东北农业大学计算机科学与技术专业学士学位论文.doc

构建多主体农村公共产品供给机制东北农业大学学士学位论文 学号：131022004202001计算机网络安全问题与防护对策computer network securityand protective measures学生姓名：xxx指导老师：所在院系：网络教育学院所学专业：计算机科学与技术研究方向： 计算机技术东 北 农 业 大 学中国哈尔滨2014年10月 - 12 -摘 要计算机网络技术的发展，使人们轻松享受到资源共享的便利，极大地方便了工作和学习，提高了工作效率和生活水平随着计算机技术的飞速发展和网络的普及，人类文明正发生着深刻的变化。网络己成为一个国家的政治、经济、军事和文化方面的重要资源，成为国家软实力的象征。而随着计算机网络的广泛使用和网络之间数据传输量的增长，网络安全问题也愈加突出。网络安全事关国家安全、社会稳定、经济发展和文化建设等各个领域，已经成为全球关注的热点问题。如果一个国家不能保证网络信息在采集、存储、传输和认证等方面的安全，就不可能获得信息化的效率和效益，其社会经济生话也难以健康有序地进行，国家安全更无法保障。当我国网络信息安全现状不容乐观。人们要正确对待信息化进程中所引起的负面影响,采取积极对策，保障我国网络信息的安全。由于网络安全直接关系到国家、企业及个人等领域的相关利益，因此网络安全也成为人们不可忽视的重要问题。现今，计算机网络信息安全在国民生活中受到越来越多的关注，原因在于：许多重要的信息存储在网络上，一旦这些信息泄露出去将造成无法估量的损失。之所以网络信息会泄露出去，一方面有许多入侵者千方百计想“看”到一些关心的数据或者信息；另一方面网络自身存在安全隐患才使得入侵者得逞。针对这些问题，该文归纳了存在的网络安全问题并提出了一些网络信息安全防护的方法和策略。关键词 网络信息安全 网络入侵 防护abstractthe development of computer network technology, make people enjoy the convenience of resources sharing, greatly facilitate the work and study,improve the work efficiency and the standard of living with the popularization of computer technology and the rapid development of network, the human civilization is undergoing profound change. network has become the political, economic, military and cultural aspects of the important resource of a country, become a symbol of national soft power. with the amount of data transmission between the extensive use of computer networks and the growth of the web, network security issues are also increasingly prominent. each field of the network security is a matter of national security, social stability, economic development and cultural construction, has become a hot issue of global concern. if a country could not guarantee the safety of network information in the collection, storage, transmission and certification, it is impossible to obtain the efficiency and benefit of information, its social and economic life are also difficult to healthy and orderly, more unable to safeguard national security. when the current situation of network information security in our country is not optimistic. people to correctly treat the negative effects caused by the process of informationization, take active measures, protection of network information security in china. because the network security is directly related to the interests of the state, enterprises and individuals related to the fields, so network security becomes an important problem that people can not be ignored.nowadays, computer network and information security has attracted more and more attention, in the national life reason: many important information in the network, once the information leaked would cause incalculable loss. the network information will leak out, hand has many intruders tried every means to look to some concerned data or information; on the other hand, the networks own existence safety hidden danger makes the intruder to succeed. aiming at these problems, this paper summarizes the network security problems and puts forward some methods and strategies of network information security protection.key words: the network information security of network intrusion protection目 录摘 要1目 录31前言41.1 网络安全的内涵41.2 我国当前网络的现状52 网络信息安全威胁72.1 网络攻击和入侵的主要途径72.2 计算机网络中的安全缺陷及产生的原因83 计算机网络信息安全的防护策略93.1隐藏ip地址103.2关闭不必要的端口103.3更换管理员帐户103.4杜绝guest帐户的入侵103.5封死黑客的后门113.6做好ie的安全设置113.7安装必要的安全软件123.8不要回陌生人的邮件123.9防范间谍软件123.10及时给系统打补丁124 结束语125 参考文献13致 谢141前言1.1 网络安全的内涵国际标准化组织(iso)将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性、可用性、可控性和可审查性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造;而网络提供商除了关心这此网络信自安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方而的问题，两方而相互补充，缺一小可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。国际标准化组织(iso)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、篡改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方而的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。广而言之，凡是与网络上信息的保密性、完整性、可用性、真实性和可控性相关的技术和理论，都属于网络安全研究的领域。2013年6月，随着美国前国家安全局职员爱德华斯诺登对“棱镜门”事件的曝光，在全球范围内，又一次将人们的视线聚焦在网络安全问题上。近年来，伴随着互联网技术在全球迅猛发展，给人们在生活中提供了极大的方便，然而，信息化在给人们带来种种物质和文化享受的同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系统内部的泄密者。尽管我们正在广泛地使用各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是，无论在发达国家，还是在发展中国家（包括我国），黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。与此同时，更让人不安的是，互联网上黑客网站还在不断增加，学习黑客技术、获得黑客攻击工具变得轻而易举。这样，使原本就十分脆弱的互联网越发显得不安全。针对各种来自网上的安全威胁，怎样才能确保网络信息的安全性，尤其是网络上重要的数据的安全性。本文通过对几起典型的网络安全事件的分析，以及对威胁网络安全的几种典型方法研究的结果，提出实现防护网络安全的具体策略。 1.2 我国当前网络的现状据最新统计，截止到2014年7月25日，中国的网民总人数为6.32亿人，年均增长率为25%以上，互联网普及率达到46.9%，可以看出中国的网民总数呈快速的发展趋势。随着中国迈向数字化新时代，麦肯锡全球研究院预计，2013年至2025年，互联网将占到中国经济年增长率的0.3-1.0%。这意味着，在这十几年中，互联网将有可能在中国gdp增长总量中贡献7%到22%。但目前我国网络信息安全却不容乐观，国内使用的操作系统和信息处理芯片等软硬件的核心技术几乎都由国外掌握，各种后门、安全隐患普遍存在，近年来计算机系统漏洞的发现速度加快，大规模蠕虫攻击不断爆发，因此对我们的网络安全提出了更严峻的挑战。1.2.1计算机病毒日益猖獗计算机病毒出现在上世纪80年代末期，源于美国。1984年美国国家计算机安全会议演示了计算机病毒试验，提出了“病毒”这个术语。1988年的“internet网络事件”发生后，才开始了大规模的反病毒技术研究。有资料统计:现己有上万种计算机病毒在全世界广泛流传。计算机系统自身的结构造成计算机病毒的产生，而信息共享却是病毒生存和传播的基础和手段。计算机病毒是一段程序，它通过修改其它程序，将自身嵌入即实现对其它程序的传染。所以说，病毒的本质是“程序”，是一组能执行的，而且必须要被执行的命令。它种类繁多，而且具有传染性、隐蔽性、突发性、破坏性，己成为信急安全的主要杀手。1.2.2 黑客技术传播日益泛滥 黑客一词开始时是电脑迷的意思，而现在指对计算机网络信急系统进行非法授权访问的人员，他们能够破译计算机信急系统的口令，突破系统的安全防护。黑客攻击的手段很多，是通过网络监听获取用户的账号和密码、密钥或认证码，通过隐蔽通道进行非法活动，破坏防火墙等。黑客攻击的威胁：黑客攻击比病毒史具有目的性，因而也史具有危险性。目前己知黑客攻击手段多达500余种。入侵的黑客通常扮演以下脚色：充当政治工具。非法入侵到国防、政府等一些机密信息系统，盗取国家的军事和政治情报，危害国家安全。用于战争。通过网络，利用黑客手段侵入敌方信息系统，获取军事信息、发布假信息、病毒，扰乱对方系统等等。非法入侵金融、商业系统，盗取商业信息；在电子商务、金融证券系统中进行诈骗、盗窃等违法犯罪活动；破坏正常的经济秩序。我国证券系统接二连三发生的盗用他人密码进行诈骗的案件，已经引起了网民的不安。 (4)非法侵入他人的系统，获取个人隐私，以便利用其进行敲诈、勒索或损害他人的名誉，炸毁电子邮箱，使系统瘫痪等。1.2.3 计算机犯罪案件逐年递增计算机犯罪对全球造成了前所未有的新威胁。犯罪学家预言未来信息化社会犯罪的形式将主要是计算机网络犯罪。我国自1996年深圳发生第一起计算机犯罪案件以来.计算机犯罪旱自线上升趋势.犯罪手段也口趋技术化、多样化。犯罪领域也不断扩展，许多传统犯罪形式在互联网上都能找到影子，而且其危害性已远远超过传统犯罪。计算机犯罪的犯罪主体大多是掌握了计算机和网络技术的专业人士甚至一此原为计算机及网络技术和信息安技术专家的职业人员也诞而走险，犯罪所采用的手段则更趋专业化。他们洞悉网络的缺陷与漏洞.运用丰富的电脑及网络技术，借助四通八达的网络，对网络及各种电子数据、资料等信息发动进攻，进行破坏。基于以上事件的分析，一方面可以看到网络安全不仅影响到一个国家的政治、军事、经济及文化的发展，而且会影响到国际局势的变化和发展；另一方面网络自身存在安全隐患才会影响到网络的安全。目前，威胁网络安全的技术主要有病毒、入侵和攻击；而对网络信息失窃造成威胁的主要是黑客的入侵，只有入侵到主机内部才有可能窃取到有价值的信息。2 网络信息安全威胁2.1 网络攻击和入侵的主要途径网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、ip欺骗和dns欺骗。 口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如：利用目标主机的finger功能：当用finger命令查询时，主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上；利用目标主机的x.500服务：有些主机没有关闭x.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号；有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。 ip欺骗是指攻击者伪造别人的ip地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行tcp/ip的计算机进行入侵。ip欺骗利用了tcp/ip网络协议的脆弱性。在tcp的三次握手过程中。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行ip欺骗。ip欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。 域名系统(dns)是一种用于tcp/ip应用程序的分布式数据库，它提供主机名字和ip地址之间的转换信息。通常，网络用户通过udp协议和dns服务器进行通信，而服务器在特定的53端口监听。并返回用户所需的相关信息。dns协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害dns服务器并明确地更改主机名ip地址映射表时，dns欺骗就会发生。这些改变被写入dns服务器上的转换表。因而，当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器的ip地址。因为网络上的主机都信任dns服务器，所以一个被破坏的dns服务器可以将客户引导到非法的服务器。也可以欺骗服务器相信一个ip地址确实属于一个被信任客户。 2.2 计算机网络中的安全缺陷及产生的原因 2.2.1固有的安全漏洞 现在，新的操作系统或应用软件刚一上市，漏洞就已被找出。没有任何一个系统可以排除漏洞的存在，想要修补所有的漏洞简直比登天还难。从cert（carnegiemellon 大学计算机紧急事件响应队）那里，可以找到相当全面的程序错误列表。另一个消息的来源就是诸如bugnet或ntbug traq一类的新闻组。缓冲区溢出。这是攻击中最容易被利用的系统漏洞。很多系统在不检查程序与缓冲区间的变化的情况下，就接收任何长度的数据输入，把溢出部分放在堆栈内，系统还照常执行命令。这样破坏者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。假如破坏者特别配置一串他准备用作攻击的字符，他甚至可以访问系统根目录。拒绝服务。拒绝服务 (denialofservice ， dos) 攻击的原理是搅乱 tcp/ip 连接的次序。典型的 dos 攻击会耗尽或是损坏一个或多个系统的资源（ cpu 周期、内存和磁盘空间），直至系统无法处理合法的程序。这类攻击的例子是 synflood 攻击。发动 synflood 攻击的破坏者发送大量的不合法请求要求连接，目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求，直至等待回答的请求超时。 2.2.2合法工具的滥用 大部分系统都配备了用以改进系统管理及服务质量的工具软件，但遗憾的是，这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度，例如：nbtstat命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用这一命令收集对系统有威胁性的信息，例如区域控制软件的身份信息、netbios的名字、iis名甚至是用户名。这些信息足以被黑客用来破译口令。另一个最常被利用的工具是网包嗅探器（packetsniffer）。系统管理员用此工具来监控及分发网包，以便找出网络的潜在问题。黑客如要攻击网络，则先把网卡变成功能混杂的设备，截取经过网络的包（包括所有未加密的口令和其他敏感信息），然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。2.2.3不正确的系统维护措施 系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击，但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时，管理人员应仔细分析危险程度，并马上采取补救措施。 有时候，虽然我们已经对系统进行了维护，对软件进行了更新或升级，但由于路由器及防火墙的过滤规则过于复杂，系统又可能会出现新的漏洞。所以，及时、有效地改变管理可以大大降低系统所承受的风险。2.2.4低效的系统设计和检测能力 在不重视信息保护的情况下设计出来的安全系统会非常 不安全 ，而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务，并且需要妥善的管理。 服务器的代码设计及执行也要进行有效管理。最近 , 有很多公开的漏洞报告指出：在输入检查不完全时， cgi bin 是非常脆弱的。黑客可以利用这一漏洞发动拒绝服务攻击，非法访问敏感信息或是篡改 web 服务器的内容。低效的设计最后会产生漏洞百出的入侵检测系统。这样的系统非常危险，它不能提供足够的信息，就连已提供的信息都可能是不真实、不准确的。3 计算机网络信息安全的防护策略尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全：3.1隐藏ip地址 黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的ip地址。ip地址在网络安全上是一个很重要的概念，如果攻击者知道了你的ip地址，等于为他的攻击准备好了目标，他可以向这个ip发动各种进攻，如dos(拒绝服务)攻击、floop溢出攻击等。隐藏ip地址的主要方法是使用代理服务器。 使用代理服务器后，其它用户只能探测到代理服务器的ip地址而不是用户的ip地址，这就实现了隐藏用户ip地址的目的，保障了用户上网安全。3.2关闭不必要的端口黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“norton internet security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。3.3更换管理员帐户administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得administrator帐户的密码，所以我们要重新配置administrator帐号。首先是为administrator帐户设置一个强大复杂的密码，然后我们重命名administrator帐户，再创建一个没有管理员权限的administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。3.4杜绝guest帐户的入侵 guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，guest也为黑客入侵打开了方便之门！禁用或彻底删除guest帐户是最好的办法，但在某些必须使用到guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给guest设一个强壮的密码，然后详细设置guest帐户对物理路径的访问权限。3.5封死黑客的后门 俗话说“无风不起浪”，既然黑客能进入，那我们的系统一定存在为他们打开的后门，我们只要将此堵死，让黑客无处下手，岂不美哉！删掉不必要的协议对于服务器和主机来说，一般只安装tcp/ip协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中netbios是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在tcp/ip协议的netbios给关闭，避免针对netbios的攻击。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能，但在我们不需要它的时候，它也是引发黑客入侵的安全漏洞。所以在没有必要文件和打印共享的情况下，我们可以将其关闭。即便确实需要共享，也应该为共享资源设置访问密码。 禁止建立空连接在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。因此我们必须禁止建立空连接。关闭不必要的服务服务开得多可以给管理带来方便，但也会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关掉。比如在不需要远程管理计算机时，我都会将有关远程网络登录的服务关掉。去掉不必要的服务停止之后，不仅能保证系统的安全，同时还可以提高系统运行速度。3.6做好ie的安全设置activex控件和java applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。ie对此提供了多种选择，具体设置步骤是：“工具”“internet选项”“安全”“自定义级别”。另外，在ie的安全性设定中我们只能设定internet、本地intranet、受信任的站点、受限制的站点。3.7安装必要的安全软件我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即使有黑客进攻我们的安全也是有保证的。3.8不要回陌生人的邮件 有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。3.9防范间谍软件如果想彻底把spyware拒之门外，请按照这几个步骤来做：断开网络连接并备份注册表和重要用户数据。下载反间谍工具。扫描并清除。安装防火墙。安装反病毒软件。3.10及时给系统打补丁最后，建议大家到微软的站点下载自己的操作系统对应的补丁程序，微软不断推出的补丁尽管让人厌烦，但却是我们网络安全的基础。4 结束语尽管现在用于网络安全的产品有很多，比如有防火墙、杀毒软件、入侵检测系统，但是仍然有很多黑客的非法入侵。根本原因是网络自身的安全隐患无法根除，这就使得黑客进行入侵有机可乘。虽然如此，安全防护仍然必须是慎之又慎，尽最大可能降低黑客入侵的可能，从而保护我们的网络信息安全。另外，我国政府正在努力建构综合性的信息法律框架.在一定程度上解决了我国网络无法可依的问题，但就保护国家信息安全的长期性、复杂性而言还处于起步阶段。网络的本质特性决定了网络安全法律的特点、地位都与网络安全技术有关，因而在研究法律保护时一定要考虑其技术性的特征