计算机网络安全论文演示PPT课件

.,1,毕业设计,课题名称：计算机网络安全与防范技术2012年05月11日,.,2,姓名：黄凯学号：08212151105系（院）：信息工程学院班级：08计算机科学与技术（1）班指导教师：王迎云职称：讲师,.,3,摘要,网络信息的飞速发展给人类社会带来巨大的推动与冲击，同时也产生了网络系统安全问题。网络安全经过了二十多年的发展，已经发展成为一个跨多门学科的综合性科学，它包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。本文的主要工作主要集中在计算机网络存在的几种安全隐患,以及面对这些网络安全隐患需要采取的安全防范措施。文章共分为五章。第一章主要从各方面介绍了计算机网络的发展前景。第二章简要介绍了计算机网络攻击的特点。第三章则主要从自然灾害、网络软件漏洞、黑客攻击、计算机病毒、垃圾邮件和间谍软件、计算机犯罪等这些方面来说明计算机网络安全面临的威胁。第四章主要写到计算机网络安全防范策略，介绍了防护墙技术、数据加密技术、系统容灾技术、入侵检测技术、漏洞扫描技术等几种常用的网络安全技术。第五章总结了在网络安全问题上存在的不足，在以后的发展道路上不断的发展完善。关键词：网络，安全，防范,.,4,计算机网络发展前景,计算机网络就是计算机之间通过连接介质(如网络线、光纤等)互联起来，按照网络协议进行数据通信，实现资源共享的一种组织形式。计算机网络是二十世纪60年代起源于美国，原本用于军事通讯，后逐渐进入民用，经过短短40年不断的发展和完善，现已广泛应用于各个领域，并正以高速向前迈进。在不久的将来，我们将看到一个充满虚拟性的新时代。在这个虚拟时代，人们的工作和生活方式都会极大地改变，那时我们将进行虚拟旅行，读虚拟大学，在虚拟办公室里工作，进行虚拟的驾车测试等。对计算机网络发展的前景，我有如下看法：1、全球因特网装置之间的通信量将超过人与人之间的通信量。2、带宽的成本将变得非常低廉，甚至可以忽略不计。3、在不久的未来，无线网络将更加普及，其中cnet:短距无线网络前景看俏。4、计算机网络飞速发展的同时，安全问题不容忽视。,.,5,本章小结,计算机网络经过40多年不断发展和完善，现在正以高速的发展方向迈进。全球的因特网装置之间的通信量将超过人与人之间的通信量，因特网将从一个单纯的大型数据中心发展成为一个高智商网络，将成为人与信息之间的高层调节者。带宽的成本将会变得非常低，甚至忽略不计。在不久的将来，无线网络将更加普及，尤其短距无线网络的前景更大。在计算机网络飞速发展的同时，网络安全问题也更加突出，因此各国正不断致力于开发和设计新的加密算法加密机制，加强安全技术的应用也是网络发展的一个重要内容。总之，计算机网络在今后的发展中范围更广、潜力更大，将会融入到社会各个领域。,.,6,计算机网络的攻击特点,损失巨大威胁社会和国家安全手段多样与手法隐蔽以软件攻击为主,.,7,2.1损失巨大,由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。,.,8,2.2威胁社会和国家安全,一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。,返回本章首页,.,9,2.3手段多样与手法隐蔽,计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。,返回本章首页,.,10,2.4以软件攻击为主,几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。,返回本章首页,.,11,第3章计算机网络安全面临的威胁,3.1自然灾害3.2网络软件漏洞3.3黑客的威胁和攻击3.4计算机病毒3.5垃圾邮件和间谍软件3.6计算机犯罪,返回目录,.,12,3.1自然灾害,计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。,返回本章首页,.,13,3.2网络软件漏洞,网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。,返回本章首页,.,14,3.3黑客的威胁和攻击,这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、www的欺骗技术和寻找系统漏洞等。,返回本章首页,.,15,3.4计算机病毒,20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。,返回本章首页,.,16,3.6计算机犯罪,计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息。,返回本章首页,.,17,第4章计算机网络安全防范策略,4.1防火墙技术4.1.1防火墙的主要功能4.1.2防火墙的主要优点4.1.3防火墙的主要缺陷4.1.4防火墙的分类4.1.5防火墙的部署4.2数据加密技术4.3系统容灾技术,返回目录,.,18,4.4入侵检测技术4.4.1入侵检测系统的分类4.4.2目前入侵检测系统的缺陷4.4.3防火墙与入侵检测系统的相互联动4.4.4结语4.5漏洞扫描技术4.6物理安全4.7本章小结,返回目录,.,19,4.1防火墙技术,网络安全所说的防火墙(FireWall)是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。,返回本章首页,.,20,4.1.1防火墙的主要功能,防火墙的主要功能包括：1、防火墙可以对流经它的网络通信进行扫描，从而过滤掉一些攻击，以免其在目标计算机上被执行。2、防火墙可以关闭不使用的端口，而且它还能禁止特定端口的输出信息。3、防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明入侵者的所有通信，过滤掉不安全的服务和控制非法用户对网络的访问。4、防火墙可以控制网络内部人员对Internet上特殊站点的访问。5、防火墙提供了监视Internet安全和预警的方便端点。,返回本章首页,.,21,4.1.3防火墙的主要缺陷,由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火墙的主要缺陷有：1、防火墙对绕过它的攻击行为无能为力。2、防火墙无法防范病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只能安装反病毒软件。3、防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。,返回本章首页,.,22,4.1.2防火墙的主要优点,防火墙的主要优点包括:1、可作为网络安全策略的焦点防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地加强了网络安全，并简化了网络管理。2、可以有效记录网络活动由于防火墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使用和预警功能。3、为解决IP地址危机提供了可行方案由于Internet的日益发展及IP地址空间有限，使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。,返回本章首页,.,23,4.1.4防火墙的分类,防火墙的实现从层次上大体可分为三类：包过滤防火墙，代理防火墙和复合型防火墙。1、包过滤防火墙包过滤防火墙是在IP层实现，它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址，目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。2、代理防火墙代理防火墙也叫应用层网关防火墙，包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用代理防火墙是更好的选择。3、复合型防火墙复合型防火墙是将数据包过滤和代理服务结合在一起使用，从而实现了网络安全性、性能和透明度的优势互补。,返回本章首页,.,24,4.1.5防火墙的部署,防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查，防护功能。1、防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。2、如果内部网络规模较大，并且设置虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙。3、通过公网连接的总部与各分支机构之间应该设置防火墙。4、主干交换机至服务器区域工作组交换机的骨干链路上。5、远程拨号服务器与骨干交换机或路由器之间。总之，在网络拓扑上，防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应安装防火墙。,返回本章首页,.,25,4.2数据加密技术,数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用，密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。,返回本章首页,.,26,4.3系统容灾技术,一个完整的网络安全体系，只有防范和检测措施是不够的，还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失，一旦发生漏防漏检事件，其后果将是灾难性的。此外，天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障，不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器，在两者之间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用，异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连，构成完整的数据容灾系统，也能提供数据库容灾功能。,返回本章首页,.,27,4.4入侵检测技术,入侵检测技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。典型的IDS系统模型包括4个功能部件：1、事件产生器，提供事件记录流的信息源。2、事件分析器，这是发现入侵迹象的分析引擎。3、响应单元，这是基于分析引擎的分析结果产生反应的响应部件。4、事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。,返回本章首页,.,28,4.4.1入侵检测系统的分类,入侵检测系统根据数据来源不同，可分为基于网络的入侵检测系统和基于主机的入侵检测系统。网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式，监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说，网络型入侵检测系统担负着保护整个网络的任务。主机型入侵检测系统是以系统日志、应用程序日志等作为数据源，当然也可以通过其它手段（如检测系统调用）从所有的主机上收集信息进行分析。入侵检测系统根据检测的方法不同可分为两大类：异常和误用。异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。,返回本章首页,.,29,4.4.2目前入侵检测系统的缺陷,入侵检测系统作为网络安全防护的重要手段，目前的IDS还存在很多问题，有待于我们进一步完善。1、高误报率误报率主要存在于两个方面：一方面是指正常请求误认为入侵行为；另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。2、缺乏主动防御功能入侵检测技术作为一种被动且功能有限的安全防御技术，缺乏主动防御功能。因此，需要在一代IDS产品中加入主动防御功能，才能变被动为主动。,返回本章首页,.,30,4.4.3防火墙与入侵检测系统的相互联动,防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理，如无通告拒绝、ICMP拒绝、转发通过（可转发至任何端口）、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。当我们实现防火墙与入侵检测系统的相互联动后，IDS就不必为它所连接的链路转发业务流量。因此，IDS可以将大部分的系统资源用于对采集报文的分析，而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作，如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复（实时监控功能）等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。综上所述，防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点，淡化各自的缺陷，使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中，动态技术与静态技术的联动将有很大的发展市场和空间。,返回本章首页,.,31,4.4.4结语,网络安全是一个很大的系统工程，除了防火墙和入侵检测系统之外，还包括反病毒技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息，除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本（或是可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。,返回本章首页,.,32,4.5漏洞扫描技术,漏洞扫描是自动检测远端或本地主机安全的技术，它查询TCP/IP各种服务的端口，并记录目标主机的响应，收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者利用可得到的攻击方法，并把它们集成到整个扫描中，扫描后以统计的格式输出，便于参考和分析。,返回本章首页,.,33,4.6物理安全,为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。为保证网络的正常运行，在物理安全方面应采取如下措施:1、产品保障方面:主要指产品采购、运输、安装等方面的安全措施。2、运行安全方面:网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。3、防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。4、保安方面:主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程，各种新技术将会不断出现和应用。网络安全孕育着无限的机遇和挑战，作为一个热门的研究领域和其拥有的重要战略意义，相信未来网络安全技术将会取得更加长足的发展。,返回本章首页,.,34,4.7本章小结,本章主要介绍了常用的几种网络安全防范技术，有防火墙技术，数据加密技术，系统容灾，入侵检测技术，漏洞扫描技术，物理安全。防火墙是指内部网和外部网之间的安全防范系统，防火墙这一节主要讲述了防火墙的分类，主要功能和优缺点以及防火墙的部署，数据加密技术是信息重新编码从而隐藏信息内容使非法用户无法获取信息的真实的一种技术手段，是为了提供信息系统及数据的安全性和保密性，防止外部获析采用的手段之一。系统容灾技术是可以使系统和数据快速恢复的技术。入侵检测技术是从各种各样的系统和网络资源中采集信息并对这些信息进行分析和判断。入侵检测技术可以即使发现攻击和异常行为并进行阻断记录报警等响应，从而使攻击行为带来的破坏影响降到最低，为了减少或干扰扩散出去的空间信号，通常是在物理上采取一定的防护措施保证网络的正常运行。,返回本章首页,.,35,第5章结束语与展望,5.1论文总结5.2工作展望,返回目录,.,36,5.1论文总结,随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。影响计算机网络安全的主要因素：1、网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑，因而使其受到影响。2、网络硬件的配置不协调。3、缺乏安全策略。4、访问控制配置的复杂性，容易导致配置错误，从而给他人以可乘之机。5、管理制度不健全，网络管理、维护任其自然。,返回本章首页,.,37,5.2工作展望,对网络安全本质的认识却还处于一个相当原始的阶段，其表现形