(格式)计算机网络安全与防范

毕业论文
毕业设计（论文）题目
计算机网络安全与防范
专题题目
计算机网络安全与防范
开题日期： 2014年 2月 17日
设计（论文）期限：自 2014年 2月 17日至 2014年5月 19日成教学院计算机科学与技术专业 10 级 1 班
学生姓名徐XXX
指导教师沈伟
答疑教师汪念
指导组长李老师
2014年 5 月 19 日
摘要
随着网络经济和网络时代的到来，Internet将处于一个无所不有、无所不在的境地，经济、文化、军事和社会生活将会强烈地依赖计算机网络，网络作为国家重要基础设施，其安全性和可靠性已成为世界各国共同关注的焦点。

而Internet原有的跨国界、无主管性、不设防、缺乏法律的约束性，为各国带来机遇的同时也带来了巨大的风险。

本文对计算机网络现状进行了分析，指出网络面临的主要威胁，阐述了计算机网络安全的防范措施和策略，重点介绍了目前一些先进的网络安全技术和产品。

关键词：计算机网络；网络安全；安全威胁；网络攻击；防范措施
Abstract
With the coming of the network economy and the era of network, the Internet will be in a position of the omniscient and omnipresent, economic, cultural, military and social life will be strongly dependent on computer networks. Network as the national important infrastructure, its safety and reliability has become the focus of common concern around the world. The internet's original across national borders, no competent, unprotected , lack of legal binding,
to bring opportunities at the same time also brought huge risks for countries.
This article analyzes the present situation of computer network, and points out the main threats on network, and introduces some measures and strategies on security of computer network, especially some advanced secure technology and products.
目录
1 前言 (4)
2 计算机网络安全 (5)
2.1 计算机网络安全的含义 (5)
2.1.1 什么是网络安全 (5)
2.1.2 网络安全的特征 (5)
2.2 计算机网络安全的研究意义 (6)
2.2.1 计算机网络安全与经济 (6)
2.2.2 计算机网络安全与政治、军事 (7)
3 计算机网络面临的主要威胁 (8)
3.1 Internet网络存在的安全缺陷 (8)
3.2 常见的安全威胁与攻击 (9)
3.3 网络攻击的类型 (10)
4 计算机网络安全的防范措施 (11)
4.1 网络的安全管理 (11)
4.2 网络安全的关键技术 (14)
4.3 计算机网络安全的防范措施 (15)
4.4 采用先进的技术和产品 (16)
结论 (18)
致谢 (19)
参考文献 (19)
前言
近年来，随着计算机网络的迅速发展，全球信息化已成为人类发展的大趋势。

然而，信息化在给人们带来种种物质和文化享受的同时，我们也正受到日益严重的来自网络的安全威胁，注入网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系统内部的泄密者。

在2007年新年出现的“PE_FUJACKS”就是让广大互联网用户闻之色变的“熊猫烧香”。

该病毒的作者为“武汉男生”(文件末签名”WhBoy”)，这个版本的病毒已经集成了PE_FUJA CK和QQ大盗的代码，通过网络共享,文件感染和移动存储设备传播，尤其是感染网页文件，并在网页文件写入自动更新的代码，一旦浏览该网页，就会感染更新后的变种。

虚拟世界、互联网络中有双黑手伸向我们生活，个人信息安全、社会公共秩序，面临怎样新的挑战。

针对来自网上的各种安全威胁，怎么才能确保网络信息的安全性，尤其是网络上重要数据的安全性，成为世界各国政府、各行业共同关心的重大问题。

本论文通过计算机网络系统所面临的的威胁，多方位探讨了确保计算机网络安全的具体防范措施。

2 计算机网络安全（1级标题，黑题小二号）
2.1 计算机网络安全的含义（2级标题，黑题小三号）
2.1.1 什么是网络安全（3级标题，黑题四号）
（正文行间距1.5倍）
从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

技术方面主要侧重于如何防范外部非法攻击，管理方面则侧重于内部人为因素的管理。

如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为计算机网络应用必须考虑和必须解决的一个重要问题。

2.1.2 网络安全的特征（3级标题，黑题四号）
网络安全的特征具体有以下特征：
机密性：确保网络通信信息不会受到未经授权用户或实体的访问。

完整性：确保只有合法用户才能对数据进行修改，即要保证非法用户无法篡改，伪造数据。

可用性：确保合法用户访问时总能从服务方即时得到需要的数据。

也就是确保网络节点在受到各种网络攻击时仍能为客户请求提供相应的服务。

可控性：确保可以根据公司的安全策略对信息流向及行为方式进行授权控制。

可审查性：确保在出现网络安全问题后能够提供调查的依据和手段。

2.2 计算机网络安全的研究意义
2.2.1 计算机网络安全与经济
互联网日益深入生活的各个领域，人类社会也将逐渐过渡到以互联网为基础的社会。

电子商务、E-mail 、家庭办公等都会与每个人的生活息息相关，而与电脑及网络有关的经济犯罪案件也越来越严重。

1、常见的网络经济犯罪的类型
（1）利用互联网进行信用卡诈骗
网络信用卡诈骗犯罪是指通过计算机系统，利用可网上支付信用卡的功能、特性，出于诈骗意图为自己或第三人获取经济利益，故意实施诈骗行为导致他人财产损失的行为。

（2）利用互联网进行合同诈骗
合同诈骗的手段是多种多样，五花八门，有的利用网络电话兜售一些非法或欺骗性的投资产品；有的在网络上刊登启事要求应征者花大笔的钱买回某种生产资料，生产出商品后，公司负责回收，却又以“质量不达标”等这样那样的理由拒绝回收，从而使许多投资者损失惨重。

（3）利用互联网进行网上非法经营
包括网络传销、非法经营电信增值业务、网上非法经营福利彩票、网上非法经营证券投资咨询业务、网上进行非法基金投资、网上非法从事网络广告代理业务等。

（4）利用互联网进行侵犯知识产权犯罪
网络知识产权的范围较广泛，涉及域名保护、商标权、专利权、著作权、商业秘密与专有技术在网上的使用和保护等问题。

由于个人计算机可以轻易地拷贝信息，包括软件、图片和书籍等，而且信息可以极快的速度传送到世界各地，这使得对著作权的保护更为困难。

（5）利用互联网进行网络非法吸引公众存款
一般是在互联网上许以高额回报为诱饵，骗取网民以投资名义进行非法集资，前期如约兑现利润，后期网断人跑。

2、网络经济犯罪的特点
（1）犯罪主体的多样性
各种职业、各种年龄、各种身份的人都可能实施网络经济犯罪。

（2）犯罪主体的低龄化
据统计，网络犯罪人多数都在35岁以下，甚至有很多是尚未达到刑事责任年龄的未成年人。

（3）受害人多，涉案金额大，案件涉及面广
而就目前在我国多发的涉众型网络经济犯罪案件来看，这一犯罪涉及的范围、行业、人员、地域，也是在不断地发展扩大。

（4）巨大的社会危害性
网络的普及程度越高，网络犯罪的危害也就越大，而且网络经济犯罪的危害性远非一般的传统犯罪所能比拟。

涉及财产的经济网络犯罪，动辄就会造成上百万、上千万甚至上亿元的损失。

（5）极高的隐蔽性
由于网络的开放性、不确定性、超越时空性等特点，使得网络犯罪具有极高的隐藏性。

2.2.2 计算机网络安全与政治、军事
中国《南方周末》报刊曾说过：“工业时代的‘战略战’是核战争，而信息时代的‘战略战’就是网络战”。

作为高度依赖互联网的国家，美国将网络空间安全视作国家安全的重要环节，建立众多网络安全专职机构，制定130多项法律法规。

奥巴马政府更是采取“军民并重、攻防兼备”的策略，把网络空间安全作为国家层面的最高级战略目标。

计算机网络战，以武器控制、C4I等系统中的核心设备——计算机为攻击点，力图使对方瘫痪，保护己方军队的“心脏”。

为达到这一目的，交战双方将采取各种手段和措施对敌方计算机系统进行攻击，或窃取其情报资料，或进行破坏、扰乱、欺骗，并保持己方计算机设备、系统的有效工作。

因此，计算机网络战的主要任务是：情报侦察与反侦察，病毒破坏与反破坏，电磁干扰与反干扰，实体摧毁与反摧毁。

3 计算机网络面临的主要威胁
3.1 Internet网络存在的安全缺陷
Internet网络不论在网络范围规模，还是方便快捷开放，是其他任何网络无法比拟的，但是，存在的信息网络安全缺陷也是十分严重的。

因为，互联网是分散管理的，是靠行业协会标准和网民自律维系的一个庞大体系。

Internet原是一个不设防的网络空间，从学校进入社会及企业和政府以后，国家安全、企业利益和个人隐私的保护就日显突出。

Internet资源短缺，如IP地址、域名和带宽，随着网络的膨胀，造成了域名抢注IP地址，垄断和信息严重受阻等现象。

Internet上行为的法律约束脆弱，原有的法律不完全适用，适应网络环境的新法律还远远不配套，因此对网络犯罪、知识产权的侵犯和网上逃税等问题缺少法律的威慑和惩治能力。

对网上的有害信息、非法联络违规行为都很难实施有效的监测和控制。

Internet的跨国协调困难，对过境信息流的控制及跨国黑客犯罪的打击非数字产品关税收缴等问题协调困难。

Internet上国际化与民族化的冲突日益突出，各国之间的文化传统、价值观念、语言文学的差异造成了网络行为的碰撞。

Internet网络存在的主要安全问题：
（1）TCP/IP网络协议的设计缺陷。

TCP/IP协议是国际上最流行的网络协议，该协议在实现上因力求实效，而没有考虑安全因素，TCP/IP本身在设计上就是不安全的。

例如：容易被窃听和欺骗；脆弱的TCP/IP服务；很多基于TCP/IP的应用服务都在不同程度上存在着不安全的因素；缺乏安全策略；配置的复杂性。

访问控制的配置一般都十分复杂，所以很容易被错误配置，从而给黑客以可乘之机。

（2）薄弱的认证环节。

例如：internet使用薄弱的、静态的口令。

可以通过许多方法破译。

其中最常用的两种方法是把加密的口令解密和通过监视信道窃取口令；一些TCP 或UDP（用户数据包协议）服务只能对主机地址进行认证，而不能对指定的用户进行认证。

（3）系统的易被监视性。

例如：当用户使用Telnet或FTP连接在远程主机上的账户时，
在internet上传输的口令是没有加密的，那么侵入系统的一个方法就是通过监视携带用户名和口令的IP包获取；X WINDOWS系统允许在一台工作站上打开多重窗口来显示图形或多媒体应用。

闯入者有时可以在另外的系统上打开窗口来读取可能含有口令或其他敏感信息的击键序列。

3.2 常见的安全威胁与攻击
计算机网络安全受到的威胁不仅包括“黑客”的攻击、计算机病毒和拒绝服务攻击（Denial of Service Attack），还包括常见的非授权访问、假冒合法用户、数据完整性受破坏和通信线路被窃听。

（1）硬件资源脆弱性
网络系统硬件资源的安全隐患来源于设计，主要表现为物理安全方面的问题，例如各种计算机或网络设备（如主机、电缆、交换机、路由器等），除非难以抗拒的自然灾害外，温度、湿度、尘埃、静电、电磁场等也可以造成信息的泄露或失效。

（2）软件资源脆弱性
软件资源的安全隐患来源于设计和软件工程中的问题，软件设计中的疏忽可能留下安全漏洞；软件设计中不必要的功能冗余及软件过长、过大，不可避免地存在安全脆弱性；软件计划不按信息系统安全等级要求进行模块化设计，导致软件的安全等级不能达到所声称的安全级别；软件工程实现中造成的软件系统内部逻辑混乱，导致垃圾软件，从安全角度考虑这种软件是绝对不能用的。

（3）网络和通信协议脆弱性
当前计算机网络系统所使用的TCP/IP协议以及FTP、E-mail、NFS中都包含许多影响网络安全的因素，存在许多安全漏洞，主要有如下几方面的的原因。

①缺乏对通信双方真实身份的鉴别机构
由于TCP/IP协议使用IP地址作为网络节点的唯一标识，而IP地址的使用和管理又存在很多问题，因而导致安全问题。

②缺乏对路由协议的鉴别认证
TCP/IP在IP层上缺乏对路由协议的安全认证机制，对路由信息缺乏鉴别与保护。

因此，可以通过Internet利用路由器修改网络传输路径，误导数据的传输。

③TCP/UDP协议的缺陷
TCP/UDP是基于IP协议上的传输协议，TCP分段和UDP数据包是封装在IP包中在网络中传输的，因此可能面临IP层所遇到的安全威胁。

另外，建立一个完整的TCP链接，需要经历“三次握手”过程。

在客户/服务器模式的“TCP/UDP三次握手”过程中，加入客户机的IP地址是假的，是不可达的，那么TCP不能完成盖茨链接所需的“三次握手”，使TCP连接处于“半开”状态。

因此，也会带来安全隐患。

3.3 网络攻击的类型
互联网发展至今，除了它表面的繁荣外，也出现了一些不良现象，其中黑客攻击的“木马”技术是最令广大网民头痛的事情，它是计算机网络安全的主要威胁。

下面着重分析黑客进行网络攻击的集中常见手法。

1、利用挂马网页进行攻击
用户访问某些网站后，会莫名弹出一大堆网页和广告，严重干扰了正常的电脑使用。

木马传播一般通过“网站挂马”、文件传输、移动介质（如U盘）等几种主要方式进行。

其中“网站挂马”由于其传播面大、隐蔽性高的特点一直受到木马传播者的青睐。

2、利用网络系统漏洞进行攻击
许多网络系统都存在着这样那样的漏洞，这些漏洞有可能是系统本身所有的，如windows NT、UNIX等都有数量不等的漏洞，也有可能是由于网管的疏忽而造成的。

黑客利用这些漏洞就能完成密码探测，系统入侵等攻击。

3、通过电子邮件进行攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。

黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。

当垃圾邮件的发送量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。

4、解密攻击
在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要
输入密码进行身份验证。

而现在的密码保护手段大都认密码不认人，只要有密码，系统就会认为你是经过授权的正常用户，因此取得密码也是黑客进行攻击的重要手法。

系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。

5、后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。

Back Orifice2000，冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，并对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。

这些后门软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登录已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会附带于某些软件上。

有可能在用户下载了一个小游戏并运行时，后门软件的服务器端就安装完成了，而且大部分后门软件的重生能力比较强，给用户进行清除造成一定的麻烦。

6、拒绝服务攻击
实施拒绝服务攻击（DdoS）的难度比较小，但他的破坏性却很大。

它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。

4 计算机网络安全的防范措施
4.1 网络的安全管理
网络信息安全防护技术原理：
1、主动防护技术
一般有数据加密、安全扫描、网络管理、网络流量分析和虚拟网络等技术。

隐患扫描技术
网络安全性隐患扫描也称为网络安全性漏洞扫描，它是进行网络安全性风险评估的一项重要技术，也是网络安全防护技术中的一项关键性的技术。

其原理是采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞和弱点进行逐项扫描和检查。

目标可以是工
作站、服务器、交换机、数据库应用等各种对象。

根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平提供重要依据。

安全扫描器通过对网络的扫描，可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。

可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。

安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。

2、网络管理技术
网络管理系统具有对整个管理系统的趋势进行跟踪并相应采取措施的能力，快速部署应用程序和管理工具，通过提供集成化视图来管理支持业务程序的IT系统，并视业务政策和目标的变化进行动态调整，能够根据其监视或检测到的情况实施管理活动。

3、网络流量分析技术
网络流量分析系统提供了用户上网行为分析、异常流量实时监测、历史流量分析报表到流量趋势预警等功能，涵盖了网络流量分析的所有细节，可以通过日报、周报、月报的标准报表、对照报表和趋势分析报表等多种格式报告流量分析结果。

4、带宽管理技术
带宽管理系统可以使广域网或互联网上运行的应用程序提高运行效率。

带宽管理系统可以控制网络表现，使之与应用程序的特点、业务运作的要求以及用户的需求相适应，然后提供验证结果。

5、VLAN与VPN技术
VLAN（虚拟网）把网络上的用户（终端设备）划分为若干个逻辑工作组，每个逻辑工作组就是一个VLAN。

可以灵活的划分VLAN，增加或删除VLAN成员，当终端设备移动时，无须修改它的IP地址。

在更改用户所加入的VLAN时，也不必重新改变设备的物理连接。

VPN（虚拟专用网）采用加密和认证技术，利用公共通信网络设施的一部分来发送专用信息，为相互通信的节点建立起一个相对封闭的、逻辑的专用网络，通过物理网络的划分，控制网络流量的流向，使其不要流向非法用户，已达到防范目的。

6、数据加密技术
密码技术是保护信息安全的主要手段之一，不仅具有信息加密功能，而且具有数字签名、身份验证、秘密共存、系统安全等功能。

所以，使用密码技术不仅可以保证信息
的机密性，而且可以保证信息的完整性和确证性，防止信息被篡改、伪造或假冒。

一、被动防护技术
被动防护技术目前有防火墙技术、防病毒技术、入侵检测技术、路由过滤技术、审计与监测等技术。

1、防火墙技术
我国公共安全行业标准中对防火墙的定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。

其基本工作原理是在可信任网络的边界（即常说的在内部网络和外部网络之间，通常认为内部网络是可信任的，而外部网络是不可信的）建立起网络控制系统，隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。

从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式形式多样，通常是一组硬件设备（路由器、主机等）和软件的多种组合。

2、防病毒技术
防病毒技术就是系统管理及下发防病毒服务器组内的防病毒服务器及各个客户端的防病毒策略，通过设定防病毒升级服务器进行防病毒组内的服务器端及客户端的病毒代码更新，通过搜索来确定网络内的防病毒服务器组，搜集防病毒服务器的运行日志。

3、入侵检测技术
入侵检测技术是通过从计算机网络和系统的若干关键点手机信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定的措施的技术。

入侵检测技术包括3个部分内容：信息收集、信息分析和响应。

①入侵检测系统能使系统对入侵事件和过程作出实时响应。

如果一个入侵行为能被足够迅速地检测出来，就可以在任何破坏或数据泄密发生之前将入侵者识别出来并驱逐出去。

即使监测的速度不够快，入侵行为越早被检测出来，入侵造成的破坏程度就会越少，而且能越快地恢复工作。

②入侵检测是防火墙的合理补充。

入侵检测能够收集有关入侵技术的信息，这些信息可以用来加强防御措施。

③入侵检测是系统动态安全的核心技术之一。

鉴于静态安全防御不能提供足够的安全，系统必须根据发现的情况实时调整，在动态中保持安全状态，这就是常说的系统动态安全，其中检测是静态防护转化为动态的关键，是动态响应的依据，是落实或强制执行安全策略的有力工具，因此入侵检测使系统动态安全的核心技术之一。

4.2 网络安全的关键技术
从广义上讲，计算机网络安全技术主要有以下几类。

（1）主机安全技术：主机的安全风险是由攻击者利用主机或设备提供的服务的漏洞而引起的。

主机有两大类别，即客户端和服务器。

有效保护客户端和服务器的安全需要用户权衡安全程度和可用程度。

主机防御可以包括操作系统加固、增强身份验证方法、更新管理、防病毒更新和有效的审计等项目。

（2）身份认证技术：增强的身份验证机制可降低成功攻击用户的网络环境的可能性。

许多组织仍使用用户名和密码组合来验证用户对资源的访问权限。

基于密码的身份验证可能非常安全，但最为常见的是由于密码管理不善而非常不安全。

如今广泛使用的是更安全的非基于密码的机制，例如X.509证书、基于时间的硬件标记或辅助身份验证过程（如生物测定法）。

用户可能需要结合使用不同的身份验证机制（例如，将存储在智能卡上的X.509证书与个人识别码（PIN）结合使用）以使组织具备更高级别的安全性。

（3）访问控制技术：采用访问控制技术可以根据企业的管理策略决定哪些流量可以进入，哪些流量必须阻止。

访问控制的基本元素可以用户（组）、协议、IP地址、端口号以及时间等。

（4）密码管理技术：密码管理涉及建立密码策略、更改和重置密码以及将密码更改传播到连接的所有标志存储。

例如，使用密码管理，用户只需一次操作即可同时更改其网络登录密码、SAP账户凭据、电子邮件凭据和网站密码。

（5）防火墙技术：防火墙是在一个内部可信任的私有网络和外部不可信任的网络之间建立一个检查点，在这个点上可以根据企业的安全策略控制出入的信息流，禁止一切未经允许的流量通过，从而有效地保证企业网络的安全。

（6）安全审计技术：安全审核提供了以中间是访问管理事件和目录对象更改的手。