网络安全概述
网络安全的定义
什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是"避免冒险和危险"。在计算机科学中,安全就是防止:
未授权的使用者访问信息
未授权而试图破坏或更改信息
这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源,即CPU、硬盘、程序以及其他信息。
在电信行业中,网络安全的含义包括:关键设备的可靠性;网络结构、路由的安全性;具有网络监控、分析和自动响应的功能;确保网络安全相关的参数正常;能够保护电信网络的公开服务器(如拨号接入服务器等)以及网络数据的安全性等各个方面。其关键是在满足电信网络要求,不影响网络效率的同时保障其安全性。
电信行业的具体网络应用(结合典型案例)
电信整个网络在技术上定位为以光纤为主要传输介质,以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议,QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的,所以IP优化尤其重要,至少包括包括如下几个要素:
网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构,可以减少对传统传输体系的依赖。
IP路由协议的优化。
IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征,提供高速路由查找和包转发机制。
带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽。
稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力,快速恢复网络连接,避免路由表颤动引起的整网震荡,提供符合高速宽带网络要求的可靠性和稳定性。
从骨干层网络承载能力,可靠性,QoS,扩展性,网络互联,通信协议,网管,安全,多业务支持等方面论述某省移动互联网工程的技术要求。
骨干层网络承载能力
骨干网采用的高端骨干路由器设备可提供155M POS端口。进一步,支持密集波分复用(DWDM)技术以提供更高的带宽。网络核心与信息汇聚点的连接速率为155M连接速率,连接全部为光纤连接。
骨干网设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速交换。骨干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制,避免前向拥塞时的丢包。
可靠性和自愈能力
包括链路冗余、模块冗余、设备冗余、路由冗余等要求。对某省移动互联网工程这样的运营级宽带IP骨干网络来说,考虑网络的可靠性及自愈能力是必不可少的。
链路冗余。在骨干设备之间具备可靠的线路冗余方式。建议采用负载均衡的冗余方式,即通常情况下两条连接均提供数据传输,并互为备份。充分体现采用光纤技术的优越性,不会引起业务的瞬间质量恶化,更不会引起业务的中断。
模块冗余。骨干设备的所有模块和环境部件应具备1+1或1:N热备份的功能,切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。
设备冗余。提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时,另一台设备自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性。切换时间小于3秒,以保证大部分IP应用不会出现超时错误。
路由冗余。网络的结构设计应提供足够的路由冗余功能,在上述冗余特性仍不能解决问题,数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中,网络连接发生变化时,路由表的收敛时间应小于30秒。
拥塞控制与服务质量保障
拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样,网络的数据流量突发是不可避免的,因此,网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。
业务分类。网络设备应支持6~8种业务分类(CoS)。当用户终端不提供业务分类信息时,网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。
接入速率控制。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。
队列机制。具有先进的队列机制进行拥塞控制,对不同等级的业务进行不同的处理,包括时延的不同和丢包率的不同。
先期拥塞控制。当网络出现真正的拥塞时,瞬间大量的丢包会引起大量TCP数据同时重发,加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术,在网路出现拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象。
资源预留。对非常重要的特殊应用,应可以采用保留带宽资源的方式保证其QoS。
端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。
网络的扩展能力
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、骨干带宽的扩展,以及网络规模的扩展能力。
交换容量扩展。交换容量应具备在现有基础上继续扩充多容量的能力,以适应数据类业务急速膨胀的现实。
骨干带宽扩展。骨干带宽应具备高的带宽扩展能力,以适应数据类业务急速膨胀的现实。
网络规模扩展。网络体系、路由协议的规划和设备的CPU路由处理能力,应能满足本网络覆盖某省移动整个地区的需求。
与其他网络的互联
保证与中国移动互联网,INTERNET国内国际出口的无缝连接。
通信协议的支持
以支持TCP/IP协议为主,兼支持IPX、DECNET、APPLE-TALK等协议。提供服务营运级别的网络通信软件和网际操作系统。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由协议。根据本网规模的需求,必须支持OSPF路由协议。然而,由于OSPF协议非常耗费CPU和内存,而本网络未来十分庞大复杂,必须采取合理的区域划分和路由规划(例如网址汇总等)来保证网络的稳定性。
支持BGP4等标准的域间路由协议,保证与其他IP网络的可靠互联。
支持MPLS标准,便于利用MPLS开展增值业务,如VPN、TE流量工程等。
网络管理与安全体系
支持整个网络系统各种网络设备的统一网络管理。
支持故障管理、记帐管理、配置管理、性能管理和安全管理五功能。
支持系统级的管理,包括系统分析、系统规划等;支持基于策略的管理,对策略的修改能够立即反应到所有相关设备中。
网络设备支持多级管理权限,支持RADIUS、TACACS+等认证机制。
对网管、认证计费等网段保证足够的安全性。
IP增值业务的支持
技术的发展和大量用户应用需求将诱发大量的在IP网络基础上的新业务。因此,运营商需要一个简单、集成化的业务平台以快速生成业务。MPLS技术正是这种便于电信运营商大规模地快速开展业务的手段。
传送时延
带宽成本的下降使得当今新型电信服务商在进行其网络规划时,会以系统容量作为其主要考虑的要素。但是,有一点需要提起注意的是,IP技术本身是面向非连接的技术,其最主要的特点是,在突发状态下易于出现拥塞,因此,即使在高带宽的网络中,也要充分考虑端到端的网络传送时延对于那些对时延敏感的业务的影响,如根据ITU-T的标准端到端的VoIP应用要求时延小于150ms。对于应用型实际运营网络,尤其当网络负荷增大时,如何确保时延要求更为至关重要,要确保这一点的关键在于采用设备对于延迟的控制能力,即其延迟能力在小负荷和大量超负荷时延迟是否都控制在敏感业务的可忍受范围内。
RAS (Reliability, Availability, Serviceability)
RAS是运营级网络必须考虑的问题,如何提供具有99.999%的业务可用性的网络是网络规划和设计的主要考虑。在进行网络可靠性设计时,关键点在于网络中不能因出现单点故障而引起全网瘫痪,特别在对于象某省移动这些的全省骨干网而言更是如此。为此,必须从单节点设备和端到端设备提供整体解决方案。Cisco7500系列路由器具有最大的单节点可靠性,包括电源冗余备份,控制板备份,交换矩阵备份,风扇的合理设计等功能;整体上,Cisco通过提供MPLSFRR和MPLS流量工程技术,可以保证通道级的快速保护切换,从而最大程度的保证了端到端的业务可用性。
虚拟专用网(VPN)
虚拟专用网是目前获得广泛应用,也是目前运营商获得利润的一种主要方式。除了原有的基于隧道技术,如IPSec、L2TP等来构造VPN之外,Cisco还利用新型的基于标准的MPLSVPN来构造Intrane和Extranet,并可以通过MPLSVPN技术提供Carrier'sCarrier服务。这从网络的可扩展性,可操作性等方面开拓了一条新的途径;同时,极大地简化了网络运营程序,从而极大地降低了运营费用。另外,采用Cisco跨多个AS 及多个域内协议域的技术可使某省移动可随着其网络的不断增长扩展其MPLSVPN业务的实施,并可与其他运营商合作实现更广阔的业务能力。
服务质量保证
通常的Internet排队机制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技术不能完全满足对时延敏感业务所要求的端到端时延指标。为此,选用MDRR/WRED技术,可以为对时延敏感业务生成单独的优先级队列,保证时延要求;同时还专门对基于Multicast的应用提供了专门的队列支持,从而从真正意义上向网上实时多媒体应用迈进一步。
根据以上对电信行业的典型应用的分析,我们认为,以上各条都是运营商最关心的问题,我们在给他们做网络安全解决方案时必须要考虑到是否满足以上要求,不影响电信网络的正常使用,可以看到电信网络对
网络安全产品的要求是非常高的。
网络安全风险分析
瞄准网络存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述:
1、物理安全风险分析
我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:
地震、水灾、火灾等环境事故造成整个系统毁灭
电源故障造成设备断电以至操作系统引导失败或数据库信息丢失
电磁辐射可能造成数据信息被窃取或偷阅
不能保证几个不同机密程度网络的物理隔离
2、网络安全风险分析
内部网络与外部网络间如果在没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。
内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
3、系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。
4、应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。
4.1 公开服务器应用
电信省中心负责全省的汇接、网络管理、业务管理和信息服务,所以设备较多包括全省用户管理、计费服务器、认证服务器、安全服务器、网管服务器、DNS服务器等公开服务器对外网提供浏览、查录、下载等服务。既然外部用户可以正常访问这些公开服务器,如果没有采取一些访问控制,恶意入侵者就可能利用这些公开服务器存在的安全漏洞(开放的其它协议、端口号等)控制这些服务器,甚至利用公开服务器网络作桥梁入侵到内部局域网,盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的,完成计费、认证等功能,他们的安全性应得到100%的保证。
4.2 病毒传播
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。
4.3信息存储
由于天灾或其它意外事故,数据库服务器造到破坏,如果没有采用相应的安全备份与恢复系统,则可能造成数据丢失后果,至少可能造成长时间的中断服务。
4.4 管理的安全风险分析
管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和技术解决方案的结合。
安全需求分析
1、物理安全需求
针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要数据库且有实时性服务要求的服务器必须采用UPS不间断稳压电源,且数据库服务器采用双机热备份,数据迁移等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。
2、系统安全需求
对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。
应用系统安全上,主要考虑身份鉴别和审计跟踪记录。这必须加强登录过程的身份认证,通过设置复杂些的口令,确保用户使用的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。我们认为采用的入侵检测系统可以对进出网络的所有访问进行很好的监测、响应并作记录。
3、防火墙需求
防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的隔离,达到有效的控制对网络访问的作用。
3.1省中心与各下级机构的隔离与访问控制
防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;
防火墙可以针对协议、端口号、时间、流量等条件实现安全的访问控制。
防火墙具有很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。
3.2公开服务器与内部其它子网的隔离与访问控制
利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器,而公开服务器不可以主动发起对内部网络的访问,这样,假如公开服务器造受攻击,内部网由于有防火墙的保护,依然是安全的。
4、加密需求
目前,网络运营商所开展的VPN业务类型一般有以下三种:
1.拨号VPN业务(VPDN)2.专线VPN业务3.MPLS的VPN业务
移动互连网络VPN业务应能为用户提供拨号VPN、专线VPN服务,并应考虑MPLSVPN业务的支持与实现。
VPN业务一般由以下几部分组成:
(1)业务承载网络(2)业务管理中心(3)接入系统(4)用户系统
我们认为实现电信级的加密传输功能用支持VPN的路由设备实现是现阶段最可行的办法。
5、安全评估系统需求
网络系统存在安全漏洞(如安全配置不严密等)、操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。并且,随着网络的升级或新增应用服务,网络或许会出现新的安全漏洞。因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并且要经常使用,对扫描结果进行分析审计,及时采取相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。
6、入侵检测系统需求
在许多人看来,有了防火墙,网络就安全了,就可以高枕无忧了。其实,这是一种错误的认识,防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网络安全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止这些有意或无意的攻击。必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。入侵检测系统和防火墙配合使用,这样可以实现多重防护,构成一个整体的、完善的网络安全保护系统。
7、防病毒系统需求
针对防病毒危害性极大并且传播极为迅速,必须配备从服务器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。并且由于新病毒的出现比较快,所以要求防病毒系统的病毒代码库的更新周期必须比较短。
8、数据备份系统
安全不是绝对的,没有哪种产品的可以做到百分之百的安全,但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份,通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上,并把磁带与机房隔离保存于安全位置。如果遇到系统来重受损时,可以利用灾难恢复系统进行快速恢复。
9、安全管理体制需求
安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现。因些必须在电信部门系统内根据自身的应用与安全需求,制定安全管理制度并严格按执行,并通过安全知识及法律常识的培训,加强整体员工的自身安全意识及防范外部入侵的安全技术。
安全目标
通过以上对网络安全风险分析及需求分析,再根据需求配备相应安全设备,采用上述方案,我们认为一个电信网络应该达到如下的安全目标:
建立一套完整可行的网络安全与网络管理策略并加强培训,提高整体人员的安全意识及反黑技术。
利用防火墙实现内外网或不信任域之间的隔离与访问控制并作日志;
通过防火墙的一次性口令认证机制,实现远程用户对内部网访问的细粒度访问控制;
通过入侵检测系统全面监视进出网络的所有访问行为,及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志;
通过网络及系统的安全扫描系统检测网络安全漏洞,减少可能被黑客利用的不安全因素;
利用全网的防病毒系统软件,保证网络和主机不被病毒的侵害;
备份与灾难恢复---强化系统备份,实现系统快速恢复;
通过安全服务提高整个网络系统的安全性。
网络安全基础知识试题及答案 网络安全基础知识试题及答案 1. 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型(A) A 、拒绝服务 B 、文件共享 C 、BIND漏洞 D 、远程过程调用 2. 为了防御网络监听,最常用的方法是(B) A 、采用物理传输(非网络) B 、信息加密 C 、无线网 D 、使用专线传输 3. 向有限的空间输入超长的字符串是哪一种攻击手段?(A) A 、缓冲区溢出; B 、网络监听 C 、拒绝服务
D 、IP 欺骗 4. 主要用于加密机制的协议是(D) A 、HTTP B 、FTP C 、TELNET D 、SSL 5. 用户收到了一封可疑的电子邮件, 要求用户提供银行账户及密码, 这是属于何种攻击手段?(B) A 、缓存溢出攻击; B 、钓鱼攻击 C 、暗门攻击; D 、DDOS攻击 6. Windows NT 和Windows 2000 系统能设置为在几次无效登录后锁定帐号, 这可以防止(B) A 、木马; B 、暴力攻击; C 、IP 欺骗; D 、缓存溢出攻击 7. 在以下认证方式中,最常用的认证方式是:(A) A 基于账户名/口令认证 B 基于摘要算法认证;
C 基于PKI 认证; D 基于数据库认证 8. 以下哪项不属于防止口令猜测的措施?(B) A 、严格限定从一个给定的终端进行非法认证的次数; B 、确保口令不在终端上再现; C 、防止用户使用太短的口令; D 、使用机器产生的口令 9. 下列不属于系统安全的技术是(B) A 、防火墙 B 、加密狗 C 、认证 D 、防病毒 10. 抵御电子邮箱入侵措施中,不正确的是( D ) A 、不用生日做密码 B 、不要使用少于 5 位的密码 C 、不要使用纯数字 D 、自己做服务器 11. 不属于常见的危险密码是( D ) A 、跟用户名相同的密码 B 、使用生日作为密码 C 、只有 4 位数的密码 D 、10 位的综合型密码
最深入的网络安全设备知识讲解 来源于:互联网 观念: 在网络上,主要的概念是: 该如何做才能让封包流量更快、更稳。 在资安上,主要的概念是: 如何掌握、比对、判断、控制封包。 好吧~让我们直接来看在一个网络环境里,我们可以在哪些地方摆入资安设备: (设备实际摆设位置会因为产品不同与客户环境而有所变动) 是滴~任何网络设备、任何网络位置都可以看见资安设备的踪影!为什么呢?因为上面提过,资安的概念是如何掌握、比对、判断、控制封包!做个有趣的比喻,你可以想象一个原始封包就像个光着身子的美女,随着OSI模式各层的设计师帮她穿上合适的衣服之后才让它出门,VPN只能看见包裹着白布的木乃衣、Firewall可以看见去掉白布后穿着厚衣服的美女容貌、IPS可以从外套推测美女内在的三围、该死的VirusWall竟然有权可以对美女搜身、上网行为管理可以去掉白色的衬杉看美女身上的内衣裤是否是老板希望的款式…好吧~我们聊的是Network Security,我必需就此打住!至少我们了解一件事,资安的Solution可以存在网络的任何地上(SI知道一定很开心~生意做不完呀!) 资安设备简介: 接下来是针对各设备做常识性地说明,让大家对资安设备有一个全盘性的概念! (由于小弟碰的设备有限经验也不足,仅对知道的一小部份说明,任何错误与不足,还望各前辈们指正) 。Router:
Router通常是Cisco的Router才能加上资安的解决方案,Cisco新一代Router都叫ISR(Integrated Service Router),可以整合IPS或Voice模块,在外部的Router通常我们希望它扮演好Router的角色即可,而内部买不动一台IPS设备时,会建议客户从现有的Router上加上IPS模块。 。Switch: Switch一般也要到Core等级才可加入IPS模块,就如同Router一样,主要就是加上入侵侦测的功能,在客户环境Switch效能ok,也不打算多买设备,可以加入模块方式来保护网络。
计算机网络安全技术 习题一: 1-1 简述计算机网络安全的定义 答:从狭义角度:计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害。从本质上来讲就是系统上的信息安全; 从广义角度:凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。 1-2 计算机网络系统的脆弱性主要表现在哪几个方面?试举例说明。 答:网络安全的脆弱性、计算机硬件系统的故障、软件本身的“后门”、软件的漏洞。 例子:有些软件会捆绑另一些软件安装。 1-9 计算机网络安全的三个层次的具体内容是什么? 答:安全立法:计算机网络安全及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、安全产品检测与销售; 安全技术:物理安全技术、网络安全技术、信息安全技术; 安全管理:包括从人事资源管理到资产物业管理,从教育培训、资格认证到人事考核鉴定制度,从动态运行机制到日常工作规范、岗位责任制度等多方面。习题二 2-1简述物理安全的定义、目的与内容。 答:定义:实体安全又叫物理安全,是保护计算机设备设施免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实体安全主要考虑的问题是环境、场地和设备的安全以及实体访问控制和应急处理计划等。实体安全技术主要是指对计算机及网络系统的环境、场地、设备和人员等采取的安全技术措施。 目的:实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏;确保系统
有一个良好的电磁兼容工作环境;把有害的攻击隔离。 内容:实体安全的内容主要包括:环境安全、电磁防护、物理隔离以及安全管理。 2-2计算机房场地的安全要求有哪些? 答:1、为保证物理安全,应对计算机及其网络系统的实体访问进行控制,即对内部或外部人员出入工作场所进行限制。 2、计算机机房的设计应考虑减少无关人员进入机房的机会。 3、所有进出计算机机房的人都必须通过管理人员控制的地点。 2-3简述机房的三度要求。 答:温度:机房温度一般控制在18℃~20℃,即(20±2)℃。温度过低会导致硬盘无法启动,过高会使元器件性能发生变化,耐压降低,导致不能工作。 湿度:机房内的相对湿度一般控制在40%~60%为好,即(50±10)%。湿度控制与温度控制最好都与空调联系在一起,由空调系统集中控制。机房内应安装温、湿度显示仪,随时观察、监测。 洁净度:清洁度要求机房尘埃颗粒直径小于0.5μm,平均每升空气含尘量小于1万颗。 2-4机房内应采取哪些防静电措施?常用的电源保护装置有哪些? 答:防电措施:采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。 常用的电源保护装置有金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和不间断电源等。 2-7简述电磁干扰的分类及危害。 答:电磁干扰的分类:传导干扰、辐射干扰 危害:计算机电磁辐射的危害、外部电磁场对计算机正常工作的影响。 2-9简述物理隔离的安全要求。 答:1、在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄露到外部网。
网络安全试卷A 一、选择题(20题,每题2分,共40分) 1、信息风险主要指那些?(D) A、信息存储安全 B、信息传输安全 C、信息访问安全 D、以上都正确 2、一个数据包过滤系统被设计成允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于(A )基本原则。 A、最小特权 B、阻塞点 C、失效保护状态 D、防御多样化 3、不属于安全策略所涉及的方面是(D )。 A、物理安全策略 B、访问控制策略 C、信息加密策略 D、防火墙策略 4、不属于常见把入侵主机的信息发送给攻击者的方法是(D ) A、E-MAIL B、UDP C、ICMP D、连接入侵主机 5、WINDOWS主机推荐使用(A )格式 A、NTFS B、FAT32 C、FAT D、LINUX 6、在每天下午5点使用计算机结束时断开终端的连接属于(A ) A、外部终端的物理安全 B、通信线的物理安全 C、窃听数据 D、网络地址欺骗 7、下列说法不正确的是(D ) A、安防工作永远是风险、性能、成本之间的折衷。 B、网络安全防御系统是个动态的系统,攻防技术都在不断发展。安防系统必须同时发展与更新。 C、系统的安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念,以便对现有的安防系统及时提出改进意见 D、建立100%安全的网络 E、安防工作是循序渐进、不断完善的过程 8、不属于WEB服务器的安全措施的是(D ) A、保证注册帐户的时效性 B、删除死帐户 C、强制用户使用不易被破解的密码 D、所有用户使用一次性密码 9、DNS客户机不包括所需程序的是(D ) A、将一个主机名翻译成IP地址 B、将IP地址翻译成主机名 C、获得有关主机其他的一公布信息 D、接收邮件 10、有关对称密钥加密技术的说法,哪个是确切的?(C ) A、又称秘密密钥加密技术,收信方和发信方使用不同的密钥 B、又称公开密钥加密,收信方和发信方使用的密钥互不相同
网络安全概述 网络安全的定义 什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是"避免冒险和危险"。在计算机科学中,安全就是防止: 未授权的使用者访问信息 未授权而试图破坏或更改信息 这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源,即CPU、硬盘、程序以及其他信息。 在电信行业中,网络安全的含义包括:关键设备的可靠性;网络结构、路由的安全性;具有网络监控、分析和自动响应的功能;确保网络安全相关的参数正常;能够保护电信网络的公开服务器(如拨号接入服务器等)以及网络数据的安全性等各个方面。其关键是在满足电信网络要求,不影响网络效率的同时保障其安全性。 电信行业的具体网络应用(结合典型案例) 电信整个网络在技术上定位为以光纤为主要传输介质,以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议,QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的,所以IP优化尤其重要,至少包括包括如下几个要素: 网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构,可以减少对传统传输体系的依赖。 IP路由协议的优化。 IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征,提供高速路由查找和包转发机制。 带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽。 稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力,快速恢复网络连接,避免路由表颤动引起的整网震荡,提供符合高速宽带网络要求的可靠性和稳定性。 从骨干层网络承载能力,可靠性,QoS,扩展性,网络互联,通信协议,网管,安全,多业务支持等方面论述某省移动互联网工程的技术要求。 骨干层网络承载能力
网络安全基础知识介绍 网络让我们的生活变得更加便利了,我们在网上几乎可以找到所有问题的答案。但是有利也有弊,网络安全问题也困扰着很多人。现在如果不了解一点网络安全知识,对于网上形形色色的陷阱是很难提防的。 下面,小编就为大家介绍一下网络安全基础知识,希望能够帮助大家在网络世界里避免中毒,避免个人信息泄露。 1.什么是计算机病毒? 答:计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 2.什么是木马? 答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。 3.什么是防火墙?它是如何确保网络安全的?
答:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 4.加密技术是指什么? 答:加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。 5.什么叫蠕虫病毒? 答:蠕虫病毒源自第一种在网络上传播的病毒。1988年,22岁的康奈尔大学研究生罗伯特·莫里斯(Robert Morris)通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”(Worm)的病毒。蠕虫造成了6000个系统瘫痪,估计损失为200万到 6000万美元。由于这只蠕虫的诞生,在网上还专门成立了计算机应急小组(CERT)。现在蠕虫病毒家族已经壮大到成千上万种,并且这千万种蠕虫病毒大都出自黑客之手。
1 计算机与网络安全基础考试题 关于80年代Mirros 蠕虫危害的描述,哪句话是错误的? 占用了大量的计算机处理器的时间,导致拒绝服务 窃取用户的信息,破坏计算机数据文件 该蠕虫利用Unix 系统上的漏洞传播 大量的流量堵塞了网络,导致网络瘫痪 b telnet 协议在网络上明文传输用户的口令,这属于哪个阶段的安全问题? 管理员维护阶段 软件的实现阶段 用户的使用阶段 协议的设计阶段 d 许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对于这一威胁,最可靠的解决方案是什么? 安装防病毒软件 给系统安装最新的补丁 安装防火墙 安装入侵检测系统 b
亚太地区的IP地址分配是由哪个组织负责的APNIC ARIN APRICOT APCERT a 以下关于DOS攻击的描述,哪句话是正确的? 导致目标系统无法处理正常用户的请求 不需要侵入受攻击的系统 以窃取目标系统上的信息为目的 如果目标系统没有漏洞,远程攻击就不可能成功 a 以下关于Smurf 攻击的描述,那句话是错误的 攻击者最终的目标是在目标计算机上获得一个 它使用ICMP 的包进行攻击 它依靠大量有安全漏洞的网络作为放大器 它是一种拒绝服务形式的攻击 a 在以下人为的恶意攻击行为中,属于主动攻击的是身份假冒 数据窃听 数据流分析 非法访问
a TCP、IP、ICMP协议的协议号分别是() 0,1,6 6,1,0 6,0,1 1,0,6 c 以下不属于代理服务技术优点的是 可以实现身份认证 部地址的屏蔽和转换功能 可以实现访问控制 可以防数据驱动侵袭 d 以下关于计算机病毒的特征说确的是 计算机病毒只具有破坏性,没有其他特征 计算机病毒具有破坏性,不具有传染性 破坏性和传染性是计算机病毒的两大主要特征 计算机病毒只具有传染性,不具有破坏性 c 以下关于宏病毒说确的是 宏病毒主要感染可执行文件 宏病毒仅向办公自动化程序编制的文档进行传染 宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区
网络安全基础知识 防火墙技术可以分为三大类型,它们分别是(1)等,防火墙系统通常由(2)组成,防止不希望的、未经授权的通信进出被保护的内部网络,它(3)内部网络的安全措施,也(4)进人防火墙的数据带来的安全问题。它是一种(5)网络安全措施。 (1)A.IP过滤、线路过滤和入侵检测 B.包过滤、入侵检测和应用代理 C.包过滤、入侵检测和数据加密 D.线路过滤、IP过滤和应用代理 (2)A.代理服务器和入侵检测系统 B.杀病毒卡和杀毒软件 C.过滤路由器和入侵检测系统 D.过滤路由器和代理服务器 (3)A.是一种 B.不能替代 C.可以替代 D.是外部和 (4)A.能够区分 B.物理隔离 C.不能解决 D.可以解决 (5)A.被动的 B.主动的 C.能够防止内部犯罪的 D.能够解决所有问题的 答案:(1)D (2)D (3)B (4)C (5)A 解析:本题主要考查防火墙的分类、组成及作用。 防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。 防火墙一般有三个特性: A.所有的通信都经过防火墙 B.防火墙只放行经过授权的网络流量 C.防火墙能经受的住对其本身的攻击 防火墙技术分为IP过滤、线路过滤和应用代理等三大类型; 防火墙系统通常由过滤路由器和代理服务器组成,能够根据过滤规则来拦截和检查所有出站和进站的数据;代理服务器。内部网络通过中间节点与外部网络相连,而不是直接相连。 防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制 强化内部网络的安全策略。它是建立在内外网络边界的过滤封锁机制,内部的网络被认为是安全的和可信赖的。而外部的网络被认为是不安全的和不可信赖的。它提供一种内部节点或者网络与Internet的安全屏障,它是一种被动的网络安全措施。 ● 随着网络的普及,防火墙技术在网络作为一种安全技术的重要性越来越突出,通常防火墙中使用的技术有过滤和代理两种。路由器可以根据(6)进行过滤,以阻挡某些非法访问。(7)是一种代理协议,使用该协议的代理服务器是一种(8)网关。另外一种可以把内部网络中的某些私有IP地址隐藏起来的代理服务器技术使用的是(9)。安全机制是实现安全服务的技术手段,一种安全机制可以提供多种安全服务,而.一种安全服务也可采用多种安全机制。加密机制不能提供的安全服务是(10)。
计算机网络安全基础试题及答案 2008年01月09日 22:03 第一章: 1,信息安全定义:为了防止对知识,事实,数据或功能未经授权而使用,误用,未经授权修改或拒绝使用而采取的措施。 第二章 1,攻击的类型:访问攻击(信息保密性攻击,修改攻击(信息完整性攻击,拒绝访问攻击,否认攻击。 2,访问攻击类型:监听,窃听,截听。 3,修改攻击类型:更改攻击,插入攻击,删除攻击。 4,什么是warchalking?:warchalking是指在办公楼外面的道路旁边画的粉笔标记。这些标记用来标识附近有哪些无线网络可以使用,便于个人更容易接入这些网络。 第三章 1,黑客动机:挑战,贪婪,恶意。 2,黑客技术的类型:开放共享,糟糕的密码,编程中的漏洞,社会工程,缓存溢出,拒绝服务。 3,缓存溢出:为了攻击系统而占满计算机系统空间,或者允许黑客具有对系统的提升权限的过程,就是试图在计算机内存空间中缓存过多的信息。原因是由于应用程序中存在漏洞,而在将用户数据复制到另一个变量中时没有检查数据的复制量,可以通过检查程序的源代码来发现。
4.Ip哄骗:攻击者通过伪造计算机的ip地址来实施攻击的攻击策略。原理:因为数据包中无法验证ip地址,因此黑客可以修改数据包的源地址,随心所欲的修改数据包的来源。黑客首先确认他的目标,之后判断isn中使用的累加数,一旦isn累加数确定之后,黑客可以使用假的源ip地址向目标发送tcp syn数据包。目标就以tcp syn ack 数据包响应,发送到假冒源ip地址。 5.特洛伊木马:是外表看上去有用的程序,但是实际上是破坏计算机系统,或者为攻击者收集识别信息和密码信息的恶意代码。 6.病毒:寄生在合法代码上的恶意代码,在执行时,它干扰计算机操作或者破坏信息。传统的病毒通过可执行文件或命令文件来执行,但是它们现在已经扩展到了数据文件,被称为宏病毒。 7.蠕虫病毒:无需受害者的帮助而自行从一个系统蔓延到另一个系统的程序。它们修改目标系统并自行扩散,进而对网络上的其他系统实施攻击。 8,黑客必须完成以下两种工作才能监听交换网络:让交换机发送通信给交换网络,或者让交换机发送通信给所有端口。 9.通过复制mac或者哄骗arp或点dns,可以欺骗交换机发送通信给嗅闻器。 第四章 攻击 机密性 完整性 可用性 责任性 访问
网络安全操作规程 为了保证我司网站及网络畅通,安全运行,保证网络信息安全,特制定网络和信息安全事件应急处置和报告制度。 一、在公司领导下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省、市相关部门关于网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。 二、信息网络安全事件定义 1、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。 2、网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、公司声誉和稳定的谣言等。 3、单位内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。 三、设置网络应急小组,组长由单位有关领导担任,成员由技术部门人员组
成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。设置网络运行维护小组,成员由信息中心人员组成,确保网络畅通与信息安全。 四、加强网络信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。信息发布服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施( 如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。 五、信息部对公司网络实施24 小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和当地公安单位的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。 六、加强突发事件的快速反应。运行维护小组具体负责相应的网络安全和信息安全工作,网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到: (1) 及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。 (2) 保护现场,立即与网络隔离,防止影响扩大。 (3) 及时取证,分析、查找原因。 (4) 消除有害信息,防止进一步传播,将事件的影响降到最低。 (5) 在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传
网络安全知识 篇一:网络安全基本知识一旦黑客定位了你的网络,他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多,你应当对这些方法引起注意。 常见攻击类型和特征 攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。 常见的攻击方法 你也许知道许多常见的攻击方法,下面列出了一些: ?字典攻击:黑客利用一些自动执行的程序猜测用户命和密码,审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。 ?Man-in-the-middle攻击:黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。 ?劫持攻击:在双方进行会话时被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他继续与另一方进行会话。虽然不是个完全的解决方案,但强的验证方法将有助于防范这种攻击。 ?病毒攻击:病毒是能够自我复制和传播的小程序,消耗系统资源。在审计过程中,你应当安装最新的反病毒程序,并对用户进行防病毒教育。 ?非法服务:非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。 ?拒绝服务攻击:利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。容易遭受攻击的目标 最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器,和与协议相关的服务, 如DNS WINS和SMB。本课将讨论这些通常遭受攻击的目标。 路由器 连接公网的路由器由于被暴露在外,通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议,尤其是SNMPvl,成为潜在的问题。许多网络管理员未关闭或加密Telnet会话,若明文传输的口令被截取,黑客就可以重新配置路由器,这种配置包括关闭接口,重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。 过滤 Telnet 为了避免未授权的路由器访问,你应利用防火墙过滤掉路由器外网的telnet 端口和SNMP[161,162]端口 技术提示:许多网络管理员习惯于在配置完路由器后将 Telnet 服务禁止掉,因为路由器并不需要过多的维护工作。如果需要额外的配置,你可以建立物理连接。 路由器和消耗带宽攻击 最近对 Yahoo、 e-Bay 等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些 攻击是由下列分布式拒绝服务攻击工具发起的: ?Tribal Flood Network(TFN) ?Tribal Flood Network(TFN2k)
网络安全基础知识汇总 一、引论 提到网络安全,一般人们将它看作是信息安全的一个分支,信息安全是更加广义的一个概念:防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施,说白了,信息安全就是保护敏感重要的信息不被非法访问获取,以及用来进一步做非法的事情。网络安全具体表现在多台计算机实现自主互联的环境下的信息安全问题,主要表现为:自主计算机安全、互联的安全(实现互联的设备、通信链路、网络软件、网络协议)以及各种网络应用和服务的安全。这里提到了一些典型的网络安全问题,可以来梳理一下: 1.IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(报文伪造、篡改)和路由攻击(中间人攻击); 2.DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量; 3.DoS攻击:单一攻击源发起的拒绝服务攻击,主要是占用网络资源,强迫目标崩溃,现在更为流行的其实是DDoS,多个攻击源发起的分布式拒绝攻击; 网络安全的三个基本属性:机密性、完整性与可用性,其实还可以加上可审性。机密性又叫保密性,主要是指控制信息的流出,
即保证信息与信息不被非授权者所获取与使用,主要防范措施是密码技术;完整性是指信息的可靠性,即信息不会被伪造、篡改,主要防范措施是校验与认证技术;可用性是保证系统可以正常使用。网络安全的措施一般按照网络的TCP/IP或者OSI的模型归类到各个层次上进行,例如数据链路层负责建立点到点通信,网络层负责路由寻径,传输层负责建立端到端的通信信道。 最早的安全问题发生在计算机平台,后来逐渐进入网络层次,计算机安全中主要由主体控制客体的访问权限,网络中则包含更加复杂的安全问题。现在网络应用发展如火如荼,电子政务、电子商务、电子理财迅速发展,这些都为应对安全威胁提出了挑战。 密码学在网络安全领域中的应用主要是机密性和身份认证,对称密码体制如DES,非对称密码体制如RSA,一般的做法是RSA保护DES密钥,DES负责信息的实际传输,原因在于DES 实现快捷,RSA相比占用更多的计算资源。 二、风险分析 风险分析主要的任务时对需要保护的资产及其受到的潜在威胁进行鉴别。首要的一步是对资产进行确定,包括物理资源(工作站、服务器及各种设备等)、知识资源(数据库、财务信息等)以及时间和信誉资源。第二步需要分析潜在的攻击源,如内部的员工,外部的敌对者等;第三步要针对以上分析指定折中的安全策略,因为安全措施与系统性能往往成反比。风险被定义为漏洞威胁,漏
2012级计算机网络专业《网络安全基础》试题 一、单选題(每题1分) 1、下列加密协议属于非对称加密的是( A ) A RSA B DES C 3DES D AES 2 、3DES加密协议密钥是()位( A ) A 128 B 56 C 64 D 1024 3、下列不是身份认证的是( C ) A 访问控制 B 智能卡 C 数学证书 D口令 4、下面有关SSL的描述,不正确的是( D ) A. 目前大部分Web浏览器都内置了SSL协议 B. SSL协议分为SSL握手协议和SSL记录协议两部分 C. SSL协议中的数据压缩功能是可选的 D. TLS在功能和结构上与SSL完全相同 5、计算机病毒的危害性表现在( B ) A. 能造成计算机部分配置永久性失效 B. 影响程序的执行或破坏用户数据与程序 C. 不影响计算机的运行速度 D. 不影响计算机的运算结果 6、下面有关计算机病毒的说法,描述正确的是( C ) A. 计算机病毒是一个MIS程序 B. 计算机病毒是对人体有害的传染性疾病 C. 计算机病毒是一个能够通过自身传染,起破坏作用的计算机程序 D. 计算机病毒是一段程序,只会影响计算机系统,但不会影响计算机网络 7、计算机病毒具有( A ) A. 传播性、潜伏性、破坏性 B. 传播性、破坏性、易读性 C. 潜伏性、破坏性、易读性 D. 传播性、潜伏性、安全性 8、目前使用的防杀病毒软件的作用是( B ) A. 检查计算机是否感染病毒,并消除已感染的任何病毒 B. 杜绝病毒对计算机的侵害 C. 检查计算机是否感染病毒,并清除部分已感染的病毒 D. 查出已感染的任何病毒,清除部分已感染的病毒 9、非法接收者在截获密文后试图从中分析出明文的过程称为( B ) A. 破译 B. 解密 C. 加密 D. 攻击 10、以下有关软件加密和硬件加密的比较不正确的是( B ) A. 硬件加密对用户是透明的而软件加密需要在操作系统或软件中写入加密程序 B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 11、“在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明 D A. 身份认证的重要性和迫切性 B. 网络上所有的活动都是不可见的 C. 网络应用中存在不严肃性 D. 计算机网络是一个虚拟的世界 12、以下认证方式中最为安全的是 C A. 用户名+密码 B. 卡+密钥 C. 用户名+密码+验证码 D. 卡+指纹 13、当计算机上发现病毒时最彻底的清除方法为 A
如何保证网络的安全 什么就是网络安全呢?网络安全的定义为:计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。”因此,所谓网络安全就就是指基于网络的互联互通与运作而涉及的物理线路与连接的安全,网络系统的安全,操作系统的安全,应用服务的安全与人员管理的安全等几个方面。但总的说来,计算机网络的安全性就是由数据的安全性、通信的安全性与管理人员的安全意识三部分组成。 一、产生网络安全的问题的几个因素 1、信息网络安全技术的发展滞后于信息网络技术 网络技术的发展可以说就是日新月异,新技术、新产品层出不穷,但就是这些投入对产品本身的安全性来说,进展不大,有的还在延续第一代产品的安全技术,以Cisco的路由器为例,其低端路由产品从Cisco2500系列到7500系列,其密码加密算法基本一致,仅仅就是将数据吞吐能力及数据交换速率提高数倍。还有IPS防御系统等,考虑到经济预算、实际要求等并未采用安全性能最好的产品,从而在硬件条件上落后于网络黑客技术的更新。 2、操作系统及IT业务系统本身的安全性,来自Internet的邮件夹带的病毒及Web 浏览可能存在的恶意Java/ActiveX控件 目前流行的许多操作系统均存在网络安全漏洞,还有许多数据库软件、office办公软件等都存在系统漏洞,这些漏洞都能为黑客侵入系统所用。而来自外部网络的病毒邮件及web恶意插件主要就是就是伪装官方邮件或者网站,从而达到利用计算机网络作为自己繁殖与传播的载体及工具。企业很多计算机用户并不太懂电脑的安全使用,安全意识缺乏,计算机系统漏洞不及时修复,计算机密码不经常修改且未符合策略要求,下班后未关闭计算机,这都为网络安全留下了隐患。 3、来自内部网用户的安全威胁以及物理环境安全威胁 来自内部用户的安全威胁远大于外部网用户的安全威胁,特别就是一些安装了防火墙的网络系统,对内部网用户来说一点作用也没有。再强大的入侵防御系统对于自然灾害、人为破坏都就是无可奈何的。 4、缺乏有效的手段监视、评估网络系统的安全性 完整准确的安全评估就是网络安全防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性与组织上的可执行性。网络安全评估分析就就是对网络进
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面 网络安全包含5大目标: 1)机密性,对使用者进行授权,未经授权不得使用或无法使用就叫保密性,保密性建立在授权的基础上,授权说白了 就是身份确认 2)完整性,保证数据无法被篡改、伪造,实际生活中我们常用签名和身份确认的方式保证信函的真实性,网络世界中 也采用类似的数字签名实现完整性,而且完整性也是基于身份确认的 3)可用性,在合适的时机能够对服务请求进行响应,如网络、服务器在规定时间都保持可访问状态 4)可控性,能够控制信息的发送或接收,这取决于对信息的甄别,如发现危害信息能够立即采取措施禁止继续传播 5)可审查性,对网络行为进行记录,便于网络安全措施的改进,同时为网络故障定位提供线索 网络安全的4个层次 1)物理安全,即保证网络环境如机房、线路、办公网络设备被物理上损坏,比如线路被剪断或窃听,机房无权限控制, 闲杂人等都可以随意进出,又如面对自然灾害,如何保证网络服务不中断,重要数据不丢失等。物理安全的文章主要在管理条例上,严格的管理和松散的管理对物理安全的作用是天壤之别,同时一旦网络出现物理安全故障,其损失无疑是巨大的。 2)安全控制,对网络使用人员的控制,如通过用户名和口令核实身份,对不同身份用户开通不同的网络权限,同时对 网络行为进行审计,安全控制不止是用于人员,还包括对网络设备身份的确认,如一些开放协议OSPF,就可以使用鉴权的手段避免和错误的设备建立连接,避免路由信息外泄。 3)安全服务,对网络行为的安全保证,即实现信息的机密性、完整性和可用性。 4)安全机制,安全服务的实现措施称为机制,如为了实现信息的机密性开发数字加密算法,为了实现信息完整性开发 数字签名算法,为了提高服务可用性开发防火墙、IDS、IPS、UTM等。 网络安全的基本内容 一、网络攻击 1.对网络的攻击大致可以分为两类:服务供给和非服务攻击。从攻击的手段可以分为8类:系统入侵类攻击、缓冲区溢出类攻击、欺骗类攻击、拒绝服务类攻击、防火墙攻击、病毒类攻击、木马类攻击与后门攻击。 2.服务类攻击(Application Dependent Attrack)是指对为网络提供某种服务的服务器发起攻击,造成该服务器的“拒绝服务”,使网络工作不正常。拒绝服务类攻击(Denial-of-Service Attrack)产生的效果表现在消耗带宽、消耗计算资源、使系统和应用崩溃等方面,导致某种服务的合法使用者不能访问他有权限访问的服务。 3.非服务类攻击(Application Independent Attrack)不针对某项具体的应用设备,而是针对网络层等低级协议进行的攻击。此种攻击往往利用协议和操作系统实现协议时的漏洞来达到攻击的目的,是一种更为隐蔽而且危险的攻击手段。 二、信息安全 1.网络中的信息安全主要包括两个方面:信息储存安全和信息传输安全。 2.信息储存安全是指如何保证静态存储在联网计算机中的信息不会被非授权的网络用户非法使用。 3.信息传输安全是指如何保证信息在网络传输过程中不被泄露和不被攻击。 信息传输安全的主要威胁有:截获信息、窃听信息、篡改信息与伪造信息。 保证网络系统中的信息安全的主要技术是数据加密与解密。
网络安全基础知识问答 问:什么是网络安全? 答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。 问:什么是计算机病毒? 答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 问:什么是木马? 答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。 问:什么是防火墙?它是如何确保网络安全的? 答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 问:什么是后门?为什么会存在后门? 答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。 问:什么叫入侵检测? 答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。 问:什么叫数据包监测?它有什么作用?
7.国家网信部门应当统筹协调有关部门加强网络安全信息____、___、和___工作,按照规定统一发布网络安全监测预警信息。() A.分析研判处置 B.收集分析通报 C.收集分析研判 D.收集研判通报 8.网络产品、服务应当符合相关国家标准的___要求。() A.规范性 B.自觉性 C.强制性 D.建议性 9.___和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。() A.国务院 B.网信部门 C.工信部门 D.电信部门 10.《网络安全法》要求,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,应当要求用户提供_____。( ) A.有效证件 B.户口本 C.真实身份信息 D.身份证 11.国家支持网络运营者之间在网络安全信息____、____、____和________等方面进行合作,提高网络运营者的安全保障能力。() A.发布收集分析事故处理 B.收集分析管理应急处置 C.收集分析通报应急处置 D.审计转发处置事故处理 12.发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行___,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。() A.调查和评估 B.调查 C.评估 D.分析 13.《网络安全法》第五十九条规定,网络运营者不履行网络安全保护义务的,最多处以___罚款。() A.五万元 B.十万元 C.五十万元 D.一百万元 14.以下哪种行为不属于泄露个人信息?() A.评价中发布他人个人信息
网络信息安全基础知识培训主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容
(一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀3、及时安装系统补丁
4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级
4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件
网络安全的基本概念 因特网的迅速发展给社会生活带来了前所未有的便利,这主要是得益于因特网络的开放性和匿名性特征。然而,正是这些特征也决定了因特网不可避免地存在着信息安全隐患。本章介绍网络安全方面存在的问题及其解决办法,即网络通信中的数据保密技术和签名与认证技术,以及有关网络安全威胁的理论和解决方案。 6.1.,网络安全威胁的类型 网络威胁是对网络安全缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面,并且随着时间的变化而变化。网络安全威胁的种类有如下几类。 (1)窃听。在广播式网络系统中,每个节点都可以读取网上传输的数据,如搭线窃听、安装通信监视器和读取网上的信息等。网络体系结构允许监视器接收网上传输的所有数据帧而不考虑帧的传输目标地址,这种特性使得偷听网上的数据或非授权访问很容易而且不易发现。 (2)假冒。当一个实体假扮成另一个实体进行网络活动时就发生了假冒。
(3)重放。重复一份报文或报文的一部分,以便产生一个被授权效果。 (4)流量分析。通过对网上信息流的观察和分析推断出网上传输的有用信息,例如有无传输、传输的数量、方向和频率等。由于报头信息不能加密,所以即使对数据进行了加密处理,也可以进行有效的流量分析。 (5)数据完整性破坏。有意或无意地修改或破坏信息系统,或者在非授权和不能监测的方式下对数据进行修改。 (6)拒绝服务。当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时,就发生了拒绝服务。 (7)资源的非授权使用。即与所定义的安全策略不一致的使用。 (8)陷门和特洛伊木马。通过替换系统合法程序,或者在合法程序里插入恶意代码,以实现非授权进程,从而达到某种特定的目的。 (9)病毒。随着人们对计算机系统和网络依赖程度的增加,计算机病毒已经构成了对计算机系统和网络的严重威胁。