计算机网络安全漏洞及防范措施Word下载.docx
《计算机网络安全漏洞及防范措施Word下载.docx》由会员分享,可在线阅读,更多相关《计算机网络安全漏洞及防范措施Word下载.docx(19页珍藏版)》请在冰豆网上搜索。
第四章防病毒技术…………………………………………………………16
4.1防病毒技术产生的原因………………………………………………16
4.2防病毒技术的分类……………………………………………………17
4.3常见的病毒防范方法…………………………………………………18
第五章安全扫描技术………………………………………………………19
5.1安全扫描的概述………………………………………………………19
5.2安全扫描全过程………………………………………………………20
第六章VPN技术………………………………………………………………20
6.1VPN的定义……………………………………………………………20
6.2VPN的功能……………………………………………………………21
6.3VPN的关键技术………………………………………………………21
第七章入侵检测技术………………………………………………………22
7.1入侵检测技术的定义…………………………………………………22
7.2入侵检测技术的分类…………………………………………………23
7.3入侵检测技术存在的问题……………………………………………24
第八章身份认证技术………………………………………………………24
8.1身份认证的概述………………………………………………………24
8.2身份认证的方法………………………………………………………24
8.3身份认证的类型………………………………………………………25
第九章结论…………………………………………………………………26
参考文献……………………………………………………………………26
第一章绪论
1.1研究意义
在Internet上有一批熟谙网络技术的人,其中不乏网络天才,他们经常利用网络上现存的一些漏洞,想方设法进入他人的计算机系统。
有些人只是为了一饱眼福,或纯粹出于个人兴趣,喜欢探人隐私,这些人通常不会造成危害。
但也有一些人是存着不良动机侵入他人计算机系统的,通常会偷窥机密信息,或将其计算机系统捣毁。
这部分人我们称其为Internet上的"
黑客"
。
然而从根本意义讲,绝对安全的计算机是根本不存在的,绝对安全的网络也是不可能的。
只有存放在一个无人知哓的秘室里,而又不插电的计算机才可以称之为安全。
只要使用,就或多或少存在着安全问题,只是程度不同而已
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。
网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。
在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。
此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。
安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
1.2研究目的
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
正由于无处不在,也给了不法分子可乘之机,出现了许多破坏网络的行为。
例如:
病毒攻击、服务攻击、入侵系统、未授权身份验证等。
为了更好的维护网络安全,对于网络研究很有必要。
1.3研究范围
在论文中接下的几章里,将会有下列安排:
第二章,分析研究网络安全问题,网络安全面临的主要威胁,影响网络安全的因素,及保护网络安全的关键技术。
第三章,介绍防火墙的相关技术。
第四章,介绍防病毒的相关技术。
第五章,介绍安全扫描的相关技术。
第六章,介绍VPN的相关技术。
第七章,介绍入侵检测系统。
第八章,介绍身份认证。
第二章网络安全
2.1网络安全概述
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
2.1.1网络安全面临的主要威胁
网络安全威胁是指某个人、物或事件对网络资源的保密性、完整性、可用性和可审查性所造成的危害。
第一,硬件系统、软件系统以及网络和通信协议存在的安全隐患常常导致网络系统自身的脆弱性。
第二,由于计算机信息具有共享和易于扩散等特性,它在处理、存储、传播和使用过程中存在严重的脆弱性,很容易被泄露、窃取、篡改、假冒、破坏以及被计算机病毒感染。
第三,目前攻击者需要的技术水平逐渐降低但危害增大,攻击手段更加灵活,系统漏洞发现加快,攻击爆发时间变短;
垃圾邮件问题严重,间谍软件、恶意软件、流氓软件威胁安全;
同时,无线网络、移动手机也逐渐成为安全重灾区。
1、主要存在的网络信息安全威胁
目前主要存在4类网络信息安全方面的威胁:
信息泄露、拒绝服务、信息完整性破坏和信息的非法使用。
(1)信息泄露:
信息被有意或无意中泄露后透漏给某个未授权的实体,这种威胁主要来自诸如搭线窃听或其他更加错综复杂的信息探测攻击。
(2)拒绝服务:
对信息或其他资源的合法访问被无条件地阻止。
这可能是由以下攻击所致:
攻击者不断对网络服务系统进行干扰,通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负载,执行无关程序使系统响应减慢甚至瘫痪,从而导致系统资源对于合法用户也是不可使用的。
拒绝服务攻击频繁发生,也可能是系统在物理上或逻辑上受到破坏而中断服务。
由于这种攻击往往使用虚假的源地址,因此很难定位攻击者的位置。
(3)信息完整性破坏:
以非法手段窃得的对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;
恶意添加、修改数据、以干扰用户的正常使用,使数据的一致性通过未授权实体的创建、修改或破坏而受到损坏。
(4)信息的非法使用:
某一资源被某个未授权的人后以某一未授权的方式使用。
这种威胁的例子有:
侵入某个计算机系统的攻击者会利用此系统作为盗用电信服务的基点或者作为侵入其他系统的出发点。
2、威胁网络信息安全的具体方式
威胁网络信息安全的具体方式表现在以下8个方面:
(1)假冒。
某个实体(人或系统)假装成另外一个不同的实体,这是渗入某个安全防线的最为通用的方法。
(2)旁路控制。
除了给用户提供正常的服务外,还将传输的信息送给其他用户,这就是旁路。
旁路非常容易造成信息的泄密,如攻击者通过各种手段利用原本应保密但又暴露出来的一些系统特征渗入系统内部
(3)特洛伊木马。
特洛伊程序一般是由编程人员编制,他除了提供正常的功能外还提供了用户所不希望的额外功能,这些额外功能往往是有害的。
(4)蠕虫。
蠕虫可以从一台机器传播,他同病毒不一样,不需要修改宿主程序就能传播。
(5)陷门。
一些内部程序人员为了特殊的目的,在所编制的程序中潜伏代码或保留漏洞。
在某个系统或某个文件中设置的“机关”,当提供特定的输入数据时,便允许违反安全策略。
(6)黑客攻击。
黑客的行为是指涉及阻挠计算机系统正常运行或利用、借助和通过计算机系统进行犯罪的行为。
(7)拒绝服务攻击,一种破坏性攻击、最普遍的拒绝服务攻击是“电子邮件炸弹”。
(8)泄露机密信息。
系统内部人员泄露机密或外部人员通过非法手段截获机密信息。
2.1.2威胁网络安全的因素
自然灾害、意外事故;
计算机犯罪;
人为行为,比如使用不当,安全意识差等;
黑客”行为:
由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;
内部泄密;
外部泄密;
信息丢失;
电子谍报,比如信息流量分析、信息窃取等;
信息战;
网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
网络安全威胁主要包括两类:
渗入威胁和植入威胁渗入威胁主要有:
假冒、旁路控制、授权侵犯;
植入威胁主要有:
特洛伊木马、陷门。
陷门:
将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入数据时,允许安全策略被违反。
自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。
这些无法预测的事件有时也会直接或间接地威胁网络的安全,影响信息的存储和交换。
2、非授权访问。
指具有熟练编写和调试计算机程序的技巧并使用这写技巧来获取得非法或未授权的网络或文件访问,侵入到他方内部网络的行为。
网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者恶意破坏这个系统,使其毁坏而丧失服务能力。
3、后门和木马程序。
从最早计算机被人入侵开始,黑客们就已经发展了‘后门’这门技术,利用这门技术,他们可以再次进入系统。
后门的主要功能有:
使系统管理员无法阻止种植者再次进入系统;
使种植者在系统中不易被发现;
使种植者进入系统花费最少时间。
4、计算机病毒。
计算机病毒指编制或在计算机程序中插入的破坏计算机功和数据,影响计算机使用并能自我复制的一组计算机指令或者程序代码。
如常见的蠕虫病毒,就是计算机为载体,利用操作系统和应用程序的漏洞主动济宁攻击,是一种通过网络传输的恶性病毒。
它们具有病毒的一些共性,如传播性、隐蔽性、破坏性和潜伏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只是存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。
其他常见的破坏性比较强的病毒有宏病毒、意大利香肠等。
2.2网络安全分析
1、物理安全分析
网络的物理安全是整个网络系统安全的前提。
在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。
因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;
考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;
考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;
必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。
总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;
电源故障;
人为操作失误或错误;
设备被盗、被毁;
电磁干扰;
线路截获;
高可用性的硬件;
双机多冗余的设计;
机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。
2、网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。
假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。
透过网络传播,还会影响到连上Internet/Intrant的其他的网络;
影响所及,还可能涉及法律、金融等安全敏感领域。
因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;
同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
3、系统的安全分析
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。
目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot的WindowsNT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
因此,我们可以得出如下结论:
没有完全安全的操作系统。
不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。
因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;
其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
4、应用系统的安全分析
应用系统的安全跟具体的应用有关,它涉及面广。
应用系统的安全是动态的、不断变化的。
应用的安全性也涉及到信息的安全性,它包括很多方面。
——应用系统的安全是动态的、不断变化的。
应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、NetscapeMessagingServer、Software.ComPost.Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多种。
其安全手段涉及LDAP、DES、RSA等各种方式。
应用系统是不断发展且应用类型是不断增加的。
在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
——应用的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。
因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。
采用多层次的访问控制与权限控制手段,实现对数据的安全保护;
采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。
5、管理的安全风险分析
管理是网络中安全最最重要的部分。
责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。
保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。
一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。
因此,网络的安全建设是校园网建设过程中重要的一环。
2.3网络安全措施
网络信息安全涉及方方面面的问题,是一个复杂的系统。
一个完整的网络信息安全体系至少应包括三类措施:
一是法律政策、规章制度以及安全教育等外部环境。
二是技术方面,如身份认证、防火墙技术、防病毒技术等。
三是管理措施,包括技术与社会措施。
只要措施有:
提供实时改变安全策略的能力,对现有的安全策略实施漏洞检查等,以防患于未然。
这三者缺一不可。
其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。
2.3.1完善计算机立法
我国先后出台的有关网络安全管理的规定和条例。
但目前,在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。
2.3.2网络安全的关键技术
(1)防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
(2)防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。
(3)检测系统
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。
随着时代的发展,入侵检测技术将朝着三个方向发展:
分布式入侵检测、智能化入侵检测和全面的安全防御方案。
(4)身份认证
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。
计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
第三章防火墙技术
3.1防火墙的概述
防火墙是汽车中一个部件的名称。
在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。
在电脑术语中,当然就不是这个意思了,我们可防火墙以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。
通过防火墙可以定义一个关键点以防止外来入侵;
监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;
提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;
防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的技术分类
现有的防火墙主要有:
包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(PacketFliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。
包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。
包过滤在网络层进行。
代理服务器型(ProxyService)防火墙通常由两部分构成,服务器端程序和客户端程序。
客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:
双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;
主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;
加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
3.2防火墙的主要功能
1、网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内防火墙部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2、强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3、对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4、防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用Shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
3.3防火墙的关键技术
防火墙的主要功能是通过以下3种技术方法实现的。
1、包过滤技术
包过滤技术是一种通用、廉价且有效地安全手段,它拒绝接受从未授权的主机发送的TCP/IP包,并拒绝接受使用未授权服务的连续请求。
网络上的数据都是以“包”为单位进行传输的,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/
升级会员 