、10/100mit/s自适应网卡和1000mbit/s网卡；如按总线分，有isa总线、pci总线、pcmcia总线网卡等。从目前校园网建设的实际情况来看，工作站网卡选择pci总线的10m/100mbit/s自适应网卡最适合。2.2 交换机交换机，也称交换式集线器，是专门设计的，使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备，随着价格的不断降低，交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率，而且交换延时很小，使得信息的传输效率大大提高，适合于大数据量并且使用非常频繁的网络通信，被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能，它能自动根据网络通信的使用情况来动态管理网络，因为交换机采用了独享网络带宽的设计。2.3 路由器路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根据路径的代价，选择一条最佳的路径，然后把数据帧沿这条路径发送给目标地址。2.4 传输介质网络要求把各个独立的计算机连接起来的，这样就必然要求有一种介质将计算机连接起来，这就是传输介质，局域网的传输介质可分为有线介质和无线介质两种，一般情况下都是用有线介质的，因为它的稳定性高，连接可靠，无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。(1) 同轴电缆同轴电缆以硬铜线为芯，外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕，网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格，最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接，而粗同轴电缆则常用于建筑物间相连。它们的区别在于粗同轴电缆屏蔽更好，能传输更远的距离。同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成，其结构如图1所示。(2) 双绞线双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起，可降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消，与其他传输介质相比，双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制，但价格较为低廉。目前，双绞线可分为非屏蔽双绞线和屏蔽双绞线。 双绞线的结构如图2如示：双绞线就是用rj-45的小晶头加网线连接网卡与其它通迅设备的线览。所谓的交叉法就是：在双绞线接入rj-45接头时的跳线顺序，一端有eia/tia 568a标准，一端用eia/tia 568b标准下面分别对两个标准再详细说一下：a标准：绿白-绿， 橙白-蓝，蓝白-橙，棕白-棕b标准：橙白-橙，绿白-蓝，蓝白-绿，棕白-棕。(3) 光纤光纤是一种直接为50100um的柔软的、能传导光波的介质，一般由玻璃制造。光纤分为：传输点模数类分单模光纤(single mode fiber)和多模光纤(multi mode fiber)。单模光纤的纤芯直径很小，在给定的工作波长上只能以单一模式传输，传输频带宽，传输容量大。多模光纤是在给定的工作波长上，能以多个模式同时传输的光纤，与单模光纤相比，多模光纤的传输性能较差。光纤通信系统的基本构成如图3所示：3. 服务器校园网中的服务器主有数据库服务器和代理服务器，数据服务器与代理服务器主要是面向校园网内部用户的服务，对来自internet的用户服务也很多，主要是对校园网内部用户进行internet代理服务。目前，绝大多数校园网都要求内部服务用户通过代理访问internet，这样内部用户就不能直接访问internet，同时代理服务器保存着内部用户访问internet的日志，以作为记费的依据。由于用户数量非常大，也非常集口中，所以在选型代理服务器时，主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性，一般来说都选用大型服务器作为代理服务器。3.1 设备选型服务器端。选择微软的服务器端集成软件backoffice.backoffice包括了windowsnt.iis.frontpage.sql server.exchange server.systems management server。proxy server以及一个统的客户/服务器软件安装程序。其中,window xp作为网络的基础,提供文件和打印机共享，通信internet连接和应用程序服务：:iis提供www和ftp服务;frontpage提供网页制作工具和web管理;index server提供email时间规划和集成的群件性能；sna server提供主机数据和应用的连接能力；systems management集中地管理这个分布式的环境;proxy server提供防火墙功能，有效地将校园网与公共internet分离，并有效地提供客户访问internet的通路。(2) 客户端 选用ie5.0以上，它提供了组用户访问web，所有本地文件和校园网络上所有文件的集成方法。3.2 dns服务器dns是域名系统 (domain name system)的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。dns 命名用于tcp/ip网络，如internet，用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入dns 名称时，dns服务可以将此名称解析为与此名称相关的其他信息，如ip地址。域名系统为一个分布式数据库,它使本地负责控制整个分布式数据库的部分段,每一段中的数据通过客户，服务器模式在整个网络上均可存取，通过采用复制技术和缓存技术使得整个数据库可靠的同时，又拥有良好的性能。域名服务器包含数据库的部分段的信息，并可提供被称之为解析器的客户来访问。3.3 web服务器在internet时代，外部主页的发布已经成为树立公司形象的一个重要手段，而内部主页也成为公司管理的主要方式。但是，要想实现这些功能，首先应该把我们的机器配置成为一台强大的web server。iis（internetinformationserver）作为当今流行的web服务器之一，提供了强大的internet和intranet服务功能。3.4邮件服务器email(电子邮件)服务是目前internet中应用最广泛和使用最频繁的一项服务，而在局域网intranet中也是一项重要的应用。在局域网构建一个内部的email服务器，可以大大加快内部公文的快速传送，而且大大降低了通信费用。4服务器配置方案4.1 dns服务器的设置1、打开dns控制台：选“开始菜单程序管理工具dns”。2、建立域名“”映射ip地址“xxx.xxx.xxx.xxx”的主机记录。建立“com”区域：选“dnswy（你的服务器名）正向搜索区域右键新建区域”，然后根据提示选“标准主要区域”、在“名称”处输入“com”。如下图：建立“abc”域：选“com右键新建域”，在“键入新域名”处输入“abc”。建立“admin”主机。选“abc右键新建主机”，“名称”处为“admin”，“ip地址”处输入“ip地址”，再按“添加主机”。dns服务是许多服务的基础，所以配置一台linux server应该从dns开始，并要从一开始就对你的服务器配置成什么样子有一个整体的把握，这样才能保证配置之间能够相互协调，避免错误的发生。4.2 iis的安装在windows xp中，iis并不是默认安装的，而是作为可选的组件，现在我们要建站，就可以选择安装他们，方法很简单，放入xp光盘，然后运行光盘，在运行界面中选择添加组件，或者打开控制面板然后打开添加或者删除文件，选择添加windows组件。在弹出对话框中选择internet 信息服务(iis)。然后点击确定安装就可以了。(1)web网站的架设在控制面板中打开“管理工具”-“internet 信息服务”:大家可能都看到了上图有个“默认网站”选项，你既可以修改默认的web站点为你的新站点，也可以重新命名一个新的web站点，方法是在默认网站上点击鼠标右键选择重命名然后输入你想要的名字，大家可以自己随意修改。(2)iis关于web服务器的配置要想网站顺利运行还得配置iis,在命名后的站点上点击鼠标右键选择属性如图：在上图的主目录中定义网页内容的来源，默认如上图，本地路径可以根据你的需要设置，一般从安全性角度上考虑不要设置在系统分区，可以在另外的分区重新建立一个路径。如上图在网站选项框中可以设置网站的描述，指定的ip地址，连接超时的时间，这些都可以根据爱好随意设置，重点说一下日志纪录，一个好的网管必须养成经常观察日志的习惯，只有这样，才能保证计算机网络的安全性。点击日志设置的属性如下图：设置日志属性，一般新建日志时间设置为每小时，下面可以设置日志文件目录，不建议使用默认路径。设置“文档”：确保“启用默认文档”一项已选中，再增加需要的默认文档名并相应调整搜索顺序即可。此项作用是，当在浏览器中只输入域名（或ip地址）后，系统会自动在“主目录”中按“次序”（由上到下）寻找列表中指定的文件名，如能找到第一个则调用第一个；否则再寻找并调用第二个、第三个如果“主目录”中没有此列表中的任何一个文件名存在，则显示找不到文件的出错信息。如果需要，可再增加虚拟目录，如下图：3)启动web站点上述设置后，网站就可以启动了，在站点上点击右键选择启动，然后在浏览器里输入刚才指向的网址，就可以浏览自己制作的网页了。4 、3邮件服务器一. 安装dns服务器在windowsserver2003系统中没有安装dns服务器。二. 创建区域配置dns服务器向导。创建“区域名称”向导页。创建 “动态更新”向导页。完成配置，结束“”区域的创建过程和dns服务器的安装配置过程。三. 安装pop3和smtp服务组件1.安装pop3服务组件、安装smtp服务组件安装完成。四. 配置dns打开dns，点开正向查找，点击,新建主机，如下图：写本机ip地址设置pop3服务工作端口号，保持默认值110即可（见图3）。五、建立邮箱。zhangfan六、 客户端配置请手动配置你的客户端：七、 邮件发送成功（学生作品集）xxx作品xxx作品xxx作品xxx作品xxx作品举例：小型网络规划组建局域网时需要进行网络地址规划。企业申请了一个c类ip地址：我们把这个网络划分为3个网络：第一个网络信息点为100个信息点需要7个主机位：1126可用，用于需要100个点的网络0|0000000 给主机位 26/25 掩码为：281|0|000000第二个网络信息点为2个需要两个主机位129190可用用于需要50个点的网络给主机位 2990/26掩码为：92第三个网络信息点为50个需要6个主机位193和194可用，用户需要2个点的串行链路9394/30给主机位1|1|0000|00掩码为：52 vlsm：variable length subnet mask100个信息点2个信息点50个信息点。需要7个主机位只需要2个主机位需要6个主机位解：c类地址主机地址： 子网掩码：92/2 (1) 为2个信息点 2个主机位子网地址：(00000000)主机地址：(00000001)-2 (00111110)广播地址：3 (2) 为50个信息点 6个主机位子网地址: 4(01000000)主机地址；5 (01000001)-26 (01111110)广播地址：27(3) 为100个信息点 7个主机位子网地址: 92(11000000)主机地址范围；93(11000001)-54 (11111110)广播地址: 55网络ip地址“规划为私有ip地址区域的部分是，还有一些特殊的如127部分、169部分、d类e类的224-255部分，主要”分为abc三类，以下是覆盖范围：a类： - 55，标谁的子网掩码是(按子网掩码的另一种标注方法是/8，就是将子网掩码换算成二进制后，从左数起8个1)b类： - 55，标谁的子网掩码是(按子网掩码的另一种标注方法是/16，就是将子网掩码换算成二进制后，从左数起16个1)c类： - 55，标谁的子网掩码是(按子网掩码的另一种标注方法是/24，就是将子网掩码换算成二进制后，从左数起24个1) ，好的网络图应包含连接不同网段的各种网络设备的信息，比如路由器、网桥、网关的位置、ip地址，并用相应的网络地址标注各网段。ip地址类型第一字节十进制范围二进制固定最高位二进制网络位二进制主机位a类012708位24位b类1281911016位16位c类19222311024位8位d类2242391110组播地址e类2402551111保留试验使用学校网络安全及其对策第一章 系统安全系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析等技术。1 反病毒技术： 计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。2 入侵检测 ：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。 从目前来看系统漏洞的存在成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够，以至于过了几年，还能扫描到机器存在许多漏洞。在校园网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供web服务功能，而没有必要向公众提供ftp功能，这样，在服务器的服务配置中，我们只开放web服务，而将ftp服务禁止。如果要开放ftp功能，就一定只能向可能信赖的用户开放，因为通过ftp用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。3 审计监控技术：审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏性行为。 因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。第二章 网络安全四原则1需求、风险、代价平衡的原则 对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 2 综合性、整体性原则 应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 3可用性原则 安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。 4 分步实施原则：分级管理，分步实施。 由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。第三章 影响网络安全的主要因素计算机网络安全的威胁主要来自外部网络和内部网络两个方面,根据国内相关学者的研究总结,影响因素主要包括以下几点:网络协议存在漏洞(主要指通信协议和通信软件系统不完善,给各种不安全因素的入侵留下了隐患);操作系统本身存在安全漏洞;网络的开放性和广域性设计使得数据的保密难度较大;无线系统中的电磁泄露(无线通信系统中的数据以电磁波的形式在空中进行传播,存在电磁波泄露,且易被截获);计算机病毒入侵(大量涌现的病毒在网上传播极快,给全球范围的网络安全带来了巨大灾难);网络黑客的恶意攻击;网上犯罪人员对网络的非法使用及破坏;信息安全防范技术和管理制度的不健全;自然灾害以及意外事故的损害等。破坏的方法主要有:利用tcp/ip直接破坏;利用操作系统间接登陆入侵;对用户计算机中的系统内置文件进行有目的的更改;利用路径可选实施欺骗;使用窃听装置或监视工具对所传播的信息进行非法检测和监听等,以上是保障计算机网络安全所时常面临的威胁性因素,及进行威胁的一般损害方法。对这些威胁性因素和方法的了解有助于我们做好相关网络安全保障,以便于我们更好地利用网络服务于我们的生产、生活与工作。 具体体现在：（1）信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。（2）信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。（3）传输非法信息流。只允许用户同其它用户进行特定类型的通信,但禁止其它 类型的通信,如允许电子邮件传输而禁止檔传送。（4）网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意 地破坏。（5）非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。（6）环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。（7）软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软 件、tcp/ip协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受计算机病毒攻击,就会带来灾难性的后果。（8）人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。第四章 防范网络安全的做法网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。其中最重要的是指网络上的信息安全。 现在有很多人认为在网络中只要使用了一层安全就够了,事实并不是这样,一层根本挡不住病毒和黑客的侵袭。接下来我将逐点介绍网络安全的多点做法。 第一、物理安全。除了要保证要有计算机锁之外,更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备ups,以确保网络能够以持续的电压运行,在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候可以烧坏电器,迫使网络瘫痪,峰值电压最小的时候,网络根本不能运行。使用ups可以排除这些意外。另外要做好防老鼠咬坏网线。 第二、进行访问控制管理。访问控制是计算机网络保护的一种常见手段和方法,所谓访问控制是指授予不同的主体不同的访问权限。不同主体依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。口令是进行访问控制最简单最常见的一种形式。只要很好地对相关口令进行保护,非授权用户就难以越权使用相关信息资源。口令的设置一般应避免使用简单易猜的生日、电话号码等数字,而应应用英文字母、标点符号、汉语拼音、空格等及其组合,以增加口令的复杂性并借此提高口令的安全性,在进行不同的系统登陆时应设置和使用不同的登陆口令,且应对相关口令进行定期更改,以保证口令的安全性。第三、打补丁。要及时的对系统补丁进行更新,大多数病毒和黑客都是通过系统漏洞进来的,例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的sqlserver上的病毒slammer也是通过sql的漏洞进来的。所以要及时对系统和应用程序打上最新的补丁,例如ie、outlook、sql、office等应用程序。另外要把那些不需要的服务关闭,例如telnet,还有关闭guset账号等。第四、安装防病毒软件。 病毒扫描就是对机器中的所有檔和邮件内容以及带有.exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一隔离文件夹里面。要对全网的机器从网站服务器到邮件服务器到檔服务器到客户机都要安装杀毒软件,并保持最新的病毒库。因为病毒一旦进入计算机,它会疯狂的自我复制,遍布全网,造成的危害巨大,甚至可以使得系统崩溃,丢失所有的重要资料。所以至少每周一次对全网的计算机进行集中杀毒,并定期的清除隔离病毒的文件夹。第五、应用程序。 超过一半都是通过电子邮件进来的,所以除了在邮件服务器上安装防病毒软件之外,还要对pc机上的outlook防护,用户要提高警惕性,当收到那些无标题的邮件,或是不认识的人发过来的,或是全是英语例如什么happy99,money,然后又带有一个附件的邮件,建议用户最好直接删除,不要去点击附件,因为百分之九十以上是病毒。除了不去查看这些邮件之外,用户还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。 很多黑客都是通过用户访问网页的时候进来的。用户可能碰到过这种情况,当打开一个网页的时候,会不断的跳出非常多窗口,关都关不掉,这就是黑客已经进入了你的计算机,并试图控制你的计算机。所以用户要将ie的安全性调高一点,经常删除一些cookies和脱机檔,还有就是禁用那些active x的控件。 第六、代理服务器。 代理服务器最先被利用的目的是可以加速访问用户经常看的网站,因为代理服务器都有缓冲的功能,在这里可以保留一些网站与ip地址的对应关系。 代理服务器的优点是可以隐藏内网的机器,这样可以防止黑客的直接攻击,另外可以节省公网ip。缺点就是每次都要经由服务器,这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候,其余计算机将不能访问网络。第七、防火墙 防火墙是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制及更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和internet之间的任何活动,保证了内部网络的安全。 防火墙基本上是一个独立的进程或一组紧密结合的进程,控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如internet)入口处。它的作用是确保一个单位内的网络与internet之间所有的通信均符合该单位的安全策略。防火墙能有效地防止外来的入侵,它在网络系统中的作用是: （1）控制进出网络的信息流向和信息包; （2）提供使用和流量的日志和审计; （3）隐藏内部ip地址及网络结构的细节; （4）提供虚拟专用网(vpn)功能。 防火墙技术的发展方向:目前防火墙在安全性、效率和功能方面还存在一定矛盾