计算机网络安全思考与实现

河南师范大学本科毕业论文

河南师范大学 本科毕业论文

学号： 0808324066 计算机网络安全思考与实现

学院名称： 计算机与信息技术学院 专业名称： 网络工程 年级班别： 08级网络工程2班 姓 名： 杨涛 指导教师： 刘行兵

2012年5月

河南师范大学本科毕业论文

目录

0 引言 ........................................................................................................ 2 1计算机网络安全的概念 .................................................................................... 2 2计算机网络安全面临的威胁 ............................................................................ 2 3 计算机网络安全防范策略 ................................................................................ 4

3.1 防火墙技术..................................................................................... 4 3.2 数据加密与用户授权访问控制技术............................................. 5 3.3 入侵检测技术................................................................................. 5 3.4 防病毒技术..................................................................................... 7

4预防措施 ............................................................................................................ 8 5、结语 ................................................................................................................. 8 参考文献： ........................................................................................................... 8

致谢 .............................................................................................................. 9

河南师范大学本科毕业论文

计算机网络安全思考与实现

摘要：随着Internet和局域网的迅速发展和广泛应用，全球信息化进程的不断加速，国内外信息产业领域对信息安全的关注与日俱增，尤其在信息网络化如此普及的年代，信息技术的运用引起了人们生产方式，生活方式和思想观念的转变，对科学技术、经济和文化带来巨大的推动和影响，上网已经成为人们工作和生活不可缺少的一部分,其作用远远超出了人们的想象,网络已经深入到社会生活的各个方面。极大地促进了人类社会发展和人类文明的进步，把人们带进了崭新的时代。一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会陷入危机。网络安全与信息产业息息相关。基于网络环境中的信息安全讨论，已成为了网络安全中的一个重要研究课题。然而计算机网络安全问题也日益严峻起来。本文分析了网络安全面临的威胁造成计算机安全威胁的主要原因，并探讨了网络的安全对策和安全技术。

关键词:计算机网络；网络与信息安全；安全威胁；混合型防火墙；维护策略；预防措施；对策

Abstract: with the rapid development of Internet and LAN and the widespread application, global information process has been accelerating, information industry at home and abroad to information security attention grows day by day, especially in the information network so popular s, the application of information technology caused the people mode of production, life style and concept of change, for science and technology, economy and culture to bring the huge push and influence, the Internet has become

people to work and life is an indispensable part of, its action went far beyond the people's imagination, the network to have in-depth social all aspects of life. Greatly promote the development of human society and the advance of the human civilization, bring people into the new era. Once the computer network is an attack and can not work normally, which even paralysis, the whole society would be in a crisis. Network security and

information industry is closely linked. Based on the network environment to discuss the information security, the network security has become one of the important research subject. However the computer network security is increasingly severe up. This paper analyzes the network security of threat to computer security threat caused by the main reason, and probes into the countermeasures and the safety of network security technology.

Keywords: computer network; Network and information security; Security threats; Mixed firewall; Maintenance strategy; Prevention measures; countermeasures

1

河南师范大学本科毕业论文

引言

计算机的系统安全性历来都是人们讨论的主要话题之一。计算机网络安全问题来自于网络、软件、工作人员和环境等内外的安全威胁，黑客攻击、病毒干扰和破坏、计算机犯罪，不仅使计算机及网络中的信息被窃取、泄漏、修改和破坏，还会使网络设各、计算机设备遭受威胁和破坏，使系统瘫痪。在计算机网络日益扩展和普及的今天，计算机系统安全的要求更高，涉及面更广。不但要求防治病毒，还要提高系统抵抗外来非法黑客入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。

因此，计算机网络的安全是一项综合的系统工程式，应引起我们的高度重视。

1计算机网络安全的概念

国际标准化组织将计算机安全定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。

2计算机网络安全面临的威胁

Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点：

2.1每一种安全机制都有一定的应用范围和应用环境

防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。

2

河南师范大学本科毕业论文

因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。

2.2 安全工具的使用受到人为因素的影响

一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。例如，NT在进行合理的设置后可以达到C2级的安全性，但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面，可以通过静态扫描工具来检测系统是否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。 2.3 系统的后门是传统安全工具难于考虑到的地方

防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；比如说，众所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的WEB访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。 2.4 只要有程序，就可能存在BUG

甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来，程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。比如说现在很多程序都存在内存溢出的BUG，现有的安全工具对于利用这些BUG的攻击几乎无法防范。

2.5 黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现

然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

3

河南师范大学本科毕业论文

3 计算机网络安全防范策略

计算机网络安全是一个复杂的系统，国际上普遍认为，它不仅涉及到技术、设备、人员管理等范畴，还应该以法律规范作保证，只有各方面结合起来，相互弥补，不断完善，才能有效地实现网络信息安全。保障网络信息系统的安全必须构建一个全方位、立体化的防御系统。这个防御体系应包括技术因素和非技术因素，其中技术防范措施主要包括：对计算机实行物理安全防范、防火墙技术、加密技术、密码技术和数字签名技术、完整性检查、反病毒检查技术、安全通信协议等等。非技术性因素则包括：管理方面的SSL安全措施、法律保护、政策引导等等。这里我们仅从主要技术的角度探讨网络信息安全的策略。

3.1 防火墙技术

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施。它是一种将内部网络和外部网络分开的方法，实际上是一种隔离控制技术。用专业言来说，所谓防火墙就是一个或一组网络设备计算机或路由器等。从理论上讲，防火墙是由软件和硬件两部分组成。防火墙是在某个机构的内部网络和不安全的外部网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护的网络上非法输出。防火墙最有效的网络安全措施之一。防火墙的是已成为实现安全策略的最有效工具之一，并被广泛应用在Internet上。防火墙的基本实现技术主要有3种：包括过滤技术，应用层网关（代理服务）技术和状态监视器技术。 而针对传统的防火墙技术，如今设计出了混合型防火墙，混合型防火墙采用一种组合结构，它主要由内部防火墙、外部防火墙、堡垒主机和基站主机服务器四部分组成。

内外两个防火墙可进行不同级别的过滤，屏蔽子网只允许经认证的Internet主机和内部子网接入到基站主机中，试图绕过它的流量都将被阻塞掉。屏蔽子网中的应用过滤程序可以通过安全通道和子网中基站主机服务器进行双向保密通信，基站主机服务器可以通过保密通信修改内外部路由器的路由表及过滤规则。整个防火墙系统的控制协调工作主要由应用过滤管理程序和智能认证程序来执行。

堡垒主机服务器中运行的应用过滤管理器模块对到达堡垒主机的数据包，从最底层协议到高层协议逐层分析，提取与安全相关的各种信息，如:通信信息、信息应用的状态等，把获取的信息通过安全通道保密发送给基站主机服务器进行分析，并负责接收基站主机服务器的保密回传的应用服务过滤信息，然后由应用过滤管理器模块负责相关应用服务的过滤功能进行配置，完成过滤工作。

混合型防火墙吸收了包过滤技术、网络地址转换技术、Internet网关技术等防火墙技术，可以自动根据具体情况完成内外主机直接通信，可智能更新信息的

4

河南师范大学本科毕业论文

过滤规则，自动配置过滤策略，具有防病毒功能，自动生成事件日记。经模拟网络攻击，该防火墙都能较好地抵御来自内外部的威胁，保证网络的安全和使用效率。

3.2 数据加密与用户授权访问控制技术

与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。

加密主要存在两种主要的加密类型:私匙加密和公匙加密 1、私匙加密

私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建加密一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。 2、公匙加密

公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权 (例如用户配置文件、资源配置文件和控制列表 )、授权核查、 日志和审计。它是维护网络安全,保护网络资源的主要手段,也是对付黑客的关键手段。

3.3 入侵检测技术

入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及

5

河南师范大学本科毕业论文

网络系统中收集信息，再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中，能减少入侵攻击所造成的损失;在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。入侵检测技术的功能主要体现在以下方面：监视分析用户及系统活动，查找非法用户和合法用户的越权操作；检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;可以发现新的攻击模式。

入侵检测技术分类可分为技术划分和对象划分 技术划分

1 异常检测模型（Anomaly Detection）：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

2 误用检测模型（Misuse Detection）：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

对象划分

1 基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。

2 基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担

6

河南师范大学本科毕业论文

负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

3.4 防病毒技术

随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除。 同时巧用主动防御技术防范病毒入侵，用户一般都是使用杀毒软件来防御病毒的侵入，但现在年增加千万个未知病毒新病毒，病毒库已经落后了。因此，靠主动防御对付未知病毒新病毒是必然的。实际上，不管什么样的病毒，当其侵入系统后，总是使用各种手段对系统进行渗透和破坏操作。所以对病毒的行为进行准确判断，并抢在其行为发生之前就对其进行拦截。

很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。操作员应定期变一次口令；不得写下口令或在电子邮件中传送口令。

当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。在计算机硬件和软件，LAN服务器，服务器上的网关，Inter层层设防，对每种病毒都实行隔离、过滤，而且完全在后台操作。例如：某一终端机如果通过软盘感染了计算机病毒，势必会

7

河南师范大学本科毕业论文

在LAN上蔓延，而服务器具有了防毒功能，病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉，当在网络中任何一台工作站或服务器上发现病毒时，它都会立即报警通知网络管理员。

4预防措施

从实际应用上看，即使采用了种种安全防御手段，也不能说就万无一失或绝对安全，因此还需要有一些预防措施，以保证当系统出现故障时，能以最快的速度恢复正常，将损失程度降到最底。这类措施应有：

对日常可能出现的紧急情况要制定相应的应急计划和措施，发生运行故障时，要能快速抢修恢复。

将操作系统 CD 盘留副本保存。由于有一个或者多个备份集，因此可以减少原版CD丢失（损坏）所造成的损失。

当网络管理员或系统管理员调动以后立即修改所有的系统管理员口令。 坚持数据的日常备份制度，系统配置每次修改后及时备份，对于邮件服务器等实时更新的服务器应坚持每日多次备份（至少每小时一次）。

5、结语

网络系统安全作为一项动态工程，它的安全程度会随着时间的变化而发生变化。随着计算机技术和通信技术的发展，计算机网络将日益成为信息交换的重要手段，并且已经渗透到社会生活的各个领域。在信息技术日新月异的今天，需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略。

总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。

参考文献：

[1] 文卫东,李旭晖,朱骁峰,吕慧,余辰,何炎祥.Internet的安全威胁与对策[J].

8

河南师范大学本科毕业论文

计算机应用.2001年07期

[2] 李淑芳.网络安全浅析.维普资讯,2006,2

[3] 袁家政.计算机网络安全与应用技术[A].清华大学出版社,2002,08 [4] 张琳,黄仙姣.浅谈网络安全技术[J].电脑知识与技术,2006, (11). [5] 李安平.防火墙的安全性分析.[J].计算机安全.2007年07期. [6] 宁蒙.网络信息安全与防范技术[M].第1版.南京:东南大学出版社.2005

致谢

大学生活就快走入尾声，我们的校园生活就要划上句号，心中是无尽的难舍与眷恋。从这里走出，对我的人生来说，将是踏上一个新的征程，要把所学的知识应用到实际工作中去。

回首四年，取得了些许成绩，生活中有快乐也有艰辛。感谢老师三年来对我孜孜不倦的教诲，对我成长的关心和爱护。学友情深，情同兄妹。三年的风风雨雨，我们一同走过，充满着关爱，给我留下了值得珍藏的最美好的记忆。

不积跬步何以至千里，本设计能够顺利的完成，也归功于各位任课老师的认真负责，使我能够很好的掌握和运用专业知识，并在设计中得以体现。正是有了他们的悉心帮助和支持，才使我的毕业论文工作顺利完成，在此向河南师范大学计算机与信息技术学院全体老师表示由衷的谢意！在此要特别感谢刘老师在我毕业的最后关头给了我巨大的帮助与鼓励,使我能够顺利完成毕业设计，在此表示衷心的感激！

9

河南师范大学本科毕业论文

计算机应用.2001年07期

[2] 李淑芳.网络安全浅析.维普资讯,2006,2

[3] 袁家政.计算机网络安全与应用技术[A].清华大学出版社,2002,08 [4] 张琳,黄仙姣.浅谈网络安全技术[J].电脑知识与技术,2006, (11). [5] 李安平.防火墙的安全性分析.[J].计算机安全.2007年07期. [6] 宁蒙.网络信息安全与防范技术[M].第1版.南京:东南大学出版社.2005

致谢

大学生活就快走入尾声，我们的校园生活就要划上句号，心中是无尽的难舍与眷恋。从这里走出，对我的人生来说，将是踏上一个新的征程，要把所学的知识应用到实际工作中去。

回首四年，取得了些许成绩，生活中有快乐也有艰辛。感谢老师三年来对我孜孜不倦的教诲，对我成长的关心和爱护。学友情深，情同兄妹。三年的风风雨雨，我们一同走过，充满着关爱，给我留下了值得珍藏的最美好的记忆。

不积跬步何以至千里，本设计能够顺利的完成，也归功于各位任课老师的认真负责，使我能够很好的掌握和运用专业知识，并在设计中得以体现。正是有了他们的悉心帮助和支持，才使我的毕业论文工作顺利完成，在此向河南师范大学计算机与信息技术学院全体老师表示由衷的谢意！在此要特别感谢刘老师在我毕业的最后关头给了我巨大的帮助与鼓励,使我能够顺利完成毕业设计，在此表示衷心的感激！

9

本文来源：https://www.bwwdw.com/article/bkd5.html