计算机网络安全

1 1 1Keywords 1 1 1 2 2 2 3 4 5 5 5 6 6 8 8 9 13 13 13 14 15 15 15 16 17 17 18 19 20网络的安全体系一直是各国重点研究的领域。Abstract：Thecomputerdevelopedintoaverylargenetwork,andthenetwonationalpriorityresearchare应是能全方位针对不同的威胁，这样才能确保网络信息的保密性、完整性和可用性。些信用卡用户带来巨大的经济损失，而且侵犯了这些信用卡用户的个人隐私。网络安全从本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。广义来说,凡是涉及到网络上信息的机密性、完络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因为所有计算机网络应用必须考虑和必须解决的一个重要问题。是没有联网的机器,就是说随着系统薄弱环节的数量减少或是消除,系统可能遭受的攻击量也随之减少直至消除,但是系统的功能性也降低甚至失去功能性。一个企业或是能性的情况下如何使风险最小化。理以及缺乏安全性考虑，因而使其受到影响。响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。这些权限可能会被其他人员滥用。中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。罪案件所造成的经济损失是一般案件的几十到几百倍。一些计算机网络攻击者出于各种目的经常把政府要害部门和为攻击目标，从而对社会和国家安全造成威胁。台电脑，其中包括五角大楼、陆军、海军和美国国家航空航天局的系统，直接/间接关闭24小时。计算机攻击的手段可以说五花八门。网络攻击者既入侵者就得擦除痕迹，准备撤退了因而犯罪不留痕迹，隐蔽性很强。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。算机通信过程中的信息流）进行严格的保护。网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。户帐号的方法很多，如：利用目标主机的Finger功能：当用Finger命令查询时，主多系统会使用一些习惯性的帐号，造成帐号的泄露。IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/网络的信任关系，从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之算机网络论文由论文共享网收集于网络，版权归原作者所有！域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时,DNS欺骗就会发生。到这个伪造的地址,该地址是一个完全处于攻击上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。在信息化飞速发展的今天，计算机网络得到了广泛应用，但随着网络之间的信息全性和自身的利益受到了严重的威胁。失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国，针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元，针对其他行业的网络安全威胁也时有发生。络信息的保密性、完整性和可用性。能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有。安全带来威胁。极大的危害，并导致机密数据的泄漏。件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。一定要根据本单位的实际情况和所采用的技术条件，参照有关的法规、条例和机病毒防治管理制度等。制度的建立切不能流于形式，重要的是落实和监督。另外，能不断地发现新的问题，不断地找出解决问题的对策。对于传输线路及设备进行必要的保护，物理安全策略的目的是保护计算机系统、境。最常见的是施工人员由于对地下电缆不了解，从而造成电缆通过立标志牌加以防范；未采用结构化布线的网络经常会出现使用者对电缆的损坏，加以考虑。缘、接地和屏蔽工作做好。户的登录名和口令的合法性，只有合法的用户才可以进入系统。可以有效地在应用级控制网络系统的安全性。位网络故障点、捉住IP盗用者、控制网络访问范围等。记录进行分析和统计，从而找出问题所在。1）入网访问控制。入网访问控制为网络访问提供了第一层访问控制。用号的缺省限制检查。2）网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保3）属性安全控制。当用文件、目录和网络设备时，网络系统管理员应给文件、资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，户对目录和文件的误删除、执行修改、显示等。4）网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边的侵入。目前的防火墙主要有以下：1）包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型、协议源端口号、协议目的端口号等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。2）代理防火墙：它由代理服务器和过滤路由器组成，它将过滤路由器和软件代过的数据传送给代理服务器。3）双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。网络安全管理是指对所有计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调,进而从整体上提高整个计算机网络的防御入侵、抵抗攻击的能力体系。通常建,立一个安全管理系统包括多个方面的建设,如技术上实现的计算机安全管理系统,为系统定制的安全管理方针,相应的安全管理制度和人员等。以其能简单、有效地获取如文本、图形、声音与视频等不同类型的数据在In广为使用。作为一种全新的网络管理模式,基于Web的网络管理WBM应运而生。WBM提供给普通拥护非常熟悉的Web浏览器的单一用户借口,以实现透明地访问分布在Internet上的各类信息,并且很容易支持大多数现有的标准网络管理协议框架;基向对象的应用程序提供的一个通用框架结构;采用Java技术管理。Ja式网络环境的应用程序开发,它提供了一个易移植、安全、高性能、简单、多线程和克服传统的纯SNMP的一些问题,降低网络管理的复杂性。随着计算机技术和通信技术的发展，计算机网络将日益成为重要信息交换手段，渗透到社会生活的各个领域，采取强有力的安全策略，保障网络的安全性。大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时,对于病毒库中已查找出病毒的来源。大多数病毒能够被清除或隔离。再有,对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。感染病毒后要及时修补系统漏洞,并进行病毒检测和清除。防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合,能在内部网络与外部网络之间构造起一个"保护层",网络内外的所有通信都必须经过此保护层进行检查与连接,只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问,也可以控制内部对外部特殊站点的访问,提供监视火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙,尽量少开端口,采用过滤严格的WEB程序以及加密的HTTP协议,管理好内部网络用户,经常升级,这样可以更好地利用防火墙保护网络的安全。攻击者进行网络攻击和入侵的原因,在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,比如操作系统、网络服务、TCP/IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制,那么即使攻击者已经侵入到内部网络,侵入到关键的主机,并从事非法的操作,我们的网管人员也很难察觉到。这样,攻击者就有足够的时间来做他们想做的任何事情。入侵检测系统,可以提供全天候的网络监控,帮助网络系统快速发现网络攻击事件,提的活动时,IDS可以向管理控制台发送警告,其中含有详细的活动信息,还可它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,操作系统的漏洞随时都在发布,只有及时更新才能完全的扫描出系统的漏洞,阻止黑客的入侵。PKI技术。PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,能够安全地从事商务活动。目前,PK趋于成熟,其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域,许多企业和个人已经从PKI技术的使用中获得了巨大的收益。数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet（远程登和解密。securitykey，所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。VPN技术主要提供在公网上的安全的双向通讯，采用透明的加密方案以保证数据的完整性和保密性。VPN技术的工作原理：VPN系统可使分布在不同地方的专用网络在不可信任的会被窃听。其处理过程大体是这样：通过。3）对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。4）VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。5）VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。6）当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对数据包被解密。面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念"安全隔离技术"应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统,其最重要的功能是特殊设置的对于系统中所有操作的监视和记录,网络安全专家通过精心的伪装使得黑客在进入到目标系统后,仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客,网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩,或者放置一些网络攻击者希望得到的敏感信在目标系统中的所有行为,包括输入的字符、执行的操作都已经为蜜罐系统所记录。和分析这些记录,可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平,通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标,根据这些信息,管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。对于安全领域存在的问题,应采取多种技术手段和措施进行防范。在多种技术手段并用的同时,管理工作同样不容忽视。规划网络的安全策略、确定网络安全工作的加强网络的安全管理、制定有关规章制度等等,对于确保网络的安全、可靠运行将起到十分有效的作用。网络安全管理策略包括:确定安全管理等级和安全管理范围;指定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。为了能更好地适应信息技术的发展，计算机网络应用系统必须具备以下功能：止在到达攻击目标之前。可使绝大多数攻击无效。据和系统服务。务。用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。地安全管理，防止文件泄密等安全隐患。本设计方案采用清华紫光公司出品的紫光S锁产品，“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器篡改，防止非法软件对S锁进行操作。基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。信纸模块。八、设置邮箱自动过滤功能。九、不使用邮件软件邮箱中的预览功能。使所有服务器的防毒系统可以从单点进行部署，管理和更新。时间去解决的防毒问题。其最大特点是拥有灵活的产品集中部署方式，不受Windows域管理模式的约束，除发警报，给管理带来极大的便利。了系统的安全性。8.4访问控制“防火墙”局域网出入口，实现这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。性。网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系统。本地管理器（软件）:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。中心管理器（软件）:是一个安装于中心管理平台（Windows系统）上的对全网的密码机设备进行统一管理的系统软件。审”相结合的方法，“内审”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。关行为有关的信息。本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。监视监测、控制系统。在要监视的目标主机上，其监视目标主机的人机界面操作、监控RAS连接、监控网日志的审计。主要功能有文件保护审计和主机信息审计。1）文件保护审计：文件保护安装在审计中心，可有效的对被审计主机进行管理规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。机器名、当前用户、操作系统类型、IP地址信息。户实时控制屏幕