网络安全策略-专科本科毕业论文

北方工业大学继续教育学院专科毕业论文摘要随着技术的发展，网络克服了地理上的限制，把分布在一个地区、一个国家，甚至全球的分支机构联系起来。它们使用公共的传输信道传递敏感的业务信息，通过一定的方式可以直接或间接地使用某个机构的私有网络。组织和部门的私有网络也因业务需要不可避免地与外部公众网系起来，以上因素使得网络运行环境更加复杂、分布地域更广泛、用途更多样化，从而造成网络的可控制性急剧降低，安全性变差。随着对网络依赖性的增强，一个相对较小的网络也表现出一定的安全问题，尤其是面对来自外部网络的各种安全威胁，即使是网络自身利益没有明确的安全要求，也可能由于被攻击者利用而带来不必要的法律纠纷。网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全要求已经构成了对网络安全的迫切需求。关键词：网络，安全，防护目录192221.网络安全发展历史与现状分析 3215021.1网络的开放性带来的安全问题 341061.2网络安全防护力脆弱，导致网络危机 437851.3网络安全的主要威胁因素 452012.网络安全的含义 5284453.网络安全策略 526893.1安全策略的分类 5110533.2安全策略的配置 6199844.TCSEC简介 6323574.1全等级标准模型 6274854.2.防火墙技术 640304.3防火墙的基本概念与作用 7289754.4防火墙的工作原理 7286235.“木马”的概述 879386.“木马”的防范措施 852167.结论 924276参考文献 10TOC\o"1-3"\h\u9600致谢 111.网络安全发展历史与现状分析随着计算机技术发展，在计算机上处理业务已由基于单机的数学运算、文件处理，基于简单连结网络内部业务处理、办公自动化等发展，基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时，系统连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时，基于网络连接的安全问题也日益突出。1.1网络的开放性带来的安全问题Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题，各种安全机制、策略、管理和技术被研究和应用。然而，即使使用了现有的安全工具和技术的情况下，网络安全仍然存在很大隐患，这些安全隐患主要可以包括为以下几点:(1)安全机制在特定环境下并非万无一失。比如防火墙，它虽然是一种有效的安全工具，可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内外勾结入侵行为，防火墙是很难发觉和防范的。(2)安全工具使用受人为因素影响。一个安全工具能不能实现期望的效果，很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。例如，WindowsNT在进行合理的设置后可以达到C2级安全性，但很少有人能够对WindowsNT本身的安全策略进行合理设置。虽然在这方面，可以通过静态扫描工具来检测系统是否进行了合理设置，但这些扫描工具也只是基于一种缺省系统安全策略的比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。(3)系统后门是难于考虑到的地方。防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；比如说，众所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务设计者留下的一个后门，任何人都可以使用浏览器从网络上方便调出ASP程序源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的WEB访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。(4)BUG难以防范。甚至连安全工具本身也可能存在安全漏洞。几乎每天都有新的BUG被发现和公布出来，程序设计者在修改已知的BUG同时又可能使它产生了新的BUG。系统BUG经常被黑客利用，这种攻击通常不会产生日志，几乎无据可查。比如说现在很多程序都存在内存溢出BUG，现有的安全工具对于利用这些BUG的攻击几乎无法防范。(5)黑客攻击手段不断升级。安全工具更新速度慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题反应迟钝。当安全工具刚发现并努力更正某方面的安全问题时，其他安全问题又出现了。因此，黑客总是可以使用安全工具不知道的手段进行攻击。1.2网络安全防护力脆弱，导致网络危机(1)根据WarroonResearch调查，1997年世界排名前一千的公司几乎都曾被黑客闯入。(2)据美国FBI统计，美国每年因网络安全造成的损失高达75亿美元。(3)Ernst和Young报告，由于信息安全被窃或滥用，几乎80%的大型企业遭受损失。(4)最近一次黑客大规模攻击行动中，雅虎网站网络停止运行3小时，这令它损失了几百万美金的交易。据统计美国经济共损失了十多亿美金。业界人心惶惶，亚马逊(A)、AOL、雅虎(Yahoo!)、eBay的股价均告下挫，以科技股为主的那斯达克指数(Nasdaq)打破过去连续三天创下新高的升势，下挫了六十三点，杜琼斯工业平均指数周三收市时也跌了二百五十八点。1.3网络安全的主要威胁因素(1)软件漏洞：每一个操作系统或网络软件的出现都不可能无缺陷和漏洞的。这就使我们的计算机处于危险境地，一旦连接入网，将成为众矢之的。(2)配置不当：安全配置不当造成安全漏洞，例如，防火墙软件配置不正确，它就根本不起作用。对特定网络应用程序，当它启动时，就打开了一系列安全缺口，许多与该软件捆绑一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置，否则，安全隐患始终存在。(3)安全意识不强：用户口令选择不慎，或将自己的帐号随意转借他人或与别人共享都会对网络安全带来威胁。(4)病毒：目前数据安全的头号大敌是计算机病毒，它是编制者在计算机程序中插入破坏计算机的功能或数据，影响计算机软件、硬件的正常运行，并且能够自我复制的一组计算机指令和程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此，提高对病毒的防范刻不容缓。(5)黑客：对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统，其危害性非常大。从某种意义上讲，黑客对信息安全的危害甚至比一般的电脑病毒更为严重。因特网在我国的迅速普及，我国境内信息系统的攻击事件也正在呈现快速增长的势头。据了解，从1997年底到现在，我国的政府部门、证券公司、银行、ISP,ICP等机构的计算机网络相继遭到多次攻击。因此，加强网络信息安全保障已成为当前的迫切任务。目前我国网络安全的现状和面临的威胁主要有：(1)计算机网络系统使用的软、硬件大部分是国外产品，我们对引进的信息技术和设备缺乏，保护信息安全，必不可少有效管理和技术改造。(2)全社会的信息安全意识虽然有所提高，但将其提到实际日程中来的依然很少。(3)目前关于网络犯罪的法律、法规还不健全。(4)我国信息安全人才培养还不能满足其需要。2.网络安全的含义网络安全从其本质来讲就是网络上信息安全，它涉及的领域相当广泛，这是因为目前的公用通信网络存在着各式各样的安全漏洞和威胁。广义上讲，凡是涉及到网络上的保密性、完整性、可用性和可控性的相关技术和理论，都是网络安全的研究领域。网络安全是指网络系统的硬件，软件及数据受到保护，不遭受偶然或恶意的破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。且在不同环境和应用中又不同的解释。（1）运行系统安全：即保证信息处理和传输系统的安全，包括计算机机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。（2）网络上系统信息安全：包括用户口令鉴别、用户存取权限控制、数据存取权限控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。（3）网络上信息传输安全：即信息传播后果的安全、包括信息过滤、不良信息过滤等。（4）网络上信息内容安全：即我们讨论狭义的“信息安全”；侧重于保护信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。3.网络安全策略策略通常是一般性的规范，只提出相应的重点，而不确切地说明如何达到所要的结果，因此策略属于安全技术规范的最高一级。3.1安全策略的分类安全策略分为基于身份安全策略和基于规则安全策略两种。基于身份的安全策略是过滤对数据或资源的访问，有两种执行方法：若访问权限为访问者所有，典型的操作为特权标记或特殊授权，为用户及相应活动进程进行授权；若访问数据的所有可以采用访问控制表（ACL）。这两种情况中，数据项的大小有很大变化，数据权力命名也可以带自己的ACL。基于规则的安全策略是指建立在特定的，个体化属性之上的授权准则，授权通常依赖于敏感性。在一个安全系统中，数据或资源应该标注安全标记，而且用户活动应该得到相应的安全标记。3.2安全策略的配置开放式网络环境下用户合法权益通常受到两种方式的侵害：主动攻击和被动攻击，主动攻击包括对用户信息的窃取，对信息流量的分析。根据用户安全的需求才可以采用以下的保护：（1）身份认证；检验用户身份是否合法、防止身份冒充、及对用户实施访问控制数据完整性鉴别、防止数据被伪造、修改和删除。（2）信息保密；防止用户数据被泄、窃取、保护用户的隐私。（3）数字签名；防止用户否认对数据所做的处理。（4）访问控制；对用户的访问权限进行控制。（5）不可否认性；也称不可抵赖性，即防止对数据操作的否认。4.TCSEC简介1999年9月13日国家质量技术监督局公布了我国第一部关于计算机信息系统安全等级划分的标准“计算机信息系统安全保护等级划分准则”（GB17859-1999）。而国外同标准的是美国国防部在1985年12月公布的可信计算机系统评价标准TCSEC(又称桔皮书)。在TCSEC划分了7个安全等级：D级、C1级、C2级、B1级、B2级、B3级和A1级。其中D级是没有安全机制的级别，A1级是难以达到的安全级别。4.1全等级标准模型计算机信息系统的安全模型主要又访问监控器模型、军用安全模仿和信息流模型等三类模型，它们是定义计算机信息系统安全等级划分标准的依据。（1）访问监控模型：是按TCB要求设计的，受保护的客体要么允许访问，要么不允许访问。（2）常用安全模型：是一种多级安全模型，即它所控制的信息分为绝密、机密、秘密和无密4种敏感级。（3）信息流模型：是计算机中系统中系统中信息流动路径，它反映了用户在计算机系统中的访问意图。信息流分直接的和间接的两种。4.2.防火墙技术随着网络安全问题日益严重，网络安全技术和产品也被人们逐渐重视起来，防火墙作为最早出现的网络安全技术和使用量最大的网络安全产品，受到用户和研发机构的亲睐。4.3防火墙的基本概念与作用防火墙是指设置在不同网络或网络安全之间一系列部件的组合，它执行预先制定的访问控制策略，决定了网络外部与网络内部的访问方式。在网络中，防火墙实际是一种隔离技术，它所执行的隔离措施有：（1）拒绝未经授权的用户访问内部网和存取敏感数据。（2）允许合法用户不受妨碍地访问网络资源。而它的核心思想是在不安全的因特网环境中构造一个相对安全的子网环境，其目的是保护一个网络不受另一个网络的攻击，所以防火墙又有以下作用：（1）作为网络安全的屏障。一个防火墙作为阻塞节点和控制节点能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险，只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。（2）可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有的安全软件配置在防火墙上，体现集中安全管理更经济。（3）对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。（4）防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。（5）支持具有因特网服务性的企业内部网络技术体系VPN。4.4防火墙的工作原理从防火墙的作用可以看出，防火墙必须具备两个要求：保障内部网安全和保障内部网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。防火墙根据功能实现在TCP/IP网络模型中的层次，其实现原理可以分为三类：在网络层实现防火墙功能为分组过滤技术；在应用层实现防火墙功能为代理服务技术；在网络层，IP层，应用层三层实现防火墙为状态检测技术。（1）分组过滤技术实际上是基于路由器技术，它通常由分组过滤路由器对IP分组进行分组选择，允许或拒绝特定的IP数据包，工作于IP层。（2）代理服务技术以一个高层的应用网关作为代理服务器，接受外来的应用连接请求，在代理服务器上进行安全检查后，再与被保护的应用服务器连接，使外部用户可以在受控制的前提下使用内部网络的服务，由于代理服务作用于应用层，它能解释应用层上的协议，能够作复杂和更细粒度的访问控制；同时，所有进出服务器的客户请求必须通过代理网关的检查，可以作出精细的注册和审计记录，并且可以与认证、授权等安全手段方便地集成，为客户和服务提供更高层次的安全保护。（3）状态检测技术此技术工作在IP/TCP/应用层，它结合了分组过滤和代理服务技术的特点，同分组过滤一样，在应用层上检查数据包的内容，分析高层的协议数据，查看内容是否符合网络安全策略。5.“木马”的概述特洛伊木马是一种隐藏了具有攻击性的应用程序。与病毒不同，它不具备复制能力，其功能具有破坏性。大部分“木马”采用C/S运行模式，当服务端在目标计算机上被运行后，打开一个特定的端口进行监听，当客户端向服务器发出连接请求时，服务器端的相应程序会自动运行来应答客户机的请求。6.“木马”的防范措施（1）检查系统配置应用程序。在“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏和任务管理器中隐藏自己，即将程序设为“系统服务”来伪装自己，“木马”会在每次服务端启动时自动装载到系统中。（2）查看注册表。（3）查找“木马”的特征文件“木马”的一个特征文件是kernl32.exe,另一个是sysexlpr.exe，只要删除了这两个文件，“木马”就不起作用了，但是需要注意的是sysexlpr.exe是和文本文件关联的，在删除时，必须先把文本文件跟notepod关联上，否则不能使用文本文件。7.结论计算机网络的安全问题越来越受到人们的重视。总的来说，网络安全不仅仅是技术问题，同时也是一个安全管理问题。我们必须综合考虑安全因素，制定合理的目标，技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。

参考文献【1】波，王其和.计算机网络安全技术及应用.北京：电子工业出版社【2】蔡立军.计算机网络安全技术[M].北京：中国水利水电出版社【3】陈健伟邵，张辉.计算机网络与信息安全[M].北京：希望