第一篇:网络安全四原则 国际社会共同维护信息安全
网络安全四原则 国际社会共同维护信息安全
网络世界正变得而越来越乌烟瘴气,木马病毒,安全漏洞,黑客攻击,这一切都让网络负荷越来越重。当然这其中还有一个很大的原因,那就是国家与国家之间的,你来我往的网络攻击。
其实在网络技术发展迅速的当下,我们更应该做的维护全世界共同的网络空间的健康与宁静,而不是明里暗里的互相攻击。
作为网络攻击的受害者,中国在网络与信息安全方面的立场总是从一而终的,那就是反对黑客攻击并倡导国际合作,提出国际社会应共同建设和平、安全、开放、合作的网络空间。下面就和信息安全方面的专家山丽网安一起具体来看看 中国在安全问题上的立场和实践吧。
网络安全需国际社会协力维护
外交部与联合国共同举办的信息和网络安全国际研讨会在北京召开,这是中国与联合国首次就网络问题联合举办的国际会议。外交部副部长李保东在致辞中全面阐述了中国在网络安全问题上的立场与实践。
李保东表示,信息和通信技术为人类社会提供了全新数字机遇,同时带来了前所未有的挑战。中国主张国际社会加强合作,共同维护网络空间的安全、稳定与繁荣,并提出四点重要原则。
李保东表示,个别国家在网络问题上奉行双重标准,以一己私利划线,炮制只适用于别国的“规则”,中方对此表示严重关切。个别国家对自己损害别国主权和公民隐私的行径不进行应有的反思,反而把自己装扮成受害者,对他国进行无端指责与抹黑。这种虚伪、霸道的行径必须予以纠正。
来自俄、美、英、南非、马来西亚等20余个国家、联合国机构和国外知名智库的100余名代表与会。在为期两天的会议中,与会代表将就网络空间国际规则制定、互联网治理、联合国作用、区域合作、能力建设等问题展开深入探讨。
互联网安全四原则
和平原则,各国应摈弃“零和”思维和冷战时期的意识形态,树立互信、互利、平等、协作的新安全观。
主权原则,各国对其领土内的信息通信基础设施和信息通信活动拥有管辖权,有权制定符合本国国情的互联网公共政策,任何国家不得利用网络干涉他国内政或损害他国利益。
共治原则,应遵循多边、民主、透明的原则,努力实现资源共享、责任共担、合作共治。
普惠原则,应倡导互利共赢理念,开展国际合作,跨越“数字鸿沟”。
保护国家网络和信息安全 核心防护是关键
维护网络空间的和平,首先自身不要去攻击他人。俗话说:害人之心不可有,但防人之心也不可无。在不主动攻击的同时也必须要保障自身的安全,而保证重要数据安全,不被恶意窃取,针对本源的核心防护是关键。而能做直接且有效的实现这样的防护效果的就是加密技术。
加密技术直接作用于数据本身,从数据根源开始加密,一旦加密,那么文件便以密文的形式存在。因此,即使计算机系统遭受来自各个方面的多样攻击导致文件被不法分子窃取了,文件中的内容一样也不能为他们所见,因为文件打开是乱码,加密依然为文件起着保护作用。况且如今解密也变得越发的困难,因此数据一旦经过加密技术的保护就可以保证数据的隐秘性。
随着加密技术的发展与升级,如今的多模加密技术可以说是保证数据安全的最好的保障。多模加密采用对称加密和非对称算法相结合的技术,在确保防护质量的同时,让用户在不同的工作环境下自主的选择不同的加密模式,灵活且有针对性。除了多种模式的加密,该技术对加密文件的格式没有限制,只要是计算机中存在的格式就可以加密,同时加了密的每一个文件都拥有独一无二的密钥,安全性有了最大的提高。
作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术,从而进一步确保了加密防护的便利性和完整性。
罗马不是一日建成的,要让网络空间变得干净、健康也需要长时间的维护。相信只要国际社会共同合作,以净化网络空间为己任,遵从互联网安全四原则,并使用灵活且保护本源数据安全的加密软件作为技术手段支撑,目前网络现状必定能够改变。
第二篇:信息安全导论论文——网络安全
信息安全导论论文 论文标题:网络安全与防护
班级:1611203班
姓名:刘震
学号:16112032
4网络安全与防护
摘要:
网络已经成为了人们生活中不可缺少的重要元素,没有了网络,人们现代化的生活将会出现很大的不便。但是网络出现的安全性问题不禁令人担忧,对于愈发依赖于网络的人们,我们应该怎么避免出现安全性问题呢? 提出问题:
随着电子信息业的发展,Internet正越来越多地离开了原来单纯的学术环境,融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用也已经渗透到金融、商务、国防等关键的要害。因此,网络安全包括其上的信息数据安全和网络设备服务的安全运行,已经成为国家、政府、企业甚至个人利益休戚相关的事情。所以,如何保障网络安全,俨然成为了现代计算机发展中一个重要的话题。分析问题:
一、网络发展的现状
我们幸运的生长在一个网络时代,虽然从计算机诞生到现如今不到70年的时间,但是在这短短的70年时间内,计算机的发展史超乎想象的,从最初的需要占用几个房间的原始计算机到现在随身可以携带的笔记本,计算机已经普及到了平常的老百姓家。而计算机网络的发展相对于计算机的历史来说则更是短的多,然而网络给人们带来的方便和快捷却是之前人类的任何一项技术都不能比拟的。现如今,网络早已渗透到各个领域,如网上银行,网上购物,上网查询资料,看电影,听音乐,现在更是出现了云空间,可以将用户的文件上传并且存储,在需要时,只要有网络便可以轻松下载,随时随地可以获得自己想要的信息。可以说,如果现在没有了网络,我们的生活会在一段时间内变得一塌糊涂,毕竟现在的人们太过依赖于网络。
二、信息泛滥的信息时代
俗话说的好,网络是一把双刃剑。目前,网络上的色情内容泛滥,已引起广泛的社会关注,利用互联网向儿童传播色情和诱导儿童犯罪等现象日趋严重。同时,网络游戏也是导致学生荒废学业的一个重要原因。
以上所说的只是网络负面影响的一部分而已,可以说网络上的不良信息多如牛毛,而他们的传播对象多为没有抵抗力的学生,甚至有学生在网上玩暴力游戏之后在现实生活失控的案例。
三、病毒泛滥的信息时代
网络病毒在计算机网络普及的现代早已经不是什么新鲜的名词了,但是对它们的历史却是很少有人了解。
从1982年攻击个人计算机的第一款全球病毒诞生到现在已经有了31年的时间,在这些年间,病毒的种类和破坏方式不断的翻新。
2000年,一个叫做“爱虫”的病毒就以极快的速度感染了全球范围内的个人计算机系统。这是一种蠕虫类脚本病毒,通过电子邮件附件进行传播,对电子邮件系统产生极大的危害。该病毒在数小时内就感染了大量的个人计算机,几乎
使得整个计算机网络瘫痪。
2001年,在PC机迎来它20岁生日的时候,“CAM先生”和“红色代码”病毒侵袭了全球的计算机系统,在短短数天的时间里已经让美国损失了近20亿美元。同年,美国将近数百万的电脑被“求职信”病毒攻击导致瘫痪。
2003年,电脑病毒“冲击波”突袭,全球混乱。2004年,又出现了“震荡波”,并且由于其较大的破坏性,被人们戏称为“毒王”。
再说说国内此时的情况。21世纪初期是我国计算机用户急速增长的一个时间段,但是由于中国新增的用户网络安全意识较差,导致国内地域化的病毒爆发频繁。就比如2007年的“熊猫烧香”,它会使所有的程序图标都变成“熊猫烧香”,并使其不能运行,更可恶的是,该病毒还会删除扩展名为“gho”的文件,使用户无法使用ghost软件恢复操作系统。
进入2008年,一种利用系统漏洞从网络入侵的病毒——“扫荡波”开始蔓延。它的快速传播带有一定的讽刺性,当时恰逢微软打击盗版系统的黑屏事件,大批用户关闭了系统的自动更新功能,从而让该病毒有机可乘。
有金山云安全检测中心与2010年1月4日发布的最新数据显示,仅元旦三天,互联网新增的病毒、木马数已经接近50万。在元旦的前后一个月时间里,全球业已有7.5万台电脑感染“僵尸”病毒,还有80万电脑受到感染的“隐身猫”病毒。
四、网络隐患的原因
1.现代网络速度快并且规模大。当今的网络传播的媒介已经不像网络刚刚诞生时那样的单一,现在的网络通过光纤传播,有的容量甚至已经达到了3.2Tbps!同时,现在的网络也四通八达的,在国内任何一个网站都可以轻松的找到(国外的需要翻墙),感染病毒的概率也因此增大。
2.方案设计的问题。在实际的网络布线中,不可能像理论的那么完美,经常会出现一些为了实现某些异构网络间信息的通信,往往会牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。但有些特定的环境会有特定的安全需求,所以不存在可以通用的设计方案。如果设计者的安全理论与实践水平不够的话,他设计出来的方案可能会出现很多的漏洞。
3.系统的安全漏洞。随着软件系统规模的扩大,系统的安全漏洞也不可避免。就算是微软这样的国际型的公司设计出来的标志性产品windows操作系统,也必须不断的更新来弥补系统原先的漏洞,而且就算更新也不可能将系统的漏洞完全杜绝。不仅仅是操作系统,还有我们应用的软件,他们之所以在不断的更新也是为了弥补其中的漏洞。而软件或者系统漏洞的出现可能只是因为程序员的一个疏忽,设计中的一个小缺陷而已。
4.网络协议的安全问题。因特网最初设计考虑时该往不会因局部的故障而影响信息的传输,因此基本没有考虑过安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在严重的不适应性。同时,作为因特网核心的TCP/IP协议更存在着很大的安全隐患,缺乏强健的安全机制,这也是网络不安全的主要因素之一。
5.人为因素。计算机病毒不会凭空而生,其根本原因还是在于人。而人为因素也存在以下两种。
(1)人为的无意失误。比如说操作员安全配置不当,用户的安全意识不强,用户口令选择不慎,或者用户将自己的账号轻易借给他人或与别人共享,这些行为都有可能给网络安全带来威胁。
(2)人为的恶意攻击。黑客这个词大家想必也不陌生,但是真正了解他们的人也不多。在普通的计算机用户眼中,他们或许是一群神秘的人,他们拥有着常人无法达到的计算机技术,只是他们用他们的技术来干一些违法的事情,比如侵入别人的电脑,盗取用户信息,或者侵入公司的数据库,盗取有用资料卖给敌对的公司,更有甚者侵入国家安全部门盗取国家机密!黑客的攻击分为主动攻击和被动攻击。主动攻击是以各种方式有选择地破坏信息的有效性和完整性,而被动攻击则是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。黑客活动几乎覆盖了所有的操作系统,包括windows,Unix,Linux等等。而且黑客的攻击比病毒攻击更具有目的性,因此也更具有危害性。同时,网络犯罪的隐蔽性好,并且杀伤力强,因此成为网络安全的主要威胁之一。
6.管理上的因素。网络系统的严格管理是企业、机构以及用户免受攻击的重要措施。但是事实上,很多的企业、用户的网站或系统都疏于安全方面的管理。在美国,很多公司对黑客的攻击准备不足,甚至还有可能是公司的内部人员泄露机密,这样对公司造成的损失是不必要的,如果企业加强安全管理,就可以避免这些不必要的损失。
五、网络攻击常用技术
1.口令的破解。这是黑客常用的方法之一,也是黑客利用系统通常没有设置口令或者口令设置的不科学、太简单,来轻易的侵入系统。具体的方法有穷举法,字典发,缺省的登陆界面攻击法等等。
2.计算机病毒攻击法。这是一种较为常见的攻击方法,从计算机网络诞生到现在,影响巨大的计算机病毒攻击事件不胜枚举。特别闻名的有“爱虫”,“梅丽莎”,“熊猫烧香”等等。
3.拒绝服务攻击。这是新的一种黑客攻击方法,黑客采用“无法向用户提供服务”的攻击方式,向各大网站发送了及其大量的信息(垃圾邮件),致使这些网站的计算机无法容纳,从而是用户无法进入网站。
4.网络监听。这亦是黑客们常用的工具。网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息已明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
5.特洛伊木马。这是一种将木马程序植入到系统文件中,用跳转指令来控制木马。其传播方式有e-mail传播,和将木马程序捆绑在软件的安装程序上,在用户不知情的情况下下载安装,便可将木马程序安装到用户的计算机上。
6.后门以及缓冲区溢出。任何系统都是有bug的,即使是微软的Windows。黑客会对Windows系统Cmd.exe的访问权限进行攻击,就可以获得一般用户的身份及权限。不过系统漏洞一旦被发现,生产商就会立即发补丁纠正,所以一般不会有流传很广或者能够使用很长时间的系统漏洞。
解决问题
对于上述网络安全隐患,我认为真正的解决方法,也就是完全消除网络安全隐患的方法是不存在的,除非你拔出网线,这辈子都不在与互联网打交道,否则的话,你就需要面对网络的安全隐患。但是对于安全的问题,我想应该是可以不断的优化的。
对于网络布线方案的设计,人们在不断的寻找最优解。虽然也许不存在这样的最优解,但是我想只要是优秀的设计师,应该可以统筹兼顾。
至于系统的安全漏洞,我只想说,人无完人,一个庞大的系统,不出现漏洞
是不可能的,尤其是我们在编写代码的时候还需要考虑机器的情况,为了适应机器,可能会不得已的使用一些算法,从而造成一些漏洞。或者是相反的情况,有的时候计算机的硬件虽然可以跟得上,但是我们还没有一个好的算法来实现某些问题,所以不得不用有漏洞的那些算法,所以说我们对于某些算法的优化做的还不是很好,在未来或许会出现很多非常优秀的算法,这样也可以避免掉一些系统的漏洞。
而对于黑客,我们可以用法律来强制性的限制他们。或者在平时加强对计算机人员的思想道德教育,让黑客认识到他们所作的会给人们带来怎样的损失。
但是这些都只是从主观上来降低网络安全隐患,从客观上来说,我们需要做到以下几点:
1.硬件系统的安全防护。在物理设备上进行必要的设置,避免黑客获得硬件设备的远程控制权指的是安全设置安全。比如加载严格的访问列表,口令加密,对一些漏洞端口禁止访问等。
2.防火墙技术。在网络的访问中,有效拦截外部网络对内部网络的非法行为,可以有效保障计算机系统安全的互联网设备就是防火墙。入侵者想要侵入用户的电脑必须经过防火墙的防线,用户可以将防火墙配置成多种不同的保护级别。一个好的防火墙可以再很大的程度上阻止黑客的入侵。但是世上没有不透风的墙,再好的防火墙也会有被发现漏洞的一天,所以防火墙一定要及时更新。
3.漏洞的修补。计算机软件生产厂商一旦发现自己发布的软件出现漏洞的话,应该做到对漏洞进行安全分析,并且及时发布补丁,以免漏洞被不法分子利用,造成不必要的损失。
4.加强网络安全管理。网络需要一套完整的规章制度和管理体制,并且要加强计算机安全管理制度的建设。同时还要加强网络相关技术人员安全知识教育,对技术员和网络管理员的职业道德与专业操作能力要不断的加强。对于企业计算机网络的安全,各企业需要与相关技术人员签订保密协议,并根据公司的规定做好数据备份。最主要的是要对相关人员加强安全知识教育,鼓励相关人员持证上岗,加强他们的只是储备,并强化实践学习。
总结
网络时代的网络也是日新月异。从之前的物理传输变成了现在的无线传输,wifi和平板即将成为未来一段时间的主潮流。网络的发展其安全问题必然十分重要,但是在未来那个wifi开放的时代,应该怎样保证网络的安全,这也是一个重要的问题。
通过这门课的学习,我也大概了解了我所学习的专业所需要掌握的知识以及其重要性,希望通过日后的学习能够加强我的个人能力,为信息安全作出一些贡献。
参考文献:
《身边的网络安全》 机械工业出版社 王彬 李广鹏 史艳艳编著2011年出版
《网络安全》 东北财经大学出版社薛伟 史达编著2002年出版
《浅谈互联网网络安全隐患及其防范措施》网络文档
百度百科 计算机网络
第三篇:信息安全与网络安全复习总结
一、概述
1、计算机安全与网络安全的区别 P1
计算机安全:负责信息存储和处理过程的安全事务,主要防止病毒和非法访问。
网络安全:负责信息传输过程的安全事务,主要防止用户非法接入、窃取或篡改传输过程中的信息。
计算机安全与网络安全都是信息安全的组成部分。
2、病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码。P23、网络安全体系结构由两部分组成:网络安全基础---加密、报文摘要算法、数字签名技术
及认证和各种安全协议;作用于网络每层的安全技术。P134、计算机网络安全的目标:保证网络用户不受攻击;机密信息不被窃取;所有网络服务能
够正常进行。P15
二、黑客攻击机制P191、窃取与截获的区别
窃取是非法获得信息副本,但不影响信息正常传输;
截获是不仅非法获得信息,且终止或改变信息传输过程;
2、DOS攻击和Smurf攻击的区别:P21
拒绝服务攻击(DOS),就是用某种方法耗尽网络设备或服务器资源,使其不能正常提供服务的一种攻击手段。
SYN泛洪攻击—消耗服务器资源
Smurf攻击—耗尽网络带宽,使被攻击终端不能和其他终端正常通信的攻击手段。
3、黑客攻击过程P27
收集信息;收集攻击目标主机系统或网络的相关信息
网络接入:拨号、无线局域网、以太网
主机系统信息:操作系统类型、版本、服务类型、软件
网络拓扑结构: 传输路径、设备类型、网络类型
侦察---攻击目标的缺陷、攻击方法;
域名、IP地址
防火墙的漏洞
软件的缺陷
允许建立TCP连接的端口号
能否放置木马
攻击---攻击目的和方法
瘫痪目标系统---拒绝服务攻击
控制目标---利用漏洞上载恶意代码(放置木马)
5、缓冲区溢出原理:通过往没有边界检测的缓冲区写超出其长度的内容,造成该函数缓冲区的溢出,溢出的数据覆盖了用于保留另一函数的返回地址的存储单元,使程序转而执行其它指令,以达到攻击的目的。P326、信息安全由网络安全、操作系统安全和应用程序安全三部分组成,其中操作系统安全和
应用程序安全统称为计算机安全。P33
第三章 网络安全基础
1、对称加密与公钥加密区别
对称加密:加密和解客的密钥相同(单钥)
公钥加密:加密和解客的密钥不相同(双钥)
2、公钥加密和数字签名的区别
3、报文摘要与消息认证的区别
4、密文安全性完全基于密钥的安全性
5、对称加密包括:流密码和分组密码体制
6、Feistel分组密码结构及其在DES中的应用
Feistel结构是一种分组密码体制下的加密运算过程。它的输入是由明文分割后产生的固定为2W分的数据组和密钥K,每组数据分为左、右两部分;经过n次的迭代运算后,输出2W位的密文。其中每次迭代的密钥由原始密钥K经过子密钥生成运算产生子密钥集{k1,k2,…,kn},且上一次迭代运算的结果作为下一次运算的输入。
数据加密标准(DES)采用feistel分组密码结构。大致可分为:初始置换,迭代过程,逆置换和,子密钥生成7、DES中的S盒计算:将48比特压缩成32比特
输入6比特:b1b2b3b4b5b6
输出4比特:S(b1b6 ,b2b3b4b5)
8、DES中CBC模式的优良特性
由于加密分组链接模式中每一组数据组和前一组数据组对应的密文异或运算后作为加密运算模块的输入,因此即使密钥相同的两组相同数据组加密运算后产生的密文也不会相同,增加了加密算法的安全性。
9、RSA公钥加密体制
公开密钥: PK={e, n}
秘密密钥: SK={d, n}
加密过程:把待加密的内容分成k比特的分组,k≤ log2n,并写成数字,设为M,则:C=Memodn
解密过程:M = Cdmodn
密钥产生:
1.取两个大素数 p, q , pq, 保密;
2.计算n=pq,公开n;
3.计算欧拉函数ф(n)=(p-1)(q-1);
4.选择整数e,使得 e与ф(n)互素;0 5.计算求满足ed=1 mod(n)的d.将d 保密,丢弃p, q10、Diffie-Heilman密钥交换算法 系统参数产生 1.)取大素数 p,2.)计算对应的本原元,公开(p, ); 用户A取整数XA,计算YA=axa mod p 公告YA给用户B; 用户A取整数XB,计算YB=a xb mod p 公告YB给用户A; KA=YBxa mod p,KB=YAxb mod p,KA=KB11、认证中心的作用及证书的表示 认证中心的作用是证明公钥和用户的绑定关系 证书的表示:1)用明文方式规定的用于确认公钥PKB和用户B之间绑定关系的证明 2)用认证中心的私钥SKCA对上述明文的提出报文摘要进行解密运算后生成的密文Dskca(MD(P)).证书的主要内容包括:版本、证书序号、签名算法标识符、签发者名称、起始时间、终止时间、用户名称、用户公钥信息、签发者唯一标识符、用户唯一标识符、扩展信息、Dskca(MD(P)).12、Kerberos认证系统的组成 认证服务器---------------身份认证, 通行证签发服务器------获取服务通行证,确认客户是否授权访问某个应用服务器 应用服务器---------------访问服务器 13、安全协议层 TLS(运输层安全协议)运输层 IPSec网络层 802.1x(基于端口的接入控制协议)数据链路层(?) 14、EAP(扩展认证协议)的特点P65 与应用环境无关的、用于传输认证协议消息的载体协议,所有应用环境和认证协议都和这种载体协议绑定 15、IPSec体系结构P75 IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括认证首部协议 Authentication Header(AH)、封装安全净荷协议Encapsulating Security Payload(ESP)、安全关联和密钥管理协议Internet Security Association and Key Management Portocol(ISAKMP)和用于网络认证及加密的一些算法 1)安全关联:用于确定发送者至接收者传输方向的数据所使用的加密算法和加密密钥、MAC算法和MAC密钥和安全协议等。安全关联用安全参数索引SPI、目的IP地址和安全协议标识符唯一标识; 2)AH:认证首部的作用是认证发送者,数据完整性检测; 认证首部AH包含安全参数索引SPI,序号、认证数据等。 运输模式:在IP分组首部和净荷之间插入AH,封装成AH报文 隧道模式:在外层IP首部和净荷之间插入AH,封装成AH报文 3)ESP;ESP的作用是实现保密传输、发送者认证和数据完整性检测 ESP首部包含安全参数和序号 ESP尾部包含填充数据、8位填充长度字段和8位下一个首部 运输模式:在IP分组首部和净荷之间插入ESP首部,在净荷后面插入ESP尾部 隧道模式:在外层IP首部和净荷之间插入ESP首部,在净荷后面插入ESP尾部 4)ISAKMP;ISAKMP的作用:一是认证双方身份,当然,每一方在认证对方身份前,应 该具有授权建立安全关联的客户名录。二是建立安全关联,建立安全关联的过程是通过协商确定安全协议、加密密钥、MAC密钥和SPI的过程; 16、TLS协议的体系结构P60 握手协议参数切换协议报警协议TLS记录协议 TCP IP 第四章 安全网络技术 1、IPSec协议为什么不适用端点之间的身份认证?P92 路由协议是基于IP的高层协议,在它建立终端之间的传输路径前,终端之间并不能实现端到端传输,所以IPSec协议并不适合用于实现传输路由消息的两个端点之间的身份认证和路由消息的完整性检测,需要开发专用技术用于解决路由消息的正确传输问题。 2、信息流的管制在SYN攻击中的应用 信息流管制的方法是限制特定信息流的流量,特定信息流是指定源和目的终端之间和某个应用相关的IP分组序列,这样的IP分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。 SYN泛洪攻击是指黑客终端伪造多个IP,向Web服务器建立TCP连接请求,服务器为请求分配资源并发送确认响应,但是这些确认响应都不能到达真正的网络终端。因此只要在边缘服务器中对接入网络的信息流量进行管制,就能有效地抑制SYN攻击。 3、NATP106 NAT(Network Address Translation),网络地址转换,在边缘路由器中实现的本地IP地址和全球IP地址之间的转换功能。 第五章 无线局域网安全技术 1、解决无线局域网安全问题的方法?P116 认证:解决接入控制问题,保证只有授权终端才能和AP通信,并通过AP接入内部网络; 加密:解决终端和AP之间传输的数据的保密性问题 2、WEP安全缺陷 ……P121-125 共享密钥认证机制的安全缺陷 一次性密钥字典; 完整性检测缺陷; 静态密钥管理缺陷3、802.11i的两种加密机制P125 临时密钥完整性协议(Temporal Key Integrity Protocol,TKIP) 计数器模式密码块链消息完整码协议(CTR with CBC-MAC Protocol,CCMP) 4、802.1x认证机制P131-136 双向CHAP认证机制…… EAP-TLS认证机制…… 动态密钥分配机制…… 第六章 虚拟专用网络 1、专用网络与虚拟专用网络的区别: P141-142 专用网络----费用昂贵、协商过程复杂、利用率低; 网络基础设施和信息资源属于单个组织并由该组织对网络实施管理的网络结构;子网互联通过(独占点对点的专用链路)公共传输网络实现。 虚拟专用网络----便宜,接入方便,子网间传输路径利用率较高 通过公共的分组交换网络(如Internet)实现子网之间的互联,并具有专用点对点链路的带 宽和传输安全保证的组网技术。 2、基于IP的VPN结构P143 在IP网络的基础上构建的性能等同于点对点专用链路的隧道,并用隧道实现VPN各子网间的互联。根据隧道传输的数据类型可分为IP隧道和第2层隧道,IP隧道传输IP分组,第2层隧道传输链路层帧。 3、VPN的安全机制:IPSecP147-148 IP分组和链路层帧在经过隧道传输之前,在隧道两端建立双向的安全关联,并对经过隧道舆的数据进行加密、认证和完整性检测,即IPSec 加密:保证数据经过IP网络传输时不被窃取 认证:保证数据在隧道两端之间的传输 完整性检测:检测数据在传输中是否被篡改 4、VPN需实现的功能P149 1)实现子网之间使用本地IP地址的ip分组的相互交换; 2)实现隧道的封闭性、安全性,使外部用户无法窃取和篡改经过隧道传输的数据 第七章 防火墙 1、防火墙的功能P173 防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备,尤其适用于内部网络和外部网络之间的连接处。 服务控制:不同网络间只允许传输与特定服务相关的信息流。 用户控制:不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。2网络防火墙的位置:内网和外网和连接点 3、单穴与双穴堡垒主体结构和性质区别P190-191 单穴堡垒主机只有一个接口连接内部网络; 堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问; 单穴堡垒主机把外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。 双穴指堡垒主机用一个接口连接内部网络,用另一个接口连接无状态分组过滤器,并通过无状态分组过滤器连接外部网络;这种结构保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问; 4、统一访问控制的需求及实现(?)P193-195 需求: (1)移动性---终端用户不再固定到某一个子网; (2)动态性---终端用户的访问权限是动态变化的; (3)访问权限的设置是基于用户的统一访问控制:在网络中设置统一的安全控制器,实施动态访问控制策略的网络资源访问控制系统。由UAC代理、安全控制器和策略执行部件组成。 第八章 入侵防御系统 1、入侵防御系统的分类P205-206 入侵防御系统分为主机入侵防御系统和网络入侵防御系统 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程,以此发现攻击行为、管制流出主机的信息流,保护主机资源; 网络入侵防御系统通过检测流经关键网段的信息流,发现攻击行为,实施反制过程,以此保 护重要网络资源; 2、主机入侵防御系统的工作原理及目的P223-224 工作原理:首先截获所有对主机资源的操作请求和网络信息流,然后根据操作对象、系统状态、发出操作请求的应用进程和配置的访问控制策略确定是否允许该操作进行,必要时可能需要由用户确定该操作是否进行。 目的:防止黑客对主机资源的非法访问 4、网络入侵防御系统的工作过程 1) 2) 3) 4)报警; 5) 第九章 网络管理和监测 1、网络管理的功能P231 故障管理 计费管理 配置管理 性能管理 安全管理 2、网络管理系统结构P232 由网络管理工作站、管理代理、管理信息库(MIB)、被管理对象(网络管理的基本单位)和网络管理协议(SNMP)组成。 3、SNMP SNMP的功能是在管理工作站和管理代理之间传输命令和响应 4、网络性能瓶颈P244 1)监测过载结点 2)分析流量组成3)限制终端流量 第十章 安全网络设计实例 1、网络安全主要的构件 P247-248 接入控制和认证构件 分组过滤和速率限制构件 防火墙 入侵防御系统 VPN接入构件 认证、管理和控制服务器 2、安全网络设计步骤P248-249 1)确定需要保护的网络资源---只对网络中重要且容易遭受攻击的网络资源实施保护; 2)分析可能遭受的攻击类型; 3)风险评估----使设计过程变得有的放矢; 4)设计网络安全策略; 5)实现网络安全策略; 6)分析和改进网络安全策略。 第十一章 应用层安全协议 1、彻底解决Web安全需要什么?---构建网络安全体系P2592、网络体系结构中安全协议P259-260 网络层---IPSec:在网络层上实现端到端的相互认证和保密传输 运输层---TLS:在运输层上实现端到端的相互认证和保密传输 应用层---SET:安全电子交易协议,实现网络安全电子交易 3、SET的组成: (a)持卡人; (b)商家; (c)支付网关; (d)认证中心链; (e)发卡机构; (f)商家结算机构。 4、数字封面的设计原理…… P265-266 用指定接收者证书中的公钥加密对称密钥,结果作为数字封面 数字封面=EPKA(KEY),E是RSA加密算法 5、双重签名原理及其实现 双重签名(DS)= DSKC(H(H(PI)||H(OI))); 双重签名: (1)双重签名的目的: 将每次电子交易涉及的购物清单OI和支付凭证PI绑定在一起; 商家A’----需要OI和PIMD=H(PI), 不允许获得PI; 支付网关G----需要PI和OIMD=H(OI), 不需要OI (2)持卡人用私钥SKC和公钥解密算法DSKC(.),生成双重签名 DS= DSKC(h’),h’=H(PIMD||OIMD); ----向商家发送{DS,OI,PIMD}; ----向支付网关发送{DS,PI,OIMD}; (3)用帐户C的公钥PKC和公钥加密算法EPKC(.),商家验证双重签名 EPKC(DS)= H(PIMD||H(OI)); (4)用帐户C的公钥PKC和公钥加密算法EPKC(.),支付网关G验证双重签名EPKC(DS)= H(OIMD||H(PI)); 6、PSG的功能 主要实现发送端认证、消息压缩、加密及码制转换等功能 7、防火墙在信息门户网站的配制 防火墙配置要求只允许内部网络用户访问门户网站,只允许门户网站发起对服务器的访问过程,以此保证内部网络用户必须通过门户网站实现对服务器的访问。 校园网络安全和信息安全责任书 为进一步落实网络安全和信息安全管理责任,确保学校网络安全和信息安全,根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》,结合学校情况,特制订本责任书。 一、本部门行政一把手为网络安全和信息安全第一责任人,负责建立和完善本单位网络安全和信息安全组织,建立健全相关管理制度,制定网络安全事故处置措施和应急预案,配备兼职信息安全管理员,具体负责本单位网络安全和信息安全工作。 二、坚持“归属管理”原则,实行24小时网络监控制度,切实做到“看好自己的门,管好自己的人,做好自己的事”。负责教育本部门所属人员(教工及学生)不利用网络制作、传播、查阅和复制下列信息内容:损害国家及学校荣誉、利益、形象的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;含有法律、法规禁止的其他内容的。 三、坚持“谁主管,谁负责;谁主办,谁负责”的原则,负责加强对本部门上网信息及内容的审查,确保上网信息的安全和保密信息不泄漏。 四、对本部门人员利用网络平台建立的内部交流QQ群、飞信群等实时监控;教学单位要摸清学生群体建立的内部交流群,学生管理人员应参与学生交流群加强监控与引导,对交流群中出现的不当言论及时制止、教育,对可能引发严重后果的情况及时上报。 五、严格实行网络安全和信息安全责任追究制度。如因管理不善致使本部门内发生重、特大信息安全事故或严重违纪违法事件的,按有关规定对部门和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。 六、在责任期内,责任书各条款不因负责人变化而变更或解除,接任负责人应相应履行职责。 本责任书一式两份,分别存于学校校园网络信息安全领导小组办公室和各责任书签订部门。 本责任书自签字之日起生效。 学院网络信息安全领导小组(盖章)部门负责人(签字): 二00一年四月一日二00一年四月一日 网络安全 信息安全引人们关注 从今年年初到现在,我国发生了很多起关于网络支付信息泄漏、网民账号信息泄漏甚至国家军事机密泄漏的事件,现在是互联网时代,加上网络信息泄漏的频繁性,致使我国政府不得不采取一些措施保障我国网络信息安全。 今年2月底,京东商城数据库被盗,导致没有启用安全设置的用户信息被盗;3月底,漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露;5月份,小米官方论坛数据库泄露,导致在2008年8月前注册的论坛账号信息被非法获取;同日,前瞻网微博自曝域名遭篡改挂在中国域名服务商新网的域名,在三天之内被人修改注册信息并且转移到了美国域名服务商enom公司;5月4日,广东破获一起由境外间谍机关通过网络勾联策反境内人员,窃取中国军事秘密的案件,8日,北京市公安局依法刑事拘留因涉嫌为境外非法提供国际秘密的高瑜女士。 因为这一件件信息泄漏事件发生,致使我国领导人对中国的网络安全、信息安全加大了重视。在今年两会前期,中央成立了由习近平担任组长的网络安全和信息化领导小组;在两会期间,网络安全、信息安全成了人们关注的两大“热词”,“维护网络安全”首次写进政府工作报告,意味着网络安全已上升到国家战略;两会结束后的一个月,习近平召开国家安全委员会第一次会议,首次提出被舆论称为“11种安全”的国家安全体系,虽然“信息安全”只位列“11种安全”之一,但“11种安全”中每一种都与网络信息安全有着不同程度的关联;5月中旬,中央政府信息类采购协议中规定不允许安装windows 8操作系统,这项规定的出台可能与保证政府部门信息安全有关;5月22日,我国推出网络安全审查制度,这一制度的出台,将大大推动我国网络强国建设。没有网络安全就没有国家安全,没有信息化就没有现代化,网络已经成为继陆、海、空、天之外的国家第五大主权空间。如果网络安全出了问题,国家安全就没有保障,控制网络空间,就可以控制一个国家的经济命脉、政治导向和社会稳定。昂楷科技,引领数据安全技术潮流,完整构建中国信息安全。第四篇:校园网络安全和信息安全责任书
第五篇:网络安全 信息安全引人们关注