Linux课程实验系统安全设计
一、信息安全现状分析
1.1应用背景
Linux课程实验系统是《Linux系统及程序设计》课程实验教学服务系统,该课程是西南科技大学计算机学院信息安全系为信息安全本科专业的大三学生(约150人)开设的一门必修课程。
信息安全系现有专业教师18人,教授2人,副教授7人,具有博士学位6人,硕士学位13人,拥有一批水平较高的中青年教师。特别在信息系统安全、密码学、网络安全技术,反病毒技术,网络攻防对抗等领域拥有较强的业务素质。信息安全系主要承担计算机网络、密码学、网络安全技术、反病毒技术、信息安全标准与法律法规、Linux系统及程序设计、军事理论与信息对抗、网络攻防对抗、信息安全综合实验等课程。
Linux课程实验系统部署在网络与安全实验室,该实验室主要承担信息安全专业实验课程的开设任务,包括计算机网络、反病毒技术、Linux系统及程序设计、网络攻防对抗、信息安全综合实验等,以及学院其他公共课程的开设,另外,实验室还提供信息安全相关的开发项目的软硬件平台支持。
网络与安全实验室归属计算机学院计算机实验教学中心,采用多名专业教师指导网络安全技术创新班网络技术学生团队的方式进行日常运行维护和管理。
Linux课程实验系统的使用人员包括参加实验课程的学生、教师、实验室的管理员,以及匿名访客。
1.2信息系统概况
Linux课程实验系统为《Linux系统及程序设计》课程实验教学提供服务,主要功能包括:
1)文件网络共享
提供教学文件的上传、下载和管理;个人文件的网络存储及管理;科研文件的网络共享和管理;
2)实验操作
提供学生登录服务器进行实验操作;
3)实验考核支持
为《Linux系统及程序设计》课程的实验考核提供支持;
4)实验任务管理
提供实验报告提交、批改、查阅等。
1.3系统风险分析
序号问题
类别
安全问题关联资产关联威胁后果
风
险
值
1物理安
全
机房均仅部署一组二氧
化碳气体灭火,但安装了
电子门禁、声光报警,定
时检查机房环境。
所有设备及
系统数据
防火
发现火灾后不
能第一时间开
展灭火活动,火
灾影响系统的
运行及资产损
失
低
2物理安
全
机房尚未采取措施防止
水蒸气结露
主机房
防水和防
潮
网络、主机等系
统设备由于设
备潮湿等原因
发生硬件故障
低
3网络安
全
设备默认没有配置登录
失败策略,则该设备未对
登录失败采取相关措施
业务数据恶意攻击
攻击者可通过
不限次数的嗅
探、破解,更容
易入侵系统
低
4主机安
全
没有限制每个用户对资
源的最大或最小使用限
度
业务数据
越权或滥
用
越权访问本来
无权访问的资
源,或者滥用自
己的权限破坏
信息系统
低
5系统运
维安全
没有介质归档和查询过
程记录
整个业务系
统
管理不到
位
由于制度缺失、
不完善等原因
导致安全管理
无法落实或者
不到位
低
1.4系统安全总体规划
Linux课程实验系统采用的计算模式包括主机终端、文件服务器以及浏览器服务器模式。其中,学生进行实验操作和实验考核采用主机终端计算模式,即学生需要通过实验主机上的远程终端软件远程登录Linux课程实验系统进行实验;文件网络共享采用文件服务器计算模式,即学生使用文件下载软件从Linux课程实验系统中下载,教师使用文件下载软件管理Linux课程实验系统中的教学文件;实验任务管理采用浏览器服务器模式,即学生通过实验主机上的浏览器访问Linux课程实验系统,上传实验报告,查询实验成绩,教师通过实验主机上的浏览器访问Linux课程实验系统,批改实验报告,管理实验任务。
二、系统安全需求分析
2.1法律法规需求
<略>
2.2网络连接需求
网络与安全实验室的拓扑结构如下图:
其中,学生主机位于实验网络中,Linux课程实验系统部署在云平台中的“研华科技610L”的服务器中。
在实验室内部,学生通过实验主机访问Linux课程实验系统需要穿越运行网络中的防火墙;在实验室外部,学生可以通过校园网访问到实验室中的VPN网关SA2500,并使用该网关访问到Linux课程实验系统。
实验室内部的实验主机使用DHCP协议获取IP地址,地址段为10.11.5.0/24;Linux课程实验系统使用静态IP地址,地址为10.11.0.51。
实验室的审计服务器为SRTM500,位于攻防网络中,网络设备和Linux课程实验系统可以通过syslog协议将本地日志发送到该服务器,便于进行综合审计。
2.3服务安全需求
实验室中的实验主机安装的操作系统为Windows XP,应用程序如下表所示:序号功能应用程序版本
1教学文件共享filezilla 3.7.3
2实验操作和实验考核putty0.63
3访问实验任务管理chrome38.0
Linux课程实验系统安装在Fedora操作系统中,应用程序如下表所示:序号功能应用程序版本
1教学文件共享vsftpd 3.0.0-2
2实验操作和实验考核openssh-server 5.9
3实验任务管理tomcat7.0
2.4安全功能需求
Linux课程实验系统的信息安全需求包括:
1)身份认证
根据人员组织结构和功能实验的需要,Linux课程实验系统要求创建4类用户帐号,包括学生、教师、管理员、匿名用户,通过用户组或角色对4类用户加以分类,以便实现访问控制,另外:
文件网络共享需要提供学生匿名下载教学文件,教师及管理员管理教学文件需要使用教师帐号登录,学生也可以使用个人帐号登录管理私人文件,以及只读访问其他文件,帐号可以与实验操作和实验考核功能的帐号相同;
实验操作和实验考核需要学生、教师、管理员使用个人帐号登录系统,帐号需要采用对话方式注册生成;
实验任务管理需要学生、教师、管理员使用个人帐号登录,帐号和密码与个人在学校门户系统中的相同。
2)文件访问控制
根据文件网络共享、实验操作和实验考核的功能要求,需要创建下图所示的文件目录结构:
其中:
/home/pub目录用于公开文件的匿名共享,readonly子目录存放公开宣传材料等,upload子目录用于匿名用户上传文件,实现文件交流;
/home/share目录用于科研文件和教学文件共享,codes子目录用于科研项目组存放科研数据和代码,teaching子目录用于存放课程教学文件;
/home/student目录用于存放学生的个人主目录,以用户名作为子目录名称;/home/teacher目录用于存放教师的个人主目录,以用户名作为子目录名称。另外,操作系统文件位于根目录的其他位置。
上述目录结构的访问控制需求如下表:
目录
权限(可读r/可写w/可执行x)
学生教师管理员匿名用户
/home/pub/readonly------rwx r-x /home/pub/upload------rwx rwx
/home/share/codes---(一般学
生)
rwx(项目
组学生)---(一般教
师)
rwx(项目
组教师)
------
/home/share/teaching r-x rwx---r-x
/home/student/<用户名>rwx(拥有
者)
---(其他)
---------
/home/teacher/<用户名>---rwx(拥有
者)
---(其他)
------
操作系统文件r--r--rwx---3)网络访问控制
Linux课程实验系统不允许攻防网络中的主机访问;
Linux课程实验系统的运行安全需求包括:
1)安全分析
操作系统文件需要进行文件完整性分析,用以发现异常行为;
需定期通过渗透测试、应用扫描等方法对Linux课程实验系统进行风险分析;
2)审计分析
网络状况和操作系统的行为需要进行审计和分析,用以发现异常;
3)备份与恢复
操作系统的关键文件、科研教学文件等需要进行定期备份,用于在灾难和攻击事件发生后进行系统恢复。
2.5管理安全需求
建立实验室的物理使用、配置管理等过程的登记制度,并保存登记记录。
2.6物理环境安全需求
实验室需要具有防火、防盗、防雷等设施,报警系统要与学院安防系统进行连接。
三、系统安全设计
3.1系统设计
Linux课程实验系统安全的系统设计是为了保证设计目标能够实现,采用如下设计原则:
1)整体性原则
系统的安全设计全面考虑安全现状、安全需求、安全设计、安全运行等各个方面,实现信息均衡、全面的安全保护。
2)安全性评价原则
系统的安全性设计与学生、教师、管理等用户的需求和Linux课程实验应用紧密相关,在保障可用性的前提下进行实用的安全设计。
3)等级性原则
按Linux课程实验的安全需要,对数据和应用划分安全层次和安全级别,实现有区别的安全保护。
4)最小化原则
需要按照Linux课程实验过程和管理要求,为学生、教师、管理员设置能够完成实验操作和管理的最小权限。
3.2功能设计
安全功能设计主要针对Linux课程实验系统能够正常工作所应具有的安全防护能力,包括信息安全设计、运行安全设计和物理安全设计。
针对Linux课程实验系统的信息安全设计包括:
1)身份认证
实验操作和实验考核需要通过远程访问Linux课程实验系统,访问需要进行用户名、口令认证,实现用户帐号注册功能;
针对匿名用户的文件网络共享不需要口令认证,但是需要对教师、学生、管理员用户管理自己的文件进行用户名、口令认证,实现用户帐号注册功能;
实验任务管理功能需要使用教师和学生在学校门户中的用户名和密码进行身份认证,学生、教师用户帐号由管理员统一导入,教师管理每个实验任务的学生帐号;
每个学生、教师、管理员用户需要创建一个帐号,另外,需要创建几个用户组,包括学生组、教师组、管理员组、以及若干项目组。
2)文件访问控制
根据针对文件访问控制的安全功能需求,设计在Linux服务器下的文件访问控制如下表:
目录所属属性(权限(可读r/可写w/可执行x))所有者所属组其他用户
/home/pub/readonly ftp(r-x)管理员组(rwx)r-x
/home/pub/upload ftp(rwx)管理员组(rwx)r-x
/home/share/codes创建学生(rwx)项目组(rwx)---
/home/share/teaching创建教师(rwx)学生组(r-x)---
/home/student/<用户名>学生(rwx)学生组(---)---
/home/teacher/<用户名>教师(rwx)教师组(---)---
操作系统文件root(r--)root组(r--)---3)网络访问控制
Linux课程实验系统不允许攻防网络中的主机访问,攻防网络的IP地址为
10.11.8.0/24;
4)数据加密
实验操作、实验考核、文件网络共享、实验任务管理中的网络数据需要被加密,可采用加密的网络协议,防止被窃听。
针对Linux课程实验系统的运行安全设计包括:
1)审计跟踪
实验操作、实验考核、文件网络共享服务的登录、退出事件需要日志记录;
实验任务管理中的用户登录事件、提交事件需要进行日志,在管理应用系统中单独实现;
2)备份与恢复
需要每日备份的目录包括:
/home/share/codes
/home/share/teaching
/home/pub/readonly
需要每周备份的目录包括:
/etc/
/usr/lib/
3)风险分析
/etc目录中的文件需要每周进行完整性检查,另外需要对日志记录每周进行检查,以发现潜在的网络安全威胁。
针对Linux课程实验系统的物理安全设计包括:
1)机房
每学期应该对机房防火、防盗、防雷等设施进行检查;
2)设备
每学期应该清理实验室设备状况,检查使用和配置记录;
3.3技术设计
安全技术设计是在技术保障方面为信息系统提供安全保护。Linux课程实验系统的安全技术设计包括安全防护和安全管理两个部分。
安全防护的目的是防止外部入侵、攻击、破坏和窃取数据,主要关注物理安全技术和系统安全技术两个方面,物理安全技术在3.2节中进行了设计,系统安全技术主要关注操作系统的安全性,包括:
1)操作系统脆弱性
实验主机和服务器上的操作系统需要定期进行补丁程序安装,针对实验主机的Windows XP操作系统厂家已停止升级和更新的情况,应安装第三方防护软件,如金山卫士等。
2)安全配置
实验主机和服务器上的操作系统需要定期进行加固处理。实验主机的Windows XP操作系统可使用第三方防护软件的优化功能,比如金山卫士;服务器上的Fedora 系统需要在如下方面进行加固:
关闭不必要的服务;
限制用户资源;
修改默认密码策略
3)病毒
实验主机的操作系统需要安装杀毒软件,如金山毒霸,服务器安装Fedora操作系统,可暂时不考虑安装杀毒软件。
安全管理的目的是协调各安全组件的操作,确定安全保障所必须的组织管理技能。包括安全管理制度、安全管理机构、人员安全管理、系统建设管理以及系统运维管理。
四、信息安全运行管理
4.1安全组织结构
实验室管理团队由学生和指导教师构成,负责实验室的安全管理、审查、运行、规划等;管理团队中的指导教师作为专家咨询团队,负责进行实验室安全规划和安全技术方面的咨询。
4.2安全人事管理
实验室学生管理员需要通过实验室管理团队中的指导教师进行考察后确定,需要开展安全教育和管理技术培训;管理团队人员变动后应锁定变动人员帐号,更改管理员密码等;
使用实验室的教师和学生需要进行实验室安全管理制度的培训,以明确管理责
任和义务,特别是进行有危害的信息安全实验前需要签署实验室免责说明。
4.3安全系统管理
Linux课程实验系统的安全系统管理主要解决系统运行的安全管理,包括目标确定、系统评价、安全检查、变更管理、建立运行文档和管理制度。其中:安全管理目标可以从可靠性、可用性、保密性、完整性、不可抵赖性、可控性等方面出发进行定义;
系统评价可以从系统预定开发目标完成情况、系统运行实用性以及系统对设备的影响等方面进行;
运行安全检查包括计算机硬件系统及实体环境检查、系统运行安全测试两个方面的任务;
变更管理包括运行变化监控,以及软、硬件升级的管理;
运行文档包括:参数设置文件、运行日志等,管理制度包括各种岗位制度、操作规范、维护制度、以及机房卫生、安全保卫等相关制度。
4.4安全事件管理
安全事件主要包括垃圾邮件事件、入侵事件、DoS事件、病毒和蠕虫事件、扫描事件等;按照安全事件的生命周期(分为受理、启动、分析、处理、跟踪、关闭等几个过程),Linux课程实验系统的安全事件管理包括下面4个阶段:1)准备
这个阶段包括环境准备和预防安全事件两个方面,前者为安全事件处理准备软硬件资源,后者在服务器、网络设备中实施安全策略,以及用户培训。
2)检测和分析
根据安全事件的类型,在不同事件来源中确定安全事件征兆,然后通过分析发现正确的安全事件,并加以记录,保存必要的相关数据,最后按照事件的优先级报告和通知主管部门。
3)限制、消除和恢复
确认安全事件后需要首先限制事件影响的范围,然后收集证据,确定攻击者,最后消除安全事件的各个组成部分,将受影响的系统恢复到正常运行状态。
4)事件后活动
这个阶段的活动包括:总结经验、利用收集的数据进行研究和学习、保存证据、改进处理方法、与外部组织安全合作等,以提高安全事件处理能力。
4.5灾难恢复
灾难恢复指系统遭遇自然或人为灾害(如水灾、火灾、黑客攻击、病毒等)后恢复操作的能力,需要对数据进行分类、备份以及恢复。
Linux课程实验系统的数据按照使用目标不同分为两个类别:
一类是业务数据,包括:
/home/share/codes
/home/share/teaching
/home/pub/readonly
另外一类是运行数据,包括:
/etc/
/usr/lib/
针对数据的重要程度,采用0级灾难备份方案,即仅在本地进行备份,不制定灾难恢复计划。
4.6安全审计
Linux课程实验系统运行过程中需要对实验操作、实验考核、文件网络共享以及实验任务管理中的日志进行定期检查,发现可疑事件,分析关联事件,以完成审计总结报告。
4.7安全事件响应
Linux课程实验系统的安全事件响应针对日新月异的信息安全风险事件,进行包括阻断、攻击抑制、紧急恢复、取证等步骤的应对措施。
五、系统安全实现
5.1安全功能实现
1)身份认证
根据“3.2功能设计”中关于身份认证的设计,针对实验操作、实验考核和文件共享的帐号如下表所示:
用户帐号主用户组其他用户组
教师教师姓名拼音teacher root
学生学号student
管理员admin root
具体实现上,教师和管理员由root用户通过命令生成,命令如下:groupadd teacher
useradd-g teacher-G root<教师姓名>
passwd教师姓名
useradd-g root admin
passwd admin
学生帐号通过SSH网络协议访问服务器,使用register帐号和口令linux,在对话过程中产生,具体方式为:
(a)安装ssh服务
yum install openssh-server
systemctl start sshd.service
systemctl enable sshd.service
systemctl disable firewalld.service
(b)建立register帐号(口令设置为linux)
useradd-u root-s/home/register/register.bash register
passwd register
(c)设置register帐号的创建登录脚本register.bash为:
#!/bin/bash
PATTERN="201[12][0-9]{4}"
EXAMPLE_ID="20050001"
GROUP="student"
RETURN=1
groupadd$GROUP>/dev/null2>&1#make sure group is created before
while[$RETURN!=0]
do
echo"Input your student ID as your account[0means quit]:"
read ID
if[$ID==0];then
exit
fi
if[[!$ID=~$PATTERN]]||[${#ID}!=${#EXAMPLE_ID}];then echo"Your ID doesn't match the pattern of your student's ID(${#EXAMPLE_ID} digits),"
echo"Please input again!"
continue
fi
grep$ID/etc/passwd>/dev/null2>&1
if[$?==0];then
echo"The ID you input have already been created,please contact the teacher!" read
exit
fi
useradd-g$GROUP$ID>/dev/null2>&1
RETURN=$?
if[$RETURN!=0];then
echo"The account you chosen is invalid,please try again!"
fi
done
trap"userdel-r$ID;trap-SIGINT SIGTERM;stty echo;exit"SIGINT SIGTERM echo"Set password for your account:"
if!passwd$ID
then
userdel-r$ID
fi
clear
echo
echo
echo
echo"====================================================" echo"Congratulation!Your account$ID is setup."
echo"Please login again using your account$ID."
echo"===================================================="
read
实验任务管理功能的帐号由该系统的Web界面来设置,其中,教师帐号和管理员帐号由管理员管理,学生帐号由管理员管理,由教师配置到各个实验任务中。
2)文件访问控制
根据“3.2功能设计”中关于文件访问控制的设计,针对实验操作、实验考核和文件共享功能中文件系统的访问控制实现如下表所示:
目录所属属性(权限(可读r/可写w/可执行x))所有者所属组其他用户
/home/pub/readonly ftp(r-x)管理员组(rwx)r-x chown ftp.root/home/pub/readonly
chmod575/home/pub/readonly
/home/pub/upload ftp(rwx)管理员组(rwx)r-x chown ftp.root/home/pub/upload
chmod775/home/pub/upload
/home/share/codes创建学生(rwx)项目组(rwx)---chown学号.项目组/home/share/codes/项目名
chmod770/home/share/codes/项目名
/home/share/teaching创建教师(rwx)学生组(r-x)---chown教师.student/home/share/teaching
chmod750/home/share/teaching
/home/student/<用户名>学生(rwx)学生组(---)---chown学生.student/home/student/学生
chmod700/home/student/学生
/home/teacher/<用户名>教师(rwx)教师组(---)---chown教师.teacher/home/teacher/教师
chmod700/home/teacher/教师
操作系统文件root(r--)root组(r--)---chown root.root操作系统文件
chmod440操作系统文件
文件共享功能需要如下操作:
(a)安装和启动ftp文件服务器
yum install vsftpd
systemctl start vsftpd.service
systemctl enable vsftpd.service
(b)配置允许本地用户访问(修改配置文件/etc/vsftpd/vsftpd.conf)
local_enable=YES
write_enable=YES
chroot_list_enable=YES
(c)允许匿名访问(修改配置文件/etc/vsftpd/vsftpd.conf)
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
(d)修改匿名访问目录
usermod-d/home/pub ftp
3)网络访问控制
配置服务器的TCPWrapper功能,修改文件/etc/hosts.deny为:
ALL:10.11.8.0/255.255.255.0
4)数据加密
实验操作、实验考核功能使用SSH网络协议的服务器软件openssh-server,传输的网络数据是加密的;
文件共享功能也可以使用基于SSH的安全文件传输协议SFTP,前述安装的openssh-server软件也是支持SFTP协议的,需要确定已将SFTP功能打开:检查openssh-server的配置文件/etc/ssh/sshd_conf,确保如下行没有被注释:Subsystem sftp/usr/lib/openssh/sftp-server
5.2运行安全实现
1)审计跟踪
Linux课程实验系统所在的操作系统中可以安装rsyslog进行实验操作、实验考核以及文件共享功能的日志审计,并且实现对登录、退出事件进行日志记录,具体实现方法为:
(a)安装rsyslog日志服务器软件
yum install rsyslog
systemctl start rsyslog.service
(b)确认记录登录、退出事件的日志
查看rsyslog配置文件(/etc/rsyslogd.conf),确认存在如下行:
authpriv.*/var/log/secure
(c)审计日志
tail/var/log/authlog
2)备份与恢复
每日备份的目录包括:
/home/share/codes
/home/share/teaching
/home/pub/readonly
使用命令:
tar-cvzf daily-$(date+%Y%m%d)-${RANDOM}.tar.gz/home/share/codes
/home/share/teaching/home/pub/readonly
每周备份的目录包括:
/etc/
/usr/lib/
使用命令:
tar-cvzf weekly-$(date+%Y%m%d)-$RANDOM.tar.gz/etc//usr/lib/
从上述压缩文档中恢复备份文件的命令为:
tar-xvzf压缩文档名.tar.gz目标位置
3)风险分析
Linux课程实验系统所在的操作系统做文件完整性检查,以发现异常的文件变化,确定风险。方法为:
(a)安装tripwire
yum install tripwire
(b)初始化配置文件和访问口令
tripwire-setup-keyfiles
(c)更改策略文件(/etc/tripwire/twpol.txt)配置检查对象,然后生成基准数据库tripwire--init
(d)检查完整性
tripwire--check
(e)查看检查报告
twprint-m r--twrfile/var/lib/tripwire/report/主机名-日期-编号.twr
(f)更新基线数据库
tripwire--update-r/var/lib/tripwire/report/主机名-日期-编号.twr
4)操作系统脆弱性
需要更新Linux课程实验系统所在的操作系统,使用如下命令:
yum update
5)安全配置
(a)关闭系统不使用的服务
为了增强系统的安全性,关闭一些系统不使用的系统服务。
systemctl disable avahi-daemon
systemctl disable avahi-dnsconfd
(b)限制用户资源
为了使用户不能占用无限多的资源,应该限制主机用户使用资源的上限,如可以打开的最大文件数、可以使用的最大进程数、可以使用的内存总量等。
对用户资源进行限制:
#vi/etc/pam.d/login文件,在最后添加下面两行
session required/lib64/security/pam_limits.so
编辑/etc/security/limits.conf文件,在里面加入:
*soft nofile65535#限制用户最大打开文件数为65535
*hard nofile65535#限制用户最大打开文件数为65535
(c)修改默认密码策略
●设置密码最长有效期为90天。
#vi/etc/login.defs
PASS_MAX_DAYS90
●设置3次输错密码锁定用户
修改配置文件,一定要加在第二行
#vi/etc/pam.d/system-auth
auth required pam_env.so
auth required/lib64/security/pam_tally2.so deny=3unlock_time=300
●密码复杂度设置
配置文件/etc/pam.d/system-auth
原行:#password requisite pam_cracklib.so try_first_pass retry=3
修改为:password requisite pam_cracklib.so minlen=10difok=3lcredit=-1 ucredit=-1dcredit=-1ocredit=-1try_first_pass retry=3
pam_cracklib主要参数说明:
retry=N重试多少次后返回密码修改错误
difok=N新密码必须与旧密码不同的位数
dcredit=N(N>=0表示密码中最多有多少个数字;N<0表示密码中最少有多少个数字)
lcredit=N(小写字母的个数)
ucredit=N(大写字母的个数)
ocredit=N(特殊字母的个数)
5.3物理安全实现
<略>
5.4管理安全实现
<略>
潍坊科技学院 网络安全技术及应用课程设计指导书 2018年10月9日
一.课程设计目的 本实践环节是网络安全类专业重要的必修实践课程,主要要求学生掌握网络安全相关的原理和技术以及在网络安全实践中的应用。本课程设计的目的如下。 1)培养学生掌握文献检索、资料查询及运用现代网络技术获取网络安全相关知识和网络的基本方法; 2)使学生在真正理解和掌握网络安全的相关理论知识基础上,动手编写安全程序,通过系统和网络的安全性设计,加密算法、计算机病毒、恶意 代码的分析与设计等实践锻炼,解决一些实际网络安全应用问题,同时 了解本专业的前沿发展现状和趋势; 3)使学生具备设计和实施网络安全相关实验的能力以及相应的程序设计能力,具备对实验结果进行分析,进而进行安全设计、分析、配置和管理 的能力。 二.课程设计题目 (一)定题部分 任选下列一个项目进行,查阅相关文献、了解相关的系统,要求完成系统需求规约文档、系统分析模型文档、系统设计模型文档、系统测试设计文档、系统编码和测试报告。 以下题目任选,但是要达到工作量和代码量的要求,如果不能达到,可以融合几部分的内容。一些功能如果有其他的方法实现,也可以不按照指导书的要求。此外,还可以对常用的安全软件的功能延伸和改进。自由选题不能设计一些不良程序,比如游戏类,不过可以设计监控,限制玩游戏的程序。 1、局域网网络侦听和数据包截取工具 文档要求 系统分析,包括问题的描述、需求确定、系统要完成的主要功能、解决的实际问题等 系统设计,包括系统的逻辑模型、模块划分、处理过程等 系统实现,按照系统设计的结构分模块实现,要求给出程序的功能说明 程序实现要求
信息安全技术试题及答案 信息安全网络基础: 一、判断题 1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 4. 计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 8. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√ 9. 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 11. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 12. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 容灾与数据备份 一、判断题 2. 数据备份按数据类型划分可以分成系统数据备份和用户数据备份。√ 3. 对目前大量的数据备份来说,磁带是应用得最广的介质。√ 7. 数据越重要,容灾等级越高。√ 8. 容灾项目的实施过程是周而复始的。√ 二、单选题 1. 代表了当灾难发生后,数据的恢复程度的指标是 2. 代表了当灾难发生后,数据的恢复时间的指标是 3. 容灾的目的和实质是 A. 数据备份 B.心理安慰 C. 保持信息系统的业务持续性 D.系统的有益补充 4. 容灾项目实施过程的分析阶段,需要进行 A. 灾难分析 B. 业务环境分析 C. 当前业务状况分析 D. 以上均正确 5. 目前对于大量数据存储来说,容量大、成本低、技术成熟、广泛使用的介质是一一一。 A.磁盘 B. 磁带 c. 光盘 D. 自软盘 6. 下列叙述不属于完全备份机制特点描述的是一一一。 A. 每次备份的数据量较大 B. 每次备份所需的时间也就校长 C. 不能进行得太频繁 D. 需要存储空间小
A. 灾难预测 B.灾难演习 C. 风险分析 D.业务影响分析 8、IBM TSM Fastback 是一款什么软件() A、防病毒产品; B、入侵防护产品; C、上网行为管理产品; D、数据存储备份产品 9、IBM TSM Fastback产品使用的什么技术( ) A、磁盘快照; B、文件拷贝; C、ISCSI技术; D、磁盘共享 12、IBM TSM Fastback产品DR(远程容灾)功能备份的是什么() A、应用系统; B、本地备份的数据; C、文件系统; D、数据库 三、多选题 1. 信息系统的容灾方案通常要考虑的要点有一一。 A. 灾难的类型 B. 恢复时间 C. 恢复程度 D. 实用技术 E 成本 2. 系统数据备份包括的对象有一一一。 A. 配置文件 B.日志文件 C. 用户文档 D.系统设备文件 3. 容灾等级越高,则一一一。 A. 业务恢复时间越短 C. 所需要成本越高 B. 所需人员越多 D. 保护的数据越重 要 4、数据安全备份有几种策略() A、全备份; B、增量备份; C、差异备份; D、手工备份 5、建立Disaster Recovery(容灾系统)的前提是什么()多选 A、自然灾害(地震、火灾,水灾...); B、人为灾害(错误操作、黑客攻击、病毒发作...) C、技术风险(设备失效、软件错误、电力失效...) 6、IBM TSM Fastback 可以支持数据库系统包括()多选 A、M S SQL; B、Oracle; C、DB2; D、MY SQL 7、IBM TSM Fastback 可以支持的存储介质包括() A、磁带介质; B、磁盘介质; C、磁带库; D、磁盘柜 基础安全技术 系统安全 一、判断题 防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机,但该防火墙不能检测或清除已经感染计算机的病毒和蠕虫√ 8. 数据库管理员拥有数据库的一切权限。√ 9. 完全备份就是对全部数据库数据进行备份。√ 二、单选题 系统的用户帐号有两种基本类型,分别是全局帐号和
中北大学 操作系统课程设计 说明书 学院、系:软件学院 专业:软件工程 学生姓名:徐春花学号: 设计题目:基于Linux的模拟文件系统的设计与实现 起迄日 期: 2014年6月14日- 2014年6月26日指导教薛海丽
师: 2014 年 6月 26 日 前言 简单地说,Linux是一套免费使用和自由传播的类Unix操作系统,它主要用于基于Intel x86系列CPU的计算机上。这个系统是由世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。 Linux不仅为用户提供了强大的操作系统功能,而且还提供了丰富的应用软件。用户不但可以从Internet上下载Linux及其源代码,而且还可以从Internet上下载许多Linux的应用程序。可以说,Linux本身包含的应用程序以及移植到Linux上的应用程序包罗万象,任何一位用户都能从有关Linux的网站上找到适合自己特殊需要的应用程序及其源代码,这样,用户就可以根据自己的需要下载源代码,以便修改和扩充操作系统或应用程序的功能。这对Windows NT、Windows98、MS-DOS或OS2
等商品化操作系统来说是无法做到的。 Linux具有:稳定、可靠、安全的优点,并且有强大的网络功能。其中有对读、 写进行权限控制、审计跟踪、核心授权等技术,这些都为安全提供了保障。在相关软 件的支持下,可实现WWW、FTP、DNS、DHCP、E-mail等服务,还可作为路由器 使用,利用IPCHAINSIPTABLE网络治理工具可构建NAT及功能全面的防火墙。 Linux是在GNU公共许可权限下免费获得的,是一个符合POSIX标准的操作系 统。Linux操作系统软件包不仅包括完整的Linux操作系统,而且还包括了文本编辑 器、高级语言编译器等应用软件。它还包括带有多个窗口管理器的X-Windows图形 用户界面,如同我们使用Windows NT一样,允许我们使用窗口、图标和菜单对系 统进行操作。 目录 1需求分析 (3) 1.1 功能介绍 (3) 1.2 目的及意义 (5) 1.2.1 目的 (5) 1.2.2 意义 (6) 1.3 设计成果 (7) 2总体设计 (8) 2.1功能介绍 (8) 2.2模块关联 (9) 3详细设计 (12)
中原工学院计算机学院《网络安全程序》课程设计报告 题目:基于des加密的聊天程序 班级:网络124班
目录 第1章绪论____________________________________________________ 3 1.1 des加密背景______________________________________________ 3 1.2 聊天程序设计背景 _________________________________________ 4第2章加密原理________________________________________________ 5 2.1 des简介__________________________________________________ 5 2.2 des加密原理______________________________________________ 5 2.3 des加密过程______________________________________________ 7第3章聊天程序设计____________________________________________ 8 3.1 TCP/IP协议_______________________________________________ 8 3.2 客户机/服务器模式 ________________________________________ 8 3.3 Socket ___________________________________________________ 9第4章系统设计_______________________________________________ 11 4.1 开发语言及环境 __________________________________________ 11 4.2 需求分析 ________________________________________________ 11 4.2.1 功能需求分析__________________________________________ 11 4.2.2 数据需求分析__________________________________________ 11 4.2.3 性能需求分析__________________________________________ 12 4.2.4 运行需求分析__________________________________________ 12 4.3 程序流程图 ______________________________________________ 13 4.4 模块设计 ________________________________________________ 14 4.4.1 服务器________________________________________________ 14 4.4.2 客户端________________________________________________ 15 第5章程序测试_______________________________________________ 17 5.1 运行结果________________________________________________ 17 第6章总结___________________________________________________ 21参考文献______________________________________________________ 21
信息安全技术教程习题及答案 第一章概述 一、判断题 1。信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2。计算机场地可以选择在公共区域人流量比较大的地方。× 3。计算机场地可以选择在化工厂生产车间附近.× 4。计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6。只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。× 7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√ 8. 屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播.√ 9。屏蔽室的拼接、焊接工艺对电磁防护没有影响.× 10. 由于传输的内容不同,电力线可以与网络线同槽铺设。× 11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√ 12。新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 13.TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器 等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14. 机房内的环境对粉尘含量没有要求.× 15. 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信 息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√ 16。有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 17. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 二、单选题 1. 以下不符合防静电要求的是 A。穿合适的防静电衣服和防静电鞋 B. 在机房内直接更衣梳理 C。用表面光滑平整的办公家具 D. 经常用湿拖布拖地 2。布置电子信息系统信号线缆的路由走向时,以下做法错误的是 A. 可以随意弯折 B. 转弯时,弯曲半径应大于导线直径的 10 倍 C。尽量直线、平整 D. 尽量减小由线缆自身形成的感应环路面积 3。对电磁兼容性 (Electromagnetic Compatibility,简称 EMC)标准的描述正确的是 A. 同一个国家的是恒定不变的 B. 不是强制的 C。各个国家不相同 D. 以上均错误 4。物理安全的管理应做到 A. 所有相关人员都必须进行相应的培训,明确个人工作职责 B。制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况 C。在重要场所的迸出口安装监视器,并对进出情况进行录像
Linux 系统课程设计报告 专业班级: 学号: 姓名: 同组成员: 2016年6月2日星期四
序论实验要求 实验目的 了解Linux内核源代码的目录结构及各目录的相关内容。 了解Linux内核各配置选项内容和作用。 掌握Linux内核配置文件的作用。 掌握Linux内核的编译过程。 掌握将新增内核代码加入到Linux内核结构中的方法。 实验指引 尽管目前Linux 2.6版本内核已经增加了很多对ARM体系甚至是S3C2440 CPU 的支持,但仍然需要对内核作一些小的修改来适应我们的开发板,并且需要重新配置、编译和重新生成新的内核映像。本实验从软硬件准备到下载到开发板等一系列连贯的操作来进行嵌入式Linux内核的移植。本实验的内核版本为2.6.29.1。 第一章Linux内核基础知识 1.1Linux版本 Linux主要的版本定义为“[主].[次].[发布].[修改]”的样式,次版本为奇数表示此版本为开发中版本,次版本为偶数表示此版本为稳定版本。 Linux内核的版本号可以从源代码的顶层目录下的Makefile中看到,比如2.6.29.1内核的Makefile中: VERSION = 2 PATCHLEVEL = 6 SUBLEVEL = 29 EXTRA VERSION = .1 其中的“VERSION”和“PATCHLEVEL”组成主版本号,比如 2.4、2.5、2.6等,稳定版本的德主版本号用偶数表示(比如2.6的内核),开发中的版本号用奇数表示(比如2.5),它是下一个稳定版本内核的前身。“SUBLEVEL”称为次版本号,它不分奇偶,顺序递增,每隔1~2个月发布一个稳定版本。“EXTRAVERSION”称为扩展版本号,它不分奇偶,顺序递增,每周发布几次扩展本版号。 1.2什么是标准内核 按照资料上的习惯说法,标准内核(或称基础内核)就是指主要在https://www.doczj.com/doc/e62459618.html,/维护和获取的内核,实际上它也有平台属性的。这些linux
电子科技大学电子工程学院 课程设计 (一次性口令设计) 课程名称:信息安全概论 任课老师:熊万安 专业:信息对抗技术 小组成员: 张基恒学号: 800 14
一、【实验目的】 (1)了解口令机制在系统安全中的重要意义。 (2)掌握动态生成一次性口令的程序设计方法。 二、【实验要求】 (1)编写一个一次性口令程序 (2)运行该口令程序,屏幕上弹出一个仿Windows窗口,提示用户输入口令, 并给出提示模式。 (3)用户输入口令,按照一次性算法计算比较,符合,给出合法用户提示;否 则给出非法用户提示。 (4)再一次运行口令程序,如果输入与第一次同样的口令,系统应当拒绝,提 示非法用户。每次提示和输入的口令都是不一样的。 (5)写出设计说明(含公式、算法,随机数产生法,函数调用和参数传递方式)。 三、【实验设备与环境】 (1)MSWindows系统平台 (2)设计语言:C语言 四、【实验方法步骤】 (1)选择一个一次性口令的算法 (2)选择随机数产生器 (3)给出口令输入(密码)提示 (4)用户输入口令(密码) (5)给出用户确认提示信息 (6)调试、运行、验证。 五、【程序流程和功能】 密码系统设计为两个部分:一个服务器上的密码系统和一个用户手持的密码器。 程序使用两重认证,分别在于认证密码系统用户的真伪和认证密码生成器的真 伪。 使用方法为:a )用户分别登陆服务器和密码器,这分别需要两个用户自己掌握
的密码。b )登陆服务器后,服务器自动生成一个 9位数随机码。 c) 用户将随机码输入手持的密码器,由密码器生成一次性密码;同时,服务器用相同的算法 生成该一次性密码。 d) 用户在服务器上输入一次性密码,如果密码吻合,则可 以进入功能性页面操作。 系统的优点在于:a )将两种密码按网络和物理分开,两者由相同的一次性密码 算法相关,但是密码器本身没有能力生成关键的 9位随机码。b )用户只能通过 密码器获得最终的一次性密码,而密码器本身和密码器的密码由用户自己掌握, 从物理上隔绝了密码攻击的风险。 由于能力问题和演示方便,我将系统简化,并且把两个密码部分放在一个程序 里模拟。 设计流程为: 程序流程为:
《网络与信息安全技术》课程报告 课题名称:网络嗅探器提交报告时间:2010年12月17 日 网络嗅探器 专业 组号指导老师 [摘要]随着网络技术的飞速发展,网络安全问题越来越被人重视。嗅探技术作为网络安全攻防中最基础的技术,既可以用于获取网络中传输的大量敏感信息,也可以用于网络管理。通过获取网络数据包的流向和内容等信息,可以进行网络安全分析和网络威胁应对。因此对网络嗅探器的研究具有重要意义。 本课程设计通过分析网络上常用的嗅探器软件,在了解其功能和原理的基础上,以VC为开发平台,使用Windows环境下的网络数据包捕获开发库WinPcap,按照软件工程的思想进行设计并实现了一个网络嗅探工具。该嗅探工具的总体架构划分为5部分,分别是最底层的数据缓存和数据访问,中间层的数据捕获,协议过滤,协议分析和最顶层的图形画用户界面。 本嗅探器工具完成了数据包捕获及分析,协议过滤的主要功能,实现了对网络协议,源IP 地址,目标IP地址及端口号等信息的显示,使得程序能够比较全面地分析出相关信息以供用户参考决策。 关键词:网络嗅探;WinPcap编程接口;数据包;网络协议;多线程 (中文摘要在150字左右。摘要正文尽量用纯文字叙述。用五号宋体字。姓名与摘要正文之间空二行。关键词与摘要之间不空行。“摘要”这两个字加粗) 关键词:入侵检测系统;感应器;分析器;分布式入侵检测系统模型 Network sniffer Major: software engineering Group Number: 29 [Abstract] With the rapid development of network technology, network security is increasingly being attention. Sniffing network security technology as the most basic offensive and defensive
信息安全技术教程习题及答案 信息安全试题(1/共3) 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B 公开(K A秘密(M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’)) 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于,则k约等于__。 A.2128 B.264 C.232 D.2256
《Linux网络编程》 课程设计 班级: 姓名: 指导老师:
一、设计背景 Linux操作系统作为一个开源的操作系统被越来越多的人所应用,它的好处在于操作系统源代码的公开化!只要是基于GNU公约的软件你都可以任意使用并修改它的源代码。通过这次课程设计能更好的学习网络编程知识和掌握LINUX平台上应用程序设计开发的过程,将大学四年所学知识综合运用,为未来的工作学习打下基础。 二、设计目的 1、学习epoll 跟FTP被动模式 2、掌握linux基本命令,例如ls、cd、login; 3、学会如何编译、运行 三、环境要求 1、centos 64位操作系统 2、gcc编译器 四、设计原理 4.1客户端 客户端程序的主要任务有以下3个: (1)、分析用户输入的命令。 (2)、根据命令向服务器发出请求 (3)、接受服务器返回请求的结果 客户端为用户提供了3种命令:(1)、get:从服务器下载文件(2)、list:列出客户端当前目录的内容(3)、quit离开 4.2 服务器端 (1)、分析请求代码。 (2)、根据请求代码做相应的处理 (3)、等待返回结果或者应答信息
五、软件测试结果
六、部分主代码 #include "ftserve.h" int main(int argc, char *argv[]) { int sock_listen, sock_control, port, pid; if (argc != 2) { printf("usage: ./ftserve port\n"); exit(0); } port = atoi(argv[1]); // create socket if ((sock_listen = socket_create(port)) < 0 ) { perror("Error creating socket"); exit(1); } while(1) { // wait for client request
网络与信息安全实验报告 学院计算机学院 专业计算机科学与技术班级08级计科5 班学号3108006629 姓名蒋子源 指导教师何晓桃 2011年12 月
实验一数字证书的创建 实验项目名称:数字证书的创建 实验项目性质:验证型 所属课程名称:《网络与信息安全》 实验计划学时:2 一、实验目的 1、理解数字证书的概念; 2、掌握创建数字证书的创建; 3、掌握数字证书的签发; 二、实验内容和要求 1、使用Java中Keytool工具创建数字证书 2、使用Keytool工具显示及导出数字证书 3、使用Java程序签发数字证书 三、实验主要仪器设备和材料 1.计算机及操作系统:PC机,Windows 2000/xp; 2.JDK1.5 四、实验方法、步骤及结果测试 创建两个数字证书:使用别名、指定算法、密钥库和有效期的方式创建两个数字证书。 显示并且导出已创建的数字证书的内容。 签发数字证书。 1、创建数字证书: (1)使用Keytool直接从密钥库显示证书详细信息 (2)使用Keytool将数字证书导出到文件 (3)在Windows中从文件显示证书 实现代码及截图:
3、Java程序签发数字证书
五、实验中出现的问题及解决方案 六、思考题 1、数字证书的功能是什么? 答:数字证书的四大功能: 数字证书功能一:信息的保密性 网络业务处理中的各类信息均有不同程度的保密要求。 数字证书功能二:网络通讯双方身份的确定性 CA中心颁发的数字证书可保证网上通讯双方的身份,行政服务中心、银行和电子商务公司可以通过CA认证确认身份,放心的开展网上业务。 数字证书功能三:不可否认性 CA中心颁发的所有数字证书类型都确保了电子交易通信过程的各个环节的不可否认性,使交易双方的利益不受到损害。 数字证书功能四:不可修改性 CA中心颁发的数字证书也确保了电子交易文件的不可修改性,以保障交易的严肃和公正。2、k eytool –genkey 所产生证书的签发者是谁? 答:证书认证中心(CA)。
2019年计算机等级考试三级信息安全技术模拟试题精选 (总分:87.00,做题时间:90分钟) 一、单项选择题 (总题数:87,分数:87.00) 1.代表了当灾难发生后,数据的恢复程度的指标是(分数:1.00) A.RPO √ B.RTO C.NRO D.SDO 解析: 2.代表了当灾难发生后,数据的恢复时间的指标是(分数:1.00) A.RPO B.RTO √ C.NRO D.SD0 解析: 3.我国《重要信息系统灾难恢复指南》将灾难恢复分成了()级。(分数:1.00) A.五 B.六√ C.七 D.八 解析: 4.容灾的目的和实质是(分数:1.00)
A.数据备份 B.心理安慰 C.保持信息系统的业务持续性√ D.系统的有益补充 解析: 5.目前对于大量数据存储来说,容量大、成本低、技术成熟、广泛使用的介质是(分数:1.00) A.磁盘 B.磁带√ C.光盘 D.自软盘 解析: 6.下列叙述不属于完全备份机制特点描述的是(分数:1.00) A.每次备份的数据量较大 B.每次备份所需的时间也就校长 C.不能进行得太频繁 D.需要存储空间小√ 解析: 7.下面不属于容灾内容的是(分数:1.00) A.灾难预测√ B.灾难演习 C.风险分析 D.业务影响分析 解析: 8.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的()属性。(分数:1.00)
A.保密性 B.完整性√ C.不可否认性 D.可用性 解析: 9.PDR安全模型属于()类型。(分数:1.00) A.时间模型√ B.作用模型 C.结构模型 D.关系模型 解析: 10.《信息安全国家学说》是()的信息安全基本纲领性文件。(分数:1.00) A.法国 B.美国 C.俄罗斯√ D.英国 解析: 11.下列的()犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。(分数:1.00) A.窃取国家秘密√ B.非法侵入计算机信息系统 C.破坏计算机信息系统 D.利用计算机实施金融诈骗 解析: 12.我国刑法()规定了非法侵入计算机信息系统罪。(分数:1.00) A.第284条
《Linux课程设计》 设计题目:shell 编程实现用户信息管理专业:软件工程 指导教师:蔡照鹏王斌斌 班级: 学号: 姓名: 同组人: 计算机科学与工程学院
Linux是一种自由和开放源码的类Unix操作系统,存在着许多不同的Linux版本,但它们都使用了Linux内核。Linux可安装在各种计算机硬件设备中。Linux是一个领先的操作系统,世界上运算最快的10台超级计算机运行的都是Linux操作系统。严格来讲,Linux这个词本身只表示Linux 内核,但实际上人们已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。Linux得名于天才程序员林纳斯·托瓦兹。 Linux操作系统是UNIX操作系统的一种克隆系统,它诞生于1991 年的10 月5 日(这是第一次正式向外公布的时间)。以后借助于Internet网络,并通过全世界各地计算机爱好者的共同努力,已成为今天世界上使用最多的一种UNIX 类操作系统,并且使用人数还在迅猛增长。Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX 和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux 继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。它主要用于基于Intel x86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。
郑州轻工业学院课程设计报告 名称:信息安全概论 指导教师:吉星、程立辉 姓名:符豪 学号:541307030112 班级:网络工程13-01
1.目的 数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性,这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。 2.题目 使用C#编程语言,进行数据的加密与解密。 系统基本功能描述如下: 1、实现DES算法加密与解密功能。 2、实现TripleDES算法加密与解密功能。
3、实现MD5算法加密功能。 4、实现RC2算法加密与解密功能。 5、实现TripleDES算法加密与解密功能。 6、实现RSA算法加密与解密功能。 3.功能描述 使用该软件在相应的文本框中输入明文,然后点击加密就会立即转化成相应的密文,非常迅速和方便,而且操作简单加流畅,非常好用。 4.需求分析 加密软件发展很快,目前最常见的是透明加密,透明加密是一种根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术。透明加密软件作为一种新的数据保密手段,自2005年上市以来,得到许多软件公司特别是制造业软件公司和传统安全软件公司的热捧,也为广大需要对敏感数据进行保密的客户带来了希望。加密软件上市以来,市场份额逐年上升,同时,经过几年的实践,客户对软件开发商提出了更多的要求。与加密软件产品刚上市时前一两年各软件厂商各持一词不同,经过市场的几番磨炼,客户和厂商对透明加密软件有了更加统一的认识。 5.设计说明 传统的周边防御,比如防火墙、入侵检测和防病毒软件,已经不再能够解决很多今天的数据保护问题。为了加强这些防御措施并且满足短期相关规范的要求,许多公司对于数据安全纷纷采取了执行多点
信息安全技术试题答 案D
综合习题 一、选择题 1. 计算机网络是地理上分散的多台(C)遵循约定的通信协议,通过软硬件互联的系统。 A. 计算机 B. 主从计算机 C. 自主计算机 D. 数字设备 2. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 3. 假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于(A)。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 4. 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑(D)。 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 5.A方有一对密钥(KA公开,KA秘密),B方有一对密钥(KB公开,KB 秘密),A方向B方发送 数字签名M,对信息M加密为:M’= KB公开(KA秘密(M))。B方收到密文的解密方案是 (C)。
A. KB公开(KA秘密(M’)) B. KA公开(KA公开(M’)) C. KA公开(KB秘密(M’)) D. KB秘密(KA秘密(M’)) 6. “公开密钥密码体制”的含义是(C)。 A. 将所有密钥公开 B. 将私有密钥公开,公开密钥保密 C. 将公开密钥公开,私有密钥保密 D. 两个密钥相同 二、填空题 密码系统包括以下4个方面:明文空间、密文空间、密钥空间和密码算法。 解密算法D是加密算法E的逆运算。 常规密钥密码体制又称为对称密钥密码体制,是在公开密钥密码体制以前使用的密码体制。 如果加密密钥和解密密钥相同,这种密码体制称为对称密码体制。 DES算法密钥是 64 位,其中密钥有效位是 56 位。 RSA算法的安全是基于分解两个大素数的积的困难。 公开密钥加密算法的用途主要包括两个方面:密钥分配、数字签名。 消息认证是验证信息的完整性,即验证数据在传送和存储过程中是否被篡改、重放或延迟等。 MAC函数类似于加密,它于加密的区别是MAC函数不可逆。 10.Hash函数是可接受变长数据输入,并生成定长数据输出的函数。 三、问答题 1.简述主动攻击与被动攻击的特点,并列举主动攻击与被动攻击现象。 主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造、篡改和重排信息内容造成信息破坏,使系统无法正常运行。被动攻击是攻击者非常截
Linux课程设计---编写proc文件系统相关的内核模块 学号:20085229 姓名:杜森 班级:08级网络一班 指导教师:于群 日期:2011年6月29号
一、背景知识: 1、内核模块。 操作系统采用两种体系结构:微内核(Micro kernel),最常用的功能模块被设计成内核模式运行的一个或一组进程,而其它大部分不十分重要的功能模块都作为单独的进程在用户模式下运行!单内核(Monolithic kernel,有时也叫宏内核Macro kernel)!内核一般作为一个大进程的方式存在。该进程内部又可以被分为若干模块,在运行的时候,它是一个独立的二进制映象为了弥补单一体系结构的这一缺陷,Linux操作系统使用了模块机制。用户可以根据需要,在不需要对内核重新编译的情况下,模块可以动态地载入内核或从内核中移出!如图所示,模块可通过 insmod命令插入内核,也可以通过rmmod命令从内核中删除。 2、进程管理 Linux的每一个进程都有自己的属性,用一个task struct数据结构表示,即进程控制块Ⅲ(Process Concrol Block,PCB)。它对进程在其生命周期内涉及的所有事件进行全面的描述,主要有进程标识符(PID)、进程状态信息、进程调度信息、进程所占的内存区域、相关文件的文件描述符、处理器环境信息、信号处理、Linux操作系统内核分析与研究资源安排、同步处理等几个方面。在一个系统中,通常可拥有数百个甚至数千个进程,相应地就有很多进程控 制块。为了有效地对它们加以管理,应该用适当地方式将这些进程控制块组织起来。 进程控制块数据结构主要域定义如下: task_struct结构:在linux/sched.h中 struct task_struct{ volatile long state; //系统进程状态,一共有五种状态: //0 可运行态 //1 可中断的等待态 //2 不可中断的等待态 //3 僵死态
河南中医学院 《linux操作系统》课程设计报告 题目:基于Linux的进程调度模拟程序 所在院系:信息技术学院 专业年级:2011级计算机科学与技术完成学生:2011180021 郭姗 指导教师:阮晓龙 完成日期:201X 年06 月22 日 目录 1. 课程设计题目概述3 2. 研究内容与目的4 3. 研究方法5 4. 研究报告6 5. 测试报告/实验报告7 6. 课题研究结论8 7. 总结9
1、课程设计题目概述 随着Linux系统的逐渐推广,它被越来越多的计算机用户所了解和应用. Linux是一个多任务的操作系统,也就是说,在同一个时间内,可以有多个进程同时执行。如果读者对计算机硬件体系有一定了解的话,会知道我们大家常用的单CPU计算机实际上在一个时间片断内只能执行一条指令,那么Linux是如何实现多进程同时执行的呢?原来Linux使用了一种称为"进程调度(process scheduling)"的手段,首先,为每个进程指派一定的运行时间,这个时间通常很短,短到以毫秒为单位,然后依照某种规则,从众多进程中挑选一个投入运行,其他的进程暂时等待,当正在运行的那个进程时间耗尽,或执行完毕退出,或因某种原因暂停,Linux就会重新进行调度,挑选下一个进程投入运行。因为每个进程占用的时间片都很短,在我们使用者的角度来看,就好像多个进程同时运行一样了。本文就是对进程调度进行研究、实验的。 本文首先对Linux系统进行了简要的介绍, 然后介绍了进程管理的相关理论知识。其次,又介绍最高优先数优先的调度算法(即把处理机分配给优先数最高的进程)、先来先服务算法的相关知识,并对进程调度进行最高优先数优先的调度算法和先来先服务算法模拟实验,并对比分析两种算法的优缺点,从而加深对进程概念和进程调度过程/算法的理解 设计目的:在多道程序和多任务系统中,系统内同时处于就绪状态的进程可能有若干个。也就是说能运行的进程数大于处理机个数。为了使系统中的进程能有条不紊地工作,必须选用某种调度策略,选择某一进程占用处理机。使得系统中的进程能够有条不紊的运行,同时提高处理机的利用率以及系统的性能。所以设计模拟进程调度算法(最高优先数优先的调度算法、先来先服务算法),以巩固和加深处理进程的概念,并且分析这两种算法的优缺点。关键词:linux 进程调度调度算法
《信息安全技术》 实验报告 学院计算机科学与工程学院 学号 姓名
实验一、DES加解密算法 一、实验目的 1. 学会并实现DES算法 2. 理解对称密码体制的基本思想 3. 掌握数据加密和解密的基本过程 二、实验内容 根据DES加密标准,用C++设计编写符合DES算法思想的加、解密程序,能够实现对字符串和数组的加密和解密。 三、实验的原理 美国IBM公司W. Tuchman 和 C. Meyer 1971-1972年研制成功。1967年美国Horst Feistel提出的理论。 美国国家标准局(NBS)1973年5月到1974年8月两次发布通告,公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳了IBM的LUCIFER方案。 DES算法1975年3月公开发表,1977年1月15日由美国国家标准局颁布为联邦数据加密标准(Data Encryption Standard),于1977年7月15日生效。 为二进制编码数据设计的,可以对计算机数据进行密码保护的数学运算。DES 的保密性仅取决于对密钥的保密,而算法是公开的。 64位明文变换到64位密文,密钥64位,实际可用密钥长度为56位。
运行结果: 四、思考题 1.分析影响DES密码体制安全的因素? 答: 影响DES密码体制安全的因素主要是密钥的健壮性。 2.公钥算法中加密算法和解密算法有何步骤? 答:DES密码体制中加密算法和解密算法流程相同,区别在于解密使用的 子密钥和加密的子密钥相反
实验二、操作系统安全配置 一、实验目的 1.熟悉Windows NT/XP/2000系统的安全配置 2. 理解可信计算机评价准则 二、实验内容 1.Windows系统注册表的配置 点击“开始\运行”选项,键入“regedit”命令打开注册表编辑器,学习并修改有关网络及安全的一些表项 2.Windows系统的安全服务 a.打开“控制面板\管理工具\本地安全策略”,查阅并修改有效项目的设置。b.打开“控制面板\管理工具\事件查看器”,查阅并理解系统日志,选几例,分析并说明不同类型的事件含义。 3. IE浏览器安全设置 打开Internet Explorer菜单栏上的“工具\Internet选项”,调整或修改“安全”、“隐私”、“内容”等栏目的设置,分析、观察并验证你的修改。 4. Internet 信息服务安全设置 打开“控制面板\管理工具\Internet 信息服务”,修改有关网络及安全的一些设置,并启动WWW或FTP服务器验证(最好与邻座同学配合)。 三、实验过程 1. Windows系统注册表的配置 点击“开始\运行”选项,键入“regedit”命令打开注册表编辑器,图如下:禁止修改显示属性 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polic ies\System 在右边的窗口中创建一个DOWRD值:“NodispCPL”,并将其值设为“1”。