網(wǎng)絡(luò )信息安全與防范論文

　　網(wǎng)絡(luò )信息安全與防范論文【1】

　　【摘 要】網(wǎng)絡(luò )發(fā)展的早期，人們更多地強調網(wǎng)絡(luò )的方便性和可用性，而忽略了網(wǎng)絡(luò )的安全性。

　　當網(wǎng)絡(luò )僅僅用來(lái)傳送一般性信息的時(shí)候，當網(wǎng)絡(luò )的覆蓋面積僅僅限于一幢大樓、一個(gè)校園的時(shí)候，安全問(wèn)題并沒(méi)有突出地表現出來(lái)。

　　但是，當在網(wǎng)絡(luò )上運行關(guān)鍵性的如銀行業(yè)務(wù)等，當企業(yè)的主要業(yè)務(wù)運行在網(wǎng)絡(luò )上，當政府部門(mén)的活動(dòng)正日益網(wǎng)絡(luò )化的時(shí)候，計算機網(wǎng)絡(luò )安全就成為一個(gè)不容忽視的問(wèn)題。

　　面對眾多的網(wǎng)絡(luò )安全問(wèn)題，如何讓企業(yè)的員工在信息化社會(huì )擁有一個(gè)安全的辦公環(huán)境是應給予關(guān)注的問(wèn)題。

　　通過(guò)組策略技術(shù)的應用，集中發(fā)布、刪除企業(yè)應用軟件，防止員工用濫電腦娛樂(lè )和病毒的肆意傳播，從而實(shí)現企業(yè)網(wǎng)絡(luò )的安全。

　　提高員工工作效率，加強公司電腦的管理。

　　管理員通過(guò)對組策略的學(xué)習，工作效率大幅度提高，不再疲于奔命對每一臺域中電腦反復配置。

　　隨著(zhù)技術(shù)的發(fā)展，網(wǎng)絡(luò )克服了地理上的限制，把分布在一個(gè)地區、一個(gè)國家，甚至全球的分支機構聯(lián)系起來(lái)。

　　它們使用公共的傳輸信道傳遞敏感的業(yè)務(wù)信息，通過(guò)一定的方式可以直接或間接地使用某個(gè)機構的私有網(wǎng)絡(luò )。

　　組織和部門(mén)的私有網(wǎng)絡(luò )也因業(yè)務(wù)需要不可避免地與外部公眾網(wǎng)直接或間接地聯(lián)系起來(lái)，以上因素使得網(wǎng)絡(luò )運行環(huán)境更加復雜、分布地域更加廣泛、用途更加多樣化，從而造成網(wǎng)絡(luò )的可控制性急劇降低，安全性變差。

　　隨著(zhù)組織和部門(mén)對網(wǎng)絡(luò )依賴(lài)性的增強，一個(gè)相對較小的網(wǎng)絡(luò )也突出地表現出一定的安全問(wèn)題，尤其是當組織的部門(mén)的網(wǎng)絡(luò )就要面對來(lái)自外部網(wǎng)絡(luò )的各種安全威脅。

　　第1章 緒論

　　1.1 課題背景

　　隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò )已經(jīng)成為社會(huì )發(fā)展的重要保證。

　　信息網(wǎng)絡(luò )涉及到國家的政府、軍事、文教等諸多領(lǐng)域，存儲、傳輸和處理的許多信息是政府宏觀(guān)調控決策、商業(yè)經(jīng)濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。

　　其中有很多是敏感信息，甚至是國家機密，所以難免會(huì )吸引來(lái)自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。

　　通常利用計算機犯罪很難留下犯罪證據，這也大大刺激了計算機高技術(shù)犯罪案件的發(fā)生。

　　計算機犯罪率的迅速增加，使各國的計算機系統特別是網(wǎng)絡(luò )系統面臨著(zhù)很大的威脅，并成為嚴重的社會(huì )問(wèn)題之一，從而構成了對網(wǎng)絡(luò )安全的迫切需求。

　　1.1.1計算機網(wǎng)絡(luò )安全威脅及表現形式

　　計算機網(wǎng)絡(luò )具有組成形式多樣性、終端分布廣泛性、網(wǎng)絡(luò )的開(kāi)放性和互聯(lián)性等特征，這使得網(wǎng)絡(luò )容易受到來(lái)自黑客、惡意軟件、病毒木馬、釣魚(yú)網(wǎng)站等的攻擊。

　　1.1.1.1常見(jiàn)的計算機網(wǎng)絡(luò )安全威脅

　　(1) 信息泄露

　　信息被透漏給非授權的實(shí)體。

　　它破壞了系統的保密性。

　　能夠導致信息泄露的威脅有網(wǎng)絡(luò )監聽(tīng)、業(yè)務(wù)流分析、電磁、射頻截獲、人員的有意或無(wú)意、媒體清理、漏洞利用、授權侵弛、物理侵入、病毒、術(shù)馬、后門(mén)、流氓軟件、網(wǎng)絡(luò )釣魚(yú)等。

　　(2) 完整性破壞

　　通過(guò)漏洞利用、物理侵犯、授權侵犯、病毒、木馬、漏洞等方式文現。

　　(3) 拒絕服務(wù)攻擊

　　對信息或資源可以合法地訪(fǎng)問(wèn)，卻被非法地拒絕或者推遲與時(shí)間密切相關(guān)的操作。

　　(4) 網(wǎng)絡(luò )濫用

　　合法用戶(hù)濫用網(wǎng)絡(luò )，引入不必要的安全威脅，包括非法外聯(lián)、非法內聯(lián)、移動(dòng)風(fēng)險、設備濫用、業(yè)務(wù)濫用。

　　1.1.1.2常見(jiàn)的計算機網(wǎng)絡(luò )安全威脅的表現形式

　　(1)自然災害

　　計算機信息系統僅僅是一個(gè)智能的機器，易受自然災害及環(huán)境(溫度、濕度、振動(dòng)、沖擊、污染)的影響。

　　目前，我們不少計算機房并沒(méi)有防震、防火、防水、避雷、防電磁泄露或干擾等措施，接地系統也疏于周到考慮，抵御自然災害和意外事故的能力較差。

　　日常工作中因斷電而設備損壞、數據丟失的現象時(shí)有發(fā)生。

　　由于噪音和電磁輻射，導致網(wǎng)絡(luò )信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。

　　(2)網(wǎng)絡(luò )軟件的漏洞和“后門(mén)”

　　網(wǎng)絡(luò )軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標，曾經(jīng)出現過(guò)的黑客攻入網(wǎng)絡(luò )內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。

　　另外，軟件的“后門(mén)”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，一旦“后門(mén)”洞開(kāi)，其造成的后果將不堪設想。

　　(3) 黑客的威脅和攻擊

　　這是計算機網(wǎng)絡(luò )所面臨的最大威脅。

　　黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類(lèi)。

　　非破壞性攻擊一般是為了擾亂系統的運行，并不盜竊系統資料，通常采用拒絕服務(wù)攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。

　　黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、釣魚(yú)網(wǎng)站的欺騙技術(shù)和尋找系統漏洞等。

　　(4) 垃圾郵件和間諜軟件

　　一些人利用電子郵件地址的“公開(kāi)性”和系統的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。

　　與計算機病毒不同，間諜軟件的主要目的不在于對系統造成破壞，而是竊取系統或是用戶(hù)信息。

　　(5) 計算機犯罪

　　計算機犯罪，通常是利用竊取口令等手段非法侵入計算機信息系統，傳播有害信息，惡意破壞計算機系統，實(shí)施貪w、盜竊、詐騙和金融犯罪等活動(dòng)。

　　在一個(gè)開(kāi)放的網(wǎng)絡(luò )環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標。

　　他們利用不同的攻擊手段，獲得訪(fǎng)問(wèn)或修改在網(wǎng)中流動(dòng)的敏感信息，闖入用戶(hù)或政府部門(mén)的計算機系統，進(jìn)行窺視、竊取、篡改數據。

　　不受時(shí)間、地點(diǎn)、條件限制的網(wǎng)絡(luò )詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長(cháng)。

　　使得針對計算機信息系統的犯罪活動(dòng)日益增多。

　　(8) 計算機病毒

　　20世紀90年代，出現了曾引起世界性恐慌的“計算機病毒”，其蔓延范圍廣，增長(cháng)速度驚人，損失難以估計。

　　它像灰色的幽靈將自己附在其他程序上，在這些程序運行時(shí)進(jìn)入到系統中進(jìn)行擴散。

　　計算機感染上病毒后，輕則使系統工作效率下降，重則造成系統死機或毀壞，使部分文件或全部數據丟失，甚至造成計算機主板等部件的損壞。

　　第2章 網(wǎng)絡(luò )信息安全防范策略

　　2.1 防火墻技術(shù)

　　防火墻，是網(wǎng)絡(luò )安全的屏障，配置防火墻是實(shí)現網(wǎng)絡(luò )安全最基本、最經(jīng)濟、最有效的安全措施之一。

　　防火墻是指位于計算機和它所連接的網(wǎng)絡(luò )之間的硬件或軟件，也可以位于兩個(gè)或多個(gè)網(wǎng)絡(luò )之間，比如局域網(wǎng)和互聯(lián)網(wǎng)之間，網(wǎng)絡(luò )之間的所有數據流都經(jīng)過(guò)防火墻。

　　通過(guò)防火墻可以對網(wǎng)絡(luò )之間的通訊進(jìn)行掃描，關(guān)閉不安全的端口，阻止外來(lái)的DOS攻擊，封鎖特洛伊木馬等，以保證網(wǎng)絡(luò )和計算機的安全。

　　一般的防火墻都可以達到以下目的：一是可以限制他人進(jìn)入內部網(wǎng)絡(luò )，過(guò)濾掉不安全服務(wù)和非法用戶(hù);二是防止入侵者接近你的防御設施;三是限定用戶(hù)訪(fǎng)問(wèn)特殊站點(diǎn);四是為監視Internet安全，提供方便。

　　2.2 數據加密技術(shù)

　　加密就是通過(guò)一種方式使信息變得混亂，從而使未被授權的人看不懂它。

　　主要存在兩種主要的加密類(lèi)型：私匙加密和公匙加密。

　　2.2.1私匙加密

　　私匙加密又稱(chēng)對稱(chēng)密匙加密，因為用來(lái)加密信息的密匙就是解密信息所使用的密匙。

　　私匙加密為信息提供了進(jìn)一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創(chuàng )建加密一條有效的消息。

　　這種加密方法的優(yōu)點(diǎn)是速度很快，很容易在硬件和軟件中實(shí)現。

　　2.2.2公匙加密

　　公匙加密比私匙加密出現得晚，私匙加密使用同一個(gè)密匙加密和解密，而公匙加密使用兩個(gè)密匙，一個(gè)用于加密信息，另一個(gè)用于解密信息。

　　公匙加密系統的缺點(diǎn)是它們通常是計算密集的，因而比私匙加密系統的速度慢得多，不過(guò)若將兩者結合起來(lái)，就可以得到一個(gè)更復雜的系統。

　　2.3 訪(fǎng)問(wèn)控制

　　訪(fǎng)問(wèn)控制是網(wǎng)絡(luò )安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò )資源不被非法使用和非常訪(fǎng)問(wèn)。

　　訪(fǎng)問(wèn)控制決定了誰(shuí)能夠訪(fǎng)問(wèn)系統，能訪(fǎng)問(wèn)系統的何種資源以及如何使用這些資源。

　　適當的訪(fǎng)問(wèn)控制能夠阻止未經(jīng)允許的用戶(hù)有意或無(wú)意地獲取數據。

　　訪(fǎng)問(wèn)控制的手段包括用戶(hù)識別代碼、口令、登錄控制、資源授權、授權核查、 日志和審計。

　　它是維護網(wǎng)絡(luò )安全，保護網(wǎng)絡(luò )資源的主要手段，也是對付黑客的關(guān)鍵手段。

　　2.4 防御病毒技術(shù)

　　隨著(zhù)計算機技術(shù)的不斷發(fā)展，計算機病毒變得越來(lái)越復雜和高級，對計算機信息系統構成極大的威脅。

　　在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò )防病毒軟件和單機防病毒軟件兩大類(lèi)。

　　單機防病毒軟件一般安裝在單臺PC機上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。

　　網(wǎng)絡(luò )防病毒軟件則主要注重網(wǎng)絡(luò )防病毒，一旦病毒入侵網(wǎng)絡(luò )或者從網(wǎng)絡(luò )向其他資源傳染，網(wǎng)絡(luò )防病毒軟件會(huì )立刻檢測到并加以刪除。

　　病毒的侵入必將對系統資源構成威脅，因此用戶(hù)要做到“先防后除”。

　　很多病毒是通過(guò)傳輸介質(zhì)傳播的，因此用戶(hù)一定要注意病毒的介質(zhì)傳播。

　　在日常使用計算機的過(guò)程中，應該養成定期查殺病毒的習慣。

　　用戶(hù)要安裝正版的殺毒軟件和防火墻，并隨時(shí)升級為最新版本。

　　還要及時(shí)更新windows操作系統的安裝補丁，做到不登錄不明網(wǎng)站等等。

　　2.5 安全技術(shù)走向

　　我國信息網(wǎng)絡(luò )安全研究歷經(jīng)了通信保密、數據保護兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò )信息安全研究階段，現已開(kāi)發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統脆弱性?huà)呙柢浖�等�?/p>

　　但因信息網(wǎng)絡(luò )安全領(lǐng)域是一個(gè)綜合、交錯的學(xué)科領(lǐng)域，它綜合了利用數學(xué)、物理、生化信息技術(shù)和計算機技術(shù)的諸多學(xué)科的長(cháng)期積累和最新發(fā)展成果，提出系統的、完整的和協(xié)同的解決信息網(wǎng)絡(luò )安全的方案，目前應從安全體系結構、安全協(xié)議、現代密碼理論、信息分析和監控以及信息安全系統五個(gè)方面開(kāi)展研究，各部分相互協(xié)同形成有機整體。

　　由于計算機運算速度的不斷提高，各種密碼算法面臨著(zhù)新的密碼體制，如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)正處于探索之中。

　　因此網(wǎng)絡(luò )安全技術(shù)在21世紀將成為信息網(wǎng)絡(luò )發(fā)展的關(guān)鍵技術(shù)

　　第3章 企業(yè)網(wǎng)絡(luò )中組策略的應用

　　3.1 利用組策略管理用戶(hù)環(huán)境

　　管理用戶(hù)環(huán)境-控制用戶(hù)在登錄網(wǎng)絡(luò )時(shí)有哪些權力。

　　可以通過(guò)控制用戶(hù)的桌面、網(wǎng)絡(luò )連接和用戶(hù)界面來(lái)控制用戶(hù)權力。

　　用戶(hù)環(huán)境-為用戶(hù)或計算機設置的。

　　3.2 組策略設置的結構

　　專(zhuān)業(yè)名稱(chēng)表(Subject)的設計

　　組策略的設置總體分為：計算機配置和用戶(hù)配置

　　計算機配置和用戶(hù)配置下面又有三個(gè)子層：

　　(1)軟件設置-統一管理所有軟件，Windows設置

　　(2)計算機配置：腳本、安全設置

　　用戶(hù)配置：IE維護、腳本、安全設置、遠程安裝服務(wù)、文件夾重定向

　　(3)管理模板-解決用戶(hù)環(huán)境的問(wèn)題

　　計算機配置：Windows組件、系統、網(wǎng)絡(luò )、打印機

　　用戶(hù)配置：Windows組件、系統、網(wǎng)絡(luò )、桌面、控制面板、任務(wù)欄和開(kāi)始菜單

　　3.2.1 計算機配置中的Windows配置

　　1.添加腳本

　　組策略腳本設置的功能是可以集中配置腳本，在計算機啟動(dòng)或關(guān)閉時(shí)，自動(dòng)運行。

　　指定在Windows 2003上運行任何腳本，包括批處理文件、可執行程序等。

　　如果同時(shí)添加多個(gè)腳本，則Windows 2003按照從上到下的順序執行;如果多個(gè)腳本之間有沖突，則最后處理的腳本有效。

　　配置步驟如下：

　　1)打開(kāi)組策略控制臺-選中需要編輯的組策略-單擊“編輯”

　　2)計算機配置-Windows設置-腳本-右擊“啟動(dòng)”-單擊“添加”

　　3)單擊“瀏覽”，選定要運行的腳本或可執行文件

　　2.計算機中的安全設置

　　安全設置包括：帳號策略、本地策略、事件日志、無(wú)限制的組、系統服 務(wù)、注冊表、文件系統、公鑰策略、IP安全策略。

　　配置步驟如下：

　　1)打開(kāi)組策略控制臺-選中需要編輯的組策略-單擊“編輯” 　　2)計算機配置-Windows設置-安全設置-右擊“登錄屏幕不要顯示上次登錄的用戶(hù)名”

　　3)選擇“安全性”-選中“定義這個(gè)策略設置”和“已啟用”

　　3.2.2 計算機配置中的管理模板

　　(1)計算機配置中的管理模板-控制計算機桌面的外觀(guān)和行為

　　管理模板包括：Windows組件、系統、網(wǎng)絡(luò )。

　　Windows組件中規定了一些操作系統自帶的組件，如：IE、Netmeeting、 若任務(wù)計劃等。

　　(2)設置Windows組件。

　　步驟如下：

　　1)控制面板-任務(wù)計劃-添加一個(gè)任務(wù)計劃

　　2)打開(kāi)組策略控制臺-選中需要編輯的組策略-單擊“編輯”

　　3)計算機配置-管理模板-Windows組件-選中“任務(wù)計劃程序”項

　　4)右擊“禁用‘創(chuàng )建新任務(wù)’”-選擇“屬性”-在“策略”選項卡中選中“啟用”

　　管理模板是基于注冊表的策略。

　　在計算機和用戶(hù)配置中都可以設置管理模板的內容。

　　管理模板是組策略中可以使用的對系統進(jìn)行管理最靈活的一種手段。

　　3.2.3 網(wǎng)絡(luò )子樹(shù)

　　網(wǎng)絡(luò )子樹(shù)包括：脫機文件(處理與脫機文件夾有關(guān)的事項);網(wǎng)絡(luò )及撥號連接

　　禁用網(wǎng)絡(luò )連接共享。

　　配置步驟如下：

　　1)新建一個(gè)撥號連接，設置共享

　　2)打開(kāi)組策略控制臺-選中需要編輯的組策略-單擊“編輯”

　　3)計算機配置-管理模板-網(wǎng)絡(luò )-網(wǎng)絡(luò )及撥號連接

　　4)右擊“允許連接共享”-選中“禁用”

　　3.2.4 用戶(hù)配置中的Windows配置

　　Windows配置中包括：IE維護、腳本、安全設置、遠程安裝服務(wù)、文件夾重定向

　　(1)用用戶(hù)策略中的IE維護為用戶(hù)指定默認主頁(yè)。

　　步驟如下：

　　1)打開(kāi)組策略控制臺-選中需要編輯的組策略-單擊“編輯”

　　2)用戶(hù)配置-Windows設置-IE維護-URL

　　3)右擊“重要URL”-選擇“屬性”-選中“自定義主頁(yè)URL”-輸入網(wǎng)址

　　3.2.5 文件夾重定向

　　重定向文件夾。

　　步驟如下：

　　1)用戶(hù)配置-Windows設置-文件夾重定向-右擊“My Document”子樹(shù)-選擇“屬性”

　　2)在“目標”選項卡中，選擇“基本”，來(lái)為每個(gè)用戶(hù)在服務(wù)器上建立一個(gè)個(gè)人文件夾，文件夾名即用戶(hù)名

　　3)在目標文件夾的位置輸入路徑：服務(wù)器名共享文件夾名\%用戶(hù)名%

　　4)在“設置”選項卡中設置：只有用戶(hù)和系統能夠訪(fǎng)問(wèn)該文件夾

　　文件夾重定向的功能：將用戶(hù)常用的文件夾重定向到網(wǎng)絡(luò )中的某臺服務(wù)器的共享文件夾中。

　　對用戶(hù)最終的效果是：無(wú)論用戶(hù)在那一臺計算機上打開(kāi)它自己的這些文件夾，看到的都是相同的內容。

　　需要注意的是，文件夾重定向只是重定向用戶(hù)自己創(chuàng )建的數據文檔，而不會(huì )把系統數據重定向到網(wǎng)絡(luò )服務(wù)器上。

　　3.2.6 用戶(hù)配置中的管理模板-控制用戶(hù)環(huán)境

　　用戶(hù)配置的管理模板包含：Windows組件、任務(wù)欄和開(kāi)始菜單、桌面、控制面板、網(wǎng)絡(luò )、系統。

　　資源管理器中的策略(使資源管理器中的文件夾選項消失)

　　1)打開(kāi)組策略控制臺-選中需要編輯的組策略-單擊“編輯”

　　2)用戶(hù)配置-管理面板-Windows組件-Windows資源管理器

　　3)右擊“從‘工具’菜單中刪除‘文件夾選項’菜單”，選擇“啟用”任務(wù)欄和開(kāi)始菜單-控制任務(wù)欄和開(kāi)始菜單中的各種環(huán)境

　　3.3 使用組策略管理軟件

　　管理和維護軟件可能使大多數管理員都要面對的，客戶(hù)經(jīng)常會(huì )問(wèn)管理員他使用的軟件為什么不能使用了、新軟件如何安裝。

　　怎么進(jìn)行軟件升級等。

　　利用Windows server 2003的軟件分發(fā)功能可以很輕松的實(shí)現這些需求，這位我們的管理工作帶來(lái)了極大的方便。

　　軟件分發(fā)是指通過(guò)組策略讓用戶(hù)或計算機自動(dòng)進(jìn)行軟件的安裝、更新或卸載。

　　在Windows server 2003中，可以通過(guò)使用一個(gè)站點(diǎn)、域、組織單元內的用戶(hù)和計算機的組策略設置，來(lái)為這個(gè)站點(diǎn)、域、組織單元的用戶(hù)和計算機自動(dòng)安裝、升級或刪除軟件。

　　3.3.1 軟件布置(安裝和維護)的步驟

　　(1)準備階段

　　準備一個(gè)文件，以便一個(gè)應用程序能用組策略布置。

　　為完成這個(gè)，應將用于應用程序的Windows安裝程序包文件(*.msi *.zap)復制到一個(gè)軟件分布點(diǎn)，它可能是一個(gè)共享文件夾或服務(wù)器。

　　(2)布置階段

　　管理員創(chuàng )建一個(gè)在計算機上安裝軟件并將GPO鏈接到相應的活動(dòng)類(lèi)別容器內的組策略對象(GPO)。

　　實(shí)際上，軟件是在計算機啟動(dòng)或用戶(hù)激活應用程序時(shí)安裝。

　　(3)維護階段

　　用新版本的軟件升級軟件或用一個(gè)補丁包來(lái)重新布置軟件。

　　當計算機啟動(dòng)時(shí)或用戶(hù)激活應用程序時(shí)將自動(dòng)升級或重新布置軟件。

　　(4)刪除階段

　　為刪除不再使用的軟件，從開(kāi)始布置軟件的GPO中刪除軟件包設置。

　　當計算機啟動(dòng)或用戶(hù)登錄時(shí)軟件將被自動(dòng)刪除。

　　3.3.2 發(fā)布和分配軟件

　　用組策略統一給客戶(hù)端安裝軟件，有兩種形式：發(fā)布、分配(指派)發(fā)布和分配軟件，所有發(fā)布的軟件都需要用控制面板中的“添加/刪除程序”工具來(lái)安裝;也可以通過(guò)文檔激活自動(dòng)安裝。

　　只能將軟件發(fā)布給用戶(hù)，而不給計算機。

　　分配軟件可以將軟件分配用戶(hù)和計算機。

　　通過(guò)分配軟件，可以確保：

　　(1)軟件對用戶(hù)總是可用的。

　　可以采用文檔激活方法安裝，如使用Word、Excel等應用程序的用戶(hù)。

　　(2)軟件是有彈性的。

　　如果缺少某些文件，當用戶(hù)下次登錄并激活應用程序時(shí)，將重新安裝。

　　(3)當給用戶(hù)分配軟件時(shí)，軟件將出現在用戶(hù)的桌面上，但是在用戶(hù)雙擊其圖標或打開(kāi)與應用程序關(guān)聯(lián)的文件之前，安裝不會(huì )開(kāi)始。

　　(4)當給計算機分配軟件時(shí)，在計算機啟動(dòng)時(shí)，軟件將被自動(dòng)安裝。

　　注：如果計算機是一個(gè)域控制器，分配軟件給計算機將不起作用。

　　3.3.3 用組策略布置軟件包

　　用組策略布置軟件包(以用戶(hù)配置中的軟件設置為例)。

　　步驟如下：

　　1)打開(kāi)組策略控制臺-選中需要編輯的組策略-單擊“編輯”

　　2)用戶(hù)配置-軟件設置-右擊“軟件安裝”-選擇“新建”-單擊“程序包”

　　3)選擇安裝程序包(*.msi *.zap)-單擊“打開(kāi)”

　　4)選擇布置方法為“已發(fā)行”

　　5)再選擇另一個(gè)安裝程序包，選擇布置方法為“已指派”

　　6)在域中另一臺計算機上登錄，控制面板-添加/刪除程序-添加新程序

　　注：該安裝程序包所在目錄必須是共享的，客戶(hù)機一定要指向DNS。

　　結論

　　總的來(lái)說(shuō)，網(wǎng)絡(luò )安全不僅僅是技術(shù)問(wèn)題，同時(shí)也是一個(gè)安全管理問(wèn)題。

　　我們必須綜合考慮安全因素，制定合理的目標、技術(shù)方案和相關(guān)的配套法規等。

　　世界上不存在絕對安全的網(wǎng)絡(luò )系統，隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò )安全防護技術(shù)也必然隨著(zhù)網(wǎng)絡(luò )應用的發(fā)展而不斷發(fā)展。

　　通過(guò)組策略技術(shù)的應用，防止病毒通過(guò)移動(dòng)設備傳播，來(lái)實(shí)現企業(yè)網(wǎng)絡(luò )的安全。

　　通過(guò)對機房及域中每一臺電腦的控制，禁止員工用電腦做與工作無(wú)關(guān)的娛樂(lè )項目，提高員工工作效率。

　　對域中電腦集中發(fā)布、刪除軟件，加強公司電腦整體環(huán)境的管理。

　　有了組策略，管理員的工作更加效率，掌握了組策略技術(shù)，管理員的工作得心應手。

　　網(wǎng)絡(luò )信息安全技術(shù)論文【2】

　　摘 要： 在網(wǎng)絡(luò )高速發(fā)展的信息化時(shí)代，網(wǎng)絡(luò )信息的安全成了我們比較關(guān)心的問(wèn)題，闡述研究網(wǎng)絡(luò )安全技術(shù)的重要性，具體分析在實(shí)際應用中網(wǎng)絡(luò )安全的技術(shù)手段。

　　最后探討網(wǎng)絡(luò )安全與安全產(chǎn)品研究現狀及發(fā)展趨勢。

　　關(guān)鍵詞： 信息安全;防火墻 ;加密;數字簽名

　　1 概述

　　隨著(zhù)網(wǎng)絡(luò )信息技術(shù)的迅猛發(fā)展，我們已進(jìn)入信息化時(shí)代，互聯(lián)網(wǎng)給我們的生活帶來(lái)了極大的方便，改變了我們感知世界了解世界的渠道，同時(shí)，由于互聯(lián)網(wǎng)連接方式多樣性、終端分布廣泛性和網(wǎng)絡(luò )的開(kāi)放性等也對我們的信息安全構成威脅。

　　網(wǎng)絡(luò )信息安全是一個(gè)包含計算機應用技術(shù)、網(wǎng)絡(luò )通信技術(shù)、密碼信息技術(shù)、信息安全技術(shù)、應用工程數學(xué)、數論、信息方法論等技術(shù)的綜合學(xué)科。

　　要想能夠提出完整的、系統的、協(xié)同的處理方案來(lái)，我們就要在平時(shí)對上述學(xué)科進(jìn)行知識積累，只有這樣我們才能保證信息的有效共享和相對安全。

　　一般情況下，網(wǎng)絡(luò )信息安全可簡(jiǎn)單的歸納為以下三方面。

　　1.1 網(wǎng)絡(luò )服務(wù)的可用性

　　網(wǎng)絡(luò )服務(wù)的可用性是指所有資源在適當的時(shí)候可以被授權方訪(fǎng)問(wèn)，防止由于計算機病毒或其它人為因素而造成網(wǎng)絡(luò )系統的“拒絕服務(wù)”，簡(jiǎn)稱(chēng)DoS，其目的是使計算機或網(wǎng)絡(luò )無(wú)法提供正常的服務(wù)。

　　最常見(jiàn)的DoS攻擊有計算機網(wǎng)絡(luò )帶寬攻擊和連通性攻擊。

　　加大對網(wǎng)絡(luò )信息訪(fǎng)問(wèn)的控制，可以有效防止“拒絕服務(wù)”的發(fā)生。

　　“防火墻”是近近幾年網(wǎng)絡(luò )安全技術(shù)的重要技術(shù)之一，它是網(wǎng)絡(luò )信息通信的咽喉，只有通過(guò)安全策略的相關(guān)信息才允許通過(guò)防火墻，如果網(wǎng)絡(luò )中加入防火墻，我們的網(wǎng)絡(luò )環(huán)境就會(huì )變得相對安全。

　　然而，網(wǎng)絡(luò )環(huán)境的安全常常是和互聯(lián)網(wǎng)的靈活性、開(kāi)放性和便利性相矛盾的。

　　雖然防火墻的阻斷功能在加強內部局域網(wǎng)絡(luò )安全方面起到積極作用，可是也阻礙了內部網(wǎng)絡(luò )信息與外界網(wǎng)絡(luò )信息的有效交流。

　　1.2 網(wǎng)絡(luò )信息的保密性

　　網(wǎng)絡(luò )信息的保密性是指信息按指定要求不透露給未經(jīng)授權的個(gè)人、實(shí)體或過(guò)程，或提供其利用的特性。

　　應用訪(fǎng)問(wèn)控制技術(shù)，能有效地防止網(wǎng)絡(luò )信息資源不被非法使用和訪(fǎng)問(wèn)。

　　訪(fǎng)問(wèn)控制技術(shù)包括入網(wǎng)訪(fǎng)問(wèn)控制、網(wǎng)絡(luò )權限控制、服務(wù)器控制等。

　　入網(wǎng)訪(fǎng)問(wèn)控制是網(wǎng)絡(luò )訪(fǎng)問(wèn)的首層訪(fǎng)問(wèn)控制，通過(guò)用戶(hù)身份判斷來(lái)獲取相關(guān)網(wǎng)絡(luò )資源，控制準許用戶(hù)入網(wǎng)的時(shí)間和準許他們入網(wǎng)地點(diǎn);網(wǎng)絡(luò )的權限控制通過(guò)對不同身份的用戶(hù)或用戶(hù)組賦予不同的權限，對不同權限的用戶(hù)或用戶(hù)組對信息資源的操作進(jìn)行有效的限制;網(wǎng)絡(luò )服務(wù)器的安全控制包括：可以設置口令鎖定服務(wù)器控制臺，以防止非法用戶(hù)修改、刪除重要信息或破壞數據;可以設定服務(wù)器登錄時(shí)間限制、非法訪(fǎng)問(wèn)者檢測和關(guān)閉的時(shí)間間隔。

　　1.3 網(wǎng)絡(luò )信息的完整性

　　網(wǎng)絡(luò )信息的完整性是指所有資源只能由授權方或以授權的方式進(jìn)行修改，完整性具有三個(gè)特殊方面：被授權行為;資源分離和保護;以及錯誤的檢測和糾正。

　　其目的在于防止信息被未經(jīng)授權的用戶(hù)篡改。

　　由于公用網(wǎng)絡(luò )的開(kāi)放性，信息在網(wǎng)絡(luò )傳送過(guò)程中會(huì )遭遇類(lèi)似黑客的截取、中斷、篡改和偽造等方法的破壞，造成數據的失真、丟失和不可用。

　　采用加密的手段可以增強重要信息的安全性，即使信息在傳輸過(guò)程中被非法用戶(hù)攻擊，加密后的信息也不易泄漏，加密技術(shù)解決了數據的機密性要求，同時(shí)也可以用來(lái)保護數據完整性。

　　但也不能過(guò)高估計加密的重要性，加密不能解決所有的安全問(wèn)題。

　　不當加密可能對安全毫無(wú)作用甚至降低整個(gè)系統的性能。

　　2 目前主要網(wǎng)絡(luò )安全技術(shù)

　　2.1 病毒防護技術(shù)

　　計算機病毒是一種能夠在計算機運行過(guò)程中實(shí)現損壞本機或者傳染給其他計算機系統，導致計算機工作異常的一種程序。

　　比如向計算機系統中侵入病毒、蛀蟲(chóng)、特洛伊木馬、陷門(mén)、邏輯炸彈;或通過(guò)竊ting、冒充等方式來(lái)破壞系統正常工作。

　　現在，成熟的反病毒技術(shù)已經(jīng)能夠做到對已知病毒的徹底預防和殺除，這主要涉及以下三大技術(shù)[1 2]。

　　1)實(shí)時(shí)監控技術(shù)。

　　這種技術(shù)可為計算機系統構建一道動(dòng)態(tài)、實(shí)時(shí)的反病毒體系，通過(guò)修改系統程序，使其本身具備防范病毒入侵的能力，拒病毒于計算機系統之外。

　　2)自動(dòng)解壓縮技術(shù)。

　　目前在因特網(wǎng)、光盤(pán)以及Windows系統中接觸到的大多數文件都以壓縮狀態(tài)存放，以便節省傳輸時(shí)間或節約存放空間，這就使得各類(lèi)壓縮文件成為計算機病毒傳播的溫床。

　　3)全平臺防范病毒技術(shù)。

　　目前我們常用的操作系統有：Windows XP、Windows 7、Windows serve、LINUX、UNIX等。

　　為了提高反病毒軟件查殺病毒的有效性，做到與系統的底層無(wú)縫連接，必須在不同的操作系統上使用相應的殺毒軟件。

　　2.2 防火墻技術(shù)

　　防火墻是介于兩或多個(gè)網(wǎng)絡(luò )之間，實(shí)現網(wǎng)絡(luò )訪(fǎng)問(wèn)控制的組件集合體，它的主要功能是過(guò)濾。

　　防火墻甚至可以檢查一個(gè)包的所有內容，包括數據部分。

　　從實(shí)現原理上分，防火墻的技術(shù)大致包括四大類(lèi)：網(wǎng)絡(luò )級防火墻、應用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規則檢查防火墻[3]。

　　2.2.1 網(wǎng)絡(luò )級防火墻。

　　數據包過(guò)濾技術(shù)是防火墻為系統提供安全保障的主要技術(shù)， 它通過(guò)設備對進(jìn)出網(wǎng)絡(luò )的數據流進(jìn)行有選擇地控制與操作[4]。

　　包是網(wǎng)絡(luò )上信息流動(dòng)的其本單位， 它由數據負載和協(xié)議頭兩個(gè)部分組成。

　　包過(guò)濾操作一般都是在選擇路由的同時(shí)對網(wǎng)絡(luò )層數據包進(jìn)行挑選或過(guò)濾。

　　選擇是根據系統內設置的過(guò)濾邏輯進(jìn)行的， 被稱(chēng)為訪(fǎng)問(wèn)控制表或規則表。

　　規則表指定允許哪些類(lèi)型的數據包可以流入或流出內部網(wǎng)絡(luò )。

　　2.2.2 應用級防火墻。

　　應用級網(wǎng)關(guān)可對進(jìn)出的數據包進(jìn)行檢查，由網(wǎng)關(guān)通過(guò)復制傳送信息，阻斷在安全服務(wù)器、終端機機與非法的主機間建立直接聯(lián)系。

　　應用級網(wǎng)關(guān)能夠解析應用層上的協(xié)議，可以設置復雜的訪(fǎng)問(wèn)控制，能夠實(shí)現精密的注冊和稽核。

　　它針對數據過(guò)濾協(xié)議，能夠對數據包進(jìn)行分析并形成相應的分析的報告。

　　應用級網(wǎng)關(guān)對有些不安全登錄和控制所有進(jìn)出的通信的環(huán)境進(jìn)行嚴密監控，防止有價(jià)值的信息或程序被盜取。

　　2.2.3 電路級網(wǎng)關(guān)。

　　電路級網(wǎng)關(guān)主要功能是監控可信的服務(wù)器或客戶(hù)機與不安全的主機間的TCP握手信息，通過(guò)這種方法來(lái)確定此次會(huì )話(huà)的合法性，它在會(huì )話(huà)層上進(jìn)行數據包過(guò)濾，它比網(wǎng)絡(luò )級防火墻高出二層。

　　另外它還提供理服務(wù)器功能。

　　這種代理服務(wù)指派管理人員批準或拒絕特定的應用程序或一個(gè)應用的特定功能。

　　2.2.4 規則檢查防火墻。

　　該防火墻結合了以上幾種防火墻的特點(diǎn)。

　　其不同之處在于，它并不打破客戶(hù)機和服務(wù)器模式來(lái)分析應用層的數據，它允許安全的客戶(hù)機和非法的主機直接建立連接。

　　規則檢查防火墻不依靠與應用層有關(guān)的代理，而是依靠某種算法來(lái)識別進(jìn)出的應用層數據，這些算法通過(guò)已知合法數據包的模式來(lái)比較進(jìn)出數據包，這樣從理論上就能比應用級代理在過(guò)濾數據包上更有效。

　　2.3 網(wǎng)絡(luò )加密技術(shù)

　　加密技術(shù)的基本過(guò)程就是對原來(lái)為明文的文件或數據按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱(chēng)為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來(lái)內容，通過(guò)這樣的途徑來(lái)達到保護數據不被非法竊取、閱讀的目的。

　　該過(guò)程的逆過(guò)程為解密，即將該編碼信息轉化為其原來(lái)數據的過(guò)程。

　　按加密密鑰與解密密鑰的對稱(chēng)性，加密技術(shù)可分為對稱(chēng)型加密、不對稱(chēng)型加密、不可逆加密。

　　1)對稱(chēng)型加密：是一種相對傳統的加密方法，其原理是使用單一得密鑰對數據進(jìn)行加密和解密。

　　信息發(fā)送方利用用密鑰將信息加密，然后通過(guò)網(wǎng)絡(luò )傳給信息接收方，接收方再利用同一密鑰將信息進(jìn)行解密。

　　其特點(diǎn)是計算量比較小、加密效率相對較高，即便傳輸網(wǎng)絡(luò )不安全，信息被截取，由于信息進(jìn)行了加密，信息也是安全的。

　　然而這種算法應用在分布式系統上比較困難，主要是由于在于分布式的系統中密鑰管理很困難，使用比較復雜。

　　2)不對稱(chēng)型加密：其特點(diǎn)是有兩個(gè)密鑰：一個(gè)是公共密鑰，一個(gè)是私有密鑰，公共密鑰是公開(kāi)的，是用來(lái)對元數據進(jìn)行加密的，私有密鑰是個(gè)人單獨擁有的。

　　要想完成整個(gè)加密和解密過(guò)程，必須把兩者結合起來(lái)使用。

　　在使用這種加密方法的時(shí)后我們要注意有效的管理和如何確認公共密鑰的真實(shí)性、合法性。

　　3)不可逆加密：其特點(diǎn)是整個(gè)加密過(guò)程不用密鑰，數據一旦被加密將無(wú)法解密，只有采用相同的輸入數據經(jīng)過(guò)相同的不可逆加密算法才能得到相同的加密數據。

　　這種加密算法不存在密鑰分發(fā)和管理的問(wèn)題，可是它的加密計算工作異常復雜，只適合對數據量較小的情況經(jīng)行加密。

　　2.4 入侵檢測技術(shù)[5]

　　入侵檢測系統是一種安置在受保護網(wǎng)絡(luò )內部的設備，用來(lái)監視網(wǎng)絡(luò )中發(fā)生了什么事情。

　　可以在攻擊的開(kāi)始、進(jìn)行過(guò)程中或者攻擊發(fā)生以后對攻擊進(jìn)行檢測。

　　入侵檢測可分為如下若干類(lèi)：

　　1)基于主機的入侵檢測(也稱(chēng)HIDS)：將其安裝在要保護的服務(wù)器上用于保護單臺主機不受網(wǎng)絡(luò )入侵。

　　它通過(guò)檢測系統文件、進(jìn)程記錄等信息，幫助系統管理人員記錄或發(fā)現攻擊行為或攻擊企圖，以便制定相應策略。

　　HIDS 檢測的準確度較高，能夠檢測到無(wú)明顯行為特征的攻擊，可對各種操作系統進(jìn)行有針對性的檢測，適合用于加密和交換環(huán)境，成本低，不受網(wǎng)絡(luò )環(huán)境影響。

　　主要缺點(diǎn)是它檢測時(shí)效性較差，占主機資源大，能夠檢測的攻擊類(lèi)型少，檢測效果取決于日志系統制約，并且隱蔽性較差。

　　2)基于網(wǎng)絡(luò )的入侵檢測(NIDS)：主要用于防止對某個(gè)網(wǎng)絡(luò )的攻擊，結合防火墻使用，利用原始的網(wǎng)絡(luò )分組數據包來(lái)作為進(jìn)行攻擊分析的數據源，通過(guò)網(wǎng)絡(luò )適配器來(lái)實(shí)時(shí)監控和分析所有通過(guò)網(wǎng)絡(luò )進(jìn)行傳輸的通信。

　　當檢測到入侵行為時(shí)，入侵檢測系統通過(guò)報警、中斷連接等方式做出回應。

　　NIDS可對網(wǎng)絡(luò )上的端口進(jìn)行掃描、IP欺騙等常見(jiàn)的攻擊行為進(jìn)行監控，在保護多臺主機的同時(shí)不影響被保護對象的性能，具有很好的隱蔽性，對入侵證據起到保護作用。

　　缺點(diǎn)是防入侵欺騙能力較差，檢測受硬件條件限制較大，不能對加密后的數據進(jìn)行處理等。

　　3)分布式入侵檢測：其模式是采用分布式智能代理結構，由一個(gè)中央智能代理和多個(gè)分布在各地網(wǎng)絡(luò )的地方代理組成。

　　其中每個(gè)地方代理都負責監控網(wǎng)絡(luò )信息流的某一方面，多個(gè)地方代理互相協(xié)作、分布檢測來(lái)共同完成一項監測任務(wù);中央代理負責調控各個(gè)地方代理的工作，從整體上完成對網(wǎng)絡(luò )事件進(jìn)行綜合分析的任務(wù)。

　　3 網(wǎng)絡(luò )信息安全與安全產(chǎn)品研究現狀及發(fā)展趨勢

　　網(wǎng)絡(luò )信息安全是信息安全中的研究重點(diǎn)之一，也是當前信息安全領(lǐng)域中的研究熱點(diǎn)。

　　研究?jì)热莅�括：網(wǎng)絡(luò )信息安全的主要技術(shù)和解決方案、網(wǎng)絡(luò )安全產(chǎn)品的研發(fā)等。

　　網(wǎng)絡(luò )信息安全包括物理安全和邏輯安全。

　　物理安全指網(wǎng)絡(luò )信息在通信、計算機設備及相關(guān)設施的物理保護，免于破壞、丟失等。

　　邏輯安全包含信息完整性、保密性、非否認性和可用性等，它是一個(gè)涉及網(wǎng)絡(luò )安全、操作系統、數據庫、應用系統、人為因素等方方面面的事情，必須綜合考慮。

　　目前，在市場(chǎng)上比較流行，而又能夠代表未來(lái)發(fā)展方向的安全產(chǎn)品大致有以下幾類(lèi)：防火墻、安全路由器、虛擬專(zhuān)用網(wǎng)(VPN)、安全服務(wù)器、電子簽證機構-用戶(hù)認證產(chǎn)品、入侵-CA和PKI產(chǎn)品、安全管理中心、檢測系統(IDS)、安全數據庫和安全操作系統。

　　在上述所有主要的發(fā)展方向和產(chǎn)品種類(lèi)上，都包含了密碼技術(shù)的應用，并且是非�；�礎性的應用。

　　目前密碼技術(shù)與通信技術(shù)、計算機技術(shù)以及芯片技術(shù)的融合正日益緊密，其產(chǎn)品的分界線(xiàn)越來(lái)越模糊，彼此也越來(lái)越不能分割。

　　網(wǎng)絡(luò )安全的解決是一個(gè)綜合性問(wèn)題，涉及諸多因素，包括技術(shù)、產(chǎn)品和管理等[6]。

　　網(wǎng)絡(luò )信息安全問(wèn)題已成為世界性的問(wèn)題。

　　它不但應用于普通的電子商務(wù)，而且應用于政府和軍方，關(guān)系到整個(gè)國家的經(jīng)濟安全和國防安全。

　　信息技術(shù)已經(jīng)成為整個(gè)社會(huì )經(jīng)濟發(fā)展的重要基礎，在國計民生占有不可估量的地位;另外，政府主管機構、國防建設對信息技術(shù)的安全性、穩定性、可維護性和可發(fā)展性提出了越來(lái)越迫切的要求，因此，從社會(huì )經(jīng)濟發(fā)展和國家安全角度來(lái)講，加大發(fā)展信息安全技術(shù)是我們今后一項長(cháng)期而艱巨的任務(wù)。

竊ting

　　[1]白碩，網(wǎng)絡(luò )條件下計算機病毒的防范[J].網(wǎng)絡(luò )安全技術(shù)與應用，2002.

　　[2]張震國，構建完善的病毒防護體系[J].網(wǎng)絡(luò )安全技術(shù)與應用，2002.

　　[3]吳海燕、石磊、李清玲，網(wǎng)絡(luò )信息安全技術(shù)綜述[J].電腦知識與技術(shù)，2005，12：55-57.

　　[4]劉宏月，訪(fǎng)問(wèn)控制技術(shù)研究進(jìn)展[J].小型微型計算機系統，2004，25(1)：56-59.

　　[5]http：//***/1148666.htm.

　　[6]覃肖云，信息安全技術(shù)的研究現狀與發(fā)展趨勢[J].廣西醫科大學(xué)學(xué)報，2008，S1：93-94.

【網(wǎng)絡(luò )信息安全與防范論文】相關(guān)文章：

05-23

05-25

05-24

05-26

03-22

03-22

04-27

04-01

03-22