【正文】 個(gè)體化屬性之上的授權(quán)準(zhǔn)則，授權(quán)通常依賴于敏感性。 網(wǎng)絡(luò)安全策略 策略通常是一般性的規(guī)范，只提出相應(yīng)的重點(diǎn)，而不確切地說明如何達(dá)到所要的結(jié)果，因此策略屬于安全技術(shù)規(guī)范的最高一級(jí)。利用密碼技術(shù)的完整性保護(hù)可以很好地對(duì)付非法篡改，當(dāng)信息源的完整性可以被驗(yàn)證卻無法模仿時(shí)，可提供不可抵賴服務(wù)。網(wǎng)絡(luò)設(shè)備之間應(yīng)互認(rèn)證對(duì)方的身份，以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制；同時(shí)網(wǎng)絡(luò)也必須認(rèn)證用戶的身份，以授權(quán)保證合法的用戶實(shí)施正確的操作。如何在有限的投入下合理地使用安全機(jī)制，以便盡可能地降低安全風(fēng)險(xiǎn)，是值得討論的，網(wǎng)絡(luò)信息安全機(jī)制應(yīng)包括:技術(shù)機(jī)制和管理機(jī)制兩方面的內(nèi)容。 網(wǎng)絡(luò)安全的屬性網(wǎng)絡(luò)安全具有三個(gè)基本的屬性：機(jī)密性、完整性、可用性。（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計(jì)、安全問題跟蹤、計(jì)算機(jī)病毒防治、數(shù)據(jù)加密等。廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。許多校園網(wǎng)是從局域網(wǎng)發(fā)展來的，由于意識(shí)與資金方面的原因，它們?cè)诎踩矫嫱鶝]有太多的設(shè)置，這就給病毒和黑客提供了生存的空間。(3)破壞數(shù)據(jù)的完整性；即使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。 (4)我國信息安全人才培養(yǎng)還不能滿足其需要。因此，加強(qiáng)網(wǎng)絡(luò)信息安全保障已成為當(dāng)前的迫切任務(wù)。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。(4)病毒：目前數(shù)據(jù)安全的頭號(hào)大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。(2)配置不當(dāng)：安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。而據(jù)統(tǒng)計(jì)在這整個(gè)行動(dòng)中美國經(jīng)濟(jì)共損失了十多億美金。 （二）網(wǎng)絡(luò)安全的防護(hù)力脆弱，導(dǎo)致的網(wǎng)絡(luò)危機(jī)(1)根據(jù)Warroon Research的調(diào)查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。(5)黑客的攻擊手段在不斷地升級(jí)。甚至連安全工具本身也可能存在安全的漏洞。(3)系統(tǒng)的后門是難于考慮到的地方。(2)安全工具的使用受到人為因素的影響。然而，即使在使用了現(xiàn)有的安全工具和技術(shù)的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以包括為以下幾點(diǎn):(1) 安全機(jī)制在特定環(huán)境下并非萬無一失。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。其次，通過對(duì)網(wǎng)絡(luò)技術(shù)的研究，得出校園網(wǎng)也會(huì)面臨著安全上的威脅。專升本畢業(yè)設(shè)計(jì)(論文) 題目校園網(wǎng)絡(luò)安全問題及對(duì)策研究學(xué)生姓名學(xué)號(hào)所學(xué)專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)指導(dǎo)老師目 錄摘要 iABSTRACT ii第一章 前言 3 3 5第二章 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全的含義 7 網(wǎng)絡(luò)安全的屬性 7 網(wǎng)絡(luò)安全機(jī)制 7 網(wǎng)絡(luò)安全策略 8 網(wǎng)絡(luò)安全發(fā)展趨勢(shì) 10第三章 網(wǎng)絡(luò)安全問題解決對(duì)策 計(jì)算機(jī)安全級(jí)別的劃分 11 防火墻技術(shù) 13 入侵檢測(cè)技術(shù) 16 數(shù)據(jù)加密技術(shù) 20 反病毒技術(shù) 21第四章 網(wǎng)絡(luò)安全防范 TELNET入侵防范 23 防止ADMINISTRATOR賬號(hào)被破解 23 防止賬號(hào)被暴力破解 23 “木馬”防范措施 24 網(wǎng)頁惡意代碼及防范 24 嗅探器（SNIFFER）的防范 26 數(shù)據(jù)密文防范措施 27 其它網(wǎng)絡(luò)攻擊與防范措施 28第五章 校園網(wǎng)絡(luò)安全體系 校園網(wǎng)絡(luò)安全規(guī)范 30 安全方案建議 30 校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用 31 校園安全隱患 34 校園網(wǎng)主動(dòng)防御體系 35 其他網(wǎng)絡(luò)安全解決方案 39結(jié)束語 40致謝 43參考文獻(xiàn) 44附錄 46摘 要本論文從計(jì)算機(jī)網(wǎng)絡(luò)面臨的各種安全威脅，系統(tǒng)地介紹網(wǎng)絡(luò)安全技術(shù)。最后，確立了用P2DR模型的思想來建立校園網(wǎng)的安全防御體系。但在連結(jié)信息能力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出。比如防火墻，它雖然是一種有效的安全工具，可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。防火墻很難考慮到這類安全問題，多數(shù)情況下，這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺；比如說，眾所周知的ASP源碼問題，它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。安全工具的更新速度慢，且絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對(duì)新出現(xiàn)的安全問題總是反應(yīng)遲鈍。 (2) 據(jù)美國FBI統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。由于業(yè)界人心惶惶，亞馬遜()、AOL、雅虎(Yahoo!)、eBay的股價(jià)均告下挫，以科技股為主的那斯達(dá)克指數(shù)(Nasdaq)打破過去連續(xù)三天創(chuàng)下新高的升勢(shì)，下挫了六十三點(diǎn)，杜瓊斯工業(yè)平均指數(shù)周三收市時(shí)也跌了二百五十八點(diǎn)。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。從某種意義上講，黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。 目前我國網(wǎng)絡(luò)安全的現(xiàn)狀和面臨的威脅主要有：(1)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟、硬件很大一部分是國外產(chǎn)品，我們對(duì)引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。與其它網(wǎng)絡(luò)一樣，校園網(wǎng)也會(huì)受到相應(yīng)的威脅，大體可分為對(duì)網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和對(duì)網(wǎng)絡(luò)設(shè)備的危害。(4)干擾系統(tǒng)正常運(yùn)行；指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時(shí)間等手段。因此，校園網(wǎng)的網(wǎng)絡(luò)安全需求是全方位的。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及數(shù)據(jù)受到保護(hù)，不遭受偶然或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。（3）網(wǎng)絡(luò)上信息傳輸?shù)陌踩杭葱畔鞑ズ蠊陌踩?、包括信息過濾、不良信息過濾等。 （1）機(jī)密性：是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要 范措施是密碼技術(shù)。 網(wǎng)絡(luò)安全技術(shù)機(jī)制網(wǎng)絡(luò)安全技術(shù)機(jī)制包含以下內(nèi)容：（1）加密和隱藏。 （3）審計(jì)和定位。 （5）權(quán)限和存取控制：針對(duì)網(wǎng)絡(luò)系統(tǒng)需要定義的各種不同用戶，根據(jù)正確的認(rèn)證，賦予其適當(dāng)?shù)牟僮鳈?quán)力，限制其越級(jí)操作。 安全策略的分類安全策略分為基于身份的安全策略和基于規(guī)則的安全策略兩種。在一個(gè)安全系統(tǒng)中，數(shù)據(jù)或資源應(yīng)該標(biāo)注安全標(biāo)記，而且用戶活動(dòng)應(yīng)該得到相應(yīng)的安全標(biāo)記。（3）數(shù)字簽名；防止用戶否認(rèn)對(duì)數(shù)據(jù)所做的處理。 圖 21 安全策略實(shí)現(xiàn)流程（1）證書管理。（3）安全協(xié)作。網(wǎng)絡(luò)進(jìn)化的未來—綠色網(wǎng)絡(luò)—呼喚著新的信息安全保障體系。而國外同標(biāo)準(zhǔn)的是美國國防部在1985年12月公布的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)TCSEC(又稱桔皮書)。D1系統(tǒng)只為文件和用戶提供安全保護(hù)。C1系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制（Trusted Computing Base，TCB）通過將用戶和數(shù)據(jù)分開來達(dá)到安全的目的。C2系統(tǒng)具有C1系統(tǒng)中所有的安全性特征。B1系統(tǒng)滿足下列要求：系統(tǒng)對(duì)網(wǎng)絡(luò)控制下的每個(gè)對(duì)象都進(jìn)行靈敏度標(biāo)記；系統(tǒng)使用靈敏度標(biāo)記作為所有強(qiáng)迫訪問控制的基礎(chǔ)；系統(tǒng)在把導(dǎo)入的、非標(biāo)記的對(duì)象放入系統(tǒng)前標(biāo)記它們；靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對(duì)象的安全級(jí)別；當(dāng)系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或I/O設(shè)備時(shí)，管理員必須指定每個(gè)通信通道和I/O設(shè)備是單級(jí)還是多級(jí)，并且管理員只能手工改變指定；單級(jí)設(shè)備并不保持傳輸信息的靈敏度級(jí)別；所有直接面向用戶位置的輸出（無論是虛擬的還是物理的）都必須產(chǎn)生標(biāo)記來指示關(guān)于輸出對(duì)象的靈敏度；系統(tǒng)必須使用用戶的口令或證明來決定用戶的安全訪問級(jí)別；系統(tǒng)必須通過審計(jì)來記錄未授權(quán)訪問的企圖。B3系統(tǒng)必須符合B2系統(tǒng)的所有安全需求。(4)A類安全等級(jí)：A系統(tǒng)的安全級(jí)別最高。對(duì)系統(tǒng)分析后，設(shè)計(jì)者必須運(yùn)用核對(duì)技術(shù)來確保系統(tǒng)符合設(shè)計(jì)規(guī)范。這5個(gè)級(jí)別的安全強(qiáng)度從低到高排列讓高一級(jí)包括低一級(jí)的安全能力，GB17859的劃分標(biāo)準(zhǔn)安全能力 一級(jí) 二級(jí) 三級(jí) 四級(jí) 五級(jí)自主訪問控制 √ ∈ ≡ ≡ ≡強(qiáng)制訪問控制 √ ∈ ≡標(biāo)記 √ ∈ ≡身份鑒別 √ ∈ ∈ ≡ ≡客體重用 √ ≡ ≡ ≡審計(jì) √ ∈ ∈ ∈數(shù)據(jù)完整 √ ≡ ∈ ≡ ≡隱蔽信道分析 √ ≡可信路徑 √ ≡可信恢復(fù) √注: “√”:新增功能；“∈”：比上一級(jí)功能又所擴(kuò)展；“≡”：與上一級(jí)功能相同。（3）信息流模型：是計(jì)算機(jī)中系統(tǒng)中系統(tǒng)中信息流動(dòng)路徑，它反映了用戶在計(jì)算機(jī)系統(tǒng)中的訪問意圖。在網(wǎng)絡(luò)中，防火墻實(shí)際是一種隔離技術(shù)，它所執(zhí)行的隔離措施有：（1）拒絕未經(jīng)授權(quán)的用戶訪問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)。（2）可以強(qiáng)化網(wǎng)絡(luò)安全策略。（4）防止內(nèi)部信息的外泄。因此在邏輯上防火墻是一個(gè)分離器、限制器、分析器。如表33 所示。圖 32 代理服務(wù)器原理示意代理服務(wù)技術(shù)工作在應(yīng)用層,代理服務(wù)技術(shù)工作特點(diǎn)。入侵檢測(cè)技術(shù)是防火墻技術(shù)的有效補(bǔ)充，通過對(duì)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)中或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。 入侵檢測(cè)分類入侵檢測(cè)通過對(duì)入侵和攻擊行為的檢測(cè)，查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓，通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。(2) 參考閾值的選定由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn)，因此，參考閾值的選定是非常關(guān)鍵的。由于這幾個(gè)因素的制約，異常檢測(cè)的虛警率很高，但對(duì)于未知的入侵行為的檢測(cè)非常有效。首先，對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。誤用檢測(cè)是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對(duì)已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種，同時(shí)又不會(huì)把非入侵行為包含進(jìn)來。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng)。最后由檢測(cè)判斷模塊根據(jù)一定的安全策略判斷入侵行為的發(fā)生并采取相應(yīng)的反擊。不同的IDS之間也需要共享信息，協(xié)同檢測(cè)。代理分布于系統(tǒng)中的關(guān)鍵點(diǎn)及關(guān)鍵服務(wù)器，包括防火墻、對(duì)外提供各項(xiàng)服務(wù)的服務(wù)器、內(nèi)部網(wǎng)關(guān)和服務(wù)器，完成絕大多數(shù)的入侵檢測(cè)和響應(yīng)任務(wù)。可以看到，在一個(gè)由多代理組成的入侵檢測(cè)系統(tǒng)中，單個(gè)代理的失效只會(huì)影響到該代理和與之協(xié)作的部分代理，系統(tǒng)的其它部分仍能正常工作。目前，實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式可以實(shí)現(xiàn)，一種是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中，即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來源不再來源于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。但是不容否認(rèn)，各個(gè)安全產(chǎn)品的緊密結(jié)合是一種趨勢(shì)。 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障其安全性，這是一種主動(dòng)安全防御策略，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。密鑰是一個(gè)數(shù)值，它和加密算法一起生成特別的密文。密碼算法是相對(duì)穩(wěn)定的，在這種意義上，可以把密碼算法視為常量，而密鑰則是一個(gè)變量。通常加密算法為：C=Ek(M)。 在對(duì)稱密碼體系中，最為著名的是DES分組算法，DES將二進(jìn)制序列明文分為每64位一組，使用64位的密鑰，對(duì)64位二進(jìn)制數(shù)進(jìn)行分組加密，每輪產(chǎn)生一個(gè)48位的“每輪”密鑰值，并參與下一輪的加密過程，經(jīng)過16輪的迭代、乘積變換、壓縮等處理后產(chǎn)生64位密文數(shù)據(jù)。數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制。隨著計(jì)算機(jī)技術(shù)的發(fā)展尤其是網(wǎng)絡(luò)技術(shù)的普及，計(jì)算機(jī)病毒進(jìn)入了一個(gè)新的階段網(wǎng)絡(luò)蠕蟲病毒暴發(fā)階段，2001至今，網(wǎng)絡(luò)蠕蟲已經(jīng)成為網(wǎng)絡(luò)病毒的主流。（3）表現(xiàn)模塊：包括病毒觸發(fā)條件判斷和具體表現(xiàn)。（2）系統(tǒng)出現(xiàn)莫名其妙的死機(jī)或者重啟。除此以外，還可以用幾種專業(yè)手段來檢查：(1)比較法用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被監(jiān)測(cè)的文件進(jìn)行比較，比較時(shí)可以靠打印的代碼清除。(4)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù) 人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐或掃描技術(shù)。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。要開始一個(gè)telnet會(huì)話，必須輸入用戶名和密碼來登錄服務(wù)器。如果將telnet的最大連接數(shù)設(shè)為0，這樣就可以讓一般的黑客豪無辦法，設(shè)置方法同上。另外為了防止黑客通過Guest賬號(hào)登錄計(jì)算機(jī)，可以在“組策略”中刪除Guest賬號(hào)。 “木馬”防范措施“木馬”的概述 特洛伊木馬是一種隱藏了具有攻擊性的應(yīng)用程序。在“木馬”程序會(huì)想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄和任務(wù)管理器中隱藏自己，即將程序設(shè)為“系統(tǒng)服務(wù)”來偽裝自己，“木馬”會(huì)在每次服務(wù)端啟動(dòng)時(shí)自動(dòng)裝載到系統(tǒng)中，如：?jiǎn)?dòng)組，,注冊(cè)表等。查看注冊(cè)表。 不斷地利用cpu的利用率，使計(jì)算機(jī)不能處理其他的進(jìn)程，導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)資源癱瘓。（4）利用郵件非法安裝木馬。Color[2]=”white”。If(x==2){x=0。i++)。具體方案