畢業(yè)論文--計(jì)算機(jī)網(wǎng)絡(luò)安全研究

1、<p><b>　　畢業(yè)論文</b></p><p><b>　　計(jì)算機(jī)網(wǎng)絡(luò)安全研究</b></p><p><b>　　09年 05月</b></p><p><b>　　摘 要</b></p><p>　　計(jì)算機(jī)的安全是一個(gè)越來(lái)越引起世界各

2、國(guó)關(guān)注的重要問(wèn)題，也是一個(gè)十分復(fù)雜的課題。計(jì)算機(jī)的出現(xiàn)和普及使人類社會(huì)步入了信息時(shí)代，隨著計(jì)算機(jī)在人類生活各領(lǐng)域中的廣泛應(yīng)用和互聯(lián)網(wǎng)上業(yè)務(wù)的增加，計(jì)算機(jī)病毒也在不斷產(chǎn)生和傳播。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)不斷地遭到非法入侵，重要情報(bào)資料不斷地被竊取，甚至由此造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等，已給各個(gè)國(guó)家以及眾多公司造成巨大的經(jīng)濟(jì)損失，甚至危害到國(guó)家和地區(qū)的安全。因此計(jì)算機(jī)系統(tǒng)的安全問(wèn)題是一個(gè)關(guān)系到人類生活與生存的大事情，必須充分重視并設(shè)法解決它。</p&

3、gt;<p>　　本文主要對(duì)計(jì)算機(jī)安全性進(jìn)行了研究，主要內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀、計(jì)算機(jī)網(wǎng)絡(luò)的安全策略以及如何保護(hù)內(nèi)部網(wǎng)絡(luò)的安全三部分。</p><p>　　【關(guān)鍵詞】計(jì)算機(jī)安全 訪問(wèn)控制策略 內(nèi)網(wǎng)安全</p><p><b>　　目 錄</b></p><p>　　一、計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀(2)</p><

4、;p>　　（一）計(jì)算機(jī)安全概念(2)</p><p>　?。ǘ┯?jì)算機(jī)犯罪定義(2)</p><p>　　（三）計(jì)算機(jī)黑客(3)</p><p>　　二、計(jì)算機(jī)網(wǎng)絡(luò)的安全策略(4)</p><p>　　（一）設(shè)置防火墻(4)</p><p>　?。ǘ?duì)數(shù)據(jù)進(jìn)行加密(5)</p>

5、<p>　?。ㄈ┩晟普J(rèn)證技術(shù)(5)</p><p>　?。ㄋ模┦褂萌肭謾z測(cè)系統(tǒng)(6)</p><p>　?。ㄎ澹┰O(shè)立防病毒體系(6)</p><p>　?。┯行У臄?shù)據(jù)保護(hù)(8)</p><p>　　三、保護(hù)內(nèi)部網(wǎng)絡(luò)的安全策略(8)</p><p>　?。ㄒ唬┪锢戆踩呗?8)<

6、/p><p>　?。ǘ┰L問(wèn)控制策略(9)</p><p>　　注 釋(XX)</p><p>　　參考文獻(xiàn)(10) </p><p>　　致 謝………………………………………………………..(10)</p><p>　　注: 三級(jí)目錄可視情況確定是否寫入目錄。</p>&l

7、t;p>　　一、計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀</p><p>　　隨著Internet、Intranet加劇全球性信息化，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入，網(wǎng)絡(luò)安全成為網(wǎng)絡(luò)應(yīng)用的重大隱患。由于網(wǎng)絡(luò)安全的脆弱性而導(dǎo)致的經(jīng)濟(jì)損失每年都在快速增長(zhǎng)，企業(yè)追加網(wǎng)絡(luò)安全方面的資金。各國(guó)政府也紛紛開始重視，加強(qiáng)管理和加大投入。目前計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的

8、因素很多，歸結(jié)起來(lái)主要以人為的無(wú)意失誤，人為的惡意攻擊，網(wǎng)絡(luò)軟件的漏洞和“后門” 三個(gè)因素為主。下面分別將從計(jì)算機(jī)安全，計(jì)算機(jī)犯罪，黑客三個(gè)方面做詳細(xì)闡述。</p><p>　?。ㄒ唬┯?jì)算機(jī)安全概念</p><p>　　計(jì)算機(jī)安全是指計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改和泄漏，系統(tǒng)能連續(xù)正常運(yùn)行。</p><p>　　從技術(shù)上

9、講，計(jì)算機(jī)安全分為實(shí)體的安全性，運(yùn)行環(huán)境的安全性，信息的安全性三種。</p><p><b>　　1. 實(shí)體的安全性</b></p><p>　　它用來(lái)保證硬件和軟件本身的安全。</p><p>　　2. 運(yùn)行環(huán)境的安全性</p><p>　　它用來(lái)保證計(jì)算機(jī)能在良好的環(huán)境中持續(xù)工作。</p><p&

10、gt;<b>　　3. 信息的安全性</b></p><p>　　它用來(lái)保障信息不會(huì)被非法閱讀、修改和泄漏。也可以根據(jù)計(jì)算機(jī)系統(tǒng)組成的層次結(jié)構(gòu)，分為硬件及其運(yùn)行環(huán)境（溫度、濕度、灰塵、腐蝕、電氣與電磁干擾）安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全和應(yīng)用軟件安全等四部分。</p><p>　?。ǘ┯?jì)算機(jī)犯罪定義</p><p>　　計(jì)算機(jī)犯罪與計(jì)算機(jī)安全

11、密切相關(guān)。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，計(jì)算機(jī)在社會(huì)中應(yīng)用領(lǐng)域的急劇擴(kuò)大，計(jì)算機(jī)犯罪的類型和領(lǐng)域不斷地增加和擴(kuò)展，從而使“計(jì)算機(jī)犯罪”這一術(shù)語(yǔ)隨著時(shí)間的推移而不斷獲得新的涵義。目前在學(xué)術(shù)研究上關(guān)于計(jì)算機(jī)犯罪迄今為止尚無(wú)統(tǒng)一的定義。結(jié)合刑法條文的有關(guān)規(guī)定和我國(guó)計(jì)算機(jī)犯罪的實(shí)際情況,我認(rèn)為計(jì)算機(jī)犯罪的概念可以有廣義和狹義之分: 廣義的計(jì)算機(jī)犯罪是指行為人故意直接對(duì)計(jì)算機(jī)實(shí)施侵入或破壞，或者利用計(jì)算機(jī)實(shí)施有關(guān)金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)

12、家秘密或其它犯罪行為的總稱；狹義的計(jì)算機(jī)犯罪僅指行為人違反國(guó)家規(guī)定，故意侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等計(jì)算機(jī)信息系統(tǒng)，或者利用各種技術(shù)手段對(duì)計(jì)算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)、應(yīng)用程序等進(jìn)行破壞、制作、傳播計(jì)算機(jī)病毒，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為。計(jì)算機(jī)犯罪的主要手段有：</p><p>　　1．修改程序和數(shù)據(jù) </p><p>　　為了非法得到他人財(cái)產(chǎn)，犯罪分子采取修改

13、程序或數(shù)據(jù)的方法，使財(cái)產(chǎn)轉(zhuǎn)移到自己的控制之下。</p><p><b>　　2．?dāng)U大授權(quán)</b></p><p>　　從系統(tǒng)程序入手，利用系統(tǒng)的漏洞獲取授權(quán)，訪問(wèn)非授權(quán)文件或執(zhí)行非授權(quán)命令。</p><p><b>　　3．釋放有害程序</b></p><p>　　其中包括計(jì)算機(jī)病毒、特洛伊木馬、蠕

14、蟲、邏輯炸彈等。</p><p><b>　?。ǘ┯?jì)算機(jī)黑客</b></p><p>　　計(jì)算機(jī)黑客是指那些具有計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專長(zhǎng)，能夠完成入侵、訪問(wèn)、控制與破壞目標(biāo)網(wǎng)絡(luò)信息系統(tǒng)的人，故稱為網(wǎng)絡(luò)攻擊者或入侵者。早期黑客是指民間的一類計(jì)算機(jī)高手。他們對(duì)計(jì)算機(jī)程序的各種內(nèi)部結(jié)構(gòu)特征研究得十分深入透徹，善于發(fā)現(xiàn)系統(tǒng)存在的弱點(diǎn)和漏洞，甚至以發(fā)現(xiàn)用戶系統(tǒng)漏洞為嗜好，以幫助完善

15、用戶系統(tǒng)，一般沒有破壞用戶系統(tǒng)或數(shù)據(jù)的企圖。 </p><p>　　然而，現(xiàn)在“黑客”已演變?yōu)椤熬W(wǎng)絡(luò)入侵者”的代名詞，是指一些惡意的網(wǎng)絡(luò)系統(tǒng)入侵者。他們通過(guò)種種手段侵入他人系統(tǒng)，竊取機(jī)密信息，擾亂或破壞系統(tǒng)。他們利用主機(jī)操作系統(tǒng)自身的缺陷，破壞整個(gè)主機(jī)系統(tǒng)的操作能力，或干擾網(wǎng)絡(luò)傳輸協(xié)議使數(shù)據(jù)傳輸出現(xiàn)紊亂；或截獲部分加密數(shù)據(jù)使用戶端因數(shù)據(jù)丟失而無(wú)法恢復(fù)密文；或破譯用戶口令非法獲取他人私有資源；或?qū)⒁恍┯泻π畔⒎庞诰W(wǎng)

16、上傳播等等。</p><p>　　黑客攻擊手段也是隨著計(jì)算機(jī)及其網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷發(fā)展的，目前已達(dá)4000多種。常用的攻擊手段主要分為網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)竊聽、密碼破譯、口令攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、病毒攻擊、特洛伊木馬攻擊、邏輯炸彈攻擊和網(wǎng)絡(luò)欺騙攻擊等。黑客按照其隱蔽性可分為主動(dòng)攻擊和被動(dòng)攻擊；按其來(lái)源可分為本地攻擊和遠(yuǎn)程攻擊；按其攻擊的目的可分為竊密性攻擊和破壞性攻擊。</p><p

17、>　　二、計(jì)算機(jī)網(wǎng)絡(luò)的安全策略</p><p>　　由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。我國(guó)網(wǎng)絡(luò)安全方面暴露問(wèn)題比較突出的有五個(gè)方面：計(jì)算機(jī)病毒泛濫；木馬程序帶來(lái)安全保密方面的隱患；易受黑客攻擊特別是洪流攻擊；垃圾郵件阻塞網(wǎng)絡(luò)；網(wǎng)絡(luò)安全的威脅開始蔓延到應(yīng)用的環(huán)節(jié)，其中Windows占70%，UNIX占30%。所以網(wǎng)

18、上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無(wú)用、甚至?xí)＜安块T安全的網(wǎng)絡(luò)。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保計(jì)算機(jī)網(wǎng)絡(luò)安全，需要制定五種基本策略，分別是設(shè)置防火墻，對(duì)數(shù)據(jù)進(jìn)行加密，建立完善認(rèn)證技術(shù)，使用入侵檢測(cè)系統(tǒng)，設(shè)立病毒體

19、系，數(shù)據(jù)保護(hù)。</p><p><b>　?。ㄒ唬┰O(shè)置防火墻</b></p><p>　　防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)（包括硬件和軟件），目的是不被非法用戶侵入。本質(zhì)上，它遵循的是一種允許或禁止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過(guò)濾網(wǎng)絡(luò)通訊，只允許授權(quán)的通訊。按照一個(gè)企業(yè)的安全體系，一般可以在以下位置部署防火墻：局域網(wǎng)內(nèi)的VLAN之間控制信息流向

20、時(shí)；Intranet與Internet之間連接時(shí)。在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，（通過(guò)公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)arme Relay等連接）在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離，并利用VPN構(gòu)成虛擬專網(wǎng)。總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過(guò)Internet連接，需要各自安裝防火墻，并利用VPN組成虛擬專網(wǎng)。在遠(yuǎn)程用戶撥號(hào)訪問(wèn)時(shí)，加入虛擬專網(wǎng)。</p&

21、gt;<p><b>　?。ǘ?shù)據(jù)加密</b></p><p>　　數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)是所有通信安全的基石據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。按照收發(fā)雙方密鑰是否相同來(lái)分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。比較著名的常規(guī)密碼算法有：美國(guó)的DES及其各種變形，；歐洲的IDEA；日本的FEALN、LOKI91、Skipjack、

22、RC4、RC5等。其中影響最大的是DES密碼。 </p><p>　　常規(guī)密碼的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時(shí)間的檢驗(yàn)和攻擊，但其密鑰必須通過(guò)安全的途徑傳送。</p><p>　　公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問(wèn)題也較為簡(jiǎn)單，尤其可方便的實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、零知識(shí)證

23、明的算法、橢圓曲線、EIGamal算法等。最有影響的公鑰密碼算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。</p><p><b>　?。ㄈ┱J(rèn)證技術(shù)</b></p><p>　　認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴要求的實(shí)現(xiàn)。認(rèn)證過(guò)程通常涉及到加密和密鑰交換。常見的

24、認(rèn)證技術(shù)User Name/Password認(rèn)證，使用摘要算法的認(rèn)證，基于PKI的認(rèn)證，數(shù)字簽名認(rèn)證</p><p><b>　?。ㄋ模┤肭謾z測(cè)</b></p><p>　　入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種新型網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)技術(shù)擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全結(jié)構(gòu)的完整性?？偟膩?lái)講，入侵檢測(cè)系

25、統(tǒng)的功能有：監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作；檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞；對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正性；能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為做出反應(yīng)；操作系統(tǒng)的審計(jì)管理。 </p><p><b>　?。ㄎ澹┎闅⒉《?lt;/b></p><p>　　計(jì)算機(jī)病毒的傳染性是計(jì)

26、算機(jī)病毒最基本的特性，病毒的傳染性是病毒賴以生存繁殖的條件， 計(jì)算機(jī)病毒的傳播主要通過(guò)文件拷貝、文件傳送、文件執(zhí)行等方式進(jìn)行，文件拷貝與文件傳送需要傳輸媒介，文件執(zhí)行則是病毒感染的必然途徑（Word、Excel等宏病毒通過(guò)Word、Excel調(diào)用間接地執(zhí)行），因此，病毒傳播與文件傳播媒體的變化有著直接關(guān)系。計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)工作站的傳播途徑主要有:</p><p>　　1.利用軟盤讀寫進(jìn)行傳播 </p>

27、;<p>　　這是最古老、最有效的病毒攻擊手段。通過(guò)受感染的軟盤啟動(dòng)系統(tǒng)，引導(dǎo)型病毒進(jìn)入系統(tǒng)引導(dǎo)區(qū)或系統(tǒng)分區(qū)表；通過(guò)拷貝和運(yùn)行受感染程序，文件型病毒進(jìn)行傳染。</p><p>　　2.通過(guò)CDROM讀寫進(jìn)行傳播 </p><p>　　CDROM驅(qū)動(dòng)器已成為計(jì)算機(jī)硬件系統(tǒng)的基本配置之一。低劣的CDROM盤片是計(jì)算機(jī)病毒最好的寄生地和傳染源。 </p><p

28、>　　3．通過(guò)網(wǎng)絡(luò)共享進(jìn)行攻擊。</p><p>　　企業(yè)局域網(wǎng)絡(luò)的應(yīng)用日益普及，高效的企業(yè)信息管理系統(tǒng)和辦公自動(dòng)化系統(tǒng)離不開局域網(wǎng)絡(luò)的支持。網(wǎng)絡(luò)的基本功能之一是資源共享，而受病毒感染的文件共享所造成的惡果，是傳統(tǒng)病毒傳染途徑所力不能及的。 </p><p>　　4．通過(guò)電子郵件系統(tǒng)進(jìn)行攻擊</p><p>　　電子郵件系統(tǒng)已成為人們交換信息最方便、快捷的工具

29、之一，通過(guò)受感染的電子郵件附加文件傳播病毒，也已成為計(jì)算機(jī)病毒打破地域、時(shí)域限制進(jìn)行傳播的主要手段。宏病毒長(zhǎng)期命列病毒流行榜首位的事實(shí)正是最有力的說(shuō)明。</p><p>　　5．通過(guò)FTP下載進(jìn)行攻擊</p><p>　　FTP服務(wù)器提供通過(guò)INTERNET獲取文件資料的功能。計(jì)算機(jī)病毒程序同樣可以下載到本地硬盤中，同時(shí)，為節(jié)省網(wǎng)絡(luò)帶寬，F(xiàn)TP服務(wù)器上的文件通常采用壓縮打包的形式，經(jīng)過(guò)壓縮

30、后的病毒文件也就更具隱蔽性。 </p><p>　　6．通過(guò)WWW瀏覽進(jìn)行攻擊</p><p>　　計(jì)算機(jī)病毒開始采用JAVA、ACTIVEX技術(shù)，當(dāng)用戶訪問(wèn)某些未知站點(diǎn)時(shí)，就有遭受惡意JAVA、ACTIVEX程序攻擊的威脅。而這種威脅有時(shí)很難防范。</p><p>　　7．通過(guò)系統(tǒng)漏洞進(jìn)行攻擊</p><p>　　最新病毒跡象表明，病毒開始

31、利用許多黑客技術(shù)，利用一些操作系統(tǒng)的漏洞，直接通過(guò)TCP/IP在網(wǎng)上自行傳播，速度極快。</p><p><b>　?。ㄎ澹?shù)據(jù)保護(hù)</b></p><p>　　一般來(lái)講，數(shù)據(jù)保護(hù)主要有據(jù)備份技術(shù)，服務(wù)器容錯(cuò)技術(shù)，容災(zāi)技術(shù)三種。網(wǎng)絡(luò)的備份系統(tǒng)，系統(tǒng)管理員可對(duì)全網(wǎng)的備份策略進(jìn)行統(tǒng)一管理，備份服務(wù)器可以監(jiān)控所有機(jī)器的備份作業(yè)，也可以修改備份策略，并可即時(shí)瀏覽所有目錄。所有

32、數(shù)據(jù)可以備份到同備份服務(wù)器或應(yīng)用服務(wù)器相連的任意一臺(tái)磁帶庫(kù)內(nèi)。服務(wù)器容錯(cuò)技術(shù)可以通過(guò)雙機(jī)熱備和服務(wù)器集群實(shí)現(xiàn)。雙機(jī)熱備通過(guò)系統(tǒng)冗余的方法解決計(jì)算機(jī)應(yīng)用系統(tǒng)的可靠性問(wèn)題，并具有安裝維護(hù)簡(jiǎn)單、穩(wěn)定可靠、監(jiān)測(cè)直觀等優(yōu)點(diǎn)；一個(gè)服務(wù)器群是通過(guò)將多臺(tái)服務(wù)器互聯(lián)在一起而形成的。它以松散的成對(duì)配置共享資源。具有一定的自我修正能力，保證系統(tǒng)24x7的不間斷運(yùn)行，把非計(jì)劃停機(jī)時(shí)間降到最低。異地容災(zāi)解決方案以存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)為基礎(chǔ)，通過(guò)光纖通道SAN或

33、借助于廣域網(wǎng)擴(kuò)展的SAN到遠(yuǎn)程的復(fù)制，支持同步和異步的容災(zāi)鏡像，支持全面的磁盤同步，當(dāng)出現(xiàn)很大的災(zāi)難時(shí)，確保這些數(shù)據(jù)在另外一個(gè)地點(diǎn)的在線拷貝是可用的，以支持盡快恢復(fù)在另一臺(tái)機(jī)器上的關(guān)鍵處理。</p><p>　　三、保護(hù)內(nèi)部網(wǎng)絡(luò)的安全策略</p><p><b>　?。ㄒ唬┪锢戆踩呗?lt;/b></p><p>　　網(wǎng)絡(luò)安全專家表示，雖然網(wǎng)絡(luò)遭到

34、黑客愈來(lái)愈頻繁的入侵，但有許多企業(yè)并未以足夠認(rèn)真的態(tài)度對(duì)待網(wǎng)絡(luò)安全問(wèn)題。國(guó)際數(shù)據(jù)公司(ＩＤＣ)的亞太地區(qū)副總裁表示，大部分機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全問(wèn)題的重要性都有某種程度的了解，但也許必須等到真正發(fā)生重大事件，才能看出其中的重要性與緊迫性。IDC去年對(duì)亞太地區(qū)819家企業(yè)及政府機(jī)構(gòu)進(jìn)行調(diào)查發(fā)現(xiàn)，其中只有四分之一建立了完善的安全保障體系。</p><p>　　物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和

35、通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。</p><p>　　目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：一是采用各

36、種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。</p><p><b>　?。ǘ┰L問(wèn)安全策略</b></p><p>　　據(jù)2003年有關(guān)資料顯示，95%的與互聯(lián)網(wǎng)相

37、聯(lián)的網(wǎng)絡(luò)管理中心都遭到過(guò)境內(nèi)外黑客的攻擊或侵入，受害涉及的覆蓋面很大、程度越來(lái)越深。據(jù)國(guó)際互聯(lián)網(wǎng)保安公司Symantec2002年的報(bào)告指出，中國(guó)甚至已經(jīng)成為全球黑客的第三大來(lái)源地，竟然有6.9%的攻擊互聯(lián)網(wǎng)活動(dòng)都是由中國(guó)發(fā)出的。另一方面，從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測(cè)結(jié)果來(lái)看，近幾年計(jì)算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢(shì)。在2001年，我國(guó)有73%的計(jì)算機(jī)曾感染病毒，到了2002年上升到83.98%，2003年又增加到85.57%。據(jù)統(tǒng)

38、計(jì)，近年來(lái)計(jì)算機(jī)病毒給全球造成損失的情況為1999年是36億美元，2000年是42億美元；2001年暴漲到129億美元；2002年超過(guò)200億美元；2003年又超過(guò)280億美元。而在2007年僅在中國(guó)“熊貓燒香”爆發(fā)直接和間接損失達(dá)上億元。</p><p>　　訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須

39、相互配合才能真正起到保護(hù)作用，但訪問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問(wèn)控制策略。</p><p><b>　　1．入網(wǎng)訪問(wèn)控制</b></p><p>　　入網(wǎng)訪問(wèn)控制控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。它可分為用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查三個(gè)

40、步驟。</p><p>　　對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問(wèn)的第一道防線。用戶注冊(cè)時(shí)首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長(zhǎng)度應(yīng)不少于6個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過(guò)加密，加密的方法很多，其中最

41、常見的方法有基于公鑰加密方案的口令加密，基于數(shù)字簽名方案的口令加密等。</p><p>　　網(wǎng)絡(luò)管理員可以控制和限制普通用戶的帳號(hào)使用、訪問(wèn)網(wǎng)絡(luò)的時(shí)間、方式。系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制：最小口令長(zhǎng)度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過(guò)期失效后允許入網(wǎng)的寬限次數(shù)。</p><p><b>　　2．網(wǎng)絡(luò)的權(quán)限控制</b></p>

42、<p>　　網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。我們可以根據(jù)訪問(wèn)權(quán)限將用戶分為用戶系統(tǒng)管理員，審計(jì)用戶和一般用戶。系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計(jì)用戶負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。</p><p><b

43、>　　3．目錄級(jí)安全控制</b></p><p>　　網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、文件查找權(quán)限

44、（File Scan）、存取控制權(quán)限（Access Control）。八種訪問(wèn)權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問(wèn)，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。</p><p><b>　　4．屬性安全控制</b></p><p>　　屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和

45、文件，防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、顯示等。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)能力。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。</p><p>　　5．網(wǎng)絡(luò)服務(wù)器安全控制</p><p>　　網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以

46、裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。</p><p>　　6．網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制</p><p>　　網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警，以引起網(wǎng)

47、絡(luò)管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖定。</p><p>　　7．網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制</p><p>　　網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算

48、機(jī)進(jìn)行攻擊。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制，用戶必須攜帶證實(shí)身份的驗(yàn)證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對(duì)用戶的身份進(jìn)行驗(yàn)證之后，才允許用戶進(jìn)入用戶端。然后，用戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證。</p><p><b>　　8．防火墻控制</b></p><p>　　防火墻是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。

49、在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有包過(guò)濾防火墻，代理防火墻，雙穴主機(jī)防火墻三種類型。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 林斌.論不確定性會(huì)計(jì)[M].北京：中國(guó)財(cái)政經(jīng)濟(jì)出版社，2000年版。</p><p>　　[2] 趙揚(yáng).會(huì)計(jì)職業(yè)

50、判斷管見[J].財(cái)會(huì)通訊，2004.（2）.</p><p>　　[3] 劉蔭銘.計(jì)算機(jī)安全技術(shù)[M]. 北京： 清華大學(xué)出版社,2000年版 </p><p>　　[4 ] 赫頓.網(wǎng)絡(luò)防御與安全對(duì)策[M]. 北京：清華大學(xué)出版社, 2004年版</p><p>　　[5] 陳彥學(xué).信息安全理論與實(shí)務(wù)[M]. 北京：中國(guó)鐵道出版社,2001年版</p>

51、<p>　　[6] 卿斯?jié)h，蔣建春.網(wǎng)絡(luò)攻防技術(shù)原理與實(shí)戰(zhàn)[M]. 北京：科學(xué)出版社,2004年版</p><p>　　[7] [美]惠特曼.[美]馬托德.信息安全原理[M]. 北京：清華大學(xué)出版社,2004年版</p><p>　　[8 ] 北京艾克斯特公司.內(nèi)網(wǎng)信息安全終端解決</p><p>　　案.http://www.enet.com.cn/

52、article/2006/0118/A20060118494928.shtml, 2006-01-18</p><p>　　[9] 賽迪網(wǎng).系統(tǒng)安全知識(shí):教你用十大策略保證內(nèi)網(wǎng)計(jì)算機(jī)安 </p><p>　　全.http://it.rising.com.cn/Channels/Safety/Safe_Foundation/2006-08-28/1156732354d37379.shtml,

53、 2006-08-28</p><p>　　[10] 云舒.安全登錄的跨平臺(tái)解決方案V1.1</p><p>　　.http://www.xfocus.net/articles/200711/961.html, 2007-11-26</p><p>　　[11] Bernard V. The Felthem-ohlson framework: Implication

54、 for empiricists[J]. Contemporary Accounting Research，1995，Spring.</p><p><b>　　致 謝</b></p><p>　　感謝老師在論文的撰寫中給與的技術(shù)與相關(guān)資料上的幫助，在疑難問(wèn)題上的講解給我很大的啟發(fā)與幫助，老師的嚴(yán)謹(jǐn)作風(fēng)在論文的撰寫中深深的影響了我，有了老師的幫助論文才得以很好的完成