计算机网络安全漏洞及防范措施.docx
- 文档编号:27567638
- 上传时间:2023-07-02
- 格式:DOCX
- 页数:24
- 大小:33.96KB
计算机网络安全漏洞及防范措施.docx
《计算机网络安全漏洞及防范措施.docx》由会员分享,可在线阅读,更多相关《计算机网络安全漏洞及防范措施.docx(24页珍藏版)》请在冰豆网上搜索。
计算机网络安全漏洞及防范措施
摘要
随着计算机网络在人类生活领域中的广泛应用,针对计算机网络的攻击事件也随之增加。
网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等方面。
在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。
计算机病毒不断地通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等,诸如此类的事件已给政府及企业造成了巨大的损失,甚至危害到国家的安全。
网络安全已成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的,因此,对漏洞的了解及防范也相对重要起来。
关键词:
网络安全漏洞病毒入侵
目录
中文摘要………………………………………………………………………2
英文摘要………………………………………………………………………3
目录……………………………………………………………………………4
第一章绪论……………………………………………………………………6
1.1研究意义………………………………………………………………6
1.2研究目的………………………………………………………………6
1.3研究范围………………………………………………………………6
第二章网络安全………………………………………………………………6
2.1网络安全概述…………………………………………………………7
2.1.1网络安全面临的主要威胁………………………………………7
2.1.2威胁网络安全的因素……………………………………………8
2.2网络安全分析…………………………………………………………9
2.3网络安全措施…………………………………………………………11
2.3.1完善计算机立法…………………………………………………11
2.3.2网络安全的关键技术……………………………………………11
第三章防火墙技术…………………………………………………………12
3.1防火墙的概述…………………………………………………………12
3.2防火墙的主要功能……………………………………………………13
3.3防火墙的关键技术……………………………………………………14
3.4防火墙的好处…………………………………………………………15
第四章防病毒技术…………………………………………………………16
4.1防病毒技术产生的原因………………………………………………16
4.2防病毒技术的分类……………………………………………………17
4.3常见的病毒防范方法…………………………………………………18
第五章安全扫描技术………………………………………………………19
5.1安全扫描的概述………………………………………………………19
5.2安全扫描全过程………………………………………………………20
第六章VPN技术………………………………………………………………20
6.1VPN的定义……………………………………………………………20
6.2VPN的功能……………………………………………………………21
6.3VPN的关键技术………………………………………………………21
第七章入侵检测技术………………………………………………………22
7.1入侵检测技术的定义…………………………………………………22
7.2入侵检测技术的分类…………………………………………………23
7.3入侵检测技术存在的问题……………………………………………24
第八章身份认证技术………………………………………………………24
8.1身份认证的概述………………………………………………………24
8.2身份认证的方法………………………………………………………24
8.3身份认证的类型………………………………………………………25
第九章结论…………………………………………………………………26
参考文献……………………………………………………………………26
第一章绪论
1.1研究意义
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。
网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。
在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。
此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。
安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
1.2研究目的
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
正由于无处不在,也给了不法分子可乘之机,出现了许多破坏网络的行为。
例如:
病毒攻击、服务攻击、入侵系统、未授权身份验证等。
为了更好的维护网络安全,对于网络研究很有必要。
1.3研究范围
在论文中接下的几章里,将会有下列安排:
第二章,分析研究网络安全问题,网络安全棉铃的主要威胁,影响网络安全的因素,及保护网络安全的关键技术。
第三章,介绍防火墙的相关技术。
第四章,介绍防病毒的相关技术。
第五章,介绍安全扫描的相关技术。
第六章,介绍VPN的相关技术。
第七章,介绍入侵检测系统。
第八章,介绍身份认证。
第二章网络安全
2.1网络安全概述
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
2.1.1网络安全面临的主要威胁
网络安全威胁是指某个人、物或事件对网络资源的保密性、完整性、可用性和可审查性所造成的危害。
第一,硬件系统、软件系统以及网络和通信协议存在的安全隐患常常导致网络系统自身的脆弱性。
第二,由于计算机信息具有共享和易于扩散等特性,它在处理、存储、传播和使用过程中存在严重的脆弱性,很容易被泄露、窃取、篡改、假冒、破坏以及被计算机病毒感染。
第三,目前攻击者需要的技术水平逐渐降低但危害增大,攻击手段更加灵活,系统漏洞发现加快,攻击爆发时间变短;垃圾邮件问题严重,间谍软件、恶意软件、流氓软件威胁安全;同时,无线网络、移动手机也逐渐成为安全重灾区。
1、主要存在的网络信息安全威胁
目前主要存在4类网络信息安全方面的威胁:
信息泄露、拒绝服务、信息完整性破坏和信息的非法使用。
(1)信息泄露:
信息被有意或无意中泄露后透漏给某个未授权的实体,这种威胁主要来自诸如搭线窃听或其他更加错综复杂的信息探测攻击。
(2)拒绝服务:
对信息或其他资源的合法访问被无条件地阻止。
这可能是由以下攻击所致:
攻击者不断对网络服务系统进行干扰,通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负载,执行无关程序使系统响应减慢甚至瘫痪,从而导致系统资源对于合法用户也是不可使用的。
拒绝服务攻击频繁发生,也可能是系统在物理上或逻辑上受到破坏而中断服务。
由于这种攻击往往使用虚假的源地址,因此很难定位攻击者的位置。
(3)信息完整性破坏:
以非法手段窃得的对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据、以干扰用户的正常使用,使数据的一致性通过未授权实体的创建、修改或破坏而受到损坏。
(4)信息的非法使用:
某一资源被某个未授权的人后以某一未授权的方式使用。
这种威胁的例子有:
侵入某个计算机系统的攻击者会利用此系统作为盗用电信服务的基点或者作为侵入其他系统的出发点。
2、威胁网络信息安全的具体方式
威胁网络信息安全的具体方式表现在以下8个方面:
(1)假冒。
某个实体(人或系统)假装成另外一个不同的实体,这是渗入某个安全防线的最为通用的方法。
(2)旁路控制。
除了给用户提供正常的服务外,还将传输的信息送给其他用户,这就是旁路。
旁路非常容易造成信息的泄密,如攻击者通过各种手段利用原本应保密但又暴露出来的一些系统特征渗入系统内部
(3)特洛伊木马。
特洛伊程序一般是由编程人员编制,他除了提供正常的功能外还提供了用户所不希望的额外功能,这些额外功能往往是有害的。
(4)蠕虫。
蠕虫可以从一台机器传播,他同病毒不一样,不需要修改宿主程序就能传播。
(5)陷门。
一些内部程序人员为了特殊的目的,在所编制的程序中潜伏代码或保留漏洞。
在某个系统或某个文件中设置的“机关”,当提供特定的输入数据时,便允许违反安全策略。
(6)黑客攻击。
黑客的行为是指涉及阻挠计算机系统正常运行或利用、借助和通过计算机系统进行犯罪的行为。
(7)拒绝服务攻击,一种破坏性攻击、最普遍的拒绝服务攻击是“电子邮件炸弹”。
(8)泄露机密信息。
系统内部人员泄露机密或外部人员通过非法手段截获机密信息。
2.1.2威胁网络安全的因素
自然灾害、意外事故;计算机犯罪;人为行为,比如使用不当,安全意识差等;黑客”行为:
由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
网络安全威胁主要包括两类:
渗入威胁和植入威胁渗入威胁主要有:
假冒、旁路控制、授权侵犯;
植入威胁主要有:
特洛伊木马、陷门。
陷门:
将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入数据时,允许安全策略被违反。
2.2网络安全分析
1、物理安全分析
网络的物理安全是整个网络系统安全的前提。
在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。
因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。
总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。
2、网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。
假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。
透过网络传播,还会影响到连上Internet/Intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。
因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
3、系统的安全分析
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。
目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot的WindowsNT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
因此,我们可以得出如下结论:
没有完全安全的操作系统。
不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。
因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
4、应用系统的安全分析
应用系统的安全跟具体的应用有关,它涉及面广。
应用系统的安全是动态的、不断变化的。
应用的安全性也涉及到信息的安全性,它包括很多方面。
——应用系统的安全是动态的、不断变化的。
应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、NetscapeMessagingServer、Software.ComPost.Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多种。
其安全手段涉及LDAP、DES、RSA等各种方式。
应用系统是不断发展且应用类型是不断增加的。
在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
——应用的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。
因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。
采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。
5、管理的安全风险分析
管理是网络中安全最最重要的部分。
责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。
保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。
一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。
因此,网络的安全建设是校园网建设过程中重要的一环。
2.3网络安全措施
网络信息安全涉及方方面面的问题,是一个复杂的系统。
一个完整的网络信息安全体系至少应包括三类措施:
一是法律政策、规章制度以及安全教育等外部环境。
二是技术方面,如身份认证、防火墙技术、防病毒技术等。
三是管理措施,包括技术与社会措施。
只要措施有:
提供实时改变安全策略的能力,对现有的安全策略实施漏洞检查等,以防患于未然。
这三者缺一不可。
其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。
2.3.1完善计算机立法
我国先后出台的有关网络安全管理的规定和条例。
但目前,在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。
2.3.2网络安全的关键技术
(1)防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
(2)防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。
(3)检测系统
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。
随着时代的发展,入侵检测技术将朝着三个方向发展:
分布式入侵检测、智能化入侵检测和全面的安全防御方案。
(4)身份认证
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。
计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
第三章防火墙技术
3.1防火墙的概述
防火墙是汽车中一个部件的名称。
在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。
在电脑术语中,当然就不是这个意思了,我们可防火墙以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
3.2防火墙的主要功能
1、网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内防火墙部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2、强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3、对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4、防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用Shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
3.3防火墙的关键技术
防火墙的主要功能是通过以下3种技术方法实现的。
1、包过滤技术
包过滤技术是一种通用、廉价且有效地安全手段,它拒绝接受从未授权的主机发送的TCP/IP包,并拒绝接受使用未授权服务的连续请求。
网络上的数据都是以“包”为单位进行传输的,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口及协议参数等字段。
包过滤技术的优点:
简单实用,实现成本较低,处理速度快且易于维护,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
包过滤技术的缺点:
工作于网络层的安全技术对基于应用层的网络入侵却无能为力,有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2、网络地址转换
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准。
它允许具有私有IP地址的内部网络访问因特网。
它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。
系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。
防火墙根据预先定义好的映射规则来判断这个访问是否安全。
当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。
当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
从一定意义来说网络地址转换可以有效地保护网络内部的系统,增加网络流量和拒绝服务攻击的难度。
网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3、代理服务
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。
代理服务器位于客户机与服务器之间。
完全阻挡了二者间的数据交流。
从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。
当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点:
安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。
代理型防火墙的缺点:
对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
3.4防火墙的好处
1、保护脆弱的服务
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。
2、控制对系统的访问
防火墙可以提供对系统的访问控制。
如允许从外部访问某些主机,同时禁止访问另外的主机。
例如,防火墙允许外部访问特定的MailServer和WebServer。
3、集中的安全管理
防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。
外部用户也只需要经过一次认证即可访问内部网。
4、增强的保密性
使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。
记录和统计网络利用数据以及非法使用数据。
防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据,来判断可能的攻击和探测。
5、策略执行
防火墙提供了制定和执行网络安全策略的手段。
未设置防火墙时,网络安全取决于每台主机的用户。
第四章防病毒技术
4.1防病毒技术产生的原因
现今市场上流行的单机防病毒产品种类繁多,性能各异。
各防病毒产品之间的竞争也异常激烈,各开发商频频使出“变招”争夺这一庞大的市场。
无论这些反病毒产品性能多么优
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 安全漏洞 防范措施