第一篇:个人计算机信息安全概论
个人计算机信息安全概论
一、重要性的认识
随着现代化科技的发展,个人计算机已经走进全家万户,越来越多的人们喜欢在个人计算机上进行工作、娱乐、休闲、购物,商家们也抓紧商机,纷纷在个人计算机上推出各种方便的应用,比较知名的有淘宝、京东等等,同时各类聊天交流软件如雨后春笋般冒芽,从最初的QICQ雄霸天下,到现在的百度贴吧、新浪微博、人人网诸多巨头百家争鸣,真是应了一句话“生活如此多娇”,相比很少有人当初会设想到现在如此方便的个人计算机生活,当然想到人已经都是各大门户网站和游戏软件网站的CEO。但同时,带来方便生活的同时也带来一个最最重要的问题,那就是“安全”。众所周知,安全性向来都是各个活动的必须基础保障,这个安全性分为很多,例如人身安全、财产安全、个人信息安全诸如类似,今天我们主要讨论的是信息安全。
信息安全,例如个人真实信息、财产账户密码等等都是非常重要的,如果不经意间泄露出去,会造成诸多不便和带来巨大的损失,相信各位经常在生活中接到一些短信吧“考研请联系xxxxxx”、“四级考试包过xxxxxx”、“会计考试资料”,甚至你刚报名某项考试,你就会收到一条信息关于此考试的比过内容。财产安全问题更是值得关注,在网络购物时,木马网站,钓鱼网站诸多网络陷阱让你防不胜防,造成的损失让人后悔莫及。由此看来个人计算机信息安全概论是及其重要的。
二、目标
研究信息安全概论的最终目标就是保护自身的信息不被泄露出去,信息泄露的方式多种多样,各种个人信息的填写都让人感觉身边处处都是陷阱,但是经过此次的探讨,我们希望在以后的日常生活工作中,使用个人计算机时,能预防个人信息的泄露,注意到自己的个人信息安全,在可能的前提下,尽量减少自己的个人信息泄露以及在泄露的情况下,如何避免较大的损失。
三、威胁来源
计算机网络世界丰富多样,一般来说信息的丢失只有在与外界联系的情况下才能实现,一般来说,威胁与可能的来源主要分为以下二块:
A.个人计算机文档信息安全威胁
许多人喜欢将自己的银行卡密码、账号密码、私人信息存档在个人计算上,一般来说问题是不大的,但是在一些情况下,就会造成个人信息的丢失,例如:电脑维修,个人信息被恶意拷贝;别人使用电脑,将你的个人信息记录;黑客入侵,控制电脑窃取信息„„
B.网络上个人信息安全威胁
这是个人信息泄露最主要的一块部分,注册账号、申请,几乎每个和账号有关的就必须要求你填写详细的个人信息,大致分为以下几块
①门户网站、游戏账号的注册,为了能使用某些程序或使用某些权利,必须要注册账号,同时为了账号的安全性,必须填写你的个人信息,这是一个环环相扣的联系,但是在一些情况下,例如门户网站的被黑,就极有可能导致你的个人信息安全泄露,同时又可以根据你的个人信息,直接窃取账号,盗取里面有价值的货物。一些黑客还会利用木马,记录你的键盘信息,发送至指定地点,从而达到盗取个人信息的方式
②网络报名类,这块相比上面部分,主要是个人信息的详细程度不同,大家比较耳熟能详的例如相亲网,一般人都会想,我得有诚意不是?于是一五一十的把自己所有的个人真实信息都填写在了报名栏,并在网上公开,一些有心人看到,加以记录,说不定哪天就收到了垃圾信息或者骚扰信息什么的。
另外同学们往往会参加一些等级考试的网络报名,根据个人亲身经历,报名会计类考试,个人信息几乎就一定会被泄露,从你报名考试的第一天起,各种伴您考试成功,考试必过内部资料就会蜂拥而至,说来也巧,当你考过后,这些信息又会销声匿迹,深藏功与名。很难不让人不想象负责考试报名的网站背后在做着什么交易。
③不经意间的泄露。很多同学喜欢在网上找寻资料,可能在某些时候看到楼主或者版主在发资源,但是是留邮箱,很多人想当然的就把自己常用的QQ邮箱写上去了,随后可能收到的并不是你需要的资料,而是一个“炸弹”,直接将你的个人信息暴露无遗。
④网络欺骗。这类相对来说还是经常遇到的,但是是最容易发现的。例如很多某某聊天室,注册就送,等你注册完后,进去了发现只是一个空壳或者说根本
不像他所说的那样有优质的服务,其实人家做的生意是卖客服信息,利用包装精美的外壳,吸引人们前来注册,填写个人信息(主要是手机号码),然后有的放矢,各种诱人的广告和诈骗信息一个接一个。
四、防范手段
根据以上的主要集中威胁防范手段主要为以下几点
1.平日里的个人信息文档应及时处理,在把自己的个人计算机借给他人时,应及时备份或者加密处理,不要在有多人使用的电脑上留下自己的个人文档信息。电脑应安装杀毒软件,及时查杀病毒,并留意有无异常文件并确认与删除。
2.在注册账号时,要去验证该公司是否诚实可信,之前有无信息泄露安全性问题,确认后方可填写自己的真实信息,同时填写个人信息的时候,要注意不可过分详细,例如工作地点可填写杭州,而不必填写具体的地址。
3.在某些需要详细填写个人信息的网站时,需要求客服对个人信息的保密,一般情况下,不建议在网上详细填写详细的个人信息,能避免则尽量避免,例如相亲网站,看真人相亲绝对比照片和修饰过的简历真实吧?
4.在报考各类等级考试时候,难免收到垃圾信息,但是为了考试个人信息核对,必须填写清楚,同时目的性也很明确,很难避免不收到骚扰,对此,建议在手机上安装来电信息屏蔽,眼不见为净。
5.在网上留下邮箱的时候,现在有个软件是可以直接指定关键词搜索12345@XX.com的,本人有一个小方法,就是可以用汉字代替 例如扣扣一二三四五,而不是QQ12345,这样不会被一些搜寻软件检索到。
6.个人密码,密码作为安全的第一道门,是一个很重要的因素,现在很多大的公司都有手机密保验证来确保安全,但是有些人嫌麻烦,都会不用,更有甚者,密码是简单的12345或者是生日这种容易让人猜到的组合,建议使用复杂的有字母大小写的,并且定期更换密码确保安全,有手机密保的话推荐使用,确保安全,避免个人信息安全泄露。
五.总结
在老师的教导下,对于个人电脑信息安全概念有了新的理解,同时也学到了许多新的知识,这些知识在平常生活应用中也有着极大的帮助,作为一个21世纪的人,使用电脑是必备的技能,但是使用中出现的各种问题,尤其是信息的泄
露是需要引起人们关注的,最后的论文总结也让我有一个机会,能系统的复习本学期学到的,并从中得出具体的方法来保护我的个人信息。感谢老师,感谢这门课给我的学习机会!
第二篇:个人计算机安全管理制度
三一重工股份有限公司 管理制度 ZG-QGZ/IT010 ZG-QGZ/IT010-2006 编制人 审核人 批准人 范秋华 吴云峰 唐修国
个人计算机安全管理制度
修订号 标 记 红色字体 V 2 实施日期 2007 年 7 更 改 处 数 更 改 依 据 45 MSS 评审会议要求 1 按 MSS 制度要求 修改格式 月1日 记 录 更 改 人 更 改 日 期 范秋华 何奕珏 2007 年 4 月 20 日 范 宇 2007 年 6 月 29 日
1 目的 加强个人计算机安全管理,保障三一集团的网络平台、应用系统正常运行及公司数据的安全。2 范围 本制度适用于三一集团所有计算机用户。3 职责 3.1 硬件工程师: 负责对所辖区域各部门个人计算机安 全配置进行纠正、指导。
作无关文件,严禁利用公司资源干私活,违者扣 10 分。4.3.2 严禁未经批准使用 QQ、MSN 等即时通讯工具,违 者扣 20 分。4.3.3 严禁利用任何手段获取他人密码、控制他人计算 机,严禁进行黑客攻击、监听数据、窃取密码、嗅探网 络拓扑等非法操作,违者扣 20 分。4.3.4 严禁编写、搜集、传播病毒木马与黑客软件,违 者扣 50 分。4.3.5 接入内部网的计算机,严禁通过拨号等方式私自 连接 internet,违者扣 30 分。4.3.6 严禁在网吧等不安全场所使用 VPN,违者处罚 20
分。4.4 密码安全管理 4.4 密码安全管理 4.4.1 员工在得到 SANY 域的域帐号密码(即邮箱密码)、OA 帐号密码后应立刻进行修改,密码由 8 位以上数字、字母组成,违者扣 5 分。4.4.2 域帐号密码和 OA 密码必须每两个月修改一次,违者扣 5 分。4.4.3 严禁共享 OA、域等帐号密码,违者扣 10 分。管理要求 4 管理要求 4.4.4 域、OA 帐号密码丢失,须携带本人工卡到系统 4.1 物理安全管理 管理员处进行密码初始化。驻外员工密码丢失,须部门 4.1.1 严禁私自移动、安装、拆除个人电脑硬件设备,主管邮件确认,违者不予受理。违者扣 10 分。4.5 邮箱安全管理 4.1.2 严禁私自打开胶封的外设通讯口,违者扣 10 分。4.5.1 使用公司电子邮箱必须定期将邮件收至本地计 系统安全管理 4.2 系统安全管理 算机,违者扣 10 分。4.2.1 不得私自重装系统,违者扣 10 分。4.5.2 严禁群发工作无关邮件,严禁利用邮件作为聊天 4.2.2 个人计算机命名规则为“部门缩写名_网络帐号 工具,违者扣 10 分。名”,如 ITBB_chencg,违者扣 5 分。4.5.3 严禁往自己的邮箱发送邮件,违者扣 10 分。4.2.3 个人计算机必须安装并及时升级公司标准防病 4.5.4 内部发送密级资料需加密,密钥或口令不得随邮 毒软件违者扣 5 分。件发送,违者扣 10 分。4.2.4 严禁删除 BACKUP 文件夹下的 Ghost 镜像文件和 4.5.5 未经审批,严禁向外发送公司密级资料,违者扣
相关驱动程序,违者扣 5 分。20 分。4.2.5 严禁个人计算机私自提供 WEB、FTP、Proxy、4.5.6 严禁研发人员未经审批在邮件中夹带图纸类附 DHCP、SMTP、POP3 等服务,违者扣 10 分。件,违者扣 10 分; 4.2.6 个人计算机只能安装公司桌面标准软件和经部 安全管理 4.6 OA 安全管理 门或个人申请后授权软件,违者扣 10 分。4.6.1 需要授权他人处理部分审批工作的,不允许直接 4.2.7 须将屏保设定时间为 10 分钟,违者扣 5 分。将 OA 密码告诉被授权人,违者扣 10 分。4.3 网络安全管理 4.6.2 严禁用户抄送给整个部门或整个公司,违者每次 4.3.1 严禁访问与工作无关网站,严禁下载、存放与工 扣 10 分。3.2 安全督察员: 定期对个人计算机进行检查,不定期 进行抽查、处理。3.3 部门主管: 贯彻和督促本制度的执行,对于部门信 息安全承担领导责任。3.4 计算机用户: 对本人计算机安全负管理责任,对他 人行为进行监督、指正。
-34-
三一重工股份有限公司 管理制度 ZG-QGZ/IT010 ZG-QGZ/IT010-2006
个人计算机安全管理制度
修订号 V 2 实施日期 2007 2007 年 7 月 1 日 4.8 公用上网机管理 4.8.1 通过公用账号上 Internet 的员工必须对上网情 况进行登记,并且不得删除计算机中的上网记录,违者 扣 10 分。4.8.2 公用上网机管理员必须保管好上网密码,监督使 用人员做好上网登记。违者扣 5 分。4.8.3 公用上网机管理员必须每月修改系统登陆密码,违者扣 10 分。4.8.4 严禁任何员工通过公用上网机上与工作无关的 网站和做与工作无关的事情,违者扣 10 分。
4.6.3 严禁未经审批通过 OA 传送图纸类文件,违者扣 10 分。文档安全 安全管理 4.7 文档安全管理 密级文档划分标准见公司保密管理制度。4.7.1 绝密文档未经审批不得扩散出受限范围,须指定 专人打印、封装、发送(回收),违者扣 30 分。4.7.2 机密文件在 OA 上不允许以“新闻”形式发布,违者扣 10 分。
4.7.3 绝密、机密文档应标明页码,并在醒目位置标明 密级标识,违者扣 5 分。4.7.4 绝密和机密文档阅读权限的开通由文件制定部 4.8.5 严禁利用公共上网机向外传递公司资料、数据,违者扣 20-50 分。门主管审批,未经审批私自传阅者扣 10 分。4.7.5 用户不得将重要文档存放在系统分区 盘)(C 中,4.9 其它 违者处罚 5 分; 不得设置匿名完全共享文件夹,违者扣 4.9.1 所有新入司管理和研发人员都必须参加 IT 培 5 分,共享文件夹包含密级文档者扣 10 分。训,IT 培训考试未通过不予上岗。4.7.6 严禁收集、存放非本岗位的公司机密数据,违者 4.9.2 员工领取新计算机五个工作日之内须对照检查 安全
第三篇:信息安全概论
第一章
1、信息安全的基本属性:(1)可用性(2)机密性(3)非否认性(4)可控性(5)真实性(6)完整性
2、信息安全技术是指保障信息安全的技术,具体来说,它包括对信息的伪装、验证及对信息系统的保护等方面。
3、信息安全划分四个阶段:(1)通信安全发展时期(2)计算机安全发展时期(3)信息安全发展时期(4)信息安全保障发展时期。
4、信息安全威胁有:(1)信息泄露(2)篡改(3)重写(4)假冒(5)否认(6)非授权使用(7)网络与系统攻击(8)恶意代码(9)灾害、故障与人为破坏。
第二章
1、密码技术提供:完整性、真实性、非否认性等属性。
2、密码学分为:密码编码学和密码分析学。
3、按密钥使用方法的不同,密码系统主要分为对称密码、公钥密码。
4、密码分析也可称为密码攻击。
5、密码分析分为4类:(1)唯密文攻击(2)已知明文攻击(3)选择明文攻击(4)选择密文攻击。第三章
1、系统实体标识:(1)系统资源标识(2)用户、组和角色标识(3)与数字证书相关的标识。
2、威胁与对策:(1)外部泄密(2)口令猜测(3)线路窃听(4)重放攻击(5)对验证方的攻击。
3、PKI:公开密钥基础设施。(PKI中最基本的元素就是数字证书)
4、PKI的组成:(1)认证和注册机构(2)证书管理(3)密钥管理(4)非否认服务(5)系统间的认证(6)客户端软件。
5、PKI支撑的主要安全功能:基于PKI提供的公钥证书和私钥,用户之间可以进行相互的实体认证,也可以进行数据起源的认证。
6、公钥认证的一般过程是怎样的? 公钥来加密,只有拥有密钥的人才能解密。通过公钥加密过的密文使用密钥可以轻松解密,但通过公钥来猜测密钥却十分困难。
7、简述PKI的构成和基本工作原理。PKI的构成:(1)认证和注册机构(2)证书管理(3)密钥管理(4)非否认服务(5)系统间的认证(6)客户端软件 基本原理:PKI就是一种基础设施,其目标就是要充分利用公钥密码学的理论基础,建立起一种普遍适用的基础设施,为各种网络应用提供全面的安全服务 第四章
1、访问控制策略:自主访问控制策略(DAC)、强制访问控制策略(MAC)、基于角色访问控制策略(RBAC)。
(HRU模型 Bell-Lapadula模型 BIBA模型 Dion模型。)
2、PMI技术:授权管理基础设施。
3、PMI基本属性要素:属性证书、属性权威机构及PMI模型。第五章
1、信息隐藏主要包括数字水印技术和隐写技术。
2、鲁棒水印:是一种主要面向数字内容版权保护的信息隐藏技术,他通过原
内容的感知冗余中隐藏地嵌入包含版权信息的数据。
3、脆弱水印技术将防伪信息隐藏在数字内容中,目的是以后通过检查发现篡改,由于防伪信息和被保护数据融合,方便地支持了电子图文的流动。(脆弱水印是一种保护数据完整性和真实性的技术)第六章
1、网络与系统攻击手段主要包括网络与系统调查、口令攻击、拒绝服务攻击、缓冲区溢出攻击等。
2、口令攻击的破解方法:(1)词典生成(2)口令截收和欺骗(3)非技术手段。
3、拒绝服务攻击的主要类型和基本原理是什么? 主要类型:(1)利用系统漏洞(2)利用网络协议(3)利用合理服务请求(4)分布式拒绝服务攻击。基本原理:攻击者通过发送大量的服务或操作请求,致使服务程序出现难以正常运行的情况。第七章
1、防火墙的基本类型:(1)包过滤防火墙(2)代理网关(3)包检查型防火墙(4)混合型防火墙。
2、入侵检测系统需要解决三个方面的问题:(1)需要充分并可靠地采集网络和系统中数据,提取描述网络和系统行为的特征;(2)必须根据以上数据和特征,高效并准确地判断网络和系统行为的性质;(3)需要对网络和系统入侵提供响应手段。
3、IDS数据源主要可分为两类:(1)基于主机的IDS(2)基于网络的IDS。
4、“蜜罐”技术是指一类对攻击、攻击者信息的收集技术。
5、“蜜罐”主要采用的技术:(1)伪装和引入(2)信息的控制(3)数据捕获和分析。
6、信息安全应急响应一般分为前期响应、中期响应、后期响应三个阶段。
7、IDS主要的分析检查方法:误用检测、异常检测、其他检测。8防火墙的原理是什么?
(监视 拒绝 隔离 可疑文件。)第八章
1、日志和审计是两个紧密相关的概念。
2、审计事件通常包括系统事件、登录事件、资源访问、操作、特权使用、账号管理和策略更改等类别。
3、事件分析与追踪:(1)检查进程(2)检查通信连接(3)检查登录用户(4)分析日志(5)文件系统分析(6)地址追踪(7)假冒地址追踪。
4、电子证据:利用计算机和其他数字工具进行犯罪的一些证据以电子信息的形式存储在计算机存储系统或网络中。
5、数字取证:利用计算机和其他数字工具进行犯罪的一些证据以电子信息的形式存储在计算机存储系统或网络中,它们就是电子证据。第九章
1、操作系统安全技术主要包括:(1)内存分离和进程分离(2)账户系统与特权管理(3)访问控制(4)文件保护(5)内核安全技术(6)安全审计(7)形式化验证。
2、典型数据库特色的安全需求:(1)
数据完整性(2)操作可靠性(3)存储
可靠性(4)敏感数据保护。
3、可信计算的基本思想是:如果可以从计算平台的源头实施可靠的防范,这些不安全因素可以被有效控制。
4、TCPA 可信计算平台联盟TPM 可信平台模块。第十章
1、OSI(国际标准化组织)安全体系结构:1-4层的安全服务以“底层网络安全协议”的方式提供,包括传输层安全协议(TLSP)和网络层安全协议(NLSP);5-7层的安全服务以“安全组件”的方式提供,包括系统安全组件和安全通信组件。
2、IPSex协议:应用于网络层。
3、SET(电子商务协议)标准:主要目的是保护互联网上信用卡交易安全。第十一章
1、常见的恶意代码:计算机病毒、蠕虫和特洛伊木马。
2、计算机病毒:是一类具有传染、隐蔽、破坏等能力的恶意代码。(CIH病毒、蠕虫、特洛伊木马)
3、恶意代码检测方法主要有:(1)
特征代码法(2)校验和法、行为监测法(3)软件模拟法(4)比较法(5)感染实验法 第十二章
1、内容安全技术主要用于不良内容传播控制、数字版权侵权控制、敏感内容泄露及其控制等方面。
2、内容安全技术分为被动内容安全技术和主动内容安全技术,被动内容安全技术不事先预处理被监管的内容,主动内容安全技术对被监管的内容进行预处理。第十三章1、1999年,我国颁布了国家标准《计算机信息系统安全保护等级划分准则》 2、2001年5月,成立了“中国信息安全产品测评认证中心”。
3、2001年,我国根据CC颁布了国家标准《信息技术 安全技术 信息技术安全性评估准则》
4、2007年,我国成立了“中国信息安全认证中心”。
5、设计人员或分析人员已经可以采用安全模型、协议形式化分析和可证明安全性方法等手段对安全策略、安全协议或密码算法进行验证。第十四章
1、安全策略主要应明确以下问题:(1)安全目标(2)访问主体(3)访问客体(4)访问方式。
2、在进行风险评估前,一般需要先分析信息系统的威胁、脆弱性和可能的攻击。
第四篇:信息安全概论论文
浅析高校校园网信息安全的现状与防范
摘要:信息安全是高校信息化建设的根本保证,高校通过制定一系列校园网信息安全来保障校园网的安全。本文概述了高校校园网信息安全的现状,提出了保障高校校园网信息安全的防范措施,为科学地构建高校校园网信息安全体系提供了参考。
随着高校校园网络的不断扩建和升级,网络规模日益庞大。在方便信息传递,实现资源共享,提高工作效率的同时,高校校园网的信息安全问题已成为高校日常工作中不可或缺的重要组成部分。校园网作为高校教学应用的内部网及教职工对外交流的窗口,具有开放共享的特点,使校园网的信息安全受到极大的危险。近年来高校中的信息安全事件时有发生,信息的泄密、数据的破坏、服务无法正常进行等屡屡发生,有些甚至导致校园网瘫痪,给高校校园网的管理和维护带来了严重挑战。
关键词:校园网;信息安全;现状防范; 安全威胁;网络安全;安全规划;防火墙;入侵检测
1.引言
随着Internet的迅速发展和应用的普及,计算机网络已经深入教育、政府、商业、军事等各行各业,计算机校园网是信息化建设的基础设施,在教学支持服务、教学教务管理、行政管理和校内外信息沟通等方面起着举足轻重的作用。然而计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足,再加上系统软件中的安全漏洞以及所欠缺的严格管理,致使网络易受黑客、恶意软件的攻击。在现有的校园网络环境中,安全问题成为当前各信息网络中心工作人员考虑得最多的问题。了解和分析这些安全隐患,采取正确的策略来抵御威胁,是校园网安全建设的根本,也是校园网络正常发挥作用的保障。当然 要保证网络的绝对安全是不可能的,必须根据网络的现有状况,对安全需求进行分析,采取必要的网络安全策略,使网络安全问题所造成的影响降到最低。在校园网建设中,很多校园网由于系统管理不善,安全保障措施不力,病毒通过系统漏洞、邮件等途径在校园网传播和泛滥,导致校园网成为计算机病毒滋生和泛滥的温床,给校园网信息系统的应用、管理和维护带来巨大的负面影响。
2.高校校园网信息安全的现状
高校本身是研究和探索新科技、传授新知识的场所,储存了大量的科研成果和技术资料,是信息安全受到威胁的“集中营”。例如今年四月份,我校的域名被攻击,导致我校的主页面打不开、网速变慢等一些问题,给老师和同学们带来了不便。
2.1工作人员对信息系统的应急处理能力不强,防范水平不高。
高校办公室工作人员大都是非计算机专业的人员,计算机知识相对缺乏,对信息安全的防范意识尤为薄弱,缺乏对系统的基本维护能力,这势必给高校校园网的信息安全造成威胁。
2.2信息安全管理观念薄弱,负责信息安全人员的意识不强。
高校校园网用户对安全意识以及防范能力没有足够重视,且认为防范信息安全是网络信息或专业人员的事情,与个人无关。负责信息安全人员把计算机安装还原卡当作“万事通”,只对出问题的计算机进行检查并未对高校网络检查等。2.3信息安全保障管理机构和组织队伍不健全
对于高校校园网,信息浏览人数多,流量大,加大了信息安全人员对其管理和维护难度。且高校普遍存在维护人员短缺、工作机制不完善、队伍不健全、无法及时响应、快速解决,不能很好地保证校园网络方便、快捷、规范地运行。2.4信息系统安全保障的必要设施短缺
信息系统软硬件的内在缺陷不仅直接造成系统瘫痪,还会为一些人为的恶意攻击提供机会。应用软件的缺陷造成计算机信息系统的故障,降低系统安全性能,而设备的不完善、不更新,也给恶意攻击有机可乘。2.5信息安全管理制度和标准缺乏开发性
我国的信息安全管理制度结构比较单一,层次较低,难以适应信息网络技术发展的需要和日新月异带来的信息安全问题。我国现行的信息安全管理制度基本上 是一些保护条例、管理办法,缺少系统规范网络行为的相应法律。
3.校园网络面临的安全威胁
中国的校园网一般都最先应用最先进的网络技术,网络应用普及,用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方,它既存在着自然因素导致的安全隐患,也存在着人为等诸多因素导致的危险,同时校园网络的安全管理也更为复杂、困难。3.1 校园网的物理安全及自身的缺陷威胁
① 系统漏洞。系统漏洞是造成系统的安全风险的主要因素。虽然操作系统的功能及安全性日趋完善, 但仍存在着很多漏洞。由于操作系统的程序是可以动态链接的,包括I/O的驱动程序与系统服务均可以采用打补丁的方式进行升级。但这种软件厂商使用的方法同样也为黑客打开方便之门。如有名的Windows DCOM蠕虫病毒就是利用Windows DCOM MS03-26漏洞进行攻击的。另一方面系统管理员或使用人员对复杂的系统和自身的安全机制了解不够、配置不当,从而形成安全隐患。还有操作系统自身设置不当也会留下安全隐患。
② 系统架构缺乏安全策略。多数校园网普遍采用基于以太网技术且采用开放的网络架构,本身就不具备必要的安全策略。虽然随着技术不断更新,安全管理方面有所变化,但大多数校园网管还是采用一种单
一、被动、缺乏主动性和灵活性的基于网络设备的集中式的安全策略,根本无法适应现行的网络规范。另外,大多的校园网用户并发上网现象普遍突出,集中式管理往往又会造成用户认证时间过长或认证无效等问题。
③ 物理安全威胁。网络周边环境和物理特性引起的计算机系统、网络服务器等网络设备和物理链路等基础设施的不可用,如设备被盗、被毁坏,链路老化或被有意或者无意的破坏。因电子辐射造成信息泄露、设备意外故障、停电、雷击以及其它自然灾害、有害气体的破坏等等物理方面的因素,对校园网的正常运行构成威胁。
3.2 来自校园网内部的安全威胁
高校学生他们会把学校的网络当作一个实验环境,测试各种网络功能。一些学生用自己的计算机和操作系统配置一个DHCP SEVER使在网络上的计算机从假冒的 DHCP SEVER了解到IP地址,导致合法用户不能登陆到DHCP提供的正确IP 地址而无法使用网络资源。另外很多学生通过网络在线看电影、听音乐、聊天,占据了宝贵的网络资源,很容易造成网络堵塞和病毒传播。总之,来自校园网内部的安全隐患所造成的破坏力、影响、威胁都是非常大的。3.3 来自外部互联网的安全威胁
几乎所有校园网络都是利用Internet 技术构建的,同时又与 Internet 相连。网络用户可以直接访问互联网的资源,同样任何能上互联网的用户也可以直接访问校园网的资源。这对宣传学校、扩大学校的影响和知名度很有好处,但Internet 的共享性和开放性使网上信息安全存在先天不足,在带来方便的同时,也带来安全风险。
3.4 黑客、拒绝式服务、病毒带来的安全威胁
① 黑客攻击。随着网络的迅猛发展,黑客攻击活动日益猖獗。校园网在接入Internet的时候,即使有防火墙的保护,由于技术本身的局限或错误配置等原因,仍很难保证校园网不遭到黑客攻击。
② 拒绝式服务。是指恶意地向被攻击服务器发送信息洪流,占用计算机设备的资源而造成正常的服务请求被中断,使网络运行速度变慢甚至处于一种瘫痪状态。
③ 病毒的危害。网络病毒, 无论是在传播速度, 破坏性, 还是在传播范围等方面都远远超过了单机病毒。如当今流行的蠕虫病毒, 通过电子邮件、网络共享或主动扫描等方式从客户端感染校园网的web服务器。还有通过网络传播病毒或恶意脚本文件,干扰用户的正常使用,如冻结注册表、修改设置等。计算机病毒对计算机的攻击,轻则使系统变慢,破坏文件,重则使硬件遭到破坏,网络遭到病毒攻击,则使网络堵塞及瘫痪。
4.校园网络的安全对策
如何能够保证网络的安全运行,同时又能提供丰富的网络资源,达到办公、教学以及学生上网的多种需求成为了一个难题。网络安全问题 , 不是单纯的技术问题,而是一个系统工程。因此必须从系统的观点去考虑。下面就校园网安全问题提出一些对策、措施。4.1 物理安全措施
物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机 等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进行破坏活动。其中包括:设立实物安全周界,实物进入控制,设施安全考虑(防尘、防火、防洪、防雷等),安全区域内工作的规范规程,设备供电安全,通信电缆安全(防搭线),设备维护,运行日志以及电磁屏蔽、抑制和防止电磁泄漏等相关制度与技术。4.2 系统配置及软件设置安全措施
要从系统配置及软件设置上使得网络更安全,主要做到以下几个方面:一要关闭不必要的服务端口,取消服务器上不用的服务和协议种类。二要设置系统运行日志。通过运行系统日志,记录下所有用户使用系统的情形,分析日志文件,发现异常情况,及时防范。三要及时安装系统补丁和更新服务方软件。新版本的服务软件能够提供更多更好的功能,保证这些设备更有效更安全地运行。四要定期检查系统安全性。通过安全检测工具,在防火墙外对网络内所有的服务器和客户机进行端口扫描,并检查用户口令的安全性以及各用户对网络设备访问的合法性等。五要封锁系统安全漏洞。黑客之所以得以非法访问系统资源和数据,很多情况下是因为操作系统和各种应用软件的设计漏洞或者管理上的漏洞所致。在制定访问控制策略时,不要忘记封锁系统安全漏洞。4.3 校园网络电子邮件安全策略
保障电子邮件安全的唯一一种办法是让攻击者截获了数据包但无法阅读它。目前在校园网络上可以采用如下策略来实现电子邮件的安全:
一、利用S/MIME来实现。S/MIME是一种安全的电子邮件格式,它采用一种消息加密与数字签名格式,是一种已被接受的标准。
二、利用PGP。PGP是一个基于RSA公钥加密体系的邮件加密软件。可以用它对你的邮件保密,以防止非授权者阅读,它还能对你的邮件加上数字签名从而使收信人可以确信邮件是你发来的。让你可以安全地与人们通讯,事先并不需要任何保密的渠道用来传递密钥。
三、利用PEM。PEM是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。
四、利用MOSS。MOSS(MIME对象安全服务)是将PEM和MIME两者的特性进行了结合。
五、采用安全网关。最便捷的途径是 采用电子邮件安全网关,即电子邮件防火墙。使进入或输出的每一条消息都经过网关,从而使安全政策可以被执行。4.4 正确配置路由器
对于大多数校园网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数校园网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当的设置,边界路由器能够把几乎所有的最顽固的坏分子挡在网络之外。
一、修改默认的口令。据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。
二、关闭IP直接广播(IP Directed Broadcast)。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
三、如果可能,关闭路由器的HTTP设置。
四、封锁ICMP ping请求。ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。
五、关闭IP源路由。IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
六、确定你的数据包过滤的需求。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。
七、建立准许进入和外出的地址过滤政策。在你的边界路由器上建立策略以便根据IP地址过滤进出网络的违反安全规定的行为。
八、审阅安全记录。审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法。利用出网的记录,用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。4.5 建立统一的身份认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。校园网与Internet没有实施物理隔离,但是,对于运行内部管理信息系统的内网 , 建立其统一的身份认证系统仍然是非常必要的 , 以便对数字证书的生成、审批、发放、废止、查询等进行统一管 理。只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题。同时也为校园信息化的各项应用系统提供了安全可靠的保证。校园网用户不但要通过统一的身份认证系统确认,而且合法用户上网的行为也要受到统一的监控。
4.6 服务器访问控制策略
像服务器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。限制诸如chargen、echo、日期等这些简单的TCP 协议。因为很多网络测试工具可以利用这些特定的协议, 对网络实施DOS 入侵。
4.7培养高素质的安全运行维护队伍
高校可以组建一支以学生为主体的安全运行维护队伍,由网络中心统一领导,中心专业老师负责对学生等用户进行安全管理方面的培训和指导,加强校园网的管理和维护力量,力争对突发安全事件做到及时响应,快速解决,保证校园网方便、快捷、规范地运行。这样不但能解决由于经费和维护人员不足造成的困难,而且也可以通过让学生参与校园网的管理维护,来锻炼他们的实际动手能力,为今后的工作奠定良好的基础。4.8制定完善安全管理规章制度
安全管理贯穿于安全防范体系的始终,是保证网络安全的基础。各部门配备专职的信息安全管理人员,落实建立信息安全责任制度和工作章程,负责并保证组织内部的信息安全。管理人员必须做到及时进行漏洞修补、定期软件升级和定期安全系统巡检,保证对网络的监控和管理。同时必须制订一系列的安全管理制度,并遵循可操作、动态性、管理与技术的有机结合等原则,使校园网的信息安全工作进一步走向规范化和制度化。4.9利用多种形式进行信息安全教育
高校应利用多种形式进行信息安全教育:①是利用行政手段,通过各种会议进行信息安全教育;②是利用教育手段,通过信息安全学术研讨会、安全知识竞赛、安全知识讲座等进行信息安全教育;③是利用学校传播媒介、舆论工具等手段,通过校刊、校报、校园网络、广播、宣传栏等进行信息安全教育。建议我校开展全校学生的信息安全教育。4.10构建良好的校园文化氛围
信息安全是高校实现教育信息化的头等大事,除先进的安全技术、完善的安全管理外,良好的校园文化氛围也是保证高校信息安全工作顺利开展的前提。
5.结束语
校园网信息安全是一项复杂的系统工程,不能仅仅依靠某一方面的安全策略,而需要仔细考虑系统的安全需求,网络信息安全涉及的内容既有技术方面的问题,又有管理方面的问题,应加强从网络信息安全技术和网络信息安全管理两个方面来进行网络信息安全部署,尽可能的为校园网提供安全可靠的网络运行环境。面对日益复杂的高校校园网信息安全及与日俱增的安全威胁,高校校园网的安全建设必须以了解校园网信息安全的现状为前提。通过信息安全培训加强所有用户的安全意识,从而完善安全防范体系赖以生存的大环境,有效地实现校园网可靠、稳定地运行,创造出一个安全、便捷的网络应用环境,有效地保障校园网的安全,提高网络信息的保密性、完整性和可用性。
参考文献: [1] 段云所.信息安全概论.高等教育出版社.2003.9 [2] 高峡,陈智罡,袁宗福.网络设备互联学习指南.科学出版社2009.4 [3] 张武军.高校校园网安全整体解决方案研究.电子科技.2006 年第3 期.[4] 朱海虹.浅谈网络安全技术.科技创新导报,2007,32:32. [5] 符彦惟.计算机网络安全实用技术.清华大学出版社.2008.9 [6] 王育民.通信网的安全—理论与技术.西安电子科技大学出版社.2000 [7] 段云所.个人防火墙.人民邮电出版社.2002 [8] 黎萍等.网络安全与管理与Windows2000.人民邮电出版社.2000 [9] 唐正军.网络入侵检测系统的设计与实现.电子工业出版社.2000 [10] 卢开成.计算机密码学.清华大学出版社.1998
第五篇:信息安全概论考试总结
信息安全概论知识点
一.名词解释
1.信息安全:信息安全是指信息网络的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续可靠地运行,信息服务不中断。
2.安全漏洞:指计算机系统具有的某种可能被入侵者恶意利用的属性,在计算机安全领域,安全漏洞通常又称作脆弱性。
3.缓冲区溢出:是一种非常普遍,非常危险的漏洞,在各种操作系统,应用软件中广泛存在。利用缓冲区溢出攻击,可以导致系统运行失败,系统死机,重新启动等后果。
4.网络后门:是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。
5.计算机病毒:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
6.恶意软件:俗称流氓软件,是对破坏系统正常运行的软件的总称。恶意软件介于病毒软件和正规软件之间,同时具备正常功能(下载,媒体播放等)和恶意行为(弹广告,开后门),给用户带来实质危害。7.防火墙:位于可行网络与不可信网络之间并对二者之间流动的数据包进行检查的一台,多台计算机或路由器。
8.入侵检测:是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和遭遇袭击的迹象的一种机制。
9.异常检测技术:也称基于行为的检测,是指根据使用者的行为或资源使用情况来判断是否发生入侵,而不依赖于具体行为是否出现来检测。
10.误用检测技术:也称基于知识的检测,它是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。11.VPN:是一种能够将物理上分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。
12.对称加密算法:是用加密数据使用的密钥可以计算出用于解密数据的密钥。
13.非对称加密算法:是指用于加密的密钥和用于解密的密钥是不同的,而且从加密的密钥无法推导出解密的密钥。
14.散列函数:也称为Hash函数,杂凑函数,哈希函数,哈希算法,散列算法或消息摘要算法。它通过把单项数学函数应用于数据,将任意长度的一块数据转化成一定长的,不可逆转的数据。
15.蜜罐:是当前最流行的一种陷阱及伪装手段。主要用于监视并探测潜在的攻击行为。
二.简答:
1.网络监听的工作原理
当一个局域网采用共享Hub时,当用户发送一个报文时,这些报文会被发送到LAN上所有在线的机器。一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应,即主机A不会捕获发向主机B的数据,而会简单地忽略这些数据。但是如果局域网中的某台计算机的网络接口处于混杂模式,那么它就可以捕获到网络上所有的报文和帧。如果一台计算机的网卡被设置成这种模式,那么它就是一个监听器或嗅探器。
2.网络监听的防护和检测的主要方法
(1)网络分段
(2)加密会话(3)使用检测工具
(4)观察异常情况 3.缓冲区溢出的原理
主要是通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他命令,以达到攻击的目的。4.Dos攻击方式
(1)SYN Flood工作原理:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK 一直维护着队列,造成了资源大量而不能向正常请求提供服务。(2)Smurf工作原理:该攻击向一个子网的广播地址发一个带有特定请求的包,并且将源地址伪装成想要攻击的主机地址。自网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。5.计算机病毒的特征(1)传染性:基本特征
(2)隐蔽性
(3)潜伏性
(4)破坏性 6.普通病毒和蠕虫病毒的区别
普通病毒
蠕虫病毒 存在形式:
寄存文件
独立程序 传染机制:
寄主程序运行
主动攻击 传染目标:
本地文件
网络计算机 7.木马病毒的传播方式
通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界透漏用户的信息。
8.物理层常用的防护手段
(1)物理位置选择(2)物理访问控制(3)防盗窃和防破坏(4)防雷击(5)防火(6)防水和防潮(7)防静电(8)温湿度控制(9)电力供应(10)电磁防护要求 9.防火墙的发展历史及局限性
发展历史:第一代:1984年
采用的技术:包过滤
第二代:1989年
采用的技术:代理服务
第三代:1992年
采用的技术:动态包过滤(状态监控)
第四代:1998年
采用的技术:自适应代理服务 局限性:(1)不能防止不经过它的攻击,不能防止授权访问的攻击。
(2)只能对配置的规则有效,不能防止没有配置的访问。
(3)不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。
(4)不能针对一个设计上有问题的系统攻击。10.异常检测技术的原理及前提
原理:该技术首先假设网络攻击行为是不常见的,区别于所有正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。前提条件:入侵活动是异常活动的一个子集,理想的情况是:一场活动集与入侵活动集相等。11.无用检测技术的原理及前提
原理:首先要定义违背安全策略事件的特征,判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现。
前提:假设所有的网络攻击行为和方法都具有一定的模式或特征。12.VPN的作用
它提供了通过公用网络安全地对企业内部网络进行远程访问的连接方式。
账号保护的主要方法及手段
(1)保护guest账户(2)限制用户数量(3)管理员账户改名(4)建陷阱账户 13.对称加密算法优缺点 优点:加密速度快,保密度高。
缺点:分发的困难问题几乎无法解决。密钥是保密通信的关键,发信方必须安全、妥善的把密钥送到收信方,不能泄露其内容,密钥的传输必须安全,如何才能把密钥安全送到收信方是对称加密体制的突出问题。
14.非对称加密算法的优缺点 优点:
(1)公钥加密技术与对称加密技术相比,其优势在于不需要共享通用的密钥。
(2)公钥在传递和发布过程中即使被截获,由于没有与公钥相匹配的私钥,截获的公钥对入侵者没有太大意义。
(3)密钥少便于管理,N个用户通信只需要N对密钥,网络中每个用户只需要保存自己的解密密钥。
(4)密钥分配简单,加密密钥分发给用户,而解密密钥由用户自己保留。
缺点:加密算法复杂,加密和解密的速度比较慢。15.硬盘丢失数据的注意事项
(1)在硬盘数据出现丢失后,请立即换机,不要在对硬盘进行任何写操作,那样会增大修复的难度,也会影响到修复的成功率。(2)每一步操作都应该是可逆的或者对故障硬盘是只读的。16.使用Easy Recovery软件的注意事项
(1)最好在重新安装计算机操作系统完后,就把Easy Recovery软件安装上,这样一旦计算机有文件丢失现象就可以使用Easy Recovery软件进行恢复了。
(2)不能在文件丢失以后再安装Easy Recovery文件恢复软件,因为这样的话Easy Recovery软件极有可能将要恢复的文件覆盖了,万一在没有安装Easy Recovery软件的情况下文件丢失,这时最好不要给计算机里再复制文件。可以将计算机硬盘拔下来,放到其他已经安装有Easy Recovery软件的计算机上进行恢复,或找专业的安全人员来处理。
三. 问答题:
1.信息安全体系结构
应用安全:(1)数据库加固(2)安全监控
(3)电子文档
(4)安全身份认证统一授权
系统安全:(1)容灾备份
(2)系统加固
(3)HIDS NIDS(4)漏洞扫描 系统防毒
网络安全:(1)VLAN划分
(2)外网的入网访问控制
(3)网络安全边界防火墙
(4)VPN,传输安全
(5)网络防毒
物理安全:(1)环境安全:防火,防水,磁泄露,防震
(2)设备安全:防盗,物理隔离系统的设置,双网隔离设备
(3)介质安全:防盗防电 2.SQL Server 注入攻击的原理
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。3.黑客攻击步骤
(1)踩点
(2)扫描
(3)入侵
(4)获取权限
(5)提升权限(6)清除日志 4.常见的攻击手段
(1)密码破解攻击 :字典攻击
混合攻击
暴力攻击
专业工具(2)缓冲区溢出攻击
(3)欺骗攻击:源IP地址欺骗攻击
源路由欺骗攻击(4)DOS/DDOS攻击:DOS攻击
DDOS攻击(5)SQL注入攻击(6)网络蠕虫(7)社会工程学 5.常见的防范手段:
(1)抛弃基于地址的信任策略(2)使用加码方法(3)进行包过滤(4)防火墙技术
(5)确定所有服务器采用最新系统,并打上安全补丁。6.防火墙的体系结构(1)双重宿主主机体系结构
原理:双重宿主主机体质围绕双重宿主主机构建。双重宿主主机至少有两个网络接口,这样的知己可以充当外部网络和内部网络之间的路由器,所以它能够使内部网络和外部网络的数据包直接路由通过。然而双重宿主主机的防火墙体系结构不允许这样直接地通过。因此IP数据包并不是从一个网络直接发送到另一个网络。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信,但是外部网络与内部网络不能直接通信,他们之间的通信必须经过过滤和控制,一般在双重宿主主机上安装代理服务器软件,可以为不同的服务提供转发,并同时根据策略进行过滤和控制。双重宿主主机体系结构连接内部网络和外部网络,相当于内部外部网络的跳板,能够提供级别比较高的控制,可以完全禁止内部网络对外部网络的访问。(2)被屏蔽主机体系结构
原理:被屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔开,在这种体系结构中,主要的安全防护功能由数据包过滤提供。
(3)被屏蔽子网体系结构
原理:被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构,即通过添加周边网络更进一步把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单形式是两个屏蔽路由器,每一个都连接到周边网络。一个位于周边网络与内部网络之间,另一个位于周边网络与外部网络之间。
点击咨询 