第一篇:计算机网络安全课后题答案
第一章 绪论
1.计算机网络面临的安全威胁有哪些? 答:1.主要威胁:计算机网络实体面临威胁(实体为网络中的关键设备);计算机网络系统面临威胁(典型安全威胁);恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序);计算机网络威胁有潜在对手和动机(恶意攻击/非恶意)2.典型的网络安全威胁:窃听、重传、伪造、篡造、非授权访问、拒绝服务攻击、行为否 认、旁路控制、电磁/射频截获、人员疏忽。2.分析计算机网络的脆弱性和安全缺陷
答:偶发因素:如电源故障、设备的功能失常及软件开发过程留下的漏洞或逻辑错误; 自然灾害:各种自然灾害对计算机系统构成严重的威胁; 人为因素:人为因素对计算机网络的破坏和威胁(包括被动攻击、主动攻击、邻近攻击、内部人员攻击和分发攻击)。3.分析计算机网络的安全需求 答:互联网具有不安全性;操作系统存在的安全问题;数据的安全问题;传输路线的安全问题;网络安全管理问题。4.分析计算机网络安全的内涵和外延是什么?
答:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性,完整性及可使用受到保护。网络的安全问题包括两方面的内容,一是网络的系统安全;二是网络的信息安全。从广义上说,网络上信息的保密性、完整性、可用性、不可否性和可控性是相关技术和理论都是网络安全的研究领域。5.论述OSI安全体系结构
答:OSI安全系统结构定义了鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抵抗赖性服务等五类网络安全服务;也定义了加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制等八种基本的安全机制。
6.PPDR安全模型地结构
答:PPDR模型是一种常用的网络安全模型,主包含四个主要部份:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。7.简述计算机网络安全技术
答:网络安全技术:物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术和终端安全技术。
第二章 物理安全
1.物理安全主要包含哪些方面的内容
答:机房环境安全、通信线路安全、设备安全和电源安全 2.计算机机房安全等级的划分标准是什么?
答:机房的安全等级分为A类、B类和C类三个基本类别。A类:对计算机机房的安全有严格的要求;B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施;C类:对计算机机房的安全有基本的要求,有基本的计算机机房措施。
3.计算机机房安全技术主要技术措施有哪些?
答:1.机房的安全要求:计算机机房选址应该避免靠近公共区域,避免窗户直接邻街,机房布局应该工作区在内,生活辅助区域在外,机房最好不要安排在底层或顶层;措施:保证所有进出计算机机房的人必须在管理人员的监控之下,外来人员进入机房内部、应该办理相关手续,并对随身物品进行相应的检查。
2.机房的防盗要求,对重要设备和存储媒体应采取严格的防盗措施。措施:早期采取增加质量和胶粘的防盗措施,后国外发明一种通过光纤电缆保护重要设备的方法,一种更方便的措施类似于超市的防盗系统,视频监视系统更是一种更为可靠防盗设备,能对计算机网络系统的外围环境、操作环境进行实时的全程监控。3.机房的三度要求(温度(18-22度)、温度(40%-60%为宜)、洁净度(要求机房尘埃颗粒直径小于0.5Um))为使机房内的三度达到规定的要求,空调系统、去湿机和除尘器是必不可少的设备。
4.防静电措施:装修材料避免使用挂彩、地毯等易吸尘,易产生静电的材料、应采用乙烯材料,安装防静电动板并将设备接地。
5.接地与防雷要求:
地线种类:保护地、直流地、屏蔽地、静电池和雷地池。
接地系统:各自独立的接地系统;交、直分开的接地系统;共地接地系统;直流地、保护地共用地线系统和建筑物内共地系统。
接地体:地桩、水平栅网、金属接地板和建筑基础钢筋
防雷措施:使用接闪器、引下线和接地装置吸引雷电流。机器设备应用专用地线,机房本身有避雷设备和装置。6.机房的防火、防水措施:隔离、火灾报警系统、灭火措施和管理措施。4.保障通信线路安全的主要技术措施有哪些?
答:电线加压技术;对光纤等通信路线的防窃听技术(距离大于最大限制的系统之间,不采用光纤线通信);加强复制器的安全,如用加压措施、警报系统和加强警卫等措施。
4.电磁辐射对网络通信安全的影响主要体现在哪些方面,防护措施有哪些? 答:影响主要体现在:计算机系统可能会通过电磁辐射使信息被截获而失密,计算机系统中数据信息在空间中扩散。防护措施:一类对传导发射的防护,主要采用对电源线和信号线加装性能良好的滤波器,减少传输阻抗和导线间的交叉耦合;另一类是对辐射的防护,又可分为两种:一种是采用各种电磁屏蔽措施,第二种是干扰的防护措施。为提高电子设备的抗干扰能力,主要措施有:屏蔽、滤波、隔离、接地,其中屏蔽是应用最多的方法。5.保障存储媒体安全的主要措施有哪些?
答:存放数据的盘,应妥善保管;对硬盘上的数据,要建立有效的级别、权限,并严格管理,必要时加密,以确保数据安全;存放数据的盘,管理须落到人,并登记;对存放重要数据的盘,要备份两份并分开保管;打印有业务数据的打印纸,要视同档案进行管理;凡超过数据保存期,必须经过特殊的数据加以清理;凡不能正常记录数据的盘,需经测试确认后由专人进行销毁,并做好登记;对需要长期保存的有效数据,应质量保证期内进行转存,并保证转存内容正确。
第三章 信息加密与PKI 1.简述加密技术的基本原理,并指哪些常用的加密体制及代表算法。
答:信息加密技术是利用密码学的原理与方法对传输数据提供保护手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。加密体制的分类:从原理上分为两类:即
单钥或对称密码体制(代表算法:DES算法,IDEA算法)和双钥或非对称密码体制(代表算法:RSA算法,ElGamal算法)。
2.DES加密过程有几个基本步骤?试分析其安全性能。
答:1.初始置换IP及其逆初始化转换IP-1;乘积变换;选择扩展运算、选择压缩运算和置换运算;DES安全性分析及其变形
3.RSA签名方法与RSA加密方法对密钥的使用有什么不同? 答:RSA加密方法是在 多个密钥中选中一部分密钥作为加密密钥,另一些作为解密密钥。RSA签名方法:如有k1/k2/k3三个密钥,可将k1作为A的签名私密钥,k2作为B的签名密钥,k3作为公开的验证签名密钥,实现这种多签名体制,需要一个可信赖中心对A和B分配秘密签名密钥。3.试简述解决网络数据加密的三种方式。答:常用的网络数据加密方式有:
链路加密:对网络中两个相邻节点之间传输的数据进行加密保护; 节点加密:指在信息传输过程的节点进行解密和加密; 端到端的加密:指对一对用户之间的数据连续地提供保护。4.认证的目的是什么?认证体制的要求和技术是什么?
答:1.认证的目的有三个:一消息完整性认证,即验证信息在传送或存储过程中是否被篡改;二是身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;三是消息的序号和操作时间(时间性)等的认证,目的是防止消息重放或延迟等攻击。2.一个安全的认证体制至少应该满足以下要求:意定的接收者能够检验和证实消息的合法性,真实性和满足性;消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息;除了合法的消息发送外,其他人不能伪造发送消息。
3.数字签名技术,一种实现消息完整性认证和身份认证的重要技术;身份认证技术,包括直接身份认证技术和间接身份认证技术;消息认证技术,包括消息内容认证、源和宿的认证、消息序号和操作时间的认证。5.什么是PKI?其用途有哪些? 答:PKI是一个用公钥密码算法原理和技术提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。
6.简述PKI的功能模块组成。
答:主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。认证机构CA、证书库、证书撤销、密钥备份和恢复、自动更新密钥、密钥历史档案、交叉认证、不可否认证、时间戳和客户端软件
第四章 防火墙技术 1.简述防火墙的定义 答:防火墙是位于被保护网络和外部网络之间执行控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测、潜在破坏性的侵扰。它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问,管理内部用户访问外部网络,防止对重要信息资源的非法存取和访问,以达到保护内部网络系统安全的目的。2.防火墙的主要功能有哪些?
答:防火墙是网络安全策略的有机组成部分,它通过控制和监制网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙具有五大基本功能:过滤进、出网络的数据;和管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。3.防火墙的体系结构有哪几种?简述各自的特点。
答:1.双重宿主主机体系结构;屏蔽主机体系结构;屏蔽子网体系结构。
2.双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络往另一个网络发送IP数据包。双重宿主主机体系结构是由一台同时连接在内外网络的双重宿主主机提供安全保障的,而屏蔽主机体系结构则不同,在屏蔽主机体系结构中,提供安全的主机仅仅与被保护的内部网络相连。屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔开。4.简述包过滤防火墙的工作机制和包过滤模型。
答:1.包过滤防火墙工作在网络层,通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。
3.包过滤型防火墙一般有一个包检查模块,可以根据数据包头的各项信息来控制站点与站点、站点与网络、网络与网络之间的访问,但不能控制传输的数据,因为内容是应用层数据。4.简述包过滤的工作过程。
答:1.数据包过滤技术可以允许或不允许某些数据包在网络上传输,主要依据有:数据包的源地址、目的地址、协议类型(TCP、UDP、ICMP等)、TCP或UDP的源端口和目的端口、ICMP消息类型。
2.包过滤系统只能进行类似以下情况的操作:不让任何用户从外部网用Telnet登录;允许任何用户用SMTP往内部网发电子邮件;只允许某台计算机通过NNTP往内部网发新闻。但包过滤不能允许进行如下的操作:允许某个用户从外部网用Telent登录而不允许其他用户进行这种操作;允许用户传送一些文件而不允许用户传送其他文件。5.简述代理防火墙的工作原理,并阐述代理技术的优缺点。
答:1.所谓代理服务器,是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的Proxy应用程序来处理连接请求,将处理后的请求传递到真实服务器上,然后接受服务应答,并进行进一步处理后,将答复交给发出请求的客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网的作用,所以又叫代理防火墙。代理防火墙工作于应用层,且针对特定的应用层协议。2.优点:代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。缺点:代理速度较路由慢;代理对用户不透明;对于每项服务代理可能要求不同的服务器;代理服务器不能保证免受手所有协议弱点的限制;代理不能改进底层协议的安全性。
5.简述状态检测防火墙的特点。
答:状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处,克服了两者的不足,能够根据协议、端口,以及源地址、目的地址的具体情况决定数据包是否允许通过。优点:高安全性、高效性、可伸展性和易扩展性、应用范围广。不足:对大量状态信息的处理过程可能会造成网络的连接的某种迟滞。6.简述NAT技术的工作原理
答:NAT技术就是一种把内部私有IP地址翻译顾合法网络IP地址的技术。简单来说,NAT技术就是在局域网内部中使用内部地址,而当内部节点要与外部网络进行通信时,就在网关处将内部地址替换成公用地址,从而在外部公网上正常使用。
7.试描述攻击者用于发现和侦察防火墙的典型技巧。
答:攻击者往往通过发掘信息关系和最薄弱环节上的安全脆弱点来绕过防火墙,或者由拔点账号实施攻击来避免防火墙。典型技巧:
1.用获取防火墙标识进行攻击。凭借端口扫描和标识等获取技巧,攻击者能效地确定目标
网络上几乎每个防火墙的类型、版本和规则。2.穿透防火墙进行扫描。利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿
透防火墙扫描。3.利用分组过滤的脆弱点进行攻击。利用ACL规则设计不完善的防火墙,允许某些分组不 受约束的通过。
4.利用应用代理的脆弱点进行攻击。8.简述个人防火墙的特点
答:优点:增加了保护级别,不需要额外的硬件资源;个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击;个人防火墙是对公共网络中的单个系统提供了保护,能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等。
缺点:个人防火墙对公共网络只有一个物理接口,导致个人防火墙本向容易受到威胁;个人防火墙在运行时需要占用个人计算机内存、cPU时间等资源;个人防火墙只能对单机提供保护,不能保护网络系统。9.简述防火墙的发展动态和趋势。
答:防火墙的发展动态:防火墙有许多防范功能,但由于互联网的开放性,它也有力不能及的地方,主要表现以下几个方面:防火墙不能防范不经由防火墙的攻击;防火墙目前还不能防止感染病毒的软件或文件的传输,这只能在每台主机上安装反病毒软件;防火墙不能防止数据驱动式攻击;另外,防火墙还存着安装、管理、配置复杂的特点,在高流量的网络中,防火墙还容易成为网络的瓶颈。
防火墙的发展趋势:优良的性能;可扩展的结构和功能;简化的安装和管理; 主动过滤;防病毒与防黑客;发展联动技术。
第五章 入侵检测技术
1.简述入侵检测系统的基本原理
答:侵入检测是用于检测任何损害或企图损害系统的保密性,完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
2.入侵检测的系统结构和功能结构的组成
答:1.由于网络环境和系统安全策略的差异,入侵检测系统在具体实现上也有所不同。从系统构成看,入侵检测系统应包括数据提取、入侵分析、响应处理、和远程管理四大部分。2.入侵检测系统的功能结构可分为两个部分:中心检测平台和代理服务器,中心检测平台和代理服务器之间通过安全的远程过程调用。3.入侵检测的分类
2.由于功能和体系结构的复杂性,入侵检测系统模型可分为数据源、检测理论和检测时效三种。基于数据源的分类,按照数据源处所的位置可把入侵检测系统分为三类,即基于主机 基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。基于检测理论的分类,可分为异常检测和误用检测两种。基于检测时效的分类,IDS在处理数据的时候可采用实时在线检测方式(实时检测)、批处理方式(离线检测)。入侵检测分析模型
答:入侵检测分析处理可分为三个阶段:构建分析器、对实际现场数据进行分析、反馈和提炼过程。其中前两个阶段包含三个功能,即数据处理、数据分类(数据可分为入侵指标、非入侵指示或不确定)和后处理。4.简述误用检测的技术实现
答:误用检测是按照预定模式搜寻事件数据的,最适用于对已知模式的可靠检测。执行误用检测,主要依赖可靠的用户活动记录和分析事件的方法。分为条件概率预测法、产生式/专家系统、状态转换方法(状态转换分析、有色Petri-Net、语言/基于API方法)、用于批模式分析的信息检索技术、KeyStroke Monitor和基于模型的方法。5.简述异常检测的技术实现
异常检测基于一个假定:用户的行为是可预测的、遵循一致性模式的,且随着用户事件的增加,异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量集来描述的。为Denning的原始模型、量化分析、统计度量、非参数统计度量和基于规则的方法。6.指出分布式入侵检测的优势和劣势
答:分布式入侵检测由于采用了非集中的系统结构和处理方式,相对于传统的单机IDS具有一些明显的优势:检测大范围的攻击行为、提高检测的准确度、提高检测效率、协调响应措施;分布式入侵检测的技术难点:事件产生及存储、状态空间管理及规则复杂度、知识库管理和推理技术。7.入侵检测系统的标准
答:1.IETF/IDWG.IDWG定义了用于入侵检测与响应(IDR)系统之间或与需要交互管理系统之间的信息共享所需要的数据格式和交换规程。IDWG提出了三项建议草案:入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)及隧道轮廓 2.CIDF.CIDF的工作集中体现在四个方面:IDS体系结构、通信机制、描述语言和应用编程接口API。8.CIDF的体系结构组成
答:分为四个基本组件:事件产生器、事件分析器、响应单元和事件数据库。事件产生器、事件分析器、响应单元通常以应用程序的形式出现,而事件数据库是文件或数据流的形式。
第六章 网络安全检测技术 1.安全威胁的概念和分类?
答:安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可分为人为安全威胁和非人为安全威胁两大类。安全威胁和安全漏洞密切相关,安全漏洞的可度量性使人们对系统安全的潜在影响有了更加直观的认识。2.什么是安全漏洞,安全漏洞产生的内在原因是什么?
答:1.漏洞是指在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。2.漏洞的产生有其必然性,这是因为软件的正确性通常是通过检测来保障的。检测只能发现错误,证明错误的存在,不能证明错误的不存在。尤其是像操作系统这样的大型软件不可避免地存在着设计上的缺陷,这些缺陷反映在安全功能上便造成了系统的安全脆弱性。3.网络安全漏洞的分类有哪些?
答:1.按漏洞可能对系统造成的直接威胁分类,有:远程管理员权限、本地管理员权限、普通用户访问权限、权限提升、读取受限文件、远程拒绝服务、本地拒绝服务、远程非授权文件存取、口令恢复、欺骗、服务器信息泄露和其他漏洞。2.按漏洞成因分类:输入验证错误、访问验证错误、竞争条件、意外情况处置错误、设计错误、配置错误、环境错误。
4.网络安全漏洞检测技术分哪几类?具体作用是什么?
答:网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务;通过操作系统探测可以掌握操作系统的类型信息;通过安全漏洞探测可以发现系统中可能存在的安全漏洞。网络安全漏洞检测的一个重要目的就是要在入侵者之前发现系统中存在的安全问题,及时地采取相应防护措施。
5.端口扫描技术的原理是什么?根据通信协议的不同可以分为哪几类?
答:端口扫描的原理是向目标主机的TCP/IP端口发现探测数据包,并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同,网络通信端口可以分为TCP端口(全连接、半连接)和UDP端口两大类。
6.操作系统探测技术分为几类?
答:操作系统探测主要包括:获取标识信息探测技术、基于TCP/IP协议栈的操作系统指纹探测技术和ICMP响应分析探测技术。
7.安全漏洞探测技术有哪些分类?
答:安全漏洞探测是采用各种方法对目标可能存在的己知安全漏洞进行逐项检查。按照安全漏洞的可利用方式来划分,漏洞探测技术可以分为信息型漏洞探测和攻击漏洞探测两种。按照漏洞探测的技术特征,又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。
第七章 计算机病毒与恶意代码防范技术 1.简述计算机病毒的定义和特征。
答:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制一组计算机指令或者程序代码。计算机病毒具有以下特征:非授权可执行性、隐蔽性、传染性、潜伏性、破坏性和可触发性。
2.简述计算机病毒的危害。
答:计算机病毒的危害主要有:直接破坏计算机数据信息;占用磁盘空间和对信息的破坏;
抢占系统资源;影响计算机运行速度;计算机病毒错误与不可见的危害;计算机病毒的兼容性对系统运行的影响;给用户造成严重的心理压力。3.简述计算机病毒的分类。
答:按照计病毒攻击的系统分类,有攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒。按照病毒的链接分类,有源码型病毒、嵌入型病毒、外壳病毒和操作系统病毒。按照病毒的破坏情况分类,有良性计算机病毒、恶性计算机病毒。按照病毒的寄生方式分类,有引导型病毒、文件型病毒和复合型病毒。按照病毒的传播媒介分类,有单机病毒和网络病毒。
4.试述计算机病毒的-般构成、各个功能模块的作用和作用机制。
答:计算机病毒一般包括三大功能模块,即引导模块、传染模块和发作模块(破坏/表现模块)。
1.引导模块,计算机病毒要对系统进行破坏,争夺系统控制权是至关重要的,一般的病毒都是由引导模块从系统获取控制权,引导病毒的其他部分工作。中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程对外部事件发出中断请求及时进行处理,处理完后立即返回断点,继续CPU原来的工作。
2.传染模块,计算机的传染是病毒由一个系统扩散到另一个系统,由一张磁盘传入另一张磁盘,由一个网络传播到另一个网络的过程。计算机病毒是不能独立存在的,它必须寄生于一个特定的寄生宿主上。
3.发作模块,计算机病毒潜伏在系统中处于发作就绪状态,一旦病毒发作就执行病毒设计者的目的的操作。破坏机制在设计原理、工作原理与传染机制基本相同。5.目前计算机病毒预防采用的技术有哪些?
答:严格的管理、有效的技术、宏病毒的防范、电子邮件病毒的防范。5.对于计算机的病毒有哪些检测技术?
答:特征代码法、检验和法、行为监测法和软件模拟法。6.简述计算机病毒的发展趋势。
答:利用微软件漏洞主动传播;局域网内快速传播、以多种方式传播、双程序结构、用即时工具传播病毒。7.什么是恶意代码?防范恶意代码有哪些?
答:恶意代码是一种程序,通常在人们没有察觉有情况下把代码寄宿到另一段程序中,从而达到破坏被感染计算机的数据,运行具有入侵性或破坏性的程序,破坏被感染系统数据的安全性和完整性的目的。防范恶意代码可以分为普通病毒、木马、网络蠕虫、移动代码和复合型病毒等类型。8.简述恶意代码所使用的关键技术。
答:恶意代码的主要关键技术有生存技术、攻击技术和隐藏技术。生存技术主要包括4个方面:反跟踪技术、加密技术、模糊变换技术和自动生产技术。攻击技术包括:进程注入技术、端口复用技术、对抗检测技术、端口反向连接和缓冲区溢出攻击技术等。隐藏技术通常包括本地隐藏和通信隐藏,本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏和内核模块隐藏等;通信隐藏主要包括通信内容隐藏和传输通道隐藏。9.CIH病毒一般破坏哪些部位?它发作时有哪些现象?
答:CIH病毒一般破坏硬盘数据甚至主板上的BIOS的内容,导致主机无法启动。发作现象:显示器突然黑屏,硬盘指标灯闪烁为停,重新开机后,计算机无法启动
第二篇:计算机网络安全B答案[范文]
计算机网络安全试卷B答案
一、单选题(共20分,每题1分)
1-5 DBACC6-10 DBDAA11-15 AABDA16-20 AABDD
二、填空题(共20分,每题1分)
1、响应、恢复2、1003、物理隔离网闸
4、多人负责原则
5、防火墙
6、代理服务器
7、最小特权原则
8、消息加密
9、逻辑备份
10、硬件备份 软件备份
11、潜伏 繁殖
12、实时监视技术 自动解压缩技术
13、中心管理
14、节点加密 端对端加密
15、分解
三、名词解释(共10分,每题2分)
1.实体安全技术——指对计算机及网络系统的环境、场地、设备和人员等采取的安全技术措施。
2.公共管理信息协议——是在OSI制定的网络管理框架中提出的网络管理协议。它是一个分布式的网络管理解决方案,应用在OSI环境下。
3.双宿主机网关——是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序、提供服务等。
4.自主访问控制模型——是根据自动访问控制策略建立的一种模型,它是基于对主体和主体所属的主体组的识别来限制对客体的访问,也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。
5.NAS存储技术——是一种将分布、独立的数据整合为大型、集中化管理的数据中心,以便于对不同主机和应用服务器进行访问的技术。
四、判断题(共10分,每题1分)
1-5 √×××× 6-10 ××√√×
五、简答题(共20分,每题5分)
1.简述《可信计算机系统评估标准》的内容
答:将计算机系统的可信程度,即安全等级划分为D、C、B、A四类7级,由低到高。上级包括它下级的所有特性,从最简单的系统安全特性直到最高级的计算机安全模型技术,不同计算机信息系统可以根据需要和可能选用不同安全保密强度的不同标准
2.简述RAID的相关技术
答:①磁盘镜像技术 ②奇偶校验技术 ③条块技术 ④双机集群的磁盘阵列技术
3.简述入侵检测过程
答:入侵信息的收集;信号分析;响应
4.简述构筑防病毒体系的基本原则
答:①化被动为主动 ②全方位保护 ③技术管理双保险 ④循序渐进部署合适的防病毒体系
六、计算分析题(共20分,每题10分)
1、(e,n)=(3,55)
(d,n)=(27,55)
2、1)
L0= ******11 R0= ******11 2)
C0= 1110110
D0= 1011010
3)S2输出1001
01001100010110 0100011 0010001 0111011 1100110
第三篇:大学计算机基础课后题答案word2
电子政务
所 谓电子政务,是指政府机构在其管理和服务职能中
运用现代信息手段,实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,建成一个精简、高效、廉洁、公平的政府运作模式。
电子政务有以下四个突出特点:
☆
☆
☆ ☆
作者 日期
第四篇:计算机网络安全
黄冈职业技术学院
电子信息学院
课程期末项目考核任务书
课程名称:网络设备配置与管理学生姓名:张赢学生学号:200902081125专业名称:计算机网络技术
2011-2012学年第一学期
电子信息学院教务办室制
摘要...............2 前言...............2
第1章计算机通信网络安全概述...........2
第2章影响计算机通信网络安全的因素分析.....2
2.1影响计算机通信网络安全的客观因素...........2
2.1.1网络资源的共享性............2
2.1.2网络操作系统的漏洞..........2
2.1.3网络系统设计的缺陷..........3
2.1.4网络的开放性................3
2.1.5恶意攻击.............3
2.2影响计算机网络通信安全的主观因素...........3
第3章计算机网络的安全策略..............3
3.1物理安全策略.............3
3.2常用的网络安全技术.............3
3.2.1 网络加密技术................4
3.2.2 防火墙技术...........4
3.2.3 操作系统安全内核技术...............4
3.2.4 身份验证技术身份验证技术...........5
3.2.5 网络防病毒技术..............5
总结...............5 参考文献.................5摘要:随着计算机信息技术的迅猛发展,计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。因此,认清网络的脆弱性和潜在威胁的严重性,采取强有力安全策略势在必行。计算机网络安全工作是一项长期而艰巨的任务,它应该贯彻于整个信息网络的筹划、组成、测试的全过程。本文结合实际情况,分析网络安全问题并提出相应对策。
前言:随着计算机技术的迅速发展,在计算机上完成的工作已由基于单机的文件处理、自动化办公,发展到今天的企业内部网、企业外部网和国际互联网的世界范围内的信息共享和业务处理,也就是我们常说的局域网、城域网和广域网。计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。
第1章计算机通信网络安全概述
所谓计算机通信网络安全,是指根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。
第2章影响计算机通信网络安全的因素分析
计算机通信网络的安全涉及到多种学科,包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种,这些技术各司其职,保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露,保证系统连续可靠正常运行。
2.1影响计算机通信网络安全的客观因素
2.1.1网络资源的共享性
计算机网络最主要的一个功能就是“资源共享”。无论你是在天涯海角,还是远在天边,只要有网络,就能找到你所需要的信息。所以,资源共享的确为我们提供了很大的便利,但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。
2.1.2网络操作系统的漏洞
操作系统漏洞是指计算机操作系统本身所存在的问题或技术缺陷。由于网络协议实现的复杂性,决定了操作系统必然存在各种的缺陷和漏洞。
2.1.3网络系统设计的缺陷
网络设计是指拓扑结构的设计和各种网络设备的选择等。
2.1.4网络的开放性
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的信息。
2.1.5恶意攻击
恶意攻击就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也越来越多,影响越来越大。无论是DOS 攻击还是DDOS 攻击,简单的看,都只是一种破坏网络服务的黑客方式,虽然具体的实现方式千变万化,但都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。具体表现方式有以下几种:(1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。(2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。(3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误而分配大量系统资源,使主机处于挂起状态甚至死机。
DOS 攻击几乎是从互联网络的诞生以来,就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是,要找DOS 的工具一点不难,黑客网络社区都有共享黑客软件的传统,并会在一起交流攻击的心得经验,你可以很轻松的从Internet 上获得这些工具。所以任何一个上网者都可能构成网络安全的潜在威胁。DOS 攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说,D0S 攻击永远不会消失而且从技术上目前没有根本的解决办法。
2.2影响计算机网络通信安全的主观因素
主要是计算机系统网络管理人员缺乏安全观念和必备技术,如安全意识、防范意思等。
第3章计算机网络的安全策略
3.1物理安全策略
物理安全策略目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全策略还包括加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络安全管理策略包括:确定安全管理等
级和安全管理范围。
3.2常用的网络安全技术
3.2.1 网络加密技术
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。
如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES 或者IDEA 来加密信息,而采用RSA 来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特。
3.2.2 防火墙技术
防火墙技术是设置在被保护网络和外界之间的一道屏障,是通过计算机硬件和软件的组合来建立起一个安全网关,从而保护内部网络免受非法用户的入侵,它可以通过鉴别、限制,更改跨越防火墙的数据流,来保证通信网络的安全对今后计算机通信网络的发展尤为重要。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和状态监测型。
3.2.3 操作系统安全内核技术
操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。美国国防部技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A 级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2 级,其特征包括:①用户必须通过用户注册名和口令让系统识别;②系统可以根据用户注册名决定用户访问资源的权限;③系统可以对系统中发生的每一件事进行审核和记录;④可以创建其他具有系统管理权限的用户。
3.2.4 身份验证技术身份验证技术
身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
3.2.5 网络防病毒技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH 病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员的能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。
总结
随着信息技术的飞速发展,影响通信网络安全的各种因素也会不断强化,因此计算机网络的安全问题也越来越受到人们的重视,以上我们简要的分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献
【1】 陶阳.计算机与网络安全 重庆:重庆大学出版社,2005.【2】 田园.网络安全教程 北京:人民邮电出版社,2009.【3】 冯登国.《计算机通信网络安全》,清华大学出版社,2001
【4】 陈斌.《计算机网络安全与防御》,信息技术与网络服务,2006(4):35-37.【5】 William Stallings.网络安全基础教程:应用与标准(英文影印版),清华大学出版社,2006(7)
【6】 赵树升等.《信息安全原理与实现》,清华大学出版社,2004(9)
第五篇:浅论计算机网络安全
浅论计算机网络安全
方倩
(北京科技职业学院 新闻传播学院,北京 延庆 102100)
摘要计算机网络为人们带来了极大的便利,同时也在经受着垃圾邮件、病毒和黑客的冲击,因此计算机网络安全技术变得越来越重要。而建立和实施严密的网络安全策略和健全安全制度是真正实现网络安全的基础。
关键词网络安全;防火墙;加密
1引言
在信息化社会的今天,计算机网络在政治、军事、金触、电信、科教等方面的作用日益增强。社会对计算机网络的依赖也日益增大。特别是Internet的出现,使得计算机网络的资源共享进一步加强。随着网络上各种新兴业务的兴起,如电子商务、网络银行(Network Bank),使得网络安全技术的研究成了计算机与通信界的一个热点,并且成了信息科学的一个重要研究领域,日益受到人们的关注。
Internet一方面给人们带来了经济上的实惠、通信上的便捷,但另一方面黑客和病毒的侵扰又把人们置于进退两难的境地。据FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起 Internet计算机侵入事件。
2003年夏天,IT人士在此期间受到了“冲击波”和“霸王虫”蠕虫的双面夹击。“冲击波”(又称“Lovsan”或“MSBlast”)首先发起攻击。病毒最早于当年8月11日被检测出来并迅速传播,两天之内就达到了攻击顶峰。病毒通过网络连接和网络流量传播,利用了Windows 2000/XP的一个弱点进行攻击,被激活以后,它会向计算机用户展示一个恶意对话框,提示系统将关闭。在病毒的可执行文件MSBLAST.EXE代码中隐藏着这些信息:“桑(San),我只想说爱你!”以及“比尔·盖茨(Bill Gates)你为什么让这种事情发生?别再敛财了,修补你的软件吧!”。损失估计为20亿~100亿美元,受到感染的计算机不计其数。“冲击波”一走,“霸王虫”蠕虫便接踵而至,对企业和家庭计算机用户而言,2003年8月可谓悲惨的一月。最具破坏力的变种是Sobig.F,它 8月19日开始迅速传播,在最初的24小时之内,自身复制了100万次,创下了历史纪录(后来被Mydoom病毒打破)。病毒伪装在文件名看似无害的邮件附件之中。被激活之后,这个蠕虫便向用户的本地文件类型中发现的电子邮件地址传播自身。最终结果是造成互联网流量激增。损失估计为50亿~100亿美元,超过100万台计算机被感染.。
我国的信息化刚刚起步,但发展迅速,网络已渗透到国民经济的各个领域。在短短的几年时间里,也发生了多起利用网络进行犯罪的事件,给国家、企业和个人造成了重大的经济损失和危害。特别是金融部门的犯罪,更是令人触目惊心。近两年来,“网游大盗”、“熊猫烧香”、“德芙”、“QQ木马”、“灰鸽子”等木马病毒日益猖獗,以盗取用户密码账号、个人隐私、商业秘密、网络财产为目的。调查显示,趋利性成为计算机病毒发展的新趋势。网上制作、贩卖病毒、木马的活动日益猖獗,利用病毒、木马技术进行网络盗窃、诈骗的网络犯罪活动呈快速上升趋势,网上治安形势非常严峻。
面对如此严重的种种威胁,必须采取有力的措施来保证计算机网络的安全,但现在的大多数计算机网络在建设之初都忽略了安全问题,即使考虑了安全,也只是把安全机制建立在物理安全机制上。2计算机网络安全的含义
从本质上讲,网络安全就是网络上的信息的安全。计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄漏,系统能连续可靠地正常运行,网络服务不被中断。
从广义上看,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控制性的相关技术理论,都是网络安全研究的领域。
从用户角度来说,他们希望涉及个人隐私或商业机密的信息在网络上受到机密性、完整性和真实性的保护,同时希望保存在计算机系统上的信息不受用户的非授权访问和破坏。
从网络运行和管理角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝访问等威胁,制止和防御网络黑客的攻击。
从社会教育的角度来说,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。网络安全的特征
3.1保密性
保密性是指信息不泄漏给非授权用户、实体或过程,或供其利用的特性。3.2完整性
完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改,不被破坏和丢失的特性。
3.3可控性
可控性是指对信息的传播及内容具有控制能力。3.4可用性
可用性是指可被授权实体访问并按需求使用的特性。网络环境下拒绝服务,破坏网络和有关系统的常运行等都属于对可用性的攻击。
4网络安全面临的威胁
从技术角度上看,Internet的不安全因素,一方面是由于它是面向用户的,所有资源通过网络共享,另一方面是它的技术是开放和标准的。因特网是基于TCP/IP协议的,TCP/IP协议在当初设计和后来应用时并未考虑到安全因素,也未曾预料后来应用的爆发增长。这就好像在一间封闭的房间内打开紧闭的玻璃窗,新鲜空气进来发,但大量的灰尘、苍蝇和蚊子等害虫也跟着进来。网络世界也一样,开放的、免费的信息带来了沟通的便利。但垃圾邮件、网络病毒以及黑客等使网络经受着前所未有的冲击。计算机网络面临的威胁大体上分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络安全的因素很多,有些是有意的,有些是无意的;可能是人为的,可能是非人为的,也可能是外来黑客对网络系统资源的非法使用,归结起来,针对网络安全的威胁主要有以下四点[1]。
4.1人为的无意失
误
操作员使用不当,安全配置不规范造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
4.2人为的恶意攻击
此类攻击又分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性、完整性和真实性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,它不会导致系统中信息的任何改动,而且系统的操作和状态也不会被改变,因此这类攻击主要威胁信息的保密性。
4.3网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,例如TCP/IP协议的安全问题,然而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,大部分就是因为软件本身的脆弱性和安全措施不完善所招致的苦果。另外,软件的“后门”是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”打开,其造成的后果将不堪设想。
4.4人自身的因素
人自身的因素主要是指非授权访问、信息漏洞或丢失、破坏完整性。非授权访问是指预先没有经过同意就使用网络或计算机资源。信息丢失包括在传输中丢失或在传输介质中丢失两种,例如黑客常使用窃收方式,利用可能的非法手段窃取系统中的信息资源和敏感信息。
5网络安全的安全策略
5.1 物理安全策略
保证计算机信息系统中各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:①环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;②设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;③媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等方面要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上安装一定的防护措施,来减少或干扰扩散出去的空间信号,这成为政府、军事、金融机构在建设信息中心时首要考虑的问题。[2]
5.2访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问,它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须配合才能真正起到保护作用。访问控制可以说是保证网络安全最重要的核心策略之一。
5.2.1入网访问控制
入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站上入网。用户的入网访问控制分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。用户名或用户账号是所有计算机中最基本的安全形式。实际上,这种“用户 ID+密码”的方法来进行用户的身份认证和访问控制的方案隐含着一些问题。例如,密码容易被忘记,如果用户忘记了他的密码,就不能进入系统。另外,密码被别人盗取则更是一件可怕的事情,因为用心不良的人可能会进一步窃取公司机密数据、可能会盗用别人的名义做不正当的事情,甚至从银行、ATM 终端上提取别人的巨额存款。随着科技的进步,生物识别(Biometric)技术已经开始走入了我们的日常生活之中。目前在世界上许多公司和研究机构都在生物识别技术的研究中取得一些突破性技术,从而推出了许多新产品。目前比较流行的是虹膜识别技术和指纹识别技术。指纹识别作为识别技术已经有很长的历史了,它通过分析指纹的全局特征和指纹的局部特征,并从中抽取非常详尽的特征值来确认一个人的身份。平均每个指纹都有几个独一无二可测量的特征点,每个特征点都有大约七个特征,我们的十个手指产生最少4900个独立可测量的特征,这足够来确认指纹识别是否是一个更加可靠的鉴别方式。另外,扫描指纹的速度很快,使用非常方便;读取指纹时,用户必须将手指与指纹采集头相互接触,与指纹采集头直接接触是读取人体生物特征最可靠的方法;指纹采集头可以更加小型化,并且价格会更加的低廉。这都是指纹识别技术能够占领大部分市场的主要原因。
5.2.2网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源。[3]可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:①特殊用户(即系统管理员);②一般用户,系统管理员根据他们的实际需要为他们分配操作权限;⑧审计用户。负责网络的安全控制与资源使用情况的审计。用户网络资源的访问权限可以用一个访问控制表来描述。
5.2.3 属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性,用户对网络资源的访问权限对应一张访问控制表,用以表明用户对资源的访问能力。属性设置可以覆盖已经指定的任何有效权限。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改和显示等。
5.2.4网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字、声音、短消息等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
5.2.5防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施。它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向的门槛,它用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据窃取。从实现上看,防火墙实际上是一个独立的进程或一组紧密联系的进程,运行于路由器或服务器上,控制经过它们的网络应用服务及传输的数据。目前较流行的一种防火墙是代理防火墙,又称为应用层网关级防火墙,它由代理服务器和过滤路由器组成,它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围来决定是否接受此项服务,若接受,它就向内部网络转发这项请求。
5.3信息加密策略
在各类网络安全技术中,加密技术是基础。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。信息加密是保证信息机密性的惟一方法。加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,将机密信息变成难以读懂的乱码型文字。据不完全统计,目前已经公开发表的各种加密算法多达数百种。如果以密钥为标准,可以将这些算法分为单钥密码(又称对称密钥或私钥密码)和双钥密码(又称非对称密码或公钥密码)。单钥密码的特点是无论加密还是解密都使用同一种密钥,因此,此密码体制的安全性就是密钥的安全。若密钥泄漏,则此密码系统就被攻破。最有影响的单钥密码是 1997年美国国家标准局颁布的DES算法,最近颁布的AES算法作为 DES算法的替代,正在逐渐被人们接受。单钥密码的优点是安全性高,加解码速度快。它的缺点是:密钥的管理困难;无法解决消息确认问题;缺乏自动检测密钥泄漏的能力。在双钥体制下,加密密钥与解密密钥不同,此时不需要安全信道来传送密钥,而只需利用本地密钥发生器产生解密密钥,并以此来控制解密操作。双钥密码是1796年W.Diffie和M.E.Hellman提出来的一种新型密码体制。由于双钥密码体制的加密和解密不同,且能公开加密密钥,而仅需保密解密密钥,所以不存在密钥管理问题。双钥密码还有一个优点就是可以拥有数字签名等新功能。最有名的双钥密码是1977年由 Rivest、Shamir和 Adleman提出来的RSA密码体制。双钥密码的缺点是算法比较复杂,加解密速度慢。在实际使用过程中,加密通常是采用单钥和双钥密码相结合的混合加密体制,即加/解密时采用单钥密码,传送密钥时采用双钥密码。这样既解决了密钥管理的困难,又解决了加/解密速度慢的问题。这无疑是目前解决网络上传输信息安全问题的一种较好的解决办法。
5.4网络安全管理策略
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题,所以应引起各计算机网络应用部门领导的重视。
5.4.1安全管理的基本内容
网络安全管理的根本目标是保证网络和系统的可用性。网络的安全管理涉及网络安全规划、网络安全管理机构、网络安全管理系统和网络安全教育等。它的具体内容包括:标识要保护的对象;确定保护的手段;找出可能的威胁;实现具体的安全措施;要求有较好的性价比;了解网络的安全状态,根据情况变化重新评估并改进安全措施。[4]其中,安全管理原则包括:
5.4.2多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动:①访问控制使用权限的发放与回收;②信息处理系统使用的媒介发放与回收;③处理保密信息;④硬件和软件的维护;⑤系统软件的设计、实现和修改;⑥重要程序和数据的删除和销毁等。
5.4.3 任期有限原则
一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
5.4.4职责分离原则
在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑。下面每组内的两项信息处理工作应当分开。
①计算机操作与计算机编程;②机密资料的接收和传送;③安全管理和系统管理;④应用程序和系统程序的编制;⑤访问证件的管理与其它工作;⑥计算机操作与信息处理系统使用媒介的保管等。
5.4.5安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是①根据工作的重要程度,确定该系统的安全等级;②根据确定的安全等级,确定安全管理的范围;③制订相应的机房出入管理制度;④制订严格的操作规程;⑤制订完备的系统维护制度;⑥制订应急措施。
5.5操作系统安全[5]
操作系统安全是系统安全的基础,要建立一个安全的信息系统,不仅要考虑具体的安全产品,包防火墙、安全路由器、安全网关、IP隧道、虚拟网、侵检测、漏洞扫描、安全测试和监控产品,来被动封堵安全漏洞,而且还要特别注意操作系统平台的安全问题。操作系统作为计算机系统的基础软件用来管理计算机资源的,它直接利用计算机硬件为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件基础,任何想像中的、脱离操作系统的应用软件的高安全性就如同幻想在沙滩上建立坚不可摧的堡垒一样,无根基可言。不难想象,在网络环境中,网络系统安全性依赖于网络中各主机系统的安全性,而主系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无基础可言。所以,操作系统安全是计算机网络系统安全的基础。
6结束语
网络安全技术是伴随着网络的诞生而出现的。但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统的安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术级别从不同层次加强了计算机网络的整体安全性。互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。未来网络安全技术将会涉及计算机网络的各个层次中,随着网络在商业方面的应用日益广泛,围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。
参考文献
[1]楚狂等.网络安全与防火墙技术.人民邮出电版社,2000,(4)
[2]黄允聪等.网络安全基础.清华大学出版社,2000,(9)
[3]聂元铭等.网络信息安全技术.科学出版社2001,(7)
[4]黄俭等.计算机网络安全技术.东南大学出版社,2001,(8)
[5]蔡立军.计算机网络安全技术.中国水利水电出版社,2005
收稿日期:7月5日修改日期:7月12日
作者简介:方倩(1982-),女,本科,研究方向:计算机网络。2005年8月至今在北京科技职业学院任计算机专业教师。