计算机网络安全隐患和防范对策

毕业论文浅谈计算机网络安全隐患及对策摘要随着我国计算机网络的不断普及，针对和利用计算机网络的犯罪数量逐年增加，给国家、企业和个人造成严重的经济损失和危害。因此，本文在深入分析计算机网络安全隐患的基础上，提出计算机网络安全防范的基本策略，以保护计算机网络安全和合法用户的权益。关键词：计算机网络；安全风险；预防浅谈计算机网络安全隐患及对策计算机网络在我国迅速普及，网络已经渗透到国民经济的各个领域，渗透到我们工作和生活的方方面面。短短几年内，发生了多起侵害和利用计算机网络犯罪案件，给国家、企业和个人造成严重的经济损失和危害。尤其是金融业等具有行业特征的犯罪，更是令人担忧。因此，探讨计算机网络安全的隐患和防范策略是非常有必要的。一、计算机网络安全隐患分析

(1)恶意攻击

恶意攻击分为主动攻击和被动攻击。这是人为的蓄意破坏，是对计算机网络的最大威胁之一。其中，主动攻击的主要目的是破坏对方的网络和信息，通常采用修改、删除、伪造、欺骗、病毒、逻辑炸弹等手段。一旦成功，就可以破坏对方的正常运行。对方的网络系统，甚至导致整个系统出现故障。麻痹。被动攻击旨在获取对方的信息，通常是在对方不知情的情况下窃取对方的信息，如商业秘密、工程计划、投标、个人资料等，但不会破坏系统的正常运行。无论是主动攻击还是被动攻击，都可能对计算机网络造成极大的危害，导致部分数据泄露，从而造成无法弥补的损失。因此，必须采取一些必要的预防措施。

（2）软件漏洞和后门

软件漏洞有两种：一种是故意制造的漏洞，是系统设计者为将来控制系统或窃取信息而故意设计的；另一种是无意制造的漏洞，是系统设计者由于疏忽或其他技术原因留下的漏洞。这些漏洞的存在给网络带来了一定的安全隐患。例如：为了给系统开发者提供方便的进入，以免设置操作系统的进入密码，开发者的通道也变成了“黑客”的通道；操作系统运行时，一些系统进程总是在等待一些条件的出现，一旦有条件满足要求，程序就会继续运行，可以被“黑客”利用。另外，一些程序员为了自己的方便设置的软件后门一般不为外人所知，但一旦泄露或被他人发现，极有可能造成极大的危害和损失。

（三）计算机病毒

目前数据安全的头号敌人是计算机病毒，它是一种经过特殊编译的计算机程序，可以通过磁盘、光盘、计算机网络等多种渠道进行复制和传播。自1980年代首次发现计算机病毒以来，全世界已发现数以万计的计算机病毒，而且还在高速增长。随着互联网的飞速发展，计算机病毒的传播速度大大加快，危害也越来越大，感染范围越来越广，对各国信息系统造成严重危害。给世界带来了一场又一场的灾难。据美国著名的MISManages和DataQuest市场公司的调查显示，美国约有63%的微型计算机受到病毒攻击，其中9%的病毒病例造成了超过10万美元的损失。

二、计算机网络安全策略

（一）网络防火墙技术

网络防火墙技术是一种特殊的网络互联设备，用于加强网络之间的访问控制，防止外网用户通过外网非法途径进入本部门网络，访问本部门网络资源，保护本部门网络运行。环境。.它根据一定的安全策略检查两个或多个网络之间传输的数据包，以确定网络之间的通信是否被内容，并监控网络运行状态。防火墙系统由两个基本组件组成，包过滤路由器和应用程序网关。一道屏障，防火墙是人们最早关注的网络安全产品之一。虽然防火墙处于网络安全的最底层，负责网络之间的安全认证和传输，但随着网络安全技术的全面发展和网络应用的不断变化，现代防火墙技术逐渐向网络层以外的其他安全级别迈进。，不仅可以完成传统防火墙的过滤任务，还可以为各种网络应用提供相应的安全服务。此外，各种防火墙产品正朝着数据安全和用户认证、防止病毒和黑客的方向发展。

(2)数据加密技术数据加密技术是最基本的网络安全技术，被誉为信息安全的核心。最初主要用于保证数据在存储和传输过程中的完整性。它通过变换、替换等多种方法将受保护的信息替换为密文，然后存储或传输信息。即使加密信息在存储或传输过程中被未经授权的人获取，也可以保证信息不被认知，从而达到保护信息的目的。根据密钥类型的不同，现代密码学可以分为两类：对称加密算法（私钥密码系统）和非对称加密算法（公钥密码系统）。

(3)网络安全管理措施

网络安全管理策略包括：确定安全管理级别和安全管理范围；明确相关网络运行使用程序和人员出入管理制度；制定网络系统维护制度和应急措施等。

（四）提高网络人员素质，强化网络安全责任

提高网络人员管理素质也是一项重要任务。员工要结合网络系统的硬件、软件、数据等方面开展安全教育，提高员工的责任心，加强业务技术培训，提高操作技能，注意网络系统的安全管理，并防止人为事故的发生。我国网络研究起步较晚，网络安全技术仍有待完善和发展。此外，为确保网络安全运行，必须建立严格的管理制度，制定完善的管理措施，提高人们的网络安全意识，完善法律法规，依法惩处计算机犯罪。

(5)访问和控制

授权控制不同用户对信息资源的访问权限，即哪些用户可以访问哪些资源以及可访问用户的权限。网络访问和控制的技术处理是维护系统运行安全和保护系统资源的重要技术，也是应对黑客的关键手段。

参考：

[1]尹伟.计算机安全与病毒预防[M].：科学技术，2004

[2]艾敏。计算机安全与[M].：电子工业，2002

[3]徐超汉．计算机网络安全与数据完整性技术[M].：电子工业，20053、网络系统设计（如下图）图12.1公司网络地址规划（如下表所示）设备界面IP地址R4F0/0/30S3/0/29F0/1/24SW1F0/22/30VLAN10VLAN10/24VLAN20VLAN20/24VLAN30VLAN30/24VLAN40VLAN40/24服务器网卡接口/24备份服务器网卡接口/24广域网规划如下：R1S3/0/29F0/0/30R2F0/0/30F0//30R3F0/0/30F0/1202.200.20..1/24外网用户网卡接口202.200.20..2/24表格1四、网络系统集成实施的详细步骤4.1测试设备4.2本项目主要建设内容一、公司布线系统建设2、公司局域网建设3、公司与广域网的互联互通4、公司服务器搭建5、广域网建设6、硬件防火墙的建设7、软件防火墙和防木马软件的安装8.补丁自动更新软件安装4.3项目建设详细步骤4.3.1、局域网建设。(1)SW1和SW2之间的聚合端口为什么要做端口聚合？因为当两台交换机之间存在多条冗余链路时，STP会关闭其中的几条链路，只保留一条，这样可以避免二层环路的发生。但是，路径冗余的优势就丧失了，因为STP的链路切换会很慢，大约50s左右。在使用EtherChannel时，交换机会将一组物理端口组合为一个逻辑通道，即channel-group，这样交换机就会将此逻辑通道视为一个端口。这样做的好处：带宽增加，带宽等于组成组的端口带宽之和。增加冗余，只要不是该组的所有端口都关闭，两台交换机之间的通信仍然可以继续。负载均衡，可以在组的端口上配置，使流量可以自动负载平衡。端口聚合它可以将多个物理连接作为单个逻辑连接处理，它内容两个交换机通过多个端口并行连接同时传输数据，以提供更高的带宽、更大的吞吐量和弹性技术。一般来说，两台普通交换机的连接最大带宽取决于介质的连接速度（100BAST-TX双绞线为200M），利用Trunk技术，可以将4个200M端口捆绑成一个最大800M的连接。该技术的优点是可以通过捆绑多个端口以较低的成本增加带宽，增加的开销仅是用于连接的普通五类网线和多占用端口。可以有效提高子网的上行速度，从而消除网络访问中的瓶颈。此外，Trunk还具有自动带宽均衡，即容错功能：即使Trunk只有一个连接，它仍然可以工作，无形中增加了系统的可靠性。(2)网络运行RIPv2路由协议；RIPv2是一种无类别路由协议RIPv2支持路由标记，可以根据路由策略中的路由标记灵活控制路由。报文携带掩码信息，支持路由聚合和CIDR（ClasslessInter-DomainRouting）。支持指定下一跳，可以在广播网络上选择最优的下一跳地址。支持组播路由致更新包，减少资源消耗。支持协议报文校验，提供明文校验和MD5校验两种方式，增强安全性。[注意]RIP-2有两种报文传输方式：广播方式和组播方式。缺省情况下，使用组播方式致报文，使用的组播地址为。当接口运行RIP-2广播模式时，也可以接收RIP-1报文。(3)财务部pc只能访问部门pc和公司服务器财务部作为整个公司最重要的部门，为了更新这个部门的信息，必须在公司的部门和服务器上都有一些信息。（4）市场部无法访问财务部主机因为财务部是控制整个公司资金的部门，其他部门是不能访问财务部的，所以我们在SW2交换机上做了ACL，禁止市场部访问财务部。4.3.2、公司与广域网互联建设（1）网络可以访问外网有时公司员工需要上网查看一些有用的信息，或者在线玩一些休闲游戏；或下载公司内wsus的最新补丁、杀毒软件等升级。(2)无线网络公司员工外出工作或学习时，公司需要配备一些无线网络供这些人使用，以便他们可以实时下载、上传和查看公司内的信息，从而确保他们的计算机可以跟上公司的信息。同步。1、配置无线AP的SSID为vlan40（如下图）图12、配置DHCP功能，地址范围为（0—00）3、使用WEP加密，加密密码为：123456（如下图）图24、客户端动态获取IP地址（如下图）图34.3.3、公司服务器搭建对于公司来说，需要得到外网用户的认可。为此，我们在公司内设立了网页，供用户在外网浏览。同时，也限制了本网页以外的外网用户对本公司的资源。禁止一切访问，这主要是为了防止一些非法用户盗用公司。(1)服务器采用windowsserver2003搭建(2)配置DNS服务器，域名和IP地址如下（如下表所示）域名IP地址.kegan。5/24tcp__524表格1(3)配置www服务器：配置一个site.kegan。（如下图所示）图1图2(4)FTP服务器搭建：配置一个ftp服务器，域名为HYPERLINKtcp，并创建相应的用户，以便用户可以管理自己文件中的文件（如下图）图3图4图5图6图74.3.4、广域网的实现。(1)广域网路由协议配置链路是路由器接口的另一种说法，所以OSPF也被称为接口状态路由协议。OSPF通过通告路由器之间网络接口的状态来建立链路状态数据库，并生成最短路径树。每个OSPF路由器都使用这些最短路径来构建路由表。开放最短路径协议（OSPF）协议不仅可以计算两个网络节点之间的最短路径，还可以计算通信成本。可以根据网络用户的要求来平衡成本和性能，选择合适的路由。一个自治系统可以划分为若干个区域，每个区域根据自己的拓扑计算最短路径，减少了OSPF路由实现的工作量；OSPF是一种动态自适应协议，可以快速响应网络拓扑的变化。做出相应的反应和调整，以提供较短的收敛期，以尽快稳定路由表。每个路由器都维护着一个相同且完整的全网链路状态数据库。这个数据库非常大。路由器在搜索路由时，以自己为根，构造最短路径树，然后根据最短路径构造路由表。路由器之间相互交换，保存全网的链路信息，从而掌握全网的拓扑结构，独立计算路由。(2)WANOSPF区域md5认证这样做的目的是MD5将任意长度的“字节串”转化为128位的大整数，是一种不可逆的字符串变换算法，也就是说，即使你看到源程序和算法说明，它不可能将MD5值转换回原始字符串。从数学上讲，是因为原字符串有无穷多个，有点像没有反函数的数学函数。MD5的一个典型应用是为一条消息（字节串）生成指纹（fingerprint），防止“篡改”。比如你在一个叫readme.txt的文件里写了一段，给这个readme.txt生成一个MD5值并记录下来，然后你可以把这个文件传给别人，如果别人修改了文件中的文件。任何内容，当你重新计算这个文件的MD5时你会发现（两个MD5值不一样）。如果有其他第三方认证机构，使用MD5也可以防止文档作者的“抵赖”，也就是所谓的数字签名应用。4.3.5，补丁自动更新。为了有效提高个人电脑的免疫力，防止病毒在网络上传播，企业部门安装了WSUS微软补丁服务器。安装在局域网上的WSUS就像是微软升级WindowsUpdate的副本。无需连接外网，只要在用户电脑上执行一个简单的客户端，就可以为Windows2000/XP、WindowsServer2003和时间提供重要的补丁更新服务。设置后，您可以接受WSUS服务器的管理，自动更新系统和应用软件补丁，修复漏洞，避免用户疏忽打补丁导致病毒感染，保护计算机安全。软件要求：要使用默认选项安装WSUS，必须在您的计算机上安装以下软件。MicrosoftInternet信息服务(IIS)6.0。适用于WindowsServer2003的Microsoft.NETFramework1.1ServicePack1。后台智能传输服务(BITS)2.0。磁盘要求：系统分区和安装WSUS的分区都必须使用NTFS文件系统进行格式化。系统分区至少需要1GB的可用空间。WSUS用于存储的卷需要至少6GB的可用空间，建议保留30GB。WSUS安装程序用于安装WindowsSQLServer2000桌面引擎(WMSDE)的卷需要至少2GB的可用空间。WSUS安装配置（如下图）图1图2自动更新要求自动更新是WSUS的客户端组件。除了需要连接到网络之外，自动更新没有其他硬件要求。您可以在运行以下任何操作系统的计算机上使用WSUS自动更新：带有ServicePack3(SP3)或ServicePack4(SP4)的MicrosoftWindows2000Professional、带有SP3或SP4的Windows2000Server或带有SP3或SP4的Windows2000AdvancedServer。带有或不带有ServicePack1或ServicePack2的MicrosoftWindowsXPProfessional。MicrosoftWindowsServer2003StandardEdition、WindowsServer2003EnterpriseEdition、WindowsServer2003DatacenterEdition或WindowsServer2003WebEdition。4.3.6、使用防火墙软件和反木马软件。调查发现，80%的网络攻击和蠕虫攻击来自局域网。由于大部分病毒和木马都具有自主复制的特点，因此中毒的电脑往往会影响到局域网内的其他用户，并且有很多反弹木马，可以主动连接客户端，发布有害信息。经过长期的应用实践，我们发现单机防火墙软件与防木马软件相结合，可以有效保护台式电脑的安全。4.3.7、使用硬件防火墙。防火墙的主要功能是保护部门的网络和服务器免受外部攻击。一般来说，企业局域网需要在其核心互联网连接处安装防火墙，以控制外界对局域网的访问。而在局域网部门，一些比较重要的块最好与局域网中的常用应用程序隔离，以保证其数据的安全。整个企业分为外网区、网络区、服务器区（一共设置了四道硬件防火墙，防火墙软件形成双层防护）外联网区过滤对公司有害的信息条目（服务器和网络的第一层保护）服务器区保护公司服务器免受攻击（第二层服务器保护）网络区域公司财务部主机包含公司内资金信息，所以在sw2之间设置了硬件防火墙（财务部第二层保护）因为管理室的主机经常记录很多公司的，除了安装软件防火墙外，还必须安装硬件防火墙（管理室的第二层保护）（1）由于企业可以访问外网，所以在R4和外网路由之间