㈠ 如何完成數據傳輸的機密性,完整性和可認證性計算機網路基礎的題目。。。有關網路安全的
數據傳輸中. TCP/IP協議保證了數據的完整性. 證書保證了數據的可認證性. 密鑰保證了數據的機密性.
UDP協議只保證了數據的快速傳遞性. 不存在完整性.
㈡ 如何提高網路系統的安全性和保密性
按我的理解,你的問題的意思是: 如何保護被 會計電算化相關軟體 處理過的文件? 也就是說,你要保護你計算機里的某些文件~ 如果我理解正確,請往下看, 若完全理解錯了,請跳過~ 按我的理解,文件泄密有兩種途徑,一是直接人為,二是間接軟體。 第一點,那應該不是軟體的問題了,我想你應該知道怎麼解決~(類似於:觸我電腦者,斬~) 至於第二,要知道,任何防護措施都不是沒有漏洞的,就好象鎖頭防君子不防小人一個道理,不過有個相對來說很有效,但也很麻煩的方法: 那就是咱不用鎖頭~ 那你得問了:沒鎖頭門怎麼辦? 敞開著? 不~ 咱連門都不要!~ 至於為什麼,你得明白下面這個理~ 有時候泄密的不一定就是僕人~主人也會出賣你, 就是說,如果系統都不安全,你軟體防護得再嚴密有什麼用? 國不存,家何在? 但無論誰出賣你,它總得有個出賣的渠道,這個渠道就是咱們所謂的「門」~ 如果某人准備通過某些軟體盜你的資料,那麼勢必要想辦法將你們的電腦連接,然後通過你機器上的哪怕一絲漏洞來達到目的~ 那麼他通過什麼連接? 當然是網路~ 網路也就相當於那扇我們要關閉的「門」~ 好了,不打比方了,困了…… 直接說吧, 想真正的保密,就要做到完全的硬體隔離, 請確保那台保存資料的機器完全沒有任何外界連接,特別是網路和移動存儲設備,包括軟盤和U盤~ 如果需要軟體或系統的升級,或者資料的存儲,請在保證安全的情況下使用U盤,絕不要圖省事而直接將機器接入網路,包括區域網。 一定保證作為中轉媒介的U盤絕對清潔。 好了,這樣,你那台存儲資料的機器就成了「孤島」 而U盤就扮演了「航船」的角色~ 這樣一來,不要說島外的間諜進不去, 即使島內有間諜,不讓他上船,他也干著急~ 理解著看吧` 這樣一來,資料是安全多了,但是也費勁多了, 其實也不算很費勁~也就是取資料的時候要用用U盤~ 剩下的,只要不上網,跟其它機器沒什麼兩樣~ 哦對了,不要忘了諸多防護軟體~ 多了解下系統安全的知識會對你有幫助 我說的是最笨的方法了,但我覺得是最有效的~ 希望白話了這么多會對你有幫助~ 好運~
㈢ 網路安全的五種屬性,並解釋其含義
(1)可用性
(2)機密性
(3)完整性
(4)可靠性
(5)不可抵賴性,也稱為不可否認性
㈣ 如何加強網路安全管理技術
1.計算機網路安全存在的問題
1.1計算機病毒
計算機網路技術給人們提供了一個自由交流的平台,同時也造成了病毒在網路中的易傳播性。因此,病毒往往可能會感染大量的計算機系統,造成嚴重的損失,如近幾年出現的「熊貓燒香病毒」、「沖擊波」等,給我們的正常工作造成了很大的威脅。病毒的傳播方式經常是瀏覽不安全的網頁、打開陌生的電子郵件或者是在安裝軟體時被偷偷的安裝上其他的程序等。
1.2網路軟體的漏洞
所有的軟體都是設計人員按照一定的邏輯進行編碼的,所以其不可能沒有缺陷存在。然而,這些漏洞恰恰是黑客和病毒進行攻擊的首選目標。還有的一些軟體為了便於設計編程人員操作故意設置有「後門」,雖然「後門」的存在一般不為外人所知,但一旦「後門」被不法分子發現,其造成的後果將不堪設想。
1.3人為的失誤
如管理人員在設置安全配置時由於粗心大意造成了安全漏洞,還有就是用戶的安全意識不強,將自己的密碼設置成別人容易猜到的數字,例如生日或電話等。現在的網吧比較多,一些人有時會在裡面的電腦上進行網路交易,沒有意識到網吧的電腦可能存在病毒或者是身邊別有用心的人在窺視,造成了不必要的損失。
1.4網路硬體的配置不協調
在進行網路配置時設計和選型考慮的欠缺,對網路應用的需求發展沒有引起足夠的重視,從而使網路在各部分的協調性不夠理想,造成網速緩慢,影響網路的可靠性、擴充性和升級換代。
1.5管理制度不健全
如對IP地址的使用沒有進行有效的管理,造成網路擁堵。還有的在防火牆配置上無意識地擴大了訪問許可權,忽視了這些許可權可能會被其他人員濫用。甚至是管理人員日常的網路維護中沒有盡到職責,對於失職人員造成的損失沒有一個合理的處罰制度。
2.建立網路安全管理的策略
2.1建立網路規范
建立網路規范,需要我們不斷完善法制建設,基於網路技術的發展方向和人民對網路應用的需求和,結合實際情況,為規范網路的合理化發展建立法律框架。同時要在道德和文化層面宣傳每個網路用戶應盡的義務,讓每個人意識到對其在網路言行承擔道德和法律責任是規范網路秩序的一個重要手段。還有網路秩序的建立也需要在法制基礎上堅決打擊各類網路犯罪,讓那些想通過網路進行犯罪的人清醒的認識到他們所做的行為要受到嚴懲的。
2.2加強入網的訪問控制
入網訪問控制是用戶進入網路的第一道關口,用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的異常檢查。首先通過驗證用戶賬號、口令等來控制用戶的非法訪問。同時要對用戶賬號、口令的設置方式給予規定,例如:口令和賬號不要過於簡單,盡量使用數字和字母組合方式,強烈建議不要生日、身份證號等容易猜到用戶信息的數字作為登陸密碼,盡量復雜化,同時也要要定期更換密碼。目前網銀系統對於這方面的控制主要使用的是USBKEY認證方法,這種方法採用硬體和軟體結合的方式,所謂的「U盾」小巧方便,很容易讓用戶隨身攜帶。在登陸時用戶的密鑰或數字證書無需存於電腦的內存中,也避免了通過網路傳播的可能性,在用戶完成網路交易後可以立即取下USBKEY。這樣,大大增強了用戶信息的安全性。
2.3防火牆技術
防火牆技術作用於本地網路與外界網路之間,相當於一道關卡,是一種常用的保護計算機網路安全的措施。通過它可以對病毒和黑客的攻擊進行阻止,將危險區域與安全區域進行分離,同時也允許用戶對隔離區域的操作。防火牆可以進出網路的通信量進行監控,如果發現危險的數據會進行處理,僅讓已經核準的安全信息通過。當前,防火牆的類型主要有包過濾防火牆、代理防火牆和雙穴主機防火牆。
2.4加密技術
加密技術通常是利用密碼技術來實現對數據的加密的。對信息加密是為了保護用戶機密的數據、文件安全。特別是在遠距離傳送信息的時候,密碼技術是唯一可行的安全技術,能夠有效的保護信息的傳輸安全。網路加密的方法通常有鏈路加密、端點加密和節點加密。
2.5備份系統
備份系統是指在計算機出現故障時,可以全盤恢復運行計算機系統所需的數據。如目前計算機中的一鍵還原系統,它可以在網路發生硬體故障、病毒攻擊或者是人為失誤等的情況下起到對數據的保護作用。我們平時也要養成對重要數據及時備份的習慣,以防止發生意外情況時造成不必要的損失。也要定期對備份系統進行升級和檢測,保障其能夠在緊急時刻可以正常運行。
3.對計算機系統進行定期維護
3.1應用程序和代碼的維護
系統處理各種操作指令的過程是通過運行各種程序而實現的,一旦程序發生了異常,勢必會引起操作系統的出現問題。因此要關注程序的調整和相應代碼的修改,對一些重要的程序要及時更新和升級。
3.2文檔維護
在對原有的系統、代碼以及相應的軟體進行維護後,要及時針對相應的文檔進行記錄修改,保持與更新後的網路系統的一致性。對變動的地方進行記錄,內容主要包括維護工作的內容、情況、時間、執行人員等,為以後的維護工作打好基礎。
3.3硬體維護
硬體維護主要針對的是計算機、伺服器、線纜、通信介面、列印機等設備的日常管理。當然,維護人員不能對設備的性能不了解,要對他們進行定期的培訓和考察。同時也要建立考核制度,對設備進行抽樣檢查,了解保養和查殺病毒工作的完成情況。對每個設備要建立故障登記表和設備檢修登記表,實施責任制,切實提高設備維護工作的質量,保證各設備的性能都處於最佳狀態。
3.4加強設備的安全管理
(1)質量保障方面:主要指設備的采購、運輸和安裝等步驟要按照規定實施。
(2)運行安全方面:網路中的設備,特別是安全類產品在使用過程中,必須和生成廠家或者是供貨單位進行有效的溝通、在出現問題時要迅速的得到技術支持服務。
(3)防電磁干擾方面:所有重要的設備都要進行電磁檢測,防止外界信號對其正常運行的干擾,必要時需安裝防電磁輻射設備。
(4)保安方面:主要加強對網路設備的辦公室進行防盜、防火等防護。
㈤ 網路安全小妙招
越來越多地基於WEB應用,在通過瀏覽器方式實現展現與交互的同時,用戶的業務系統所受到的威脅也隨之而來,並且隨著業務系統的復雜化及互聯網環境的變化,所受威脅也在飛速增長。逐漸成為最嚴重、最廣泛、危害性最大的安全問題。
一,教大家在應該如何保證自己的上網安全
1、拒絕與來源不明的Wi-Fi連接,黑客大多利用是用戶想要免費蹭網的佔便宜心理,要謹慎使用免費又不需密碼的Wi-Fi。很多商家都有提供免費網路的地方,但我們也要多留一個心眼,必須詢問詳細的名稱,避免被注入「星巴克-1」等假Wi-Fi欺騙;
2、用手機登錄網上銀行和網路購物時須謹慎,為了資金的安全也不差那點流量,用3/4G上網模式進行吧!
3、在手機設置項目中關掉「選擇自動連接」的選項,因為如果這項功能打開的話,手機在進入有Wi-Fi網路的區域就會自動掃描,並連接上不需要密碼的網路,會大大增加誤連「釣魚Wi-Fi」的幾率。
4、拒絕使用「Wi-Fi萬能鑰匙」等Wi-Fi連接、密碼獲取工具,這是因為它們基於數據上傳和分享原則,將你或他人連接過的Wi-Fi信息進行分享,如果有人連過「釣魚Wi-Fi」或「木馬Wi-Fi」,恰巧你在也在附近,那恭喜你,你也中招了!
二,想要自己的路由器不會變成別人的「木馬Wi-Fi」,要做到以下幾點:
1、強大的密碼是Wi-Fi安全最重要的基石。所謂強密碼,是指同時包含了大小寫字母、數字和符號的8位數以上復雜密碼,如Gt/eB7@2。只要對Wi-Fi採用WPA/WPA2加密,並且設置強密碼,就幾乎不可能被攻破。
2、隱藏你的SSID,就是指在路由器管理界面進行相關的設置,使得無線網路的SSID不再廣播出來,成為一個「隱形網路」,這樣同樣可以大大降低被黑客攻擊的概率。
3、關閉無線路由器的QSS、WDS功能,開啟Guest網路供他人使用。首先QSS、WDS功能它大大降低無線路由器的安全性,因此如非必須,應將這兩個功能關閉,而Guest網路只要做好功能限制,能夠有效保護路由器的安全。
4、對常用聯網設備進行MAC綁定。MAC綁定是指在路由器中進行相關的設置,開啟MAC地址黑名單或白名單功能。當然,此處更建議使用的是白名單的方式。用戶只需將需要連接到網路的設備的物理地址(MAC Address)添加到白名單列表中,那麼只有這些添加過的設備可以連接到這個無線網路。
5、此外,就還要從源頭下手,不要購買存在已知漏洞的路由器產品。如果路由器使用了很久,更新下最新的固件版本。如果不是高玩的話,盡量不要刷第三方固件。至於後台管理密碼,拿紙筆記下能想到的最麻煩的密碼和更改路由器的管理界面登陸地址,確保萬無一失吧
㈥ 提高人們對網路信息安全性的認識
2. 加強國家的安全立法工作,為網路安全提供法律依據
有關安全的法律體系包括:① 國家的根本大法即憲法有關國家安全、社會穩定和人民權利的根本性的法律規定;② 國家安全法、保密法等通用的涉及國家安全和信息活動的法律;③ 有關互聯網和電子商務、網路安全的專用法律;④ 有關具體信息行為的法律界定。
我們國家的法律,不但要規范中國公民的行為,維護國家的統一和政權的穩定,而且要在一個經濟全球化的進程中,能夠維護國家的利益和本國公民的權益。日本等一些發達國家之所以膽敢把一些有問題的產品銷往中國,其原因之一就是中國的法律的不完善。中國公民在國際交往中受到了損害,卻拿不出索賠的法律依據。
㈦ 如何實現網路安全措施
網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)盡可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時,雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,給定交易信息傳送流程標准。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素,因為在選擇IDC時你自己會作出決策。
在這里著重強調的是,有些機房提供專門的機櫃存放伺服器,而有些機房只提供機架。所謂機櫃,就是類似於家裡的櫥櫃那樣的鐵櫃子,前後有門,裡面有放伺服器的拖架和電源、風扇等,伺服器放進去後即把門鎖上,只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子,開放式的,伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別,顯而易見,放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上,那就意味著,任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體,還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房,那麼你可以這樣做:
(1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動你的電源;
(2)安裝完系統後,重啟伺服器,在重啟的過程中把鍵盤和滑鼠拔掉,這樣在系統啟動後,普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
(3)跟機房值班人員搞好關系,不要得罪機房裡其他公司的維護人員。這樣做後,你的伺服器至少會安全一些。
㈧ 如何提升網路信息安全保障能力
健全的網路與信息安全保障措施 隨著企業網路的普及和網路開放性,共享性,互連程度的擴大,網路的信息安全問題也越來越引起人們的重視。一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全,還要保護數據安全。網路安全風險分析 計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網路的潛在威脅。信息網路化使信息公開化、信息利用自由化,其結果是信息資源的共享和互動,任何人都可以在網上發布信息和獲取信息。這樣,網路信息安全問題就成為危害網路發展的核心問題,與外界的網際網路連接使信息受侵害的問題尤其嚴重。 目前企業網路信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。 計算機病毒是一種危害計算機系統和網路安全的破壞性程序。它可以直接破壞計算機數據信息,也可以大量佔用磁碟空間、搶占系統資源從而干擾了系統的正常運行。 隨著Internet技術的發展、企業網路環境的日趨成熟和企業網路應用的增多,病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽,尤其是Internet環境和企業網路環境為病毒傳播、生存提供了環境。 黑客攻擊已經成為近年來經常發生的事情,網路中伺服器被攻擊的事件層出不窮。黑客利用計算機系統、網路協議及資料庫等方面的漏洞和缺陷,採用破解口令(password cracking)、天窗(trapdoor)、後門(backdoor)、特洛伊木馬(Trojan horse)等手段侵入計算機系統,進行信息破壞或佔用系統資源,使得用戶無法使用自己的機器。一般大型企業的網路都擁有Internet連接,同時對外提供的WWW和EMAIL等服務。因此企業內部網路通過Internet連接外部進行大量的信息交換,而其中大約80%信息是電子郵件,郵件中又有一半以上的郵件是垃圾郵件,這一比例還在逐年上升。 企業區域網內部的信息安全更是不容忽視的。網路內部各節點之間通過網路共享網路資源,就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下,因此造成信息泄漏;甚至存在內部人員編寫程序通過網路進行傳播,或者利用黑客程序入侵他人主機的現象。因此,網路安全不僅要防範外部網,同時更防範內部網。網路安全措施 由此可見,有眾多的網路安全風險需要考慮,因此,企業必須採取統一的安全策略來保證網路的安全性。一個完整的安全技術和產品包括:身份認證、訪問控制、流量監測、網路加密技術、防火牆、入侵檢測、防病毒、漏洞掃描等;而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。 1.外部入侵的防範措施 (1)網路加密(Ipsec) IP層是TCP/IP網路中最關鍵的一層,IP作為網路層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網路安全的核心。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全,所以能實現非常細致的安全控制。對於用戶來說,便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網路數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務,使得數據在通過公共網路傳輸時,不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密演算法、驗證演算法、封裝協議和一些特殊的安全保護機制來實現這些目的,而這些演算法及其參數是保存在進行IPSec通信兩端的SA(Security Association,安全聯盟),當兩端的SA中的設置匹配時,兩端就可以進行IPSec通信了。 在虛擬專用網(VPN)中主要採用了IPSec技術。 (2)防火牆 防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制進、出一個網路的許可權,在內部和外部兩個網路之間建立一個安全控制點,對進、出內部網路的服務和訪問進行控制和審計,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問、干擾和破壞內部網路資源。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網路和Internet之間的任何活動,保證了內部網路的安全。 防火牆有軟、硬體之分,實現防火牆功能的軟體,稱為軟體防火牆。軟體防火牆運行於特定的計算機上,它需要計算機操作系統的支持。基於專用的硬體平台的防火牆系統,稱為硬體防火牆。它們也是基於PC架構,運行一些經過裁剪和簡化的操作系統,承載防火牆軟體。 (3)入侵檢測 部署入侵檢測產品,並與防火牆聯動,以監視區域網外部繞過或透過防火牆的攻擊,並及時觸發聯動的防火牆及時關閉該連接;同時監視主伺服器網段的異常行為,以防止來自區域網內部的攻擊或無意的誤用及濫用行為。入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力。 2.內部非法活動的防範措施 (1)身份認證 網路安全身份認證是指登錄計算機網路時系統對用戶身份的確認技術。是網路安全的第一道防線,也是最重要的一道防線。用戶在訪問安全系統之前,首先經過身份認證系統識別身份,然後訪問監控器根據用戶的身份和授權資料庫決定用戶是否能夠訪問某個資源。授權資料庫由安全管理員按照需要進行配置。審計系統根據審計設置記錄用戶的請求和行為,同時入侵檢測系統實時或非實時地檢測是否有入侵行為。訪問控制和審計系統都要依賴於身份認證系統提供的用戶的身份。身份認證在安全系統中的地位極其重要,是最基本的安全服務,其它的安全服務都要依賴於它。一旦身份認證系統被攻破,那麼系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統,因此身份認證實在是網路安全的關鍵。 (2)訪問控制 訪問控制決定了用戶可以訪問的網路范圍、使用的協議、埠;能訪問系統的何種資源以及如何使用這些資源。在路由器上可以建立訪問控制列表,它是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕,可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。建立訪問控制列表後,可以限制網路流量,提高網路性能,對通信流量起到控制的手段,這也是對網路訪問的基本安全手段。由於訪問控制列表ACL(Access Control List)的表項可以靈活地增加,所以可以把ACL當作一種網路控制的有力工具,用來過濾流入和?鞽雎酚善鶻涌詰氖蒞?在應用系統中,訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日誌和審計。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據,根據授予的許可權限制其對資源的利用范圍和程度。 (3)流量監測 目前有很多因素造成網路的流量異常,如拒絕服務攻擊(DoS)、網路蠕蟲病毒的傳播、一些網路掃描工具產生的大量TCP連接請求等,很容易使網路設備癱瘓。這些網路攻擊,都是利用系統服務的漏洞或利用網路資源的有限性,在短時間內發動大規模網路攻擊,消耗特定資源,造成網路或計算機系統癱瘓。因此監控網路的異常流量非常重要。流量監測技術主要有基於SNMP的流量監測和基於Netflow的流量監測。基於SNMP的流量信息採集,是通過提取網路設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變數。 基於SNMP收集的網路流量信息包括:輸入位元組數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出位元組數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。基於Netflow流量信息採集是基於網路設備提供的Netflow機制實現的網路流量信息採集,在此基礎上實現的流量信息採集效率和效果均能夠滿足網路流量異常監測的需求。基於以上的流量檢測技術,目前有很多流量監控管理軟體,此類軟體是判斷異常流量流向的有效工具,通過流量大小變化的監控,可以幫助網管人員發現異常流量,特別是大流量異常流量的流向,從而進一步查找異常流量的源、目的地址。處理異常流量最直接的解決辦法是切斷異常流量源設備的物理連接,也可以採用訪問控制列表進行包過濾或在路由器上進行流量限定的方法控制異常流量。 (4)漏洞掃描 對一個網路系統而言,存在不安全隱患,將是黑客攻擊得手的關鍵因素。就目前的網路系統來說,在硬體、軟體、協議的具體實現或系統安全策略方面都可能存在一定的安全缺陷即安全漏洞。及時檢測出網路中每個系統的安全漏洞是至關重要的。安全掃描是增強系統安全性的重要措施之一,它能夠有效地預先評估和分析系統中的安全問題。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序,按功能可分為:操作系統漏洞掃描、網路漏洞掃描和資料庫漏洞掃描。網路漏洞掃描系統,是指通過網路遠程檢測目標網路和主機系統漏洞的程序,它對網路系統和設備進行安全漏洞檢測和分析,從而發現可能被入侵者非法利用的漏洞。定期對網路系統進行漏洞掃描,可以主動發現安全問題並在第一時間完成有效防護,讓攻擊者無隙可鑽。 (5)防病毒 企業防病毒系統應該具有系統性與主動性的特點,能夠實現全方位多級防護。考慮到病毒在網路中存儲、傳播、感染的方式各異且途徑多種多樣,相應地在構建網路防病毒系統時,應利用全方位的企業防毒產品,實施集中控制、以防為主、防殺結合的策略。具體而言,就是針對網路中所有可能的病毒攻擊設置對應的防毒軟體,通過全方位、多層次的防毒系統配置,使網路沒有薄弱環節成為病毒入侵的缺口。實例分析 大慶石化區域網是企業網路,覆蓋大慶石化機關、各生產廠和其他的二級單位,網路上運行著各種信息管理系統,保存著大量的重要數據。為了保證網路的安全,針對計算機網路本身可能存在的安全問題,在網路安全管理上我們採取了以下技術措施: 1.利用PPPOE撥號上網的方式登錄區域網 我們對網路用戶實施了身份認證技術管理。用戶採用 PPPOE撥號方式上區域網,即用戶在網路物理線路連通的情況下,需要通過撥號獲得IP地址才能上區域網。我們選用華為ISN8850智能IP業務交換機作為寬頻接入伺服器(BAS),RADIUS伺服器作用戶認證系統,每個用戶都以實名注冊,這樣我們就可以管理用戶的網上行為,實現了對乙太網接入用戶的管理。 2.設置訪問控制列表 在我們的網路中有幾十台路由交換機,在交換機上我們配置了訪問控制列表,根據信息流的源和目的 IP 地址或網段,使用允許或拒絕列表,更准確地控制流量方向,並確保 IP 網路免遭網路侵入。 3.劃分虛擬子網 在區域網中,我們把不同的單位劃分成不同的虛擬子網(VLAN)。對於網路安全要求特別高的應用,如醫療保險和財務等,劃分獨立的虛擬子網,並使其與區域網隔離,限制其他VLAN成員的訪問,確保了信息的保密安全。 4.在網路出口設置防火牆在區域網的出口,我們設置了防火牆設備,並對防火牆制定安全策略,對一些不安全的埠和協議進行限制,使所有的伺服器、工作站及網路設備都在防火牆的保護之下,同時配置一台日誌伺服器記錄、保存防火牆日誌,詳細記錄了進、出網路的活動。 5.部署Symantec防病毒系統 我們在大慶石化區域網內部署了Symantec防病毒系統。Symantec系統具有跨平台的技術及強大功能,系統中心是中央管理控制台。通過該管理控制台集中管理運行Symantec AntiVirus 企業版的伺服器和客戶端;可以啟動和調度掃描,以及設置實時防護,從而建立並實施病毒防護策略,管理病毒定義文件的更新,控制活動病毒,管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。 6.利用高效的網路管理軟體管理全網大慶石化區域網的網路環境比較復雜,含有多種cisco交換設備、華為交換設備、路由設備以及其他一些接入設備,為了能夠有效地網路,我們採用了BT_NM網路資源管理系統。 該系統基於SNMP管理協議,可以實現跨廠商、跨平台的管理。系統採用物理拓撲的方法來自動生成網路的拓撲圖,能夠准確和直觀地反映網路的實際連接情況,包括設備間的冗餘連接、備份連接、均衡負載連接等,對拓撲結構進行層次化管理。通過網路軟體的IP地址定位功能可以定位IP地址所在交換機的埠,有效解決了IP地址盜用、查找病毒主機網路黑客等問題。 通過網路軟體還可實現對網路故障的監視、流量檢測和管理,使網管人員能夠對故障預警,以便及時採取措施,保證了整個網路能夠堅持長時間的安全無故障運行。 7.建立了VPN系統 虛擬專用網是對企業內部網的擴展。它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。虛擬專用網可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。為了滿足企業用戶遠程辦公需求,同時為了滿足網路安全的要求,我們在石化區域網中建立了VPN系統。VPN的核心設備為Cisco的3825路由器,遠端子公司採用Cisco的2621路由器,動態接入設備採用Cisco的1700路由器。 8.啟動應用伺服器的審計功能在區域網的各應用中我們都啟用了審計功能,對用戶的操作進行審核和記錄,保證了系統的安全。
㈨ 設計一種方案,網路上傳出大文件,如何保證機密性,完整性和鑒別性
摘要 您好最危險的地方最安全
㈩ 談談對網路安全的認識
網路空間安全專業是網路空間安全一級學科下的專業,學科代碼為「083900」,授予「工學」學位,涉及到以信息構建的各種空間領域,研究網路空間的組成、形態、安全、管理等。網路空間安全專業,致力於培養「互聯網+」時代能夠支撐國家網路空間安全領域的具有較強的工程實踐能力,系統掌握網路空間安全的基本理論和關鍵技術,能夠在網路空間安全產業以及其他國民經濟部門,從事各類網路空間相關的軟硬體開發、系統設計與分析、網路空間安全規劃管理等工作,具有強烈的社會責任感和使命感、寬廣的國際視野、勇於探索的創新精神和實踐能力的拔尖創新人才和行業高級工程人才。