毕业设计(论文)计算机网络安全管理

毕业设计(论文)计算机网络安全管理内容摘要：

的事情。 出与对安全的考虑，下面每组内的两项信息处理工作应当分开：计算机操作与计算机编程；机密 资料的接收与传送；安全管理和系统管理；应用程序和系统程序的编制；访问证件的管理与其他工作；计算机操作与信息处理系统使用媒介的保管等。 安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。 具体工作是： ① 根据工作的重要程度，确定该系统的安全等级。 ② 根据确定的安全等级，确定安全管理范围。 ③ 制订相应的机房出入管理制度，对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。 出入管理可采用证件识别或安装 自动识别系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。 采用先进的技术和产品 要保证计算机网络系统的安全性，还要采用一些先进的技术和产品。 目前主要采用的相关技术和产品有以下几种。 防火墙技术 为保证网络安全，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。 它是一个或一组系统，该系统可以设定哪些内部服务可已被外界访 8 问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。 它可监测、限制、更改跨越 防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。 其主要有：应用层网关、数据包过滤、代理服务器等几大类型。 数据加密技术 与防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。 随着信息技术的发展，网络安全与信息保密日益引起人们的关注。 目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。 按作用不同 , 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。 认证技术 认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的安全有重要作用。 认证是指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接收者的身份。 认证的主要目的有两个：第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别；第二，验证信息的完整性，保证信息在传送过程中未被窜改或延迟等。 目前使用的认证技术主要有：消息认证、身份认证、数字签名。 计算机病毒的防范 首先要 加强工作人员防病毒的意识，其次是安装好的杀毒软件。 合格的防病毒软件应该具备以下条件： ① 、较强的查毒、杀毒能力。 在当前全球计算机网络上流行的计算机病毒有４万多种，在各种操作系统中包括 Windows、 UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查毒、杀毒范围广、能力强的特点。 ② 、完善的升级服务。 与其它软件相比，防病毒软件更需要不断地更新升级，以查杀层出不穷的计算机病毒。 9 常见的网络攻击及防范对策 特洛伊木马 特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。 因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。 特洛伊木马程序包括两个部分，即实现攻击者目的的指令和在网络中传播的指令。 特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。 此类攻击对计算机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可 以获得对被攻击的计算机的控制权。 防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。 避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听 TCP 服务。 邮件炸弹 邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，防碍计算 机的正常工作。 此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。 防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的 SMTP 连接只能达成指定的服务器，从而免受外界邮件的侵袭。 过载攻击 过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。 过载攻击中被攻击者用得最多的一种方法是进程攻击， 10 它是通过大量地进行人为地增大 CPU的工作量，耗费 CPU的工作时间，使其它的用户一直处于等待状态。 防止过载攻击的方法有：限制单个用户所拥有的最大进程数；杀死一些耗时的进程。 然而，不幸的是这两种方法都存在一定的负面效应。 通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。 通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列 表和网络地址列表来的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。 另外，还可以让系统自动检查是否过载或者重新启动系统。 淹没攻击 正常情况下， TCP 连接建立要经历 3次握手的过程，即客户机向主机发送 SYN请求信号；目标主机收到请求信号后向客户机发送 SYN/ACK消息；客户机收到 SYN/ACK消息后再向主机发送 RST 信号并断开连接。 TCP 的这三次握手过程为人们提供了攻击网络的机会。 攻击者可以使用一个不存在或当时没有被使用的主机的 IP 地址，向被攻击主机发出 SYN请求信号 ，当被攻击主机收到 SYN 请求信号后，它向这台不存在 IP 地址的伪装主机发出 SYN/消息。 由于此时主机的 IP 不存在或当时没有被使用所以无法向主机发送 RST，因此，造成被攻击的主机一直处于等待状态，直至超时。 如果攻击者不断地向被攻击的主机发送 SYN请求，被攻击主机就会一直处于等待状态，从而无法响应其他用户的请求。 对付淹没攻击的最好方法是实时监控系统处于 SYNRECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。 3. 网络拓扑结构的安全设计 网络拓扑结构分析 网络的拓扑 结构首先应因地制宜，根据组网单位的实际情况按照单位的各部门安全性要求划分，尽量使同一安全级别的上网计算机处于同一网段的安全控制域中。 局域网中的拓扑结构主要有总线型，星型，环形等，而目前大多数都采用载波侦听多路访问 /冲突检测（ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是发展到现在的 规范 , 11 利用这一方法建成的网络 ,我们称之为以太网 ,在以太网的通信方式中 ,每一个工作站都可以读取电缆上传输的所有数 据 ,将以太网卡 (支持 规范的网卡 )设置为混杂模式 ,网卡便会将电缆上传输的所有的数据读入缓冲区 ,以供系统和程序调用 .但是入侵者还是可能通过割开网线 ,非法接入等手段来侦听网络 ,截获数据 ,根据线路中的数据流量找到网络的信息中心 ,因此布线要杜绝经过不可靠的区域 ,以防止非法接入 ,在各网段的控制器上设置网段网络分段通常被认为是控制网络广播风暴的一种基本手段 ,实际上也是保证网络安全的一项重要措施 .其目的是将非法用户与敏感的网络资源相互隔离 ,从而防上可能的非法侦听 . 以交换式集线器代替共享式集线器 对局 域网的中心计算机进行分段后 ,以太网的侦听的危险仍然存在 .这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机 ,而使用最广泛的分支集线器通常是共享式集线器 .这样 ,当用户与主机进行数据通信时 ,两台机器之间的数据包 (称为单播包 Nicest Packet)还是会被同一台集线器上的其他用户所侦听 .因此应该以交换式集线器代替共享式集线器 ,使单播包公在两个节点之间传送 ,从而防止非法侦听。 VLAN(虚拟局域网 )的划分 为了克服以太网的广播问题 ,除上述方法外 ,还可以运用VLAN技术 ,将以太网通信变为点到点通信 ,以防止大部分基于网络侦听的入侵。 基于以上拓扑结构的连接方式 ,用电缆和集线器连接而成的网络始终是同一网段 ,在网上传播的数据可以被所有的连接设备接收 ,为了防止网络的入侵嗅探 ,可以把网络分段 ,隔离网络通。