[Web系统安全性攻击与防护总结报告]信息安全课程设计

关键词： 评估 课程设计 防护 应用

[Web系统安全性攻击与防护总结报告]信息安全课程设计（通用2篇）

篇1：[Web系统安全性攻击与防护总结报告]信息安全课程设计

目录

一网络攻击技术.....................................................错误！未定义书签。1.背景介绍...............................................................错误！未定义书签。2.常见的网络攻击技术..........................................错误！未定义书签。1.网络监听.........................................................错误！未定义书签。2.拒绝服务攻击...................................................................................2 3.缓冲区溢出.......................................................................................3

二、网络防御技术................................................................................4 1.常见的网络防御技术..........................................................................4 1.防火墙技术.......................................................................................4 2.访问控制技术...................................................................................4

三、总结...............................................................5错误！未定义书签。一.生活中黑客常用的攻击技术

黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞，通过使用网络命令和专用软件进入对方网络系统的攻击。目前总结出黑客网络攻击的类型主要有以下几种：

1.对应用层攻击。

应用层攻击能够使用多种不同的方法来实现，最常见的方法是使用服务器上通常可找到的应用软件（如SQL Server、PostScript和FTP）缺陷，通过使用这些缺陷，攻击者能够获得计算机的访问权，以及在该计算机上运行相应应用程序所需账户的许可权。

应用层攻击的一种最新形式是使用许多公开化的新技术，如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序，包括Java applet和Active X控件等，并通过用户的浏览器调用它们，很容易达到入侵、攻击的目的。

2.拒绝服务攻击

拒绝服务（Denial of Service, DoS）攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单，但又很有效的进攻方式。它的目的就是拒绝服务访问，破坏组织的正常运行，最终使网络连接堵塞，或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。

攻击的基本过程如下：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

被DDoS攻击时出现的现象主要有如下几种。被攻击主机上有大量等待的TCP连接。网络中充斥着大量的无用的数据包，源地址为假。制造高流量无 用数据，造成网络拥塞，使受害主机无法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求。严重时会造成系统死机。要避免系统遭受Do S攻击，网络管理员要积极谨慎地维护整个系统，确保无安全隐患和漏洞，而针对更加恶意的攻击方式则需要安装防火墙等安全设备过滤DOS攻击，同时建议网络管理员定期查看安全设备的日志，及时发现对系统构成安全威胁的行为。

3.缓冲区溢出

通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中，那么一旦这些指令得到了运行，黑客就以Root权限控制了系统，达到入侵的目的；缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能，使攻击者获得程序的控制权。

缓冲区溢出的一般攻击步骤为：在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器，让程序跳到黑客安排的地址空间中执行。缓冲区溢出对系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点。必须及时发现缓冲区溢出这类漏洞：在一个系统中，比如UNIX操作系统，这类漏洞是非常多的，系统管理员应经常和系统供应商联系，及时对系统升级以堵塞缓冲区溢出漏洞。程序指针完整性检查：在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。数组边界检查：所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作，通常可以采用一些优化的技术来减少检查的次数。目前主要有以下的几种检查方法：Compaq C编译器、Purify存储器存取检查等。

二． 生活中常见的网络防御技术

1.常见的网络防御技术

1.防火墙技术 网络安全中使用最广泛的技术就是防火墙技术，对于其网络用户来说，如果决定使用防火墙，那么首先需要由专家领导和网络系统管理员共同设定本网络的安全策略，即确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过防火墙。防火墙的职责就是根据本馆的安全策略，对外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外。该技术主要完成以下具体任务：

通过源地址过滤，拒绝外部非法IP地址，有效的避免了与本馆信息服务无关的外部网络主机越权访问；防火墙可以只保留有用的服务，将其他不需要的服务关闭，这样做可以将系统受攻击的可能性降到最低限度，使黑客无机可乘；同样，防火墙可以制定访问策略，只有被授权的外部主机才可以访问内部网络上的有限IP地址，从而保证外部网络只能访问内部网络中的必要资源，使得与本馆信息服务无关的操作将被拒绝；由于外部网络对内部网络的所有访问都要经过防火墙，所以防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为。

防火墙可以进行地址转换工作，使外部网络用户不能看到内部网络的结构，使黑客失去攻击目标。

虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择，但也存在一定的局限性：不能完全防范外部刻意的人为攻击；不能防范内部用户攻击；不能防止内部用户因误操作而造成口令失密受到的攻击；很难防止病毒或者受病毒感染的文件的传输。

2.访问控制技术

访问控制是网络安全防范和保护的主要技术，它的主要任务是保证网络资源不被非法使用和非法访问。

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合。

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限、存取控制权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

三．总结

计算机网络技术的日新月异，为现代人的生活提供了很大的方便。但网络安全威胁依然存在，网上经常报道一些明星的照片泄露，12306账号和密码泄露，一些邮箱的密码泄露，以及经常发生的QQ号被盗等等……这些都会给我们的生活带来麻烦，甚至让我们付出经济代价。因此现在人们对于网络安全的认识也越来越重视，在整体概念上了解黑客的攻击技术和常用工具方法，对于我们防范黑客攻击提供了基本的知识储备。而具体到平时的学习工作中，我们应该养成良好的上网习惯和培养良好的网络安全意识，在平时的工作中应该注意，不要运行陌生人发过来的不明文件，即使是非可执行文件，也要十分小心，不要在不安全的网站上登录一些重要账号，或者不要在网站上记录账号密码。以免造成密码泄露。只要我们在平时上网时多注意，就可以有效地防范网络攻击。

此外，经常使用杀毒软件扫描，及时发现木马的存在。我们应该时刻警惕黑客的网络攻击，从自我做起，构建起网络安全坚实防线，尽可能让网络黑客无孔可入。

篇2：[Web系统安全性攻击与防护总结报告]信息安全课程设计

关键词：互联网计算机 信息安全 防护 策略

中图分类号：TM73文献标识码：A文章编号：1674-098X（2013）05（a）-0176-01

当今的互联网已经与生活密不可分，从开始使用至今已经逐渐的深入到生活、社会以及经济社会中，并依旧引领着社会的变革。互联网作为一种信息传播的重要媒介，为此保证信息传播的安全就成为了一个重要的难题。安全机制的建立不仅仅是政府监管部门的职责，同时也必须配合是社会监督才能充分的保证信息安全。

1 信息安全的目标

信息安全的指的是指位于软件、系统以及网络中的数据可以在保护下而免受恶意或者是偶然的更改、破坏以及泄露，从而保证系统的连续可靠以及服务质量。进行信息系统安全防护的目的就是对可能被破坏以及侵犯的挤密信息进行有力的保护而免受非法的使用。在信息安全中被给予保护的有数据、信息、数据域信息的处理服务以及通信设备与设施。要达到的具体目标可以分为三方面。

保密性。保密性指的是信息在非授权的情况下不能泄露给其他人、实体，或者是提供其利用特性。这一特性强调信息只能被授权对象所使用。

完整性。在保密性的基础上还要求信息在交换、传输以及存储的过程中要保持数据、信息免于破坏、修改以及丢失等，从而保证信息的原样性，实现信息的正确生成、存储以及传输。

可用性。可用性主要是保护被授权用户可以正确访问，从而实现正常使用，这也是衡量网络信息系统面向用户的一种安全性能。

可控性。可控性指的是在网络系统中的信息传播可以被有效的控制，从而实现任何信息在一定范围或者存放空间中可控。一般采用的形式主要为传播站点以及传播内容的监控，其中加密码的托管政策最为典型。而当加密算法由第三方交管理时要严格的按照规定予以执行。

不可否认性。这一性质指通信的双方在进行信息交互过程中要确信参与者以及参与者本身所提供的信息真实性，从而避免所有参与者抵赖自身身份的真实性、信息的原样性以及承诺。

2 信息安全防护策略

信息安全策略为信息安全提供了一系列的规则，而要实现信息安全既要依赖于先进的技术，同时也要依靠严格管理、安全教育以及法律约束。尽管当下互联网信息安全受到威胁但是如果采取了行之有效的信息安全系统，借助于有效地信息保护措施就可以极大地提升信息安全性。

2.1 数据加密

数据加密借助于加密密匙或者是加密算法将明文转化为密文，而解密是以上操作的逆过程，常用的数据加密方法有两种，即对称加密与不对称加密。其中对称加密是信息传输双方使用同一个密匙进行加密与解密，例如常用的DES及其变形、高级加密标准AES衱IDEA等。而非对称加密使用了不同的密匙分别加密与解密，例如常用的RSA、椭圆曲线密码算法、ELGamal等。这种方法是目前较为可靠的信息保护方法，借助于密码技术可以有效地保护信息安全。

2.2 身份认证

认证的目的是确认被认证对象是否属实、有效。其对象可以使指纹、口令、密码、声音以及视网膜等。这一技术主要用于通信双方相互身份的确认，例如常用的用户名/密码方法、动态口令、智能卡认证、USBKey认证以及基于生物特性认证等。这一管口作为网络安全的第一屏障，具有举足轻重的意义。

2.3 数字签名

数字签名目前主要应用于电子交易，是一种使用公钥加密的一种技术。这种技术通常定义两种互补的算法，分别用于签名与验证，从而有效地避免抵赖、伪造、篡改以及冒充等问题。

2.4 入侵检测

入侵检测可以对计算机系统受到的未授权或者异常操作而发出报告的一种技术，主要用于检测网络中的违反安全的行为。计算机借助于入侵检测系统可以发现任何的不该有的活动，从而限制异常操作，保护系统安全。为此在进行校园网络安全维护中可以采用混合如侵检测技术，从而构造完整的主动防御体系。

2.5 访问控制

访问控制仅允许被授权的用户才有资格进行访问，从而保证网络资源不被非法使用、访问。这一技术主要应用于系统管理员对用户进行的访问控制，从而保证服务器、文件以及目录等的安全。

此外还有漏洞扫描系统，通过执行脚本发现并完善漏洞；网络病毒的防范要使用全方位的防病毒产品，并通过定期、不定期的自动升级进行完善；数据备份也是防止系统故障、操作失误而导致数据丢失的有力手段。最后还可以借助于信息伪装将有用的真实信息伪装成无关信息，从而难以让不法用户发觉。

3 完善信息安全保障机制

安全保障机制的完善要首先强化有关立法，逐步改变立法缺乏系统性问题。为此可以出台一些单行法、信息安全基本法，从而弥补互联网信息基本法的空白；其次要明确互联网监管工作的政府职责，其职责不仅包括对信息安全法律法规的监管，同时也要针对暴露出来的弱点进行补充，并当好指导者与指挥者的班；最后还要通过建立统一的管理机构、权威性的咨询委员会，其中委员会负责参谋与质询。通过这一手段将分散于公安部、安全部以及信息产业部等部门的制定权集中到一个管理机构。

4 结语

随着计算机网络技术的发展，网络安全面临的挑战也是层出不穷，与此同时信息安全问题所带来的损失也随之增加。总之，计算机网络的普及着实为广大的用户带来了极大的方便，为了保障用户的信息安全要更加注重互联网计算机信息安全的维护，防止由此为用户带来的损失以及使用上的不便。

参考文献

[1]邹学强，杨海波.从网络域名系统管理权看国家信息安全[J].信息网络安全，2008（9）：23-24.

[2]闰宏强，韩夏.互联网国际治理问题综述[J].电信网技术，2007（10）：6-20.