网络安全技术简介
目录
第1章网络安全技术简介和课题设计目标 (1)
1.1 课题意义 (1)
1.2 网络安全技术 (1)
1.3 防火墙介绍 (2)
1.4 本课题的设计目标 (3)
第2章总体设计 (4)
2.1防火墙的系统总体设计思想 (4)
2.2 慧达公司网络安全体系总体设计 (5)
2.3网络安全设计方案 (6)
2.4中级需求 (7)
第3章详细配置 (10)
3.1网络拓扑配置 (10)
3.2 防火墙配置详细设计 (11)
结论 (16)
致谢 (17)
参考文献 (18)
慧达驿站网络安全体系规划与设计方案
[摘要]安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当局域网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。
在具体的解决方案中,将企业划分为3个级别,分别是低级别需求,中级别需求,高级别需求。根据不同的级别需求,制定不同的网络安全方案。本课题主要研究的例如慧达驿站这些中型企业的的安全需求,制定不同的网络安全解决方案,以保障网络的安全性。
在公司实验室环境,自行的搭建实验网络平台,根据总体安全设计进行配置,并针对总体设计的攻击方案进行模拟攻击,验证了网络安全设计方案。
[关键词] 防火墙 OSI 安全策略
引言
随着时代的发展,社会的进步,我们的日常生活越来越离不开网络。不论是家庭娱乐,或者是政府办公,都与网络紧密相关。但是,随着网络不断融入我们的生活,网络所带来的威胁也日益严重。我们的私人资料,可能随时被窃取,公司的资料也可能被随时窃取,国家的政府网络可能会被恶意攻击者入侵,导致网络瘫痪,对国家,企业,个人造成不可挽回的损失。
对于目前的情况,就是针对不同规模企业的网络安全提出相应的解决方案,这一解决方案能有效地保护网络的安全,同时对于防火墙的处理数据能力进行评估,以保证防火墙能正常工作的同时,也能有效地阻止各种网络攻击保护网络的安全性。本课题主要研究的是中小型企业的网络安全方案设计。
第1章网络安全技术简介和课题设计目标
1.1 课题意义
安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。当局域网与外部网连接时,可以在中间加入一个或多个中介系统,这样就可以保障网络安全,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术如图1-1所示。
图1-1 防火墙功能图
它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。因此本课题的任务与目的在于如何构建一个相对安全的计算机网络平台。使其免受外部网络的攻击。
1.2 网络安全技术
网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技
术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。
其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing 攻击等。
防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。
病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。
安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。
认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。
应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统安全和操作系统安全。
1.3 防火墙介绍
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防
火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。然而,慧达公司以前的防火墙系统也暴露出一些不足。①只能检测并预报预先设定的攻击信息,对于新发的非正当信息不能及时发现并加以控制;②工作效率不能满足发展迅速的信息技术;③对内部的威胁毫无防范力;④“单失效点”以及“流量瓶颈”等问题。防火墙系统一旦被攻破,内部网络就会一览无余,毫无安全可言。
1.4 本课题的设计目标
图1-2是类似于慧达公司这样的中型企业网络拓扑,其中涉及了网络出口的防火墙,和内部网络。本课题的主要内容如下:
调研目前企业网络安全的需求,并对需求进行分析。
针对企业网络安全需求提出解决方案。
针对上述网络安全解决方案提出具体的安全部署方法。
详细设计网络设备的配置。
图1-2 中型企业网络拓扑
第2章总体设计
2.1防火墙的系统总体设计思想
2.1.1设计防火墙系统的拓扑结构
在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别。结合慧达公司的实际情况,从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。
2.1.2制定网络安全策略
在实现过程中,没有符合公司允许的服务是被禁止的,没有被公司规定禁止的服务都是允许的,因此网络安全的第一条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每一项许可的服务;第二条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。
2.1.3确定包过滤规则
包过滤规则是以处理IP包头信息为基础,设计在包过滤规则时,一般先组织好包过滤规则,然后再根据慧达公司的具体情况进行具体设置。
2.1.4设计代理服务
代理服务器接受外部网络节点提出的服务请求,如果此请求被接受,代理服务器再建立与实服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等,来加强网络安全性,解决包过滤所不能解决的问题。
2.1.5严格定义功能模块,分散实现
防火墙由各种功能模块组成,如包过滤器、代理服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现,功能分散减少了实现的难度,增加了可靠程度。
2.1.6防火墙维护和管理方案的考虑
防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结
构的
改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管
理进一步优化其性能,以保证网络极其信息的安全性。
2.2 慧达公司网络安全体系总体设计
针对网络安全解决方案,设计了慧达公司网络安全体系,依据安全体系对解
决方案进行规划如图2-1。其中分别涉及有:
硬件安全监控技术,防火墙位于内部网络和外部网络之间,属于边界设备,
因此内部的数据以及外部的数据都需要经过防火墙。因此,大量的数据包,数据
流,以及各种攻击都会首先经过防火墙。这时,防护墙的会自动记录下每一个攻
击,每一个数据的源ip,目的ip,源端口,目的端口,协议类型,攻击事件等。
对于网络管理者,更好的了解网络安全的威胁,以及防火墙的处理数据的能力有
更好的认识。
硬件安全防护技术,防火墙更多的是处理数据流,和数据包的工作。因此,
在安全解决方案中,主要做的是对于各种攻击的防护,其中包括非法数据包检测,
防扫描等。
硬件安全隧道加密,主要是在内部网络的中利用MPLS网络来承载企业的各
种业务,这样既有安全性,同时也提高了传输速度。
硬件防护安全策略,安全策略是防火墙的主要防御措施,利用防火墙的各种
协议技术,来针对性的对防火墙进行策略设置,起到安全的效果。其具体流程,
第一步设计安全策略,第二步配置安全策略,第三步应用安全策略,第四步验证
安全策略,第五步整改不完善的安全策略。
硬件安全监控技术硬件安全防护技术硬件安全防护策略
硬件安全隧道加密
企业安全体系
提供硬件,满足网络流监控和流分析防DDOS攻击、非
法数据包检测、防
扫描、等网络攻击
MPLS_VPN技术
入侵检测,ACL
设置等图2-1企业安全体系
2.3网络安全设计方案
目前的网络环境甚是复杂,伴随着网络的发展,各种各样的网络攻击也随之孕育而生。但是,网络攻击不是盲目的,而是却有一定的目的性的。越是复杂的、高强度的网络攻击对应的攻击目标越是大型企业,而不会是那些小型的公司。因此,本课题专门研究就是针对慧达公司可能遭受到的网络攻击设置相应的防御规范。本课题要研究的防御规范依据的是OSI七层模型,依据OSI七层模型(如图2-3)来进行制定网络的安全策略。
第七层应用层
第六层表示层
第五层会话层
第四层传输层
第三层网络层
第二层物理层
第一层数据链路层
图2-3 OSI七层模型
依据OSI七层模型将网络安全解决方案划分为低级别需求、中级别需求、高级别需求。具体区别如下:
低级别需求解决方案:对于小型企业,没有自己相应的服务器,对于网络的需求只局限于内部网络能够正常的链接到Internet。只需要对日常的网络攻击模式进行设置即可;并且对内部网络设置相应的规范。防火墙设置原则基于OSI 七层模型的前3层。
中级别需求解决方案:随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。企业应采用立体多层次的安全系统架构。这种多层次的安全体系要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内网之外。慧达公司就属于这一类。
高级别需求解决方案:例如像银行等金融企业,或政府机关等。此类对于网
络的安全尤为重要,因此,合理的设置防火墙,有效地规范内网的使用规则,对网络的安全能起到相当的重要作用。因此,就本课题而言,基于OSI七层模型的防火墙设置外,更应该注意的是对于验证加密的环节的设置。
2.4中级需求
例如慧达驿站这种中型企业应采用立体多层次的安全系统架构。如图2-4,这种多层次的安全体系不仅要求在网络边界设置防火墙/VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内网之外,其中图2-6为中型企业拓扑。
依据中型企业的多层次网络安全构架,设计中型企业网络安全体系如图2-5。
图2-4 多层次安全体系图
硬件安全监控技术硬件安全防护技术硬件安全防护策略
硬件安全隧道加密中级别需求企业
安全体系
监控防火墙日志防DDOS 攻击、非法数据包检测、防
扫描、等网络攻击SSL VPN 技术
ACL
安全区域Vlan 划分Mac 地址绑定NAT ASPF 策略Web 过滤
图2-5 中型企业安全体系图
相应的设计如下:
vlan 划分:依靠vlan 来划分不同的工作组,来限制内网不同工作组之间的访问,已达到控制内网上的广播风暴;增强局域网的安全性。
MAC 地址绑定:每一个MAC 地址对应一个相应接口,使得非本公司pc 不能使用网络。从而达到内网安全的目的。同时对网络采用密码保护,密码不通过则不能使用网络。
设置攻击防范:IP 地址欺骗(IP Spoofing )攻击;Land 攻击;Smurf 攻击;WinNuke 攻击;SYN Flood 攻击;ICMP 和UDP Flood 攻击;地址扫描与端口扫描攻击;Ping of Death 攻击;以及防范ARP 泛红。
NAT 设置:设置地址池,利用NAT 技术,将有限的IP 地址动态或静态地与内部的IP 地址对应起来,防止内网ip 地址外露使得外部恶意攻击者不能攻击公司网络,并缓解地址空间不足的问题。
VPN :对远程办公人员提供SSL VPN 接入,远程分支机构提供IPSec VPN 接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。同时增加了传输速度。并且SSL VPN 使用简单,只要安装有浏览器的PC 机就可以使用,比IPSec VPN 使用上更加简单。因此SSL VPN 是对于远程用户访问敏感公司数据最简单最安全的解决技术。
网络行为监控:对网络内的上网行为进行规范,并监控上网行为,利用ACL 过滤网页访问,限制上网聊天行为,阻止不正当文件的下载。
Web 和垃圾邮件过滤:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。阻止内部用户访问非法的网址或访问含有非法内容的网页,防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。当内部网络受到外部的攻击时,
通过邮件告警功能,可以向网络管理员发送告警邮件,通知网络管理员采取相应措施。
设置黑名单:根据报文的源IP地址进行过滤。从而有效地将特定IP地址发送来的报文屏蔽。根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。
图2-6 慧达驿站企业网络拓扑
第3章详细配置
3.1网络拓扑配置
课题将慧达驿站公司网络安全与防火墙设置的分类,依据osi七层模型分成了高中低三个级别,但是由于设备有限的的问题,因此在整个网络拓扑的搭建过程中,整体上以高级别的需求为搭建的目的。在具体的实施过层中,将拓扑分成若干份,即内网1可作为小型公司的模拟环境,儿将中间的外部网络去掉时内网1和内网2连接起来组成的网络则可以看做是中级别的。
但是整个网络的配置基本相同,由于具体的代码可能过多,再详细配置中不一一列举,只是将配置的流程和一些需要说明的数据加入。
3.1.1 网络及ip地址划分
每台路由器设置相应的lookback(环回地址),地址的设置原则是,CE1:1.1.1.1/32
CE2:2.2.2.2/32 ,PE1:3.3.3.3/32,PE2:4.4.4.4/32,P:5.5.5.5/32其他接口地址如图3-1。
进入接口
配置ip地址
开启接口物理协议
图3-1 ip地址设置流程图
3.1.2 启用路由协议(全网互通)
底层采用OSPF路由协议,使得网络互通,对于OSPF的设置其进程号为65535,由于设备的原因采用单区域进行模拟,区域号为0。通告路由器lookback地址为OSPF的RouterID操作如图3-2。
启用OSPF路由协议
设置OSPF进程号为65535
声明需要加入OSPF的直连
网段,以及所划分的区域
图3-2 OSPF协议启用流程图
对于网络的上层协议启用BGP路由协议,其作用是用来承载MPLS VPN操作如图3-3。
启用BGP路由协议
设置BGP进程号为65535
通告BGP的邻居关,即路由
器的lookback地址
配置BGP设置
图3-3 BGP启用流程图
3.2 防火墙配置详细设计
3.1.1 防火墙需求配置
因为针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。因此慧达公司应采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙/VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内网之外。
vlan划分:依靠vlan来划分不同的工作组,来限制公司内网不同工作组之间的访问,已达到控制内网上的广播风暴;增强局域网的安全性如图3-4。
对于vlan的划分为8个vlan,将慧达公司内部网络的C类ip地址分为8个子网,每个子网有30个地址。具体的在总体设计中有箱子数据。
创建vlan以及vlan号
进入交换接接口
在接口模式下将多接口或单接口划分到指定vlan
vlan vlan-id
port hybrid protocol-vlan vlan vlan-id
interface interface-type interface-number
图3-4 vlan配置流程图
MAC地址绑定:每一个MAC地址对应一个相应接口,使得非慧达公司pc不能使用网络。从而达到内网安全的目的如图3-5。
进入指定的接口模式
将合法用户的MAC地址和IP 地址绑定到指定端
口上
interface interface-type
interface-number
am user-bind mac-addr mac-address ip-addr ip-address
图3-5 Mac绑定流程图
设置攻击防范:IP地址欺骗(IP Spoofing)攻击;Land攻击;Smurf攻击;WinNuke攻击;SYN Flood攻击;ICMP和UDP Flood攻击;地址扫描与端口扫描攻击;Ping ofDeath攻击;以及防范ARP泛洪。系统视图下进行配置。
ACL设置:利用访问控制列表,对不需要的流量丢弃处理,例如ping包等。目前对于慧达这类的公司,考虑的问题不是很多,主要的是对BT的封杀。防止内部人员大量下载,从而占用网络资源。同时在下班阶段对于网络采用ACL封闭式管理,即只不能访问外网如图3-6。
创建一个高级访问控制列表acl number acl-number [ match-
order { config | auto } ]
配置ACL 规则rule [ rule-id ] { deny | permit } type lsap source-mac dest-
mac time-range
创建一个时间段time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from
start-time start-date [ to end-
time end-date ] | to end-time
end-date }
应用在接口下
图3-6ACL 配置流程图
Web 和垃圾邮件过滤:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。阻止公司内部用户访问非法的网址或访问含有非法内容的网页,防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。当内部网络受到外部的攻击时,通过邮件告警功能,可以向公司网络管理员发送告警邮件,通知网络管理员采取相应措施如图3-7。
开启了web 过滤功能,使得过滤一些有病毒,或者不允许访问的网络地址。 开启web 过滤功能过滤地址
保存/加载Web 地址过滤文件IP 地址过滤firewall url-filter host enable
firewall url-filter host add { permit | deny } url-address
firewall url-filter host { save-file | load-file } file-name firewall url-filter host ip-
address { permit | deny }图3-7 web 过滤功能开启流程图
根据web 内容过滤的规则将,可以选择其web 中含有的特殊字符,将其加入到过滤内容中,使得防火墙阻止其访问如图3-8。
开启Web 内容过滤保存/加载Web 内容过滤文件
添加过滤关键字firewall webdata-filter
enable
firewall webdata-filter { save-file | load-file } file-
name
firewall webdata-filter add
keywords
图3-8 web 内容过滤流程图
先开启邮件过滤功能,将垃圾邮件的地址添加到到防火墙,这样就完成了地址的过滤。或者选择性的屏蔽一些垃圾邮件的时候,也可以选择邮件中的特殊字符进行过滤如图3-9、图3-10。
邮件地址过滤功能保存/加载邮件地址过滤文件
添加邮件过滤地址firewall smtp-filter rcptto
enable
firewall smtp-filter rcptto { save-file | load-file } file-name
firewall smtp-filter rcptto
add { permit | deny } mail-
address
图3-9 邮件地址过滤流程图
启用邮件主题过滤功能保存/加载邮件主题过滤文件
添加过滤关键字firewall smtp-filter subject
enable
firewall smtp-filter subject { save-file | load-file } file-
name
firewall smtp-filter subject
add mail-subject
图3-10 邮件主题过滤流程图
设置黑名单:根据报文的源IP 地址进行过滤。从而有效地将特定IP 地址发送来的报文屏蔽。根据报文的行为特征察觉到特定IP 地址的攻击企图之后,通过主动修改黑名单列表从而将该IP 地址发送的报文过滤掉如图3-11
配置客户机地址到黑名单中开启黑名单功能firewall blacklist sour-addr [
timeout minutes ]
firewall blacklist enable
图3-11 黑名单设置流程图
结论
企业网络安全与设计方案这个题目是我认为最好的一个课题,因为他切实的贴近未来的工作。其中包含了,路由器,交换机,和防火墙等等一系列的ip通信网络产品。因此我认为在本课题的研究实验过程中,我学会了如何去设计网络安全解决方案,同时如何是实施方案,为未来的工作打下了基础。
在实验过程中,我遇到了相当多的问题,例如我对于华为设备的命令不是很熟,倒是在实验配置环节进展比较慢,但是随着时间的推移,和较长时间的配置,等到慢慢熟悉了命令后,配置的速度才有所提高。
但是不论在课题的研究过程中,出现了什么问题,我都会寻找办法将其解决,在这个解决的过程中,我学到了很多的东西,例如之前所述的命令不熟悉的问题,只要多联系,多使用就会变得熟能生巧。
在整个课题的研究过程中,指导老师赵杰老师也给予我很多的帮助,例如在我寻找相关资料的时候,有时一个相关的资料我总是找不到,而在询问老师后老师帮我寻找到了需要的资料,解决了我当时的困哪。总的来说,本次课题的研究,让我学会了熟能生巧,艰苦奋斗的精神。为我在未来的工作岗位中,能够胜任职位起到了至关重要的作用。
致谢
经过数月的准备和实验,本次毕业设计已经接近尾声,作为一个专科生的毕业设计,由于经验的匮乏,难免有许多考虑不周全的地方,如果没有导师的督促指导,以及实验室老是的支持,想要完成这个设计是难以想象的。
在这里首先要感谢我的导师赵杰老师。赵老师平日里工作繁多,但在我做毕业设计的每个阶段,从资料的搜集,设计草案的确定和修改,到中期检查,后期详细设计,论文制作等整个过程中都给予了我悉心的指导。我的课题设计较为复杂烦琐,但是赵老师仍然细心地纠正设计中的错误。他在我的毕业设计过程中提出了指导性的方案和架构,指出论文中不合乎规范的地方,并指引我阅读相关的资料和书籍,使我能很顺利的完成毕业论文。
我想我论文的完成首先要归功于赵老师的鼎力支持,其次是实验室老师对于我毕设实验的通力合作,才使得我能按期的完成毕设题目。
参考文献
[1] 周良洪.《信息网络安全概论》,群众出版社,2005 年3 月
[2] 荆继武.《信息安全技术教程》,中国人民公安大学出版社,2007 年
[3] 徐超汉.《计算机信息安全管理》,电子工业出版社,2006 年
[4] 杨永川.《信息安全》,中国人民公安大学出版社,2007 年1 月
[5] 李冬静.《信息对抗》,中国人民公安大学出版社,2007 年1 月
[6] 万守付.《电子商务基础》,人民邮电出版社,2006年6 月
[7] 石淑华.《计算机网络安全》,人民邮电出版社,2005 年5 月
[8] 邵波编.《计算机安全技术及应用》,电子工业出版社,2005 年11 月
[9] 石志国.《信息安全概论》,清华大学出版社,2007 年6 月
[10] 贺雪晨.《信息对抗与网络安全》,清华大学出版社,2006 年7 月
[11] 吴文虎.《计算机与网络技术实用教程》,清华大学出版社,2007 年
[12] 朱建军.《网络安全防范手册》,人民邮电出版社,2007 年7 月
[13] 冯前进,李龙景.《计算机网络攻击与防范》,中国政法大学出版社,2008 年5 月
三种常用的网络安全技术
三种常用的网络安全技术 随着互联网的日渐普及和发展,各种金融和商业活动都频繁地在互联网上进行,因此网络安全问题也越来越 严重,网络安全已经成了目前最热门的话题,在运营商或大型的企业,每年都会在网络安全方面投入大量的资金 ,在网络安全管理方面最基本的是三种技术:防火墙技术、数据加密技术以及智能卡技术。以下对这三种技术进 行详细介绍。 1. 防火墙技术 “防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一 个安全网关( scurity gateway),而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。 防火墙有二类,标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站,该工作站的两端各接一个路 由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;另一个则联接内部网。标准防火墙使用专门的软 件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(dual home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway),它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的边疆,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。 随着防火墙技术的进步,双家网关的基础上又演化出两种防火墙配置,一种是隐蔽主机网关,另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。 2. 数据加密技术 与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据 被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前 各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加 密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴 别以及密钥管理技术四种。 (1)数据传输加密技术 目的是对传输中的数据流加密,常用的方针有线路加密和端——端加密两种。前者
网络安全技术第1章网络安全概述习题及答案
第1章网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机B.路由器C.服务器D.防火墙(4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击 2. 填空题 (1)网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)网络安全是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3)网络钓鱼是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。 (4)防火墙是网络的第一道防线,它是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的入侵, (5)入侵检测是网络的第二道防线,入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。
学习网络安全技术必备的一些网络基础知识.
学习网络安全技术必备的一些网络基础知 识 网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。网络可以构造地区性的网络、企事业内部网络、局域网网络,甚至家庭网络和个人网络。网络的根本特征并不一定是它的规模,而是资源共享,消除资源孤岛。 在现今各种云计算纷纭而至,各种移动终端也琳琅满目。但是,各种病毒木马也开始迎来了再一个春天。特别是在4G网络即将来临,云计算日趋成熟,信息化越来越普及的今天,网络安全,一个似乎久违了的话题再次被人们想起。 前几天看到一则消息说,已经流行起抓iPhone的鸡了。自己没去干过这档子事,信息的来源也不可靠,不知事实具体如何。不过就看来,这是相当可能的。 借此给大家普及一下学习网络安全技术的必备知识。仅作参考哈。 1、理解必要的网络模型。 学习网络安全,肯定要掌握网络模型的,这将有助于我们深层次地理解各种网络模型下,各层可能出现哪些安全隐患,以及相应的解决办法。在众多的模型中,尤其 要理解OSI、TCP/IP、Cisco和纵深防御网络模型。前两个可能大家还比较熟悉,Cisco和纵深防御大家接触的可能较少。之后阿驹的博客会对这 四个模型都做一定的解释。 2、理解第二层(链路层)相关问题。
包含冲突域、广播域、交换与集线、端口安全、生成树等等相关的知识。 3、理解第三层(网络层)相关的问题。 包括了IP路由协议;内部路由协议,如RIPv1/v2和OSPF;外部路由协议,如BGP、子网络/超网络(或者是更精确的无线网域路由);网络地址转换(NAT)和IPv6. 4、理解第四层(运输层)相关的问题。 这一层中应当理解TCP和UDP、会话的建立、报头和相关选项、端口地址转换(PAT)以及常用端口。 5、理解第五至七层(会话层、表示层、应用层)相关的问题。 这三层中包含的主要问题有应用漏洞、特洛伊/蠕虫/病毒、内容过滤和IDS/IPS/IDP。 要学习网络安全,必须学习网络,要学习网络,必须掌握以上所讲到的知识。
网络安全技术研究的目的、意义和现状
网络安全技术综述 研究目的: 随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。 研究意义: 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要 想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。 信息安全问题已成为社会关注的焦点。特别是随着Internet 的普及和电子商
网络安全技术的总结
网络安全技术的总结 计算机网络安全技术是指通过对网络的管理和控制以及采取一些技术方面的措施,以保证数据在网络中传播时,其保密性、完整性能够得到最大程度的保护。今天小编给大家找来了网络安全技术的总结,希望能够帮助到大家。 网络安全技术的总结篇一青少年的健康成长,关系到社会的稳定,关系到民族的兴旺和国家的前途。因此,教育和保护好下一代,具有十分重要的意义。中学阶段是一个人成长的重要时期,中学教育尤其是中学生安全教育的成败直接关系到一个人将来是否成为人才。 随着信息时代的到来,形形色色的网吧如雨后春笋般在各个城镇应运而生。它们中有一些是正规挂牌网吧,但多数是一些无牌的地下黑色网吧,这些黑色网吧瞄准的市场就是青少年学生。一些学生迷上网络游戏后,便欺骗家长和老师,设法筹资,利用一切可利用的时间上网。 有许许多多原先是优秀的学生,因误入黑色网吧,整日沉迷于虚幻世界之中,学习之类则抛之脑后,并且身体健康状况日下。黑色网吧不仅有学生几天几夜也打不“出关”的游戏,更有不健康、不宜中学生观看的黄色网页。 抓好中学生的网络安全教育与管理,保障中学生的人身财产安全,促进中学生身心健康发展,是摆在我们面前的一个突出课题。 针对这种情况,一是要与学生家长配合管好自己的学生,二是向有关执法部门反映,端掉这些黑色网吧,三是加强网络法律法规宣传教育,提高中学生网络安全意识,在思想上形成一道能抵御外来反动、邪恶侵蚀的“防火墙”。四是组织学生积极参与学校的安全管理工作,让中学生参与学校的安全管理工作是提高中学生安全防范意识的有效途径。最后,争取相关部门协作,整治校园周边环境,优化育人环境。 学校在加大对校园安全保卫力量的投入、提高保卫人员素质和学校安全教育水平的同时,要积极争取地方政府、公安机关的支持,严厉打击危害学校及中学生安全的不法行为,切实改善校园周边治安状况,优化育人环境。对校门口的一些摊点,
网络安全技术研究的目的、意义和现状
论文:网络安全技术综述 研究目的: 随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。 研究意义: 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要 想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
信息安全技术基础期末考点总结
4.信息安全就是只遭受病毒攻击,这种说法正确吗? 不正确,信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。 信息安全本身包括的范围很大,病毒攻击只是威胁信息安全的一部分原因,即使没有病毒攻击,信息还存在偶然泄露等潜在威胁,所以上述说法不正确。 5.网络安全问题主要是由黑客攻击造成的,这种说法正确吗? 不正确。谈到信息安全或者是网络安全,很多人自然而然地联想到黑客,实际上,黑客只是实施网络攻击或导致信息安全事件的一类主体,很多信息安全事件并非由黑客(包括内部人员或还称不上黑客的人)所为,同时也包括自然环境等因素带来的安全事件。 补充:信息安全事件分类 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件 设备设施故障、灾害性事件、其它事件 3.信息系统的可靠性和可用性是一个概念吗?它们有什么区别? 不是。 信息安全的可靠性:保证信息系统为合法用户提供稳定、正确的信息服务。 信息安全的可用性:保证信息与信息系统可被授权者在需要的时候能够访问和使用。 区别:可靠性强调提供服务的正确、稳定,可用性强调提供服务访问权、使用权。 5.一个信息系统的可靠性可以从哪些方面度量? 可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度,提供的服务是否正确。 7.为什么说信息安全防御应该是动态和可适应的? 信息安全防御包括(1)对系统风险进行人工和自动分析,给出全面细致的风险评估。(2)通过制订、评估、执行等步骤建立安全策略体系(3)在系统实施保护之后根据安全策略对信息系统实施监控和检测(4)对已知一个攻击(入侵)事件发生之后进行响应等操作保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化,没有一种技术可以完全消除信息系统及网络的安全隐患,系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。实现有效的信息安全保障,应该构建动态适应的、合理可行的主动防御,而且投资和技术上是可行的,而不应该是出现了问题再处理的被动应对。 4.什么是PKI?“PKI是一个软件系统”这种说法是否正确? PKI是指使用公钥密码技术实施和提供安全服务的、具有普适性的安全基础设施,是信息安全领域核心技术之一。PKI通过权威第三方机构——授权中心CA(Certification Authority)以签发数字证书的形式发布有效实体的公钥。 正确。PKI是一个系统,包括技术、软硬件、人、政策法律、服务的逻辑组件,从实现和应用上看,PKI是支持基于数字证书应用的各个子系统的集合。 5.为什么PKI可以有效解决公钥密码的技术应用? PKI具有可信任的认证机构(授权中心),在公钥密码技术的基础上实现证书的产生、管理、存档、发放、撤销等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范,以及为PKI体系中的各个成员提供全部的安全服务。简单地说,PKI是通过权威机构签发数字证书、管理数字证书,通信实体使用数字证书的方法、过程和系统。 实现了PKI基础服务实现与应用分离,有效解决公钥使用者获得所需的有效的、正确的公钥问题。
网络安全技术概述
网络安全技术概述 本质上讲,网络安全就是网络上的信息安全。从广义上来说,凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性得相关技术和理论都是网络安全的研究领域。 信息安全的技术主要包括监控、扫描、检测、加密、认证、防攻击、防病毒以及审计等几个方面,其中加密技术是信息安全的核心技术,已经渗透到大部分安全产品之中,并正向芯片化方向发展。 1信息加密技术 在保障信息安全各种功能特性的诸多技术中,密码技术是信息安全的核心和关键技术,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密文)的过程。假设E为加密算法,D为解密算法,则数据的加密解密数学表达式为:P=D(KD,E(KE,P)) 2数据加密技术 2.1数据加密技术 数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
链路加密是传输数据仅在物理层前的数据链路层进行加密,不考虑信源和信宿,它用于保护通信节点间的数据,接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。 与链路加密类似的节点加密方法,是在节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密节点处易受攻击的缺点。 端到端加密是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。端到端加密是在应用层完成的。在端到端加密中,除报头外的的报文均以密文的形式贯穿于全部传输过程,只是在发送端和接收端才有加、解密设备,而在中间任何节点报文均不解密,因此,不需要有密码设备,同链路加密相比,可减少密码设备的数量。另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息,由于网络传输中要涉及到路由选择,在链路加密时,报文和报头两者均须加密。而在端到端加密时,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此,只能加密报文,而不能对报头加密。这样就容易被某些通信分析发觉,而从中获取某些敏感信息。 链路加密对用户来说比较容易,使用的密钥较少,而端到端加密比较灵活,对用户可见。在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。
网络安全问题研究性课题报告
班级: 指导老师:组长: 组员:
课题研究涉及的主导科目:信息技术 课题研究涉及的非主导科目:语文数学 提出背景:随着计算机技术和网络技术的发展,网络已经逐渐走入我们平常百 姓家,网络也在也不是个陌生的字眼。大到企业办公,小到私人娱乐。网络正以其独特的魅力向世人昭示它的风采。但同时,网络安全问题也随之与来,在今天已经成为网络世界里最为人关注的问题之一危害网络安全的因素很多,它们主要依附于各种恶意软件,其中病毒和木马最为一般网民所熟悉。针对这些危害因素,网络安全技术得以快速发展,这也大大提高了网络的安全性。 研究目的:了解网络安全问题触发的原因、方式、后果及影响 研究意义:认识到网络安全的重要性,提高自我防范意识 研究目标:1、使广大青少年朋友对网络安全有一些初步的了解和认识。 2、通过宣传网络安全知识,使青少年朋友加强安全防范意识。 研究假设:同学们对网络安全不给予重视,网络安全问题迫在眉睫 研究内容: 1、触发网络信息安全问题的原因 2、我国的网络信息安全问题及政策建议 3、什么是网络安全 4、计算机网络安全的含义 5、常见的几种网络入侵方法 一、触发网络信息安全问题的原因 日益严重的网络信息安全问题,不仅使上网企业、机构及用户蒙受了巨大经济损失,而且使国家的安全与主权面临严重威胁。要避免网络信息安全问题,首先必须搞清楚触发这一问题的原因。归纳起来,主要有以下几个方面原因。
1.黑客的攻击。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段,因此黑客的攻击不仅“杀伤力”强,而且隐蔽性好。目前,世界上有20多万个黑客网站,其攻击方法达几千种之多。 2.管理的欠缺。网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA 的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。 3.网络的缺陷。因特网的共享性和开放性使网上信息安全存在先天不足,因为因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,但它仅是信息高速公路的雏形,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。 4.软件的漏洞或“后门”。1999年底保加利亚软件测试专家发现微软网络浏览器IE存在安全漏洞,它可以使不怀好意的网站管理人员入侵访问者的计算机文件,随后微软公司承认了这一事实。 5.人为的触发。基于信息战和对他国监控的考虑,个别国家或组织有意识触发网络信息安全问题。 二、我国的网络信息安全问题及政策建议 随着世界信息化和经济全球化的迅速发展,我国信息基础设施建设非常迅速。目前已经形成公用网、专用网和企业网三大类别的计算机网络系统,因特网已经覆盖200多个城市,并有3000多个政府数据库和1万多个企业数据库与该网连接。相应地,网络信息安全亦存在着相当大的隐患。1999年国家权威部门对国内网站安全系统测试结果表明,不少单位计算机系统都存在着安全漏洞,随时可能被黑客入侵。为更有效地保护我国的网络信息安全,应加强以下几个方面工作。 1.注重对黑客入侵的有效防范。针对我国已有3000多个政府数据库和1万多个企业数据库已与因特网连接,以及上网用户和连网计算机数目飞速增长的现实,应确实加强网络信息安全保护工作。对党政信息网和重要部门信息网应考虑加强技术安全保卫,诸如网络入侵预警、处理与防范工作等;对企业可考虑采取一定措施鼓励其采取给操作系统和服务器加装补丁程序,经常对网络进行扫描及其它相应措施,完善网络信息安全保护体系。
网络安全技术第1章网络安全概述习题及答案
网络安全技术第1章网络安全概述习题及答案 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
第1章网络安全概述 练习题 1.选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)Alice向Bob发送数字签名的消息M,则不正确的说法是( A ) 。 A.Alice可以保证Bob收到消息M B.Alice不能否认发送消息M C.Bob不能编造或改变消息M D.Bob可以验证消息M确实来源于Alice (3)入侵检测系统(IDS,Intrusion Detection System)是对( D )的合理补充,帮助系统对付网络攻击。 A.交换机B.路由器C.服务器D.防火墙(4)根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高局域网内安全性的措施是( D )。 A.使用防病毒软件B.使用日志审计系统 C.使用入侵检测系统D.使用防火墙防止内部攻击 2. 填空题 (1)网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。 (2)网络安全是指在分布式网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容遭到破坏、更改、泄露,或网络服务中断或拒绝服务或被非授权使用和篡改。 (3)网络钓鱼是近年来兴起的另一种新型网络攻击手段,黑客建立一个网站,通过模仿银行、购物网站、炒股网站、彩票网站等,诱骗用户访问。
2019网络与信息安全技术题库及答案
2019网络与信息安全技术题库及答案 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’)) 5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。 A.2128B.264 C.232 D.2256 10.Bell-LaPadula模型的出发点是维护系统的___,而Biba模型与Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信息的___问题。它们存在共同的缺点:直接绑定主体与客体,授权工作困难。 A.保密性可用性 B.可用性保密性 C.保密性完整性 D.完整性保密性 二、填空题(每空2分,共40分)
国家网络空间安全技术研究方向
网络与系统安全防护技术研究方向 1.1网络与系统安全体系架构研究(基础前沿类) 研究内容:针对网络大规模更新换代所面临的安全可信和管理问题,面向开放和互通的国家网络管理,研究网络和系统安全体系结构,重点研究以IPv6网络层的真实可信为基础的网络安全管理体系结构、关键机制和关键应用。针对未来多层次、动态、异构、差异度巨大的无线接入环境,研究新型无线网络安全接入管理机制。针对国际上新型网络与系统体系结构的发展,如软件定义网络和系统、网络功能虚拟化、命名数据网络和系统等,对其安全问题和安全机制进行前沿探索研究。 考核指标:提出IPv6网络安全管理体系结构中的信任锚点、真实可信的网络定位符和标识符机制,并制定国际标准;基于上述安全可信基础,提出兼顾国际开放互通与国家安全管理的IPv6网络安全体系结构,通过安全威胁模型检验该体系结构的安全性。提出IPv6安全管理体系结构下的关键机制,至少包括:兼顾用户隐私性、可验证性和可还原性的可信标识符认证、管理、追溯与审计机制,分级管理机制,网络监控和灵活路由机制等。完成一套IPv6安全管理体系结构、关键机制和关键应用的软硬件原型系统。基于国际学术网络合作、国内主干网、园区网(校园网或企业网),对上述原理机制和原型系统进行跨国、自治系统间、自治系统内、接入子网等多层次网络的试验验证。提出新型无线网络安全接入管理机制,研究适用在多维、异构的无线有线一体化融合网络中的信任锚点、真实可信的网络定位符和标识符机制,实现上述一体化融合网络的网络层真实可信;支持软件定义无线电,支持最新IEEE 802.11ac或802.11ax等新型无线接入技术;支持移动终端在至少2种无线网络间的安全接入选择、可信透明移动。提出SDN/NFV等新型组网技术和NDN等未来互联网体系下的安全可信问题的解决方案,提出并解决能够支持SDN/NFV和未来网络体系结构的可编程网络基础设施的安全问题,提出相关计算系统中的安全可信问题解决方法。完成安全体系结构相关国际标准3项以上,并获国际标准组织(IETF、ITU、IEEE等)立项或批准;申请国家发明专利15项以上。原理机制和原型系统需通过一定规模的真实网络试验验证,至少包括10个关键应用、10万IPv6用户。 1.2 面向互联网+的云服务系统安全防护技术(重大共性关键技术类) 研究内容:针对体系架构、关键技术、防护系统研制等方面开展云服务系统纵深安全防护技术研究。重点研究可定义、可重构、可演进的云服务安全防护体系架构;研究分析用户和业务安全等级差异,实现高效灵活的安全服务链和安全策略按需定制;研究专有安全设备硬件解耦技术,实现安全资源弹性扩展与按需部署;研究云数据中心内生安全机理,突破软件定义动态异构冗余、主动变迁等关键技术,实现对未知漏洞和后门威胁的主动防御;实现云环境虚拟密码服务模型构建,密码服务资源动态调度,密码资源安全迁移及防护等关键技术;研究虚拟资源主
《网络安全技术》课程介绍
《网络安全技术》课程介绍 本课程是计算机网络技术专业和信息安全专业的专业核心课,主要讲述计算机网络安全的相关内容。课程特点采用理论与实践相结合的方式对网络安全相关知识做了深入浅出的介绍。 下面从以下几方面介绍本门课程: (1)教学目标 通过本课程的学习,要求学生从理论上了解网络安全的现状,熟悉常用加密算法、数字签名技术、保密通信技术和计算机病毒的原理及基本的攻防技术。 从实践角度看,学生学完本课程之后能够对主机进行基本的安全配置、对Web服务器做基本的安全配置、掌握基本的攻防技术、掌握基本的VPN技术。 (2)本课程的教学覆盖面 本课程的教学覆盖范围包括保密通信、主机安全、Web安全、黑客与病毒、VPN。其中重度点内容包括:数字签名、主机安全配置、基本的攻防技术。课程难点内容包括:公钥密码的原理,web上SSL协议的实现。 (3)教学方法及组织形式 针对本门课程的特点,本课主要采用理论教学与实训教学相结合的教学方法,理论课上应用多媒体课件、动画及视频等多种媒体手段生动形象的描述有关知识,实训课上以专门的实训系统和安全靶机为平台,针对不同实训特点,采取分组实验,让学生真正接触并掌握网络安全的实践技能。 (4)授课对象 本门课的授课对象主要是高职高专的学生,因此所讲理论要求密切与实训结合。实训过程密切与生产结合。 (5)教材与参考资料 课程选用的教材是在吉林中软吉大公司出品的《网络综合教学实训系统——网络安全技术篇》基础上改编的校内教材,参考的文献主要包括清华大学出版的《计算机网络安全》、人民邮电出版的《计算机网络安全技术》等教材、中国知网等知名数据库中的论文,以及网上的一些相关资料。
网络安全基础知识汇总
网络安全基础知识汇总 一、引论 提到网络安全,一般人们将它看作是信息安全的一个分支,信息安全是更加广义的一个概念:防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施,说白了,信息安全就是保护敏感重要的信息不被非法访问获取,以及用来进一步做非法的事情。网络安全具体表现在多台计算机实现自主互联的环境下的信息安全问题,主要表现为:自主计算机安全、互联的安全(实现互联的设备、通信链路、网络软件、网络协议)以及各种网络应用和服务的安全。这里提到了一些典型的网络安全问题,可以来梳理一下: 1.IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(报文伪造、篡改)和路由攻击(中间人攻击); 2.DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量; 3.DoS攻击:单一攻击源发起的拒绝服务攻击,主要是占用网络资源,强迫目标崩溃,现在更为流行的其实是DDoS,多个攻击源发起的分布式拒绝攻击; 网络安全的三个基本属性:机密性、完整性与可用性,其实还可以加上可审性。机密性又叫保密性,主要是指控制信息的流出,
即保证信息与信息不被非授权者所获取与使用,主要防范措施是密码技术;完整性是指信息的可靠性,即信息不会被伪造、篡改,主要防范措施是校验与认证技术;可用性是保证系统可以正常使用。网络安全的措施一般按照网络的TCP/IP或者OSI的模型归类到各个层次上进行,例如数据链路层负责建立点到点通信,网络层负责路由寻径,传输层负责建立端到端的通信信道。 最早的安全问题发生在计算机平台,后来逐渐进入网络层次,计算机安全中主要由主体控制客体的访问权限,网络中则包含更加复杂的安全问题。现在网络应用发展如火如荼,电子政务、电子商务、电子理财迅速发展,这些都为应对安全威胁提出了挑战。 密码学在网络安全领域中的应用主要是机密性和身份认证,对称密码体制如DES,非对称密码体制如RSA,一般的做法是RSA保护DES密钥,DES负责信息的实际传输,原因在于DES 实现快捷,RSA相比占用更多的计算资源。 二、风险分析 风险分析主要的任务时对需要保护的资产及其受到的潜在威胁进行鉴别。首要的一步是对资产进行确定,包括物理资源(工作站、服务器及各种设备等)、知识资源(数据库、财务信息等)以及时间和信誉资源。第二步需要分析潜在的攻击源,如内部的员工,外部的敌对者等;第三步要针对以上分析指定折中的安全策略,因为安全措施与系统性能往往成反比。风险被定义为漏洞威胁,漏
第2章网络安全技术基础
第2章网络安全技术基础 1. 选择题 (1)SSL协议是()之间实现加密传输的协议。 A.物理层和网络层 B.网络层和系统层 C.传输层和应用层 D.物理层和数据层 (2)加密安全机制提供了数据的()。 A.可靠性和安全性 B.保密性和可控性 C.完整性和安全性 D.保密性和完整性 (3)抗抵赖性服务对证明信息的管理与具体服务项目和公证机制密切相关,通常都建立在()层之上。 A.物理层 B.网络层 C. 传输层 D.应用层 (4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务的是()。 A.认证服务 B.数据保密性服务 C.数据完整性服务 D.访问控制服务 (5)传输层由于可以提供真正的端到端的连接,最适宜提供()安全服务。 A.数据保密性 B.数据完整性 C.访问控制服务 D.认证服务 解答:(1)C (2)D (3)D (4)B (5)B 2. 填空题 (1)应用层安全分解成、、的安全,利用各种协议运行和管理。 解答:(1)网络层、操作系统、数据库、TCP/IP (2)安全套层SSL协议是在网络传输过程中,提供通信双方网络信息的性和性,由和两层组成。 (2)保密性、可靠性、SSL 记录协议、SSL握手协议 (3)OSI/RM开放式系统互连参考模型七层协议是、、、、、、。 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 (4)ISO对OSI规定了、、、、五种级别的安全服务。 对象认证、访问控制、数据保密性、数据完整性、防抵赖
(5)一个VPN连接由、和三部分组成。一个高效、成功的VPN具有、、、四个特点。 客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性 解答:(1)网络层、操作系统、数据库、TCP/IP (2)保密性、可靠性、SSL 记录协议、SSL握手协议 (3)物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 (4)对象认证、访问控制、数据保密性、数据完整性、防抵赖 (5)客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性 3.简答题 (1)TCP/IP的四层协议与OSI参考模型七层协议的对应关系是什么? Internet现在使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的协议族,这四层协议分别是:物理网络接口层协议、网际层协议、传输层协议和应用层协议。TCP/IP 组的4层协议与OSI参考模型7层协议和常用协议的对应关系如下图所示。 (2)简述IPV6协议的基本特征及与IPV4的IP报头格式的区别? TCP/IP的所有协议的数据都以IP数据报的形式传输,TCP/IP协议簇有两种IP版本:IPv4和IPv6。 IPv4的IP地址是TCP/IP网络中唯一指定主机的32位地址,一个IP包头占20字节包括IP版本号、长度、服务类型和其他配置信息及控制字段。IPv4在设计之初没有考虑安全性,IP包本身并不具有任何安全特性。
网络安全技术
1. 由于来自系统外部或内部的攻击者冒充为网络的合法用户获得访问权限的攻击方法是下列哪一项? A、黑客攻击 B、社会工程学攻击 C、操作系统攻击 D、恶意代码攻击我的答案:B 2. 在信息安全性中,用于提供追溯服务信息或服务源头的是哪一项? A、不可否认性 B、认证性 C、可用性 D、完整性我的答案:A 3. 下列哪项属于网络协议和服务的脆弱性 A、操作系统不安全 B、RAM被复制且不留下痕迹 C、www服务、pop、ftp、dns服务漏洞 D、搭线侦听电子干扰我的答案:C 4. __ 是对付嗅探器的最好手段。 A、数字签名技术 B、加密算法 C、三次握手 D、hash算法答案:B 5. 对于黑客攻击web 服务器的威胁,管理员可以在黑客与服务器主机之间建立防火墙,这种措施属于: A、风险规避 B、风险承担 C、风险转移 D、风险最小化答案:D 6. 网络中的服务器主要有________ 和 _______ 两个主要通信协议,都使用 ____ 来识别高层的服务。注:如添加英文则全部大写, 如:ABC,NET等。 第一空:UDP第二空:TCP第三空:端口号 简述黑客攻击的一般过程。 我的答案:踩点T扫描T查点T获取访问权T权限提升T获取攻击成
果—掩盖踪迹—创建后门黑客侵入Web站点的目的何在?我的答案:答:1、为了得到物质利益; 2、为了满足精神需求。分析扫描器的工作原理. 我的答案:答:对原稿进行光学扫描,然后将光学图像传送到光电转换器中变为模拟电信号,又将模拟电信号变换成为数字电信号,最后通过计算机接口送至计算机中。 分析缓冲区溢出的工作原理 我的答案:答:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的,造成缓冲区溢出的原因是程序没有仔细检查用户输入的参数。IP 欺骗的原理和步骤是什么. 我的答案:答:两台主机之间的是基于IP 地址而建立起来的,假如冒充其中一台主机的IP,就可以使用该IP下的账号登录到另一台主机上,而不需要任何的口令验证。 步骤:1、使被信任主机的网络暂时瘫痪,以免对攻击造成干扰; 2、连接到目标机的某个端口来猜测SN基值和增加规律; 3、把源地址伪装成被信任主机,发送带有SYN标志的数据段请求连接; 4、等待目标机发送SY N+AC包给已经瘫痪的主机; 5、再次伪装成被信任主机向目标主机发送ACK此时发送的数据段带有预测的目标主机的ISN+1; 6、连接建立,发送命令请求。
网络安全认证技术概述
网络安全认证技术概述 网络安全认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份,以保证通信的安全。一般可以分为两种: (1)身份认证:用于鉴别用户身份。 (2)消息认证:用于保证信息的完整性和抗否认性;在很多情况下,用户要确认网上信息是不是假的,信息是否被第三方修改或伪造,这就需要消息认证。 1.身份认证技术 认证(Authentication)是证实实体身份的过程,是保证系统安全的重要措施之一。当服务器提供服务时,需要确认来访者的身份,访问者有时也需要确认服务提供者的身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机网络系统是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说,保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定:一是根据你所知道的信息来证明你的身份(what you know),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(what you have),假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(who you are),比如指纹、面貌等。在信息系统中,一般来说,有三个要素可以用于认证过程,即:用户的知识(Knowledge),如口令等;用户的物品(Possession),如IC卡等;用户的特征(Characteristic),如指纹等。 现在计算机及网络系统中常用的身份认证方法如下: 身份认证技术从是否使用硬件来看,可以分为软件认证和硬件认证;从认证需要验证的条件来看,可以分为单因子认证和双因子认证;从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。下面介绍常用的身份认证方法。 (1)基于口令的认证方法
网络安全技术课后题及答案
(1) 1.狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。 2.信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。 3.信息安全的目标CIA指的是机密性、完整性、可用性。 4.1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护规划分准则》将计算机安全保护划分为以下5个级别。 (2) 1.信息保障的核心思想是对系统或者数据的4个方面的要求:保护(protect)、检测(detect)、反应(React)、恢复(Restore)。 2.TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台以提高整体的安全性。 3.从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件必要因素是系统和网络安全脆弱性层出不穷,这些安全威胁事件给internet带来巨大的经济损失。 4.B2 级,又叫做结构保护级别,要求所有系统中对象加上标签,给设备分配单个或多个安全级别。 5.从系统安全的角度可以把网络安全的研究内容分为两个大系统:攻击,防御. 第二章 (1) 1.OSE参考模型是国际标准化组织指定的模型,吧计算机与计算机之间的通信分成7个互相连接的协议层。 2.表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。 3.子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。 4.通过ICMP,主机和路由器可以报告错误并交换先关的状态信息。 5.常用的网络服务中,DNS使用UDP协议. (2) 1.网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。 2.TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口。 3.目前E-mail 服务使用的两个主要协议是:简单邮件传输协议和邮局协议。 4.Ping 指令是通过发送ICMP包来验证与另一台TCP/IP计算记得IP级连接、应答消息的接受情况将和往返过程的次数一起的显示出来。 5.使用“net user ”指令可查看计算机上的用户列表。 第四章 (1) 1.踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确性),确定攻击的时间和地点。 2.对非连续端口进行的,并且源地址不一致、时间间隔长而没有规律的扫描,称为“慢速扫描”。(2) 1.扫描方式可以分为两大类:“慢速扫描”和“乱序扫描”。 2.“被动式策略”是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。 3.一次成功的攻击,可以归纳成基本的五个步骤,但是根据实际情况可以随时的调整,归纳起来就是:“黑客攻击五部曲”,分别是:隐藏IP、踩点扫描、获得系统或管理员权限、种植后门、在网络中隐身。