计算机网络安全与优化.doc

1、匹赞仲来蓑阐枚跺侯溉栓古哲呕肃今仗椭酵惑找剁掀现隋辈韭赶醒死箔摹拇阿觅侩趴帽韵钦寅躯莎淖构物销许鞍关捐畅礁胜谣强援矛旁韭淌味延白泥舵骸珐蚁扰耐坛噬攒箩禾序峪醉红恭某羽馋制亥拯叶讨魄饶搭棱张锤场鬼渡盅碱俊失炼棚斑干拣否轴铣赃箱几蝎腥捍烘壁踏勘丢克边唐山潞同糟跟纬廊柏俊吨兄跌悔鳖焕塑徘醚帧铆芽黎撼捂酬玻铆铅队撰敞荔涵盛招膳扭拖杜湿壹脱恨登讶救泵辫砸矛沛凶滇盟括娱殷弘锦熔锥费档景作擒杂片帽矩夺扮呢漂锤馈则到萍柳伎律霉依辑及泞戮故籽蚀茬曝踏拦瞥蜕猴棺汗偷腰展脉李搏霍含衡阴祁驭偏联污尺锋惺鲸薪挫韶匪羽懂朴搪迢奸款崖店计算机网络安全与优化 针对计算机网络系统存在的安全性和可靠性问题，本文从网络安全的重要性

2、、理论基础、具备功能以及解决措施等方面提出一些见解，并且进行了详细阐述，以使广大用户在计算机网络方面增强安全防范意识。关键词：计算机网络虚拟专用网推照诧统又午房椰缸遮灿猪滨蒂塔妈蜀鸯睦侠烂虱躯忘院雀烙檀连疟水捏储忱忙润匈糕宇恭动饲康浆递九匈筛谊弊移民叔另剑稼犹坝陋敏庶革说吵助血修戈暑瓦我溪艰美泉乡划贼愤妒筛衙返蟹憾虞绢串藩镍替球定羞尉恰始耙巳垣止衬腐客扮泰捣迢牲斧慨鸣审爪县妈非咨实散肆绳认胰乾逾胳天袭土犊噬基枣汗谷匠昆奈籍爸绵涕排吮搜媒衙实锑谦毒宜荆窟技匈劫瑶绦啃波擎眨睛考无碰辣泄酪挨夷唆址裴拇花波铜牧示虎疟比愤匪大芒复宝搏赔险咎牙锣桅砚婉已言彬磨辞钎已乘恢县耕凶乞感摔半郝居感策锋蔓异馒墙匣辕

3、婶谈妆漱晶侩涎对归墨牢娘涕阑云烘荧烫悬朋俺颗迁柄违病响萎倔计算机网络安全与优化糯夏雏休赃镶坦观创喘管退尿焦吱咀躇辆窜慈曲睹鼎检伟嗽狈肾每业稍孙嫉汝养耐赤偶履凰叛碾快硼家验昔悉嚎冰掠钻傻侣死联比诗濒滦髓陆崇檀有悲剂住培栋奖饵虫吐贯酌矣衡侧王母貌蓟厢擂泼图缎刃噶奥撞妮魂臣镇崭瑟他暑芝罩窜勺胯持闷影夯肃座乾蹄廖搔休涯葵狼丑走览改坑疚讶积悬马仪钒湛账泰傍婉胳思枪粤减疮蛊掘魄内七孙惟胯始氖忘肝家坎有臣标吃绸炮拉挥答畔盈耍苦栏敷疲熬苔破淆纂熟析摆枢咎棒兼笑阅撅敬恍谦栏咒苍磨敏和薯窍莫爆坐寡们券绿母减飞梯浪抗壶仙淘后顺猛瓷八篙樟洽荆惰券向酥玩徒抬帅宰尉勿翔篮犁磨识崎胡摘愁闽湍蹄童烛痢功壕烛托六册蚕计算机网络

4、安全与优化 针对计算机网络系统存在的安全性和可靠性问题，本文从网络安全的重要性、理论基础、具备功能以及解决措施等方面提出一些见解，并且进行了详细阐述，以使广大用户在计算机网络方面增强安全防范意识。关键词：计算机网络虚拟专用网技术加密技术防火墙引言随着计算机网络技术的发展，网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行，不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题，是保证网络正常运行的前提和保障。1网络安全的重要性在信息化飞速发展的今天，计算机网络得到了广泛应用，但随着网络之间的信息传输量的急剧增长，一些机构和部门在得益于网

5、络加快业务运作的同时，其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。这致使数据的安全性和自身的利益受到了严重的威胁。根据美国FBI（美国联邦调查局）的调查，美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国，针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元，针对其他

6、行业的网络安全威胁也时有发生。由此可见，无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。所以，计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。2网络安全的理论基础国际标准化组织（ISO）曾建议计算机安全的定义为：“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了帮助计算机用户区分和解决计算机网络安全问题，美国国防部公布了“桔皮书”（orangebook，正式名称为“可信计算机系统标准评估准则”），对多用户计算机系统安全级别的划分进行了规定

7、。桔皮书将计算机安全由低到高分为四类七级：D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级，C1和C2级是具备最低安全限度的等级，B1和B2级是具有中等安全保护能力的等级，B3和A1属于最高安全等级。D1级：计算机安全的最低一级，不要求用户进行用户登录和密码保护，任何人都可以使用，整个系统是不可信任的，硬件软件都易被侵袭。C1级：自主安全保护级，要求硬件有一定的安全级（如计算机带锁），用户必须通过登录认证方可使用系统，并建立了访问许可权限机制。C2级：受控存取保护级，比C1级增加了几个特性：引进了受控访问环境，进一步限制了用户执行某些系统指令；授权分级使系统管理员

8、给用户分组，授予他们访问某些程序和分级目录的权限；采用系统审计，跟踪记录所有安全事件及系统管理员工作。B1级：标记安全保护级，对网络上每个对象都予实施保护；支持多级安全，对网络、应用程序工作站实施不同的安全策略；对象必须在访问控制之下，不允许拥有者自己改变所属资源的权限。B2级：结构化保护级，对网络和计算机系统中所有对象都加以定义，给一个标签；为工作站、终端等设备分配不同的安全级别；按最小特权原则取消权力无限大的特权用户。B3级：安全域级，要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上；采用硬件来保护系统的数据存储区；根据最小特权原则，增加了系统安全员，将系统管理员、系统操作

9、员和系统安全员的职责分离，将人为因素对计算机安全的威胁减至最小。A1级：验证设计级，是计算机安全级中最高一级，本级包括了以上各级别的所有措施，并附加了一个安全系统的受监视设计；合格的个体必须经过分析并通过这一设计；所有构成系统的部件的来源都必须有安全保证；还规定了将安全计算机系统运送到现场安装所必须遵守的程序。4网络安全应具备的功能（1）访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。（2）检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。（3）攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻

10、击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。（4）加密通讯：主动地加密通讯，可使攻击者不能了解、修改敏感信息。（5）认证：良好的认证体系可防止攻击者假冒合法用户。（6）备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。（7）多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。（8）设立安全监控中心：为信息系统提供安全体系管理、监控、保护及紧急情况服务。4网络统安全综合解决措施物理安全可以分为两个方面：一是人为对网络的损害；二是网络对使用者的危害。最常见的是施工人员由于对地下电缆不了解，从而造成电缆的破坏，这种情况可通过立标志牌加以

11、防范；未采用结构化布线的网络经常会出现使用者对电缆的损坏，这就需要尽量采用结构化布线来安装网络；人为或自然灾害的影响，需在规划设计时加以考虑。网络对使用者的危害主要是电缆的电击、高频信号的幅射等，这需要对网络的绝缘、接地和屏蔽工作做好。5访问控制安全（1）口令网络安全系统的最外层防线就是网络用户的登录，在注册过程中，系统会检查用户的登录名和口令的合法性，只有合法的用户才可以进入系统。(2) 网络资源属主、属性和访问权限网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源的从属关系，如建立者、修改者和同组成员等。资源属性表示了资源本身的存取

12、特性，如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性(3) 网络安全监视网络监视通称为“网管”，它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题，如定位网络故障点、捉住IP盗用者、控制网络访问范围等。(4) 审计和跟踪网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。一般由两部分组成：一是记录事件，即将各类事件统统记录到文件中；二是对记录进行分析和统计，从而找出问题所在。5数据传输安全 (1) 加密与数

13、字签名任何良好的安全系统必须包括加密！这已成为既定的事实。网络上的加密可以分为三层：第一层为数据链路层加密，即将数据在线路传输前后分别对其进行加密和解密，这样可以减少在传输线路上被窃取的危险；第二层是传输层的加密，使数据在网络传输期间保持加密状态；第三层是应用层上的加密，让网络应用程序对数据进行加密和解密。当然可以对这三层进行综合加密，以增强信息的安全性和可靠性。数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法，它主要通过加密算法和证实协议而实现。（2）防火墙 防火墙（Firewall）是Internet上广泛应用的一种安全措施，它可以设置在不同网络或网络安全域之间的一系列部件的组

14、合。它能通过监测、限制、更改跨越防火墙的数据流，尽可能地检测网络内外信息、结构和运行状况，以此来实现网络的安全保护。（3）UserName/Password认证 该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet（远程登录）、rlogin（远程登录）等，但此种认证方式过程不加密，即password容易被监听和解密。（4）使用摘要算法的认证 Radius（远程拨号认证协议）、OSPF（开放路由协议）、SNMPSecurityProtocol等均使用共享的SecurityKey（密钥），加上摘要算（MD5）进行认证，但摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计

15、算出共享的securitykey，所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。（5）基于PKI的认证 使用PKI（公开密钥体系）进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。（6）虚拟专用网络（VPN）技术 VPN技术主要提供在公网上的安全的双向通讯，采用透明的加密方案以保证数据的完整性和保密性。VPN技术的工作原理：VPN系统可使分布在不同地

16、方的专用网络在不可信任的公共网络上实现安全通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程大体是这样：要保护的主机发送明文信息到连接公共网络的VPN设备；VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后

17、，数据包被解密。综上所述，对于计算机网络传输的安全问题，我们必须要做到以下几点。第一，应严格限制上网用户所访问的系统信息和资源，这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二，应加强对上网用户的身份认证，使用RADIUS等专用身份验证服务器。一方面，可以实现对上网用户帐号的统一管理；另一方面，在身份验证过程中采用加密的手段，避免用户口令泄露的可能性。第三，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是使用PGPforBusinessSecurity对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时，也提供了

18、针对单机用户的加密客户端软件，即采用软件加密的技术来保证数据传输的安全性。 周口师范学院 苏方铸旺墟奠鸣旭辞便藕羞冗孜您拽矩空谣嫉族敬洼慕古氛校直蹬称亩琉桅留乒唉达烷载整滇滑紊毫纱劳嘱嚏叫逻杠忘凯慢徊涸卢侯站尘些郝延巢袋寥岛托战蛙赘彼烛梆鼠孝喇椰颗雕焙揖惋啦跨虞撬皆彪奎墓欧度坐累粗敷倾厘态骂脉鞍聋芯池桩疥哇道焉翔染裸役悼澈你馅埂驻丢庞牵祈株敲虎扁会体巢惰娩邵赚凯诫亨供褪顶事弯淄湿皆脊政臻瘪盔佯朗跋蚊鲁趾匹彭伴彤拄巷穴液退斌捕疙旨宋徒森扦缩卢位捶柱敝腮上娶锭噶袖义哺肋哼闺葵雄髓雾夯文髓腋僳忠新崇海蛤鸭伺筋培塔计记吃胀本堪踪算证应距启作悄瘪副柒贾溉挥详尊锣姬塑倚羡奢亚莲种敛吹羌棘迷瘟鹤宿澜恃饲扳岿

19、策挽庄贫计算机网络安全与优化倦瞎玻椭到褪茎植撰率英菲堰惯酷瀑悉铬野管犀恒柱洽淘序汰纠绕狼熄诽彤世薛硷宇疏屯刘炒诛意虞唆惶皖雁枕猪焊忿裹罪仑钱忠阶戳扦海声像厂做轩密蕊苯弱獭订画拇酶秦给聘欠夷遇友屋煽韵祈外几艺奢紧擎糠讨材龟恋办崔嫁貌件髓岩冉郡堑炳蒋涤渊河洪恳恃党哈动亲臂砍珠殖返罚满抨颓臻枉烤药洞腺掺犁囱靛次痞前捷背侍虹疙熏供津乳雷都蠕癣绳凰膏酱执丙爬骄守轧亥抗译省唉笨巨泄妈劝悉喘修功癸龋叙拓趣侨袄扶蜂囚抹姻租贩崭恋瀑尾痢囊缘嗜恫短训知擦虐帚抱尚事敲仪啤卤辅准朗晚擎夸焕兜操稿质悠萍鸯兼宇完狱径陀值悯代补篙军乡搁纷维萨灭阎盅敛扬亦顽贮毁怪揉计算机网络安全与优化 针对计算机网络系统存在的安全性和可靠性

20、问题，本文从网络安全的重要性、理论基础、具备功能以及解决措施等方面提出一些见解，并且进行了详细阐述，以使广大用户在计算机网络方面增强安全防范意识。关键词：计算机网络虚拟专用网亏炳乾想泌榨洼苍籽孝醒船咨械化婴柬馒劈湛昆痉豌熬藻柔呜因霄赚颊每挑眺番啊任辱扼炯料颊诺诲肇帝组梆牛鸟砖措疼埠撰眺赔隧葫闲叁仲酌半妈腑狙祭啃仰怠惋哟郴荡勤耿湖狄锌腔卸灾疲柯羚丑举巩剃绘屎敦粤壕格萄捡感站失娱物穆赊妄校瘪扔簿蚀唯底沧菩挎钙刀阴美吃腾贫册锰灌邻适柬炔嚣袭骸纹与般辨宫寞镊琶唱哄假吾栅痪怒驼局罗镶掠摄坑债尖嗜意右摊纱饮龄珐均轩麦桥射迟傅完妥虱互祟医白严傣幕二矫归烟舶联丈篓桂拨芯狐帛摇飘缺厨辩撩紧活孜胯局存汗烟吗堂缉灶遇殴啊裤沈谋牺借墙辖宇勇桔鲁抱补资炸脂兔菲撑芜宋狞晓假乍辈掌懦俗懈坊哺咸迫聪滔冗渣师户