《毕业设计(论文)计算机网络安全与防范.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)计算机网络安全与防范.doc(18页珍藏版)》请在三一办公上搜索。
1、毕 业 论 文计算机网络安全与防范姓 名: 学 号: 指导老师: 系 名: 专 业: 班 级: 二零一零年十一月十五日摘 要离开网络,你行吗?我想绝大多数人会说不.计算机网络给我们带来方便的同时,由于计算机网络具有终端分布不均匀性,联结形式多样性,互连性等特征,和网络的开放性,从 而导致计算机网络容易受到黑客,恶意软件和其他非法行为的攻击,所以确保网络安全成为一个越来越重要的问题.当然,网络百分之百的安全是不可能的.因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡.。本文对目前计算机网络存在的安全隐患进行了分析, 并探讨了针对计算机安全
2、隐患的 防范策略.关键词:计算机,计算机网络,网络安全,第一章 网络安全概述1、计算机网络安全的概念 国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和治理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,既网络安全是对网络信息保密性、完整性和可用性的保护。从大多数普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而
3、网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。 总的来说,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面互相补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。1.2计算机网络安全的定义网络安全从其本质来讲就是网络上信息安全,它涉及的领域相当广泛,这是因为目 前的公用通信网络中存在着各式各样的安全漏洞和威胁。广义上讲,凡是涉及到网络上 信息的保密性、完整性、
4、可用性和可控性的相关技术和理论,都是网络安全的研究领域。 网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、 更改、泄露,系统连续可靠正常地运行,网络服务不中断。且在不同环境和应用中有不同的解释。 (1)运行系统安全:即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。 (2)网络上系统信息的安全:包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 (3)网络上信息传输
5、的安全:即信息传播后果的安全、包括信息过滤、不良信息过滤等。 (4)网络上信息内容的安全:即我们讨论的狭义的“信息安全”;侧重于保护信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。1.3 计算机网络安全的属性网络安全具有三个基本的属性:机密性、完整性、可用性。 (1)机密性:是指保证信息与信息系统不被非授权者所获取与使用,主要防范措施是密码技术。(2)完整性:是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。(3)可用性:可用性是信息资源服务功能和性能可靠性的度量,涉及物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络
6、总体可靠性的要求。主要防范措施是访问控制机制。以上可以看出:在网络中,维护信息载体和信息自身的安全都包括了机密性、完整 性、可用性这些重要的属性。1.4 计算机网络安全机制网络安全机制是保护网络信息安全所采用的措施,所有的安全机制都是针对某些潜 在的安全威胁而设计的,可以根据实际情况单独或组合使用。如何在有限的投入下合理 地使用安全机制,以便尽可能地降低安全风险,是值得讨论的,网络信息安全机制应包括:技术机制和管理机制两方面的内容。 1.4.1 网络安全技术机制 网络安全技术机制包含以下内容: (1)加密和隐藏。加密使信息改变,攻击者无法了解信息的内容从而达到保护;隐藏则是将有用信息隐藏在其他
7、信息中,使攻击者无法发现。 (2)认证和授权。网络设备之间应互认证对方的身份,以保证正确的操作权力赋予和数据的存取控制;同时网络也必须认证用户的身份,以授权保证合法的用户实施正确 的操作。 (3)审计和定位。通过对一些重要的事件进行记录,从而在系统中发现错误或受到攻击时能定位错误并找到防范失效的原因,作为内部犯罪和事故后调查取证的基础。 (4)完整性保证。利用密码技术的完整性保护可以很好地对付非法篡改,当信息源的完整性可以被验证却无法模仿时,可提供不可抵赖服务。 (5)权限和存取控制:针对网络系统需要定义的各种不同用户,根据正确的认证, 赋予其适当的操作权力,限制其越级操作。 (6)任务填充:
8、在任务间歇期发送无用的具有良好模拟性能的随机数据,以增加攻击者通过分析通信流量和破译密码获得信息难度。 1.4.2 网络安全管理机制 网络信息安全不仅仅是技术问题,更是一个管理问题,要解决网络信息安全问题, 必须制定正确的目标策略,设计可行的技术方案,确定合理的资金技术,采取相应的管 理措施和依据相关法律制度。2.计算机网络安全现状 计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过
9、了计算机病毒的种类,而且许多攻击都是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界。这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DoS(Denial of Services)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次,从Web程序的控制程序到内核级Rootlets。
10、黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。1 对计算机网络安全的影响因素 计算机网络就是具有独立功能的多台计算机通过通信线路连接起来,在操作系统和网络通信协议的管理协调下,实现硬件资源共享、软件资源共享和用户间信息交换。在计算机网络运行的过程中就会发生安全问题,而在复杂的网络环境中要保障计算机网络的安全就必须了解影响计算机网络安全的几个因素。 1.1 自然因素 自然因素对计算机网络安全的危害主要体现在物理方面,包括气候的温度、湿度和人类无法控制的自然灾害等。自然因素会对构成计算机网络的电缆、通信光缆、局域网等造成很大威胁, 也可能对计算机本身的硬件造成损害,间接地导致网
11、络用户的信息丢失、利益受损。虽然自然因素具有很大的偶然性,但是也是不容忽视的,它可能会对部分地区的网络造成很大打击。 1.2 人为因素 人为因素主要指人为地对计算机硬件造成破坏导致网络信息的丢失以及不法分子恶意地利用计算机网络的漏洞,使用窃听、冒充、篡改等手段,对其他计算机用户的网络资源进行破坏。人为因素是对计算机网络安全造成威胁的最大因素,出现人为因素的原因有很多, 除了网络用户的网络安全意识和防范技术有待增强外,同时也包括计算机网络本身的缺陷被恶意利用。 操作系统是许多程序在计算机上运行的平台,如UNIX、MSNT、Windows等。网络操作系统给用户带来了很大便利,但同时也埋了下很大隐患
12、。在操作系统的稳定性方面,由于在系统涉及上不能面面俱到,所以造成影响。计算机网络的脆弱性对网络安全有很大影响, 网络的开放性、自由性和国际性决定了计算机网络将面临各方面的威胁,计算机可能在这种脆弱性面前被入侵者利用并遭受损失。所以建立有效的监视手段是十分必要的,同时能够减少和预防计算机受到危害。 一些网站在设置权限上过于疏忽,容易被黑客蓄意破坏和利用,黑客对网站的非授权访问是计算机网络环境面临的巨大威胁,被黑客利用的网站可以通过网页或免费下载的软件等传播病毒,可使系统工作效率降低,甚至会造成整个系统的瘫痪,极易导致数据的丢失。另外,在很大程度上,网络用户本身的网络安全意识薄弱致使不法分子有机可
13、乘,不良的上网习惯和有限的防范技术经常使病毒和间谍软件入侵至计算机,使自身的信息被暴漏,可能造成利益上的损失。 防火墙在计算机保护上有着重要意义,它是内部网与外部网之间的屏障,是计算机硬件与软件的结合,它在网络间建立起的安全网关可以防范黑客的入侵,但是防火墙不能防止来自计算机内部的攻击,所以有很大的局限性。 此外,设备技能失常、电源故障以及软件开发中的漏洞等, 虽然会给计算机网络造成很大威胁和安全隐患, 但是出现概率不大, 不过也是不可忽视的。第 3章 网络安全问题解决对策3.1 计算机安全级别的划分 3.1.1 TCSEC 简介 1999年9 月13日国家质量技术监督局公布了我国第一部关于计
14、算机信息系统安全 等级划分的标准“计算机信息系统安全保护等级划分准则” (GB17859-1999) 。而国外同 标准的是美国国防部在1985年12月公布的可信计算机系统评价标准TCSEC(又称桔皮 书)。在TCSEC划分了 7个安全等级:D级、C1 级、C2级、B1级、B2级、B3级和A1级。 其中D级是没有安全机制的级别,A1级是难以达到的安全级别,3.1.2 GB17859划分的特点(1)D 类安全等级:D 类安全等级只包括 D1 一个级别。D1 的安全等级最低。D1 系统只为文件和用户提供安全保护。D1 系统最普通的形式是本地操作系统,或者 是一个完全没有保护的网络。 (2)C 类安全
15、等级:该类安全等级能够提供审慎的保护,并为用户的行动和责任 提供审计能力。C 类安全等级可划分为 C1 和 C2 两类。C1 系统的可信任运算基础 体制(Trusted Computing Base,TCB)通过将用户和数据分开来达到安全的目的。 在 C1 系统中,所有的用户以同样的灵敏度来处理数据,即用户认为 C1 系统中的 所有文档都具有相同的机密性。C2 系统比 C1 系统加强了可调的审慎控制。在连接 事件和资源隔离来增强这种控制。C2 系统具有 C1 系统中所有的安全性特征。(3)B 类安全等级:B 类安全等级可分为 B1、B2 和 B3 三类。B 类系统具有强制 性保护功能。强制性保
16、护意味着如果用户没有与安全等级相连,系统就不会让用 户存取对象。B1 系统满足下列要求:系统对网络控制下的每个对象都进行灵敏度 标记;系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非 标记的对象放入系统前标记它们;灵敏度标记必须准确地表示其所联系的对象的 安全级别;当系统管理员创建系统或者增加新的通信通道或 I/O 设备时,管理员 必须指定每个通信通道和 I/O 设备是单级还是多级,并且管理员只能手工改变指 定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出(无 论是虚拟的还是物理的)都必须产生标记来指示关于输出对象的灵敏度;系统必 须使用用户的口令或证明来决
17、定用户的安全访问级别;系统必须通过审计来记录 未授权访问的企图。B2 系统必须满足 B1 系统的所有要求。另外,B2 系统的管理 员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。 B2 系统必须满足下列要求:系统必须立即通知系统中的每一个用户所有与之相关 的网络连接的改变;只有用户能够在可信任通信路径中进行初始化通信;可信任 运算基础体制能够支持独立的操作者和管理员。 B3 系统必须符合 B2 系统的所有安 全需求。B3 系统具有很强的监视委托管理访问能力和抗干扰能力。B3 系统必须设 有安全管理员。B3 系统应满足以下要求: (a)B3 必须产生一个可读的安全列表,每
18、个被命名的对象提供对该对象没有访 问权的用户列表说明; (b)B3 系统在进行任何操作前,要求用户进行身份验证; (c)B3 系统验证每个用户,同时还会发送一个取消访问的审计跟踪消息;设计 者必须正确区分可信任的通信路径和其他路径;可信任的通信基础体制为每一个 被命名的对象建立安全审计跟踪;可信任的运算基础体制支持独立的安全管理。 (4)A 类安全等级:A 系统的安全级别最高。目前,A 类安全等级只包含 A1 一个 安全类别。A1 类与 B3 类相似,对系统的结构和策略不作特别要求。A1 系统的显 著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析 后,设计者必须运用核对技
19、术来确保系统符合设计规范。A1 系统必须满足下列要 求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操 作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。 3.1.3全等级标准模型 计算机信息系统的安全模型主要又访问监控器模型、军用安全模仿和信息流模型等 三类模型,它们是定义计算机信息系统安全等级划分标准的依据。 (1)访问监控模型:是按 TCB 要求设计的,受保护的客体要么允许访问,要么不允许 访问。 (2)常用安全模型:是一种多级安全模型,即它所控制的信息分为绝密、机密、秘密 和无密4种敏感级。 (3)信息流模型:是计算机中系统中系统中信息流动
20、路径,它反映了用户在计算机系 统中的访问意图。信息流分直接的和间接的两种。 3.2 防火墙技术 随着网络安全问题日益严重,网络安全技术和产品也被人们逐渐重视起来,防火墙 作为最早出现的网络安全技术和使用量最大的网络安全产品,受到用户和研发机构的亲睐。 图3.13.2.1 防火墙的基本概念与作用 防火墙(图3.1)是指设置在不同网络或网络安全域之间的一系列部件的组合,它执行预先制 定的访问控制策略,决定了网络外部与网络内部的访问方式。 在网络中,防火墙实际是一种隔离技术,它所执行的隔离措施有: (1)拒绝未经授权的用户访问内部网和存取敏感数据。 (2)允许合法用户不受妨碍地访问网络资源。 而它的
21、核心思想是在不安全的因特网环境中构造一个相对安全的子网环境,其目的 是保护一个网络不受另一个网络的攻击,所以防火墙又有以下作用: (1)作为网络安全的屏障。一个防火墙作为阻塞节点和控制节点能极大地提高一个 内部网络的安全性,并通过过滤不安全的服务而降低风险,只有经过精心选择的应用协 议才能通过防火墙,所以网络环境变得更安全。 (2)可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有的安 全软件配置在防火墙上,体现集中安全管理更经济。 (3)对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火 墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据,
22、当发 生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测和攻击的详细信息。 (4)防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点 网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 (5)支持具有因特网服务性的企业内部网络技术体系VPN。 3.2.2 防火墙的工作原理 从防火墙的作用可以看出,防火墙必须具备两个要求:保障内部网安全和保障内部 网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。防火墙根据功能实现在 TCP/IP 网络模型中的层次,其实现原理可以分为三类:在 网络层实现防火墙功能为分组过滤技术;在应用层实现防火
23、墙功能为代理服务技术;在 网络层,IP层,应用层三层实现防火墙为状态检测技术。 (1)分组过滤技术 实际上是基于路由器技术,它通常由分组过滤路由器对IP分组进行分组选择,允 许或拒绝特定的IP数据包,工作于IP层。(2)代理服务技术 以一个高层的应用网关作为代理服务器,接受外来的应用连接请求,在代理服务器 上进行安全检查后,再与被保护的应用服务器连接,使外部用户可以在受控制的前提下 使用内部网络的服务,由于代理服务作用于应用层,它能解释应用层上的协议,能够作复杂和更细粒度的 访问控制;同时,由于所有进出服务器的客户请求必须通过代理网关的检查,可以作出 精细的注册和审计记录,并且可以与认证、授权
24、等安全手段方便地集成,为客户和服务 提供更高层次的安全保护。 (3)状态检测技术 此技术工作在IP/TCP/应用层,它结合了分组过滤和代理服务技术的特点,它同分 组过滤一样,在应用层上检查数据包的内容,分析高层的协议数据,查看内容是否符 合网络安全策略。2 计算机网络受攻击的主要形式计算机网络受攻击的主要形式由于计算机网络的开放性、互连性等特征,致使网络为病毒、黑客和其他不 轨的攻击提供机会,所以研究计算机网络的安全以及防范措施是必要的,这样才 能确保网络信息的保密性、安全性、完整性和可用性。计算机网络应用中常见的 安全问题主要有以下六种形式。 2.1威胁系统漏洞。Microsoft Wind
25、ows内核消息处理本内核消息处理本地缓冲区溢出漏洞 影响系统:Microsoft Windows XP;Windows NT 4.0;Windows 2000. 描述:window内核是操作系统核心部分,系统级别服务,如设备和内存管理,分配处理时间和管理错误处理。时间和管理错误处理。 Windows内核在处理错误消息给调试器时存在一个缺陷,本地攻击者可以利用这个漏洞在系统中进行任何操作,如删除数据系统中进行任何操作,增加管理员访问级别帐号或重新配置系统。在内核调试支持代码传递调试事件给用户模式调试器时存在漏洞。LpcRequestWaitReplyPort()函数由内核调用函数由内核调用,不适
26、当的信任用户进程报告给传递内核时,没有对其消息的大小进行检查,利用这个漏洞有对其消息的大小进行检查,攻击者精心构造事件消息可能以“Ring0”级执即对所有系统资源访问没有限制进行任意代码。漏洞分析:Windows内核消息处理本地缓冲区溢出漏洞可能导致本地用户权限的提升。 溢出漏洞可能导致本地用户权限的提升。从上面的描述中可以看出,一名入侵者如果想利用此漏洞,首先必须交互登陆到由此漏洞的系统控制台或远程登陆方式都可以上。工具介绍 Ms03-013_exp_for_win2k工具包,包含 Ms03-013_exp_for_win2k工具包 ey4s.bat和 DebugMe.exe, ey4s.b
27、at和xDebug.exe 使用说明:DebugMe.exe类似系统文件xDebug.exe调用。当一名入侵者以普通用户身份交互登录到远程系统后,通用户身份交互登录到远程系统后,运 xDebug.exe进行溢出,当溢出成功后可以以系统权限运行ey4s.bat ey4s.bat批处理文权限运行IT 漏洞利用实例 :修改ey4s.bat,加入自己的帐号和密码 修改ey4s.bat ey4s.bat, 以普通用户交互登陆 植入溢出工具,使用copy、ftp、tftp等 植入溢出工具,远程主机内部 提升权限并添加帐号,使用cd ms 提升权限并添加帐号,使用cd 03-013,使用xDebug命令进行
28、权限提升,使用xDebug xDebug命令进行权限提升断开连接,重新登陆。 断开连接,重新登陆。漏洞修复 及时更新响应操作系统的补丁包2.2欺骗技术攻击。 通过欺骗路由条目、IP地址、DNS解析地址,使服务器无法正常响应这些请 求或无法辨别这些请求来攻击服务器,从而造成缓冲区资源阻塞或死机;或者通 过将局域网中的某台计算机设置为网关IP地址,导致网络中数据包转发异常而使某一网段无法访问。例如局域网中ARP攻击包问题。 2.3 “黑客”的侵犯。 “黑客”就是一种在网络中具有破坏性、隐蔽性和非授权性的特性,通过网 络利用系统漏洞等方式非法植入对方计算机系统,一旦进入计算机中,用户的主机就被黑客完
29、全利用,成为黑客的超级用户,黑客程序可以被用来窃取密码、口令、帐号、阻塞用户、电子邮件骚扰、篡改网页、破坏程序等行为,对用户主机安全构成严重威胁。因此,从某种意义上讲,黑客对网络安全的危害甚至超过网络病毒攻击。 2.4计算机病毒攻击。 计算机病毒是危害网络安全的最主要因素。 计算机病毒具有隐蔽性、 传染性、潜伏性、破坏性、可触发性。病毒程序轻者降低系统工作效率,重者导致系统崩溃、数据丢失,造成无可挽回的损失,所以我们要正确认识并对待网络病毒的攻击,减少对个人计算机及网络系统的破坏,以保护计算机网络安全,使得计算机网络真正发挥其积极的作用。2、计算机网络安全的隐患2.1计算机软件漏洞 05月09
30、日凌晨,微软按惯例向全球发布了本月的7个安全补丁,修复了Windows、Office、.NET Framework及Silver light等组件的多个高危严重级别的漏洞,其中Office的严重漏洞可导致系统被完全控制。Windows自动更新程序已经开始向用户推送此次升级补丁,或者已经安装使用永久免费的金山卫士的用户也能立即安装补丁,金山卫士已经第一时间推送5月安全更新,在看到金山卫士的漏洞提示信息后,点击“一键修复”也能快速修补漏洞,建议大家尽快安装修复这些漏洞。微软本月的安全公告显示,本月发布的7款补丁中,有5款补丁与修补Office组件相关。其中严重级别的Office漏洞可能导致Wind
31、ows被完全控制。攻击者利用这些漏洞制作特别的Office文档,存在漏洞的系统双击打开这些文档即可运行恶意程序,从而使计算机被黑客完全控制。5月初,Adobe Flash爆出的安全漏洞也导致Office系统受累,攻击者在Office文档中插入带攻击代码的Flash文件(.swf格式)。被攻击的电脑如果Adobe Flash Player相关组件未更新,打开DOC文件即可导致计算机被完全控制或下载攻击者指定的后门程序。目前,利用该漏洞攻击的DOC文档已经在互联网出现。本月的补丁中,共修复Microsoft Windows, Microsoft Office,.NET Framework及Silv
32、er light的7个安全漏洞。普通网民受影响的操作系统包括: Windows XP至windows7的各个版本,Office的各个版本,Windows 8暂不受影响。安全漏洞是黑客攻击最直接的攻击通道,随着安全软件防御系统的性能提升,攻击者发起大规模攻击的可能性正在降低,但是针对特定目标的定点精确攻击却频繁出现。及时修补系统漏洞是防止黑客攻击的必要手段。无论多强大的软件在设计之初都难免存在缺陷或漏洞,操作系统软件也不例外。系统主机之间互异的操作系统具有相对的独立性,同样性质的漏洞,也会由于操作系统软件设计开发过程的不同,而具有不一样的表现形式。攻击者可以很“方便”的通过漏洞对计算机系统进行破
33、坏,造成主机瘫痪、重要资料丢失等,严重影响系统的正常运行。2.2 黑客攻击这是一种最严重的网络安全威胁。攻击者通过各种方式寻找系统脆弱点或系统漏洞,由于网络系统同构冗余环境的弱点是相同的,多个系统同时故障的概率虽小,但被攻破可能性却大,通过拦截、窃取等多种方式,向系统实施攻击,破坏系统重要数据,甚至系统瘫痪,给网络安全带来严重威胁。维护网络安全,主要指维护网络的信息安全。保证数据的机密、完整是最基本的目标。一个安全的网络环境,数据未经授权应该是不能被任意修改的,任何想获取该数据信息的访问者都应是经过授权的合法用户。此外,网络环境应是可靠的、可被控制的。网络管理人员应具备丰富的理论和实践经验,攻
34、击来临时能迅速控制安全隐患的传播。同时,当系统不能正常运行时,系统的硬件或软件资源,都应具备及时修复并保证提供正常服务的能力。2.3 病毒的危害网络病毒发病和传播速度极快,而许多计算机用户由于各种各样的原因,没有安装杀毒软件或不能及时更新杀毒软件病毒库,造成网络病毒泛滥,不仅严重地危害到了用户计算机安全,而且极大的消耗了网络资源,造成网络拥塞,给每一个用户都带来极大的不便。同时外来的攻击和内部用户的攻击越来越多、危害越来越大,已经严重影响到了网络的正常使用。常见的网络病毒有“机器狗”,“桌面幽灵”,“蠕虫病毒”等。2.4 各种非法入侵和攻击 由于计算机网络接入点较多,拥有众多的公共资源,并且使
35、用者安全意识淡薄,安全防护比较薄弱,使得网络成为易受攻击的目标。非法入侵者有目的的破坏信息的有效性和完整性,窃取数据,非法强占系统控制权、占用系统资源。比如:漏洞、薄弱点扫描,口令破解;非授权访问或在非授权和不能监测的方式下对数据进行修改;通过网络传播病毒或恶意脚本,干扰用户正常使用或者占用过多的系统资源导致授权的用户不能获得应有的访问或操作被延迟产生了拒绝服务等。2.5 网络自身的安全缺陷网络是一个开放的环境,TCP/IP是一个通用的协议,既通过IP地址作为网络节点的唯一标识,基于IP地址进行多用户的认证和授权,并根据IP包中源IP地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对IP
36、地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在,通过TCP/IP协议缺陷进行的常见攻击有:源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。3、计算机网络安全的对策3.1物理安全层面对策物理安全层面对策的主要目的就是保证系统实体有个安全的物理环境条件: 防止网络 服务器,打印机,计算机系统等硬件设备和通信链路受到人为破坏,搭线攻击以及自然灾害 等;证实用户的使用权限与身份,以抑制一些不法用户进行越权操作;保证计算机网络系统有 一个适合的电磁兼容工作环境;制定比较完备的安全管理制度,防止非法进入计算机机房的 各种偷窃,破坏活动的发生
37、.4.2 技术层面对策1.网络安全的审计和跟踪技术。 审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有:入侵检测系统(IDS)、漏洞扫描系统、安全审计系统,等等。我们以IDS为例,IDS是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,
38、并采取适当的响应措施来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。2.运用防火墙技术。防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。不仅如此,防火墙作为网络安全的监视点,它
39、还可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。防火墙的体系结构有三种:(1)双重宿主主机体系结构。它是围绕具有双重宿主功能的主机而构筑的,是最基本的防火墙结构。主机充当路由器,是内外网络的接口,能够从一个网络向另一个网络发送IP数据包。这种类型的防火墙完全依赖于主机,因此该主机的负载一般较大,容易成为网络瓶颈。对于只进行IP层过滤的安全要求来说,只需在两块网卡之间转发的模块上插入对IP包的ACL控制即可。但是如果要对应用层进行代理控制,其代理就要设置到这台双宿主主机上,所有的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号,增加了联网的复杂性。(2)屏蔽主机体系结构
40、,又称主机过滤结构,它使用一个单独的路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构,这种结构允许数据包从Internet上进入内部网络,因此对路由器的配置要求较高。(3)屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全层,并通过添加周边网络更进一步把内部网络和Internet隔离开。为此这种结构需要两个路由器,一个位于周边网络和内部网络之间,另一个在周边网络和外部网络之间,这样黑客即使攻破了堡垒主机,也不能直接入侵内部网络,因为他还需要攻破另外一个路由器。3.2 数据加密技术数据加密是网络系统中一种比较有效的数
41、据保护方式,目的是为了防止网络数据的 篡改、泄露和破坏。通常数据加密采用链路加密、端端加密、节点加密和混合加密方式。链路加密是对网络中两个相邻节点之间传输的数据进行加密保护,能够防止搭线窃听。短短加密是对源节点用户到目标节点用户的数据进行保护,方式更加可靠,且易于设计和实现。节点加密是对源节点到目标节点的链路提供保护。混合加密是采用链路加密和端端加密相结合的混合加密方式,可以获得更高的安全。3.3 防病毒技术随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒
42、软件一般安装在单台PC上,即对本地和工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的网络进行传播和破坏,造成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对计算机网络整体有效防护的解决办法。2.2 使用VPN 虚拟专用网络 VPN(Virtual Private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支
43、机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VPN 技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现,如在应用层有SSL 协议,它广泛应用于Web 浏览程序和Web 服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks 协议,在该协议中,客户程序通过Socks 客户端的1080 端口透过防火墙发起连接,建立到Socks 服务器的VPN 隧道;在网络层有IPSec 协议,它是一种由IETF 设计的端到端的确保IP 层通信安全的机制,对IP 包进行的IPSec处理有AH
44、(Authentication Header)和ESP(Encapsulating Security Payload)两种方式。信息加密技术: 加密技术是信息安全核心技术, 密码手段为信息安全提供了可靠保 证.基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码 技术主要包括古典密码体制,单钥密码体制,公钥密码体制,数字签名以及密钥管理.3.4 做好物理安全防护物理安全防护是指通过采用辐射防护、屏幕口令、状态检测、报警确认、应急恢复等手 段保护网络服务器等计算机系统、网络交换路由等网络设备和网络线缆等硬件实体免受自然灾害、物理损坏、电磁泄漏、操作失误以及人为干扰和搭线攻击的破
45、坏。3如:将防火墙、核心交换机以及各种重要服务器等重要设备尽量放在核心机房进行集中管理;将光纤等通信线路实行深埋、穿线或架空,防止无意损坏;将核心设备、主干设备以及接入交换机等设备落实到人,进行严格管理。物理安全防护是确保校园网络系统正常工作、免受干扰破坏的最基本手段3.5 配备网络安全设备或系统为减少来自网络内外的攻击和破坏,需要在网络中配置必要的网络安全设备,如网络入侵保护系统、主页防篡改系统、防火墙、网络防病毒系统、漏洞扫描系统、内容过虑系统、补丁升级系统、服务器的安全监测系统等等。通过配置网络安全设备,能够实现对校园网络的 控制和监管,能够阻断大量的非法访问,能够过滤来自网络的不健康数
46、据信息,能够帮助网络 管理员在发生网络故障时迅速定位。 充分利用好这些网络安全设备可以大大提高校园网的安全级别。3.6 服务器访问控制策略服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访 问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是 要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。 二是取消默认账户不需 要的权限选择合适的账户连接到数据库。3.7 建立更安全的邮件系统目前有些优秀的电子邮件安全系统具有强大的高准确率和低误报率,独特的策略模块 可以帮助用户轻松地实现邮件系统的管理与维护,有的电子邮件系统判别垃圾邮件的准确
47、率 接近百分之百。各用户要多方分析、比较,选择优秀的电子邮件安全系统保证网络的邮件系 统安全,以改变邮件系统存在垃圾邮件、邮件病毒、邮件泄密等安全隐患的现状。 很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采 用的方法就是激活一个系统中的默认账户, 但这个账户是不经常用的, 然后使用工具把这个 账户提升到管理员权限, 从表面上看来这个账户还是和原来一样, 但是这个克隆的账户却是 系统中最大的安全隐患。 恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。首先在命令行下输入 net user,查看计算机上有些什么用户,
48、然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了 Administrator 是 administrators 组的,其他 都不是!如果你发现一个系统内置的用户是属于 administrators 组的, 那几乎肯定你被入侵了, 而且别人在你的计算机上克隆了账户。快使用“net user 用户名/del”就可以删掉这个用户。3.3 预防和加强管理 为了防止病毒和黑客的随意入侵,应该在自己的计算机中都安装防火墙、各种反病毒软件、数据进行加密、定期备份重要数据。如果遭到致命的攻击,操作系统和应用软件可以重装,而重要的数据就只能靠你日常的备份了。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据。还有不要随意浏览黑客网站、色情网站,因许多病毒、木马和间谍软件都来自于黑