计算机毕业论文网络安全与管理

-.z.论文关键字:网络平安管理网络开展网络现状一绪论平安管理的开展趋势和现状1、网络平安现状计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的开展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。与此同时,计算机网络也正面临着日益剧增的平安威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝效劳攻击、电子商务入侵和盗窃等,都造成了各种危害,包括数据被篡改和窃取、页面被修改或丑化、网络瘫痪等。网络与信息平安问题日益突出,已经成为影响国家平安、社会稳定和人民生活的大事,开展与现有网络技术相对应的网络平安技术,保障网络平安、有序和有效的运行,是保证互联网高效、有序应用的关键之一。2、现有网络平安技术计算机网络是基于网络可识别的网络协议根底之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络平安问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络平安问题,下表示意说明了这些方面的网络平安问题。问题类型问题点问题描述协议设计平安问题被无视制定协议之时,通常首先强调功能性,而平安性问题则是到最后一刻、甚或不列入考虑围。其它根底协议问题架构在其他不穏固根底协议之上的协议,即使本身再完善也会有很多问题。流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。设计错误协议设计错误,导致系统效劳容易失效或招受攻击。软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种平安漏洞。程序错误程序撰写习惯不良导致很多平安漏洞,包含常见的未检查资料长度容、输入资料容错能力缺乏、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源缺乏等。人员操作操作失误操作规严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种平安漏洞和平安隐患。系统维护默认值不平安软件或操作系统的预设设置不科学,导致缺省设置下系统处于不平安的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。未修补系统软件和操作系统的各种补丁程序没有及时修复。部平安问题对由信任系统和网络发起的各种攻击防不够。信任领域存在的不平安系统,成为不信任领域系统攻击信任领域的各种跳板。针对上表所示的各种网络平安问题,全世界的网络平安厂商都试图开展了各种平安技术来防这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统平安、数据库系统平安和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS、防病毒软件、CA系统、加密算法等在的各类网络平安软件,这些技术和平安系统(软件对网络系统提供了一定的平安防,一定程度上解决了网络平安问题*一方面的问题。3、现有网络平安技术的缺陷现有的各种网络平安技术都是针对网络平安问题的*一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络平安问题,无法防和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否平安的问题,而计算机病毒防技术只能防计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。现有的各种网络平安技术中,防火墙技术可以在一定程度上解决一些网络平安问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否平安。同时,防火墙还存在着一些弱点:一、不能防御来自部的攻击:来自部的攻击者是从网络部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离部网与因特网上的主机,监控部网和因特网之间的通信,而对部网上的情况不作检查,因而对部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进展检查,如果该数据由于*种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御的威胁,但是人们发现可信赖的效劳中存在新的侵袭方法,可信赖的效劳就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议容的,而非数据细节。这样一来,基于数据驱动的攻击,比方病毒,可以附在诸如电子之类的东西上面进入你的系统中并发动攻击。入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的平安工具,而只是一个参考工具。在没有更为有效的平安防产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络平安,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络平安防系统来有效保护网络系统,已经成为各网络平安厂商和用户的共同需求和目标。4开展趋势:中国的网络平安技术在近几年得到快速的开展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络平安问题日益突出,网络平安企业不断跟进最新平安技术,不断推出满足用户需求、具有时代特色的平安产品,进一步促进了网络平安技术的开展。从技术层面来看,目前网络平安产品在开展过程中面临的主要问题是:以往人们主要关心系统与网络根底层面的防护问题,而现在人们更加关注应用层面的平安防护问题,平安防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息容的语义畴,越来越多的平安技术已经与应用相结合。4.1、现阶段网络平安技术的局限性谈及网络平安技术,就必须提到网络平安技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。任何一个用户,在刚刚开场面对平安问题的时候,考虑的往往就是这“老三样〞。可以说,这三种网络平安技术为整个网络平安建立起到了功不可没的作用,但是传统的平安“老三样〞或者说是以其为主的平安产品正面临着许多新的问题。首先,从用户角度来看,虽然系统中安装了防火墙,但是仍防止不了蠕虫泛滥、垃圾、病毒传播以及拒绝效劳的侵扰。其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的缺乏,且在准确定位和全局管理方面还有很大的空间。再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是网的平安并不仅仅是防病毒的问题,还包括平安策略的执行、外来非法侵入、补丁管理以及合规管理等方面。所以说,虽然“老三样〞已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其缺乏之处。其次,从网络平安的整体技术框架来看,网络平安技术同样面临着很大的问题,“老三样〞根本上还是针对数据、单个系统、软硬件以及程序本身平安的保障。应用层面的平安,需要将侧重点集中在信息语义畴的“容〞和网络虚拟世界的“行为〞上。4.2、技术开展趋势分析.防火墙技术开展趋势在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种平安功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的表达,UTM(UnifiedThreatManagement,统一威胁管理技术应运而生。从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑畴。从定义的前半局部来看,很多厂商提出的多功能平安网关、综合平安网关、一体化平安设备都符合UTM的概念;而从后半局部来看,UTM的概念还表达了经过多年开展之后,信息平安行业对平安管理的深刻理解以及对平安产品可用性、联动能力的深入研究。UTM的功能见图1.由于UTM设备是串联接入的平安设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝效劳攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的开展趋势。UTM设备应具备以下特点。(1网络平安协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进展防护和控制,但是真正的平安不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾、拒绝效劳、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。(2通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比方防拒绝效劳攻击、防蠕虫和黑客攻击、防垃圾攻击、防违规短信攻击等,从而显著降低误报率。(3有高可靠性、高性能的硬件平台支撑。(4一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进展组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络平安。二网络平安面临的主要问题1.网络建立单位、管理人员和技术人员缺乏平安防意识,从而就不可能采取主动的平安措施加以防,完全处于被动挨打的位置。2.组织和部门的有关人员对网络的平安现状不明确,不知道或不清楚网络存在的平安隐患,从而失去了防御攻击的先机。3.组织和部门的计算机网络平安防没有形成完整的、组织化的体系构造,其缺陷给攻击者以可乘之机。4.组织和部门的计算机网络没有建立完善的管理体系,从而导致平安体系和平安控制措施不能充分有效地发挥效能。业务活动中存在平安疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的时机。5.网络平安管理人员和技术有员缺乏必要的专业平安知识,不能平安地配置和管理网络,不能及时发现已经存在的和随时可能出现的平安问题,对突发的平安事件不能作出积极、有序和有效的反响。三网络平安的解决方法实现网络平安的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证平安控制措施有效地发挥其效能,从而确保实现预期的平安目标。因此,建立组织的平安管理体系是网络平安的核心。我们要从系统工程的角度构建网络的平安体系构造,把组织和部门的所有平安措施和过程通过管理的手段融合为一个有机的整体。平安体系构造由许多静态的平安控制措施和动态的平安分析过程组成。1.平安需求分析"知彼,百战不殆"。只有明了自己的平安需求才能有针对性地构建适合于自己的平安体系构造,从而有效地保证网络系统的平安。2.平安风险管理平安风险管理是对平安需求分析结果中存在的平安威胁和业务平安需求进展风险评估,以组织和部门可以承受的投资,实现最大限度的平安。风险评估为制定组织和部门的平安策略和构架平安体系构造提供直接的依据。3.制定平安策略根据组织和部门的平安需求和风险评估的结论,制定组织和部门的计算机网络平安策略。4.定期平安审核平安审核的首要任务是审核组织的平安策略是否被有效地和正确地执行。其次,由于网络平安是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对平安的需求也会发生变化,组织的平安策略需要进展相应地调整。为了在发生变化时,平安策略和控制措施能够及时反映这种变化,必须进展定期平安审核。5.外部支持计算机网络平安同必要的外部支持是分不开的。通过专业的平安效劳机构的支持,将使网络平安体系更加完善