1、- 11 -濟南廣播電視大學畢業論文學校名稱 濟南廣播電視大學 系別名稱 計算機信息管理專科 年級名稱 12春 專業名稱 計算機信息管理 課題名稱 計算機安全技術設計 學生姓名 魏靖靖 指導教師 閆珍妮 2014年3月20日 目 錄摘要 0第一章計算機網絡安全的定義 1第二章計算機網絡不安全因素 22.1計算機網絡的脆弱性 22.2操作系統存在的安全問題 22.3數據庫存儲的內容存在的安全問題 22.4防火墻的脆弱性 22.5其他方面的因素 2第三章計算機網絡安全的對策 33.1技術層面對策 33.2管理層面對策 33.3物理安全層面對策 3第四章局域網安全現狀 4第五章局域網安全威脅分析 5

2、5.1欺騙性的軟件使數據安全性降低 55.2服務器區域沒有進行獨立防護 55.3計算機病毒及惡意代碼的威脅 55.4局域網用戶安全意識不強 55.5IP 地址沖突 5第六章局域網安全控制與病毒防治策略 66.1加強人員的網絡安全培訓 66.2局域網安全控制策略 66.3病毒防治 6第七章結論 7參考文獻 計算機安全技術設計摘 要隨著計算機信息化建設的飛速發展，計算機已普遍應用到日常工作、生活的每一個領域，比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是，計算機網絡安全也受到全所未有的威脅，計算機病毒無處不在，黑客的猖獗，都防不勝防。 信息化的不斷擴展和各類網絡版應用軟件推廣應用，計算機網

3、絡在提高數據傳輸效率， 實現數據集中、數據共享等方面發揮著越來越重要的作用，網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行， 保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提， 因此計算機網絡和系統安全建設就顯得尤為重要。關鍵詞：計算機網絡安全 信息化 黑客 防火墻第一章 計算機網絡安全的定義計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境里，數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和羅輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。羅輯安全包括信息的完整性、保密性和可用

4、性。第二章 計算機網絡不安全因素2.1 計算機網絡的脆弱性（1）網絡的開放性，網絡的技術是全開放的，使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊，或是來自對網絡通信協議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。（2）網絡的國際性，意味著對網絡的攻擊不僅是來自于本地網絡的用戶，還可以是互聯網上其他國家的黑客，所以，網絡的安全面臨著國際化的挑戰。（3）網絡的自由性，大多數的網絡對用戶的使用沒有技術上的約束，用戶可以自由的上網，發布和獲取各類信息。2.2 操作系統存在的安全問題（1）操作系統結構體系的缺陷。操作系統本身有內存管理、CPU 管理、外設的管理，每個管理都涉及到一些模塊或

5、程序，如果在這些程序里面存在問題，比如內存管理的問題，外部網絡的一個連接過來，剛好連接一個有缺陷的模塊，可能出現的情況是，計算機系統會因此崩潰。所以，有些黑客往往是針對操作系統的不完善進行攻擊，使計算機系統，特別是服務器系統立刻癱瘓。（2）操作系統支持在網絡上傳送文件、加載或安裝程序，包括可執行文件，這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經常會帶一些可執行文件，這些可執行文件都是人為編寫的程序，如果某個地方出現漏洞，那么系統可能就會造成崩潰。像這些遠程調用、文件傳輸，如果生產廠家或個人在上面安裝間諜程序，那么用戶的整個傳輸過程、使用過程都會被

6、別人監視到，所有的這些傳輸文件、加載的程序、安裝的程序、執行文件，都可能給操作系統帶來安全的隱患。所以，建議盡量少使用一些來歷不明，或者無法證明它的安全性的軟件。（3）操作系統不安全的一個原因在于它可以創建進程，支持進程的遠程創建和激活，支持被創建的進程繼承創建的權利，這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上，特別是“打”在一個特權用戶上，黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。（4）操作系統有些守護進程，它是系統的一些進程，總是在等待某些事件的出現。所謂守護進程，比如說用戶有沒按鍵盤或鼠標，或者別的一些處理。

7、一些監控病毒的監控軟件也是守護進程，這些進程可能是好的，比如防病毒程序，一有病毒出現就會被撲捉到。但是有些進程是一些病毒，一碰到特定的情況，比如碰到7 月1 日，它就會把用戶的硬盤格式化，這些進程就是很危險的守護進程，平時它可能不起作用，可是在某些條件發生，比如7 月1 日，它才發生作用，如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。（5）操作系統會提供一些遠程調用功能，所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序，可以提交程序給遠程的服務器執行，如telnet。遠程調用要經過很多的環節，中間的通訊環節可能會出現被人監控等安全的問題。（6）操作系統的后門和漏

8、洞。后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟件開發階段，程序員利用軟件的后門程序得以便利修改程序設計中的不足。一旦后門被黑客利用，或在發布軟件前沒有刪除后門程序，容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。此外，操作系統的無口令的入口，也是信息安全的一大隱患。（7） 盡管操作系統的漏洞可以通過版本的不斷升級來克服， 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間，一個小小的漏洞就足以使你的整個網絡癱瘓掉。2.3 數據庫存儲的內容存在的安全問題數據庫管理系統大量的信息存儲在各種各樣的數據庫里面，包括我們上網看到的所有信息，數據

9、庫主要考慮的是信息方便存儲、利用和管理，但在安全方面考慮的比較少。例如：授權用戶超出了訪問權限進行數據的更改活動；非法用戶繞過安全內核，竊取信息。對于數據庫的安全而言，就是要保證數據的安全可靠和正確有效，即確保數據的安全性、完整性。數據的安全性是防止數據庫被破壞和非法的存取；數據庫的完整性是防止數據庫中存在不符合語義的數據。2.4 防火墻的脆弱性 防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合，使Internet 與Intranet 之間建立起一個安全網關（Security Gateway），從而保護內部

10、網免受非法用戶的侵入。 但防火墻只能提供網絡的安全性，不能保證網絡的絕對安全，它也難以防范網絡內部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計算機安全。防火墻保護你免受一類攻擊的威脅，但是卻不能防止從LAN 內部的攻擊，若是內部的人和外部的人聯合起來，即使防火墻再強，也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展，還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。2.5 其他方面的因素 計算機系統硬件和通訊設施極易遭受到自然環境的影響，如：各種自然災害（如地震、泥石流、水災、風暴、建筑物破壞等）對計算機網絡構成威脅。還有一些偶發性因素，如

11、電源故障、設備的機能失常、軟件開發過程中留下的某些漏洞等，也對計算機網絡構成嚴重威脅。此外管理不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。第三章 計算機網絡安全的對策3.1 技術層面對策（1） 建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息，嚴格做好開機查毒，及時備份數據，這是一種簡單有效的方法。 （2） 網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目

12、錄級控制以及屬性控制等多種手段。 （3）數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。有三種主要備份策略：只備份數據庫、備份數據庫和事務日志、增量備份。 （4） 應用密碼技術。應用密碼技術是信息安全核心技術，密碼手段為信息安全提供了可靠保證。基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。 （5） 切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的

13、U 盤和程序,不隨意下載網絡可疑信息。 （6） 提高網絡反病毒技術能力。通過安裝病毒防火墻，進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測，在工作站上采用防病毒卡，加強網絡目錄和文件訪問權限的設置。在網絡中，限制只能由服務器才允許執行的文件。 （7） 研發并完善高安全的操作系統。研發具有高安全的操作系統，不給病毒得以滋生的溫床才能更安全。3.2 管理層面對策計算機網絡的安全管理，不僅要看所采用的安全技術和防范措施，而且要看它所采取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合，才能使計算機網絡安全確實有效。 計算機網絡的安全管理，包括對計算機用戶的安全教育、建立相應的

14、安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。 這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數據保護法等，明確計算機用戶和系統管理人員應履行的權利和義務，自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網絡系統的安全，維護信息系統的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系

15、統安全而建立的一切規章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。3.3 物理安全層面對策 （1） 計算機系統的環境條件。計算機系統的安全環境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要有具體的要求和嚴格的標準。 （2） 機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地，要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入

16、口的管理。 （3） 機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。為做到區域安全，首先，應考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統中心設備外設多層安全防護圈，以防止非法暴力入侵；第四設備所在的建筑物應具有抵御各種自然災害的設施。第四章 局域網安全現狀廣域網絡已有了相對完善的安全防御體系， 防火墻、漏洞掃描、防病毒、IDS 等網關級別、網絡邊界方面的防御， 重要的安全設施大致集中于機房或網絡入口處， 在這些設備的嚴密監控下， 來自網絡外部

17、的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施， 安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡， 形成極大的安全隱患。目前， 局域網絡安全隱患是利用了網絡系統本身存在的安全弱點， 而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。第五章 局域網安全威脅分析5.1欺騙性的軟件使數據安全性降低由于局域網很大的一部分用處是資源共享， 而正是由于共享資源的“數據開放性”， 導致數據信息容易被篡改和刪除， 數據安全性較低。例如“網絡釣魚攻擊”， 釣魚工具是通過大量發送聲稱來自于一些知名機構的欺騙性垃圾郵件， 意圖引誘收信人給出敏感

18、信息： 如用戶名、口令、賬號ID、ATM PIN 碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據，以往此類攻擊的冒名的多是大型或著名的網站， 但由于大型網站反應比較迅速， 而且所提供的安全功能不斷增強， 網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段， 因此會造成經常性的信息丟失等現象發生。5.2服務器區域沒有進行獨立防護局域網內計算機的數據快速、便捷的傳遞， 造就了病毒感染的直接性和快速性， 如果局域網中服務器區域不進行獨立保護， 其中一臺電腦感染病毒， 并且通過服務器進行信息傳遞， 就會感染服務器，

19、 這樣局域網中任何一臺通過服務器信息傳遞的電腦， 就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊， 但無法抵擋來自局域網內部的攻擊。5.3計算機病毒及惡意代碼的威脅由于網絡用戶不及時安裝防病毒軟件和操作系統補丁， 或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件， 在自己寄生的文件中注入新的代碼。最近幾年， 隨著犯罪軟件（crimeware） 洶涌而至， 寄生軟件已退居幕后， 成為犯罪軟件的助手。2007 年， 兩種軟件的結合推動舊有寄生軟件變種增長3 倍之多。2008 年， 預計犯罪軟件社區

20、對寄生軟件的興趣將繼續增長， 寄生軟件的總量預計將增長20%。5.4局域網用戶安全意識不強許多用戶使用移動存儲設備來進行數據的傳遞， 經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網， 同時將內部數據帶出局域網， 這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍， 筆記本電腦在內外網之間平凡切換使用， 許多用戶將在In ternet 網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用， 造成病毒的傳入和信息的泄密。5.5IP 地址沖突局域網用戶在同一個網段內， 經常造成IP 地址沖突， 造成部分計算機無法上網。對于局域網

21、來講，此類IP 地址沖突的問題會經常出現， 用戶規模越大， 查找工作就越困難， 所以網絡管理員必須加以解決。正是由于局域網內應用上這些獨特的特點， 造成局域網內的病毒快速傳遞， 數據安全性低， 網內電腦相互感染， 病毒屢殺不盡， 數據經常丟失。第六章 局域網安全控制與病毒防治策略6.1加強人員的網絡安全培訓（1）加強安全意識培訓， 讓每個工作人員明白數據信息安全的重要性， 理解保證數據信息安全是所有計算機使用者共同的責任。 （2）加強安全知識培訓， 使每個計算機使用者掌握一定的安全知識， 至少能夠掌握如何備份本地的數據， 保證本地數據信息的安全可靠。 （3）加強網絡知識培訓， 通過培訓掌握一定

22、的網絡知識， 能夠掌握IP 地址的配置、數據的共享等網絡基本知識， 樹立良好的計算機使用習慣。6.2局域網安全控制策略 （1）利用桌面管理系統控制用戶入網。入網訪問控制是保證網絡資源不被非法使用， 是網絡安全防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源， 控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限， 網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源， 可以指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略， 強制計算機用戶設置符合安全要求的密碼， 包括設置口令鎖定服務器控制臺， 以防止非法用戶修改。設定服

23、務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據， 提高系統安全行， 對密碼不符合要求的計算機在多次警告后阻斷其連網。 （2）采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上， 與網絡的其余部分隔開， 它使內部網絡與In ternet 之間或與其他外部網絡互相隔離，限制網絡互訪， 用來保護內部網絡資源免遭非法使用者的侵入， 執行安全管制措施， 記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統， 是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發現及封阻應用攻擊所采用的技術有：深度數據包處理。深度數據包處理在一個數據流當中有多個數據包， 在尋找攻擊異常

24、行為的同時， 保持整個數據流的狀態。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量， 以避免應用時帶來時延。IP?U RL 過濾。一旦應用流量是明文格式， 就必須檢測HTTP 請求的U RL 部分， 尋找惡意攻擊的跡象， 這就需要一種方案不僅能檢查RUL , 還能檢查請求的其余部分。其實， 如果把應用響應考慮進來， 可以大大提高檢測攻擊的準確性。雖然U RL 過濾是一項重要的操作，可以阻止通常的腳本類型的攻擊。TCP? IP 終止。應用層攻擊涉及多種數據包， 并且常常涉及不同的數據流。流量分析系統要發揮功效， 就必須在用戶與應用保持互動的整個會話期間， 能夠檢測數據包和請求， 以尋

25、找攻擊行為。至少， 這需要能夠終止傳輸層協議， 并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。系統中存著一些訪問網絡的木馬、病毒等IP 地址， 檢查訪問的IP 地址或者端口是否合法， 有效的TCP? IP 終止， 并有效地扼殺木馬。時等。訪問網絡進程跟蹤。訪問網絡進程跟蹤。這是防火墻技術的最基本部分， 判斷進程訪問網絡的合法性， 進行有效攔截。這項功能通常借助于TD I層的網絡數據攔截， 得到操作網絡數據報的進程的詳細信息加以實現。 （3）封存所有空閑的IP 地址， 啟動IP 地址綁定采用上網計算機IP 地址與MCA 地址唯一對應， 網絡沒有空閑IP 地址的策略。由于采用了無空閑IP

26、地址策略， 可以有效防止IP 地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。 （4）屬性安全控制。它能控制以下幾個方面的權限： 防止用戶對目錄和文件的誤刪除、執行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件。 （5）啟用殺毒軟件強制安裝策略， 監測所有運行在局域網絡上的計算機， 對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。6.3病毒防治（1）增加安全意識和安全知識， 對工作人員定期培訓。首先明確病毒的危害， 文件共享的時候盡量控制權限和增加密碼， 對

27、來歷不明的文件運行前進行查殺等， 都可以很好地防止病毒在網絡中的傳播。這些措施對杜絕病毒， 主觀能動性起到很重要的作用。（2）小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺， 也可把病毒拒絕在外。（3）挑選網絡版殺毒軟件。一般而言， 查殺是否徹底， 界面是否友好、方便， 能否實現遠程控制、集中管理是決定一個網絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯， 能夠熟練掌握瑞星殺毒軟件使用， 及時升級殺毒軟件病毒庫， 有效使用殺毒軟件是防毒殺毒的關鍵。通過以上策略的設置， 能夠及時發現網絡運行中存在的問題， 快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點， 及時、準

28、確的切斷安全事件發生點和網絡。局域網安全控制與病毒防治是一項長期而艱巨的任務， 需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化， 安全問題日益復雜化， 網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系， 要具備完善的管理系統來設置和維護對安全的防護策略。第七章 結論（1）網絡病毒的防范。在網絡環境下，病毒 傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。校園網絡是內部局域網，就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連，就需要網關的

29、防病毒軟件，加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。 （2）配置防火墻。利用防火墻，在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。 （3）采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未 授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在校園網絡中采用入侵檢