【正文】 安全域之間的一系列部件的組合，它執(zhí)行預(yù)先制 定的訪問控制策略，決定了網(wǎng)絡(luò)外部與網(wǎng)絡(luò)內(nèi)部的訪問方式。一個防火墻作為阻塞節(jié)點和控制節(jié)點能極大地提高一個 內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險，只有經(jīng)過精心選擇的應(yīng)用協(xié) 議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如果所有的訪問都經(jīng)過防火墻，那么，防火 墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)，當(dāng)發(fā) 生可疑動作時， 防火墻能進(jìn)行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。 防火墻的工作原理 從防火墻的作用可以看出，防火墻必須具備兩個要求：保障內(nèi)部網(wǎng)安全和保障內(nèi)部 網(wǎng)和外部網(wǎng)的聯(lián)通。（2）代理服務(wù)技術(shù) 以一個高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請求，在代理服務(wù)器 上進(jìn)行安全檢查后，再與被保護(hù)的應(yīng)用服務(wù)器連接，使外部用計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)設(shè)計論文 13 戶可以在受控制的前提下 使用內(nèi)部網(wǎng)絡(luò)的服務(wù)，由于代理服務(wù)作用于應(yīng)用層，它能解釋應(yīng)用層上的協(xié)議，能夠作復(fù)雜和更細(xì)粒度的 訪問控制；同時，由于所有進(jìn)出服務(wù)器的客戶請求必須通過代理網(wǎng)關(guān)的檢查，可以作出 精細(xì)的注冊和審計記錄，并且可以與認(rèn)證、授權(quán)等安全手段方便地集成，為客戶和服務(wù) 提供更高層次的安全保護(hù)。在終 端使用者的電腦上使用 tel 程序， 用它連接到服務(wù)器。Tel 是常用的遠(yuǎn)程控制 Web 服務(wù)器的方法。另外為了防止黑客通過 Guest 賬號登錄計算機(jī)，可以在“組策略”中刪除 Guest 賬號。 與病毒不同， 它不具備復(fù)制能力， 其功能具有破壞性。（2）查看注冊表。（3）IE 泄露，利用 IE 漏洞，網(wǎng)頁可以讀取客戶機(jī)的文件，就可以從中獲得用戶賬號 和密碼。 網(wǎng)頁惡意代碼主要是含有惡意代碼的 ActiveX 或 Applet、 JavaScript 的網(wǎng)頁文件 ，所以在 IE 設(shè)置中將ActiveX 插件和控件、Java 腳本等全部 禁止就可以減少被網(wǎng)頁惡意代碼感染的幾率。這次畢業(yè)設(shè)計給了我很大的感想！通過這次的畢業(yè)設(shè)計真的讓我學(xué)到了很多東西。老師們的知識真的很淵博!經(jīng)驗也特別豐富。其次，衷心感謝我的課任指導(dǎo)老師給我學(xué)習(xí)上的及論文上面的無私幫助，感謝******班同學(xué)的資料幫助及論文寫作中遇到問題的無私幫助。特別感謝我的指導(dǎo)老師，她對本課題做了不少工作，給予我不少的幫助。你們是我生活中的朋友，也是人生旅途中的良師益友。感謝那些老師和網(wǎng)絡(luò)上的朋友對我進(jìn)行的耐心指導(dǎo)! 在上述的研究工作中，由于自身水平的原因以及時間的關(guān)系，對個人計算機(jī)安全防范的研究還有不盡完善的地方，以后的工作中將對存在的問題及有待完善的地方進(jìn)行更深入的研究和分析。設(shè)計過程中也會遇到麻煩，比如怎樣最清晰的表達(dá)自己的設(shè)計思路，如何去解決面臨的以前自己沒有涉及的領(lǐng)域！甚至有些參考書上的很多東西不是標(biāo)準(zhǔn)的。計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)設(shè)計論文 17 （2）網(wǎng)頁惡意代碼大多是在訪問網(wǎng)站時候誤下載和激活的，所以不要進(jìn)入不信任的 陌生網(wǎng)站，對于網(wǎng)頁上的各種超級連接不要盲目去點擊，若被強(qiáng)制安裝惡意代碼，一經(jīng) 發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機(jī)防火墻軟件。 惡意代碼分析 個人計算機(jī)安全防范 16 在 html 中利用死循環(huán)原理，交叉顯示耀眼的光線，如果繼續(xù)插入編寫的一段代碼， 擴(kuò)大惡意程度，那么 IE 將無法使用。 網(wǎng)頁惡意代碼及防范 目前，網(wǎng)頁中的惡意代碼開始威脅到網(wǎng)絡(luò)系統(tǒng)安全，一般分為以下幾種： （1）消耗系統(tǒng)資源。 “木馬”的防范措施 （1）檢查系統(tǒng)配置應(yīng)用程序。 防范方法：通過修改注冊表來禁用空用戶連接。個人計算機(jī)安全防范 14 圖 防止 Administrator 賬號被破解 Windows 2022/xp/2022 系統(tǒng)的 Administrator 賬號是不能被停用的，也不能設(shè)置安全策略，這樣黑客就可以一遍又一遍地嘗試這個賬號的密碼，直到被破解，為了防止這 種侵入，我們可以把 Administrator 賬號更名：在“組策略”窗口中，依次展開“本地計算機(jī)策略”/“計算機(jī)配置”/“windows 設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選 項”功能分支?？梢栽诒镜鼐湍芸刂品?wù)器。第 4 章 網(wǎng)絡(luò)安全防范 tel 入侵防范 Tel 協(xié)議是 TCP/IP 協(xié)議族中的一員，是 Inter 遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié) 議和主要方式。防火墻根據(jù)功能實現(xiàn)在 TCP/IP 網(wǎng)絡(luò)模型中的層次，其實現(xiàn)原理可以分為三類：在 網(wǎng)絡(luò)層實現(xiàn)防火墻功能為分組過濾技術(shù)；在應(yīng)用層實現(xiàn)防火墻功能為代理服務(wù)技術(shù)；在 網(wǎng)絡(luò)層，IP 層，應(yīng)用層三層實現(xiàn)防火墻為狀態(tài)檢測技術(shù)。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點 網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。通過以防火墻為中心的安全方案配置，能將所有的安 全軟件配置在防火墻上，體現(xiàn)集中安全管理更經(jīng)濟(jì)。 （2）允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。信息流分直接的和間接的兩種。 全等級標(biāo)準(zhǔn)模型 計算機(jī)信息系統(tǒng)的安全模型主要又訪問監(jiān)控器模型、軍用安全模仿和信息流模型等 三類模型，它們是定義計算機(jī)信息系統(tǒng)安全等級劃分標(biāo)準(zhǔn)的依據(jù)。A1 系統(tǒng)的顯 著特征是，系統(tǒng)的設(shè)計者必須按照一個正式的設(shè)計規(guī)范來分析系統(tǒng)。B3 系統(tǒng)應(yīng)滿足以下要求: (a)B3 必須產(chǎn)生一個可讀的安全列表，每個被命名的對象提供對該對象沒有訪 問權(quán)的用戶列表說明； (b)B3 系統(tǒng)在進(jìn)行任何操作前，要求用戶進(jìn)行身份驗證； (c)B3 系統(tǒng)驗證每個用戶，同時還會發(fā)送一個取消訪問的審計跟蹤消息；設(shè)計 者必須正確區(qū)分可信任的通信路徑和其他路徑；可信任的通信基礎(chǔ)體制為每一個 被命名的對象建立安全審計跟蹤；可信任的運算基礎(chǔ)體制支持獨立的安全管理。 B2 系統(tǒng)必須滿足下列要求：系統(tǒng)必須立即通知系統(tǒng)中的每一個用戶所有與之相關(guān) 的網(wǎng)絡(luò)連接的改變；只有用戶能夠在可信任通信路徑中進(jìn)行初始化通信；可信任 運算基礎(chǔ)體制能夠支持獨立的操作者和管理員。強(qiáng)制性保護(hù)意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用 戶存取對象。在連接 事件和資源隔離來增強(qiáng)這種控制。C 類安全等級可劃分為 C1 和 C2 兩類。D1 的安全等級最低。 計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)設(shè)計論文 9 第 3 章 網(wǎng)絡(luò)安全問題解決對策 計算機(jī)安全級別的劃分 TCSEC 簡介 1999 年 9 月 13 日國家質(zhì)量技術(shù)監(jiān)督局公布了我國第一部關(guān)于計算機(jī)信息系統(tǒng)安全 等級劃分的標(biāo)準(zhǔn)“計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 ” （GB178591999） 。 網(wǎng)絡(luò)安全發(fā)展趨勢 總的看來，對等網(wǎng)絡(luò)將成為主流，與網(wǎng)格共存。包括密銀的產(chǎn)生、協(xié)商、交換和更新，目的是為了在通信的終端系統(tǒng)之間建立實現(xiàn)安全策略所需的共享密銀。 （5）不可否認(rèn)性；也稱不可抵賴性，即防止對數(shù)據(jù)操作的否認(rèn)。根據(jù)用戶對安全的需求才可 以采用以下的保護(hù)： （1）身份認(rèn)證；檢驗用戶的身份是否合法、防止身份冒充、及對用戶實施訪問控制 數(shù)據(jù)完整性鑒別、防止數(shù)據(jù)被偽造、修改和刪除。這兩種情況中，數(shù)據(jù)項的大小有很大的變化，數(shù)據(jù)權(quán)力命名 也可以帶自己的 ACL 。 網(wǎng)絡(luò)安全管理機(jī)制 網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問題，更是一個管理問題，要解決網(wǎng)絡(luò)信息安全問題， 必須制定正確的目標(biāo)策略，設(shè)計可行的技術(shù)方案，確定合理的資金技術(shù)，采取相應(yīng)的管 理措施和依據(jù)相關(guān)法律制度。 （4）完整性保證。 （2）認(rèn)證和授權(quán)。個人計算機(jī)安全防范 6 網(wǎng)絡(luò)安全機(jī)制 網(wǎng)絡(luò)安全機(jī)制是保護(hù)網(wǎng)絡(luò)信息安全所采用的措施，所有的安全機(jī)制都是針對某些潛 在的安全威脅而設(shè)計的，可以根據(jù)實際情況單獨或組合使用。 網(wǎng)絡(luò)安全的屬性 網(wǎng)絡(luò)安全具有三個基本的屬性：機(jī)密性、完整性、可用性。 （2）網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán) 限、方式控制、安全審計、安全問題跟蹤、計算機(jī)病毒防治、數(shù)據(jù)加密等。廣義上講，凡是涉及到網(wǎng)絡(luò)上 信息的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。 (2)全社會的信息安全意識雖然有所提高，但將其提到實際日程中來的依然很少。 因特網(wǎng)在我國的迅速普及，我國境內(nèi)信息系統(tǒng)的攻擊事件也正在呈現(xiàn)快速增長的勢 頭。因此，提高對病毒的防范刻不容緩。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確 配置，否則，安全隱患始終存在。 網(wǎng)絡(luò)安全的主要威脅因素 (1)軟件漏洞：每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。(3) Ernst 和 Young 報告，由于信息安全被竊或濫用，幾乎 80%的大型企業(yè)遭受損 失。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。系統(tǒng)的 BUG 經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防 火墻來說，該入侵行為的訪問過程和正常的 WEB 訪問是相似的，唯一區(qū)別是入侵訪問在 請求鏈接中多加了一個后綴。例如，Win