毕业设计（论文）说明书学校 河 北 燕 山 大 学 年级 07级 层次 大专 专业 计算机信息管理 题目 浅 析 网 络 安 全 技 术 姓名 许 冬 娜 联系电话 13784797753 指导教师 职称 评阅教师 职称 职称 年 月 日浅析网络安全技术【摘 要】 网络的安全已成为不同的用户共同关心的问题，人们都希望自己的网络能够安全可靠的运行，不受外来入侵者的干扰和破坏。本文从网络的物理安全、加密方法、访问控制、防火墙及计算机病毒等几个方面介绍了计算机网络的安全设计。【关键词】 网络安全防火堵入侵 【引 言】 随着计算机网络技术的飞速发展，网络的应用已经深入到人们的社会生活各个方面。计算机网络在给人们带来极大便利的同时，也越来越多地受到安全性问题的困扰，严重地暴露出安全性隐患，当前网络与信息的安全受到严重的威胁，如何对网络上的各种非法行为进行主动防御和有效抑制，已成为当今计算机网络方面亟待解决的一个重要问题。一、计算机网络安全威胁（一）物理安全物理安全包括二个方面，一是人为对网络的损害，另一个是网络对使用者的危害。最常见的是施工人员不小心弄断电缆，另外偷窃、故意破坏、鼠害及自然灾害等都会对网绍造成严重危害。而网络对人的危害在于电缆的电击、高频喊信号的辐射危害。（二）TCP/IP协议的安全问题互联网采用TCP列IP协议，该协议具有互连能力强、网绍技术独立、支持多种应用协议等特点，但是由于该协议在制定时没有考虑安全问题，所以TCP/IP协议本身存在的缺陷导致了互联网的不安全。TCP /IP协议中存在的安全问题主要有: 1、TCP/IP协议数据流采用明文传输，用户的帐号、口令都是以明文方式传输，因此数据信息很容易被在线窃听、篡改和伪造; 2、源地址欺骗;3、源路由选择欺骗;4、路由选择信息协议攻击;5、鉴别攻击; 6、TCP序列号欺骗; （三）计算机病毒破坏 自从1983年首次被发现计算机病毒以来，至今全世界已发现了近数万种病毒，并且还在不断增多。病毒的花样不断翻新，手段越来越高。特别是INTERNET的广泛应用，病毒借助网络传播更广更快，带有黑客性质的病毒和特洛依木马等有害代码大量涌现。（四）网络黑客袭击网络上的“黑客”们不停寻找INTERNET上的安全缺陷，采用非法手段窃取军事秘密、银行金融信息等，甚至造成系统瘫痪。且作案过程具有远离现场、隐藏性强、手段高超及花样多等特点，其危害程度远远超过单机系统，对网络上的用户信息资源造成严重的威胁。一般有以下几种攻击手段:1、拒绝服务攻击:一般情况下，拒绝服务攻击是通过使系统关键资源过载使被攻击的工作站停止部分或全部服务; 2、非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试; 3、预攻击探测:在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等;4、可疑活动:是通常定义的“标准”网络通信范畴之外的活动;5、协议解码:协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTUUse:和Portmaper Proxy解码的方式。 6、系统代理攻击:这种攻击是针对单个主机，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。二、网络的安全策略计算机网络的安全防范，要做到彻底的、一劳永逸的网络安全方案是不可能的，安全总是相对的。美国国防部制定的“可靠计算机标准评估准绳(Trusted Computer StandardsEvaluation Criteria)将计算机安全划分为从A到D四个等级，每个级别还可以再细分，B3级和A1级具有最高安全等级，适用于安全性要求很高的应用。采取适当的预防措施，保证把上述危害降到最低，这就是网络安全所要解决的问题。通过对计算机网络安全实践的研究分析表明，单一的安全保护往往效果不理想，而最佳途径就是采用多层安全防护措施对信息进行全方位的保护。在网络安全领域结合不同的情况，例如从规章制度、防病毒软件、防火墙和安全漏洞检测工具等几个方面，来创建一个多层次的综合保护屏障。（一）物理网络安全 物理网络安全控制的方法有:1、所有的网络节点(交换机、集线器、主机、网络打印机等)都有应设置物理保护，不能随意让人接触。2、重要的主机和网络设备配备电源保护和备用电源。 3、机房配备火灾、烟雾自动报警装置，配备好灭火器等设备。4、机房的保护地安装要符合有关标准，采用结构化网络布线。5、所有的系统都要及时备份并将备份磁盘保存在主机房以外的安全地方。6、主服务器要加带口令的屏幕保护及键盘锁。7、网络管理人员应由专人负责，并定期对网络操作人员进行安全教育和培训。（二）加密通过对在网络上存储或者传输的信息采取加密变换以防止第三者对信息的窃取，是保证信息安全的一个重要手段。加密(encryption)就是将明文变为密文，被变换的信息称为明文(plaintext)，它可以是一段有意义的文字或者数据;变换过后的形式称为密文(ciphertext) ,密文是一串杂乱排列的数据，从字面上没有任何含义。变换本身是一个以加密密钥k为参数的函数Ek(P)。密文传输到目的地后要还原成有意义的明文，通过解密(decryption)将密文C还原成明文P，解密是以解密密钥为参数的函数Dk(C)。 网络加密可以分为三层，第一层为数据链路层加密，第二层为传输层加密，第三层为应用层加密。上述三层可以单独使用，但结合在一起使用效果最好。（三）访问控制访问控制是指确定可给予哪些主体访问的权力、确定以及实施访问权限的过程。访问控制一般都是基于安全策略和安全模型的。授权控制框架是对网络资源进行授权管理和访问控制的基本框架。网络资源包括信息资源和服务资源，如何对这些资源实施统一的管理，需要一个独立于各应用系统、独立于各安全子系统的授权管理系统，授权控制框架可以对WWW应用、客户机/服务器应用、TCP/ IP应用、数据库应用、报文队列(MQ)等标准应用对象进行授权管理。通过授权管理系统实现授权策略、对象映射和用户角色的管理和维护。口令是访问控制最简单而有效的方法，只要口令保持机密，非授权用户就无法使用此帐号。口令的选择是至关重要的，一个好的口令是不容易被黑客猜到的。一般选择口令应遵循这样几个原则:选取比较长的口令;选取的口令最好是英文字母、数字、标点符号及控制符的组合，而不能采用个人信息(如生日、名字、电话等);用户如果要访问多个系统，则不要使用相同的口令;口令应定期更新，以确保安全。（四）防火墙技术目前防火墙的基本类型有应用网关、电路级网关、包过滤防火墙和全状态检查防火墙。应用网关工作在OSI参考模型的应用层，电路级网关工作在会话层，包过滤防火墙工作在网络层，全状态检查防火墙工作在链路层和应用层之间。应用网关提供了最佳的安全防护，因为内外网之间的站点彼此无法直接通信。外站点向应用网关发信息，应用网关对之进行格式转换再传给内网的目的站点，两边的站点都将防火墙当作了网络数据流动的最终目的。为了实现在不信任通道上的数据安全传输，我们在实现包过滤的同时，采用虚拟专用网技术(VPV)。包过滤防火墙系统可以在主机、网关/路由器或两者之间同时实施，至于在网络协议堆栈的哪一层实施，则由用户根据实际情况而定，通常可以采用以下两种实施方案: 1、操作系统集成实施方案操作系统集成方案主要针对开放源代码的操作系统，其基本思想是在操作系统网络层将包过滤防火墙功能作为操作系统网络功能的一部分来实现，从而实现包过滤功能与操作系统无缝连接，包过滤防火墙与操作系统的无缝集成，更有利于分段、包最大传输单元(Maximum Transmission Unit,简称MTU)以及用户场景等网络服务的有效实施。2、“协议堆栈中的肿块”实施方案(简称BITS方案)。 BITS方案是指将包过滤防火墙功能作为“楔子”在协议堆栈的网络层与数据链路层之间实施。BITS方案可以提供完整的网络安全解决方案。 防火墙产品不仅应具备跟踪流经它的所有通信信息，而且还要能够访问、分析和利用通信信息、通信状态、应用状态，并做信息处理。选择适当的防火墙产品，构筑计算机网络的又一道安全屏障。但是防火墙并不能彻底解决网络安全问题，它只是网络安全策略中的一个组成部分。（五）加强计算机病毒的防治计算机网络一旦被感染病毒，将带来非常严重的后果，甚至造成整个网络的瘫痪。病毒入侵和反入侵的对抗，是一场长期的斗争。防毒比杀毒更为重要，在整个计算机网络中要实现全方位、多层次的病毒防护。1、设置客户端级防护、邮件服务器级防护和文件/应用服务器级防护;2、将所有的系统文件和可执行文件设置为只读属性，保护重要文件;3、限制使用外来软盘和盗版软件，切断病毒传播的又一条途径;4、不要查看来历不明的电子邮件，更不能随意打开附件，Nimda病毒是可以作为email的:eadme. exe附件，不能打开这种附件;5、检查系统的安全漏洞，及时从系统开发商处获取补丁，如对有漏洞的IE用户，建议下载针对Automatic Execution of Embedded MIME Types漏洞补丁;6、及时快速地检测病毒，一旦发现被感染上病毒，应及时地采取相应的措施进行杀毒，快速地把病毒从网络中清除。对于感染无法处理的未知病毒，必须提供一种方法，不让其在网络上传播，同时能够快速获得解决方案。对一些重要功能实行强制管理。（六）构建实时的入侵检测系统网络的安全防范实际上就是网络攻防术，及时发现外来攻击是十分重要的。入侵检测，就是对入侵行为的监控，它对网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统(IDS)。入侵检测系统的基本组成包括:事件产生器、事件分析器、响应单元和事件数据库四部分。事件产生器的目的是从整个计算机环境中获取事件并向系统的其它部分提供此事件;事件分析器用于分析得到的数据，并产生分析结果;响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、报警等反应;事件数据库用于存放各种中间和最终数据。基于防火墙等技术的保护性的方法还不能满足未来网络安全发展的需要，还需要检测和响应，入侵检测系统作为一种新型的安全机制，它弥补了传统网络安全产品的不足，它是一个主动的、智能的安全防护体系，入侵检测系统越来越成为网络安全的关键。1、入侵检测系统的分类及其主要功能入侵检测系统的分类标准很多，入侵检测系统根据监控的目标系统类型可分为基于主机的入侵检测系统和基于网络的入侵检测系统;根据检测时分析数据的技术可分为基于行为的入侵检测系统和基于知识的入侵检测系统;根据入侵检测系统对入侵攻击的反应方式可分为主动入侵检测系统和被动入侵检测系统。入侵检测系统能够保证网络的安全运行，其主