版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、<p><b> 毕业设计(论文)</b></p><p><b> 计算机网络安全策略</b></p><p><b> 摘 要</b></p><p> 随着政府上网、海关上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展,Internet正在越来越多地离开原来单纯的学术环境,
2、融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之,Internet网的安全,包括其上的信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的"大事情"。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。不夸张地说,它在下个世纪里完全可以与核
3、武器对一个国家的重要性相提并论。这个问题解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,因此本文分析了当前网络安全工作对于国家安全和经济建设的重要意义、它所面临的种种威胁、网络安全体系之所以失败的原因,然后通过分析网络安全技术的最新发展,给出了一个较为完备的安全体系可以采用的各种加强手段,包括防火墙、加密与认证、网络安全扫描、入侵检测等技术。本文提出制定适当的、完备的网络安全策略是实现网络安全的前提,高水平的网络
4、安全技术队伍是安</p><p> 关键词:计算机网络 网络安全 防火墙 病毒 对策</p><p><b> Abstract</b></p><p> With the government on-line, Customs Internet, e-commerce, entertain
5、ment and a series of rapid development of network applications, Internet is increasingly leaving the original purely academic environment into all aspects of society. On the one hand, Internet users are increasingly dive
6、rse composition, for various purposes of network intrusion and attacks become more frequent; the other hand, network applications to penetrate deeper into the financial, business, the key to vital areas of nation</p&g
7、t;<p> Keywords: computer network security firewall, virus response network</p><p><b> 目 录</b></p><p><b> 第1章 绪论1</b></p><p> 1.1 课题背景1</p&g
8、t;<p> 1.2常见的计算机网络安全的威胁1</p><p> 1.3常见的计算机网络安全防范措施2</p><p> 第2章 计算机网络安全策略3</p><p> 2.1物理安全策略3</p><p> 2.2访问控制策略3</p><p> 2.2.1 入网访问控制3&l
9、t;/p><p> 2.2.2 网络的权限控制4</p><p> 2.2.3 目录级安全控制4</p><p> 2.2.4属性安全控制4</p><p> 2.2.5网络服务器安全控制5</p><p> 第3章 安全网络的建设6</p><p> 3.1内部网的安全6&
10、lt;/p><p> 3.2 Internet接口安全6</p><p> 3.3 Extranet 接口的安全6</p><p> 3.4 移动用户拨号接入内部网的安全6</p><p> 3.5 数据库安全保护6</p><p><b> 第4章 防火墙7</b></p&
11、gt;<p> 4.1防火墙类型7</p><p> 4.2防火墙的选择8</p><p> 4.3防火墙的安全性和局限性9</p><p> 第5章 加密技术10</p><p> 5.1 对称加密技术10</p><p> 5.2 非对称加密/公开密匙加密11</p>
12、;<p> 5.3 RSA算法11</p><p> 5.4 MD511</p><p> 第6章 网络日志13</p><p> 6.1故障排查13</p><p> 6.2 日志统计的重要性14</p><p> 6.3 安全审核和日志分析技巧14</p><
13、;p><b> 结 论16</b></p><p><b> 致 谢17</b></p><p><b> 参考文献18</b></p><p><b> 第1章 绪论</b></p><p><b> 1.1 课题背景
14、</b></p><p> 随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够
15、强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。</p><p> 1.2常见的计算机网络安全的威胁</p><p> 计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对
16、网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:</p><p> (1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。</p><p>
17、 (2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。</p><p> (3)网络软件的漏洞和“后门”:网络软件不可能是百分之
18、百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。</p><p> 1.3常见的计算机网络安全防范措施</p><p> 网络安全的脆弱性体现:当我们
19、评判一个系统是否安全时,不应该只看它应用了多么先进的设施,更应该了解它最大的弱点是什么,因为网络的安全性取决于它最薄弱环节的安全性,通过考察近几年在Internet上发生的黑客攻击事件,我们不难看出威胁网络安全的基本模式是一样的。特别在大量自动软件工具出现以后,加之Internet提供的便利,攻击者可以很方便地组成团体,使得网络安全受到的威胁更加严重。隐藏在世界各地的攻击者通常可以越过算法本身,不需要去试每一个可能的密钥,甚至不需要去寻
20、找算法本身的漏洞,他们能够利用所有可能就范的错误,包括设计错误、安装配置错误及教育培训失误等,向网络发起攻击。但在大多数情况下,他们是利用设计者们犯的一次次重复发生的错误轻松得逞的。我们可以粗略地将对系统安全造成的威胁归结为6大类 :教育培训问题、变节的员工、系统软件的缺陷、对硬件的攻击、错误的信任模型和拒绝服务。</p><p> 常见攻击方法及对策。人们将常见的攻击方法分为以下几种类型:试探(probe)、
21、扫描(scan)、获得用户账户(account compromise)、获得超级用户权限(root compromise)、数据包窃听(packet sniffer)、拒绝服务(denial of service)、利用信任关系、恶意代码(如特洛伊木马、病毒、蠕虫等)以及攻击Internet基础设施(如DNS系统和网络路由等)。一般说来攻击者对目标进行攻击要经历3个步骤:情报搜集、系统的安全漏洞检测和实施攻击。</p>&
22、lt;p> (1)与网络设备经销商取得联系,询问他们是否研制了防范DOS(拒绝服务式攻击)的软件,如TCP SYN ACK。 </p><p> (2)制定严格的网络安全规则,对进出网络的信息进行严格限定。这样可充分保证黑客的试探行动不能取得成功。 </p><p> (3)将网络的TCP超时限制缩短至15分钟(900秒),以减少黑客进攻的窗口机会。 </p>&
23、lt;p> (4)扩大连接表,增加黑客填充整个连接表的难度。 </p><p> (5)时刻监测系统的登录数据和网络信息流向,以便及时发现任何异常之处。美国网络趋势公司研制的Firewa ll Suite 2.0软件是进行网络登录和通信测试的最佳软件,有24种不同的防火墙产品,可提供250种详细报告。 </p><p> (6)安装所有的操作系统和服务器补丁程序。随时与销售商保
24、持联系,以取得最新的补丁程序。 </p><p> (7)尽量减少暴露在互联网上的系统和服务的数量。每暴露一个都会给网络增加一份危险。 </p><p> 第2章 计算机网络安全策略 </p><p><b> 2.1物理安全策略</b></p><p> 物理安全策略的目的是保护计算机系统、网络服务器、打印机等
25、硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类
26、防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。</p><p><b> 2.2访问控制策略</b></p><p> 访问控制
27、是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。</p><p> 2.2.1 入网访问控制</p><p> 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录
28、到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入
29、网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验
30、证器(如智能卡)来验证用户的身份。网络管理员应该可以控</p><p> 2.2.2 网络的权限控制</p><p> 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派
31、控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。</p><p> 2.2.3 目录级安全控制
32、</p><p> 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access
33、 Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。</p><p> 2.2.4属性安全控制</p>&l
34、t;p> 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文
35、件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。</p><p> 2.2.5网络服务器安全控制</p><p> 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非
36、法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。如图2-1所示。 </p><p> 图2-1 服务器设置</p><p> 第3章 安全网络的建设</p><p><b> 3.1内部网的安全</b></p><p> 内部网的安全防范应满足以下原则:(1)内
37、部网能根据部门或业务需要划分子网(物理子网或虚拟子网),并能实现子网隔离。(2)采取相应的安全措施后,子网间可相互访问。</p><p> 3.2 Internet接口安全</p><p> 内部网接入Internet对安全技术要求很高,应考虑以下原则:(1)在未采取安全措施的情况下,禁止内部网以任何形式直接接入Internet。 (2)采取足够的安全措施后,允许内部网对Interne
38、t开通必要的业务。 (3)对Internet公开发布的信息应采取安全措施保障信息不被篡改。</p><p> 3.3 Extranet 接口的安全</p><p> Extranet应采取以下安全原则:(1)未采取安全措施的情况下,禁止内部网直接连接Extranet。 (2)设立独立网络区域与Extranet交换信息,并采取有效的安全措施保障该信息交换区不受非授权访问。 (3)来自Ex
39、tranet的特定主机经认证身份后可访问内部网指定主机。 </p><p> 3.4 移动用户拨号接入内部网的安全</p><p> 移动用户拨号接入内部网的安全防范应满足以下原则:(1)在未采取安全措施的情况下,禁止移动用户直接拨号接入内部网。 (2)移动用户在经身份认证后可访问指定的内部网主机。 </p><p> 3.5 数据库安全保护</p>
40、;<p> 对数据库安全的保护主要应考虑以下几条原则:(1)应有明确的数据库存取授权策略。 (2)重要信息在数据库中应有安全保密和验证措施。</p><p><b> 第4章 防火墙</b></p><p> 防火墙作为内部网络与外部网络之间的第一道安全屏障,是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机
41、构网络的屏障,也可称之为控制进/出两个方向通信的门槛, 是最先受到人们重视的网络安全技术,是实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。</p><p><b> 4.1防火墙类型</b></p><p>
42、 (1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止
43、访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。</p><p> (2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中
44、间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。</p><p
45、> (3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。</p><p><b> 4.2防火墙的选择</b></p><
46、p> 选择防火墙的标准有很多,但最重要的是以下几条: </p><p> (1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗
47、略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。 </p><p> (2)防火墙本身是安全的,作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本
48、无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。</p><p> (3)管理与培训,管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总
49、拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 </p><p> (4)可扩充性,在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没
50、有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。</p><p> 4.3防火墙的安全性和局限性</p><p> 防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有
51、效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。防火墙局限性也降低了安全系数,防火墙不能防范不经由防火墙的攻击。如果内部网用户直接从Internet服务提供那里购置直接的SLIP或PPP连接,则饶过了防火墙
52、系统所提供的安全保护,从而造成了一个潜在的后门攻击渠道。防火墙不能防范人为因素的攻击。例如,内奸或用户操作造成的威胁,以及由于口令泄露而受到的攻击。防火墙不能防止受病毒感染的软件或文件的传输。由于操作系统、病毒、二进制文件类型(加密、压缩)的种类太多且更新很快,所以防火墙无法逐个扫描每个文件以查找病毒。防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。例如,一种数据
53、驱动式的攻击可以使主机修改或系统安全有关的配置文件,从而使</p><p><b> 第5章 加密技术</b></p><p> 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点
54、加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密
55、钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EI</p><p> 5.1 对称加密技术</p><p> 在对
56、称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密
57、标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。</p><p> 5.2 非对称加密/公开密匙加密</p><p> 在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,
58、私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。</p><p><b> 5.3 RSA算法</b></p>&
59、lt;p> RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下: </p><p> 公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密) </p><p> e与(p-1
60、)(q-1)互素 </p><p> 私有密钥:d=e-1 {mod(p-1)(q-1)} </p><p> 加密:c=me(mod n),其中m为明文,c为密文。 </p><p> 解密:m=cd(mod n) </p><p> 利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目
61、前和预见的将来,它是足够安全的。</p><p><b> 5.4 MD5</b></p><p> MD5有RonRivest所设计。该编码算法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要
62、便成为验证明文是否是“真身”的“指纹”了。</p><p> PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,
63、他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。如图5-1所示。</p><p> 图5-1 PKI技术</p><
64、p><b> 第6章 网络日志</b></p><p> 网络管理是一个经验积累的过程,是一个不断再学习的过程。而网络日志则为大家经验的积累提供了一个很好的工具。在我们的日常的网络管理工作中,形成了一个惯例:将当天遇到的问题与解决方法填写在网络日志中,然后每个月将这些东西进行整理归类到一个名为网络管理的FAQ中。FAQ以一问一答的方式收集内容,以WEB形式共享。这样,当网管人员以后
65、遇到问题时,可以先在这里寻找答案,大大提高了解决问题、排除故障的效率。</p><p><b> 6.1故障排查</b></p><p> 飞机失事时,大家总是去寻找那个记录着失事前的一些情况的黑匣子,以便能够通过了解失事前的情况,推测出飞机失事的原因。而网络日志对于故障排除正是起到黑匣子的功能,如果你能够认真做好日志,那么当网络故障出现的时候,你就可以通过察看网
66、络日志,了解到故障发生前的一些网络情况,从而推测出故障的原因所在。下面,我们就通过几个例子来说明,如果通过网络日志来排除故障:</p><p> 例一:在企业内部的一台应用服务器,操作系统是Windows NT 4.0,在上面运行着一个通讯网关程序。有一天一上班,就发现这个通讯网关程序罢工了。到该服务器前面一看,这个程序异常退出了,而且再也启动不起来。这时,网络管理人员迅速查找网络日志,发现在昨天下午下班后,另
67、一名网络管理人员为了提高安全性,在该服务器上打上了SP6,然后关机下班。因此,网络管理人员马上与该程序的开发商取得了联系,确认了该程序与SP6存在不兼容的情况,并取得了修改过该问题的新版程序,顺利的解决了该问题。在本例中,通过查看网络日志,寻找到了变动因素,从而找到引起该问题的原因,而且少走了很多弯路,这就是网络日志所起的作用。</p><p> 例二:有一段时间,企业内部网络突然出现了一个奇怪的现象,每天中午
68、大家都无法正常收发E-Mail,经常超时,数据传输奇慢。一开始,我们认为是中午大家上网的人数多了,而且最近新增了不少员工,可能使得网络带宽消耗太大。为了能够找出原因,我们首先连续几个中午进行网络流量监测,并将结果记录下来。然后翻开网络日志,查看在发生该情况之前的网络流量的数据,发现这几个中午的网络流量居然是平时最大值的10多倍。我们觉得这样的情况肯定不是新员工的增加引起的。因而,我们继续进行了网络监控,试图寻找出这个数据的来源,结果用S
69、niffer监听到了一台PC在源源不断地向外广播大量的数据包。我们找到这台机的用户,然后向他了解中午通常使用什么程序,他说是在用“超级解霸”看VCD,结果我们打开他的“超级解霸”,发现他误设置打开了DVB数字视频广播,向整个局域网用户进行视频广播,正是这个原因导致了网络阻塞。试想如果没有网络日志的数据,我们可能无法得知网络数据的增长到底有多大,是不是与新增员工成比例,就可能会盲目采用新增带宽的方式来解决,那当然是事与愿违的结果了。<
70、;/p><p> 6.2 日志统计的重要性</p><p> 网络日志记录了网络日常运营的状态信息,这些信息显示了网络的动态情况,有了这些情况,就可以正确地做出网络升级的决策,使得网络升级能够落到实处,解决问题的关键点。同时,网络日志还为网络升级提供了详细的数据依据,为决策提供了第一手素材。</p><p> 例如,每年底,企业领导要求我提交一个关于新的一年中网络
71、升级的需求报告时,我们总是打开今天的网络日志,进行以下几个方面的统计,以便制定相应的升级计划:</p><p> (1)对网络日志的网络流量数据进行分类统计,获取以下信息:</p><p> 网络流量增长率:通过对每个阶段的网络流量绘制成为直方图或趋势线图,就可以直观地知道网络流量的需求变化情况。如果网络流量有明显的放大,就可以从增长的趋势中找到规律,知道在什么时候会超过现在网络的负载
72、,及时的提前做好升级工作。网络流量高峰时期:可以在网络日志中寻找到网络流量高峰的时期,并根据这些数据寻找问题的原因,然后制定相应的规范来解决。如经常发现每天中午是高峰期,而这时公司的高层经理经常无法正常收取电子邮件,那么就可以采用流量分配的策略,为公司的高层经理分配一个固定的带宽,以保证业务需要。</p><p> (2)对网络中病毒记录进行统计,就可以得知现行的病毒防治策略是否有效,例如网络日志中体现出了宏病
73、毒的发作率较高,那么就应该根据这一情况,对病毒防治策略中加强宏病毒的能力,如选择对宏病毒防治更有力的病毒防火墙等。</p><p> (3)另外,我们还可以从网络日志中,发现每一个网络服务器的负载变化情况,然后根据这一情况,制定网络服务器的软硬件升级计划。</p><p> 6.3 安全审核和日志分析技巧</p><p> (1)是审核的对象 </p&g
74、t;<p> 在2000系统中,有安全审核策略,但默认是关闭的,需要手工在安全策略中打开。在打开时需要定义审核的对象,在这里,你要定义好你所需要审核的对象。不要一骨脑全选上,结果是在日志中有一大堆的记录,都不知道看什么好。 </p><p><b> (2)审核的方式</b></p><p> 除了系统安全审核(如用户登录、注销、目录访问等),系统
75、还有访问审核和文件审核。你可以对重要文件加以严格审核,可以审核到哪些人什么时间使用了该文件,做了什么操作等。这些需要在资源管理器里自己设(必须是NTFS格式)。 </p><p> (3)日志的位置和分析</p><p> 事件里的安全日志是系统安全审核的记录所在,应根据你选择的审核对象和记录产生速度定义好大小,一般建议为1024M,也就是1G,并定义处理方式为覆盖30天前的数据,这样
76、日志中就可以保存30天的数据资料,应该够用了,如果你选择了按需要覆盖,则系统记录满后将自动覆盖最早的数据(不建议),如果你选择了手工清除,请确保你的日志大小足够大。安全日志记录满后如果不能自动处理,将禁止用户使用计算机的。安全日志不能正确记录时,系统将立即关闭计算机。这些也可以在策略中修改。这里需要特别注意的是,当发现一个审核失败时,并不一定意味着是一个安全问题,在正常操作中,偶然也会发生目录访问或特权使用失败的情况,应特殊问题特殊对待
77、。 IIS(WEB管理)的日志是在IIS中设置的,你可以在IIS管理器的站点中设置日志的位置、周期和记录内容。这里特别要强调一下,协议状态是很重要的参数,它指示着协议是否正确有效的被执行了。这是判断是否有人通过IIS执行过特殊命令的有效方式。同样记录的内容不要太乱,否则将给日志的分析带来困难。 TS(终端服务)的日志默认是没有的,需要在终端配置管理中启用日志审核。 对于日志的分析,应注意时间、</p><p>&
78、lt;b> 结 论</b></p><p> 网络安全管理体系的建立网络安全管理体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,完善安全体系赖以生存的大环境。</p><p> 安全策略是一个成功的网络安全体系的基础与核心。安全策略包括网络拓扑结构和为了网络安全、稳定、可持续发展能够承受的安全风险,保护对象的安全优先级等方面的内容。安全技术
79、的应用常见的安全技术主要包括防火墙、安全漏洞扫描、安全评估分析、网管软件、入侵检测、网络陷阱、备份恢复和病毒防范等。在网络安全体系中各种安全技术要合理部署,互联互动,形成一个有机的整体。安全管理安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素。安全管理更主要的是对安全技术和安全策略的管理。用户的安全意识是信息系统是否安全的决定因素,除了在网络中心部署先进的网络结构和功能强大的安全工具外,从制度上、应用上和
80、技术上加强网络安全管理。</p><p> 由于网络的连通性,在享受网络便利的同时,用户的信息资源便有被暴露的可能。因为网络中总有这样那样好奇的或攻击性的实体存在,对个人而言,可能表现在私生活的公开化,从而带来一些意想不到的麻烦。而对于信息网络涉及到的国家政府、军事、文教等诸多领域,由于其中存贮、传输和处理的信息有许多是政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息,甚
81、至是国家机密,如果这些信息被侵犯,则会在政治、经济等方面带来不可估量的的损失。因此,网络安全就显得尤其重要。</p><p> 总之,计算机网络安全策略是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面
82、,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。</p><p><b> 致 谢</b></p><p> 走的最快的总是时间,来不及感叹,大学生活已近尾声,三年多的努力与付出,随着本次论文的完成,将要划下完美的句号。</p><p> 从课题选择到具体的写作过程,无不凝聚着xx老师的心血和汗水。他的循循
83、善诱的教导和不拘一格的思路给予我无尽的启迪,他的渊博的专业知识,精益求精的工作作风,严以律己、宽以待人的崇高风范,将一直是我工作、学习中的榜样。在我的毕业论文写作期间,老师为我提供了种种专业知识上的指导和一些富于创造性的建议,没有这样的帮助和关怀,我不会这么顺利的完成毕业论文。在此向xx老师表示深深的感谢和崇高的敬意。</p><p> 同时,论文的顺利完成,离不开其它各位老师、同学和朋友的关心和帮助。在整个的
84、论文写作中,各位老师、同学和朋友积极的帮助我查资料和提供有利于论文写作的建议和意见,让我把握了毕业论文答辩怎么写。在在他们的帮助下,论文得以不断的完善,终极帮助我完整的写完了整个论文。</p><p> 最后,也是最重要的,我要感谢我的父母,由于没有他们,就没有现在站在这里的我,是他们赐与我生命,赐与我大学的机会,是他们创就今天的我。对于你们,我充满了无穷的感激。</p><p><
85、;b> 参考文献</b></p><p> [1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004.</p><p> [2]郭军.网络管理.[M].北京:北京邮电大学出版社,2001.</p><p> [3]劳帼龄.网络安全与管理.[M].北京:高等教育出版社,2003.</p><p&g
86、t; [4]祁明.网络安全与保密.[M].北京:高等教育出版社,2001.</p><p> [5] 蔡立军.计算机网络安全技术.中国水利水电出版社.2001.</p><p> [6] 陈三堰.网络攻防技术与实践.北京科海电子出版社.2006.5.</p><p> [7] 卿斯汉.安全协议.清华大学出版社.2005.4.</p>&
87、lt;p> [8] 张友生.计算机病毒与木马程序剖析.北京科海电子出版社.2003</p><p> [9] 谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003</p><p> [10] 胡道元.计算机局域网[M].北京:清华大学出版社,2001.</p><p> [11] 张红旗.信息网络安全[M].清华大学出版社,2002.
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 众赏文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 计算机网络安全策略毕业论文
- 毕业论文计算机网络安全策略
- 计算机网络安全策略论文
- 计算机网络安全毕业论文---浅谈计算机网络安全
- 计算机网络安全策略浅议
- 计算机网络安全毕业论文
- 计算机毕业论文--计算机网络安全
- 计算机网络安全毕业论文
- 计算机网络安全毕业论文
- 计算机网络安全毕业论文
- 计算机网络安全毕业论文
- 计算机网络安全毕业论文
- eklhbm有关计算机网络毕业的论文计算机网络毕业论文浅析计算机网络安全
- 计算机网络毕业论文---浅谈计算机网络安全及建设
- 计算机网络安全毕业论文 (2)
- ckfeeq计算机网络安全毕业论文
- 毕业论文--计算机网络安全研究
- 计算机网络安全毕业论文 (2)
- 计算机网络专业毕业论文(网络安全)
- 计算机网络安全毕业论文 (3)
评论
0/150
提交评论