当前位置：文档库 › 计算机网络技术与应用第七章网络安全与网络管理

计算机网络技术与应用第七章网络安全与网络管理

网络管理与网络安全

本章主要内容：

●网络管理的内容。

●网络故障排除的方法。

●网络安全的实现方法。

本章理论要求：

●了解网络管理的五大功能及网络脆弱性的原因。

●理解防火墙的功能及局限性。

●掌握常见数据加密技术及安全的数据传输技术的实现方式。

本章实训要求：

●掌握防火墙的安装与配置方法。

●掌握常见网络安全管理软件的使用。

7.1网络管理

网络管理是指对通信网上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分

析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务。网络管理可以借助相应的管理软件与硬件来实现网络的安全，保证用户能够安全、方便地使用网络，实现网络的共享。

7.1.1 网络管理的目标

网络管理是保障通信网络有效地利用各种资源和保持网络可靠运行的重要手段。近年来随着各种通信网络的出现，网络管理的技术发展迅速。网络管理主要包含两个任务：一是对网络的运行状态进行监测，通过监测了解当前状态是否正常，是否存在瓶颈问题和潜在的危机；二是对网络的运行状态进行控制，通过控制对网络状态进行合理调节、提高性能、保证服务。监测是控制的前提，控制是监测的结果。网络管理的目标是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。

7.1.2 网络管理的内容

随着网络技术的高速发展，网络管理的重要性越来越突出，网络设备的复杂化使网络管理变得复杂，复杂化有两个含义，一是功能复杂，二是生产厂商多，产品规格不统一。

针对各种网络管理中出现的各种问题，国际标准化组织（ISO）在ISO/IEC 7498-4 文档中定义了网络管理的五大功能，并被广泛接受。这五大基本功能是：配置管理、故障管理、性能管理、安全管理和计费管理。

1．配置管理的功能

①设置并修改与网络组建和OSI各层软件有关的参数。

②被管对象和被管对象分组名字的管理，将名字与一个或一组对象联系起来。

③初始化、启动和关闭被管理对象。

④根据要求收集系统当前状态的有关信息，通过标准化的协议通知给管理工具。

⑤获取系统最重要变化的信息。

⑥更改系统的配置。

2．故障管理的功能

①创建、维护故障数据库，并对错误日志进行分析。

②接受错误检测报告并响应。

③跟踪并确定错误的位置与性质。

④当存在冗余设备和迂回路由时，提供新的网络资源用于服务。

⑤纠正错误。

3．性能管理的功能

①收集和传送被管理对象的统计信息，报告网络当前的性能。

②维护并检查系统状态日志，以进行分析和计划。

③确定自然和人工状态下系统的性能。

④形成并调整性能评价标准，根据实际测试值与标准值的差异改变系统操作模式，调整网络管理对象的配置，以进行系统性能管理的操作。

4．安全管理的功能

①授权机制，控制对网络资源访问的权限。

②访问机制，防止入侵者非法入侵。

③加密机制，保证数据的私有性，防止数据被非法获取。

④防火墙机制，阻止外界入侵。

⑤维护和检查安全日志。

5．记账管理（计费管理）

①计费管理的计费方式，按流量计费、按月收取月租费、动态设计收费。

②控制使用网络资源。

③通知用户有关的费用。

④对账号进行管理。

7.1.3 网络故障排除

网络故障往往与许多因素相关，网络管理人员要清楚网络的结构设计，包括网络拓扑、设备连接、系统参数设置及软件使用，了解网络正常运行状况，注意收集网络正常运行时的各种状态和报告输出参数，熟悉常用的诊断工具，准确的描述故障现象。

常见的网络故障主要有：物理层故障、数据链路层故障、网络层故障、以太网故障、广域网故障、TCP/IP故障和服务器故障等。据相关资料的统计，网络发生故障的原因应用层占3%左右、传输层占10%左右、网络层占12%左右、数据链路层占25%左右、物理层占35%左右，可见物理层出错的可能性最大。

1．引起网络故障的原因

①逻辑故障：网络设备配置错误或一些重要进程或端口被关闭。

②配置故障：配置故障对于个人计算机往往指IP地址配置错误、子网掩码配置错误、默认网关配置错误、DNS服务器地址配置错误等，对于网络管理员来说，还存在交换机配置故障、

路由器配置故障、防火墙配置故障及VLAN配置故障等。配置故障往往会导致网络不能正常提供各种服务，例如：不能接入Internet，不能访问某种代理服务器等。

③物理故障：又称硬件故障，包括线路、线缆、连接器件、端口、网卡、网桥、集线器、交换机或路由器的模块出现故障。

④协议故障：常是由于软件安装故障导致或者软件参数配置错误导致，该类故障往往会导致计算机无法登录到服务器或无法访问Internet。

⑤网络管理员差错：该故障往往占整个网络故障的5%以上，主要发生在网络层和传输层，主要是由于网络管理员的操作失误所造成，往往体现在网络设备配置错误。

⑥软件问题：主要是由软件缺陷或网络操作系统缺陷而造成。

⑦用户差错：常表现为超越权限访问系统和服务、侵入其它系统、操作其它用户的数据资料、共享账号等。

2．网络故障的诊断方法

网络故障诊断的目的是确定网络的故障点，恢复网络的正常运行，发现网络规划和配置中欠佳之处，改善和优化网络的性能和及时预测网络通信质量等。

网络故障诊断往往是从故障现象出发，以网络诊断工具为手段获取诊断信息，确定故障点，再查找问题的根源，已排除故障，恢复网络正常运行。

故障排查的方法常常是沿着OSI七层模型从物理层开始向上进行检查。即首先检查物理层，然后检查数据链路层等。网络故障的具体排查步骤一般是：

①清楚故障现象。确定故障的具体现象，详细说明故障的症状和潜在的原因。

②收集需要的、用于帮助隔离可能故障原因的信息。多向用户、网络管理员、管理者和其他关键人物提一些和故障有关的问题。

③根据收集到的情况考虑可能的故障原因。可以根据有关情况排除某些故障原因。设法减少可能的故障原因，以至于尽快的策划出有效的故障诊断计划。例如，根据某些资料可以排除硬件故障，把注意力放在软件原因上等。

④根据最后可能的故障原因，制定一个诊断计划。首先确定故障存在的最大可能性，然后再逐步排除一些常见的故障原因，直至找到故障点。（注：一次往往仅用一个最可能的故障原因进行诊断活动，这样可以容易恢复到故障的原始状态。如果一次同时考虑一个以上的故障原因，试图返回故障原始状态就困难多了）

⑤执行诊断计划，认真做好每一步测试和观察，直到故障症状消失。

⑥每改变一个参数都要确认其结果。分析结果确定问题是否解决，如果没有解决，继续下去，直到解决。

3．常见的网络故障现象及解决办法

【实例7.1】一台计算机，网络配置正常，但不能连通网络。

【排查过程】本机通过信息插座和局域网连接，经确认网络配置和网卡没有问题，然后怀疑是连接计算机和信息插座的网线问题。把此网线换到其它计算机上，工作正常。又怀疑信息插座到交换机的线路问题，经检测也没有问题，至此陷入迷茫中。

无意间使用测线仪对网线进行测试，发现第3根线有时不通，仔细检查，原来第3根线在制作网线时被快被压断，使用网线时，因为曲折的原因，这条线偶然会通。重新换了一根网线故障

排除。使用网线钳剥双绞线的外皮时，非常容易出现这种现象，有些线被压得快要断开，但还能使用，长时间使用后会引起网络不通的故，所以制作网线时一定要仔细检查。

【实例7.2】一个大型计算机房，大量计算机出现“本机的计算机名已经被使用”、“IP地址冲突”等提示。

【排查过程】此机房是使用网络复制功能安装的系统，此时，所有通过复制安装系统的计算机其IP地址等上网参数都一样，正常情况下，安装完系统后，需要把还原卡的保护功能关闭，然后修改计算机的IP地址，修改完之后再把还原卡的保护功能开启。而这次机房管理员在手工修改计算机名和IP地址时，有些计算机忘记关闭还原卡的保护功能，导致更改失效，所以造成大量计算机的IP地址冲突，不能正常上网。

由于机房较大，查找发生冲突的计算机有些困难，不过出现冲突提示时，会同时出现发生冲突的计算机网卡的MAC地址。利用这些MAC地址，可以很容易找到冲突的机器。建议机房管理人员最好事先把所有计算机的MAC地址先统计一遍，对以后查找网络故障和配置安全机制十分有用。

【实例7.3】一个单位部分科室的计算机频繁出现不能上网的现象。

【排查过程】询问该单位相关人员得知不能上网的计算机都是开启了DHCP服务，配置了自动获得IP地址等上网参数，经过排查发现他们的网关地址都出现了问题。正确的地址应该是192.168.4.254，而这些故障计算机得到的网关地址却是192.168.4.65。部分计算机使用Ipconfig /release释放获得的网络参数后，用Ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。故障的原因是本网的普通计算机开启了DHCP服务，导致地址获取混乱，解

决该问题的办法是在接入层交换机上开启DHCP Snooping功能，只允许从上联口获取DHCP offer报文，不允许从下联口获取DHCP offer报文。也可以把能正确提供DHCP服务器的计算机加入到了域内，并对其进行了授权，使得非授权的DHCP服务器没有机会再捣乱。

【实例7.4】计算机无法自动获取IP地址

【排查过程】检查DHCP服务器是否正常，相关服务是否运行；从主机、核心交换机分别Ping DHCP服务器；配置静态IP地址后，再检查是否可以ping通网关。

【实例7.5】计算机可以获得IP地址，但不能上网

【排查过程】在该计算机上执行Ipconfig /all，查看获取到的IP地址信息，重点查看默认网关部分显示的信息，该部分出差的概率比较大，注意默认网关与本计算机的IP地址必须在同一网段内。

【实例7.6】计算机不能通过域名访问网站

【排查过程】在该计算机上执行Ipconfig /all，查看获取的IP地址信息，查看DNS Servers后面的值，该值没有配置或者配置错误，域名都无法正常使用，为该计算机重新配置正确的DNS服务器地址即可。

网络故障成千上万，本节主要列出了一些常见故障及其常用解决方法，经验很重要，经验需要用心积累和整理。

7.2网络安全

随着Internet的发展及应用的深入，特别是Internet商用化后，通过Internet进行的各种电子商务业务日益增多，电子商务应用和企业网络中的商业秘密成为攻击者的主要目标，网络安全显得更加重要。

7.2.1 网络安全概述

网络安全问题是网络管理中最重要的问题之一，不仅是技术的问题，还涉及人的心理、社会环境以及法律等多方面的内容。

1．网络安全的定义

网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。

2．网络安全的评估

在增加网络系统安全性的同时，也必然会增加系统的复杂性，并且系统的管理和使用更为复杂，因此，并非安全性越高越好。针对不同的用户需求，可以建立不同的安全机制。

为了帮助用户区分和解决计算机网络的安全问题，美国国防部制定了《可信计算机系统标准评估准则》（习惯称为《橘皮书》），将多用户计算机系统的安全级别从低到高划分为四类七级，即D1、C1、C2、B1、B2、B3、A1。

D1级是不具备最低安全限度的等级，如DOS、Windows 3.x系统；C1是具备最低安全限度的等级，如Windows 95/98；C2级是具备基本保护能力的等级，可以满足一般应用的安全要求，

一般的网络操作系统如Windows 2000/NT、NetWare基本上属于这一等级。B1级和B2级是具有中等安全保护能力的等级，基本可以满足一般的重要应用的安全要求；B3级和A1级属于最高安全等级，只有极其重要的应用才需要使用。

3．安全策略

①严苛的立法

通过建立与信息安全相关的法律和法规，是解决网络安全较根本的办法。

②先进的技术

先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。

③严格的管理

各网络使用机构、企业和单位应建立相应的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。

7.2.2 计算机网络面临的安全性威胁

计算机网络上的通信面临以下的四种威胁：

1. 截获——从网络上窃听他人的通信内容。

2. 中断——有意中断他人在网络上的通信。

3. 篡改——故意篡改网络上传送的报文。

4. 伪造——伪造信息在网络上传送。

截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。各种

攻击所发生的时间段如图7-1表示。

图7-1 各种攻击所发生的时间段

在被动攻击中，攻击者只是观察和分析某一个协议数据单元（PDU）而不干扰信息流。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理，包括更改报文流、拒绝报文服务、伪造连接初始化等。

7.2.3 网络的不安全因素

网络不安全的原因是多方面的，主要体现在以后几个方面。

1．物理层

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系

统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生；抑制和防止电磁泄漏是物理安全策略的一个主要问题。

2．链路层

链路层的网络安全需要保证通过网络链路传送的数据不被窃听，主要采用划分VLAN（局域网）、加密通信等手段。

3．网络层

网络层的安全需要保证网络只给授权的客户提供授权的服务，保证网络路由正确，避免被拦截或监听，往往通过设置防火墙来实现。

4．操作系统

操作系统的安全是指要保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

5．应用平台

应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等，由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。

6．应用系统

应用系统是直接为用户提供服务的软件系统，往往通过应用平台提供的安全服务来保障基本安全性，如通信双方的认证和审计等。

7.2.4 数据加密技术

数据加密技术就是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取信息

真实内容的一种技术手段。它不仅用于对网上传送数据的加/解密，而且还在用户鉴定、数字签名、签名验证等方面起关键作用。

加密的基本思想是改变数据排列方式，以掩盖其信息含义，使得只有合法的接收方才能读懂。任何其他人即使截取了信息也无法解开。

数据加密技术通常使用一组密码与被加密的数据进行混合运算。未加密的数据称为明文，将明文映射成不可读，但仍不失其原信息的密文的过程称为加密，而相反过程即为解密。根据密钥的特点不同，数据加密技术分为两大类：对称密钥加密和非对称密钥加密。

1．对称密钥加密

消息发送方和消息接收方必须使用相同的密钥，该密钥必须保密。发送方用该密钥对待发消息进行加密，然后将消息传输至接收方，接收方再用相同的密钥对收到的消息进行解密。常见的有古代的恺撒密码和现代的DES、AES等。对称密钥加密的特点是加密方法的安全性依赖于密钥的秘密性。如何将对称密钥从发送方传给接收方，是对称密钥机制自身无法解决的问题，是其发展的一大瓶颈。对称密钥加密优点是加密解密速度较快，缺点是密钥的分发和管理非常复杂、代价高昂。假设一个有n个用户的网络，则需要n(n－1)/2个密钥，对于用户数目很大的大型网络，密钥的分配和保存就成了很大的问题。其加密和解密的过程如图7-2所示。

图7-2 对称密钥加密系统

2．非对称密钥加密

随着计算机网络在商务中的应用，对称密码体制的缺点越来越明显，越来越不能适应电子商

务对网络安全的需求。20世纪70年代中期，出现了公共密钥技术，又称非对称密钥体制。它给每个用户分配一对密钥一个是私有密钥，另一个是公共密钥。一对密钥的含义是：用公共密钥加密的消息只有使用相应的私有密钥才能解密；同样，用私有密钥加密的消息也只有相应的公共密钥才能解密。只要消息发送方使用消息接收方的公共密钥来加密待发消息，就只有消息接收方才能够读懂该消息，因为要解密必须要知道接收方的私有密钥。

常见的非对称密钥体制是RSA。RSA是Rivest、Shamir 和Adleman于1977年提出的第一个完善的非对称密码体系，其加密和解密的过程如图7-3所示。

图7-3 公用密钥法

加密明文可使用收件人的公用密钥，然后使用收件人的私人密钥解密密文，这将保证只有指定的收件人（假设他是收件人密钥的唯一拥有者）才能解密密文。

加密明文也可使用发件人的私人密钥进行加密，并使用发件人的公开密钥解密。这种方法为数字签名提供了基础。

在公开密钥密码体制中，加密密钥（即公开密钥）P是公开信息，而解密密钥（即秘密密钥）SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由加密密钥P 决定的，但却不能根据P计算出S。

任何加密方法的安全性取决于密钥的长度，以及攻破密文所需的计算量。在这方面，公开密钥密码体制并不具有比传统加密体制更加优越之处。由于目前公开密钥加密算法的开销较大，在

可见的将来还看不出来要放弃传统的加密方法。

非对称密钥加密系统的优点是公钥可以像电话号码或手机号码一样公开，想与你秘密通信的人只需知道你的公钥即可，它解决了对称密钥算法中密钥分发难的问题；同时它也是下面要讨论的数字签名的理论基础。非对称密钥加密系统的缺点是算法复杂，运算量大，当然加、解密的速度也就慢了。如何扬长避短呢？这就是数字信封技术。

3．数字信封

对需要大量传送的信息（如电子合同、支付指令）采用速度较快的私有密钥（对称密钥）加密法；但密钥不先由双方约定，而是在加密前由发送方随机产生；用私有密钥P对信息进行加密，形成密文M，传送给接受方。将刚才生成的较短的私有密钥P利用接受方的公开密钥进行加密，形成私有密钥P密文，定点发送给接受方。可以断定只有接受方能解密。接受方收到发送方传来的私有密钥P的密文后，用自己的私人密钥解密，取出私有密钥P。用私有密钥P对原来收到的信息密文M进行解密，得到信息明文。这就好比用安全的“信封”把私有密钥P封装起来，所以称为数字信封（封装的是里面的对称密钥）。因为数字信封是用消息接收方的公开密钥加密的，只能用接收方的私人密钥解密打开，别人无法得到信封中的对称密钥，也就保证了信息的安全，又提高了速度。其实现原理如图7-4所示。

数字信封实际上是一个能分发、传播私有密钥的安全通道，其实就是双重加密原理，对称与非对称配合使用，各用其优点。数字信封不仅用于装入与传递私有密钥，对一些重要的短小信息，如网络银行账号、账号密码都可以。速度的问题解决了，如何防止抵赖呢？这就是数字签名技术要解决的问题。

图7-4 数字信封原理图

4．数字签名

数字签名是目前实现认证的一种重要工具，它在身份认证、数据完整性的鉴别及不可否认性等方面有着重要的应用。数字签名必须保证以下三点：

①接收者能够核实发送者对报文的签名。

②发送者事后不能抵赖对报文的签名。

③接收者不能伪造对报文的签名。

现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。用公开密钥算法进行数字签名的实现如图7-5所示。

图7-5 公开密钥算法进行数字签名的实现

这可以实现防止抵赖，因签名能用A的签名公钥解密，说明是用A的签名私钥加密的，而A 的签名私钥只有A拥有，所有A不能抵赖他的签名。如何用非对称密码体制实现完整性的鉴别

呢？保证数据的完整性，即防篡改，其实篡改是很难防的，几乎防不了，能做的是被篡改了能及时发现，然后让对方重传数据，图7-6表示了该思想。

图7-6 完整性鉴别示意图

完整的数据加密及身份认证流程如图7-7所示。

图7-7 完整的数据加密及身份认证流程

完整的数据加密及身份认证过程如下：

①甲方准备好要传送的数字信息（明文）。

②甲方对数字信息进行hash运算，得到一个信息摘要。

③甲方用自己的私钥（SK）对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上。

④甲方随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。

⑤甲方用乙方的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙方。

⑥乙方收到甲方传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES 密钥进行解密，得到DES密钥。

⑦乙方然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。

⑧乙方用甲的公钥（PK）对甲方的数字签名进行解密，得到信息摘要。乙方用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。

⑨乙方将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。

5．CA（认证中心）

CA（Certification Authority，认证中心）是证书的签发机构，主要负责产生及分发公钥。因此它必须具有极高的权威性，相当于现实世界中的公安机关。由它所签发的CA证书能证明某一主体（例如，人、服务器、网关等）的身份及其公开密钥（Public Key，PK）的合法性。数字证书的格式一般采用X.509国际标准。一个标准的X.509数字证书包含以下一些内容：

①证书的版本信息。

②证书的序列号，每个用户都有一个唯一的证书序列号。

③证书所使用的签名算法。

④证书的发行机构名称，命名规则一般采用X.400格式。

⑤证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950～2049。

⑥证书所有人的名称，命名规则一般采用X.400格式。

⑦证书所有人的公开密钥。

⑧证书发行者对证书的签名。

使用数字证书可以建立起一套严密的身份认证系统，从而保证信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己发送的信息不能抵赖。对于一个大型的应用环境，认证中心往往采用—种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

7.2.5 网络安全协议

加密传输数据有以下几种方法：在非安全的网络中传输加密文档在传输之前加密整个文档，传输的数据由底层协议加密。此种方式不必改变应用层协议，也不必改变传输层协议，它是在应用层与传输层之间加一层安全加密协议，达到安全传输的目的。

1995年，Netscape公司在浏览器Netscape 1.1中加入了安全套接层（Secure Socket Layer，SSL）协议，以保护浏览器和Web服务器之间重要数据的传输。SSL很好地封装了应用层数据，做到了数据加密与应用层协议的无关性，各种应用层协议都可以通过SSL获得安全特性。由于SSL用较小的成本就可获得数据安全加密保障，因此，被广泛应用于Web领域。

由于SSL只能实现两方的安全认证，不能支持多方身份认证，而且只能保证数据在传输过程

中的安全，对数据到达本地后的安全没有规定。所以，SSL在在线交易领域的应用受到了一些限制。

SET（Secure Electronic Transaction，安全电子交易）是为了在Internet上进行在线交易时，保证信用卡支付的安全而设立的一个开放的规范。由于它得到了IBM、HP、Microsoft、Netscape、GTE、VeriSign等很多大公司的支持，它已成为事实上的工业标准，目前它已获得IEEE标准机构的认可。

SET协议标准的主要内容包括：加密算法、证书信息及格式、购买信息及格式、认可信息及格式、划账信息及格式、实体之间消息的传输协议等。SET协议的工作流程与实际购物流程非常接近，但一切操作都是通过Internet完成的。

SET提供对交易者的认证，确保交易数据的安全性、完整性和交易的不可抵赖性，特别是保证了不会将持卡人的账号信息泄露给商家，这些都保证了SET协议的安全性。

7.3防火墙技术

防火墙技术是一种隔离控制技术，它在某个机构的网络和不安全的网络之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出，它也是网络系统安全保护中较常用的技术之一。

7.3.1 防火墙的概念

防火墙（firewall）是一种将内部网络和外部公共网络分开的一种软件或一种设备。它检查到达防火墙两端的所有数据包，无论是输入还是输出，从而决定拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障，使公共网络与内部网络之间建立起一个

《网络安全与管理(第二版)》网络管理试题3

网络管理试题一．单选题（每题1分，共50分） 1、下面描述的内容属于性能管理的是：（） A、监控网络和系统的配置信息 B、跟踪和管理不同版本的硬件和软件对网络的影响 C、收集网络管理员指定的性能变量数据 D、防止非授权用户访问机密信息 2、下面描述的内容属于配置管理的是：（） A、监控网络和系统的配置信息 B、测量所有重要网络资源的利用率 C、收集网络管理员指定的性能变量数据 D、防止非授权用户访问机密信息 3、下面描述的内容属于安全管理的是：（） A、收集网络管理员指定的性能变量数据 B、监控网络和系统的配置信息 C、监控机密网络资源的访问点 D、跟踪和管理不同版本的硬件和软件对网络的影响 4、下面描述的内容属于计费管理的是：（） A、收集网络管理员指定的性能变量数据 B、测量所有重要网络资源的利用率 C、监控机密网络资源的访问点 D、跟踪和管理不同版本的硬件和软件对网络的影响 5、下面描述的内容属于故障管理的是：（） A、监控网络和系统的配置信息 B、测量所有重要网络资源的利用率 C、自动修复网络故障 D、防止非授权用户访问机密信息 6、SNMP协议可以在什么环境下使用 A、TCP/IP B、IPX C、AppleTalk D、以上都可以 7、网络管理工作站直接从什么地方收集网络管理信息 A、网络设备 B、SNMP代理 C、网络管理数据库 8、SNMP trap的机制是： A、轮询 B、中断 C、面向自陷的轮询 D、不间断轮询 9、在SNMP协议的不同版本中，首先进行安全性考虑并实现安全功能的是

B、SNMPv2 C、SNMPv3 D、以上都没有 10、使用CiscoWorks能进行下列哪些管理功能 A、只能进行局域网管理 B、只能进行城域网管理 C、只能进行广域网管理 D、以上都可以 11、如何通过CiscoWorks获取新的IOS文件： A、TFTP B、TELNET C、CCO D、FTP 12、管理网络时，你需要明确的第一件事情就是要知道什么时候网络出问题。为了判断网络的状态，需要在一段时间内采集一些数据，这些数字反映出了一个“健康”的网络，我们把这些数字称为__________ A、基线 B、标准线 C、水平线 D、健康数字 13、以下产品中哪些是CISCO公司的网络管理平台__________ A、OpenView B、CiscoWorks2000 C、NetView 14、__________保证了不同的网络设备之间可以相互通信, 它又是一组规则和标准，保证了网络中的计算机能够相互通信 A、语言 B、IP 地址 C、网络协议 D、路由器 15、在SNMP术语中通常被称为管理信息库是__________ A、MIB B、SQL server C、Information Base D、Oracle 16、如果有一个用户抱怨无法通过浏览器去浏览法制日报的主页，但你发现当在浏览器中直接输入法制日报的主页的IP地址时可以实现主页的浏览，请你判断问题应该出在哪里___________ A、用户的PC机网卡有故障 B、用户的网关（gateway）地址设置有问题 C、法制日报的WWW服务器停机了 D、用户的DNS服务器设置有问题 17、以下哪个协议是网管协议__________

《网络安全与管理(第二版)》网络管理试题2

网络管理试题一．单选题（每题1分，共52分） 1.下面描述的内容属于性能管理的是：（） A．监控网络和系统的配置信息 B．跟踪和管理不同版本的硬件和软件对网络的影响 C．收集网络管理员指定的性能变量数据 D．防止非授权用户访问机密信息 2.下面描述的内容属于配置管理的是：（） A．监控网络和系统的配置信息 B．测量所有重要网络资源的利用率 C．收集网络管理员指定的性能变量数据 D．防止非授权用户访问机密信息 3.下面描述的内容属于安全管理的是：（） A．收集网络管理员指定的性能变量数据 B．监控网络和系统的配置信息 C．监控机密网络资源的访问点 D．跟踪和管理不同版本的硬件和软件对网络的影响 4.下面描述的内容属于计费管理的是：（） A．收集网络管理员指定的性能变量数据 B．测量所有重要网络资源的利用率 C．监控机密网络资源的访问点 D．跟踪和管理不同版本的硬件和软件对网络的影响 5.下面描述的内容属于故障管理的是：（） A．监控网络和系统的配置信息 B．测量所有重要网络资源的利用率 C．自动修复网络故障 D．防止非授权用户访问机密信息 6.SNMP协议可以在什么环境下使用 A．TCP/IP B．IPX C．AppleTalk D．以上都可以 7.网络管理工作站直接从什么地方收集网络管理信息 A．网络设备 B．SNMP代理 C．网络管理数据库 8.SNMPv1实现的请求/响应原语包括： A．get、set、trap B．get、getNext、set、trap C．get-request、set-request、get-next-request、get-response、trap D．get-request、set-request、get-next-request、get-response

网络安全管理与运维服务

网络安全管理与运维服务近年来，随着我国信息化建设的不断推进及信息技术的广泛应用，在促进经济发展、社会进步、科技创新的同时，也带来了十分突出的安全问题。根据中国国家信息安全漏洞库(CNNVD)、国家互联网应急中心(CNCERT)的实时抽样监测数据，2013年3月份，新增信息安全漏洞数量比上个月增加了33.9%;境内被挂马网站数量比上月增加17.9%;境内被黑网站数量为7909个，境内被篡改网站数量为9215个，境内被木马或僵尸程序控制主机数量为129万台。面对我国网络信息安全问题日益严重的现状，国家层面在陆续出台相关专门网络信息安全保护法律法规。在各行各业根据不同时代威胁对象及方法的不同，在不断完善自己的安全建设。随着网络系统规模的扩大，各种应用系统不断完善，对各类业务数据的安全提出了新的要求——如何加强网络安全管理?如何使运维服务行之有效? 一、网络管理体系化、平台化网络安全管理不是管理一台防火墙、路由器、交换机那么简单，需要从以体系化的设计思路进行通盘考虑，需要统一和规范网络安全管理的内容和流程，提升风险运行维护的自动化程度，实现风险可视化、风险可管理、风险可处置、风险可量化。使日常的风险管理由被动管理向主动的流程化管理转变，最终真正实现网络安全管理理念上质的飞跃，初步建立起真正实用并且合规的网络安全管理运维体系。网络安全管理平台作为管理的工具其核心理念是管理，网络安全管理平台围绕此开展设计，最终形成安全工作的工作规范，通过不断完善的工作规范，通过安全

工作能力的不断提升，通过对工作内容及结果的工作考核，形成安全建设螺旋上升的建设效果。在网络安全管理平台建设上重点考虑如下几个方面的内容： 1)安全资源的统一管理安全策略是企业安全建设的指导性纲领。信息安全管理产品应能在安全策略的指导下，对与信息安全密切相关的各种资产进行全面的管理，包括网络安全设备(产品)、重要的网络资源设备(服务器或网络设备)，以及操作系统和应用系统等。要实现关键防护设备的健壮性检查工作。 2)安全管理可视化实现安全运维管理服务流程的可视化、结果可跟踪、过程可管理，支持完善的拓扑表达方式，支持可视化的设备管理、策略管理和部署，支持安全事件在网络逻辑拓扑图中显示。信息安全全景关联可视化展示方法和技术，从信息展示逻辑和操作方式上提高可视化的视觉效果，增强系统的易用性和信息的直观性。采用了众多图形化分析算法技术从大量图表数据中揭示更深层次的关联信息和线索。 3)信息安全全景关联模型及方法各种类型、不同厂家的安全设备得以大规模使用，产生难以手工处理的海量安全信息，如何统一监控、处理这些不同类型的安全信息，如何从这些海量的安全信息中整理、分析出真正对用户有价值的安全事件。通过设计一个基于关联的信息安全事件管理框架，实现安全信息的关联及关联后事件表示,实现安全信息精简、降低误报率和漏报率以及改进报警语义描述，达到增强安全系统间的联系、建立安全信

网络及网络安全管理制度

《网络及网络安全管理制度》计算机网络为集团局域网提供网络基础平台服务和互联网接入服务，由信息部负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行，充分发挥信息服务方面的重要作用，更好地为集团员工提供服务。现制定并发布《网络及网络安全管理制度》。第一条所有网络设备（包括光纤、路由器、交换机、集线器等）均归信息部所管辖，其安装、维护等操作由信息部工作人员进行。其他任何人不得破坏或擅自维修。第二条所有集团内计算机网络部分的扩展必须经过信息部实施或批准实施，未经许可任何部门不得私自连接交换机、集线器等网络设备，不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。第三条各部门的联网工作必须事先报经信息部，由信息部做网络实施方案。第四条集团局域网的网络配置由信息部统一规划管理，其他任何人不得私自更改网络配置。第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管理分配，包括：用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可，任何人不得使用静态网络配置。第六条任何接入集团局域网的客户端计算机不得安装配置DHCP服务。一经发现，将给予通报并交有关部门严肃处理。第七条网络安全：严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者，将视其情节轻重交有关部门或公安机关处理。第八条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。第九条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。第十条任何人不得扫描、攻击集团计算机网络。第十一条任何人不得扫描、攻击他人计算机，不得盗用、窃取他人资料、信息等。第十二条为了避免或减少计算机病毒对系统、数据造成的影响，接入集团局域网的所有用户必须遵循以下规定： 1.任何单位和个人不得制作计算机病毒；不得故意传播计算机病毒，危害计算机信息系统安全；不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用信息部部署发布的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。第十三条集团的互联网连接只允许员工为了工作、学习和工余的休闲使用，使用时必须遵守有关的国家、企业的法律和规程，严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容： 1. 从中国境内向外传输技术性资料时必须符合中国有关法规。 2. 遵守所有使用互联网的网络协议、规定和程序。 3. 不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。

《网络安全与管理》试题及答案(一)(已做)..

《网络安全与管理》试题一一．单项选择题 1.在以下人为的恶意攻击行为中，属于主动攻击的是（ A ） A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是（ C ） A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是（ B ） A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（ B ） A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是（ D ） A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较（ B ） A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高，对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？" （ B ） A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有：（A ） A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法是：（A ） A.对信息源发方进行身份验证

网络与信息安全管理规定

网络与信息安全管理规定集团文件版本号：（M928-T898-M248-WU2669-I2896-DQ586-M1988）

学校网络及网络安全管理制度

《网络安全管理制度》计算机网络为学校局域网提供网络基础平台服务和互联网接入服务，由现代教育技术中心负责计算机连网和网络管理工作。为保证学校局域网能够安全可靠地运行，充分发挥信息服务方面的重要作用，更好地为学校教职工、学生提供服务。现制定并发布《网络及网络安全管理制度》。第一条所有网络设备（包括光纤、路由器、交换机、集线器等）均归现代教育技术中心所管辖，其安装、维护等操作由现代教育技术中心工作人员进行。其他任何人不得破坏或擅自维修。第二条所有学校内计算机网络部分的扩展必须经过现代教育技术中心实施或批准实施，未经许可任何部门不得私自连接交换机、集线器等网络设备，不得私自接入网络。现代教育技术中心有权拆除用户私自接入的网络线路并进行处罚措施。第三条各部门的联网工作必须事先报现代教育技术中心，由现代教育技术中心做网络实施方案。第四条学校局域网的网络配置由现代教育技术中心统一规划管理，其他任何人不得私自更改网络配置。第五条接入学校局域网的客户端计算机的网络配置由现代教育技术中心部署的DHCP服务器统一管理分配，包括：用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可，任何人不得使用静态网络配置。第六条任何接入学校局域网的客户端计算机不得安装配置DHCP服务。一经发现，将给予通报并交有关部门严肃处理。第七条网络安全：严格执行国家《网络安全管理制度》。对在学校局域网上从事任何有悖网络法规活动者，将视其情节轻重交有关部门或公安机关处理。第八条教职工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。第九条任何人不得在局域网络和互联网上发布有损学校形象和教工声誉的信息。第十条任何人不得扫描、攻击学校计算机网络。第十一条任何人不得扫描、攻击他人计算机，不得盗用、窃取他人资料、信息等。第十二条为了避免或减少计算机病毒对系统、数据造成的影响，接入学校局域网的所有用户必须遵循以下规定： 1.任何单位和个人不得制作计算机病毒；不得故意传播计算机病毒，危害计算机信息系统安全；不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用现代教育技术中心部署发布的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。

网络安全管理员岗位职责

网络与安全管理员岗位职责 1.基础设施管理 1)确保网络通信传输畅通； 2)掌握主干设备的配置情况及配置参数变更情况，备份各个设备的配置文件； 3)对运行关键业务网络的主干设备配备相应的备份设备，并配置为热后备设备； 4)负责网络布线配线架的管理，确保配线的合理有序； 5)掌握用户端设备接入网络的情况，以便发现问题时可迅速定位； 6)采取技术措施，对网络内经常出现的用户需要变更位置和部门的情况进行管； 7)掌握与外部网络的连接配置，监督网络通信状况； 8)实时监控整个局域网的运转和网络通信流量情况； 9)制定、发布网络基础设施使用管理办法并监督执行情况； 2.操作系统管理 1)在网络操作系统配置完成并投入正常运行后，为了确保网络操作系统工作正常，网络管理员首先应该能够熟练的利用系统提供的各种管理工具软件，实时监督系统的运转情况，及时发现故障征兆并进行处理； 2)在网络运行过程中，网络管理员应随时掌握网络系统配置情况及配置参数变更情况，对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展需要和用户需求，动态调整系统配置参数，优化系统性能； 3)负责关键的网络操作系统服务器建立热备份系统，做好防灾准备； 4)负责单位网络机房内的所有设备维护和管理，并记录事件日志； 5)负责单位和网络机房所有服务器系统和节点系统的补丁更新，根据不同环境搭建系统补丁分发服务器； 3.应用系统管理 1)确保各种网络应用服务运行的不间断性和工作性能的良好性，出现故

障时应将故障造成的损失和影响控制在最小范围内； 2)对于要求不可中断的关键型网络应用系统，除了在软件手段上要掌握、备份系统参数和定期备份系统业务数据外，必要时在硬件手段上还要建立和配置系统的热备份； 3)对于用户访问频率高、系统负荷的网络应用服务，必要时网络管理员还应该采取分担的技术措施； 4.用户服务与管理 1)用户的开户与撤销； 2)用户组的设置与管理； 3)用户可用服务与资源的的权限管理和配额管理； 4)用户计费管理； 5)包括用户桌面联网计算机的技术支持服务和用户技术培训服务的用户端支持服务； 5.安全保密管理 1)及时了解国家和上级网络管理部门发布的网络安全信息； 2)对于普通级别的网络，网络管理员的任务主要是配置管理好系统防火墙。为了能够及时发现和阻止网络黑客的攻击，可以加配入侵检测系统对关键服务提供安全保护； 3)对于安全保密级别要求高的网络，网络管理员除了应该采取上述措施外，还应该配备网络安全漏洞扫描系统，并对关键的网络服务器采取容灾的技术手段； 4)更严格的涉密计算机网络，还要求在物理上与外部公共计算机网络绝对隔离，对安置涉密网络计算机和网络主干设备的房间要采取安全措施，管理和控制人员的进出，对涉密网络用户的工作情况要进行全面的管理和监控； 5)负责网络机房的安全管理与检查，并负责建立与记录安全日志； 6)负责单位每月的日常保密安全检查； 7)负责修订单位的保密管理实施细则； 8)协助保密小组做涉密网络测评、分级保护、资质延续等事项； 9)采取一切可能的技术手段和管理措施，保护网络中的信息安全；

计算机网络安全试题-《网络安全与管理(第二版)》网络安全试题

网络安全试题一．单项选择题（每题1分，共60分） 1.在以下人为的恶意攻击行为中，属于主动攻击的是（） 2.A、数据篡改及破坏 3.B、数据窃听 4.C、数据流分析 5.D、非法访问 6.数据完整性指的是（） 7.A、保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 8.B、提供连接实体身份的鉴别 9.C、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 10.D、确保数据数据是由合法实体发出的 11.以下算法中属于非对称算法的是（） 12.A、DES 13. B RSA算法 14.C、IDEA 15.D、三重DES 16.在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（） 17.A、非对称算法的公钥 18.B、对称算法的密钥 19.C、非对称算法的私钥 20.D、CA中心的公钥 21."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？" （）

A 56位 B 64位 C 112位 D 128位 10．黑客利用IP地址进行攻击的方法有：（） A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒 11．防止用户被冒名所欺骗的方法是：（） A. 对信息源发方进行身份验证 B. 进行数据加密 C. 对访问网络的流量进行过滤和保护 D. 采用防火墙 A．安全通道协议 23．以下关于计算机病毒的特征说法正确的是：（） A．计算机病毒只具有破坏性，没有其他特征 B．计算机病毒具有破坏性，不具有传染性 C．破坏性和传染性是计算机病毒的两大主要特征 D．计算机病毒只具有传染性，不具有破坏性 29．加密技术不能实现：（） A．数据信息的完整性 B．基于密码技术的身份认证 C．机密文件加密 D．基于IP头信息的包过滤 30．所谓加密是指将一个信息经过（）及加密函数转换，变成无意义的密文，而接受方则将此密文经过解密函数、（）还原成明文。

公司网络安全管理制度(2021版)

公司网络安全管理制度(2021 版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0447

公司网络安全管理制度(2021版) 为加强公司网络系统的安全管理，防止因偶发性事件、网络病毒等造成系统故障，妨碍正常的工作秩序，特制定本管理办法。一、网络系统的安全运行，是公司网络安全的一个重要内容，有司专人负责网络系统的安全运行工作。二、网络系统的安全运行包括四个方面：一是网络系统数据资源的安全保护，二是网络硬件设备及机房的安全运行，三是网络病毒的防治管理，四是上网信息的安全。（一）数据资源的安全保护。网络系统中存贮的各种数据信息，是生产和管理所必须的重要数据，数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份，规定如下：

1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份 3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查，数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。（二）硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量，一般应同时配有不间断供电电源，避免因市电不稳定造成硬件设备损坏。 2、安装有保护接地线，必须保证接地电阻符合技术要求（接地电阻≤2Ω，零地电压≤2V），避免因接地安装不良损坏设备。 3、设备的检修或维护、操作必须严格按要求办理，杜绝因人为因素破坏硬件设备。 4、网络机房必须有防盗及防火措施。 5、保证网络运行环境的清洁，避免因集灰影响设备正常运行。（三）网络病毒的防治

网络安全管理方案

网络安全管理一、集团网络安全网络安全分析： 1.物理安全网络的物理安全是整个集团网络系统安全的前提。物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。 2.网络结构的安全网络拓扑结构设计也直接影响到网络系统的安全性。在设计网络时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。 3.系统的安全系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前没有完全安全的操作系统，所以必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 4.应用系统的安全应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面，例如： E-mail等。 5.管理的安全管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。二、集团安全技术手段 1.物理措施：对集团网络所有关键网络设备及服务器，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施，确保设备能安全高效的运行。

2.访问控制：对集团网络中所有用户访问网络资源的权限进行严格的认证和控制。进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等。 3.数据加密：对集团所有重要数据进行加密，保障信息被人截获后不能读懂其含义。并对客户端安装网络防病毒系统。 4.网络隔离：对集团研发中心进行网络隔离，严格控管与集团内网及intel网的访问，确保数据不会流失到外网。 5.防火墙技术：防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。 6.上网行为管理：控制和管理集团所有终端对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 7.入侵检测：入侵检测是通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 9.安全防范意识：加强集团网络管理员及终端使用人员的网络安全意识，保证网络安全。 8.其他措施：其他措施包括对集团网络进行：信息过滤、容错、数据镜像、数据备份、和审计等。

网络与信息安全管理制度

网络与信息安全管理制度 1. 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。 2. 负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。 3. 加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 一旦发现从事下列危害计算机信息网络安全的活动的：（一）未经允许进入计算机信息网络或者使用计算机信息网络资源；（二）未经允许对计算机信息网络功能进行删除、修改或者增加；（三）未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；（四）故意制作、传播计算机病毒等破坏性程序的；（五）从事其他危害计算机信息网络安全的活动。做好记录并立即向当地公安机关报告。 5. 在信息发布的审核过程中，如发现有以下行为的：（一）煽动抗拒、破坏宪法和法律、行政法规实施（二）煽动颠覆国家政权，推翻社会主义制度（三）煽动分裂国家、破坏国家统一（四）煽动民族仇恨、民族歧视、破坏民族团结（五）捏造或者歪曲事实、散布谣言，扰乱社会秩序（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪（七）公然侮辱他人或者捏造事实诽谤他人（八）损害国家机关信誉（九）其他违反宪法和法律、行政法规将一律不予以发布，并保留有关原始记录，在二十四小时内向当地公安机关报告。 6. 接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为. 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施，保障本网络的运行安全和信息安全； 2. 对以虚拟主机方式接入的单位，系统要做好用户权限设定工作，不能开放其信息目录以外的其他目录的操作权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核，不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。

计算机网络管理与安全

第一章概述一、实训总目的随着通信技术的高速发展，网络规模不断扩大，网络复杂程度日益提高，为了确保服务质量和降低运行成本，对网络管理和安全系统的要求也越来越高，网络管理和安全系统一直是网络建设中的热点、焦点和难点问题。因此，迫切需要工程网络技术专业的学生能学习一些网络管理和安全的理论知识，并在理论知识的指导下进行网络管理和安全技术技能方面的训练。 1．课程的性质、目的和任务计算机网络管理与安全实训是工程网络技术专业重要的实践教学内容，是《计算机网络管理与安全》课程的综合技能训练课，通过实训，加深理解、验证、巩固课堂教学内容，提高学生在网络运行环境中的监控、管理网络和保障网络安全运行的实际应用能力，加深对网络管理与安全技术方面概念的理解，掌握网络监控、管理以及维护网络安全运行的方法和基本措施。通过实训，为学生成为网络管理技术人员打下坚实的基础。 2．教学基本要求 1）学会当网络出现问题时，用现有的网络工具去分析、发现和解决问题，具体介绍Ping和Tracert应用程序。 2）使用交换机的管理软件对交换机端口进行管理与监控。 3）利用交换机管理软件中的MIB-Browser功能，理解MIB的概念、定义以及SNMP所支持的对管理对象值的检索和修改操作。 4）利用网络管理软件，学习、掌握实现事件管理、性能管理、远程网络监控、拓扑结构管理等网络管理功能的配置和操作方法。 5）配置基于WINDOWS 2000的SNMP管理 6）防火墙的配置与管理 7）Sniffer的使用（或FLUCK协议分析仪） 8）防病毒软件的配置与使用 1．交换机的图形化Web管理方式的设置，基于Web方式对交换机端口及日志的简单管理； 2．利用MIB浏览器了解管理信息库的结构和SNMP的操作； 3．利用Windows 2000 Server上的“网络监视器”，了解捕获帧的方法； 4．利用Sniffer Pro软件了解监视网络运行状况的方法； 5．个人防火墙的配置与管理； 6．基于Windows 2000 Server的VPN的配置与使用；

网络安全管理制度

网络安全信息系统管理制度计算机信息网络单位应当在中心领导的指导下，建立和完善计算机网络安全组织，成立计算机网络安全领导小组。 1、确定本单位计算机安全管理责任人和安全领导小组负责人（由主管领导担任），应当履行下列职责：（一）组织宣传计算机信息网络安全管理方面的法律、法规和有关政策；（二）拟定并组织实施本单位计算机信息网络安全管理的各项规章制度；（三）定期组织检查计算机信息网络系统安全运行情况，及时排除各种安全隐患；（四）负责组织本单位信息安全审查；（五）负责组织本单位计算机从业人员的安全教育和培训；（六）发生安全事故或计算机违法犯罪案件时，立即向公安机关网监部门报告并采取妥善措施，保护现场，避免危害的扩散，畅通和公安机关网监部门联系渠道。 2、配备１至２名计算机安全员（由技术负责人和技术操作人员组成），应当履行下列职责：（一）执行本单位计算机信息网络安全管理的各项规章制度；（二）按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试，及时排除各种安全隐患；

（三）根据法律法规要求，对经本网络或网站发布的信息实行24小时审核巡查，发现传输有害信息，应当立即停止传输，防止信息扩散，保存有关记录，并向公安机关网监部门报告；（四）发生安全事故或计算机违法犯罪案件时，应当立即向本单位安全管理责任人报告或直接向公安机关网监部门报告，并采取妥善措施，保护现场，避免危害的扩大；（五）在发生网络重大突发性事件时，计算机安全员应随时响应，接受公安机关网监部门调遣，承担处置任务； 3、单位安全组织应保持和公安机关联系渠道畅通，保证各项信息网络安全政策、法规在本单位的落实，积极接受公安机关网监部门业务监督检查。网络信息监视、保存、清除和备份制度一、严格执行国家及地方制定的信息安全条例。二、上网用户必须严格遵循网络安全保密制度。三、提供的上网信息,必须经过中心领导的审核后方可上网四、工作人员必须配合有关部门依法进行信息安全检查。五、建立健全网络安全管理制度,采取安全技术措施,落实安全管理责任,加强对BBS等交互式栏目信息发布的审核,网络运行日志的管理,并将系统运行日志完整仅用3个月以上,以备公安机关的监督检查。

网络访问及网络安全等管理制度

网络访问及网络安全等管理制度为了规范公司网络资源的安全、有效应用，提高工作效率，特制定本制度。本制度中的网络资源包含以下内容： 1、所有计算机部件，包括但不局限于主机、显示器、存储设备（含移动）、Modem、网卡。 2、所有计算机软件（含随机预装软件）。 3、所有用于提供网络互连、用户接入和控制网络访问的设备。 4、公司网络资源本身派生的电子邮件信息、文档资料和网络传输信息等数据资源。公司所有网络资源系属公司所有和管理。员工在公司规定范围内使用。本制度适用于公司所有网络资源。一、互联网网络用户操作规范： 1. 互联网用户禁止访问含有暴力、色情或其他违反国家法律法规的网站及网页，禁止订阅含有暴力、色情或其他违反国家法律法规的邮件。禁止下载不健康的网上信息； 2. 上网用户不得利用互联网制作、复制、查阅、发布、传播含有扰乱社会秩序，破坏社会稳定，及法律、行政法规禁止的内容的信息。 3. 禁止在网上聊天、游戏、娱乐、炒股、收发非工作邮件；禁止从网上下载游戏和其它与工作无关的软件。工作软件的下载需经维护人员或硬件主管的同意。 4. 任何人不得允许外单位人员利用公司网络收发电子邮件,公司内部员工不得转发与工作无关的邮件。（比如那种一些带有传销性质的mail）。 5. 不准打开来历不明的电子邮件，尤其是邮件的附件,因打开不明来历邮件附件导致中病毒的用户，视造成后果程度，最高可除名的处罚。 6. 互联网属于可能将病毒带入公司局域网的媒介，所以互联网的用户需要提高警惕，慎防计算机病毒入侵。具体内容参照“计算机病毒防治”。

二、病毒预防 1、公司所有计算机资源都要求安装公司指定的防毒软件，员工应负责运行公司所部署的防病毒软件，不得自行关闭或者回避，严禁卸载。 2、若员工的计算机感染病毒，应立即采取包括断开网络连接、杀毒与公司网络管理人员联系等措施，确保网络的安全运行。 3、网络管理人员负责保证更新公司服务器端防病毒软件的病毒定义库，并监控客户端是否顺利升级。员工如果怀疑自己的防病毒软件在过去的一周内没有更新，应该与网络管理专业人员联系。三、文档与数据保护 1、所有放置在服务器端的文档、数据以及配置信息均为受保护信息，对相关服务器的操作均由指定的管理人员进行。员工的上级主管可以根据工作需要对员工进行授权，授权通常包括对相关数据及文档的访问范围、许可的操作方式、有效时间界定。 2、获得授权的员工不得将自己获得的数据文档或访问信息传播给非授权用户。 3、严禁所有未经授权，对公司服务器系统以及他人计算机系统进行访问或操作的行为。四、隐私权和日志记录公司的全部网络资源都是公司所有财产，其中包括(但不局限于) 存储的文件、电子邮件信息和网络传输信息。公司保留检查和/或对所有网络活动进行日志记录的权力。

网络管理员_网络管理与网络安全

[模拟] 网络管理员:网络管理与网络安全选择题第1题：网络管理系统中，管理对象是指( )。 A.网络系统中各种具体设备 B.网络系统中各种具体软件 C.网络系统中各类管理人员 D.网络系统中具体可以操作的数据参考答案：D 第2题：网络管理系统的配置管理最主要的功能是( )。 A.确定设备的地理位置 B.确定设备的地理位置、名称和有关细节 C.增强网络管理者对网络配置的控制 D.为网络管理者提供网络元素清单参考答案：C 第3题： SNMP网络管理是一种( )。 A.分布式管理 B.集中式管理 C.随机式管理 D.固定式管理参考答案：A 第4题：在网络管理中，一般采用的管理模型是( )。 A.管理者/代理 B.客户机/服务器 C.网站/浏览器 D.CSMA/CD

参考答案：B 第5题：数字签名是数据的接收者用来证实数据的发送者身份确实无误的一种方法，目前常采用的数字签名标准是( )。 A.DSS标准 B.CRC标准 C.SNMP标准 D.DSA标准参考答案：A 第6题：下列有关数字签名技术的叙述中错误的是( )。 A.发送者的身份认证 B.保证数据传输的安全性 C.保证信息传输过程中的完整性 D.防止交易中的抵赖行为发生参考答案：B 第7题：在身份认证中，使用最广泛的一种身份验证方法是( )。 A.口令或个人识别码 B.令牌 C.个人特征 D.以上都是参考答案：A 第8题：为使发送方不能否认自己发出的签名消息，应该使用以下哪种技术( )。 A.数据加密 B.数字签名 C.防火墙

D.链路加密参考答案：B 第9题：下列最容易破解的加密方法是( )。 A.DES加密算法 B.换位密码 C.替代密码 D.RSA加密算法参考答案：C 第10题：真正安全的密码系统是( )。 A.即使破译者能够加密任何数量的明文，也无法破译密文 B.破译者无法加密任意数量的明文 C.破译者无法破译的密文 D.密钥有足够的长度参考答案：A 第11题：在网络上，只有使用用户名和口令才能访问网络资源，不同级别的访问权限，因用户有所不同。这种网络安全级别是( )。 A.共享级完全 B.部分访问安全 C.用户级安全 D.E1级安全参考答案：C 第12题：以下不属于防火墙技术的是( )。 A.IP过滤 B.线路过滤

网络安全和管理试题(卷)

网络安全与管理试题姓名：__________ 学号：_________ 班级： ____________ 分数：____________ 一．单项选择题(每题2分,共40题) 1.下面描述的内容属于性能管理的是__________ A．监控网络和系统的配置信息 B．跟踪和管理不同版本的硬件和软件对网络的影响C．收集网络管理员指定的性能变量数据 D．防止非授权用户访问机密信息 2.下面描述的内容属于配置管理的是__________ A．监控网络和系统的配置信息 B．测量所有重要网络资源的利用率 C．收集网络管理员指定的性能变量数据 D．防止非授权用户访问机密信息 3.下面描述的内容属于安全管理的是__________ A．收集网络管理员指定的性能变量数据 B．监控网络和系统的配置信息 C．监控机密网络资源的访问点 D．跟踪和管理不同版本的硬件和软件对网络的影响4.下面描述的内容属于计费管理的是__________

A．收集网络管理员指定的性能变量数据 B．测量所有重要网络资源的利用率 C．监控机密网络资源的访问点 D．跟踪和管理不同版本的硬件和软件对网络的影响5.下面描述的内容属于故障管理的是__________ A．监控网络和系统的配置信息 B．测量所有重要网络资源的利用率 C．自动修复网络故障 D．防止非授权用户访问机密信息 6.SNMP协议可以在什么环境下使用__________ A．TCP/IP B．IPX C．AppleTalk D．以上都可以 7.网络管理工作站直接从什么地方收集网络管理信息 __________ A．网络设备 B．SNMP代理 C．网络管理数据库 8.SNMPv1实现的请求/响应原语包括__________ A．get、set、trap B．get、getNext、set、trap

《网络安全与管理》试题及答案

《网络安全与管理》试题一一?单项选择题 1. 在以下人为的恶意攻击行为中，属于主动攻击的是（A ） A. 数据篡改及破坏 B. 数据窃听 C. 数据流分析 D. 非法访问 2. 数据完整性指的是（C ） A. 保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 B. 提供连接实体身份的鉴别 C. 防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 D. 确保数据数据是由合法实体发岀的 3. 以下算法中属于非对称算法的是（B ） A. DES B. RSA算法 C. IDEA D. 三重DES 4. 在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（ B ） A. 非对称算法的公钥 B. 对称算法的密钥 C. 非对称算法的私钥 D. CA中心的公钥 5. 以下不属于代理服务技术优点的是（D ） A. 可以实现身份认证 B. 内部地址的屏蔽和转换功能 C. 可以实现访问控制 D. 可以防范数据驱动侵袭 6. 包过滤技术与代理服务技术相比较（B ） A. 包过滤技术安全性较弱、但会对网络性能产生明显影响 B. 包过滤技术对应用和用户是绝对透明的 C. 代理服务技术安全性较高、但不会对网络性能产生明显影响 D. 代理服务技术安全性高，对应用和用户透明度也很高，剩余部分作为7. "DES是一种数据分组的加密算法，DES它将数据分成长度为多少位的数据块，其中一部分用作奇偶校验密码的长度？" （ B ） A. 56 位 B. 64 位 C. 112 位 D. 128 位 8. 黑客利用IP地址进行攻击的方法有：（A ） A. IP欺骗 B. 解密 C. 窃取口令

《网络安全与管理(第二版)》网络安全试题1

网络安全试题一一．判断题（每题1分，共25分） 1.计算机病毒对计算机网络系统威胁不大。 2.黑客攻击是属于人为的攻击行为。 3.信息根据敏感程序一般可为成非保密的、内部使用的、保密的、绝密的几类。 4.防止发送数据方发送数据后否认自已发送过的数据是一种抗抵赖性的形式。 5.密钥是用来加密、解密的一些特殊的信息。 6.在非对称密钥密码体制中，发信方与收信方使用不同的密钥。 7.数据加密可以采用软件和硬件方式加密。 8.Kerberos协议是建立在非对称加密算法RAS上的。 9.PEM是专用来为电子邮件提供加密的。 10.在PGP中用户之间没有信任关系。 11.Kerberos能为分布式计算机环境提供对用户单方进行验证的方法。 12.当一个网络中的主机太多时，可以将一个大网络分成几个子网。 13.对路由器的配置可以设置用户访问路由器的权限。 14.计算机系统的脆弱性主要来自于网络操作系统的不安全性。 15.操作系统中超级用户和普通用户的访问权限没有差别。 16.保护帐户口令和控制访问权限可以提高操作系统的安全性能。 17.定期检查操作系统的安全日志和系统状态可以有助于提高操作系统安全。 18.在Windows NT操作系统中，域间的委托关系有单向委托和双向委托两种。 19.在NetWare操作系统中，使用NIS提供的层次式的分配和管理网络访问权的办法。 20.审计和日志工具可以记录对系统的所有访问，可以追踪入侵者的痕迹，能够找出系统的安全漏动。 21.访问控制是用来控制用户访问资源权限的手段。 22.数字证书是由CA认证中心签发的。 23.防火墙可以用来控制进出它们的网络服务及传输数据。 24.防火墙中应用的数据包过滤技术是基于数据包的IP地址及TCP端口号的而实现对数据过滤的。 25.病毒只能以软盘作为传播的途径。二．单项选择题（每题1分，共25分） 1.目前广为流行的安全级别是美国国防部开发的计算机安全标准－可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria）。TCSEC按安全程度最低的级别是： A D B A1 C C1 D B2 E 以上都不是 2.有一种系统具有限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别；系统对发生的事件能够加以审计（audit），并写入日志当中。这个系统属于哪一个安全级别？ A D

计算机网络技术与应用 第七章 网络安全与网络管理