第1章绪论
一、识记
1、计算机网络系统面临的典型安全威胁
答:窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
2、计算机网络安全的定义
答:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
3、计算机网络安全的目标
答:①保密性;②完整性;③可用性;④不可否认性;⑤可控性。
4、P2DR模型的结构
答:PPDR模型是一种常用的网络安全模型,包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。
5、网络安全的主要技术
答:①物理安全措施;②数据传输安全技术;③内外网隔离技术;④入侵检测技术;⑤访问控制技术;⑥审计技术;⑦安全性检测技术;⑧防病毒技术;⑨备份技术;(10)终端安全技术。
二、领会
1、OSI安全体系结构P.28
答:OSI安全体系结构不是能实现的标准,而是关于如何设计标准的标准。
(1)安全服务,OSI安全体系结构中定义了五大类安全服务,也称为安全防护措施。包括了①鉴别服务;②访问控制服务;③数据机密性服务;④数据完整性服务;⑤抗抵赖性服务。
(2)安全机制,①加密机制、②数字签名机制、③访问控制机制、④数据完整性机制、⑤鉴别交换机制、⑥通信业务流填充机制、⑦路由控制和公证机制。
2、计算机网络安全管理的主要内容(计算机网络安全涉及的内容)P.26
答:①网络安全体系结构;②网络攻击手段与防范措施;③网络安全设计;④网络安全标准、安全评测及认证;⑤网络安全检测技术;
⑥网络安全设备;⑦网络安全管理,安全审计;⑧网络犯罪侦查;⑨网络安全理论与政策;⑽网络安全教育;⑾网络安全法律。
概括起来,网络安全包括以下三个重要部分:①先进的技术;②严格的管理;③威严的法律。
3、网络安全威胁的发展趋势P.35
答:(1)与Internet更加紧密地结合,利用一切可以利用的方式进行传播。
(2)所有的病毒都具有混合型特征,集文件传染、蠕虫、木马和黑客程序的特点于一身,破坏性增强。
(3)扩散极快,而更加注重欺骗性。
(4)利用系统漏洞将成为病毒有力的传播方式。
(5)无线网络技术的发展,使远程网络攻击的可能性加大。
(6)各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。
(7)各种病毒、蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁。
(8)各种攻击技术的隐秘性增强,常规防范手段难以识别。
(9)分布式计算机技术用于攻击的趋势增强,威胁高强度密码的安全性。
(10)一些政府部门的超级计算机资源将成为攻击者利用的跳板。
(11)网络管理安全问题日益突出。
4、网络安全技术的发展趋势(网络安全主要实用技术的发展)P.35
答:网络安全技术的发展是多维的、全方位的,主要有以下几种:①物理隔离;②逻辑隔离;③防御网络上的攻击;④防御网络上的病毒;⑤身份认证;⑥加密通信和虚拟专用网;⑦入侵检测和主动防卫;⑧网管、审计和取证。
三、应用
分析给定网络可能存在的安全威胁
第2章物理安全
一、识记
1、物理安全包含的主要内容P.41
答:①机房环境安全;②通信线路安全;③设备安全;④电源安全。
2、机房安全要求和措施P.42答:
3、硬件设备的使用管理P.50
答:①要根据硬件设备的具体配置情况,制定切实可行的硬件设备操作使用规程,并严格按操作规程进行操作;
②建立设备使用情况日志,并严格登记使用过程的情况;
③建立硬件设备故障情况登记表,详细记录故障性质和修复情况;
④坚持对设备进行例行维护和保养,并指定专人负责。
4、电源对用电设备安全的潜在威胁
答:脉动、噪声、电磁干扰。当电源的电磁干扰比较强时,产生的电磁场就会影响到硬盘等磁性存储介质,久而久之就会使存储的数据受到损害。
二、领会
1、机房安全等级划分标准P.41
答:A类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
2、通信线路安全技术P.49答:
3、电磁辐射的防护措施P.51
防护措施主要有两类:①对传导发射的防护;②对辐射的防护,这类防护措施又可以分为两种:采用各种电磁屏蔽措施、干扰的防护措施。为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要的措施有屏蔽、隔离、滤波、吸波及接地等,其中屏蔽是应用最多的方法。
4、机房供电的要求和方式P.53
答:一类供电:需建立不间断供电系统。
二类供电:需建立带备用的供电系统。
三类供电:按一般用户供电考虑。
对机房安全供电的要求P.53
三、应用
根据所需建设的网络系统要求,分析机房安全、通信线路安全和供电的需求
第3章信息加密与PKI
一、识记
1、明文、密文、密钥、加密算法、解密算法等基本概念P61
答:明文(Plaintext)是作为加密输入的原始信息,即消息的原始形式,通常用m或p表示。所有可能明文的有限集称为明文空间,通常用M或P来表示。
密文(Cliphertext)是明文经加密变换后的结果,即消息被加密处理后的形式,通常用c表示。所有可能密文的有限集称为密文空间,通常用C表示。
密钥(Key)是参与密码变换的参数,通常用k表示。
加密算法(Encryption Algorithm)是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程,通常用E表示,即c=Ek(p)。
解密算法(Decryption Algorithm)是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程,通常用D表示,即p=Dk(c)。
2、加密体制的分类P.61~63
答:①单钥或对称密码体制。最有影响的是DES算法,另有国际数据加密算法IDEA。单钥密码算法的优点主要体现在其加密、解密处理速度快、保密度高等。
②双钥或非对称密码体制。最有名的是RSA密码体制,另有ElGamal算法。
双钥密码的优点是可以公开加密密钥,适应网络的开放性要求,且仅需保密解密密钥,所以密钥管理问题比较简单。缺点是双钥密码算法一般比较复杂,加解密速度慢。
3、认证技术的分层模型P.77
答:认证技术分为三个层次:
①安全管理协议。主要任务是在安全体制的支持下,建立、强化和实施整个网络系统的安全策略。典型的安全管理协议有公用管理
信息协议(CMIP)、简单网络管理协议(SNMP)和分布式安全管理协议(DSM)。
②认证体制。在安全管理协议的控制和密码体制的支持下,完成各种认证功能。典型的认证体制有Kerberos体制、X.509体制和Light Kryptonight体制。
③密码体制。是认证技术的基础,它为认证体制提供数学方法支持。典型的密码体制有DES体制、RSA体制。
4、常用的数据加密方式P.75
答:①链路加密;②节点加密;③端到端加密。
5、认证体制应满足的条件P.77
答:①意定的接收者能够检验和证实消息的合法性、真实性和完整性。②消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息。③除了合法的消息发送者外,其他人不能伪造发送消息。
6、PKI(公钥基础设施)的基本概念和特点P.83
答:PKI是一个使用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。特点:(1)节省费用(2)互操作性(3)开放性(4)一致的解决方案(5)可验证性(6)可选择性
附:
1、密码学的发展经历了三个阶段:古代加密方法、古典密码、近代密码。
2、身份认证常用的方式主要有两种:通行字(口令)方式和持证方式。P.79
二、领会
1、单钥密码体制与双钥密码体制的区别P.61
答:①单钥密码体制的加密密钥和解密密钥相同,从一个可以推出另外一个;双钥密码体制的加密密钥与解密密钥不同,从一个难以推出另一个。②单钥密码体制基于代替和换位方法;双钥密码算法基于数学问题求解的困难性。③单钥密码体制是对称密码体制;双钥密码体制是非对称密码体制。
2、DES、IDEA、RSA加密算法的基本原理P65-73
答:DES即数据加密标准,于1977年由美国国家标准局公布,是IBM公司研制的一种对二元数据进行加密的分组密码,数据分组长度为64bit,密文分组长度也是64bit,没有数据扩展。密钥长度为64bit,其中有效密钥长度56bit,其余8bit为奇偶校验。DES的整个体制是公开的,系统的安全性主要依赖于密钥的保密,其算法主要由初始置换IP、16轮迭代的乘积变换、逆初始转换IP-1及16个子密钥产生器构成。P.66
IDEA即国际数据加密算法。它是根据中国学者朱学嘉博士与著名密码学家James Massey于1990年联合提出的建议,从标准算法PES 改进而来的。它的明文与密文块都是64bit,密钥长度为128bit,作为单钥体制的密码,其加密与解密过程雷同,只是密钥存在差异。IDEA无论是采用软件还是硬件实现都比较容易,而且加解密的速度很快。P.69
RSA体制是由R.L.Rivest和L.Adleman设计的,使用数论构造双钥的方法,它既可用于加密,也可用于数字签名。RSA算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。P.72
3、认证技术及其认证的三个目的P.77
答:认证技术是防止不法分子对信息系统进行主动攻击的一种重要技术,其目的:
一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;
二是身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;
三是消息的序号和操作时间(时间性)等的认证,其目的是防止消息重放、延迟等攻击。
4、手写签名与数字签名的区别P.78
答:一是手写签名是不变的,而数字签名对不同的消息是不同的;
二是手写签名是易被模拟的,而数字签名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。
5、数字签名与消息认证的区别P.82
答:消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时,这种方式对于防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。
6、PKI认证技术的组成P.84
答:公钥基础设施,主要包括①认证机构CA:CA作为数字证书签发机构,是PKI的核心,是PKI应用中权威的、可信任的,公正的第三方机构。②证书库:是CA颁发证书和撤销证书的集中存放地,是网上的一种公共信息库,供广大用户进行开往式查询。③证书撤销。
④密钥备份和恢复。⑤自动更新密钥。⑥密钥历史档案。⑦交叉认证。⑧不可否认性。⑨时间戳。⑩客户端软件。
三、应用
将给定的明文按照给定的古典或单钥密码算法变换成密文P.64
答:教材中例子P.64
凯撒(Caesar)密码是对英文26个字母进行移位代替的密码,其q=26。这种密码之所以称为凯撒密码,是因为凯撒使用过K=3(表示密文为该字母后第3个字母)的这种密码。使用凯撒密码,若明文为
M=Casesar cipher is a shift substitution
则密文为
C=Fdvhvdu flskhu lv d vkliw vxevwlwxwlrq
教材中课后习题P.99第4题:
选择凯撒(Caesar)密码系统的密钥K=6。若明文为Caesar,密文是什么。答:密文为Igkygx
第4章防火墙技术
一、识记
1、防火墙的基本概念P.103
答:防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
2、防火墙的体系结构类型P.106
答:防火墙的体系结构一般有以下几种:①双重宿主主机体系结构;②屏蔽主机体系结构;③屏蔽子网体系结构。
3、个人防火墙的特点P136
答:个人防火墙的优点:
①增加了保护级别,不需要额外的硬件资源。
②个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击。
③个人防火墙是对公共网络中的单个系统提供了保护,能够为用户隐蔽暴露在网络上的信息,如IP地址之类的信息等。
个人防火墙的缺点:
①个人防火墙对公共网络只有一个物理接口,从而导致个人防火墙本身容易受到威胁。
②个人防火墙在运行时需要占用个人计算机的内存、CPU时间等资源。
③个人防火墙只能对单机提供保护,不能保护网络系统。
4、防火墙的发展趋势P142
答:①优良的性能;②可扩展的结构和功能;③简化的安装与管理;④主动过滤;⑤防病毒与防黑客;⑥发展联动技术。
二、领会
1、防火墙的主要功能P.104
答:(1)过滤进、出网络的数据
(2)管理进、出网络的访问行为
(3)封堵某些禁止的业务
(4)记录通过防火墙的信息内容和活动
(5)对网络攻击的检测和告警
2、防火墙的局限性P.105
答:主要体现在以下几个方面
(1)网络的安全性通常是以网络服务的开放性和灵活性为代价。
防火墙通常会使网络系统的部分功能被削弱:①由于防火墙的隔离作用,在保护内部网络的同时使它与外部网络的信息交流受到阻碍;
②由于在防火墙上附加各种信息服务的代理软件,增大了网络管理开销,减慢了信息传输速率;
③在大量使用分布式应用的情况下,使用防火墙是不切实际的。
(2)防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。
①只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力;
②不能解决来自内部网络的攻击和安全问题;③不能防止受病毒感染的文件的传输;④不能防止策略配置不当或错误配置引起的安全威胁;⑤不能防止自然或人为的故意破坏;⑥不能防止本身安全漏洞的威胁。
3、各类防火墙的特点
4、数据包过滤技术的工作原理P.110
答:数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合,来确定是否允许该数据包通过。包过滤防火墙工作在网络层,通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。它的优点是(1)效率比较高,对用户来说是透明的、(2)逻辑简单,价格便宜,易于安装和使用、(3)网络性能和透明性好,通常安装在路由器上。缺点是(1)对于大多数服务和协议不能提供安全保障,无法有效地区分同一IP地址的不同用户,并且包过滤防火墙难于配置、监控和管理,不能提供足够的日志和报警;(2)非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;(3)数据包的源地址、目的地址及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
5、代理服务技术的工作原理P.116
答:代理服务器(Proxy)技术是一种较新型的防火墙技术,它分为应用层网关和电路层网关。所谓代理服务器,是指代表客户处理连
外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用,所以又叫代理防火墙。代理防火墙工作于应用层,且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理服务器(Proxy Server)作为内部网络客户端的服务器,拦截住所有请求,也向客户端转发响应。代理客户机(Proxy Client)负责代表内部客户端向外部服务器发出请求,当然也向代理服务器转发响应。】
6、状态检测技术的工作原理P.119
答:基于状态检测技术的防火墙是由Check Point软件技术有限公司率先提出的,也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。(1)检测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现某个连接的参数有意外变化,则立即将其终止。(2)状态检测防火墙监视和跟踪每一个有效连接的状态,并根据这些信息决定是否允许网络数据包通过防火墙。它在协议栈底层截取数据包,然后分析这些数据包的当前状态,并将其与前一时刻相应的状态信息进行对比,从而得到对该数据包的控制信息。【检测引擎支持多种协议和应用程序,并可以方便地实现应用和服务的扩充。当用户访问请求到达网关操作系统前,检测引擎通过状态监视器要收集有关状态信息,结合网络配置和安全规则做出接纳、拒绝、身份认证及报警等处理动作。一旦有某个访问违反了安全规则,该访问就会被拒绝,记录并报告有关状态信息。】
7、NAT技术的工作原理P.121
答:网络地址转换(NAT),是一个Internet工程任务组(IETF)的标准,允许一个整体机构以一个公用IP地址出现在互联网上,是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通信时,就在网关处将内部地址替换成公用地址,从而在外部公网上正常使用。
附:从工作原理角度看,防火墙主要可以分为网络层防火墙和应用层防火墙。这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。
NAT技术的类型分类:(1)静态NAT(2)动态NAT(3)网络地址端口转换NAPT。
【NAT可以使多台计算机共享互联网连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,可以只申请一个合法IP 地址,就把整个局域网中的计算机接入互联网中。这时,NAT屏蔽了内部网络,所有内部网络计算机对于公共网络来说是不可见的,而内部网络计算机用户通常不会意识到NAT的存在。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。】8、个人防火墙的主要功能P.135
答:①IP数据包过滤功能;②安全规划的修订功能;③对特定网络攻击数据包的拦截功能;④应用程序网络访问控制功能;⑤网络快速切断/恢复功能;⑥日志记录功能;⑦网络攻击的报警功能;⑧产品自身安全功能
三、应用
防火墙的典型应用P.128
第5章入侵检测技术
一、识记
1、入侵检测的原理P.148
答:入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。所谓入侵检测系统,就是执行入侵检测任务的硬件或软件产品。【入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,其应用前提是:入侵行为和合法行为是可区分的,也即可以通过提取行为的模式特征来判断该行为的性质。入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据,二是如何根据特征数据,高效并准确地判定行为的性质。】
2、入侵检测的系统结构组成P.149
答:根据任务属性的不同,入侵检测系统的功能结构可分为两个部分:中心检测平台和代理服务器。
3、入侵检测系统的分类P.149
答:(1)基于数据源的分类:基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。(2)基于检测理论的分类:异常检测和误用检测。(3)基于检测时效的分类:在线检测和离线检测。
4、分布式入侵检测的优势和技术难点P.163
答:优势:①检测大范围的攻击行为;②提高检测的准确度;③提高检测效率;④协调响应措施。
难点:①事件产生及存储;②状态空间管理及规则复杂度;③知识库管理;④推理技术。
5、入侵检测系统的主要标准的名称P166
答:①IETF/IDWG。IDWG提出了三项建议草案:入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)及隧道轮廓(Tunnel Profile);
②CIDF。CIDF的工作集中体现在四个方面:IDS的体系结构、通信机制、描述语言和应用编程接口API。
二、领会
1、入侵检测系统的分析模型P.152
答:分析是入侵检测的核心功能。入侵检测分析处理过程可分为三个阶段:
第一阶段,主要进行分析引擎的构造,分析引擎是执行预处理、分类和后处理的核心功能;
第二阶段,入侵分析主要进行现场实际事件流的分析,在这个阶段分析器通过分析现场的实际数据,识别出入侵及其他重要的活动;第三阶段,与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规划集提炼等功能。
【误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新,与此同时,一些误用检测引擎还对系统进行优化工作,如定期删除无用记录等。对于异常检测,历史统计特征轮廓的定时更新是反馈和提炼阶段的主要工作。】
2、误用检测和异常检测的基本原理P.153~156
3、CIDF体系结构组成P.169图5-15
答:CIDF指公共入侵检测框架。CIDF在IDES和NIDES的基础上提出了一个通用模型,将入侵检测系统分为四个基本组件,事件产生器、事件分析器、响应单元和事件数据库。在该模型中,事件产生器、事件分析器和响应单元通常以应用程序的形式出现,而事件数据库则是以文件或数据流的形式。CIDF将IDS需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志或其他途径得到的信息。以上四个组件只是逻辑实体,一个组件可能是某台计算机上的一个进程甚至线程,也可能是多个计算机上的多个进程,它们以GIDO(统一入侵检测对象)格式进行数据交换。
第6章网络安全检测技术
一、识记
1、安全威胁的概念P.181
答:安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。
2、安全漏洞的概念P.182
答:安全漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
3、端口扫描的基本原理P.184
答:端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同,网络通信端口可以分为TCP端口和UDP端口两大类,因此端口扫描技术也可以相应地分为TCP端口扫描技术和UDP端口扫描技术。
二、领会
1、网络安全漏洞威胁等级的划分方法P.181
2、网络安全漏洞的分类方法P.182
答:漏洞的分类方法主要有①按漏洞可能对系统造成的直接威胁分类;②按漏洞的成因分类两大类。
3、操作系统类型探测的主要方法P.185
答:由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的,因此操作系统类型信息是网络安全检测的一个重要内容。操作系统探测技术主要包括:①获取标识信息探测技术;②基于TCP/IP协议栈的操作系统指纹探测技术;③ICMP响应分析探测技术。
4、信息型漏洞探测和攻击型漏洞探测技术的原理P.186
答:(1)信息型漏洞探测原理:大部分的网络安全漏洞都与特定的目标状态直接相关,因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。【该技术具有实现方便、对目标不产生破坏性影响的特点,广泛应用于各类网络安全漏洞扫描软件中。其不足之处是对于具体某个漏洞存在与否,难以做出确定性的结论。这主要是因为该技术在本质上是一种间接探测技术,探测过程中某些不确定因素的影响无法完全消除。】
为提高漏洞探测的准确率和效率,引进如下两种改进措施:
顺序扫描技术【可以将收集到的漏洞和信息用于另一个扫描过程以进行更深层次的扫描——即以并行方式收集漏洞信息,然后在多个组件之间共享这些信息。】
多重服务检测技术【即不按照RFC所指定的端口号来区分目标主机所运行的服务,而是按照服务本身的真实响应来识别服务类型。】(2)攻击型漏洞探测原理:模拟攻击是最直接的漏洞探测技术,其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程,对目标系统进行无恶意攻击尝试,若攻击成功则表明相应安全漏洞必然存在。】
【模拟攻击技术也有其局限性,首先,模拟攻击行为难以做到面面俱到,因此就有可能存在一些漏洞无法探测到;其次,模拟攻击过程不可能做到完全没有破坏性,对目标系统不可避免地会带来一定的负面影响。模拟攻击主要通过专用攻击脚本语言、通用程序设计语言和成形的攻击工具来进行。】
附:按照网络安全漏洞的可利用方式来划分,漏洞探测技术可以分为信息型漏洞探测和攻击型漏洞探测。P.186
按照漏洞探测的技术特征,又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等P.186
第7章计算机病毒与恶意代码
一、识记
1、计算机病毒的定义P.199
答:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2、计算机病毒的主要危害P.202
答:①直接破坏计算机数据信息;②占用磁盘空间和对信息的破坏;③抢占系统资源;④影响计算机运行速度;⑤计算机病毒错误与不可预见的危害;⑥计算机病毒的兼容性对系统运行的影响;⑦给用户造成严重的心理压力。
3、计算机病毒的防范手段P.216
答:①特征代码法;②检验和法;③行为监测法;④软件模拟法。
4、恶意代码的特征与分类P.222
答:特征:①恶意的目的;②本身是程序;③通过执行发生作用。分类:木马、网络蠕虫、移动代码、复合型病毒。
5、恶意代码的防范措施P.228
答:①及时更新系统,修补安全漏洞;②设置安全策略,限制脚本程序的运行;③启用防火墙,过滤不必要的服务和系统信息;④养成良好的上网习惯。
二、领会
1、计算机病毒的特征P.201
答:根据计算机病毒的产生、传染和破坏行为的分析,计算机病毒一般具有以下特征:①非授权可执行性;②隐蔽性;③传染性;④潜伏性;⑤表现性或破坏性;⑥可触发性。
2、计算机病毒的分类P.208
答:(1)按照病毒攻击的系统分类:①攻击DOS系统的病毒;②攻击Windows系统的病毒;③攻击UNIX系统的病毒;④攻击OS/2系统的病毒。
(2)按照病毒的攻击机型分类:①攻击微型计算机的病毒;②攻击小型机的计算机病毒;③攻击工作站的计算机病毒。
(3)按照病毒的链接方式分类:①源码型病毒;②嵌入型病毒;③外壳型病毒;④操作系统型病毒。
(4)按照病毒的破坏情况分类:①良性计算机病毒;②恶性计算机病毒。
(5)按照病毒的寄生方式分类:①引导型病毒;②文件型病毒;③复合型病毒。
(6)按照病毒的传播媒介分类:①单机病毒;②网络病毒。
3、常用计算机病毒检测手段的基本原理P.216
答:(1)特征代码法。实现步骤:①采集已知病毒样本;②在病毒样本中,抽取特征代码。③打开被检测文件,在文件中搜索,检查文件中是否有病毒数据库中的病毒特征代码。特征代码法的特点:①速度慢;②误报警率低;③不能检查多形性病毒;④不能对付隐蔽性病毒。
(2)检验和法。将正常文件的内容,计算其校验和,将该检验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法称为校验和法,这既可以发现已知病毒,又可以发现未知病毒。
(3)行为监测法。利用病毒特有行为特征来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。(4)软件模拟法。软件模拟法可以检测多态性病毒,这是一种软件分析器,用软件方法来模拟和分析程序的运行。新型检测工具纳入了软件模拟法,该类工具开始运行时,使用特征代码法检测病毒,如果发现隐蔽病毒或多态性病毒嫌疑时,启动软件模拟模块,监视病毒的运行,待病毒自身的密码译码以后,再运用特征代码来识别病毒的种类。
4、恶意代码的关键技术
答:生存技术(反跟踪技术、加密技术、模糊变换技术、自动生产技术)
攻击技术(进程注入技术、三线程技术、端口复用技术、端口反向连接技术、对抗检测技术、缓冲区溢出技术)
隐藏技术(分本地、通信隐藏:文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏;通信内容隐藏、传输通道隐藏)
第8章网络安全解决方案
一、识记
1、计算机网络安全设计遵循的基本原则P235
需求、风险、代价平衡分析的原则;
综合性、整体性原则;
一致性原则;
易操作性原则;
适应性、灵活性原则;
多重保护原则。
2、网络安全体系的主要内容
访问控制、检查安全漏洞、攻击监控、加密通信、认证、备份和恢复。
3、网络安全解决方案的基本概念
网络安全解决方案可以看作是一张有关网络系统安全的图纸,图纸设计得好坏直接关系到工程质量的优劣。总体来说,网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术和VPN技术等多方面的安全技术。
二、领令
1、“保护”“检测”“响应”“恢复”的含义
保护:包括传统安全概念的继承,用加解密技术、访问控制技术、数字签名技术,从信息动态流动、数据静态存储、经授权方可使用以及可验证的信息交换过程等多方面对数据及其网上操作加以保护。
检测:是对信息传输的内容的可控性检测,对信息平台访问过程的检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等。
响应:在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供有力的响应机制。
恢复:狭义的恢复是指灾难恢复,当系统受到攻击时,评估系统受到的危害和损失,按照紧急响应预案进行数据和系统的恢复,启动备份系统恢复工作等。广义的恢复是指灾难生存等现代新兴学科的研究。
2、网络安全解决方案应包括的主要内容
网络安全需求分析;
网络安全风险分析;
网络安全威胁分析;
网络系统的安全原则;
网络安全产品;
风险评估;
安全服务。
3、单机用户面临的主要安全威胁
计算机硬件设备的安全、计算机病毒、木马程序、网络蠕虫、网站恶意代码、恶意攻击、操作系统和应用软件漏洞、电子邮件风险。
4、电子邮件安全的主要措施
保护电子邮件安全的唯一方法就是让攻击者无法理解截获的数据包,即对电子邮件的内容进行某种形式的加密处理。其中最具代表性的是PGP加密系统。
5、计算机信息系统安全管理的主要原则
多人负责原则、任期有限原则、职责分享原则。
三、应用
1、对给定的网络安全解决方案进行分析P240
2、根据给定的需求,设计网络安全解决方案P240
全国自考2017年4月计算机网络安全04751真题及答案
2017年4月高等教育自学考试全国统一命题考试 计算机网络安全试卷 (课程代码04751) 本试卷共4页,满分l00分,考试时间l50分钟。 考生答题注意事项: 1.本卷所有试题必须在答题卡上作答。答在试卷上无效,试卷空白处和背面均可作草稿纸。 2.第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。 3.第二部分为非选择题。必须注明大、小题号,使用0.5毫米黑色字迹签字笔作答。 4.合理安排答题空间。超出答题区域无效。 第一部分选择题(共30分) 一、单项选择题(本大题共l5小题。每小题2分,共30分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题卡”的相应代码涂黑。错涂、多涂或未涂均无分。 1.1988年11月发生了互联网络蠕虫事件,该蠕虫的编写者是 A.莫里斯 B.鲍勃 C.菲戈尔 D.杜斯 2.在OSI安全体系结构定义的五大类安全服务中,保护信息不被泄露或暴露给未授权的实体属于 A.鉴另IJ服务 B.访问控制服务 C.数据机密性服务 D.抗抵赖服务3.在GB9361--88中提出了关于A、B类安全机房应符合的要求,下面叙述正确的是 A.计算机系统可选用钢、铝混用的电缆
B.供电电源设备的容量不用保持一定的余量 C.计算机系统接地应采用专用地线 D.计算站场地宜采用开放式蓄电池 4.电源对用电设备安全的潜在威胁包括电磁干扰和 A.脉动与噪声 B.电磁兼容性问题 C.水灾与火灾 D.影响接地 5.单钥密码系统的保密性主要取决于 A.密钥的安全性 B.密文的安全性 C.明文的安全性 D.加密算法的安全性6.SNMP的中文含义是 A.简单网络管理协议 B.简单邮件传送协议 C.简单公用管理信息协议 D.简单文件传输协议 7.关于数字签名,下面叙述正确的是 A.消息不同,数字签名可以相同 B.数字签名不能实现消息完整性认证 C.数字签名易被模仿 D.数字签名是在密钥控制下产生的 8.代理防火墙工作在 A.物理层 B.应用层 C.数据链路层
计算机设备与网络安全管理(试行) 一、总则 第一条目的 (一)提高公司信息化水平,规范办公系统的使用管理,进一步整合办公资源,提高工作效率; (二)规范公司局域网内计算机操作,确保计算机使用的安全性、可靠性; (三)对计算机的配置、使用、安全、维护保养等进行有效的管理; (四)对软件的购置、发放、使用、保密、防毒、数据备份等进行安全有效的管理,确保各项管理工作的正常进行。 第二条管理范围 (一)公司计算机设备的购置、管理与操作; (二)计算机软件的购置、管理与操作; (三)公司计算机网络设备的日常管理与维护; (四)公司计算机信息安全管理; (五)公司信息文档的上传、发布管理等。信息文档特指公司或部门之间交流与发布的各项规章制度、通知、请示、报告、文件、工作联系、通报、简报、会议纪要、计划、信息传递、报表等。 第三条管理职责 (一)综合部负责计算机硬件及软件的配备、购置、使用的统一管理,负责计算机网络设备的购置、日常管理与维护,负责集团内计算机信息的安全与保密工作。 (二)计算机使用部门负责计算机的正确使用及日常维护,负责
本单位计算机信息的安全与保密工作。 二、计算机硬件管理 第四条计算机硬件是指各部门日常办公使用的计算机设备,包括计算机主机(含机箱内的芯片、功能卡、内存、硬盘、软驱、光驱等)、显示器、打印机、外设(键盘、鼠标、功放、音箱)等。 第五条公司新购置的计算机,由综合部登录于办公设施台帐中的《计算机设施分类台帐》,注明计算机的品牌型号、设备编号、内存、购置日期、使用部门等相关内容。 第六条所有计算机及配套设备要建立设备档案,综合部及时将设备故障、维修及部件更换等情况记入设备档案中。设备档案的管理要做到标志清楚、置放有序,便于及时取用。 第七条计算机的使用 (一)计算机开机操作:计算机开机时,应依次开启电源插座、显示器、主机。待出现正常界面,表明启动成功。若不能出现正常操作桌面,即时关掉主机及显示器电源,并报告综合部相关人员。 (二)计算机每次的开、关机操作至少相隔一分钟。严禁连续进行多次的开关机操作。计算机关机时,应遵循先关主机、显示器、电源插座的顺序。下班时,须关闭电源插座的开关,遇节假日,须将电源插座及网线拔下,彻底切断电源和网络,以防止火灾、雷击隐患。 (三)在对界面的应用软件进行操作时,当主机读写指示灯不断闪烁时,表明此时计算机正忙,应停止操作,待指示灯转为绿色后才能继续操作。 (四)录入方案或数据时,信息不断录入,应不断保存,以免停电丢失。 (五)计算机操作人员离开计算机时,应将所有窗口关闭,在确
全国2012年4月高等教育自学考试 计算机网络安全试题 课程代码:04751 一、单项选择题(本大题共15小题,每小题2分,共30分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.依据OSI安全体系结构,数据链路层能提供( ) A.连接机密性服务B.鉴别服务 C.数据完整性服务D.抗抵赖性服务 2.针对企业网内部人员攻击的典型对策不.包括( ) A.加强安全意识和技术培训 B.对系统的关键数据和服务采取特殊的访问控制机制 C.采用审计和入侵检测技术 D.采用防火墙技术 3.在GB 2887-2000中,一类供电( ) A.同一般的照明供电B.需建立不间断供电系统 C.需建立带备用的供电系统D.按一般用户供电要求 4.下列各项中,C类计算机机房安全不.作要求的是( ) A.防火B.防水 C.供配电系统D.空调系统 5.单钥密码体制的保密性主要取决于( ) A.密钥的安全性B.密文的安全性 C.加密算法的安全性D.解密算法的安全性 6.下列关于RSA算法的说法中,正确的是( ) A.加密速度比DES快B.解密速度比DES快 C.安全性基于离散对数的困难性D.安全性基于大数的素数因子分解难题7.防火墙的体系结构一般不.包括( ) A.双重宿主主机体系结构B.堡垒主机体系结构 C.屏蔽主机体系结构D.屏蔽子网体系结构 浙04751#计算机网络安全试卷第1页(共4页)
8.下列网络安全技术中,能够对内部攻击、外部攻击和误操作进行实时保护的是( ) A.防火墙B.端口扫描 C.入侵检测D.杀毒软件 9.下列关于分布式入侵检测的说法中,错误 ..的是( ) A.能检测大范围的攻击行为B.对系统的通信能力没有影响 C.提高了检测准确度D.可以协调响应措施 10.下列关于网络安全漏洞威胁综合等级的描述中,错误 ..的是( ) A.1级:低影响度,低严重度 B.2级:低影响度,中等严重度;中等影响度,低严重度 C.4级:低影响度,高严重度;高影响度,低严重度 D.5级:高影响度,高严重度 11.下列关于网络安全漏洞探测技术的阐述,错误 ..的是( ) A.信息型漏洞探测技术往往会对目标产生破坏性影响 B.信息型漏洞探测技术对于具体某个漏洞存在与否难以做出确定性的结论 C.攻击型漏洞探测技术有可能无法探测到某些漏洞 D.攻击型漏洞探测技术不可避免地会对目标系统带来一定的负面影响 12.在逻辑结构上,计算机病毒必不可少的模块是( ) A.引导模块B.传染模块 C.发作模块D.隐藏模块 13.下列关于计算机病毒检测手段的说法中,正确的是( ) A.特征代码法能够检测隐蔽性病毒 B.校验和法能够识别病毒种类 C.行为监测法能够识别病毒名称 D.软件模拟法能够检测多态性病毒 14.下列关于单机用户网络安全的说法中,错误 ..的是( ) A.安装个人防火墙是防止网络攻击的有效手段 B.防止网站恶意代码危害的关键是禁止其执行 C.保护电子邮件安全的有效方法是对其进行某种形式的加密处理 D.安装防病毒软件是防止被病毒传染的一劳永逸的捷径 浙04751#计算机网络安全试卷第2页(共4页)
网络与信息安全管理规 定 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
网络与信息安全管理制度 1. 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 2. 负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。 3. 加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 一旦发现从事下列危害计算机信息网络安全的活动的: (一)未经允许进入计算机信息网络或者使用计算机信息网络资源; (二)未经允许对计算机信息网络功能进行删除、修改或者增加; (三)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加; (四)故意制作、传播计算机病毒等破坏性程序的; (五)从事其他危害计算机信息网络安全的活动。做好记录并立即向当地报告。 5. 在信息发布的审核过程中,如发现有以下行为的: (一)煽动抗拒、破坏宪法和法律、行政法规实施 (二)煽动颠覆,推翻 (三)煽动分裂国家、破坏国家统一 (四)煽动民族仇恨、民族歧视、破坏民族团结 (五)捏造或者歪曲事实、散布谣言,扰乱社会秩序 (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪 (七)公然侮辱他人或者捏造事实诽谤他人 (八)损害国家机关信誉 (九)其他违反宪法和法律、行政法规将一律不予以发布,并保留有关原始记录,在二十四小时内向当地报告。
计算机网络信息安全技术管理与应用 摘要:在互联网高度发达的今天,网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生,给信息时代的人们敲响了警钟。互联网技术的广泛应用,给人们的工作、学习和生活带来了极大的便利,提高了工作效率,降低了活动成本,使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨,分析了当前计算机网络信息安全发展现状及存在的主要问题,介绍了主要的网络信息安全防范技术,希望能够帮助人们更好地了解网络信息安全知识,规范使用计算机,提高网络信息安全水平。 关键词:网络;信息安全;黑客;计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现,深深改变了人类社会生产、生活方式,对人们的思想和精神领域也产生了重大影响。随着互联网的出现,人类社会已经步入信息时代,网络上的海量信息极大地改善了人们工作条件,原本困难的任务变得简单,人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时,也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显,已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用,避免网络信息安全事故发生,保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点,正是这三种特性,赋予了互联网旺盛的生命力和发展动力。但同时,这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点,大肆进行信息破坏,由于互联网安全管理体制机制尚不完善,用户的计算机使用行为还很不规范,缺乏安全防范意识等,这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客,是指利用计算机知识、技术通过某种技术手段入侵目标计算机,进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员,其对计算机的内部结构、安全防护措施等都较为了解,进而能够通过针对性的措施突破计算机安全防护,在不经允许的情况下登录计算机。目前就世界范围而言,黑客数量众多,规模庞大,有个人行为,也有组织行为,通过互联网,能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛,黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件,它能够自我复制,进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的,由于计算机病毒种类繁多,且具有极强的
1.1计算机网络安全的概念是什么?计算机网络安全网络安全有哪几个基本特征?各个特征的含义是什么? 概念:网络安全指网络系统的软件、硬件以及系统中存储和传输的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,网络系统连续可靠正常地运行,网络服务不中断。 网络安全的属性(特征)(CIA三角形) 机密性(Confidentiality ) 保证信息与信息系统不被非授权的用户、实体或过程所获取与使用 完整性( Integrity ) 信息在存贮或传输时不被修改、破坏,或不发生信息包丢失、乱序等 可用性(Availability)) 信息与信息系统可被授权实体正常访问的特性,即授权实体当需要时能够存取所需信息。 可控性 对信息的存储于传播具有完全的控制能力,可以控制信息的流向和行为方式。 真实性 也就是可靠性,指信息的可用度,包括信息的完整性、准确性和发送人的身份证实等方面,它也是信息安全性的基本要素。 1.2 OSI安全体系结构涉及哪几个方面? OSI安全体系结构主要关注: 安全性攻击 任何危及企业信息系统安全的活动。 安全机制 用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程,或实现该过程的设备。 安全服务
加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目的在于利用一种或多种安全机制进行反攻击。 1.3OSI的安全服务和安全机制都有哪几项?安全机制和安全服务之间是什么关系? 安全服务 OSI安全体系结构定义了5大类共14个安全服务: 1 鉴别服务 who 鉴别服务与保证通信的真实性有关,提供对通信中对等实体和数据来源的鉴别。 1)对等实体鉴别:该服务在数据交换连接建立时提供,识别一个或多个连接实体的身份,证实参与数据交换的对等实体确实是所需的实体,防止假冒。 2)数据源鉴别:该服务对数据单元的来源提供确认,向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元 2 访问控制服务 包括身份认证和权限验证,用于防治未授权用户非法使用系统资源。该服务可应用于对资源的各种访问类型(如通信资源的使用,信息资源的读、写和删除,进程资源的执行)或对资源的所有访问。 3 数据保密性服务 为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。保密性是防止传输的数据遭到被动攻击。包括: 连接保密性 无连接保密性 选择字段不保密性 信息流保密性 4 数据完整性服务 用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。 带恢复的连接完整;不带恢复的连接完整; 选择字段的连接完整;无连接完整; 选择字段无连接完整
计算机网络安全模拟试题 (课程代码04751) 一、单项选择题 1.OSI模型的物理层负责下列功能。 【 C 】 A..格式化报文 B.为数据选择通过网络的路由 C.定义连接到介质的特征 D.提供远程文件访问功能 2.Internet的影响越来越大,人们常把它与报纸、广播、电视等传统媒体相比较,称之为【 A 】 A..第四媒体 B.交互媒体 C.全新媒体 D.交流媒体 3.下列说法中不正确的是【 D 】 A..IP地址用于标识连入Internet上的计算机 B.在Ipv4协议中,一个IP地址由32位二进制数组成 C.在Ipv4协议中,IP地址常用带点的十进制标记法书写 D.A、B、C类地址是单播地址,D、E类是组播地址 4.一个路由器有两个端口,分别接到两个网络,两个网络各有一个主机,IP地址分别为110.25.53.1和110.24.53.6,子网掩码均为255.255.0.0,请从中选出两个IP地址分别分配给路由器的两个端口【 B 】 A.110.25.52.2和110.24.52.7 B.110.24.53.2和110.25.53.7 C.111.25.53.2和111.24.53.7 D.110.25.53.2和110.24.53.7 5.下列网卡中,属于按照总线类型分类的是【 C 】A.10M网卡、100M网卡 B.桌面网卡与服务器网卡 C.PCI网卡、ISA网卡 D.粗缆网卡、细缆网卡 6. RIP是()协议栈上一个重要的路由协议【 B 】A.IPX B.TCP/IP(网络层的协议,代表上百种协议)
C.NetBEUI D.AppleTalk 7.下列属于 10 Base-T中网卡与集线器之间双绞线接法的是【 A 】A.l-l,2-2,3-3,6-6 B.l-3,2-6,3-l,6-2 C.1-2,2-1,3-6,6-3 D.1-6,2-3,3-2,6-l 8.划分VLAN的方法常用的有()、按MAC地址划分和按第3层协议划分3种【 B 】A.按IP地址划分 B.按交换端口号划分 C.按帧划分 D.按信元交换 9.以太网交换机的最大带宽为【 C 】A.等于端口带宽 B.大于端口带宽的总和 C.等于端口带宽的总和 D.小于端口带宽的总和 10.某公司位于A市,其分公司位于距A市120公里的B市,总部与分公司之间在上班时间内要经常性地进行大量电子表格传递,则应选择的合理通信连接方式为【 C 】A.普通电话拨号联网 B.光缆快速以太网 C.帧中继(主要应用于专用和公用网上的局域网) D.星形网 11.在数据通信中,利用电话交换网与调制解调器进行数据传输的方法【 C 】 A.基带传输 B.宽带传输 C.频带传输 D.IP传输 12.为了支持各种信息的传输,计算机网络必须具有足够的带宽、很好的服务质量与完善的【 A 】 A.安全机制 B.服务机制 C.通信机制 D.应用软件13.开放系统互连参考模型OSI中,传输的比特流划分为帧的是【 A 】 A.数据链路层 B.网络层 C.传输层 D.会话层 14.通信子网不包括【 C 】 A.物理层 B.数据链路层 C.传输层 D.网络层15.如果互连的局域网高层分别采用TCP/IP协议与SPX/IPX协议,那么我可以选择的网络互连设备应该是【 A 】 A.路由器 B.集线器 C.网卡 D.中继器
《计算机及网络安全管理制度》(试行) 计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由专人负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务作用,更好地为集团员工提供正常的工作保障,特制定《计算机及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机等)均归专人所管辖,其安装、维护等操作由专业工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须由专人实施或经过批准实施,未经许可任何部门不得私自连接交换机等网络设备,不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先申报,由专人做网络实施方案。 第四条集团局域网的网络配置由专人统一规划管理,其他任何人不得私自更改网络配置。 第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第七条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第八条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。 第九条任何人不得扫描、攻击集团计算机网络。 第十条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十一条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团公司局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件等。 2. 采取有效的计算机病毒安全技术防治措施。建议集团公司每台计算机安装防火墙和杀毒软件对病毒和木马进行查杀。(集团公司每台计算机现都已安装了杀毒软件) 3. 定期或及时更新,用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 第十三条集团公司的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团公司有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容:
计算机网络安全与管理 Modified by JACK on the afternoon of December 26, 2020
计算机网络安全与管理 院系专业名称年级班别学号学生姓名 中文摘要:随着计算机和网络的飞速发展,网络已经涉及到国家、政府、军事、文教等诸多领域,网络安全问题在人们生产生活中占有很重要的地位。因此,在这个网络时代,加强网络的安全保障显得原来越重要。从计算机网络安全与管理出发,分析了计算机网络、网络安全、管理防范、安全存在的问题等,简单的做了一些介绍。 关键词:计算机、网络安全、安全管理 当前,随着计算机的迅猛发展为现代化建设提供了一定的技术保障。并且网络技术发展的日益普及,给我们带来了巨大的经济效益。但是,网络的发展也带来了一系列的安全隐患和威胁,导致了一些新的安全问题和社会不稳定因素。计算机网络安全面临着众多的威胁,如黑客攻击,病毒,后门等,使得人们的安全降低,严重威胁着人们的生活财产等的安全,所以网络的王权与管理刻不容缓。 1.计算机网络组成 计算机网络组成要素,无论什么类型的网络,其基本组成部分主要包括如下部分。 (1)网络终端设备 为网络的主体,一般指计算机。但随着智能化以及网络的发展,机、电视机报警设备等都可以接入网络它们都属于网路终端设备。 (2)通信链路 包括通信设备与通信线路,用以连接网络终端设备并构成计算机网络。如光缆、网卡、交换机、路由器等。 (3)网络协议 网络协议是网络终端设备之间进行通信是必须遵守的一套规则和约定,发送的信息要遵守该约定,收到的信息按照规则或约定进行理解。目前使用最广泛的是TCP/IP。 (4)网络操作系统和网络应用软件 链接到网络上的计算机必须装有支持通信协议的网络操作系统,才能使计算机之间进行信息传递。目前几乎所有的操作系统都是网络操作系统。此外,为了提供特殊服务,计算机上还应该安装相应的网络应用程序,如浏览器、QQ、电子邮件等。 2.网络安全与管理概述 网络安全与管理的基本概念 随着计算机和通信技术的发展,国家和社会的信息化程度逐步提高,网络已成为全球信息基础设施的主要组成部分,成为现代人工作生活中必可少的一部分,人们对网络的依赖程度也逐步加深,一旦网络由于种种原因发生故障,陷于瘫痪,人们的生活也必然会受到极大的影响。网络技术如同一把双刃剑,在给我们带来便利的同时,所引发的安全隐患问题也很值得我们关注。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全是一门涉及多方面的
习题与思考题(1) 1.何为计算机网络安全?网络安全有哪两方面的含义? 答:网络安全本质上就是网络上的信息系统安全。网络安全包括系统安全运行和系统信息安全保护两方面。 信息系统的安全运行是信息系统提供有效服务(即可用性)的前提,信息的安全保护主要是确保数据信息的机密性和完整性。 2.网络安全的目标有哪几个? 答: ?1.可用性网络信息可被制授权实体访问并按需求使用的特性。 网络最基本的功能是为用户提供信息和通信服务,而用户对信息的需求是随机的、多方面的,有的用户还对服务的实时性有较高的要求。网络必须能保证所有用户的通信需要。 ?2.可靠性 网络信息系统能够在规定条件下和规定时间内,实现规定功能的特性。 可靠性是网络安全最基本的要求之一,是所有网络信息系统建设和运行的目标。目前,对于网络可靠性的研究偏重于硬件方面,主要采用硬件冗余、提高可靠性和精确度等方法。 实际上,软件的可靠性、人员的可靠性和环境的可靠性在保证系统可靠性方面也非常重要。 ?3.机密性网络信息不被泄露给非授权用户和实体,或供其利用的特性。包括: ?国家或地区的机密 ?企业和社会团体的商业和工作秘密 ?个人的秘密(如银行帐号) ?个人隐私等 ?4.完整性网络信息未经授权不能进行改变的特性。传输进程中不被偶然或蓄意地篡改或伪造,确保得到的信息真实。 ?5.不可抵赖性也称可审查性,指通信双方在通信过程中,对自己所发送或接收的消息不可抵赖,即发送者不能否认其发送消息的事实和消息的内容,接收者也 不能否认其接收到消息的事实和内容。 ?6.可控性 可控性是对网络信息的内容及其传播具有控制能力的特性。保障系统依据授权提供服务,使系统在任何时候都不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取防范措施。 3.网络安全策略有哪些? 答:1.4.1 物理安全策略 1.4.1 访问控制策略 1.4.1 信息加密策略 1.4.1 安全管理策略 4.什么是网络安全漏洞?
浙江省2009年4月高等教育自学考试 计算机网络安全试题 课程代码:04751 一、单项选择题(本大题共20小题,每小题2分,共40分 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.下面不是计算机网络面临的主要威胁的是( B A.恶意程序威胁 B.计算机软件面临威胁 C.计算机网络实体面临威胁 D.计算机网络系统面临威胁 2.密码学的目的是( D A.研究数据加密 B.研究数据解密 C.研究数据保密 D.研究信息安全 3.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于( D A.对称加密技术
B.分组密码技术 C.公钥加密技术 D.单向函数密码技术 4.根据美国联邦调查局的评估,80%的攻击和入侵来自( B 04751#计算机网络安全试题第1 页共6 页 A.接入网 B.企业内部网 C.公用IP网 D.个人网 5.下面________不是机房安全等级划分标准。( A A.D类 B.C类 C.B类 D.A类 6.下面有关机房安全要求的说法正确的是( D A.电梯和楼梯不能直接进入机房 B.机房进出口应设置应急电话 C.照明应达到规定范围 D.以上说法都正确
7.关于机房供电的要求和方式,说法不正确的是( A A.电源应统一管理技术 B.电源过载保护技术和防雷击计算机 C.电源和设备的有效接地技术 D.不同用途的电源分离技术 8.下面属于单钥密码体制算法的是(C A.RSA B.LUC C.DES D.DSA 9.对网络中两个相邻节点之间传输的数据进行加密保护的是( A A.节点加密 B.链路加密 C.端到端加密 D.DES加密 04751#计算机网络安全试题第2 页共6 页 10.一般而言,Internet防火墙建立在一个网络的( A A.内部网络与外部网络的交叉点 B.每个子网的内部
浅谈计算机网络安全技术 近年来,随着计算机在社会生活各个领域的广泛运用,网络已成为一个无处不在、无所不用的工具。然而,网络安全问题也越来越突出,特别是计算机病毒以及计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性、网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通,我们必须不断加强和提高网络安全防范意识。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。 网络安全应具有以下四个方面的特征: (1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (2)可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; (3)可控性:对信息的传播及内容具有控制能力。 (4)可审查性:出现的安全问题时提供依据与手段。 从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该象每家每户
计算机网络安全试卷(A) (课程代码04751) 一、单项选择题 1.OSI模型的物理层负责下列功能。【C 】 A..格式化报文B.为数据选择通过网络的路由 C.定义连接到介质的特征D.提供远程文件访问功能2.Internet的影响越来越大,人们常把它与报纸、广播、电视等传统媒体相比较,称之为【 A 】 A..第四媒体 B.交互媒体 C.全新媒体 D.交流媒体 3.下列说法中不正确的是【D 】 A..IP地址用于标识连入Internet上的计算机 B.在Ipv4协议中,一个IP地址由32位二进制数组成 C.在Ipv4协议中,IP地址常用带点的十进制标记法书写 D.A、B、C类地址是单播地址,D、E类是组播地址 4.一个路由器有两个端口,分别接到两个网络,两个网络各有一个主机,IP 地址分别为110.25.53.1和110.24.53.6,子网掩码均为255.255.0.0,请从中选出两个IP地址分别分配给路由器的两个端口【 B 】 A.110.25.52.2和110.24.52.7 B.110.24.53.2和110.25.53.7 C.111.25.53.2和111.24.53.7 D.110.25.53.2和110.24.53.7 5.下列网卡中,属于按照总线类型分类的是【 C 】A.10M网卡、100M网卡 B.桌面网卡与服务器网卡 C.PCI网卡、ISA网卡 D.粗缆网卡、细缆网卡 6.RIP是()协议栈上一个重要的路由协议【B】
A.IPX B.TCP/IP C.NetBEUI D.AppleTalk 7.下列属于 10 Base-T中网卡与集线器之间双绞线接法的是【 A 】A.l-l,2-2,3-3,6-6 B.l-3,2-6,3-l,6-2 C.1-2,2-1,3-6,6-3 D.1-6,2-3,3-2,6-l 8.划分VLAN的方法常用的有( B )、按MAC地址划分和按第3层协议划分3种【 B 】A.按IP地址划分 B.按交换端口号划分 C.按帧划分 D.按信元交换 9.以太网交换机的最大带宽为【 C 】A.等于端口带宽 B.大于端口带宽的总和 C.等于端口带宽的总和 D.小于端口带宽的总和 10.某公司位于A市,其分公司位于距A市120公里的B市,总部与分公司之间在上班时间内要经常性地进行大量电子表格传递,则应选择的合理通信连接方式为【 C 】A.普通电话拨号联网 B.光缆快速以太网 C.帧中继 D.星形网 二、多项选择题 1.在建网时,设计IP地址方案首先要【 B D 】A.给每一硬件设备分配一个IP地址 B.选择合理的IP寻址方式 C.保证IP地址不重复 D.动态获得IP地址时可自由安排 2.下列关于中继器的描述正确的是【ABC 】A.扩展局域网传输距离 B.放大输入信号 C.检测到冲突,停止传输数据到发生冲突的网段 D.增加中继器后,每个网段上的节点数可以大大增加
计算机网络与安全管理专业实习周记计算机网络与安全管理专业实习周记(一) 刚刚到公司我很是迷茫,对于初入社会的我对于周围的一切还是那么的陌生。不过很快我也就适应了,就是那句:既来之则安之。到了公司老板让同事带着我去了几个学校和ktv,同事告诉我这些都是我们工作的地方,以后就要做这些。这几天一直跟同事熟悉着公司的情况和工作的环境以及他们的一些经验,同时同事也告诉我到了公司该做什么。比如:在公司都要做维修电脑,组装电脑,维修打印机,复印机,网络布线等等。一周下来我就了解了我该做什么,我也有了自己的目标。 现在到了公司只是做一些简单的事情,给电脑做系统和维修电脑。同时我也在学习修理打印机,因为在学校的时候我没有接触过这个,还要跟同事学习画布线图。有时候我也自己上网查找资料,学习别人的做法,让自己很快的成熟起来。看着同事的工作效率,我想我以后也应该会这样的,我也能够独当一面。 为了能够真正的学到知识,我很严格的要求自己去做好每一件事情,即使再简单的事情我都会认真考虑几遍,因此,虽然做得不算快,但能够保证让同事们满意。同事通常也不催促,都把任务安排好,然后便交给我自己去处理,同时还不时提供一些帮助。等慢慢熟悉起来,做起事情也越来越顺手了。第一个礼拜的实习,我可以简单的总结为几个字,那就是:多看,多问,多观察,多思考! 一方面要发扬自主思考问题的能力,在碰到问题的事情,自觉努力去独立解决,这样对问题便能够有一个更深刻的了解,当然解决的时候也会获
益良多。另一方面,要发扬团队精神。公司是一个整体,公司产品是团队的结晶,每个人都需要跟其他人更好的沟通和交流,互相帮助,合力完成共同的目标,团结众人的智慧才能够发挥最大的效能这周在公司我学到很多,既要努力学习,还要仔细工作,更要有团队的精神,这些都是我应该努力的,我相信我可以做的更好。 计算机网络与安全管理专业实习周记(二) 实习第二周开始,我已经逐渐进入状态。通过上一周我已经了解了公司的运行制度和工作环境,所以这周开始老板让我独立接触一些业务,老板也知道我会一些简单的组装电脑和维修,所以放心的让我一些简单的电脑问题,比如给客户换一些硬件,组装客户所需要的电脑主机配件,并安装一些必要的软件,满足客户的一切要求,让他们满意而归,这也是我所期待的。所以每天上班我都会很认真的为客户服务,尽量满足他们的要求,适当给他们提一点意见,闲暇的时候上网查看网友出现的电脑问题以及一些答案,每天的坚持学习让我更加懂得了电脑的故障所出和处理办法,也更能很好的为客户服务了。现在我很满意自己的表现,来公司两周工作态度还是比较好的,同事之间也相处的挺好。 工作进行的还是比较顺利的,通常每天都要接受好几个任务,每个任务都是比较简单的,同时也要学习如何维修打印机、复印机,明白它们的工作原理以及一些重要的部件。虽然自认为口才并不好,但我能够把事情描述的比较清晰,如此也令客户满意。所以每次客户满意的拿走电脑的时候,自己心里都会觉得很踏实,虽然已经满头虚汗了,但一想,我是自己独立完成,这完全是我自己的功劳,也是我努力的结果。工作都是辛苦的,特别是周末前的一两天,任务特别的
网络安全概述 网络安全的定义 什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是"避免冒险和危险"。在计算机科学中,安全就是防止: 未授权的使用者访问信息 未授权而试图破坏或更改信息 这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源,即CPU、硬盘、程序以及其他信息。 在电信行业中,网络安全的含义包括:关键设备的可靠性;网络结构、路由的安全性;具有网络监控、分析和自动响应的功能;确保网络安全相关的参数正常;能够保护电信网络的公开服务器(如拨号接入服务器等)以及网络数据的安全性等各个方面。其关键是在满足电信网络要求,不影响网络效率的同时保障其安全性。 电信行业的具体网络应用(结合典型案例) 电信整个网络在技术上定位为以光纤为主要传输介质,以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议,QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的,所以IP优化尤其重要,至少包括包括如下几个要素: 网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构,可以减少对传统传输体系的依赖。 IP路由协议的优化。 IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征,提供高速路由查找和包转发机制。 带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽。 稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力,快速恢复网络连接,避免路由表颤动引起的整网震荡,提供符合高速宽带网络要求的可靠性和稳定性。 从骨干层网络承载能力,可靠性,QoS,扩展性,网络互联,通信协议,网管,安全,多业务支持等方面论述某省移动互联网工程的技术要求。 骨干层网络承载能力
04751计算机网络安全复习题 单项选择题 1.计算机病毒的检测方法主要有比较法.搜索法.特征字识别法和等四种。【】A.分析法B.逻辑法C.推理法D.排除法 2.TCP/IP协议对IP地址做了规定,一个IP地址由一个32位二进制数表示,共分为()组,每8位为一组,每组数字的取值范围为0~255。【】 A.2 B.3 C.4 D.6 3.完整的PKI系统由().证书库.密钥备份及恢复系统.证书废止处理系统.PIK应用接口系统几部分组成。【】 A.认证中心CA B.认证中心AC C.认证中心DA D.认证中心AD 4.电子商务证书主要包括持卡人证书.商户证书.().收单行证书和发卡行证书。【】A.CA认证证书B.支付网关证书 C.担保人证书D.中间行证书 5.20世纪80年代,国际标准化组织颁布了(),以此促进网络互联网的发展。【】A.TCP/IP B.OSI/RM C.FTP D.SMTP 6.在网络数据通信中,实现数字信号与模拟信号转换的网络设备被称为【】A.网桥B.路由器C.调制解调器D.编码解码器 7.Internet实现了分布在世界各地的各类网络的互联,其中最基础和核心的协议是【】A.TCP/IP B.FIP C.HTML D.HTTP 8.浏览Web网站必须使用浏览器,目前常用的浏览器是【】A.Hotmail B.Outlook Express C.Inter Exchange D.Internet Explorer 9.下列属于计算机病毒特征的是【】A.模糊性B.高速性C.传染性D.危急性 10.网络操作系统的组成:网络服务软件.工作站软件.网络环境软件和【】A.协议软件B.服务器操作系统C.通信软件D.网络应用软件 11.以下关于病毒的描述中,不正确的说法是【】A.对于病毒,最好的方法是采取“预防为主”的方针 B.杀毒软件可以抵御或清除所有病毒 C.恶意传播计算机病毒可能会是犯罪 D.计算机病毒都是人为制造的 12.有关IP地址与域名的关系,下列描述正确的是【】A.IP地址对应多个域名 B.域名对应多个IP地址 C.IP地址与主机的域名一一对应 D.地址表示的是物理地址,域名表示的是逻辑地址 13.统一资源定位器URL的格式是【】A.协议://IP地址或域名/路径/文件名
《网络及网络安全管理制度》计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由信息部负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为集团员工提供服务。现制定并发布《网络及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机、集线器等)均归信息部所管辖,其安装、维护等操作由信息部工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须经过信息部实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先报经信息部,由信息部做网络实施方案。 第四条集团局域网的网络配置由信息部统一规划管理,其他任何人不得私自更改网络配置。第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管 理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条任何接入集团局域网的客户端计算机不得安装配置DHCP服务。一经发现,将给予通报并交有关部门严肃处理。 第七条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第八条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第九条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。 第十条任何人不得扫描、攻击集团计算机网络。 第十一条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用信息部部署发布 的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 第十三条集团的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容: 1. 从中国境内向外传输技术性资料时必须符合中国有关法规。 2. 遵守所有使用互联网的网络协议、规定和程序。 3. 不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。