dcm565
关于计算机网络安全问题的研究和探讨〔摘要〕随着计算机网络越来越深入到人们生活中的各个方面,计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅速,攻击手段层出不穷。而计算机网络攻击一旦成功,就会使网络上成千上万的计算机处于瘫痪状态,从而给计算机用户造成巨大的损失。因此,认真研究当今计算机网络存在的安全问题,提高计算机网络安全防范、意识是非常紧迫和必要的。〔关键词〕安全问题;相关技术;对策1几种计算机网络安全问题1 TCP/IP协议的安全问题目前网络环境中广泛采用的TCP/IP协议。互联网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信,正因为其开放性,TCP/IP协议本身就意味着一种安全风险。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。2网络结构的安全问题互联网是一种网间网技术。它是由无数个局域网连成的巨大网络组成。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器的重重转发,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦测,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。加之互联网上大多数数据流都没有进行加密,因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所固有的安全隐患。3路由器等网络设备的安全问题路由器的主要功能是数据通道功能和控制功能。路由器作为内部网络与外部网络之间通信的关键设备,严格说来,所有的网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器本身的设计缺陷展开的,而有些方式干脆就是在路由器上进行的。2计算机网络安全的相关技术计算机网络安全的实现有赖于各种网络安全技术。从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。1防火墙技术所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。“防火墙”一方面阻止外界对内部网络资源的非法访问,另一方面也可以防止系统内部对外部系统的不安全访问。实现防火墙的主要技术有:数据包过滤、应用级网关、代理服务和地址转换。2数据加密技术从密码体制方面而言,加密技术可分为对称密钥密码体制和非对称密钥密码体制,对称密钥密码技术要求加密、解密双方拥有相同的密钥,由于加密和解密使用同样的密钥,所以加密方和解密方需要进行会话密钥的密钥交换。会话密钥的密钥交换通常采用数字信封方式,即将会话密钥用解密方的公钥加密传给解密方,解密方再用自己的私钥将会话密钥还原。对称密钥密码技术的应用在于数据加密非对称密钥密码技术是加密、解密双方拥有不同的密钥,在不知道特定信息的情况下,加密密钥和解密密钥在计算机上是不能相互算出的。加密、解密双方各只有一对私钥和公钥。非对称密钥密码技术的应用比较广泛,可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。3入侵检测技术入侵检测系统可以分为两类,分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前,在实际环境中应用较多的是基于主机的入侵检测系统,它把监测器以软件模块的形式直接安插在了受管服务器的内部,它除了继续保持基于网络的入侵检测系统的功能和优点外,可以不受网络协议、速率和加密的影响,直接针对主机和内部的信息系统,同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。4防病毒技术随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,其扩散速度也越来越快,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,它们主要注重于所谓的“单机防病毒”,即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。3建议采取的几种安全对策1网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。2以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听,所以应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。3 VLAN的划分为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。在集中式网络环境下,通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。当然,计算机网络安全不是仅有很好的网络安全设计方案就万事大吉,还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构,制定严格的安全制度,指定安全管理人员,随时对整个计算机系统进行严格的监控和管理。〔参考文献〕[1]王达网管员必读———网络安全[M]电子工业出版社,[2]张敏波网络安全实战详解[M]电子工业出版社, 
出版说明前言第1章 计算机网络安全概述 1 计算机网络安全的基本概念 1 网络安全的定义 2 网络安全的特性 2 计算机网络安全的威胁 1 网络安全威胁的分类 2 计算机病毒的威胁 3 木马程序的威胁 4 网络监听 5 黑客攻击 6 恶意程序攻击 3 网络安全威胁产生的根源 1 系统及程序漏洞 2 网络安全防护所需设施存在的问题 3 安全防护知识方面存在的问题 4 网络安全策略 1 网络安全策略设计的原则 2 几种网络安全策略 5 计算机网络安全的现状与发展 1 计算机网络安全的现状 2 计算机网络安全的发展方向 6 小结与练习 1 小结 2 练习 13第2章 网络安全体系结构及协议 1 计算机网络协议概述 1 网络协议 2 协议簇和行业标准 3 协议的交互 4 技术无关协议 2 OSI参考模型及其安全体系 1 计算机网络体系结构 2 OSI参考模型简介 3 ISO/OSI安全体系 3 TCP/IP参考模型及其安全体系 1 TCP/IP参考模型 2 TCP/IP参考模型的安全体系 4 常用网络协议和服务 1 常用网络协议 2 常用网络服务 5 Windows常用的网络命令 1 ping命令 2 at命令 3 netstat命令 4 tracert命令 5 net命令 6 ftp命令 7 nbtstat命令 8 telnet命令 6 协议分析工具—Sniffer的应用 1 Sniffer的启动和设置 2 解码分析 7 实训项目 8 小结与练习 1 小结 2 练习 43第3章 计算机病毒与木马 1 计算机病毒概述 1 计算机病毒的定义 2 计算机病毒的演变史 3 计算机病毒的特性 2 计算机病毒及其分类、传播途径 1 常见计算机病毒 2 计算机病毒的分类 3 计算机病毒的传播途径 3 计算机病毒的检测和防御 1 普通计算机病毒的检测与防御 2 U盘病毒的检测与防御 3 ARP病毒的检测与防御 4 蠕虫病毒的检测与防御 4 计算机木马概述 1 计算机木马的定义 2 计算机木马的类型及基本功能 3 计算机木马的工作原理 5 计算机木马的检测与防御 1 普通计算机木马的检测与防御 2 典型计算机木马的手动清除 6 实训项目 7 小结与练习 1 小结 2 练习 75第4章 加密与数字签名 1 加密技术 1 加密技术概述 2 数据加密常见方式 2 加密算法 1 古典加密算法 2 现代加密算法 3 数字签名技术 1 数字签名技术概述 2 数字签名技术的工作原理 3 数字签名技术的算法 4 PKI技术 1 PKI概述 2 PKI技术原理 3 证书颁发机构 4 数字证书 5 PGP原理及应用 1 PGP概述 2 PGP密钥的创建 3 PGP文件加密和解密 4 PGP密钥导出与导入 5 PGP电子邮件加、解密和签名验证 6 PGP数字签名 6 EFS原理及应用 1 EFS概述 2 EFS的加密和解密 3 EFS的其他应用 7 SSL安全传输及应用 1 SSL概述 2 SSL的工作原理 3 安装证书服务 4 申请证书 5 颁发Web服务器证书 6 安装服务器证书 7 Web服务器的SSL设置 8 浏览器的SSL设置 9 访问SSL站点 8 实训项目 9 小结与练习 1 小结 2 练习 118第5章 防火墙技术 1 防火墙概述 1 防火墙的基本准则 2 防火墙的主要功能特性 3 防火墙的局限性 2 防火墙的实现技术 1 数据包过滤 2 应用层代理 3 状态检测技术 3 防火墙的体系结构 1 双宿/多宿主机模式 2 屏蔽主机模式 3 屏蔽子网模式 4 防火墙的工作模式 5 防火墙的实施方式 1 基于单个主机的防火墙 2 基于网络主机的防火墙 3 硬件防火墙 6 瑞星个人防火墙的应用 1 界面与功能布局 2 常用功能 3 网络监控 4 访问控制 5 高级设置 7 ISA Server 2004配置 1 ISA Server 2004概述 2 ISA Server 2004的安装 3 ISA Server 2004防火墙策略 4 发布内部网络中的服务器 5 ISA Server 2004的系统和网络监控及报告 8 iptables防火墙 1 iptables中的规则表 2 iptables命令简介 3 Linux防火墙配置 9 PIX防火墙配置 1 PIX的基本配置命令 2 PIX防火墙配置实例 10 实训项目 11 小结与练习 1 小结 2 练习 170第6章 Windows Server 2003的网络安全 1 Windows Server 2003的安全简介 1 用户身份验证 2 基于对象的访问控制 2 Windows Server 2003系统安全配置的常用方法 1 安装过程 2 正确设置和管理账户 3 正确设置目录和文件权限 4 网络服务安全管理 5 关闭无用端口 6 本地安全策略 7 审核策略 8 Windows日志文件的保护 3 Windows Server 2003访问控制技术 1 访问控制技术简介 2 Windows Server 2003访问控制的使用 4 账户策略 1 账户策略的配置 2 Kerberos策略 5 启用安全模板 1 安全模板的简介 2 启用安全模板的方法 6 实训项目 7 小结与练习 1 小结 2 练习 196第7章 端口扫描技术 1 端口概述 1 TCP/IP工作原理 2 端口的定义 3 端口的分类 2 端口扫描技术 1 端口扫描概述 2 常见的端口扫描技术 3 常见扫描软件及其应用 1 扫描软件概述 2 SuperScan扫描工具及应用 4 端口扫描防御技术应用 1 查看端口的状态 2 关闭闲置和危险的端口 3 隐藏操作系统类型 5 实训项目 6 小结与练习 1 小结 2 练习 215第8章 入侵检测系统 1 入侵检测概述 1 入侵检测的概念及功能 2 入侵检测系统模型 3 入侵检测工作过程 2 入侵检测系统的分类 1 根据检测对象划分 2 根据检测技术划分 3 根据工作方式划分 3 入侵检测系统部署 1 基于主机的入侵检测系统部署 2 基于网络的入侵检测系统部署 3 常见入侵检测工具及其应用 4 入侵防护系统 1 入侵防护系统的工作原理 2 入侵防护系统的优点 3 入侵防护系统的主要应用 5 小结与练习 1 小结 2 练习 229第9章 无线网络安全 1 无线局域网介绍 1 无线局域网常用术语 2 无线局域网组件 3 无线局域网的访问模式 4 覆盖区域 2 无线网络常用标准 1 IEEE 11b 2 IEEE 11a 3 IEEE 11g 4 IEEE 11n 3 无线网络安全解决方案 1 无线网络访问原理 2 认证 3 加密 4 入侵检测系统 4 小结与练习 1 小结 2 练习 241参考文献 242
