首页 > 语文 > 经验 > 网络安全知识教育论文2000字,计算机网络安全论文

网络安全知识教育论文2000字,计算机网络安全论文

来源:整理 时间:2023-07-29 20:22:24 编辑:挖葱教案 手机版

本文目录一览

1,计算机网络安全论文

网络安全论文一 http://www.sans.org.cn/Article/10934.html 网路安全论文二 http://www.sans.org.cn/Article/10889.html

计算机网络安全论文

2,计算机毕业论文 网络安全

基于网络的入侵检测    基于网络的入侵检测方式有基于硬件的,也有基于软件的,不过二者的任务流程是相反的。它们将网络接口的形式设置为混杂形式,以便于对全部流经该网段的数据停止时实监控,将其做出剖析,再和数据库中预定义的具有攻击特征做出比拟,从而将无害的攻击数据包辨认出来,做出呼应,并记载日志。    1.入侵检测的体系构造    网络入侵检测的体系构造通常由三局部组成,辨别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包停止监视,找出攻击信息并把相关的数据发送至管理器;Console的次要作用是担任搜集代理处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的次要作用则是呼应配置攻击正告信息,控制台所发布的命令也由Manager来执行,再把代理所收回的攻击正告发送至控制台。    2.入侵检测的任务形式    基于网络的入侵检测,要在每个网段中部署多个入侵检测代理,依照网络构造的不同,其代理的衔接方式也各不相反。假如网段的衔接方式为总线式的集线器,则把代理与集线器中的某个端口相衔接即可;假如为替换式以太网替换机,由于替换机无法共享媒价,因而只采用一个代理对整个子网停止监听的方法是无法完成的。因而可以应用替换机中心芯片中用于调试的端口中,将入侵检测零碎与该端口相衔接。或许把它放在数据流的关键出入口,于是就可以获取简直全部的关键数据。    3.攻击呼应及晋级攻击特征库、自定义攻击特征    假如入侵检测零碎检测出歹意攻击信息,其呼应方式有多种,例如发送电子邮件、记载日志、告诉管理员、查杀进程、切断会话、告诉管理员、启动触发器开端执行预设命令、www.bfblw.com 百分百论文网,取消用户的账号以及创立一个报告等等。晋级攻击特征库可以把攻击特征库文件经过手动或许自动的方式由相关的站点中下载上去,再应用控制台将其实时添加至攻击特征库中。而网络管理员可以依照单位的资源情况及其使用情况,以入侵检测零碎特征库为根底来自定义攻击特征,从而对单位的特定资源与使用停止维护。 (二)关于主机的入侵检测    通常对主机的入侵检测会设置在被重点检测的主机上,从而对本主机的零碎审计日志、网络实时衔接等信息做出智能化的剖析与判别。假如开展可疑状况,则入侵检测零碎就会有针对性的采用措施。基于主机的入侵检测零碎可以详细完成以下功用:对用户的操作零碎及其所做的一切行为停止全程监控;继续评价零碎、使用以及数据的完好性,并停止自动的维护;创立全新的平安监控战略,实时更新;关于未经受权的行为停止检测,并收回报警,同时也可以执行预设好的呼应措施;将一切日志搜集起来并加以维护,留作后用。基于主机的入侵检测零碎关于主机的维护很片面细致,但要在网路中片面部署本钱太高。并且基于主机的入侵检测零碎任务时要占用被维护主机的处置资源,所以会降低被维护主机的功能。
浅谈计算机网络安全的防范措施 http://www.yscbook.com/jsj/201203/525688.html
你好,计算机网络方面的写过的
联系我。谈谈
这个非常好笑

计算机毕业论文 网络安全

3,求一篇计算机安全论文

摘要:文中就信息网络安全内涵发生的根本变化,阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。 关键词:网络安全 防火墙 技术特征 1.概述 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。 网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。 2.防火墙 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。

求一篇计算机安全论文

4,计算机毕业论文 计算机通信网络安全浅析

自从计算机网络降生以来,网络平安是一个遭到人们普遍关注的课题。网络平安极端重要,网络只要平安才能够保证网络生活可以有序停止、网络系统不遭毁坏、信息不被窃取、网络效劳不被非法中缀等。随着人们对计算机网络依赖水平的进步,信息系统的平安性显得愈加重要,如何保证网络通讯的平安性成为人们必需面对的问题。因而,有必要制定并施行计算机通讯网络平安防护战略,以维护计算机通讯网络正常工作次序,防备计算机立功,预防计算机平安事故,有效保证计算机通讯网络的平安。  1 计算机通讯网络平安要挟  在计算机通讯网络环境中,可能经常存在以下几种攻击:1)泄密:将音讯内容走漏给没有合法权益的其别人或程序;2)传输剖析:经过剖析通讯双方的通讯形式,肯定衔接的频率和持续时间,或者是肯定通讯的音讯数量和长度;3)假装:攻击者产生一条音讯并宣称该音讯来自某一合法实体,或者攻击者发送有关收到或未收到音讯的狡诈应对;4)内容修正:抵消息的内容停止修正,包括插入、删除、转换和替代等;5)发送方承认:发送方承认未发送某条音讯;6)接纳方承认:接纳方承认收到某条音讯。  2 平安认证技术  信息的平安传输是由加密技术来保证的,而对通讯双方实体身份确实认是经过认证技术来完成的。平安认证是最重要的平安效劳之一,由于一切其他的平安效劳都依赖于该效劳。认证技术能够抵御冒充攻击的风险,也可用来确保身份,它是用来取得对谁或对什么事情信任的一种办法。一个身份的合法具有者被称作一个实体。各种物理方式的主体也需求认证,例如人、设备或计算机系统中运转的应用等。对密码系统的攻击有两种:一种是被动攻击,攻击者只是对截获的密文停止剖析而已。另一种是主动攻击,攻击者经过采取删除、添加、重放、伪造等手腕主意向系统注入假音讯。为了保证信息的可认证性,抵御主动攻击,一个平安的认证体制至少应该满足以下几个请求:1)假定的承受者可以检验和证明音讯的合法性、真实性和完好性。2)音讯的发送者对所发的音讯不能抵赖,有时也请求音讯的承受者不能承认所收到的音讯。3)除了合法的音讯发送者外,其别人不能伪造合法的音讯。认证体制中通常存在一个可信中心或可信第三方,用于仲裁、颁发证书或管理某些信息。  3 防火墙技术  防火墙技术是如今市场上应用范围最广、最容易被用户承受的网络平安产品之一。防火墙将内部可信区域与外部要挟区域有效隔离,将网络的平安战略制定和信息流集中管理控制,为网络边境提供维护。运用防火墙,能够避免非法用户对网络资源的访问。防火墙是运用过滤器来阻断一定类型的通讯传输。网关是一台机器或一组机器,它提供中继效劳,以补偿过滤器的影响。普通状况下,两个网关经过内部过滤器到内部的衔接比外部网关到其他内部主机的衔接更为开放。就网络通讯而言,两个过滤器或网关自身,都是能够省去的,详细状况随防火墙的变化而变化。防火墙依照事前规则好的配置和规则,监测并过滤一切通向外部网和从外部网传来的信息,只允许受权的数据经过。防火墙还应该可以记载有关的衔接来源、效劳器提供的通讯量以及试图闯入者的任何企图,以便当系统管理员的监测和跟踪,并且防火墙自身也必需可以免于浸透。  4 加密技术  加密技术通常分为两大类:对称式和非对称式。对称式加密就是加密和解密所运用的密钥是相同的,或者能够从一个密钥推算出另一个密钥。非对称式加密就是加密和解密所运用的不是同一个密钥,通常有两个密钥,称为公钥和私钥,它们两个必需配对运用,否则不能翻开加密文件。这里的公钥是指能够对外发布的;而“私钥”则不能,只能由持有人一个人晓得。它的优越性就在这里,由于对称式的加密办法假如是在网络上传输加密文件就很难把密钥通知对方,不论用什么办法都有可能被别窃听到。而非对称式的加密办法有两个密钥,且其中的公钥是能够公开的,也就不怕他人晓得,收件人解密时只能用本人的私钥解密,这样就很好地防止了密钥的传输平安性问题。公钥密码的提出 www.591lunwen.com 论文网,创始了现代密码开展的新纪元。假如没有公钥密码,那么在大型、开放的电子网络环境中建立具有普适性的信息平安根底设备则是一件不可想象、无法完成的事。  公钥密码体制的概念是在处理单钥密码体制中最难处理的两个问题时提出的,这两个问题分别是密钥分配和数字签名。单钥密码体制在停止密钥分配时,请求通讯双方或者曾经有一个共享的密钥,或者能够借助一个密钥分配中心来分配密钥。对前者的请求,常常可用人工方式传送双方最初共享的密钥,但是这种办法本钱很高,而且还要依赖于通讯过程的牢靠性,这同样是一个平安问题的隐患。关于第2个请求则完整依赖于密钥分配中心的牢靠性,同时密钥分配中心常常需求很大的内存容量来处置大量的密钥。公钥密码技术和对称密码技术的比拟能够从算法和密钥两个方面来停止。在算法方面,公钥密码体制的算法容易用准确的数学术语描绘,它树立在特定的已知数学问题上,平安性依赖于这种数学问题的求解是计算上不可能的。与此相对,传统密码体制的算法以复杂紊乱的数学方程为根底。固然求解单个方程并不艰难,但由于它被屡次迭代和搅乱,以致无法用解析法求解。在密钥方面,这两种密码体制的密钥产生方式也不同。在对称密码体制中,加密密钥和解密密钥能够简单地相互推导,因而它们是以简单的办法随机选择的。在公开密钥密码体制中,由公开密钥不能简单地推出机密密钥。机密密钥是依照特定的请求选择的,而公开密钥又是由机密密钥应用肯定的步骤有效地计公钥密码体制造为一种加密技术,它也是易受穷举攻击的,其处理办法也是运用较长的密钥。由于公钥密码体制运用的是某种可逆的数学函数,计算函数值的复杂性可能不是密钥长度的线性函数,而是比线性函数增长更快的函数,所以一方面为了抗穷举攻击,密钥长度要足够长;另一方面为了便于完成,处理公钥密码加解密速度较慢的问题,请求密钥长度尽可能短。在实践完成中,普通用公钥密码来停止密钥的管理和数字签名。
病毒感染随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。网络安全论文 http://www.hylunwen.com/html/wangluoanquan/网络病毒普遍具有较强的再生机制,可以通过网络扩散与传染。论文提到一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。3.数据破坏在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵人。其次是病毒破坏。第三是灾难破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。

5,关于计算机网络的论文2000字

网络安全遭遇攻击的手段及相应的对策 计算机网络就是利用通信设备和线路将地理位置分散、功能独立的多个计算机互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。 关键词:计算机网络,攻击手段,对策 一 、计算机网络及安全的概念 计算机网络就是利用通信设备和线路将地理位置分散、功能独立的多个计算机互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中资源共享和信息传递的系统。论文参考网。 计算机网络安全主要是指网络系统的硬件、软件、运行服务及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。论文参考网。 二、计算机网络遭攻击的手段 (1)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如Windows NT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 (2)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客就是使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能使得邮件系统造成正常的计算机网络反映缓慢,甚至瘫痪。 (3)解密攻击 在计算机网络上使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认“密码”不认“人”,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一种重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。这种手法一般运用于局域网,一旦攻击成功将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件会尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那么只需一眨眼的功夫就可解密。 (4)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较着名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客准备攻击时,会使用用户端程序登陆已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力比较强,给用户进行清除造成一定的麻烦。 (5)拒绝服务攻击 计算机网络上许多大网站都遭受过拒绝服务器攻击。虽然实施拒绝服务攻击(DOS)的难度比较小,但是它的破坏力相当很大。它的具体手法就是向目标服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使服务器无法对正常的服务请求进行处理,进而导致网站响应速度变慢、网站无法进入甚至服务器瘫痪。现在常见的蠕虫病毒或与者其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。论文参考网。这些病毒的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,从而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。 三 、计算机网络安全的对策 (1) 建立入网访问功能模块 入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户帐号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问该网络。计算机网络用户的用户名与口令进行验证是防止非法访问的第一道防线。计算机网络用户注册时首先输入用户名与口令,远程服务器将验证所输入的用户名是否合法,如果验证合法,才能进一步验证口令,否则,用户将被拒之门外。计算机网络管理员将对普通用户的帐号使用、访问网络时间、方式进行管理,还能控制用户登录入网的站点以及限制用户入网的工作站数量。 (2)建立计算机网络的权限控制模块 计算机网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,权限控制可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户(系统管理员根据他们的实际需要为他们分配操作权限);审计用户(负责计算机网络的安全控制与资源使用情况的审计)。 (3)建立属性安全服务控制模块 属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全控制在权限安全的基础上提供更进一步的安全性。计算机网络属性控制可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。 (4)建立计算机网络服务器安全设置模块 计算机网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。其中安装非法防问装置最有效的设施是安装防火墙。防火墙是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。 (5)建立档案信息加密制度 保密性是计算机网络安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。 (6)建立网络智能型日志系统 日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。 (7)建立完善的备份及恢复机制 为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。 三、结束语 由于计算机网络的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有效的计算机网络安全防范体系就更为迫切。实际上,保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析透网络系统的各个不安全环节,找到计算机网络安全漏洞,做到有的放矢。

6,求网络信息安全论文急急急

(最多可选2个答案) 对回答者的感言: (选填项,40字以内) 摘要:操作系统的安全性在网络安全中同样有非常重要的影响,有很多网络攻击方法都是从寻找操作系统的缺陷入手的。互联网上传统Unix操作系统有先天的安全隐患,于是产生很多修补手段来解决它上面的安全问题。但是由于Unix本身结构的原因,在很多修补方案下,仍然存在系统隐患。本文提出了一种基于微内核的操作系统结构,可以从根本上解决操作系统端的安全问题。 关键字:微内核结构、消息调度模块、应用程序管理模块 1、 网络安全中可能存在的问题 网络安全问题包括很多方面很多环节,可以说任何一个方面一个环节出了问题,多会导致不安全现象的发生。不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷。在现实运作中,密码系统已经非常完善,标准的DES、RSA和其他相关的认证体系已经成为公认的具有计算复杂性安全的密码标准协议,这个标准的健壮性也经受了成千上万网络主机的考验。但是在网络协议与操作系统本身上,仍然有很多可被攻击的人口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类Unix操作系统是在Internet中非常普遍的操作系统,主要用与网络服务。它的源代码是公开的,所以在很多场合下使用者可以定制自己的Unix操作系统,使它更适合网络相关的服务要求。由于网络协议是独立与操作系统的,它的体系结构与操作系统端是无关的,网络协议所存在的安全隐患也是独立于操作系统来修正的。本文主要讨论操作系统端可能存在的问题及可能解决方案。 2、 操作系统可能存在的安全问题 在操作系统端,安全问题主要集中在多用户的访问权限问题上。系统特权用户的权限非常大,他能够做系统所能做的任何事情。在Unix系统中,很多系统服务级的后台网络服务程序都拥有系统用户权限,可怕的是,这些后台程序的也是安全问题的最大隐患。Unix是一个巨大内核的操作系统,很多系统级的服务都放在内核中。如果这些服务程序有编程问题,问题也同时带到了内核级的权限中,这样,攻击者就有可能在内核级别进行恶意的操作了。因为没有任何错误的软件是很难存在的,所以只能容忍程序中错误的存在,而在系统结构上解决服务程序的问题。另外,进行严格的应用程序堆栈检查及堆管理,在安全问题上也十分重要。著名的对strcpy()函数攻击就是利用系统没有认真管理堆栈,而导致攻击者在自己的代码空间里获得系统用户权限。总之,如果操作系统能进行更严格的应用程序管理,就有可能使系统更安全。当然,操作系统也是一个计算机程序,任何程序都会有Bug的存在,操作系统也不会例外。那么,如何在承认有Bug存在的情况下尽量使系统安全呢?
摘要:操作系统的安全性在网络安全中同样有非常重要的影响,有很多网络攻击方法都是从寻找操作系统的缺陷入手的。互联网上传统Unix操作系统有先天的安全隐患,于是产生很多修补手段来解决它上面的安全问题。但是由于Unix本身结构的原因,在很多修补方案下,仍然存在系统隐患。本文提出了一种基于微内核的操作系统结构,可以从根本上解决操作系统端的安全问题。 关键字:微内核结构、消息调度模块、应用程序管理模块 1、 网络安全中可能存在的问题 网络安全问题包括很多方面很多环节,可以说任何一个方面一个环节出了问题,多会导致不安全现象的发生。不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷。在现实运作中,密码系统已经非常完善,标准的DES、RSA和其他相关的认证体系已经成为公认的具有计算复杂性安全的密码标准协议,这个标准的健壮性也经受了成千上万网络主机的考验。但是在网络协议与操作系统本身上,仍然有很多可被攻击的人口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类Unix操作系统是在Internet中非常普遍的操作系统,主要用与网络服务。它的源代码是公开的,所以在很多场合下使用者可以定制自己的Unix操作系统,使它更适合网络相关的服务要求。由于网络协议是独立与操作系统的,它的体系结构与操作系统端是无关的,网络协议所存在的安全隐患也是独立于操作系统来修正的。本文主要讨论操作系统端可能存在的问题及可能解决方案。 2、 操作系统可能存在的安全问题 在操作系统端,安全问题主要集中在多用户的访问权限问题上。系统特权用户的权限非常大,他能够做系统所能做的任何事情。在Unix系统中,很多系统服务级的后台网络服务程序都拥有系统用户权限,可怕的是,这些后台程序的也是安全问题的最大隐患。Unix是一个巨大内核的操作系统,很多系统级的服务都放在内核中。如果这些服务程序有编程问题,问题也同时带到了内核级的权限中,这样,攻击者就有可能在内核级别进行恶意的操作了。因为没有任何错误的软件是很难存在的,所以只能容忍程序中错误的存在,而在系统结构上解决服务程序的问题。另外,进行严格的应用程序堆栈检查及堆管理,在安全问题上也十分重要。著名的对strcpy()函数攻击就是利用系统没有认真管理堆栈,而导致攻击者在自己的代码空间里获得系统用户权限。总之,如果操作系统能进行更严格的应用程序管理,就有可能使系统更安全。当然,操作系统也是一个计算机程序,任何程序都会有Bug的存在,操作系统也不会例外。那么,如何在承认有Bug存在的情况下尽量使系统安全呢? 3、 安全的操作系统结构 也许根本不可能存在一个绝对安全的系统,可是一个好的结构可以使一个系统更难被攻击。在通常被攻击的情况下,攻击者会想办法获得系统用户权限。不可能有编写完全无错程序的办法,那么能够用尽量少系统权限程序完成操作系统功能,是解决现实中有Bug程序的一条可行之路。使用微内核结构的操作系统可以有效的解决一些这样的问题。在微内核结构下,系统的核心只有一个消息调度核心,所有的其他模块通过消息与其他模块互相联系,而通信通过消息调度核心来传输。这样,真正具有系统用户权限的程序只有这个消息调度核心了,它是直接同各种硬件大交道的模块,所有的其他系统服务,如文件系统、内存管理、进程调度都运行在它之上。这样,系统权限的程序也只有消息调度模块,其他的模块可以缩小它在原来Unix系统中的权限了,就象一个国家的军队一样,各个军官拥有他本职范畴内的权力,只有非常少数军官拥有特权(这种特权军官必须存在,否则无法指挥大局),这样的军队系统被世界范围内公认为是最稳固的。这种操作系统的结构如图1, 在图1中,只有消息调度模块(内核层)具有系统权限,其他的服务与模块只有使其可以正常工作的最小权限。应用程序管理模块是以前的Unix/Linux系统所没有的,他主要负责应用程序的权限管理,A、B、C分别是各个应用程序。下面分别对各个模块的结构与功能作一个简单说明。 消息调度模块:这是整个操作系统中具有最高系统权限的模块,它在系统中无所不能,负责管理各种硬件资源,处理中断,I/O端口,并把这些消息发送给相应的处理模块。它也是其他模块间相互通信的中转,也是整个系统的内核。这是,系统的内核不做任何与服务有关的操作,它只是一个消息转发者,也只有它才会和直接硬件打交道。消息调度模块拥有最高的系统权限,但是它不完成任何系统功能,这样也屏蔽了对系统恶意攻击者取得其他权限后,从而攻击消息调度模块的可能。 进程管理模块、文件管理模块、内存管理模块、I/O管理模块:与传统Unix系统中相应的功能模块类似,完成相应的功能。但是在微内核操作系统中,文件管理、内存管理、I/O管理模块不在具有系统用户权限,而只具有与用户程序相同的执行权限,这样可以至少保证文件管理、内存管理、I/O管理的程序错误不会涉及到系统级的安全问题。进程管理模块被赋予比消息调度模块次一级的系统权限,这是因为可以运行多个进程管理模块,产生多个虚拟机。从原则上看,进程调度模块是代码比较简单,不容易出错的模块。进程管理模块中同样包括权限过滤的代码,这段代码必须保证完全真确,才能作为其他模块正常权限工作的保证。所以在保证程序质量的前提下,进程调度模块并不会轻易的受到攻击。由于其他系统服务模块已经没有系统权限了,所以安全问题已经好转很多。文件管理模块由于涉及文件操作,需要访问硬件,所有的操作由进程管理模块过滤,会很容易的去掉那些不符合权限要求的文件请求。在内存管理模块中,应该加入栈越界的代码,而不象传统Unix那样不做任何边界检查,这样象那些用Strcpy又不喜欢进行边界检查的程序就在也不会收到更改返回地址的攻击了。现在即使这段代码非常复杂,也不会象传统巨型内核的Unix那样轻易的导致系统崩溃。I/O管理一般不会成为攻击对象,在微内核结构中,它更加不可能成为攻击对象了,因为I/O管理程序运行在普通用户级别上。图2是这几个模块的结构和具有的功能, 应用程序管理模块:这是在微内核操作系统中新增加的模块,负责对用户应用程序进行管理。应用程序管理模块把应用程序请求的系统调用排队放入一个队列后,向消息调度模块发送,用户程序不由进程管理模块直接控制,有利与进程管理模块的简单性,保证进程管理模块的代码质量。而且,应用程序模块的编程Bug不会波及其他重要的系统服务模块。应用程序管理模块不进行权限的检测与控制,但是它可能接收进程管理模块发来的权限错误消息。 4、 系统特性和总结 微内核的结构可以保证最小的模块和代码获得最大的权限,系统的安全性也就随之增强 了许多。能够运行在系统级权限的模块只有消息调度模块――微内核的核心,其他的服务模块只能以与用户权限相同的权限执行。而且,由于各个模块都比较简单,所以在编码上也不容易出错,代码维护也比巨大内核的Unix系统容易。也许,在代码精简方面与容易编程方面微内核的优势更加明显,甚至超超过了体系结构的变化带来的系统安全性。

7,计算机安全与病毒防范2000字论文

计算机病毒是一种有很强破坏和感染力的计算机程序。这种程序与其他程序不同,当把这种程序输入正常工作的计算机后,会把已有的信息破坏,并且,这种程序具有再生的能力,能自动进入有关的程序进行自我复制。由于它像微生物一样,可以繁殖,因此,被称为“计算机病毒”。关于计算机病毒的确切定义,至今尚无一个公认的概念。目前,使用较多的是美国病毒专家科恩(Fred Cohen)博士所下的定义:计算机病毒是一种能够通过修改程序,并把自己的复制品包括在内去感染其它程序的程序。计算机病毒一直都是计算机系统及信息安全的巨大威胁,系统准确地掌握计算机病毒的特征及其防范措施是及其重要的。 2 计算机病毒的特征 计算机病毒赖以生存的基础是现代计算机均采用了冯?诺依曼的“存储程序”工作原理和操作系统的公开性和脆弱性,以及网络中的漏洞。程序和数据都存在计算机中,程序和数据都可以被读、写、修改和复制,即程序可以在内存中繁殖。计算机病毒常见的特性有:感染性、流行性、欺骗性、危害性、可插入性、潜伏性、可激发性、隐蔽性、顽固性和常驻内存。 计算机病毒具有许多特征,主要表现在如下24个方面。这些特征可以作为检测病毒的重要依据,是进行病毒诊断和清除的基础。 1) 不同的病毒,具有不同的感染标记。这些标记构成了各种病毒的特征代码。Internet以及很多书籍文献上都归纳了不少已发现的病毒的特征代码供参考。 2) 磁盘重要区域,如引导扇区(BOOT)、文件分配表(FAT表)、根目录区被破坏,从而使系统盘不能使用或使数据和程序文件丢失。 3) 病毒程序在计算机中繁殖,使程序加长。据统计,有52种病毒引起宿主程序长度增长。 4) 程序加载时间变长,或执行时间比平时长。机器运行速度明显变慢,磁盘读/写时间明显增长。 5) 文件的建立日期和时间被修改。 6) 空间出现不可解释的变小,可执行文件因RAM区不足而不能加载。 7) 可执行文件运行后,秘密地丢失了,或产生新的文件。 8) 更改或重写卷标,使磁盘卷标发生变化,或莫名其妙地出现隐藏文件或其他文件。 9) 磁盘上出现坏扇区,有效空间减少。有的病毒为了逃避检测,故意制造坏扇区,而将病毒代码隐藏在坏扇区内。 10) 没有使用COPY命令,却在屏幕上显示“1 File(s)copied!”,或无明确原因,却向帖有写保护的软盘上写入数据,导致文件错误。 11) 改变系统的正常进程;或使系统空挂,使屏幕或键盘处于封锁状态;或正常操作情况下,常驻程序失败。 12) 屏幕上出现特殊的显示,如出现跳动的小球、雪花、局域闪烁、莫名其妙的提问,或出现一些异常的显示画面,如长方形亮块、小毛虫。 13) 机器出现蜂鸣声,或发出尖叫声、警报声,或演奏某些歌曲。 14) 系统出现异常启动或莫名其妙的重启动,或启动失控,或经常死机。 15) 局域网或通信线路上发生异常加载等。 16) 删除或改正磁盘特定的扇区,或对特定磁盘、扇区和整个磁盘作格式化。 17) 改变磁盘上目标信息的存储状态,盗取有用的重要数据。 18) 对于系统中用户特定的文件进行加密或解密。 19) 使打印或通信端口异常,或使软盘驱动器磁头来回移动。 20) 影响系统正常启动,或影响系统常驻内存程序的正常执行,使常驻程序失败,或使系统出现异常死机,或使系统突然重启动。 21) 使屏幕上显示的汉字不全。如小球病毒在CCDOS环境下发作时,跳动的小球在遇到汉字时即消去汉字的一半。 22) 使打印机速度减慢或使打印机失控,造成打印机不能打印,出现“No paper”提示。 23) 使系统不承认硬盘或硬盘不能引导系统,显示“Invalid specification”。 24) 异常地要求用户输入口令,或使用写保护软盘而没有进行写操作,却提示“软盘写保护”。 3 计算机病毒的防范 由于计算机病毒一旦破坏了没有副本的数据、文件,便无法再恢复了,因此,在反病毒的工作中,首先应采取有效的防范措施,使系统不被病毒感染,或者感染后能尽可能地减少损失。 计算机病毒的防治要从防毒、查毒、杀毒三方面进行。一个系统对于计算机病毒的实际防治能力和效果也是从这三个方面的能力来评判的。 防毒是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。查毒是指对于确定的环境,能够准确地报出病毒的名称,这些环境包括内存、文件、引导区(主引导区)、网络等。杀毒是指根据不同类型的病毒的清除以及对被感染对象进行恢复。恢复过程是基于不破坏未被病毒修改的内容的基础上的。感染对象包括内存、文件、引导区(主引导区)、可执行文件、文档文件、网络等。防毒能力是指预防病毒侵入计算机系统的能力,查毒能力是指发现和追踪病毒来源的能力,杀毒(解毒)能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。 通常应该采用的预防计算机病毒的手段有: (1)安全防毒软件。如果经常上网,还应安全防毒软件中的防火墙,启动实时监控。另外,每周应至少更新一次病毒定义码或病毒引擎,此外,定期扫描计算机也是一个良好的习惯。 (2)注意软盘、光盘媒介。在使用这些媒介之前,一定要先进行扫描,确信其未被感染再使用。 (3)注意下载站点。下载一定要从可靠的站点上进行,对于在Internet上下载的文件与电子邮件,应该做病毒扫描。 (4)用常识进行判断。比如,对于一些来历不明的邮件决不打开。 (5)禁止使用Windows Scripting Host。很多病毒,特别是蠕虫病毒正是钻了这个漏洞,使得用户无需单击附件,就可自动打开一个被感染的附件。 (6)定期和不定期地进行磁盘文件备份工作。重要的数据应当及时进行备份。 (7)在任何情况下,都应保留一张不开写保护的、无病毒的、带有各种DOS命令文件的系统启动盘,用于清除病毒和维护系统。 4 总结 病毒可以做其他程序所做的任何事,唯一的区别在于它将自己附加在另一个程序上,并且在宿主程序运行时秘密地执行。一旦病毒执行时,它可以完成任何功能,比如删除程序和文件等,其危害性极大。现在很多人还没有养成定期进行系统升级、维护的习惯,这也是很多人受病毒侵害感染率高的原因之一。只要培养了良好的预防病毒的意识,并充分发挥杀毒软件的防护能力,完全可以将大部分病毒拒之门外的。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。 网络安全应具有以下五个方面的特征: 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:对信息的传播及内容具有控制能力。 可审查性:出现的安全问题时提供依据与手段 从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(intranet)、企业外部网(extranet)、全球互连网(internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。物理安全分析 网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。 网络结构的安全分析 网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上internet/intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(web、dns、email等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。 系统的安全分析 所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择,无论是microsfot 的windows nt或者其它任何商用unix操作系统,其开发厂商必然有其back-door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 应用系统的安全分析 应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。 ——应用系统的安全是动态的、不断变化的。 应用的安全涉及方面很多,以目前internet上应用最为广泛的e-mail系统来说,其解决方案有sendmail、netscape messaging server、software.com post.office、lotus notes、exchange server、sun cims等不下二十多种。其安全手段涉及ldap、des、rsa等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。 ——应用的安全性涉及到信息、数据的安全性。 信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。 管理的安全风险分析 管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。 建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是校园网建设过程中重要的一环。
文章TAG:网络安全知识教育论文2000字计算机网络安全论文

最近更新

相关文章