计算机网络安全与管理论文
计算机网络安全与管理论文
姓名:蔡荣斌
专业班级:东科计算机二班
学号: 201441903208
论文论文关键词:计算机网络安全威胁安全体系网络管理
论文摘要:随着通讯技术、光纤技术的不断发展,计算机网络技术也同时不断进步,计算机网络的安全也成为计算机网络设计师与客户重视的焦点。本文主要对计算机网络安全面临的威胁和安全体系的建立与计算机网络管理进行了探讨。
一.引言
近年来,在计算机网络技术应用的深入发展中,网络安全问题已经逐渐成为网络建设中的核心问题。网络系统是一个由众多计算机和网络设备,以及网络系统软件构成的一个复杂的集成系统。在因特网络上,互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在很短时间内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。因此,计算机网络的安全与管理越来越受到人们的关注,成为一个研究的新课题。
二.计算机网络安全威胁分析
(1)计算机网络面临的安全性威胁
①非法授权访问。威胁源成功地破坏访问控制服务, 如修改访问控制文件的内容, 实现了越权访问。②非法连接。威胁源以非法手段形成合法的身份, 在网络实体与网络源之间建立非法连接。③拒绝服务。阻止合法的网络用户或其他合法权限的执行者使用某项服务。
④信息泄露。未经授权的实体获取到传输中或存放着的信息, 造成泄密。⑤无效的信息流。对正确的通信信息序列进行非法修改、删除或重复, 使之变成无效信息。⑥伪装。威胁源泉成功地假扮成另一个实体,随后滥用这个实体的权利。
(2)计算机网络面临的安全攻击
安全攻击的形式: 计算机网络的主要功能之一是通信,信息在网络中的流动过程有可能受到中断、截取、修改或捏造形式的安全攻击。
①中断。中断是指破坏采取物理或逻辑方法中断通信双方的正常通信, 如切断通信线路、禁用文件管理系统等。②截取。截取是指未授权者非法获得访问权,截获通信双方的通信内容。③修改。修改是指未授权者非法截获通信双方的通信内容后, 进行恶意篡改。如病毒可能会感染大量的计算机系统,占用网络带宽,阻塞正常流量,发送垃圾邮件,从而影响
计算机网络的正常运行。④捏造。捏造是指未授权者向系统中插入仿造的对象, 传输欺骗性消息。
三.计算机网络安全体系的建立
建立开放系统互联标准的安全体系结构框架,为网络安全的研究奠定了基础。
(1)身份认证。身份认证是访问控制的基础,是针对主动攻击的重要防御措施。身份认证必须做到准确无误地将对方辨别出来,同时还应该提供双向认证,即互相证明自己的身份。网络环境下的身份认证更加复杂,因为验证身份一般通过网络进行而非直接参交互,常规验证身份的方式(如指纹)在网络上已不适用;再有,大量黑客随时随地都可能尝试向网络渗透,截获合法用户口令,并冒名顶替以合法身份入网,所以需要采用高强度的密码技术来进行身份认证。目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。因此,大大增强了用户使用信息的安全性。
(2)访问控制。访问控制的目的是控制不同用户对信息资源的访问权限,是针对越权使用资源的防御措施。访问控制可分为自主访问控制和强制访问控制两类。实现机制可以是基于访问控制的属性的访问控制表(或访问控制矩阵), 也可以是基于安全标签、用户分类及资源分档的多级控制。
(3)数据保密。数据保密是针对信息泄露的防御措施。数据加密是常用的保证通信安全的手段,但由于计算机技术的发展,使得传统的加密算法不断地被破译,不得不研究更高强度的加密算法,如目前的DES算法,公开密钥算法等。
(4)数据完整性。数据完整性是针对非法篡改信息、文件及业务流而设置的防范措施。也就是说网上所传输的数据防止被修改、删除、插入、替换或重发,从而保护合法用户接收和使用该数据的真实性。
(5)加密机机制。加密技术的出现为全球电子商务提供了保证,从而使基于因特上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加
密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。(6)路由控制机制。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
(7)入侵检测技术。随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,ID S(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理和检测。
(8)备份系统。备份系统可以全盘恢复运行计算机系统所需的数据和系统信息。对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。
四.计算机网络管理
(1)计算机网络管理概述
计算机网络管理分为两类。第一类是计算机网络应用程序、用户帐号(例如文件的使用)和存取权限(许可)的管理,属于与软件有关的计算机网络管理问题。第二类是对构成计算机网络的硬件管理, 包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。通常情况下这些设备都分散在网络中,当设备有问题发生时网络管理员希望可以自动地被告通知,为了解决这个问题,在一些设备中已经具有网络功能,可以远程地询问它们的状态,使它们在有某种特定类型的事件发生时能够发出警告。这种设备通常被称为“智能”设备。网络管理应遵循以下的原则: 由于管理信息而带来的通信量不应明显的增加网络的通信量。被管理设
备上的协议代理不应明显的增加系统处理的额外开销,以致于削弱该设备的主要功能。
(2)计算机网络管理的功能
国际标准化组织ISO定义了网络管理的五个功能域,分别是: 故障管理、配置管理、计费管理、性能管理和安全管理。
①故障管理。故障管理是对网络中的问题或故障进行检测、隔离和纠正。使用故障管理技术,网络管理者可以尽快地定位问题或故障点,排除问题故障。故障管理的过程包括3个步骤。a.发现问题;b.分离问题,找出故障的原因;c.如果可能, 尽量排除故障。
②配置管理。配置管理是发现和设置网络设备的过程。配置管理提供的主要功能是通过对设备的配置数据提供快速的访问,增强网络管理人员对网络的控制;可以将正在使用的配置数据与存储在系统中的数据进行比较,而发现问题;可以根据需要方便地修改配置。配置管理主要是包括下面三个方面的内容:a.获得关于当前网络配置的信息;b.提供远程修改设备配置的手段;C.存储数据、维护最新的设备清单并根据数据产生报告。
③安全管理。安全管理是控制对计算机网络中的信息的访问的过程。提供的主要功能是正确操作网络管理和保护管理对象等安全方面的功能。具体包括:
a.支持身份鉴别, 规定身份鉴别过程;
b.控制和维护授权设施;
c.控制和维护访问权限;
d.支持密钥管理;f.维护和检查安全日志。
计算机网络的规模越来越大、复杂程度越来越高,为了保证计算机网络良好的性能,确保向用户提供满意的服务,必须使用计算机网络管理系统对计算机网络进行自动化的管理。计算机网络管理系统的功能是管理、监视和控制计算机网络, 即对计算机网络进行了配置, 获取信息、监视网络性能、管理故障以及进行安全控制。计算机网络管理系统对计算机网络的正常运行起着极其重要的作用。
五.结束语
计算机网络信息安全工作贯穿于计算机网络建设、发展的始终,需要我们时刻重视,不断学习。只有加强网络与信息安全管理,增强安全意识,不断改进和发展网络安全保密技术,才能防范于未然,确保计算机网络的安全、可靠地运行。
计算机设备与网络安全管理办法
计算机设备与网络安全管理(试行) 一、总则 第一条目的 (一)提高公司信息化水平,规范办公系统的使用管理,进一步整合办公资源,提高工作效率; (二)规范公司局域网内计算机操作,确保计算机使用的安全性、可靠性; (三)对计算机的配置、使用、安全、维护保养等进行有效的管理; (四)对软件的购置、发放、使用、保密、防毒、数据备份等进行安全有效的管理,确保各项管理工作的正常进行。 第二条管理范围 (一)公司计算机设备的购置、管理与操作; (二)计算机软件的购置、管理与操作; (三)公司计算机网络设备的日常管理与维护; (四)公司计算机信息安全管理; (五)公司信息文档的上传、发布管理等。信息文档特指公司或部门之间交流与发布的各项规章制度、通知、请示、报告、文件、工作联系、通报、简报、会议纪要、计划、信息传递、报表等。 第三条管理职责 (一)综合部负责计算机硬件及软件的配备、购置、使用的统一管理,负责计算机网络设备的购置、日常管理与维护,负责集团内计算机信息的安全与保密工作。 (二)计算机使用部门负责计算机的正确使用及日常维护,负责
本单位计算机信息的安全与保密工作。 二、计算机硬件管理 第四条计算机硬件是指各部门日常办公使用的计算机设备,包括计算机主机(含机箱内的芯片、功能卡、内存、硬盘、软驱、光驱等)、显示器、打印机、外设(键盘、鼠标、功放、音箱)等。 第五条公司新购置的计算机,由综合部登录于办公设施台帐中的《计算机设施分类台帐》,注明计算机的品牌型号、设备编号、内存、购置日期、使用部门等相关内容。 第六条所有计算机及配套设备要建立设备档案,综合部及时将设备故障、维修及部件更换等情况记入设备档案中。设备档案的管理要做到标志清楚、置放有序,便于及时取用。 第七条计算机的使用 (一)计算机开机操作:计算机开机时,应依次开启电源插座、显示器、主机。待出现正常界面,表明启动成功。若不能出现正常操作桌面,即时关掉主机及显示器电源,并报告综合部相关人员。 (二)计算机每次的开、关机操作至少相隔一分钟。严禁连续进行多次的开关机操作。计算机关机时,应遵循先关主机、显示器、电源插座的顺序。下班时,须关闭电源插座的开关,遇节假日,须将电源插座及网线拔下,彻底切断电源和网络,以防止火灾、雷击隐患。 (三)在对界面的应用软件进行操作时,当主机读写指示灯不断闪烁时,表明此时计算机正忙,应停止操作,待指示灯转为绿色后才能继续操作。 (四)录入方案或数据时,信息不断录入,应不断保存,以免停电丢失。 (五)计算机操作人员离开计算机时,应将所有窗口关闭,在确
网络安全论文最终版
【摘要】我们生活在信息时代,随着Internet的普及,我们的生活越来越离不开计算机以及互联网。如何在使用互联网时避开网络中的各种危险,提高网络安全技术正在被全世界所关注。 【关键词】网络安全发展黑客技术病毒物联网 【正文】 一、网络安全的前世今生 近几年,网络空间逐渐被视为继陆、海、空、天之后的“第五空间”,成为国际社会关注的焦点和热点。水能载舟,亦能覆舟。网络在方便和丰富人们生活的同时,使得网络攻击活动有机可乘。网络所具有的开放性、互联性和共享性等特征是的网络安全有着先天不足,网络安全受到全方位挑战。 在计算机发明之前,人们主要靠物理手段(如保险柜)和行政手段(如置顶相应的规章制度)来保证重要信息的安全。在第二次世界大战期间,人们发明了各种机械密码机,以保证军事通信的安全。 自1946年2月14日世界上第一台计算机ENIAC在美国宾夕法尼亚大学诞生以来,人们对信息安全的需求经历了两次重大的变革。计算机的发明给信息安全带来了第一次变革,计算机用户的许多重要问价和信息均存储于计算机中,因此对这些文件和信息的安全保护成为了一个重要的研究课题。计算机网络及分布式系统的出现给信息安全带来了第二次变革。人们通过各种通信网络进行数据的传输、交换、
存储、共享和分布式计算。网络的出现给人们的工作和生活带来了极大的便利,但同时也带来了极大的安全风险。在信息传输和交换时,需要对通信信道上传输的机密数据进行加密;在数据存储和共享时,需要对数据库进行安全的访问控制和对访问者授权;在进行多方计算时,需要保证各方机密信息不被泄露。这些均属于网络安全的范畴。 自20世纪90年代开始,Internet得到广泛发展,链接因特网的计算机也越来越多,自1988年莫里斯蠕虫发作以来,重大网络安全事件不断发生,知名的事件如梅丽莎(Melissa)病毒、灰鸽子病毒、蓝宝石病毒、熊猫烧香等事件均造成巨大的损失。据统计,Internet每天收到的攻击达到500万次以上,平均每小时受到20万次攻击。如何解决在开放网络环境下的安全问题更成为迫切需要解决的问题。 二、我国网络安全发展现状 自1994年我国正是介入Internet以来,互联网的规模和应用迅速发展。截止2015年6月,我国网民数已达6.68亿,互联网普及率为48.8%,为世界第一位。然而,目前中国互联网安全状况不容乐观,各种网络安全事件层出不穷。攻击者攻击目标明确,针对不同网站和用户用不同的手段攻击。对政府类和安全管理相关的网站主要采用篡改网页的攻击方式;对以网络为核心业务的企业,采用有住址的分布式拒绝服务攻击(DDoS)等手段进行勒索;对个人用户是通过用户身份窃取等手段偷取账号、密码,窃取用户个人财产;对金融机构网上
计算机网络安全管理全
网络安全:网络安全硬件、网络安全软件、网络安全服务。 网络协议:为网络数据交换而建立的规则、标准或者约定。它的三要素为语法、语义、同步。语法:数据与控制信息的结构或格式。语义需要发出何种控制信息、完成何种协议以及做出何种作答。同步:事件实现顺序的详细说明。 网络体系结构:计算机网络的各层协议的集合。 OSI参考模型的分层原则:根据功能的需要分层;每一层应当实现一个定义明确的功能;每一层功能的选择应当有利于制定国际标准化协议;各层界面的选择应当尽量减少通过接口的信息量;层数应该足够多,以避免不同功能混扎在同一层中,但也不能过多,否则体系结构会过于庞大。 TCP—IP协议:是事实上的网络标准,由低到高分为网络接口层、网络层、传输层、应用层。 网络接口层:该层中的协议提供了一种数据传送的方法,使得系统可以通过直接的物理连接的网络,将数据传送到其他设备,并定义了如何利用网络来传送IP数据报。网络层协议:网络层协议IP是TCP-IP的核心协议,IP 可提供基本的分组传输服务。网络层还有地址转换协议(ARP)和网间控制报文协议(ICMP)。还提供了虚拟专用网(VPN)。 传输层协议:有传输控制协议(TCP)和用户数据报协议(UDP)。还提供了安全套接字服务(SSL)。 应用层协议:网络终端协议(Telnet)、文件传输协议(FTP)、简单邮件传输协议(SMTP)、邮件接收协议(POP)、超文本传输协议(HTTP)、域名服务(DNS)。系统安全结构:物理层(防止物理通路的损坏、窃听、攻击)、数据链路层(保证网络链路传送的数据不被窃听)、网络层(保证网络路由正确,避免被拦截和监听)、操作系统(保证客户资料、操作系统访问控制的安全)、应用平台(利用SSL),应用系统(使用应用平台提供的安全服务来保证基本安全)。 网络层的安全性:一般使用IP封装技术(其本质是纯文本的包被加密,封装在外层的IP报头里。用来对加密的包进行因特网上的路由选择,到达另一端时,外层的IP 头被拆开,报文被解密,然后送到收报地点),相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。 传输层安全性:安全套接层协议(SSL),此协议包括SSL 记录协议和SSL握手协议。前者涉及应用程序提供的信息的分段、压缩、数据认证和加密。后者用来交换版本号、加密算法、身份认证并交换密钥。 应用层的安全性:它实际上是最灵活的处理单个文件安全性的手段。目前都是用PKI(公钥基础结构),此结构包括3个层次:顶层为网络层安全政策登记结构IPRA、第2层为安全政策证书颁发机构PCA、底层为证书颁发机构CA。 局域网的安全:局域网基本上都采用以广播为技术基础的以太网。它的安全分为网络分段、以交换式集线器代替共享式集线器(可防止网络监听)、虚拟专网。 网络分段:物理分段(是指将网络从物理层和数据链路层上分为若干网段)和逻辑分段(在网络层上进行分段)。虚拟专网VPN:以局域网交换技术(A TM和以太网交换)为基础的面向连接的技术,它的核心技术是采用隧道技术(将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃)。 广域网的安全:加密技术(通过对网络数据的加密来保障网络的安全)、VPN技术、身份认证技术(对拨号用户的身份进行验证并记录完备的登陆日志)。 网络安全的威胁:安全漏洞(是指资源容易遭受攻击的位置)、乘虚攻击(通过利用环境中的安全漏洞访问到计算机中的资源产生)。 19.乘虚攻击的方法:利用技术漏洞型攻击(强力攻击、缓冲区溢出、错误配置、重放攻击、会话劫持);信息收集;拒绝服务(物理损坏、资源删除、资源修改、资源饱和) 20.网络系统的安全体系:访问控制、检查安全漏洞、攻击监控、加密通信、备份和恢复、多层防御、隐藏内部信息、设立安全监控信息。 21.网络安全的主要攻击形式:信息收集(防范信息收集的关键技术就是限制外部对资源进行未经授权的访问)、利用技术漏洞型攻击、会话劫持、防止DNS毒化、URL字符串攻击、攻击安全账户管理器、文件缓冲区溢出、拒绝服务、攻击后门攻击、恶意代码。 22.网络安全的关键技术:防电磁辐射(分为对传导发射的防护和对辐射的防护)、访问控制技术、安全鉴别技术(a. 网络设备的鉴别,基于VPN设备和IP加密机的鉴别;b. 应用程序中的个人身份鉴别;c. 远程拨号访问中心加密设备(线路密码机)与远程加密设备(线路密码机)的鉴别;d. 密码设备对用户的鉴别)、权限控制(操作系统、数据库的访问、密码设备管理、应用业务软件操作的权限控制)、通信保密(a. 中心网络中采用IP加密机进行加密;b. 远程拨号网络中采用数据密码机进行线路加密)、数据完整性、实现身份鉴别(可利用:a. 数字签名机制;b. 消息鉴别码;c. 校验等;d. 口令字;e. 智能卡; f.身份验证服务:Kerberos和X.509目录身份验证)、安全审计、病毒防范及系统安全备份,加密方法、网络的入侵检测和漏洞扫描、应用系统安全、文件传送安全、邮件安全。 23.保证网络安全的措施:防火墙、身份认证(主要包括验证依据、验证系统和安全要求)、加密(数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种)、数字签名(密文和用来解码的密 钥一起发送,而该密钥本身又被加密,还需要另一个密 钥来解码)、内容检查、存取控制、安全协议(加密协议, 身份验证协议,密钥管理协议,数据验证协议,安全审 计协议,防护协议)、智能卡技术。 网络的安全策略:它是纵深防御策略,包括物理安全、 数据防御、应用程序防御、主机防御、网络防御、周边 防御。 网络攻击常用工具:任何攻击都需要进行嗅探或端口扫 描。网络嗅探的常用工具为Ethereal(它是开放源代码 的软件,免费的网络协议程序,支持UNIX、Windows)、 端口扫描是主动的,常用攻击是nmap(它基于Linus和 UNIX)。 1、信息安全性表现在以下的四个特性:保密性、完整性、 可用性、可控性 2、一个加密网络,不但可以防止非授权用户的搭线窃听 和入网,而且也是对付恶意软件的有效方法 3、密码算法主要分为3类:对称密钥算法、公钥加密算 法(非对称加密)、单项函数算法。 4、对称密钥算法:这种技术使用单一的密钥加密信息, 加密和解密共用一把密钥。 5、公钥加密算法(非对称加密):这种技术使用两个密 钥,一个公钥用于加密信息,一个私钥用于解密信息。 这两把密钥之间具有数学关系,所以用一个密钥加密过 的资料只能用相应的另一个密钥来解密。 6、单项函数算法:这个函数对信息加密产生原始信息的 一个“签名”,即数字签名,该签名被在以后证明它的权 威性。 7、DES算法:它是最著名的对称密钥加密算法。DES 使用56位密钥和64位的数据块进行加密,并对64位数 据块进行16轮编码。在每轮编码时,一个48位的“每 轮”密钥值由56位的完整密钥的出来。 8、三重DES算法:这种方法用两个密钥对明文进行了 3次加密,但不是加密了3次,而是加密、解密、加密 的过程。用密钥1进行DES加密,用密钥2对步骤1的 结果进行DES解密,对步骤2的结果使用密钥1进行 DES加密。 9、RSA算法:是非对称加密算法,RSA是用两个密钥, 用公钥加密,私钥解密。加密时吧明文分成块,块的大 小可变,但不能超过密钥的长度。密钥越长,加密效果 越好,加密解密的开销也大,一般64位较合适。RSA 比较知名的应用是SSL。 10、公共密钥算法的2种用途:数据加密和身份认证。 11、数据加密:发送者用接收者的公钥对要发送的数据 加密,接收者用自己的私钥对接收到的数据解密。第三 者由于不知道接收者的私钥而无法破译该数据。 12、身份认证:发送者可以用自己的私钥对要发送的数 据加上“数字签名”,接收者可以通过验证“数字签名” 来确定数据的来源。 13、DES和RSA算法的比较:一是在加密解密的处理 效率方面,DES优于RSA;二是理方面,RSA比DES 更优越;;三是在安全性方面,两者都较好;四是在签名 和认证方面,RSA算法更容易。总之,DES加密解密速 度快,适用用于数据量大、需要在网上传播的信息。RSA 算法于数据量小但非常重要的数据,以及数字签名和 DES算法的密钥。 14、认证机构CA:它是证书的签发机构。他的职责是 验证并标识申请者的身份;确保CA用于签名证书的非 对称密钥的质量;确保整个签名过程的安全,确保签名 私钥的安全性;管理证书材料信息;确定并检查证书的 有效期限;确保证书主题标识的唯一性,防止重名;发 布并维护作废证书表;对整个证书签发过程做日志记录 及向申请人发通知等。CA也拥有一个证书,也有剖自 己的私钥,所以也有签字能力。 15、认证中心:是一个负责发放和管理数字证书的权威 机构。 16. 通用的加密标准分为:对称加密算法、非对称加密 算法、散列算法。 对称加密算法:DES、Triple-DES、RC2、RC4、CAST。 非对称加密算法:RSA、DSA、Diffie-Hellman。 散列算法:SHA-1、MD5。 17、数字证书:是一种能在完全开放系统中使用的证书 (例如互联网络),它的用户群绝不是几个人互相信任的 小集体。在这个用户群中,从法律度讲彼此之间都不能 轻易信任。所以公钥加密体系采用了将公钥和公钥主人 的名字联系在一起,再请一个大家都信任的权威机构确 认,并加上全球为机构的签名,就形成了证书。 18、通用的证书标准是X.509,目录服务标准 X.500及LDAP 19、数字签名:私钥拥有者用私钥加密数据,任何拥有 公钥的人都能解除开。信息发送者用其私钥对从所传报 文中提取的特征数据或称数字指纹进行RSA算法解密 运算操作得到发电者对数字指纹的签名函数H(m)。数 字签名具有不可抵赖性和完整性。 20、数字证书应具备的信息:版本号、序列号、签名算 法、发出该证书的认证机构、有效期限、主题信息、公 钥信息、认证机构的数字签名。 21、证书的管理功能:用户能方便地查找各种证书及已 经撤销的证书,能根据用户请求或其它相关信息撤销用 户的证书,能根据证书的有效期限自动地撤销证书,能 完成证书数据库的备份工作 22、认证机构发放的证书主要应用有:使用S/MIME 协议实现安全的电子邮件系统;使用SSL协议实现浏 览器与Web服务器之间的安全通信;使用SET协议实 现信用卡网上安全支付 23、智能卡:是当前国际上公认的商业网络安全通信中 最好的用户端解决方案,它的外形与普通信用卡相同, 内部有微处理器(CPU)和可重写存储单元(EEPROM), 并有文件管理系统和保护算法不怀还以的人获得智能卡 必须还要得到卡的密码PIN,否则几次输入不成功,卡 会被锁定。 24、使用智能卡的优点:可把用户重要信息安全存在卡 中;加密处理可在卡内完成、每张卡存放的内容都是独 立的、不可代替的;便于携带。 第三章Windows 2000操作系统的安全管理 1、Windows 2000的安全特性主要体现在:对Internet 上的新型服务的支持、便于安全性框架、实现对Windows NT4.0的网络支持。 2、Kerberos是在Internet上广泛采用的一种安全验证机 制,它基于公钥技术。Kerberos协议规定了客户机/密钥 发布中心(Key Distribution Center,KDC)/服务器三者之 间获得和使用Kerberos票证进行通信规则和过程。 Kerberos验证机制加强了Windows 2000的安全性,它使 网络应用服务验证速度更快捷,同时可以建立域信任以 及在建立域信任的域中传递信任关系,另外Kerberos验 证有互操作性的优势。在一个多种操作系统并存的异构 网络环境中,Kerberos协议使用一个统一的用户数据库 对各种用户进行验证,这样就解决了现在异构环境中的 统一验证问题 3、Windows 2000的安全特性:数据安全性(用户登录 时的安全性和网络数据的保护、存储数据的保护)、通信 的安全性、单点安全登录、安全的管理性(对工作站、 服务器、域控制器的安全管理)。 4、Windows 2000中的组策略:账户策略/密码策略(配 置密码存留期、长度和复杂性)、账户策略\账户锁定策 略(配置锁定时间、阀值和复位计数器)、账户策略 \Kerberos策略(配置票证寿命)、本地策略\审计策略、 本地策略\用户权限、本地策略\安全选项、事件日志、受 限制的组、系统服务、注册表、文件系统。 5、密码策略:密码必须符合复杂性的要求,密码必须为 6个字符长(见意为8个字符),密码中必须包含以下三 个类别的字符(英语大写字母,英语小写字母、阿拉伯 数字、标点符号) 6、Windows 2000的安全模板:以inf的格式存储。 7、组策略的安全级别:域级和OU级。域级是一般的安 全要求,如对所有服务器使用的账户策略和审计策略等; OU级是对特定的服务器的安全要求,如IIS的服务器。 8、审计:主要目标是识别攻击者对网络所采取的操作, 分为成功事件和失败事件。 9、安全审计的类别:登录事件、账户登录事件、对象访 问、目录服务访问、特权使用、进程跟踪、系统事件、 策略更改。 10、入侵检测:可分为主动监测和被动检测。 11、主动监测:有目的地查找攻击并阻止这些攻击,有 端口扫描、事件查看器、转储日志工具、EventCombMT 工具,其中端口是最常用的。 12、被动检测:是被攻击后使用检查日志的方法。 1、Windows Server2003的内置信任安全构架TSI主要包 括:身份验证、授权与访问控制、审计与记账、密码管 理、安全管理(包括鉴别与安全策略)。 2、Windows Server2003的安全功能:授权管理器、存储 用户名和密码、软件限制策略、证书颁发机构、受限委 派、有效权限工具、加密文件系统、Everyone成员身份、 基于操作的审核、重新应用安全默认值。3、Windows Server2003的身份验证有四种:某个具体内容、某个具 体设备、某种特征(如指纹)、某个位置。 4、操作系统的验证机制体现在:支持的验证方法的数量、 方法的强度、验证信息是否集成到所有安全操作中。 5、交互式登录身份验证须执行2个方面:交互正式登陆 (向域账户或本地计算机确认用户身份)和网络身份验 证(使用本地计算机的用户每次访问网络资源时,必须 提供凭据)。 6、Kerberos V5身份验证:Kerberos V5是与密码或者智 能卡一起使用已进行交互登陆的协议。它是Windows Server2003对服务进行网络身份验证的默认方法。 Kerberos的三个头在协议中分别代表验证、授权、审核。 是基于对称密钥加密的。 7、Kerberos身份验证优点:使用独特的票证系统并能提 供更快的身份验证;是交互式验证;是开放的标准;支 持委托验证、支持智能卡网络登录的验证。 8、Kerberos V5身份验证的过程:(1)客户端系统上的 用户使用密码或智能卡向KDC进行身份验证。(2)KDC 为此客户颁发一个特别的票证授予式票证。(3)TGS接 着向客户颁发服务票证。(4)客户向请求的网络服务出 示服务票证。 9、强密码的规则:长度至少有7个字符;不包含用户名、 真实姓名或公司名称;不包含完整的字典词汇;与先前 的密码大不相同;包含全部下列四组字符类型(大写字 母、小写字母、数字、键盘上的符号)。远程资源账户、 本地计算机账户、域账户都要使用强密码。 10、授权:SRM是安全参考监视器,它是Windows 操 作系统内核模式中最有特权的安全组件,它检测所有来 自用户端访问资源的请求。授权不仅处理访问控制,还 能控制对操作系统的进程和线程的访问。 11、访问令牌:当每个用户登录系统时,产生访问令牌。 访问令牌的组件是本地安全认证机构LSA。令牌包含用 户域的授权和用户本地授权信息。 12、ACL:访问控制列表集,有多个访问控制实体ACE 组成,ACE与安全标识符SID连接来确定用户的访问权 限,如读取、修改等。 13、Windows Server2003有以下模拟级:匿名、识别、 模拟、委托。 14、Windows Server2003的安全策略:用户账号和用户 密码、域名管理、用户组权限、共享资源权限。 15、域:是指网络服务器和其他计算机的逻辑分组,每 个用户有一个账号,每次登陆是整个域,而不是某一个 服务器。可节省管理员和用户的精力和时间。 16、用户组权限:分为全局组和本地组。全局组由一个 域的几个用户账号组成。本地组由用户账号和一个或者 多个域中的全局组构成。本地组可以包含用户和全局组, 但不能包含其他本地组。 17、有3种方式访问Windows Server2003:通过用户账 号、密码和用户组方式登陆;在局部范围内通过资源共 享的形式登陆;在网络中通过TCP\IP协议对服务器进行 访问。 18、Windows Server2003的安全管理体现在3方面:安 全策略管理、安全补丁管理、相关审核管理。 19、Windows Server2003的组策略:来定义用户工作的 坏境,包括用户账户策略、审计策略、用户权利和事件 日志。 20、密码策略包括:强制密码历史、密码最常使用期限、 密码最短使用期限、密码长度最小值、密码必须符合复 杂性要求、用可还原加密来存储密码。 21、Windows Server2003的加密系统:它支持EFS技术 对任意文件或文件夹进行加密,这是一种核心的文件加 密技术,只有NTFS才能使用,加密后的文件不可以被 被除此用户以外的任何文件访问。 22、Windows Server2003的安全管理采用的对策:物理 安全管理、及时更新补丁、避免给用户定义特定的访问 控制、实施账号及口令策略、控制远程访问服务、启动 审核功能、确保注册表安全、应用系统的安全、取消 TCP/IP撒谎能够的NetBIOS 绑定、Internet Explorer增 强的安全配置、清除远程可访问的注册表路径、禁止不 必要的服务。 第五章Linux网络操作系统的安全管理 TCSEC将系统划分为4组7个等级:从低到高依次是D; C(C1、C2);B(B1、B2、B3);A(A1)。 文件的三种存取权限:用户存取权限、组存取权限、其 他用户存取权限。 基本的溢出攻击方式:堆栈溢出、函数指针、长跳转点。 溢出攻击的解决方案:补丁、编写程序、提升安全级、 利用文件系统和磁盘分区、chroot(可以让用户程序吧某 个目录当成根目录)。 PGP:电子邮件加密技术,是双密钥体系(用户A要建 立两个密钥,一个私钥,一个公钥,用户B向A发送信 息时,先用A的公钥加密,再传给A)它是加密和签名 的综合体。 常用服务端口号:ftp21 、ssh22、telnet23、smtp25。 网络接口层:这两层主要是讲数据转化成物理帧,并且 在电气连接上传递。 集线器:是一个简单的信号放大器,用来补偿信号在传 输中的衰减和变形。一台集线器可以连接很多网卡。而 网卡首先用双绞线连接到集线器和交换机,然后再连接 到其他的机器。 MAC地址:是以太网使用的一个48位的整数来标志自 身,当某一个网卡发送数据时,它在以太帧中携带发送 者和接收者的MAC地址。 混杂模式:程序绕过TCP/IP堆栈和网卡直接打交道。 嗅探器:在以太网内,用一个正确设计的程序就可以监 听到别人发送的信息,它可以作为专门的窃听工具。 SSL:网络接口层,安全套阶层协议,它是基于scoket 的采用客户/服务器方式,安装在传输层和应用层之间, 可以提供数据的加密传输,可强化HTTP的安全性。当 一个客户视图和服务器对话的时候,它首先要执行一个 握手过程。 SSH:网络接口层,是一个用来解决TELNET/FTP协议 安全性的工具。 VPN:网络接口层,虚拟专用网,采用隧道技术。它通 过一个公共网络建立一个临时的、安全的连接。它在因 特网的一些机器之间建立一个虚拟连接,使得这些机器 看上去在一个独立的网络中,其他系统无法加入。VPN 的功能:加密数据、信息认证和身份认证、提供访问控 制。 ARP:地址解析协议,网络层,可有IP地址找到对应的 MAC地址。 ICMP:网络层,网络报文控制协议,它是IP协议的附 属协议,网络层用它来与其他主机或路由器交换错误报 文和其他重要控制信息。ICMP豹纹是在IP数据报内部 被传输的,主要用来对系统中的错误进行分析和控制。 IP地址欺骗:即外网地址冒充本地IP,是通过向路由和 目标发送虚假的重定向豹纹,导致本地机器的路由表被 欺骗实现的。 18、TCP三次握手过程:传输层,请求连接的客户机首 先将一个带SYN标志位的包发给服务器;服务器受到这 个包后产生一个自己的SYN标志,并把收到包的SYN+1 作为ACK标志返回给客户机;客户机收到该包后,再 发一个ACK=SYN+1的包给服务器。经过三次握手,才 正式建立连接。 第六章路由器安全管理 1.路由器相关安全特性具有两层含义:保证内部局域网 的安全(不被非法侵入)和保护外部进行数据交换的安
计算机及网络安全保密管理规定
计算机及网络安全保密管理规定 1
武汉XX有限公司 计算机及网络安全保密管理规定 第一章总则 第一条为加强武汉XX有限公司(以下简称公司)计算机及网络安全保密管理工作,保障计算机及其网络安全运行,防止国家秘密和公司内部信息泄露,根据国家行政法规和上级机关有关规定,结合公司实际制订本规定。 第二条公司内部网络是指覆盖公司在武汉、襄樊两地部门的网络;国际联网是指各单机用户为实现信息的国际交流,同国际互联网(因特网)或其它国际性公共网络相联。 第三条涉及联网的部门和个人,应当严格遵守国家有关法律法规,严格执行安全保密制度,不得利用内部网络和国际联网从事危害国家和集团安全,泄露国家、集团和公司秘密等违法犯罪活动。 第二章计算机及其网络的管理与运行 第四条公司各部门计算机(包括台式计算机和便携式计算机)分为涉密计算机和非涉密计算机,计算机主机醒目处须有”涉密” 2
或”非涉密”标识,以示区分。存储、处理涉密信息的计算机以及联入集团涉密系统的计算机为涉密计算机;非涉密计算机严禁存储和处理涉密信息,严禁联入集团内部涉密系统。经集团保密工作部门批准,公司办和业务一部分别安排一台计算机接入集团涉密系统,实行专人管理。 第五条接入集团涉密系统的计算机由公司按国家对涉密网的管理规定和集团计算机网络安全管理部门的要求进行购置,由集团计算机网络安全管理部门或在其指导下进行调试和维护管理。公司信息化管理部门为公司计算机及网络安全管理部门,必须设立专职网络管理员,对公司的联网计算机进行统一管理。 第六条未经允许,任何部门和个人不得私自在集团内部网上接入各类网络设备,也不得在已接入集团内部网的网络设备上随意安装各种软件,更不能以非法身份侵入内部网络或擅自更改各类网络运行参数。专职网络管理员应定期对公司的联网计算机进行检查并做好相关记录。 第七条要加强对公司计算机联网服务器的安全管理和对计算机网络管理人员的教育管理,有权出入计算机网络服务器机房的工作人员为公司专职网络管理人员,非工作人员进入须经公司党群办审查批准。 第八条公司联入集团内网的两台计算机需要保留软驱和光 3
计算机网络安全论文
毕业论文(设计)开题报告
计算机网络安全 中文摘要 计算机的广泛应用把人类带入了一个全新的时代,特别是计算机网络的社会化,已经成为了信息时代的主要推动力。随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。本文对目前计算机网络存在的安全隐患进行了分析,并探讨了针对计算机安全隐患的防范策略。 【关键词】:计算机网络安全、数据加密、访问控制技术、黑客 ABSTRACT Wider use of computers, a new human being into the era, particularly the computer network of Shehui of, Yijingchengwei the Xinxishidai the Zhuyao drive. With the rapid development of computer network technology, especially Internet applications become more widespread in the unprecedented mass information, the network's openness and freedom also had private information and data corruption or violation of the possibility of network information security becomes increasingly important, the information society has been valued by various fields. There is no absolute safety of the world's network system, with the further development of computer network technology,
[技术管理,计算机网络,信息]计算机网络信息安全技术管理与应用
计算机网络信息安全技术管理与应用 摘要:在互联网高度发达的今天,网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生,给信息时代的人们敲响了警钟。互联网技术的广泛应用,给人们的工作、学习和生活带来了极大的便利,提高了工作效率,降低了活动成本,使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨,分析了当前计算机网络信息安全发展现状及存在的主要问题,介绍了主要的网络信息安全防范技术,希望能够帮助人们更好地了解网络信息安全知识,规范使用计算机,提高网络信息安全水平。 关键词:网络;信息安全;黑客;计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现,深深改变了人类社会生产、生活方式,对人们的思想和精神领域也产生了重大影响。随着互联网的出现,人类社会已经步入信息时代,网络上的海量信息极大地改善了人们工作条件,原本困难的任务变得简单,人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时,也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显,已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用,避免网络信息安全事故发生,保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点,正是这三种特性,赋予了互联网旺盛的生命力和发展动力。但同时,这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点,大肆进行信息破坏,由于互联网安全管理体制机制尚不完善,用户的计算机使用行为还很不规范,缺乏安全防范意识等,这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客,是指利用计算机知识、技术通过某种技术手段入侵目标计算机,进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员,其对计算机的内部结构、安全防护措施等都较为了解,进而能够通过针对性的措施突破计算机安全防护,在不经允许的情况下登录计算机。目前就世界范围而言,黑客数量众多,规模庞大,有个人行为,也有组织行为,通过互联网,能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛,黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件,它能够自我复制,进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的,由于计算机病毒种类繁多,且具有极强的
网络安全论文资料
网络安全论文资料
网络安全论文资料
1.网络安全的概念及其现状 1.1 网络安全的概念 国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。 1.2 网络安全的现状 目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋势公司称,像SOBIG、Slammer等网络病毒和蠕虫造成的网络大塞车,2005年就给企业造成了550亿美元的损失。 国外网站消息报道, 1998及1999年,DOD(美国国防部)两次向外界透露其电脑系统遭到过攻击。在2001年一年里共遭到14,500次黑客攻击,只有70次攻击成功。在这70次当中,有3次造成过危害。黑客及病毒的成功入侵,不是因为黑客及病毒编写者变得如何厉害,而是相对低水平的系统管理员没有成功堵塞系统中存在的漏洞。他说:“网络安全问题主要在于人们不会及时打补丁,以及系统管理员没有做他们应当做的工作。”单单“爱虫”病毒就给美国军事及民用计算机网络造成80亿美元的损失。然而,长期与曾经威胁过他们的恶意黑客作斗争而进行的服务工作,造成的损失就更大。 从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络安全问题带来的损失由此可见一斑。 1.3 网络安全的发展分析 2007年,网络安全界风起云涌,从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击,从频频被利用的系统漏洞到悄然运行的木马工具,网络攻击者的手段也更加高明。 网络攻击的发展趋势 综合分析2007年网络攻击技术发展情况,其攻击趋势可以归纳如下: 如今安全漏洞越来越快,覆盖面越来越广
有关计算机网络安全的思考论文字.doc
有关计算机网络安全的思考论文3000字有关计算机网络安全的思考论文3000字 计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的保密性、完整性和可用性受到保护。下面是为大家整理的有关计算机网络安全的思考论文3000字,希望大家喜欢! 有关计算机网络安全的思考论文3000字篇一 《论计算机的网络信息安全及防护措施》 摘要:随着科学技术的高速发展,计算机网络已经成为新时期知识经济社会运行的必要条件和社会的基础设施。本文针对现代网络威胁,对网络的各种安全隐患进行归纳分析,并针对各种不安全因素提出相应的防范措施。 关键词:计算机网络;信息安全;防火墙;防护措施; 1\网络不安全因素 网络的不安全因素从总体上看主要来自于三个方面:第一是自然因素。自然因素指的是一些意外事故,如发生地震、海啸,毁坏陆上和海底电缆等,这种因素是不可预见的也很难防范。第二是人为因素,即人为的入侵和破坏,如恶意切割电缆、光缆,黑客攻击等。第三是网络本身存在的安全缺陷,如系统的安全漏洞不断增加等。 由于网络自身存在安全隐患而导致的网络不安全因素主要有:网络操作系统的脆弱性、TCP/IP协议的安全缺陷、数据库管理系统安全的脆弱性、计算机病毒等。目前人为攻击和网络本身的缺陷是导致网络不安全的主要因素。 2\计算机网络防范的主要措施 2.1计算机网络安全的防火墙技术 计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的保密性、完整性和可用性受到保护。网络安全防护的根本目的,就是防止计算机网络存储和传输的信息被非法使用、破坏和篡改。 目前主要的网络安全技术有:网络安全技术研究加密、防火墙、入侵检测与防御、和系统隔离等技术。其中防火墙技术是一种行之有效的,对网络攻击进行主动防御和防范,保障计算机网络安全的常用技术和重要手段。 2.2访问与控制策略
计算机网络安全与管理
计算机网络安全与管理 Modified by JACK on the afternoon of December 26, 2020
计算机网络安全与管理 院系专业名称年级班别学号学生姓名 中文摘要:随着计算机和网络的飞速发展,网络已经涉及到国家、政府、军事、文教等诸多领域,网络安全问题在人们生产生活中占有很重要的地位。因此,在这个网络时代,加强网络的安全保障显得原来越重要。从计算机网络安全与管理出发,分析了计算机网络、网络安全、管理防范、安全存在的问题等,简单的做了一些介绍。 关键词:计算机、网络安全、安全管理 当前,随着计算机的迅猛发展为现代化建设提供了一定的技术保障。并且网络技术发展的日益普及,给我们带来了巨大的经济效益。但是,网络的发展也带来了一系列的安全隐患和威胁,导致了一些新的安全问题和社会不稳定因素。计算机网络安全面临着众多的威胁,如黑客攻击,病毒,后门等,使得人们的安全降低,严重威胁着人们的生活财产等的安全,所以网络的王权与管理刻不容缓。 1.计算机网络组成 计算机网络组成要素,无论什么类型的网络,其基本组成部分主要包括如下部分。 (1)网络终端设备 为网络的主体,一般指计算机。但随着智能化以及网络的发展,机、电视机报警设备等都可以接入网络它们都属于网路终端设备。 (2)通信链路 包括通信设备与通信线路,用以连接网络终端设备并构成计算机网络。如光缆、网卡、交换机、路由器等。 (3)网络协议 网络协议是网络终端设备之间进行通信是必须遵守的一套规则和约定,发送的信息要遵守该约定,收到的信息按照规则或约定进行理解。目前使用最广泛的是TCP/IP。 (4)网络操作系统和网络应用软件 链接到网络上的计算机必须装有支持通信协议的网络操作系统,才能使计算机之间进行信息传递。目前几乎所有的操作系统都是网络操作系统。此外,为了提供特殊服务,计算机上还应该安装相应的网络应用程序,如浏览器、QQ、电子邮件等。 2.网络安全与管理概述 网络安全与管理的基本概念 随着计算机和通信技术的发展,国家和社会的信息化程度逐步提高,网络已成为全球信息基础设施的主要组成部分,成为现代人工作生活中必可少的一部分,人们对网络的依赖程度也逐步加深,一旦网络由于种种原因发生故障,陷于瘫痪,人们的生活也必然会受到极大的影响。网络技术如同一把双刃剑,在给我们带来便利的同时,所引发的安全隐患问题也很值得我们关注。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全是一门涉及多方面的
计算机网络信息安全论文
计算机网络信息安全论 文 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
计算机网络信息安全 摘要摸索了网络安全的今朝状况及新需要解答的题目由来和几种首要网络安全技能,提出了使成为事实网络安全的几条措施。 网络安全计算机网络防火墙 1 网络安全及其今朝状况 网络安全的观点 国际规范化社团(ISO)将“计算机安全”界说为择要:“为数值措置惩罚系统成立和采纳的技能和办理的安全掩护,掩护计算机硬件、软体数值不因偶尔和歹意的缘故原由而受到粉碎、更改和走漏”。上面所说的计算机安全的界说包罗物理安全和思维规律青少年网络犯罪浅析安全两方面的内部实质意义,其思维规律安全的内部实质意义可理解为咱们常说的信息安全,是指对信息的保密性、完备性和可用性的掩护,而网络安全性的寄义是信息安全的引伸,即网络安全是对网络信息保密性、完备性和可用性的掩护。 网络安全的今朝状况 今朝欧州列国的小规模企业每年因计算机病毒引起的经济损掉高达220亿欧元,而这些个病毒主如果路程经过过程电子邮件举行流传的。据反病毒厂商趋势公司称,像Sobig、Slammer等网络病毒和蠕虫酿成的网络大堵车,上年就给企业造成外文资料网为了550亿美圆的损掉。而包孕从身份小贼儿到特务在内的其它网络伤害酿成的损掉则很难量化,网络安全新需要解答的题目带来的损掉因而可知一斑。 2 网络安全的首要技能
安全是网络赖以保存的保障,只有安全获患上保障,网络才气使成为事实自身的价值。网络安全技能跟着许多人网络实践的成长而成长,其关于的技能面很是广,首要的技能如认证、加密、防火墙及入侵检验测定是网络安全的重要防地。 认证 对正当用户举行认证可以防止不法用户获患上对公司信息系统的拜候,施用认证机制还可以防止正当用户拜候她们无权查看的信息。现枚举几种如次择要: 2.1.1 身份认证 当系统的用户要拜候系统资源时要求明确承认是不是是正当的用户,这就是身份认证。常接纳用户名和口令等最简略单纯要领举行用户身份的认证辨认。 2.1.2 报文认证 主如果通讯两边对通讯的内部实质意义举行证验,以包管报文由明确承认的送出方孕育发生、报文传到了要发给的接管方、传送中报文没被修自新。 2.1.3 拜候权力委托 主如果明确承认用户对某资源的拜候职权范围。 2.1.4 数码署名 数码署名是一种施用加密认证电子信息的要领,其安全性和有效性首要决定于于用户私匙的掩护和安全的哈希函数。数码署名技能是基于加密技能的,可用对称加密算法、非对称加密算法或者混淆加密算法来使成为事实。 数值加密 加密就是路程经过过程一种体式格局使信息变患上杂乱,从而使未被权力委托的人看不懂它。首要存在两种首要的加密类型择要:私匙加密和公匙加密。 2.2.1 私匙加密
计算机网络安全管理程序
XX电子科技有限公司 信息安全和IT服务管理体系文件 网络安全管理程序 DK-0044-2019 受控状态受控 分发号 版本A/0 持有人
网络安全管理程序 1 目的 为了确保公司信息系统网络安全,对公司网络安全活动实施控制,特制定本程序。 2 范围 适用于对公司信息系统网络安全的管理。 3 职责 3.1 综合部 负责网络安全措施的制定、实施、维护。 3.2 相关部门 负责配合网络安全管理的实施。 4 程序 4.1 总则 本公司信息系统网络安全控制措施包括: a) 实施有效的网络安全策略; b) 路由器等安全配置管理; c) 网络设备的定期维护; d) 对用户访问网络实施授权管理; e) 对网络设备和系统的变更进行严格控制; f) 对网络的运行情况进行监控; g) 对网络服务的管理。
4.2 网络安全策略 4.2.1 网络安全的通用策略如下: a) 公司网络管理员负责信息网络和系统安全,审核系统日志。系统日志的记录内容和保存期限应符合《信息系统监控管理程序》。 b) 网络管理员负责公司网络设备的配置和内部的IP地址管理。 c) 网络管理员应编制《网络拓扑图》,描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。 d) 网络管理员应根据需要增加、修改或删除网络过滤规则,符合数据传送的保密性、可用性,使用最小化规则。 e) 任何个人不得擅自修改网络资源配置、网络权限和网络安全等级。 4.2.2 路由器设备安全配置策略如下: a) 除内部向外部提供的服务外,其他任何从外部向内部发起的连接请求必须经过公司总经理批准; b) 除内部向外部提供的服务相关部分外,内部向外部的访问需经总经理批准; c) 对设备的管理控制不对外提供; d) 路由器的策略设定,应以保证正常通信为前提,在不影响通信质量的前提下,对指定的需要禁止的通信类型进行相应的禁止设定; e) 路由器的设定应保证各个连接设备的兼容性,并考虑冗余和容错。 f) 路由器访问清单设定: ①依照连接对象及网络协议相关事宜制定访问清单加以过滤。 ②依据路由器负载程度,将可能造成网络系统无法运作的通讯端口,制定访 问控制清单加以过滤。 4.2.3 网络交换机安全配置策略: a) 网络交换机安全配置策略应考虑和周边网络设备的连接的兼容性、安全性、可靠性和可变性; b) 网络交换机安全配置策略应尽量减少不必要的限定以保证合理的通信能力。