重庆邮电大学高等函授 专科毕业设计(论文)
设计(论文)题目: 网络安全之木马病毒防范措施
入学年月 2011年3月 姓 名 2222222 学 号 11822222 专 业 计算机信息管理 所属科站 重庆新华电脑学校 指导教师 郭宇棋
完成日期 2012 年 6 月 20 日
重庆邮电大学高等函授毕业设计(专科)任务书
注:第2页/共2页;本表由指导教师填写一式三份。
重庆邮电大学高等函授毕业设计(专科)评定表
重庆邮电大学高等函授毕业设计(专科) 评阅意见表
【摘要】 我们知道, 21世纪的一些重要特征就是数字化, 网络化和信息化, 它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时, 应着力发展自己独特的安全产品, 我国要想真正解决网络安全问题, 最终的办法就是通过发展名族的安全产业, 带动我国网络安全技术的整体提高。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。 【关键词】网络安全 措施 对策
目 录
前 言...................................................................... 1 第一章 计算机网络安全的概述................................................ 2
第一节 计算机网络安全的含义 ............................................ 2 第二节 计算机网络安全的理论基础 ......................................... 3 第三节 计算机网络安全应具备的功能 ...................................... 4 第四节 网络安全策略 .................................................... 4
一、安全策略分类..................................................... 4 二、安全策略的配置................................................... 5
第二章 计算机网络不安全因素................................................ 6
第一节 计算机网络的脆弱性 .............................................. 6 第二节 网络开放性带来的问题 ........................................... 6 第三节 操作系统存在的安全问题 ......................................... 7 第四节 防火墙的脆弱性 ................................................. 8 第三章 提高计算机网络安全技术............................................. 10
第一节 网络安全的审计和跟踪技术 ...................................... 10 第二节 网络安全管理 .................................................. 10 第三节 运用防火墙技术及工作原理 ...................................... 11 第四节 数据加密技术 .................................................. 12 第五节 网络病毒防范 .................................................. 13 第四章 网络安全体系架构................................................... 15 第五章 网络安全防范....................................................... 16
第一节 Telnet入侵防范................................................ 16 第二节 防止Administrator 账号被破解 .................................. 16 第三节 网页恶意代码及防范 ............................................ 17
一、目前,网页中的恶意代码开始威胁到网络系统安全,一般分为以下
几种:.............................................................. 17 二、网页恶意代码的防范措施:........................................ 17
第四节 “木马”防范措施 .............................................. 18
一、“木马”概述..................................................... 18 二、“木马”防范措施................................................. 18
结 论...................................................................... 20 结束语..................................................................... 21 参考文献................................................................... 22
前 言
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,我们在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网世界范围内的信息共享和业务处理功能。网络信息已经成为社会发展的重要组成部分。但随之而来的是,计算机网络安全受到前所未有的威胁,由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,使得这些网络信息容易受到来自世界各地的人为攻击(例如:信息泄露、窃取、数据篡改、数据删添、计算机病毒等)。要保护这些信息就需要有一套完善的网络安全保护机制,然而信息化的不断扩展,各类网络版应用软件推广应用、计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的征程顺利运转是基本前提,因此计算机网络和系统安全建设就显得尤为重要,计算机网络技术的发展,网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。
第一章 计算机网络安全的概述
第一节 计算机网络安全的含义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可适用性受到保护。网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的保密性、完整性和可用性。
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)角度,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
网络安全的基本组成:(1)网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等;(2)软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全:如保护网络信息的数据安全,不被非法存取,保护其完整、一致等;(4)网络安全管理:如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析等内容。
第二节 计算机网络安全的理论基础
国际标准化组织(ISO )曾建议计算机安全的定义为:“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了昂住计算机用户区分和解决计算机网络安全问题,对多用户计算机系统安全级别的划分进行了规定。
在网络的具体设计过程中,应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等,综合考虑来确定一个比较合理、性能较高的网络安全级别,从而实现网络的安全性和可靠性。
第三节 计算机网络安全应具备的功能
网络安全应具备的功能,为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
1. 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
2. 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
3. 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
4. 加密通讯:主动加密通讯,可使攻击者不能了解、修改敏感信息。
5. 备份和恢复:良好的备份和恢复机制,可在攻击造成损失前,尽快的恢复数据和系统服务。
6. 多层防御: 攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
第四节 网络安全策略
策略通常是一般性的规范,只提出相应的重点,而不确切地说明如何达到所要的结果,因此策略属于安全技术规范的最高一级。
一、安全策略分类
安全策略分为基于身份的安全策略和基于规则的安全策略。基于身份的安全策略是过滤对数据或资源的访问,有两种执行方法:若访问权限为访问者所有,典型的作法为特权标记或特殊授权,即仅为用户及相应活动进程进行授权;若为
访问数据所有则可以采用访问控制表(ACL )。着两种情况中,数据项的大小有很大的变化,数据项的大小有很大的变化,数据权力命名也可以带自己的ACL 。基于规则的安全策略是指建立在特定的,个性化属性之上的授权准则,授权通常依赖于敏感性。在一个安全系统中,数据或资源应该标注安全标记,而且用户活动应该得到相应的安全标记。
二、安全策略的配置
开放式网络环境下用户的合法权益通常受到两种方式的侵害:主动攻击和被动攻击,主动攻击包括对用户信息的窃取,对信息流量的分析。根据用户对安全的需求才可用采用以下的保护:
1. 身份认证:检验用户的身份是否合法、防止身份冒充、及对用户实时访问控制数据完整性鉴别、防止数据被伪造、修改和删除。
2. 信息保密:防止用户数据被泄、窃取、保护用户的隐私。
3. 数字签名:防止用户否认对数据所做的处理。
4. 访问控制:对用户的访问权限进行控制。
5. 不可否认性:也称不可抵赖性,即防止对数据操作的否认。
第二章 计算机网络不安全因素
第一节 计算机网络的脆弱性
造成计算机网络安全问题的因素很多,但是可以把他们归纳为两大类:即外在的威胁和内在的脆弱性。从威胁的角度来看,潜在的威胁源增多,威胁发生的可能性增大,如果把威胁看作外因,那么系统不安全的内因,也可以说最根本的原因,在于计算机网络本身存在脆弱性,而且这种脆弱性问题也越来越严重。
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有几点:
1. 网络的开放性,网络的技术是全开放的,是的网络所面临的攻击来自多方面。或者来自物理传输线路的攻击,或者来自对网络通信协议的攻击,以及对计算软件、硬件的漏洞实施攻击。
2. 网络的国际性,意味着对网络的攻击不仅是来自本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
3. 网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,发布和获取各类信息。
第二节 网络开放性带来的问题
众所周知,Internet 是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT 在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT 本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP 源码问题,这个问题在IIS 服务器4.0以前一直存在,它是IIS 服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP 程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB 访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
第三节 操作系统存在的安全问题
操作系统是作为一个支撑软件,是的你的成勋或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源,操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,
都给网络安全留下隐患。
1. 操作系统结构体系的缺陷:操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及到一些模板或程序,在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2. 操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP ,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像远程调用、文件传输,如果安装间谍程序,在使用过程都会被人监视,所有的这些都可能给操作系统带来安全隐患,建议尽量少使用一些来历不明,或者无法证明其安全性的软件。
3. 操作系统的后门和漏洞,后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得意方便修改程序设计中的不足。一旦后门被黑利用,或在发布软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄露和丢失。此外,操作系统的无口令的入口,也是信息安全存在的隐患。
第四节 防火墙的脆弱性
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术包括过滤技术、状态监测技术、应用网关技术。过滤技术是指在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中每个数据包,根据数据包的源地址、目标地址、以及所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态机制,将属于统一连接的所有座位一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与
传统过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
防火墙由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,它是一种计算机硬件和软件的结合体,使用I 奈特人net 与Intranet 之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。单防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯,并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN 内部的攻击,若是内部的人和外部的人联合起来,既是防火墙在强,也没有优势,它甚至不能保护你免受所有那些它能检测到的攻击,随着技术的发展,还有一些破解方法也使得防火墙造成一定隐患,这就是防火墙的局限性。
第三章 提高计算机网络安全技术
第一节 网络安全的审计和跟踪技术
审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有:入侵检测系统(IDS )、漏洞扫描系统、安全审计系统,等等。我们以IDS 为例,IDS 是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。
第二节 网络安全管理
面对玩过安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密设施外,还必须花大力气加强网络安全管理,因为诸多的不安全因素恰恰反映了组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的问题。
安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范,具体工作如下:
1 根据工作的重要程度,确定该系统的安全等级。 ○
2 根据确定的安全等级,确定安全管理范围。 ○
3 制订相应的机房出入管理制度,对于安全等级要求搞的系统,要实行分区。 ○
第三节 运用防火墙技术及工作原理
防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。不仅如此,防火墙作为网络安全的监视点,它还可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。防火墙的体系结构有三种:(1)双重宿主主机体系结构。它是围绕具有双重宿主功能的主机而构筑的,是最基本的防火墙结构。主机充当路由器,是内外网络的接口,能够从一个网络向另一个网络发送IP 数据包。这种类型的防火墙完全依赖于主机,因此该主机的负载一般较大,容易成为网络瓶颈。对于只进行IP 层过滤的安全要求来说,只需在两块网卡之间转发的模块上插入对IP 包的ACL 控制即可。但是如果要对应用层进行代理控制,其代理就要设置到这台双宿主主机上,所有的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号,增加了联网的复杂性。(2)屏蔽主机体系结构,又称主机过滤结构,它使用一个单独的路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构,这种结构允许数据包从Internet 上进入内部网络,因此对路由器的配置要求较高。(3)屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全层,并通过添加周边网络更进一步把内部网络和Internet 隔离开。为此这种结构需要两个路由器,一个位于周边网络和内部网络之间,另一个在周边网络和外部网络之间,这样黑客即使攻破了堡垒主机,也不能直接入侵内部网络,因为他还需要攻破另外一个路由
器。
从防火墙的作用可以看出,防火墙必须具备两个要求:保障内部网安全和保障内部 网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。
防火墙根据功能实现在 TCP/IP 网络模型中的层次,其实现原理可以分为三类:在 网络层实现防火墙功能为分组过滤技术;在应用层实现防火墙功能为代理服务技术;在 网络层,IP 层,应用层三层实现防火墙为状态检测技术。
(1)分组过滤技术 实际上是基于路由器技术,它通常由分组过滤路由器对IP 分组进行分组选择,允 许或拒绝特定的IP 数据包,工作于IP 层。
(2)代理服务技术 以一个高层的应用网关作为代理服务器,接受外来的应用连接请求,在代理服务器 上进行安全检查后,再与被保护的应用服务器连接,使外部用户可以在受控制的前提下 使用内部网络的服务,由于代理服务作用于应用层,它能解释应用层上的协议,能够作复杂和更细粒度的 访问控制;同时,由于所有进出服务器的客户请求必须通过代理网关的检查,可以作出 精细的注册和审计记录,并且可以与认证、授权等安全手段方便地集成,为客户和服务 提供更高层次的安全保护。
(3)状态检测技术 此技术工作在IP/TCP/应用层,它结合了分组过滤和代理服务技术的特点,它同分 组过滤一样,在应用层上检查数据包的内容,分析高层的协议数据,查看内容是否符 合网络安全策略。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势,由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP 链接中的PUT 命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄,证实由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响。
第四节 数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。主要存在两种主要的加密类型:私匙加密和公匙加密。
1. 私匙加密。私匙加密又称为密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2. 公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢的多,不过若将两者结合起来,就可以得到一个更复杂的系统。防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,他们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN 、检视和入侵检测技术。
第五节 网络病毒防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网
络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。
第四章 网络安全体系架构
网络安全的任何一项工作,都必须在网络安全组织、网络安全策略、网络安全技术、网络安全运行体系的总和作用下才能取得成效。首先必须有具体的人和组织来承担安全工作,并且赋予组织相应的责任权;其实必须有相应的安全策略来指导和规范安全工作的开展;再次若有了安全组织、安全目标和安全策略后,需要选择合适的安全技术方案来满足安全目标;最后在确定了安全组织、安全策略、安全技术后、必须通过规范的运作过程来实施安全工作,将安全组织、安全策略和安全技术有机地结合起来,形成了一个相符推动、相互联系地整体,通过实际的工程运作和动态的运营维护,最终实现安全工作目标。
完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系。
第五章 网络安全防范
第一节 Telnet 入侵防范
Telnet 协议是 TCP/IP 协议族中的一员,是 Internet 远程登录服务的标准协 议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终 端使用者的电脑上使用telnet 程序, 用它连接到服务器。 终端使用者可以在telnet 程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输 入一样。可以在本地就能控制服务器。要开始一个 telnet 会话,必须输入用户名 和密码来登录服务器。Telnet 是常用的远程控制 Web 服务器的方法。 telnet可能是黑客常用的攻击方式,我们可以通过修改telnet 服务端口,停用 telnet服务,甚至把telnet 控制台管理工具删除。
第二节 防止Administrator 账号被破解
Windows 2000/xp/2003系统的 Administrator账号是不能被停用的,也不能设置安全策略,这样黑客就可以一遍又一遍地尝试这个账号的密码,直到被破解,为了防止这 种侵入,我们可以把 Administrator账号更名:在“组策略”窗口中,依次展开“本地计算机策略”/“计算机配置”/“windows 设置”/“安全设置”/“本地策略”/“安全选 项”功能分支。(如图4.1)重命名系统管理员帐户“属性”对话框,在此输入新的管理员名称,尽量把它为普通用户,然后另建一个超过 10 位的超级复杂密码,并对该账号启用审核,这样即使黑客费力破解到密码也杀一无所获。另外为了防止黑客通过Guest 账号登录计算机,可以在“组策略”中删除Guest 账号。。
第三节 网页恶意代码及防范
一、目前,网页中的恶意代码开始威胁到网络系统安全,一般分为以下几种:
(1)消耗系统资源。
(2)非法向用户硬盘写入文件。
(3)IE 泄露,利用IE 漏洞,网页可以读取客户机的文件,就可以从中获得用户账号 和密码。
(4)利用邮件非法安装木马。
二、网页恶意代码的防范措施:
1)运行IE 时,点击“工具→Internet 选项→安全→ Internet区域的安全级别” , 把安全级别由 “中” 改为 “高” (如图4.2)。 网页恶意代码主要是含有恶意代码的ActiveX 或Applet 、 JavaScript的网页文件 ,所以在IE 设置中将ActiveX 插件和控件、Java 脚本等全部 禁止就可以减少被网页恶意代码感染的几率。具体方案是:在IE 窗口中点击“工具” →“Internet 选项” ,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按 钮,就会弹出“安全设置”对话框,把其中所有ActiveX 插件和控件以及与Java 相关 全部选项选择“禁用”(如图4.3) 。
2)网页恶意代码大多是在访问网站时候误下载和激活的,所以不要进入不信任的 陌生网站,对于网页上的各种超级连接不要盲目去点击,若被强制安装恶意代码,一经 发现立即删除,或者安装相应的恶意代码清除工具,或本机防火墙软件。
第四节 “木马”防范措施
一、“木马”概述
特洛伊木马是一种隐藏了具有攻击性的应用程序。 与病毒不同, 它不具备复制能力, 其功能具有破坏性。 大部分“木马”采用C/S运行模式,当服务端在目标计算机上被运行后,打开一个 特定的端口进行监听,当客户端向服务器发出连接请求时,服务器端的相应程序会自动 运行来应答客户机的请求。
二、“木马”防范措施
1. 检查系统配置应用程序。在“木马”程序会想尽一切办法隐藏自己,主要途径 有:在任务栏和任务管理器中隐藏自己,即将程序设为“系统服务”来伪装自己,“木 马”会在每次服务端启动时自动装载到系统中。
2. 查看注册表。
3. 查找“木马”的特征文件, “木马”的一个特征文件是kernl32.exe, 另一个是 sysexlpr.exe,只要删除了这两个文件, “木马”就不起作用了,但是需要注意的是 sysexlpr.exe是和文本文件关联的,在删除时,必须先把文本文件跟notepod 关联上, 否则不能使用文本文件。
结 论
无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
结束语
毕业设计完成了,在这个过程中我学到了很多东西。首先我要感谢我的导师张洪锋老师,他在我完成论文的过程中,给予了我很大的帮助。在论文开始的初期,我对于论文的结构以及文献选取等方面都有很多问题,在老师的指导下终于完成了。
参考文献
[1].龙冬阳. 网络安全技术及应用. 广州:华南理工大学出版社.2006
[2].蔡立军. 计算机网络安全技术[M].北京:中国水利水电出版社,2005, 52-56
[3].张千里. 网络安全新技术. 北京:人们邮电出版社,2003.
重庆邮电大学高等函授 专科毕业设计(论文)
设计(论文)题目: 网络安全之木马病毒防范措施
入学年月 2011年3月 姓 名 2222222 学 号 11822222 专 业 计算机信息管理 所属科站 重庆新华电脑学校 指导教师 郭宇棋
完成日期 2012 年 6 月 20 日
重庆邮电大学高等函授毕业设计(专科)任务书
注:第2页/共2页;本表由指导教师填写一式三份。
重庆邮电大学高等函授毕业设计(专科)评定表
重庆邮电大学高等函授毕业设计(专科) 评阅意见表
【摘要】 我们知道, 21世纪的一些重要特征就是数字化, 网络化和信息化, 它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时, 应着力发展自己独特的安全产品, 我国要想真正解决网络安全问题, 最终的办法就是通过发展名族的安全产业, 带动我国网络安全技术的整体提高。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。 【关键词】网络安全 措施 对策
目 录
前 言...................................................................... 1 第一章 计算机网络安全的概述................................................ 2
第一节 计算机网络安全的含义 ............................................ 2 第二节 计算机网络安全的理论基础 ......................................... 3 第三节 计算机网络安全应具备的功能 ...................................... 4 第四节 网络安全策略 .................................................... 4
一、安全策略分类..................................................... 4 二、安全策略的配置................................................... 5
第二章 计算机网络不安全因素................................................ 6
第一节 计算机网络的脆弱性 .............................................. 6 第二节 网络开放性带来的问题 ........................................... 6 第三节 操作系统存在的安全问题 ......................................... 7 第四节 防火墙的脆弱性 ................................................. 8 第三章 提高计算机网络安全技术............................................. 10
第一节 网络安全的审计和跟踪技术 ...................................... 10 第二节 网络安全管理 .................................................. 10 第三节 运用防火墙技术及工作原理 ...................................... 11 第四节 数据加密技术 .................................................. 12 第五节 网络病毒防范 .................................................. 13 第四章 网络安全体系架构................................................... 15 第五章 网络安全防范....................................................... 16
第一节 Telnet入侵防范................................................ 16 第二节 防止Administrator 账号被破解 .................................. 16 第三节 网页恶意代码及防范 ............................................ 17
一、目前,网页中的恶意代码开始威胁到网络系统安全,一般分为以下
几种:.............................................................. 17 二、网页恶意代码的防范措施:........................................ 17
第四节 “木马”防范措施 .............................................. 18
一、“木马”概述..................................................... 18 二、“木马”防范措施................................................. 18
结 论...................................................................... 20 结束语..................................................................... 21 参考文献................................................................... 22
前 言
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,我们在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网世界范围内的信息共享和业务处理功能。网络信息已经成为社会发展的重要组成部分。但随之而来的是,计算机网络安全受到前所未有的威胁,由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,使得这些网络信息容易受到来自世界各地的人为攻击(例如:信息泄露、窃取、数据篡改、数据删添、计算机病毒等)。要保护这些信息就需要有一套完善的网络安全保护机制,然而信息化的不断扩展,各类网络版应用软件推广应用、计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的征程顺利运转是基本前提,因此计算机网络和系统安全建设就显得尤为重要,计算机网络技术的发展,网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。
第一章 计算机网络安全的概述
第一节 计算机网络安全的含义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可适用性受到保护。网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的保密性、完整性和可用性。
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)角度,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
网络安全的基本组成:(1)网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等;(2)软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全:如保护网络信息的数据安全,不被非法存取,保护其完整、一致等;(4)网络安全管理:如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析等内容。
第二节 计算机网络安全的理论基础
国际标准化组织(ISO )曾建议计算机安全的定义为:“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了昂住计算机用户区分和解决计算机网络安全问题,对多用户计算机系统安全级别的划分进行了规定。
在网络的具体设计过程中,应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等,综合考虑来确定一个比较合理、性能较高的网络安全级别,从而实现网络的安全性和可靠性。
第三节 计算机网络安全应具备的功能
网络安全应具备的功能,为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
1. 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
2. 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
3. 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
4. 加密通讯:主动加密通讯,可使攻击者不能了解、修改敏感信息。
5. 备份和恢复:良好的备份和恢复机制,可在攻击造成损失前,尽快的恢复数据和系统服务。
6. 多层防御: 攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
第四节 网络安全策略
策略通常是一般性的规范,只提出相应的重点,而不确切地说明如何达到所要的结果,因此策略属于安全技术规范的最高一级。
一、安全策略分类
安全策略分为基于身份的安全策略和基于规则的安全策略。基于身份的安全策略是过滤对数据或资源的访问,有两种执行方法:若访问权限为访问者所有,典型的作法为特权标记或特殊授权,即仅为用户及相应活动进程进行授权;若为
访问数据所有则可以采用访问控制表(ACL )。着两种情况中,数据项的大小有很大的变化,数据项的大小有很大的变化,数据权力命名也可以带自己的ACL 。基于规则的安全策略是指建立在特定的,个性化属性之上的授权准则,授权通常依赖于敏感性。在一个安全系统中,数据或资源应该标注安全标记,而且用户活动应该得到相应的安全标记。
二、安全策略的配置
开放式网络环境下用户的合法权益通常受到两种方式的侵害:主动攻击和被动攻击,主动攻击包括对用户信息的窃取,对信息流量的分析。根据用户对安全的需求才可用采用以下的保护:
1. 身份认证:检验用户的身份是否合法、防止身份冒充、及对用户实时访问控制数据完整性鉴别、防止数据被伪造、修改和删除。
2. 信息保密:防止用户数据被泄、窃取、保护用户的隐私。
3. 数字签名:防止用户否认对数据所做的处理。
4. 访问控制:对用户的访问权限进行控制。
5. 不可否认性:也称不可抵赖性,即防止对数据操作的否认。
第二章 计算机网络不安全因素
第一节 计算机网络的脆弱性
造成计算机网络安全问题的因素很多,但是可以把他们归纳为两大类:即外在的威胁和内在的脆弱性。从威胁的角度来看,潜在的威胁源增多,威胁发生的可能性增大,如果把威胁看作外因,那么系统不安全的内因,也可以说最根本的原因,在于计算机网络本身存在脆弱性,而且这种脆弱性问题也越来越严重。
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有几点:
1. 网络的开放性,网络的技术是全开放的,是的网络所面临的攻击来自多方面。或者来自物理传输线路的攻击,或者来自对网络通信协议的攻击,以及对计算软件、硬件的漏洞实施攻击。
2. 网络的国际性,意味着对网络的攻击不仅是来自本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
3. 网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,发布和获取各类信息。
第二节 网络开放性带来的问题
众所周知,Internet 是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT 在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT 本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP 源码问题,这个问题在IIS 服务器4.0以前一直存在,它是IIS 服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP 程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB 访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
第三节 操作系统存在的安全问题
操作系统是作为一个支撑软件,是的你的成勋或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源,操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,
都给网络安全留下隐患。
1. 操作系统结构体系的缺陷:操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及到一些模板或程序,在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2. 操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP ,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像远程调用、文件传输,如果安装间谍程序,在使用过程都会被人监视,所有的这些都可能给操作系统带来安全隐患,建议尽量少使用一些来历不明,或者无法证明其安全性的软件。
3. 操作系统的后门和漏洞,后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得意方便修改程序设计中的不足。一旦后门被黑利用,或在发布软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄露和丢失。此外,操作系统的无口令的入口,也是信息安全存在的隐患。
第四节 防火墙的脆弱性
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术包括过滤技术、状态监测技术、应用网关技术。过滤技术是指在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中每个数据包,根据数据包的源地址、目标地址、以及所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态机制,将属于统一连接的所有座位一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与
传统过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
防火墙由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,它是一种计算机硬件和软件的结合体,使用I 奈特人net 与Intranet 之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。单防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯,并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN 内部的攻击,若是内部的人和外部的人联合起来,既是防火墙在强,也没有优势,它甚至不能保护你免受所有那些它能检测到的攻击,随着技术的发展,还有一些破解方法也使得防火墙造成一定隐患,这就是防火墙的局限性。
第三章 提高计算机网络安全技术
第一节 网络安全的审计和跟踪技术
审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有:入侵检测系统(IDS )、漏洞扫描系统、安全审计系统,等等。我们以IDS 为例,IDS 是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。
第二节 网络安全管理
面对玩过安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密设施外,还必须花大力气加强网络安全管理,因为诸多的不安全因素恰恰反映了组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的问题。
安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范,具体工作如下:
1 根据工作的重要程度,确定该系统的安全等级。 ○
2 根据确定的安全等级,确定安全管理范围。 ○
3 制订相应的机房出入管理制度,对于安全等级要求搞的系统,要实行分区。 ○
第三节 运用防火墙技术及工作原理
防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。不仅如此,防火墙作为网络安全的监视点,它还可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。防火墙的体系结构有三种:(1)双重宿主主机体系结构。它是围绕具有双重宿主功能的主机而构筑的,是最基本的防火墙结构。主机充当路由器,是内外网络的接口,能够从一个网络向另一个网络发送IP 数据包。这种类型的防火墙完全依赖于主机,因此该主机的负载一般较大,容易成为网络瓶颈。对于只进行IP 层过滤的安全要求来说,只需在两块网卡之间转发的模块上插入对IP 包的ACL 控制即可。但是如果要对应用层进行代理控制,其代理就要设置到这台双宿主主机上,所有的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号,增加了联网的复杂性。(2)屏蔽主机体系结构,又称主机过滤结构,它使用一个单独的路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构,这种结构允许数据包从Internet 上进入内部网络,因此对路由器的配置要求较高。(3)屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全层,并通过添加周边网络更进一步把内部网络和Internet 隔离开。为此这种结构需要两个路由器,一个位于周边网络和内部网络之间,另一个在周边网络和外部网络之间,这样黑客即使攻破了堡垒主机,也不能直接入侵内部网络,因为他还需要攻破另外一个路由
器。
从防火墙的作用可以看出,防火墙必须具备两个要求:保障内部网安全和保障内部 网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。
防火墙根据功能实现在 TCP/IP 网络模型中的层次,其实现原理可以分为三类:在 网络层实现防火墙功能为分组过滤技术;在应用层实现防火墙功能为代理服务技术;在 网络层,IP 层,应用层三层实现防火墙为状态检测技术。
(1)分组过滤技术 实际上是基于路由器技术,它通常由分组过滤路由器对IP 分组进行分组选择,允 许或拒绝特定的IP 数据包,工作于IP 层。
(2)代理服务技术 以一个高层的应用网关作为代理服务器,接受外来的应用连接请求,在代理服务器 上进行安全检查后,再与被保护的应用服务器连接,使外部用户可以在受控制的前提下 使用内部网络的服务,由于代理服务作用于应用层,它能解释应用层上的协议,能够作复杂和更细粒度的 访问控制;同时,由于所有进出服务器的客户请求必须通过代理网关的检查,可以作出 精细的注册和审计记录,并且可以与认证、授权等安全手段方便地集成,为客户和服务 提供更高层次的安全保护。
(3)状态检测技术 此技术工作在IP/TCP/应用层,它结合了分组过滤和代理服务技术的特点,它同分 组过滤一样,在应用层上检查数据包的内容,分析高层的协议数据,查看内容是否符 合网络安全策略。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势,由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP 链接中的PUT 命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄,证实由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响。
第四节 数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。主要存在两种主要的加密类型:私匙加密和公匙加密。
1. 私匙加密。私匙加密又称为密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2. 公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢的多,不过若将两者结合起来,就可以得到一个更复杂的系统。防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,他们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN 、检视和入侵检测技术。
第五节 网络病毒防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网
络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。
第四章 网络安全体系架构
网络安全的任何一项工作,都必须在网络安全组织、网络安全策略、网络安全技术、网络安全运行体系的总和作用下才能取得成效。首先必须有具体的人和组织来承担安全工作,并且赋予组织相应的责任权;其实必须有相应的安全策略来指导和规范安全工作的开展;再次若有了安全组织、安全目标和安全策略后,需要选择合适的安全技术方案来满足安全目标;最后在确定了安全组织、安全策略、安全技术后、必须通过规范的运作过程来实施安全工作,将安全组织、安全策略和安全技术有机地结合起来,形成了一个相符推动、相互联系地整体,通过实际的工程运作和动态的运营维护,最终实现安全工作目标。
完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系。
第五章 网络安全防范
第一节 Telnet 入侵防范
Telnet 协议是 TCP/IP 协议族中的一员,是 Internet 远程登录服务的标准协 议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终 端使用者的电脑上使用telnet 程序, 用它连接到服务器。 终端使用者可以在telnet 程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输 入一样。可以在本地就能控制服务器。要开始一个 telnet 会话,必须输入用户名 和密码来登录服务器。Telnet 是常用的远程控制 Web 服务器的方法。 telnet可能是黑客常用的攻击方式,我们可以通过修改telnet 服务端口,停用 telnet服务,甚至把telnet 控制台管理工具删除。
第二节 防止Administrator 账号被破解
Windows 2000/xp/2003系统的 Administrator账号是不能被停用的,也不能设置安全策略,这样黑客就可以一遍又一遍地尝试这个账号的密码,直到被破解,为了防止这 种侵入,我们可以把 Administrator账号更名:在“组策略”窗口中,依次展开“本地计算机策略”/“计算机配置”/“windows 设置”/“安全设置”/“本地策略”/“安全选 项”功能分支。(如图4.1)重命名系统管理员帐户“属性”对话框,在此输入新的管理员名称,尽量把它为普通用户,然后另建一个超过 10 位的超级复杂密码,并对该账号启用审核,这样即使黑客费力破解到密码也杀一无所获。另外为了防止黑客通过Guest 账号登录计算机,可以在“组策略”中删除Guest 账号。。
第三节 网页恶意代码及防范
一、目前,网页中的恶意代码开始威胁到网络系统安全,一般分为以下几种:
(1)消耗系统资源。
(2)非法向用户硬盘写入文件。
(3)IE 泄露,利用IE 漏洞,网页可以读取客户机的文件,就可以从中获得用户账号 和密码。
(4)利用邮件非法安装木马。
二、网页恶意代码的防范措施:
1)运行IE 时,点击“工具→Internet 选项→安全→ Internet区域的安全级别” , 把安全级别由 “中” 改为 “高” (如图4.2)。 网页恶意代码主要是含有恶意代码的ActiveX 或Applet 、 JavaScript的网页文件 ,所以在IE 设置中将ActiveX 插件和控件、Java 脚本等全部 禁止就可以减少被网页恶意代码感染的几率。具体方案是:在IE 窗口中点击“工具” →“Internet 选项” ,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按 钮,就会弹出“安全设置”对话框,把其中所有ActiveX 插件和控件以及与Java 相关 全部选项选择“禁用”(如图4.3) 。
2)网页恶意代码大多是在访问网站时候误下载和激活的,所以不要进入不信任的 陌生网站,对于网页上的各种超级连接不要盲目去点击,若被强制安装恶意代码,一经 发现立即删除,或者安装相应的恶意代码清除工具,或本机防火墙软件。
第四节 “木马”防范措施
一、“木马”概述
特洛伊木马是一种隐藏了具有攻击性的应用程序。 与病毒不同, 它不具备复制能力, 其功能具有破坏性。 大部分“木马”采用C/S运行模式,当服务端在目标计算机上被运行后,打开一个 特定的端口进行监听,当客户端向服务器发出连接请求时,服务器端的相应程序会自动 运行来应答客户机的请求。
二、“木马”防范措施
1. 检查系统配置应用程序。在“木马”程序会想尽一切办法隐藏自己,主要途径 有:在任务栏和任务管理器中隐藏自己,即将程序设为“系统服务”来伪装自己,“木 马”会在每次服务端启动时自动装载到系统中。
2. 查看注册表。
3. 查找“木马”的特征文件, “木马”的一个特征文件是kernl32.exe, 另一个是 sysexlpr.exe,只要删除了这两个文件, “木马”就不起作用了,但是需要注意的是 sysexlpr.exe是和文本文件关联的,在删除时,必须先把文本文件跟notepod 关联上, 否则不能使用文本文件。
结 论
无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
结束语
毕业设计完成了,在这个过程中我学到了很多东西。首先我要感谢我的导师张洪锋老师,他在我完成论文的过程中,给予了我很大的帮助。在论文开始的初期,我对于论文的结构以及文献选取等方面都有很多问题,在老师的指导下终于完成了。
参考文献
[1].龙冬阳. 网络安全技术及应用. 广州:华南理工大学出版社.2006
[2].蔡立军. 计算机网络安全技术[M].北京:中国水利水电出版社,2005, 52-56
[3].张千里. 网络安全新技术. 北京:人们邮电出版社,2003.