计算机网络安全论述.doc

1、学年论文中文摘要当人类步入21世纪这一信息社会、网络社会的时候，计算机的信息化、网络化提高了人们信息处理效率和方便了人们的交流，而同时，网络的开放性和自由性产生了私有信息和数据被破坏或侵犯的可能性，保护数据和私有信息的安全就显的尤为重要，因而网络安全的重要性越来越受到人们的关注。本文主要从计算机网络安全的含义、计算机网络安全的现状以及其原因、常见网络攻击和入侵途径以及计算机网络安全防范策略等方面分析了当前计算机网络安全存在的主要问题，并总结了针对这些问题的应对策略。关键词 计算机，网络安全，攻击入侵，防范策略学年论文外文摘要Title Discuss and Analyze The Compu

2、ter Network Security AbstractWhen the man entered the 21st century, which is called the information and network society, the computer and network information is processing to improve the efficiency of people and easy for people to exchange, at the same time, the networks openness and freedom of priv

3、ate information generated and the data is the possibility of damage or abuse, protecting the security of data and private information is particularly important on the obvious, therefore the importance of network security attracts peoples more and more attention. In this paper, I analyze computer net

4、work security of the current major problems from the computer network security, computer network security status and its causes, common means of network attacks and intrusions, and computer network security strategies, and summarize these issuescoping strategies.Keywords computer, network security,

5、attack and invade, prevention strategy目录1 引言12 计算机网络安全的含义13 计算机网络安全的现状以及其原因14 计算机网络攻击和入侵的主要途径24.1 利用网络系统漏洞进行攻击24.2 解密攻击24.3 通过电子邮件进行攻击34.4 拒绝服务攻击34.5 后门软件攻击34.6 特洛伊木马45 计算机网络安全防范策略45.1 防火墙技术45.2 配置漏洞扫描系统55.3 入侵防御检测技术55.4 防病毒技术65.5 网络加密技术65.6 备份及恢复技术75.7 加强人事管理76 结论87 参考文献9 淮阴工学院学年论文 第 8 页 共 9 页1 引言

6、网络信息的飞速发展给人类社会带来巨大的推动与冲击，同时也产生了网络系统安全问题。计算机网络的安全问题越来越受到人们的重视，由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征，致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击，因此，计算机网络安全成为一个重要的话题。2 计算机网络安全的含义 计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从其本

7、质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。1计算机网络安全包括物理安全和逻辑安全。物理安全指网络系统中各种计算机设备以及相关设备的物理保护，免予破坏、丢失等；逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人，完整性是指计算机系统能够防止非法修改和删除数据和程序，可用性是指系统能够防止非法独占计算机资源和数据，合法用户的正常请求能及时、正确、安全的得到回应。网络中安全威胁主要有：身份窃取，身份假冒、数据窃取、数据篡改，操作否认、非授权访问、病毒等。23 计算机网络安全的现

8、状以及其原因 据了解，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因：（1）TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是，该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。 （2）网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的

9、主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的机，他就可以劫持用户的数据包。 （3）易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具很容易对网上的电子邮件、口令和传输的文件进行窃听。（4）缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPoE连接从而避开了防火墙的保护。3 （5）网络系统本身的问题，目前流行的许多操作系统均存在网络安全漏洞，如Windows、UNIX和MSNT。黑客往往就是

10、利用这些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面：稳定性和可扩充性方面，由于设计的系统不规范、不合理以及缺乏安全性考虑，因而使其受到影响。 （6）黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。44 计算机网络攻击和入侵的主要途径 日常生活中我们遇到的网络攻击和入侵主要有利用网络系统漏洞进行攻击、解密攻击、通过电子邮件进行攻击、拒绝服务攻击、后门软件攻击、特洛伊木马这几种途径。4.1 利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样

11、的漏洞，这些漏洞有可能是系统本身所有的，如WindowsNT、UNIX等都有数量不等的漏洞，也有可能是由于网管的疏忽而造成的。黑客利用一些端口扫描工具来探测系统正在侦听的端口，来发现该系统的漏洞；或者是事先知道某个系统存在漏洞，而后通过查询特定的端口，来确定是否存在漏洞，最后利用这些漏洞来对系统进行攻击导致系统瘫痪。54.2 解密攻击 在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人，只要有密码，系统就会认为你是经过授权的正常用户，因此，取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法，一种是对网络

12、上的数据进行监听。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理，即黑客所得到的数据中不会存在明文的密码，这给黑客进行破解又提了一道难题。这种手法一般运用于局域网，一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码，但这项工作十分地费时，不过如果用户的密码设置得比较简单，如“123456”、“ABCD”等，那有可能只需几分钟就可破解。4.3 通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑

13、客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪，这一点和后面要讲到的“拒绝服务攻击（DDoS）比较相似。4.4 拒绝服务攻击 互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击（DDoS）的难度比较小，但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，并且大量人为地增大CPU的工作量，耗费CPU的工作时间，使其他的用户一直处于等待状态，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站

14、响应速度大大降低或服务器瘫痪。64.5 后门软件攻击后门软件攻击是互联网上比较多的一种攻击手法。BackOrifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，后门软件的服务器端就安装完成了，而且大部分后门软件的重生能力比较强，给用户进行清除造成一定的麻烦。74.6 特洛

15、伊木马 特洛伊木马程序技术是黑客常用的攻击手段。它通过在电脑系统隐藏一个会在Windows启动时运行的程序，采用服务器/客户机的运行方式，从而达到在上网时控制你电脑的目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。此类攻击对计算机的危害极

16、大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。85 计算机网络安全防范策略计算机网络安全从技术上来说，主要由防病毒、防火墙、入侵防御检测等多个安全组件组成，一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有防火墙技术、数据加密技术、入侵防御检测技术、防病毒技术等，以下就此几项技术分别进行分析。5.1 防火墙技术防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访

17、问外界网络的权限。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止黑客随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部。所以，防火墙是网络安全的重要一环。目前，防火墙有两个关键技术，一是包过滤技术，二是代理服务技术。 1、包过滤技术。包过滤技术主要是基于路由的技术，即依据静态或动态的过滤逻辑，在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据

18、包中的用户信息和文件信息进行识别，只能对整个网络提供保护。一般说来，包过滤必须使用两块网卡，即一块网卡连到公网，一块网卡连到内网，以实现对网上通信进行实时和双向的控制。 2、代理服务技术。代理服务又称为应用级防火墙、代理防火墙或应用网关，一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成，其不仅能理解数据包头的信息，还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时，防火墙端的代理服务器即进行连接，IP报文即不再向前转发而进入内网。 以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用，因而在最近十多年里

19、得到了较大地发展，已有四类防火墙在流行，即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。9目前比较好的防火墙有思科、华为-赛门铁克等企业级防火墙。5.2 配置漏洞扫描系统 操作系统和部分软件的漏洞是导致计算机网络安全的一个重要原因，以微软为例，它都会定期通过专门的Update站点来发布最新的更新补丁，对于用户来讲，就是需要及时下载更新，安装并重新启动。如何在病毒和黑客侵犯之前就做好漏洞扫描工作呢？关键是要选好高效安全的桌面管理软件，对企业的IT管理进行完善，在解决企业网络安全这个问题上，第一要弄清楚系统及软件中存在哪些漏洞，存在哪些安全隐患，针对一些自身局域网已经达到一定规模，而且内

20、网与外网实现互联的企业而言，仅仅依靠网管员的技术和经验寻找安全漏洞、做出风险评估，远远是不够的，在这种情况下，就需要挖掘到一款能够及时查找网络安全漏洞、评估并能够提出解决方案的网络安全扫描工具，同时利用操作系统本身的设置以及系统优化和打补丁的方法最大程度上避免最新的安全漏洞，及时消除安全隐患。105.3 入侵防御检测技术入侵检测系统是从多种计算机系统及网络系统中收集信息，再通过这些信息分析入侵特征的网络安全系统。入侵检测在计算机网络安全中的主要作用就是威慑、检测、攻击预测以及损失情况评估等方面，它主要是通过及时检查并发现对计算机网络系统安全构成威胁的行为，在计算机网络安全防范上主要通过以下几种

21、途径：一是对用户及系统活动进行监视，及时检测非法用户和合法用户的越权操作，将潜在的安全隐患显性化；二是通过对已知的危险进攻活动模式进行提示并显示相关预警；三是及时检测系统配置的安全性以及是否存在安全漏洞；四是对异常行为进行统计分析，识别攻击类型，并对重要系统和数据进行安全性评估。 入侵检测系统技术有几个主要的特点： 1、为企业网络提供“虚拟补丁”。预先自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量，使攻击无法到达目的主机，这样即使没有及时安装最新的安全补丁，企业网络仍然不会受到损失。 2、进行“流量净化”。目前企业网络的带宽资源经常被严重占用，主要是在正常流中夹杂了大的非正常流量，如端虫

22、病毒、DOS攻击等恶意流量，以及用户P2P下载、在线视频等垃圾流量，造成网络堵塞。入侵检测系统技术可以过滤正常流中的恶意流，同时对垃圾流量进行控制，为网络加速，还企业一个干净、可用的网络环境。3、加强“内容管理”。随着网络安全向更高层次的发展，对网络内容的管理和控制得到认可和加强。入侵检测系统技术提供对面向应用层和内容层的网络内容安全防护，可以检测并阻断间谍软件、木马后门，并可以对即时通识讯软件、在线视频等的内容进行监控及阻断。115.4 防病毒技术网络中的系统可能会受到多种病毒威胁，对于此可以采用多层的病毒防卫体系。即在每台计算机，每台服务器以及网关上安装相关的防病毒软件。由于病毒在网络中存

23、储、传播、感染的方式各异且途径多种多样，故相应地在构建网络防病毒系统时，应用全方位的企业防毒产品，实施层层设防、集中控制、以防为主、防杀结合的策略。常见的杀毒软件有赛门铁克、诺顿、瑞星等。5.5 网络加密技术 网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。加密数据传输主要有3种：链接加密：在网络节点间加密，在节点间传输加密的信息，传送到节点后解密，不同节点间用不同的密码；节点加密：与链接加密类似，不同的只是当数据在节点间传送时，不用明码格式传送，而是用特殊的加密硬件进行解密和重加密，这种专用硬件通常放置在安全保险箱中；首尾加密：对进入网络的数据加密，然后待数据从

24、网络传送出后再进行解密。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术的不断发展。按作用不同，数据加密技术，主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。125.6 备份及恢复技术为了防止存储设备的异常损坏和病毒的破坏，可采用由热插拔SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。同时，建立强大的数据库触发器和恢复重要数据的操作以及更新任务，确保在任何情况下使重要数据均能最大限度地得到恢复。135.7 加强人事管理面对计算机网络的脆弱性，仅靠技术防范是不够的，人防加技防才是科学的防范体系

25、。要建立一套完善的安全管理制度，加强管理人员技术和安全意识的提高，经验证明，大部分的网络与信息安全是由于人为差错造成的，人事管理的工作在网络与信息安全保护上是至关重要的。结 论计算机网络安全正受到越来越多人的关注，防火墙、杀毒软件、信息加密、入侵检测、安全认证等产品也越来越被人们所熟知，计算机网络安全是一个系统的工程，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，根据所处的网络安全环境不同因地制宜，并将各种安全技术综合结合在一起，才能有利于计算机网络的安全。 计算机网络安全是一个系统的工程，不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护，还要意识到计算机网络系统是一个

26、人机系统，不仅重视对计算机网络安全的硬件产品开发及软件研制，维护计算机网络的安全，还要对相关人员进行安全意识及安全措施方面的培训，并在法律规范等诸多方面加强管理，才可能防微杜渐，而这一点，恰恰是目前计算机网络最薄弱、急需解决的地方。参 考 文 献 1 邓亚平.计算机网络安全.北京：北京人民邮电出版社，20042 任戎.计算机网络安全分析及策略.电脑知识与技术，2009：5813 赵红言，许柯，许杰，赵绪明.计算机网络安全及防范技术.陕西师范大学学报（哲学社会科学版），2007（36）：80814 江岚.计算机网络安全与防范措施.计算机与网络，2009，5485 王群.计算机网络安全技术.北京：

27、清华大学出版社，2004，2126 邵波.计算机安全技术及应用.北京：电子工业出版社7 王贤亮.计算机网络安全常见攻击与防范.信息与电脑，2010（01），948 谢希仁.计算机网络第四版.北京:电子工业出版社9 William Stallings.Network Security Essentials：Applications and Standards.Tsinghua University Press,2002 10 EricMaiwald.Wi1liEducation.Security Planning&DisasterRecoveryM.Beijing:Posts&Telecommunications Press,2003:8694 11 薛静锋，宁宇鹏.入侵检测技术.北京：机械工业出版社，200412 刘彦戎.计算机网络安全问题分析.信息科学，2010，90 13 黄贤英，龚箭.大型企业计算机网络安全实施方案.计算机安全，2003（2），24