計(jì)算機(jī)網(wǎng)絡(luò)安全研究new

1、提要 ..1 1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義 ............................................................................................................. 1 2 常見的幾種網(wǎng)絡(luò)入侵方法 ....................................................................

2、....................................... 1 3 網(wǎng)絡(luò)的安全策略分析 .................................. 2 3.1 防火墻 .............. 23.2 VPN ...................................................... 3 3.3 防毒墻 .................... 3 4

3、 網(wǎng)絡(luò)檢測(cè)技術(shù)分析 ................................ 3 4.1 入侵檢測(cè) ......................................................................................................................... 4 4.2 入侵防御 ............................

4、............................................................................................... 4 4.3 漏洞掃描 ..............................................................................................................

5、............. 4 5 計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅 ............................................................................................................... 5 6 計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性 ..........................................................

6、....................................................... 5 7 操作系統(tǒng)存在的安全問(wèn)題 ........................................................................................................... 5 8 結(jié)束語(yǔ)...........................

7、................................................................................................................ 6 參考文獻(xiàn)...................................................................................................

8、........................................ 6 提提提提要要要要 隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展， 網(wǎng)絡(luò)安全問(wèn)題， 在今天已經(jīng)成為網(wǎng)絡(luò)世界里最為人關(guān)注的問(wèn)題之一 危害網(wǎng)絡(luò)安全的因素很多， 它們主要依附于各種惡意軟件， 其中病毒和木馬最為一般網(wǎng)民所熟悉。針對(duì)這些危害因素， 網(wǎng)絡(luò)安全技術(shù)得以快速發(fā)展， 這也大大提高了網(wǎng)絡(luò)的安全性。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安

9、全的幾點(diǎn)策略。 1 1 1 1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義計(jì)算機(jī)網(wǎng)絡(luò)安全的含義計(jì)算機(jī)網(wǎng)絡(luò)安全的含義計(jì)算機(jī)網(wǎng)絡(luò)安全的含義 計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)， 避免被竊聽、篡改和偽造； 而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、 軍事

10、打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信， 保持網(wǎng)絡(luò)通信的連續(xù)性。 從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致 因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。2 2 2 2 常見的幾種網(wǎng)絡(luò)入侵方法常見的幾種網(wǎng)絡(luò)入侵方法常見的幾種網(wǎng)絡(luò)入侵方法常見的幾種網(wǎng)絡(luò)入侵方法 由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享、分散控制

11、、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無(wú)邊界的特征。這種開放性使黑客可以輕而易舉地進(jìn)入各級(jí)網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)還有著自然社會(huì)中所不具有的隱蔽性：無(wú)法有效識(shí)別網(wǎng)絡(luò)用戶的真實(shí)身份；由于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)碼，即數(shù)字化的形式存在，所以操作的非法活動(dòng)。主要的網(wǎng)絡(luò)安全檢測(cè)技術(shù)有。 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把 IP 地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的 IP 地址標(biāo)準(zhǔn)。它允許具有私有 IP

12、 地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的 IP 地址。在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開放的 IP 地址和端口來(lái)請(qǐng)求訪問(wèn)。OLM 防火墻根據(jù)預(yù)先定義好

13、的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問(wèn)是安全的，可以接受訪問(wèn)請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問(wèn)是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。 代理型。代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間

14、，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層

15、的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。 4.1 4.1 4.1 4.1 入侵檢測(cè)入侵檢測(cè)入侵檢測(cè)入侵檢測(cè) 入侵檢測(cè)系統(tǒng)（Intrusion Detection System,IDS）是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)

16、識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。作為防火墻的有效補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)） ，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 4.2 4.2 4.2 4.2 入侵防御入侵防御入侵防御入侵防御 入侵防御系統(tǒng)（Intrusion Prevention System,I

17、PS）則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。IPS 是基于 IDS 的、建立在IDS 發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IPS 的檢測(cè)功能類似于 IDS，防御功能類似于防火墻。IDS 是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而 IPS 部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認(rèn)為 IPS 就是防火墻加上入侵檢測(cè)系統(tǒng)，但并不是說(shuō) IPS

18、可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問(wèn)控制產(chǎn)品，它在基于 TCP/IP 協(xié)議的過(guò)濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)、VPN 等功能。 4.3 4.3 4.3 4.3 漏洞掃描漏洞掃描漏洞掃描漏洞掃描 漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，它主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供

19、的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來(lái)攻擊。通過(guò)對(duì)蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析，來(lái)發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。 5555 計(jì)算機(jī)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅潛在威