作文一:《网络信息安全》7900字
中国地质大学长城学院
网络信息安全
——计算机网络安全与防御
专 业: 管理科学与工程系 班 级: 工程管理四班 姓 名: _____王志英______ 学 号: __ _02610414____ _ 联 系 电 话:__ _15232998309___ __
中国地质大学长城学院
摘要:
互联网正以惊人的速度改变着人们的生活方式和工作效率。从商业机构到个人都将越来越多地通过互连网处理银行事务、发送电子邮件、购物、炒股和办公。这无疑给社会、企业乃至个人带来了前所未有的便利~所有这一切都得益于互连网的开放性和匿名性特征。然而~正是这些特征也决定了互连网不可避免地存在着信息安全隐患。我们在享受信息产业发展带给我们的便利的同时~也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵~这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患~并提出了行之有效的解决方案。
关键字:网络信息,信息安全,计算机安全,技术防范
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题,并对常见网络攻击从技术层面提出了解决方案,希望通过网络安全建设逐步消除网络信息安全的隐患。 一、 网络安全的基本概念
1) 网络安全威胁的类型
网络威胁是对网络安全缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面,并且随着时间的变化而变化。网络安全威胁的种类有:窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。
2) 网络安全机制应具有的功能
采取措施对网络信息加以保护,以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能:身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。
二、 网络信息安全常用技术
通常保障网络信息安全的方法有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。
? 防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越
2
中国地质大学长城学院
来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
? 数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。
数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
? 防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
? 安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,
3
中国地质大学长城学院
强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
?认证中心(CA)与数字证书
互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。然而,由于互联网所具有的广泛性和开放性,决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险,许多新的安全技术和规范不断涌现。在PKI体系中,CA(CertificateAuthority,认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心,它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节,因此又称作PKI/CA。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
数字证书,又叫“数字身份证”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。
?身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。我们熟悉的如防火墙、入侵检测、VPN、安全网关、安全目录等,与身份认证系统有什么区别和联系呢?我们从这些安全产品实现的功能来分析就明白了:防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议;入侵检测系统能够发现未经授权用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网段,安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理,他们解决了哪个数字身份对应能干什么的问题。而身份认证解决了用户的物理身份和数字身份相对应的问题,给他们提供了权限管理的依据。
三、常见网络攻击方法及对策
网络中的安全漏洞无处不在。即便旧的,安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。
?网络攻击的步骤
1(隐藏自己的位置
普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的帐号上网。
2(寻找目标主机并分析目标主机
攻击者首先要寻找目标主机并分析目标主机。在Inter上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,WWW、FTP、Tel、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。
3(获取帐号和密码,登录主机
攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
4(获得控制权
4
中国地质大学长城学院
攻击者们用FTP、Tel等工具利用系统漏洞进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
5(窃取网络资源和特权
攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。
?网络攻击的常见方法
1(口令入侵
所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
2(放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3(WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的~例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4(电子邮件攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其它的攻击手段来说,这种攻击方法具有简单、见效快等优点。
5(网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRayforWindows95,98,NT、SniffitforLinux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
6(安全漏洞攻击
许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只
5
中国地质大学长城学院
要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。
?网络攻击应对策略
在对网络攻击进行上述分析与识别的基础上,我们应当认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使。还必须做到未雨绸缪,预防为主,将重要的数据备份并时刻注意系统运行状况。
1(提高安全意识
不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从Inter下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
2(使用防毒、防黑等防火墙软件
防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
3(设置代理服务器,隐藏自己的IP地址
保护自己的IP地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。
4(将防毒、防黑当成日常例性工作定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。
5(提高警惕
由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。
6(备份资料
对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
四、对网络信息安全的前景的展望
随着网络的发展,技术的进步,网络安全面临的挑战也在增大。一方面,对网络的攻击方式层出不穷,攻击方式的增加意味着对网络威胁的增大;随着硬件技术和并行技术的发展,计算机的计算能力迅速提高。另一方面,网络应用范围的不断扩大,使人们对网络依赖的程度增大,对网络的破坏造成的损失和混乱会比以往任何时候都大。这些网络信息安全保护提出了更高的要求,也使网络信息安全学科的地位越显得重要,网络信息安全必然随着网络应用的发展而不断发展。
从网络经济发展对网络安全产品带来的需求看,防火墙、杀毒软件、信息加密、入侵检测、安全认证等产品市场将具有巨大的市场前景,其中防火墙和高端的杀毒软件将占据市场的主要份额;同时,现有对网络进行被动防守的做法,将逐渐向网络主动检测和防御的技术方向发展。而入侵监测系统则是适应这种发展趋势的一种主动的网络安全防护措施,因此预计其需求量将成快速增长趋势。
此外,还出现了一些专门做信息安全服务的厂商。例如,北京中联绿盟公司提出,要通过提供远程渗透检测、全面安全检测、应用程序安全审计、整体安全顾问、安全外包、培训、紧急响应、远程集中监控、安全产品检测等项目为用户提供全方位的安全服务。目
6
中国地质大学长城学院
前,我国网络安全产品市场已进入激烈的竞争阶段,各厂商竞争的主要手段已覆盖了产品、技术、价格、渠道、服务等各个方面,他们的目的都是为了将产品从单一扩展到全面,这已经成了网络安全厂商谋求长期发展的一种重要策略。国内网络安全产品线已相对齐全,国内外厂商的产品已能够提供保障网络安全的防病毒、防火墙、入侵检测和安全评估、信息加密、安全认证以及网络安全整体解决方案等全系列产品。全国信息安全产品的产业化已经有了一个良好的开端。
五、参考文献
[1]贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,清 华大学出版社
[2] 黄月江,信息安全与保密,北京:国防工业出版社
[3]程胜利,谈冉,熊文龙,程煌,计算机病毒及其防治技术,2004.09,清华大学出版社
[4]张小磊,计算机病毒诊断与防治,2003,中国环境科学出版社
[5]东软集团有限公司,NetEye防火墙使用指南3.0,1-3
[6]段钢,加密与解密,第二版,2004.01,电子工业出版社
[7]张剑,网络安全防御系统的设计与实现,电子科技大学硕士学位论文,2001.01
7
作文二:《网络信息安全》400字
网络信息安全
[摘 要 ]在分析了当今网络信息传播存在问题的基础上,探讨了 构建网络信息传播保障体系遵循的原则,提出并阐述了网络信息传 播保障体系的框架和工作流程图。
[关键词 ]网络信息 安全
中图分类号:td608 文献标识码:a 文章编号:1009-914x (2013) 23-0030-01
分析了构建网络信息传播保障体系应遵循的原则的基础上,结合 分析研究实际情况,提出了网络信息传播保障体系的结构框架及其 工作流程图。
一、建立信息传播保障体系遵循的原则
1、实用性原则
2、平衡性原则
3、多层性、多样性原则
4、整体性、综合性原则
5、协调性、协同性原则
二、网络信息安全框架
构建网络信息传播保障体系是一个巨大复杂的系统工程,不仅仅 是购买技术或开发信息安全技术的问题,而是一个体系建设过程, 这个体系主要包括检测体系,安全防护体系和管理体系,主要内容 有政策、法律法规建设、管理、技术、产品、人才培训、资金保障、 领导重视、人们的认知观念等内容。在构建保障体系的过程中,认
作文三:《网络信息安全》4900字
4. 简述 Unicode 漏洞的基本原理。
答 :漏洞描述:攻击者可通过 IE 浏览器远程运行被攻击计算机的 cmd.exe 文件,从 而 使 该 计 算 机 的 文 件 暴 露 , 且 可 随 意 执 行 和 更 改 文 件 。 Unicode 标准被很多软件开发者所采用,无论何种平台、程序或开发语言, Unicode 均为每个字符提供独一无二的序号,如向 IIS 服务器发出包括非法 Unicode UTF-8序列的 URL ,攻击者可使服务器逐字“进入或退出”目录并执行 任 意 程 序 , 该 攻 击 即 称 为 目 录 转 换 攻 击 。 Unicode 用“ /”和“ \”分别代表“ /”和“ \”字符,但也可用“超长”序列来 代替这些字符。“超长”序列是非法的 Unicode 表示符,如用“ ? ”代表“ /” 字符。 由于 IIS 不对超长序列进行检查, 因此在 URL 中添加超长的 Unicode 序列 后, 可绕过微软的安全检查, 如在一个标记为可执行的文件夹发出该请求, 攻击 者即可在服务器上运行可执行文件。
1、 Linux 防火墙该如何设置
在终端中输入如下命令打开防火墙:
chkconfig iptables on
如闭防火墙则输入:
chkconfig iptables off
上述两条命令均要重启系统才能生效。
如果不想通过重启系统而即时生效的话,可以用“service”命令。缺点是重启 系统后设置会丢失。
开启了防火墙:
service iptables start
关闭防火墙:
service iptables stop
LINUX 防火墙的打开与关闭方法,学习 linux 的朋友可以参考下。
1) 重启后生效
开启: chkconfig iptables on
关闭: chkconfig iptables off
2) 即时生效,重启后失效
开启: service iptables start
关闭: service iptables stop
需要说明的是对于 Linux 下的其它服务都可以用以上命令执行开启和关闭操作。 在开启了防火墙时,做如下设置,开启相关端口,
修改 /etc/sysconfig/iptables 文件,添加以下内容:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
2、在 Linux 下安装 Oracle
检查硬件是否满足要求
1)确保系统有足够的 RAM 和交换空间大小,运行以下命令:
#grep MemTotal /proc/meminfo
#grepSwapTotal /proc/meminfo
注:所需最小 RAM 为 512MB,而所需最小交换空间为 1GB。对于 RAM 小于或等于 2GB 的 系统, 交换空间应为 RAM 数量的两倍; 对于 RAM 大于 2GB 的系统, 交换空间应为 RAM 数 量的一到两倍。
2)确保有足够的磁盘空间。 Oracle 10g软件大约需要 2.5GB 的可用磁盘空间,数据库则 另需至少 1.2G 的磁盘空间
3) /tmp 目录至少需要 400MB 的可用空间。
要检查系统上的可用磁盘空间,运行以下命令:
#df-h
检查系统是否已安装所需的开发包
使用 rpm -qa命令,确保以下包已成功安装。对于包的版本 , 只有版本高于下面的都可以 , 如果低于此版本 , 则要升级处理 , 如下 :
binutils-2.15.92.0.2-13.EL4
pat-db-4.1.25-9
pat-libstdc++-296-2.96-132.7.2
control-center-2.8.0-12
gcc-3.4.3-22.1.EL4
gcc-c++-3.4.3-22.1.EL44
glibc-2.3.4-2.9
glibc-mon-2.3.4-2.9
gnome-libs-1.4.1.2.90-44.1
libstdc++-3.4.3-22.1
libstdc++-devel-3.4.3-22.1
make-3.80-5
pdksh-5.2.14-30
sysstat-5.0.5-1
xscreensaver-4.18-5.rhel4.2
setarch-1.6-1
libaio-0.3.103-3
创建 oracle 组和 oracle 用户
创建用于安装和维护 Oracle 10g软件的 Linux 组和用户帐户。用户帐户将称为 oracle, 而组将称为 oinstall(用于软件安装) 和 dba(用于数据库管理)。
#groupadd oinstall
#groupadd dba
#useradd -m -g oinstall -G dba oracle – poracle (p表示添加帐号密码 )
创建 oracle 目录并改变目录权限
现在,创建存储 Oracle 10g 软件和数据库文件的目录。本指南在创建目录结构时所用的命 名惯例符合最佳灵活结构 (OFA) 规范。
以 root 用户身份执行以下命令:
#mkdir -p /u01/app/oracle # oracle根目录, -p 表示 递归建立目录
#mkdir -p /u02/oradata # oracle数据文件存放 目录
#chown -R oracle:oinstall /u01
#chown -R oracle:oinstall /u02
#chmod -R 775 /u01
#chmod -R 775 /u02
配置 linux 内核参数
#vi/etc/sysctl.conf,添加如下内容:
kernel.shmall = 2097152
kernel.shmmax = 2147483648 #此处默认设置为 2G ,数值一般设为物理内存的 40~50% kernel.shmmni = 4096
kernel.sem = 250 32000 100 128
fs.file-max = 65536
net.ipv4.ip_local_port_range = 1024 65000
net.core.rmem_default = 262144
net.core.rmem_max = 262144
net.core.wmem_default = 262144
net.core.wmem_max = 262144
完成后,运行以下命令激活更改:
#sysctl– p
注:Linux 内核非常出色。 与大多数其他 *NIX 系统不同, Linux 允许在系统启动和运行时 修改大多数内核参数。 完成内核参数更改后不必重新启动系统。 Oracle 数据库 10g 需要以 下所示的内核参数设置。 其中给出的是最小值, 因此如果您的系统使用的值较大, 则不要更 改它。
配置 oracle 用户的 shell 限制
#vi /etc/security/limits.conf 添加如下内容:
oracle soft nproc 2047
oracle hard nproc 16384
oracle soft nofile 1024
oracle hard nofile 65536
#vi /etc/pam.d/login 添加如下内容:
session required pam_limits.so
导出 x 图形界面给 oracle 用户
由于安装时采用的是 oracle 的 OUI 图形化界面, 需要 X 支持, 而默认 oracle 用户是不支持 图形化操作的,必须以 root 的身份导出 X 给 oracle 用户使用。运行如下命令:
#xhost +
access control disabled,clients can connect from any host
出现以上文字表示导出成功。
3、 Pe 病毒的原理
病毒的重定位 (1)病毒为什么需要重定位
都说病毒第一步要重定位, 那到底为什么要重定位呢?我们写正常程序的时候根 本不用去关心变量 (常量) 的位置, 因为源程序在编译的时候它的内存中的位置 都被计算好了。 程序装入内存时, 系统不会为它重定位。 编程时我们需要用到变 量(常量)的时候直接用变量名访问(编译后就是通过偏移地址访问)就行了。 病毒不可避免也要用到变量(常量),当病毒感染 HOST 程序后,由于其依附到 HOST 程序中的位置各有不同, 病毒随着 HOST 载入内存后, 病毒中的各个变量 (常 量)在内存中的位置自然也会随着发生变化。病毒在编译后,变量 Var 的地址 (004010xxh ) 就已经以二进制代码的形式固定了, 当病毒感染 HOST 程序以后 (即 病毒相关代码直接依附到 HOST 程序中),由于病毒体对变量 Var 的引用还是对 内存地址 004010xxh 的引用(病毒的这段二进制代码并不会发生改变),而 004010xxh 地址实际上已经不是存放变量 Var 了这样, 病毒对变量的引用不再准 确,势必导致病毒无法正常运行。
既然如此,病毒就非常有必要对所有病毒代码中的变量进行重新定位。
获取 API 函数地址 (1)为什么要获取 API 函数地址
Win32 PE 病毒和普通 Win32 PE 程序一样需要调用 API 函数, 但是普通的 Win32 PE 程序里面有一个引入函数表, 该函数表对应了代码段中所用到的 api 函数在动态 连接库中的真实地址。 这样, 调用 api 函数时就可以通过该引入函数表找到相应 api 函数的真正执行地址。
但是,对于 Win32 PE病毒来说,他只有一个代码段,他并不存在引入函数段。 既然如此,病毒就无法象普通 PE 程序那样直接调用相关 API 函数,而应该先找 出这些 API 函数在相应动态链接库中的地址。
对称加密方法和公开密钥算法有什么异同?
对称加密算法
是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原 始数据) 和加密密钥一起经过特殊加密算法处理后, 使其变成复杂的加密密文发 送出去。 收信方收到密文后, 若想解读原文, 则需要使用加密用过的密钥及相同 算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中, 使用的密钥只有一个, 发收信双方都使用这个密钥对数据进行加密和解密, 这就 要求解密方事先必须知道加密密钥。 对称加密算法的特点是算法公开、 计算量小、 加密速度快、加密效率高。不足之处是,交易双方都使用同样钥匙,安全性得不 到保证。 此外, 每对用户每次使用对称加密算法时, 都需要使用其他人不知道的 惟一钥匙, 这会使得发收信双方所拥有的钥匙数量成几何级数增长, 密钥管理成 为用户的负担。 对称加密算法在分布式网络系统上使用较为困难, 主要是因为密 钥管理困难,使用成本较高。在计算机专网系统中广泛使用的对称加密算法有 DES 、 IDEA 和 AES 。
公开密钥算法
非对称式加密就是加密和解密所使用的不是同一个密钥, 通常有两个密钥, 称为 “公钥”和“私钥”, 它们两个必需配对使用, 否则不能打开加密文件。 这里的 “公钥”是指可以对外公布的, “私钥”则不能, 只能由持有人一个人知道。 它 的优越性就在这里, 因为对称式的加密方法如果是在网络上传输加密文件就很难 把密钥告诉对方, 不管用什么方法都有可能被别窃听到。 而非对称式的加密方法 有两个密钥, 且其中的“公钥”是可以公开的, 也就不怕别人知道, 收件人解密 时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。 RSA 是 Rivest 、 Shamir 和 Adleman 提出来的基于数论非对称性 (公开钥 ) 加密算 法。大整数的素因子难分解是 RSA 算法的基础
作文四:《网络信息安全》10700字
206/318
/考书参及目址
1. 计算网网机络安全术技潘瑜 科学 出版
《网络信社息全安
》 计2机算网安络教程全石志国 华清学出大版社2 .
中国学技术大学 科明军 肖xioajm@stc.udu.en htctp://tasf.futc.edsu.c/nx~ioaj 席m菁 jnigx@uistce.ud.n
3.计算机c全安导学论 aMt Btisop 电子工业出h社版
课程明
说 ?课学时程安
? 总排时学50 /2
0本
程课学生的要对
? 求解了和握网掌络与信息全安的基原理本相和关 技术 ?注国内关最外新研成究果和展动态 ? 具发有网络与息信安全基的本理基础和论基本实 践能力
?
成绩比
? 例考试0-76% ?0作业40- 0%3
2
05年1大网十安全络件事
! 美?国史以来有大医疗最构机露泄事,Anth件m失8e000个人信万
?息美国第 大二疗保险医司A公thnm首席执e行约官瑟夫明称声An,tehm 受了“有针对性到外的部攻击,丢失”据包括用户姓数名出生日、、客期 户D、社会保I险、地码、址话号电、码邮件地等址此。前,美医国疗机构 据数露泄有先早:例4年家1得宝506万0信用卡数据被客黑访问;1年塔吉3 丢失特004万信用卡和7000万0户信客…息
…025年十大网络1安全事!件? 全球
最大外情网站A婚hslyeMad sin被黑o
? Aslehy Mdason专i为职已人婚士提约供会务。服0215年8月黑客,团 队I“pmat Team”公c了布该从网站窃取近10的的用G户数据该。件事,中电视 明星政兼客Jos Duhgar、g国英著伊名兰传教士H斯maazTz rtzosi等 社会流名纷纷中,身败名裂箭
。?
黑客公Hack司ig Tenam惨黑吃遭
? 黑HakicgnT ea是m全球最名昭臭著的客公司,曾因黑大的强监控软系统 R件emteoCode yStems(R C)及S媒监控工具达芬奇体(a DiVci)n出而 名素,有“网军火商”络之称。 2150年马失蹄,其军前火库被,至端 4少00的文G件被取。失窃窃的“药弹”,包中括种平台各木的程马(含 序 源 代码 、 ) 公 未开漏 洞 ( 0dy a ) 大、 量电子 件 邮 各 与 种商业 合 同 、Ha kigT am内部部e分工的员人个料资和密……
码
?宽英带运商营alTTalk被k反复击后,攻00余万用4隐私户数终据露
泄 英?国宽服带提务供 Ta商lkalkT 于 205 年110 月 2 3证日,约 实040多 万用户 的私隐数被泄据。其中包括露用姓户名、地、址生日出、期话电号码、电 邮子箱 、aTlTkakl号账信,甚息至用卡信银或行账号详的信细息。 事等实,这上经是已TlkaaTlk今第年三遭次黑客受攻。击
1
201/3/6
2018年十5大网络安全件!事? 社保系统
洞漏曝光险泄露千,用万户息信?
4中月旬全球,最的大洞漏响平应台“天补洞漏应响台平”发布信息称 :0余个省3的市保、户籍查询社、疾中心等控系存在高统漏洞危;仅社 保信息安全类漏涉及洞据数就到 527达.9万4条包,括
身份证、社参保保信息、财务 薪酬、、房屋等感敏信。息社部人对此应回“从目前监:的控情 况看 未尚现发公个民人信泄漏事件 息”不令过担人的忧 是况,尚看发未现民公人个息泄漏信件事 。过不人担忧的是令,保系统社 保系统社 漏等尚未完全洞修复,量敏感大信仍息处在危的险环中。境除之此,外 易邮网、7箱酒店网站等大在今都曝年出信安全息问。
题0215年十网络安大全件!事
?海 康视威黑被客入代植码 导被致程监控
远? 0251年2月 27 ,江日省公安苏厅发称,该省文安公系所统使的海用康威视监控 设备“,存严在重安隐全”患,“分部备已设经被外境 IP地控址制 ”随即。,月27日夜2,间康威海发布视“针了设对备安全的明说。 说”明称,苏省公安江统系部分在联网上互海的康视设备威因,设备弱口 问令被黑题客击攻 同天些晚时 海康威视候在网官上再发布《致次用户 问题黑客被击攻同。一晚天时些,海候威康视在官网上再发次《布致户用 》称,书司公已第“时间一与江省苏安厅沟通”,公且并织了组技团术队,帮 助江各地苏进行口令市修改。尽管公司进行等紧了停牌处急理但在,对相 关情进行况沟通说明复牌后时,康海视股威价是遭遇了还大,跌一并 跌停度,日单值蒸市发0亿元。9
?
携程网内 员部误工除删代码 站网体宕整机2小时1? 20
5年152月日上午118:09携,官程和网Ap客p端户面大积瘫痪,项 多功无法使能,直至晚用上22 45时,携程分官方确认才个除别务业,携外 程站及A网P恢复P常,正据没有丢失数。而成造事故因原“内人员部错误 作导操”。业内致析分,“ 机宕”一小的平时均损为失01.684万美元 从,瘫痪到复修,程携“宕”机12近小,算下来总时失损超120过万0元美,折合 民人币400多7万
。?
支付宝 机电缆房挖被 部断区分服务域中
?断 015年 5月 227,支日宝大付面瘫痪积电,脑端移动端和无均法行进账转 付款缘由,杭州市萧是区某山光地被挖断,缆进导致而付宝一个主要机 支受影房响,导部分地区致支付宝的服中断数务小。时
2015年十大
络安全网事!
?件网易 干网遭骨击攻百万 户用法打游无
? 戏2150年 5月1 日晚上1 21左点,右网旗下网易易云乐音易、、信道云笔 记有等内的数在款产品以及线全戏出游现无了连接法服器务情的况。影响 这味着意亿用近,户中其含包40万0戏用户游。网易方发官布告公,“因称 骨干网出现络异常导致网易旗下,分游戏部及网论站暂时无坛登陆,技法 术员已经人抢在修 中”到直5 月21早上日6点 多,大部分产品在才复 恢术员人已在抢修中经”直到。点多 大分产品部才在复恢 正
常。
第一章
计机算络安全网述概? 教
学的:
?目 掌计握算机网络安的全基本念、网络概临面的各 种安全威、胁产生全安胁威原因的以,及网 的安全机络制。
? 苹
X果Ghsto事
件? 2105 9月 1年7,网日上息消曝非官方光下载的果开发环苹境Xc od中包 e含意恶码代会自,动编向的译PAP应注入用息窃信和取远控制程功能。经确 认,括微信、网包云易音、高乐地图德滴滴出行、、路铁1 2360, 甚 一至些银的行机应手均受影响。A用p Sport e上超300过个应0被感染。用该 件不事仅打破苹果了统系的安全神,也话成为了年今国影响内最的安 全事故大
。
?重 与难点点:
?网安全络本基概、念生产安全威的原因胁
第一章
计算机网络安 全概述?
着随nteInrt迅e猛展发和络网社会的到来化网 络,经已所不无地影在着社响的会治政、济经文、 、化事、意军形态和社会识活等生个各方。同面 时全球范在内围针 对要重息资信和网源络基础 时全球在围范内,对针要重息信资和源网基础络设施的 入侵为和行图入侵行企的数为仍在持续 量不增断加,网络击与入攻侵行为国对安全家经、 济和会生活社成造了大极威胁的因此,网络。 全已成安为界世各当国今同共关注的焦。
1点1. 络网全安的会社意义?
络安全网与治政
?政 网府络施电子实务,政安其直全接表了代国家形 。象 19992-001年期 ,我国间政府 站遭受网4了次大黑客的攻击件。事?1
999年月1美国黑,组织“客国美下军地” 团?99197月年,李登提出辉两论时 ?国200年5月,0国轰炸美我驻南盟联使馆后大 ?020年145-,月王伟撞机事后
件2
012/36/
81
1 网.安络的全会意社
义?网络 安与经济
全 ?家的国息化程度越信高,民经济国社和会运 行信息对源和资信基础息建的依设赖程度 高越。目前,我计国机犯罪的增长速算度过 超 高前目我 计算国犯机罪的长速增超度过了 统传犯罪的:97 年0余2起 ,89年 421,起99 9年8起,00年上0年1420起,半再来 后已法统计无了。要主是利用计机实施算金融 犯,罪的涉有案额金达几个亿。
11.网络安全的 社意义
?会网络 全安社与会定稳
? 互联上散布网的假信息虚、害有息信社会对管理序造成的秩危 害要比现实,社中一个会谣言得多大
。?
络安网与军全
? 二事,战美破译日国本密,几乎码全山本五十歼舰六队 。 ?络网争与战络部网队:
国组美建空作太部队战建,了成辖下0万部队的1络网令部司 70年140络黑客网队(部I>Q401) 战略支援部队俄 罗建立空天斯军,组建了网战指挥络构和部机队 国英动新锐启网络战队部“第7旅”7
网络战争
例事
网战络是始19于88年1月2日,当晚,美国1防国
部战C4略I系统的算计机主控中和 心各级指挥心中继遭相计到机病毒的入算,侵约共 5008军用计台算机感染毒病其中 6,000无部正法常运行,造成接经直损失济亿美元上。这起美国由奈康尔大学计机算系 2岁3研究的莫生里斯制造的性事恶,件向们人展示网络了的战本方基和式大威巨力。 次把首络攻网击手段引到战争中并入发挥作用,是 1的99年1海湾战的争。战开,前 国中美央情报派局特工伊到克,拉将其从国法购的买防空系统用的使打机印芯片换 上染有了计算机毒病的芯。片战略在袭空前,又遥用控手段激活了毒,病致伊防空使 挥中指心主计机算系程统错序,防乱系统空的CI3系统灵。 在失1 99年9的科沃战索争中,络网的规模战效果都和增有减。南无盟使用多联种算 机计病,毒织“组客黑实”网络施攻,使北击军队的约一网些站垃圾信被息阻塞北约,的 些一算计网络系统曾机一度痪。北约瘫一方面化强络网护防措施,一方面另施实网 反击络战将大量病毒和,骗欺性息信注南入军算计机络网系统致使,南军空防系陷统 于痪瘫。
1. 网2安全络本基概
?念网 络全是安门一及计涉机科算、网络学 技、术信通术、密技技码术、信安全息术、技应用数 、学数论信息、等论多学科种综的 合科学性。 合性科 学 网?络安全指是络网系的统件、硬件软其及 系中的统据数到受护保不受,偶的然者 或恶意原因而的到破遭、更改、泄坏露确, 系保统连续能靠正可地运常,网行络务服 中断。不
12 网.安络基全概念本?
黑 (客hcake)r骇与客(rackce)r?
客黑于源英文词单“achk”,意原为劈“、砍”的思意,在2世050年纪初期成 代麻省理为学院( MI工T)学生俚语的有“恶,剧作之意”尤,其指手巧妙法技, 术高的恶明剧作并且带,有既反有体的制彩色。 ? 黑本意指客一计算些机平很水的高序员,他程们可发现系统中潜在以的漏洞, 此彼之间经在计算机网常中络相交换互全安信和息安全术技但,从不对来人别的计 算机系统进蓄行意破坏黑。最早开始于客M T,是一I在贝尔群验室里专门钻实 研级计高算技机术的。人 ?早期黑客们通,过客黑这种手段自向的己目标奋着斗60年:代他们反对技术垄,断 7年代0提电出应脑为该民所用,8年0他代们提又信出共息享,可说以今天全的 球信息化他们也一份功有。但到了9劳0代,年事情始变了,开技不术是少再人数的专有 力,越权越来多的都掌握了人这,些致导了黑的客念与概行都发为生很大了 的变。化现在的黑客已经了利成技术用段进入其手权限外以计算的机统的系人, 们人他们已对再不是往以的崇,拜多的是更
畏惧批和评从某。角个度来说现, 在络上的大多数网黑其实根客本不用配黑客这名个称。
1.
网2安络全基本念
概?骇 客是正网络搞的乌烟瘴把气罪的祸魁。首所谓客就骇是用利现 的有一程些进序别入人计的机系算后统现安发全漏洞,且利并 这些漏用破洞坏的你网,站让出洋相;还你那些有专破译门件密 软码从而的作制盗软版件的人是骇客也一的种。骇们大客多也不只过 是为炫了耀己自技术,的多数人并大没有意恶,未具有必很 高技术的但其,中还是不一些乏心险恶之用人利,用自的己技术 行进络网犯罪。? 红客说是则国黑中起客的字名指那,些维护家利益国不去,用利网 络术入侵自己国技电家,脑是维而正护义,为捍卫中国主的权而 战黑客的们。
3
21603//8
1
2.1 .络网安全护范保围
信息安全网 络安全 算计系统机安全 密安全码
1.2.2
络网全安重侧(1/点2)
? 研究员人更注关从理论采上用数方学法确描述精安属全。 ?性工程 人从员际实用角度应成熟的网对络安解决方全案和型新络 安全网品产感兴更趣 。?评 估人员较关多注的是网安络全评价标准、安等级全划分安全、 品测评产方与法具工网、络息采信集以网及络击技术攻。? 络网管或网络安理管全人员通常更关心理络安全网理管略策身 、认证份访、控制问、侵检入、网测安全审络、计络网全应安响急 和计算应病机防毒等安全技术治。? 国 安全保家部门密来说必须,了解络信息网泄露、窃和过听滤 各的种术技手段避,免及国涉家政、军事、治经等济要机密信息 的重无意有或泄意;露抑和制滤过胁国家威安全的动反**与等意识 形态息传播。信
1图. 网1络全保护安范
围
12.2. 络安网侧全重点2(2/)
? 公共对安全部而言,应门当熟悉家国行和业部门布的颁用网常 络全安察监法律规、网络法全取证安网、安全审计络、识知产权保 、护社会文安化全等术技一旦发现,窃取破环或商机业密信、息 件盗软版、电子版出侵权物色、情暴力与信息传等各种播络违网法 罪行犯,能够为取得可信、完的整、准的确的符、国合法家律法规的 诉证据讼 。?军事人 则员更关信心息对抗、信加息密安全、通协议、信线网 无安全、入侵攻击和网络络病传毒播等网安全络综合术技,通过 合综利网络安用全术技夺取络网信优势;息乱扰方指挥敌系;统 摧敌毁方络网础设施基以便赢得未,来信战争的息决胜权。
1
2.. 3络安全的内网
容?物理安全 ?逻辑安 全 操作系?安统 全 联?网安全
一物理、全安?
1 防. 盗 ?其他的物体一样,像算机计也是偷者的窃目标 ,如例走盗盘软主板等、。计机算偷窃行
为所造的成损可能远失远过超算计 机身本价值,的因必此采须取格严防范措的施, 确保以算计机备不会丢设。失
2?.火防
、一理安全
? 物算计机机发生火灾房般一由于是气电原、因人事 为故或外部灾蔓火延引起。的气设备电和路因为线 路短、过、接触不良载、缘绝破坏或层电等静原引 因起打火电导致而火灾。为事故人指由于操作人员 是慎不,烟、吸乱烟扔等头,充使满燃易质物(纸 片、如磁、带胶片)的机等房起火当,也不然除排人 为意故火放外。部灾蔓延火是外因部房间或其他 建物筑火而起延蔓机房而引起到灾火。
4
02163/8/
一、理安物全
? .防3电
静 静电?由物是间的相体摩互、擦接触产而的,生 计算机示显也器会生很产的静电强。电产 静生,由后未能释于而保留在放体物,内有会生 后由于未 能放释而留保物体内 在会有很 的电位高能(量不大)从而,生产静电放电 火,花成造灾火还可。使能规模集成电大器 损,这种坏损可坏能不知是不造觉的。成?
4.防 雷击
一
物、安理全
?
用引雷机理利的传统雷避防针,雷但不增加击雷 概率,且产生而应雷感,感应而雷电是子息设备信被损 的坏主要杀,也是手易燃易品爆被燃引爆起主 要原因。 ? 的雷防范击的要措主是,根施电气、据电微子设备的 不同功及不同受保能程护和所序属保层确定防护护 点作要分类护;根据雷保电操作和瞬过电压危间害的 能通可从电道源线到据通信数线路应做都多级层 护保
一。物理安、全?
5. 防电磁漏
泄? 电计子算机其他和子设备电样一工,时作要产 生电磁发射。电磁发射括包射发射辐和 导传射发这两。种电磁射发可高被敏灵的度接 导发 这两种射电磁发射可高被敏灵的度 接设收接备并收进行分、还原,析造计算机 成信的息露。泄? 蔽屏是防电磁漏的有泄效措,屏施主蔽要 电有蔽、屏屏磁和蔽电屏磁蔽三种类。
型、逻二辑安全?
算计机逻辑的全需安用要令口字文件许、可、 查账方法等来现。实 可以?制登限的录数或次对探试作加操上时间制限 ;以可用软来保件护存在计储机算件中的文息;信限 制取存的一种另方式是过硬件通成完在,收接 到取要存后求先询,问并校口令,核后访问然 列于录目中的授用权户标志号。此外,有一些安 全软件也包可以跟可疑踪、未授权的存的取图, 例如,多次企登录请求或别人的件。
文
三操作系统、安全
?操 系统是计算作机最中本基、最要的软重件。 同一算计机可以装安几不种的操作同统。系如计果 机算系可提供给统多人使许,操用作统必须能 系分区用 以户于防止便他们相干扰
互。 区用分,户便以于防止他们相互干。扰 一些安全?性较高、功较能强的作操系统以为计可 机的算每一位户分用配户。账常,通一个户用 一账个户。作操统不系允许一个户修改用由另一 个户产生账数据的。
四联、网安
全?联网 的安全性过通以两下方的面安服务来全 达到
: ?1.问访控制务:用服保来计算护和机联资网源不 被非授权使用 。 ?.通信2全安服:务来用证数认据密性与完 整性,机以各及通信的可赖性信。
5
20
6/3/81
1.2. 网络安全目4
?标 网安络的全最目终就是标通过各技术与种管理手 实现网段信息络系的可统靠、性可控、性保密性 、整完、不性否认可性和可性用。
? 靠可性reli(aibilty e ba t)y是有信所系息统常运行正 的基本前,通提指信息常系统够能在定规条的 件时间与内完规定功能成特的。性? 控性可(octrnlolailityb)指信是系息对统息 信内和传输具有容控制能力特的性。
1..2.4 保密性1?
保密性 (ofdeinialtiyt保)密是网络 性信息被泄露给不非授权用户、的体或实 程,或过供利其用特的性。,即防止息信漏泄给 非授权人或个体 信实息为授只用户 权给授非个权或人实体,信只息为授权用 户使用的特。性 ?保密性主要通 信过息密加、份认身证、访 控制、安问全通信协议等技术实现,信息加密是 防止信非息法泄露最基的手段本
1。.2.41 保密.性C
1.2.4.
完2整
? 性完整(性nitergiy)t指是息信未授经权不改能变的特 。性网即信络在存息和储传输过中程能不被偶然或蓄意修改、 除、伪删、造序乱、添加等破坏或丢失 特的。它要性信息在存求和储输传程过必须 中保持原样。? 完 整与保密性性同不,密保性要求信不被息泄给露未授 的权,人而整完则性求要息信不致受到各原 因的种坏破影响网。信息完整性的络主要素因有:设 故备、误码障、为人击、攻计算机病等毒
A
。B
1..4.2 2整完
C
性
.21.4 .3 可否不认
?性 不否认性可non-rep(udatiio)n也为称 可抵赖性不拒绝否认性。或网络信在息系的 信统息互交程中,过确参与信者真的实同一。 即,性所参与者都有不能可认或抵否曾经完 成赖操作的承和诺 ? 利用。数签名能够防字止通双方信认曾否经发送和接 信息的收实事。
A
B
6
02613/8/
1
2.4. 3.不可 否认
性
1.24. 4. 用性可
可?性(用vaiAlbility)是指a信息源资容许
A
授
权用按需户访问的性特有,性效信息 系是统面用向服户务安的全性。特息信系统只 有持续有,效授用权户能才随、时随
地B
A
据自己的需根要访信息问统系供提的务。
服1.2.
网络5安全模型?
为 实了现网安全目络,安标研全究员人望希通构过造 网络安
全理论型获得完整模网络的全安决解案方早 。期的网络全模安主要型安全从作系统、操信息密加、 份身认证、问访控和制务安服访问全方面等保来网 络障统系的安全性 但络全安决方解 案系络统安的性全,网但络全安解方决是一个涉案及法个 涉 律、法法规管理、技、和术教等育个多素因复杂系统 的程工,单凭几安个技全术不可保障能网络统系的全 性。安事实上,全安只有具对相意,义对绝的全只是安 一个念理任,何安全模都不可型将所能有能可安的全 患都隐考周全。因此虑理,想的络安网全模型远永不会 在存
1。.2. 网络安全模型5P-RR
采D取一手切段保 信息护统 系(要是静态主手 )段 检测。地本网安 络漏洞全存和的在 法信息流,非从 有效阻止而网络攻 击。
护 信息保保
障检
测及时恢系统复使,其 快尽常正对外 提供务服是降低,网 攻击络降和损低 失的效有途。径
恢
响复
应对危
及络安全的事网 和行为作出反件应, 阻对信止系息统进的一步破坏 使并损失降 最低。到
图
.2 1PDR网络R全模安型 Proecttoni护保 deettcion测 检erpsnos响应e rcoveery复恢
1
..2 网络安5全型-P模DR
R 注?
? 保护、意检、测恢、响应复几这个阶不段孤 是的立构,信息建安全保障体必须系安全的从各 方个进面行考虑,只有技将术、理管策、略、工程过 程等方面紧结密合,安全保体障 才能系为成全方安案设和建设的计力有依据。
.215.网 安络全模型
安全?保护是络安全网第的道防一线包,括安全细则、安全配 置各和种全安防措御,能施够阻止 绝多大网络入侵和危害行为数。 ? 入侵检是网测安全的络二道第线防目的是采, 主用动出击式实时方测检合法户用滥特权用第、 一防线遗漏的攻道、击知攻未击各和威胁种络网安全 异常行为,的过安通监全中心控掌握整网个 络运行状的态采用,安全与防措施联动御方尽可 能降低威胁式络安全的风险网。
7
201/3/68
1. 3络网安全面的临胁
1.威.1 网络安全面临的威胁3
1..3 1网络安全面临的胁威
物理?胁 威 ?统系漏洞造成的胁
1威..3 2络出网安现威胁的原全
因? 身
鉴别威胁份 ?缆连线威接
胁13.. 3网安全面临络困难
的? 害程有
序 1物威理胁
? .偷窃 1?网络安全 的中窃包括偷窃设偷备偷、信窃 和偷息窃务等内服。如果他们想容偷的信息 计在机里算,他们一方面可那将整以 计算机台偷走,另方一面通监过视器读计 取算机中的信息。 ?2.废 搜物
寻 物理威胁
1?
是在废就物(如一打印些来出的料材废弃或的 盘软中搜)所需寻的要息信。在微机上 废,搜寻物可能括从包抹未掉用东有西的盘软 硬或盘获得上
有用料资
?。 3间谍行.
? 为是种一了为钱省获取或价有值的密、什机 不道么德行为都会的采用的业过程商。
1 理威胁
?物4 身.识别份误错? 非
建法文立件或记,录图把他们企作为有效 的、式正产生的件文记录或,如具有对份身 鉴别特物品征如护、执照照出、生证明或加 的安密全进卡行伪,属于造份识身发别生 误错的畴范。这行为种网络对据数成了构巨 大威胁。
的2
统系洞漏成造的胁
?威 1乘.虚而
入 例?,如用户停止了与某A系统的个通信但由于,某种原 因仍使系该上统的一个口端处于活状态,这 时,激户B通过这个端用口开始这与个统系信通这 ,样就不必过通何申请使用端口任的全安查了检。
?.2安全服务
不?有 时作操系的一些服统务程序以可绕机器的过安全系 ,互联网蠕统虫就利用了Brkeeey UNIL系统 X中三这个样的可过绕机制。
8
21603/8/
2
系漏统洞造的威胁
成 ?3.置配和初始
?化如果不得不 掉关一服台器务以修它维某的子系个,统几 天当后重启服动器务,时能可会致招用户抱的, 说他怨们的文丢件了失或篡被改,了就有这可是在 能统重系新初始化,时全安统没有被正系地初确始化 ,而从留了安全下漏让洞利用,类人似的问在题特 洛伊马程序修改木了统系的全配置文安时件也会生发
。3 身份
别鉴威胁?
.口1圈套
令 口令?圈是套网安全的一络诡计种,与冒顶替名关有 。用常的口圈令套通过一个译代码编块模现,实运 它起行和登来屏幕录 模样,被插入 到正常有录登行起来 和录屏登一模一样幕被插入,到正有登录 过常之前,最终用程户到看只的是后先个两登录屏, 幕第一次登失败了录,以用所户被要求输入再用户 和口名。实际上,第一次令录并没有失登败,它将 录数据,如用户名登和口令写到这个数据文件中入, 待留使用
3。 身鉴份别胁威?
.口2破解令
?破解口 令象是就测猜行车密自锁的数码字合一组样 ,在领域该中已形成多许能提高功成的技巧率
3。身 份别鉴威
胁 ?4.编辑令口
?编 辑口需要依令靠部内洞漏,如果公司部 的人内立建一个虚了的设户账或改修了个隐一 账含户口的,令样,任这知何那个账户的 用户名道和令口的人可便访以该问机了。器
?
3算.法考虑周不算法考虑不周
?口令输 入程过须在满必足定条件一下能正才常地 工作这个过程通过,些某算实法。在现一些击攻侵入案例中, 入者侵采超长用字符的串坏了口破算令,法 成功进入地了统系。
线4缆接连威胁? 1.窃听
对通信?程进行过听窃可达收集信到的目息,的这种电 子窃不一定听要需窃设听备定一装 在线缆安
上,以通可过检从测线上发射出来 的电磁连辐射就拾能所取的要号,信了使机为 内部构通的信有定一保的性,可以密用加使 密手段防来信息止解密被
4。线缆 接威连胁
2?.号进拨
?入 有拥一调个解调制器和个电一号话码,每个人都可以 图通过远程试号拨访问网,尤其络是有拥期望 所击攻网的的用户络账时,户就会对网造成络大的很威胁 。 威胁
? .冒名顶3替
? 通使用别人过的密码账和时,获号对得络网及数 其、程据序使用的力能这种办法。实现起并来不容易 ,而且一需般有要构机部内的了、解络网操作过程 的和人参。
与
9012/3/8
65 害有序
? 程.1病
?毒 病是毒种一自把己拷的贝着于机器附中另的一 程上的一段代码序通。过种这方式病可 毒进行自我复制,并随着以它附所的程序在着 器机间传之。
?播 2.代码弹
5炸有 程害序
? 是一
具有种杀伤的力代,码原理其一旦是到设定达 的日或期点,钟或在机器发生了中某操种,代作 码弹炸就触发被并开始产破坏生性作。代操炸弹码不必 病像毒样那处四播传程序员将,码炸代写弹软 入件,中使其生了产个一不能轻地易到的找安漏全, 洞旦一代码炸弹该被触后发,这程个序员会便请被 回来修这个正错误,并一赚钱笔这,高技术的种诈 的受敲者害至不知甚道们被敲他诈了,即他便们有疑 也心法证无实自己的测。猜
5
害程有
?序3 特洛伊木马
. 特洛?伊木程马序一被安装到机旦器上,可便编制 按的意者行图事。特洛木伊能马摧够数据毁,有伪时装 系统上已有成程的,序时有建新创的户名用口 和。令
?
4.更新或载
?下不同 特洛于伊马,有木网络系些允许通统网过络 行固进和件作系操统更新,是非法于入闯者便以可 开解种这新更方,对系统进法行非法新。
更10
作文五:《网络信息安全》3300字
人文与社会科学学院
网络信息安全论文
姓 名: 张莉莉
学 号: B13130412
专 业: 公共事业管理
指导老师: 任勋益
二O 一五年 六 月 十四 日
南京邮电大学人文与社会科学学院
网银信息系统的安全隐患和措施
引言 近年来,我国网上银行的业务量增长迅速,越来越多的商务交易通过网银来实现,由于网络存在缺陷,进而导致针对网银的犯罪情态日益严重,网银的安全问题十分突出,由于互联网的传播,使黑客技术具有更大的普及性和破坏性,给网银系统带来了巨大的威胁。这给网络银行的正常运行造成了一定程度的影响,严重损害了网银的根本利益,阻碍了网上银行的稳定、健康发展。
一、网银所采用的几种主要技术手段
文件数字证书:本地硬盘存储的ie 数字证书等,容易被窃取且远控木马容易控制装有文件证书的电脑进行伪造交易。
传输加密:HTTPS 是以安全为目标的HTTP 通道, 简单讲是HTTP 的安全版,即HTTP 下加入SSL 层。SSL 协议使用不对称加密技术实现会话双方之间信息的安全传递。
Usb Key:移动数字证书,里面保存着数字证书和用户私钥。 软键盘:动态弹出键盘,利用鼠标输入防止击键记录。
图形验证码:防范暴力破解密码或者恶意登录。
返回确认图片:一些银行为了防止木马修改交易数据采取的一种安全技术手段,交易时由服务器返回带有交易信息和验证码的图片,用户确认交易信息后输入验证码完成交易。
安全控件:防止木马通过击键记录和ie 的 接口获取密码等重要信息。
动态口令:一次一密,理论上木马即使获得密码也无用。包括动态口
令卡和口令牌等。
驱动保护:为了防止击键记录所采用的驱动层技术手段,有破坏系统稳定性的隐患。
二、当前网银系统存在的安全隐患
(一)犯罪份子的威胁
在网银业务的蓬勃发展带来超额经济利益的同时,也诱发了大量的网络犯罪, 同时随着犯罪手段的高科技化,网银的安全问题也日趋严重。犯罪分子主要通过以下手段非法获取网民信息或盗取网民钱财:一是向受害者发送带有病毒的链接使其电脑感染病毒,以此来盗取受害者的网上银行信息;二是使用虚假的网上银行网址向受害者发送网址链接,当受害者登陆假的网站进行网上银行操作时窃取或修改受害者的信息;三是利用管理较为松懈的公共网络来盗取用户的保密信息;四是将木马病毒植入用户需要安装的正常程序中,客户下载安装时侵入客户电脑。 除了以上几种手段之外现在又兴起了通过钓鱼网站而实施的网络诈骗犯罪手段。网上银行在使用中出现的不安全事件频繁发生,网民经济利益严重受损。 如何确保交易安全,成为网上银行发展最需解决的问题。
(二)客户自身的原因
一方面是犯罪份子造成的潜在的危险,另一方面还有客户自身方面的原因造成的安全隐患。具体有:1) 客户没有保管好账号 ( 卡号 ) 、密码 ( 含网银登录密码和支付密码等 ) 、信用卡有效期、信用卡 CVV2( 卡片背后的 3 位验证码 ) 等敏感信息,导致敏感信息被
人盗用。也有不少客户安全意识薄弱,被假冒银行、法院等工作人员的犯罪分子骗取了上述敏感信息。部分网银交易只需上述一些敏感信息就可以完成交易,如信用卡无卡交易只需检查卡号、信用卡有效期、信用卡CVV2,一旦这些信息被他人掌握,客户资金就极易被盗用消费。类似信用卡被人通过网银盗刷的案件已经发生过很多起。
2) 用户自身安全意识不强。如有些 U 盾用户没有养成使用完 U 盾立刻从电脑上拔下的习惯,而且其电脑又中了木马等病毒,不法分子利用木马得到受害客户的网银信息,并监控受害客户的操作,在受害客户的网银交易完成后,利用 USB-Key 没有及时取下的时间,盗转了客户的资金。不少网银用户被犯罪分子利用假冒网上银行、网上证券网站等 ( 即“网络钓鱼”) 骗取了重要的个人信息,如账号、密码等,导致资金被盗窃。
(三)法律制度不健全
虽然我国比较重视网上隐患的监管,但是与其发展相比,还不能满足其要求。主要表现有:网上银行电子支付的协议,缺乏相关的法律法规,出现问题后责任确定、承担、仲裁结果的执行等复杂的法律关系难以界定。网上银行再世界范围内得到广泛应用,这就出现了新的问题,如跨国网上金融交易的管辖权、法律适用性、服务和交易合约的合法性、境外信息的有效性与法律认定等,这些问题的认证都是比较模糊的,加大了网上银行的风险。
三、提高网银系统的信息安全措施
(1)用户方面。
用户要提高自身的风险意识。用户应该设置超强度的网银密码,绝对避免使用生日等作为密码,并且定期修改网银等相关密码。安装杀毒软件,对需要使用网银系统的电脑进行定期杀毒,
特别要避免木马病毒入侵。使用完网银马上取下 USB-Key ,这样就可以降低因木马入侵导致资金被人从网银盗走的可能性。用户在使用网银时,要认真确认是否是真正的网银网站,避免被“钓鱼”网站骗取信息。对于垃圾邮件、弹出的窗口尽量不要点击,避免电脑中毒而造成损失。还应该定期检查网银的详细交易记录,确认没有被木马伪造、篡改的交易。
(2)银行方面。
要提升网银客户端的安全性,利用程序代码检测网银客户端的安装环境,发现漏洞及时修补努力完善银行和客户身份双向认证的各个环节,切遵循基于 PKI 的数字证书认证流程规范。 推广 USB Key 支付, USB Key 作为一种 USB 接口的硬件设备,体积小,使用方便。 它内置了智能卡芯片,基于公钥 PKI 技术,采用了 1024bit 非对称密钥算法对数据进行保护。 其对数据的加密、 解密运算都在 U-Key 安全芯片内部进行,用户密钥不会出现在计算机内存中,从而使得黑客无法利用非法程序获取或修改密钥,确保了网上交易安全性。
加强公众网上银行安全教育。 首先银行可通过各种宣传渠道向公众明示本行正确的网上银行官方网址和服务号码;其次,在本行网站首页显著位置开设网上银行安全教育专题;第三,在客户申办网银时查实是本人,并做好风险提示, 最好是印制并向客户配发语言通
俗,形象直观的网上银行安全宣传折页或手册,让客户了然于心;第四,在网上银行使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。
(3)网络安全方面。
建立和规范安全认证体系,资金在网上交易,安全性是首先要考虑的问题。网上银行需要在网上进行大量的信息传递,因此需要建立以数字证书为基础的电子支付安全系统。建立统一的支付体系,解决跨行结算的问题。必须尽快建立资金汇划清算系统的支付网关,需要选择与各商业银行既紧密联系又权威性、公正性,又可按市场化运作的第三方机构进行建设,可由中国人民银行牵头,建立会员制机构。网上银行面临的安全风险更大,银行应尽快建立计算机网络的安全体系,不仅包括计算机犯罪、防病毒、防黑客,还应包括各类电脑识别系统的防护系统。
(4)法律方面的保护。
目前中国发生的个人信息泄露和被盗、个人隐私被侵犯,以及个人信息交易的事件愈演愈烈,再发展下去可能会影响到整个社会的经济活动。为了对泄露个人信息事件的处理有法可依,并督促金融机构严格保护个人的敏感信息,对个人信息泄露起到威慑作用,应尽快出 台并实施《个人信息安全法》, 否则不能从法律上禁止这种行为。技术上还应该能够支持监督和审计查询个人敏感信息的情况,央行的征信系统应该具有这样的技术手段:能够查到是哪家银行、曾经在哪台电脑上、因何原因查询个人信息。只有这样才能对银行随意查询客
户个人敏感信息有威慑作用,才能使银行更严格地管理客户信息。世界上已有 50 多个国家和地区颁布了保护信息安全的法律,通过严格执法,对于净化网络环境,保护信息消费者合法权益等起到了很好的作用。
(5) 杀毒软件的安装。
尽管现在的杀毒软件还是以“特征码”查毒为主,多有诟病,但毕竟可以对那些“登记造册”有案底的病毒、木马起到查杀和防范作用,聊胜于无。况且现在的主要杀毒软件厂商还在主动防御方面都号称有所突破和创新。我们还可以结合一些银行为防范网银木马通过杀软公司定制的专用小工具或者360安全卫士等一些免费工具在网银操作前查杀木马。
参考文献:《网银系统安全研究》_曾曙
《有关网银系统的信息安全问题与措施探索》_万波 《网银安全浅析》_刘永军
作文六:《网络信息安全B》400字
从而拒绝服务攻《网络信息安全》试卷 第1页(共4页)
2、列举计算机病毒的特征。 隐藏性 破坏性 传染性 不可预知性
3、导致网络安全问题的根源是?
一方面,网络提供了资源共享性,提高了系统的可靠性,通过分散工作负荷提高了工作效率,并且还具有可扩充性。这些特点使得计算机网络深入经济、国防、科技与文教等各个领域
《网络信息安全》试卷 第2页(共4页)
5、简述IDS(入侵检测系统)的原理。
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术 基本原理 首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和防火墙。但是他们的基本实现都是类似的。
第3页(共4页)
第4页(共4页)
《网络信息安全》试卷《网络信息安全》试卷
作文七:《网络信息安全》19800字
网络信息安全
一. 绪论
案例1
2009年央视315晚会上曝光的“顶狐”案—— 即“信用卡骗盗窃案” ,是一个互联网真实资产盗窃案件。
案例2
2007年湖北省仙桃市人民法院审理的“熊猫烧香”案件是当年国内最引人关注的网络犯罪案件,第一次全面地向公众揭示出网络虚拟资产盗窃。
案例3
2009年11月份审理的“计算机信息系统案”是一例互联网资源与服务滥用的典型案件。
案例4
2009年“温柔”系列木马团伙案,是一个黑帽技术工具与培训案件,涉及全国16个省市,金额3000多万元,据称占全国盗号木马份额的50%。
1.1 信息安全的发展和趋势
1. 通信保密
信息安全侧重密码学
2. 计算机安全
美国安全标准《国家数据加密标准》和《可信计算机系统评估准则》
3. 信息安全
通信、计算机、网络的信息高速发展
密码、认证、访问控制、检测与抵御攻击
防火墙、入侵检测、漏洞扫描、VPN等技术
4. 信息保障
1996年美国国防部提出信息保障概念
信息安全趋势:
概念外延不断扩大:信息加密、保证信息的完整性
信息的可用性、可控性。
安全技术发展:单纯加密技术
加强信息安全管理的信息保障体系。
安全体系发展:静态的被动防御体系动态的主动防御体系。
1.2 信息安全概述
信息安全定义:
70年代:计算机系统和通信系统中对数据的保密。
90年代:保证信息的完整性、保密性、不可否认性、可用性、可控性。
信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及系统实施防护、检测和恢复的科学。 信息安全的基本属性:
完整性:信息在存储或传输的过程中保持未经授权不能改变的特性。
保密性:信息不被泄露给未经授权者的特性。
可用性:信息可被授权者访问并按需求使用的特性。
不可否认性:也称为不可抵赖性,即参与者不可能否认或抵赖曾经完成的操作和承诺。
可控性:对信息的传播及内容具有控制能力的特性。
信息安全的三元组:
保密性(Confidentiality) 完整性(Integrity) 可用性(Availability)
安全的对象:信息和系统
安全的目标:
数据安全:涉及数据的机密性与完整性。
事务安全:涉及身份识别、抗抵赖等多方计算安全。
系统安全:涉及身份识别、访问控制、信息可用性。
1.3 信息安全威胁
物理安全威胁
对系统所用设备的威胁,包括自然灾害(如地震、火灾等)造成系统毁灭、电力故障造成设备断电导致系统失败和数据丢失、媒体废弃物导致数据安全威胁、电磁辐射造成数据信息被窃取等。
通信链路安全威胁
通过在传输线路上安装窃听装置,导致信息泄露、通过对通信链路的干扰破坏数据完整性
网络安全威胁
系统内部局域网与外部互联网之间在没有安全防护时,内部网络会遭到外部网络入侵者的攻击 操作系统安全威胁
在系统软件或硬件芯片中植入威胁,如“木马”。
应用系统安全威胁
对网络服务或用户业务系统安全的威胁。
管理系统安全威胁
人员管理上造成的信息泄露等。管理安全是信息安全有效的前提。
总结信息安全威胁:信息泄露、破坏信息、完整性拒绝服务、非授权、访问、假冒、窃听、旁路、控制、特洛伊、木马、陷阱门、授权、侵犯、计算机、病毒、重放、窃取、业务欺骗、网络攻击
1.4 信息安全的实现
完整的信息安全系统
信息安全技术 信息安全管理 信息安全政策法律
1. 信息安全技术
信息传输的安全:采用数据传输加密技术、数据完整性鉴别技术。
信息存储的安全:采取对数据备份、灾难恢复、终端安全。
信息内容的审计:实时地对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。
2. 信息安全管理
“三分技术,七分管理”
内容:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理。
原则:规范原则、预防原则、立足国内原则、成熟技术选择原则、重视实效原则、系统化原则、均衡防护原则、分权制衡原则、应急原则和灾难恢复原则。
3. 信息安全政策法律
“信息安全法律是信息安全的第一道防线。”
目标:运用法律手段遏制安全威胁的发生,使人们自觉遵守法律不进行违法活动。提高人们的安全意识,从而保护信息安全,营造良好社会环境。
第2章密码学基础
2.1 密码学的发展
2.2 密码学基础
2.3 常见密码体制
2.4 应用
2.1 密码学的发展
1. 古典加密方法(1949年以前)
非推理证明的设计和分析密码
2. 古典密码体制(1949-1976年)
1949年Shannon发表《保密系统的信息理论》(Communication Theory of Secrecy System)
安全性依赖于密钥的保密性,非算法保密性。
应用领域扩展至社会生活各个方面。
3. 近代密码体制(1970-1990年)
1976年美国国家安全局制定了DES标准。
1976年《密码学的新方向》(New Directions inCryptography)--公钥密码学新纪元。
1978年美国MIT学者提出了RSA体制(A Methodfor Obtaining Digital Signature and Public-Key Cryptosystem)--图灵奖。
4. 现代密码体制(1990年至今)
1990年提出IDEA算法替代DES算法。
1991年发布了基于IDEA的免费邮件加密软件FGP。
基于复杂度理论的密码算法安全性证明。
2000年美国国际标准研究所通过公开征集,最终选定Rijndael作为高级加密算法AES取代DES。
混沌密码、DNA密码等。
2.2 密码学基础
密码学的特点:
机密性:允许特定用户访问和阅读信息,而非授权用户对信息不可理解的服务。密码学中,机密性通过加密技术实现。
报文完整性:用以确保数据在存储和传输过程中不被非授权修改的服务。密码学中通过数据加密、数字签名等技术提供这种服务。
鉴别:一种与数据来源和身份鉴别有关的服务。密码学通过数据加密、数字签名等技术提供这种服务。 不可否认性:一种用于阻止通信实体否认先前的行为及相关内容的服务。密码学通过对称或非对称加密、数字签名等技术,并借助可信机构或证书机构的辅助来提供这种服务。
密码学的基本要素:
1. 明文(plaintext):待伪装或加密的消息。用M表示。
2. 密文(ciphertext):对明文施加某种伪装或变换后输出的信息,用C表示。
3. 加密(encryption):把原始的信息(明文)转换成密文的过程。
4. 解密(decryption):把已加密的信息(密文)恢复成明文的过程。
5. 密码算法(cryptography algorithm):加、解密过程所使用的信息变换规则,即用于信息加、解密的数学函数。
6. 密钥(secret key):密码算法中的一个可变参数,通常是一组满足一定条件的随机序列。
7. 密码体制(crypto system):完整的密码体制包括五要素——消息空间M、密文空间C、加密算法E、解密算法D、密钥空间K。
保密通信模型:
第2章密码学基础
2.1 密码学的发展
2.2 密码学基础
2.3 常见密码体制
2.4 应用
2.1 密码学的发展
1. 古典加密方法(1949年以前)
非推理证明的设计和分析密码
2. 古典密码体制(1949-1976年)
1949年Shannon发表《保密系统的信息理论》(Communication Theory of Secrecy System)
安全性依赖于密钥的保密性,非算法保密性。
应用领域扩展至社会生活各个方面。
3. 近代密码体制(1970-1990年)
1976年美国国家安全局制定了DES标准。
1976年《密码学的新方向》(New Directions inCryptography)--公钥密码学新纪元。
1978年美国MIT学者提出了RSA体制(A Methodfor Obtaining Digital Signature and Public-Key Cryptosystem)--图灵奖。
4. 现代密码体制(1990年至今)
1990年提出IDEA算法替代DES算法。
1991年发布了基于IDEA的免费邮件加密软件FGP。
基于复杂度理论的密码算法安全性证明。
2000年美国国际标准研究所通过公开征集,最终选定Rijndael作为高级加密算法AES取代DES。
混沌密码、DNA密码等。
2.2 密码学基础
密码学的特点:
机密性:允许特定用户访问和阅读信息,而非授权用户对信息不可理解的服务。密码学中,机密性通过加密技术实现。
报文完整性:用以确保数据在存储和传输过程中不被非授权修改的服务。密码学中通过数据加密、数字签名等技术提供这种服务。
鉴别:一种与数据来源和身份鉴别有关的服务。密码学通过数据加密、数字签名等技术提供这种服务。 不可否认性:一种用于阻止通信实体否认先前的行为及相关内容的服务。密码学通过对称或非对称加密、数字签名等技术,并借助可信机构或证书机构的辅助来提供这种服务。
密码学的基本要素:
1. 明文(plaintext):待伪装或加密的消息。用M表示。
2. 密文(ciphertext):对明文施加某种伪装或变换后输出的信息,用C表示。
3. 加密(encryption):把原始的信息(明文)转换成密文的过程。
4. 解密(decryption):把已加密的信息(密文)恢复成明文的过程。
5. 密码算法(cryptography algorithm):加、解密过程所使用的信息变换规则,即用于信息加、解密的数学函数。
6. 密钥(secret key):密码算法中的一个可变参数,通常是一组满足一定条件的随机序列。
7. 密码体制(crypto system):完整的密码体制包括五要素——消息空间M、密文空间C、加密算法E、解密算法D、密钥空间K。
保密通信模型:
密码体制:
对称加密(Symmetric):加密密钥与解密密钥相同。解密密钥与加密密钥是镜像过程。
非对称加密(Asymmetric):加密密钥与解密密钥成对出现,解密密钥是加密密钥的逆运算。又称为公钥密码体制
密码体制原则:
1. 安全性原则:又称不可破原则,分为理论不可破译和实际不可破译。实际不可破译具有以下特点: 所需实际计算量远远超出现有资源和能力
所需时间超过所保护信息的有效时间
所需费用超过了所保护信息的价值
3. 协议匹配原则:密码体制对应的密码协议必须和计算机和通信系统的协议相匹配。
4. 实用性原则:密码设备或密码系统总是依附于通信系统或保密系统的,其费用应当与整个保密系统的总费用相关。
5. 简单性原则:密码设备中的加、解密和密钥生成的操作不应当过于复杂。
古典密码:
1. 代替密码(Substitution Cipher):明文中每个字符被替换成密文中另外的字符。通过逆替换就可恢复出明文。
单表代替密码:对明文中的所有字母都可用一个固定的明文字母表到密文字母表的映射来表达。
多表代替密码:以一系列代替表依次对明文消息的字母进行代替
2. 置换密码(Transposition Cipher):按照约定的规则,将明文的字母、数码或符号在不改变原来形状的基础上,进行位置的更改,也称换位密码。密码设备中的加、解密和密钥生成的操作不应当过于复杂。
2.3 常见密码体制
1. 数据加密标准DES(DES一轮迭代工作原理)
2. 其他分组密码
三重DES(Triple DES)
AES(高级加密标准,Advanced Encryption Standard)
IDEA(国际数据加密算法,International Data Encryption Algorithm)
RC6
3. 公钥密码体制
公钥密码是近代密码学的产物,1976年首次提出。随后提出了第一个较完善的公钥加密体制——RSA。 公钥密码即非对称密码,加密中使用一个密钥,解密中使用不同的密钥。公钥用于加密是公开的,私钥用于解密是保密的。
公钥密码体制:
公钥密码算法:
基于大整数分解问题:RSA算法、Rabin算法
基于有限域离散对数问题:Diffie-Hellman算法、ELGamal算法
基于椭圆曲线离散对数问题:椭圆密码算法
1)RSA密码算法
1978年由Rivest、Shamir、Adleman在美国MIT提出。
为公共网络上信息的加密和鉴别提供一种基本方法,成为第一个既能用于数据加密也能用于数字签名的算法。
2)Diffie-Hellman算法
由Whitfield Diffie 和Martin Hellman提出。
用于用户建立共享的秘密,也称为“密钥交换”算法。
4. 混合密码体制(电子信封技术)
使用公钥密码体制建立对称密钥,得到的对称密钥用于加密数据。
2.4 应用
1. 对称密码
用于保护数据秘密性,一方面能够在不安全的信道中传输加密后的数据,另一方面能够对存储在不安全介质上的数据进行加密,例如计算机硬盘。对称密码产生的消息认证码(MAC)还能用于保护数据的完整性。对称密钥还能用于认证协议中。
2. 公钥密码 公钥密码能保护数据完整性和不可否认性;实现数据的秘密性和不可否认性,保护数据通过不安全的信道传输或在不安全的介质上存储。使用公钥密码,主要优点是通过签名不仅能提供数据完整性,还能提供不可否认性。
3. Hash函数
主要功能是实现数据完整性的安全需要。例如认证、消息完整性、消息指纹、数据损毁检测、辅助数字签名等。
4. 其他密码相关问题
1)秘密共享
Alice和Bob共享秘密S:
无论是Alice还是Bob或者其他人都不能单独地确定出秘密S;
Alice和Bob一起能够确定出秘密S。 秘密共享的特殊应用是用于解决密钥托管问题。
2)信息隐藏
信息隐藏是将有用的信息隐藏在其他信息中,使攻击者无法发现,不仅实现了信息的保密,
也保护了信息本身;
信息隐藏又称为信息伪装,就是通过减少载体的某种冗余,例如空间冗余、数据冗余等来隐
藏敏感信息,达到目的。
隐写术:秘密通信。试图隐藏信息被传递的事实,隐藏通信的过程和内容。
数字水印:证明所有权。通过在数字作品中加入“不可察觉”的标识信息,需要时可通过算法提出标识信息进行验证,作为追究非法复制传播的证据。
第3章认证与访问控制
3.1 认证
3.1.1 消息认证
3.1.2 数字签名
3.1.3 身份认证
3.2 访问控制
3.2.1 基本概念
3.2.2 模型与策略
3.2.3 访问控制实现
3.2.4 访问控制与审计
3.1 认证
认证的目的:
验证消息的发送者是否合法,包括对信源、信宿的认证和识别;
验证信息本身的完整性,验证数据在传送或存储过程中是否被篡改、重放或延迟。
3.1.1 消息认证
1. 消息认证码概念
消息认证码(Message Authentication Code):一种使用密钥的认证技术,利用密钥生成一个固定长度的短数据块,并将该数据块附加在消息之后。
2. 消息认证码的实现
3. 消息认证码的认证过程
4. 消息认证码提供的保护
防范对传输过程的更改
3.1.2 数字签名
1. 基本概念
通过一个单向Hash函数对要传送的消息进行处理,用以认证消息来源并核实消息是否发生改变的一个字母数字串,该字母数字串被称为该消息的消息鉴别码或消息摘要,这就是通过单向Hash函数实现的数字签名。
2. 特性
签名是可信的:任何人都可以方便地验证签名的有效性。
签名是不可伪造的:除了合法的签名者之外,任何其他人伪造其签名是困难的,这种困难性指实现时计算上是不可行的。
签名是不可抵赖的:签名者不能否认自己的签名。
签名是不可复制的:对一个消息的签名不能通过复制变为另一个消息的签名。
签名的消息是不可改变的:经签名的消息不能被篡改。
3. 功能
发送者事后不能否认发送消息的签名;
接收者能够核实发送者发送消息的签名、接收者不能伪造发送者消息的签名、接收者不能对发送者的消息进行篡改;
网络中的某一用户不能冒充另一个用户作为发送者或接收者。
4. 分类
对整体消息的签名:消息经过密码变换的被签消息整体;
对压缩消息的签字:附加在被签名消息之后或某一特定位置上的一段签字图样。
5. 实现方法
1) 对称加密算法的数字签名
实现前提:存在一个公众都信赖的,具有权威的仲裁者。
局限性:
仲裁者必须对每一条签名的消息进行加密和解密处理,所以仲裁者很可能成为通信系统中的瓶颈。
接收方必须持有用户密钥以检验签名,因为双方都知道生成签名的密钥,一旦密钥泄露,就存在伪造签名的可能。
2) 非对称密码算法的数字签名
公钥密码实现:
公钥一般由一个可信赖的认证机构(Certification Authority,CA)发布,网上任何用户都能获得公钥;而私钥是用户专用,由用户持有,对由公钥加密的信息进行解密。
公钥密码算法实现数字签名和验证过程
3) 盲签名
消息内容对签名者是不可见的(盲的);
接收方在将盲签名转化为非盲签名后,签名者不能追踪签名。
4) 群签名
群体密码体制:存在一个公用的公钥,群体外面的人可以用它向群体发送加密消息,密文收到后需要由群体内部成员的子集进行共同解密。
群签名具有特点:
只有群体中的成员能代表群体签名;
接收到签名的人可以用公钥验证群签名,但不可能知道签名来自群体的哪个成员;
发生争议时可由群体中的成员或可信机构识别群中的签名者。
3.1.3 身份认证
1. 基本概念
身份认证是指定用户向系统出示自己身份的证明过程。解决确定某个用户是否被允许访问特定的系统或资源的问题。
2. 验证用户身份三种方法
根据你所知的(what you know):某些信息只有某个人才知道,例如口令;
根据你所拥有的(what you have):某样东西只有某个人才拥有,例如ATM卡或智能卡;
根据你本身的特点(who you are):根据独一无二的身体特征来证明身份,例如指纹、面貌。
3. 身份认证技术
1) 基于密码技术的各种电子ID身份认证
(1)使用通行字的方式
通行字是广泛使用的身份识别方式,也称为口令。一般由数字、字母、特殊字符等组成的字符串。如个人识别号(PIN)。
(2)使用持证的方式
持证是一种个人持有物,用于启动电子设备。如嵌有磁条的卡,磁条上记录用于机器识别的个人信息;或如智能卡。
(3)双因子认证方式
双因子认证,其中一个因子是只有用户本身知道的密码,可以是PIN或口令;另一个是只有该用户拥有的外部物理实体。
优点:
存储的信息无法复制;
具有双重口令保护机制和完备的文件系统管理功能;
某些智能卡还允许设置PIN猜测的最大值,以防止口令攻击;
2) 基于生物特征识别的认证技术
生物特征识别认证技术是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生物特征来进行个人身份的鉴定。
优点:不易遗忘或丢失、防伪性能好、不易伪
造和窃取、随时随地可用等。
(1)生物特征认证系统
登记阶段:测量提取生物信息,输入到模板数据库中。模板数据库存放了所有被认证方的生物特征数据。 识别阶段:
(2)生物特征认证技术
A. 面部识别:系统将面孔捕捉到视频中,分解出特征并进行识别。
缺点:
摄像机的高费用、CPU需要进行大量的图像处理。
识别系统抗干扰性差,对面部特性变化大,例如体重猛增的人来说,无法识别。
B. 指纹识别:由于没有任何两个人的皮肤纹路图样完全相同,而且形状不随时间而变化,所以就使指纹成为身份认证准确而可靠的手段。指纹的特征包括:环状,拱形,涡纹。
优点:
独特性 稳定性 方便性
C. 语音识别:由于每个人说话的声音都有自己的特点,语音识别系统是将人体发出的语音作为生物特征。 方式:
从连续语音中抽取单词和词组,和数据库进行对照;
低语音进行基于声带特征的分析,以最终确定用户身份。
D. 虹膜识别:虹膜是眼睛中的彩色部分,是眼球角膜和晶体之间的环形薄膜,它的生成是混乱无序的,其图样具有个人特征,可以提供比指纹更为细致的信息,成为个人身份识别的重要依据。
4. 身份认证系统分类
条件安全认证系统与无条件安全认证系统
保密的认证系统与无保密的认证系统
仲裁人认证系统与无仲裁人认证系统
3.2 访问控制
3.2.1 访问控制概念
1. 基本概念 授权是资源的所有者或者控制者准许他人访问这种资源,即通过了认证,对允许其做的操作进行限制。 授权是指被赋予一定的权利,主体能够对客体执行某种行为。
2. 访问控制三要素
A. 主体(Subject):指一个提出请求或要求的实体,是动作的发起者,记为S。
B. 客体(Object):是接受其他实体访问的被动实体,记为O。
C. 控制策略:是主体对客体操作行为集和约束条件集,记为KS。
3. 访问控制关系
3.2.2 模型与策略
1. 访问控制模型
1)多级安全模型
由于用户的访问涉及到访问的权限控制规则集合,这种将资源分开隔离的系统,称为多级安全信息系统。 绝密(top secret)> 机密(secret)> 秘密(confidential)> 不保密(unclassified)
2)自主访问控制模型(Discretionary Access Control Model, DAC model)
又称为任意访问控制,是根据自主访问控制策略建立的一种模型。
3)强制访问控制模型(Mandatory Access Control Model, MAC model)
一种多级访问控制策略。系统对访问主体和受控对象实行强制访问控制。当主体是绝密级的,客体是密级的,表示为
4) 基于角色的访问控制模型(Role-based Access Model, RBAC model)
将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。
5)基于任务的访问控制模型(Task-based Access Control Model, TBAC model)
从应用层角度来解决安全问题,面向任务,从任务的角度建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。
6)基于对象的访问控制模型(Object-based Access Control Model, OBAC model)
从受控对象角度出发,将访问主体的访问权限直接与受控对象相关联。
2. 访问控制实施原则
A. 最小特权原则
指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力,最大限度地限制主体实施授权行为。
B. 最小泄漏原则
指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权利。
C. 多级安全策略
指主体和客体间的数据流向和权限控制按照安全级别来划分。
3. 访问控制策略
1)基于身份的安全策略(Identification-based Access Control Policies, IDBACP)
为了过滤对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体的资源。
A. 基于个人的策略(Individual-based ACP, IDLBACP):以用户为中心建立的一种策略
B. 基于组的策略(Group-based ACP,GBACP):
基于个人的策略的扩充,指一些用户被允许使用同样的访问控制规则访问同样的客体。
2)基于规则的安全策略
由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户进行访问。
3.2.3 访问控制实现
1. 访问控制矩阵(Access Control Matrix,ACM)
2. 访问控制表和能力表
1)访问控制表(Access Control Lists,ALC)
将矩阵分成列,每一列存储对应的一个客体,无论某个客体何时被访问,按照访问控制矩阵,根据该列对应的值来确定操作权限,这些列被称
为ALC。
2)能力表(Access Control Capabilities Lists,C-list)
用行来存储访问控制矩阵,每行存储对应一个主体,当主体进行一个操作时,按照访问控制矩阵,根据该行对应的值确定操作权限,这些行被称为C-list。
3. 访问控制安全标签列表(Access Control Security Labels lists, ACSLL)
限定一个用户对一个客体目标访问的安全属性集合。
4. 访问控制实现的类别
1)接入访问控制
控制了哪些用户能登录到服务器并获得网络资源,控制准许用户入网的时间和准许在哪台工作站入网等。
2)资源访问控制
对客体整体资源信息的访问控制管理,包括文件系统访问控制、文件属性访问控制、信息内容访问控制等。 文件目录访问控制:访问文件的目录、子目录、文件和资源。
系统访问控制:网络系统管理员应当为用户指定适当的访问权限。
文件属性访问控制:当使用文件、目录和网络设备时,应给文件、目录等指定访问属性。
3)网络端口和节点的访问控制
网络中的节点和端口在加密传输数据时的访问控制。
5. 访问控制实现位置
6. 访问控制实现与安全级别
D级别:最低的安全级别,对系统提供最小的安全防护。
C级别:自由选择性安全保护,主要是自主存取控制,通过用户提供身份证明,才能正常实现访问控制。
B级别:实现自主存取控制和提供强制性安全保护和多级安全。
A级别:验证设计级,是目前最高的安全级别。
3.2.4 访问控制与审计
1. 审计的作用和功能
取证 威慑 发现漏洞 发现异常
2. 审计的内容
个人职能:检查和检测用户的活动。
事件重建:发生故障后,审计跟踪可以用于重建事件和恢复数据。
入侵检测:协助入侵检测工作,通过实时发现非法授权者对系统的访问,以及探测病毒扩散和网络攻击。
故障分析:实时监控。
3. 目标
显式地准许或限制主体的访问能力及范围;
有效地限制和管理合法用户对关键资源的访问;
防止和追踪非法用户的侵入;
防止和追踪合法用户的不慎操作;
第4章网络攻击与防范
4.1 概述
4.2 网络攻击类型
4.3 网络攻击实施
4.4 网络攻击模型
4.5 网络安全防范
4.1 概述
1. 网络攻击概念
任何非授权的情况下,试图存取信息、处理信息或破坏网络系统以使系统不可靠、不可用的故意行为都被称为网络攻击。
2. 攻击者所采用的攻击手段
冒充:将自己伪装成合法用户,如系统管理员,并以合法的形式攻击系统。
重放:攻击者首先复制合法用户所发出的数据,然后进行重发,以欺骗接收者,达到非授权入侵的目的。 篡改:通过采取秘密方式篡改合法用户所传送数据的内容,实现非授权入侵的目的。
服务拒绝:中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据。 内部攻击:利用其所拥有的权限对系统进行破坏活动。
外部攻击:通过搭线窃听、截获辐射信号、冒充系统管理员或授权用户、设置旁路躲避鉴别和访问控制机制等各种手段入侵系统。
陷阱门:首先通过某种方式侵入系统,然后安装陷阱门,并通过更改系统功能属性和相关参数,使得侵入者在非授权情况下能对系统进行各种非法操作。
特洛伊木马:这是一种具有双重功能的客户/服务体系结构。特洛伊木马系统不但具有非授权功能,而且还具有授权功能,一旦建立这样的体系,整个系统便被占领。
4.2 网络攻击类型
4.2.1 拒绝服务型攻击
拒绝服务(Denial of Service,DoS)攻击是攻击者通过各种手段来消耗网络带宽或者服务器的系统资源,最终导致被攻击服务器资源耗尽、系统崩溃而无法提供正常的网络服务。
分布式拒绝服务攻击(DDoS)
4.2.2 利用型攻击
口令猜测:攻击者识别主机且发现了可利用的用户账号,成功的口令猜测便能提供对机器的控制。 特洛伊木马:一种直接由攻击者或通过用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,便能直接远程控制目标系统。
缓冲区溢出:恶意用户编写一小段程序来打开安全豁口,然后将该代码后缀在缓冲区中的有效载荷末尾。当发生缓冲区溢出时,返回指针指向恶意代码,从而系统的控制权就会被夺取。
4.2.3 信息收集型攻击
地址扫描:运用ping程序探测目标地址,若对此做出响应,则表示存在。
端口扫描:通常使用软件,向大范围的主机链接一系列的TCP端口。扫描软件可报告成功建立连接的主机开放端口。
反向映射:攻击者向主机发送虚假消息,根据返回消息特征判断出哪些主机在工作。由于正常的扫描活动容易被防火墙侦测到,攻击者转而使用不触发防火墙规则的常见消息类型。
DNS域转换:对于公共DNS服务器,攻击者只需实施一次DNS域转换操作就能得到所有主机的名称以及内部IP地址。
Finger服务:使用Finger命令来刺探Finger服务器以获取该系统的用户信息。
4.2.4 虚假信息型攻击
DNS高速缓存污染:由于DNS服务器与其他域名服务器交换消息时并不进行身份验证,因此攻击者可以将一些虚假信息掺入,并把攻击引向自己的主机。
伪造电子邮件:攻击者对网络内部客户伪造电子邮件,声称是来自某个可信的人,并附带可安装的木马程序,或是一个指向恶意网站的链接。
4.3 网络攻击实施
4.3.1 隐藏自身
攻击者利用某些技术手段隐藏自己真实的IP地址。
侵入网络上一台防护手段比较薄弱的主机,然后利用这台主机进行攻击。
网络代理跳板方式通过将某台主机设为代理,利用该代理入侵其他主机,从而留下代理主机的IP地址。
4.3.2 扫描踩点
通过各种途径获取对攻击目标尽可能多的信息,根据这些信息进行分析,可得到有关被攻击方系统中可能存在的漏洞。
主动式扫描:基于网络,通过执行脚本文件模拟对系统进行攻击的行为,并记录系统反应,从中发现可能的漏洞。
被动式扫描:基于主机,对系统中不合理的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查。
4.3.3 侵入系统并提取权限
攻击者首先以一个普通用户身份登录目标主机,然后再利用系统漏洞提升自己的权限,获得系统管理员权限,从而连接到目标主机,并对其进行完全控制达到攻击的目的。
获得账户和口令的常用手段:
社会工程学攻击 暴力攻击 利用某些工具或系统漏洞登录主机
4.3.4 种植后门
网络后门:那些不通过正常登录进入系统的途径,是保持对目标主机长久控制的关
键策略。
木马:一种可以长期驻留在对方主机中的手段,可以进行远程控制。
4.3.5 网络隐身
攻击者在入侵完毕后清除被侵入主机所存储的相关登录日志及其他相关日志。
4.4 网络攻击模型
典型网络攻击流程
典型攻击流程:
攻击身份和位置隐藏:隐藏网络攻击者的身份及主机位置。
目标系统信息收集:确定攻击目标并收集目标系统的有关信息。
弱点信息挖掘分析:从收集到的目标信息中提取可使用的漏洞信息。
目标使用权限获取:获取目标系统的普通或特权账户权限。
攻击行为隐藏:隐藏在目标系统中的操作,防止攻击行为被发现。
攻击实施:实施攻击或者以目标系统为跳板向其他系统发起新的攻击。
开辟后门:在目标系统中开辟后门,方便以后再次入侵。
攻击痕迹清除:清除攻击痕迹,逃避攻击取证。
4.5 网络安全防范
4.5.1 网络安全防范原理
1. 积极安全防范
对正常的网络行为建立模型,把所有通过安全设备的网络数据与保存在模型内的正常模式相匹配,如果不在这个正常范围内,就认为是攻击行为,并且对其做出处理。
2. 消极安全防范
对已经发现的攻击方式,经过分析后给出其特征,进而构建攻击特征集,然后在网络数据中寻找与之匹配的行为,从而起到发现或阻挡的作用。
4.5.2 网络安全模型
P2DR模型
APPDRR模型
第5章网络安全技术
5.1 防火墙技术
5.2 入侵检测技术
5.3 安全扫描技术
5.4 虚拟专用网
5.5 总结
5.1 防火墙技术
5.1.1 基本概念
5.1.2 防火墙特性
5.1.3 防火墙体系结构
5.1.4 个人防火墙
5.1.5 应用与发展趋势
5.1 防火墙技术
5.1.1 基本概念
5.1.2 防火墙特性
1. 设计目标
所有通信的网络数据流都必须经过防火墙;
不同类型的防火墙实现不同的安全策略;
防火墙自身要有非常强的抗攻击能力。
2. 提供服务
服务控制:决定哪些internet服务可以被访问;
方向控制:决定在哪些特定的方向上请求可以被发起并通过防火墙;
用户控制:控制用户试图访问的服务器;
行为控制:控制一个具体的服务如何被实现。
3. 典型功能
访问控制功能:通过禁止或允许特定用户访问特定资源,保护内部网络的资源和数据;
内容控制功能:根据数据内容进行控制;
日志功能:完整地记录网络访问的情况;
集中管理功能:针对不同的网络情况和安全需要,指定不同的安全策略;
自身安全和可用性:不被非法侵入,保证正常工作;
流量控制、网络地址转换(NAT)、虚拟专用网(VPN)等功能。
4. 优点
保护网络中脆弱的服务; 网络控制的“要塞点”; 集中安全性; 增强保密性、强化私有权;
审计和告警; 提供内部网络安全性。
5. 局限性
不能防御不经由防火墙的攻击; 不能防范来自内部的危险; 不能防止病毒感染的程序和文件进出内部网; 不能防止数据驱动式的攻击; 被动的防护手段; 提供安全性的同时也付出了代价。
6. 发展历史
第一代防火墙:基于路由器的防火墙;
第二代防火墙:由一系列具有防火墙功能的工具集组成;
第三代防火墙:应用层防火墙;
第四代防火墙:基于动态包过滤技术。
7. 分类
根据工作原理:网络层的防火墙和应用层的防火墙;
根据实现防火墙的硬件环境:基于路由器的防火墙和基于主机系统的防火墙;
根据防火墙功能:FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙、个人防火墙等各种专用防火墙。
5.1.3 防火墙的体系结构
屏蔽主机防火墙
屏蔽子网防火墙
5.1.4 个人防火墙
个人防火墙软件是应用程序级的,是一种能够保护个人计算机系统安全的软件,可以直接在用户计算机操作系统上运行的软件服务。
优点:
增加了保护功能; 易于配置; 价格低;
缺点:
接口通信受限; 集中管理较困难; 性能受限;
5.1.5 应用与发展趋势
1. 应用需求
保证内部网的安全 保证内部网和外部网的连通
2. 发展趋势
智能化 高速度 分布式并行结构 多功能 专业化
5.2 入侵检测技术
5.2.1 基本概念
5.2.2 入侵检测系统
5.2.3 入侵检测系统发展趋势
5.2 入侵检测技术
5.2.1 基本概念
1. 概念
入侵检测是指在计算机网络或计算机系统的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。
2. 目的
识别入侵者; 识别入侵行为; 检测和监视已成功的某个突破;
为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
3. 典型过程
信息收集:从网络或系统的关键点得到原始数据;
数据预处理:对收集到的数据进行预处理,将其转化为检测器所需要的格式;
数据检测分析:利用各种算法建立检测器模型,分析输入数据,以判断是否发生入侵行为;
响应:根据安全策略做出响应,产生防御措施。
5.2.2 入侵检测系统
1. 概念
完成入侵检测功能的软件、硬件组合称为入侵检测系统(Intrusion Detection System,IDS)。
2. 基本组成部分
提供事件记录流的信息源,即对信息的收集和预处理;
入侵分析引擎;
基于分析引擎的结果产生反应的响应部件。
3. 体系结构(CIDF)
事件生成器:采集和过滤事件数据的程序或模
块,负责收集原始数据。
事件分析器:用于分析事件数据和任何CIDF
组件传送来的各种数据,判断是否为入侵行为或
异常现象,最后将判断的结果转变为警告信息。
事件数据库:负责存放各种原始数据或
已加工过的数据。
响应单元:针对分析组件所产生的分析
结果,根据响应策略采取相应行为。
4. 功能
监测、分析用户和系统的活动,对系统进行日志管理,并识别违反安全策略的用户活动;
发现入侵企图或异常现象,对异常活动的统计分析;
审计系统的配置与漏洞,评估关键系统和数据文件的完整性;
实时报警和主动响应;
5. 典型入侵检测系统基于主机的IDS(HIDS)
5.2.3 入侵检测系统发展趋势
分布式入侵检测; 智能入侵检测; 高效的模式匹配算法; 基于协议分析的入侵检测;
与操作系统的结合。
5.3 安全扫描技术
5.3 安全扫描技术
5.3.1 基本概念
5.3.2 实现过程
5.3.1 基本概念
1. 概念
也称为脆弱性评估(Vulnerability Assessment),其基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测,可以对工作站、
服务器、交换机、数据库等各种对象进行安全漏洞检测。
2. 功能
信息收集:包括远程操作系统识别、网络结构分析、端口开放情况以及其他敏感信息收集等。
漏洞检测:包括已知安全漏洞的检测、错误配置的检测、弱口令检测。
3. 分类
主机型安全扫描器:用于扫描本地主机,查找安全漏洞,主要是针对操作系统的扫描检测。
网络型安全扫描器:通过网络来测试主机安全性,检测主机当前可用的服务及其开放端口,查找可能安全脆弱点。
5.3.2 实现过程
1. 找到网络地址范围和关键的目标机器IP地址,发现internet上的一个网络或者一台
主机;
2. 找到开放端口和入口点,发现其上运行的服务类型;
3. 进行操作系统辨别、应用系统识别;对于一个网络,还能进一步发现该网络的拓扑结构、路由设备及各主机信息;
4. 通过对这些服务的测试,发现存在的已知漏洞,并给出修补建议;
安全扫描器
1. 企业WEB扫描报告
2. OpenVAS系统扫描
5.4 虚拟专用网
5.4 虚拟专用网
5.4.1 基本概念
5.4.2 VPN的基本类型
5.4.3 VPN的体系结构
5.4.4 VPN的应用
5.4.1 基本概念
1. 概念
虚拟专用网(Virtual Private Network,VPN)是利用internet等公共网络的基础设施,通过隧道技术,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间及用户与网络之间的相互连接。 “虚拟(Virtual)”:用户不需要建立专用的物理线路。
“专用(Private)”:不是任何连接在公共网络上的用户都能够使用的。
“网络(Network)”:通过隧道技术仿真出来的一个私有广域网。
2. 工作原理
3. 特点
1)隧道机制:保护数据,同时屏蔽公用网络的影响。
2)加密保护:避免VPN数据传输过程中被第三方偷窥。
3)完整性保护:避免数据传输过程中被第三方截获并非法篡改。
4)用户身份认证:允许合法用户访问,同时禁止非法用户的访问。
4. 发展过程
第一代传统VPN:实现对物理链路的复用。
第二代早期VPN:适合拨号方式的远程访问。
第三代主流VPN:兼顾IP网络安全与分组交换性能管理便捷。
第四代迅速发展VPN:通过应用层加密与认证实现VPN的安全传输功能。
5.4.2 VPN的基本类型
1. 内联网VPN(Intranet VPN)
2. 外联网VPN(Extranet VPN)
3. 远程接入VPN(Access VPN)
5.4.3 VPN的体系结构
1. 网络服务供应商提供的
VPN
2. 基于防火墙的VPN
3. 基于黑匣的VPN
4. 基于路由器的
VPN
5. 基于软件的VPN
5.4.4 VPN的应用
银行无线移动柜台
5.5 总结
比较
电子商务安全
第6章物理安全
6.1 设备安全
6.2 防信息泄漏
6.3 物理隔离
6.4 容错与容灾
6.5 人员安全
概述
物理安全:实体安全和环境安全。
6.1 设备安全
6.1.1 防盗
计算机也是偷窃者的目标,计算机偷窃行为所造成的损失可能远远超过计算机本身的价值。
1)安全保护设备
2)防盗技术
6.1.2 防火
计算机机房的主要防火措施如下:
计算机中心选址
建筑物的耐火等级
不间断供电系统或自备供电系统
防雷设施与抗静电地板
严禁存放腐蚀性物品和易燃易爆物品
禁止随意动火
6.1.3 防静电
静电防范:
静电的泄漏和耗散、静电中和、静电屏蔽与接地、增湿等。防范静电的基本原则是“抑制或减少静电荷的产生,严格控制静电源”。
6.2 防信息泄露
6.2.1 防电磁泄漏
常用的防电磁泄漏的方法:
屏蔽法:即空域法,主要用来屏蔽辐射及干扰信号。
频域法:解决正常的电磁发射受干扰问题。
时域法:与频域法类似,也是用来回避干扰信号。
6.2.2 防窃听
1)防窃听
指搜索发现窃听装置及对原始信息进行特殊处理,以达到消除窃听行为或使窃听者无法获得特定原始信息。
2)防窃听技术
检测:主动检查是否存在窃听器,可以采用电缆加压技术、电磁辐射检测技术以及激光探测技术等;
防御:采用基于密码编码技术对原始信息进行加密处理,确保信息即使被截获也无法还原出原始信息,另外电磁信号屏蔽也属于窃听防御技术。
6.3.1 物理隔离
1)阻断网络的直接连接;
2)阻断网络的Internet逻辑连接;
3)隔离设备的传输机制具有不可编程的特性;
4)任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离。
5)隔离设备具有审查的功能;
6)隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性;
7)强大的管理和控制功能;
8)按隔离内容,隔离分为网络隔离和数据隔离。
6.3.2 物理隔离与逻辑隔离
物理隔离:不安全就不联网,要绝对保证安全;
逻辑隔离:在保证网络正常使用的情况下,尽可能安全。
6.3.3 网络物理隔离
内外网络无连接:内网与外网之间任何时刻均不存在连接,是最安全的物理隔离形式。
客户端物理隔离:采用隔离卡使一台计算机既连接内网又连接外网,可以在不同网络上分时工作;
网络设备端物理隔离:使客户端通过一条网线由远端切换器连接双网,实现一台工作站连接两个网络的目的。 服务器端物理隔离:实现在服务器端的数据过滤和传输,使内外网之间同一时刻没有连线。
6.4 容错与容灾
6.4.1 容错
保证系统可靠性的三条途径:
避错:完善设计和制造,试图构造一个不会发生故障的系统;
纠错:一旦出现故障,可以通过检测、排除等方法来消除故障,再进行系统恢复;
容错:基本思想是即使出现了错误,系统也可以执行一组规定的程序。
常用的数据容错技术:
空闲设备:备份两套相同的部件。当正常运行的部件出现故障时,原来空闲的一台立即替补;
镜像:把一份工作交给两个相同的部件同时执行,这样在一个部件出现故障时,另一个部件继续工作; 复现:也称延迟镜像,与镜像一样需要两个系统,一个系统称为原系统,另一个成为辅助系统;
负载均衡:将一个任务分解成多个子任务,分配给不同的服务器执行,通过减少每个部件的工作量,增加系统的稳定性。
6.4.2 容灾
容灾的含义是对偶然事故的预防和恢复。
解决方案有两类:
对服务的维护和恢复;
保护或恢复丢失的、被破坏的或被删除的信息
6.5 人员安全
6.5.1 人员安全管理原则
多人负责原则:即每一项与安全有关的活动,都必须有2人或多人在场;
任期有限原则:任何人最好不要长期承担与安全有关的职务,以保持该职务具有竞争性和流动性;
职责分离原则:科技开发、生产运行和业务操作都应当职责分离。
6.5.2 人员安全管理措施
领导人员
系统管理员
一般用户
外部人员
第7章信息安全标准和管理
7.1 概述
7.2 信息技术安全性评估通用标准
7.3 信息安全管理体系标准
7.4 中国信息安全有关标准
7.1 概述
7.1.1 基本知识
标准:由有关各方根据科学技术成就与先进经验,共同合作起草,一致或基本上同意的技术规范或其他公开文件,其目的在于促进最佳的公共利益,并由标准化团体批准。
7.1.2 信息安全标准化组织
1. 国际信息安全标准化组织
ISO IEC ITU IETF ECMA
2. 国外信息安全标准化组织
美国ANSI 美国NIST 美国DOD 英国BSI
3. 我国信息安全标准化组织
全国信息安全标准化技术委员会 国内其他信息安全标准管理机构
7.1.3 各种标准概述
1. 信息安全基础标准
2. 信息安全评估标准
3. 信息安全管理标准
7.2 CC
7.2.1 概述
“The Common Criteria for Information Technology security Evaluation”《信息技术安全性评估通用标准》
7.2.2 构成与内容
第1部分“简介和一般模型”,介绍CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架; 第2部分“安全功能要求”,提出安全功能要求;
第3部分“安全保证要求”,定义了评估保证级别。
7.2.3 应用
1. 安全产品的开发
体现了软件工程与安全工程相结合思想。
2. 产品安全性评估
评价类型:安全功能需求评价、安全保证需求评价、安全产品评价。
7.3 信息安全管理体系标准
7.3.1 内容
1. 第一部分:BS-7799-1(ISO/IEC 17799)
2. 第二部分:BS-7799-2(ISO/IEC 27001)
7.3.2 信息安全管理实施细则
安全策略 组织信息安全 资产管理 人力资源安全 物理和环境安全 通信与操作管理 访问控制 信息系统获取、开发和维护 信息安全事件管理 业务连续性管理 符合性
7.3.3 信息安全管理体系建立
步骤1:定义信息安全策略;
步骤2:定义ISMS的范围;
步骤3:进行信息安全风险评估;
步骤4:信息安全风险管理;
步骤5:确定控制目标和选择控制措施;
步骤6:准备信息安全适用性声明。
7.4.1 我国信息安全标准体系
7.4.2 GB17895-1999
《计算机信息系统安全保护等级划分准则》
自主保护级 系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级
第8章信息安全法律法规
8.1 概述
8.2 计算机与网络犯罪
8.3 我国信息安全法律法规
8.4 国外信息安全法律法规
8.1 概述
8.1.1 概念和特征
信息安全法律法规是由国家制定和认可的与信息安全有关的法律规范的总和,是由国家强制力保证实施的,具有法律效力,任何人都要遵守。信息安全法律法规泛指用于规范信息系统或与信息系统相关行为的法律法规,信息安全法律法规具有命令性、禁止性和强制性。
8.1.2 作用
指引作用 评价作用 预测作用 教育作用 强制作用
8.2 计算机与网络犯罪
8.2.1 信息犯罪
信息犯罪一般可以分为两类:
以信息资源为侵害对象 信息破坏 信息窃取 信息滥用 以非信息资源为侵害对象 信息犯罪危害性:
妨害国家安全和社会稳定 妨害社会秩序和市场秩序 妨害他人人身、财产权利
信息犯罪特点:
智能化 多样性 侦查取证困难 犯罪后果严重
8.2.2 计算机与网络犯罪
“计算机犯罪就是在信息活动领域中,以计算机信息系统或计算机信息知识作为手段,或者针对计算机信息系统,对国家、团体或个人造成危害,依据法律规定,应当予以刑罚处罚的行为。”“网络犯罪就是行为主体以计算机或计算机网络为犯罪工具或攻击对象,故意实施的危害计算机网络安全的,触犯有关法律规范的行为。” 计算机犯罪的实质特征:
计算机本身的不可或缺性和不可替代性
在某种意义上作为犯罪对象出现的特性
明确了计算机犯罪侵犯的客体
计算机犯罪的类型:
非法侵入计算机信息系统罪
计算机窃密罪 破坏计算机信息系统罪 窃用计算机系统服务罪 侵犯计算机财产罪
计算机犯罪常用方法:
以合法手段为掩护,查询信息系统中不允许访问的文件,或侵入重要领域的计算机信息系统。 在数据传输或输入过程中,对数据的内容进行修改,干扰计算机信息系统。
未经著作权人授权,复制、发行他人的产品,制作、传播计算机病毒、有害信息等。
利用技术手段,非法侵入重要领域的计算机信息系统,破坏或盗取计算机信息系统中的重要数据或程序文件,甚至删除数据文件或破坏系统功能,直至整个系统瘫痪。
我国计算机犯罪立法的缺陷:
犯罪化的范围偏窄
刑罚设置不科学 犯罪构成中犯罪主体设计不合理 犯罪罪名欠缺 行为人刑事责任年龄制度不足 刑事诉讼等相关法律不健全
8.3 我国信息安全法律法规
8.3.1 我国信息安全法律法规类型
1. 通用性法律法规
这些法律没有针对信息安全的规定,但约束的对象包括危害信息安全行为。
2. 惩戒信息犯罪的法律
这类法律中的有关法律条文可以作为规范和惩罚网络犯罪的法律规定。
3. 针对信息网络安全的特别规定
这些法律规定的立法目的是保护信息系统、网络以及软件等信息资源,从法律上明确哪些行为构成违反法律法规,并可能被追究相关民事或刑事责任。
4. 规范信息安全技术及管理方面的规定
这类法律主要有《商用密码管理条例》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》等。
8.3.2 我国信息安全法律法规体系
1. 分层体系
法律层次 行政法规层次 部门规章层次
2. 组成
法律 行政法规 部门规章和规范性文件 地方性法规 地方政府规章 司法解释
3. 信息安全管理部门
国家公安部 国家安全部
其他机构 国家保密局 国家密码管理局 工业与信息化部 国务院新闻办公室
8.4 国外信息安全法律法规
8.4.1 美国
1. 政府信息安全法律
《信息自由法》 《爱国者法》 《联邦信息安全管理法案》 《美国企业改革法案》
2. 商业组织信息安全法律
商业秘密的保护 版权作品的保护 个人隐私信息的保护
8.4.2 欧洲各国
1. 英国
2. 法国
3. 德国
8.4.3 日本
作文八:《网络信息安全》8500字
1、树立网络交流安全意识养良利用网络习惯提高网络道德素养 (1) 树立网络交流安全 意识网络我通式与别交流我通发 E-mail 互相联络; BBS (电论坛)通发贴交流思想、观点 或趣闻逸事;通网站聊室或者各种即聊软件(ICQOICQMSNPOP 等)进行网络聊;网络建 立自空间 (博客、 Q-zone 、 Live Spaces等) 与享快乐与悲伤由于网络具隐蔽性网络交流便定 安全漏洞:①交流者主要通文字交流信息、 沟通情彼间互见面②交流者往往缺乏诚信责任③ 交流者网络表现与现实截同性现实我知道何避险网与交流我应该刻警惕注意能现我周围网 络交流陷阱:电邮件陷阱、即聊工具交流陷阱、电论坛浏览贴陷阱、网填写信息陷阱、访问 空间遇陷阱等我要撑网络交流保护伞网安全识:①网要给确定身份信息包括 (家庭址、校名 称、家庭电号码、密码、父母身份、家庭经济状况等信息②要自单独与网认识朋友面认非必 要面则公共场所并且要父母或朋友 (龄较朋友) 陪同③记住任何网都匿名或改变性别等给写 信 12岁孩能 40岁先④记住网读任何信息都能真实⑤单独家要允许网认识朋友家找⑥控制自 使用网络间影响自、 习情况使用网络平用较少间进行网络通信等节假再集间网⑦切网络作种 精神寄托尤其现实受挫青少能依靠网络缓解压力或焦虑应该父母或朋友帮助勇敢面现实 (2) 养良利用网络习惯①登陆安全网站权威、 规型网站般都比较注重信息源所相言些网站信息比 较安全我平安全网站址加收藏夹既避免拼写错误误登陆良网站我节省搜索间②搜索、 浏览良 网络搜索引擎、博客互、手机注册电影网站、 BT 载工具目前网络良内容重灾区我应洁身自 自控自律要主搜索或浏览良内容点击博客页面良链接用手机注册电影网站载良电影③用技 术手段作防护我电脑安装页面滤器屏蔽适合未查阅网页内容防止我访问含色情、 暴力、 各种 良内容信息网站我用网络助手设置内容级禁止弹广告等功能截断些藏身广告良信息④提防 明手机短信手机网络终端我应随便用手机注册网站或自手机号码告诉陌源明或诱惑性短信 要及删除理更要应树立网络交流安全意识除保护自免受网络交流带良侵害我应该主承担起 维护网络交流环境受破坏责任我网络发现良信息或网站或者发现网络事行我都应及向关部 门举报(3)提高网络道德素养网络道德基本内涵主要包括:民、自觉守、文明诚信面网络 存道德行问题青少应扮演受害者角色网络黄色内容让青少身健康受伤害另外青少容易网络 欺骗、 伪造等各种诈骗行害象面种状况青少要做:管理自浏览黄色内容真特别兴趣父母商量 让父母买些健康性面书籍或者光盘看二要警惕意识注意网络保护自面网络道德行青少能跟 随者能于奇或者于恶作剧理我必须清楚哪些行道德行①计算机熟悉孩请要编写病毒攻击别 电脑破坏数据②网络聊、 浏览要注意网络礼仪要总新手踢聊室③入侵别电邮箱并用别名义发 送电邮件论否造伤害都种道德行④要侵犯知识产权软件确实贵我应该种意识软件能够我经 济承受范围内我要用版软件⑤我应该掌握定网络礼仪比发电邮件要输入信件所必须部信息;
信件内容要尽能简短明; 必要输入些表情符号显更情味些; 尽能快信要随意处发信等等虽网 络些任何候都应该遵守道德准则要例要避免伤害;尊重隐私;保守秘密等等 2002《全青少 网络文明公约》式发布我青少网络具程碑意义件事必今网络应用产深远影响《公约》要求:要善于网习浏览良信息要诚实友交流侮辱欺诈要增强自护意识随意约网友要维护网络安全 破坏网络秩序要益身健康沉溺虚拟空创建谐网络环境提高自身网络道德素养做起①要提高 网络道德素养我应提高自身道德判断力明辨非促进自身道德认知水平发展②要提高网络道 德素养我应提高自身道德自律性具体要求努力做 《网络文明公约》 五要五于些要求我应认真 习并自觉遵守外些计算机信息与网络伦理准则习与掌握利于网络空间我青少体提升道德意 识道德认知水平③要提高网络道德素养我应努力培养提高我道德意志水平意味着独处社监 督律道德舆论管情况要刻保持清醒自我约束坚守符合社规范信念自觉按伦理准则道德规范 行事④努力创建谐网络环境提高网络道德素养尽职责文明网概念种义务我每网络环境健康 序发展着推卸责任总网络给我青少甚至整类道德文明提挑战机共建文明网络应首先自做起 浏览网页、 聊、 发贴、 传载文件等细微处做起严格做谨慎行事勿善勿恶构建网络道德我每网 民责任我没都受益 2、树立利用网络发送害信息或进行反、色情、迷信等宣传及窃取家、教 育行政部门校保密信息牢固意识互联网给青少、 习娱乐带极便利同给青少带许负面影响目前 网存我青少健康极利害信息主要:敌势力进行思想渗透破坏黄色信息; 些别用发布虚假灰色 信息; 含量名趣闻逸事桃色信息网络违害信息严重影响我习我必须我做起现做起净化自网行 摆自信息需求机其我要同违害信息作坚决斗争看违害信息要及向互联网违良信息举报举报 利用网络进行反、 色情、 迷信等宣传给社造难估量危害反言论反思想危害家统社稳定; 色情 信息毒害身引犯罪; 迷信导致自我迷失使消极处世家稳定、 民族团结我要坚决参与网络反宣 传于色情、 迷信类宣传我要提高警惕自觉抵制浏览复制更能参与其境外窃取、 刺探、 非提供 家秘密、 情报非获取家秘密非获取军事秘密泄露军事秘密破坏我家安全使我公民承受风险旦 家保密信息窃造家安全受威胁危害家安全扰乱社秩序影响战争胜负防、 经济、 政治局面安定 家声誉皆造重影响些犯罪利益驱使利用网络窃取教育行政部门校保密信息保密考试试题或 招信息等犯罪甚至网络系统发恶意攻击获取经济利益些行都严重触犯律构犯罪我任何情况 都能利用网络窃取家保密信息能自利益利用网络窃取教育行政部门校保密信息发现身边利 用网络进行窃取保密信息我应其进行阻止必要候向司机关举报现实世界要知、 懂、 守虚拟世 界同知我制家十重视制订关互联网律、 规政策近家陆续颁布些关律规例:《华民共计算机信 息网络际联网管理暂行规定》 《互联网信息服务管理办》 《华民共计算机信息系统安全保护 条例》等另外《华民共宪》《华民共民通则》《华民共刑》《华民共治安管理处罚》等律相
关条文些律规规范互联网运行规则约束着我网络行及发违行处罚量刑规定懂网络更能看律 意识综合素质匿名攻击发贴骂恶搞都违反社公德违网假冒、 污辱侵犯姓名权、 名誉权及害者 声誉; 网公布电、 住址等信息侵犯隐私权; 盗用信箱名义发邮件侵犯通信自由通信秘密守网 络放窗口数双眼睛刻刻盯着面善意瞭望别用境内外敌势力窥视网制作、 发布信息图片能危害 家安全泄露家秘密要于知或者炫耀闯祸 我应牢固树立利用网络发送害信息或进行反、色 情、迷信等宣传及窃取家、教育行政部门校保密信息牢固意识。
1、互联网强化青球村村民意识同弱化民族意识所谓网络新类身本带强际化色彩互 联网使用跨越空界限增强作球村村民意识利于益体化世界存另面与种体化意识相伴种 族、民族意识弱化民族认同减弱民族身份逐步消解某种意义利于主意思想形
2、 ??
3、
4、 2、 互联网现道德观念、 价值观念产或能产影响冲击针诚信数认网络虚拟空间没必 要讲诚信少数认网络能提高社道德水平同 15.3%认网络使用降低社道德水平 26.3%表示黑客 高超技术令佩服 16.7%认黑客行促进网络技术发展 24.4%表示说 24.2%明确表示黑客行业具 社危害性应严厉惩罚并尽力杜绝
5、 ??
6、
7、 3、互联网全球性特征导致青少思想混乱网络界全球性媒界网由于各面原使用与 用、确与错误、先进与落信息充斥网络淫秽、色情、暴力、丑恶、反内容网广传播腐蚀灵魂 良道德品质形教育产强冲击使青少形西化倾向民族观念主义思想淡薄
8、 ??
9、
10、 4、网络瘾症、网络孤独症青少身健康构危害与威胁电脑空间处都新鲜事物且断 增加着易于接受新鲜事物青少着限吸引力种吸引往往导致青少网络极度迷恋沉溺于网冲浪 严重荒废业具媒体报道曾网吧数归导致社沟通际交流脱离代孤独安、情绪低落、思维迟钝、 甚至自杀意念行
网络面影响
1、网络助于创新青少思想教育手段利用网络进行德育教育工作教育者网友身份青少网 毫顾忌进行真实态平等交流于德育工作者摸清、 摸准青少思想并展面引导全位沟通提供新快 捷外由于网络信息传播具实性交互性特点青少同教育者或教育信息保持快速互提高思想互 频率提高教育效; 由于网络信息具载性、 储存性等延性特点延教育者受教育者思想互间青少 提供全候思想引导教育网相约网聚实现网德育工作滋润补充及化解矛盾起温暖调积极性激 发创造力作用
2、 提供求知习新渠道目前我教育资源能满足需求情况网络提供求知习广阔校园 , 习者任 何间、 任何点都能接受高等教育校习所课程、 修满、 获位于处应试教育体制青少说疑种解脱 利于其身健康发展且利于家庭乃至于社稳定
3、拓青少全球视野提高青少综合素质网使青少政治视野、知识范畴更加阔助于全球意识形 同提高青少综合素质通网培养各式各交流能力; 通网阅览各类益图书触类旁通提高自身文化 素养
二 网络负面影响
1、于青少三观形构潜威胁青少容易网络接触资本主义宣传论调、文化思想等思想处于 极度矛盾、混乱其观、价值观极易发倾斜滋全盘西化、享乐主义、拜金主义、崇洋媚外等良 思潮
2、网络改变青工作际关系及式青少网公、坦白发表观点意见要求平等青少工作者权威 性提挑战使思想政治工作效往往能达预期同网使青少容易形种自我存式集体意识淡薄自由 主义思潮泛滥
3、信息垃圾弱化青少思想道德意识关专家调查网信息 47%与色情关六左右青少网意接 触黄色信息些非组织或网发布扰乱政治经济黑色信息蛊惑青少种信息垃圾弱化青少思想道 德意识污染青少灵误导青少行
4、网络隐蔽性导致青少道德行违犯罪行增面少数青少浏览黄色非网站利用虚假身份进行恶 意交友、聊另面网络犯罪增例传播病毒、 黑客入侵、通银行信用卡盗窃、诈骗等些犯罪主体 青少主数机单纯甚至玩、瘾显示才华另外关网络律制度健全给青少 违犯罪乘机
做:
、自身要遵守网络道德规范养网良习惯
要沉浸于网聊、 游戏等虚拟世界浏览、制作、 转播健康信息使用侮辱、 谩骂语言聊轻易 曾相识网友约尽量看些自习益东西并且定要注意保持自制力; 网前能拟计划要做事情先写件 件做要校家教育性与理性认识相结合五拒绝:拒绝健康理形; 二拒绝网络侵害; 三拒绝良癖、 良行; 四拒绝黄、 暴力毒害; 五拒绝进入未应该进入网吧总要自觉遵守互联网道德规范自觉 抵制良网络信息侵蚀
二、家要积极主关孩确引导网
作家定要关自孩习情况避免父母知道情况私自网吧网另外部往往家使用互联网家应该 网络定认识要确引导孩网目同要关孩底看些并且要孩起习、 交流、 理咨询实践表明许家庭教
育失败原家孩间缺乏效沟通家与孩网提供两代交往探讨题共同网查找信息、 评论非实施家庭 教育机家要超前意识断习提高自各面修养能力争取自佩服加强孩网监管更每家责旁贷事情 严格控制孩网内容、 网间才能充发挥网络作用既借助网络帮助才消除负面影响同父母应该加 孩网络安全教育加强与校信息沟通避免孩家或网吧登陆良网站免受网络侵害或引发违犯罪
三、校要理想信念教育重点加强全面素质教育
校制教育主渠道要加强思想道德与遵纪守及网络自护教育丰富课余文化; 各校制校德育 教师要结合实际专题讲座等形式展网络制教育并组织专题讨论同要用邓平理论教育引导广 充考虑身特点泼形式展理想信念教育使坚定走社主义道路信树立起确观、 世界观、 价值观增 强道德判断能力指导选择识别良莠提高自我约束、 自我保护能力鼓励进行网络道德创新提高 修养养道德自律同条件校建立校园网吧提供安全健康网环境
三、建立适合绿色网站占领网络前沿
目前形形色色网站健康、 具教育功能网站缺少点击率需要加强网络工作队伍建设努力建 设支既具较高思想道德修养、 解熟悉理特点思想情况解网络文化特点能比较效掌握网络技术 队伍建设批能吸引眼球绿色网站网进行泼教育弘扬主旋律适合身发展网站用主旋律喜闻乐 见、深入浅内容吸引、凝聚信息高速路代定能够茁壮、健康起
四、家要加网络管理力度规范互联网及相关事业序发展
自互联网诞网络犯罪网络发展伴物网络犯罪蔓延迅速涉及面广隐蔽性强危害性已经网 络社颗毒瘤我 199712月 30公安部发布 《计算机信息网络际联网安全保护管理办》 规定程度 规范网络健康发展我通信、 公安、 文化工商等相关部门要加强协调配合加网吧管理与查处力 度坚决取缔违规操作黑吧并营业执照网吧进行经性检查发现问题及纠另外要利用计算机技 术手段加强网络防火墙研制特别加强网良信息进行滤软件发要建立网络监察机制立网络监 察安全部门招募网警察加打击力度付益猖獗网犯
1、父母注重言传身教,尽量不碰游戏
孩子是父母的一面镜子, 他的言行举止都是你行为的映射。 父母是孩子学习的榜样, 想让孩 子成为什么样的人, 你首先要成为什么样的人, 而身教更甚于言教。 我们都没有玩游戏的习 惯,也幸好,家里有个不沉迷电脑游戏的大男人, 否则, 真的难以想象几米会痴迷到何种程 度。
想要从根本上杜绝孩子玩游戏成瘾, 从开始就将苗头扼杀在摇篮里, 做父母的首先要从自身 做起,尽量做到在孩子面前,不碰各种游戏。
2、不教孩子玩游戏
5岁的几米目前会玩很多手机小游戏,我都叫不出名字来,比如:愤怒的小鸟、植物大战僵 尸、洗澡的小恐龙、切水果、吃棒棒糖的青蛙 ... 我们从来没有教过他任何游戏的玩法,为 了避免他成瘾。想玩,可以,自己摸索方法。在玩游戏之余,趁机培养孩子的探索欲望与自 我解决问题的能力。
最开始以为,他搞不懂,慢慢会放弃,没想到对于孩子,玩游戏绝对是无师自通的。他能很 快摸索出方法, 且玩的相当熟练, 除了姨妈给的 Pad 上带的游戏, 我们没有给他在手机和电 脑上下载过任何一种游戏,不给他创造玩游戏的机会。
3、兴趣转移法:
我的最大感悟是:如果没有培养孩子更广泛的兴趣,那么,孩子对于游戏,会很容易成瘾。 一个兴趣广泛, 眼界开阔的孩子, 他会发现生活里有很多比游戏更有趣更有意义的事情可做。 几米的爱好广泛,比如旅游、读书、绘画、手工制作、发明创造 ......5岁的几米已经旅游 成瘾,他更喜欢外面世界里那些新鲜事物,而非整日沉浸在网络游戏里。
孩子的兴趣广泛了,自然不会将注意力全部放在游戏上。
4、合理安排孩子玩游戏时间
从一开始, 严格控制孩子上网时间是必须的, 疏堵结合, 一味围追堵截不如科学合理安排时 间更重要。 “没有规矩不成方圆”,虽然我赞同要尊重孩子天性,让孩子自由发展,但这种 自由,绝非无约束的放任自流,让孩子天马行空。凡事都要有规矩,在尊重孩子的基础上, 还要给他一个合理的限制。 就像几米看电视的时间, 这种规定不会因任何事情和理由而改变, 我们始终在坚持,几米已经成为习惯,到点会自己主动关电视。而玩游戏的时间, 基本不需 要控制, 因为他几乎没有玩游戏的时间, 遇到可以玩游戏的机会, 比如出门看到别的小朋友 玩手机游戏,他会凑热闹玩一会。但很快,他也会被其他事情吸引,主动放弃,因为不习惯 累得眼疼。
5、让孩子明白电脑是用来学习的工具
让孩子明白, 我们可以利用电脑和网络做更多有益的事情。 我也经常上网, 甚至我自身就是 不折不扣的网虫,但我上网的时间, 如果不是什么要紧的事情需要上网完成,通常,我都是 等几米上床后。 几米遇到我在电脑前奋笔疾书时, 会问我, 妈妈怎么上网呢?上网做什么呢? 我告诉他,妈妈上网写文章呢,要写文章挣钱给几米买玩具。
几米从未看见过妈妈上网玩游戏、看电影,聊天,他每次看的都是妈妈在疯狂打字。所以, 在他的印象里,电脑是用来写文章的。
遇到他不懂的问题, 而我又不知道答案时, 我也会和他一起上网寻找答案, 告诉他电脑是用 来学习的工具, 你可以通过电脑,了解很多书本外的有趣知识。还可以通过电脑来识字、学 英语。 几米有看电脑的时间,每次大约二十几分钟,除了识字、学英语就是看幼儿画报的光 盘。
6、陪孩子上网,关注上网内容
陪孩子一起上网, 即便不能陪着也要多关注孩子, 尽量不要在孩子的卧室放置电脑, 随时掌 握孩子上网情况,了解孩子上网内容,上网都是做什么。 及时发现问题解决问题, 杜绝上网 成瘾。
7、作为奖惩手段
将玩游戏作为一种奖励方式,表现好的时候,可以允许玩一会,相反,表现的不好,多长时 间内不能再玩游戏。当然,对游戏还没有成瘾的时候,还是不要拿这个来当奖品的好。
8、无论多忙,多抽出点时间陪孩子
很多好友, 说我写博成瘾,似乎每天都要把大量时间耗在了博客上。是啊, 我的生活除了工 作、几米就是博客。但工作也罢,网络也罢,都有一个前提,那就是:永远不会因为任何事 情耽误陪几米,再忙也不会忽略他。
近年来互联网的快速发展无疑给人们的生活和工作带来了极大的便利, 但同时也 产生了一些问题, 网络成瘾就是其中之一。 调查显示:在当今中国青少年群体中, 有网瘾的比例高达 26%,另有 12%的青少年存在网瘾倾向,青少年群体已经成 为网瘾问题的重灾区。青少年过度的沉溺于网络聊天、游戏、色情等虚拟世界, 不仅荒废了学业和工作, 疏离了朋友和亲人, 影响了正常的生活, 甚至有可能引 发违法犯罪和不良社会行为。 网络成瘾已经严重影响了青少年的身心健康, 如何 有效帮助他们戒除网瘾回到现实生活中是一个急需解决的问题。
青少年对网络如此痴迷的原因
社会因素:
从理论上讲 , 全社会都应该趋利避害 , 每个人都应该为营造一个良好的社会 环境而作出贡献 , 而事实上 , 网站建设缺乏有序和严格的把关管理 , 黄色、暴 力等信息泛滥 , 网络色情已经成为青少年犯罪的直接诱因之一。虽然《互 联网上网服务营业场所管理条例》 已经明确规定 , 网吧的营业时间从早上 8点到晚上 12点。但是我们看到的是学校周围的网吧 , 夜间 12点以后照常 营业 , 为学生提供包夜上网服务。还有一些网游企业 , 为追求利润的最大化 , 提供一些靠购买本企业生产的游戏卡练功升级的网络游戏 , 像吸血鬼一样 牢牢地吸住青少年的思想 , 让那些缺乏自控能力的青少年不由自主的玩下 去。
家庭因素:家庭环境不健康和家庭教育方式不当也是青少年网络成瘾的一 个重要原因。研究发现 , 有网络成瘾倾向的青少年家庭教育或家庭环境或 多或少存在一定的不和谐因素。许多家长望子成龙、望女成凤心切 , 对孩 子期望值特别高 , 对孩子管教严格、惩罚严厉 , 孩子的成材压力太大 , 一旦遇 到挫折 , 容易到虚拟空间找满足感和成就感。还有相当一部分家庭 , 父母忙 于自己的事业 , 缺乏与孩子进行情感上的沟通 , 使子女倍感孤独 , 从而被互 联网上的一些具有交流功能的网站和聊天工具所吸引 , 迷恋于网上的互动 生活 , 习惯于去网络世界寻求感情寄托。
自身因素:青少年群体本身就有求知欲强、 好奇心重。 再加上网络特有的 方式和丰富的内容,网络游戏引人入胜的动画和音响效果 , 生动的故事情 节。使不同地域、年龄和身份的人 , 可以随时找到共同的爱好者 , 在攻克游 戏难关时可获得一种成就感 , 感受到从其他娱乐形式中所无法感受到的惊 险、紧张和刺激 ; 网上聊天可以在让青少年在匿名状态下 , 自主选择交流对 象 , 向对方尽情地倾诉自己的烦恼与困惑 , 给了青少年提供了一种完全不同 于现实生活的交往方式 ; 网上最新的流行歌曲 , 精彩的影视大片 , 新颖的网 络小说对青少年也有着难以抗拒的诱惑力。 这些娱乐项目对于正处于心理 断乳期的认知能力差 , 自我控制能力较差的青少年无疑是致命的吸引 , 从而 花费大量的时间与精力上网 , 过分沉迷于网络而形成网瘾。
如何控制青少年玩游戏
加强对青少年利用网络的引导和监督强化对青少年的教育引导 , 培养良好 的上网习惯 , 是防止青少年在网络中“迷途”的根本保证。要针对青少年 在上网中碰到的问题 , 正确引导、培养青少年对待网上信息和良好的上网 习惯。 必要时在学校或者家里的电脑部署聚生网管软件 (可直接在百度中 搜索“聚生网管”,然后选择任何一个地址下载即可) 可以有效控制电 脑的上网行为,防止青少年沉迷网络,主要功能如下:
时间控制:通过时间设置, 可以为电脑指定上网时间或游戏时间, 这样只 能在规定内的时间上网或者游戏了, 慢慢会逐渐降低对网络的依赖, 最终 回到正常的上网习惯。
游戏限制:目前软件已集成了最流行的数十款网络游戏, 可以实现有效的 封堵,对于不常见的游戏同样可以通过添加 ACL 列表的方式实现。 网络、聊天限制:禁用 QQ 、 MSN 、旺旺等常见的网络聊天软件,限制 网络访问,自动屏蔽色情、暴力网站。
网购限制:软件同时集成了网络上最常见的数十个购物网站, 有效的限制 青少年的盲目网购、过度网购,防止网购成瘾。
网瘾问题不仅需要得到社会的关注和认真的对待, 还需要学校、 家庭采取 一些相关措施比如使用聚生网管等, 希望这样能够帮助更多的青少年早日 走出网瘾沼泽,恢复到正常的生活学习和工作中。
作文九:《网络信息安全》8700字
第一章 网络信息安全概论
信息安全 :防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信 息被非法的系统辨识与控制
网络安全 :保证网络系统的硬件、软件及其系统中的数据资源得到完整、准 确、连续运行和服务不受到干扰破坏和非授权使用 .
网络安全是信息安全在网络时代的扩展,信息安全包括网络安全、计算机安 全和通信安全
网络信息安全 是指网络系统的硬件、软件及其系统中的数据受到保护,不受 偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能够连续、可靠、正 常地运行,网络服务不中断。
网络信息安全的特点 :保密性、完整性、可用性、不可否认性、可控性 “网络钓鱼” 攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行诈骗 活动,受骗者往往会泄露自己的财务数据。
社会工程学 是一种通过对受害者心理弱点、好奇心、信任、贪婪等心理陷阱 进行欺骗、伤害等危害手段。社会工程学陷阱通常以交谈、欺骗、假冒或口 语等方式,从合法用户中套取用户系统的秘密。
威胁网络信息安全因素
物理威胁:偷窃、废物梭巡、身份识别错误、间谍行为
漏洞威胁:不安全服务、乘虚而入
身份鉴别威胁:口令圈套、口令破解、编辑口令、算法考虑不周
有害程序威胁:病毒、特洛伊木马
网络连接威胁:窃听、冒充、拨号进入
网络信息安全的现状
网络信息安全趋势 :1) 集团化、 产业化趋势。 2) “ 黑客 ” 逐渐变成犯罪职业。
3)恶意软件转型。 4)网页挂马危害继续延续。 5)利用应用软件漏洞的攻 击更迅猛。 6) Web2.0的产品将受到挑战。
第二章 信息加密技术
信息加密技术:采用数学方法与一串数字(密钥)对原始信息(明文)进行 再组织, 使得加密后在网络上公开传输的内容对于非法接收者来说成为无意 义的文字(密文) 。
密码体制分类 :
(1) 单钥加密体制 —— 对称密钥加密:发送和接收数据的双方都必须使用 相同的密钥对明文进行加密和解密运算。 优势:加 /解密速度快, 适合于对大 数据量进行加密。缺陷:密钥管理困难;其规模无法适应互联网大环境的要 求;无法鉴别交易者的身份。
(2) 双钥加密体制 —— 非对称密钥加密:又称公开密钥加密,每人有一对 唯一对应的密钥:一个公开发布,称为公开密钥;另一个由用户自己秘密保 存,称为私人密钥。这两个密钥可以互相并且只能为对方加密或解密。用信 息发送者用公开密钥去加密,而信息接收者则用私有密钥去解密。
优势:密码分配简单、密钥保存量少、保密性高、可以完成数字签名和数字 鉴别。
缺点:加解密速度较慢。
数据加密典型算法:(计算)
(1)对称加密算法:
凯撒密码:把明文中所有的字母都用它右边的第 K 个字母替代,并认为 Z 后 边又是 A 。
DES 算法(S 盒替代)
(2)非对称加密算法:RSA 算法过程。
加密与解密过程
加密:明文——密文 解密:密文——明文
第三章 数字签名及认证技术
数字签名 是通过一个单向函数对要传送的报文进行处理得到的用以认证报 文来源并核实报文是否发生变化的一个字母数字串(摘要)
数字签名的过程
①发送方首先用哈希函数从明文中生成一个数字摘要, 用自己的私钥对这个 数字摘要进行加密来形成发送方的数字签名。
②发送方选择一个对称密钥对文件加密,然后通过网络传输到接收方,最后 通过网络将该数实签名作为附件和报文密文一起发送给接收方。
③发送方用接收方的公钥给对称密钥加密, 并通过网络把加密后的对称密钥 传输到接收方。
④接收方使用自己的私钥对密钥信息行解密,得到对称密钥。
⑤接收方用对称密钥对文件进行解密,得到经过加密的数字签名。
⑥接收方用发送方的公钥对数字签名进行解密,得到数字签名的明文。
⑦接收方从原始报文中,结合哈希函数重新计算出数字摘要,并与解密后的 数字签名对比,如两值相向说明文件在传输过程中没有被破坏。
身份认证的基本方法
⑴基于密码的认证:
最简单也是最常用的认证方法,是一种单一因素的认证,安全性完全依 赖于秘密。
采用用户名 /密码方式是最基本的认证方式,特点是灵活简单。但此方法 的安全性完全依赖于密码,但密码易泄露,且很易被木马程序或监听工具截 获。
⑵基于智能卡的认证:
又称 IC 卡 (Integrated Circuit Card) 。 它把集成电路芯片封装入塑料基片中, 智能卡芯片可写入数据与存储数据。
智能卡具有硬盘加密功能,存储与用户个性化秘密信息,同时在验证服 务器中也存放该秘密信息。认证时,用户输入 PIN(个人身份识别码 ) ,智能 卡认证 PIN 。
这种认证方式是种双因素的认证方式 (PIN十智能卡 ) ,提供硬件保护措 施和加密算法。但通过内存扫描或网络监听也能截取用户身份验证信息。 ⑶基于一次性口令的认证:
也称动态口令技术, 是让用户的密码按照时间或使用次数不断动态变化, 每个密码只使用一次的技术。
动态口令技术采用一次一密的方法,即用户每次使用的密码都不相同, 可有效保证用户身份安全性。
⑷基于生物特征的认证:
生物特征认证是指采用每个人独一无二的生物特征 (如指纹、 虹膜、 脸部、
掌纹等 ) 来验证用户身份技术。
如:指纹、手形、虹膜、视网膜、面孔、声音、红外温谱图、 DNA ⑸基于 USB Key的认证:
基于 USB Key 的身份认证是采用软硬件结合、一次一密的强双因子认证 模式。 USB Key是一种 USB 接口的硬件设备,它内置单片机或智能卡芯片, 可以存储用户的密钥或数字证书,利用 USB Key内置的密码算法实现对用户 身份的认证。 基于 USB Key身份认证系统主要有两种应用模式 :一是基于冲击 /响应的认证模式 ; 二是基于 PKI 体系的认证模式。
数字证书:又叫数字凭证、数字标识,是一个担保个人、计算机系统或者组 织的身份和密钥所有权的电子文档。 数字证书由 CA 中心发行。 有 SSL (安全 套接层)证书与 SET (安全电子交易)证书。
SSL (安全套接层)证书:服务于银行对企业或企业对企业的电子商务活 动;作用是通过公开密钥证明持证人的身份。
SET (安全电子交易)证书:服务于持卡消费、网上购物;作用是通过公 开密钥证明持证人在指定银行确实拥有该信用卡账号, 同时也证明了持卡人 的身份。
SET 与 SSL 的功能上的区别
第四章 黑客与攻击技术
黑客广义理 解为那些利用某种技术手段手段, 善意或恶意地进入其权限以外 的计算机网络空间的人。
黑客攻击的步骤:
信息收集;
入侵并获得初始访问权;
获得管理严权限,实施攻击;
终止后门;
隐藏自己;
端口 就是计算机和外界连接的通道。
常用端口
① 21号端口 :FTP C Pile Transfer Protocol , 文件传送协议 ) 它可使我们从 FTP 服务器上下载或上传资料等。
② 23号端口 :Telnet(远程登录协议 ) 表明远程登录服务正在运行,你可以 远程登录到该主机。
③ 25号端口 :SMTP C Simple Mail Transfer Protocol ,邮件传输协议 ) ④ 53号端口 :DNS C Domain Name Serve,域名服务器 )
⑤ 79号端口 :finger(查看机器的运行情况 ) 可获得目标用户信息,查看目 标机器的运行情况等。
⑥ 80号端口 :HTTP C Hyper Text Transfer Protocol,超文本传送协议 ) 表明 WWW 服务在该端口运行。
⑦ 110号端口 :POP C Post Office Protocol,邮局协议 )
⑧ 139号端口 :NetBIOS服务 (即共享服务 ) 。
⑨ 3389号端口 :(远程控制 ) 此端口用于远程登录。
网络监听的原理
在正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的 物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软 件,也就是 IP 层软件,否则就将这个帧丢弃。对于每一个到达网络接口的 数据帧,都要进行这个过程。然而,当主机工作在监听模式下,则所有的数 据帧都将被交给上层协议软件处理。
网络监听的防范
(1)从逻辑或物理上对网络分段:可将非法用户与敏感的网络资源相互隔 离,防止可能的非法监听。
(2)以交换式集线器代替共享式集线器:此法使单播包仅在两个节点之间 传送,从而防止非法监听。
(3)使用加密技术:数据经过加密后,显示的是乱码。缺点是影响数据传 输速度和易被攻破。
(4)划分 VLAN:运用 VLAN (虚拟局域网)技术,将以太网通信变为点到点 通信,可防止大部分网络监听的入侵。
网络监听的检测 :
(1)检测怀疑被监听的机器,用正确的 IP 地址和错误的物理地址 ping 。
(2)向网上发大量不存在的物理地址的包,通过比较前后该机器性能加以 判断。(3)使用反监听工具如 antisniffer 等进行检测。
扫描原理 :对目标计算机进行端口扫描,能得到许多有用的信息,并发现系 统的安全漏洞。
防范扫描的措施:
木马 :指包含在合法程序里的未授权的代码,未授权代码执行不为用户所知 (或不希望 ) 的功能。
木马的工作原理:
一般的木马都有客户端和服务器两个执行程序。其中客户端用于控制远 程服务器。服务器端是指已植入木马的主机。用木马工具进行网络入侵,有 四个过程:配置木马、传播木马、运行木马、信息泄露、建立连接、远程控 制。
木马的防范措施:
连接域扫描、 检查连接、检查注册表、寻找档案(如特征档案 kernl32.exe
和 sysexlpr.exe )。
拒绝服务攻击 (Denial of Service,简称 DoS)
这是一种破坏网络服务的技术方式,其根本目的是使受害主机或网络失 去及时接受处理外界请求,或无法及时回应外界请求。拒绝服务攻击是用来 显著降低系统提供服务的质量或可用性的一种有目的行为。
拒绝服务攻击 (DoS)原理:首先攻击者向服务器发送大量带有虚假地址的请 求,服务器发送回复信息后等待回传信息,由于地址是伪造的,服务器一直 等不到回传的信息,分配给这次请求的资源就始终没有被释放。当服务器等 待一定时间后,连接会因超时而被切断,攻击者会再传送一批请求,在这种 反复发送地址请求的情况下,服务器资源最终会被耗尽。
具体表现方式有 :
①制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通 讯
②利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定 的服务请求,使受害主机无法及时处理所有正常请求。
③利用受害主机所提供服务中处理数据上的缺陷,反复发送畸形数据引 发服务程序错误,大量占用系统资源,使主机处于假死状态甚至死机。 ④被攻击主机上有大量等待的 TCP 链接。
⑤网络中充斥着大量的无用数据包,源地址为假。
分布式拒绝服务攻击 (Distributed Denial of service)DDOS
是一种分布、协作的大规模攻击方式,攻击者控制多个傀儡发起攻击, 主要瞄准比较大的站点。分布式拒绝服务攻击使用了分布式客户服务器功 能,加密技术及其它类的功能,它能被用于控制任意数量的远程机器,产生 随机匿名的拒绝服务攻击和远程访问。
最常使用的分布式拒绝服务攻击程序包括 4种 :Trinoo、 TFN 、 TFN2K 和 Stacheldraht 。
DDOS 的类型:
缓冲溢出的概念
基本方法是利用一些软件所存在缓冲区溢出漏洞 (超出内存长度,破坏堆 栈 ) ,将初始入侵代码 (入侵程序 ) 作为软件运行参数带入,这些入侵代码利用 软件所存在的缓冲区溢出漏洞得以非法运行并获得被攻击系统的控制权。 缓冲区溢出原理
根本原因是编程语言 (如 C\C++语言 ) 对缓冲区缺乏严格的边界检查,如不 对数组越界检查,不安全函数等。
缓冲溢出的防范
①使用类型安全的语言 (如 Java 避免 C 语言的缺陷
② C 环境下避免使用 Gets, sprintf 等未限定边境溢出的危险函数 ;
③使用检查堆栈溢出的编译器 (如 Compaq C编译器 )
④采用非执行堆栈和堆栈保护的方法将威胁降至最低
⑤普通用户或系统管理员, 及时更新 Patch 以修补公开漏洞, 减少不必要 的开放服务端口
Window 常见漏洞
1) TCP/IP漏洞。 2) SQL 漏洞。 3) 3389漏洞。 4)共享漏洞。
5) RPC 漏洞(冲击波)。 6)图片漏洞 GDI+漏洞。
口令入侵 是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验 证过程, 然后冒充合法用户潜入目标网络系统, 夺取目标系统控制权的过程。 口令入侵的主要方法:
①社会工程学 (Social Engineering) 攻击 :使用非技术手段获得对信息或系
统未经授权的访问。
②猜测攻击 :自己和家人生日、电话号码、房间号码、简单数字、身份证 号码、各类名字 (包含宠物 ) 等
③字典攻击 :名字库、常用口令库、词语库等
黑客隐藏踪迹的手段
第五章 计算机病毒及防范技术
计算机病毒:是一种人为知道的、隐藏在计算机系统的数据资源中的、能够 自我复制进行传播的程序。
计算机病毒的特性 :
①传染性 --传染性是病毒的基本特征
一但进入计算机系统并运行,就会搜寻其他符合其传播条件的程序或者 存储介质,确定目标后,将其自身代码插入其中。挪用款项,或破坏竞争对 手的电脑系统
②潜伏性 :绝大多数病毒感染系统后不会马上发作,如黑色星期五
③破坏性 :降低计算机工作效率、占用系统资源、导致系统崩溃等
④隐藏性 : 最大的病毒程序不超过 1MB , 一般在 1KB 左右。 病毒一般藏在用 户不常去的系统文件中,或者和其他程序绑定到一起,实现隐藏
⑤可激发性 :绝大多数计算机病毒具有发作的设置条件
⑥未经授权而执行:病毒隐藏在正常程序中,当用户调用正常程序时窃取到 系统的控制权,先于正常程序执行。
计算机病毒的逻辑结构:
一感染标志 ; 一病毒的引导模块 ;
一病毒的传染模块 ; 一病毒的发作 (表现和破坏 ) 模块。
一触发模块
木马 :利用系统漏洞或用户操作不当进入用户的计算机系统,通过修改启动 项目或捆绑进程方式自动运行,运行时有意不让用户察觉,将用户计算机中 的敏感信息都暴露在网络中或接受远程控制的恶意程序。
蠕虫 :指利用网络缺陷进行繁殖的病毒程序,其原始特征之一是通过网络协 议漏洞进行网络传播。
蠕虫病毒 :前缀为 worm ,共有特性是通过网络或系统漏洞进行传播,很 大部分的蠕虫病毒都向外发送带毒邮件,阻塞网络的特性 木马 :前缀为 trojan ,是一种特殊的程序,不感染文件,不自身复制和传播,甚至不破坏 系统,是一个具有特定功能的可以里应外合的后门程序
脚本病毒 :利用脚本来进行破坏的病毒,其特征为本身是一个 ascii 码或加 密的 ascii 码文本文件,由特定的脚本解释器执行。
恶意软件
①是介于计算机病毒和正常软件之间的一种软件
②中国互联网协会的定义 :
指在未明确提示用户或未经用户许可的情况下, 在用户计算机或其他终 端上安装运行,侵犯用户合法权益的软件,但己被我国现有法律法规规定的 计算机病毒除外。
③又叫“流氓软件”
计算机病毒的检测技术:
⑴特征代码法
①利用己知病毒的特征代码来检测病毒
②检测己知病毒的最简单、开销最小的方法
③特征代码法的特点 :
速度慢;误报警率低;不能检查多形性病毒;不能对隐蔽胜病毒 ⑵校验和法
①将正常文件的内容,计算其校验和
②在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算 出的校验和与原来保存的校验和是否一致
③可以发现文件是否被感染
优点 :方法简单,能发现未知病毒、被查文件的细微变化也能发现。 缺点 :会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
⑶行为监测法
利用病毒的特有行为特征来监测病毒的方法,称为行为监测法。
优点 :可发现未知病毒、可相当准确地预报未知的多数病毒。
缺点 :可能误报警、不能识别病毒名称、实现时有一定难度。
计算机病毒的防御方法:
⑴杀毒引擎
⑵启发式杀毒
①启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物 的知识和技能。 ”
②一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实
现动态调试器或反编译器,通过对有关指令序列的反编译逐步理解和确 定其蕴藏的真正动机。
⑶主动防御一利用行为监测法
①可以防御未知病毒、未知威胁、 ZeroDay 攻击等
②所谓“主动防御”其实是针对传统的“特征码技术”而言。
③创立动态仿真反病毒专家系统 :自动准确判定新病毒;程序行为监控并 举;自动提取特征值实现多重防护
⑷云计算杀毒 (云安全 )
①云计算 (C cloud puting ,一种分布式计算技术,是透过网络将庞大 的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所 组成的庞大系统经分析之后将处理结果回传给用户。
②最简单的云计算技术在网络服务中己经随处可见,例如搜寻引擎、网 络信箱等,使用者只要输入简单指令即能得到大量信息。
③云计算杀毒的实质是 :杀毒软件的互联网化
病毒的命名:
计算机病毒的传播途径:
网络浏览或下载、电子邮件、局域网、光盘、 U 盘等移动存储介质、其他。 第六章 访问控制和防火墙技术
访问控制:访问控制 (Access Control 就是在身份认证的基础上,依据授权对 提出的资源访问请求加以控制,是针对越权使用资源的现象进行防御的措 施。包括主体、客体和访问策略。
自主访问控制 (DAC ) Discretionary Access Control
①主体有自主决定权,又称任意访问控制
②每个客体有一个所有者, 所有者可以按照自己的意愿把客体的访问控制权 限授予其他主体
③控制灵活,易于管理,是目前应用最为普遍的访问控市日政策
④ DAC 的有效性依赖于资源的所有者对安全政策的正确理解和有效落实, 不 足在于用户可以任意传递权限
强制访问控制 (MAC ) Mandatory Access Control
①用户和客体资源都被赋予一定的安全级别, 用户不能改变自身和客体的安 全级别,只有管理员才能够确定
②用户和组的访问权限
无密 U<秘密 C<机密 S<绝密 TS
③ MAC 是一种多级访问控制策略, 系统事先给主体和受控对象分配不同的安 全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别 属性进行比较,再决定访问主体能否访问该受控对象
④在 MAC 中,主体对客体的访问有 4种方式 :向下读 C Read Down )、向上读 (Read Up )、向下写 (Write Down )、向上写 (Write Up )
⑤ MAC 通过定义的安全级别达到访问控制,常用于军队和政府机构
基于角色的访问控制 (RBAC ) Role-Based Access Control
①基于角色访问控制的要素包括用户、角色、许可等基本定义
②角色是完成一项任务必须访问的资源及相应操作权限的集合
③ RBAC 的基本思想是 :搅权管理
授权给用户的访问权限由用户在组织中担当的角色来确定;
许可被授权给角色,角色被授权给用户,用户不直接与许可关联;
管理员统一管理访问权限的授权, RBAC 根据用户在组织内所处的角色分配 资源和操作权限;
授权规定是强加给用户的,用户不能自主地将访问权限传给他人;
④ RBAC 通过角色,隔离了主体和权限
的解释
防火墙 是在两个网络 (通常是用户内部网络和 Internet) 之间实施访问控制 政策的一个或一组系统 (硬件、软件的组合 )
防火墙类型
(1)软件、硬件、芯片级
(2)按部署的位置(边界、个人、分布式)
①边界防火墙 (Perimeter Firewall ) :处于内、外网络的边界
②个人防火墙 :安装于单台主机中确保内部网络主机安全
③分布式防火墙 (Distributed Firewall ):以主机为保护对象,设计理念是主机 以外的任何用户访问都不可信,需要过滤。可负责对网络边界、各子网和网
络内部各主机间的安全防护,分布于内、外部网络边界和内部主机之间,既 对内、 外部网络之间通信进行过滤, 又对网络内部各主机间的通信进行过滤。 防火墙核心技术 :1) 数据包过滤技术:监视并过滤网络上流入流出的 IP 包, 拒绝发送可疑的包。工作在网络层。 2)代理服务:是运行在防火墙主机上 的一些特定的应用程序或服务器程序,是基于软件的过滤数据包的防火墙。 工作在应用层。 3)状态监测:工作在网络层。 4)网络地址转换:就是将一 个 IP 地址用另一个 IP 地址代替。将专用网络中的专用 IP 地址转换成 Internet 上使用的全球唯一的公共 IP 地址。
包过滤技术的原理:
①系统在网络层检查数据包,与应用层无关
②依据在系统内设置的过滤规则 (通常称为访问控制表 ACL ) 对数据流中每个 数据包包头中的参数或它们的组合进行检查, 以确定是否允许该数据包进出 内部网络
③基于以下信息对经过的每一个包进行检查 :
IP 源地址和目标地址; TCP/UDP源端口号和目标端口号;协议 (TCP, UDP,ICMP, BGP等 ) ; ICMP 的消息类型 ICMP 的消息类型;包的大小
代理服务技术的工作过程:
当用户需要访问代理服务器另一侧的主机时,对符合安全规则的连接, 代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接 请求得到回应并建立起连接之后, 内部主机同外部主机之间的通信将通过代 理程序把相立连接进行映射来实现。对于用户而言,似乎是直接与外部冈络 相连。
作文十:《网络信息安全》6700字
网络信息安全
课程论文
题目:论网络信息安全技术发展趋势
学生姓名 学 号 : 院 系 : 专 业
论网络信息安全技术发展趋势
摘要:21世纪是信息化的时代,伴随着全球化的时代背景,信息的传递在社会生活中扮演的角色越来越重要,相应地信息的安全问题也变得十分突出。文章主要就网络信息安全技术的现状及未来的发展趋势进行阐述。
关键词:移动安全,趋势科技,恶意软件;信息安全;发展趋势 现状
随着计算机网络技术的发展和普及应用,全球信息化已成为人类发展的大趋势。由于网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络极易受黑客、恶意软件和其他不轨行为的攻击,使得计算机网络的安全问题日益突出。网络安全成为涉及社会生活各个领域的一个核心问题。 密码技术是网络信息安全的核心技术,也是实现各种安全服务的重要基础,通常包括加解密技术和数字签名技术。密码技术可以用来隐藏和保护私密信息,防止未授权者非法获取该信息内容,已成为实现当代网络安全的一种快捷有效又必不可少的技术手段。它包括简单的古典密码体制、对称密码体系、公钥密码体制以及椭圆曲线密码体制。数字签名机制提供了一种鉴别方法,通常用于银行、电子商务等;身份验证机制作为访问控制的基础,提供了判明和确认通信双方真实身份的方法;数字证明机制则提供了对密钥进行验证的方法。黑客起源于20世纪50年代起源于美国,最早在麻省理工学院的实验室中出现,他们这些人技术水平高超、精力充沛,热衷于挑战难题。但是,由于黑客对于计算机过于着迷,常常为了彰显自己的能力或者由于国家之间的矛盾,他们会有组织有纪律地对某些地区的服务器进行攻击,例如就在去年,百度被某黑客给黑了,导致域名无法解析,普通用户无法访问百度页面,造成很大损失,据说就是中东的黑客们一手搞出来的,最终幸好百度在香港还有一个备用域名服务器而只用两天不到就恢复了百度的域名,以至于损失没那么多。还有一个例子,就发生在最近,我国的许多社交网站如人人网等地大量的用户数据被黑客剽窃,网络安全一时间又成为人们热议的话题。可见,在经济、政治和文化全球化的今天,网络信息安全问题绝对不是某一个国家或地区的问题,要想减少此类型问题的发生,需要各国携手努力,从法律和技术两个层面采取措施去应对。
通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感
数据,或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。网络攻击可分为服务器拒绝攻击、利用型攻击、信息收集型攻击、假消息攻击、逃避检测攻击等。网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。 口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
行验证的方法。黑客起源于20世纪50年代起源于美国,最早在麻省理工学院的实验室中出现,他们这些人技术水平高超、精力充沛,热衷于挑战难题。但是,由于黑客对于计算机过于着迷,常常为了彰显自己的能力或者由于国家之间的矛盾,他们会有组织有纪律地对某些地区的服务器进行攻击,例如就在去年,百度被某黑客给黑了,导致域名无法解析,普通用户无法访问百度页面,造成很大损失,据说就是中东的黑客们一手搞出来的,最终幸好百度在香港还有一个备用域名服务器而只用两天不到就恢复了百度的域名,以至于损失没那么多。还有一个例子,就发生在最近,我国的许多社交网站如人人网等地大量的用户数据被黑客剽窃,网络安全一时间又成为人们热议的话题。可见,在经济、政治和文化全球化的今天,网络信息安全问题绝对不是某一个国家或地区的问题,要想减少此类型问题的发生,需要各国携手努力,从法律和技术两个层面采取措施去应对。 通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据,或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。网络攻击可分为服务器拒绝攻击、利用型攻击、信息收集型攻击、假消息攻击、逃避检测攻击等。网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。 口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用
户的帐号,然后再进行合法用户口令的破译。
网络安全天生脆弱,计算机网络安全系统的脆弱性是伴随计算机网络一同产生的,换句话说,安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中,网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷,又要保证网络安全,这是一个非常棘手的“两难选择”,而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的。网络信息安全是我国发展在新的历史时期所面临的一个重要问题。它是一个综合性的课题,是一个系统的工程,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,不能仅仅依靠防病毒软件、防火墙单一的系统来解决。
我国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。 从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
技术发展趋势分析
1.防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(Unified Threat Management,统一威胁管理)技术应运而生。从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管
理的深刻理解以及对安全产品可用性、联动能力的深入研究。.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。 (3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
2.入侵检测技术发展趋势
入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS(Intrusion Management System,入侵管理系统)具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,将逐步成为安全检测技术的发展方向。 IMS体系的一个核心技术就是对漏洞生命周期和机理的研究,这将是决定IMS能否实现大规模应用的一个前提条件。从理论上说,在配合安全域良好划分和规模化部署的条件下,IMS将可以实现快速的入侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快、更准、更全面的安全检测和
事件预防。
3.防病毒技术发展趋势
内网安全未来的趋势是SCM(Security Compliance Management,安全合规性管理)。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点,精细化的内网管理可以使现有的内网安全达到真正的“可信”。
目前,内网安全的需求有两大趋势:一是终端的合规性管理,即终端安全策略、文件策略和系统补丁的统一管理;二是内网的业务行为审计,即从传统的安全审计或网络审计,向对业务行为审计的发展,这两个方面都非常重要。
(1)从被动响应到主动合规。通过规范终端行为,避免未知行为造成的损害,使IT管理部门将精力放在策略的制定和维护上,避免被动响应造成人力、物力的浪费和服务质量的下降。
(2)从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析,而没有办法对业务行为的内容进行控制,SCM审计要求在合规行为下实现对业务内容的控制,实现对业务行为的认证、控制和审计。 (3)对于内网来说,尽管Windows一统天下,但是随着业务的发展,Unix、Linux等平台也越来越多地出现在企业的信息化解决方案中,这就要求内网安全管理实现从单一系统到异构平台的过渡,从而避免了由异构平台的不可管理引起的安全盲点的出现。
最后,安全技术和安全管理不可分割,它们必须同步推进。因为即便有了好的安全设备和系统,如果没有好的安全管理方法并贯彻实施,那么安全也是空谈。 2014年即将过去,这一年网络安全领域发生太多的事情。新的技术得到了大家的认可和广泛的应用,但是随之而来的网络安全问题也受到了大家的重视。那么,2015年网络安全领域将会是怎样的情形呢?
近日,全球服务器安全、虚拟化及云计算安全领导厂商趋势科技发布了《中国地区2014年第三季度网络安全威胁报告》。报告显示,2014年第三季度,趋势科技中国区新增约53万条病毒码,客户终端检测并拦截恶意程序约6988万次,在中国地区拦截的恶意URL地址共计1553万余次,这些数据显示出网络安全威胁仍处于不断增长之中。同时,趋势科技还对2015年移动安全形势进行了展望,
指出漏洞利用工具将重点针对Android,而Apple Pay等新型支付方式也将给移动信息生活会带来新的风险。
移动安全威胁继续上升 广告类恶意软件感染量居首
报告显示,2014年第三季度移动安全威胁正在处于高度增长之中。截止至2014年9月底,趋势科技针对APK处理数量超过1000万个,比上一季度增长200万个,超过年初的预测。趋势科技预测,在2014年第四季度,移动平台威胁仍将出现高速增长。
趋势科技2014年安卓平台APK处理数量增长
趋势科技(中国区)高级产品经理刘政平指出:“移动智能设备被越来越多的用于网络应用之中,在双十一天猫571.1亿的交易额中,移动端消费占比就达到了42.6%。高额的收益预期驱使网络犯罪分子将移动设备作为重点攻击目标,移动安全威胁因此出现了迅速增长。为了对抗消费者的安全防护措施,网络犯罪分子不断寻求新的攻击方式,以提高攻击的成功率。”
根据统计数据,在不同手机恶意软件类型中,具有高风险的广告软件数量迅速增加,成为感染安卓平台最多的恶意程序,“吸费软件”和“窃取数据信息”恶意程序则分列二、三位。8月份爆发的一款名为“XX神器”的手机病毒引起广泛关注,该病毒会通过短信方式大规模的传播病毒链接,以感染手机并使用户产生大笔通信费用。
安卓系统主要恶意程序类型
虽然移动恶意软件主要瞄准安卓系统,但是这并不意味着iOS用户就可以安枕无忧。事实上,针对iOS系统的攻击同样在迅速提升。2014年9月份,发生了iCloud好莱坞影星艳照泄露事件,黑客进行的钓鱼攻击导致多名明星的隐私信息遭到泄露,引起了巨大恐慌。此类攻击虽然不会让用户的移动设备感染恶意软件,但是会利用设备上默认浏览器的特定缺陷来非获取受害者的敏感数据,同样给用户带来了巨大的安全威胁。
木马病毒仍为黑客最爱 漏洞威胁持续成为业界热点
在2014年第三季度检测到的传统病毒中,PE类型病毒感染数量在所有类型中所占比重最大,占到总检测数量的51%。与前几季度监控的情况相似,PE病毒PE_PATCHED.ASA依然是检测数量最多的病毒。该病毒文件是一个被修改过的系统文件sfc_os.dll,感染系统之后将使系统失去文件保护的功能。其它检测较多的病毒还有恶意软件(11%)和蠕虫病毒(10%)。
2014年第三季度检测病毒类型
而在新增病毒方面,2014年第三季度木马病毒增加了350,008个,在所有病毒类型中增幅最大。在中国地区,病毒制作者更倾向于制造此类型病毒,并通过各类方式传入互联网进而传播到受害者的计算机中,以获得非法收益。紧随木马病毒类型之后,增加数量较多的病毒类型依次为后门程序、木马间谍软件、蠕虫病毒、JavaScript病毒和黑客工具。
2014年第三季度新增病毒种类
在第三季度,漏洞威胁持续成为业界热点。继上季度爆出的“心脏出血”漏洞之后,本季度又爆出了一个严重漏洞——“破壳漏洞”(ShellShock),该漏洞存在已久而且影响范围巨大,能够让黑客远程执行指令、取得系统控制权、收集和窃取数据、篡改网站等,和心脏出血漏洞相比危险度更为严重。
技术进步给移动设备带来新的风险
2014年,移动技术领域有许多激动人心的进展,移动设备的功能更加强大、可穿戴产品不断推陈出现,支付方式的更多样化。但是,这些进步不仅给安全威胁提供了更多新的渠道,也增加了已知风险的威胁程度。趋势科技预测,在2015年,三大移动安全威胁会格外凸显:
1、漏洞利用工具将重点针对Android,威胁也将不断提升
在2015年,网络犯罪分子将倾向于通过漏洞来对移动设备进行攻击,系统开放、碎片化现象严重的Android平台成为首选攻击目标。除了Android平台威胁数量的不断增长,我们将在未来的一年看到更多移动设备平台和应用的漏洞。黑客将以设备中的数据为目标。攻击者会使用类似Blackhole Exploit Kit这样的工具来利用Android系统的碎片化的弱点。同时,例如勒索软件等的传统威胁也会继续制造麻烦。
2、新型支付方式会带来新攻击模式
iPhone 6和iPhone 6 Plus中Apple Pay的引入可能会成为许多用户使用移动支付的开始。其他公司和机构也将推出自己的支付平台。这些平台都没有经过真实世界中安全威胁的考验。此外,NFC功能的大量使用也将可能给移动支付带来新的风险。2015年,我们可能会看到针对移动支付的攻击。
3、IoE/IoT设备数据将持续受到威胁
在2015年,IoE/IoT设备将得到巨大的发展,用户群体也将迅速增多。物联网由各种各样的设备组成,从可穿戴设备到智能家居设备,物联网的分层将会持续细化。这样的多样性在一定程度上提供了安全性,因为很难有一种攻击涵盖所有这些设备。但是,当设备被攻破时,存储在其中的数据依然难以幸免。