第一篇:信息安全原理
安全的信息交換應滿足,數(shù)據(jù)機密性 數(shù)據(jù)完整性 不可否認性 身份真實性 可用性 S盒與p盒的作用,他的密碼強度決定了整個算法的安全強度,提供了密碼算法所必須的混淆作用,提供雪崩效應,即明文或密鑰的一點小變化都會引起密文的較大變化。ECB優(yōu)點簡單有效可以實現(xiàn),加記錄。缺點不能影藏明文模是信息。
對稱算法具有安全性高加密速度快,缺點安全渠道較遠代價大,密鑰管理成為難點,無法解決對消息的串改否認問題。
對稱密碼算法運行速度快 密鑰短 可運于多種用途 歷史悠久 密鑰管理困難 不能為發(fā)送者提供保護。非對稱密碼算法只需保管私鑰,可以長時間不變運行速度慢,密鑰尺寸大歷史短,加密消息和驗證簽名的人不能在同一信息和產(chǎn)生同樣的簽名。
散列函數(shù)如下性質(zhì) 計算可行性 單項性 強無碰撞性 弱無碰撞性
鑒別函數(shù),鑒別編碼器和鑒別譯碼器。消息鑒別,驗證信息發(fā)送者是真實的,不是冒充的為此信息原識別,驗證信息完整性 在傳輸存儲過程中被竄改重放或延遲。數(shù)字簽名設(shè)計要求,簽名必須是依賴于被簽名信息的位串模式 確定唯一性 容易生成識別驗證不可太長 偽造數(shù)字簽名在復雜性意義上有不可能性。
任何密鑰都有使用周期原因,如果數(shù)據(jù)過多有利于攻擊者進行密碼分析 限制信息暴露 56位的des以不能滿足安全需要被128位aes的代替 限制密碼分析的攻擊時間。密碼如何保護,將一個密鑰分成若干部分,放在不同地方 通過機密性 des保護rsa算法的私鑰。》壓縮》加密》錯誤控制》解密》解壓縮》。要想徹底刪除只有多次物理寫入辦法。
PKI公開密鑰基礎(chǔ)設(shè)施 是一個用公鑰概念和技術(shù)設(shè)施和提供安全服務的具有樸實性的安全基礎(chǔ)設(shè)施。Pki提供的服務有實體鑒別 完整性 機密性 抗抵賴。Pki包括,認證機構(gòu)CA證書注冊機構(gòu),密鑰和證書管理系統(tǒng) PKI應用接口系統(tǒng) PKI策略和信任模型。數(shù)字證書指,就是公鑰證書,把公鑰和個人信息綁定在一起。包括,CA證書 服務器證書 個人證書 企業(yè)證書 安全電子郵件
證書 代碼簽名證書 WAP證書。密碼協(xié)議分類,密碼建立協(xié)議 鑒別協(xié)議 鑒別的密鑰建立協(xié)議。協(xié)議三種類型,仲裁裁決協(xié)議和自行執(zhí)行協(xié)議。對付口令泄漏的措施,對用戶及系統(tǒng)管理者進行培訓教育增加安全意識 建立嚴格的組織管理辦法和執(zhí)行手續(xù) 確保口令定期更改 確保每個口令與一個人相關(guān) 確保輸入的口令不顯示在終端上 使用容易記錄的口令不要寫在紙上 嚴格限制非法登錄次數(shù) 口令輸入加入延遲 限制口令最小長度6-8 防止與用戶特征相關(guān)的口令 使用隨即口令。
Kerberos優(yōu)缺點,引入可信第三方 票據(jù)的概念 使用時間戳防止票據(jù)和鑒別碼的重放攻擊,依賴安全的時間服務 收到口令的攻擊 協(xié)議模型未對口令進行保護 協(xié)議完整性難以保證存在被串改的危險 密鑰存儲問題。
訪問控制,針對越權(quán)使用資源的防御措施 包括客體主體授權(quán)。自主訪問控制DAC,基于身份的訪問控制 根據(jù)主體的身份及允許的權(quán)限進行決策 簡單容易懂通用性強,非常龐大消耗存儲空間 稀松。角色訪問安全權(quán)限,最小權(quán)限 責任分離 數(shù)據(jù)抽象原則。
TCP IP層次模型,應用層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層。傳輸模式,原ip頭》AH》TCP頭》數(shù)據(jù) 隧道模式,新IP頭》AH》原IP頭》TCP頭》數(shù)據(jù)。TLS結(jié)構(gòu)包括,握手協(xié)議 修改密碼規(guī)范協(xié)議 警報協(xié)議。防火墻的作用及局限性,確保網(wǎng)絡(luò)與因特網(wǎng)的安全 強化網(wǎng)絡(luò)安全 防止非授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò) 監(jiān)視網(wǎng)絡(luò)安全及報警 實現(xiàn)重點網(wǎng)絡(luò)分離 部署網(wǎng)絡(luò)地址轉(zhuǎn)換 不足,限制有安全漏洞的系統(tǒng)給用戶帶來不變 對于網(wǎng)絡(luò)內(nèi)部攻擊無能為力 收到不斷的攻擊 傳輸延遲 對于不經(jīng)過防火墻的無法防御。防火墻體系結(jié)構(gòu),包括過濾防火墻 雙宿多宿主機模式 屏蔽主機模式 屏蔽子網(wǎng)模式。入侵是對信息系統(tǒng)的非授權(quán)訪問,未經(jīng)許可在信息系統(tǒng)中進行操作。對內(nèi)部外部攻擊和失誤進行否定。入侵檢測系統(tǒng)包括,信息收集信息分析結(jié)果處理。
第二篇:信息安全原理及應用_調(diào)查報告
安徽工程大學
對稱密鑰密碼體制、公鑰密碼體制
——設(shè)計思想、應用及異同點
(1)對稱密鑰密碼體制的設(shè)計思想(DES)
對稱密鑰密碼體制是一種傳統(tǒng)密碼體制,也稱為私鑰密碼體制。在對稱加密系統(tǒng)中,加密和解密采用相同的密鑰。因為加、解密密鑰相同,需要通信的雙方必須選擇和保存他們共同的密鑰,各方必須信任對方不會將密鑰泄密出去,這樣就可以實現(xiàn)數(shù)據(jù)的機密性和完整性。
對稱密鑰密碼體制是從傳統(tǒng)的簡單替換發(fā)展而來的。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同,或?qū)嵸|(zhì)上等同(即從一個可以推出另外一個),我們稱其為對稱密鑰、私鑰或單鑰密碼體制。對稱密鑰密碼體制不僅可用于數(shù)據(jù)加密,也可用于消息的認證。
按加密模式來分,對稱算法又可分為序列密碼和分組密碼兩大類。序列密碼每次加密一位或一字節(jié)的明文,也稱為流密碼。序列密碼是手工和機械密碼時代的主流方式。分組密碼將明文分成固定長度的組,用同一密鑰和算法對每一塊加密,輸出也是固定長度的密文。
最有影響的對稱密鑰加密算法是1977年美國國家標準局頒布的DES算法。
其中系統(tǒng)的保密性主要取決于密鑰的安全性,因此必須通過安全可靠的途徑(如信使遞送)將密鑰送至接收端。這種如何將密鑰安全可靠地分配給通信對方,包括密鑰產(chǎn)生、分配、存儲、銷毀等多方面的問題統(tǒng)稱為密鑰管理(Key Management),這是影響系統(tǒng)安全的關(guān)鍵因素。古典密碼作為密碼學的淵源,其多種方法充分體現(xiàn)了單鑰加密的思想,典型方法如代碼加密、代替加密、變位加密、一次性密碼薄加密等。
單鑰密碼體制的優(yōu)點是安全性高且加、解密速度快,其缺點是進行保密通信之前,雙方必須通過安全信道傳送所用的密鑰,這對于相距較遠的用戶可能要付出較大的代價,甚至難以實現(xiàn)。例如,在擁有眾多用戶的網(wǎng)絡(luò)環(huán)境中使n個用戶之間相互進行保密通信,若使用同一個對稱密鑰,一旦密鑰被破解,整個系統(tǒng)就會崩潰;使用不同的對稱密鑰,則密鑰的個數(shù)幾乎與通信人數(shù)成正比[需要n*(n-1)個密鑰]。由此可見,若采用對稱密鑰,大系統(tǒng)的密鑰管理幾乎不可能實現(xiàn)。
DES算法全稱為Data Encryption Standard,即數(shù)據(jù)加密算法,它是IBM公司于1975年研究成功并公開發(fā)表的。DES算法的入口參數(shù)有三個:Key、Data、Mode。其中Key為8個字節(jié)共64位,是DES算法的工作密鑰;Data也為8個字節(jié)64位,是要被加密或被解密的數(shù)據(jù);Mode為DES的工作方式,有兩種:加密或解密。
DES算法把64位的明文輸入塊變?yōu)?4位的密文輸出塊,它所使用的密鑰也是64位,其算法主要分為兩步:
1.初始置換
其功能是把輸入的64位數(shù)據(jù)塊按位重新組合,并把輸出分為L0、R0兩部分,每部分各長3 2位,其置換規(guī)則為將輸入的第58位換到第一位,第50位換到第2位??依此類推,最后一位是原來的第7位。L0、R0則是換位輸出后的兩部分,L0是輸出的左32位,R0是右32位,例:設(shè)置換前的輸入值為D1D2D3??D64,則經(jīng)過初始置換后的結(jié)果為:L0=D58D50??D8;R0=D57D49??D7。
2.逆置換
經(jīng)過16次迭代運算后,得到L16、R16,將此作為輸入,進行逆置換,逆置換正好是初始置換的逆運算,由此即得到密文輸出。
(2)公鑰密碼體制的設(shè)計思想(RSA)
RSA密碼系統(tǒng)是較早提出的一種公開鑰密碼系統(tǒng)。1978年,美國麻省理工學院(MIT)的Rivest,Shamir和Adleman在題為《獲得數(shù)字簽名和公開鑰密碼系統(tǒng)的方法》的論文中提出了基于數(shù)論的非對稱(公開鑰)密碼體制,稱為RSA密碼體制。RSA是建立在“大整數(shù)的素因子分解是困難問題”基礎(chǔ)上的,是一種分組密碼體制。
非對稱密碼體制也叫公鑰加密技術(shù),該技術(shù)就是針對私鑰密碼體制的缺陷被提出來的。在公鑰加密系
統(tǒng)中,加密和解密是相對獨立的,加密和解密會使用兩把不同的密鑰,加密密鑰(公開密鑰)向公眾公開,誰都可以使用,解密密鑰(秘密密鑰)只有解密人自己知道,非法使用者根據(jù)公開的加密密鑰無法推算出解密密鑰,顧其可稱為公鑰密碼體制。
采用分組密碼、序列密碼等對稱密碼體制時,加解密雙方所用的密鑰都是秘密的,而且需要定期更換,新的密鑰總是要通過某種秘密渠道分配給使用方,在傳遞的過程中,稍有不慎,就容易泄露。
公鑰密碼加密密鑰通常是公開的,而解密密鑰是秘密的,由用戶自己保存,不需要往返交換和傳遞,大大減少了密鑰泄露的危險性。同時,在網(wǎng)絡(luò)通信中使用對稱密碼體制時,網(wǎng)絡(luò)內(nèi)任何兩個用戶都需要使用互不相同的密鑰,只有這樣,才能保證不被第三方竊聽,因而N個用戶就要使用N(N–1)/2個密鑰。對稱密鑰技術(shù)由于其自身的局限性,無法提供網(wǎng)絡(luò)中的數(shù)字簽名。這是因為數(shù)字簽名是網(wǎng)絡(luò)中表征人或機構(gòu)的真實性的重要手段,數(shù)字簽名的數(shù)據(jù)需要有惟一性、私有性,而對稱密鑰技術(shù)中的密鑰至少需要在交互雙方之間共享,因此,不滿足惟一性、私有性,無法用做網(wǎng)絡(luò)中的數(shù)字簽名。相比之下,公鑰密碼技術(shù)由于存在一對公鑰和私鑰,私鑰可以表征惟一性和私有性,而且經(jīng)私鑰加密的數(shù)據(jù)只能用與之對應的公鑰來驗證,其他人無法仿冒,所以,可以用做網(wǎng)絡(luò)中的數(shù)字簽名服務。
具體而言,一段消息以發(fā)送方的私鑰加密之后,任何擁有與該私鑰相對應的公鑰的人均可將它解密。由于該私鑰只有發(fā)送方擁有,且該私鑰是密藏不公開的,所以,以該私鑰加密的信息可看做發(fā)送方對該信息的簽名,其作用和現(xiàn)實中的手工簽名一樣有效而且具有不可抵賴性。
一種具體的做法是:認證服務器和用戶各持有自己的證書,用戶端將一個隨機數(shù)用自己的私鑰簽名后和證書一起用服務器的公鑰加密后傳輸?shù)椒掌鳎皇褂梅掌鞯墓€加密保證了只有認證服務器才能進行解密,使用用戶的密鑰簽名保證了數(shù)據(jù)是由該用戶發(fā)出;服務器收到用戶端數(shù)據(jù)后,首先用自己的私鑰解密,取出用戶的證書后,使用用戶的公鑰進行解密,若成功,則到用戶數(shù)據(jù)庫中檢索該用戶及其權(quán)限信息,將認證成功的信息和用戶端傳來的隨機數(shù)用服務器的私鑰簽名后,使用用戶的公鑰進行加密,然后,傳回給用戶端,用戶端解密后即可得到認證成功的信息。
長期以來的日常生活中,對于重要的文件,為了防止對文件的否認、偽造、篡改等等的破壞,傳統(tǒng)的方法是在文件上手寫簽名。但是在計算機系統(tǒng)中無法使用手寫簽名,而代之對應的數(shù)字簽名機制。數(shù)字簽名應該能實現(xiàn)手寫簽名的作用,其本質(zhì)特征就是僅能利用簽名者的私有信息產(chǎn)生簽名。因此,當它被驗證時,它也能被信任的第三方(如法官)在任一時刻證明只有私有信息的唯一掌握者才能產(chǎn)生此簽名。
由于非對稱密碼體制的特點,對于數(shù)字簽名的實現(xiàn)比在對稱密碼體制下要有效和簡單的多。
現(xiàn)實生活中很多都有應用,舉個例子:我們用銀行卡在ATM機上取款,首先,我們要有一張銀行卡(硬件部分),其次我們要有密碼(軟件部分)。ATM機上的操作就是一個應用系統(tǒng),如果缺一部分就無法取到錢,這就是雙因子認證的事例。因為系統(tǒng)要求兩部分(軟的、硬的)同時正確的時候才能得到授權(quán)進入系統(tǒng),而這兩部分因為一軟一硬,他人即使得到密碼,因沒有硬件不能使用;或者得到硬件,因為沒有密碼還是無法使用硬件。這樣彌補了“密碼+用戶名”認證中,都是純軟的,容易擴散,容易被得到的缺點。
密碼理論與技術(shù)主要包括兩部分,即基于數(shù)學的密碼理論與技術(shù)(包括公鑰密碼、分組密碼、序列密碼、認證碼、數(shù)字簽名、Hash函數(shù)、身份識別、密鑰管理、PKI技術(shù)等)和非數(shù)學的密碼理論與技術(shù)(包括信息隱形,量子密碼,基于生物特征的識別理論與技術(shù))。
RSA算法1978年就出現(xiàn)了,它是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。它易于理解和操作,也很流行。算法的名字以發(fā)明者的名字命名:Ron Rivest, AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理論上的證明。
RSA的安全性依賴于大數(shù)分解。公鑰和私鑰都是兩個大素數(shù)(大于 100個十進制位)的函數(shù)。據(jù)猜測,從一個密鑰和密文推斷出明文的難度等同于分解兩個大素數(shù)的積。
密鑰對的產(chǎn)生。選擇兩個大素數(shù),p 和q。計算: n = p * q
然后隨機選擇加密密鑰e,要求 e 和(p1)互質(zhì)。最后,利用Euclid 算法計算解密密鑰d, 滿足 e * d = 1(mod(p1))
其中n和d也要互質(zhì)。數(shù)e和n是公鑰,d是私鑰。兩個素數(shù)p和q不再需要,應該丟棄,不要讓任
何人知道。
加密信息 m(二進制表示)時,首先把m分成等長數(shù)據(jù)塊 m1 ,m2,..., mi,塊長s,其中 2^s <= n, s 盡可能的大。對應的密文是: ci = mi^e(mod n)(a)
解密時作如下計算: mi = ci^d(mod n)(b)
RSA 可用于數(shù)字簽名,方案是用(a)式簽名,(b)式驗證。具體操作時考慮到安全性和 m信息量較大等因素,一般是先作 HASH 運算。
RSA算法是第一個能同時用于加密和數(shù)字簽名的算法,也易于理解和操作。RSA是被研究得最廣泛的公鑰算法,從提出到現(xiàn)在已近二十年,經(jīng)歷了各種攻擊的考驗,逐漸為人們接受,普遍認為是目前最優(yōu)秀的公鑰方案之一。RSA的安全性依賴于大數(shù)的因子分解,但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何,而且密碼學界多數(shù)人士傾向于因子分解不是NPC問題。
RSA的缺點主要有:A)產(chǎn)生密鑰很麻煩,受到素數(shù)產(chǎn)生技術(shù)的限制,因而難以做到一次一密。B)分組長度太大,為保證安全性,n 至少也要 600 bits以上,使運算代價很高,尤其是速度較慢,較對稱密碼算法慢幾個數(shù)量級;且隨著大數(shù)分解技術(shù)的發(fā)展,這個長度還在增加,不利于數(shù)據(jù)格式的標準化。目前,SET(Secure Electronic Transaction)協(xié)議中要求CA采用2048比特長的密鑰,其他實體使用1024比特的密鑰。
(3)兩種密碼體制的應用 加密技術(shù)是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。明文變?yōu)槊芪牡倪^程稱為加密,由密文還原為明文的過程稱為解密,加密和解密的規(guī)則稱為密碼算法。在加密和解密的過程中,由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前,獲得廣泛應用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。
1.對稱密鑰加密體制 對稱密鑰加密,又稱私鑰加密,即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快,適合于對大數(shù)據(jù)量進行加密,但密鑰管理困難。使用對稱加密技術(shù)將簡化加密的處理,每個參與方都不必彼此研究和交換專用設(shè)備的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。
2.非對稱密鑰加密體制 非對稱密鑰加密系統(tǒng),又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作,一個公開發(fā)布,即公開密鑰,另一個由用戶自己秘密保存,即私用密鑰。信息發(fā)送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機制靈活,但加密和解密速度卻比對稱密鑰加密慢得多。在非對稱加密體系中,密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為私用密鑰(解密密鑰)加以保存。私用密鑰只能由生成密鑰對的貿(mào)易方掌握,公開密鑰可廣泛發(fā)布。該方案實現(xiàn)信息交換的過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對信息進行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對加密信息進行解密。
公鑰密碼主要用于數(shù)字簽名和密鑰分配。當然,數(shù)字簽名和密鑰分配都有自己的研究體系,形成了各自的理論框架。目前數(shù)字簽名的研究內(nèi)容非常豐富,包括普通簽名和特殊簽名。特殊簽名有盲簽名、代理簽名、群簽名、不可否認簽名、公平盲簽名、門限簽名、具有消息恢復功能的簽名等,它與具體應用環(huán)境
密切相關(guān)。顯然,數(shù)字簽名的應用涉及到法律問題,美國聯(lián)邦政府基于有限域上的離散對數(shù)問題制定了自己的數(shù)字簽名標準(DSS),部分州已制定了數(shù)字簽名法。密鑰管理中還有一種很重要的技術(shù)就是秘密共享技術(shù),它是一種分割秘密的技術(shù),目的是阻止秘密過于集中,自從1979年Shamir提出這種思想以來,秘密共享理論和技術(shù)達到了空前的發(fā)展和應用,特別是其應用至今人們?nèi)允株P(guān)注。我國學者在這些方面也做了一些跟蹤研究,發(fā)表了很多論文,按照X.509標準實現(xiàn)了一些CA。但沒有聽說過哪個部門有制定數(shù)字簽名法的意向。目前人們關(guān)注的是數(shù)字簽名和密鑰分配的具體應用以及潛信道的深入研究。
(4)兩種密碼體制的異同點 對稱算法的安全性依賴于密鑰,泄漏密鑰就意味著任何人都能對消息進行加密解密。只要通信需要保密,密鑰就必須保密。對稱算法的加密和解密表示為: Ek(M)=C Dk(C)=M
對稱密碼術(shù)的優(yōu)點在于效率高(加/解密速度能達到數(shù)十兆/秒或更多),算法簡單,系統(tǒng)開銷小,適合加密大量數(shù)據(jù)。
盡管對稱密碼術(shù)有一些很好的特性,但它也存在著明顯的缺陷,包括:
1)進行安全通信前需要以安全方式進行密鑰交換。這一步驟,在某種情況下是可行的,但在某些情況下會非常困難,甚至無法實現(xiàn)。
2)規(guī)模復雜。舉例來說,A與B兩人之間的密鑰必須不同于A和C兩人之間的密鑰,否則給B的消息的安全性就會受到威脅。在有1000個用戶的團體中,A需要保持至少999個密鑰(更確切的說是1000個,如果她需要留一個密鑰給他自己加密數(shù)據(jù))。對于該團體中的其它用戶,此種倩況同樣存在。這樣,這個團體一共需要將近50萬個不同的密鑰!推而廣之,n個用戶的團體需要N2/2個不同的密鑰。通過應用基于對稱密碼的中心服務結(jié)構(gòu),上述問題有所緩解。在這個體系中,團體中的任何一個用戶與中心服務器(通常稱作密鑰分配中心)共享一個密鑰。因而,需要存儲的密鑰數(shù)量基本上和團體的人數(shù)差不多,而且中心服務器也可以為以前互相不認識的用戶充當“介紹人”。但是,這個與安全密切相關(guān)的中心服務器必須隨時都是在線的,因為只要服務器一掉線,用戶間的通信將不可能進行。這就意味著中心服務器是整個通信成敗的關(guān)鍵和受攻擊的焦點,也意味著它還是一個龐大組織通信服務的“瓶頸”。非對稱密鑰算法是指一個加密算法的加密密鑰和解密密鑰是不一樣的,或者說不能由其中一個密鑰推導出另一個密鑰。加解密時采用的密鑰的差異:從上述對對稱密鑰算法和非對稱密鑰算法的描述中可看出,①對稱密鑰加解密使用的同一個密鑰,或者能從加密密鑰很容易推出解密密鑰;②對稱密鑰算法具有加密處理簡單,加解密速度快,密鑰較短,發(fā)展歷史悠久等特點,非對稱密鑰算法具有加解密速度慢的特點,密鑰尺寸大,發(fā)展歷史較短等特點。
第三篇:安全學原理111(精選)
第一章
2.何謂安全指標,本質(zhì)安全化,危險物質(zhì),安全評價和固有危險度?
答:安全指標:事故損失的可承受水平。本質(zhì)安全化:安全達到本部門當代的基本要求。重大危險源:生產(chǎn),加工,搬運,使用或存儲危險物質(zhì),其數(shù)量大于或等于國家規(guī)定的危險物質(zhì)單元。安全評價:對危險性的定量定性分析,確定其發(fā)生危險的可能性及其后果嚴重程度的評價,分為系統(tǒng)安全評價和隨機安全評價。固有危險度:造成災害的危險程度。
3.安全的基本特征,了解安全基本特征有何作用?
答:必要性,普遍性,隨機性,相對性,局部穩(wěn)定性,經(jīng)濟性,復雜性,社會性,潛隱性。4.何謂安全三要素?安全科學體系應當包括哪些方面? 答:安全人體、安全物質(zhì)、安全社會。(1)哲學層次——安全觀。(2)基礎(chǔ)科學層次——安全學。(3)技術(shù)科學層次——安全工程學。(4)工程技術(shù)層次——安全工程。8.安全科學研究領(lǐng)域包括哪些方面?
答:自然科學,人體科學,思維科學,系統(tǒng)科學,社會科學。
第二章
5.安全規(guī)律具有哪幾種形式? 答:(1)安全的生存規(guī)律。(2)安全的構(gòu)成規(guī)律。(3)安全的發(fā)展變化規(guī)律。9.安全價值與生產(chǎn)價值之間有何關(guān)系?
答:生產(chǎn)價值=生產(chǎn)活動×效益系數(shù)×安全系數(shù)
11.什么是大安全觀?為什么要樹立科學的大安全觀?
答:將僅由科技人員具備的安全意識提高到全民的安全意識,這就是科學的大安全觀。1).人類發(fā)展和社會進步、文明的標志;2).現(xiàn)實情況不容樂觀;3).國家建設(shè)和發(fā)展的戰(zhàn)略之策樹立新世紀的大安全觀,是推動我國可持續(xù)發(fā)展的重要保障。此外人類對安全的認識擴展到各個領(lǐng)域。13.試述科學大安全觀的內(nèi)容。答:(1)樹立“人人要安全,安全為人人”的全民安全意識。(2)樹立全民安全文化素質(zhì)的教育觀。(3)堅持科教減災的科學觀。(4)全力發(fā)展科學減災的信息觀。(5)樹立綜合減災的決策管理觀。
第三章
2.事故有哪些基本特征?如何在實際工作中加以應用? 答:(1)事故的因果性。(2)事故的偶然性,必然性和規(guī)律性。(3)事故的潛在性,再現(xiàn)性,預測性和復雜性。應用:人們根據(jù)對過去所積累的經(jīng)驗和知識,以及對事故規(guī)律的認識,并使用科學的方法和手段,可以對未來可能發(fā)生的事故進行預測。
4.何謂事故,生產(chǎn)事故,工傷事故?
答:事故是人們在實現(xiàn)其目的的行動過程中,突然發(fā)生的,迫使其有目的的行動暫時或永遠終止的一種意外事件。生產(chǎn)事故系企業(yè)在生產(chǎn)過程中突然發(fā)生的,傷害人體,損害財物,影響生產(chǎn)正常進行的意外事件。工傷事故系企業(yè)的職工為了生產(chǎn)和工作,在生產(chǎn)時間和生產(chǎn)活動區(qū)域內(nèi),由于受生產(chǎn)過程中存在的危險因素之影響,或雖然不在生產(chǎn)和工作崗位上,但由于企業(yè)的環(huán)境設(shè)備或勞動條件等不良影響,致使身體受到傷害,暫時地或長期地喪失勞動能力的事故。
13.何謂軌跡交叉論?從軌跡交叉論中可以得到何種啟示?
答:傷害事故是許多相互聯(lián)系的事件順序發(fā)展的結(jié)果。這些事件概括起來不外乎人和物(包括環(huán)境)兩大發(fā)展系列。當人的不安全行為和物的不安全狀態(tài)在各自發(fā)展過程中(軌跡),在一定時間、空間發(fā)生了接觸(交叉),能量轉(zhuǎn)移于人體時,傷害事故就會發(fā)生。而人的不安全行為和物的不安全狀態(tài)之所以產(chǎn)生和發(fā)展,又是受多種因素作用的結(jié)果。啟示:在物的不安全狀態(tài)和人的不安全行為以及它們的背景原因后面,還有更深層次的管理方面的原因,管理缺陷是造成事故的間接原因,也是本質(zhì)原因。15.預防事故應當遵循哪些基本原則?
答:1.技術(shù)原則1)消除潛在危險原則2)降低潛在危險嚴重度的原則 3)閉鎖原則4)能量屏蔽原則5)距離保護原則6)個體保護原則
7)警告禁止原則
2.組織管理原則1)系統(tǒng)整體性原則2)計劃性原則3)效果性原則4)黨團協(xié)調(diào)安全工作原則 5)責任制原則
第四章
1.降提高低事故發(fā)生概率和事故嚴重程度可采取何種措施? 答:1)提高設(shè)備的可靠性
2)選用可靠的工藝技術(shù),降低危險因素的感度 3)提高系統(tǒng)抗災能力 4)減少人為失誤
5)加強監(jiān)督檢查
3.1)何謂安全目標管理?2)安全目標管理主要應當包括哪些內(nèi)容? 答:1)安全目標管理就是在一定的時期內(nèi)(通常為一年),根據(jù)企業(yè)經(jīng)營管理的總目標,從上到下確定安全工作目標,并為達到這一目標制定一系列對策措施,開展一系列的組織、協(xié)調(diào)、指導、激勵和控制活動。
2)基本內(nèi)容:年初,企業(yè)的安全部門在廠長的領(lǐng)導下,根據(jù)企業(yè)經(jīng)營管理的目標,制定安全管理總目標。然后經(jīng)過協(xié)商,總目標自上而下地層層分解,制定各級、各部門直到每個職工的安全目標和為達到目標的對策措施。在制定和分解目標時,要把安全目標和經(jīng)濟發(fā)展指標捆在一起,同時制定和層層分解,還要把責、權(quán)、利也逐級分解,做到目標與責、權(quán)、利的統(tǒng)一。通過開展一系列組織、協(xié)調(diào)、指導、激勵、控制活動,通過全體職工自上而下的努力,保證各自目標的實現(xiàn),最終保證企業(yè)總安全目標的實現(xiàn)。年末,對實現(xiàn)目標的情況進行考核,并給予相應的獎懲。在此基礎(chǔ)上,經(jīng)過總結(jié),再制定新的安全目標,進入下一的循環(huán)。6.安全目標如何實施和考評?
答:實施:權(quán)限下放,自我管理,自我控制,這是目標實施階段的主要原則。權(quán)限下放:上級對下級要充分給予信任,要放手讓下級自己去實現(xiàn)目標,對下級權(quán)限內(nèi)的事。不要隨意進行干預。自我管理,自我控制:(1)編制安全目標實施計劃表(2)旗幟管理法
考評:1.確定各目標項目得分比重:把完成全部目標項目分定為100分,根據(jù)各個項目的重要程度,分別規(guī)定其比例。2.給各目標項目打分:根據(jù)每個項目的打分并確定各方面內(nèi)容的比例,把每一方面內(nèi)容的得分乘以相應的比例數(shù)值后相加,得到每個項目目標的總分。
3.綜合評定:目標成果總值=各目標項目得分之和+實施措施有效性分+協(xié)作分 11.安全教育中采用的方法有哪些?(列舉幾種)答:(1)講授法(2)談話法(3)讀書指導法(4)演示法(5)練習與復習法(6)研討法(7)宣傳娛樂法(8)訪問法(9)實驗和實習(10)發(fā)現(xiàn)法(11)外圍教育法(12)獎懲教育法(13)全方位教育法(14)計算機多媒體教育法
第五章 2.安全文化的層次結(jié)構(gòu)有哪些?
答:安全器物層次、安全制度層次、安全精神智能層次、安全價值規(guī)范層次
3.試述安全文化建設(shè)的意義、安全文化與安全教育的關(guān)系、安全文化與安全科學的關(guān)系。
答:意義,1.提高全民族文化素質(zhì),加強可持續(xù)發(fā)展教育,有利于協(xié)調(diào)人的關(guān)系,節(jié)約資源,保護環(huán)境。2.全民族文化素質(zhì)的提高,有利于優(yōu)化資源在空間上的配置,協(xié)調(diào)區(qū)域之間的關(guān)系,縮小地區(qū)差距,實現(xiàn)相對公平。3.提高全民族文化素質(zhì),有利于協(xié)調(diào)全社會人際關(guān)系,建立和諧、文明的社會秩序,促進社會不斷進步和可持續(xù)發(fā)展。4.個人行為相互影響、相互作用,只有提高個體文化素質(zhì),使可持續(xù)發(fā)展成為每個公民自覺自愿的自我行動,才能達到全民族的可持續(xù)發(fā)展。5.安全文化的自我教育已成為新世紀公民必備的素質(zhì)。
安全文化與安全教育的關(guān)系:教育與文化的相互關(guān)系與作用,是探討安全教育與安全文化首先要闡明的問題。教育是一種社會現(xiàn)象,是和人類社會一同產(chǎn)生,并隨著人類社會的發(fā)展而不斷向前發(fā)展的社會活動,教育擔負著傳遞生產(chǎn)經(jīng)驗和社會生活經(jīng)驗的社會職能,是普遍的和永恒的社會生活范疇。在安全領(lǐng)域,安全教育顯然承擔著傳遞安全生產(chǎn)經(jīng)驗和安全生活經(jīng)驗的任務。教育是人類發(fā)展的一個重要因素,是教育者根據(jù)社會和個人發(fā)展的需要和可能,以教育為主要途徑,在受教育者積極參與下,對受教育者實施有目的、有計劃、有組織、有系統(tǒng)的影響,以使受教育者在身心上得到發(fā)展,成為社會所需要的人。因此,教育的社會職能對于安全活動具有永恒普遍的意義,安全文化的發(fā)展必須依靠安全教育。
安全文化與安全科學的關(guān)系:學科的誕生標志著學科自身發(fā)展的理論知識體系的基本成熟,而學科建設(shè)則標志著學科發(fā)展、完善的過程。安全學科的完善和拓展,除自身發(fā)展的內(nèi)在動力外,更需要得到全社會、全民和政府的理解和支持。通過安全文化知識的宣傳和教育,改變?nèi)藗円延械陌踩松^和價值觀念,建立科學的思維方法,形成自我約束的安全習俗和規(guī)范,讓大眾都懂得安全的生命的意義,把安全文化知識水平及安全意思提高到相當?shù)母叨取0踩幕前踩茖W技術(shù)的母體,只有人民安全文化素質(zhì)達到了想到高的水平,才能使安全科學技術(shù)被公眾普遍接受并采用,安全科學技術(shù)將在為社會、為人民服務的應用領(lǐng)域中得到發(fā)展。安全文化是安全科學創(chuàng)建和發(fā)展的基礎(chǔ),而安全科學是安全文化的特殊形式,是安全文化在某種程度上的結(jié)晶。安全科學學科的建設(shè)是安全文化豐富和繁榮的一種文化過程。
9.安全的社會效應應體現(xiàn)在何處? 答:1每個人、每個部門、每個單位都“打起十二分精神”,盡職于每一份工、站好每一班崗,讓屬于你我的節(jié)日和生活更快樂、更安心2安全的社會效應的另一個重要方面體現(xiàn)在對各級行政部門以及對國家領(lǐng)導人或政府高層決策者的影響。
12.何謂安全法規(guī)?安全法規(guī)的本質(zhì)是什么?
安全法規(guī)是安全管理工作的依據(jù)和準繩,安全法規(guī)是法的中的一類,它具有法的本質(zhì)和特征。安全法規(guī)的本質(zhì)
(1)安全法規(guī)是勞動者意志的體現(xiàn)。(2)安全法規(guī)是社會關(guān)系的調(diào)節(jié)器。(3)安全法規(guī)建立在一定的經(jīng)濟基礎(chǔ)之上。
16.何謂安全法制?安全法規(guī)的立法應當包括哪些主要內(nèi)容、、根據(jù)我國多年來在勞動保護和安全管理工作中的時間和教訓,借鑒國外的先進經(jīng)驗,安全法制包括安全法規(guī)的立法,安全監(jiān)察機構(gòu)的定位與建設(shè)、安全法規(guī)立法的內(nèi)容有:1.國家和政府對勞動保護和安全生產(chǎn)的基本方針政策和原則。2.個有關(guān)部門直到廠礦企業(yè)領(lǐng)導和職工對勞動保護和安全生產(chǎn)所應由的責任權(quán)力和利益。3.安全技術(shù)、工業(yè)衛(wèi)生和其他有關(guān)勞動保護和安全技術(shù)的要求和系列標準,新建擴建廠礦企業(yè)和引進新技術(shù)的勞動保護和安全技術(shù)要求。4.廠礦企業(yè)改善勞動條件和安全裝備的經(jīng)費、渠道和籌款5.職工驚醒安全技術(shù)培訓的要求、標準和考核制度6.工商事故的調(diào)查、分析和統(tǒng)計呈報程序以及工傷事故的診斷標準。7.對違反勞動保護和安全法規(guī)發(fā)生事故的處理程序和處罰規(guī)定8.廠礦企業(yè)中安全管理機構(gòu)的設(shè)置、管理和人員的配置及其縱橫關(guān)系,廠礦企業(yè)接受上級安全監(jiān)察部門監(jiān)察的有關(guān)規(guī)定。9.對事故的救護、工傷事故的醫(yī)療制度、個人安全防護用品標準以及勞動保護和安全管理的科學研究等方面的規(guī)定。18.安全生產(chǎn)的基本要求是什么?
1.企業(yè)必須按照國家的法令和規(guī)定進行建設(shè),并取得主管部門頒發(fā)的生產(chǎn)許可證。2.在資金許可的前提下,盡量采用先進技術(shù)實現(xiàn)機械化、自動化,對危險崗位實現(xiàn)無人操作或遠距離控制。3.選用符合安全生產(chǎn)要求的設(shè)備4.創(chuàng)造良好的工作環(huán)境。5.有嚴密的管理制度和切實可行的崗位責任制、安全操作規(guī)程。6.工人上崗前經(jīng)過良好的教育和技術(shù)培訓。7.在發(fā)生事故是又報警神、吧、消防設(shè)備以及充分的防護搶救設(shè)備。8.有良好的通訊聯(lián)絡(luò)及交通工具,以便一旦發(fā)生事故,及時聯(lián)系搶救。9.有從上到下對安全工作重視的良好風氣和責任感。
第四篇:安全學原理
1、本質(zhì)安全化:一般是針對某一個系統(tǒng)(或設(shè)施)而言,是表明該系統(tǒng)的安全技術(shù)與安全管理水平已達到了本部門當代的基本要求,系統(tǒng)可以較為安全可靠的系統(tǒng);但并不表明該系統(tǒng)絕對不會發(fā)生事故。
2、固有危險度:是指一個生產(chǎn)(或生活)系統(tǒng),由于自身功能的需要必須具備某些設(shè)備及物料,其設(shè)備及物料失控時可能造成災害的嚴重程度。
3、安全價值觀:是人們對安全是否有價值及價值大小的認識和評定。
4、大安全觀:將以生產(chǎn)領(lǐng)域為主的技術(shù)安全擴展到生活安全與生存安全領(lǐng)域,形成生產(chǎn)、生活、生存的大安全,將以由科技人員具備的安全意識提高到全民的安全意識,就是科 但是,也應該看到安全的自然屬性與社會屬性是不可分割的,13、事故因果連鎖理論的要點(核心思想)意義 防止能量意外轉(zhuǎn)移的措施。
核心思想:傷亡事故的發(fā)生不是一個孤立的事件,而是一系列原因事件相繼發(fā)生的結(jié)果,即傷害與各原因相互之間具有連鎖關(guān)系。
意義:該理論的積極意義就在于,如果移去因果鏈鎖中的任一塊骨牌,則連鎖被破壞,事故過程被終止。措施:1)用較安全的能源代替危險大的能源 2)限制能量3)防止能量積蓄4)降低能量釋放速度5)開辟能量異常釋放的渠道6)設(shè)置屏障7)從時間和空間上將人與能量隔離沖 8)學的大安全觀。
5、系統(tǒng):系統(tǒng)是指由相互作用和相互依賴的若干組成部分結(jié)合成的具有特定功能的有機整體。
6、事故隱患:潛藏的不安全因素,從系統(tǒng)的安全的角度來看,人們所說的隱患包括一切可能對人一機一環(huán)境系統(tǒng)帶來損害的不安全因素。
7、安全目標管理:在一定的時期內(nèi)(通常為一年),根據(jù)企業(yè)經(jīng)營管理的總目標,從上到下地確定安全工作目標,并為達到這一目標制定一系列對策措施,開展一系列的組織、協(xié)調(diào)、指導、激勵和控制活動。
8、安全文化:人類在生產(chǎn)、生活、生存活動中,為保護身心安全與健康所創(chuàng)造的有關(guān)物質(zhì)財富和精神財富的總和,它可表現(xiàn)為有關(guān)安全的哲學、倫理道德、科學、藝術(shù)和政治法律思想即其構(gòu)成的思想觀念系統(tǒng)及相關(guān)制度、設(shè)施。
9、安全效益:通過安全條件的實現(xiàn),對國家、企業(yè)、個人產(chǎn)生的效果和利益,即用盡量少的安全投資,提供盡量多的符合全社會和人民需要的安全保障。:
10、安全觀:在一定的時代背景下人們圍繞著如何確認和維護安全利益所形成的對安全問題的主觀認識。
11、安全價值分析應遵循的四個原則:經(jīng)濟性、系統(tǒng)性、長遠性、動態(tài)性
12、安全的自然屬性與安全的社會屬性的辯證統(tǒng)一關(guān)系,他們的耦合條件。P36
辯證關(guān)系:安全的自然屬性與社會屬性既有區(qū)別又有聯(lián)系。對安全這兩個屬性的總體把握,還應該進行辯證分析,以得出對安全屬性的系統(tǒng)的,整體的認識
1)安全的自然屬性是社會屬性的基礎(chǔ)。由于安全的自然屬性與社會屬性是由人的自然屬性和社會屬性在安全領(lǐng)域 內(nèi)表現(xiàn)出的安全屬性,同時,也正是由于人的自然屬性是社會屬性的基礎(chǔ)
2)社會屬性對其自然屬性有制約和指導作用。人的自然屬性受社會屬性的制約,是社會化了的自然屬性,人的自然本能總是受一定的社會關(guān)心,社會意識的制約并充滿社會內(nèi)容,具有社會意義
耦合條件:從哲學的角度講,安全的自然屬性與社會屬性的耦合,本質(zhì)上就是矛盾的統(tǒng)一。其耦合是有條件的,從人的角度講,人的屬性是以人的社會屬性為主導的人的本質(zhì)屬性,對安全來講,安全的本質(zhì)屬性則是以安全的社會屬性為主導的,用安全的社會屬性作指導,約束安全的自然屬性的社會的、人群的安全特征。
設(shè)置警告信息
14、如何采取本質(zhì)安全化方法控制事故。P105
主要從物的方面考慮,包括降低事故發(fā)生概率和降低事故嚴重度。
(1)降低事故發(fā)生概率:1)提高元件的可靠性2)選用可靠的工藝技術(shù),降低危險因素的感度 3)提高系統(tǒng)抗災能力 4)減少人為失誤 5)加強監(jiān)督檢查
(2)降低事故嚴重度:1)限制能量或分散風險 2)防止能量逸散的措施 3)加裝緩沖能量的裝置 4)避免人身傷亡的措施
15、.如何進行企業(yè)的安全文化建設(shè)。P160
(1)物質(zhì)安全文化建設(shè)(2)制度安全文化建設(shè)。(3)員工心態(tài)安全文化建設(shè):(4)員工行為規(guī)范安全文化建設(shè)
16、安全文化:人類在生產(chǎn)生活實踐過程中,為保障身心健康安全而創(chuàng)造的一切安全物質(zhì)財富和安全精神財富的總和。
17、安全價值:安全價值是一種利用價值工程的理論和方法,依靠集體智慧和有組織的活動,通過某些安全措施進行安全功能分析,力圖用最低的安全壽命周期投資,實現(xiàn)必要的安全功能,從而提高安全價值的經(jīng)濟技術(shù)方法
18、安全第一原理的含義是什么?
在進行生產(chǎn)和其他活動的時候把安全工作放在一切工作的首要位置;當生產(chǎn)和其他工作與安全工作發(fā)生矛盾時,要以安全為主,生產(chǎn)和其他工作要服從安全,這就是安全第一原則
19、事故的預防原則:
1、技術(shù)原則:①消除潛在危險原則②降低潛在危險嚴重度的原則③閉鎖原則④能量屏蔽原則⑤距離保護原則⑥個體保護原則⑦警告、禁止信息原則;
2、組織管理原則:①系統(tǒng)整體性原則②計劃性原則③效果性原則④黨政工團協(xié)作原則⑤責任制調(diào)安全工原則
20、企業(yè)安全文化的功能:導向功能、凝聚功能、規(guī)范功能、輻射功能、激勵功能、調(diào)適功能
21、事故預防基本原則(3E):技術(shù)、組織管理、教育
22、安全與事故隱患、事故的對立統(tǒng)一
安全是人們可以接受的事故隱患和保證事故不發(fā)生的穩(wěn)定狀態(tài)。
事故是系統(tǒng)把潛在的事故隱患轉(zhuǎn)化為現(xiàn)實,從而使人的身心造成傷害、物質(zhì)遭受損失或環(huán)境受到破壞。事故是安全狀態(tài)的一種極端表現(xiàn)
第五篇:信息安全原理及應用_期末大作業(yè)_防火墻系統(tǒng)
摘要
防火墻技術(shù)可以很好的保障計算機網(wǎng)絡(luò)安全,為正常運行創(chuàng)造條件。對于一個網(wǎng)絡(luò)安全防御系統(tǒng)而言,防火墻往往被看做是防御的第一層,可見防火墻技術(shù)在網(wǎng)絡(luò)安全的重要性。
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻技術(shù);重要性
1/9
Abstract Firewall technology can be very good to protect the computer network security, to create conditions for the normal operation.For a network security defense system, the firewall is often seen as the first layer of defense, visible firewall technology in network security.Keyword:Network security;firewall technology;importance
2/9 目錄
摘要..................................................................................................................................................1 Abstract.............................................................................................................................................2 前言..................................................................................................................................................4
一、計算機網(wǎng)絡(luò)安全問題...............................................................................................................4
二、防火墻的基本介紹...................................................................................................................4
2.1.防火墻的定義.....................................................................................................................4 2.2防火墻的實現(xiàn)技術(shù)分類.............................................................................................................5 2.3 防火墻的體系結(jié)構(gòu)....................................................................................................................5
三、防火墻技術(shù)的重要性...............................................................................................................6
3.1 網(wǎng)絡(luò)存取訪問的統(tǒng)計與記錄............................................................................................6 3.2 控制特殊站點的訪問........................................................................................................6 3.3 控制不安全服務................................................................................................................6 3.4集中安全保護...................................................................................錯誤!未定義書簽。
四、防火墻技術(shù)的應用...................................................................................................................6
4.1 應用于網(wǎng)絡(luò)安全的屏障....................................................................................................7 4.2 應用于網(wǎng)絡(luò)安全策略中....................................................................................................7 4.3 應用于監(jiān)控審計中..........................................................................錯誤!未定義書簽。4.4 應用于內(nèi)部信息的保障中................................................................................................7 4.5 應用于數(shù)據(jù)包過濾中........................................................................................................8 4.6 應用于日志記錄與事件通知............................................................................................8
五、結(jié)語.........................................................................................................錯誤!未定義書簽。參考文獻.........................................................................................................錯誤!未定義書簽。
3/9
前沿
防火墻是目前應用非常廣泛且效果良好的信息安全技術(shù),可以防御網(wǎng)絡(luò)中的各種威脅,并且做出及時的響應,將那些危險的連接和攻擊行為隔絕在外,從而降低網(wǎng)絡(luò)的整體風險。
自從20世紀90年代進入市場以來,防火墻技術(shù)經(jīng)過20年的發(fā)展已經(jīng)經(jīng)歷了實質(zhì)性的改變,從早期的包過濾設(shè)備演變?yōu)槟壳皬碗s的網(wǎng)絡(luò)過濾系統(tǒng)。Internet的蓬勃發(fā)展所帶來的安全問題,極大的促進了防火墻技術(shù)的發(fā)展,使得今天的防火墻在過濾特性上變得更加復雜,增加了諸如狀態(tài)過濾、虛擬專用網(wǎng)、入侵檢測系統(tǒng)、組播路由選擇、動態(tài)主機配置協(xié)議服務和很多其他特性。
一、計算機網(wǎng)絡(luò)安全問題
在信息技術(shù)的推進下,各個領(lǐng)域都滲透了互聯(lián)網(wǎng)技術(shù),不僅對人們的觀念和生活方式起到了一定的影響,同時也對社會面貌及其形態(tài)意識產(chǎn)生的作用。但是人們的正常生活和工作也受到了電磁泄露及其黑客攻擊的干擾,這也就是所謂的網(wǎng)絡(luò)安全問題。該問題的出現(xiàn)是有人故意或者是無意攻擊的網(wǎng)絡(luò)。在操作中由于操作者的安全意識缺乏或者是操作口令錯誤,就導致了信息的泄露,從而威脅到了整個網(wǎng)絡(luò)安全。與此同時網(wǎng)絡(luò)安全也受到了人為惡意攻擊的威脅,因此,競爭者和計算機黑客的惡意攻擊對計算機網(wǎng)絡(luò)安全都會造成影響。要想使用防火墻技術(shù)解決計算機網(wǎng)絡(luò)安全問題,就必須了解防火墻的基本信息,明白其重要性。
二、防火墻的基本介紹
2.1防火墻的定義
防火墻的明確定義來自AT&T公司的兩位工程師Willam Cheswick和Steven Beellovin。防火墻是位于兩個(或多個)網(wǎng)絡(luò)間,實施網(wǎng)間訪問控制的一組組件的集合,它滿足以下條件:(1)內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻。(2)有符合安全政策的數(shù)據(jù)流才能通過防火墻。(3)防火墻自身能抗攻擊。
通俗的理解就是,防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò),同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說,如果不通過 4/9 防火墻,公司內(nèi)部的人就無法訪問Internet,Internet上的人也無法和公司內(nèi)部的人進行通信。
需要注意的是,不能狹義地將防火墻理解為一套軟件或一臺設(shè)備。因為通常使用不止一種技術(shù)和不止一臺設(shè)備實施整個防火墻方案所以防火墻應該理解為一個防火墻系統(tǒng),或說一套防火墻解決方案。
2.2防火墻的實現(xiàn)技術(shù)分類
根據(jù)防火墻過濾的方式和技術(shù)不同,防火墻可以劃分為三類:包過濾防火墻,狀態(tài)防火墻,應用網(wǎng)關(guān)防火墻。
包過濾防火墻是一種通過檢查數(shù)據(jù)包中網(wǎng)絡(luò)層及傳輸層協(xié)議信息來發(fā)現(xiàn)異常的安全防御系統(tǒng)。包過濾防火墻不需要對客戶端計算機進行專門配置,性能優(yōu)于其他防火墻,因為它執(zhí)行的計算比較少,并且容易用硬件方式實現(xiàn)。它的規(guī)則設(shè)置也簡單,通過禁止內(nèi)部計算機和特定Internet資源連接,單一規(guī)則即可保護整個網(wǎng)絡(luò)。
狀態(tài)防火墻采用的是狀態(tài)檢測技術(shù),這是由CheckPiont公司最先提出的一項具有突破性的防火墻技術(shù),把包過濾的快速性和代理的安全性很好地結(jié)合在一起,成為防火墻的基本過濾模式。相比包過濾防火墻,它能知曉連接的狀態(tài),無須打開很大范圍的端口以允許通信,還能阻止更多類型的Dos攻擊,并且具有更豐富的日志功能。
應用網(wǎng)關(guān)防火墻,也稱代理防火墻,能夠根據(jù)網(wǎng)絡(luò)層、傳輸層和應用層的信息對數(shù)據(jù)流進行過濾。由于應用網(wǎng)關(guān)防火墻要在應用層處理信息,所以絕大多數(shù)應用網(wǎng)關(guān)防火墻的控制和過濾功能是通過軟件完成的,這能夠比包過濾或狀態(tài)防火墻提供更細粒度的流量控制。它的優(yōu)點主要在于能夠?qū)崿F(xiàn)對用戶的認證,能夠阻止絕大多數(shù)欺騙攻擊。使用連接代理防火墻能夠連接上的所有數(shù)據(jù),檢測到應用攻擊層,如不良的URL、緩存溢出企圖、未授權(quán)的訪問和更多類型的攻擊,同時生成非常下詳細的日志。不過,詳細的日志也會占用大量的磁盤空間,而且它的處理過程也要求大量的CPU和內(nèi)存。
2.3防火墻的體系結(jié)構(gòu)
防火墻的體系結(jié)構(gòu)一般有雙重宿主主機體系結(jié)構(gòu)、屏蔽主機體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。
5/9 建造防火墻時,一般很少采用單一的結(jié)構(gòu),通常是多種解決不同問題的技術(shù)結(jié)合。這種組合只要取決于安全中心向客戶提供什么樣的服務,以及安全中心能接受什么等級的風險。采用什么樣的組合主要取決于經(jīng)費、投資的大小或技術(shù)人員的技術(shù)、時間等因素。通常有使用多堡壘主機,合并內(nèi)部路由器與外部路由器,合并堡壘主機與外部路由器,合并堡壘主機與內(nèi)部路由器,使用多臺內(nèi)部路由器或外部路由器,使用多個周邊網(wǎng)絡(luò),使用雙重宿主主機與屏蔽子網(wǎng)等多種組合形式。
三、防火墻技術(shù)的重要性
3.1 網(wǎng)絡(luò)存取訪問的統(tǒng)計與記錄
任何傳輸數(shù)據(jù)和訪問都能夠以防火墻記錄的日志流通于內(nèi)外網(wǎng)之間。然而對于重要的數(shù)
據(jù)信息來說,人們借助日志在分析可能性攻擊的情況下,就能做好相關(guān)的防范。就拿銀行網(wǎng)絡(luò)來說,假如他存在問題,就會對電信和證券單位產(chǎn)生威脅,因此可將防火墻技術(shù)應用。除此之外企業(yè)也要盡可能了解網(wǎng)絡(luò)安全隱患,從而加強管理域監(jiān)控,降低安全風險幾率。
3.2 控制特殊站點的訪問
這也是保障計算機網(wǎng)絡(luò)安全的關(guān)鍵,就拿進行訪問和數(shù)據(jù)傳輸?shù)闹鳈C來說,假如將特殊保護實施,在交換數(shù)據(jù)的時候就必須得到主機許可,以此來將不必要的訪問拒絕,將非法盜取資源的情況杜絕&對于內(nèi)部網(wǎng)絡(luò),防火墻不必對訪問強行禁止,由此可見,網(wǎng)絡(luò)安全離不開防火墻。
3.3 控制不安全服務
不安全因素常常會出現(xiàn)在計算機網(wǎng)絡(luò)中,對于安全性較差的服務,我們均能夠采用防火墻技術(shù)控制,在防火墻的作用下,內(nèi)外網(wǎng)進行數(shù)據(jù)傳輸和交換的時候,必須經(jīng)過防火墻的許可,這樣相關(guān)資源內(nèi)容才能傳輸?shù)酵饩W(wǎng)。由此可見,防火墻的使用能降低非法攻擊的風險。
3.4集中安全保護
假如內(nèi)部網(wǎng)絡(luò)規(guī)模較大,且必須改動附加軟件或某些軟件,將其置入防火墻,就能保障其數(shù)據(jù)和信息的安全,同時在防火墻中放入身份認證軟件、口令系統(tǒng)及其密碼等,還能將其安全性進一步的提升。
6/9
四、防火墻技術(shù)的應用
防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
4.1 應用于網(wǎng)絡(luò)安全的屏障
一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
4.2 應用于網(wǎng)絡(luò)安全策略中
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比,防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時,一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上,而集中在防火墻一身上。
4.3 應用于監(jiān)控審計中
如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外,收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
4.4 應用于內(nèi)部信息的保障中
通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題,一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而
7/9 引起外部攻擊者的興趣,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度,這個系統(tǒng)是否有用戶正在連線上網(wǎng),這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用,防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN(虛擬專用網(wǎng))。
4.5 應用于數(shù)據(jù)包過濾中
網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進行傳輸?shù)模恳粋€數(shù)據(jù)包中都會包含一些特定的信息,如數(shù)據(jù)的源地址、目標地址、源端口號和目標端口號等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些包是否來自可信任的網(wǎng)絡(luò),并與預先設(shè)定的訪問控制規(guī)則進行比較,進而確定是否需對數(shù)據(jù)包進行處理和操作。數(shù)據(jù)包過濾可以防止外部不合法用戶對內(nèi)部網(wǎng)絡(luò)的訪問,但由于不能檢測數(shù)據(jù)包的具體內(nèi)容,所以不能識別具有非法內(nèi)容的數(shù)據(jù)包,無法實施對應用層協(xié)議的安全處理。
4.6 應用于日志記錄與事件通知
進出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過防火墻,防火墻通過日志對其進行記錄,能提供網(wǎng)絡(luò)使用的詳細統(tǒng)計信息。當發(fā)生可疑事件時,防火墻更能根據(jù)機制進行報警和通知,提供網(wǎng)絡(luò)是否受到威脅的信息。
五、結(jié)語
隨著計算機技術(shù)的不斷發(fā)展,人們越來越依賴于網(wǎng)絡(luò),對于信息資源的依賴也過于緊密,網(wǎng)絡(luò)安全問題也不可避免,這直接影響著防火墻技術(shù)的發(fā)展。為了保障網(wǎng)絡(luò)的安全運行,防火墻技術(shù)越來越重要。我們需要選擇適合實際應用的防火墻來抵御有害信息入侵計算機系統(tǒng),但僅依靠防火墻技術(shù)是不夠的,需要使現(xiàn)在的防火墻技術(shù)將計算機技術(shù)和網(wǎng)絡(luò)技術(shù)結(jié)合在一起,才能真正解決計算機的網(wǎng)絡(luò)安全問題。
參考文獻:
[1]熊平,朱天清.信息安全原理及應用M].清華大學出版社,2012,01 [1]王德山,王科超.試論計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應用,2013,07 8/9 [2]馬利,梁紅杰.計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)應用研究[J].電腦知識與技術(shù),2014,16 [3]劉小斌,防火墻技術(shù)的應用[J].電腦知識與技術(shù),2014,36 [3]靳舜.計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)分析[J].科技前沿,2016,03
9/9
點擊咨詢 