计算机网络论文.doc

计算机网络及应用课程论文摘要随着计算机网络的普及和发展，尤其是Internet 的普遍使用，使计算机应用更加广泛与深入。现今，信息已经成为社会生活的核心，资源共享与网上交流不断增加，人们在享受互联网带来巨大便利的同时，也面临着网络安全的极大威胁；各种针对网络的攻击不断出现，网络被非法入侵的案例更是层出不穷，它能使计算机网络数据和文件丢失、系统瘫痪，严重地影响了网络信息的安全；因此，提高计算机网络安全防范意识是非常迫切的。该文简单地分析了计算机网络存在的安全问题，并且探讨了一些安全防范措施，其中，重点论述了防火墙技术在网络安全中的功能作用，以及防火墙的技术原理和各种类型。并且从管理和技术两方面就加强计算机网络安全提出了针对性建议。关键词：计算机 网络安全 防范措施 防火墙AbstractWith the popularization and development of computer networks, particularly the widespread use of Internet to make more extensive and in-depth computer applications. Today, information has become the core of social life, resource sharing and online exchanges continue to increase, people in the enjoyment of the Internet has brought great convenience, but also faces a serious threat to network security; a variety of attacks against the emerging network, the network is the case of the illegal invasion is endless, it enables the computer network data and file loss, system failures, has seriously affected the security of network information; Therefore, raising awareness of computer network security is very urgent. In this paper, a simple analysis of computer network security problems, and discuss a number of safety precautions, which focuses on the firewall technology in the functional role of network security, and the principles and various types of firewall technology. And from the management and technical aspects to enhance computer network security made specific recommendations.Keyword: Computer, Network security, Preventive measures, Firewall 目 录摘要11 引言32 计算机网络安全概述32.1 影响计算机网络安全的因素32.2 计算机信息安全的含义32.3 网络安全缺陷产生的原因33 网络安全的问题43.1 计算机网络安全的威胁43.2 计算机网络安全问题44 计算机网络安全防范44.1 防火墙技术44.1.1 防火墙的概念44.1.2 防火墙的种类44.1.3 防火墙的功能54.1.4 防火墙技术的原理54.2 计算机网络安全的相关技术54.2.1 数据加密技术54.2.2 入侵检测技术54.2.3 防病毒技术55 安全防范措施65.1 网络病毒的防范65.2 运用防火墙65.3 采用入侵检测系统65.4 漏洞扫描系统65.5 利用网络监听维护子网系统安全66 安全建议76.1 技术方面76.1.1 网络分段76.1.2 以交换式集线器代替共享式集线器76.1.3 VLAN的划分76.1.4 加强计算机网络访问控制76.2 管理方面76.2.1 加强设备的安全监管76.2.2 加密处理文件76.2.3 建立完备的送修制度以防止数据泄密76.2.4 加强网络安全教育77 参考文献81 引言互联网的迅速发展在提高工作效率的同时，也使网络安全问题日益严峻。我们必须要综合运用各种安全防范措施，改善这个问题，以构建一个全方位的安全防御系统为目标，有效提高计算机网络的安全；我们只有熟悉了各种影响网络安全的因素，熟练掌握了各种保护网络安全的技术，才能更好的保护计算机和信息的安全。2 计算机网络安全概述2.1 影响计算机网络安全的因素由于设计的系统缺乏安全性考虑，使网络系统在稳定性和可扩充性方面受到影响。网络硬件的配置不协调，网络应用的需求没有引起足够的重视，设计和选型考虑欠周密，从而影响网络的可靠性、扩充性和升级换代；工作站选配不当，许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用，从而给他人以可乘之机。资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者进行破坏提供了机会。网络协议实现的复杂性决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞，人们常见的黑客攻击及网络病毒，是最难防范的网络安全威胁。2.2 计算机信息安全的含义 信息系统安全的内容应包括两个方面：物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括确保信息的完整性、保密性和可用性。在计算机网络中，根据国际标准化组织ISO的定义，信息系统安全就是为数据处理系统建立和采取的技术和管理的安全保护，保护计算机的硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露，系统能够连续可靠正常地运行，信息服务不中断。 2.3 网络安全缺陷产生的原因第一，TCP/IP的脆弱性。 由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。第二，网络结构的不安全性。如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。第三，易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。第四，缺乏安全意识。人们普遍缺乏安全意识，使网络中设置的安全保护屏障形同虚设。3 网络安全的问题3.1 计算机网络安全的威胁 黑客攻击：黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁之一。病毒：病毒时刻威胁着整个互联网，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治。管理的欠缺及资源滥用：很多上互联网的企业在管理上存在漏洞，对于网络上黑客的攻击缺乏基本的应对措施，同时企业内部普遍存在资源滥用现象，降低了员工的工作效率，这是造成网络安全问题的根本原因。信息泄露：恶意、过失的不合理信息上传和发布，可能会造成敏感信息泄漏、有害信息扩散，危及社会、国家、体和个人利益。3.2 计算机网络安全问题TCP/IP协议的安全问题。由于大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。网络结构的安全问题。互联网上大多数数据流都没有进行加密，因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解，这就是互联网所固有的安全隐患。系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题，因为对于防火墙来说，该入侵行为的访问过程和正常的Web访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。4 计算机网络安全防范4.1 防火墙技术4.1.1 防火墙的概念从狭义上来讲，防火墙是指安装了防火墙软件的计算机、路由器或专门的硬件设备；从广义上讲，防火墙还包括了保护整个网络的安全策略和安全行为。它通过在网络边界上建立网络安全监测系统，对流经它的网络通信进行扫描，能够有效隔离内部和外部网络，确定允许哪些内部服务访问外部服务，以及允许哪些外部服务访问内部服务，以阻挡来自外部网络的入侵和攻击，它是内部网络与外部公共网络之间的第一道屏障。4.1.2 防火墙的种类 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型，它们之间各有所长，具体使用哪一种或是否混合使用要根据具体需求确定。4.1.3 防火墙的功能防火墙可以强化网络安全策略。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息，防止内部信息的外泄。防火墙能有效地防止外来的入侵，起了一个作为保护层的作用，使得内部网与外部网之间所有的信息流都必须通过防火墙，信息流在流经防火墙时，网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行，而且它还能禁止特定端口的流出通信，封锁特洛伊木马。防火墙实际上代表了一个网络的访问控制原则。4.1.4 防火墙技术的原理防火墙就是一种过滤塞。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。防火墙的形式多种多样，有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的就是独立的一套操作系统；还有一些应用型的防火墙只对特定类型的网络连接提供保护。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。4.2 计算机网络安全的相关技术 计算机网络安全的实现有赖于各种网络安全技术。从技术上来说，网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。4.2.1 数据加密技术 在计算机网络中，加密技术是信息安全技术的核心，是一种主动的信息安全防范措施，信息加密技术是其他安全技术的基础，加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的不可理解的密文形式(即加密)，对电子信息在传输过程中或存储体内进行保护，以阻止信息泄露或盗取，从而确保信息的安全性。4.2.2 入侵检测技术入侵检测系统(IntrusionDetectionSystem，IDS)是从多种计算机系统及网络系统中收集信息，再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。4.2.3 防病毒技术 随着计算机技术的不断发展，计算机病毒对计算机信息系统构成的威胁越来越大。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除。5 安全防范措施5.1 网络病毒的防范 在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，定期或不定期的自动升级，使网络免受病毒的侵袭。5.2 运用防火墙 利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙可以提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等。5.3 采用入侵检测系统 入侵检测技术能够及时发现并报告系统中未授权或异常现象，是一种用于检测计算机网络中违反安全策略行为的技术。在该系统中利用审计记录，能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统安全的目的。在网络中同时采用基于网络和基于主机的入侵检测系统，构成一套完整立体的主动防御体系。5.4 漏洞扫描系统 面对大型网络的复杂性和不断变化的情况，要求有一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。5.5 利用网络监听维护子网系统安全对于网络内部的侵袭问题，我们可以设计一个子网专用的监听程序，其主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计档提供备份。6 安全建议6.1 技术方面6.1.1 网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段，也是保证网络安全的一项重要措施，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。6.1.2 以交换式集线器代替共享式集线器 当用户与主机进行数据通信时，两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听，所以应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。6.1.3 VLAN的划分在集中式网络环境下，通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN 里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，可以按机构或部门的设置来划分VLAN。6.1.4 加强计算机网络访问控制访问控制是网络安全防范的主要策略，它的主要任务是保证网络资源不被非法使用和非正常访问，也