新版计算机网络安全与防范.docx

1、新版计算机网络安全与防范2021新版计算机网络安全与防范Safety work has only a starting point and no end. Only the leadership can really pay attention to it, measures are implemented, and assessments are in place.( 安全管理 )单 位：_姓 名：_日 期：_编号：AQ-SN-03702021新版计算机网络安全与防范前言：安全工作只有起点，没有终点，只有真正做到领导重视，措施落实、考核到位，严格奖惩兑现，不断提高安全管理水平，才能确保安全生

2、产。本文档可以用来收藏、阅读、改编、打印（使用时请先阅读条款）。摘要计算机网络飞速发展的同时，安全问题不容忽视。网络安全经过了二十多年的发展，已经发展成为一个跨多门学科的综合性科学，它包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。在理论上，网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心，利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则，它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展，加上发达国家对关键加密算法

3、的出口限制，各个国家正不断致力于开发和设计新的加密算法和加密机制。从技术上，网络安全取决于两个方面：网络设备的硬件和软件。网络安全则由网络设备的软件和硬件互相配合来实现的。但是，由于网络安全作为网络对其上的信息提供的一种增值服务，人们往往发现软件的处理速度成为网络的瓶颈，因此，将网络安全的密码算法和安全协议用硬件实现，实现线速的安全处理仍然将是网络安全发展的一个主要方向。在安全技术不断发展的同时，全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础，没有对网络安全的深刻认识、没有广泛地将它应用于网络中，那么谈再多的网络安全也是无用的。同时，网络安全不仅仅是防火墙

4、，也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌，而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。总之，网络在今后的发展过程中不再仅仅是一个工具，也不再是一个遥不可及仅供少数人使用的技术专利，它将成为一种文化、一种生活融入到社会的各个领域。关键词：计算机；网络；安全；防范目录摘要I目录II第1章绪论11.1计算机网络发展前景11.2本章小结2第2章计算机网络安全概述32.1计算机网络安全的概念32.2计算机网络安全现状32.3本章小结4第3章网络安全的威胁因素53.1网络安全的威胁因素53.2本章小结5第4章几种常用的网络安全技术74.1防火墙技

5、术74.1.1防火墙的主要功能74.1.2防火墙的主要优点74.1.3防火墙的主要缺陷84.1.4防火墙的分类84.1.5防火墙的部署94.2数据加密技术104.3系统容灾技术104.4入侵检测技术114.4.1入侵检测系统的分类114.4.2目前入侵检测系统的缺陷124.4.3防火墙与入侵检测系统的相互联动124.4.4结语134.5漏洞扫描技术134.6物理安全134.7本章小结14第5章结束语与展望155.1论文总结155.2工作展望15致谢17参考文献18第1章绪论1.1计算机网络发展前景计算机网络就是计算机之间通过连接介质(如网络线、光纤等)互联起来，按照网络协议进行数据通信，实现资

6、源共享的一种组织形式。计算机网络是二十世纪60年代起源于美国，原本用于军事通讯，后逐渐进入民用，经过短短40年不断的发展和完善，现已广泛应用于各个领域，并正以高速向前迈进。在不久的将来，我们将看到一个充满虚拟性的新时代。在这个虚拟时代，人们的工作和生活方式都会极大地改变，那时我们将进行虚拟旅行，读虚拟大学，在虚拟办公室里工作，进行虚拟的驾车测试等。对计算机网络发展的前景，我有如下看法：1全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单纯的大型数据中心发展成为一个更加聪明的高智商网络，将成为人与信息之间的高层调节者。其中的个人网站复制功能将不断预期人们的信息需求和喜好，用户将

7、通过网站复制功能筛选网站，过滤掉与己无关的信息并将所需信息以最佳格式展现出来。同时，个人及企业将获得大量个性化服务。这些服务将会由软件设计人员在一个开放的平台中实现。由软件驱动的智能网技术和无线技术将使网络触角伸向人们所能到达的任何角落，同时允许人们自行选择接收信息的形式。2带宽的成本将变得非常低廉，甚至可以忽略不计。随着带宽瓶颈的突破，未来网络的收费将来自服务而不是带宽。交互性的服务，如节目联网的视频游戏、电子报纸和杂志等服务将会成为未来网络价值的主体。3在不久的未来，无线网络将更加普及，其中cnet:短距无线网络前景看俏。短距无线通讯标准Zigbee与超宽频UWB（Ultrawideban

8、d）即将制订完成，未来将与蓝芽（Bluetooth）共同建构短距离无线网络环境，包括蓝芽、Zigbee与UWB等相关产品出货量都将大幅成长。随着电子电机工程师协会（IEEE）推出802.15个人局域网络（WPAN）标准后，新一代的短距离无线通讯发展趋势逐渐确定，除了蓝芽（802.15.1）外，Zigbee（802.15.4）与UWB（802.15.3a）标准也将于今年或明年初陆续通过，未来Zigbee与UWB将以各自不同特性，如速度、价格等切入短距离无线网络环境。4计算机网络飞速发展的同时，安全问题不容忽视。网络安全经过了二十多年的发展，已经发展成为一个跨多门学科的综合性科学，它包括：通信技术

9、、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。在理论上，网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心，利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则，它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展，加上发达国家对关键加密算法的出口限制，各个国家正不断致力于开发和设计新的加密算法和加密机制。从技术上，网络安全取决于两个方面：网络设备的硬件和软件。网络安全则由网络设备的软件和硬件互相配合来实现的。但是，由于网络安全作为网络

10、对其上的信息提供的一种增值服务，人们往往发现软件的处理速度成为网络的瓶颈，因此，将网络安全的密码算法和安全协议用硬件实现，实现线速的安全处理仍然将是网络安全发展的一个主要方向。在安全技术不断发展的同时，全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础，没有对网络安全的深刻认识、没有广泛地将它应用于网络中，那么谈再多的网络安全也是无用的。同时，网络安全不仅仅是防火墙，也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌，而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。总之，网络在今后的发展过程中不再仅仅是一个工具，也不

11、再是一个遥不可及仅供少数人使用的技术专利，它将成为一种文化、一种生活融入到社会的各个领域。1.2本章小结计算机网络经过40多年不断发展和完善，现在正以高速的发展方向迈进。全球的因特网装置之间的通信量将超过人与人之间的通信量，因特网将从一个单纯的大型数据中心发展成为一个高智商网络，将成为人与信息之间的高层调节者。带宽的成本将会变得非常低，甚至忽略不计。在不久的将来，无线网络将更加普及，尤其短距无线网络的前景更大。在计算机网络飞速发展的同时，网络安全问题也更加突出，因此各国正不断致力于开发和设计新的加密算法加密机制，加强安全技术的应用也是网络发展的一个重要内容。总之，计算机网络在今后的发展中范围更

12、广、潜力更大，将会融入到社会各个领域。第2章计算机网络安全概述2.1计算机网络安全的概念国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。从普通使用者的角度来说，可能仅

13、仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。2.2计算机网络安全现状计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄

14、露，系统连续、可靠、正常地运行，网络服务不中断。计算机和网络技术具有的复杂性和多样性，使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。在Internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力，时至今日，有愈演愈

15、烈之势。这几类攻击手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起挑战。2.3本章小结本章主要介绍了计算机网络安全的概念及概念所包含的内容，以及各内容的具体含义。计算机网络安全的具体含义会因使用者的不同而变化，不同的使用者，对计算机网络的认识和要求也不同。计算机和网络技术具有的复杂性和多样性，使计算机网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了病毒的种类，而且许多攻击都是致命的。由于互联网本身的性质没有失控和地域的限制

16、，每种新攻击手段在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击导致计算机网络及系统瘫痪。变种新出现的攻击方法更具智能化，攻击目标直接指向互联网基础协议和操作系统层次，而且黑客手段不断升级翻新，因此，计算机网络安全面临更大挑战。第3章网络安全的威胁因素3.1网络安全的威胁因素归纳起来，针对网络安全的威胁主要有:软件漏洞、配置不当、安全意识不强、病毒、黑客攻击等。1软件漏洞：每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地，一旦连接入网，将成为众矢之的。2配置不当:安全配置不当造成安全漏洞，例如，防火墙软件的配置不正确，那么它根本不起作用。对特定

17、的网络应用程序，当它启动时，就打开了一系列的安全缺口，许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置，否则，安全隐患始终存在。3安全意识不强:用户口令选择不慎，或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。4病毒:目前数据安全的头号大敌是计算机病毒，它是编制者在计算机程序中插入的破坏计算机功能或数据，影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此，提高对病毒的防范刻不容缓。5黑客攻击:对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)

18、。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统，其危害性非常大。从某种意义上讲，黑客对信息安全的危害甚至比一般的电脑病毒更为严重。3.2本章小结目前，针对网络安全的威胁因素归纳为以下几点：软件漏洞、配置不当、安全意识不强、病毒、黑客攻击等。软件漏洞是每一个系统或网络软件不可避免的，安全漏洞是由于安全配置不当而造成。用户口令选择不慎或将自己的账号随意转借他人或与他人共享带来网络安全问题，这是由于安全意识不强；病毒已成为数据安全的头号大敌，而且其具有传染性、寄生性、隐蔽性、触发性、破坏性等特点；威胁计算机数据安全的另一方面来自电脑黑客，其危害性非常大，尤其在信息安全方面危害甚至比一般电脑病毒

19、更为严重。第4章几种常用的网络安全技术4.1防火墙技术网络安全所说的防火墙(FireWall)是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访，用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙。4.1.1防火墙的主要功能防火墙的主要功能包括：1防火墙可以对流经它的网络通信进行扫描，从而过滤掉一些攻击，以免其在目标计算机上被执行。2防火墙可以关闭不使用的端口，而且它还能禁止特定端口的输出信息。3防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明

20、入侵者的所有通信，过滤掉不安全的服务和控制非法用户对网络的访问。4防火墙可以控制网络内部人员对Internet上特殊站点的访问。5防火墙提供了监视Internet安全和预警的方便端点。4.1.2防火墙的主要优点防火墙的主要优点包括:1可作为网络安全策略的焦点防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心，极大地加强了网络安全，并简化了网络管理。2可以有效记录网络活动由于防火墙处于内网与外网之间，即所有传输的信息都会穿过防火墙。

21、所以，防火墙很适合收集和记录关于系统和网络使用的多种信息，提供监视、管理与审计网络的使用和预警功能。3为解决IP地址危机提供了可行方案由于Internet的日益发展及IP地址空间有限，使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。4.1.3防火墙的主要缺陷由于互联网的开放性，防火墙也有一些弱点，使它不能完全保护网络不受攻击。防火墙的主要缺陷有：1防火墙对绕过它的攻击行为无能为力。2防火墙无法防范病毒，不能防止感染了病毒的软件或文件的传输，对于病毒只能安装反病毒软件。3防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全

22、性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。4.1.4防火墙的分类防火墙的实现从层次上大体可分为三类：包过滤防火墙，代理防火墙和复合型防火墙。1包过滤防火墙包过滤防火墙是在IP层实现，它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址，目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。包过滤路由器的最大优点是：对用户来说是透明的，即不需要用户名和密码来登陆。包过滤路由器的弊端是明显的，由于它通常没有用户的使用记录，我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点，就是不能在用户级别上进行过滤，即不能识别用户与防止IP地址的盗用。如果攻

23、击者将自己的主机设置为一个合法主机的IP地址，则很容易地通过包过滤防火墙。2代理防火墙代理防火墙也叫应用层网关防火墙，包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部网络，对于这样的企业，应用代理防火墙是更好的选择。代理服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程序或者特定服务，一般情况下可应用于特定的互联网服务，如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。应用层网关包括应用代理服务器、回路级代理服务器、代管服务器、IP通道、网络地址转换器、隔离域名服务器和邮件技术等。

24、3复合型防火墙复合型防火墙是将数据包过滤和代理服务结合在一起使用，从而实现了网络安全性、性能和透明度的优势互补。随着技术的发展，防火墙产品还在不断完善、发展。目前出现的新技术类型主要有以下几种：状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。4.1.5防火墙的部署防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查，防护功能。1防火墙的位置一般是内网与外网的接合处，用来阻止来自外部网络的入侵。2如果内部网络规模较大，并且设置虚拟局域网（VLAN），则应该在各个VLAN之间设置防

25、火墙。3通过公网连接的总部与各分支机构之间应该设置防火墙。4主干交换机至服务器区域工作组交换机的骨干链路上。5远程拨号服务器与骨干交换机或路由器之间。总之，在网络拓扑上，防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是：只要有恶意侵入的可能，无论是内部网还是外部网的连接处都应安装防火墙。防火墙技术是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。由于它简单实用且透明度高，可以在不修改原有网络应用系统的情况下，达到一定的安全要求，所

26、以被广泛使用。据预测近5年世界防火墙需求的年增长率将达到174%。目前，市场上防火墙产品很多，一些厂商还把防火墙技术并入其硬件产品中，即在其硬件产品中采取功能更加先进的安全防范机制。可以预见防火墙技术作为一种简单实用的网络信息安全技术将得到进一步发展。然而，防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的，也就是说要保证网络信息的安全还必须有其他一系列措施，例如对数据进行加密处理。需要说明的是防火墙只能抵御来自外部网络的侵扰，而对企业内部网络的安全却无能为力。要保证企业内部网的安全，还需通过对内部网络的有效控制和管理来实现。4.2数据加密技

27、术数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先

28、设定的参数，实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用，密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性，能够有效地防止机密信息的泄漏。另外，它也广泛地被应用于信息鉴别、数字签名等技术中，用来防止电子欺骗，这对信息处理系统的安全起到极其重要的作用。4.3系统容灾技术一个完整的网络安全体系，只有防范和检测措施是不够的，还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失，一旦发生漏防漏检事件，其后果将是灾难性的。此外，天灾人祸、不可

29、抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障，不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器，在两者之间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用，异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连，构成完整的数据容灾系统，也能提供数据库容灾功能。集群技术是一种系统级的系统容错技术，通过对系统的整体冗余和容错来解决系

30、统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现，分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合，构成的数据存储系统，是数据技术发展的重要阶段。随着存储网络化时代的发展，传统的功能单一的存储器，将越来越让位于一体化的多功能网络存储器。4.4入侵检测技术入侵检测技术是从各种各样的系统和网络资源中采集信息（系统运行状态、网络流经的信息等），并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为，入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应，从而将攻击行为带来的破坏和影响降至最低。同时，入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为（通过异常检测和模式匹配等技术）、对攻击行为或异常行为进行响应、审计和跟踪等。典型的IDS系统模型包括4个功能部件：1事件产生器，提供事件记录流的信息源。2事件分析器，这是发现入侵迹象的分析引擎。3响应单元，这是基于分析引擎的分析结果产生反应的响应部件。4事件数据库，这是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。4.4.1入侵检测系统的分类入侵检测系统根据数据来源不同，可分为基于网络的入侵检测