网络安全结课论文Word下载.doc
《网络安全结课论文Word下载.doc》由会员分享,可在线阅读,更多相关《网络安全结课论文Word下载.doc(8页珍藏版)》请在冰点文库上搜索。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
[1]
计算机网络安全包括物理安全和逻辑安全。
物理安全指网络系统中各种计算机设备以及相关设备的物理保护,免予破坏、丢失等;
逻辑安全包括信息完整性、保密性和可用性。
保密性是指信息不泄漏给未经授权的人,完整性是指计算机系统能够防止非法修改和删除数据和程序,可用性是指系统能够防止非法独占计算机资源和数据,合法用户的正常请求能及时、正确、安全的得到回应。
网络中安全威胁主要有:
身份窃取,身份假冒、数据窃取、数据篡改,操作否认、非授权访问、病毒等。
[2]
3计算机网络安全的现状以及其原因
据了解,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。
公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。
当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因:
(1)TCP/IP的脆弱性。
因特网的基石是TCP/IP协议。
但不幸的是,该协议对于网络的安全性考虑得并不多。
并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
(2)网络结构的不安全性。
因特网是一种网间网技术。
它是由无数个局域网所连成的一个巨大网络。
当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的机,他就可以劫持用户的数据包。
(3)易被窃听。
由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具很容易对网上的电子邮件、口令和传输的文件进行窃听。
(4)缺乏安全意识。
虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。
如人们为了避开防火墙代理服务器的额外认证,进行直接的PPoE连接从而避开了防火墙的保护。
[3]
(5)网络系统本身的问题,目前流行的许多操作系统均存在网络安全漏洞,如Windows、UNIX和MSNT。
黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。
具体包括以下几个方面:
稳定性和可扩充性方面,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
(6)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。
[4]
4计算机网络攻击和入侵的主要途径
日常生活中我们遇到的网络攻击和入侵主要有利用网络系统漏洞进行攻击、解密攻击、通过电子邮件进行攻击、拒绝服务攻击、后门软件攻击、特洛伊木马这几种途径。
4.1利用网络系统漏洞进行攻击
许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。
黑客利用一些端口扫描工具来探测系统正在侦听的端口,来发现该系统的漏洞;
或者是事先知道某个系统存在漏洞,而后通过查询特定的端口,来确定是否存在漏洞,最后利用这些漏洞来对系统进行攻击导致系统瘫痪。
[5]
4.2解密攻击
在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。
而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。
取得密码也还有好几种方法,一种是对网络上的数据进行监听。
因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。
但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。
这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。
另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。
这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“123456”、“ABCD”等,那有可能只需几分钟就可破解。
4.3通过电子邮件进行攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。
黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。
当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。
4.4拒绝服务攻击
互联网上许多大网站都遭受过此类攻击。
实施拒绝服务攻击(DDoS)的难度比较小,但它的破坏性却很大。
它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,并且大量人为地增大CPU的工作量,耗费CPU的工作时间,使其他的用户一直处于等待状态,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。
[6]
5计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵防御检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。
目前广泛运用和比较成熟的网络安全技术主要有防火墙技术、数据加密技术、入侵防御检测技术、防病毒技术等,以下就此几项技术分别进行分析。
5.1防火墙技术
防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止黑客随意更改、移动甚至删除网络上的重要信息。
防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。
所以,防火墙是网络安全的重要一环。
目前,防火墙有两个关键技术,一是包过滤技术,二是代理服务技术。
1、包过滤技术。
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。
包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。
一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信进行实时和双向的控制。
2、代理服务技术。
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。
代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。
当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。
以上介绍了两种防火墙技术。
由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大地发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。
[9]
目前比较好的防火墙有思科、华为-赛门铁克等企业级防火墙。
5.2入侵防御检测技术
入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。
入侵检测在计算机网络安全中的主要作用就是威慑、检测、攻击预测以及损失情况评估等方面,它主要是通过及时检查并发现对计算机网络系统安全构成威胁的行为,在计算机网络安全防范上主要通过以下几种途径:
一是对用户及系统活动进行监视,及时检测非法用户和合法用户的越权操作,将潜在的安全隐患显性化;
二是通过对已知的危险进攻活动模式进行提示并显示相关预警;
三是及时检测系统配置的安全性以及是否存在安全漏洞;
四是对异常行为进行统计分析,识别攻击类型,并对重要系统和数据进行安全性评估。
入侵检测系统技术有几个主要的特点:
1、为企业网络提供“虚拟补丁”。
预先自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量,使攻击无法到达目的主机,这样即使没有及时安装最新的安全补丁,企业网络仍然不会受到损失。
2、进行“流量净化”。
目前企业网络的带宽资源经常被严重占用,主要是在正常流中夹杂了大的非正常流量,如端虫病毒、DOS攻击等恶意流量,以及用户P2P下载、在线视频等垃圾流量,造成网络堵塞。
入侵检测系统技术可以过滤正常流中的恶意流,同时对垃圾流量进行控制,为网络加速,还企业一个干净、可用的网络环境。
3、加强“内容管理”。
随着网络安全向更高层次的发展,对网络内容的管理和控制得到认可和加强。
入侵检测系统技术提供对面向应用层和内容层的网络内容安全防护,可以检测并阻断间谍软件、木马后门,并可以对即时通识讯软件、在线视频等的内容进行监控及阻断。
[11]
5.3防病毒技术
网络中的系统可能会受到多种病毒威胁,对于此可以采用多层的病毒防卫体系。
即在每台计算机,每台服务器以及网关上安装相关的防病毒软件。
由于病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。
常见的杀毒软件有赛门铁克、诺顿、瑞星等。
5.4网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
加密数据传输主要有3种:
①链接加密:
在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码;
②节点加密:
与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中;
③首尾加密:
对进入网络的数据加密,然后待数据从网络传送出后再进行解密。
。
目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术的不断发展。
按作用不同,数据加密技术,主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
[12]
5.5备份及恢复技术
为了防止存储设备的异常损坏和病毒的破坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。
同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。
[13]
结论
计算机网络安全正受到越来越多人的关注,防火墙、杀毒软件、信息加密、入侵检测、安全认证等产品也越来越被人们所熟知,计算机网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,根据所处的网络安全环境不同因地制宜,并将各种安全技术综合结合在一起,才能有利于计算机网络的安全。
计算机网络安全是一个系统的工程,不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,不仅重视对计算机网络安全的硬件产品开发及软件研制,维护计算机网络的安全,还要对相关人员进行安全意识及安全措施方面的培训,并在法律规范等诸多方面加强管理,才可能防微杜渐,而这一点,恰恰是目前计算机网络最薄弱、急需解决的地方。
参考文献
1邓亚平.计算机网络安全.北京:
北京人民邮电出版社,2004
2任戎.计算机网络安全分析及策略.电脑知识与技术,2009:
581
3江岚.计算机网络安全与防范措施.计算机与网络,2009,548
4王群.计算机网络安全技术.北京:
清华大学出版社,2004,212
5王贤亮.计算机网络安全常见攻击与防范.信息与电脑,2010(01),94
6谢希仁.计算机网络第四版.北京:
电子工业出版社
7薛静锋,宁宇鹏.入侵检测技术.北京:
机械工业出版社,2004
升级会员 