Tivoli 网络安全软件简介
1. Policy Director (DASCOM IntraVerse)
产品概述
Tivoli SecureWay FirstSecure 是一个综合产品包。 Policy Director 是它的一部分。Policy Director 提供了单点控制来定义基于地理分布式网络的企业安全策略。功能包括了互联网环境内的认证,授权,数据安全和资源管理,以及基于业界标准的编程API来支持新应用的开发。
Tivoli SecureWay Policy Director 提供了对异构网络环境的稳固的,策略导向的单点控制。以及基于TCP/IP的客户/服务器应用程序。在用户通过浏览器访问多个后端Web服务器的环境里,Policy Director 提供single sign-on, 以及验证身份和对任何请求访问被保护Web页面的用户实施细致的授权检验的能力。可以对以下对象进行授权和保护:
?HTML, Telnet, 和 FTP访问
?第三方应用程序,例如数据库系统
?网络管理工具
?对象请求代理
?内部开发的应用程序
Policy Director通过Security Manager来实施基于授权数据库信息(ACL)的访问控制策略。Security Manager包括WebSEAL和NetSEAL。
WebSEAL
WebSEAL是一个高性能,多线程的Web服务器。它可以接受HTTP,HTTPS和NetSEAT客户端的请求。WebSEAL支持标准特性,例如动态CGI程序,服务器端include和访问信息日志。WebSEAL利用大量访问控制机制来保护文档和程序。
WebSEAL服务器还可以作为代理服务器(Proxy),通过它来访问与它连接的Web服务器。IntraVerse Smart Junction技术使你可以附加额外的服务器文件系统到Web空间并以一个单独、统一的对象命名空间来查看资源。
WebSEAL可以对基于Web的资源提供Single Sign-On的能力。WebSEAL验证用户后,以用户身份使用基本HTTP和摘要认证。WebSEAL还可以将用户的身份作为CGI变量来传送。NetSEAL
Security Manager中的NetSEAL截取所有流入的TCP/IP数据,根据目标端口和客户身份进行访问控制。
NetSEAL有一个内建的粗略访问控制管理器,控制用户连接服务器上特定端口的能力(例如,端口23, Telnet)。NetSEAL也接受和验证来自于NetSEAT客户端的TCP/IP通道的数据。
NetSEAL服务器允许任何网络应用服务器与IntraVerse (Policy Director)的安全服务相集成。NetSEAL服务器为所有网络通讯提供一个安全通道端点(secure tunnel endpoint)。经认证的用户身份,连同原始协议请求一起,通过一条由GSSAPI建立的通道传送。NetSEAL通道可以用来与NetSEAT客户端通信。
Authorization API
NetSEAL对网络资源提供透明的安全性和访问控制,而且应用程序不需要知道其中的机制。但是在很多情况下,理解NetSEAL提供的服务,会对应用程序带来可观的价值。
IntraVerse Authorization Service API允许第三方应用程序通过查询IntraVerse Authorization Server来作出授权决策,或是得到关于认证规则的信息。例如,应用程序客户可以提供某个用户可以执行什么操作的可视反馈(比如禁用某个按钮或菜单项)。
又如,应用服务器可以受益于IntraVerse授权服务的可扩展性,从而在它控制下执行对资源的精细访问控制。同样,应用服务器可以将IntraVerse认证服务与它自己复杂的基于规则的算法来进行精细访问控制。
支持的平台
服务器端:Windows NT, AIX, 及Solaris。
客户端控制台:Windows 95, Windows NT, 及AIX。
2. IBM Firewall
产品概述
IBM公司在企业安全问题上有多年的研究和经验。早在1987年,IBM 就在 IBM 的全球网络上实施了自己的防火墙产品,IBM INTERNET CONNECTION SECURE NETWORK GATEWAY (SNG)。该产品获得美国国家计算机安全协会(NCSA)的安全认证,它成功地保护 IBM 全球网络,到现在历时十余年,没有被任何人非法侵入过。1995年,更是击败了一百多个竞争产品,荣膺 COMNET 评测防火墙产品的最高奖项“产品技术先进奖”。现在,IBM 将一些新技术、新标准融入 SNG 中,并升级更名为 IBM FIREWALL 。
防火墙通常通过三种技术进行保护与隔离,即过滤器、代理、加密。
IBM Firewall 的关键技术包括:
-Filters (过滤器)
对通过 Firewall(防火墙)的 IP Packet 的地址、TCP/UDP 的 PortID (端口标识符)及ICMP(Internet Control Message Protocol)进行检查,即规定哪些网络节点何时可通过 Firewall 访问外部网络,哪些网络节点可访问内部网络;或者是哪些用户只能使用 E-mail,而不能使用 Telnet 和 FTP;或者哪些用户只能使用Telnet,而不能使用FTP 等等。
-Proxy Server (代理服务器)
在网络应用层提供授权检查及代理服务,内部(或外部)网络用户需首先登录到防火墙上,通过验证后,才可使用 Network Browser、Telnet 或 FTP 等有效命令访问外部(或内部)网络,例如,内部网的用户使用Telnet访问外部网络时,首先登录到防火墙上,Firewall 检查其是否被授权访问外部网,在通过检查后,即可再使用 Telnet 访问外部网络的主机,内部网络用户访问公共网所使用的 IP 地址都是 Firewall 的 IP 地址。
-Socks Server
Socks 是一个网络应用层的国际标准,当内部网络 Client 需要与外部网交换信息时,在Firewall 上的 Socks Server 检查Client的User ID、IP 源地址和 IP 目标地址经过确认后,才建立连接,对用户来说内部网外部网的信息交换都是透明的,感觉不到 Firewall 的存在,那是因为网络用户不需要登录到 Firewall ,但是 Client 端的应用软件必须支持“Socksified API”,内部网络用户访问使用的 IP 地址也都是 Firewall 的 IP 地址。
-Domain Name System (域名系统 DNS )
在防火墙上提供域名系统,对于保护安全网络上原有的域名服务器免受外部非安全网络的非法入侵具有很大帮助。从外部网络看防火墙,防火墙上的域名系统只知道其自身、外部、公开的主机地址信息,而不会将任何内部网络的 IP 信息发布到外部网络;而从内部网络看,则可依照防火墙上的授权定义访问 Internet 。
-Strong Authentication
IBM Firewall 提供多种方法认证用户 ( Authenticating Users )。您可以仅使用口令字方式,但是在某些情况下,这种方式不能保证足够安全。特别是当用户从一个非安全网络登录时,偷窃者可以轻易地翻译出该口令字。IBM Firewall 提供了一种Strong Authentication 方式,即Secuity Dynamics SecurID 卡。基于Security Dynamics 的方式包括用户 ID 以及 SecurID Card。当用户从远程
登录时,可以从SecurID card 获得口令字。而口令字每60秒更换一次,每个口令字仅使用一次,这样,即便网络黑客通过一个开放网络破获了您的口令字,他所窃取的口令字在下一次使用时也是无效的。
另外,IBM Firewall 还提供了一组 API,允许用户定义自己的认证技术。
-Hardening (加固操作系统安全性)
在 UNIX 系统及 TCP/IP 协议中,有些服务和协议不具备安全性,当安装防火墙产品时容易造成安全策略上的隐患。因此当安装 IBM Firewall 产品时,安装进程将自动停止相应的应用程序,用户帐户及系统操作,以确保此时安装防火墙的机器的本地及网络安全性。
-Virtual Private Network (VPN, 虚拟私有网络)
VPN 是一组由一个或多个 IP 安全通道组成的。它允许在两个基于标准的 Firewall 之间的公共网络 ( 例如 Internet ) 上建立一条安全通道,即将从某个内部网络中发送出的 IP 包在
Firewall 上进行加密,形成新的 IP 包,通过公共网络传送到另一个内部网络的 Firewall 上,由Firewall 进行解密,从而借助公共网络构成了一个虚拟和企业专用网。
-Log(日志)
对进出 Firewall 的文件进行管理,并可通过简单网络管理协议(SNMP)报告给网管软件,如 Tivoli TME 10 ,由网络管理员监视 Firewall 的情况;同时还可通过实用程序将系统记录汇报数据存入关系型数据库,如 IBM 的 DB2 。
支持的平台
IBM Firewall 目前包括基于AIX和Windows NT的两个版本.
3. SurfinGate (Finjan)
产品概述
SurfinGate是一个企业级的机动代码(mobile code)安全解决方案。Internet主动代码的全新计算模式,如Java applet、ActiveX控件以及JavaScript程序段,带来了新的安全危机,这是传统的TCP/IP防火墙无法发现的。由于机动代码是自动被“推”(push)进Web用户的系统,因此需要一套全新的安全解决方案。
SurfinGate保护计算机网络免受通过Java、ActiveX和JavaScript技术进行的恶意Internet攻击。SurfinGate阻止那些未被发现的会带来严重损失的攻击,例如工业间谍(industrial espionage),数据更改(data modification)和拒绝服务(denial of service)。SufinGate远离关键资源,在网关上扫描Java、ActiveX和JavaScript内容,在潜在的恶意攻击进入网络之前识别出来。使用SurfinGate,系统管理员可以针对网络内所有Internet机动代码(包括Java、ActiveX、JavaScript、VB Script、Plug-in和Cookie),管理和控制企业范围的安全策略。
主要功能特性
?在网关上对Java、ActiveX和JavaScript进行内容检查。
?禁止/允许JavaScript、VB Script、Plug-in和Cookie。
?对全公司、不同部门和各个用户的多层次安全策略设定。
?代码级的详细访问控制列表,提供针对文件系统、网络系统、注册表和其他操作的访问控制。
?禁止所有不满足企业安全策略的applet、控件和Script。
?支持使用JDK1.1进行数字签名的Java applet。
?带有支持多个SurfinGate服务器的集中管理控制台的客户/服务器结构,可以在每个地点实施企业的安全策略。
?对所有安全事件的连续日志,包括applet、控件和JavaScript源代码,尝试动作,时间和日期。?Plug-in模式使SurfinGate可以作为现有代理服务器或防火墙的plug-in来运行。
?对最终用户的Auto Discovery功能可以透明地使用在成千上万的用户上。此后,系统管理员可以简单地把这些用户移动到合适的组里面去。
?把用户从一个安全策略拖放到另一个中去。
?Applet Security Profile显示出所有Java applet和ActiveX控件的安全特性。Applet Security Profile包括一个窗口,一对一地显示出Applet安全属性和安全策略。它使得用户可以对比策略和属性,从而在考虑是禁止还是允许这个applet是作出正确的选择。
?通过E-Mail对包含安全和系统事件的消息进行通知。
?当一个applet或控件被禁止时,SurfinGate发给最终用户一个定制的替换applet。这个applet可以包含系统管理员设置的特定消息。
?在CVP API Plugin模式下,SurfinGate服务器与运行CVP API的Check Point FireWall-1通信。该通信通过由Finjan提供的一个小程序实现:SurfinGate CVP API Plugin for FireWall-1。我们强烈建议在安装了FireWall-1的同一台机器上安装SurfinGate CVP API Plugin。
支持的平台
Windows NT 4.0 以上
注:目前SufinGate没有中文版本。
4. MIMEsweeper (Content Technologies)
产品概述
MIMEsweeper是Content Technologies公司的产品,包括MAILsweeper和WEBsweeper两部分。MAILsweeper主要针对出入网络的邮件进行扫描;而WEBsweeper则检查Web访问的数据。MAILsweeper
隐藏在电子邮件内容里的威胁会使得企业网络瘫痪并严重影响正常业务。保护网络不仅只是指定详细的策略,还要通过一定的机制来实施。MAILsweeper for SMTP email提供内容安全和策略管理来对付隐藏在电子邮件传输中的威胁:机密泄露、暴露法律责任、滥用电子邮件造成的工作效率下降、邮件炸弹和邮件欺骗以及电子邮件携带的病毒造成的传染和数据丢失。
系统特性:
WEBsweeper
阻止来自于Web访问的威胁。功能与MAILsweeper相似。
系统特性:
支持的平台
Windows NT 4.0 with SP4
注:目前MIMEsweeper没有中文版本。
5. Norton AntiVirus (Symantec)
产品概述
Norton AntiVirus是目前世界上市场占有率最高的防病毒产品,在检测技术、扫描速度、文档修复、软件功能等多方面综合评测中得分最高,多年来屡获计算机行业国际性大奖,被评为最好的防病毒产品。该产品不仅适用于不同的硬件和操作系统平台,更将病毒保护、系统维护、资料整合、资料管理及桌面导航应用程序等功能有机地融为一体,有效地提高了用户的工作效率和系统安全性。
Norton AntiVirus不仅可以自动清除病毒、排除来自Internet下载、电子邮件、共享文件、网络及硬盘中的病毒威胁;检测并排除Word宏病毒;更可通过Internet直接获得免费更新的软件,使用户能够始终保持自己的系统获得最安全周到的保护。
Norton AntiVirus 产品要点
NAVEX 技术(Norton AntiVirus Extension Technology)
当今典型的防病毒软件都是由两个主要部件组成的:防病毒应用程序和防病毒引擎。
防病毒应用程序提供用户界面、报警功能、日志功能,决定扫描对象以及当在用户的计算机上发现了病毒后作出什么反应。防病毒应用程序本身对病毒一无所知,当它要扫描文件或磁盘时会调用防病毒引擎去完成操作。如果防病毒引擎发现了病毒它会向防病毒应用程序报告。然后,再由防病毒应用程序提示用户。如果用户选择修复被感染的文件,防病毒应用程序会再次调用防病毒引擎对文件或磁盘进行修复。
而防病毒引擎与用户界面无关,它也不知道应该扫描哪个文件,或者在发现病毒后如何通知用户。它只知道如何发现病毒、修复系统。防病毒引擎是由一系列复杂的搜索算法、CPU仿真程以及其他一些复杂的程序逻辑组成。防病毒引擎的工作是检测由防病毒应用程序指定的文件或磁盘是否带有病毒。一般情况下,防病毒引擎根据成千上万的病毒特征码(病毒所包含的特定的字节串)扫描文件。这些病毒特征码包含在全世界用户每周下载的病毒特征定义数据文件中。
与一般防病毒产品不同的是,Norton AntiVirus的防病毒引擎是跟防病毒应用程序分离的。这种技术称为NAVEX。
NAVEX是一种防病毒产品结构体系的全新技术,它存在于所有NAV产品中。通过它,用户可以在更新病毒特征定义文件的同时,更新对付新型病毒的防毒引擎。可以对新型病毒作出快速反应。
由于很多新出现的病毒的使用新的运行机制,使用旧的引擎就对它无能为力了。所以在更新病毒特征定义文件的同时,还必须要对引擎也作更新。
现在绝大多数防病毒产品都需要用户来卸载并重新安装整个防病毒产品,才能获得新的防病毒引擎。通常他们会每隔四到六个月上市各自的引擎更新版。因此,如果出现新型病毒的威胁,这些产品的用户将无法获得即时的、综合的解决方案,以应付来自新型病毒的威胁;他们必须等待下一个、按时间计划的更新──很可能要等待长达六个月之久。
然而,NAV利用NAVEX技术从根本上解决了这一问题。NAVEX包含NAV引擎的大部分,是那些用于执行病毒检测和清除功能的产品的主要组成部分。当发现一类新型病毒时,可以方便地更新NAVEX内部的引擎,而不是重新构建整个NAV引擎。并随同新的病毒特征定义信息一起下载到用户的计算机内。当用户安装病毒定义更新时,新的NAVEX引擎会自动安装到系统中,同时提供即时的、无缝、最新的病毒防护。由于NAVEX引擎是与NAV应用程序部分(包括用户界面等)分开的,因此可以对新型病毒的威胁作出非常迅速的反应。
?方便的集中式实施, 管理与升级(NSC)
随NAV一同提供给用户的管理工具NSC,使得整个企业范围的防病毒产品的安装、管理,以及病毒特征定义和防病毒引擎的更新都变得非常简便。您可以通过一台计算机,完成整个企业网络内NAV的安装和配置;集中进行病毒定义和防毒引擎的更新。而不用管理员走到每一台计算机跟前进行安装和配置。
另外,通过NSC内的审计功能,还可以集中控制整个网络内每台计算机的防病毒状况。对有问题的部分可以随时更改或更新。这一切操作都可以在没有用户干预的情况下完成。
管理员还可以在NSC内制定一些需要定时完成的动作。例如,在晚上下班以后让整个网络内每一台计算机都自动进行病毒扫描;定期进行病毒特征定义和防病毒引擎的更新。
这样,可以大幅度减少管理的难度,并且节省大量的管理费用。
?查杀病毒4万种以上
Symantec在全球多个国家设立了反病毒研究中心SARC,24小时对全球范围内出现的病毒进行监视和分析。同时,通过遍布在世界各地的广大用户,结合NAV特有的隔离和提交病毒给Symantec的技术。使得研究中心可以在最短的时间之内发现和处理新的病毒。
同时,结合IBM的数字免疫技术,使得分析病毒并给出解决方案的速度大幅度提高。在几分钟的时间内,就可以完成对病毒的自动分析,并提取出病毒特征定义码。
通过以上方法,NAV目前已经可以查杀4万种以上的病毒。
另外,该产品已经获得公安部的许可证,可以在中华人民共和国销售。
支持的平台
?工作站级:支持DOS/Windows3.1、Windows95/98/NT Workstation、 Macintosh、OS/2等。
?服务器级:支持Netware3.x/4.x、Windows NT Server 3.51/4.0、OS/2、 LotusNotes、 Exchange 等。
?网关级:SMTP服务器、Firewall等。
同时,NAV还有支持Tivoli管理软件的防病毒产品NAV plus for Tivoli。
6. Tivoli Cross-Site for Security
产品概述
Tivoli Cross- Site for Security是集成的Tivol iCross- Site产品家族的一个产品,主要用于电子商务及非连结用户的企业级的管理问题。
电子商务及其用户最大的疑虑主要在于安全侵犯问题。安全侵犯有时会造成灾难性的损失.因为电子商务的基础依赖于客户的信心.任何安全的破坏都会对它持续的成功发展造成影响.
Tivol iCross – Site for Security实时探测安全的侵扰,并向管理员告警.它具有高度可扩展性,并且简单容易管理.
Tivoli Cross –Site for Security由两部分组成,:
Tivoli Cross-Site for Security服务器,安装在中心管理服务器,具有下列功能:
管理来自于安全客户端的事件,为客户端管理策略,提供核心服务,如事件管理和报告生成
从Cross-Site控制台进行安全监控和管理服务器的客户端,Cross-Site控制台可运行于网络内外的任何系统.
当它在多个点实施,可以通过基于策略地共享安全管理数据,.促进业务伙伴的协作.
Tivoli Cross – Site for Security客户端,运行于客户的服务器和桌面系统,并实现下列功能:
监控网络流量以探测安全侵犯的企图,并在监测到有违背预定义策略的网络行为时告警给管理服务器.因为每一个客户端的策略都是可配置的,用户可以定义触发告警的参数.,如行为类型,源,目的和时间等.同时也可以将策略的违背与三个安全级别相联系,如critical,serious,或non-critical–使管理员根据告警级别采取响应的行动.
客户端的策略可以经常更新,并可以在客户端向管理服务器送"heartbeat"状态信息时分发.
支持的平台
管理服务器: Solaris2.5.1,和2.6
安全客户端: Solaris2.5.1,和2.6
WindowsNT4.0或以后版本
7. Tivoli Security Management
产品概述
长期以来,由多种不同平台构成的网络的安全管理对我们来说一直是一个严峻的挑战,它要求管理员掌握每一个现有平台的具体安全控制细节,:不间断的系统监控、厂商对系统漏洞的补丁程序和不断修改的配置文件—而这仅能满足一小部分系统安全要求。其结果必然会降低安全控制效率,因为仅仅为了应付已经发生的事件,就要付出大量的劳动。Tivoli Security Management采用跨平台的、一致的强制安全策略解决了上述问题。
Tivoli Security Management是业界一流开放的解决方案,用于基于角色的、分布式客户机/服务器安全管理。它合并、集成、利用和扩展了TME、系统管理规则、现有的系统及应用程序特有的安全管理产品的优点和功能。
集中安全管理
Tivoli Security Management产品提供集中的基于角色的安全管理机制。在初始阶段,它利用RACF 弥补多重UNIX平台、WindowsNT和MVS的安全管理,在以后的版本中,它将扩充支持范围,以支持多种分布式企业资源,这些资源包括NetWare、ACF/2、Lotus notes、Internet服务器、数据库和应用程序。
Tivoli Security Management是最全面的防止非法侵入解决方案,它除了具备TME安全管理功能和生产率管理工具外,还拥有一个分布式环境的安全管理引擎。分布式系统管理的节点组件—Tivoli Access Control Facility(TACF)提供创新的、与IBM在MVS领域的RACF解决方案相一致的体系结构,从而最终解决了分布式计算环境的安全问题。Tivoli Security Management是一种使您的企业能够长期抵御安全性攻击的解决方案。
Tivol iSecurity Management可使您致力于重要的企业安全策略问题,而不必将精力花费在如何保护IT资产的具体细节上。并能使能您将注意力集中于安全优先级和对企业资源的保护上。
交叉平台的安全管理
Tivoli Security Management解决不同的安全模式,通过从管理员处获取主机安全模式与分布式安全模式之间的不同点,它确保能够跨地域,跨平台一致性地实施其安全策略,Tivoli Security Management通过提供一致的用户界面,并采取Security Profile Manager端点描述的方法提高工作效率。通过Tivoli自动处理安全管理任务,可以进一步提高工作效率,利用维护代理功能,允许不具备OS安全控制专业知识的初级管理人员代理维护工作。
Tivoli Security Management安装在Tivoli Framework上,通过Tivoli Enterprise Console提供卓越的安全事件关联功能;Tivoli Distributed Monitoring提供有效的安全警告功能;Tivoli User Administration提供高效的用户帐户管理功能。
使用TivoliSecurityManagement,您可以从IBM获得安全管理的尖端技术,并将长期享有IBM提供的技术支持保障。
开放的安全管理
Tivoli Security Management支持Application Management Specification(AMS)在安全性(Security)和用户管理(User Administration)方面的扩充。扩充在Security Management Working Group的指导下进行,包括来自Axent、CyberSafe、Checkpoint、Cygnus、Dynasoft、Haystack Labs、IBM/ISSC、ICL、Internet Security Systems、Memco、Mergent、Santix、Security Dynamics、Trusted Info Systems等公司的支持。这种扩充性提供了管理其他安全工具的能力和解决方案,从而提高了工作效率和集成度。所有这些都为将来扩充安全管理能力提供了的途径。
支持的平台
Tivoli Managed Node:
AIX、HP-UX、SunOS、Solaris、WindowsNT,DigitalUnix
Tivoli Endpoint:
AIX、HP-UX、SunOS、Solaris、WindowsNT、在OS/390安全服务器上的RACF
8. Tivoli Global Sign-On
产品概述
Tivoli Global Sign-On是处理用户使用单一ID和口令登录到多个分布资源的Single Sign-On应用程序。GSO提供灵活可靠的管理能力来管理本地用户和远程电话拨入用户的登录。通过点按操作,GSO将只允许用户在需要的时间登录到指定的服务器上。系统或应用程序可以设置成每次在用户打开机器的时候启动。GSO可以与Windows NT,Windows 95/98系统登录集成在一起。GSO可以通过终端仿真,UNIX系统,网络文件/操作系统如Netware,NT Server和Lan/Warp Server,常用数据库,Lotus Notes让用户登录主机和其它系统上,并且支持其它具有登录过程的应用程序。
增强的安全性
GSO是强健的安全的集中授权服务器模式,但可以与现有的安全环境协同工作。主GSO登录使用Kerberos的私有密钥授权机制,授权服务器和用户工作站之间的数据传输使用DES进行加密。登录信息(ID,口令,主机名等)不作缓存或存储到用户的工作站上。GSO软件对内置的应用程序提供必要的登录信息,不必替换现有的安全结构或向目标应用程序增加软件。GSO也允许不同的用户ID和口令设置到不同的系统,或所有的ID和口令保持同步。
Tivoli管理
作为企业级安全管理解决方案,GSO紧密集成到了Tivoli User Administration产品中。它支持基于角色的管理,并允许授权的管理员从集中的控制台上管理GSO用户和对象。Tivoli/ Plus module for GSO与GSO 一起打包,它通过Tivoli Software Distribution提供自动的GSO安装和配置的支持。GSO包含对分布式监控的支持,允许管理员通过TEC对GSO进行监控和管理。
延展能力和灵活性
通过使用程序模板文件和Scripting,GSO可以支持其它需要登录的应用程序。GSO可以登录到为登录提供命令行接口或编程接口的系统上。GSO也支持常用得仿真程序,如3270,5250和其它的常用的仿真程序。通过使用“Windows Watching”适配器代码,GSO可以与使用标准的Windows登录对话框的应用程序。
支持的平台
Tivoli Global Sign-On包含三种系统:GSO Client,GSO Server,GSO Target:
GSO Client
●Windows 95
●Windows NT4.0 Workstation
●OS/2 Warp3.x,4.x(有限的功能)
●Windows 3.1(有限的功能)
GSOServer
●IBM AIX4.1.4+
●Sun Solaris 2.5.1
●Windows NT 4.0
GSO Target
●3270 application
●5250 application
●UNIX application/systems via TCP/Ipand VTXXX emulation
●Networked File/Application Servers
●NT4.0Server
●Netware3.Xand4.XServer
●OS/2 Warp Server
●Database
●Sybase
●DB/2
●Oracle
●Informix
●MS SQL Server
●Lotus Notes
●其它使用命令行,终端仿真或MS登录对话框的应用
Tivoli Systems
2000年2月
张庄小学网络安全教育工作方案 为进一步推动我校法治网络建设,提升学校网络安全教育管理水平,培养广大学生绿色上网、文明上网意识和良好习惯,增强师生网络安全防护能力,保护人民群众信息和财产安全,按照《三河市教育局关于进一步加强中小学生网络安全教育的通知》精神,根据中共三河市委宣传部、三河市互联网信息办公室《关于印发涉网络游戏信息内容专项整治工作方案的通知》和《关于转发廊坊市互联网信息办公室<关于开展网上色情低俗内容专项整治行动的通知>的通知》等文件要求,决定在全校开展网络安全宣传教育活动,特制定本方案如下: 一、指导思想和目标 以以上《通知》和《文件》精神为依据,突出“网络安全为人民,网络安全靠人民”活动主题,深入开展“网络安全进校园”宣传教育活动,充分发挥校园宣传教育主阵地作用,提升师生绿色上网、文明上网意识和网络安全防护能力,全面加强法治网络教育宣传,强化各项管理措施,全面建成文明、安全、和谐的网络环境。 二、建立网络安全领导小组 组长:张顺连 副组长:闫秀志陈沿杰 成员:孙艳苹、李朝辉、赵振红及各班班主任 三、引导广大师生正确认识网络安全 随着科学技术的飞速发展,互联网在给人们的生活、学习和娱乐带来极大便捷的同时,也给孩子的健康成长带来了许多负面影响。目前,绝大部分家长均为学生配备了电脑、手机,目的是让他们通过现代化手段学习知识、交流思想。但由于部分学生缺乏自制力,经常沉迷
于网上聊天、网络游戏、浏览不健康网页等,导致出现心理扭曲、疏远家人朋友、荒废学业、健康状况下降等一系列不良现象的发生。 四、明确教育切入点,有针对性地开展 (一)广泛宣传,营造氛围 利用寒假“开学的第一课”,切实要讲好、讲出实效。充分利用校园广播、板报、橱窗等宣传载体,大力宣传文明上网、健康上网等常识和标语,同时要通过主题班队会或国旗下讲话等形式全面普及网络安全教育相关知识,努力营造网络安全教育强大的宣传攻势。 (二)教育引导,净化心灵 以社会主义核心价值观教育为统领,进一步加强学生的思想品德教育,不断培养学生健全的人格和高尚的道德情操,定期组织学生观看《护苗·网络安全课》课件,不断提高学生网络安全的防范意识,自觉遵守网络安全法律法规,正确引导小学生能够自觉地抵制各种不良网络诱惑。 (三)家校联动,形成合力 充分发挥家长学校作用,利用家长会、致家长一封信等形式,加强和家长的沟通和联系,明确告知每一名家长要引导和帮助子女正确处理学习和上网的关系,教育未成年子女自觉远离网吧等一些禁止未成年人进入的场所,不制作、复制和传播有害信息,自觉抵制不良网络游戏,正确对待虛拟空间中的聊天和交友,提高网络安全防范意识。 四、教育内容 通过网站、电视、报刊杂志、会议、展览活动等多种渠道和形式,开展网络安全宣传教育主题活动,大力宣传倡导依法文明上网,增强全社会网络安全意识,普及网络安全知识,营造健康文明的网络环境,维护网络安全。重点要做好以下几点:
设计方案 一、立项背景 随着高校内各种网络工程的深入实施,学校教育信息化、校园网络化已经成为网络时代教育的发展方向。在当今的互联网环境下,计算机被攻击、破坏的事件经常发生,我们经常需要面对的信息安全问题有:黑客侵袭、内部漏洞、病毒干扰、人为错误等。因此,在校园网络建设中,网络信息安全成为需要特别考虑的问题。 1.1、校园网信息系统安全现状 1.2、现有安全技术和需求 1.操作系统和应用软件自身的身份认证功能,实现访问限制。 2.定期对重要数据进行备份数据备份。 3.每台校园网电脑安装有防毒杀毒软件。 1.构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。
2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。 经调查,现有校园网络拓扑图如下: 二、设计方案拓扑图
三、设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则: 3.2.物理层设计 3.2.1物理位置选择 3.3网络层设计 3.3.1防火墙技术 建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术.在逻辑上,它既是一个分离器也是一
网络安全测试题 1.网络安全的含义及特征是什么? 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全的特征 (1)保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。 (2)完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 (4)可控性:对信息的传播及内容具有控制能力。 2.如何理解协议安全的脆弱性? 当前计算机网络系统都使用的TCP/IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素,存在许多漏洞。众所周知的是Robert Morries在V AX机上用C编写的一个GUESS软件,它根据对用户名的搜索猜测机器密码口令的程序自在1988年11月开始在网络上传播以后,几乎每年都给Internet造成上亿美元的损失。 黑客通常采用Sock、TCP预测或使用远程访问(RPC)进行直接扫描等方法对防火墙进行攻击。 3.计算机系统安全技术标准有哪些? 计算机系统安全技术标准: ●加密机制(enciphrement mechanisms) ●数字签名机制(digital signature mechanisms) ●访问控制机制(access control mechanisms) ●数据完整性机制(data integrity mechanisms) ●鉴别交换机制(authentication mechanisms) ●通信业务填充机制(traffic padding mechanisms) ●路由控制机制(routing control mechanisms) ●公证机制(notarization mechanisms) 4.在网络上使用选择性访问控制应考虑哪几点? (1)某人可以访问什么程序和服务? (2)某人可以访问什么文件? (3)谁可以创建、读或删除某个特定的文件? (4)谁是管理员或“超级用户”? (5)谁可以创建、删除和管理用户? (6)某人属于什么组,以及相关的权利是什么? (7)当使用某个文件或目录时,用户有哪些权利? 5.引导型病毒的处理 与引导型病毒有关的扇区大概有下面三个部分。 (1)硬盘的物理第一扇区,即0柱面、0磁头、1扇区是开机之后存放的数据和程序是被最先访问和执行的。这个扇区成为“硬盘主引导扇区”。在该扇区的前半部分,称为“主引导记录”(Master Boot Record),简称MBR。
学校网络安全实施方案The final revision was on November 23, 2020
学校网络安全实施方案 五亩乡一中 2009年8月 一、指导思想: 为了依法开展学校各项教育教学工作,为了净化校园网络环境,切实加强校园网络管理工作,使学校网络更好的为学校教育教学和全体学生的学习服务,学校特制定本网络安全实施方案。 二、加强领导、成立领导机构: ?组长:李转杰 ?副组长:李占龙伍改彦 成员:毋泽华刘宝平张选超 三、具体工作: 1、学校领导重视,认真组织全体教职工学习《计算机信息网络国际联网安全保护管理办法》,并且打印张贴在学校多媒体教室内,让全体师生明确网络安全的重大意义,增强网络安全意识,严禁利用学校网络违规操作,切实保障学校网络为学校教育教学服务。 2、完善学校网络安全使用制度,将各种制度张贴于机房,并狠抓落实。 3、完善学校网络软硬件安装,配置好办公软件和杀毒软件,特别是杀毒软件,因为有防止电脑病毒破坏的功能,还可阻止黑客的入侵。杀毒软件安装后,要按照提示及时对软件进行升级,加强杀毒功能,尽量避免计算机因病毒侵入而损坏。 4、全体教职工应具备高尚的道德水平,坚决抵制社会的丑恶现象,决不利
用学校网络进行非法或消极的网络活动,学校领导机构应加强监督,防患于未然,营造一个文明的校园网络环境。 5、学校网管员以及信息技术任课教师在组织学生上信息技术课时,和平时组织学生电脑训练时,要切实注意加强对网络内容的管理,防止学生涉黄、涉非,杜绝一切违法行为的出现。 6、严禁学校向外出租主机或网站空间,严禁教职员工将外来人员带入机房,学校领导机构成员每天应对上网电脑进行清理、审核,如发现电脑文件夹中存有不良信息或着网站搜索内容不健康的,做到及时消除,追查到人,由校长对当事人作出处罚。学校网站博客须实名登记并建立审核巡查制度。 7、学校网络应在湖南省公安厅网监处进行互联网络用户备案,及责任状的签署。 8、学校按照公安机关的要求。派网络管理员参加国家认可的网络安全管理培训,提高网络安全管理水平,以应对日益复杂的网络安全环境。
网络安全防范体系及设计原则 一、概述1 二、安全攻击、安全机制和安全服务2 三、网络安全防范体系框架结构2 四、网络安全防范体系层次3 4.1物理环境的安全性(物理层安全)3 4.2操作系统的安全性(系统层安全)4 4.3网络的安全性(网络层安全)4 4.4应用的安全性(应用层安全)5 4.5管理的安全性(管理层安全)5 五、网络安全防范体系设计准则5 5.1网络信息安全的木桶原则5 5.2网络信息安全的整体性原则6 5.3安全性评价与平衡原则6 5.4标准化与一致性原则6 5.5技术与管理相结合原则6 5.6统筹规划,分步实施原则7 5.7等级性原则7 5.8动态发展原则7 5.9易操作性原则7 六、总结7 一、概述
随着信息化进程的深入和互联网的快速发展,网络化已经成为企业信息化的发展大趋势,信息资源也得到最大程度的共享。但是,紧随信息化发展而来的网络安全问题日渐凸出,网络安全问题已成为信息时代人类共同面临的挑战,网络信息安全问题成为当务之急,如果不很好地解决这个问题,必将阻碍信息化发展的进程。 二、安全攻击、安全机制和安全服务 ITU-T X.800标准将我们常说的“网络安全(networksecurity)”进行逻辑上的分别定义,即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为;安全机制(security mechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制;安全服务(security service)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。 表1 安全攻击、安全机制、安全服务之间的关系 三、网络安全防范体系框架结构 为了能够有效了解用户的安全需求,选择各种安全产品和策略,有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务,给出了八种安全属性(ITU-T
网络安全技术模拟试题(二) 一、选择填空(下列每题的选项中,有一项是最符合题意的,请将正确答案的字母填在括号中。每小题1分,共20分) 1. 网络安全的基本属性是()。 A. 机密性 B. 可用性 C. 完整性 D. 上面3项都是 2. 网络安全最终是一个折中的方案,即安全强度和安全操作代价的折中,除增加安全设施投资外,还应考虑()。 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 3. 伪造攻击是非授权者在系统中插入伪造的信息,这是一种针对()的攻击。 A. 真实性 B. 完整性 C.可用性 D.可控性 4. 机密性服务提供信息的保密,机密性服务包括()。 A. 文件机密性 B. 信息传输机密性 C. 通信流的机密性 D. 以上3项都是 5. 完整性服务提供信息的()。 A. 机密性 B. 可用性 C.正确性 D. 可审性 6. Kerberos的设计目标不包括()。 A. 认证 B. 授权 C. 记账 D. 加密 7. ISO 7498-2从体系结构的观点描述了5种可选的安全服务,以下不属于这5种安全服务的是( )。 A. 身份鉴别 B. 数据报过滤 C. 授权控制 D. 数据完整性 8. ISO 7498-2描述了8种特定的安全机制,这8种特定的安全机制是为5类特定的安全服务设置的,以下不属于这8种安全机制的是( )。 A. 安全标记机制 B. 加密机制 C. 数字签名机制 D. 访问控制机制 9. 用于实现身份鉴别的安全机制是( )。 A. 加密机制和数字签名机制 B. 加密机制和访问控制机制 C. 数字签名机制和路由控制机制 D. 访问控制机制和路由控制机制 10. GRE协议()。 A. 既封装,又加密 B. 只封装,不加密 C. 不封装,只加密 D. 不封装,不加密
***镇小学 落实网络意识形态工作责任制工作方案 为落实加强网络意识形态工作责任制,根据教育和体育局有关文件要求,结合学校实际,制定如下分工: 一、成立***镇小学网络信息安全领导小组 组长:** 副组长:** 成员:** ** ** 二、网络意识形态责任分工 学生网络意识责任人:** 教师网络意识形态责任人:** 党建网络意识形态责任人:** 三、具体实施 (一)坚持用防并举,牢牢掌握网络意识形态工作主导权。 1、加强网络阵地建设。重点QQ群、微信群微信公众号等网络平台,及时掌握舆情。 2、加强网络素养教育。把学习宣传十九大精神作为重中之重提高师生的整治素养,增强网络世界的抵御能力。 3、做好网上正面思想舆论。做好先进典型、先进人物的宣传,在校园网、QQ群、微信公众号等线上平台开展正向
舆论宣传引导。广泛开展主题宣传教育和校园文化活动,引导广大师生树立正确价值。 (二)加强管控监督,打造网络意识形态“保障网。 1、健全舆情综合防控体系,完善工作机制。 2、加强队伍建设,开展网上舆论引导。充实网评员队伍,规范工作流程,加强网络信息管控,规范网络信息传播秩序。 3、进一步规范网络信息管理和报送流程。建立网络意识形态工作定期研判,及时报告、定期专项督导考核的工作、突发问题和重要事项专题会商机制,及时掌握工作动态。 (三)健全应急方案,完善网络舆论应急处置工作机制。 师生突发的网络舆情,相关第一接报人第一时间报告书记和校长。根据突发情况,报告学校相关职能部门及分管领导,并根据实际情況及时成立应急处置工作小组,明确工作分工,开展后续处置。 具体流程如下: 相关第一接报人→第一时间报告学校分管负责人(汇报内容包括:时间、地点、人员、事态发展情況)→分管责任人第一时间报告书记和校长→研判情況后,报告相关职能部门及分管校领导、并根据实际情况及时成立应急处置工作小组,明确分工,确定在第一时间妥善处理意见和建议,各负责人员分头开展工作,有第一手信息立即反馈,形成信息闭
校园网络安全设计方案 一、安全需求 1.1.1网络现状 随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。 经调查,现有校园网络拓扑图如下: 1.1.2应用和信息点
1.2.现有安全技术 1.操作系统和应用软件自身的身份认证功能,实现访问限制。 2.定期对重要数据进行备份数据备份。 3.每台校园网电脑安装有防毒杀毒软件。 1.3.安全需求 1.构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。 2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。 二.安全设计 1.1设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备
网络安全技术测试题 学号______________ 姓名____________ 联系方式___________________ 1.什么是网络安全?其特征有哪些?(10’)网络安全简单地说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护财产的需要,包括信息和物理设备(例如计算机本身)。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作,以及什么时候。当涉及到公司安全的时候什么是适宜的,在公司与公司之间是不同的,但是任何一个具有网络的公司都必需具有一个解决适宜性、从属性和物理安全问题的安全政策。 网络安全应具有以下四个方面的特征: 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:对信息的传播及内容具有控制能力。 2. TCP协议存在哪些典型的安全漏洞?如何应对这些漏洞?(10’)造成操作系统漏洞的一个重要原因,就是协议本身的缺陷给系统带来的攻击点。网 络协议是计算机之间为了互联共同遵守的规则。目前的互联网络所采用的主流协议TCP/IP,由于在其设计初期人们过分强调其开发性和便利性,没有仔细考虑其安全性,因此很多的网络协议都存在严重的安全漏洞,给Internet留下了许多安全隐患。另外,有些网络协议缺陷造成的安全漏洞还会被黑客直接用来攻击受害者系统。本文就TCP/IP协议自身所存在的安全问题和协议守护进程进行了详细讨论,指出针对这些安全隐患的攻击。 TCP协议的安全问题 TCP使用三次握手机制来建立一条连接,握手的第一个报文为SYN包;第二个报文为SYN/ACK 包,表明它应答第一个SYN包同时继续握手的过程;第三个报文仅仅是一个应答,表示为ACK包。若A放为连接方,B为响应方,其间可能的威胁有: 1. 攻击者监听B方发出的SYN/ACK报文。 2. 攻击者向B方发送RST包,接着发送SYN包,假冒A方发起新的连接。 3. B方响应新连接,并发送连接响应报文SYN/ACK。
网络系统安全性设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则: 1.网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。 2.网络信息安全的整体性原则 要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。 3.安全性评价与平衡原则 对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与
加强中小学校园网络安全管理工作方案 随着教育信息化建设工作的不断发展,我市部分学校建设了校园网,建成了学校信息发布的门户网站,但由于在信息安全管理方面经验不足,措施不力,导致个别校园网络存在一定的信息安全隐患。为认真贯彻中共中央办公厅、国务院办公厅《关于进一步加强互联网管理工作的意见》(中办发〔2004〕32号)精神,充分利用校园网络为教育教学服务,现就进一步加强校园网络安全管理工作的有关事项通知如下: 一、强化领导,提升校园网络安全防范意识。按照“谁主管、谁主办、谁负责”的原则,加强工作领导,细化管理分工,落实责任到人,建立有效防范、及时发现、果断处置有害信息的工作机制。学校要建立健全安全管理组织机构,校长是网络安全管理工作的第一责任人,要指定一名校领导直接负责,加强校园网上网服务场所和网站信息安全管理工作的领导;要建立、健全和落实相关制度,进一步加强校园网络应用的管理、检查、监督,发现问题及时纠正、整改,要采取一切措施,坚决杜绝各种有害信息、虚假信息在校园网上散布;要明确管理责任,严肃工作纪律,对不履行职责、
管理不严造成严重后果的要追究相关人员的责任,对违反国家有关法律法规的将移交公安机关处理。 二、加强管理,保障校园网络安全稳定运行。校园内联网计算机要统一分配静态IP地址,实现网卡MAC和IP绑定,禁止使用DHCP分配IP地址,建立网络运行维护日志和校园网管理、应用、维护等技术文档,网络日志至少要保存60 天以上;规范校园网管理,落实网络安全技术防范措施,按要求做好各项信息安全管理制度及技术措施的建立及落实,对校园网上各类有害信息做到防范得力、删除及时,确保对在校园网上制造和传播色情、反动有害信息嫌疑人的查处;有开通留言板、交流论坛等性质的栏目的学校网站必须实行24小时监管,信息须审核后才能发布;要加强对路由器、服务器等网络设备管理员帐号、密码的保密和安全管理,定期更换管理员帐号、密码,管理员帐号、密码须专人使用;定期检查和检测服务器信息及日志文件,发现异常,及时同公安部门联系,尽快解决出现的问题。 三、严格审查,确保网上发布信息规范合法。要建立和落实严格的用户管理和信息发布审核、监督等制度,其所发布的各类信息、资源必须严格遵守国家有关政策法规规定,严格执行信息保密工作条例的有关要求;查看学校网站发布的文件类的内部信息要实行用户名、密码登录制度;学校网
摘要本文分析了网络安全攻击、安全机制和安全服务之间的相互关系,从框架结构、体系层次、设计原则三个方面讨论了网络安全防范体系问题。 一、引言 随着信息化进程的深入和互联网的快速发展,网络化已经成为企业信息化的发展大趋势,信息资源也得到最大程度的共享。但是,紧随信息化发展而来的网络安全问题日渐凸出,网络安全问题已成为信息时代人类共同面临的挑战,网络信息安全问题成为当务之急,如果不很好地解决这个问题,必将阻碍信息化发展的进程。 二、安全攻击、安全机制和安全服务 ITU-T X.800标准将我们常说的“网络安全(networksecurity)”进行逻辑上的分别定义,即安全攻击 (security attack)是指损害机构所拥有信息的安全的任何行为;安全机制(security mechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制;安全服务(security service)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。 三、网络安全防范体系框架结构 为了能够有效了解用户的安全需求,选择各种安全产品和策略,有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务,给出了八种安全属性(ITU-T REC-X.800-199103-I)。第二维是系统单元,给出了信息网络系统的组成。第三维是结构层次,给出并扩展了国际标准化组织ISO 的开放系统互联(OSI)模型。 框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制,应用平台需要有针对用户的认证、访问控制,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则我们认为该信息网络是安全的。 四、网络安全防范体系层次 作为全方位的、整体的网络安全防范体系也是分层次的,不同层次反映了不同的安全问题,根据网络的应用现状情况和网络的结构,我们将安全防范体系的层次(见图2)划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
网络与信息安全技术A卷 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。B方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8.PKI支持的服务不包括___。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。 A.2128B.264 C.232 D.2256 10.Bell-LaPadula模型的出发点是维护系统的___,而Biba模型与Bell-LaPadula模型完全对立,它修正了Bell-LaPadula模型所忽略的信
学校网络安全实施方案 学校网络安全实施方案为贯彻落实《20xx年国家网络安全宣传周活动实施方案》《20xx年xx省网络安全宣传周活动实施方案》和《20xx年xx市网络安全宣传周活动实施方案》要求,同时通过此次活动,提高我校师生网络安全防护意识,特制定我校网络安全宣传周活动方案: 一、活动主题 本次活动宣传主题为“网络安全为人民、网络安全靠人民”,旨在让我校师生了解网络安全知识;了解、感知感受身边的金融行业网络安全潜在的`风险提高安全防范意识。 二、活动时间 20xx月9日17日—23日。 三、组织领导 组长:xx 副组长:xx 组员:xx各班班主任 四、活动内容 以“了解网络安全潜在风险,提高安全防范意识”为目标,普及基本的网络知识,使教师,学生增强网络安全防范意识,具备识别和应对常见网络安全风险和金融网络安全风险的能力。 五、活动形式
(一)、通过学校网站、学校微信公众平台,向全体师生宣传网络安全知识。 1.在学校网站推广国家网络安全宣传周网站。 2.在学校网站信息技术资讯栏目发布网络安全知识相关文章。 3.在微信平台同步开展“网络安全宣传周”活动。 (二)、营造校园网络安全知识学习氛围。 1.悬挂网络安全宣传标语横幅。 2.向全体师生分发网络安全知识宣传单。 (三)、依托班级、学生社团等活动组织,调动学生参与学习宣传网络安全知识。 1.各班级组织开展一次网络安全知识主题班会。 2.各班级制办网络安全知识板报。 3.组织学生集中学习,《中职生安全教育读本》项目二网络信息安全篇。 学校网络安全实施方案一、指导思想 为认真落实《xxxxxx学校安全工作方案》,切实做好学校的安全工作,有效的防止学校安全事故的发生,确保学校财产和全体师生的人身安全,牢固树立“安全第一”和“学校安全无小事”的思想,本着求真务实的精神,充分认识做好学校安全工作的重要性,增强紧迫感,把学校安全教育和防范工作抓细、抓实、抓出成效。
系统安全设计和备份原则 系统安全和系统备份是系统设计中非常重要的一个部分,主要包含以下几个方面。——系统安全设计 项目对信息安全性主要关注三大方面:物理安全、逻辑安全和安全管理。 1、物理安全是指系统设备及相关设施受到物理保护,使之免糟破坏或丢失。 2、逻辑安全则是指系统息资源的安全, 它又包括以下三个方面:性、完整性、可用性。 3、安全管理包括各种安全管理的政策和机制。 针对项目对安全性的需要,我们将其分为5个方面逐一解决: ——应用安全 1、管理制度建设 旨在加强计算机信息系统运行管理,提高系统安全性、可靠性。要确保系统稳健运行,减少恶意攻击、各类故障带来的负面效应,有必要建立行之有效的系统运行维护机制和相关制度。比如,建立健全中心机房管理制度,信息设备操作使用规程,信息系统维护制度,网络通讯管理制度,应急响应制度,等等。 2、角色和授权 要根据分工,落实系统使用与运行维护工作责任制。要加强对相关人员的培训和安全教育,减少因为误操作给系统安全带来的冲击。要妥善保存系统运行、维护资料,做好相关记录,要定期组织应急演练,以备不时之需。 3、数据保护和隐私控制 数据安全主要分为两个方面:数据使用的安全和数据存储的安全。 数据保护旨在防止数据被偶然的或故意的非法泄露、变更、破坏,或是被非法识别和
控制,以确保数据完整、、可用。数据安全包括数据的存储安全和传输安全两个方面。 为了保证数据使用过程的安全,建议在系统与外部系统进行数据交换时采用国家相关标准的加密算法对传输的数据进行加密处理,根据不同的安全等级使用不同的加密算法和不同强度的加密密钥,根据特殊需要可以考虑使用加密机。 数据的存储安全系指数据存放状态下的安全,包括是否会被非法调用等,可借助数据异地容灾备份、密文存储、设置访问权限、身份识别、局部隔离等策略提高安全防水平。 为了保证数据存储的安全可以使用多种方案并用,软硬结合的策略。同城的数据同步复制,保证数据的安全性 同城的数据同步复制,保证数据的安全性 同场数据复制不但可以保证数据的备份的速度,同时可以支持数据的快速恢复。 生产环境的数据存储系统可以使用磁盘冗余阵列技术。 当前的硬盘多为磁盘机械设备,因生产环境对系统运行的持续时间有很高要求,系统在运行过程中硬盘一旦达到使用寿命就会出现机械故障,从而使等硬盘无法继续工作。生产环境的数据存储设备如果没有使用磁盘冗余阵列技术,一旦硬盘出现机械故障将会造成将会生产环境数据的丢失,使得整个系统无法继续运行。 4、审计 本项目的技术支撑技术提供了强大的审计功能,采用审计各种手段来记录用户对系统的各种操作,例如成功登录,不成功登录,启动事务,启动报表,登录次数时间等等,这些信息全部记录在系统日志中,没有任何信息会记录在客户端,用户可以根据需求随时查看和分析这些信息。应用支撑平台还提供了其他手段来跟踪指定用户的操作以及对系统进行的变更,只有相应的授权用户和管理员可以查看这些日志进行分析。 根据用户的要求,应用平台可以记录各种谁、何时、作了什么的信息。
网络安全技能大赛试题及答案 网络安全知识竞赛试题【1-10】 1、国际电信联盟将每年的5月17日确立为世界电信日,今年已经是第38届。今年世界电信日的主题为。 A、“让全球网络更安全” B、“信息通信技术:实现可持续发展的途径” C、“行动起来创建公平的信息社会” 2、信息产业部将以世界电信日主题纪念活动为契机,广泛进行宣传和引导,进一步增强电信行业和全社会的意识。 A、国家安全 B、网络与信息安全 C、公共安全 3、为了进一步净化网络环境,倡导网络文明,信息产业部于2006年2月21日启动了持续到年底的系列活动。 A、阳光绿色网络工程 B、绿色网络行动 C、网络犯罪专项整治 4、“阳光绿色网络工程”的“阳光”寓意着光明和普惠万事万物,并要涤荡网络上的污浊;“绿色”代表要面向未来构建充满生机的和谐网络环 境;“网络”代表活动的主要内容以网络信息服务为主;“工程”代表活动的系统性和长期性。系列活动的副主题为:倡导网络文明,。 A、构建和谐环境 B、打击网络犯罪 C、清除网络垃圾 5、为了规范互联网电子邮件服务,依法治理垃圾电子邮件问题,保障互联网电子邮件用户的合法权益,信息产业部于2006年2月20日颁布了,自2006年3月30日开始施行。 A、《互联网信息服务管理办法》 B、《互联网电子邮件服务管理办法》 C、《互联网电子公告服务管理规定》
6、为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,电子邮件服务器匿名转发功能。 A、使用 B、开启 C、关闭 7、互联网电子邮件服务提供者对用户的和互联网电子邮件地址负有保密的义务。 A、个人注册信息 B、收入信息 C、所在单位的信息 8、向他人发送包含商业广告内容的互联网电子邮件时,应当在电子邮件标题的前部注明字样。 A、“推销” B、“商业信函” C、“广告”或“AD” 9、任何组织或个人不得利用互联网电子邮件从事传播淫秽色情信息、窃取他人信息或者等违法犯罪活动,否则构成犯罪的,依法追究刑事责任,尚不构成犯罪的,由公安机关等依照有关法律、行政法规的规定予以处罚;电信业务提供者从事上述活动的,并由电信管理机构依据有关行政法规处罚。 A、故意传播计算机病毒 B、发送商业广告 C、传播公益信息 10、为了鼓励用户对违规电子邮件发送行为进行举报,发动全社会的监督作用,信息产业部委托中国互联网协会设立了互联网电子邮件举报受理中心,其举报电话是010-12321,举报电子邮箱地址为。 A、 B、 C、 网络安全知识竞赛试题【11-20】 11、为了依法加强对通信短信息服务和使用行为的监管,信息产业部和有关部门正在联合制定。 A、《通信服务管理办法》 B、《通信短信息服务管理规定》 C、《短信息管理条例》
张庄小学网络安全教育工作方案为进一步推动我校法治网络建设,提升学校网络安全教育管理水平,培养广大学生绿色上网、文明上网意识与良好习惯,增强师生网络安全防护能力,保护人民群众信息与财产安全,按照《三河市教育局关于进一步加强中小学生网络安全教育得通知》精神,根据中共三河市委宣传部、三河市互联网信息办公室《关于印发涉网络游戏信息内容专项整治工作方案得通知》与《关于转发廊坊市互联网信息办公室<关于开展网上色情低俗内容专项整治行动得通知>得通知》等文件要求,决定在全校开展网络安全宣传教育活动,特制定本方案如下: 一、指导思想与目标 以以上《通知》与《文件》精神为依据,突出“网络安全为人民,网络安全靠人民”活动主题,深入开展“网络安全进校园”宣传教育活动,充分发挥校园宣传教育主阵地作用,提升师生绿色上网、文明上网意识与网络安全防护能力,全面加强法治网络教育宣传,强化各项管理措施,全面建成文明、安全、与谐得网络环境。 二、建立网络安全领导小组 组长:张顺连 副组长:闫秀志陈沿杰 成员:孙艳苹、李朝辉、赵振红及各班班主任 三、引导广大师生正确认识网络安全 随着科学技术得飞速发展,互联网在给人们得生活、学习与娱乐带来极大便捷得同时,也给孩子得健康成长带来了许多负面影响。目前,绝大部分家长均为学生配备了电脑、手机,目得就是让她们通过现代化手段学习知识、交流思想。但由于部分学生缺乏自制力,经常
沉迷于网上聊天、网络游戏、浏览不健康网页等,导致出现心理扭曲、疏远家人朋友、荒废学业、健康状况下降等一系列不良现象得发生。 四、明确教育切入点,有针对性地开展 (一)广泛宣传,营造氛围 利用寒假“开学得第一课”,切实要讲好、讲出实效。充分利用校园广播、板报、橱窗等宣传载体,大力宣传文明上网、健康上网等常识与标语,同时要通过主题班队会或国旗下讲话等形式全面普及网络安全教育相关知识,努力营造网络安全教育强大得宣传攻势。 (二)教育引导,净化心灵 以社会主义核心价值观教育为统领,进一步加强学生得思想品德教育,不断培养学生健全得人格与高尚得道德情操,定期组织学生观瞧《护苗·网络安全课》课件,不断提高学生网络安全得防范意识,自觉遵守网络安全法律法规,正确引导小学生能够自觉地抵制各种不良网络诱惑。 (三)家校联动,形成合力 充分发挥家长学校作用,利用家长会、致家长一封信等形式,加强与家长得沟通与联系,明确告知每一名家长要引导与帮助子女正确处理学习与上网得关系,教育未成年子女自觉远离网吧等一些禁止未成年人进入得场所,不制作、复制与传播有害信息,自觉抵制不良网络游戏,正确对待虛拟空间中得聊天与交友,提高网络安全防范意识。 四、教育内容 通过网站、电视、报刊杂志、会议、展览活动等多种渠道与形式,开展网络安全宣传教育主题活动,大力宣传倡导依法文明上网,增强 全社会网络安全意识,普及网络安全知识,营造健康文明得网络环境,维护网络安全。重点要做好以下几点:
计算机科学与技术专业 《计算机网络安全》试卷 一、单项选择题(每小题 1分,共30 分) 在下列每小题的四个备选答案中选出一个正确的答案,并将其字母标号填入题干的括号内。 1. 非法接收者在截获密文后试图从中分析出明文的过程称为( A ) A. 破译 B. 解密 C. 加密 D. 攻击 2. 以下有关软件加密和硬件加密的比较,不正确的是( B ) A. 硬件加密对用户是透明的,而软件加密需要在操作系统或软件中写入加密程序 B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快 3. 下面有关3DES的数学描述,正确的是( B ) A. C=E(E(E(P, K1), K1), K1) B. C=E(D(E(P, K1), K2), K1) C. C=E(D(E(P, K1), K1), K1) D. C=D(E(D(P, K1), K2), K1) 4. PKI无法实现( D ) A. 身份认证 B. 数据的完整性 C. 数据的机密性 D. 权限分配 5. CA的主要功能为(D ) A. 确认用户的身份 B. 为用户提供证书的申请、下载、查询、注销和恢复等操作 C. 定义了密码系统的使用方法和原则 D. 负责发放和管理数字证书 6. 数字证书不包含( B ) A. 颁发机构的名称 B. 证书持有者的私有密钥信息 C. 证书的有效期 D. CA签发证书时所使用的签名算法 7. “在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明(A ) A. 身份认证的重要性和迫切性 B. 网络上所有的活动都是不可见的 C. 网络应用中存在不严肃性 D. 计算机网络是一个虚拟的世界 8. 以下认证方式中,最为安全的是(D ) A. 用户名+密码 B. 卡+密钥 C. 用户名+密码+验证码 D. 卡+指纹 9. 将通过在别人丢弃的废旧硬盘、U盘等介质中获取他人有用信息的行为称为(D ) A. 社会工程学 B. 搭线窃听 C. 窥探 D. 垃圾搜索 10. ARP欺骗的实质是(A ) A. 提供虚拟的MAC与IP地址的组合 B. 让其他计算机知道自己的存在 C. 窃取用户在网络中传输的数据 D. 扰乱网络的正常运行 11. TCP SYN泛洪攻击的原理是利用了(A ) A. TCP三次握手过程 B. TCP面向流的工作机制 C. TCP数据传输中的窗口技术 D. TCP连接终止时的FIN报文 12. DNSSEC中并未采用(C )
企业网络安全方案设计
企业网络安全方案设计 摘要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。 关键词:信息安全、企业网络安全、安全防护 一、引言 随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题: (1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。