计算机网络安全研究毕业论文.doc

《计算机网络安全研究毕业论文.doc》由会员分享，可在线阅读，更多相关《计算机网络安全研究毕业论文.doc（15页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、毕业论文计算机网络安全研究系 别 信息系统与信息管理 专 业 年 级 信息0505 学 生 姓 名 学 号 指 导 教 师 职 称 13 摘 要计算机的安全是一个越来越引起世界各国关注的重要问题，也是一个十分复杂的课题。计算机的出现和普及使人类社会步入了信息时代，随着计算机在人类生活各领域中的广泛应用和互联网上业务的增加，计算机病毒也在不断产生和传播。同时，计算机网络不断地遭到非法入侵，重要情报资料不断地被窃取，甚至由此造成网络系统的瘫痪等，已给各个国家以及众多公司造成巨大的经济损失，甚至危害到国家和地区的安全。因此计算机系统的安全问题是一个关系到人类生活与生存的大事情，必须充分重视并设法解决

2、它。本文主要对计算机安全性进行了研究，主要内容包括计算机网络安全现状、计算机网络的安全策略以及如何保护内部网络的安全三部分。【关键词】计算机安全 访问控制策略 内网安全目 录一、计算机网络安全现状(2)（一）计算机安全概念(2)（二）计算机犯罪定义(2)（三）计算机黑客(3)二、计算机网络的安全策略(4)（一）设置防火墙(4)（二）对数据进行加密(5)（三）完善认证技术(5)（四）使用入侵检测系统(6)（五）设立防病毒体系(6)（六）有效的数据保护(8)三、保护内部网络的安全策略(8)（一）物理安全策略(8)（二）访问控制策略(9)注 释(XX)参考文献(10) 致 谢.(10)注: 三级目录

3、可视情况确定是否写入目录。一、计算机网络安全现状随着Internet、Intranet加剧全球性信息化，信息网络技术的应用日益普及和深入，网络安全成为网络应用的重大隐患。由于网络安全的脆弱性而导致的经济损失每年都在快速增长，企业追加网络安全方面的资金。各国政府也纷纷开始重视，加强管理和加大投入。目前计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，归结起来主要以人为的无意失误，人为的恶意攻击，网络软件的漏洞和“后门” 三个因素为主。下面分别将从计算机安全，计算机犯罪，黑客三个方面做详细阐述。（一）计算机安全概念计算机安全是指计算机系

4、统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改和泄漏，系统能连续正常运行。从技术上讲，计算机安全分为实体的安全性，运行环境的安全性，信息的安全性三种。1. 实体的安全性它用来保证硬件和软件本身的安全。2. 运行环境的安全性它用来保证计算机能在良好的环境中持续工作。3. 信息的安全性它用来保障信息不会被非法阅读、修改和泄漏。也可以根据计算机系统组成的层次结构，分为硬件及其运行环境（温度、湿度、灰尘、腐蚀、电气与电磁干扰）安全、操作系统安全、数据库安全和应用软件安全等四部分。（二）计算机犯罪定义计算机犯罪与计算机安全密切相关。随着计算机技术的飞速发展，计算机在社会中应用领域的

5、急剧扩大，计算机犯罪的类型和领域不断地增加和扩展，从而使“计算机犯罪”这一术语随着时间的推移而不断获得新的涵义。目前在学术研究上关于计算机犯罪迄今为止尚无统一的定义。结合刑法条文的有关规定和我国计算机犯罪的实际情况,我认为计算机犯罪的概念可以有广义和狭义之分: 广义的计算机犯罪是指行为人故意直接对计算机实施侵入或破坏，或者利用计算机实施有关金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其它犯罪行为的总称；狭义的计算机犯罪仅指行为人违反国家规定，故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏、制作、传播计算机病毒

6、，影响计算机系统正常运行且造成严重后果的行为。计算机犯罪的主要手段有：1修改程序和数据 为了非法得到他人财产，犯罪分子采取修改程序或数据的方法，使财产转移到自己的控制之下。2扩大授权从系统程序入手，利用系统的漏洞获取授权，访问非授权文件或执行非授权命令。3释放有害程序其中包括计算机病毒、特洛伊木马、蠕虫、逻辑炸弹等。（二）计算机黑客计算机黑客是指那些具有计算机网络技术专长，能够完成入侵、访问、控制与破坏目标网络信息系统的人，故称为网络攻击者或入侵者。早期黑客是指民间的一类计算机高手。他们对计算机程序的各种内部结构特征研究得十分深入透彻，善于发现系统存在的弱点和漏洞，甚至以发现用户系统漏洞为嗜好

7、，以帮助完善用户系统，一般没有破坏用户系统或数据的企图。 然而，现在“黑客”已演变为“网络入侵者”的代名词，是指一些恶意的网络系统入侵者。他们通过种种手段侵入他人系统，窃取机密信息，扰乱或破坏系统。他们利用主机操作系统自身的缺陷，破坏整个主机系统的操作能力，或干扰网络传输协议使数据传输出现紊乱；或截获部分加密数据使用户端因数据丢失而无法恢复密文；或破译用户口令非法获取他人私有资源；或将一些有害信息放于网上传播等等。黑客攻击手段也是随着计算机及其网络技术的发展而不断发展的，目前已达4000多种。常用的攻击手段主要分为网络扫描、网络窃听、密码破译、口令攻击、拒绝服务攻击、缓冲区溢出攻击、病毒攻击、

8、特洛伊木马攻击、逻辑炸弹攻击和网络欺骗攻击等。黑客按照其隐蔽性可分为主动攻击和被动攻击；按其来源可分为本地攻击和远程攻击；按其攻击的目的可分为窃密性攻击和破坏性攻击。二、计算机网络的安全策略由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。我国网络安全方面暴露问题比较突出的有五个方面：计算机病毒泛滥；木马程序带来安全保密方面的隐患；易受黑客攻击特别是洪流攻击；垃圾邮件阻塞网络；网络安全的威胁开始蔓延到应用的环节，其中Windows占70%，UNIX占30%。所以网上信息的安全和保密是一个至关重要的问题。因此，上述的

9、网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及部门安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。为了确保计算机网络安全，需要制定五种基本策略，分别是设置防火墙，对数据进行加密，建立完善认证技术，使用入侵检测系统，设立病毒体系，数据保护。（一）设置防火墙防火墙是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是不被非法用户侵入。本质上，它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通讯，只允许授

10、权的通讯。按照一个企业的安全体系，一般可以在以下位置部署防火墙：局域网内的VLAN之间控制信息流向时；Intranet与Internet之间连接时。在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac，ChinaDDN，Farme Relay等连接）在总部的局域网和各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网。总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用VPN组成虚拟专网。在远程用户拨号访问时，加入虚拟专网。（二）数据加密数据加密作为一项基本技术是所有通信安全的基石据不完全统计，到目

11、前为止，已经公开发表的各种加密算法多达数百种。按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。比较著名的常规密码算法有：美国的DES及其各种变形，；欧洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5等。其中影响最大的是DES密码。 常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、零知识证明的

12、算法、椭圆曲线、EIGamal算法等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。（三）认证技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证过程通常涉及到加密和密钥交换。常见的认证技术User Name/Password认证，使用摘要算法的认证，基于PKI的认证，数字签名认证（四）入侵检测入侵检测技术是一种主动保护自己免受黑客攻击的一种新型网络安全技术。入侵检测技术扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全结构的完整性。总的

13、来讲，入侵检测系统的功能有：监视用户和系统的运行状况，查找非法用户和合法用户的越权操作；检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；对用户的非正常活动进行统计分析，发现入侵行为的规律；检查系统程序和数据的一致性与正性；能够实时对检测到的入侵行为做出反应；操作系统的审计管理。 （五）查杀病毒计算机病毒的传染性是计算机病毒最基本的特性，病毒的传染性是病毒赖以生存繁殖的条件， 计算机病毒的传播主要通过文件拷贝、文件传送、文件执行等方式进行，文件拷贝与文件传送需要传输媒介，文件执行则是病毒感染的必然途径（Word、Excel等宏病毒通过Word、Excel调用间接地执行），因此，病毒传播与文

14、件传播媒体的变化有着直接关系。计算机病毒对网络工作站的传播途径主要有:1.利用软盘读写进行传播 这是最古老、最有效的病毒攻击手段。通过受感染的软盘启动系统，引导型病毒进入系统引导区或系统分区表；通过拷贝和运行受感染程序，文件型病毒进行传染。2.通过CDROM读写进行传播 CDROM驱动器已成为计算机硬件系统的基本配置之一。低劣的CDROM盘片是计算机病毒最好的寄生地和传染源。 3通过网络共享进行攻击。企业局域网络的应用日益普及，高效的企业信息管理系统和办公自动化系统离不开局域网络的支持。网络的基本功能之一是资源共享，而受病毒感染的文件共享所造成的恶果，是传统病毒传染途径所力不能及的。 4通过电

15、子邮件系统进行攻击电子邮件系统已成为人们交换信息最方便、快捷的工具之一，通过受感染的电子邮件附加文件传播病毒，也已成为计算机病毒打破地域、时域限制进行传播的主要手段。宏病毒长期命列病毒流行榜首位的事实正是最有力的说明。5通过FTP下载进行攻击FTP服务器提供通过INTERNET获取文件资料的功能。计算机病毒程序同样可以下载到本地硬盘中，同时，为节省网络带宽，FTP服务器上的文件通常采用压缩打包的形式，经过压缩后的病毒文件也就更具隐蔽性。 6通过WWW浏览进行攻击计算机病毒开始采用JAVA、ACTIVEX技术，当用户访问某些未知站点时，就有遭受恶意JAVA、ACTIVEX程序攻击的威胁。而这种威

16、胁有时很难防范。7通过系统漏洞进行攻击最新病毒迹象表明，病毒开始利用许多黑客技术，利用一些操作系统的漏洞，直接通过TCP/IP在网上自行传播，速度极快。（五）数据保护一般来讲，数据保护主要有据备份技术，服务器容错技术，容灾技术三种。网络的备份系统，系统管理员可对全网的备份策略进行统一管理，备份服务器可以监控所有机器的备份作业，也可以修改备份策略，并可即时浏览所有目录。所有数据可以备份到同备份服务器或应用服务器相连的任意一台磁带库内。服务器容错技术可以通过双机热备和服务器集群实现。双机热备通过系统冗余的方法解决计算机应用系统的可靠性问题，并具有安装维护简单、稳定可靠、监测直观等优点；一个服务器群

17、是通过将多台服务器互联在一起而形成的。它以松散的成对配置共享资源。具有一定的自我修正能力，保证系统24x7的不间断运行，把非计划停机时间降到最低。异地容灾解决方案以存储区域网络(SAN)为基础，通过光纤通道SAN或借助于广域网扩展的SAN到远程的复制，支持同步和异步的容灾镜像，支持全面的磁盘同步，当出现很大的灾难时，确保这些数据在另外一个地点的在线拷贝是可用的，以支持尽快恢复在另一台机器上的关键处理。三、保护内部网络的安全策略（一）物理安全策略网络安全专家表示，虽然网络遭到黑客愈来愈频繁的入侵，但有许多企业并未以足够认真的态度对待网络安全问题。国际数据公司()的亚太地区副总裁表示，大部分机构对

18、网络安全问题的重要性都有某种程度的了解，但也许必须等到真正发生重大事件，才能看出其中的重要性与紧迫性。IDC去年对亚太地区819家企业及政府机构进行调查发现，其中只有四分之一建立了完善的安全保障体系。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另

19、一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。（二）访问安全策略据2003年有关资料显示，95%的与互联网相联的网络管理中心都遭到过境内外黑客的攻击或侵入，受害涉及的覆盖面很大、程度越来越深。据国际互联网保安公司Symantec2002年的报告指出，中国甚至已经成为全球黑客的第三大来源地，竟然有6.9%的攻击互联网活动都是由中国发出的。

20、另一方面，从国家计算机病毒应急处理中心日常监测结果来看，近几年计算机病毒呈现出异常活跃的态势。在2001年，我国有73%的计算机曾感染病毒，到了2002年上升到83.98%，2003年又增加到85.57%。据统计，近年来计算机病毒给全球造成损失的情况为1999年是36亿美元，2000年是42亿美元；2001年暴涨到129亿美元；2002年超过200亿美元；2003年又超过280亿美元。而在2007年仅在中国“熊猫烧香”爆发直接和间接损失达上亿元。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略

21、必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。1入网访问控制入网访问控制控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。它可分为用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查三个步骤。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长

22、度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有基于公钥加密方案的口令加密，基于数字签名方案的口令加密等。网络管理员可以控制和限制普通用户的帐号使用、访问网络的时间、方式。系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。2网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可

23、以根据访问权限将用户分为用户系统管理员，审计用户和一般用户。系统管理员根据他们的实际需要为他们分配操作权限；审计用户负责网络的安全控制与资源使用情况的审计。3目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。八种访问权限的

24、有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。4属性安全控制属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。5网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除

25、软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。6网络监测和锁定控制网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。7网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防

26、止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。8防火墙控制防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有包过滤防火墙，代理防火墙，双穴主机防火墙三种类型。参考文献1 林斌.论不确定性会计M.北京：中国财政经济出版社，2000年

27、版。2 赵扬.会计职业判断管见J.财会通讯，2004.（2）.3 刘荫铭.计算机安全技术M. 北京： 清华大学出版社,2000年版 4 赫顿.网络防御与安全对策M. 北京：清华大学出版社, 2004年版5 陈彦学.信息安全理论与实务M. 北京：中国铁道出版社,2001年版6 卿斯汉，蒋建春.网络攻防技术原理与实战M. 北京：科学出版社,2004年版7 美惠特曼.美马托德.信息安全原理M. 北京：清华大学出版社,2004年版8 北京艾克斯特公司.内网信息安全终端解决案. 2006-01-189 赛迪网.系统安全知识:教你用十大策略保证内网计算机安 全. 2006-08-2810 云舒.安全登录的跨平台解决方案V1.1. 2007-11-2611 Bernard V. The Felthem-ohlson framework: Implication for empiricistsJ. Contemporary Accounting Research，1995，Spring.