计算机技术及应用论文.doc

《计算机技术及应用论文.doc》由会员分享，可在线阅读，更多相关《计算机技术及应用论文.doc（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、河南工程学院计算机安全技术考查课专业论文计算机安全技术应用学生姓名： 学 院： 计算机学院 专业班级： 计算机科学与技术1141 专业课程： 计算机安全技术 任课教师： 2014年 06月 20 日专业论文评分标准序号评价内容具体要求分值评分ABCDE1逻辑结构结构合理，层次分明，条理清晰，逻辑性强。101086422资料搜集中英文资料的搜集是否全面、是否代表本专业的最新发展。101086423课堂知识的得掌握及灵活运用的程度能够结合学过、了解到的相关知识对所选课题进行分析，分析充分、知识运用合理。3030272420164撰写质量语句通顺，语言精练，用词准确，能够围绕主题展开论述，理论分析透

2、彻，并能理论联系实际。3030272420165撰写纪律用自己的语言描述已有的文献材料上的内容，不抄其他同学的论文202018151311总分重要数据备份将当前系统数据备份到某一指定盘片（A：盘或B：盘）或特定路径（硬盘C：或D：盘的某一目录）下，主要用于数据的备存或将当前系统数据资料移植到其它电脑上。一、将数据备份到软盘上（由于软盘容量小、易损坏等原因，本方式不予推荐）：进入“管理主系统”的“数据维护”，在数据选项框(系统设置库等)内，通过打开或关闭数据库开关，选中所有需要备份的数据库；进行软盘备份时，选择已格式化、且质量较好的高密度软盘片，确认该软盘上的“写保护”处于关闭状态，插入软盘驱动

3、器中，在“操作路径”选项框中选择相应盘符“A：”或“B：”，击点“备份”按钮就可将选定数据库备份到软盘上。将软盘取出，开启“写保护”，贴上标签，妥善保存于干燥室温环境下备用；将数据备份到软盘的过程中，数据量太大，一张盘装不下，应如下操作：首先将基础信息（系统设置库、职员权限库、货品编码库、摘要库、货币库、门市及仓库、客户帐户库、产品、组合模板、订单打印模板）备份到一张盘上；若“本期单据、订单数据、资金帐目库、已结单据库”数据量不大，也可备份到上一张盘上；若“本期单据、订单数据、资金帐目库、已结单据库”数据量大（通常是本期单据或已结单据的数据量大），可将其按日期进行分段备份。二、将数据备份到硬盘

4、上：备份的路径可采用系统默认的路径或自己设定路径，用户自己设定路径的方法是：在D盘（或其他硬盘）新建一个文件夹（如：D:文惠），专门作为备份的路径；进入“管理主系统”的“数据维护”，在数据选项框内，通过打开或关闭数据库开关，选中所有需要备份的数据库；可采用系统默认的路径（BACKUP）或者直接在路径栏输入某一指定的目录（必须是已经存在的目录如：D:文惠），击点“备份”按钮，将选定的数据库内容备份到硬盘指定目录下；若选定的数据库是：订单数据库、本期单据库、资金帐目库、已结单据库，还可以打开“日期”开关，对限定“起止日期”范围的单据记录进行备份。三、注意事项：若备份过程中，系统提示“备份路径错误”

5、，则说明待备份的数据库出错，实际上并没有备份，出现此情况，建议在“Windows资源管理器”中进行文件备份；在将数据备份到软盘的过程中，若系统提示“磁盘空间已满，请插入另一张盘”，则说明某一单据库数据量太大，即使在插入另一张盘继续备份，备份的数据都是不可靠的，应该分几张盘并分时间段备份；建议用户将数据备份到硬盘上。DDoS的工作原理和应对方法 1、 DOS的表现形式 DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被

6、耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。 如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是

7、遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。 相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同

8、一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。2、当前主要有三种流行的DDOS攻击： 1）SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping

9、的通，在服务器上用Netstat -na 命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。 2）TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多

10、僵尸主机不断地与受害服务器建立大量 的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。 3）刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带

11、宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。 完全抵御住DDOS攻

12、击是不可能的，对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。 3、以下几点是防御DDOS攻击几点: 1）采用高性能的网络设备首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好

13、了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。 2）充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。 但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。 3）安装专业抗DDOS防火

14、墙专业抗DDOS防火墙采用内核提前过滤技术、反向探测技术、指纹识别技术等多项专利技术来发现和提前过滤DDoS非法数据包，做到了智能抵御用户的DoS攻击。但也不能100阻止对DDoS非法数据包准确检查。网络边界防护的实现 1、网络边界上需要什么 把不同安全级别的网络相连接，就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。下面我们来看看网络边界上的安全问题都有哪些： 非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没有办法去“封杀”，一般来说网络边界上的安全问题主要有下面几个方面： （1）信息泄密：网络上的

15、资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般信息泄密有两种方式： 第一种方式：攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密 第二种方式：合法使用者在进行正常业务往来时，信息被外人获得，这是从网络外部的泄密 （2）入侵者的攻击：互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改数据，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。 （3）网络病毒：与非安全网络的业务互联，难免在通讯中带来病毒，一旦在你的网络中发作，业务将受到巨大冲击，病毒的传播与发作一般有不

16、确定的随机特性。这是“无对手”、“无意识”的攻击行为。 （4）木马入侵：木马的发展是一种新型的攻击行为，他在传播时象病毒一样自由扩散，没有主动的迹象，但进入你的网络后，便主动与他的“主子”联络，从而让主子来控制你的机器，既可以盗用你的网络信息，也可以利用你的系统资源为他工作，比较典型的就是“僵尸网络”。 来自网络外部的安全问题，重点是防护与监控。来自网络内部的安全，人员是可控的，可以通过认证、授权、审计的方式追踪用户的行为轨迹，也就是我们说的行为审计与合轨性审计。 由于有这些安全隐患的存在，在网络边界上，最容易受到的攻击方式有下面几种： 1）黑客入侵：入侵的过程是隐秘的，造成的后果是窃取数据与

17、系统破坏。木马的入侵也属于黑客的一种，只是入侵的方式采用的病毒传播，达到的效果与黑客一样。 2）病毒入侵：病毒就是网络的蛀虫与垃圾，大量的自我繁殖，侵占系统与网络资源，导致系统性能下降。病毒对网关没有影响，就象“走私”团伙，一旦进入网络内部，便成为可怕的“瘟疫”，病毒的入侵方式就象“水”的渗透一样，看似漫无目的，实则无孔不入。 3）网络攻击：网络攻击是针对网络边界设备或系统服务器的，主要的目的是中断网络与外界的连接，比如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，可以说是一种公开的攻击，攻击的目的一般是造成你服务的中断。 2、边界防护的安全理念 我们把网络可以看作一个独立的对象，

18、通过自身的属性，维持内部业务的运转。他的安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击。我们把网络与社会的安全管理做一个对比：要守住一座城，保护人民财产的安全，首先建立城墙，把城内与外界分割开来，阻断其与外界的所有联系，然后再修建几座城门，作为进出的检查关卡，监控进出的所有人员与车辆，是安全的第一种方法；为了防止入侵者的偷袭，再在外部挖出一条护城河，让敌人的行动暴露在宽阔的、可看见的空间里，为了通行，在河上架起

19、吊桥，把路的使用主动权把握在自己的手中，控制通路的关闭时间是安全的第二种方法。对于已经悄悄混进城的“危险分子”，要在城内建立有效的安全监控体系，比如人人都有身份证、大街小巷的摄像监控网络、街道的安全联防组织，每个公民都是一名安全巡视员，顺便说一下：户籍制度、罪罚、联作等方式从老祖宗商鞅就开始在秦国使用了。只要入侵者稍有异样行为，就会被立即揪住，这是安全的第三种方法。作为网络边界的安全建设，也采用同样的思路：控制入侵者的必然通道，设置不同层面的安全关卡，建立容易控制的“贸易”缓冲区，在区域内架设安全监控体系，对于进入网络的每个人进行跟踪，审计其行为等等。3、边界防护技术从网络的诞生，就产生了网络

20、的互联。从没有什么安全功能的早期路由器，到防火墙的出现，网络边界一直是攻防对抗的前沿阵地。边界防护技术也在不断对抗中逐渐成熟：（1）防火墙技术:网络隔离最初的形式是网段的隔离，因为不同的网段之间的通讯是通过路由器连通的，要限制某些网段之间不互通，或有条件地互通，就出现了访问控制技术，也就出现了防火墙，防火墙是不同网络互联时最初的安全网关。防火墙的作用就是建起了网络的“城门”，把住了进入网络的必经通道。防火墙的缺点是：不能对应用层识别，面对隐藏在应用中的病毒、木马都好无办法。（2）多重安全网关技术:既然一道防火墙不能解决各个层面的安全防护，就多上几道安全网关，如用于应用层入侵的IPS、用于对付病

21、毒的防病毒产品、用于对付DDOS攻击的专用防火墙技术此时UTM（Unified Threat Management）安全网关设备就诞生了。设计在一起是UTM，分开就是各种不同类型的安全网关。多重安全网关的安全性显然比防火墙要好些，对各种常见的入侵与病毒都可以抵御。但是大多的多重安全网关都是通过特征识别来确认入侵的，这种方式速度快，不会带来明显的网络延迟，但也有它本身的固有缺陷，首先，应用特征的更新一般较快，目前最长也以周计算，所以网关要及时地“特征库升级”；其次，很多黑客的攻击利用“正常”的通讯，分散迂回进入，没有明显的特征，安全网关对于这类攻击能力很有限；最后，安全网关再多，也只是若干个检查

22、站，一旦“混入”，进入到大门内部，网关就没有作用了。（3）网闸技术:网闸的安全思路来自于“不同时连接”。不同时连接两个网络，通过一个中间缓冲区来“摆渡”业务数据，业务实现了互通，“不连接”原则上入侵的可能性就小多了。后来网闸设计中出现了存储通道技术、单向通道技术等等，但都不能保证数据的“单纯性”。 （4）数据交换网技术:数据交换网技术是基于缓冲区隔离的思想，把城门处修建了一个“数据交易市场”，形成两个缓冲区的隔离。在防止内部网络数据泄密的同时，保证数据的完整性，即没有授权的人不能修改数据，防止授权用户错误的修改，以及内外数据的一致性。数据交换网技术给出了边界防护的一种新思路，用网络的方式实现数

23、据交换，也是一种用“土地换安全”的策略。在两个网络间建立一个缓冲地，让“贸易往来”处于可控的范围之内。数据交换网技术比其他边界安全技术有显著的优势： 1)综合了使用多重安全网关与网闸，采用多层次的安全“关卡”。 2)有了缓冲空间，可以增加安全监控与审计，用专家来对付黑客的入侵，边界处于可控制的范围内，任何蛛丝马迹、风吹草动都逃不过监控者的眼睛。 3)业务的代理保证数据的完整性，业务代理也让外来的访问者止步于网络的交换区，所有的需求由服务人员提供，就象是来访的人只能在固定的接待区洽谈业务，不能进入到内部的办公区。 4、数据交换网技术针对的是大数据互通的网络互联，一般来说适合于下面的场合： （1）

24、频繁业务互通的要求：要互通的业务数据量大，或有一定的实时性要求，人工方式肯定不够用，网关方式的保护性又显不足，比如银行的银联系统、海关的报关系统、社保的管理系统、公安的出入境管理系统、大型企业的内部网络(运行ERP)与Internet之间、公众图书馆系统等等。这些系统的突出特点都是其数据中心的重要性是不言而喻，但又与广大百姓与企业息息相关，业务要求提供互联网的访问，在安全性与业务适应性的要求下，业务互联需要用完整的安全技术来保障，选择数据交换网方式是适合的。 （2）高密级网络的对外互联： 高密级网络一般涉及国家机密，信息不能泄密是第一要素，也就是绝对不允许非授权人员的入侵。然而出于对公众信息的需求，或对大众网络与信息的监管，必须与非安全网络互联，若是监管之类的业务，业务流量也很大，并且实时性要求也高，在网络互联上选择数据交换网技术是适合的。 8