ImageVerifierCode 换一换
格式:DOCX , 页数:12 ,大小:23.39KB ,
资源ID:10480644      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/10480644.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(安全系统工程论文.docx)为本站会员(b****8)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

安全系统工程论文.docx

1、安全系统工程论文安全系统工程论文安全系统工程论文摘要、安全分析、解决方案、总结一、摘要计算机的系统安全性历来都是大家讨论的主要话题之一。而计算机系统安全主要研究的是计算机病毒的防治和系统的 安全。在计算机网络日益扩展和普及的今天,计算机系统安全的要求 更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能 力,还要提高对远程数据传输的保密性, 避免在传输途中遭受非法窃 取。在 Internet/lntranet 的大量应用中,Internet/lntranet 安全面临着重大的挑战。事实上,资源共享和安全历来是一对矛盾。近年来随着In ternet的飞速发展,计算机网络的资源

2、共享进 一步加强,随之而来的信息安全问题日益突出。计算机网络系统被攻击的原因来自多方面的因素, 可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密 信息的泄漏和修改网络的关键数据等,这些都可以造成损失等等。黑客攻击等威胁行为为什么能经常得逞呢 ?主要原因在于计算 机网络系统内在安全的脆弱性;其次是大家思想麻痹,没有正视黑客 入侵所造成的严重后果,因而舍不得投入必要的人力、财力和物力来 加强计算机网络的安全性,没有采取有效的安全策略和安全机制。另外,缺乏先进的网络安全技术、工具、手段和产品等原因,也导致泉州交警部门网络系统的安全防范能力差。二、安全风险分析小型计算机信息系统安

3、全防御机制首先必须了解存在和潜在 的安全威胁,然后制定相应的安全策略,选择符合企业安全要求的软 硬件产品。1.物理安全风险分析物理安全的风险是多种多样的。物理安全主要是指地震、水灾、火灾等环境事故 ;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获等。它是整个信息系统安全的前提,需要制定健全的安全管理制度,做好备份,加强信息系统的管理,重点设备系统重点保护,避免 物理安全风险的发生。2.网络安全风险分析网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的 环境等。有来自与公网互联的安全威胁、内部网络与系统外部网互联安 全威胁、内部局域网的安全威胁。3.系统安全风险分析 所谓系

4、统安全通常是指网络操作系统、应用系统的安全。对于中国来说,恐怕没有绝对安全的操作系统可以选择, 无论 是Microsoft的WindowsNT或者其他任何商用 UNIX操作系统,其开 发厂商必然有其Back-Door,而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系 统的应用面有很大关系,操作系统如果没有采用相应的安全配置, 则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的 服务,禁止开放一些不常用而又比较敏感的端口等, 那么入侵者要成功进行内部网是不容易,

5、这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小 作出相应的安全解决方案。4.应用安全风险分析应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统是动态的、不断变化的,应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全 措施,降低应用的安全风险,当然保证应用系统的安全也是一个随网 络发展不断完善的过程。1)、资源共享资源共享是常见的一种局域网应用,比如文件共享、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共 享,长期暴露在网络邻居上。可能被轻易窃取并传播出去造成泄密。2)、电子邮件电子邮件为用户提供电

6、子邮件应用。局域网用户通过宽带进行电子邮件发送和接收时就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等问题,由于许多用户安全 意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供 机会,给系统带来不安全因素。5.管理安全风险分析管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等 都可能引起管理安全的风险。如无关人员随意出入技术重地,或者员工有意无意泄露他们所 知道的一些重要信息。或者网络出现攻击行为或受到其它一些安全威胁时无法得到 及时的处理。6.病毒和黑客网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、

7、 人为投放等传播途径潜入局域网。因此,病毒的危害是不可以轻视的网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在 极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死 机等不安全因素。黑客们的攻击行动是无时无刻不在进行的, 而且会利用系统和 管理上的一切可能利用的漏洞。可以综合采用防火墙技术、web页面保护技术、入侵检测技术、 安全评估技术来保护网络内的信息资源,防止黑客攻击。三、解决方案一、自身提高防御意识1、 口令技术加强内部网络管理人员以及使用人员的安全意识, 很多计算机 系统常用口令来控制对系统资源的访问, 这是防病毒进程中,最容易 和最经济的方法之一。

8、网络管理员和终端操作员根据自己的职责权限, 选择不同的口 令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网 络资源2、 网络安全1)、防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法 手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络 操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定 的安全策略来实施检查,以决定网络之间的通信是否被允许, 并监视 网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段, 但也有 明显不足:无法防范通过防火墙以外的其它途径的攻击, 不能防止来 自内部变节者和不经心的用户们带来的威胁, 也

9、不能完全防止传送已 感染病毒的软件或文件,以及无法防范数据驱动型的攻击。2)、防病毒对于企业网络及网内大量的计算机,各种病毒更是防不胜防, 如宏病毒和变形病毒。彻底清除病毒,必须采用多层的病毒防护体系。企业网络防病毒系统采用多层的病毒防卫体系和层次化的管 理结构,即在企业信息中心设防病毒控制台, 通过该控制台控制各二 级网络中各个服务器和工作站的防病毒策略, 监督整个网络系统的防 病毒软件配置和运行情况,并且能够进行相应策略的统一调整和管 理:在较大的下属子公司设置防病毒服务器,负责防病毒策略的设置、 病毒代码分发等工作。其中信息中心控制台作为中央控制台负责控制各分控制台的 防病毒策略,米集网

10、络中所有客户端防毒软件的运行状态和配置参 数,对客户端实施分组管理等。管理员可以通过管理员客户端远程登录到网络中的所有管理服务器上,实现对整个网络的管理。根据需要各个管理服务器还可以由专门的区域管理员管理。管理服务器负责收集网络中的客户端的实时信息, 分发管理员制定的防毒安全策略等。配套软件:冠群金辰KILL6.0。KILL采用服务器/客户端构架,实时保护 WindowsNT/Windows 2000、Unix、Linux、NetWare Windows95/98 Windows3.X、DOS工 作站、Lotus Notes 和Microsoft Excha nge 群件系统的服务器及In t

11、ernet网关服务器,防止各种引导型病毒、文件型病毒、宏病毒、 传播速度快且破坏性很大的蠕虫病毒进入企业内部网, 阻止不怀好意的Java、ActiveX小程序等攻击企业内部网络系统。它通过全方位的网络管理、多种报警机制、完整的病毒报告、 支持远程服务器、软件自动分发,帮助管理员更好的实施网络防病毒 工作。3、 安全加密技术加密技术的出现为全球电子商务提供了保证,从而使基于 In ternet上的电子交易系统成为了可能,因此完善的对称加密和非 对称加密技术仍是21世纪的主流,能起到很好的保护计算机网络系 统的作用。4、 网络主机的操作系统安全和物理安全措施防火墙作为网络的第一道防线并不能完全保护

12、内部网络, 必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措 施。按照级别从低到高,分别是主机系统的物理安全、操作系统的 内核安全、系统服务安全、应用服务安全和文件系统安全 ;同时主机 安全检查和漏洞修补以及系统备份安全作为辅助安全措施。5信息安全计算机安全和网络安全的核心的问题是信息安全。信息安全是指防止信息财产被故意的或偶然的非授权泄露、更 改、破坏,或是信息被非法系统所识别和控制,即确保信息的完整性、 保密性、可用性和可控性。6.应用安全加强应用的访问控制和系统漏洞检测,采取相应的安全措施,降低应用的安全风险。选择应用系统时要考虑安全因素。7.

13、安全管理安全管理策略主要有:定义完善的安全管理模型 ;建立长远的 并且可实施的安全策略;彻底贯彻规范的安全防范措施;建立恰当的 安全评估尺度,并且进行经常性的规则审核。当然,还需要建立二、计算机网络入侵检测系统计算机网络入侵检测系统是一个能检测出入侵的系统, 它能使安全管理员及时地处理入侵警报,尽可能减少入侵对系统造成的损 害。由于入侵事件的实际危害越来越大,大家对计算机网络入侵检 测系统的关注越来越多,计算机网络入侵检测系统已经成为计算机网 络安全体系结构中的一个重要环节。一个成功的计算机网络入侵检测系统,它不但可使系统管理员 时刻了解计算机网络系统(包括程序、文件和硬件设备等)的任何变 更

14、,还能为计算机网络安全策略的制订提供指导。更为重要的一点是,它应该管理、配置简单,从而使非专业人 员非常容易地获得计算机网络安全。而且,入侵检测的规模还应根据计算机网络威胁、系统构造和 安全需要的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断计算 机网络连接、记录事件和报警等。所以入侵检测系统的功能有:(1)监视用户和系统的运行状况, 查找非法用户和合法用户的越权操作 ;(2)检测系统配置的正确性和 安全漏洞,并提示管理人员修补漏洞;(3)对用户的非正常活动进行统 计分析,发现入侵行为的规律;(4)检查系统程序和数据的一致性和正 确性,如计算和比较文件系统的校验和;(5)能够实

15、时对检测到的入侵 行为进行反应;(6)操作系统的审计跟踪管理。三安全配置1)、端口:端口是计算机和外部网络相连的逻辑接口,从安 全的角度来看,仅打开你需要使用的端口会比较安全, 配置的方法是 在网卡属性一一TCP/IP高级一一选项一一TCP/IP筛选中启用TCP/IP筛选,不过对于 Win2000的端口过滤来说,有一个不好的特 性:只能规定开哪些端口,不能规定关闭哪些端口 ;这样对于需要开 大量端口的用户就比较麻烦。2)、IIS : IIS是微软的组件中漏洞最多的一个,平均两三个 月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以 IIS的配置是我们的重点,所以在本系统的 WW服务器

16、采取下面的设 置:首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉, 在D盘建一个Inetpub在IIS管理器中将主目录指向 D: Inetpub。其次,在IIS安装时默认的scripts等虚拟目录一概删除,这 些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完 全必要的。如果需要什么权限的目录可以在需要的时候再建, 需要什么权 限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。3)、应用程序配置:在IIS管理器中删除必须之外的任何无用 映射,必须指出的是ASP ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映

17、射,删除所有的映射,具 体操作:在IIS管理器中右击主机一属性一 WW服务编辑一主目录配 置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。经过了 Win2000 Server的正确安装与正确配置,操作系统的 漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作 系统的安全性能。虽然信息管理系统安全性措施目前已经比较成熟, 但我们切不 可马虎大意,只有不断学习新的网络安全知识、 采取日新月异的网络 安全措施,才能保证我们的网络安全防御真正金汤。四、网络系统的安全评估网络安全性之所以这么低的一个主要原因就是系统漏洞。譬如管理漏洞、软件漏洞、结

18、构漏洞、信任漏洞。采用安全扫描技术与防火墙、安全监控系统互相配合来检测系 统安全漏洞。网络安全漏洞扫描系统通常安装在一台与网络有连接的主机 上。系统中配有一个信息库,其中存放着大量有关系统安全漏洞和 可能的黑客攻击行为的数据。扫描系统根据这些信息向网络上的其他主机和网络设备发送 数据包,观察被扫描的设备是否存在与信息库中记录的内容相匹配的 安全漏洞。扫描的内容包括主机操作系统本身、操作系统的配置、防火墙 配置、网路设备配置以及应用系统等。网络安全扫描的主要性能应该考虑以下方面:速度。 在网络内进行安全扫描非常耗时;网络拓扑。通过GUI的图形界面,可选择一个或某些区域的设备;能够 发现的漏洞数量

19、;是否支持可定制的攻击方法;扫描器应该能够 给出清楚的安全漏洞报告。更新周期。提供该项产品的厂商应尽快给出新发现的安全漏洞扫描特性 升级,并给出相应的改进建议。通过网络扫描,系统管理员可以及时发现网路中存在的安全隐 患,并加以必要的修补,从而减小网络被攻击的可能。配套软件: Syma ntec En terprise Security Man ger 5.5 。五、主机防护系统在一个大的的网络环境中,大部分信息是以文件、数据库的形 式存放在服务器中的。在信息中心,使用 WWWMail、文件服务器、数据库服务器来 对内部、外部用户提供信息。但无论是UNIX还是Windows 9X/NT/2K,都

20、存在着这样和那样 的安全薄弱环节,存放在这些机器上的关键业务数据存在着被破坏和 窃取的风险。因此,对主机防护提出了专门的需求。配套软件:CA eTrust Access 。eTrust Access Con trol 在操作系统的安全功能之上提供了一个安全保护层。通过从核心层截取文件访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式 管理,克服了分布式系统在管理上的许多问题。通过eTrust Access Control ,我们可以集中维护多台异构平 台的用户、组合安全策略,以简化安全管理工作。通过以上几种安全措施的实施,从系统级安全到桌面级安全, 从静态访

21、问控制到动态入侵检测主要层面: 方案覆盖网络安全的事前 弱点漏洞分析修正、事中入侵行为监控响应和事后信息监控取证的全 过程,从而全面解决企业的信息安全问题, 使企业网络避免来自内外 部的攻击,防止病毒对主机的侵害和在网络中的传播。使整个网络的安全水平有很大程度的提高。四、总结对任何信息系统,绝对安全是难以达到的,也不一定是必要的。我们要将信息系统的效能发挥至最大限度,风险降低至最低限 度。信息安全的任务是多方面的,根据当前信息安全的现状,制定 信息安全防范的任务主要是:从安全技术上,进行全面的安全漏洞检 测和分析,针对检测和分析的结果制定防范措施和完整的解决方案 ;正确配置防火墙、网络防病毒软

22、件、入侵检测系统、建立安全认证系 统等安全系统。从安全管理上,建立和完善安全管理规范和机制, 切实加强和 落实安全管理制度,增强安全防范意识。信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地 运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性 (Confidentiality )、 完整性(Integrity) 、抗否认性(non-Repudiation) ,可用性(Availability) 。其他安全:病毒防治、预防内部犯罪。总之,网络安全是一个综合性的课题,涉及技术、管理、使用 等许多方面,既包括信息系统本身的安全问题, 也有物理的和

23、逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的 支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所 以安全产业将来也是一个随着新技术发展而不断发展的产业。参考文献:1张红旗,等信息网络安全M.北京:清华大学出版社,2003.2胡道元.计算机局域网M.北京:清华大学出版社,2001.3朱理森,张守连.计算机网络应用技术M.北京:专利文献 出版社,2001.4谢希仁.计算机网络(第4版)M.北京:电子工业出版社,2003.5 中小企业信息系统安全设计方案6 网络信息安全系统设计方案7 计算机病毒预防安全设计安全系统工程论文

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1