第一篇:计算机网络大作业-浅谈计算机网络安全漏洞及防范措施1
序号
2011-2012学年度第二学期大作业
课程名称:Interne技术与应用
任课教师:赵小兰
作业题目:浅谈计算机网络安全漏洞及防范措施
姓名:吴秀兰
学号:2010***专业:电气工程及其自动化教学中心:河源市职业技术学院联系电话:***
评审日期__________成绩_________评审教师(签名)__________
华南理工大学网络教育学院
浅谈计算机网络安全漏洞及防范措施姓名:吴秀兰学号:2010***
摘 要:
随着计算机信息技术的迅猛发展,计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。因此,认清网络的脆弱性和潜在威胁的严重性,采取强有力安全策略势在必行。计算机网络安全工作是一项长期而艰巨的任务,它应该贯彻于整个信息网络的筹划、组成、测试的全过程。本文结合实际情况,分析网络安全问题并提出相应对策。
关键词:计算机;网络安全;防范措施
在信息高速发展的21世纪,计算机作为高科技工具得到广泛的应用。从控制高科技航天器的运行到个人日常办公事务的处理,从国家安全机密信息管理到金融电子商务办理,计算机都在发挥着极其重要的作用。因此,计算机网络的安全已经成为我们必须要面对的问题。
一、什么是计算机网络安全
国际标准化组织(ISO)将“计算机安全”定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露[1]。目前绝大多数计算机都是互联网的一部分,因此计算机安全又可分为物理安全和信息安全,是指对计算机的完整性、真实性、保密性的保护,而网络安全性的含义是信息安全的引申。计算机网络安全问题是指电脑中正常运作的程序突然中断或影响计算机系统或网络系统正常工作的事件,主要是指那些计算机被攻击、计算机内部信息被窃取及网络系统损害等事故。网络安全问题的特点在于突发性、多样性和不可预知性,往往在短时间内就会造成巨大破坏和损失。
二、影响计算机网络安全的隐患
1、计算机安全漏洞
漏洞也叫脆弱性(Vulnerability),是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。从计算机系统软件编写完成开始运行的那刻起,计算机系统漏洞也就伴随着就产生了,漏洞一旦被发现,就可使用这个漏洞获得计算机系统的额外权限,使攻击者能够在未经授权的情况下访问或破坏
系统,从而导致危害计算机系统的安全。
计算机系统软件分为操作系统软件和应用系统软件,因此相对应也就有系统软件漏洞和应用系统软件漏洞。我们经常使用的windows操作系统主要有以下安全漏洞:允许攻击者执行任意指令的UPNP服务漏洞、可以删除用户系统的文件的帮助和支持中心漏洞、可以锁定用户账号的帐号快速切换漏洞等等。
2、TCP/IP的脆弱性。
TCP/IP协议是因特网的基础。但该协议更多的考虑使用的方便性,而忽视了对网络安全性和考虑。从TCP协议和IP协议来分析,IP数据包是不加密,没有重传机制,没有校验功能,IP数据包在传输过程中很容易被恶意者抓包分析,查看网络中的安全隐患。TCP是有校验和重传机制的,但是它连建立要经过三次握手,这也是协议的缺陷,服务器端必须等客户端给第三次确认才能建立一个完整的TCP连接,不然该连接一直会在缓存中,占用TCP的连接缓存,造成其他客户不能访问服务器。
TCP/IP模型没有清楚地区分哪些是规范、哪些是实现,它的主机—网络层定义了网络层与数据链路层的接口,并不是常规意义上的一层,接口和层的区别是非常重要的,没有将它们区分开来。这就给一些非法者提供了可乘之机,就可以利用它的安全缺陷来实施网络攻击。
3、计算机网络通信的不安全性。
在计算机网络中,网络攻击者通过非法的手段获得用户权限,并通过使用这些非法的权限对主机进行非授权的操作,我们知道因特网是由无数个局域网所连成的一个巨大网络,当处于不同局域网的两台主机进行通信时,它们之间互相传送的数据流要经过许多机器的重重转发,如果网络攻击者利用数据流传输路径上的一台主机,他就可以劫持用户的数据包,从而造成一些重要数据的泄露。
4、网络系统设计的缺陷。
网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。
5、网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的信息。
6、恶意攻击。恶意攻击就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也越来越多,影响越来越大。
无论是DOS 攻击还是DDOS 攻击,简单的看,都只是一种破坏网络服务的黑客方式,虽然具体的实现方式千变万化,但都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。具体表现方式有以下几种:(1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。(2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。(3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误而分配大量系统资源,使主机处于挂起状态甚至死机。
DOS 攻击几乎是从互联网络的诞生以来,就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是,要找DOS 的工具一点不难,黑客网络社区都有共享黑客软件的传统,并会在一起交流攻击的心得经验,你可以很轻松的从Internet 上获得这些工具。所以任何一个上网者都可能构成网络安全的潜在威胁。DOS 攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说,D0S 攻击永远不会消失而且从技术上目前没有根本的解决办法。
7、用户安全意识不强。在计算机网络中,我们设置了许多安全的保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。许多应用服务系统在访问控制及安全通信方面考虑较少,系统设置错误,很容易造成重要数据的丢失,管理制度不健全,网络管理、维护不彻底,造成操作口令的泄漏,机密文件被人利用,临时文件未及时删除而被窃取,这些,都给网络攻击者提供了便利。例如人们为了避开代理服务器的额外认证,直接进行点对点协议的连接,从而避开了防火墙的保护。
三、计算机网络安全的防范措施
为了减少网络安全问题造成的损失,保证广大网络用户的利益,我们必须采取网络安全对策来应对网络安全问题。但网络安全对策不是万能的,它总是相对的,为了把危害降到最低,我们必须采用多种安全措施来对网络进行全面保护。
1、漏洞补丁更新技术。一旦发现新的系统漏洞,一些系统官方网站会及时发布新的补丁程序,但是有的补丁程序要求正版认证(例如微软的Windows操作系统),也可以通过第三方软件如:系统优化大师(Windows优化大师),360安全卫士,瑞星杀毒软件,金山杀毒软件,迅雷软件助手等软件扫描系统漏洞并自动安装补丁程序。
2、病毒防护技术。随着计算机技术的高速发展,计算机病毒的种类也越来
越多,病毒的侵入必将影响计算机系统的正常运行,特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而给用户造成极大的损失。电脑病毒的防治包括两个方面,一是预防,以病毒的原理为基础,防范已知病毒和利用相同原理设计的变种病毒,从病毒的寄生对象、内存驻留方式及传染途径等病毒行为入手进行动态监测和防范,防止外界病毒向本机传染,同时抑制本机病毒向外扩散。二是治毒,发现病毒后,对其进行剖析,选取特征串,从而设计出该病毒的杀毒软件,对病毒进行处理。目前最常用的杀毒软件有瑞星、金山、卡巴斯基、NOD32等。
3、防火墙技术。防火墙是一种计算机硬件和软件的结合,是在内部网络和外部网络之间、专用网与公共网之间的界面上构造的保护屏障,用来加强网络之间的访问控制,防止外部网络用户以非法手段进入内部网络,从而保护内部网免受非法用户的侵入,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,同时监视网络运行状态,提供网络使用情况的统计数据,并写入日志记录,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4、数据加密技术。数据加密技术是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,从而达到保密的要求。将一个信息或数据包经过加密钥匙及加密函数转换,对信息进行重新编码,从而隐藏信息的真实内容,变成无意义的密文,使非法用户无法获取信息,即使被非法用户获取,也因为不知到解密钥匙而无法将期破译,而接收方则通过解密函数、解密钥匙将此密文还原。加密技术是计算机网络安全技术的基石,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
5、操作系统安全内核技术。操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。美国国防部技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A 级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2 级,其特征包括:①用户必须通过用户注册名和口令让系统识别;②系统可以根据用户注册名决定用户访问资源的权限;③系统可以对系统中发生的每一件事进行审核和记录;④可以创建其他具有系统管理权限的用户。
6、身份验证技术身份验证技术。身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。除了加强计算机软硬件的技术外,还应加强结物理网络安全的保护措施,如:为主机和网络设备配备备用电源和电源保护,主服务器要加屏幕密码保护及键盘锁,对重要资料进行及时备份且保存到主机房外的安全地方,网络管理人员有专业人员专人担任等。
四、结束语
随着信息技术的飞速发展,影响通信网络安全的各种因素也会不断强化,因此计算机网络的安全问题也越来越受到人们的重视,以上我们简要的分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献:
【1】 陶阳.计算机与网络安全 重庆:重庆大学出版社,2005.【2】田园.网络安全教程 北京:人民邮电出版社,2009.【3】 冯登国.《计算机通信网络安全》,清华大学出版社,2001
【4】 陈斌.《计算机网络安全与防御》,信息技术与网络服务,2006(4):35-37.【5】 William Stallings.网络安全基础教程:应用与标准(英文影印版),清华大学出版社,2006(7)
【6】 赵树升等.《信息安全原理与实现》,清华大学出版社,2004(9)
【7】 庞丙秀.网络信息安全与防范[J].大众科技,2008,11.【8】 孙旋.论计算机系统漏洞与对策[J].现代商贸工业,2009,13.【9】 伍定鹏.提高计算机网络安全方法探讨[J].计算机光盘软件与应用,2010,15.
第二篇:计算机网络作业
计算机网络 作业一
一、单项选择题(本大题共20小题,每小题1分,共20分)在每小题列出的四个选项中只有一个选项是符合题目要求的,请将正确选项前的字母填在题后的括号内。
1.采用全双工通信方式,数据传输的方向性结构为(A)
A.可以在两个方向上同时传输
B.只能在一个方向上传输
C.可以在两个方向上传输,但不能同时进行
D.以上均不对
2.采用异步传输方式,设数据位为7位,1位校验位,1位停止位,则其通信效率为(B)
A.30%B.70%
C.80%D.20%
3.T1载波的数据传输率为(D)
A.1MbpsB.10Mbps
C.2.048MbpsD.1.544Mbps
4.采用相位幅度调制PAM技术,可以提高数据传输速率,例如采用8种相位,每种相位取2种幅度值,可使一个码元表示的二进制数的位数为(D)
A.2位B.8位
C.16位D.4位
5.若网络形状是由站点和连接站点的链路组成的一个闭合环,则称这种拓扑结构为(C)
A.星形拓扑B.总线拓扑
C.环形拓扑D.树形拓扑
6.采用海明码纠正一位差错,若信息位为4位,则冗余位至少应为(B)
A.2位B.3位
C.5位D.4位
7.在RS-232C接口信号中,数据终端就绪(DTR)信号的连接方向为(A)
A.DTE→DCEB.DCE→DTE
C.DCE→DCED.DTE→DTE
8.RS—232C的机械特性规定使用的连接器类型为(B)
A.DB—15连接器B.DB—25连接器
C.DB—20连接器D.RJ—45连接器
9.采用AT命令集对MODEM进行编程设置,现要让MODEM完成“用音频先拨外线(拨0),然后停顿2秒再拨62753321”的操作,则应向MODEM发出的AT命令为(C)
A.ATDP0,62753321B.ATDT,62753321
C.ATDT0,62753321D.ATDT0262753321
10.RS—232C的电气特性规定逻辑“1”的电平范围分别为(B)
A.+5V至+15VB.-5V至-15V
C.0V至+5VD.0V至-5V
11.若BSC帧的数据段中出现字符串“A DLE STX”,则字符填充后的输出为(C)
A.A DLE STX STXB.A A DLE STX
C.A DLE DLE STXD.A DLE DLE DLE STX
12.若HDLC帧的数据段中出现比特串“01011111001”,则比特填充后的输出为(B)
A.010011111001B.010111110001
C.010111101001D.010111110010
13.对于无序接收的滑动窗口协议,若序号位数为n,则发送窗口最大尺寸为(C)
A.2-1B.2
C.2D.2n-1
14.以下各项中,不是数据报操作特点的是(C)
A.每个分组自身携带有足够的信息,它的传送是被单独处理的B.在整个传送过程中,不需建立虚电路 n-1nn
C.使所有分组按顺序到达目的端系统
D.网络节点要为每个分组做出路由选择
15.TCP/IP体系结构中的TCP和IP所提供的服务分别为(D)
A.链路层服务和网络层服务B.网络层服务和运输层服务
C.运输层服务和应用层服务D.运输层服务和网络层服务
16.对于基带CSMA/CD而言,为了确保发送站点在传输时能检测到可能存在的冲突,数据帧的传输时延至少要等于信号传播时延的(B)
A.1倍B.2倍
C.4倍D.2.5倍
17.以下各项中,是令牌总线媒体访问控制方法的标准是(B)
A.IEEE802.3B.IEEE802.4
C.IEEE802.6D.IEEE802.5
18.采用曼彻斯特编码,100Mbps传输速率所需要的调制速率为(A)
A.200MBaudB.400MBaud
C.50MBaudD.100MBaud
19.若信道的复用是以信息在一帧中的时间位置(时隙)来区分,不需要另外的信息头来标志信息的身分,则这种复用方式为(C)
A.异步时分复用B.频分多路复用
C.同步时分复用D.以上均不对
20.由于帧中继可以使用链路层来实现复用和转接,所以帧中继网中间节点中只有(A)
A.物理层和链路层B.链路层和网络层
C.物理层和网络层D.网络层和运输层
二、填空题(每空0.5分,共30分)
1、计算机网络的发展和演变可概括为 面向终端的计算机网络、计算机—计算机网络和开放式标准化网络三个阶段。
2、计算机网络的功能主要为硬件资源共享、软件资源共享、用户之间的信息交换。
3、串行数据通信的方向性结构有三种,即单工、半双工和 全双工。
4、模拟信号传输的基础是载波,载波具有三个要素,即 幅度、频率 和 相位。数字数据可以针对载波的不同要素或它们的组合进行调制,有三种基本的数字调制形式,即 调幅、调相和调频。
5、最常用的两种多路复用技术为频分多路复用技术FDM和时分多路复用技术TDM,其中,前者是同一时间同时传送多路信号,而后
者是将一条物理信道按时间分成若干个时间片轮流分配给多个信号使用。
6、HDLC有三种不同类型的帧,分别为 信息帧(I帧)、监控帧(S帧)和 无编号帧(U帧)。
7、X.25协议的分组级相当于OSI参考模型中的网络 层,其主要功能是向主机提供多信道的虚电路服务。
8、到达通信子网中某一部分的分组数量过多,使得该部分乃至整个网络性能下降的现象,称为拥塞现象。严重时甚至导致网络通信业
务陷入停顿,即出现 死锁现象。
9、OSI的会话层处于运输层提供的服务之上,为表示层提供服务。
10、会话层定义了两类同步点,分别为主同步点和次同步点。其中后者用于在一个对话单元内部实现数据结构化。
11、OSI表示层的主要功能为语法转换、语法协商和连接管理。
12、FTAM是一个用于传输、访问和管理开放系统中文件的信息标准。它使用户即使不了解所使用的实际文件系统的实现细节,也能对
该文件系统进行操作。
13、在TCP/IP层次模型中与OSI参考模型第四层(运输层)相对应的主要协议有TCP(传输控制协议)和UDP(用户数据报协议),其中后者提供无连接的不可靠传输服务。
14、在TCP/IP层次模型的第三层(网络层)中包括的协议主要有IP、ICMP、ARP 及 RARP。
15、载波监听多路访问CSMA技术,需要一种退避算法来决定避让的时间,常用的退避算法有非坚持、1-坚持和 P-坚持三种。
16、ATM的信元具有固定的长度,即总是53字节,其中5字节是信头,48 字节是信息段。
17、WWW上的每一个网页都有一个独立的地址,这些地址称为 统一资源定位器 HRL。
18、信道是信号的传输通道,它分为_物理 和_逻辑_。
19、数据通信有两种方式:_串行_通信和_并行_通信。
20、通信过程中,人们为了能高效合理的利用资源,常采用__多路复用技术___技术,使多路数据信号共用一条电路进行传输。
21、在众多的传输媒介中,最适宜于短距离传输,在局域网中广泛安装的是__双绞线___。
22、计算机网络的基本要素是__网络节点__、_网络链路__和子网。
23、在计算机、打印机中常用一种电子电路板_网卡(网络适配器或网络接口卡)_,以便设备能与网络连接并传送数据。
24、__对等网络_网络没有专用的服务器,在网络中的每一台计算机都可以既充当服务器又充当客户机进行互相访问。
25、在OSI 参考模型中负责执行数据格式的编码和转化功能的是__表示层__。
26、TCP/IP协议的体系结构分为__应用层__、_传送层_、网络层和_网络接口层__
27、子网掩码为1的部分对应于IP地址的_网络与子网部分_,子网掩码为0的部分对应于IP地址的__主机部分__。
28、__总线型__拓扑结构的网络属于共享信道的广播式网络。
29、_加密解密技术__是网络安全技术的基础.30、用户从目的邮件服务器上读取邮件使用的协议是__POP___和IMAP。
三、名词解释(本大题共3小题,每小题4分,共12分)
1.信道容量:信道的最大数据传输速率,是信道传输数据能力的极限,单位为位/秒
2.多路复用(Multiplexing):在数据通信或计算机网络系统中,传输媒体的带宽或容量往往超过传输单一信号的需求,为了有效地利用通信线路,可以利用一条信道传输多路信号,这种方法称为信道的多路利用,简称多路复用。
3.奇偶校验码:是一种通过增加1位冗余位使得码字中“1”的个数恒为奇数或偶数的编码方法。这是一种检错码。
四、简答题(本大题共2小题,每小题6分,共12分)
1.简述Novell NetWare对文件服务器的共享硬盘提供的5级可靠性措施。
答:.第一级:对硬盘目录和文件分配表(FAT)的保护;
第二级:对硬盘表面损坏时的数据保护;
第三级:采用磁盘镜像的方法实现对磁盘驱动器损坏的保护;
第四级:采用磁盘双工,对磁盘通道或磁盘驱动器损坏起到保护作用。
第五级:采用事务跟踪系统TTS的附加容错功能。
2.简述使用“拨号网络”连接Internet所需进行的准备工作。
答:(1)选择合适的ISP,通过ISP获取Internet帐号;
(2)准备一个调制解调器和一条能拨通ISP的电话线;
(3)安装“拨号网络”;
(4)安装TCP/IP协议并将其绑定到“拨号网络适配器”;
(5)输入TCP/IP相关信息;
(6)用“拨号网络”建立与ISP的连接。
五、计算题(本大题共2小题,每小题8分,共16分)
1.速率为9600bps的调制解调器,若采用无校验位、一位停止位的异步传输方式,试计算2分钟内最多能传输多少个汉字(双字节)? 解:①2分钟传输的位数为9600bps×120=1152000位
②由于每个汉字用双字节表示,所以在给定的异步传输方式下每个汉字需传输的位数为
(8+1+1)×2=20位
③2分钟内传输的汉字数为1152000位÷20位=57600(个)
2.长2km、数据传输率为10Mbps的基带总线LAN,信号传播速度为200m/μs,试计算:
(1)1000比特的帧从发送开始到接收结束的最大时间是多少?
解:(1)1000bit/10Mbps+2000m/200(m/μs)=100μs+10μs=110μs
(2)若两相距最远的站点在同一时刻发送数据,则经过多长时间两站发现冲突?
解:(2)2000m/200(m/μs)=10μs
六.操作题(每题5分,共10分)
1.浏览器的主要访问功能,可以通过点击“工具栏”上的按钮来实现,点击__后退____可以返回前一页,点击_前进_可以进入下一页,点击_停止_可以终止当前显示页的传输,点击__刷新_可以更新当前显示页,点击_主页_可以返回浏览器预定的起始页。
2.安装TCP/IP协议的步骤如下:打开“控制面板”中的“网络”图标,进入“网络”对话框,在_配置__选项卡中点击“添加”按钮,进入“请选择网络组件类型”对话框,选择_协议__,点击“添加”按钮,再在“选择网络协议”对话框中的_厂商_栏内选“Microsoft”,在“网络协议”中选TCP/IP__。
第三篇:计算机网络安全漏洞及防范开题报告
计算机网络安全漏洞及防范开题报告
1.背景和意义
随着计算机的发展,人们越来越意识到网络的重要性,通过网络,分散在各处的计算机被网络联系在一起。做为网络的组成部分,把众多的计算机联系在一起,组成一个局域网,在这个局域网中,可以在它们之间共享程序、文档等各种资源;还可以通过网络使多台计算机共享同一硬件,如打印机、调制解调器等;同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。第二章网络安全现状
2.网络安全面临的挑战
网络安全可能面临的挑战
垃圾邮件数量将变本加厉。
根据电子邮件安全服务提供商Message Labs公司最近的一份报告,预计2003年全球垃圾邮件数量的增长率将超过正常电子邮件的增长率,而且就每封垃圾邮件的平均容量来说,也将比正常的电子邮件要大得多。这无疑将会加大成功狙击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的企业公司恐怕得早做未雨绸缪的工作,否则就得让自己的员工们在今后每天不停地在键盘上按动“删除键”了。另外,反垃圾邮件软件也得不停升级,因为目前垃圾邮件传播者已经在实行“打一枪换一个地方”的游击战术了。
即时通讯工具照样难逃垃圾信息之劫。
即时通讯工具以前是不大受垃圾信息所干扰的,但现在情况已经发生了很大的变化。垃圾邮件传播者会通过种种手段清理搜集到大量的网络地址,然后再给正处于即时通讯状态的用户们发去信息,诱导他们去访问一些非法收费网站。更令人头疼的是,目前一些推销合法产品的厂家也在使用这种让人厌烦的手段来让网民们上钩。目前市面上还没有任何一种反即时通讯干扰信息的软件,这对软件公司来说无疑也是一个商机。
内置防护软件型硬件左右为难。
现在人们对网络安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现,预计在今后的几年中将会成为一种潮流。但这种具有自护功能的硬件产品却正遭遇着一种尴尬,即在有人欢迎这种产品的同时,也有人反对这样的产品。往好处讲,这种硬件产品更容易安装,整体价格也相对低廉一些。但它也有自身的弊端:如果企业用户需要更为专业化的软件服务时,这种产品就不会有很大的弹性区间。
企业用户网络安全维护范围的重新界定。
目前各大企业公司的员工们在家里通过宽带接入而登录自己公司的网络系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为网络安全带来了新问题,即企业用户网络安全维护范围需要重新界定。因为他们都是远程登录者,并没有纳入传统的企业网络安全维护的“势力范围”之内。另外,由于来自网络的攻击越来越严重,许多企业用户不得不将自己网络系统内的每一台PC机都装上防火墙、反侵入系统以及反病毒软件等一系列的网络安全软件。这同样也改变了以往企业用户网络安全维护范围的概念。
个人的信用资料。
个人信用资料在公众的日常生活中占据着重要的地位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计2003年这种犯罪现象将会发展到全面窃取美国公众的个人信用资料的程度。如网络犯罪者可以对你的银行存款账号、社会保险账号以及你最近的行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给美国公众的日常人生活带来极大的负面影响。
3.病毒现状
互联网的日渐普及使得我们的日常生活不断网络化,但与此同时网络病毒也在继续肆虐威胁泛滥。在过去的六个月内,互联网安全饱受威胁,黑客蠕虫入侵问题越来越严重,已成泛滥成灾的趋势。
2003年8月,冲击波蠕虫在视窗暴露安全漏洞短短26天之后喷涌而出,8天内导致全球电脑用户损失高达20亿美元之多,无论是企业系统或家庭电脑用户无一幸免。
据最新出炉的赛门铁克互联网安全威胁报告书(Symantec Internet Security Threat Report)显示,在2003年上半年,有超过994种新的Win32病毒和蠕虫被发现,这比2002年同时期的445种多出一倍有余。而目前Win32病毒的总数大约是4千个。在2001年的同期,只有308种新Win32病毒被发现。
这份报告是赛门铁克在今年1月1日至6月31日之间,针对全球性的网络安全现状,提出的最为完整全面的威胁趋势分析。受访者来自世界各地500名安全保护管理服务用户,以及2万个DeepSight威胁管理系统侦察器所探测的数据。
赛门铁克高级区域董事罗尔威尔申在记者通气会上表示,微软虽然拥有庞大的用户市占率,但是它的漏洞也非常的多,成为病毒目标是意料中事。
他指出,开放源码如Linux等之所以没有受到太多病毒蠕虫的袭击,完全是因为使用者太少,以致于病毒制造者根本没有把它不放在眼里。他举例说,劫匪当然知道要把目标锁定在拥有大量现金的银行,所以他相信随着使用Linux平台的用户数量的增加,慢慢地将会有针对Linux的病毒和蠕虫出现。
不过,他不同意开放源码社群的合作精神将能有效地对抗任何威胁的袭击。他说,只要是将源码暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不怀好意的人多的是。即时通讯病毒4倍增长
赛门铁克互联网安全威胁报告书指出,在2003年上半年使用诸如ICQ之类即时通讯软件(Instant Messaging,IM)和对等联网(P2P)来传播的病毒和蠕虫比2002年增加了400%,在50大
病毒和蠕虫排行榜中,使用IM和P2P来传播的恶意代码共有19个。据了解,IM和P2P是网络安全保护措施不足导致但这并不是主因,主因在于它们的流行广度和使用者的无知。
该报告显示,该公司在今年上半年发现了1千432个安全漏洞,比去年同时期的1千276个安全漏洞,增加了12%。其中80%是可以被人遥控的,因此严重型的袭击可以通过网络来进行,所以赛门铁克将这类可遥控的漏洞列为中度至高度的严重危险。另外,今年上半年的新中度严重漏洞增加了21%、高度严重漏洞则增加了6%,但是低度严重漏洞则减少了11%。
至于整数错误的漏洞也有增加的趋势,今年的19例比起去年同期的3例,增加了16例。微软的互联网浏览器漏洞在今年上半年也有12个,而微软的互联网资讯服务器的漏洞也是非常的多,赛门铁克相信它将是更多袭击的目标;以前袭击它的有尼姆达(Nimda)和红色代码(Code Red)。
该报告显示了64%的袭击是针对软件新的安全漏洞(少过1年的发现期),显示了病毒制造者对漏洞的反应越来越快了。以Blaster冲击波为例,就是在Windows安全漏洞被发现短短26天后出现的。
知名病毒和蠕虫的威胁速度和频率也增加了不少,今年上半年的知名威胁比去年同期增加了20%,有60%的恶意代码(Malicious Code)是知名病毒。今年1月在短短数小时内造成全球性的瘫痪的Slammer蠕虫,正是针对2002年7月所发现的安全漏洞。另外,针对机密信息的袭击也比去年上半年增加了50%,Bugbear.B就是一个专锁定银行的蠕虫。
黑客病毒特征
赛门铁克互联网安全威胁报告书中也显现了有趣的数据,比如周末的袭击有比较少的趋向,这与去年同期的情况一样。
虽然如此,周末两天加上来也有大约20%,这可能是袭击者会认为周末没人上班,会比较疏于防备而有机可乘。赛门铁克表示这意味着网络安全保护监视并不能因为周末休息而有所放松。
该报告书也比较了蠕虫类和非蠕虫类袭击在周末的不同趋势,非蠕虫类袭击在周末会有下降的趋势,而蠕虫类袭击还是保持平时的水平。蠕虫虽然不管那是星期几,但是有很多因素也能影响它传播的率,比如周末少人开机,确对蠕虫的传播带来一些影响。
该报告书也得出了在互联网中病毒袭击发生的高峰时间,是格林威治时间下午1点至晚上10点之间。虽然如此,各国之间的时差关系,各国遭到袭击的高峰时间也会有少许不同。比如说,华盛顿袭击高峰时间是早上8时和下午5时,而日本则是早上10时和晚上7时。
知名病毒和蠕虫的威胁速度和频率也增加了不少,今年上半年的知名威胁比去年同期增加了20%,有60%的恶意代码(Malicious Code)是知名病毒。今年1月在短短数小时内造成全球性的瘫痪的Slammer蠕虫,正是针对2002年7月所发现的安全漏洞。另外,针对机密信息的袭击也比去年上半年增加了50%,Bugbear.B就是一个专锁定银行的蠕虫。管理漏洞---如两台服务器同一用户/密码,则入侵了A服务器,B服务器也不能幸免;软件漏洞---如Sun系统上常用的Netscape EnterPrise Server服务,只需输入一个路径,就可以看到Web目录下的所有文件清单;又如很多程序只要接受到一些异常或者超长的数据和参数,就会导致缓冲区溢出;结构漏洞---比如在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听网络通信流的数据;又如防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而酿成黑客入侵事故;信任漏洞---比如本系统过分信任某个外来合作伙伴的机器,一旦这台合作伙伴的机器被黑客入侵,则本系统的安全受严重威胁;
综上所述,一个黑客要成功入侵系统,必须分析各种和这个目标系统相关的技术因素、管理因素和人员因素。
因此得出以下结论:
a、世界上没有绝对安全的系统;b、网络上的威胁和攻击都是人为的,系统防守和攻击的较
量无非是人的较量;c、特定的系统具备一定安全条件,在特定环境下,在特定人员的维护下是易守难攻的;d、网络系统内部软硬件是随着应用的需要不断发展变化的;网络系统外部的威胁、新的攻击模式层出不穷,新的漏洞不断出现,攻击手段的花样翻新,网络系统的外部安全条件也是随着时间的推移而不断动态变化的。
一言以蔽之,网络安全是相对的,是相对人而言的,是相对系统和应用而言的,是相对时间而言的。4,安全防御体系
3.1.2
现代信息系统都是以网络支撑,相互联接,要使信息系统免受黑客、病毒的攻击,关键要建立起安全防御体系,从信息的保密性(保证信息不泄漏给未经授权的人),拓展到信息的完整性(防止信息被未经授权的篡改,保证真实的信息从真实的信源无失真地到达真实的信宿)、信息的可用性(保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其它人为因素造成的系统拒绝服务,或为敌手可用)、信息的可控性(对信息及信息系统实施安全监控管理)、信息的不可否认性(保证信息行为人不能否认自己的行为)等。
安全防御体系是一个系统工程,它包括技术、管理和立法等诸多方面。为了方便,我们把它简化为用三维框架表示的结构。其构成要素是安全特性、系统单元及开放互连参考模型结构层次。
安全特性维描述了计算机信息系统的安全服务和安全机制,包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性。采取不同的安全政策或处于不同安全保护等级的计算机信息系统可有不同的安全特性要求。系统单元维包括计算机信息系统各组成部分,还包括使用和管理信息系统的物理和行政环境。开放系统互连参考模型结构层次维描述了等级计算机信息系统的层次结构。
该框架是一个立体空间,突破了以往单一功能考虑问题的旧模式,是站在顶层从整体上进行规划的。它把与安全相关的物理、规章及人员等安全要素都容纳其中,涉及系统保安和人员的行政管理等方面的各种法令、法规、条例和制度等均在其考虑之列。
另外,从信息战出发,消极的防御是不够的,应是攻防并重,在防护基础上检测漏洞、应急反应和迅速恢复生成是十分必要的。
目前,世界各国都在抓紧加强信息安全防御体系。美国在2000年1月到2003年5月实行《信息系统保护国家计划V1.0》,从根本上提高防止信息系统入侵和破坏能力。我国急切需要强化信息安全保障体系,确立我军的信息安全战略和防御体系。这既是时代的需要,也是国家安全战略和军队发展的需要,更是现实斗争的需要,是摆在人们面前刻不容缓的历史任务。5加密技术
密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。
自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。由于分解大整数的能力日益增强,所以对RSA的安全带来了一定的威胁。目前768比特模长的RSA已不安全。一般建议使用1024比特模长,预计要保证20年的安全就要选择1280比特的模长,增大模长带来了实现上的难度。而基于离散对数问题的公钥密码在目前技术下512比特模长就能够保证其安全性。特别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的计算更困难,目前技术下只需要160比特模长即可,适合于智能卡的实现,因而受到国内外学者的广泛关注。国际上制定了椭圆曲线公钥密码标准IEEEP1363,RSA等一些公司声称他们已开发出了符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点,包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。
公钥密码主要用于数字签名和密钥分配。当然,数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名有盲签名,代理签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS),部分州已制定了数字签名法。法国是第一个制定数字签名法的国家,其他国家也正在实施之中。在密钥管理方面,国际上都有一些大的举动,比如1993年美国提出的密钥托管理论和技术、国际标准化组织制定的X.509标准(已经发展到第3版本)以及麻省里工学院开发的Kerboros协议(已经发展到第5版本)等,这些工作影响很大。密钥管理中还有一种很重要的技术就是秘密共享技术,它是一种分割秘密的技术,目的是阻止秘密过于集中,自从1979年Shamir提出这种思想以来,秘密共享理论和技术达到了空前的发展和应用,特别是其应用至今人们仍十分关注。我国学者在这些方面也做了一些跟踪研究,发表了很多论文,按照X.509标准实现了一些CA。但没有听说过哪个部门有制定数字签名法的意向。目前人们关注的是数字签名和密钥分配的具体应用以及潜信道的深入研究。
认证码是一个理论性比较强的研究课题,自80年代后期以来,在其构造和界的估计等方面已经取得了长足的发展,我国学者在这方面的研究工作也非常出色,影响较大。目前这方面的理论相对比较成熟,很难有所突破。另外,认证码的应用非常有限,几乎停留在理论研究上,已不再是密码学中的研究热点。
Hash函数主要用于完整性校验和提高数字签名的有效性,目前已经提出了很多方案,各有千秋。美国已经制定了Hash标准-SHA-1,与其数字签名标准匹配使用。由于技术的原因,美国目前正准备更新其Hash标准,另外,欧洲也正在制定Hash标准,这必然导致Hash函数的研究特别是实用技术的研究将成为热点。
信息交换加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安
全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
第四篇:计算机网络课程作业
计算机网络课程作业
徐熙 2012141463178
R1 答:没有不同,端系统包括PC、工作站、web服务器、邮件服务器、网络连接的PDA、网络电视等等。是的。
R3 答:客户机程序是运行在一个端系统上的程序,它发出请求,并从运行另一个端系统上的服务器程序接收服务。
R8 答:拨号调制解调器:最高56kbps,宽带专用。
DSL:下行信道5—8Mbps,上行信道最高1Mbps,宽带专用。
HFC:下行信道10—30Mbps,上行信道一般只有几Mbps,宽带共享。
R11 答:电路交换可以为呼叫的持续时间保证提供一定量的端到端的宽带。现在大多数分组交换网不能保证任何端到端宽带。当发生拥塞等网络问题时,TDM中丢失的数据可能只会是一部分,而FDM就可能是大部分或者全部。
R12 答:t0时刻,发送主机开始传输。在t1=L/R1时刻,发送主机完成发送并且整个分组被交换机接收。在t2=L/R2时刻,交换机完成传输且接收主机收到了整个分组。所以端到端总时延为L/R1+L/R2。
R13 答:In a packet switched network, the packets from different sources flowing on a link do not follow any fixed, pre-defined pattern.In TDM circuit switching, each host gets the same slot in a revolving TDM frame.R15 答:一个第一层ISP与所有其它的第一层ISP相连;而一个第二层ISP只与部分第一层 ISP相连。而且,一个第二层ISP是一个或多个第一层ISP的客户。
R16 答:时延由处理时延、传输时延、传播时延和排队时延组成。所有这些时延除了排队时延都是固定的。
R19 答:a.250kbps
b.64 seconds
c.200kbps、80seconds
R23 答:5 种任务为:错误控制,流量控制,分段与重组,复用以及连接建立。
R25 答:应用层报文:应用程序要发出的在传输层上传递的数据;传输层报文段:将应用层报文加上传输层包头,由传输层管理和封装的信息;网络层数据报:将传输层报文段加上网络层包头之后封装;链路层帧:将网络层数据报加上链路层包头之后封装。
R26 答:蠕虫,现在具体指那些通过漏洞或者电子邮件等快速传播的程序,它们大都以快速传播为目的,以此躲避彻底查杀,蠕虫一般很少感染可执行文件。
当攻击者进入你的系统后,它会放置一个木马,或者,攻击者会欺骗你运行木马。木马的作用是帮助攻击者更加容易地操作你的电脑,它们很少自行破坏文件,因为它们一般要长期待在你的系统中。
病毒,最大类的东西,按照现在的分类趋势,病毒几乎能够涵盖木马和蠕虫,它泛指那些对用户有害的程序,又特指其中会自我传播的那一部分。早期的,一般意义的病毒是指会感染文件的文件型病毒。
第五篇:计算机网络作业7
计算机网络第七次作业
1、答:它们三个分别是DNS名(域名)、IP地址和以太网地址(MAC)。
6、是,如果一台计算机只有一个DNS域名,它是可以有多个IP地址,我们知道,一个IP地址标识的主机的网络连接,而非主机本身,IP地址包含一个网络号和一个主机号,如果一台计算机主机有两个以太网网卡,那么,它就可以连接到两个独立的网络中,这样,就有了两个网络连接,因此需要两个IP地址。
16、实际的答复必须有邮件传输系统完成。当一个SMTP连接来时,邮件传输代理必须检查一个度假进程是否被建立来回应传入的电子邮件,如果是的话,发送答案,而用户代理则不能做到这一点,因为用户度假回来时它甚至才会被调用。
37、由CD的音频带宽,得1.411Mb/s*2*60*60/8=1269.9MB.42、由计算公式,比特率=1280×800×16×50=819200000(B/s)=800000kB/s=781.25MB/s
点击咨询 