浅谈计算机网络安全漏洞及防范措施【骄阳教育】

浅谈计算机网络安全漏洞及防范措施xxxxxxxx摘要：随着计算机网络在人类生活领域中的广泛应用，针对计算机网络的攻击事件也随之增加。网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒不断地通过网络产生和传播，计算机网络被不断地非法入侵，重要情报、资料被窃取，甚至造成网络系统的瘫痪等等，诸如此类的事件已给政府及企业造成了巨大的损失，甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点，网络安全的重要性是不言而喻的，因此，对漏洞的了解及防范也相对重要起来。介绍了计算机网络和网络安全的概念，对于互联网的安全问题提出了解决方案。关键词：计算机网络、网络安全、防火墙、局域网Discuss the online security loophole of the conputer and precautionary mensures simplyxxxxxxxxAbstract : With the popularity of computer network in human life field, theattacking matters aimed at computer network have also increased. Network has omnipresent impacts for various fields like politics, economy, culture, military affairs, ideology and social lives, etc. Simultaneously, in global range, the amount of invasion and invasion attempting affairs that aimed at important resource and network basic equipments has kept increasing. The network attacking and invasion have significant threat on national security, economy and social lives. Computer virus have been produced and spread ceaselessly; computer network has been invaded illegally; important information and data have been stolen and even network system has been crashed. Such events have caused enormous damages for governments and enterprises, sometimes for national security. Therefore, network security has been the focus of every country in the world and its importance is self-evidenced. Hence, it is comparatively important to know the computer holes and precaution. Have introduce the computer network and concept of the online security, has put forward the solution to the security problem of Internet, think a kind of important means to realize safety measure of the network is the technology of fire wall.Keyworks:Computer network、Network security、Fire wall、Local area network目录1、引言31.1研究的背景31.2研究的范围32、网络安全32.1计算机网络安全的现状32.2计算机网络安全漏洞的种类及成因42.3计算机网络面临的威胁52.4计算机网络安全防范策略53、防火墙技术53.1防火墙的简介53.2防火墙的关键技术64、防病毒技术74.1防病毒技术概述74.2网络防病毒的基本方法85、安全扫描技术95.1安全扫描概述95.2常用安全的扫描技术96、局域网的攻防106.1局域网的简介106.2局域网系统漏洞攻防116.3局域网病毒特点及攻防116.4局域网安全攻防武器117、确保网络安全的手段117.1写下你的安全策略117.2防火墙必不可少127.3随时更新桌面防病毒系统127.4强化您的服务器127.5补丁策略必不可少12结束语13致谢13参考文献141、引言1.1研究的背景 网络对于我们来说已经不再陌生，从校园内的局域网到遍及全国的因特网，随着网络的开放性、互联性与共享性程度的增强以及计算机网络系统与因特网的迅速发张和应用，网络的安全问题越来越引起人们的重视。网络涉及到社会生活的各个领域，已经为影响人们信息生活发展的重要因素，因此，网络的安全问题显得至关重要。随着互联网的飞速发展，网络安全逐渐成为一个潜在的居多问题。网络安全性是涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。因此，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性的处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。当前, 人类社会对计算机的依赖程度达到了空前的地步。一旦计算机网络受到一些不可预测的外界条件的影响或者是黑客的攻击而倒致不能正常工作,甚至痪,整个社会就会陷入危机, 将会带来极大的损失。二十一世纪全世界的计算机都能通过因特网联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。正由于无处不在，也给不法分子可乘之机，出现了许多破坏网络的行为。1.2研究的范围 分析网络安全问题，计算机网络安全的现状，面临的威胁，计算机网络安全漏洞种类、成因以及防范措施。介绍防火墙相关技术、防病毒相关技术、安全扫描相关技术、局域网攻防技术以及确保网络安全手段。2、网络安全2.1计算机网络安全的现状 据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破。与此同时, 在我国由于网民缺乏网络安全防范意识, 且各种操作系统及应用程序的漏洞不断出现, 使我国极易成为黑客攻击利用的首选目标,互联网安全形势非常严峻。据最新调查显示,多达1.1亿网民在半年内遭遇账户或密码被盗情况, 只有不到三成的网民认为网上交易是安全的。另据中国反钓鱼网站联盟的统计显示, 截至2010年7月底,累计收到19817个“钓鱼网站”举报。从网上银行被克隆、用户资金被盗取到蠕虫、木马、钓鱼网站、恶意软件的侵扰, 网购安全问题成为电子商务发展的一大瓶颈。由于受技术条件的限制, 很多人对网络安全的意识仅停留在如何防范病毒阶段, 对网络安全缺乏整体意识。2.2计算机网络安全漏洞的种类及成因 网络的高度便捷性、共享性使之在广泛的开放环境下极易受到这样或那样的威胁与攻击，例如拒绝服务攻击、后门及木马程序攻击、病毒、蠕虫侵袭、ARP攻击等。而威胁的主要对象则包括机密信息的窃取、网络服务的中断、破坏等。例如在网络运行中常见的缓冲区溢出现象、假冒伪装现象、欺骗现象均是网络漏洞的最直接表现。 （1）操作系统本身的漏洞及链路连接漏洞计算机操作系统是一个统一的用户交互平台，为了给用户提供切实的便利，系统需全方位的支持各种各样的功能应用，而其功能性越强，漏洞则势必越多，受到漏洞攻击的可能性也会越大。而操作系统服务的时间越久，其漏洞被暴露的可能性同样会大大增加，受到网络攻击的机率将随之升高，即便是设计性能再强、再兼容的系统也必然会存在漏洞。计算机在服务运行中，需要通过链路连接实现网络的互通功能，既然有了链路的连接，就势必会存在对链路连接的攻击、对互通协议的攻击、对物理层表述的攻击以及对会话数据链的攻击等。 （2）TCP/IP协议的缺陷与漏洞及安全策略漏洞网络通信的畅通运行离不开应用协议的高效支持，而TCP/IP的固有缺陷决定其没有相应的控制机制对源地址进行科学的鉴别，也就是说IP地址从哪里产生无从确认，而黑客则可利用侦听的方式劫持数据，推测序列号，篡改路由地址，使鉴别的过程被黑客数据流充斥。另外在计算机系统中各项服务的正常开展依赖于响应端口的开放功能，例如要使HTTP服务发挥功能就必须开放80端口，如果提供SMTP服务，则需开放25端口等。而端口的开放则给网络攻击带来了可乘之机。在针对端口的各项攻击中，传统的防火墙建立方式已不能发挥有效的防攻击职能，尤其对于基于开放服务的流入数据攻击、隐蔽隧道攻击及软件缺陷攻击更是、束手无策、望尘莫及。2.3计算机网络面临的威胁 由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。再者,由于计算机信息系统自身所固有的脆弱性, 主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面。 （1）自然灾害。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。 （2）黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。 （3）计算机病毒与间谍软件。90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏, 而是窃取系统或是用户信息。 （4）计算机犯罪。计算机犯罪, 通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统, 实施贪污、盗窃、诈骗和金融犯罪等活动。 （5）信息战的严重威胁。信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。 （6）计算机网络中经常受到攻击。目前计算机网络中主要出现的攻击方式:1、服务拒绝攻击。2、利用型攻击。3、信息收集型攻击。4假消息攻击。2.4计算机网络安全防范策略 计算机网络安全从技术上来说, 主要由防病毒、防火墙、入侵检测等多个安全组件组成, 一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、防病毒技术、安全扫描技术以及局域网的防范等。以下将详细介绍这四种技术。3、防火墙技术3.1防火墙的简介 Intemet防火墙是一个用来控制经过其上的网络应用服务和数据信息的系统。它结合了硬件和软件来防御未经受权的出入访问，目的是保护我们的网络和系统不受侵犯。它的物理载体可以简单地表现为一个路由器、主机或任何一个可提供网络安全的设备，更可以是它们的组合。 网络系统引入防火墙的原因:因为传统的子网系统本身是不安全的，它会将自身暴露给NFS或者NIS等先天不安全的服务，同时也易受来自网络上的探察和攻击。目前Intemet的基本协议就是TCP/IP协议，而它在制定之初并没有把安全考虑在内，所以说基本没有安全可言。防火墙的引入很大程度地加强了子网系统的安全。 防火墙的构建位置:防火墙通常设在等级较高的网关或网点与Intemet的连接处，意在将本地网与Intemet隔离开，用以确保该子网(网点)与Intemet所有通信均能符合本部门的安全规则。 防火墙工作日志:在防火墙的工作日志中，会记录和统计网络的使用情况，即何人何时去往何处及做了什么，哪怕他的访问未被允许。当然，它的控制规则是具有可设计性的。 设计防火墙时须考虑的两个因素:安全性和实用性。两者要兼顾，以实用性平衡安全性。对此有两层含义:其一是要把安全性放在第一位。目前，防火墙设计时多数采用的是“没有被允许就是禁止”的策略，其意是说防火墙的安全作用是首要的，这也正是设计者的初衷。其二，在足够安全的情况下，要增加防火墙的实用性。如果一个防火墙产品不具有良好的实用性，那么即使它再安全，也很难被人们接受。 目前防火墙的缺陷:虽然防火墙是网络安全体系中极为重要的一环，但它还不足以让用户高枕无忧。3.2防火墙的关键技术 （1）包过滤技术。包过滤技术是防火墙中的一项主要安全技术，它通过防火墙对进出网络的数据流进行控制与操作。系统管理员可以设定一系列规则，允许指定哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包传输应该被拦截。现在的一些包过滤防火墙不仅根据IP数据包的地址、方向、协议、服务、端口、访问时间等信息来进行访问控制，同时还对任何网络连接和当前的会话状态进行分析和监控。 （2）代理技术。代理技术的含义:代理技术指的是应用代理或代理服务器技术，可具体为一个代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再回送给用户。代理服务:现在的一些包过滤防火墙中对FTP，TELNET，HTTP，SMTP，POP3和DNS等应用实现了代理服务。这些代理服务对用户是透明的（TransParent)，即用户意识不到防火墙的存在，便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理服务器会建立透明的通道，让用户直接与外界通信，这样极大地方便用户的使用，避免使用中的错误，降低使用防火墙时固有的安全风险和出错概率。代理服务器可以屏蔽内部网的细节，使非法分子无法探知内部结构。能够屏蔽某些特殊的命令，禁止用户使用容易造成攻击的不安全的命令，从根本上抵御攻击。同时，还能够过滤非安全脚本，如ActiveX，JavaAPplet，Javaseript以及进行邮件过滤。 （3）地址翻译（NAT）技术。网络地址翻译可以对外隐藏内部的网络结构，外部攻击者无法确定内部计算机的连接状态。并且不同的时候，内部计算机向外连接使用的地址都是不同的，给外部攻击造成了困难。同样NAT也能通过定义各种映像规则，屏蔽外部的链接请求，并可以将链接请求映射到不同的计算机中。网络地址翻译都和IP数据包过滤一起使用，就构成一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器，其防火墙能力还是比较弱，抵抗外部入侵的能力也较差，而和网络地址翻译技术相结合，就能起到更好的安全保证。4、防病毒技术4.1防病毒技术概述从反病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:病毒预防技术、病毒检测技术及病毒清除技术。 （1）计算机病毒的预防技术 计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。 （2）检测病毒技术 计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。 （3）清除病毒技术 计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我国的LANClear和Kill89等产品均采用上述三种防病毒技术。4.2网络防病毒的基本方法 （1）基于网络目录和文件安全性方法 以NetWare为例,在NetWare中,提供了目录和文件访问权限与属性两种安全性措施。访问权限有:防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有:需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的操作能力,分配不同的访问权限和属性。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用,但是这种方法毕竟是基于网络操作系统的安全性的设计,存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统,从网络安全性措施角度来看,在网络上也是无法防止带毒文件的入侵。 （2）采用工作站防病毒芯片 这种方法是将防病毒功能集成在一个芯片上,安装在网络工作站上,以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户,只要将这扇门户关好,就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内,用户也可以免除许多繁琐的管理工作。市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中ROMBIOS,Extended BIOS装入后Partition Table装入之前Chipway获得控制权,这样可以防止引导型病毒。Chipway的特点是:不占主板插槽,避免了冲突;遵循网络上国际标准,兼容性好;具有他工作站防毒产品的优点。但目前,Chipway对防止网络上广为传播的文件型病毒能力还十分有限。 （3）采用Station Lock网络防毒方法 Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在病毒必须执行有限数量的程序之后,才会产生感染效力的基础之上。Station Lock也能处理一些基本的网络安全性问题,例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图,并在它造成任何破坏之前予以拦截。由于Station Lock是在启动系统开始之前,就接管了工作站上的硬件和软件,所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。5、安全扫描技术5.1安全扫描概述网络安全扫描技术包括PING扫描（ping sweep）访问控制规则探测（firewalking）、端口扫描（port scan）、操作系统检测（operating system identification）以及漏洞扫描(vulnerabilityscan)等。这些技术在网络安全扫描的3个阶段中各有体现。PING扫射用于网络安全扫描的第1阶段，可以帮助我们识别系统是否处于活动状态。操作系统检测、访问控制规则探测和端口扫描用于网络安全扫描的第2阶段，其中操作系统检测顾名思义就是对目标主机运行的操作系统进行识别;访问控制规则探测用于获取被防火墙保护的远端网络的资料;而端口扫描是通过与目标系统的TCP/IP端口连接，并查看该系统处于监听或运行状态的服务。网络安全扫描第3阶段采用的漏洞扫描通常是在端口扫描的基础上，对得到的信息进行相关处理，进而检测出目标系统存在的安全漏洞。其中端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，并且广泛运用于当前较成熟的网络扫描器中。5.2常用安全的扫描技术 （1）端口扫描技术是一项自动探测本地或远程系统端口开放情况及策略和方法，提供被扫描主机的详细的网络服务清单。通过端口扫描，一般可以获取目标主机的TCP和UDP详细端口列表。由这些信息，如果结合协议分析技术，我们可以准确地推测出目标主机运行着什么样的服务。对网络攻击者来说，通过端口扫描，可以大大缩小攻击者搜索漏洞的范围，提高攻击成功的可能性;对网络管理员来说，通过端口扫描，可以帮助网络管理员了解系统目前向外界提供了哪些服务，从而为系统用户管理网络提供了一种手段。因此，端口扫描无论是对网络管理员还是对网络攻击者来说，都是一个必不可少的利器。 （2）在网络远程扫描中，往往需要知道远程主机在运行什么操作系统，开放了哪些服务，这样就可以了解目标系统可能存在的安全漏洞。对黑客而言，就可以通过相应的漏洞攻击程序对目标系统发起攻击;对管理员而言，也可以借此对目标系统的安全状况作出分析，从而防范于未然。目前流行的远程操作系统扫描技术主要有应用层探测技术和网络堆栈特征探测技术。 应用层探测技术 通过向目标主机发送应用服务连接或访问目标主机开放的有关记录就可能探测出目标主机的操作系统(包括相应的版本号)。比如在很多较早的UNIX系统中，通过向服务器请求Telnet连接，可以知道其运行的UNIX的类型和版本号。其它如Web服务器、DNS主机记录、SNMP等也可提供相应信息。 TCP/IP堆栈特征探测技术 利用不同操作系统的TCP/IP协议栈在实现上的细微特征差别，对返回的数据包进行深入分析就可以比较准确地获取目标主机的操作系统等信息。 （3）漏洞检测就是通过采用一定的技术主动地去发现系统中的安全漏洞。漏洞检测可以分为对未知漏洞的检测和对已知漏洞的检测。未知漏洞检测的目的在于发现软件系统中可能存在但尚未发现的漏洞。己知漏洞的检测主要是通过采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测，可以对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测安全扫描技术，检测系统是否存在己公布的安全漏洞。漏洞扫描技术是建立在端口扫描技术和远程操作系统识别技术的基础之上的。6、局域网的攻防6.1局域网的简介 近年来,随着计算机在办公中的普及应用,局域网在办公中地位的日渐突出,针对局域网的攻击也日益增多。这类攻击有以病毒的形式进行传播和攻击,也有网络黑客的破坏和IP地址被盗用等各种形式,不论怎样,这都严重影响了计算机中数据的安全性。局域网(LAN)英文全称是“LocalArea Network”,主要是指在小范围内由网络服务器和多台电脑组成的工作组网络,下面将就局域网被攻击的形式,和防止攻击的几种对策进行阐述和探讨,对局域网安全的攻防进行分析。6.2局域网系统漏洞攻防 无论是Windows 2000/XP,还是Win7这些操作系统都存在一定的系统漏洞攻击者往往利用这些漏洞来攻击我们的电脑。攻击手法一般是扫描被攻击电脑有什么漏洞,安装扫描工具后,选择扫描的漏洞类别,进行扫描,根据扫描到的信息,下载攻击软件后选择相应攻击项目即可进行攻击。这些漏洞修补可行的方法有两个:一是及时更新系统补丁和升级程序,二是安装防火墙软件,控制应用程序访问网络监听系统的端口信息使攻击者失去攻击的入口,根据自己的实际情况选择下载安装补丁之后修复相应的系统漏洞。6.3局域网病毒特点及攻防 计算机局域网内的病毒一般来源于局域网内用户与互联网上的信息交流,部分用户对防范病毒的安全意识不强,就造成了病毒在网内的迅速繁殖。另外使用感染了病毒的外部存储器也是计算机病毒进入局域网的一个重要途径。局域网病毒的特点,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、隐蔽性等计算机病毒的共性外,还具有一些新的特点。首先是感染速度快、传播的形式复杂多样、难于彻底清除;其次是破坏性大,网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息。6.4局域网安全攻防武器 进行局域网安全保护的重要措施首要是关闭隐藏共享,隐藏共享的巨大危害,一定要记着关掉。然后更改Administrator账户名并设置密码,同时关闭Guest账户。Administrator账户是windows操作系统默认的系统管理员账户,拥有最高权限。但是一般没有人用这个难记的账户名,反倒是经常有人利用这个账户侵入他人电脑,有些人认为可以将此账户删除,考虑到Administrator的重要性,不推荐这种做法,这里向大家推荐的是更改它的账户名,并设置较复杂的密码。方法是:打开“控制面板管理工具 计算机管理 本地用户和组 用户”,然后在对话框右侧的用户名列表中右键单击Administrator,在弹出来的菜单中依次选择“重命名”和“设置密码”,进行相应的操作即可,另外,如果计算机还有其他人使用,可以分配一个专用的账户(如Tom、Jack等),而不要使用Guest账户。不要使用连续数字、常见的数字和字母组合。7、确保网络安全的手段7.1写下你的安全策略 出色的安全性不可能一蹴而就。如果你的企业文化趋向于凡事都不正规，要想达到出色的安全性基本上就只有靠运气。要想获得最好的企业安全，必须经过坚持不懈的努力，以及强大的决心。每个公司都需要一个安全策略。不要等到发生入侵之后才想起来制定这个策略；现在就开始制定一个，才能防患于未然。7.2防火墙必不可少 令人吃惊的是，现在许多组织（最典型就是大学）都在运行着没有防火墙保护的公共网络。让我们姑且忽略有关“硬件防火墙好，还是软件防火墙好”的争论，无论采用哪一种防火墙，总比没有防火墙好。这里的重点在于，连接到Internet的每一个人都需要在其网络入口处采取一定的措施来阻止和丢弃恶意的网络通信。当你读到本文的时候，说明您已经有了一个企业防火墙。但是，不要忘了您的远程办公人员和移动用户。最低限度也应该为他们每个人配备一个个人防火墙。虽然Windows XP SP2自带的防火墙也勉强可用，但为了满足您的特殊需要，市场上还存在着大量产品可供挑选。最主要的事情就是去使用它们。7.3随时更新桌面防病毒系统 有趣的是，1999年我们鼓励用户“每周”检查一次防病毒更新。如今，各个厂商都提供了自动的签名更新。只要你一直都连在Internet上，它们就能在一个新的安全威胁被发现后的数小时内下载到您的机器上。但基本的道理是一样的：良好的安全性要求你在每个桌面都配备防病毒功能，并随时更新它。虽然在一个网络的网关那里建立防病毒机制能解决一部分问题，但在整个防病毒战线中，您只能把网关防病毒视为一道附加的防线，而不能把它视为桌面防病毒的一个替代品。7.4强化您的服务器 “强化”（Hardening）涉及两个简单的实践法则：购买商业软件时，删除您不需要的所有东西；如果不能删除，就把它禁用。可以通过强化来删除的典型对象包括示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性。安装越复杂，越有可能留下安全隐患，所以将您的安装精简到不能再精简的程度。除此之外，设备和软件通常配置了默认用户名/密码访问、来宾（guest）和匿名帐户以及默认共享。删除你不需要的，并修改所有身份验证凭据的默认值（由于有像这样的列表，所以黑客也知道它们）。在这个充斥着大量“臃肿件”（bloatware）的年代，这个实践法则与5年前相比更重要了。7.5补丁策略必不可少 2001年，当“红色代码”（Code Red）浮现的时候，它攻击的一个漏洞，是Microsoft在9个月前就提供了免费补丁以便用户修补的。但是，这个蠕虫仍然快速和大面积地蔓延，原因是管理员们没有下载和安装这个补丁。今天，从一个新的漏洞被发现开始，到新的大规模攻击工具问世为止，两者间隔时间已经缩短了许多。在厂商发布安全补丁的时候，IT管理员需要做出快速响应。补丁管理目前是最热门的IT主题之一，但是和许多事情一样，80/20规则在这里仍然适用。如果没有商业评估工具以及较多的预算，可以用已经淘汰掉的“太慢”的机器来组建一个小的测试网络。这样一来，只需使用企业级工具来建立一个专业实验室所需的20%的付出，就能获得一个80%有用的测试环境。Microsoft，Apple以及其他许多组织都基本上每个月提供一次安全补丁。访问和安装那些补丁应该成为您的工作内容和计划任务的一部分。不要事后才采取行动结束语通过本课题，我熟悉了常见的计算机网络安全漏洞，以及对漏洞所采取的防范措施，了解了漏洞形成原因，通过查阅相关的资料知道网络安全的重要性，对保护网络安全有了更深刻的体会。目前，除了计算机本身的安全机制外，计算机网络安全的措施主要是防火墙，但是随着黑客攻击技术的发展，系统的漏洞越来越多地暴露出来，防火墙的弱点使其对很多攻击无能为力，尤其是对于来自内部的攻击，更是束手无策。“网络安全”这是一个十分重要且内容广泛的论题，它内涵丰富。网络安全对我们今后社会发展，人们生活，起着举足轻重的作用。我们社会正在进入一个全面网络时代和信息共享时代。因此，我们必须深入研究网络安全这个课题。我们需要研究和掌握更多保障网络安全的技术，而防火墙技术就是当前保障网络安全的一种最有效的技术，这是从实践中得来的结论，是受到专家们肯定的。当然，此文仅限于笔者水平，肯定会有不当之处。敬请指正。致谢在写毕业论文期间，我都得到了郑老师的全力帮助和耐心指导。郑老师学识渊博、治学严谨、平易近人，是我们学习和生活的榜样，在此特向郑老师表示最崇高的敬意和由衷的感谢。大学几年的生活转眼就要结束了，这几年是我人生中最重要的学习时间。在大学的校园里，我不仅学到了丰富的知识，也学到了终身受用的学习知识和积极的生活态度，通过对课程的学习和与相关专业老师的沟通，使我深感机会难得。获益匪浅。母校严谨的学风和老师的广博的只是令我敬佩。各位老师的悉心授课使我对计算机专业有了更多、更丰富的知识，为今后的学习和工作打下了坚实的基础。参考文献1黄飞娟.计算机网络安全漏洞及防范措施研究D.上海：上海宝治集团有限公司电气设备安装分公司，2011.2仁 羽.计算机网络防病毒技术J.广东金融电脑，1997，04.3蒋东晖.局域网的安全攻防测试与分析D.山东聊城：聊城职业技术学院，2009.4朱秀锋.浅谈计算机校园网络安全漏洞及防范措施D.浙江衡州：衡州市技术工程学校，2011.5杨忠仪.网络安全扫描系统关键技术的研究与实现D.长沙：国防科学技术大学研究生院，2007.6刘 洪.网络安全与防火墙技术的研究D.沈阳：沈阳工业大学额，2003.14教育专业b