计算机信息管理专业毕业论文范文预览

1、编号：_ 河南广播电视大学 商丘学院 毕业论文（设计） 题目：网络伦理问题与对策研究 院 别 ：信息与电子工程学院 专 业 ：计算机信息管理 姓 名 ：李 玲 侠 成 绩 ： 指导教师 ：董 君 2014 年 4 月 目 录 第一章 引 言.1 1.1 概论 .1 1.2 网络伦理道德问题的形成根源 .2 1.4 网络安全技术的研究目的意义和背景 .4 第二章 网络安全初步分析.5 2.1 网络面临的安全威胁 .5 2.2 网络安全常见问题 .6 2.3 网络安全的必要 .8 2.4 网络的安全管理 .8 2.4.1 安全管理原则 .8 2.4.2 安全管理的实现 .9 2.5 采用先进的技术

2、和产品 .9 2.6 常用的网络攻击及防范对策 .12 2.6.1 特洛伊木马 .12 2.6.2 邮件炸弹 .13 2.6.3 过载攻击 .13 2.6.4 淹没攻击 .14 第三章 网络拓扑结构的安全设计.14 3.1 网络拓扑结构分析 .14 3.2 网络攻击浅析 .16 第四章 防火墙技术.17 4.1 防火墙的定义和由来 .17 4.2 防火墙的选择 .18 4.3 防密技术 .20 4.3.1 对称加密技术 .20 4.3.2 非对称加密/公开密钥加密 .20 4.3.3 rsa 算法.20 4.4 注册与认证管理 .21 第五章 解决网络伦理道德问题的有效途径.22 5.1 在技

3、术方面 .22 5.1.1 设置网络警察.22 5.1.2 软件自身的安全.22 5.1.3 编制破解恶意程序的软件.22 5.2 在法律方面 .23 5.3 在教育方面 .23 5.4 在网络管理方面 .24 5.5 在自律方面 .24 结 论.25 参考文献.26 摘 要 网络时代的到来，创造了一个新的便捷生活方式，人们在信息化、数字化 的世界中体验自我，沟通世界。但不可避免的随着网络的发展，在提供信息资 源共享、信息便捷的同时，也带来了网络伦理或网络的问题。因此，我们迫切 需要建立良性的网络伦理道德规范，网络伦理的构建离不开伦理道德的引导。 网络时代的到来，不仅使网络成为生产、社会和社会

4、服务的主要手段、广 泛的运用在、 、娱乐等社会活动中，并逐步成为日常生活中重要的沟通方式，也 使得人们的生活方式和思维方式发生了变革。网络为人类创造了一个虚拟的空 间和新的生存方式，使人类可以在信息化、数字化的世界中自由的交流信息， 沟通世界。网络主要特征是信息的传递快捷、获取方便、其内容丰富、交往全 球性，并因此为人们广泛运用。网络时代改变了社会各阶层群体的活动空间和 生存生活方式，也改变了建立在生活和生存方式基础上的伦理道德观念. 网络在为人类生活提供信息资源共享、便捷的同时，也使当今现实的价值 观念和道德观念受到了新挑战。因此，如何适应网络虚拟社会的需要，建立与 之相适应的道德准则，就成

5、为网络时代给我们提出的新课题。 网络伦理道德，是以现实社会道德规范为基础，是对社会道德规范的延伸 与拓展，是人们在进行网络活动时要遵循必要的道德规范。它是针对网上行为 的特殊性，针对网络虚拟空间生活自身的特点的基础上建立起来的一种新的伦 理道德规范，并且借鉴传统现实社会道德成果与经验，建立起适应网络伦理关 系要求的新的伦理观。 【关键词：关键词：】网络伦理挑战伦理原则伦理建设 第一章 引 言 1.1 概论 21 世纪全世界的计算机都将通过 internet 联到一起，信息安全的内涵也就发生了根 本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领 域变成了无处不在。当人

6、类步入 21 世纪这一信息社会、网络社会的时候，我国将建立起 一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全 体系。 一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平 台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决 网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整 体提高。 网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化， 如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地 变化；第三，随着网络在社会各个方面的延伸，进入网络的手段也越

7、来越多，因此，网 络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国 家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不 断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的 规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的 发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障 系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非 常重要的作用。 1.2 网络伦理道德问题的形成

8、根源 网络技术在给人类带来便利的同时，也给人们带来了很多的伦理伤害。但我们不能 因此而逃避，不能因网络伦理道德问题的出现而远离和拒绝网络文化，而应该积极探究 其产生的根源，以及有效的解决办法。网络伦理道德问题的形成根源主要有以下几方面： 1网络自身特点弱化了传统伦理道德的约束力。互联网络上无中心、无限制、无最 终的管理者，人们在网络空间中较之现实空间思想和行为享有更大的自由：自由地进出 网络；自由地选择信息；自由地发布信息。于是道德的无政府主义在这里就找到了市场， 此外，网络世界的虚拟性质也造成了传统伦理约束力的弱化。 2网络空间的道德冲突容易使网民陷入道德相对主义。在互联网络这个全球信息高

9、速公路上，各个国家、各个民族、各个地区的交往频繁，在政治、经济、文化、环境、 价值观念和道德意识上发生了相互的交流、碰撞，由于地域性、民族性及意识形态的差 异和对立，对同一伦理道德行为会有各种不同的甚至是完全相反的评判和选择标准。 3. 网络法律和道德建设的相对滞后使网络伦理道德问题的出现有了可乘之机。网络 对于我国来说是一个新兴的东西，对于世界来说，也是时间不长。迄今为止，因特网上 尚无全球统一的网络规范，有的只是一些地区性、行业性法规。在我国网络管理方面的 法律，伦理道德，社会制约等方面法规的研究都存在滞后现象，这就使网民在网络空间 上陷入到无法可依、无规范可循的茫然不知所措的状态。另一方

10、面，现实社会中，转型 时期所存在的一系列伦理道德的滑坡现象，甚至党政干部中的腐败堕落现象，使网路伦 理道德问题的存在有了现实的根据。 4网民自我宣泄和自我表现的心理要求促使了网络伦理道德问题的形成。现代社会 是一个生活和工作节奏快速紧张的社会，现实社会的竞争和压力，使人们产生强烈的压 抑感。长期处于这样一种紧张状态和压抑状态下的人们，需要寻找一个宣泄自我、释放 自我的机会和空间，而网络空间正满足了他们的需求。 1.3 网络伦理道德问题的表现形式 网络伦理道德是人们通过电子信息网络进行社会交往时而表现出来的道德关系。它 主要探讨人与网络之间的关系，以及在网络社会(虚拟社会)中人与人之间的关系。电

11、子 信息网络实现的是人类信息交流方式的全球化和全面化，由于信息交流本身对人类存在 的本质意义和网络对社会生活各方面的重要和影响，使得它成为从具有技术创新意义扩 展到具有全面社会意义的新事物。信息的全球化既给人们带来了很大的便利性，同时也 给社会带来了许多的伦理道德问题。其具体表现在以下几个方面 1发布或传播虚假信息，这既包括虚假承诺，也包括在网站上的以讹传讹。 2剽窃他人的劳动成果，这包括营销企业在网站或电子刊物上未经允许便采用他人制作 的网页背景图案，图片，外观设计，程序代码，转载其他媒体(包括书籍)上的信息资料 等。 3违背他人意愿强行发布商业信息。这类行为最典型的事例是发布垃圾邮件(sp

12、am)，主 要包括不请自来的商业邮件(uce)和不请自来的群发邮件(ube)滋扰邮件接收者。 4不分对象地发布或传播受限制的信息。涉及暴利、色情、迷信和违反通常道德法则的 信息，一旦被缺乏鉴别能力的未成年人阅读，会对他们的身心造成损害，也要避免未成 年人涉足富有赌博性质的网络游戏。 5为了商业目的无节制地占用免费或廉价的网络资源。互联网上有许多免费资源供公众 利用，例如共享软件交流区，bbs 讨论区，新闻组以及免费登录的搜索引擎等，但大部分 营销企业却滥用这些免费资源。 6滥用跟踪和信息记录技术。现在网站广泛采用的客户跟踪和信息记录技术(如 cookies)使 访问者的隐私受到了威胁。 7出卖

13、、转让或泄漏网民个人资料，这些资料可能包括网民的通讯地址、电子信箱地址、 电话号码等私人信息。 8单方面随意或频繁变更承诺过的交易条件，利用用户的转移成本盘剥用户。例如，将 原本免费提供给用户的电子信箱更改为收费信箱，更改信箱容量的大小，改变交货时间 或者忽然让用户承担货物的运输费用等。 9通过恶意编码违背他人意愿在他人的计算机上安装程序或篡改他人计算机上的设置， 这包括有意或无意地向网民传播计算机病毒，也包括强行更改用户浏览器的起始页面浏 览器图标栏上公司信息。 10侵犯知识产权。这主要包括著作权和专利权。主要表现为 3 种形式：(1)网络主体对 网络外社会中知识产权的侵犯；(2)网络主体对

14、网络主体知识产权的侵犯；(3)社会对网 络主体知识产权的侵犯。 11网上恋情、网上交友在年轻网民中十分流行和时髦。可是在其网络交往中搀杂了很 多欺骗和隐瞒事实的行为，在其心理上造成了一定程度的伤害，甚至也给他们的学习和 家庭造成了很大的负面影响。 12利用网络的虚拟性和网络主体的难以确定性进行商业犯罪、商业欺诈，给许多网民 带来了财产的损失和精神上的伤害。例如，有人在网络上利用计算机技术盗用他人的银 行卡信息，盗取他人财物，进行网络犯罪。 1.4 网络安全技术的研究目的意义和背景 目前计算机网络面临着很大的威胁，其构成的因素是多方面的。这种威胁将不断给 社会带来了巨大的损失。网络安全已被信息社

15、会的各个领域所重视。随着计算机网络的 不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命 性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、 互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击，所以网上 信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、c3i 系统、银行 和政府等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因 此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安 全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威 胁和网络

16、的脆弱性。故此，网络的安全措施应是能全方位地针对各种不同的威胁和网络 的脆弱性，这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与 畅通，研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网 络安全的管理及其技术措施。 认真分析网络面临的威胁，我认为计算机网络系统的安全防范工作是一个极为复杂 的系统工程，是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情 况下，首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识， 自觉执行各项安全制度，在此基础上，再采用先进的技术和产品，构造全方位的防御机 制，使系统在理想的状态下运行。 第二章

17、 网络安全初步分析 2.1 网络面临的安全威胁 1. 计算机网络上的通信面临的威胁主要包括： 1) 截获，攻击者从网络上窃听信息； 2) 中断, 攻击者有意中断网络上的通信； 3) 篡改，攻击者有意更改网络上的通信； 4) 伪造，攻击者使假的信息在网络上传输。 上述的四种威胁可以分为两类：即被动攻击和主动攻击。其中截获信息被称为被动 攻击，攻击者只是被动地观察和分析信息，而不干扰信息流，一般用于对网络上传输的 信息内容进行了解。中断、篡改和伪造信息被称为主动，主动攻击对信息进行各种处理， 如有选择地更改、删除或伪造等。被动攻击是不容易被检测出来的，一般可以采取加密 的方法，使得攻击伏特计能识别

18、网络中所传输的信息。对于主动攻击除了进行信息加密 以外，还应该采取鉴别等措施。攻击者主要是指黑客，除此之外还包括计算机病毒、蠕 虫、特洛伊木马及逻辑炸弹等。 2. 网络不安全的原因是多方面的，主要包括： (1) 来自外部的不安全因素，即网络上存在的攻击。在网络上，存在着很多的敏感 信息，有许多信息都是一些有关国家政府、军事、科学研究、经济以及金融方面的信息， 有些别有用心的人企图通过网络攻击的手段截获信息。 (2) 来自网络系统本身的，如网络中存在着硬盘、软件、通信、操作系统或其他方 面的缺陷与漏洞，给网络攻击者以可乘之机。这是黑客能够实施攻击的根本，也是一些 网络爱好者利用网络存在的漏洞，编

19、制攻击程序的练习场所。 (3) 网络应用安全管理方面的原因，网络管理者缺乏网络安全的警惕性，忽视网络 安全，或对网络安全技术缺乏了解，没有制定切实可行的网络策略和措施。 (4) 网络安全协议的原因。在互联网上使用的协议是 tcp/ip，其 ipv版在设计之初 没有考虑网络安全问题，从协议的根本上缺乏安全的机制，这是互联网存在的安全威胁 的主要原因。 2.2 网络安全常见问题 1.防止恶意软件 目标：保护软件和信息的完整性。 (1) 应提醒用户警觉未授权软件或恶意软件的危险； (2) 并且管理员应适当地引入特殊的控制手段检测或防范这些软件的侵袭； (3) 安装并定期更新抗病毒的检测和修复软件；

20、(4) 定期检查支持关键业务进程的系统的软件和数据内容。 2. 用户口令管理（针对管理员） 目的：防止用户口令泄露。 方法： (1) 要求用户在使用时更改初始口令； (2) 用户忘记口令时，必须在对该用户进行适当的身份识别后才能向其提供临时 口令； (3) 应避免使用明文电子邮件传送口令； (4) 应该根据情况考虑使用双因素认证。 第一个要素（所知道的内容）：需要使用使用者记忆的身份认证内容，例如密码和 身份号码等。 第二个要素（所拥有的物品）：使用者拥有拥有的特殊认证加强机制，例如动态密 码卡，ic 卡，磁卡等。 第三个要素（所具备的特征）：使用者本身拥有的唯一牲，例如指纹、瞳孔、声音 等。

21、 单独来看，这三个要素中的任何一个都有问题。 “所拥有的物品”可以被盗走；“所 知道的内容”可以被猜出、被分享，复杂的内容可能会忘记；“所具备的特征”最为强 大，但是代价昂贵且拥有者本身易受攻击，一般用在顶级安全需求中。把前两种要素结 合起来的身份认证的方法就是“双因素认证” 。 双因素认证和利用自动机提款相似：使用者必须利用提款卡（认证设备） ，再输入个 人识别号码（已知信息） ，才能提取其帐户的款项。 3. 用户口令管理（针对用户） (1) 应避免在纸上记录口令； (2) 只要有迹象表明系统或口令可能遭到破坏时，应立即更改口令； (3) 最少要有六个字符； (4) 口令必须便于记忆； (5

22、) 不应该使用别人通过个人输相关信息； (6) 不要连续使用同一字符，不要全部使用数字，也不要全部使用字母； (7) 定期更改口令； (8) 首次登录时应更改临时口令； (9) 不共享个人用户口令。 2.3 网络安全的必要 随着计算机技术的不断发展，计算机网络已经成为信息时代的重要特征，人们称它 为信息高速公路。网络是计算机技术和通信技术的产物，是应社会对信息共享和信息传 递的要求发展起来的，各国都在建设自己的信息高速公路。我国近年来计算机网络发展 的速度也很快，在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时 间里，计算机网络一定会得到极大的发展，那时将全面进入信息时代。正因为

23、网络应用 的如此广泛，又在生活中扮演很重要的角色，所以其安全性是不容忽视的。 2.4 网络的安全管理 面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保 密设施外，还必须花大力气加强网络的安全管理，因为诸多的不安全因素恰恰反映在组 织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题。 2.4.1 安全管理原则 网络信息系统的安全管理主要基 3 个原则： 多人负责原则 每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指 派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作以 得到保障。与安全有关的活动有：访问控制使

24、用证件的发放与回收；信息处理系统使用 的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改； 重要程序和数据的删除和销毁等。 任期有限原则 一般来讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是 专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休 假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。 职责分离原则 除非经系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责 以外的任何与安全有关的事情。出与对安全的考虑，下面每组内的两项信息处理工作应 当分开：计算机操作与计算机编程；机密资料的接收与传送

25、；安全管理和系统管理；应 用程序和系统程序的编制；访问证件的管理与其他工作；计算机操作与信息处理系统使 用媒介的保管等。 2.4.2 安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的 管理制度或采用相应的规范。具体工作是： 根据工作的重要程度，确定该系统的安全等级。 根据确定的安全等级，确定安全管理范围。 制订相应的机房出入管理制度，对于安全等级要求较高的系统，要实行分区控 制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系 统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。 2.5 采用先进的技术和产品 要保证计算机网络系统

26、的安全性，还要采用一些先进的技术和产品。目前主要采用 的相关技术和产品有以下几种。 1.防火墙技术 为保证网络安全，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网 络之间设置一道屏障这就称为防火墙。它是一个或一组系统，该系统可以设定哪些内部 服务可已被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以 被内部人员访问。它可监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检 查数据的格式及内容，并依照用户的规则传送或阻止数据。其主要有：应用层网关、数 据包过滤、代理服务器等几大类型。一个防火墙策略要符合四个目标，而每个目标通常 都不是通过一个单独的设备或软件来实现

27、的。大多数情况下的防火墙的组件放在一起使 用以满足公司安全目的的需要。防火墙要能确保满足以下三个目标实现一个公司的安全 策略。例如，也许你的安全策略只需对 mail 服务器的 smtp 流量作些限制，那么你要直 接在防火墙强制这些策略。 (1)创建一个阻塞点 防火墙在一个公司私有网络和公网间建立一个检查点并要求所有的流量都要通过这 个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤各检查所 进来和 出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些 检查点，网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视 和控制信息的点，系统或安全管理

28、员则要在大量的地方来进行监测。检查点的另一个名 字叫做网络边界。 (2) 记录 internet 活动 防火墙还能够强制日志记录，并且提供警报功能。通过在防火墙上实现日志服务， 安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全 的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。 (3)限制网络暴露 防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的 一些信息以增加保密性。当远程节点侦测到你的网络时，他们仅仅能看到防火墙。远程 设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密 来限制网络信息的暴露。通过对所

29、能进来的流量时行源检查，以限制从外部发动的攻击。 2.数据加密技术 与防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数据的安全性和 保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展， 网络安全与信息保密日益引起人们的关注。它是一门古老而深奥的学科，对一般人来说 是非常陌生的。长期以来，只在很小的范围内使用，如军事、外交、情报等部门。计算 机密码学是研究计算机信息加密、解密及其变换的科学，是数学和计算机的交叉学科， 也是一门新兴的学科。 随着计算机网络和计算机通讯技术的发展，计算机密码学得到前所未有的重视并迅 速普及和发展起来。在国外，它已成为计算机安全主

30、要的研究方向。 密码学的历史比较悠久，在四千年前，古埃及人就开始使用密码来保密传递消息。 目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两 方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加 密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。 3. 认证技术 认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的安全有重要作用。认证是 指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接收者的身份。认证的主要目的 有两个：第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别；第二，验证信息

31、的 完整性，保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有：消息认证、身份认 证、数字签名。 4. 计算机病毒的防范 首先要加强工作人员防病毒的意识，其次是安装好的杀毒软件。合格的防病毒软件 应该具备以下条件： 、较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有万多 种，在各种操作系统中包括 windows、 unix 和 netware 系统都有大量能够造成危害的计 算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查毒、杀 毒范围广、能力强的特点。 、完善的升级服务。与其它软件相比，防病毒软件更需要不断地更新升级，以查 杀层出不穷的计算机病毒

32、。 2.6 常用的网络攻击及防范对策 2.6.1 特洛伊木马 特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木 马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面 上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个 部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力， 在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程 序中，从而使它们受到感染。此类攻击对计算机的危害极大，通过特洛伊木马，网络攻 击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。 防止

33、在正常程序中隐藏特洛伊木马的主要是人们在生成文件时，对每一个文件进行 数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文 件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视 内部主机上的监听 tcp 服务。 2.6.2 邮件炸弹 邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发 送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间 消耗殆尽，从而阻止用户对正常邮件的接收，防碍计算机的正常工作。此种攻击经常出 现在网络黑客通过计算机网络对某一目标的报复活动中。 防止邮件炸弹的方法主要有通过配置路由

34、器，有选择地接收电子邮件，对邮件地址 进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的 smtp 连接只能 达成指定的服务器，从而免受外界邮件的侵袭。 2.6.3 过载攻击 载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处 于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方 法是进程攻击，它是通过大量地进行人为地增大 cpu 的工作量，耗费 cpu 的工作时间， 使其它的用户一直处于等待状态。防止过载攻击的方法有：限制单个用户所拥有的最大 进程数；杀死一些耗时的进程。然而，不幸的是这两种方法都存在一定的负面效应。通 过对单个用户所

35、拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求 得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网络监视工 具来发现这种攻击，通过主机列表和网络地址列表来的所在，也可以登录防火墙或路由 器来发现攻击究竟是来自于网络外部还是网络内部。另外，还可以让系统自动检查是否 过载或者重新启动系统。 2.6.4 淹没攻击 常情况下，tcp 连接建立要经历 3 次握手的过程，即客户机向主机发送 syn 请求信号； 目标主机收到请求信号后向客户机发送 syn/ack 消息；客户机收到 syn/ack 消息后再向 主机发送 rst 信号并断开连接。tcp 的这三次握手过程为人们提

36、供了攻击网络的机会。攻 击者可以使用一个不存在或当时没有被使用的主机的 ip 地址，向被攻击主机发出 syn 请 求信号，当被攻击主机收到 syn 请求信号后，它向这台不存在 ip 地址的伪装主机发出 syn/消息。由于此时主机的 ip 不存在或当时没有被使用所以无法向主机发送 rst，因此， 造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断地向被攻击的主机发 送 syn 请求，被攻击主机就会一直处于等待状态，从而无法响应其他用户的请求。 对付淹没攻击的最好方法是实时监控系统处于 syn-received 状态的连接数，当连接 数超过某一给定的数值时，实时关闭这些连接。 第三章 网络

37、拓扑结构的安全设计 3.1 网络拓扑结构分析 网络的拓扑结构首先应因地制宜，根据组网单位的实际情况按照单位的各部门安全 性要求划分，尽量使同一安全级别的上网计算机处于同一网段的安全控制域中。局域网 中的拓扑结构主要有总线型，星型，环形等，而目前大多数都采用载波侦听多路访问/冲 突检测（carrier sense multiple access with collision detection ,csma/cd）也就 是发展到现在的 ieee802.3 规范,利用这一方法建成的网络,我们称之为以太网,在以太网 的通信方式中,每一个工作站都可以读取电缆上传输的所有数据,将以太网卡(支持 ieee8

38、02.3 规范的网卡)设置为混杂模式,网卡便会将电缆上传输的所有的数据读入缓冲区,以 供系统和程序调用.但是入侵者还是可能通过割开网线,非法接入等手段来侦听网络,截获 数据,根据线路中的数据流量找到网络的信息中心,因此布线要杜绝经过不可靠的区域,以 防止非法接入,在各网段的控制器上设置网段内所有主机的介质访问控制器(mac)地址,该 地址为 6 个字节,是用来区分网络设备的唯一标志.此外,对于每一个接入网络中的计算机 都必须先登记后连线接入,网段监控程序一旦发现有陌生的 mac 地址便发出警告,网管人 员立即查找该设备,因此在局域网中应该采用以下三种组网方式来加强安全防范. 网络分段 网络分段

39、通常被认为是控制网络广播风暴的一种基本手段,实际上也是保 证网络安全的一项重要措施.其目的是将非法用户与敏感的网络资源相互隔离,从而防上 可能的非法侦听. 以交换式集线器代替共享式集线器 对局域网的中心计算机进行分段后,以太网的侦 听的危险仍然存在.这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换 机,而使用最广泛的分支集线器通常是共享式集线器.这样,当用户与主机进行数据通信时,两 台机器之间的数据包(称为单播包 nicest packet)还是会被同一台集线器上的其他用户所 侦听.因此应该以交换式集线器代替共享式集线器,使单播包公在两个节点之间传送,从而 防止非法侦听。 vlan

40、(虚拟局域网)的划分 为了克服以太网的广播问题,除上述方法外,还可以运用 vlan 技术,将以太网通信变为点到点通信,以防止大部分基于网络侦听的入侵。 基于以上拓扑结构的连接方式,用电缆和集线器连接而成的网络始终是同一网段, 在 网上传播的数据可以被所有的连接设备接收,为了防止网络的入侵嗅探,可以把网络分段, 隔离网络通信合用桥接器,交换器,路由器,应用网关都可以实现各网段的通信隔离,同时 将多个局域网进行互联,拓展网络形成广域网,还可将本地局域网与因特网连接从而成为 全球最大的广域网但对于网络拓扑结构的安全技术是加强对外界的攻击的防范和应策. 3.2 网络攻击浅析 攻击是指非授权行为。攻击的

41、范围从简单的使服务器无法提供正常的服务到安全破 坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。 在此先分析眼下比较流行的攻击 dodos 分布式拒绝服务攻击：does 是 denial of service 的简称，即拒绝服务，造成 does 的攻击行为被称为 does 攻击，其目的是使计算 机或网络无法提供正常的服务。最常见的 does 攻击有计算机网络带宽攻击和连通性攻击。 带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致 合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可 用的操作系统资源都被消耗殆尽，最终计算机

42、无法再处理合法用户的请求。而分布式拒 绝服务(ddos:distributed denial of service)攻击是借助于客户/服务器技术，将多个 计算机联合起来作为攻击平台，对一个或多个目标发动 dos 攻击，从而成倍地提高拒绝 服务攻击的威力。通常，攻击者使用一个偷窃帐号将 ddos 主控程序安装在一个计算机上， 在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在 internet 上 的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能 在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻 击 因为此攻击基于 tcp

43、/ip 协议的漏洞，要想避免除非不使用此协议，显然这是很难做 到的那我们要如何放置呢？ 1) 确保所有服务器采用最新系统，并打上安全补丁。计算机紧急响应协调中心发现，几 乎每个受到 ddos 攻击的系统都没有及时打上补丁。 2) 确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每 个主机系统在 运行什么？谁在使用主机？哪些人可以访问主机？不然，即使黑客侵 犯了系统，也很难查明。 3) 确保从服务器相应的目录或文件数据库中删除未使用的服务如 ftp 或 nfs。wu-ftpd 等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并 能访问其他系统甚至是

44、受防火墙保护的系统。 4) 确保运行在 unix 上的所有服务都有 tcp 封装程序，限制对主机的访问权限。 5) 禁止内部网通过 modem 连接至 pstn 系统。否则，黑客能通过电话线发现未受保护的 主机，即刻就能访问极为机密的数据。 6) 禁止使用网络访问程序如 telnet、ftp、rsh、rlogin 和 rcp，以基于 pki 的访问程 序如 ssh 取代。ssh 不会在网上以明文格式传送口令，而 telnet 和 rlogin 则正好相 反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，在 unix 上 应该将.rhost 和 hosts.equiv 文件删除，因

45、为不用猜口令，这些文件就会提供登录 访问！ 7) 限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马 替换它，文件传输功能无异将陷入瘫痪。 8) 确保手头有一张最新的网络拓扑图。这张图应该详细标明 tcp/ip 地址、主机、路由 器及其他网络设备，还应该包括网络边界、非军事区（dmz）及网络的内部保密部分。 9) 在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造 成的，使 dos/ddos 攻击成功率很高，所以定要认真检查特权端口和非特权端口。 10) 检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更， 几乎可以肯定：相

46、关的主机安全受到了威胁。 第四章 防火墙技术 4.1 防火墙的定义和由来 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段 通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互 联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施 检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及 电路层网关、屏蔽主机防火墙、双宿主机等类型。 虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范 通过防火墙以外的其它途径的攻击，不能防止

47、来自内部变节者和不经心的用户们带来的 威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 自从 1986 年美国 digital 公司在 internet 上安装了全球第一个商用防火墙系统， 提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功 能各不相同的防火墙产品系列。 防火墙处于 5 层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上, 企业对安全系统提出的问题是:所有的 ip 是否都能访问到企业的内部网络系统?如果答案 是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,

48、防火墙是最先受到人们重视的网络 安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证 与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐 步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种 网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、 防止病毒与黑客侵入等方向发展。 4.2 防火墙的选择 总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(tco)不应该超过受 保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统 中的所有信息及所支持应用的总价值为

49、10 万元,则该部门所配备防火墙的总成本也不应 该超过 10 万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。 如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关 键部门则应另当别论选择防火墙的标准有很多,但最重要的是以下两条:。 (1) 防火墙本身是安全的 作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。 如果像马其诺防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部, 网络系统也就没有任何安全性可言了。 通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问 题一般用户根本无

50、从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保 守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防 火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可 能在配置过程中遗留大量的安全漏洞。 (2) 可扩充性 在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小, 因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加, 网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期 购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给

51、用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的 提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙 产品的厂商来说,也扩大了产品覆盖面。 4.3 防密技术 信息交换加密技术分为两类：即对称加密和非对称加密。 4.3.1 对称加密技术 在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一 把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的 加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保 证。对称加密技术也存在一些不足，如果交换一方有 n 个交换对象，那么他就要

52、维护 n 个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信 息都是通过这把密钥加密后传送给对方的。如三重 des 是 des（数据加密标准）的一种 变形，这种方法使用两个独立的 56 为密钥对信息进行 3 次加密，从而使有效密钥长度达 到 112 位。 4.3.2 非对称加密/公开密钥加密 在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥） 。这对密钥中任 何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私 有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能 有生成密钥的交换方掌握，公开密钥可广泛公布，但

53、它只对应于生成密钥的交换方。非 对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份 认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之 上，是计算机复杂性理论发展的必然结果。最具有代表性是 rsa 公钥密码体制。 4.3.3 rsa 算法 rsa 算法是 rivest、shamir 和 adleman 于 1977 年提出的第一个完善的公钥密码体 制，其安全性是基于分解大整数的困难性。在 rsa 体制中使用了这样一个基本事实：到 目前为止，无法找到一个有效的算法来分解两大素数之积。rsa 算法的描述如下： 公开密钥：n=pq(p、q 分别为两

54、个互异的大素数，p、q 必须保密) e 与（p-1）(q-1)互素 私有密钥：d=e-1 mod(p-1)(q-1) 加密：c=me(mod n),其中 m 为明文，c 为密文。 解密：m=cd(mod n) 利用目前已经掌握的知识和理论，分解 2048bit 的大整数已经超过了 64 位计算机的 运算能力，因此在目前和预见的将来，它是足够安全的。 4.4 注册与认证管理 1) 认证机构 ca（certification authorty）就是这样一个确保信任度的权威实体，它的主要职 责是颁发证书、验证用户身份的真实性。由 ca 签发的网络用户电子身份证明证书，任 何相信该 ca 的人，按照第

55、三方信任原则，也都应当相信持有证明的该用户。ca 也要采取 一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的 ca 是至关 重要的，这不仅与密码学有关系，而且与整个 pki 系统的构架和模型有关。此外，灵活 也是 ca 能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和 其他厂家的 ca 产品兼容。 2) 注册机构 ra（registration authority）是用户和 ca 的接口，它所获得的用户标识的准确性 是 ca 颁发证书的基础。ra 不仅要支持面对面的登记，也必须支持远程登记。要确保整 个 pki 系统的安全、灵活，就必须设计和实现网络化

56、、安全的且易于操作的 ra 系统。 3) 密钥备份和恢复 为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设 计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个 pki 系统强健性、安全性、可用性的重要因素。 4) 证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相 应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会 出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各 样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期 性的发布机

57、制撤消证书或采用在线查询机制，随时查询被撤消的证书。 第五章 解决网络伦理道德问题的有效途径 遏制网络中不道德行为的方案有很多，可以从技术方面、法律方面、教育方面、网 络管理和自律方面来建立有效的解决途径。 5.1 在技术方面 加强网络技术监控和网络场所的管理。尽快研制出低成本、易普及的网络技术监控 系统，通过这种系统及时发现、制止和清除不规范、不道德的网络行为。同时还要加强 对网络场所的管理，尤其是要加强对商业性服务的网络管理。可以采取以下几方面的措 施： 5.1.1 设置网络警察 对网络犯罪行为进行及时的监控和跟踪，尽可能对正在实施的犯罪行为进行制止， 使破坏和损失降至最低。而对已成事实的

58、网络犯罪行为主体进行追捕并追究其应负的法 律责任。 5.1.2 软件自身的安全 对于进行网络安全监控的软件，其自身的安全也是很重要的方面。提高网络监控软 件的安全性能，是网络安全的基础，可以更加有效地发挥其监控职能。 5.1.3 编制破解恶意程序的软件 对于已经造成破坏和损失的网络不道德行为，通过编制的破解软件对不道德行为进 行终止，避免造成更大的损失。对已造成的损失进行最大程度的恢复。 5.2 在法律方面 法律的出台往往滞后于互联网技术的发展，法律出现真空，才会有了一系列的网络 伦理道德问题。因此，要出台相关的法律法规来约束不道德行为，完善相应的法律体系 是当务之急。网络法制建设要遵循网络立

59、法原则：继承性原则；尊重性原则；前瞻性原 则；接近性原则；有利性原则；兼顾型原则；国家性原则；国际性原则。主要的措施有： (1)建立网络行为道德标准和法律规定，规范人们的网络行为。 (2)组建网络管理组织，提高网络执法队伍的管理、执法水平。电子信息网络将在人们的 社会生活中扮演越来越重要的角色，电子空间的有序性和道德水平将直接关系到整个社 会的稳定和文明程度。因此，组建精干的网络管理组织，提高网络执法队伍的管理、执 法水平是非常必要的。 (3)加强国际合作。为维护网络安全，可建立国际性的反黑客组织，抵御和消灭电脑黑客 行动。网际网络是国际性的网络，是“电子联合国”、“电子地球村”，管理好、用好

60、 它是各国共同的责任。 (4)继续加强网络法律的研究，完善网络行业法规制度。 5.3 在教育方面 (1) 培养网民的网络道德自律意识，坚持遵守网络道德的基本原则，即无害原则、平等 原则、尊重原则、公正原则、参与原则、允许原则、创新原则、可持续发展原则、自组 织和他组织相统一的原则。 (2) 必须引导网民对各种信息采取辩证的扬弃态度。虽说网络无国界、无民族、无阶级， 但网民则是有国籍，有民族性，隶属于一定阶级和社会中的，因而他们的网络行为就不 应该是中性的、可以任意妄为的。 (3) 强化网民的网络整体观念和群体意识。尽管网民在网络终端始终是一个人，但他在 网上的行为却是一种社会行为而不是个人行为