《2022年网络安全与防御 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全与防御 .pdf(18页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、四川托普信息技术职业学院毕 业 设 计 论 文题目:网络安全与防御学生姓名 :潘美林学生学号:2008060118专业方向:网络组建与维护指导教师:邱涛指导单位:四川托普信息技术职业学院计科系2010 年 6 月 20 日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 18 页 - - - - - - - - - 计算机网络安全2摘要 .3第一章网络安全基础.41.1网络安全的含义.41.1.1信息的私密性.41.1.2信息的完整性.41.1.3身份鉴别.41.1.4授权
2、.41.1.5不可否认性.41.1.6网络服务有效性.4第二章计算机网络安全威胁.52.1什么是安全威胁.5第三章计算机网络安全存在的攻击方式.63.1间谍软件 .63.2混合攻击 .63.3绕道攻击 .63.4网页及浏览器攻击.63.5蠕虫及病毒 .63.6SQL注入式攻击 .73.7网络欺骗 .7第四章安全策略 .84.1防火墙的概述.84.1.1防火墙的定义.84.1.2防火墙的功能.84.2防火墙的基本原理及关键技术.94.2.1防火墙基本原理.94.2.2防火墙关键技术.94.3网络安全防御系统的设计.114.4加密和认证系统.144.4.1加密 .144.4.2鉴别与身份认证.14
3、4.4.3工作过程 .144.5数据备份恢复.144.6阻止入侵和非法访问.144.7设置代理服务器,隐藏自己的IP 地址 .154.8建立网络应急响应系统.154.9加强网络安全的人为管理.164.10 .16参考文献 .17名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 18 页 - - - - - - - - - 计算机网络安全3摘要众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种联网的计算机,拓宽了共享资源。 但是,由于在早
4、期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁, 与它有关的安全事故屡有发生。对网络信息安全的威胁主要表现在:非授权访问,冒充合法用户, 破坏数据完整性, 干扰系统正常运行,利用网络传播病毒, 线路窃听等方面。 本文主要介绍了有关网络信息安全的基础知识:网络信息安全的脆弱性体现、网络信息安全的关键技术、 常见攻击方法及对策、防火墙、应急响应系统等安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展,网络信息安全问题终究会得到解决。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -
5、- - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 18 页 - - - - - - - - - 计算机网络安全4第一章网络安全基础1.1 网络安全的含义1.1.1信息的私密性网络中的信息只能被信息的所有者和所有者同意告知的人获得既是信息的私密性。如:一位储户在银行柜台取钱的时候,需要输入密码,他当然希望所输入的秘密只有储蓄数据库能获得该密码,二其他任何热人, 包括他身后的其他储户和银行里的任何人都不应获得密码。1.1.2信息的完整性信息只能被预期的途径或方式更改即是信息的完整性。如:一位储户到银行取款,当他输入 1000 元取款金额是时候,当然不希望
6、该取款信息在网络传输的任何环节变为 2000 元,而银行肯定也不愿意储户在取走了1000 元后,起账户上只减少 100 元。 此时则需要信息在传输中不被改变, 这就需要保证信息的完整性。1.1.3身份鉴别所谓身份鉴别,通俗地说就是指验明正身。如:储户到银行网点取款,怎么证明他有某账户的所有权,存折、储蓄卡是证明,但是存折、储蓄卡是抢的呢。此时密码鉴别就是很好的身份鉴别。1.1.4授权授权是指为一定的身份分配一定的操作权限。如:在网络银行上,当储户输入账号、密码信息登录后,可以有网络支付、转账、挂失等权限,却没有存款等权限。1.1.5不可否认性不可否认性包括两个方面,即信息的产生者不可否认他产生
7、了信息,而信息的接收者不可否认其接收信息的真实性。1.1.6网络服务有效性这通常是针对服务器为客户提供服务而言,如银行网点,他必须保证在正常情况下,储户能进行正常的取款、转账、查询。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 18 页 - - - - - - - - - 计算机网络安全5第二章计算机网络安全威胁2.1什么是安全威胁一切对网络中的信息能够进行非法截获、访问、修改的行为等,都是网络安全的威胁。归纳起来,针对网络安全的威胁主要有:1软件漏洞 : 每一个操作系
8、统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。2配置不当 : 安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。 对特定的网络应用程序, 当它启动时, 就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。3安全意识不强 : 用户口令选择不慎, 或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。4病毒: 目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据, 影响计算机软件、 硬件的
9、正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。5黑客: 对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer) 。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。 从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 18 页 - - - - - - - - - 计算机网络安全6第三
10、章计算机网络安全存在的攻击方式3.1间谍软件所谓“间谍软件”即是木马程序, 一般指从计算机上搜集信息, 并在未得到该计算机用户许可时便将信息传递到第三方的软件, 包括监视击键 , 搜集机密信息(密码、信用卡号、 PIN码等), 获取电子邮件地址 , 跟踪浏览习惯等。间谍软件还有一个副产品 , 在其影响下这些行为不可避免的响网络性能, 减慢系统速度 , 进而影响整个商业进程。 对于此类攻击, 只需要不使用不清楚的软件, 扫描来历不明的文件,就可以避免其发生。3.2混合攻击混合攻击集合了多种不同类型的攻击方式, 它们集病毒 , 蠕虫以及其他恶意代码于一身 , 针对服务器或者互联网的漏洞进行快速的攻
11、击、传播、扩散, 从而导致极大范围内的破坏。对于此类攻击,加装了较好的网络防火墙、病毒防火墙,就能及其有效的阻止攻击。3.3绕道攻击网关级别的安全防护无法保护电脑免遭来自CD 、USB设备或者闪盘上的恶意软件攻击。同理, 那些被拿到办公室之外使用的员工电脑也无法得到有效的保护。假如你将电脑拿到一个无线热点区域之中, 那么窃听者以及AP盗用者都有可能拦截到电脑的相关通讯如果你的电脑并未采取足够客户端安全防护措施的话。而这些攻击 , 我们就将其称为 “绕道攻击”。对于此类攻击, 要将网络登录口令复杂化,数据的加密性较高。就可以避免一般的攻击了。3.4网页及浏览器攻击网页攻击指一些恶意网页利用软件或
12、系统作平台等的安全漏洞,通过执行嵌入在网页 HTML 超文本标记语言内的Java Apple 小应用程序、 Javascript脚本语言程序、 ActivitieX软件部件交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统应用配置程序,从而达到非法控制系统资源、 修改数据、感染木马等。常见的网页攻击现象有IE 标题被修改、首页被修改,IE右键菜单被修改等。 对于此类攻击, 可安装一款较好的网络防火墙就可以了,如金山网盾,天网防火墙。3.5蠕虫及病毒名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -
13、 - - - - - - 第 6 页,共 18 页 - - - - - - - - - 计算机网络安全7感染现有计算机程序的病毒, 以及那些本身就是可执行文件的蠕虫, 是最广为人知的计算机安全威胁病毒。 一般倾向于栖身在文档、 表格或者其他文件之中,然后通过电子邮件进行传播, 而蠕虫通常是直接通过网络对自身进行传播。一旦病毒或者蠕虫感染了一台电脑, 它不仅会试图感染其他系统, 同时还会对现有系统大搞破坏。3.6SQL注入式攻击所谓 SQL注入式攻击,就是攻击者把 SQL命令插入到 Web 表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构
14、造 (或者影响) 动态 SQL命令,或作为存储过程的输入参数,这类表单特别容易受到 SQL注入式攻击。不仅如此,黑客们已经开发出自动化的工具, 利用谷歌等搜索引擎来找出可能存在漏洞的网站,然后将代码植入其服务器中。3.7网络欺骗网络欺骗又称“网络钓鱼”只是企图欺骗用户相信那些虚假的电子邮件、电话或网站 , 这些网站往往和网上银行或支付服务相关, 让你认为它们是合法的 , 而其意图则是让用户提交自己的私人信息, 或是下载恶意程序来感染用户的计算机。此时我们只需要注意浏览器地址栏的地址,看是否属于你经常使用的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -
15、 - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 18 页 - - - - - - - - - 计算机网络安全8第四章安全策略4.1防火墙的概述4.1.1防火墙的定义防火墙是汽车中一个部件的名称。 在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火, 防火墙不但能保护乘客安全, 而同时还能让司机继续控制引擎。从网络安全角度上讲, 防火墙是一种安全有效的防范技术,是访问控制机制、安全策略和防入侵措施。 从狭义上来讲, 防火墙是指安装了防火墙软件的计算机、路由器或专门的硬件设备; 从广义上讲, 防火墙还包括了保护整个网络的安全策略和安全行为。 它通过在网络
16、边界上建立网络安全监测系统,对流经它的网络通信进行扫描, 能够有效隔离内部和外部网络, 确定允许哪些内部服务访问外部服务, 以及允许哪些外部服务访问内部服务,以阻挡来自外部网络的入侵和攻击。4.1.2防火墙的功能防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、 专用网与公共网之间的界面上构造的保护屏障. 是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使 Internet与 Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入, 防火墙主要由服务访问规则、验证工具、包过滤和应用级网关4 个部分组成。防火墙能有效地防止外来的入侵,起了一个作为保
17、护层的作用, 使得内部网与外部网之间所有的信息流都必须通过防火墙,信息流在流经防火墙时, 网络通信进行扫描, 这样能够过滤掉一些攻击, 以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。 而且它还能禁止特定端口的流出通信,封锁特洛伊木马。它的主要功能可分为四点:一是防火墙是网络安全的屏障,能极大的提高一个内部网络的安全性; 二是防火墙可以强化网络安全策略, 能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上;三是对网络存取和访问进行监控审计,就提供了监测和攻击的详细信息,并且清楚防火墙的控制是否充足;四是防止内部信息的外泄, 可利用防火墙对内部网络的划分和阻塞有关内部网络
18、中的 DNS信息等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 18 页 - - - - - - - - - 计算机网络安全94.2防火墙的基本原理及关键技术4.2.1防火墙基本原理防火墙就是一种过滤塞,它将合法的数据通过这个塞子,非正式请求的数据都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能有多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样: 有的取代系统
19、上已经装备的TCP/IP 协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护。 还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包, 决定放行还是把他们扔到一边。 防火墙对于企业网络的防御系统来说, 是一个不可缺少的基础设施。 我们在选择防火墙时, 首先考虑的就是需要一个什么结构的产品,防火墙发展到今天, 很多产品已经越来越像是一个网络安全的工具箱, 工具的多少固然很重要, 而系统的结构则是一个起决定性作用的前提, 因为防火墙的
20、结构决定了这些工具的组合能力,决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上,以下是防火器的主要技术。4.2.2防火墙关键技术包过滤:包过滤( packet filtering)防火墙是出现最早的一类防火墙。事实上,路由器本身就具有包过滤防火墙的功能。理论上,包过滤器可以配置为根据协议报头的任何部分进行判断, 但实际上,大多数的包过滤实现都针对最为有用的数据域:协议类型、 IP 地址、端口号等。通常源地址、目的地址、协议类型、源端口、 目的端口以及包到达或发出的接口等构成包过滤防火墙的基本安全控制和审计手段。简单包过滤是对单个包的检查, 目前绝大多数路由器产品都提供这
21、样的功能,所以如果你已经有边界路由器了,那么完全没有必要购买一个简单包过滤的防火墙产品。 包过滤结构的最大优点是部署容易,对应用透明。 另一个优点是性能,状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构,但是对于防火墙产品来说, 毕竟安全是首要的因素, 包过滤防火墙对于网络控制的依据仍然是 IP 地址和服务端口等基本的传输层以下的信息;简单的包过滤防火墙只检查序号为 0 的 IP 分包,可以容易地被攻击者定制IP 分包的方法绕过防火墙策略,所以在安全性方面存在较为严重的缺陷,当前基本上已经被基于状态检名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -
22、 - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 18 页 - - - - - - - - - 计算机网络安全10查包过滤的专业防火墙所取代。 状态检查是介于简单包过滤和应用级防火墙之间的一种中间方式,它使用基于维持连接状态和协议信息的复杂过滤器来阻断或通过数据包。 在大幅度提高安全性的同时,能够以非常高的速度进行包过滤,成为当前主流防火墙优先采用的工作方式。应用代理:应用代理防火墙的工作方式不同于包过滤防火墙,它首先对带有代理并且按照策略规则允许通过的数据包接收并重新产生,然后忽略掉那些没有相应代理的数据包。应用代理防火墙可以说就是为防范应用层攻击而设计
23、的。应用代理也算是一个历史比较长的技术, 最初的代表是 TIS 工具包,现在这个工具包也可以在网络上免费得到,它是一组代理的集合。 代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发, 访问者任何时候都不能直接与服务器建立直接的 TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说, 状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。代理技术的一个主要的弱点是缺乏对应用的透明性,代理的另一个无法回避的缺陷是性能很差。 应用代理可以提供比包过滤防火墙更为细致的网络安全
24、策略和更好的安全水平,体现在下面几点:(1)阻断了内外的直接网络连接,不必存在内外网络的直接路由;(2)隐藏了内部网络的客户,对外表现为一个较为繁忙的主机;(3)能够在应用层进行内容和协议过滤,实现精细安全控制;能够对应用层协议进行一致性检查,防止了某些恶意定制的攻击性网络分包;(4)提供了单点的访问、控制和日志记录功能。状态检测:检测型防火墙是新一代的产品, 这一技术实际已经超越了最初的防火墙定义。检测型防火墙能够对各层的数据进行主动的、实时的监测, 在对这些数据加以分析的基础上,检测型防火墙能够有效地判断出各层中的非法侵入。同时, 这种检测型防火墙产品一般还带有分布式探测器, 这些探测器安
25、置在各种应用服务器和其他网络的节点之中 , 不仅能够监测来自网络外部的攻击, 同时对来自内部的恶意破坏也有极强的防范作用。对于传统的包过滤防火墙只是简单的将数据包看作单个无关联的包,没有注意到数据包的上下文及同一个会话的数据包之间的内在联系。对于每一个流经防火墙名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 18 页 - - - - - - - - - 计算机网络安全11的数据包都要与过滤规则做比较,增加了许多不必要的操作, 降低了效率。 而状态检测技术试图理解数据包中
26、更高层协议和数据信息,并跟踪一个会话的状态和上下文信息。 例如,对于一个会话而言, 将会话刚开始具有SYN 标志位的数据包与规则库中的规则进行比较,如果通过了的话则在状态表中建立一个会话记录,以后所有属于该会话的数据包将不用检查直接通过,这样就在没有降低安全性的前提下而大大提高了效率。4.3网络安全防御系统的设计网络攻击手段正在不断多样化, 简单地采用多种孤立的基于单层次体系结构的安全手段已不能满足需求。在这种情况下,提出构建全面的安全防御系统, 即利用复杂系统和安全工程风险管理的思想与方法来处理网络安全问题, 将网络安全作为一个整体工程来处理。把网络结构、加密认证、防火墙、病毒防护、入侵检测
27、等单一的安全措施有机地结合起来, 形成一套整体功能远远大于局部系统的安全系统。图 1 是我们在学习和实践中 , 根据实际需要 , 建立的全面安全防御系统模型。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 18 页 - - - - - - - - - 计算机网络安全12外 部 网主 防 火 墙病毒防火墙代理服务器包过滤Web 服务器(加密认证)备份中心服务器(IDS, 备份)恢复报 警分布式防火墙分布式防火墙分布式防火墙工作站(加密认证)工作站(加密认证)工作站(加密认
28、证)分布式IDS分布式IDS分布式IDS图 1它主要由以下四大部分有机组成:防火墙系统影响 Firewall 系统设计、 安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall 如何限制和过滤在高级策略中定义的服务。基于这两个策略, 在设计中,整个网络通过主防火墙与外部网络相连,主防火墙增加虚拟邮件服务器,将第三方杀毒软件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 18 页 - - - - - - -
29、- - 计算机网络安全13与防火墙紧密结合起来抵御邮件病毒。 并且主防火墙作为分布式防火墙控制策略中心,采用系统管理工具把策略文件分发给各分布式防火墙,各分布式防火墙将从IP 安全协议和策略文件两方面来判断是否接受收到的包。分布式防火墙针对受保护主机配置控制策略规则,并可以有效防范来自内部的攻击。集成杀毒功能的防火墙对信息收集与获取攻击、拒绝服务、电子欺骗都极为有效,并且与入侵检测系统集成以弥补IDS 缺乏主动控制措施的缺点。入侵检测系统入侵检测系统是一种对发生在主机或网络系统中的事件进行自动监测, 并将其作为安全问题进行分析的软件与硬件的组合。它的结构可分为二种: 一是基于网络的入侵检测,二
30、是基于主机的入侵检测。(1)基于网络的入侵检测分布在网络上或设置在被监测的主机附近, 在网络通信中寻找符合网络入侵模板的数据包 , 并立即做出相应反应 , 如发送电子邮件、 寻呼、记录日志、 切断网络连接等。它不依赖于被保护主机的操作系统, 一个网段只需安装一套系统。但由于要检测整个网段的流量, 易遭受拒绝服务攻击。(2)基于主机的入侵检测其主要目标是在单机模式下, 防范对主机本身的入侵 , 检测原理是根据主机操作系统提供的审计数据来发现可疑的入侵事件, 再依据一定的方法判断是否确为入侵7 。它能监视所有系统行为 , 但其依赖于审计数据和系统日志的准确性、完整性和对入侵事件的定义, 实时性也不
31、如基于网络的DS好。入侵检测模式(1) 基于标志的检测判别预定义的违背安全策略的事件特征是否在所收集的数据中出现。此方法类似杀毒软件 , 能较为准确地发现入侵 , 误报率很低 , 缺点是只能发现已知的攻击和入侵, 且标识库需要不断地更新。(2) 基于异常的检测预定义一组系统“正常”情况的数值, 然后将系统运行时的数值与“正常”情况比较 , 判断是否被攻击。它的特点是对已知和未知的攻击都有一定的检测能力, 缺点是误报率较高。技术分析引入防火墙和分布式入侵检测系统, 并与防火墙集成后 ,IDS 读取防火墙的规则后可以调整它的分析引擎, 使之不分析已被防火墙屏蔽在内部网外的流量类型,名师资料总结 -
32、 - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 18 页 - - - - - - - - - 计算机网络安全14使其负载减小 , 进而减少它受到DOS 攻击的可能性。通过将入侵检测系统的信息的采集和处理功能部分分布到多台工作站上, 经本地处理后 , 将可疑的单机无法处理的数据传输给入侵检测系统的中心决策系统, 在中心决策系统对信息进行综合后作出响应。通过集成防火墙和DIS,采用分布式结构可以极大地增强系统的性能, 获得整体安全性的提高。4.4加密和认证系统4.4.1加密加密的主要目的是
33、防止信息的非授权泄漏, 基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息。加密可以有效地对抗截收、 访问数据库时非法窃取信息、盗窃信息等威胁。加密主要有传输加密和存储加密两种方式, 一般分为对称(私钥)密码和不对称 (公钥)密码算法。4.4.2鉴别与身份认证鉴别的目的是验明用户或消息的身份。鉴别可以有效地对抗冒充、 非法访问、重演、抵赖等威胁 , 其技术主要有 : 报文鉴别、身份认证和数字签名等。4.4.3工作过程每台工作站都有身份认证系统, 为保证口令和重要数据的安全性, 将其加密后存储在主机系统中。针对Internet明文网络传输的弱点 , 采用 SSH 、SSL 、PGP等方法将
34、口令、重要数据和敏感信息 (如 IDS和防火墙之间传递的信息 )加密后传输。4.5数据备份恢复网络备份就是在网络系统发生意外情况下(如受到黑客攻击、病毒感染、操作失误、软件系统错误等 )的应急恢复、处理方案。一般有网络系统的双机热备份和网络数据冷备份两种方式。 备份系统利用网络数据冷备份技术将整个网络系统及数据完整备份到磁盘阵列。 报警系统的功能是当接收到入侵检测系统发送的被攻击的信息时 , 立即通过邮件、呼机、手机等方式通知系统管理员采取必要的保护措施 , 同时通知恢复系统从备份目录中提取相应的原始信息以及时恢复被攻击的部分。4.6阻止入侵和非法访问名师资料总结 - - -精品资料欢迎下载
35、- - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 18 页 - - - - - - - - - 计算机网络安全15入网访问控制为网络访问提供第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源 , 控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、 限制用户入网的时间、 限制用户入网的工作站数量。 对所有用户的访问进行审计 , 如果多次输入口令不正确 , 则认为是非法用户的入侵,应给出报警信息。4.7设置代理服务器,隐藏自己的IP 地址保护自己的 IP 地址是很重要的。事实上,即便你
36、的机器上被安装了木马程序,若没有你的 IP 地址,攻击者也是没有办法的, 而保护 IP 地址的最好方法就是设置代理服务器。 代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请, 然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。4.8建立网络应急响应系统在网络中没有百分百安全和保密的网络信息, 因此要求网络要在被攻击和破坏时能够及时发现 , 及时反映 , 尽可能快的恢复网络
37、信息中心的服务, 减少损失,网络安全系统包括安全防护机制、 安全检测机制、安全反映机制和安全恢复机制,这就需要部署网络应急响应系统。这必须具备以下四大技术功能:1 预警功能:强大的预警功能是网络正常运行的保障要素。应急系统不但能够对通用入侵行为进行检测, 还要能够监测特定的安全行为, 满足不同的特殊应急。2 分布式部署: 这是建设网络应急响应系统的基本要素。这是与网络的情况相关的,只有进行整个网络范围内的分布式部署,才能发现重大问题, 也才能够进行全网的应急响应。3 综合分析:综合分析是提升网络应急响应系统的关键要素。网络应急响应系统综合分析有一下多种关联信息:入侵行为与入侵行为之间的关联性,
38、入侵行为与漏洞之间的关联性,网络行为与主机事件的关联性。4 及时响应:及时响应是网络应急响应系统进行响应的关键要素。具备多样性、灵活性、及时有效性的报警和响应方式是能及时处理安全事件的重要条件。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 18 页 - - - - - - - - - 计算机网络安全164.9加强网络安全的人为管理在网络安全中 , 除了采用上述技术措施之外, 加强网络的安全管理、 制定有效的规章制度 , 对于确保网络的安全、 可靠运行 , 将起到十分有
39、效的作用。 加强网络的安全管理包括 : 确定安全管理等级和安全管理范围; 制定有关网络操作使用规程和人员出入机房管理制度; 制定网络系统的维护制度和应急措施等。首先是加强立法, 及时补充和修订现有的法律法规。用法律手段打击计算机犯罪。其次是加强计算机人员安全防范意识, 提高人员的安全素质。另外还需要健全的规章制度和有效易于操作的网络安全管理平台。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 18 页 - - - - - - - - - 计算机网络安全17参考文献1 马
40、在强计算机网络安全实用技术重庆 西南师范大学出版社2006.112. 胡庆龙、文益民网络管理域维护清华大学出版社2007.93 许治坤 , 王伟, 郭添森 , 等. 网络渗透技术电子工业出版社2005.5.4 刘文清 . 计算机网络技术基础 M. 北京中国电力出版社 ,2005.5 凌捷、肖鹏、何东风 , “防火墙本身的安全问题浅析J ”2004.2.6 李家春,李之棠 . 入侵检测系统 . 计算机应用研究2001.12.7 陈波. 计算机系统安全原理与技术M. 机械工业出版社 ,2006.1.8 阎慧, 土伟. 防火墙原理与技术 M. 北京机械工业出版 ,2004.9 袁家政 . 计算机网络
41、安全与应用技术M. 北京清华大学出版社2002.10 陈爱民 . 计算机的安全与保密 M. 北京电子工业出版社 ,2002.11 殷伟. 计算机安全与病毒防治 M. 合肥安徽科学技术出版社,2004.12 卢开澄 . 计算机系统安全.重庆出版社编著 ,2006.13 朱文余 . 计算机密码应用基础.科学出版社等编著 ,2005.14 周学毛 . 网络规划建设与管理维护M. 北京电子工业出版社 ,2005.名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 18 页 - -
42、- - - - - - - 计算机网络安全18致谢光阴似箭, 转眼 3 年的大学就要结束了。在这次设计中, 我得到了许多老师的真诚教诲和同学们的热情帮助,在此我向给予我帮助的老师和同学表示最衷心的感谢!有你们的帮助和支持才会让我完成这次设计,并将走的更远,更好。在学习中老师严谨的治学态度、丰富渊博的知识、 敏锐的学术思维、 精益求精的工作态度以及诲人不倦的师者风范是我终生学习的楷模,指导老师高深精湛的造诣与严谨求实的治学精神,将永远激励着我。其次要感谢学校图书馆为我提供查找资料的场所,最后还特别感谢我的家人,他们的关爱让我能够拥有舒适的环境和充足的条件,能够及时的完成论文。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 18 页 - - - - - - - - -