信息管理畢業(yè)論文計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)

濰坊工程職業(yè)學(xué)院畢業(yè)論文題目計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)學(xué)號(hào)200903111姓名董建賓班級(jí)2009級(jí)信息管理班專業(yè)信息管理指導(dǎo)教師趙培元目錄摘要1第一章網(wǎng)絡(luò)安全的定義1第二章網(wǎng)絡(luò)安全的威脅121內(nèi)部竊密和破壞122非法訪問123破壞信息的完整性224截收225冒充226破壞系統(tǒng)的可用性227重演228抵賴229其它威脅2第三章計(jì)算機(jī)安全技術(shù)231利用防火墻來阻止網(wǎng)絡(luò)攻擊232數(shù)據(jù)加密技術(shù)333入侵檢測技術(shù)334防病毒技術(shù)335IP盜用問題的解決336利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全4第四章網(wǎng)絡(luò)安全分析441物理安全442網(wǎng)絡(luò)結(jié)構(gòu)安全443系統(tǒng)安全444網(wǎng)絡(luò)安全545應(yīng)用安全546管理安全風(fēng)險(xiǎn)547安全管理548構(gòu)建CA體系6第五章計(jì)算機(jī)病毒的特性651非授權(quán)可執(zhí)行性652隱蔽性753傳染性754潛伏性755表現(xiàn)性或破壞性756可觸發(fā)性7第六章校園網(wǎng)安全設(shè)計(jì)方案861校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)概述862校園網(wǎng)安全威脅分析863校園網(wǎng)安全方案設(shè)計(jì)9參考文獻(xiàn)12致謝12摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，INTERNET的全球普及化以及通信網(wǎng)絡(luò)的規(guī)模日益擴(kuò)大，使得計(jì)算機(jī)網(wǎng)絡(luò)安全問題引起了人們的極大重視。該文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題進(jìn)行了深入探討，并提出了對(duì)應(yīng)的改進(jìn)和防范措施。關(guān)鍵詞計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)入侵；信息安全；病毒；對(duì)策隨著INTERNET技術(shù)發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)正在逐步改變?nèi)藗兊纳a(chǎn)、生活及工作方式。在計(jì)算機(jī)網(wǎng)絡(luò)迅速普及的過程中計(jì)算機(jī)安全隱患日益變得突出。這就要求我們必須采取強(qiáng)有力的措施來保證計(jì)算機(jī)網(wǎng)絡(luò)的安全本文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了初步探討與分析。計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施保證在一個(gè)網(wǎng)絡(luò)環(huán)境里數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。但是由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、共享性、國際性的特點(diǎn)使其比較脆弱。為了解決這個(gè)問題現(xiàn)在人們主要針對(duì)數(shù)據(jù)加密技術(shù)、身份認(rèn)證、防火墻、管理等方面進(jìn)行了研究。第一章網(wǎng)絡(luò)安全的定義安全包括五個(gè)基本要素機(jī)密性、完整性、可用性、可控性與可審查性。機(jī)密性確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。完整性只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否可用性?？煽匦钥梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾詫?duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。第二章網(wǎng)絡(luò)安全的威脅21內(nèi)部竊密和破壞內(nèi)部人員可能對(duì)網(wǎng)絡(luò)系統(tǒng)形成下列威脅內(nèi)部涉莧嗽庇幸饣蛭摶廡姑堋募鍬夾畔荒誆糠鞘諶嗽庇幸馕摶饌登曰芐畔耐緡渲煤圖鍬夾畔荒誆咳嗽逼蘋低縵低場2非法訪問非法訪問指的是未經(jīng)授使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源，它包括非法用戶如黑客進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作，合法用戶以未授權(quán)的方式進(jìn)行操作。123破壞信息的完整性攻擊可能從三個(gè)方面破壞信息的完整性改變信息流的次序、時(shí)序，更改信息的內(nèi)容、形式；刪除某個(gè)消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯(cuò)誤的信息。24截收攻擊者可能通過搭線或在電磁波輻射的范圍內(nèi)安裝截收裝置等方式，截獲機(jī)密信息，或通過對(duì)信息流和流向、通信頻度和長度等參數(shù)的分析，推出有用信息。它不破壞傳輸信息的內(nèi)容，不易被查覺。25冒充攻擊者可能進(jìn)行下列冒充冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱文件；冒充主機(jī)欺騙合法主機(jī)及合法用戶；冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、口令、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源；接管合法用戶、欺騙系統(tǒng)、占用合法用戶的資源。26破壞系統(tǒng)的可用性攻擊者可能從下列幾個(gè)方面破壞網(wǎng)絡(luò)系統(tǒng)的可用性使合法用戶不能正常訪問網(wǎng)絡(luò)資源；使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)；摧毀系統(tǒng)。27重演重演指的是攻擊者截獲并錄制信息，然后在必要的時(shí)候重發(fā)或反復(fù)發(fā)送這些信息。28抵賴可能出現(xiàn)下列抵賴行為發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息；發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息的內(nèi)容；發(fā)信者事后否認(rèn)曾經(jīng)接收過某條消息；發(fā)信者事后否認(rèn)曾經(jīng)接收過某條消息的內(nèi)容。29其它威脅對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅還包括計(jì)算機(jī)病毒、電磁泄漏、各種災(zāi)害、操作失誤等。第三章計(jì)算機(jī)安全技術(shù)31利用防火墻來阻止網(wǎng)絡(luò)攻擊QUOT防火墻QUOT一方面阻止外界對(duì)內(nèi)部網(wǎng)絡(luò)資源的非法訪問另一方面也可以防止系統(tǒng)內(nèi)2部對(duì)外部系統(tǒng)的不安全訪問實(shí)現(xiàn)防火墻的主要技術(shù)有數(shù)據(jù)包過濾應(yīng)用級(jí)網(wǎng)關(guān)代理服務(wù)和地址轉(zhuǎn)換32數(shù)據(jù)加密技術(shù)從密碼體制方面而言加密技術(shù)可分為對(duì)稱密鑰密碼體制和非對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼技術(shù)要求加密解密雙方擁有相同的密鑰由于加密和解密使用同樣的密鑰所以加密方和解密方需要進(jìn)行會(huì)話密鑰的密鑰交換會(huì)話密鑰的密鑰交換通常采用數(shù)字信封方式即將會(huì)話密鑰用解密方的公鑰加密傳給解密方解密方再用自己的私鑰將會(huì)話密鑰還原對(duì)稱密鑰密碼技術(shù)的應(yīng)用在于數(shù)據(jù)加密非對(duì)稱密鑰密碼技術(shù)是加密解密雙方擁有不同的密鑰在不知道特定信息的情況下加密密鑰和解密密鑰在計(jì)算機(jī)上是不能相互算出的加密解密雙方各只有一對(duì)私鑰和公鑰非對(duì)稱密鑰密碼技術(shù)的應(yīng)用比較廣泛可以進(jìn)行數(shù)據(jù)加密身份鑒別訪問控制數(shù)字簽名數(shù)據(jù)完整性驗(yàn)證版權(quán)保護(hù)等33入侵檢測技術(shù)入侵檢測系統(tǒng)可以分為兩類分別基于網(wǎng)絡(luò)和基于主機(jī)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要采用被動(dòng)方法收集網(wǎng)絡(luò)上的數(shù)據(jù)目前在實(shí)際環(huán)境中應(yīng)用較多的是基于主機(jī)的入侵檢測系統(tǒng)它把監(jiān)測器以軟件模塊的形式直接安插在了受管服務(wù)器的內(nèi)部它除了繼續(xù)保持基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的功能和優(yōu)點(diǎn)外可以不受網(wǎng)絡(luò)協(xié)議速率和加密的影響直接針對(duì)主機(jī)和內(nèi)部的信息系統(tǒng)同時(shí)還具有基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)所不具備的檢查特洛伊木馬監(jiān)視特定用戶監(jiān)視與誤操作相關(guān)的行為變化等功能34防病毒技術(shù)隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展計(jì)算機(jī)病毒變得越來越復(fù)雜和高級(jí)其擴(kuò)散速度也越來越快對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成極大的威脅在病毒防范中普遍使用的防病毒軟件從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類單機(jī)防病毒軟件一般安裝在單臺(tái)PC上它們主要注重于所謂的QUOT單機(jī)防病毒QUOT即對(duì)本地和本工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測清除病毒網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源感染網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測到并加以刪除35IP盜用問題的解決在路由器上捆綁IP和MAC地址當(dāng)某個(gè)IP通過路由器訪問INTERNET時(shí)路由器3要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符如果相符就放行否則不允許通過路由器同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息36利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全對(duì)于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力在這種情況下我們可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽程序該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份第四章網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)與信息安全指的是按照網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)，通過從不同的網(wǎng)絡(luò)層次、不同的系統(tǒng)應(yīng)用，采取不同的措施，進(jìn)行完善和防御，是一個(gè)立體的體系結(jié)構(gòu)，涉及多個(gè)方面內(nèi)容。通過對(duì)網(wǎng)絡(luò)體系結(jié)構(gòu)的全面了解，按照安全風(fēng)險(xiǎn)、需求分析結(jié)果、安全策略以及網(wǎng)絡(luò)的安全目標(biāo)。具體的安全控制系統(tǒng)從以下幾個(gè)方面分述物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、安全管理。41物理安全網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的保障和前提。由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程耐壓值很低。虼嗽諭綣痰納杓浦斜匭胗畔瓤悸峭縞璞覆皇艿紜鷦幀諄韉茸勻輝趾那質(zhì)礎(chǔ)芴謇此滴錮戇踩縵罩饕械卣稹幀鷦幀椎緄然肪呈鹿室虼艘勘苊饌緄奈錮戇踩縵斬約撲慊斐繕?biāo)?網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)是否合理也是影響網(wǎng)絡(luò)系統(tǒng)的安全性的因素。假如進(jìn)行外部和內(nèi)部網(wǎng)絡(luò)通信時(shí)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)安全就會(huì)受到威脅同時(shí)對(duì)同一網(wǎng)絡(luò)上的其他系統(tǒng)也有影響。影響所及還可能涉及法律、金融、政府等安全敏感領(lǐng)域。因此在網(wǎng)絡(luò)設(shè)計(jì)時(shí)有必要將公開服務(wù)器WEB、DNS、EMAIL等和外網(wǎng)進(jìn)行必要的隔離避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄。還要對(duì)外網(wǎng)的服務(wù)器加以過濾只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)。43系統(tǒng)安全系統(tǒng)安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)的構(gòu)建是否可靠且值得信任。然而4目前沒有絕對(duì)安全的操作系統(tǒng)無論是WINDOWSNT、VISTA、或者其它任何商用UNIXXP操作系統(tǒng)用戶在不同的使用途徑下都會(huì)使其產(chǎn)生系統(tǒng)漏洞。因此不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析在選擇操作系統(tǒng)時(shí)要周密的對(duì)其進(jìn)行安全設(shè)置。不但要選用盡可能可靠的操作系統(tǒng)和硬件并對(duì)操作系統(tǒng)進(jìn)行安全配置且必須加強(qiáng)登錄過程的用戶認(rèn)證以確保用戶的合法性。44網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)中通信基礎(chǔ)協(xié)議、操作系統(tǒng)和應(yīng)用系統(tǒng)等可用性以及使用合法性的保證。例如網(wǎng)絡(luò)阻塞防護(hù)、非法入侵防護(hù)、計(jì)算機(jī)病毒防護(hù)等。系統(tǒng)安全保障的核心技術(shù)包括身份認(rèn)證、授權(quán)管理、日志審計(jì)、系統(tǒng)漏洞檢測、防病毒、入侵防護(hù)等一系列技術(shù)，其中完整的入侵防護(hù)技術(shù)主要包括入侵防范、入侵檢測、事件響應(yīng)、系統(tǒng)恢復(fù)等過程。網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)信息的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安全，入侵檢測的手段等。45應(yīng)用安全內(nèi)部資源共享安全嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。對(duì)有經(jīng)常交換信息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。信息存儲(chǔ)對(duì)有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份。46管理安全風(fēng)險(xiǎn)管理也是網(wǎng)絡(luò)中安全系統(tǒng)的重要部分。責(zé)權(quán)不明和安全管理制度不健全等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它安全威脅行為時(shí)計(jì)算機(jī)就無法進(jìn)行實(shí)時(shí)檢測、監(jiān)控和保護(hù)。當(dāng)安全事故發(fā)生后也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)即對(duì)網(wǎng)絡(luò)的可控性出現(xiàn)缺失。這就要求相關(guān)人員必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多次、詳盡的記錄以及時(shí)發(fā)現(xiàn)威脅行為。47安全管理僅有安全技術(shù)防范，而無嚴(yán)格的安全管理體系相配套，難以保障網(wǎng)絡(luò)系統(tǒng)安全。必5須制定一系列安全管理制度，對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理。實(shí)現(xiàn)安全管理應(yīng)遵循以下幾個(gè)原則可操作性、全局性、動(dòng)態(tài)性、管理與技術(shù)的有機(jī)結(jié)合、責(zé)權(quán)分明、分權(quán)制約、安全管理的制度化。具體工作是制定健全的安全管理體制制定健全的安全管理體制將是網(wǎng)絡(luò)安全得以實(shí)現(xiàn)的重要保證，可以根據(jù)自身的實(shí)際情況，制定如安全操作流程、安全事故的獎(jiǎng)罰制度以及對(duì)任命安全管理人員的考查等。制訂和完善安全管理制度根據(jù)從事工作的重要程度，確定安全管理的范圍，制定安全管理制度，對(duì)操作人員進(jìn)行約束和管理。對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。制訂和完善系統(tǒng)維護(hù)制度對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。制訂應(yīng)急措施當(dāng)網(wǎng)絡(luò)安全事故發(fā)生時(shí)，啟動(dòng)應(yīng)急措施，盡快恢復(fù)系統(tǒng)運(yùn)行，使損失減至最小。增強(qiáng)人員的安全防范意識(shí)應(yīng)該經(jīng)常對(duì)單位員工進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn)，全面提高員工的整體網(wǎng)絡(luò)安全防范意識(shí)。48構(gòu)建CA體系針對(duì)信