第四章网络支付安全技术
知识要点:
?网络支付的安全性问题
?对称密钥和非对称密钥
?数字摘要与数字签名
?数字证书与CA认证
? SSL与SET协议
?中国金融认证中心
第一节网络支付安全性问题概述
网络支付以其快捷、方便的网络支付方式适应了电子商务的发展。由于电子商务的远距离网络操作不同于面对面的传统支付方式,安全问题已经成为大家关注电子商务运行安全的首要方面。完成电子商务中资金流的网络支付涉及商务实体最敏感的资金流动,所以是最需要保证安全的方面,也是最容易出现安全问题的地方,如信用卡密码被盗、支付金额被篡改、收款抵赖等。因此保证电子商务的安全其实很大部分就是保证电子商务过程中网络支付与结算流程的安全,这正是银行与商家,特别是客户关心的焦点问题。
一、网上支付面临的安全问题
因特网环境下的网络支付结算涉及到客户、商家、银行及相关管理认证部门等多方机构及他们之间的配合。网络支付与结算由于涉及到资金的问题,保证安全是推广应用网络支付结算的基础。目前网络支付结算面临的主要安全问题可以归纳为如下几个方面:
1. 支付账号和密码等隐私信息在网络上传送过程中被窃取或盗用,如信用卡和密码被窃取盗用给购物者造成损失。
2. 支付金额被更改。如本来总支付额为250美元,结果支付命令在网上发出后,由于未知的原因从账号中划去了1250美元,给网上交易一方造成了困惑。
3. 支付方不知商家到底是谁,商家不能清晰确定如信用卡等网络支付工具是否真实、资金何时入账等;一些不法商家或个人利用互连点的开放性和不确定性,进行欺骗。
4. 随意否认支付行为的发生及发生金额,或更改发生金额等,某方对支付行为及容的随意抵赖、修改和否认。
5. 网络支付系统故意被攻击、网络支付被故意延迟等
如病毒等造成网络支付系统的错误或瘫痪、网络病毒造成网络支付结算过程被故意拖延等,造成客户或商家的损失或流失等。
二、网络支付安全策略
电子商务中的网络支付结算体系应该是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合系统。网络支付安全体系的建立不是一蹴而就的事,它受多种因素的影响,并与这些因素相互促进,动态地发展,共同走向成熟。开展电子商务的商家和后台的支撑银行必须相互配合,首先建立一套相关的安全策略,在实践中慢慢完善,以保证电子商务下网络支付结算的顺利进行。
(一)安全策略的含义与目的
电子商务中网络支付安全策略是整个电子商务安全策略的组成部分,即一个机构在从事电子商务中关于安全的纲要性条例,它是用书面形式明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等。要保护以网络支付系统等为代表的电子商务资产,所有组织都应有一个明确的安全策略。
制定电子商务安全策略的目的是为了保障机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏;能够有序地、经常地鉴别和测试安全状态;能够对可能的风险有一个基本评估;系统的安全被破坏后的恢复措施和手段以及所需的代价。
(二)网络支付的安全策略容
安全策略具体容中要定义保护的资源,要定义保护的风险,要吃透电子商务安全的法律法规,最后要建立安全策略和确定一套安全机制。每个机构都必须制定一个安全策略以满足安全需要。
1.要定义实现安全的网络支付结算的保护资源
定义资源是与本机构的具体身份、任务、性质有关。同一机构在不同的经营期对资源的
定义也是不同的。安全电子商务以Internet为信息交换通道,由CA中心、银行、发卡机构、商家和用户组成,是实现安全网络支付结算的基础。
可以看出,涉及到多方的配合,包括:交易方A、商务本身、交易方B、金融机构(如银行、发卡机构)、公正的第三方群(认证机构、时间戳服务机构、仲裁者)、政府机构(税务机构、海关)等。
2.要定义要保护的风险
每一新的网络支付方式推出与应用,均有一定的风险,因为绝对安全的支付手段是没有的,要进行相关风险分析。还要注意网络支付工具使用安全、便利、快捷之间的辩证关系。
3.要吃透电子商务安全与网络支付安全的法律法规
虽然,电子商务和电子商务安全的法律法规远远没有齐全,要吃透已有的电子商务安全的法律法规是必须的。
例如中国人民银行制订的《金融IC卡应用的安全机制规》。《规》规定“在一卡中的不同应用之间要相互独立,应用之间要提供防火墙安全控制措施,杜绝跨应用的非法访问。”因此,安全策略中必须建立防火墙。《规》规定“要确保卡存储的特定功能的加密/解密密钥不能被其他功能所使用,以及用来产生、派生和传输这些密钥的密钥都要具备专用性。”因此,安全策略中必须对这些密钥的流通和使用做出严密的管理。
常常密切注意电子商务的立法。约束电子商务中有关网络支付犯罪和解决纠纷需要立法。对Internet的管理和立法是很难的,对电子商务的管理和立法就更难了,不但需要立法者有过人的智慧,还必须有先进的判断手段和验证机构。这些条件的完备都需要时日。
三、网络支付安全的解决方法
根据网络支付的安全需求以及安全策略的容描述,具体到网络支付结算,可以有针对性地采取如下七种解决方法:
(1)交易方身份认证
如建立CA认证机构、使用X.509数字签名和数字证书实现对各方的认证,以证实身份的合法性、真实性。
(2)网络支付数据流容保密
使用相关加密算法对数据进行加密,以防止未被授权的非法第三者获取消息的真正含义。如采用DES私有秘钥加密和RSA公开秘钥加密,SSL保密通讯机制,数字信封等。
(3)网络支付数据流容完整性
如使用消息摘要(数字指纹,SHA)算法以确认业务流的完整性。
(4)保证对网络支付行为容的不可否认性。
当交易双方因网络支付出现异议、纠纷时,采用某种技术手段提供足够充分的证据来迅速辨别纠纷中的是非。例如采用数字签名、数字指纹、数字时间戳等技术并配合CA机构来实现其不可否认。
(5)处理多方贸易业务的多边支付问题。
这种多边支付的关系可以通过双联签字等技术来实现。如SET安全支付机制。
(6)政府支持相关管理机构的建立和电子商务法律的制定。
建立第三方的公正管理和认证机构,并尽快完成相关电子商务的法律制定,让法律来保证安全电子商务及网络支付结算的进行。
四、网络支付的交易安全
网络支付的安全可以概括为两大方面,一是系统的安全,二是交易的安全。系统安全主要指的是网络支付系统软件、支撑网络平台的正常运行。保证网络支付用专有软件的可靠运行、支撑网络平台和支付网关的畅通无阻和正常运行,防止网络病毒和HACKER的攻击,防止支付的故意延缓,防止网络通道的故意堵塞等是实现安全网络支付的基础,也是安全电子商务的基础。解决思路主要有:采用网络防火墙技术、用户与资源分级控制管理机制、网络通道流量监控软件、网络防病毒软件等方法。这些容在相关的电子商务安全课程都有论述,在此不赘述。
网上支付的交易安全可以概括为四个方面的要求:
(1)保证网络上资金流数据的保密性
因为网上交易是交易双方的事,交易双方并不想让第三方知道他们之间进行交易的具体情况,包括资金账号、客户密码、支付金额等网络支付信息。但是由于交易是在Internet
上进行的,在因特网上传送的信息是很容易被别人获取的,所以必须对传送的资金数据进行加密。
所谓加密是使在网上传送的数据如信用卡号及密码运算成为一堆乱七八糟的谁也看不懂的数据,只有通过特定的解密方法对这堆乱七八糟的数据进行解密才能看到数据的原文,即由消息发送者加密的消息只有消息接收者才能够解密得到,别人无法得到,而且,这些加密的方法必须是很难破解的。实际上,没有一种加密方法是无法破解的,只是有一时间问题,只要有足够的时间,任何加密方法都是可以破解的。但如果某一加密方法的破解需要几年时间,而花了几年时间得到一笔交易的信用卡卡号又有什么用呢?所以对加密的要求就是要难以破解。
(2)保证网络上相关网络支付结算数据的完整性
数据在传送过程中不仅要求不被别人窃取,还要求数据在传送过程中不被篡改,能保持数据的完整。如果王先生在商店里订购了一套家具,本来填写支付金额为250美元,最后发现被划去1250美元,当然会引起纠纷,并失去客户。因此,在通过Internet进行网络支付结算时,消息接收方收到消息后,必定会考虑收到的消息是否就是消息发送者发送的,在传送过程中这数据是否发生了改变。在支付数据传送过程中,可能会因为各种通讯网络的故障,造成部分数据遗失,也可能因为人为因素,如有人故意破坏,造成传送数据的改变。如果无法证实网上支付信息数据是否被篡改,是无法长久在网上进行交易活动的。
(3)保证网络上资金结算交易信息的防止篡改性
在实际商店里买东西,商店营业员与顾客是面对面进行交易的,营业员要检查持卡人的信用卡是否真实,是否上了黑,信用卡是不是持卡人本人的,还要核对持卡人的签名、持卡人的身份证等,证实持卡人的身份。持卡人亲自来到商店,看到商店真实存在。
而在网上进行交易,交易双方互不见面,持卡人只知道商店的网址,不知道这个商店开在哪里。有可能的一家商店在上海建立一个,开了一家网上商店,为了扩大对外网上交易,又在美国建立了一个镜像站点,持卡人根本无法知道这家商户到底在哪里。持卡人上网浏览时,只要按一下鼠标,刚才还在上海的一家家电商店,一下子就到了美国纽约的一家百货商场。在网上没有方向,没有距离,也没有国界。有可能你在网上看到的一家大规模的商场,实际上只是两个年轻人用一台计算机制造的一场骗局。
所以持卡人要与网上商店进行交易,必须先确定商店是否真实存在,付了钱是否能拿到东西。商店和银行都要担心上网购物的持卡人是否持卡人本人,否则,扣了三的款,却将货送给四,结果持卡人上门来说没买过东西为什么扣我的钱,而商户却已经将货物送走了。这样的网上交易是不能进行下去的。所以网上交易中,参加交易的各方,包括商户、持卡人和银行必须要采取如CA认证等措施能够认定对方的身份。
(4)保证网络上资金支付结算行为发生及发生容的不可抵赖。
在传统现金交易中,交易双方一手交钱,一手交货,没有多大问题。如果在商店里用信用卡付款,也必须要持卡人签名,方能取走货物。
在网上交易中,持卡人与商店通过网上传送电子信息来完成交易,也需要有使交易双方对每笔交易都认可的方法。否则,持卡人购物后,商户将货送到他家里,他却说自己没有在网上下过订单,银行扣了持卡人的购物款,持卡人却不认账。反过来,持卡人已付款,可商家却坚持说没有接收到货款,或者说,没有在大家认可的日子接收到资金,而有你有故意延迟或否认物品的配送,造成客户的损失。还有明明收到了1000美元,却说只收到500美元,等等。
第二节:数据加密技术
在计算机网络用户之间进行通讯时,为了保护信息不被第三方窃取,必须采用各种方法对数据进行加密。最常用的方法就是私有密钥加密方法和公开密钥加密方法。
一、私有密钥加密技术
原理:信息发送方用一个密钥对要发送的数据进行加密,信息的接收方能用同样的密钥解密,而且只能用这一密钥解密。由于这对密钥不能被第三方知道,所以叫做私有密钥加密方法。由于双方所用加密和解密的密钥相同,所以又叫做对称密钥加密法。最常用的对称密钥加密法叫做DES(Data Encryption Standard)算法。
甲乙两公司之间进行通讯,每个公司都持有共同的密钥,甲公司要向乙公司订购钢材,用此用共用的密钥加密,发给乙公司,乙公司收到后,同样用这一共用密钥解密,就可以得
到这一份订购单。
图4-2-1私有密钥加密示意图
由于对称密钥加密法需要在通讯双方之间约定密钥,一方生成密钥后,要通过独立的安全的通道送给另一方,然后才能开始进行通讯。
这种加密方法在专用网络中使用效果较好,并且速度快。因为通讯各方相对固定,可预先约定好密钥。
具体在电子商务网络支付时的应用:
银行部专用网络传送数据一般都采用DES算法加密,比如传送某网络支付方式用的密码。军事指挥网络上一般也常用这种秘密密钥加密法。
但是,也有缺点,与多人通讯时,需要太多的密钥,因此在电子商务是面向千千万万客户的,有时不可能给每一对用户配置一把密钥,所以电子商务只靠这种加密方式是不行的在公开网络中,如在Internet上,用对称密钥加密法传送交易信息,就会发生困难。比如,一个商户想在Internet上同几百万个用户安全地进行交易,每一位用户都要由此商户分配一个特定的密钥并通过独立的安全通道传送,密钥数巨大,这几乎是不可能的,这就必须采用公开密钥加密法(Public—key Cryptography)。
二、公开密钥加密技术
公开密钥加密法的加密和解密所用的密钥不同,所以叫非对称(Asymmetric Cryptography)密钥加密技术。
原理:共用2个密钥,在数学上相关,称作密钥对。用密钥对中任何一个密钥加密,可以用另一个密钥解密,而且只能用此密钥对中的另一个密钥解密。
商家采用某种算法(秘钥生成程序)生成了这2个密钥后,将其中一个保存好,叫做私人密钥(Private Key),将另一个密钥公开散发出去,叫做公开密钥(Public Key)。任何一个收到公开密钥的客户,都可以用此公开密钥加密信息,发送给这个商家,这些信息只能被这个商家的私人密钥解密。只要商家没有将私人密钥泄漏给别人,就能保证发送的信息只能被这位商家收到。(定点加密通讯)
公开密钥加密法的算法原理是完全公开的,加密的关键是密钥,用户只要保存好自己的私人密钥,就不怕泄密。著名的公开密钥加密法是RSA算法。RSA是这个算法三个发明人(Rivest,Shamir和Adleman)首字母。
RSA加密算法的安全性能与密钥的长度有关,长度越长越难解密。在用于网络支付安全的SET系统中使用的密钥长度为1024位和2048位。据专家测算,攻破512位密钥RSA算法大约需要8个月时间,而一个768位密钥的RSA算法在2004年之前是无法攻破的。现在,在技术上还无法预测攻破具有2048位密钥的RSA加密算法需要多少时间。美国LOTUS公司悬赏l亿美元,奖励能破译其DOMINO产品中1024位密钥的RSA算法的人。从这个意义上说,遵照SET协议开发的网上交易系统是非常安全的。
但生成长密钥的技术是尖端的,美国封锁。比对称密钥加密法如DES算法等速度慢很多。
非对称密钥加密法是后面要讲的数字签名手段的技术基础之一,可以用来解决在电子商务中如网络支付结算中“防抵赖”“认证支付行为”等作用。这可以从下面对公开密钥加密的作用的看出来。如图所示:
非对称密钥加密的作用:两位用户之间要互相交换信息,需要各自生成一对密钥,将其中的私人密钥保存好,将公开密钥发给对方。交换信息时,发送方用接收方的公开密钥对信息加密,只能用接收方的私人密钥解密。他们之间可以在无保障的公开网络中传送消息,而不用担心消息被别人窃取。
图4-2-2公开密钥加密技术示意图
发送方如果用自己的公开密钥加密信息发送给接受方,接受方是解不开的,因为接受方不知道发送方的私有密钥,当然,窃密者也不知道。但是违背了信息传输的目的性,不可行。发送方如果用自己的私人密钥加密信息发送给接受方,接受方能解得开,因为接受方知道发送方的公开密钥。问题是,窃密者也可以解密(如果他在网络上通过非法途径截取到密文信息的话),不可取。
发送方如果用接受方的私有密钥加密信息是否可以呢?不可能。因为发送方不能知道接受方的私有密钥。
所以,非对称公开密钥加密技术的加密方只能利用接收方的公开密钥加密。接受方可以用自己的私有密钥解密。而窃密者因为不知道接受方的私有密钥,即使截取了密文,也不能解密。问题是任何人都可以假冒发送方的名义给接受方发信息。换言之,发送方可以否认自己发出的信息。怎么解决这个问题呢?一个可行的办法是为了防止抵赖发送方可以用自己的私人密钥对要发送的信息再次进行加密。但是,由于要加密的信息往往较大,考虑到效率问题,在实践中,一般不采用这种方式直接加密明文信息。
特性对称非对称
密钥的数目单一密钥密钥是成对的
密钥种类密钥是秘密的一个私有、一个公开
密钥管理简单不好管理需要数字证书及可靠第三者
相对速度非常快慢
用途用来做大量资料的加密用来做加密小文件或对信
息签字等不太严格保密的
应用
由于
非对称密钥加密比对称密钥加密速度慢得多,在加密数据量大的信息时,要花费很长时间。而对称密钥在加密速度方面具有很大优势。所以,在网络交易中,对信息的加密往往同时采用两种加密方式,将两者结合起来使用,这就是数字信封技术。
数字信封(Digital Envelope)的原理:对需传送的信息(如电子合同、支付指令)的加密采用对称密钥加密法;但密钥不先由双方约定,而是在加密前由发送方随机产生;用此随机产生的对称密钥对信息进行加密,然后将此对称密钥用接收方的公开密钥加密,准备定
点加密发送给接受方。这就好比用“信封”封装起来,所以称作数字信封(封装的是里面的对称密钥)。如图所示:
图4-2-3数字信封技术示意图
接收方收到信息后,用自己的私人密钥解密,打开数字信封,取出随机产生的对称密钥,用此对称密钥再对所收到的密文解密,得到原来的信息。因为数字信封是用消息接收方的公开密钥加密的,只能用接收方的私人密钥解密打开,别人无法得到信封中的对称密钥,也就保证了信息的安全,又提高了速度。
在使用对称密钥加密时,密钥的传递以及密钥的更换都是问题。采用数字信封的方式,对称密钥通过接受方的公开密钥加密后传给对方,可以保证密钥传递的安全。而且此对称密钥每次由发送方随机生成,每次都在更换,更增加了安全性。一些重要的短小信息,比如银行账号、密码等都可以采取数字信封传送。
数字信封技术在外层使用公开密钥技术,可以充分发挥公开密钥加密技术安全性高的优势,而层的私有密钥长度较短,用公开密钥加密长度较小的密钥可以尽可能的规避公开密钥技术速度慢的弊端。由于数字信封技术结合了公开密钥加密技术和私有密钥加密技术的优点,它同时摒弃了它们的缺点,因而在实践中获得了广泛的应用。
第三节数字摘要与数字签名技术
一、数字摘要技术
通讯双方在互相传送消息时,不仅要对数据进行保密,不让第三者知道,还要能够知道数据在传输过程中没有被别人改变,也就是要保证数据的完整性。
数字摘要的原理:采用的方法是用某种算法对被传送的数据生成一个完整性值,将此完整性值与原始数据一起传送给接收者,接收者用此完整性值来检验消息在传送过程中有没有发生改变。这个值由原始数据通过某一加密算法产生的一个特殊的数字信息串,比原始数据短小,能代表原始数据,所以称作数字摘要(Digital Digest)。
图4-3-1数字摘要技术示意图
要求:第一,生成数字摘要的算法必须是一个公开的算法,数据交换的双方可以用同一算法对原始数据经计算而生成的数字摘要进行验证。第二,算法必须是一个单向算法,就是只能通过此算法从原始数据计算出数字摘要,而不能通过数字摘要得到原始数据。第三,不同的两条消息不能得到相同的数字摘要。
由于每个消息数据都有自己特定的数字摘要,就像每个人的指纹一样,所以,数字摘要又称作数字指纹或数字手印(Thumbprint)。就像可以通过指纹来确定是某人一样,可以通过数字指纹来确定所代表的数据。
常用算法:如RSA公司提出的MD5(128位)。还有SHA1等。由于常采用的是一种HASH 函数算法,也称Hash(散列)编码法。
MD5(128位)由Ron.Rivest教授设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文。
网络支付中应用:在目前先进的SET协议机制中采用的hash算法可产生160位的消息摘要,两条不同的消息产生同一消息摘要的机会为l/1048,所以说,这串数据在统计学意义上是惟一的。不同的消息将产生不同的消息摘要,对消息数据哪怕改变一位数据,消息摘要将会产生很大变化。
注意:HASH算法本身并不能完全保证数据的完整性,还必须与其他密码或密钥结合起来使用才能保证。因为哈希算法是公开的,如果某人改变了传送的消息,可以很容易地同时改变由哈希算法生成的数字摘要。单用数字摘要显然无法保证数据的完整性,而必须将数字摘要保护起来,使别人无法伪造。
在SET系统中是将数字摘要用发送者的私人密钥加密,产生数字签名来保证数据的完整性。接收者收到加了密的数字摘要,只能用发送者的公开密钥解密,如果可以确信这个数字摘要是发送者发来的,就可以用此数字摘要来验证所收到的消息的完整性。
二、数字签名技术
在电子商务中,为了保证电子商务安全网络支付中的不可否认性,必须具有数字签名技术,比如“电子支票上的签名认证”。
数字签名及原理:Digita1 Signature,就是指利用数字加密技术实现在网络传送信息文件时,附加个人标记,完成传统上手书签名或印章的作用,以表示确认、负责、经手、真实等;或数字签名就是在要发送的消息上附加一小段只有消息发送者才能产生而别人无法伪造的特殊数据(个人标记),而且这段数据是原消息数据加密转换生成的,用来证明消息是由发送者发来的。在网络支付SET机制中是用发送方的私人密钥对用hash算法处理原始消息后生成的数字摘要加密,附加在原始消息上,生成数字签名。数字签名=信件发送者私人秘钥加密[hash(信件)]
信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。(对) 2.对称密码体制的特征是 :加密密钥和解密密钥完全相同 ,或者一个密钥很容易从另ー个密钥中导出。(对) 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信 困难的问题。(错) 4.公钥密码体制算法用一个密钥进行加密 ,!而用另一个不同但是有关的密钥进行解密。(对) 5.公钥密码体制有两种基本的模型 :一种是加密模型 ,另一种是解密模型(错) 6.Rabin 体制是基于大整数因子分解问题的 ,是公钥系统最具典型意义的方法。(错) 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道 的限制 ,可实现数字签名和认证的优点。(错) 8.国密算法包括SM2,SM3和 SM4. (对)
9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。(对) 10.Hash 函数的输人可以是任意大小的消息,其输出是一个长度随输 入变化的消息摘要。(错) 11.数字签名要求签名只能由签名者自己产生。(对) 12、自主访问控制 (DAC)是基于对客体安全级别与主体安全级别的比 较来进行访问控制的。(错) 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行 访问控制,而不是基于主体的身份。(对) 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的,有两个不同密钥 D.是对称的,使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )
计算机网络安全技术 习题一: 1-1 简述计算机网络安全的定义 答:从狭义角度:计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害。从本质上来讲就是系统上的信息安全; 从广义角度:凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。 1-2 计算机网络系统的脆弱性主要表现在哪几个方面?试举例说明。 答:网络安全的脆弱性、计算机硬件系统的故障、软件本身的“后门”、软件的漏洞。 例子:有些软件会捆绑另一些软件安装。 1-9 计算机网络安全的三个层次的具体内容是什么? 答:安全立法:计算机网络安全及信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治、安全产品检测与销售; 安全技术:物理安全技术、网络安全技术、信息安全技术; 安全管理:包括从人事资源管理到资产物业管理,从教育培训、资格认证到人事考核鉴定制度,从动态运行机制到日常工作规范、岗位责任制度等多方面。习题二 2-1简述物理安全的定义、目的与内容。 答:定义:实体安全又叫物理安全,是保护计算机设备设施免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实体安全主要考虑的问题是环境、场地和设备的安全以及实体访问控制和应急处理计划等。实体安全技术主要是指对计算机及网络系统的环境、场地、设备和人员等采取的安全技术措施。 目的:实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏;确保系统
有一个良好的电磁兼容工作环境;把有害的攻击隔离。 内容:实体安全的内容主要包括:环境安全、电磁防护、物理隔离以及安全管理。 2-2计算机房场地的安全要求有哪些? 答:1、为保证物理安全,应对计算机及其网络系统的实体访问进行控制,即对内部或外部人员出入工作场所进行限制。 2、计算机机房的设计应考虑减少无关人员进入机房的机会。 3、所有进出计算机机房的人都必须通过管理人员控制的地点。 2-3简述机房的三度要求。 答:温度:机房温度一般控制在18℃~20℃,即(20±2)℃。温度过低会导致硬盘无法启动,过高会使元器件性能发生变化,耐压降低,导致不能工作。 湿度:机房内的相对湿度一般控制在40%~60%为好,即(50±10)%。湿度控制与温度控制最好都与空调联系在一起,由空调系统集中控制。机房内应安装温、湿度显示仪,随时观察、监测。 洁净度:清洁度要求机房尘埃颗粒直径小于0.5μm,平均每升空气含尘量小于1万颗。 2-4机房内应采取哪些防静电措施?常用的电源保护装置有哪些? 答:防电措施:采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。 常用的电源保护装置有金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和不间断电源等。 2-7简述电磁干扰的分类及危害。 答:电磁干扰的分类:传导干扰、辐射干扰 危害:计算机电磁辐射的危害、外部电磁场对计算机正常工作的影响。 2-9简述物理隔离的安全要求。 答:1、在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄露到外部网。
网络课堂系统建设方案 1系统设计理念 随着信息化的不断发展,开放式、自由式的信息化教育教学方式逐渐兴起,成为辅助课堂教学的重要手段。MOOC,即大型开放式网络课堂的成功,为教师在线教学、学生在线学习提供支持。 本系统基于上述先进理念进行建设,着眼教师,着重于网络课堂系统的薄弱环节即课件制作方面进行平台化产品建设。平台建设将充分吸取成熟互联网服务平台功能的人性化设计,并结合移动终端的便捷性。在课堂教学的基础上为教师在线教学、教师成长提供易用性工具服务,为学生课外学习提供便利平台服务。
2 系统业务框架 学习社区 教学处 教师 PAD PHONE PC 网络课堂系统贯穿教学的各个层面因此涉及学生、教师、教学处及校领导四个角色。借助PC 、PHONE 、PAD 等各类移动终端,学生主要通过学习社区进行自助学习;教师借助课程云中心中课程制作功能进行网络课程制作及发布;教学处及校领导角色借助课程云中心中课程管理及支撑云中心实现基础支撑功能的维护和完善,并对课程进行整体管理维护。 为了更好的利用原有系统资源,本次项目奖考虑整合三方面的资源内容: 第一、基础系统将整合CMIS 学生数据及教师基础数据,同时,将考虑到手 写设备的深度整合; 第二、将结合学校现有的私有资源(如:电子博物馆、区级资源平台、校级 资源平台等)进行资源采集整合; 第三、将结合学校实际需要整合互联网资源,如:百度搜索、维基百科、同
方知网等。 3主要功能说明 3.1学习社区 主要借助SNS业务平台架构,通过个人学习空间、兴趣组交互空间等平台功能,学生能够在一系列学习支撑工具的协助下便捷地进行在线课程学习。有效培养学生自助学习的积极性。 学习社区包括移动端和PC端两种模式,具体形式如下: PC端形式: 主要包括定制课程、课程分享、问题、笔记等基本功能,学生基于以动态提醒为核心的社区平台,可以在线自由定制课程,并围绕课程学习开展相关的工作。 学生在社区中不但可以看到相关教师的课程发布动态信息,也可以看到相关同学的学习动态。同时,课程学习过程中的问题答疑、课程分享、笔记记录等都将以动态的形式进行页面呈现。
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P 盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使用日志记录,短信服务系统将保存5个月以内的系统及用户收发短信记录。
浙江省信息网络安全技术人员继续教育考试试卷 农行班第2期 计20分) 1.计算机场地可以选择在化工厂生产车间附近。() 2. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。() 3. 每个UNIX/Linux系统中都只有一个特权用户,就是root帐号。() 4. 数据库系统是一种封闭的系统,其中的数据无法由多个用户共享。() 5. 容灾项目的实施过程是周而复始的。() 6. 软件防火墙就是指个人防火墙。() 7. 由于传输的内容不同,电力线可以与网络线同槽铺设。() 8. 公钥密码体制有两种基本的模型:一种是加密模型,另一种是认证模型。() 9. 一个设置了粘住位的目录中的文件只有在用户拥有目录的写许可,并且用户是文件 和目录的所有者的情况下才能被删除。() 10. 蜜罐技术是一种被动响应措施。() 11.增量备份是备份从上次进行完全备份后更改的全部数据文件() 12. PKI是利用公开密钥技术所构建的、解决网络安全问题的、普遍适用的一种基础设 施。() 13. 事务具有原子性,其中包括的诸多操作要么全做,要么全不做。() 14. 入侵检测技术是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行 为的一种网络安全技术。() 15. 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记, 以防更换和方便查找赃物。() 16. 对网页请求参数进行验证,可以防止SQL注入攻击。() 17. 基于主机的漏洞扫描不需要有主机的管理员权限。() 18. 由于网络钓鱼通常利用垃圾邮件进行传播,因此,各种反垃圾邮件的技术也都可以 用来反网络钓鱼。() 19. IATF中的区域边界,是指在同一物理区域,通过局域网互连,采用单一安全策略的 本地计算设备的集合。() 20. 灾难恢复和容灾具有不同的含义() 二、单选题(选出正确的一个答案,共40题,每题1分,计40分) 1.下列技术不能使网页被篡改后能够自动恢复的是() A 限制管理员的权限 B 轮询检测 C 事件触发技术 D 核心内嵌技术
五大员网络测试系统 3-4
单选题 01、坝体压实检查部位和次数,对防渗体,粘性土均质坝,每()要检测1次。(考生答案:B) 02、招标人于2006年4月1日发布招标公告,2006年4月20日发布资格预审公告,2006年 5月10日发售招标文件,投标人于投票截止日2006年6月10日及时递交了投标文件,2006年7月20日招标人发出中标通知书,则要约生效的时间是() (考生答案:C) 03、对()水土流失的治理实行承包的,应当按照谁承包治理谁受益的原则,签订水土保持承 包合同。(考生答案:A) 04、砂的粒径范围为()mm。(考生答案:B) 05、()在开工前,应按规定向水利工程质量监督机构办理工程质量监督手续。(考生答案:C) 06、砼抗压强度是根据标准试块养护()天后测得的强度标准值(Mpa)的大小,作为强度等 级(考生答案:B) 07、施工成本指施工项目在施工过程中发生的()总和(考生答案:C) 08、已知某工作的最早开始时间为第5天,允许最迟的完成时间为第12天,工作历时为4 天,则该工作的总时差为()天(考 生答案:B) 09、承包建筑工程的单位应当持有依法取得的资质证书,并在其()许可范围内承揽工程。(考 生答案:A) 10、根据《建设工程质量管理条例》的规定,勘察、设计单位必须按照工程建设强制性标准进 行勘察、设计,()应当在 设计文件上签字,对设计文件负责(考生答案:B) 11、在风力侵蚀区,应当采取()设置人工沙障和网络林带等措施,建立防风固沙防护林系, 控制风沙危害。(考生答案:A) 12、料场规划中主料场可开采量不少于设计总量的()倍,备用料场储备量为主料场总储量的 20%-30%(考生答案:B) 13、土石坝填筑前必须经过碾压试验,确定碾压参数,其碾压参数有:机具重量、()、碾压 遍数和铺土厚度等(考生答案:C) 14、某混凝土坝的溢流坝与非溢流坝之间的导墙最高级别()(考生答案:C) 15、施工单位应当为施工现场从事危险作业人员办理()(考生答案:D) 16、对于均质土坝最适合的碾压机械是()(考生答案:C) 17、砼配料中砂石料的精度要求是()(考生答案:A) 18、土方填筑中,对粘性土,若含水量偏少,采取()(考生答案:A) 19、材料在自然状态下单位体积的质量称为()(考生答案:A) 20、水利工程质量由项目法人(),施工单位负责人对本单位的质量工作(),项目经理对
网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (23)
1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规范及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
精心整理 信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理
第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 员。 包括:在本单位宣传和贯彻执行信息安全政策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。
第十一条技术支持单位在信息管理部的领导下,承担所负责的信息系统和所在区域的信息安全管理任务,主要包括:在所维护系统和本区域内宣传和贯彻信息安全政策与标准,确保所负责信息系统的安全运行。 第十二条各级信息管理部门设立信息安全管理和技术岗位,包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员,重要岗位 制度 技 完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。 第十六条信息安全体系建设必须坚持以下原则: 坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一
投资、统一建设、统一管理。 保障应用。保障网络和信息系统,特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全,实现以应用促安全,以安全保应用。 符合法规。信息安全体系要满足法律法规要求,包括国家对信息系统等级保护、企业内部控制要求,积极采用法律法规允许的、成熟的先进技 第十八条建立全面的信息安全管理体系: 制定并实施统一的信息安全策略、管理制度和技术标准。 实行信息系统资产管理责任制,保护信息系统,特别是核心信息系统的设备、软件、数据和技术文档的安全。
信息安全技术课程报告 信息安全技术是信息管理与信息系统的一门专业课。随着计算机技术的飞速发展,计算机信息安全问题越来越受人们的关注。我们在学习工作中掌握必要的信息安全管理和安全防范技术是非常必要的。通过对信息安全技术这门课程的学习,我们基本了解了计算机信息安全的基本原理和当今流行的信息安全设置、安全漏洞、防火墙的策略与实现、黑客原理与防范,以便能够在工作中胜任现在所做的工作。 在上周的课程学习中,我学到了加密技术,防火墙等知识,作为课程报告,我想简单简述一下什么是加密技术和防火墙。 加密技术:对信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端对端加密的目的是对源端用户到目的端用户的数据提供保护。在保障信息安全各种功能特性的诸多技术中,加密技术是信息安全的核心和关键技术,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密文)的过程。数据加密算法有很多种,密码算法标准化是信息化社会发展得必然趋势,是世界各国保密通信领域的一个重要课题。按照发展进程来分,经历了古典密码、对称密钥密码和公开密钥密码阶段,古典密码算法有替代加密、置换加密;对称加密算法包括DES 和AES;非对称加密算法包括RSA 、等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法,而根据收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径
信息技术与网络安全 一、学习目的: 1、了解计算机、计算机网络的脆弱性。 2、了解计算机网络存在的安全隐患及安全隐患产生的原因。 3、了解防范安全隐患的常用措施。 4、了解常用的安全技术:病毒防治及防火墙。 二、教材分析: 通过本节课的学习,让学生知道有关计算机网络安全的基本概念,了解计算机网络系统存在的安全隐患及产生这些安全隐患的主要原因,了解病毒防治、防火墙等安全技术。 重点:了解计算机网络的安全隐患及其产生的原因、防范安全隐患的常用措施。难点:对病毒防治和防火墙的认识。 三、教学过程: (一)导入新课:同学们,信息安全是当前阻碍信息技术进一步深入我们日常生活、学习和工作的最大的阻力,由于网络的不安全性,使得人们对网络的应用有所顾忌和保留,达不到理想的交流效果。请同学根据自己的体验,谈谈使用信息技术进行工作和学习的存在哪些安全问题,以及有何解决的方法?通过创设情景,提出相关问题,“QQ 是我和朋友联系,和同事探讨问题的好工具。可今天却怎么也登入不上去了,并提示密码错误,可我输入的密码肯定是对的,很着急,请大家替我想想办法。”经过对问题的具体分析,即引出今天的教学内容——计算机的安全问题。 (二)用深情的语言感化学生。
1.[设问]:同学们,人的生命是脆弱的,很容易受自身因素和外界环境的影响而生病甚至一命乌呼,其实计算机网络在安全上也是很脆弱的。同学们,你们知道计算机网络脆弱的原因吗? [学生活动]:学生对此问题展开讨论,各说其词。 1 [教师活动]:首先对学生的讨论进行点评、总结。然后完整阐述造成计算机网络脆弱性的两大因素:计算机本身问题和计算机网络问题。最后,以图表的形式呈现具体的子因素。计算机网络的脆弱性示意图: 2.[设问]:请同学们归纳计算机网络存在的安全隐患并分析产生隐患的原因?[教师活动]:查看学生归纳情况,观察学生活动,并参与探讨,最后列出产生安全隐患原因的示意图:
中小企业信息安全解决方案 据国家经贸委统计,中国各类中小企业数量超过1000万家;在国民经济中,60%的总产值来自于中小企业,并为社会提供了70%以上的就业机会。随着信息技术与网络应用的普及,越来越多中小企业业务对于信息技术的依赖程度较之以往有了显著的提高。然而,中小企业在加快自身信息化建设步伐的同时,由于将更多的精力集中到了各种业务应用的开展上,再加之受限于资金、技术、人员以及安全意识等多方面因素,造成了大多数中小企业在信息安全建设方面的相对滞后。随着病毒的网络化与黑客攻击手段的丰富与先进,防毒、反黑已经成为了中小企业信息安全建设所面临的重要课题。 同样,这个课题对于众多的信息安全厂商来说也是一个不小的挑战。从一个信息安全产品乃至解决方案的发展历程来看,了解用户的期望,是最基础的一步:首先,从中小型企业普遍缺乏资金的角度来看,信息安全厂商提供的产品或方案需要具备高度的可用性、针对性、以及经济性,也就是我们常说的物美价廉;其次,要保证解决方案的易用性,以弥补中小企业在专业技术人员方面的匮乏;再次,要保证方案和产品在防毒反黑方面有强大的功能,能够确实起到保护信息系统正常运转,保障业务持续开展的效果。 深层防御,信息安全保障之道 但是,在这些用户关心的问题中,最关键的还是产品或解决方案的性能。那么,什么样的产品或解决方案才能实现中小型企业信息安全的保障呢?是单纯的反病毒软件,或是单纯的防火墙?或是一个多功能合一的产品?都不对,这里要借用一句典故“攥紧的拳头打人才疼”,对于信息安全产品的利用也是如此。真正的信息安全保障,不仅仅是单纯的信息保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。 而冠群金辰所推崇的深层防御战略正体现了信息保障的核心思想。深层防御战略的含义是多方面的,它试图全面覆盖一个层次化的、多样性的安全保障框架。深层防御战略的核心目标就是在攻击者成功地破坏了某个保护机制的情况下,其它保护机制依然能够提供附加的保护。在深层防御战略(Defense in Depth)中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者不可或缺;从技术上讲深层防御战略体现为在包括主机、网络、系统边界和支撑性基础设施等多个网络环节之中如何实现预警、保护、检测、反应和恢复(WPDRR)这五个安全内容。 基于对信息安全保障这一安全概念的准确理解,冠群金辰从为用户提供完善的信息安全保障的角度出发,提出了3S理念,即:Security Solution(安全解决方案)、Security Application(安全应用)和Security Service(安全服务)。从最早的防计算机病毒领域全面转型到提供整体的信息安全解决方案。在这个转型过程中,秉承深层防御战略的安全思想,不断对自己的整体安全解决方案进行充实。到目前已经逐步形成三大系列七大产品:主机系列安全产品:龙渊主机核心防护、泰阿KILL安全胄甲;网络传输设施系列安全产品:轩辕防火墙、干将/莫邪入侵检测系统、承影漏洞扫描器;网络边界系列产品:轩辕防火墙、赤霄网关过滤系统、纯均虚拟专用网 冠群金辰中小型企业信息安全解决方案 针对中小企业的当前最重要的反黑、防毒的主要信息安全任务,冠群金辰还提出了一套层次化和多样性的针对性解决方案: ●防毒篇: 针对计算机病毒的网络化趋势,根据病毒的传播来源方式,从三个层次上对病毒进行检测和查杀: 边界:赤霄网关过滤系统对HTTP、FTP、SMTP应用进行病毒查杀 为防止计算机病毒通过用户上网浏览、下载或发送电子邮件等方式传入到用户网络中,
网络与信息安全技术A卷 一、单项选择题(每小题2分,共20分) 1.信息安全的基本属性是___。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A,B,C都是 2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。这种算法的密钥就是5,那么它属于___。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3.密码学的目的是___。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。B 方收到密文的解密方案是___。 A. K B公开(K A秘密(M’)) B. K A公开(K A公开(M’)) C. K A公开(K B秘密(M’)) D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是___。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7.防火墙用于将Internet和内部网络隔离___。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施
作业四 1. 常用的网络安全技术有哪些?简要介绍各种技术的特点。 2. 什么是防火墙?好的防火墙应该是什么样的? 3. 简述结构化综合布线系统中各个子系统的主要功能和设计要点。 4. 作为网络布线介质,光缆与普通铜缆相比,具有哪些优点? 5. 单模光纤与多模光纤有哪些不同?试比较之。 1.常用的网络安全技术有哪些?简要介绍各种技术的特点。 ●身份验证技术:身份验证技术确认合法的用户名、密码和访问 权限三方面的安全性。只有合法的用户才能登录到系统,并 获得对资源合法的访问权限。 ●数据完整性技术:通过散列算法,信息的接收方可以得到唯一 的信息摘要,以验证信息的完整性,防止非授权用户对信息 的非法篡改。 ●跟踪审计技术:每一次网络的登录信息都加以记录,记录下来 的文件称为网络日志,便于检查登录的合法性,从中找出非 法用户的踪迹。 ●信息加密技术:通过对信息的重新组合,使得只有收发双方才 能解码还原信息。常用的加密技术包括对称加密和非对称加 密。加密技术的安全性与硬件的性能和和所选密钥的长度有 关。 ●防?墙技术:防火墙是位于内部网和外部网之间的屏障。通过 预先制定的过滤策略,控制数据的进出,是系统的第一道防 线。 2.什么是防火墙?好的防火墙应该是什么样的? 防火墙是一种在内部网和外部网之间实施的安全防范措施,可以认为它是一种访问机制,用于确定哪些内部服务可以提供给外部服务器,以及哪些外部服务器可以访问内部网资源。 总的来说,一个好的防火墙系统应具有以下几个方面的特性和功
能: ●所有在该内部网和外部网之间交换的数据都必须而且只能经 过该防火墙 ●只有被防火墙检测后合格,即防火墙系统中安全策略允许的数 据才可以自由出入防火墙 ●防火墙的技术是最新的安全技术 ●防火墙本身不受任何攻击 ●人机界面友好,易于操作,易于系统管理员进行配置和控制 3.简述结构化综合布线系统中各个子系统的主要功能和设计要点。 1.工作区子系统(Work area Subsystem) 功能: 工作区子系统由终端设备连接到信息插座的跳线组成。它包 括信息插座、信息模块、网卡和连接终端所需的跳线,并在 终端设备和输入/输出(I /O)之间搭接,相当于电话配线系 统中连接话机的用户线及话机终端部分。 设计要点: 1) 根据楼层平面图计算每层楼布线面积。 2) 估算I/O插座数量。 3) 确定I/O插座的类型。 4) 确定I/O插座的位置。 5) 确定工作区跳线的长度和类型。 6) 如果自己制作跳线,还要购买RJ45插头(水晶头)。 2.水平子系统(Horizontal Subsystem) 功能: 水平子系统由每层配线间?信息插座的水平线缆及其线槽、 管、托架和工作区用的信息插座组成。水平线缆沿大楼的地 板或天花板布线,以不影响美观为主。 设计要点: 1)确定线路走向; 2)确定线缆、槽、管的数量和类型; 3)确定电缆的类型和长度; 4)订购电缆和线槽;
中心机房及网络系统建设方案
目录 第一章机房及网络系统建设的必要性 (3) 第二章项目内容 (5) 2.1、XXX人民政府信息办中心机房建设 (5) 2.1.1、总述 (6) 2.1.2、内容及要求 (6) 2.1.3、机房装修 (6) 2.2、网络系统建设 (12) 2.2.1、总述 (12) 第三章投资概算....................................................................................... 错误!未定义书签。第四章工程招标事项................................................................................. 错误!未定义书签。
第一章机房及网络系统建设的必要性 机房是信息化、语音系统承载和运行的最基本环境,承担着信息网络、信息系统的运行以及各种系统连通、汇
聚、贯穿的重要责任;网络设备是各网络系统最基本的组成部分。因此,机房及网络系统建设具有十分重要的现实意义。 随着市行政中心的建成,网络接入单位和人员将成倍增加,对网络安全和质量也提出了更高的要求,现有网络设备、安全设备和机房已无法满足行政中心网络系统运行的需要。本着既整合资源、节约成本,又考虑网络系统和各信息系统的安全性、先进性、前瞻性和可扩展性的原则。
第二章项目内容 行政中心不仅是党政办公中心,而且还将成为第一个信息化综合数据中心,因此,合理的信息化设计和建设是信息化办承接的重点工作之一。为了实现高效、稳定、可靠的信息化应用平台,中心机房建设和网络系统建设是信息化办的工作重点。 2.1、信息办中心机房建设
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。
第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到人们生活的方方面面,网上购物、商业贸易、金融财务等经济行为都已经实现网络运行,“数字化经济”引领世界进入一个全新的发展阶段。然而,由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨人员的攻击,计算机网络安全问题日益突出。在网络安全越来越受到人们重视和关注的今天,网络安全技术作为一个独特的领域越来越受到人们关注。 一、网络安全的定义 所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。 二、影响网络安全的主要因素 (1)信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。 (2)信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。 (3)传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。 (4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。 (5)非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。 (6)环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。 (7)软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP 协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。 (8)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。 三、计算机网络安全的主要技术 网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如下:认证技术、加密技术、防火墙技术及入侵检测技术等,这些都是网络安全的重要防线。 (一)认证技术
大作业要求 ****(单位、公司、工厂或学校)为背景,设计一个网络建设方案。 方案中应该包括: 根据****(单位、公司、工厂或学校)的组织结构、业务需求完成网络需求分析,确定拓扑方案,完成设备选型,注明各种设备、设施和软件的生产商、名称、型号、配置与价格,基本确定方案的预算。 要求: 1.完成建网进行需求分析,提交需求分析报告; 2、在需求分析的基础上进行系统设计、技术选型,规划、设计网络的逻辑拓扑方案、布线设计等,划分子网,设计子网地址、掩码和网关,为每个子网中的计算机指定IP地址; 3、根据条件进行设备选型,决定各类硬件和软件的配置和经费预算方案; 4、创建局域网内的DNS服务器,配置相关文件,可以对局域网内的主机作域名解析。 ○参□考□样◇例
1、需求分析 随着信息时代的到来,校园网已经成为现代教育背景下的必要基础设施,成为学校提高水平的重要途径。校园网络的主干所承担的信息流量很大,校园网络的建设的目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播(VOD)等信息共享功能,能实现办公的自动化、无纸化。能通过与Internet的互联,为全校师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源,能对学生进行多媒体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源,从而可以更好地进行学习,校园网能为学校的信息化建设打下基础。 根据本校园实际情况主要应用需求分析如下: 用户的应用需求:所有用户可以方便地浏览和查询局域网和互联网上的学习资源,通过WWW服务器、电子邮件服务器、文件服务服务器、远程登录等实现远程学习,此外为教务处提供教务管理、学籍管理、办公管理等。 通信需求:通过E-mail及网上BBS以及其它网络功能满足全院师生的通信与信息交换的要求,提供文件数据共享、电子邮箱服务等。 信息点和用户需求:按照要求本校园网内信息点总数为531个, 其中办公区需要的信息点为(111个):教务处(25),各院系办公区(26),图书馆(60);教学区为(400个):除机房需要120个信息点外,其余各系部大楼及教学楼(包括设计艺术系楼、建筑工程系楼、一号楼、大学生活动中心楼、教学主楼、B、C楼等)各需设置信息点的个数为40;生活区为(20个):20个宿舍楼区、食堂等各设置1个信息点。电子邮件服务器、文件服务服务器等为内部单位服务,WWW服务器、远程登录等实现远程学习,从外部网站获得资源。 性能需求:此校园网络支持学校的日常办公和管理,包括:办公自动化、图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等。支持网络多媒体学习的信息传输要求。 安全与管理需求:学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高,如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。网络安全对于网络系统来说是十分重要的,它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是
网络系统建设方案(内部区域网和Internet,包括宽带上网计费系统) 1、设计原则 酒店的计算机网络系统,不但使酒店内的办公人员能享有其应有的信息资源(包括数据,文本,语音,图像,视频),而且使入住酒店的旅客能够享有相应的资源。同时要保证系统数据的安全性与完整性,完成网上浏览、查询、订房、交易等功能,网络系统不仅能让用户高速接入Internet,而且为其它的企业或个人提供拨入本信息网的能力。信息网的设计应考虑到安全性、可靠性和扩展性等要求。 酒店计算机网络系统应采用先进的计算机和网络技术,构建一个高效的、安全可靠的、具备良好的扩充性能和易于管理的企业级酒店综合应用信息系统,使整个计算机业务处理系统达到高度的信息、资源共享,促进内部管理和风险决策科学化,从而大大提高工作效率,提高经营效益和整体管理水平。为此,我们必须考虑以下的设计准则: (1)提供高性能的计算机网络系统,不仅能够完成满足目
前应用对性能的要求,同时也为将来提供足够宽的性能空间。 (2)提供高可靠集成环境,不仅保证数据中心服务器和数据的高可靠运转,同时保证主干从链路到设备的可靠联接。(3)具备高度集成能力和广泛扩展能力的计算机结构以便将来的发展要求。 (4)应提供很强的Internet电子商务服务,这样可提高酒店的服务水平,使酒店职员和广大用户在任何时候和任何地点都可通过互联网登录到酒店的网络系统查询相关信息资源。(5)具有很强的安全保护能力,从而有效地保护系统资源。(6)应提供非常易于管理的计算机网络系统环境,很强的、简单、灵活、实用、统一的管理功能,从而确保系统能持续、可靠、有条不紊地运行。 (7)总体结构基于流行的Internet/Intranet技术和设计思想。 (8)满足今后视频点播等多媒体应用的需要。 2、网络系统基本技术要求