論文：淺析計算機網(wǎng)絡(luò)安全的威脅及其防范措施

淺析計算機網(wǎng)絡(luò)安全的威脅及其防范措施指導(dǎo)老師：魯恩銘1網(wǎng)絡(luò)平安是什么？1、什么是網(wǎng)絡(luò)平安？2、網(wǎng)絡(luò)平安的威脅有那些？3、網(wǎng)絡(luò)平安的主要防范措施有那些？4、幾個網(wǎng)絡(luò)平安的認識誤區(qū)。21、什么是網(wǎng)絡(luò)平安？1.1網(wǎng)絡(luò)平安的定義。網(wǎng)絡(luò)平安是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)效勞不中斷。網(wǎng)絡(luò)平安從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息平安。從廣義來說，但凡涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)平安的研究領(lǐng)域。網(wǎng)絡(luò)平安是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息平安技術(shù)、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。3⑴、保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。⑵、完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和喪失的特性。⑶、可用性：可被授權(quán)實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕效勞、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)正常運行等都屬于對可用性的攻擊。⑷、可控性：對信息的傳播及內(nèi)容具有控制能力。⑸、可審查性：出現(xiàn)的平安問題時提供依據(jù)與手段。1.2網(wǎng)絡(luò)平安的特征。4⑴、物理平安分析。網(wǎng)絡(luò)的物理平安是整個網(wǎng)絡(luò)系統(tǒng)平安的前提網(wǎng)絡(luò)工程的設(shè)計和施工中應(yīng)注意網(wǎng)絡(luò)設(shè)備不受雷擊、火災(zāi)、盜竊等自然及人為的威脅。⑵、網(wǎng)絡(luò)結(jié)構(gòu)的平安分析。網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的平安性。我們在設(shè)計時有必要將公開效勞器〔WEB、DNS、EMAIL等〕和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離，防止網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的效勞請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機，其它的請求效勞到達主機之前就應(yīng)該招到拒絕。⑶、系統(tǒng)的平安分析。所謂系統(tǒng)的平安是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行平安配置。而且，必須加強登錄過程的認證〔特別是在到達效勞器主機之前的認證〕，確保用戶的合法性；其次應(yīng)該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。1.3網(wǎng)絡(luò)平安分析5⑷、應(yīng)用系統(tǒng)的平安分析。應(yīng)用系統(tǒng)的平安跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的平安是動態(tài)的不斷變化的。應(yīng)用的平安性也涉及到信息的平安性，它包括很多方面?！獞?yīng)用系統(tǒng)的平安是動態(tài)的、不斷變化的。在應(yīng)用系統(tǒng)的平安性上，主要考慮盡可能建立平安的系統(tǒng)平臺，而且通過專業(yè)的平安工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的平安性?！獞?yīng)用的平安性涉及到信息、數(shù)據(jù)的平安性。信息的平安性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。因此，對用戶使用計算機必須進行身份認證，對于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實現(xiàn)對數(shù)據(jù)的平安保護；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅰ舶ü芾韱T口令與帳戶、上傳信息等〕的機密性與完整性。⑸、管理的平安風險分析。管理是網(wǎng)絡(luò)中平安最最重要的局部。責權(quán)不明，平安管理制度不健全及缺乏可操作性等都可能引起管理平安的風險。當網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些平安威脅時〔如內(nèi)部人員的違規(guī)操作等〕，無法進行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。62、網(wǎng)絡(luò)平安的威脅有那些？2.1影響網(wǎng)絡(luò)的平安因素。1.信息泄密。主要表現(xiàn)為網(wǎng)絡(luò)上的信息被竊聽,這種僅竊聽而不破壞網(wǎng)絡(luò)中傳輸信息的網(wǎng)絡(luò)侵犯者被稱為消極侵犯者。2.信息被篡改。這是純粹的信息破壞,這樣的網(wǎng)絡(luò)侵犯被稱為積極侵犯者。積極侵犯者截取網(wǎng)上的信息包,并對之進行更改使之失效,或者成心添加一些有利于自已的信息,起到信息誤導(dǎo)的作用,其破壞作用最大。3.傳輸非法信息流。只允許用戶同其他用戶進行特定類型的通信,但禁止其它類型的通信,如允許電子郵件傳輸而禁止文件傳送。4.網(wǎng)絡(luò)資源的錯誤使用。如不合理的資源訪問控制,一些資源有可能被偶然或成心地破壞。5.非法使用網(wǎng)絡(luò)資源。非法用戶登錄進入系統(tǒng)使用網(wǎng)絡(luò)資源,造成資源的消耗,損害了合法用戶的利益。76.環(huán)境影響。自然環(huán)境和社會環(huán)境對計算機網(wǎng)絡(luò)都會產(chǎn)生極大的不良影響。如惡劣的天氣、災(zāi)害、事故會對網(wǎng)絡(luò)造成損害和影響。7.軟件漏洞。軟件漏洞包括以下幾個方面:操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件、TCP/IP協(xié)議、網(wǎng)絡(luò)軟件和效勞、密碼設(shè)置等的平安漏洞。這些漏洞一旦遭受電腦病毒攻擊,就會帶來災(zāi)難性的后果。8.人為平安因素。除了技術(shù)層面上的原因外,人為的因素也構(gòu)成了目前較為突出的平安因素,無論系統(tǒng)的功能是多么強大或者配備了多少平安設(shè)施,如果管理人員不按規(guī)定正確地使用,甚至人為泄露系統(tǒng)的關(guān)鍵信息,那么其造成的平安后果是難以估量的。這主要表現(xiàn)在管理措施不完善,平安意識淡薄,管理人員的誤操作等。9.網(wǎng)絡(luò)軟件的漏洞和“后門〞:網(wǎng)絡(luò)軟件不可能百分之百的無缺陷和無漏洞,那么,這些漏洞和缺陷恰恰就是黑客進行攻擊的首選目標。83、網(wǎng)絡(luò)平安的主要防范措施1、防火墻(FireWall)技術(shù)。防火墻是一種隔離控制技術(shù)，通過預(yù)定義的平安策略，對內(nèi)外網(wǎng)通信強制實施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址、以及包所用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)那么表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)那么表相比，它具有更好的靈活性和平安性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實現(xiàn)，它使用一個運行特殊的“通信數(shù)據(jù)平安檢查〞軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護網(wǎng)絡(luò)的具體細節(jié)，保護其中的主機及其數(shù)據(jù)。92、數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)。

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法防止，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以防止，實現(xiàn)這一切的根底就是數(shù)據(jù)加。數(shù)據(jù)加密實質(zhì)上是對以符號為根底的數(shù)據(jù)進行移位和置換的變換算法，這種變換是受“密鑰〞控制的。在傳統(tǒng)的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為“對稱密鑰算法〞。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰，構(gòu)成加密/解密的密鑰對，那么稱這種加密算法為“非對稱加密算法〞或稱為“公鑰加密算法〞，相應(yīng)的加密/解密密鑰分別稱為“公鑰〞和“私鑰〞。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。103、平安管理隊伍的建設(shè)。在計算機網(wǎng)絡(luò)系統(tǒng)中，絕對的平安是不存在的，制定健全的平安管理體制是計算機網(wǎng)絡(luò)平安的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不平安的因素降到最低。同時，要不斷地加強計算機信息網(wǎng)絡(luò)的平安標準化管理力度，大力加強平安技術(shù)建設(shè)，強化使用人員和管理人員的平安防范意識。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進行平安管理工作，應(yīng)該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力，才能使計算機網(wǎng)絡(luò)的平安可靠得到保障，從而使廣闊網(wǎng)絡(luò)用戶的利益得到保障。113.系統(tǒng)容災(zāi)技術(shù)。一個完整的網(wǎng)絡(luò)平安體系,只有防范和檢測措施是不夠的,還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因為任何一種網(wǎng)絡(luò)平安設(shè)施都不可能做到萬無一失,一旦發(fā)生漏防漏檢事件,其后果將是災(zāi)難性的。此外,天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成消滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難,也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù),才能完整地保護網(wǎng)絡(luò)信息系統(tǒng)的平安?，F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護的最后屏障,不允許有任何閃失。但離線介質(zhì)不能保證平安。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的平安。數(shù)據(jù)容災(zāi)使用兩個存儲器,在兩者之間建立復(fù)制關(guān)系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統(tǒng)使用,異地容災(zāi)備份存儲器實時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。二者通過IP相連,構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng),也能提供數(shù)據(jù)庫容災(zāi)功能。集群技術(shù)是一種系統(tǒng)級的系統(tǒng)容錯技術(shù),通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機和不可用問題。集群系統(tǒng)可以采用雙機熱備份、本地集群網(wǎng)絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實現(xiàn),分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。存儲、備份和容災(zāi)技術(shù)的充分結(jié)合,構(gòu)成的數(shù)據(jù)存儲系統(tǒng),是數(shù)據(jù)技術(shù)開展的重要階段。隨著存儲網(wǎng)絡(luò)化時代的開展,傳統(tǒng)的功能單一的存儲器,將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲器。124.漏洞掃描技術(shù)。漏洞掃描是自動檢測遠端或本地主機平安的技術(shù),它查詢TCP/IP各種效勞的端口,并記錄目標主機的響應(yīng),收集關(guān)于某些特定工程的有用信息。這項技術(shù)的具體實現(xiàn)就是平安掃描程序。掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的平安脆弱點。掃描程序開發(fā)者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統(tǒng)計的格式輸出,便于參考和分析。5.物理平安。①產(chǎn)品保障方面:主要指產(chǎn)品采購、運輸、安裝等方面的平安措施。②運行平安方面:網(wǎng)絡(luò)中的設(shè)備,特別是平安類產(chǎn)品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持效勞。對一些關(guān)鍵設(shè)備和系統(tǒng),應(yīng)設(shè)置備份系統(tǒng)。③防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品,如輻射干擾機。④保安方面:主要是防盜、防火等,還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機、平安設(shè)備的平安防護。134、幾個網(wǎng)絡(luò)平安的認識誤區(qū)。1)、有了防火墻就可杜絕一切攻擊。很多使用者認為，安裝了防火墻，就可以高枕無憂，或至少可以阻擋大局部黑客的攻擊。但事實上，無論何種品牌的防火墻，它的主要工作都是控制存取與過濾封包，對D0S攻擊、非法存取與篡改封包等攻擊模式的防護極為有效，確實是可以有效的提供網(wǎng)絡(luò)周邊的平安防護。但如果攻擊行為源自內(nèi)部(防火墻的工作原理是“防外不防內(nèi)〞)，或?qū)?yīng)用層的攻擊程序隱藏于正常的封包中(很多防火墻僅僅工作于網(wǎng)絡(luò)層)，防火墻就有點無能為力了。而事實上，在企業(yè)網(wǎng)絡(luò)平安事件中，絕大多數(shù)事件都源于企業(yè)網(wǎng)絡(luò)內(nèi)部。2)、網(wǎng)絡(luò)平安主要來自于外部。以前的網(wǎng)絡(luò)平安威脅確實主要來源于外網(wǎng)，這樣的認識甚至連早期的防火墻設(shè)計理念也受到影響。但基于內(nèi)部網(wǎng)絡(luò)的攻擊更為容易，更為直接：他們能較為容易地獲取網(wǎng)絡(luò)用戶中具有較高權(quán)限的用戶賬戶和密碼，從而到達任意修改系統(tǒng)配置、刪改用戶權(quán)限和重要文件的目的，其破壞力更強，危害性更大。143)、有了殺毒軟件就不再懼怕病毒。殺毒軟件的目的在于預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒。但殺毒軟件具備查殺某一病毒能力的時間總是滯后于該病毒出現(xiàn)的時間，在沒有獲得軟件開發(fā)商提供的升級程序時，殺毒軟件對新出現(xiàn)的病毒完全處于不設(shè)防狀態(tài)。4