毕业设计（论文）浅论计算机网络安全技术.doc

编号：_商丘科技职业学院毕业论文（设计）题目： 谈计算机网络安全技术 系 别 ： 计算机科学系 专 业 ： 计算机网络 姓 名 ： 成 绩 ： 指导教师 ： 2011年5月摘 要随着计算机网络越来越深入到人们生活中的各个方面，计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅速，攻击手段层出不穷。而计算机网络攻击一旦成功，就会使网络上成千上万的计算机处于瘫痪状态，从而给计算机用户造成巨大的损失。因此，认真研究当今计算机网络存在的安全问题，提高计算机网络安全防范意识是非常紧迫和必要的 。焦点分析了计算机网络安全的主要隐患及攻击的主要方式，从管理和技术的角度就加强计算机网络安全提出了针对性的建议。【关键词】：安全问题；相关技术；对策；安全；管理目录前 言1第一章论述安全技术211几种计算机网络安全问题2111 TCP/IP 协议的安全问题2112 网络结构的安全问题3113 路由器等网络设备的安全问题312计算机网络安全的相关技术4121防火墙技术4122 数据加密技术4123 入侵检测技术5124 防病毒技术513 建议采取的几种安全对策6131 网络分段7132 以交换式集线器7133 VLAN的划分7第二章加强管理几点思考921 计算机网络安全的主要隐患9211 计算机网络软、硬件技术不够完善9212 计算机网络安全系统不够健全9213 物理电磁辐射引起的信息泄漏9214 网络安全制度不够健全922 计算机网络受攻击的主要形式9221计算机网络被攻击，主要有六种形式923 加强计算机网络安全的对策措施10231 加强网络安全教育和管理10232 运用网络加密技术10233 加强计算机网络访问控制11234 使用防火墙技术12参考文献14前 言随着经济全球化的发展。随着计算机网络越来越深入到人们生活中的各个方面，计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅速，攻击手段层出不穷。而计算机网络攻击一旦成功，就会使网络上成千上万的计算机处于瘫痪状态，从而给计算机用户造成巨大的损失。因此，认真研究当今计算机网络存在的安全问题，提高计算机网络安全防范意识是非常紧迫和必要的 。焦点分析了计算机网络安全的主要隐患及攻击的主要方式，从管理和技术的角度就加强计算机网络安全提出了针对性的建议。人类生活领域中的广泛应用，针对计算机网络的攻击事件也随之增加。网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒不断地通过网络产生和传播，计算机网络被不断地非法入侵，重要情报、资料被窃取，甚至造成网络系统的瘫痪等等，诸如此类的事件已给政府及企业造成了巨大的损失，甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点。网络安全的重要性是不言而喻的，因此，对漏洞的了解及防范也相对重要起来。 第一章 论述安全技术虽然计算机网络给人们带来了巨大的便利，但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。加强网络安全建设，是关系到企业整体形象和利益的大问题。目前在各企业的网络中都存储着大量的信息资料，许多方面的工作也越来越依赖网络，一旦网络安全方面出现问题，造成信息的丢失或不能及时流通，或者被篡改、增删、破坏或窃用，都将带来难以弥补的巨大损失。而对于政府等许多单位来讲，加强网络安全建设的意义甚至关系到国家的安全、利益和发展。11几种计算机网络安全问题111 TCP/IP 协议的安全问题目前网络环境中广泛采用的TCP/IP 协议。互联网技术屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信，正因为其开放性，TCP/IP 协议本身就意味着一种安全风险。由于大量重要的应用程序都以TCP 作为它们的传输层协议，因此TCP 的安全性问题会给网络带来严重的后果。当TCP/IP用于制造自动化环境的时候，安全易损性问题就显得格外突出。服务质量和端对端可靠性是大多数制造自动化环境的最重要需求。TCP/IP协议的可靠性受到多方面因素的影响（例如网络负载），这对于网络完整性来说是重要的潜在危险。通过分析基于TCP/IP制造自动化网络中期待的通信，考虑机构的安全策略，就有可能设计出一个使数据恶化和被窃取的危险降至最低程度的网络拓扑结构。在制造工厂和外部世界之间设置防火墙，在工厂内部实现分段网络、访问控制网络就能够提供网络管理者，防御无意的或有敌意的破坏。TCP/IP是一个四层的分层体系结构。高层为传输控制协议，它负责聚集信息或把文件拆分成更小的包。这些包通过网络传送到接收端的TCP层，接收端的TCP层把包还原为原始文件。低层是网际协议，它处理每个包的地址部分，使这些包正确的到达目的地。网络上的网关计算机根据信息的地址来进行路由选择。即使来自同一文件的分包路由也有可能不同，但最后会在目的地汇合。 TCP/IP使用客户端/服务器模式进行通信。TCP/IP通信是点对点的，意思是通信是网络中的一台主机与另一台主机之间的。TCP/IP与上层应用程序之间可以说是“没有国籍的”，因为每个客户请求都被看做是与上一个请求无关的。正是它们之间的“无国籍的”释放了网络路径，才是每个人都可以连续不断的使用网络。 许多用户熟悉使用TCP/IP协议的高层应用协议。包括万维网的超文本传输协议（HTTP），文件传输协议（FTP），远程网络访问协议(Telnet)和简单邮件传输协议（SMTP）。这些协议通常和TCP/IP协议打包在一起。 使用模拟电话调制解调器连接网络的个人电脑通常是使用串行线路接口协议（SLIP）和点对点协议（P2P）。这些协议压缩IP包后通过拨号电话线发送到对方的调制解调器中。 与TCP/IP协议相关的协议还包括用户数据包协议（UDP），它代替TCP/IP协议来达到特殊的目的。其他协议是网络主机用来交换路由信息的，包括Internet控制信息协议（ICMP），内部网关协议（IGP），外部网关协议（EGP），边界网关协议（BGP）。TCP/IP原理与应用书籍推荐112 网络结构的安全问题互联网是一种网间网技术。它是由无数个局域网连成的巨大网络组成。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器的重重转发，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦测，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。加之互联网上大多数数据流都没有进行加密，因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解，这就是互联网所固有的安全隐患。113 路由器等网络设备的安全问题路由器的主要功能是数据通道功能和控制功能。路由器作为内部网络与外部网络之间通信的关键设备，严格说来，所有的网络攻击都要经过路由器，但有些典型的攻击方式就是利用路由器本身的设计缺陷展开的，而有些方式干脆就是在路由器上进行的。12计算机网络安全的相关技术计算机网络安全的实现有赖于各种网络安全技术。从技术上来说，网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。121防火墙技术防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。 一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵；监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。 包过滤（Packet Fliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。 代理服务器型（Proxy Service）防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。 复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。 各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机；主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。“防火墙”一方面阻止外界对内部网络资源的非法访问，另一方面也可以防止系统内部对外部系统的不安全访问。实现防火墙的主要技术有：数据包过滤、应用级网关、代理服务和地址转换。122 数据加密技术从密码体制方面而言，加密技术可分为对称密钥密码体制和非对称密钥密码体制，对称密钥密码技术要求加密、解密双方拥有相同的密钥，由于加密和解密使用同样的密钥，所以加密方和解密方需要进行会话密钥的密钥交换。会话密钥的密钥交换通常采用数字信封方式，即将会话密钥用解密方的公钥加密传给解密方，解密方再用自己的私钥将会话密钥还原。对称密钥密码技术的应用在于数据加密非对称密钥密码技术是加密、解密双方拥有不同的密钥，在不知道特定信息的情况下，加密密钥和解密密钥在计算机上是不能相互算出的。加密、解密双方各只有一对私钥和公钥。非对称密钥密码技术的应用比较广泛，可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。在传统上，我们有几种方法来加密数据流。所有这些方法都可以用软件很容易的实现，但是当我们只知道密文的时候，是不容易破译这些加密算法的（当同时有原文和密文时，破译加密算法虽然也不是很容易，但已经是可能的了）。最好的加密算法对系统性能几乎没有影响，并且还可以带来其他内在的优点。例如，大家都知道的pkzip，它既压缩数据又加密数据。又如，dbms的一些软件包总是包含一些加密方法以使复制文件这一功能对一些敏感数据是无效的，或者需要用户的密码。所有这些加密算法都要有高效的加密和解密能力。幸运的是，在所有的加密算法中最简单的一种就是“置换表”算法，这种算法也能很好达到加密的需要。每一个数据段（总是一个字节）对应着“置换表”中的一个偏移量，偏移量所对应的值就输出成为加密后的文件。加密程序和解密程序都需要一个这样的“置换表”。事实上，80x86 cpu系列就有一个指令xlat在硬件级来完成这样的工作。这种加密算法比较简单，加密解密速度都很快，但是一旦这个“置换表”被对方获得，那这个加密方案就完全被识破了。更进一步讲，这种加密算法对于黑客破译来讲是相当直接的，只要找到一个“置换表”就可以了。这种方法在计算机出现之前就已经被广泛的使用。在一些情况下，我们想能够知道数据是否已经被篡改了或被破坏了，这时就需要产生一些校验码，并且把这些校验码插入到数据流中。这样做对数据的防伪与程序本身都是有好处的。但是感染计算机程序的病毒才不会在意这些数据或程序是否加过密，是否有数字签名。所以，加密程序在每次load到内存要开始执行时，都要检查一下本身是否被病毒感染，对与需要加、解密的文件都要做这种检查！很自然，这样一种方法体制应该保密的，因为病毒程序的编写者将会利用这些来破坏别人的程序或数据。因此，在一些反病毒或杀病毒软件中一定要使用加密技术。123 入侵检测技术入侵检测系统可以分为两类，分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前，在实际环境中应用较多的是基于主机的入侵检测系统，它把监测器以软件模块的形式直接安插在了受管服务器的内部，它除了继续保持基于网络的入侵检测系统的功能和优点外，可以不受网络协议、速率和加密的影响，直接针对主机和内部的信息系统，同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。124 防病毒技术随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，其扩散速度也越来越快，对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC 上，它们主要注重于所谓的“单机防病毒”，即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源感染，网络防病毒软件会立刻检测到并加以删除。计算机网络病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和治理机制紧密结合起来，提高人们的防范意识，才 有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面，基本处于被动防御的地位，但治理上应该积极主动。应从硬件设备及软件系统的使用、维护、治理、服务等各个环节制定出严格的规章制度、对网络系统的治理员及用户加强法制教育和职业道德教育，规范工作程序和操作规程，严惩从事非法活动的集体和个人。尽可能采用行之有效的新技术、新手段，建立”防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。必须采取有效的治理措施和技术手段，防止病毒的感染和破坏，力争将损失降到最小。计算机病毒在形式上越来越难以辨别，造成的危害也日益严重，这就要求网络防毒产品在技术上更先进，功能上更全面。从目前病毒的演化趋势来看，网络防病毒产品的发展趋势主要体现在以下几个方面：一是反黑与杀毒相结合；二是从入口拦截病毒；三是提供全面解决方案；四是客户化定制模式；五是防病毒产品技术由区域化向国际化转变。随着计算机网络、数字技术及互联网技术的发展，计算机病毒的危害更是与日俱增。因此，加强计算机病毒的防治、确保计算机信息安全是当前计算机应用过程中的一项重要、迫切的研究课题。我们一方面要把握对现在的计算机病毒的防范措施，切实抓好病毒防治工作；另一方面要加强对未来病毒发展趋势的研究，探讨新时期科学防治计算机病毒的新策略，真正做到防患于未然。防病毒技术示意图13 建议采取的几种安全对策131 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。132 以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听，所以应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。133 VLAN的划分为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。在集中式网络环境下，通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN 里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN 内，互不侵扰。VLAN 内部的连接采用交换实现，而VLAN 与VLAN 之间的连接则采用路由实现。当然，计算机网络安全不是仅有很好的网络安全设计方案就万事大吉，还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构，制定严格的安全制度，指定安全管理人员，随时对整个计算机系统进行严格的监控和管理。(1) 基于端口划分的VLAN.这种划分VLAN的方法是根据以太网交换机的端，口来划分，比如Quidway S3526的14端口为VLAN 10，517为VLAN 20，1824为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1的16端口和交换机 2 的14端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。（2）基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。（3）基于网络层划分VLAN  这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。VLAN技术划分示意图第二章 加强管理几点思考21 计算机网络安全的主要隐患 211 计算机网络软、硬件技术不够完善由于人类认识能力和技术发展的局限性，在设计硬件和软件的过程中，难免会留下种种技术缺陷，由此造成信息安全隐患。如 Internet 作为全球使用范围最广的信息网，自身协议的开放性虽极大地方便了各种计算机入网，拓宽了共享资源，但 TCP/ IP 协议在开始制定时没有考虑通信路径的安全性，缺乏通信协议的基本安全机制，没有加密、身份认证等功能，在发送信息时常包含源地址、目标地址和端口号等信息。由此导致了网络上的远程用户读写系统文件、执行根和非根拥有的文件通过网络进行传送时产生了安全漏洞。 212 计算机网络安全系统不够健全 计算机网络系统内部的安全威胁包括以下几个方面：计算机系统及通信线路的脆弱性。系统软硬件设计、配置及使用不当。人为因素造成的安全泄漏，如网络机房的管理人员不慎将操作口令泄漏，有意或无意地泄密、更改网络配置和记录信息，磁盘上的机密文件被人利用，临时文件未及时删除而被窃取，等等。 213 物理电磁辐射引起的信息泄漏 计算机附属电子设备在工作时能经过地线、电源线、信号线将电磁信号或谐波等辐射出去，产生电磁辐射。电磁辐射物能够破坏网络中传输的数据，这种辐射的来源主要有两个方面，一是网络周围电子设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源；二是网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏。这些电磁信号在近处或者远处都可以被接收下来，经过提取处理，重新恢复出原信息，造成信息泄漏。 214 网络安全制度不够健全 网络内部的安全需要用完备的安全制度来保障，管理的失败是网络系统安全体系失败的非常重要的原因。网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制、用户安全意识不强、将自己的账号随意转借他人或与别人共享等，都会使网络处于危险之中。 22 计算机网络受攻击的主要形式221计算机网络被攻击，主要有六种形式内部窃密和破坏。内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。截收信息。攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式，截获机密信息，或通过对信息流和流向、通信频度和长度等参数的分析，推出有用的信息。它不破坏传输信息的内容，所以不易察觉。非法访问。指未经授权使用网络资源或以未授权的方式使用网络资源，主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。TCP/IP协议上的某些不安全因素。目前广泛使用TCP/IP协议存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置，造成地址假冒和地址欺骗两类安全隐患；IP协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由，这就提供了源路由攻击的条件。病毒破坏。网络病毒主要是通过一些应用服务器来传播的病毒，拥挤了有限的网络带宽，可能导致网络瘫痪。病毒还可能破坏群组服务器，让这些服务器充斥大量垃圾，导致数据性能降低。其它网络攻击方式。攻击者可能破坏网络系统的可用性，使合法用户不能正常访问网络资源，拒绝服务甚至摧毁系统，破坏系统信息的完整性，还可能冒充主机欺骗合法用户，欺骗系统占用资源，等等。23 加强计算机网络安全的对策措施231 加强网络安全教育和管理随着网络技术的飞速发展和普及，计算机网络正以越来越快的速度进入校园、家庭，来到中小学生身边，日渐成为中小学生获取信息、学习知识、休闲娱乐的重要工具。特别是随着校园网络的广泛建设、信息技术课程的开设以及校园外INTERNET网的开通，中小学生上网的人数越来越多。据统计，目前我国各类网站已有15000多个，网民近2000万，其中，学生占上网总人数的20%。那么，学生上网又是做什么呢？2000年4月1日北京青年报在中学生网上生活有滋有味一文中的调查表明，中小学生上网60.7%的人数在玩游戏，34.1%的人找朋友聊天，20.1%的人关注影视文艺动态，27.9%的人关注体坛动态，27.5%的人看新闻，24.3%的发E-mail，18.6%的人选择软件，5.7%的关注卫生保健信息。可见，目前中小学生上网的主要目的是游戏、娱乐和交友。而且，由此引发了一系列的负面影响，不能不引起我们的思考。对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题，进行安全教育，提高工作人员的保密观念和责任心；加强业务、技术的培训，提高操作技能；教育工作人员严格遵守操作规程和各项保密规定，防止人为事故的发生。同时，要保护传输线路安全。对于传输线路，应有露天保护措施或埋于地下，并要求远离各种辐射源，以减少各种辐射引起的数据错误；电缆铺设应当使用金属导管，以减少各种辐射引起的电磁泄漏和对发送线路的干扰。对连接要定期检查，以检测是否有搭线窃听、外连或破坏行为。 232 运用网络加密技术 随着网络的发展，网络安全已成为信息化社会的一个焦点问题，因此需要一种网络安全机制来解决这些问题。在早期，很多的专业计算机人员就通过对网络安全构成威胁的主要因素的研究，已经开发了很多种类的产品。但纵观所有的网络安全技术，我们不难发现加密技术在扮演着主打角色。它无处不在，作为其他技术的基础，它发挥了重要的作用。本论文讲述了加密技术的发展，两种密钥体制（常规密钥密码体制和公开密钥密码体制），以及密钥的管理(主要讨论密钥分配）。我们可以在加密技术的特点中看到他的发展前景，为网络提供更可靠更安全的运行环境。网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。加密数据传输主要有三种：链接加密。在网络节点间加密，在节点间传输加密的信息，传送到节点后解密，不同节点间用不同的密码。节点加密。与链接加密类似，不同的只是当数据在节点间传送时，不用明码格式传送，而是用特殊的加密硬件进行解密和重加密，这种专用硬件通常放置在安全保险箱中。首尾加密。对进入网络的数据加密，然后待数据从网络传送出后再进行解密。网络的加密技术很多，在实际应用中，人们通常根据各种加密算法结合在一起使用，这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击，又可以防止非授权用户的访问。因为通信的双方在加密和解密时使用的是同一个密钥，所以如果其他人获取到这个密钥，那么就会造成失密。只要通信双方能确保密钥在交换阶段未泄露，那么就可以保证信息的机密性与完整性。对称加密技术存在着通信双方之间确保密钥安全交换的问题。同时，一个用户要N个其他用户进行加密通信时，每个用户对应一把密钥，那么他就要管理N把密钥。当网络N个用户之间进行加密通信时，则需要有N×(N-1)个密钥，才能保证任意两者之间的通信。所以，要确保对称加密体系的安全，就好要管理好密钥的产生，分配，存储，和更换。常规密码体制早期有替代密码和置换密码这二种方式。下面我们将讲述一个著名的分组密码美国的数据加密标准DES。DES是一种对二元数据进行加密的算法，数据分组长度为64位，密文分组长度也是64位，使用的密钥为64位，有效密钥长度为56位，有8位用于奇偶校验，解密时的过程和加密时相似，但密钥的顺序正好相反。DES算法的弱点是不能提供足够的安全性，因为其密钥容量只有56位。由于这个原因，后来又提出了三重DES或3DES系统，使用3个不同的密钥对数据块进行(两次或)三次加密，该方法比进行普通加密的三次块。其强度大约和112比特的密钥强度相当。加密原理示意图233 加强计算机网络访问控制 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问，也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同，可灵活地设置访问控制的种类和数量。计算机网络控制系统是在自动控制技术和计算机技术发展的基础上产生的。若将自动控制系统中的控制器的功能用计算机来实现，就组成了典型的计算机控制系统。它用计算机参与控制并借助一些辅助部件与被控对象相联系，以获得一定控制目的而构成的系统。其中辅助部件主要指输入输出接口、检测装置和执行装置等。它与被控对象的联系和部件间的联系通常有两种方式：有线方式、无线方式。控制目的可以是使被控对象的状态或运动过程达到某种要求，也可以是达到某种最优化目标研究和发展智能网络控制系统 智能控制是一类无需人的干预就能够自主地驱动智能机器实现其目标的过程，是用机器模拟人类智能的一个重要领域。智能控制包括学习控制系统、分级递阶智能控制系统、专家系统、模糊控制系统和神经网络控制系统等。应用智能控制技术和自动控制理论来实现的先进的计算机控制系统，将有力地推动科学技术进步，并提高工业生产系统的自动化水平。计算机技术的发展加快了智能控制方法的研究。智能控制方法较深浅层次上模拟人类大脑的思维判断过程，通过模拟人类思维判断的各种算法实现控制。计算机控制系统的优势、应用特色及发展前景将随着智能控制系统的发展而发展。研究和发展计算机网络控制技术 计算机网络技术的发展，正引发着控制技术的深刻变革，以及与之相应的新的控制理论的产生。控制系统结构的网络化、控制系统体系的开放性、控制技术与控制方式的智能化，是当前控制技术发展与创新的方向与主要潮流。网络技术不仅是实现管理层的数据通讯与共享，它应用于控制现场的设备层，并将控制与管理综合化、一体化。Internet 不仅用于传统的信息浏览、查询、发布，还可通过Internet 跨国跨地区直接对现场设备进行远程监测与控制。因而现代的自动化系统可通过网络构成信息与控制综合网络系统。现场控制网络将现场控制设备通过网络连接起灭，构成分布式控制系统。通过Internet实现远端计算机对现场控制设备的远程监测与控制。四级网络就构成现代自动化领域控制网络系统的基本结构。计算机网络对生产方式的创新，网上控制，通过网络进行控制。234 使用防火墙技术 采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制，并且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效地监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行，它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。网络的核心区域包括核心交换机，核心路由器等重要设备，它们负担整个网络的核心数据的转发，并且连接着DMZ区的各个关键应用，如OA系统，ERP系统，CRM系统，对内或对外的Web服务器，数据库服务器等。从安全的角度来说，这个区域是最关键的，也是风险最集中的区域。我们遇到的矛盾是，既要不影响DMZ区应用的可用性和友好性，又要保证其访问的安全性与审核。很多情况下我们不但要在网络的边界部署防火墙，也要在这个区域部署为保护DMZ等类似的关键区域的防火墙。与边界防火墙不同的是，关键区域的防火墙主要是面对内部用户，保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁，比如扫描，渗透，入侵，拒绝服务攻击等攻击，也要提供诸如NAT服务，出站控制，远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域，提供深层次的检测与告警。因为一旦涉及到数据包深入检测，将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发，不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途，结合设备与现有的网络环境灵活部署，才能达到较高可用性与安全性的平衡。一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙技术示意图参考文献1王达.网管员必读网络安全M.北京：电子工业出版社,2007.2张敏波.网络安全实战详解M.北京:电子工业出版社,2008.3谢希仁.计算机网络（第5 版）M.北京：电子工业出版社,20034杨义先，网络安全理论与技术.M.北京：人民邮电出版社，2003.5李学诗，计算机系统安全技术.M.武汉:华中理工大学出版,2003. 6吴钰锋，刘泉，李方敏，网络安全中的密码技术研究及其应用J.真空电子技术，2004.