《計算機網(wǎng)絡技術畢業(yè)設計.doc》由會員分享，可在線閱讀，更多相關《計算機網(wǎng)絡技術畢業(yè)設計.doc（14頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、北京北大方正軟件技術學院畢業(yè)設計（論文）題 目： 網(wǎng)絡信息安全與防范 系 別： 計算機網(wǎng)絡技術 專 業(yè)： 計算機網(wǎng)絡技術 學 號： 090310147 姓 名： 蔡家駒 指導老師： 張永斌 完成日期：2012年 5月 1日北京北大方正軟件技術學院畢業(yè)設計（論文）成績評定表（理科）年級 09 專業(yè) 計算機網(wǎng)絡技術 姓名 蔡家駒 學號 090310147 論文題目： 網(wǎng)絡信息安全與防范 指導教師： 張永斌 項目評分標準優(yōu)秀良好合格不合格選 題優(yōu) 秀：選題有重要理論意義和實際價值；良 好：選題有較強理論意義和實際價值；合 格：選題有一定理論意義和實際價值；不合格：選題欠妥?；A知識優(yōu) 秀：有堅實的理

2、論基礎和系統(tǒng)深入的專業(yè)知識；良 好：有較堅實的理論基礎和系統(tǒng)深入的專業(yè)知識；合 格：有一定的理論基礎和專業(yè)知識；不合格：基礎理論不夠全面，專業(yè)知識不系統(tǒng)。實踐能力優(yōu) 秀：體現(xiàn)出較強的實踐工作能力；良 好：體現(xiàn)出較好的實踐工作能力；合 格：體現(xiàn)出一定的實踐工作能力；不合格：體現(xiàn)出工作能力較差。寫作能力優(yōu) 秀：條理清楚，層次分明，文筆流暢，學風嚴謹；良 好：條理性好，層次分明，文字通順，工作認真；合 格：條理較好，層次較分明，文字較通順；不合格：條理不清，寫作較差。論文綜合評價優(yōu)秀 良好 合格 不合格指導教師評定意見 簽 字： 年 月 日畢業(yè)設計領導小組簽字簽 字： 年 月 日摘 要隨著Inter

3、net技術不斷的進步，網(wǎng)絡已經(jīng)深入社會的各個領域、各個方面。人們在享受極大的便利的同時，也逐漸對開放互聯(lián)的網(wǎng)絡系統(tǒng)產(chǎn)生依賴。然而，信息資源共享與信息安全天生是一對矛盾，所以更為有必要加強自己的安全意識。試論計算機網(wǎng)絡安全問題是本著實現(xiàn)系統(tǒng)安全為目的，按照實踐中的程序和方法，對網(wǎng)絡中的“危險”要素進行了定量分析、并給出相應的解決方案。安全需求正經(jīng)歷著從信息安全到信息保障的轉(zhuǎn)變。傳統(tǒng)的被動防護已不能適應當前的安全形勢，主動性網(wǎng)絡安全理論應運而生.關 鍵 詞密碼學，入侵，漏洞 ，安全 ，木馬 一、網(wǎng)絡與信息安全技術的目標 1.網(wǎng)絡信息安全的概念 由于互聯(lián)的開放性、連通性和自由性，用戶在享受各類共有信

4、息資源的同時也存在著自己的機密信息可能被侵犯或者被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不受外來非法操作者的控制。需要保護的內(nèi)容有：信息與數(shù)據(jù)，信息與數(shù)據(jù)的處理服務，通信設備和通信設施。具體要達到以下目標： (1)保密性：不能向非授權用戶或過程泄露信息和數(shù)據(jù)。 (2)完整性：信息和數(shù)據(jù)不能被非授權用戶或過程利用、修改和刪除。 (3)可用性：當授權用戶或過程使用時，保證信息和數(shù)據(jù)可以合法地被使用。 (4)可控性：信息和數(shù)據(jù)被合法使用時，保證可以控制授權用戶或過程的使用方法和權限。 2.網(wǎng)絡系統(tǒng)安全當信息在網(wǎng)絡上傳輸和共享時，還要做到網(wǎng)絡系統(tǒng)的安全。要保證系統(tǒng)的安全正常

5、運行，避免因為網(wǎng)絡系統(tǒng)的崩潰和損壞而造成信息和數(shù)據(jù)的丟失；要保證信息和數(shù)據(jù)在網(wǎng)絡上的安全傳輸，避免非法用戶的竊聽和入侵，避免傳輸中的電磁泄漏而造成的信息外泄；要保證網(wǎng)絡上所傳輸?shù)男畔?nèi)容的安全，實施信息過濾技術，避免有害信息在網(wǎng)絡上的傳輸。二、網(wǎng)絡信息安全問題的成因及其表現(xiàn) 信息網(wǎng)絡安全的威脅可能來自：系統(tǒng)自身、內(nèi)部人員泄密、網(wǎng)絡黑客、計算機病毒等。這些因素都可以造成非常嚴重的安全問題，如商業(yè)、軍事等重要信息的失竊；有用數(shù)據(jù)被惡意破壞，網(wǎng)上犯罪的頻頻發(fā)生；病毒的傳播，甚至機器軟、硬件的損壞等等。1.其原因可能造成 (1)網(wǎng)絡協(xié)議存在漏洞。通信協(xié)議和通信軟件系統(tǒng)不完善，給各種不安全因素的入侵留下

6、了隱患。 (2)網(wǎng)絡的開放性和廣域性設計使得數(shù)據(jù)的保密難度增大。這其中還包括由網(wǎng)絡自身的布線以及通信質(zhì)量而引起的安全問題。 (3)無線系統(tǒng)中的電磁泄露。無線通信系統(tǒng)中的數(shù)據(jù)以電磁波的形式在空中進行傳播，存在電磁波泄露，且易被截獲。 (4)計算機病毒的存在。大量涌現(xiàn)的病毒在網(wǎng)上極快地傳播，對全球范圍的網(wǎng)絡安全帶來了巨大災難。 (5)網(wǎng)絡黑客。侵入網(wǎng)絡的黑客惡意竊取、篡改和損壞數(shù)據(jù)，對網(wǎng)絡構成極大威脅。 (6)網(wǎng)絡內(nèi)部人員泄密。其中有安全意識缺乏無意識的泄密人員，也有利用自己的合法身份進入網(wǎng)絡，進行有目的破壞的人員。(7)網(wǎng)上犯罪人員對網(wǎng)絡的非法使用及破壞。 (8)信息安全防范技術和管理制度的不健

7、全。 (9)自然災害以及意外事故的損害等。 2.對因特網(wǎng)安全構成威脅的常見破壞方法表現(xiàn)為以下幾個方面(1)利用TCPIP直接破壞。利用TCP連接時提供的服務器序列號來非法入侵；捕獲網(wǎng)絡傳輸時的IP數(shù)據(jù)包，進行惡意篡改后重新發(fā)送，達到破壞的目的。 (2)利用操作系統(tǒng)間接登陸入侵。利用主機上操作系統(tǒng)的漏洞，取得非法管理的特權，從而登陸到遠程計算機上進行數(shù)據(jù)破壞。如利用Unix中開放的Telent服務器進行非法遠程登陸。 (3)對用戶計算機中的系統(tǒng)內(nèi)置文件進行有目的的更改，通過黑客軟件非法獲取用戶的有用數(shù)據(jù)。如臭名昭著的“特洛伊木馬”程序。 (4)利用路徑可選實施欺騙。網(wǎng)絡中的源計算機發(fā)送信息時，利

8、用IP源路徑的選項，通過特定的路徑，強制把非法數(shù)據(jù)傳送到遠程計算機，進行惡意破壞。 (5)使用竊聽裝置或監(jiān)視工具對所傳播的信息進行非法檢測和監(jiān)聽。三、網(wǎng)絡信息安全的防范技術 隨著網(wǎng)絡規(guī)模越來越大，越來越開放，其安全性將隨之變得難以控制。目前普通采用的防范技術有：利用操作系統(tǒng)、數(shù)據(jù)庫、電子郵件、應用系統(tǒng)本身的安全性，對用戶進行權限控制；在局域網(wǎng)的桌面工作站上部署防毒軟件；在Internet系統(tǒng)與Internet連接處部署防火墻；在廣域網(wǎng)上采用加密傳輸某些行業(yè)的關鍵業(yè)務，而其它業(yè)務采用明文傳輸?shù)取?.火墻控制 作為Internet環(huán)境下的一種特有網(wǎng)絡技術，防火墻是指在兩個網(wǎng)絡之間訪問控制的一整套裝

9、置，也可以說，防火墻是在內(nèi)部和外網(wǎng)之間構造一個保護層，強制所有的訪問或連接都必須經(jīng)過這一保護層，并在此進行檢查和連接。防火墻按其工作方式可分為包過濾防火墻和應用代理防火墻。 包過濾防火墻的優(yōu)點是易于實現(xiàn)，配置容易，對用戶透明，缺點是審計日志記錄能力差，規(guī)則表大而雜，容易出現(xiàn)差錯且不便測試，適用于小型不太復雜的站點過濾，一般不單獨用于防火墻系統(tǒng)。 應用代理防火墻，它作用在應用層，其特點是完全隔斷了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)制和控制應用層通信流的作用。傳統(tǒng)應用代理防火墻的基本策略是：(1)不許外部主機主動連接到內(nèi)部安全網(wǎng)絡；(2)允許內(nèi)部主機使用代理服務器訪問Inte

10、rnet主機。由于將內(nèi)部子網(wǎng)與Internet物理隔離，在網(wǎng)絡層不轉(zhuǎn)發(fā)數(shù)據(jù)包，內(nèi)外網(wǎng)的主機不能直接通信，因此防火墻存在的漏洞的可能性最小，被認為是目前最安全的防火墻。然而，它缺乏靈活性，不利于網(wǎng)絡新業(yè)務的開展。2.絡的權限控制 網(wǎng)絡的權限控制是指對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。根據(jù)訪問權限將用戶分為以下幾類： (1)特殊用戶(即系統(tǒng)管理員)；(2)一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限；(3)審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對資源的訪問權限可以用一個訪問控

11、制表來描述。3.錄安全控制 用戶對文件或目錄的有效權限取決于以下兩個因素：用戶的受托者指派，用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。訪問權限能有效的控制用戶對服務器資源的訪問，從而加強了網(wǎng)絡和服務器的安全性。4.性安全控制 使用文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員給文件、目錄等指定訪問屬性。屬性安全控制將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供進一步的安全性。網(wǎng)絡上的資源預先標出一組安全性。用戶對網(wǎng)絡資源的訪問對應一張訪問控制表，用以表明用戶

12、對網(wǎng)絡資源的訪問能力。屬性設置可以覆蓋已經(jīng)指定的任何受托指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄和文件、查看目錄和文件等。網(wǎng)絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。5.絡服務器安全控制 網(wǎng)絡可以在控制臺上執(zhí)行一系列操作。用戶用控制臺可以裝載模塊與軟件。網(wǎng)絡服務器的安全控制包括設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；設置服務器登陸時間、非法訪問者檢測和關閉的時間間隔。6.據(jù)加密控制 數(shù)據(jù)加密是指將明文信息采取數(shù)學方法進行函數(shù)轉(zhuǎn)換成為密文，只有特定接收方才能將其解密還原成為明文

13、的過程，它是以密鑰為基礎的。常用的方法有：一種是對稱加密，即用戶使用同一個密鑰加密和解密；典型的加密算法有數(shù)據(jù)加密標準美國的DES以及各種變形、歐洲的IDEA、RC4、RC5以及代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。對稱密碼的優(yōu)點是有很強的保密性，且能接受時間的考驗和非法攻擊，但其密鑰必須通過安全的途徑傳送。因此，密鑰管理成為系統(tǒng)安全的重要因素。另一種是不對稱加密，即用戶使用兩個不同的密鑰分別進行加密和解密。公開密鑰密碼算法是RAS。它能抵抗到目前為止已知的所有密碼攻擊。公鑰密碼的優(yōu)點是可以適應網(wǎng)絡的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復雜。加密數(shù)據(jù)的

14、速率低。7.網(wǎng)訪問控制 入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。他控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制允許用戶入網(wǎng)的時間以及在哪臺工作站上入網(wǎng)。 用戶的入網(wǎng)訪問控制分為三個步驟：用戶名識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中任意一關未過該用戶便不能進入該網(wǎng)絡。 8.字簽名控制 數(shù)字簽名是用來證實被認證對象是否名副其實，事件是否有效的一種過程。并核實對象是否變化，以確保數(shù)據(jù)的真實性和完整性。防止入侵者主動式攻擊，如假冒、非法偽造、篡改信息。接收者能夠核實發(fā)送者，以防假冒；發(fā)送者無法抵賴自己所發(fā)的信息；除合法發(fā)信者外，其他人無法偽造信息；發(fā)生爭執(zhí)時，可由

15、第三方做出仲裁。目前，大多數(shù)電子交易采用這種安全技術。9.絡反病毒 由于在網(wǎng)絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，因此計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。網(wǎng)絡反病毒技術包括防病毒、檢測病毒和消毒三種技術：(1) 預防病毒技術：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術有加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制。(2)檢測病毒控制：它是通過計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。(3) 消毒技術：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并

16、恢復原文件的軟件。 網(wǎng)絡反病毒技術的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁的掃描和監(jiān)測；在工作站中用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等。10.進的認征技術 先進的認證措施，如智能卡、認證令牌、生物統(tǒng)計學和基于軟件的工具已被用來克服傳統(tǒng)口令的弱點。盡管認證技術各不相同，但它們產(chǎn)生的認證信息不能讓通過非法監(jiān)視連接的攻擊者重新使用。在目前黑客智能程度越來越高的情況下，訪問Internet的防火墻，如果不使用先進認證裝置或者不包含使用先進驗證裝置的掛接工具的話，這樣的防火墻幾乎是沒有意義的。當今使用的一些比較流行的先進認證令牌產(chǎn)生一個主系統(tǒng)可以用來取代傳統(tǒng)口令的響應信號，由于智能卡或認證

17、令牌是與系統(tǒng)上的軟件或硬件協(xié)同工作的，因此，所產(chǎn)生的響應對每次注冊都是獨一無二的。其結果是產(chǎn)生一種一次性口令。這種口令即使被入侵者獲得，也不可能被入侵者重新使用來獲得某一帳戶，非常有效的保護了Internet網(wǎng)絡。由于防火墻可以集中并控制網(wǎng)絡的訪問，因而防火墻是安全先進認證系統(tǒng)的合理場所。四、網(wǎng)絡安全的含義網(wǎng)絡安全從其本質(zhì)來講就是網(wǎng)絡上信息安全，它涉及的領域相當廣泛，這是因為目 前的公用通信網(wǎng)絡中存在著各式各樣的安全漏洞和威脅。廣義上講，凡是涉及到網(wǎng)絡上 信息的保密性、完整性、可用性和可控性的相關技術和理論，都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件，軟件及數(shù)據(jù)受到保護，不遭受偶然或惡

18、意的破壞、 更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。且在不同環(huán)境和應用中又 不同的解釋。 1運行系統(tǒng)安全即保證信息處理和傳輸系統(tǒng)的安全，包括計算機系統(tǒng)機房環(huán)境 和傳輸環(huán)境的法律保護、計算機結構設計的安全性考慮、硬件系統(tǒng)的安全運行、計算機 操作系統(tǒng)和應用軟件的安全、數(shù)據(jù)庫系統(tǒng)的安全、電磁信息泄露的防御等。 2網(wǎng)絡上系統(tǒng)信息的安全包括用戶口令鑒別、用戶存取權限控制、數(shù)據(jù)存取權 限、方式控制、安全審計、安全問題跟蹤、計算機病毒防治、數(shù)據(jù)加密等。 3網(wǎng)絡上信息傳輸?shù)陌踩葱畔鞑ズ蠊陌踩?、包括信息過濾、不良信息過 濾等。 4網(wǎng)絡上信息內(nèi)容的安全即我們討論的狹義的“信息安全”；側重于保護信

19、息 的機密性、真實性和完整性。本質(zhì)上是保護用戶的利益和隱私。五、網(wǎng)絡安全技術機制1網(wǎng)絡安全技術機制包含以下內(nèi)容 （1）加密和隱藏。加密使信息改變，攻擊者無法了解信息的內(nèi)容從而達到保護；隱 藏則是將有用信息隱藏在其他信息中，使攻擊者無法發(fā)現(xiàn)。 （2）認證和授權。網(wǎng)絡設備之間應互認證對方的身份，以保證正確的操作權力賦予 和數(shù)據(jù)的存取控制；同時網(wǎng)絡也必須認證用戶的身份，以授權保證合法的用戶實施正確 的操作。 （3）審計和定位。通過對一些重要的事件進行記錄，從而在系統(tǒng)中發(fā)現(xiàn)錯誤或受到 攻擊時能定位錯誤并找到防范失效的原因，作為內(nèi)部犯罪和事故后調(diào)查取證的基礎。 （4）完整性保證。利用密碼技術的完整性保護

20、可以很好地對付非法篡改，當信息源 的完整性可以被驗證卻無法模仿時，可提供不可抵賴服務。 （5）權限和存取控制：針對網(wǎng)絡系統(tǒng)需要定義的各種不同用戶，根據(jù)正確的認證， 賦予其適當?shù)牟僮鳈嗔?，限制其越級操作?（6）任務填充：在任務間歇期發(fā)送無用的具有良好模擬性能的隨機數(shù)據(jù)，以增加攻 擊者通過分析通信流量和破譯密碼獲得信息難度。六、安全策略的實現(xiàn)流程1安全策略的實現(xiàn)涉及到以下及個主要方面（1）證書管理。主要是指公開密銀證書的產(chǎn)生、分配更新和驗證。 （2）密銀管理。包括密銀的產(chǎn)生、協(xié)商、交換和更新，目的是為了在通信的終端系統(tǒng)之間建立實現(xiàn)安全策略所需的共享密銀。 （3）安全協(xié)作。是在不同的終端系統(tǒng)之間協(xié)

21、商建立共同采用的安全策略，包括安全 策略實施所在層次、具體采用的認證、加密算法和步驟、如何處理差錯。 （4）安全算法實現(xiàn)：具體算法的實現(xiàn)，如PES、RSA. （5）安全策略數(shù)據(jù)庫：保存與具體建立的安全策略有關的狀態(tài)、變量、指針七、當前網(wǎng)絡安全技術的發(fā)展趨勢主要表現(xiàn)為： 1由靜態(tài)安全向動態(tài)安全轉(zhuǎn)變 由于環(huán)境條件的不斷變化，網(wǎng)絡攻擊技術也不斷提高，也在時常更新。因此，網(wǎng)絡安全系統(tǒng)應具備快速反應能力和快速處理能力。2由組件安全向整體安全轉(zhuǎn)變 信息網(wǎng)絡安全是由多個安全組件來保證的，單個安全組件只能完成信息網(wǎng)絡安全的部分功能。信息網(wǎng)絡的整體安全性并非由這些安全組件的簡單堆砌而形成，必須將各種功能融為一體

22、，才能確保網(wǎng)絡安全。 3注重安全速檢環(huán)境建設 目前對安全產(chǎn)品的性能缺乏統(tǒng)一的標準，大多數(shù)測試方法均存在測試網(wǎng)絡結構簡單、操作復雜、無法重現(xiàn)、因素過少等缺點。因此，需要加強測試環(huán)境的建設，建立一整套性能測試方案謝 辭特別感謝我的班主任張永斌老師、論文指導老師張永斌對我的關心和幫助。在課題的選擇、資料的查找、方案的論證乃至最后的論文修改等方面都給予我極大的幫助和支持。同時，授課老師葉剛嚴禁認真的治學態(tài)度、勤勤懇懇的工作作風也給我了極大的教誨，使我在各方面受益匪淺。特別感謝北京北大方正軟件技術學院的老師在學習期間給予的知識傳授。還要感謝三年來與我共處的同學們。感謝我的家人為我創(chuàng)造了良好的學習環(huán)境。感

23、謝所有支持和幫助過我的人。參考文獻1 信息與因特網(wǎng)安全防范技術.寬帶網(wǎng)絡與傳輸, 2003；2 劉宏毅.分析與探討網(wǎng)絡防范技術.現(xiàn)代情報,2004；3 劉衍行計算機安全技術M長春：吉林科學技術出版杜，19974 徐濟仁談計算機網(wǎng)絡的安全J.廣播電視與教育，2002.15 賈晶信息系統(tǒng)的安全與保密M北京：清華大學出版杜，19996 網(wǎng)絡信息資源的安全威脅與對策情報學報 ,2001 7 謝永強國內(nèi)信息網(wǎng)絡安全技術發(fā)展現(xiàn)狀與趨勢軍隊指揮自動化，2001;8 沈昌樣信息安全工程技術J計算機工程與科學，2002；249 楊波編著網(wǎng)絡安全理論與應用M電子工業(yè)出版社，2002-01注 釋1 安全套接字層（SSL）：由Netcape Communications公司開發(fā)的，用來向英特網(wǎng)會話提供具有安全性保密性的握手協(xié)議。SSL支持服務器和客戶機認證，能夠協(xié)商加密密鑰，并在交換任何數(shù)據(jù)之前認證服務器。SSL使用加密、認證和消息認證碼來維護傳輸新道德完整性。雖然SSL最適用于HTTP，但是它也可以用于文件傳輸協(xié)議（FTP）或者其他相關協(xié)議。2加密：密文=加密算法（明文），解密：明文=解密算法（密文）。14