【正文】 dows NT 在進(jìn)行合理的設(shè)置后可以達(dá)到 C2 級(jí)的安全性，但很少有人 能夠?qū)?Windows NT 本身的安全策略進(jìn)行合理的設(shè)置。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之 間的訪問(wèn)，防火墻往往是無(wú)能為力的。 主要表現(xiàn)在以下方面： 網(wǎng)絡(luò)的開(kāi)放性帶來(lái)的安全問(wèn)題 Inter 的開(kāi)放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安 全問(wèn)題。根據(jù)第三章的問(wèn)題分析，在具體的模塊上實(shí)現(xiàn)相對(duì)應(yīng)的功能。論文的主要結(jié)構(gòu):第一章：敘述網(wǎng)絡(luò)安全發(fā)展與現(xiàn)狀，及其所面對(duì)的問(wèn)題。最后，確立了用P2DR 模型 的思想來(lái)建立校園網(wǎng)的安全防御體系。： 學(xué) 號(hào)： 指導(dǎo)老師： 系 名： 專(zhuān) 業(yè)： 班 級(jí)： 二 0 一 0 年十一月十五日計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)畢業(yè)設(shè)計(jì)論文I摘要本文從計(jì)算機(jī)網(wǎng)絡(luò)面臨的各種安全威脅，系統(tǒng)地介紹網(wǎng)絡(luò)安全技術(shù)。其次，通過(guò) 對(duì)網(wǎng)絡(luò)技術(shù)的研究，得出校園網(wǎng)也會(huì)面臨著安全上的威脅。所以解決好個(gè)人計(jì)算機(jī)安全性和可靠性問(wèn)題，是保證電腦運(yùn)行的前提和保障。 第四章：網(wǎng)絡(luò)安全的防范。但在連結(jié)信息能 力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出。比如防火墻，它雖然是一種有效的安全 工具，可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果， 在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安 全因素。防火墻很難考慮到這類(lèi)安全問(wèn)題，多數(shù)情況 下，這類(lèi)入侵行為可以堂而皇之經(jīng)過(guò)防火墻而很難被察覺(jué)；比如說(shuō)，眾所周知的ASP 源 碼問(wèn)題，這個(gè)問(wèn)題在 IIS 服務(wù)器 以前一直存在，它是 IIS 服務(wù)的設(shè)計(jì)者留下的一個(gè) 后門(mén)，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出 ASP 程序的源碼，從而計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)畢業(yè)設(shè)計(jì)論文 3 可以收集系統(tǒng)信息，進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。幾乎每天都有新 的 BUG 被發(fā)現(xiàn)和公布出來(lái)，程序設(shè)計(jì)者在修改已知的 BUG 的同時(shí)又可能使它產(chǎn)生了新的 BUG。安全工具的更新速度慢，且絕大多數(shù)情況需要 人為的參與才能發(fā)現(xiàn)以前未知的安全問(wèn)題，這就使得它們對(duì)新出現(xiàn)的安全問(wèn)題總是反應(yīng) 遲鈍。(2) 據(jù)美國(guó) FBI 統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá) 75 億美元。由 于業(yè)界人心惶惶，亞馬遜()、AOL、雅虎(Yahoo!)、eBay 的股價(jià)均告下挫， 以科技股為主的那斯達(dá)克指數(shù)(Nasdaq)打破過(guò)去連續(xù)三天創(chuàng)下新高的升勢(shì)，下挫了六十 三點(diǎn)，杜瓊斯工業(yè)平均指數(shù)周三收市時(shí)也跌了二百五十八點(diǎn)。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開(kāi)了一系列的安全缺個(gè)人計(jì)算機(jī)安全防范 4 口， 許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等 特點(diǎn)。從某種意義 上講，黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。 目前我國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀和面臨的威脅主要有： (1)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟、硬件很大一部分是國(guó)外產(chǎn)品，我們對(duì)引進(jìn)的信息技術(shù) 和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)畢業(yè)設(shè)計(jì)論文 5 第 2 章 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全從其本質(zhì)來(lái)講就是網(wǎng)絡(luò)上信息安全，它涉及的領(lǐng)域相當(dāng)廣泛，這是因?yàn)槟?前的公用通信網(wǎng)絡(luò)中存在著各式各樣的安全漏洞和威脅。 （1）運(yùn)行系統(tǒng)安全：即保證信息處理和傳輸系統(tǒng)的安全，包括計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境 和傳輸環(huán)境的法律保護(hù)、計(jì)算機(jī)結(jié)構(gòu)設(shè)計(jì)的安全性考慮、硬件系統(tǒng)的安全運(yùn)行、計(jì)算機(jī) 操作系統(tǒng)和應(yīng)用軟件的安全、數(shù)據(jù)庫(kù)系統(tǒng)的安全、電磁信息泄露的防御等。本質(zhì)上是保護(hù)用戶的利益和隱私。 以上可以看出：在網(wǎng)絡(luò)中，維護(hù)信息載體和信息自身的安全都包括了機(jī)密性、完整 性、可用性這些重要的屬性。加密使信息改變，攻擊者無(wú)法了解信息的內(nèi)容從而達(dá)到保護(hù)；隱 藏則是將有用信息隱藏在其他信息中，使攻擊者無(wú)法發(fā)現(xiàn)。通過(guò)對(duì)一些重要的事件進(jìn)行記錄，從而在系統(tǒng)中發(fā)現(xiàn)錯(cuò)誤或受到 攻擊時(shí)能定位錯(cuò)誤并找到防范失效的原因，作為內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)。 （6）任務(wù)填充：在任務(wù)間歇期發(fā)送無(wú)用的具有良好模擬性能的隨機(jī)數(shù)據(jù)，以增加攻 擊者通過(guò)分析通信流量和破譯密碼獲得信息難度?；谏矸莸陌踩呗?是過(guò)濾對(duì)數(shù)據(jù)或資源的訪問(wèn)，有兩種執(zhí)行方法：若訪問(wèn)權(quán)限為訪問(wèn)者所有，典型的作法 為特權(quán)標(biāo)記或特殊授權(quán)，即僅為用戶及相應(yīng)活動(dòng)進(jìn)程進(jìn)行授權(quán)；若為訪問(wèn)數(shù)據(jù)所有則可 以采用訪問(wèn)控制表（ACL） 。 安全策略的配置 開(kāi)放式網(wǎng)絡(luò)環(huán)境下用戶的合法權(quán)益通常受到兩種方式的侵害：主動(dòng)攻擊和被動(dòng)攻 擊，主動(dòng)攻擊包括對(duì)用戶信息的竊取，對(duì)信息流量的分析。 （4）訪問(wèn)控制；對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行控制。 （2）密銀管理。 （4）安全算法實(shí)現(xiàn)：具體算法的實(shí)現(xiàn)，如 PES、RSA. 個(gè)人計(jì)算機(jī)安全防范 8 （5）安全策略數(shù)據(jù)庫(kù)：保存與具體建立的安全策略有關(guān)的狀態(tài)、變量、指針。 保證網(wǎng)絡(luò)安全還需嚴(yán)格的手段，未來(lái)網(wǎng)絡(luò)安全領(lǐng)域可能發(fā)生三件事，其一是向更高 級(jí)別的認(rèn)證轉(zhuǎn)移；其二，目前存儲(chǔ)在用戶計(jì)算機(jī)上的復(fù)雜數(shù)據(jù)將“向上移動(dòng)” ，由與銀 行相似的機(jī)構(gòu)確保它們的安全； 第三， 是在全世界的國(guó)家和地區(qū)建立與駕照相似的制度， 它們?cè)谟?jì)算機(jī)銷(xiāo)售時(shí)限制計(jì)算機(jī)的運(yùn)算能力，或要求用戶演示在自己的計(jì)算機(jī)受到攻擊 時(shí)抵御攻擊的能力 。 其中 D 級(jí)是沒(méi)有安全機(jī)制的級(jí)別，A1 級(jí)是難以達(dá)到的安全級(jí)別， GB17859 劃分的特點(diǎn)(1)D 類(lèi)安全等級(jí)：D 類(lèi)安全等級(jí)只包括 D1 一個(gè)級(jí)別。 (2)C 類(lèi)安全等級(jí)：該類(lèi)安全等級(jí)能夠提供審慎的保護(hù)，并為用戶的行動(dòng)和責(zé)任 提供審計(jì)能力。C2 系統(tǒng)比 C1 系統(tǒng)加強(qiáng)了可調(diào)的審慎控制。B 類(lèi)系統(tǒng)具有強(qiáng)制 性保護(hù)功能。另外，B2 系統(tǒng)的管理 員必須使用一個(gè)明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制。B3 系統(tǒng)必須設(shè) 有安全管理員。A1 類(lèi)與 B3 類(lèi)相似，對(duì)系統(tǒng)的結(jié)構(gòu)和策略不作特別要求。所有的安裝操 作都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的每一步安裝操作都必須有正式文檔。 （3）信息流模型：是計(jì)算機(jī)中系統(tǒng)中系統(tǒng)中信息流動(dòng)路徑，它反映了用戶在計(jì)算機(jī)系 統(tǒng)中的訪問(wèn)意圖。 在網(wǎng)絡(luò)中，防火墻實(shí)際是一種隔離技術(shù)，它所執(zhí)行的隔離措施有： （1）拒絕未經(jīng)授權(quán)的用戶訪問(wèn)內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)。 （2）可以強(qiáng)化網(wǎng)絡(luò)安全策略。 （4）防止內(nèi)部信息的外泄。因此在邏輯上防火墻是一個(gè)分離器、限制器、分析器。 （3）狀態(tài)檢測(cè)技術(shù) 此技術(shù)工作在 IP/TCP/應(yīng)用層，它結(jié)合了分組過(guò)濾和代理服務(wù)技術(shù)的特點(diǎn)，它同分 組過(guò)濾一樣，在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，分析高層的協(xié)議數(shù)據(jù)，查看內(nèi)容是否符 合網(wǎng)絡(luò)安全策略。 終端使用者可以在 tel 程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸 入一樣。 tel 可能是黑客常用的攻擊方式，我們可以通過(guò)修改 tel 服務(wù)端口，停用 tel 服務(wù)，甚至把 tel 控制臺(tái)管理工具刪除。 防止賬號(hào)被暴力破解 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)畢業(yè)設(shè)計(jì)論文 15 黑客攻擊入侵，大部分利用漏洞，通過(guò)提升權(quán)限成為管理員，這一切都跟用戶賬號(hào) 緊密相連。 大部分“木馬”采用 C/S 運(yùn)行模式，當(dāng)服務(wù)端在目標(biāo)計(jì)算機(jī)上被運(yùn)行后，打開(kāi)一個(gè) 特定的端口進(jìn)行監(jiān)聽(tīng)，當(dāng)客戶端向服務(wù)器發(fā)出連接請(qǐng)求時(shí)，服務(wù)器端的相應(yīng)程序會(huì)自動(dòng) 運(yùn)行來(lái)應(yīng)答客戶機(jī)的請(qǐng)求。（3）查找“木馬”的特征文件， “木馬”的一個(gè)特征文件是 ,另一個(gè)是 ，只要?jiǎng)h除了這兩個(gè)文件， “木馬”就不起作用了，但是需要注意的是 是和文本文件關(guān)聯(lián)的，在刪除時(shí)，必須先把文本文件跟 notepod關(guān)聯(lián)上， 否則不能使用文本文件。 （4）利用郵件非法安裝木馬。具體方案是：在 IE 窗口中點(diǎn)擊“工具” →“Inter 選項(xiàng)” ，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按 鈕，就會(huì)彈出“安全設(shè)置”對(duì)話框，把其中所有 ActiveX 插件和控件以及與 Java 相關(guān) 全部選項(xiàng)選擇“禁用” （如圖 ） 。在畢業(yè)設(shè)計(jì)的這段時(shí)間里，我發(fā)現(xiàn)自己了的缺陷和不足，而且還非常的缺乏經(jīng)驗(yàn)，令我印象最深刻的是在設(shè)計(jì)過(guò)程中會(huì)遇到各種各樣細(xì)節(jié)上的問(wèn)題，這些問(wèn)題給我的進(jìn)度造成了一些很大的影響，但我并沒(méi)有氣餒，在查閱了大量資料反復(fù)演算，點(diǎn)點(diǎn)滴滴的修改后終于解決。我的論個(gè)人計(jì)算機(jī)安全防范 18 文，在制作的過(guò)程中很存在很多的問(wèn)題。是你們對(duì)我的學(xué)習(xí)、論文撰寫(xiě)給予了精神上的鼓勵(lì)與支持。在論文即將完成之際，我的心情無(wú)法平靜，從開(kāi)始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助，在這里請(qǐng)接受我誠(chéng)摯的謝意!最后我還要感謝培養(yǎng)我長(zhǎng)大含辛茹苦的父母，謝