计算机网络毕业论文---浅谈计算机网络安全及建设.doc

浅谈计算机网络安全及建设 摘 要 ： 本文简要介绍了计算机网络安全的体系结构，分析了网络安全的设计原则，讨论了计算机网络的安全策略、管理原则以及网络各层的安全设计，最后提出了网络安全产品的选型原则。 关键词 ： 计算机 ； 网络 ； 安全； 建设 信息是当今社会发展的重要资源，整个社会对信息的依赖程度越来越高。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性，但竞争已迫使机构打破原有的界限，在企业内部或企业之间共享更多的信息，只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革新和创造。然而，在群件系统中共享的信息却必须保证其安全性，以防止有意无意的破坏成为一个重要的问题。通过对网络应用的全面了解，按照安全风险、需求分析结果、安全策略以及网络的安全目标,具体的安全控制系统可以物理安全、系统安全、网络安全、应用安全、管理安全几个方面。. 物理安全 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络。它主要包括三个方面：环境安全设备安全媒体安全?正常的防范措施主要在三个方面：??对主机房及重要信息存储、收发部门进行屏蔽处理，防止信号外泄??对本地网、局域网传输线路传导辐射的抑制?对终端设备辐射的防范。2 系统安全 网络结构安全操作系统安全应用系统安全网络结构的安全主要指网络拓扑结构是否合理线路是否有冗余路由是否冗余防止单点失败等。?对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件使用权限进行严格限制加强口令字的使用，并及时给系统打补丁、系统内部的相互调用不对外公开?通过配备安全扫描系统对操作系统进行安全性扫描，发现安全漏洞，并重新配置或升级。在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号加强登录身份认证确保用户使用的合法性并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。  网络安全 网络安全是整个安全解决方案的关键，访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别。 隔离与访问控制严格的管理制度 划分虚拟子网(VLAN)配备防火墙内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网（VLAN），在没有配置路的情况下，不同虚拟子网间是不能够互相访问。防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制并且可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。 通信保密使得在网上传送的数据是密文形式，而不是明文。可以选择链路层加密网络层加密方式入侵检测是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。网络扫描系统可以对网络中所有部件（Web站点，防火墙，路由器，TCP/IP及相关协议服务）进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。病毒防护也是网络安全建设中应该考滤的重要的环节之一反病毒技术包括预防病毒、检测病毒和杀毒三种技术 1.4 应用安全 内部OA系统中资源共享信息存储严格控制内部员工对网络共享资源的使用在内部子网中一般不要轻易开放共享目录，对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许访问数据。对有涉及企业秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份通过网络备份系统，可以对数据库进行远程备份存储。  构建CACertification?Authority)体系 针对信息的安全性、完整性、正确性和不可否认性等问题，目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书，通过数字证书，把证书持有者的公开密钥（Public?Key）与用户的身份信息紧密安全地结合起来，以实现身份确认和不可否认性。根据机构本身的特点，可以考滤先构建一个本系统内部的CA系统，即所有的证书只能限定在本系统内部使用有效。随着