河南工程学院考查课.doc

河南工程学院考查课专业论文计算机安全技术应用学生姓名： 学 院： 专业班级： 专业课程： 任课教师： 2014 年 06月 03日专业论文评分标准序号评价内容具体要求分值评分ABCDE1逻辑结构结构合理，层次分明，条理清晰，逻辑性强。101086422资料搜集中英文资料的搜集是否全面、是否代表本专业的最新发展。101086423课堂知识的得掌握及灵活运用的程度能够结合学过、了解到的相关知识对所选课题进行分析，分析充分、知识运用合理。3030272420164撰写质量语句通顺，语言精练，用词准确，能够围绕主题展开论述，理论分析透彻，并能理论联系实际。3030272420165撰写纪律用自己的语言描述已有的文献材料上的内容，不抄其他同学的论文202018151311总分计算机安全技术应用一、重要数据备份1.个人计算机驱动的备份首先安装驱动精灵，然后在D盘新建一个名为“驱动备份”的文件夹，准备用于存放系统的驱动程序备份。在备份驱动程序前首先确保你的系统已经安装完所有设备驱动程序，并且已经安装了“驱动精灵”，请关闭所有正在运行的驱动程序，然后点击“开始”-指向“所有程序”-驱动精灵2-驱动精灵（点击它）即启动程序，根据提示进行驱动的备份。 在安装完系统进行驱动恢复是，在设备管理器中，右键点击选定的设备，选择“更新驱动程序”，再选择“从列表或指定位置安装，再勾选“搜索包含以下路径”，然后点击“浏览”按钮选中D:驱动备份相应设备目录，再点确定即可。2. 个人数据备份使用网盘进行数据备份（1） 登录百度网盘，注册账号即可使用。 （2）点击“上传”上传文件（可根据文件类别自己新建目录，就是新建分类文件夹），然后上传到指定的文件夹下 （3）在“我的文件”目录下，鼠标移动到文件夹上会出现“更多”选项按钮，可以把文件共享（所有人可见可下载），或者加密分享（以邮件、短信形式通知想分享的人） （4）下载客户端到电脑，以及手机客户端，使用同步文件夹，即可进行实时数据同步，保证重要数据不丢失。2、 DDoS（分布式拒绝服务攻击）的工作原理和应对方法2.1分布式拒绝服务DDoS攻击原理 分布式拒绝服务（DDoS）攻击如果处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。图2.1分布式拒绝服务ddos攻击如图2.1所示为典型的DDoS的示意图，其中的攻击者可以有多个。一般而言，除了规模以外，DDoS攻击与DoS攻击没有本质上的区别，严格而言，DDoS攻击也是DoS攻击，只是把多个攻击主机（一个或者数个攻击者控制下的分处于不同网络位置的多个攻击主机）发起的协同攻击特称为DDoS攻击。DDoS攻击的防范：主机上的设置 几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种： * 关闭不必要的服务 * 限制同时打开的Syn半连接数目 * 缩短Syn半连接的time out 时间 * 及时更新系统补丁 网络设备上的设置 企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。 .防火墙 * 禁止对主机的非开放服务的访问 * 限制同时打开的SYN最大连接数 * 限制特定IP地址的访问 * 启用防火墙的防DDoS的属性 * 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。 .路由器 * 以Cisco路由器为例 Cisco Express Forwarding（CEF） * 使用 unicast reverse-path * 访问控制列表（ACL）过滤 * 设置SYN数据包流量速率 * 升级版本过低的ISO * 为路由器建立log server三、网络边界防护的实现3.1防火墙网络早期是通过网段进行隔离的，不同网段之间的通信通过路由器连接，要限制某些网段之间不互通，或有条件的互通，就出现了访问控制技术，也就出现了防火墙，防火墙是早期不同网络互联时的安全网关。防火墙的安全设计原理来自于包过滤与应用代理技术，两边是连接不同网络的接口，中间是访问控制列表ACL，数据流要经过ACL的过滤才能通过。ACL有些像海关的身份证检查，检查的是你是哪个国家的人，但你是间谍还是游客就无法区分了，因为ACL控制的是网络OSI参考模型的34层，对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术，可以隐藏内网设备的IP地址，给内部网络蒙上面纱，成为外部看不到的灰盒子，给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系，从而穿透了NAT的防护，很多P2P应用也是采用这种方式攻破防火墙的。防火墙的作用就是建起了网络的城门，把住了进入网络的必经通道，所以在网络的边界安全设计中，防火墙成为不可或缺的一部分。防火墙的缺点是：不能对应用层识别，面对隐藏在应用中的病毒、木马是毫无办法的，所以作为安全级别差异较大的网络互联，防火墙的安全性就远远不够了。3.2VPN网关外部用户访问内部主机或服务器的时候，为了保证用户身份的合法、确保网络的安全，一般在网络边界部署VPN（虚拟网）网关，主要作用就是利用公用网络（主要是互联网）把多个网络节点或私有网络连接起来。针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。典型的VPN网关产品集成了包过滤防火墙和应用代理防火墙的功能。企业级VPN产品是从防火墙产品发展而来的，防火墙的功能特性已经成为它的基本功能集的一部分。如果VPN和防火墙分别是独立的产品，则VPN与防火墙的协同工作会遇到很多难以解决的问题；有可能不同厂家的防火墙和VPN不能协同工作，防火墙的安全策略无法制定（这是由于VPN把IP数据包加密封装的缘故）或者带来性能的损失，如防火墙无法使用NAT功能等。而如果采用功能整合的产品，则上述问题就不存在或能很容易解决。3.3防DoS攻击网关拒绝服务攻击（DoS，DenialofService）是一种对网络上的计算机进行攻击的一种方式。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。常见的拒绝服务攻击有SYNFlood、空连接攻击、UDPFlood、ICMP Flood等。SYN Cookie是应用非常广泛的一种防御SYNFlood攻击的技术，在攻击流量比较小的情况下，SYNCookie技术可以有效地防御SYNFlood攻击；从路由器上限制流向单一目标主机的连接数或者分配给单一目标主机的带宽也是一种常用的防御手段。另外，由于一些攻击工具在攻击之前往往对攻击目标进行DNS解析，然后对解析之后的IP进行攻击。因此如果对于被攻击的服务器分配一个新IP，在DNS进行重新指向之后，攻击工具往往还会向原来的IP发送攻击，这样，被攻击的服务器就可以躲开攻击。这种方法被称为退让策略。由于防DoS攻击需要比较多的系统资源，一般使用单独的硬件平台实现，与防火墙一起串联部署在网络边界。如果与防火墙共用平台，只能防范流量很小的DoS/DDoS攻击，实用性较差。3.4入侵防御网关入侵防御网关以在线方式部署，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，专注的是深层防御、精确阻断，这意味着入侵防御系统是一种安全防御工具，以解决用户面临网络边界入侵威胁，进一步优化网络边界安全。入侵防御网关一般串行部署在网络边界，以边界防护设备的形式接入网络，任何对受保护网络的访问数据都将穿过入侵防御引擎。串接模式的部署与旁路的IDS（入侵检测系统）相比，入侵防御可以进行实时的防御；与基于静态规则进行边界防护的防火墙相比，入侵防御可以实现动态的深层次的、精确的防御。在发现攻击行为之后，入侵防御系统可以主动地阻断这些攻击行为，对内部网络的系统实现免疫防护。即使内部系统存在相应的风险漏洞，也可以由入侵防御引擎来实现先于攻击达成的防护。3.5防病毒网关随着病毒与黑客程序相结合、蠕虫病毒更加泛滥，网络成为病毒传播的重要渠道，而网络边界也成为阻止病毒传播的重要位置；所以，防病毒网关应运而生，成为斩断病毒传播途径最为有效的手段之一。防病毒网关技术包括两个部分，一部分是如何对进出网关的数据进行查杀；另一部分是对要查杀的数据进行检测与清除。综观国外的防病毒网关产品，至今其对数据的病毒检测还是以特征码匹配技术为主，其扫描技术及病毒库与其服务器版防病毒产品是一致的。因此，如何对进出网关的数据进行查杀，是网关防病毒技术的关键。由于目前国内外防病毒技术还无法对数据包进行病毒检测，所以在网关处只能采取将数据包还原成文件的方式进行病毒处理，最终对数据进行扫描仍是通过病毒扫描引擎实现的。防病毒网关着眼于在网络边界就把病毒拒之门外，可以迅速提高企业网防杀病毒的效率，并可大大简化企业防病毒的操作难度，降低企业防病毒的投入成本。3.6反垃圾邮件网关电子邮件系统是信息交互的最主要沟通工具，互联网上的垃圾邮件问题也越来越严重，垃圾邮件的数量目前以每年10倍的速度向上翻。而且往往会因为邮箱内垃圾邮件数量过多而无法看出哪些是正常邮件，大大浪费了员工的工作时间；另外，巨量的垃圾邮件也严重浪费了公司的系统和网络带宽的资源。反垃圾邮件网关部署在网络边界，可以正确区分邮件的发送请求以及攻击请求，进而将邮件攻击拒绝，以保障电子邮件系统的稳定运行；此外，在保障邮件正常通信的情况下对垃圾邮件以及病毒邮件进行有效识别并采取隔离措施隔离，可减少邮件系统资源以及网络带宽资源的浪费，进而提高公司员工的工作效率；最后，还不必为电子邮件系统出现故障时找不到问题而耗费时间，部署后的电子邮件系统将可以在不需要管理员进行任何干涉的情况下稳定运行，大大节省了电子邮件系统的管理成本。3.7网闸安全性要求高的单位一般建设两个网络：内网用于内部高安全性业务