【正文】 策略實施所在層次、具體采用的認證、加密算法和步驟、如何處理差錯。 網絡安全發(fā)展趨勢 總的看來，對等網絡將成為主流，與網格共存。 國際互聯(lián)網允許自主接入，從而構成一個規(guī)模龐大的，復雜的巨系統(tǒng)，在如此復雜 的環(huán)境下，孤立的技術發(fā)揮的作用有限，必須從整體的和體系的角度，綜合運用系統(tǒng)論， 控制論和信息論等理論，融合各種技術手段，加強自主創(chuàng)新和頂層設計，協(xié)同解決網絡 安全問題。畢業(yè)論文 9 第 3 章 網絡安全問題解決對策 計算機安全級別的劃分 TCSEC 簡介 1999 年 9 月 13 日國家質量技術監(jiān)督局公布了我國第一部關于計算機信息系統(tǒng)安全 等級劃分的標準“計算機信息系統(tǒng)安全保護等級劃分準則 ” （GB178591999） 。在 TCSEC 劃分了 7 個安全等級：D 級、C1 級、C2 級、B1 級、B2 級、B3 級和 A1 級。 GB17859 劃分的特點(1)D 類安全等級：D 類安全等級只包括 D1 一個級別。D1 系統(tǒng)只為文件和用戶提供安全保護。 (2)C 類安全等級：該類安全等級能夠提供審慎的保護，并為用戶的行動和責任 提供審計能力。C1 系統(tǒng)的可信任運算基礎 體制（Trusted Computing Base，TCB）通過將用戶和數(shù)據分開來達到安全的目的。C2 系統(tǒng)比 C1 系統(tǒng)加強了可調的審慎控制。C2 系統(tǒng)具有 C1 系統(tǒng)中所有的安全性特征。B 類系統(tǒng)具有強制 性保護功能。B1 系統(tǒng)滿足下列要求：系統(tǒng)對網絡控制下的每個對象都進行靈敏度 標記；系統(tǒng)使用靈敏度標記作為所有強迫訪問控制的基礎；系統(tǒng)在把導入的、非 標記的對象放入系統(tǒng)前標記它們；靈敏度標記必須準確地表示其所聯(lián)系的對象的 安全級別；當系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或 I/O 設備時，管理員 必須指定每個通信通道和 I/O 設備是單級還是多級，并且管理員只能手工改變指 定；單級設備并不保持傳輸信息的靈敏度級別；所有直接面向用戶位置的輸出（無 論是虛擬的還是物理的）都必須產生標記來指示關于輸出對象的靈敏度；系統(tǒng)必 須使用用戶的口令或證明來決定用戶的安全訪問級別；系統(tǒng)必須通過審計來記錄 未授權訪問的企圖。另外，B2 系統(tǒng)的管理 員必須使用一個明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運算基礎體制。 B3 系統(tǒng)必須符合 B2 系統(tǒng)的所有安 全需求。B3 系統(tǒng)必須設 有安全管理員。 (4)A 類安全等級：A 系統(tǒng)的安全級別最高。A1 類與 B3 類相似，對系統(tǒng)的結構和策略不作特別要求。對系統(tǒng)分析 后，設計者必須運用核對技術來確保系統(tǒng)符合設計規(guī)范。所有的安裝操 作都必須由系統(tǒng)管理員進行；系統(tǒng)管理員進行的每一步安裝操作都必須有正式文檔。 畢業(yè)論文 11 （1）訪問監(jiān)控模型：是按 TCB 要求設計的，受保護的客體要么允許訪問，要么不允許 訪問。 （3）信息流模型：是計算機中系統(tǒng)中系統(tǒng)中信息流動路徑，它反映了用戶在計算機系 統(tǒng)中的訪問意圖。 防火墻技術 隨著網絡安全問題日益嚴重，網絡安全技術和產品也被人們逐漸重視起來，防火墻 作為最早出現(xiàn)的網絡安全技術和使用量最大的網絡安全產品，受到用戶和研發(fā)機構的親睞。 在網絡中，防火墻實際是一種隔離技術，它所執(zhí)行的隔離措施有： （1）拒絕未經授權的用戶訪問內部網和存取敏感數(shù)據。 而它的核心思想是在不安全的因特網環(huán)境中構造一個相對安全的子網環(huán)境，其目的 是保護一個網絡不受另一個網絡的攻擊，所以防火墻又有以下作用： （1）作為網絡安全的屏障。 （2）可以強化網絡安全策略。 （3）對網絡存取和訪問進行監(jiān)控審計。 （4）防止內部信息的外泄。 （5）支持具有因特網服務性的企業(yè)內部網絡技術體系 VPN。因此在邏輯上防火墻是一個分離器、限制器、分析器。 （1）分組過濾技術 實際上是基于路由器技術，它通常由分組過濾路由器對 IP 分組進行分組選擇，允 許或拒絕特定的 IP 數(shù)據包，工作于 IP 層。 （3）狀態(tài)檢測技術 此技術工作在 IP/TCP/應用層，它結合了分組過濾和代理服務技術的特點，它同分 組過濾一樣，在應用層上檢查數(shù)據包的內容，分析高層的協(xié)議數(shù)據，查看內容是否符 合網絡安全策略。它為用戶提供了在本地計算機上完成遠程主機工作的能力。 終端使用者可以在 tel 程序中輸入命令，這些命令會在服務器上運行，就像直接在服務器的控制臺上輸 入一樣。要開始一個 tel 會話，必須輸入用戶名 和密碼來登錄服務器。 tel 可能是黑客常用的攻擊方式，我們可以通過修改 tel 服務端口，停用 tel 服務，甚至把 tel 控制臺管理工具刪除。 （如圖 ）重命名系統(tǒng)管理員帳戶“屬性”對話框，在此輸入新的管理員名稱，盡量把它為普通用戶，然后另建一個超過 10 位的超級復雜密碼，并對該賬號啟用審核，這樣即使黑客費力破解到密碼也殺一無所獲。 畢業(yè)論文 16 防止賬號被暴力破解 黑客攻擊入侵，大部分利用漏洞，通過提升權限成為管理員，這一切都跟用戶賬號 緊密相連。 “木馬”防范措施 “木馬”的概述 特洛伊木馬是一種隱藏了具有攻擊性的應用程序。 大部分“木馬”采用 C/S 運行模式，當服務端在目標計算機上被運行后，打開一個 特定的端口進行監(jiān)聽，當客戶端向服務器發(fā)出連接請求時，服務器端的相應程序會自動 運行來應答客戶機的請求。在“木馬”程序會想盡一切辦法隱藏自己，主要途徑 有：在任務欄和任務管理器中隱藏自己，即將程序設為“系統(tǒng)服務”來偽裝自己， “木 馬”會在每次服務端啟動時自動裝載到系統(tǒng)中。（3）查找“木馬”的特征文件， “木馬”的一個特征文件是 ,另一個是 ，只要刪除了這兩個文件， “木馬”就不起作用了，但是需要注意的是 是和文本文件關聯(lián)的，在刪除時，必須先把文本文件跟 notepod關聯(lián)上， 否則不能使用文本文件。（2）非法向用戶硬盤寫入文件。 （4）利用郵件非法安裝木馬。圖 網頁惡意代碼的防范措施 （1）運行 IE 時，點擊“工具→Inter 選項→安全→ Inter 區(qū)域的安全級別” ， 把安全級別由 “中” 改為 “高” （如圖 ） 。畢業(yè)論文 18 具體方案是：在 IE 窗口中點擊“工具” →“Inter 選項” ，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按 鈕，就會彈出“安全設置”對話框，把其中所有 ActiveX 插件和控件以及與 Java 相關 全部選項選擇“禁用” （如圖 ） 。圖 畢業(yè)論文 19 總結時光飛逝，轉眼間我們就要大專畢業(yè)了。在畢業(yè)設計的這段時間里，我發(fā)現(xiàn)自己了的缺陷和不足，而且還非常的缺乏經驗，令我印象最深刻的是在設計過程中會遇到各種各樣細節(jié)上的問題，這些問題給我的進度造成了一些很大的影響，但我并沒有氣餒，在查閱了大量資料反復演算，點點滴滴的修改后終于解決。幸虧有大量朋友和老師的指導，使我改正了在書上 看到的不正確的知識。我的論文，在制作的過程中很存在很多的問題。 畢業(yè)論文 20 致 謝 三年的讀書生活在這個季節(jié)即將劃上一個句號，而于我的人生卻只是一個逗號，我將面對又一次征程的開始。感謝我教書育人的老師，我不是你們最出色的學生，而你們卻是我最尊敬的老師。在這里尤其要感謝老師，從論文題目的選定到論文寫作的指導,經由您悉心的點撥,再經思考后的領悟,常常讓我有“山重水復疑無路,柳暗花明又一村”。在論文即將完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學、朋友給了我無言的幫助，在這里請接受我誠摯謝意！ 同時也感謝學院為我提供良好的做畢業(yè)設計的環(huán)境。畢業(yè)論文 21 參考文獻【1】邵波，：電子工業(yè)出版社【2】蔡立[M].北京：中國水利水電出版社【3】陳健偉，[M].北京：希望電子出版社 【4】王宇，[M].北京：科學出版社 【5】賈晶，陳元，[M].北京:清華大學出版社【6】[美]——原理與實踐（第三版）[M]. 電子工業(yè)出版 社【7】[M].北京：機械工業(yè)出版社 【8】[M]. 清華大學出版社 【9】[M]. 清華大學出版社【10】羅森林,：北京理工大學出版社【11】[M].北京：科學出版社【12】 800 :中國鐵道出版社【13】謝冬青，冷鍵，[M].北京：機械工業(yè)出版社【14】[M].北京：機械工業(yè)出版社