論文：淺析計算機網(wǎng)絡安全的威脅及其防范措施

1、淺析計算機網(wǎng)絡安全的威脅及其防范措施指導老師：魯恩銘1網(wǎng)絡安全是什么？1、什么是網(wǎng)絡安全？2、網(wǎng)絡安全的威脅有那些？3、網(wǎng)絡安全的主要防范措施有那些？4、幾個網(wǎng)絡安全的認識誤區(qū)。21、什么是網(wǎng)絡安全？網(wǎng)絡安全的定義。 網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。 網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應

2、用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。3、保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特 性。 、完整性：數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸 過程中保持不被修改、不被破壞和丟失的特性。 、可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)正常運行等都屬于對可用性的攻擊。 、可控性：對信息的傳播及內(nèi)容具有控制能力。 、可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段 。1.2 網(wǎng)絡安全的特征。4、物理安全分析 。 網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的前提網(wǎng)絡工程的設計和施工中應注意網(wǎng)絡設備不受雷擊、火災、盜

3、竊等自然及人為的威脅。、網(wǎng)絡結構的安全分析 。 網(wǎng)絡拓撲結構設計也直接影響到網(wǎng)絡系統(tǒng)的安全性。我們在設計時有必要將公開服務器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務網(wǎng)絡進行必要的隔離，避免網(wǎng)絡結構信息外泄；同時還要對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其它的請求服務到達主機之前就應該招到拒絕。、系統(tǒng)的安全分析。 所謂系統(tǒng)的安全是指整個網(wǎng)絡操作系統(tǒng)和網(wǎng)絡硬件平臺是否可靠且值得信任。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操

4、作權限，將其完成的操作限制在最小的范圍內(nèi)。 網(wǎng)絡安全分析 5、應用系統(tǒng)的安全分析 。 應用系統(tǒng)的安全跟具體的應用有關，它涉及面廣。應用系統(tǒng)的安全是動態(tài)的不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。 應用系統(tǒng)的安全是動態(tài)的、不斷變化的。在應用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的安全性。應用的安全性涉及到信息、數(shù)據(jù)的安全性。信息的安全性涉及到機密信息泄露、未經(jīng)授權的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。因此，對用戶使用計算機必須進行身份認證，對于重要信息的通訊必須授權，傳輸必須加密。采用多層次的訪問

5、控制與權限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護；采用加密技術，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機密性與完整性。、管理的安全風險分析。 管理是網(wǎng)絡中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。 62、網(wǎng)絡安全的威脅有那些？影響網(wǎng)絡的安全因素。1. 信息泄密。

6、主要表現(xiàn)為網(wǎng)絡上的信息被竊聽,這種僅竊聽而不破壞網(wǎng)絡中傳輸信息的網(wǎng)絡侵犯者被稱為消極侵犯者。2. 信息被篡改。這是純粹的信息破壞,這樣的網(wǎng)絡侵犯被稱為積極侵犯者。積極侵犯者截取網(wǎng)上的信息包,并對之進行更改使之失效,或者故意添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。3. 傳輸非法信息流。只允許用戶同其他用戶進行特定類型的通信,但禁止其它類型的通信,如允許電子郵件傳輸而禁止文件傳送。4. 網(wǎng)絡資源的錯誤使用。如不合理的資源訪問控制,一些資源有可能被偶然或故意地破壞。5. 非法使用網(wǎng)絡資源。非法用戶登錄進入系統(tǒng)使用網(wǎng)絡資源,造成資源的消耗,損害了合法用戶的利益。76. 環(huán)境影響。

7、自然環(huán)境和社會環(huán)境對計算機網(wǎng)絡都會產(chǎn)生極大的不良影響。如惡劣的天氣、災害、事故會對網(wǎng)絡造成損害和影響。7. 軟件漏洞。軟件漏洞包括以下幾個方面:操作系統(tǒng)、數(shù)據(jù)庫及應用軟件、TCP / IP協(xié)議、網(wǎng)絡軟件和服務、密碼設置等的安全漏洞。這些漏洞一旦遭受電腦病毒攻擊,就會帶來災難性的后果。8. 人為安全因素。除了技術層面上的原因外,人為的因素也構成了目前較為突出的安全因素,無論系統(tǒng)的功能是多么強大或者配備了多少安全設施,如果管理人員不按規(guī)定正確地使用,甚至人為泄露系統(tǒng)的關鍵信息,則其造成的安全后果是難以估量的。這主要表現(xiàn)在管理措施不完善,安全意識淡薄,管理人員的誤操作等。9. 網(wǎng)絡軟件的漏洞和“后門

8、”:網(wǎng)絡軟件不可能百分之百的無缺陷和無漏洞,那么,這些漏洞和缺陷恰恰就是黑客進行攻擊的首選目標。83、網(wǎng)絡安全的主要防范措施1、防火墻(Fire Wall)技術 。 防火墻是一種隔離控制技術，通過預定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制，常用的防火墻技術有包過濾技術、狀態(tài)檢測技術、應用網(wǎng)關技術。包過濾技術是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址、以及包所用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)

9、則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應用網(wǎng)關技術在應用層實現(xiàn)，它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡和其他網(wǎng)絡，其目的在于隱蔽被保護網(wǎng)絡的具體細節(jié)，保護其中的主機及其數(shù)據(jù)。 92、數(shù)據(jù)加密與用戶授權訪問控制技術。 與防火墻相比，數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可

10、以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎就是數(shù)據(jù)加。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法，這種變換是受“密鑰”控制的。在傳統(tǒng)的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為“對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰，構成加密/解密的密鑰對，則稱這種加密算法為“非對稱加密算法”或稱為“公鑰加密算法”，相應的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中，

11、公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。 103、安全管理隊伍的建設。 在計算機網(wǎng)絡系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網(wǎng)絡安全的重要保證，只有通過網(wǎng)絡管理人員與使用人員的共同努力，運用一切可以使用的工具和技術，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時，要不斷地加強計算機信息網(wǎng)絡的安全規(guī)范化管理力度，大力加強安全技術建設，強化使用人員和管理人員的安全防范意識。網(wǎng)絡內(nèi)使用的IP地址作為一種資源以前一直為某些管理

12、人員所忽略，為了更好地進行安全管理工作，應該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力，才能使計算機網(wǎng)絡的安全可靠得到保障，從而使廣大網(wǎng)絡用戶的利益得到保障。 113.系統(tǒng)容災技術 。 一個完整的網(wǎng)絡安全體系,只有防范和檢測措施是不夠的,還必須具有災難容忍和系統(tǒng)恢復能力。因為任何一種網(wǎng)絡安全設施都不可能做到萬無一失, 一旦發(fā)生漏防漏檢事件, 其后果將是災難性的。此外,天災人禍、不可抗力等所導致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災難,也能快速地恢復系統(tǒng)和數(shù)據(jù),才能完整地保護網(wǎng)絡信息系統(tǒng)的安全。現(xiàn)階段主要有基于數(shù)據(jù)

13、備份和基于系統(tǒng)容錯的系統(tǒng)容災技術。數(shù)據(jù)備份是數(shù)據(jù)保護的最后屏障,不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災通過IP容災技術來保證數(shù)據(jù)的安全。數(shù)據(jù)容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統(tǒng)使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數(shù)據(jù)。二者通過IP相連,構成完整的數(shù)據(jù)容災系統(tǒng),也能提供數(shù)據(jù)庫容災功能。集群技術是一種系統(tǒng)級的系統(tǒng)容錯技術,通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機和不可用問題。集群系統(tǒng)可以采用雙機熱備份、本地集群網(wǎng)絡和異地集群網(wǎng)絡等多種形式實現(xiàn),分別提供不同的系統(tǒng)可用性和容災性。其中異地

14、集群網(wǎng)絡的容災性是最好的。存儲、備份和容災技術的充分結合,構成的數(shù)據(jù)存儲系統(tǒng),是數(shù)據(jù)技術發(fā)展的重要階段。隨著存儲網(wǎng)絡化時代的發(fā)展,傳統(tǒng)的功能單一的存儲器,將越來越讓位于一體化的多功能網(wǎng)絡存儲器。 124.漏洞掃描技術 。 漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。這項技術的具體實現(xiàn)就是安全掃描程序。掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的安全脆弱點。掃描程序開發(fā)者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統(tǒng)計的格式輸出,便于參考和分析。 5.物理安全。產(chǎn)品保障方面:主要指產(chǎn)品采購、運輸、安裝等方

15、面的安全措施。運行安全方面:網(wǎng)絡中的設備,特別是安全類產(chǎn)品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統(tǒng),應設置備份系統(tǒng)。防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產(chǎn)品,如輻射干擾機。保安方面:主要是防盜、防火等,還包括網(wǎng)絡系統(tǒng)所有網(wǎng)絡設備、計算機、安全設備的安全防護。 134、幾個網(wǎng)絡安全的認識誤區(qū)。1)、有了防火墻就可杜絕一切攻擊。 很多使用者認為，安裝了防火墻，就可以高枕無憂，或至少可以阻擋大部分黑客的攻擊。但事實上，無論何種品牌的防火墻，它的主要工作都是控制存取與過濾封包，對D0S攻擊、非法存取與篡改封包等攻擊模式的防護極為有效，確實是

16、可以有效的提供網(wǎng)絡周邊的安全防護。但如果攻擊行為源自內(nèi)部(防火墻的工作原理是“防外不防內(nèi)”)，或?qū)脤拥墓舫绦螂[藏于正常的封包中(很多防火墻僅僅工作于網(wǎng)絡層)，防火墻就有點無能為力了。而事實上，在企業(yè)網(wǎng)絡安全事件中，絕大多數(shù)事件都源于企業(yè)網(wǎng)絡內(nèi)部。2)、網(wǎng)絡安全主要來自于外部。 以前的網(wǎng)絡安全威脅確實主要來源于外網(wǎng)，這樣的認識甚至連早期的防火墻設計理念也受到影響。但基于內(nèi)部網(wǎng)絡的攻擊更為容易，更為直接：他們能較為容易地獲取網(wǎng)絡用戶中具有較高權限的用戶賬戶和密碼，從而達到任意修改系統(tǒng)配置、刪改用戶權限和重要文件的目的，其破壞力更強，危害性更大。143)、有了殺毒軟件就不再懼怕病毒。 殺毒軟件的目的在于預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒。但殺毒軟件具備查殺某一病毒能力的時間總是滯后于該病毒出現(xiàn)的時間，在沒有獲得軟件開發(fā)商提供的升級程序時，殺毒軟件對新出現(xiàn)的病毒完全處于不設防狀態(tài)。4)