网络与信息安全考试分优质资料.doc

《网络与信息安全考试分优质资料.doc》由会员分享，可在线阅读，更多相关《网络与信息安全考试分优质资料.doc（70页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络与信息安全考试分优质资料(可以直接使用，可编辑 优质资料，欢迎下载）1. 在技术领域中，网络安全包括（），用来保障信息不会被非法阅读、修改和泄露。 (单选 ) A、实体安全B、运行安全C、信息安全D、经济安全2. 信息的（）是指信息在存储、传输和提取的过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。 (单选 ) A、完整性B、可控性C、不可否认性D、可用性3. 下列属于与网络信息安全相关的法律的是（）。 (单选 ) A、国家安全法B、互联网信息服务管理办法C、中华人民共和国电信条例D、计算机软件保护条例4. （）是网络安全防范和保护的主要策略，它的主要任务是保证网络资

2、源不被非法使用和非授权访问。 (单选 ) A、物理安全策略B、系统管理策略C、访问控制策略D、资源需求分配策略5. （）是由设备、方法、过程以及人所组成并完成特定的数据处理功能的系统，它包括对数据进行收集、存储、传输或变换等过程。 (单选 ) A、数据处理系统B、管理信息系统C、办公自动化系统D、决策支持系统6. （）是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。 (单选 ) A、破坏型木马B、密码发送型木马C、远程访问型木马D、键盘记录木马7. （）是黑客常用的攻击手段之一，分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 (单选

3、) A、电子邮件欺骗B、ARP欺骗C、源路由欺骗D、Web欺骗8. （）为8个字节64位，是要被加密或被解密的数据。 (单选 ) A、KeyB、DAtAC、ModeD、以上都对9. （）防火墙的核心是运行于防火墙主机上的代理服务进程，该进程代理用户完成TCP/IP功能，实际上是为特定网络应用而连接两个网络的网关。 (单选 ) A、电路层网关B、自适应代理技术C、代理服务器型D、包过滤型10. （）只备份数据，不承担生产系统的业务。当灾难发生时，数据丢失量小，甚至零丢失，但是，系统恢复速度慢，无法保持业务的连续性。 (单选 ) A、本地容灾B、异地数据冷备份C、异地数据热备份D、异地应用级容灾1

4、1. （）就是将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。 (单选 ) A、容灾备份B、数据备份C、应急响应D、灾难恢复12. （）也就是可信路径，是终端人员能借以直接同可信计算机通信的一种机制，该机制只能由有关终端人员或可信计算机启动，并且不能被不可信软件所模仿。 (单选 ) A、审计日志归并B、可确认性C、可信路径D、全面调节13. 数据库的（）是指不应拒绝授权用户对数据库的正常操作，同时保证系统的运行效率并提供用户友好的人机交互。 (单选 ) A、完整性B、独立性C、保密性D、可用性14. 通过

5、税收政策促使网站限制未成年人浏览不良信息，是通过（）手段对互联网进行管理。 (单选 ) A、立法B、行政C、司法D、行业自律15. （），英文名为“domain name”，是在互联网上定位和使用网页的工具。 (单选 ) A、域名B、商标C、主页D、作品16. 相对于传统系统而言，数字化网络的特点使得这些信息系统的运作方式，在（）上都有着根本的区别。 (多选 ) A、信息采集B、数据交换C、数据处理D、信息传送17. 信息安全涉及的领域还包括（）等方面。 (多选 ) A、黑客的攻防B、网络安全管理C、网络犯罪取证D、网络安全评估18. 企业将商业数据和业务搬到云端面临的安全问题主要有：（）。

6、(多选 ) A、虚拟机管理程序B、低准入门槛C、高准入门槛D、虚拟应用与硬件分离19. 网络的安全管理策略包括：（）。 (多选 ) A、确定安全管理的等级和安全管理的范围B、制定有关网络操作使用规程C、制定人员出入机房管理制度D、制定网络系统维护制度和应急措施20. 网络攻击一般分为如下几个步骤：（）。 (多选 ) A、调查、收集信息B、判断出目标计算机网络的拓扑结构C、对目标系统安全的脆弱性进行探测与分析D、对目标系统实施攻击21. 目前比较优秀的木马软件有（）。 (多选 ) A、冰河B、血蜘蛛C、NETBUSD、WincrAsh22. 公认的容灾级别包括（）。 (多选 ) A、本地容灾B、

7、异地数据冷备份C、异地数据热备份D、异地应用级容灾23. 在数据和通信安全方面，Windows 2000实现了如下的特性：（）。 (多选 ) A、数据安全性B、企业间通信的安全性C、企业和Internet网的单点安全登录D、易用的管理性和高扩展性24. 中国宗教徒信奉的主要有（）。 (多选 ) A、佛教B、道教C、天主教D、基督教25. 著作权包括（）。 (多选 ) A、发表权B、修改权C、保护作品完整权D、署名权26. PDCA四个过程不是运行一次就结束，而是周而复始的进行，一个循环完了，解决一些问题，未解决的问题进入下一个循环，这样阶梯式上升。 (判断 ) 正确错误27. 信息安全策略的内

8、容应该有别于技术方案，信息安全策略只是描述一个组织保证信息安全的途径的指导性文件，它不涉及具体做什么和如何做的问题，只需指出要完成的目标。 (判断 ) 正确错误28. 信息安全策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息安全策略的遵守程度给出评价。 (判断 ) 正确错误29. 抑制和防止电磁泄漏是物理安全策略的一个主要问题。 (判断 ) 正确错误30. DDoS（Distributed Denial of Service）其中文含义为分布式拒绝服务攻击。 (判断 ) 正确错误31. IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主

9、机，而被伪造了IP地址的这台主机往往具有某种特权或者被另外的主机所信任。 (判断 ) 正确错误32. RSA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 (判断 ) 正确错误33. 由于短信网关技术非常成熟，大大降低短信密码系统上马的复杂度和风险，短信密码业务后期客服成本低，稳定的系统在提升安全同时也营造良好的口碑效应，这也是银行也大量采纳这项技术很重要的原因。 (判断 ) 正确错误34. 当规则组织好后，应该写上注释并经常更新，注释可以帮助理解每一条规则做什么。对规则理解得越好，错误配置的可能性就

10、越小。 (判断 ) 正确错误35. 数据的快速增长及其高可用性、安全性的要求刺激了容灾备份技术的发展，容灾备份技术已成为IT基础架构的一个关键因素。 (判断 ) 正确错误36. 早期的主数据中心和备援数据中心之间的数据备份，主要是基于SAN的远程复制（镜像），即通过光纤通道FC，把两个SAN连接起来，进行远程镜像（复制）。 (判断 ) 正确错误37. 硬件时钟与调度规则相组合可以提供公平性，硬件设施和数据表组合则提供控制功能。 (判断 ) 正确错误38. 各国越来越强调政府作为服务者的角色，承认政府管理的“有限性”，着重发挥政府的服务和协调职能。 (判断 ) 正确错误39. 中国公民可以自由地

11、选择、表达自己的信仰和表明宗教身份。 (判断 ) 正确错误40. 公务员（涉密人员）必须按照“防得住、管得住、靠得住、过得硬”的要求，尽心尽职履行保密责任。 (判断 ) 正确错误目录1网络安全实施的难点分析11.1IT系统建设面临的问题11。2IT 系统运维面临的问题22系统安全22.1网络系统安全风险分析22。1。1设备安全风险分析22。1.2网络安全系统分析3系统安全风险分析32.1。4应用安全风险分析42。1.5数据安全风险分析42.2网络系统安全设计42。2.1设备安全42。2.2网络安全42。2.3系统安全52.2。4应用安全62。2。5数据安全62.3系统的网络安全设计72。3.1

12、防火墙系统72.3。1.1防火墙的基本类型72。3。1.2常用攻击方法102.3。1.3常用攻击对策102。3。2VPN路由器112。3.3IDS 入侵检测112。3。4CA认证与SSL加密132。3。4.1CA的作用13系统简介142.3.4。3SSL加密172。3。5防病毒系统192.3。5.1病毒的类型19病毒的检测222.3.5。3防病毒建议方案24网站监控与恢复系统24网络存储/备份/灾难恢复:243业务网络安全设计243。1网络安全设计原则243.2系统的安全设计253。2。1威胁及漏洞253.2。2计说明263。3系统的安全设计273。3。1各业务系统的分离273。3。2敏感数据

13、区的保护28通迅线路数据加密293。3.4防火墙自身的保护30网络安全设计313。3。5.1设计说明：331 网络安全实施的难点分析1.1 IT系统建设面临的问题企业在IT系统建设过程中，往往面临以下方面的问题；其一:专业人员少，因为任何一个企业的IT系统建设，往往都是为企业内部使用，只有自己最为了解自己企业的需求，但是往往企业内部的专业人员比较少.其二：经验不足，专业性不强，由于企业内部的专业人员仅仅着眼于本企业自身的需求,项目实施的少,相应的项目经验欠缺专业性不强;其三：效率不高，效果不好，应为欠缺对系统建设的系统知识和经验,总是在摸索着前进，在这个过程中，实施人员和使用人员的积极性就会降

14、低，无法按照预期完成项目.1.2 IT 系统运维面临的问题2 系统安全2.1 网络系统安全风险分析2.1.1 设备安全风险分析网络设备、服务器设备、存储设备的安全是保证网络安全运行的一个重要因素。为了保证网络的安全而制定的安全策略都是由网络设备执行的，如果一些非网络管理人员故意或无意对网络设备进行非法操作，势必会对网络的安全造成影响，甚至是重大的安全事故。因此,没有网络设备的安全，网络设备的安全就无从谈起。所以，必须从多个层面来保证网络设备的安全。2.1.2 网络安全系统分析网络层位于系统平台的最低层，是信息访问、共享、交流和发布的必由之路，也是黑客（或其它攻击者)等进行其截获、窃听窃取信息、

15、篡改信息、伪造和冒充等攻击的必由之路。所以，网络层所面临的安全风险威胁是整个系统面临的主要安全风险之一.网络层的安全风险包括以下几方面：l 黑客攻击外网通过防火墙与Internet公众网相连，所以Internet上的各种各样的黑客攻击、病毒传播等都可能威胁到系统的安全。其存在的安全风险主要是黑客攻击，窃取或篡改重要信息，攻击网站等。许多机器临时性（甚至经常性的）连接到外网上或直接连接到Internet上.这样Internet上的黑客或敌对势力使用木马等黑客攻击手段，就可以将该员工机器用作一个侦察站。l 网内可能存在的相互攻击由于公司内网中的各级网络互连，这些设备在网络层是可以互通的，在没有任何

16、安全措施的情况下，一个单位的用户可以连接到另一个单位使用的机器,访问其中的数据。这样就会造成网络间的互相病毒等其他因素引起的网络攻击。2.1.3 系统安全风险分析系统安全通常分为系统级软件比如操作系统、数据库等的安全漏洞、病毒防治.1、系统软件安全漏洞系统级软件比如操作系统、数据库等总是存在着这样那样的安全漏洞，包括已发现或未发现的安全漏洞。2、病毒侵害计算机病毒一直是困扰每一个计算机用户的重要问题,一旦计算机程序被感染了病毒，它就有可能破坏掉用户工作中的重要信息。网络使病毒的传播速度极大的加快，公司内部网络与Internet相连，这意味着每天可能受到来自世界各地的新病毒的攻击。2.1.4 应

17、用安全风险分析基于B/S模式的业务系统由于身份认证、数据传输、访问控制、授权、口令等存在安全隐患，从而对整个系统造成安全威胁.2.1.5 数据安全风险分析在系统中存放有的重要的数据。这些数据如被非法复制、篡改、删除，或是因各种天灾人祸丢失，将威胁到数据的保密性、完整性和一致性。2.2 网络系统安全设计针对上面提到的种种安全风险,对系统安全进行设计.2.2.1 设备安全设备安全在这里主要指控制对交换机等网络设备的访问,包括物理访问和登录访问两种。针对访问的两种方式采取以下措施：对基础设施采取防火、防盗、防静电、防潮措施。系统主机应采用双机热备（主备/互备）方式,构成集群系统；系统关键通信设备应考

18、虑冗余备份;要求利用系统监控工具,实时监控系统中各种设备和网络运行状态，及时发现故障或故障苗头，及时采取措施，排除故障,保障系统平稳运行。2.2.2 网络安全为保障网络安全，在网络上要采取以下措施：l 设立防火墙.防火墙作为内部网络与外部公共网络之间的第一道屏障，一般用在企业网与Internet等公众网之间的连接点处,防护来自外部的攻击，并过滤掉不安全的服务请求和非法用户进入；l 在内部系统的Web服务器到应用服务器之间设置防火墙，防止来自内部的攻击和破坏，保证系统的安全;l 进行入侵检测。对计算机网络和计算机系统的关键结点的信息进行收集分析, 检测其中是否有违反安全策略的事件发生或攻击迹象，

19、并通知系统安全管理员。l 采用相应技术和手段，保证网络安全。对传输数据进行加密,保障数据传输安全l 防止网页的篡改；利用防护工具防止黑客篡改或非法破坏网页，保证网站网页安全。针对防止网页篡改,推荐使用InforGuard。InforGuard主要提供文件监控保护功能，保证文件系统安全,防止被非法修改。InforGuard适用于网站网页文件的安全保护，解决了网站被非法修改的问题,是一套安全、高效、简单、易用的网页保护系统；采用数字证书技术实现InforGuard的用户管理，加强了对Web站点目录的ftp用户和口令的保护，防止了ftp口令泄漏造成的安全隐患;通过用户操作日志提供对网页文件更新过程的

20、全程监控.从而保证了网站网页文件的绝对安全.l 定期进行安全检查，查补安全漏洞，采用漏洞扫描软件对内部服务器浏览器和所有网络设备进行漏洞扫描,及时弥补各类安全漏洞.2.2.3 系统安全应用安全的解决往往依赖于网络层、操作系统、数据库的安全，所以对系统级软件的安全防范突显其重要性；由于病毒通过Internet网，可以在极短的时间内传到Internet的各个角落,而病毒对系统稳定性和数据安全性的威胁众所周知，所以对病毒的预防是一项十分重要的工作；同时对一些专用服务器的特别防护也是我们保证系统良好运行的前提。下面就从系统漏洞防护、病毒防护和专用服务器防护等方面来阐述安全防范的措施.l 系统安全漏洞防

21、护：通过系统扫描工具，定期检查系统中与安全有关的软件、资源、各厂商安全“补丁包的情况,发现问题及时报告并给出解决建议.l 病毒防护：在内网和外网中分别设置网络防病毒软件控制中心，安装网络版的防病毒控制台,在服务器系统和网络内的主机均安装防病毒软件的客户端。管理员负责每天检查有没有新的病毒库更新，并对防病毒服务器上的防病毒软件进行及时更新。然后再由防病毒服务器将最新的病毒库文件下发到各联网的机器上，实现全网统一、及时的防病毒软件更新,防止因为少数内部用户的疏忽，感染病毒，导致病毒在全网的传播。l 专用服务器的专门保护：针对重要的、最常受到攻击的应用系统实施特别的保护。对WEB服务器保护对Web访

22、问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全政策进行明确规划.对Email服务程序、浏览器，采取正确的配置与及时下载安全补丁实现。2.2.4 应用安全针对人为操作造成的风险,必须从系统的应用层进行防范，因此应用系统在建设时需考虑系统的安全性。具体包括以下几个方面:l 访问控制:操作系统的用户管理、权限管理;限制用户口令规则和长度,禁止用户使用简单口令，强制用户定期修改口令；按照登录时间、登录方式限制用户的登录请求；加强文件访问控制管理，根据访问的用户范围，设置文件的读、写、执行权限；对重要资料设置被访问的时间和日期。l 权限控制和管理：按照单位、部门

23、、职务、工作性质等对用户进行分类，不同的用户赋予不同的权限、可以访问不同的系统、可以操作不同的功能模块；应用系统的权限实行分级管理，每个系统的管理员自己定义各类用户对该系统资源的可访问内容。l 身份验证：通过采用口令识别、数字认证方式，来确保用户的登录身份与其真实身份相符,保证数据的安全性、完整性、可靠性和交易的不可抵赖性、增强顾客、商家、企业等对网上交易的信心。l 数据加密存储：关联及关键数据加密存储，提取数据库中表间关联数据或重要数据信息，采用HASH算法,生成一加密字段，存放在数据表中，保证数据库中关联数据的一致性、完整性，防止重要数据的非法篡改。l 日志记载：数据库日志：使得系统发生故

24、障后能提供数据动态恢复或向前恢复等功能，确保数据的可靠性和一致性。应用系统日志：通过记录应用系统中操作日志，通过事后审计功能为将来分析提供数据分析源，确保业务的可追溯性。2.2.5 数据安全业务数据是业务系统运行的重要元素,也是企业中宝贵的资源。这些数据如被非法复制、篡改、删除,或是因系统崩溃及各种天灾人祸丢失，将威胁到数据的保密性、完整性和一致性。由此造成的损失将是巨大的。为了保证数据的安全，通常的做法是对数据进行备份。数据备份解决方案大致可以分为两种:数据级的备份和系统级的备份。数据级的备份是指对存储在磁盘阵列、磁带库等设备上的数据的备份。系统级备份主要是指对服务器系统、数据库系统等系统的

25、备份。对于数据库系统备份，有两种方式可以选择：第一种是采用数据库自身的备份功能，其优点是不需要追加额外的投资,缺点是这种备份方式是手工进行的,备份效率较低，并且在备份时需要关闭数据库,即需要shutdown数据库实例。第二种方式是采用专业的备份工具，这种方式能够实现在线备份的方式，即在备份的过程中不需Shutdown数据库实例。同时，在备份过程中,通过追踪数据块的变动记录来实现增量备份，缩短备份窗口.在保持数据库online的前提下,这种方式还能够充分保证数据库的OLTP联机事务处理的性能。数据库的数据量庞大，可以通过同时驱动多个磁带驱动器来保证数据库备份的效率。通过这种方式，能够在夜间的非工

26、作时段内完成全备份，并在相对更短的时间段内完成日增量备份。在上述数据备份环境中，可以对操作系统及应用程序环境实现动态即时在线快速备份，即在不影响用户和应用程序运行的前提下，备份系统的动态数据，同时能够将传统文件系统的备份速度成倍提高。在前面的服务器平台设计中，我们为每台服务器都配置了两块硬盘,通过磁盘镜像（RAID 1）技术实现系统冗余备份，可以极大提高服务器系统的安全性.保证数据安全,对数据进行备份。2.3 系统的网络安全设计2.3.1 防火墙系统2.3.1.1 防火墙的基本类型实现防火墙的技术主要包括四类:包过滤防火墙、电路网关防火墙、应用层防火墙以及动态包过滤防火墙。其各自的特点如下：包

27、过滤防火墙：包过滤防火墙技术主要通过分析网络传输层数据，并通过预先定义的规则对数据包转发或丢弃。其检查信息为网络层、传输层以及传输方向等报头信息，典型的包过滤主要利用下面的控制信息：数据包到达的物理网络接口数据包的源网络层地址数据包的目的网络层地址传输层协议类型传输层源端口传输层目的端口包过滤防火墙有以下先进性：包过滤防火墙通常性能高,因为他们执行的评估比较少而且通常可以用硬件完成。可以简单地通过禁止特定外部网络和内部网络的连接来保护整个网络。包过滤防火墙对客户端是透明的，所有工作都在防火墙中完成。结合NAT（网络地址转换功能，可以将内部网络从外部网络中屏蔽起来.包过滤防火墙具有以下缺点：包过

28、滤防火墙不能识别上层信息，因此，同应用层防火墙以及电路网关防火墙相比，其安全性较低。包过滤防火墙不是基于连接状态的，因此，它不保存会话连接信息或上层应用信息。包过滤只利用了数据包中有限的信息。包过滤不提供增值服务,如HTTP Cache，URL过滤等。电路网关防火墙电路网关防火墙是一种基于连接状态的防火墙技术，它能确认、证实一个数据包是两个传输层之间连接请求、两个传输层之间已建连接中的数据包或两个传输层之间的虚电路.电路网关防火墙检查每一个连接的建立过程来保证连接的合法性，以及利用一个合法的连接信息表(包括状态以及序列号）来检查数据包的正确性。当一个连接关闭时，这个连接信息表就被关闭。电路网关

29、级防火墙主要应用下列状态信息：一个唯一的会话识别用于跟踪处理.连接状态，包括:握手、建立以及关闭。序列号信息。源网络地址。目的网络地址.数据包到达的物理网络接口.数据包离开的物理网络接口.电路网关级防火墙具有以下优点：电路网关防火墙通常性能高，因为他们执行的评估比较少。可以简单地通过禁止特定外部网络和内部网络的连接来保护整个网络。包过滤防火墙对客户端是透明的,所有工作都在防火墙中完成。结合NAT（网络地址转换功能,可以将内部网络从外部网络中屏蔽起来。电路应用网关具有以下缺点：电路应用网关不能限制TCP之外的其他协议集。电路应用网关防火墙不能进行严格的高层应用检查。包过滤不提供增值服务，如HTT

30、P Cache，URL过滤等.应用层防火墙应用层防火墙检查所有的数据包、连接状态信息以及序列号，同时还能验证应用层特定的安全控制，包括：用户名，口令等.大多数应用层防火墙包括一个特定服务程序和代理服务，代理是一个面向特定应用的流量管理程序，如HTTP、FTP等，能提供增强的访问控制、细节检查以及审记记录等信息.每一个应用代理一般由两部分组成，代理服务器以及代理客户，相对于发起连接的客户端来说,代理服务器充当一个最终服务器。代理客户端代替实际的客户应用同外部服务器进行数据交换。应用层防火墙具有以下优点:代理服务能完全理解和实施上层协议。如HTTP、FTP等。代理服务维护所有的应用状态信息，包括：

31、部分的通讯层状态信息、全部应用层状态信息以及部分会话信息。代理服务能处理和利用数据包.代理服务不允许外部服务器和内部主机之间的直接通讯，可有效的隐含内部网络信息。代理服务能提供增值特征，包括:HTTP Cache、URL过滤以及用户认证等。代理服务能很好的产生审记记录，允许管理员监控企图违反网络安全策略的行为。应用层防火墙具有以下缺点:代理服务需要替换防火墙服务器的本来的网络堆栈。由于代理服务要监听服务端口,因此，在防火墙服务器上不能提供同样的服务。代理服务对数据包需要处理两次，因此，性能比较差。通常,对于不同的应用，需要对每一个服务提供一个代理服务程序。应用级防火墙不能提供UDP、TCP以及

32、其他协议代理功能。代理服务通常需要修改客户应用程序端或应用配置。代理服务通常依赖操作系统提供设备驱动，因此，一个操作系统或应用Bug都有可能造成代理服务容易受到攻击。代理服务经常会遇到多次登录的情况.动态包过滤防火墙动态包过滤防火墙类似电路网关防火墙，但它提供了对面向非连接的传输层协议，如UDP的支持.其同电路网关有相同的优缺点。2.3.1.2 常用攻击方法了解常用的攻击方法可以更好的制定安全防范措施，常用的攻击方法包括以下几种:被动监听：这种攻击方法是攻击者利用网络监听或分析工具,直接窃获用户的报文信息，从而获得用户/口令信息,这时，攻击者就可以以合法用户的身份对应用进行破坏。地址欺骗：在这

33、种方法中,攻击者伪装成一个信任主机的IP地址，对系统进行破坏。端口扫描：这是一种主动的攻击方法，攻击者不断的扫描安全控制点上等待连接的监听端口，一旦发现，攻击者就集中精力对端口上的应用发起攻击.否认服务:这种攻击方法又细分为两种:即洪水连接和报文注入，洪水连接是向目的主机发出大量原地址非法的TCP连接,这样,目的主机就一直处于等待状态,最后由于资源耗尽而死机。报文注入就是在合法连接的报文中插入攻击者发出的数据包，从而对目的主机进行攻击。应用层攻击:这种攻击方法是利用应用软件的缺陷，从而获得对系统的访问权利。特洛伊木马：在这种攻击方法中,攻击者让用户运行一个用户误认为是一个合法程序的攻击程序，从

34、而寄生在用户系统中,为以后的攻击埋下伏笔.这种攻击方法最常见的应用就是在WEB服务嵌入Java Applet、ActiveX等控件，使用户在浏览网页时，不知不觉中被寄生了攻击程序.2.3.1.3 常用攻击对策下面我们对上面所述的攻击方法提出自己的防范措施。被动监听：在共享式以太网结构中，一个主机发送的数据会发送到一个网段上的每主机数据包被监听是不可避免的。而交换式网络根据目的地址选择发送的端口，因此，尽量连接桌面工作站到交换机端口会避免数据包被监听.对于同各个分支机构的按Extranet方式连接的采用IPSec技术对IP数据包加密,该加密算法对数据加密采用DES算法，其DES密钥是动态产生的，

35、连接双方加密密钥是通过RAS算法传送的，因此，具有很高的安全性。对于Internet个人用户的访问，数据被监听是不可避免的，因此，对这种攻击的防范是合理设定用户权限。地址欺骗：对这种攻击的防范采用扩展访问过滤列表方式，凡是从其他网段进来的数据包，如果其源地址不是来自该网段的合法地址，就抛弃该数据包。端口扫描：对这种攻击的防范采用扩展访问列表方式，拒绝非授权网络访问特定的网络服务。否认服务:对于洪水连接攻击我们采用TCP拦截技术，对一个主机的访问限制在一个可接受范围内,对于超过的可按几种设定方式丢弃连接.对于报文注入，Cisco PIX防火墙产品是一种基于状态的包过滤产品，本身能很好的防范报文注

36、入攻击。应用层攻击：改进、替换具有安全漏洞的应用服务器。特洛伊木马：对于这种攻击方式，首先应该教育公司职员不要运行不明来源的程序，避免内部主机被攻破，一旦内部主机被攻破，攻击者就可以以被攻破主机为落脚点，对内部所有主机进行攻击。对Java Applet和ActiveX的防范采用员工教育方式，教育职员不要访问不明站点，尽量在浏览器中关闭Java Applet和ActiveX功能。2.3.2 VPN路由器l 采用Cisco Router 进行IP数据包过滤，安全VLAN子网划分l 作为VPN配置路由使用，可方便进行安全访问的划分l 结合PIX防火墙、NetRanger入侵检测系统和NetSonar

37、安全扫描程序三者配合，最大限度地保证了企业VPN的可靠性和安全性2.3.3 IDS 入侵检测入侵检测 （eTrust Intrusion Detection 简称eID) 提供了全面的网络保护功能，其内置主动防御功能可以防止破坏的发生。这种高性能且使用方便的解决方案在单一软件包中提供了最广泛的监视、入侵和攻击探测、非法 URL 探测和阻塞、警告、记录和实时响应。l 网络访问控制入侵检测 (eTrust Intrusion Detection) 使用基本规则定义可以访问特定网络资源的用户，从而确保只对网络资源进行授权访问。l 高级反病毒引擎能够探测包含计算机病毒的网络流量的病毒扫描引擎.它可以防

38、止用户在不知情的情况下下载受病毒感染的文件。从 CA web 站点可以得到最新和更新后的病毒特征码。l 全面的攻击模式库入侵检测 eID 可以自动探测来自网络流量的攻击模式（即使是正在进行中的攻击）。定期更新的攻击模式库 - 可以从 CA web 站点获得 能够确保入侵检测保持最新。l 包检测技术入侵检测 eID 在隐蔽模式下工作，攻击者是察觉不到的。因为黑客不知道他们正在被监视，因此通常在未察觉的情况下被捕获。l URL 阻塞管理员可以指定不允许用户访问的 URL，从而防止了非工作性 Web 冲浪。l 内容扫描管理员通过入侵检测 eID 可以定义策略对内容进行检查。这可以防止在没有授权的情况

39、下通过电子邮件或 Web 发送敏感数据。l 网络使用情况记录入侵检测 eID 允许网络管理员跟踪最终用户、应用程序等的网络使用情况。它有助于改进网络策略规划和提供精确的网络收费.l 集中化监控网络管理员可以从本地或远程监控运行入侵检测 (eTrust Intrusion Detection） 的一个或多个站，在不同网络段（本地或远程）上安装了受中央站控制的入侵检测 （eTrust Intrusion Detection） 代理后，管理员可以根据收集到的合并信息查看报警和生成报告。l 远程管理远程用户可以使用 TCP/IP 或者调制解调器连接访问运行入侵检测 (eTrust Intrusion

40、Detection） 的站。在连接后，根据入侵检测 （eTrust Intrusion Detection） 管理员定义的权限, 用户可以查看和监控入侵检测 (eTrust Intrusion Detection)数据、更改规则以及创建报告.l 入侵记录和分析入侵检测 (eTrust Intrusion Detection） 为捕获信息和进行分析提供了全面的系统功能.在安装软件并指定归档地点后,用户可以定义在档案中记录会话的规则。然后用户可以通过浏览器过滤、排序和查看归档信息，并创建详细的报告。 入侵检测 eID 代表了最新一代企业网络保护技术，具有前所未有的访问控制、用户透明性、高性能、灵活

41、性、适应性及易用性等。它提供给企业一个易于部署的网络保护方案.2.3.4 CA认证与SSL加密2.3.4.1 CA的作用l 数字证书能为你做什么 :个人数字证书是网友进入21世纪的必需品.网上证券少不了它;网上缴款不能没有它；进入全球知名网站，更不得没有它。它简单易懂、安装容易，它比“卡”还要重要，是您身份的表征，网络新贵的识别证.现今不论X、Y、Z世代,您皮夹中至少必备四五张卡（提款卡、万事达卡、威士卡、会员卡、金卡、普卡、 卡、保健卡.)，因为目前是“卡”的时代.而在网际路上,您如果没有数字证书，不管您外表多young、多炫,多酷,依旧是寸步难行。因为“一证在手，走遍天下的时代已经到来。C

42、A为了更好地满足客户的需要，给客户提供更大的便利，设计开发的通用证书系统使得一证多用成为可能。l 数字证书和电子商务的关系电子商务正以不可逆转之势席卷全球的各行各业，但世界各地也面临着共同的阻碍-电子商务的安全问题,必须要采用先进的安全技术对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性.以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。数字安全证书建立了一套严密的身份认证系统，可以确保电子商务的安全性。l 信息的保密性交易中的商务信息均有保密的要求.如信用卡的帐号和用户名被人知悉,就可能被盗

43、用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。l 交易者身份的确定性网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店.因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作.对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成.银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身

44、份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。 l 不可否认性由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的.l 不可修改性交易的文件是不可被修改的，如上例所举的订购黄金.供货单位在收到订单后，发现金价大幅上涨了,如其能改动文件内容，将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

45、2.3.4.2 CA系统简介人们在感叹电子商务的巨大潜力的同时，不得不冷静地思考，在人与人不见面的计算机互联网上进行交易和作业时， 怎么才能保证交易的公正性和安全性，保证交易方身份的真实性。国际上已经有比较成熟的安全解决方案，那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术. 我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对

46、于自己的信息不能抵赖.系统特性l 高强度加密和认证 Universal CA采用基于RSA 加密算法的公钥体系加密和认证，可以生成512、768、1024位三种不同密钥的长度的证书,确保证书的安全性和可靠性。多种生成证书的方法 由用户的请求文件生成证书.在服务器端由管理员为用户生成证书。利用已有的数据库为用户生成证书。Universal CA 可以以上述三种方法生成证书,使用户应用极为方便。支持国际互联网Universal CA发放的证书不依赖于固定的内部用户，只需一个Email地址即可实现证书的申请及应用，因此具有广泛的应用性. 具有同其他系统交换数据的能力Universal CA 后台应用了东大阿尔派自主版权的数据库Oopenbase可以实现证书的海量管理,并具有同其他系统交换数据的能力,这使得系统具有良好的开放性与通用性。易使用、功能强 Universal CA运行在Windows环境下，将各种复杂操作屏蔽于后台，