第七章网络管理与网络安全
7.1.1 网络管理概述
(1) 网络管理的目标。
网络管理的目标是最大限度地增加网络的可用时间,提高网络设备的利用率,改善网络性能、服务质量和安全性,简化多厂商混合网络环境下的管理和控制网络运行的成本,并提供网络的长期规划。
(2) 网络管理员的职责。
在网络的建立和运行过程中,网络管理员的职责包括:对网络进行规划、建设、维护、扩展、优化和故障检修。
(3) 网络管理模型。
在网络管理中,一般采用管理者-代理的管理模型。
代理位于被管理的设备内部,它把来自管理者的命令或信息请求转换为设备特有指令,完成管理者的指示,或返回它所在设备的信息。管理者从各代理处收集信息,并进行处理,获得有价值的管理信息,以达到管理目的。
管理者和代理之间的信息交换可分为两种:从管理者到代理的管理操作;从代理到管理的事件通知。
在一般的网络管理模型中,一个网络管理者可以和多个代理进行信息交换,实现对网络的管理。
7.1.2.1 配置管理
(1)配置管理的目标。掌握和控制网络配置信息及跟踪、管理网络内各设备的状态和连接关系。
(2)配置管理的主要作用。增强网络管理者对网络配置的控制,它可以通过对设备的配置数据提供快速的访问来实现。
对设备的管理包括:识别网络中各种设备,确定设备的地理位置、名称和有关细节,记录并维护设备参数表;用适当的软件设备参数值和配置设备功能;初始化、启动和关闭网络或者网络设备。
7.1.2.2 故障管理
(1)故障管理的目标。自动监测网络硬件和软件中的故障并告知用户,当网络出现故障时,要进行故障的确认、记录、定位,并尽可能地排除这些故障。
(2)故障管理的一般步骤。发现故障→判断故障症状→隔离故障→修复故障→记录故障的检修过程及其结果。
常用的故障报告形式有文字、图形和声音信号。
7.1.2.3 性能管理
(1)性能管理的目标。衡量和呈现网络特性的各个方面,使网络的性能维持在一个可接受的水平上。性能管理使网络管理人员能够监视网络运行的关键参数,如吞吐率、利用率、错误率、响应时间、网络的一般可用度等。
(2)性能管理的功能类别。从概念上讲,性能管理包括监视和调整两大功能,监视功能主要指跟踪网络活动,调整功能指通过改变设置来改善网络的性能。
7.1.2.4 安全管理
安全管理的目标是按照一定的策略对网络资源的访问进行控制,保证重要的信息不被未授权的用户访问,并防止网络遭到恶意或无意的攻击。
7.1.3.1 SNMP的概述
SNMP,即简单网络管理协议,位于ISO OSI参考模型的应用层,它遵循ISO的管理者-代理网络管理模型,主要由网络管理站、代理节点、管理信息库和SNMP这4个部分组成。SNMP 使用的传输层协议是用户数据报协议(UDP)。
SNMP是应用层协议,SNMP v2规范定义了5种传输层服务,这5种传输层映射分别为UDP、CLNS、CONS、DDP、IPX。目前SNMP主要包括了3 个版本:SNMP v1、SNMP v2和SNMP v3,SNMP v3在SNMP v2的基础上,增加、完善了安全和管理机制。其主要特点是适应性强,适用于多种操作环境。
7.1.3.2 CMIS/CMIP的概述
CMIS/CMIP是ISO定义的网络管理协议,它是一个复杂的协议关系,管理信息采用了面向对象的模型。
CMIP的优点是安全性强,功能强大,不仅可以传输管理数据,而且可以执行一定的任务。不足之处在于对系统处理能力要求高,操作复杂,覆盖范围广,难以实现。
CMIS/CMIP采用管理者-代理模型,它以委托监控的方式对网络实体进行管理监控,开销小,反应及时,但是对代理的资源要求高。
7.2.1.1 信息安全的基本概念
信息技术是计算机、微电子和通信技术的结合。信息安全主要包括3个方面,即物理安全、安全控制和安全服务。
信息安全5个基本要素:机密性、完整性、可用性、可控性和可审查性。
7.2.1.3 信息安全等级
美国国防部安全准则(TCSEC) 定义了4类7个级别,安全性从低到高分别为D1、C1、C2、B1、B2、B3、A1级别。协议TCSEC级别及其安全性详见表7-1。
表7-1 TCSEC级别及其安全性
级别安全性
D1级它是计算机安全性最低的一级,该级保护措施很少,没有安全功能
C1级C1级称为选择的安全保护;它可有选择的存取控制,实现用户与数据分离,数据的保护以组为单位C2级C2级称为受控的访问控制。包含所有的C1级特征,C2级具有限制用户执行某些命令或访问某些文件的权限,还加入了身份认证级别;达到C2级的操作系统有UNIX、XENIX、NetWare 3.x或更高版本及Windows NT等
B1级B1级称为标记安全保护,B1级支持多级安全
B2级B2级称为结构化保护,要求计算机系统中的所有对象都要加上标签,而且给设备分配安全级别
B3级B3级称为安全域,要求用户工作站或终端通过可信任途径连接到网络,而且采用硬件来保护安全系统的存储区
A1级最高的安全等级,又称为可验证安全设计
C2级为历年考试的常考点,应当对此级重点关注。
在我国,以《计算机信息系统安全保护等级划分准则》为指导,将信息和信息系统的安全保护分为5个等级(见表7-2)。
表7-2 我国计算机信息系统安全保护等级划分级别名称适用于危害
第一级自主保护级一般的信息和信息系统会对公民、法人和其他组织的权益产生
一定影响,但不危害国定安全、社会秩
序、经济建设和公共利益
第二级指导保护级一定程度上涉及国家安全、社会秩序、
经济建设和公共利益的一般信息和信
息系统
会对国家安全、社会秩序、经济建设和
公共利益造成一定损害
第三级监督保护级涉及国家安全、社会秩序、经济建设和
公共利益的信息与信息系统
会对国家安全、社会秩序、经济建设和
公共利益造成较大损害
第四级强制保护级涉及国家安全、社会秩序、经济建设和
公共利益的重要信息与信息系统
会对国家安全、社会秩序、经济建设和
公共利益造成严重损害
第五级专控保护级涉及国家安全、社会秩序、经济建设和
公共利益的重要信息与信息系统的核
心子系统
会对国家安全、社会秩序、经济建设和
公共利益造成特别严重的损害
7.3.1.1 网络安全的目的
确保网络系统的信息安全是网络安全的目标,对网络系统而言,主要包括两个方面:信息的存储安全和信息的传输安全。
信息的存储安全就是指信息在静态存放状态下的安全,一般通过设置访问权限、身份识别、局部隔离等措施来保证。
信息的传输安全主要是指信息在动态传输过程中的安全。为确保网络信息的传输安全,尤其需要防止出现如下状况。
(1)对网络上的信息的监听。
(2)对用户身份的假冒。
(3)对网络上信息的篡改。
(4)对发出的信息予以否认。
(5)对信息进行重放
7.3.1.2 安全措施
网络信息安全系统并非局限于通信保密,而是涉及方方面面的一项极其复杂的系统工程。一个完整的网络信息安全系统至少包括以下3类措施。
(1)社会的法律政策、企业的规章制定及网络安全教育。
(2)技术方面的措施,如防火墙技术、信息加密、防病毒、身份认证及授权等。
(3)审计与管理措施,包括技术与社会措施。主要有实时监控、提供安全策略改变的能力及对安全系统实施漏洞检查等。
7.3.2.1 安全攻击的具体内容及分类
安全攻击就是安全威胁的具体实现,其具体包括如下内容。
①中断:指系统资源遭到破坏或变得不能使用,是对可用性的攻击。
②截取:未经授权实体得到了资源的访问权,对机密性的攻击。
③修改:未授权的实体不仅得到了访问权,而且还篡改了资源,对完整性的攻击。
④捏造:未经授权实体向系统中插入了伪造的对象,对真实性的攻击。
安全攻击可分为被动攻击和主动攻击,也可分为服务攻击与非服务攻击。
(1)被动攻击和主动攻击
①被动攻击:其特点是偷听或监视传送,包括泄漏信息和内容通信量分析。
②主动攻击:涉及修改数据流或创建数据流,包括假冒、重放、修改信息、拒绝服务及分布式拒绝服务等。
被动攻击难以检测,但可防止;主动攻击很难拒绝,但可以对攻击进行检测。通信量分析可以确定通信位置和通信主机的身份,还可以观察交换信息的频度和长度。
(2) 服务攻击和非服务攻击
①服务攻击:是针对某种特定网络服务的攻击。
②非服务攻击:指不针对某项具体应用服务,而是基于网络层等低层协议而进行。非服务攻击与特定服务无关,通常利用协议或操作系统实现协议时的漏洞来达到攻击的目的。
7.4.1.2 密码体制的分类
通常,密码体制从以下3个独立的方面进行分类。
(1)按从明文到密文的转换操作分类:置换密码和易位密码。
(2)按明文的处理方法分类:分组密码和序列密码。
(3)按密钥的使用个数分类:对称密码体制和非对称密码体制。
7.4.1.3 不可逆加密算法
不可逆加密算法又称为单向散列算法。加密过程不需要密钥,无法从密文解密出明文,因此不可逆加密算法不适合数据加密,而是用于数据完整性校验和身份验证等,代表算法有:MD5算法和安全散列算法(SHA) 。
7.5.1.3 常用的对称加密算法
其中,DES是最常用的对称加密算法,几乎是事实上的国际标准。DES的分组长度为64位,密码长度为56位。
7.6.1.1 公钥密码体制的模型
公钥密码体制有两个不同的密钥,一个称为私钥,被秘密保存;另一个称为公钥,公开,不需要保密。公钥加密的算法和公钥是公开的。公钥密码体制有加密模型和认证模型两种基本模型。
7.6.1.2 公钥加密的基本步骤
公钥加密是建立在数学难题的基础上的。
公钥加密的基本步骤如下:
(1)每个用户都生成一对加密和解密时使用的密钥。
(2)每个用户都把他的公钥放在一个公共地方,私钥自己妥善保管。
(3)发送用户要向接收用户发送机密消息,就用接收用户的公钥加密消息。
(4)当接收用户收到消息时,可用自己的私钥进行解密。
在公钥密码体制中,所有参与者都可以获得公钥,而私钥却由每个参与者个人生成并保密,不需传送。只要用户能保护好自己的私钥,接收的消息就是安全的。
7.6.1.3 常用的公钥加密体制
(1) RSA公钥体制。
1978年提出,该体制被认为是到目前为止理论上最为成熟完善的一种公钥密码体制,缺点是加密、解密速度太慢。因此,RSA体制很少用于数据加密,主要用在数字签名、密钥管理和认证方面。
(2) Elgamal体制。
1985年Elgamal构造了一种基于离散对数的公钥密码体制,称为Elgamal公钥体制。它的密文不仅依赖于待加密的明文,而且依赖于用户选择的随机参数,即加密相同的明文,得到不同的密文。
(3) 背包公钥体制。
背包问题是不可计算问题,背包体制以其加密解密速度快而引人注目,但是大多是背包体制均被破译了,因此很少使用。
7.7.1.2 保密密钥的分发
密钥分发技术将密钥发送到数据交换的两方,而其他人无法看到的方法。
通常使用的密钥分发技术有:KDC技术和CA技术。KDC(密钥分发中心)技术可用于保密密钥的分发;CA(证书权威机构)技术可以用于公钥和保密密钥的分发。
KDC分发密钥时,进行通信的两台主机都需向KDC申请会话密钥。每个需要保密通信安全的主机都与KDC共享一个密钥。
7.7.1.3 公钥的分发
公钥是公开的,不需保密,但要保证公钥的完整性。目前通常使用数字证书来分发公钥,数字证书要求使用可信任的第三方,即证书权威机构(CA) 。
用户以安全的方式向权威机构出具其公钥并取得证书,此后用户可公开这个证书。任何需要用户公钥的人都可得到这个证书。
7.8.1.2 消息认证
(1) 消息认证的概念
消息认证又称消息完整性校验,是接收方能够验证收到的消息是否真实的方法。在银行业称为消息认证,在OSI安全模型中称为封装。
消息认证主要包括:证实消息的信源和信宿;消息内容是否曾收到偶然或有意地篡改;消息的序号和时间是否正确。
(2) 安全单向散列函数
在实际中通常利用安全单向散列函数来产生消息摘要。
安全单向散列函数的特性包括:必须一致,相同的输入有相同的输出;必须是随机的;必须唯一;必须是单向的,已知消息摘要求原始消息困难;必须易于实现高速计算,硬件实现成本低,或者便于软件实现。
(3) 常用的摘要算法
常用的摘要算法包括:消息摘要4算法(MD4)、消息摘要5算法(MD5)和安全散列算法(SHA) 。
MD5和SHA是最常用的散列函数,建立在MD4的基础上。
MD5按512比特块来处理其输入,生成一个128位的消息摘要。Radius(拨号认证协议)、OSPF(路由协议)、SNMP的安全协议都是使用共享密钥加上MD5认证的。
7.8.1.4 数字签名
数字签名是用于确认发送者身份和消息完整性的一个加密的消息摘要。数字签名可以利用公钥密码体制、对称密码体制和公证系统实现。最常见的实现方法是建立在公钥密码体制和单向安全散列算法的组合基础上。常用的公钥数字签名算法包括:RSA算法和数字签名标准算法(DSS)。
数字签名与消息认证的区别是消息认证使收方能验证消息发送者及其所发的消息是否被篡改过。
数字签名不但可以保证信息传输过程中信息的完整性,而且提供信息发送者本身的身份证,防止抵赖行为的发生。
7.9.1.1 身份认证协议
从实用角度而言,一个安全的身份识别协议至少应满足以下两个条件。
①识别者A能向验证者B证明他的确是A。
②在识别者A向验证者提供了证明他的身份信息后,验证者B不能取得A的任何有用的信息,即B不能模仿A向第三方证明他是A。
目前已设计出了许多满足上述条件的认证协议,主要有这几类:一次一密机制、X.509认证协议、Kerberos认证协议。
(1)一次一密机制。
采用请求应答机制:用户登录时,系统随机提示一条信息,用户根据信息产生一个口令,完成一次登录;询问应答方式:验证者提出问题,由识别者回答,然后由验证者验证其真伪。
(2) X.509认证协议。
X.509定义了一种通过X.500目录提供认证服务的框架。该目录可以看成是公钥证书(Certificate)的数据库,每个证书包含了一个可信机构签名的用户公钥(通过可信第三方实现认证)。
(3) Kerberos认证协议。Kerberos基于对称密钥体制(一般采用DES,但也可以采用其他算法)。它与网络上的每个实体共享一个不同的密钥,通过是否知道秘密密钥来验证身份。
7.9.1.2 电子邮件的安全
目前广泛使用的电子邮件安全的方案有两种:PGP和S/MIME。
(1) PGP方案。PGP是一种不依赖于任何组织和权威的应用方案,适合个人和团体组织使用。它提供了机密性和身份认证服务,可用于电子邮件和文件存储。
(2) S/MIME方案。MIME(多用途因特网邮件扩展)是一种因特网邮件标准,它允许以标准化的格式在电子邮件消息中包含文本、音频、图形和类似的信息。S/MIME(安全MIME)在MIME 的基础上添加了安全性元素。
7.9.1.3 Web的安全
(1) Web服务器的安全。
Web服务器的安全内容包括:服务器向公众提供了不应该提供的服务;服务器把本应私有的数据放到了可公开访问的区域;服务器信赖了来自不可信赖数据源的数据。
Web站点限制用户访问Web服务器资源的访问控制级别,主要包括:IP地址限制、用户验证、Web权限和硬盘分区权限。
(2) 浏览器的安全。
在使用浏览器访问Web资源时,用户可以对Java、Java Applet脚本、ActiveX控件和插
件的使用进行限制,以提高安全性。
(3) Web的通信安全。
Web浏览利用TCP/IP在两台机器间提供了一个匿名的数据流,但它不提供保密性、完整性和认证服务,加强Web通信安全的方案有SSL及IPSec等。具体方案内容介绍如下:
① SSL(安全套接层)为TCP/IP连接提供数据加密、服务器认证、消息完整性和可选的客户机认证。
② IPSec(IP安全协议)在IP层上提供访问控制、无连接完整性、数据源认证、拒绝重放包、加密和流量保密服务。IPSec专门用于IPv6,但它也可以用于IPv4。
7.10.1.1 防火墙介绍
防火墙设置在可信任的企业内部网和不可信任的公众访问网之间。
防火墙总体上分为数据包过滤和应用网关两大类。其他有关防火墙的内容包括:进出内部网的通信量必须通过防火墙;只有在内部网安全策略中定义了的合法通信量,才能进出防火墙;防火墙自身能够防止渗透。
7.10.1.2 防火墙的功能
防火墙能够有效地防止外来入侵,能够控制进出网络的信息流向和信息包;提供使用和流量的日志及审计;隐藏内部IP地址及网络结构的细节;提供虚拟专用网(VPN)的功能。
7.10.1.3 防火墙的类型
最常用的防火墙主要包括3种:包过滤路由器、应用级网关和电路级网关。
7.11.1.1 计算机病毒
计算机病毒是一个程序、一段可执行代码,它对计算机的正常使用进行破坏,使得计算机无法正常使用,甚至整个操作系统或硬盘损坏。计算机病毒不是独立存在的,它隐藏在其他可执行的程序中,既有破坏性,又有传染性和潜伏性。除了复制能力外,某些计算机病毒还有其他一些共同特性:一个被感染的病毒能传送病毒载体。
(1)病毒的生命周期
计算机病毒的完整工作过程包括以下4个环节。
①潜伏阶段:这一阶段病毒处于休眠状态。病毒要通过某个事件来激发。
②繁殖阶段:病毒将与自身完全相同的副本放入其他程序或者磁盘上的特定系统区域。
③触发阶段:病毒被激活来进行它想要实现的功能。
④执行阶段:功能被实现。
(2)病毒的结构
病毒可以附加在可执行程序的头部或尾部,或者采用其他方式嵌入。它运行的关键在于被感染的程序当被调用时,将首先执行病毒代码,然后再执行程序原来的代码。
一旦病毒通过感染一个程序获得了系统的入口,当被感染的程序执行时,它就处于感染一些或者所有其他可执行文件的位置,因此通过第一步防止病毒获得入口就可以完全避免主要的感染。
(3)病毒的种类
对于重要的类型病毒有如下分类方法。
①寄生病毒:将自己附加到可执行文件中,当执行被感染的程序时,通过感染其他可执行文件来重复。
②存储器驻留病毒:病毒寄宿在主存中,会感染每个执行的程序。
③引导区病毒:感染主引导区或者引导记录,当系统从包含了病毒的磁盘启动时进行传播。
④隐形病毒:能够在反病毒软件时隐藏自己。
⑤多态病毒:每次感染时会改变的病毒,不能通过病毒的"签名"来检测病毒。
(4)几种常见的病毒
对几种常见的病毒的说明如下。
①宏病毒:利用了在Word和其他办公软件中发现了特征(称为宏),自动执行的宏使得创建宏病毒成为可能,如打开文件、关闭文件和启动应用程序等。
②电子邮件病毒:将Microsoft Word宏嵌入在电子邮件中,一旦接收者打开邮件附件,该Word宏就会被激活。
③特洛伊木马:伪装成一个使用工具或者游戏,诱使用户将其安装在PC或服务器上,以获得用户的密码等。要注意的是,木马程序本质上不能算是一种病毒。
④计算机蠕虫:通过分布式网络来扩散传播特定信息、破坏网络中的信息或造成网络中断的病毒。
7.11.1.2 计算机病毒的防治策略
防治计算机病毒威胁的最好方法是不允许病毒进入系统。目前,可将反病毒软件分为4代。
第一代:简单的扫描程序。
第二代:启发式的扫描程序。
第三代:行为陷阱。
第四代:全方位的保护。
网络技术 第七章网络管理与网络安全 考点1 网络管理的基本知识 1.网络管理的基本概念 (1)网络管理 网络管理是指对网络运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。网络管理包括两个任务: ①对网络的运行状态进行监测,了解网络状态是否正常,是否存在瓶颈和潜在的危机。 ②对网络的运行状态进行控制,可以对网络状态进行合理调节,从而提高性能,保证服务。 (2)网络管理的对象 网络管理的对象可分为两大类:硬件资源和软件资源。 (3)网络管理的目标 网络管理的目标是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。 2.网络管理的功能 国际标准化组织(ISO)在ISO/IEC7498-4文档中定义了网络管理的5大功能:配置管理、故障管理、计费管理、性能管理和安全管理。 (1)配置管理 配置管理负责网络的建立、业务的展开以及配置数据的维护。配置管理功能包括资源清单管理、资源开通以及业务开通。 (2)故障管理 ①故障管理的主要任务是发现和排除网络故障。
②故障管理用于保证网络资源无障碍、无错误地运营,包括障碍管理、故障恢复和预防保障。 ③网络故障管理包括检测故障、隔离故障和纠正故障3个方面。 (3)计费管理 计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价,它可以估算出用户使用网络资源可能需要的费用和代价。 (4)性能管理 性能管理的目的是维护网络服务质量和网络运营效率。性能管理包括:性能监测、性能分析、性能管理控制功能、性能数据库的维护、启动故障管理系统的功能。 (5)安全管理 安全管理采用信息安全措施保护网络中的系统、数据以及业务。安全管理的目的是提供信息的隐私、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。 3.网络管理协议 网络管理系统中最重要的部分是网络管理协议,定义了网络管理者与网管代理间的通信方法。 (1)发展简史 国际标准化组织(ISO)最先在1979年对网络管理通信进行标准化工作,其成果是CMIS 和 CMIP,两者规定了0SI系统的网络管理标准。 CMIS支持管理进程和管理代理之间的通信要求。 CMIP则提供管理信息传输服务的应用层协议。 Internet工程任务组(IETF)修改SGMP(简单网关监控协议)成为著名的SNMP协议(简单网络管理协议),也称为SNMP Vl。SNMP V1的特点:简单性,容易实现且成本低;可伸缩性,SNMP可管理绝大部分符合Internet标准的设备;扩展性,通过定义新的被管理对象,可以非常方便地扩展管理能力;健壮性,即使在被管理设备发生严重错误时,也不会影响管理者的正常工作。
公司网络安全管理制度流程1 精心整理 页脚内容 公司网络安全管理制度?为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常 的工作秩序,特制定本管理办法。? 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行 工作。 二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备 及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。? (一)?数据资源的安全保护。 网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重? 1 21? 123、要加强对各网络安全的管理、检查、监督,一旦发现
问题及时上报公司负责人。 4、禁止利用计算机玩游戏、聊天、看电影、视频;禁止浏览进入反动、色情??邪教等非法网站、浏览非法信息以及电子信息收发有关上述内容的邮件;不得通过互联网或光盘下载安装传播病毒 以及黑客程序。? 5、?严禁任何人员利用公司网络及电子邮件传播反动、黄色、不健康及有损企业形象的信息。 6、?使用QQ 、MSN 等聊天工具做与工作无关的事情。??? 7、?过量下载或上传,使用迅雷、网际快车、BT 、电驴等占用网络资源的软件进行下载。??? 8、?对于公司内部的一些共享资源使用,任何人禁止随意访问未经授权的网络资源,禁止随意进 入他人的主机及其共享文件夹。用户应当对其共享资源进行加密。 公司网络安全管理制度3篇1 公司网络安全管理制度3篇1
为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。 二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。 (一) 数据资源的安全保护。网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份,规定如下: 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份 3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查,数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。 (二)硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量,一般应
网络管理试题 一.单选题(每题1分,共50分) 1、下面描述的内容属于性能管理的是:() A、监控网络和系统的配置信息 B、跟踪和管理不同版本的硬件和软件对网络的影响 C、收集网络管理员指定的性能变量数据 D、防止非授权用户访问机密信息 2、下面描述的内容属于配置管理的是:() A、监控网络和系统的配置信息 B、测量所有重要网络资源的利用率 C、收集网络管理员指定的性能变量数据 D、防止非授权用户访问机密信息 3、下面描述的内容属于安全管理的是:() A、收集网络管理员指定的性能变量数据 B、监控网络和系统的配置信息 C、监控机密网络资源的访问点 D、跟踪和管理不同版本的硬件和软件对网络的影响 4、下面描述的内容属于计费管理的是:() A、收集网络管理员指定的性能变量数据 B、测量所有重要网络资源的利用率 C、监控机密网络资源的访问点 D、跟踪和管理不同版本的硬件和软件对网络的影响 5、下面描述的内容属于故障管理的是:() A、监控网络和系统的配置信息 B、测量所有重要网络资源的利用率 C、自动修复网络故障 D、防止非授权用户访问机密信息 6、SNMP协议可以在什么环境下使用 A、TCP/IP B、IPX C、AppleTalk D、以上都可以 7、网络管理工作站直接从什么地方收集网络管理信息 A、网络设备 B、SNMP代理 C、网络管理数据库 8、SNMP trap的机制是: A、轮询 B、中断 C、面向自陷的轮询 D、不间断轮询 9、在SNMP协议的不同版本中,首先进行安全性考虑并实现安全功能的是
B、SNMPv2 C、SNMPv3 D、以上都没有 10、使用CiscoWorks能进行下列哪些管理功能 A、只能进行局域网管理 B、只能进行城域网管理 C、只能进行广域网管理 D、以上都可以 11、如何通过CiscoWorks获取新的IOS文件: A、TFTP B、TELNET C、CCO D、FTP 12、管理网络时,你需要明确的第一件事情就是要知道什么时候网络出问题。为了判断网络的状态,需要在一段时间内采集一些数据,这些数字反映出了一个“健康”的网络,我们把这些数字称为__________ A、基线 B、标准线 C、水平线 D、健康数字 13、以下产品中哪些是CISCO公司的网络管理平台__________ A、OpenView B、CiscoWorks2000 C、NetView 14、__________保证了不同的网络设备之间可以相互通信, 它又是一组规则和标准,保证了网络中的计算机能够相互通信 A、语言 B、IP 地址 C、网络协议 D、路由器 15、在SNMP术语中通常被称为管理信息库是__________ A、MIB B、SQL server C、Information Base D、Oracle 16、如果有一个用户抱怨无法通过浏览器去浏览法制日报的主页,但你发现当在浏览器中直接输入法制日报的主页的IP地址时可以实现主页的浏览,请你判断问题应该出在哪里___________ A、用户的PC机网卡有故障 B、用户的网关(gateway)地址设置有问题 C、法制日报的WWW服务器停机了 D、用户的DNS服务器设置有问题 17、以下哪个协议是网管协议__________
计算机设备与网络安全管理(试行) 一、总则 第一条目的 (一)提高公司信息化水平,规范办公系统的使用管理,进一步整合办公资源,提高工作效率; (二)规范公司局域网内计算机操作,确保计算机使用的安全性、可靠性; (三)对计算机的配置、使用、安全、维护保养等进行有效的管理; (四)对软件的购置、发放、使用、保密、防毒、数据备份等进行安全有效的管理,确保各项管理工作的正常进行。 第二条管理范围 (一)公司计算机设备的购置、管理与操作; (二)计算机软件的购置、管理与操作; (三)公司计算机网络设备的日常管理与维护; (四)公司计算机信息安全管理; (五)公司信息文档的上传、发布管理等。信息文档特指公司或部门之间交流与发布的各项规章制度、通知、请示、报告、文件、工作联系、通报、简报、会议纪要、计划、信息传递、报表等。 第三条管理职责 (一)综合部负责计算机硬件及软件的配备、购置、使用的统一管理,负责计算机网络设备的购置、日常管理与维护,负责集团内计算机信息的安全与保密工作。 (二)计算机使用部门负责计算机的正确使用及日常维护,负责
本单位计算机信息的安全与保密工作。 二、计算机硬件管理 第四条计算机硬件是指各部门日常办公使用的计算机设备,包括计算机主机(含机箱内的芯片、功能卡、内存、硬盘、软驱、光驱等)、显示器、打印机、外设(键盘、鼠标、功放、音箱)等。 第五条公司新购置的计算机,由综合部登录于办公设施台帐中的《计算机设施分类台帐》,注明计算机的品牌型号、设备编号、内存、购置日期、使用部门等相关内容。 第六条所有计算机及配套设备要建立设备档案,综合部及时将设备故障、维修及部件更换等情况记入设备档案中。设备档案的管理要做到标志清楚、置放有序,便于及时取用。 第七条计算机的使用 (一)计算机开机操作:计算机开机时,应依次开启电源插座、显示器、主机。待出现正常界面,表明启动成功。若不能出现正常操作桌面,即时关掉主机及显示器电源,并报告综合部相关人员。 (二)计算机每次的开、关机操作至少相隔一分钟。严禁连续进行多次的开关机操作。计算机关机时,应遵循先关主机、显示器、电源插座的顺序。下班时,须关闭电源插座的开关,遇节假日,须将电源插座及网线拔下,彻底切断电源和网络,以防止火灾、雷击隐患。 (三)在对界面的应用软件进行操作时,当主机读写指示灯不断闪烁时,表明此时计算机正忙,应停止操作,待指示灯转为绿色后才能继续操作。 (四)录入方案或数据时,信息不断录入,应不断保存,以免停电丢失。 (五)计算机操作人员离开计算机时,应将所有窗口关闭,在确
网络管理试题 一.单选题(每题1分,共52分) 1.下面描述的内容属于性能管理的是:() A.监控网络和系统的配置信息 B.跟踪和管理不同版本的硬件和软件对网络的影响 C.收集网络管理员指定的性能变量数据 D.防止非授权用户访问机密信息 2.下面描述的内容属于配置管理的是:() A.监控网络和系统的配置信息 B.测量所有重要网络资源的利用率 C.收集网络管理员指定的性能变量数据 D.防止非授权用户访问机密信息 3.下面描述的内容属于安全管理的是:() A.收集网络管理员指定的性能变量数据 B.监控网络和系统的配置信息 C.监控机密网络资源的访问点 D.跟踪和管理不同版本的硬件和软件对网络的影响 4.下面描述的内容属于计费管理的是:() A.收集网络管理员指定的性能变量数据 B.测量所有重要网络资源的利用率 C.监控机密网络资源的访问点 D.跟踪和管理不同版本的硬件和软件对网络的影响 5.下面描述的内容属于故障管理的是:() A.监控网络和系统的配置信息 B.测量所有重要网络资源的利用率 C.自动修复网络故障 D.防止非授权用户访问机密信息 6.SNMP协议可以在什么环境下使用 A.TCP/IP B.IPX C.AppleTalk D.以上都可以 7.网络管理工作站直接从什么地方收集网络管理信息 A.网络设备 B.SNMP代理 C.网络管理数据库 8.SNMPv1实现的请求/响应原语包括: A.get、set、trap B.get、getNext、set、trap C.get-request、set-request、get-next-request、get-response、trap D.get-request、set-request、get-next-request、get-response
公司网络安全管理体系1 公司网络安全管理策略 一、网络概况 随着公司信息化水平的逐步提高,网络安全与否,直接关系到油田生产和科研的正常进行。网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。如果不进行有效的安全防护,网络信息系统将会受到具有破坏性的攻击和危害。 公司网络按访问区域可以划分为四个主要的区域:公司内部局域网、服务器群、外部Internet区域。 二、网络系统安全风险分析 随着公司客户和内部局域网上网用户迅速增加,风险变得更加严重和复杂。有一个安全、稳定的网络环境对于公司的运营来说至关重要。 针对公司网络中存在的安全隐患,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与公司网络结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:网络安全可以从以下三个方面来理解:1 网络物理是否安全; 2 网络平台是否安全; 3 系统是否安全;
4 应用是否安全; 5 管理是否安全。针对每一类安全风险,结合公司网络的实际情况,我们将具体的分析网络的安全风险。 2.1物理安全风险分析 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,所以要制定制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。 2.2网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁 公司网络内公开服务器区作为公司的缴费运营平台,一旦不能运行后者受到攻击,对企业的运营影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务,因 此,规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服
计算机网络信息安全技术管理与应用 摘要:在互联网高度发达的今天,网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生,给信息时代的人们敲响了警钟。互联网技术的广泛应用,给人们的工作、学习和生活带来了极大的便利,提高了工作效率,降低了活动成本,使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨,分析了当前计算机网络信息安全发展现状及存在的主要问题,介绍了主要的网络信息安全防范技术,希望能够帮助人们更好地了解网络信息安全知识,规范使用计算机,提高网络信息安全水平。 关键词:网络;信息安全;黑客;计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现,深深改变了人类社会生产、生活方式,对人们的思想和精神领域也产生了重大影响。随着互联网的出现,人类社会已经步入信息时代,网络上的海量信息极大地改善了人们工作条件,原本困难的任务变得简单,人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时,也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显,已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用,避免网络信息安全事故发生,保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点,正是这三种特性,赋予了互联网旺盛的生命力和发展动力。但同时,这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点,大肆进行信息破坏,由于互联网安全管理体制机制尚不完善,用户的计算机使用行为还很不规范,缺乏安全防范意识等,这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客,是指利用计算机知识、技术通过某种技术手段入侵目标计算机,进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员,其对计算机的内部结构、安全防护措施等都较为了解,进而能够通过针对性的措施突破计算机安全防护,在不经允许的情况下登录计算机。目前就世界范围而言,黑客数量众多,规模庞大,有个人行为,也有组织行为,通过互联网,能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛,黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件,它能够自我复制,进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的,由于计算机病毒种类繁多,且具有极强的
企业网络安全管理三大原则 2009-01-21 09:01 作者:千里草来源:中国IT实验室 【简介】 在企业网络安全管理中,为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。 在企业网络安全管理中,为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。 原则一:最小权限原则 最小权限原则要求我们在企业网络安全管理中,为员工仅仅提供完成其本职工作所需要的信息访问权限,而不提供其他额外的权限。 如企业现在有一个文件服务器系统,为了安全的考虑,我们财务部门的文件会做一些特殊的权限控制。财务部门会设置两个文件夹,其中一个文件夹用来放置一些可以公开的文件,如空白的报销凭证等等,方便其他员工填写费用报销凭证。还有一个文件放置一些机密文件,只有企业高层管理人员才能查看,如企业的现金流量表等等。此时我们在设置权限的时候,就要根据最小权限的原则,对于普通员工与高层管理人员进行发开设置,若是普通员工的话,则其职能对其可以访问的文件夹进行查询,对于其没有访问权限的文件夹,则服务器要拒绝其访问。 最小权限原则除了在这个访问权限上反映外,最常见的还有读写上面的控制。如上面这个财务部门有两个文件夹A与B.作为普通员工,A文件夹属于机密级,其当然不能访问。但是,最为放置报销凭证格式的文件夹B,我们设置普通员工可以访问。可是,这个访问的权限是什么呢?也就是说,普通员工对于这个文件夹下的文件具有哪些访问权限?删除、修改、抑或只有只读?若这个报销凭证只是一个格式,公司内部的一个通用的报销格式,那么,除了财务设计表格格式的人除外,其他员工对于这个文件夹下的我文件,没有删除、修改的权限,而只有只读的权限。可见,根据最小权限的原则,我们不仅要定义某个用户对于特定的信息是否具有访问权限,而且,还要定义这个访问权限的级别,是只读、修改、还是完全控制? 不过在实际管理中,有不少人会为了方便管理,就忽视这个原则。 如文件服务器管理中,没有对文件进行安全级别的管理,只进行了读写权限的控制。也就是说,企业的员工可以访问文件服务器上的所有内容,包括企业的财务信息、客户信息、订单等比较敏感的信息,只是他们不能对不属于自己的部门的文件夹进行修改操作而已。很明显,如此设计的话,企业员工可以轻易获得诸如客户信息、价格信息等比较机密的文件。若员工把这些信息泄露给企业的竞争对手,那么企业将失去其竞争优势。 再如,对于同一个部门的员工,没有进行权限的细分,普通员工跟部门经理具有同等等权限。如在财务管理系统中,一般普通员工没有审核单据与撤销单据审核的权限,但是,有些系统管理员往往为了管理的方便,给与普通员工跟财务经理同等的操作权利。普通员工可以自己撤销已经审核了的单据。这显然给财务管理系统的安全带来了不少的隐患。 所以,我们要保证企业网络应用的安全性,就一定要坚持“最小权限”的原则,而不能因为管理上的便利,而采取了“最大权限”的原则,从而给企业网络安全埋下了一颗定时炸弹。 原则二:完整性原则 完整性原则指我们在企业网络安全管理中,要确保未经授权的个人不能改变或者删除信
《网络及网络安全管理制度》计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由信息部负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为集团员工提供服务。现制定并发布《网络及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机、集线器等)均归信息部所管辖,其安装、维护等操作由信息部工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须经过信息部实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先报经信息部,由信息部做网络实施方案。 第四条集团局域网的网络配置由信息部统一规划管理,其他任何人不得私自更改网络配置。第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管 理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条任何接入集团局域网的客户端计算机不得安装配置DHCP服务。一经发现,将给予通报并交有关部门严肃处理。 第七条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第八条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第九条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。 第十条任何人不得扫描、攻击集团计算机网络。 第十一条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用信息部部署发布 的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 第十三条集团的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容: 1. 从中国境内向外传输技术性资料时必须符合中国有关法规。 2. 遵守所有使用互联网的网络协议、规定和程序。 3. 不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。
计算机网络安全与管理 Modified by JACK on the afternoon of December 26, 2020
计算机网络安全与管理 院系专业名称年级班别学号学生姓名 中文摘要:随着计算机和网络的飞速发展,网络已经涉及到国家、政府、军事、文教等诸多领域,网络安全问题在人们生产生活中占有很重要的地位。因此,在这个网络时代,加强网络的安全保障显得原来越重要。从计算机网络安全与管理出发,分析了计算机网络、网络安全、管理防范、安全存在的问题等,简单的做了一些介绍。 关键词:计算机、网络安全、安全管理 当前,随着计算机的迅猛发展为现代化建设提供了一定的技术保障。并且网络技术发展的日益普及,给我们带来了巨大的经济效益。但是,网络的发展也带来了一系列的安全隐患和威胁,导致了一些新的安全问题和社会不稳定因素。计算机网络安全面临着众多的威胁,如黑客攻击,病毒,后门等,使得人们的安全降低,严重威胁着人们的生活财产等的安全,所以网络的王权与管理刻不容缓。 1.计算机网络组成 计算机网络组成要素,无论什么类型的网络,其基本组成部分主要包括如下部分。 (1)网络终端设备 为网络的主体,一般指计算机。但随着智能化以及网络的发展,机、电视机报警设备等都可以接入网络它们都属于网路终端设备。 (2)通信链路 包括通信设备与通信线路,用以连接网络终端设备并构成计算机网络。如光缆、网卡、交换机、路由器等。 (3)网络协议 网络协议是网络终端设备之间进行通信是必须遵守的一套规则和约定,发送的信息要遵守该约定,收到的信息按照规则或约定进行理解。目前使用最广泛的是TCP/IP。 (4)网络操作系统和网络应用软件 链接到网络上的计算机必须装有支持通信协议的网络操作系统,才能使计算机之间进行信息传递。目前几乎所有的操作系统都是网络操作系统。此外,为了提供特殊服务,计算机上还应该安装相应的网络应用程序,如浏览器、QQ、电子邮件等。 2.网络安全与管理概述 网络安全与管理的基本概念 随着计算机和通信技术的发展,国家和社会的信息化程度逐步提高,网络已成为全球信息基础设施的主要组成部分,成为现代人工作生活中必可少的一部分,人们对网络的依赖程度也逐步加深,一旦网络由于种种原因发生故障,陷于瘫痪,人们的生活也必然会受到极大的影响。网络技术如同一把双刃剑,在给我们带来便利的同时,所引发的安全隐患问题也很值得我们关注。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全是一门涉及多方面的
《网络安全与管理》试题一 一.单项选择题 1.在以下人为的恶意攻击行为中,属于主动攻击的是( A ) A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是( C ) A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是( B ) A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是( B ) A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是( D ) A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较( B ) A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高,对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为 密码的长度?" ( B ) A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有:(A ) A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法是:(A ) A.对信息源发方进行身份验证
网络管理和安全自测试题(答案) 填空题: 在具有单个网卡的服务器中,最多可以在服务器上有一个排队命令,并且不会产生瓶颈。 为了在数据从Internet进入网络时扫描病毒,应该实现防火墙。 Linux口令最多可以包含256 个字符。 Event Viewer 工具最好地记录了失败的登录尝试。 Event Viewer 中的System Log 日志对于确定已经加载了哪些驱动程序最有用。 当需要获得有关服务器磁盘的详细的性能信息时,Performance Monitor 是最有用的。Windows 2000/2003 Server最多支持32 个磁盘的具有奇偶校验的条带集(RAID 5)。 一个数据包过滤系统被设计成允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于阻塞点基本原则。 SSL 协议主要用于加密机制。 为了防御网络监听,最常用的方法是信息加密。 当一个雇员离开公司,并且你希望阻止使用那个雇员的账户,但是仍然保留所有的权限和许可权,因此可以再次激活它,你应该禁用那个账户。 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于拒绝服务漏洞。 判断题: 磁盘双工与磁盘镜像的其他所有方面都相同,只是磁盘双工的初始花费比磁盘镜像的少。(√)大部分支持RAID配置的网络操作系统都只支持RAID0、RAID1和RAID5。(√) 出于安全考虑,应该删除Everyone组。(×) 数据完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。(√) 通常采用单一的网络安全技术和网络安全产品来解决网络与信息安全的全部问题。(×) 网络的安全水平是由最低安全水平的主机决定的。(√) 对付被动攻击的重点是检测,而对付主动攻击的重点是预防。(×) 代理服务防火墙允许外部主机连接到内部安全网络。(×) 病毒将与自身完全相同的副本放入其他程序或者磁盘上的特定系统区域属于病毒的繁殖阶段。(√) Linux文件的挂载点必须是一个目录或一个文件。(×) 单选题: 只有一个域可以访问另一个域的资源的域关系称为(C)。 A.相互信任 B. 单路信任 C. 单向信任 D. 硬盘驱动器审计 2. Active Directory树中的所有域享有的默认信任关系称为(D)。 A.单向 B. 多向 C. 全向 D. 完全 3. 要禁用Linux Red Hat 9中的一个账户,应该(B)。 A.删除用户的口令文件 B. 在用户的口令前面插入“!!” C. 运行Disable User D. 运行deluser 4. Everyone组的成员包括所有的(A)。 A.用户账户 B. 目前登录的用户账户 C. 目前登录的从网络访问服务器的用户账户D.目前登录的账户 5. 在一个3磁盘RAID5条带集中,奇偶校验信息在(D)。
公司网络安全管理制度 为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。 二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。 (一)数据资源的安全保护。网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份,规定如下: 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份
3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查,数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。 (二)硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。 2、安装有保护接地线,必须保证接地电阻符合技术要求(接地电阻 2 ,零地电压 2V),避免因接地安装不良损坏设备。 3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、网络机房必须有防盗及防火措施。 5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。 (三)网络病毒的防治 1、各服务器必须安装防病毒软件,上网电脑必须保证每台电脑要安装防病毒软件。 2、定期对网络系统进行病毒检查及清理。 3、所有U盘须检查确认无病毒后,方能上机使用。 4、严格控制外来U盘的使用,各部门使用外来U盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。
计算机网络与安全管理专业实习周记计算机网络与安全管理专业实习周记(一) 刚刚到公司我很是迷茫,对于初入社会的我对于周围的一切还是那么的陌生。不过很快我也就适应了,就是那句:既来之则安之。到了公司老板让同事带着我去了几个学校和ktv,同事告诉我这些都是我们工作的地方,以后就要做这些。这几天一直跟同事熟悉着公司的情况和工作的环境以及他们的一些经验,同时同事也告诉我到了公司该做什么。比如:在公司都要做维修电脑,组装电脑,维修打印机,复印机,网络布线等等。一周下来我就了解了我该做什么,我也有了自己的目标。 现在到了公司只是做一些简单的事情,给电脑做系统和维修电脑。同时我也在学习修理打印机,因为在学校的时候我没有接触过这个,还要跟同事学习画布线图。有时候我也自己上网查找资料,学习别人的做法,让自己很快的成熟起来。看着同事的工作效率,我想我以后也应该会这样的,我也能够独当一面。 为了能够真正的学到知识,我很严格的要求自己去做好每一件事情,即使再简单的事情我都会认真考虑几遍,因此,虽然做得不算快,但能够保证让同事们满意。同事通常也不催促,都把任务安排好,然后便交给我自己去处理,同时还不时提供一些帮助。等慢慢熟悉起来,做起事情也越来越顺手了。第一个礼拜的实习,我可以简单的总结为几个字,那就是:多看,多问,多观察,多思考! 一方面要发扬自主思考问题的能力,在碰到问题的事情,自觉努力去独立解决,这样对问题便能够有一个更深刻的了解,当然解决的时候也会获
益良多。另一方面,要发扬团队精神。公司是一个整体,公司产品是团队的结晶,每个人都需要跟其他人更好的沟通和交流,互相帮助,合力完成共同的目标,团结众人的智慧才能够发挥最大的效能这周在公司我学到很多,既要努力学习,还要仔细工作,更要有团队的精神,这些都是我应该努力的,我相信我可以做的更好。 计算机网络与安全管理专业实习周记(二) 实习第二周开始,我已经逐渐进入状态。通过上一周我已经了解了公司的运行制度和工作环境,所以这周开始老板让我独立接触一些业务,老板也知道我会一些简单的组装电脑和维修,所以放心的让我一些简单的电脑问题,比如给客户换一些硬件,组装客户所需要的电脑主机配件,并安装一些必要的软件,满足客户的一切要求,让他们满意而归,这也是我所期待的。所以每天上班我都会很认真的为客户服务,尽量满足他们的要求,适当给他们提一点意见,闲暇的时候上网查看网友出现的电脑问题以及一些答案,每天的坚持学习让我更加懂得了电脑的故障所出和处理办法,也更能很好的为客户服务了。现在我很满意自己的表现,来公司两周工作态度还是比较好的,同事之间也相处的挺好。 工作进行的还是比较顺利的,通常每天都要接受好几个任务,每个任务都是比较简单的,同时也要学习如何维修打印机、复印机,明白它们的工作原理以及一些重要的部件。虽然自认为口才并不好,但我能够把事情描述的比较清晰,如此也令客户满意。所以每次客户满意的拿走电脑的时候,自己心里都会觉得很踏实,虽然已经满头虚汗了,但一想,我是自己独立完成,这完全是我自己的功劳,也是我努力的结果。工作都是辛苦的,特别是周末前的一两天,任务特别的
公司网络安全管理策略 一、网络概况 随着公司信息化水平的逐步提高,网络安全与否,直接关系到油田生产和科研的正常进行。网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。如果不进行有效的安全防护,网络信息系统将会受到具有破坏性的攻击和危害。 公司网络按访问区域可以划分为四个主要的区域:公司内部局域网、服务器群、外部Internet区域。 二、网络系统安全风险分析 随着公司客户和内部局域网上网用户迅速增加,风险变得更加严重和复杂。有一个安全、稳定的网络环境对于公司的运营来说至关重要。 针对公司网络中存在的安全隐患,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与公司网络结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:网络安全可以从以下三个方面来理解:1 网络物理是否安全;2 网络平台是否安全; 3 系统是否安全; 4 应用是否安全; 5 管理是否安全。针对每一类安全风险,结合公司网络的实际情况,我们将具体的分析网络的安全风险。 2.1物理安全风险分析 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,所以要制定制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。 2.2网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁 公司网络内公开服务器区作为公司的缴费运营平台,一旦不能运行后者受到攻击,对企业的运营影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务,因
网络安全试题 一.单项选择题(每题1分,共60分) 1.在以下人为的恶意攻击行为中,属于主动攻击的是() 2.A、数据篡改及破坏 3.B、数据窃听 4.C、数据流分析 5.D、非法访问 6.数据完整性指的是() 7.A、保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 8.B、提供连接实体身份的鉴别 9.C、防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致 10.D、确保数据数据是由合法实体发出的 11.以下算法中属于非对称算法的是() 12.A、DES 13. B RSA算法 14.C、IDEA 15.D、三重DES 16.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是() 17.A、非对称算法的公钥 18.B、对称算法的密钥 19.C、非对称算法的私钥 20.D、CA中心的公钥 21."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度?" ()
A 56位 B 64位 C 112位 D 128位 10.黑客利用IP地址进行攻击的方法有:() A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒 11.防止用户被冒名所欺骗的方法是:() A. 对信息源发方进行身份验证 B. 进行数据加密 C. 对访问网络的流量进行过滤和保护 D. 采用防火墙 A.安全通道协议 23.以下关于计算机病毒的特征说法正确的是:() A.计算机病毒只具有破坏性,没有其他特征 B.计算机病毒具有破坏性,不具有传染性 C.破坏性和传染性是计算机病毒的两大主要特征 D.计算机病毒只具有传染性,不具有破坏性 29.加密技术不能实现:() A.数据信息的完整性 B.基于密码技术的身份认证 C.机密文件加密 D.基于IP头信息的包过滤 30.所谓加密是指将一个信息经过()及加密函数转换,变成无意义的密文,而接受方则将此密文经过解密函数、()还原成明文。
毕业设计(论文) 论文题目: 系别: 班级: 姓名: 班级: 指导老师: 共青团安徽国防科技职业学院委员会
目录 前言 (4) 摘要 (5) 第一章、局域网 (7) 1.1.什么是局域网 (7) 1.2.局域网的现有拓扑结构 (7) 1.2.1. 星型结构 (7) 1.2.2. 环型结构 (8) 1.2.3. 总线型结构 (9) 1.2.4. 混合型拓扑结构 (10) 1.3.什么是内网 (10) 1.3.1.如何检测公网和内网 (11) 1.3.2.内网与外网的区别 (11) 第二章、内网安全 (12) 2.1.局域网内网安全现状 (12) 2.2.局域网内网安全威胁分析 (13) 2.2.1欺骗性的软件使数据安全性降低 (13) 2.2.2.服务器区域没有进行独立防护 (13) 2.2.3.计算机病毒及恶意代码的威胁 (14) 2.2.4.局域网用户安全意识不强 (14) 2.2.5.IP地址冲突 (14)
第三章、局域网内网安全实现与病毒防治策略 (16) 3.1、加强人员的网络安全培训 (16) 3.2、局域网内网安全控制策略 (16) 3.2.1、利用桌面管理系统控制用户入网 (17) 3.2.2、采用防火墙技术 (17) 3.2.3、封存所有空闲的IP地址 (18) 3.2.4、属性安全控制 (18) 3.2.5、启用杀毒软件强制安装策略 (18) 3.3.病毒防治 (18) 3.3.1、增加安全意识和安全知识 (19) 3.3.2、小心使用移动存储设备 (19) 3.3.3、挑选网络版杀毒软件 (19) 3.4.企业网络安全策略 (20) 3.4.1、注意内网安全与网络边界安全的不同 (20) 3.4.2、限制VPN的访问 (20) 3.4.3、为合作企业网建立内网型的边界防护 (20) 3.4.4、自动跟踪的安全策略 (20) 3.4.5、关掉无用的网络服务器 (21) 3.4.6、首先保护重要资源 (21) 3.4.7、建立可靠的无线访问 (21) 3.4.8、建立安全过客访问 (21) 3.4.9、创建虚拟边界防护 (22)
第七章网络安全与管理 一、教学目标: 1. 了解网络安全与管理及相关的法律法规 2. 了解网络资源管理的方法 3. 了解网络管理协议 4. 了解网络病毒、黑客的危害 5. 掌握网络病毒、黑客的防治 6. 掌握常见网络安全技术及实现方法 二、教学重点、难点 网络资源管理、网络安全、网络病毒黑客的危害及防治 三、技能培训重点、难点 计算机网络资源的管理、网络防火墙的设置、网络病毒黑客防治 四、教学方法 教师讲解、演示、提问; 五、教具使用 计算机一台、多媒体幻灯片演示 六、教学内容与过程 引入:举几个安全事例引入新课 第7章网络安全与管理 7.1 网络安全与管理 1.网络安全的内容 网络安全涉及的内容主要包括:外部环境安全、网络连接安全、操作系统安全、应用系统安全、管理制度安全、人为因素影响。 2.网络管理 所谓网络管理,是指用软件手段对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理涉及三个方面: (1)网络服务提供:是指向用户提供新的服务类型、增加网络设备、提高网络 性能。 (2)网络维护:是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。 (3)网络处理:是指网络线路及设备利用率,数据的采集、分析,以及提高网 络利用率的各种控制。 3.网络管理系统 一个网络管理系统从逻辑上可以分为以下三个部分: (1)管理对象 (2)管理进程 (3)管理协议
4.OSI管理功能域 OSI网络管理标准将开放系统的网络管理功能划分成五个功能域,即配置管理、故障管理、性能管理、安全管理、记账管理,这些功能域分别用来完成不同的网络管理功能。 7.2 网络资源管理 1.网络资源的表示 在网络管理协议中采用面向对象的概念来描述被管网络元素的属性。网络资源主要包括:硬件、软件、数据、用户、支持设备。 2.网络管理的目的 为满足用户解决网络性能下降和改善网络瓶颈的需要,根据用户网络应用的实际情况,为用户设计并实施检测方案,从不同的角度做出分析,最终定位问题和故障点,并提供资源优化和系统规划的建议。 7.3 网络管理协议 网络管理协议是代理和网络管理软件交换信息的方式,它定义使用什么传输机制,代理上存在何种信息以及信息格式的编排方式。 1.SNMP协议 SNMP 是“Simple Network Management Protocol”的缩写,中文含义是“简单网络管理协议”,是TCP/IP协议簇的一个应用层协议,它是随着TCP/IP的发展而发展起来的。 SNMP作为一种网络管理协议,它使网络设备彼此之间可以交换管理信息,使网络管理员能够管理网络的性能,定位和解决网络故障,进行网络规划。 SNMP的网络管理模型由三个关键元素组成:被管理的设备(网元)、代理(agent)、网络管理系统(NMS,Network Management System)。2.RMON RMON(Remote Monitoring,远程监控)是关于通信量管理的标准化规定,RMON的目的就是要测定、收集、管理网络的性能,为网络管理员提供复杂的网络错误诊断和性能调整信息。 7.4 网络病毒的防范 1.网络与病毒 国际互联网开拓型的发展,信息与资源共享手段的进一步提高,也为计算机病毒的传染带来新的途径,病毒已经能够通过网络的新手段攻击以前无法接近的系统。企业网络化的发展也有助于病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了病毒传染的高效率,从而加重了病毒的威胁。2.网络病毒的防范 基于网络的多层次的病毒防护策略是保障信息安全、保证网络安全运行的重要手段。从网络系统的各组成环节来看,多层防御的网络防毒体系应该由用户桌面、服务器、Internet网关和病毒防火墙组成。 先进的多层病毒防护策略具有三个特点:层次性、集成性、自动化。 7.5 网络黑客入侵的防范 黑客(hacker),常常在未经许可的情况下通过技术手段登录到他人的网络服务器甚至是连结在网络上的单机,并对其进行一些未经授权的操作。 1.攻击手段 非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。