毕业论文-计算机网络安全策略

XX大学毕业设计（论文）题目（中文）：计算机网络安全防范策略院（系）：计算机系专业：计算机应用技术学生姓名：XXX学号：2006050XXXX指导教师：XXX2009年05月15日目录摘要………………………………………………………………………2关键字………………………………………………………………………2正文1.计算机网络安全…………………………………………………………32.计算机网络安全的现状…………………………………………………33.计算机网络面临的威胁…………………………………………………44.计算机网络安全防范策略………………………………………………54.1.物理安全策略……………………………………………………54.2.访问控制策略……………………………………………………54.3.信息加密策略……………………………………………………65.结束语…………………………………………………………………76参考文献（References）………………………………………………7内容摘要：随着国民经济信息化的迅速发展，人们对网络信息安全的要求越来越迫切，尤其自Internet得到普遍应用以来，人类社会对计算机的依赖程度达到了空前的记录。但是由于计算机网络系统自身存在的脆弱性和不稳定性，使国家的经济和国防安全变得毫无保障可言。一旦计算机网络受到攻击而不能正常工作，甚至瘫痪，整个社会就会陷入危机。故此，对计算机网络安全的关注也是当今社会必不可少的研究课题。关键词：网络安全;策略;黑客;后门;信息加密;防火墙正文1、计算机网络安全计算机网络是计算机技术和通信技术相结合的产物，它是利用通信设备和线路，将分布在不同地理位置、功能相互独立的多个计算机系统连接起来，实现信息传递、资源共享、分布式处理的系统。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护，免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它是一个涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的事情，必须综合考虑。2、计算机网络安全的现状随着国民经济信息化的迅速发展，人们对网络信息安全的要求越来越迫切，尤其自Internet得到普遍应用以来，人类社会对计算机的依赖程度达到了空前的记录。但是由于计算机网络系统自身存在的脆弱性和不稳定性，使国家的经济和国防安全变得毫无保障可言。一旦计算机网络受到攻击而不能正常工作，甚至瘫痪，整个社会就会陷入危机。故此，对计算机网络安全的关注也是当今社会必不可少的研究课题。据了解，公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。计算机信息系统之所以存在着脆弱性，主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等。计算机信息系统受到的威胁和攻击，除自然灾害外，主要来自计算机犯罪、计算机病毒、黑客攻击、信息战争和计算机系统故障等。因此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因：第一，TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。第二，网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。第三，易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。第四，缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。3、计算机网络面临的威胁信息安全是一个非常关键而又复杂的问题。计算机信息系统安全指计算机信息系统资产(包括网络)的安全，即计算机信息系统资源(硬件、软件和信息)不受自然和人为有害因素的威胁和危害。计算机信息系统受到的威胁和攻击除自然灾害外，主要来自计算机病毒、黑客攻击、和计算机系统故障等。由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”，因而，成为一些人窥视的目标。再者，由于计算机信息系统自身所固有的脆弱性，使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面：(1)自然灾害,一些自然灾害，诸如地震、海啸、火山喷发等等不可抗力的自然因素导致的网络电缆、光缆的损毁，从而导致网络的瘫痪。(2)网络软件的漏洞和“后门”。黑客进行攻击的首选目标是网络软件中存在的漏洞和“后门”。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。(3)黑客的攻击。黑客攻击通常采用非法侵人重要信息系统，窃听、获取、攻击侵人网的有关敏感性重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。黑客问题的出现，并非黑客能够制造入侵的机会，从没有路的地方走出一条路，只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷，成为被攻击的目标或利用为攻击的途径。(4)计算机病毒。计算机病毒将自己附在其他程序上，在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后，轻则使系统上作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。(5)间谍软件。与计算机病毒不同，间谍软件的主要目的不在于对系统造成破坏，而是窃取系统或是用户信息。间谍软件的功能繁多，它可以监视用户行为，或是发布广告，修改系统设置，威胁用户隐私和计算机安全，并可能小同程度的影响系统性。4、计算机网络安全防范策略4.1、物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。4.2、访问控制策略访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段，可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。4.2.1、入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。4.2.2、网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。4.2.3、目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。4.2.4、属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。4.2.5、网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。4.2.6、网络监测和锁定控制网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。4.2.7、防火墙控制防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。以下是两个主要类防火墙:网络层防火墙和应用层防火墙。网络层防火墙网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。应用层防火墙应用层防火墙是在TCP/IP堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。典型的防火墙具有以下三个方面的基本特性：（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙（二）只有符合安全策略的数据流才能通过防火墙（三）防火墙自身应具有非常强的抗攻击免疫力防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。4.3、信息加密策略数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。加密技术通常分为两大类：“对称式”和“非对称式”。对称式加密就是加密和解密使用同一个密钥，通常称之为“SessionKey”这种加密技术被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的SessionKey长度为56Bits。非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。它的优越性就在这里，因为对称式的加密方法如果是在上传输加密文件就很难把密钥告诉对方，不管用什么方法都