网络信息安全与防范以及组策略的应用.doc

西安广播电视大学开放教育计算机信息管理专业毕业论文（设计）题目：网络信息安全与防范以及组策略的应用 年 月 日浅谈网络安全与企业网站建设（西安广播电视大学莲湖分校10级计算机信息管理专科陕西省西安市710100）摘 要：课题设计的意义或依据： 随着计算机互联网技术的飞速发展，计算机网络已成为人们获取和交流信息的 最重要的手段。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输 和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、 能源资源数据、科研数据等重要的信息。其中有很多是敏感信息，甚至是国家机密， 所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。通常利用计算机犯罪很难留下犯罪证据，这也大 大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加，使各国的计算 机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一，从而构成 了对网络安全的迫切需求。关键词：网络安全，病毒防御，安全技术，组策略目录摘 要.1第1章 绪论.1 1.1课题背景 .1 1.1.1计算机网络安全威胁及表现形式.1 1.1.1.1常见的计算机网络安全威胁.1 1.1.1.2常见的计算机网络安全威胁表现形式.1第2章 网络信息安全防范策略 .3 2.1 防火墙技术.4 2.2 数据加密技术.4 2.2.1 私匙加密.4 2.2.2 公匙加密.4 2.3 访问空间.4 2.4 防御病毒技术.4 2.5 安全技术走向.4第3章 企业网络中组策略的应用.5 3.1利用组策略管理用户环境.5 3.2 组策略设置的结构.5 3.2.1 计算机配置中的windows配置.5 3.2.2 计算机配置中的管理模板.5 3.2.3 网络子树.5 3.2.4 用户配置中的windows配置.5 3.2.5 文件夹重定向.5 3.2.6 用户配置中的管理模板-控制用户环境.5 3.3 使用组策略管理软件.6 3.3.1 软件布置（安装和维护）.6 3.3.2 发布和分配软件.6 3.3.3 用组策略布置软件包.6第 1 章 绪论1.1 课题背景随着计算机网络技术的飞速发展，信息网络已经成为社会发展的重要 保证。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输 和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、 股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信 息，甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例 如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。通常利 用计算机犯罪很难留下犯罪证据，这也大大刺激了计算机高技术犯罪案件 的发生。计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统 面临着很大的威胁，并成为严重的社会问题之一，从而构成了对网络安全 的迫切需求。1.1.1 计算机网络安全威胁及表现形式计算机网络具有组成形式多样性、终端分布广泛性、网络的开放性和 互联性等特征，这使得网络容易受到来自黑客、恶意软件、病毒木马、钓 鱼网站等的攻击。1.1.1.1常见的计算机网络安全威胁（1）信息泄露信息被透漏给非授权的实体。它破坏了系统的保密性。能够导致信息 泄露的威胁有网络监听、业务流分析、电磁、射频截获、人员的有意或无 意、媒体清理、漏洞利用、授权侵弛、物理侵入、病毒、术马、后门、流 氓软件、网络钓鱼等。（2）完整破坏性通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞等方式文现。（3）拒绝服务攻击对信息或资源可以合法地访问，却被非法地拒绝或者推迟与时间密切 相关的操作。（4）网络滥用合法用户滥用网络，引入不必要的安全威胁，包括非法外联、非法内 联、移动风险、设备滥用、业务滥用。1.1.1.2常见的计算机网络安全威胁的表现形式（1）自然灾害计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、 湿 度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、 防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然 灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的 现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信 息的安全性、完整性和可用性受到威胁。（2）网络软件的漏洞和“后门”网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺 陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事 件,这些事件的大部分就是因为安全措施不完善所招致的苦果。 另外,软件的 “后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知, 一旦“后门”洞开,其造成的后果将不堪设想。（3）黑客的威胁和攻击这是计算机网络所面临的最大威胁。 黑客攻击手段可分为非破坏性攻击 和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系 统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑 系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻 击手段有获取口令、电子邮件攻击、特洛伊木马攻击、钓鱼网站的欺骗技 术和寻找系统漏洞等。（4）垃圾邮件和间谍软件一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、 宗 教、 政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接 受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破 坏,而是窃取系统或是用户信息。（5）计算机犯罪计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传 播有害信息,恶意破坏计算机系统,实施贪污、 盗窃、 诈骗和金融犯罪等活动。 在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击 目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息, 闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、 地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯 罪的增长。使得针对计算机信息系统的犯罪活动日益增多。（6）计算机病毒20 世纪 90 年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范 围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则 使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢 失,甚至造成计算机主板等部件的损坏。第 2 章 网络信息安全防范策略2.1 防火墙技术防火墙,是网络安全的屏障,配置防火墙是实现网络安全最基本、最经 济、最有效的安全措施之一。防火墙是指位于计算机和它所连接的网络之 间的硬件或软件,也可以位于两个或多个网络之间,比如局域网和互联网之 间,网络之间的所有数据流都经过防火墙。通过防火墙可以对网络之间的通 讯进行扫描,关闭不安全的端口,阻止外来的 DoS 攻击,封锁特洛伊木马等, 以保证网络和计算机的安全。一般的防火墙都可以达到以下目的:一是可以 限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接 近你的防御设施;三是限定用户访问特殊站点;四是为监视 Internet 安全, 提供方便。2.2 数据加密技术 加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂 它。主要存在两种主要的加密类型:私匙加密和公匙加密。2.2.1 私匙加密私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息 所使用的密匙。 私匙加密为信息提供了进一步的紧密性,它不提供认证,因为 使用该密匙的任何人都可以创建加密一条有效的消息。这种加密方法的优 点是速度很快,很容易在硬件和软件中实现。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息 所使用的密匙。 私匙加密为信息提供了进一步的紧密性,它不提供认证,因为 使用该密匙的任何人都可以创建加密一条有效的消息。这种加密方法的优 点是速度很快,很容易在硬件和软件中实现。2.2.2 公匙加密公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密, 而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。 公匙加 密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得 多,不过若将两者结合起来,就可以得到一个更复杂的系统。2.3 访问控制访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网 络资源不被非法使用和非常访问。访问控制决定了谁能够访问系统,能访问 系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允 许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口 令、登录控制、资源授权、授权核查、 日志和审计。它是维护网络安全, 保护网络资源的主要手段,也是对付黑客的关键手段。2.4 防御病毒技术随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。病毒的侵入必将对系统资源构成威胁,因此用户要做到“先防后除”。很多病毒是通过传输介质传播的,因此用户一定要注意病毒的介质传播。在日常使用计算机的过程中,应该养成定期查杀病毒的习惯。用户要安装正版的杀毒软件和防火墙,并随时升级为最新版本。还要及时更新windows操作系统的安装补丁,做到不登录不明网站等等。2.5 安全技术走向我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交错的学科领域，它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术3 企业网络中组策略的应用3.1 利用组策略管理用户环境管理用户环境控制用户在登录网络时有哪些权力。可以通过控 制用户的桌面、网络连接和用户界面来控制用户权力。 用户环境为用户或计算机设置的。3.2 组策略设置的结构专业名称表(Subject)的设计 专业名称表(Subject)的设计 (Subject) 组策略的设置总体分为：计算机配置和用户配置 计算机配置和用户配置下面又有三个子层： (1)软件设置统一管理所有软件，Windows 设置 (2)计算机配置：脚本、安全设置用户配置：IE 维护、脚本、安全设置、远程安装服务、文件夹重定向 (3)管理模板解决用户环境的问题 计算机配置：Windows 组件、系统、网络、打印机 用户配置：Windows 组件、系统、网络、桌面、控制面板、任务栏和开始菜单3.2.1 计算机配置中的 Windows 配置1.添加脚本组策略脚本设置的功能是可以集中配置脚本，在计算机启动或关闭时， 自动运行。指定在 Windows 2003 上运行任何脚本，包括批处理文件、可执 行程序等。如果同时添加多个脚本，则 Windows 2003 按照从上到下的顺序 执行；如果多个脚本之间有冲突，则最后处理的脚本有效。配置步骤如下： 1) 打开组策略控制台选中需要编辑的组策略单击“编辑” 2) 计算机配置Windows 设置脚本右击“启动”单击“添加” 3) 单击“浏览” ，选定要运行的脚本或可执行文件2.计算机中的安全设置安全设置包括：帐号策略、本地策略、事件日志、无限制的组、系统 务、注册表、文件系统、公钥策略、IP 安全策略。配置步骤如下：（1） 打开组策略控制台选中需要编辑的组策略单击“编辑” （2）计算机配置Windows 设置安全设置右击 “登录屏幕不要显示上次 登录的用户名”（3） 选择“安全性”选中“定义这个策略设置”和“已启用”3.2.2 计算机配置中的管理模板(1)计算机配置中的管理模板控制计算机桌面的外观和行为管理模板包括：Windows 组件、系统、网络。Windows 组件中规定了 一些操作系统自带的组件，如：IE、Netmeeting、 若任务计划等。(2)设置 Windows 组件。步骤如下：1) 控制面板任务计划添加一个任务计划 2) 打开组策略控制台选中需要编辑的组策略单击“编辑” 3) 计算机配置管理模板Windows 组件选中“任务计划程序”项4) 右击“禁用创建新任务 ”选择“属性”在“策略”选项卡中选 中“启用”管理模板是基于注册表的策略。在计算机和用户配置中都可以设置管 理模板的内容。管理模板是组策略中可以使用的对系统进行管理最灵活的一种手段。3.2.3 网络子树网络子树包括：脱机文件（处理与脱机文件夹有关的事项）；网络及拨号连接禁用网络连接共享。配置步骤如下：（1）新建一个拨号连接，设置共享（2）打开组策略控制台选中需要编辑的组策略单击“编辑” （2）计算机配置管理模板网络网络及拨号连接 （4）右击“允许连接共享”选中“禁用”3.2.4用户配置中的 Windows 配置Windows 配置中包括：IE 维护、脚本、安全设置、远程安装服务、文 件夹重定向 （1）用用户策略中的 IE 维护为用户指定默认主页。步骤如下：1) 打开组策略控制台选中需要编辑的组策略单击“编辑” 2) 用户配置Windows 设置IE 维护URL 3) 右击“重要 URL”选择“属性”选中“自定义主页 URL” 输入网址3.2.5 文件夹重定向重定向文件夹。步骤如下：1) 用户配置Windows 设置文件夹重定向右击“My Document”子树选择“属性” 2) 在“目标”选项卡中，选择“基本” ，来为每个用户在服务器上 建立一个个人文件夹，文件夹名即用户名3) 在目标文件夹的位置输入路径：服务器名共享文件夹名用 户名 4) 在“设置”选项卡中设置：只有用户和系统能够访问该文件夹 文件夹重定向的功能：将用户常用的文件夹重定向到网络中的某台服 务器的共享文件夹中。对用户最终的效果是：无论用户在那一台计算机上 打开它自己的这些文件夹，看到的都是相同的内容。需要注意的是，文件 夹重定向只是重定向用户自己创建的数据文档，而不会把系统数据重定向 到网络服务器上。3.2.6用户配置中的管理模板控制用户环境用户配置的管理模板包含：Windows 组件、任务栏和开始菜单、桌面、控制面板、网络、系统。资源管理器中的策略（使资源管理器中的文件夹选项消失） 1) 打开组策略控制台选中需要编辑的组策略单击“编辑” 2) 用户配置管理面板Windows 组件Windows 资源管理器 3) 右击“从工具菜单中删除文件夹选项菜单” ，选择“启 用”任务栏和开始菜单控制任务栏和开始菜单中的各种环境3.3 使用组策略管理软件管理和维护软件可能使大多数管理员都要面对的，客户经常会问管理 员他使用的软件为什么不能使用了、新软件如何安装。怎么进行软件升级 等。 利用 Windows server2003 的软件分发功能可以很轻松的实现这些需求， 这位我们的管理工作带来了极大的方便。软件分发是指通过组策略让用户 或计算机自动进行软件的安装、更新或卸载。在 Windows server2003 中，可以通过使用一个站点、域、组织单元内 的用户和计算机的组策略设置，来为这个站点、域、组织单元的用户和计 算机自动安装、升级或删除软件。3.3.1 软件布置（安装和维护）的步骤(1)准备阶段 准备一个文件， 以便一个应用程序能用组策略布置。 为完成这个， 应将用于应用程序的 Windows 安装程序包文件（*.msi *.zap）复制到 一个软件分布点，它可能是一个共享文件夹或服务器。 (2)布置阶段 管理员创建一个在计算机上安装软件并将 GPO 链接到相应的活 动类别容器内的组策略对象（GPO） 。实际上，软件是在计算机启动 或用户激活应用程序时安装。 (3)维护阶段 用新版本的软件升级软件或用一个补丁包来重新布置软件。当计 算机启动时或用户激活应用程序时将自动升级或重新布置软件。 (4)删除阶段 为删除不再使用的软件，从开始布置软件的 GPO 中删除软件包 设置。当计算机启动或用户登录时软件将被自动删除。3.3.2发布和分配软件用组策略统一给客户端安装软件，有两种形式：发布、分配（指派）发布和分配软件，所有发布的软件都需要用控制面板中的“添加/删除程序”工具来安装；也可以通过文档激活自动安装。只能将软件发布给用户，而不给计算机。分配软件可以将软件分配用户和计算机。通过分配软件，可以确保：(1)软件对用户总是可用的。 可以采用文档激活方法安装， 如使用 Word、 Excel 等应用程序的用户。 (2)软件是有弹性的。如果缺少某些文件，当用户下次登录并激活应用 程序时，将重新安装。