《畢業(yè)論文計算機網(wǎng)絡安全策略.doc》由會員分享，可在線閱讀，更多相關《畢業(yè)論文計算機網(wǎng)絡安全策略.doc（10頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、XX大學畢業(yè)設計（論文）題目（中文）： 計算機網(wǎng)絡安全防范策略 院（系）： 計算機系 專 業(yè)： 計算機應用技術 學生姓名： XXX 學 號： 2006050XXXX 指導教師： XXX 2009年05 月15 日目 錄摘要 2關鍵字 2 正文1.計算機網(wǎng)絡安全 32.計算機網(wǎng)絡安全的現(xiàn)狀 33.計算機網(wǎng)絡面臨的威脅 44.計算機網(wǎng)絡安全防范策略 5 4.1.物理安全策略 5 4.2.訪問控制策略 5 4.3.信息加密策略 65.結束語 76參考文獻（References） 7內容摘要： 隨著國民經濟信息化的迅速發(fā)展，人們對網(wǎng)絡信息安全的要求越來越迫切，尤其自Internet得到普遍應用以來，人

2、類社會對計算機的依賴程度達到了空前的記錄。但是由于計算機網(wǎng)絡系統(tǒng)自身存在的脆弱性和不穩(wěn)定性，使國家的經濟和國防安全變得毫無保障可言。一旦計算機網(wǎng)絡受到攻擊而不能正常工作，甚至癱瘓，整個社會就會陷入危機。故此，對計算機網(wǎng)絡安全的關注也是當今社會必不可少的研究課題。關鍵詞： 網(wǎng)絡安全; 策略 ; 黑客;后門; 信息加密;防火墻正文1、計算機網(wǎng)絡安全計算機網(wǎng)絡是計算機技術和通信技術相結合的產物，它是利用通信設備和線路，將分布在不同地理位置、功能相互獨立的多個計算機系統(tǒng)連接起來，實現(xiàn)信息傳遞、資源共享、分布式處理的系統(tǒng)。網(wǎng)絡安全包括物理安全和邏輯安全。物理安全指網(wǎng)絡系統(tǒng)中各通信、計算機設備及相關設施的

3、物理保護，免于破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認性和可用性。它是一個涉及網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、人員管理等方方面面的事情，必須綜合考慮。2、計算機網(wǎng)絡安全的現(xiàn)狀隨著國民經濟信息化的迅速發(fā)展，人們對網(wǎng)絡信息安全的要求越來越迫切，尤其自Internet得到普遍應用以來，人類社會對計算機的依賴程度達到了空前的記錄。但是由于計算機網(wǎng)絡系統(tǒng)自身存在的脆弱性和不穩(wěn)定性，使國家的經濟和國防安全變得毫無保障可言。一旦計算機網(wǎng)絡受到攻擊而不能正常工作，甚至癱瘓，整個社會就會陷入危機。故此，對計算機網(wǎng)絡安全的關注也是當今社會必不可少的研究課題。 據(jù)了解，公安機關受理各類信息網(wǎng)絡違法犯罪

4、案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡基礎設施和網(wǎng)絡應用依賴于外國的產品和技術，很多人對網(wǎng)絡安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡安全缺乏整體意識。計算機信息系統(tǒng)之所以存在著脆弱性，主要是由于技術本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等。計算機信息系統(tǒng)受到的威脅和攻擊，除自然災害外，主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)故障等。因此，網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。當今網(wǎng)絡在安全攻擊面前顯得如此脆弱源于以下幾個方面的原因：

5、第一，TCP/IP的脆弱性。 因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。 第二，網(wǎng)絡結構的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經過很多機器重重轉發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。 第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、

6、口令和傳輸?shù)奈募M行竊聽。 第四，缺乏安全意識。雖然網(wǎng)絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。3、計算機網(wǎng)絡面臨的威脅信息安全是一個非常關鍵而又復雜的問題。計算機信息系統(tǒng)安全指計算機信息系統(tǒng)資產(包括網(wǎng)絡)的安全，即計算機信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。計算機信息系統(tǒng)受到的威脅和攻擊除自然災害外，主要來自計算機病毒、黑客攻擊、和計算機系統(tǒng)故障等。由于計算機信息系統(tǒng)已經成為信息社會另一種形式的“金庫”和“保密室”，因而，成為一些人窺視的

7、目標。再者，由于計算機信息系統(tǒng)自身所固有的脆弱性，使計算機信息系統(tǒng)面臨威脅和攻擊的考驗。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面：(1)自然災害,一些自然災害，諸如地震、海嘯、火山噴發(fā)等等不可抗力的自然因素導致的網(wǎng)絡電纜、光纜的損毀，從而導致網(wǎng)絡的癱瘓。(2)網(wǎng)絡軟件的漏洞和“后門”。黑客進行攻擊的首選目標是網(wǎng)絡軟件中存在的漏洞和“后門”。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。(3)黑客的攻擊。黑客攻擊通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關敏感性重要信息，修改和破壞信息網(wǎng)絡的正常使

8、用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經濟損失。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機會，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡本身的不完善性和缺陷，成為被攻擊的目標或利用為攻擊的途徑。(4)計算機病毒。計算機病毒將自己附在其他程序上，在這些程序運行時進人到系統(tǒng)中進行擴散。計算機感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。(5)間諜軟件。與計算機病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系

9、統(tǒng)設置，威脅用戶隱私和計算機安全，并可能小同程度的影響系統(tǒng)性。4、計算機網(wǎng)絡安全防范策略 4.1、物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。 4.2、訪問控制策略訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段，可以說是保證網(wǎng)絡安全最重要的核心策略之一。下面我們分述各種

10、訪問控制策略。4.2.1、入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網(wǎng)絡。4.2.2、網(wǎng)絡的權限控制網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其

11、兩種實現(xiàn)方式。4.2.3、目錄級安全控制網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。用戶對文件或目標的有效權限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。4.2.4、屬性安全控制當用文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網(wǎng)

12、絡上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網(wǎng)絡資源的訪問能力。4.2.5、網(wǎng)絡服務器安全控制網(wǎng)絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。4.2.6、網(wǎng)絡監(jiān)測和鎖定控制網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控，服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。如果不法之徒試圖進入網(wǎng)絡，

13、網(wǎng)絡服務器應會自動記錄企圖嘗試進入網(wǎng)絡的次數(shù)，如果非法訪問的次數(shù)達到設定數(shù)值，那么該賬戶將被自動鎖定。4.2.7、防火墻控制防火墻是指一個由軟件或和硬件設備組合而成，處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間，限制外界用戶對內部網(wǎng)絡訪問及管理內部用戶訪問外界網(wǎng)絡的權限。以下是兩個主要類防火墻: 網(wǎng)絡層防火墻和 應用層防火墻。網(wǎng)絡層防火墻網(wǎng)絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則通?？梢越浻晒芾韱T定義或修改，不過某些防火墻設備可能只能套用內置的規(guī)則。應用層防火墻應用層防火墻是

14、在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。典型的防火墻具有以下三個方面的基本特性：（一）內部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經過防火墻（二）只有符合安全策略的數(shù)據(jù)流才能通過防火墻（三）防火墻自身應具有非常強的抗攻擊免疫力防火墻能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份

15、認證)配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網(wǎng)絡的劃分，可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。 4.3、信息加密策略數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來，通過這樣的途徑來達到保護數(shù)據(jù)不被非法人

16、竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉化為其原來數(shù)據(jù)的過程。 加密技術通常分為兩大類：“對稱式”和“非對稱式”。 對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“Session Key ”這種加密技術被廣泛采用，如美國政府所采用的DES加密標準就是一種典型的“對稱式”加密法，它的Session Key長度為56Bits。 非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有人一個人知道。它的優(yōu)越性就在這里，因為對稱式的加密方法如果是

17、在上傳輸加密文件就很難把密鑰告訴對方，不管用什么方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰，且其中的“公鑰”是可以公開的，也就不怕別人知道，收件人解密時只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性。 目前世界上最流行的幾種加密體制和加密算法有：RSA算法和CCEP算法等。為防止破密，加密軟件還常采用硬件加密和加密軟盤。一些軟件商品常帶有一種小的硬卡，這就是硬件加密措施。在軟盤上用激光穿孔，使軟件的存儲區(qū)有不為人所知的局部存壞，就可以防止非法復制。這樣的加密軟盤可以為不掌握加密技術的人員使用，以保護軟件。 加密技術的發(fā)展：1.密碼專用芯片集成密碼技術是信息安全的核心技術

18、，無處不在，目前已經滲透到大部分安全產品之中，正向芯片化方向發(fā)展。在芯片設計制造方面，目前微電子水平已經發(fā)展到0.1微米工藝以下，芯片設計的水平很高。我國在密碼專用芯片領域的研究起步落后于國外，近年來我國集成電路產業(yè)技術的創(chuàng)新和自我開發(fā)能力得到了提高，微電子工業(yè)得到了發(fā)展，從而推動了密碼專用芯片的發(fā)展。加快密碼專用芯片的研制將會推動我國信息安全系統(tǒng)的完善。2.量子加密技術的研究量子技術在密碼學上的應用分為兩類：一是利用量子計算機對傳統(tǒng)密碼體制的分析；二是利用單光子的測不準原理在光纖級實現(xiàn)密鑰管理和信息加密，即量子密碼學。量子計算機是一種傳統(tǒng)意義上的超大規(guī)模并行計算系統(tǒng)，利用量子計算機可以在幾秒

19、鐘內分解RSA129的公鑰。信息安全問題涉及到國家安全、社會公共安全，世界各國已經認識到信息安全涉及重大國家利益，是互聯(lián)網(wǎng)經濟的制高點，也是推動互聯(lián)網(wǎng)發(fā)展、電子政務和電子商務的關鍵，發(fā)展信息安全技術是目前面臨的迫切要求。5.結束語網(wǎng)絡環(huán)境的復雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡安全威脅的客觀存在。我國日益開放并融入世界，但加強安全監(jiān)管和建立保護屏障不可或缺。本文簡要的分析了計算機網(wǎng)絡存在的幾種安全隱患，并探討了計算機網(wǎng)絡的幾種安全防范措施?？偟膩碚f，網(wǎng)絡安全不僅僅是技術問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡系統(tǒng)，隨著計算機網(wǎng)絡技術的進一步發(fā)展，網(wǎng)絡安全防護技術也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。 6.參考文獻：1、劉占全網(wǎng)絡管理與防火墻M北京：人民郵電出版社，1999 2、劉禎祥. 計算機網(wǎng)絡安全概述J. 計算機安全, 2007,(07)3、張紅旗信息網(wǎng)絡安全M清華大學出版社，2002