計算機網路安全和防範畢業論文
隨著計算機技術的飛速發展,計算機網路已普遍應用到日常工作、生活的每個領域,扮演著越來越重要的角色。下面是小編跟大家分享的是,歡迎大家來閱讀學習~
篇一
計算機網路安全與防範初探
[提要]計算機網路的不斷髮展使計算機上儲存的資訊很容易受到侵害。本文從介紹計算機網路安全相關知識出發,分析導致網路不安全的原因,並提出網路維護的簡單對策。
關鍵詞:網路安全;對策
中圖分類號:F49文獻標識碼:A
收錄日期:2012年3月12日
一、計算機網路安全的涵義及特點
計算機網路安全的含義隨網路使用者的變化而變化。從本質上來講,網路安全主要包括網路系統的軟、硬體以及網路傳輸資訊保安性等方面。計算機網路安全不僅有技術方面的問題,還有管理方面的問題,兩方面是相輔相成的關係,缺一不可。網路安全的特徵主要體現在系統保密性、可用性、完整性以及可控性等方面。
1、保密性。資訊的保密性是指網路資訊只供授權訪問的使用者使用,而不會洩露給未經授權的使用者、實體利用。通常情況下,網路資訊的保密性需通過加密技術來實現。
2、可用性。為計算機網路使用者提供服務作為網路系統最基本的功能,網路資訊只能被授予訪問許可權的使用者使用,即需要網路資訊服務時,允許授權使用者使用的特性。網路資訊的可用性多通過系統正常使用與全部工作時間之比進行衡量。
3、完整性。網路資訊未經授權不得改變自身特性。即資訊在儲存及傳輸的過程中應保持完整與真實性,不應發生改變及丟失的情況。網路資訊的完整性是要求網路資訊實現正確生成、正確儲存與正確傳輸。
4、可控性。計算機網路傳播的資訊內容具有可控制能力的特性。這能夠避免不良資訊經公共網路的傳輸,確保計算機系統受到攻擊或破壞時,網路資訊能夠實現自動恢復和控制。
二、危害計算機網路安全的原因
1、黑客入侵。黑客最早源自英文hacker,早期在美國的電腦界是帶有褒義的,是指熱心於計算機技術、水平高超的電腦專家,尤其是程式設計人員。但到了今天,黑客一詞已被用於泛指那些專門利用電腦網路搞破壞或惡作劇的傢伙。黑客常用的攻擊手段一般分為非破壞性和破壞性兩大類。其中非破壞性攻擊也就是破壞系統的正常執行但不進入系統,這種攻擊不會得到對方系統內的資料。大家也許都聽到過網站被垃圾資訊阻塞了,幾小時不能對外服務之類的事,這就是黑客用的非破壞性攻擊,這些垃圾資訊包括Ping洪流、SYN洪流,Finger***等。而破壞性攻擊就是以侵入他人系統,得到對方資料或修改資料為目的。要進行破壞性攻擊,就要得到許可權,要得到許可權也就是要得到超級使用者密碼。
2、網路協議的安全漏洞。因特網使用的是TCP/IP協議,該協議的弱點是,每一個基於IP服務都與一個或多個公認埠地址相關聯,服務在這些埠上偵聽服務請求。這些地址表示為TCP或UDP埠,並被設計為響應嘗試的連線來啟動相應服務合法請求的過程。不幸的是,處理服務完全有效請求的相同埠也能夠變成引人注目的攻擊點。所以說,TCP/IP本身在設計上就是不安全的,很容易被竊聽和欺騙。
3、使用者對安全知識缺乏所造成的缺陷。如安全配置不當造成的安全漏洞,使用者安全意識不強,使用者密碼過於簡單,易於被破解,軟體使用的錯誤,系統備份不完整,將自己的賬號隨意轉借他人或與別人共享等,都會帶來安全威脅。
4、計算機病毒。計算機病毒是一種有害資料。所謂計算機病毒,是指編制或者在程式中插入的破壞計算機功能或者毀壞資料,並能自我複製的一組計算機指令或者程式程式碼。計算機病毒蔓延範圍廣,增長速度快,損失難以估計。計算機感染上病毒後,輕則使系統效率下降,重則造成系統宕機或毀壞,使部分檔案或全部資料丟失,甚至造成計算機主機板等部件的損壞。
5、隨意在使用者計算機中顯示廣告。廣告軟體一般被整合在免費的軟體裡面,在程式介面顯示廣告。廣告通常會收集使用者資訊並把資訊傳送給程式的開發者,改變瀏覽器的設定***如首頁、搜尋頁和安全級別等***,甚至還會在任何時候只要計算機開機的情況下就隨意開啟廣告頁,並且使用者無法停止。
6、系統漏洞。作業系統及網路軟體不可能百分之百的無缺陷、無漏洞,一旦漏洞為外人所知,就會成為整個網路系統的薄弱環節和受攻擊的首選目標。網路中大部分的黑客入侵就是由於系統的漏洞所造成的。
7、拒絕服務攻擊。拒絕服務攻擊被設計為終端或完全摧毀網路裝置的執行或網路通訊。通過過載網路裝置,或以某種方式搞亂網路裝置,攻擊者就能夠使裝置拒絕向網路上的其他使用者或主機提供服務。
8、網路嗅探。被動網路攻擊的一種方法是網路“嗅探”或竊聽,他使用協議分析器或其他嗅探軟體竊聽網路通訊。
三、計算機網路維護措施
1、加密技術。資料加密技術是指將原有的資料通過某種演算法,轉換成一種不可讀的密文,並通過轉換後的密文進行資訊儲存與傳輸。資訊的接收者只有通過相應密匙才能獲取原先的資訊內容,從而實現資訊的保密性。資訊加密演算法主要分為對稱與非對稱加密演算法兩類。對稱加密演算法由於加密和解密所使用密匙的金鑰相同,加密與解密速度較快,加、解密演算法公開;非對稱加、解密所使用的密匙不同,只有通過使用相應的金鑰才能開啟加密資料。
2、防火牆技術。防火牆技術是當前保護計算機網路內網資源,防止外部人員侵入,進行網路訪問控制最廣泛使用的一種網路安全技術。防火牆能夠通過對資料包中包含的目標地址、源地址、源埠以及目標埠等資訊與預先設定好的訪問控制規則進行匹配,只有當資訊匹配成功時,資料才會被允許通過。當前最常用的防火牆為深度包過濾狀態檢測防火牆。
3、網路入侵檢測技術。網路入侵檢測技術是保證網路安全的一種措施,主要是通過對收集到的作業系統網路資料包以及應用程式等相關資訊分析,對所發現的入侵行為通過報警、切斷入侵線路等手段進行安全防護的行為。網路入侵檢測主要有異常檢測與誤用檢測兩種。異常檢測不受系統限制,能夠對系統及使用者非正常的操作行為和計算機資源的非正常情況進行檢測,具有很強的通用性。由於缺乏全面的網路掃描,異常檢測雖然會對以前未出現過的網路攻擊方式進行有效檢測,但其誤警率比較高。誤用檢測是基於對已知入侵行為進行檢測的過程。
4、防病毒技術。網路病毒技術包括病毒預防、病毒檢測與病毒消除技術。病毒預防技術通過對常駐系統記憶體的系統控制,對病毒是否存在進行監視、判斷,以防止病毒的擴散與破壞;檢測技術通過對計算機病毒和檔案特徵兩種方式進行檢測,對系統是否感染病毒作出判斷;消除技術是感染程式的逆過程,通過對網路病毒預防、檢測,通過防毒軟體等方式,殺滅病毒。
主要參考文獻:
[1]張偉.網路不安全因素該如何控制和管理[J].中國製造業資訊化,2006.8.
[2]薛方芳.簡析校園網路安全管理[J].科技資訊,2007.13.
[3]楊克.論網路安全管理的重要性[J].法制與社會,2007.2.
篇二
淺析計算機網路安全與防範
【摘 要】隨著寬頻業務的迅猛發展以及社會對網路的依賴,來自網際網路的網路安全問題日益突顯。文章簡要地分析了計算機網路存在的幾種安全隱患,並探討了計算機網路的安全防範措施。
【關鍵詞】計算機網路安全;防範;策略
計算機的廣泛應用把人類帶入了一個全新的時代,隨著互連網的飛速發展,網路技術全面地影響和改造著人們的生活,上網已經成為人們工作和生活不可缺少的一部分,其作用遠遠超出了人們的想象,網路已經深入到社會生活的各個方面。一旦計算機網路受到攻擊而不能正常工作,甚至癱瘓,整個社會就會陷入危機。如何更有效地保護重要資訊資料,提高計算機網路系統的安全性已經成為所有計算機網路應用必須考慮和必須解決的一個重要問題。
1 計算機網路安全的概念
國際標準化組織將電腦保安定義為:為資料處理系統建立和採取的技術和管理的安全保護,保護計算機硬體、軟體資料不因偶然和惡意的原因而遭到破壞、更改和洩漏。上述電腦保安的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的資訊保安,是指對資訊的保密性、完整性和可用性的保護,而網路安全性的含義是資訊保安的引申,即網路安全是對網路資訊保密性、完整性和可用性的保護。
2 計算機網路安全面臨的威脅
影響計算機網路安全的因素很多,有些因素可能是有意的,也可能是無意的。歸結起來,針對網路安全的威脅主要來自於以下幾個方面:
2.1 自然災害
計算機資訊系統僅僅是一個智慧的機器,易受自然災害及環境***溫度、溼度、振動、衝擊、汙染***的影響。目前,我們不少計算機房並沒有防震、防火、防水、避雷、防電磁洩露或干擾等措施,接地系統也疏於周到考慮,抵禦自然災害和意外事故的能力較差。日常工作中因斷電而裝置損壞、資料丟失的現象時有發生。由於噪音和電磁輻射,導致網路信噪比下降,誤位元速率增加,資訊的安全性、完整性和可用性受到威脅。
2.2 網路軟體的漏洞和“後門”
網路軟體不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網路內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟體的“後門”都是軟體公司的設計程式設計人員為了自便而設定的,一般不為外人所知,一旦“後門”洞開,其造成的後果將不堪設想。
2.3 黑客的威脅和攻擊
這是計算機網路所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的執行,並不盜竊系統資料,通常採用拒絕服務攻擊或資訊***;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密資訊、破壞目標系統的資料為目的。黑客們常用的攻擊手段有獲取口令、***攻擊、特洛伊木馬攻擊、www的欺騙技術和尋找系統漏洞等。
2.4 計算機病毒
20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延範圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程式上,在這些程式執行時進入到系統中進行擴散。計算機感染上病毒後,輕則使系統工作效率下降,重則造成系統宕機或毀壞,使部分檔案或全部資料丟失,甚至造成計算機主機板等部件的損壞。
2.5 垃圾郵件和間諜軟體
一些人利用***地址的“公開性”和系統的“可廣播性”進行商業、宗教、政治等活動,把自己的***強行“推入”別人的***,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟體的主要目的不在於對系統造成破壞,而是竊取系統或是使用者資訊。
2.6 計算機犯罪
計算機犯罪,通常是利用竊取口令等手段非法侵入計算機資訊系統,傳播有害資訊,惡意破壞計算機系統,實施貪汙、盜竊、***和金融犯罪等活動。在一個開放的網路環境中,大量資訊在網上流動,這為不法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感資訊,闖入使用者或政府部門的計算機系統,進行窺視、竊取、篡改資料。不受時間、地點、條件限制的網路***,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機資訊系統的犯罪活動日益增多。
3 計算機網路安全防範策略
計算機網路安全從技術上來說,主要由防火牆、防病毒、入侵檢測等多個安全元件組成,一個單獨的元件無法確保網路資訊的安全性。目前廣泛運用和比較成熟的網路安全技術主要有:防火牆技術、資料加密技術、訪問控制、防禦病毒技術等。以下就此幾項技術分別進行分析。
3.1 防火牆技術
防火牆,是網路安全的屏障,配置防火牆是實現網路安全最基本、最經濟、最有效的安全措施之一。防火牆是指位於計算機和它所連線的網路之間的硬體或軟體,也可以位於兩個或多個網路之間,比如區域網和網際網路之間,網路之間的所有資料流都經過防火牆。通過防火牆可以對網路之間的通訊進行掃描,關閉不安全的埠,阻止外來的DoS攻擊,封鎖特洛伊木馬等,以保證網路和計算機的安全。一般的防火牆都可以達到以下目的:一是可以限制他人進入內部網路,過濾掉不安全服務和非法使用者;二是防止入侵者接近你的防禦設施;三是限定使用者訪問特殊站點;四是為監視Internet安全,提供方便。
3.2 資料加密技術
加密就是通過一種方式使資訊變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密型別:私匙加密和公匙加密
3.2.1 私匙加密
私匙加密又稱對稱密匙加密,因為用來加密資訊的密匙就是解密資訊所使用的密匙。私匙加密為資訊提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以建立加密一條有效的訊息。這種加密方法的優點是速度很快,很容易在硬體和軟體中實現。
3.2.2 公匙加密 公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用於加密資訊,另一個用於解密資訊。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
3.3 訪問控制
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。訪問控制決定了誰能夠訪問系統,能訪問系統的何種資源以及如何使用這些資源。適當的訪問控制能夠阻止未經允許的使用者有意或無意地獲取資料。訪問控制的手段包括使用者識別程式碼、口令、登入控制、資源授權 ***例如使用者配置檔案、資源配置檔案和控制列表 ***、授權核查、 日誌和審計。它是維護網路安全,保護網路資源的主要手段,也是對付黑客的關鍵手段。
3.4 防禦病毒技術
隨著計算機技術的不斷髮展,計算機病毒變得越來越複雜和高階,對計算機資訊系統構成極大的威脅。在病毒防範中普遍使用的防病毒軟體,從功能上可以分為網路防病毒軟體和單機防病毒軟體兩大類。單機防病毒軟體一般安裝在單臺PC機上,即對本地和本地工作站連線的遠端資源採用分析掃描的方式檢測、清除病毒。網路防病毒軟體則主要注重網路防病毒,一旦病毒入侵網路或者從網路向其他資源傳染,網路防病毒軟體會立刻檢測到並加以刪除。病毒的侵入必將對系統資源構成威脅,因此使用者要做到“先防後除”。很多病毒是通過傳輸介質傳播的,因此使用者一定要注意病毒的介質傳播。在日常使用計算機的過程中,應該養成定期查殺病毒的習慣。使用者要安裝正版的防毒軟體和防火牆,並隨時升級為最新版本。還要及時更新windows作業系統的安裝補丁,做到不登入不明網站等等。
總的來說,網路安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網路系統,隨著計算機網路技術的進一步發展,網路安全防護技術也必然隨著網路應用的發展而不斷髮展。
參考文獻:
[1] 葛秀慧.計算機網路安全管理[M ].北京:清華大學出版社,2008.
[2] 張琳,黃仙姣.淺談網路安全技術[J].電腦知識與技術,2006, ***11***.
[3] 徐超漢.計算機網路安全與資料完整性技術[M ]. 北京:電子工業出版社,2005.
篇三
計算機網路安全與防範研究
【摘要】研究分析網路資訊保安關鍵技術,提出網路資訊系統的安全體系,提高資訊保安保障能力,解決計算機網路系統的安全保密問題,從而對網路資訊系統實施可靠的保護,顯得尤為突出,本文主要針對計算機網路安全隱患,結合實際提出了防範的相關措施。
【關鍵詞】計算機網路,網路安全
一、引言
網際網路中的每個裝置都應發揮著安全防護的作用,確保網路傳輸資訊的保密性,並能抵禦來自網路內部或外部的攻擊;同時還可以有效的進行網路資源訪問控制。全域性安全網路的安全防禦方法應從單點產品演進為層次化的網路安全防禦。在使用者遭受網路攻擊的時候,能有效識別這些網路威脅,並根據其嚴重級別做出相應反應,隔離遭到病毒感染的網路使用者,對受損系統進行自動修復,並且針對這個安全事件的處理策略將被及時同步到整個安全網路平臺中,根據系統安全策略進行網路資源的重新配置。本文主要探討了計算機網路安全與防範的相關技術問題。
二、網路安全解決方案探析
網路安全應採用立體的、全方位的動態縱深防禦安全策略,實行分級、分層、實時防護,發現和評估自身漏洞並進行修補,對入侵行為進行檢測並根據檢測結果進行預警,以及在遭受攻擊後能夠進行應急響應與災難恢復。這樣即使某一層安全防護措施被攻克,也有足夠時間在下一層安全措施被攻克前,檢測出安全威脅及漏洞,並採取有效的防禦與補救措施,確保整個系統的安全。
***一***防火牆的配置
防火牆是在兩個網路間實現訪問控制的一個或一組軟體或硬體系統。防火牆的最主要功能就是遮蔽和允許指定的資料通訊,而該功能的實現又主要是依靠一套訪問控制策略,由訪問控制策略來決定通訊的合法性。按照防火牆對內外來往資料的處理方法,大致可以將防火牆分為兩大體系:包過濾防火牆和代理防火牆。前者以Cisco公司的PIX防火牆為代表,後者以美國NAI公司的Gauntlet防火牆為代表。
通過這兩種型別防火牆的技術對比,代理防火牆在安全性方面有著明顯的優越性。但是考慮到執行速度與經費問題,另外PIX型防火牆同時還有比較強大的路由功能,綜合評價來看,還是Cisco的PIX型別防火牆更適合學院的網路安全體系。因此,在校園網路系統的防火牆配置方案中選用包過濾防火牆一飛塔***Fortinet***的FortiGate 3600防火牆。為了提高外網使用者對仲愷農業技術學院對外重要伺服器的快速訪問,同時最大限度的保證對外伺服器的安全,特用一臺伺服器作為反向透明代理,同時配備一臺備份伺服器,以保證其能可靠連續工作。制定防火牆安全策略如下:所有從內到外和從外到內的資料包都必須經過防火牆;只有被安全策略允許的資料包才能通過防火牆;防火牆本身要有預防入侵的功能;預設禁止所有服務,除非是必須的服務才允許。
***二***檢測系統的部署
入侵檢測是繼“防火牆”“信自加密”等傳統安全保護方法之後的新一代安全保障技術。它是一種主動防禦拄術,彌補了傳統安全技術的不足。入侵檢測能力是衡量一個防禦體系是否完整有效的重要因素。入侵檢測系統為網路安全提供實時的入侵檢測及採取相應的防護手段。
在網路邊界的鏈路之前放置獨立的防火牆裝置,對入站和出站進行訪問控制,再進入校園內部網的核心交換機。入侵檢測系統IDS直接接入核心交換機Extreme 6808,對全部網路的流量與內容進行入侵檢測與判斷。核心交換機分出多條主幹內部鏈路,一條直接接入校園內部網的應用伺服器群,包括郵件伺服器,Web伺服器,防病毒中央伺服器等:一條接入自修復身份認證系統,包括身份認證系統,自修復系統等。在核心交換機與伺服器區之間放置一個入侵檢測系統IDS的檢測探點,從而保證關鍵應用的安全性與可靠性。並且在郵件伺服器網段中部署反垃圾郵件等裝置。同樣,從核心交換機到其他各個樓的二層匯聚交換機,在二層匯聚中心部署一個入侵檢測系統IDS檢測探點,用於檢測區域內的入侵檢測行為。
防火牆與入侵檢測這兩種技術具有較強的互補性。目前,入侵檢測和防火牆之間的聯動有兩種方式可以實現,一種是實現緊密結合,即把入侵檢測系統嵌入到防火牆中,即入侵檢測系統的資料來源不再來源於抓包,而是流經防火牆的資料流。所有通過的資料包不僅要接受防火牆檢測規則的驗證,還需要經過入侵檢測,判斷是否具有攻擊性。以達到真正的實時阻斷,這實際上是把兩個產品合成一體。第二種方式是通過開放介面來實現聯動,即防火牆或者入侵檢測系統開放一個介面供對方呼叫,按照一定的協議進行通訊、警報和傳輸。目前開放埠的常見形式有,安全廠家提供IDS的開放介面,供各個防火牆廠商使用,以實現互動。這種方式比較靈活,不影響防火牆和入侵檢測系統的效能。
***三***網路資料備份與恢復
資料備份是一種資料安全策略.是將原始資料完全一樣地複製,嚴格來說應複製兩份,一份儲存在本地, 一份儲存在異地。在原始資料丟失或遭到破壞的情況下,利用備份資料把原始資料恢復出來,使系統能夠正常工作。建立一個完整的網路資料備份系統必須實現以下內容:***1***計算機網路資料備份的自動化,以減少系統管理員的工作量。***2***使資料備份工作制度化,科學化。***3***對介質管理的有效化,防止讀寫操作的錯誤。***4***對資料形成分門別類的介質儲存.使資料的儲存更細緻、科學。***5***以備份伺服器形成備份中心,對各種平臺的應用系統及其他資訊資料進行集中的備份,系統管理員可以在任意一臺工作站上管理、監控、配置備份系統,實現分佈處理,集中管理的特點。
三、 結語
當前,如何確保計算機網路的安全性是任何一個網路的設計者和管理者都極為關心的熱點。由於Internet協議的開放性,使得計算機網路的接入變得十分方便。正是在這樣的背景下,能夠威脅到計算機網路安全的因素就非常多。因此,人們研究了各種網路安全技術,開發了各種網路安全產品,努力構建一種可靠的計算機網路安全系統。本文主要討論的計算機網路的安全技術,針對各種不同的威脅與攻擊研究瞭解決它們的相應安全策略,有利於計算機網路安全實施。
計算機網路基礎論文範文