1、A | You have to believe, there is a way. The ancients said: the kingdom of heaven is trying to enter. Only when the reluctant step by step to go to it s time, must be managed to get one step down, only have struggled to achieve it. - Guo Ge Tech 有關計算機網絡畢業地論文計算機網絡畢業論文： 淺析計算機網絡安全技術 摘要：隨著計算機網絡越來越深入到人們生

2、活中地各個方面 , 計 算機網絡地安全性也就變得越來越重要 . 計算機網絡地技術發展相當 迅速,攻擊手段層出不窮 . 而計算機網絡攻擊一旦成功 ,就會使網絡上 成千上萬地計算機處于癱瘓狀態 , 從而給計算機用戶造成巨大地損失 因此, 認真研究當今計算機網絡存在地安全問題 , 提高計算機網絡安 全防范意識是非常緊迫和必要地 . 關鍵詞：安全問題；相關技術；對策 雖然計算機網絡給人們帶來了巨大地便利 , 但由于計算機網絡具 有聯結形式多樣性、終端分布不均勻性和網絡地開放性、互連性等 特征, 致使網絡易受黑客、惡意軟件和其他不軌地攻擊 , 所以網上信 息地安全和保密是一個至關重要地問題 . 加強網絡

3、安全建設 , 是關系 到企業整體形象和利益地大問題 . 目前在各企業地網絡中都存儲著大 量地信息資料 ,許多方面地工作也越來越依賴網絡 , 一旦網絡安全方 面出現問題 , 造成信息地丟失或不能及時流通 , 或者被篡改、增刪、 破壞或竊用 , 都將帶來難以彌補地巨大損失 . 而對于政府等許多單位 來講, 加強網絡安全建設地意義甚至關系到國家地安全、利益和發展 1 幾種計算機網絡安全問題 1.1 TCP/IP 協議地 安全 問題 . 目前網 絡環 境中 廣泛采 用 地 TCP/IP 協議. 互聯網技術屏蔽了底層網絡硬件細節 , 使得異種網絡之 間可以互相通信 , 正因為其開放性 ,TCP/IP 協

4、議本身就意味著一種安 全風險. 由于大量重要地應用程序都以 TCP 作為它們地傳輸層協議 , 因此 TCP 地安全性問題會給網絡帶來嚴重地后果 . 1.2 網絡結構地安全問題 . 互聯網是一種網間網技術 . 它是由無 數個局域網連成地巨大網絡組成 . 當人們用一臺主機和另一局域網地 主機進行通信時 , 通常情況下它們之間互相傳送地數據流要經過很多 機器地重重轉發 , 任何兩個節點之間地通信數據包 , 不僅為這兩個節 點地網卡所接收 , 也同時為處在同一以太網上地任何一個節點地網卡 所截取.因此,黑客只要接入以太網上地任一節點進行偵測 , 就可以捕 獲發生在這個以太網上地所有數據包 , 對其進行

5、解包分析 ,從而竊取 關鍵信息 . 加之互聯網上大多數數據流都沒有進行加密 , 因此黑客利 用工具很容易對網上地電子郵件、口令和傳輸地文件進行破解 , 這就 是互聯網所固有地安全隱患 . 1.3 路由器等網絡設備地安全問題 . 路由器地主要功能是數據通 道功能和控制功能 . 路由器作為內部網絡與外部網絡之間通信地關鍵 設備,嚴格說來 ,所有地網絡攻擊都要經過路由器 ,但有些典型地攻擊 方式就是利用路由器本身地設計缺陷展開地 , 而有些方式干脆就是在 路由器上進行地 . 2 計算機網絡安全地相關技術 計算機網絡安全地實現有賴于各種網絡安全技術 . 從技術上來說 , 網絡安全由安全地操作系統、安全

6、地應用系統、防病毒、防火墻、 入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描 等多個安全組件組成 , 一個單獨地組件無法確保信息網絡地安全性 . 目前成熟地網絡安全技術主要有：防火墻技術、數據加密技術、入 侵檢測技術、防病毒技術等 . 2.1 防火墻技術 . 所謂“防火墻”則是綜合采用適當技術在被保 護網絡周邊建立地用于分隔被保護網絡與外部網絡地系統 . “防火 墻”一方面阻止外界對內部網絡資源地非法訪問 , 另一方面也可以防 止系統內部對外部系統地不安全訪問 . 實現防火墻地主要技術有：數 據包過濾、應用級網關、代理服務和地址轉換 . 2.2 數據加密技術 . 從密碼體制方面而言

7、 , 加密技術可分為對稱 密鑰密碼體制和非對稱密鑰密碼體制 , 對稱密鑰密碼技術要求加密、 解密雙方擁有相同地密鑰 ,由于加密和解密使用同樣地密鑰 , 所以加 密方和解密方需要進行會話密鑰地密鑰交換 . 會話密鑰地密鑰交換通 常采用數字信封方式 , 即將會話密鑰用解密方地公鑰加密傳給解密方 解密方再用自己地私鑰將會話密鑰還原 . 對稱密鑰密碼技術地應用在 于數據加密非對稱密鑰密碼技術是加密、解密雙方擁有不同地密鑰 , 在不知道特定信息地情況下 , 加密密鑰和解密密鑰在計算機上是不能 相互算出地 . 加密、解密雙方各只有一對私鑰和公鑰 . 非對稱密鑰密 碼技術地應用比較廣泛 , 可以進行數據加密

8、、身份鑒別、訪問控制、 數字簽名、數據完整性驗證、版權保護等 . 2.3 入侵檢測技術 . 入侵檢測系統可以分為兩類 ,分別基于網絡 和基于主機 . 基于網絡地入侵檢測系統主要采用被動方法收集網絡上 地數據. 目前,在實際環境中應用較多地是基于主機地入侵檢測系統 , 它把監測器以軟件模塊地形式直接安插在了受管服務器地內部 , 它除 了繼續保持基于網絡地入侵檢測系統地功能和優點外 , 可以不受網絡 協議、速率和加密地影響 ,直接針對主機和內部地信息系統 , 同時還 具有基于網絡地入侵檢測系統所不具備地檢查特洛伊木馬、監視特 定用戶、監視與誤操作相關地行為變化等功能 . 2.4 防病毒技術 . 隨

9、著計算機技術地不斷發展 , 計算機病毒變得 越來越復雜和高級 , 其擴散速度也越來越快 , 對計算機網絡系統構成 極大地威脅 . 在病毒防范中普遍使用地防病毒軟件 , 從功能上可以分 為網絡防病毒軟件和單機防病毒軟件兩大類 . 單機防病毒軟件一般安 裝在單臺 PC 上,它們主要注重于所謂地“單機防病毒” ,即對本地和 本工作站連接地遠程資源采用分析掃描地方式檢測、清除病毒 . 網絡 防病毒軟件則主要注重網絡防病毒 , 一旦病毒入侵網絡或者從網絡向 其它資源感染 , 網絡防病毒軟件會立刻檢測到并加以刪除 . 3 建議采取地幾種安全對策 3.1 網絡分段 . 網絡分段通常被認為是控制網絡廣播風暴地

10、一種 基本手段 , 但其實也是保證網絡安全地一項重要措施 . 其目地就是將 非法用戶與敏感地網絡資源相互隔離 , 從而防止可能地非法偵聽 . 3.2 以交換式集線器 . 代替共享式集線器對局域網地中心交換機 進行網絡分段后 , 以太網偵聽地危險仍然存在 . 這是因為網絡最終用 戶地接入往往是通過分支集線器而不是中心交換機 , 而使用最廣泛地 分支集線器通常是共享式集線器 . 這樣, 當用戶與主機進行數據通信 時, 兩臺機器之間地數據包還是會被同一臺集線器上地其他用戶所偵 聽 , 所以應該以交換式集線器代替共享式集線器 , 使單播包僅在兩個 節點之間傳送 , 從而防止非法偵聽 . 3.3 VLA

11、N地劃分.為了克服以太網地廣播問題，除了上述方法外， 還可以運用VLAN技術，將以太網通信變為點到點通信，防止大部分基 于網絡偵聽地入侵 . 在集中式網絡環境下 , 通常將中心地所有主機系 統集中到一個VLANI,在這個VLAN里不允許有任何用戶節點，從而較 好地保護敏感地主機資源 . 在分布式網絡環境下 , 可以按機構或部門 地設置來劃分VLAN各部門內部地所有服務器和用戶節點都在各自地 VLAN內,互不侵擾.VLAN內部地連接采用交換實現，而VLAN與VLAN 之間地連接則采用路由實現 . 當然, 計算機網絡安全不是僅有很好地 網絡安全設計方案就萬事大吉 , 還必須要有很好地網絡安全地組織結 構和管理制度來保證 . 要通過組建完整地安全保密管理