第一篇:韶关学院2013年计算机网络安全试题(网络班)
计算机网络安全试题
一、名词解释和概念:(12分,每题4分)
1.恶意代码
经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。它包括计算机病毒(Computer Virus)、蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹(Logic Bombs)、病菌(Bacteria)、用户级RootKit、核心级RootKit、脚本恶意代码(Malicious Scripts)和恶意ActiveX 控件等。
2.VPN
3.数字签名
二、填空题(本大题共(20分,每空1分)
1.联网的安全性通过(访问控制服务)和通信安全服务来达到。
2.在层次体系上,可以将网络安全分为四个层次上的安全分别是(物理安全)、(逻辑安全)、(操作系统安全)和联网安全。
3.木马程序一般由两部分组成,他们分别是(。
4.在设计网络安全方案中,系统是基础,(人)是核心,管理是保证。
5.常用的安全产品有(防火墙)、(防病毒)、(身份验证)、传输加密和入侵检测5种。
6.IPSec属于(7.对计算机网络安全威胁的因素很多,综合起来包括三个方面:偶发因素、自然灾害和_____人为____因素。
8.电源对用电设备安全的潜在威胁有__电磁干扰_______、脉动与噪声。
9.物理安全主要包括机房安全、______通信线路___安全、设备安全和电源安全。
10.单钥密码体制又称为______对称___密码体制。
11.国际数据加密算法IDEA的密钥长度为____128_____bit。
12.状态检测防火墙通过截取并分析数据包,监视和跟踪每一个有效连接的_状态,并根据这些信息决定是否允许网络数据包通过。
13.根据任务属性的不同,入侵检测系统功能结构可分为两部分:__中心检测平台_______和代理服务器。
14.网络安全漏洞检测主要包括端口扫描、___操作系统______探测和安全漏洞探测。
15.按照传播媒介,可以将病毒分为单机病毒和____网络_____病毒。
16.在计算机网络安全设计、规划时,应遵循____需求_____、风险、代价平衡分析的原则。
三、选择题(15分,每小题1分)
1.被动攻击主要是监视公共媒体传输的信息,下列属于典型被动攻击的是(A)
A.解密通信数据
C.系统干涉
2.入侵检测的目的是(B)
A.实现内外网隔离与访问控制
B.提供实时的检测及采取相应的防护手段,阻止黑客的入侵
C.记录用户使用计算机网络系统进行所有活动的过程
D.预防、检测和消除病毒 B.会话拦截 D.修改数据
3.为保证设备和人身安全,计算机网络系统中所有设备的外壳都应接地,此接地指的是(A)
A.保护地
C.屏蔽地 B.直流地 D.雷击地
4.在计算机网络的供电系统中使用UPS电源的主要目的是(C)
A.防雷击
C.可靠供电
5.下列属于双密钥加密算法的是(D)
A.DES
C.GOST
6.认证技术分为三个层次,它们是(B)
A.安全管理协议、认证体制和网络体系结构
B.安全管理协议、认证体制和密码体制
C.安全管理协议、密码体制和网络体系结构
D.认证体制、密码体制和网络体系结构
7.网络地址转换(NAT)的三种类型是(C)
A.静态NAT、动态NAT和混合NAT
B.静态NAT、网络地址端口转换NAPT和混合NAT
C.静态NAT、动态NAT和网络地址端口转换NAPT
D.动态NAT、网络地址端口转换NAPT和混合NAT
8.下列各项入侵检测技术,属于异常检测的是(B)
A.条件概率预测法
C.产生式/专家系统
9.下列缩略语,属于入侵检测系统标准(草案)的是(B)
A.PPDR
C.UML
1O.半连接(SYN)端口扫描技术显著的特点是(C)
A.不需要特殊权限
C.不建立完整的TCP连接 B.不会在日志中留下任何记录 D.可以扫描UDP端口 B.CIDF D.DDoS B.Denning的原始模型 D.状态转换方法 B.IDEA D.RSA B.防电磁干扰 D.防静电
11.下列关于安全漏洞探测技术特点的论述,正确的是(D)
A.信息型漏洞探测属于直接探测
B.信息型漏洞探测可以给出确定性结论
C.攻击型漏洞探测属于间接探测
D.攻击型漏洞探测可能会对目标带来破坏性影响
12.采用特征代码法检测计算机病毒的优点是(B)
A.速度快
C.能检查多态性病毒
13.恶意代码的特征有三种,它们是(A)
A.恶意的目的、本身是程序、通过执行发挥作用
B.本身是程序、必须依附于其他程序、通过执行发挥作用
C.恶意的目的、必须依附于其他程序、本身是程序
D.恶意的目的、必须依附于其他程序、通过执行发挥作用
14.下列关于网络安全解决方案的论述,错误的是(D)B.误报警率低 D.能对付隐蔽性病毒
A.一份好的网络安全解决方案,不仅要考虑到技术,还要考虑到策略和管理
B.一个网络的安全体系结构必须与网络的安全需求相一致
C.良好的系统管理有助于增强系统的安全性
D.确保网络的绝对安全是制定一个网络安全解决方案的首要条件
l5.下列网络系统安全原则,错误的是(A)
A.静态性
C.整体性
四、问答论述题(53分)
1.简述防火墙的基本功能。(5分)
2.计算机病毒的特征有哪些?(6分)
3.指出可信计算基由哪七部分组成?(8分)
4.请解释PKI的概念和PKI的主要功能。(10分)
5.指出拒绝服务攻击和分布式拒绝服务攻击的原理和过程,如何防范这些攻击?(10分)
6.网络安全解决方案的层次划分为哪五个部分?(4分)
B.严密性 D.专业性
第二篇:计算机网络安全试题
计算机网络安全试题
一、单项选择题(本大题共20小题,每小题2分,共40分)
在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。1.下面不是计算机网络面临的主要威胁的是()
A.恶意程序威胁 B.计算机软件面临威胁 C.计算机网络实体面临威胁 D.计算机网络系统面临威胁 2.密码学的目的是()
A.研究数据加密 B.研究数据解密 C.研究数据保密 D.研究信息安全
3.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于()
A.对称加密技术 B.分组密码技术 C.公钥加密技术 D.单向函数密码技术 4.根据美国联邦调查局的评估,80%的攻击和入侵来自()A.接入网 B.企业内部网 C.公用IP网 D.个人网 5.下面________不是机房安全等级划分标准。()A.D类 B.C类
C.B类 D.A类 6.下面有关机房安全要求的说法正确的是()
A.电梯和楼梯不能直接进入机房 B.机房进出口应设置应急电话 C.照明应达到规定范围 D.以上说法都正确 7.关于机房供电的要求和方式,说法不正确的是()
A.电源应统一管理技术 B.电源过载保护技术和防雷击计算机
C.电源和设备的有效接地技术 D.不同用途的电源分离技术 8.下面属于单钥密码体制算法的是()
A.RSA B.LUC C.DES D.DSA 9.对网络中两个相邻节点之间传输的数据进行加密保护的是()A.节点加密 B.链路加密 C.端到端加密 D.DES加密 10.一般而言,Internet防火墙建立在一个网络的()A.内部网络与外部网络的交叉点 B.每个子网的内部
C.部分内部网络与外部网络的结合处 D.内部子网之间传送信息的中枢 11.下面是个人防火墙的优点的是()
A.运行时占用资源
B.对公共网络只有一个物理接口
C.只能保护单机,不能保护网络系统 D.增加保护级别
12.包过滤型防火墙工作在()
A.会话层 B.应用层 C.网络层 D.数据链路层
13.入侵检测是一门新兴的安全技术,是作为继________之后的第二层安全防护措施。()
A.路由器 B.防火墙 C.交换机 D.服务器
14.________是按照预定模式进行事件数据搜寻,最适用于对已知模式的可靠检测。()
A.实时入侵检测 B.异常检测 C.事后入侵检测 D.误用检测
15.________的目的是发现目标系统中存在的安全隐患,分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。()A.漏洞分析 B.入侵检测 C.安全评估 D.端口扫描
16.端口扫描的原理是向目标主机的________端口发送探测数据包,并记录目标主机的响应。()
A.FTP B.UDP C.TCP/IP D.WWW 17.计算机病毒是()
A.一个命令 B.一个程序 C.一个标记 D.一个文件 18.下面关于恶意代码防范描述正确的是()
A.及时更新系统,修补安全漏洞 B.设置安全策略,限制脚本 C.启用防火墙,过滤不必要的服务 D.以上都正确 19.计算机网络安全体系结构是指()
A.网络安全基本问题应对措施的集合 B.各种网络的协议的集合 C.网络层次结构与各层协议的集合 D.网络的层次结构的总称 20.下面不是计算机信息系统安全管理的主要原则的是()A.多人负责原则 B.追究责任原则 C.任期有限原则 D.职责分离原则
二、填空题(本大题共10小题,每小题1分,共10分)
请在每小题的空格中填上正确答案。错填、不填均无分。
21.PPDR模型包含四个主要部分:安全策略、防护、________、_____。22.电磁辐射的防护措施有屏蔽、滤波、________、________。
23.________是作为加密输入的原始信息,即消息的原始形式,通常用m或p表示。
24.从工作原理角度看,防火墙主要可以分为________和________。25.基于检测理论的分类,入侵检测又可以分为________和________。26.安全威胁分为:________和________。
27.安全威胁是指所有能够对计算机网络信息系统的________和________的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。28.防范计算机病毒主要从________和________两个方面着手。29.恶意代码的关键技术:生存技术、________和________。
30.保护、监测、________、________涵盖了对现代网络信息系统保护的各个方面,构成了一个完整的体系,使网络信息安全建筑在更坚实的基础之上。
三、简答题(本大题共6小题,每小题5分,共30分)31.网络安全的主要技术有哪些?P32 32.硬件设备的使用管理要注意哪些问题?P50 33.防火墙主要功能是什么?P103 5
34.什么是入侵检测,以及入侵检测的系统结构组成?P148 35.什么是计算机病毒,以及它的危害?P199 P202 36.谈谈计算机网络安全设计遵循的基本原则。P235
四、综合应用题(本大题共2小题,每小题10分,共20分)
37.明文为:We will graduate from the university after four years hard study(不考虑空格)试采用传统的古典密码体系中的凯撒密码(k=3),写出密文。
38.某大型企业欲建立自己的局域网,对外进行Web发布和电子商务;电子商务和数据库服务要求安全等级高。另外,企业总部是企业的核心,在进入企业总部的时候要求进行身份认证。试分析该网络安全的解决方案。
第三篇:计算机网络安全
黄冈职业技术学院
电子信息学院
课程期末项目考核任务书
课程名称:网络设备配置与管理学生姓名:张赢学生学号:200902081125专业名称:计算机网络技术
2011-2012学年第一学期
电子信息学院教务办室制
摘要...............2 前言...............2
第1章计算机通信网络安全概述...........2
第2章影响计算机通信网络安全的因素分析.....2
2.1影响计算机通信网络安全的客观因素...........2
2.1.1网络资源的共享性............2
2.1.2网络操作系统的漏洞..........2
2.1.3网络系统设计的缺陷..........3
2.1.4网络的开放性................3
2.1.5恶意攻击.............3
2.2影响计算机网络通信安全的主观因素...........3
第3章计算机网络的安全策略..............3
3.1物理安全策略.............3
3.2常用的网络安全技术.............3
3.2.1 网络加密技术................4
3.2.2 防火墙技术...........4
3.2.3 操作系统安全内核技术...............4
3.2.4 身份验证技术身份验证技术...........5
3.2.5 网络防病毒技术..............5
总结...............5 参考文献.................5摘要:随着计算机信息技术的迅猛发展,计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。因此,认清网络的脆弱性和潜在威胁的严重性,采取强有力安全策略势在必行。计算机网络安全工作是一项长期而艰巨的任务,它应该贯彻于整个信息网络的筹划、组成、测试的全过程。本文结合实际情况,分析网络安全问题并提出相应对策。
前言:随着计算机技术的迅速发展,在计算机上完成的工作已由基于单机的文件处理、自动化办公,发展到今天的企业内部网、企业外部网和国际互联网的世界范围内的信息共享和业务处理,也就是我们常说的局域网、城域网和广域网。计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。
第1章计算机通信网络安全概述
所谓计算机通信网络安全,是指根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。
第2章影响计算机通信网络安全的因素分析
计算机通信网络的安全涉及到多种学科,包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种,这些技术各司其职,保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露,保证系统连续可靠正常运行。
2.1影响计算机通信网络安全的客观因素
2.1.1网络资源的共享性
计算机网络最主要的一个功能就是“资源共享”。无论你是在天涯海角,还是远在天边,只要有网络,就能找到你所需要的信息。所以,资源共享的确为我们提供了很大的便利,但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。
2.1.2网络操作系统的漏洞
操作系统漏洞是指计算机操作系统本身所存在的问题或技术缺陷。由于网络协议实现的复杂性,决定了操作系统必然存在各种的缺陷和漏洞。
2.1.3网络系统设计的缺陷
网络设计是指拓扑结构的设计和各种网络设备的选择等。
2.1.4网络的开放性
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的信息。
2.1.5恶意攻击
恶意攻击就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也越来越多,影响越来越大。无论是DOS 攻击还是DDOS 攻击,简单的看,都只是一种破坏网络服务的黑客方式,虽然具体的实现方式千变万化,但都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。具体表现方式有以下几种:(1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。(2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。(3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误而分配大量系统资源,使主机处于挂起状态甚至死机。
DOS 攻击几乎是从互联网络的诞生以来,就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是,要找DOS 的工具一点不难,黑客网络社区都有共享黑客软件的传统,并会在一起交流攻击的心得经验,你可以很轻松的从Internet 上获得这些工具。所以任何一个上网者都可能构成网络安全的潜在威胁。DOS 攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说,D0S 攻击永远不会消失而且从技术上目前没有根本的解决办法。
2.2影响计算机网络通信安全的主观因素
主要是计算机系统网络管理人员缺乏安全观念和必备技术,如安全意识、防范意思等。
第3章计算机网络的安全策略
3.1物理安全策略
物理安全策略目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全策略还包括加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络安全管理策略包括:确定安全管理等
级和安全管理范围。
3.2常用的网络安全技术
3.2.1 网络加密技术
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。
如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES 或者IDEA 来加密信息,而采用RSA 来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特。
3.2.2 防火墙技术
防火墙技术是设置在被保护网络和外界之间的一道屏障,是通过计算机硬件和软件的组合来建立起一个安全网关,从而保护内部网络免受非法用户的入侵,它可以通过鉴别、限制,更改跨越防火墙的数据流,来保证通信网络的安全对今后计算机通信网络的发展尤为重要。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和状态监测型。
3.2.3 操作系统安全内核技术
操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。美国国防部技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A 级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2 级,其特征包括:①用户必须通过用户注册名和口令让系统识别;②系统可以根据用户注册名决定用户访问资源的权限;③系统可以对系统中发生的每一件事进行审核和记录;④可以创建其他具有系统管理权限的用户。
3.2.4 身份验证技术身份验证技术
身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
3.2.5 网络防病毒技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH 病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员的能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。
总结
随着信息技术的飞速发展,影响通信网络安全的各种因素也会不断强化,因此计算机网络的安全问题也越来越受到人们的重视,以上我们简要的分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献
【1】 陶阳.计算机与网络安全 重庆:重庆大学出版社,2005.【2】 田园.网络安全教程 北京:人民邮电出版社,2009.【3】 冯登国.《计算机通信网络安全》,清华大学出版社,2001
【4】 陈斌.《计算机网络安全与防御》,信息技术与网络服务,2006(4):35-37.【5】 William Stallings.网络安全基础教程:应用与标准(英文影印版),清华大学出版社,2006(7)
【6】 赵树升等.《信息安全原理与实现》,清华大学出版社,2004(9)
第四篇:浅论计算机网络安全
浅论计算机网络安全
方倩
(北京科技职业学院 新闻传播学院,北京 延庆 102100)
摘要计算机网络为人们带来了极大的便利,同时也在经受着垃圾邮件、病毒和黑客的冲击,因此计算机网络安全技术变得越来越重要。而建立和实施严密的网络安全策略和健全安全制度是真正实现网络安全的基础。
关键词网络安全;防火墙;加密
1引言
在信息化社会的今天,计算机网络在政治、军事、金触、电信、科教等方面的作用日益增强。社会对计算机网络的依赖也日益增大。特别是Internet的出现,使得计算机网络的资源共享进一步加强。随着网络上各种新兴业务的兴起,如电子商务、网络银行(Network Bank),使得网络安全技术的研究成了计算机与通信界的一个热点,并且成了信息科学的一个重要研究领域,日益受到人们的关注。
Internet一方面给人们带来了经济上的实惠、通信上的便捷,但另一方面黑客和病毒的侵扰又把人们置于进退两难的境地。据FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起 Internet计算机侵入事件。
2003年夏天,IT人士在此期间受到了“冲击波”和“霸王虫”蠕虫的双面夹击。“冲击波”(又称“Lovsan”或“MSBlast”)首先发起攻击。病毒最早于当年8月11日被检测出来并迅速传播,两天之内就达到了攻击顶峰。病毒通过网络连接和网络流量传播,利用了Windows 2000/XP的一个弱点进行攻击,被激活以后,它会向计算机用户展示一个恶意对话框,提示系统将关闭。在病毒的可执行文件MSBLAST.EXE代码中隐藏着这些信息:“桑(San),我只想说爱你!”以及“比尔·盖茨(Bill Gates)你为什么让这种事情发生?别再敛财了,修补你的软件吧!”。损失估计为20亿~100亿美元,受到感染的计算机不计其数。“冲击波”一走,“霸王虫”蠕虫便接踵而至,对企业和家庭计算机用户而言,2003年8月可谓悲惨的一月。最具破坏力的变种是Sobig.F,它 8月19日开始迅速传播,在最初的24小时之内,自身复制了100万次,创下了历史纪录(后来被Mydoom病毒打破)。病毒伪装在文件名看似无害的邮件附件之中。被激活之后,这个蠕虫便向用户的本地文件类型中发现的电子邮件地址传播自身。最终结果是造成互联网流量激增。损失估计为50亿~100亿美元,超过100万台计算机被感染.。
我国的信息化刚刚起步,但发展迅速,网络已渗透到国民经济的各个领域。在短短的几年时间里,也发生了多起利用网络进行犯罪的事件,给国家、企业和个人造成了重大的经济损失和危害。特别是金融部门的犯罪,更是令人触目惊心。近两年来,“网游大盗”、“熊猫烧香”、“德芙”、“QQ木马”、“灰鸽子”等木马病毒日益猖獗,以盗取用户密码账号、个人隐私、商业秘密、网络财产为目的。调查显示,趋利性成为计算机病毒发展的新趋势。网上制作、贩卖病毒、木马的活动日益猖獗,利用病毒、木马技术进行网络盗窃、诈骗的网络犯罪活动呈快速上升趋势,网上治安形势非常严峻。
面对如此严重的种种威胁,必须采取有力的措施来保证计算机网络的安全,但现在的大多数计算机网络在建设之初都忽略了安全问题,即使考虑了安全,也只是把安全机制建立在物理安全机制上。2计算机网络安全的含义
从本质上讲,网络安全就是网络上的信息的安全。计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄漏,系统能连续可靠地正常运行,网络服务不被中断。
从广义上看,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控制性的相关技术理论,都是网络安全研究的领域。
从用户角度来说,他们希望涉及个人隐私或商业机密的信息在网络上受到机密性、完整性和真实性的保护,同时希望保存在计算机系统上的信息不受用户的非授权访问和破坏。
从网络运行和管理角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝访问等威胁,制止和防御网络黑客的攻击。
从社会教育的角度来说,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。网络安全的特征
3.1保密性
保密性是指信息不泄漏给非授权用户、实体或过程,或供其利用的特性。3.2完整性
完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改,不被破坏和丢失的特性。
3.3可控性
可控性是指对信息的传播及内容具有控制能力。3.4可用性
可用性是指可被授权实体访问并按需求使用的特性。网络环境下拒绝服务,破坏网络和有关系统的常运行等都属于对可用性的攻击。
4网络安全面临的威胁
从技术角度上看,Internet的不安全因素,一方面是由于它是面向用户的,所有资源通过网络共享,另一方面是它的技术是开放和标准的。因特网是基于TCP/IP协议的,TCP/IP协议在当初设计和后来应用时并未考虑到安全因素,也未曾预料后来应用的爆发增长。这就好像在一间封闭的房间内打开紧闭的玻璃窗,新鲜空气进来发,但大量的灰尘、苍蝇和蚊子等害虫也跟着进来。网络世界也一样,开放的、免费的信息带来了沟通的便利。但垃圾邮件、网络病毒以及黑客等使网络经受着前所未有的冲击。计算机网络面临的威胁大体上分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络安全的因素很多,有些是有意的,有些是无意的;可能是人为的,可能是非人为的,也可能是外来黑客对网络系统资源的非法使用,归结起来,针对网络安全的威胁主要有以下四点[1]。
4.1人为的无意失
误
操作员使用不当,安全配置不规范造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
4.2人为的恶意攻击
此类攻击又分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性、完整性和真实性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,它不会导致系统中信息的任何改动,而且系统的操作和状态也不会被改变,因此这类攻击主要威胁信息的保密性。
4.3网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,例如TCP/IP协议的安全问题,然而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,大部分就是因为软件本身的脆弱性和安全措施不完善所招致的苦果。另外,软件的“后门”是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”打开,其造成的后果将不堪设想。
4.4人自身的因素
人自身的因素主要是指非授权访问、信息漏洞或丢失、破坏完整性。非授权访问是指预先没有经过同意就使用网络或计算机资源。信息丢失包括在传输中丢失或在传输介质中丢失两种,例如黑客常使用窃收方式,利用可能的非法手段窃取系统中的信息资源和敏感信息。
5网络安全的安全策略
5.1 物理安全策略
保证计算机信息系统中各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:①环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;②设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;③媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等方面要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上安装一定的防护措施,来减少或干扰扩散出去的空间信号,这成为政府、军事、金融机构在建设信息中心时首要考虑的问题。[2]
5.2访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问,它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须配合才能真正起到保护作用。访问控制可以说是保证网络安全最重要的核心策略之一。
5.2.1入网访问控制
入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站上入网。用户的入网访问控制分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。用户名或用户账号是所有计算机中最基本的安全形式。实际上,这种“用户 ID+密码”的方法来进行用户的身份认证和访问控制的方案隐含着一些问题。例如,密码容易被忘记,如果用户忘记了他的密码,就不能进入系统。另外,密码被别人盗取则更是一件可怕的事情,因为用心不良的人可能会进一步窃取公司机密数据、可能会盗用别人的名义做不正当的事情,甚至从银行、ATM 终端上提取别人的巨额存款。随着科技的进步,生物识别(Biometric)技术已经开始走入了我们的日常生活之中。目前在世界上许多公司和研究机构都在生物识别技术的研究中取得一些突破性技术,从而推出了许多新产品。目前比较流行的是虹膜识别技术和指纹识别技术。指纹识别作为识别技术已经有很长的历史了,它通过分析指纹的全局特征和指纹的局部特征,并从中抽取非常详尽的特征值来确认一个人的身份。平均每个指纹都有几个独一无二可测量的特征点,每个特征点都有大约七个特征,我们的十个手指产生最少4900个独立可测量的特征,这足够来确认指纹识别是否是一个更加可靠的鉴别方式。另外,扫描指纹的速度很快,使用非常方便;读取指纹时,用户必须将手指与指纹采集头相互接触,与指纹采集头直接接触是读取人体生物特征最可靠的方法;指纹采集头可以更加小型化,并且价格会更加的低廉。这都是指纹识别技术能够占领大部分市场的主要原因。
5.2.2网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源。[3]可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:①特殊用户(即系统管理员);②一般用户,系统管理员根据他们的实际需要为他们分配操作权限;⑧审计用户。负责网络的安全控制与资源使用情况的审计。用户网络资源的访问权限可以用一个访问控制表来描述。
5.2.3 属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性,用户对网络资源的访问权限对应一张访问控制表,用以表明用户对资源的访问能力。属性设置可以覆盖已经指定的任何有效权限。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改和显示等。
5.2.4网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字、声音、短消息等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
5.2.5防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施。它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向的门槛,它用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据窃取。从实现上看,防火墙实际上是一个独立的进程或一组紧密联系的进程,运行于路由器或服务器上,控制经过它们的网络应用服务及传输的数据。目前较流行的一种防火墙是代理防火墙,又称为应用层网关级防火墙,它由代理服务器和过滤路由器组成,它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围来决定是否接受此项服务,若接受,它就向内部网络转发这项请求。
5.3信息加密策略
在各类网络安全技术中,加密技术是基础。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。信息加密是保证信息机密性的惟一方法。加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,将机密信息变成难以读懂的乱码型文字。据不完全统计,目前已经公开发表的各种加密算法多达数百种。如果以密钥为标准,可以将这些算法分为单钥密码(又称对称密钥或私钥密码)和双钥密码(又称非对称密码或公钥密码)。单钥密码的特点是无论加密还是解密都使用同一种密钥,因此,此密码体制的安全性就是密钥的安全。若密钥泄漏,则此密码系统就被攻破。最有影响的单钥密码是 1997年美国国家标准局颁布的DES算法,最近颁布的AES算法作为 DES算法的替代,正在逐渐被人们接受。单钥密码的优点是安全性高,加解码速度快。它的缺点是:密钥的管理困难;无法解决消息确认问题;缺乏自动检测密钥泄漏的能力。在双钥体制下,加密密钥与解密密钥不同,此时不需要安全信道来传送密钥,而只需利用本地密钥发生器产生解密密钥,并以此来控制解密操作。双钥密码是1796年W.Diffie和M.E.Hellman提出来的一种新型密码体制。由于双钥密码体制的加密和解密不同,且能公开加密密钥,而仅需保密解密密钥,所以不存在密钥管理问题。双钥密码还有一个优点就是可以拥有数字签名等新功能。最有名的双钥密码是1977年由 Rivest、Shamir和 Adleman提出来的RSA密码体制。双钥密码的缺点是算法比较复杂,加解密速度慢。在实际使用过程中,加密通常是采用单钥和双钥密码相结合的混合加密体制,即加/解密时采用单钥密码,传送密钥时采用双钥密码。这样既解决了密钥管理的困难,又解决了加/解密速度慢的问题。这无疑是目前解决网络上传输信息安全问题的一种较好的解决办法。
5.4网络安全管理策略
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题,所以应引起各计算机网络应用部门领导的重视。
5.4.1安全管理的基本内容
网络安全管理的根本目标是保证网络和系统的可用性。网络的安全管理涉及网络安全规划、网络安全管理机构、网络安全管理系统和网络安全教育等。它的具体内容包括:标识要保护的对象;确定保护的手段;找出可能的威胁;实现具体的安全措施;要求有较好的性价比;了解网络的安全状态,根据情况变化重新评估并改进安全措施。[4]其中,安全管理原则包括:
5.4.2多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动:①访问控制使用权限的发放与回收;②信息处理系统使用的媒介发放与回收;③处理保密信息;④硬件和软件的维护;⑤系统软件的设计、实现和修改;⑥重要程序和数据的删除和销毁等。
5.4.3 任期有限原则
一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
5.4.4职责分离原则
在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑。下面每组内的两项信息处理工作应当分开。
①计算机操作与计算机编程;②机密资料的接收和传送;③安全管理和系统管理;④应用程序和系统程序的编制;⑤访问证件的管理与其它工作;⑥计算机操作与信息处理系统使用媒介的保管等。
5.4.5安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是①根据工作的重要程度,确定该系统的安全等级;②根据确定的安全等级,确定安全管理的范围;③制订相应的机房出入管理制度;④制订严格的操作规程;⑤制订完备的系统维护制度;⑥制订应急措施。
5.5操作系统安全[5]
操作系统安全是系统安全的基础,要建立一个安全的信息系统,不仅要考虑具体的安全产品,包防火墙、安全路由器、安全网关、IP隧道、虚拟网、侵检测、漏洞扫描、安全测试和监控产品,来被动封堵安全漏洞,而且还要特别注意操作系统平台的安全问题。操作系统作为计算机系统的基础软件用来管理计算机资源的,它直接利用计算机硬件为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件基础,任何想像中的、脱离操作系统的应用软件的高安全性就如同幻想在沙滩上建立坚不可摧的堡垒一样,无根基可言。不难想象,在网络环境中,网络系统安全性依赖于网络中各主机系统的安全性,而主系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无基础可言。所以,操作系统安全是计算机网络系统安全的基础。
6结束语
网络安全技术是伴随着网络的诞生而出现的。但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统的安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术级别从不同层次加强了计算机网络的整体安全性。互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。未来网络安全技术将会涉及计算机网络的各个层次中,随着网络在商业方面的应用日益广泛,围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。
参考文献
[1]楚狂等.网络安全与防火墙技术.人民邮出电版社,2000,(4)
[2]黄允聪等.网络安全基础.清华大学出版社,2000,(9)
[3]聂元铭等.网络信息安全技术.科学出版社2001,(7)
[4]黄俭等.计算机网络安全技术.东南大学出版社,2001,(8)
[5]蔡立军.计算机网络安全技术.中国水利水电出版社,2005
收稿日期:7月5日修改日期:7月12日
作者简介:方倩(1982-),女,本科,研究方向:计算机网络。2005年8月至今在北京科技职业学院任计算机专业教师。
第五篇:计算机网络安全浅析
计算机网络安全浅析
[论文关键词]网络安全 计算机网络 信息网络 黑客 防火墙
[论文摘要]随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全与保密成为一个重要的话题。详细阐述常见的计算机网络安全威胁,进而提出几种常用的网络安全防范措施.一、引言
计算机网络是以共享资源(硬件、软件和数据等)为目的而连接起来的,在协议控制下,由一台或多台计算机、若干台终端设备、数据传输设备、以及便于终端和计算机之间或者若干台计算机之间数据流动的通信控制处理机等组成的系统的集合,这些计算机系统应当具有独立自治的能力。计算机网络的最主要功能是向用户提供资源的共享,而用户本身无需考虑自己以及所用资源在网络中的位置。资源共享包括硬件共享、软件共享和数据共享。随着网络技术在全球迅猛发展,网络信息化在给人们带来种种的方便同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们广泛地使用各种复杂的安全技术,如防火墙、数据加密技术、访问控制技术、通道控制机制,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。如何解决各种来自网络上的安全威胁,怎样才能确保网络信息的安全性。本文通过对网络安全存在的威胁进行分析,总结出对威胁网络安全的几种典型表现形式,从而归纳出常用的网络安全的防范措施。
二、计算机网络安全存在的威胁
由于计算机网络计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络容易受到来自黑客、恶意软件和其它种种攻击。
(一)常见的计算机网络安全威胁主要有:信息泄露、完整性破坏、拒绝服务、网络滥用。
信息泄露:信息泄露破坏了系统的保密性,他是指信息被透漏给非授权的实体。常见的,能够导致信息泄露的威胁有: 网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。
完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒,木马,漏洞来等方式实现。
拒绝服务攻击:对信息或资源可以合法的访问却被非法的拒绝或者推迟与时间密切相关的操作。
网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
(二)常见的计算机网络络安全威胁的表现形式主要有:窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。
窃听:攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。
拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
行为否认:通讯实体否认已经发生的行为。
电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
三、计算机网络安全的防护措施
在当今网络化的世界中,网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如数据被人窃取、服务器不能提供服务等等。随着信息技术的高速发展,网络安全技术也越来越受到重视,由此推动了物理措施、防火墙、访问控制、数据加密、病毒的防护等各种网络安全的防护措施蓬勃发展。
物理措施:比如,保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源等措施。
防火墙:目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问对专用网络的非法访问。
访问控制:对用户访问网络资源的权限进行严格的认证和控制。
数据加密:对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。
病毒的防护:在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近几年来,都是围绕网络安全问题提出了许多解决办法,例如数据加密技术、防火墙技术安、安全审计技术、安全管理技术、系统漏洞检测技术等等。
目前市场普遍被采用的网络安全技术有:主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术。但是,有了安全技术还是远远不够,许多网络安全事件的发生都与缺乏安全防范意识有关,所以,我们要有网络安全防范意识并建立起相应的安全机制(比如:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、信息流填充机制、路由控制机制、公正机制等)就可以使网络安全得到保障。
四、结束语
在网络信息化时代,网络安全已越来越受重视了。虽然现在用于网络安全防护的产品有很多,但是黑客他们仍然无孔不入,对社会造成了严重的危害。根本原因是网络自身的安全隐患无法根除,这就使得黑客进行入侵有机可乘。尽管如此,随着网络安全技术日趋完善,降低黑客入侵的可能性,使网络信息安全得到保障。如何把握网络技术给人们带来方便的同
时,又能使信息安全得到保证,这将是我们培养新一代网络管理人员的目标。
参考文献:[1]张民、徐跃进,网络安全实验教程,清华大学出版社,2007,6.[2]许治坤、王伟、郭添森、杨冀龙,网络渗透技术,电子工业出版社,2005-5-11.[3]武新华、翟长森等编著,黑客攻防秘技大曝光,清华大学出版社,2006.
[4](译)吴世忠、马芳,网络信息安全的真相,机械工业出版社,2001-9-1.
点击咨询 