第一篇:計算機網絡安全課程設計報告
大學
計算機網絡安全 課 程 設 計 報 告
學院:信息工程學院 專業:信息安全 班級: 學生: 學號: 指導教師:
目錄
第一章 Windows服務器的安裝...............................4 1.1需求分析:.............................................4 1.2設計實現:.............................................4 1.3安裝檢測:.............................................6 第二章IIS的安裝與配置....................................7
2.1需求分析:.............................................7 2.1.1 IIS簡介............................................7 2.2設計實現:.............................................7 2.2.1 IIS安裝............................................7 2.2.2 www.tmdps.cn
圖4.2.3-2 設定新建主機中區域名稱yangbo.com
步驟三:點擊下一步,設置動態更新為“允許非安全和安全動態更新”,完成新建區域向導,正向查找區域新建并配置完成。
圖4.2.3-3 正向查找區域新建并配置完成
步驟四:在新建區域中添加主機,完整名稱為www.tmdps.cn里面的主機名為dns的記錄,選擇它并確定。
圖4.2.4-5新建指針配置
步驟六:完成后 再按 【確定】(這是建立反向解析,172.16.102.221指向域名dns.yangbo.org),并在網絡中的其他主機中設置DNS服務器地址為172.16.102.221其他主機能夠順利上網。
第五章DHCP服務器的安裝與配置
5.1需求分析:
DHCP 服務器本身必須采用固定的IP地址 為DHCP服務器的規劃可用IP地址
5.2設計實現: 5.2.1安裝DHCP服務器
步驟一:在windows server 2003 的“開始”>“管理工具”菜單中點擊“配置你的服務器向導”命令。如下圖
圖5.2.1-1 配置服務器向導—新建DHCP服務器
步驟二:在“服務器角色”列表單擊“DHCP服務器”選項,再單擊“下一步”按鈕,打開“新建作用域導向”導向頁。
圖5.2.1-2 配置服務器向導—新建作用域
步驟三:新建DHCP作用域。填入作用域名。
圖5.2.1-3設定作用域名稱及描述
步驟四:址·范圍”始IP地址、和掩碼。
在“IP地中,輸入起結束IP地址
圖5.2.1-4設定作用域IP地址范圍
步驟五:根據實際需要,則在“添加排除”頁中,配置起始IP地址和結束IP地址。如果要排除單個IP地址,只需在“起始IP地址”輸入地址。
圖5.2.1-5添加排除作用域IP地址范圍
步驟六:在“租約期限”窗口中,設置租約的期限,默認為8天。
圖5.2.1-6設定作用域使用期限
步驟七:激活作用域。
圖5.2.1-7激活作用域
步驟八:指定作用域要分配的路由器或默認網關。
圖5.2.1-8指定
路由器IP地址
步驟九:安裝和新建作
完成DHCP用域。
圖5.2.1-9DHCP服務器安裝完成及作用域新建完成
步驟十:安裝好“active directory”(active directory的安裝將在“安裝活動目錄”實驗中進行詳細介紹),右鍵“yb-.......”選擇“授權”可對DHCP服務起進行授權,如圖。
圖5.2.1-10授權
5.2.2驗步驟證查看
證檢測:
一:完成驗DHCP服務器
圖5.2.2-1驗證查看DHCP 步驟二:release本地IP地址,看重連后是否連接“172.16.102.221”
圖5.2.2-2release 步驟三:renew重連后,重新連接的DHCP服務器還是“172.16.102.221”
圖5.2.2-2renew
第六章安裝活動目錄AD 6.1需求分析:
在活動目錄中創建域環境,同時將計算機加入域,并能使用域的管理員賬戶在客戶機上登陸。
6.2設計實現:
6.2.1 活動目錄AD安裝與配置
步驟一:在“開始”>“管理工具”中選擇“配置你的服務器向導”。選擇“活動目錄”,按下一步。
圖6.2.1-1安裝域控制器
步驟二:選擇:新域控制器,然后按“下一步”。
圖6.2.1-2設置新域控制器類型
步驟三:選擇“在新林中的域”然后“下一步”。
圖6.2.1-3創建一個新域
步驟四:在“新的域名”對話框中輸入“DNS全名”為yb.local。步驟五:默認的域NETBIOS,下一步。
步驟六:"數據庫和日志文件夾"放著默認的指定文件夾下,然后繼續“下一步”。
圖6.2.1-4設置數據庫和日志文件夾
步驟七:默認的配置,按下圖:
圖6.2.1-5設置共享系統卷
步驟八:選擇第二項。
圖6.2.1-6設置DNS注冊診斷
步驟九:按下圖:
圖6.2.1-7設置權限
步驟十:輸入管理員密碼。
圖6.2.1-8設置目錄服務還原模式的管理員密碼
步驟十一:點擊下一步,完成安裝。
圖6.2.1-9設置目錄服務還原模式的管理員密碼
6.2.2 創建用戶
步驟一:“開始”>“管理工具”,點擊進入“active directory用戶和計算機”。在“yb.local”中的用戶,右擊“新建”>“組”,設置組名“abc”,下一步。
圖6.2.2-1新建組abc
步驟二:在組“abc”中,新建用戶test1,并填寫“姓”與“登錄名”,下一步
圖6.2.2-1新建對象—用戶
步驟三:填入密碼,并設置密碼永不過期。
圖6.2.2-2設置密碼
步驟四:完成創建并查看用戶屬性:
圖6.2.2-3用戶屬性
步驟五:在一臺客戶機上右鍵“我的電腦”>“屬性”>“計算機名”>“更改”,并
在里面修改內容為yangbotest,選擇新加入域“yb.local”,修改完成后點擊“確定”。
圖6.2.2-4用戶屬性
步驟六:重啟客戶機,用服務器中創建的用戶名登錄,同時AD目錄中Computer中顯示用戶test1。用戶添加成功。
6.2.3 設置共享文件
步驟一:完成上述步驟后,在C盤中創建文件夾share,并設置為文件夾共享,在文件夾中創建文件test1,并設置屬性共享,在屬性—>安全中設置用戶權限。
圖6.2.3-1設置共享文件夾并配置屬性
步驟二:在AD中用戶test1屬性中,配置文件路徑172.16.102.221test1$
圖6.2.3-2配置用戶共享文件路徑
6.3驗證檢測:
步驟三:在客戶機中點擊網上鄰居,雙擊“Microsoft Windows Network”進入,找到服務器主機,進入即可看到所有該服務器主機分享的內容。
第七章E-MAIL服務器的安裝與配置
7.1需求分析:
郵件服務器構成了電子郵件系統的核心,沒有收信人都有一個位于某個郵件服務器上的郵箱(mailbox)。簡單郵件傳送協議(SMTP)是因特網郵件系統首要的應用層協議,它使用由TCP提供的可靠的數據傳輸服務把郵件消息從發信人的郵件服務器傳送到收信人的郵件服務器。跟大多數應用層協議一樣,SMTP也存在兩個端:在發信人的郵件服務器上之星的客戶端和在收信人的郵件服務器上之星的服務器端。SMTP的客戶端和服務器端同時運行在每個郵件服務器發送郵件消息時,它是作為SMTP客戶在運行。當一個郵件服務器從其他郵件服務器接收郵件消息時,它是作為SMTP服務器在運行。
7.2設計實現: 7.2.1安裝POP3和smtp 步驟一:在“開始”>“控制面板”菜單中單擊“添加或刪除程序”命令。步驟二:繼續單擊“添加/刪除windows組件”按鈕,在“windows組件向導”對話框單擊“電子郵件服務”。單擊“詳細信息”。可以看到,有:pop3服務和
pop3服務WEB管理,如下圖:
圖7.2.1-1添加電子郵件服務中POP3服務和POP3服務Web管理
步驟三:選中兩項后單擊“確定”退出。
步驟四:在“windows組件向導”中選擇“應用程序服務器”,單擊“詳細信息”。步驟五:接著,在“internet組件向導”對話框選擇“應用程序服務器”項,單擊“詳細信息”,選中“smtp service”項。
步驟六:在完成以上設置后,在“windows組件向導”對話框中單擊“下一步”。系統完成安裝和配置POP3與SMTP服務。
圖7.2.1-2添加SMTPservice 7.2.2 創建郵件域
步驟一:在“開始”>“管理工具”菜單中單擊“POP3服務”命令,打開“POP3服務”的控制臺窗口。
圖7.2.2-1POP3服務控制臺
步驟二:在控制臺樹中,右鍵單擊“計算機名”節點,在右鍵快捷菜單中的單擊“域”命令,彈出“添加域”對話框,在域名欄中輸入郵件服務器的域名。
圖7.2.2-2添加域
7.2.3創建用戶郵箱
選中剛剛新建的“yb.local”域,單擊“添加郵箱”,彈出添加郵箱對話框,在郵箱名欄中輸入郵件用戶名,然后設置用戶密碼,最后單擊“確定”按鈕,完成郵箱的創建。建議至少創建兩個。
圖7.2.3-1添加郵箱
7.2.4配置SMTP服務器
完成POP3服務器的配置后,就可以開始配置SMTP了。
步驟一:在“開始”>“管理工具”菜單中單擊“internet信息服務(IIS)管理器”命令,在“IIS管理器”窗口中右擊“默認SMTP虛擬服務器”選項,在彈出的菜單中選中“屬性”,進入“默認SMTP虛擬服務器”窗口。切換到常規標簽欄,在“IP地址”下拉列表框中選中郵件服務啟動IP地址就可以了。
圖7.2.4-1配置SMTP虛擬服務器
步驟二:單擊“確定”按鈕,這樣一個簡單的郵件服務器就架設完成了。步驟三:完成以上設置后,用戶就可以使用郵件客服端軟件連接郵件服務器進行郵件收發共合作了。在設置郵件客戶端軟件的SMTP和POP3服務器地址時,輸入郵件服務器域名“yb.local"即可。
7.3 驗證檢測
步驟一:打開outlook,“工具”>“賬戶”>“郵箱”>“添加”
圖7.3-1設置Internet電子郵件地址
步驟二:在電子郵件服務器名處填寫一下信息
圖7.3-2設置電子郵件服務器名
步驟三:郵件登錄處鍵入賬號和密碼
圖7.3-2設置Internet郵件登陸
步驟四:用“abc@yb.local”為發送方地址給收件方“yangbo@yb.local”發送主題為“asdgaga”,內容為“asdfgaserygdfg”的郵件。
圖7.3-3發送郵件
步驟五:登錄“yangbo@yb.local”賬號,查看收到一份郵件,發件人為“abc@yb.local”主題為“asdgaga”,內容為“asdfgaserygdfg”。
圖7.3-4收件箱顯示
第八章視頻服務器的安裝與配置
8.1需求分析:
我們大家知道,Windows Media服務采用流媒體的方式來傳輸數據。WindowsMedia是一整套的流媒體制作、發布和播放工具,其服務器端的Windows Media Sever集成在Windows 2003 Sever中,Windows Media服務支持ASF和WMV格式的視頻文件,以及WMA和MP3格式的音頻文件。
在實驗開始之前,檢查Windows Media安裝條件,完整無誤后安裝Media play播放器及其組件;同時安裝使用Media編碼器,創建視頻點播發布點,并在客戶機中設置與訪問測試。
8.2設計實現:
8.2.1 Windows Media服務的安裝
步驟一:打開“配置您的服務器向導”選擇“流式媒體服務器”,點擊“下一步”。
圖8.2.1-1 選擇服務器角色
步驟二:安裝“流式媒體服務器”。
圖8.2.1-2配置組件
步驟三:安裝完成。
圖8.2.1-3完成安裝
步驟四:在Windows組件向導窗口中選擇Windows media services點擊“下一步”。如下圖:
圖8.2.1-4添加Windows Media Service 步驟五:選擇“開始”>“管理工具”>“Windows media services”進入主窗口,右鍵“發布點”>“添加發布點(向導)”
圖8.2.1-5添加發布點
步驟六:設置發布點名稱為“ybkc”,內容類型選擇第四個,發布點類型選擇點播
圖8.2.1-6設置發布點名稱及內容類別
圖8.2.1-7設置發布點類型為點播
步驟七:選擇視頻源的路徑
圖8.2.1-8設置目錄位置
步驟八:按照提示即可完成“發布點向導”。
圖8.2.1-9完成“添加發布點向導”
8.2.2 單播公告向導配置
步驟一:置后會彈出導”。
在完成上面配“單播公告向
圖8.2.2-1單播公告向導
步驟二:“點播目錄”選擇“目錄中的一個文件”,即發布點向導中的目錄位置。
圖8.2.2-2設置點播目錄
步驟三:選擇公告文件名和位置,及創建一個帶有嵌入的播放機和指向該內容的鏈接的網頁;如圖示選擇。
圖8.2.2-3設置公告選項
步驟四:完成向導。
圖8.2.2-4編輯公告源數據
圖8.2.2-5完成向導
8.3驗證檢測
8.3.1 在文件目錄中播放
步驟一:在源處選擇測試的視頻,并按圖示點擊測試。
圖8.3.1-1源測試
步驟二:視頻源可以正常播放
圖8.3.1-2視頻源正常播放
步驟三:在“我的電腦”地址欄輸入“mms:/172.16.102.221/ybkc/1.wmv”,視頻能夠正常打開播放。
圖8.3.1-3文件檢索視頻正常播放
8.3.2 在網頁中播放
步驟一:編輯名為“yangbo.html”的目錄網頁。
圖8.3.2-1目錄網頁yangbo.html
步驟二:編輯名為“video1.html”的子網頁。其它3個子網頁同理。
圖8.3.2-2子網頁video1.html
步驟三:將編輯好的“yangbo.html”,和其它4個子網頁放在“C:Inetpubwwwroot”
目錄下。
圖8.3.2-3五個網頁放到同一文件夾
步驟四:在IIS管理平臺“網站”“yangbo”>>”屬性”>“文檔”中添加“yangbo.html”,并將其上調到最高位置。
圖8.3.2-4添加屬性文檔
步驟五:在客戶機中設置服務器為“172.16.102.221”在IE中鍵入服務器地址,即可看到視頻目錄,選擇一個視頻,可以成功播放。
第二篇:網絡安全課程設計報告
實驗一 用X-SCAN進行網絡安全掃描
【課程設計目的】
(1)掌握網絡掃描技術及涉及的相關基本知識
(2)掌握使用流行的安全掃描工具X-SCAN進行安全掃描(3)能夠分析安全報表并利用安全報表進行安全加固
【實驗環境】
硬件設備:PC、實驗室小組局域網環境(建議有Internet環境)、NDIS 3.0+驅動的網絡接口卡
軟件環境:Windows 2000、WinXP、TCP/IP、X-SCAN
【實驗基礎】
流行掃描工具x-csan介紹
這是當今常用的一款掃描工具,軟件的系統要求為:Windows 9x/NT4/2000/XP/2003,NDIS 3.0+驅動的網絡接口卡。該軟件采用多線程方式對指定IP地址段((或單機)進行安全漏洞檢測,支持插件功能,提供了圖形界面和命令行兩種操作方式等??
* 掃描內容包括:
?遠程操作系統類型及版本 ?標準端口狀態
?SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞 ?SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER ?NT-SERVER弱口令用戶,NT服務器NETBIOS信息 ?注冊表信息等。
【實驗準備】
(1)了解網絡掃描技術、端口、漏洞的相關知識(2)學習X-SCAN使用方法
(3)讀懂安全報表及明確相應的加固工作
六.實驗內容及步驟
第一步:先在Windows2000手工查看已開放的服務及初步判斷安全漏洞
第二步:安裝x-scan并完成參數配置
1.對本地機進行掃描(端口設置為TCP)
掃描結果如下:
2.對本地機進行掃描(端口設置為SYN)
掃描結果如下圖所示:
第三步:分析掃描報表并登陸Internet進行相應加固
比如TCP掃描時的警告login(513/tcp)
遠程主機正在運行'rlogin' 服務, 這是一個允許用戶登陸至該主機并獲得一個交互shell的遠程登錄守護進程。
事實上該服務是很危險的,因為數據并未經過加密-也就是說, 任何人可以嗅探到客戶機與服務器間的數據, 包括登陸名和密碼以及遠程主機執行的命令.應當停止該服務而改用openssh 解決方案 : 在/etc/inetd.conf 中注釋掉'login' 一行并重新啟動inetd 進程.風險等級 : 低
又比如SYN掃描時的警告www.tmdps.cnPUTER”)中要保護的Web服務器(圖中為“默認網站”)。2.選擇菜單“操作→屬性”或點擊右鍵快捷菜單中“屬性”,彈出該站點屬性對話框。選擇其中的“ISAPI篩選器”選項卡。單擊“添加”,在篩選器屬性窗口中輸入: 篩選器名稱:gg 可執行文件:“同步服務器安裝目錄pluginiGuard_iis.dll”
例如,如果安裝在默認路徑下,則可執行文件位置為: C:TerceliGuardSyncServerpluginiGuard_iis.dll 然后點擊“確定”。3.回到上一級窗口,可以在“ISAPI篩選器”中看到剛才添加的內容,點擊“確認”。
4.重新啟動IIS,然后檢查剛才安裝的ISAPI篩選器的狀態是否為“已裝載”(注意圖中狀態欄的綠色向上的箭頭)。至此,iGuard整個系統正常運行。
第十一步:進入系統在運行環境完備并且基本配置正確的情況下,系統將正常啟動,并且與同步服務器通信成功。
注意:如果發布服務器與同步服務器通信成功,服務器小圖標會顯示綠色,否則會顯示灰色。點擊工具欄的“同步上傳”按鈕即可讓本機主目錄下的所有文件同步到Web服務器(同步服務器)的主目錄下,并且保持完全相同的目錄結構。
通過另一臺主機訪問如下圖所示,證明網頁上傳成功。
第十二步:iGuard 系統工作
1.修改同步服務器上的某個網頁
2.在其它電腦上訪問同步服務器上的相應網頁,此時該網頁無法訪問。
3.發布服務器進行報警并自動恢復同步服務器上被篡改的網頁。
4.網頁重新恢復正常,可以訪問。
第三篇:計算機網絡安全
黃岡職業技術學院
電子信息學院
課程期末項目考核任務書
課程名稱:網絡設備配置與管理學生姓名:張贏學生學號:200902081125專業名稱:計算機網絡技術
2011-2012學年第一學期
電子信息學院教務辦室制
摘要...............2 前言...............2
第1章計算機通信網絡安全概述...........2
第2章影響計算機通信網絡安全的因素分析.....2
2.1影響計算機通信網絡安全的客觀因素...........2
2.1.1網絡資源的共享性............2
2.1.2網絡操作系統的漏洞..........2
2.1.3網絡系統設計的缺陷..........3
2.1.4網絡的開放性................3
2.1.5惡意攻擊.............3
2.2影響計算機網絡通信安全的主觀因素...........3
第3章計算機網絡的安全策略..............3
3.1物理安全策略.............3
3.2常用的網絡安全技術.............3
3.2.1 網絡加密技術................4
3.2.2 防火墻技術...........4
3.2.3 操作系統安全內核技術...............4
3.2.4 身份驗證技術身份驗證技術...........5
3.2.5 網絡防病毒技術..............5
總結...............5 參考文獻.................5摘要:隨著計算機信息技術的迅猛發展,計算機網絡已經越發成為農業、工業、第三產業和國防工業的重要信息交換媒介,并且滲透到社會生活的各個角落。因此,認清網絡的脆弱性和潛在威脅的嚴重性,采取強有力安全策略勢在必行。計算機網絡安全工作是一項長期而艱巨的任務,它應該貫徹于整個信息網絡的籌劃、組成、測試的全過程。本文結合實際情況,分析網絡安全問題并提出相應對策。
前言:隨著計算機技術的迅速發展,在計算機上完成的工作已由基于單機的文件處理、自動化辦公,發展到今天的企業內部網、企業外部網和國際互聯網的世界范圍內的信息共享和業務處理,也就是我們常說的局域網、城域網和廣域網。計算機網絡的應用領域已從傳統的小型業務系統逐漸向大型業務系統擴展。計算機網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。
第1章計算機通信網絡安全概述
所謂計算機通信網絡安全,是指根據計算機通信網絡特性,通過相應的安全技術和措施,對計算機通信網絡的硬件、操作系統、應用軟件和數據等加以保護,防止遭到破壞或竊取,其實質就是要保護計算機通訊系統和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。
第2章影響計算機通信網絡安全的因素分析
計算機通信網絡的安全涉及到多種學科,包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等十數種,這些技術各司其職,保護網絡系統的硬件、軟件以及系統中的數據免遭各種因素的破壞、更改、泄露,保證系統連續可靠正常運行。
2.1影響計算機通信網絡安全的客觀因素
2.1.1網絡資源的共享性
計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角,還是遠在天邊,只要有網絡,就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統安全的攻擊者利用共享的資源進行破壞也提供了機會。
2.1.2網絡操作系統的漏洞
操作系統漏洞是指計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性,決定了操作系統必然存在各種的缺陷和漏洞。
2.1.3網絡系統設計的缺陷
網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。
2.1.4網絡的開放性
網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的信息。
2.1.5惡意攻擊
惡意攻擊就是人們常見的黑客攻擊及網絡病毒.是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。具體表現方式有以下幾種:(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源,使主機處于掛起狀態甚至死機。
DOS 攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DOS 的工具一點不難,黑客網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS 攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
2.2影響計算機網絡通信安全的主觀因素
主要是計算機系統網絡管理人員缺乏安全觀念和必備技術,如安全意識、防范意思等。
第3章計算機網絡的安全策略
3.1物理安全策略
物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略還包括加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等
級和安全管理范圍。
3.2常用的網絡安全技術
3.2.1 網絡加密技術
網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密,端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。
如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特。
3.2.2 防火墻技術
防火墻技術是設置在被保護網絡和外界之間的一道屏障,是通過計算機硬件和軟件的組合來建立起一個安全網關,從而保護內部網絡免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數據流,來保證通信網絡的安全對今后計算機通信網絡的發展尤為重要。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和狀態監測型。
3.2.3 操作系統安全內核技術
操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括:采用安全性較高的操作系統;對操作系統的安全配置;利用安全掃描系統檢查操作系統的漏洞等。美國國防部技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2 級,其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別;②系統可以根據用戶注冊名決定用戶訪問資源的權限;③系統可以對系統中發生的每一件事進行審核和記錄;④可以創建其他具有系統管理權限的用戶。
3.2.4 身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
3.2.5 網絡防病毒技術
在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮,從方便管理人員的能,在夜間對全網的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網絡上每一臺機器出現故障、病毒侵入時,網絡管理人員都能及時知道,從而從管理中心處予以解決。
總結
隨著信息技術的飛速發展,影響通信網絡安全的各種因素也會不斷強化,因此計算機網絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的幾種安全防范措施。
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
參考文獻
【1】 陶陽.計算機與網絡安全 重慶:重慶大學出版社,2005.【2】 田園.網絡安全教程 北京:人民郵電出版社,2009.【3】 馮登國.《計算機通信網絡安全》,清華大學出版社,2001
【4】 陳斌.《計算機網絡安全與防御》,信息技術與網絡服務,2006(4):35-37.【5】 William Stallings.網絡安全基礎教程:應用與標準(英文影印版),清華大學出版社,2006(7)
【6】 趙樹升等.《信息安全原理與實現》,清華大學出版社,2004(9)
第四篇:淺論計算機網絡安全
淺論計算機網絡安全
方倩
(北京科技職業學院 新聞傳播學院,北京 延慶 102100)
摘要計算機網絡為人們帶來了極大的便利,同時也在經受著垃圾郵件、病毒和黑客的沖擊,因此計算機網絡安全技術變得越來越重要。而建立和實施嚴密的網絡安全策略和健全安全制度是真正實現網絡安全的基礎。
關鍵詞網絡安全;防火墻;加密
1引言
在信息化社會的今天,計算機網絡在政治、軍事、金觸、電信、科教等方面的作用日益增強。社會對計算機網絡的依賴也日益增大。特別是Internet的出現,使得計算機網絡的資源共享進一步加強。隨著網絡上各種新興業務的興起,如電子商務、網絡銀行(Network Bank),使得網絡安全技術的研究成了計算機與通信界的一個熱點,并且成了信息科學的一個重要研究領域,日益受到人們的關注。
Internet一方面給人們帶來了經濟上的實惠、通信上的便捷,但另一方面黑客和病毒的侵擾又把人們置于進退兩難的境地。據FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起 Internet計算機侵入事件。
2003年夏天,IT人士在此期間受到了“沖擊波”和“霸王蟲”蠕蟲的雙面夾擊。“沖擊波”(又稱“Lovsan”或“MSBlast”)首先發起攻擊。病毒最早于當年8月11日被檢測出來并迅速傳播,兩天之內就達到了攻擊頂峰。病毒通過網絡連接和網絡流量傳播,利用了Windows 2000/XP的一個弱點進行攻擊,被激活以后,它會向計算機用戶展示一個惡意對話框,提示系統將關閉。在病毒的可執行文件MSBLAST.EXE代碼中隱藏著這些信息:“桑(San),我只想說愛你!”以及“比爾·蓋茨(Bill Gates)你為什么讓這種事情發生?別再斂財了,修補你的軟件吧!”。損失估計為20億~100億美元,受到感染的計算機不計其數。“沖擊波”一走,“霸王蟲”蠕蟲便接踵而至,對企業和家庭計算機用戶而言,2003年8月可謂悲慘的一月。最具破壞力的變種是Sobig.F,它 8月19日開始迅速傳播,在最初的24小時之內,自身復制了100萬次,創下了歷史紀錄(后來被Mydoom病毒打破)。病毒偽裝在文件名看似無害的郵件附件之中。被激活之后,這個蠕蟲便向用戶的本地文件類型中發現的電子郵件地址傳播自身。最終結果是造成互聯網流量激增。損失估計為50億~100億美元,超過100萬臺計算機被感染.。
我國的信息化剛剛起步,但發展迅速,網絡已滲透到國民經濟的各個領域。在短短的幾年時間里,也發生了多起利用網絡進行犯罪的事件,給國家、企業和個人造成了重大的經濟損失和危害。特別是金融部門的犯罪,更是令人觸目驚心。近兩年來,“網游大盜”、“熊貓燒香”、“德芙”、“QQ木馬”、“灰鴿子”等木馬病毒日益猖獗,以盜取用戶密碼賬號、個人隱私、商業秘密、網絡財產為目的。調查顯示,趨利性成為計算機病毒發展的新趨勢。網上制作、販賣病毒、木馬的活動日益猖獗,利用病毒、木馬技術進行網絡盜竊、詐騙的網絡犯罪活動呈快速上升趨勢,網上治安形勢非常嚴峻。
面對如此嚴重的種種威脅,必須采取有力的措施來保證計算機網絡的安全,但現在的大多數計算機網絡在建設之初都忽略了安全問題,即使考慮了安全,也只是把安全機制建立在物理安全機制上。2計算機網絡安全的含義
從本質上講,網絡安全就是網絡上的信息的安全。計算機網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄漏,系統能連續可靠地正常運行,網絡服務不被中斷。
從廣義上看,凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控制性的相關技術理論,都是網絡安全研究的領域。
從用戶角度來說,他們希望涉及個人隱私或商業機密的信息在網絡上受到機密性、完整性和真實性的保護,同時希望保存在計算機系統上的信息不受用戶的非授權訪問和破壞。
從網絡運行和管理角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕訪問等威脅,制止和防御網絡黑客的攻擊。
從社會教育的角度來說,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。網絡安全的特征
3.1保密性
保密性是指信息不泄漏給非授權用戶、實體或過程,或供其利用的特性。3.2完整性
完整性是指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改,不被破壞和丟失的特性。
3.3可控性
可控性是指對信息的傳播及內容具有控制能力。3.4可用性
可用性是指可被授權實體訪問并按需求使用的特性。網絡環境下拒絕服務,破壞網絡和有關系統的常運行等都屬于對可用性的攻擊。
4網絡安全面臨的威脅
從技術角度上看,Internet的不安全因素,一方面是由于它是面向用戶的,所有資源通過網絡共享,另一方面是它的技術是開放和標準的。因特網是基于TCP/IP協議的,TCP/IP協議在當初設計和后來應用時并未考慮到安全因素,也未曾預料后來應用的爆發增長。這就好像在一間封閉的房間內打開緊閉的玻璃窗,新鮮空氣進來發,但大量的灰塵、蒼蠅和蚊子等害蟲也跟著進來。網絡世界也一樣,開放的、免費的信息帶來了溝通的便利。但垃圾郵件、網絡病毒以及黑客等使網絡經受著前所未有的沖擊。計算機網絡面臨的威脅大體上分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡安全的因素很多,有些是有意的,有些是無意的;可能是人為的,可能是非人為的,也可能是外來黑客對網絡系統資源的非法使用,歸結起來,針對網絡安全的威脅主要有以下四點[1]。
4.1人為的無意失
誤
操作員使用不當,安全配置不規范造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.2人為的惡意攻擊
此類攻擊又分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性、完整性和真實性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息,它不會導致系統中信息的任何改動,而且系統的操作和狀態也不會被改變,因此這類攻擊主要威脅信息的保密性。
4.3網絡軟件的漏洞和“后門”
網絡軟件不可能是百分之百的無缺陷和無漏洞的,例如TCP/IP協議的安全問題,然而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,大部分就是因為軟件本身的脆弱性和安全措施不完善所招致的苦果。另外,軟件的“后門”是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”打開,其造成的后果將不堪設想。
4.4人自身的因素
人自身的因素主要是指非授權訪問、信息漏洞或丟失、破壞完整性。非授權訪問是指預先沒有經過同意就使用網絡或計算機資源。信息丟失包括在傳輸中丟失或在傳輸介質中丟失兩種,例如黑客常使用竊收方式,利用可能的非法手段竊取系統中的信息資源和敏感信息。
5網絡安全的安全策略
5.1 物理安全策略
保證計算機信息系統中各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:①環境安全:對系統所在環境的安全保護,如區域保護和災難保護;②設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;③媒體安全:包括媒體數據的安全及媒體本身的安全。顯然,為保證信息網絡系統的物理安全,除在網絡規劃和場地、環境等方面要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失秘的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上安裝一定的防護措施,來減少或干擾擴散出去的空間信號,這成為政府、軍事、金融機構在建設信息中心時首要考慮的問題。[2]
5.2訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問,它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須配合才能真正起到保護作用。訪問控制可以說是保證網絡安全最重要的核心策略之一。
5.2.1入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站上入網。用戶的入網訪問控制分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網絡。用戶名或用戶賬號是所有計算機中最基本的安全形式。實際上,這種“用戶 ID+密碼”的方法來進行用戶的身份認證和訪問控制的方案隱含著一些問題。例如,密碼容易被忘記,如果用戶忘記了他的密碼,就不能進入系統。另外,密碼被別人盜取則更是一件可怕的事情,因為用心不良的人可能會進一步竊取公司機密數據、可能會盜用別人的名義做不正當的事情,甚至從銀行、ATM 終端上提取別人的巨額存款。隨著科技的進步,生物識別(Biometric)技術已經開始走入了我們的日常生活之中。目前在世界上許多公司和研究機構都在生物識別技術的研究中取得一些突破性技術,從而推出了許多新產品。目前比較流行的是虹膜識別技術和指紋識別技術。指紋識別作為識別技術已經有很長的歷史了,它通過分析指紋的全局特征和指紋的局部特征,并從中抽取非常詳盡的特征值來確認一個人的身份。平均每個指紋都有幾個獨一無二可測量的特征點,每個特征點都有大約七個特征,我們的十個手指產生最少4900個獨立可測量的特征,這足夠來確認指紋識別是否是一個更加可靠的鑒別方式。另外,掃描指紋的速度很快,使用非常方便;讀取指紋時,用戶必須將手指與指紋采集頭相互接觸,與指紋采集頭直接接觸是讀取人體生物特征最可靠的方法;指紋采集頭可以更加小型化,并且價格會更加的低廉。這都是指紋識別技術能夠占領大部分市場的主要原因。
5.2.2網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。[3]可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:①特殊用戶(即系統管理員);②一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;⑧審計用戶。負責網絡的安全控制與資源使用情況的審計。用戶網絡資源的訪問權限可以用一個訪問控制表來描述。
5.2.3 屬性安全控制
當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性,用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對資源的訪問能力。屬性設置可以覆蓋已經指定的任何有效權限。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改和顯示等。
5.2.4網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形、文字、聲音、短消息等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
5.2.5防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施。它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向的門檻,它用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的設備不被破壞,防止內部網絡的敏感數據竊取。從實現上看,防火墻實際上是一個獨立的進程或一組緊密聯系的進程,運行于路由器或服務器上,控制經過它們的網絡應用服務及傳輸的數據。目前較流行的一種防火墻是代理防火墻,又稱為應用層網關級防火墻,它由代理服務器和過濾路由器組成,它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連,并對數據進行嚴格選擇,然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,代理服務器接受申請,然后根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍來決定是否接受此項服務,若接受,它就向內部網絡轉發這項請求。
5.3信息加密策略
在各類網絡安全技術中,加密技術是基礎。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。信息加密是保證信息機密性的惟一方法。加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,將機密信息變成難以讀懂的亂碼型文字。據不完全統計,目前已經公開發表的各種加密算法多達數百種。如果以密鑰為標準,可以將這些算法分為單鑰密碼(又稱對稱密鑰或私鑰密碼)和雙鑰密碼(又稱非對稱密碼或公鑰密碼)。單鑰密碼的特點是無論加密還是解密都使用同一種密鑰,因此,此密碼體制的安全性就是密鑰的安全。若密鑰泄漏,則此密碼系統就被攻破。最有影響的單鑰密碼是 1997年美國國家標準局頒布的DES算法,最近頒布的AES算法作為 DES算法的替代,正在逐漸被人們接受。單鑰密碼的優點是安全性高,加解碼速度快。它的缺點是:密鑰的管理困難;無法解決消息確認問題;缺乏自動檢測密鑰泄漏的能力。在雙鑰體制下,加密密鑰與解密密鑰不同,此時不需要安全信道來傳送密鑰,而只需利用本地密鑰發生器產生解密密鑰,并以此來控制解密操作。雙鑰密碼是1796年W.Diffie和M.E.Hellman提出來的一種新型密碼體制。由于雙鑰密碼體制的加密和解密不同,且能公開加密密鑰,而僅需保密解密密鑰,所以不存在密鑰管理問題。雙鑰密碼還有一個優點就是可以擁有數字簽名等新功能。最有名的雙鑰密碼是1977年由 Rivest、Shamir和 Adleman提出來的RSA密碼體制。雙鑰密碼的缺點是算法比較復雜,加解密速度慢。在實際使用過程中,加密通常是采用單鑰和雙鑰密碼相結合的混合加密體制,即加/解密時采用單鑰密碼,傳送密鑰時采用雙鑰密碼。這樣既解決了密鑰管理的困難,又解決了加/解密速度慢的問題。這無疑是目前解決網絡上傳輸信息安全問題的一種較好的解決辦法。
5.4網絡安全管理策略
面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡的安全管理,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網絡安全所必須考慮的基本問題,所以應引起各計算機網絡應用部門領導的重視。
5.4.1安全管理的基本內容
網絡安全管理的根本目標是保證網絡和系統的可用性。網絡的安全管理涉及網絡安全規劃、網絡安全管理機構、網絡安全管理系統和網絡安全教育等。它的具體內容包括:標識要保護的對象;確定保護的手段;找出可能的威脅;實現具體的安全措施;要求有較好的性價比;了解網絡的安全狀態,根據情況變化重新評估并改進安全措施。[4]其中,安全管理原則包括:
5.4.2多人負責原則
每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統主管領導指派的,他們忠誠可靠,能勝任此項工作;他們應該簽署工作情況記錄以證明安全工作已得到保障。以下各項是與安全有關的活動:①訪問控制使用權限的發放與回收;②信息處理系統使用的媒介發放與回收;③處理保密信息;④硬件和軟件的維護;⑤系統軟件的設計、實現和修改;⑥重要程序和數據的刪除和銷毀等。
5.4.3 任期有限原則
一般地講,任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期地循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使任期有限制度切實可行。
5.4.4職責分離原則
在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情,除非系統主管領導批準。出于對安全的考慮。下面每組內的兩項信息處理工作應當分開。
①計算機操作與計算機編程;②機密資料的接收和傳送;③安全管理和系統管理;④應用程序和系統程序的編制;⑤訪問證件的管理與其它工作;⑥計算機操作與信息處理系統使用媒介的保管等。
5.4.5安全管理的實現
信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制訂相應的管理制度或采用相應的規范。具體工作是①根據工作的重要程度,確定該系統的安全等級;②根據確定的安全等級,確定安全管理的范圍;③制訂相應的機房出入管理制度;④制訂嚴格的操作規程;⑤制訂完備的系統維護制度;⑥制訂應急措施。
5.5操作系統安全[5]
操作系統安全是系統安全的基礎,要建立一個安全的信息系統,不僅要考慮具體的安全產品,包防火墻、安全路由器、安全網關、IP隧道、虛擬網、侵檢測、漏洞掃描、安全測試和監控產品,來被動封堵安全漏洞,而且還要特別注意操作系統平臺的安全問題。操作系統作為計算機系統的基礎軟件用來管理計算機資源的,它直接利用計算機硬件為用戶提供使用和編程接口。各種應用軟件均建立在操作系統提供的系統軟件平臺之上,上層的應用軟件要想獲得運行的高可靠性和信息的完整性、保密性,必須依賴于操作系統提供的系統軟件基礎,任何想像中的、脫離操作系統的應用軟件的高安全性就如同幻想在沙灘上建立堅不可摧的堡壘一樣,無根基可言。不難想象,在網絡環境中,網絡系統安全性依賴于網絡中各主機系統的安全性,而主系統的安全性正是由其操作系統的安全性所決定的,沒有安全的操作系統的支持,網絡安全也毫無基礎可言。所以,操作系統安全是計算機網絡系統安全的基礎。
6結束語
網絡安全技術是伴隨著網絡的誕生而出現的。但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起各國計算機安全界的高度重視,計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統的安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術級別從不同層次加強了計算機網絡的整體安全性。互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈。未來網絡安全技術將會涉及計算機網絡的各個層次中,隨著網絡在商業方面的應用日益廣泛,圍繞電子商務安全的防護技術將在未來幾年中成為重點,如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。
參考文獻
[1]楚狂等.網絡安全與防火墻技術.人民郵出電版社,2000,(4)
[2]黃允聰等.網絡安全基礎.清華大學出版社,2000,(9)
[3]聶元銘等.網絡信息安全技術.科學出版社2001,(7)
[4]黃儉等.計算機網絡安全技術.東南大學出版社,2001,(8)
[5]蔡立軍.計算機網絡安全技術.中國水利水電出版社,2005
收稿日期:7月5日修改日期:7月12日
作者簡介:方倩(1982-),女,本科,研究方向:計算機網絡。2005年8月至今在北京科技職業學院任計算機專業教師。
第五篇:計算機網絡安全淺析
計算機網絡安全淺析
[論文關鍵詞]網絡安全 計算機網絡 信息網絡 黑客 防火墻
[論文摘要]隨著計算機互聯網技術的飛速發展,網絡信息已經成為社會發展的重要組成部分。它涉及到政府、經濟、文化、軍事等諸多領域。由于計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征,致使網絡信息容易受到來自黑客竊取、計算機系統容易受惡意軟件攻擊,因此,網絡信息資源的安全與保密成為一個重要的話題。詳細闡述常見的計算機網絡安全威脅,進而提出幾種常用的網絡安全防范措施.一、引言
計算機網絡是以共享資源(硬件、軟件和數據等)為目的而連接起來的,在協議控制下,由一臺或多臺計算機、若干臺終端設備、數據傳輸設備、以及便于終端和計算機之間或者若干臺計算機之間數據流動的通信控制處理機等組成的系統的集合,這些計算機系統應當具有獨立自治的能力。計算機網絡的最主要功能是向用戶提供資源的共享,而用戶本身無需考慮自己以及所用資源在網絡中的位置。資源共享包括硬件共享、軟件共享和數據共享。隨著網絡技術在全球迅猛發展,網絡信息化在給人們帶來種種的方便同時,我們也正受到日益嚴重的來自網絡的安全威脅。盡管我們廣泛地使用各種復雜的安全技術,如防火墻、數據加密技術、訪問控制技術、通道控制機制,但是,仍然有很多黑客的非法入侵,對社會造成了嚴重的危害。如何解決各種來自網絡上的安全威脅,怎樣才能確保網絡信息的安全性。本文通過對網絡安全存在的威脅進行分析,總結出對威脅網絡安全的幾種典型表現形式,從而歸納出常用的網絡安全的防范措施。
二、計算機網絡安全存在的威脅
由于計算機網絡計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征,致使網絡容易受到來自黑客、惡意軟件和其它種種攻擊。
(一)常見的計算機網絡安全威脅主要有:信息泄露、完整性破壞、拒絕服務、網絡濫用。
信息泄露:信息泄露破壞了系統的保密性,他是指信息被透漏給非授權的實體。常見的,能夠導致信息泄露的威脅有: 網絡監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵犯、物理侵入、病毒、木馬、后門、流氓軟件、網絡釣魚。
完整性破壞:可以通過漏洞利用、物理侵犯、授權侵犯、病毒,木馬,漏洞來等方式實現。
拒絕服務攻擊:對信息或資源可以合法的訪問卻被非法的拒絕或者推遲與時間密切相關的操作。
網絡濫用:合法的用戶濫用網絡,引入不必要的安全威脅,包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
(二)常見的計算機網絡絡安全威脅的表現形式主要有:竊聽、重傳、偽造、篡改、拒絕服務攻擊、行為否認、電子欺騙、非授權訪問、傳播病毒。
竊聽:攻擊者通過監視網絡數據的手段獲得重要的信息,從而導致網絡信息的泄密。重傳:攻擊者事先獲得部分或全部信息,以后將此信息發送給接收者。
篡改:攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網絡侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。
拒絕服務攻擊:攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
行為否認:通訊實體否認已經發生的行為。
電子欺騙:通過假冒合法用戶的身份來進行網絡攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的.非授權訪問:沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問。傳播病毒:通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防范。
三、計算機網絡安全的防護措施
在當今網絡化的世界中,網絡的開放性和共享性在方便了人們使用的同時,也使得網絡很容易遭受到攻擊,而攻擊的后果是嚴重的,諸如數據被人竊取、服務器不能提供服務等等。隨著信息技術的高速發展,網絡安全技術也越來越受到重視,由此推動了物理措施、防火墻、訪問控制、數據加密、病毒的防護等各種網絡安全的防護措施蓬勃發展。
物理措施:比如,保護網絡關鍵設備,制定嚴格的網絡安全規章制度,采取防輻射、防火以及安裝不間斷電源等措施。
防火墻:目前技術最為復雜而且安全級別最高的防火墻是隱蔽智能網關,它將網關隱藏在公共系統之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問,同時阻止了外部未授權訪問對專用網絡的非法訪問。
訪問控制:對用戶訪問網絡資源的權限進行嚴格的認證和控制。
數據加密:對網絡中傳輸的數據進行加密,到達目的地后再解密還原為原始數據,目的是防止非法用戶截獲后盜用信息。
病毒的防護:在企業培養集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近幾年來,都是圍繞網絡安全問題提出了許多解決辦法,例如數據加密技術、防火墻技術安、安全審計技術、安全管理技術、系統漏洞檢測技術等等。
目前市場普遍被采用的網絡安全技術有:主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術。但是,有了安全技術還是遠遠不夠,許多網絡安全事件的發生都與缺乏安全防范意識有關,所以,我們要有網絡安全防范意識并建立起相應的安全機制(比如:加密機制、數字簽名機制、訪問控制機制、數據完整性機制、認證機制、信息流填充機制、路由控制機制、公正機制等)就可以使網絡安全得到保障。
四、結束語
在網絡信息化時代,網絡安全已越來越受重視了。雖然現在用于網絡安全防護的產品有很多,但是黑客他們仍然無孔不入,對社會造成了嚴重的危害。根本原因是網絡自身的安全隱患無法根除,這就使得黑客進行入侵有機可乘。盡管如此,隨著網絡安全技術日趨完善,降低黑客入侵的可能性,使網絡信息安全得到保障。如何把握網絡技術給人們帶來方便的同
時,又能使信息安全得到保證,這將是我們培養新一代網絡管理人員的目標。
參考文獻:[1]張民、徐躍進,網絡安全實驗教程,清華大學出版社,2007,6.[2]許治坤、王偉、郭添森、楊冀龍,網絡滲透技術,電子工業出版社,2005-5-11.[3]武新華、翟長森等編著,黑客攻防秘技大曝光,清華大學出版社,2006.
[4](譯)吳世忠、馬芳,網絡信息安全的真相,機械工業出版社,2001-9-1.
點擊咨詢 