第一篇:計算機網絡與應用畢業論文大全
畢業論文
論文題目:Internet環境中遠程教學系統的網絡安全問題 專業:計算機網絡與應用 姓名:
指導老師:潘老師
摘要
遠程教育是伴隨著網絡技術和多媒體技術發展而產生的一種新型教育形式.它實現了教育資源跨越時間和空間的傳遞,使得教學的實施能達到任何人,在任何時間和地點進行的理想境界。隨著Internet的發展和網絡的普及,網絡教育正以相當迅猛的態勢發展起來,把網絡作為主要教學手段和媒體的各類遠程教學機構正以成倍的速度增長。但網絡有其嚴重的脆弱性,面臨前所未有的安全威脅。
本文從威脅Internet安全的主要因素入手,分析了在Internet環境中遠程教 育系統所面臨的網絡安全威脅與漏洞、所受到的網絡攻擊方式,并介紹了幾種網絡安全技術,以及當前各種主流的用于解決網絡安全的方案。提出構建internet 遠程教學安全體系,從法律、管理、技術三個方面構建完整的防御體系,從而維護系統的安全性、完整性、可用性。
關鍵詞:Internet;遠程教學;網絡安全
目錄
第一章
序言.......................................................................................................................5 1.1 背景和意義....................................................................................................5 1.2 研究現狀........................................................................................................5 1.3 研究的主要內容............................................................................................6 第二章
當前網絡安全的主要威脅...................................................................................7 2.1 計算機病毒....................................................................................................7 2.2 黑客................................................................................................................7 2.3 拒絕服務........................................................................................................7 第三章
計算機網絡的安全漏洞.......................................................................................8 3.1 操作系統安全漏洞........................................................................................8 3.2 TCP/IP協議的缺陷........................................................................................8 3.3 應用系統安全漏洞........................................................................................8 3.4 安全管理的疏漏............................................................................................8 第四章
網絡攻擊方式...................................................................................................9 4.1 非授權訪問..................................................................................................9 4.2 劫奪攻擊......................................................................................................9 4.3 假冒攻擊......................................................................................................9 4.4 網絡監聽.......................................................................................................9 4.5 截取口令.......................................................................................................9~10 第五章
遠程教學系統網絡安全的主要措施........................................................5.1防火墻技術...................................................................................................11
5.1.1包過濾技術...........................................................................................................11 5.1.2 代理服務器..........................................................................................................11 5.2加密技術.......................................................................................................11 5.3 數字簽名技術..............................................................................................12 5.4 訪問控制.....................................................................................................12
5.4.1身份驗證..............................................................................................................12
第六章
構建Internet遠程教學系統安全體系......................................................13 6.1 健全相關法律政策......................................................................................13 6.2 完善網絡管理體系......................................................................................13 6.3 提升網絡安全技術水平..............................................................................6.3.1 網絡平臺安全......................................................................................................13 6.3.2 系統平臺安全.......................................................................................................14 6.3.3 通信平臺安全.......................................................................................................14 6.3.4 應用平臺安全.......................................................................................................14~15 第七章
總結..........................................................................................................致謝........................................................................................................................17 參考文獻....................................................................................................................4
第一章
序言
1.1 背景和意義
Internet具有豐富的信息資源、多樣的信息服務,其實行的分散化管理,極大地增強了用戶之間的交互性,電子郵件、遠程登錄、文件傳輸、信息查詢等多種靈活的服務功能,更使用戶能自地獲取信息、進行交流和實現資源共享,這是任何媒介都無法與之相比的。基于Internet的網絡學習作為一種全新的學習形式,有著鮮明的時代特點。同時,這又使遠程教學系統在運作過程中擔負了一定程度的風險。因此,在基于Internet的遠程教學系統的建設中,增強網絡預防突發事件的能力,充分保證網絡數據的安全成為優先考慮的問題。
1.2 研究現狀
近年來,世界各國相繼提出自己的信息高速公路計劃──國家信息基礎設施NII(NationalInformation Infrastructure),同時,建立全球的信息基礎設施GII(Global Information Infrastructure)也已被提上了議事日程。問題在于,僅從物理通信基礎的角度來看,這種基礎設施因主要涉及技術問題而相對容易解決得 多。
在上世紀30年代,Shannon成功地建立了通信保密系統的數學原理,實用的密碼系統的建立是基于當前計算機的計算能力,同時也是基于計算機科學理論中的計算復雜性和結構復雜性研究成果的。由于眾所周知的原因,當前的計算密碼學成果都是基于尚未證明的假設即 P和NP不是同一個集合的。
到目前為止最引人注目的會話層安全機制是Netscape公司提出的安全套接字SSL(Secure Socket Layer)。SSL提供位于TCP層之上的安全服務。它使用的安全機制包括通過對稱密碼算法和非對稱密碼算法來實現機密性、完整性、身份鑒別或認證。SSL已用于瀏覽器和www.tmdps.cnmunication Technology)。
基于網絡技術本身的網絡安全機制方面,主要是防火墻技術。常用的主要有網絡層防火墻和應用層防火墻兩種:
1)網絡層防火墻主要工作在IP層,通過分析IP包頭來決定允許或禁止某個信息包通過該防火墻,如路由器過濾就是一種最常見的類型。
2)應用層防火墻是主要是通過應用層網關或服務代理來實現的。即當來自內部網絡的請求到達應用層網關時,它代理內部主機與外部公共網上的服務器建立連接,進而轉發來自外部服務器的請求響應。這種代理對內部主機來說可以是透明的,對外部服務器來說也可以是透明的。
盡管到目前為止人們已實現了許多安全機制,但安全問題仍然倍受懷疑和關注。事實上,象遠程教學這種應用是否會得到充分的推廣,將在很大程度上取決于人們對網絡安全機制的信心。雖然目前有關計算機犯罪中,非技術因素導致的損失大于技術因素(如黑客或密碼分析)的損失,但對于安全技術和機制的要求將越來越高。這種需求將不僅驅動理論研究的進展,還必將促進實際安全產品的進一步發展。
1.3 研究的主要內容
1)了解在Internet環境下遠程教學系統所面臨的網絡安全威脅,以及所受到的網絡攻擊方式。
2)分析當前各種主流的用于解決網絡安全的方案。
3)對于不同的網絡安全威脅設計出應對的解決策略以消除各種安全隱患,從而維護系統的安全性、完整性、可用性。
4)提出構建堅固的遠程教學網絡防御體系解決方案。
第二章
當前網絡安全的主要威脅
網絡安全隱患主要源于計算機網絡的脆弱性、網絡通信協議的完全缺陷、網絡軟件與網絡服務的漏洞、網絡結構的安全隱患和網絡硬件的安全缺陷等幾個方面。
2.1 計算機病毒
計算機病毒是目前威脅網絡安全的重大禍首。計算機病毒的侵入在嚴重的情況下會使網絡系統癱瘓,重要數據無法訪問甚至丟失。目前,計算機病毒已成為很多黑客入侵的先導。只要一臺計算機染毒,如不及時處理,那么病毒會在這臺機子上迅速擴散,其中的大量文件(一般是可執行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機器進行數據交換或通過網絡接觸,病毒會繼續進行傳染。隨著Internet的風靡,給病毒的傳播又增加了新的途徑,它的發展使病毒可能成為災難,病毒的傳播更迅速,反病毒的任務更加艱巨。
2.2 黑客
黑客是網絡上的一個復雜群體,他們以發現和攻擊網絡操作系統的漏洞和缺陷作為樂趣,利用網絡的脆弱性進行非法活動,如修改網頁、非法進入主機破壞程序、竊取網上信息、對電子郵件進行騷擾、阻塞網絡和竊取網絡用戶口令等。
2.3 拒絕服務
拒絕服務是指導致系統難以或不可能繼續執行任務的所有問題,即攻擊者想辦法讓目標機器停止提供服務或資源訪問,是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬于拒絕服務攻擊。
第三章
計算機網絡的安全漏洞
3.1 操作系統安全漏洞
雖然操作系統的功能及安全性日趨完善,但仍存在著很多漏洞。由于操作系統的程序是可以動態鏈接的,包括I/O的驅動程序與系統服務均可以采用打補丁的方式進行升級。于是,這種軟件廠商使用的方法同樣也為黑客打開方便之門。另外,操作系統支持在網絡節點上創建和激活進程,并且被創建的進程可以繼承創建進程這一權力,加之操作系統支持在網絡上傳輸文件,此二者為在遠端服務器上安裝“間諜”軟件創造了條件。此外,操作系統為系統開發人員設置的無口令入口以及隱蔽通道均是危及網絡安全的漏洞。
3.2 TCP/IP協議的缺陷
Internet是基于TCP/IP協議族的計算機網絡.而力求簡單高效的設計初衷使TCP/IP協議族中的許多安全因素并未得到完善。TCP/IP協議的安全缺陷主要表現在:
1)TCP/IP協議數據流采用明文傳輸,用戶的帳號、口令等重要信息也無一例外。攻擊者可以截取含有帳號、口令的數據包進行攻擊。于是,這種信息傳輸方式無法保障信息的保密性和完整性。
2)TCP/IP協議以IP地址作為網絡節點的唯一標識,此舉并不能對節點上的用戶進行有效的身份認證。換言之,信息的真實性無法得以保證。可見,TCP/IP協議中存在的安全技術缺陷也是導致Internet不安全性的一個重要原因。
3.3 應用系統安全漏洞
1)Web服務器和瀏覽器都難以保障安全。服務器的安全問題主要來自由經驗不足、不甚了解系統安全的程序員編寫的CGI程序。Web瀏覽器的安全漏洞在于,它易于傳送和執行正常程序的特點使其成為傳送和執行病毒程序的一種途徑。
2)DNS也存在安全問題。DNS要求用戶提供機器的硬件和軟件信息以及用戶不愿讓入侵者知曉的信息。這些信息為黑客進行攻擊提供了方便。
3)對路由器的錯誤配置以及缺省配置均能危及到網絡的安全運行。
3.4 安全管理的疏漏
缺少網絡管理員,缺少信息系統安全管理規范,缺少定期的安全測試、檢查,缺少網絡安全監控都是潛藏的威脅網絡安全的巨大隱患。此外,由于安全策略與方便用戶使用之間存在著矛盾,從而使得安全措施在一定程度上未能發揮作用。
第四章
網絡攻擊方式
Internet環境中遠程教學系統的網絡安全是指網絡上的信息安全。以不同的方式和手段對網絡上信息的保密性、完整性、可用性以及可控性進行破壞的行為均可視為對網絡的攻擊。
4.1 非授權訪問
非授權的訪問,所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等,攻擊者通過非法手段訪問其無權訪問的信息。而沒有預先經過同意就使用網絡或計算機資源就被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。
4.2 劫奪攻擊
攻擊者通過劫奪某個合法用戶向某個網絡資源建立的連接,以此實現非法使用資源及竊取機密信息。如會話劫奪,入侵者首先在網絡上窺探現有的會話,發現有攻擊價值的會話后,便將參與會話的一方截斷,并頂替被截斷方繼續與另一方進行連接,以竊取信息。會話劫奪不像竊取那樣容易防范。對于由外部網絡入侵內部網絡的途徑,可用防火墻切斷,但對于內、外部網絡之間的會話,除了采用數據加密手段外,沒有其他方法可保絕對安全。
4.3 假冒攻擊
攻擊者通過欺騙,冒充合法用戶與網絡資源建立連接,以達到竊取機密、非法使用資源的目的。還有一種中途截擊攻擊方法,它在你同服務器端完成“三次握手”建立連接之后,在通信過程中扮演“第三者”的角色,假冒服務器身份欺騙你,再假冒你向服務器發出惡意請求,其造成的后果不堪設想。另外,攻擊者有時還會利用軟件和硬件工具時刻監視系統主機的工作,等待記錄用戶登錄信息,從而取得用戶密碼;或者編制有緩沖區溢出錯誤的SUID 程序來獲得超級用戶權限。
4.4
網絡監聽
網絡監聽是主機的一種工作模式,在這種模式下,主機可以接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,而攻擊者就能在兩端之間進行數據監聽。時若兩臺主機進行通信的信息沒有加密,只要使用某些網絡監聽工具(如NetXRayforWindows95/98/NT、SniffitforLinux、Solaries等)就可輕而易舉地截取包括口令帳號在內的信息資料。雖然網絡監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
4.5 截取口令
攻擊者通過網絡監聽、破譯程序或記錄用戶的擊鍵得到用戶的口令,對系統進行攻擊。攻擊者攻擊目標時常常把破譯用戶的口令作為攻擊的開始。只要攻擊者能猜測或者確定用戶的 9 口令,他就能獲得機器或者網絡的訪問權,并能訪問到用戶能訪問到的任何資源。如果這用戶有域管理員或Root用戶權限,這是極其危險的。
第五章
遠程教學系統網絡安全的主要措施
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
當前計算機遠程教學系統用來保障網絡信息安全的方法有兩大類:以防火墻技術為代表的被動防衛型和建立在數據加密、數字簽名、訪問控制機制上的開放型網絡安全保障技術。
5.1防火墻技術
防火墻用于加強網絡間的訪問控制,防止外部用戶非法使用內部網絡資源,保護內部網絡的設備不受破壞,防止內部網絡的敏感數據被竊取等工作。它可以控制網絡內外的信息交流,提供接入控制和審查跟蹤。為了使防火墻發揮效力,來自和發往Internet的所有信息都必須經由防火墻出入,防火墻禁止Internet中未經授權的用戶侵入由它保護的計算機系統。它只允許授權信息通過,而它本身不能被滲透。
防火墻作為內部網和外部網之間的一種訪問控制設備,常安裝于內部網和外部網的交界點上。內部網絡的某個用戶若要與外部網絡的用戶在網上聯絡,該用戶首先和所屬網絡的防火墻聯通,然后再與另一個用戶聯通,反之亦然。防火墻提供的外圍防護是Internet安全結構必不可少的組成部分。它能對已知的網絡協議起到保護作用,并成為內部網絡與Internet 連接安全措施的一部分。
5.2 加密技術
防火墻技術僅能隔離非法訪問或非授權訪問,但不能對那些允許通過防火墻進行通信的應用程序和協議提供保護。對于某些攻擊者或非法用戶來說,他們可以通過有關的敏感數(如口令、密碼等)在不安全信道上傳輸時進行竊聽、截獲,從而對系統進行攻擊。這種攻擊只能通過加密技術來防止這類攻擊。加密技術是解決網絡安全問題的核心技術,是已知的唯一能保護經由電話線路、光纖電纜、通信衛星和微波設備的通信網絡傳輸信息的實用方法。它是對信息進行加密,從而達到隱藏信息內容,使非法用戶或攻擊者即使截獲信息,但沒有解密手段,仍然無法獲取信息的真實內容的一種手段。
目前有兩種最常用的加密技術,即對稱加密和非對稱加密技術。
5.2.1 對稱加密技術
對稱加密技術是指加密和解密均采用同一把密鑰,而且通信雙方必須都要獲得這把密鑰,并保持密鑰的保密。當給對方發信息時,發送方用自己的密鑰進行加密,而在接受方收到數據后,用對方給的密鑰進行解密。此技術具有加密速度快,保密性高等優點;其缺點是密鑰分配和管理困難。
5.2.2 非對稱式加密技術
非對稱式加密(也稱公鑰加密)技術要求密鑰成對使用,即加密和解密分別由兩個密鑰來實現,每個用戶都產生一對密鑰,一個可以公開稱為公鑰,用于加密;另一個用戶自己擁有,稱為私鑰,用于解密。公鑰和私鑰之間有密切的關系。當給對方發信息時,用對方的公鑰進行加密,而在接收方收到數據后,用自己的私鑰進行解密。非對稱式加密技術的優點是密鑰分配和管理簡單,但其缺點是加/解密速度慢。
5.3 數字簽名技術
以往的書信或文件是根據親筆簽名或印章來證明其真實性的。在計算機網絡中傳送的報文則是由數字簽名來證明其真實性。數字簽名的特點有:接收者能夠核實發送者對報文的簽名;發送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名,一般采用公開密鑰算法實現數字簽名[8]。數字簽名也稱電子簽名,其作用在于驗證信息發送者的身份。數字簽名既可以防止簽名者否認自己的簽名,又可確保接收方無法偽造發送方的簽名。因此,它不但具有手工簽名的全部功能,而且還具有易更換、難偽造、可通過遠程線路傳輸等優點。事實上,數字簽名是公開密鑰加密技術的一種應用。由于公開密鑰加密算法的運算速度比較慢,因此可采用Hash函數將待簽名的信息進行摘要處理,減少公開密鑰加密算法的運算量。此后,發送方用自己的私鑰對摘要進行加密,形成發送方的數字簽名。發送方再將信息和簽名一同發送出去。接收方收到來自發送方的信息后,用發送方的公鑰對數字簽名進行解密,并使用Hash函數重新生成收到信息的摘要。通過解密后摘要與新生成摘要的對比來確認發送方的身份及信息的完整性。
5.4 訪問控制
5.4.1 身份驗證
身份驗證是一致性驗證的一種, 驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據、驗證系統和安全要求。身份驗證技術是在計算機中最早應用的安全技術,現在也仍在廣泛應用,它是互聯網信息安全的第一道屏障。
第六章
構建Internet遠程教學系統安全體系
要解決遠程教學系統網絡安全問題,首先要明確實現目標:
身份真實性:對通信實體身份的真實性進行識別。
信息機密性:保證機密信息不會泄露給非授權的人或實體。
信息完整性:保證數據的一致性,防止非授權用戶或實體對數據進行任何破壞。服務可用性:防止合法擁護對信息和資源的使用被不當的拒絕。不可否認性:建立有效的責任機智,防止實體否認其行為。系統可控性:能夠控制使用資源的人或實體的使用方式。
系統易用性:在滿足安全要求的條件下,系統應該操作簡單、維護方便。可審查性:對出現問題的網絡安全問題提供調查的依據和手段。
以Internet為平臺的遠程教學系統無法避免地受到來自網絡自身以及人為不安全因素的影響。通過對當前網絡安全現狀的研究,作者認為,建立網絡安全體系,至少包含三個層次的內容。
6.1 健全相關法律政策
實現網絡信息安全,必須有法律的保證,并且要制定相應的政策,使保障信息安全具有可操作性。例如,對網絡信息數據的法律保護,對黑客攻擊等計算機犯罪的懲處。
現在,國家制定了一些保護計算機信息安全的法規,如《中國計算機信息網絡國際聯網管理暫行規定》、《中華人民共和國計算機信息系統安全保護條例》、《計算機軟件保護條例》等;山東、安徽、黑龍江、深圳等省市也制定了《計算機信息系統安全管理辦法》等地方法規。
遠程教學系統應該在國家法規的基礎上,根據自身特點和需求,借鑒其他部門的經驗,制定稅務系統計算機信息系統安全管理辦法,保護計算機信息安全。
6.2 完善網絡管理體系
管理是一切工作的基礎,完善管理環境是保障網絡信息安全的重要保證。它包括組織設置、制度建設和人員管理。組織設置,指建立專門負責信息安全管理機構,首先要建立安全決策機構,包括安全領導小組、安全專家小組等,還要設立日常管理部門,并設專人執行維護工作。制度建設指建立切實可行的規章制度,例如安全技術標準、安全保密制度、值班制度、考核制度,完善監督機制。人員管理主要指劃分人員權限,定崗、定責,并教育計算機專業人員愛國、忠于職守、熱愛本職工作,提高政治業務素質。
6.3 提升網絡安全技術水平
包括網絡平臺安全、系統平臺安全、通信平臺安全、應用平臺安全以及其 他安全技術管理等幾個方面。
6.3.1 網絡平臺安全
為保證網絡層數據信息的安全保密性、完整性,防止黑客攻擊,對出入網絡和網絡服務訪問控制,堅持內部網和外部網的物理隔離、在 Internet 和內部網之間采用路由器隔離和防火墻,將 Internet 服務器放在停火區,原則上對內部網的訪問被禁止,而開放內部網對外的訪問;在內部網出口處安裝鏈路加密設備,例如密碼機,阻止來自電信公網的外部非法訪問和非法竊取;在廣域網入口安裝防火墻,對進出局域網進行訪問控制。為更加有效地防止黑客襲擊,可以采用安全漏洞掃描技術和攻擊報警軟件等。
當前Internet已成為計算機病毒傳播的重要途徑,而為了豐富教學系統的資源從網上下載一些軟件又在所難免,因此身處Internet的遠程教學系統應建立多層次的“病毒”防范體系,采取及時升級殺毒軟件,定時運行殺毒軟件查找病毒,重點防范要害部分,對重要信息進行備份等措施。
6.3.2 系統平臺安全
選用安全級別高的操作系統和數據庫系統,例如,操作系統至少達到 C2 級,關鍵環節需要達到 B1 級或以上。操作系統是計算機工作的平臺,一般的操作系統在一定程度上具有訪問控制、安全內核和系統設計等安全功能。但是,也有相反的例證,如微軟 Windows 的“ NSA 密鑰”在很大程度上危害用戶的信息安全。所謂 NSA 密鑰,是指 1998 年有人在 Windows 系統發現存在用途不詳的第二把密鑰,也就是說,微軟為每一份 Windows 操作系統都安裝了一個“后門”,專供 NSA(美國國家安全局)在需要時侵入全世界安裝此操作系統的電腦。
6.3.3 通信平臺安全
保證網絡傳輸信息的可靠性、保密性,對傳輸信息采用加密/解密技術和信息確認技術。實施加密/解密技術,是保障通信安全的最基本、最核心的技術措施和基礎,信息加密過程通過加密算法具體實施,它以較小的代價獲得較大的安全保護。信息確認技術,是通過嚴格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒,使驗證收到的信息和原來信息之間保持完全一致。安全的信息確認能做到:使合法的接受者能驗證他收到的信息是否真實;使發送者無法抵賴自己發出的信息;除合法發布信息者外,別人無法偽造信息;發生爭執時可由第三人仲裁。
隨著網絡技術在遠程教學領域中應用的進一步深入,基于Internet遠程教學系統與外界交互的信息種類不斷增多,其中有些保密性要求較高的信息。這些信息一旦被截取、盜用或刪除就會嚴重影響遠程教學系統的運作,甚至會危及遠程教學系統的安全,如管理帳號和密碼考試信息等等。為此,基于Internet的遠程教學系統應妥善管理用戶的帳號及密碼,特別是權限較高用戶的信息,對密碼的長度、復雜度、更改頻度作出要求。而且在傳輸重要信息時應使用加密技術。
6.3.4 應用平臺安全
較早的技術有身份驗證、存取控制等,身份驗證是網絡信息安全的第一道屏障;存取控制 14 主要包括人員限制、權限控制、數據標識、類型控制等,與身份驗證技術一起使用,賦予不同的用戶以不同的操作權限,實現不同安全級別的信息分級管理。采用安全審計技術,對進出網絡人員、時間等進行記錄,并執行安全審計。
基于Internet的遠程教學系統的用戶大致可分為三類:教師用戶、學習者用戶以及管理員。不同用戶所能見到的內容、所擁有的權限是有所不同的。也就是說,教學系統中的信息是分級保密的。因此,為了保障信息不被越權訪問應加強訪問控制工作,按用戶類別進行注冊,記錄用戶相關信息,必要時可以啟用數字簽名技術。與此同時,對系統中的資源也應進行分類,實行多級管理。
第七章
總結
本文在對基于Internet的遠程教學系統所面臨的安全問題做了細致的闡述,分析了在 Internet環境下遠程教育系統所面臨的網絡安全威脅與漏洞、所受到的網絡攻擊方式,以及當前各種主流的用于解決網絡安全的方案。通過相關分析,結合作者自身對遠程教學系統的理解,提出構建Internet遠程教學系統安全體系的解決方法,該安全體系包括健全相關法律體系、完善網絡管理體系、提升網絡安全技術水平,從法、人、技術三個方面構建一個完整的防御體系,以消除各種安全隱患,從而維護系統的安全性、完整性、可用性。
然而,基于Internet的遠程教學系統網絡安全是一個綜合性的課題,需要各個方面的努力。目前我國信息網絡安全技術的研究和產品開發仍處于起步階段,仍有大量的工作需要我們去研究、開發和探索,以保證我國信息網絡的安全,推動我國國民經濟的高速發展。隨著網絡技術的繼續發展,其自身出現的漏洞會不斷得到完善。在進行Internet 環境中遠程教學系統的建設和維護時,要不斷適應新的變化和要求,在最大程度上發揮此類遠程教學系統的優勢。并不斷加強網絡安全管理,普及網絡安全知識,加強網絡安全教育,提高網絡用戶的安全意識,使網絡學習在安全的環境中得到正常發展。
致謝
在論文完成之際,我的心情萬分激動。從論文的選題、資料的收集到論文的撰寫編排整個過程中,我得到了許多老師和同事熱情幫助。
我要感謝遠程教育學院的老師們,對我進行了悉心的指導和教育,使我能夠不斷地學習提高,最終完成論文。
最后,感謝所有關心我、幫助過我的其他老師、同事和朋友
參考文獻
[1] 謝希仁
計算機網絡[M].電子工業出版社,1994.[2] 楚狂
網絡安全與防火墻技術[M].人民郵電出版社,2001.[3] 霍春玲
孫智風
賈新宇.基于互聯網的遠程教學的研究[J].信息技 術,2000,(30).[4] 茍平章
倪志新
現代遠程教育中的網絡技術及安全性的研究 [J].電化教育
研究,2002
[5] 周雅秋,陳和平
Internet安全分析與安全防范對策[J].武漢冶金科技大學 學報,第22卷第2期,1999.[6] 唐正軍.網絡入侵檢測系統的設計與實現[M].電子工業出版社,2002.[7] 戴英俠.系統安全與入侵檢測[M].清華大學出版社,2002.[8] 趙斌斌.網絡安全與黑客工具防范[M].科學出版社,2001.[9] 梅杰,許榕生.Internet防火墻技術新發展[J].微電腦世界,2003,(5).[10] 劉遠航等.現代遠程教育系統原理與構建[M].人民郵電出版社,2002.[11] 卞良.遠程教學系統的設計與實現[J].現代計算機(專業版),2007,(10).等等…….
第二篇:計算機網絡畢業論文
1.前言
計算機技術和通信技術的迅猛發展使得網絡進入千家萬戶,網絡日益成為人們工作、學習、生活的必備工具。在網絡普及過程中,網速是網絡技術和網絡經營的關鍵。眾所周知,網絡帶寬越寬,數據傳輸速率就越高,寬帶技術應運而生。所謂寬帶網絡是指傳輸、交換和接入的寬帶化。本文詳細分析了寬帶網的主干網技術和接入網技術,并對寬帶技術的發展趨勢進行了討論。
1.主干網技術
寬帶技術包括主干網技術和接入網技術。在過去的幾年內,運營商將大量資金注入主干網,主干網已經基本實現了光纖化,傳輸速率可以達到千兆。
1.1 SONET(同步光纖網絡)技術
ITU-T以SONET為基礎,制定出國際標準同步數字系列SDH。一般可以認為SDH和SONET 是同義詞。主干網的網絡層服務可以大致分成三類:虛電路服務、數據報服務和ATM技術。虛電路服務是一種面向連接服務,通信過程包括建立連接、數據傳輸和釋放連接。
1.2虛電路服務
虛電路提供的是可靠服務,因此,基于X.25協議和幀中繼等虛電路服務的網絡可靠性較好。但是由于虛電路傳輸效率較低,目前常用網絡層協議是基于另一類數據報服務的IP協議。數據報服務是基于存儲轉發機制的無連接服務,雖然服務質量不可靠,但其最大優點是傳輸效率高,這也是IP協議能夠一統天下的原因。
1.3 ATM信元交換技術
ATM是綜合了電路交換和分組交換的特點產生,能夠提供可靠服務和較高的傳輸速率,美中不足的是其協議復雜,交換設備昂貴,實際網絡中使用不多。
2.接入網技術
接入網的概念從建立電話網開始就存在,寬帶網的出現使得接入網作用尤為突出。接入網是連接用戶終端設備和某種業務網網絡節點之間的網絡設施,即用戶交接設備之后到用戶引入線之前,僅提供通道而不具備交換功能的通信設備網絡。
如前所述,寬帶主干網已經基本實現光纖化,其帶寬可滿足當前的通信需要,但大部分的接入網仍然停留在以電話交換為主的水平上。接入網的傳輸速率普遍比較低,成為制約寬帶網絡發展的瓶頸。于是,近年來出現了多種接入網技術。接入網作為網絡的一部分同樣可以使用主干網的協議,如有些接入網也才采用幀中繼等技術。這里主要討論目前發展比較迅速的幾種寬帶技術。2.1 ISDN(綜合業務數字網)
ISDN是在綜合數字電話網(IDN)基礎上發展起來的,提供端到端數字通信。ISDN的開通范圍比ADSL和LAN接入都要廣泛得多,所以對于那些沒有寬帶接入的用戶,ISDN似乎成了惟一可以選擇的高速上網的解決辦法,畢竟128kbps的速度比撥號快多了;ISDN和電話一樣按時間收費,所以對于某些上網時間比較少的用戶(比如每月20小時以下的用戶)還是要比使用ADSL便宜很多的。另外,由于ISDN線路屬于數字線路,所以用它來打電話(包括網絡電話)效果都比普通電話要好得多。它通過普通的銅纜以更高的速率和質量傳輸語音和數據。ISDN是歐洲普及的電話網絡形式。GSM移動電話標準也可以基于ISDN傳輸數據。因為ISDN是全部數字化的電路,所以它能夠提供穩定的數據服務和連接速度,不像模擬線路那樣對干擾比較明顯。在數字線路上更容易開展更多的模擬線路無法或者比較困難保證質量的數字信息業務。例如除了基本的打電話功能之外,還能提供視頻、圖像與數據服務。ISDN需要一條全數字化的網絡用來承載數字信號(只有0和1這兩種狀態),與普通模擬電話最大的區別就在這里它在用戶和ISDN之間建立一條數字比特管道,使用時分復用方式支持多個獨立的通路(channel)。窄帶ISDN 定義的標準化通路有B通路(64kbit/s的數字PCM話音或數據),D通路(16kbit/s或64kbit/s用作帶外信令)。
ITU-T規定的標準化組合有兩種:(1)基本速率2B+D=144kbit/s,其中一個B通路用于傳輸話音,一個用于傳輸數據,D通路為16kbit/s。(2)一次群速率23B+D或30B+D,分別對應T1標準(1.544Mbit/s)和E1標準(2.048Mbit/s)。
由于N-ISDN難以適應寬帶需求,繼而在ATM技術的基礎上出現了寬帶ISDN(B-ISDN)。B-ISDN將話音、數據、圖像及視頻信號集中在一個網絡傳輸,就是通常所說的“一線通”。B-ISDN采用ATM技術,用戶環路和干線都采用光纜。由于ATM技術沒有得到廣泛的應用,B-ISDN使用的也很少。
2.2 HFC(混合光纖同軸網)
HFC利用具有巨大帶寬的廣播電視網,鋪設光纖到服務區,用戶的“最后一公里”采用同軸電纜。光纖部分的光分配節點(ODU)到頭端(HEAD)是星型連 3 接,光結點到用戶這段同軸電纜是樹型連接,在美國圍繞一個光結點的同軸網絡可以連接500個用戶。
用戶使用Cable modem利用同軸電纜連接到光結點,接入HFC網絡。由HFC網接入有線電視網(Cable TV), 最后由有線電視網和Internet高速相連。Cable modem 和一般modem原理相似,都是進行頻譜搬移。Cable modem將計算機的數據信號調制到某個頻帶范圍后占用有線電視帶寬傳輸。但是Cable Modem 本身又不是單純的調制解調器,它集Modem、調諧器、加解密設備、橋接器、網絡接口卡、SNMP代理和以太網集線器等功能為一身。
HFC的上行速率一般在200kbit/s到2Mbit/s之間,最高可達10Mbit/s。下行速率一般在3Mbit/s到10Mbit/s,最高可達到36Mbit/s。
同軸電纜帶寬要比電話線帶寬寬很多,在有線電視網絡比較發達的地區,HFC是一種很好的寬帶接入方式。但是傳統有線電視網是單向的,用于上網就要對原有線路進行雙向改造,需要一定費用。
2.3 ADSL(非對稱數字線路)ADSL是一種異步傳輸模式(ATM)。也是DSL(數字用戶線路)的統稱,是以銅電話線為傳輸介質的點對點傳輸技術。
在電信服務提供商端,需要將每條開通ADSL業務的電話線路連接在數字用戶線路訪問多路復用器(DSLAM)上。而在用戶端,用戶需要使用一個ADSL終端(因為和傳統的調制解調器(Modem)類似,所以也被稱為“貓”)來連接電話線路。由于ADSL使用高頻信號,所以在兩端還都要使用ADSL信號分離器將ADSL數據信號和普通音頻電話信號分離出來,避免打電話的時候出現噪音干擾。
通常的ADSL終端有一個電話Line-In,一個以太網口,有些終端集成了ADSL信號分離器,還提供一個連接的Phone接口。
某些ADSL調制解調器使用USB接口與電腦相連,需要在電腦上安裝指定的軟件以添加虛擬網卡來進行通信。xDSL包括HDSL(高速數字用戶線)、SDSL(對稱數字用戶線)、ADSL(非對稱數字用戶線)、VDSL(甚高比特率數字用戶線)等多種類型。目前寬帶市場主要使用ADSL技術。
ADSL使用普通電話線作為傳輸介質,利用ADSL Modem 將計算機的數據信號調制到一定的頻帶后再與原有電話信號復用同一條普通電話線傳輸。ADSL 利用ADSL Modem將電話線分成三個信息通道:一個速率為1 Mbps到9Mbps的高速下行通道;一個速率為16kbps到1Mbps的中速雙工通道,用于ADSL控制信號的傳輸和上行信息;一個普通3k帶寬的電話通道。這三個信息通道可以同時工作。
當前 ADSL調制解調設備一般采用 3種線路編碼技術,抑制載波幅度和相位(carrier-less amplitude and phase, CAP),離散多音復用(discrete multitone, DMT),以及離散小波多音復用(discrete wavelet multitone, DWMT)。其中 CAP的基礎是正交幅度調制(QAM)。在 CAP中,數據被調制到單一的載波上;而在 DMT中,數據被調制到多個載波上,每個載波上的數據都使用 QAM調制。DMT中使用快速傅里葉變換進行數字信號處理,而在 DWMT中使用小波變換。ADSL技術目前還存在一些問題,如電纜中不同線路信號之間相互串擾及線路質量問題等。目前,ADSL 的主要應用方式有兩種:
(1)交換局端到用戶間直接使用ADSL。這種方式直接使用原有電話線路,成本比較低。利用ADSL Modem可以有效的將話音與數據業務流量分離,數據業務直接分流到數據網絡中,緩解了用戶上網負荷對電話交換網的壓力。但是這種方式的數據傳輸率不是很高,一般提供512kbps和284kbps 兩種。(2)FTTx+ADSL方式。這種方式的銅電話線比較短,其他線路采用光纖,可以達到較高的傳輸速率。
2.4 LAN(寬帶以太網方式)
以太網是目前廣泛被采用的一種局域網技術,其技術成熟、安裝簡單、設備便宜。隨著千兆以太網和萬兆以太網技術的逐漸成熟,以太網已經占有了80%的局域網市場。
寬帶以太接入網一般采用光纜+雙絞線的方式對社區進行綜合布線。小區內用戶先用集線器組成一個簡單的以太網,然后接入光纖干線。雙絞線總長度 一般不超過100米,線路距離短,因而線路質量可以得到更好保障。LAN方式的寬帶服務一般是吉比特光纖進小區,百兆光纖到樓,10/100M到戶的模式,雖然實際傳輸速度不能達到那么高,但傳輸速率基本可以滿足用戶的各種需求。
由于接入網是一個公用網絡環境,其要求與一般局域網的私有網絡環境有很大不同,它僅借用了以太網的幀結構和接口,與一般局域網的差別主要在用戶管理、安全管理、業務管理、計費管理及安全管理等方面。
目前主要占有寬帶接入網市場的是ADSL和LAN接入技術。這兩種技術各有利弊。
從速度上來說,LAN方式用戶組成的以太網采用爭用信道協議,上網速度受到集線器和用戶數量的影響。集線器所連用戶越多,上網速度就越慢。可以看出,集線器和交換設備也是制約網速的一個瓶頸。但總的來說,LAN方式是目前幾種寬帶接入方式中速度最快的一種。ADSL的速度比LAN方式要慢,在傳輸視頻信息時(如觀看網絡電視等)質量不好。
從安裝的角度來說,ADSL建立在原有普通電話線基礎上,安裝方便,比較適合家庭或小型業務單位使用。以太網方式適合于用戶比較密集的小區或單位,使用前需要重新鋪設線路。
在抗干擾方面,由于采用光纖接入,LAN方式比普通電話線上傳輸數據的ADSL方式干擾要小。
從費用上說,以太網方式的初裝費一般高于ADSL,而且以太網一般采用包月方式,ADSL一般按照若干小時為單位計費。因此,ADSL更適合那些偶爾上網的用戶。
3.發展方向
近年來,寬帶主干網基本實現了光纖化,其速度可以承載任何服務。接入網的速度就成了網絡發展的瓶頸。今后幾年內,接入網建設是寬帶網絡發展的重點。盡管每一個寬帶服務商都強調自己的寬帶接入方式最先進、最便捷,但實際各種接入方式理論上所能達到的數值和用戶的實際使用效果存在巨大差距。因此,進一步增加接入帶寬,降低上網費用,提高網絡服務質量是一 6 個重要發展方向。對于寬帶接入網來說,實現光纖到戶是最終的目標,以上討論的各種接入方式只是過渡期中出現的技術。
寬帶網絡的另一個發展方向是多網融合,在一個網絡內傳輸語音、文字、圖像、視頻等各種信息,最終實現將電話網、有線電視網及計算機網絡融為一體。
隨著網絡的普及,人們越來越依靠網絡傳輸一些秘密信息,網絡安全一直是研究熱點。寬帶網絡也不可避免的要重視網絡安全問題。
第三篇:計算機網絡畢業論文
淺談計算機網絡安全及建設
摘 要 : 本文簡要介紹了計算機網絡安全的體系結構,分析了網絡安全的設計原則,討論了計算機網絡的安全策略、管理原則以及網絡各層的安全設計,最后提出了網絡安全產品的選型原則。
關鍵詞 : 計算機 ; 網絡 ; 安全; 建設
信息是當今社會發展的重要資源,整個社會對信息的依賴程度越來越高。盡管個人、部門和整個企業都已認識到信息的寶貴價值和私有性,但競爭已迫使各機構打破原有的界限,在企業內部或企業之間共享更多的信息,只有這樣才能縮短處理問題的時間,并在相互協作的環境中孕育出更多的革新和創造。然而,在群件系統中共享的信息卻必須保證其安全性,以防止有意無意的破壞,因此,網絡安全成為一個重要的問題。
1、網絡安全體系結構
通過對網絡應用的全面了解,按照安全風險、需求分析結果、安全策略以及網絡的安全目標,具體的安全控制系統可以可以分為:物理安全、系統安全、網絡安全、應用安全、管理安全等幾個方面。
1.1.物理安全 保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡的物理通路不被損壞、不被竊聽以及不被攻擊和干擾等。它主要包括三個方面:環境安全、設備安全、媒體安全。正常的防范措施主要在三個方面: 對主機房及重要信息存儲、收發部門進行屏蔽處理,防止信號外泄; 對本地網、局域網傳輸線路傳導輻射的抑制; 對終端設備輻射的防范。
1.2 系統安全 分為網絡結構安全、操作系統安全、應用系統安全。網絡結構的安全主要指網絡拓撲結構是否合理、線路是否有冗余、路由是否冗余、防止單點失敗等。對于操作系統的安全防范可以采取如下策略:盡量采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制、加強口令字的使用,并及時給系統打補丁、系統內部的相互調用不對外公開等; 通過配備安全掃描系統對操作系統進行安全性掃描,及時發現安全漏洞,并有效地對其進行重新配置或升級。在應用系統安全上,應用服務器盡量不要開放一些沒有經常用的協議及協議端口號、加強登錄身份認證,確保用戶使用的合法性、并嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據。
1.3 網絡安全 網絡安全是整個安全解決方案的關鍵,通過訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒分別進行。隔離與訪問控制可通過嚴格的管理制度、劃分虛擬子網(VLAN)、配備防火墻來進行。內部辦公自動化網絡根據不同用戶安全級別或者根據不同部門的安全需求,利用三層交換機來劃分虛擬子網(VLAN),在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問。防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。它通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制;并且可以實現單向或雙向控制,對一些高層協議實現較細粒的訪問控制。通信保密是使得在網上傳送的數據是密文形式,而不是明文。可以選擇鏈路層加密和網絡層加密等方式。入侵檢測是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為,根據控制臺的指令執行相應行為。由于探測器采取的是監聽不是過濾數據包,因此,入侵檢測系統的應用不會對網絡系統性能造成多大影響。網絡掃描系統可以對網絡中所有部件(Web 1
站點,防火墻,路由器,TCP/IP及相關協議服務)進行攻擊性掃描、分析和評估,發現并報告系統存在的弱點和漏洞,評估安全風險,建議補救措施。病毒防護也是網絡安全建設中應該考濾的重要的環節之一,反病毒技術包括預防病毒、檢測病毒和殺毒三種技術。1.4 應用安全 表現在內部OA系統中資源共享和信息存儲等方面。嚴格控制內部員工對網絡共享資源的使用,在內部子網中一般不要輕易開放共享目錄,對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。對有涉及企業秘密信息的用戶主機,使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份,通過網絡備份系統,可以對數據庫進行遠程備份存儲。
1.5 構建CA(Certification Authority)體系 針對信息的安全性、完整性、正確性和不可否認性等問題,目前國際上先進的方法是采用信息加密技術、數字簽名技術。具體實現的辦法是使用數字證書,通過數字證書,把證書持有者的公開密鑰(Public Key)與用戶的身份信息緊密安全地結合起來,以實現身份確認和不可否認性。根據機構本身的特點,可以考濾先構建一個本系統內部的CA系統,即所有的證書只能限定在本系統內部使用有效。隨著需求的發展,可以對CA系統進行擴充,與國家級CA系統互聯,實現不同企業間的交叉認證。
1.6 安全管理 通過制定健全的安全管理體制、構建安全管理平臺、增強人員的安全防范意識來進行。制定健全的安全管理體制是網絡安全得以實現的重要保證;各部門應經常對員工進行網絡安全防范意識的培訓,全面提高員工的整體網絡安全防范意識。構建安全管理平臺將會降彽很多因為無意的人為因素而造成的風險,組建安全管理子網,安裝集中統一的安全管理軟件,如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統一管理軟件,通過安全管理平臺實現全網的安全管理。
2、網絡安全體系的建設
2.1 安全體系設計原則
1).需求、風險、代價平衡分析的原則 : 對任一網絡來說,絕對安全難以達到,也不一定必要。對一個網絡要進行實際分析,對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。保護成本、被保護信息的價值必須平衡,價值僅1萬元的信息如果用5萬元的技術和設備去保護是一種不適當的保護。2).綜合性、整體性原則 : 運用系統工程的觀點、方法,分析網絡的安全問題,并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡包括個人、設備、軟件、數據等環節,它們在網絡安全中的地位和影響作用,只有從系統綜合的整體角度去看待和分析,才可能獲得有效、可行的措施。
3).一致性原則 : 這主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網絡的安全需求相一致。實際上,在網絡建設之初就考慮網絡安全對策,比等網絡建設好后再考慮要容易,而且花費也少得多。
4).易操作性原則 : 安全措施要由人來完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,采用的措施不能影響系統正常運行。
5).適應性、靈活性原則 : 安全措施必須能隨著網絡性能及安全需求的變化而變化,要容易適應、容易修改。
6).多重保護原則 : 任何安全保護措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。2.2 網絡安全風險分析
網絡系統的可靠運轉是基于通訊子網、計算機硬件和操作系統及各種應用軟件等各方面、各層次的良好運行。因此,它的風險將來自對企業的各個關鍵點可能造成的威脅,這些 2
威脅可能造成總體功能的失效。網絡安全風險分析成為制定有效的安全管理策略和選擇有作用的安全技術實施措施的基礎依據。安全保障不能完全基于思想教育或信任。而應基于“最低權限”和“相互監督”的法則,減少保密信息的介入范圍,盡力消除使用者為使用資源不得不信任他人或被他人信任的問題,建立起完整的安全控制體系和保證體系。2.3 網絡安全策略
安全策略分安全管理策略和安全技術實施策略兩個方面:
1).管理策略 安全系統需要人來執行,即使是最好的、最值得信賴的系統安全措施,也不能完全由計算機系統來完全承擔安全保證任務,因此必須建立完備的安全組織和管理制度。
2).技術策略 技術策略要針對網絡、操作系統、數據庫、信息共享授權提出具體的措施。
2.4 安全管理原則
計算機信息系統的安全管理主要基于三個原則,即多人負責原則、任期有限原則、職責分離原則。制定系統安全策略、安裝網絡安全系統只是網絡系統安全性實施的第一步,只有當各級組織機構均嚴格執行網絡安全的各項規定,認真維護各自負責的分系統的網絡安全性,才能保證整個系統網絡的整體安全性。2.5 網絡安全設計
由于網絡的互連是在鏈路層、網絡層、傳輸層、應用層不同協議層來實現,各個層的功能特性和安全特性也不同,因而其網絡安全措施也不相同。
物理層安全涉及傳輸介質的安全特性,抗干擾、防竊聽將是物理層安全措施制定的重點。
在鏈路層,通過“橋”這一互連設備的監視和控制作用,使我們可以建立一定程度的虛擬局域網,對物理和邏輯網段進行有效的分割和隔離,消除不同安全級別邏輯網段間的竊聽可能。
在網絡層,可通過對不同子網的定義和對路由器的路由表控制來限制子網間的接點通信,通過對主機路由表的控制來控制與之直接通信的節點。同時,利用網關的安全控制能力,可以限制節點的通信、應用服務,并加強外部用戶識別和驗證能力。對網絡進行級別劃分與控制,網絡級別的劃分大致包括Internet/企業網、骨干網/區域網、區域網/部門網、部門網/工作組網等,其中Internet/企業網的接口要采用專用防火墻,骨干網/區域網、區域網/部門網的接口利用路由器的可控路由表、安全郵件服務器、安全撥號驗證服務器和安全級別較高的操作系統。增強網絡互連的分割和過濾控制,也可以大大提高安全保密性。2.6 安全產品選型原則
在進行網絡安全方案的產品選型時,要求安全產品至少應包含以下功能:
·訪問控制:通過對特定網段、服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。
·檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。
·攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。· 加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息。· 認證:良好的認證體系可防止攻擊者假冒合法用戶。
· 備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務。
· 多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。· 隱藏內部信息:使攻擊者不能了解系統內的基本情況。
· 設立安全監控中心:為信息系統提供安全體系管理、監控,保護及緊急情況服務。
3、小結
總之,網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,我們應該用系統工程的觀點和方法分析和解決網絡的安全問題。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡,包括個人、設備、軟件、數據等,這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施,即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構,這樣才能真正做到整個系統的安全。
參考文獻
〔1〕謝希仁,計算機網絡[M].北京:電子工業出版社,1999 〔2〕王啟智,實用unix和internet安全技術[M].北京:電子工業出版社,1999
第四篇:計算機網絡畢業論文
計算機網絡故障及解決方法
1、緒論.......................................................................................................2 1.1課題背景及目的............................................................................2 1.2計算機網絡概述............................................................................3 1.3常見計算機網絡故障分類及影響................................................3
2、常見計算機網絡故障的判斷..............................................................5 2.1 解決計算機網絡故障的意義.....................................................5 2.2計算機網絡故障的分類................................................................5 2.3 網絡診斷的各種工具.................................................................8 3常見計算機網絡故障的解決方法.......................................................10 3.1 解決網絡故障的理論基礎(基本原理)...............................11 3.1.2網絡通信協議...........................................................................12 3.1.3 CISCO路由器和交換機...........................................................14 3.2 解決故障的工作步驟...............................................................15 3.3 網絡安全...................................................................................18 3.4 解決計算機網絡故障的實例...................................................20 結語.....................................................................................................28 致 謝 詞...................................................................................................29 參考文獻...................................................................................................29
摘
要
簡單介紹網絡及路由器的基本概念,簡述網絡分層診斷技術,結合討論路由器各種接口的診斷,綜述互聯網絡連通性故障的排除。
關鍵詞: 網絡 互聯網 路由器 故障診斷
1、緒論
1.1課題背景及目的
從國際上看,軍用網絡管理與故障診斷已經經歷了從無到有的過程,現在正在從初級到高級,從不完善到完善,從集中到分散的目標發展。實現故障診斷的科學化、規范化已經成為影響網絡持續、高速、健康發展的重大問題。在美軍《2010年聯合構想》中,首次把通信故障管理作為與“主宰機動、精確打擊、全維防護”相并列的四大作戰原則之一。
在民用方面,具有代表性的研究團體是IBM公司。他于2001年4月宣布開展eliza計劃。該項目的目標是開發出像“蜥蜴”一樣靈敏、警覺、反應迅速、并具有強大自我保護能力的網絡計算系統。IBM公司將在未來數年間投入累計達數十億的資金,并在全球建立5個實驗室,調用數百名研發人員及科學家用于開發服務器的自主運算。這種智慧型未來計算機具有高度靈敏安全警覺設計、高度平衡負載功能、易于管理且具備主動思考規劃能力,以適應未來的Internet和新時代電子商務的應用。微軟、惠普、Sun、Oracle、Intel等公司也已經加入到了該研究領域中。1.2計算機網絡概述
1、計算機網絡是由計算機集合加通信設施組成的系統,即利用各種通信手段,把地理上分散的計算機連在一起,達到相互通信而且共享軟件、硬件和數據等資源的系統。計算機網絡按其計算機分布范圍通常被分為局域網和廣域網。局域網覆蓋地理范圍較小,一般在數米到數十公里之間。廣域網覆蓋地理范圍較大,如校園、城市之間、乃至全球。計算機網絡的發展,導致網絡之間各種形式的連接。采用統一協議實現不同網絡的互連,使互聯網絡很容易得到擴展。因特網就是用這種方式完成網絡之間聯結的網絡。因特網采用TCP/IP協議作為通信協議,將世界范圍內計算機網絡連接在一起,成為當今世界最大的和最流行的國際性網絡。
1.3常見計算機網絡故障分類及影響
網絡故障診斷應該實現三方面的目的:
確定網絡的故障點,恢復網絡的正常運行;
發現網絡規劃和配置中欠佳之處,改善和優化網絡的性能;
觀察網絡的運行狀況,及時預測網絡通信質量。
網絡故障診斷以網絡原理、網絡配置和網絡運行的知識為基礎。從故障現象出發,以網絡診斷工具為手段獲取診斷信息,確定網絡故障點,查找問題的根源,排除故障,恢復網絡正常運行。網絡故障通常有以下幾種可能:物理層中物理設備相互連接失敗或者硬件及線路本身的問題;數據鏈路層的網絡設備的接口配置問題;網絡層網絡協議配置或操作錯誤;傳輸層的設備性能或通信擁塞問題;上三層CISCO IOS或網絡應用程序錯誤。診斷網絡故障的過程應該沿著OSI七層模型從物理層開始向上進行。首先檢查物理層,然后檢查數據鏈路層,以此類推,設法確定通信失敗的故障點,直到系統通信正常為止。
網絡診斷可以使用包括局域網或廣域網分析儀在內的多種工具:路由器診斷命令;網絡管理工具和其它故障診斷工具。CISCO提供的工具足以勝任排除絕大多數網絡故障。查看路由表,是解決網絡故障開始的好地方。ICMP的ping、trace命令和Cisco的show命令、debug命令是獲取故障診斷有用信息的網絡工具。我們通常使用一個或多個命令收集相應的信息,在給定情況下,確定使用什么命令獲取所需要的信息。譬如,通過IP協議來測定設備是否可達到的常用方法是使用ping命令。ping從源點向目標發出ICMP信息包,如果成功的話,返回的ping信息包就證實從源點到目標之間所有物理層、數據鏈路層和網羅層的功能都運行正常。如何在互聯網絡運行后了解它的信息,了解網絡是否正常運行,監視和了解網絡在正常條件下運行細節,了解出現故障的情況。監視那些內容呢?利用show interface命令可以非常容易地獲得待檢查的每個接口的信息。另外show buffer命令提供定期顯示緩沖區大小、用途及使用狀況等。Show proc命令和 show proc mem命令可用于跟蹤處理器和內存的使用情況,可以定期收集這些數據,在故障出現時,用于診斷參考。網絡故障以某種癥狀表現出來,故障癥狀包括一般性的(象用戶不能接入某個服務器)和較特殊的(如路由器不在路由表中)。對每一個癥狀使用特定的故障診斷工具和方法都能查找出一個或多個故障原因。
2、常見計算機網絡故障的判斷 2.1 解決計算機網絡故障的意義
世紀之交,全球因特網高速發展。抓住機遇,迎接挑戰,我國的網絡建設方興未艾。政府上網工程拉開序幕,網絡建設的新高潮已經到來。網絡診斷是管好、用好網絡,使網絡發揮最大作用的重要技術工作之一。本文首先簡單介紹網絡及路由器的基本概念,簡述分層診斷技術,結合討論路由器各種接口的診斷,綜述互聯網絡連通性故障的排除。
2.2計算機網絡故障的分類 2.2.1 計算機網絡故障的分類
雖然有各式各樣的網絡故障,但所有的故障總體可分為物理故障與邏輯故障,也就是通常所說的硬件故障與軟件故障。
硬件故障與軟件故障
硬件故障有網卡、網線、集線器(Hub)、交換機、路由器等。軟件故障中最常見的情況就是網絡協議問題或因為網絡設備的配置原因而導致的網絡異常或故障。
計算機網絡故障判斷步驟 ①首先要檢查網卡是否正常。
每塊網卡都帶有LED指示燈,位置一般在主機箱的背面,綠燈表示連接正常有的綠燈和紅燈都要亮,紅燈表示連接故障,不亮表示無連接或線路不通。根據數據流量的大小,指示燈會時快時慢的閃爍。正常情況下,在不傳送數據時,網卡的指示燈閃爍較慢,傳送數據時,閃爍較快。
②連接計算機與其他網絡設備的跳線、網線是否暢通。網絡連線的故障通常包括網絡線內部斷裂、雙絞線、RJ-45水晶頭接觸不良。可用測線器檢測。
③兩邊的RJ-45頭是否插好。④信息插座是否有故障。故障原因
雖然故障原因多種多樣,但總的來講不外乎就是硬件問題和軟件問題,說得再確切一些,這些問題就是網絡連接性問題、配置文件選項問題及網絡協議問題。
1、網絡連接性
網絡連接性是故障發生后首先應當考慮的原因。連通性的問題通常涉及到網卡、跳線、信息插座、網線、Hub、Modem等設備和通信介質。其中,任何一個設備的損壞,都會導致網絡連接的中斷。連通性通常可采用軟件和硬件工具進行測試驗證。例如,當某一臺電腦不能瀏覽Web時,在網絡管理員的腦子里產生的第一個想法就是網絡連通性的問題。到底是不是呢?可以通過測試進行驗證。看得到網上鄰居嗎?可以收發電子郵件嗎?ping得到網絡內的其他電腦嗎?只要其中一項回答為“yes”,那就可以斷定本機到Hub的連通性沒有問題。當然,即使都回答“No”,也不就表明連通性肯定有問題,而是可能會有問題,因為如果電腦的網絡協議的配置出現了問題也會導致上述現象的發生。另外,看一看網卡和Hub接口上的指示燈是否閃爍及閃爍是否正常也是個不壞的主意。
排除了由于電腦網絡協議配置不當而導致故障的可能后,就應該查看網卡和Hub的指示燈是否正常,測量網線是否暢通。
2、配置文件和選項
服務器、電腦都有配置選項,配置文件和配置選項設置不當,同樣會導致網絡故障。如服務器權限的設置不當,會導致資源無法共享的故障。電腦網卡配置不當,會導致無法連接的故障。當網絡內所有的服務都無法實現時,應當檢查H ub。
2.2.2計算機網絡故障的表現癥狀
1、連通性故障 故障表現
連通性故障通常表現為以下幾種情況:
電腦無法登錄到服務器;
②電腦無法通過局域網接入Internet; ③電腦在“網上鄰居”中只能看到自己,而看不到其他電腦,從而無法使用其他電腦上的共享資源和共享打印機;
④電腦無法在網絡內實現訪問其他電腦上的資源;
⑤網絡中的部分電腦運行速度異常的緩慢。
2、故障原因
以下原因可能導致連通性故障:
①網卡未安裝,或未安裝正確,或與其他設備有沖突;
②網卡硬件故障;
③網絡協議未安裝,或設置不正確;
④網線、跳線或信息插座故障;
2.3 網絡診斷的各種工具 2.3.1、軟件工具ping
ping無疑是網絡中最頻繁的小工具,它主要用于確定網絡的連通性問題。Ping程序使用ICMP(網際消息控制協議)協議來簡單地發送一個網絡數據包并請求應答,接收到請求的目的主機再次使用ICMP發回相同的數據,于是ping便可對每個包的發送和接收時間進行報告,并報告無影響包的百分比,這在確定網絡是否正確連接,以及網絡連接的狀況(包丟失率)十分有用。Ping是Windows操作系統集成的TCP/IP應用程序之一,可以在“開始-運行”中直接
執行(如圖1)。
圖1 Ping操作
(1)命令格式:
ping主機名 或者 ping 主機名 –t
ping IP地址 或者 ping IP地址 –t
(2)ping命令的應用
ping本地計算機名(即執行操作的計算機)
如ping liu或 ping本地IP地址
如ping127.0.0.1(任何一臺計算機都會將要27.0.0.1視為自己的IP地址)
可以檢查該計算機是否安裝了網卡;是否正確安裝了TCP/IP協議;正確配置了IP地址和子網掩碼或主機名。(3)使用Ping命令后出現的常見錯誤
出錯信息通常分為四種:
①Unknown host
Unknown host(不知名主機),這種出錯信息的意思是,該遠程主機的名字不能被命名服務器轉換成IP地址。故障原因可能是命名服務器有故障,或者其名字不正確,或者網絡管理員的系統與遠程主機之間的通信線路故障。這種情況下屏幕將會提示:
C:windows>ping www.tmdps.cn,正常情況下會出現該網址所指向的IP地址,這表明本機的DNS設置正確而且DNS服務器工作正常,反之就可能是其中之一出現了故障。
這幾步執行完畢后,網絡中的故障所在點就已明確,我們就可以正確的解決問題了。結語
網絡發生故障是不可避免的。網絡建成運行后,網絡故障診斷是網絡管理的重要技術工作。搞好網絡的運行管理和故障診斷工作,提高故障診斷水平需要注意以下幾方面的問題:認真學習有關網絡技術理論;清楚網絡的結構設計,包括網絡拓樸、設備連接、系統參數設置及軟件使用;了解網絡正常運行狀況、注意收集網絡正常運行時的各種狀態和報告輸出參數;熟悉常用的診斷工具,準確的描述故障現象。
致 謝 詞
我能夠比較順利的完成網絡安全漏洞防范措施這一論文,得益于很多老師和同學的關心和幫助!首先我要感謝我的指導老師——胡江濤老師,還有我們的系領導支持。是您們給我創造了實戰的機會;在整個論文書寫的過程中,胡老師一直給我悉心的指導和幫助。使我受益非淺。也要感謝對我完成本次論文提出寶貴意見的其他同學!
參考文獻
[1] 作 者:周炎濤《計算機網絡實用教程(第2版)》出 版 社:電子工業出版社
[2]作 者:李艇 《網絡安全與認證》出版社:重慶大學出版社 [3]作 者:楊富國等 《網絡設備安全與防火墻》出版社:北方交通大學出版社
第五篇:計算機網絡畢業論文
湖南現代物流職業技術學院
論文題目:校園網絡安全問題分析與對策
姓 名: 蘇 劍
學 號: 091140018 專 業: 計算機網絡
班 級: 計網0901班
聯系方式: *** 指導老師: 李先紅
完成時間:2011年11月10日
湖南現代物流職業技術學院
前 言
隨著教育信息化的發展,計算機校園網絡系統成為學校重要的現代化基礎設施,為學校建設提供安全、可靠、快捷的網絡環境,學校的學生思想教育、教學、科研、管理等對網絡的依賴將越來越緊密。在學校市場化的競爭過程中,學校對信息的掌握程度、信息獲取是否及時、信息能否得到充分的利用、對信息的反應是否敏感準確,已越來越成為衡量一個學校市場競爭能力的重要因素。校園網的建成和使用,對于提高教學和科研的質量、改善教學和科研的條件、加快學校的信息化發展、開展多媒體教學與研究,以及使教學多出人才,出高精尖人才,使科研多出成果,出一流成果,有著十分重要而深遠的意義。同時,校園網在宣傳學校、樹立學校形象、吸引生源、提高管理水平和管理效率方面都有著不可替代的作用。當前各校面臨市場的機遇與挑戰,紛紛規劃建設一流的學校。一流的學校必然要有一流的管理水平,一流的管理水平需要校園網的支持和配合。隨著國民經濟的發展,社會信息化、電子化水平的不斷提高,這些作用將愈加顯現。校園網的安全狀況直接影響到這些活動的順利進行,因此,保障校園網絡信息安全已經成為當前各高校網絡建設中不可忽視的首要問題。
【關鍵詞】校園網絡;網絡安全與分析;安全策略;入侵檢測;入侵防御
湖南現代物流職業技術學院
計算機網絡的概念
校園網絡的現狀,1 高校教育信息系統的需求和目標
校園網絡運行的特點
出現這些現象的原因
解決這些問題的方法并且分幾類講出來 這些方案的好處和劣
湖南現代物流職業技術學院
計算機網絡的概念:
關于計算機網絡的最簡單定義是:一些相互連接的、以共享資源為目的的、自治的計算機的集合。
另外,從廣義上看,計算機網絡是以傳輸信息為基礎目的,用通信線路將多個計算機連接起來的計算機系統的集合。從用戶角度看,計算機網絡是這樣定義的:存在著一個能為用戶自動管理的網絡操作系統。有它調用完成用戶所調用的資源,而整個網絡像一個大的計算機系統一樣,對用戶是透明的。
一個比較通用的定義是:利用通信線路將地理上分散的、具有獨立功能的計算機系統和通信設備按不同的形式連接起來,以功能完善的網絡軟件及協議實現資源共享和信息傳遞的系統
從整體上來說計算機網絡就是把分布在不同地理區域的計算機與專門的外部設備用通信線路互聯成一個規模大、功能強的系統,從而使眾多的計算機可以方便地互相傳遞信息,共享硬件、軟件、數據信息等資源。簡單來說,計算機網絡就是由通信線路互相連接的許多自主工作的計算機構成的集合體。
計算機網絡的功能:
計算機網絡的功能主要表現在硬件資源共享、軟件資源共享和用戶間信息交換三個方面:
1.硬件資源共享。可以在全網范圍內提供對處理資源、存儲資源、輸入輸出資源等昂貴設備的共享,使用戶節省投資,也便于集中管理和均衡分擔負荷。
2.軟件資源共享。允許互聯網上的用戶遠程訪問各類大型數據庫,可以得到網絡文件傳送服務、遠地進程管理服務和遠程文件訪問服務,從而避免軟件研制上的重復勞動以及數據資源的重復存貯,也便于集中管理。
3.用戶間信息交換。計算機網絡為分布在各地的用戶提供了強有力的通信手段。用戶可以通過計算機網絡傳送電子郵件、發布新聞消息和進行電子商務活動。
計算機網絡的發展前景:
1、全球因特網裝置之間的通信量將超過人與人之間的通信量。因特網將從一個單純的大型數據中心發展成為一個更加聰明的高智商網絡,將成為人與信息之間的高層調節者。其中的個人網站復制功能將不斷預期人們的信息需求和喜好,用戶將通過網站復制功能篩選網站,過濾掉與己無關的信息并將所需信息以最佳格式展現出來。同時,個人及企業將獲得大量個性化服務。這些服務將會由軟件設計人員在一個開放的平臺中實現。由軟件驅動的智能網技術和無線技術將使網絡觸角伸向人們所能到達的任何角落,同時允許人們自行選擇接收信息的形式。
2、帶寬的成本將變得非常低廉,甚至可以忽略不計。隨著帶寬瓶頸的突破,未來網絡的收費將來自服務而不是帶寬。交互性的服務,如節目聯網的視頻游戲、電子報紙和雜志等服務將會成為未來網絡價值的主體。
3、在不久的未來,無線網絡將更加普及,其中cnet:短距無線網絡前景看俏。短距無線通訊標準Zigbee與超寬頻UWB(Ultra wideband)即將制訂完成,未
湖南現代物流職業技術學院
來將與藍牙(Bluetooth)共同建構短距離無線網絡環境,包括藍芽、Zigbee與UWB等相關產品出貨量都將大幅成長。隨著電子電機工程師協會(IEEE)推出802.15個人局域網絡(WPAN)標準后,新一代的短距離無線通訊發展趨勢逐漸確定,除了藍芽(802.15.1)外,Zigbee(802.15.4)與UWB(802.15.3a)標準也將于今年或明年初陸續通過,未來Zigbee與UWB將以各自不同特性,如速度、價格等切入短距離無線網絡環境。
4、計算機網絡飛速發展的同時,安全問題不容忽視。網絡安全經過了二十多年的發展,已經發展成為一個跨多門學科的綜合性科學,它包括:通信技術、網絡技術、計算機軟件、硬件設計技術、密碼學、網絡安全與計算機安全技術等。
在理論上,網絡安全是建立在密碼學以及網絡安全協議的基礎上的。密碼學是網絡安全的核心,利用密碼技術對信息進行加密傳輸、加密存儲、數據完整性鑒別、用戶身份鑒別等,比傳統意義上簡單的存取控制和授權等技術更可靠。加密算法是一些公式和法則,它規定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術的發展,加上發達國家對關鍵加密算法的出口限制,各個國家正不斷致力于開發和設計新的加密算法和加密機制。
從技術上,網絡安全取決于兩個方面:網絡設備的硬件和軟件。網絡安全則由網絡設備的軟件和硬件互相配合來實現的。但是,由于網絡安全作為網絡對其上的信息提供的一種增值服務,人們往往發現軟件的處理速度成為網絡的瓶頸,因此,將網絡安全的密碼算法和安全協議用硬件實現,實現線速的安全處理仍然將是網絡安全發展的一個主要方向。
安全技術不斷發展的同時,全面加強安全技術的應用也是網絡安全發展的一個重要內容。因為即使有了網絡安全的理論基礎,沒有對網絡安全的深刻認識、沒有廣泛地將它應用于網絡中,那么談再多的網絡安全也是無用的。同時,網絡安全不僅僅是防火墻,也不是防病毒、入侵監測、防火墻、身份認證、加密等產品的簡單堆砌,而是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。
總之,網絡在今后的發展過程中不再僅僅是一個工具,也不再是一個遙不可及僅供少數人使用的技術專利,它將成為一種文化、一種生活融入到社會的各個領域。
點擊咨詢 