§1 网络安全概述

1.网络安全概述

1. 1. 网络安全的内涵

1. 1.1. 信息安全

信息安全——防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施（量度）。

e .w e e k

＠

16

3.

c o

m 张

定

祥

1. 1.

2. 计算机网络

计算机网络——是地理上分散的多台自主计算机互联的集合，实现信息交换、资源共享、协同工作及在线处理等功能。

1. 1.3. 网络安全

网络安全概念

网络安全——是在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、存储、传输、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原

因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不

中断。网络安全涉及的内容既有技术方面的问题，也有管理方面的问

题，两方面相互补充，缺一不可。

网络安全的三个方面

①自主计算机的安全；

②互联安全，即用以实现互联的通信设备、通信链路、网络软件、网络协议的安全；

③各种网络应用和服务的安全。

e .w e e k

＠

16

3.

c o

m 张

定

祥

1. 1.4. 网络安全的基本属性

①机密性

也称为保密性：信息不泄露、不被非授权者获取与使用。占有性

②完整性

信息不被删除、添加、篡改、伪造。信息的真实性。

③可用性

不宕机、不阻塞、能正常运行

1. 1.5. 网络信息安全性服务

①机密性服务

机密性（confidentiality ）：

? 保证信息与信息系统不被非授权者获取与使用 ? 保证系统不以电磁方式向外泄露信息

e .w e e k

＠

16

3.

c o

m 张

定

祥

——电磁屏蔽技术、加扰技术 ? 使系统任何时候不被非授权人使用

——漏洞扫描、隔离、防火墙、访问控制、入侵检测、审计取证 ? 保证数据在传输、存储过程中不被获取、解析数据

——加密技术

a. 文件机密性

b. 信息传输机密性

c. 通信流机密性

②完整性服务

完整性（integrity ）：

? 保证信息是真实可信的，发布者不被冒充，来源不被伪造、内容

不被篡改

? 保证数据在传输、存储过程中不被非法修改： ——完整性标识的生成与检验技术

? 保证数据源头不被伪造： ——身份认证技术、路由认证技术

e .w e e k

＠

16

3.

c o

m 张

定

祥

a. 文件完整性

b. 信息传输完整性

③可用性服务

可用性（availability ）：

? 保证合法用户访问时总能从服务方即时得到需要的数据；

? 保证信息系统在恶劣工作环境下正常运行： ——抗干扰、加固技术

? 保证系统时刻能为授权人提供服务：

——过载保护、防拒绝服务攻击、生存技术

a. 备份

b. 在线恢复

c. 灾难恢复

④可控性服务

确保可以根据公司的安全策略对信息流向及行为方式进行授权控制。

⑤可审性服务

可审性（accountability ）：确保当对出现网络安全问题后能够提供调查的依据和手段。

e .w e e k

＠

16

3.

c o

m 张

定

祥

? 身份鉴别机制 ——你知道什么 ——你有什么 ——你是什么

? 双因子身份鉴别

? 身份识别和鉴别机制是各种安全服务的关键

? 审计提供过去事件的记录，必须基于合适的身份识别和鉴别服务

a. 身份标识与鉴别

b. 审计

1. 1.6. 安全基本要素

( 1) 划分安全级别

划分安全级别——网络安全策略的第一步就是为企业的各种网络资源划分安全级别。在划分安全级别之前，我们需要先了解企业中

包括了哪些网络资源。

a. 网络资源分组

企业的网络资源一般可以分为以下几类：

? 终端用户资源。包括客户工作站以及相关外设，主要作为企业员

e .w e e k

＠

16

3.

c o

m 张

定

祥

工平常办公所用。

? 网络资源。包括路由器、交换机、集线器、配线柜以及墙里的网线等，作为网络互联的中间系统，进行网络数据的路由、存储和转发。

? 服务器资源。为企业用户提供各种服务，如WWW 、E-Mail 、FTP 服务等。

? 信息存储资源。一般为数据库服务器，存储了企业种运作所需的各种数据信息，如信用卡号、人力资源和敏感信息等。

b. 网络资源安全级别的划分

在将企业资源进行分类后，就可以根据它们在企业网络中扮演的

角色以及数据的敏感程度进行安全级别的划分以便进行不同级别的

安全保护。

一般企业网络资源的安全级别可以划分为以下三类：

? 级别一，商业运作的中心。级别一的资源是一些运行关键业务并有高可需求的系统，不能容忍几小时甚至几分钟的停机，如电子商务公司的Web 服务器或企业网络的域控制器。此类资源一般占系统比例的5%左右，但安全的保护级别却最高，需要额外的安全措施、专用的系统级审核以及监视和其它安全功能等。 ? 级别二，商业运作需要的，但不是至关重要的的资源。如存储员

e .w e e k

＠

16

3.

c o

m 张

定

祥

工通讯信息的数据库被破坏，对组织不会造成致命影响，所受的损失只是工作上的不方便而已。级别二资源通常约占系统比例的20%，需要普通的安全保护、审核和恢复措施。

? 级别三，普通系统。此类系一般为终端用户资源，在组织中比例最大，约占75%左右，但它的破坏通常不会对级别一和级别二产生影响。

( 2) 划分安全域

一般常常理解的安全域（网络安全域）是指同一系统内有相同的

安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策

略的子网或网络，且相同的网络安全域共享一样的安全策略。广义上

则可认为安全域是具有相同业务要求和安全要求的IT 系统要素的集合。一个安全域内可进一步被划分为安全子域，安全子域也可继续依次细化。

任何一处的安全薄弱点被恶意攻击者利用的话，都有可能导致整个安全体系的崩溃，这就是安全的“木桶原理”。但我们如果进行了安全域的划分，则可能将这种破坏屏蔽在一个单个的域中。所以安全域的分割是抗渗透的防护方式，安全域边界是灾难发生时的抑制点，防止影响的扩散，同时安全域也是基于网络和系统进行安全建设部署的依据，是基于网络和系统进行安全检查和评估的基础。

e .w e e k

＠

16

3.

c o

m 张

定

祥

a. 安全域划分的原则

IT 系统网结构的安全域划分与传统意义上的物理隔离不同。物理隔离是由于存在信息安全的威胁而消极地隔断网络使信息不能得以共享。而安全域划分是在认真分析各套IT 系统的安全需求和面临的

安全威胁的前提下，既重视各类安全威胁，也允许IT 系统之间以及

与其他系统之间正常传输和交换的合法数据。

①根据角色和安全级别进行划分

根据IT 系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分。

②在划分的同时有针对性的考虑安全产品的部署

从网络构架层面来讲，IT 系统网络整体结构安全域的划分是与安全产品的部署密不可分的，一方面安全域的划分为安全产品的部署提

供了一个健康规范灵活的网络环境。另一方面，将安全域划分为域内划分和域外划分两种，域和域之间主要采用通过交换设备划分VLAN 和防火墙来彼此策略隔离，在域内主要根据不同被保护对象的安全需求采用部署AAA 、IDS 和防病毒系统等来完成，因此，安全域的划分不能脱离安全产品的部署。

e .w e e k

＠

16

3.

c o

m 张

定

祥

③安全域的个数不应过多

安全域数量过多，会导致在安全策略设置上过于复杂，会给今后管理带来很大不便。

④兼容当前的IT 结构

安全域划分的目的是发挥安全产品的整体效能，并不是对运营商IT 系统原有局域网整体结构的彻底颠覆。因此在对运营商IT 系统局域网结构改造的同时需要考虑保护已有投资，避免重复投入与建设。

b. 安全域划分的方法

为满足组织网络安全分区防护的需求，我们需要为企业网络划分

不同的安全区域。划分安全区域可以根据以下方法进行

①基于分布式结构划分安全域

分布式结构的网络是将分布在不同地点的计算机通过线路互连起来的一种网络形式，由于采用分散控制，即使整个网络中的某个局部出现故障，也不会影响全网的操作，因而具有很高的可靠性。分布式结构可以进行域内划分也可进行域外划分，如在域内可划分为核心交换区、生产区、日常维护区、互联区和DMZ 区，而在域外划分可将网络安全区域划分为本地网络、远程网络、公众网络以及伙伴访问网络等四个大的区域。

e .w e e k

＠

16

3.

c o

m 张

定

祥

②基于业务流程优化安全域

一套完整的业务流程可能由不同厂商的基于异构平台的多种服务组合而成，每个服务都具有各自独立的安全域。这些安全域可能由不同企业的不同部门负责管理和维护。

③基于层次结构构建立防护体系

对网络进行分层防护，有效地增加了系统的安全防护纵深，使得外部的侵入需要穿过多层防护机制，不仅增加恶意攻击的难度，还为主动防御提供了时间上的保证。如可以将网络分为核心层、汇聚层和接入层，每个网络安全层次内部包含的服务器具有相似的应用处理功

能和相同的安全防护等级。而在不同的安全域之间则需要进行访问控

制以作适度的安全隔离。

④基于生命周期展开持续的防护

安全域的划分可以从一个IT 业务系统建立的完整生命周期去考

虑问题，即分别在系统的设计、规划、实施、运维和废弃等几个阶段考虑了IT 安全建设的问题，而目前国内企业中可能大多都是基于已建造好的IT 业务系统上考虑安全问题，所以必须考虑到生产系统上的安全解决方案的可操作性问题，此外还需要满足采用的措施不能影响系统正常运行，同时应便于维护以及安全措施的操作简易性，因为措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。

e .w e e k

＠

16

3.

c o

m 张

定

祥

c. 某企业安全域划分示例

某组织按照机构职能和安全需求，根据具体的网络拓朴结构和网络应用情况，对组织内进行安全域划分。不同的安全域之间采用防火墙或VLAN 进行隔离，并根据业务的实际情况出发对不同安全域间的

通信关系进行系统分析，如配置VLAN 间路由和访问控制列表（ACL)，

既保证VLAN 间的通信，又保护各VLAN 之间的安全。划分的结果如下表所示。

( 3) 身份认证

身份验证是用来验证实体或对象是谁或它的要求是什么的过程，它是计算机系统安全保密防范最基本的措施，也是网络操作系统验证用户、系统或系统组件身份的一种能力。在整个安全防御体系中，身

e .w e e k

＠

16

3.

c o

m 张

定

祥

份验证技术是第一道防线，这种技术是对用户的身份进行识别和验证，以防止非法登录和访问。

认证方式一般有基于口令的认证方式、基于智能卡的认证方式和基于生物特征的认证方式。

a. 基于口令的身份认证

基于口令的认证方式——是最传统也是最常用的一种技术，是一

种单因素的认证。由于其安全性依赖于口令强度、口令保护手段和口

令更换周期，口令一旦泄露，用户即可被冒充，就将存在严重的安全

问题。因此，基于口令的身份鉴别，必须加强对口令的管理。

普通系统用户的口令设置尽量不要设置为生日等具有明显联想

色彩的弱口令，而安全性要求比较高的系统，口令的长度要根据信息

系统处理国家秘密信息的密级决定。强度特别高的访问控制应使用一次性口令机制。

b. 基于智能卡的身份认证

智能卡具有硬件加密功能，有较高的安全性。所有的智能卡都有微芯片，芯片中可以包含所有者的详细信息，如个人信用卡帐号、驾照信息和医疗信息等。智能卡读卡器是一种用于扫描智能卡的电子设备。在进行认证时，用户需要输入PIN （个人身份识别码，PIN 不必是一列数字，它也可以使用其他字母数字字符），智能卡认证PIN ，

e .w e e k

＠

16

3.

c o

m 张

定

祥

成功后，即可读出智能卡中的秘密信息，进而利用该秘密信息与主机之间进行认证。

通过智能卡为登录到网络提供了很强的身份验证方式，如在验证进入域的用户时，这种方式使用了基于加密的身份验证和所有权证据。 基于智能卡的认证方式——是一种双因素的认证方式（PIN ＋智能卡），除非同时获得用户的智能卡和个人识别码(PIN) 才能假扮用户。由于需要其它层的信息才能假扮用户，因而这种组合可以减少攻击的可能性。另一个好处是连续几次输入错误的 PIN 后，智能卡将被锁定，因而使得词典攻击智能卡非常困难。另外，对智能卡的攻击逃脱不过检测，因为恶意攻击的人必须具有自己拥有的智能卡，而该

智能卡的合法主人将会发现自己丢失了智能卡。

c. 基于生物特征的身份认证

基于生物特征的认证方式——是以人体惟一的、可靠的、稳定的

生物特征（如指纹、虹膜、脸部、掌纹等）为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。

( 4) 访问控制

访问控制——是计算机安全保密防范的第二道防线，是网络安全防范和保护的主要核心策略。它的主要任务是保证网络资源不被非法

e .w e e k

＠

16

3.

c o

m 张

定

祥

使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。这种控制是指对合法用户进行文件或数据操作权限的限制。这种权限主要包括对信息资源的读、写、删、改、拷贝、执行等。在内部网中，应该确定合法用户对系统资源有何种权限，可以进行什么类型的访问操作，防止合法用户对系统资源的越权使用。对涉密程度不高的系统，可以按用

户类别进行访问权限控制；对涉密程度高的系统，访问权限必须控制

到单个用户。

通常访问控制策略可以划分为自主访问控制、强制访问控制和基于角色的访问控制三种。

a. 自主访问控制

自主访问控制（Discretionary Access Control ）——自主访问控制是一种允许主体对访问控制施加特定限制的访问控制类型。它允许

主体针对访问资源的用户设置访问控制权限，用户对资源的每次访问都会检查用户对资源的访问权限，只有通过验证的用户才能访问资源。在自主访问控制策略环境中，为了保证安全，默认参考设置是拒绝访问，以提高信息的安全性。同时，自主访问控制是基于用户的，故此具有很高的灵活性，这使得这种策略适合各类操作系统和应用程序，特别是在商业和工业领域。

e .w e e k

＠

16

3.

c o

m 张

定

祥

b. 强制访问控制

强制访问控制（Mandatory Access Control ）——强制访问控制是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制，通过比较资源的敏感性与主体的级别来

确定是否允许访问。当一个主体访问一个客体时必须符合各自的安全

级别需求。强制访问控制的安全性比自主访问控制的安全性有了提高，但灵活性要差一些。强制访问控制在军事和市政安全领域应用较多。例如，某些对安全要求很高的操作系统中规定了强制访问控制策略，安全级别由系统管理员按照严格程序设置，不允许用户修改。如果系统设置的用户安全级别不允许用户访问某个文件，那么不论用户是否是该文件的拥有者都不能进行访问。

c. 基于角色的访问控制

基于角色的访问控制（Role Based Access Control ）——基于

角色的访问控制是指在应用环境中，通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息有什么样的访问权限。系统只问用户是什么角色，而不管用户是谁。角色访问控制的优点有：便于授权管理、便于赋予最小特权、便于根据工作需要分级、责任独立、便

于文件分级管理、便于大规模实现。角色访问是一种有效而灵活的安全措施，系统管理模式明确，节约管理开销，当前流行的数据管理系统都采用了角色策略来管理权限。

e .w e e k

＠

16

3.

c o

m 张

定

祥

( 5) 加密

加密是通过加密算法将需要存储或传送的信息（明文）进行各种变换和处理从而成为密文的过程。加密是信息安全的重要手段，对于经过加密的信息，即使被非法访问者窃取，也不能知道其中的具体内

容，而只有授权的使用者用相应的密钥才可以将密文恢复成密文。

在信息安全系统中，信息加密主要有两种方式：传输加密和存储

加密。

a. 传输加密

传输加密——信息传输加密用来防止通信线路上的窃听、泄漏、篡改和破坏。在开发式网络中，对网络通信的加密也越来越重要了，

如对电子邮件的加密。传输加密方法很多，如可以利用IPSec 在IP

层加密数据，如用SSL 或TLS 在应用层加密。

b. 存储加密

存储加密——对于重要的涉密主机，由于涉密信息是存储于主机

上的，应使用存储加密的方式，保证在PC 主机的重要涉密数据信息

以密态储存，提高安全性。如Windows 2000内置的加密文件系统

EFS 就是一种很好的存储加密技术。

e .w e e k

＠

16

3.

c o

m 张

定

祥

( 6) 安全审核

安全审核就是通过各种技术或非技术手段，对现有组织构架内部所规定的各种策略、规定的一种检查，并通过日志的形式记录好与安全相关的事件。我们可以通过对安全日志的分析，发现和跟踪可疑事件，

找到有关入侵者活动的相关法律证据，从而防止对各种敏感资源的破

坏和滥用，保证系统的正常运作。

通过实施审核策略，使得计算机可以执行以下操作：

l 跟踪事件的成功和失败。如试图登录，试图通过特定的用户读取指

定文件，修改某个用户帐号或组成员资格，以及修改安全设置等。

l 将未授权而使用资源的风险最小化。通过安全审核，可以帮助我们

找到一些潜在的问题，如易受攻击的服务、防火墙设置漏洞、员工安全培训中的不足、不完善的入侵检测规则以及系统级别安全更新的忽略等问题，从而即时修复和改进，使资源的风险最小化。

l 维护有关用户和管理员活动的记录。通过安全日志对用户和管理员活动的记录，发现有意或无意的破坏行为，即时处理，保证系统的正常运行。

a. 被动审核

被动审核（Passive auditing ）——是指计算机仅根据管理员的设置简单地记录相关安全事件，对攻击行为不作任何有效的阻断和反应。它不是一种实时的监测机制，管理员需要通过事后或定期的日志

e .w e e k

＠

16

3.

c o

m 张

定

祥

查看和分析，才能够发现问题并根据日志中的信息采取行动。这种审核类型如Windows 2000内置的审核功能，可以对登录以及对象的访问等事件作一定的安全日志记录，但不能做到实时有主动防御。此外，审计日志也很容易被入侵者删除，存在着一定安全隐患。

b. 主动审核

主动审核（Active auditing ）——主动审核能对入侵事件进行主

动的防御，它能实时的记录并主动对非法访问和侵入作出反应。反应

包括结束会话、阻止访问特定主机（包括网站、FTP 服务器和电子邮

件服务器）以及跟踪非法活动源等。这种审核类型多见于各种入侵检

测产品。

c. 安全审核策略

过多的审核会给系统资源施加不必要的压力，而且你所有关心的

审核记录将淹没在其他的垃圾信息里面；但审核太少又达不到安全分析所需要的信息量，会给系统带来不必要的安全隐患。所以在进行安

全审核之前，需要制定相应的安全审核策略，通过可行性分析和风险分析来对资源进行安全级别的划分，然后通过不同的安全级别设置不同审核级别。

下表列出了不同的安全审核级别。

e .w e e k

＠

16

3.

c o

m 张

定

祥

在制定了安全审核策略后，就要进行严格的实施。对涉密程度高

的系统，安全日志应该能够自动检测并记录侵犯系统安全保密的事件，并能够及时自动告警。系统安全保密员应该定期审查安全日志，对于涉及国家机密级和国家秘密级的系统，审查周期不超过一个月；对于涉及国家绝密级的系统，审查周期不超过一周。审计信息对于发现网络是否被攻击和确定攻击源非常重要，也是查处各种侵犯系统安全保密事件的有力证据。因此，除使用一般的网管软件和系统监控功能外，

还应使用目前较为成熟的网络监控设备或实时入侵检测设备，以便对

网络操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻

击行为。

1. 2. 安全威胁

1. 2.1. 信息载体安全威胁

信息载体安全——

e .w e e k

＠

16

3.

c o

m 张

定

祥

网络安全技术第1章网络安全概述习题及答案

第1章网络安全概述 练习题 1.选择题 （1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（ C ）。 A．机密性B．完整性 C．可用性D．可控性 （2）Alice向Bob发送数字签名的消息M，则不正确的说法是( A ) 。 A．Alice可以保证Bob收到消息M B．Alice不能否认发送消息M C．Bob不能编造或改变消息M D．Bob可以验证消息M确实来源于Alice （3）入侵检测系统(IDS，Intrusion Detection System)是对( D )的合理补充，帮助系统对付网络攻击。 A．交换机B．路由器C．服务器D．防火墙（4）根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高局域网内安全性的措施是( D )。 A．使用防病毒软件B．使用日志审计系统 C．使用入侵检测系统D．使用防火墙防止内部攻击 2. 填空题 （1）网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 （2）网络安全是指在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容遭到破坏、更改、泄露，或网络服务中断或拒绝服务或被非授权使用和篡改。 （3）网络钓鱼是近年来兴起的另一种新型网络攻击手段，黑客建立一个网站，通过模仿银行、购物网站、炒股网站、彩票网站等，诱骗用户访问。 （4）防火墙是网络的第一道防线，它是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的入侵， （5）入侵检测是网络的第二道防线，入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。

§1 网络安全概述

1.网络安全概述 1. 1. 网络安全的内涵 1. 1.1. 信息安全 信息安全——防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施（量度）。 e .w e e k ＠ 16 3. c o m 张 定 祥

1. 1. 2. 计算机网络 计算机网络——是地理上分散的多台自主计算机互联的集合，实现信息交换、资源共享、协同工作及在线处理等功能。 1. 1.3. 网络安全 网络安全概念 网络安全——是在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、存储、传输、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原 因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不 中断。网络安全涉及的内容既有技术方面的问题，也有管理方面的问 题，两方面相互补充，缺一不可。 网络安全的三个方面 ①自主计算机的安全； ②互联安全，即用以实现互联的通信设备、通信链路、网络软件、网络协议的安全； ③各种网络应用和服务的安全。 e .w e e k ＠ 16 3. c o m 张 定 祥

1. 1.4. 网络安全的基本属性 ①机密性 也称为保密性：信息不泄露、不被非授权者获取与使用。占有性 ②完整性 信息不被删除、添加、篡改、伪造。信息的真实性。 ③可用性 不宕机、不阻塞、能正常运行 1. 1.5. 网络信息安全性服务 ①机密性服务 机密性（confidentiality ）： ? 保证信息与信息系统不被非授权者获取与使用 ? 保证系统不以电磁方式向外泄露信息 e .w e e k ＠ 16 3. c o m 张 定 祥

5.1 网络安全概述

5.1 网络安全概述 1、网络安全的含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲主要就是网络上的信息安全，即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。 计算机网络的安全性主要包括网络服务的可用性（Availability）、网络信息的保密性（Confidentiaity）和网络信息的完整性（Integrity）。随着网络应用的深入，网上各种数据会急剧增加，各种各样的安全问题开始困扰网络管理人员。数据安全和设备安全是网络安全保护两个重要内容。 通常，对数据和设备构成安全威胁的因素很多，有的来自企业外部，有的来自企业内部；有的是人为的，有的是自然造成的；有的是恶意的，有的是无意的。其中来自外部和内部人员的恶意攻击和入侵是企业网面临的最大威胁，也是企业网安全策略的最需要解决的问题。 2、网络安全的层次划分 什么样的网络才是一个安全的网络？下面我们从五个方面简单阐述， 2.1 网络的安全性 网络的安全性问题核心在于网络是否得到控制，即是不是任何一个IP地址来源的用户都能够进入网络？如果将整个网络比作一栋办公大楼的话，对于网络层的安全考虑就如同大楼设置守门人一样。守门人会仔细察看每一位来访者，一旦发现危险的来访者，便会将其拒之门外。 通过网络通道对网络系统进行访问的时候，每一个用户都会拥有一个独立的IP地址，这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析，便能够初步判断这一IP的数据是否安全，是否会对本网络系统造成危害，以及来自这一IP 的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址，系统便会自动将这些数据挡在系统之外。并且大多数系统能够自动记录曾经危害过的IP地址，使得它们的数据将无法第二次造成伤害。 用于解决网络层安全性问题的产品主要有防火墙产品和VPN（虚拟专用网）。防火墙的主要目的在于判断来源IP，将危险或者未经授权的IP数据拒之系统之外，而只让安全的IP 通过。一般来说，公司的内部网络主要雨Internet相连，则应该再二者之间的配置防火墙产品，以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全问题，如果公司各部在地域上跨度较大，使用专网，专线过于昂贵，则可以考虑使用VPN。其目的在于保证公司内部的敏感关键数据能够安全的借助公共网络进行频繁的交换。 2.2 系统的安全性 在系统安全性问题中，主要考虑两个问题：一是病毒对于网络的威胁，二是黑客对于网络的破坏和侵入。

第1章网络安全概论

第1章网络安全概论 项目一网络安全概述 ☆预备知识 1.日常生活中的网络安全知识； 2.计算机病毒知识； 3.操作系统的安全知识。 ☆技能目标 1.学习网络安全的概念； 2.了解网络安全主要有哪些威胁； 3.理解网络安全的体系结构； 4.掌握网络安全管理原则。 ☆项目案例 小孟在某一学院信息中心实习，常常遇到下面几种情况：下载一些有用的东西，常常遭受病毒的困扰；有时重要的文件莫名丢失；网上有些美丽的图片竟然有木马程序；有时候自己没有操作，但桌面的鼠标却在动；有时候明明IP地址正确，却上不了网？小孟想系统学习网络安全的基本知识，他就请教网络中心的张主任。张主任说，我们的网络并不安全，如何保证上网的安全、如何保证我们的信息安全，如何防范恶意黑客的攻击，得从最基本的网络安全知识讲起，今天我就给你介绍一下网络安全的基本概念和网络安全的体系结构。 1.1网络安全的概念 随着Internet的发展，网络安全越来越成为一个敏感的话题。网络安全有很多基本的概念。我们先来简单地介绍一下。 1.1.1网络安全威胁 目前，计算机互联网络面临的安全性威胁主要有以下几个方面: 1．非授权访问和破坏(“黑客”攻击) 非授权访问:没有预先经过同意，就使用网络或于计算机资源被看作非授权访问，如有意避开系通房问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式:假胃、身份攻击、非法用户进人网络系统进行违法操作、合法用户以未授权方式进行操作等:操作系统总不免存在这样那样的漏洞，一些人就利用系统的漏洞，进行网络攻击，其_L要目标就是对系统数据的非法访问和破坏“黑客”攻击已有十几年的历史，黑客活动几乎覆盖了所有的操作系统，包括UNIX、Windows NT、VM、VMS 以及MVS。 我们后面会对这一节的内容进行详细讨论。 2．拒绝服务攻击(Denial Of Service Attack） 一种破坏性攻击，最早的拒绝服务攻击是“电子邮件炸弹”，它能使用户在很短的时间

网络安全技术第1章网络安全概述习题及答案

网络安全技术第1章网络安全概述习题及答案 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

第1章网络安全概述 练习题 1.选择题 （1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（ C ）。 A．机密性B．完整性 C．可用性D．可控性 （2）Alice向Bob发送数字签名的消息M，则不正确的说法是( A ) 。 A．Alice可以保证Bob收到消息M B．Alice不能否认发送消息M C．Bob不能编造或改变消息M D．Bob可以验证消息M确实来源于Alice （3）入侵检测系统(IDS，Intrusion Detection System)是对( D )的合理补充，帮助系统对付网络攻击。 A．交换机B．路由器C．服务器D．防火墙（4）根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高局域网内安全性的措施是( D )。 A．使用防病毒软件B．使用日志审计系统 C．使用入侵检测系统D．使用防火墙防止内部攻击 2. 填空题 （1）网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 （2）网络安全是指在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容遭到破坏、更改、泄露，或网络服务中断或拒绝服务或被非授权使用和篡改。 （3）网络钓鱼是近年来兴起的另一种新型网络攻击手段，黑客建立一个网站，通过模仿银行、购物网站、炒股网站、彩票网站等，诱骗用户访问。

2020智慧树,知到《网络空间安全概论》章节测试完整答案.docx

最新资料欢迎阅读 2020 智慧树，知到《网络空间安全概论》 章节测试完整答案 智慧树知到《网络空间安全概论》章节测试答案 第一章 1、以下哪种安全问题属于网络空间安全问题中的移动安全问题? A:平台攻击 B:有害信息 C:终端被攻 D:密码破解 答案 :终端被攻 2、blob.png A:对 B:错 答案 :对 3、下面是防范假冒热点措施的是 ( ) A:免费 WiFi 上购物 B:任何时候不使用 WiFi 联网 C:不打开 WiFi 自动连接 D:全部都是 答案 :不打开WiFi自动连接 4、乱扫二维码，钱不翼而飞，主要是中了( ) A:病毒

B:木马 C:僵尸网络 D:蠕虫 答案 :木马 5、在 ( ) 年，美国《保护信息系统的国家计划》首次提出“网 络空间” (cyberspace) 概念。 A:2008 B:2005 C:2001 D:2004 答案 : 2001 6、2014 年12 月欧洲《国家网络空间安全战略: 制定和实施的实践指南》“网络空间安全尚没有统一的定义 , 与信息安全的概念存 在重叠 , 后者主要关注保护特定系统或组织内的信息的安全 , 而网络空间安全则侧重于保护基础设施及关键信息基础设施所构成的网 络" 。 A:对 B:错 答案 :错 第二章 1、民事法律关系是用于解决运营者与使用者、运营者与运营者、使用者与使用者之间的民事法律纠纷问题。

A:对 B:错 答案 : 对 2、依照计算机信息网络国际联网安全保护管理办法的相关内容，若有单位或个人故意制作、传播计算机病毒等破坏性程序的，可以由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款。 A:对 B:错 答案 :对 3、利用互联网实施违法行为，违反社会治安管理，尚不构成犯 罪的，由有关行政管理部门依法给予行政处罚。 A:对 B:错 答案 :错 4、有关有害数据及计算机病毒防治管理办法是公安部第52 号令。 A:对 B:错 答案 : 错 5、任何单位和个人不得向社会发布虚假的计算机病毒疫情。 A:对

网络安全概论.

第一章网络安全概论 1.1 网络安全的概念 随着Internet的发展,网络安全越来越成为一个敏感的话题。网络安全有很多基本的概念,我们先来简单的介绍一下。 1.1.1 网络安全威胁 目前,计算机互联网络面临的安全性威胁主要有一下几个方面: 1.非授权访问和破坏(“黑客”攻击 非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有一下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。操作系统总不免存在这样那样的漏洞,一些人就利用系统的漏洞,进行网络攻击,其主要目标就是对系统数据的非法访问和破坏:“黑客”攻击已有十几年的历史,黑客活动几乎覆盖了所以的操作系统,包括UNIX、windowsNT、vm、vms、以及MVS。 我们后面会对这一节的内容进行详细讨论。 2.拒绝服务攻击(Denial of service attack 一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”,它能使用户在很短的时间内受到大量的电子邮件,使用户系统不能处理正常业务,严重时会使系统崩溃、网络瘫痪。它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务 3.计算机病毒

计算机病毒程序很容易做到,有着巨大的破坏性,其危害已被人们所认识。单机病毒就已经让人们“谈毒色变”了,而通过网络传播的病毒,无论是在传播速度、破坏性,还是在传播范围等方面都是单机病毒不能比拟的。 4.特洛伊木马 特洛伊木马的名称来源于古希腊的历史故事。特洛伊木马程序一般是由编程人员编制,它提供了用户所不希望的功能,这些额外的功能往往是有害的。把预谋的有害功能隐藏在公开的功能中,以掩盖其真实企图。 5.破坏数据完整性 指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,可以修改网络上传输的数据,以及销毁网络上传输的数据,替代网络上传输的数据,重复播放某个分组序列,改变网络传输的数据包的先后次序,使用、攻击者获益,以干扰用户正常使用。 6.蠕虫(worms 蠕虫是一个或一组程序,它可以从一台机器向另一台机器传播。它同病毒不一样,它不需要修改宿主程序就能传播。 7.或板门(trap doors 为攻击者提供“后门”的一段非法操作系统程序,这一般是指一些内部程序人员为了特殊的目的,在所编制的程序中潜伏代码或保留漏洞。 9.信息泄露或丢失 指敏感数据在有意或无意中被泄露出去或丢失,它通常包括:信息在传输中丢失或泄露(如“黑客”利用电磁泄露或搭线窃听等方式截获机密信息,或通过对信息流向、流量、通信频度和长度扥参数的分析,推出用户信息,如口令、账号等,信息在存储介质中丢失或

第一单元 网络安全概述 教案

编号：HTZY-P13-R17-02 20 ∽20 学年度第学期 教案 （封面） 课程名称：网络攻击与防御技术 授课班级： 任课教师：蔡亮 教研室：计算机科学系 使用教材：网络攻击与防御技术（清华大学出版社） 贵州航天职业技术学院 2014 年 8 月

教案（首页）

注：课程类别：必选、限选、任选、实验课 教案格式 网络攻击与防御技术课程教案

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。 计算机网络安全不仅包括组网的硬件、管理控制网络的软件，也包括共享的资源，快捷的网络服务，所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义，认为计算机网络安全是指：保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，使网络系统连续可靠性地正常运行，网络服务正常有序。 对计算机信息构成不安全的因素很多，其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机网络存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面： 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。比如信息系统的关键账号，密码，核心用户的信息，关键代码，数据库格式，访问密码等等。 完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。比如网络上流转的电子政务公文信息，电子银行转账的财务信息等等。 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 可控性：对信息的传播及内容具有控制能力。 可审查性：出现的安全问题时提供依据与手段。 互联网是对全世界都开放的网络，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项： 1）网络的开放性 网络的技术是全开放的，使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对网络通信协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。 2）网络的国际性 意味着对网络的攻击不仅是来自于本地网络的用户，还可以是互联网上其他国家的黑客，所以，网络的安全面临着国际化的挑战。 3）网络的自由性 大多数的网络对用户的使用没有技术上的约束，用户可以自由的上网，发布和获取各类信息。 下面就以几个例子重点讲述一下发生在全球互联网络的一些血淋淋的案例：

网络安全概论

网络安全概论 1.填空题 (1) 网络信息安全基本目标主要包括机密性.完整性.可用性.抵抗赖性.可控性 (2) 网络信息安全基本功能有网络安全防御、网络安全应急、网络安全检测、网络安全恢复 (3) 网络信息安全典型威胁有:自然灾害,意外事故.计算机犯罪.人为使用不当及安全意识差,”黑客”入侵,病毒.内部泄密.外部泄密.信息丢失.电子谍报.网络安全中的缺陷等 2.简答题 (1) 收集网络信息安全事件案例.试分析其原因. ①1994年8月1日，由于一只松鼠通过位于康涅狄格网络主计算机附近的一条电话线挖洞，造成电源紧急控制系统损坏，NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。 分析：这是一起典型的网络安全意外事故其根本原因是硬件设施没有妥善管理。 ②1998年9月，郝景龙、郝景文两兄弟通过在工行储蓄所安装遥控发射装置，侵入银行电脑系统，非法取走26万元。这是被我国法学界称为全国首例利用计算机网络盗窃银行巨款的案件。 分析：这是一起人为的信息犯罪。原因有两方面。一方面是公司对信息安全没有完善的方案。另一方面是两兄弟的法律意识低下。导致了触犯法律的行为 (4) 列出网络信息安全威胁清单。 ①.自然灾害 ②,意外事故 ③.计算机犯罪 ④.人为使用不当及安全意识差,”黑客”入侵,病毒 ⑤.内部泄密 ⑥.外部泄密 ⑦.信息丢失 ⑧.电子谍报 ⑨.网络安全中的缺陷等 (5) 网络安全管控有哪些主要方法? 答：网络安全管控的主要方法与基本技术： 1.网络物理安全 2.网络认证 3.网络访问控制 4.网络安全保密 5.网络安全监测 6.网络漏铜评估 7.恶意代码防护 8.应急响应 9.网络安全体系 3.实训题 (1)从互联网上收集漏洞信息 1.漏洞名称：Apple Safari WebKit 内存损坏漏洞 CNNVD编号：CNNVD-201402-459

网络安全概述1

一网络安全概述 1 信息安全技术：指计算机信息系统及传输信息过程中，保障信息安全属性特征相关的各种技术和措施。 2 网络安全技术(Network Security Technology)是指为解决网络安全问题进行有效监控,保证数据及传输安全性的技术手段，主要包括实体安全技术、网络结构安全技术、系统安全技术、管理与运行安全技术、数据安全与密码技术等，以及确保安全服务和安全机制的策略 3 网络安全研究的领域，就是网络上信息的：保密性完整性可用性真实性可控性 4 网络安全具体含义： 网络上的：运行系统安全系统信息安全信息传输安全信息内容安全 共享资源网络服务快捷可靠 5，网络安全具体内容： 网络实体安全软件安全数据安全安全管理 数据保密数据完整可用性可控性可审查性 从层次结构上，可将网络安全所涉及的内容概括为以下五个方面： (1) 实体安全(2) 运行安全 (3) 系统安全(4) 应用安全（5) 管理安全 6，计算机网络安全是指利用计算机网络管理控制和技术措施，保证网络系统及数据的保密性、完整性、网络服务可用性和可审查性受到保护 7，网络安全PDRR模型 常用的描述网络安全整个过程和环节的网络安全模型为PDRR模型：防护（Protection）、检测（Detection）、响应（Reaction）和恢复（Recovery） 8，以―检查准备、防护加固、检测发现、快速反映、确保恢复、反省改进‖的原则,经过改进得到另一个网络系统安全生命周期模型—— IPDRRR 9，在网络安全中，常用的关键技术可以归纳为三大类 预防保护类检测跟踪类响应恢复类 10，主动攻击： 指攻击者对某个连接的中的数据进行各种处理(更改、删除、迟延、复制、伪造等) 11，常见攻击技术 网络监听网络扫描网络入侵网络后门网络隐身 12，常见防御技术 操作系统的安全配置加密技术数字签名技术身份认证技术 防火墙技术病毒防治技术入侵检测技术VPN技术 访问控制技术安全审计技术黑客防范技术 13，网络信息安全可看成一个由多个安全单元组成的集合 3个主要特性安全特性安全层次系统单元 14，网络安全机制 在ISO7498-2《网络安全体系结构》文件中规定的网络安全机制有8项：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。 1,5，在《网络安全体系结构》文件中规定的网络安全服务有5项：鉴别服务、访问控制服务、数据完整性服务、数据保密性服务和非否认服务。 16，网络管理五大功能 根据国际标准化组织定义网络管理有五大功能：

网络安全概述复习课程

网络安全概述

网络安全概述 随着计算机网络技术的飞速发展和互联网的广泛普及，病毒与黑客攻击日益增多，攻击手段也千变万化，使大量企业、机构和个人的电脑随时面临着被攻击和入侵的危险，这导致人们不得不在享受网络带来的便利的同时，寻求更为可靠的网络安全解决方案。 网络安全是指计算机网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是计算机网络技术发展中一个至关重要的问题，也是Internet的一个薄弱环节。 7.1.1 网络存在的安全威胁 由于当初设计TCP/IP协议族时对网络安全性考虑较少，随着Internet的广泛应用和商业化，电子商务、网上金融、电子政务等容易引入恶意攻击的业务日益增多，目前计算机网络存在的安全威胁主要表现在以下几个方面： 1．非授权访问 指没有预先经过同意，非法使用网络或计算机资源，例如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息等。它主要有以下几种表现形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。 2．信息泄露或丢失 指敏感数据在有意或无意中被泄露出去或丢失。它通常包括，信息在传输过程中丢失或泄漏(如“黑客”利用网络监听、电磁泄漏或搭线窃听等方式可获取如用户口令、账号等机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析， 收集于网络，如有侵权请联系管理员删除