第一篇:网络安全配置基础总结
防火墙功能:它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。
威胁:威胁是指可能对资产带来危险的任何活动,因为对资产带来危险的基本活动很少改变,威胁的变化性小于漏洞。常见的威胁包括:1)想方设法盗取、修改或破坏数据、系统或设备的人。2)引起数据、系统或设备损坏的灾难。
漏洞:漏洞是可被威胁利用的安全性上的弱点。出现漏洞的常见原因包括:1)新开发的软件和实现的硬件时常会带来新的漏洞。2)人在忙碌时难免犯错。3)许多组织是以被动的而非主动的方式应对网络安全问题。
攻击:攻击时之故意绕过计算机安全控制的尝试。利用漏洞的新攻击不断出现,但是,当每种攻击方法公开后,防范这种攻击的对策通常也会随后公开。
攻击者的动机:
1、个人的进步或满足:如心存嫉妒而从同事那里窃取创意的人+被开除后伺机报复前雇主的雇员+沉溺于追求优越感、喜欢控制别人或喜欢游离于正常社会之外的人;
2金钱利益:如窃取信用卡号或身份证并出卖这些证件的人+有组织的从事计算机诈骗的犯罪者; 3在同辈中的声望:如希望向同辈显示实力的程序员新手+想获得高级程序员名声的中级程序员; 4影响:如想攻击出名的人+想给他或她不喜欢的组织带来负面影响的人;
5恐怖主义:如通常由于政治或意识形态的原因想胁迫或强制组织、社会或政府的人;
6地下执法者或激进主义:如感觉有责任为了公众的利益而仔细寻查安全性弱点的人;
7间谍:如侦查其他组织或其他政府以获得资源或优势的人。
常见的攻击:电子欺骗:伪装为其他人或其他事物。
中间人(Man-in-the-middle):在通信双方未察觉的情况下拦截器传输数据。
后门(Back door):允许攻击者绕过安全措施访问系统的软件。
拒绝服务(Denial of service):造成某个资源无法访问。
重放:捕获传输数据,然后再次使用。数据包嗅探(Packet sniffing):窃听网络通信。
社交工程(Social engineering):诱使用户违反正确的安全程序。
SID(Security IDentifier)安全标识符:是一个包括字符和数字的具有唯一性的字符串,它在网络中代表用户。系统使用SID来判断哪些安全主体(如用户账户和安全组)拥有特定受保护资源的访问权限。LSA(Local Security Authority)本地安全机构:在windows中,LSA进程负责进行授权。LSA几乎执行所有与安全相关的功能,包括用户登录以及创建访问令牌、访问安全账户数据库,并检查对受保护资源的访问权限。
KDC(Key Distribution Center)密钥分发中心:密码学中的密钥分发中心(KDC)是密钥体系的一部分,旨在减少密钥体制所固有的交换密钥时所面临的风险。KDC应用在这样的系统中:系统内一些用户能够使用某些服务,而其他人不能使用那些服务。
GPO(Group Policy Object)组策略对象:组策略对象能控制操作系统中用户账户的相关特性。OU(Organizational Unit)组织单元:是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。
VPN(Virtual Private Network)虚拟专用网络。采用了隧道技术、加解密技术、密钥管理技术在公用网络上建立专用网络的技术。
RRAS(Routing and Remote Access Service)路由和远程访问服务器。是一种允许用户从远端通过拨号连接连接到本地计算机的远程服务
FTP(File Transfer Protocol)文件传输协议。是TCP/IP网络上两台计算机传送文件的协议。
DNS(Domain Name System)域名系统。可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网。
PKI(Public Key Infrastructure)公钥基础结构:证书在认证用户和受信资源之间进行交换,用来在组织内和组织外保护数据和管理身份凭证。
SNMP(Simple Network Management Protocol)简单网络管理协议。由一组网络管理的标准组成,能够支持网络管理。
HTTPS(hypertext transport protocol)超文本传送协议。一种规定了浏览器和万维网服务器之间互相通信规则,通过因特网传送万维网文档的数据传送协议。
IIS(Internet Information Services)互联网信息服务。由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
TLS(Transport Layer Security)安全传输层协议。用于在两个通信应用程序之间提供保密性和数据完整性。
IPSEC(Internet Protocol Security)Internet 协议安全。使用加密的安全服务确保在 Internet 协议(IP)网络上进行保密而安全的通讯。
WAP(Wireless Application Protocol)无线应用协议。是一项全球性的网络通信协议。
WEP(Wired Equivalent Privacy)有线等效保密协议。对两台设备间无线传输数据进行加密,以防止非法用户窃听或侵入。DES(Data Encryption Standard)数据加密标准。是一种对称加密算法。
数字证书:由一个由权威机构CA机构中心发行,是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式。
CA(Certification Authority,证书颁发机构):是一项服务,负责建立并保证属于用户(最终实体)或其他证书颁发机构的公钥的真实性的实体。证书颁发机构的活动可能包括通过所签署的证书将公钥绑定到特征名称上,以及管理证书序号和证书吊销。
SSID(Service Set Identifier)服务器设置标识符
RRAS(Routing and Remote Access Service)路由和远程访问服务:是Microsoft Windows组件,管理对网络的远程访问和网络间路由。
对称算法:私钥加密算法,加/解密密钥是相同的;优点:算法公开、计算量小、加密速度快、加密效率高;缺点:如果需要与很多人交换数据,就需要为每一方都准备单独的密钥,这可能会使密钥管理变得非常困难。算法:AES,DES,3DES, IDEA
非对称算法:公钥加密算法,加/解密密钥是不同的;优点:它提供一种无需交换密钥的安全通信方式既可以验证个人身份也可以验证数据的完整性安全性高;缺点: 加密和解密的处理速度相对较慢。RSA算法,Rabin算法、、散列算法:MD4和MD5以及FIPS 180-1
SSL(Security Socket Layer)安全套接字层是一个安全协议,它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的超文本传输协议(HTTP)使用 SSL 来实现安全的通信。
在客户端与服务器间传输的数据是通过使用对称算法(如 DES 或 RC4)进行加密的。公用密钥算法(通常为 RSA)是用来获得加密密钥交换和数字签名的,此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书,客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证,此认证同时需要客户端和服务器的数字证书。
工作原理:
SSL 客户机:使用 SSL 开始通信的一方称为 SSL 客户机。
SSL 服务器:接收通信的一方称为 SSL 服务器。
SSL 服务器证书:SSL 服务器向 SSL 客户机提供其服务器证书。
证书密钥数据库:SSL 服务器将其服务器证书保留在其密钥数据库中(对于 IBM HTTP server 的情况,在名为 key.kdb 的文件中)。
密钥数据库密码:为了保护密钥数据库中的服务器证书,设置了密码供已经过配置以使用 SSL 的应用程序使用。
证书验证:SSL 客户机验证服务器证书是否可靠。要完成该任务,该客户机必须有服务器证书的副本或发放服务器证书的认证中心的根证书。
(TM)证书密钥库:用于验证服务器证书的所有证书存储在 SSL 客户机上。在 SSL 客户机是 Java 客户机的情况下,证书就会存储在 Java 密钥库(名为 key.jks 的文件)中。
Java 密钥库密码:对于 Java 程序,密钥数据库密码还使用户可以访问 Java 密钥库。
加密消息;如果 SSL 客户机已验证了服务器证书的可靠性,它可以使用服务器证书中的信息对要发送的消息进行加密。
解密消息:SSL 服务器接收消息时可将其解密,因为该消息使用其本身的服务器证书进行加密。域的各种操作:
1创建(1个或多个)、删除、禁用本地用户账户,创建、删除安全组;
2创建和管理Active Directory域账户和安全组,具体主要如下:
3域用户账户单点登录,域用户账户身份验证,域用户访问域中的资源;
4有效使用域安全组:用安全组设置权限;
5针对大型组织的安全组优化措施;
6在域中创建和管理用户账户和安全组的指导方针。
IDS:Intrusion Detection Systems,入侵检测系统,指对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。以保证网络系统资源的机密性、完整性和可用性。
工作原理:入侵检测可分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
无线技术:wireless LAN,无线局域网wlan的构建,使得客户计算机无需物理连接就可接入网络,由于硬件价格不断下降以及更高带宽协议的频频发布,无线网络已从默默无闻发展到被广泛采用。
无线访问点(Wireless Access Point/WAP):多个无线网络适配器可通过访问点相互通信(基础模式),通常不可移动,常见的有效距离从50米到上百米。
WAP配置:客户端网络适配器只与称作无线访问点WAP的特殊无线桥接器会话,无线桥接器直接连入有线网络,当在客户端和WAP之间创建关联时,配置客户端使用服务设置标识符(SSID,Service Set Identifier)作为WAP。
WEP(有线等效隐私,Wired Equivalent Privacy)是无线网络中保护数据私密性,加密数据的技术。WEP配置:在小型网络中使用WEP在技术上并不复杂,必须逐个地在大多数WAP设备和客户端上用WEP密钥来设置密钥。在大企业中保持共享密钥的机密性需要严格的信息技术规程,而且会提高IT人员的工作量,此时可以选用包含自动部署WEP的管理工具的无线设备,可以简化WEP加密的大范围部署。防火墙的基本功能如下:它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。
1.包过滤:具备包过滤的就是防火墙,即是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2.包的透明转发:事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击:如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击:其实防火墙是可以将攻击行为记录下来的,但由于效率上的考虑,一般记录攻击都交给IDS来完成。
第二篇:专题十一:网络安全基础
专题十一:网络安全基础
网络安全的有关概念
安全与保密:计算机网络安全是指网络系统中用户共享的软、硬件等各种资源是否安全,不受到有意和无意的各种破坏,不被非法侵用等。研究计算机网络安全问题必然要涉及到保密问题,但安全同保密却不是等同的两个概念。在研究网络安全问题时,针对非法侵用、盗窃机密等方面的安全问题要用保密技术加以解决。保密是指为维护用户自身利益,对资源加以防止非法侵用和防止盗取,使非法用户不能使用和盗取不到,既使非法用户盗取到了资源也识别不了的方法。
风险与威胁:风险是指损失的程度;威胁是指对资产构成威胁的人、物、事、想法等。其中资产是进行风险分析的核心内容,它是系统要保护的东西及其价值,网络系统中的资产主要是数据。威胁会利用系统所暴露出的弱点和要害之处对系统进行攻击,威胁包括有意和无意两种。
敏感信息:指那些丢失、滥用、被非法授权人访问或修改的信息,是泄露、破坏、不可使用或修改后对组织造成损失的信息。
脆弱性:指在系统中安全防护的弱点或缺少用于防止某些威胁的安全防护。脆弱性与威胁是密切相关的。
网络安全
网络安全的威胁
非法授权访问
信息泄漏或丢失
破坏数据完整性
拒绝服务攻击
病毒
网络安全控制技术
防火墙技术
加密技术
用户识别技术
访问控制技术
反病毒技术
漏洞扫描技术
入侵检测技术
黑客攻击手段
口令入侵
暴力功击
中途截取
安放木马
DoS攻击 端口扫描
网络监听
欺骗攻击
电子邮件攻击
可信计算机安全
可信计算机安全评估准则
D类:没有保护的网络
D1
C类:能够提供审慎的保护,并为用户的行动和责任提供审计能力 C1:用户和数据分开 C2:用户能对各自的行为负责 B类:强制性保护功能 B1 B2 B3 A类:安全级别最高 A1:系统设计者必须按照一个正式的设计规范来分析系统。我国计算机信息系统安全保护等级划分 我国计算机信息系统安全保护等级划分 第一级:用户自主保护级( 第二级:系统审计保护级( 第三级:安全标记保护级( 第四级:结构化保护级( 第五级:访问验证保护级(防火墙
定义:防火墙通常是运行在一台单独计算机之上的一个特别的服务软件,用来保护由许多台计算机组成的内部网 主要功能:
对进出的数据包进行过滤 对网络攻击行为进行检测和报警 记录通过防火墙的信息和活动 控制对特殊站点的访问。 几个相关概念
非信任网络 信任网络
非军事化区( 可信主机
非可信主机
TCSEC的C1TCSEC的C2TCSEC的B1TCSEC的B2级)TCSEC的B
3DMZ)
级)
级)
级)
级)
公网IP 保留IP
10.0.0.0—10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
包过滤
地址转换
防火墙的优点、缺点
防火墙能强化安全策略
防火墙能有效的记录因特网上的活动
防火墙是一个安全策略的边防站
防火墙不能防范不经由防火墙的攻击
防火墙不能防止感染了病毒的软件或文件的传输
防火墙不能防止数据驱动式攻击
防火墙的分类及工作原理
包过滤防火墙
应用网关
状态检测防火墙
第三篇:网络安全总结
XXX网络安全总结
随着网络技术的发展,网络安全也就成为当今网络社会焦点中的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变,无所适从。
一、成立网络与信息安全小组
为进一步加强信息安全工作,XXX组建了信息安全小组 组长:XXX
副组长:XXX
成员:XXXXXXXXXXXXXXXXXXXXXXXXX
二、加强理论知识武装头脑
通过此次培训,了解了很多有关网络安全的法律法规、网络安全管理和网络安全技术。首先网络安全理论知识让XXX根本上了解了网络安全的意义,虽然理论知识有点枯燥,但我们清楚的知道这是基础,通过不断学习要重视网络安全的重要性,而对于XXX则要充分认识XXX的网络安全管理问题,正视问题,解决落实网络安全,使XXX的日常工作有条不紊的进行。其次网络安全问题要靠集体的努力,不能就靠某一个人,XXX本身就是一个团队,一个集体,当然需要全体同志们的共同努力,首先每位职工都要有网络安全意识,其次才能通过技术手段使网
络更稳定。
三、严防计算机涉密信息对外泄漏
经过学习,XXX加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理为重点,对于U盘、移动硬盘,采取专人保管,涉密文件单独存放,禁止公、私混用,对XXX的计算机全部进行了审查,统一安装上杀毒软件,并派专人定期维护更新,严防重要信息泄漏。
四、明确责任,落实网络信息安全责任制
按照XXX有关信息系统安全等级保护工作的要求,XXX认真贯彻“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,把安全责任制落实到每一个岗位,建立起了网络信息安全长效机制。
五、XXXX的网络系统配置
XXXX所使用的各种网络设备、软件都是从XXX工作平台内下载,经过杀毒软件检验、鉴定合格后才投入使用的,自安装以来运行基本正常,并且所有的计算机都安装了软件防火墙和杀毒软件,由防火墙软件自动扫描系统漏洞,自动升级补丁,自动进行木马病毒检测。
六、提高操作人员的技术水平
由于计算机网络信息安全技术专业性较强,XXX将不断提高操作人员的技术水平,通过强化培训,提高专业技
能,做到人防与技防相结合,让计算机安全保护的技术水平作为保护信息安全的一道看不见的屏障。
XXX
2012年X月
第四篇:网络安全总结
夏孜盖乡中心校网络安全讲座总结
为积极推进学校网络信息安全建设,努力营造“安全、健康、文明、和谐”的网络环境,根据学校的统一安排部署,我校于9月20日下午开展网络安全讲座主题教育。
本次活动由刘波老师主讲,刘波老师从个人信息保护法、网络安全法、网络安全政策等方面进行讲解,让老师们了解如何正确的使用网络、网络安全相关知识,以及网络安全在日常生活中的重要作用。刘波老师从实际应用中讲解如何安全使用网络,如何避免网络诈骗等相关知识。讲座活动结束后老师们纷纷表示,本次讲座活动使之受益匪浅,刘波老师的讲解帮助其加深了对网络安全的理解,同时学到了更多保护个人信息、维护自身利益的方法。
此次活动,学校积极引导老师们弘扬网络正能量,主动投身网络安全建设。普及网络安全知识,提升网络安全意识和防护技能,营造健康文明的网络环境,共同维护国家网络安全。
夏孜盖乡中心校 2018年9月21日
第五篇:网络安全总结
(一)本信息安全工作主要情况
今年以来,全市从落实各项安全管理制度和规范入手,积极有效地开展了政府信息安全工作,主要完成了以下五项工作:
1.落实信息安全规范。全市范围内逐步推行《苏州市电子政务网信息安全规范(试行)》,所有接入苏州电子政务网的系统严格遵照规范实施,按照七个区、五个下属市、市级机关的顺序,我委定期组织开展安全检查,确保各项安全保障措施落实到位。
2.组织信息安全培训。面向全市政府部门CIO及信息安全技术人员进行了网站渗透攻击与防护、病毒原理与防护等专题培训,提高了信息安全保障技能。
3.加强政府门户网站巡检。定期对政府部门网站进行外部web安全检查,出具安全风险扫描报告,并协助、督促相关部门进行安全加固。
4.狠抓信息安全事件整改。今年,省通信管理局通报了几起我市政府部门主机感染“飞客”蠕虫病毒、木马受控的安全事件,我市高度重视,立即部署相关工作,向涉及政府部门发出安全通报,责令采取有力措施迅速处置,并向全市政府部门发文,要求进一步加强政府门户网站安全管理。
5.做好重要时期信息安全保障。采取一系列有效措施,实行24小时值班制及安全日报制,与重点部门签订信息安全保障承诺书,加强互联网出口访问的实时监控,确保世博会期间信息系统安全。
(二)信息系统安全检查工作开展情况及检查效果
按照省网安办的统一部署,我市及时制定了《2010苏州市政府信息系统安全检查工作方案》,五市七区及市级机关各部门迅速展开了自查工作,**家单位上报了书面检查报告,较好地完成了自查工作。在认真分析、总结前期各单位自查工作的基础上,9月中旬,市发改委会同市国密局、市公安局和信息安全服务公司抽调21名同志组成联合检查组,分成三个检查小组,对部分市(区)和市级机关的重要信息系统安全情况进行抽查。检查组共扫描了**个单位的门户网站,采用自动和人工相结合的方式对**台重要业务系统服务器、**台客户端、**台交换机和**台防火墙进行了安全检查。
检查组认真贯彻“检查就是服务”的理念,按照《工作方案》对抽查单位进行了细致周到的安全巡检,提供了一次全面的安全风险评估服务,受到了服务单位的欢迎和肯定。检查从自查情况核实到管理制度落实,从网站外部安全扫描到重要业务系统安全检测,从整体网络安全评测到机房物理环境实地勘查,全面了解了各单位信息安全现状,发现了一些安全问题,及时消除了一些安全隐患,有针对性地提出了整改建议,并出具了18份书面检查报告,督促有关单位对照报告认真落实整改。通过信息安全检查,使各单位进一步提高了思想认识,完善了安全管理制度,强化了安全防范措施,落实了安全问题的整改,全市安全保障能力显著提高。
(三)全市信息状况总体评价
综合信息系统安全自查和抽查情况看,我市信息系统安全工作整体情况良好,尤其在组织机构、制度建设和日常管理方面,比较完善规范,个别单位还通过了ISO 9001质量管理认证,采取了有效的安全防护措施,信息安全工作得到了各单位领导的普遍重视。但在风险评估、等级保护、应急演练以及经费保障上面都有待于加强。
二、主要问题及整改情况
(一)主要存在的问题
经过本次信息安全自查,对照检查标准,主要存在以下一些问题:
1.部分单位规章制度不够完善,未能覆盖信息系统安全的所有方面。转载自百分网http://转载请注明出处,谢谢!