计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
2计算机网络攻击的特点
计算机网络攻击具有下述特点:①损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。②威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。③手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统;还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹,隐蔽性很强。④以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
3计算机网络中的安全缺陷及产生的原因
网络安全缺陷产生的原因主要有:
第一,TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。因特网是一种网间网技术。它是(转载自中国教育文摘https://www.doczj.com/doc/595509073.html,,请保留此标记。)由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
第四,缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
4网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的
帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如:
利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS 服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
5常见的网络攻击及其防范对策
5.1特洛伊木马
特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序,采用服务器/客户机的运行方式,从而达到在上网时控制你电脑的目的。
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
5.2邮件炸弹
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗
(转载自中国教育文摘https://www.doczj.com/doc/595509073.html,,请保留此标记。)殆尽,从而阻止用户对正常邮件的接收,防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息,也可使自己的SMTP连接只能达成指定的服务器,从而免受外界邮件的侵袭。
5.3过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地进行人为地增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来分析问题的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外,还可以让系统自动检查是否过载或者重新启动系统。
5.4淹没攻击
正常情况下,TCP连接建立要经历3次握手的过程,即客户机向主机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断地向被攻击的主机发送SYN 请求,被攻击主机就会一直处于等待状态,从而无法响应其他用户的请求。
对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
计算机设备与网络安全管理(试行) 一、总则 第一条目的 (一)提高公司信息化水平,规范办公系统的使用管理,进一步整合办公资源,提高工作效率; (二)规范公司局域网内计算机操作,确保计算机使用的安全性、可靠性; (三)对计算机的配置、使用、安全、维护保养等进行有效的管理; (四)对软件的购置、发放、使用、保密、防毒、数据备份等进行安全有效的管理,确保各项管理工作的正常进行。 第二条管理范围 (一)公司计算机设备的购置、管理与操作; (二)计算机软件的购置、管理与操作; (三)公司计算机网络设备的日常管理与维护; (四)公司计算机信息安全管理; (五)公司信息文档的上传、发布管理等。信息文档特指公司或部门之间交流与发布的各项规章制度、通知、请示、报告、文件、工作联系、通报、简报、会议纪要、计划、信息传递、报表等。 第三条管理职责 (一)综合部负责计算机硬件及软件的配备、购置、使用的统一管理,负责计算机网络设备的购置、日常管理与维护,负责集团内计算机信息的安全与保密工作。 (二)计算机使用部门负责计算机的正确使用及日常维护,负责
本单位计算机信息的安全与保密工作。 二、计算机硬件管理 第四条计算机硬件是指各部门日常办公使用的计算机设备,包括计算机主机(含机箱内的芯片、功能卡、内存、硬盘、软驱、光驱等)、显示器、打印机、外设(键盘、鼠标、功放、音箱)等。 第五条公司新购置的计算机,由综合部登录于办公设施台帐中的《计算机设施分类台帐》,注明计算机的品牌型号、设备编号、内存、购置日期、使用部门等相关内容。 第六条所有计算机及配套设备要建立设备档案,综合部及时将设备故障、维修及部件更换等情况记入设备档案中。设备档案的管理要做到标志清楚、置放有序,便于及时取用。 第七条计算机的使用 (一)计算机开机操作:计算机开机时,应依次开启电源插座、显示器、主机。待出现正常界面,表明启动成功。若不能出现正常操作桌面,即时关掉主机及显示器电源,并报告综合部相关人员。 (二)计算机每次的开、关机操作至少相隔一分钟。严禁连续进行多次的开关机操作。计算机关机时,应遵循先关主机、显示器、电源插座的顺序。下班时,须关闭电源插座的开关,遇节假日,须将电源插座及网线拔下,彻底切断电源和网络,以防止火灾、雷击隐患。 (三)在对界面的应用软件进行操作时,当主机读写指示灯不断闪烁时,表明此时计算机正忙,应停止操作,待指示灯转为绿色后才能继续操作。 (四)录入方案或数据时,信息不断录入,应不断保存,以免停电丢失。 (五)计算机操作人员离开计算机时,应将所有窗口关闭,在确
网络安全:网络安全硬件、网络安全软件、网络安全服务。 网络协议:为网络数据交换而建立的规则、标准或者约定。它的三要素为语法、语义、同步。语法:数据与控制信息的结构或格式。语义需要发出何种控制信息、完成何种协议以及做出何种作答。同步:事件实现顺序的详细说明。 网络体系结构:计算机网络的各层协议的集合。 OSI参考模型的分层原则:根据功能的需要分层;每一层应当实现一个定义明确的功能;每一层功能的选择应当有利于制定国际标准化协议;各层界面的选择应当尽量减少通过接口的信息量;层数应该足够多,以避免不同功能混扎在同一层中,但也不能过多,否则体系结构会过于庞大。 TCP—IP协议:是事实上的网络标准,由低到高分为网络接口层、网络层、传输层、应用层。 网络接口层:该层中的协议提供了一种数据传送的方法,使得系统可以通过直接的物理连接的网络,将数据传送到其他设备,并定义了如何利用网络来传送IP数据报。网络层协议:网络层协议IP是TCP-IP的核心协议,IP 可提供基本的分组传输服务。网络层还有地址转换协议(ARP)和网间控制报文协议(ICMP)。还提供了虚拟专用网(VPN)。 传输层协议:有传输控制协议(TCP)和用户数据报协议(UDP)。还提供了安全套接字服务(SSL)。 应用层协议:网络终端协议(Telnet)、文件传输协议(FTP)、简单邮件传输协议(SMTP)、邮件接收协议(POP)、超文本传输协议(HTTP)、域名服务(DNS)。系统安全结构:物理层(防止物理通路的损坏、窃听、攻击)、数据链路层(保证网络链路传送的数据不被窃听)、网络层(保证网络路由正确,避免被拦截和监听)、操作系统(保证客户资料、操作系统访问控制的安全)、应用平台(利用SSL),应用系统(使用应用平台提供的安全服务来保证基本安全)。 网络层的安全性:一般使用IP封装技术(其本质是纯文本的包被加密,封装在外层的IP报头里。用来对加密的包进行因特网上的路由选择,到达另一端时,外层的IP 头被拆开,报文被解密,然后送到收报地点),相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟私有网。 传输层安全性:安全套接层协议(SSL),此协议包括SSL 记录协议和SSL握手协议。前者涉及应用程序提供的信息的分段、压缩、数据认证和加密。后者用来交换版本号、加密算法、身份认证并交换密钥。 应用层的安全性:它实际上是最灵活的处理单个文件安全性的手段。目前都是用PKI(公钥基础结构),此结构包括3个层次:顶层为网络层安全政策登记结构IPRA、第2层为安全政策证书颁发机构PCA、底层为证书颁发机构CA。 局域网的安全:局域网基本上都采用以广播为技术基础的以太网。它的安全分为网络分段、以交换式集线器代替共享式集线器(可防止网络监听)、虚拟专网。 网络分段:物理分段(是指将网络从物理层和数据链路层上分为若干网段)和逻辑分段(在网络层上进行分段)。虚拟专网VPN:以局域网交换技术(A TM和以太网交换)为基础的面向连接的技术,它的核心技术是采用隧道技术(将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃)。 广域网的安全:加密技术(通过对网络数据的加密来保障网络的安全)、VPN技术、身份认证技术(对拨号用户的身份进行验证并记录完备的登陆日志)。 网络安全的威胁:安全漏洞(是指资源容易遭受攻击的位置)、乘虚攻击(通过利用环境中的安全漏洞访问到计算机中的资源产生)。 19.乘虚攻击的方法:利用技术漏洞型攻击(强力攻击、缓冲区溢出、错误配置、重放攻击、会话劫持);信息收集;拒绝服务(物理损坏、资源删除、资源修改、资源饱和) 20.网络系统的安全体系:访问控制、检查安全漏洞、攻击监控、加密通信、备份和恢复、多层防御、隐藏内部信息、设立安全监控信息。 21.网络安全的主要攻击形式:信息收集(防范信息收集的关键技术就是限制外部对资源进行未经授权的访问)、利用技术漏洞型攻击、会话劫持、防止DNS毒化、URL字符串攻击、攻击安全账户管理器、文件缓冲区溢出、拒绝服务、攻击后门攻击、恶意代码。 22.网络安全的关键技术:防电磁辐射(分为对传导发射的防护和对辐射的防护)、访问控制技术、安全鉴别技术(a. 网络设备的鉴别,基于VPN设备和IP加密机的鉴别;b. 应用程序中的个人身份鉴别;c. 远程拨号访问中心加密设备(线路密码机)与远程加密设备(线路密码机)的鉴别;d. 密码设备对用户的鉴别)、权限控制(操作系统、数据库的访问、密码设备管理、应用业务软件操作的权限控制)、通信保密(a. 中心网络中采用IP加密机进行加密;b. 远程拨号网络中采用数据密码机进行线路加密)、数据完整性、实现身份鉴别(可利用:a. 数字签名机制;b. 消息鉴别码;c. 校验等;d. 口令字;e. 智能卡; f.身份验证服务:Kerberos和X.509目录身份验证)、安全审计、病毒防范及系统安全备份,加密方法、网络的入侵检测和漏洞扫描、应用系统安全、文件传送安全、邮件安全。 23.保证网络安全的措施:防火墙、身份认证(主要包括验证依据、验证系统和安全要求)、加密(数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种)、数字签名(密文和用来解码的密 钥一起发送,而该密钥本身又被加密,还需要另一个密 钥来解码)、内容检查、存取控制、安全协议(加密协议, 身份验证协议,密钥管理协议,数据验证协议,安全审 计协议,防护协议)、智能卡技术。 网络的安全策略:它是纵深防御策略,包括物理安全、 数据防御、应用程序防御、主机防御、网络防御、周边 防御。 网络攻击常用工具:任何攻击都需要进行嗅探或端口扫 描。网络嗅探的常用工具为Ethereal(它是开放源代码 的软件,免费的网络协议程序,支持UNIX、Windows)、 端口扫描是主动的,常用攻击是nmap(它基于Linus和 UNIX)。 1、信息安全性表现在以下的四个特性:保密性、完整性、 可用性、可控性 2、一个加密网络,不但可以防止非授权用户的搭线窃听 和入网,而且也是对付恶意软件的有效方法 3、密码算法主要分为3类:对称密钥算法、公钥加密算 法(非对称加密)、单项函数算法。 4、对称密钥算法:这种技术使用单一的密钥加密信息, 加密和解密共用一把密钥。 5、公钥加密算法(非对称加密):这种技术使用两个密 钥,一个公钥用于加密信息,一个私钥用于解密信息。 这两把密钥之间具有数学关系,所以用一个密钥加密过 的资料只能用相应的另一个密钥来解密。 6、单项函数算法:这个函数对信息加密产生原始信息的 一个“签名”,即数字签名,该签名被在以后证明它的权 威性。 7、DES算法:它是最著名的对称密钥加密算法。DES 使用56位密钥和64位的数据块进行加密,并对64位数 据块进行16轮编码。在每轮编码时,一个48位的“每 轮”密钥值由56位的完整密钥的出来。 8、三重DES算法:这种方法用两个密钥对明文进行了 3次加密,但不是加密了3次,而是加密、解密、加密 的过程。用密钥1进行DES加密,用密钥2对步骤1的 结果进行DES解密,对步骤2的结果使用密钥1进行 DES加密。 9、RSA算法:是非对称加密算法,RSA是用两个密钥, 用公钥加密,私钥解密。加密时吧明文分成块,块的大 小可变,但不能超过密钥的长度。密钥越长,加密效果 越好,加密解密的开销也大,一般64位较合适。RSA 比较知名的应用是SSL。 10、公共密钥算法的2种用途:数据加密和身份认证。 11、数据加密:发送者用接收者的公钥对要发送的数据 加密,接收者用自己的私钥对接收到的数据解密。第三 者由于不知道接收者的私钥而无法破译该数据。 12、身份认证:发送者可以用自己的私钥对要发送的数 据加上“数字签名”,接收者可以通过验证“数字签名” 来确定数据的来源。 13、DES和RSA算法的比较:一是在加密解密的处理 效率方面,DES优于RSA;二是理方面,RSA比DES 更优越;;三是在安全性方面,两者都较好;四是在签名 和认证方面,RSA算法更容易。总之,DES加密解密速 度快,适用用于数据量大、需要在网上传播的信息。RSA 算法于数据量小但非常重要的数据,以及数字签名和 DES算法的密钥。 14、认证机构CA:它是证书的签发机构。他的职责是 验证并标识申请者的身份;确保CA用于签名证书的非 对称密钥的质量;确保整个签名过程的安全,确保签名 私钥的安全性;管理证书材料信息;确定并检查证书的 有效期限;确保证书主题标识的唯一性,防止重名;发 布并维护作废证书表;对整个证书签发过程做日志记录 及向申请人发通知等。CA也拥有一个证书,也有剖自 己的私钥,所以也有签字能力。 15、认证中心:是一个负责发放和管理数字证书的权威 机构。 16. 通用的加密标准分为:对称加密算法、非对称加密 算法、散列算法。 对称加密算法:DES、Triple-DES、RC2、RC4、CAST。 非对称加密算法:RSA、DSA、Diffie-Hellman。 散列算法:SHA-1、MD5。 17、数字证书:是一种能在完全开放系统中使用的证书 (例如互联网络),它的用户群绝不是几个人互相信任的 小集体。在这个用户群中,从法律度讲彼此之间都不能 轻易信任。所以公钥加密体系采用了将公钥和公钥主人 的名字联系在一起,再请一个大家都信任的权威机构确 认,并加上全球为机构的签名,就形成了证书。 18、通用的证书标准是X.509,目录服务标准 X.500及LDAP 19、数字签名:私钥拥有者用私钥加密数据,任何拥有 公钥的人都能解除开。信息发送者用其私钥对从所传报 文中提取的特征数据或称数字指纹进行RSA算法解密 运算操作得到发电者对数字指纹的签名函数H(m)。数 字签名具有不可抵赖性和完整性。 20、数字证书应具备的信息:版本号、序列号、签名算 法、发出该证书的认证机构、有效期限、主题信息、公 钥信息、认证机构的数字签名。 21、证书的管理功能:用户能方便地查找各种证书及已 经撤销的证书,能根据用户请求或其它相关信息撤销用 户的证书,能根据证书的有效期限自动地撤销证书,能 完成证书数据库的备份工作 22、认证机构发放的证书主要应用有:使用S/MIME 协议实现安全的电子邮件系统;使用SSL协议实现浏 览器与Web服务器之间的安全通信;使用SET协议实 现信用卡网上安全支付 23、智能卡:是当前国际上公认的商业网络安全通信中 最好的用户端解决方案,它的外形与普通信用卡相同, 内部有微处理器(CPU)和可重写存储单元(EEPROM), 并有文件管理系统和保护算法不怀还以的人获得智能卡 必须还要得到卡的密码PIN,否则几次输入不成功,卡 会被锁定。 24、使用智能卡的优点:可把用户重要信息安全存在卡 中;加密处理可在卡内完成、每张卡存放的内容都是独 立的、不可代替的;便于携带。 第三章Windows 2000操作系统的安全管理 1、Windows 2000的安全特性主要体现在:对Internet 上的新型服务的支持、便于安全性框架、实现对Windows NT4.0的网络支持。 2、Kerberos是在Internet上广泛采用的一种安全验证机 制,它基于公钥技术。Kerberos协议规定了客户机/密钥 发布中心(Key Distribution Center,KDC)/服务器三者之 间获得和使用Kerberos票证进行通信规则和过程。 Kerberos验证机制加强了Windows 2000的安全性,它使 网络应用服务验证速度更快捷,同时可以建立域信任以 及在建立域信任的域中传递信任关系,另外Kerberos验 证有互操作性的优势。在一个多种操作系统并存的异构 网络环境中,Kerberos协议使用一个统一的用户数据库 对各种用户进行验证,这样就解决了现在异构环境中的 统一验证问题 3、Windows 2000的安全特性:数据安全性(用户登录 时的安全性和网络数据的保护、存储数据的保护)、通信 的安全性、单点安全登录、安全的管理性(对工作站、 服务器、域控制器的安全管理)。 4、Windows 2000中的组策略:账户策略/密码策略(配 置密码存留期、长度和复杂性)、账户策略\账户锁定策 略(配置锁定时间、阀值和复位计数器)、账户策略 \Kerberos策略(配置票证寿命)、本地策略\审计策略、 本地策略\用户权限、本地策略\安全选项、事件日志、受 限制的组、系统服务、注册表、文件系统。 5、密码策略:密码必须符合复杂性的要求,密码必须为 6个字符长(见意为8个字符),密码中必须包含以下三 个类别的字符(英语大写字母,英语小写字母、阿拉伯 数字、标点符号) 6、Windows 2000的安全模板:以inf的格式存储。 7、组策略的安全级别:域级和OU级。域级是一般的安 全要求,如对所有服务器使用的账户策略和审计策略等; OU级是对特定的服务器的安全要求,如IIS的服务器。 8、审计:主要目标是识别攻击者对网络所采取的操作, 分为成功事件和失败事件。 9、安全审计的类别:登录事件、账户登录事件、对象访 问、目录服务访问、特权使用、进程跟踪、系统事件、 策略更改。 10、入侵检测:可分为主动监测和被动检测。 11、主动监测:有目的地查找攻击并阻止这些攻击,有 端口扫描、事件查看器、转储日志工具、EventCombMT 工具,其中端口是最常用的。 12、被动检测:是被攻击后使用检查日志的方法。 1、Windows Server2003的内置信任安全构架TSI主要包 括:身份验证、授权与访问控制、审计与记账、密码管 理、安全管理(包括鉴别与安全策略)。 2、Windows Server2003的安全功能:授权管理器、存储 用户名和密码、软件限制策略、证书颁发机构、受限委 派、有效权限工具、加密文件系统、Everyone成员身份、 基于操作的审核、重新应用安全默认值。3、Windows Server2003的身份验证有四种:某个具体内容、某个具 体设备、某种特征(如指纹)、某个位置。 4、操作系统的验证机制体现在:支持的验证方法的数量、 方法的强度、验证信息是否集成到所有安全操作中。 5、交互式登录身份验证须执行2个方面:交互正式登陆 (向域账户或本地计算机确认用户身份)和网络身份验 证(使用本地计算机的用户每次访问网络资源时,必须 提供凭据)。 6、Kerberos V5身份验证:Kerberos V5是与密码或者智 能卡一起使用已进行交互登陆的协议。它是Windows Server2003对服务进行网络身份验证的默认方法。 Kerberos的三个头在协议中分别代表验证、授权、审核。 是基于对称密钥加密的。 7、Kerberos身份验证优点:使用独特的票证系统并能提 供更快的身份验证;是交互式验证;是开放的标准;支 持委托验证、支持智能卡网络登录的验证。 8、Kerberos V5身份验证的过程:(1)客户端系统上的 用户使用密码或智能卡向KDC进行身份验证。(2)KDC 为此客户颁发一个特别的票证授予式票证。(3)TGS接 着向客户颁发服务票证。(4)客户向请求的网络服务出 示服务票证。 9、强密码的规则:长度至少有7个字符;不包含用户名、 真实姓名或公司名称;不包含完整的字典词汇;与先前 的密码大不相同;包含全部下列四组字符类型(大写字 母、小写字母、数字、键盘上的符号)。远程资源账户、 本地计算机账户、域账户都要使用强密码。 10、授权:SRM是安全参考监视器,它是Windows 操 作系统内核模式中最有特权的安全组件,它检测所有来 自用户端访问资源的请求。授权不仅处理访问控制,还 能控制对操作系统的进程和线程的访问。 11、访问令牌:当每个用户登录系统时,产生访问令牌。 访问令牌的组件是本地安全认证机构LSA。令牌包含用 户域的授权和用户本地授权信息。 12、ACL:访问控制列表集,有多个访问控制实体ACE 组成,ACE与安全标识符SID连接来确定用户的访问权 限,如读取、修改等。 13、Windows Server2003有以下模拟级:匿名、识别、 模拟、委托。 14、Windows Server2003的安全策略:用户账号和用户 密码、域名管理、用户组权限、共享资源权限。 15、域:是指网络服务器和其他计算机的逻辑分组,每 个用户有一个账号,每次登陆是整个域,而不是某一个 服务器。可节省管理员和用户的精力和时间。 16、用户组权限:分为全局组和本地组。全局组由一个 域的几个用户账号组成。本地组由用户账号和一个或者 多个域中的全局组构成。本地组可以包含用户和全局组, 但不能包含其他本地组。 17、有3种方式访问Windows Server2003:通过用户账 号、密码和用户组方式登陆;在局部范围内通过资源共 享的形式登陆;在网络中通过TCP\IP协议对服务器进行 访问。 18、Windows Server2003的安全管理体现在3方面:安 全策略管理、安全补丁管理、相关审核管理。 19、Windows Server2003的组策略:来定义用户工作的 坏境,包括用户账户策略、审计策略、用户权利和事件 日志。 20、密码策略包括:强制密码历史、密码最常使用期限、 密码最短使用期限、密码长度最小值、密码必须符合复 杂性要求、用可还原加密来存储密码。 21、Windows Server2003的加密系统:它支持EFS技术 对任意文件或文件夹进行加密,这是一种核心的文件加 密技术,只有NTFS才能使用,加密后的文件不可以被 被除此用户以外的任何文件访问。 22、Windows Server2003的安全管理采用的对策:物理 安全管理、及时更新补丁、避免给用户定义特定的访问 控制、实施账号及口令策略、控制远程访问服务、启动 审核功能、确保注册表安全、应用系统的安全、取消 TCP/IP撒谎能够的NetBIOS 绑定、Internet Explorer增 强的安全配置、清除远程可访问的注册表路径、禁止不 必要的服务。 第五章Linux网络操作系统的安全管理 TCSEC将系统划分为4组7个等级:从低到高依次是D; C(C1、C2);B(B1、B2、B3);A(A1)。 文件的三种存取权限:用户存取权限、组存取权限、其 他用户存取权限。 基本的溢出攻击方式:堆栈溢出、函数指针、长跳转点。 溢出攻击的解决方案:补丁、编写程序、提升安全级、 利用文件系统和磁盘分区、chroot(可以让用户程序吧某 个目录当成根目录)。 PGP:电子邮件加密技术,是双密钥体系(用户A要建 立两个密钥,一个私钥,一个公钥,用户B向A发送信 息时,先用A的公钥加密,再传给A)它是加密和签名 的综合体。 常用服务端口号:ftp21 、ssh22、telnet23、smtp25。 网络接口层:这两层主要是讲数据转化成物理帧,并且 在电气连接上传递。 集线器:是一个简单的信号放大器,用来补偿信号在传 输中的衰减和变形。一台集线器可以连接很多网卡。而 网卡首先用双绞线连接到集线器和交换机,然后再连接 到其他的机器。 MAC地址:是以太网使用的一个48位的整数来标志自 身,当某一个网卡发送数据时,它在以太帧中携带发送 者和接收者的MAC地址。 混杂模式:程序绕过TCP/IP堆栈和网卡直接打交道。 嗅探器:在以太网内,用一个正确设计的程序就可以监 听到别人发送的信息,它可以作为专门的窃听工具。 SSL:网络接口层,安全套阶层协议,它是基于scoket 的采用客户/服务器方式,安装在传输层和应用层之间, 可以提供数据的加密传输,可强化HTTP的安全性。当 一个客户视图和服务器对话的时候,它首先要执行一个 握手过程。 SSH:网络接口层,是一个用来解决TELNET/FTP协议 安全性的工具。 VPN:网络接口层,虚拟专用网,采用隧道技术。它通 过一个公共网络建立一个临时的、安全的连接。它在因 特网的一些机器之间建立一个虚拟连接,使得这些机器 看上去在一个独立的网络中,其他系统无法加入。VPN 的功能:加密数据、信息认证和身份认证、提供访问控 制。 ARP:地址解析协议,网络层,可有IP地址找到对应的 MAC地址。 ICMP:网络层,网络报文控制协议,它是IP协议的附 属协议,网络层用它来与其他主机或路由器交换错误报 文和其他重要控制信息。ICMP豹纹是在IP数据报内部 被传输的,主要用来对系统中的错误进行分析和控制。 IP地址欺骗:即外网地址冒充本地IP,是通过向路由和 目标发送虚假的重定向豹纹,导致本地机器的路由表被 欺骗实现的。 18、TCP三次握手过程:传输层,请求连接的客户机首 先将一个带SYN标志位的包发给服务器;服务器受到这 个包后产生一个自己的SYN标志,并把收到包的SYN+1 作为ACK标志返回给客户机;客户机收到该包后,再 发一个ACK=SYN+1的包给服务器。经过三次握手,才 正式建立连接。 第六章路由器安全管理 1.路由器相关安全特性具有两层含义:保证内部局域网 的安全(不被非法侵入)和保护外部进行数据交换的安
第1题常见的公钥密码算法有RSA算法、 Diffie-Hellman算法和ElGamal算法。 您的答案:正确 题目分数:0.5 此题得分:0.5 批注:公钥密码算法 第2题拒绝服务攻击属于被动攻击的一种。 您的答案:错误 题目分数:0.5 此题得分:0.5 批注:被动攻击 第3题可以在局域网的网关处安装一个病毒防火墙,从而解决整个局域网的防病毒问题。 您的答案:错误 题目分数:0.5 此题得分:0.5 批注:病毒防火墙 第4题非军事化区DMZ是为了解决安全防火墙后外部网路不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。 您的答案:正确 题目分数:0.5 此题得分:0.5 批注:非军事化区 第5题 3DES算法的加密过程就是用同一个密钥对待加密的数据执行三次DES算法的加密操作。 您的答案:错误 题目分数:0.5 此题得分:0.5 批注:3DES 第6题安全是永远是相对的,永远没有一劳永逸的安全防护措施。 您的答案:正确 题目分数:0.5 此题得分:0.5
批注:安全 第7题入侵检测系统是网络信息系统安全的第一道防线。 您的答案:错误 题目分数:0.5 此题得分:0.5 批注:入侵检测系统 第8题我的公钥证书是不能在网络上公开的,否则其他人可能假冒我的身份或伪造我的数字签名。 您的答案:错误 题目分数:0.5 此题得分:0.5 批注:公钥证书 第9题日常所见的校园饭卡是利用的身份认证的单因素法。 您的答案:正确 题目分数:0.5 此题得分:0.5 批注:身份认证 第10题公开密钥密码体制比对称密钥密码体制更为安全。 您的答案:错误 题目分数:0.5 此题得分:0.5 批注:密钥密码体制 第11题链路加密方式适用于在广域网系统中应用。 您的答案:错误 题目分数:0.5 此题得分:0.5 批注:链路加密 第12题“一次一密”属于序列密码中的一种。 您的答案:正确 题目分数:0.5 此题得分:0.5
网络与信息安全管理规 定 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
网络与信息安全管理制度 1. 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 2. 负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。 3. 加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 一旦发现从事下列危害计算机信息网络安全的活动的: (一)未经允许进入计算机信息网络或者使用计算机信息网络资源; (二)未经允许对计算机信息网络功能进行删除、修改或者增加; (三)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加; (四)故意制作、传播计算机病毒等破坏性程序的; (五)从事其他危害计算机信息网络安全的活动。做好记录并立即向当地报告。 5. 在信息发布的审核过程中,如发现有以下行为的: (一)煽动抗拒、破坏宪法和法律、行政法规实施 (二)煽动颠覆,推翻 (三)煽动分裂国家、破坏国家统一 (四)煽动民族仇恨、民族歧视、破坏民族团结 (五)捏造或者歪曲事实、散布谣言,扰乱社会秩序 (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪 (七)公然侮辱他人或者捏造事实诽谤他人 (八)损害国家机关信誉 (九)其他违反宪法和法律、行政法规将一律不予以发布,并保留有关原始记录,在二十四小时内向当地报告。
计算机网络信息安全技术管理与应用 摘要:在互联网高度发达的今天,网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生,给信息时代的人们敲响了警钟。互联网技术的广泛应用,给人们的工作、学习和生活带来了极大的便利,提高了工作效率,降低了活动成本,使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨,分析了当前计算机网络信息安全发展现状及存在的主要问题,介绍了主要的网络信息安全防范技术,希望能够帮助人们更好地了解网络信息安全知识,规范使用计算机,提高网络信息安全水平。 关键词:网络;信息安全;黑客;计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现,深深改变了人类社会生产、生活方式,对人们的思想和精神领域也产生了重大影响。随着互联网的出现,人类社会已经步入信息时代,网络上的海量信息极大地改善了人们工作条件,原本困难的任务变得简单,人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时,也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显,已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用,避免网络信息安全事故发生,保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点,正是这三种特性,赋予了互联网旺盛的生命力和发展动力。但同时,这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点,大肆进行信息破坏,由于互联网安全管理体制机制尚不完善,用户的计算机使用行为还很不规范,缺乏安全防范意识等,这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客,是指利用计算机知识、技术通过某种技术手段入侵目标计算机,进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员,其对计算机的内部结构、安全防护措施等都较为了解,进而能够通过针对性的措施突破计算机安全防护,在不经允许的情况下登录计算机。目前就世界范围而言,黑客数量众多,规模庞大,有个人行为,也有组织行为,通过互联网,能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛,黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件,它能够自我复制,进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的,由于计算机病毒种类繁多,且具有极强的
《计算机及网络安全管理制度》(试行) 计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由专人负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务作用,更好地为集团员工提供正常的工作保障,特制定《计算机及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机等)均归专人所管辖,其安装、维护等操作由专业工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须由专人实施或经过批准实施,未经许可任何部门不得私自连接交换机等网络设备,不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先申报,由专人做网络实施方案。 第四条集团局域网的网络配置由专人统一规划管理,其他任何人不得私自更改网络配置。 第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第七条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第八条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。 第九条任何人不得扫描、攻击集团计算机网络。 第十条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十一条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团公司局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件等。 2. 采取有效的计算机病毒安全技术防治措施。建议集团公司每台计算机安装防火墙和杀毒软件对病毒和木马进行查杀。(集团公司每台计算机现都已安装了杀毒软件) 3. 定期或及时更新,用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 第十三条集团公司的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团公司有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容:
计算机网络安全与管理 Modified by JACK on the afternoon of December 26, 2020
计算机网络安全与管理 院系专业名称年级班别学号学生姓名 中文摘要:随着计算机和网络的飞速发展,网络已经涉及到国家、政府、军事、文教等诸多领域,网络安全问题在人们生产生活中占有很重要的地位。因此,在这个网络时代,加强网络的安全保障显得原来越重要。从计算机网络安全与管理出发,分析了计算机网络、网络安全、管理防范、安全存在的问题等,简单的做了一些介绍。 关键词:计算机、网络安全、安全管理 当前,随着计算机的迅猛发展为现代化建设提供了一定的技术保障。并且网络技术发展的日益普及,给我们带来了巨大的经济效益。但是,网络的发展也带来了一系列的安全隐患和威胁,导致了一些新的安全问题和社会不稳定因素。计算机网络安全面临着众多的威胁,如黑客攻击,病毒,后门等,使得人们的安全降低,严重威胁着人们的生活财产等的安全,所以网络的王权与管理刻不容缓。 1.计算机网络组成 计算机网络组成要素,无论什么类型的网络,其基本组成部分主要包括如下部分。 (1)网络终端设备 为网络的主体,一般指计算机。但随着智能化以及网络的发展,机、电视机报警设备等都可以接入网络它们都属于网路终端设备。 (2)通信链路 包括通信设备与通信线路,用以连接网络终端设备并构成计算机网络。如光缆、网卡、交换机、路由器等。 (3)网络协议 网络协议是网络终端设备之间进行通信是必须遵守的一套规则和约定,发送的信息要遵守该约定,收到的信息按照规则或约定进行理解。目前使用最广泛的是TCP/IP。 (4)网络操作系统和网络应用软件 链接到网络上的计算机必须装有支持通信协议的网络操作系统,才能使计算机之间进行信息传递。目前几乎所有的操作系统都是网络操作系统。此外,为了提供特殊服务,计算机上还应该安装相应的网络应用程序,如浏览器、QQ、电子邮件等。 2.网络安全与管理概述 网络安全与管理的基本概念 随着计算机和通信技术的发展,国家和社会的信息化程度逐步提高,网络已成为全球信息基础设施的主要组成部分,成为现代人工作生活中必可少的一部分,人们对网络的依赖程度也逐步加深,一旦网络由于种种原因发生故障,陷于瘫痪,人们的生活也必然会受到极大的影响。网络技术如同一把双刃剑,在给我们带来便利的同时,所引发的安全隐患问题也很值得我们关注。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全是一门涉及多方面的
XX电子科技有限公司 信息安全和IT服务管理体系文件 网络安全管理程序 DK-0044-2019 受控状态受控 分发号 版本A/0 持有人
网络安全管理程序 1 目的 为了确保公司信息系统网络安全,对公司网络安全活动实施控制,特制定本程序。 2 范围 适用于对公司信息系统网络安全的管理。 3 职责 3.1 综合部 负责网络安全措施的制定、实施、维护。 3.2 相关部门 负责配合网络安全管理的实施。 4 程序 4.1 总则 本公司信息系统网络安全控制措施包括: a) 实施有效的网络安全策略; b) 路由器等安全配置管理; c) 网络设备的定期维护; d) 对用户访问网络实施授权管理; e) 对网络设备和系统的变更进行严格控制; f) 对网络的运行情况进行监控; g) 对网络服务的管理。
4.2 网络安全策略 4.2.1 网络安全的通用策略如下: a) 公司网络管理员负责信息网络和系统安全,审核系统日志。系统日志的记录内容和保存期限应符合《信息系统监控管理程序》。 b) 网络管理员负责公司网络设备的配置和内部的IP地址管理。 c) 网络管理员应编制《网络拓扑图》,描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。 d) 网络管理员应根据需要增加、修改或删除网络过滤规则,符合数据传送的保密性、可用性,使用最小化规则。 e) 任何个人不得擅自修改网络资源配置、网络权限和网络安全等级。 4.2.2 路由器设备安全配置策略如下: a) 除内部向外部提供的服务外,其他任何从外部向内部发起的连接请求必须经过公司总经理批准; b) 除内部向外部提供的服务相关部分外,内部向外部的访问需经总经理批准; c) 对设备的管理控制不对外提供; d) 路由器的策略设定,应以保证正常通信为前提,在不影响通信质量的前提下,对指定的需要禁止的通信类型进行相应的禁止设定; e) 路由器的设定应保证各个连接设备的兼容性,并考虑冗余和容错。 f) 路由器访问清单设定: ①依照连接对象及网络协议相关事宜制定访问清单加以过滤。 ②依据路由器负载程度,将可能造成网络系统无法运作的通讯端口,制定访 问控制清单加以过滤。 4.2.3 网络交换机安全配置策略: a) 网络交换机安全配置策略应考虑和周边网络设备的连接的兼容性、安全性、可靠性和可变性; b) 网络交换机安全配置策略应尽量减少不必要的限定以保证合理的通信能力。
****计算机信息网络安全管理制度 第一章总则 第一条为规范****系统信息化及计算机网络安全管理,促进信息化建设,提高工作效率,确保信息化网络、计算机设备安全、有效运行,特制定本制度。 第二条****信息化及计算机网络管理工作在本队队长的统一领导下,由****计算机信息网络安全管理领导小组所有成员负责具体组织实施。 第三条本单位计算机信息网络安全管理工作实行“一把手”负责制。 第四条本制度所称计算机信息安全网络管理工作包括信息化网络及设备管理、安全保密管理、计算机病毒防治、资料管理、培训等内容。 第二章信息化网络及设备管理 第五条信息化网络及设备按个人分配使用。分配到个人的设备由单位的工作人员负责,单位应指定一名熟悉计算机技术的人员负责日常管理和维护工作。 第六条凡使用信息化网络及设备的工作人员应自觉遵守相关法律法规和制度规定。对违反规定使信息化网络及设备不能正常工作和造成重大事故者,追究其相应责任,后果严重的,依法追究法律责任。
第七条严禁在信息化设备上安装与工作无关的、未经广泛验证为安全的软件程序。严禁带电拔插计算机内部配件。移动非便携式信息网络设备应断电后进行。离开工作场所前,须关闭计算机,切断电源。如有特殊情况不能关闭的,须征得本部门负责人同意。 第八条非指定的技术人员不得擅自打开信息化网络设备外壳,进行任何配置和检测。不得擅自将信息网络设备(包括报废设备)的配件私自拆卸,移植到其它设备。 第九条未经单位负责人批准,任何人不得随意更换信息化网络设备,不得随意外借、处置信息网络设备。外部人员如需使用本单位的信息网络设备,需经本单位主管领导同意,并在现场监督的情况下进行。 第十条对计算机进行硬盘格式化和删除操作系统文件,须事先做好数据备份工作,并由本单位信息化管理员进行操作。 第十一条各单位信息化网络设备的使用人、保管人、责任人等情况的变更,应及时报办公室和财务部门登记备案。 第十二条重要的信息化网络设备,由本单位办公室集中统一管理。如需要使用时,应办理相关借用手续。 第十三条为防止计算机病毒造成严重后果,对外来移动存储介质(软盘、光盘、优盘、移动硬盘等)要严格管理,
计算机网络与安全管理专业实习周记计算机网络与安全管理专业实习周记(一) 刚刚到公司我很是迷茫,对于初入社会的我对于周围的一切还是那么的陌生。不过很快我也就适应了,就是那句:既来之则安之。到了公司老板让同事带着我去了几个学校和ktv,同事告诉我这些都是我们工作的地方,以后就要做这些。这几天一直跟同事熟悉着公司的情况和工作的环境以及他们的一些经验,同时同事也告诉我到了公司该做什么。比如:在公司都要做维修电脑,组装电脑,维修打印机,复印机,网络布线等等。一周下来我就了解了我该做什么,我也有了自己的目标。 现在到了公司只是做一些简单的事情,给电脑做系统和维修电脑。同时我也在学习修理打印机,因为在学校的时候我没有接触过这个,还要跟同事学习画布线图。有时候我也自己上网查找资料,学习别人的做法,让自己很快的成熟起来。看着同事的工作效率,我想我以后也应该会这样的,我也能够独当一面。 为了能够真正的学到知识,我很严格的要求自己去做好每一件事情,即使再简单的事情我都会认真考虑几遍,因此,虽然做得不算快,但能够保证让同事们满意。同事通常也不催促,都把任务安排好,然后便交给我自己去处理,同时还不时提供一些帮助。等慢慢熟悉起来,做起事情也越来越顺手了。第一个礼拜的实习,我可以简单的总结为几个字,那就是:多看,多问,多观察,多思考! 一方面要发扬自主思考问题的能力,在碰到问题的事情,自觉努力去独立解决,这样对问题便能够有一个更深刻的了解,当然解决的时候也会获
益良多。另一方面,要发扬团队精神。公司是一个整体,公司产品是团队的结晶,每个人都需要跟其他人更好的沟通和交流,互相帮助,合力完成共同的目标,团结众人的智慧才能够发挥最大的效能这周在公司我学到很多,既要努力学习,还要仔细工作,更要有团队的精神,这些都是我应该努力的,我相信我可以做的更好。 计算机网络与安全管理专业实习周记(二) 实习第二周开始,我已经逐渐进入状态。通过上一周我已经了解了公司的运行制度和工作环境,所以这周开始老板让我独立接触一些业务,老板也知道我会一些简单的组装电脑和维修,所以放心的让我一些简单的电脑问题,比如给客户换一些硬件,组装客户所需要的电脑主机配件,并安装一些必要的软件,满足客户的一切要求,让他们满意而归,这也是我所期待的。所以每天上班我都会很认真的为客户服务,尽量满足他们的要求,适当给他们提一点意见,闲暇的时候上网查看网友出现的电脑问题以及一些答案,每天的坚持学习让我更加懂得了电脑的故障所出和处理办法,也更能很好的为客户服务了。现在我很满意自己的表现,来公司两周工作态度还是比较好的,同事之间也相处的挺好。 工作进行的还是比较顺利的,通常每天都要接受好几个任务,每个任务都是比较简单的,同时也要学习如何维修打印机、复印机,明白它们的工作原理以及一些重要的部件。虽然自认为口才并不好,但我能够把事情描述的比较清晰,如此也令客户满意。所以每次客户满意的拿走电脑的时候,自己心里都会觉得很踏实,虽然已经满头虚汗了,但一想,我是自己独立完成,这完全是我自己的功劳,也是我努力的结果。工作都是辛苦的,特别是周末前的一两天,任务特别的
练习三 信安141-黄利平 列出几个著名的黑客攻击工具软件,并分析这些工具软件的攻击机制。 1.黑洞免杀版 采用路由选择方式时,在路由发现阶段恶意节点向接收到的路由请求包中加入虚假可用信道信息,骗取其他节点同其建立路由连接,然后丢掉需要转发的数据包,造成数据包丢失的恶意攻击。 2.灰鸽子迷你版 病毒构成 配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。 运行过程 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT 下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows 目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll 文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。 3. sql_injection SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。