论文：浅析计算机网络安全的威胁及其防范措施

浅析计算机网络安全的威胁及其防范措施指导老师：鲁恩铭1网络平安是什么？1、什么是网络平安？2、网络平安的威胁有那些？3、网络平安的主要防范措施有那些？4、几个网络平安的认识误区。21、什么是网络平安？1.1网络平安的定义。网络平安是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络效劳不中断。网络平安从其本质上来讲就是网络上的信息平安。从广义来说，但凡涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络平安的研究领域。网络平安是一门涉及计算机科学、网络技术、通信技术、密码技术、信息平安技术、应用数学、数论、信息论等多种学科的综合性学科。3⑴、保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。⑵、完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丧失的特性。⑶、可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝效劳、破坏网络和有关系统正常运行等都属于对可用性的攻击。⑷、可控性：对信息的传播及内容具有控制能力。⑸、可审查性：出现的平安问题时提供依据与手段。1.2网络平安的特征。4⑴、物理平安分析。网络的物理平安是整个网络系统平安的前提网络工程的设计和施工中应注意网络设备不受雷击、火灾、盗窃等自然及人为的威胁。⑵、网络结构的平安分析。网络拓扑结构设计也直接影响到网络系统的平安性。我们在设计时有必要将公开效劳器〔WEB、DNS、EMAIL等〕和外网及内部其它业务网络进行必要的隔离，防止网络结构信息外泄；同时还要对外网的效劳请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求效劳到达主机之前就应该招到拒绝。⑶、系统的平安分析。所谓系统的平安是指整个网络操作系统和网络硬件平台是否可靠且值得信任。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行平安配置。而且，必须加强登录过程的认证〔特别是在到达效劳器主机之前的认证〕，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。1.3网络平安分析5⑷、应用系统的平安分析。应用系统的平安跟具体的应用有关，它涉及面广。应用系统的平安是动态的不断变化的。应用的平安性也涉及到信息的平安性，它包括很多方面。——应用系统的平安是动态的、不断变化的。在应用系统的平安性上，主要考虑尽可能建立平安的系统平台，而且通过专业的平安工具不断发现漏洞，修补漏洞，提高系统的平安性。——应用的平安性涉及到信息、数据的平安性。信息的平安性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的平安保护；采用加密技术，保证网上传输的信息〔包括管理员口令与帐户、上传信息等〕的机密性与完整性。⑸、管理的平安风险分析。管理是网络中平安最最重要的局部。责权不明，平安管理制度不健全及缺乏可操作性等都可能引起管理平安的风险。当网络出现攻击行为或网络受到其它一些平安威胁时〔如内部人员的违规操作等〕，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。62、网络平安的威胁有那些？2.1影响网络的平安因素。1.信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。2.信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者成心添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。3.传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。4.网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或成心地破坏。5.非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。76.环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。7.软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP协议、网络软件和效劳、密码设置等的平安漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。8.人为平安因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的平安因素,无论系统的功能是多么强大或者配备了多少平安设施,如果管理人员不按规定正确地使用,甚至人为泄露系统的关键信息,那么其造成的平安后果是难以估量的。这主要表现在管理措施不完善,平安意识淡薄,管理人员的误操作等。9.网络软件的漏洞和“后门〞:网络软件不可能百分之百的无缺陷和无漏洞,那么,这些漏洞和缺陷恰恰就是黑客进行攻击的首选目标。83、网络平安的主要防范措施1、防火墙(FireWall)技术。防火墙是一种隔离控制技术，通过预定义的平安策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所用的端口确定是否允许该类数据包通过；状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规那么表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规那么表相比，它具有更好的灵活性和平安性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据平安检查〞软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。92、数据加密与用户授权访问控制技术。

与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法防止，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以防止，实现这一切的根底就是数据加。数据加密实质上是对以符号为根底的数据进行移位和置换的变换算法，这种变换是受“密钥〞控制的。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为“对称密钥算法〞。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥，构成加密/解密的密钥对，那么称这种加密算法为“非对称加密算法〞或称为“公钥加密算法〞，相应的加密/解密密钥分别称为“公钥〞和“私钥〞。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。103、平安管理队伍的建设。在计算机网络系统中，绝对的平安是不存在的，制定健全的平安管理体制是计算机网络平安的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不平安的因素降到最低。同时，要不断地加强计算机信息网络的平安标准化管理力度，大力加强平安技术建设，强化使用人员和管理人员的平安防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行平安管理工作，应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力，才能使计算机网络的平安可靠得到保障，从而使广阔网络用户的利益得到保障。113.系统容灾技术。一个完整的网络平安体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络平安设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成消灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的平安。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证平安。数据容灾通过IP容灾技术来保证数据的平安。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合,构成的数据存储系统,是数据技术开展的重要阶段。随着存储网络化时代的开展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。124.漏洞扫描技术。漏洞扫描是自动检测远端或本地主机平安的技术,它查询TCP/IP各种效劳的端口,并记录目标主机的响应,收集关于某些特定工程的有用信息。这项技术的具体实现就是平安扫描程序。扫描程序可以在很短的时间内查出现存的平安脆弱点。扫描程序开发者利用可得到的攻击方法,并把它们集成到整个扫描中,扫描后以统计的格式输出,便于参考和分析。5.物理平安。①产品保障方面:主要指产品采购、运输、安装等方面的平安措施。②运行平安方面:网络中的设备,特别是平安类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持效劳。对一些关键设备和系统,应设置备份系统。③防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。④保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、平安设备的平安防护。134、几个网络平安的认识误区。1)、有了防火墙就可杜绝一切攻击。很多使用者认为，安装了防火墙，就可以高枕无忧，或至少可以阻挡大局部黑客的攻击。但事实上，无论何种品牌的防火墙，它的主要工作都是控制存取与过滤封包，对D0S攻击、非法存取与篡改封包等攻击模式的防护极为有效，确实是可以有效的提供网络周边的平安防护。但如果攻击行为源自内部(防火墙的工作原理是“防外不防内〞)，或将应用层的攻击程序隐藏于正常的封包中(很多防火墙仅仅工作于网络层)，防火墙就有点无能为力了。而事实上，在企业网络平安事件中，绝大多数事件都源于企业网络内部。2)、网络平安主要来自于外部。以前的网络平安威胁确实主要来源于外网，这样的认识甚至连早期的防火墙设计理念也受到影响。但基于内部网络的攻击更为容易，更为直接：他们能较为容易地获取网络用户中具有较高权限的用户账户和密码，从而到达任意修改系统配置、删改用户权限和重要文件的目的，其破坏力更强，危害性更大。143)、有了杀毒软件就不再惧怕病毒。杀毒软件的目的在于预防病毒的入侵和查杀系统中已感染的计算机病毒。但杀毒软件具备查杀某一病毒能力的时间总是滞后于该病毒出现的时间，在没有获得软件开发商提供的升级程序时，杀毒软件对新出现的病毒完全处于不设防状态。4