第一篇:計算機網絡安全課后題答案
第一章 緒論
1.計算機網絡面臨的安全威脅有哪些? 答:1.主要威脅:計算機網絡實體面臨威脅(實體為網絡中的關鍵設備);計算機網絡系統面臨威脅(典型安全威脅);惡意程序的威脅(如計算機病毒、網絡蠕蟲、間諜軟件、木馬程序);計算機網絡威脅有潛在對手和動機(惡意攻擊/非惡意)2.典型的網絡安全威脅:竊聽、重傳、偽造、篡造、非授權訪問、拒絕服務攻擊、行為否 認、旁路控制、電磁/射頻截獲、人員疏忽。2.分析計算機網絡的脆弱性和安全缺陷
答:偶發因素:如電源故障、設備的功能失常及軟件開發過程留下的漏洞或邏輯錯誤; 自然災害:各種自然災害對計算機系統構成嚴重的威脅; 人為因素:人為因素對計算機網絡的破壞和威脅(包括被動攻擊、主動攻擊、鄰近攻擊、內部人員攻擊和分發攻擊)。3.分析計算機網絡的安全需求 答:互聯網具有不安全性;操作系統存在的安全問題;數據的安全問題;傳輸路線的安全問題;網絡安全管理問題。4.分析計算機網絡安全的內涵和外延是什么?
答:計算機網絡安全是指利用管理控制和技術措施,保證在一個網絡環境里,信息數據的機密性,完整性及可使用受到保護。網絡的安全問題包括兩方面的內容,一是網絡的系統安全;二是網絡的信息安全。從廣義上說,網絡上信息的保密性、完整性、可用性、不可否性和可控性是相關技術和理論都是網絡安全的研究領域。5.論述OSI安全體系結構
答:OSI安全系統結構定義了鑒別服務、訪問控制服務、數據機密性服務、數據完整性服務和抵抗賴性服務等五類網絡安全服務;也定義了加密機制、數據簽名機制、訪問控制機制、數據完整性機制、鑒別交換機制、通信業務流填充機制、路由控制和公證機制等八種基本的安全機制。
6.PPDR安全模型地結構
答:PPDR模型是一種常用的網絡安全模型,主包含四個主要部份:Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。7.簡述計算機網絡安全技術
答:網絡安全技術:物理安全措施、數據傳輸安全技術、內外網隔離技術、入侵檢測技術、訪問控制技術、審計技術、安全性檢測技術、防病毒技術、備份技術和終端安全技術。
第二章 物理安全
1.物理安全主要包含哪些方面的內容
答:機房環境安全、通信線路安全、設備安全和電源安全 2.計算機機房安全等級的劃分標準是什么?
答:機房的安全等級分為A類、B類和C類三個基本類別。A類:對計算機機房的安全有嚴格的要求;B類:對計算機機房的安全有較嚴格的要求,有較完善的計算機機房安全措施;C類:對計算機機房的安全有基本的要求,有基本的計算機機房措施。
3.計算機機房安全技術主要技術措施有哪些?
答:1.機房的安全要求:計算機機房選址應該避免靠近公共區域,避免窗戶直接鄰街,機房布局應該工作區在內,生活輔助區域在外,機房最好不要安排在底層或頂層;措施:保證所有進出計算機機房的人必須在管理人員的監控之下,外來人員進入機房內部、應該辦理相關手續,并對隨身物品進行相應的檢查。
2.機房的防盜要求,對重要設備和存儲媒體應采取嚴格的防盜措施。措施:早期采取增加質量和膠粘的防盜措施,后國外發明一種通過光纖電纜保護重要設備的方法,一種更方便的措施類似于超市的防盜系統,視頻監視系統更是一種更為可靠防盜設備,能對計算機網絡系統的外圍環境、操作環境進行實時的全程監控。3.機房的三度要求(溫度(18-22度)、溫度(40%-60%為宜)、潔凈度(要求機房塵埃顆粒直徑小于0.5Um))為使機房內的三度達到規定的要求,空調系統、去濕機和除塵器是必不可少的設備。
4.防靜電措施:裝修材料避免使用掛彩、地毯等易吸塵,易產生靜電的材料、應采用乙烯材料,安裝防靜電動板并將設備接地。
5.接地與防雷要求:
地線種類:保護地、直流地、屏蔽地、靜電池和雷地池。
接地系統:各自獨立的接地系統;交、直分開的接地系統;共地接地系統;直流地、保護地共用地線系統和建筑物內共地系統。
接地體:地樁、水平柵網、金屬接地板和建筑基礎鋼筋
防雷措施:使用接閃器、引下線和接地裝置吸引雷電流。機器設備應用專用地線,機房本身有避雷設備和裝置。6.機房的防火、防水措施:隔離、火災報警系統、滅火措施和管理措施。4.保障通信線路安全的主要技術措施有哪些?
答:電線加壓技術;對光纖等通信路線的防竊聽技術(距離大于最大限制的系統之間,不采用光纖線通信);加強復制器的安全,如用加壓措施、警報系統和加強警衛等措施。
4.電磁輻射對網絡通信安全的影響主要體現在哪些方面,防護措施有哪些? 答:影響主要體現在:計算機系統可能會通過電磁輻射使信息被截獲而失密,計算機系統中數據信息在空間中擴散。防護措施:一類對傳導發射的防護,主要采用對電源線和信號線加裝性能良好的濾波器,減少傳輸阻抗和導線間的交叉耦合;另一類是對輻射的防護,又可分為兩種:一種是采用各種電磁屏蔽措施,第二種是干擾的防護措施。為提高電子設備的抗干擾能力,主要措施有:屏蔽、濾波、隔離、接地,其中屏蔽是應用最多的方法。5.保障存儲媒體安全的主要措施有哪些?
答:存放數據的盤,應妥善保管;對硬盤上的數據,要建立有效的級別、權限,并嚴格管理,必要時加密,以確保數據安全;存放數據的盤,管理須落到人,并登記;對存放重要數據的盤,要備份兩份并分開保管;打印有業務數據的打印紙,要視同檔案進行管理;凡超過數據保存期,必須經過特殊的數據加以清理;凡不能正常記錄數據的盤,需經測試確認后由專人進行銷毀,并做好登記;對需要長期保存的有效數據,應質量保證期內進行轉存,并保證轉存內容正確。
第三章 信息加密與PKI 1.簡述加密技術的基本原理,并指哪些常用的加密體制及代表算法。
答:信息加密技術是利用密碼學的原理與方法對傳輸數據提供保護手段,它以數學計算為基礎,信息論和復雜性理論是其兩個重要組成部分。加密體制的分類:從原理上分為兩類:即
單鑰或對稱密碼體制(代表算法:DES算法,IDEA算法)和雙鑰或非對稱密碼體制(代表算法:RSA算法,ElGamal算法)。
2.DES加密過程有幾個基本步驟?試分析其安全性能。
答:1.初始置換IP及其逆初始化轉換IP-1;乘積變換;選擇擴展運算、選擇壓縮運算和置換運算;DES安全性分析及其變形
3.RSA簽名方法與RSA加密方法對密鑰的使用有什么不同? 答:RSA加密方法是在 多個密鑰中選中一部分密鑰作為加密密鑰,另一些作為解密密鑰。RSA簽名方法:如有k1/k2/k3三個密鑰,可將k1作為A的簽名私密鑰,k2作為B的簽名密鑰,k3作為公開的驗證簽名密鑰,實現這種多簽名體制,需要一個可信賴中心對A和B分配秘密簽名密鑰。3.試簡述解決網絡數據加密的三種方式。答:常用的網絡數據加密方式有:
鏈路加密:對網絡中兩個相鄰節點之間傳輸的數據進行加密保護; 節點加密:指在信息傳輸過程的節點進行解密和加密; 端到端的加密:指對一對用戶之間的數據連續地提供保護。4.認證的目的是什么?認證體制的要求和技術是什么?
答:1.認證的目的有三個:一消息完整性認證,即驗證信息在傳送或存儲過程中是否被篡改;二是身份認證,即驗證消息的收發者是否持有正確的身份認證符,如口令、密鑰等;三是消息的序號和操作時間(時間性)等的認證,目的是防止消息重放或延遲等攻擊。2.一個安全的認證體制至少應該滿足以下要求:意定的接收者能夠檢驗和證實消息的合法性,真實性和滿足性;消息的發送者對所發的消息不能抵賴,有時也要求消息的接收者不能否認收到的消息;除了合法的消息發送外,其他人不能偽造發送消息。
3.數字簽名技術,一種實現消息完整性認證和身份認證的重要技術;身份認證技術,包括直接身份認證技術和間接身份認證技術;消息認證技術,包括消息內容認證、源和宿的認證、消息序號和操作時間的認證。5.什么是PKI?其用途有哪些? 答:PKI是一個用公鑰密碼算法原理和技術提供安全服務的通用型基礎平臺,用戶可利用PKI平臺提供的安全服務進行安全通信。PKI采用標準的密鑰管理規則,能夠為所有應用透明地提供采用加密和數字簽名等密碼服務所需要的密鑰和證書管理。
6.簡述PKI的功能模塊組成。
答:主要包括認證機構CA、證書庫、密鑰備份、證書作廢處理系統和PKI應用接口系統等。認證機構CA、證書庫、證書撤銷、密鑰備份和恢復、自動更新密鑰、密鑰歷史檔案、交叉認證、不可否認證、時間戳和客戶端軟件
第四章 防火墻技術 1.簡述防火墻的定義 答:防火墻是位于被保護網絡和外部網絡之間執行控制策略的一個或一組系統,包括硬件和軟件,它構成一道屏障,以防止發生對被保護網絡的不可預測、潛在破壞性的侵擾。它對兩個網絡之間的通信進行控制,通過強制實施統一的安全策略,限制外界用戶對內部網絡的訪問,管理內部用戶訪問外部網絡,防止對重要信息資源的非法存取和訪問,以達到保護內部網絡系統安全的目的。2.防火墻的主要功能有哪些?
答:防火墻是網絡安全策略的有機組成部分,它通過控制和監制網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。防火墻具有五大基本功能:過濾進、出網絡的數據;和管理進、出網絡的訪問行為;封堵某些禁止的業務;記錄通過防火墻的信息內容和活動;對網絡攻擊的檢測和告警。3.防火墻的體系結構有哪幾種?簡述各自的特點。
答:1.雙重宿主主機體系結構;屏蔽主機體系結構;屏蔽子網體系結構。
2.雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的,該計算機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器;它能夠從一個網絡往另一個網絡發送IP數據包。雙重宿主主機體系結構是由一臺同時連接在內外網絡的雙重宿主主機提供安全保障的,而屏蔽主機體系結構則不同,在屏蔽主機體系結構中,提供安全的主機僅僅與被保護的內部網絡相連。屏蔽子網體系結構添加額外的安全層到屏蔽主機體系結構,即通過添加周邊網絡更進一步地把內部網絡與Internet隔開。4.簡述包過濾防火墻的工作機制和包過濾模型。
答:1.包過濾防火墻工作在網絡層,通常基于IP數據包的源地址、目的地址、源端口和目的端口進行過濾。數據包過濾技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯,被稱為訪問控制列表。
3.包過濾型防火墻一般有一個包檢查模塊,可以根據數據包頭的各項信息來控制站點與站點、站點與網絡、網絡與網絡之間的訪問,但不能控制傳輸的數據,因為內容是應用層數據。4.簡述包過濾的工作過程。
答:1.數據包過濾技術可以允許或不允許某些數據包在網絡上傳輸,主要依據有:數據包的源地址、目的地址、協議類型(TCP、UDP、ICMP等)、TCP或UDP的源端口和目的端口、ICMP消息類型。
2.包過濾系統只能進行類似以下情況的操作:不讓任何用戶從外部網用Telnet登錄;允許任何用戶用SMTP往內部網發電子郵件;只允許某臺計算機通過NNTP往內部網發新聞。但包過濾不能允許進行如下的操作:允許某個用戶從外部網用Telent登錄而不允許其他用戶進行這種操作;允許用戶傳送一些文件而不允許用戶傳送其他文件。5.簡述代理防火墻的工作原理,并闡述代理技術的優缺點。
答:1.所謂代理服務器,是指代表客戶處理連接請求的程序。當代理服務器得到一個客戶的連接意圖時,它將核實客戶請求,并用特定的安全化的Proxy應用程序來處理連接請求,將處理后的請求傳遞到真實服務器上,然后接受服務應答,并進行進一步處理后,將答復交給發出請求的客戶。代理服務器在外部網絡向內部網絡申請服務時發揮了中間轉接和隔離內、外部網的作用,所以又叫代理防火墻。代理防火墻工作于應用層,且針對特定的應用層協議。2.優點:代理易于配置;代理能生成各項記錄;代理能靈活、完全地控制進出流量、內容;代理能過濾數據內容;代理能為用戶提供透明的加密機制;代理可以方便地與其他安全手段集成。缺點:代理速度較路由慢;代理對用戶不透明;對于每項服務代理可能要求不同的服務器;代理服務器不能保證免受手所有協議弱點的限制;代理不能改進底層協議的安全性。
5.簡述狀態檢測防火墻的特點。
答:狀態檢測防火墻結合了包過濾防火墻和代理服務器防火墻的長處,克服了兩者的不足,能夠根據協議、端口,以及源地址、目的地址的具體情況決定數據包是否允許通過。優點:高安全性、高效性、可伸展性和易擴展性、應用范圍廣。不足:對大量狀態信息的處理過程可能會造成網絡的連接的某種遲滯。6.簡述NAT技術的工作原理
答:NAT技術就是一種把內部私有IP地址翻譯顧合法網絡IP地址的技術。簡單來說,NAT技術就是在局域網內部中使用內部地址,而當內部節點要與外部網絡進行通信時,就在網關處將內部地址替換成公用地址,從而在外部公網上正常使用。
7.試描述攻擊者用于發現和偵察防火墻的典型技巧。
答:攻擊者往往通過發掘信息關系和最薄弱環節上的安全脆弱點來繞過防火墻,或者由拔點賬號實施攻擊來避免防火墻。典型技巧:
1.用獲取防火墻標識進行攻擊。憑借端口掃描和標識等獲取技巧,攻擊者能效地確定目標
網絡上幾乎每個防火墻的類型、版本和規則。2.穿透防火墻進行掃描。利用原始分組傳送進行穿透防火墻掃描和利用源端口掃描進行穿
透防火墻掃描。3.利用分組過濾的脆弱點進行攻擊。利用ACL規則設計不完善的防火墻,允許某些分組不 受約束的通過。
4.利用應用代理的脆弱點進行攻擊。8.簡述個人防火墻的特點
答:優點:增加了保護級別,不需要額外的硬件資源;個人防火墻除了可以抵擋外來攻擊的同時,還可以抵擋內部的攻擊;個人防火墻是對公共網絡中的單個系統提供了保護,能夠為用戶隱蔽暴露在網絡上的信息,比如IP地址之類的信息等。
缺點:個人防火墻對公共網絡只有一個物理接口,導致個人防火墻本向容易受到威脅;個人防火墻在運行時需要占用個人計算機內存、cPU時間等資源;個人防火墻只能對單機提供保護,不能保護網絡系統。9.簡述防火墻的發展動態和趨勢。
答:防火墻的發展動態:防火墻有許多防范功能,但由于互聯網的開放性,它也有力不能及的地方,主要表現以下幾個方面:防火墻不能防范不經由防火墻的攻擊;防火墻目前還不能防止感染病毒的軟件或文件的傳輸,這只能在每臺主機上安裝反病毒軟件;防火墻不能防止數據驅動式攻擊;另外,防火墻還存著安裝、管理、配置復雜的特點,在高流量的網絡中,防火墻還容易成為網絡的瓶頸。
防火墻的發展趨勢:優良的性能;可擴展的結構和功能;簡化的安裝和管理; 主動過濾;防病毒與防黑客;發展聯動技術。
第五章 入侵檢測技術
1.簡述入侵檢測系統的基本原理
答:侵入檢測是用于檢測任何損害或企圖損害系統的保密性,完整性或可用性的一種網絡安全技術。它通過監視受保護系統的狀態和活動,采用誤用檢測或異常檢測的方式,發現非授權或惡意的系統及網絡行為,為防范入侵行為提供有效的手段。
2.入侵檢測的系統結構和功能結構的組成
答:1.由于網絡環境和系統安全策略的差異,入侵檢測系統在具體實現上也有所不同。從系統構成看,入侵檢測系統應包括數據提取、入侵分析、響應處理、和遠程管理四大部分。2.入侵檢測系統的功能結構可分為兩個部分:中心檢測平臺和代理服務器,中心檢測平臺和代理服務器之間通過安全的遠程過程調用。3.入侵檢測的分類
2.由于功能和體系結構的復雜性,入侵檢測系統模型可分為數據源、檢測理論和檢測時效三種。基于數據源的分類,按照數據源處所的位置可把入侵檢測系統分為三類,即基于主機 基于網絡、混合入侵檢測、基于網關的入侵檢測系統及文件完整性檢查系統。基于檢測理論的分類,可分為異常檢測和誤用檢測兩種。基于檢測時效的分類,IDS在處理數據的時候可采用實時在線檢測方式(實時檢測)、批處理方式(離線檢測)。入侵檢測分析模型
答:入侵檢測分析處理可分為三個階段:構建分析器、對實際現場數據進行分析、反饋和提煉過程。其中前兩個階段包含三個功能,即數據處理、數據分類(數據可分為入侵指標、非入侵指示或不確定)和后處理。4.簡述誤用檢測的技術實現
答:誤用檢測是按照預定模式搜尋事件數據的,最適用于對已知模式的可靠檢測。執行誤用檢測,主要依賴可靠的用戶活動記錄和分析事件的方法。分為條件概率預測法、產生式/專家系統、狀態轉換方法(狀態轉換分析、有色Petri-Net、語言/基于API方法)、用于批模式分析的信息檢索技術、KeyStroke Monitor和基于模型的方法。5.簡述異常檢測的技術實現
異常檢測基于一個假定:用戶的行為是可預測的、遵循一致性模式的,且隨著用戶事件的增加,異常檢測會適應用戶行為的變化。用戶行為的特征輪廓在異常檢測中是由度量集來描述的。為Denning的原始模型、量化分析、統計度量、非參數統計度量和基于規則的方法。6.指出分布式入侵檢測的優勢和劣勢
答:分布式入侵檢測由于采用了非集中的系統結構和處理方式,相對于傳統的單機IDS具有一些明顯的優勢:檢測大范圍的攻擊行為、提高檢測的準確度、提高檢測效率、協調響應措施;分布式入侵檢測的技術難點:事件產生及存儲、狀態空間管理及規則復雜度、知識庫管理和推理技術。7.入侵檢測系統的標準
答:1.IETF/IDWG.IDWG定義了用于入侵檢測與響應(IDR)系統之間或與需要交互管理系統之間的信息共享所需要的數據格式和交換規程。IDWG提出了三項建議草案:入侵檢測消息交換格式(IDMEF)、入侵檢測交換協議(IDXP)及隧道輪廓 2.CIDF.CIDF的工作集中體現在四個方面:IDS體系結構、通信機制、描述語言和應用編程接口API。8.CIDF的體系結構組成
答:分為四個基本組件:事件產生器、事件分析器、響應單元和事件數據庫。事件產生器、事件分析器、響應單元通常以應用程序的形式出現,而事件數據庫是文件或數據流的形式。
第六章 網絡安全檢測技術 1.安全威脅的概念和分類?
答:安全威脅是指所有能夠對計算機網絡信息系統的網絡服務和網絡信息的機密性、可用性和完整性產生阻礙、破壞或中斷的各種因素。安全威脅可分為人為安全威脅和非人為安全威脅兩大類。安全威脅和安全漏洞密切相關,安全漏洞的可度量性使人們對系統安全的潛在影響有了更加直觀的認識。2.什么是安全漏洞,安全漏洞產生的內在原因是什么?
答:1.漏洞是指在硬件、軟件和協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。2.漏洞的產生有其必然性,這是因為軟件的正確性通常是通過檢測來保障的。檢測只能發現錯誤,證明錯誤的存在,不能證明錯誤的不存在。尤其是像操作系統這樣的大型軟件不可避免地存在著設計上的缺陷,這些缺陷反映在安全功能上便造成了系統的安全脆弱性。3.網絡安全漏洞的分類有哪些?
答:1.按漏洞可能對系統造成的直接威脅分類,有:遠程管理員權限、本地管理員權限、普通用戶訪問權限、權限提升、讀取受限文件、遠程拒絕服務、本地拒絕服務、遠程非授權文件存取、口令恢復、欺騙、服務器信息泄露和其他漏洞。2.按漏洞成因分類:輸入驗證錯誤、訪問驗證錯誤、競爭條件、意外情況處置錯誤、設計錯誤、配置錯誤、環境錯誤。
4.網絡安全漏洞檢測技術分哪幾類?具體作用是什么?
答:網絡安全漏洞檢測主要包括端口掃描、操作系統探測和安全漏洞探測。通過端口掃描可以掌握系統都開放了哪些端口、提供了哪些網絡服務;通過操作系統探測可以掌握操作系統的類型信息;通過安全漏洞探測可以發現系統中可能存在的安全漏洞。網絡安全漏洞檢測的一個重要目的就是要在入侵者之前發現系統中存在的安全問題,及時地采取相應防護措施。
5.端口掃描技術的原理是什么?根據通信協議的不同可以分為哪幾類?
答:端口掃描的原理是向目標主機的TCP/IP端口發現探測數據包,并記錄目標主機的響應。通過分析響應來判斷端口是打開還是關閉等狀態信息。根據所使用通信協議的不同,網絡通信端口可以分為TCP端口(全連接、半連接)和UDP端口兩大類。
6.操作系統探測技術分為幾類?
答:操作系統探測主要包括:獲取標識信息探測技術、基于TCP/IP協議棧的操作系統指紋探測技術和ICMP響應分析探測技術。
7.安全漏洞探測技術有哪些分類?
答:安全漏洞探測是采用各種方法對目標可能存在的己知安全漏洞進行逐項檢查。按照安全漏洞的可利用方式來劃分,漏洞探測技術可以分為信息型漏洞探測和攻擊漏洞探測兩種。按照漏洞探測的技術特征,又可以劃分為基于應用的探測技術、基于主機的探測技術、基于目標的探測技術和基于網絡的探測技術等。
第七章 計算機病毒與惡意代碼防范技術 1.簡述計算機病毒的定義和特征。
答:計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或毀壞數據,影響計算機使用,并能自我復制一組計算機指令或者程序代碼。計算機病毒具有以下特征:非授權可執行性、隱蔽性、傳染性、潛伏性、破壞性和可觸發性。
2.簡述計算機病毒的危害。
答:計算機病毒的危害主要有:直接破壞計算機數據信息;占用磁盤空間和對信息的破壞;
搶占系統資源;影響計算機運行速度;計算機病毒錯誤與不可見的危害;計算機病毒的兼容性對系統運行的影響;給用戶造成嚴重的心理壓力。3.簡述計算機病毒的分類。
答:按照計病毒攻擊的系統分類,有攻擊DOS系統的病毒、攻擊Windows系統的病毒、攻擊UNIX系統的病毒。按照病毒的鏈接分類,有源碼型病毒、嵌入型病毒、外殼病毒和操作系統病毒。按照病毒的破壞情況分類,有良性計算機病毒、惡性計算機病毒。按照病毒的寄生方式分類,有引導型病毒、文件型病毒和復合型病毒。按照病毒的傳播媒介分類,有單機病毒和網絡病毒。
4.試述計算機病毒的-般構成、各個功能模塊的作用和作用機制。
答:計算機病毒一般包括三大功能模塊,即引導模塊、傳染模塊和發作模塊(破壞/表現模塊)。
1.引導模塊,計算機病毒要對系統進行破壞,爭奪系統控制權是至關重要的,一般的病毒都是由引導模塊從系統獲取控制權,引導病毒的其他部分工作。中斷是CPU處理外部突發事件的一個重要技術。它能使CPU在運行過程對外部事件發出中斷請求及時進行處理,處理完后立即返回斷點,繼續CPU原來的工作。
2.傳染模塊,計算機的傳染是病毒由一個系統擴散到另一個系統,由一張磁盤傳入另一張磁盤,由一個網絡傳播到另一個網絡的過程。計算機病毒是不能獨立存在的,它必須寄生于一個特定的寄生宿主上。
3.發作模塊,計算機病毒潛伏在系統中處于發作就緒狀態,一旦病毒發作就執行病毒設計者的目的的操作。破壞機制在設計原理、工作原理與傳染機制基本相同。5.目前計算機病毒預防采用的技術有哪些?
答:嚴格的管理、有效的技術、宏病毒的防范、電子郵件病毒的防范。5.對于計算機的病毒有哪些檢測技術?
答:特征代碼法、檢驗和法、行為監測法和軟件模擬法。6.簡述計算機病毒的發展趨勢。
答:利用微軟件漏洞主動傳播;局域網內快速傳播、以多種方式傳播、雙程序結構、用即時工具傳播病毒。7.什么是惡意代碼?防范惡意代碼有哪些?
答:惡意代碼是一種程序,通常在人們沒有察覺有情況下把代碼寄宿到另一段程序中,從而達到破壞被感染計算機的數據,運行具有入侵性或破壞性的程序,破壞被感染系統數據的安全性和完整性的目的。防范惡意代碼可以分為普通病毒、木馬、網絡蠕蟲、移動代碼和復合型病毒等類型。8.簡述惡意代碼所使用的關鍵技術。
答:惡意代碼的主要關鍵技術有生存技術、攻擊技術和隱藏技術。生存技術主要包括4個方面:反跟蹤技術、加密技術、模糊變換技術和自動生產技術。攻擊技術包括:進程注入技術、端口復用技術、對抗檢測技術、端口反向連接和緩沖區溢出攻擊技術等。隱藏技術通常包括本地隱藏和通信隱藏,本地隱藏主要有文件隱藏、進程隱藏、網絡連接隱藏和內核模塊隱藏等;通信隱藏主要包括通信內容隱藏和傳輸通道隱藏。9.CIH病毒一般破壞哪些部位?它發作時有哪些現象?
答:CIH病毒一般破壞硬盤數據甚至主板上的BIOS的內容,導致主機無法啟動。發作現象:顯示器突然黑屏,硬盤指標燈閃爍為停,重新開機后,計算機無法啟動
第二篇:計算機網絡安全B答案[范文]
計算機網絡安全試卷B答案
一、單選題(共20分,每題1分)
1-5 DBACC6-10 DBDAA11-15 AABDA16-20 AABDD
二、填空題(共20分,每題1分)
1、響應、恢復2、1003、物理隔離網閘
4、多人負責原則
5、防火墻
6、代理服務器
7、最小特權原則
8、消息加密
9、邏輯備份
10、硬件備份 軟件備份
11、潛伏 繁殖
12、實時監視技術 自動解壓縮技術
13、中心管理
14、節點加密 端對端加密
15、分解
三、名詞解釋(共10分,每題2分)
1.實體安全技術——指對計算機及網絡系統的環境、場地、設備和人員等采取的安全技術措施。
2.公共管理信息協議——是在OSI制定的網絡管理框架中提出的網絡管理協議。它是一個分布式的網絡管理解決方案,應用在OSI環境下。
3.雙宿主機網關——是用一臺裝有兩塊網卡的主機做防火墻。兩塊網卡各自與受保護網和外部網相連。主機上運行著防火墻軟件,可以轉發應用程序、提供服務等。
4.自主訪問控制模型——是根據自動訪問控制策略建立的一種模型,它是基于對主體和主體所屬的主體組的識別來限制對客體的訪問,也就是由擁有資源的用戶自己來決定其他一個或一些主體可以在什么程度上訪問哪些資源。
5.NAS存儲技術——是一種將分布、獨立的數據整合為大型、集中化管理的數據中心,以便于對不同主機和應用服務器進行訪問的技術。
四、判斷題(共10分,每題1分)
1-5 √×××× 6-10 ××√√×
五、簡答題(共20分,每題5分)
1.簡述《可信計算機系統評估標準》的內容
答:將計算機系統的可信程度,即安全等級劃分為D、C、B、A四類7級,由低到高。上級包括它下級的所有特性,從最簡單的系統安全特性直到最高級的計算機安全模型技術,不同計算機信息系統可以根據需要和可能選用不同安全保密強度的不同標準
2.簡述RAID的相關技術
答:①磁盤鏡像技術 ②奇偶校驗技術 ③條塊技術 ④雙機集群的磁盤陣列技術
3.簡述入侵檢測過程
答:入侵信息的收集;信號分析;響應
4.簡述構筑防病毒體系的基本原則
答:①化被動為主動 ②全方位保護 ③技術管理雙保險 ④循序漸進部署合適的防病毒體系
六、計算分析題(共20分,每題10分)
1、(e,n)=(3,55)
(d,n)=(27,55)
2、1)
L0= ******11 R0= ******11 2)
C0= 1110110
D0= 1011010
3)S2輸出1001
01001100010110 0100011 0010001 0111011 1100110
第三篇:大學計算機基礎課后題答案word2
電子政務
所 謂電子政務,是指政府機構在其管理和服務職能中
運用現代信息手段,實現政府組織結構和工作流程的重組優化,超越時間、空間和部門分隔的制約,建成一個精簡、高效、廉潔、公平的政府運作模式。
電子政務有以下四個突出特點:
☆
☆
☆ ☆
作者 日期
第四篇:計算機網絡安全
黃岡職業技術學院
電子信息學院
課程期末項目考核任務書
課程名稱:網絡設備配置與管理學生姓名:張贏學生學號:200902081125專業名稱:計算機網絡技術
2011-2012學年第一學期
電子信息學院教務辦室制
摘要...............2 前言...............2
第1章計算機通信網絡安全概述...........2
第2章影響計算機通信網絡安全的因素分析.....2
2.1影響計算機通信網絡安全的客觀因素...........2
2.1.1網絡資源的共享性............2
2.1.2網絡操作系統的漏洞..........2
2.1.3網絡系統設計的缺陷..........3
2.1.4網絡的開放性................3
2.1.5惡意攻擊.............3
2.2影響計算機網絡通信安全的主觀因素...........3
第3章計算機網絡的安全策略..............3
3.1物理安全策略.............3
3.2常用的網絡安全技術.............3
3.2.1 網絡加密技術................4
3.2.2 防火墻技術...........4
3.2.3 操作系統安全內核技術...............4
3.2.4 身份驗證技術身份驗證技術...........5
3.2.5 網絡防病毒技術..............5
總結...............5 參考文獻.................5摘要:隨著計算機信息技術的迅猛發展,計算機網絡已經越發成為農業、工業、第三產業和國防工業的重要信息交換媒介,并且滲透到社會生活的各個角落。因此,認清網絡的脆弱性和潛在威脅的嚴重性,采取強有力安全策略勢在必行。計算機網絡安全工作是一項長期而艱巨的任務,它應該貫徹于整個信息網絡的籌劃、組成、測試的全過程。本文結合實際情況,分析網絡安全問題并提出相應對策。
前言:隨著計算機技術的迅速發展,在計算機上完成的工作已由基于單機的文件處理、自動化辦公,發展到今天的企業內部網、企業外部網和國際互聯網的世界范圍內的信息共享和業務處理,也就是我們常說的局域網、城域網和廣域網。計算機網絡的應用領域已從傳統的小型業務系統逐漸向大型業務系統擴展。計算機網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。
第1章計算機通信網絡安全概述
所謂計算機通信網絡安全,是指根據計算機通信網絡特性,通過相應的安全技術和措施,對計算機通信網絡的硬件、操作系統、應用軟件和數據等加以保護,防止遭到破壞或竊取,其實質就是要保護計算機通訊系統和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。
第2章影響計算機通信網絡安全的因素分析
計算機通信網絡的安全涉及到多種學科,包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等十數種,這些技術各司其職,保護網絡系統的硬件、軟件以及系統中的數據免遭各種因素的破壞、更改、泄露,保證系統連續可靠正常運行。
2.1影響計算機通信網絡安全的客觀因素
2.1.1網絡資源的共享性
計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角,還是遠在天邊,只要有網絡,就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統安全的攻擊者利用共享的資源進行破壞也提供了機會。
2.1.2網絡操作系統的漏洞
操作系統漏洞是指計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性,決定了操作系統必然存在各種的缺陷和漏洞。
2.1.3網絡系統設計的缺陷
網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。
2.1.4網絡的開放性
網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的信息。
2.1.5惡意攻擊
惡意攻擊就是人們常見的黑客攻擊及網絡病毒.是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。具體表現方式有以下幾種:(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源,使主機處于掛起狀態甚至死機。
DOS 攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DOS 的工具一點不難,黑客網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS 攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
2.2影響計算機網絡通信安全的主觀因素
主要是計算機系統網絡管理人員缺乏安全觀念和必備技術,如安全意識、防范意思等。
第3章計算機網絡的安全策略
3.1物理安全策略
物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略還包括加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等
級和安全管理范圍。
3.2常用的網絡安全技術
3.2.1 網絡加密技術
網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密,端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。
如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特。
3.2.2 防火墻技術
防火墻技術是設置在被保護網絡和外界之間的一道屏障,是通過計算機硬件和軟件的組合來建立起一個安全網關,從而保護內部網絡免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數據流,來保證通信網絡的安全對今后計算機通信網絡的發展尤為重要。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和狀態監測型。
3.2.3 操作系統安全內核技術
操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括:采用安全性較高的操作系統;對操作系統的安全配置;利用安全掃描系統檢查操作系統的漏洞等。美國國防部技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2 級,其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別;②系統可以根據用戶注冊名決定用戶訪問資源的權限;③系統可以對系統中發生的每一件事進行審核和記錄;④可以創建其他具有系統管理權限的用戶。
3.2.4 身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
3.2.5 網絡防病毒技術
在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮,從方便管理人員的能,在夜間對全網的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網絡上每一臺機器出現故障、病毒侵入時,網絡管理人員都能及時知道,從而從管理中心處予以解決。
總結
隨著信息技術的飛速發展,影響通信網絡安全的各種因素也會不斷強化,因此計算機網絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的幾種安全防范措施。
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
參考文獻
【1】 陶陽.計算機與網絡安全 重慶:重慶大學出版社,2005.【2】 田園.網絡安全教程 北京:人民郵電出版社,2009.【3】 馮登國.《計算機通信網絡安全》,清華大學出版社,2001
【4】 陳斌.《計算機網絡安全與防御》,信息技術與網絡服務,2006(4):35-37.【5】 William Stallings.網絡安全基礎教程:應用與標準(英文影印版),清華大學出版社,2006(7)
【6】 趙樹升等.《信息安全原理與實現》,清華大學出版社,2004(9)
第五篇:淺論計算機網絡安全
淺論計算機網絡安全
方倩
(北京科技職業學院 新聞傳播學院,北京 延慶 102100)
摘要計算機網絡為人們帶來了極大的便利,同時也在經受著垃圾郵件、病毒和黑客的沖擊,因此計算機網絡安全技術變得越來越重要。而建立和實施嚴密的網絡安全策略和健全安全制度是真正實現網絡安全的基礎。
關鍵詞網絡安全;防火墻;加密
1引言
在信息化社會的今天,計算機網絡在政治、軍事、金觸、電信、科教等方面的作用日益增強。社會對計算機網絡的依賴也日益增大。特別是Internet的出現,使得計算機網絡的資源共享進一步加強。隨著網絡上各種新興業務的興起,如電子商務、網絡銀行(Network Bank),使得網絡安全技術的研究成了計算機與通信界的一個熱點,并且成了信息科學的一個重要研究領域,日益受到人們的關注。
Internet一方面給人們帶來了經濟上的實惠、通信上的便捷,但另一方面黑客和病毒的侵擾又把人們置于進退兩難的境地。據FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起 Internet計算機侵入事件。
2003年夏天,IT人士在此期間受到了“沖擊波”和“霸王蟲”蠕蟲的雙面夾擊。“沖擊波”(又稱“Lovsan”或“MSBlast”)首先發起攻擊。病毒最早于當年8月11日被檢測出來并迅速傳播,兩天之內就達到了攻擊頂峰。病毒通過網絡連接和網絡流量傳播,利用了Windows 2000/XP的一個弱點進行攻擊,被激活以后,它會向計算機用戶展示一個惡意對話框,提示系統將關閉。在病毒的可執行文件MSBLAST.EXE代碼中隱藏著這些信息:“桑(San),我只想說愛你!”以及“比爾·蓋茨(Bill Gates)你為什么讓這種事情發生?別再斂財了,修補你的軟件吧!”。損失估計為20億~100億美元,受到感染的計算機不計其數。“沖擊波”一走,“霸王蟲”蠕蟲便接踵而至,對企業和家庭計算機用戶而言,2003年8月可謂悲慘的一月。最具破壞力的變種是Sobig.F,它 8月19日開始迅速傳播,在最初的24小時之內,自身復制了100萬次,創下了歷史紀錄(后來被Mydoom病毒打破)。病毒偽裝在文件名看似無害的郵件附件之中。被激活之后,這個蠕蟲便向用戶的本地文件類型中發現的電子郵件地址傳播自身。最終結果是造成互聯網流量激增。損失估計為50億~100億美元,超過100萬臺計算機被感染.。
我國的信息化剛剛起步,但發展迅速,網絡已滲透到國民經濟的各個領域。在短短的幾年時間里,也發生了多起利用網絡進行犯罪的事件,給國家、企業和個人造成了重大的經濟損失和危害。特別是金融部門的犯罪,更是令人觸目驚心。近兩年來,“網游大盜”、“熊貓燒香”、“德芙”、“QQ木馬”、“灰鴿子”等木馬病毒日益猖獗,以盜取用戶密碼賬號、個人隱私、商業秘密、網絡財產為目的。調查顯示,趨利性成為計算機病毒發展的新趨勢。網上制作、販賣病毒、木馬的活動日益猖獗,利用病毒、木馬技術進行網絡盜竊、詐騙的網絡犯罪活動呈快速上升趨勢,網上治安形勢非常嚴峻。
面對如此嚴重的種種威脅,必須采取有力的措施來保證計算機網絡的安全,但現在的大多數計算機網絡在建設之初都忽略了安全問題,即使考慮了安全,也只是把安全機制建立在物理安全機制上。2計算機網絡安全的含義
從本質上講,網絡安全就是網絡上的信息的安全。計算機網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄漏,系統能連續可靠地正常運行,網絡服務不被中斷。
從廣義上看,凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控制性的相關技術理論,都是網絡安全研究的領域。
從用戶角度來說,他們希望涉及個人隱私或商業機密的信息在網絡上受到機密性、完整性和真實性的保護,同時希望保存在計算機系統上的信息不受用戶的非授權訪問和破壞。
從網絡運行和管理角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕訪問等威脅,制止和防御網絡黑客的攻擊。
從社會教育的角度來說,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。網絡安全的特征
3.1保密性
保密性是指信息不泄漏給非授權用戶、實體或過程,或供其利用的特性。3.2完整性
完整性是指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改,不被破壞和丟失的特性。
3.3可控性
可控性是指對信息的傳播及內容具有控制能力。3.4可用性
可用性是指可被授權實體訪問并按需求使用的特性。網絡環境下拒絕服務,破壞網絡和有關系統的常運行等都屬于對可用性的攻擊。
4網絡安全面臨的威脅
從技術角度上看,Internet的不安全因素,一方面是由于它是面向用戶的,所有資源通過網絡共享,另一方面是它的技術是開放和標準的。因特網是基于TCP/IP協議的,TCP/IP協議在當初設計和后來應用時并未考慮到安全因素,也未曾預料后來應用的爆發增長。這就好像在一間封閉的房間內打開緊閉的玻璃窗,新鮮空氣進來發,但大量的灰塵、蒼蠅和蚊子等害蟲也跟著進來。網絡世界也一樣,開放的、免費的信息帶來了溝通的便利。但垃圾郵件、網絡病毒以及黑客等使網絡經受著前所未有的沖擊。計算機網絡面臨的威脅大體上分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡安全的因素很多,有些是有意的,有些是無意的;可能是人為的,可能是非人為的,也可能是外來黑客對網絡系統資源的非法使用,歸結起來,針對網絡安全的威脅主要有以下四點[1]。
4.1人為的無意失
誤
操作員使用不當,安全配置不規范造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.2人為的惡意攻擊
此類攻擊又分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性、完整性和真實性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息,它不會導致系統中信息的任何改動,而且系統的操作和狀態也不會被改變,因此這類攻擊主要威脅信息的保密性。
4.3網絡軟件的漏洞和“后門”
網絡軟件不可能是百分之百的無缺陷和無漏洞的,例如TCP/IP協議的安全問題,然而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,大部分就是因為軟件本身的脆弱性和安全措施不完善所招致的苦果。另外,軟件的“后門”是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”打開,其造成的后果將不堪設想。
4.4人自身的因素
人自身的因素主要是指非授權訪問、信息漏洞或丟失、破壞完整性。非授權訪問是指預先沒有經過同意就使用網絡或計算機資源。信息丟失包括在傳輸中丟失或在傳輸介質中丟失兩種,例如黑客常使用竊收方式,利用可能的非法手段竊取系統中的信息資源和敏感信息。
5網絡安全的安全策略
5.1 物理安全策略
保證計算機信息系統中各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:①環境安全:對系統所在環境的安全保護,如區域保護和災難保護;②設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;③媒體安全:包括媒體數據的安全及媒體本身的安全。顯然,為保證信息網絡系統的物理安全,除在網絡規劃和場地、環境等方面要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失秘的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上安裝一定的防護措施,來減少或干擾擴散出去的空間信號,這成為政府、軍事、金融機構在建設信息中心時首要考慮的問題。[2]
5.2訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問,它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須配合才能真正起到保護作用。訪問控制可以說是保證網絡安全最重要的核心策略之一。
5.2.1入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站上入網。用戶的入網訪問控制分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網絡。用戶名或用戶賬號是所有計算機中最基本的安全形式。實際上,這種“用戶 ID+密碼”的方法來進行用戶的身份認證和訪問控制的方案隱含著一些問題。例如,密碼容易被忘記,如果用戶忘記了他的密碼,就不能進入系統。另外,密碼被別人盜取則更是一件可怕的事情,因為用心不良的人可能會進一步竊取公司機密數據、可能會盜用別人的名義做不正當的事情,甚至從銀行、ATM 終端上提取別人的巨額存款。隨著科技的進步,生物識別(Biometric)技術已經開始走入了我們的日常生活之中。目前在世界上許多公司和研究機構都在生物識別技術的研究中取得一些突破性技術,從而推出了許多新產品。目前比較流行的是虹膜識別技術和指紋識別技術。指紋識別作為識別技術已經有很長的歷史了,它通過分析指紋的全局特征和指紋的局部特征,并從中抽取非常詳盡的特征值來確認一個人的身份。平均每個指紋都有幾個獨一無二可測量的特征點,每個特征點都有大約七個特征,我們的十個手指產生最少4900個獨立可測量的特征,這足夠來確認指紋識別是否是一個更加可靠的鑒別方式。另外,掃描指紋的速度很快,使用非常方便;讀取指紋時,用戶必須將手指與指紋采集頭相互接觸,與指紋采集頭直接接觸是讀取人體生物特征最可靠的方法;指紋采集頭可以更加小型化,并且價格會更加的低廉。這都是指紋識別技術能夠占領大部分市場的主要原因。
5.2.2網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。[3]可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:①特殊用戶(即系統管理員);②一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;⑧審計用戶。負責網絡的安全控制與資源使用情況的審計。用戶網絡資源的訪問權限可以用一個訪問控制表來描述。
5.2.3 屬性安全控制
當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性,用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對資源的訪問能力。屬性設置可以覆蓋已經指定的任何有效權限。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改和顯示等。
5.2.4網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形、文字、聲音、短消息等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
5.2.5防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施。它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向的門檻,它用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的設備不被破壞,防止內部網絡的敏感數據竊取。從實現上看,防火墻實際上是一個獨立的進程或一組緊密聯系的進程,運行于路由器或服務器上,控制經過它們的網絡應用服務及傳輸的數據。目前較流行的一種防火墻是代理防火墻,又稱為應用層網關級防火墻,它由代理服務器和過濾路由器組成,它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連,并對數據進行嚴格選擇,然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,代理服務器接受申請,然后根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍來決定是否接受此項服務,若接受,它就向內部網絡轉發這項請求。
5.3信息加密策略
在各類網絡安全技術中,加密技術是基礎。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。信息加密是保證信息機密性的惟一方法。加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,將機密信息變成難以讀懂的亂碼型文字。據不完全統計,目前已經公開發表的各種加密算法多達數百種。如果以密鑰為標準,可以將這些算法分為單鑰密碼(又稱對稱密鑰或私鑰密碼)和雙鑰密碼(又稱非對稱密碼或公鑰密碼)。單鑰密碼的特點是無論加密還是解密都使用同一種密鑰,因此,此密碼體制的安全性就是密鑰的安全。若密鑰泄漏,則此密碼系統就被攻破。最有影響的單鑰密碼是 1997年美國國家標準局頒布的DES算法,最近頒布的AES算法作為 DES算法的替代,正在逐漸被人們接受。單鑰密碼的優點是安全性高,加解碼速度快。它的缺點是:密鑰的管理困難;無法解決消息確認問題;缺乏自動檢測密鑰泄漏的能力。在雙鑰體制下,加密密鑰與解密密鑰不同,此時不需要安全信道來傳送密鑰,而只需利用本地密鑰發生器產生解密密鑰,并以此來控制解密操作。雙鑰密碼是1796年W.Diffie和M.E.Hellman提出來的一種新型密碼體制。由于雙鑰密碼體制的加密和解密不同,且能公開加密密鑰,而僅需保密解密密鑰,所以不存在密鑰管理問題。雙鑰密碼還有一個優點就是可以擁有數字簽名等新功能。最有名的雙鑰密碼是1977年由 Rivest、Shamir和 Adleman提出來的RSA密碼體制。雙鑰密碼的缺點是算法比較復雜,加解密速度慢。在實際使用過程中,加密通常是采用單鑰和雙鑰密碼相結合的混合加密體制,即加/解密時采用單鑰密碼,傳送密鑰時采用雙鑰密碼。這樣既解決了密鑰管理的困難,又解決了加/解密速度慢的問題。這無疑是目前解決網絡上傳輸信息安全問題的一種較好的解決辦法。
5.4網絡安全管理策略
面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡的安全管理,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網絡安全所必須考慮的基本問題,所以應引起各計算機網絡應用部門領導的重視。
5.4.1安全管理的基本內容
網絡安全管理的根本目標是保證網絡和系統的可用性。網絡的安全管理涉及網絡安全規劃、網絡安全管理機構、網絡安全管理系統和網絡安全教育等。它的具體內容包括:標識要保護的對象;確定保護的手段;找出可能的威脅;實現具體的安全措施;要求有較好的性價比;了解網絡的安全狀態,根據情況變化重新評估并改進安全措施。[4]其中,安全管理原則包括:
5.4.2多人負責原則
每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統主管領導指派的,他們忠誠可靠,能勝任此項工作;他們應該簽署工作情況記錄以證明安全工作已得到保障。以下各項是與安全有關的活動:①訪問控制使用權限的發放與回收;②信息處理系統使用的媒介發放與回收;③處理保密信息;④硬件和軟件的維護;⑤系統軟件的設計、實現和修改;⑥重要程序和數據的刪除和銷毀等。
5.4.3 任期有限原則
一般地講,任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期地循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使任期有限制度切實可行。
5.4.4職責分離原則
在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情,除非系統主管領導批準。出于對安全的考慮。下面每組內的兩項信息處理工作應當分開。
①計算機操作與計算機編程;②機密資料的接收和傳送;③安全管理和系統管理;④應用程序和系統程序的編制;⑤訪問證件的管理與其它工作;⑥計算機操作與信息處理系統使用媒介的保管等。
5.4.5安全管理的實現
信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制訂相應的管理制度或采用相應的規范。具體工作是①根據工作的重要程度,確定該系統的安全等級;②根據確定的安全等級,確定安全管理的范圍;③制訂相應的機房出入管理制度;④制訂嚴格的操作規程;⑤制訂完備的系統維護制度;⑥制訂應急措施。
5.5操作系統安全[5]
操作系統安全是系統安全的基礎,要建立一個安全的信息系統,不僅要考慮具體的安全產品,包防火墻、安全路由器、安全網關、IP隧道、虛擬網、侵檢測、漏洞掃描、安全測試和監控產品,來被動封堵安全漏洞,而且還要特別注意操作系統平臺的安全問題。操作系統作為計算機系統的基礎軟件用來管理計算機資源的,它直接利用計算機硬件為用戶提供使用和編程接口。各種應用軟件均建立在操作系統提供的系統軟件平臺之上,上層的應用軟件要想獲得運行的高可靠性和信息的完整性、保密性,必須依賴于操作系統提供的系統軟件基礎,任何想像中的、脫離操作系統的應用軟件的高安全性就如同幻想在沙灘上建立堅不可摧的堡壘一樣,無根基可言。不難想象,在網絡環境中,網絡系統安全性依賴于網絡中各主機系統的安全性,而主系統的安全性正是由其操作系統的安全性所決定的,沒有安全的操作系統的支持,網絡安全也毫無基礎可言。所以,操作系統安全是計算機網絡系統安全的基礎。
6結束語
網絡安全技術是伴隨著網絡的誕生而出現的。但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起各國計算機安全界的高度重視,計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統的安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術級別從不同層次加強了計算機網絡的整體安全性。互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈。未來網絡安全技術將會涉及計算機網絡的各個層次中,隨著網絡在商業方面的應用日益廣泛,圍繞電子商務安全的防護技術將在未來幾年中成為重點,如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。
參考文獻
[1]楚狂等.網絡安全與防火墻技術.人民郵出電版社,2000,(4)
[2]黃允聰等.網絡安全基礎.清華大學出版社,2000,(9)
[3]聶元銘等.網絡信息安全技術.科學出版社2001,(7)
[4]黃儉等.計算機網絡安全技術.東南大學出版社,2001,(8)
[5]蔡立軍.計算機網絡安全技術.中國水利水電出版社,2005
收稿日期:7月5日修改日期:7月12日
作者簡介:方倩(1982-),女,本科,研究方向:計算機網絡。2005年8月至今在北京科技職業學院任計算機專業教師。
點擊咨詢 