局域网的应用安全及病毒防治论文.docx

1、局域网的应用安全及病毒防治论文毕 业 论 文 2012 届（专）科题 目：局域网的应用安全及病毒防治 系 部： 专 业： 计算机网络 班 级： 学 号： 姓 名 指导教师： 完成日期： 2015 年6月8日 摘要计算机网络创造了21世纪的辉煌，使得人与人之间，知识和信息共享最大化。随着信息化的不断扩展， 各类网络版应用软件推广应用， 计算机网络在提高数据传输效率， 实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。可见保证网络系安全的重要性。网络中的数据可以因漏洞泄露或修改，甚至受到非法入侵，造成财产、精神等各种损失。为了确保各项工作的安全

2、高效运行， 保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提， 因此计算机网络和系统安全建设就显得尤为重要。文章探讨了局域网的安全存在问题，并给出局域网的安全控制与病毒防治的一些策略。关键词局域网、信息安全、网络安全、病毒防治目录概述 1一、局域网对比广域网安全现状 1二、威胁局域网安全的因素 21、威胁局域网安全的主要因素 22、威胁网络安全的其他因素 33、人为疏忽安全意识不强 4三、局域网安全控制策略 51、身份验证 52、防火墙技术 73、安全管理 84、加强人员的网络安全培训 9四、病毒防治 101、电脑中毒的现像 102、判断电脑是否中毒 113、主要的防范措施 12

3、4、如何杀毒 135、备份资料 16五、结束语 19参考文献 19概述随着计算机信息飞速的发展，各种网络版应用软件推广应用，人们的工作、学习和生活方式正在发生变化，效率在提高，信息资源得到最大程度的共享。计算机已普遍应用到日常工作、生活的每一个领域，比如政府机关、学校、医院、社区及家庭等。 但随之而来的是，计算机局域网络安全也受到全所未有的威胁，网络安全问题越来越引起人们的关注。 计算机病毒无处不在，黑客的猖獗，都防不胜防。计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。 为了确保各项工作的安全高效运行，保证

4、网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提，因此计算机网络和系统安全建设就显得尤为重要。一、局域网对比广域网安全现状局域网（LAN ）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少。广域网络已有了相对完善的安全防御体系， 防火墙、漏洞扫描、防病毒等网关级别、网络边界方面的防御， 重要的安全设施大致集中于机房或网络入口处。在这些设备的严密监控下，就像有了边防和城墙虽说不上铜墙铁壁，但来自网络外部的安全威胁相对减少很多。反之安全威胁较大的是来自网络内部的计算

5、机客户端的安全威胁。目前，局域网络安全隐患是利用了网络系统本身存在的安全弱点，而系统在使用和管理过程的疏漏增加了安全问题的严重程度。XX的网络设备或用户无法从外部进入，可能转而通过内部局域网的网络设备进入网络。由于局域网缺乏必要的安全管理措施，故容易形成安全隐患。给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。网络的自由开放不仅决定于网上资源很难得到有效保护，造成转载、剽窃、抄袭现象以及网络信息的大量雷同，同时也增加了网络系统的管理难度，因此成为不法分子传播不良信息的工具和场所。二、威胁局域网安全的因素网络是信息社会的基础设施，只有安全的网络环境，才能够体现它的经济和社会价值。然而计算机

6、网络一直面临着来自多方面的安全威胁，这些威胁有来自外部系统的恶意攻击、系统本身的安全缺陷或安全漏洞威胁，有系统内部各种应用软件的安全漏洞威胁，人为或偶然事故构成的威胁等。这些威胁，表现形式是多种多样的，主要有以下几个方面： 1、威胁局域网安全的主要因素（1）黑客的攻击获取口令：这种方式有三种方法：一是缺省的登录界面攻击法。二是通过网络监听，非法得到用户口令，这类方法有一定的局限性，但危害性极大。三是知道用户的帐号后利用一些专门软件强行破解用户口令，这种方法不受网断限制，但黑客要有足够的耐心和时间。特洛伊木马攻击：“特洛伊木马”技术是黑客常用的攻击手段，它通过在你的电脑系统中隐藏一个会在Wind

7、ows启动时运行的程序，采用服务器的运行方式，从而达到在上网时控制你电脑的目的，很多用户稍不注意就可能在不知不觉中遗失重要信息。诱入法：黑客编写一些看起来“合法”的程序，上传到一些FTP站点或是提供给某些个人主页，诱导用户下载。该软件会跟踪用户的电脑操作，它静静地记录着用户输入的每一个口令，然后把它们发给黑客指定的Iintemet信箱。寻找系统漏洞：许多系统都有这样那样的安全漏洞，其中某些是操作系统或应用软件本身具有的，这些漏洞在补丁未被开发出来这前一般很难防御黑客的破坏。还有就是，有些程序员设计一些功能土复杂的程序时，一般用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调

8、试，这时的后门就是一个模块的秘密入口。设计完成后由于疏忽或其它原因后门没去掉，让别有用心的人利用发动攻击。（2）计算机病毒 计算机病毒是一个程序，一段可执行代码。就像生物病毒一样有独特的复制能力。计算机病毒可以很快的蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。计算机病毒的传播是不断快速发展、变化的，其传播范围更加广泛，病毒越来越复杂，给单机及网络用户带来严重破坏，这也是网络病毒防御所面临的现状。病毒发展特征表现有：向混合型病毒方向发展：病组体可能是一组或多个文件组成的，病毒感染系统后，在系统内有多咱变形，增加

9、了病毒清理的难度。攻击反病毒软件的病毒有增无减：攻击反病毒软件的病毒也越来越多，Win32.Yaha.C是一个典型的攻击反病毒软件的病毒，KLEZ.H、中国黑客等病毒开始监控自己的进程，一发现自己的进程被杀，就立即杀掉对方或重新启动进程。电子邮件病毒感染不段攀升：现在的带毒邮件有很吸引人的主题，或都带有色情的图片，如求职信、送密码、MYLIFE等病毒，很容易使人上当，用户一但点击即受到感染。拒绝服务攻击：拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。只要能够对目标造成麻烦，使某些服务被

10、停止甚至死机，都属于拒绝报务攻击。2、威胁网络安全的其他因素此外，威胁网络安全的因素还包括以下几个方面：（1）操作系统的脆弱性操作系统支持的程序动态连接与数据动态交换是现代系统集成和系统扩展的必备功能，而动态连接、I/O程序与系统服务、打补丁升级可被黑客利用，滋生病毒。操作系统可以创建进程，即使在网络的节点上同样也可以进行远程进程的创建与激活，且该进程有继续创建进程的权力，加上操作系统支持在网络上传输文件，在网络上能加载程序，二者结合起来就可以在远端服务器上安装“间谍”软件，常以打补丁的方式“打”人合法用户以躲避监测。守护进程具有操作系统核心层软件同等权力，会被黑客利用。网络操作系统提供的远程

11、过程调用服务以及它所安排的无口令人口也是黑客的通道。（2）计算机系统的脆弱性主要来自操作系统的不安全性，在网络环境下，还来源于通信协议的不安全性。存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。（3）、协议安全的脆弱性TCP/IP协议以及FTPE-MAIL、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。（4）、数据库管理系统的脆弱性由于数据管理系统（DBMS）对数据库的管理是建立在分级管理的概念上的，因此DBMS的安全也可想而知。另外，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足

12、。3、人为疏忽安全意识不强用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网增加了数据泄密的可能性。另外在In ternet 网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。三、局域网安全控制策略1、身份验证身份验证是一致性验证的一种，验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术，现在也仍在广泛应用，它是互联网信息安全的第一道屏障。身份认证可分为用户与系统间的认证和系统与系统之间的认证。身份认证必

13、须做到准确无误地将对方辨认出来，同时还应该提供双向的认证。目前使用比较多的是用户与系统间的身份认证，它只需单向进行，只由系统对用户进行身份验证。一般而言，用于用户身份认证的技术分为两类：简单认证机制和强认证机制。简单的认证中认证方只对被认证方的名字和口令进行一致性的验证。由于明文的密码在网上传输极容易被窃听，一般解决办法是使用一次性口令（OTP，One-Time Password）机制。这种机制的最大优势是无需在网上传输用户的真实口令，并且由于具有一次性的特点，可以有效防止重放攻击。强认证机制一般将运用多种加密手段来保护认证过程中相互交换的信。下面简单介绍一些常用的认证机制。（1）基于口令的身

14、份认证机制基于口令的身份认证技术因其简单易用，得到了广泛的使用。最常采用的身份认证方式是基于静态口令的认证方式，它是最简单、目前应用最普遍的一种身份认证方式。但它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充；同时易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。相对静态口令，动态口令也叫一次性口令，它的基本原理是在用户登录过程中，基于用户口令加入不确定因子，对用户口令和不确定因子进行单向散列函数变换，所得的结果作为认证数据提交给认证服务器。认证服务器接收到用户的认证数据后，把用户的认证数据和自己用同样的散列算法计算出的数值进行比对，

15、从而实现对用户身份的认证。在认证过程中，用户口令不在网络上传输，不直接用于验证用户的身份。动态口令机制每次都采用不同的不确定因子来生成认证数据，从而每次提交的认证数据都不相同，提高了认证过程的安全性。（2）挑战/响应认证机制挑战/响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”码，客户端程序收到这个“挑战”码，根据客户端和服务器之间共享的密钥信息，以及服务器端发送的“挑战”码做出相应的“应答”。服务器根据应答的结果确定是否接受客户端的身份声明。从本质上讲，这种机制实际上也是一次性口令的一种。（3）EAP认证机制EAP（Extensible Authenticat

16、ion Protocol）扩展认证协议在RFC2248中定义，是一个普遍使用的认证机制，它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网，而且可以用于有线局域网，但它在无线局域网中使用的更频繁。EAP实际是一个认证框架，不是一个特殊的认证机制。EAP提供一些公共的功能，并且允许协商所希望的认证机制。这些机制被称为EAP方法。由于EAP方法除了IETF定义了一部分外，厂商也可以自定义方法，因此EAP具有很强的扩展性。IETF的RFC中定义的方法包括EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA等。无线网络中常用的方法包括EAP-TL

17、S、 EAP-SIM、 EAP-AKA、 PEAP、LEAP和EAP-TTLS。目前EAP在802.1X的网络中使用广泛，可扩展的EAP方法可以为接入网络提供一个安全认证机制（4）公钥认证机制公钥认证机制中每个用户被分配给一对密钥，称之为公钥和私钥，其中私钥由用户保管，而公钥则向所有人公开。用户如果能够向验证方证实自己持有私钥，就证明了自己的身份。当它用作身份认证时，验证方需要用户方对某种信息进行数字签名，即用户方以用户私钥作为加密密钥，对某种信息进行加密，传给验证方，而验证方根据用户方预先提供的公钥作为解密密钥，就可以将用户方的数字签名进行解密，以确认该信息是否是该用户所发，进而认证该用户的

18、身份。公钥认证机制中要验证用户的身份，必须拥有用户的公钥，而用户公钥是否正确，是否是所声称拥有人的真实公钥，在认证体系中是一个关键问题。常用的办法是找一个值得信赖而且独立的第三方认证机构充当认证中心（Certificate Authority，CA），来确认声称拥有公开密钥的人的真正身份。要建立安全的公钥认证系统，必须先建立一个稳固、健全的CA体系，尤其是公认的权威机构，即“Root CA”，这也是当前公钥基础设施（PKI）建设的一个重点。2、防火墙技术防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet 之间或与其他外部网络互相隔离，限制网络互访，用来保

19、护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：(1). 深度数据包处理深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。(2).访问网络进程跟踪访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于TDI层的网络数据拦截，得到操作网络数据报的进程的详细

20、信息加以实现。(3).应用层闸通道型应用层闸通道型的防火墙采用将连线动作拦截，由一个特殊的代理程序来处理两端间的连线的方式，并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作，而不会被client端或server端欺骗，在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式，但也是效能最低的一种方式。（4）、属性安全控制它能控制以下几个方面的权限： 防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、

21、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。文件属性是最基层次的文件保护。（5）、杀毒软件监测启用杀毒软件强制安装策略，监测所有运行在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。像symantec杀毒软件的企业版就会通过控制中心向网络内的电脑自动下推杀毒软件客户端，并且形成报表，如果哪台电脑没有安装或是没有及时升级都可以在报表中反应出来。（6）、网络入侵检测技术试图破坏信息系统的完整性、机密性、可信性的任何网络活动，都称为网络入侵。入侵检测的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。它不仅检测来自外

22、部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。像近年最容易出现的破坏便是ARP攻击，感染到ARP病毒的电脑会将自己伪装成为网关，欺骗网内的电脑通过被感染的电脑上网，如果再附加上包分析的软件，就可以窃取公司的信息。当感染的电脑多的时候，整个网络都会陷入瘫痪，而且极难彻底清除。必须将IP地址绑定到网卡MAC上才能解决这个问题。3、安全管理面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理，因为诸多的

23、不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。网络信息系统的安全管理主要基于3个原则。 (1)多人负责原则：每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动。访问控制使用证件的发放与回收。信息处理系统使用的媒介发放与回收。处理保密信息。硬件和软件的维护。系统软件的设计、实现和修改。重要程序和数据的删除及销毁等。(2)任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职

24、务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。(3)职责分离原则：在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。 计算机操作与计算机编程。 机密资料的接收和传送。 安全管理和系统管理。 应用程序和系统程序的编制。 访问证件的管理与其他工作。 计算机操作与信息处理系统使用媒介的保管等。4、加强人员的网络安全培训 安全汇集了硬件、软件、网络、人员以及他们之间(1).加强安全

25、知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。(2).加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP 地址的配置、数据的共享等网络基本知识，良好的计算机使用习惯。四、病毒防治病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。 1、电脑中毒的现像 了解了电脑病毒的基本知识，还必须了解电脑中毒后的一些表现，然后这样会有助于判断电脑是否中毒。在电脑出现以下中毒表现时，是在机器的硬件无故障，软件运行正常的情况下发生的。 （1）电

26、脑无法启动 电脑感染了引导型病毒后，通常会无法启动，因为病毒破坏了操作系统的引导文件。最典型的病毒是CIH病毒。 （2）电脑经常死机 病毒程序打开了较多的程序，或者是病毒自我复制，都会占用大量的CPU资源和内存资源，从而造成机器经常死机。对于网络病毒，由于病毒为了传播，通过邮件服务和QQ等聊天软件传播，也会造成系统因为资源耗尽而死机。 （3）文件无法打开 系统中可以执行的文件，突然无法打开。由于病毒修改了感染了文件，可能会使文件损坏，或者是病毒破坏了可执行文件中操作系统中的关联，都会使文件出现打不开的现象。 （4）系统经常提示内存不足 现在机器的内存通常是2G的标准配置，可是在打开很少程序的情

27、况下，系统经常提示内存不足。部分病毒的开发者，通常是为了让病毒占用大量的系统资源，达到让机器死机的目的。 （5）机器空间不足 自我复制型的病毒，通常会在病毒激活后，进行自我复制，占用硬盘的大量空间。 （6）数据突然丢失 硬盘突然有大量数据丢失，这有可能是病毒具有删除文件的破坏性，导致硬盘的数据突然消失。 （7）电脑运行速度特别慢 在运行某个程序时，系统响应的时候特别长，响应的时间，超出了正常响应时间的5倍以上。 （8）键盘、鼠标被锁死 键盘、鼠标在进行BIOS设置时正常，进入系统后无法使用。部分病毒，可以锁定键盘、鼠标在系统中的使用。 （9）系统每天增加大量来历不明的文件 病毒进行变种，或者入

28、侵系统时遗留下的垃圾文件。 （10）系统自动加载某些程序 系统启动时，病毒可能会修改注册表的键值，自动在后台运行某个程序。部分病毒，如QQ病毒，还会自动发送消息。2、判断电脑是否中毒 （1）使用杀毒软件进行磁盘扫描 判断病毒的第一步，就是通过杀毒软件进行扫描，查看机器中是否存在病毒。在扫描前，最好升级一下杀毒软件的病毒库。 （2）查看硬盘容量 ：对于自我复制型病毒，查看硬盘容量，可以判断出是否感染了病毒。特别是系统盘的容量大小，大家在平时，一定要了解自己的系统盘容量是多少。 （3）检查系统使用的内存数量 ：正常使用的操作系统，占用的系统资源是一定的。如果系统感染了病毒，病毒肯定会占用内存资源。

29、对于WindowsXP操作系统，进入操作系统后，在DOS提示符下，运行mem /c/p查看内存的使用情况，特别是640Kb的基本内存使用情况！在windows xp或者是Windows 7系统下，在“运行”中输入cmd后，执行mem即可。 （4）使用任务管理器查看进程数量 ：在Windows xp和Windows 7操作系统中，可以利用任务管理器，查看一下是否有非法的进程在运行。对于一些隐蔽性的病毒，在任务管理器中不显示进程。 （5）查看注册表 ：部分病毒的运行，需要通过注册表加载的，如恶意网页病毒都会通过注册表加载，这些病毒，在注册表中的加载位置如下：HKEY_LOCAL_MACHINESO

30、FTWAREMicrosoftWindwosCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunSevices HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion RunOnce 查看注册表中

31、以上几个键值的情况，看一下有没有异常的程序加载。要想提高判断的准确性，可以把正常运行的机器的这几个键值记录下来，方便比较。 （6）查看系统配置文件 ：这类病毒一般在隐藏在System.ini、Wini.ini（Win9x/WinME）和启动组中。在System.ini文件中有一个“Shell=”项，而在Wini.ini文件中有“Load=”、“Run=”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行msconfig.exe程序来一项一项查看。由于Windows 2000操作系统中没有Msconifg这个程序，可以由Windows XP操作系统中

32、复制！ （7）观察机器的启动和运行速度：对于一些隐蔽性高的病毒，我们通过以上方法无法判断时，可以根据机器的启动和运行速度进行判断，在保证硬件系统无故障和软件系统运行正常的情况下，可以基本断定已经感染病毒。 （8）特征字符串观察法 ：这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe桌面主程序)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，以仿修改错了。3、主要的防范措施 防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。为了将病毒拒