欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    网络与信息安全优质资料.doc

    • 资源ID:91712669       资源大小:2.81MB        全文页数:203页
    • 资源格式: DOC        下载积分:19金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要19金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    网络与信息安全优质资料.doc

    网络与信息安全优质资料(可以直接使用,可编辑 优质资料,欢迎下载)1. ()是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及PPP(点对点协议)连接的限制。 (单选 )D A、防火墙的设计策略B、审计工作C、规则次序D、网络服务访问策略2. ()是指一种将内网和外网分开的方法,是在内部网和外部网之间实施安全防范的系统,它实际上是一种隔离技术,同时也是一种访问控制机制,能够限制用户进入一个被严格控制的点。 (单选 ) A、防火墙B、信息保护技术C、互联网信息内容安全管理D、安全恢复技术1. PDCA中的P是指()。 (单选 ) A、建立信息安全管理体系环境和风险评估B、实施并运行C、监视并评审D、改进1. ()的实质是任何实体仅拥有该主体需要完成其被指定任务所必需的特权,此外没有更多的特权。 (单选 ) A、最小特权原则B、建立阻塞点原则C、纵深防御原则D、监测和消除最弱点连接原则3. ()的优点是节省了磁带空间,缩短了备份时间。缺点在于当灾难发生时,数据的恢复比较麻烦。 (单选 )A、完全备份B、增量备份C、网络备份D、差分备份2. ()的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。 (单选 ) A、特洛伊木马B、网络监听C、扫描技术D、缓存溢出3. ()分为身体特征和行为特征两类。 (单选 ) A、动态口令B、生物识别C、双因素编辑D、USB KEY2. ()和边界检查相似,它在程序指针被引用之前首先检测到它的改变。 (单选 ) A、编写正确的代码B、非执行的缓冲区技术C、程序指针完整性检查D、数组边界检查2. ()可以了解到入侵者进入系统的手段,知道系统目前存在的安全漏洞,从而为今后的系统修补打下基础。有助于管理员发现入侵者留下的“后门”和对系统的改动。 (单选 ) A、切断入侵者的访问途径B、复制一份被侵入的系统C、遗留物分析D、分析入侵途径3. ()可以是非秘密的,而()必须是秘密的。 (单选 ) A、验证信息;认证信息B、识别符;验证信息C、验证信息;识别符D、识别符;认证信息1. ()是把数据处理的功能和各种模型等决策工具结合起来,以帮助决策的计算机信息处理系统。 (单选 ) A、数据处理系统B、管理信息系统C、办公自动化系统D、决策支持系统3. ()是解决缓存溢出漏洞的根本办法,必须在开发中就已经详细考虑过安全问题,在编写程序过程中杜绝存在缓存溢出漏洞的一切可能,才使确保程序的最大化安全。 (单选 ) A、编写正确的代码B、非执行的缓冲区技术C、程序指针完整性检查D、安装安全补丁2. ()是指入侵成功后,清除在被入侵机器上留下的访问痕迹,例如清除相应的访问日志,以免被管理员发现入侵痕迹。 (单选 ) A、隐藏IPB、在网络中隐身C、攻击目标系统D、种植后门1. ()是指硬件、软件或策略上的缺陷,从而可使攻击者能够在未经授权的情况下访问系统。 (单选 ) A、漏洞B、口令C、黑客D、病毒4. ()是指造成系统停止运转的任何事件,使得系统要重新启动。 (单选 ) A、事务内部的故障B、系统故障C、介质故障D、计算机病毒2. ()为8个字节64位,是要被加密或被解密的数据。 (单选 ) A、KeyB、DAtAC、ModeD、以上都对4. ()一般用在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等情况,也称为系统恢复。 (单选 ) A、个别文件恢复B、全盘恢复C、重定向恢复D、容灾备份4. (),英文名为“domain name”,是在互联网上定位和使用网页的工具。 (单选 ) A、域名B、商标C、主页D、作品2. ()主要完成收集用户信息、确认用户身份的功能。一般是由一个独立的注册机构(即RA)来承担的。 (单选 )A、注册管理B、CA功能C、证书管理D、密钥生命管理4. ()作为互联网视听节目服务的行业主管部门,负责对互联网视听节目服务实施监督管理,统筹互联网视听节目服务的产业发展、行业管理、内容建设和安全监管。 (单选 ) A、通信管理部门B、新闻和出版管理部门C、广播电视行政部门D、文化主管部门1. 不管获取多少密文和有多大的计算能力,对明文始终不能得到唯一解的密码,叫做()。(单选 )A、理论上保密的密码B、实际上保密的密码C、理论上不保密的密码D、实际上不保密的密码4. 数据库的()是指不应拒绝授权用户对数据库的正常操作,同时保证系统的运行效率并提供用户友好的人机交互。 (单选 ) A、完整性B、独立性C、保密性D、可用性3. 数据库系统的()主要包括物理完整性和逻辑完整性。 (单选 ) A、完整性B、独立性C、保密性D、可用性3. 由()软件构造的正常系统使用的模式,一旦在使用中出现异常就会发出警告,大大减少了系统管理员的工作量。 (单选 ) A、入侵检测B、可确认性C、可信路径D、全面调节1. 在获取一定数量的密文后可以得到唯一解的密码,叫作()。 (单选 ) A、理论上保密的密码B、实际上保密的密码C、保密的密码D、不保密的密码多选6. 安全授权包括:()。 (多选 ) A、专控信息的授权B、机密信息的授权C、秘密信息的授权D、受控信息的授权7. 常见的Web欺骗方式有()。 (多选 ) A、基本网站欺骗B、Man in the middle攻击C、URL重写D、缓存感染5. 当网络将任何东西都连接起来(anytoany)的时候,互联网状态将发展成为“一切的互联网”:是()的智能连接。 (多选 ) A、人B、数据C、物体D、处理6. 非对称加密算法包括()。 (多选 ) A、RSAB、RAbinC、AESD、DES5. 解决网络信息系统安全问题需要采用多种机制互相支持,(),才能更好地抵御攻击者的破坏。 (多选 ) A、建立防火墙B、采用堡垒主机C、加强保安教育D、加强安全管理5. 木马的种类很多,经常可以遇到的木马有()。 (多选 ) A、破坏型木马B、密码发送型木马C、远程访问型木马D、键盘记录木马6. 目前比较优秀的木马软件有()。 (多选 ) A、冰河B、血蜘蛛C、NETBUSD、WincrAsh6. 数据库是计算机信息系统的重要组成部分,数据库的最大特点是实现数据的共享,存储的数据具有()。 (多选 ) A、独立性B、非独立性C、一致性D、完整性7. 数据库系统的安全机制包括()。 (多选 ) A、用户标识与鉴别B、存取控制C、数据库加密D、推理控制6. 特洛伊木马具有()的特点。 (多选 ) A、隐蔽性B、授权性C、公开性D、非授权性5. 网络攻击可能造成()。 (多选 ) A、计算机网络中数据在存储和传输过程中被窃取、暴露和篡改B、网络系统和应用软件受到恶意攻击和破坏C、网络服务中断D、网络系统和网络应用的瘫痪7. 现实生活中的一切事务,包括(),几乎都可以在网络中找到踪迹。 (多选 ) A、金融交易B、沟通交流C、娱乐休闲D、教育医疗7. 信息系统一般包括()。 (多选 )A、数据处理系统B、管理信息系统C、办公自动化系统D、决策支持系统7. 遗留物分析包括()。 (多选 ) A、检查入侵者对系统软件和配置文件的修改B、检查被修改的数据C、检查入侵者留下的文件和数据D、检查网络监听工具7. 在国家秘密保护中仍然存在一定的问题,主要体现在()。 (多选 ) A、信息保密法律规定有待具体化B、保密监督检查有待加强C、涉密部门的防范意识有待提高D、保密技术水平有待提高5. 在计算机更新换代的改进过程中,()不断融合和被广泛应用。 (多选 )A、电子化技术B、数字技术C、通信技术D、网络技术7. 在行政方面,互联网信息内容安全管理方法包括()。 (多选 ) A、信息过滤与封堵政策B、实行网络实名制C、政府指导D、采取内容分级制5. 指纹识别的接触式取像虽然更为直接,但是这本身也是个缺点:()。 (多选 ) A、接触式取像污染接触面,影响可靠性B、手指污染还可能引起法律纠纷C、取像设备不能做得比拇指更小D、较易制作假指纹判断11. 1976年,迪逖(Dittie)和海尔曼(Hellman)为解决密钥管理问题,提出了一种密钥交换协议,允许在不安全的媒体上通过通信双方交换信息,安全地传送秘密密钥。 (判断 ) 正确错误9. 1977年1月,美国政府颁布:采纳IBM公司设计的方案作为非机密数据的正式数据加密标准(DES,Data Encryption Standard)。 (判断 )正确错误10. RSA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 (判断 ) 正确错误8. 必须努力构建一个建立在自主研究开发基础之上的技术先进、管理高效、安全可靠的国家信息安全体系,以有效地保障国家的安全、社会的稳定和经济的发展。 (判断 ) 正确错误11. 当规则组织好后,应该写上注释并经常更新,注释可以帮助理解每一条规则做什么。对规则理解得越好,错误配置的可能性就越小。 (判断 ) 正确错误9. 当主机工作在监听模式下,无论数据包中的目标物理地址是什么,主机都将接收。 (判断 ) 正确错误9. 防火墙是解决网络信息系统安全问题的唯一办法。 (判断 ) 正确错误9. 风险评估的目的是:认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。 (判断 ) 正确错误11. 跟踪,即对安全事件的跟踪调查,关注系统恢复以后的安全状况,特别是曾经出现问题的地方。 (判断 )正确错误10. “后门”程序将自己隐藏在被侵入的系统中,入侵者通过它就可以绕开系统正常的验证,不必使用安全缺陷攻击程序就进入系统。 (判断 ) 正确错误10. 互联网不仅仅是一个通信网络,更是一个现实社会的虚拟镜像。 (判断 ) 正确错误8. 加强以密码技术为基础的信息保护和网络信任体系,要规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。 (判断 ) 正确错误8. 解密密钥SK是由公开密钥PK决定的,可以根据PK计算出SK。 (判断 ) 正确错误11. 目前我国政府进行互联网监管的主要手段可以归结为两种,一是控制,二是导向。 (判断 ) 正确错误11. 内容安全主要是监控流入和流出网络的内容数据,阻止不安全的信息流入或流出网络,从而降低或消除危险因素,保证网络的正常运行和信息安全。 (判断 ) 正确错误10. 特洛伊木马是一种远程管理工具,它带有伤害性,具有传染性,是病毒的一种。 (判断 ) 正确错误8. 网络信息安全是一门交叉科学,涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 (判断 ) 正确错误8.网络的主要功能就是互联和共享。这里的互联不仅仅是指将移动设备、笔记本、台式机联网,也包括把规模增长的设备互联起来(M2M,Machine to Machine)。 (判断 )正确错误10. 为了确定防火墙安全设计策略,进而构建实现预期安全策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。 (判断 )正确错误11. 我国保密法、刑法、公务员法和中国共产党纪律处分条例规定,凡是违反保密法律法规和党的保密纪律,造成泄露党和国家秘密的行为,要承担相应的刑事责任、行政责任和党纪责任。 (判断 )正确错误8. 我国信息安全管理格局是一个多方“齐抓共管”的体制,是由信息产业部、公安部、国家安全部、国家保密局、国家密码管理委员会、专家顾问组、安全审计机构、安全培训机构等多家机构共同组成,分别履行各自的职能,共同维护国家信息安全。 (判断 ) 正确错误10. 向一个有限空间的缓冲区中置入过长的字符串可能会带来两种后果,一是过长的字符率覆盖了相邻的存储单元引起程序运行失败,严重的可导致系统崩溃;另一种后果是利用这种漏洞可以执行任意指令甚至可以取得系统特权由此而引发了许多种攻击方法。 (判断 ) 正确错误9. 要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的识别符。 (判断 ) 正确错误11. 业务连续性是容灾的最终建设目标。 (判断 ) 正确错误10. 优秀的硬件保护性能是高效、可靠的操作系统的基础。 (判断 ) 正确错误9. 与现有的大量指纹鉴别产品的相比,在可靠性、安全性(指纹易仿造)、稳定精度等方面,虹膜鉴别仍具有巨大的优势。 (判断 ) 正确错误13.技术是一种新颖的防火墙技术,在一定程度上反映了防火墙目前的发展动态。该技术可以根据用户定义的安全策略,动态适应传送中的分组流量。 (填空 )14.就是指对灾难的容忍,是指为了保证关键业务和应用在经历各种灾难后,仍然能够最大限度的提供正常服务所进行的一系列系统计划及建设行为。 (填空 )14.是信息安全体系的重要组成部分,它是保护信息系统安全的第一道大门。它的任务是检验信息系统用户身份的合法性和真实性,并按系统授予的权限访问系统资源,将非法访问者拒之门外。 (填空 )12. 是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。 (填空 ) 13. 是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。 (填空 ) 14.,是指以非法占有为目的,利用互联网采用虚拟事实或者隐瞒事实真相的方法,骗取数额不等的公私财物的行为。 (填空 )4. ,是指主机网络进程接受到IP数据包后,察看其目标端口是不是自己的端口号,如果是的话就接受该数据包进行处理。 (填空 )12.安全管理制度主要包括:、制定和发布、评审和修订三个控制点。 (填空 )12.确保信息系统按照预期运行且不做任何多余的事情,系统所提供的信息机密性可以得到适度的保护,系统、数据和软件的完整性得到维护和统一,以防任何可能影响任务完成的非计划的任务中断。综合起来说,就是要保障电子信息的“”。 (填空 )12.信息安全管理标准共包含七大类信息安全标准:基础类标准、技术与机制类标准、信息安全管理标准、信息安全测评标准、通信安全标准、密码技术标准、标准。 (填空 )12.信息系统等级保护实施过程分为五个阶段:系统定级阶段、安全规划设计阶段、阶段、安全运行维护阶段以及系统终止阶段。 (填空 )12.在网络信息系统中常常需要建立,用于网络内部与外部以及内部的子网之间的隔离,并满足不同程度需求的访问控制。 (填空 )15. 简述加密系统的四个组成部分。 (简答 ) 15. 简述信息系统安全等级的划分。 (简答 ) 15. 可信操作系统一般具有哪些关键的安全特征? (简答 ) 15. 网络诈骗罪有哪些独特的特点? (简答 ) 15. 组织应该通过多种方式检查信息安全管理体系是否运行良好,并对其业绩进行监视,可能包括哪些管理过程? (简答 ) 1、执行程序和其他控制以快速检测处理结果中的错误;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验。2、常规评审信息安全管理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。3、评审剩余风险和可接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可接受风险等级的合理性。4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期(最多不超过一年)检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划,以便审核任务能在审核期间内按部就班的展开。目录1网络安全实施的难点分析11.1IT系统建设面临的问题11。2IT 系统运维面临的问题22系统安全22.1网络系统安全风险分析22。1。1设备安全风险分析22。1.2网络安全系统分析3系统安全风险分析32.1。4应用安全风险分析42。1.5数据安全风险分析42.2网络系统安全设计42。2.1设备安全42。2.2网络安全42。2.3系统安全52.2。4应用安全62。2。5数据安全62.3系统的网络安全设计72。3.1防火墙系统72.3。1.1防火墙的基本类型72。3。1.2常用攻击方法102.3。1.3常用攻击对策102。3。2VPN路由器112。3.3IDS 入侵检测112。3。4CA认证与SSL加密132。3。4.1CA的作用13系统简介142.3.4。3SSL加密172。3。5防病毒系统192.3。5.1病毒的类型19病毒的检测222.3.5。3防病毒建议方案24网站监控与恢复系统24网络存储/备份/灾难恢复:243业务网络安全设计243。1网络安全设计原则243.2系统的安全设计253。2。1威胁及漏洞253.2。2计说明263。3系统的安全设计273。3。1各业务系统的分离273。3。2敏感数据区的保护28通迅线路数据加密293。3.4防火墙自身的保护30网络安全设计313。3。5.1设计说明:331 网络安全实施的难点分析1.1 IT系统建设面临的问题企业在IT系统建设过程中,往往面临以下方面的问题;其一:专业人员少,因为任何一个企业的IT系统建设,往往都是为企业内部使用,只有自己最为了解自己企业的需求,但是往往企业内部的专业人员比较少.其二:经验不足,专业性不强,由于企业内部的专业人员仅仅着眼于本企业自身的需求,项目实施的少,相应的项目经验欠缺专业性不强;其三:效率不高,效果不好,应为欠缺对系统建设的系统知识和经验,总是在摸索着前进,在这个过程中,实施人员和使用人员的积极性就会降低,无法按照预期完成项目.1.2 IT 系统运维面临的问题2 系统安全2.1 网络系统安全风险分析2.1.1 设备安全风险分析网络设备、服务器设备、存储设备的安全是保证网络安全运行的一个重要因素。为了保证网络的安全而制定的安全策略都是由网络设备执行的,如果一些非网络管理人员故意或无意对网络设备进行非法操作,势必会对网络的安全造成影响,甚至是重大的安全事故。因此,没有网络设备的安全,网络设备的安全就无从谈起。所以,必须从多个层面来保证网络设备的安全。2.1.2 网络安全系统分析网络层位于系统平台的最低层,是信息访问、共享、交流和发布的必由之路,也是黑客(或其它攻击者)等进行其截获、窃听窃取信息、篡改信息、伪造和冒充等攻击的必由之路。所以,网络层所面临的安全风险威胁是整个系统面临的主要安全风险之一.网络层的安全风险包括以下几方面:l 黑客攻击外网通过防火墙与Internet公众网相连,所以Internet上的各种各样的黑客攻击、病毒传播等都可能威胁到系统的安全。其存在的安全风险主要是黑客攻击,窃取或篡改重要信息,攻击网站等。许多机器临时性(甚至经常性的)连接到外网上或直接连接到Internet上.这样Internet上的黑客或敌对势力使用木马等黑客攻击手段,就可以将该员工机器用作一个侦察站。l 网内可能存在的相互攻击由于公司内网中的各级网络互连,这些设备在网络层是可以互通的,在没有任何安全措施的情况下,一个单位的用户可以连接到另一个单位使用的机器,访问其中的数据。这样就会造成网络间的互相病毒等其他因素引起的网络攻击。2.1.3 系统安全风险分析系统安全通常分为系统级软件比如操作系统、数据库等的安全漏洞、病毒防治.1、系统软件安全漏洞系统级软件比如操作系统、数据库等总是存在着这样那样的安全漏洞,包括已发现或未发现的安全漏洞。2、病毒侵害计算机病毒一直是困扰每一个计算机用户的重要问题,一旦计算机程序被感染了病毒,它就有可能破坏掉用户工作中的重要信息。网络使病毒的传播速度极大的加快,公司内部网络与Internet相连,这意味着每天可能受到来自世界各地的新病毒的攻击。2.1.4 应用安全风险分析基于B/S模式的业务系统由于身份认证、数据传输、访问控制、授权、口令等存在安全隐患,从而对整个系统造成安全威胁.2.1.5 数据安全风险分析在系统中存放有的重要的数据。这些数据如被非法复制、篡改、删除,或是因各种天灾人祸丢失,将威胁到数据的保密性、完整性和一致性。2.2 网络系统安全设计针对上面提到的种种安全风险,对系统安全进行设计.2.2.1 设备安全设备安全在这里主要指控制对交换机等网络设备的访问,包括物理访问和登录访问两种。针对访问的两种方式采取以下措施:对基础设施采取防火、防盗、防静电、防潮措施。系统主机应采用双机热备(主备/互备)方式,构成集群系统;系统关键通信设备应考虑冗余备份;要求利用系统监控工具,实时监控系统中各种设备和网络运行状态,及时发现故障或故障苗头,及时采取措施,排除故障,保障系统平稳运行。2.2.2 网络安全为保障网络安全,在网络上要采取以下措施:l 设立防火墙.防火墙作为内部网络与外部公共网络之间的第一道屏障,一般用在企业网与Internet等公众网之间的连接点处,防护来自外部的攻击,并过滤掉不安全的服务请求和非法用户进入;l 在内部系统的Web服务器到应用服务器之间设置防火墙,防止来自内部的攻击和破坏,保证系统的安全;l 进行入侵检测。对计算机网络和计算机系统的关键结点的信息进行收集分析, 检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。l 采用相应技术和手段,保证网络安全。对传输数据进行加密,保障数据传输安全l 防止网页的篡改;利用防护工具防止黑客篡改或非法破坏网页,保证网站网页安全。针对防止网页篡改,推荐使用InforGuard。InforGuard主要提供文件监控保护功能,保证文件系统安全,防止被非法修改。InforGuard适用于网站网页文件的安全保护,解决了网站被非法修改的问题,是一套安全、高效、简单、易用的网页保护系统;采用数字证书技术实现InforGuard的用户管理,加强了对Web站点目录的ftp用户和口令的保护,防止了ftp口令泄漏造成的安全隐患;通过用户操作日志提供对网页文件更新过程的全程监控.从而保证了网站网页文件的绝对安全.l 定期进行安全检查,查补安全漏洞,采用漏洞扫描软件对内部服务器浏览器和所有网络设备进行漏洞扫描,及时弥补各类安全漏洞.2.2.3 系统安全应用安全的解决往往依赖于网络层、操作系统、数据库的安全,所以对系统级软件的安全防范突显其重要性;由于病毒通过Internet网,可以在极短的时间内传到Internet的各个角落,而病毒对系统稳定性和数据安全性的威胁众所周知,所以对病毒的预防是一项十分重要的工作;同时对一些专用服务器的特别防护也是我们保证系统良好运行的前提。下面就从系统漏洞防护、病毒防护和专用服务器防护等方面来阐述安全防范的措施.l 系统安全漏洞防护:通过系统扫描工具,定期检查系统中与安全有关的软件、资源、各厂商安全“补丁包"的情况,发现问题及时报告并给出解决建议.l 病毒防护:在内网和外网中分别设置网络防病毒软件控制中心,安装网络版的防病毒控制台,在服务器系统和网络内的主机均安装防病毒软件的客户端。管理员负责每天检查有没有新的病毒库更新,并对防病毒服务器上的防病毒软件进行及时更新。然后再由防病毒服务器将最新的病毒库文件下发到各联网的机器上,实现全网统一、及时的防病毒软件更新,防止因为少数内部用户的疏忽,感染病毒,导致病毒在全网的传播。l 专用服务器的专门保护:针对重要的、最常受到攻击的应用系统实施特别的保护。对WEB服务器保护对Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全政策进行明确规划.对Email服务程序、浏览器,采取正确的配置与及时下载安全补丁实现。2.2.4 应用安全针对人为操作造成的风险,必须从系统的应用层进行防范,因此应用系统在建设时需考虑系统的安全性。具体包括以下几个方面:l 访问控制:操作系统的用户管理、权限管理;限制用户口令规则和长度,禁止用户使用简单口令,强制用户定期修改口令;按照登录时间、登录方式限制用户的登录请求;加强文件访问控制管理,根据访问的用户范围,设置文件的读、写、执行权限;对重要资料设置被访问的时间和日期。l 权限控制和管理:按照单位、部门、职务、工作性质等对用户进行分类,不同的用户赋予不同的权限、可以访问不同的系统、可以操作不同的功能模块;应用系统的权限实行分级管理,每个系统的管理员自己定义各类用户对该系统资源的可访问内容。l 身份验证:通过采用口令识别、数字认证方式,来确保用户的登录身份与其真实身份相符,保证数据的安全性、完整性、可靠性和交易的不可抵赖性、增强顾客、商家、企业等对网上交易的信心。l 数据加密存储:关联及关键数据加密存储,提取数据库中表间关联数据或重要数据信息,采用HASH算法,生成一加密字段,存放在数据表中,保证数据库中关联数据的一致性、完整性,防止重要数据的非法篡改。l 日志记载:数据库日志:使得系统发生故障后能提供数据动态恢复或向前恢复等功能,确保数据的可靠性和一致性。应用系统日志:通过记录应用系统中操作日志,通过事后审计功能为将来分析提供数据分析源,确保业务的可追溯性。2.2.5 数据安全业务数据是业务系统运行的重要元素,也是企业中宝贵的资源。这些数据如被非法复制、篡改、删除,或是因系统崩溃及各种天灾人祸丢失,将威胁到数据的保密性、完整性和一致性。由此造成的损失将是巨大的。为了保证数据的安全,通常的做法是对数据进行备份。数据备份解决方案大致可以分为两种:数据级的备份和系统级的备份。数据级的备份是指对存储在磁盘阵列、磁带库等设备上的数据的备份。系统级备份主要是指对服务器系统、数据库系统等系统的备份。对于数据库系统备份,有两种方式可以选择:第一种是采用数据库自身的备份功能,其优点是不需要追加额外的投资,缺点是这种备份方式是手工进行的,备份效率较低,并且在备份时需要关闭数据库,即需要shutdown数据库实例。第二种方式是采用专业的备份工具,这种方式能够实现在线备份的方式,即在备份的过程中不需Shutdown数据库实例。同时,在备份过程中,通过追踪数据块的变动记录来实现增量备份,缩短备份窗口.在保持数据库online的前提下,这种方式还能够充分保证数据库的OLTP联机事务处理的性能。数据库的数据量庞大,可以通过同时驱动多个磁带驱动器来保证数据库备份的效率。通过这种方式,能够在夜间的非工作时段内完成全备份,并在相对更短的时间段内完成日增量备份。在上述数据备份环境中,可以对操作系统及应用程序环境实现动态即时在线快速备份,即在不影响用户和应用程序运行的前提下,备份系统的动态数据,同时能够将传统文件系统的备份速度成倍提高。在前面的服务器平台设计中,我们为每台服务器都配置了两块硬盘,通过磁盘镜像(RAID 1)技术实现系统冗余备份,可以极大提高服务器系统的安全性.保证数据安全,对数据进行备份。2.3 系统的网络安全设计2.3.1 防火墙系统2.3.1.1 防火墙的基本类型实现防火墙的技术主要包括四类:包过滤防火墙、电路网关防火墙、应用层防火墙以及动态包过滤防火墙。其各自的特点如下:包过滤防火墙:包过滤防火墙技术主要通过分析网络传输层数据,并通过预先定义的规则对数据包转发或丢弃。其检查信息为网络层、传输层以及传输方向等报头信息,典型的包过滤主要利用下面的控制信息:数据包到达的物理网络接口数据包的源网络层地址数据包的目的网络层地址传输层协议类型传输层源端口传输层目的端口包过滤防火墙有以下先进性:包过滤防火墙通常性能高,因为他们执行的评估比较少而且通常可以用硬件完成。可以简单地通过禁止特定外部网络和内部网络的连接来保护整个网络。包过滤防火墙对客户端是透明的,所有工作都在防火墙中完成。结合NAT(网络地址转换功能,可以将内部网络从外部网络中屏蔽起来.包过滤防火墙具有以下缺点:包过滤防火墙不能识别上层信息,因此,同应用层防火墙以及电路网关防火墙相比,其安全性较低。包过滤防火墙不是基于连接状态的,因此,它不保存会话连接信息或上层应用信息。包过滤只利用了数据包中有限的信息。包过滤不提供增值服务,如HTTP Cache,URL过滤等。电路网关防火墙电路网关防火墙是一种基于连接状态的防火墙技术,它能确认、证实一个数据包是两个传输层之间连接请求、两个传输层之间已建连接中的数据包或两个传输层之间的虚电路.电路网关防火墙检查每一个连接的建立过程来保证连接的合法性,以及利用一个合法的连接信息表(包括状态以及序列号)来检查数据包的正确性。当一个连接关闭时,这个连接信息表就被关闭。电路网关级防火墙主要应用下列状态信息:一个唯一的会话识别用于跟踪处理.连接状态,包括:握手、建立以及关闭。序列号信息。源网络地址。目的网络地址.数据包到达的物理网络接口.数据包离开的物理网络接口.电路网关级防火墙具有以下优点:电路网关防火墙通常性能高,因为他们执行的评估比较少。可以简单地通过禁止特定外部网络和内部网络的连接来保护整个网络。包过滤防火墙对客户端是透明的,所有工作都在防火墙中完成。结合NAT(网络地址转换功能,可以将内部网络从外部网络中屏蔽起来。电路应用网关具有以下缺点:电路应用网关不能限制TCP之外的其他协议集。电路应用网关防火墙不能进行严格的高层应用检查。包过滤不提供增值服务,如HTTP Cache,URL过滤等.应用层防火墙应用层防火墙检查所有的数据包、连接状态信息以及序列号,同时还能验证应用层特定的安全控制,包括:用户名,口令等.大多数应用层防火墙包括一个特定服务程序和代理服务,代理是一个面向特定应用的流量管理程序,如HTTP、FTP等,能提供增强的访问控制、细节检查以及审记记录等信息.每一个应用代理一般由两部分组成,代理服务器以及代理客户,相对于发起连接的客户端来说,代理服务器充当一个最终服务器。代理客户端代替实际的客户应用同外部服务器进行数据交换。应用层防火墙具有以下优点:代理服务能完全理解和实施上层协议。如HTTP、FTP等。代理服务维护所有的应用状态信息,包括:部分的通讯层状态信息、全部应用层状态信息以及部分会话信息。代理服务能处理和利用数据包.代理服务不允许外部服务器和内部主机之间的直接通讯,可有效的隐含内部网络信息。代理服务能提供增值特征,包括:HTTP Cache、URL过滤以及用户认证等。代理服务能很好的产生审记记录,允许管理员监控企图违反网络安全策略的行为。应用层防火墙具有以下缺点:代理服务需要替换防火墙服务器的本来的网络堆栈。由于代理服务要监听服务端口,因此,在防火墙服务器上不能提供同样的服务。代理服务对数据包需要处理两次,因此,性能比较差。通常,对于不同的应用,需要对每一个服务提供一个代理服务程序。应用级防火墙不能提供UDP、TCP以及其他协议代理功能。代理服务通常需要修改客户应用程序端或应用配置。代理服务通常依赖操作系统提供设备驱动,因此,一个操作系统或应用Bug都有可能造成代理服务容易受到攻击。代理服务经常会遇到多次登录的情况.动态包过滤防火墙动态包过滤防火墙类似电路网关防火墙,但它提供了对面向非连接的传输层协议,如UDP的支持.其同电路网关有相同的优缺点。2.3.1.2 常用攻击方法了解常用的攻击方法可以更好的制定安全防范措施,常用的攻击方法包括以下几种:被动监听:这种攻击方法是攻击者利用网络监听或分析工具,直接窃获用户的报文信息,从而获得用户/口令信息,这时,攻击者就可以以合法用户的身份对应用进行破坏。地址欺骗:在这种方法中,攻击者伪装成一个信任主机的IP地址,对系统进行破坏。端口扫描:这是一种主动的攻击方法,攻击者不断的扫描安全控制点上等待连接的监听端口,一旦发现,攻击者就集中精力对端口上的应用发起攻击.否认服务:这种攻击方法又细分为两种:即洪水连接和报文注入,洪水连接是向目的主机发出大量原地址非法的TCP连接,这样,目的主机就一直处于等待状态,最后由于资源耗尽而死机。报文注入就是在合法连接的报文中插入攻击者发出的数据包,从而对目的主机进行攻击。应用层攻击:这种攻击方法是利用应用软件的缺陷,从而获得对系统的访问权利。特洛伊木马:在这种攻击方法中,攻击者让用户运行一个用户误认为是一个合法程序的攻击程序,从而寄生在用户系统中,为以后的攻击埋下伏笔.这种攻击方法最常见的应用就是在WEB服务嵌入Java Applet、ActiveX等控件,使用户在浏览

    注意事项

    本文(网络与信息安全优质资料.doc)为本站会员(可****阿)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开