計算機網絡安全策略畢業論文

1、<p><b>　　畢業設計（論文）</b></p><p><b>　　計算機網絡安全策略</b></p><p><b>　　摘 要</b></p><p>　　隨著政府上網、海關上網、電子商務、網上娛樂等一系列網絡應用的蓬勃發展，Internet正在越來越多地離開原來單純的學術環境，

2、融入到社會的各個方面。一方面，網絡用戶成分越來越多樣化，出于各種目的的網絡入侵和攻擊越來越頻繁；另一方面，網絡應用越來越深地滲透到金融、商務、國防等等關鍵要害領域。換言之，Internet網的安全，包括其上的信息數據安全和網絡設備服務的運行安全，日益成為與國家、政府、企業、個人的利益休戚相關的"大事情"。安全保障能力是新世紀一個國家綜合國力、經濟競爭實力和生存能力的重要組成部分。不夸張地說，它在下個世紀里完全可以與核

3、武器對一個國家的重要性相提并論。這個問題解決不好將全方位地危及我國的政治、軍事、經濟、文化、社會生活的各個方面，因此本文分析了當前網絡安全工作對于國家安全和經濟建設的重要意義、它所面臨的種種威脅、網絡安全體系之所以失敗的原因，然后通過分析網絡安全技術的最新發展，給出了一個較為完備的安全體系可以采用的各種加強手段，包括防火墻、加密與認證、網絡安全掃描、入侵檢測等技術。本文提出制定適當的、完備的網絡安全策略是實現網絡安全的前提，高水平的網絡

4、安全技術隊伍是安</p><p>　　關鍵詞：計算機網絡  網絡安全  防火墻  病毒  對策</p><p><b>　　Abstract</b></p><p>　　With the government on-line, Customs Internet, e-commerce, entertain

5、ment and a series of rapid development of network applications, Internet is increasingly leaving the original purely academic environment into all aspects of society. On the one hand, Internet users are increasingly dive

6、rse composition, for various purposes of network intrusion and attacks become more frequent; the other hand, network applications to penetrate deeper into the financial, business, the key to vital areas of nation</p&g

7、t;<p>　　Keywords: computer network security firewall, virus response network</p><p><b>　　目 錄</b></p><p><b>　　第1章 緒論1</b></p><p>　　1.1 課題背景1</p&g

8、t;<p>　　1.2常見的計算機網絡安全的威脅1</p><p>　　1.3常見的計算機網絡安全防范措施2</p><p>　　第2章 計算機網絡安全策略3</p><p>　　2.1物理安全策略3</p><p>　　2.2訪問控制策略3</p><p>　　2.2.1 入網訪問控制3&l

9、t;/p><p>　　2.2.2 網絡的權限控制4</p><p>　　2.2.3 目錄級安全控制4</p><p>　　2.2.4屬性安全控制4</p><p>　　2.2.5網絡服務器安全控制5</p><p>　　第3章 安全網絡的建設6</p><p>　　3.1內部網的安全6&

10、lt;/p><p>　　3.2 Internet接口安全6</p><p>　　3.3 Extranet 接口的安全6</p><p>　　3.4 移動用戶撥號接入內部網的安全6</p><p>　　3.5 數據庫安全保護6</p><p><b>　　第4章 防火墻7</b></p&

11、gt;<p>　　4.1防火墻類型7</p><p>　　4.2防火墻的選擇8</p><p>　　4.3防火墻的安全性和局限性9</p><p>　　第5章 加密技術10</p><p>　　5.1 對稱加密技術10</p><p>　　5.2 非對稱加密/公開密匙加密11</p>

12、;<p>　　5.3 RSA算法11</p><p>　　5.4 MD511</p><p>　　第6章 網絡日志13</p><p>　　6.1故障排查13</p><p>　　6.2 日志統計的重要性14</p><p>　　6.3 安全審核和日志分析技巧14</p><

13、;p><b>　　結 論16</b></p><p><b>　　致 謝17</b></p><p><b>　　參考文獻18</b></p><p><b>　　第1章 緒論</b></p><p><b>　　1.1 課題背景

14、</b></p><p>　　隨著計算機網絡的不斷發展，全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統和銀行等傳輸敏感數據的計算機網絡系統而言，其網上信息的安全和保密尤為重要。因此，上述的網絡必須有足夠

15、強的安全措施，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。</p><p>　　1.2常見的計算機網絡安全的威脅</p><p>　　計算機網絡所面臨的威脅大體可分為兩種：一是對網絡中信息的威脅；二是對

16、網絡中設備的威脅。影響計算機網絡的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網絡系統資源的非法使有，歸結起來，針對網絡安全的威脅主要有三：</p><p>　　(1)人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。</p><p>

17、　　(2)人為的惡意攻擊：這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。</p><p>　　(3)網絡軟件的漏洞和“后門”：網絡軟件不可能是百分之

18、百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。</p><p>　　1.3常見的計算機網絡安全防范措施</p><p>　　網絡安全的脆弱性體現：當我們

19、評判一個系統是否安全時,不應該只看它應用了多么先進的設施,更應該了解它最大的弱點是什么,因為網絡的安全性取決于它最薄弱環節的安全性，通過考察近幾年在Internet上發生的黑客攻擊事件,我們不難看出威脅網絡安全的基本模式是一樣的。特別在大量自動軟件工具出現以后,加之Internet提供的便利,攻擊者可以很方便地組成團體,使得網絡安全受到的威脅更加嚴重。隱藏在世界各地的攻擊者通?？梢栽竭^算法本身,不需要去試每一個可能的密鑰,甚至不需要去尋

20、找算法本身的漏洞,他們能夠利用所有可能就范的錯誤,包括設計錯誤、安裝配置錯誤及教育培訓失誤等,向網絡發起攻擊。但在大多數情況下,他們是利用設計者們犯的一次次重復發生的錯誤輕松得逞的。我們可以粗略地將對系統安全造成的威脅歸結為6大類 :教育培訓問題、變節的員工、系統軟件的缺陷、對硬件的攻擊、錯誤的信任模型和拒絕服務。</p><p>　　常見攻擊方法及對策。人們將常見的攻擊方法分為以下幾種類型:試探(probe)、

21、掃描(scan)、獲得用戶賬戶(account compromise)、獲得超級用戶權限(root compromise)、數據包竊聽(packet sniffer)、拒絕服務(denial of service)、利用信任關系、惡意代碼(如特洛伊木馬、病毒、蠕蟲等)以及攻擊Internet基礎設施(如DNS系統和網絡路由等)。一般說來攻擊者對目標進行攻擊要經歷3個步驟:情報搜集、系統的安全漏洞檢測和實施攻擊。</p>&

22、lt;p>　　(1)與網絡設備經銷商取得聯系，詢問他們是否研制了防范DOS（拒絕服務式攻擊）的軟件，如TCP SYN ACK。 </p><p>　　(2)制定嚴格的網絡安全規則，對進出網絡的信息進行嚴格限定。這樣可充分保證黑客的試探行動不能取得成功。 </p><p>　　(3)將網絡的TCP超時限制縮短至15分鐘（900秒），以減少黑客進攻的窗口機會。 </p>&

23、lt;p>　　(4)擴大連接表，增加黑客填充整個連接表的難度。 </p><p>　　(5)時刻監測系統的登錄數據和網絡信息流向，以便及時發現任何異常之處。美國網絡趨勢公司研制的Firewa ll Suite 2.0軟件是進行網絡登錄和通信測試的最佳軟件，有24種不同的防火墻產品，可提供250種詳細報告。 </p><p>　　(6)安裝所有的操作系統和服務器補丁程序。隨時與銷售商保

24、持聯系，以取得最新的補丁程序。 </p><p>　　(7)盡量減少暴露在互聯網上的系統和服務的數量。每暴露一個都會給網絡增加一份危險。 </p><p>　　第2章 計算機網絡安全策略 </p><p><b>　　2.1物理安全策略</b></p><p>　　物理安全策略的目的是保護計算機系統、網絡服務器、打印機等

25、硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類

26、防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。</p><p><b>　　2.2訪問控制策略</b></p><p>　　訪問控制

27、是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。</p><p>　　2.2.1 入網訪問控制</p><p>　　入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄

28、到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網絡之外。用戶的口令是用戶入

29、網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基于單向函數的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗

30、證器（如智能卡）來驗證用戶的身份。網絡管理員應該可以控</p><p>　　2.2.2 網絡的權限控制</p><p>　　網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其兩種實現方式。受托者指派

31、控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；（3）審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。</p><p>　　2.2.3 目錄級安全控制

32、</p><p>　　網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限（Supervisor）、讀權限（Read）、寫權限（Write）、創建權限（Create）、刪除權限（Erase）、修改權限（Modify）、文件查找權限（File Scan）、存取控制權限（Access

33、 Control）。用戶對文件或目標的有效權限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡系統管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。</p><p>　　2.2.4屬性安全控制</p>&l

34、t;p>　　當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文

35、件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。</p><p>　　2.2.5網絡服務器安全控制</p><p>　　網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非

36、法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。如圖2-1所示。 </p><p>　　圖2-1 服務器設置</p><p>　　第3章 安全網絡的建設</p><p><b>　　3.1內部網的安全</b></p><p>　　內部網的安全防范應滿足以下原則:(1)內

37、部網能根據部門或業務需要劃分子網(物理子網或虛擬子網),并能實現子網隔離。(2)采取相應的安全措施后,子網間可相互訪問。</p><p>　　3.2 Internet接口安全</p><p>　　內部網接入Internet對安全技術要求很高,應考慮以下原則:(1)在未采取安全措施的情況下,禁止內部網以任何形式直接接入Internet。 (2)采取足夠的安全措施后,允許內部網對Interne

38、t開通必要的業務。 (3)對Internet公開發布的信息應采取安全措施保障信息不被篡改。</p><p>　　3.3 Extranet 接口的安全</p><p>　　Extranet應采取以下安全原則:(1)未采取安全措施的情況下,禁止內部網直接連接Extranet。 (2)設立獨立網絡區域與Extranet交換信息,并采取有效的安全措施保障該信息交換區不受非授權訪問。 (3)來自Ex

39、tranet的特定主機經認證身份后可訪問內部網指定主機。 </p><p>　　3.4 移動用戶撥號接入內部網的安全</p><p>　　移動用戶撥號接入內部網的安全防范應滿足以下原則:(1)在未采取安全措施的情況下,禁止移動用戶直接撥號接入內部網。 (2)移動用戶在經身份認證后可訪問指定的內部網主機。 </p><p>　　3.5 數據庫安全保護</p>

40、;<p>　　對數據庫安全的保護主要應考慮以下幾條原則:(1)應有明確的數據庫存取授權策略。 (2)重要信息在數據庫中應有安全保密和驗證措施。</p><p><b>　　第4章 防火墻</b></p><p>　　防火墻作為內部網絡與外部網絡之間的第一道安全屏障,是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機

41、構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻, 是最先受到人們重視的網絡安全技術，是實施安全防范的系統，可被認為是一種訪問控制機制，用于確定哪些內部服務允許外部訪問，以及允許哪些外部服務訪問內部服務。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。</p><p><b>　　4.1防火墻類型</b></p><p>

42、　　(1)包過濾防火墻：包過濾防火墻設置在網絡層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型（TCP、UDP、ICMP等）、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止

43、訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。</p><p>　　(2)代理防火墻：代理防火墻又稱應用層網關級防火墻，它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連，并對數據進行嚴格選擇，然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中

44、間轉接作用，其功能類似于一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時，代理服務器接受申請，然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網絡轉發這項請求。代理防火墻無法快速支持一些新出現的業務（如多媒體）?，F要較為流行的代理服務器軟件是WinGate和Proxy Server。</p><p

45、>　　(3)雙穴主機防火墻：該防火墻是用主機來執行安全控制功能。一臺雙穴主機配有多個網卡，分別連接不同的網絡。雙穴主機從一個網絡收集數據，并且有選擇地把它發送到另一個網絡上。網絡服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據，從而保護了內部網絡不被非法訪問。</p><p><b>　　4.2防火墻的選擇</b></p><

46、p>　　選擇防火墻的標準有很多,但最重要的是以下幾條: </p><p>　　(1)總擁有成本防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗

47、略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論。 </p><p>　　(2)防火墻本身是安全的，作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網絡系統也就沒有任何安全性可言了。通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本

48、無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。</p><p>　　(3)管理與培訓，管理和培訓是評價一個防火墻好壞的重要方面。我們已經談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總

49、擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。 </p><p>　　(4)可擴充性，在網絡系統建設的初期,由于內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒

50、有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大了產品覆蓋面。</p><p>　　4.3防火墻的安全性和局限性</p><p>　　防火墻產品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有

51、效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火墻產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。防火墻局限性也降低了安全系數，防火墻不能防范不經由防火墻的攻擊。如果內部網用戶直接從Internet服務提供那里購置直接的SLIP或PPP連接，則饒過了防火墻

52、系統所提供的安全保護，從而造成了一個潛在的后門攻擊渠道。防火墻不能防范人為因素的攻擊。例如，內奸或用戶操作造成的威脅，以及由于口令泄露而受到的攻擊。防火墻不能防止受病毒感染的軟件或文件的傳輸。由于操作系統、病毒、二進制文件類型（加密、壓縮）的種類太多且更新很快，所以防火墻無法逐個掃描每個文件以查找病毒。防火墻不能防止數據驅動式的攻擊。當有些表面看來無害的數據郵寄或拷貝到內部網的主機上并被執行時，可能會發生數據驅動式的攻擊。例如，一種數據

53、驅動式的攻擊可以使主機修改或系統安全有關的配置文件，從而使</p><p><b>　　第5章 加密技術</b></p><p>　　信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點

54、加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密算法分為常規密碼算法和公鑰密碼算法。常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密

55、鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的算法、橢園曲線、EI</p><p>　　5.1 對稱加密技術</p><p>　　在對

56、稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES（數據加密

57、標準）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。</p><p>　　5.2 非對稱加密/公開密匙加密</p><p>　　在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，

58、私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。</p><p><b>　　5.3 RSA算法</b></p>&

59、lt;p>　　RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數之積。RSA算法的描述如下： </p><p>　　公開密鑰：n=pq(p、q分別為兩個互異的大素數，p、q必須保密) </p><p>　　e與（p-1

60、）(q-1)互素 </p><p>　　私有密鑰：d=e-1 {mod(p-1)(q-1)} </p><p>　　加密：c=me(mod n),其中m為明文，c為密文。 </p><p>　　解密：m=cd(mod n) </p><p>　　利用目前已經掌握的知識和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目

61、前和預見的將來，它是足夠安全的。</p><p><b>　　5.4 MD5</b></p><p>　　MD5有RonRivest所設計。該編碼算法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數字指紋（Finger Print）,它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要

62、便成為驗證明文是否是“真身”的“指紋”了。</p><p>　　PKI（Publie Key Infrastucture）技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術，

63、他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構（CA）、注冊機構（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復、撤消系統等功能模塊的有機結合。如圖5-1所示。</p><p>　　圖5-1 PKI技術</p><

64、p><b>　　第6章 網絡日志</b></p><p>　　網絡管理是一個經驗積累的過程，是一個不斷再學習的過程。而網絡日志則為大家經驗的積累提供了一個很好的工具。在我們的日常的網絡管理工作中，形成了一個慣例：將當天遇到的問題與解決方法填寫在網絡日志中，然后每個月將這些東西進行整理歸類到一個名為網絡管理的FAQ中。FAQ以一問一答的方式收集內容，以WEB形式共享。這樣，當網管人員以后

65、遇到問題時，可以先在這里尋找答案，大大提高了解決問題、排除故障的效率。</p><p><b>　　6.1故障排查</b></p><p>　　飛機失事時，大家總是去尋找那個記錄著失事前的一些情況的黑匣子，以便能夠通過了解失事前的情況，推測出飛機失事的原因。而網絡日志對于故障排除正是起到黑匣子的功能，如果你能夠認真做好日志，那么當網絡故障出現的時候，你就可以通過察看網

66、絡日志，了解到故障發生前的一些網絡情況，從而推測出故障的原因所在。下面，我們就通過幾個例子來說明，如果通過網絡日志來排除故障：</p><p>　　例一：在企業內部的一臺應用服務器，操作系統是Windows NT 4.0，在上面運行著一個通訊網關程序。有一天一上班，就發現這個通訊網關程序罷工了。到該服務器前面一看，這個程序異常退出了，而且再也啟動不起來。這時，網絡管理人員迅速查找網絡日志，發現在昨天下午下班后，另

67、一名網絡管理人員為了提高安全性，在該服務器上打上了SP6，然后關機下班。因此，網絡管理人員馬上與該程序的開發商取得了聯系，確認了該程序與SP6存在不兼容的情況，并取得了修改過該問題的新版程序，順利的解決了該問題。在本例中，通過查看網絡日志，尋找到了變動因素，從而找到引起該問題的原因，而且少走了很多彎路，這就是網絡日志所起的作用。</p><p>　　例二：有一段時間，企業內部網絡突然出現了一個奇怪的現象，每天中午

68、大家都無法正常收發E-Mail，經常超時，數據傳輸奇慢。一開始，我們認為是中午大家上網的人數多了，而且最近新增了不少員工，可能使得網絡帶寬消耗太大。為了能夠找出原因，我們首先連續幾個中午進行網絡流量監測，并將結果記錄下來。然后翻開網絡日志，查看在發生該情況之前的網絡流量的數據，發現這幾個中午的網絡流量居然是平時最大值的10多倍。我們覺得這樣的情況肯定不是新員工的增加引起的。因而，我們繼續進行了網絡監控，試圖尋找出這個數據的來源，結果用S

69、niffer監聽到了一臺PC在源源不斷地向外廣播大量的數據包。我們找到這臺機的用戶，然后向他了解中午通常使用什么程序，他說是在用“超級解霸”看VCD，結果我們打開他的“超級解霸”,發現他誤設置打開了DVB數字視頻廣播，向整個局域網用戶進行視頻廣播，正是這個原因導致了網絡阻塞。試想如果沒有網絡日志的數據，我們可能無法得知網絡數據的增長到底有多大，是不是與新增員工成比例，就可能會盲目采用新增帶寬的方式來解決，那當然是事與愿違的結果了。<

70、;/p><p>　　6.2 日志統計的重要性</p><p>　　網絡日志記錄了網絡日常運營的狀態信息，這些信息顯示了網絡的動態情況，有了這些情況，就可以正確地做出網絡升級的決策，使得網絡升級能夠落到實處，解決問題的關鍵點。同時，網絡日志還為網絡升級提供了詳細的數據依據，為決策提供了第一手素材。</p><p>　　例如，每年底，企業領導要求我提交一個關于新的一年中網絡

71、升級的需求報告時，我們總是打開今天的網絡日志，進行以下幾個方面的統計，以便制定相應的升級計劃：</p><p>　　(1)對網絡日志的網絡流量數據進行分類統計，獲取以下信息：</p><p>　　網絡流量增長率：通過對每個階段的網絡流量繪制成為直方圖或趨勢線圖，就可以直觀地知道網絡流量的需求變化情況。如果網絡流量有明顯的放大，就可以從增長的趨勢中找到規律，知道在什么時候會超過現在網絡的負載

72、，及時的提前做好升級工作。網絡流量高峰時期：可以在網絡日志中尋找到網絡流量高峰的時期，并根據這些數據尋找問題的原因，然后制定相應的規范來解決。如經常發現每天中午是高峰期，而這時公司的高層經理經常無法正常收取電子郵件，那么就可以采用流量分配的策略，為公司的高層經理分配一個固定的帶寬，以保證業務需要。</p><p>　　(2)對網絡中病毒記錄進行統計，就可以得知現行的病毒防治策略是否有效，例如網絡日志中體現出了宏病

73、毒的發作率較高，那么就應該根據這一情況，對病毒防治策略中加強宏病毒的能力，如選擇對宏病毒防治更有力的病毒防火墻等。</p><p>　　(3)另外，我們還可以從網絡日志中，發現每一個網絡服務器的負載變化情況，然后根據這一情況，制定網絡服務器的軟硬件升級計劃。</p><p>　　6.3 安全審核和日志分析技巧</p><p>　　(1)是審核的對象 </p&g

74、t;<p>　　在2000系統中，有安全審核策略，但默認是關閉的，需要手工在安全策略中打開。在打開時需要定義審核的對象，在這里，你要定義好你所需要審核的對象。不要一骨腦全選上，結果是在日志中有一大堆的記錄，都不知道看什么好。 </p><p><b>　　(2)審核的方式</b></p><p>　　除了系統安全審核（如用戶登錄、注銷、目錄訪問等），系統

75、還有訪問審核和文件審核。你可以對重要文件加以嚴格審核，可以審核到哪些人什么時間使用了該文件，做了什么操作等。這些需要在資源管理器里自己設（必須是NTFS格式）。 </p><p>　　(3)日志的位置和分析</p><p>　　事件里的安全日志是系統安全審核的記錄所在，應根據你選擇的審核對象和記錄產生速度定義好大小，一般建議為1024M，也就是1G，并定義處理方式為覆蓋30天前的數據，這樣

76、日志中就可以保存30天的數據資料，應該夠用了，如果你選擇了按需要覆蓋，則系統記錄滿后將自動覆蓋最早的數據（不建議），如果你選擇了手工清除，請確保你的日志大小足夠大。安全日志記錄滿后如果不能自動處理，將禁止用戶使用計算機的。安全日志不能正確記錄時，系統將立即關閉計算機。這些也可以在策略中修改。這里需要特別注意的是，當發現一個審核失敗時，并不一定意味著是一個安全問題，在正常操作中，偶然也會發生目錄訪問或特權使用失敗的情況，應特殊問題特殊對待

77、。 IIS（WEB管理）的日志是在IIS中設置的，你可以在IIS管理器的站點中設置日志的位置、周期和記錄內容。這里特別要強調一下，協議狀態是很重要的參數，它指示著協議是否正確有效的被執行了。這是判斷是否有人通過IIS執行過特殊命令的有效方式。同樣記錄的內容不要太亂，否則將給日志的分析帶來困難。 TS（終端服務）的日志默認是沒有的，需要在終端配置管理中啟用日志審核。 對于日志的分析，應注意時間、</p><p>&

78、lt;b>　　結 論</b></p><p>　　網絡安全管理體系的建立網絡安全管理體系構建是以安全策略為核心，以安全技術作為支撐，以安全管理作為落實手段，完善安全體系賴以生存的大環境。</p><p>　　安全策略是一個成功的網絡安全體系的基礎與核心。安全策略包括網絡拓撲結構和為了網絡安全、穩定、可持續發展能夠承受的安全風險，保護對象的安全優先級等方面的內容。安全技術

79、的應用常見的安全技術主要包括防火墻、安全漏洞掃描、安全評估分析、網管軟件、入侵檢測、網絡陷阱、備份恢復和病毒防范等。在網絡安全體系中各種安全技術要合理部署，互聯互動，形成一個有機的整體。安全管理安全管理貫穿整個安全防范體系，是安全防范體系的核心，代表了安全防范體系中人的因素。安全管理更主要的是對安全技術和安全策略的管理。用戶的安全意識是信息系統是否安全的決定因素，除了在網絡中心部署先進的網絡結構和功能強大的安全工具外，從制度上、應用上和

80、技術上加強網絡安全管理。</p><p>　　由于網絡的連通性，在享受網絡便利的同時，用戶的信息資源便有被暴露的可能。因為網絡中總有這樣那樣好奇的或攻擊性的實體存在，對個人而言，可能表現在私生活的公開化，從而帶來一些意想不到的麻煩。而對于信息網絡涉及到的國家政府、軍事、文教等諸多領域，由于其中存貯、傳輸和處理的信息有許多是政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息，甚

81、至是國家機密，如果這些信息被侵犯，則會在政治、經濟等方面帶來不可估量的的損失。因此，網絡安全就顯得尤其重要。</p><p>　　總之，計算機網絡安全策略是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網絡安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面

82、，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。</p><p><b>　　致 謝</b></p><p>　　走的最快的總是時間，來不及感嘆，大學生活已近尾聲，三年多的努力與付出，隨著本次論文的完成，將要劃下完美的句號。</p><p>　　從課題選擇到具體的寫作過程，無不凝聚著xx老師的心血和汗水。他的循循

83、善誘的教導和不拘一格的思路給予我無盡的啟迪，他的淵博的專業知識，精益求精的工作作風，嚴以律己、寬以待人的崇高風范，將一直是我工作、學習中的榜樣。在我的畢業論文寫作期間，老師為我提供了種種專業知識上的指導和一些富于創造性的建議，沒有這樣的幫助和關懷，我不會這么順利的完成畢業論文。在此向xx老師表示深深的感謝和崇高的敬意。</p><p>　　同時，論文的順利完成，離不開其它各位老師、同學和朋友的關心和幫助。在整個的

84、論文寫作中，各位老師、同學和朋友積極的幫助我查資料和提供有利于論文寫作的建議和意見，讓我把握了畢業論文答辯怎么寫。在在他們的幫助下，論文得以不斷的完善，終極幫助我完整的寫完了整個論文。</p><p>　　最后，也是最重要的，我要感謝我的父母，由于沒有他們，就沒有現在站在這里的我，是他們賜與我生命，賜與我大學的機會，是他們創就今天的我。對于你們，我充滿了無窮的感激。</p><p><

85、;b>　　參考文獻</b></p><p>　　[1]雷震甲.網絡工程師教程.[M].北京：清華大學出版社，2004.</p><p>　　[2]郭軍.網絡管理.[M].北京：北京郵電大學出版社，2001.</p><p>　　[3]勞幗齡.網絡安全與管理.[M].北京：高等教育出版社，2003.</p><p&g

86、t;　　[4]祁明.網絡安全與保密.[M].北京：高等教育出版社，2001.</p><p>　　[5] 蔡立軍.計算機網絡安全技術.中國水利水電出版社.2001.</p><p>　　[6] 陳三堰.網絡攻防技術與實踐.北京科海電子出版社.2006.5.</p><p>　　[7] 卿斯漢.安全協議.清華大學出版社.2005.4.</p>&

87、lt;p>　　[8] 張友生.計算機病毒與木馬程序剖析.北京科海電子出版社.2003</p><p>　　[9] 謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社,2003</p><p>　　[10] 胡道元.計算機局域網[M].北京:清華大學出版社,2001.</p><p>　　[11] 張紅旗．信息網絡安全[M]．清華大學出版社，2002.