网络安全配置整理

第一章

1 资产的概念：

资产是组织内具备有形或无形价值的任何东西，它可以是资源，也可以是竞争优势。组织必须保护他们的资产以求生存和发展

2 威胁：威胁是指可能对资产带来危险的任何活动。因为对资产带来危险的基本活动很少改变，威胁的变化性小于漏洞。常见的威胁包括：1) 想方设法盗取、修改或破坏数据、系统或设备的人；2) 引起数据、系统或设备损坏的灾难

漏洞：漏洞是可被威胁利用的安全性上的弱点。出现漏洞的常见原因包括：1) 新开发的软件和实现的硬件时常会带来新的漏洞；2) 人在忙碌时难免犯错；3)许多组织是以被动的而非主动的方式应对网络安全问题

攻击：攻击是指故意绕过计算机安全控制的尝试。利用漏洞的新攻击不断出现，但是，当每种攻击方法公开后，防范这种攻击的对策通常也会随后公开

3 常见的攻击者：术语“攻击者”指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。

4 电子欺骗：伪装为其他人或其他事物；中间人：在通信双方未察觉的情况下拦截其传输数据；后门：允许攻击者绕过安全措施访问系统的软件；拒绝服务：造成某个资源无法访问；重放：捕获传输数据，然后再次使用；数据包嗅探：窃听网络通信；社交工程：诱使用户违反正确地安全程序。

5 CIA三角-安全管理人员必须决定机密性（confidentiality）、完整性(Integrity)、可用性(Availability)

6 安全基线：为配置特定类型的计算机创建一套经过测试的标准。为安全电子邮件服务器、web服务器、文件服务器和台式计算机等设备测试并应用不同的基线。确保系统保持安全的配置。

安全策略：创建文档，以详细说明所有安全策略。尽可能使用技术来确保安全策略的实施

7 在Windows2000操作系统中主要提供了哪些网络身份验证方式？（A、B、C、D）

A Kerberos V5

B 公钥证书

C 安全套接字层/传输层安全性（SSL/TLS）

D 摘要和NTLM验证

E 口令认证

8．在Windows2000操作系统中主要提供了哪些安全策略来加强企业安全？（A、B、C、D、E）

A 密码策略

B 账户锁定策略

C Kerberos 策略

D 审核策略

E 用户权利

F 组织单位

第二章

9 用户账户的类型：本地账户、域账户

本地账户可以存储在除域控制器外的任何一台Windows 计算机上

域账户存储在域控制器的Active Directory中，所以在任何一台域成员计算机上都可以使用。

10 SID也就是安全标识符（Security Identifiers），SID是一个包含字符和数字的具有惟一性的字符创，它在网络中代表用户。系统使用SID来判断哪些安全主体（如用户账户和安全组）拥有对特定受保护资源的访问权限。

ACL Access Control List

本地安全组根据相同的安全性需求将用户归为一组，这提高了安全性并使管理更方便。

安全组拥有走唯一的SID，这样它就可以用指定对资源的访问权限。

11 交互式登录的过程：

（1）LSA的Winlogon组件收集用户名和密码。

（2）LSA查询SAM，以验证用户名和密码

（3）LSA根据用户账户SID和安全组SID创建一个访问令牌。

（4）访问令牌传递给后续进程，如果组策略（Group Policy）没有更改缺省值，后续进程应该是Windows Explorer。至此，用户登录完成。

12 域：所谓域就是共享相同安全账户数据库的一组计算机，管理员能够集中管理域中所有成员计算机的用户账户和安全组。

13 信任关系：一个域的安全主体可能被包括在其信任域的ACL和安全组中，这被称为信任关系。

和本地域账户类似，与用户账户和安全组在内部也用SID表示。域SID和本地SID以同样的方法构建，区别在于用户账户数据存储在Active Directory服务中而不是在SAM中。

14 TGT 票证授权（Ticket-Granting Ticket）,KDC 密钥发布中心(Key Distribution Center) ,AS 身份验证服务(Authentication) TGS 授权票证服务(Ticket-Granting Service) 15 操作系统角色：在域之间创建信任的机制完全是由操作系统来处理。当在Active Directory 中添加域时，Windows 交换密钥，以使域之间彼此信任，当把客户端计算机添加到域中时，Windows 交换密钥，以向KDC 证实客户端计算机已加入域中。

工作方式（25页两大段，自己理解）

16 OU：OU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory，活动目录)容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。ACL（Access Control List）

第三章

17 账户策略是存储在组策略对象（GPO，Global Policy Object）的一些组策略设置，这些组策略对象（GPO）能控制操作系统中用户账户的相关特性。

18 如果用户不选取真正的随机密码，就应该考虑设置12个字符为密码长度最小值。

19 有3条可执行的账户策略设置用于账户锁定：账户锁定时间、账户锁定阈值、账户锁定计数器清零时间。

20 有5个账户策略设置可以实现Kerberos会话票证：强制用户登录限制、服务票证最长寿命、用户票证续订最长寿命、计算机时钟同步的最大容差。

21 组策略：组策略是用户界面限制与管理设置的结合，它可以防止用户更改计算机配置以及使用违反组织安全策略的方式操作计算机；组策略还包含脚本和安装包。这就允许管理员在任何数量的客户机中建立、管理和部署许多不同的计算机配置，同时为不同类型的工作人员提供一致的工作环境。组策略用来对用户组和计算机的管理和安全设置进行管理；组策略也用来为一些指定的计算机配置一些特殊的需求

22 计算机和用户配置策略有三个主要部分：

（1）配置中的软件设置部分，包含主要由独立软件供应商提供的软件的软件安装设置扩展。

（2）配置中的Windows设置部分，包含应用于Windows的设置，以及启动/关机脚本（计算机配置）或者登陆/注销脚本（用户配置）。配置的Windows设置部分包含设定于安全的大部分设置。

（3）管理员可以使用.adm文件来扩展配置的管理员模块部分，该部分包括修改Internet Explorer、Windows Explorer和其他程序行为。

23 组策略应用中的隐蔽问题包括：

对组策略所做的更改，在本地起作用，但在其他站点上或其他域中不起作用；GPO的复制速度比预期慢的多；组策略仅应用了一部分，其他部分未得到应用。

24 预定义安全模板包括：

（1）默认工作站（Basicwk.inf）、服务器（Basicsv.inf）和域控制器（Basicdc.inf）模板用于已完成安装的标准计算机的安全设置。

（2）兼容工作站（Compatws.inf）模板降低了计算机的默认安全设置，以便于用户组成员可以成功地运行未经Windows 2000验证的应用程序。

（3）安全的工作站、服务器（Securews.inf）和域控制器（Securedc.inf）模板为工作站、服务器和域控制器实现了Microsoft的安全推荐。

（4）高度安全的工作站、服务器（Hisecws.inf）和域控制器（Hisecdc.inf）模板设定的安全设置，是以牺牲向下兼容性的代价保护计算机之间的网络通信。

（5）默认安全设置（Setup security.inf）模板为Windows 2000提供了默认安全设置。

（6）更新的安全默认域控制器（DC security.inf）模板为域控制器建立了更新的默认安全设置。

25 有几种方法可以在一批计算机上部署安全模块：将安全模块导入GPO、在多个域和GPO 上部署安全模块、手工导入设置、使用Secedit进行部署。

26 选择题：

下列关于Power Users的描述哪些是不正确的？（E）

A 除了Windows 2000认证的应用程序外，还可以运行一些旧版应用程序

B 安装不修改操作系统文件，并且不需要安装系统服务的应用程序

C 自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源

D 启动或停止默认情况下不启动的服务

E Power Users具有将自己添加到Administrators组的权限

为了加强公司安全策略，在周末你启用了密码策略，要求用户密码长度必须符合15位长，但是周一Windows 95和Windows 98用户报告说不能登录网络，可是登录Windows 2000的用户没有问题，可能是哪些原因造成的？

A 密码位数过长，不能超过7位

B 密码位数过长，不能超过14位

C 需要重新安装DNS

D 密码策略尚没有复制到该分支结构

第四章

27 Windows 2000可以对下列资源类型应用权限：

1）NTFS文件系统卷中的文件和文件夹

2）共享文件夹和打印机

3）注册表项

4）Active Directory目录服务对象

随机访问控制列表（DACL，Discretionary Access Control List）通常也称为ACL

访问控制项（ACE，Access Control Entry）

系统访问控制列表（SACL，System Access Control List）

28 NTFS (New Technology File System)，是WindowsNT 操作环境和Windows NT 高级服务器网络操作系统环境的文件系统。

29 空ACL

如果ACL是空的，则所有用户都无权访问该文件。拥有所有权的账户总是有更改权限的能力，因此不管权限如何，都可以向ACL添加ACE。

不存在的ACL

如果ACL不存在（这与ACL不同），则所有用户对该文件都拥有完全访问权。

30 要解决这个问题，可以用Cacls命令行工具来授予或删除特定ACE，而不是影响或替换其他ACE项。使用此工具可以修复包含数据的卷中的权限问题。应该在服务器上按季度审核权限，以确保没有意外地授予某些用户太多的访问权。然后可以使用Cacls命令检查不合适的权限并进行替换。

管理NTFS文件系统权限的通用指导方针：P90

31 组策略的局限性：使用组策略配置Internet Explorer 安全性，请记住大部分设置只是限制用户界面，它们并未真正禁用某类功能。如果用户利用其他界面或下载可以修改Internet Explore 设置的程序、脚本或注册表文件，他们就可以覆盖组策略的设置。黑客们在Internet 上出卖这类脚本的事情很常见。

32 管理员可以访问大多数注册表项，但无法看到也无法修改注册表中存储安全帐户管理器（SAM,Security Accounts Manager）安全数据库的部分。绝大多数用户都适用于这样的设置。

第五章

33 访问控制是授权用户或组访问网络对象的过程。

身份验证是验证某事或某人身份的过程。

授权是确定经身份验证的用户或进程是否有权访问资源，并指定用户对资源享有何种访问级别的过程。

34 访问控制条件：

1）允许已授权的用户访问他们请求的资源

2）阻止未经授权的用户访问资源

35 最小特权原则是指，为方便用户工作，应该为用户分配所必需的权限级别——但是不要超过这个级别。通过拒绝与完成工作无关的访问类型，攻击者就不能使用额外的特权绕开网络安全措施

36 控制资源访问的两种方式：

1）基于密码的访问控制

2）基于用户的访问控制

37 Windows使用两种主要的身份验证协议：NT LAN Manager（HTLM）和Kerberos。Windows 2000和Windows XP Professional支持下述三种咨询-响应身份验证方法：LAN Manager （LM）、NTLM v1、NTLM v2.

38 访问控制模型：

自由访问控制（DAC, Discretionary Access Control）

基于角色的访问控制（RBAC，Role-based Internet Explore）

强制访问控制（MAC，Mandatory Internet Explore）

39 Windows身份验证方式

1）自动的身份验证

单点登录（SSO，Single Sign On）系统，例如Kerberos，自动执行身份验证过程，但并不是完全不需要登录到所访问的每台服务器。

2）质询——响应身份验证

40 保护账户安全（MBSA，Microsoft Baseline Security Analyzer）含义:Microsoft 基准安全分析器 (MBSA) 可以检查操作系统和 SQL Server 更新,MBSA 还可以扫描计算机上的不安全配置。

第六章

41 密钥加密：也成为对称密钥加密，这种加密使用同一种密钥加密和解密数据。

42密钥加密算法存在的问题：尽管可以将加密后的原文发送给任何人而不用担心被揭解密，但是却不能将密钥发送给需要解密的人，因为如果在传输时密钥被拦截，就可以被用来解密原文。由于无法将密钥传送给远方的接收人，所以纯粹的密钥系统不适合在Internet 这样的公共载体上传送信息。

43 数字签名是通过加密身份信息进行身份验证的一种方法，任何人都可以解密此信息以便进行验证，但是只有信息的原作者能加密该信息。

44 数字签名的工作原理：在公钥加密密码系统中，加密密钥是公钥，解密密钥是私钥。

而在数字签名系统中，加密密钥是私钥，解密密钥是公钥。

45 证书是一种数据结构，可以包含无数个公钥、私钥、密钥和数字签名。证书主要用于执行受信的第三方身份验证。

46 如果整个企业普遍使用证书，且发行证书的CA都有相同的根CA，那么所有这些CA和基于证书的服务就称为公钥基础结构（PKI，Public Key Infrastructure）。

47 强力攻击的威胁：强力攻击（或称分解攻击）中，黑客会使用所有可能的值，尝试确定签署文件所使用的私钥，直到与数字签名匹配为止。

48 证书吊销列表（CRL, Certificate Revocation List）：CA发布一个不再有效的证书的列表。这个列表称为“证书吊销列表”

使用Internet信息服务（IIS, Internet Information Services）：发布文本文件。

49 证书可以为下列情况提供安全解决方案：

安全电子邮件、软件代码签名、安全Web通信、智能卡登录、IPSec客户端身份验证、加密文件系统（EFS, Encrypting File System）

缩写：邮件扩充协议（Secure Multipurpose Internet Mail Extension,S/MIME）

安全套接层（SSL，Secure Sockets Layer)

传输层安全（TLS,Transport Layer Security）

50 Windows 2000支持两类CA:独立CA（Standalone CA）、企业CA（Enterprise CA）。

缩写：加密服务提供程序（CSP,Cryptographic Service Providers）

51 企业CA保存在Active Directory的CA对象中。

52 加密服务提供程序（CSP）是执行身份验证、编码和加密服务的代码，基于Windows的应用程序会访问这些服务。CSP负责创建密钥、销毁密钥，以及使用密钥执行多种加密操作。

53 吊销证书的原因：未指定、密钥泄露、CA泄露、附属关系改变、被取代、停止操作、证书保留

54 选择题

企业业务急剧扩张，因此为销售部门购进一批笔记本电脑，这些电脑都奉送智能卡和智能卡接口设备。希望销售部门实现通过智能卡进行域验证，但是在申请证书页面没有查询到智能卡证书，请确定可能是由以下哪种原因造成的。（B）

A 这是企业CA

B 这是独立CA

C 用户权限不够

D CA有效期限已过

第七章

55 密钥：是用来改变加密结果的。不知道密钥，解密数据就会困难很多。采用密钥算法的好处是，多个用户可以使用相同的算法加密或解密不同的数据源。即使知道了算法和一个密钥，仍无法解密那些使用相同算法，但用不同密钥加密的数据。采用密钥算法，就可以使用公开算法，而不会影响数据的安全。

大部分商业算法都是公开的，政府情报机构有时候会使用保密算法。

57 选择一个密钥，并使用指定算法和该密钥加密选择的词

58 加密法的一般用途：现代加密法可以提供保密性、数据完整性、身份验证、不可抵赖性并能防止重放攻击——所有这一切都有助于加强数据安全性。

59 评估加密强度的考虑因素：

没有绝对安全的加密算法。只要知道算法并有足够的时间，攻击者就能重建大部分加密数据。强算法基于可靠的数学方法，其创建加密数据的模式不可预见，并且有一个足够长的密钥，所以强算法可以组织大部分攻击。

如果使用了强算法，攻破加密的唯方法就是获取密钥。攻击者要获取密钥，可能会通过窃取、诱使某人泄露密钥或尝试各种可能的密钥组合。最后使用的方法一般称为强力攻击。增加迷药的长度会使攻击者使用强力攻击花费的时间呈指数级增长。

60 对称加密原理：

对称加密是使用相同的密钥加、解密消息的加密办法。如果有人要加、解密数据，他必须将密钥保密。如果要在各方之间传输数据，各方必须同意使用共享密钥，并找到安全交换密钥的方法。

加密数据的安全依赖于密钥的保密性。如果有人知道了密钥，使用这个密钥，他或她就能解密所有使用该密钥加密的数据。

61 散列函数是一种加密类型，它选取任意长度的数据进行加密，随后生成一个固定长度的数据串，叫做散列。散列有时也称为摘要。

散列函数是单向函数，就是说，不能有散列数据重建原始数据。因为这一特性，散列不能用来确保保密性。不过，可以通过在两个不同时间创建散列并比较结果来确定数据是否被改变。

62 常见的散列算法：

Internet请求注释RFC，Requests for Comments。MD4 Message Digest4

63 公钥加密的原理

（1)所有人都可以使用公钥加密数据，公钥对公众是公开的。

(2）使用私钥的人生成密钥对。

（3）可以使用生成密钥的程序创建密钥对。

（4）强力攻击是根据公钥推断私钥的唯一已知方式。

64 RSA来源：根据该算法的发明者（Ron Rivest、Adi Shamir和Leinard Adleman）的名字而命名，它是使用公钥加密数据的事实标准，RSA的专利保护已经过期，所以现在可免费使用RSA算法。

65 公钥加密的优缺点：

优点：提供一种无需交换密钥的安全通信方式；公钥加密既可以验证个人身份也可以验证数据的完整性。

缺点：它很慢。

66 选择题

常见的加密算法中，除了图中所示的两种以外，还有哪一种？（图中为SHA、3DES）（A）

A AES

B SSL

C EAP

D WEP

从图中可以看到用户EFS证书的Thumbprint信息，如果使用efsinfo命令，需加上哪一命令参数才能查看到对应的文件加密？(B)

A /U

B /C

C /I

D /S

如果网站中配置了如图所示的SSL选项，则通常需要在防火墙上开启哪两个端口才能访问网络？

A 80/110

B 80/443

C 25/110

D 80/995

第八章

67 数字证书：数字证书（简称为证书）是一种数字文档，它通常用作身份验证，也用来保护在Internet、外部网和内部网等开放性网络中进行的信息交换。证书将公钥安全地绑定在拥有相应私钥的实体上。例如，可以将证书随经过签名的电子邮件消息一起发送。收件人使用该证书验证消息的发件人，也可以使用包含在证书中的公钥加密或解密数据

68 证书请求和接受的过程称之为注册（enrollment）

69 请求和颁发证书的过程：

（1）申请者生成一对密钥

（2）申请者向CA发送证书请求

（3）管理员审阅请求

（4）一旦批准，CA就会颁发证书

70 智能卡使用证书的方法：

智能卡是信用卡大小的没有图形化用户界面的微型计算机。智能卡为保护电子邮件消息或域登录等任务提供了防篡改和易携带的安全解决方案。

可以安全地使用智能卡存储数据，包括证书和相应私钥。智能卡和计算机软件一起生成密钥对，并提供对存储在智能卡中的密钥对和证书的访问。

71 智能卡在以下几个方面增强了安全性：交互式登录、客户端身份验证、远程登录、私钥存储。

72 认证中心（CA，Certification Authority）是安装了证书服务的计算机。

CA证书的作用：验证请求者的身份、向请求证书的用户和计算机颁发证书、管理证书吊销。

73 证书的生命周期：证书颁发之后，要经历不同的经历，并在一定的时间段内保持有效，这一段时间被称为证书生命周期。

74 吊销证书的方法：①私钥已泄露；②用户离开了组织；③CA取消了用户使用证书或私钥的权限；④证书用户的从属关系已改变；⑤CA已被攻击；⑥证书已由新的证书或私钥取代；

⑦证书已被冻结；⑧CA已停止运营；⑨AIA已泄露。

76 用户证书的自动部署：只要需要在域中使用EFS证书加密文件，系统就会申请、创建并部署这些证书。这种类型的证书不需要用户或管理员的参与。

77 智能卡：是信用卡大小的安全装置，包含微处理器和一定数量的永久内存。

78 存储公钥和私钥：

在创建智能卡的公钥/私钥对时，密钥对由卡中的微处理器生成而不是由主机生成。私钥存储在智能卡存储器中主机访问不到的安全区域，公钥存储在存储器中主机可读取的公用区域。

私钥一旦产生并存储在智能卡中，就不能删除了。主机将加密数据发送给智能卡，智能卡中微处理器使用公钥解密数据，然后将解密的数据传回给计算机。

79 选择题

通常情况下，以下哪些情况比较符合使用公用CA的条件（C）

A公司内部的证书服务器提供的安全加密等级不高

B公司需要对合作伙伴作验证

C公司提供的服务需要给大量的外部客户使用

D VeriSign提供的服务已在绝大部分客户端软件上预安装了证书

作为系统管理员，你需要为两台加入域的SQL Sever 2000和Exchange 2000 Sever安装和配置安全通讯，以下哪种情况比较合适？（D）

A申请两份服务器加密证书，为SQL Sever 2000和Exchange 2000 Sever配置SSL

B无需申请服务器加密证书，为SQL Sever 2000和Exchange 2000 Sever配置IPSec。

C无需申请服务器加密证书。SQL Sever 2000和Exchange 2000 Sever配置SSL

D为SQL Sever 申请一份服务器加密证书，为SQL Sever 2000配置SSL，为Exchange 2000 Sever配置IPSec。

第九章

80 网络设备中常见的威胁：①大多数设备的管理工具可以被整个网络访问；②设备运行的硬件和软件中可能会有程序缺陷，这些缺陷很有可能被攻击者利用；③如果攻击者能够物理访问设备的硬件，那么设可以被损坏或偷窃；④设备刚出厂时用的是默认设置，攻击者了解这些配置。

81 Tempest是瞬变电磁脉冲设计标准技术（Transient ElectroMagnetic Pulse Engineering Standard Technology）的缩写。星形拓扑易受到拒绝服务（DoS，Denial-of-Service）攻击。光纤分布数据接口（FDDI，Fiber Distributed Data Interface）

82 ARP缓存污染：根据操作系统规定的缓存规则，计算机A动态的缓存计算机B的信息，动态缓存使攻击者有可能改写ARP缓存项或执行ARP（Address Resolution Protocol）缓存污染。

83 ping of Death攻击：攻击者发送一个超过协议规范许可的更大的ping数据吧。这个很大的ping数据包在通过路由器的时候被分段，但是当它抵达目标并被重新组装时，常常会导致系统死机。

Smurfing攻击：攻击者欺骗ICMP的ping数据包，从而造成大量的ping相应数据包被发送到目标计算机。

84 SMB签名：这是一种数字签名的方法，使用加密散列保护每一个服务器消息快（SMB,Server Message Block）数据包的完整性。SMB签名保护网络通信不受中间人攻击和TCP/IP会话劫持攻击，SMB通信是不加密的。

86 IPSec发生故障的表现有两种：①通信没有发生；②通信没有加密。

87 可以针对IPSec采用哪些身份验证方法？（ABC）

A Windows默认（Kerberos v5）

B来自CA的证书

C预共享的密钥

D基本验证

你决定在公司部署安全策略时主要使用IKE密钥，请问在Windows2000中分发IKE密钥时可以使用哪种方法？（ABC）

A Kerberos

B密钥手工键入

C使用证书

D证书映射

第十章

88 电气和电子工程师协会（IEEE，Institute of Electrical and Electronics Engineers）:电气和电子工程师协会(IEEE)是一个国际性的电子技术与信息科学工程师的协会，

点对点模式(ad hoc(特别)模式)运行速度为1Mbps:Ad Hoc结构是一种省去了无线中介设备AP而搭建起来的对等网络结构，只要安装了无线网卡，计算机彼此之间既可实现无线互联；

其原理是网络中的一台计算机主机建立点到点连接，相当于虚拟AP，而其他计算机就可以直接通过这个点对点连接进行网络互联与共享。

89 WEP具有一些安全漏洞，在构建无线网络是必须考虑：

1）强力攻击 2）未经授权的WAP部署 3）WEP密钥部署

90 使用802.1x身份验证协议就能保护网络上所有数据链路端口

91 身份验证服务（IAS，Internet Authentication Service）用来提供远程身份验证拨入用户服务（RADIUS,Remote Authentication Dial-In User Service），远程用户身份验证基于MD5（消息摘要v5，Message Digest version5）密钥加密协议或者用户和计算机证书。数据链路设备会开放用户数据报协议（UDP，User Datagram Protocol）端口来验证所有连接的客户端，但它会阻塞其他其他端口直到身份验证服务器报告客户端已通过验证。

92 802.1x连接失败的原因：

1）连通性问题 2）配置问题 3）证书问题 4）权限问题

93 现在的802.11协议中常见速率有错误的是哪个（ D ）

A、802.11b为11Mbps

B、802.11b+为22Mbps

C、802.11a为54Mbps

D、802.11g为118Mbps

第十一章

94 路由与远程访问服务（RRAS, Routing and Remote Access Service）

95 RRAS的标准身份验证方法：

1）PAP和CHAP 2)EAP 3)未经身份验证的访问

96 战争拨号机：（War Dialing）是指随机的呼叫一批号码直到有一个调制解调器应答为止。攻击者可以使用称为战争拨号机的技术查找调制解调器，并访问组织的内部网络。

97 在选择远程访问身份验证协议之前，确保理解了下列协议的安全性内涵：

1）PAP，尽管几乎所有的拨号网络服务支持密码身份验证协议（PAP Password Authentication Protocol）,但PAP把用户的机密信息作为明文传输给远程访问服务器，不提供任何防止密码测定和重放攻击的保护。

2）SPAP,Shiva密码身份验证协议（Shiva Password Authentication Protocol）为Shiva 远程访问客户端提供了支持。

3）ESP-TLS，可扩展身份验证协议传输层安全（Extensible Authentication Protocol Transport Layer Security）是最安全的远程身份验证协议。它在服务器和客户端都使用证书来提供相互身份验证、数据的完整性和数据的机密性。

4）SecurID，SecurID是一种使用EAP的基于令牌的身份验证方法。

98 VPN的两种基本配置：1）客户端到网关 2）网关到网管

第十二章

99 保护信息的方法：1）尽量减少具有管理权限的账户 2）划分Active Directory 3）配置权限 4）保护域控制器的物理安全

100 DNS的常见威胁：1）无意的泄漏 2）未经授权的DNS修改 3）拒绝访问

101 保护DNS的方法：1）限制DNS提供的信息 2）在DNS区域的其实授权机构（SOA,Start of Authority）记录中，使用一个仅用于此用途的普通电子邮件账户，不要使用用户常用的电子邮件地址。3）防止未经授权的区域复制4）限制对DNS数据库的管理性访问5）将DNS

限制为动态更新

102 今天用户打电话过来，说网络上的计算机无法正常访问网络资源，你怀疑可能是因为计算机的TCP/IP配置不正确，是用什么命令，能够很快得到计算机的TCP/IP配置列表？

请你在计算机上操作给出具体结果考虑到黑客有可能修改了DNS缓存，你在该客户端应该执行那些命令才能重新刷新缓存？为了保障DNS服务器的记录能够进行安全更新，下列哪些区域能够支持动态更新？ IPCONFIG /ALL IPCONFIG /FLASHDNS ( A )

A、Active Directory集成的区域

B、辅助区域

C、标准反向区域

D、根区域

第十三章

103攻击类型：1）自动攻击 2）随机目标 3）特定目标

104 攻击网络的三种主要方法：1）拒绝服务攻击 2）漏洞利用攻击 3）伪装攻击

105 使用防火墙保护服务，如果提供公共服务，必须至少具有三个安全区域：1）公共Internet（不受信任的） 2）周边网络（部分信任的）3）专用网络（受信任的）

106 在给Inernet安全配置SQL Server时，应遵循以下指导方针：

1）保护数据库服务器 2）使用代理 3）使用ISA Server 4）使用SSL加密

107 即时信息服务系统通常以明文方式发送数据。

第十四章

108 对Web服务器最常见的攻击类型包括：1）使用示例硬功程序和管理脚本的攻击 2）侦查攻击3）利用默认配置漏洞 4）利用Web设计的漏洞 5）拒绝服务（Dos）攻击其包括：缓冲区溢出、SYN拥塞、死亡之Ping

109 安全外壳协议（SSH）允许用户登录到网络上的另一台计算机，在远程计算机上执行命令，以及在计算机之间移动文件。与Telnet不同，SSH提供了较强的身份验证以及未受保护的通道上的安全通信，而且在网上传输密码前会加密密码。SSH可以防止：1）IP电子欺诈 2)IP 源路由 3)DNS电子欺骗 4)拦截电子密码

110 配置SSL选项：如果已经将服务器配置为要求使用SSL，客户端就必须在统一资源定位器(URL，Unique Resource Locators)中输入“https:”而不是“http:”来访问服务器，而且每个客户段在指定的加密级别都必须支持SSL。

111 使用客户端证书对用户进行身份验证的方法：1）启用客户端证书 2）安装客户端证书 3）配置客户端证书设置

112 数据库服务器的漏洞包括：1）软件错误和缺陷 2）设计拙劣的应用程序 3）不正确的权限4）默认配置

第十五章

113 经常受攻击的端口包括

网络基本输入/输出系统（NetBios,Network Basic Input/Output system）会话端口（139）通过TCP的服务器消息块（SMB，ServerMessage Block）端口FTP（21）

FTP（21）

远程通信网络协议（Telnet,Telecommunications Network Protocol）(23)

简单邮件传输协议（SMTP Simple Mail Transfer Protocol）（25）

邮局协议3（POP3，Post Office Protocol 3）（110）

点对点隧道协议（PPTP Point-to-point Tunneling Protocol）（1723）

第2层隧道协议（L2TP Layer 2 Tunneling Protocol）（1701）

RDP（3389）

114 实现诱饵服务器的方法：

1选择服务端口作为诱饵

2在网络架构中放置诱饵服务器的位置

3诱饵入侵检测的漏洞

115 检测入侵者：

（1）配置ISA服务器将端口通信转发给诱饵

（2）配置诱饵的审核和警报

（3）管理诱饵的日志保留方式

116 安全事故的常见迹象：(1) 网络异常、(2) 系统异常、(3)事件的直接报告、(4)物理迹象、(5)商业迹象

117 后门攻击：后门程序通常在影响到计算机安装一个服务器组件，然后它可被攻击者的客户端计算机访问。通常该安装会在文件跟踪软件中留下审核踪迹。后门程序通常会修改启动文件和注册表项，以确保它们能在任何时间都保持运行，有些后门程序会在注册表中注册他们自己的动态链接库（DDL）。

118 病毒和蠕虫攻击（判断）：有些病毒会更改注册表项。例如：Nimda病毒会更改注册表，用来创建新的共享并删除所有共享上的安全权限。蠕虫通常会将自己复制到其他主机上，所以会引发大量的网络通信。这类通信可能流向文件共享或web访问的标准端口，于是这类通信的剧增是感染蠕虫的最明显迹象。病毒会引起奇怪的系统行为。

119 数据包嗅探攻击（理解）：数据包嗅探是一种被动攻击，因此非常难检测。有时数据包嗅探强制网络适配器工作在混合模式，以捕获所有的网络通信。这种改变有时会在系统日志文件中留下记录。在一些情况下，反嗅探软件能强制嗅探器暴露自己的行为。

120 电子欺骗、中间人和重放攻击：如果为Windows启用了IPSec，且有日志项表明密钥交换失败，则可能是发生此类攻击的信号。

121 事故响应组执行的任务：开发并演示事故响应计划、监视并响应安全事故、通告安全事故、记录安全事故、研究新的漏洞和攻击

122 下面可以说明在哪里发现持久证据

系统和账户的不规则行为和变化安全审核日志

失败的对象访问安全审核日志

不寻常的特权使用安全审核日志

拨号行为调制解调器日志

周边访问控制列表路由器和防火墙

已知攻击的特征入侵检测软件

对文件校验或数字签名的更改文件跟踪实用工具

注册表的更改注册表跟踪实用工具

第十六章

123 业务中断的常见原因包括:设备失效、人为错误、软件功能故障或损坏、攻击者活动、灾难、事故

124 在制定应对灾难的策略时，应该尝试排除每一个故障点:数据和服务、设备、设施、人员

125 风险：可能受到的损失或伤害。

风险管理：高层管理人员和网络安全设计者和设计师识别、控制、减轻和最小化风险的风险的过程。

风险识别：非正式的风险识别过程，由网络安全人员在日常工作中执行，用来尽量减少风险

126 风险，威胁和漏洞的关系

风险是一个含义很广的词语，指组织或业务可能发生的不确定事件或破坏性事件。风险与威胁和漏洞相关。

管理风险通常是由高层管理者和网络安全规划者执行的任务。大部分网络安全人员把时间花在尽量减轻威胁的影响，预防攻击，减少漏洞数量和响应安全事故上，但是，如果理解风险，威胁，漏洞的关系，就能为风险管理提供支持。另外，还需要理解网络安全人员在其日常工作中所做的工作。

第十七章

127安全策略是在保护技术和信息资产方面对雇员作出要求的正式声明。

128安全规程是应对安全事故的步骤。应对小组在事故中用安全规程来避免混淆和盲从，并确保以适当且全面的方式进行应对。

129当你遇到道德难题时：①相信你的直觉；②延迟时间；③同别人交谈。

第十八章

130可信计算机基础应该包括以下机制：①实现用户身份验证和对计算机的访问控制；②限制访问网络传输过程中的信息；③确保记录的机密性并建立审核机制；④确保数据不被破坏或窃取。

131安全基线时有关计算机配置和管理的详细描述，它在特定的计算机上实施可信赖的计算基础组件，同时还描述了为保护计算机二进行的相关配置。安全基线的基本要素有：①服

务和应用程序的设置；②操作系统组件的配置；③权限和权力指派；④管理流程。

132计算机安全退役的方法：①删除数据；②永久销毁数据。

133Microsoft提供下列类型的软件更新：①修补程序；②安全累积程序包；③Service Pack。134：RIS：PXE：预处理环境。RIS服务器存储了操作系统的安装映像。使用带有预处理环境（PXE，Pre-Execution Environment）引导ROM的网络计算机或者使用网络安装软盘，客户端可以进行连接。

135：HFNetChk：HFNetChk是可以检验网络上一台或多台计算机路径状况的命令行工具。136：为了防范最近出现的蠕虫病毒，你希望对公司所有系统进行安全扫描，你首先需要弄清楚专家建议的MBSA能够扫描哪些系统文件，请把不支持的系统从下列选项中选择出来（J）

A Windows NT 4.0

B Windows 2000

C Windows XP

D Microsoft Internet Information Service 4.0和5.0

E Microsoft Internet Explorer 5.01及更高版本

F Microsoft SQL Server 7.0

G SQL Server 2000

H Microsoft Office 2000

I Microsoft Office XP

J Windows 98

网络安全作业三

作业三网络技术次试答回顾第1 Question1 : 5 分数和GIFJPG格式的文件不会感染病毒。: 答案 错误对 正确5/5。这次提交的分数：Question2 : 5 分数面向网络的蠕虫，利用系统漏洞，主动进行攻击，而且爆发也有一定的突然性，对整个互联网可造成瘫痪性的后果。: 答案 错误对 正确。这次提交的分数：5/5Question3 : 5 分数系统病毒UnixDOS按照计算机病毒的传播媒介可以把病毒分为系统病毒、Windows系统病毒和: 答案 对错误 正确。这次提交的分数：5/5Question4 : 5 分数CIH病毒是一种蠕虫病毒: 答案 错误对正确5/5这次提交的分数：。. Question5 : 5 分数文件长度没有改变CIH通过文件进行传播，受感染的EXE: 答案

对错误错误这次提交的分数：0/5。Question6 : 5 分数冯纽曼首次证实计算机病毒的存在的是约翰-: 答案 对错误错误这次提交的分数：0/5。Question7 : 5 分数潜伏性、可触发性、授权性和传染性等都是病毒的特征: 答案 错误对 错误这次提交的分数：0/5。Question8 : 5 分数系统频繁出现死机、蓝屏、报错等现象是磁碟机病毒的一个中毒特征？: 答案 对错误 正确正确这次提交的分数：5/5。Question9 : 5 分数蠕虫病毒有独立存在的程序: 答案. 对错误 正确。这次提交的分数：5/5Question10 : 5 分数Outlook Express中仅仅预览邮件的内容而不打开邮件的附件是不会中毒。: 答案 错误对 正确。5/5这次提交的分数：Question11 : 5 分数( ) 计算机病毒按其表现性质可分为选择至少一个答案

信息安全设计的活动方案.docx

设计方案 一、立项背景 随着高校内各种网络工程的深入实施，学校教育信息化、校园网络化已经成为网络时代教育的发展方向。在当今的互联网环境下，计算机被攻击、破坏的事件经常发生，我们经常需要面对的信息安全问题有：黑客侵袭、内部漏洞、病毒干扰、人为错误等。因此，在校园网络建设中，网络信息安全成为需要特别考虑的问题。 1.1、校园网信息系统安全现状 1.2、现有安全技术和需求 1．操作系统和应用软件自身的身份认证功能，实现访问限制。 2．定期对重要数据进行备份数据备份。 3．每台校园网电脑安装有防毒杀毒软件。 1．构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。

2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用网。 经调查，现有校园网络拓扑图如下： 二、设计方案拓扑图

三、设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则： 3.2.物理层设计 3.2.1物理位置选择 3.3网络层设计 3.3.1防火墙技术 建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术．在逻辑上，它既是一个分离器也是一

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范 网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等， 并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp等， 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如 何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁， 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控 制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则 放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地 址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信） 防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –

网络安全设备主要性能要求和技术指标要求部分汇总

1网络安全设备主要性能要求和技术指标要求 1.1防火墙 用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下： 1.2入侵检测系统（IDS） 根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。 （1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套； （2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个

节点各2套，共4套； 1.2.1 产品规格及性能指标要求 （1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)； （2）能监控的最大TCP并发连接数不小于120万； （3）能监控的最大HTTP并发连接数不小于80万； （4）连续工作时间（平均无故障时间）大于8万小时； （5）吞吐量不小于2Gbps。 （6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。 1.2.2 部署和管理功能要求 (1)传感器应采用预定制的软硬件一体化平台； (2)入侵检测系统管理软件采用多层体系结构； (3)组件支持高可用性配置结构，支持事件收集器一级的双机热备； (4)各组件支持集中式部署和大型分布式部署； (5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性； (6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式； (7)支持以拓扑图形式显示组件之间的连接方式； (8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别； (9)支持组件的自动发现； (10)支持NAT方式下的组件部署； (11)支持IPv6下一代通信网络协议的部署和检测。 1.2.3 检测能力要求

网络安全防范体系及设计原则

网络安全防范体系及设计原则 一、概述1 二、安全攻击、安全机制和安全服务2 三、网络安全防范体系框架结构2 四、网络安全防范体系层次3 4.1物理环境的安全性（物理层安全）3 4.2操作系统的安全性（系统层安全）4 4.3网络的安全性（网络层安全）4 4.4应用的安全性（应用层安全）5 4.5管理的安全性（管理层安全）5 五、网络安全防范体系设计准则5 5.1网络信息安全的木桶原则5 5.2网络信息安全的整体性原则6 5.3安全性评价与平衡原则6 5.4标准化与一致性原则6 5.5技术与管理相结合原则6 5.6统筹规划，分步实施原则7 5.7等级性原则7 5.8动态发展原则7 5.9易操作性原则7 六、总结7 一、概述

随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。 二、安全攻击、安全机制和安全服务 ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。 表1 安全攻击、安全机制、安全服务之间的关系 三、网络安全防范体系框架结构 为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务，给出了八种安全属性（ITU-T

网络安全操作规程

网络安全操作规程 1.目的 为加强公司计算机设备及网络，系统数据，研发数据，源代码，信息安全的管理，确保计算机及公司网络系统正常可靠地运行，保证各部门日常工作的顺利开展，特制定计算机网络及信息安全管理规程。 2.范围 适用于本公司各部门的计算机，网络设备，办公设备（以下简称IT设备）和数据，信息安全的管理。 3.职责 3.1公司内IT设备维护，系统管理，信息安全管理，网络管理由IT部门统一安排执行管理。 3.2使用者对分配给其使用的IT设备安全和完整性负责，部门负责人对本部门IT设备的安全和完整性负责。部门负责人对部门网络及信息安全负责。 3.3各个部门配合本规定的实施。 4.操作规程 4.1 计算机与网络管理程序 4.1.1 IT设备的领用、采购，回收，维修，更换流程 （1）各部门新增招聘计划时，必须提前15天到行政部备案，如果库存的IT设备无法满足申请部门的需求或者库存无货时，就转采购申请。需采购的IT设备必须经IT人员确认配置后方可交由采购部采购。采购回来的设备由物资部交由仓库管理员签收后入库。 （2）新入职人员必须接受计算机网络及信息安全管理规程培训，培训合格后才可以申请IT设备。 （3）库存IT设备的申领申请人填写IT需求申请表，经IT人员确认核实相关配置。在库存有货的情况下由申请人经各级领导逐级审批，凭审批后的申请表到仓库领取。库存无货转采购流程。 （4）回收后的IT设备数据处理为保障公司信息数据安全，对于需要归还的IT设备，使用部门归还前自行备份IT设备数据，归还前清空数据。需归还的设备由归还人员填写归还申请表经IT人员检测配置无误后，由归还人员将IT设备搬到仓库指定地点。由仓库管理员清点入库签收。 （5）IT设备的维修IT设备的报修由申请人直接向IT人员提出，不产生费用且过保的维修事项由IT人员直接维修，对于保修期内的设备由采购人员联系供应商维修。经评估对于可能产生费用且过保的设备维修，由申请人填写IT设备需求申请表，经逐级审批后，方可由IT人员联系供应商进行维修。 （6）IT设备的更换必须由当事人提出书面申请（IT需求申请表），经IT人员对原有IT 设备配置检查记录后，由申请人凭（经各级领导逐级审批后的）申请表到仓库管理员处领取更换。原有IT设备回收按照第4.1.1（4）执行。 （7）离职员工离职前必须到IT人员处登记，由IT人员对其IT设备配置完整性进行检查，注销个人账户信息等，经确认IT设备完好无损，账户信息完全注销后方可办理其他离职手续。如有it设备损坏的情形将根据实际情况进行登记，由财务人员进行扣款处理后方可办理离职手续。离职员工的IT设备回收按照第4.1.1（4）执行。 （8）计算机设备调换必须到it人员处登记信息。IT设备调换前双方自行备份并清空数据。IT人员做好IT资产变更信息。

校园网络安全系统方案设计

校园网络安全设计方案 一、安全需求 1.1.1网络现状 随着信息技术的不断发展和网络信息的海量增加，校园网的安全形势日益严峻，目前校园网安全防护体系还存在一些问题，主要体现在：网络的安全防御能力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段不足，缺少综合、高效的网络安全防护和监控手段，削弱了网络应用的可靠性。因此，急需建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园信息化建设奠定更加良好的网络安全基础。 经调查，现有校园网络拓扑图如下： 1.1.2应用和信息点

1.2.现有安全技术 1．操作系统和应用软件自身的身份认证功能，实现访问限制。 2．定期对重要数据进行备份数据备份。 3．每台校园网电脑安装有防毒杀毒软件。 1.3.安全需求 1．构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。 2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用网。 二．安全设计 1．1设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备

信息安全管理制度网络安全设备配置规范

网络安全设备配置规范 2011年1月

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等， 并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭、、、等，以及使用而不是远程 管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如 何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁， 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控 制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则 放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地 址） ?用户允许规则（如，允许到公网服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信） 防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击？ 5.防火墙是否阻断下述欺骗、私有（1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（1918）地址（10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255）

网络安全作业(完整版)

这是完整版，我打字足足打半天，希望同学快点做好作业吧！—.- 网络安全第一章作业 1 网络安全有五大要素，分别是保密性，完整性，可用性，可控性，可审查性 2 机密性指确保信息不是暴露给未授权的实体或进程 3主机网络安全技术是一种结合网络特性和操作系统特性的边缘安全技术 4 中国安全评估准则分为自主保护级，系统审计保护级，完全标记保护级，结构化保护级，访问验证保护级。 5 TCSEC分为7个等级，它们是D，C1,C2 B1 B2 B3 A1 选择题 1 在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（C） A机密性 B完整性 C可用性 D可控性 2有意避开系统访问控制机制，对网络设备及资源进行非正常使用属于（B） A破坏数据完整性 B非授权访问 C信息泄漏 D拒绝服务攻击 3主机网络安全系统不能（D） A结合网络访问的网络特性和操作系统性B根据网络访问发生的时间、地点和行为决定是否允许访问继续进行C对于同一用户不同场所所赋予不同的权限D保证绝对安全 4防火墙通常被比喻为网络安全的大门，但它不能(D) A阻止基于IP包头的攻击B阻止非信任地址的访问C鉴别什么样的数据包可以进出企业内部网D阻止病毒入侵 简答题 1什么是网络安全？网络中存在哪些安全威胁？ 答：网络安全是指系统的三硬件，软件及其系统中的数据安全。计算机网络系统安全面临的威胁主要表现在以下几类：1非授权访问2泄露信息3破坏信息4拒绝服务5计算机病毒。 2常见的网络安全组件有哪些？分别完成什么功能？ 答：网络安全组件包括物理，网络和信息。物理安全是指用装置和应用程序来保护计算机和存储介质的安全，主要包括环境安全，设备安全和媒体。网络安全是指主机，服务器安全，网络运行安全，局域网安全以及子网安全，要实现这些安全，需要内外网隔离，内部网不同网络安全域隔离，及时进行网络安全检测，计算机网络进行审计和监控，同时更重要的是网络病毒和网络系统备份。信息安全就是要保证数据的机密性，完整性，抗否认性和可用性。 3安全工作的目的是什么？如何进么安全策略的实施？ 答：网络安全的目的是使用访问控制机制使非授权用户“进不来”，使用授权机制使不该拿的信息“拿不走”，使用加密机制信息，即使不慎拿走，未授权实体或进程也“看不懂”，使用数据完整鉴别使未授权者对数据“改不了”使用审计，监控，防抵赖机制使破坏者，抵赖者“逃不脱”。 网络安全第二章作业 填空题 (1) 在密码学中通常将源信息称为___明文_____，将加密后的信息称为__密 文______。这个变换处理过程称为___加密_____过程，它的逆过程称为___解密_____过程。

网络系统安全性设计原则

网络系统安全性设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则： 1．网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。 2．网络信息安全的整体性原则 要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。 3．安全性评价与平衡原则 对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与

常见网络安全设备

Web应用防火墙（WAF） 为什么需要WAF？ WAF（web application firewall）的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。 什么是WAF？ WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对HTTP访问的Web程序保护。 WAF部署在Web应用程序前面，在用户请求到达Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。 通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。 与传统防火墙的区别 WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。 WAF不是全能的 WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案（如网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略。 入侵检测系统（IDS） 什么是IDS？ IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

跟防火墙的比较 假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。 部署位置选择 因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。 因此，IDS在交换式网络中的位置一般选择在： 尽可能靠近攻击源； 这些位置通常是： 服务器区域的交换机上； Internet接入路由器之后的第一台交换机上； 重点保护网段的局域网交换机上 防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！ 主要组成部分 事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件； 事件分析器，分析数据； 响应单元，发出警报或采取主动反应措施； 事件数据库，存放各种数据。 主要任务 主要任务包括： 监视、分析用户及系统活动； 审计系统构造和弱点；

19春北理工《网络信息安全基础》在线作业【标准答案】

北理工《网络信息安全基础》在线作业-0005 试卷总分:100 得分:0 一、单选题 (共 20 道试题,共 60 分) 1.从层次体系上，可将网络安全分成4个层次上的安全：物理安全、逻辑安全、（）和联网安全。 A.操作系统安全 B.硬件安全 C.账户安全 D.通信安全 2.屏蔽子网模型用了（）个包过滤器和（）个堡垒主机。 A.2，1 B.1，1 C.2，2 D.1，2 3.下列IP地址中（）是C类地址 A.127.233..13.34 B.152.87.209.51 C.169.196.30.54 D.202.96.209.21 4.抵御电子邮箱入侵措施中，不正确的是（） A.不用生日做密码 B.不要使用少于7位的密码 C.不要全部使用数字 D.自己做服务器 5.进行网络扫描时，对非连续端口进行的，并且源地址不一致、时间间隔长而没有规律的扫描是（） A.乱序扫描 B.慢速扫描 C.顺序扫描 D.快速扫描 6.有一门学科被黑客利用以进行网络入侵，它使用计谋和假情报去获得密码和其他敏感信息。这门学科是（） A.情报学 B.心理学

C.社会工程学 D.政治经济学 7.RPC的中文含义是（） A.拒绝服务攻击 B.缓冲区溢出攻击 C.远程过程调用 D.远程服务连接 8.IP协议是指网际协议，它对应于OSI模型中的哪一层（） A.物理层 B.数据链路层 C.传输层 D.网络层 9.有关暴力攻击的描述，正确的是（） A.针对一个安全系统进行暴力攻击需要大量的时间、极大的意志力和决心。 B.暴力攻击是一种技术要求较高的入侵方式。 C.字典攻击是一种暴力攻击，但并不常见。 D.暴力攻击被用来破坏安全系统的物理存在。 10.在计算机网络中，有关攻击和安全，下列说法错误的是（） A.系统管理员可以利用常见的攻击手段对系统进行检测，并对相关漏洞采取措施。 B.网络攻击总是恶意的而没有善意的。 C.被动攻击是指攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于网络或者基于系统的。 D.主动攻击是指攻击者试图突破网络的安全防线。这种攻击涉及到数据流的修改或创建错误信息流，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。 11.（）是通过偷窃或分析手段来达到计算机信息攻击目的的，它不会导致对系统所含信息的任何改动，而且其他的操作和状态也不被改变。 A.主动攻击 B.被动攻击 C.黑客攻击 D.计算机病毒 12.邮箱密码一般需要设置为（）位以上。 A.6

信息安全管理制度-网络安全设备配置规范1.doc

信息安全管理制度-网络安全设备配置规范 1 网络安全设备配置规范 XXX 2011年1月 网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等， 并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等， 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如 何进行口令变更？

1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁， 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试） 1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控 制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则 放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为：

?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地 址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信） 防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 – 192.168.255.255） ?保留地址（224.0.0.0）

网络安全防范体系及设计原则

摘要本文分析了网络安全攻击、安全机制和安全服务之间的相互关系，从框架结构、体系层次、设计原则三个方面讨论了网络安全防范体系问题。 一、引言 随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。 二、安全攻击、安全机制和安全服务 ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击 (security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。 三、网络安全防范体系框架结构 为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800-199103-I）。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO 的开放系统互联（OSI）模型。 框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。 四、网络安全防范体系层次 作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次（见图2）划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等， 并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如 何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁， 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控 制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则 放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地 址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信） 防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –

系统安全设计原则

系统安全设计和备份原则 系统安全和系统备份是系统设计中非常重要的一个部分，主要包含以下几个方面。——系统安全设计 项目对信息安全性主要关注三大方面：物理安全、逻辑安全和安全管理。 1、物理安全是指系统设备及相关设施受到物理保护，使之免糟破坏或丢失。 2、逻辑安全则是指系统息资源的安全, 它又包括以下三个方面：性、完整性、可用性。 3、安全管理包括各种安全管理的政策和机制。 针对项目对安全性的需要，我们将其分为5个方面逐一解决： ——应用安全 1、管理制度建设 旨在加强计算机信息系统运行管理，提高系统安全性、可靠性。要确保系统稳健运行，减少恶意攻击、各类故障带来的负面效应，有必要建立行之有效的系统运行维护机制和相关制度。比如，建立健全中心机房管理制度，信息设备操作使用规程，信息系统维护制度，网络通讯管理制度，应急响应制度，等等。 2、角色和授权 要根据分工，落实系统使用与运行维护工作责任制。要加强对相关人员的培训和安全教育，减少因为误操作给系统安全带来的冲击。要妥善保存系统运行、维护资料，做好相关记录，要定期组织应急演练，以备不时之需。 3、数据保护和隐私控制 数据安全主要分为两个方面：数据使用的安全和数据存储的安全。 数据保护旨在防止数据被偶然的或故意的非法泄露、变更、破坏，或是被非法识别和

控制，以确保数据完整、、可用。数据安全包括数据的存储安全和传输安全两个方面。 为了保证数据使用过程的安全，建议在系统与外部系统进行数据交换时采用国家相关标准的加密算法对传输的数据进行加密处理，根据不同的安全等级使用不同的加密算法和不同强度的加密密钥，根据特殊需要可以考虑使用加密机。 数据的存储安全系指数据存放状态下的安全，包括是否会被非法调用等，可借助数据异地容灾备份、密文存储、设置访问权限、身份识别、局部隔离等策略提高安全防水平。 为了保证数据存储的安全可以使用多种方案并用，软硬结合的策略。同城的数据同步复制，保证数据的安全性 同城的数据同步复制，保证数据的安全性 同场数据复制不但可以保证数据的备份的速度，同时可以支持数据的快速恢复。 生产环境的数据存储系统可以使用磁盘冗余阵列技术。 当前的硬盘多为磁盘机械设备，因生产环境对系统运行的持续时间有很高要求，系统在运行过程中硬盘一旦达到使用寿命就会出现机械故障，从而使等硬盘无法继续工作。生产环境的数据存储设备如果没有使用磁盘冗余阵列技术，一旦硬盘出现机械故障将会造成将会生产环境数据的丢失，使得整个系统无法继续运行。 4、审计 本项目的技术支撑技术提供了强大的审计功能，采用审计各种手段来记录用户对系统的各种操作，例如成功登录，不成功登录，启动事务，启动报表，登录次数时间等等，这些信息全部记录在系统日志中，没有任何信息会记录在客户端，用户可以根据需求随时查看和分析这些信息。应用支撑平台还提供了其他手段来跟踪指定用户的操作以及对系统进行的变更,只有相应的授权用户和管理员可以查看这些日志进行分析。 根据用户的要求，应用平台可以记录各种谁、何时、作了什么的信息。

网络安全作业

作业 1．经典加密技术 明文：MEET ME AFITER THE TOGO PARTY 分别用以下方法加密，写出加密后的密文。 （1）Caesar加密，分别用k=3，k=5加密； （2）Vigenere密码，k=word （3）栅栏式密码 （4）矩阵置换密码，矩阵3×8，分别用k=12345678和k=34127856 解：（1）k＝3时，密文：PHHW PH DILWHU WKH WRJR SDUWB k＝5时，密文：RJJY RJ FKNYJW YMJ YTLT UFWYD （2）密文：ISVW IS RIEHVU PVV WKUF SWFKB （3）这里选用2栏的栅栏式密码，得密文为MEMAIETEOOATETEFTRHTGPRY （4）将明文按照每行8列的形式排在矩阵中，形成如下形式： M E E T M E A F I T E R T H E T O G O P A R T Y ①当k＝12345678时，则有下面形式： M E E T M E A F I T E R T H E T O G O P A R T Y 从而得到密文：MEETMEAFITERTHETOGOPARTY ②当k＝34127856时，得如下密文： E T M E A F M E E R I T E T T H O P O G T Y A R 从而得到密文：ETMEAFMEERITETTHOPOGTYAR 2．RSA 公开密钥(n,e)n：两素数p和q的乘积（p和q必须保密） e：与(p-1)(q-1)互素 私人密钥(n,d)先试一下(p-1)和(q-1)的最大公约数k 加密 n 解密m=c d mod n p=7，q=17计算密钥对（n，e）（n，d） 加密：明文m=19，解密验证。 解：（1）根据题意，n＝pq＝7×17＝119 φ（n）＝6×16＝96 这里取e＝13 解方程d×e≡1mod96： 96＝13×7＋5

网络操作安全心得体会

网络操作安全心得体会集团公司文件内部编码：（TTT-UUTT-MMYB-URTTY-ITTLTY-

网络操作安全心得体会在经过近段时间的学习，作为公司的一名员工，我受到良好的知识教育，能够感受到公司丰富的文化底蕴。同时对网优这份工作前景的看好并且对自己的工作职责有了更具体深刻的理解和感悟。通过为期几天的培训学习我初步了解安全生产标准化网络操作的相关内容及含义，其中包括： 安全教育“五个延伸” 一是向因人而异延伸：要因人而异，确定不同的教育内容，采取不同的教育方式。 二是向员工群众延伸：要改变安全教育由领导一包到底的现象，让员工轮流主讲。 三是向工作西现场延伸：教育要有计划、有目的地组织员工群众实地考察、参观学习，突出“虚”“实”相间。 四是想外围环境延伸：要根据员工的岗位实际，对安全法则、操作及事故应急处理、事故预防措施等的规定，进行语言上的“在处理”，力求通俗名了。

安全生产工作“十要素” 一个方针：安全第一，预防为主，综合治理。 二条原则：岗位职责；操作规程。 三违现象：违章指挥；违章作业；违反劳动纪律。 四不伤害：不伤害自己；不伤害别人；不被他人伤害；保护他人不受伤害。 五个须知：知道本单位安全重点部位；知道本单位安全责任体系和管理网络；知道本单位安全操作规程和标准；知道本单位存在的事故隐患和防范措施；知道并掌握事故应急预案。 六个不变：坚持“安全生产”的思想不便；安全生产第一责任人的责任不变；行之优先的安全规章制度不变；从严强化安全生产力不变；安全生产一票否决的原则不变；充分依靠员工的安全生产管理办法不变。 七个检查：差认识；查机构；查制度；查台账；查设备；查隐患；查措施；

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令： 删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 缺省帐户－>属性－> 更改名称