求一篇計算機網(wǎng)絡(luò)論文

計算機網(wǎng)絡(luò)安全1 緒論隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了惠濟(jì)免費建站歡迎大家使用！

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認(rèn)識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。

網(wǎng)絡(luò)安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問，這是人們提到的網(wǎng)絡(luò)安全性時最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊過的郵件和文件鎖來實現(xiàn)。2 方案目標(biāo)本方案主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計成一個支持各級別用戶或用戶群的安全網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時，還實現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業(yè)客戶的計算機系統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網(wǎng)上傳播等。

需要明確的是，安全技術(shù)并不能杜絕所有的對網(wǎng)絡(luò)的侵?jǐn)_和破壞，它的作用僅在于最大限度地防范，以及在受到侵?jǐn)_的破壞后將損失盡旦降低。具體地說，網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點：

1．采用多層防衛(wèi)手段，將受到侵?jǐn)_和破壞的概率降到最低；

2．提供迅速檢測非法使用和非法初始進(jìn)入點的手段，核查跟蹤侵入者的活動；

3．提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失；

4．提供查獲侵入者的手段。

網(wǎng)絡(luò)安全技術(shù)是實現(xiàn)安全管理的基礎(chǔ)，近年來，網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實際內(nèi)容。3 安全需求通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即，

可用性： 授權(quán)實體有權(quán)訪問數(shù)據(jù)

機密性： 信息不暴露給未授權(quán)實體或進(jìn)程

完整性： 保證數(shù)據(jù)不被未授權(quán)修改

可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式

可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段

訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣，對內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離，并實現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計： 是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時響應(yīng)（如報警）并進(jìn)行阻斷；二是對信息內(nèi)容的審計，可以防止內(nèi)部機密或敏感信息的非法泄漏4 風(fēng)險分析網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運行的前提。網(wǎng)絡(luò)安全不單是單點的安全，而是整個信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。

風(fēng)險分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個重要功能。它要連續(xù)不斷地對網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測，對系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險進(jìn)行分析。風(fēng)險分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。5 解決方案5.1 設(shè)計原則

針對網(wǎng)絡(luò)系統(tǒng)實際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費等因素，設(shè)計時應(yīng)遵循如下思想：

1．大幅度地提高系統(tǒng)的安全性和保密性；

2．保持網(wǎng)絡(luò)原有的性能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；

3．易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；

4．盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

5．安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；

6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；

7．分步實施原則：分級管理 分步實施。

5.2 安全策略

針對上述分析，我們采取以下安全策略：

1．采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。

2．采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

(1) 防火墻技術(shù)：在網(wǎng)絡(luò)的對外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。

(2) NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。

(3) VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機器都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此。

(4）網(wǎng)絡(luò)加密技術(shù)(Ipsec) ：采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾浴Ｋ山鉀Q網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。

(5) 認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機制中可選擇使用。

(6) 多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護(hù)。

(7）網(wǎng)絡(luò)的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡(luò)進(jìn)行監(jiān)測和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。

3．實時響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng)絡(luò)攻擊等實時響應(yīng)與恢復(fù)能力。

4．建立分層管理和各級安全管理中心。

5.3 防御系統(tǒng)

我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級別的防病毒系統(tǒng)、入侵檢測技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。

5.3.1 物理安全

物理安全是保護(hù)計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。這是政府、軍隊、金融機構(gòu)在興建信息中心時首要的設(shè)置的條件。

為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施：

1．產(chǎn)品保障方面：主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。

2．運行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

3．防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機。

4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機、安全設(shè)備的安全防護(hù)。

5.3.2 防火墻技術(shù)

防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計算機或其他特制地硬件設(shè)備。防火墻可以是獨立地系統(tǒng)，也可以在一個進(jìn)行網(wǎng)絡(luò)互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

（1）屏蔽路由器：又稱包過濾防火墻。

（2）雙穴主機：雙穴主機是包過濾網(wǎng)關(guān)的一種替代。

（3）主機過濾結(jié)構(gòu)：這種結(jié)構(gòu)實際上是包過濾和代理的結(jié)合。

（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機和被屏蔽主機的變形。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。

5.3.2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。 但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

5.3.2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

5.3.2.3 代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

以上回答來自:

畢業(yè)論文

相關(guān)資料：

企業(yè)內(nèi)網(wǎng)安全分析與策略

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業(yè)因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會組織在網(wǎng)絡(luò)安全防護(hù)建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護(hù)技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認(rèn)證、入侵檢測系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)，對網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進(jìn)行。

這種解決策略是針對外部入侵的防范，對于來自網(wǎng)絡(luò)內(nèi)部的對企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無任何作用。對于那些需要經(jīng)常移動的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會有人私自以Modem撥號方式、手機或無線網(wǎng)卡等方式上網(wǎng)，而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風(fēng)險分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進(jìn)行交互的窗口，同時也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點，即使再先進(jìn)的防病毒軟件、入侵檢測技術(shù)也不能獨立有效地完成安全防護(hù)，特別是對新類型新變種的病毒、蠕蟲，防護(hù)技術(shù)總要相對落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護(hù)措施的漏洞外，最大的威脅卻是來自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但不及時升級；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護(hù)措施就連接到危險的網(wǎng)絡(luò)環(huán)境中，特別是Internet；移動用戶計算機連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒有采取任何防護(hù)措施的情況下又連入企業(yè)網(wǎng)絡(luò)；桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施，企業(yè)業(yè)務(wù)帶來無法估量的損失。

2.軟件漏洞隱患

企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會給企業(yè)帶來危害，輕者危及個別設(shè)備，重者成為攻擊整個企業(yè)網(wǎng)絡(luò)媒介，危及整個企業(yè)網(wǎng)絡(luò)安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)用的各種軟件系統(tǒng)都有各自默認(rèn)的安全策略增強的安全配置設(shè)置，例如，賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應(yīng)用對于各種軟件系統(tǒng)自身的安全防護(hù)的增強具有重要作用，但在實際的企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶，導(dǎo)致軟件系統(tǒng)的安全配置成為“軟肋”、有時可能嚴(yán)重為配置漏洞，完全暴露給整個外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強制攻擊”就是利用了弱口令習(xí)慣性的使用安全隱患，黑客利用各種網(wǎng)絡(luò)應(yīng)用默認(rèn)安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網(wǎng)絡(luò)接入安全防護(hù)

傳統(tǒng)的網(wǎng)絡(luò)訪問控制都是在企業(yè)網(wǎng)絡(luò)邊界進(jìn)行的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進(jìn)行且在網(wǎng)絡(luò)訪問用戶的身份被確認(rèn)后，用戶即可以對企業(yè)內(nèi)網(wǎng)進(jìn)行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業(yè)網(wǎng)絡(luò)安全漏洞，例如，企業(yè)網(wǎng)絡(luò)的合法移動用戶在安全防護(hù)較差的外網(wǎng)環(huán)境中使用VPN連接、遠(yuǎn)程撥號、無線AP，以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個安全通道。

另一個傳統(tǒng)網(wǎng)絡(luò)訪問控制問題來自企業(yè)網(wǎng)絡(luò)內(nèi)部，尤其對于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，目前對于企業(yè)網(wǎng)管很難準(zhǔn)確的控制企業(yè)網(wǎng)絡(luò)的應(yīng)用，這樣的現(xiàn)實導(dǎo)致安全隱患的產(chǎn)生：員工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應(yīng)用，如郵件服務(wù)器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應(yīng)用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡(luò)，進(jìn)而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。

5.企業(yè)網(wǎng)絡(luò)入侵

現(xiàn)階段黑客攻擊技術(shù)細(xì)分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務(wù)攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對于采取各種傳統(tǒng)安全防護(hù)措施的企業(yè)內(nèi)網(wǎng)來說，都沒有萬無一失的把握;對于從企業(yè)內(nèi)網(wǎng)走出到安全防護(hù)薄弱的外網(wǎng)環(huán)境的移動用戶來說，安全保障就會嚴(yán)重惡化，當(dāng)移動用戶連接到企業(yè)內(nèi)網(wǎng)，就會將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。

6.終端用戶計算機安全完整性缺失

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來越多的員工會在企業(yè)專網(wǎng)以外使用計算機辦公，同時這些移動員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動用戶處于專網(wǎng)的保護(hù)之外，很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補丁程序、安全配置等）若處于不正常運行狀態(tài)，終端員工沒有及時更新病毒特征庫，或私自卸載安全軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。

三、內(nèi)網(wǎng)安全實施策略

1.多層次的病毒、蠕蟲防護(hù)

病毒、蠕蟲破壞網(wǎng)絡(luò)安全事件一直以來在網(wǎng)絡(luò)安全領(lǐng)域就沒有一個根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫未及時升級等等，也有技術(shù)上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對新類型、新變異的病毒、蠕蟲的防護(hù)往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對不同的原因采取有針對性的切實有效的防護(hù)辦法，就會使病毒、蠕蟲對企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡單的防護(hù)技術(shù)是難以防護(hù)病毒、蠕蟲的威脅的。

2.終端用戶透明、自動化的補丁管理，安全配置

為了彌補和糾正運行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個企業(yè)網(wǎng)絡(luò)安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強對補丁升級、系統(tǒng)安全配置的管理。

用戶可通過管理控制臺集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補丁升級、系統(tǒng)配置策略，定義終端補丁下載。將補丁升級策略、增強終端系統(tǒng)安全配置策略下發(fā)給運行于各終端設(shè)備上的安全代理，安全代理執(zhí)行這些策略，以保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險，提高企業(yè)網(wǎng)絡(luò)整體的補丁升級、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補丁及安全配置管理策略得到有效的落實。

3.全面的網(wǎng)絡(luò)準(zhǔn)入控制

為了解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)給企業(yè)網(wǎng)絡(luò)帶來的安全隱患，以及企業(yè)網(wǎng)絡(luò)安全管理人員無法控制內(nèi)部員工網(wǎng)絡(luò)行為給企業(yè)網(wǎng)絡(luò)帶來的安全問題，除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡(luò)接入方式接入企業(yè)網(wǎng)絡(luò)的訪問控制問題，同時對傳統(tǒng)的網(wǎng)絡(luò)邊界訪問控制沒有解決的網(wǎng)絡(luò)接入安全防護(hù)措施，而采用邊界準(zhǔn)入控制、接入層準(zhǔn)入控制等技術(shù)進(jìn)行全面的實現(xiàn)準(zhǔn)入控制。當(dāng)外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)時，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對于符合的外網(wǎng)訪問則放行。一個全面的網(wǎng)絡(luò)準(zhǔn)入檢測系統(tǒng)。

4.終端設(shè)備安全完整性保證

主機完整性強制是確保企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵組件。主機完整性可確保連接到企業(yè)網(wǎng)的客戶端正運行著所需的應(yīng)用程序和數(shù)據(jù)文件。信息安全業(yè)界已經(jīng)開發(fā)出了多種基于主機的安全產(chǎn)品，以確保企業(yè)網(wǎng)絡(luò)和信息的安全，阻止利用網(wǎng)絡(luò)連接技術(shù)、應(yīng)用程序和操作系統(tǒng)的弱點和漏洞所發(fā)起的攻擊。并已充分采用了在個人防火墻、入侵檢測、防病毒、文件完整性、文件加密和安全補丁程序等方面的技術(shù)進(jìn)步來有效地保護(hù)企業(yè)設(shè)備。然而，只有在充分保證這些安全技術(shù)的應(yīng)用狀態(tài)、更新級別和策略完整性之后，才能享受這些安全技術(shù)給企業(yè)網(wǎng)絡(luò)安全帶來的益處。如果企業(yè)端點設(shè)備不能實施主機完整性，也就不能將該設(shè)備看成企業(yè)網(wǎng)絡(luò)受信設(shè)備。

僅供參考，請自借鑒

希望對您有幫助

求畢業(yè)論文的論點（網(wǎng)絡(luò)安全與數(shù)據(jù)加密技術(shù)）

網(wǎng)絡(luò)安全分析及對策

摘 要：網(wǎng)絡(luò)安全問題已成為信息時代面臨的挑戰(zhàn)和威脅，網(wǎng)絡(luò)安全問題也日益突出。具體表現(xiàn)為：網(wǎng)絡(luò)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；黑客活動已形成重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)。分析了網(wǎng)絡(luò)安全防范能力的主要因素，就如何提高網(wǎng)絡(luò)的安全性提出幾點建議：建立一個功能齊備、全局協(xié)調(diào)的安全技術(shù)平臺，與信息安全管理體系相互支撐和配合。

關(guān)鍵詞：網(wǎng)絡(luò)安全；現(xiàn)狀分析；防范策略

引言

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會的各個領(lǐng)域所重視。今天我們對計算機網(wǎng)絡(luò)存在的安全隱患進(jìn)行分析，并探討了針對計算機安全隱患的防范策略。

目前，生活的各個方面都越來越依賴于計算機網(wǎng)絡(luò)，社會對計算機的依賴程度達(dá)到了空前的記錄。由于計算機網(wǎng)絡(luò)的脆弱性，這種高度的依賴性是國家的經(jīng)濟(jì)和國防安全變得十分脆弱，一旦計算機網(wǎng)絡(luò)受到攻擊而不能正常工作，甚至癱瘓，整個社會就會陷入危機。

1 計算機網(wǎng)絡(luò)安全的現(xiàn)狀及分析。

2 計算機網(wǎng)絡(luò)安全防范策略。

2.1防火墻技術(shù)。

2.2數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)。與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù)，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測;而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法，這種變換是受“密鑰”控制的。在傳統(tǒng)的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為“對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰，構(gòu)成加密/解密的密鑰對，則稱這種加密算法為“非對稱加密算法”或稱為“公鑰加密算法”，相應(yīng)的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。

2.3入侵檢測技術(shù)。入侵檢測系統(tǒng)(Intrusion Detection System簡稱IDS)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊;在入侵攻擊過程中，能減少入侵攻擊所造成的損失;在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)的功能主要體現(xiàn)在以下方面：監(jiān)視分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權(quán)操作。檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞;識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警;對異常行為模式的統(tǒng)計分析;能夠?qū)崟r地對檢測到的入侵行為進(jìn)行反應(yīng);評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;可以發(fā)現(xiàn)新的攻擊模式。

2.4防病毒技術(shù)。

2.5安全管理隊伍的建設(shè)。

3 結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。計算機網(wǎng)絡(luò)的安全問題越來越受到人們的重視，總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻(xiàn)

[1]國家計算機網(wǎng)絡(luò)應(yīng)急中心2007年上半年網(wǎng)絡(luò)分析報告.

[2]王達(dá)．網(wǎng)管員必讀——網(wǎng)絡(luò)安全第二版.