网络与信息安全教程

关键词: 电子信息 教程 定义 网络

网络与信息安全教程(精选6篇)

篇1:网络与信息安全教程

网络与信息安全教程知识点总结

第一章 信息安全基础P1 第一节 信息安全基础知识P1网络信息安全的由来(网络信息安全上的致命弱点P1)、网络信息安全的定义(电子信息的安全、安全定义P1、电子信息的“有效性”P2)、网络信息安全的属性P2(完整性P2、可用性、机密性、可控性、可靠性、不可否认性P3)、网络信息安全的特征P3(整体的、动态的、无边界和发展的特征P3)

第二节 研究网络信息安全的必要性P4互联网的发展和安全挑战P4(Any to Any 的联网革命、网络的主要功能互联和共享P4、思科、David Evans P5、云计算的好处及安全问题P5)我国网络发展现状P7、我国网络信息安全现状P7(基础信息网络运行总体平稳,域名系统依然是影响安全的薄弱环节P7、网络设备后门、个人信息泄漏、黑客P9、手机恶意程序P11、黑客、钓鱼网站、在线交易P12、政府网站P12、国家级有组织攻击P13)研究网络信息安全的意义P14(习近平2016)

第三节 网络信息安全技术P5网络信息安全技术发展趋势P15、信息安全的技术体系结构P15(信息网络定义、OSI模型、开放式系统互联P15、信息系统结构、安全管理方法、OSI七层结构、信息安全技术要求、物理安全、系统安全、信息网络P15-16)

第四节 网络信息安全法律体系P17我国立法情况P17、相关的法律P17、行政法规P19、规章和规范文件P20 第二章 信息安全管理基础P22 第一节 信息安全的管理体系P22信息管理体系概念P22、信息安全管理的内容P22 第二节 信息安全管理实施过程——PDCA模型P23Shewhat(休哈特)、戴明环P23、P-建立信息安全管理体系环境&风险评估P23(启动器、范围和方针P23、风险评估系统性的方法、识别风险、评估风险、识别并评估风险的方法、为风险的处理选择控制目标与控制方式P24、获得最高管理者的授权批准、剩余风险P25)、D-实施并运行(任务)、C-监视并评审(检查阶段、执行程序、常规评审、评审、审核)P25A-改进(测量信息、不符合、纠正措施)P26 第三节 信息安全管理标准和策略P27信息安全管理标准(信息系统安全保护能力等级划分)P27、信息安全策略(定义P28、基本原则、最小特权、阻塞点、纵深防御、监测和消除最弱点连接、失效保护、普遍参与、防御多样化、简单化、动态化、网络系统需要制动P29-30)、信息安全策略内容(物理安全、系统管理、访问控制、资源需求分配、系统监控、网络安全管理、灾难恢复计划)P30-31 第四节 信息安全组织管理P31安全管理基本组织结构P32、信息安全人员管理(安全授权、安全审查、调离交接、安全教育)P32-

33、信息安全管理制度P33 第三章 信息安全等级保护与风险评估P34 第一节 信息安全等级保护制度P34信息安全等级保护管理(定义)P34、我国信息安全等级保护管理的重要性(国家信息安全„方法、意义)P34、信息安全等级的划分(自主保护级、指导保护级、监督保护级、强制保护级、专控保护级、国家监管政策)P35 第二节 信息系统安全等级保护实施P36实施的基本原则(明确责任、依照标准、同步建设、指导监督)P36、参与角色和职责(国家管理部门、信息主管部门、信息系统运营、使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商)P37、实施过程(系统定级、安全规划设计、安全实施、安全运行维护、系统终止)P37-39 第三节 信息系统安全等级确定P39信息系统和业务子系统(定义、内容)P39-40、决定信息系统安全保护等级的要素(受侵害的客体、对客体的侵害程度)P40、确定信息系统安全保护等级的步骤(八步)P41 第四节 信息系统安全等级保护要求P42安全保护能力等级划分(四级)P42、安全保护的基本要求(定义、内容)P42 第五节 信息系统安全风险评估P43信息安全风险评估的概念(定义、总体目标、目地)P43、评估模型(资产、资产价值、威胁、脆弱性、风险、残余风险、业务战略、安全事件、安全需求、安全措施)P44、评估流程(自评估、安全检查评估)P45 第四章 常见网络攻击技术P46 第一节 网络攻击概述P46攻击定义、网络攻击特点(被动和主动、远程和本地及伪远程、攻击扮演者)P46-

47、黑客(定义、黑客文化、黑客分级)P47-

48、网络攻击过程(步骤、隐藏IP、踩点扫描目标系统、攻击目标系统、种植后门、在网络中隐身)P48、网络攻击的发展趋势(六点)P49、网络攻击的应对策略(提高安全意识、使用防火墙软件、设置代理服务器、将防毒防黑做日常性工作、个人资料严密保护及备份、计算机网络最大威胁是人)P50-51 第二节 口令入侵P51概念(定义、字典穷举发)P51、入侵攻击方法(木马程序伪装、网络监听、窃取帐号破译帐号密码、直接入侵服务器)P52、防范(三种方法、口令设置)P53 第三节 网络监听P53概念(定义、网络监听工具)P53-

54、原理(监听耗CPU„响应速度出奇慢)P54、检测网络监听的方法(反应时间、观测DNS、利用ping模式、利用ARP数据包)P55、防范措施(逻辑或物理网络分段、交换式集线器代替共享式集线器、加密技术、划分VLAN)P56 第四节 扫描技术P57漏洞扫描(漏洞定义,有错是软件的属性、网络安全扫描技术)P57、端口扫描(端口定义、扫描技术、TCP connect扫描、IP段扫描、TCP反向ident扫描、FTP返回攻击)P58 第五节 拒绝服务攻击(DoS)P60概念(定义、拒绝服务源于几个原因原因)P50、常见攻击方式(TCP SYN Flooding、ICMP攻击、Fraggle)P60、DDos攻击(分布式拒绝服务攻击、Distributed Dos)P62 第六节 缓存溢出P62缓存溢出的概念(缓冲区)P62、缓存溢出的原理(C语言、分段错误)、缓存溢出攻击的目的P64、缓存溢出的保护方法(编写正确代码、非执行的缓冲区、程序指针完整性检查、数组边界检查、安装安全补丁)P64-65 第七节 特洛伊木马P65概念(定义、模式、分为客户端和服务端)P65-66、特点(隐蔽性和非授权性、操作权限)P66、常见的木马种类(破坏型、密码发送型、远程访问型、键盘记录木马、Dos攻击木马、代理木马、FTP木马、程序杀手木马)P66-68、防范(端口扫描、查看连接、检查注册表、查找文件)P68 第八节 欺骗攻击P68欺骗攻击的概念(定义、攻击方式)P68-69、IP欺骗(定义、原理、防范)P69、ARP欺骗(概念、种类、防范方法)P70-71、DNS欺骗(概念、工作原理、DNS欺骗的方法、防范)P71-72、Web欺骗(Web 概念、欺骗方式、防范方法)P73-74、电子邮件欺骗(概念、方法、防范措施)P75-76 第五章 信息保护技术P77 第一节 信息加密P77信息加密概述(核心技术、内容、被动攻击、主动攻击)P77、密码(概念、加密系统组成、密码类型)P78、加密算法(古典密码算法、对称加密算法、DES加密算法、AES加密算法、非对称加密算法RSA、背包密码、McEliece密码、Rabin、椭圆曲线、1971塔奇曼和麦耶、1977瑞斯特和夏米尔及阿德尔曼)P79-80 第二节 身份认证P81身份认证的概念(第一道设防)P81、身份认证基本方法(识别、认证)P82、认证方式(认证工具、EID、静态密码、智能卡、短信密码及其优点、动态口令及其组成)P82-84、USB KEY(两种模式、PKI)P85、生物识别(身体特征、行为特征)P85双因素编辑(两种认证方法组合)P85、虹膜认证(可靠、安全、精度、缺点)P85、身份认证技术(认证、授权、审计)P86 第三节 PKI技术P86 PKI概念(公匙基础实施、电子商务)P86、PKI的主要功能(组测管理、CA功能、签发证书、作废证书、证书的管理、数字证书、密匙生命管理、密匙产生、密匙备份和恢复、密匙更新、密匙归档)P87-89 第四节 数字签名P89 数字签名的概念P89-90、数字签名实现过程(认证、数字签名与验证过程、数字签名操作过程、数字签名的验证过程)P90-92 第五节 数字凭证P93 概念(内容)P93、数字凭证的类型和作用(个人凭证、企业凭证、软件凭证、数字证书可以解决以下问题)P93-94、工作原理P94 第六章 防火墙和入侵检测技术P95 第一节 防火墙技术P95防护墙的概念(定义、组成四部分P95、作用和目地P96)、防火墙的基本功能(访问控制及功能、双向NTA、用户策略、接口策略、IP与Mac地址绑定、可扩展支持计费、基于优先级的宽带管理、防御功能、用户认证、IC卡、Key等硬件)P97-98、防火墙的基本类型(包过滤型防火墙、代理服务器型防火墙、电路层网关、混合型防火墙、应用层网关、自适应代理技术)P98-99 第二节 防火墙的体系结构P99三种体系结构P99、双重宿主体系结构(堡垒主机)P100、屏蔽主机体系结构(单宿主堡垒主机、双宿主堡垒主机)P100-101、屏蔽子网体系结构(堡垒主机最易受侵)P101 第三节 防火墙的创建P102创建防火墙的步骤(六步)P102、制定安全策略(规则集、三个方面内容、网络服务访问策略、防火墙的设计策略、安全策略设计时考虑的问题)P102-103、搭建安全体系结构P103、制定规则次序(规则集)P103、落实规则集(规则集包含12个方面、切换默认、允许内部出网、添加锁定、丢弃不配平的信息包、丢弃并不记录、允许DNS访问、允许邮件访问、允许Web访问、阻塞DMZ、允许内部的POP访问、强化DMZ的规则、允许管理员访问)P103-104、注意更换控制、做好审计工作(建立规则集后,检测是否安全)P104 第四节 攻击检测技术概述P104攻击检测技术的概念(定义、最基本防线)P104、攻击检测原理(分为实时攻击和事后攻击)P104-105、攻击检测系统的功能(六种)P106 第五节 入侵检测技术P106入侵检测的概念(定义、内容)P106、入侵检测的功能(动态安全技术、静态安全防御技术、第二道安全闸门)P106-107、入侵检测技术的分类(两类、基于标志、异常情况、知识库)P107、入侵检测的过程(步骤、入侵信息的收集及内容、信号分析技术手段、模式匹配、统计分析、完整性分析)P107-108、入侵检测响应(主动响应、被动响应)P109 第七章 安全恢复技术P110 第一节 容灾P110容灾概述(定义、等级、本地容灾、异地数据冷备份、物理介质、异地数据热备份、异地应用级容灾、容灾与备份的关系)P110-111、容灾技术(数据备份技术、主机备份、网络备份、专有存储网络备份、LAN-Free、Server-Free、数据恢复技术、同步数据复制和异步数据复制、灾难检测技术、心跳技术、心跳信号、系统迁移技术)P111-113、容灾备份(SAN或NAS、远程镜像技术、快照技术、互联技术、早期的主要数据中心)P113-114 第二节 数据备份P114数据备份概述(磁带格式、目的)P114、数据备份策略(完全备份、数量备份、差分备份)P114-115 第三节 应急响应P115应急响应的定义(定义、网络安全应急响应、重要性、安全应急响应体系)P115-116、应急响应的任务和目标(两项任务、两个目标、事故责任、法律问题)P116、我国当前的应急处理体系(三个层面、国家级政府、国家级非政府、地方级非政府、CNCERT/CC、IDC)P116-117、应急处理(分为六阶段、准备、确认、遏制、根除、恢复、跟踪)P117-118 第四节 灾难恢复P118灾难恢复定义(定义及目的)P118、灾难恢复的种类(个别文件恢复、全盘恢复、重定向恢复)P118、灾难恢复的步骤(切断入侵的访问控制、复制一份被侵入的系统、分析入侵途径、遗留物分析、网络监听工具、特洛伊木马、安全缺陷攻击程序、后门、其他工具、检查网络监听工具、评估入侵影响重建系统、清理遗留恢复系统)P119-120 第八章 系统安全P121 第一节 操作系统与计算机安全P121基本概述(定义、计算机包括硬件和软件、操作系统、DOS、windows、UNIX、Linux)P121、普通操作系统(功能、用户鉴别、内存保护、普通客体分配和访问控制、实行共享、保证公平服务、进程间通信和同步)P121-122、可信操作系统(安全操作系统、安全特征、用户识别和鉴别、计算机安全基础、强制访问控制、自主访问控制、DAC、全面调节、对象重用保护、可信路径、可确认性、审计日志归并、入侵检测)P122-124、操作系统安全等级和评价标准(TCSEC、四类等级、D最小保护等级、C任意保护级、B必需的、强制保护级、A被核实的验证保护级、操作系统安全分为五级)P124-125、操作系统的安全机制(包括硬件安全机制、操作系统的安全识别和鉴别、访问控制、最小特权管理和可信通路、自主访问控制、强制访问控制)P125-127 第二节 Windows系统安全P127Windows系统的安全特性(活动目录、ESS、文件服务、加密文件系统、NTFS、存储服务、RSS、数据和通信安全、安全性、Kerberos、公用密匙体制、企业和单位的安全登录、易用的管理性和高扩展性、二次登录)P127-130、windows系统帐号管理(账户种类、活动目录用户帐户、管理员帐户和客户帐户、预定义帐户、禁用客户账户、更改管理员账户名、计算机账户、创建用户和计算机账户、更改系统管理员账户、账户密码策略、设置密码历史要求安全目标、设置密码最长及最短使用期限、设置最短密码长度、设置密码复杂性要求、启用密码可逆加密)P130-133、windows系统资源安全管理(文件系统安全、分布式文件系统、DFS、共享权限的修改、注册表安全、关闭无用的服务项目)P133-137、windows系统网络安全管理(系统补丁、禁止建立空链接、ⅡS设置)P137-138 第三节 UNIX系统安全P139UNIX系统安全特性(发展历史、肯汤姆逊、安全)P139-140、UNIX系统的帐号管理(用户帐号基本概念、用户名、口令、用户ID、组ID、用户信息、主目录、用户Shell、影子文件、组文件、组影子文件、帐号分类)P140-143、UNIX系统的文件权限管理(UNIX文件权限设置、特殊访问位、SUID与SGID、SUID程序的安全问题、粘着位、文件管理常用命令)P143-146 第四节 数据库系统安全P147数据库特点P147、数据库系统安全的概念(数据库安全控制、数据系统分为两部分、系统运行安全和系统信息安全、数据库系统的安全需求、物理完整性逻辑完整性、保密性、可用性)P147-148、数据库系统的安全机制(用户标识与鉴别、存取控制、DBMS、视图机制与授权机制、数据库审计、数据库加密)P148-151、数据库加密技术(六个要求)P151-152、常见数据库攻击和防范技术(密码攻击、溢出攻击、SQL注入攻击)P152-153、数据库的备份和恢复(数据库故障及种类、事物内部故障、系统故障、介质故障、计算机病毒、数据库备份、冷备份、脱机备份、热备份、联机备份、逻辑备份、数据库恢复、基于备份的恢复、基于运行时日志的备份、基于镜像数据库的备份)P153-156 第九章 互联网信息内容安全管理P157 第一节 互联网信息内容安全管理概述P157背景和概念(定义、习近平)P157、国际经验分析(立法特点、行政、信息过滤、网络实名制、内容分级制、社会监督和举报机制、政府指导、税收政策、行业自律、少干预重自律、习近平关于网络安全和信息化讲话)P158-161、我国信息安全历史发展(国务院办公厅《进一步加强互联网管理工作》)P161-162 第二节 禁止在互联网上传播的信息内容P162反对宪法所确定的基本原则的内容(宪法定义及基本原则)P162、危害国家安全„„破坏国家统一的内容(刑法中关于互联网罪名)P163、煽动民族„„破坏民族团结的内容P163、破坏国家宗教„„封建迷信的内容(宗教政策)P163、散布谣言„„社会稳定的内容(造谣目地、划分)P164、散布淫秽„„教唆犯罪的(色情传播主要渠道、网络赌博)P164-165、侮辱或诽谤„„权益的(侮辱、诽谤)P166、网络诈骗(定义、特点)P166-167、侵犯知识产权(网络著作权、侵权表现、网络商标权)P167-169 第三节 互联网信息内容安全监管体系P169我国互联网监管体系模式(政府主导型监管及必要性、主要手段、立法)P169-170、公安机关在信息安全管理中的职责(侦查权、监察权、网络监察中的问题及工作发展趋势)P171-173、通信管理部门(监管职权、履行措施)P173-174、新闻和出版管理部门(国务院新闻办公室、新闻出版总署)P174、文化主管部门(各级职责)P174-175、广播电视行政部门(职责)P175、道德自律P175-176 第四节 互联网信息服务商的内容安全管理责任P176概述(不得从事的行为、安全保护职责、管理责任)P176-177、信息发布、审查、等级制度(法律法规禁止的内容、互联网单位分类)P176-178、特定服务商的安全管理责任(电子公告服务提供者、BBS、互联网基础运营企业的责任、网络游戏经营单位、电子邮件服务提供者)P178-180、安全管理人员的岗位责任制度(安全管理责任人、信息审核员、信息管理员)P181、互联网内容过滤技术(过滤软件、网络内容分级系统)P181-182 第五节 互联网上网服务营业场所安全管理P182互联网上网服务营业场所存在主要问题(4部分)P182-183、互联网上网服务营业场所管理现状(管理主体及其职责分工、文化部门、公安部门、工商部门、电信部门、开业审批管理、宏观管理措施、日常监督管理)P183-185、互联网上网服务营业场所定位、监控和管理P186、互联网上网服务营业场所长效管理机制(重要手段、重要保障、重要方面、重要环节、重要力量)P186-188 第十章 信息化形势下国家秘密信息的保护P189 第一节 信息化条件下国家秘密信息保护概述P189信息化条件下国家秘密信息保护概述(保密定义与保密工作)P189、国家秘密信息的概念与特征(三要素)P190、信息化条件下国家秘密信息的表现形式(涉密载体、纸介质涉密载体、关介质涉密载体、电磁介质涉密载体、磁介质涉密载体、与传统介质的区别)P190-191 第二节 信息化对国家秘密信息保护的影响P191信息基本属性、保障信息的安全P191、保密工作面临的形势(外部形势、新特点、更加明确、更加多元、更加广泛、更加多样、更加先进)P191-192、保密工作面临的内部形势(涉密主体、涉密载体、涉密利益)P192-193、近期窃密泄密案件的主要特点(情况特点、突出问题、保密管理规定)P193-194 第三节 我国国家秘密保护的立法现状及存在的问题P194我国的国家秘密信息保护立法现状(刑法中规定„„相关条款)P194-195、主要法律法规(保密法、网络环境的新特点)P195-196、我国国家秘密信息保护存在的问题(主要体现、信息保密法律规定有待具体化、保密监督检查有待加强、保密技术水平有待提高、涉密部门的防范意识有待提高)P196-197 第四节 加强国家安全法治建设P197依法治国P197、依法维护国家安全(全面推进依法治国的总目标、习近平指出„„要求我们一要„„二要„„三要„„四要„„五要„„、依法治国的重要意义)P197-199、依法治国为网络安全护航(网络安全与法治化是建设网络强国的前提、网络法治化、让法治为网络安全护航、网络被称为„„、《网络安全法草案》)P19--200

篇2:网络与信息安全教程

B普遍参与

C纵深防御

D简单化

2.()是指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象,从而使追查者误以为攻击者是来自外单位。(单选)A被动攻击

B伪远程攻击

C远程攻击

D本地攻击

3.为了实现(),所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。(单选)A编写正确的代码

B非执行的缓冲区技术

C程序指针完整性检查

D数组边界检查

4.现代密码中的公共密钥密码属于()。(单选)A对称式密码

B非对称式密码

C静态的密码

D不确定的密码

5.通常的拒绝服务源于以下几个原因()。(多选)A资源毁坏

B资源耗尽和资源过载

C配置错误

D软件弱点

6.防火墙的主要功能有()。(多选)A访问控制

B防御功能

C用户认证

D安全管理

7.目前针对数据库的攻击主要有()。(多选)A密码攻击

B物理攻击

C溢出攻击

DSQL注入攻击

8.定级是一项专业性较强的基础性工作,系统定级阶段的顺利进行与否关系到整个信息系统的后续建设。(判断)正确 错误

9.目前的网络攻击主要是攻击者利用网络通信协议本身存在的缺陷或因安全配置不当而产生的安全漏洞进行网络攻击。(判断)正确 错误

10.数据加密算法有很多种,密码算法标准化是信息化社会发展的必然趋势,是世界各国保密通信领域的一个重要课题。(判断)正确 错误 11.允许访问除明确拒绝以外的任何一种服务,指防火墙将系统中确定为“不许可”的服务拒绝,而允许其他所有未做规定的服务。(判断)正确 错误

12.云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。(填空)13.信息安全策略主要包括物理安全策略、系统管理策略、访问控制策略、资源需求分配策略、系统监控策略、网络安全管理策略和灾难恢复计划。(填空)14.涉密载体是指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、光介质、电磁介质等各类物品。(填空)15.九类不准在互联网上制作、复制、发布、传播的内容是什么?(简答)(一)反对宪法所确定的基本原则的内容;

(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的内容;(三)煽动民族仇恨、民族歧视,破坏民族团结的内容;(四)破坏国家宗教政策,宣扬邪教和封建迷信的内容;(五)散步谣言,扰乱社会秩序,破坏社会稳定的内容;

(六)散步淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的内容;(七)侮辱或者诽谤他人,侵害他们合法权益的内容;(八)网络诈骗;

篇3:网络信息安全与防范

网络信息安全可以分为网络安全和信息安全两个层面的内容, 网络安全主要是指整个信息的网络硬件和运行的服务安全, 即网络的硬件平台、运行的操作系统、传递的应用软件, 在传递过程中的过程中, 不受到各种影响到导致损坏、失灵等。而信息安全主要是指, 在网络传递的过程中, 网络传递的数据内容稳定、完整、保密、可用性和可控性。

在当前计算机网络已经成为人们相互沟通、信息资源交换、数据信息交换、信息共享等内容的主要工具, 由于计算机网络具有共享性、开放性以及互联性等特点, 其很容易受到计算机网络病毒、黑客、恶意软件等人为的控制和更改, 更有甚至数据被破坏、损坏的情形经常发生, 因此对于计算机网络的安全管理是当前人们所需要重视的内容。计算机网络信息安全控制技术是对计算机数据、传输中的资源进行保护的重要方法。

1 网络信息安全的内容

网络信息安全的内容主要可以分为硬件、软件、服务、数据类四个方面的问题, 其中数据安全是最为重要和关键的。硬件安全主要是指包括计算机硬件在内的设备的安全, 在保证他们硬件设备不受到各种侵害而损坏。

软件安全主要是指, 计算机软件在运行过程中不收到网络中个各种软件篡改或者破坏, 除了会直接影响到软件的正常使用, 还有可能会影响到整个数据的正常运行。

服务安全主要是指, 网络在传递信息的系统之间所交流的信息能够实现完整传递的过程, 在当网络系统发生设备故障、传递数据错误等情况下, 网络系统能够及时发现并进行错误预警, 改变当前传递的状态, 以保障整个网络系统的安全、稳定。

数据安全主要是指络在传递各种存储信息以及数据流的过程中的安全。在数据传递过程中, 由于传递过程不可预计, 传递的位置有可能实时变化, 因而传递过程中数据有可能会被网络中存在的病毒篡改、损坏、解密、复制、显示等, 而这些是数据安全需要保障网络安全最根本的目的。

2 网络信息安全的目标

网络信息安全的目标主要指的是网络信息在传递网络数据过程中, 计算机网络信息是保密、完整、可用、可控而且是可审查的。只有这样数据才能够真正在使用过程中达到预期的效果。

网络信息安全的需求分析

1 网络信息安全的基本需求

实现网络信息安全最基本的要求是实现网络成功运行的基础之上, 还能够对网络所传递的信息、数据进行更好的安全保护。

要实现这样的网络基本要求, 不但网络需要能够抵御网络攻击者的攻击、而且还能够及时防御、跟踪、判断攻击者对网络的攻击意图和攻击方法。通过多种方式检测、处理传输的网络信息不被截取或者复制。

2 网络系统的安全需求

网络系统和普通的网络应用软件是不同的, 网络系统是整个网络数据传递和接收的核心, 其主要控制着计算机对于网络访问控制、数据安全、信息监测、入侵防范等多种高级网络安全管理措施。

这些措施大都属于网络管理的底层部分安全保护措施, 一旦被入侵者攻陷, 则可能导致整个网络被侵入, 甚至导致整个网络瘫痪或者网络中各个计算机都难以幸免。因此对于网络系统的安全需求属于网络管理的最核心的一道防线。

3 Internet服务网络的安全需求

Internet服务网络主要分为两大部分:提供网络用户对Internet的访问:提供Internet对网内服务的访问

网络内部用户对Internetd访问和被访问主要是通过用户对于某些Internet的内容进行处理, 而这样的操作有可能会出现病毒的引入、木马的植入、危险的程序代码、电子邮件被感染等多种内容影响网络安全。例如:熊猫烧香病毒, 最初就是通过网络电子邮件、图片等进行传递而迅速感染传染整个局域网络的。

Internet安全需求主要是通过保护整个网络不受到破坏, 在同时能够保证网络服务的可用性和可控性。作为整个信息网络之间的保护策略, 其应当能够保证信息网络之间的安全互连、数据连接、以及信息传递的过程, 一旦出现故障, 网路之间迅速能实现网络安全隔离和屏蔽;对于专有应用安全服务;对于必要的传输信息交互的可信任性提供相应支持;而且能够提供对于主流网络应用 (如WWW、Mail、Ftp、Oicq和NetMeeting等) 良好支持, 并能够实现安全应用;同时信息网络公共资源能够对开放用户提供安全访问;对网络安全事件的审计;对于网络安全状态的量化评估;对网络安全状态的实时监控;

4 安全管理需求分析

网络安全可以采用多种技术来增强和执行, 但是, 很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以下途径:系统实现存在的漏洞;系统安全体系的缺陷;使用人员的安全意识薄弱;管理制度的薄弱。

网络信息安全技术分析

从网络安全控制的技术上看, 要真正解决网络信息安全技术是不可能的, 网络信息截获加密解密的之间的攻防战将会持续的发展。而为了保护网络数据安全, 网络安全控制技术在近年来得到了人们的关注和发展。网络安全控制技术是一种新型信息保障技术, 它是通过多种先进技术的合成而形成了一种新型信息加密和保护的策略。其中包含着生物识别、网络防火墙、数据加密解密、入侵防护、检测、覆盖、漏洞扫描修复、安全级别的审核以及动态文件防护技术等。

网络信息安全主要是通过操作系统以及对网络的安全设置、防火墙、杀毒防毒软件以及网络互连设备的管理, 通过对整个输入输出信息的严格控制和管理, 并通过对网络中所有安装设置进行数据监测、数据审核, 做出评估和分析, 最后得出网络信息是否安全的报告, 对不合格数据进行数据拦截、数据处理, 以及做出相应的补救措施, 由此有效的防止黑客的入侵和病毒扩散。

从网络安全控制技术上看, 其是一种主动防御、主动加密的计算机应用技术, 它不但可以通过主动监控的方式, 保证网络中的信息传递安全, 而且能够将信息通过加密和传递保护的方式进行数据的处理, 因而从本质上它能够解决各类的信息问题。例如, 虚拟专用网络 (Virtual Private Network, 简称VPN) 指的是在公用网络上建立专用网络的技术。它主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是架构在公用网络服务商所提供的网络平台。VPN通过加密和数据安全方式保证了数据在传递过程中, 不是以明文的传递方式, 而更多的采用的是数据加密和解密, 进而保证了数据信息安全。

总结

篇4:网络信息安全与防范

关键词 网络安全 信息网络 网络技术

中图分类号:TP393.08 文献标识码:A

1网络信息安全威胁及表现形式

随着计算机网络技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一,从而构成了对网络安全的迫切需求。

计算机网络具有组成形式多样性、终端分布广泛性、网络的开放性和互联性等特征,这使得网络容易受到来自黑客、恶意软件、病毒木马、钓鱼网站等的攻击。常见的网络信息安全威胁形式主要有自然灾害、软件漏洞和软件后门、黑客威胁攻击、垃圾邮件、计算机犯罪和计算机病毒等等形式。

1.1自然灾害

计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。

1.2网络软件的漏洞和“后门”

网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。

1.3黑客的威脅和攻击

这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、钓鱼网站的欺骗技术和寻找系统漏洞等。

1.4垃圾邮件和间谍软件

一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。

1.5计算机犯罪

计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长,使得针对计算机信息系统的犯罪活动日益增多。

1.6计算机病毒

20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。

2网络信息安全防范策略

2.1防火墙技术

防火墙,是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指位于计算机和它所连接的网络之间的硬件或软件,也可以位于两个或多个网络之间。通过防火墙可以对网络之间的通讯进行扫描,关闭不安全的端口,阻止外来的DoS攻击,封锁特洛伊木马等,以保证网络和计算机的安全。

2.2数据加密技术

加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。私匙加密又称对称密匙加密。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建加密一条有效的消息。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙:一个用于加密信息;另一个用于解密信息。

2.3访问控制

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权、授权核查、日志和审计。它是维护网络安全,保护网络资源的主要手段,也是对付黑客的关键手段。

2.4防御病毒技术

随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。病毒的侵入必将对系统资源构成威胁,因此用户要做到“先防后除”。很多病毒是通过传输介质传播的,因此用户一定要注意病毒的介质传播。在日常使用计算机的过程中,应该养成定期查杀病毒的习惯。用户要安装正版的杀毒软件和防火墙,并随时升级为最新版本。还要及时更新windows操作系统的安装补丁,做到不登录不明网站等等。

3信息安全问题走向

我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交错的学科领域,它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。

总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法規等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。

参考文献

[1] 袁春,信息安全原理与应用 电子工业出版社 2010

[2] 刘宝旭,黑客入侵防护体系研究与设计[期刊论文].计算机工程与应用. 2001(8).

[3] 温世,让计算机网络信息安全认识与防范 2000

[4] 壬渤,信息网络的安全与防泄密问题探讨 2002

[5] 雷震甲,网络工程师教程 2004

[6] 陈巍,JOURNAL OF HUNAN UNIVERSITY OF SCIENCE AND ENGINEERING 2010,31(7)

[7] 南湘浩,网络安全技术概论 北京国防工业出版社 2003

篇5:网络与信息安全教程

信息时代的来临,让越来越多人开始注意到对于信息的安全保护。信息安全即是指保证信息的真实性、完整性和安全性。在网络环境下想要保证信息安全,关键是要把信息安全体系的重要作用发挥好。网络安全体系包含着计算机安全操作系统、各种安全协议和安全机制,对于保障信息网络环境下的各类信息安全都有着重要影响。保障信息安全,有利于各项活动的顺利开展,对于人身、社会安全都起到一定的保障作用[2]。

1.2网络安全

随着网络技术的不断发展,人们的日常生活中已经不能离开网络技术的参与,而想要更好发挥网络技术的作用,就需要保障其安全。网络安全主要是指保护网络系统的各种硬件、软件以及其中系统内部的各种数据,保证这些系统和数据不会因为一些恶意软件的侵害而遭到破坏和泄露,达到确保网络服务连续不断地进行工作、网络系统正常可靠地运行的目标。网络安全是需要不断对其进行维护工作的,主要通过采取各种技术和保障措施,保证网络系统中信息数据的完整机密[3]。

1.3网络空间安全

篇6:网络与信息安全教程

以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。

I.设定匿名FTP

A.FTP daemon

网站必须确定目前使用的是最新版本的FTP daemon。

B.设定匿名FTP的目录

匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加档案(例如:.rhostsn)或修改其它档案。许多网站允许使用root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system,并限定存取权(如chmod 0755),如此只有root有写入的权力,这能帮助你维持FTP服务的安全。

以下是一个匿名ftp目录的设定范例:

drwxr-xr-x 7 root system 512 Mar 1 15:17 ./

drwxr-xr-x 25 root system 512 Jan 4 11:30 ../

drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/

drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/

drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/

所有的档案和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的档案,应该像上面范例中的目录做相同的保护。这些档案和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外,也必须防止写入。

C.使用合适的密码与群组档案

我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码档案或将系统中 /etc/group 做为 ~ftp/etc目录中的群组档案。在~ftp/etc目录中放置这些档案会使得入侵者取得它们。这些档案是可自定的而且不是用来做存取控制。

我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的档案。这些档案必须由root所拥有。DIR命令会使用这代替的档案来显示档案及目录的拥有者和群组名称。网站必须确定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些档案应该仅仅包含需要显示的FTP阶层架构中档案与目录的拥有者与所属群组名称。此外,确定密码字段是”整理“过的。例如使用「*」来取代密码字段。

以下为cert中匿名ftp的密码档案范例:

ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::

cops:*:3271:20:COPS Distribution::

cert:*:9920:20:CERT::

tools:*:9921:20:CERT Tools::

ftp:*:9922:90:Anonymous FTP::

nist:*:9923:90:NIST Files::

以下为cert中匿名ftp的群组档案范例:

cert:*:20:

ftp:*:90:

II.在你的匿名ftp提供可写入的目录

让一个匿名ftp服务允许使用者储存档案是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统档案灌报造成denial of service问题。

本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。

A.修正过的FTP daemon

假如你的网站计划提供目录用来做档案上传,我们建议使用修正过的FTP daemon对档案上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:

1.限定上传的档案无法再被存取, 如此可由系统管理者检测后,再放至于适当位置供人下载。

2.限制每个联机的上传资料大小。

3.依照现有的磁盘大小限制数据传输的总量。

4.增加登录记录以提前发现不当的使用。

若您欲修改FTP daemon, 您应该可以从厂商那里拿到程序代码,或者您可从下列地方取得公开的FTP程序原始码:

wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd

ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd

gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z

CERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书,

要使用何种FTP daemon由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前,能做一个彻底的评估。

B.使用保护的目录

假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon, 我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用, 不过许多FTP站仍使用此方法。

为了保护上层的目录(~ftp/incoming),我们只给匿名的使用者进入目录的权限(chmod751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称, 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名,并上传档案)

drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/

drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/

很重要的一点是,一旦目录名被有意无意的泄漏出来, 那这个方法就没什么保护作用。只要目录名称被大部分人知道, 就无法保护那些要限定使用的区域。假如目录名被大家所知道, 那你就得选择删除或更改那些目录名。

C.只使用一颗硬盘

假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的档案系统。可以的话,将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/incoming), 如此便可知道开放上传的目录是否有问题。

III.限制FTP用户目录

匿名FTP可以很好地限制用户只能在规定的目录范围内活动,但正式的FTP用户默认不会受到这种限制,这样,他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用户读取的文件。

如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢?以下我们以red hat和wu-ftp为例做一介绍。

1 创建一个组,用groupadd命令,一般可以就用ftp组,或者任何组名。

-----相关命令:groupadd ftpuser

-----相关文件:/etc/group

-----相关帮助:man groupadd

2 创建一个用户,如testuser,建立用户可用adduser命令。如果你已在先前建立了 testuser这个用户,可以直接编辑/etc/passwd文件,把这个用户加入到ftpuser这个组中。

-----相关命令:adduser testuser -g ftpuser

-----相关文件:/etc/passwd

-----相关帮助:man adduser

3 修改/etc/ftpaccess文件,加入guestgroup的定义:guestgroup ftpuser我是这样改的,加的是最后5行:

compress yes all

tar yes all

chmod no anonymous

delete no anonymous

overwrite no anonymous

rename no anonymous

chmod yes guest

delete yes guest

overwrite yes guest

rename yes guest

guestgroup ftpuser

除了加 guestgroup ftpuser 这行,其他4行也要加上,否则用户登陆后,虽然可以达到用户不能返回上级目录的目的,但是却只能上传,不能覆盖、删除文件!

-----相关命令:vi /etc/ftpaccess

-----相关文件:/etc/ftpaccess

-----相关帮助:man ftpaccess,man chroot

4 向这个用户的根目录下拷贝必要的文件,拷贝ftp server自带的目录,把 /home/ftp/下的bin,lib两个目录拷贝到这个用户的根目录下,因为一些命令(主要是ls)需要Lib支持,否则不能列目录和文件。

-----相关命令:

cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser

5 另外可别忘了关掉用户的telnet权,否则就白做了噢。怎么不让用户telnet呢?很简单:在/etc/shells里加一行/dev/null,然后可以直接编辑/etc/passwd文件,把用户的shell设置为/dev/null就可以了。

-----相关命令:vi /etc/passwd

这一步可以在步骤2 创建一个用户时就先做好。

-----相关命令:adduser testuser -g ftpuser -s /dev/null

小经验:只要把/home/ftp下的bin和lib目录cp到/etc/skel目录里,以后新建用户都会自动把bin和lib目录CP到用户目录里,当然你也可以加上public_html目录和cgi-bin目录。

经过以上设置,testuser这个用户的所有FTP动作将限制在他的/home/testuser目录中。

注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:66553826@qq.com

上一篇:和田市国土资源局网络与信息系统安全管理责任制 下一篇:网络与信息安全学院