网络信息安全知识点
1.什么是信息安全
为了防止未经授权就对知识、实事、数据或能力进行使用、滥用、修改、破坏、拒绝使用或使信息被非法系统辨识、控制而采取的措施。
建立在网络基础之上的信息系统,其安全定位较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。
2.安全隐患 a) 硬件的安全隐患;b) 操作系统安全隐患;c) 网络协议的安全隐患;d) 数据库系统安全隐患;e) 计算机病毒;f) 管理疏漏,内部作案。
3. 安全管理实施:风险评估、等级保护
4. 信息安全技术典型地应该包括以下几个方面的内容:物理安全技术、系统安全技术、网络安全技术、应用安全技术、数据加密技术、认证授权技术、访问控制技术、扫描评估技术、审计跟踪技术、病毒防护技术、备份恢复技术、安全管理技术
5. 信息安全通常强调所谓CIA 三元组的目标,即保密性、完整性和可用性。
6.安全威胁:对安全的一种潜在的侵害。威胁的实施称为攻击。
计算机系统安全面临的威胁主要表现在三类:
泄漏信息:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏,信息在存储介质中丢失或泄漏。
破坏信息:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务:它不断对网络服务系统进行干扰,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
7.安全的体系结构
物理层的安全:物理层信息安全,主要防止物理通路的损坏、窃听、干扰等。
链路层的安全:链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。
网络层的安全:网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
操作系统的安全:操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
应用平台的安全:应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。
应用系统的安全:应用系统完成网络系统的最终目标——为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。
网络信息系统的安全体系包含:
访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
认证:良好的认证体系可防止攻击者假冒合法用户。
备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
隐藏内部信息:使攻击者不能了解系统内的基本情况。
设立安全监控中心:为信息系统提供安全体系管理、监控,救护及紧急情况服务。
第二章
1.密码学是研究如何实现秘密通信的科学,包括密码编码学和密码分析学。密码编码学是对信息进行编码实现信息保密性的科学。密码分析学是研究、分析、破译密码的科学。
2. 加密算法的三个发展阶段:经典密码体制对称密钥密码(即:单钥密码体制)公钥密钥密码(即:双钥密码体制)
3. 数据加密技术主要分为数据传输加密和数据存储加密。
4.数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
5.数据加密算法经历了以下三个阶段。
?1)古典密码:包括代换加密、置换加密。
?2)对称密钥密码:包括DES和AES。
?3)公开密钥密码:包括RSA 、背包密码、McEliece密码、Rabin、椭圆
曲线、EIGamal D_H等。
6.计算机网络的加密技术
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
?一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。7.密码学基本概念
?密文:明文经过密码变换后的消息。
?加密:由明文到密文的变换。
?解密:从密文恢复出明文的过程。
?破译:非法接收者试图从密文分析出明文的过程。
?加密算法:对明文进行加密时采用的一组规则。
?解密算法:对密文进行解密时采用的一组规则。
?密钥:加密和解密时使用的一组秘密信息。
8.分组密码设计原理
9.分组密码的一般结构一般有两种:Feistel网络结构由Feistel发明,被DES采用
SP网络结构1)可逆函数S,置换作用P,是一种重要的结构2)AES标准采用此结构
10. Feistel 结构:每轮处理一半数据,加解密相似。SP 结构(替代-置换网络):每轮处理整个分组数据,加解密不相似。SP结构是Feistel结构的推广,结构更加清晰,S 一般称为混淆层,主要起混淆作用; P 一般称为扩散层,主要起扩散作用。
11. DES的结构明文分组: 64 bit 密文分组: 64 bit密钥:64 bit,其中8bit为校验位,实际 56 bit轮数: 16 轮(圈)加密函数:直接异或,8个 6-4 S盒。
第三章
1.散列函数(又称hash函数,杂凑函数)是将任意长度的输入消息M映射成一个固定长度散列值h的特殊函数:
h=H(M)
其中M是变长的输入消息, h=H(M)是定长的散列值(或称为消息摘要)。
散列函数H是公开的,散列值在信源处被附加在消息上,接收方通过重新计算散列值来确认消息未被篡改。
由于函数本身公开,传送过程中对散列值需要另外的加密保护(如果没有对散列值的保护,篡改者可以在修改消息的同时修改散列值,从而使散列值的认证功能失效)
2.散列函数要具有单向性,必须满足如下特性:
?给定M,很容易计算h;
?给定h,根据H(M)=h,反推M很难;
?给定M,要找到另一个消息M’,并满足H(M)=H(M’)是很难的。
?单向散死函数是从全体消息集合到一个肯有固定长度的消息摘要的变换。
?带密钥的哈希函数可用于认证、密钥共享、软件保护等方面。
3.MD5 算法逻辑输入:任意长度的消息;输出:128位消息摘要;处理:以512位输入数据块为单位
4.SHA-1 算法逻辑输入:最大长度为264位的消息;输出:160位消息摘要;处理:输入以512位数据块为单位处理
第四章
1.公钥密码与对称钥密码的比较:公钥密码:不需共享密钥;理论基础坚实;产生数字签名; 速度慢、密钥长.
对称钥密码:速度快,密钥短,可作为基本单元构建,各种密码工具如伪随机数产生器、Hash 函数;需要实现共享密钥、密钥管理困难;没有可证明安全性;
公钥密码--有效的数字签名和密钥管理;少量数据的加密;公钥常用于加密对称密钥。这样的系统称为混合密码系统。
对称钥密码--有效的大量数据加密和一些数据完整性应用。
2. 公钥密码体制概念
每个用户都有一对预先选定的密钥:一个是公钥,以k1表示,另一个是私钥,以k2表示,公钥k1是公开的,任何人都可以得到,私钥是其拥有者自己保存。
3.非对称密码算法原理
非对称密钥密码,也称公开密钥密码,由Diffie, Hellman 1976年提出
使用两个密钥,对于密钥分配、数字签名、认证等有深远影响
基于数学函数而不是代替和换位,密码学历史上唯一的一次真正的革命
每个通信实体有一对密钥(公钥,私钥)。公钥公开,用于加密和验证签名,私钥保密,用作解密和签名
4.公钥密码系统的应用
?三种用途:加密/解密:数字签名:发送方用自己的私钥签署报文,接收方
用对方的公钥验证对方的签名;密钥交换:双方协商会话密钥
? 5.数字签名(digital signature)是指利用数学方法及密码算法对电子文
档进行防伪造或防篡改处理的技术。就象日常工作中在纸介质的文件上进行
签名或按手印一样,它证明了纸介质上的内容是签名人认可过的,可以防伪
造或篡改。
? 6.数字签名的作用:保证信息完整性;提供信息发送者的身份认证。
?7.与传统签名的区别:需要将签名与消息绑定在一起。通常任何人都可验证。
要考虑防止签名的复制、重用。
?8.数字签名(Digital Signature) 信息发送者使用公开密钥算法技术,产生
别人无法伪造的一段数字串。
?9.发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解
开数据后,就可确定消息来自于谁,同时也是对发送者发送的信息的真实性
的一个证明。发送者对所发信息不能抵赖
?10.数字签名必须保证:可验证:签字是可以被确认的;防抵赖:发送者事
后不承认发送报文并签名;防假冒:攻击者冒充发送者向收方发送文件;防
篡改:收方对收到的文件进行篡改;防伪造:收方伪造对报文的签名。签名
对安全、防伪、速度要求比加密更高。
?11.数字签名的特性
?签名是可信的:任何人都可以方便地验证签名的有效性。
?签名是不可伪造的:除了合法的签名者之外,任何其他人伪造其签名是困难
的。这种困难性指实现时计算上是不可行的。
?签名是不可复制的:对一个消息的签名不能通过复制变为另一个消息的签
名。如果一个消息的签名是从别处复制的,则任何人都可以发现消息与签名
之间的不一致性,从而可以拒绝签名的消息。通过增加时间戳实现。
?12.数字签名的过程:
?假设A要发送一个电子文件给B。
?1.系统初始化:选择签名所需的算法、参数
? 2. 产生签名:A用其私钥加密文件并发送给B ;
?3.签名验证:B用A的公钥解开A送来的文件
?签名体制的构成:签名算法;验证算法
?13.签名与加密
?签名提供真实性(authentication) 先签名,后加密
?加密提供保密性(confidentiality)先加密,后签名:
?“签名+加密”提供“真实性+保密性”
?14.认证与签名的区别
认证能验证消息来源及完整性,防范第三者;
签名在收发双方产生利害冲突时,解决纠纷。
第五章
1.PKI (Pubic Key Infrastructure)的概念
PKI是经过多年研究形成的一套完整的Internet安全解决方案。它用公钥技术和规范提供用于安全服务的具有普适性的基础设施。用户可利用PKI平台提供的服务进行安全通信。2.PKI系统由五个部分组成:认证中心CA,注册机构RA、证书库CR 、证书申请者、证书信任方。前三部分是PKI的核心,证书申请者和证书信任方则是利用PKI进行网上交易的参与者。
3.什么是数字证书:一段包括用户身份信息、用户公钥信息以及身份验证机构数字签名的数
据,一个经证书认证中心(CA)签名的包括公钥拥有者信息及公钥信息的文件
4.数字证书的作用1)网络通信的身份证明,解决相互间信任问题2)用户公钥信息用户数据加密,保证数据保密性、用户身份的不可抵赖性
5.CA:
?一个值得信赖的公正的第三方机构,PKI的核心
?管理数字证书:证书签发(把用户的公钥和用户的其他信息捆绑在一起)等
?在网上验证用户的身份:证书废除列表管理等
6.RA:
?CA的组成部分,实现CA功能的一部分
?CA面向用户的窗口,接受用户申请、审核用户身份
?代表CA发放证书
7.RS:
?管理所辖受理点的用户资料、受理用户证书业务、审核用户身份、向受理中
心或RA中心申请签发证书和将RA中心或受理中心制作的证书介质分发给用
户
8.CA的作用
?权威、可信、第三方机构,为认证需求提供数字证书相关服务
第六章
1.实现信息隐藏的基本要求
?载体对象是正常的,不会引起怀疑
?伪装对象与载体对象无法区分,无论从感观上,还是从计算机的分析上
?安全性取决于第三方有没有能力将载体对象和伪装对象区别开来
?对伪装对象的正常处理,不应破坏隐藏的信息
2.信息隐藏的应用
?数据保密
?防止信息被截获
?数据的不可抵赖性
?电子商务、数字水印技术
?数据的完整性
?防篡改
?数字作品的版权保护
?是数字水印技术的一种重要应用
?防伪
?票据的防伪,数字票据可打印、可扫描
3.数字水印是信息隐藏技术的重要分支数字水印是永久镶嵌在其他数据(宿主数据)中具有可鉴别性的数字信号或模式,并且不影响宿主数据的可用性
4.数字水印不等同于信息隐藏,概念有区别
?数字水印注重水印,用于版权保护,可公开
?信息隐藏注重隐藏,不可见/不可察觉,要保密
5.数字水印的应用
?版权保护:表明对数字产品的所有权
?数字指纹:用于防止数字产品被非法复制和散发
?认证和完整性校验:验证数字内容未被修改或假冒
?内容标识和隐藏标识:多媒体内容检索
?使用控制:控制复制次数
?内容保护:保护内容不被滥用
第七章
1.认证(Authentication)就是对于证据的辨认、核实、鉴别,以建立某种信任关系。
2.两类认证:报文认证身份认证
3.报文认证,包括报文源、报文内容和报文时间性的认证;
4.身份认证的概念:
?证实用户的真实身份与其所声称的身份是否相符的过程
?包括:识别、验证
5.身份认证系统三部分:1)认证服务器2)认证系统用户端3)认证设备
6.身份认证协议:双向、单向、其它协议(略)
7.常见的身份认证技术
?生物特征
?指纹、虹膜和视网膜、DNA
?零知识证明
?交互式、非交互式
8.访问控制(Access Control)是对信息系统资源的访问范围以及方式进行限制的策略。简单地说,就是防止合法用户的非法操作。
9.访问控制的三要素:主体和客体都是访问控制系统中的实体。
主体是发出访问请求的主动方,通常是用户或用户进程。
客体是被访问的对象,通常是被调用的程序、进程,要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。
安全策略,就是对这些访问进行约束的一组规则和目标,它反映了系统的安全需求,并可以用达到安全目的而采取的步骤进行描述。
10.自主访问控制
配置的粒度小
配置的工作量大,效率低
11.强制访问控制
配置的粒度大
缺乏灵活性
第八章
1.入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
2.入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。
3.入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持
4.入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
5.进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。
6.入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
7.入侵检测(Intrusion Detection)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。
对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动)。
对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
8.入侵检测系统(IDS)由入侵检测的软件与硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。
IDS执行以下任务来实现:
1)监视、分析用户及系统活动。
2)系统构造和弱点的审计。
3)识别反映已知进攻的活动模式并向相关人士报警。
4)异常行为模式的统计分析。
5)评估重要系统和数据文件的完整性。
6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
9.入侵的方法和手段
?端口扫描与漏洞攻击
?密码攻击
网络监听
拒绝服务攻击
缓冲区溢出攻击
欺骗攻击
10.入侵检测的实现方式
入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。
基于主机的入侵检测系统(HIDS)
?基于网络的入侵检测系统(NIDS)
?混合型入侵检测系统(Hybrid IDS)
11.主机IDS:
运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。
安装于被保护的主机中
–主要分析主机内部活动
–占用一定的系统资源
12.主机IDS优势
(1) 精确地判断攻击行为是否成功。
(2) 监控主机上特定用户活动、系统运行情况
(3) 能够检测到NIDS无法检测的攻击
(4) 适用加密的和交换的环境。
(5) 不需要额外的硬件设备。
13.主机IDS的劣势
(1) 对被保护主机的影响。
(2) 安全性受到宿主操作系统的限制。
(3) 数据源受到审计系统限制。
(4) 被木马化的系统内核能够骗过HIDS。
(5) 维护/升级不方便。
14.网络IDS:
网络IDS是网络上的一个监听设备(或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。
安装在被保护的网段中
–分析网段中所有的数据包
–实时检测和响应
15. 网络IDS优势
(1) 实时分析网络数据,检测网络系统的非法行为;
(2) 网络IDS系统单独架设,不占用其它计算机系统的任何资源;
(3) 网络IDS系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高;
(4) 既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证;
(5) 通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。
(6)不会增加网络中主机的负担
16.网络IDS的劣势
(1)不适合交换环境和高速环境
(2)不能处理加密数据
(3) 资源及处理能力局限
(4) 系统相关的脆弱性
17.目前入侵检测方法有三种分类依据:
?1、根据物理位置进行分类。
?2、根据建模方法进行分类。
?3、根据时间分析进行分类。
常用的方法有三种:静态配置分析、异常性检测方法和基于行为的检测方法。
18.入侵检测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行为,以避免攻击的发生,或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤:
?信息收集
?数据分析
?响应
19.入侵检测方法
?特征检测
?统计检测
?操作模型
?方差模型
?多元模型
?马尔可夫过程模型
?时间序列分析模型
?专家系统
20.入侵检测的分类
?按系统分析的数据源分类
?基于主机、基于网络、混合式
?按体系结构分类
?集中式、层次式、分布式
?按分析方法分类
?异常、误用(漏报率?,误报率? )
?按响应方式分类
?主动的、被动的
21.CIDF阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:
?事件产生器(Eventgenerators),用E盒表示;
?事件分析器(Eventanalyzers),用A盒表示;
?响应单元(Responseunits),用R盒表示;
?事件数据库(Eventdatabases),用D盒表示。
第九章
1.防火墙一般是指在两个网络间执行访问控制策略的一个或一组系统,是架设在用户内部网络和外部公共网络之间的屏障,提供两个网络之间的单点防御,对其中的一个网络提供安全保护。
2.从软、硬件形式上可以把防火墙分为如下3类:
●软件防火墙
●硬件防火墙
●芯片级防火墙
3.按照防火墙在网络协议栈进行过滤的层次不同,可以把防火墙分为如下3类:
●包过滤防火墙,工作在网络层
●电路级网关防火墙,工作在会话层
●应用层网关防火墙,代理服务器型
4.按照防火墙在网络中的应用部署位置,可以将防火墙分为如下3类:
●边界防火墙
●个人防火墙
●混合防火墙
5.防火墙的功能
(1)Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络。
(2)在防火墙上可以很方便地监视网络的安全性,并产生报警。
(3)防火墙可以作为部署网络地址转换的逻辑地址。
(4)防火墙是审计和记录Internet使用量的一个最佳地方。
(5)防火墙也可以成为向客户发布信息的地点。
6.防火墙的设计原则
(1)防火墙的安全策略
①拒绝没有特别允许的任何事情(No规则)
假定防火墙应该阻塞所有的信息,只允许符合开放规则的信息进出。
②允许没有特别拒绝的任何事情(Yes规则)
假定防火墙只禁止符合屏蔽规则的信息,而转发所有其他的信息。
第十章
1.网络扫描
被动式策略就是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查。
主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞
2.安全漏洞类型
1)配置漏洞
配置漏洞是由于软件的默认配置或者不恰当的配置导致的安全漏洞。
(2)设计漏洞
设计漏洞主要指软件、硬件和固件设计方面的安全漏洞。
(3)实现漏洞
实现漏洞主要由软件、硬件和固件的实现错误引起的安全漏洞。如缓冲区溢出漏洞。
3.两类漏洞扫描技术
①主机漏洞扫描:从系统管理员的角度,检查文件系统的权限设置、系统文件配置等主机系统的平台安全以及基于此平台的应用系统的安全,目的是增强主机系统的安全性。
②网络扫描:采用模拟黑客攻击的形式对系统提供的网络应用和服务以及相关的协议等目标可能存在的已知安全漏洞进行逐项检查,然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全的整体水平提供重要依据。
第十一章
1.安全协议概述
?安全协议(Security protocol,又称密码协议,Cryptographic protocol)。安全协议是建立在密码体制基础上的一种交互通信协议,它运用密码算法和协议逻辑来实现认证和密钥分配等目标。
?安全协议可用于保障计算机网络信息系统中信息的秘密安全传递与处理,确保网络用户能够安全、方便、透明地使用系统中的密码资源。
?目前,安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍。
2.几种常见安全协议简介
?IPSec协议——网络层
?IPSec (IP Security)协议是一种协议套件,它定义了主机和网关所提供的各种能力。IPSec协议是一种包容极广、功能极强的IP安全协议,但它在
定址能力上比较薄弱。
?SSL协议——传输层
?SSL协议(Secure Socket Layer)是网景公司推出的会话层安全协议,用来保证客户端和服务器之间通信的保密性、可信性与身份认证。
?SET协议——应用层
SET协议(Secure Electronic Transaction)是Visa、MasterCard两大信用卡公司以及IBM 等公司共同推出的“安全电子交易”协议。 SET协议试图提供一种网络在线支付的安全手段
3.IPSec保护涉及的主要组件
?安全协议
?安全关联数据库 (Security associations database, SAD)
?密钥管理
?安全机制
?安全策略数据库 (Security policy database, SPD)
4.IPSec协议簇中的两个重要安全协议
?AH协议和ESP协议
?AH协议(Authentication Header,验证头):可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网重播。
?ESP协议(Encapsulating Security Payload,封装安全载荷):具有所有AH的功能,还可以利用加密技术保障数据机密性。
?虽然AH和ESP都可以提供身份认证,但它们有2点区别:
?ESP要求使用高强度的加密算法,会受到许多限制。
?多数情况下,使用AH的认证服务已能满足要求,相对来说,ESP开销较大。
5.IPSec协议组
?认证头协议AH(Authentication Header)
?载荷封装协议
?安全关联
?安全数据库
?密钥管理与密钥交换
?IPSec的典型应用
6.IPSec的实现方式有两种:传输模式和隧道模式,都可用于保护通信。
?传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。当数据包从传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。
?隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。将整个IP数据包进行封装(称为内部IP头),然后增加一个IP头(称为外部IP头),并在外部与内部IP头之间插入一个IPSec头。
7.两种安全模式
?传输模式IPSec主要对上层协议提供保护,通常用于两个主机之间端到端的通信。
?隧道模式IPSec提供对所有IP包的保护,主要用于安全网关之间,可以在公共Internet上构成VPN。使用隧道模式,在防火墙之后的网络上的一组主机可以不实现IPSec而参加安全通信。局域网边界的防火墙或安全路由器上的IPSec软件会建立隧道模式SA,主机产生的未保护的包通过隧道连到外部网络。
8.TCP/IP各层安全协议
?网络层安全协议
?IPSec( IP Security )协议簇
?传输层安全协议
?SSL( Secure Socket Layer )安全套接字层
?应用层安全协议
?SET(Secure Electronic Transactions)安全电子交易
?电子邮件安全协议
第十二章
⑴计算机病毒的概念
计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序里)当达到某种条件时即被激活的、具有对计算机资源进行破坏作用的一组程序或指令集合。
2.计算机病毒程序是一种特殊程序,主要特征如下:
?可执行性
?传染性和破坏性
?潜伏性
?隐蔽性
?针对性
?可触发性
?病毒程序在系统中的运行是:
?初始化工作
?在内存中寻找传染目标
?夺取系统控制权
?完成传染破坏活动
?病毒程序可放在正常可执行文件的首部、尾部可中间。
?病毒可以执行其他程序所能执行的一切功能,唯一不同的是它必须将自身附着在宿主程序上,当运行宿主程序时,病毒一些意想不到的功能也就跟着悄悄地执行了。?病毒的结构一般由以下三部分组成:
?初始化部分
?传染部分
?破坏和表现部分
?其中传染部分包括激活传染条件的判断部分和传染功能的实施部分,而破坏
和表现部分则由病毒触发条件判断部分和破坏表现功能的实施部分组成。
网络安全
计算机网络信息安全及对策 摘要:众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种联网的计算机,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。对网络信息安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。 本文主要介绍了有关网络信息安全的基础知识:网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展,网络信息安全问题终究会得到解决。 关键词:网络信息安全防火墙数据加密内部网 随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 本文从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题,并对常见网络攻击从技术层面提出了解决方案,希望通过网络安全建设逐步消除网络信息安全的隐患。 一、网络信息安全的脆弱性 因特网已遍及世界180多个国家,为亿万用户提供了多样化的网络与信息服务。在因特网上,除了原来的电子邮件、新闻论坛等文本信息的交流与传播之外,网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统,使得秘密信息和财富高度集中于计算机中。另一方面,这些网络信息系统都依靠计算机网络接收和处理信息,实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式,成为当今社会发展的一个主题。
网络与信息安全保障措施应包含下列制度和措施:
申请呼叫中心增值电信业务经营许可网络信息安全专项审核材料要求 网络与信息安全保障措施应包含下列制度和措施: 一、信息安全管理组织机构设置及工作职责 企业负责人为网络与信息安全第一责任人,全面负责企业网络与信息安全工作;有明确的机构、职责,负责企业的网络安全与信息安全工作。要建立网络与信息安全监督检查制度,定期对企业的网络与信息安全工作和措施制度的落实、执行情况进行监督检查,及时完善健全网络与信息安全管理措施和制度。对发生网络与信息安全事件的责任部门、责任人员进行处理。 二、网络与信息安全管理人员配备情况及相应资质 申请企业应至少配备3人或以上网络与信息安全管理人员,并注明管理人员姓名、联系方式、职责分工,附管理人员身份证及资质证书复印件。网络安全人员应具有相应的专业技术资格(网络与信息安全从业资质或通信、计算机相关专业本科及以上学历证明)。
三、网络信息安全管理责任制 在企业内部建立网络与信息安全管理责任制,网络与信息安全工作相应部门、岗位、人员均应签署网络与信息安全责任书,并附企业内部网络与信息安全责任书模板。责任书应明确网络与信息安全应遵守的规定、承担的责任、履行的义务,及违反规定相应的处罚措施。 四、有害信息发现处置机制 要建立业务服务模板服务制度,按照业务服务内容模板提供服务,业务服务模板须经审核方可上线使用;在服务过程中要严格按照模板内容提供相应服务,建立服务内容抽查监听机制,定期对服务内容和质量进行抽查,及时发现违法违规问题;建立服务内容录存制度,录存日志保存期限不低于60日,并对录存日志按比例抽查,对存在问题及时发现处理。 五、有害信息投诉受理处置机制 有明确的受理方式,包括电话、QQ、电子邮箱等,有明确的受理部门、人员、有害信息处理机制和流程,并建立相应的制度和措施,及时完善机制,防止同类问题的再次发生。 六、重大信息安全事件应急处置和报告制度 发生重大信息安全事件后应在第一时间采取有效措施,
网络和信息安全管理平台的设计与实现
龙源期刊网 https://www.360docs.net/doc/9b4272173.html, 网络和信息安全管理平台的设计与实现 作者:宫正 来源:《科学与信息化》2020年第13期 摘要随着现代计算机通信技术和现代网络通信技术的不断发展,互联网在现代人们的日常社会经济生活中一直占据着重要的应用地位,网络通信技术的不断成熟等也使得它被人们逐渐了解和重视。对网络用户信息和保护个人隐私的进行保护就显得非常的重要,然而在现代我国的网络和信息安全管理平台中,仍然存在一些问题。因此,本文通过针对当前网络安全环境下的信息安全存在问题,分析了网络安全信息管理服务平台实现系统的不断完善和快速发展,建立一个不断完善的企业网络安全信息管理服务平台。希望能够起到一定的借鉴作用。 关键词信息网络;安全信息管理;平台;设计;实现 引言 随着国民经济的不断快速发展和国家信息化体系建设的进一步深入发展,互联网的应用规模也随之不断扩大,信息网络安全事件层出不穷。为了有效应对网络信息安全上的威胁,网络和信息安全管理平台系统可以通过及时检测安全系统漏洞以及扫描应用程序中存在的病毒和下载装有安全防火、的安全杀毒防护软件等多种措施来有效保证当前网络信息系统的安全。然而,许多安全防护产品在实际使用后仍然产生了一系列安全问题。例如,网络经济信息安全产品由于功能分散,尚未基本形成统一规范的网络安全信息管理体系。其次,各种安全防护产品之间往往缺乏统一的沟通管理和联合调度工作机制,难以相互支持、系统开展工作。因此,相应类型的网络安全技术产品的应用很难及时得到有效性的发挥。不同安全设备的风险管理和安全控制系统平台功能有很大不同。安全设备管理人员在网络设备的日常使用和安全管理方法中,通过使用相应的安全管理服务平台进而实现对所有网络安全设备、系统和网络用户的安全管理这种情况,非常不方便。因此,建立了一个标准化的网络安全信息综合管理服务平台非常的重要。本文通过对网络和信息安全管理平台的主要功能,网络安全信息管理平台的系统框架和网络信息安全管理平台的设计与实践进行了一定的分析,希望可以起到借鉴作用[1]。 1 网络安全综合管理服务平台的主要功能 1.1 提高管理服务能力 网络安全信息系统管理可以根据网络拓扑图和数据树形图分别显示网络区域内安全系统管理和网络设备间的部署、运行系统状态以及管理的各种相关基本信息。 1.2 具有战略经营管理领导能力
网络与信息安全保障措施
网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存 60天内系统运行日志和用户使用日志记录,短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教
育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动,保护互联网络和电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。 5、制订口令管理制度,防止系统口令泄露和被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。
网络信息安全存在的问题及对策
网络信息安全存在的问题及对策 随着社会的经济主体以及公民个人越来越多地将信息在网络上进行保存,网络信息安全已结成为了一个不容忽视的问题。现在计算机网络的普及率越来越高,网络环境问题越来复杂,存在着各种不安全的因素。而传统的网络在防火墙技术建设上存在较多的漏洞,不能够保证网络不受到恶意攻击,也不能安全抵御黑客对于局域网的肆意破坏。因此需要分析网络信息安全存在的问题,提出具体的应对措施来提高的网络安全建设。 1 网络信息安全建设的要求 随着计算机科学的不断发展,计算机越来越多地被运用在人们日常的生活以及学习当中,给人们带来较大的方面。但是在享受到网络带来的便利的基础上,不能忽视各种网络信息安全问题。尤其是近些年,各种网络不安全因素的大量出现,网络黑客通过剽窃网民个人信息、修改网络数据、传播病毒、植入木马等方法大肆破坏网络信息环境,给网络安全带来较大的问题,因此加强网络信息建设刻不容缓,而且网络信息建设必须满足以下几点要求。 (1) 信息控制的灵活性以及安全性 由于网络是一个相对比较开放的局域网,所有网民都能够参与进来。因此在进行网络控制的时候,要能够实现设置的灵活性,能够对于接入整个网络中的用户进行权限审核以及信息的区分,这样使得整个校园网络中信息访问以及存储的安全性得到保证。
(2) 抗干扰能力强 由于网络信息处于一个相对开放的环境,在数据交换中可能受到恶意破坏、攻击。尤其是在数据传递、转发过程中出现干扰情况,那么就会造成整个传递过程信息的不稳定性,进而破坏信息的完整性。因此需要提高信息传递过程中的抗干扰能力,保证整个校园网络的安全运行。 (3) 与其他外接设备连接性好 由于网络信息传递是需要很多设备共同作用的,因此网络处于一个相对开放的环境。这就要求在进行外接设备与网络的对接的时候,要保证整个衔接过程安全可靠,并且在衔接过程中加强监控,阻止其他设备的接入,提高整个网络运行的安全性。 2 目前网络信息建设存在的问题 网络安全问题是网络信息建设的重要组成部分,但是现在的情况却是网络信息安全建设存在较大的问题。而且随着网络技术的发展,越来越多的不安全因素影响着网络信息安全。 (1) 防火墙不能够抵御内部攻击 防火墙技术是现代运用最广泛的网络安全技术,在抵御各种网络攻击中扮演了重要的角色。但是由于防火墙只能够防止计算机网络的外部因素对于计算机网络产生的攻击,却不能够抵御内部因素对于计算机网络的肆意攻击,给网络信息安全建设带来巨大的影响。近些年,计算机普及率的逐年提高,接入网络的内部用户设备也越来越多,这就导致了对于网络内部的攻击远多于内部攻击,因此仅仅依
对网络信息安全的认识论文
网络工程“专业导论” 考试(课程论文)(题目对网络信息安全的认识)
摘要:该论文是我通过电子,网络的安全与效率,威胁网络的手段,网络信息安全的常用手段来阐述我对网络信息安全的认知。 关键词:安全电子Security and efficiency 1.安全电子解决方案 随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球。运用信息化手段,个人、企事业或政府机构可以通过信息资源的深入开发和广泛利用,实现生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化,有效降低成本,提高生产效率,扩大市场,不断提高生产、经营、管理、决策的效率和水平,进而提高整个单位的经济效益和竞争力。在这之中,电子起到越来越重要的作用。 然而,电子作为当前和未来网络使用者的重要沟通方式,不可避免地涉及到众多的敏感数据,如财务报表、法律文件、电子订单或设计方案等等,通过传统电子方式的工作方式,由于互联网的开放性、广泛性和匿名性,会给电子带来很多安全隐患: ?用户名和口令的弱点:传统的系统是以用户名和口令的方式进行身份认证的,由于用户名和口令方式本身的不安全因素:口令弱、明 文传输容易被窃听等造成整个系统的安全性下降。 ?信息的XX性:内容包括很多商业或政府XX,必需保证内容的XX 性。然而,传统的系统是以明文的方式在网络上进行流通,很容易 被不怀好意的人非法窃听,造成损失;而且是以明文的方式存放在 服务器中的,管理员可以查看所有的,根本没有任何对XX性的保护。 ?信息的完整性:由于传统的发送模式,使得中的敏感信息和重要数
据在传输过程中有可能被恶意篡改,使得接受者不能收到完整的信 息而造成不必要的损失。 ?信息的不可抵赖性:由于传统的工作模式(用户名+口令、明文传输等),对没有任何的保护措施,使得发送和接受的双方都不能肯定 的真实性和XX完整性,同时双方都可以否认对的发送和接受,很难 在出现事故的时候追查某一方的责任。 针对普通存在的安全隐患,天威诚信电子商务服务XX(iTruschina)推出了基于PKI(Public Key Infrastructure,公钥基础设施)技术的、易于实施的、完善的安全电子解决方案。采用天威诚信的产品和服务,构架客户的CA认证系统(CA:Certification Authority,认证中心)或为客户提供证书服务,为电子用户发放数字证书,用户使用数字证书发送加密和签名,来保证用户系统的安全: ?使用接收者的数字证书(公钥)对电子的内容和附件进行加密,加密只能由接收者持有的私钥才能解密,只有接收者才能阅读,确保 电子在传输的过程中不被他人阅读、截取和篡改; ?使用发送者的数字证书(私钥)对电子进行数字签名,接收者通过验证的数字签名以及签名者的证书,来验证是否被篡改,并判断发 送者的真实身份,确保电子的真实性和完整性,并防止发送者抵赖。 天威诚信安全电子解决方案考虑用户的使用习惯,提供两种不同的解决方案: ?在采用传统的客户端软件(如Outlook、Outlook Express、Netscape messenger和Notes等)收发电子时,客户端已经集成了安全的应用,
浅析基层网络与信息安全风险及对策.doc
浅析基层网络与信息安全风险及对策 杨建 随着金税工程三期建设的逐步实施,税收综合征管软件、增值税管理信息系统、税收执法管理信息系统、财务管理系统等主要业务系统已实现省级集中运行,将来会有更多的信息系统在省级以上集中运行。应用系统的省级集中运行对基层国税机关的网络与信息安全工作提出了更高更严的要求,任何一个环节出现问题都会影响全省网络与信息系统的安全运行。保障网络与信息安全是信息系统安全运行的生命线。如何做好新形势下基层国税机关网络与信息安全工作,确保网络与信息系统的安全运行,是各级安全管理人员所面临的一个重要课题。 一、基层网络与信息安全风险 (一)互联网接入风险 目前,有的基层单位因工作需要开通了互联网,但因安全防范意识差等原因没有严格执行内外网物理隔离规定,有的采取一台计算机安装双网卡或者来回切换网线的方式,既上内网,又上外网;有的使用笔记本接入互联网,但又存在笔记本有时接入内部网使用的情况;有的在内网计算机上私自安装ADSL设备,通过宽带拨号接入互联网。这些不安全不规范的互联网接入方式极易将互联网上的病毒、木马等引入到系统内部网,进而在内网上传播和扩散,对系统内部网的安全运行构成严重威胁。 (二)局域网安全风险 局域网安全风险主要表现为:一是缺乏有效的局域网接入管理和技术监控手段,外来人员能够随意将设备接入局域网运行,对笔记本、移动硬盘、U盘等流动性较强的设备没有有
效的监控等。二是计算机IP地址和计算机名称管理不规范,缺乏对IP地址的统一规划,IP 地址档案不全,计算机设备名称无任何意义,发生安全事件后无法定位到具体设备及相关责任人。三是基层计算机操作人员因经常接收企业报送资料而存在感染计算机病毒的危险。 (三)广域网安全风险 广域网安全风险主要表现为:一是广域网核心接入设备没有硬件冗余备份,一旦硬件设备发生故障,将造成全网瘫痪。二是广域网主备线路均由一家线路运营商提供,如果运营商发生光缆线路中断等故障,将造成整个广域网主备线路的全部中断。 (四)信息系统安全风险 信息系统安全风险主要表现为:一是有的信息系统服务器老化严重,个别公文、协查等服务器设备因购置时间较早,已经达到设备使用奉命,经常出现故障,对信息系统的安全运行造成一定的威胁。二是有的服务器操作系统未取消系统默认共享服务,未删除DNS、WINS、IIS服务,未按规定设置复杂的登录口令,未启用密码策略、注册表安全设置等,给病毒入侵和不法分子攻击造成了一定的可乘之机。三是有的信息系统长期没有数据备份,或者只有本机备份而无异机备份,一旦发生硬件设备故障,必将造成系统数据的全部丢失,导致无法弥补的损失。 二、对策 (一)加强宣传,提高认识。 随着总局首期、二期网络与信息安全防护体系建设任务的完成,市级以上国税机关建立了比较完备的网络与信息安全防护体系,基层单位所发生的每一个病毒感染事件、安全攻击事件等,在市局、省局以及总局都有记录。因此,要充分利用网站、公文、会议、面对面交流等多种形式,宣传网络与信息安全工作,提高全员安全防范意识,增强做好网络与信息安
网络信息安全系统的设计和实现
定义:主域控制器PDC(Primary Domain Controller)是负责整个域的用户、权限、安全性等管理的机器,安全数据库等存放在此机器上。备份域控制器BDC (Backup Domain Controller)是主域的备份。 信息系统安全规划框架与方法 信息系统安全规划的X围 信息系统安全规划的X围应该是多方面的,涉及技术安全、规X管理、组织结构。技术安全是以往人们谈论比较多的话题,也是以往在安全规划中描述较重的地方,用的最多的是一些如:防火墙、入侵检测、漏洞扫描、防病毒、VPN、访问控制、备份恢复等安全产品。但是信息系统安全是一个动态发展的过程,过去依靠技术就可以解决的大部分安全问题,但是现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。规X管理包括风险管理、安全策略、规章制度和安全教育。信息系统安全规划需要有规划的依据,这个依据就是企业的信息化战略规划,同时更需要有组织与人员结构的合理布局来保证。 三、信息系统安全规划框架与方法 下面用图-1表示信息系统安全体系的框架。 图-1 信息系统安全体系 从上图可以看出,信息系统安全体系主要是由技术体系、组织机构体系和管理体系三部分共同构成的。技术体系是全面提供信息系统安全保护的技术保障系统,该体系由物理安全技术和系统安全技术两大类构成。组织体系是信息系统的组织保障系统,由机构、岗位和人事三个模块构成。机构分为:领导决策层、日常管理层和具体执行层;岗位是信息系统安全管理部门根据系统安全需要设定的负责某一个或某几个安全事务的职位;人事是根据管理机构设定的岗位,对岗位上在职、待职和离职的员工进行素质教育、业绩考核和安全监管的机构。管理体系由法律管理、制度管理和培训管理三部分组成。 信息系统安全体系清楚了之后,就可以针对以上描述的内容进行全面的规划。信息系统安全规划的层次方法与步骤可以有不同,但是规划内容与层次应该是相同,规划的具体环节、相互之间的关系和具体方法用图-2表示:
网络与信息安全保障措施(详细)
信息安全管理制度 1.信息管理部职责 1.1 公司设立信息管理部门,设部门经理一名。 1.2 信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 1.3 负责系统软件的调研、采购、安装、升级、保管工作。 1.4 负责软件有效版本的管理。 1.5 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。 1.6 信息管理人员负责计算机网络、办公自动化、销售经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、采购、销售等)。 1.7 信息管理人员执行企业保密制度,严守企业商业机密。 1.8员工执行计算机安全管理制度,遵守企业保密制度。 1.9系统管理员的密码必须由信息管理部门相关人员掌握。 1.10 负责公司网络系统基础线路的实施及维护。 2.信息管理细则 2.1网络系统维护 2.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》记录各类设备的运行状况及相关事件。 2.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 2.1.3 定时对相关服务器数据备份进行检查。(包括对系统的自动备份及季度或
网络信息安全课后习题答案
一: 1.信息安全根源:①网络协议的开放性,共享性和协议自身的缺陷性②操作系统和应用程序的复杂性③程序设计带来的问题④设备物理安全问题⑤人员的安全意识与技术问题⑥相关的法律问题。 2.网络信息系统的资源:①人:决策、使用、管理者②应用:业务逻辑组件及界面组件组成③支撑:为开发应用组件而提供技术上支撑的资源。 3.信息安全的任务:网络安全的任务是保障各种网络资源的稳定、可靠的运行和受控、合法的使用;信息安全的任务是保障信息在存储、传输、处理等过程中的安全,具体有机密性、完整性、不可抵赖性、可用性。 4.网络安全防范体系层次:物理层、系统层、网络层、应用层、管理层安全 5.常见的信息安全技术:密码技术、身份认证、数字签名、防火墙、入侵检测、漏洞扫描。 二: 1.简述对称加密和公钥加密的基本原理: 所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密,或虽不相同,但可由其中任意一个很容易推出另一个;公钥加密使用使用一对唯一性密钥,一为公钥一为私钥,不能从加密密钥推出解密密钥。 常用的对称加密有:DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES 常用的公钥加密有:RSA、Diffie-Hellman密钥交换、ElGamal 2.凯撒密码:每一个明文字符都由其右第三个字符代替 RSA:①选两个大素数pq②计算n=pq和ψ(n)=(p-1)(q-1)③随机取加密密钥e,使e和ψ(n)互素④计算解密密钥d,以满足ed=1modψ(n)⑤加密函数E(x)=m e mod n,解密函数D(x)=c d mod n,m是明文,c使密文⑥{e,n}为公开密钥,d 为私人密钥,n一般大于等于1024位。 D-H密钥交换:①A和B定义大素数p及本源根a②A产生一个随机数x,计算X=a x mod p,并发送给B③B产生y,计算Y=a y mod p,并发送给A④A计算k=Y x mod p⑤B计算k’=X y mod p⑥k,k’即为私密密钥 三: 1.PKI是具普适性安全基础设施原因(p21):①普适性基础②应用支撑③商业驱动。 2.PKI组件(p24):认证机构、证书库、证书撤消、密匙备份和恢复、自动密匙更新、密匙历史档案、交叉认证、支持不可否认、时间戳、客户端软件。 3.PKI核心服务(p26):①认证:向一个实体确认另一个实体确实就是用户自己 ②完整性:向一个实体确保数据没有被有意或无意地修改③机密性:向一个实体确保除了接受者,无人能读懂数据的关键部分。 4.PKI的支撑服务(p27):安全通信、安全时间戳、公证、不可否认、特权管理。 5.密匙和证书管理阶段(p34):①初始化阶段:终端实体注册、密匙对产生、证书创建和密匙/证书分发、证书分发、密匙备份②颁发阶段:证书检索、证书验证、密匙恢复、密匙更新③取消阶段:证书过期、证书撤消、密匙历史、密匙档案。 6.PKI信任模型(p41):严格层次结构、分布式信任结构、WEB模型、以用户为
企业网络信息安全问题与对策浅谈-信息安全论文-计算机论文
企业网络信息安全问题与对策浅谈-信息安全论文-计算机论文 ——文章均为WORD文档,下载后可直接编辑使用亦可打印—— 摘要:大数据时代一方面带来信息井喷,另一方面网络信息安全问题也日益凸显。信息应用的普遍需求与信息安全的脆弱性,已成为制约企业性发展的重要因素。基于这一认识,我们在获取信息、应用信息的同时,必须认真分析网络信息安全的现状,梳理信息安全问题的节点,制定相应的对策,提高网络信息安全性。 关键词:网络安全;问题分析;对策探讨 1前言
随着互联网、大数据、云计算时代的到来,特别是随着网络个人信息的增多,以及公众对网络资源的依赖,网络安全对用户信息(包括个人财产安全)产生严重的威胁和影响,信息安全问题已成为制约企业性、可持续发展的重要因素。为此,正视网络信息安全,从信息安全现存问题入手,分析问题的成因,制定具体的应对策略,从而营造一个安全稳定的网络环境,是当前企业信息建设的一项重要任务。信息安全涉及网络通信、密码技术、中端设备、数据传输与运用等诸多学科,是一项综合性应用课题。广义上说,有关网络信息保密性、完整性、真实性、可控性的技术和理论,都是网络信息安全所关注和研究的领域。在实际应用中,网络信息安全更多地指向构成网络闭环的硬件、终端传输及其系统中的数据,如何使这些数据资源不受偶然(或者恶意)的原因破坏、失真、更改或泄露,确保系统连续可靠、正常有序地运行。 2主要问题分析 就国内企业(包括国内大型国企)而言,由于受到我国整体信息技术水平的限制,其网络信息建设无论是硬件还是软件,都存在严重
依赖国外技术的问题。以通信芯片和操作系统为例,我国在自主创新上还存在较大差距。如智能手机的操作系统,华为虽启用自主研发的“鸿蒙系统”,但国外操作系统的垄断局面还较为普遍。2018年,据相关机构的统计数据,我国国内智能手机使用美国谷歌公司安卓系统的产品占了89.3%。信息安全体系建设,不只是用信息安全产品搭建起一个信息“堡垒”,更重要的是要建立一套完善的、自成体系的信息安全制度。正如“瑞星杀毒软件”安全专家指出的,“只有有形的产品和无形的制度相互配合,才能避免核心机密被类似‘棱镜’项目所窥视。”从目前网络信息安全所暴露的问题看,有三个方面的因素常常引发网络信息安全危机。 2.1自然因素(或偶发因素)引起网络信息安全问题 主机系统和终端设施遭受自然力的破坏,如:自然灾害(地震、水灾、风暴、建筑物损毁等)对计算机网络构成威胁;电源故障、设备失常、能耗等一些偶发因素,对计算机网络构成威胁。
网络信息安全(毕业论文).doc
网络信息安全(毕业论文) 目录 前言 摘要 第1章计算机网络的概述 1.1 计算机网络系统的定义,功能,组成与主要用途 第2章网络信息安全概述 2.1 网络信息安全的定义 2.2 网络信息安全问题的产生与网络信息安全的威胁 第3章实例 3.1 网络信息应用中字符引发的信息安全问题 参考 结束语 前言 随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征,人们称它为信息高速公路。网络是计算机技术和通信技术的产物,是应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。 正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的,它是网络能否经历考验的关键,如果安全性不好会给人们带来很多麻烦。网络信息交流现已是生活中必不可少的一个环节,然而信息安全却得不到相应的重视。本文就网络信息的发展,组成,与安全问题的危害做一个简单的探讨 摘要
本文就网络信息安全这个课题进行展开说明,特别针对字符引发的信息安全问题。第1章计算机网络的概述简要说明计算机网络的发展,网络的功能,网络的定义,网络系统的组成以及网络的主要用途。第2章对网络安全做一个概述。第3章简单探讨一下字符过滤不严而引发的网络信息威胁 第1章 1.1计算机网络系统的定义,功能,组成与主要用途 计算机网络源于计算机与通信技术的结合,其发展历史按年代划分经历了以下几个时期。 50-60年代,出现了以批处理为运行特征的主机系统和远程终端之间的数据通信。 60-70年代,出现分时系统。主机运行分时操作系统,主机和主机之间、主机和远程终端之间通过前置机通信。美国国防高级计划局开发的ARPA网投入使用,计算机网处于兴起时期。 70-80年代是计算机网络发展最快的阶段,网络开始商品化和实用化,通信技术和计算机技术互相促进,结合更加紧密。网络技术飞速发展,特别是微型计算机局域网的发展和应用十分广泛。 进入90年代后,局域网成为计算机网络结构的基本单元。网络间互连的要求越来越强,真正达到资源共享、数据通信和分布处理的目标。 迅速崛起的Internet是人们向往的"信息高速公路"的一个雏形,从它目前发展的广度和应用的深度来看,其潜力还远远没有发挥出来,随着21世纪的到来,Internet必将在人类的社会、政治和经济生活中扮演着越来越重要的角色。 计算机网络的发展过程是从简单到复杂,从单机到多机,从终端与计算机之间的通信发展到计算机与计算机之间的直接通信的演变过程。其发展经历了具有通信功能的批处理系统、具有通信功能的多机系统和计算机网络系统三个阶段。 1.具有通信功能的批处理系统 在具有通信功能的批处理系统中,计算机既要进行数据处理,又要承担终端间的通信,主机负荷加重,实际工作效率下降;分散的终端单独占用一条通信线路,通信线路利用率低,费用高。 2.具有通信功能的多机系统
浅析网络信息安全问题与对策
浅析网络信息安全问题与对策 随着计算机技术的迅速发展,在计算机上完成的工作已由基于单机的文件处理、自动化办公,发展到今天的企业内部网、企业外部网和国际互联网的世界范围内的信息共享和业务处理,也就是我们常说的局域网、城域网和广域网。计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。 组织和单位的计算机网络是黑客攻击的主要目标。如果黑客组织能攻破组织及单位的计算机网络防御系统,他就有访问成千上万计算机的可能性。据统计,近年来因网络安全事故造成的损失每年高达上千亿美元。计算机系统的脆弱性已为各国政府与机构所认识。 二、计算机通信网络安全概述 所谓计算机通信网络安全,是指根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。 根据国家计算机网络应急技术处理协调中心的权威统计,通过分布式密网捕获的新的漏洞攻击恶意代码数量平均每天112次,每天捕获最多的次数高达4369 次。因此,随着网络一体化和互联互通,我们必须加强计算机通信网络安全防范意思,提高防范手段。 三、影响计算机通信网络安全的因素分析 计算机通信网络的安全涉及到多种学科,包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种,这些技术各司其职,保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露,保证系统连续可靠正常运行。 (一)影响计算机通信网络安全的客观因素 1. 网络资源的共享性
网络信息安全课后习题答案
一、填空题 1. 信息安全有三大要素,分别是保密性、完整性、可用性。 2. 信息的完整性包括两方面,分别是确保信息在存储、使用、传输过程中不会被非授权 用户篡改和防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。 3. 网络安全防护体系的技术支撑手段主要包括评估、防护、检测、恢复、响应。 4. 网络安全防护体系的核心是安全技术。 5. 美国橘皮书(TCSEC)分为7 个等级,它们是D、C1、C2、B1、B2、B3 和A1 级。 6. 我国现行的信息网络法律体系框架分为 4 个层面,它们是一般性法律规定、规范和惩罚网络犯罪的法律、直接针对计算机信息网络安全的特别规定和具体规范信息网络安全技术、信息网络安全管理等方面的规定。 二、简答题 1. 什么是信息安全?它和计算机安全有什么区别? 信息安全是确保存储或传送中的数据不被他人有意或无意地窃取和破坏。 区别:信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电 子的、印刷的还是其他的形式。 2. 什么是网络安全?网络中存在哪些安全威胁? 网络安全是指网络系统的硬件、软件及其系统中的数据收到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 威胁:非授权访问、泄露或丢失信息、破坏数据的完整性、拒绝服务攻击、利用网络传 播病毒。 3. 网络安全的防护体系包括哪些部分?分别有什么功能? 包含4 个部分:安全政策、安全管理、安全技术、法律法规。安全政策是中心,安全管 理是落实的关键,安全技术是实现网络安全防范的技术手段和支撑,国家法律法规是后盾。 第二章 一、填空题 1. 共享文件夹的权限有读取、更改和完全控制。 2. 推荐Windows Server 2008 操作系统安装在NTFC 文件系统下。 3. Administrator 账户和Guest账户是Windows Server 2008 的内置用户账户。
计算机网络信息安全及对策
计算机网络信息安全及对策 摘要:众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种联网的计算机,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。对网络信息安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。 本文主要介绍了有关网络信息安全的基础知识:网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展,网络信息安全问题终究会得到解决。 关键词:网络信息安全 防火墙 数据加密 内部网 随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 本文从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题,并对常见网络攻击从技术层面提出了解决方案,希望通过网络安全建设逐步消除网络信息安全的隐患。 一、网络信息安全的脆弱性 因特网已遍及世界180多个国家,为亿万用户提供了多样化的网络与信息服务。在因特网上,除了原来的电子邮件、新闻论坛等文本信息的交流与传播之外,网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统,使得秘
北邮《网络与信息安全》期末复习题(含答案)
《网络与信息安全》综合练习题 一.选择题 1.以下对网络安全管理的描述中,正确的是(D)。 D)安全管理的目标是保证重要的信息不被未授权的用户访问。 2.以下有关网络管理功能的描述中,错误的是(D)。 D)安全管理是使网络性能维持在较好水平。 3.有些计算机系统的安全性不高,不对用户进行验证,这类系统的安全级别是(A)。A)D1 4.Windows NT操作系统能够达到的最高安全级别是(B)。B)C2 5.下面操作系统能够达到C2安全级别的是(D)。D)Ⅲ和ⅣⅢ.Windows NT Ⅳ.NetWare3.x 6.计算机系统处理敏感信息需要的最低安全级别是(C)。C)C2 7.计算机系统具有不同的安全级别,其中Windows 98的安全等级是(D)。D)D1 8.计算机系统具有不同的安全等级,其中Windows NT的安全等级是(C)。C)C2 9.网络安全的基本目标是实现信息的机密性、合法性、完整性和_可用性__。10.网络安全的基本目标是保证信息的机密性、可用性、合法性和__完整性_。11.某种网络安全威胁是通过非法手段取得对数据的使用权,并对数据进行恶意添加和修改。这种安全威胁属于(B)。B)破坏数据完整性 12.以下方法不能用于计算机病毒检测的是(B)。B)加密可执行程序 13.若每次打开Word程序编辑文当时,计算机都会把文档传送到另一FTP 服务器,那么可以怀疑Word程序被黑客植入(B)。B)特洛伊木马 14.网络安全的基本目标是实现信息的机密性、可用性、完整性和_完整性____。 15.当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统资源,这是对网络__可用_性的攻击。 16.有一类攻击可以确定通信的位置和通信主机的身份,还可以观察交换信息的频度和长度。这类攻击称为_通信量分析_。 17.下面攻击方法属于被动攻击的是(C)。C)通信量分析攻击 18.下面攻击属于非服务攻击的是(C)。C)Ⅱ和ⅢⅡ.源路由攻击Ⅲ.地址欺骗攻击19.下面()攻击属于服务攻击。D)Ⅰ和ⅣⅠ.邮件炸弹攻击Ⅳ.DOS攻击 20.通信量分析攻击可以确定通信的位置和通信主机的身份,还可以观察交换信息的频度和长度。这类安全攻击属于_被动性_攻击。 21.从信源向信宿流动过程中,信息被插入一些欺骗性的消息,这类攻击属于(B)。B)截取攻击 22.网络安全攻击方法可以分为服务攻击与_非服务_攻击。 23.关于RC5加密算法的描述中,正确的是(D)。D)分组和密钥长度都可变24.下面不属于对称加密的是(D)。D)RSA 25.DES是一种常用的对称加密算法,其一般的分组长度为(C)。C)64位26.关于RC5加密技术的描述中,正确的是(C)。C)它的密钥长度可变27.对称加密机制的安全性取决于_密钥_的保密性。 28.以下关于公钥密码体制的描述中,错误的是(C)。C)一定比常规加密更安全 29.以下关于公钥分发的描述中,错误的是(D)。D)公钥的分发比较简单30.张三从CA得到了李四的数字证书,张三可以从该数字证书中得到李四的(D)。D)公钥 31.在认证过程中,如果明文由A发送到B,那么对明文进行签名的密钥为(B)。B)A的私钥 32.为了确定信息在网络传输过程中是否被他人篡改,一般采用的技术是(C)。 C)消息认证技术 33.MD5是一种常用的摘要算法,它产生的消息摘要长度是(C)。C)128位34.用户张三给文件服务器发命令,要求将文件“张三.doc”删除。文件服务器上的认证机制需要确定的主要问题是(C)。C)该命令是否是张三发出的35.防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登陆的_次数_。 36.以下关于数字签名的描述中,错误的事(B)。B)数字签名可以保证消息内容的机密性 37.数字签名最常用的实现方法建立在公钥密码体制和安全单向_散列_函数的基础之上。 38.关于数字签名的描述中,错误的是(C)。C)可以保证消息内容的机密性39.Kerberos是一种网络认证协议,它采用的加密算法是(C)。C)DES 40.IPSec不能提供(D)服务。D)文件加密
网络信息安全2
信息安全管理实施过程由()质量统计控制之父休哈特提出的PDS演化而来,由美国质量管理专家戴明改进成为PDCA模式,所以又称为“戴明环”。 (单选) A美国 ()是由计算机、办公自动化软件、通信网络、工作站等设备组成使办公过程实现自动化的系统。C办公自动化系统 ()是指为了长期保持对被攻击对象的访问权,在被攻破的机器上留一些后门以便以后进入。D种植后门 安全操作系统的(),实质上也是普通操作系统所要求的,计算机硬件安全的目标是保证其自身的可靠性和为系统提供基本安全机制。D硬件安全机制 调离人员办理手续前,应交回所有的()等。ABCD Windows系统账号管理包括()。ABCD 近期窃密泄密案件的主要特点包括()。ABCD 机密性是数据未经授权不能进行改变的特性,其目的是保证信息系统上的数据处于一种完整和未损的状态。错误 各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。正确 一旦重要岗位的工作人员辞职或调离,应立即取消他出入安全区、接触保密信息的授权。正确 向局域网内的主机发送非广播方式的ARP包,如果局域网内的某个主机响应了这个ARP请求,那么我们就可以判断它很可能就是处于网络监听模式了,这是目前相对而言比较好的监测模式。正确 信息安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。填空 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。(填空 网络监听,是指主机网络进程接受到IP数据包后,察看其目标端口是不是自己的端口号,如果是的话就接受该数据包进行处理。(填空 阐述当前的网络攻击发展趋势。(简答 答:随着网络技术的发展,当前的网络攻击趋势可以归纳为以下几个方面: (1)发现安全漏洞越来越快,覆盖面越来 越广; (2)攻击工具越来越复杂; (3)攻击自动化程度和攻击速度大大提高,杀伤力逐步提高; (4)越来越不对称的威胁; (5)越来越高的防火墙渗透率; (6)对基础设施将形成越来越大的威胁。 ()是由计算机、办公自动化软件、通信网络、工作站等设备组成使办公过程实现自动化的系统。 (单选 ) C办公自动化系统 ()是指数据溢出缓冲区并覆写在邻近的数据上,当它运行时就如同改写了程序。 (单选 ) D缓存溢出()是指每一个用户都应该为自己所做的操作负责,所以在做完事情之后都要留下操作记录,以便出现错误的时候核查责任。 (单选 ) B授权 安全操作系统的(),实质上也是普通操作系统所要求的,计算机硬件安全的目标是保证其自身的可靠性和为系统提供基本安全机制。 (单选 ) D硬件安全机制 网络攻击过程包括()。 (多选 )ABC