第一篇:網絡信息安全 滲透測試
網絡信息安全--課程結業報告
重慶交通大學
課程結業報告
班 級:
學 號:
姓 名:
實驗項目名稱:
實驗項目性質:
實驗所屬課程:
實驗室(中心):
指 導 教 師 :
實驗完成時間:
滲透測試
設計性
網絡信息安全
軟件實驗室
2016 年 6 月 30 日
一、概述
網絡滲透測試就是利用所有的手段進行測試,發現和挖掘系統中存在的漏洞,然后撰寫滲透測試報告,將其提供給客戶;客戶根據滲透人員提供的滲透測試報告對系統存在漏洞和問題的地方進行修復和修補。滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。滲透測試與其它評估方法不同,通常的評估方法是根據已知信息資源或其它被評估對象,去發現所有相關的安全問題。滲透測試是根據已知可利用的安全漏洞,去發現是否存在相應的信息資源。
應網絡信息安全課程結課要求,于2016年5月至2016年7月期間,在MobaXterm和kail平臺進行了活動主機和活動端口掃描以及漏洞掃描,最后匯總得到了該分析報告。
二、實驗目的
①熟悉kali平臺和MobaXterm; ②熟悉信息收集的基本方法和技巧;
③了解kali平臺下活動主機和端口掃描的方法; ④了解漏洞掃描的過程;
三、滲透測試范圍
此次滲透測試的對象為:10.1.74.114---Metasploitable2 Linux。
四、本次分析工具介紹
本次測試主要用到了MobaXterm、Nmap、Nessus和kali.MobaXterm是遠程計算的終極工具箱。本次在MobaXterm上運行了10.1.74.111(用戶名和密碼是root:toor)和10.1.74.114(滲透對象,用戶名和密碼:msfadmin:msfadmin)。
如果在虛擬機里運行kali,首先需要安裝好虛擬機,然后下載安裝好滲透環境kail,然后下載安裝滲透對象(Metasploitable2 Linux)。
Kali Linux預裝了許多滲透測試軟件,包括nmap(端口掃描器)、Wireshark(數據
包分析器)、John the Ripper(密碼破解器),以及Aircrack-ng(一套用于對無線局域網進行滲透測試的軟件).本次測試嘗試了Metasploit,但技術不成熟,不知道哪里出錯,沒有成功。
圖1運行Metasploit結果圖
圖2 運行Metasploit結果圖
圖3 運行Metasploit結果圖3 在漏洞掃描時,因為教學網上說Kali中內置了OpenVAS的,所以打算用這個工具
作為掃描工具的,可是在我使用的kali平臺里并沒有這個內置的工具。
圖4 沒有內置OpenVAS的kali
本次實驗還是使用了nmap的圖形化掃描工具zenmap。Nmap是目前為止使用最廣的端口掃描工具之一,軟件提供一些非常實用的功能。比如通過tcp/ip來甄別操作系統類型、秘密掃描、動態延遲和重發、平行掃描、通過并行的PING偵測下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口的描述。
除了以上工具,本次還用了Nessus,這個工具是目前全世界最多人使用的系統漏洞掃描與分析軟件。
五、實驗主要內容及原理
1、信息收集—掃描活動主機
可以使用一些命令來進行局域網內的活動主機的掃描。常用的命令有 fping、nping、netenum、netdiscover 等。
本次滲透測試選用了netdiscover來獲取LAN 中活動主機及其MAC。
2、信息收集—掃描目標主機活動端口
信息收集有兩種方式,一種是命令行方式,一種是圖形化界面方式。常用的命令是 namp,使用語法:nmap 參數 目標主機IP 地址。圖形界面工具是zenmap。
3、信息收集—掃描漏洞
Nessus是使用比較多的系統漏洞掃描與分析軟件。
六、實驗過程簡述
1、信息收集-掃描活動主機
實驗步驟:在MobaXterm下進行命令行形式進行活動主機的掃描:
fping:掃描指定范圍內的活動主機(fping-s-r 1-g 202.202.240.1 202.202.240.254);
nping:對防火墻過濾ICMP或主機不對ICMP響應的情況,則可不使用ICMP,直接定制TCP包發出運行nping-c1--tcp-p 80--flags syn 202.202.240.6;
netenum:速度超快的活動主機掃描器(運行netenum 202.202.240.0/24 10)(10代表超時時間,越長越準確)
netdiscover:獲取LAN中活動主機及其MAC等信息(運行netdiscover即可); 也在虛擬機里進行了netdiscover掃描。
2、信息收集—掃描目標主機活動端口
實驗步驟:在MobaXterm中輸入下列的命令即可完成目標主機活動端口的掃描: TCP連接掃描: nmap-sT-p--PN 202.202.240.6 SYN 掃描: nmap-sS-p--PN 202.202.240.6 Xmas 掃描:nmap-sX-p--PN 202.202.240.6 Null 掃描:nmap-sN-p--PN 202.202.240.6
3、信息收集—掃描漏洞
實驗步驟:Nessus是目前全世界最多人使用的系統漏洞掃描與分析軟件。以下為安裝及配置步驟:
下載Nessus軟件進行注冊,選擇家庭版,注冊號將發送到郵箱 使用命令dpkg-i Nessus-6.3.7-debian6_amd64.deb 命令進行安裝
運行命令 /opt/nessus/bin/nessus-fetch--register(你得到的注冊號)進行注冊及更新模塊
運行命令/opt/nessus/sbin/nessus-adduser添加用戶并設為管理員(需記住,后面登錄要使用)
運行命令/etc/init.d/nessusdsta啟動nessus服務
打開瀏覽器,輸入https://127.0.0.1:8834登錄Nessus即可(先定策略,再掃描)
七、實驗結果及分析
1、信息收集-掃描活動主機
圖5使用fping掃描活動主機結果1
圖6使用fping掃描活動主機結果2
通過運行fping-s-r 1-g 202.202.240.1 202.202.240.254來掃描IP地址從
202.202.240.1 到202.202.240.254的活動主機,(-s)打印出最后的結果;(-r 1)重復次數為1,默認情況下為3;(-g)生成目標列表,指定目標列表的起始和結束IP,此次起始IP為202.202.240.1,結束IP為202.202.240.254。共掃描254個目標,其中74個存活,176個不可達,沒有不知的IP地址。
圖7使用nping掃描活動主機結果
圖8使用netenum掃描結果
使用來進行netenum掃描,顯示的是202.202.240.0/24這個網段的活動主機,顯示的結果。
圖9netdiscover掃描結果
從上面的圖中可以看出,netdiscover會顯示出活動主機的IP地址、MAC地址等信息。
2、信息收集—掃描目標主機活動端口
圖10 nmap掃描結果1
圖11 nmap掃描結果2
圖12 nmap掃描結果3
圖13 nmap掃描結果4 上圖是使用nmap掃描目標主機活動端口的結果,本次實驗是掃描202.202.240.6的活動端口,從結果中可以看出使用TCP連接掃描和SYN掃描結果80端口是開啟的,Xmas和Null掃描運行不出結果,可能是掃描的時間不夠,活動端口掃描不是快速完成的。掃描結果會顯示活動的端口號以及提供的服務。
下面是在虛擬機的kali平臺里使用zenmap對10.1.74.114進行端口掃描的結果。由于掃描結果太多,所以只對部分進行了截圖分析。
圖14zenmap掃描結果
使用zenmap對活動端口進行掃描比使用命令行簡單,得到的結果比輸入命令得到的結果更加詳細。
3、信息收集—掃描漏洞
圖15Nessus掃描漏洞結果1 從掃描結果看出10.1.74.111有3個高危漏洞,18個中危漏洞,5個低危漏洞。下圖為掃描10.1.74.111的部分具體漏洞圖。
圖16Nessus掃描結果2
八、心得體會
通過本次網絡信息安全課程的學習,對滲透過程有了一定的了解,其基本步驟可總結為首先進行信息收集,可以收集的信息有活動主機、端口等等,然后掃描主機的漏洞,并對漏洞加以利用,從而達到攻擊的目的。
這次設計對各個模塊有了淺顯的認識,深入程度還有待提高。
第二篇:網絡信息安全測試模擬試題 歸類
判斷題
信息安全定義
3.只要投資充足,技術措施完備,就能夠保證百分之百的信息安全。27.信息在使用中不僅不會被消耗掉,還可以加以復制。
43.防止靜態信息被非授權訪問和防止動態信息被截取解密是____。A:數據完整性
B:數據可用性
C:數據可靠性
D:數據保密性
69.在ISO/IEC 17799中,防止惡意軟件的目的就是為了保護軟件和信息的____。
A:安全性
B:完整性
C:穩定性
D:有效性 78.關于信息安全,下列說法中正確的是____。
A:信息安全等同于網絡安全
B:信息安全由技術措施實現 C:信息安全應當技術與管理并重
D:管理措施在信息安全中不重要 41.信息安全在通信保密階段中主要應用于____領域。
A:軍事
B: 商業
C:科研
D:教育
69.確保信息在存儲、使用、傳輸過程中不會泄露給非授權的用戶或者實體的特性是____。A:完整性
B:可用性
C:可靠性
D:保密性
管理學
14.實現信息安全的途徑要借助兩方面的控制措施、技術措施和管理措施,從這里就能看出技術和管理并重的基本思想,重技術輕管理,或者重管理輕技術,都是不科學,并且有局限性的錯誤觀點。
36.網絡和信息系統的關節崗位人選不得出現在其他關鍵崗位兼職的情況。66.下述關于安全掃描和安全掃描系統的描述錯誤的是____。A:安全掃描在企業部署安全策略中處于非常重要的地位
B:安全掃描系統可用于管理和維護信息安全設備的安全
C:安全掃描系統對防火墻在某些安全功能上的不足不具有彌補性 D:安全掃描系統是把雙刃劍
71.策略應該清晰,無須借助過多的特殊一通用需求文檔描述,并且還要有具體的____。A:管理支持
B:技術細節
C:補充內容
D:實施計劃 47.在PDR安全模型中最核心的組件是____。
A:策略
B:保護措施
C:檢測措施
D:響應措施
79.在PPDRR安全模型中,____是屬于安全事件發生后的補救措施。
A:保護
B:恢復
C:響應
D:檢測 44.信息安全領域內最關鍵和最薄弱的環節是____。A:技術
B:策略
C:管理制度
D:人
58.下列關于信息安全策略維護的說法,____是錯誤的。A:安全策略的維護應當由專門的部門完成
B:安全策略制定完成并發布之后,不需要再對其進行修改
C:應當定期對安全策略進行審查和修訂
D:維護工作應當周期性進行
66.對日志數據進行審計檢查,屬于____類控制措施。
A:預防
B:檢測
C:威懾
D:修正 74.信息安全中的木桶原理,是指____。
A:整體安全水平由安全級別最低的部分所決定 B:整體安全水平由安全級別最高的部分所決定 C:整體安全水平由各組成部分的安全級別平均值所決定 D:以上都不對
76.根據權限管理的原則,—個計算機操作員不應當具備訪問____的權限。
A:操作指南文檔
B:計算機控制臺
C:應用程序源代碼
D:安全指南
物理
37.二類故障:包括電源等系統故障。
38.二類故障:空調、通風、發電機、門禁、照明等系統故障。45.設備放置應考慮到便于維護和相對的安全區域內。70.環境安全策略應該____。
網絡
13.信息安全的層次化特點決定了應用系統的安全不僅取決于應用層安全機制,同樣依賴于底層的物理、網絡和系統等層面的安全狀況。
19.網絡邊界保護中主要采用防火墻系統,在內網和外網之間存在不經過防火墻控制的其他通信連接,不會影響到防火墻的有效保護作用。
20.防火墻雖然是網絡層重要的安全機制,但是它對于計算機病毒缺乏保護能力。
A:詳細而具體
B:復雜而專業
C:深入而清晰
D:簡單而全面
24.防火墻在靜態包過濾技術的基礎上,通過會話狀態檢測技術將數據包的過濾處理效率大幅提高。
29.防火墻屬于網絡安全的范疇,是網絡安全保護中最基本的安全機制,只能在內部網絡的邊界處提供動態包過濾、應用安全代理等安全服務。57.IPSec協議中涉及到密鑰管理的重要協議是____。A:IKE
B:AH
C:ESP
D:SSL 58.入侵檢測技術可以分為誤用檢測和____兩大類。
A:病毒檢測
B:詳細檢測
C:異常檢測
D: 漏洞檢測
72.在一個企業網中,防火墻應該是____的一部分,構建防火墻時首先要考慮其保護的范圍。A:安全技術
B:安全設置
C:局部安全策略
D:全局安全策略 59.防火墻最主要被部署在____位置。
A:網絡邊界
B:骨干線路
C:重要服務器
D:桌面終端
主機
31.主機和系統是信息系統威脅的主要目標之一。
33.強制執行策略:沒有強制性的用戶安全策略就沒有任何價值。
應用
39.定時清理IE瀏覽器的臨時文件夾,并不能防止部分敏感內容的泄露。41.應用和業務安全管理不屬于信息安全管理制度。
數據
1.根據ISO 13335標準,信息是通過在數據上施加某些約定而賦予這些數據的特殊含義。44.網絡數據備份的實現主要需要考慮的問題不包括____。
A:架設高速局域網
B:分析應用環境
C:選擇備份硬件設備
D:選擇備份管理軟件
70.系統備份與普通數據備份的不同在于,它不僅備份系統中的數據,還備份系統中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息,以便迅速____。
A:恢復整個系統
B:恢復所有數據
C:恢復全部程序
D:恢復網絡設置 78.____能夠有效降低磁盤機械損壞給關鍵數據造成的損失。A:熱插拔
B:SCSI
C:RAID
D:FAST-ATA
病毒和木馬
45.針對操作系統安全漏洞的蠕蟲病毒根治的技術措施是____。
A:防火墻隔離
B:安裝安全補丁程序
C:專用病毒查殺工具
D:部署網絡入侵檢測系統
46.計算機病毒最本質的特性是____。
A:寄生性
B:潛伏性
C:破壞性
D:攻擊性
48.《計算機病毒防治管理辦法》規定,____主管全國的計算機病毒防治管理工作。A:信息產業部
B:國家病毒防范管理中心
C:公安部公共信息網絡安全監察
D:國務院信息化建設領導小組 49 計算機病毒的實時監控屬于____類的技術措施。A:保護
B:檢測
C:響應
D:恢復
50.下列能夠有效地防御未知的新病毒對信息系統造成破壞的安全措施是____。A:防火墻隔離
B:安裝安全補丁程序
C:專用病毒查殺工具
D:部署網絡入侵檢測系統 51.下列不屬于網絡蠕蟲病毒的是____。
業務連續性和應急響應
46.凡信息網絡發生的事件、事故和案件,均應按規定由有關使用單位在48小時內向當地縣級以上公安局觀報告。
46.關于災難恢復計劃錯誤的說法是____。
A:應考慮各種意外情況
B:制定詳細的應對處理辦法
C:建立框架性指導原則,不必關注于細節
D:正式發布前,要進行討論和評審 74.災難恢復計劃或者業務連續性計劃關注的是信息資產的____屬性。
A:可用性
B:真實性
C:完整性
D:保密性
信息安全保障體系
4.我國在2006年提出的《2006~2020年國家信息化發展戰略》將“建設國家信息安全保障體系”作為9大戰略發展方向之一。
5.2003年7月國家信息化領導小組第三次會議發布的27號文件,是指導我國信息安全保障工作和加快推進信息化的綱領性文獻。
15.按照BS 7799標準,信息安全管理應當是一個持續改進的周期性過程。
30.方針和策略是信息安全保證工作的整體性指導和要求。安全方針和策略不需要有相應的A:沖擊波
B:SQLSLAMMER
C:CIH
D:振蕩波
制定、審核和改進過程。
42.IS0 17799/IS0 27001最初是由____提出的國家標準。
A:美國
B:澳大利亞
C:英國
D:中國
59.根據BS 7799的規定,建立的信息安全管理體系ISMS的最重要特征是____ A:全面性
B:文檔化
C:先進性
D:制度化 67.關于安全審計目的描述錯誤的是____。
A:識別和分析未經授權的動作或攻擊
B:記錄用戶活動和系統管理 C:將動作歸結到為其負責的實體
D:實現對安全事件的應急響應
60.安全審計是一種很常見的安全控制措施,它在信息安全保障體系中,屬于____措施
A:保護
B:檢測
C:響應
D:恢復 80.信息安全評測標準CC是____標準。
A:美國
B:國際
C:英國
D:澳大利亞
42.下面所列的____安全機制不屬于信息安全保障體系中的事先保護環節。
A:殺毒軟件
B:數字證書認證
C:防火墻
D:數據庫加密
79.相對于現有殺毒軟件在終端系統中提供保護不同,____在內外網絡邊界處提供更加主動和積極的病毒保護。
等級保護
8.GB 17859與目前等級保護所規定的安全等級的含義不同,GB 17859中等級劃分為現在的等級保護奠定了基礎。
34.信息系統的安全保護等級由各業務子系統的最高等級決定。47.信息系統安全等級劃分第五級為自主保護級。
48.我國在1999年發布的國家標準____為信息安全等級保護奠定了基礎。
A:GB 17799
B:GB 15408
C:GB 17859
D:GB 14430 49.信息安全等級保護的5個級別中,____是最高級別,屬于關系到國計民生的最關鍵信息系統的保護。
A:強制保護級
B:專控保護級
C:監督保護級
D:指導保護級
E:自主保護級 50.____是進行等級確定和等級保護管理的最終對象。
A:業務系統
B:功能模塊
C:信息系統
D:網絡系統
51.當信息系統中包含多個業務子系統時,對每個業務子系統進行安全等級確定,最終信息系統的安全等級應當由____所確定。
A:業務子系統的安全等級平均值
B:業務子系統的最高安全等級
C:業務子系統的最低安全等級
D:以上說法都錯誤
60.根據BS 7799的規定,對信息系統的安全管理不能只局限于對其運行期間的管理維護,而要將管理措施擴展到信息系統生命周期的其他階段,BS7799中與此有關的一個重要方面就
A:防火墻
B:病毒網關
C:IPS
D:IDS 是____。
A:訪問控制
B:業務連續性
C:信息系統獲取、開發與維護
D:組織與人員 61.如果一個信息系統,其業務信息安全性或業務服務保證性受到破壞后,會對社會秩序和公共利益造成一定損害,但不損害國家安全;本級系統依照國家管理規范和技術標準進行自主保護,必要時,信息安全監管職能部門對其進行指導。那么該信息系統屬于等級保護中的____。
A:強制保護級
B:監督保護級
C:指導保護級
D:自主保護級
63.如果一個信息系統,其業務信息安全性或業務服務保證性受到破壞后,會對公民法人和其他組織的合法權益產生損害,但不損害國家安全、社會秩序和公共利益;本級系統依照國家管理規范和技術標準進行自主保護。那么其在等級保護中屬于____。
A:強制保護級
B:監督保護級
C:指導保護級
D:自主保護級
80.《信息系統安全等級保護基本要求》中,對不同級別的信息系統應具備的基本安全保護能力進行了要求,共劃分為____級。
風險管理
16.雖然在安全評估過程中采取定量評估能獲得準確的分析結果,但是由于參數確定較為困難,往往實際評估多采取定性評估,或者定性和定量評估相結合的方法。
18.定性安全風險評估結果中,級別較高的安全風險應當優先采取控制措施予以應對。25.通常在風險評估的實踐中,綜合利用基線評估和詳細評估的優點,將二者結合起來。26.脆弱性分析技術,也被通俗地稱為漏洞掃描技術。該技術是檢測遠程或本地系統安全脆弱性的一種安全技術。
52.下列關于風險的說法,____是錯誤的。
A:風險是客觀存在的B:導致風險的外因是普遍存在的安全威脅 C:導致風險的外因是普遍存在的安全脆弱性
D:風險是指一種可能性 53.風險管理的首要任務是____。
A:風險識別和評估
B:風險轉嫁
C:風險控制
D:接受風險 54.安全威脅是產生安全事件的____。
A:內因
B:外因
C:根本原因
D:不相關因素 55.安全脆弱性是產生安全事件的____。
A:內因
B:外因
C:根本原因
D:不相關因素 54.關于資產價值的評估,____說法是正確的。
A:資產的價值指采購費用
B:資產的價值無法估計
C:資產價值的定量評估要比定性評估簡單容易
D:資產的價值與其重要性密切相關 67.根據風險管理的看法,資產具有價值,存在脆弱性,被安全威脅____,____風險。
A:4
B:5
C:6
D:7 A:存在 利用
B:利用 導致
C:導致 存在 D:存在 具有
合規
6.在我國,嚴重的網絡犯罪行為也不需要接受刑法的相關處罰。
12.一個完整的信息安全保障體系,應當包括安全策略(Policy)、保護(Protection)、檢測(Detection)、響應(Reaction)、恢復(Restoration)五個主要環節。
17.一旦發現計算機違法犯罪案件,信息系統所有者應當在2天內迅速向當地公安機關報案,并配合公安機關的取證和調查。N 21.我國刑法中有關計算機犯罪的規定,定義了3種新的犯罪類型。
22.信息技術基礎設施庫(ITIL),是由英國發布的關于IT服務管理最佳實踐的建議和指導方針,旨在解決IT服務質量不佳的情況。
23.美國國家標準技術協會NIST發布的《SP 800-30》中詳細闡述了IT系統風險管理內容。42.安全管理的合規性,主要是指在有章可循的基礎之上,確保信息安全工作符合國家法律、法規、行業標準、機構內部的方針和規定。
68.根據《計算機信息系統國際聯網保密管理規定》的規定,凡向國際聯網的站點提供或發布信息,必須經過____。
A:內容過濾處理
B:單位領導同意
C:備案制度
D:保密審查批準 45.《計算機信息系統安全保護條例》是由中華人民共和國____第147號發布的。
A:國務院令
B:全國人民代表大會令
C:公安部令
D:國家安全部令
61.根據《計算機信息系統國際聯網保密管理規定》,涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其他公共信息網絡相連接,必須實行____。A:邏輯隔離
B:物理隔離
C:安裝防火墻
D:VLAN劃分 64.GB l7859借鑒了TCSEC標準,這個TCSEC是____國家標準。
A:英國
B:意大利
C:美國
D:俄羅斯
73.《確保網絡空間安全的國家戰略》是____發布的國家戰略。A:英國
B:法國
C:德國
D:美國
認證
7.windows2000/XP系統提供了口令安全策略,以對帳戶口令安全進行保護。
9.口令認證機制的安全性弱點,可以使得攻擊者破解合法用戶帳戶信息,進而非法獲得系統和資源訪問權限。
10.PKI系統所有的安全操作都是通過數字證書來實現的。
11.PKI系統使用了非對稱算法、對稱算法和散列算法。
28.口令管理方式、口令設置規則、口令適應規則等屬于口令管理策略。
56.在使用復雜度不高的口令時,容易產生弱口令的安全脆弱性,被攻擊者利用,從而破解
用戶帳戶,下列____具有最好的口令復雜度。
A:morrison
B:Wm.$*F2m5@
C:27776394
D:wangjingl977 62.關于口令認證機制,下列說法正確的是____。
A:實現代價最低,安全性最高
B:實現代價最低,安全性最低 C:實現代價最高,安全性最高
D:實現代價最高,安全性最低 63.身份認證的含義是____。
A:注冊一個用戶
B:標識一個用戶
C:驗證一個用戶
D:授權一個用戶 64.口令機制通常用于____。
A:認證
B:標識
C:注冊
D:授權
73.基于密碼技術的訪問控制是防止____的主要防護手段。
A:數據傳輸泄密
B:數據傳輸丟失
C:數據交換失敗
D:數據備份失敗 75.____是最常用的公鑰密碼算法。
A:RSA
B:DSA
C:橢圓曲線
D:量子密碼 76.PKI的主要理論基礎是____。56.PKI是____。
A:對稱密碼算法
B:公鑰密碼算法
C:量子密碼
D:摘要算法 A:Private Key lnfrastructure
B:Public Key lnstitute C:Public Key lnfrastructure
D:Private Key lnstitute 57.PKI所管理的基本元素是____。
A:密鑰
B:用戶身份
C:數字證書
D:數字簽名 77.PKI中進行數字證書管理的核心組成模塊是____。
A:注冊中心RA
B:證書中心CA
C:目錄服務器
D:證書作廢列表 77.我國正式公布了電子簽名法,數字簽名機制用于實現____需求。A:抗否認
B:保密性
C:完整性
D:可用性
多選題
81.在互聯網上的計算機病毒呈現出的特點是____。B:所有的病毒都具有混合型特征,破壞性大大增強
C:因為其擴散極快,不再追求隱蔽性,而更加注重欺騙性 D:利用系統漏洞傳播病毒E:利用軟件復制傳播病毒
82.在刑法中,____規定了與信息安全有關的違法行為和處罰依據。A:第285條
B:第286條
C:第280條
D:第287條
83.____可能給網絡和信息系統帶來風險,導致安全事件。
A:與因特網更加緊密地結合,利用一切可以利用的方式進行傳播
A:計算機病毒
B:網絡入侵
C:軟硬件故障
D:人員誤操作
E:不可抗災難事件
84.____安全措施可以有效降低軟硬件故障給網絡和信息系統所造成的風險。
85.目前,我國在對信息系統進行安全等級保護時,劃分了5個級別,包括____。
A:專控保護級
B:強制保護級
C:監督保護級
D:指導保護級
E:自主保護級
86.下列____因素,會對最終的風險評估結果產生影響。
87.下列____因素與資產價值評估有關。
A:購買資產發生的費用
B:軟硬件費用
C:運行維護資產所需成本 D:資產被破壞所造成的損失
E:人工費用
A,C,D
88.安全控制措施可以分為____。
A:管理類
B:技術類
C:人員類
D:操作類
E:檢測類
89.信息安全技術根據信息系統自身的層次化特點,也被劃分了不同的層次,這些層次包括____。
A:物理層安全
B:人員安全
C:網絡層安全
D:系統層安全
E:應用層安全
90.在BS 7799中,訪問控制涉及到信息系統的各個層面,其中主要包括____。
A:物理訪問控制
B:網絡訪問控制
C:人員訪問控制
D:系統訪問控制
E:應用訪問控制
91.關于入侵檢測和入侵檢測系統,下述正確的選項是____。A:入侵檢測收集信息應在網絡的不同關鍵點進行 B:入侵檢測的信息分析具有實時性
C:基于網絡的入侵檢測系統的精確性不及基于主機的入侵檢測系統的精確性高 D:分布式入侵檢測系統既能檢測網絡的入侵行為又能檢測主機的入侵行為 E:入侵檢測系統的主要功能是對發生的入侵事件進行應急響應處理
92.《計算機信息網絡國際聯網安全保護管理辦法》規定,任何單位和個人不得制作、復制、發布、傳播的信息內容有____。A:損害國家榮譽和利益的信息
A:管理制度
B:資產價值
C:威脅
D:脆弱性
E:安全措施
A:雙機熱備
B:多機集群
C:磁盤陣列
D:系統和數據備份
E:安全審計 B:個人通信地址 C:個人文學作品 D:淫穢、色情信息
E:侮辱或者誹謗他人,侵害他人合法權益的信息
93.基于角色對用戶組進行訪問控制的方式有以下作用:____。A:使用戶分類化
B:用戶的可管理性得到加強
C:簡化了權限管理,避免直接在用戶和數據之間進行授權和取消 D:有利于合理劃分職責 E:防止權力濫用
C,D,E
94.有多種情況能夠泄漏口令,這些途徑包括____。A:猜測和發現口令 B:口令設置過于復雜 C:將口令告訴別人 D:電子監控
E:訪問口令文件
95.在局域網中計算機病毒的防范策略有____。A:僅保護工作站 B:保護通信系統 C:保護打印機 D:僅保護服務器
E:完全保護工作站和服務器
A,D,E
96.根據IS0定義,信息安全的保護對象是信息資產,典型的信息資產包括____。
A:硬件
B:軟件
C:人員
D:數據
E:環境
B,C
97.治安管理處罰法規定,____行為,處5日以下拘留;情節較重的,處5日以上10日以下拘留。
A:違反國家規定,侵入計算機信息系統,造成危害的
B:違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行的
C:違反國家規定,對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的
D:故意制作、傳播計算機病毒等破壞性程序,影口向計算機信息系統正常運行的 A,B,C,D
98.網絡入侵檢測系統,既可以對外部黑客的攻擊行為進行檢測,也可以發現內部攻擊者的操作行為,通常部署在____。
A:關鍵服務器主機
B:網絡交換機的監聽端口
C:內網和外網的邊界
D:桌面系統
E:以上都正確
B,C
99.IPSec是網絡層典型的安全協議,能夠為IP數據包提供____安全服務。
A:保密性
B:完整性
C:不可否認性
D:可審計性
E:真實性
A,B,E
100.信息安全策略必須具備____屬性。
A:確定性
B:正確性
C:全面性
D:細致性
E:有效性
83.與計算機有關的違法案件,要____,以界定是屬于行政違法案件,還是刑事違法案件。A:根據違法行為的情節和所造成的后果進行界定 B:根據違法行為的類別進行界定 C:根據違法行為人的身份進行界定 D:根據違法行為所違反的法律規范來界定
84.互聯網服務提供者和聯網使用單位應當落實的互聯網安全保護技術措施包括____。
A:防范計算機病毒、網絡入侵和攻擊破壞等危害網絡安全事項或者行為的技術措施 B:重要數據庫和系統主要設備的冗災備份措施
C:記錄并留存用戶登錄和退出時間、主叫號碼、帳號、互聯網地址或域名、系統維護日志的技術措施
D:法律、法規和規章規定應當落實的其他安全保護技術措施
A,B,C,D
85.典型的數據備份策略包括____。
86.我國信息安全等級保護的內容包括____。些信息的信息系統分等級實行安全保護
A:對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸和處理這
A:完全備份
B:增量備份
C:選擇性備份
D:差異備份
E:手工備份
A,B,D
A,B,D
A,C,E B:對信息系統中使用的信息安全產品實行按等級管理 C:對信息安全從業人員實行按等級管理
D:對信息系統中發生的信息安全事件按照等級進行響應和處置E:對信息安全違反行為實行按等級懲處
89.物理層安全的主要內容包括____。
A:環境安全
B:設備安全
C:線路安全
D:介質安全
E:人員安全
A,B,D
90.計算機信息系統安全的三個相輔相成、互補互通的有機組成部分是____。A:安全策略
B:安全法規
C:安全技術
D:安全管理
A,B,D
93.PKI是生成、管理、存儲、分發和吊銷基于公鑰密碼學的公鑰證書所需要的____的總和。A:硬件
B:軟件
C:人員
D:策略
E:規程
A,B,C,D,E
94.全國人民代表大會常務委員會《關于維護互聯網安全的決定》規定,為了維護社會主義市場經濟秩序和社會管理秩序,____行為,構成犯罪的,依照刑法有關規定追究刑事責任。A:利用互聯網銷售偽劣產品或者對商品、服務作虛假宣傳 B:利用互聯網侵犯他人知識產權
C:利用互聯網編造并傳播影響證券、期貨交易或者其他擾亂金融秩序的虛假信息
D:利用互聯網損害他人商業信譽和商品聲譽
E:在互聯網上建立淫穢網站、網頁,提供淫穢站點鏈接服務,或者傳播淫穢書刊、影片、音像、圖片
96.____是建立有效的計算機病毒防御體系所需要的技術措施。
A:殺毒軟件
B:補丁管理系統
C:防火墻
D:網絡入侵檢測
E:漏洞掃描 A,B,C,D,E
97.在安全評估過程中,安全威脅的來源包括____。
98.在信息安全管理中進行安全教育與培訓,應當區分培訓對象的層次和培訓內容,主要包括____。
A:高級管理層
B:關鍵技術崗位人員
C:第三方人員
D:外部人員
E:普通計算機用戶
A,B,E
100.涉密安全管理包括____。
A:外部黑客
B:內部人員
C:信息技術本身
D:物理環境
E:自然界
A,B,C,D,E A,B,C,D,E
A,B,D A:涉密設備管理
B:涉密信息管理
C:涉密人員管理
D:涉密場所管理
E:涉密媒體管理 B,C,D,E
第三篇:2016年稅務系統網絡信息安全知識測試
一、判斷對錯(每題2分,答錯不扣分,共計30分)1.違反法律、違反道德、破壞信息安全的可嚴重侵犯公民隱私和影響中國社會穩定的信息,均可稱為不良信息。
2.在我國凡是違背社會主義精神文明建設的要求,違背中華民族優良文化傳統習慣以及違背社會公德的各類信息就是網絡不良信息。3.網上的安全審計主要是對系統中的各類活動進行跟蹤記錄,為以后安全事件的追蹤、漏洞的分析提供一些原始證據。
4.隨著國際信息安全領域的事件頻繁發生,無論是高層領導或是專家或是普通民眾對信息安全問題都高度重視。
5.對于信息安全危險的分類,從危險的來源來分,可分為內部的危險和外部的危險。
6.以云計算、物聯網等為代表的新一輪信息技術革命,正在成為全球后金融時代社會和經濟發展共同關注的重點。
7.“安全”一詞是指將服務與資源的脆弱性降到最低限度。8.目前我國重要的信息系統和工業控制系統是自主生產的,不會產生對外依賴。
9.對于從美國出口到我國的設備,美國安全局會提前有意植入一些后門或者植入一些微軟件。
10.我國信息技術產品的國產化程度非常低,很多重要信息系統還是由外國廠家提供,網絡防護十分薄弱。
11.用戶在處理廢棄硬盤時,只要將電腦硬盤內的數據格式化就可以了,數據就不可能被恢復了。12.瀏覽器緩存和上網歷史記錄能完整還原用戶訪問互聯網的詳細信息,并反映用戶的使用習慣、隱私等。因此應當定期清理這些信息以避免他人獲得并造成隱私泄密。
13.大數據的特點是數據量巨大,是指數據存儲量已經從TB級別升至PB級別。
14.信息系統建設完成后,運營、使用單位或者其主管部門應當選擇具有信息系統安全等級保護測評資質的測評機構,定期對信息系統安全等級狀況開展等級測評。
15.機密性、完整性和可用性是評價信息資產的三個安全屬性。
二、單項選擇(每題3分,共計30分)
1.內部人員對系統產生誤操作,濫用權力,個別系統里的人內外勾結,這是屬于安全威脅來源的()方面。
A.內部方面
B.外部方面
C.人為方面
D.意外方面
2.2014年,中央成立網絡安全與信息化領導小組,并由()同志親自擔任組長。
A.李克強
B.劉云山
C.習近平 D.張德江
3.計算機水平高超的電腦專家,他們可以侵入到你正常的系統,不經授權修改你的程序,修改你的系統,這類統稱為()。
A.漏洞
B.病毒
C.黑客
D.間諜
4.()被廣泛認為是繼報紙、電臺、電視之后的第四媒體。
A.互聯網
B.電話
C.廣播
D.手機
5.最近,國務院下發的5號文件明確提出加快推進()的應用,給我們的安全問題提出了新的嚴峻挑戰。
A.云計算
B.大數據
C.物聯網
D.互聯網
6.中央網絡安全和信息化領導小組要求把我國建設成為()。
A.技術強國
B.信息強國
C.科技強國 D.網絡強國
7.下列屬于網絡詐騙的方式的是()。
A.中獎詐騙
B.釣魚詐騙
C.QQ視頻詐騙
D.以上都是
8.網絡社會的本質變化是()。
A.信息碎片化
B.網絡碎片化
C.跨越時空的碎片化
D.生活的碎片化
9.由于遭遇()的入侵,伊朗的核計劃至少推遲了兩年多。
A.特洛伊木馬
B.蠕蟲病毒
C.震網病毒
D.邏輯炸彈
10.計算機病毒是()A.一種芯片
B.具有遠程控制計算機功能的一段程序 C.一種生物病毒
D.具有破壞計算機功能或毀壞數據的一組程序代碼
三、多項選擇題(每題4分,共計40分)2.安全使用郵箱應該做到的有()
A.對于隱私或重要的文件可以加密之后再發送 B.為郵箱的用戶賬號設置高強度的口令 C.區分工作郵箱和生活郵箱
D.不要查看來源不明和內容不明的郵件,應直接刪除 3.以下關于盜版軟件的說法,錯誤的是()。A.若出現問題可以找開發商負責賠償損失 B.使用盜版軟件不違反法律
C.成為計算機病毒的重要來源和傳播途徑之一 D.可能會包含不健康的內容
4.信息安全是一個不斷攻防演練的過程,一個不斷發展的過程,遵循PDCA模型,其中,PDCA是指()。
A.Plan B.Act C.Check D.Aim E.Do 5.根據涉密網絡系統的分級保護原則,涉密網絡的分級有哪些?()A.秘密 B.內部 C.機密 D.絕密
6.稅務系統信息安全體系建設的主要內容有()A.建設統一、完善的網絡安全防護系統
B.建立全網統一的基于PKI的網絡信任系統及其安全基礎設施。C.基于網絡安全防護系統和安全基礎設施,構建統一的安全支撐平臺和應用支撐平臺。
D.基于安全支撐平臺和應用支撐平臺,建設涵蓋各類稅收業務的安全應用系統。
E.建設一體化的信息安全管理系統和服務于安全管理系統的安全管理平臺。
7.稅務系統信息安全體系的構成()A.一個決策領導層
B.四個安全系統(安全管理系統、網絡防護系統、安全基礎設施系統、安全應用系統)
C.三個安全平臺(安全支撐平臺、應用支撐平臺、安全管理平臺)D.金稅三期核心征管系統
8.稅務系統信息安全體系的實施原則()A.統籌規劃、分步實施 B.聯合共建、互聯互通 C.安全保密、先進可靠 D.經濟實用、靈活方便 E.統一標準、統一規范 9.稅務系統網絡與信息安全防護體系建設經歷過以下()階段 A.首期 B.二期 C.三期 D.四期
10.稅務系統網絡與信息安全建設第三期的內容有()
A.采用網絡準入控制系統阻止不符合安全要求的計算機終端接入數據中心局域網
B.在網絡中部署安全性檢查與補丁分發系統,對接入數據中心局域網的計算機終端進行安全檢查和修復,提高接入終端的安全性 C.采用數據庫安全審計系統對數據庫應用的所有操作實施安全性審計
D.在因特網接口部署上網行為監控系統,對訪問互聯網的行為安全進行監控,對網絡流量和帶寬實施管理。
2015網絡和信息安全宣傳考試答案
一、判斷對錯30
√×√√√
√√×√√
×√√√√
二、單項選擇30 ACCAA DDCCD
三、多項選擇題40 1ABCD 2ABCD 3AB 4ABCE 5ACD 6ABCDE 7ABC 8ABCDE 9ABC 10ABCD
第四篇:網絡信息安全
網絡信息安全
信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護,以實現電子信息的保密性、完整性、可用性和可控性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.硬件安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作。
2.軟件安全。即計算機及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
3.運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
4.數據安全。即網絡中存儲及流通數據的女全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
1.防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現,而專用防火墻提供更加可靠的網絡安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉發所有的信息,然后再逐項剔除有害的內容,被禁止的內容越多,防火墻的作用就越大。網絡是動態發展的,安全策略的制定不應建立在靜態的基礎之上。在制定防火墻安全規則時,應符合“可適應性的安全管理”模型的原則,即:安全=風險分析+執行策略+系統實施+漏洞監測+實時響應。防火墻技術主要有以下三類:
●包過濾技術(Packct Filtering)。它一般用在網絡層,主要根據防火墻系統所收到的每個數據包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包中的各種標志位來進行判定,根據系統設定的安全策略來決定是否讓數據包通過,其核心就是安全策略,即過濾算法的設計。
●代理(Proxy)服務技術。它用來提供應用層服務的控制,起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受代理提出的服務請求,拒絕外部網絡其它節點的直接請求。運行代理服務的主機被稱為應用機關。代理服務還可以用于實施較強的數據流監控、過濾、記錄等功能。
●狀態監控(Statc Innspection)技術。它是一種新的防火墻技術。在網絡層完成所有必要的防火墻功能——包過濾與網絡服務代理。目前最有效的實現方法是采用 Check Point)提出的虛擬機方式(Inspect Virtual Machine)。
防火墻技術的優點很多,一是通過過濾不安全的服務,極大地提高網絡安全和減少子網中主機的風險;二是可以提供對系統的訪問控制;三是可以阻擊攻擊者獲取攻擊網絡系統的有用信息;四是防火墻還可以記錄與統計通過它的網絡通信,提供關于網絡使用的統計數據,根據統計數據來判斷可能的攻擊和探測;五是防火墻提供制定與執行網絡安全策略的手段,它可以對企業內部網實現集中的安全管理。
防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制,因此可能受到黑客的攻擊;三是防火墻不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網絡不受病毒的攻擊。
2.加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據,稱為解密。
密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小,加密速度快,弱點是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數——單向陷門函數,即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實際上成為不可能。
除了密鑰加密技術外,還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密;二是節點加密技術。節點加密是指對存儲在節點內的文件和數據庫信息進行的加密保護。
3.數字簽名技術。數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
在書面文件上簽名是確認文件的一種手段,其作用有兩點,一是因為自己的簽名難以否認,從而確認文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處,也能確認兩點,一是信息是由簽名者發送的,二是信息自簽發后到收到為止未曾做過任何修改。這樣,數字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發送信息;發出(收到)信件后又加以否認。
廣泛應用的數字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里,網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的,主要用于跟美國做生意的公司。它只是一個簽名系統,而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數字簽名方法,跟單獨簽名的RSA數字簽名不同,它是將數字簽名和要發送的信息捆在一起,所以更適合電子商務。
4.數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Timestamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名
(二)網絡信忽安全的目標
1.保密性。保密性是指信息不泄露給非授權人、實休和過程,或供其使用的特性。
2.完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
3.可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息
4.可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
5.可審查性。在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
網絡信息安全面臨的問題
1.網絡協議和軟件的安全缺陷
因特網的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙:大多數因特網上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略:許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被內部人員濫用,黑客從一些服務中可以獲得有用的信息,而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性:訪問控制的配置一般十分復雜,所以很容易被錯誤配置,從而給黑客以可乘之機。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現在,銀行之間在專用網上傳輸數據所用的協議都是保密的,這樣就可以有效地防止入侵。當然,人們不能把TCP/IP和其實現代碼保密,這樣不利于TCP/IP網絡的發展。2.黑客攻擊手段多樣
進人2006年以來,網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法,用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。寬帶網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。
調查資料顯示,2006年初發現企業的系統承受的攻擊規模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標,目標系統不論是網頁服務器、域名服務器,還是電子郵件服務器,都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理,借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡,把大量的查詢要求傳至開放的DNS服務器,這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。
美國司法部的一項調查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下,外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡,即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外,由于企業員工可以通過任何一臺未經確認和處理的設備,以有效合法的個人身份憑證進入網絡,使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘,嚴重威脅網絡系統的安全。
有資料顯示,最近拉美國家的網絡詐騙活動增多,作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”,網上詐騙活動日益增多。3.計算機病毒
第五篇:滲透測試服務-億時代網絡工作室
滲透測試服務授權合同
本授權書于 [201X年X月X日] 由 四川億時代網絡科技有限公司 [YiSshiDdai] 和XXXX科技有限公司 [保密客戶] 訂立。
鑒于:
[保密客戶] 向 [YSD] 提出申請獲取專業安全服務。服務期間,顧問將調查客戶的某些商業敏感信息。基于服務自身特性,[YSD] 需要從客戶處獲得合法身份證明及授權從事的證明。本授權合同用于對上述敏感信息和授權意向進行共同協定,以確保后續服務的正常開展。
[保密客戶] 給予 [YSD] 履行安全服務所需的保密信息及權限。這些保密信息及權限既可由[保密客戶]自行披露,亦可由 [YSD] 在安全服務過程中自行獲取。該保密信息包括但不限于:特定商業機密、數據、網絡信息、電話系統信息、用戶信息、員工信息、客戶信息及/或與其業務有關的材料。該保密信息以保密形式提交給 [YSD]。[YSD]有義務確保上述保密信息將不會向任何第三方個人、公司或企業披露或復制。
鑒于本文件旨在授權 [YSD] 對 [保密客戶] 的技術資產進行滲透測試及脆弱性評估,因此,簽署以下條款:
1.[YSD] 的安全分析工程師有權探測掃描 [保密客戶] 的計算機設備以發現漏洞并使用
[CEGETEST] 標準化的技術工具進行滲透測試。授權期限為 11/26/2015 至 12/26/2015。授權期間,[保密客戶]有權通過書面通知取消授權。
2.簽署人擁有授予測試方對其公司所有資產進行測試的權利。(資產包括但不限于服務器設施、特定商業機密、數據、網絡信息、電話系統信息、用戶信息、員工信息、客戶信息。)
基于上述協定,雙方特此達成協議如下:
1.[YSD] 將為保密信息提供最嚴格的保密,不得直接或間接地使用或將其披露給任何個人、公司或企業。
2.[YSD] 將盡所有應盡及援助之義務,采取所有合理的預防措施,以防止保密信息被任何未經授權地披露或復制。
3.各方雇員中,經協議獲得授權,或為開展服務工作而可能接觸到保密信息的,在本協議期間及以后,應盡最大可能履行保守機密信息的義務。
1/2 4.[YSD] 應在接到另一方書面要求后立即將所有存放保密信息的機讀材料及其副本歸還于另一方。當保密信息存放于有價值媒體時,這些保密信息應被銷毀或擦除,且該銷毀或擦除證明應在提請日期起七(7)天內向[保密客戶]提供。
5.當 [YSD] 處于任何可能的網絡風險影響之下(乃至可能立即中止服務)時,應通知[保密客戶]并充分說明其擔憂的內容及緣由。
6.[YSD] 將采取必要手段,盡最大可能確保不會因服務本身而造成任何威脅、損失或損害網絡系統。
[YSD]將按照滲透結果向[保密客戶]收費6萬 RMB,付費環節為:
[YSD] 提供滲透證據,包括獲取數據,[保密客戶] 支付 5萬 費用。[YSD] 提供滲透途徑,含詳細滲透報告,[保密客戶] 支付 1萬 費用。
雙方特此簽署該授權書,以昭信守。
........................................................................[YSD](簽章)
[保密客戶]授權代表(簽章)
........................................................................職稱
職稱
........................................................................日期
日期
2/2