计算机系毕业论文网络安全.doc

计算机网络信息安全研究计算机网络信息安全研究 【摘要摘要】近几年来，Internet 技术日趋成熟，已经开始了从以提供和保证网络联通性 为主要目标的第一代 Internet 技术向以提供网络数据信息服务为特征的第二代 Internet 技 术的过渡。作为全球使用范围最大的信息网，Internet 自身协议的开放性极大地方便了各种 计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及 在管理和使用上的无政府状态，逐渐使 Internet 自身安全受到严重威胁，与它有关的安全 事故屡有发生。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整 性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与 Internet 互连所带来的安全性问题予以足够重视。 关键词：关键词：计算机 网络 安全 【Abstract】In recent years, Internet technology is becoming more and more mature, have begun to provide and guarantee from the transition of second first generation Internet technology network connectivity to the main target to the data network to provide information services for the characteristics of the generation of Internet technology. The use of the worlds largest information network, open the Internet protocol itself greatly facilitates a variety of computer networking, to broaden the sharing of resources. However, as early in the design of network protocols on security issues ignored, and in the management and use of anarchy, gradually making the Internet a serious threat to their security, and its related accidents frequently happen. The network security threats mainly displays in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the network to spread the virus, wiretap etc Attach great importance to security issues that require us to bring and Internet interconnection. Keywords: computer network security - 2 - 目目 录录 1 1 引言引言- 4 - 2 2 计算机网络安全的重要性计算机网络安全的重要性- 4 - 3 3 计算机网络的特点计算机网络的特点 .- 4 - 3.1.1隐蔽性和潜伏性.- 4 - 3.2危害性和破坏性.- 4 - 3.3扩散性和突发性.- 4 - 4 4 不安全因素不安全因素.- 5 - 4.1网络内部.- 5 - 4.2硬件故障.- 5 - 4.3每一种安全机制都有一定的应用范围和应用环境 .- 5 - 4.4安全工具的使用受到人为因素的影响.- 5 - 4.5.程序存在漏洞.- 5 - 4.6.黑客的攻击 .- 5- 5 5 网络安全应具备的功能网络安全应具备的功能- 6 - 6 6 安全防范措施安全防范措施.- 7 - 6.1 严格管理，制定完善制度- 7 - 6.2 防火墙与 IDS(入侵检测系统).- 7 - 6.3对内部网络的保密.- 7 - 6.4 通过安全隧道构建安全的 VPN.- 8 - 6.5 漏洞扫描系统- 8 - 7 7 网络系统安全综合解决措施网络系统安全综合解决措施 7.1 物理安全.- 8 - 7.2 访问控制安全- 8 - 7.3 数据传输安全- 9 - - 3 - 8 8 网络安全管理的发展趋势网络安全管理的发展趋势- 10 - 9 9 结语结语- 10 - 【参考文献参考文献】- 11 - - 4 - 1 1 引言引言 随着计算机网络越来越深入到人们生活中的各个方面，计算机网络的安全性 也就变得越来越重要。计算机网络的技术发展相当迅速，攻击手段层出不穷。而 计算机网络攻击一旦成功，就会使网络上成千上万的计算机处于瘫痪状态，从而 给计算机用户造成巨大的损失。因此，认真研究当今计算机网络存在的安全问题， 提高计算机网络安全防范意识是非常紧迫和必要的。 2 2 网络安全的重要性网络安全的重要性 计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里， 数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面： 物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破 坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。它在大大增强信 息服务灵活性的同时，也带来了众多安全隐患，黑客和反黑客、破坏和反破坏 的斗争愈演愈烈，不仅影响了网络稳定运行和用户的正常使用，造成了重大经 济损失，而且可能威胁到国家安全。如何更有效地保护重要的信息数据、提高 计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生 活的重大关键问题。 3 计算机网络安全的特点计算机网络安全的特点 3.13.1 隐蔽性和潜伏性隐蔽性和潜伏性 计算机网络攻击正是因为其隐蔽性，并且过程需要的时间较短，让使用者 防不胜防。计算机攻击产生效果是需要一段时间的，攻击一般需要潜伏在计算机 程序当中，直至满足了攻击效果产生的条件，被攻击对象才会发现问题。 3.23.2 危害性和破坏性危害性和破坏性 一般来讲，网络攻击会对计算机系统造成非常严重的破坏，使得计算机处 于一种瘫痪的状态。假如攻击成功，将会给计算机用户带来非常惨重的经济损失， 甚至会威胁社会及其国家的安全。 3.33.3 扩散性和突发性扩散性和突发性 计算机网络破坏一般在之前是没有预兆的，并且它的影响扩散非常迅速。 不管计算机网络攻击的对象是个体还是群体，都会因网络的互联性形成扩散的连 - 5 - 环破坏，其影响规模假如不受到干扰，那么将会是无限的。 4 4 不安全因素不安全因素 4.14.1网络内部网络内部 即面向企业或单位内部员工的工作站，我们不能保证每一次操作都是正确与 安全的，绝大部分情况下，我们仅知道如何去使用面前的计算机来完成属于自己 的本职工作。而对于其他，如病毒、木马、间谍程序、下载或运行不可信程序、 使用移动设备复制带有病毒的文件等看似平常的操作，往往通过内部网络中某一 工作站的误操作而进人到网络并且迅速蔓延。 4.24.2硬件故障硬件故障 计算机硬件如磁盘、内存、网卡、电源、主板等，网络设备如路由器、交 换机、传输设备等，以上任何一种硬件故障都可能造成信息丢失，甚至导致整个 系统的瘫痪。 4.34.3每一种安全机制都有一定的应用范围和应用环境每一种安全机制都有一定的应用范围和应用环境 防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到 内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因 此，对于内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和 防范的。 4.44.4安全工具的使用受到人为因素的影响安全工具的使用受到人为因素的影响 一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括 系统管理者和普通用户，不正当的设置就会产生不安全因素。1-系统的后门是传 统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题，多数情况下， 这类入侵行为可以堂而皇之经过防火墙而很难察觉。比如，众所周知的.89 源码 问题，它是 338 服务的设计者留下的一个后门，任何人都可以使用浏览器从网络 上方便地调出.89 程序的源码，从而可以收集系统信息，进而对系统进行攻击。 对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的 访问过程和正常的访问是相似的，唯一区别是入侵访问在请求链接中多加了一个 后缀。 4.5.4.5.程序存在漏洞程序存在漏洞 只要有程序，就可能存在 Bug，甚至连安全工具本身也可能存在安全的漏洞。 - 6 - 如今流行的操作系统存在大量的漏洞与缺陷，并且新的漏洞与利用各种漏洞的蠕 虫变种层出不穷，网络的迅速发展也给这类威胁提供了高速繁殖的媒介。 4.6.4.6.黑客的攻击黑客的攻击 黑客的攻击手段虽然种类繁多，但主要利用以下两类漏洞：一类是 TCP/IP 协议本身的漏洞，因为 TCP/IP 协议的最初设计基于互相信任的网络，因此缺乏 对安全性的考虑;另一类是操作系统的漏洞，很多操作系统在本身结构设计和代 码设计时偏重考虑系统使用的方便性，导致了系统在远程访问、权限控制和口令 管理及其它方面存在安全漏洞。黑客的攻击手段在不断地更新，几乎每天都有不 同的系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为 地参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反 应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又 出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。 5 5 网络安全应具备的功能网络安全应具备的功能 为了能更好地适应信息技术的发展，计算机网络应用系统必须具备以下功能： （1）访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数 攻击阻止在到达攻击目标之前。 （2）检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目 标，也可使绝大多数攻击无效。 （3）攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测 出绝大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻 击源等） 。 （4）加密通讯：主动地加密通讯，可使攻击者不能了解、修改敏感信息。 （5）认证：良好的认证体系可防止攻击者假冒合法用户。 （6）备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地 恢复数据和系统服务。 （7）多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标 （8）设立安全监控中心：为信息系统提供安全体系管理、监控、保护及紧 急情况服务。 - 7 - 6 6 安全防范措施安全防范措施 6.16.1 严格管理，制定完善制度严格管理，制定完善制度 根据具体情况制定出合理安全的网络结构，加强培训，提高网管和工作人 员素质。在网络迅速发展的今天，由于操作人员的失误，特别是企业或单位内部 拥有高速的网络环境下，给各种威胁的扩散与转移提供了可能。通过各类嵌入攻 击代码的网页，在浏览者毫不知情的情况下，后台进驻到操作系统中，修改注册 表和系统设置，种植后门程序，收集用户信息和资料等。这一切都会给工作站造 成无法估量的安全风险。一旦工作站遭到攻击与控制，就很可能威胁到整个内部 网络和核心区域，所以说保护好工作站的安全是企业或单位网络安全的一个重要 部分。 6.26.2 防火墙与防火墙与 IDS(IDS(入侵检测系统入侵检测系统) ) 本着经济、高效的原则.有必要将关键主机和关键网段用防火墙隔离，形成 级防护体系。以实现对系统的访问控制和安全的集中管理。在企业网出口处放置 防火墙，防止 Internet 或者本企业外的用。攻击企业网;在安全性要求高的部门 (财务部门)与企业网接口处放置防火墙，将该部门与企业网隔离，防止企业内对 该部门的攻击。 防火墙针对非法访问攻击进行限制，对进出防火墙的攻击进行检测并防御， 而网络内部用户之间的攻击不经过防火墙，防火墙没有办法去防止。而 IDS(入侵 检测系统)作为旁路监听设备，放置在需要保护的网络之中，针对合法访问形成 的攻击进行检测。当网络内部有攻击出现时，IDS 提供实时的入侵检测，将信息 交给防火墙，由防火墙对这些攻击进行控制、隔离或断开。所以对于一个安全的 网络，IDS 是必不可少的。 6.36.3对内部网络的保密对内部网络的保密 当内部主机与因特网上其它主机进行通信时，为了保证内部网络的安全，可 以通过配置 IPSec 网关实现。因为 IPSec 作为 IPv6 的扩展报头不能被中间路由 器而只能被目的节点解析处理，因此 IPSec 网关可以通过 IPSec 隧道的方式实现， 也可以通过 IPv6 扩展头中提供的路由头和逐跳选项头结合应用层网关技术实现。 后者的实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。 - 8 - 6.46.4 通过安全隧道构建安全的通过安全隧道构建安全的 VPNVPN 该 VPN 通过 IPv6 的 IPSec 隧道实现。在路由器之间建立 IPSec 的安全隧道 以构成安全的 VPN 是最常用的安全网络组建方式。IPSec 网关的路由器实际上是 IPSec 隧道的终点和起点，为了满足转发性能的要求，该路由器需要专用的加密 板卡。 6.56.5 漏洞扫描系统漏洞扫描系统 很多时候，我们必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕 虫影响。众所周知 Microsoft 有专门的 Update 站点来发布最新的漏洞补丁，我 们所需要做的是下载补丁，安装并重新启动。如何在蠕虫和黑客还没有渗透到网 络之前修补这些漏洞，如何将部署这些补丁对企业的运行影响减小到最低呢?那 就是选择一套高效安全的桌面管理软件，来进行完善企业或单位的 rr 管理。又 如何解决网络层安全问题呢?首先要清楚网络中存在哪些安全隐患、脆弱点。面 对大型网络的复杂性和不断变化的情况，仅仅依靠网管员的技术和经验寻找安全 漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安 全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁 等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不 高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。 7 7 网络系统安全综合解决措施网络系统安全综合解决措施 要想实现网络安全功能，应对网络系统进行全方位防范，从而制定出比较合 理的网络安全体系结构。下面就网络系统的安全问题，提出一些防范措施。 7.17.1 物理安全物理安全 物理安全可以分为两个方面：一是人为对网络的损害；二是网络对使用者 的危害。网络对使用者的危害主要是电缆的电击、高频信号的幅射等，这需要对 网络的绝缘、接地和屏蔽工作做好。 7.27.2 访问控制安全访问控制安全 访问控制识别并验证用户，将用户限制在已授权的活动和资源范围之内。网 络的访问控制安全可以从以下几个方面考虑。 口令。网络安全系统的最外层防线就是网络用户的登录，在注册过程中，系 统会检查用户的登录名和口令的合法性，只有合法的用户才可以进入系统。 网络资源属主、属性和访问权限。网络资源主要包括共享文件、共享打印机、 网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源 - 9 - 的从属关系，如建立者、修改者和同组成员等。资源属性表示了资源本身的存取 特性，如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程 度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络 系统的安全性。 网络安全监视。网络监视通称为“网管” ，它的作用主要是对整个网络的运 行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解 决网络上的安全问题，如定位网络故障点、捉住 ip 盗用者、控制网络访问范围 等。 审计和跟踪。网络的审计和跟踪包括对网络资源的使用、网络故障、系统记 帐等方面的记录和分析。 7.37.3 数据传输安全数据传输安全 传输安全要求保护网络上被传输的信息，以防止被动地和主动地侵犯。对数据传 输安全可以采取如下措施： 加密与数字签名。任何良好的安全系统必须包括加密！这已成为既定的事 实。数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法，它主 要通过加密算法和证实协议而实现。 user name/password 认证。该种认证方式是最常用的一种认证方式，用于 操作系统登录、telnet（远程登录） 、rlogin（远程登录）等，但此种认证方式 过程不加密，即 password 容易被监听和解密。 使用摘要算法的认证。radius（远程拨号认证协议） 、ospf（开放路由协 议） 、snmp security protocol 等均使用共享的 security key（密钥） ，加上摘 要算法（md5）进行认证，但摘要算法是一个不可逆的过程，因此，在认证过程 中，由摘要信息不能计算出共享的 security key，所以敏感信息不能在网络上传 输。市场上主要采用的摘要算法主要有 md5 和 sha-1。 基于 pki 的认证。使用 pki（公开密钥体系）进行认证和加密。该种方法 安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术， 很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服 务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高，但是涉 及到比较繁重的证书管理任务。 虚拟专用网络（vpn）技术。vpn 技术主要提供在公网上的安全的双向通讯， 采用透明的加密方案以保证数据的完整性和保密性。 vpn 技术的工作原理：vpn 系统可使分布在不同地方的专用网络在不可信任的 - 10 - 公共网络上实现安全通信，它采用复杂的算法来加密传输的信息，使得敏感的数 据不会被窃听。 8 8 网络安全管理的发展趋势网络安全管理的发展趋势 在 20 世纪 90 年代中后期，随着互联网的发展以及社会信息化程度的提高， 各种安全设备在网络中的应用也越来越多，市场上开始出现了独立的安全管理产 品。相对而言，国外计算机网络对安全管理的需求更加多样化，而且起步较早， 已经形成了较大规模的市场，有一部分产品在市场上逐渐获得了用户的认可。近 年来，国内厂商也开始推出网络安全管理产品，但受技术实力限制，大多是针对 自己的安全设备开发的集中管理软件、安全审计系统等。 由于各种网络安全产