第一篇：計算機網絡安全分析及防范措施 畢業(yè)論文

中央廣播電視大學

畢業(yè)設計（論文）

題 目： 計算機網絡安全分析及防范措施

姓 名 教育層次

學 號 專 業(yè)

指導教師 分 校

摘 要

計算機網絡技術是計算機技術與通信技術高度發(fā)展、緊密結合的產物，計算機網絡對社會生活的方方面面以及社會經濟的發(fā)展產生了不可估量的影響。當前，世界經濟正在從工業(yè)經濟向知識經濟轉變，而知識經濟的兩個重要特點就是信息化和全球化。進入21世紀，網絡已成為信息社會的命脈和發(fā)展知識經濟的重要基礎。從其形成和發(fā)展的歷史來看，計算機網絡是伴隨著人類社會對信息傳遞和共享的日益增長的需求而不斷進步的。

關鍵詞：計算機技術、網絡安全、防范措施

目 錄

摘 要 ????????????????????????????? 2 目 錄 ????????????????????????????? 3 引 言 ????????????????????????????? 4 第一章 計算機網絡簡介 ????????????????????? 5

（一）數字語音多媒體三網合一 ?????????????????? 5

（二）IPv6協(xié)議 ????????????????????????? 5 第二章 計算機網絡安全 ????????????????????? 7

（一）網絡硬件設施方面 ????????????????????? 7

（二）操作系統(tǒng)方面 ??????????????????????? 7

（三）軟件方面 ????????????????????????? 8 第三章 計算機網絡安全以及防范措施 ??????????????? 10

（一）影響安全的主要因素 ???????????????????? 10

（二）計算機網絡安全防范策略 ?????????????????? 11 第四章 結論 ?????????????????????????? 13 第五章 致辭 ?????????????????????????? 14 第六章 參考文獻 ???????????????????????? 15

引 言

計算機網絡就是計算機之間通過連接介質互聯起來，按照網絡協(xié)議進行數據通信，實現資源共享的一種組織形式。在如今社會，計算機網絡技術日新月異，飛速發(fā)展著，計算機網絡遍及世界各個角落，應用到各個行業(yè)，普及到千家萬戶；他給我們帶來了很多便利，但同時計算機網絡故障也讓我們煩惱，本此課題主要探討計算機網絡安全。

第一章 計算機網絡簡介

計算機網絡技術涉及計算和通信兩個領域，計算機網絡正是計算機強大的計算能力和通信系統(tǒng)的遠距離傳輸能力相結合的產物。從20世紀70年代以主機為中心的主機——終端模式，到20世紀80年代客戶機/服務器、基于多種協(xié)議的局域網方式，再到現在以Internet TCP/IP 協(xié)議為基礎的網絡計算模式，短短的30多年間，計算機網絡技術得到了迅猛的發(fā)展，全世界的計算機都連接在一起，任何人在任何地方、任何時間都可以共享全人類所共有的資源。20世紀90年代后，Internet的廣泛應用和各種熱點技術的研究與不斷發(fā)展，使計算機網絡發(fā)展到了一個新的階段。

（一）數字語音多媒體三網合一

目前，計算機網絡與通信技術應用發(fā)展的突出特點之一是要實現三網合一。所謂三網合一就是將計算機網、有線電視網和電信網有機融合起來，以降低成本，方便使用，提高效率，增加經濟效益和社會效益。

三網合一是網絡發(fā)展的必然趨勢。Internet的出現造就了一個龐大的產業(yè)，同時推動了其它相關產業(yè)的發(fā)展。一些新興業(yè)務如電子商務、電子政務、電子科學、遠程教學、遠程醫(yī)療、視頻會議和在線咨詢等，使人們能突破時間和空間的限制，坐在家中就可以工作、學習和娛樂。

（二）IPv6協(xié)議

IP協(xié)議開發(fā)于上個世紀70年代，并逐步發(fā)展成為今天廣泛使用的IPv4。不可置疑，它是一個巨大的成功，在過去的20多年中，被認為是一項偉大的創(chuàng)舉。但是日益增長的對多種服務質量業(yè)務的要求——尤其是安全性和實時性的要求，已經使得Internet不堪重負，而IPv4的不足也日益明顯地顯現出來。具體表現在以下幾個方面：（1）地址資源即將枯竭

（2）路由選擇效率不高，路由表急劇膨脹（3）缺乏提供QoS的保障

（4）缺少對于移動特性Mobile的支持（5）在安全方面存在很大不足

IPv6是一個Internet協(xié)議的新版本，相對于IPv4，它有了革命性的發(fā)展，而且IPv4的很多有用的功能都繼續(xù)保留了下來。相比于以前的版本，它有了許多新的特性：

鄰居發(fā)現和利用鄰居發(fā)現實現自動配置。通過使用鄰居發(fā)現實現了以下一些功能：路由器探測，參數探測，地址自動配置，重復地質探測，地址解析，相鄰節(jié)點連通性測試，選徑，重定位等等。

IPv6的安全性分析。其中包括身份驗證等方式阻止信息報探測、IP欺騙、連接截獲等攻擊方法的入侵。

此外還有服務質量功能、移動性等新特性。

未來的網絡將能夠提供豐富的語音、數據、圖像和多媒體業(yè)務。如多媒體會議、辦公學習網絡化、電子圖書館等。這些新的功能將會對社會的進步和人類的發(fā)展起到不可估量的推動作用。

第二章 計算機網絡安全

計算機網絡安全是指“為數據處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。

計算機網絡所面臨的威脅是多方面的，既包括對網絡中信息的威脅，也包括對網絡中設備的威脅，但歸結起來，主要有以下幾個方面。

（一）網絡硬件設施方面

計算機網絡硬件設施是互聯網中必不可少的部分，硬件設施本身就有著安全隱患。電子輻射泄露就是其主要的安全隱患問題，也就是說計算機和網絡所包含的電磁信息泄露了，這增加了竊密、失密、泄密的危險；此外安全隱患問題也體現在通信部分的脆弱性上，在進行數據與信息的交換和通信活動時，主要通過四種線路，即光纜、電話線、專線、微波，除光纜外其它三種線路上的信息比較容易被竊?。怀鲜龇矫嫱?，計算機的操作系統(tǒng)與硬件組成的脆弱性，也給系統(tǒng)的濫用埋下了隱患。另外，移動存儲介質。移動存儲介質比如U盤、移動硬盤等，由于其自身具有方便小巧、存儲量大、通用性強、易攜帶等特點，應用比較廣泛，尤其是涉密單位，這給網絡系統(tǒng)的信息安全造成很大的隱患。如有的不知道U盤、移動硬盤上刪除的文件能夠還原，將曾經存貯過私密信息的U盤外借，造成信息的泄露。

（二）操作系統(tǒng)方面

操作系統(tǒng)是對網絡系統(tǒng)與本地計算機的安全起關鍵的決定性作用的部分。這是 7 因為構建用戶連接、上層軟件、計算機硬件三者間聯系的就是計算機的操作系統(tǒng)。操作系統(tǒng)要在復雜的網絡環(huán)境下能夠更好的工作，無疑會出現安全方面的漏洞，后門與系統(tǒng)漏洞是操作系統(tǒng)最主要的安全隱患，其包含諸多的問題，比如Windows的遠程過程調用RPC漏洞、Linux下的緩沖區(qū)溢出等。所以，很容易可以看出，在不能完全符合軟件安全需要的情況下所引發(fā)的計算機網絡系統(tǒng)的主要缺陷是操作系統(tǒng)軟件的安全漏洞的本質，另外，由于操作系統(tǒng)存在安全隱患，數據庫程序及電子郵件等都有可能會存在危險。根據漏洞被利用的不同方式，有大約237條的攻擊屬于遠程攻擊，而本地攻擊僅有25條，由此得出的關鍵數據，并及時給出報警。解決這種故障，只有對路由器進行升級、擴大內存等，或者重新規(guī)劃網絡拓撲結構。

路由器的SNMP進程意外關閉，這時網絡管理系統(tǒng)將不能從路由器中采集到任何數據，因此網絡管理系統(tǒng)失去了對該路由器的控制?；蛘呔€路中斷，沒有流量。

由此可以看出漏洞被利用的主要方式是遠程攻擊，遠程攻擊對于網絡安全帶來了巨大的隱患。

（三）軟件方面

近年來，Oracle、微軟、Sun都公布了安全更新公告，提醒用戶盡快下載、安裝官方網站上的相應程序，這些安全策略內容主要涉及Windows操作系統(tǒng)內核更新和Office組件的安全更新，操作系統(tǒng)的安全形勢非常的嚴峻，給用戶的信息帶來了巨大的隱患。一旦有漏洞的系統(tǒng)在執(zhí)行過程中出現缺陷，同時遇到攻擊，很可能會引發(fā)系統(tǒng)的完全失效。應用軟件的與生俱來的特征之一就是軟件缺陷。這些缺陷不僅存在于小程序，也貫穿于大軟件之中，生命與財產因此面臨很大的威脅。最為典型的例子是上個世紀的海灣戰(zhàn)爭中，軟件計時系統(tǒng)存在誤差，而且這一誤差不斷被累積，致使美軍的愛國者導彈攔截伊拉克飛毛腿導彈失敗，出現了巨大的人員傷亡，8 引發(fā)了嚴重的后果。不少網絡安全問題是由應用軟件所存在的缺陷引起的，應用軟件的這些安全隱含必須受到足夠的重視?？傊?，從目前的情況來看，我國自2000年來越來越重視信息安全的關鍵作用，信息與網絡安全產業(yè)初步形成了一定規(guī)模。然而從總的情況看，我們國家的信息與網絡安全依然存在著巨大的問題。隨著網絡的普及，移動，互聯網，電信業(yè)務的不斷整合，需要把網絡建設成真正可靠、安全的網絡已經成為每個網絡安全研究人員必須解決的主要問題之一。

第三章 計算機網絡安全以及防范措施

由于計算機網絡的開放性、互連性等特征，致使網絡為病毒、黑客和其他不軌的攻擊提供機會，所以研究計算機網絡的安全以及防范措施是必要的，這樣才能確保網絡信息的保密性、安全性、完整性和可用性。

（一）影響安全的主要因素

1、病毒惡意侵入

計算機病毒是指人為編輯的語言代碼，能夠對網絡安全構成攻擊性破壞，且具有傳染性、復雜性等特點。例如：蠕蟲作為一種特殊編制代碼，能夠在網絡環(huán)境下進行復制，對用戶計算機網絡構成一定損害，不僅如此，病毒隨著技術快速發(fā)展而發(fā)展，并有超越計算機技術的勢頭，給計算機網絡安全構成了極大威脅。

2、黑客強行攻擊

黑客攻擊主要是指在沒有經過法律允許的前提下，直接進入到某計算機中，對用戶數據信息造成破壞或者竊取相關信息資料的行為，最終造成計算機系統(tǒng)癱瘓。此外，黑客極有可能將隱藏的病毒程度植入到用戶計算機當中，進行長期破壞性操作和控制，竊取用戶個人信息。相比較病毒而言，黑客更具有威脅性，人為不可控性是解決黑客問題的主要瓶頸。

3、操作系統(tǒng)問題

計算機操作系統(tǒng)自身存在一定安全隱患，在文件傳輸過程中，很多安裝程序中隱含著可執(zhí)行文件，而這些文件其中不乏存在一些人為編程文件，并在文件安裝程序中，出現安裝失敗等問題，影響軟件正常使用，給用戶帶來諸多不便，且對部分網絡用戶而言，辦公網絡往往采用非正版軟件，常常出現系統(tǒng)漏洞問題。

4、網絡釣魚

隨著電子商務快速發(fā)展，人們專注于網購，給不法分子違法犯罪帶來可乘之機，不法分子通過偽造網站或者隨機向用戶發(fā)送電子郵件等途徑，將病毒潛藏在用戶計算機中，并在用戶交易過程中，獲取用戶個人信息，對用戶造成不良影響。

（二）計算機網絡安全防范策略

1、充分利用評估技術，及時進行病毒查殺

安全狀態(tài)評估技術主要是對系統(tǒng)進行整體性分析，明確計算機系統(tǒng)存在風險情況，一般利用惡意代碼檢測，木馬查殺等途徑開展工作，例如：360木馬查殺軟件，對計算機進行定期病毒查殺，可以提高計算機自身免疫力，另外，為了促使軟件發(fā)揮積極作用，用戶需要定期做好軟件升級工作，提高軟件有效性，避免病毒入侵，另外，防范病毒的關鍵在于切斷病毒來源，用戶要訪問正規(guī)網站，需要對外來文件進行掃描，確保無病毒后，方可安裝，這就為計算機網絡在源頭構建齊了安全防范屏障。

2、采用防火墻技術，設置訪問權限

就現階段來看，防火墻技術在控制網絡訪問、保障內網信息安全等方面應用較為廣泛，防火墻技術結合不同網絡安全級別，通過檢測信息數據包中的目標端口、源端口等信息，確保各項信息與訪問設置權限相符合，允許通過，反之，則會被拒之門外。防火墻主要包括三個類型：包過濾式、地址轉換式及代理式防火墻，不同類型防火墻具有各自優(yōu)勢，如設置代理式防火墻，全部訪問均需要通過SOCKS封裝，并進行解包匹配，根據結果向服務器發(fā)出請示，以此來實現對計算機網絡安全保護目標。

3、構建安全網絡系統(tǒng)，提高網絡運行質量

一方面，我國局域網一般是將路由器作為邊界、以交換機作為傳輸的格局，為此，設計師可以采取分段技術，通過邏輯和物理分段技術，避免處于同一環(huán)境中的其他節(jié)點接收信息，有效隔離數據信息及非法用戶，最大限度避免非法偵聽問題的出現，監(jiān)督并控制局域網，確保網絡穩(wěn)定運行；另一方面，可以取代交換式集線器，利用共享式集線器，同樣能夠實現上述目標，提高網絡運行質量。

4、采取多樣化手段，設置網絡危險陷阱

除了入侵技術及防火墻等相對成熟的技術之外，陷阱網絡技術以其自身捕捉危險因素優(yōu)勢，受到廣泛關注，其主要是指在網絡開放性基礎之上，針對某些特定的資源，設置網絡陷阱，將入侵者引入到受控范圍之內，降低正常系統(tǒng)被攻擊的概率。目前，陷阱網絡系統(tǒng)主要包括蜜罐系統(tǒng)等，其在應用中能夠模擬某些常見漏洞或者模擬其他操作系統(tǒng)等，誘騙入侵者，從而有效保護計算機網絡安全。通過這種方式，不僅能夠避免計算機網絡受到危害，還能夠及時控制入侵者，提升用戶主導位置的同時，及時排除安全隱患，營造良好的網絡環(huán)境，為用戶提供更加優(yōu)質的服務。

5、增強安全防護意識，拒絕訪問非法網站

單純的依靠技術進行網絡安全防護是難以實現這一目標的，用戶自身也要樹立安全防護意識，加強對瀏覽網頁過程中遇到的信息窗口進行判斷，確保其安全、可靠后才能夠繼續(xù)瀏覽，針對不能夠確定其安全與否的網頁要及時舉報，有效避免安全隱患，提高防范有效性。另外，還需要利用多種形式，例如：媒體、報紙等，加大對網絡安全防護重要性的宣傳力度，針對惡意信息網站要及時通報，避免用戶二次瀏覽，推動計算機網絡健康運行。

第五章 結論

網絡信息安全已經成為21世紀世界十大熱門課題之一，已經引起社會廣泛關注。網絡安全是個系統(tǒng)工程，計算機網絡安全已經成為網絡建設的重要任務。網絡安全技術涉及法律法規(guī)、政策、策略、規(guī)范、標準、機制、措施、管理和技術等方面，是網絡安全的重要保障。

信息、物資、能源已經成為人類社會賴以生存與發(fā)展的三大支柱和重要保障，信息技術的快速發(fā)展為人類社會帶來了深刻的變革。隨著計算機網絡技術的快速發(fā)展，我國在網絡化建設方面取得了令人矚目的成就，電子銀行、電子商務和電子政務的廣泛應用，使計算機網絡已經深入到國家的政治、經濟、文化和國防建設的各個領域，遍布現代信息化社會的工作和生活每個層面，“數字化經濟”和全球電子交易一體化正在形成。計算機網絡安全不僅關系到國計民生，還與國家安全密切相關，不僅涉及到國家政治、軍事和經濟各個方面，而且影響到國家的安全和主權。隨著計算機網絡的廣泛應用，網絡安全的重要性尤為突出。因此，要加強對影響計算機網絡安全因素的分析和研究，明確危險因素，了解各種防范技術，并增強安全防范意識。從多個角度入手，提高對計算機網絡安全的管理，加大對違法犯罪行為的打擊力度，且重視對安全技術軟件及產品的開發(fā)，為防范工作提供支持，從而促使計算機網絡在人類社會發(fā)展中發(fā)揮最大積極作用。

第五章 致辭

本次畢業(yè)論文是在老師的悉心指導下完成的。在論文的準備及寫作過程中，我一直由老師帶領，老師對工作認真負責，一絲不茍。他嚴謹的治學態(tài)度、淵博的學科知識、高度的責任心，使我受益匪淺，讓我不僅學到了許多專業(yè)知識，最重要的是學到了許多做人做事的道理。

在此我要向一直以來辛苦工作的老師表示我最衷心的感謝和最崇高的敬意!另外，本次論文的順利完成也離不開其他老師和同學的幫助，在此一并表示感謝！

第六章 參考文獻

［1］Windows網絡操作系統(tǒng)管理(中央廣播電視大學出版社)。［2］網絡系統(tǒng)管理與維護(中央廣播電視大學出版社)。

第二篇：淺析計算機網絡安全威脅及防范措施

淺析計算機網絡安全威脅及防范措施

作者任 慧072701061

［摘要］隨著計算機網絡技術的快速發(fā)展，網絡安全日益成為人們關注的焦點。本文分析了影響網絡安全的主要因素及攻擊的主要方式，從管理和技術兩方面就加強計算機網絡安全提出了針對性的建議。

［關鍵詞］計算機網絡 安全 管理 技術

計算機網絡是一個開放和自由的空間，它在大大增強信息服務靈活性的同時，也帶來了眾多安全隱患，黑客和反黑客、破壞和反破壞的斗爭愈演愈烈，不僅影響了網絡穩(wěn)定運行和用戶的正常使用，造成重大經濟損失，而且還可能威脅到國家安全。如何更有效地保護重要的信息數據、提高計算機網絡系統(tǒng)的安全性已經成為影響一個國家的政治、經濟、軍事和人民生活的重大關鍵問題。本文通過深入分析網絡安全面臨的挑戰(zhàn)及攻擊的主要方式，從管理和技術兩方面就加強計算機網絡安全提出針對性建議。

1.影響網絡安全的主要因素

計算機網絡所面臨的威脅是多方面的，既包括對網絡中信息的威脅，也包括對網絡中設備的威脅，但歸結起來，主要有三點：一是人為的無意失誤。如操作員安全配置不當造成系統(tǒng)存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的帳號隨意轉借他人或與別人共享等都會給網絡安全帶來威脅。二是人為的惡意攻擊。這也是目前計算機網絡所面臨的最大威脅，比如敵手的攻擊和計算機犯罪都屬于

這種情況，此類攻擊又可以分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。三是網絡軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。絕大部分網絡入侵事件都是因為安全措施不完善，沒有及時補上系統(tǒng)漏洞造成的。此外，軟件公司的編程人員為便于維護而設置的軟件“后門”也是不容忽視的巨大威脅，一旦“后門”洞開，別人就能隨意進入系統(tǒng)，后果不堪設想。

2.計算機網絡受攻擊的主要形式

計算機網絡被攻擊，主要有六種形式。①內部竊密和破壞。內部人員有意或無意的泄密、更改記錄信息或者破壞網絡系統(tǒng)。②截收信息。攻擊者可能通過搭線或在電磁輻射的范圍內安裝截收裝置等方式，截獲機密信息或通過對信息流和流向、通信頻度和長度等參數的分析，推出有用的信息。③非法訪問。指未經授權使用網絡資源或以未授權的方式使用網絡資源,主要包括非法用戶進入網絡或系統(tǒng)進行違法操作和合法用戶以未授權的方式進行操作。④利用TCP/IP 協(xié)議上的某些不安全因素。目前廣泛使用TCP/IP 協(xié)議存在大量安全漏洞，如通過偽造數據包進行，指定源路由（源點可以指定信息包傳送到目的節(jié)點的中間路由）等方式，進行APR 欺騙和IP 欺騙攻擊。⑤病毒破壞。利用病毒占用帶寬，堵塞網絡，癱瘓服務器，造成系統(tǒng)崩潰或

讓服務器充斥大量垃圾信息，導致數據性能降低。⑥其它網絡攻擊方式。包括破壞網絡系統(tǒng)的可用性，使合法用戶不能正常訪問網絡資源，拒絕服務甚至摧毀系統(tǒng)，破壞系統(tǒng)信息的完整性，還可能冒充主機欺騙合法用戶，非法占用系統(tǒng)資源等。

3.加強計算機網絡安全的對策措施

3.1 加強網絡安全教育和管理：對工作人員結合機房、硬件、軟件、數據和網絡等各個方面安全問題，進行安全教育，提高工作人員的安全觀念和責任心；加強業(yè)務、技術的培訓，提高操作技能；教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。同時，要保護傳輸線路安全。對于傳輸線路，應有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少各種輻__射引起的數據錯誤；線纜鋪設應當盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。要定期檢查連接情況，以檢測是否有搭線竊聽、非法外連或破壞行為。

3.2 運用網絡加密技術：網絡信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。加密數據傳輸主要有三種：①鏈接加密。在網絡節(jié)點間加密，在節(jié)點間傳輸加密的信息，傳送到節(jié)點后解密，不同節(jié)點間用不同的密碼。②節(jié)點加密。與鏈接加密類似，不同的只是當數據在節(jié)點間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進行解密和重加密，這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網絡的數據加密，然后待數據從網絡傳送出后再進行解密。網絡的加密技術很多，在實際應用中，人們通常根據各種加密算法結合在一起使用，這樣可以更加有效地加強網絡的完全性。網絡加密技術也是網絡安全最有效的技術之

一。既可以對付惡意軟件攻擊，又可以防止非授權用戶的訪問。

3.3 加強計算機網絡訪問控制：訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非正常訪問，也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。訪問控制技術主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監(jiān)測和鎖定控制、網絡端口和節(jié)點的安全控制。根據網絡安全的等級、網絡空間的環(huán)境不同，可靈活地設置訪問控制的種類和數量。

3.4 使用防火墻技術：采用防火墻技術是解決網絡安全問題的主要手段。防火墻技術是建立在現代通信網絡技術和信息技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環(huán)境之中。防火墻是在網絡之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制，并且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效地監(jiān)控內部網和Internet 之間的任何活動，保證內部網絡的安全。防火墻的應用可最大限度地保障網絡的正常運行，它可以起著提高內部網絡的安全性、強化網絡安全策略、防止內部信息泄漏、網絡防毒、信息加密、存儲通信、授權、認證等重要作用。

總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術措施。因此，只有綜合采取多種防范措施，制定嚴格的保密政策和明晰的安全策略，才能完好、實時地保證信息的機密性、完整性和可用性，為網絡提供強大的安全保證。

參考文獻

［1］吳鈺鋒，劉泉，李方敏.網絡安全中的密碼技術研究及其應用［J］.真空電子技術，2004.［2］楊義先.網絡安全理論與技術［M］.北京：人民郵電出版社，2003.［3］李學詩.計算機系統(tǒng)安全技術［M］.武漢：華中理工大學出版社，2003.

第三篇：計算機網絡安全畢業(yè)論文

計算機網絡安全畢業(yè)論文

課題名稱：計算機網絡安全 姓名：呂金亮 班級：1031網絡 專業(yè)：計算機應用 指導教師： 完成日期：

摘要:

21世紀的一些重要特征就是數字化，網絡化和信息化，它是一個以網絡為核心的信息時代。隨著計算機互聯網技術的飛速發(fā)展，網絡信息已經成為社會發(fā)展的重要組成部分。它涉及到政府、經濟、文化、軍事等諸多領域。由于計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征，致使網絡信息容易受到來自黑客竊取、計算機系統(tǒng)容易受惡意軟件攻擊，因此，網絡信息資源的安全及管理維護成為當今信息話時代的一個重要話題。

文中首先論述了信息網絡安全內涵發(fā)生的根本變化,闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性,以及網絡面臨的安全性威脅（黑客入侵）及管理維護（防火墻安全技術）。進一步闡述了網絡拓撲結構的安全設計，包括對網絡拓撲結構的分析和對網絡安全的淺析。然后具體講述了網絡防火墻安全技術的分類及其主要技術特征，防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法做了簡要的分析，論述了其安全體系的構成。

關鍵詞：信息安全 網絡 防火墻 數據加密

目錄

首頁........................................................................1 目錄........................................................................3 第一章 引言 1.1 概述.................................................................4 1.2 1.3 網絡安全技術的研究目的 意義和背景....................................4 計算機網絡安全的含義.................................................5 第二章 網絡安全初步分析 2.1 網絡安全的必要性.....................................................6 2.2 網絡的安全管理.......................................................6 2.2.1安全管理原則.................................................6 2.2.2安全管理的實現.................................................7 2.3 采用先進的技術和產品

2.3.1 防火墻技術....................................................7 2.3.2 數據加密技術..................................................7 2.3.3 認證技術......................................................7 2.3.4 計算機病毒的防范..............................................7 2.4 常見的網絡攻擊及防范對策...............................................8 2.4.1 特洛伊木馬....................................................8 2.4.4 淹沒攻擊......................................................8 第三章 網絡攻擊分析及特點........................................................9 第四章 網絡安全面臨的威脅 3.1自然災害 3.2網絡軟件漏洞 3.3黑客的威脅和攻擊 3.4計算機病毒

3.5垃圾郵件和間諜軟件 3.6計算機犯罪

第4章 計算機網絡安全防范策略

4.1 防火墻技術

4.1.1 防火墻的主要功能 4.1.2 防火墻的主要優(yōu)點 4.1.3 防火墻的主要缺陷 4.1.4 防火墻的分類 4.1.5 防火墻的部署 4.2 數據加密技術 4.3 系統(tǒng)容災技術 4.4 入侵檢測技術

4.4.1 入侵檢測系統(tǒng)的分類 4.4.2 目前入侵檢測系統(tǒng)的缺陷

4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯動 4.4.4 結語 4.5 漏洞掃描技術

4.6 物理安全

第四章 網絡安全技術

4.1 防火墻的定義和選擇......................................................12 4.2 加密技術................................................................12 4.2.1 對稱加密技術.....................................................12 4.2.2 非對稱加密/公開密鑰加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注冊與認證管理...........................................................13 4.3.1 認證機構...........................................................13 4.3.2 注冊機構..........................................................13 4.3.3 密鑰備份和恢復....................................................13 第五章 安全技術的研究

5.1 安全技術的研究現狀和方向................................................14 5.1.1 包過濾型..........................................................14 5.1.2 代理型............................................................14

結束語.....................................................................15 參 考 文 獻

第一章 引言

1.1 概述

我們知道, 21世紀的一些重要特征就是數字化,網絡化和信息化,它是一個以網絡為核心的信息時代。要實現信息化就必須依靠完善的網絡，因為網絡可以非常迅速的傳遞信息。因此網絡現在已成為信息社會的命脈和發(fā)展知識經濟的基礎。

隨著計算機網絡的發(fā)展，網絡中的安全問題也日趨嚴重。當網絡的用戶來自社會各個階層與部門時，大量在網絡中存儲和傳輸的數據就需要保護。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國特色的網絡安全體系。

一個國家的安全體系實際上包括國家的法律和政策，以及技術與市場的發(fā)展平臺。我國在構建信息信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發(fā)展名族的安全產業(yè),帶動我國網絡安全技術的整體提高。

網絡安全產品有以下幾個特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統(tǒng)一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷的變化；第三，隨著網絡在社會各個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規(guī)的支持及集團聯合開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷的向上攀升，所以安全產業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產業(yè)。

信息安全是國家發(fā)展所面臨的一個重要問題，對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來數字化、網絡化、信息化的發(fā)展將起到非常重要的作用。

1.2 網絡安全技術的研究目的、意義和背景

目前計算機網絡面臨著很大的威脅，其構成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網絡安全已被信息社會的各個領域所重視。

隨著計算機絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征，致使網絡容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統(tǒng)、銀行和政府等傳輸銘感數據的計算機網絡系統(tǒng)而言，其網上信息的安全性和保密性尤為重要。因此，上述的網絡必須要有足夠強的安全措施，否則該網絡將是個無用、甚至會危機國家安全的網絡。無論是在局域網中還是在廣域網中，都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性，故此，網絡的安全措施應是能全方位的針對各種不同的威脅和網絡的脆弱性，這樣才能確保網絡信息的保密性、完整性、和可行。為了確保信息安的安全與暢通，研究計算機網絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網絡安全的管理及技術措施。

認真分析網絡面臨的威脅，我認為計算機網絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網絡應用部門領導的重視，加強工作人員的責任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎上，再采用現金的技術和產品，構造全防衛(wèi)的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。

1.3 計算機網絡安全的含義

計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發(fā)的災害，軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續(xù)性。

從本質上來講，網絡安全包括組成網絡系統(tǒng)的硬件、軟件極其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰(zhàn)。

第二章 網絡安全初步分析

2.1 網絡安全的必要性

隨著計算機技術的不斷發(fā)展，計算機網絡已經成為信息時代的重要特征。人們稱它為信息高速公路。網絡是計算機技術和通信技術的產物，適應社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設自己的信息高速公路。我國近年來計算機網絡發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里，計算機網絡一定會得到極大的發(fā)展，那時將全面進入信息時代。正因為網絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。

2.2 網絡的安全管理

面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網絡安全的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網絡安全所必須考慮的基本問題。

2.2.1安全管理原則

網絡信息系統(tǒng)的安全管理主要基于3個原則： ① 多人負責原則

每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有：訪問控制使用證件的發(fā)放與回收，信息處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護，系統(tǒng)軟件的設計、實現和修改，重要數據的刪除和銷毀等。

② 任期有限原則

一般來講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期的循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。③ 職責分離原則

除非經系統(tǒng)主管領導批準，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情。出于對安全的考慮，下面每組內的兩項信息處理工作應當分開：計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統(tǒng)管理、應用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機操作與信息處理系統(tǒng)使用媒介的保管等。

2.2.2 安全管理的實現

信息系統(tǒng)的安全管理部門應根據管理原則和該系統(tǒng)處理數據的保密性，制定相應的管理制度或采用相應的規(guī)范。具體工作是:

①

根據工作的重要程度，確定該系統(tǒng)的安全等級。

②

根據確定的安全等級，確定安全管理范圍。

③

制定相應的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用此卡、身份卡等手段，對人員進行識別，登記管理。

2.3 采用先進的技術和產品

要保證計算機網絡安全的安全性，還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。

2.3.1 防火墻技術

為保證網絡安全，防止外部網對內部網的非法入侵，在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。它可以監(jiān)測、限制、更改跨越防火墻的數據流，確認其來源及去處，檢查數據的格式及內容，并依照用戶的規(guī)則傳送或阻止數據。其主要有：應用層網關、數據包過濾、代理服務器等幾大類型。

2.3.2 數據加密技術

與防火墻配合使用的安全技術還有數據加密技術，是為了提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要技術手段之一。隨著信息技術的發(fā)展，網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數據加密技術和物理防范技術的不斷發(fā)展。按作用的不同，數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。

2.3.3 認證技術

認證技術是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程，即認證建立信息的發(fā)送者或接受者的身份。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲等。目前使用的認證技術主要有：消息認證、身份認證、數字簽名。

2.3.4 計算機病毒的防范

首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件：

① 較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種，在各種操作系統(tǒng)中包括Windows、UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強的特點。

② 完善的升級服務。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層出不窮的計算機病毒。

2.4 常見的網絡攻擊和防范對策

2.4.1 特洛伊木馬

特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實現攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力，在網絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網絡攻擊者可以讀寫未經授權的文件，甚至可以獲得對被攻擊的計算機的控制權。

防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數字簽名，而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網絡掃描軟件定期監(jiān)視內部主機上的監(jiān)聽TCP服務。2.4.2 郵件炸彈

郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬，占據郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。

防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復消息，也可以使自己的SMTP連接只能達成指定的服務器，從而免受外界郵件的侵襲。

2.4.3 過載攻擊

過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊，它是通過大量地進行人為的增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。

防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在著一定的負面效應。通過對單個用戶所擁有的最大進程數的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應，從而出現類似拒絕服務的現象。通常，管理員可以使用網絡監(jiān)視工具來發(fā)現這種攻擊，通過主機列表和網絡地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現攻擊究竟是來自于網絡內部還是網絡外部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。2.4.4 淹沒攻擊

正常情況下，TCP連接建立要經過3次握手的過程，即客戶機向客戶機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時的主機IP不存在或當時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機發(fā)送SYN請求，被攻擊主機就一直處于等待狀態(tài)，從而無法響應其他用戶請求。

對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數，當連接數超過某一給定的數值時，實時關閉這些連接。

第三章 網絡攻擊分析及特點

攻擊是指非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網絡上成功實施的攻擊級別以來于擁護采取的安全措施。

在此先分析下比較流行的攻擊Dodos分布式拒絕服務攻擊：Does是Denial of Service的簡稱，即拒絕服務，造成Does的攻擊行為被稱為Does攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的Does攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕服務（DDoS:Distributed Denial of Service）攻擊是借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在 Internet 上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。而且現在沒有有限的方法來避免這樣的攻擊。

因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？

1.確保所有服務器采用最新系統(tǒng)，并打上安全補丁。計算機緊急響應協(xié)調中心發(fā)現，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。

2.確保管理員對所有主機進行檢查，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？ 誰在使用主機？ 哪些人可以訪問主機？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。

3.確保從服務器相應的目錄或文件數據庫中刪除未使用的服務如FTP或NFS.等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權系統(tǒng)的權限，并能訪問其他系統(tǒng)—甚至是受防火墻保護的系統(tǒng)。

4.確保運行在 Unix上的所有服務都有TCP封裝程序，限制對主機的訪問權。5.禁止內部網通過Modem連接至PSTN 系統(tǒng)。否則，黑客能通過電話線發(fā)現未受保護的主機，即刻就能訪問極為機密的數據。

6.禁止使用網絡訪問程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網絡上的重要服務器。此外，在Unix上應該將.rhost 和 hosts.equiv 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!7.限制在防火墻外與網絡文件共享。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。

8.確保手頭上有一張最新的網絡拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網絡設備，還應該包括網絡邊界、非軍事區(qū)（DMZ）及網絡的內部保密部分。

9.在防火墻上運行端口映射程序或端口掃描程序。大多數時間是由于防火墻配置不當造成的，使DoS/ DDoS攻擊成功率很高，所以一定要認真檢查特權端口和非特權端口。

10.檢查所有網絡設備和主機/服務器系統(tǒng)的日志。只要日志出現紕漏或時間出現變更，幾乎可以坑定：相關的主機安全收到了威脅。

計算機網絡的攻擊特

1．損失巨大

由于攻擊和入侵的對象是網絡上的計算機,因此攻擊一旦成功,就會使網絡中的計算機處于癱瘓狀態(tài),從而給計算機用戶造成巨大的經濟損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均每起計算機犯罪案件所成的經濟損失是一般案件的幾十到幾百倍。

2．威脅社會和國家安全

一些計算機網絡攻擊者出于各種目的經常把政府部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。

3．手段多樣與手法隱蔽

計算機攻擊的手段可以說五花八門:網絡攻擊者既可以通過監(jiān)視網上數據來獲取別人的保密信息,又可以通過截取別人的帳號和口令進入別人的計算機系統(tǒng),還可以通過一些特殊的方法繞過人們精心設計的防火墻,等等。這些過程都可以在很短的時間內通過計算機完成,因而犯罪不留痕跡,隱蔽性很強。

4．以軟件攻擊為主

幾乎所有的網絡入侵都是通過對軟件的截取和攻擊進而破壞整個計算機系統(tǒng)的。因此,計算機犯罪具有隱蔽性,這要求人們對計算機的各種軟件(包括計算機通信過程中的信息流)進行嚴格的保護。

第3章 計算機網絡安全面臨的威脅

3.1自然災害

計算機信息系統(tǒng)僅僅是一個智能的機器,易受自然災害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄露或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數據丟失的現象時有發(fā)生。由于噪音和電磁輻射,導致網絡信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。

3.2網絡軟件漏洞

網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設想。

3.3黑客的威脅和攻擊

這是計算機網絡所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料,通常采用拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數據為目的。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、www的欺騙技術和尋找系統(tǒng)漏洞等。

3.4計算機病毒

20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進入到系統(tǒng)中進行擴散。計算機感染上病毒后,輕則使系統(tǒng)工作效率下降,重則造成系統(tǒng)死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。

3.6計算機犯罪

計算機犯罪,通常是利用竊取口令等手段非法侵入計算機信息系統(tǒng),傳播有害信息,惡意破壞計算機系統(tǒng),實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網絡環(huán)境中,大量信息在網上流動,這為不法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統(tǒng),進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息。

4.1 防火墻技術

網絡安全所說的防火墻(Fire Wall)是指內部網和外部網之間的安全防范系統(tǒng)。它使得內部網絡與因特網之間或與其它外部網絡之間互相隔離、限制網絡互訪，用來保護內部網絡。防火墻通常安裝在內部網與外部網的連接點上。所有來自Internet（外部網）的傳輸信息或從內部網發(fā)出的信息都必須穿過防火墻。

4.1.1 防火墻的主要功能 防火墻的主要功能包括：

1、防火墻可以對流經它的網絡通信進行掃描，從而過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。

2、防火墻可以關閉不使用的端口，而且它還能禁止特定端口的輸出信息。

3、防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務和控制非法用戶對網絡的訪問。

4、防火墻可以控制網絡內部人員對Internet上特殊站點的訪問。

5、防火墻提供了監(jiān)視Internet安全和預警的方便端點

4.1.2 防火墻的主要優(yōu)點

防火墻的主要優(yōu)點包括:

1、可作為網絡安全策略的焦點

防火墻可作為網絡通信的阻塞點。所有進出網絡的信息都必須通過防火墻。防火墻將受信任的專用網與不受信任的公用網隔離開來，將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結構上形成了一個控制中心，極大地加強了網絡安全，并簡化了網絡管理。

2、可以有效記錄網絡活動

由于防火墻處于內網與外網之間，即所有傳輸的信息都會穿過防火墻。所以，防火墻很適合收集和記錄關于系統(tǒng)和網絡使用的多種信息，提供監(jiān)視、管理與審計網絡的使用和預警功能。

3、為解決IP地址危機提供了可行方案 由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設置網絡地址轉換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

4、防火墻能夠強化安全策略

因為網絡上每天都有上百萬人在收集信息、交換信息，不可避免地會出現個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過.5、防火墻能有效地記錄網絡上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用于收集關于系統(tǒng)和網絡使用和誤用的信息.作為訪問的唯一點，防火墻能在被保護的網絡和外部網絡之間進行記錄.6、防火墻限制暴露用戶點

防火墻能夠用來隔開網絡中的兩個網段，這樣就能夠防止影響一個網段的信息通過整個網絡進行傳播.7、防火墻是一個安全策略的檢查站

所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外.4.1.3 防火墻的主要缺陷

由于互聯網的開放性，防火墻也有一些弱點，使它不能完全保護網絡不受攻擊。防火墻的主要缺陷有：

1、防火墻對繞過它的攻擊行為無能為力。

2、防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。

3、防火墻需要有特殊的較為封閉的網絡拓撲結構來支持。網絡安全性的提高往往是以犧牲網絡服務的靈活性、多樣性和開放性為代價。

4、不能防范惡意的知情者

防火墻可以禁止系統(tǒng)用戶經過網絡連接發(fā)送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去.如果入侵者已經在防火墻內部，防火墻是無能為力的.內部用戶可以偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻.對于來自知情者的威脅，只能要求加強內部管理，如主機安全和用戶教育等.5、不能防范不通過它的連接

防火墻能夠有效地防止通過它的傳輸信息，然而它卻不能防止不通過它而傳輸的信息.例如，如果站點允許對防火墻后面的內部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵.6、不能防備全部的威脅

防火墻被用來防備已知的威脅，如果是一個很好的防火墻設計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅.7、防火墻不能防范病毒

防火墻一般不能消除網絡上的病毒.4.1.4 防火墻的分類 防火墻的實現從層次上大體可分為三類：包過濾防火墻，代理防火墻和復合型防火墻。

1、包過濾防火墻

包過濾防火墻是在IP層實現，它可以只用路由器來實現。包過濾防火墻根據報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。

2、代理防火墻

代理防火墻也叫應用層網關防火墻，包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但它不適合單位用來控制內部人員訪問外部網絡，對于這樣的企業(yè)，應用代理防火墻是更好的選擇。

3、復合型防火墻

復合型防火墻是將數據包過濾和代理服務結合在一起使用，從而實現了網絡安全性、性能和透明度的優(yōu)勢互補。

4.1.5 防火墻的部署

防火墻是網絡安全的關口設備，只有在關鍵網絡流量通過防火墻的時候，防火墻才能對此實行檢查，防護功能。

1、防火墻的位置一般是內網與外網的接合處，用來阻止來自外部網絡的入侵。

2、如果內部網絡規(guī)模較大，并且設置虛擬局域網（VLAN），則應該在各個VLAN之間設置防火墻。

3、通過公網連接的總部與各分支機構之間應該設置防火墻。

4、主干交換機至服務器區(qū)域工作組交換機的骨干鏈路上。

5、遠程撥號服務器與骨干交換機或路由器之間。

總之，在網絡拓撲上，防火墻應當處在網絡的出口與不同安全等級區(qū)域的結合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內部網還是外部網的連接處都應安裝防火墻。

4.2 數據加密技術

數據加密技術就是對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要手段之一。

數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環(huán)節(jié)上的數據失密為目的，可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密，常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數，實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用，密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

4.3 系統(tǒng)容災技術

一個完整的網絡安全體系，只有防范和檢測措施是不夠的，還必須具有災難容忍和系統(tǒng)恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災難性的。此外，天災人禍、不可抗力等所導致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災難，也能快速地恢復系統(tǒng)和數據，才能完整地保護網絡信息系統(tǒng)的安全?，F階段主要有基于數據備份和基于系統(tǒng)容錯的系統(tǒng)容災技術。數據備份是數據保護的最后屏障，不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器，在兩者之間建立復制關系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連，構成完整的數據容災系統(tǒng)，也能提供數據庫容災功能。

4.4 入侵檢測技術

入侵檢測技術是從各種各樣的系統(tǒng)和網絡資源中采集信息（系統(tǒng)運行狀態(tài)、網絡流經的信息等），并對這些信息進行分析和判斷。通過檢測網絡系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現攻擊或異常行為并進行阻斷、記錄、報警等響應，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術）、對攻擊行為或異常行為進行響應、審計和跟蹤等。

典型的IDS系統(tǒng)模型包括4個功能部件：

1、事件產生器，提供事件記錄流的信息源。

2、事件分析器，這是發(fā)現入侵跡象的分析引擎。

3、響應單元，這是基于分析引擎的分析結果產生反應的響應部件。

4、事件數據庫，這是存放各種中間和最終數據的地方的統(tǒng)稱，它可以是復雜的數據庫，也可以是簡單的文本文件。

4.4.1 入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)根據數據來源不同，可分為基于網絡的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。網絡型入侵檢測系統(tǒng)的實現方式是將某臺主機的網卡設置成混雜模式，監(jiān)聽本網段內的所有數據包并進行判斷或直接在路由設備上放置入侵檢測模塊。一般來說，網絡型入侵檢測系統(tǒng)擔負著保護整個網絡的任務。

主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應用程序日志等作為數據源，當然也可以通過其它手段（如檢測系統(tǒng)調用）從所有的主機上收集信息進行分析。

入侵檢測系統(tǒng)根據檢測的方法不同可分為兩大類：異常和誤用。

異常入侵檢測根據用戶的異常行為或對資源的異常存放來判斷是否發(fā)生了入侵事件。

4.4.2 目前入侵檢測系統(tǒng)的缺陷

入侵檢測系統(tǒng)作為網絡安全防護的重要手段，目前的IDS還存在很多問題，有待于我們進一步完善。

1、高誤報率

誤報率主要存在于兩個方面：一方面是指正常請求誤認為入侵行為；另一方面是指對IDS用戶不關心事件的報警。導致IDS產品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。

2、缺乏主動防御功能

入侵檢測技術作為一種被動且功能有限的安全防御技術，缺乏主動防御功能。因此，需要在一代IDS產品中加入主動防御功能，才能變被動為主動。

4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯動

防火墻是一個跨接多個物理網段的網絡安全關口設備。它可以對所有流經它的流量進行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉發(fā)通過（可轉發(fā)至任何端口）、各以報頭檢查修改、各層報文內容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問日志、協(xié)議轉換等。當我們實現防火墻與入侵檢測系統(tǒng)的相互聯動后，IDS就不必為它所連接的鏈路轉發(fā)業(yè)務流量。因此，IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業(yè)務類別的網絡流量統(tǒng)計、網絡多種流量協(xié)議恢復（實時監(jiān)控功能）等。IDS高智能的數據分析技術、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。

綜上所述，防火墻與IDS在功能上可以形成互補關系。這樣的組合較以前單一的動態(tài)技術或靜態(tài)技術都有了較大的提高。使網絡的防御安全能力大大提高。防火墻與IDS的相互聯動可以很好地發(fā)揮兩者的優(yōu)點，淡化各自的缺陷，使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網絡安全領域中，動態(tài)技術與靜態(tài)技術的聯動將有很大的發(fā)展市場和空間。4.4.4 結語

網絡安全是一個很大的系統(tǒng)工程，除了防火墻和入侵檢測系統(tǒng)之外，還包括反病毒技術和加密技術。反病毒技術是查找和清除計算機病毒技術。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據病毒特征碼數據庫來進行對比式查殺。加密技術主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉換數據的功能或方法。它是將數據信息轉換為一種不易解讀的模式來保護信息，除非有解密密鑰才能閱讀信息。加密技術包括算法和密鑰。算法是將普通的文本（或是可以理解的信息）與一串數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通信安全。

4.5 漏洞掃描技術

漏洞掃描是自動檢測遠端或本地主機安全的技術，它查詢TCP/IP各種服務的端口，并記錄目標主機的響應，收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個掃描中，掃描后以統(tǒng)計的格式輸出，便于參考和分析。

4.6 物理安全

為保證信息網絡系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。為保證網絡的正常運行，在物理安全方面應采取如下措施:

1、產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。

2、運行安全方面:網絡中的設備，特別是安全類產品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統(tǒng)，應設置備份系統(tǒng)。

3、防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。

4、保安方面:主要是防盜、防火等，還包括網絡系統(tǒng)所有網絡設備、計算機、安全設備的安全防護。

計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業(yè)的飛速發(fā)展以及整個社會越來越快的信息化進程，各種新技術將會不斷出現和應用。??? 網絡安全孕育著無限的機遇和挑戰(zhàn)，作為一個熱門的研究領域和其擁有的重要戰(zhàn)略意義，相信未來網絡安全技術將會取得更加長足的發(fā)展。

第四章 網絡安全技術

4.1 防火墻的定義和選擇

4.1.1防火墻的定義

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關（代理服務器）以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸。但隨著網絡安全技術的整體發(fā)展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客入侵等方向發(fā)展。

4.1.2 防火墻的選擇

總擁有成本防火墻產品作為網絡系統(tǒng)的安全屏障，其總擁有成本（TCO）不應該超過受保護網絡系統(tǒng)可能遭受最大損失的成本。以一個非關鍵部門的網絡系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也不應該考慮在內。如果僅作粗略估算，非關鍵部門的防火墻購置成本不應該超過網絡系統(tǒng)的建設總成本，關鍵部門則應另當別論選擇防火墻的標準有很多，但最重要的是以下兩條：

（1）防火墻本身是安全的

作為信息系統(tǒng)安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。如果像瑪奇諾防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過防線進入系統(tǒng)內部，網絡系統(tǒng)也就沒有任何安全性可言了。

通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設計是否合理，其二是使用不當。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻十分不熟悉，就有可能在配置過程中遺留大量的安全漏洞。

（2）可擴充性

在網絡系統(tǒng)建設的初期，由于內部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加，網絡的風險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性，或擴充成本極高，這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提供，用戶仍然有進一步增加選擇的余地。這樣不僅能夠保護用戶的投資，對提供防火墻產品的廠商來說，也擴大產品的覆蓋面。

4.2 加密技術

信息交換加密技術分為兩類:即對稱加密和非對稱加密.4.2.1 對稱加密技術

在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖.這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES（數據加密標準）的一種變形，這種方法使用兩個獨立的56位密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。

4.2.2 非對稱加密技術

在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛分布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發(fā)展的必然結果。最具有代表性是RSA公鑰密碼體制。

4.2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分散兩大素數之積。RSA算法的描述如下：

公開密鑰： n=pq(p、q 分別為兩個互異的大素數，p、q 必須保密)e與(p-1)(q-1)互素

私有密鑰：d=e-1 {mod(p-1)(q-1)} 加密：c=me(mod n)，其中 m 為明文，c為密文。

解密：m=cd(mod n)利用目前已經掌握的只是和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。

4.3 注冊與認證管理

4.3.1 認證機構

CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頻發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網絡用戶電子身份證明一證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼學有關系，而且還與整個PKI系統(tǒng)的構架和模型有關。

4.3.2 注冊機構

RA(Registration Authority)是用戶和CA的借口，它所獲得的用戶標識的準確性是CA發(fā)給證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設計和實現網絡化、安全的且易于操作的RA系統(tǒng)。

4.3.3 密鑰備份和恢復

為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。

4.3.4 證書管理與撤銷系統(tǒng)

證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現一個已頒發(fā)證書不再有效的情況這就需要進行證書撤銷，證書撤銷的理由是各種各樣的?？赡馨üぷ髯儎拥綄γ荑€懷疑等一系列原因。證書撤銷系統(tǒng)實現是利用周期性的發(fā)布機制撤銷證書或采用在線查詢機制，隨時查詢被撤銷的證書。

第五章 安全技術的研究

5.1 安全技術的研究現狀和方向

我國信息網絡安全研究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全研究階段，現已開發(fā)研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網絡安全的方案，目前應從安全體系結構、安全協(xié)議、現代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。根據防火墻所采用的技術不同，將它分為4個基本類型：包過濾型、網絡地址轉換-NAT、代理型和監(jiān)測型。

5.2 包過濾型

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會含一些特定信息，防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一單發(fā)現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統(tǒng)管理員也可以根據實際情況靈活制定判斷規(guī)則。

包過濾技術的優(yōu)點是簡單實用，實現成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入。

5.3 代理型

代理型的安全性能要高過包過濾型，并已經開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發(fā)給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統(tǒng)。

代理型防火墻的優(yōu)點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。

實際上，作為當前防火墻產品的主流趨勢，大多數代理服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是基于應用的，應用網關能提供對協(xié)議的過濾。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協(xié)議的有效支持和對網絡整體性能的影響上。

結束語

互聯網現在已經成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問題，使用盡量多而可靠的安全工具經常維護，讓我們的網絡體系完善可靠。在英特網為我們提供了大量的機會和便利的同時，也在安全性方面給我們帶來了巨大的挑戰(zhàn)，我們不能因為害怕挑戰(zhàn)而拒絕它，否則就會得不償失，信心安全是當今社會乃至整個國家發(fā)展所面臨的一個只管重要的問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到，發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要的組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展講起到非常重要的作用。網絡安全是一項動態(tài)的、整體的系統(tǒng)工程，我們應該結合現在網絡發(fā)展的特點，制定妥善的網絡安全策略，將英特網的不安全性降至到現有條件下的最低點，讓它為我們的工作和現代化建設做出更好的服務。

參考文獻

[1] 謝希仁.計算機網絡 電子工業(yè)出版社

[2]湯小丹、梁紅兵.計算機操作系統(tǒng) 西安電子科技大學出版社 [3] 李偉.網絡安全實用技術標準教程 清華大學出版社 [4] Andrew S.Tanenbaum.計算機網絡 清華大學出版社

[1]李軍義.計算機網絡技術與應用[M].北京：北方交通大學出版社，2006.7． [2]蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2005.[3]嘉寧.網絡防火墻技術淺析[J].通信工程.2004(3).[4]鄭成興.網絡入侵防范的理論與實踐[M].北京：機械工業(yè)出版社，2006.9.[5][美] Merike Kaeo 著.網絡安全性設計[M].北京：人民郵電出版社，2005.9.[6]黃怡強,等.淺談軟件開發(fā)需求分析階段的主要任務[M].中山大學學報論叢，2002(01).[7]胡道元.計算機局域網[M].北京:清華大學出版社.2001.[8]朱理森，張守連.計算機網絡應用技術[M].北京:專利文獻出版社，2001.[9]謝希仁.計算機網絡(第4版)[M].北京:電子工業(yè)出版社.

第四篇：淺析計算機網絡安全的隱患及防范措施

摘要：隨著網絡技術的不斷發(fā)展和廣泛使用，網絡應用已逐步深入到社會生活的方方面面，網絡安全問題也變得越來越重要，對社會生產和生活的各個方面都產生十分巨大的影響，該文從計算機的安全入手，簡要列出了幾種計算機網絡安全隱患，并提出了一些應對計算機網絡安全問題的措施，轉自[星論文網]

關鍵詞：計算機；網絡安全；防范措施

在信息高速發(fā)展的21世紀，計算機作為高科技工具得到廣泛的應用。從控制高科技航天器的運行到個人日常辦公事務的處理，從國家安全機密信息管理到金融電子商務辦理，計算機都在發(fā)揮著極其重要的作用。因此，計算機網絡的安全已經成為我們必須要面對的問題。什么是計算機網絡安全

國際標準化組織（ISO）將“計算機安全”定義為：為數據處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄露。目前絕大多數計算機都是互聯網的一部分，因此計算機安全又可分為物理安全和信息安全，是指對計算機的完整性、真實性、保密性的保護，而網絡安全性的含義是信息安全的引申。計算機網絡安全問題是指電腦中正常運作的程序突然中斷或影響計算機系統(tǒng)或網絡系統(tǒng)正常工作的事件，主要是指那些計算機被攻擊、計算機內部信息被竊取及網絡系統(tǒng)損害等事故。網絡安全問題的特點在于突發(fā)性、多樣性和不可預知性，往往在短時間內就會造成巨大破壞和損失。影響計算機網絡安全的隱患

2.1 計算機安全漏洞

漏洞也叫脆弱性(Vulnerability)，是計算機系統(tǒng)在硬件、軟件、協(xié)議的具體實現或系統(tǒng)安全策略上存在的缺陷和不足。從計算機系統(tǒng)軟件編寫完成開始運行的那刻起，計算機系統(tǒng)漏洞也就伴隨著就產生了，漏洞一旦被發(fā)現，就可使用這個漏洞獲得計算機系統(tǒng)的額外權限，使攻擊者能夠在未經授權的情況下訪問或破壞系統(tǒng)，從而導致危害計算機系統(tǒng)的安全[2]。計算機系統(tǒng)軟件分為操作系統(tǒng)軟件和應用系統(tǒng)軟件，因此相對應也就有系統(tǒng)軟件漏洞和應用系統(tǒng)軟件漏洞。我們經常使用的windows操作系統(tǒng)主要有以下安全漏洞：允許攻擊者執(zhí)行任意指令的UPNP服務漏洞、可以刪除用戶系統(tǒng)的文件的幫助和支持中心漏洞、可以鎖定用戶賬號的帳號快速切換漏洞等等。

2.2 TCP/IP的脆弱性

TCP/IP協(xié)議是因特網的基礎。但該協(xié)議更多的考慮使用的方便性，而忽視了對網絡安全性和考慮。從TCP協(xié)議和IP協(xié)議來分析，IP數據包是不加密，沒有重傳機制，沒有校驗功能，IP數據包在傳輸過程中很容易被惡意者抓包分析，查看網絡中的安全隱患。TCP是有校驗和重傳機制的，但是它連建立要經過三次握手，這也是協(xié)議的缺陷，服務器端必須等客戶端給第三次確認才能建立一個完整的TCP連接，不然該連接一直會在緩存中，占用TCP的連接緩存，造成其他客戶不能訪問服務器。

TCP/IP模型沒有清楚地區(qū)分哪些是規(guī)范、哪些是實現，它的主機—網絡層定義了網絡層與數據鏈路層的接口，并不是常規(guī)意義上的一層，接口和層的區(qū)別是非常重要的，沒有將它們區(qū)分開來。這就給一些非法者提供了可乘之機，就可以利用它的安全缺陷來實施網絡攻擊。

2.3 計算機網絡通信的不安全性

在計算機網絡中，網絡攻擊者通過非法的手段獲得用戶權限，并通過使用這些非法的權限對主機進行非授權的操作，我們知道因特網是由無數個局域網所連成的一個巨大網絡，當

處于不同局域網的兩臺主機進行通信時，它們之間互相傳送的數據流要經過許多機器的重重轉發(fā)，如果網絡攻擊者利用數據流傳輸路徑上的一臺主機，他就可以劫持用戶的數據包，從而造成一些重要數據的泄露。

2.4 用戶安全意識不強

在計算機網絡中，我們設置了許多安全的保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮較少，系統(tǒng)設置錯誤，很容易造成重要數據的丟失，管理制度不健全，網絡管理、維護不徹底，造成操作口令的泄漏，機密文件被人利用，臨時文件未及時刪除而被竊取，這些，都給網絡攻擊者提供了便利。例如人們?yōu)榱吮荛_代理服務器的額外認證，直接進行點對點協(xié)議的連接，從而避開了防火墻的保護。計算機網絡安全的防范措施

為了減少網絡安全問題造成的損失，保證廣大網絡用戶的利益，我們必須采取網絡安全對策來應對網絡安全問題。但網絡安全對策不是萬能的，它總是相對的，為了把危害降到最低，我們必須采用多種安全措施來對網絡進行全面保護。

1）漏洞補丁更新技術。一旦發(fā)現新的系統(tǒng)漏洞，一些系統(tǒng)官方網站會及時發(fā)布新的補丁程序，但是有的補丁程序要求正版認證(例如微軟的Windows操作系統(tǒng))，也可以通過第三方軟件如：系統(tǒng)優(yōu)化大師(Windows優(yōu)化大師)，360安全衛(wèi)士，瑞星殺毒軟件，金山殺毒軟件，迅雷軟件助手等軟件掃描系統(tǒng)漏洞并自動安裝補丁程序。

2）病毒防護技術。隨著計算機技術的高速發(fā)展，計算機病毒的種類也越來越多，病毒的侵入必將影響計算機系統(tǒng)的正常運行，特別是通過網絡傳播的計算機病毒，能在很短的時間內使整個計算機網絡處于癱瘓狀態(tài)，從而給用戶造成極大的損失。電腦病毒的防治包括兩個方面，一是預防，以病毒的原理為基礎，防范已知病毒和利用相同原理設計的變種病毒，從病毒的寄生對象、內存駐留方式及傳染途徑等病毒行為入手進行動態(tài)監(jiān)測和防范，防止外界病毒向本機傳染，同時抑制本機病毒向外擴散。二是治毒，發(fā)現病毒后，對其進行剖析，選取特征串，從而設計出該病毒的殺毒軟件，對病毒進行處理。目前最常用的殺毒軟件有瑞星、金山、卡巴斯基、NOD32等。

3）防火墻技術。防火墻是一種計算機硬件和軟件的結合，是在內部網絡和外部網絡之間、專用網與公共網之間的界面上構造的保護屏障，用來加強網絡之間的訪問控制，防止外部網絡用戶以非法手段進入內部網絡，從而保護內部網免受非法用戶的侵入，它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，同時監(jiān)視網絡運行狀態(tài)，提供網絡使用情況的統(tǒng)計數據，并寫入日志記錄，當發(fā)生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。

4）數據加密技術。數據加密技術是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證，從而達到保密的要求[3]。將一個信息或數據包經過加密鑰匙及加密函數轉換，對信息進行重新編碼，從而隱藏信息的真實內容，變成無意義的密文，使非法用戶無法獲取信息，即使被非法用戶獲取，也因為不知到解密鑰匙而無法將期破譯，而接收方則通過解密函數、解密鑰匙將此密文還原。加密技術是計算機網絡安全技術的基石，是為提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要手段之一。除了加強計算機軟硬件的技術外，還應加強結物理網絡安全的保護措施，如：為主機和網絡設備配備備用電源和電源保護，主服務器要加屏幕密碼保護及鍵盤鎖，對重要資料進行及時備份且保存到主機房外的安全地方，網絡管理人員有專業(yè)人員專人擔任等。結束語

我們可以看到，影響計算機網絡安全的因素也是非常多的，但迄今為止還沒有一種技術能夠完全消除網絡安全漏洞。網絡的安全實際上是理想中的安全策略和實際執(zhí)行之間的一種平衡。我們不僅需要在技術上對計算機軟硬件系統(tǒng)進行升級更新，而且要綜合考慮安全因素，制定合理的目標、方案和相關的配套法規(guī)，才能生成一個高效、安全的計算機網絡系統(tǒng)。

參考文獻：

[1] 龐丙秀.網絡信息安全與防范[J].大眾科技,2008,11.[2] 孫旋.論計算機系統(tǒng)漏洞與對策[J].現代商貿工業(yè),2009,13.[3] 伍定鵬.提高計算機網絡安全方法探討[J].計算機光盤軟件與應用,2010,15.

第五篇：計算機網絡安全畢業(yè)論文（范文）

網絡安全

網絡安全

摘要:計算機網絡安全問題，直接關系到一個國家的政治、軍事、經濟等領域的安全和穩(wěn)定。目前黑客猖獗，平均每18秒鐘世界上就有一次黑客事件發(fā)生。因此，提高對網絡安全重要性的認識，增強防范意識，強化防范措施，是保證信息產業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。

文中首先論述了信息網絡安全內涵發(fā)生的根本變化，闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性，以及網絡的安全管理。進一步闡述了網絡拓撲結構的安全設計，包括對網絡拓撲結構的分析和對網絡安全的淺析。然后具體講述了網絡防火墻安全技術的分類及其主要技術特征，防火墻部署原則，并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法作了簡要的分析，論述了其安全體系的構成。最后分析網絡安全技術的研究現狀和動向。

關鍵詞：網絡安全，防火墻，RSA算法

Abstract

Zhu Yi

(The Computer Department Of Liuan Normal University,Wuhu Liuan 241000)

Abstract:The computer network security problem, directly relates to domain the and so on a national politics, military, economy security and the stability.At present the hacker is rampant, in the average every 18seconds worlds has a time of hacker attack to occur.Therefore, enhances to the network security important understanding, enhancement guard consciousness, the strengthened guard measure, is guaranteed the information industries continues the important guarantee and the prerequisite which stably develops.In the article first elaborated the radical change which the information network security connotation occurs, elaborated our country develops the nationality information security system importance and the establishment has the Chinese characteristic the network security system necessity, as well as network safety control.Further elaborated the

network topology safe design, including to network topology analysis and to network security brief analysis.Then specifically narrated the network firewall security technology classification and it’s the main technical characteristic, the firewall deployment principle, and the position which deployed from the firewall in detail elaborated the firewall choice standard.Meanwhile has made the brief analysis on the exchange of information encryption technology classification and the RSA algorithm, elaborated its security system constitution.Finally analyzes the network security technology the research present situation and the trend.概述

21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。

一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術與市場的發(fā)展平臺。我國在構建信息防衛(wèi)系統(tǒng)時，應著力發(fā)展自己獨特的安全產品，我國要想真正解決網絡安全問題，最終的辦法就是通過發(fā)展民族的安全產業(yè)，帶動我國網絡安全技術的整體提高。

網絡安全產品有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統(tǒng)一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會各個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規(guī)的支持及集團聯合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產業(yè)。

信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到，發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。目前計算機網絡面臨著很大的威脅，其構成的因素是多

方面的。這種威脅將不斷給社會帶來了巨大的損失。網絡安全已被信息社會的各個領域所重視。隨著計算機網

絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統(tǒng)、銀行和政府等傳輸敏感數據的計算機網絡系統(tǒng)而言，其網上信息的安全和保密尤為重要。因此，上述的網絡必須有足夠強的安全措施，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性。故此，網絡的安全措施應是能全方位地針對各種不同的威脅和網絡的脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計算機網絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網絡安全的管理及其技術措施。

認真分析網絡面臨的威脅，我認為計算機網絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網絡應用部門領導的重視，加強工作人員的責任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎上，再采用先進的技術和產品，構造全方位的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。

計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發(fā)的災害、軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續(xù)性。

從本質上來講，網絡安全包括組成網絡系統(tǒng)的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰(zhàn)。

參考文獻：

[1]雷震甲.網絡工程師文獻 北京 清華大學出版社

[2] 黎連業(yè)、張維、向東明.路由器及其應用技術 北京 清華大學出版社

網 絡 安 全 論

文

姓名：單澤銘 學號：1228122033