【正文】 感謝那些老師和網(wǎng)絡(luò)上的朋友對我進(jìn)行的耐心指導(dǎo) ! 在上述的研究工作中， 由于自身水 平的原因以及時(shí)間的關(guān)系，對 個(gè)人計(jì)算機(jī)安全防范 的研究還有不盡完善的地方，以后的工作中將對存在的問題及有待完善的地方進(jìn)行更深入的 研究和分析 。老師們的知識真的很淵博 !經(jīng)驗(yàn)也特別豐富。 設(shè)計(jì) 過程中也會(huì)遇到麻煩，比如怎樣最清晰的表達(dá)自己的設(shè)計(jì)思路，如何去解決面臨的以前自己沒有涉及的領(lǐng)域！甚至有些參考書上的很多東西不是標(biāo)準(zhǔn)的。這次畢業(yè)設(shè)計(jì)給了我很大的感想！通過這次的畢業(yè)設(shè)計(jì)真的讓我學(xué)到了很多東西。 （ 2）網(wǎng)頁惡意代碼大多是在訪問網(wǎng)站時(shí)候誤下載和激活的，所以不要進(jìn)入不信任的 陌生網(wǎng)站，對于網(wǎng)頁上的各種超級連接不要盲目去點(diǎn)擊，若被強(qiáng)制安裝惡意代碼，一經(jīng) 發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機(jī)防火墻軟件。 網(wǎng)頁惡意代碼主要是含有惡意代碼的 ActiveX 或 Applet、 JavaScript 的網(wǎng)頁文件 ，所以在 IE 設(shè)置中將 ActiveX 插件和控件、 Java 腳本等全部 禁止就可以減少被網(wǎng)頁惡意代碼感染的幾率。 惡意代碼分析 在 html 中利用死循環(huán)原理，交叉顯示耀眼的光線，如果繼續(xù)插入編寫的一段代碼， 擴(kuò)大惡意程度，那么 IE 將無法使用。 （ 3） IE 泄露，利用 IE 漏洞，網(wǎng)頁可以讀取客戶機(jī)的文件，就可以從中獲得用戶賬號 和密碼。 網(wǎng)頁惡意代碼及防范 目前，網(wǎng)頁中的惡意代碼開始威脅到網(wǎng)絡(luò)系統(tǒng)安全，一般分為以下幾種： （ 1）消耗系統(tǒng)資源。 （ 2）查看注冊表。 “木馬”的防范措施 （ 1）檢查系統(tǒng)配置應(yīng)用程序。 與病毒不同， 它不具備復(fù)制能力， 其功能具有破壞性。 防范方法：通過修改注冊表來禁用空用戶連接。另外為了防止黑客通過Guest 賬號登錄計(jì)算機(jī)，可以在“組策略”中刪除 Guest 賬號。 圖 13 防止 Administrator 賬號被破解 Windows 2020/xp/2020 系統(tǒng)的 Administrator 賬號是不能被停用的，也不能設(shè)置安全策略，這樣黑客就可以一遍又一遍地嘗試這個(gè)賬號的密碼，直到被 破解，為了防止這 種侵入，我們可以把 Administrator 賬號更名：在“組策略”窗口中，依次展開“本地計(jì)算機(jī)策略” /“計(jì)算機(jī)配置” /“ windows 設(shè)置” /“安全設(shè)置” /“本地策略” /“安全選 項(xiàng)”功能分支。 Tel 是常用的遠(yuǎn)程控制 Web 服務(wù)器的方法?？梢栽诒镜鼐湍芸刂?服務(wù)器。在終 端使用者的電腦上使用 tel 程序， 用它連接到服務(wù)器。 第 4 章 網(wǎng)絡(luò)安全防范 tel 入侵防范 Tel 協(xié)議是 TCP/IP 協(xié)議族中的一員，是 Inter 遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié) 議和主要方式。 （ 2）代理服務(wù)技術(shù) 以一個(gè)高層的應(yīng)用 網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請求，在代理服務(wù)器 上進(jìn)行安全檢查后，再與被保護(hù)的應(yīng)用服務(wù)器連接，使外部用戶可以在受控制的前提下 使用內(nèi)部網(wǎng)絡(luò)的服務(wù)，由于代理服務(wù)作用于應(yīng)用層，它能解釋應(yīng)用層上的協(xié)議，能夠作復(fù)雜和更細(xì)粒度的 訪問控制；同時(shí)，由于所有進(jìn)出服務(wù)器的客戶請求必須通過代理網(wǎng)關(guān)的檢查，可以作出 精細(xì)的注冊和審計(jì)記錄，并且可以與認(rèn)證、授權(quán)等安全手段方便地集成，為客戶和服務(wù) 提供更高層次的安全保護(hù)。 防火墻根據(jù)功能實(shí)現(xiàn)在 TCP/IP 網(wǎng)絡(luò)模型中的層次，其實(shí)現(xiàn)原理可以分為三類：在 網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻功能為分組過濾技術(shù)；在應(yīng)用層實(shí)現(xiàn)防火墻功能為代理服務(wù)技術(shù)；在 網(wǎng)絡(luò)層， IP 層，應(yīng)用層三層實(shí)現(xiàn)防火墻為狀態(tài)檢測技術(shù)。 防火墻的工作原理 從防火墻的作用可以 看出，防火墻必須具備兩個(gè)要求：保障內(nèi)部網(wǎng)安全和保障內(nèi)部 網(wǎng)和外部網(wǎng)的聯(lián)通。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn) 網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。如果所有的訪問都經(jīng)過防火墻，那么，防火 墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)，當(dāng)發(fā) 生可疑動(dòng)作時(shí)， 防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警， 并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。通過以防火墻為中心的安全方案配置，能將所有的安 全軟件配置在防火墻上，體現(xiàn)集中安全管理 更經(jīng)濟(jì)。一個(gè)防火墻作為阻塞節(jié)點(diǎn)和控制節(jié)點(diǎn)能極大地提高一個(gè) 內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，只有經(jīng)過精心選擇的應(yīng)用協(xié) 議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。 （ 2）允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。 圖 防火墻的基本概念與作用 防火墻 （圖 ） 是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它執(zhí)行預(yù)先制 定的訪問控制策略，決定了網(wǎng)絡(luò)外部與網(wǎng)絡(luò)內(nèi)部的訪問方式。信息流分直接的和間接的兩種。 （ 2）常用安全模型：是一種多級安全模型，即它所控制的信息分為絕密、機(jī)密、秘密 和無密 4 種敏感級。 9 全等級標(biāo)準(zhǔn)模型 計(jì)算機(jī)信息系統(tǒng)的安全模型主要又訪問監(jiān)控器模型、軍用安全模仿和信息流模型等 三類模型，它們是定義計(jì)算機(jī)信息系統(tǒng)安全等級劃分標(biāo)準(zhǔn)的依據(jù)。 A1 系統(tǒng)必須滿足下列要 求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個(gè)安全策略的正式模型 。 A1 系統(tǒng)的顯 著特征是，系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)規(guī)范來分析系統(tǒng)。目前， A 類安全等級只包含 A1 一個(gè) 安全類別。 B3 系統(tǒng)應(yīng)滿足以下要求 : (a)B3 必須產(chǎn)生一個(gè)可讀的安全列表，每個(gè)被命名的對象提供對該對象沒有訪 問權(quán)的用戶列表說明； (b)B3 系統(tǒng)在進(jìn)行任何操作前，要求用戶進(jìn)行身份驗(yàn)證； (c)B3 系統(tǒng)驗(yàn)證每個(gè)用戶，同時(shí)還會(huì)發(fā)送一個(gè)取消訪問的審計(jì)跟蹤消息；設(shè)計(jì) 者必須正確區(qū)分可信任的通信路徑和其他路徑；可信任的通信基礎(chǔ)體制為每一 個(gè) 被命名的對象建立安全審計(jì)跟蹤；可信任的運(yùn)算基礎(chǔ)體制支持獨(dú)立的安全管理。 B3 系統(tǒng)具有很強(qiáng)的監(jiān)視委托管理訪問能力和抗干擾能力。 B2 系統(tǒng)必須滿足下列要求：系統(tǒng)必須立即通知系統(tǒng)中的每一個(gè)用戶所有與之相關(guān) 的網(wǎng)絡(luò)連接的改變；只有用戶能夠在可信任通信路徑中進(jìn)行初始化通信；可 信任 運(yùn)算基礎(chǔ)體制能夠支持獨(dú)立的操作者和管理員。 B2 系統(tǒng)必須滿足 B1 系統(tǒng)的所有要求。強(qiáng)制性保護(hù)意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會(huì)讓用 戶存取對象。 (3)B 類安全等級： B 類安全等 級可分為 B B2 和 B3 三類。在連接 事件和資源隔離來增強(qiáng)這種控制。 在 C1 系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認(rèn)為 C1 系統(tǒng)中的 所有文檔都具有相同的機(jī)密性。 C 類安全等級可劃分為 C1 和 C2 兩類。 D1 系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者 是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。 D1 的安全等級最低。在 TCSEC 劃分了 7 個(gè)安全等級： D 級、 C1 級、 C2 級、 B1 級、 B2 級、 B3 級和 A1 級。 第 3 章 網(wǎng)絡(luò)安全問題解決對策 計(jì)算機(jī)安全級別的劃分 TCSEC 簡介 1999年 9 月 13日國家質(zhì)量技術(shù)監(jiān)督局公布了我國第一部關(guān)于計(jì)算機(jī)信息系統(tǒng)安全 等級劃分的標(biāo)準(zhǔn)“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則” （ GB178591999） 。 國際互聯(lián)網(wǎng)允許自主接入，從而構(gòu)成一個(gè)規(guī)模龐大的，復(fù)雜的巨系統(tǒng)，在如此復(fù)雜 的環(huán)境下，孤立的技術(shù)發(fā)揮的作用有限，必須從整體的和體系的角度，綜合運(yùn)用系統(tǒng)論， 控制論和信息論等理論，融合各種技術(shù)手段，加強(qiáng)自主創(chuàng)新和頂層設(shè)計(jì)，協(xié)同解決網(wǎng)絡(luò) 安全問題。 網(wǎng)絡(luò)安全發(fā)展趨勢 總的看來，對等網(wǎng)絡(luò)將成為主流，與網(wǎng)格共存。是在不同的終端系統(tǒng)之間協(xié)商建立共同采用的安全策略，包括安全 策略實(shí)施所在層次、具體采用的認(rèn)證、加密算法和步驟、如何處理差錯(cuò)。包括密銀的產(chǎn)生、協(xié)商、交換和更新，目的是為了在通信的終端系統(tǒng)之間建立實(shí)現(xiàn)安全策略所需的共享密銀。主要是指公開密銀證書的產(chǎn)生、分配更新和驗(yàn)證。 （ 5）不可否認(rèn)性；也稱不可抵賴性， 即防止對數(shù)據(jù)操作的否認(rèn)。 （ 3）數(shù)字簽名；防止用戶否認(rèn)對數(shù)據(jù)所做的處理。根據(jù)用戶對安全的需求才可 以采用以下的保護(hù)： （ 1）身份認(rèn)證；檢驗(yàn)用戶的身份是否合法、防止身份冒充、及對用戶實(shí)施訪問控制 數(shù)據(jù)完整性