网络安全Word下载.docx
《网络安全Word下载.docx》由会员分享,可在线阅读,更多相关《网络安全Word下载.docx(11页珍藏版)》请在冰点文库上搜索。
2.4常见的网络攻击及防范对策5
2.4.1特洛伊木马5
2.4.2邮件炸弹6
2.4.3过载攻击6
第三章网络拓扑结构的安全设计8
3.1网络拓扑结构分析8
3.2网络攻击浅析8
参考文献10
第一章引言
1.1概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。
我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:
第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;
第二,网络的安全机制与技术要不断地变化;
第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。
政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1.2网络安全技术的研究目的、意义和背景
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。
这种威胁将不断给社会带来了巨大的损失。
网络安全已被信息社会的各个领域所重视。
随着计算机网。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。
在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用先进的技术和产品,构造全方位的防御机制,使系统在理想的状态下运行。
1.3计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。
例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;
而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。
人为的网络入侵和攻击行为使得网络安全面临新的挑战。
第二章网络安全初步分析
2.1网络安全的必要
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征,人们称它为信息高速公路。
网络是计算机技术和通信技术的产物,是应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。
我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。
我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。
正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。
2.2网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密设施外,还必须花大力气加强网络的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2.2.1安全管理原则
网络信息系统的安全管理主要基于3个原则:
① 多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。
这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;
他们应该签署工作情况记录以证明安全工作以得到保障。
与安全有关的活动有:
访问控制使用证件的发放与回收;
信息处理系统使用的媒介发放与回收;
处理保密信息;
硬件和软件的维护;
系统软件的设计、实现和修改;
重要程序和数据的删除和销毁等。
② 任期有限原则
一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。
为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
③ 职责分离原则
除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。
出与对安全的考虑,下面每组内的两项信息处理工作应当分开:
计算机操作与计算机编程;
机密资料的接收与传送;
安全管理和系统管理;
应用程序和系统程序的编制;
访问证件的管理与其他工作;
计算机操作与信息处理系统使用媒介的保管等。
2.2.2安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。
具体工作是:
① 根据工作的重要程度,确定该系统的安全等级。
② 根据确定的安全等级,确定安全管理范围。
③ 制订相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。
出入管理可采用证件识别或安装自动识别系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
2.3采用先进的技术和产品
要保证计算机网络系统的安全性,还要采用一些先进的技术和产品。
目前主要采用的相关技术和产品有以下几种。
2.3.1防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。
它是一个或一组系统,该系统可以设定哪些内部服务可已被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。
它可监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。
其主要有:
应用层网关、数据包过滤、代理服务器等几大类型。
2.3.2数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。
随着信息技术的发展,网络安全与信息保密日益引起人们的关注。
目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。
按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
2.3.3认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。
认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接收者的身份。
认证的主要目的有两个:
第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;
第二,验证信息的完整性,保证信息在传送过程中未被窜改或延迟等。
目前使用的认证技术主要有:
消息认证、身份认证、数字签名。
2.3.4计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。
合格的防病毒软件应该具备以下条件:
①、较强的查毒、杀毒能力。
在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、UNIX和Netware系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查毒、杀毒范围广、能力强的特点。
②、完善的升级服务。
与其它软件相比,防病毒软件更需要不断地更新升级,以查杀层出不穷的计算机病毒。
2.4常见的网络攻击及防范对策
2.4.1特洛伊木马
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。
因为在特洛伊
木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。
特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中传播的指令。
特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中,从而使它们受到感染。
此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写XX的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。
避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
2.4.2邮件炸弹
邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,防碍计算机的正常工作。
此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
2.4.3过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。
过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地进行人为地增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
表2-1资源信息表
字段名称
数据类型
数据名称
id
自动编号
u_name
文本
昵称
u_pwd
密码
u_sex
性别
u_qq
QQ
u_address
地址
u_info
个人信息
表2-2结果分析表
ss_ID
说说编号
ss_Content
说说内容
ss_PostTime
说说发表时间
图2-1阶段图
图2-2网络流程图
第三章网络拓扑结构的安全设计
3.1网络拓扑结构分析
网络的拓扑结构首先应因地制宜,根据组网单位的实际情况按照单位的各部门安全性要求划分,尽量使同一安全级别的上网计算机处于同一网段的安全控制域中。
布线要杜绝经过不可靠的区域,以防止非法接入,在各网段的控制器上设置网段内所有主机的介质访问控制器(MAC)地址,该地址为6个字节,是用来区分网络设备的唯一标志.此外,对于每一个接入网络中的计算机都必须先登记后连线接入,网段监控程序一旦发现有陌生的MAC地址便发出警告,网管人员立即查找该设备,因此在局域网中应该采用以下三种组网方式来加强安全防范.
以交换式集线器代替共享式集线器对局域网的中心计算机进行分段后,以太网的侦听的危险仍然存在.这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器.这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包NicestPacket)还是会被同一台集线器上的其他用户所侦听.因此应该以交换式集线器代替共享式集线器,使单播包公在两个节点之间传送,从而防止非法侦听。
3.2网络攻击浅析
攻击是指非授权行为。
攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。
在网络上成功实施的攻击级别以来于拥护采取的安全措施。
公式:
(3-1)
参考文献
[1]雷震甲.网络工程师文献北京清华大学出版社1988
[2]黎连业、张维、向东明.路由器及其应用技术北京清华大学出版社2005
[3]AndrewS.Tanenbaum.计算机网络第四版北京清华大学出版社1992
[4]远望图书部.局域网一点通人民交通出版社1987
[5]李伟 .网络安全实用技术标准教程北京清华大学出版社1996
[6]褚建立、刘彦舫 .计算机网络技术 北京 清华大学出版社1998