① 求一個《某某學校(公司)網路安全方案設計》的畢業設計
再幫你找找……
網路安全方案設計
介紹網路安全方案設計的注意點以及網路安全方案的編寫框架最後利用一個案例說明網路安全的需求以及針對需求的設計方案以及完整的實施方案.
網路安全方案概念
網路安全方案可以認為是一張施工的圖紙,圖紙的好壞,直接影響到工程的質量.總的來說,網路安全方案涉及的內容比較多,比較廣,比較專業和實際.
網路安全方案設計的注意點
對於一名從事網路安全的人來說,網路必須有一個整體,動態的安全概念.總的來說,就是要在整個項目中,有一種總體把握的能力,不能只關注自己熟悉的某一領域,而對其他領域毫不關心,甚至不理解,這樣寫不出一份好的安全方案.
因為寫出來的方案,就是要針對用戶所遇到的問題,運用產品和技術解決問題.設計人員只有對安全技術了解的很深,對產品線了解的很深,寫出來的方案才能接近用戶的要求.
評價網路安全方案的質量
一份網路安全方案需要從以下8個方面來把握.
1,體現唯一性,由於安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標准.實際中,每一個特定網路都是唯一的,需要根據實際情況來處理.
2,對安全技術和安全風險有一個綜合把握和理解,包括現在和將來可能出現的所有情況.
3,對用戶的網路系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一個合適,中肯的評估,不能誇大,也不能縮小.
4,對症下葯,用相應的安全產品,安全技術和管理手段,降低用戶的網路系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網路系統抵抗風險和威脅的能力,增強系統本身的免疫力.
5,方案中要體現出對用戶的服務支持.這是很重要的一部分.因為產品和技術,都將會體現在服務中,服務來保證質量,服務來提高質量.
6,在設計方案的時候,要明白網路系統安全是一個動態的,整體的,專業的工程,不能一步到位解決用戶所有的問題.
7,方案出來後,要不斷的和用戶進行溝通,能夠及時的得到他們對網路系統在安全方面的要求,期望和所遇到的問題.
8,方案中所涉及的產品和技術,都要經得起驗證,推敲和實施,要有理論根據,也要有實際基礎.
網路安全方案的框架
總體上說,一份安全解決方案的框架涉及6大方面,可以根據用戶的實際需求取捨其中的某些方面.
1,概要安全風險分析
2,實際安全風險分析
3,網路系統的安全原則
4,安全產品
5,風險評估
6,安全服務
網路安全案例需求
網路安全的唯一性和動態性決定了不同的網路需要有不能的解決方案.通過一個實際的案例,可以提高安全方案設計能力.
項目名稱是:超越信息集團公司(公司名為虛構)網路信息系統的安全管理
項目要求
集團在網路安全方面提出5方面的要求:
1,安全性
全面有效的保護企業網路系統的安全,保護計算機硬體,軟體,數據,網路不因偶然的或惡意破壞的原因遭到更改,泄漏和丟失,確保數據的完整性.
2,可控性和可管理性
可自動和手動分析網路安全狀況,適時檢測並及時發現記錄潛在的安全威脅,制定安全策略,及時報警,阻斷不良攻擊行為,具有很強的可控性和可管理性.
3,系統的可用性
在某部分系統出現問題的時候,不影響企業信息系統的正常運行,具有很強的可用性和及時恢復性.
4,可持續發展
滿足超越信息集團公司業務需求和企業可持續發展的要求,具有很強的可擴展性和柔韌性.
5,合法性
所採用的安全設備和技術具有我國安全產品管理部門的合法認證.
工作任務
該項目的工作任務在於四個方面:
1,研究超越信息集團公司計算機網路系統(包括各級機構,基層生產單位和移動用戶的廣域網)的運行情況(包括網路結構,性能,信息點數量,採取的安全措施等),對網路面臨的威脅以及可能承擔的風險進行定性與定量的分析和評估.
2,研究超越信息集團公司的計算機操作系統(包括伺服器操作系統,客戶端操作系統等)的運行情況(包括操作系統的版本,提供的用戶許可權分配策略等),在操作系統最新發展趨勢的基礎上,對操作系統本身的缺陷以及可能承擔的風險進行定性和定量的分析和評估.
3,研究超越信息集團公司的計算機應用系統(包括信息管理信息系統,辦公自動化系統,電網實時管理系統,地理信息系統和Internet/Intranet信息發布系統等)的運行情況(包括應用體系結構,開發工具,資料庫軟體和用戶許可權分配策略等),在滿足各級管理人員,業務操作人員的業務需求的基礎上,對應用系統存在的問題,面臨的威脅以及可能承擔的風險進行定性與定量的分析和評估.
4,根據以上的定性和定量的評估,結合用戶需求和國內外網路安全最新發真趨勢,有針對地制定卓越信息集團公司計算機網路系統的安全策略和解決方案,確保該集團計算機網路信息系統安全可靠的運行.
解決方案設計
點點網路安全公司(公司名為虛構)通過招標,以150萬的工程造價得到了該項目的實施權.在解決方案設計中需要包含九方面的內容:公司背景簡介,超越信息集團的安全風險分析,完整網路安全實施方案的設計,實施方案計劃,技術支持和服務承諾,產品報價,產品介紹,第三方檢測報告和安全技術培訓.
一份網路安全設計方案應該包括九個方面:公司背景簡介,安全風險分析,解決方案,實施方案,技術支持和服務承諾,產品報價,產品介紹,第三方檢測報告和安全技術培訓.
公司背景簡介
介紹點點網路安全公司的背景需要包括:公司簡介,公司人員結構,曾經成功的案例,產品或者服務的許可證或認證.
1,點點網路安全公司簡介
2,公司的人員結構
3,成功的案例
4,產品的許可證或服務的認證
5,超越信息集團實施網路安全意義
安全風險分析
對網路物理結構,網路系統和應用進行風險分析.
1,現有網路物理結構安全分析
詳細分析超越信息集團公司與各分公司得網路結構,包括內部網,外部網和遠程網.
2,網路系統安全分析
詳細分析超越信息集團公司與各分公司網路得實際連接,Internet的訪問情況,桌面系統的使用情況和主機系統的使用情況,找出可能存在得安全風險
3,網路應用的安全分析
詳細分析卓越信息集團公司與各分公司的所有服務系統以及應用系統,找出可能存在的安全風險.
解決方案
解決方案包括五個方面:
1,建立卓越信息集團公司系統信息安全體系結構框架
2,技術實施策略
3,安全管理工具
4,緊急響應
5,災難恢復
實施方案
實施方案包括:項目管理以及項目質量保證.
1,項目管理
2,項目質量保證
技術支持和服務承諾
包括技術支持的內容和技術支持的方式.
1,技術支持的內容
包括安全項目中所包括的產品和技術的服務,提供的技術和服務包括:(1)安裝調試項目中所涉及的全部產品和技術.(2)安全產品以及技術文檔.(3)提供安全產品和技術的最新信息.(4)伺服器內免費產品升級.
2,技術支持方式
安全項目完成以後提供的技術支持服務,內容包括:(1)客戶現場24小時支持服務.(2)客戶支持中心熱線電話.(3)客戶支持中心Email服務.(4)客戶支持中心Web服務.
產品報價
項目所涉及到全部產品和服務的報價.
產品介紹
卓越信息集團公司安全項目中所有涉及到的產品介紹,主要是使用戶清楚所選擇的產品使什麼,不用很詳細,但要描述清除.
第三方檢測報告
由一個第三方的中立機構,對實施好的網路安全構架進行安全掃描與安全檢測,並提供相關的檢測報告.
安全技術培訓
1,管理人員的安全培訓
2,安全技術基礎培訓
3,安全攻防技術培訓
4,Windows 9X/NT/2000/2003的系統安全管理培訓
5,Unix系統的安全管理培訓
6,安全產品的培訓
本片總結
本章需要理解網路安全方案的基本概念,在編寫網路安全方案的時候需要注意的地方,如何評價網路安全方案的質量
重點掌握如何根據需求寫出一份完整的網路安全的解決方案.
② 求 畢業論文 大專計算機系的 要求 軟體方面的 (開題報告+論文 字數3000以上)
摘要:計算機網路為人們帶來了極大的便利,同時也在經受著垃圾郵件、病毒和黑客的沖擊,因此計算機網路安全技術變得越來越重要。而建立和實施嚴密的網路安全策略和健全安全制度是真正實現網路安全的基礎。
關鍵詞:計算機 網路安全 防禦措施
1.1 什麼是計算機網路安全?
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,數據的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免於破壞、丟失等。邏輯安安全包括信息的完整性、保密性和可用性。
計算機網路安全不僅包括組網的硬體、管理控制網路的軟體,也包括共享的資源,快捷的網路服務,所以定義網路安全應考慮涵蓋計算機網路所涉及的全部內容。參照ISO給出的計算機安全定義,認為計算機網路安全是指:「保護計算機網路系統中的硬體,軟體和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網路系統連續可靠性地正常運行,網路服務正常有序。」
從本質上講,網路安全就是網路上的信息的安全。計算機網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄漏,系統能連續可靠地正常運行,網路服務不被中斷。
從廣義上看,凡是涉及網路上信息的保密性、完整性、可用性、真實性和可控制性的相關技術理論,都是網路安全研究的領域。
從用戶角度來說,他們希望涉及個人隱私或商業機密的信息在網路上受到機密性、完整性和真實性的保護,同時希望保存在計算機系統上的信息不受用戶的非授權訪問和破壞。
從網路運行和管理角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕訪問等威脅,制止和防禦網路黑客的攻擊。
從社會教育的角度來說,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
1.2.1 計算機病毒
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能精確地自我復制的一組計算機指令或者程序代碼。計算機病毒具有傳染性和破壞性,它是一段能夠起破壞作用的程序代碼,與所在的系統或網路環境相適應並與之配合起到破壞作用,是人為特製的通過非授權的方式入侵到別人計算機的程序,給計算機系統帶來某種故障或使其完全癱瘓。比如我們常見蠕蟲病毒就可以使我們的計算機運行速度越來越慢,慢到我們無法忍受的程度。計算機病毒本身具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。隨著計算機及網路技術的發展,計算機病毒的種類越來越多,擴散速度也不斷加快,破壞性也越來越大。
1.2.2黑客和黑客軟體
黑客是泛指採用各種非法手段入侵計算機進行非授權訪問的人員。他們往往會不請自來的光顧各種計算機系統,對已被入侵的計算機截取數據、竊取情報、篡改文件,甚至擾亂和破壞系統。黑客軟體是指一類專門用於通過網路對遠程的計算機設備進行攻擊,進而控制、盜取、破壞信息的程序,它不是病毒,但可任意傳播病毒。互聯網的發達,使黑客活動也變得越來越猖獗,例如所提到的5名杭州的「電腦高手」,利用「黑客」技術遠程竊取價值14萬余元的游戲幣。2009年5月23日,被重慶九龍坡區法院以盜竊罪一審判刑10年半,並處罰金5萬元。就是此類,黑客發展至今,已不再是單純為研究新科技,或對抗牟取暴利的狹義英雄,除有受不住金錢誘惑而入侵電腦盜取資料出售或勒索賺錢外,還有懷著政治動機和其他不可告人目的的行為。
1.2.3 系統及網路安全漏洞
系統、協議及資料庫等的設計上存在的缺陷導致了各種各樣漏洞的產生,使網路門戶大開,也是造成網路不安全的主要因素。
1.2.4 用戶操作失誤及防範意識不強
用戶防範意識不強,口令設置過於簡單,將自己的賬號隨意泄露以及瀏覽不熟悉的網頁、下載等,都會對網路帶來安全隱患。
2 常用網路安全技術
2.1 防火牆技術
盡管近年來各種網路安全技術不斷涌現,但到目前為止防火牆仍是網路系統安全保護中最常用的技術。據公安部計算機信息安全產品質量監督檢驗中心對2000 年所檢測的網路安全產品的統計,在數量方面,防火牆產品占第一位,其次為入侵檢測產品和網路安全掃描。防火牆系統是一種網路安全部件,它可以是硬體,也可以是軟體,也可能是硬體和軟體的結合,這種安全部件處於被保護網路和其它網路的邊界,接收進出被保護網路的數據流,並根據防火牆所配置的訪問控制策略進行過濾或作出其它操作,防火牆系統不僅能夠保護網路資源不受外部的侵入,而且還能夠攔截從被保護網路向外傳送有價值的信息。防火牆系統可以用於內部網路與Internet 之間的隔離,也可用於內部網路不同網段的隔離,後者通常稱為Intranet 防火牆。
2.2 入侵檢測系統
網路入侵檢測技術也叫網路實時監控技術,它通過硬體或軟體對網路上的數據流進行實時檢查,並與系統中的入侵特徵資料庫進行比較,一旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網路連接,或通知防火牆系統對訪問控制策略進行調整,將入侵的數據包過濾掉等。
2.3 網路安全掃描技術
網路安全掃描技術是為使系統管理員能夠及時了解系統中存在的安全漏洞,並採取相應防範措施,從而降低系統的安全風險而發展起來的一種安全技術。利用安全掃描技術,可以對區域網絡、Web 站點、主機操作系統、系統服務以及防火牆系統的安全漏洞進行掃描,系統管理員可以了解在運行的網路系統中存在的不安全的網路服務,在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序,防火牆系統是否存在安全漏洞和配置錯誤。其它的網路安全技術還包括加密技術、身份認證、訪問控制技術、數據備份和災難恢復和VPN技術等等。
3網路安全的保護手段
3.1 . 技術保護手段
網路信息系統遭到攻擊和侵人, 與其自身的安全技術不過關有很大的關系。特別是我國網路安全信息系統建設還處在初級階段, 安全系統有其自身的不完備性及脆弱性, 給不法分子造成可乘之機。網路信息系統的設立以高科技為媒介, 這使得信息環境的治理工作面臨著更加嚴峻的挑戰。
根據實際情況, 可採取以下技術手段:
( 1) 網路安全訪問控制技術。通過對特定網段和服務建立訪問控制體系, 可以將絕大多數攻擊阻止在到達攻擊目標之前。可實施的安全措施有: 防火牆、V P N 設備、V L A N 劃分、訪問控制列表、用戶授權管理、T C P 同步攻擊攔截、路由欺騙防範、實時人侵檢測技術等。
( 2) 身份認證技術
該項技術廣泛用於廣域網、區域網、撥號網路等網路結構。用於網路設備和遠程用戶的身份認證, 防止非授權使用網路資源。
( 3 ) 加密通信技術
該措施主要用於防止重要或敏感信息被泄密或篡改。該項技術的核心是加密演算法。其加密方法主要有: 對稱型加密、不對稱型加密、不可逆加密等。
(4 ) 備份和恢復技術。對於網路關鍵資源如路由器
交換機等做到雙機備份, 以便出現故障時能及時恢復。
(5 ) 在系統和應用層面, 包括計算機防病毒技術
採用安全的操作系統( 達B Z 級) 、應用系統的關鍵軟硬體及關鍵數據的備份等。防病毒技術和備份措施是通常採用的傳統安全技術, 而安全的操作系統是一個新的發展趨勢。
2.2 .法律保護手段。
為了用政策法律手段規范信息行為,節擊信息侵權和信息犯罪,維護網路安全, 各國已紛紛制定了法律政策。1 9 7 3 年瑞士通過了世界上第一部保護計算機的法律; 美國目前已有47 個州制定了有關計算機法規, 聯邦政府也頒布了《偽造存取手段及計算機詐騙與濫用法》和《聯邦計算機安全法》; 1 9 8 7 年日本在刑法中增訂了懲罰計算機犯罪的若千條款, 並規定了刑罰措施. 此外, 英、法、德、加等國也先後頒布了有關計算機犯罪的法規。1 9 9 2 年國際經濟合作與發展組織發表了關於信息系統的安全指南, 各國遵循這一指南進行國內信息系統安全工作的調整。
我國於1 9 9 7年3 月通過的新刑法首次規定了計算機犯罪, 即破壞計算機信息系統罪, 是指違反國家規定, 對計算機信息系統功能和信息系統中儲存、處理、傳輸的數據和應用程序進行破壞, 造成計算機信息系統不能正常運行, 後果嚴重的行為。
根據刑法第2 86 條的規定, 犯本罪的, 處5 年以下有期徒刑或者拘役; 後果特別嚴重的, 處5 年以上有期徒刑。其他相關的法律、法規《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際聯網管理暫行規定》、《中華人民共和國計算機信息網路國際聯網管理暫行規定》、《中華人民共和國計算機信息網路國際聯網管理暫行規定實施辦法》也先後相繼出台. 這些法律法規的出台, 為打擊計算機犯罪、網路犯罪, 保護網路安全提供了法律依據。
3.3 . 管理保護手段.
從管理措施上下工夫確保網路安全也顯得格外重要。在這一點上, 一方面, 加強人員管理, 建立一支高素質的網路管理隊伍, 防止來自內部的攻擊、越權、誤用及泄密。主要指加強計算機及系統本身的安全管理, 如機房、終端、網路控制室等重要場所的安全保衛, 對重要區域或高度機密的部門應引進電子門鎖、自動監視系統、自動報警系統等設備。對工作人員進行識別驗證, 保證只有授權的人員才能訪問計算機系統和數據。常用的方法是設置口令或密碼。系統操作人員、管理人員、稽查人員分別設置, 相互制約, 避免身兼數職的管理人員許可權過大。另一方面,通過一定的管理方法上的規章制度限制和約束不安分的計算機工作者, 以防止計算機病毒及黑客程序的產生、傳播, 以及通過對計算機操作人員的職業道德教育, 使其充分認識到計算機病毒及黑客程序等對計算機用戶的危害, 認識到傳播病毒、非法人侵等行為是不道德的甚至是違法的行為, 使每一個計算機工作者都成為網路安全的衛士。在一定的程度上, 好的管理方法的實施比用技術方法實現防護更為有效。要在思想上給予足夠的重視。要採取「 預防為主, 防治結合」 的八字方針, 從加強管理人手, 制訂出切實可行的管理措施。
3.4 . 倫理道德保護手段。
倫理道德是人們以自身的評價標准而形成的規范體系。它不由任何機關制定, 也不具有強制力, 而受到內心准則、傳統習慣和社會輿論的作用, 它存在於每個信息人的內心世界。因而倫理道德對網路安全的保護力量來自於信息人的內在驅動力, 是自覺的、主動的, 隨時隨地的, 這種保護作用具有廣泛性和穩定性的特點。
在倫理道德的范疇里, 外在的強制力已微不足道, 它強調自覺、良律, 而無須外界的他律,這種發自內心的對網路安全的尊重比外界強制力保護網路安全無疑具有更深刻的現實性。正因為倫理道德能夠在個體的內心世界裡建立以「 真、善、美」 為准則的內在價值取向體系, 能夠從自我意識的層次追求平等和正義, 因而其在保護網路安全的領域能夠起到技術、法律和管理等保護手段所起不到的作用。
4計算機網路安全的防範措施
4.2安裝防火牆和殺毒軟體
防火牆是內部網與外部網之間的「門戶」,對兩者之間的交流進行全面管理,以保障內部和外部之間安全通暢的信息交換。防火牆採用包過濾、電路網關、應用網關、網路地址轉化、病毒防火牆、郵件過濾等技術,使得外部網無法知曉內部網的情況,對用戶使用網路有嚴格的控制和詳細的記錄。個人計算機使用的防火牆主要是軟體防火牆,通常和殺毒軟體配套安裝。殺毒軟體主要用來殺毒防毒,但要注意,殺毒軟體必須及時升級,升級到最新版本,才能更有效的防毒。由於病毒在不斷更新,殺毒軟體也需要經常更新。殺毒軟體和防火牆的區別在於:殺毒軟體是醫生,用來查殺各種病毒。防火牆是門衛,可以防止黑客攻擊,阻止陌生人訪問計算機。安裝了殺毒軟體和防火牆要及時升級,並經常運行殺毒軟體殺毒,這樣才能防毒。
4.3及時安裝漏洞補丁程序
微軟對漏洞有明確定義:漏洞是可以在攻擊過程中利用的弱點,可以是軟體、硬體、程序缺點、功能設計或者配置不當等。美國威斯康星大學的Miller給出一份有關現今流行的操作系統和應用程序的研究報告,指出軟體中不可能沒有漏洞和缺陷。如今越來越多的病毒和黑客利用軟體漏洞攻擊網路用戶,比如有名的沖擊波病毒就是利用微軟的RPC漏洞進行傳播,震盪波病毒利用Windows的LSASS中存在的一個緩沖區溢出漏洞進行攻擊。當我們的系統程序中有漏洞時,就會造成極大的安全隱患。為了糾正這些漏洞,軟體廠商發布補丁程序。我們應及時安裝漏洞補丁程序,有效解決漏洞程序所帶來的安全問題。掃描漏洞可以使用專門的漏洞掃描器,比如COPS、tripewire、tiger等軟體,也可使用360安全衛士,瑞星卡卡等防護軟體掃描並下載漏洞補丁。
4.4養成良好的上網習慣
如果安裝了防護軟體並及時更新,並及時下載安裝漏洞補丁,計算機基本是安全的。但在很多情況下,網路的木馬和各種病毒是我們自己「請」進來的。所以,養成良好的上網習慣,可以在很大程度上防範病毒。
4.4.1不要隨便瀏覽陌生網頁,隨便打開陌生郵件,防範「網路釣魚」。在訪問網站,特別是需要輸入帳號的時候要仔細確認網站的合法性。打開陌生郵件前,先進行殺毒。
4.4.2使用聊天工具不要隨便打開陌生人發的文件,防範即時通訊病毒。除了不隨便打開陌生人發的文件和網址鏈接外,還應該關閉不需要的服務,如FTP客戶端、Telnet及Web服務等。
4.4.3下載軟體要從著名網站下載,防範軟體捆綁木馬和間諜軟體。比較著名的下載站點如天空軟體、華軍軟體、多特軟體等提供的軟體是比較安全的。
5 結束語
安全問題始終伴隨著計算機網路的發展,面對越來越快的信息化進步,各種新技術也不斷出現和應用,網路安全將會面臨更加嚴峻的挑戰,因此,關於計算機網路安全的問題,仍有大量的工作需要去研究、探索和開發。
參考文獻
[1] 王福春. 試擊網路安全及其防護[J]. 江西行政學院學報,2006.
[2]方倩. 淺論計算機網路安全[J]. 計算機與信息技術,網路天地
[3] 黃儉等.計算機網路安全技術.東南大學出版社,2001,(8)
[4] 楊彬. 淺析計算機網路信息安全技術研究及發展趨勢[J]. 應用科技,2010
[5] 李勇.. 淺論計算機網路安全與防範[J]. 蚌埠黨校學報2009(1)
[6] 劉曉珍. 計算機網路安全與防護[J]. 機械管理開發,2010(6).
計算機信息管理畢業論文
淺談信息管理與知識管理
摘要:通過信息管理、知識管理概念的比較分析,論述了知識管理與信息管理的區別與聯系,闡述了知識管理在管理的對象、管理的方式和技術以及管理的目標上的拓展、改進和深化。最後得出結論:知識管理是信息管理適應知識經濟時代發展的必然結果,知識管理是信息科學發展中新的增長點。
關鍵詞:信息管理;知識管理;比較研究
l信息管理與知識管理的概念
1.1信息管理的概念。『信息管理』,這個術語自20世紀70年代在國外提出以來,使用頻率越來越高。關於 魏 管理」的概念,國外也存在多種不同的解釋。盡管學者們對信息管理的內涵、外延以及發展階段都有著種種不同的說法,但人們公認的信息管理概念可以總結如下:信息管理是個人、組織和社會為了有效地開發和利用信息資源,以現代信息技術為手段,對信息資源實施計劃、組織、指揮、控制和協調的社會活動。既概括了信息管理的三個要素:人員、技術、信息;又體現了信息管理的兩個方面:信息資源和信息活動;反映了管理活動的基本特徵:計劃、控制、協調等。通過對國內外文獻資料的廣泛查閱,發現人們對信息管理的理解表現在以下五種不同含義:信息內容管理,信息媒體管理,計算機信息管理,管理信息系統,信息產業或行業的隊伍管理。
l.2知識管理的概念。關於知識管理的定義,在國內外眾{5{紛紜。在國外,奎達斯認為,知識管程,以滿足現在或將來出現的各種需要,確定和探索現有和獲得的知識資產,開發新的機會。巴斯認為,知識管理是指為了增強組織的效績而創造、獲取和使用知識的過程。丹利爾?奧利里認為,就唇降組織收到的各種來源的信息轉化為知識,並將知識與人聯系起來的過程。馬斯認為,知識管理是—個系統的發現、選擇、組織、過濾和表述信息的過程,目的是改善雇員對待特定問題的理解。美國德爾集團創始人之一卡爾?費拉保羅認為,知識管理就是運用。是為企業實現顯性知識和隱性知識共享提供的新途徑。而如何識別、獲取、開發、分解、儲存、傳遞知識,從而使每個員工在最大限度地貢獻出其積累的知識的同時,也能享用他人的知識,實現知識共享則是知識管理的目標。
在國內,烏家培教授認為,知識管理是信息管理發展的新階層,它同信息管理以往各階段不一樣,要求把信息與信息、信息與活動、信息與人連結起來,在人際交流的互動過程中,通過信息與知識(除顯性知識外還包括隱性知識)的共享,運用群體的智能進行創新,以贏得競爭優勢。他指出。對於知識管理的研究,最寬的理解認為,知識管理就是知識時代的管理,最窄的理解則認為,知識管理只是對知識資產(或智力資本)的管理。
2信息管理與知識管理的聯系
信息管理是知識管理的基礎,知識管理是信息管理在深度和廣度上的進一步深化和發展。信息管理為知識管理提供了堅實的基礎,因為共享信息是其關鍵因素之一,因而如果—個組織不能進行有效的信息管理就不可能成功地進行知識管理。
首先,知識管理需要信息管理理論與技術的支撐。知識管理的楊 黽知識倉嘶,知識倉! 是一個連續不斷的過程。在知識經濟時代,知識已成為一種基本的生產資料,但知識的創新離不開信息,而知識不能簡單地從所得數據進行歸納概括中產生,由知識與信息的互動性決定了信息資源演變成為知識資源的過程中,不可避免地需要運用信息管理理論與技術對信息資源進行感知、提取、識別、檢索、規劃、傳遞、開發、控制、處理、集成、存儲和利用,通過學習過程與價值認知使信息轉化為知識。信息管理理論和技術的發展為知識的採集與加工、交流與共享、應用與創新提供了得天獨厚的環境和條件,為知識管理項目的實施奠定了堅實的基礎。因此,知識管理與信息管理是相互依存的。
其次,知識管理是對信息管理的揚棄。這主要表現在三個方面:一是傳統的信息管理以提供一次、二次文獻為主,而知識管理不再局限於利用片面的信息來滿足用戶的需求,而是對用戶的需求系統分析,向用戶提供全面、完善的解決方案,幫助用戶選擇有用的文獻,提高知識的獲取效率。二是傳統的信息管理僅局限於對信息的管理,而忽視對人的管理。其實在信息獲取的整個流中,人才是核心。知識管理認為對人的管理既可以提供廣泛的知識來源,又可以建立良好的組織方式用以促進知識的傳播,這適應了知識經濟時代的要求。三是姍識管理通過對知識的管理。拋棄了信息管理中被動處理信息資源的工作模式,它與知識交流、共享、創新和應用的全過程融合,使知識管理成為知識創新的核心能力。
第三,知識管理是信息管理的延伸與發展。如果說售息管理使數據轉化為信息,並使信息為組織設定的目標服務,那麼知識管理則使信息轉化為知識,並用知識來提高特定組織的應變能力和創新能力。信息管理經歷了文獻管理、計算機管理、信息資源管理、競爭性情報管理,進而演進到知識管理。知識管理是信息管理發展的新階段,它同信息管理以往各階段不一樣,要求把信息與信息、信息與活動、信息與人聯結起來,在人際交流的互動過程中,通過信息與知識(除顯性知識外還包括隱性知識)的共享,運用群體的智慧進行創新,以贏得競爭優勢。
3信息管理與知識管理的比較研究
信息管理與知識管理的主要區別:3.1信息管理活動主要涉及到信息技術和信息資源兩個要素,而知識管理除信息技術和信息資源之外,還要管理人力資源。知識管理的目標就是運用信息技術、整合信息資源和人力資源,促進組織內知識資源的快速流動和共享。有效的控制顯性知識(信息資源)和隱性知識(人力資源)的互相轉化,實現知識創新。3.2從管理對象看,信息管理著重顯性知識(信息資源)的管理,而知識管理著重隱性知識(信息資源)的管理與開發。3.3信息管理的工作重心是解決社會信息流的有序化、易檢性和信息資源的整合問題。主要是通過對信息的收集、加工與處理,形成高度相關、比納與檢索和利用的信息資源。知識管理的工作重心是對信息進行分析、綜合和概括,把信息提升為對用戶決策有重大價值的知識資源,實現知識發現、知識創造和知識利用。3.4信息管理強調信息的加工、保存和服務;知識管理則以知識的共享、創新和利用為核心。傳統戲系管理比較偏重於信息、知識資源的收集、整理、分析、傳遞、利用,把顯性知識看作管理的唯一對象,忽略了知識包斷。知識管理把信息管理的平台,機械的方式變為動態的知識創新活動,從而把信息管理提高到—個更高的層次。
4信息管理向知識管理的轉化
知識管理是信息管理過程中的產物,也就是說知識管理是信息管理發展的—個新階段。概括地說,知識管理是隨著人們對資源認識的不斷深化和管理能力的不斷提高而產生和發展起來的,是人力資源管理和知識資源管理的高級化合物,代表了信息管理的發展方向。
從信息管理到知識管理,大致經歷了三個階段:2O世紀40年代及40年代以前,被稱為文獻信息的管理階段,也被稱為傳統的手工方式的信息管理階段;20世紀50年代至80年代初,由於信息總量的迅速增加,信息涌流的嚴峻形勢使信息處理技術受到高度重視,信息系統和辦公自動化系統被廣泛應用,這是信息技術管理階段;20世紀8O年代至90年代中期,以信息資源和信息活動的各種要素為管理對象的這—時期,被稱為信息資源管理階段。自1995年以來,在現代怠息技術與網路技術的作用下,進入了知識管理階段,即信息管理的綜合集成階段,它標志著信息管理擴大到了知識管理的應用領域。
從信息管理到知識管理的轉化是管理理論與實踐中「以人為本」的管理的進一步體現。人成為知識管理的對象,也是知識管理的目的。知識管理是信息管理適應經濟時代發展的必然結果和趨勢,是信息科學發展中新的增長點,是信息科學的實質、目標和任務的充分體現。實行知識管理,推進信息化建設,標志著人類社會開始進入全球經濟—體化的知識文明時代。
③ WLAN網路安全技術研究畢業設計為什麼要設計
畢業設計也是必要的。
④ 有關於網路的畢業論文題目,然後給幾篇範文
淺談計算機網路安全對策分析
論文關鍵詞:計算機網路安全對策
論文摘要:本文對計算機網路安全存在的問題進行了深入探討,提出了對應的改進和防範措施。
隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網路安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文將著重對計算機信息網路安全存在的問題提出相應的安全防範措施。
1、技術層面對策
在技術方面,計算機網路安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以採取以下對策:
1) 建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
2) 網路訪問控制。訪問控制是網路安全防範和保護的主要策略。它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
3) 資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。有三種主要備份策略:只備份資料庫、備份資料庫和事務日誌、增量備份。
4) 應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
5) 切斷傳播途徑。對被感染的硬碟和計算機進行徹底殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網路可疑信息。
6) 提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
7) 研發並完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。
2、管理層面對策
計算機網路的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合,才能使計算機網路安全確實有效。計算機網路的安全管理,包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網路系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
3、物理安全層面對策
要保證計算機網路系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
1) 計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。
2) 機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
3) 機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網路設施、重要數據而採取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。
計算機網路安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網路安全解決方案是綜合各種計算機網路信息系統安全技術,將安全操作系統技術、防火牆技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網路安全防護體系。我們必須做到管理和技術並重,安全技術必須結合安全措施,並加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標准。此外,由於計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
參考文獻:
[1] 張千里.網路安全新技術[M].北京:人民郵電出版社,2003.
[2] 龍冬陽.網路安全技術及應用[M].廣州:華南理工大學出版社,2006.
[3] 常建平,靳慧雲,婁梅枝,網路安全與計算機犯罪[M].北京:中國人民公安大學出版社,2002
⑤ 畢業設計 企業網網路安全設計的前言
摘要在圖片中打開查開吧
⑥ 計算機網路信息安全及對策的畢業論文,5000字
摘 要 探索了網路平安的目前狀況及新問題由來以及幾種主要網路平安技術,提出了實現網路平安的幾條辦法。
網路平安 計算機網路 防火牆
1 網路平安及其目前狀況
1.1 網路平安的概念
國際標准化組織(ISO)將「計算機平安」定義為摘要:「為數據處理系統建立和採取的技術和管理的平安保護,保護計算機硬體、軟體數據不因偶然和惡意的原因而遭到破壞、更改和泄漏」。上述計算機平安的定義包含物理平安和邏輯平安兩方面的內容,其邏輯平安的內容可理解為我們常說的信息平安,是指對信息的保密性、完整性和可用性的保護,而網路平安性的含義是信息平安的引申,即網路平安是對網路信息保密性、完整性和可用性的保護。
1.2 網路平安的目前狀況
目前歐州各國的小型企業每年因計算機病毒導致的經濟損失高達220億歐元,而這些病毒主要是通過電子郵件進行傳播的。據反病毒廠商趨向公司稱,像Sobig、Slammer等網路病毒和蠕蟲造成的網路大塞車,去年就給企業造成了550億美元的損失。而包括從身份竊賊到間諜在內的其他網路危險造成的損失則很難量化,網路平安新問題帶來的損失由此可見一斑。
2 網路平安的主要技術
平安是網路賴以生存的保障,只有平安得到保障,網路才能實現自身的價值。網路平安技術隨著人們網路實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火牆及入侵檢測是網路平安的重要防線。
2.1 認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。現列舉幾種如下摘要:
2.1.1 身份認證
當系統的用戶要訪問系統資源時要求確認是否是合法的用戶,這就是身份認證。常採用用戶名和口令等最簡易方法進行用戶身份的認證識別。
2.1.2 報文認證
主要是通信雙方對通信的內容進行驗證,以保證報文由確認的發送方產生、報文傳到了要發給的接受方、傳送中報文沒被修改過。
2.1.3 訪問授權
主要是確認用戶對某資源的訪問許可權。
2.1.4 數字簽名
數字簽名是一種使用加密認證電子信息的方法,其平安性和有用性主要取決於用戶私匙的保護和平安的哈希函數。數字簽名技術是基於加密技術的,可用對稱加密演算法、非對稱加密演算法或混合加密演算法來實現。
2.2 數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型摘要:私匙加密和公匙加密。
2.2.1 私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很輕易在硬體和軟體件中實現。
2.2.2 公匙加密
公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用於加密信息,另一個用於解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
2.3 防火牆技術
防火牆是網路訪問控制設備,用於拒絕除了明確答應通過之外的所有通信數據,它不同於只會確定網路信息傳輸方向的簡單路由器,而是在網路傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火牆都採用幾種功能相結合的形式來保護自己的網路不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和代理伺服器技術,它們的平安級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮平安兼顧網路連接能力。此外,現今良好的防火牆還採用了VPN、檢視和入侵檢測技術。
防火牆的平安控制主要是基於IP地址的,難以為用戶在防火牆內外提供一致的平安策略;而且防火牆只實現了粗粒度的訪問控制,也不能和企業內部使用的其他平安機制(如訪問控制)集成使用;另外,防火牆難於管理和配置,由多個系統(路由器、過濾器、代理伺服器、網關、保壘主機)組成的防火牆,管理上難免有所疏忽。
2.4 入侵檢測系統
入侵檢測技術是網路平安探究的一個熱點,是一種積極主動的平安防護技術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網路系統受到危害之前攔截相應入侵。隨著時代的發展,入侵檢測技術將朝著三個方向發展摘要:分布式入侵檢測、智能化入侵檢測和全面的平安防禦方案。
入侵檢測系統(Instusion Detection System, 簡稱IDS)是進行入侵檢測的軟體和硬體的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的入侵;檢測入侵的前兆,從而加以處理,如阻止、封閉等;入侵事件的歸檔,從而提供法律依據;網路遭受威脅程度的評估和入侵事件的恢復等功能。
2.5 虛擬專用網(VPN)技術
VPN是目前解決信息平安新問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網路上建立專用網路,使數據通過平安的「加密管道」在公共網路中傳播。用以在公共通信網路上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要採用了如下四項技術來保障平安摘要:隧道技術(Tunneling)、加解密技術(Encryption %26amp; Decryption)、密匙管理技術(Key Management)和使用者和設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的平安服務,這些平安服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和伺服器發起的。
2.6 其他網路平安技術
(1)智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有並由該用戶賦和它一個口令或密碼字,該密碼字和內部網路伺服器上注冊的密碼一致。智能卡技術一般和身份驗證聯合使用。
(2)平安脆弱性掃描技術,它為能針對網路分析系統當前的設置和防禦手段,指出系統存在或潛在的平安漏洞,以改進系統對網路入侵的防禦能力的一種平安技術。
(3)網路數據存儲、備份及容災規劃,它是當系統或設備不幸碰到災難後就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種平安技術方案。
其他網路平安技術還有我們較熟悉的各種網路防殺病毒技術等等。
3 網路平安新問題的由來
網路設計之初僅考慮到信息交流的便利和開放,而對於保障信息平安方面的規劃則非常有限,這樣,伴隨計算機和通信技術的迅猛發展,網路攻擊和防禦技術循環遞升,原來網路固有優越性的開放性和互聯性變成信息的平安性隱患之便利橋梁。網路平安已變成越來越棘手的新問題,只要是接入到網際網路中的主機都有可能被攻擊或入侵了,而遭受平安新問題的困擾。
目前所運用的TCP/IP協議在設計時,對平安新問題的忽視造成網路自身的一些特徵,而所有的應用平安協議都架設在TCP/IP之上,TCP/IP協議本身的平安新問題,極大地影響了上層應用的平安。網路的普及和應用還是近10年的事,而操作系統的產生和應用要遠早於此,故而操作系統、軟體系統的不完善性也造成平安漏洞;在平安體系結構的設計和實現方面,即使再完美的體系結構,也可能一個小小的編程缺陷,帶來巨大的平安隱患;而且,平安體系中的各種構件間缺乏緊密的通信和合作,輕易導致整個系統被各個擊破。
4 網路平安新問題策略的思索
網路平安建設是一個系統工程、是一個社會工程,網路平安新問題的策略可從下面4個方面著手。
網路平安的保障從技術角度看。首先,要樹立正確的思想預備。網路平安的特性決定了這是一個不斷變化、快速更新的領域,況且我國在信息平安領域技術方面和國外發達國家還有較大的差距,這都意味著技術上的「持久戰」,也意味著人們對於網路平安領域的投資是長期的行為。其次,建立高素質的人才隊伍。目前在我國,網路信息平安存在的突出新問題是人才稀缺、人才流失,尤其是拔尖人才,同時網路平安人才培養方面的投入還有較大缺欠。最後,在具體完成網路平安保障的需求時,要根據實際情況,結合各種要求(如性價比等),需要多種技術的合理綜合運用。
網路平安的保障從管理角度看。考察一個內部網是否平安,不僅要看其技術手段,而更重要的是看對該網路所採取的綜合辦法,不光看重物理的防範因素,更要看重人員的素質等「軟」因素,這主要是重在管理,「平安源於管理,向管理要平安」。再好的技術、設備,而沒有高質量的管理,也只是一堆廢鐵。
網路平安的保障從組織體系角度看。要盡快建立完善的網路平安組織體系,明確各級的責任。建立科學的認證認可組織管理體系、技術體系的組織體系,和認證認可各級結構,保證信息平安技術、信息平安工程、信息平安產品,信息平安管理工作的組織體系。
最後,在盡快加強網路立法和執法力度的同時,不斷提高全民的文明道德水準,倡導健康的「網路道德」,增強每個網路用戶的平安意識,只有這樣才能從根本上解決網路平安新問題。
參考文獻
1 張千里,陳光英.網路平安新技術[M.北京摘要:人民郵電出版社,2003
2 高永強,郭世澤.網路平安技術和應用大典[M.北京摘要:人民郵電出版社,2003
3 周國民. 入侵檢測系統評價和技術發展探究[J.現代電子技術,2004(12)
4 耿麥香.網路入侵檢測技術探究綜述[J,網路平安,2004(6)
⑦ 速求網路安全技術研究畢業論文範文
1 緒論隨著互聯網的飛速發展,網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的,通常也是狡猾的、專業的,並且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說,收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。2 方案目標本方案主要從網路層次考慮,將網路系統設計成一個支持各級別用戶或用戶群的安全網路,該網在保證系統內部網路安全的同時,還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,資料庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是,安全技術並不能杜絕所有的對網路的侵擾和破壞,它的作用僅在於最大限度地防範,以及在受到侵擾的破壞後將損失盡旦降低。具體地說,網路安全技術主要作用有以下幾點:
1.採用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎,近年來,網路安全技術得到了迅猛發展,已經產生了十分豐富的理論和實際內容。3 安全需求通過對網路系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權實體有權訪問數據
機密性: 信息不暴露給未授權實體或進程
完整性: 保證數據不被未授權修改
可控性: 控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火牆將內部網路與外部不可信任的網路隔離,對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網路,由於不同的應用業務以及不同的安全級別,也需要使用防火牆將不同的LAN或網段進行隔離,並實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容,一是採用網路監控與入侵防範系統,識別網路各種違規操作與攻擊行為,即時響應(如報警)並進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏4 風險分析網路安全是網路正常運行的前提。網路安全不單是單點的安全,而是整個信息網的安全,需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況,應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。5 解決方案5.1 設計原則
針對網路系統實際情況,解決網路的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統
⑧ 畢業論文 基於TCP/IP三次握手的埠掃描技術
基於TCP/IP 埠掃描技術
[摘要] 本文講述了TCP聯接的建立過程,以及介紹了一些經典的掃描器以及所謂的SYN掃描器的使用,以及隱藏攻擊源的技術,最好介紹了另外一些掃描技術。考慮了一些不是基於TCP埠和主要用來進行安全掃描的掃描工具(例如SATAN)。另外分析了使用掃描器的棧指紋。棧指紋通過檢測主機TCP並將應答跟已知操作系統TCP/IP協議棧應答相比較,解決了識別操作系統的問題。 關鍵字:
TCP/IP,UDP,三階段握手,SYN掃描,FIN掃描,秘密掃描,間接掃描,誘騙掃描,指紋,協作掃描。
--------------------------------------------------------------------------------
正文:
埠掃描技術
前言
第一部分,我們講述TCP連接的建立過程(通常稱作三階段握手),然後討論與掃描程序有關的一些實現細節。
然後,簡單介紹一下經典的掃描器(全連接)以及所謂的SYN(半連接)掃描器。
第三部分主要討論間接掃描和秘密掃描,還有隱藏攻擊源的技術。
秘密掃描基於FIN段的使用。在大多數實現中,關閉的埠對一個FIN 段返回一個RST,但是打開的埠通常丟棄這個段,不作任何回答。間接掃描,就像它的名字,是用一個欺騙主機來幫助實施,這台主機通常不是自願的。
第四部分介紹了一種與應用協議有關掃描。這些掃描器通常利用協議實現中的一些缺陷或者錯誤。認證掃描(ident scanning)也被成為代理掃描(proxy scanning)。
最後一部分,介紹了另外一些掃描技術。考慮了一些不是基於TCP埠和主要用來進行安全掃描的掃描工具(例如SATAN)。另外分析了使用掃描器的棧指紋。棧指紋通過檢測主機TCP並將應答跟已知操作系統TCP/IP協議棧應答相比較,解決了識別操作系統的問題。
一:TCP/IP相關問題
連接端及標記
IP地址和埠被稱作套接字,它代表一個TCP連接的一個連接端。為了獲得TCP服務,必須在發送機的一個埠上和接收機的一個埠上建立連接。TCP連接用兩個連接端來區別,也就是(連接端1,連接端2)。連接端互相發送數據包。
一個TCP數據包包括一個TCP頭,後面是選項和數據。一個TCP頭包含6個標志位。它們的意義分別為:
SYN: 標志位用來建立連接,讓連接雙方同步序列號。如果SYN=1而ACK=0,則表示該數據包為連接請求,如果SYN=1而ACK=1則表示接受連接。
FIN: 表示發送端已經沒有數據要求傳輸了,希望釋放連接。
RST: 用來復位一個連接。RST標志置位的數據包稱為復位包。一般情況下,如果TCP收到的一個分段明顯不是屬於該主機上的任何一個連接,則向遠端發送一個復位包。
URG: 為緊急數據標志。如果它為1,表示本數據包中包含緊急數據。此時緊急數據指針有效。
ACK: 為確認標志位。如果為1,表示包中的確認號時有效的。否則,包中的確認號無效。
PSH: 如果置位,接收端應盡快把數據傳送給應用層。
TCP連接的建立
TCP是一個面向連接的可靠傳輸協議。面向連接表示兩個應用端在利用TCP傳送數據前必須先建立TCP連接。 TCP的可靠性通過校驗和,定時器,數據序號和應答來提供。通過給每個發送的位元組分配一個序號,接收端接收到數據後發送應答,TCP協議保證了數據的可靠傳輸。數據序號用來保證數據的順序,剔除重復的數據。在一個TCP會話中,有兩個數據流(每個連接端從另外一端接收數據,同時向對方發送數據),因此在建立連接時,必須要為每一個數據流分配ISN(初始序號)。為了了解實現過程,我們假設客戶端C希望跟伺服器端S建立連接,然後分析連接建立的過程(通常稱作三階段握手):
1: C --SYN XXà S
2: C ?-SYN YY/ACK XX+1------- S
3: C ----ACK YY+1--à S
1:C發送一個TCP包(SYN 請求)給S,其中標記SYN(同步序號)要打開。SYN請求指明了客戶端希望連接的伺服器端埠號和客戶端的ISN(XX是一個例子)。
2:伺服器端發回應答,包含自己的SYN信息ISN(YY)和對C的SYN應答,應答時返回下一個希望得到的位元組序號(YY+1)。
3:C 對從S 來的SYN進行應答,數據發送開始。
一些實現細節
大部分TCP/IP實現遵循以下原則:
1:當一個SYN或者FIN數據包到達一個關閉的埠,TCP丟棄數據包同時發送一個RST數據包。
2:當一個RST數據包到達一個監聽埠,RST被丟棄。
3:當一個RST數據包到達一個關閉的埠,RST被丟棄。
4:當一個包含ACK的數據包到達一個監聽埠時,數據包被丟棄,同時發送一個RST數據包。
5:當一個SYN位關閉的數據包到達一個監聽埠時,數據包被丟棄。
6:當一個SYN數據包到達一個監聽埠時,正常的三階段握手繼續,回答一個SYN ACK數據包。
7:當一個FIN數據包到達一個監聽埠時,數據包被丟棄。"FIN行為"(關閉得埠返回RST,監聽埠丟棄包),在URG和PSH標志位置位時同樣要發生。所有的URG,PSH和FIN,或者沒有任何標記的TCP數據包都會引起"FIN行為"。
二:全TCP連接和SYN掃描器
全TCP連接
全TCP連接是長期以來TCP埠掃描的基礎。掃描主機嘗試(使用三次握手)與目的機指定埠建立建立正規的連接。連接由系統調用connect()開始。對於每一個監聽埠,connect()會獲得成功,否則返回-1,表示埠不可訪問。由於通常情況下,這不需要什麼特權,所以幾乎所有的用戶(包括多用戶環境下)都可以通過connect來實現這個技術。
這種掃描方法很容易檢測出來(在日誌文件中會有大量密集的連接和錯誤記錄)。Courtney,Gabriel和TCP Wrapper監測程序通常用來進行監測。另外,TCP Wrapper可以對連接請求進行控制,所以它可以用來阻止來自不明主機的全連接掃描。
TCP SYN掃描
在這種技術中,掃描主機向目標主機的選擇埠發送SYN數據段。如果應答是RST,那麼說明埠是關閉的,按照設定就探聽其它埠;如果應答中包含SYN和ACK,說明目標埠處於監聽狀態。由於所有的掃描主機都需要知道這個信息,傳送一個RST給目標機從而停止建立連接。由於在SYN掃描時,全連接尚未建立,所以這種技術通常被稱為半打開掃描。SYN掃描的優點在於即使日誌中對掃描有所記錄,但是嘗試進行連接的記錄也要比全掃描少得多。缺點是在大部分操作系統下,發送主機需要構造適用於這種掃描的IP包,通常情況下,構造SYN數據包需要超級用戶或者授權用戶訪問專門的系統調用。
三:秘密掃描與間接掃描
秘密掃描技術
由於這種技術不包含標準的TCP三次握手協議的任何部分,所以無法被記錄下來,從而必SYN掃描隱蔽得多。另外,FIN數據包能夠通過只監測SYN包的包過濾器。
秘密掃描技術使用FIN數據包來探聽埠。當一個FIN數據包到達一個關閉的埠,數據包會被丟掉,並且回返回一個RST數據包。否則,當一個FIN數據包到達一個打開的埠,數據包只是簡單的丟掉(不返回RST)。
Xmas和Null掃描是秘密掃描的兩個變種。Xmas掃描打開FIN,URG和PUSH標記,而Null掃描關閉所有標記。這些組合的目的是為了通過所謂的FIN標記監測器的過濾。
秘密掃描通常適用於UNIX目標主機,除過少量的應當丟棄數據包卻發送reset信號的操作系統(包括CISCO,BSDI,HP/UX,MVS和IRIX)。在Windows95/NT環境下,該方法無效,因為不論目標埠是否打開,操作系統都發送RST。
跟SYN掃描類似,秘密掃描也需要自己構造IP 包。
間接掃描
間接掃描的思想是利用第三方的IP(欺騙主機)來隱藏真正掃描者的IP。由於掃描主機會對欺騙主機發送回應信息,所以必須監控欺騙主機的IP行為,從而獲得原始掃描的結果。間接掃描的工作過程如下:
假定參與掃描過程的主機為掃描機,隱藏機,目標機。掃描機和目標記的角色非常明顯。隱藏機是一個非常特殊的角色,在掃描機掃描目的機的時候,它不能發送任何數據包(除了與掃描有關的包)。
四:認證掃描和代理掃描
認證掃描
到目前為止,我們分析的掃描器在設計時都只有一個目的:判斷一個主機中哪個埠上有進程在監聽。然而,最近的幾個新掃描器增加了其它的功能,能夠獲取監聽埠的進程的特徵和行為。
認證掃描是一個非常有趣的例子。利用認證協議,這種掃描器能夠獲取運行在某個埠上進程的用戶名(userid)。認證掃描嘗試與一個TCP埠建立連接,如果連接成功,掃描器發送認證請求到目的主機的113TCP埠。認證掃描同時也被成為反向認證掃描,因為即使最初的RFC建議了一種幫助伺服器認證客戶端的協議,然而在實際的實現中也考慮了反向應用(即客戶端認證伺服器)。
代理掃描
文件傳輸協議(FTP)支持一個非常有意思的選項:代理ftp連接。這個選項最初的目的(RFC959)是允許一個客戶端同時跟兩個FTP伺服器建立連接,然後在伺服器之間直接傳輸數據。然而,在大部分實現中,實際上能夠使得FTP伺服器發送文件到Internet的任何地方。許多攻擊正是利用了這個缺陷。最近的許多掃描器利用這個弱點實現ftp代理掃描。
ftp埠掃描主要使用ftp代理伺服器來掃描tcp埠。掃描步驟如下:
1:假定S是掃描機,T是掃描目標,F是一個ftp伺服器,這個伺服器支持代理選項,能夠跟S和T建立連接。
2:S與F建立一個ftp會話,使用PORT命令聲明一個選擇的埠(稱之為p-T)作為代理傳輸所需要的被動埠。
3:然後S使用一個LIST命令嘗試啟動一個到p-T的數據傳輸。
4:如果埠p-T確實在監聽,傳輸就會成功(返回碼150和226被發送回給S)。否則S回收到"425無法打開數據連接"的應答。
5:S持續使用PORT和LIST命令,直到T上所有的選擇埠掃描完畢。
FTP代理掃描不但難以跟蹤,而且當ftp伺服器在_blank">防火牆後面的時候
五:其它掃描方法
Ping掃描
如果需要掃描一個主機上甚至整個子網上的成千上萬個埠,首先判斷一個主機是否開機就非常重要了。這就是Ping掃描器的目的。主要由兩種方法用來實現Ping掃描。
1:真實掃描:例如發送ICMP請求包給目標IP地址,有相應的表示主機開機。
2:TCP Ping:例如發送特殊的TCP包給通常都打開且沒有過濾的埠(例如80埠)。對於沒有root許可權的掃描者,使用標準的connect來實現。否則,ACK數據包發送給每一個需要探測的主機IP。每一個返回的RST表明相應主機開機了。另外,一種類似於SYN掃描埠80(或者類似的)也被經常使用。
安全掃描器
安全掃描器是用來自動檢查一個本地或者遠程主機的安全漏洞的程序。象其它埠掃描器一樣,它們查詢埠並記錄返回結果。但是它們。它們主要要解決以下問題:
1:是否允許匿名登錄。
2:是否某種網路服務需要認證。
3:是否存在已知安全漏洞。
可能SATAN是最著名的安全掃描器。1995年四月SATAN最初發布的時候,人們都認為這就是它的最終版本,認為它不但能夠發現相當多的已知漏洞,而且能夠針對任何很難發現的漏洞提供信息。但是,從它發布以來,安全掃描器一直在不斷地發展,其實現機制也越來越復雜。
棧指紋
絕大部分安全漏洞與缺陷都與操作系統相關,因此遠程操作系統探測是系統管理員關心的一個問題。
遠程操作系統探測不是一個新問題。近年來,TCP/IP實現提供了主機操作系統信息服務。FTP,TELNET,HTTP和DNS伺服器就是很好的例子。然而,實際上提供的信息都是不完整的,甚至有可能是錯誤的。最初的掃描器,依靠檢測不同操作系統對TCP/IP的不同實現來識別操作系統。由於差別的有限性,現在只能最多隻能識別出10餘種操作系統。
最近出現的兩個掃描器,QueSO和NMAP,在指紋掃描中引入了新的技術。 QueSO第一個實現了使用分離的資料庫於指紋。NMAP包含了很多的操作系統探測技術,定義了一個模板數據結構來描述指紋。由於新的指紋可以很容易地以模板的形式加入,NMAP指紋資料庫是不斷增長的,它能識別的操作系統也越來越多。
這種使用掃描器判斷遠程操作系統的技術稱為(TCP/IP)棧指紋技術。
另外有一種技術稱為活動探測。活動探測把TCP的實現看作一個黑盒子。通過研究TCP對探測的回應,就可以發現 TCP實現的特點。TCP/IP 棧指紋技術是活動探測的一個變種,它適用於整個TCP/IP協議的實現和操作系統。棧指紋使用好幾種技術來探測TCP/IP協議棧和操作系統的細微區別。這些信息用來創建一個指紋,然後跟已知的指紋進行比較,就可以判斷出當前被掃描的操作系統。
棧指紋掃描包含了相當多的技術。下面是一個不太完整的清單:
1:FIN探測
2:BOGUS標記探測
3:TCP ISN 取樣
4:TCP 初始窗口
5:ACK值
6:ICMP錯誤信息
7:ICMP信息
8:服務類型
9:TCP選項
⑨ 網路安全畢業設計
淺談計算機網路和網路安全 [網路] 03-04摘 要: 介紹了計算機網路和網路安全的概念,對於互聯網的安全問題提出了解決方案,認為實現網路安全措施的一種重要手段就是防火牆技術,因而重點介 紹了防火牆種類和防火牆技術的實現。 Summary : Have introce the computer network and concept of the ...
http://www.56doc.com/computer/network/3863.html 計算機網路安全的現狀及對策(網路安全問題) [網路] 02-26摘 要 21世紀全世界的計算機都將通過Internet聯到一起,網路安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網路社會的時候,我國將建立起一套完整 ...
http://www.56doc.com/computer/network/3819.html 計算機網路安全漏洞及防範措施 [網路] 07-16【摘 要】: 介紹了計算機網路和網路安全的概念,對於互聯網的安全問題提出了解決方案,認為實現網路安全措施的一種重要手段就是防火牆技術,因而重點介紹了防火牆種類和防火牆技術的實現。 關鍵詞: 計算機網路; 安全; 防火牆; 攻擊 Discuss the online ...
http://www.56doc.com/computer/network/1204.html 網路安全-Web的入侵防禦系統的設計與實現 [網路] 07-16摘 要 Web伺服器往往得不到傳統防禦方式的有效保護,使其成為整個網路環境中安全最薄弱的地方。緩沖區溢出、SQL注入、基於腳本的DDos、盜鏈和跨站等攻擊行為對Web伺服器的安全和穩定造成極大的威脅,而目前缺少有效的防禦和保護的方式。本課題中首先調研了當 ...
http://www.56doc.com/computer/network/1178.html