网络安全之木马病毒防范措施1111111.docx

1、网络安全之木马病毒防范措施1111111 2013网络技术毕业论文论文题目：网络安全之木马病毒防范措施 100311010210网络管理01班学号：_曲大海班级：_网络系统管理作 者：_专 业 名 称：_2012年10月 日沈阳职业技术学院毕业论文基于Web的PLC远程实验系统的研究 论文题目： 关智作者：_ 关智 副教授沈阳职业技术学院 指 导 教 师： 单位： 协助指导教师： 单位： 单位： 论文提交日期：2012年10月 日毕 业 学 校 ：沈阳职业技术学院 摘要我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络

2、，因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。随着计算机网络的发展，网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国特色的网络安全体系。一个国家的安全体系实际上包括国家的法律和政策，以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家

3、发展所面临的一个重要问题，对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。【关键词】网络安全 措施 对策目 录前 言 6第一章 计算机网络安全的概述 71.1 计算机网络安全的含义 7第二节 计算机网络安全的理论基础 8第三节 计算机网络安全应具备的功能 9第四节 网络安全策略 10一、安全策略分类 10二、安全策略的配置 10第二章 计算机网络不安全因素 11第一

4、节 计算机网络的脆弱性 11第二节 网络开放性带来的问题 12第三节 操作系统存在的安全问题 13第四节 防火墙的脆弱性 14第三章 提高计算机网络安全技术 15第一节 网络安全的审计和跟踪技术 15第二节 网络安全管理 16第三节 运用防火墙技术及工作原理 17第四节 数据加密技术 19第五节 网络病毒防范 20第四章 网络安全体系架构 21第五章 网络安全防范 22第一节 Telnet入侵防范 22第二节 防止Administrator账号被破解 22第三节 网页恶意代码及防范 23一、目前，网页中的恶意代码开始威胁到网络系统安全，一般分为以下几种： 23二、网页恶意代码的防范措施： 23

5、第四节 “木马”防范措施 24一、“木马”概述 24二、“木马”防范措施 25结 论 26结束语 27参考文献 29前 言随着计算机信息化建设的飞速发展，计算机已普遍应用到日常工作、生活的每一个领域，我们在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网世界范围内的信息共享和业务处理功能。网络信息已经成为社会发展的重要组成部分。但随之而来的是，计算机网络安全受到前所未有的威胁，由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征，使得这些网络信息容易受到来自世界各地的人为攻击（例如：信息泄露、窃取、数据篡改、数据删添、计算机病毒等）。要保护这些信息就需要有一套完

6、善的网络安全保护机制，然而信息化的不断扩展，各类网络版应用软件推广应用、计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行，保证网络信息安全以及网络硬件及软件系统的征程顺利运转是基本前提，因此计算机网络和系统安全建设就显得尤为重要，计算机网络技术的发展，网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。第一章 计算机网络安全的概述1.1 计算机网络安全的含义计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可适用性受到保护。网络系统

7、的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。计算机网络安全的具体含义会随着使用者的变化而变化，使用者的不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的灾害，军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破

8、坏，网络安全既有技术方面的，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的保密性、完整性和可用性。计算机网络安全的具体含义会随着使用者的变化而变化，使用者的不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的灾害，军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢

9、复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）角度，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现病毒、非

10、法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。网络安全的基本组成：（1）网络实体安全：如计算机的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的安装及配置等；（2）软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等；（3）数据安全：如保护网络信息的数据安全，不被非法存取，保护其完整、一致等；（4）网络安全管理：如运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等内容。1.2 计算机网络安全的理论基础国际标准化组织（ISO）曾建议计算机安全的定义为：“

11、计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了昂住计算机用户区分和解决计算机网络安全问题，对多用户计算机系统安全级别的划分进行了规定。在网络的具体设计过程中，应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等，综合考虑来确定一个比较合理、性能较高的网络安全级别，从而实现网络的安全性和可靠性。第三节 计算机网络安全应具备的功能网络安全应具备的功能，为了能更好地适应信息技术的发展，计算机网络应用系统必须具备以下功能：1.访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。2.检查安全漏洞：通过对安全漏洞的周期检查，即使攻击

12、可到达攻击目标，也可使绝大多数攻击无效。3.攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。4.加密通讯：主动加密通讯，可使攻击者不能了解、修改敏感信息。5.备份和恢复：良好的备份和恢复机制，可在攻击造成损失前，尽快的恢复数据和系统服务。6.多层防御： 攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。第四节 网络安全策略策略通常是一般性的规范，只提出相应的重点，而不确切地说明如何达到所要的结果，因此策略属于安全技术规范的最高一级。一、安全策略分类安全策略分为基于身份的安全策略和基于规则的安全策略。基

13、于身份的安全策略是过滤对数据或资源的访问，有两种执行方法：若访问权限为访问者所有，典型的作法为特权标记或特殊授权，即仅为用户及相应活动进程进行授权；若为访问数据所有则可以采用访问控制表（ACL）。着两种情况中，数据项的大小有很大的变化，数据项的大小有很大的变化，数据权力命名也可以带自己的ACL。基于规则的安全策略是指建立在特定的，个性化属性之上的授权准则，授权通常依赖于敏感性。在一个安全系统中，数据或资源应该标注安全标记，而且用户活动应该得到相应的安全标记。二、安全策略的配置开放式网络环境下用户的合法权益通常受到两种方式的侵害：主动攻击和被动攻击，主动攻击包括对用户信息的窃取，对信息流量的分析

14、。根据用户对安全的需求才可用采用以下的保护：1.身份认证：检验用户的身份是否合法、防止身份冒充、及对用户实时访问控制数据完整性鉴别、防止数据被伪造、修改和删除。2.信息保密：防止用户数据被泄、窃取、保护用户的隐私。3.数字签名：防止用户否认对数据所做的处理。4.访问控制：对用户的访问权限进行控制。5.不可否认性：也称不可抵赖性，即防止对数据操作的否认。第二章 计算机网络不安全因素第一节 计算机网络的脆弱性造成计算机网络安全问题的因素很多，但是可以把他们归纳为两大类：即外在的威胁和内在的脆弱性。从威胁的角度来看，潜在的威胁源增多，威胁发生的可能性增大，如果把威胁看作外因，那么系统不安全的内因，也

15、可以说最根本的原因，在于计算机网络本身存在脆弱性，而且这种脆弱性问题也越来越严重。互联网是对全世界都开放的网络，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有几点：1.网络的开放性，网络的技术是全开放的，是的网络所面临的攻击来自多方面。或者来自物理传输线路的攻击，或者来自对网络通信协议的攻击，以及对计算软件、硬件的漏洞实施攻击。2.网络的国际性，意味着对网络的攻击不仅是来自本地网络的用户，还可以是互联网上其他国家的黑客，所以，网络的安全面临着国际化的挑战。3.网络的自由性，大多数的网络对用户的使

16、用没有技术上的约束，用户可以自由的上网，发布和获取各类信息。第二节 网络开放性带来的问题众所周知，Internet是开放的，而开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点：（一）每一种安全机制都有一定的应用范围和应用环境防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是对于内部网

17、络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。（二）安全工具的使用受到人为因素的影响一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。例如，NT在进行合理的设置后可以达到C2级的安全性，但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面，可以通过静态扫描工具来检测系统是否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。（三）系统的后门是传统安全

18、工具难于考虑到的地方防火墙很难考虑到这类安全问题，多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说，众所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的WEB访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。（四）黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发

19、现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。第三节 操作系统存在的安全问题操作系统是作为一个支撑软件，是的你的成勋或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源，操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。1.操作系统结构体系的缺陷：操作系统本身有内存管理、CPU管理、外设的管理，每个管理都涉及到一些模板或程序，在这些程序里面存在问题，比如内存管理的

20、问题，外部网络的一个连接，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。2.操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像远程调用、文件传输，如果安装间谍程序，在使用过程都会被人监视，所有的这些都可能给操作系统带来安全隐患，建议尽量少使用一些来历不明，或者无法证明其安全性的软

21、件。3.操作系统的后门和漏洞，后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得意方便修改程序设计中的不足。一旦后门被黑利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄露和丢失。此外，操作系统的无口令的入口，也是信息安全存在的隐患。第四节 防火墙的脆弱性防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术包括过滤技术、状态监测技术、应用网关技术。过滤技术是指在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中每个数据包，根据数据包的源地址、目

22、标地址、以及所使用的端口确定是否允许该类数据包通过；状态检测技术采用的是一种基于连接的状态机制，将属于统一连接的所有座位一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。防火墙由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，它是一种计算机硬件和软件的结合体，使用I奈特人ne

23、t与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。单防火墙只能提供网络的安全性，不能保证网络的绝对安全，它也难以防范网络内部的攻击和病毒的侵犯，并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN内部的攻击，若是内部的人和外部的人联合起来，既是防火墙在强，也没有优势，它甚至不能保护你免受所有那些它能检测到的攻击，随着技术的发展，还有一些破解方法也使得防火墙造成一定隐患，这就是防火墙的局限性。第三章 提高计算机网络安全技术第一节 网络安全的审计和跟踪技术审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程，而是通过对主

24、业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有：入侵检测系统（IDS）、漏洞扫描系统、安全审计系统，等等。我们以IDS为例，IDS是作为防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术，它从计算机系统或网络中采集、分析数据，查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象，并采取适当的响应措施来阻挡攻击，降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵

25、检测系统和基于网络的入侵检测系统两类。第二节 网络安全管理面对玩过安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密设施外，还必须花大力气加强网络安全管理，因为诸多的不安全因素恰恰反映了组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的问题。安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采用相应的规范，具体工作如下：根据工作的重要程度，确定该系统的安全等级。根据确定的安全等级，确定安全管理范围。制订相应的机房出入管理制度，对于安全等级要求搞的系统，要实行分区。第三节 运用防火墙技术及工作原理防火墙是目前最为流行、使用最

26、广泛的一种网络安全技术，它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制，限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。它具有以下特性：所有的从内部到外部或从外部到内部的通信都必须经过它；只有内部访问策略授权的通信才允许通过；系统本身具有高可靠性。不仅如此，防火墙作为网络安全的监视点，它还可以记录所有通过它的访问，并提供统计数据，提供预警和审计功能。防火墙的体系结构有三种：（1）双重宿主主机体系结构。它是围绕具有双重宿主功能的主机而构筑的，是最基本的防火墙结构。主机充当路由器，是内外网络的接口

27、，能够从一个网络向另一个网络发送IP数据包。这种类型的防火墙完全依赖于主机，因此该主机的负载一般较大，容易成为网络瓶颈。对于只进行IP层过滤的安全要求来说，只需在两块网卡之间转发的模块上插入对IP包的ACL控制即可。但是如果要对应用层进行代理控制，其代理就要设置到这台双宿主主机上，所有的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号，增加了联网的复杂性。（2）屏蔽主机体系结构，又称主机过滤结构，它使用一个单独的路由器来提供内部网络主机之间的服务，在这种体系结构中，主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构，这种结构允许数据包从Internet上进入内部网络，因

28、此对路由器的配置要求较高。（3）屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全层，并通过添加周边网络更进一步把内部网络和Internet隔离开。为此这种结构需要两个路由器，一个位于周边网络和内部网络之间，另一个在周边网络和外部网络之间，这样黑客即使攻破了堡垒主机，也不能直接入侵内部网络，因为他还需要攻破另外一个路由器。从防火墙的作用可以看出，防火墙必须具备两个要求：保障内部网安全和保障内部 网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。防火墙根据功能实现在 TCP/IP 网络模型中的层次，其实现原理可以分为三类：在 网络层实现防火墙功能为分组过滤技术；在应用层

29、实现防火墙功能为代理服务技术；在 网络层，IP层，应用层三层实现防火墙为状态检测技术。 （1）分组过滤技术 实际上是基于路由器技术，它通常由分组过滤路由器对IP分组进行分组选择，允 许或拒绝特定的IP数据包，工作于IP层。（2）代理服务技术 以一个高层的应用网关作为代理服务器，接受外来的应用连接请求，在代理服务器 上进行安全检查后，再与被保护的应用服务器连接，使外部用户可以在受控制的前提下 使用内部网络的服务，由于代理服务作用于应用层，它能解释应用层上的协议，能够作复杂和更细粒度的 访问控制；同时，由于所有进出服务器的客户请求必须通过代理网关的检查，可以作出 精细的注册和审计记录，并且可以与认

30、证、授权等安全手段方便地集成，为客户和服务 提供更高层次的安全保护。 （3）状态检测技术 此技术工作在IP/TCP/应用层，它结合了分组过滤和代理服务技术的特点，它同分 组过滤一样，在应用层上检查数据包的内容，分析高层的协议数据，查看内容是否符 合网络安全策略。实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势，由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP链接中的PUT命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄，证实由于应用网关的这些特点，使得应用过程

31、中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响。第四节 数据加密技术数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储，数据传输、数据完整性的鉴别，以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的，可分为密文存储和存取两种，数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取，处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对输入的特征值是否符合预先设定的参数，实现对数据的安全保护。主要存在两种主要的加密类型：私匙加密和公匙加密。1.私匙加密。私匙加密又称为密匙加密，因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。2.公匙加密。公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解密