第一篇：計算機網(wǎng)絡(luò)安全與防范論文

目錄

1、計算機網(wǎng)絡(luò)安全的概念.....22、計算機網(wǎng)絡(luò)安全的隱患.....2

2.1計算機軟件漏洞...............2

2.2 黑客攻擊..............3

2.3病毒的危害............3

2.4各種非法入侵和攻擊...........3

2.5網(wǎng)絡(luò)自身的安全缺陷...........3

3.計算機網(wǎng)絡(luò)安全的對策......4

3.1防火墻技術(shù)............4

3.2數(shù)據(jù)加密技術(shù)..........4

3.3防病毒技術(shù)............4

3.4做好物理安全防護(hù).............4

3.5配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)..............5

3.6服務(wù)器訪問控制策略...........5

3.7建立更安全的電子郵件系統(tǒng)............5

4.結(jié)束語...........5

參考文獻(xiàn)...........6

計算機網(wǎng)絡(luò)安全與防范

摘要：

近年來，網(wǎng)絡(luò)技術(shù)不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用逐漸普及。越來越多的計算機用戶足不出戶就可訪問到全球網(wǎng)絡(luò)系統(tǒng)豐富的信息資源，經(jīng)濟、文化、軍事和社會活動也強烈依賴于網(wǎng)絡(luò)，一個網(wǎng)絡(luò)化的社會已呈現(xiàn)在我們面前。隨著網(wǎng)絡(luò)應(yīng)用的不斷增多，網(wǎng)絡(luò)安全問題也越來越突出。由于計算機網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計算機網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通，研究網(wǎng)絡(luò)的安全與防范措施已迫在眉捷。

關(guān)鍵字：防范 隱患 對策

1、計算機網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和治理的安全保護(hù)，保護(hù)計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。從大多數(shù)普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)難、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

總的來說，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有治理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

2、計算機網(wǎng)絡(luò)安全的隱患

2.1計算機軟件漏洞

中國日報網(wǎng)消息：IE瀏覽器4日再次曝出新的安全漏洞，該IE漏洞可被黑客遠(yuǎn)程利用，并能夠獲取用戶隱私信息，提醒使用IE瀏覽器的用戶特別關(guān)注。據(jù)了解，作為微軟VIA成員，金山安全實驗室第一時間獲取了該漏洞的相關(guān)信息。國家計算機網(wǎng)絡(luò)入侵防范中心發(fā)布安全漏洞周報稱，上周安全漏洞共計有１８３個，其中高危漏洞８８個，安全漏洞總量相比前一周有所上升。金山反病毒專家李鐵軍表示，新的IE漏洞目前還不能被用來掛馬傳播病毒，但可以被黑客用來遠(yuǎn)程獲得用戶的隱私信息，如IE訪問記錄等，黑客掌握了用戶的一些私人信息之后，有可能實行進(jìn)一步欺詐攻擊。李鐵軍說，該漏洞可能影響到的IE瀏覽器

版本包括windows2000IE5／IE6版本以windowsxpIE6／IE7／IE8等版本。黑客通過精心構(gòu)造的惡意代碼，攻擊某些網(wǎng)站并上傳惡意代碼到被攻擊網(wǎng)站的服務(wù)器。用戶訪問被攻擊的網(wǎng)站時，可能導(dǎo)致用戶隱私信息泄露。

無論多強大的軟件在設(shè)計之初都難免存在缺陷或漏洞，操作系統(tǒng)軟件也不例外。系統(tǒng)主機之間互異的操作系統(tǒng)具有相對的獨立性，同樣性質(zhì)的漏洞，也會由于操作系統(tǒng)軟件設(shè)計開發(fā)過程的不同，而具有不一樣的表現(xiàn)形式。攻擊者可以很“方便”的通過漏洞對計算機系統(tǒng)進(jìn)行破壞，造成主機癱瘓、重要資料丟失等，嚴(yán)重影響系統(tǒng)的正常運行。

2.2 黑客攻擊

這是一種最嚴(yán)重的網(wǎng)絡(luò)安全威脅。攻擊者通過各種方式尋找系統(tǒng)脆弱點或系統(tǒng)漏洞，由于網(wǎng)絡(luò)系統(tǒng)同構(gòu)冗余環(huán)境的弱點是相同的，多個系統(tǒng)同時故障的概率雖小，但被攻破可能性卻大，通過攔截、竊取等多種方式，向系統(tǒng)實施攻擊，破壞系統(tǒng)重要數(shù)據(jù)，甚至系統(tǒng)癱瘓，給網(wǎng)絡(luò)安全帶來嚴(yán)重威脅。維護(hù)網(wǎng)絡(luò)安全，主要指維護(hù)網(wǎng)絡(luò)的信息安全。保證數(shù)據(jù)的機密、完整是最基本的目標(biāo)。一個安全的網(wǎng)絡(luò)環(huán)境，數(shù)據(jù)未經(jīng)授權(quán)應(yīng)該是不能被任意修改的，任何想獲取該數(shù)據(jù)信息的訪問者都應(yīng)是經(jīng)過授權(quán)的合法用戶。此外，網(wǎng)絡(luò)環(huán)境應(yīng)是可靠的、可被控制的。網(wǎng)絡(luò)管理人員應(yīng)具備豐富的理論和實踐經(jīng)驗，攻擊來臨時能迅速控制安全隱患的傳播。同時，當(dāng)系統(tǒng)不能正常運行時，系統(tǒng)的硬件或軟件資源，都應(yīng)具備及時修復(fù)并保證提供正常服務(wù)的能力。

2.3病毒的危害

網(wǎng)絡(luò)病毒發(fā)病和傳播速度極快,而許多計算機用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網(wǎng)絡(luò)病毒泛濫,不僅嚴(yán)重地危害到了用戶計算機安全,而且極大的消耗了網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內(nèi)部用戶的攻擊越來越多、危害越來越大,已經(jīng)嚴(yán)重影響到了網(wǎng)絡(luò)的正常使用。常見的網(wǎng)絡(luò)病毒有“機器狗”，“桌面幽靈”，“貓癬病毒”等

2.4各種非法入侵和攻擊

由于計算機網(wǎng)絡(luò)接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護(hù)比較薄弱,使得網(wǎng)絡(luò)成為易受攻擊的目標(biāo)。非法入侵者有目的的破壞信息的有效性和完整性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。比如:漏洞、薄弱點掃描,口令破解;非授權(quán)訪問或在非授權(quán)和不能監(jiān)測的方式下對數(shù)據(jù)進(jìn)行修改;通過網(wǎng)絡(luò)傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統(tǒng)資源導(dǎo)致授權(quán)的用戶不能獲得應(yīng)有的訪問或操作被延遲產(chǎn)生了拒絕服務(wù)等。[2]

2.5網(wǎng)絡(luò)自身的安全缺陷

網(wǎng)絡(luò)是一個開放的環(huán)境,TCP/IP是一個通用的協(xié)議,即通過IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識,基于IP地址進(jìn)行多用戶的認(rèn)證和授權(quán),并根據(jù)IP包中源IP地址判斷數(shù)據(jù)的真實和安全性,但該協(xié)議的最大缺點就是缺乏對IP地址的保護(hù),缺乏對源IP地址真實性的認(rèn)證機制,這就是TCP/IP協(xié)議不安全的根本所在。通過TCP/IP協(xié)議缺陷進(jìn)行的常見攻擊有:源地址欺騙、IP

欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。

3.計算機網(wǎng)絡(luò)安全的對策

3.1防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個網(wǎng)絡(luò)接上Inter net之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被答應(yīng)，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

3.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密是網(wǎng)絡(luò)系統(tǒng)中一種比較有效的數(shù)據(jù)保護(hù)方式，目的是為了防止網(wǎng)絡(luò)數(shù)據(jù)的篡改、泄露和破壞。通常數(shù)據(jù)加密采用鏈路加密、端端加密、節(jié)點加密和混合加密方式。鏈路加密是對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，能夠防止搭線竊聽。端端加密是對源節(jié)點用戶到目標(biāo)節(jié)點用戶的數(shù)據(jù)進(jìn)行保護(hù)，方式更加可靠，且易于設(shè)計和實現(xiàn)。節(jié)點加密是對源節(jié)點到目標(biāo)節(jié)點的鏈路提供保護(hù)?；旌霞用苁遣捎面溌芳用芎投硕思用芟嘟Y(jié)合的混合加密方式，可以獲得更高的安全。

3.3防病毒技術(shù)

隨著計算機技術(shù)的不斷發(fā)展，計算機病毒變得越來越復(fù)雜和高級，對計算機信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上，即對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)、垃圾郵件傳播幾種方式的對網(wǎng)絡(luò)進(jìn)行傳播和破壞,照成線路堵塞和數(shù)據(jù)丟失損毀。那么建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系是對計算機網(wǎng)絡(luò)整體有效防護(hù)的解決辦法。

3.4做好物理安全防護(hù)

物理安全防護(hù)是指通過采用輻射防護(hù)、屏幕口令、狀態(tài)檢測、報警確認(rèn)、應(yīng)急恢復(fù)等手段保護(hù)網(wǎng)絡(luò)服務(wù)器等計算機系統(tǒng)、網(wǎng)絡(luò)交換路由等網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線纜等硬件實體免受自然災(zāi)害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞。[3]如:將防火墻、核心交換機以及各種重要服務(wù)器等重要設(shè)備盡量放在核心機房進(jìn)行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設(shè)備、主干設(shè)備以及接入交換機等設(shè)備落

實到人,進(jìn)行嚴(yán)格管理。物理安全防護(hù)是確保校園網(wǎng)絡(luò)系統(tǒng)正常工作、免受干擾破壞的最基本手段。

3.5配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)

為減少來自網(wǎng)絡(luò)內(nèi)外的攻擊和破壞,需要在網(wǎng)絡(luò)中配置必要的網(wǎng)絡(luò)安全設(shè)備,如網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)、主頁防篡改系統(tǒng)、防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、內(nèi)容過慮系統(tǒng)、補丁升級系統(tǒng)、服務(wù)器的安全監(jiān)測系統(tǒng)等等。通過配置網(wǎng)絡(luò)安全設(shè)備,能夠?qū)崿F(xiàn)對校園網(wǎng)絡(luò)的控制和監(jiān)管,能夠阻斷大量的非法訪問,能夠過濾來自網(wǎng)絡(luò)的不健康數(shù)據(jù)信息,能夠幫助網(wǎng)絡(luò)管理員在發(fā)生網(wǎng)絡(luò)故障時迅速定位。充分利用好這些網(wǎng)絡(luò)安全設(shè)備可以大大提高校園網(wǎng)的安全級別。

3.6服務(wù)器訪問控制策略

服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問,在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。另外對用戶和賬戶進(jìn)行必要的權(quán)限設(shè)置。一是要限制數(shù)據(jù)庫管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限。二是取消默認(rèn)賬戶不需要的權(quán)限選擇合適的賬戶連接到數(shù)據(jù)庫。

3.7建立更安全的電子郵件系統(tǒng)

目前有些優(yōu)秀的電子郵件安全系統(tǒng)具有強大的高準(zhǔn)確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現(xiàn)郵件系統(tǒng)的管理與維護(hù),有的電子郵件系統(tǒng)判別垃圾郵件的準(zhǔn)確率接近百分之百。各用戶要多方分析、比較,選擇優(yōu)秀的電子郵件安全系統(tǒng)保證網(wǎng)絡(luò)的郵件系統(tǒng)安全,以改變郵件系統(tǒng)存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現(xiàn)狀。

很長一段時間，惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認(rèn)賬戶，但這個賬戶是不經(jīng)常用的，然后使用工具把這個賬戶提升到管理員權(quán)限，從表面上看來這個賬戶還是和原來一樣，但是這個克隆的賬戶卻是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。為了避免這種情況，可以用很簡單的方法對賬戶進(jìn)行檢測。

首先在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用“net user+用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不是!如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎肯定你被入侵了，而且別人在你的計算機上克隆了賬戶?？焓褂谩皀et user 用戶名/del”就可以刪掉這個用戶。

4.結(jié)束語

計算機網(wǎng)絡(luò)的安全性越來越受到重視,網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了計算機網(wǎng)絡(luò)不能僅僅依靠防火墻,而涉及到管理和技術(shù)等方方面面。總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。需要仔

細(xì)考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個高效、通用、安全的計算機網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)

[1]楊義先.網(wǎng)絡(luò)安全理論與技術(shù).北京：人民郵電出版社 2008

[2]李學(xué)詩.計算機系統(tǒng)安全技術(shù).武漢：華中理工大學(xué)出版社 2009

[3]《電腦愛好者》CFAN編2008

第二篇：計算機網(wǎng)絡(luò)安全與防范[論文]

摘 要：當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)；安全；防范

在信息時代，信息可以幫助團體或個人，使他們受益，同樣，信息也可以用來對他們構(gòu)成威脅，造成破壞。因此網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

一、計算機網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

二、計算機網(wǎng)絡(luò)安全現(xiàn)狀

計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計算機和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲、后門(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。

三、計算機網(wǎng)絡(luò)安全的防范措施

1、加強內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒進(jìn)程中，最容易和最經(jīng)濟的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。

在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到組織里的每一個NT服務(wù)器上，并可下載和散布到所有的目的機器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動提供最佳的網(wǎng)絡(luò)病毒防御措施。當(dāng)計算機病毒對網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)行殺毒。

2、網(wǎng)絡(luò)防火墻技術(shù)

是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

3、安全加密技術(shù) 加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀(jì)的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。

4、網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施

防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高，分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)。在防火墻和主機安全措施之后，是全局性的由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息，作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生，如果有入侵發(fā)生，則啟動應(yīng)急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進(jìn)行處理、對系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源。

總之，網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

參考文獻(xiàn)：

[1]黃怡強,等.淺談軟件開發(fā)需求分析階段的主要任務(wù).中山大學(xué)學(xué)報論叢,2002(01).[2]胡道元.計算機局域網(wǎng)[M].北京:清華大學(xué)出版社,2001.[3]朱理森，張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.[4]謝希仁.計算機網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2003.[5]孫小剛,韓冬,等.面向軟件工程的Visual C++網(wǎng)絡(luò)程序開發(fā)[M].北京:清華大學(xué)出版社,2004,11

第三篇：計算機網(wǎng)絡(luò)安全與防范論文（精選）

計算機網(wǎng)絡(luò)安全論文

論文題目：計算機網(wǎng)絡(luò)安全與防范

姓名： 陳艷華

學(xué)號：201030457109

專業(yè)：10 計科

2013年11月 30日

計算機網(wǎng)絡(luò)安全與防范

摘要：

隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全日益成為人們關(guān)注的焦點。越來越多的計算機用戶足不出戶就可訪問到全球網(wǎng)絡(luò)系統(tǒng)豐富的信息資源，經(jīng)濟、文化、軍事和社會活動也強烈依賴于網(wǎng)絡(luò)，一個網(wǎng)絡(luò)化的社會已呈現(xiàn)在我們面前。隨著網(wǎng)絡(luò)應(yīng)用的不斷增多，網(wǎng)絡(luò)安全問題也越來越突出。由于計算機網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計算機網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通，研究網(wǎng)絡(luò)的安全與防范措施已迫在眉捷。本文分析了影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式，從管理和技術(shù)兩方面就加強計算機網(wǎng)絡(luò)安全提出了針對性的對策。

關(guān)鍵字：防范 隱患 對策

1、計算機網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和治理的安全保護(hù)，保護(hù)計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。從大多數(shù)普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)難、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

總的來說，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有治理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

2、計算機網(wǎng)絡(luò)安全的隱患及攻擊形式

2.1計算機網(wǎng)絡(luò)硬件安全隱患

計算機網(wǎng)絡(luò)硬件設(shè)施是互聯(lián)網(wǎng)中必不可少的部分，硬件設(shè)施本身就有著安全隱患。電子輻射泄露就是其主要的安全隱患問題，也就是說計算機和網(wǎng)絡(luò)所包含的電磁信息泄露了，這增加了竊密、失密、泄密的危險；此外安全隱患問題也體現(xiàn)在通信部分的脆弱性上，在進(jìn)行數(shù)據(jù)與信息的交換和通信活動時，主要通過四種線路，即光纜、電話線、專線、微波，除光纜外其它三種線路上的信息比較容易被竊??；除上述方面外，計算機的操作系統(tǒng)與硬件組成的脆弱性，也給系統(tǒng)的濫用埋下了隱患。另外，移動存儲介質(zhì)。移動存儲介質(zhì)比如U盤、移動硬盤等，由于其自身具有方便小巧、存儲量大、通用性強、易攜帶等特點，應(yīng)用比較廣

泛，尤其是涉密單位，這給網(wǎng)絡(luò)系統(tǒng)的信息安全造成很大的隱患。如有的不知道U盤、移動硬盤上刪除的文件能夠還原，將曾經(jīng)存貯過私密信息的U盤外借，造成信息的泄露。

2.2計算機軟件漏洞

中國日報網(wǎng)消息：IE瀏覽器4日再次曝出新的安全漏洞，該IE漏洞可被黑客遠(yuǎn)程利用，并能夠獲取用戶隱私信息，提醒使用IE瀏覽器的用戶特別關(guān)注。據(jù)了解，作為微軟VIA成員，金山安全實驗室第一時間獲取了該漏洞的相關(guān)信息。國家計算機網(wǎng)絡(luò)入侵防范中心發(fā)布安全漏洞周報稱，上周安全漏洞共計有１８３個，其中高危漏洞８８個，安全漏洞總量相比前一周有所上升。金山反病毒專家李鐵軍表示，新的IE漏洞目前還不能被用來掛馬傳播病毒，但可以被黑客用來遠(yuǎn)程獲得用戶的隱私信息，如IE訪問記錄等，黑客掌握了用戶的一些私人信息之后，有可能實行進(jìn)一步欺詐攻擊。李鐵軍說，該漏洞可能影響到的IE瀏覽器版本包括windows2000IE5／IE6版本以windowsxpIE6／IE7／IE8等版本。黑客通過精心構(gòu)造的惡意代碼，攻擊某些網(wǎng)站并上傳惡意代碼到被攻擊網(wǎng)站的服務(wù)器。用戶訪問被攻擊的網(wǎng)站時，可能導(dǎo)致用戶隱私信息泄露。

無論多強大的軟件在設(shè)計之初都難免存在缺陷或漏洞，操作系統(tǒng)軟件也不例外。系統(tǒng)主機之間互異的操作系統(tǒng)具有相對的獨立性，同樣性質(zhì)的漏洞，也會由于操作系統(tǒng)軟件設(shè)計開發(fā)過程的不同，而具有不一樣的表現(xiàn)形式。攻擊者可以很“方便”的通過漏洞對計算機系統(tǒng)進(jìn)行破壞，造成主機癱瘓、重要資料丟失等，嚴(yán)重影響系統(tǒng)的正常運行。

2.3 黑客攻擊

這是一種最嚴(yán)重的網(wǎng)絡(luò)安全威脅。攻擊者通過各種方式尋找系統(tǒng)脆弱點或系統(tǒng)漏洞，由于網(wǎng)絡(luò)系統(tǒng)同構(gòu)冗余環(huán)境的弱點是相同的，多個系統(tǒng)同時故障的概率雖小，但被攻破可能性卻大，通過攔截、竊取等多種方式，向系統(tǒng)實施攻擊，破壞系統(tǒng)重要數(shù)據(jù)，甚至系統(tǒng)癱瘓，給網(wǎng)絡(luò)安全帶來嚴(yán)重威脅。維護(hù)網(wǎng)絡(luò)安全，主要指維護(hù)網(wǎng)絡(luò)的信息安全。保證數(shù)據(jù)的機密、完整是最基本的目標(biāo)。一個安全的網(wǎng)絡(luò)環(huán)境，數(shù)據(jù)未經(jīng)授權(quán)應(yīng)該是不能被任意修改的，任何想獲取該數(shù)據(jù)信息的訪問者都應(yīng)是經(jīng)過授權(quán)的合法用戶。此外，網(wǎng)絡(luò)環(huán)境應(yīng)是可靠的、可被控制的。網(wǎng)絡(luò)管理人員應(yīng)具備豐富的理論和實踐經(jīng)驗，攻擊來臨時能迅速控制安全隱患的傳播。同時，當(dāng)系統(tǒng)不能正常運行時，系統(tǒng)的硬件或軟件資源，都應(yīng)具備及時修復(fù)并保證提供正常服務(wù)的能力。

2.3計算機病毒攻擊

網(wǎng)絡(luò)病毒發(fā)病和傳播速度極快,而許多計算機用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網(wǎng)絡(luò)病毒泛濫,病毒程序輕者降低系統(tǒng)工作效率，重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失，造成無可挽回的損失，不僅嚴(yán)重地危害到了用戶計算機安全,而且極大的消耗了網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內(nèi)部用戶的攻擊越來越多、危害越來越大,已經(jīng)嚴(yán)重影響到了網(wǎng)絡(luò)的正常使用。常見的網(wǎng)絡(luò)病毒有“機器狗”，“桌面幽靈”，“貓癬病毒”等

2.4各種非法入侵和攻擊

由于計算機網(wǎng)絡(luò)接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護(hù)比較薄弱,使得網(wǎng)絡(luò)成為易受攻擊的目標(biāo)。非法入侵者有目的的破壞信息的有效性和完整性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。比如:漏洞、薄弱點掃描,口令破解;非授權(quán)訪問或在非授權(quán)和不能監(jiān)測的方式下對數(shù)據(jù)進(jìn)行修改;通過網(wǎng)絡(luò)傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統(tǒng)資源導(dǎo)致授權(quán)的用戶不能獲得應(yīng)有的訪問或操作被延遲產(chǎn)生了拒絕服務(wù)等。[2]

2.5網(wǎng)絡(luò)自身的安全缺陷

網(wǎng)絡(luò)是一個開放的環(huán)境,TCP/IP是一個通用的協(xié)議,即通過IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識,基于IP地址進(jìn)行多用戶的認(rèn)證和授權(quán),并根據(jù)IP包中源IP地址判斷數(shù)據(jù)的真實和安全性,但該協(xié)議的最大缺點就是缺乏對IP地址的保護(hù),缺乏對源IP地址真實性的認(rèn)證機制,這就是TCP/IP協(xié)議不安全的根本所在。通過TCP/IP協(xié)議缺陷進(jìn)行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。

3.計算機網(wǎng)絡(luò)安全的對策

3.1防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個網(wǎng)絡(luò)接上Inter net之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被答應(yīng)，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

3.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲，數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別，以及密鑰的管理技術(shù)。數(shù)據(jù)存儲加密技術(shù)是防止在存儲環(huán)節(jié)上的數(shù)據(jù)丟失為目的，可分為密文存儲和存取兩種，數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)完整性鑒別是對介入信息的傳送、存取，處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證，達(dá)到保密的要求，系統(tǒng)通過對比驗證對輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護(hù)。

3.3防病毒技術(shù)

隨著計算機技術(shù)的不斷發(fā)展，計算機病毒變得越來越復(fù)雜和高級，對計算機信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上，即對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)、垃圾郵件傳播幾種方式的對網(wǎng)絡(luò)進(jìn)行傳播和破壞,照成線路堵塞和數(shù)據(jù)丟失損毀。那么建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系是對計算機網(wǎng)絡(luò)整體有效防護(hù)的解決辦法。

3.4做好物理安全防護(hù)

物理安全防護(hù)是指通過采用輻射防護(hù)、屏幕口令、狀態(tài)檢測、報警確認(rèn)、應(yīng)急恢復(fù)等手段保護(hù)網(wǎng)絡(luò)服務(wù)器等計算機系統(tǒng)、網(wǎng)絡(luò)交換路由等網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線纜等硬件實體免受自然災(zāi)害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞。[3]如:將防火墻、核心交換機以及各種重要服務(wù)器等重要設(shè)備盡量放在核心機房進(jìn)行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設(shè)備、主干設(shè)備以及接入交換機等設(shè)備落實到人,進(jìn)行嚴(yán)格管理。物理安全防護(hù)是確保校園網(wǎng)絡(luò)系統(tǒng)正常工作、免受干擾破壞的最基本手段。

3.5配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)

為減少來自網(wǎng)絡(luò)內(nèi)外的攻擊和破壞,需要在網(wǎng)絡(luò)中配置必要的網(wǎng)絡(luò)安全設(shè)備,如網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)、主頁防篡改系統(tǒng)、防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、內(nèi)容過慮系統(tǒng)、補丁升級系統(tǒng)、服務(wù)器的安全監(jiān)測系統(tǒng)等等。通過配置網(wǎng)絡(luò)安全設(shè)備,能夠?qū)崿F(xiàn)對校園網(wǎng)絡(luò)的控制和監(jiān)管,能夠阻斷大量的非法訪問,能夠過濾來自網(wǎng)絡(luò)的不健康數(shù)據(jù)信息,能夠幫助網(wǎng)絡(luò)管理員在發(fā)生網(wǎng)絡(luò)故障時迅速定位。充分利用好這些網(wǎng)絡(luò)安全設(shè)備可以大大提高校園網(wǎng)的安全級別。

3.6服務(wù)器訪問控制策略

服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問,在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。另外對用戶和賬戶進(jìn)行必要的權(quán)限設(shè)置。一是要限制數(shù)據(jù)庫管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限。二是取消默認(rèn)賬戶不需要的權(quán)限選擇合適的賬戶連接到數(shù)據(jù)庫。

3.7建立更安全的電子郵件系統(tǒng)

目前有些優(yōu)秀的電子郵件安全系統(tǒng)具有強大的高準(zhǔn)確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現(xiàn)郵件系統(tǒng)的管理與維護(hù),有的電子郵件系統(tǒng)判別垃圾郵件的準(zhǔn)確率接近百分之百。各用戶要多方分析、比較,選擇優(yōu)秀的電子郵件安全系統(tǒng)保證網(wǎng)絡(luò)的郵件系統(tǒng)

安全,以改變郵件系統(tǒng)存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現(xiàn)狀。

很長一段時間，惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認(rèn)賬戶，但這個賬戶是不經(jīng)常用的，然后使用工具把這個賬戶提升到管理員權(quán)限，從表面上看來這個賬戶還是和原來一樣，但是這個克隆的賬戶卻是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。為了避免這種情況，可以用很簡單的方法對賬戶進(jìn)行檢測。

首先在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用“net user+用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不是!如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎肯定你被入侵了，而且別人在你的計算機上克隆了賬戶?？焓褂谩皀et user 用戶名/del”就可以刪掉這個用戶。

3.8提高網(wǎng)絡(luò)工作人員的素質(zhì)，強化網(wǎng)絡(luò)安全責(zé)任

為了強化網(wǎng)絡(luò)安全的責(zé)任，還有一項重要任務(wù)——提高網(wǎng)絡(luò)工作人員的管理素質(zhì)。要結(jié)合數(shù)據(jù)、軟件、硬件等網(wǎng)絡(luò)系統(tǒng)各方面對工作人員進(jìn)行安全教育，提高責(zé)任心，并通過相關(guān)業(yè)務(wù)技術(shù)培訓(xùn)，提高工作人員的操作技能，網(wǎng)絡(luò)系統(tǒng)的安全管理要加以重視，避免人為事故的發(fā)生。由于網(wǎng)絡(luò)研究在我國起步較晚，因此網(wǎng)絡(luò)安全技術(shù)還有待提高和發(fā)展。此外，為了保障網(wǎng)絡(luò)能夠安全運行，我們還應(yīng)該制定完善的管理措施，建立嚴(yán)格的管理制度，完善法規(guī)、法律，提高人們對網(wǎng)絡(luò)安全的認(rèn)識，加大對計算機犯罪的法律制裁。

4.結(jié)束語

計算機網(wǎng)絡(luò)的安全性越來越受到重視,網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了計算機網(wǎng)絡(luò)不能僅僅依靠防火墻,而涉及到管理和技術(shù)等方方面面?？偟膩碚f，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。需要仔細(xì)考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個高效、通用、安全的計算機網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)

[1]楊義先.網(wǎng)絡(luò)安全理論與技術(shù).北京：人民郵電出版社 2008

[2]李學(xué)詩.計算機系統(tǒng)安全技術(shù).武漢：華中理工大學(xué)出版社 2009

[3]《電腦愛好者》CFAN編2008

第四篇：計算機網(wǎng)絡(luò)安全與防范

計算機網(wǎng)絡(luò)安全與防范

授課內(nèi)容：

1、計算機網(wǎng)絡(luò)安全的概念

2、計算機網(wǎng)絡(luò)安全的隱患

3.計算機網(wǎng)絡(luò)安全的對策

授課時間：90分鐘

授課人：張文兵

授課目的：通過授課，使同志們能夠了解計算機網(wǎng)絡(luò)安全的概念和一些計算機存在的安全隱患，更深一步的了解當(dāng)遇到計算機網(wǎng)絡(luò)安全時的一些基本處置對策。

近年來，網(wǎng)絡(luò)技術(shù)不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用逐漸普及。越來越多的計算機用戶足不出戶就可訪問到全球網(wǎng)絡(luò)系統(tǒng)豐富的信息資源，經(jīng)濟、文化、軍事和社會活動也強烈依賴于網(wǎng)絡(luò)，一個網(wǎng)絡(luò)化的社會已呈現(xiàn)在我們面前。隨著網(wǎng)絡(luò)應(yīng)用的不斷增多，網(wǎng)絡(luò)安全問題也越來越突出。由于計算機網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計算機網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通，研究網(wǎng)絡(luò)的安全與防范措施已迫在眉捷。

1、計算機網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和治理的安全保護(hù)，保護(hù)計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。從大多數(shù)普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)難、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

總的來說，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有治理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

2、計算機網(wǎng)絡(luò)安全的隱患

2.1計算機軟件漏洞

中國日報網(wǎng)消息：IE瀏覽器4日再次曝出新的安全漏洞，該IE漏洞可被黑客遠(yuǎn)程利用，并能夠獲取用戶隱私信息，提醒使用IE瀏覽器的用戶特別關(guān)注。據(jù)了解，作為微軟VIA成員，金山安全實驗室第一時間獲取了該漏洞的相關(guān)信息。國家計算機網(wǎng)絡(luò)入侵防范中心發(fā)布安全漏洞周報稱，上周安全漏洞共計有１８３個，其中高危漏洞８８個，安全漏洞總量相比前一周有所上升。金山反病毒專家李鐵軍表示，新的IE漏洞目前還不能被用來掛馬傳播病毒，但可以被黑客用來遠(yuǎn)程獲得用戶的隱私信息，如IE訪問記錄等，黑客掌握了用戶的一些私人信息之后，有可能實行進(jìn)一步欺詐攻擊。李鐵軍說，該漏洞可能影響到的IE瀏覽器版本包括windows2000IE5／IE6版本以windowsxpIE6／IE7／IE8等版本。黑客通過精心構(gòu)造的惡意代碼，攻擊某些網(wǎng)站并上傳惡意代碼到被攻擊網(wǎng)站的服務(wù)器。用戶訪問被攻擊的網(wǎng)站時，可能導(dǎo)致用戶隱私信息泄露。

無論多強大的軟件在設(shè)計之初都難免存在缺陷或漏洞，操作系統(tǒng)軟件也不例外。系統(tǒng)主機之間互異的操作系統(tǒng)具有相對的獨立性，同樣性質(zhì)的漏洞，也會由于操作系統(tǒng)軟件設(shè)計開發(fā)過程的不同，而具有不一樣的表現(xiàn)形式。攻擊者可以很“方便”的通過漏洞對計算機系統(tǒng)進(jìn)行破壞，造成主機癱瘓、重要資料丟失等，嚴(yán)重影響系統(tǒng)的正常運行。

2.2 黑客攻擊

這是一種最嚴(yán)重的網(wǎng)絡(luò)安全威脅。攻擊者通過各種方式尋找系統(tǒng)脆弱點或系統(tǒng)漏洞，由于網(wǎng)絡(luò)系統(tǒng)同構(gòu)冗余環(huán)境的弱點是相同的，多個系統(tǒng)同時故障的概率雖小，但被攻破可能性卻大，通過攔截、竊取等多種方式，向系統(tǒng)實施攻擊，破壞系統(tǒng)重要數(shù)據(jù)，甚至系統(tǒng)癱瘓，給網(wǎng)絡(luò)安全帶來嚴(yán)重威脅。維護(hù)網(wǎng)絡(luò)安全，主要指維護(hù)網(wǎng)絡(luò)的信息安全。保證數(shù)據(jù)的機密、完整是最基本的目標(biāo)。一個安全的網(wǎng)絡(luò)環(huán)境，數(shù)據(jù)未經(jīng)授權(quán)應(yīng)該是不能被任意修改的，任何想獲取該數(shù)據(jù)信息的訪問者都應(yīng)是經(jīng)過授權(quán)的合法用戶。此外，網(wǎng)絡(luò)環(huán)境應(yīng)是可靠的、可被控制的。網(wǎng)絡(luò)管理人員應(yīng)具備豐富的理論和實踐經(jīng)驗，攻擊來臨時能迅速控制安全隱患的傳播。同時，當(dāng)系統(tǒng)不能正常運行時，系統(tǒng)的硬件或軟件資源，都應(yīng)具備及時修復(fù)并保證提供正常服務(wù)的能力。

2.3病毒的危害

網(wǎng)絡(luò)病毒發(fā)病和傳播速度極快,而許多計算機用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網(wǎng)絡(luò)病毒泛濫,不僅嚴(yán)重地危害到了用戶計算機安全,而且極大的消耗了網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內(nèi)部用戶的攻擊越來越多、危害越來越大,已經(jīng)嚴(yán)重影響到了網(wǎng)絡(luò)的正常使用。常見的網(wǎng)絡(luò)病毒有“機器狗”，“桌面幽靈”，“貓癬病毒”等

2.4各種非法入侵和攻擊

由于計算機網(wǎng)絡(luò)接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護(hù)比較薄弱,使得網(wǎng)絡(luò)成為易受攻擊的目標(biāo)。非法入侵者有目的的破壞信息的有效性和完整性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。比如:漏洞、薄弱點掃描,口令破解;非授權(quán)訪問或在非授權(quán)和不能監(jiān)測的方式下對數(shù)據(jù)進(jìn)行修改;通過網(wǎng)絡(luò)傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統(tǒng)資源導(dǎo)致授權(quán)的用戶不能獲得應(yīng)有的訪問或操作被延遲產(chǎn)生了拒絕服務(wù)等。

2.5網(wǎng)絡(luò)自身的安全缺陷

網(wǎng)絡(luò)是一個開放的環(huán)境,TCP/IP是一個通用的協(xié)議,即通過IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識,基于IP地址進(jìn)行多用戶的認(rèn)證和授權(quán),并根據(jù)IP包中源IP地址判斷數(shù)據(jù)的真實和安全性,但該協(xié)議的最大缺點就是缺乏對IP地址的保護(hù),缺乏對源IP地址真實性的認(rèn)證機制,這就是TCP/IP協(xié)議不安全的根本所在。通過TCP/IP協(xié)議缺陷進(jìn)行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。

3.計算機網(wǎng)絡(luò)安全的對策

3.1防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個網(wǎng)絡(luò)接上Inter net之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被答應(yīng)，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

3.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密是網(wǎng)絡(luò)系統(tǒng)中一種比較有效的數(shù)據(jù)保護(hù)方式，目的是為了防止網(wǎng)絡(luò)數(shù)據(jù)的篡改、泄露和破壞。通常數(shù)據(jù)加密采用鏈路加密、端端加密、節(jié)點加密和混合加密方式。鏈路加密是對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，能夠防止搭線竊聽。端端加密是對源節(jié)點用戶到目標(biāo)節(jié)點用戶的數(shù)據(jù)進(jìn)行保護(hù)，方式更加可靠，且易于設(shè)計和實現(xiàn)。節(jié)點加密是對源節(jié)點到目標(biāo)節(jié)點的鏈路提供保護(hù)?；旌霞用苁遣捎面溌芳用芎投硕思用芟嘟Y(jié)合的混合加密方式，可以獲得更高的安全。

3.3防病毒技術(shù)

隨著計算機技術(shù)的不斷發(fā)展，計算機病毒變得越來越復(fù)雜和高級，對計算機信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上，即對本地和本地工作站連

接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)、垃圾郵件傳播幾種方式的對網(wǎng)絡(luò)進(jìn)行傳播和破壞,照成線路堵塞和數(shù)據(jù)丟失損毀。那么建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系是對計算機網(wǎng)絡(luò)整體有效防護(hù)的解決辦法。

3.4做好物理安全防護(hù)

物理安全防護(hù)是指通過采用輻射防護(hù)、屏幕口令、狀態(tài)檢測、報警確認(rèn)、應(yīng)急恢復(fù)等手段保護(hù)網(wǎng)絡(luò)服務(wù)器等計算機系統(tǒng)、網(wǎng)絡(luò)交換路由等網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線纜等硬件實體免受自然災(zāi)害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞。[3]如:將防火墻、核心交換機以及各種重要服務(wù)器等重要設(shè)備盡量放在核心機房進(jìn)行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設(shè)備、主干設(shè)備以及接入交換機等設(shè)備落實到人,進(jìn)行嚴(yán)格管理。物理安全防護(hù)是確保校園網(wǎng)絡(luò)系統(tǒng)正常工作、免受干擾破壞的最基本手段。

3.5配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)

為減少來自網(wǎng)絡(luò)內(nèi)外的攻擊和破壞,需要在網(wǎng)絡(luò)中配置必要的網(wǎng)絡(luò)安全設(shè)備,如網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)、主頁防篡改系統(tǒng)、防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、內(nèi)容過慮系統(tǒng)、補丁升級系統(tǒng)、服務(wù)器的安全監(jiān)測系統(tǒng)等等。通過配置網(wǎng)絡(luò)安全設(shè)備,能夠?qū)崿F(xiàn)對校園網(wǎng)絡(luò)的控制和監(jiān)管,能夠阻斷大量的非法訪問,能夠過濾來自網(wǎng)絡(luò)的不健康數(shù)據(jù)信息,能夠幫助網(wǎng)絡(luò)管理員在發(fā)生網(wǎng)絡(luò)故障時迅速定位。充分利用好這些網(wǎng)絡(luò)安全設(shè)備可以大大提高校園網(wǎng)的安全級別。

3.6服務(wù)器訪問控制策略

服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問,在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。另外對用戶和賬戶進(jìn)行必要的權(quán)限設(shè)置。一是要限制數(shù)據(jù)庫管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限。二是取消默認(rèn)賬戶不需要的權(quán)限選擇合適的賬戶連接到數(shù)據(jù)庫。

3.7建立更安全的電子郵件系統(tǒng)

目前有些優(yōu)秀的電子郵件安全系統(tǒng)具有強大的高準(zhǔn)確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現(xiàn)郵件系統(tǒng)的管理與維護(hù),有的電子郵件系統(tǒng)判別垃圾郵件的準(zhǔn)確率接近百分之百。各用戶要多方分析、比較,選擇優(yōu)秀的電子郵件安全系統(tǒng)保證網(wǎng)絡(luò)的郵件系統(tǒng)安全,以改變郵件系統(tǒng)存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現(xiàn)狀。

很長一段時間，惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認(rèn)賬戶，但這個賬戶是不經(jīng)常用的，然后使用工具把這個賬戶提升到管理員權(quán)限，從表面上看來這個賬戶還是和原來一樣，但是這個克隆的賬戶卻是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。為了避免這種情況，可以用很簡單的方法對賬戶進(jìn)行檢測。

首先在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用“net user+用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不是!如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎肯定你被入侵了，而且別人在你的計算機上克隆了賬戶?？焓褂谩皀et user 用戶名/del”就可以刪掉這個用戶。

4.結(jié)束語

計算機網(wǎng)絡(luò)的安全性越來越受到重視,網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了計算機網(wǎng)絡(luò)不能僅僅依靠防火墻,而涉及到管理和技術(shù)等方方面面。總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。需要仔細(xì)考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個高效、通用、安全的計算機網(wǎng)絡(luò)系統(tǒng)。

第五篇：計算機網(wǎng)絡(luò)安全與防范畢業(yè)論文

計算機網(wǎng)絡(luò)安全與防范

鹽 城 師 范 學(xué) 院

畢業(yè)論文

2013－2014學(xué)

計算機網(wǎng)絡(luò)安全與防范

學(xué)生姓名 學(xué) 院 專 業(yè) 班 級 學(xué) 號 指導(dǎo)教師

2013年 6 月 16 日

計算機網(wǎng)絡(luò)安全與防范

計算機網(wǎng)絡(luò)安全與防范

摘 要

計算機網(wǎng)絡(luò)飛速發(fā)展的同時，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計算機軟件、硬件設(shè)計技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計算機安全技術(shù)等。

在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對信息進(jìn)行加密傳輸、加密存儲、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國家對關(guān)鍵加密算法的出口限制，各個國家正不斷致力于開發(fā)和設(shè)計新的加密算法和加密機制。

從技術(shù)上，[2]網(wǎng)絡(luò)安全取決于兩個方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實現(xiàn)，實現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個主要方向。

在安全技術(shù)不斷發(fā)展的同時，全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認(rèn)識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機結(jié)合。

總之，網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個工具，也不再是一個遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會的各個領(lǐng)域。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)；安全；防范

計算機網(wǎng)絡(luò)安全與防范

[5]Use of information technology to people's lives, ringing all aspects of the work of the

Abstract

convenience and benefits of countless, but the computer information technology and other technologies, like a double-edged sword.When most people practical information technology to improve efficiency, create more wealth for the community, while others are doing the opposite use of information technology may do.They hacking of computer systems to steal confidential information, data tampering and break pots, to society is difficult to estimate the tremendous loss.According to statistics, about 20 seconds, a global computer intrusion incidents, Internet firewall on the network about 1 / 4 was broken, about 70% of executives report network information disclosure of confidential information received the loss.Network security is a matter of national security and sovereignty, social stability, democratic culture, inherit and carry forward the important issue of network security related to computer science, network technology, communication technology, cryptography, information security technology, applied mathematics, number theory, information theory, etc.a variety of science.This paper analyzes the current existence of network security threats and could face attack, network attack was designed and implemented defensive measures, and research-based strategy is proposed as the core of a secure, protection, detection and response as a means A campus network security system to ensure the safety of the campus network, a practical solution.For example: a firewall, authentication encryption, anti-virus technology is today commonly used method, this method of in-depth exploration of these various aspects of network security problems, can make the reader's understanding of network security technology.Keywords: network security, security, network, firewall, intrusion detection, Telnet, TCSEC, P2DR

計算機網(wǎng)絡(luò)安全與防范

目 錄

摘 要......................................................................I 目 錄.....................................................................IV 第1章 緒 論..............................................................1 1.1 計算機網(wǎng)絡(luò)發(fā)展前景...................................................1 1.2 本章小結(jié)............................................錯誤！未定義書簽。第2章 計算機網(wǎng)絡(luò)安全概述..................................................2 2.1 計算機網(wǎng)絡(luò)安全的概念.................................................2 2.2 計算機網(wǎng)絡(luò)安全現(xiàn)狀...................................................3 2.3 本章小結(jié)............................................錯誤！未定義書簽。第3章 網(wǎng)絡(luò)安全的威脅因素..................................................4 3.1 網(wǎng)絡(luò)安全的威脅因素...................................................4 3.2 本章小結(jié)............................................錯誤！未定義書簽。第4章 幾種常用的網(wǎng)絡(luò)安全技術(shù)..............................................4 4.1 防火墻技術(shù)...........................................................4 4.1.1 防火墻的主要功能.................................................5 4.1.2 防火墻的主要優(yōu)點.................................................5 4.1.3 防火墻的主要缺陷.................................................6 4.1.4 防火墻的分類.....................................................6 4.1.5 防火墻的部署.....................................................7 4.2 數(shù)據(jù)加密技術(shù).........................................................8 4.3 系統(tǒng)容災(zāi)技術(shù).........................................................8 4.4 入侵檢測技術(shù).........................................................9 4.4.1 入侵檢測系統(tǒng)的分類...............................................9

計算機網(wǎng)絡(luò)安全與防范

4.4.2 目前入侵檢測系統(tǒng)的缺陷..........................................10 4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動..................................10 4.4.4 結(jié)語............................................錯誤！未定義書簽。4.5 漏洞掃描技術(shù)........................................................11 4.6 物理安全............................................................11 4.7 本章小結(jié)............................................錯誤！未定義書簽。第5章 結(jié)束語與展望.......................................................11 5.1 論文總結(jié)............................................................11 5.2 工作展望............................................................12 致 謝.....................................................................13 參考文獻(xiàn)..................................................................14

計算機網(wǎng)絡(luò)安全與防范

第1章 緒 論

1.1 計算機網(wǎng)絡(luò)發(fā)展前景

[1]計算機網(wǎng)絡(luò)就是計算機之間通過連接介質(zhì)(如網(wǎng)絡(luò)線、光纖等)互聯(lián)起來，按照網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)通信，實現(xiàn)資源共享的一種組織形式。計算機網(wǎng)絡(luò)是二十世紀(jì)60年代起源于美國，原本用于軍事通訊，后逐漸進(jìn)入民用，經(jīng)過短短40年不斷的發(fā)展和完善，現(xiàn)已廣泛應(yīng)用于各個領(lǐng)域，并正以高速向前邁進(jìn)。在不久的將來，我們將看到一個充滿虛擬性的新時代。在這個虛擬時代，人們的工作和生活方式都會極大地改變，那時我們將進(jìn)行虛擬旅行，讀虛擬大學(xué)，在虛擬辦公室里工作，進(jìn)行虛擬的駕車測試等。

對計算機網(wǎng)絡(luò)發(fā)展的前景，我有如下看法：

〔1〕全球因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量。因特網(wǎng)將從一個單純的大型數(shù)據(jù)中心發(fā)展成為一個更加聰明的高智商網(wǎng)絡(luò)，將成為人與信息之間的高層調(diào)節(jié)者。其中的個人網(wǎng)站復(fù)制功能將不斷預(yù)期人們的信息需求和喜好，用戶將通過網(wǎng)站復(fù)制功能篩選網(wǎng)站，過濾掉與己無關(guān)的信息并將所需信息以最佳格式展現(xiàn)出來。同時，個人及企業(yè)將獲得大量個性化服務(wù)。這些服務(wù)將會由軟件設(shè)計人員在一個開放的平臺中實現(xiàn)。由軟件驅(qū)動的智能網(wǎng)技術(shù)和無線技術(shù)將使網(wǎng)絡(luò)觸角伸向人們所能到達(dá)的任何角落，同時允許人們自行選擇接收信息的形式。

〔2〕帶寬的成本將變得非常低廉，甚至可以忽略不計。隨著帶寬瓶頸的突破，未來網(wǎng)絡(luò)的收費將來自服務(wù)而不是帶寬。交互性的服務(wù)，如節(jié)目聯(lián)網(wǎng)的視頻游戲、電子報紙和雜志等服務(wù)將會成為未來網(wǎng)絡(luò)價值的主體。

〔3〕計算機網(wǎng)絡(luò)飛速發(fā)展的同時，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計算機軟件、硬件設(shè)計技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計算機安全技術(shù)等。

在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對信息進(jìn)行加密傳輸、加密存儲、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國家對關(guān)鍵加密算法的出口限制，各個國家正不斷致力于開發(fā)和設(shè)計新的加密算法和加密機制。

從技術(shù)上，網(wǎng)絡(luò)安全取決于兩個方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)

計算機網(wǎng)絡(luò)安全與防范

備的軟件和硬件互相配合來實現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實現(xiàn)，實現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個主要方向。

在安全技術(shù)不斷發(fā)展的同時，全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認(rèn)識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機結(jié)合。

總之，網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個工具，也不再是一個遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會的各個領(lǐng)域。

第2章 計算機網(wǎng)絡(luò)安全概述

2.1 計算機網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

計算機網(wǎng)絡(luò)安全與防范

2.2 計算機網(wǎng)絡(luò)安全現(xiàn)狀

計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計算機和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。[6]在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲、后門(Back-doors)、DOS和Sniffer(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。

計算機網(wǎng)絡(luò)安全與防范

第3章 網(wǎng)絡(luò)安全的威脅因素

3.1 網(wǎng)絡(luò)安全的威脅因素

歸納起來，針對網(wǎng)絡(luò)安全的威脅主要有:軟件漏洞、配置不當(dāng)、安全意識不強、病毒、黑客攻擊等。

〔1〕軟件漏洞：

每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網(wǎng)，將成為眾矢之的。

〔2〕配置不當(dāng): 安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。

〔3〕安全意識不強: 用戶口令選擇不慎，或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。

〔4〕病毒: 目前數(shù)據(jù)安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機軟件、硬件的正常運行并且能夠自我復(fù)制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。因此，提高對病毒的防范刻不容緩。

〔5〕黑客攻擊: 對于計算機數(shù)據(jù)安全構(gòu)成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計算機系統(tǒng)，其危害性非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

第4章 幾種常用的網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻技術(shù)

計算機網(wǎng)絡(luò)安全與防范

網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻[3]。4.1.1 防火墻的主要功能

防火墻的主要功能包括：

〔1〕防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計算機上被執(zhí)行。

〔2〕防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息?！?〕防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。

〔4〕防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問?！?〕防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點。4.1.2 防火墻的主要優(yōu)點

防火墻的主要優(yōu)點包括: 〔1〕可作為網(wǎng)絡(luò)安全策略的焦點

防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結(jié)構(gòu)上形成了一個控制中心，極大地加強了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。

〔2〕可以有效記錄網(wǎng)絡(luò)活動

由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計網(wǎng)絡(luò)的使用和預(yù)警功能。

〔3〕為解決IP地址危機提供了可行方案

由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

計算機網(wǎng)絡(luò)安全與防范

4.1.3 防火墻的主要缺陷

由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：

〔1〕防火墻對繞過它的攻擊行為無能為力。

〔2〕防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。

〔3〕防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。4.1.4 防火墻的分類

防火墻的實現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。

〔1〕包過濾防火墻

包過濾防火墻是在IP層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。

包過濾路由器的最大優(yōu)點是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。

包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個致命的弱點，就是不能在用戶級別上進(jìn)行過濾，即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設(shè)置為一個合法主機的IP地址，則很容易地通過包過濾防火墻。

〔2〕代理防火墻

代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。

代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸、遠(yuǎn)程文件傳輸?shù)取Ｍ瑫r還可應(yīng)用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。

應(yīng)用層網(wǎng)關(guān)包括應(yīng)用代理服務(wù)器、回路級代理服務(wù)器、代管服務(wù)器、IP通道、網(wǎng)絡(luò)

計算機網(wǎng)絡(luò)安全與防范

地址轉(zhuǎn)換器、隔離域名服務(wù)器和郵件技術(shù)等。

〔3〕復(fù)合型防火墻

復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補。

隨著技術(shù)的發(fā)展，防火墻產(chǎn)品還在不斷完善、發(fā)展。目前出現(xiàn)的新技術(shù)類型主要有以下幾種：狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實時侵入檢測系統(tǒng)等。混合使用數(shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和一些新技術(shù)是未來防火墻的趨勢。4.1.5 防火墻的部署

防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候，防火墻才能對此實行檢查，防護(hù)功能。

〔1〕防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵?！?〕如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個VLAN之間設(shè)置防火墻。

〔3〕通過公網(wǎng)連接的總部與各分支機構(gòu)之間應(yīng)該設(shè)置防火墻。〔4〕主干交換機至服務(wù)器區(qū)域工作組交換機的骨干鏈路上。〔5〕遠(yuǎn)程撥號服務(wù)器與骨干交換機或路由器之間。

總之，在網(wǎng)絡(luò)拓?fù)渖?，防火墻?yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。

防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用措施。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。由于它簡單實用且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下，達(dá)到一定的安全要求，所以被廣泛使用。據(jù)預(yù)測近5年世界防火墻需求的年增長率將達(dá)到174%。

目前，市場上防火墻產(chǎn)品很多，一些廠商還把防火墻技術(shù)并入其硬件產(chǎn)品中，即在其硬件產(chǎn)品中采取功能更加先進(jìn)的安全防范機制。可以預(yù)見防火墻技術(shù)作為一種簡單實用的網(wǎng)絡(luò)信息安全技術(shù)將得到進(jìn)一步發(fā)展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護(hù)的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如對數(shù)據(jù)進(jìn)行加密處理。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_，而對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力。要保證企業(yè)內(nèi)

計算機網(wǎng)絡(luò)安全與防范

部網(wǎng)的安全，還需通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實現(xiàn)。

4.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。

數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證，達(dá)到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

數(shù)據(jù)加密技術(shù)主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，能夠有效地防止機密信息的泄漏。另外，它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中，用來防止電子欺騙，這對信息處理系統(tǒng)的安全起到極其重要的作用。

4.3 系統(tǒng)容災(zāi)技術(shù)

一個完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因為任何一種網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全?，F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個存儲器，在兩者之間建立復(fù)制關(guān)系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲器實時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。

集群技術(shù)是一種系統(tǒng)級的系統(tǒng)容錯技術(shù)，通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機和不可用問題。集群系統(tǒng)可以采用雙機熱備份、本地集群網(wǎng)

計算機網(wǎng)絡(luò)安全與防范

絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實現(xiàn)，分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。存儲、備份和容災(zāi)技術(shù)的充分結(jié)合，構(gòu)成的數(shù)據(jù)存儲系統(tǒng)，是數(shù)據(jù)技術(shù)發(fā)展的重要階段。隨著存儲網(wǎng)絡(luò)化時代的發(fā)展，傳統(tǒng)的功能單一的存儲器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲器。

4.4 入侵檢測技術(shù)

入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進(jìn)行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進(jìn)行響應(yīng)、審計和跟蹤等。

典型的IDS系統(tǒng)模型包括4個功能部件： 〔1〕事件產(chǎn)生器，提供事件記錄流的信息源。

〔2〕事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。

〔3〕響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。

〔4〕事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。4.4.1 入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。

[4]網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)絡(luò)的任務(wù)。

主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其它手段（如檢測系統(tǒng)調(diào)用）從所有的主機上收集信息進(jìn)行分析。

入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。

異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件。

誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解

計算機網(wǎng)絡(luò)安全與防范

入侵。例如，著名的Internet蠕蟲事件是利用finger上的守護(hù)進(jìn)程，允許用戶遠(yuǎn)程讀取文件系統(tǒng)，因而存在可以查看文件內(nèi)容的漏洞和(Linux上的守護(hù)進(jìn)程，利用其漏洞可取得root權(quán)限)的漏洞進(jìn)行攻擊。對這種攻擊可以使用這種檢測方法。4.4.2 目前入侵檢測系統(tǒng)的缺陷

入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，目前的IDS還存在很多問題，有待于我們進(jìn)一步完善。

〔1〕高誤報率

誤報率主要存在于兩個方面：一方面是指正常請求誤認(rèn)為入侵行為；另一方面是指對IDS用戶不關(guān)心事件的報警。導(dǎo)致IDS產(chǎn)品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。

〔2〕缺乏主動防御功能

入侵檢測技術(shù)作為一種被動且功能有限的安全防御技術(shù)，缺乏主動防御功能。因此，需要在一代IDS產(chǎn)品中加入主動防御功能，才能變被動為主動。4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動

防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對所有流經(jīng)它的流量進(jìn)行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過（可轉(zhuǎn)發(fā)至任何端口）、各以報頭檢查修改、各層報文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問日志、協(xié)議轉(zhuǎn)換等。

當(dāng)我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實時監(jiān)控功能）等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識描述庫可以提供比防火墻更為準(zhǔn)確、更嚴(yán)格、更全面的訪問行為審查功能。

綜上所述，防火墻與IDS在功能上可以形成互補關(guān)系。這樣的組合較以前單一的動態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動可以很好地發(fā)揮兩者的優(yōu)點，淡化各自的缺陷，使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網(wǎng)絡(luò)安全領(lǐng)域中，動態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動將有很大的發(fā)展市場和空間。

計算機網(wǎng)絡(luò)安全與防范

4.5 漏洞掃描技術(shù)

漏洞掃描是自動檢測遠(yuǎn)端或本地主機安全的技術(shù)，它查詢TCP/IP各種服務(wù)的端口，并記錄目標(biāo)主機的響應(yīng)，收集關(guān)于某些特定項目的有用信息。這項技術(shù)的具體實現(xiàn)就是安全掃描程序。掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的安全脆弱點。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個掃描中，掃描后以統(tǒng)計的格式輸出，便于參考和分析。

4.6 物理安全

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴散出去的空間信號。為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施:

〔1〕產(chǎn)品保障方面:主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。

〔2〕運行安全方面:網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

〔3〕防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機?！?〕保安方面:主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機、安全設(shè)備的安全防護(hù)。

計算機網(wǎng)絡(luò)安全是個綜合性和復(fù)雜性的問題。面對網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個社會越來越快的信息化進(jìn)程，各種新技術(shù)將會不斷出現(xiàn)和應(yīng)用。

網(wǎng)絡(luò)安全孕育著無限的機遇和挑戰(zhàn)，作為一個熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義，相信未來網(wǎng)絡(luò)安全技術(shù)將會取得更加長足的發(fā)展。

第5章 結(jié)束語與展望

5.1 論文總結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，計算機網(wǎng)絡(luò)安全與防范

通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認(rèn)識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。對于這一問題我們應(yīng)該十分重視。

影響計算機網(wǎng)絡(luò)安全的主要因素：

〔1〕網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴充性方面存在問題。

由于設(shè)計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響?！?〕網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。

一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

〔3〕缺乏安全策略。

許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用。

〔4〕訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯誤，從而給他人以可乘之機?！?〕管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)任其自然。

5.2 工作展望

[7]對網(wǎng)絡(luò)安全本質(zhì)的認(rèn)識卻還處于一個相當(dāng)原始的階段，其表現(xiàn)形式是基于密碼術(shù)的網(wǎng)絡(luò)安全和基于防火墻的網(wǎng)絡(luò)安全尚不能完美地結(jié)合成一種更加有效的安全機制。我們期望，如果能夠提出一個合理的數(shù)學(xué)模型，將會對網(wǎng)絡(luò)安全的研究和可實際應(yīng)用網(wǎng)絡(luò)安全系統(tǒng)的開發(fā)起非常大的促進(jìn)作用。

從實用的角度出發(fā)，目前人們已提出了一些基于人工智能的網(wǎng)絡(luò)安全檢測專家系統(tǒng)。這方面，SRI(Stanford Research Institute)和Purdue大學(xué)已做了許多工作。同時，基于主動網(wǎng)絡(luò)安全檢測的安全系統(tǒng)的研究也已起步，在這方面，Internet Security Systems也已有一些產(chǎn)品問世。

計算機網(wǎng)絡(luò)安全與防范

致 謝

感謝所有關(guān)心、支持、幫助過我的良師益友。感謝參考文獻(xiàn)中的各位作者，真誠的感謝對我的幫助。通過這次學(xué)習(xí)，使我更深刻的認(rèn)識網(wǎng)絡(luò)安全的重要性，同時防范也是不容忽視的！

計算機網(wǎng)絡(luò)安全與防范

參考文獻(xiàn)

[1] 李軍義.計算機網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京：北方交通大學(xué)出版社，2006.7． [2] 蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2005.[3] 張嘉寧.網(wǎng)絡(luò)防火墻技術(shù)淺析[J].通信工程.2004(3).[4] 鄭成興.網(wǎng)絡(luò)入侵防范的理論與實踐[M].北京：機械工業(yè)出版社，2006.9.[5] [美] Merike Kaeo 著.網(wǎng)絡(luò)安全性設(shè)計[M].北京：人民郵電出版社，2005.9.[6] 胡道元.計算機局域網(wǎng)[M].北京:清華大學(xué)出版社.2001.[7] 朱理森，張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.