計算機網絡數據報告精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的計算機網絡數據報告主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:計算機網絡數據報告范文
關鍵詞:簡單網絡管理協議(SNMP) 網絡拓撲自動發現算法 網絡管理
隨著計算機網絡的普及,人們對計算機網絡的依賴性大大加強了。在現有的技術條件下,人們希望有一個更加穩定可靠的網絡環境。計算機網絡管理系統就是應這樣的需求而產生的。它對網絡上的各種設備進行管理,通過監視和控制這些設備。及時地向管理人員報告網絡狀態,并且簡化網絡故障的處理,減少故障造成的損失,提高網絡的服務質量和效率。在我國,人們開始認識到網絡管理的重要性。
一、網絡管理中傳統的網絡拓撲發現算法
網絡拓撲的發現,實際上就是根據網絡上節點連接情況,構造出來一個反映這種連接關系的圖。網絡節點可以是網關,也可以是子網:網關節點是與子網和其它網關節點相鄰的節點;子網節點可被認為只與網關節點相鄰,至少與它的缺省網關相鄰。各子網通過各目的網關與其他子網通信,這些子網可以是一個局域網,也可以是某個局域網的一部分,它們都連接到網關的一個端口上。網關的端口可以連接子網,也可以同其他路由器相連。
主拓撲指的是反映出關鍵設備包括路由器,它們的接口和子網的連接關系,即路由器一路由器、路由器一子網、接口的關系。這些信息需要對網絡進行搜索而獲得:一般只需要對連接設備進行遍歷就可以得到主拓撲結構。當前的網管軟件都是通過對網絡設備的MIB庫進行訪問,所以這種方法又被稱為基于SNMP的拓撲發現。經過上述的遍歷過程,可以得到網絡拓拓撲圖的整體構成,知道了網絡主干通道情況。但是子網內部的具體設備以及連接狀態尚不可知。這就需要依靠子網發現來做進一步的工作。子網發現完成的任務是確定子網內各網絡設備的狀態、類型以及網絡接口。
遍歷的定義是:對于無向圖,以圖中某一點為出發點,沿著邊依次訪問圖的其余節點,如果圖是連通的,則從圖的任一點出發按一定的順序沿著某些邊可以訪問圖中的所有節點,而且每個節點僅被訪問一次,這一過程稱為圖的遍歷。在網絡上,一個節點可以和很多的節點連接,所以當進行網絡拓撲結構發現的時候,有可能會訪問已經被發現過的節點。因此,在遍歷的時候,必須對每一個節點設置一個標志。當節點未被訪問過時,相應的標志為0,否則,就置為1。
二、改進的網絡拓撲算法
前面基于SNMP的拓撲算法在一定程度上是非常有效的,拓撲的速度也非常快。但它存在一個缺陷。那就是,在一個特定的域中,所有的子網的信息都依賴于設備具有SNMP的特性,如果系統不支持SNMP,則這種方法就無能為力了。還有對網絡管理的不重視,或者考慮到安全方面的原因,人們往往把網絡設備的SNMP功能關閉,這樣就難于取得設備的MIB值,就出現了拓撲的不完整性,嚴重影響了網絡管理系統的功能。針對這一的問題,下面討論本文對上述算法的改進一基于ICMP協議的拓撲發現。
(一)ICMP報文的格式
ICMP被認為是IP層的一個組成部分。它傳遞差錯報文以及其他需要注意的信息。網際協議CIP沒有出錯報告或出錯校正機制,它依靠網際控制報文協議(ICMP)模塊來報告數據處理過程,井提供管理和狀態信息。ICMP報文在傳送時被封裝在IP數據報中,使用IP協議發送,但ICEP不看作是高層協議的內容。
回應請求與應答均以IP數據報的形式在網間傳輸,假如成功地收到一個應答(應答中的數據拷貝與請求中的任選數據完全一致),不但說明信宿機可以到達,而且說明數據報傳輸系統的相應部分工作正常,至少信源機和信宿機的ICMP軟件和IP軟件工作正常,請求與應答經過中間網關也在正常工作。在許多TCP/IP實現中,用戶命令Ping便是利用ICMP回應請求/應答報文測試信宿機的可到達性的。
(二)PING的實現
PING的主要操作是發送報文,并簡單地等待回答。PING之所以如此命名,是因為它是一個簡單的回顯協議,使用ICMP響應請求與響應應答報文。PING主要由系統程序員用于診斷和調試。一般的,PING的功能有:
LOOP BACK PING用于驗證TCP/IP軟件的操作。
PIN G地址確定能否尋址物理網絡設備。
PING遠程IP地址驗證能否尋址網絡。
PING遠程主機名驗證主機上某個服務器的操作。
實現PING的過程主要是:首先向目的機器發送一個響應請求的ICMP報文,然后等待目的機器的應答,直到超時。如收到應答報文,貝以報告目的機器運行正常,程序退出。
(三)traceroute的實現
在IP頭的結構中,存在一個ip_ttl域,即生存時間(time to_live,TTL)。TTL參數用于測量數據報在網際存在多長時間。網絡中的每個路由器都檢查該域,如果TTL值為0,路由器就拋棄該數據報。路由器還必須對它處理的每個數據報的該域進行減I操作。在實際執行中,TTL域是一個反映跳段的值。所以,當數據報穿過一個IP節點(網關)時。TTL域中的值就減1。
traceroute的功能就是利用IP頭中的TTL域。開始時信源設置IP頭的TTL值為0,發送報文給信宿,第一個網關收到此報文后,發現TTL值為0,它丟棄此報文,并發送一個類型為超時的ICMP報文給信源。信源接收到此報文后對它進行解析,這樣就得到了路由中的第一個網關地址。然后信源發送TTL值為1的報文給信宿,第一個網關把它的TTL值減為0后轉發給第二個網關,第二個網關發現報文TTL值為0,丟棄此報文并向信源發送超時ICMP報文。這樣就得到了路由中和第二個網關地址。如此循環下去,直到報文正確到達信宿,這樣就得到了通往信宿的路由。
(四)網絡拓撲的發現算法
具體實現的步驟:
1、于給定的IP區間,利用PING依次檢測每個IP地址,將檢測到的IP地址記錄到IP地址表中。
2、對第一步中查到的每個IP地址進行traceroute操作,記錄到這些IP地址的路由。并把每條路由中的網關地址也加到IP表中。
3、對IP地址表中的每個IP地址,通過發送掩碼請求報文與接收掩碼應答報文,找到這些IP地址的子網掩碼。
4、根據子網掩碼,確定對應每個IP地址的子網地址,并確定各個子網的網絡類型。把查到的各個子網加入地址表中。
第2篇:計算機網絡數據報告范文
【關鍵詞】計算機網絡 安全 防護
目前,現代社會信息化已經成為了社會發展的重要趨勢。隨著計算機網絡的不斷深入,社會生產與生活都離不開計算機網絡,各行各業的日常運營與發展也都需要基于計算機網絡之上。目前,計算機網絡已經成為了人們獲取信息與交流的主要途徑。但是,計算機網絡自身是存在一定缺陷的,并且也存在一定的安全風險。近年來,各種由于網絡安全問題而造成的事件,已經為社會各界敲響了網絡安全的警鐘。計算機網絡安全應用是一項系統性的工程,主要是指對網絡內部信息與數據的竊取和破壞。計算機網絡自身形式較多,并且具有開放性與互聯性,很容易受到黑客與惡意軟件的攻擊。網絡安全從最本質上來說,主要是指網絡中信息的安全,網絡安全應用就是保護網絡中數據與信息不被破壞、竊取、泄露、更改,并且保證網絡服務正常工作。
1 計算機網絡應用中常見的安全問題
第一,掃描工具與嗅探器工具的信息窺探。掃描工具針對系統中存在的漏洞,對系統與網絡進行遍歷搜尋。一般來說,漏洞是普遍存在的,掃描手段被用來惡意并且隱蔽的對他人計算機中信息進行探測,為進行惡意攻擊提供準備。嗅探器則是通過對計算機網絡端口之間數據報文截獲,阿貍獲取相關信息。嗅探器可以對網絡通信中的數據進行監聽,并且通過數據分析,來獲得用戶名稱、口令等私密信息,對于網絡安全有著嚴重的威脅。
第二,病毒與木馬的入侵行為。木馬是黑客實現遠程控制計算機的工具,并且具有非授權性和隱蔽性。當木馬被植入到目標計算機中,目標的主機就會被黑客所控制,并且黑客得到目標主機的最高使用權。木馬程序可以收集用戶系統中的個人信息,嚴重威脅用戶信息安全。
第三,以傳輸協議為途徑發動攻擊。攻擊者通過特殊的協議漏洞,惡意的利用超載等方式,對系統進行具有目的性的攻擊,造成系統癱瘓與崩潰。協議攻擊的典型例子就是通過TCP/IP協議中的“三次握手”的漏洞,對目標系統發出攻擊,利用大量數據包的流入,使得目標系統資源耗盡,造成系統癱瘓。
第四,利用操作系統的開放端口來進行攻擊。系統軟件中,存在一定的函數指針、邊界條件等漏洞,地址空間出現錯誤時,就會產生端口服務被惡意利用的現象。利用軟件定的報文或者清酒,使得軟件在運行過程中,出現異常,造成系統或軟件的崩潰。比較著名的OOB供給方式,就是對windows系統的139端口發送隨機數,來進行攻擊,造成CPU繁忙,影響系統的正常工作。
第五,利用偽裝技術來對目標主機發動攻擊。采用偽裝技術對主機目標發動攻擊,這是黑客進行攻擊時的主要手段。黑客通過對IP地址、DNS解析地址、路由條目等那信息的偽造,使得被攻擊的主機無法分辨請求,從而出現系統癱瘓的情況。偽裝技術的應用,使得被攻擊主機難以分辨信息來源,難以作出正確的相應行為。
2 計算機網絡安全應用防護對策
2.1 采用防火墻技術
防火墻是一種通過自定義的安全規則,對系統進行隔離控制的技術。防火墻可以對網絡通信進行控制,并且結合過濾技術、應用網關技術、狀態監測等技術,對內外網的通信進行訪問控制。防火墻可以對網絡中數據進行合法性的分析,在網絡入口處,對主機與外網的交互信息進行過濾。另外,在防火墻的基礎上,安全管理人員還要制定合理的安全策略,對文件傳輸、端口協議、MAC地址等進行控制。
2.2 入侵檢測技術的應用
入侵檢測技術可以為計算機中出現的未授權入侵現象進行檢測,并且在出現這種情況時進行及時的報告,是對計算機網絡中攻擊行為的常用檢測手段。應用入侵檢測技術,可以在入侵者對系統造成危害之前,確認入侵者的行為,并且通過防護系統進行驅逐。入侵檢測系統可以降低被惡意入侵造成的損失,并且記錄入侵行為,為后續提高系統安全防范能力做出準備。
2.3 應用病毒防護技術
病毒是造成計算機安全問題中一個重要因素,采用合理的病毒防范技術可以最大限度的降低病毒對系統的危害。病毒防護技術是現代計算機安全管理技術中重要的組成部分,病毒防護技術也一直在隨著計算機網絡的發展而不斷發展。目前病毒發展十分迅速,結合虛擬技術與人工預測,可以有效的對未知病毒進行預防與查殺。殺毒引擎的算法不斷發展,利用特征碼掃描可以提高病毒掃描速度,而不受病毒庫不斷增大的影響。另外,嵌入式殺毒技術的發展,也使得計算機防毒能力得到了有效的提升。
2.4 數據加密
數據加密技術是網絡信息時代,對數據進行保護的重要手段。采用數據加密技術,可以使數據變成密文,從而防止在網絡傳輸過程中,被人竊取。在獲得密文之后,需要有密鑰將數據進行還原。如果沒有密鑰,在獲得數據之后就無法進行還原,從而就達到了保護數據的目的。
3 結束語
計算機網絡安全是一個具有系統性的綜合課題,其涉及了技術、管理、使用等多方面,計算機安全管理工作包括了信息系統的安全、技術安全、邏輯安全、物理安全等多方面。只有建立科學合理的安全策略,并且結合先進的安全技術,才可以有效的保證信息的安全與完整性,保證網絡的暢通。現代社會的快速發展離不開互聯網的推動,計算機網絡已經融入到人們的日常生活當中,計算機安全問題已經與我們每一個人都息息相關。網絡安全需要每個人都積極的參與,并且提供計算機網絡安全意識,注重對自身信息的保護。
參考文獻
[1]宋華平.計算機網絡安全與防范[J].機電信息,2010(12).
[2]劉君.計算機網絡安全分析及其對策[J].科技風,2010(09).
[3]王翔.計算機通信網絡安全探討[J].科技風,2010(8).
第3篇:計算機網絡數據報告范文
[關鍵詞] 計算機;網絡安全;安全問題;解決辦法
一 引言
在現階段計算機發展的過程中,不得不提及計算機網絡安全。計算機網絡安全是在計算機網絡運行過程中,專門設置的網絡安全管理方式,對于某個區域內的網絡數據和相關信息做出整體性的保護,以此來得到計算機信息和數據的完整性。有的網絡通過在加密的情況下來對于計算機網絡使用的的軟件程序和數據資料庫進行保護。在以往的計算機網絡使用經驗來看,網絡安全主要集中在數據資料被盜取或是資料數據被隨意的篡改,這就會個計算機使用者帶來極大的危害。而現有的網絡計算機系統的存儲量較大,數據的交換方式也日益增多,保證安全方面就出現了很大的問題,用以往的數據保護模式已經很難滿足現有的計算機使用。這就需要在不斷的研究中總結出在大規模使用計算機網絡中,如何將數據安全的使用最為最主要的任務來完成。
二 計算機網絡在使用中出現的問題研究
在計算機的使用時間來看,短短的幾十年里計算機技術得到了飛速的發展,計算機安全也在網絡受到惡意病毒中開始,在上個世紀的九十年代,計算機病毒一度瘋狂蔓延,人們在一片驚恐中使用計算機網絡。同時企業也在這場病毒的傳播下受到很大的影響。在這樣的情況下,就發展出了相對應的殺毒工具,在一段時間內,殺毒工作對于病毒的蔓延起到了遏制的作用。但是,這樣的場景沒有持續很久,計算機病毒在不斷的變化當中,使得計算機病毒防治技術得到了限制,也很難完成殺毒的任務。計算機中的重要資源數據還是得不到很好的保護,經常會出現密碼被篡改、破壞和截獲。計算機系統就會出現死機或是主板在使用中出現不同種類的故障。
此外,我們所了解到的計算機網絡操作系統中,是由不同種類的計算機軟件構成的,只有在這些軟件中得到了很好的使用才能保證計算機整體的正常運行。操作系統在于計算機的使用中起到了決定性的作用。在不同的使用方式上表現出不同作用。
1.整體結構模式。在計算機操作模式中有中央處理器、內存系統、硬件設施和程序管理系統,在每個系統中都是一個固定的模塊,每個模塊之間又相互的聯系在一起,當一個程序出現問題,其他的程序會相應的出現問題,這就會導致系統出現隱患,在這樣的情況下,計算機網絡就會很容易受到外界的干擾,甚至會被外界所破壞,導致計算機內部程序有癱瘓的風險;
2.計算機程式管理。在計算機網絡的研究中,最為關鍵的是計算機的程序管理方式,在對于創建程式中要保證安全性,在要求的范圍內對于程式的創建使用,或是激活都要有相應的保障方式。如果在計算機的遠程操控當中,可考慮在遠程系統中安裝有防間諜軟件,系統會自動的將病毒危害排除在外,以創建安全的網絡進程方式來起到保護計算機程序的作用。
3.信息傳送方面。在網絡的使用中,最為常見的是對于計算機數據資料的傳輸,在這個過程中也是計算機網絡安全面臨最大的挑戰,在網絡中的數據傳輸上有安裝不同的保護加載方式,在一些反惡意和反病毒的程序中放置有漏洞檢測和監視系統,以此來保證計算機在使用中不會被外界的破壞而受到任何的影響。
三 計算機網絡維護的方式
在計算機網絡的維護當中,重要的是對于計算機網絡的保護方式,并且在加強網絡管理的方面更加的注意計算機的使用流程。
1.在計算機使用中,受到外界的病毒干擾,首先是計算機系統自身的免疫功能要得到 充分的使用,當在檢測的過程中,要著重對于網絡系統和硬件之間是否有監控的形式做出了解,在網絡系統中,能在最短的時間內將計算機的安全問題得到解決,同時在遇到相關問題時要保證維護方式可以對計算機內部的程序起到檢測的作用。當程序自動檢測到有危害的時候,會在第一時間將程序的運行目標進行保存,以方式數據的泄露,并用警報的方式來對使用者進行提示。
2.防病毒策略。在使用計算機網絡安全的,軟件系統可以在檢測的模式下對于操作體統進行實時的檢測,并通過檢測數據來進行分析研究,用最終得到的數據報告來指導下一步的工作計劃。用這樣的方式來對計算機使用中程序的安全起到降低危害的作用。
3.在使用計算機的過程中,對于一些外界程序系統要格外的注意,對于一些不明用途的U盤和數據線都不要輕易額使用,不利用加載的方式來將原有硬盤中的程序進行展開使用,用這些方式來對計算機網絡的安全進行保護。
四 計算機網絡維護中的對策研究
在使用計算機網絡的過程中,會有很多不同種類的安全問題,這就要對于計算機的處理能力有很高的要求。在合理的范圍內,將管理的方式不斷的完善,并且使用科技的手段將用戶使用中的操作權限和防護標準結合在一起,形成一套更為完整的安全防護體系。這里對于計算機網絡維護中的對策研究中,提到了關于加密的技術研究。
在計算機的網絡使用中,計算機網絡可以在以下的幾個方面來進行完善:
1.計算機密碼的使用方式。在使用計算機加密的程序當中,就要說到關于簽名加密的措施,在保證數據的正常使用的情況下,利用身份的證明來形成計算機的安全體系。
2.口令的應用。用戶的賬號與口令,盡可能復雜和長,并定期進行更新,以防止惡意人士竊取USBKEY的應用。利用USBKEY的硬件接口設備,使用戶密鑰!數字證書無需進行存儲,也不會通過網絡造成傳播,進而提高了用戶信息的安全性。
五 計算機網絡安全管理辦法
對計算機網絡安全管理制度的建立與健全,可通過以下幾方面來實施:1.加強對計算機的安全管理,對計算機網絡安全進行立法,并加強執法力度.2.對用戶與系統管理人員的義務、權利進行明確,并采取有效措施強化其職業道德!技術素養.使之能夠遵守網絡信息安全原則,提高對信息系統安全的維護意識,并能夠仔細!嚴格地做好查毒、殺毒以及數據備份的工作;3.完善法制,建立規范的網絡秩序,打擊不法分子的網絡犯罪行為。
真正的熟悉網絡。網絡維護人員要想做好維護工作首先應該對這項工作非常熟悉才行,只有這樣才能知道怎么去發現問題和解決問題,這是基礎。相關人員要做到對網絡知識、計算機的知識以及相關的操作熟記于心,在處理問題中不斷總結經驗。所有的知識點都要求做到融會貫通,提高自己的業務水平,真正的保證好單位的網絡安全。
加強對安全的管理。作為網絡使用的主體,人是主要因素,因此做好管理成為保證網絡安全的核心問題。所以相關事業單位要做好網絡管理的制度和辦法,要做到切實可行。另外,加強對使用人員的培訓,最好建立應急預案,以免出現問題后手忙腳亂影響工作的進一步展開。
計算機實體的預防對策。作為計算機網絡機構的基礎,硬件以及基本的通信線路也很容易受到人為或者自然因素的破壞。網絡維護者應當從可能出現問題點去分析,做好電磁屏蔽措施,單位還要做好防雷擊、防止水火的外界不安全因素的干擾,選擇合適的場地,保證計算機網絡設備的正常運行。
做好網絡病毒預防措施。病毒和黑客是影響網絡安全的主要威脅,尤其是隨著技術的發展,病毒的傳播路徑也變的多樣化,給防護工作帶來很大的困難。因此,預防是主要措施,每個人都應該加強防毒殺毒的意識,不要隨便打開不安全的網站或者郵件,經常性的進行殺毒處理,從自身做起才能有效的去切斷病毒和黑客的入侵。最好對數據進行備份,以防止計算機網絡系統的突發災難。
網絡層面上的對策。網絡安全最大的威脅還是來自網絡,這最主要的就是控制 IP 的來源。防火墻的應用很好的保證了網絡的安全。它把局域網和外
網分隔開來。實時監控外界和內部信息之間的交流,有效避免了不安全因素的入侵。增加了網絡系統保密性。所以,相關事業單位要合理的去利用防火墻保證網絡的安全。
加強對數據的保密措施。數據加密能夠有效的防止信息的泄露和外界的破壞,保證信息的安全,因此在實際應用中很受歡迎。常用的數字加密有鏈路、節點以及點對點的加密。數據加密能夠保護數據的安全,即使丟失外界也不會輕易的獲取到內部信息,雖然是比較被動的手段,但是很實用。
六 結束語
在對于計算機大量使用的過程中,網絡安全一直都是一項研究的大問題。為了保證計算機網絡安全的完整性和可靠性,必須在使用系統中對于網絡的維護做出更多的努力。在本文中,我們先就計算機網絡在使用中遇到的安全問題進行了詳細的討論,同時在這個基礎上對于網絡安全的防護方式進行了介紹,以此來保證在計算機網絡的使用過程中,能夠有更加安全可靠的方式來進行網絡連接。
[參考文獻]
[1]糜蘇兵.從CSND密碼庫泄露事件看計算機網絡安全[J].電腦知識與技術,2012,12(13):112-113
[2]王能輝.我國計算機網絡及信息安全存在的問題及對策[J].科技信息,2010,13(37):143-144
第4篇:計算機網絡數據報告范文
關鍵詞:技工院校;計算機網絡原理課程;自頂向下方法;類比教學;動畫輔助教學;微課教學
中圖分類號:TP311 文獻標識碼:A 論文編號:1674-2117(2016)10-0086-03
引言
中國互聯網絡信息中心(CNNIC)的第36次《中國互聯網絡發展狀況統計報告》顯示,截至2015年6月,我國網民規模達6.68億,互聯網普及率為48.8%。各種互聯網應用從Web、P2P、搜索引擎到在線游戲、社交網絡、視頻等層出不窮。國家也提出將制定“互聯網+”行動計劃,并將其納入國家經濟頂層設計。在此背景下,除計算機及相關專業外,越來越多的非計算機專業也將“計算機網絡原理”作為必修或選修課程,以提高學生對計算機網絡(尤其是因特網)的基本概念、原理和方法的理解和掌握,使學生今后能在短時間內迅速把握新的網絡技術,并將其應用于工作和學習。
技工院校學生學習特點分析
首先,技工院校學生基礎知識較為薄弱,學習習慣較差(如沒有課前預習和課后復習的習慣),學習意志弱、惰性強,學習動機和學習目標都不明確。另外,技工院校學生對理論學習的熱情不高,抽象思維能力較弱,缺乏鉆研精神。因此,這些學生得到的正面評價較少,導致學生信心不足,厭學情緒嚴重,不能正確評價自己,無法發現自身的長處。因此,作為教師要善于發現學生的閃光點,因勢利導,不斷發展學生的學習能力,培養他們對學習的熱情和信心。
國內計算機網絡課程教材建設現狀
目前,國外主流的計算機網絡課程教材有Andrew S.Tanenbaum編著的《計算機網絡》(第5版),James F.Kurose和Keith W.Ross編著的《計算機網絡自頂向下方法》(第6版),Larry L.Peterson和Bruce S.Davie編著的《計算機網絡系統方法》(第5版)等。其中只有《計算機網絡自頂向下方法》一書是以自頂向下的方式來介紹網絡。自頂向下模式按照從應用層到物理層的順序組織教學內容,學生對電子郵件和Web等網絡應用非常熟悉,從應用層開始關注網絡體系結構有助于激發學生學習網絡其他內容的積極性,也降低了學生的學習難度。
根據技工院校學生的學習特點和學習規律,同時為確保學生學到最新的計算機網絡知識,很多學校采用了《計算機網絡自頂向下方法》(第6版)一書的中譯本作為課程主教材。教材配套的課程網站上提供了豐富的教學資源(教學幻燈片、課后習題解答、實驗教程和許多用于演示網絡協議工作原理的Java Applet動畫程序等),極大地方便了教師的教學。
針對技工院校學生的學習能力和學習特點,結合我校“計算機網絡原理”課程的教學目標,我們選擇《計算機網絡自頂向下》一書中前5章作為教學內容,且刪去了“2.7 TCP套接字編程”(學生沒有編程基礎)和“3.7 TCP擁塞控制”(TCP擁塞控制機制比較復雜,只對擁塞控制的一般原理進行介紹)。對非計算機專業的技工院校學生,我們建議在84學時(有效學時)內授完全部內容(如果是18教學周的話,可將課程設為5~6學分)。
多元化教學方法在計算機網絡課程中的運用
1.教學激勵
計算機網絡概念繁多、協議原理復雜、前后知識點多有聯系,而技工院校學生往往沒有課后復習習慣,所以我們在授課時一般將上課時間的四分之一用于回顧上次課所講內容。由于技工院校學生的歸納總結和語言表述能力較弱,所以在課前復習時盡量以填空題或選擇題形式對知識進行提問,不要以思考題或問答題形式復習。在學生一時無法回答問題時,教師要給出足夠的提示。另外,還要將學生的課堂表現(課前復習題和課中思考題的回答情況)及時記錄下來作為平時成績的評定依據。
例如,我們從《計算機網絡自頂向下方法》一書中優選出部分不是特別難的習題(比較接近例題的解題思路),以及歷年碩士研究生入學考試計算機專業基礎綜合試題中的部分選擇題作為課后作業或課中思考題,對出色完成習題的學生予以表揚或獎勵(期末成績加分)。這樣可以使學生在一定程度上對自己有正確的認識,并能提高其學習信心。
2.類比教學
“計算機網絡原理”課程內容較為抽象,而技工院校學生的抽象思維能力較弱,在一定程度上影響了對知識的理解。因此,我們在教學中引入了大量的生活實例作為類比,創設教學情境,將計算機網絡理論學習與實際生活中的現象聯系起來,讓學生更加直觀地認識概念和原理,提高其學習興趣。
《計算機網絡自頂向下方法》一書本身就是使用現實世界例子進行類比的范例。例如,可以將路由器看作是立交橋,分組通過路由器轉發就好比車輛通過立交橋;運輸層和網絡層的關系可以類比郵政,為兩個家庭提供信件郵遞服務;路由震蕩問題可以理解為生活中某條新路開通后司機都趕新路,結果造成新路擁擠,然后又改回原路。這樣的類比教學,使得學生從日常生活司空見慣的現象中輕松理解了計算機網絡中的概念和原理,從而培養了學生的發散思維能力和類比推理能力。
3.動畫輔助教學
所謂“一圖勝千言”,使用動畫輔助教學可以收到事半功倍的效果。一方面,我們從教材配套的教學網站上下載了不少Java Applet動畫程序用于演示計算機網絡中一些較為抽象、難理解的協議;另一方面,我們也自己動手編制了一些Java Applet、Java Swing或是JavaFX程序輔助教學以及幫助學生更加深入地理解協議的工作原理。
例如,回退N步(Go-Back-N,簡稱GBN)協議和選擇性重傳(Selective-Repeat,簡稱SR)協議是傳輸層用于實現可靠數據傳輸的兩個重要協議。但是由于這兩個協議的工作原理較為抽象和復雜,許多教師在授課時即使大費周章也不易講清楚協議中的關鍵概念和原理。我們通過Java Applet演示程序,采用邊演示協議的執行情況邊分析協議的工作原理的教學方法,非常簡潔直觀地對協議作了清晰的解釋,學生對這兩個協議也掌握得十分牢固。
又如,校驗和的計算及驗證是“計算機網絡原理”課程中一項重要的計算內容。接收方通過校驗和可以判斷出所接收的數據分組是否出錯,并向發送方返回肯定確認分組或否定確認分組。為了幫助學生更好地掌握因特網校驗和的計算及驗證,我們編寫了Java Swing動畫演示程序(如下頁圖)。該程序可以自動隨機生成80位、96位或112位二進制的報文段,接著演示校驗和的手動計算過程和手動驗證過程。一方面,教師通過該動畫程序可在課堂上直觀地向學生演示校驗和的計算及驗證過程;另一方面,學生通過該動畫程序也可在課后進一步鞏固所學知識。
4.微課教學
“計算機網絡原理”課程中有不少知識點(如網絡吞吐量計算、P2P文件分發、IP數據報分片、ARP協議等)都適合制作成教學視頻進行微課教學。在教學實踐中,我們一般將一些適合用多媒體表達的課程重點知識制作成微視頻,課前通過網絡共享給學生,要求學生學習微視頻,同時布置一些思考題讓學生完成,以幫助其更好地理解視頻內容。在正式講課前,教師用5~10分鐘時間測試學生的預習情況,再根據測試反饋結果有針對性地分析微課闡述的主題。在“計算機網絡原理”課程中使用微課教學,一方面可以讓學生更加直觀形象地學習計算機網絡的重難點知識,另一方面也可以培養技工院校學生良好的學習習慣和學習能力。
結束語
如何讓技工院校的學生深入理解并掌握計算機網絡的主要協議原理和關鍵概念是“計算機網絡原理”課程授課時的難點。我們在教學中針對技工院校學生的學習特點,采用國外計算機網絡先進教材和多元化的教學方法,做到了化繁為簡、直觀形象、深入淺出地介紹抽象的協議和概念,收到了較為理想的教學效果。
參考文獻:
[1]中國互聯網信息中心.中國互聯網發展狀況統計報告[EB/OL].[2015-7-22].http:///hlwfzyj/hlwxzbg/hlwtjbg/201507/P020150723549500667087.pdf.
[2]James F.Kurose,Keith W.Ross.計算機網絡自頂向下方法(原書第6版)[M].陳鳴,譯.北京:機械工業出版社,2015:1-340.
[3]王濤,吳振強,任平安.自頂向下還是自底向上?――論計算機網絡原理課程教學模式[J].計算機教育,2011(24):65-68.
[4]吳凌云.中職學生學習特點分析及對策[J].職校論壇,2009(27):173.
[5]王亞杰.中職學生學習特點與學習規律研究[J].考試周刊,2013(103):184-185.
[6]郭文平,周雁,陳盈,趙小明.基于動畫演示的網絡協議教學實踐[J].計算機教育,2011(9):93-96.
第5篇:計算機網絡數據報告范文
[關鍵詞]地鐵施工;監測;分布式數據庫;信息系統
地鐵大多位于人口稠密的城區,通常周圍有重要的建筑物和地下管網,地鐵施工有可能使其產生位移、沉降和變形,以至遭受破壞,造成嚴重的工程事故。通過施工現場監測數據的分析,可以及時掌握支護結構變位和周圍環境條件的變化,反饋信息以指導施工。因此,現場監測數據的及時分析和保存在地鐵施工過程中具有特別重要的意義。然而,現場監測數據的管理也存在許多問題[1~3],主要表現在現場監測數據還停留在文件管理模式下。如:監測數據的計算由人工完成,監測報表用Word或Excel手工制作;導致數據不能共享,查詢困難,降低了工作效率和管理分析水平,而且由于施工現場的設施簡單,環境較差,人員流動性強,監測數據的保存缺乏安全性和可靠性。
隨著信息化技術的發展,以數字化信息為核心的信息系統對土木工程領域原有的設計模式、檢測和監測技術產生了深遠的影響[4]。信息系統的自動化、網絡化、以及分布式數據庫技術[5]為解決現存地鐵監測工作的不足提供了重要途徑。為了能及時對監測對象的狀態、穩定程度和變形進行分析,并能長期安全地保存監測信息,以實現地鐵的信息化施工,本文提出基于分布式數據庫的信息化解決方案,即建立一套以分布式數據庫為數據存儲方式、采用計算機網絡作為傳輸和共享平臺的地鐵施工監測信息系統。它不僅用于分散的、各自獨立的施工現場的監測數據的管理,還對所有監測數據進行集中統一管理和長期保存,讓用戶及時、準確地獲取監測信息,而且還可為以后類似地鐵施工方案設計及規范修改提供數據參考。
1 系統的結構設計
在進行地鐵施工時,施工現場需要及時分析處理監測數據,但由于各施工現場的設施簡單,流動性強,不易長期保存監測數據。而地鐵管理單位計算機設備較好,環境穩定,適合統一維護各施工現場的監測數據。根據上述情況,將整個系統分成2個部分:
(1) 現場監測系統
現場監測系統布設在地鐵各施工段上,由現場監測人員使用,采集監測數據并將該施工段的概況信息錄入到系統,存儲于本地數據庫,管理分析數據庫中的監測數據,并將其及時傳送到地鐵管理單位。現場監測系統的建立使現場監測人員改變現有的遞送監測報告、數據報表的方式,數據自動遠程傳輸,進一步提高工作效率,實現信息化施工。
(2) 監測中心管理系統
第6篇:計算機網絡數據報告范文
關鍵詞: 網絡攻擊 網絡安全 防火墻 安全防護
一、校園網現狀
目前國內校園網建設的蓬勃發展正在告訴我們這樣一個事實:未來教育將從傳統“課堂”教育向網上教育發展,而校園網的建設正是這一重大轉變的開端。教育也要“上網”在世界各發達國家,校園網的建設速度似乎不亞于其他如政府網的興建速度。現代教育的實施程度也與校園網絡建設直接相關聯。
隨著計算機網絡的廣泛使用和網絡之間信息傳輸量的急劇增長,一些機構和部門在得益于網絡加快業務運作的同時,其上網的數據也遭到了不同程度的破壞,或被刪除或被復制,數據的安全性和自身的利益受到了嚴重的威脅。
校園網也同樣不能幸免。黑客入侵校園網的新聞也時有發生,非更改考試成績;更改英語全國四、六級統考成績;更改考研成績;非法盜取學校招生、分配機密……
二、校園網中主要安全隱患
校園網中主要安全隱患主要為以下幾個方面:(1)病毒的危害。(2)黑客攻擊。(3)不良信息的傳播。(4)設備的損壞。
網絡必須有足夠強的安全措施。無論是公眾網還是校園網中,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。
三、校園網絡安全
作為一種豐富學習資源、拓展教學空間、提高教育效率的有效手段,信息化為教育的創新與普及提供了新的突破口。與此同時,網絡社會與生俱來的不安全因素,如病毒、黑客、非法入侵,不健康信息等。也無時無刻不在威脅教育網絡的健康發展,成為教育信息化建設中不容忽視的問題。與其他網絡一樣,校園網面臨的威脅大體可分為對網絡中數據信息的危害和對網絡設備的危害。具體來說,危害網絡安全的主要威脅有:非授權訪問,冒充合法用戶,破壞數據的完整性,干擾系統正常運行,減慢系統的響應時間等;病毒與惡意攻擊,線路竊聽。許多校園網絡由于意識與資金方面的原因,它們在安全方面往往沒有太多的設置,包括一些高校在內,常常只是在內部網與互聯網之間放一個防火墻就了事了,甚至什么也不放,直接面對互聯網,這就給病毒、黑客提供了充分施展身手的空間。
四、校園網安全防御措施
1.防火墻設置
防火墻是設置在不同網絡之間的一系列軟硬件的組合,它在校園網與Internet網絡之間執行訪問控制策略,決定哪些內部站點允許外界訪問和允許訪問外界,從而保護內部網免受外部非法用戶的入侵。設計防火墻的目的就是不讓那些來自不受保護的網絡如因特網上的多余的未授權的信息進入專用網絡,如LAN或WAN,而仍能允許本地網絡上的你以及其他用戶訪問因特網服務。大多數防火墻就是一些路由器,它們根據數據報的源地址、目的地址、更高級的協議,專用標準或安全策略來過濾進入網絡的數據報。
2.采用入侵檢測系統
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
3.漏洞掃描系統
基于網絡系統漏洞庫,漏洞掃描大體包括CGI漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等。這些漏洞掃描是基于漏洞庫,將掃描結果與漏洞庫相關數據匹配比較得到漏洞信息;漏洞掃描還包括沒有相應漏洞庫的各種掃描,比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OPENRelay郵件轉發漏洞探測等,這些掃描通過使用插件(功能模塊技術)進行模擬攻擊,測試出目標主機的漏洞信息。
解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的。解決的方案是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
4.網絡病毒的防范
在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網(校園網絡)的全方位防病毒產品。校園網絡是內部局域網,就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,就需要網關的防病毒軟件,加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件,防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使校園網絡免受病毒的侵襲。
第7篇:計算機網絡數據報告范文
關鍵詞:計算機網絡;計算機安全;入侵檢測;程序開發
中圖分類號:TN915.08 文獻標識碼:A文章編號:1007-9599 (2010) 04-0000-02
Application of Intrusion Detection in Computer Security Protection
Yin Xiaogui
(Guangzhou University,Software&Engineering College,Conghua510990,China)
Abstract:This paper firstly analyzed the computer network security.It pointed out the main network security protection measures and their shortcomings.Intrusion detection technology is a beneficial supplement,Further more,it made a summarise of intrusion detection technology and application examples are given about intrusion detection in computer security protection.Some operation result and algorithm framework were disscussed.
Keywords:Computer network;Computer security;Intrusion detection;Program development
網絡技術,特別是Intenret的發展極大地促進了社會信息化的發展,人們的生活、工作和學習等己經越來越離不開Internet。但是由于Internet本身設計上的缺陷以及其具有的開放性,使其極易受到攻擊,給互聯網的信息資源帶來了嚴重的安全威脅。一個安全的計算機信息系統至少需要滿足以下三個要求,即數據的機密性、完整性和服務的可用性。為了能夠實現這種計算機信息系統的安全性,那么計算機安全軟件就成了一個必不可少的工具。
一、計算機網絡安全
(一)傳統的計算機網絡安全手段
所以計算機系統的安全問題是一個關系到人類生活與生存的大事情,必須充分重視并設法解決它。如何確保網絡系統不受黑客和工業間諜的入侵,已成為企事業單位健康發展所必需考慮和解決的重要問題。
一般來說,傳統的網絡安全技術有:(1)功能強大的防火墻。“防火墻”技術是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的手段。它所保護的對象是網絡中有明確閉合邊界的一個網塊,它的防范對象是來自被保護網塊外部的對網絡安全的威脅。(2)進行網絡的合理分段與隔離控制。網絡分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在于將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。(3)系統的設置與更新。關閉不需要的使用端口,及時的對操作系統漏洞進行更新。(4)木馬與病毒防護軟件的應用。安裝功能強大的殺毒、除木馬的軟件,并且及時的對病毒庫進行更新。它利用從服務器端獲取的病毒碼信息對本地工作站進行病毒掃描,并對發現的病毒采取相應措施進行清除。
(二)傳統方式的不足與入侵檢測的必要性
雖然已經有相當多的成熟技術被應用于增強計算機系統的安全性,但隨著新應用特別是基于網絡的新服務的層出不窮,這些傳統的靜態安全保障技術的有效性正受到日益嚴峻的挑戰:由于信息安全知識的缺乏及管理上的松懈,再加上沒有受過相關信息安全教育的用戶數量的激增,各組織中計算機用戶的密碼通常設置得并不安全,簡單的字典攻擊就可以成功地破獲相當一部分用戶的密碼,高強度的密碼體系常常形同虛設;有效的報文鑒別技術如MDS算法,并沒有在廣大普通計算機用戶中得到廣泛使用,加上來自組織內部合法用戶的攻擊行為,計算機網絡中所傳輸的信息的完整性通常也很成問題;拒絕服務攻擊Dos,特別是由眾多攻擊者協同發動的分布式拒絕服務攻擊田Dos,由于其攻擊時所帶來的巨大的數據流量,可以輕易地使被攻擊的網絡服務器軟硬件系統過載,從而喪失服務能力,極大地威脅著信息系統。
入侵檢測系統具有比各類防火墻系統更高的智能,并可以對由用戶局域網內部發動的攻擊進行檢測。同時,入侵檢測系統可以有效地識別攻擊者對各種系統安全漏洞進行利用的嘗試,從而在破壞形成之前對其進行阻止。當檢測到來自內外網絡針對或通過防火墻的攻擊行為,會及時響應,并通知防火墻實時阻斷攻擊源,從而進一步提高系統的抗攻擊能力,更有效地保護網絡資源,提高防御體系級別。
二、入侵檢測技術的發展概述
入侵檢測是提高網絡安全性的新方法,其主要目的是檢測系統或網絡是否遭到攻擊,是否有來自內部或外部的攻擊者,如果有則應采取一定的反應措施。初期多以基于本機的入侵檢測系統為主,即在每一主機上運行一個或多個程序。它以計算機主機作為日標環境,只考慮系統局部范圍的用戶,因此人人簡化了檢測任務。由入侵檢測工具對主機的審計信息進行分析與檢測,并報告安全或可疑事件。基于本機的入侵檢測技術已經比較成熟,開發出的入侵檢測系統也比較多,部分己形成了實用產品,例如Intrusion Detection公司的Kane SecurityMonitor, Trusted Information System公司的Stalk。
日前,基于網絡的入侵檢測系統的商業化產品較多,多為基于網絡關鍵結點(如防火墻、路由器等)進行檢測,如Cisco公司的VetRangero基于主機的入侵檢測系統需要在所有受保護的主機上都安裝檢測系統,配置費用高,所以實際應用較多的是網絡型的入侵檢測系統。但是高帶寬網絡、交換式網絡、VLAN、加密傳輸的發展都對基于網絡的入侵檢測造成了很大限制,所以現在主流的基于網絡的入侵檢測系統是兩者結合。基于網絡的入侵檢測系統的發展主要面向大型網絡。目前國內只有少數的網絡入侵檢測軟件,相關領域的系統研究也剛剛起步,與外國尚有差距。
三、漏洞掃描與入侵檢測協作系統的應用
(一)系統的基本原理
本文應用漏洞掃描與入侵檢測協作系統進行合作,來構建入侵檢測系統。系統由中央控制器、用戶界面及分布在各個子網中的掃描節點、檢測節點組成,每個掃描節點負責掃描自己所在網段的主機及子網,從中發現安全漏洞并提出修補措施,從而避免了防火墻的訪問限制,能夠獲得準確的掃描結果;各檢測節點根據本節點的檢測策略,對本子網或其它檢測節點提供的系統數據進行分析,如果發現入侵,則根據相應的安全策略進行響應。
(二)系統設置
針對特定的攻擊,設置攻擊的源IP,端口,及子網掩碼,目的IP,端口,及子網掩碼,然后選擇要攔截或放行的協議類型。每一次設置相當于一條記錄,可以設置多條記錄,攻擊模式庫即由這些記錄共同構成。設置完攻擊模式庫后,點擊install rule 實現庫的安裝。首先在CMainFrame類的OnRulesAdd()函數接收用戶輸入,并把設置的規則添加到文檔類里面的的m_rules數組里面。
(三)截包方案
本部分采用應用層截包方案,即在驅動程序中截包,然后送到應用層處理的工作模式。程序工作在內核的話,穩定性/兼容性都需要大量測試,而且可供使用的函數庫相對于應用層來說相當少。在應用層開發,調試修改相對要容易地多。在應用層工作,改變了工作模式,每當驅動程序截到數據,送到應用層處理后再次送回內核,再向上傳遞到IP協議。所以需要看到這樣性能影響非常大,效率非常低。 不過由于臺式機的網絡負載相當小,不到100Mbps足以滿足要求,尤其是主要用于上網等環境,網絡連接的流量不到512Kbps,根本不用考慮性能因素。所以綜合考慮各種因素,本部分決定采用應用層的截包方案。
在設備程序開發包(DDK)中,微軟包含一個新的命名為Filter-Hook Driver的網絡驅動程序。可以用它建立一個函數來過濾所有所有通過這個接口的流量。System32\drivers目錄下的IPFLTDRV.SYS是Microsoft提供的IP協議過濾驅動程序。它允許用戶注冊自己的IP數據報處理函數。本程序采用 DrvFltIp.sys 驅動程序實現IP協議過濾。其中回調函數是這類驅程的主體部分。DrvFltIp.sys IP過濾驅動程序使用這個過濾鉤子來判斷IP數據包的處理方式。
(四)中央控制
控制管理負責協調控制網絡中的掃描節點和檢測節點,包括:向節點發送控制指令及接收各節點的工作狀態;負責對分布到網絡上的各節點的數字簽名及安全策略的配置;負責各檢測節點間的負載均衡,如果某個檢測節點的負載較重,則控制管理將該節點的一部任務分配到其它較空閑的檢測節點。這里尤其需要進行通信管理,通信管理主要提供控制管理、數據融合與底層各個掃描節點、檢測節點的通信通道。具體說來,控制管理可以通過通信管理給檢測節點下達控制指令,同時通信管理也將各節點的執行情況返回給控制管理;數據融合可以通過通信管理要求底層節點提供更多的事件記錄信息,同時,通信管理負責將返回的記錄提交給數據融合模塊進行分析。通信管理負責中央控制器與各掃描節點、檢測節點之間的認證,并采用通信加密體制完成信息和消息的傳送。系統運行界面如下圖所示。
參考文獻:
[1]白以恩.計算機網絡基礎及應用[M].黑龍江:哈爾賓工業大學出版社,2003
[2]韓東海,王超,李群.入侵檢測系統實例剖析[M]。北京:清華大學出版社,2002
第8篇:計算機網絡數據報告范文
1基本概念
既然信息與我們的生活的關系如此密切,我們不妨談談信息是指什么。信息是人類對世界感知的記錄。信息的表現形態有字符、聲光、圖形、影像,還有一些是人類的感官無法感知的,需借助儀器才能感知的表現形態。信息處理有記錄、計算、編輯、統計、還原、傳輸、存儲、審計和重現等形式。信息的記錄不得不依靠載體,而載體又可分為存儲載體,如在人類歷史上,人們曾用甲骨、竹片、紙張、膠片、磁帶、磁芯、光盤等作為存儲載體。還有傳輸載體,如電纜、光纖、電磁波、空氣和水等。信息是我們的無形資產,它對我們如此重要,以至于我們對它的安全越來越重視。因此,我們有必要知道信息安全的五個重要屬性:真實性(reliability)、保密性(confidentiality)、完整性(integrity)、可用性(availability)。不可抵賴性(non-repudiation)。也就是說,我們在信息的應用和處理時,都要從這五個方面去考慮和權衡信息的安全。
2以現實例子解讀信息安全術語
現實中對信息安全構成的威脅就是對信息安全這五個屬性的可能的破壞。常見的破壞信息安全的情形有:未授權使用,竊取,偽裝,篡改,制造缺損,妨礙使用,否認發送過信息等。為更好地理解信息安全,我們列舉一些實例。例如,組織和個人的網站或主頁(例如網上銀行),需要密碼才能登錄;某些機密的區域通常會設置門禁。要是沒有磁卡、不通過生物信息(指紋、視網膜等)認證,人們無法進入;這些都屬于禁止未授權使用(在信息安全領域,未經授權使用,窺探,破壞信息行為的人,通常被稱為黑客)。又例如,一些人通過在網站、軟件內植入木馬,盜竊客戶的用戶密碼,從而偷竊用戶的信息,繼而盜取錢財,實施犯罪;也有人通過建立假網站,發送假電郵,在QQ中用別人的頭像冒名頂替他人,或通過電話冒充執法部門進行執法,從而詐騙錢財,這類就是典型的信息偽裝(字符的、圖案的、聲音的);有人將別人的付款、發貨、轉賬等指令的數額擅自改大或改小,以達到不當得利的非法目的。還有人暗中更改賬目,掩蓋瀆職,貪污等行為。這類行為稱為信息篡改;還有一些信息,必須完整才能應用。比如,銀行賬戶中,如果有一段時期的流水賬缺失,你就有可能無法查核你目前的賬上金額是否正確。一個企業,假如丟失了一兩個月的收支記錄。那么,這個企業就無法完成年度月平均績效的計算。這表明信息缺損,可能是一個很嚴重的事件;信息如此重要,有時敵對的雙方會用計算機技術手段,令對方在收集信息和傳遞信息時受到障礙,使對方無法分辨哪些是有用信息或無法發出信息或接收信息,導致信息交流失敗。這種手法就是妨礙使用;還有一種破壞信息安全的行為是否認發送信息。例如,有人通過網上銀行或網站炒股,利用股票價格的波動,趁機低價買入或高價拋出,從而獲利。然而,有人因為沒有把握好交易的時機,結果損失慘重。這時,這些人就有可能矢口否認自己在網絡曾經發出過要求交易機構按其要求進行交易的指令,企圖不認賬,對發過的信息進行抵賴。以上列舉了常見的涉及信息安全問題的各種實例。那么,我們如何去防范風險和維護信息安全呢?我們將從以下幾個角度,探討在計算機技術的應用中常見的信息泄漏的風險以及為保護信息安全可采取的防御措施:
3從計算機網絡結構的角度考慮信息安全
目前,單臺計算機應用已經很少見。為了互聯互通,人們都是將計算機互聯成局域網、廣域網或互聯網使用,即按照不同的人群、機構或區域,將計算機互相聯通,達到跨計算機,跨辦公室,跨建筑物,跨地區,跨城市,跨國家,甚至跨星球來使用。從而達到跨空間跨時區進行信息交流,資源共享的目的。這使人類突破了本身器官能力的限制,仿佛有了千里眼、順風耳、無影手和超級腦。從計算機網絡的角度去保障信息安全,也就是要在信息傳播的途徑上排除存在的風險因素。信息可以轉換成數據。所以信息有時又被專業人士稱為數據。信息傳播的起點,通常是某臺計算機,它可以表現為個人計算機、服務器、數據中心。傳播的途徑我們稱為鏈路。人們以邏輯劃分的鏈路,被稱為虛擬鏈路。而實體可見的鏈路,稱為物理鏈路。這些鏈路由信息的傳播載體——電纜、光纖或電磁波(無線電波)構成。信息的終點可以是另一臺計算機或展示信息的設備(如投影儀、打印機等)。要做到保障網絡安全,就等于要保障信息從起點/源主機——路途/鏈路——終點/目的主機,整個傳播過程的安全。信息在電腦網絡傳播中,在計算機技術領域,我們會用IP地址去標注信息的起點和終點。黑客在數據鏈路中截取或在數據終點提取數據,都有可能獲悉信息起點的IP。這樣,他就可以有針對性地對信息的來源計算機進行入侵,盜竊信息或發動攻擊。
3.1網絡攻擊的種類
計算機網絡常見的攻擊有:竊取權限攻擊、服務癱瘓攻擊、響應探測攻擊、篡改攻擊、假冒攻擊、口令攻擊、緩沖區溢出。
3.1.1竊取權限攻擊這類型的攻擊是通過各種手段盜取用戶的用戶名和密碼,從事侵權或違法活動。最常見的有三種:口令猜測:黑客利用人們對信息安全的意識的淡薄和懶惰的弱點進行用戶名和密碼的試探。比如,不少人用自己的名字或機器默認的admin或administrator做用戶名,用單純的數字或自然數字排列順序的組合作密碼,如1、0、123、123456、生日日期等作密碼。這樣,在眾多的用戶中,就有相當可觀的幾率猜中密碼。另外,高級的黑客編一個并不復雜的程序,用字母(包括大小寫)和數字組合,去試探某用戶的密碼,最終破解密碼。一旦黑客猜中或破解一臺機器,例如識別了基于NetBIOS的口令,他就可以控制一臺微軟的客戶機/服務器;識別了基于Telnet的口令,黑客就可以控制一臺交換機或路由器或服務器;識別了基于NFS的服務的可利用的用戶帳號和口令,黑客可通過對某機器的控制,竊取與該機器共享文件的遠端系統上的文件。因此,要預防被黑客猜中或破解口令,要選用難以猜測的口令,比如用詞、字母(大小寫區別)、標點和符號的組合。定期更換。不在公共場合使用登錄密碼或口令。如果服務支持鎖定策略,就在機器中設置鎖定。木馬病毒:也稱為特洛伊木馬(取自希臘神話的典故),是一種由黑客編寫并在用戶不知情的情況下植入到客戶系統的程序。一旦成功獲取了用戶的權限,他就可以直接遠程控制用戶的系統。這種程序也稱為后門程序。有惡意的,包括:Trojan.QQ3344、Avp32.exe和Backdoor.IRCBot,為工作而善意設計的,如:第三只眼、VNC、向日葵、pcAnywhere。預防木馬的方法是不打開來路不明的電郵,不點擊誘惑性的彈出廣告,不下載不了解的程序,不運行不了解的程序。并且可以通過網絡掃描軟件定期監測機器的TCP的服務。電子郵件轟炸電子郵件轟炸是一種有著悠久歷史的匿名攻擊。它是通過某臺主機連續不斷地向同一個IP地址發送電郵的方式。攻擊者使被攻擊者的網絡帶寬予以耗盡,致使被攻擊者無法進行電郵收發預防的手段有:在郵箱中的反垃圾或黑名單中設置攻擊者的郵件地址,達到自動刪除或拒絕來自同一電郵地址或同一主機的過量或重復的電郵。
3.1.2服務癱瘓攻擊服務癱瘓攻擊是利用計算機網絡傳輸數據的原理,通過制造異常的數據的傳遞,達到受害者的計算機服務崩潰而癱瘓。這類攻擊包括:Smurf攻擊:這種攻擊是用黑客最遲發起攻擊所用的程序名稱來命名的。其名稱來自最初發發動攻擊的程序名稱Smurf。這種攻擊是運用這樣一個原理:某個主機向另一臺主機發送一個ICMPecho請求包(例如PING)請求時,接受主機將要回應一個ICMPecho回應包。廣播地址可以同時向網絡中多臺主機發送ICMPecho請求包。因此smurf攻擊有兩種情形:
1)將受害主機地址作為源地址,向目的地址發送ICMPecho請求包,目的地址設為廣播地址。此時回復地址設置成受害主機。這樣就有大量的ICMPecho回應包淹沒受害主機,導致受害主機崩潰。此回應包的流量比ping-of-death洪水的流量高出一或兩個數量級。
2)將應答地址設置成受害網絡的,以IP地址為255結尾的廣播地址。廣播地址接收到ICMP應答包后,根據數據包傳輸協議,將向該網絡廣泛發送ICMPecho應答包來泛洪該網絡的多臺主機,導致網絡堵塞而無法傳送正常數據包。對于這類攻擊防范手段有:關閉外部入口的路由器或防火墻的廣播特性來阻止黑客利用某臺主機來攻擊某個網絡。也可在防火墻中設置策略,令其丟棄ICMP應答包。拼死它(ping-of-death):在研究計算機網絡的初期,科學家對路由器的數據包的最大尺寸設定了一個上限,不同廠商的操作系統對TCP/IP協議堆棧的實現在ICMP包上都是規定64KB,而且規定在對包的標題頭讀取后,根據該標題頭里所包含的信息來為有效載荷生成緩沖區。當產生ICMP包的尺寸超過上限或者說產生畸形的ICMP包時計算機就會出現內存分配錯誤,進而發生TCP/IP堆棧崩潰,結果導致ICMP包接受方宕機。目前的TCP/IP堆棧的實現已能應付超上限的ICMP包,大多數防火墻都有自動過濾這些超上限ICMP包的能力。在微軟公司的WindowsNT后的操作系統、linux操作系統、Solaris操作系統和MacOS操作系統都已具備抵御“拼死它”的攻擊的能力。因此,只要將防火墻進行恰當的配置,都能阻止ICMP或未知協議的此類攻擊。淚滴(tear-drop):這類攻擊是攻擊者通過偽造數據包內的IP分段或故意使IP分段位移造成TCP/IP堆棧的崩潰。原理是TCP/IP棧的實現是依賴于其信任的IP碎片的包的標題頭所含有的信息。這些信息表明IP碎片是原包的哪一段的信息。分段的次序一旦混亂。數據就無法正確重組。由于服務器的TCP/IP堆棧的實現受服務包的版本影響,要防范這類攻擊,需要更新最新服務包。或者在防火墻的設置時,對IP分段進行重組,不設置成轉發。UDP洪水式攻擊(UDPflood):這類的攻擊利用TCP/IP服務中的通信規則,如Chargen和Echo傳送或應答來摻入毫無用處的數據,并刻意使這些數據足夠大而占滿整個帶寬。使通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就利用了Echo的收到數據包后必回復一個數據包的特性,也利用了Chargen每收到一個UDP數據包后發回一個包含包含長度為0~512字節之間隨機值的任意字符的數據包的特性。在兩臺主機之間生成足夠多的無用數據流,如果足夠多的數據流就會導致Dos攻擊。防御措施:關掉不必要的TCP/IP服務,或者用防火墻過濾19端口的數據包即可。SYN洪水式攻擊(SYNflood):一些TCP/IP棧的實現只能通過等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用于創建連接。如果這一緩沖區充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應。攻擊者就是利用“僵尸主機”向受害主機發送大量的無用的SYN數據包來占漫緩沖區時。使受攻擊主機無法創建連接。防御方法:在防火墻上過濾來自同一主機的后續連接。SYN洪水式攻擊被定義為DDos攻擊。比較難以防范。由于釋放洪水的并不尋求響應,難以鑒別出來。Land攻擊:其手段為:把SYN數據包的源地址和目標地址都設置為某個服務器地址。這使服務器向自身地址發送SYN-ACK包,結果自身地址又發出ACK消息。于是就產生一個空連接。這些空連接的累積,最終導致TIMEOUT.對Land攻擊的反應,不同的操作系統有不同。UNIX的許多實現會崩潰,WindowsNT系統會變得運行極其遲緩。防御:對防火墻進行配置,或者打最新的補丁,將那些在外部接口上進入的含有內部源地址的SYN-ACK包濾掉。(比如,包括10域、127域、192.168域、172.16到172.31域)。Fraggle攻擊:利用UDP應答而不是ICMP應答,將Smurf攻擊作簡單的修改,就變形為Fraggle攻擊。防御手段:設置防火墻,使其過濾掉UDP應答消息。
3.1.3信息收集型攻擊此類攻擊是為非法入侵他人數據做準備而收集相關信息。主要包括:體系結構刺探、利用信息服務、掃描技術。
3.1.3.1體系結構探測運用數據庫中Banner抓包器,對已知響應與來自目標主機的、對壞數據包傳遞所作出發響應之間的分析對比,可以判斷出目標主機所運行的操作系統的類型。比如,WindowsNT或Solaris。這是由于不同操作系統的TCP/IP堆棧的具體實現有所不同。抵御方法:去除或修改Banner,包括操作系統和各種應用服務的Banner,阻斷黑客識別的端口,擾亂其的攻擊計劃。
3.1.3.2掃描技術地址掃描:應用ping這樣的命令探測目標地址,對命令產生響應的就證明目標主機存在。應對策略:在防火墻上過濾掉ICMP應答消息。端口掃描:通常使用掃描軟件,大范圍地連接主機的一系列的TCP端口,掃描軟件報告有多少主機所開斷開被成功連接。阻止手段:不少防火墻能檢測到是否被掃描,并自動阻斷掃描企圖。反響映射:通過向主機發送虛假消息,然后根據返回“hostunreachable”這一響應消息特征判斷出哪些主機是存在的。這些虛假消息通常是:RESET消息、SYN-ACK消息、DNS響應包。原因是如果黑客的常規掃描手段容易被防火墻阻斷。防御:NAT和非路由服務器能夠自動抵御此類攻擊,也可以在防火墻上過濾“hostunreachable”ICMP應答。慢速掃描:通常的掃描偵測器是通過監視某個時間幀里主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客利用掃描速度比常規慢一些的掃描軟件進行掃描,逃避掃描偵測器的發現。防御:通過引誘服務來對慢速掃描進行偵測。
3.1.3.3利用信息服務DNS域轉換:DNS協議不對域轉換或信息性的更新進行身份認證,這使得該協議被黑客以一些不同的方式加以利用。黑客只需實施一次域轉換操作就能得到一臺公共的DNS服務器的所有主機的名稱以及內部IP地址。預防:設置防火墻規則,過濾掉域轉換請求。Finger服務:黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統的用戶的信息。抵御手段:關閉finger服務并獲取嘗試連接該服務的刺探方的IP地址,然后根據該IP地址在防火墻設置策略,濾掉試圖建立服務連接請求。LDAP服務:黑客使用LDAP協議窺探網絡內部的系統和它們的用戶信息。防御:在防火墻設置規則對刺探內部網絡的LDAP進行阻斷并記錄。如果在公共主機上提供LDAP服務,那么應把LDAP服務器放入DMZ采取特別保護。
3.1.4假消息攻擊用于攻擊配置不正確消息的目標。主要手段包括:DNS高速緩存污染、偽造電子郵件。DNS高速緩存污染:黑客可以將虛假信息摻入DNS服務器并把用戶引向黑客自己的主機。因DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證。防御:在防火墻上過濾入站的DNS更新,不讓外部DNS服務器更改內部服務器對內部機器的認識。偽造電子郵件:梗概:由于SMTP并不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某客戶認識并相信的人,郵件內容可能有詐騙內容,并附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。預防方式:使用PGP等安全工具并安裝電子郵件證書。口令攻擊:盜竊的手段有對登錄密碼的破解,制造假登錄界面騙取密碼等。發動攻擊的手段有ARP攻擊、病毒攻擊等,目的就是讓信息發源地的電腦癱瘓,無法正常發送信息。防止源IP地址輕易被黑客知悉,防御:對傳輸的信息進行加密,用密文傳送信息。緩沖區溢出:因為在許多服務程序中不少粗心的程序員經常應用strcpy(),strcat()類型的不進行有效位檢查的函數,導致黑客編寫一小段利用程序就可以打開安全缺口,然后再惡意代碼綴加在有效載荷的末尾。這使當緩沖區溢出時,返回指針將指向惡意代碼,令系統控制權被黑客奪取。防御:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。畸形消息攻擊:不同種類的操作系統在提供服務,處理信息之前沒有進行錯誤校驗,導致系統收到惡意用戶制造的畸形消息時崩潰。防御:打最新的服務補丁。上述的情形,多數發生在互聯網的計算機網絡中。而企業或機構級的局域網,也就是在企業內,主要防范的對象是社會上的黑客。這種情形通常是把業務網和互聯網做物理隔離,即業務網完全與互聯網沒有物理通路。
4從硬件發展的角度考慮信息安全
隨著計算機技術從單機應用到互聯成計算機網絡,越來越多的重要信息在互聯網上傳播。因此,防止信息泄露的手段和設備應用到計算機網絡。常用的手段和設備如下:考慮到物理安全,人們針對重要信息可能通過電磁輻射等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。采用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要數據庫且有實時要求的服務器必須采用UPS(不間斷穩壓電源),且數據庫服務器采用虛擬化,雙機熱備份,數據異地存儲等方式保證數據庫服務器實時對外部用戶提供服務并且能快速恢復。在計算機網絡上增設防火墻。防火墻是一個硬件設備,是網絡安全最基本、最經濟、最有效的手段之一。防火墻可以實現內部、外部網或不同信任域網絡之間的虛擬隔離,達到有效的控制對網絡訪問的作用。通常有兩種形式:
1)總部與各下屬機構的隔離和訪問控制。防火墻可以做到網絡間的單向訪問需求,過濾一些不安全服務;可以針對服務、協議、具有某種特征或類型的數據包、端口號、時間、流量等條件實現安全的訪問控制;具有很強的記錄日志的功能,可以按管理者所要求的策略來記錄所有不安全的訪問行為。
2)公開服務器與內部其他子網的隔離與訪問控制。利用防火墻可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火墻來訪問公開服務器,而公開服務器不可以主動發起對內部網絡的訪問,這樣,若公開服務器造受攻擊,內部網由于有防火墻的保護,依然是安全的。在網絡中應用安全路由器。路由器作為內外網之間數據通信的核心設備,安全路由器與普通路由器的區別在于安全路由器本身具有安全防范能力。其功能相當于“防火墻+路由器”。就網絡而言,其面臨的安全威脅主要源自于未經授權的非法網絡訪問、網絡傳輸過程中可能出現的敏感信息泄漏與遺失、數據完整性破壞及計算機病毒的傳播等幾個方面。而解決這類問題的途徑只有用法律和預防,計算機技術為預防提供了預防的可能和方法,這就產生了安全路由器。這其中,路由器作為不斷接收和轉發路由信息與IP數據報,而防火墻則是對信息及數據報的檢查篩選。只要符合安全要求的數據包才能通過內部與外部網絡之間閘口。并且對允許通過的數據包進行加密處理,強化了數據傳輸的安全。能夠有效檢測及防范各類攻擊事件的發生。在網絡中使用應用安全管理器(ASM:ApplicationSecurityManager)。網絡安全產品ASM是一款基于最先進的第三代準入控制技術的純硬件設備,秉承“不改變網絡、不裝客戶端”的特性,旨在解決網絡的合規性要求,達到“違規不入網、入網必合規”的管理規范,滿足安全等級對網絡邊界、主機保護的相應要求,同時提供更高效的、智能式的網絡防護功能。
5從軟件應用的角度考慮信息安全
這是人們通過設計一些專業的程序去檢測網絡及主機的安全隱患,防止信息泄露。而這些程序可能直接在計算機中運行,也有在專門建造的設備中運行。黑客通過軟件技術非法使用或盜竊信息的常見手法有:在運行的應用程序或鏈接中植入木馬,運用程序破解密碼,刻意傳播病毒,進行包嗅探(packetsniffing)、DHCP窺探(DHCPSnooping)、IP地址瞞騙等。首先,我談談如何避免中木馬計。當需要登錄高度保密的網站(例如,網銀等)時。打開高度保密網站前,最好重啟計算機,啟動應用程序越少越好(一些木馬是伴隨應用程序的啟動而啟動的),其他的網頁不打開或打開的網頁越少越好(部分網頁被植入了帶木馬的鏈接)。另外,打開網頁后,一定要確認網址是否正確或異常。千萬不要在不正確或有異常的登錄頁面輸入用戶名和密碼。還有,在與別人或機構交流信息時,不熟悉的人的電子郵件,不熟悉的人提供的鏈接,都不要去點擊打開。以免被誘導訪問陷阱頁面或被對方控制你的計算機。其次,我們如何去防范密碼被輕易破解?這就要求我們在設置密碼時。密碼的位數應盡可能多,盡可能復雜。應由數字、字母(區分大小寫)和字符三方面組合而成。密碼的越復雜,破解就越難,破解所需的時間也越長。密碼要定期更換。而且,密碼不能存放在有機會被人發現的媒介中(紙條、無密碼的光盤,無密碼的電子文檔)。我們必須重視信息安全,不厭其煩。在登錄程序或網站時,絕不通過別人發送的鏈接登錄,只通過直接點擊自己電腦的運行文件(自建的快捷方式)登錄程序或自己輸入網址(或自己已確認過,預先收藏的網頁)登錄重要網站。若打開別人提供的鏈接來登錄程序或網站,就給黑客提供了向你推介假登錄界面的機會。即使按上述嚴謹的方法打開登錄界面后,也要留意與平常打開的是否有異常。必須注意每一個細節,包括數字、字母、字符、界面的版面風格等。確認沒異常才輸入密碼。值得注意的是,一旦在假登錄界面輸入了密碼,你的密碼就已泄漏。如果你登錄后發現自己登錄了假系統或網站,需馬上登錄正常的系統或網站,立即修改密碼,盡可能搶先在盜賊實施盜竊行動之前。再次,我們來談論病毒傳播。計算機病毒是一些對網絡設備的設置和信息產生損害的程序。這些程序是一些懂編程的人員故意制造的。動機通常有以下幾種:針對性地進行信息破壞;通過傳播病毒造成的影響來成名,顯示自己的編程能力;對所制造的程序的危害認識不足,試驗性的把一些破壞性的程序在網絡里傳播,看看其破壞力,有進行惡作劇的心態。對于計算機病毒的防御,我們可以各種手段。例如,掃描查殺,隔斷傳播通路。目前計算機的使用前都應該安裝專業的查病毒殺病毒軟件,把病毒庫更新為最新病毒庫。計算機使用者應定期對計算機進行全盤掃描,查找病毒。如果查到有病毒,可以根據情況采取刪除,隔離病毒。殺毒軟件還有預防和及時提醒病毒入侵的作用。另一個防病毒的手段是切斷交叉感染的途徑。我們要有一個清晰的概念,凡是有信息交流,就有病毒傳播的機會。因此,在機構內的業務網,通常是禁止與互聯網交流信息,同時也禁止個人在業務網下載和上傳信息。這種禁止的手段,最常用的就是業務網和互聯網的物理隔離,將USB接口和光盤驅動器的禁用。通過BIOS和注冊表的設置,我們可以禁止U盤、移動硬盤和光驅的使用。也可以使用一些專業的應用軟件來禁止USB接口和光盤驅動器的使用。當然,禁止了U盤、移動硬盤和光驅的使用,在當代的信息時代,會給業務操作員的個人業務總結、業務匯報、業務技術交流帶來諸多不便。業務網的使用者會以各種的理由和特權企圖突破封鎖。但這種措施確實能保障業務信息的安全,阻斷了病毒的傳播途徑。是一種兩害相權取其輕的折中方案。因此,要保障業務網的信息安全,上至高層領導,下至普通員工,都很有必要嚴格遵守業務網的信息下載和上傳的安全守則。業務網的信息交流必須有專人管控。下載和上傳信息到業務網的介質(U盤、移動硬盤、可刷寫的光盤)在使用前都要查殺病毒,確保所用介質是不帶病毒或相對安全的。接下來,我們再來探討通過軟件竊取信息的手段和預防。包嗅探(PacketSniffing)是一種用于計算機網絡的竊聽形式,類似于電話網絡的搭線竊聽(Wire-tap)。它是以太網流行的一種竊聽手段。以太網是一種共享媒介網絡。這就意味著,連接于同一網段的主機的數據流(Traffic)都要經過以太網卡的過濾器。這個過濾器的作用是防止某臺主機看到已編址的數據流發送到其他站點。而嗅探程序可以關閉過濾器,使得黑客可以看到該網段所有主機數據流的行蹤。在當代的計算機網絡,某些公司的產品甚至已內置了嗅探模塊。大多數的集線器支持遠程監控協議(RMONstandard),這協議允許入侵者使用SNMP進行遠程嗅探。而SNMP具有較弱的認證能力。不少大公司也使用網絡聯盟的“分布式嗅探服務器”。有了這種服務器就能容易猜到用戶的密碼。WindowsNT的機器常常裝有“網絡監控”,它也允許遠程嗅探。這種嗅探功能在信息安全的應用中是一把雙刃劍。正義方可以利用它在信息安全中發揮監控作用。邪惡方可以利用它造成對信息安全的威脅。當今的計算機網絡越來越依賴于交換技術。妨礙包嗅探在交換技術中的發展,計算機網絡的研究人員取得了一定的成功。這些研究成果,在越來越容易在交換數據流的服務器和路由器上遠程裝入嗅探程序的今天,依然有用。然而,包嗅探程序很難探測。人們依然在堅持進行深入研究,但目前還沒有根本的解決方案。包嗅探流行的原因是它能一覽無遺。典型的嗅探項目有:SMTP,POP,IMAP數據流。它們使入侵者能讀取實際的電郵。POP,IMAP,HTTPBasic,Telnetauthentication數據流。它們使入侵者能離線讀取明文的密碼。SMB,NFS,FTP數據流。它們使入侵者能在線讀取文件。SQL數據庫。它們讓入侵者能獲悉金融交易和信用卡號。嗅探不僅能讀取信息攻破一個系統。而且可以干預一個系統。因為入侵者利用嗅探可閱讀每一個感興趣的文件。還有一種通過軟件竊取信息的手段稱為“IP哄騙”(IPSpoofing)。這是黑客在某個網段的兩個通信端點之間植入嗅探程序,扮演其中一方來劫持聯系。這通常用作發動拒絕服務攻擊,并且偽裝的IP不受干擾。從上述的分析來看,要抵御包嗅探,我們需要安裝電子證書以便進行身份認證;對傳輸的信息進行加密,用密文傳送信息;加強對數據庫的日志的察看和審計。
6小結
第9篇:計算機網絡數據報告范文
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護.計算機網絡安全包括兩個方面,即物理安全和羅輯安全.物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等.羅輯安全包括信息的完整性、保密性和可用性.
第二章 計算機網絡不安全因素
2.1 計算機網絡的脆弱性
(1)網絡的開放性,網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面.或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊.
(2)網絡的國際性,意味著對網絡的攻擊不僅是來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客,所以,網絡的安全面臨著國際化的挑戰.
(3)網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息.
2.2 操作系統存在的安全問題
(1)操作系統結構體系的缺陷.操作系統本身有內存管理、CPU 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰.所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓.
(2)操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素.網絡很重要的一個功能就是文件傳輸功能,比如 FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰.像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那么用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、加載的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患.所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟件.
(3)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現.所謂守護進程,比如說用戶有沒按鍵盤或鼠標,或者別的一些處理.一些監控病毒的監控軟件也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到.但是有些進程是一些病毒,一碰到特定的情況,比如碰到7 月1 日,它就會把用戶的硬盤格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如7 月1 日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況.
(4)操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝"間諜"軟件的條件.若將間諜軟件以打補丁的方式"打"在一個合法用戶上,特別是"打"在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在.
(5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序,可以提交程序給遠程的服務器執行,如telnet.遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題.
(6)操作系統的后門和漏洞.后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法.在軟件開發階段,程序員利用軟件的后門程序得以便利修改程序設計中的不足.一旦后門被黑客利用,或在軟件前沒有刪除后門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失.此外,操作系統的無口令的入口,也是信息安全的一大隱患.
(7) 盡管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值.當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網絡癱瘓掉.
2.3 數據庫存儲的內容存在的安全問題
數據庫管理系統大量的信息存儲在各種各樣的數據庫里面,包括我們上網看到的所有信息,數據庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少.例如:授權用戶超出了訪問權限進行數據的更改活動;非法用戶繞過安全內核,竊取信息.對于數據庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性.數據的安全性是防止數據庫被破壞和非法的存取;數據庫的完整性是防止數據庫中存在不符合語義的數據.
2.4 防火墻的脆弱性
防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使 Internet 與Intranet 之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入.
但防火墻只能提供網絡的安全性,不能保證網絡的絕對安全,它也難以防范網絡內部的攻擊和病毒的侵犯.并不要指望防火墻靠自身就能夠給予計算機安全.防火墻保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火墻再強,也是沒有優勢的.它甚至不能保護你免受所有那些它能檢測到的攻擊.隨著技術的發展,還有一些破解的方法也使得防火墻造成一定隱患.這就是防火墻的局限性.
2.5 其他方面的因素
計算機系統硬件和通訊設施極易遭受到自然環境的影響,如:各種自然災害(如地震、泥石流、水災、風暴、建筑物破壞等)對計算機網絡構成威脅.還有一些偶發性因素,如電源故障、設備的機能失常、軟件開發過程中留下的某些漏洞等,也對計算機網絡構成嚴重威脅.此外管理不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅.
第三章 計算機網絡安全的對策
3.1 技術層面對策
(1) 建立安全管理制度.提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養.對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法.
(2) 網絡訪問控制.訪問控制是網絡安全防范和保護的主要策略.它的主要任務是保證網絡資源不被非法使用和訪問.它是保證網絡安全最重要的核心策略之一.訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段.
(3) 應用密碼技術.應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證.基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理.
(4)數據庫的備份與恢復.數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作.備份是恢復數據庫最容易和最能防止意外的保證方法.恢復是在意外發生后利用備份來恢復數據的操作.有三種主要備份策略:只備份數據庫、備份數據庫和事務日志、增量備份.
(5) 切斷傳播途徑.對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網絡可疑信息.
(6) 提高網絡反病毒技術能力.通過安裝病毒防火墻,進行實時過濾.對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置.在網絡中,限制只能由服務器才允許執行的文件.
(7) 研發并完善高安全的操作系統.研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全.
3.2 管理層面對策
計算機網絡的安全管理,不僅要看所采用的安全技術和防范措施,而且要看它所采取的管理措施和執行計算機安全保護法律、法規的力度.只有將兩者緊密結合,才能使計算機網絡安全確實有效.
計算機網絡的安全管理,包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面.加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施.
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網絡系統的安全,維護信息系統的安全.除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度.
3.3 物理安全層面對策
(1) 機房場地環境的選擇.計算機系統選擇一個合適的安裝場所十分重要.它直接影響到系統的安全性和可靠性.選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設在建筑物高層和用水設備的下層或隔壁.還要注意出入口的管理.
2) 計算機系統的環境條件.計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準.
(3) 機房的安全防護.機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策.為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,并對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建筑物應具有抵御各種自然災害的設施.
第四章 局域網安全現狀
廣域網絡已有了相對完善的安全防御體系, 防火墻、漏洞掃描、防病毒、IDS 等網關級別、網絡邊界方面的防御, 重要的安全設施大致集中于機房或網絡入口處, 在這些設備的嚴密監控下, 來自網絡外部的安全威脅大大減小.相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施, 安全威脅較大.未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡, 形成極大的安全隱患.目前, 局域網絡安全隱患是利用了網絡系統本身存在的安全弱點, 而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度.
第五章 局域網安全威脅分析
5.1 欺騙性的軟件使數據安全性降低
由于局域網很大的一部分用處是資源共享, 而正是由于共享資源的"數據開放性", 導致數據信息容易被篡改和刪除, 數據安全性較低.例如"網絡釣魚攻擊", 釣魚工具是通過大量發送聲稱來自于一些知名機構的欺騙性垃圾郵件, 意圖引誘收信人給出敏感信息: 如用戶名、口令、賬號ID、ATM PIN 碼或信用卡詳細信息等的一種攻擊方式.最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據,以往此類攻擊的冒名的多是大型或著名的網站, 但由于大型網站反應比較迅速, 而且所提供的安全功能不斷增強, 網絡釣魚已越來越多地把目光對準了較小的網站.同時由于用戶缺乏數據備份等數據安全方面的知識和手段, 因此會造成經常性的信息丟失等現象發生.
5.2 服務器區域沒有進行獨立防護
局域網內計算機的數據快速、便捷的傳遞, 造就了病毒感染的直接性和快速性, 如果局域網中服務器區域不進行獨立保護, 其中一臺電腦感染病毒, 并且通過服務器進行信息傳遞, 就會感染服務器, 這樣局域網中任何一臺通過服務器信息傳遞的電腦, 就有可能會感染病毒.雖然在網絡出口有防火墻阻斷對外來攻擊, 但無法抵擋來自局域網內部的攻擊.
5.3 計算機病毒及惡意代碼的威脅
由于網絡用戶不及時安裝防病毒軟件和操作系統補丁, 或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵.許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點.寄生軟件可以修改磁盤上現有的軟件, 在自己寄生的文件中注入新的代碼.最近幾年, 隨著犯罪軟件(crimeware) 洶涌而至, 寄生軟件已退居幕后, 成為犯罪軟件的助手.2007 年, 兩種軟件的結合推動舊有寄生軟件變種增長3 倍之多.2008 年, 預計犯罪軟件社區對寄生軟件的興趣將繼續增長, 寄生軟件的總量預計將增長20%.
5.4 局域網用戶安全意識不強
許多用戶使用移動存儲設備來進行數據的傳遞, 經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網, 同時將內部數據帶出局域網, 這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性.另外一機兩用甚至多用情況普遍, 筆記本電腦在內外網之間平凡切換使用, 許多用戶將在In ternet 網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用, 造成病毒的傳入和信息的泄密.
5.5 IP 地址沖突
局域網用戶在同一個網段內, 經常造成IP 地址沖突, 造成部分計算機無法上網.對于局域網來講,此類IP 地址沖突的問題會經常出現, 用戶規模越大, 查找工作就越困難, 所以網絡管理員必須加以解決.
正是由于局域網內應用上這些獨特的特點, 造成局域網內的病毒快速傳遞, 數據安全性低, 網內電腦相互感染, 病毒屢殺不盡, 數據經常丟失.
第六章 局域網安全控制與病毒防治策略
6.1 加強人員的網絡安全培訓
(1)加強安全知識培訓, 使每個計算機使用者掌握一定的安全知識, 至少能夠掌握如何備份本地的數據, 保證本地數據信息的安全可靠.
(2)加強安全意識培訓, 讓每個工作人員明白數據信息安全的重要性, 理解保證數據信息安全是所有計算機使用者共同的責任.
(3)加強網絡知識培訓, 通過培訓掌握一定的網絡知識, 能夠掌握IP 地址的配置、數據的共享等網絡基本知識, 樹立良好的計算機使用習慣.
6.2 局域網安全控制策略
(1)利用桌面管理系統控制用戶入網.入網訪問控制是保證網絡資源不被非法使用, 是網絡安全防范和保護的主要策略.它為網絡訪問提供了第一層訪問控制.它控制哪些用戶能夠登錄到服務器并獲取網絡資源, 控制用戶入網的時間和在哪臺工作站入網.用戶和用戶組被賦予一定的權限, 網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源, 可以指定用戶對這些文件、目錄、設備能夠執行的操作.啟用密碼策略, 強制計算機用戶設置符合安全要求的密碼, 包括設置口令鎖定服務器控制臺, 以防止非法用戶修改.設定服務器登錄時間限制、檢測非法訪問.刪除重要信息或破壞數據, 提高系統安全行, 對密碼不符合要求的計算機在多次警告后阻斷其連網.
(2)采用防火墻技術.防火墻技術是通常安裝在單獨的計算機上, 與網絡的其余部分隔開, 它使內部網絡與In ternet 之間或與其他外部網絡互相隔離,限制網絡互訪, 用來保護內部網絡資源免遭非法使用者的侵入, 執行安全管制措施, 記錄所有可疑事件.它是在兩個網絡之間實行控制策略的系統, 是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術.采用防火墻技術發現及封阻應用攻擊所采用的技術有:
①深度數據包處理.深度數據包處理在一個數據流當中有多個數據包, 在尋找攻擊異常行為的同時, 保持整個數據流的狀態.深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量, 以避免應用時帶來時延.
②TCP? IP 終止.應用層攻擊涉及多種數據包, 并且常常涉及不同的數據流.流量分析系統要發揮功效, 就必須在用戶與應用保持互動的整個會話期間, 能夠檢測數據包和請求, 以尋找攻擊行為.至少, 這需要能夠終止傳輸層協議, 并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式.系統中存著一些訪問網絡的木馬、病毒等IP 地址, 檢查訪問的IP 地址或者端口是否合法, 有效的TCP? IP 終止, 并有效地扼殺木馬.時等.
③IP?U RL 過濾.一旦應用流量是明文格式, 就必須檢測HTTP 請求的U RL 部分, 尋找惡意攻擊的跡象, 這就需要一種方案不僅能檢查RUL , 還能檢查請求的其余部分.其實, 如果把應用響應考慮進來, 可以大大提高檢測攻擊的準確性.雖然U RL 過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊.
④訪問網絡進程跟蹤.訪問網絡進程跟蹤.這是防火墻技術的最基本部分, 判斷進程訪問網絡的合法性, 進行有效攔截.這項功能通常借助于TD I層的網絡數據攔截, 得到操作網絡數據報的進程的詳細信息加以實現.
(3) 封存所有空閑的IP 地址, 啟動IP 地址綁定采用上網計算機IP 地址與MCA 地址唯一對應, 網絡沒有空閑IP 地址的策略.由于采用了無空閑IP 地址策略, 可以有效防止IP 地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密.
(4) 屬性安全控制.它能控制以下幾個方面的權限: 防止用戶對目錄和文件的誤刪除、執行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統屬性等.網絡的屬性可以保護重要的目錄和文件.
(5) 啟用殺毒軟件強制安裝策略, 監測所有運行在局域網絡上的計算機, 對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件.
6.3 病毒防治
(1)增加安全意識和安全知識, 對工作人員定期培訓.首先明確病毒的危害, 文件共享的時候盡量控制權限和增加密碼, 對來歷不明的文件運行前進行查殺等, 都可以很好地防止病毒在網絡中的傳播.這些措施對杜絕病毒, 主觀能動性起到很重要的作用.
(2) 小心使用移動存儲設備.在使用移動存儲設備之前進行病毒的掃描和查殺, 也可把病毒拒絕在外.
(3) 挑選網絡版殺毒軟件.一般而言, 查殺是否徹底, 界面是否友好、方便, 能否實現遠程控制、集中管理是決定一個網絡殺毒軟件的三大要素.瑞星殺毒軟件在這些方面都相當不錯, 能夠熟練掌握瑞星殺毒軟件使用, 及時升級殺毒軟件病毒庫, 有效使用殺毒軟件是防毒殺毒的關鍵.
通過以上策略的設置, 能夠及時發現網絡運行中存在的問題, 快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點, 及時、準確的切斷安全事件發生點和網絡.
局域網安全控制與病毒防治是一項長期而艱巨的任務, 需要不斷的探索.隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化, 安全問題日益復雜化, 網絡安全建設已不再像單臺計算安全防護那樣簡單.計算機網絡安全需要建立多層次的、立體的防護體系, 要具備完善的管理系統來設置和維護對安全的防護策略.
第七章 結論
(1)配置防火墻.利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息.防火墻是一種行之有效且應用廣泛的網絡安全機制, 防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環.
(2)網絡病毒的防范.在網絡環境下,病毒 傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品.校園網絡是內部局域網,就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件.如果與互聯網相連,就需要網關的防病毒軟件,加強上網計算機的安全.如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒.所以最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使網絡免受病毒的侵襲.
(3)采用入侵檢測系統.入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未 授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術.在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動, 從而達到限制這些活動,以保護系統的安全.在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系.
(4)Web,Email,BBS的安全監測系統.在網絡的www服務器、Email服務器等中使用網絡安全監測系統,實時跟蹤、監視網絡, 截獲Internet網上傳輸的內容,并將其還原成完整的www、Email、FTP、Telnet應用的內容 ,建立保存相應記錄的數據庫.及時發現在網絡上傳輸的非法內容,及時向上級安全網管中 心報告,采取措施.
(5)IP盜用問題的解決.在路由器上捆綁IP和MAC地址.當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行.否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息.
(6)漏洞掃描系統.解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點.面對大型網絡的復雜性和不斷變化的情況,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的.解決的方案是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡 安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患.在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞.
(7)利用網絡監聽維護子網系統安全.對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力.在這種情況下,我們可以采用對各個子網做一個具有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據.設計一個子網專用的監聽程序.該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份.
總之,網絡安全是一個系統的工程,不能僅僅依靠防火墻等單個的系統,而需要仔細考慮系統的安全需求,并將各種安全技術,如密碼技術等結合在 一起,才能生成一個高效、通用、安全的網絡系統.
參考文獻
[1] 胡勝紅.畢婭.《網絡工程原理與實踐教程》人民郵電出版社,2008
[2] 江大慶.吳強.《網絡互聯及路由器技術》.北京.清華大學出版社,2009
[3] 邊宇樞.《網絡系統管理與維護》. 北京.中央廣播電視大學出版社,2009
