网络安全概论
网络安全概论(144309)
一、单选题1.网络入侵者使用sniffer对网络进行侦听,在防火墙实现认证的方法中,下列身份认证可能会造成不安全后果的是:()A、基于口令的身份认证B、基于地址的身份认证C、密码认证D、都不是答案: A2.以下关于状态检测防火墙的描述,不正确的是()A、所检查的数据包称为状态包,多个数据包之间存在一些关联B、能够自动打开和关闭防火墙上的通信端口C、其状态检测表由规则表和连接状态表两部分组成D、在每一次操作中,必须首先检测规则表,然后再检测连接状态表(只检测连接状态表)答案: D3.针对下列各种安全协议,最适合使用外部网VPN上,用于在客户机到服务器的连接模式的是:( )A、IPsecB、PPTPC、SOCKS v5D、L2TP答案: C4.目前在防火墙上提供了几种认证方法,其中防火墙设定可以访问内部网络资源的用户访问权限是:( )A、客户认证B、回话认证C、用户认证D、都不是答案: C5.下列各种安全协议中使用包过滤技术,适合用于可信的LAN到LAN之间的VPN,即内部网VPN的是:()A、PPTPB、L2TPC、SOCKS v5D、IPsec答案: D6.以下算法中属于非对称算法的是()A、DESB、RSA算法C、IDEAD、三重DES答案: B7.JOE是公司的一名业务代表,经常要在外地访问公司的财务信息系统,他应该采用的安全、廉价的通讯方式是:()A、PPP连接到公司的RAS服务器上B、远程访问VPNC、电子邮件D、与财务系统的服务器PPP连接答案: B8.在DDoS攻击中,通过非法入侵并被控制,但并不向被攻击者直接发起攻击的计算机称为()A、攻击者B、主控端C、代理服务器D、被攻击者答案: B9.以下关于数字签名说法正确的是:()A、数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B、数字签名能够解决数据的加密传输,即安全传输问题C、数字签名一般采用对称加密机制D、数字签名能够解决篡改、伪造等安全性问题答案: D10.以下关于混合加密方式说法正确的是:()A、采用公开密钥体制进行通信过程中的加解密处理B、采用公开密钥体制对对称密钥体制的密钥进行加密后的通信C、采用对称密钥体制对对称密钥体制的密钥进行加密后的通信D、采用混合加密方式,利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点答案: B11.目前在防火墙上提供了几种认证方法,其中防火墙提供授权用户特定的服务权限是:()A、客户认证B、回话认证C、用户认证D、都不是答案: A12.在防火墙实现认证的方法中,采用通过数据包中的源地址来认证的是:()A、基于口令的身份认证B、基于地址的身份认证C、密码认证D、都不是答案: B13.IDS规则包括网络误用和:()A、网络异常B、系统误用C、系统异常D、操作异常答案: A14.状态检查技术在OSI那层工作实现防火墙功能:()A、链路层B、传输层C、网络层D、会话层答案: C15.随着Internet发展的势头和防火墙的更新,防火墙的哪些功能将被取代:()A、使用IP加密技术B、日志分析工具C、攻击检测和报警D、对访问行为实施静态、固定的控制答案: D16.加密技术不能实现:()A、数据信息的完整性B、基于密码技术的身份认证C、机密文件加密D、基于IP头信息的包过滤答案: D17.对状态检查技术的优缺点描述有误的是:()A、采用检测模块监测状态信息B、支持多种协议和应用C、不支持监测RPC和UDP的端口信息D、配置复杂会降低网络的速度答案: C18.防治要从防毒、查毒、()三方面来进行。
大学网络安全课程第一章网络安全概论
1.3 网络安全管理状况及发展趋势
1.3.1 国外网络安全管理的状况
案例1-9
网络“生存性”问题 (survivability)。 从1993 年提出,近年来才得到重视。 美国军队正在研究当网络系统 受到攻击或遭遇突发事件、面 临失效的威胁时,如何使关键 部分能够继续提供最基本的服 务,并能及时地恢复所有或部 分服务。
Байду номын сангаас
课堂讨论
1. 什么说计算机网络存在着的安全漏洞和隐患? 2. 计算机网络安全面临的主要威胁类型有哪些? 3. 网络安全威胁和攻击机制发展的特点是什么?
1.2 网络安全的威胁
1.2.3 网络安全风险因素
1. 网络系统本身的缺陷
互联网最初仅限于科研和学术组织,其技术基础并不安全。现代互联网 已经成为面向世界开放的网络,任何用户都可便捷地传送和获取各种信息资 源,具有开放性、国际性和自由性的特征。 网络不安全主要因素及表现包括以下7个方面:
设置陷阱“机关”系统或部件,骗取特定数据以违反安全策略 故意超负荷使用某一资源,导致其他用户服务中断
重发某次截获的备份合法数据,达到信任非法侵权目的 假冒他人或系统用户进行活动 利用媒体废弃物得到可利用信息,以便非法使用 为国家或集团利益,通过信息战进行网络干扰破坏或恐怖袭击
冒名顶替 媒体废弃物
信息战
1.4 网络安全技术概述
1.4.1 常用网络安全技术
1.网络安全管理技术的概念
网络安全技术(Network Security Technology)是指为解决网 络安全进行有效监控,保证数据传输的安全性的技术手段,主要包括 物理安全技术、网络结构安全技术、系统安全技术、管理安全技术, 以及确保安全服务和安全机制的策略等。 网络安全管理技术(Network Security Management Technology)指实现网络安全管理和维护的技术。包括网络安全管 理方面的各种技术、手段、机制和策略等,一般需要基于多层次安 全防护的策略和管理协议,将网络访问控制、入侵检测、病毒检测 和网络流量管理等安全技术应用于内网,进行统一的管理和控制, 各种安全技术彼此补充、相互配合,形成一个安全策略集中管理、 安全检查机制分散布置的分布式安全防护体系结构,实现对内网安 全保护和管理。
《网络安全概论》课件
常见的加密算法包括AES、DES、RSA等。
加密应用
加密技术广泛应用于数据传输、存储和身份认证等领域。
入侵检测与防御技术
01
02
03
04
入侵检测定义
入侵检测是通过对网络和 系统中的异常行为进行检 测和响应的过程,以预防 和应对网络攻击。
入侵检测类型
根据检测方式,入侵检测 可分为基于误用的入侵检 测和基于异常的入侵检测 。
数据泄露检测
通过人工智能技术对敏感数据进行识别和监控,及时发现 潜在的数据泄露风险,并采取相应的措施进行防范。
入侵检测与响应
利用人工智能技术对网络流量和日志进行分析,检测和识 别入侵行为,并采取相应的措施进行响应,如隔离被攻击 的主机、清除恶意软件等。
区块链技术在网络安全中的应用
数据安全
区块链技术可以用于保护数据的完整性和机密性,通过加密算法 和分布式账本技术确保数据不被篡改和泄露。
网络攻防、数据安全等多个方面,为学生提供全面的网络安全知识和技
能。
02
加强实践能力的培养
网络安全是一门实践性很强的学科,因此高校应该加强实践能力的培养
,通过建立实验室、组织攻防演练等方式,提高学生的实际操作能力和
应对突发情况的能力。
03
加强与业界的合作
高校应该加强与业界的合作,了解最新的网络安全动态和技术趋势,邀
防火墙部署
防火墙应部署在网络的入口处 ,以阻止外部攻击进入内部网 络。
防火墙配置
根据网络的安全需求,需要对 防火墙进行相应的配置,包括 允许或拒绝特定的网络流量。
加密技术
加密定义
加密是通过特定的算法将明文转换为密文的过程,以保护数据的机密性和完整性。
网络安全期末备考必备——选择题
第1章网络安全概论(1) 计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.机密性 B.抗攻击性C.网络服务管理性 D.控制安全性(2) 网络安全的实质和关键是保护网络的安全。
A.系统 B.软件C.信息 D.网站(3) 下面不属于TCSEC标准定义的系统安全等级的4个方面是。
A.安全政策 B.可说明性C.安全保障 D.安全特征(4) 在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
A.机密性 B.完整性C.可用性 D.可控性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
A.破环数据完整性 B.非授权访问C.信息泄漏 D.拒绝服务攻击答案: (1) A (2) C (3) D (4) C (5) B第2章网络安全技术基础(1)SSL协议是()之间实现加密传输的协议。
A.物理层和网络层B.网络层和系统层C.传输层和应用层D.物理层和数据层(2)加密安全机制提供了数据的()。
A.可靠性和安全性B.保密性和可控性C.完整性和安全性D.保密性和完整性(3)抗抵赖性服务对证明信息的管理与具体服务项目和公证机制密切相关,通常都建立在()层之上。
A.物理层B.网络层C.传输层D.应用层(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务的是()。
A.认证服务B.数据保密性服务C.数据完整性服务D.访问控制服务(5)传输层由于可以提供真正的端到端的连接,最适宜提供()安全服务。
A.数据保密性B.数据完整性C.访问控制服务D.认证服务解答:(1)C (2)D (3)D (4)B (5)B第3章网络安全管理技术(1)计算机网络安全管理主要功能不包括()。
A.性能和配置管理功能B.安全和计费管理功能C.故障管理功能D.网络规划和网络管理者的管理功能(2)网络安全管理技术涉及网络安全技术和管理的很多方面,从广义的范围来看()是安全网络管理的一种手段。
计算机网络安全技术概论
络
重要的作用。认证就是识别和证实。识别是辨别
安
一个对象的身份,证实是证明该对象的身份就是
全
其声明的身份。OSI环境可提供对等实体认证的
技
安全服务和信源认证的安全服务。
对等实体鉴别:这种服务当由(N)层提供时,将使(N+1)实体
术
确信与之打交道的对等实体正是它所需要的(N+1)实体。这种
服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证
10尽管操作系统的缺陷可以通过版本的不断升级来克服但系统的某一个安全漏洞就会使系统的所有安全控制毫无价值
计
算
机
第一篇 安全技术基础
网
络
安
全 技
第1章 计算机网络安全技术概论
术
本章学习目标
计
算
机 计算机网络安全系统的脆弱性
网 P2DR安全模型和PDRR网络安全模型
络
Internet网络体系层次结构、网络安
络
个整体,包含了多
个特性。可以从安
安
全特性的安全问题、
全
系统单元的安全问 题以及开放系统互
技
连(ISO/OSI)参 考模型结构层次的
术
安全问题等三个主 要特性去理解一个
安全单元。所以安
全单元集合可以用
一个三维的安全空
间去描述它,如图
所示。
OSI 参考模型的结构层次
应用层
表示层
会话层
传输层
网络层
链路层 物理层
安 检测(Detection)、响应(Response)、
全 恢复(Recovery)4个英文单词的头一个
技
字符
术
成功
网络安全概论.
第一章网络安全概论1.1 网络安全的概念随着Internet的发展,网络安全越来越成为一个敏感的话题。
网络安全有很多基本的概念,我们先来简单的介绍一下。
1.1.1 网络安全威胁目前,计算机互联网络面临的安全性威胁主要有一下几个方面:1.非授权访问和破坏(“黑客”攻击非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
它主要有一下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
操作系统总不免存在这样那样的漏洞,一些人就利用系统的漏洞,进行网络攻击,其主要目标就是对系统数据的非法访问和破坏:“黑客”攻击已有十几年的历史,黑客活动几乎覆盖了所以的操作系统,包括UNIX、windowsNT、vm、vms、以及MVS。
我们后面会对这一节的内容进行详细讨论。
2.拒绝服务攻击(Denial of service attack一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”,它能使用户在很短的时间内受到大量的电子邮件,使用户系统不能处理正常业务,严重时会使系统崩溃、网络瘫痪。
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务3.计算机病毒计算机病毒程序很容易做到,有着巨大的破坏性,其危害已被人们所认识。
单机病毒就已经让人们“谈毒色变”了,而通过网络传播的病毒,无论是在传播速度、破坏性,还是在传播范围等方面都是单机病毒不能比拟的。
4.特洛伊木马特洛伊木马的名称来源于古希腊的历史故事。
特洛伊木马程序一般是由编程人员编制,它提供了用户所不希望的功能,这些额外的功能往往是有害的。
把预谋的有害功能隐藏在公开的功能中,以掩盖其真实企图。
5.破坏数据完整性指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,可以修改网络上传输的数据,以及销毁网络上传输的数据,替代网络上传输的数据,重复播放某个分组序列,改变网络传输的数据包的先后次序,使用、攻击者获益,以干扰用户正常使用。
网络安全技术原理与实践 第一章 网络安全概论
P2DR模型示意图
防火墙技术
防火墙(firewall)是一种形象的说法。对于网络, 它通常是网络防御的第一道防线,其核心思想就是阻塞 防火墙外部到防火墙内部机器的网络连接。它决定了哪 些内部服务可以被外界访问、可以被哪些人访问,以及 哪些外部服务可以被内部人员访问。防火墙可以在网络 协议栈的各个层次上实施网络访问控制机制,对网络流 量和访问进行检查和控制,防火墙技术可以分为包过滤, 电路级网关和应用层代理技术。
入侵检测系统
入侵检测系统(Intrusion Detection System,IDS) 是对传统安全产品的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力,提高了信息安全基础 结构的完整性。 入侵检测系统可分为主机型(Host-based IDS,HIDS)和网络型(Network-based IDS,NIDS), 主机型入侵检测系统往往以系统日志,应用程序日志等作 为数据源,保护的一般是所在系统;网络型入侵检测系统 的数据源则是网络上的数据包,一般网络型入侵检测系统 担负着保护整个网段的监测任务。
操作系统安全
操作系统是计算机中最基本、最重要的 软件。同一计算机可以安装几种不同的操作 系统。如果计算机系统需要提供给许多人使 用,操作系统必须能区分用户,防止他们相 互干扰。一些安全性高、功能较强的操作系 统可以为计算机的每个用户分配账户。不同 账户有不同的权限。操作系统不允许一个用 户修改由另一个账户产生的数据。
网络嗅探技术
网络嗅探是一种有用的网络信息搜集技术,主要在 目标网络内放置相应工具实施网络嗅探,监听网络中正 在传输的原始数据包,并通过协议分析技术来重构解析 出有价值的信息,如用户名和口令、开放的网络共享等 信息。 嗅探技术主要利用在非交换式的以太网中,网卡处 于混杂模式下,对目的地址不会进行任何判断,而直接 将它收到的所有报文都传递给操作系统进行处理这一特 点,因此,攻击者只需要将获取网络中某台主机的访问 权限,将该主机网卡设置为混杂模式即可捕获网络中所 有的以太网帧。
网络空间安全概论()课件
区块链技术的去中心化特性对现有网络安全 体系构成挑战,如何保障区块链网络的安全 性成为亟待解决的问题。
安全防御趋势
主动防御
未来网络安全将更加注重主动防御,通过实时监测和预警 ,及时发现并应对威胁。
01
数据驱动安全
利用大数据和人工智能技术,对海量数 据进行实时分析,提高安全防御的效率 和准确性。
安全审计包括对系统配置、日志文件、网络流量和应用程序等的审计,以发现潜在的安全 风险和漏洞。
安全事件响应
当发现安全事件或攻击时,需要及时进行响应和处理,包括隔离攻击源、修复漏洞和恢复 系统等操作。同时,还需要对安全事件进行记录和分析,以预防类似事件的再次发生。
04
网络空间安全管理
安全策略与规定
制定安全策略
内部威胁
无意识的失误
员工无意识的失误可能导致敏感信息的泄露或系统的损坏。例如, 将敏感信息发送给错误的收件人或使用弱密码等。
恶意的内部人员
某些员工可能出于个人利益或其他目的而进行恶意行为,如窃取敏 感信息、破坏系统等。
权限滥用
某些员工可能滥用其权限进行非法操作,例如未经授权访问敏感数据 或执行恶意代码等。
勒索软件
数据加密
01
勒索软件会对用户电脑上的数据进行加密,从而强迫用户支付
赎金以恢复数据。
威胁信息
02
勒索软件会向用户显示虚假警报或威胁信息,以迫使其支付赎
金。
网络敲诈
03
勒索软件可能会通过网络敲诈的方式迫使用户支付赎金,例如
威胁曝光用户的个人信息或企业机密。
分布式拒绝服务攻击
1 2 3
资源耗尽
数据加密定义
数据加密是一种用于保护敏感信息不被非法获取 或篡改的安全技术。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章网络安全概论1.1 网络安全的概念随着Internet的发展,网络安全越来越成为一个敏感的话题。
网络安全有很多基本的概念,我们先来简单的介绍一下。
1.1.1 网络安全威胁目前,计算机互联网络面临的安全性威胁主要有一下几个方面:1.非授权访问和破坏(“黑客”攻击)非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
它主要有一下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
操作系统总不免存在这样那样的漏洞,一些人就利用系统的漏洞,进行网络攻击,其主要目标就是对系统数据的非法访问和破坏:“黑客”攻击已有十几年的历史,黑客活动几乎覆盖了所以的操作系统,包括UNIX、windowsNT、vm、vms、以及MVS。
我们后面会对这一节的内容进行详细讨论。
2.拒绝服务攻击(Denial of service attack)一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”,它能使用户在很短的时间内受到大量的电子邮件,使用户系统不能处理正常业务,严重时会使系统崩溃、网络瘫痪。
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务3.计算机病毒计算机病毒程序很容易做到,有着巨大的破坏性,其危害已被人们所认识。
单机病毒就已经让人们“谈毒色变”了,而通过网络传播的病毒,无论是在传播速度、破坏性,还是在传播范围等方面都是单机病毒不能比拟的。
4.特洛伊木马特洛伊木马的名称来源于古希腊的历史故事。
特洛伊木马程序一般是由编程人员编制,它提供了用户所不希望的功能,这些额外的功能往往是有害的。
把预谋的有害功能隐藏在公开的功能中,以掩盖其真实企图。
5.破坏数据完整性指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,可以修改网络上传输的数据,以及销毁网络上传输的数据,替代网络上传输的数据,重复播放某个分组序列,改变网络传输的数据包的先后次序,使用、攻击者获益,以干扰用户正常使用。
6.蠕虫(worms)蠕虫是一个或一组程序,它可以从一台机器向另一台机器传播。
它同病毒不一样,它不需要修改宿主程序就能传播。
7.或板门(trap doors)为攻击者提供“后门”的一段非法操作系统程序,这一般是指一些内部程序人员为了特殊的目的,在所编制的程序中潜伏代码或保留漏洞。
9.信息泄露或丢失指敏感数据在有意或无意中被泄露出去或丢失,它通常包括:信息在传输中丢失或泄露(如“黑客”利用电磁泄露或搭线窃听等方式截获机密信息,或通过对信息流向、流量、通信频度和长度扥参数的分析,推出用户信息,如口令、账号等),信息在存储介质中丢失或泄露,通过建立隐蔽隧道等窃取敏感信息等。
在所有的操作系统中,由于UNIX系统的核心代码是公开的,这使其成为最受攻击的目标,攻击者可以先设法登录到一台UNIX的主机上,通过操作系统的漏洞来取得特权,然后再以此为据点访问其余主机,这被称为“跳跃”(I sland –hopping)。
攻击者在到达目的的主机之前往往会先经过几次这种跳跃,这样,即使被攻击网络发现了攻击者从何处发起攻击,管理人员也很难顺次找到他们最初据点,而其它们在窃取某台主机的系统特权后,退出时删掉系统日志,用户只要能登录到UNIX系统上,就能相对容易地成为超级用户,所以,如果检测系统自身的漏洞,保障网络的安全,已成为一个日益紧迫的问题。
网络安全策略在网络安全中,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠的运行,将起到十分有效的作用。
安全策略是指在一个特定的环境里,为提供一定级别的安全保护所必须遵守的规则。
该安全策略模型包括了建立安全环境的一个重要部分,即:威严的法律:安全的基石是社会法律、法规与手段,它是建立一套安全管理的标准和方法。
即通过建立与信息安全相关的法律、法规,使不法分子嗫于法律,不敢轻举妄动。
先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,根据安全服务的种类,选择相应的安全机制,然后集成先进的安全技术。
严格的管理:网络的安全管理策略包括有确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
网络安全的五要素安全包括五个基本要素:机密性、完整性、可用性、可控性和可审查性。
机密性:确保信息不暴露给未授权的实体或进程。
完整性:只有得到允许的人才能修改数据,并且能够判别除数据是否被纂改。
可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
可审查性:对出现的网络安全问题提供调查的依据和手段。
网络安全服务、机制与技术安全服务:包括控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务。
安全技术:包括防火墙技术、机密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术。
在安全的开放环境中,用户可以使用各种安全应用。
安全应用由一些安全服务来实现,而安全服务又是由各种安全机制或安全技术来实现的,应当指出,同一安全机制有时也可以用于实现不同的安全服务。
网络安全工作目的安全工作的目的就是为了在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,完成一下任务:使用访问控制机制,阻止非授权用户进入网络,即“进不来”,从而保证网络系统的可用性。
使用授权机制,实现对用户的权限控制,即不该拿走的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。
使用机密机制,确保信心不暴露给未授权的实体或进程,即“看不懂”,从而实现信息的保密性,使用数据完整性鉴别机制,保证只有得允许的人才能修改数据,而其它人“改不了”,从而确保信息的完整性。
使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
网络安全体系结构关于网络安全的体系结构的划分有很多种。
我们下面介绍一种比较有代表性的体系结构划分1.2.1 物理安全物理安全是指用一些装置和应用程序来保护计算机硬件和存储介质的安全。
比如在计算机下面安装将计算机固定在桌子上的安全托盘、硬盘震动保护器等,下面详细地谈一下物理安全。
物理安全非常重要,它负责保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故,以及认为操作失误、错误和各种计算机犯罪行为导致的破坏过程。
它主要包括三个方面:环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。
参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887 -89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。
媒体安全:包括媒体数据的安全及媒体本身的安全。
显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间扩散。
计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示,给计算机系统信息的保密工作带来了极大的危害。
为了防止系统中的信息在空间上扩散,通常在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
这是重要的政策、军队、金融机构在兴建信息中心时的首要设置条件。
正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行的主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄,为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线、以及通风管道、门的开关等。
对本地网、局域网传输线路传导辐射的仰止。
由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,打多数均在MODEM出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
对终端设备辐射的措施。
终端机,尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中终端也可考虑采用有窗子的装饰性屏蔽室,这样虽降低了部分屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
网络安全网络安全主要包括系统(主机、服务器)安全、网络运行安全、局域网和子网安全。
内外网隔离及访问控制系统在内部网与外部网之间,设置防火墙(包括分组过滤与应用代理)实现内外网的隔离与访问控制是保护内部网安全的最主要、最有效、最经济的措施之一,防火墙技术可以根据范围的方式和侧重点的不同分为很多种类型,但总体来讲有两大类较为常见:分组过滤、应用代理。
(1)分组过滤(packet filtering):作用在网络层和传输层,它根据分组包的源地址、目的个端口号、协议类型等标志确定是否允许数据包通过。
只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
(2)应用代理(application proxy):也叫应用网关(application cateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现。
无论何种类型防火墙,从总体上看,都应具有一下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
应该对强调的是,防火墙是整体安全防护体系的一个重要的组成部分,而不是全部。
因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。