第一篇:计算机网络安全与防范
计算机网络安全与防范
授课内容:
1、计算机网络安全的概念
2、计算机网络安全的隐患
3.计算机网络安全的对策
授课时间:90分钟
授课人:张文兵
授课目的:通过授课,使同志们能够了解计算机网络安全的概念和一些计算机存在的安全隐患,更深一步的了解当遇到计算机网络安全时的一些基本处置对策。
近年来,网络技术不断发展,网络应用逐渐普及。越来越多的计算机用户足不出户就可访问到全球网络系统丰富的信息资源,经济、文化、军事和社会活动也强烈依赖于网络,一个网络化的社会已呈现在我们面前。随着网络应用的不断增多,网络安全问题也越来越突出。由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通,研究网络的安全与防范措施已迫在眉捷。
1、计算机网络安全的概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和治理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。从大多数普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
总的来说,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
2、计算机网络安全的隐患
2.1计算机软件漏洞
中国日报网消息:IE浏览器4日再次曝出新的安全漏洞,该IE漏洞可被黑客远程利用,并能够获取用户隐私信息,提醒使用IE浏览器的用户特别关注。据了解,作为微软VIA成员,金山安全实验室第一时间获取了该漏洞的相关信息。国家计算机网络入侵防范中心发布安全漏洞周报称,上周安全漏洞共计有183个,其中高危漏洞88个,安全漏洞总量相比前一周有所上升。金山反病毒专家李铁军表示,新的IE漏洞目前还不能被用来挂马传播病毒,但可以被黑客用来远程获得用户的隐私信息,如IE访问记录等,黑客掌握了用户的一些私人信息之后,有可能实行进一步欺诈攻击。李铁军说,该漏洞可能影响到的IE浏览器版本包括windows2000IE5/IE6版本以windowsxpIE6/IE7/IE8等版本。黑客通过精心构造的恶意代码,攻击某些网站并上传恶意代码到被攻击网站的服务器。用户访问被攻击的网站时,可能导致用户隐私信息泄露。
无论多强大的软件在设计之初都难免存在缺陷或漏洞,操作系统软件也不例外。系统主机之间互异的操作系统具有相对的独立性,同样性质的漏洞,也会由于操作系统软件设计开发过程的不同,而具有不一样的表现形式。攻击者可以很“方便”的通过漏洞对计算机系统进行破坏,造成主机瘫痪、重要资料丢失等,严重影响系统的正常运行。
2.2 黑客攻击
这是一种最严重的网络安全威胁。攻击者通过各种方式寻找系统脆弱点或系统漏洞,由于网络系统同构冗余环境的弱点是相同的,多个系统同时故障的概率虽小,但被攻破可能性却大,通过拦截、窃取等多种方式,向系统实施攻击,破坏系统重要数据,甚至系统瘫痪,给网络安全带来严重威胁。维护网络安全,主要指维护网络的信息安全。保证数据的机密、完整是最基本的目标。一个安全的网络环境,数据未经授权应该是不能被任意修改的,任何想获取该数据信息的访问者都应是经过授权的合法用户。此外,网络环境应是可靠的、可被控制的。网络管理人员应具备丰富的理论和实践经验,攻击来临时能迅速控制安全隐患的传播。同时,当系统不能正常运行时,系统的硬件或软件资源,都应具备及时修复并保证提供正常服务的能力。
2.3病毒的危害
网络病毒发病和传播速度极快,而许多计算机用户由于各种各样的原因,没有安装杀毒软件或不能及时更新杀毒软件病毒库,造成网络病毒泛滥,不仅严重地危害到了用户计算机安全,而且极大的消耗了网络资源,造成网络拥塞,给每一个用户都带来极大的不便。同时外来的攻击和内部用户的攻击越来越多、危害越来越大,已经严重影响到了网络的正常使用。常见的网络病毒有“机器狗”,“桌面幽灵”,“猫癣病毒”等
2.4各种非法入侵和攻击
由于计算机网络接入点较多,拥有众多的公共资源,并且使用者安全意识淡薄,安全防护比较薄弱,使得网络成为易受攻击的目标。非法入侵者有目的的破坏信息的有效性和完整性,窃取数据,非法抢占系统控制权、占用系统资源。比如:漏洞、薄弱点扫描,口令破解;非授权访问或在非授权和不能监测的方式下对数据进行修改;通过网络传播病毒或恶意脚本,干扰用户正常使用或者占用过多的系统资源导致授权的用户不能获得应有的访问或操作被延迟产生了拒绝服务等。
2.5网络自身的安全缺陷
网络是一个开放的环境,TCP/IP是一个通用的协议,即通过IP地址作为网络节点的唯一标识,基于IP地址进行多用户的认证和授权,并根据IP包中源IP地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对IP地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在。通过TCP/IP协议缺陷进行的常见攻击有:源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。
3.计算机网络安全的对策
3.1防火墙技术
防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Inter net之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。
3.2数据加密技术
数据加密是网络系统中一种比较有效的数据保护方式,目的是为了防止网络数据的篡改、泄露和破坏。通常数据加密采用链路加密、端端加密、节点加密和混合加密方式。链路加密是对网络中两个相邻节点之间传输的数据进行加密保护,能够防止搭线窃听。端端加密是对源节点用户到目标节点用户的数据进行保护,方式更加可靠,且易于设计和实现。节点加密是对源节点到目标节点的链路提供保护。混合加密是采用链路加密和端端加密相结合的混合加密方式,可以获得更高的安全。
3.3防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连
接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对计算机网络整体有效防护的解决办法。
3.4做好物理安全防护
物理安全防护是指通过采用辐射防护、屏幕口令、状态检测、报警确认、应急恢复等手段保护网络服务器等计算机系统、网络交换路由等网络设备和网络线缆等硬件实体免受自然灾害、物理损坏、电磁泄漏、操作失误以及人为干扰和搭线攻击的破坏。[3]如:将防火墙、核心交换机以及各种重要服务器等重要设备尽量放在核心机房进行集中管理;将光纤等通信线路实行深埋、穿线或架空,防止无意损坏;将核心设备、主干设备以及接入交换机等设备落实到人,进行严格管理。物理安全防护是确保校园网络系统正常工作、免受干扰破坏的最基本手段。
3.5配备网络安全设备或系统
为减少来自网络内外的攻击和破坏,需要在网络中配置必要的网络安全设备,如网络入侵保护系统、主页防篡改系统、防火墙、网络防病毒系统、漏洞扫描系统、内容过虑系统、补丁升级系统、服务器的安全监测系统等等。通过配置网络安全设备,能够实现对校园网络的控制和监管,能够阻断大量的非法访问,能够过滤来自网络的不健康数据信息,能够帮助网络管理员在发生网络故障时迅速定位。充分利用好这些网络安全设备可以大大提高校园网的安全级别。
3.6服务器访问控制策略
服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账户不需要的权限选择合适的账户连接到数据库。
3.7建立更安全的电子邮件系统
目前有些优秀的电子邮件安全系统具有强大的高准确率和低误报率,独特的策略模块可以帮助用户轻松地实现邮件系统的管理与维护,有的电子邮件系统判别垃圾邮件的准确率接近百分之百。各用户要多方分析、比较,选择优秀的电子邮件安全系统保证网络的邮件系统安全,以改变邮件系统存在垃圾邮件、邮件病毒、邮件泄密等安全隐患的现状。
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user 用户名/del”就可以删掉这个用户。
4.结束语
计算机网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了计算机网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的计算机网络系统。
第二篇:计算机网络安全与防范探讨
本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com
第三篇:计算机网络安全与防范[论文]
摘 要:当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
关键词:计算机;网络;安全;防范
在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
一、计算机网络安全的概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
二、计算机网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
三、计算机网络安全的防范措施
1、加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2、网络防火墙技术
是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3、安全加密技术 加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
4、网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
参考文献:
[1]黄怡强,等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.[3]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.[4]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.[5]孙小刚,韩冬,等.面向软件工程的Visual C++网络程序开发[M].北京:清华大学出版社,2004,11
第四篇:计算机网络安全与防范论文
电 子 科 技 大 学
毕 业 论 文
论文题目: 计算机网络安全与防范
学习中心(或办学单位):成都市金牛区知金教育培训学校学习中心
指导老师:纪娟 职 称: 副教授
学生姓名:康守荣 学 号: V20***08
专 业:计算机科学与技术
电子科技大学 | 继续教育学院 | 制 | |
网络教育学院 |
2022年03月18日
摘 要
当人类迈入21世纪这一信息网络社会以来,人类经济、生活发生了翻天覆地的变化。随着计算机技术的高速发展,计算机网络应用也与来越广泛,已普及到我们的日常工作、生活中。然而随之而来的是我们的网络安全也受到前所未有的威胁。面对计算机给我们生活带来的便利,充分利用各类资源的同时,基于网络安全的问题也日益突出,我们不得不考虑未来的网络安全防范。计算机病毒攻击与黑客行为也在不断升级,我们的防御体系也应更新和完善。因网络病毒给国家、企业和个人带来严重的损失和危害,对计算机病毒防范也将越来越受到各国的高度重视。因此,针对网络安全问题,本文通过计算机网络安全隐患进行初步的分析探讨。
关键词:网络安全,防御体系,病毒
目 录
摘 要 1
ABSTRACT 1
目 录 2
第一章 绪论 3
1.1 概述 3
1.2 网络安全技术的研究目的和意义 3
1.3 网络安全的重要性 3
第二章 网络安全现状及防范措施 5
2.1 网络安全现状 5
2.2安全防范技术 5
2.2.1 防火墙技术 5
2.2.2 VPN技术 6
2.2.3 IDS技术 6
2.2.4 IPS技术 6
2.2.5 网络隔离技术 7
2.2.6 加密技术 7
2.2.7 访问控制技术 7
第三章 网络安全发展建议 8
3.1提升新兴领域的安全防范能力 8
3.2构建核心技术生态圈 8
3.3增强我国网络空间话语权 8
3.4构建可信网络空间 9
3.5全面保护关键信息基础设施 9
结束语 10
谢 辞 10
参考文献 11
[ANNOTATION:
BY HY
ON 2020-09-17T11:36:00A
NOTE: 一级标题:中文字体为黑体,西文字体为Times New Roman,小三号,大纲级别1级,居中无缩进,段前24磅,段后18磅,固定值20磅。
NOTE: 题序与标题间空1格。每一章另起一页。]
第一章 绪论
1.1 概述
随着计算机技术的快速发展,网络平台也随之成为了人们相互交流的平台和桥梁。从计算机发展的最初处理简单的运算和文件处理,到如今各种复杂的互联网的信息共享和业务处理能力。但是在网络带来方便的同时,网络带来的问题也日益突显严重,各种网络安全问题接蹱而至,所以网络安全也是每个人应该重视的问题。对于这个问题,我们必须加强安全防范意识,否则这些问题必会给我们个人、社会甚至国家带来巨大损失。
1.2 网络安全技术的研究目的和意义
随着互联网的高速发展下,网络信息化已经成为一个发展趋势,计算机网络面临的威胁也很大,如今,个人、国家、企业等各个领域都是在网络传递信息,全球信息化已成为人类发展的大趋势,这已成为主流,人们也越来越依赖网络。但由于计算机网络的开放性、互连性等特征,导致容易受黑客、病毒、恶意软件和其他不轨行为的攻击和破坏,容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。所以网上信息安全和保密是一个至关重要的问题。所以网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。因此,这些网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。为了确保网络的安全,网络安全的研究及防范已经刻不容缓,本文就进行初步浅析网络安全及其技术措施。
认真分析网络面临的威胁,我认为网络安全是一个安全管理和技术防范相结合的工程。我们应结合我们目前的安全问题,采用先进的技术和产品,着力发展一个我们国家自己的网络安全体系,带动我国网络安全技术的整体提高,做到真正的去解决网络安全问题。
1.3 网络安全的重要性
网络安全越来越受到重视,早在2018年4月20日,习近平主席在全国网络安全和信息化工作会议上指出“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人们群众利益也难以得到保障。”总书记的这段话就可以看出网络安全的重要性,也多次在会议中强调网络安全的重要性。网络安全事关国家安全和发展,也关系到广大人们群众的利益。在当经这个信息技术快速发展的社会,技术也是日新月异,网络信息化和和经济全球化已通过互联网融入人们的生活中,让计算机⽹络已经深⼊到国家的政治、经济、⽂化和国防建设的各个领域,遍布现代信息化社会的⼯作和⽣活每个层⾯。
第二章 网络安全现状及防范措施
2.1 网络安全现状
随着信息技术的发展,网络威胁层出不穷、勒索病毒也频繁出现,国家与个人层面的信息安全威胁不断提升,网络安全已经成为事关国家安全的重要问题。世界各国也在加速网络安全战略落地部署。近年来,先后有50余国家制定并公布了国家网络安全战略,我们国家网络安全政策也随之密集出台。2014年,我国成立了中央网络安全和信息化领导小组,统筹协调涉及各个领域的网络安全和信息化重大问题。国务院重组了国家互联网信息办公室,授权其负责全国互联网信息内容管理工作,并负责监督管理执法。工信部发布了《关于加强电信和互联网行业网络安全工作的指导意见》,明确了提升基础设施防护、加强数据保护等八项重点工作,着力完善网络安全保障体系。我国国家网络与信息安全顶层领导力量明显加强,管理体制日趋完善,机构运行日渐高效,工作目标更加细化。特别是2019年5月,国家市场监督管理总局颁布的《网络安全等级保护基本要求》、《网络安全等级保护测评要求》和《网络安全等级保护安全设计技术要求》三大标准,标志我国的网络安全也越加规范。
目前我国政府、相关部门和有识之士都把网络监管提到新的高度。衷心希望在不久的将来,我国网络安全工作能跟随社会发展,上一个新台阶。
2.2 安全防范技术
针对各种各样的网络安全问题,我们用下面的几个技术方案做出相应的应对措施:
2.2.1 防火墙技术
防火墙是一个系统或一组系统,它在内网与Internet间执行一定的安全策略。典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关(或代理服务器)以及链路层网关。
防火墙的功能大体为以下五个方面:
1、通过防火墙可以定义一个关键点以防止外来入侵
2、监控网络的安全并在异常情况下给出报警提示
3、提供网络地址转换功能
4、防火墙可查询或登记Internet的使用情况
5、防火墙是为客户提供服务的理想位置,即在其上可以配置相应的服务,使Internet用户仅可以访问此类服务,而禁止对保护网络的其他系统的访问。
2.2.2 VPN技术
VPN(Virtual Private Network,虚拟专用网络)使用IP机制仿真出一个私有广域网,通过私有的隧道技术1在公共数据网络上仿真一条点到点的专线技术实现利用公有网络实现私有的数据通信,相当于在通信节点之间,跨公有网络建立一个私有的、专用的虚拟通信隧道,基于不同的VPN技术,能让这个通信隧道具有安全性、可信任、可靠性、完整性检验等特点。
2.2.3 IDS技术
IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在很多中大型企业,政府机构,都会布有IDS。我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
2.2.4 IPS技术
IPS(Intrusion Prevention System):入侵防御系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中的网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度)向管理中心告警、丢弃该报文、切断此次应用会话、切断此次TCP连接。
2.2.5 网络隔离技术
把两个或者两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。主要原理是使用了不同的协议,故也叫协议隔离。网络隔离主要目的:将有害的网络安全威胁隔离开,以保障数据信息在可信网络内进行安全交互。一般的网络隔离技术都是以访问控制思想为策略,物理隔离为基础,并定义相关约束和规则来保障网络的安全强度。
2.2.6 加密技术
网络加密技术是为了保证网络、信息安全设计的,是一种主动的信心安全防范措施,其原理利用了一定的加密算法,将可以直接读取的文件转化成不可以直接读取的秘密文件,在一定程度上能阻止非法用户截取或是掌握原始数据信息,进而保证数据的保密性。直接读取的文件变成不能直接读取文件的过程就是~个加密过程,将不能直接读取的文件转化成可以直接读取的文件就是一个解密过程,加密、解密使用的可变参数就叫做密钥。
2.2.7 访问控制技术
访问控制根据预先定义的访问控制策略授予主体访问客体的权限,并对主体使用权限的过程进行有效的控制,从而确保企业的信息资源不会被非法访问。访问控制的本质是校验对信息资源访问的合法性,其目标是保证主体在授权的条件下访问信息。
第三章 网络安全发展建议
3.1提升新兴领域的安全防范能力
开展信息技术产品,尤其是新兴领域信息技术产品的审查工作。
1、加紧出台大数据、人工智能、云计算、物联网等新兴技术领域的政策法规,强化信息技术产品审查工作的重要性。
2、积极制定新兴领域信息技术产品的安全保护标准,界定相关产品的核心功能和技术,构建评估产品安全性的指标和实施方案。
3、构建信息技术产品的安全审查机制,定期开展安全审查,加强新兴领域信息技术产品的安全监督工作,对发现的问题及时进行整改,同时加大安全事件的执法力度,依法依规对涉事企业进行严厉处罚。
4、提升安全审查的技术手段,推动网络安全态势感知平台的建立,实现业务监控、溯源取证、安全事件响应等功能。
3.2构建核心技术生态圈
1、统一信息领域核心技术发展思路。摒弃自主创新和引进消化吸收之间的路线之争,改变以出身论安全的思路,形成信息技术产品安全可控评价标准,组织开展评价工作,引导厂商提升自主创新能力和产业生态掌控能力。
2、优化核心技术自主创新环境。强化企业的创新主体地位,着力构建以企业为主體、市场为导向、产学研相结合的技术创新体系。提高企业创新积极性,继续以基金等形式支持企业通过技术合作、资本运作等手段争取国际先进技术和人才等,为企业充分利用国际资源提升自主创新能力提供支撑。
3、构建核心技术生态圈。依托政府、军队等安全要求较高的应用领域,结合应用单位基本需求,制定自主生态技术标准,统一相关技术产品的关键功能模块、技术接口等,依托自主可控评价等手段,引导企业协同创新,推动产业上下游企业团结协作,打造自主可控生态圈。
3.3增强我国网络空间话语权
借助“一带一路”积极与其它国家开展一系列信息技术领域的合作。一方面有效带动我国基础信息设施发展相对滞后的中西部地区,增强其抵御外部网络侵略的意识与力量,筑就我国的“网络长城”。另一方面形成信息技术研发和信息技术产品推广的跨境联盟,更大程度地释放互联网所集聚的能量,推动网络强国建设,在通信、交通、金融等领域积极参与国际行业标准的制定,增强我国在世界范围内网络空间的话语权与影响力。
3.4构建可信网络空间
1、做好网络可信身份体系的顶层设计。借鉴国外做法,结合我国国情,明确我国网络可信身份体系框架、各参与方在其中的角色和职责,并细化网络可信身份体系建设的路径,明确组织、资金等各方面保障,从法律法规、标准规范、技术研发、试点示范、产业发展等多方面推进体系建设。
2、建设并推广可信身份服务平台,推动可信身份资源共享。通过建设集成公安、工商、CA机构、电信运营商等多种网络身份认证资源的可信身份服务平台,提供“多维身份属性综合服务”,包括网络身份真实性、有效性和完整性认证服务,最终完成对网上行为主体的多途径、多角度、多级别的身份属性信息的收集、确认、评价及应用,实现多模式网络身份管理和验证。
3、推动多种网络可信身份认证技术和服务发展,充分利用现有技术和基础设施,加快开发安全和方便的网络身份技术,跟踪大数据、生物识别和区块链等新兴技术的发展,不断提高技术的先进性。
3.5全面保护关键信息基础设施
1、建立健全关键信息基础设施保护制度。明确保障关键信息基础设施安全保障的基本要求和主要目标,提出工作任务和措施。
2、研究制定关键信息基础设施网络安全标准规范。研制关键信息基础设施的基础性标准,推动关键信息基础设施分类分级、安全评估等标准的研制和发布。
3、建立健全关键信息基础设施安全监管机制。一方面,健全关键信息基础设施安全检查评估机制,面向重点行业开展网络安全检查和风险评估,指导并监督地方开展安全自查,组织专业队伍对重点系统开展安全抽查,形成自查与重点抽查相结合的长效机制。另一方面,完善关键信息基础设施安全风险信息共享机制,理顺信息报送渠道,完善监测技术手段和监测网络,加快形成关键信息基础设施网络安全风险信息共享的长效机制。
[ANNOTATION:
BY HY
ON 2021-12-27T10:01:00A
NOTE: 黑体,小三号,大纲级别1级,居中无缩进,段前24磅,段后18磅,固定值20磅。结束语前面不加章编号。另起一页。]结束语
维护网络安全,人人有责。我们在使用互联网的时候,不仅要守法,还要护法,要向周围的人群宣传网络安全法。和平年代网络信息安全关乎国家与人民的利益,如何为网络筑起一道“安全门”。需要人民群众上下一心主动投身到网络安全事业中去,全心全意为国家网络安全拉起一道“防火墙”。
[ANNOTATION:
BY HY
ON 2021-12-27T11:37:00A
NOTE: 谢辞标题中间空一个汉字空格或2个半角空格,黑体小三号,居中无缩进,大纲级别1级,段前24磅,段后18磅,固定值20磅。]谢 辞
非常感谢纪娟教授在我大学的最后学习阶段给自己的指导,从最初的开题报告,到给我各种指导意见,给了我耐心的指导和无私的帮助。在此我向她们表示我诚挚的谢意。
同时,感谢所有任课老师和所有同学在大学生活给自己的指导和帮助,是他们我才有幸接触到这些知识和学问。正是由于他们,我才能在各方面取得显著的进步,使我坚定了人生的方向。在此我真诚的向他们表示我由衷的谢意,并祝所有的老师培养出更多优秀人才,桃李满天下!
[ANNOTATION:
BY HY
ON 2020-09-17T13:59:00A
NOTE: 黑体小三号,居中无缩进,大纲级别1级,段前24磅,段后18磅,固定值20磅。
NOTE:
NOTE: 参考文献内容:中文字体为宋体,西文字体为Times New Roman,小四号,两端对齐,大纲级别正文文本,段前0行,段后0行,固定值20磅。
NOTE: 编号1-9悬挂缩进0.6厘米
NOTE: 编号10-99悬挂缩进0.74厘米
NOTE: 编号100以上悬挂缩进0.9厘米
NOTE: 标准模板的示例遵循GB/T 7714-2015。]参考文献
[1].李涛.网络安全概论[M].北京:电子工业出版社, 2004
[2].吴吉义.电子商务概论与案例分析[M].北京: 人民邮电出版社出版,2008
[3].冯元.计算机网络安全基础[M].北京:科学出版社,2003
[4].施晓松.计算机网络技术[M].北京: 科学出版社出版,2003
[5].张仕.网络安全技术[M].北京:清华大学出版社, 2004
[6].胡道元.闵京华.网络安全[M].北京: 清华大学出版社,2004
[7].曹天杰.计算机系统安全[M].北京: 高等教育出版社,2003
[8].顾巧论.计算机网络安全[M].北京: 科学出版社出版,2011
[9].赵阳.网络安全技术与应用[J],中国人民公安大学出版社,2011年12期
[10].林枫.电子商务安全技术及应用[M].北京:北京航空航天大学出版社,2001
[11].张然,王勇.网络信息安全专业实践教学关键问题探讨[A];2009年中国高校通信类院系学术研讨会论文集[C];2009隧道技术:利用封装及解封装技术,能够在通信站点之间建立一个点到点的虚拟通信隧道,简单的理解:就是对ip数据报进行再次封装,即隧道ip头+[ip头+数据帧]
第五篇:计算机网络安全与防范毕业论文
计算机网络安全与防范
盐 城 师 范 学 院
毕业论文
2013-2014学
计算机网络安全与防范
学生姓名 学 院 专 业 班 级 学 号 指导教师
2013年 6 月 16 日
计算机网络安全与防范
计算机网络安全与防范
摘 要
计算机网络飞速发展的同时,安全问题不容忽视。网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。
在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展,加上发达国家对关键加密算法的出口限制,各个国家正不断致力于开发和设计新的加密算法和加密机制。
从技术上,[2]网络安全取决于两个方面:网络设备的硬件和软件。网络安全则由网络设备的软件和硬件互相配合来实现的。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现线速的安全处理仍然将是网络安全发展的一个主要方向。
在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。
总之,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。
关键词:计算机;网络;安全;防范
计算机网络安全与防范
[5]Use of information technology to people's lives, ringing all aspects of the work of the
Abstract
convenience and benefits of countless, but the computer information technology and other technologies, like a double-edged sword.When most people practical information technology to improve efficiency, create more wealth for the community, while others are doing the opposite use of information technology may do.They hacking of computer systems to steal confidential information, data tampering and break pots, to society is difficult to estimate the tremendous loss.According to statistics, about 20 seconds, a global computer intrusion incidents, Internet firewall on the network about 1 / 4 was broken, about 70% of executives report network information disclosure of confidential information received the loss.Network security is a matter of national security and sovereignty, social stability, democratic culture, inherit and carry forward the important issue of network security related to computer science, network technology, communication technology, cryptography, information security technology, applied mathematics, number theory, information theory, etc.a variety of science.This paper analyzes the current existence of network security threats and could face attack, network attack was designed and implemented defensive measures, and research-based strategy is proposed as the core of a secure, protection, detection and response as a means A campus network security system to ensure the safety of the campus network, a practical solution.For example: a firewall, authentication encryption, anti-virus technology is today commonly used method, this method of in-depth exploration of these various aspects of network security problems, can make the reader's understanding of network security technology.Keywords: network security, security, network, firewall, intrusion detection, Telnet, TCSEC, P2DR
计算机网络安全与防范
目 录
摘 要......................................................................I 目 录.....................................................................IV 第1章 绪 论..............................................................1 1.1 计算机网络发展前景...................................................1 1.2 本章小结............................................错误!未定义书签。第2章 计算机网络安全概述..................................................2 2.1 计算机网络安全的概念.................................................2 2.2 计算机网络安全现状...................................................3 2.3 本章小结............................................错误!未定义书签。第3章 网络安全的威胁因素..................................................4 3.1 网络安全的威胁因素...................................................4 3.2 本章小结............................................错误!未定义书签。第4章 几种常用的网络安全技术..............................................4 4.1 防火墙技术...........................................................4 4.1.1 防火墙的主要功能.................................................5 4.1.2 防火墙的主要优点.................................................5 4.1.3 防火墙的主要缺陷.................................................6 4.1.4 防火墙的分类.....................................................6 4.1.5 防火墙的部署.....................................................7 4.2 数据加密技术.........................................................8 4.3 系统容灾技术.........................................................8 4.4 入侵检测技术.........................................................9 4.4.1 入侵检测系统的分类...............................................9
计算机网络安全与防范
4.4.2 目前入侵检测系统的缺陷..........................................10 4.4.3 防火墙与入侵检测系统的相互联动..................................10 4.4.4 结语............................................错误!未定义书签。4.5 漏洞扫描技术........................................................11 4.6 物理安全............................................................11 4.7 本章小结............................................错误!未定义书签。第5章 结束语与展望.......................................................11 5.1 论文总结............................................................11 5.2 工作展望............................................................12 致 谢.....................................................................13 参考文献..................................................................14
计算机网络安全与防范
第1章 绪 论
1.1 计算机网络发展前景
[1]计算机网络就是计算机之间通过连接介质(如网络线、光纤等)互联起来,按照网络协议进行数据通信,实现资源共享的一种组织形式。计算机网络是二十世纪60年代起源于美国,原本用于军事通讯,后逐渐进入民用,经过短短40年不断的发展和完善,现已广泛应用于各个领域,并正以高速向前迈进。在不久的将来,我们将看到一个充满虚拟性的新时代。在这个虚拟时代,人们的工作和生活方式都会极大地改变,那时我们将进行虚拟旅行,读虚拟大学,在虚拟办公室里工作,进行虚拟的驾车测试等。
对计算机网络发展的前景,我有如下看法:
〔1〕全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单纯的大型数据中心发展成为一个更加聪明的高智商网络,将成为人与信息之间的高层调节者。其中的个人网站复制功能将不断预期人们的信息需求和喜好,用户将通过网站复制功能筛选网站,过滤掉与己无关的信息并将所需信息以最佳格式展现出来。同时,个人及企业将获得大量个性化服务。这些服务将会由软件设计人员在一个开放的平台中实现。由软件驱动的智能网技术和无线技术将使网络触角伸向人们所能到达的任何角落,同时允许人们自行选择接收信息的形式。
〔2〕带宽的成本将变得非常低廉,甚至可以忽略不计。随着带宽瓶颈的突破,未来网络的收费将来自服务而不是带宽。交互性的服务,如节目联网的视频游戏、电子报纸和杂志等服务将会成为未来网络价值的主体。
〔3〕计算机网络飞速发展的同时,安全问题不容忽视。网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。
在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展,加上发达国家对关键加密算法的出口限制,各个国家正不断致力于开发和设计新的加密算法和加密机制。
从技术上,网络安全取决于两个方面:网络设备的硬件和软件。网络安全则由网络设
计算机网络安全与防范
备的软件和硬件互相配合来实现的。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现线速的安全处理仍然将是网络安全发展的一个主要方向。
在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。
总之,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。
第2章 计算机网络安全概述
2.1 计算机网络安全的概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
计算机网络安全与防范
2.2 计算机网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。[6]在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、DOS和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
计算机网络安全与防范
第3章 网络安全的威胁因素
3.1 网络安全的威胁因素
归纳起来,针对网络安全的威胁主要有:软件漏洞、配置不当、安全意识不强、病毒、黑客攻击等。
〔1〕软件漏洞:
每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。
〔2〕配置不当: 安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
〔3〕安全意识不强: 用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
〔4〕病毒: 目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。
〔5〕黑客攻击: 对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
第4章 几种常用的网络安全技术
4.1 防火墙技术
计算机网络安全与防范
网络安全所说的防火墙(Fire Wall)是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet(外部网)的传输信息或从内部网发出的信息都必须穿过防火墙[3]。4.1.1 防火墙的主要功能
防火墙的主要功能包括:
〔1〕防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击,以免其在目标计算机上被执行。
〔2〕防火墙可以关闭不使用的端口,而且它还能禁止特定端口的输出信息。〔3〕防火墙可以禁止来自特殊站点的访问,从而可以防止来自不明入侵者的所有通信,过滤掉不安全的服务和控制非法用户对网络的访问。
〔4〕防火墙可以控制网络内部人员对Internet上特殊站点的访问。〔5〕防火墙提供了监视Internet安全和预警的方便端点。4.1.2 防火墙的主要优点
防火墙的主要优点包括: 〔1〕可作为网络安全策略的焦点
防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心,极大地加强了网络安全,并简化了网络管理。
〔2〕可以有效记录网络活动
由于防火墙处于内网与外网之间,即所有传输的信息都会穿过防火墙。所以,防火墙很适合收集和记录关于系统和网络使用的多种信息,提供监视、管理与审计网络的使用和预警功能。
〔3〕为解决IP地址危机提供了可行方案
由于Internet的日益发展及IP地址空间有限,使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。
计算机网络安全与防范
4.1.3 防火墙的主要缺陷
由于互联网的开放性,防火墙也有一些弱点,使它不能完全保护网络不受攻击。防火墙的主要缺陷有:
〔1〕防火墙对绕过它的攻击行为无能为力。
〔2〕防火墙无法防范病毒,不能防止感染了病毒的软件或文件的传输,对于病毒只能安装反病毒软件。
〔3〕防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。4.1.4 防火墙的分类
防火墙的实现从层次上大体可分为三类:包过滤防火墙,代理防火墙和复合型防火墙。
〔1〕包过滤防火墙
包过滤防火墙是在IP层实现,它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址,目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。
包过滤路由器的最大优点是:对用户来说是透明的,即不需要用户名和密码来登陆。
包过滤路由器的弊端是明显的,由于它通常没有用户的使用记录,我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点,就是不能在用户级别上进行过滤,即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址,则很容易地通过包过滤防火墙。
〔2〕代理防火墙
代理防火墙也叫应用层网关防火墙,包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络,对于这样的企业,应用代理防火墙是更好的选择。
代理服务是设置在Internet防火墙网关上的应用,是在网管员允许下或拒绝的特定的应用程序或者特定服务,一般情况下可应用于特定的互联网服务,如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。
应用层网关包括应用代理服务器、回路级代理服务器、代管服务器、IP通道、网络
计算机网络安全与防范
地址转换器、隔离域名服务器和邮件技术等。
〔3〕复合型防火墙
复合型防火墙是将数据包过滤和代理服务结合在一起使用,从而实现了网络安全性、性能和透明度的优势互补。
随着技术的发展,防火墙产品还在不断完善、发展。目前出现的新技术类型主要有以下几种:状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。4.1.5 防火墙的部署
防火墙是网络安全的关口设备,只有在关键网络流量通过防火墙的时候,防火墙才能对此实行检查,防护功能。
〔1〕防火墙的位置一般是内网与外网的接合处,用来阻止来自外部网络的入侵。〔2〕如果内部网络规模较大,并且设置虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙。
〔3〕通过公网连接的总部与各分支机构之间应该设置防火墙。〔4〕主干交换机至服务器区域工作组交换机的骨干链路上。〔5〕远程拨号服务器与骨干交换机或路由器之间。
总之,在网络拓扑上,防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是:只要有恶意侵入的可能,无论是内部网还是外部网的连接处都应安装防火墙。
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。由于它简单实用且透明度高,可以在不修改原有网络应用系统的情况下,达到一定的安全要求,所以被广泛使用。据预测近5年世界防火墙需求的年增长率将达到174%。
目前,市场上防火墙产品很多,一些厂商还把防火墙技术并入其硬件产品中,即在其硬件产品中采取功能更加先进的安全防范机制。可以预见防火墙技术作为一种简单实用的网络信息安全技术将得到进一步发展。然而,防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的,也就是说要保证网络信息的安全还必须有其他一系列措施,例如对数据进行加密处理。需要说明的是防火墙只能抵御来自外部网络的侵扰,而对企业内部网络的安全却无能为力。要保证企业内
计算机网络安全与防范
部网的安全,还需通过对内部网络的有效控制和管理来实现。
4.2 数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用,密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。
数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。
4.3 系统容灾技术
一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网
计算机网络安全与防范
络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合,构成的数据存储系统,是数据技术发展的重要阶段。随着存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。
4.4 入侵检测技术
入侵检测技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应,从而将攻击行为带来的破坏和影响降至最低。同时,入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。
典型的IDS系统模型包括4个功能部件: 〔1〕事件产生器,提供事件记录流的信息源。
〔2〕事件分析器,这是发现入侵迹象的分析引擎。
〔3〕响应单元,这是基于分析引擎的分析结果产生反应的响应部件。
〔4〕事件数据库,这是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。4.4.1 入侵检测系统的分类
入侵检测系统根据数据来源不同,可分为基于网络的入侵检测系统和基于主机的入侵检测系统。
[4]网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式,监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说,网络型入侵检测系统担负着保护整个网络的任务。
主机型入侵检测系统是以系统日志、应用程序日志等作为数据源,当然也可以通过其它手段(如检测系统调用)从所有的主机上收集信息进行分析。
入侵检测系统根据检测的方法不同可分为两大类:异常和误用。
异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。
误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比较用户的活动来了解
计算机网络安全与防范
入侵。例如,著名的Internet蠕虫事件是利用finger上的守护进程,允许用户远程读取文件系统,因而存在可以查看文件内容的漏洞和(Linux上的守护进程,利用其漏洞可取得root权限)的漏洞进行攻击。对这种攻击可以使用这种检测方法。4.4.2 目前入侵检测系统的缺陷
入侵检测系统作为网络安全防护的重要手段,目前的IDS还存在很多问题,有待于我们进一步完善。
〔1〕高误报率
误报率主要存在于两个方面:一方面是指正常请求误认为入侵行为;另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。
〔2〕缺乏主动防御功能
入侵检测技术作为一种被动且功能有限的安全防御技术,缺乏主动防御功能。因此,需要在一代IDS产品中加入主动防御功能,才能变被动为主动。4.4.3 防火墙与入侵检测系统的相互联动
防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理,如无通告拒绝、ICMP拒绝、转发通过(可转发至任何端口)、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。
当我们实现防火墙与入侵检测系统的相互联动后,IDS就不必为它所连接的链路转发业务流量。因此,IDS可以将大部分的系统资源用于对采集报文的分析,而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作,如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复(实时监控功能)等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。
综上所述,防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点,淡化各自的缺陷,使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中,动态技术与静态技术的联动将有很大的发展市场和空间。
计算机网络安全与防范
4.5 漏洞扫描技术
漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者利用可得到的攻击方法,并把它们集成到整个扫描中,扫描后以统计的格式输出,便于参考和分析。
4.6 物理安全
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。为保证网络的正常运行,在物理安全方面应采取如下措施:
〔1〕产品保障方面:主要指产品采购、运输、安装等方面的安全措施。
〔2〕运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
〔3〕防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。〔4〕保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程,各种新技术将会不断出现和应用。
网络安全孕育着无限的机遇和挑战,作为一个热门的研究领域和其拥有的重要战略意义,相信未来网络安全技术将会取得更加长足的发展。
第5章 结束语与展望
5.1 论文总结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,计算机网络安全与防范
通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。对于这一问题我们应该十分重视。
影响计算机网络安全的主要因素:
〔1〕网络系统在稳定性和可扩充性方面存在问题。
由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。〔2〕网络硬件的配置不协调。
一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
〔3〕缺乏安全策略。
许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
〔4〕访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。〔5〕管理制度不健全,网络管理、维护任其自然。
5.2 工作展望
[7]对网络安全本质的认识却还处于一个相当原始的阶段,其表现形式是基于密码术的网络安全和基于防火墙的网络安全尚不能完美地结合成一种更加有效的安全机制。我们期望,如果能够提出一个合理的数学模型,将会对网络安全的研究和可实际应用网络安全系统的开发起非常大的促进作用。
从实用的角度出发,目前人们已提出了一些基于人工智能的网络安全检测专家系统。这方面,SRI(Stanford Research Institute)和Purdue大学已做了许多工作。同时,基于主动网络安全检测的安全系统的研究也已起步,在这方面,Internet Security Systems也已有一些产品问世。
计算机网络安全与防范
致 谢
感谢所有关心、支持、帮助过我的良师益友。感谢参考文献中的各位作者,真诚的感谢对我的帮助。通过这次学习,使我更深刻的认识网络安全的重要性,同时防范也是不容忽视的!
计算机网络安全与防范
参考文献
[1] 李军义.计算机网络技术与应用[M].北京:北方交通大学出版社,2006.7. [2] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.[3] 张嘉宁.网络防火墙技术浅析[J].通信工程.2004(3).[4] 郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006.9.[5] [美] Merike Kaeo 著.网络安全性设计[M].北京:人民邮电出版社,2005.9.[6] 胡道元.计算机局域网[M].北京:清华大学出版社.2001.[7] 朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.