还剩16页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
计算机系统基础网络与网络安全学院计算机学院班级10011507学号2015302478姓名代宇豪也有管理方面的问题,两方面相互补充,缺一不可技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题技术上的安全可以很轻易的被管理操作上的漏洞和疏忽摧毁!仅仅注重了技术上安全,而忽略了管理显然是无法在真正意义上的实现信息安全的因为,我们提出了一个新的概念,信息安全需要管理安全而管理安全的本质是规范的信息管理体制和规范的信息操作行为3意识安全最近常常思考“先有鸡还是先有蛋”的问题,但是这个问题没有想清楚,倒是先想清了,先有病毒才有杀毒的办法,先有木马攻击才有木马防御手段,正如感冒病毒不断变种一般,计算机病毒和木马也在不断进化如果总是消极的防御和治疗,显然是只能是在受到侵害之后的才能有所应对如果要“御敌于国门之外”,当然靠的是安全意识提高信息意识安全可以从以下几个方面思考1)建立对信息安全的正确认识,并且注意及时更新安全知识,正如及时打预防针剂一样,防范于未然2)掌握信息安全的基本原则和惯例,良好“惯性”可以有效避免遭受侵害3)清楚可能面临的威胁和风险,“生于忧患死于安乐”无疑是信息保卫战中最该具备的思想准备4)养成良好的安全习惯比如定期检查防火墙版本,病毒库,随时留意系统出现的不明运行程序,不随意浏览不确定站点等等5)提升组织整体的安全性比如黑客通过共享入侵了电脑,但是由于健壮的用户密码体系保护了信息的安全,正是“整体法则”保护“局部破损”的有效体现随着网络的飞速发展,网络信息安全也越来越受到人们的重视通过对威胁网络信息安全因素的分析,进而提出了五种常用计算机网络信息安全防护策略,并对网络信息安全发展进行了展望一形成网络信息安全防护体系尽管计算机网络信息安全受到威胁,但是采取适当的防护措施就能有效地保护网络信息的安全常用的计算机网络信息安全防护策略有1加强用户账号的安全用户账号的涉及面很广,包括系统登录账号和电子邮件账号、网上银行账号等应用账号,而获取合法的账号和密码是黑客攻击网络系统最常用的方法首先是对系统登录账号设置复杂的密码;其次是尽量不要设置相同或者相似的账号,尽量采用数字与字母、特殊符号的组合的方式设置账号和密码,并且要尽量设置长密码并定期更换2安装防火墙和杀毒软件网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以确定网络之间的通信是否被允许,并监视网络运行状态根据防火墙所采用的技术不同,可将它分为:包过滤型、地址转换型、代理型和监测型包过滤型防火墙采用网络中的分包传输技术,通过读取数据包中的地址信息判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外地址转换型防火墙将内侧IP地址转换成临时的、外部的、注册的IP地址内部网络访问因特网时,对外隐藏了真实的IP地址外部网络通过网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问程123代理型防火墙也称为代理服务器,位于客户端与服务器之间,完全阻挡了二者间的数据交流当客户端需要使用服务器上的数据叱首先将数据请求发给代理服务器,代理服务器再根据请求向服务器索取数据,然后再传输给客户端由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统监测型防火墙是新一代防火墙产品,所采用技术已经超越了最初的防火墙的定义此类型防火墙能够对各层的数据进行主动的、实时的监测,通过分析这些数据,能够有效地判断出各层中的非法侵入同时,监测型防火墙一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用个人计算机使用的防火墙主要是软件防火墙,通常和杀毒软件配套安装杀毒软件是我们使用的最多的安全技术,这种技术主要针对病毒,可以查杀病毒,且现在的主流杀毒软件还可以防御木马及其他的一些黑客程序的入侵但要注意,杀毒软件必须及时升级,升级到最新的版本,才能有效地防毒3及时安装漏洞补丁程序漏洞是可以在攻击过程中利用的弱点,可以是软件、硬件、程序缺点、功能设计或者配置不当等美国威斯康星大学的Miller给出一份有关现今流行的操作系统和应用程序的研究报告,指出软件中不可能没有漏洞和缺陷[2]如今越来越多的病毒和黑客利用软件漏洞攻击网络用户,比如有名的攻击波病毒就是利用微软的RPC漏洞进行传播,震荡波病毒就是利用舟indows的LSASS中存在的一个缓冲区溢出漏洞进行攻击当我们的系统程序中有漏洞叱就会造成极大的安全隐患为了纠正这些漏洞,软件厂商发布补丁程序我们应及时安装漏洞补丁程序,有效解决漏洞程序所带来的安全问题扫描漏洞可以使用专门的漏洞扫描器,比如COPS、tripwire tiger等软件,也可使用360安全卫士、瑞星卡卡等防护软件扫描并下载漏洞补丁4入侵检测和网络监控技术入侵检测是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆根据采用的分析技术可以分为签名分析法和统计分析法签名分析法:用来监测对系统的已知弱点进行攻击的行为人们从攻击模式中归纳出它的签名,编写到Ds系统的代码里,签名分析实际上是一种模板匹配操作统计分析法:以统计学为理论基础,以系统正常使用情况下观察到的动作模式为依据来辨别某个动作是否偏离了正常轨道5文件加密和数字签名技术文件加密与数字签名技术是为提高信息系统及数据的安全保密性,防止秘密数据被外部窃取、侦听或破坏所采用的主要技术之一根据作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别三种数据传输加密技术主要用来对传输中的数据流加密,通常有线路加密和端对端加密两种前者侧重在路线上而不考虑信源与信宿,是对保密信息通过的各线路采用不同的加密密钥提供安全保护后者则指信息由发送者通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文加密成密文,当这些信息到达目的地时,由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文数据存储加密技术的目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种前者一般是通过加密法转换、附加密码、加密模块等方式对本地存储的文件进行加密和数字签名后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据数据完整性鉴别技术主要是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护数字签名是解决网络通信中特有安全问题的一种有效方法,它能够实现电子文档的辨认和验证,在保证数据的完整性、私有性、不可抵赖性方面有着极其重要的作用数字签名的算法有很多,其中应用最广泛的是:Hash签名、DSS签名和RSA签名网络安全的重要前提就是要充分具有网络安全意识,并形成相应的网络安全策略首先要明确网络安全策略重在管理俗话说“三分技术,七分管理”,因此,必须加强网络的安全管理,确定安全管理等级和安全管理范围,制订和完善有关的规章制度(如网络操作使用规程、人员出入机房管理制度及网络系统的维护和开发管理制度等)其次,要清楚做好网络安全策略必须从制定以下两种核心策略着手物理安全策略制定物理安全策略的目的是保护网络服务器、交换机、路由器、打印机、工作站等众多硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境,抑制和防止电磁泄漏;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏计算机设备活动的发生抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题目前主要防护措施有两类一类是对传导发射的防护,另一类是对辐射的防护后者又分为两种,一是采用各种电磁屏蔽措施,二是干扰的防护措施;访问控制策略之所以制定访问控制策略,因为它是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问它也是维护网络系统安全、保护网络资源的重要手段需要强调的是,各种安全策略必须相互配合才能真正起到保证网络安全的作用安全策略是成功的网络安全体系的基础与核心安全策略描述了校园数据中心的安全目标(包括近期目标和长期目标),能够承受的安全风险,保护对象的安全优先级等方面的内容安全技术常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等这些工具和技术手段是网络安全体系中直观的部分,缺少任何一种都会有巨大的危险,因为,网络入侵防范是个整体概念但校园数据中心往往经费有限,不能全部部署,这时就需要我们在安全策略的指导下,分步实施需要说明的是,虽然是单元安全产品,但在网络安全体系中它们并不是简单地堆砌,而是要合理部署,互联互动,形成有机的整体安全管理贯穿整个安全防范体系,是安全防范体系的核心代表了安全防范体系中人的因素安全不是简单的技术问题,不落实到管理,再好的技术、设备也是徒劳的一^个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理安全培训最终用户的安全意识是信息系统是否安全的决定因素,因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分建立网络入侵检测系统定义为试图破坏信息系统的完整性、机密性或可信性的任何网络活动的集合网络入侵分为三种类型外部攻击、内部攻击和特权滥用入侵检测就是检测任何企图损害系统完整性、机密性或可信性的行为的一种网络安全技术,它通过对运行系统的状态和活动的监视,找出异常或误用的行为,根据所定义的安全策略,分析出非授权的网络访问和恶意的行为,迅速发现入侵行为和企图,为入侵防范提供有效的手段入侵检测在系统后台不问断的运行,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,通过对系统或网络日志的分析,获得系统或网络目前的安全状况,查看网络中是否有违反安全策略的行为和遭到袭击的痕迹,当检测到非法或值得怀疑的行为时,及时报告给系统或网络管理员,并自动采取措施入侵检测作为一种提高网络安全性的新方法,被认为是防火墙的合理补充,它能帮助系统在不影响网络性能的情况下对网络进行检测,从而提供对付网络攻击操作的实时性保护,扩展了系统管理员的安全管理能力,(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性其作为保证现代计算机系统安全的重要手段,在整个网络系统安全保障体系中具有不可替代的地位入侵检测系统检查的数据源主要有两大类,一类是网络数据,一类是系统数据具体说来,这些都通过入侵检测系统执行以下任务来实现
(1)监视、分析用户及系统活动;
(2)系统构造和弱点的审计;
(3)评估重要系统和数据文件的完整性;
(4)异常行为模式的统计分析;
(5)识别反映已知进攻的活动模式并向相关人士报警;
(6)操作系统日志管理,并识别用户违反安全策略的行为对数据进行备份是为了保证数据的一致性和完整性,消除系统使用者和操作者的后顾之忧不同的应用环境要求不同的解决方案,但一个完善的备份系统一般要满足以下的原则备份软件要与操作系统完全兼容;选用的备份软件,要支持各种操作系统、数据库和典型应用;在进行备份的时候,要进行事务跟踪,以确保备份系统中的所有文件;在设计备份时,要考虑到提高数据备份的速度;能提供定时的自动备份;备份数据存放在远离数据中心的地方备份不仅是数据的保护,其最终目的是为了在系统遇到人为或自然灾难时,能够通过备份内容对系统进行有效的灾难恢复第一类是全盘恢复,一般应用在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等情况,也称为系统恢复第二类是个别文件恢复,还有一种值得一提的是重定向恢复为了防备数据丢失,我们需要做好详细的灾难恢复计划,同时还要定期进行灾难演练此外,选了先进的备份硬件后,我们决不能忽略备份软件的选择,因为只有优秀的备份件才能充分发挥硬件的先进功能,保证快速、有效的数据备份和恢复信息是财富,安全是保障信息安全发展,已从单一的网络安全向全方位的信息安全过渡,内网安全,特别是确保信息源头安全是当前信息安全发展的重点随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域因此,只有认清网络的脆弱性和潜在威胁,采取强有力的如何构建一个安全的网络信息安全体系安全策略;只有明确了正确的方向才能在规划和建设信息系统安全上达到事半功倍的功效也只有通过对文件、进程、注册表、网络以及服务等方面的防护,从内核层为用户的操作系统构建了一个立体的防御体系,从根本上免疫各种已知和未知的病毒、木马、黑客攻击等攻击行为,为用户提供一个安全、可信的系统应用环境作业一计算机网络部分作业
1.按照OSI参考模型,计算机网络可分为几层,每层功能是什么?1从网络通信原理角度可以把网络分为5层,即应用层Application layer,A传输层Transport layer,T网络层Network layer,N、数据连接层Data linklayer,D和物理层Physical layer,Ph o2・应用层主要是提供网络任意端上应用程序之间的接口运输访问和管理.;电子邮件虚拟终端;・传输层传输层提供了主机应用程序进程之间的端到端的服务,基本功能如下分割与重组数据;按端口号寻址;连接管理;差错控制和流量控制,纠错的功能传输层要向会话层提供通信服务的可靠性,避免报文的出错、丢失、延迟时间紊乱、重复、乱序等差错・网络层网络层的目的是实现两个端系统之间的数据透明传送,具体功能包括寻址和路由选择、连接的建立、保持和终止等•数据连接层:数据连接是访问特定数据库所需要的信息的集合该集合包括数据源名称和登录信息数据连接存储在工程中,当用户执行需要访问数据库的操作时这些连接被激活物理层透明的传送比特流;所实现的硬件集线器(HUB)
2.计算机网络如何解决数据通信可靠性问题?提高计算机可靠性的技术可以分为避错技术和容错技术•容错技术定义容错就是当由于种种原因在系统中出现了数据、文件损坏或丢失时,系统能够自动将这些损坏或丢失的文件和数据恢复到发生事故以前的状态,使系统能够连续正常运行的•种技术容错技术一般利用冗余硬件交叉检测操作结果随着处理器速度的加快和价格的下跌而越来越多地转移到软件中未来容错技术将完全在软件环境下完成,那时它和高可用性技术之间的差别也就随之消失了局域网的核心设备是服务器用户不断从文件服务器中大量存取数据,文件服务器集中管理系统共享资源但是如果文件服务器或文件服务器的硬盘出现故障,数据就会丢失,所以,我们在这里讲解的容错技术是针对服务器、服务器硬盘和供电系统的•避错技术是采用正确的的设计和质量控制方法,尽量避免把故障引入系统,预先消除各种不可靠因素,但只能有限的提高系统的可靠性最多使系统的平均无故障增加一个数量级,超过了这个限度将使成本急剧上升
3.网络交换设备有哪些,它们工作原理是什么?交换switching是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术统称•以太网交换机根据数据链路层MAC地址进行帧交换;•帧中继网和ATM网都是面向连接的通信网,交换机根据预先建立的虚电路标识进行交换帧中继的虚电路号是DLCI,进行交换的协议数据单元为“帧”;ATM网的虚电路号为VPI和VCI,进行交换的协议数据单元为“信元”•三层交换机是指因特网中使用的高档交换机,这种设备把MAC交换的高带宽和低延迟优势与网络层分组路由技术结合起来,其工作原理可概括为一次路由,多次交换当三层交换机第一次收到一个数据包时必须通过路由功能寻找转发端口,同时记住目标MAC地址和源MAC地址,以及其他相关信息,当再次收到目标地址和源地址相同的帧时就直接进行交换了,不再调用路由功能所有三层交换机不但具有路由功能,而且比通常的路由器转发得更快作业二网络信息安全作业
1.信息的5个安全属性分别是什么,代表什么含义,如何保证信息5个安全属性?⑴保密性Confidentiality即保证信息为授权者享用而不泄漏给未经授权者⑵完整性Integrity即保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等3可用性Availability即保证信息和信息系统随时为授权者提供服务,保证合法用户对信息和资源的使用不会被不合理的拒绝4可控性Controllability即出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯⑸不可否认性Non-Repudiation即人们要为自己的信息行为负责,提供保证社会依法管理需要的公证、仲裁信息证据信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命
2.网络威胁有哪些?为什么会产生网络威胁?在实际工作中,威胁信息安全的主要是木马和病毒由于木马和病毒的存在,常常使我们对信息的安全性失去把握黑客入侵主要有以下几种途径1)木马入侵木马有可能是黑客在已经获取我们操作系统可写权限的前提下,由黑客上传的(例如下面会提到的ipc$共享入侵);也可能是我们浏览了一些垃圾个人站点而通过网页浏览感染的(利用了IE漏洞);更多的情况是我们防范意识不强,随便运行了别人发来的所谓的mm图片、好看的动画之类的程序或者是在不正规的网站上随便下载软件使用2)微软在win2000,xp中设置的这个功能对个人用户来说几乎毫无用处反而成了黑客入侵nt架构操作系统的一条便利通道如果你的操作系统存在不安全的口令,那就更可怕了一条典型的入侵流程如下
①用任何办法得到一个帐户与口令(猜测,破解),网上流传有一个叫做smbcrack的软件就是利用ipc$来破解帐户口令的如果你的密码位数不高,又很简单,是很容易被破解的根据我的个人经验,相当多的人都将administrator的口令设为123,2003,或者干脆不设密码
②使用命令net usexxx.xxx.xxx.xxxipc$“密码/user:用户名”建立一个有一定权限的ipc$连接用copy trojan.exe xxx.xxx.xxx.xxxadminS将木马程序的服务器端复制到系统目录下
③用net timexxx.xxx.xxx.xxx命令查看对方操作系统的时间,然后用at
2.xxx.xxx.xxx12:00trojan.exe iEtrojan.exe在指定时间运行这样一来,你的电脑就完全被黑客控制了应对措施禁用server服务,Task Scheduler服务,去掉网络文件和打印机共享前的对勾当然,给自己的帐户加上强壮的口令才是最关键的3IIS漏洞入侵由于宽带越来越普及,给自己的win2000或是xp装上简单易学的iis,搭建一个不定时开放的ftp或是web站点,相信是不少电脑爱好者所向往的,而且应该也已经有很多人这样做了但是iis层出不穷的漏洞实在令人担心远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一^对iis的远程攻击,成功后我们可以看到如图2的利用iis的webdav漏洞攻击成功后的界面这里的systen32就指的是对方机器的系统文件夹了,也就是说黑客此刻执行的任何命令,都是在被入侵的机器上运行的这个时候如果执行format命令,危害就可想而知了,用net user命令添加帐户也是轻而易举的4)注册表入侵我们浏览网页的时候不可避免的会遇到一些不正规的网站,它们会擅自修改浏览者的注册表,其直接体现便是修改IE的默认主页,锁定注册表,修改鼠标右键菜单等等实际上绝大部分的网页恶意代码都是通过修改我们的注册表达到目的5)溢出攻击“溢出攻击”已经成为黑客最常用的方式之一,引起缓冲区溢出问题的根本原因是C(与其后代C++)本质就是不安全的,没有界来检查数组和指针的引用比如利用“格式化字符”实现溢出攻击攻击者用十六进制编码向内存写入攻击代码,并按照一定格式编排格式化字符,让系统执行到这些字符的时候不再按照原本的程序思路执行,而是扭转到攻击代码所在的内存位置,这就导致了“溢出”
3.你认为如何构建一个安全的网络信息系统?由于操作系统的不同,网络拓扑技术的区别,连接介质的选择,网络接入技术的变化给实现计算机系统安全带来了复杂的操作性主要有3个层次的安全策略技术安全,管理安全,意识安全1技术安全从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断我们的解决方案从技术角度可以通过以下途径解决⑴对于木马入侵,要提高防范意识,不要随意运行别人发来的软件安装木马查杀软件,及时更新木马特征库如使用the cleaner,木马克星⑵对于共享入侵,我们可以禁用server服务,Task Scheduler服务,去掉网络文件和打印机共享,同时健壮自己的安全口令3对于IIS漏洞当然是从微软官方站点,及时安装IIS的漏洞补To4对于注册表攻击,可以安装具有注册表实时监控功能的防护软件,做好注册表的备份工作禁用Remote RcgistryScrvicc服条同时使用防火墙加强保护⑸对于溢出攻击,首先及时下载和更新官方操作系统补丁,其次创建一个新的用户,可以在用户名前加$进行隐藏,再次,可以选择对emd,exe,net,exe和tftp♦exe等命令进行权限限制,同时修改相应的敏感端口2管理安全如果仅仅从技术角度来考虑信息安全,显然是不够,还必须从管理角度来思考信息安全涉及的内容既有技术方面的问题,。