XX大學(xué)畢業(yè)設(shè)計（論文）題目（中文）： 計算機網(wǎng)絡(luò)安全防范策略 院（系）： 計算機系 專 業(yè)： 計算機應(yīng)用技術(shù) 學(xué)生姓名： XXX 學(xué) 號： 2006050XXXX 指導(dǎo)教師： XXX 2009年05 月15 日目 錄摘要 2關(guān)鍵字 2 正文1.計算機網(wǎng)絡(luò)安全 32.計算機網(wǎng)絡(luò)安全的現(xiàn)狀 33.計算機網(wǎng)絡(luò)面臨的威脅 44.計算機網(wǎng)絡(luò)安全防范策略 5 4.1.物理安全策略 5 4.2.訪問控制策略 5 4.3.信息加密策略 65.結(jié)束語 76參考文獻（References） 7內(nèi)容摘要： 隨著國民經(jīng)濟信息化的迅速發(fā)展，人們對網(wǎng)絡(luò)信息安全的要求越來越迫切，尤其自Internet得到普遍應(yīng)用以來，人類社會對計算機的依賴程度達到了空前的記錄。但是由于計算機網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性和不穩(wěn)定性，使國家的經(jīng)濟和國防安全變得毫無保障可言。一旦計算機網(wǎng)絡(luò)受到攻擊而不能正常工作，甚至癱瘓，整個社會就會陷入危機。故此，對計算機網(wǎng)絡(luò)安全的關(guān)注也是當(dāng)今社會必不可少的研究課題。關(guān)鍵詞： 網(wǎng)絡(luò)安全; 策略 ; 黑客;后門; 信息加密;防火墻正文1、計算機網(wǎng)絡(luò)安全計算機網(wǎng)絡(luò)是計算機技術(shù)和通信技術(shù)相結(jié)合的產(chǎn)物，它是利用通信設(shè)備和線路，將分布在不同地理位置、功能相互獨立的多個計算機系統(tǒng)連接起來，實現(xiàn)信息傳遞、資源共享、分布式處理的系統(tǒng)。網(wǎng)絡(luò)安全包括物理安全和邏輯安全。物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信、計算機設(shè)備及相關(guān)設(shè)施的物理保護，免于破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認性和可用性。它是一個涉及網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員管理等方方面面的事情，必須綜合考慮。2、計算機網(wǎng)絡(luò)安全的現(xiàn)狀隨著國民經(jīng)濟信息化的迅速發(fā)展，人們對網(wǎng)絡(luò)信息安全的要求越來越迫切，尤其自Internet得到普遍應(yīng)用以來，人類社會對計算機的依賴程度達到了空前的記錄。但是由于計算機網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性和不穩(wěn)定性，使國家的經(jīng)濟和國防安全變得毫無保障可言。一旦計算機網(wǎng)絡(luò)受到攻擊而不能正常工作，甚至癱瘓，整個社會就會陷入危機。故此，對計算機網(wǎng)絡(luò)安全的關(guān)注也是當(dāng)今社會必不可少的研究課題。 據(jù)了解，公安機關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù)，很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡(luò)安全缺乏整體意識。計算機信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等。計算機信息系統(tǒng)受到的威脅和攻擊，除自然災(zāi)害外，主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)故障等。因此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。當(dāng)今網(wǎng)絡(luò)在安全攻擊面前顯得如此脆弱源于以下幾個方面的原因：第一，TCP/IP的脆弱性。 因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。 第二，網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。 第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。 第四，缺乏安全意識。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。3、計算機網(wǎng)絡(luò)面臨的威脅信息安全是一個非常關(guān)鍵而又復(fù)雜的問題。計算機信息系統(tǒng)安全指計算機信息系統(tǒng)資產(chǎn)(包括網(wǎng)絡(luò))的安全，即計算機信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。計算機信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外，主要來自計算機病毒、黑客攻擊、和計算機系統(tǒng)故障等。由于計算機信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”，因而，成為一些人窺視的目標。再者，由于計算機信息系統(tǒng)自身所固有的脆弱性，使計算機信息系統(tǒng)面臨威脅和攻擊的考驗。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面：(1)自然災(zāi)害,一些自然災(zāi)害，諸如地震、海嘯、火山噴發(fā)等等不可抗力的自然因素導(dǎo)致的網(wǎng)絡(luò)電纜、光纜的損毀，從而導(dǎo)致網(wǎng)絡(luò)的癱瘓。(2)網(wǎng)絡(luò)軟件的漏洞和“后門”。黑客進行攻擊的首選目標是網(wǎng)絡(luò)軟件中存在的漏洞和“后門”。另外，軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。(3)黑客的攻擊。黑客攻擊通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機會，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡(luò)本身的不完善性和缺陷，成為被攻擊的目標或利用為攻擊的途徑。(4)計算機病毒。計算機病毒將自己附在其他程序上，在這些程序運行時進人到系統(tǒng)中進行擴散。計算機感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。(5)間諜軟件。與計算機病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計算機安全，并可能小同程度的影響系統(tǒng)性。4、計算機網(wǎng)絡(luò)安全防范策略 4.1、物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。 4.2、訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段，可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問控制策略。4.2.1、入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。4.2.2、網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM）可作為其兩種實現(xiàn)方式。4.2.3、目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。用戶對文件或目標的有效權(quán)限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。4.2.4、屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。4.2.5、網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。4.2.6、網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該賬戶將被自動鎖定。4.2.7、防火墻控制防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。以下是兩個主要類防火墻: 網(wǎng)絡(luò)層防火墻和 應(yīng)用層防火墻。網(wǎng)絡(luò)層防火墻網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。應(yīng)用層防火墻應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。典型的防火墻具有以下三個方面的基本特性：（一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻（二）只有符合安全策略的數(shù)據(jù)流才能通過防火墻（三）防火墻自身應(yīng)具有非常強的抗攻擊免疫力防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。 4.3、信息加密策略數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來，通過這樣的途徑來達到保護數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。 加密技術(shù)通常分為兩大類：“對稱式”和“非對稱式”。 對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“Session Key ”這種加密技術(shù)被廣泛采用，如美國政府所采用的DES加密標準就是一種典型的“對稱式”加密法，它的Session Key長度為56Bits。 非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有人一個人知道。它的優(yōu)越性就在這里，因為對稱式的加密方法如果是在上傳輸加密文件就很難把密鑰告訴對方，不管用什么方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰，且其中的“公鑰”是可以公開的，也就不怕別人知道，收件人解密時只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性。 目前世界上最流行的幾種加密體制和加密算法有："RSA算法"和"CCEP算法"等。為防止破密，加密軟件還常采用硬件加密和加密軟盤。一些軟件商品常帶有一種小的硬卡，這就是硬件加密措施。在軟盤上用激光穿孔，使軟件的存儲區(qū)有不為人所知的局部存壞，就可以防止非法復(fù)制。這樣的加密軟盤可以為不掌握加密技術(shù)的人員使用，以保護軟件。 加密技術(shù)的發(fā)展：1.密碼專用芯片集成密碼技術(shù)是信息安全的核心技術(shù)，無處不在，目前已經(jīng)滲透到大部分安全產(chǎn)品之中，正向芯片化方向發(fā)展。在芯片設(shè)計制造方面，目前微電子水平已經(jīng)發(fā)展到0.1微米工藝以下，芯片設(shè)計的水平很高。我國在密碼專用芯片領(lǐng)域的研究起步落后于國外，近年來我國集成電路產(chǎn)業(yè)技術(shù)的創(chuàng)新和自我開發(fā)能力得到了提高，微電子工業(yè)得到了發(fā)展，從而推動了密碼專用芯片的發(fā)展。加快密碼專用芯片的研制將會推動我國信息安全系統(tǒng)的完善。2.量子加密技術(shù)的研究量子技術(shù)在密碼學(xué)上的應(yīng)用分為兩類：一是利用量子計算機對傳統(tǒng)密碼體制的分析；二是利用單光子的測不準原理在光纖級實現(xiàn)密鑰管理和信息加密，即量子密碼學(xué)。量子計算機是一種傳統(tǒng)意義上的超大規(guī)模并行計算系統(tǒng)，利用量子計算機可以在幾秒鐘內(nèi)分解RSA129的公鑰。信息安全問題涉及到國家安全、社會公共安全，世界各國已經(jīng)認識到信息安全涉及重大國家利益，是互聯(lián)網(wǎng)經(jīng)濟的制高點，也是推動互聯(lián)網(wǎng)發(fā)展、電子政務(wù)和電子商務(wù)的關(guān)鍵，發(fā)展信息安全技術(shù)是目前面臨的迫切要求。5.結(jié)束語網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。我國日益開放并融入世界，但加強安全監(jiān)管和建立保護屏障不可或缺。本文簡要的分析了計算機網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計算機網(wǎng)絡(luò)的幾種安全防范措施?？偟膩碚f，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展，網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。 6.參考文獻：1、劉占全網(wǎng)絡(luò)管理與防火墻M北京：人民郵電出版社，1999 2、劉禎祥. 計算機網(wǎng)絡(luò)安全概述J. 計算機安全, 2007,(07)3、張紅旗信息網(wǎng)絡(luò)安全M清華大學(xué)出版社，2002