计算机网络信息安全毕业设计论文.doc

商丘学院本科毕业设计（论文）I目录绪论.11计算机网络安全相关概念.11.1资源共享.21.2数据通信21.3网络管理.21.4网络协议.21.5计算机病毒22计算机网络存在安全问题.32.1安全漏洞32.2合法工具的滥用42.3系统维护不正确.42.4系统设计和检测漏洞43计算机网络安全防护.43.1访问控制53.2端口屏蔽.53.3防火墙运用.53.4安全设置.6结束语.8商丘学院本科毕业设计（论文）II参考文献.9致谢.10摘要计算机网络信息安全在国民生活中受到越来越多的关注，原因在于：许多重要的信息存储在网络上，一旦这些信息泄露出去将造成无法估量的损失。之所以网络信息会泄露出去，一方面有许多入侵者千方百计想“看”到一些关心的数据或者信息；另一方面网络自身存在安全隐患才使得入侵者得逞。针对计算机网络系统存在的安全性和可靠性。本文从网络安全内容网络安全的威胁解决措施等方面提出一些见解，并且进行详细阐述，以使广大用户在计算机网络方面增强安全防范意识。关键词：计算机网络，信息安全，黑客，网络入侵商丘学院本科毕业设计（论文）IIIAbstractComputernetworkandinationsecurityhasattractedmoreandmoreattentioninthenationallifereason:manyimportantinationinthenetworkiftheinationleakedwouldcauseimmeasurablelosses.Thenetworkinationwillleakoutononehandmanyinvadersmakeeveryattempttolooktosomeconcerneddataorinationontheotherhandthenetworksownexistencesafetyhiddendangermakestheintruder.Forthesafetyandreliabilityofcomputernetworksystem.Thisarticlefromthenetworksecuritynetworksecuritythreatandputsforwardsomeopinionsandmeasuresandindetailinordertomakeusersincomputernetworktoenhancesafetyawareness.KeyKeywordswords:Computernetworkinationsecurityhackernetworkintrusion商丘学院本科毕业设计（论文）IV商丘学院本科毕业设计（论文）1绪论绪论近年来，伴随着互联网技术在全球迅猛发展，人们在提供了极大的方便，然而，信息化在给人们带来种种物质和文化享受的同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系统内部的泄密者。尽管我们正在广泛地使用各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是，无论在发达国家，还是在发展中国家（包括我国），黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。与此同时，更让人不安的是，互联网上黑客网站还在不断增加，学习黑客技术、获得黑客攻击工具变得轻而易举。这样，使原本就十分脆弱的互联网越发显得不安全。针对各种来自网上的安全威胁，怎样才能确保网络信息的安全性，尤其是网络上重要的数据的安全性。本文通过对几起典型的网络安全事件的分析，以及对威胁网络安全的几种典型方法研究的结果，提出实现防护网络安全的具体策略。11计算机网络安全相关概念计算机网络安全相关概念导致计算机网络信息安全受到威胁的根本原因在于网络存在安全问题，归纳为以下几点：1.1资源共享计算机网络实现资源共享包括硬件共享软件共享及数据共享、终端和服务器之间终端和终端之间可以相互共享资源，这样为异地用户提供了巨大方便，同时也给非法用户窃取信息破坏信息创造了条件。非法用户有可能通过终端或结点进行非法浏览、非法修改。此外由于硬件和软件故障也会引起泄密，同时大多数共享资源同它们的许多使用者之间有相当一段距离，例如网络打印机这样就给窃取信息在时间和空间上提供了便利条件。它包括以下内容：第一、数据和应用程序的共享。第二、网络存储常见的便是文件共享服务，采用FTP和TFTP服务，使用户能够在工商丘学院本科毕业设计（论文）2作组计算机上方便而安全的访问共享服务器上的资源，而且ftp资源大多是免费的。第三、资源备份随着网络攻击和病毒的发展，资源备份也成为了资源共享当中不可或缺的一部分，现代企业大都采取实时高效的资源备份方式，以便在网络崩溃的时候能够最大限度的保护公司信息，以及在灾难恢复的时候起到最大的作用。第四、人脉关系：包括客户资源、能力资源等一些可以相互应用的到的。第五、设备。1.2数据通信计算机网络要通过数据通信来交换信息，这些信息是通过物理线路。无线电波以及电子设备进行的这样在通信中传输的信息极易遭受损坏，例如搭线窃听网络线路的辐射等。数据通信是通信技术和计算机技术相结合而产生的一种新的通信方式。要在两地间传输信息必须有传输信道，根据传输媒体的不同，有有线数据通信与无线数据通信之分。但它们都是通过传输信道将数据终端与计算机联结起来，而使不同地点的数据终端实现软、硬件和信息资源的共享。1.3网络管理网络系统的正常运行离不开系统管理人员对网络系统的管理，由于对系统的管理措施不当会造成设备的损坏，保密信息的人为泄露等而这些失误人为的因素是主要的。即监测、控制和记录电信网络资源的性能和使用情况，以使网络有效运行，为用户提供一定质量水平的电信业务。应用学科：通信科技（一级学科）；支撑网络（二级学科）网络管理概念解析网络管理1，是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。而交换机的管理功能是指交换机如何控制用户访问交换机，以及用户对交换机的可视程度如何。1.4协议TCPIP协议族是Internet中的关键协议也是目前全球广泛采用的协议族由于最初设计时在安全方面考虑不足造成了今天IP网在安全问题上的先天缺陷是当前网络安全问题的核心因素典型的例如DoSDenyofService攻击DDoS(DistributeDenyofService)攻击IP地址盗用SYN-Flood攻击ICMP攻击，源路由攻击截取连接攻击等。商丘学院本科毕业设计（论文）31.5计算机病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。另外，安装杀软并定期更新也是预防病毒的重中之重。22计算机网络存在的安全问题计算机网络存在的安全问题2.1安全漏洞现在，新的操作系统或应用软件刚一上市，漏洞就已被找出。没有任何一个系统可以排除漏洞的存在，想要修补所有的漏洞简直比登天还难。从CERT（CarnegieMellon大学计算机紧急事件响应队）那里里，可以找到相当全面的程序错误列表。另一个消息的来源就是诸如BugNet或NTBugtraq一类的新闻组。（1）缓冲区溢出。这是攻击中最容易被利用的系统漏洞。很多系统在不检查程序与缓冲区间的变化的情况下，就接收任何长度的数据输入，把溢出部分放在堆栈内，系统还照常执行命令。这样破坏者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。假如破坏者特别配置一串他准备用作攻击的字符，他甚至可以访问系统根目录。（2）拒绝服务。拒绝服务(DenialofService，DoS)攻击的原理是搅乱TCPIP连接的次序。典型的DoS攻击会耗尽或是损坏一个或多个系统的资源（CPU周期、内存商丘学院本科毕业设计（论文）4和磁盘空间），直至系统无法处理合法的程序。这类攻击的例子是Synflood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求连接，目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求，直至等待回答的请求超时。2.2合法工具的滥用大部分系统都配备了用以改进系统管理及服务质量的工具软件，但遗憾的是，这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度：例如：NBTSTAT命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用这一命令收集对系统有威胁性的信息，例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。另一个最常被利用的工具是网包嗅探器（PacketSniffer）。系统管理员用此工具来监控及分发网包，以便找出网络的潜在问题。黑客如要攻击网络，则先把网卡变成功能混杂的设备，截取经过网络的包（包括所有未加密的口令和其他敏感信息），然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。2.3系统维护不正确系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击，但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时，管理人员应仔细分析危险程度，并马上采取补救措施。有时候，虽然我们已经对系统进行了维护，对软件进行了更新或升级，但由于路由器及防火墙的过滤规则过于复杂，系统又可能会出现新的漏洞。所以，及时、有效地改变管理可以大大降低系统所承受的风险。2.4系统设计和检测漏洞在不重视信息保护的情况下设计出来的安全系统会非常不安全，而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务，并且需要妥善的管理。服务器的代码设计及执行也要进行有效管理。最近有很多公开的漏洞报告指出：在输入检查不完全时，cgibin是非常脆弱的。黑客可以利用这一漏洞发动拒绝服务攻击，非法访问敏感信息或是篡改Web服务器的内容。低效的设计最后会产生漏洞百出的入侵检测系统。这样的系统非常危险，它不能提供足够的信息，就连已提供的信息都可能是不真实、不准确的。商丘学院本科毕业设计（论文）533计算机网络安全防护计算机网络安全防护尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全：3.1访问控制首先在用户进入（即使用）计算机信息系统前，系统要对用户的身份进行鉴别，以判断该用户是否为系统的合法用户，仅有合法的且取得访问控制权的用户才能访问。网络资源的访问控制主要可通过认证系统和访问控制网关防火墙共同实现在网络资源的边界上设置访问控制网关防火墙在资源网络内部设置认证服务系统从而达到：（1）有效地控制针对内部网络各个地址的各种流量；（2）根据需要进行过滤以及经过授权的访问控制等可以对网络资源使用者进行身份认证以保证每个人身份的真实性；（3）以及网络活动的可追查性具有基于连接时段的，功能定义不同用户允许使用资源的时间区间3.2端口屏蔽黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“NortonInternetSecurity”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。3.3防火墙等相关措施运用防火墙等相关措施运用Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。俗话说“无风不起浪”，既然黑客能进入，那我们的系统一定存在为他们打开的防火墙后门，只要将此堵死，让黑客无处下手！第一、删掉不必要的协议对于服务器和主机来说，一般只安装TCPIP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NetBIOS商丘学院本科毕业设计（论文）6是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在TCPIP协议的NetBIOS给关闭，避免针对NetBIOS的攻击。第二、关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能，但在我们不需要它的时候，它也是引发黑客入侵的安全漏洞。所以在没有必要文件和打印共享的情况下，我们可以将其关闭。即便确实需要共享，也应该为共享资源设置访问密码。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。因此我们必须禁止建立空连接。第三、关闭不必要的服务服务开得多可以给管理带来方便，但也会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关掉。比如在不需要远程管理计算机时，我都会将有关远程网络登录的服务关掉。去掉不必要的服务停止之后，不仅能保证系统的安全，同时还可以提高系统运行速度。第四、数据加密技术加密是提供数据保密的最常用方法，加密技术的要点是加密算法加密算法可以分为对称加密、不对称加密和不可逆加密三类算法。对称加密算法，对称加密算法是应用较早的加密算法技术成熟，在对称加密算法中数据发信方将明文和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去收信方收到密文后若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密才能使其恢复成可读明文；不对称加密算法，不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥，在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥才能完成对明文的加密和解密过程加密明文时采用公钥加密解密密文时使用私钥才能完成，而且发信方知道收信方的公钥只有收信方才是唯一知道自己私钥的人；不可逆加密算法，不可逆加密算法的特征是加过程中不需要使用密钥，输入明文后由系统直接经加密算法处理成密文。这种加密后的数据是无法被密的只有重新输入明文并再次经过同样不可逆的密算法处理，得到相同的加密密文并被系统重新识后才能真正解密。3.4安全设置安全设置（1）隐藏IP地址黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地商丘学院本科毕业设计（论文）7址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。（2）更换管理员帐户和口令系统Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。一是设置口令字；二是采用智能卡和口令字相结合的方式；三是用人的生物特征等强认证措施，如指纹、视网膜等，口令字的设置原理是：在信息系统中存放一张“用户信息表”，它记录所有的可以使用这个系统的用户的有关信息，如用户名和口令字等。用户名是可以公开的，不同用户使用不同的用户名，但口令字是秘密的。当一个用户要使用系统时，必须键入自己的用户名和相应的口令字，系统通过查询用户信息表，验证用户输入的用户名和口令字与用户信息表中的是否一致，如果一致，该用户即是系统的合法用户，可进入系统，否则被挡在系统之外（3）IE浏览器的安全设置ActiveX控件和JavaApplets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”“Internet选项”“安全”“自定义级别”。另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。（4）安全软件的安装部分网络应用程序由于在设计上的缺陷有可能会引起网络安全隐患，最典型的恶意攻击例如缓冲区溢出攻击，它利用应用程序在接收参数缓冲区的设置没有进行周密的限制和检查，通过往程序的缓冲区写超出其长度的内容，造成缓冲区溢出从而破坏程序的堆栈，使程序转入预先植入的攻击代码被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序。从而得到攻击主机的控制权进而达到攻击系统的目的据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上；另外网络中存在大量的恶意代码它们通过Email系统、浏览器或FTP等方式进行大范围的病毒传播消耗网络资源在目标机商丘学院本科毕业设计（论文）8中设置后门等影响极大，这主要是由于部分网络用户没有软件提供商信任度的思想随意使用网上不受信任的软件所致。防病毒服务器作为防病毒软件的控制中心，及时通过INTERNET更新病毒库，并强制局域网中已开机的终端及时更新病毒库软件。55结束语结束语尽管现在用于网络安全的产品有很多，比如有防火墙、杀毒软件、入侵检测系统，但是仍然有很多非法入侵。计算机的网络信息安全的防护是很重要的，虽然目前有很多的安全软件的产品，例如像是防火墙、杀毒软件等技术方面的维护，相对来讲光靠技术方面的维护也是不够的，由于威胁计算机网络信息安全的因素有很多，必须要结合实际情况来进行防范，只有这样才能真正的提高计算机网络安全性，使网络技术能够跟好的为人们服务。商丘学院本科毕业设计（论文）9参考文献参考文献1吴世忠马芳.网络信息安全的真相.机械工业出版社.2001-9-1.2KevinMandia.ChrisProsise，IncidentResponse:InvestigatingComputerCrime.Mcgraw-HillPress.2002-1