网络安全.doc

北京劳动保障职业学院北京劳动保障职业学院 大作业 毕业 大作业 毕业 题目题目 计算机网络安全防范技术探析计算机网络安全防范技术探析 专专 业 计算机网络技术业 计算机网络技术 班班 级 级 12 高网高网 姓姓 名 王慧名 王慧 学学 号 号 辅导教师 李辅导教师 李 硕硕 20122012 年年 1212 月月 日日 目录目录 内容简介 3 正文 3 一 计算机网络安全的概念与现状 3 1 计算机网络安全的基本概念 3 2 计算机网络安全的基本组成 3 3 计算机网络安全现状 4 二 关于计算机网络的安全与管理探析 4 1 计算机网络面临的安全性威胁 4 2 计算机网络面临的安全攻击 4 3 计算机网络安全体系的建立 5 三 浅析计算机网络病毒的防治措施 6 1 基于工作站的防治技术 6 2 基于服务器的防治技术 6 3 加强计算机网络 7 四 浅析网络防火墙技术 7 1 防火墙的基本概念 7 2 防火墙的技术分类 8 3 防火墙的基本功能 8 4 防火墙的安全构建 8 5 防火墙的局限性 9 五 浅析校园网安全问题 9 1 校园网络存在的安全隐患 9 2 校园网络安全策略 10 结论 12 致谢 13 参考文献 14 内容简介内容简介 随着现代计算机网络信息技术的发展 计算机网络逐渐成为人们生活和工 作中不可或缺的组成部分 它改变了人们传统的工作习惯和生活节奏 在人们 越来越依赖网络的今天 伴随着计算机网络技术的逐步发展和完善 计算机网 络的信息安全防护已经变得越来越重要 文章在计算机网络安全的概念基础上 分析了当前计算机网络安全的现状 最后提出几种常见的计算机网络安全防范 策略 计算机技术和网络技术的高速发展 对整个社会的科学技术 经济与文化带 来巨大的推动和冲击 尤其近十几年来 计算机网络在社会生活各方面应用广 泛 已经成为人们生活中不可或缺的部分 但同时也给我们带来许多挑战 随 着我们对网络信息资源的开放与共享的需求日益增强 随之而来的信息安全问 题也越来越突出 并且随着网络规模的不断扩大 网络安全事故的数量 以及 其造成的损失也在成倍地增长 病毒 黑客 网络犯罪等给我们的信息安全带 来很大威胁 因此计算机网络安全是一个综合的系统工程 需要我们做长期的 探索和规划 正文正文 一 计算机网络安全的概念与现状 1 计算机网络安全的基本概念 计算机网络安全是指 为数据处理系统建立和采取的技术和的安全保护 保护 计算机硬件 软件数据不因偶然和恶意的原因而遭到破坏 更改和泄漏 计算 机安全的定义包含安全和安全两方面的内容 其逻辑安全的内容可理解为我们 常说的信息安全 是指对信息的保密性 完整性和可用性的保护 而网络安全 性的含义是信息安全的引申 即网络安全是对网络信息保密性 完整性和可用 性的保护 2 计算机网络安全的基本组成 1 网络实体安全 如计算机的物理条件 物理及设施的安全标准 计算机硬 件 附属设备及网络传输线路的安装及配置等 2 软件安全 如保护网络系统不被非法侵入 系统软件与应用软件不被非法 复制 篡改 不受病毒的侵害等 3 数据安全 如保护网络信息的数据安全 不被非法存取 保护其完整 一 致等 4 网络安全管理 如运行时突发事件的安全处理等 包括采取计算机安全技 术 建立安全管理制度 开展安全 进行风险分析等内容 3 计算机网络安全现状 计算机网络安全是指网络系统的硬 软件及系统中的数据受到保护 不受 偶然或恶意的原因而遭到破坏 更改 泄露 系统连续 可靠 正常地运行 网络服务不中断 计算机和网络技术具有的复杂性和多样性 使得计算机和网 络安全成为一个需要持续更新和提高的领域 目前黑客的攻击方法已超过了计 算机病毒的种类 而且许多攻击都是致命的 在 Internet 网络上 因互联网本 身没有时空和地域的限制 每当有一种新的攻击手段产生 就能在一周内传遍 全世界 这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网 络瘫痪 蠕虫 后门 Back doors Rootkits DoS Denial of Services 和 Sniffer 网路监听 是大家熟悉的几种黑客攻击手段 但这些攻击手段却都体 现了它们惊人的威力 时至今日 有愈演愈烈之势 这几类攻击手段的新变种 与以前出现的攻击方法相比 更加智能化 攻击目标直指互联网基础协议和操 作系统层次 从 Web 程序的控制程序到内核级 Rootlets 黑客的攻击手法不断 升级翻新 向用户的信息安全防范能力不断发起挑战 二 关于计算机网络的安全与管理探析 1 计算机网络面临的安全性威胁 1 非法授权访问 威胁源成功地破坏访问控制服务 如修改访问控制文件的 内容 实现了越权访问 2 非法连接 威胁源以非法手段形成合法的身份 在网络实体与网络源之间 建立非法连接 3 拒绝服务 阻止合法的网络用户或其他合法权限的执行者使用某项服务 4 信息泄露 未经授权的实体获取到传输中或存放着的信息 造成泄密 5 无效的信息流 对正确的信息序列进行非法修改 删除或重复 使之变成 无效信息 6 伪装 威胁源泉成功地假扮成另一个实体 随后滥用这个实体的权利 2 计算机网络面临的安全攻击 1 中断 中断是指破坏采取或方法中断通信双方的正常通信 如切断通信线 路 禁用文件管理系统等 2 截取 截取是指未授权者非法获得访问权 截获通信双方的通信内容 3 修改 修改是指未授权者非法截获通信双方的通信内容后 进行恶意篡改 如病毒可能会感染大量的计算机系统 占用网络带宽 阻塞正常流量 发送垃 圾邮件 从而影响计算机网络的正常运行 4 捏造 捏造是指未授权者向系统中插入仿造的对象 传输欺骗性消息 3 计算机网络安全体系的建立 1 身份认证 身份认证是访问控制的基础 是针对主动攻击的重要防御措施 身 份认证必须做到准确无误地将对方辨别出来 同时还应该提供双向认证 即互相证 明自己的身份 网络下的身份认证更加复杂 因为验证身份一般通过网络进行而 非直接参交互 常规验证身份的方式 如指纹 在网络上已不适用 再有 大量黑客随 时随地都可能尝试向网络渗透 截获合法用户口令 并冒名顶替以合法身份入网 所以需要采用高强度的密码技术来进行身份认证 目前安全性较高的是 USBKEY 认证方法 这种方法采用软硬件相结合 很好地解决了安全性与易用 性之间的矛盾 USBKEY 是一种 USB 接口的硬件设备 用户的密钥或数字证 书无需存于内存 也无需通过网络 因此 大大增强了用户使用信息的安全性 2 访问控制 访问控制的目的是控制不同用户对信息资源的访问权限 是针 对越权使用资源的防御措施 访问控制可分为自主访问控制和强制访问控制两 类 实现机制可以是基于访问控制的属性的访问控制表 或访问控制矩阵 也可 以是基于安全标签 用户分类及资源分档的多级控制 3 数据保密 数据保密是针对信息泄露的防御措施 数据加密是常用的保 证通信安全的手段 但由于计算机技术的发展 使得传统的加密算法不断地被破译 不 得不研究更高强度的加密算法 如目前的 DES 算法 公开密钥算法等 4 数据完整性 数据完整性是针对非法篡改信息 文件及业务流而设置的 防范措施 也就是说网上所传输的数据防止被修改 删除 插入 替换或重发 从而保护合法用户接收和使用该数据的真实性 5 加密机机制 加密技术的出现为全球商务提供了保证 从而使基于因特上 的电子交易系统成为了可能 因此完善的对称加密和非对称加密技术仍是 21 世 纪的主流 对称加密是常规的以口令为基础的技术 加密运算与解密运算使用同 样的密钥 不对称加密 即加密密钥不同于解密密钥 加密密钥公之于众 谁都可 以用 解密密钥只有解密人自己知道 6 路由控制机制 一套完整的防火墙系统通常是由屏蔽路由器和代理服务 器组成 屏蔽路由器是一个多端口的 IP 路由器 它通过对每一个到来的 IP 包依 据组规则进行检查来判断是否对之进行转发 屏蔽路由器从包头取得信息 例 如协议号 收发报文的 IP 地址和端口号 连接标志以至另外一些 IP 选项 对 IP 包进行过滤 代理服务器是防火墙中的一个服务器进程 它能够代替网络用 户完成特定的 TCP TP 功能 一个代理服务器本质上是一个应用层的网关一个 为特定网络应用而连接两个网络的网关 用户就一项 TCP TP 应用 比如 Telnet 或者 FTP 同代理服务器打交道 代理服务器要求用户提供其要访问的远程主 机名 当用户答复并提供了正确的用户身份及认证信息后 代理服务器连通远 程主机 为两个通信点充当中继 整个过程可以对用户完全透明 用户提供的 用户身份及认证信息可用于用户级的认证 7 入侵检测技术 随着网络安全风险系数不断提高 作为对防火墙及其有益 的补充 IDS 入侵检测系统 能够帮助网络系统快速发现攻击的发生 它扩展了 系统管理员的安全管理能力 提高了信息安全基础结构的完整性 入侵检测系 统是一种对网络活动进行实时监测的专用系统 该系统处于防火墙之后 可以和 防火墙及路由器配合工作 用来检查一个 LAN 网段上网段上的所有通信 记录和 禁止网络活动 可以通过重新配置来禁止从防火墙外部进入的恶意流量 入侵检 测系统能够对网络上的信息进行快速分析或在主机上对用户进行分析 通过集 中控制台来管理和检测 8 备份系统 备份系统可以全盘恢复运行计算机系统所需的数据和系统信 息 对系统设备的备份 备份不仅在网络系统硬件故障或人为失误时起到保护 作用 也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用 三 浅析计算机网络病毒的防治措施 1 基于工作站的防治技术 工作站就像是计算机网络的大门 只有把好这道大门 才能有效防止病毒的侵 入 工作站防治病毒的方法有三种 一是软件防治 即定期不定期地用反病毒 软件检测工作站的病毒感染情况 软件防治可以不断提高防治能力 但需人为 地经常去启动软盘防病毒软件 因而不仅给工作人员增加了负担 而且很有可 能在病毒发作后才能检测到 二是在工作站上插防病毒卡 防病毒卡可以达到 实时检测的目的 但防病毒卡的升级不方便 从实际应用的效果看 对工作站 的运行速度有一定的影响 三是在网络接口卡上安装防病毒芯片 它将工作站 存取控制与病毒防护合二为一 可以更加实时有效地保护工作站及通向服务器 的桥梁 但这种方法同样也存在芯片上的软件版本升级不便的问题 而且对网 络的传输速度也会产生一定的影响 下载防病毒软件要到知名度高 信誉良好 的站点 通常这些站点软件比较安全 不要过于相信和随便运行别人给的软件 要经常检查自己的系统文件 注册表 端口等 多注意安全方面的信息 再者 就是改掉 Windows 关于隐藏文件扩展名的默认设置 这样可以让我们看清楚文 件真正的扩展名 当前许多反病毒软件都具有查杀 木马 或 后门 程序的功能 但仍需更新和采用先进的防病毒软件 如果突然发现自己的计算机硬盘莫名其 妙的工作 或者在没有打开任何连接的情况下 Modem 还在 眨眼睛 就立刻断 开网络连接 进行木马的搜索 2 基于服务器的防治技术 网络服务器是网络的中心 是网络的支柱 网络瘫痪的 个重要标志就是 网络服务器瘫痪 网络服务器 旦被击垮 造成的损失是灾难性的 难以挽回 和无法估量 目前基于服务器的防治病毒的方法大都采用防病毒可装载模块 NLM 以提供实时扫描病毒的能力 有时也结合利用在服务器上的插防毒 卡等技术 目的在于保护服务器不受病毒的攻击 从而切断病毒进一步的途径 邮件病毒主要是通过邮件进行传染的 而且大多通过附件夹带 了解了这 一点 对于该类病毒的防范就比较明确和容易 1 不要轻易打开陌生人来信中的附件 尤其是一些 EXE 类的可执行 文件 2 对于比较熟悉的朋友发来的邮件 如果其信中带有附件却未在正文 中说明 也不要轻易打开附件 因为它的系统也许已经染毒 3 不要盲目转发邮件 给别人发送程序文件甚至电子贺卡时 可先在 自己的电脑中试一试 确认没有问题后再发 以免无意中成为病毒的传播者 4 如果收到主题为 I LOVE YOU 的邮件后立即删除 更不要打开附件 5 随时注意反病毒警报 及时更新杀毒软件的病毒代码库 从技术手 段上 可安装具有监测邮件系统的反病毒实时监控程序 随时监测系统行为 如使用最新版本的杀毒实时软件来查杀该附件中的文件 3 加强计算机网络 计算机网络病毒的防治 单纯依靠技术手段是不可能十分有效地杜绝和防止其 蔓延的 只有把技术手段和管理机制紧密结合起来 提高人们的防范意识 才 有可能从根本上保护网络系统的安全运行 目前在网络病毒防治技术方面 基 本处于被动防御的地位 但管理上应该积极主动 应从硬件设备及软件系统的 使用 维护 管理 服务等各个环节制定出严格的规章制度 对网络系统的管 理员及用户加强法制和职业教育 规范工作程序和操作规程 严惩从事非法活 动的集体和个人 尽可能采用行之有效的新技术 新手段 建立 防杀结合 以 防为主 以杀为辅 软硬互补 标本兼治 的最佳网络病毒安全模式 必须采取 有效的管理措施和技术手段 防止病毒的感染和破坏 力争将损失降到最小 计算机病毒在形式上越来越难以辨别 造成的危害也日益严重 这就要求 网络防毒产品在技术上更先进 功能上更全面 从目前病毒的演化趋势来看 网络防病毒产品的发展趋势主要体现在以下几个方面 一是反黑与杀毒相结合 二是从入口拦截病毒 三是提供全面解决方案 四是客户化定制模式 五是防 病毒产品技术由区域化向国际化转变 随着计算机网络 数字技术及互联网技术的发展 计算机病毒的危害更是 与日俱增 因此 加强计算机病毒的防治 确保计算机信息安全是当前过程中 的一项重要 迫切的研究课题 我们一方面要掌握对现在的计算机病毒的防范 措施 切实抓好病毒防治工作 另一方面要加强对未来病毒发展趋势的研究 探讨新时期科学防治计算机病毒的新策略 真正做到防患于未然 四 浅析网络防火墙技术 1 防火墙的基本概念 防火墙是一个系统或一组系统 在内部网与因特网间执行一定的安全策略 它 实际上是一种隔离技术 一个有效的防火墙应该能够确保所有从因特网流入或 流向因特网的信息都将经过防火墙 所有流经防火墙的信息都应接受检查 通 过防火墙可以定义一个关键点以防止外来入侵 监控网络的安全并在异常情况 下给出报警提示 尤其对于重大的信息量通过时除进行检查外 还应做日志登 记 提供网络地址转换功能 有助于缓解 IP 地址资源紧张的问题 同时 可以 避免当一个内部网更换 ISP 时需重新编号的麻烦 防火墙是为客户提供服务的 理想位置 即在其上可以配置相应的 WWW 和 FTP 服务等 2 防火墙的技术分类 现有的防火墙主要有 包过滤型 代理服务器型 复合型以及其他类型 双宿主主机 主机过滤以及加密路由器 防火墙 包过滤 Packet Fliter 通 常安装在路由器上 而且大多数商用路由器都提供了包过滤的功能 包过滤规 则以 IP 包信息为基础 对 IP 源地址 目标地址 协议类型 端口号等进行筛 选 包过滤在网络层进行 代理服务器型 Proxy Service 防火墙通常由两部 分构成 服务器端程序和客户端程序 客户端程序与中间节点连接 中间节点 再与提供服务的服务器实际连接 复合型防火墙将包过滤和代理服务两种方法 结合起来 形成新的防火墙 由堡垒主机提供代理服务 各类防火墙路由器和 各种主机按其配置和功能可组成各种类型的防火墙 主要有 双宿主主机防火 墙 它是由堡垒主机充当网关 并在其上运行防火墙软件 内外网之间的必须 经过堡垒主机 主机过滤防火墙是指一个包过滤路由器与外部网相连 同时 一个堡垒主机安装在内部网上 使堡垒主机成为外部网所能到达的惟一节点 从而确保内部网不受外部非授权用户的攻击 加密路由器对通过路由器的信息 流进行加密和压缩 然后通过外部网络传输到目的端进行解压缩和解密 3 防火墙的基本功能 1 包过滤路由器包过滤路由器将对每一个接收到的包进行允许 拒绝的决定 具体地 它对每一个数据报的包头 按照包过滤规则进行判定 与规则相匹配 的包依据路由表信息继续转发 否则 则丢弃之 与服务相关的过滤 是指基 于特定的服务进行包过滤 由于绝大多数服务的监听都驻留在特定 TCP UDP 端口 因此 阻塞所有进入特定服务的连接 路由器只需将所有包含特定 TCP UDP 目标端口的包丢弃即可 独立于服务的过滤 有些类型的攻击是与 服务无关的 比如 带有欺骗性的源 IP 地址攻击 源路由攻击 细小碎片攻击 等 由此可见此类网上攻击仅仅借助包头信息是难以识别的 此时 需要路由 器在原过滤规则的基础附上另外的条件 这些条件的判别信息可以通过检查路 由表 指定 IP 选择 检查指定偏移量等获得 2 链路层网关链路层网关是可由应用层网关实现的特殊功能 它仅仅替 代 TCP 连接而无需执行任何附加的包处理和过滤 4 防火墙的安全构建 在进行防火墙设计构建中 网络管理员应考虑防火墙的基本准则 整个企 业网的安全策略 以及防火墙的费用预算等 1 基本准则 2 安全策略 3 构 建费用 5 防火墙的局限性 尽管利用防火墙可以保护内部网免受外部黑客的攻击 但其只能提高网络 的安全性 不可能保证网络的绝对安全 事实上仍然存在着一些防火墙不能防 范的 安全威胁 如防火墙不能防范不经过防火墙的攻击 例如 如果允许从 受保护的网络内部向外拨号 一些用户就可能形成与 Internet 的直接连接 另 外 防火墙很难防范来自于网络内部的攻击以及病毒的威胁 所以在一个实际 的网络运行环境中 仅仅依靠防火墙来保证网络的安全显然是不够 此时 应 根据实际需求采取其他相应的安全策略 五 浅析校园网安全问题 1 校园网络存在的安全隐患 从结构上分析 校园网总体上分为校园内网和校园外网以及提供各种服务的服 务器群 校园内网主要包括教学局域网 局域网 办公自动化局域网 一卡通 等 外部网主要实现校园网与 Internet 的基础接入 校园网的服务器群构成了 校园网的服务系统 主要包括 DNS Web FTP Proxy 视频点播以及 Mail 服务等 基于校园网络的基本结构 可以分析出校园网络存在的安全隐患和漏洞主 要有以下几个方面 1 校园网与 Internet 相连 且速度快和规模大 在享受 Internet 方便快捷的 同时 也面临着遭遇攻击的风险 高校校园网目前普遍使用了百兆到桌面 千 兆甚至万兆实现园区主干互联 校园网的用户群体一般也比较大 少则数千人 多则数万人 中国的高校学生一般集中住宿 因而用户群比较密集 正是由于 高带宽和大用户量的特点 网络安全问题一般蔓延快 对网络的影响比较严重 2 开放的网络极易受到攻击 由于教学和科研的特点决定了校园网络 环境应该是开放的 管理也是较为宽松的 比如 企业网可以限制允许 Web 浏 览和邮件的流量 甚至限制外部发起的连接不允许进入防火墙 但是在校园网 环境下 至少在校园网的主干不能实施过多的限制 否则一些新应用 新技术 很难在校园网内部实施 3 校园网内部也存在很大的安全隐患 高等学校的学生通常是最活跃的网络 用户 对网络新技术充满好奇 勇于尝试 如果没有意识到后果的严重性 有 些学生会尝试使用网上学到的 甚至自己研究的各种攻击技术 可能对网络造 成一定的影响和破坏 4 目前使用的操作系统存在安全漏洞 对网络安全构成了威胁 网络 服务器安装的操作系统有 Windows NT 2000 UNIX Linux 等 这些系统安全 风险级别不同 例如 Windows NT 2000 的普遍性和可操作性使它成为最不安全 的系统 自身安全漏洞 浏览器的漏洞 IIS 的漏洞 病毒木马等 5 校园网中的系统管理比较复杂 校园网中的计算机系统的购置和管 理情况非常复杂 要求所有的端系统实施统一的安全政策 比如安装防病毒软件 设置可靠的口令 是非常困难的 由于没有统一的资产管理和设备管理 出现安 全问题后通常无法分清责任 比较典型的现象是 用户的计算机接入校园网后 感染病毒 反过来这台感染病毒的计算机又影响了校园网的运行 更有些计算 机甚至服务器系统建设完毕之后无人管理 甚至被攻击者攻破作为攻击的跳板 变成攻击试验床也无人觉察 6 内部用户对 Internet 的非法访问威胁 如浏览黄色 暴力 反动等 网站 以及由于下载文件可能将木马 蠕虫 病毒等程序带入校园内网 内外 网恶意用户可能利用利用一些工具对网络及服务器发起攻击 导致网络及服务 不可用 校园网内针对 QQ 的黑客程序随处可见 7 有限的投入造成维护力量不足 校园网的建设和管理通常都轻视了 网络安全 特别是管理和维护人员方面的投入明显不足 在中国大多数的校园 网中 通常只有网络中心的少数工作人员 他们只能维护网络的正常运行 无 暇顾及 也没有条件管理和维护数万台计算机的安全 第八 可能会因为校园 网内人员以及全体师生的安全意识不强 管理制度不健全 带来校园网的威胁 2 校园网络安全策略 1 安全策略 对系统所在环境的安全保护 确保计算机系统有一个良 好的电磁兼容工作环境 2 访问控制策略 入网访问控制 入网访问控制为网络访问提供了第一 层访问控制 它控制哪些用户能够登录到网络并获取网络资源 控制准许用户 入网的时间和准许他们在哪台计算机上入网 网络的权限控制 网络的权限控 制是针对网络非法操作所提出的一种安全保护措施 用户和用户组被赋予一定 的权限 网络控制用户和用户组可以访问哪些资源 可以指定用户对这些资源 能够执行哪些操作 网络监测和锁定控制 网络管理员应对网络实施监控 服 务器应记录用户对网络资源的访问 对非法的网络访问 服务器应以图形或文字 或声音等形式报警 以引起网络管理员的注意 如果不法之徒试图进入网络 网 络服务器应会自动记录企图尝试进入网络的次数 如果非法访问的次数达到设 定数值 那么该账户将被自动锁定 3 防火墙控制策略 防火墙是一种保护计算机网络安全的技术性措施 它是一个用以阻止网络中的黑客访问某个机构网络的屏障 它位于两个网络之 间执行控制策略的系统 用来限制外部非法用户访问内部网络资源 通过建立 起来的相应网络监控系统来隔离内部和外部网络 以阻挡外部网络的侵入 防止 偷窃或起破坏作用的恶意攻击 4 网络入侵检测技术 试图破坏信息系统的完整性 机密性 可信性 的任何网络活动 都称为网络入侵 入侵检测 Intrusion Detection 的定义为 识别针对计算机或网络资源的恶意企图和行为 并对此做出反应的过程 它不 仅检测来自外部的入侵行为 同时也检测来自内部用户的未授权活动 入侵检 测应用了以攻为守的策略 它所提供的数据不仅有可能用来发现合法用户滥用 特权 还有可能在一定程度上提供追究入侵者法律责任的有效证