计算机网络安全解决方案.doc

1、摘 要随着计算机和网络的飞速发展，网络已经涉及到国家、政府、军事、文教等诸多领城，如今的网络已经成为人们生活中不可缺少的一部分，人们对信息网络系统的需求和依赖程度正在日益增加，与此同时，网络安全问题也变得非常严重。因此，在开展网络应用时，加强网络的安全保障显得越来越重要.本文概要地介绍了计算机网络安全以及计算机网络面临的主要威胁，提出了相应的计算机网络安全管理措施.关键词：计算机；网络安全；防范目录摘 要I1网络的发展及网络安全现状11.1网络的发展状况11.2网络安全的现状12、计算机网络安全的威胁12.1非破坏性攻击12.2破坏性攻击22.3用户操作失误22.4恶意程序攻击22.5软件漏洞

2、和“后门”23、网络攻击和入侵的主要途径23.1破译口令欺骗33.2IP欺骗33.3DNS欺骗34.计算机网络安全解决方案34.1加密技术44.2防火墙技术44.3访问控制技术44.4用户识别技术54.5通信网络内部协议安全54.6网络安全的防范55、结束语6参考文献6 中国最大的论文知识平台随着计算机应用越来越普遍，越来越频繁，计算机网络的安全与防范成为日常工作中的关键部分。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。1网络的发展及网络安全现状1.1网

3、络的发展状况随着英特尔网的规模不断扩大，英特尔入网的主机人数在飞速增长，在2009年7月中国互联网络中心发布的第二十四次中国互联网络发展状况统计报告中描述，我国网民规模、宽带网民数、国家顶级域名注册量（1296万）三项指标仍然稳居世界第一，互联网普及率稳步提升。网民达3.38亿，手机上网用户达1.55亿。1.2网络安全的现状近年来，在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。CNNIC报告指出，半年内有1.95亿网民上网时遇到过病毒和木马的攻击，1.1亿网民遇到过账号或密码被盗的问题。据有关方面统计，美国每年由于网络安全问题而遭受的经济损失超过

4、170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。尽管我们正在广泛地使用各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。2、计算机网络安全的威胁2.1非破坏性攻击攻击者只是观察某一个网络中的协议数据单元PDU。而不干扰信息流。他通过观察PDU的协议部分，了解正在通信的协议和计算机的地址和身份。研究PDU的长度和传输的频度，以便了解所交换的数据的性质，这种攻击也叫被动攻击。

5、2.2破坏性攻击攻击者通过对某个连接中通过PDU进行各种处理，如有选择地更改、删除、延迟这些数据包，甚至将合成或伪造的PDU送人一个连接中去，这种攻击又叫主动攻击。其中破坏性攻击又分为三种：(1)拒绝报文服务：指攻击或者删除通过某一连接的所有PDU，或者将双方单元的所有PDU加以延迟；(2)更攻报文流：包括对通过连接的PDU的真实性，完整性和有序性的攻击； (3)伪造连接初始化：攻击者重放以前被记录次方法连接初始化序列或者伪造身份而企图建立连接。2.3用户操作失误用户安全意识不强，用户口令设置简单，用户将自己的帐号随意泄露等，都会对网络安全带来威胁。2.4恶意程序攻击这种攻击主要有以下几种：（

6、1）计算机病毒：一种会“传染”其他程序的程序，“传染”是通过修改其它程序来把自身或其变种复制进去完成的；(2)特洛伊木马：一种执行超出程序定义之外的程序。(3)计算机蠕虫：一种通过网络的通信功能将自身从一个节点发送到另一个节点并启动之的程序；（4）逻辑炸弹：一种当运行环境满足某种特定条件时执行其它特殊功能的程序。2.5软件漏洞和“后门”现在使用的网络软件或多或少存在一定的缺陷和漏洞，而黑客恰恰可以利用这些漏洞和缺陷进行攻击。另外，软件的“后门”都是软件设计编程人员为了自己方便而设置的，一般不为外人所知，但是一旦“后门”泄露，攻击者将会很容易地利用“后门”进入计算机。3、网络攻击和入侵的主要途径

7、网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。3.1破译口令欺骗口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。3.2IP欺骗IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TC

8、P/IP网络协议的脆弱性。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺骗。3.3DNS欺骗域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名-IP地址映射

9、表时，DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而，当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器，也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。4.计算机网络安全解决方案为了保护网络资源，我国制定了(计算机网络国际互联网安全管理办法，除了运用一定的法律和管理的手段外，还必须针对网络安全所存在的各方面问题，采用相应的技术对策，以保证网络的正常运行，阻止危害国家，个人利益的行为发生。目前，在保护网络安全措施主要有以下几种方

10、式：防火墙技术、加密技术、访问控制技术、病毒防范技术等。4.1加密技术数据加密的目的在于保护网内的数据、文件、口令和控制信息，保护网络上传输的数据。信息加密过程由各种加密算法来具体实施，它以较小的代价来获取一定的安全保护。在绝大部分情况下信息加密是保证信息机密性的惟一方法。按照信息发送方和接收方的密钥是否相同来分类，通常将密码体制划分为对称密钥(单钥)和密钥公开密钥(双钥)两种，如DES及RSA是它们的典型代表。对称密钥的优点是具有很高的保密强度，但其密钥必须通过安全的途径传送，密钥管理困难。公钥密码的优点是可以适应网络的开放性要求，密钥管理问题也显得较为简单，可方便地实现数字签名及验证。但其

11、算法复杂，加密数据的速率较低。随着现代电子技术和密码技术的发展，公钥密码算法将逐渐成为网络安全加密体制的主流。在网络安全应用中人们通常将常规密码和公钥密码结合使用。4.2防火墙技术防火墙技术，最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访间。目前，防火墙采取的技术，主要是包过滤、应用网关、子网屏蔽、代理服务等。 “防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块，而它所防范的对象是来自被保护网块外部的安全

12、威胁。由此，防火墙技术最适合于在企业专网中使用，特别是在企业专网与公共网络互连时的便用。4.3访问控制技术访问控制技术用来确定用户访问权限，防止非法用户进入网络系统的技术，是网络安全防范和保护的主要核心策略，主要包括网络访问控制、网络权限控制、目录级控制以及属性控制等多种手段。入网访问控制为网络访问提供了第一层访问控制，它控制哪里用户能够登陆并获取网络资源，控制准许用户入网时间和在哪台工作站入网；网络权限控制是针对网络非法操作所提出的一种安全保护措施，用以控制用户和用户组可以访问哪些目录、子目录、文件和其它资源；目录级安全控制可以指定用户在目录一级的权限，使其对所有文件和子目录有效，还可进一步

13、指定对目录下的子目录和文件的权限；属性控制可以控制用户向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享等操作。4.4用户识别技术为了使网络具有是否允许用户存取数据的判别能力，避免出现非法传送、复制或篡改数据等不安全现象，网络需要采用的识别技术。常用的识别方法有口令、唯一标识符、标记识别等。口令是最常用的识别用户的方法，通常是由计算机系统随机产生，不易猜测、保密性强，必要时，还可以随时更改，实行固定或不固定使用有效期制度，进一步提高网络使用的安全性；唯一标识符一般用于高度安全的网络系统，采用对存取控制和网络管理实行精确而唯一的标识用户的方法，每个用户的唯一

14、标识符是由网络系统在用户建立时生成的一个数字，且该数字在系统周期内不会被别的用户再度使用；标记识别是一种包括一个随机精确码卡片（如磁卡等）的识别方式，一个标记是一个口令的物理实现，用它来代替系统打入一个口令。一个用户必须具有一个卡片，但为了提高安全性，可以用于多个口令的使用。4.5通信网络内部协议安全通信网络中的链路层协议、路由协议、信令协议等各个控制协议维系着基本的网络运行功能，是通信网络的神经系统。通常，恶意攻击者往往选择通过通信内部协议进行攻击，攻击的主要方式主要是通过对协议数据的截获、破译、分析等来获得网络相关资源信息，并通过重放截获的协议数据、假冒合法用户发起协议过程、直接修改或破坏

15、协议数据等方式，扰乱网络正常协议的运行，造成非法入侵、服务中断等。因此，通信网络内部协议的安全性主要应通过数据的认证或完整性鉴别技术，实现协议的安全变异和重构，基本工具有密钥算法和哈希函数，通过它们来实现对协议完整性鉴别。在安全协议的设计过程中，如果能够做到对于一个完整的信令过程一次加密，则通信网络的安全性能就能够得到保证。4.6网络安全的防范从技术的角度看网络是没有绝对安全的，因此应该养成如下七个好习惯：1)应该定期升级所安装的杀毒软件（如果安装的是网络版可在安装时可先将其定为自动升级），给操作系统打补丁、升级引擎和病毒定义码；2)一定不要打开不认识的邮件，不可随意下载软件。同时，网上下载的

16、程序或者文件在运行或打开前要对其进行病毒扫描；3)不要随意浏览黑客网站（包括正规的黑客网站）、色情网站；4)要尽量去备份。其实备份是最安全的，尤其是最重要的数据和文章，很多时候，比安装防御产品更重要；5)每个星期都应该对电脑进行一次全面地杀毒、扫描工作，以便发现并消除隐藏在系统中的病毒；6)应该注意尽量不要所有的地方都使用同一个密码，这样一旦被黑客猜测出来，一切个人资料都被泄露；7)当不慎染上病毒时，应该立即将杀毒软件升级到最新版本，然后对整个硬盘进行扫描操作，清除一切可以查杀的病毒。5、结束语随着计算机技术的迅猛发展。全国乃至全球范围的计算机互联网络不断地高速发展并日益深人到国民经济的各个部

17、门和社会生活的各个方面，信息以成为社会发展的重要战略，而网络安全技术是其不可不可或缺的保证。但是，网络安全不仅仅是技术问题，更多的是社会问题，应该加强网络安全方面的宣传和教育。网络安全是一个系统的工程，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术，如密码技术等结合在一起，才能生成一个高效、通用、安全的网络系统。它不仅是网络搭建完成并投入使用后才应注意的问题，而是从网络组建开始就必须考虑的一个非常重要的问题。参考文献1 谢希仁编著.计算机网络.电子工业出版社.2008-1-12 徐明成等编著.计算机网络原理与应用技术.电子工业出版社2009-53 张福炎孙志挥编著.大学计算机信息技术教程(第三版).南京大学出版社.20084 王之灵.基于管理技术的安全网络管理系统M.计算机网络技术，2009(12).5 陈建伟，张辉.计算机网络与信息安全M.北京：中国林业出版社，2009.6 曹琦.陈丽网络安全与防火墙.7 杨云江.计算机与网络安全实用技术M.北京：清华大学出版社，8 王建军，李世英.计算机网络安全问题的分析与探讨J.赤峰学院学报，2009，(1)：48-49.9 白兆辉.浅析计算机网络安全防范的几种关键技术J.科技信息，2009(23)：62.