《计算机网络之网络安全论文》.doc

计算机网络之网络安全 计算机网络面临的安全性威胁 计算机网络上的通信面临两大威胁，即主动攻击和被动攻击。 主动攻击：主动攻击即攻击者访问他所需信息的故意行为。如远程登录到指定机器的端口找出公司运行的邮件服务器的信息；伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。主动攻击常见的攻击方式有以下几种： （1）、篡改：攻击者故意篡改网络上传送的报文。包括彻底中断传送的报文，把完全伪造的报文传送给接收方。 （2）、计算机病毒：编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus）。具有非授权可执行性、隐蔽性、破坏性、传染性、可触发性。 （3）、特洛伊木马：一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，实时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的， 它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。 特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和丢失。 特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。 （4）逻辑炸弹：逻辑炸弹引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激。 （5）、拒绝服务：拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。 2、被动攻击：被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。窃听、监听都具有被动攻击的本性，攻击者的目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。 二、计算机网络的安全防护 网络信息安全是一个非常关键而又复杂的问题， 它涉及技术、管理等方面的安全措施和相应的政策法律。 在这里仅从技术的角度来研究对信息安全的保护， 包括身份认证、 访问控制、 内容安全、审计和跟踪、响应和恢复几个部分。 1.网络安全的访问控制技术 访问控制的主要任务是采取各种措施保证网络信息系统不被非法使用和访问。 一般采用基于资源的集中式控制、 基于资源和目的地址的过滤管理以及网络签证等技术来实现。 访问控制所包括的典型技术有：防火墙、虚拟专用网（VPN）、 授权管理基础设施(PMI)等。 （1）、防火墙 （firewall） 是指设置在不同网络或网络安全域之间的一系列部件的组合， 它是不同网络或网络安全域之间信息的惟一出入口。防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，是一个位于计算机和它所连接的网络之间的软件或硬件该计算机流入流出的所有网络通信均要经过此防火墙。防火墙技术分为网络层与应用层两类， 分别是包过滤防火墙与应用层网关。 （2）、虚拟专网（VPN）技术是采用密码技术，使用 IP 隧道封装加密数据， 进行信息加密传输， 保证信息完整， 并结合网络访问控制技术， 抵抗各种外来攻击。 在IP 层实现了认证、 数据加密、 防止 DOS 攻击、 访问控制以及审计等安全机制， 从而使其成为安全可靠的网络信息安全传输工具。PMI （Privilege Management Infrastructure） 是属性机构、 属性证书、 属性证书注册申请中心、 属性库、 策略库等部件的集合体，用来实现权限和证书的产生、 管理、 存储、 分发和撤销功能。 PMI可以向应用系统提供对实体（人、服务器、程序等