网络安全知识讲座
网络安全讲座之一:网络安全的重要性
第一讲内容主要对于安全的发展以及其重要性作了简明的阐述,并介绍了一些国内外知名的网络安全相关网站,并对于如何建立有效的安全策略给出了很好的建议,并让大家了解几种安全标准。
媒体经常报道一些有关网络安全威胁的令人震惊的事件,针对目前流行的Netscape Navigator 和微软的IE浏览器程序对于复杂精密攻击(目标是摧毁电子商务服务器)存在的一些安全问题,因此计算机和网络管理员以及用户都必须应付不断复杂的安全环境。黑客和计算机病毒都是普遍的威胁,以至于某个具体的日期都与一个特别的安全问题相关。主要的在线电子商务都被证明是易受攻击的。例如,e-bay和https://www.doczj.com/doc/ca252008.html,都是恶性攻击的受害者。攻击事件本身,例如1988年的Robert Moms Internet Worm (蠕虫)都变得具有传奇色彩。
Internet对于任何一个具有网络连接和ISP帐号的人都是开放的,事实上它本身被设计成了一个开放的网络。因此它本身并没有多少内置的能力使信息安全,从一个安全的角度看,Internet 是天生不安全的。然而,商界和个人现在都想在Internet上应用一些安全的原则,在Internet发明人当初没有意识到的方式下有效的使用它。对于Internet 用户一个新的挑战是如何在允许经授权的人在使用它的同时保护敏感信息。
安全是什么?
简单的说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护公司财产的需要,包括信息和物理设备(例如计算机本身)。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作,以及什么时候。当涉及到公司安全的时候什么是适宜的在公司与公司之间是不同的,但是任何一个具有网络的公司都必须具有一个解决适宜性、从属性和物理安全问题的安全策略。
这节课将讨论与Internet 有关的安全问题,伴随着现代的、先进的复杂技术例如局域网(LAN)和广域网(WAN)、Internet网以及VPN。安全的想法和实际操作已经变得比简单巡逻网络边界更加复杂。对于网络来说一个人可以定义安全为一个持续的过程,在这个过程中管理员将确保信息仅仅被授权的用户所共享。
本节课结束时,你将熟悉那些被你公司认为适宜的,用来建立和限制行为的过程和技术。你将集中精神在有关将你公司与互联网相连接的安全的问题上。Internet连接对于陌生用户连接到外露的资源上极为容易。你必须确保它们只能访问那些你想让他们访问的内容,这节课将学习一些控制用户和黑客访问,如何对事件做出反应,以及当有人规避那些控制时如何使损害最小化的方法。
建立有效的安全矩阵
尽管一个安全系统的成分和构造在公司之间是不同的,但某些特征是一致的,一个可行的安全矩阵是高度安全的和容易使用的,它实际上也需要一个合情合理的开销。一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙,入侵检测系统,审查方案构成。
一个安全矩阵是灵活的可发展的,拥有很高级的预警和报告功能,表1-1概括了一个有效的安全矩阵系统最主要的几个方面。
特点
描述
允许访问控制
通过只允许合法用户访问来达到你的目的
最大扩展通信的功能同时最小化黑客访问的可能性
当黑客已经访问到你的资源时尽可能地减小破坏性
容易使用
如果一个安全系统很难使用,员工可能会想办法绕开它
合理的花费
你不仅要考虑初始的花费还要考虑以后升级所需要的费用,你还要考虑用于管理所要花的费用;需要多少员工,达到什么样的水平来成功的实施和维护系统。
灵活性和伸缩性
你的系统要能让你的公司按其想法做一些商业上的事情你的系统要随着公司的增长而加强
优秀的警报和报告
当一个安全破坏发生时,系统要能快速地通知管理员足够详细的内容
要配置系统尽可能正确地对你发出警告。可以通过Email,计算机屏幕,pager等等来发出通知。
安全机制
根据ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。
ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管你可以通过使用加密来保证数据的保密性,数据的完整性和不可否定性,但实施在每种服务时你需要不同的加密技术。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层上。普通的机制包括:
· 信任的功能性:指任何加强现有机制的执行过程。例如,当你升级你的TCP/IP堆栈或运行一些软件来加强你的Novell,NT,UNIX系统认证功能时,你使用的就是普遍的机制。
· 事件检测:检查和报告本地或远程发生的事件
· 审计跟踪:任何机制都允许你监视和记录你网络上的活动
· 安全恢复:对一些事件作出反应,包括对于已知漏洞创建短期和长期的解决方案,还包括对受危害系统的修复。
额外的安全标准
除了ISO 7498-2还存在一些其它政府和工业标准。主要包括
· British Standard 7799:概括了特殊的“控制”,如系统访问控制和安全策略的使用以及物理安全措施。目的为了帮助管理者和IT专家建立程序来保持信息的安全性。
· 公共标准
· 桔皮书(美国)
桔皮书
为了标准化安全的级别,美国政府发表了一系列的标准来定义一般安全的级别。这些标准发表在一系列的书上通常叫做“彩虹系列”,因为每本书的封面的颜色都是不同的。由为重要的是桔皮书。它定义了一系列的标准,从D级别开始(最低的级别)一直到A1(最安
全)级。
网络安全讲座之二:加密的应用
加密可以保证数据的保密性,也可用于验证用户,它是在实现网络安全的重要手段之一。在本课中,你将学到如何使用对称加密,非对称加密和HASH加密来建立一个信任关系。
加密的优势
加密提供以下四种服务,见表
服务
解释
数据保密性
这是使用加密的通常的原因。通过小心使用数学方程式,你可以保证只有你打算接收的
人才能查看它。
数据完整性
对需要更安全来说数据保密是不够的。数据仍能够被非法破解并修改。一种叫HASH的
运算方法能确定数据是否被修改过。
认证
数字签名提供认证服务。
不可否定性
数字签名允许用户证明一条信息交换确实发生过。金融组织尤其依赖于这种方式的加
密,用于电子货币交易。
加密强度
加密文件一个常被讨论但又经常被误解的方面是加密强度。什么构成了加密的强度?什么是被美国出口法保护的?哪种级别的加密是被不同的安全需要所要求的?如何确定加密
的有效强度?
加密强度取决于三个主要因素:
首先是算法的强度,包括几个因素,例如,除了尝试所有可能的密钥组合之外的任何方法都不能数学的使信息被解密。从我们的角度而言,我们应该使用工业标准的算法,它们已经被加密学专家测试过无数次,任何一个新的或个体的配方将不被信任直到它被商业的认
证。
第二个因素是密钥的保密性,一个合乎逻辑但有时被忽略了的方面,没有算法能够发挥作用如果密钥受到损害,因此,数据的保密程度直接与密钥的保密程度相关,注意区分密钥和算法,算法不需要保密,被加密的数据是先与密钥共同使用,然后再通过加密算法。
第三个因素是密钥程度,这是最为人所知的一个方面,根据加密和解密的应用程序,密钥的长度是由”位”为单位,在密钥的长度上加上一位则相当于把可能的密钥的总数乘以二倍,简单的说构成一个任意给定长度的密钥的位的可能组合的个数可以被表示为2的n次方,这儿的n是一个密钥长度,因此,一个40位密钥长度的配方将是2的40次方或
1099511627776种可能的不同的钥,与之形成鲜明对比的是现代计算机的速度。
尽管可能加密的密钥的总数是非常大的,专门的计算机现在可以在不到一天时间内试验许多种密钥的组合,在一九三三年,Michael wiener 研制出一种专门的计算机,专门破译DES(一种使用56-位密钥的算法)。在研制的过程中他发现设计所需要的费用是呈直线型的,考虑到他的结果和Moore的法则的因子(此法则指出计算力大约每18个月增长一倍)。其实任何密码都能破解而无论它的长度,想像一下这样的密钥利用现代的机器去破解是多么
的快速。简单的说,一个人或组织在密钥破解的装备上花的钱越多,则密钥就会被越快的破解,这种断言最近已经得到证实。Electronic Frontier Foundation建造的专门的计算机最近在不到三天的时间内破译了一个64位基础的密码。
尽管有相对的缺点,美国政府把使用超过40位的密钥的加密规为强加密,这种加密出口相关的法律已经获得通过。美国国内公司想要出口使用强加密的产品,首先要获得美国国务院的许可。例如,Pretty Good Privacy(PGP)加密工具的国际版本,虽然这些法律可能会变得日益宽松,但是一些公司和组织将毫无疑问继续遵守它。尽管公司和政府用现代化的计算机可以去击败40位的加密,但是耗费的成本超过了信息本身的价值。事实上,决定需要密钥的长度的一个因素是被保护信息的价值。尽管40位的密钥对于金融交易来说并不总是合适的,但对于个人用户的需要已经足够了。目前美国出口法对于40位密钥长度的限制
已取消。
建立信任关系
应用加密指的是在主机之间建立一个信任关系。在最基本的级别上,一个信任关系包括一方加密的信息,并只有另一方的合作伙伴可以解密这个信息。这种任务是利用公钥加密来完成的。这种类型的加密要求你建立一个私钥和一个公钥。一旦你已经产生了一对密钥,你
可以把公钥发布给任何人。
你可以通过以下两种方法来发布你的公钥:
·手动:你首先必须和接收方交换公钥,然后用接收方的公钥来加密信息。PGP和S/MIME
需要使用这种方法。
·自动:SSL和IPSec通过一系列的握手可以安全地交换信息(包括私钥)。在本课
你将学到有关这方面更多的知识。
下面是在加密中一些术语的简单介绍:
||||||对称加密
在对称加密(或叫单密钥加密)中,只有一个密钥用来加密和解密信息。尽管单密钥加密是一个简单的过程,但是双方都必须完全的相信对方,并都持有这个密钥的备份。但要达到这种信任的级别并不是想像中的那么简单。当双方试图建立信任关系时可能一个安全破坏已经发生了。首先密钥的传输就是一个重要问题,如果它被截取,那么这个密钥以及相关的重
要信息就没有什么安全可言了。
但是,如果用户要在公共介质 (如互联网) 上传递信息,他需要一种方法来传递密钥,当然物理的发送和接收密钥是最安全的,但有时这是不可能的。一种解决方法就是通过电子邮件来发送,但这样的信息很容易的被截取到,从而击破了加密的目的。用户不能加密包含密钥的邮件,因为他们必须共享另一个用来加密含有密钥邮件的密钥。这种困境就产生了问题:如果对称密钥用它们自己来加密,那为什么不直接用相同的方法在第一步就使用?一个解决方案就是用非对称加密,我们将在本课的后面提到。
所有类型加密的一个主题就是破解。一种减少使用对称加密所造成的威胁的反措施就是改变密钥的规律性。然而,定期改变密钥经常是困难的,尤其是你的公司里有很多用户。另外,黑客可以使用字典程序,password sniffing来危及对称密钥的安全,或者通过搜翻办公桌,钱包以及公文包。对称加密也很容易被暴力攻击的手段击败。
非对称加密
非对称加密在加密的过程中使用一对密钥,而不像对称加密只使用一个单独的密钥。一对密钥中一个用于加密,另一个用来解密。如用A加密,则用B解密;如果用B加密,则要
用A解密。
重要的概念是在这对密钥中一个密钥用来公用,另一个作为私有的密钥;用来向外公布
的叫做公钥,另一半需要安全保护的是私钥。非对称加密的一个缺点就是加密的速度非常慢,因为需要强烈的数学运算程序。如果一个用户需要使用非对称加密,那么即使比较少量的信
息可以也要花上几个小时的时间。
非对称加密的另一个名称叫公钥加密。麻省里工学院的数学家们在1970年首先开发了非对称密钥(公钥)技术。尽管私钥和公钥都有与数学相关的,但从公钥中确定私钥的值是非常困难的并且也是非常耗时的。在互联网上通信,非对称加密的密钥管理是容易的因为公钥可以任易的传播,私钥必须在用户手中小心保护。
HASH加密把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值。HASH 加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能的,是通过比较两上实体的值是否一样而不用告之其它信息。HASH加密别一种用途是签名文件。它还可用于当
你想让别人检查但不能复制信息的时候。
举个例子,一台自动取款机(ATM)不需要解密一个消费者的个人标识数字(PIN)。磁条卡将顾客的代码单向地加密成一段HASH值,一旦插卡时,ATM机将计算用户PIN的HASH值并产生一个结果,然后再将这段结果与用户卡上的HASH值比较。使用这种方法,PIN是安
全的,即使对于那些维护ATM机的人来说。
签名
信息鉴别的方法可以使信息接收者确定:信息发送者的身份以及信息在传送过程中是否被改动过。如果信息的收发双方对该信息的内容及发送端没有争执的话,那么只采用鉴别技术也就足够了。鉴别技术可以保证在信息传送过程中对信息内容的任何改动都可以被检测出来,并且能够正确的鉴别出信息发送方的身份。但是,当信息的收发方对信息的内容及发送
端产生争执时,只用鉴别技术就不够了。
收方可以伪造一份信息,从中获得非法利益,并且自称该信息是由发送方发过来的。例如,银行通过通信网络传送一张支票,收方就可以对支票数额进行改动,并且声称他已收到了这张支票。利用前面的鉴别技术丝毫也解决不了这个问题,因为鉴别使用了一个收/发双方共享的秘密密钥,这样才能是发放产生一个鉴别码而接收方又能对该鉴别码进行校验。但是收方也能对他伪造的信息产生一个合法的鉴别码,这给整个系统带来严重的安全问题。
在许多情况下,特别是商业系统中,通常都利用书面文件来规定契约性的责任,虽然鉴别技术可以完全有效的防止第三者的介入,但是却丝毫不能防止接收者的伪造。问题的另一方面是发送方可能是不诚实的,由于他发送的信息变得对他很不利,而要逃避责任,那么发送方就可能谎称他从未发过这个信息。在整个争执过程中,第三方也无法分辨那种情况是真
实的。
为了解决上述问题,就必须利用另外一种安全技术----数字签名。签名必须达到如下效果:在信息通信的过程中,接收方能够对公正的第三方(可以是双方事前统一委托其解决某一问题或某一争执的仲裁者)证明其收到的报文内容是真实的,而且确实是由那个发送方发过来的,同时签名还必须保证发送方发送后不能根据自己的利益否认他所发送过的报文,而收方也不能根据自己的利益来伪造报文或签名。
对于数字签名的产生过程来说,必须有足够的信息才能对报文和签名进行验证,没有足够的信息就会给伪造或否认报文提供可乘之机。但是收发双方用来产生与校验的签名的信息不能完全相同,因为一旦接收方能够用发送方用来产生签名的相同信息(算法和参数)来证实报文和签名,那么收方同样也能够用它来伪造报文和签名。所以签名产生者与签名证实者之间的相同信息绝对不能太多。如果发送方事后担心接收方否认接收到了他所发送的报文,那么发送方应能够请求获得报文证明,也就是说由接收方对发送方提供收到报文的证据。例如,如果甲方把报文发送给乙方,那么乙方就要向甲方发送一份签了名的报文证明收到了,由于这份报文有乙方的签名,所以乙方是不能抵赖他所收到的报文的。
随着信息经济和知识经济的迅猛发展,无纸办公彻底改变了过去手工操作的各种不便,显得更安全、更有效、更迅速、更简洁、更方便。数字签名以其独特的优势适应了这种发展,在无纸办公中占有十分重要的地位。例如,对公司内部有下级呈给上级请求批阅的公文在以往只需领导大笔一挥签名盖章,以个人的笔迹来证明其真实性。但手写的文件签名非常容易伪造。除此之外,签名者还可以否认签名,宣称它是伪造的。但在无纸办公年代,计算机网络中传送的电子公文又如何盖章呢?又如何来证明签名的真实性呢?这就是——数字签名。
网络安全讲座之三:防火墙技术
防火墙现在已成为各企业网络中实施安全保护的核心,安全管理员的目的是选择性地拒绝进出网络的数据流量,这些工作都是由防火墙来做的。
防火墙技术现状
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,提出了防火墙的概念,防火墙技术得到了飞速的发展。第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展,新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
防火墙的定义和描述
“防火墙”这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙,用来隔离不同的公司或房间,尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而,多数防火墙里都有一个重要的门,允许人们进入或离开大楼。因此,虽然防火墙保护了人们的安全,但这个门在提供增强安全性的同时允许必要的访问。
在计算机网络中,一个网络防火墙扮演着防备潜在的恶意的活动的屏障,并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来,一个防火墙是由一个单独的机器组成的,放置在你的私有网络和公网之间。近些年来,防火墙机制已发展到不仅仅是”firlwall box”,更多提及到的是堡垒主机。它现在涉及到整个从内部网络到外部网络的区域,由一系列复杂的机器和程序组成。简单来说,今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙,需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。
防火墙的任务
防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标
实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。
创建一个阻塞点
防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检
查点,网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。
记录Internet活动
防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。
限制网络暴露
防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查,以限制从外部发动的攻击。
防火墙术语
在我们继续讨论防火墙技术前,我们需要对一些重要的术语有一些认识
网关
网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。这个术语是非常常见的,而且在本课会用于一个防火墙组件里,在两个不同的网络路由和处理数据。
电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。
应用级网关
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。
包过滤
包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一,在本课后面我们将做详细地讨论。
代理服务器
代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关,虽然电路级网关也可作为代理服务器的一种。
网络地址翻译(NAT)
网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP 寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA
建议使用内部地址机制,以下地址作为保留地址:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
如果你选择上述例表中的网络地址,不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。
堡垒主机
堡垒主机是一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。从堡垒主机的定义我们可以看到,堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。你可以使用单宿主堡垒主机。多数情况下,一个堡垒主机使用两块网卡,每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护,而另一块连接另一个网络,通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由,反之亦然。在一个应用级的网关里,你想使用的每一个应用程协议都需要一个进程。因此,你想通过一台堡垒主机来路由Email,Web和FTP服务时,你必须为每一个服务都提供一个守护进程。
强化操作系统
防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性,防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品,包括Axent Raptor(https://www.doczj.com/doc/ca252008.html,),CheckPoint(https://www.doczj.com/doc/ca252008.html,)和Network Associates Gauntlet (https://www.doczj.com/doc/ca252008.html,)都可以在目前较流行的操作系统上运行。如Axent Raptor防火墙就可以安装在Windows NT Server4.0,Solaris及HP-UX操作系统上。理论上来讲,让操作系统只提供最基本的功能,可以使利用系统BUG来攻击的方法非常困难。最后,当你加强你的系统时,还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。
非军事化区域(DMZ)
DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立,有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做Service Network,因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。
筛选路由器
筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的,如Internet。它是对进出内部网络的所有信息进行分析,并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。
阻塞路由器
阻塞路由器(也叫内部路由器)保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet 的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和
安全提供的服务。内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。
||||||防火墙默认的配置
默认情况下,防火墙可以配置成以下两种情况:
·拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
·允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
防火墙的一些高级特性
今天多数的防火墙系统组合包过滤,电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包,然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时,这三种防火墙类型可能都需要。更高级的防火墙提供额外的功能可以增强你的网络的安全性。尽管不是必需,每个防火墙都应该实施日志记录,哪怕是一些最基本的。
认证
防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌(firewall token),或反向查询一个IP地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP四层的每一层上。多数的代理服务器提供完整的用户帐号数据库。结合使用这些用户帐号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些帐号数据库来提供更详细的日志。
日志和警报
包过滤或筛选路由器一般在默认情况下为了不降低性能是不进行日志记录的。永远不要认为你的防火墙会自动地对所有活动创建日志。筛选路由器只能记录一些最基本的信息,而电路级网关也只能记录相同的信息但除此之外还包括任何NAT解释信息。因为你要在防火墙上创建一个阻塞点,潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术,那么你有可能捕获到所有用户的活动包括那些黑客。你可以确切地知道黑客在做些什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做何响应。防火墙两种最普通的活动是中断TCP/IP连接或自动发出警告。相关的警报机制包括可见的和可听到的警告。
建立一个防火墙
在准备和建立一个防火墙设备时要高度重视。以前,堡垒主机这个术语是指所有直接连入公网的设备。现在,它经常汲及到的是防火墙设备。堡垒主机可以是三种防火墙中的任一种类型:包过滤,电路级网关,应用级网关。
当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当Internet 用户企图访问你网络上的资源时,首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到Internet上的,其上面的所有信息都暴露在公网之上。这种高度地暴露规定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好强制阻止进入。同
样地,堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指定的规则。它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。
设计规则
当构造防火墙设备时,经常要遵循下面两个主要的概念。第一,保持设计的简单性。第二,要计划好一旦防火墙被渗透应该怎么办。
保持设计的简单性
一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件,无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。
安排事故计划
如果你已设计好你的防火墙性能,只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开,那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透,要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害,那你的安全策略要确定该做些什么。采取一些特殊的步骤,包括
· 创建同样的软件备份
· 配置同样的系统并存储到安全的地方
· 确保所有需要安装到防火墙上的软件都容易,这包括你要有恢复磁盘。
堡垒主机的类型
当创建堡垒主机时,要记住它是在防火墙策略中起作用的。识别堡垒主机的任务可以帮助你决定需要什么和如何配置这些设备。下面将讨论三种常见的堡垒主机类型。这些类型不是单独存在的,且多数防火墙都属于这三类中的一种。
单宿主堡垒主机
单宿主堡垒主机是有一块网卡的防火墙设备。单宿主堡垒主机通常是用于应用级网关防火墙。外部路由器配置把所有进来的数据发送到堡垒主机上,并且所有内部客户端配置成所有出去的数据都发送到这台堡垒主机上。然后堡垒主机以安全方针作为依据检验这些数据。这种类型的防火墙主要的缺点就是可以重配置路由器使信息直接进入内部网络,而完全绕过堡垒主机。还有,用户可以重新配置他们的机器绕过堡垒主机把信息直接发送到路由器上。
双宿主堡垒主机
双宿主堡垒主机结构是围绕着至少具有两块网卡的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。它采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻址。当一个黑客想要访问你内部设备时,他(她)必须先要攻破双宿主堡垒主机,这有希望让你有足够的时间阻止这种安全侵入和作出反应。
单目的堡垒主机
单目的堡垒主机既可是单堡垒也可是多堡垒主机。经常,根据公司的改变,需要新的应用程序和技术。很多时候这些新的技术不能被测试并成为主要的安全突破口。你要为这些需要创建特定的堡垒主机。在上面安装未测试过的应用程序和服务不要危及到你的防火墙设
备。使用单目的堡垒主机允许你强制执行更严格的安全机制。举个例子,你的公司可能决定实施一个新类型的流程序,假设公司的安全策略需要所有进出的流量都要通过一个代理服务器送出,你要为这个表的流程序单独地创建一个新代理服务器。在这个新的代理服务器上,你要实施用户认证和拒绝IP地址。使用这个单独的代理服务器,不要危害到当前的安全配置并且你可以实施更严格的安全机制如认证。
内部堡垒主机
内部堡垒主机是标准的单堡垒或多堡垒主机存在于公司的内部网络中。它们一般用作应用级网关接收所有从外部堡垒主机进来的流量。当外部防火墙设备受到损害时提供额外的安全级别。所有内部网络设备都要配置成通过内部堡垒主机通信,这样当外部堡垒主机受到损害时不会造成影响。
四种常见的防火墙设计都提供一个确定的安全级别,一个简单的规则是越敏感的数据就要采取越广泛的防火墙策略,这四种防火墙的实施都是建立一个过滤的距阵和能够执行和保护信息的点。这四种选择是:
·筛选路由器
·单宿主堡垒主机
·双宿主堡垒主机
·屏蔽子网
筛选路由器的选择是最简单的,因此也是最常见的,大多数公司至少使用一个筛选路由器作为解决方案,因为所有需要的硬件已经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主机和双宿主堡垒主机。不管是电路级还是应用级网关的配置都要求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火墙,利用额外的包过滤路由器来达到另一个安全的级别。
网络安全讲座之四:账号安全
用户帐号不适当的安全问题是攻击侵入系统的主要手段之一。其实小心的帐号管理员可以避免很多潜在的问题,如选择强固的密码、有效的策略加强通知用户的习惯,分配适当的权限等。所有这些要求一定要符合安全结构的尺度。介于整个过程实施的复杂性,需要多个用户共同来完成,而当维护小的入侵时就不需要麻烦这些所有的用户。
整体的安全策略中本地帐号的安全是非常重要的。这节课,我们将探讨用不同的方法来保护本地帐号的安全。
本章要点:
·描述帐号安全和密码之间的关系
·在Windows NT和UNIX系统的实现安全帐号的技术
·在NT下实施密码策略的步骤
·描述UNIX密码安全及密码文件的格式
·分析UNIX下的安全威胁,拒绝帐号访问和监视帐号
密码的重要性
密码是UNIX和Windows NT安全基础的核心。如果危及到密码,那个基本的安全机制和模式将遭到严重影响。为了选择强固的密码,你需要在帐号策略里设置更多相关的选项。你还要帮助用户选择强壮的密码。
一个强固的密码至于要有下列四方面内容的三种:
·大写字母
·小写字母
·数字
·非字母数字的字符,如标点符号
强固的密码还要符合下列的规则
·不使用普通的名字或昵称
·不使用普通的个人信息,如生日日期
·密码里不含有重复的字母或数字
·至少使用八个字符
从黑客的思想考虑,避免密码容易被猜出或发现(比如不要写到纸条上放到抽屉里)。
NT下的密码安全
在NT下为了强制使用强壮的密码,你可以更改注册表里的LSA值来实现,叫passfilt.dll,这个文件可以在Windows NT的Service Pack2及以后的版本里找到。在LSA 键值下需要添加Notification Packages字串并把值为passfilt.dll加进去。这串值必须在公司所有的域控制器里都加入。同时你还需要使用passprop.exe这个程序来使passfilt.dll生效。
UNIX下的密码安全
在UNIX中加密后的密码信息是存在一个文件里,通常是/etc/passwd 。维护好这个文件的安全性是非常重要的。在UNIX系统里它的属主是具有最高权限的帐号,即root的。UNIX 基本上有两类用户:普通用户和系统特权用户。有时特权用户也被不确切地叫做超级用户。实际上,一个超级用户帐号的标识号是为零。当一个帐号建立的时候,会被分配一个唯一的标识数字(UID)。这个数字分配从0开始,最低的数字(也就是最高的权限)是分配给登陆帐号root的。Root可以执行任何程序,打开任何目录,检查任何文件,改变系统内任何对象的属性及其它任意的功能。任何对于攻击UNIX系统的黑客最终目的都是取得Root帐号。
Root掌管/etc/passwd文件。此文件可以被所有登陆的用户读取,它包含每一个用户的认证信息。因此,在简单的UNIX系统上任何人都可以复制这个文件的内容并分析哪个字段是包含加密后的密码。然后利用不同的密码一系列的尝试和/etc/passwd加密后的字串进行比较。因此,密码的选择是UNIX系统安全级别中最重要的。
Windows NT帐号安全
首先,也是最困难的任务就是确保只有必需的帐户被使用而且每个帐号仅有能满足他们完成工作的最小权限。在一个大型的公司里,通常是用一个或多个用户域集中管理所有的用户帐号。域是一个中央集权的帐号数据库可以在分布于公司中间。因此有经验的管理员尽量地把用户放到较少的域里面以便于管理。这种限制通常促进公司策略的粘附性。本地组创建本地资源并管理权限。本地资源的机器要被配置成信任集中帐号域。但有时这种设置也是不可行的,因为和远程站点间没有足够的带宽。
有几种技术可以解决帐号安全的问题。其中一个主要关心的是确保不再有新的帐号建立或已存在的帐户权限不作改动。另一个简单的方法就是利用net user和net group命令把信息定向到一个文体文件里后进行比照。有规律地运行这些命令并对输出的文本文件中的帐号列表进行比较就能轻易地发现问题。一些内置的工具,比如系统任务进度表程序,可以自动的执行。也可以使用其它一些外部工具比如Perl或diff可以自动地对标准列表和当前的设置进行比照。
帐号重命名
另一个可靠的办法就是对默认的帐号重命名。包括administrator、guest以及其它一些由安装软件时(如IIS)所自动建立的帐号。这些帐号必须好好保护因为它们易受攻击。然而简单地重命名帐号并不能很好地隐藏它们。因为Windows NT必须知道哪一个是管理员帐号,管理员帐号当前的名字是保存在注册表里的。
帐号策略
为了保持用户数据库不被侵犯,你必须强制用户养成良好的习惯在帐号的设置上要能有效地防止黑客使用暴力破解的方法来攻击。这些任务主要是通过Windows NT上的帐号策略上设置的。帐号策略的设置是通过域用户管理器来实施的,从策略的菜单中选择用户权限,第一项是有关密码的时效,第二项是有关密码长度的限制,以及帐号锁定等机制。
实现强壮的密码
大多数情况下,仅养成使用好密码的习惯是不够的;你还需要使用更强壮的密码来有效阻止类似于字典攻击和暴力破解攻击。我们前面已经讨论,一个强壮的密码至少需要六个字符,不能包括用户名的任何一部分,并且至少要有大小写字母、数字和通配符等。为了实施强壮的密码你需要在注册表里LSA项加入本课已提过的其它的密码过滤器。在主域控制器或在任一可能会升级为主域控制器的备份域控制器上,你都需要在注册表HKLM\System\CurrentControlSet\Control\LSA中加入PASSFILT的字串。
Windows2000帐号大漏洞
在Windows2000启动之后,按照屏幕提示按下ALT+CTRL+DEL进行登录,在登录界面将光标移至用户名输入框,按键盘上的Ctrl+Shift键进行输入法的切换,屏幕上出现输入法状态条,在出现的“全拼”输入法中将鼠标移至输入法状态条点击鼠标右键,出现的选单中选择“帮助”,然后继续选择“输入法入门”,在窗口顶部会出现几个按钮,奥妙就在“选项按钮”上。如果系统是未安装Windows2000 ServicePack1或IE5.5的系统,用鼠标左键点击选项按钮,在出现的选单中选择“主页”,这时在已出现的帮助窗口的右侧会出现IE 浏览器界面中的“此页不可显示”页面,其中有个“检测网络设置”的链接,点击它就会出现网络设置选项,这样任何人都可以对网络设置甚至控制面板做任何修改。
或者之前用鼠标左键点击“选项”按钮时,在出现的选单选择“Internet选项”中,就可以对主页、连结,安全、高级选项等做任何修改。最为严重的是用鼠标右键点击先前提到的“选项”按钮会出现一个选单,选择“跳至URL”,这时出现一个对话框,其中有一个跳至该URL输入框,输入你想看到的路径,比如c:,那么这时在已出现的帮助窗口的右侧会出现资源管理器c盘的界面显示,这时已经是系统管理员权限对C盘进行操作了。操作者可以对看到的数据做任何的操作,这样他就完全绕过了Windows2000的登录验证机制。
如果系统是安装了Windows2000 ServicePack1或IE5.5的系统,上面所用的“网络设置选项”就不能执行了,但“Internet选项”仍可执行。资源管理器界面仍可出现,通过路径输入,所有的文件夹中的文件和根目录下的文件都可看到,但已不能直接对文件夹和文件进行操作,然而仍可以用鼠标右键点击文件夹和文件选择进行删除、重命名和发送到软盘等操作,而且更为严重的是操作者可以对文件夹进行共享操作,在单个文件出现的对话框中选择属性,就可以任意添加共享权限,如任何人都能完全控制的权限,这样网络中的所有人都可以通过网络远程登录完全控制所有数据资料!
||||||UNIX帐号安全
在讨论UNIX帐号安全,你首先要理解UNIX密码的安全。这种理解需要检查密码文件的格式。你可以利用下面的命令来得到几种特殊密码的格式
$ man 5 password
密码文件包括几个字段,在表2-1作了详细解释
字段用处
登陆名字
用户登陆时所真正使用的名字
加密后的密码
在UNIX中,密码是用高强度的DES算法来进行加密并保存结果
UID
用户唯一的标识号
GID
用户组的标识号
用户名
用户真正的名字
HOME
默认的主目录
SHELL
默认的程序SHELL接口
密码文件在显示的时候是加密的;这种显示叫做Shadow密码,通常创建在/etc/shadow,并属于root且只有root有权访问。
密码时效
按目前的形势,已有更强大的硬件大大地缩短了利用自动运行的程序来猜测密码的时间。因此在UNIX系统中防止密码被攻击的别一方法就是要经常地改变密码。很多时候,用户却不改变密码。因此一种机制用来强制规律性的更改密码是合乎要求的。这种技术称做密码时效并在很多UNIX系统上有效。
密码时效:LINUX
在LINUX系统上,密码时效是通过chage命令来管理的。
参数意思
-m 密码可更改的最小天数。如果是零代表任何时候都可以更改密码
-M 密码更改的最大天数
-W 用户密码到期前,提前收到警告信息的天数。
-e 帐号到期的日期。过了这天,此帐号将不可用。
-d 上一次更改的日期
-i 停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l 例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。
举个例子
% chage ?m 2 ?M 30 ?W 5 steven
此命令要求用户steven两天内不能更改密码,并且密码最长的存活期为30天,并在密码过期前5天通知他。
记录不成功的登陆企图
所有的UNIX系统都能够记录非成功的登陆企图。在LINUX中,登陆的失败是由syslog 守护进程记录在/var/log/messages文件里。可以用下列命令来查找相关信息$ grep login /var/log/messages
搜索路径(PATH)的重要性
在UNIX里,常使用的命令用来在不同的环境下查找一组特殊的目录称做PATH。想要运行当前目录包含的命令时是不需要加上一长串路径名的。在UNIX中用户经常使用”.”来表示当前的目录。如果”.”作为shell环境变量的一部分时,一个全局目录下的shell脚本或公用命令就有可能被相同目录下的伪程序所解释,而这个命令可能包含一段代码,一旦被执行后果可能是较严重的,比如是一个木马程序。在Bourne or Korn Shell里搜索路径通常这样来设置:
$ PATH=pathname1:pathname2:pathname3:
$ export PATH
在C或类似的shell里,以下列命令设置:
% set path = (pathname1 pathname2 pathname3)
在UNIX中像这样的路径可以保存在.profile文件里,可以看到像下面的语句
PATH=/bin:/usr/bin:/sbin:$HOME
Export PATH
因此,如果你经常参考用户主目录下的某个文件时,就创建一个叫”bin”的并把所以的个人的可执行文件放到里面,并要严格注意它们的安全性。假设”.”路径名存在于用户的shell初始化文件里,并且用户不精通有关安全的知识而且不太注意环境变量中路径,那么可以想像他经常使用到的who命令。假设用户已创建了下面的文件
$ touch /tmp/testfile
然后,编辑下面的程序并保存为who.c文件
# include
main()
{
system (“/usr/bin/who”);
system (“/bin/rm /tmp/testfile 2>/dev/null”);
}
然后对些程序进行编译
$ gcc ?o who who.c
并且此用户可能含有这样的profile:
PATH=.:/bin:/usr/bin:/sbin:$HOME
Export PATH
现在,如果户键入
$ who
再去找找你刚刚建立的testfile这个文件,看看发生了什么..
限制root登陆
另一增强root帐号安全的方法是限制其在系统上直接登陆。不同版本的UNIX处理此项任务的方法是不同的。
在SUN的Solaris系统上要修改/etc/default/login文件,你需要加入下面一行
网络安全讲座之五:文件系统安全
现在你已知道如何实施帐号的安全,并已建立了一个有效的认证机制,接下来将实施安全中访问控制部分。访问控制必须在两个地方实施,即本地和远程。文件可以由用户在本地访问或通过网络进行远程访问。本课将对这两种方法逐一进行测试。
Windows NT文件系统安全
当建立文件的权限时,你必须先实现Windows NT的文件系统(NTFS),当然你也可以使用FAT格式,但是并不支持文件级的权限。FAT只在那些相对来讲,对安全要求较低的情况下使用。即使NTFS也不能认为是能完全地保护文件的,这一点在稍后的实验中你将会看到。
一旦已经实施了NTFS的文件系统格式,可通过Windows NT的资源管理器直接来管理文件的安全。使用NT资源管理器你可为设置目录或文件的权限。基于文件级的权限你可以分配下面几种:读取(R),写入(W),执行(X),删除(D),改变(P),取得所有权(O)。详细请参照下表:
NTFS权限
基于目录
基于文件
读取 (R)
显示目录名,属性,所有者及权限
显示文件数据,属性,所有者及权限
写入 (W)
添加文件和目录,改变一个属性以及显示所有者和权限
显示所有者和权限;改变文件的属性;在文件内加入数据
执行 (X)
显示属性,可进入目录中的目录,显示所有者和权限
显示文件属性,所有者和权限;如果是可执行文件可运行
删除 (D)
可删除目录
可删除文件
改变权限 (P)
改变目录的权限
改变文件的权限
取得所有权 (O)
取得目录的所有权
取得文件的所有权
为了简化权限的管理,NT有几种有关权限的标准。通常在分配权限的时候,往往是组合使用权限而不是使用单独的权限,这些权限如下表
标准权限
基于目录
基于文件
不可访问
无
无
列出
RX
不适用
读取
RX
RX
添加
WX
不适用
添加和读取
RWS
RX
更改
RWXD
RWXD
完全控制
ALL
ALL
在这些权限的基础上,你可以达到根据需要来访问控制。但是确定什么是你需要的最小权限是困难的。回顾一下第一课我们所讲的一个新建立的NTFS分区默认情况下everyone 组对其有完全控制的权限。这种标准是无法接受的,如果你不加选择的删除everyone组或在任何地方都把不可访问的权限赋予给everyone组,那么有可能会损坏你的NT安装。Everyone组必须可以访问主要的系统目录(比如登陆目录)来使用户能够连接和登陆到服务器上。因为用户在开始登陆的过程中还没有被认证,你必须使用everyone组提供访问以使他们能够被认证。赋予everyone组不可访问其实更危险,因为拒绝访问优先于允许访问,而且所有的用户都是属于everyone组的,这样也就等于完全阻止了对文件系统的访问。
目录的权限分配和文件是一样的。目录的权限影响其目录中新建的文件。换句话说就是任何新建的文件将继承此目录的权限。
磁盘分区
因为操作系统目录的权限是非常严格的,把Windows NT放置自己单独的分区内是个明智的选择。在这个分区上只安装Windows NT而不安装应用程序使管理任务简单很多,一个磁盘分区可能会像下图这样。
操作系统
程序文件
数据
尽管这种分区需要额外地策划,但它还是很有吸引力,特别是简化了对于目录权限的管理。目录可以根据需要分开。如果你在运行一个设备如WEB服务器,你可能会考虑使用HTML,图像和其它一些静态文件在一个分区上,而你的脚本文件则放到另一个分区上。你可以将脚本设置成只可以执行那些静态文件可允许读取。这种策略的结果就是易于管理文件和目录的权限。
复制和移动文件
最后,你要理解当文件被复制和移动的时候发生了什么。每当一个文件被复制到一个新的目录里时,这个文件将继承目标目录的权限。当文件移动时,过程是很复杂的。如果一个文件从一个目录移动到同一分区下的另一个目录,那么此文件的权限将保留。当文件在相同的分区内移动时,Windows NT对于新目录的位置更新目录分配表。当文件在两个不同的分区间移动时,Windows NT首先把这个文件复制到新位置,在成功地复制之后,Windows NTG 再删除掉原始的那个文件。一个新文件被建立后,将继承目标目录的权限。
远程文件访问控制
远程的访问一个文件或目录是通过共享权限来提供的。一个共享就是供远程用户访问文件的网络访问点。当配置这些共享时,你要设置相应的权限。共享权限的应用类似于在NTFS 上权限的应用。主要的区别是共享权限缺乏精细地权限设置。你只能分配不可访问、读取、更改和完全控制的权限。参照下表
权限
允许
完全控制
改变文件的权限;在NTFS卷上取得文件的所有权;
能够完成所有,有更改权限所执行的任务
更改
创建目录和添加文件;更改文件内的数据;更改文件的属性;
删除目录和文件;能完成所有有读取权限执行的任务
读取
显示目录和文件名;显示文件数据和属性;运行应用程序文件
在目录里可转到另一目录
不可访问
仅能和共享目录建立连接,拒绝访问而且目录里的内容不可见
共享的权限和共享点一定要小心地分配。因为权限仅仅是分配给共享点的,任何共享点下的文件或目录都是以和共享点本身相同的权限被访问的。
结合使用本地和远程权限
Windows NT权限的设计是要综合使用NTFS和共享权限。因为Windows NT的设计是作为一个服务器,用户很少直接访问文件。当然,共享的安全性对于需要更加安全是远远不够的,因此共享和远程都需要使用。当你结合使用共享和NTFS权限时,两者中最严格的权限优先使用。
UNIX文件系统安全
在UNIX领域里,所有的信息都是储存在文件里,并有一个相关的名字。文件是存储在目录中的,但UNIX仍把它看作是文件。本课的重点是UNIX文件系统是如何处理权限的。这些权限控制什么样的用户可以访问以及如何访问。文件系统已是强制UNIX系统安全的最基础的方法。
||||||UNIX下的文件格式
UNIX对于文件的读取和写入,是以像树状结构的方式维护的。很多年前,UXNI文件系统就支持长文件名和目录名。所有的文件都有i-节点或连接点;它包含一个文件所有的统计和后勤信息。一些数据包含:
·文件类型
·大小(以字节为单位)
·参考计数。如果有其它不同名字而实际上是相同的一个文件(叫做链接文件)
·拒绝地址列表指示器
·时间戳。比如文件最后一次访问的时间;文件内容最后一次被修改的时间等..
·安全相关字段:文件属主的UID及GID
·文件访问权限或位,也称做Mode bits。
Ls 命令是最常用的UNIX命令,用来查看文件和目录的权限。
第一个命令ls –ld .意思是:列出当.下的内容通常.是指当前的目录;在本例中,用户自动地登陆到他的主目录中,而命令中的.是作为当前目录的意思
对于命令输出的结果详细说明见下表
输出符号
含义
d
表明目录
r
属主可以读取访问
w
属主有写权限
x
属主对目录有搜索及执行权限
R
属主所在组的用户有读取访问的权限(本例中是staff组)-
属主所在组没有写权限
x
属主所在组对目录有搜索及执行权限
R
其它用户有读取权限(任何人)
-
其它用户没有写权限
其它用户对目录有搜索及执行权限
4
参考计数
test
属主的登陆名
Staff
属主用户所属于的组名
512
目录的大小(字节)
Time Stamp
最后一次改变大小的日期
08:41
改变时的时间
.
所有这些信息所属于的文件名
第二个命令ls –la .bashrc_profile如图输出的有关用户配置文件的信息,它的组成部分见下表
范围值
含义
-
普通文件
计算机设备与网络安全管理(试行) 一、总则 第一条目的 (一)提高公司信息化水平,规范办公系统的使用管理,进一步整合办公资源,提高工作效率; (二)规范公司局域网内计算机操作,确保计算机使用的安全性、可靠性; (三)对计算机的配置、使用、安全、维护保养等进行有效的管理; (四)对软件的购置、发放、使用、保密、防毒、数据备份等进行安全有效的管理,确保各项管理工作的正常进行。 第二条管理范围 (一)公司计算机设备的购置、管理与操作; (二)计算机软件的购置、管理与操作; (三)公司计算机网络设备的日常管理与维护; (四)公司计算机信息安全管理; (五)公司信息文档的上传、发布管理等。信息文档特指公司或部门之间交流与发布的各项规章制度、通知、请示、报告、文件、工作联系、通报、简报、会议纪要、计划、信息传递、报表等。 第三条管理职责 (一)综合部负责计算机硬件及软件的配备、购置、使用的统一管理,负责计算机网络设备的购置、日常管理与维护,负责集团内计算机信息的安全与保密工作。 (二)计算机使用部门负责计算机的正确使用及日常维护,负责
本单位计算机信息的安全与保密工作。 二、计算机硬件管理 第四条计算机硬件是指各部门日常办公使用的计算机设备,包括计算机主机(含机箱内的芯片、功能卡、内存、硬盘、软驱、光驱等)、显示器、打印机、外设(键盘、鼠标、功放、音箱)等。 第五条公司新购置的计算机,由综合部登录于办公设施台帐中的《计算机设施分类台帐》,注明计算机的品牌型号、设备编号、内存、购置日期、使用部门等相关内容。 第六条所有计算机及配套设备要建立设备档案,综合部及时将设备故障、维修及部件更换等情况记入设备档案中。设备档案的管理要做到标志清楚、置放有序,便于及时取用。 第七条计算机的使用 (一)计算机开机操作:计算机开机时,应依次开启电源插座、显示器、主机。待出现正常界面,表明启动成功。若不能出现正常操作桌面,即时关掉主机及显示器电源,并报告综合部相关人员。 (二)计算机每次的开、关机操作至少相隔一分钟。严禁连续进行多次的开关机操作。计算机关机时,应遵循先关主机、显示器、电源插座的顺序。下班时,须关闭电源插座的开关,遇节假日,须将电源插座及网线拔下,彻底切断电源和网络,以防止火灾、雷击隐患。 (三)在对界面的应用软件进行操作时,当主机读写指示灯不断闪烁时,表明此时计算机正忙,应停止操作,待指示灯转为绿色后才能继续操作。 (四)录入方案或数据时,信息不断录入,应不断保存,以免停电丢失。 (五)计算机操作人员离开计算机时,应将所有窗口关闭,在确
最新的交通安全知识顺口溜大全 1、路上车坏想一想,设置标志排故障; 2、超车之前想一想,没有把握不勉强; 3、行走应走人行道,没有行道往右靠,天桥地道横行道,横穿马路不能做。 4、人生美好;步步小心。 5、路口要看信号灯,红灯停止绿灯行。 6、交通法规是个宝,同学都要遵守好。 7、超车之前想一想,没有把握不勉强。 8、红灯停,绿灯行,交通信号要看清。 9、夜间行车想一想,注意标志和灯光; 10、候车要在站台上,xx乘车讲礼貌。 11、会车之前想一想,礼让三先显风尚。 12、公路上,车辆多,打场晒粮易惹祸;公路边,不摆摊,影响交通不平安。 13、xx载货想一想,遵守规定不超量; 14、雨天大雾想一想,打开雾灯车速降;夜间行车想一想,注意标志和灯光;长途驾驶想一想,劳逸结合不能忘。 15、夜间行车想一想,注意标志和灯光。 16、黑车货车不能上,人身安全没保障。 17、一慢二看三通过,莫与车辆去抢道。骑车更要守规则,不能心急闯红灯。
18、临时停车想一想,选择地点要妥当。 19、乘车系好安全带,平安出行安全在;站得稳步坐得好,紧急刹车危险少。 20、开车之前想一想,交通法规记心上;交叉路口想一想,一看二慢三不抢;会车之前想一想,礼让三先显风尚;超车之前想一想,没有把握不勉强。 21、行万里平安路;做百年xx人。 22、隔离护栏不翻爬,发生事故受伤害。 23、车况异常想一想,及时维修勤保养; 24、会车之前想一想,礼让三先显风尚; 25、不带人,不超载,安全骑车不图快。 26、开车之前想一想,交通法规记心上; 27、骑单车,看标志,切勿闯入汽车道。 28、接受检查想一想,积极配合有修养; 29、喝酒时候想一想,酒后驾车事故酿; 30、公路上,车辆多,打场晒粮易惹祸。 31、交通安全要记牢;路口要看信号灯,红灯停止绿灯行;过街要走斑马线,或走天桥地下道;走路要走人行道,骑车不进汽车道。 32、但愿人长久;xx畅通。 33、穿行闹市想一想,小心行人和车辆。 34、黑车货车不能上,人身安全没保障;无证驾驶违交法,购车要办车牌照;交通法规是个宝,走路行车要记牢;生命人人都珍惜,安全健康最重要。 35、雨天大雾想一想,打开雾灯车速降。
中央广播电视大学 毕业设计(论文) 题目:计算机网络安全分析及防范措施 姓名教育层次 学号专业 指导教师分校
摘要 计算机网络技术是计算机技术与通信技术高度发展、紧密结合的产物,计算机网络对社会生活的方方面面以及社会经济的发展产生了不可估量的影响。当前,世界经济正在从工业经济向知识经济转变,而知识经济的两个重要特点就是信息化和全球化。进入21世纪,网络已成为信息社会的命脉和发展知识经济的重要基础。从其形成和发展的历史来看,计算机网络是伴随着人类社会对信息传递和共享的日益增长的需求而不断进步的。 关键词:计算机技术、网络安全、防范措施
目录 摘要 (2) 目录 (3) 引言 (4) 第一章计算机网络简介 (5) (一)数字语音多媒体三网合一 (5) (二)IPv6协议 (5) 第二章计算机网络安全 (7) (一)网络硬件设施方面 (7) (二)操作系统方面 (7) (三)软件方面 (8) 第三章计算机网络安全以及防范措施 (10) (一)影响安全的主要因素 (10) (二)计算机网络安全防范策略 (11) 第四章结论 (13) 第五章致辞 (14) 第六章参考文献 (15)
引言 计算机网络就是计算机之间通过连接介质互联起来,按照网络协议进行数据通信,实现资源共享的一种组织形式。在如今社会,计算机网络技术日新月异,飞速发展着,计算机网络遍及世界各个角落,应用到各个行业,普及到千家万户;他给我们带来了很多便利,但同时计算机网络故障也让我们烦恼,本此课题主要探讨计算机网络安全。
第一章计算机网络简介 计算机网络技术涉及计算和通信两个领域,计算机网络正是计算机强大的计算能力和通信系统的远距离传输能力相结合的产物。从20世纪70年代以主机为中心的主机——终端模式,到20世纪80年代客户机/服务器、基于多种协议的局域网方式,再到现在以Internet TCP/IP 协议为基础的网络计算模式,短短的30多年间,计算机网络技术得到了迅猛的发展,全世界的计算机都连接在一起,任何人在任何地方、任何时间都可以共享全人类所共有的资源。20世纪90年代后,Internet的广泛应用和各种热点技术的研究与不断发展,使计算机网络发展到了一个新的阶段。 (一)数字语音多媒体三网合一 目前,计算机网络与通信技术应用发展的突出特点之一是要实现三网合一。所谓三网合一就是将计算机网、有线电视网和电信网有机融合起来,以降低成本,方便使用,提高效率,增加经济效益和社会效益。 三网合一是网络发展的必然趋势。Internet的出现造就了一个庞大的产业,同时推动了其它相关产业的发展。一些新兴业务如电子商务、电子政务、电子科学、远程教学、远程医疗、视频会议和在线咨询等,使人们能突破时间和空间的限制,坐在家中就可以工作、学习和娱乐。 (二)IPv6协议 IP协议开发于上个世纪70年代,并逐步发展成为今天广泛使用的IPv4。不可置疑,它是一个巨大的成功,在过去的20多年中,被认为是一项伟大的创举。但是日益增长的对多种服务质量业务的要求——尤其是安全性和实时性的要求,已经使得Internet不堪重负,而IPv4的不足也日益明显地显现出来。具体表现在以下几个方面:
网络与信息安全管理规 定 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
网络与信息安全管理制度 1. 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 2. 负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。 3. 加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 一旦发现从事下列危害计算机信息网络安全的活动的: (一)未经允许进入计算机信息网络或者使用计算机信息网络资源; (二)未经允许对计算机信息网络功能进行删除、修改或者增加; (三)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加; (四)故意制作、传播计算机病毒等破坏性程序的; (五)从事其他危害计算机信息网络安全的活动。做好记录并立即向当地报告。 5. 在信息发布的审核过程中,如发现有以下行为的: (一)煽动抗拒、破坏宪法和法律、行政法规实施 (二)煽动颠覆,推翻 (三)煽动分裂国家、破坏国家统一 (四)煽动民族仇恨、民族歧视、破坏民族团结 (五)捏造或者歪曲事实、散布谣言,扰乱社会秩序 (六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪 (七)公然侮辱他人或者捏造事实诽谤他人 (八)损害国家机关信誉 (九)其他违反宪法和法律、行政法规将一律不予以发布,并保留有关原始记录,在二十四小时内向当地报告。
计算机网络安全知识 很实用的一些电脑安全常识知识 第一:什么是进程 进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是*作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种*作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。 危害较大的可执行病毒同样以进程形式出现在系统内部(一些病毒可能并不被进程列表显示,如宏病毒),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。 第二:什么是木马 木马病毒源自古希腊特洛伊战争中著名的木马计而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。 传染方式:通过电子邮件附件发出,捆绑在其他的程序中。 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法*作。 防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。 第三:什么是计算机病毒
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓 延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随 同文件一起蔓延开来。 除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不 寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能传染其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的病原体。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 第四:什么是蠕虫病毒 蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
交通安全知识顺口溜交通安全知识顺口溜10篇 交通安全知识顺口溜(一): 交通安全常识 出家门,路边走,交通法规要遵守; 过马路,仔细瞧,确认安全才通行; 红灯停,绿灯行,交通信号要看清; 骑单车,看标志,切勿闯入汽车道; 不带人,不超载,安全骑车不图快; 出远门,乘汽车,不坐超员超载车; 拖拉机,低速车,只拉货物禁载客; 高速路,车速快,行人进入易伤害;
公路上,车辆多,打场晒粮易惹祸; 公路边,不摆摊,影响交通不平安; 牛马车,靠右走,交叉路口要牵行; 赶牲口,放牛羊,上路行走不安全; 学交法,守交规,平安出行最安心。交通安全知识顺口溜(二): 安全行车十五想 出车之前想一想,检查车况要周详; 马达一响想一想,集中精力别乱想; 起步之前想一想,观察清楚再前往; 自行车前想一想,中速行驶莫着忙;
要过道口想一想,莫闯红灯勤了望; 遇到障碍想一想,提前处理别惊慌; 转弯之前想一想,需防左右有车辆; 会车之前想一想,先慢后停多礼让; 超车之前想一想,没有把握别勉强; 倒车之前想一想,注意行人和路障; 夜间行车想一想,仪表车灯亮不亮; 经过城镇想一想,减速鸣号切莫望; 雨雾天气想一想,防滑要把车速降; 长途行车想一想,劳逸结合放心上; 停车之前想一想,选择地点要适当。
交通安全知识顺口溜(三): 社区居民交通安全知识 交通安全最重要,事故不分老和少; 路口要看信号灯,红灯停止绿灯行; 过街要走横道线,或走天桥地下道; 走路要走人行道,不在路上嬉戏闹; 隔离护栏不翻爬,发生事故受伤害; 候车要在站台上,骑车不进汽车道; 乘车系好安全带,平安出行安全在; 站得稳步坐得好,紧急刹车危险少; 黑车货车不能上,人身安全没保障;
《计算机及网络安全管理制度》(试行) 计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由专人负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务作用,更好地为集团员工提供正常的工作保障,特制定《计算机及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机等)均归专人所管辖,其安装、维护等操作由专业工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须由专人实施或经过批准实施,未经许可任何部门不得私自连接交换机等网络设备,不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先申报,由专人做网络实施方案。 第四条集团局域网的网络配置由专人统一规划管理,其他任何人不得私自更改网络配置。 第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第七条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第八条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。 第九条任何人不得扫描、攻击集团计算机网络。 第十条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十一条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团公司局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件等。 2. 采取有效的计算机病毒安全技术防治措施。建议集团公司每台计算机安装防火墙和杀毒软件对病毒和木马进行查杀。(集团公司每台计算机现都已安装了杀毒软件) 3. 定期或及时更新,用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 第十三条集团公司的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团公司有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容:
交通安全知识顺口溜 乘车安全要注意,遵守秩序要排队;手头不能伸窗外,扶紧把手莫忘记。 乘车系好安全带,平安出行安全在;站得稳步坐得好,紧急刹车危险少。 出家门,路边走,交通法规要遵守;过马路,仔细瞧,确认安全才通行;红灯停,绿灯行,交通信号要看清。 但愿人长久;千里路畅通。 隔离护栏不翻爬,发生事故受伤害;候车要在站台上,骑车不进汽车道。 公路上,车辆多,打场晒粮易惹祸;公路边,不摆摊,影响交通不平安。 过街要走横道线,或走天桥地下道;走路要走人行道,不在路上嬉戏闹。 黑车货车不能上,人身安全没保障;无证驾驶违交法,购车要办车牌照;交通法规是个宝,走路行车要记牢;生命人人都珍惜,安全健康最重要。 交通安全很重要,交通规则要牢记,从小养成好习惯,不在路上玩游戏。 交通安全要记牢;路口要看信号灯,红灯停止绿灯行;过街要走斑马线,或走天桥地下道;走路要走人行道,骑车不进汽车道。 交通安全最重要,事故不分老和少;路口要看信号灯,红灯停止绿灯行。 开车之前想一想,交通法规记心上;交叉路口想一想,一看二慢三不抢;会车之前想一想,礼让三先显风尚;超车之前想一想,没有把握不勉强。 路无规不畅;国无法不宁。 牛马车,靠右走,交叉路口要牵行;赶牲口,放牛羊,上路行走不安全。 骑单车,看标志,切勿闯入汽车道;不带人,不超载,安全骑车不图快;出远门,乘汽车,不坐超员超载车。 人生美好;步步小心。 行万里平安路;做百年长乐人。 行走应走人行道,没有行道往右靠,天桥地道横行道,横穿马路不能做。 学交法,守交规,平安出行最安心。
一慢二看三通过,莫与车辆去抢道。骑车更要守规则,不能心急闯红灯。 雨天大雾想一想,打开雾灯车速降;夜间行车想一想,注意标志和灯光;长途驾驶想一想,劳逸结合不能忘。
计算机网络与安全实践设计报告 中国矿业大学南湖校区校园网建设方案 专业: 计算机科学与技术班级: 小组成员: 指导教师:职称: 中国矿业大学计算机科学与技术学院 2012 年04月徐州 1
目录 1引言 (4) 2网络设计的目标与要求: (4) 3方案设计与实现 (4) 3.1网络设计原则 (4) 3.2 主流组网技术分析与选择 (4) 3.3 网络拓扑结构设计 (5) 3.4 IP地址划分:包括VLAN、NA T、访问列表等实践内容的实现。 (5) 3.5设备选型与配置:各种路由交换设备、服务器等。 (5) 3.6 路由选择与配置 (8) 3.7 网络安全设计与管理 (8) 3.8 未来升级与扩展 (9) 4结束语 (9) 5.致谢 (9) 6、参考文献 (10) 3
中国矿业大学南湖校区校园网建设方案 1引言 计算机网络是计算机技术和通信技术相结合的产物,在信息技术的带动下,计算机网络发展的非常迅速,特别是internet的日益普及,“校园网“就随着各高校计算机网络的建设而引起广泛关注。建设和使用校园网络已成为一种普遍的趋势,学校对网络的依赖性越来越强,痛死我那个罗应用也是日新月异。从类型来看,校园网大都属于中小型系统,但它的网络结构和性能要求却又一定的特殊性,因此相应的网络设计和网络维护应有一些特别的考虑。 2网络设计的目标与要求: 构建南湖校区校园网,我们一组3个人,分别完成各自不同的项目。 XXX主要负责网络设计和各种配置问题和网络拓扑部分 XXX主要负责网络安全部分 XXX主要负责网络施工和网线布局 3方案设计与实现 3.1网络设计原则 校园网络设计方案应满足的要求: 采用成熟的技术方案 最大限度的采用同一厂家的产品 合理地划分vlan,能够实现vlan连接。 考虑网络的安全性。 3.2 主流组网技术分析与选择 中间核心层是一台核心三层交换机,分别连接属于分布层的学生宿舍楼,图书馆,行政楼,公教区。分布层除了行政楼是三层交换机外,其它的都是二层交换机。图中所示只说明了核心层和分布层,接入层还有很多二层交换机。其中宿舍楼还连有一台DHCP服务器,以为学生上网
第一章 计算机网络安全概述 网络面临的安全威胁 1、网络安全威胁 是指某个人、物或时间对网络资源的机密性、完整性、可用性和非否认性等所造成的危害 2、网络安全威胁的分类 1) 外部攻击:分为 被动攻击 和 主动攻击 a) 被动攻击:涉及消息的秘密性。通常被动攻击不改变系统中的数据,只读取系统中的数据,从中获利。 被动攻击的目的:从传输中获得信息。 被动攻击的手段:截获、分析。 被动攻击的种类:析出消息内容、通信量分析 析出消息内容:从截获的信息中获得有用的数据。 常用的防止被动攻击的手段是安全可靠的数据加密 通信量分析:通过对消息模式的观察,测定通信主机的标识、通信的源和目的、 交换信息的频率和长度,然后根据这些信息猜测正在发生的通信的性质。 被动攻击的特点:难以检测,但可以预防。 对付被动攻击的重点:防止而不是检测。 b) 主动攻击 主动攻击的位置:可能发生在端到端通信线路上的几乎任何地方 网络安全威胁人为的不可避免的人为因素操作失误设计错误有意攻击内部攻击 蓄意破坏病毒威胁外部攻击主动攻击中断篡改伪装被动攻击析出消息内容 通信量分析非人为的设备失效:软件故障、硬件失效、电源故障、……自然灾害:雷电、地震、火灾、水灾、……
主动攻击的特点:难以预防,但容易检测。 对付主动攻击的方法:检测攻击,并从攻击引起的破坏中恢复。 主动攻击的种类:篡改消息、伪装、拒绝服务。 篡改消息:对消息的完整性的攻击。篡改消息包括改变消息的内容、删除消 息包、插入消息包、改变消息包的顺序。注意,消息重放也是一种篡改,是对 消息发送时间的篡改。重放设计消息的被动获取以及后继的重传,通过重放一 获得一种为授权的效果。 伪装:对消息真实性的攻击。伪装是一个实体假装成另外一个实体以获得非 授权的效果。 拒绝服务:对消息可用性的攻击。拒绝服务攻击中断或干扰通信设施或服务 的正常使用。典型的拒绝服务攻击是通过大量的信息耗尽网络带宽,是用户无 法使用特定的网络服务。另外,拒绝服务攻击还可能抑制消息通往安全审计这 样的特殊服务,从而是服务失效。 网络安全服务及机制 安全服务是由网络安全系统提供的用于保护网络安全的服务。 安全机制保护系统与网络安全所采用的手段称为安全机制。 安全服务主要包括以下内容: 机密性 完整性 真实性(鉴别)访问控制 非否认性 可用性 安全审计 入侵检测 事故响应 1、机密性 机密性服务用于保护信息免受被动攻击,是系统为防止数据被截获或被非法访问所提供的保护 机密性能够应用于一个消息流、单个消息或者一个消息中所选的部分字段。 安全机制包括:
其实安全手抄报安全方面的都可以!主题可以叫:安全伴我行,可以分成几个板块。先提供一些内容,如果太多可以挑选一下: 交通安全顺口溜: (1)交通安全很重要,交通规则要牢记,从小养成好习惯,不在路上玩游戏。 (2)行走应走人行道,没有行道往右靠,天桥地道横行道,横穿马路离不了。 (3)一慢二看三通过,莫与车辆去抢道,骑车更要守规则,不能心急闯红灯 (4)乘车安全要注意,遵守秩序要排队;手头不能伸窗外,扶紧把手莫忘记。 交通安全宣传警句: 1、行万里平安路做百年长乐人,但愿人长久千里路畅通,人生美好步步小心,路无规不畅国无法不宁,狭路相逢“让”者胜,处罚违章不留情看似无情最深情,爱妻爱子爱家庭无视交规等于零。 2、乱穿马路失道无助,超载超速危机四伏,酒后驾车拿命赌博,一秒钟车祸一辈子痛苦,遵守交规储蓄安全,礼让礼让人车无恙,高速公路行驶适速,心无交规路有坎坷,安全行车十五想,出车之前想一想,检查车况要周详;马达一响想一想,集中精力别乱想;起步之前想一想。观察清楚再前往;自行车前想一想。中速行驶莫着忙;要过道口想一想。莫闯红灯勤了望;遇到障碍想一想。提前处理别惊慌;转弯之前想一想。需防左右有车辆;会车之前想一想。先慢后停多礼让;超车之前想一想。没有把握别勉强;倒车之前想一想。注意行人和路障;夜间行车想一想。仪表车灯亮不亮;通过城镇想一想。减速鸣号切莫望;雨雾天气想一想。防滑要把车速降;长途行车想一想。劳逸结合放心上;停车之前想一想。选择地点要适当。 3、交通安全知识交通信号灯,在繁忙的十字路口。四面都悬挂着红、黄、绿、三色交通信号灯,它是不出声的“交通警”,红绿灯是国际统一的交通信号灯,红灯是停止信号,绿灯是通行信号。交叉路口,几个方向来的车都汇集在这儿,有的要直行,有的要拐弯,到底让谁先走,这就是要听从红绿灯指挥,红灯亮,行或左转弯,在不碍行人和车辆情况下,允许车辆右转弯;绿灯亮,准许车辆直行或转弯;黄灯亮,停在路口停止线或人行横道线以内,已经继续通行;黄灯闪烁时,警告车辆注意安全,,人车分流各行其道。每当你走马路,就会看到许多行人的车辆来来往往,川流不息,如果行人和车辆爱怎么走就怎么走,那么就会交叉冲突,发生混乱,交通道路上用“交通标线”划出车辆、行人应走的规则:机动车走“机动车道”。 (责任编辑:李静)
金融商务 一、计算机网络安全存在的问题 (1)计算机网络的脆弱性。互联网具有开放性、共享性、国际性等特点。互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,就对计算机网络安全提出了挑战。 (2)数据库存储的内容存在的安全问题。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。 (3)操作系统存在的安全问题。操作系统主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。 (4)防火墙的脆弱性。防火墙是有局限性的。 (5)其他方面的因素。计算机系统硬件和通讯设施极易遭受到自然环境的影响,还有一些偶发性因素也对计算机网络构成严重威胁。 二、计算机网络安全的防护 (1)深入研究系统缺陷,完善计算机网络系统设计。 全面分析网络系统设计是建立安全可靠的计算机网络工程的首要任务。应针对现在计算机网络系统中存在的弱点进行认真研究,完善网络系统设计。这里主要强调一点:建立入网访问控制功能模块。入网访问控制为网络提供了第一层保护。它规定可登录到网络服务器并获取网络资源的用户条件,并控制用户入网的时间以及他们在那台工作站入网。用户入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户账号的检查。3个过程中任意一个不能通过,系统就将其视为非法用户,不能访问该网络。 各类操作系统要经过不断检测,及时更新,保证其完整性和安全性。系统软件应具备以下安全措施:操作系统应有较完善的存取控制功能,以防止用户越权存取信息:操作系统应有良好的存储保护功能,以防止用户作业在制动范围以外的存储区域进行读写;还应有较完善的管理功能,已记录系统的运行情况,检测对数据文件的存取。 (2)完善网络安全保护,抵制外部威胁。 1.构建计算机网络运行的优良环。服务器机房建设要按照国家统一颁布的标准进行建设、施工。经公安、消防等部门检查验收合格后投入使用。计算机系统重要配备部门要进行严格管理,并配备防水、防盗、防震、防火、防雷、防磁等设备,做好维护设备的工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录。对突发性的安全事故处理要有应急预案,对主要服务器和网络设备,要制定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。 2.建立完整可靠的安全防线。(1)病毒防杀技术。网络病毒对于整个计算机网络系统的破坏作用是巨大的,因此病毒防杀是网络完全技术中的重要一环。在实际生活中,人们始终存在着一个认识的误区,即对待病毒关键是“杀”。其实病毒应当以“防”为主。因此对待计算机病毒我们应采取主动防御的态度,计算机一定要安装正版的杀毒软件,并对杀毒软件实时监控,定时升级,同时要定期对电脑进行扫描,以便发现并清除隐藏的病毒。尽可能采用行之有效的新技术、新手段,建立“防杀结合,以防为主,以杀为辅,软硬互补,标本兼治”的最佳网络病毒安全模式。(2)防火墙控制。防火墙可以强化网络安全性,它两个或多个网络间传输的数据包按照一定的安全策略实施检查,决定传输是否被允许,这样就减小了非法传输的可能性。另外,防火墙可以对网络中的实际操作进行监控和记录。经过防火墙的访问都会被记录,同时也能提供网络使用情况的详细数据。当非法行径出现时,防火墙能及时作出预警,并提供非法操作的详细信息。(3)文件加密技术。网络加密常用的方法有链路加密,端点加密和节点加密3种。加密的目的是把文明变成密文,使未被授权的人看不懂它,从而保护网络中数据传输的安全性。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源点到目的节点之间的传输链路提供保护。(4)访问权限设置。权限设置是网络安全防范系统中的重要环节。系统通过设定权限条件,赋予用户一定的访问的权利与限制,用户在全县范围内访问了可访问目录、子目录、文件和其他资源;制定用户对这些内容能够警醒那些具体操作。 三、加强计算机用户及管理人员的安全意识培养 加强网络管理人员安全意识、职业道德、责任心的培养,建立、健全安全管理体制,不断地加强极端及信息网络的安全规范化管理力度,大力加强安全建设,可以给计算机网络安全提供可靠保证。计算机个人用户也要加强网络安全意识的培养,根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止其他用户越权访问数据和使用网络资源。同时,在使用时要注意对病毒的设防,重视杀毒软件的更新,在网络前端进行杀毒。 计算机网络安全与防护 黎明 (胜利石油管理局海洋钻井公司科技信息管理中心) 摘要:当今,随着计算机网络技术的飞速发展,算机病毒可以渗透到信息社会的各个领域,给计算机系统带来了巨大的破坏和潜在的威胁。网络已经无所不在地影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断地增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。本文对目前计算机网络存在的安全隐患进行了分析,并探讨了针对计算机安全隐患的防护策略。 关键词:计算机网络安全防护 120 现代营销
计算机网络安全知识摘要 1、什么是计算机网络? 简单地说,计算机网络是由两台以上计算机连在一起组成的“计算机群”,再加上相应“通信设施”而组成的综合系统。 2、资源共享 我们都已经知道计算机能干很多事情。虽然计算机的速度越来越快、性能越来越高、容量越来越大,但是总还是存在一些美中不足。比如办公室为每个人都配备了一台最新式的计算机,但是打印机的配备却成了问题。如果只为一台或者几台计算机配备打印机,那些没有配备打印机的人打印时需要把文件用磁盘拷出来到有打印机的计算机上去打印,不仅可以在网络上共享的资源除了打印机之外,硬盘、光盘、绘图仪、扫描仪以及各类软件、文本和各种信息资源等也都可以共享。在网络中共享资源既节省了大量的投资和开支,又以便于集中管理。 3、信息交换和信息的集中与分散处理 比如说一家公司,它有生产部、仓储部、市场部、财务部等很多部门和分公司。这些部门和分公司在地理位置上并不在一起。但是作为一个现代化的大公司,各个业务部门需要随时知道其他部门的各种数据;分散的销售数据需要及时集中起来配合仓储部的库存和生产部的生产,分散的财务数据也需要随时送到财务部集中处理以配合公司的整体行动。诸如此类,我们称之为信息交换和信息的集中与分散处理。这些都需要依托网络才能做到。 4、网络的本质 计算机网络并不是随着计算机的出现而出现的,而是随着社会对资源共享和信息交换与及时传递的迫切需要而发展起来的。它是现代计算机技术和通信技术密切结合的产物。如果说的准确一些,计算机网络就是利用通信设备和通讯线路把不在一起的计算机等设备相互联起来,用相应的软件实现资源共享和信息交换的系统。 早期的网络还只是指一个单位的几台计算机用一根电缆在一起,实现局部的资源共享和信息交换。今天的网络,把世界上的上百个国家大大小小几千万台的计算机连为一体,形成硕大无朋像蜘蛛网一样的“怪物”,在全世界范围内实现全方位的资源共享和信息交换。这就是因特网(Internet),也称为国际互联网。对于一个单位来说,只要你把这个单位网络的对外连线往因特网一搭,你的网络性质就从根本上改变了,其外延与内涵产生了根本的变化。我们今天讲的网络,就是指因特网,“上网”上的也是因特网。 5、网络有何好处 这种好处其实也是体现在资源共享和信息交换与及时传递这两个方面。就拿资源共享来说吧,一个办公室或者几个办公室只安装一台打印机而不耽误工作;一个公司或者图书馆只购买一份昂贵的软件,公司里所有人都可以随意使用;火车站或者航空公司售票处,把票务信息汇总后放在网上,任何人都可以随时在网上查阅,知道某一次列车或者航班还有多少张票。诸如此类,既节约资金,又减少重复劳动,都是好处。在网络中进行信息交换和信息及时传递,好处则更大。因为有了计算机网络,《人民日报》就能在北京制完版后几分钟内,便将版样传送到中国各地,甚至国外的印制点,这样,你在早晨6点多钟便从报上知道了报
交通安全知识顺口溜大全 车安全要注意,遵守秩序要排队; 手头不能伸窗外,扶紧把手莫忘记。乘车系 好安全带,平安出行安全在; 站得稳步坐得好,紧急刹车危险少。出家门,路边走,交通法规要遵守; 过马路,仔细瞧,确认安全才通行红灯停,绿灯行,交通信号要看清。 但愿人长久; 千里路畅通。 隔离护栏不翻爬,发生事故受伤害; 候车要在站台上,骑车不进汽车道。公路上,车辆多,打场晒粮易惹祸; 公路边,不摆摊,影响交通不平安。过街要走横道线,或走天桥地下道; 走路要走人行道,不在路上嬉戏闹。黑车货车不能上,人身安全没保障; 无证驾驶违交法,购车要办车牌照交通法规是个宝,走路行车要记牢; 生命人人都珍惜,安全健康最重要。 交通安全很重要,交通规则要牢记,从小养成好习惯,不在路上玩游戏。 交通安全要记牢; 路口要看信号灯,红灯停止绿灯行;过街要走斑马线,或走天桥地下道; 走路要走人行道,骑车不进汽车道。 交通安全最重要,事故不分老和少; 路口要看信号灯,红灯停止绿灯行。 开车之前想一想,交通法规记心上; 交叉路口想一想,一看二慢三不抢会车之前想一想,礼让三先显风尚; 超车之前想一想,没有把握不勉强。 路无规不畅; 国无法不宁。 牛马车,靠右走,交叉路口要牵行; 赶牲口,放牛羊,上路行走不安全。骑单 车,看标志,切勿闯入汽车道; 不带人,不超载,安全骑车不图快 出远门,乘汽车,不坐超员超载车。
人生美好; 步步小心。 行万里平安路; 做百年长乐人。行走应走人行道,没有行道往右靠,天桥地道横行道,横穿马路不能做。 学交法,守交规,平安出行最安心。一慢二看三通过,莫与车辆去抢道。骑车更要守规则,不能心急闯红灯。 雨天大雾想一想,打开雾灯车速降; 夜间行车想一想,注意标志和灯光长途驾驶想一想,劳逸结合不能忘。 通过以上的交通安全顺口溜,不知道大家对于交通安全规则是不是更加了解了呢?希望大家应该遵守交通规则,避免交通事故的发生。
计算机网络安全安全与防范 摘要 众所周知网络是世界上最复杂体系之一,网络布局中的计算机分支也十分复杂。这种复杂包括电脑主机与网络终端两者无法精确层次关系、系统无防御系统外界的可以随意查看其内部结构,同时这两者还造成,使用计算机进入网络查询信息的用户,因为计算机本生漏洞,最终变成带有病毒的软件和目的性黑客的攻击对象,一但攻克系统,这些恶意软件或是黑客则会通过我方计算机非法获取机密文件、攻击其它计算机,这些攻击造成的结果注定我们不愿面对。当今社会网络遍及家家户户,网络安全也越来越被重视,上网时自己获取的内容安全程度和保密程度显得尤为重要,但人们网络中浏览信息时,自我防范意识、防范措施等也不能缺少。 关键词:计算机;网络;网络安全
It is well known that the network is one of the most complex systems in the world. This complex includes mainframe computers and network terminal not precise hierarchy, system no defense system to see its internal structure of the outside world, also caused the two at the same time, using the computer into the network of information users, because the computer Bunsen loophole, eventually become with virus software and purpose of the hacker's attack object, but attack system, the malicious software or hacker will through our computer illegal access to confidential documents, attack other computer, the result of these attacks are destined we don't want to face. Today's social network throughout every household, network security is also more and more attention, Internet access to their own content security and confidentiality is particularly important, but when people browse information in the network, self-awareness, preventive measures can not be lack of. Key words: computer; Network; Network security
《网络及网络安全管理制度》计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由信息部负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为集团员工提供服务。现制定并发布《网络及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机、集线器等)均归信息部所管辖,其安装、维护等操作由信息部工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有集团内计算机网络部分的扩展必须经过信息部实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。信息部有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先报经信息部,由信息部做网络实施方案。 第四条集团局域网的网络配置由信息部统一规划管理,其他任何人不得私自更改网络配置。第五条接入集团局域网的客户端计算机的网络配置由信息部部署的DHCP服务器统一管 理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条任何接入集团局域网的客户端计算机不得安装配置DHCP服务。一经发现,将给予通报并交有关部门严肃处理。 第七条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第八条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第九条任何人不得在局域网络和互联网上发布有损集团形象和职工声誉的信息。 第十条任何人不得扫描、攻击集团计算机网络。 第十一条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用信息部部署发布 的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。 第十三条集团的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。集团有权撤消违法犯纪者互联网的使用。使用者必须严格遵循以下内容: 1. 从中国境内向外传输技术性资料时必须符合中国有关法规。 2. 遵守所有使用互联网的网络协议、规定和程序。 3. 不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。
交通安全顺口溜 交通安全顺口溜 一.交通安全常识 出家门,路边走,交通法规要遵守; 过马路,仔细瞧,确认安全才通行; 红灯停,绿灯行,交通信号要看清; 骑单车,看标志,切勿闯入汽车道; 不带人,不超载,安全骑车不图快; 出远门,乘汽车,不坐超员超载车; 拖拉机,低速车,只拉货物禁载客; 高速路,车速快,行人进入易伤害; 公路上,车辆多,打场晒粮易惹祸; 公路边,不摆摊,影响交通不平安; 牛马车,靠右走,交叉路口要牵行; 赶牲口,放牛羊,上路行走不安全; 学交法,守交规,平安出行最安心。 二.驾驶人交通安全知识 开车之前想一想,交通法规记心上; 交叉路口想一想,一看二慢三不抢; 会车之前想一想,礼让三先显风尚; 超车之前想一想,没有把握不勉强;
雨天大雾想一想,打开雾灯车速降;夜间行车想一想,注意标志和灯光;长途驾驶想一想,劳逸结合不能忘;喝酒时候想一想,酒后驾车事故酿;穿行闹市想一想,小心行人和车辆;拉客载货想一想,遵守规定不超量;临时停车想一想,选择地点要妥当;车况异常想一想,及时维修勤保养;路上车坏想一想,设置标志排故障;接受检查想一想,积极配合有修养;发生事故想一想,抢救伤员保现场;脚踩油门想一想,平平安安最吉祥。 三.中小学生交通安全知识 平安出行第一条,交通安全要记牢;路口要看信号灯,红灯停止绿灯行;过街要走斑马线,或走天桥地下道;走路要走人行道,骑车不进汽车道;公路来往车辆多,追逐打闹会闯祸;隔离护栏不翻爬,发生事故受伤害;候车要在站台上,文明乘车讲礼貌;黑车货车不能上,人身安全没保障;乘车系好安全带,头手不伸车窗外;站得稳步坐得好,紧急刹车危险少;