1、s life and work, but the computer information technology is same with other technologies, like a double-edged sword. While most people use information technology to improve efficiency and create more wealth for the community, others are doing the opposite. They invade computer systems to steal confi
2、dential information, data tampering and break pots, which will make tremendous loss to society. According to statistics, a global computer intrusion incidents will happen in 20 seconds, 1 / 4 of Internet firewall on the network are broken ,and about 70% of network information receive the loss. Netwo
3、rk security is a matter of national security and sovereignty, social stability, democratic culture, inherit and carries forward the important issue of network security related to computer science, network technology, communication technology, cryptography, information security technology, applied ma
4、thematics, number theory, information theory, etc. This text expatiates the concept of computer network security, analyzes the present computer network securitys hidden danger, and it also discusses the preventive strategy in computer securitys hidden danger. For example: firewall, authentication en
5、cryption, anti-virus technology is today commonly used method, this method of in-depth exploration of these various aspects of network security problems, can make the reader understand network security technology better. Key words: network;network security;security;firewall目 录目 录 21 引言 11.1研究背景 11.2
6、研究目的及意义 12 网络安全相关知识 32.1计算机网络安全的概念 32.2计算机网络安全的重要性 42.3计算机网络安全理论基础 42.3.1计算机系统安全级别 42.3.2网络安全属性 52.3.3网络安全机制 52.4计算机网络安全现状 62.5计算机网络面临的威胁 72.6计算机网络安全应具备的功能 83 计算机网络安全防范策略 93.1防火墙技术 93.1.1防火墙的基本概念和作用 93.1.2防火墙的分类 103.1.3防火墙的工作原理 123.1.4防火墙的使用心得 123.2数据加密与用户授权访问控制技术 153.2.1数据加密技术及分类 153.2.2数据加密原理 163.
7、2.3几种数据加密技术的比较 173.3入侵检测技术 193.3.1入侵检测系统 203.3.2入侵检测技术的研究总结 203.4防病毒技术 253.4.1计算机病毒的介绍 253.4.2计算机病毒的组成和分类 263.4.3关于计算机病毒的监测及清除心得 263.5安全管理队伍的建设 28结论 31谢辞 32参考文献 33外文资料 341 引言目前,全世界的军事、经济、社会、文化等各个方面都越来越依赖于计算机网络,人类社会对计算机的依赖程度达到了空前的记录。由于计算机网络的脆弱性,这种高度的依赖性使国家的经济和国防安全变得十分脆弱,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会
8、陷入危机。计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。本文从计算机网络安全的概念,计算机网络安全的重要性,计算机网络安全的理论基础,计算机网络安全现状,计算机网络面临的威胁,计算机网络安全应具备的功能,计算机网络安全防范策略等几方面加以阐述并综合分析,来加深对计算机网络安全的理解。1.1研究背景随着信息技术的不断发展和应用,人们在享受到越来越丰富的信息资源的同时,也受到了越来越严重的安全威胁。信息安
9、全的重要性与日俱增。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的网络体系,值得我们关注研究。1.2研究目的及意义计算机网络技术的迅猛发展和网络系统的深入应用,信息网络的社会化和国际化使人类社会的生活方式发生了重大变化,网络已经成为今天的各项社会生活赖以存在的基础设施。但是网络社会越发达,它遭受攻击的危
10、险性也越大。如果想保证商务活动安全稳定的进行,保证网络安全是最关键的问题。网络安全不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变得无处不在。虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻。一般来说,网络安全由四个部分组成:一是运行系统的安全,即保证信息处理和传输系统的安全,它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏产生信息泄露;二是系统信息的安全,包括用户口令鉴别,用户存取权限控制,数据存取权限、方式
11、控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密;三是信息传播的安全,指可对信息的传播后果进行控制,包括信息过滤等,对非法、有害的信息传播后造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控;四是信息内容的安全,它侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。加强网络安全建设,是关系到单位整体形象和利益的大问题。目前在各单位的网络中都存储着大量的信息资料,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失,而对于政
12、府等许多单位来讲,加强网络安全建设的意义甚至关系到国家的安全、利益和发展。2 网络安全相关知识2.1计算机网络安全的概念国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和治理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的熟悉和要求也就不同
13、。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。我国网络安全从其本质来讲就是网络上信息安全,它涉及的领域相当广泛,这是因为目前的公用通信网络中存在着各式各样的安全漏洞和威胁。广义上讲,凡是涉
14、及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论,都是网络安全的研究领域。网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,且在不同环境和应用中又不同的解释。计算机网络安全包括以下几种:1运行系统安全。即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。2网上信息系统的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病
15、毒防治、数据加密等。3网上信息传输的安全。即信息传播后果的安全、包括信息过滤、不良信息过滤等。4网上信息内容的安全。即我们讨论的狭义的“信息安全”,侧重于保护信息的机密性、真实性和完整性,本质上是保护用户的利益和隐私。2.2计算机网络安全的重要性在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息,还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等
16、。这使数据的安全性和自身的利益受到了严重的威胁。根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的,超过50%的安全威胁来自内部,而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有发生。由此可见,无论是有意的攻击,还是无意的操作,都将会给系统带来不可估量的损失,所以计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网
17、络信息的保密性、完整性和可用性。2.3计算机网络安全理论基础2.3.1计算机系统安全级别为了帮助计算机用户区分和解决计算机网络安全问题,美国国防部公布了“桔皮书”(orange book,正式名称为“可信计算机系统标准评估准则” ),对多用户计算机系统安全级别的划分进行了规定。桔皮书将计算机安全由低到高分为四类七级:D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级,C1和C2级是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,B3和A1属于最高安全等级。D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不
18、可信任的,硬件软件都易被侵袭。C1级:自主安全保护级,要求硬件有一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。C2级:受控存取保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计,跟踪记录所有安全事件及系统管理员工作。B1级:标记安全保护级,对网络上每个对象都予实施保护;支持多级安全,对网络、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。B2级:结构化保护级,对网络和计算机系统中所有对象都
19、加以定义,给一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计;合格的个体必须经过分析并通过这一设计;所有构成系统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。2.3.2网
20、络安全属性网络安全具有三个基本的属性:机密性、完整性、可用性。1机密性是指保证信息与信息系统不被非授权者所获取与使用,主要范措施是密码技术。2完整性是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。3可用性是指可以供正常被其他网络使用的相关技术。以上可以看出:在网络中,维护信息载体和信息自身的安全都包括了机密性、完整性、可用性这些重要的属性。2.3.3网络安全机制网络安全机制是保护网络信息安全所采用的措施,所有的安全机制都是针对某些潜在的安全威胁而设计的,可以根据实际情况单独或组合使用。如何在有限的投入下合理地使用安全机制,以便尽可能地降低安
21、全风险,是值得讨论的,网络信息安全机制应包括:技术机制和管理机制两方面的内容。网络安全技术机制包含以下内容:1加密和隐藏。加密使信息改变,攻击者无法了解信息的内容从而达到保护;隐藏则是将有用信息隐藏在其他信息中,使攻击者无法发现。2认证和授权。网络设备之间应互认证对方的身份,以保证正确的操作权力赋予和数据的存取控制;同时网络也必须认证用户的身份,以授权保证合法的用户实施正确的操作。3审计和定位。通过对一些重要的事件进行记录,从而在系统中发现错误或受到攻击时能定位错误并找到防范失效的原因,作为内部犯罪和事故后调查取证的基础。4完整性保证。利用密码技术的完整性保护可以很好地对付非法篡改,当信息源的
22、完整性可以被验证却无法模仿时,可提供不可抵赖服务。5权限和存取控制。针对网络系统需要定义的各种不同用户,根据正确的认证,赋予其适当的操作权力,限制其越级操作。6任务填充。在任务间歇期发送无用的具有良好模拟性能的随机数据,以增加攻击者通过分析通信流量和破译密码获得信息难度。网络信息安全不仅仅是技术问题,更是一个管理问题,要解决网络信息安全问题,必须制定正确的目标策略,设计可行的技术方案,确定合理的资金技术,采取相应的管理措施和依据相关法律制度。2.4计算机网络安全现状据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件
23、逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心,也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。目前黑客的攻击方法已超过了计算机病毒的种类,而
24、且许多攻击都是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、Root kits、DOS和Sniffer是大家熟悉的几种黑客攻击手段,这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。2.5计算机网络面临的威胁1自然
25、灾害计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。2黑客的威胁和攻击计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识,能使用各种计算机工具。境内外黑客攻击破坏网络的问题十分严重,他们通常
26、采用非法侵人重要信息系统,窃听、获取、攻击侵人网的有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。黑客问题的出现,并非黑客能够制造入侵的机会,从没有路的地方走出一条路,只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,其信息网络脆弱性引发了信息社会脆弱性和安全问题,并构成了自然或人为破坏的威胁。3计算机病毒90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻
27、则使系统上作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。4垃圾邮件和间谍软件一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。事实上,间谍软件日前还是一个具有争议的概念,一种被普遍接受的观点认为间谍软件是指那些在用户不知情的情况下进行非法安装发装后很难找到其踪影,并悄悄把截获的一些机密信息提供给第下者的软件。间谍软件的功能繁多,它可以监视用户行为或是发布广告,修改系统
28、设置,威胁用户隐私和计算机安全,并可能不同程度的影响系统性能。5信息战的严重威胁信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。这种对抗形式的目标,不是集中打击敌方的人员或战斗技术装备,而是集中打击敌方的计算机信息系统,使其神经中枢的指挥系统瘫痪。信息技术从根本上改变了进行战争的方法,其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统,信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器。可以说,未来国与国之间的对抗首先将是信息技术的较量。网络信息安全应该成为国家安全的前提。6计算机犯罪计算机犯
29、罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长,使得针对计算机信息系统的犯罪活动日益增多。2.6计算机网络安全应具备的功能为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:1访问控制。通过对特定网段、服务建立的访问控制体系,将绝
30、大多数攻击阻止在到达攻击目标之前。2检查安全漏洞。通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。3攻击监控。通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。4加密通讯。主动地加密通讯,可使攻击者不能了解、修改敏感信息。5认证。良好的认证体系可防止攻击者假冒合法用户。6备份和恢复。可在攻击造成损失时,尽快地恢复数据和系统服务。7多层防御。攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。8设立安全监控中心。为信息系统提供安全体系管理、监控、保护及紧急情况服务。3 计算机网络安全防范策略 计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多
