【正文】 ，從而造成網(wǎng)絡(luò)的可控制性急劇降低，安全性變差。 論文的主要結(jié)構(gòu) : 第一章：敘述網(wǎng)絡(luò)安全發(fā)展與現(xiàn)狀，及其所面對的問題。根據(jù)第三章 的 問題分析，在 具體的模塊上實現(xiàn)相對應(yīng)的功能。 主要表現(xiàn)在以下方面： 網(wǎng) 絡(luò)的開放性帶來的安全問題 Inter 的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)存在很多安 全問題。但是對于內(nèi)部網(wǎng)絡(luò)之 間的訪問，防火墻往往是無能為力的。例如， Windows NT 在進行合理的設(shè)置后可以達到 C2 級的安全性，但很少有人 能夠?qū)?Windows NT 本身的安全策略進行合理的設(shè)置。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防 火墻來說，該入侵行為的訪問過程 和正常的 WEB 訪問是相似的，唯一區(qū)別是入侵訪問在 請求鏈接中多加了一個后綴。系統(tǒng)的 BUG 經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。 (3) Ernst和 Young報告，由于信息安全被竊或濫用，幾乎 80%的大型 企業(yè)遭受損 失。 網(wǎng)絡(luò)安全的主要威脅因素 (1)軟件漏洞：每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是 無缺陷和漏洞的。除非用戶禁止該程序或?qū)ζ溥M行正確 配置，否則，安全隱患始終存在。因此，提高對病毒的防范刻不容緩。 因特網(wǎng)在我國的迅速普及，我國境內(nèi)信息系統(tǒng)的攻擊事件也正在呈現(xiàn)快速 增長的勢 頭。 (2)全社會的信息安全意識雖然有所提高，但將其提到實際日程中來的依然很少。廣義上講，凡是涉及到網(wǎng)絡(luò)上 信息的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。 （ 2）網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán) 限、方式控制、安全審計、安全問題跟蹤、計算機病毒防治、數(shù)據(jù)加密等。 網(wǎng)絡(luò)安全的屬性 網(wǎng)絡(luò)安全具有三個基本的屬性：機密性、完整性、可用性。 網(wǎng)絡(luò)安全機制 網(wǎng)絡(luò)安全機制是保護網(wǎng)絡(luò)信息安全所采用 的措施，所有的安全機制都是針對某些潛 在的安全威脅而設(shè)計的，可以根據(jù)實際情況單獨或組合使用。 （ 2）認證和授權(quán)。 （ 4）完整性保證。 網(wǎng)絡(luò)安全管理機制 網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問題，更是一個管理問題，要解決網(wǎng)絡(luò)信息安全問題， 必須制定正確的目標(biāo)策略，設(shè)計可行的技術(shù)方案，確定合理的資金技術(shù)，采取相應(yīng)的管 理措施和依據(jù)相關(guān)法律制度。這兩種情況中，數(shù)據(jù)項的大小有很大的變化，數(shù)據(jù)權(quán)力命名 也可以帶自己的 ACL 。根據(jù)用戶對安全的需求才可 以采用以下的保護： （ 1）身份認證；檢驗用戶的身份是否合法、防止身份冒充、及對用戶實施訪問控制 數(shù)據(jù)完整性鑒別、防止數(shù)據(jù)被偽造、修改和刪除。 （ 5）不可否認性；也稱不可抵賴性， 即防止對數(shù)據(jù)操作的否認。包括密銀的產(chǎn)生、協(xié)商、交換和更新，目的是為了在通信的終端系統(tǒng)之間建立實現(xiàn)安全策略所需的共享密銀。 網(wǎng)絡(luò)安全發(fā)展趨勢 總的看來，對等網(wǎng)絡(luò)將成為主流，與網(wǎng)格共存。 第 3 章 網(wǎng)絡(luò)安全問題解決對策 計算機安全級別的劃分 TCSEC 簡介 1999年 9 月 13日國家質(zhì)量技術(shù)監(jiān)督局公布了我國第一部關(guān)于計算機信息系統(tǒng)安全 等級劃分的標(biāo)準(zhǔn)“計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則” （ GB178591999） 。 D1 的安全等級最低。 C 類安全等級可劃分為 C1 和 C2 兩類。在連接 事件和資源隔離來增強這種控制。強制性保護意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用 戶存取對象。 B2 系統(tǒng)必須滿足下列要求：系統(tǒng)必須立即通知系統(tǒng)中的每一個用戶所有與之相關(guān) 的網(wǎng)絡(luò)連接的改變；只有用戶能夠在可信任通信路徑中進行初始化通信；可 信任 運算基礎(chǔ)體制能夠支持獨立的操作者和管理員。 B3 系統(tǒng)應(yīng)滿足以下要求 : (a)B3 必須產(chǎn)生一個可讀的安全列表，每個被命名的對象提供對該對象沒有訪 問權(quán)的用戶列表說明； (b)B3 系統(tǒng)在進行任何操作前，要求用戶進行身份驗證； (c)B3 系統(tǒng)驗證每個用戶，同時還會發(fā)送一個取消訪問的審計跟蹤消息；設(shè)計 者必須正確區(qū)分可信任的通信路徑和其他路徑；可信任的通信基礎(chǔ)體制為每一 個 被命名的對象建立安全審計跟蹤；可信任的運算基礎(chǔ)體制支持獨立的安全管理。 A1 系統(tǒng)的顯 著特征是，系統(tǒng)的設(shè)計者必須按照一個正式的設(shè)計規(guī)范來分析系統(tǒng)。 9 全等級標(biāo)準(zhǔn)模型 計算機信息系統(tǒng)的安全模型主要又訪問監(jiān)控器模型、軍用安全模仿和信息流模型等 三類模型，它們是定義計算機信息系統(tǒng)安全等級劃分標(biāo)準(zhǔn)的依據(jù)。信息流分直接的和間接的兩種。 （ 2）允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。通過以防火墻為中心的安全方案配置，能將所有的安 全軟件配置在防火墻上，體現(xiàn)集中安全管理 更經(jīng)濟。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點 網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。 防火墻根據(jù)功能實現(xiàn)在 TCP/IP 網(wǎng)絡(luò)模型中的層次，其實現(xiàn)原理可以分為三類：在 網(wǎng)絡(luò)層實現(xiàn)防火墻功能為分組過濾技術(shù)；在應(yīng)用層實現(xiàn)防火墻功能為代理服務(wù)技術(shù)；在 網(wǎng)絡(luò)層， IP 層，應(yīng)用層三層實現(xiàn)防火墻為狀態(tài)檢測技術(shù)。 第 4 章 網(wǎng)絡(luò)安全防范 tel 入侵防范 Tel 協(xié)議是 TCP/IP 協(xié)議族中的一員，是 Inter 遠程登錄服務(wù)的標(biāo)準(zhǔn)協(xié) 議和主要方式?？梢栽诒镜鼐湍芸刂?服務(wù)器。 圖 13 防止 Administrator 賬號被破解 Windows 2020/xp/2020 系統(tǒng)的 Administrator 賬號是不能被停用的，也不能設(shè)置安全策略，這樣黑客就可以一遍又一遍地嘗試這個賬號的密碼，直到被 破解，為了防止這 種侵入，我們可以把 Administrator 賬號更名：在“組策略”窗口中，依次展開“本地計算機策略” /“計算機配置” /“ windows 設(shè)置” /“安全設(shè)置” /“本地策略” /“安全選 項”功能分支。 防范方法：通過修改注冊表來禁用空用戶連接。 “木馬”的防范措施 （ 1）檢查系統(tǒng)配置應(yīng)用程序。 網(wǎng)頁惡意代碼及防范 目前，網(wǎng)頁中的惡意代碼開始威脅到網(wǎng)絡(luò)系統(tǒng)安全，一般分為以下幾種： （ 1）消耗系統(tǒng)資源。 惡意代碼分析 在 html 中利用死循環(huán)原理，交叉顯示耀眼的光線，如果繼續(xù)插入編寫的一段代碼， 擴大惡意程度，那么 IE 將無法使用。 （ 2）網(wǎng)頁惡意代碼大多是在訪問網(wǎng)站時候誤下載和激活的，所以不要進入不信任的 陌生網(wǎng)站，對于網(wǎng)頁上的各種超級連接不要盲目去點擊，若被強制安裝惡意代碼，一經(jīng) 發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機防火墻軟件。 設(shè)計 過程中也會遇到麻煩，比如怎樣最清晰的表達自己的設(shè)計思路，如何去解決面臨的以前自己沒有涉及的領(lǐng)域！甚至有些參考書上的很多東西不是標(biāo)準(zhǔn)的。感謝那些老師和網(wǎng)絡(luò)上的朋友對我進行的耐心指導(dǎo) ! 在上述的研究工作中， 由于自身水 平的原因以及時間的關(guān)系，對 個人計算機安全防范 的研究還有不盡完善的地方，以后的工作中將對存在的問題及有待完善的地方進行更深入的 研究和分析 。老師們的知識真的很淵博 !經(jīng)驗也特別豐富。這次畢業(yè)設(shè)計給了我很大的感想！通過這次的畢業(yè)設(shè)計真的讓我學(xué)到了很多東西。 網(wǎng)頁惡意代碼主要是含有惡意代碼的 ActiveX 或 Applet、 JavaScript 的網(wǎng)頁文件 ，所以在 IE 設(shè)置中將 ActiveX 插件和控件、 Java 腳本等全部 禁止就可以減少被網(wǎng)頁惡意代碼感染的幾率。 （ 3） IE 泄露，利用 IE 漏洞，網(wǎng)頁可以讀取客戶機的文件，就可以從中獲得用戶賬號 和密碼。 （ 2）查看注冊表。 與病毒不同， 它不具備復(fù)制能力， 其功能具有破壞性。另外為了防止黑客通過Guest 賬號登錄計算機，可以在“組策略”中刪除 Guest 賬號。 Tel 是常用的遠程控制 Web 服務(wù)器的方法。在終 端使用者的電腦上使用 tel 程序， 用它連接到服務(wù)器。 （ 2）代理服務(wù)技術(shù) 以一個高層的應(yīng)用 網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請求，在代理服務(wù)器 上進行安全檢查后，再與被保護的應(yīng)用服務(wù)器連接，使外部用戶可以在受控制的前提下