范文中国网后台-模板-公共模板变量-头部模板-自定义右侧文字

首页 > 教案下载 / 正文

关于网络安全的诗歌

2017-04-16 07:29:40 教案下载 0 评论
网络安全1

网络安全科技名词定义

中文名称:网络安全 英文名称:network security 定义:网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。 应用学科:通信科技(一级学科);网络安全(二级学科) 以上内容由全国科学技术名词审定委员会审定公布

求助编辑百科名片

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

目录

基本概念网络安全

国际标准化组织

主要特性

工具与法律

主要关系

网络安全分析物理安全分析

网络结构的安全分析

系统的安全分析

应用系统的安全分析

管理的安全风险分析

网络安全措施安全技术手段

安全防范意识

主机安全检查

主机物理安全

网络安全现状概况

国外

国内

主要类型

安全特征

威胁因素

结构层次物理安全

安全控制

防火墙与网闸的区别

安全隐患

攻击形式

主要设备

电子商务

安全对策计算机网络安全措施

商务交易安全措施

未来趋势

加密方式

协议安全

网络安全现状与发展基本概念 网络安全

国际标准化组织

主要特性

工具与法律

主要关系

网络安全分析 物理安全分析

网络结构的安全分析

系统的安全分析

应用系统的安全分析

管理的安全风险分析

网络安全措施 安全技术手段

安全防范意识

主机安全检查

主机物理安全

网络安全现状 概况

国外

国内

主要类型

安全特征威胁因素结构层次

物理安全 安全控制防火墙

与网闸的区别安全隐患攻击形式主要设备电子商务安全对策

计算机网络安全措施 商务交易安全措施未来趋势加密方式协议安全网络安全现状与发展展开 编辑本段基本概念

网络安全

网络的安全是指通过采用各种技术和管理措施,使网络系 统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。

国际标准化组织

为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活的网络服务通道。 采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。

编辑本段主要特性

网络安全应具有以下五个方面的特征: 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需 网络安全解决措施的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:

对信息的传播及内容具有控制能力。 可审查性:出现安全问题时提供依据与手段 从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机

密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。 随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。

编辑本段工具与法律

维护网络安全的工具有VIEID、数字证书、数字签名和基于本地或云端的杀毒软体等构成。在法律方面有中华人民共和国计算机信息系统安全保护条例、中华人民共和国电子签名法等。

编辑本段主要关系

通常,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。但是,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。 构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。 但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。 选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活的网络服务通道。 采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。 全方位的

安全体系: 与其它安全体系(如保安系统)类似,企业应用系统的安全体系应包含: 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。 认证:良好的认证体系可防止攻击者假冒合法用户。 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 隐藏内部信息,使攻击者不能了解系统内的基本情况。 设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。

编辑本段网络安全分析

物理安全分析

网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作

失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。

网络结构的安全分析

网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intranet的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。

系统的安全分析

所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择,无论是Microsoft 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 应用系统的安全分析

应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。 ——应用系统的安全是动态的、不断变化的。 应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏

洞,修补漏洞,提高系统的安全性。 ——应用的安全性涉及到信息、数据的安全性。 信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。

管理的安全风险分析

管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。 建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是校园网建设过程中重要的一环。

编辑本段网络安全措施

安全技术手段

物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。 访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。 数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。 网络隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。 隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。 其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。

安全防范意识

拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。

主机安全检查

要保证网络安全,进行网络安全建设,第一步首先要全面了解系统,评估系统安全性,认识到自己的风险所在,从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具,彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性,一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定,并对评测系统进行强有力的分析处置和修复。

主机物理安全

服务器运行的物理安全环境是很重要的,很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况,包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素,因为在选择IDC时你自己会作出决策。 在这里着重强调的是,有些机房提供专门的机柜存放服务器,而有些机房只提供机架。所谓机柜,就是类似于家里的橱柜那样的铁柜子,前后有门,里面有放服务器的拖架和电源、风扇等,服务器放进去后即把门锁上,只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子,开放式的,服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别,显而易见,放在机柜里的服务器要安全得多。 如果你的服务器放在开放式机架上,那就意味着,任何人都可以接触到这些服务器。别人如果能轻松接触到你的硬件,还有什么安全性可言? 如果你的服务器只能放在开放式机架的机房,那么你可以这样做: (1)将电源用胶带绑定在插槽上,这样避免别人无意中碰动你的电源; (2)安装完系统后,重启服务器,在重启的过程中把键盘和鼠标拔掉,这样在系统启动后,普通的键盘和鼠标接上去以后不会起作用(USB鼠标键盘除外) (3)跟机房值班人员搞好关系,不要得罪机房里其他公司的维护人员。这样做后,你的服务器至少会安全一些。

编辑本段网络安全现状

概况

随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、

地震、电磁辐射等方面的考验。

国外

2012年02月04日,黑客集团Anonymous公布了一份来自1月17日美国FBI和英国伦敦警察厅得工作通话录音,时长17分钟,主要内容是双方讨论如何寻找证据和逮捕Anonymous, LulzSec, Antisec, CSL Security等黑帽子黑客得方式,而其中涉及未成年黑客得敏感内容被遮盖。[1] 目前FBI已经确认了该通话录音得真实性,安全研究人员已经开始着手解决电话会议系统得漏洞问题。 2012年02月13日,据称一系列政府网站均遭到了 Anonymous 组织的攻击,而其中CIA官网周五被黑长达9小时。这一组织之前曾拦截了伦敦警察与FBI之间的一次机密电话会谈,并随后上传于网络。[2]

国内

2010年,Google发布公告称将考虑退出中国市场,而公告中称:造成此决定的重要原因是因为Google被黑客攻击。 2011年12月21日,国内知名程序员网站CSDN遭到

黑客攻击,大量用户数据库被公布在互联网上,600多万个明文的注册邮箱被迫裸奔。 2011年12月29日下午消息,继CSDN、天涯社区用户数据泄露后,互联网行业一片人心惶惶,而在用户数据最为重要的电商领域,也不断传出存在漏洞、用户泄露的消息,漏洞报告平台乌云昨日发布漏洞报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面只有支付用户的账号,没有密码。目前已经被卷入的企业有京东(微博)商城、支付宝(微博)和当当(微博)网,其中京东及 支付宝否认信息泄露,而当当则表示已经向当地公安报案。

编辑本段主要类型

运行系统安全,即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。 网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。 网络上信息传播安全,即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。 网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。

编辑本段安全特征

网络安全应具有以下四个方面的特征: 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:对信息的传播及内容具有控制能力。

编辑本段威胁因素

自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客” 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等; 信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。 网络安全威胁主要包括两类:渗入威胁和植入威胁。渗入威胁主要有:假冒、旁路控制、授权侵犯; 植入威胁主要有:特洛伊木马、陷门。 陷门:将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入数据时,允许安全策略被违反。

编辑本段结构层次

物理安全

自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故。解决方案是:防护措施,安全制度,数据备份等。 电磁泄漏,信息泄漏,干扰他人,受他人干扰,乘机而入(如进入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善)。解决方案是:辐射防护,屏幕口令,隐藏销毁等。 操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏。解决方案是:状态检测,报警确认,应急恢复等。 计算机系统机房环境的安全。特点是:可控性强,损失也大。解决方案:加强机房管理,运行管理,安全组织和人事管理。

安全控制

操作系统的安全控制:如用户开机键入的口令(某些微机主板有“ 万能口令” ),对文件的读写存取的控制(如Unix系统的文件属性控制机制)。 网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括:身份认证,客户权限设置与判别,审计日志等。 网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。 编辑本段防火墙

Internet防火墙是这样的系统(或一组系统),它能增强机构内部网络的安全性。 防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查。防火墙只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。 防火墙与安全策略 防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,防火墙是安全策略的一个部分。 安全策略建立全方位的防御体系,甚至包括:告诉用户应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受到攻击的地方都必须以同样安全级别加以保护。 仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。 防火墙的好处 Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。 防火墙的作用 Internet防火墙允许网络管理员定义一个中心“ 扼制点” 来防止非法用户,比如防止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理,网络的安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性,并产生报警。(注意:对一个与Internet相联的内部网络来说,重要的问题并不是网络是否会受到攻击,而是何时受到攻击?谁在攻击?)网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。 Internet防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并根据机构的核算模式提供部门级计费。 与网闸的区别

在设计理念方面,防火墙是以应用为主、以安全为辅的,也就是说在支持尽可能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它可以广泛地用于尽可能多的

领域,拥有更加广泛的市场,甚至包括个人电脑都可以使用,但是它的安全性往往就差强人意。而网闸则是以安全为主,在保证安全的前提下,支持尽可能多地应用。网闸主要用于安全性要求极高的领域,例如对政府网络,工业控制系统的保护等等。

编辑本段安全隐患

1、 Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。 2、 Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。 3、 Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。 4、在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。 5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。 6、计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。

编辑本段攻击形式

主要有四种方式中断、截获、修改和伪造。 中断是以可用性作为攻击目标,它毁坏系统资源,使网络不可用。 截获是以保密性作为攻击目标,非授权用户通过某种手段获得对系统资源的访问。 修改是以完整性作为攻击目标,非授权用户不仅获得访问而且对数据进行修改。 伪造是以完整性作为攻击目标,非授权用户将伪造的数据插入到正常传输的数据中。 网络安全的解决方案 一、入侵检测系统部署 入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,系统可以发出实时报警,使得学校管理员能够及时采取应对措施。 二、漏洞扫描系统 采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。 三、网络版杀毒产品部署 在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

编辑本段主要设备

在网络设备和网络应用市场蓬勃发展的带动下,近年来网络安全市场迎来了高速发展期,一方面随着网络的延伸,网络规模迅速扩大,安全问题变得日益复杂,建设可管、可控、可信的网络也是进一步推进网络应用发展的前提;另一方面随着网络所承载的业务日益复杂,保证应用层安全是网络安全发展的新的方向。 随着网络技术的快速发展,原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系,为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。在此理念下,网络安全产品将发生了一系列的变革。 结合

实际应用需求,在新的网络安全理念的指引下,网络安全解决方案正向着以下几个方向来发展: 1、主动防御走向市场 主动防御的理念已经发展了一些年,但是从理论走向应用一直存在着多种阻碍。主动防御主要是通过分析并扫描指定程序或线程的行为,根据预先设定的规则,判定是否属于危险程序或病毒,从而进行防御或者清除操作。不过,从主动防御理念向产品发展的最重要因素就是智能化问题。由于计算机是在一系列的规则下产生的,如何发现、判断、检测威胁并主动防御,成为主动防御理念走向市场的最大阻碍。 由于主动防御可以提升安全策略的执行效率,对企业推进网络安全建设起到了积极作用,所以尽管其产品还不完善,但是随着未来几年技术的进步,以程序自动监控、程序自动分析、程序自动诊断为主要功能的主动防御型产品将与传统网络安全设备相结合。尤其是随着技术的发展,高效准确的对病毒、蠕虫、木马等恶意攻击行为的主动防御产品将逐步发展成熟并推

向市场,主动防御技术走向市场将成为一种必然的趋势。 2、安全技术融合备受重视 随着网络技术的日新月异,网络普及率的快速提高,网络所面临的潜在威胁也越来越大,单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势,用户对务实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。 网络安全相关书籍软硬结合,管理策略走入安全整体解决方案 面对规模越来越庞大和复杂的网络,仅依靠传统的网络安全设备来保证网络层的安全和畅通已经不能满足网络的可管、可控要求,因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手,对接入用户终端强制实施用户安全策略,严格控制终端网络使用行为,为网络安全提供了有效保障,帮助用户实现更加主动的安全防护,实现高效、便捷地网络管理目标,全面推动网络整体安全体系建设的进程。

编辑本段电子商务

电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。 (一)计算机网络安全的内容包括: (1)未进行操作系统相关安全配置 不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。 (2)未进行CGI程序代码审计 如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问

题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

(3)拒绝服务(DoS,Denial of Service)攻击 随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对

方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。

(4)安全产品使用不当 虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安

装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。

(5)缺少严格的网络安全管理制度 网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 (二)计算机商务交易安全的内容包括: (1)窃取信息 由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包

经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)篡改信息 当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中

途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

(3)假冒 由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。 (4)恶意破坏 由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

编辑本段安全对策

计算机网络安全措施

计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。 (一)保护网络安全。 网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下: (1)全面规划网络平台的安全策略。 (2)制定网络安全的管理措施。 (3)使用防火墙。 (4)尽可能记录网络上的一切活动。 (5)注意对网络设备的物理保护。 (6)检验网络平台系统的脆弱性。 (7)建立可靠的识别和鉴别机制。 (二)保护应用安全。 保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。 由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。 虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。 (三)保护系统安全。 保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施: (1)在安装的

软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。

(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。 (3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。

商务交易安全措施

商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。 各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。 (一)加密技术。 加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。 (1)对称加密。 对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。 (2)非对称加密。 非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成

一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。 (二)认证技术。 认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。 (1)数字签名。 数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。 (2)数字证书。 数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份

信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。

(三)电子商务的安全协议。 除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。 (1)安全套接层协议SSL。 SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。 (2)安全电子交易协议SET。 SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。 SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。 编辑本段未来趋势

未来二三十年,信息战在军事决策与行动方面的作用将显著增强。在诸多决定性因素中包括以下几点:互联网、无线宽带及射频识别等新技术的广泛应用;实际战争代价高昂且不得人心,以及这样一种可能性,即许多信息技术可秘密使用,使黑客高手能够反复打进对手的计算机网络。 (1)技术对经济与社会的支配力量日益加重 在所有的领域,新的技术不断超越先前的最新技术。便携式电脑和有上网功能的手机使用户一周7天、一天24小时都可收发邮件,浏览网页。 对信息战与运作的影响:技术支配力量不断加强是网络战的根本基础。复杂且常是精微的技术增加了全世界的财富,提高了全球的效率。然而,它同时也使世界变得相对脆弱,因为,在意外情况使计算机的控制与监视陷于混乱时,维持行业和支持系统的运转就非常困难,而发生这种混乱的可能性在迅速增加。根据未来派学者

约瑟夫·科茨的观点,“一个常被忽视的情况是犯罪组织对信息技术的使用。”时在2015年,黑手党通过电子手段消除了得克萨斯州或内布拉斯加州一家中型银行的所有记录,然后悄悄访问了几家大型金融服务机构的网站,并发布一条简单的信息:“那是我们干的——你可能是下一个目标。我们的愿望是保护你们。” 未来派学者斯蒂芬·斯蒂尔指出:“网络系统„„不单纯是信息,而是网络文化。多层次协调一致的网络袭击将能够同时进行大(国家安全系统)、中(当地电网)、小(汽车发动)规模的破坏。” (2)先进的通信技术正在改变我们的工作与生活方式 电信正在迅速发展,这主要是得益于电子邮件和其他形式的高技术通信。然而,“千禧世代”(1980年-2000年出生的一代——译注)在大部分情况下已不再使用电子邮件,而喜欢采用即时信息和社交网站与同伴联系。这些技术及其他新技术正在建立起几乎与现实世界中完全一样的复杂而广泛的社会。 对信息战和运作的影响:这是使信息战和运作具有其重要性的关键的两三个趋势之一。 破坏或许并不明目张胆,或者易于发现。由于生产系统对客户的直接输入日益开放,这就有可能修改电脑控制的机床的程序,以生产略微不合规格的产品——甚至自行修改规格,这样,产品的差异就永远不会受到注意。如果作这类篡改时有足够的想像力,并且谨慎地选准目标,则可以想象这些产品会顺利通过检查,但肯定通不过战场检验,从而带来不可设想的军事后果。 信息技术与商业管理顾问劳伦斯·沃格尔提醒注意云计算(第三方数据寄存和面向服务的计算)以及Web2.0的使用(社交网及交互性)。他说:“与云计算相关的网络安全影响值得注意,无论是公共的还是私人的云计算。随着更多的公司和政府采用云计算,它们也就更容易受到破坏和网络袭击。这可能导致服务及快速的重要软件应用能力受到破坏。另外,由于Facebook、博客和其他社交网在我们个人生活中广泛使用,政府组织也在寻求与其相关方联络及互动的类似能力。一旦政府允许在其网络上进行交互的和双向的联络,网络袭击的风险将随之大增。” (3)全球经济日益融合 这方面的关键因素包括跨国公司的兴起、民族特性的弱化(比如在欧盟范围之内)、互联网的发展,以及对低工资国家的网上工作外包。 对信息战及运作的影响:互联网、私人网络、虚拟私人网络以及多种其他技术,正在将地球联成一个复杂的“信息空间”。这些近乎无限的联系一旦中断,必然会对公司甚至对国家经济造成严重破坏。但是,这更意味着它们面临受到前所未有的间谍活动和秘密袭击的风险。这是信息战及运作的又一个重要趋势。 (4)研究与发展(R&D)促进全球经济增长的作用日益增强, 美国研发费用总和30年来稳步上升。中国、日本、欧盟和俄罗斯也呈类似趋势。 对信息战及运作的影响:这一趋势促进了近数十年技术进步的速度。这是信息战发展的又一关键因素。 R&D的主要产品不是商品或技术,而是信息。即便是研究成果中最机密的部分一般也是存储在计算机里,通过企业的内联网传输,而且一般是在互联网上传送。这种可获取性为间谍提供了极好的目标——无论是工业间谍,还是军事间谍。这(5)技术变化随着新一代的发明与应用而加速 在发展极快的设计学科,大学生一年级时所学的最新知识到毕业时大多已经过时。设计与销售周期——构想、发明、创新、模仿——在不断缩短。在20世纪40年代,产品周期可持续三四十年。今天,持续三四十周已属罕见。 原因很简单:大约80%过往的科学家、工程师、技师和医生今天仍然活着——在互联网上实时交流意见。 机器智能的发展也将对网络安全产生复杂影响。据知识理论家、未来学派学者布鲁斯·拉杜克说:“知识创造是一个可由人重复的过程,也是完全可由机器或在人机互动系统中重复的过程。”人工知识创造将迎来“奇点”,而非人工智能,或人工基本智能(或者技术进步本身)。人工智能已经可由任何电脑实现,因为情报的定义是储存起来并可重新获取(通过人或计算机)的知识。(人工知识创造)技术最新达到者将推动整个范式转变。 (5)影响网络安全性的因素:目前我国网络安全存在几大隐患:影响网络安全性的因素主要有以下几个方面。 网络结构因素 网络基本拓扑结构有3种:星型、总线型和环型。一个单位在建立自己的内部网之前,各部门可能已建 造了自己

的局域网,所采用的拓扑结构也可能完全不同。在建造内部网时,为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。 网络协议因素 在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时,也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。 地域因素 由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络,而是一个专用网络),网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中的损坏和丢失,也给一些“黑客”造成可乘之机。 用户因素 企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客。” 主机因素 建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。 单位安全政策 实践证明,80%的安全问题是由网络内部引起的,因此,单位对自己内部网的安全性要有高度的重视,必须制订出一套安全管理的规章制度。 人员因素 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。 其他 其他因素如自然灾害等,也是影响网络安全的因素。 (6)、网络安全的关键技术 网络安全性问题关系到未来网络应用的深入发展,它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技 术。 “防火墙”是一种形象的说法,其实它是一种计算机硬件和软件的组合,使互联网与内部网之间建立起 一个安全网关,从而保护内部网免受非法用户的侵入。 能够完成“防火墙”工作的可以是简单的隐蔽路由器,这种“防火墙”如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可以在互联网协议端口级上阻止网间或主机间通信,起到一定的过滤作用。 由于隐蔽

路由器仅仅是对路由器的参数做些修改,因而也有人不把它归入“防火墙”一级的措施。 真正意义的“防火墙”有两类,一类被称为标准“防火墙”;一类叫双家网关。标准”防火墙”系统包括一个Unix工作站,该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;而另一个则联接内部网。标准“防火墙”使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。而双家网关则是对标准“防火墙”的扩充。双家网关又称堡垒主机或应用层网关,它是一个单个的系统,但却能同时完成标准“防火墙”的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间

建立的任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。 随着“防火墙”技术的进步,在双家网关的基础上又演化出两种“防火墙”配置,一种是隐蔽主机网关,另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一种常见的“防火墙”配置。顾名思义,这种配置一方面将路由器进行隐藏,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的”防火墙”当属隐蔽智能网关。所谓隐蔽智能网关是将网关隐藏在公共系统之后,它是互联网用户唯一能见到的系统。所有互联网功能则是经过这个隐藏在公共系统之后的保护软件来进行的。一般来说,这种“防火墙”是最不容易被破坏的。 与“防火墙”配合使用的安全技术还有数据加密技术。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关

注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术4种。 与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码字与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。 这些网络安全和数据保护的防范措施都有一定的限度,并不是越安全就越可靠。因而,看一个内部网是否安全时不仅要考虑其手段,而更重要的是对该网络所采取的各种措施,其中不仅是物理防范,而且还有人员素质等其他“软”因素,进行综合评估,从而得出是否安全的结论。 安全服务 对等实体认证服务 访问控制服务 数据保

密服务 数据完整性服务 数据源点认证服务 禁止否认服务 安全机制 加密机制 数字签名机制 访问控制机制 数据完整性机制 认证机制 信息流填充机制 路由控制机制 公证机制

编辑本段加密方式

链路加密方式

编辑本段协议安全

TCP/IP协议数据流采用明文传输。 源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)。 源路由选择欺骗(Source Routing spoofing)。 路由选择信息协议攻击(RIP Attacks)。 鉴别攻击(Authentication Attacks)。 TCP序列号欺骗(TCP Sequence number spoofing)。 TCP序列号轰炸攻击(TCP SYN Flooding Attack),简称SYN攻击。 易欺骗性(Ease of spoofing)。

编辑本段网络安全现状与发展

随着国民经济对信息网络和系统的依赖性增强,网络安全成为关系经济平稳运行和安全的重要因素。当前,我国重要信息系统和工业控制系统多使用国外的技术和产品,这些技术和产品的漏洞不可控,使网络和系统更易受到攻击,致使敏感信息泄露、系统停运等重大安全事件多发,安全状况堪忧。 据统计,我国芯片、高端元器件、通用协议和标准等80%左右依赖进口,防火墙、加密机等10类信息安全产品65%来自进口,2010年我国集成电路产品进口额为1569 .9亿美元,是最大宗单项进口产品。当前,针对重要信息系统和工业控制系统的网络攻击持续增多,一旦网络攻击发生将可能导致重要信息系统和工业控制系统等瘫痪,给我国经济发展和产业安全等带来严峻挑战。

网络安全[1]

1. 下列描述不正确的是( C )。

A)所有软、硬件都存在不同程度的漏洞

B)扫描器可以帮助系统管理员查找系统漏洞,加强系统安全性

C)网络环境下只需要保证服务器没有病毒,整个系统就可以免遭病毒的破坏

D)NTFS文件系统具有更高的安全性

2、下列哪些是防火墙的重要行为?(B )

A)准许 B)限制 C)日志记录 D)问候访问者

3、最简单的防火墙结构是( B )

A)路由器 B)代理服务器 C)日志工具 D)包过滤器

4、 防范黑客入侵的主要手段有(A)

a法律手段 b.技术手段 c.管理手段 d.强制手段

A abc B acd C bcd D abd

5、 对于入侵检测系统(1DS)来说,如果没有( D ),那么仅仅检测出黑客的入侵毫无意义。

A.应对措施

B.响应手段或措施

C.防范政策

D.响应设备

6、 计算机犯罪的统计数字都表明计算机安全问题主要来源于( C )。

A.黑客攻击

B.计算机病毒侵袭

C.系统内部

D.信息辐射

7.隐私的基本内容应包括以下______方面的内容。D

A.个人生活安宁不受侵扰 B.私人信息保密不被公开 C.个人私事决定自由不受阻碍 D.以上皆是

8、下列关于网络隐私权的相关法律保护,正确的是______。D

A.用户的通信自由和通信秘密受法律保护 B.任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密 C.不得擅自进入未经许可的计算机系统,篡改他人信息,冒用他人名义发出信息,侵犯他人隐私 D.以上皆是

9、下列属于个人隐私权侵犯的是______。D

A.在网络通信过程中,个人的通信极有可能被雇主、ISP公司和黑客截取,以致造成个人隐私权被侵害 B.未经他人同意搜集和使用他人电子邮件,甚至将收集到的电子邮件转买给他人的行为 C.网站在提供服务的同时侵害个人的隐私权 D.以上皆是

10、下列不属于网上隐私权侵犯的是______。D

A.网络用户在申请上网开户时,服务商泄露这些合法获得的用户个人隐私 B.个人在网上的活动踪迹,如IP地址、浏览踪迹,这些信息公诸于众,或提供给他

人使用 C.个人的信用和财产状况被服务商泄露 D.个人电脑内部资料在网络上正常共享

11、所谓______是指利用各种计算机程序及其装置进行犯罪或者将计算机信息作为直接侵害目标的总称。C

A.道德犯罪 B.社会犯罪 C.计算机犯罪 D.网络犯罪

12、网络安全涉及范围包括______。D

A.加密、防黑客 B.防病毒 C.法律政策和管理问题 D.以上皆是

13、网络安全涉及的方面包括______。D

A.政策法规 B.组织管理 C.安全技术 D.以上皆是

14、常用的保密技术包括______。D

A.防侦收(使对手收不到有用的信息) B.防辐射(防止有用信息以各种途径辐射出去) C.信息加密(在密钥的控制下,用加密算法对信息进行加密处理,即使对手得到了加密后的信息也会因没有密钥而无法读懂有用信息) D.以上皆是

15、下列关于数据加密的说法中,不正确的是______。A

A.数据只需在传输时需要保护,在存储时不需保护 B.不管数据形式如何,一旦数据进入不安全的通信信道便容易受到攻击 C.数据加密同时使用加密算法和加密密钥来呈现数据 D.加密密钥是算法中使用的附加变量

16、下列哪个不属于常见的网络安全问题______。D

A.网上的蓄意破坏,如在未经他人许可的情况下篡改他人网页 B.侵犯隐私或机密资料 C.拒绝服务,组织或机构因为有意或无意的外界因素或疏漏,导致无法完成应有的网络服务项目 D.在共享打印机上打印文件

17、网络安全的属性不包括______。D

A.机密性 B.完整性 C.可用性 D.通用性

18、下列关于网络安全机密性的措施,不包括______。D

A.通过所有通信渠道传输时均要求加密 B.在用户手提电脑和工作站中的限制级数据必须保持加密 C.能在指定人员必须了解的情况下才能对其透漏 D.把文件存到指定文件夹中

19、计算机病毒是______。C

A.一种侵犯计算机的细菌 B.一种坏的磁盘区域 C.一种特殊程序 D.一种特殊的计算机

20、用某种方法伪装消息以隐藏它的内容的过程称为______。C

A.数据格式化 B.数据加工 C.数据加密 D.数据解密

21、下列选项中,不属于计算机病毒特征的是______。B

A.传染性 B.免疫性 C.潜伏性 D.破坏性

22、下列关于计算机病毒的说法中错误的是______。D

A.计算机病毒是一个程序或一段可执行代码 B.计算机病毒具有可执行性、破坏性等特点 C.计算机病毒可按其破坏后果分为良性病毒和恶性病毒 D.计算机病毒只攻击可执行文件

23、对单用户计算机来说,计算机安全不包括______。A

A.信息的传输安全 B.物理安全 C.病毒的防护 D.计算机安全操作

24、目前在企业内部网与外部网之间,检查网络传送的数据是否会对网络安全构成威胁的主要设备是______。B

A.路由器 B.防火墙 C.交换机 D.网关

108.在进行病毒清除时,应当______。D

A.先备份重要数据 B.先断开网络 C.及时更新杀毒软件 D.以上都对

25、以下关于计算机病毒说法正确的是______。B

A.发现计算机病毒后,删除磁盘文件是能彻底清除病毒的方法 B.计算机病毒是一种能够给计算机造成一定损害的计算机程序 C.使用只读型光盘不可能使计算机感染病毒 D.计算机病毒具有隐蔽性、传染性、再生性等特性

26、若信息在传输过程被未经授权的人篡改,将会影响到信息的 。B

A.机密性 B.完整性 C.可用性 D.可控性

27、计算机病毒不会破坏______。C

A.存储在软盘中的程序和数据 B.存储在硬盘中的程序和数据 C.存储在CD-ROM光盘中的程序和数据 D.存储在BIOS芯片中的程序

28、关于计算机病毒的叙述,不正确的是______。C

A.危害大 B.传播速度快 C.是特殊的计算机部件 D.具有传染性

29、判断一个计算机程序是否为病毒的最主要依据就是看它是否具有______。A

A.传染性 B.破坏性 C.欺骗性 D.隐蔽性和潜伏性

30、一般来说,计算机病毒的预防分为两种:管理方法上的预防和技术上的预防。下列______手段不属于管理手段预防计算机病毒传染。A

A.采用防病毒软件,预防计算机病毒对系统的入侵 B.系统启动盘专用,并设置写保护,防止病毒侵入 C.尽量不使用来历不明的软盘、U盘、移动硬盘及光盘等 D.经常利用各种检测软件定期对硬盘做相应的检查,发现病毒及时处理

31、计算机可能传染病毒的途径是 。B

A.使用空白新软盘 B.使用来历不明的软盘 C.输入了错误的命令 D.格式化硬盘

32、网络的特殊性决定了网络社会生活中的道德具有不同于现实社会生活中的道德的新的特点与发展趋势。下列特点那个不是网络道德的特点______。C

A.多元性 B.自主性 C.多极性 D.开放性

33、有一种计算机病毒通常寄生在其他文件中,常常通过对编码加密或使用其他技术来隐藏自己,攻击可执行文件。这种计算机病毒被称为 。A

A.文件型病毒 B.引导型病毒 C.脚本病毒 D.宏病毒

34、计算机安全通常包括硬件、______安全。B

A.数据和运行 B.软件和数据 C.软件、数据和操作 D.软件

35、以下四项中,______不属于网络信息安全的防范措施。B

A.身份验证 B.跟踪访问者 C.设置访问权限 D.安装防火墙

36、下列有关计算机病毒的说法中,错误的是______。B

A.游戏软件常常是计算机病毒的载体 B.用杀毒软件将一片软盘杀毒之后,该软盘就没有病毒了 C.尽量做到专机专用或安装正版软件,是预防计算机病毒的有效措施 D.计算机病毒在某些条件下被激活之后,才开始起干扰和破坏作用

37、保护计算机网络免受外部的攻击所采用的常用技术称为______。B

A.网络的容错技术 B.网络的防火墙技术 C.病毒的防治技术 D.网络信息加密技术

38、以下关于计算机病毒的叙述,病毒是______的说法是不正确。C

A.一段程序 B.能够扩散 C.由计算机系统运行混乱造成 D.可以预防和消除

39、以下______软件不是杀毒软件。B

A.瑞星 B.IE C.Norton Anti Virus D.卡巴斯基

40、计算机病毒是一种______。B

A.破坏硬件的机制 B.破坏性的程序 C.微生物“病毒体” D.带有错误的程序

41、下列选项中______不属于网络安全的问题。D

A.拒绝服务 B.黑客恶意访问 C.计算机病毒 D.散布谣言

41、计算机病毒不可以______。C

A.破坏计算机硬件 B.破坏计算机中的数据 C.使用户感染病毒而生病 D.抢占系统资源,影响计算机运行速度

网络安全从我做起

网络安全,从我做起

由中央网信办、教育部、工业和信息化部、公安部、国家新闻出版广电总局、共青团中央等6部门共同举办的2016年国家网络安全宣传周于今日9月19日开始至25日期间举行,主题是“网络安全为人民,网络安全靠人民”。

天津威博旭条码科技有限公司时刻关注国家大事,积极跟进国家各项决策活动。今日晨会期间,公司领导谢小波就网络安全问题对公司全体员工提出要求,要认真学习并贯彻落实习近平总书记的国家网络宣传观,遵循国家网络安全有关法律法规和政策标准,做有高度安全意识、有文明网络素养、有守法行为习惯、有必备的防护技能的“四有好网民”。从个人做起,做到不信谣不传谣,努力推进网络安全建设、营造良好的网络环境、真正做到“网络安全为人民,网络安全靠人民”。

在互联网和物联网遍及各个领域的今天,条码打印机、二维码和RFID芯片在商品流通、食品药品安全追溯、交通、城市管理、智能交通等各方面都有着广泛应用,自动识别技术从源头开始贯穿着流通各环节最终到达终端,它确保着相关信息的准确性,以“一物一码”的基本原则来确保产品以及信息的真实性,从而提供安全的网络和实物。

营造良好的安全的网络环境不仅仅需要国家建立健全的体制机制和相关法律法规、完善监管措施,也需要大家积极参与、落实并宣传,为网络安全做出自己该做的和能做的事情。

网络安全,从我做起。

IPv6与网络安全

IPv6与网络安全

北京邮电大学,信息网络中心 赵晓宇 zhxy@bupt.edu.cn zhaoxy@buptnet.edu.cn

提纲

IPv6协议 IPv6地址分配情况 中国下一代互联网计划 (CNGI) 下一代互联网可能面临的安全问题与对策 IPv6安全问题探讨 北邮网络中心介绍

在IPv6领域所作的工作 在IPv6网络安全领域所作的工作

IPv6协议

IPv6的设计思想

简化的报文头部 减少通用报文处理消耗 增大地址空间的前提下尽量避免降低带宽利 用率 灵活可扩展的选项支持(扩展报头) 对64位计算的支持

IPv6的特点

128位的地址空间 对数据包头进行了简化 对安全传输的内在支持 流标签提供更多的服务质量控制能力 支持移动IPv6 层次化的路由结构 自动配置、即插即用 ...

IPv6 包头 – 与 IPv4的比较

bit 0 Version IHL 8 16 Service Type Flags 24 Total Length Fragment Offset Header Checksum 31 bit 0 Version 4 Class 12 16 Flow Label Next Header Hop Limit 24 31

Identifier Time to Live Protocol

Payload Length

32 bit Source Address 128 bit Source Address 32 bit Destination Address Options and Padding

IPv4 Header

20 octets, 12 fields, including 3 flag bits + fixed max number of options

Changed Removed

128 bit Destination Address

IPv6 Header

40 octets, 8 fields + Unlimited Chained Extension (options) Header

IPv6 扩展包头

IP options have been moved to a set of optional Extension Headers Extension Headers are chained together

IPv6 Header TCP Header

Next = TCP

Application Data

IPv6 Header Fragment Hdr Security Hdr

Next = Frag Next = Security Next = TCP

TCP Header

Data Frag

IPv6 要求实现安全性

Security features are standardized and mandated

All implementations must offer them

Extensions to the IP protocol suite (RFC 2401)

Authentication (Packet signing) Encryption (Data Confidentiality)

Operates at the IP layer

Invisible to applications

Protects all upper layer protocols Protects both end-to-end and router-torouter (“secure gateway”)

IP地址分配情况

当前IPv4地址分配情况

219.0.0.0 has been allocated 223.0.0.0 is the upper bound of IPv4 Class C address. New technologies

drive the demand increasing drive save the consumption

IPv6 在亚洲地区2004年的分配

TW, 15 CN, 12 KR, 30 AU, 6 SG, 5 HK, 3 MY, 5 PG, 1 TH, 5 IN, 4 PH, 2 ID, 4 NZ, 2 VN, 1 JP, 69

中国下一代互联网 CNGI

CNGI的基本情况 CNGI/CERNET2的基本情况 CERNET2在北邮的基本设施 CNGI的研究项目

CNGI总体目标

由国家统一部署和支持,抓住时机,在改进和提高 现有网络和大力推广应用的同时,实施中国下一代 互联网示范工程,攻克下一代互联网及其重大应用 的关键技术,实现下一代互联网的产业化。 在2010年,建成全球最大规模的下一代互联网络, 在下一代互联网络标准、技术和产业上占有重要地 位,增强我国的综合国力和可持续发展能力,推动 我国的信息化建

设,实现国民经济和社会进步的跨 越式发展

CNGI的基本情况

国家发展与改革委员会发起 8部委支持 工程院主持 CERNET和各主要运营商参加 研究IPv6等下一代互联网技术 组建我国的下一代互联网基础设施 实现与国际下一代学术互联网连接 攻克关键技术,开发重大应用,初步实现产业化

近期目标和中远期目标

近期目标(2002-2005)

在改进和提高现有的网络和大力推广应用的同时,建成下 一代互联网示范工程,推动下一代互联网的科学技术进步 攻克下一代互联网的关键技术,开发重大应用,初步实现 产业化

中远期目标(2006-2010)

建成全球最大规模的下一代互联网络,大力推广下一代互 联网的重大应用 形成中国下一代互联网产业,在世界上占有重要地位,提 高我国综合国力和可持续发展能力

CNGI/CERNET2的基本拓扑

国际下一代互 联网 国际交换中心1 核心网 国际交换中心2

GigaPoP 主干网1 GigaPoP GigaPoP 城域 网 接入网/CPN GigaPoP 主干网2 GigaPoP GigaPoP

GigaPoP 主干网N GigaPoP GigaPoP 城域 网 接入网/CPN 接入网/CPN 接入网/CPN

接入网/CPN

参加CNGI/CERNET2主干网建设的大学

清华大学 北京大学 北京邮电大学 北京航空航天 大学 上海交通大学 复旦大学 同济大学 东南大学 华中科技大学 西安交通大学 华南理工大学 天津大学 电子科技大学 浙江大学 南京大学 中山大学 武汉大学 吉林大学 哈尔滨工业大 学 国防科技大学 北京科技大学 中南大学 大连理工大学 山东大学 郑州大学

中国科学技术大学 北京理工大学 东北大学 厦门大学 重庆大学 兰州大学 南开大学 中国政法大学 中国地质大学 西北农林科技大学

截至2004年12月25日,已有近百所大学实现不同方式的对CERNET2的接入。

CERNET2在北邮的部署

北邮是CERNET2的一个主节点 北邮主节点已用IPv6连接了包括北邮在内的近十 个院校 北邮主节点对主干的接入速度目前是千兆以太网 北邮已得到的IPv6地址空间为:

2001:250:204::1/32

校主页已开通IPv4和IPv6双栈的服务, www.bupt6.edu.cn 教三楼已于2004年实现了利用隧道的IPv6接入 2005年校园网主干设备到位后可开通主要教学楼 的IPv6接入

IPv6安全问题

目前基于IPv4的互联网面临着

地址紧缺 服务质量不能保证 安全可靠差 对即插即用支持不够 可信度差

下一代互联网的挑战

任何人

不同年龄的人们使用Internet来学习、工作和娱乐

任何时间

设备“永远在线” ,服务随时提供

任何地点

利用有线和无线通信技术在全球各个地方和角落提供网 络连接服务

任何设备

内置计算机和控制器的各类设备 各类设备均配置IPv6地址实现连接

可信赖的网络

希望下一代互联网提供的特性

有线和

无线高速网络传输 高性能计算 有质量保证的服务 网络安全保障和使用者身份确认 网格等中间件设施 各种丰富功能的软件应用系统 …

公众对IPv6安全特性的预期

从协议本身看:IPv6比IPv4更安全 从网络体系结构看:没有重大变化 从工程设计看:设计时会更关注安全 从网络设备看:过渡期会更复杂 从操作系统看:漏洞应该越来越少 从信息保护看:加密密钥可加长 但是,期望不等于现实!

下一代网络中的安全问题与对策

技术层面 管理层面

技术层面

基础设施中的安全问题

下一代有线、无线、卫星传输网络的设计规划与工程 量子通信网络

下一代网络设备 下一代操作系统 新一代协议 下一代应用系统 下一代终端设备 与生物、材料等其它高技术的结合产生的问题与对 策

基础设施中的安全问题

下一代传输网络的设计规划与工程

光传输网:冗余、可靠路由、抗毁性 无线:抗窃听、高速率、抗假冒 卫星:大容量、可靠认证、抗攻击 设计和施工中安全问题

量子通信网络

强保密特性 已接近实用阶段,工业发达国家今年已在政府网 络中有部署

无线局域网的安全问题

无线局域网将在下一代互联网中得到大规模 应用,也将引入新的安全问题 IEEE802.b/a/g/n 已知漏洞:

DSSS协议存在严重安全漏洞 CCA (clear channelassessment)流程漏洞 Gigabyte Gn-B46B无线路由器验证绕过漏洞 NAT实现设计缺陷漏洞 多家厂商802.11协议实现远程拒绝服务漏洞

5月发现的DSSS协议安全漏洞

据设在昆士兰大学的“澳大利亚计算机紧急响应 中心” 5月一项研究报告称,实验表明802.11 DSSS协议存在严重安全漏洞。黑客虽然无法利 用该漏洞截获或修改无线网络信息,但可以利 用该漏洞通过PDA设备来中断企业的整个无线 网络连接。

CCA (clear channel assessment) 流程漏洞

攻击所使用的是阻绝服务的方法 支持802.11、802.11b和低速802.11g标 准的设备都可能受到影响,但802.11a和高 速802.11g等20mbps以上的设备,则不会 受到影响

新一代计算机受攻击的特点

计算机病毒利用网络传播成为主要趋势 利用系统和协议漏洞,进入系统并结合后门 程序驻留在系统内,使计算机成为潜伏的黑 客程序的受害者 后门程序潜伏在多种共享软件内成为潜伏的 黑客程序 受害计算机可随时被黑客控制,并。。。 移动终端也将会面临同样问题

第一个攻击Windows移动操作系统的木马已经出现

涉及网络安全的新一代协议

下一代互联网的网络层协议 IPv6 SecDNS Mobile IPv6 MSec SecSh SMIME Stime Tls …

待研究课题

可信任的互联网安全体系结构 大容量、分布式身份识别和认证技术 信息识别、分类及处理技术 网络与信息安全风险评估

数据备份及网络容灾 大容量垃圾电子邮件的过滤 互联网安全事件应急响应及案例 大规模安全事件处理机制 新型计算机病毒的检测与防治技术 恶意代码和恶意移动代码的检测和防范 漏洞扫描 网络与信息安全标准 网络安全工程化方法

管理层面

法律法规、行政条例 培训与教育 政策导向 网络安全管理组织的建立和完善 财政支持

IPv6 security analyze and compare to IPv4

IPv6 Security

All implementations required to support authentication and encryption headers (AH and ESP of IPsec) Authentication separate from encryption for use in situations where encryption is prohibited or prohibitively expensive Key distribution protocols are under development (independent of IP v4/v6) Support for manual key configuration required

Is IPv6 more secure?

The basic mechanisms for data transporting stay mostly unchanged Upper-Layer protocols are mostly unchanged IPSec is mandatory implemented, but not mandatory deployed, and is NOT guarantee to be deployed well enough Most attacks are on the application level, not IP level The Internet will be a dual-stack network for a long time

IPSec?

Though IPSec is mandatory in IPv6, the same issues remain from IPv4

Configuration Complexity Key Management Many stack do NOT implemented IPSec support IPv6 will be deployed largely without cryptographic protections of any kind

Security in IPv6 is a much broader topic than just IPSec

Attacks compare to IPv4

The following nine attacks have substantial differences when moved to an IPv6 world. In some cases the attacks are easier, in some cases more difficult, and in others only the method changes. Reconnaissance (scan) Unauthorized access Header manipulation and fragmentation Layer 3 and Layer 4 spoofing Address Resolution Protocol (ARP) and Dynamic Host Configuration Protocol (DHCP) attacks Broadcast amplification attacks (smurf) Routing attacks Viruses and worms Transition, translation, and tunneling mechanisms

1. Reconnaissance

Reconnaissance is generally the first attack to learn more about the target network In IPv4

Ping sweeps: whois lookups, educated guesses, ping, traceroute, firewalk, etc. Port scan: L4 ports scan to find reachable services Application & vulnerability scan: To determine the OS, OS and application version, well-known vulnerabilities, by using tools such as NMap

Reconnaissance (cont.)

In IPv6

Large address space is difficult to scan theoretically, but the adversary can use many ways to ease the scan …

ND cache in weak-secured routers Packet capture DNS will be a key point (each host has a dynamic name in DNS) EUI-64 format with popular vendors bits Administrators may adopt easy to remember address such as ::1, ::10, ::IPv4, etc All Routers All NTP servers All DHCP servers

Some scan are more easier to execute because of the new IPv6 multicast addresses

Maybe worms will have a much more difficult time propagating?

Anti-reconnaissance

Filt

er internal-use IPv6 addresses at organization border routers Use standard, but non-obvious static addresses for critical systems Filter unneeded services at the firewall Selectively filter ICMP Maintain host and application security

2. Unauthorized Access

In IPv4

Access Control List / Firewall In Layer 3 and/or Layer 4, using {SA, SP, DA, DP, Proto} and IPv4 header fields

In IPv6

Multi-homing Extension Headers Every host must process routing header IPSec: ESP will prevent L4 inspection More consideration should be given in ICMPv6, Multicast and Anycast

Anti-Unauthorized Access

Determine what extension headers will be allowed through the access control device Determine which ICMPv6 messages are required Adopting a “real” IPv6-enabled Firewall / ACL System

Not only “support” IPv6, but support the features of IPv6

3. Header Manipulation and Fragmentation

Fragmentation is mainly used to evade security system such as NIDS or stateful firewall Fragmentation and other headers are also used to attack directely In IPv4

In IPv6

Fragmentation and over-lapping fragmentation is a common case L4 information can be found in the first fragment Only end-to-end fragmentation is valid, over-lapping fragmentation can be considered as an attack IPv6 minimal MTU is 1280 bytes, fragments less than 1280 will be invalid except the last one L4 information may NOT be included in the first fragment (because many ext-headers can exist in the first fragment), firewalls must do reassembly to examine L4 information

Anti- Header Manipulation and Fragmentation

Deny IPv6 fragments destined to an internetworking device when possible Ensure adequate IPv6 fragmentation filtering capabilities Drop all fragments with less than 1280 octets (except the last one)

4. L3 and L4 spoofing

Source IP/Port spoofing are popular, and will make DoS, spam, and worm or virus attacks more difficult to track down In IPv6 The address is aggregate-able and well architectural, so an ISP can verify the spoofing of its customers In the transition stage, tunnels can also spoofing the address Anti-spoofing in IPv6 ISP can verify its customers The best way is to adopt cryptographic protections where critical

Using 6to4 via a relay router to inject information will be very difficult to track down and is equal to spoofing

5. ARP and DHCP attacks

In IPv4

ARP and DHCP message can be spoofed

In IPv6

ND, RS, RA can be spoofed too! No standardized solutions exist

Anti-attacks

Use static neighbor entries for critical systems

6. Broadcast Amplification Attacks (smurf)

Send an ICMP echo to a broadcast address using the victim’s address as source The victim will surfer DoS attack (Too many ICMPresponse received) In IPv6: RFC 2463 [24] states that an ICMPv6 message should not be generated as a response to a packet with an IPv6 multicast destination address, a link-layer multicast address, or a link-layer broadcast address (RFC 2463 section 2.2). If end nodes are compliant to RFC 2463, then sm

urf and other amplification attacks used against IPv4 are not an issue in IPv6 networks. Anti-smurf Implement ingress filtering of packets with IPv6 multicast source addresses

7. Routing attacks

In IPv4

Most routing protocols have their own authentication and encryption mechanisms

In IPv6

BGP4+ and IS-IS6 using the traditional mechanisms OSPFv3 and RIPng using IPSec (AH and ESP)

Routing attacks will not be serious

8. Virus and worms

A traditional virus in no way changes with IPv6. viruses and worms that use some form of Internet scanning to find vulnerable hosts may experience significant barriers to propagation in IPv6 due to the large address space Virus and worms detection system remain important in IPv6

9. Translation, Transition, and Tunneling Mechanisms

3 categories Dual stack Tunneling Translation There will be a very very complex situation during the transition period, and will surfer many kinds of attacks! Suggestions Use dual stack as your preferred IPv6 migration choice Use static tunneling rather than dynamic tunneling Implement outbound filtering on firewall devices to allow only authorized tunneling endpoints

Conclusion

Attacks with Strong IPv4 and IPv6 Similarities Sniffing Application layer attacks Rogue devices Man-in-the-middle attacks Flooding IPsec is not the answer to every IPv6 security issues A new protocol brings new security issues with it Mobile IPv6 brings also many security challenges with it Work in progress

BUPTNIC: IPv6 Activities

IPv6 R&D Network

North China Main Node of CERNET Main node (1 of 6) of NSFCNet Member of CERNET IPv6 Testbed Member of CJ-IPv6 network Member of CNGI Network

IPv6 Services

WWW (Apache) DNS (BIND) TV-Live and VOD Access Service

Windows 2003 Media Service

BBS and Forum Email (QMail)

Tunnel (Manually) Routing (Quagga)

Interested Research Area

Network management IPv4 to IPv6 transition Mobile IPv6 Embeded system Security issues Applications based on IPv6

Recent R&D Works

China 973 Funded Research China 863 Funded Research

Research on Service Modal and Service Management of the Next Generation Internet IPv6 Network Management Key Technologies in Mobile IPv6 Security issues in IPv6 Network

NISAC of MII Funded Research

CJ-IPv6 Project Funded Research Ministry of Education of China

Key technologies in Mobile IPv6 on WLAN Implementation of NTP system for CERNET

Ministry of Science and Technologies of China

High speed information pilot network of China

Recent R&D Works

Cisco Funded Research

The Joint of Mobile IPv6 & NAT-PT Research on DISMAN

KDDI Funded Research

QoS issues in Large IPv6 Networks Dynamic DNS administration in IPv6 Networks

CMCC Funded Research

Internet Transition IPv6 Strategies The combination of Mobile Communication and IPv6 New business modal utilizing IPv6

BUPTNIC: Research on IPv6 Security

同时支持IPv4和IPv6 单节点性能

处理能力超过 300 Mbps 处理迟延小于 5 ms 在节点最大负载下 捕获率达到 100% 识别率达到 90

% 阻断率达到 90% 在节点50%负载下 捕获率达到 100% 识别率达到 100% 阻断率超过 95%

IPv6旁路阻断

IPv6入侵检测系统研究

研究目标:研究IPv6环境下的入侵检测技术。 主要研究内容

基于IPv6漏洞攻击事件的特征和行为研究 IPv6环境下快速捕包和高速地址匹配技术研究 基于IPv6的定位技术研究 流量特征分析技术研究

技术难点

高速网络下数据包完全无遗漏地捕捉 高速、高识别率的包分析算法(协议分析 仪) IPv6特有攻击特性的研究 支持IPv6的动态阻断方法的研究 支持IPv6的快速定位技术研究 图形界面远程控制程序(管理员管理系 统)和支持IPv6地址的告警数据库系统

实际的开发网络环境

DLINK千兆交换机 IP:10.1.1.1

1 2 3 4 5 6 网关:210.25.137.241 2001:250:f004:501::1

路由器

(1)IDS服务器

监听网卡eth0:210.25.137.242 2001:250:f004:501::d219:89f2

(2)备份服务器

100M网卡eth0:210.25.137.243 2001:250:f004:501::d219:89f5

(3)测试服务器

网卡eth0:210.25.137.246 2001:250:f004:501::d219:89f7

阻断网卡eth1:210.25.132.243 2001:250:f004:501::d219:89f4

网卡eth1:210.25.137.245 2001:250:f004:501::d219:89f6

测试情况

在满负载情况(加载2000多条规则和打开所有监控模块)下

入侵检测系统性能可以达到700Mbps,捕获率达到100%,入侵漏报率 < 5%,误报率 < 8% 在网络流量200kpps的情况下,系统CPU 使用率<95%,内存使用率 <50%

使用多种攻击工具,无一漏报误报

IPv6分片攻击,6 IN 4隧道攻击,4 IN 6隧道攻击,IPv6 ND欺骗攻 击,IPv6 PMTU欺骗,IPv6 扩展包攻击,IPv6/IPv4 Nmap扫描, IPv6/IPv4 Land攻击,synflood攻击等

性能极限测试

使用SMARTBIT产生最小包长(IPv4 64Byte, IPv6 80Byte)的 IPv6/IPv4混合100M背景流 100次攻击无一漏报和误报,捕获率100% 系统CPU使用率<80%

Resource FYI

一些安全管理小软件

NMAP(http://www.insecure.org) open source port scanner with limited (TCP SYN) support HalfScan6(http://www.habets.pp.se/synscan/programs.php?prog=halfscan 6) open source port scanner Strobe(http://www.tuxfinder.com/packages/?defaultname=strobe&nodesc =1) open source port scanner Snort(http://www.snort.org) open source IDS with limited IPv6 support ISS RealSecure 7.0 and Proventia(http://www.iss.net) commercial IDS with IPv6 support NFR Sentivist 4.0(http://www.nfr.com) commercial IDS with IPv6 support Ethereal (http://www.ethereal.com) open source packet sniffer with full IPv6 support NetCat6 (http://netcat6.sourceforge.net) simple Unix utility that reads and writes data across IPv6 or IPv4 network connections designed to be a reliable with IPv6 support that have roughly the same functionality, including Solaris Snoop, COLD, Analyzer, WinDump, WinPCAP, NetPeek, and SnifferPro.) SendIP (http://www.earth.li/projectpurple/progs/sendip.html) open source command line tool for sending arbitrary IP packets with full IPv6 support Provided by NAv6TF

国内网络紧急事件处理组织

中国教育和科研网紧急响应组(CCERT) 国家计算机网络应急技术处理协调中心 (CNCERT)

http://www.cncert.gov.cn/ http://www.ccert.edu.cn/

国家计算机病毒应急处理中心

http://www.antivirus-china.org.cn/

国家计算机网络入侵防范中心

http://www.nipc.org.cn/

国家反计算机入侵及防病毒研究中心

http://www.aiav.com.cn/

谢谢 !

网络安全chapter0-2

网络与信息安全概论

课程说明

(Version March 2, 2014)

Xiao Mingzhong

Email: bnunis2014@163.com

网络与信息安全给予我们什么?

 通信安全

 偷听和保密

• 分组网络的存储-转发

 假冒和抵赖

 无纸化支持

 办公和电子商务活动  签章、支付安全和抵赖问题  数字签名

 系统安全

 漏洞、病毒等问题

Cryptography and Network Security

课程目的与要求

通过本课程的学习,使学生了解网络与

信息的各种不安全因素,掌握网络与信息安

全的基本原理、技术、方案及一些最新研究 成果;掌握常见的网络攻击技术以及保证网 络安全的各种方法和技术;能够使用、构建 和部署安全产品和系统。

Cryptography and Network Security

课程内容及要点

 密码学基础:经典密码、对称密码、非对称

密码、密钥管理技术

 认证理论与技术:散列算法(Hash)、数字

签名、身份鉴别和访问控制

 网络安全:电子邮件的安全、IP的安全*、

Web的安全、攻击与入侵检测、防火墙技术

Cryptography and Network Security

实验内容及要求

序号 1 2 3 实验名称 内容提要 实现一个加密、 加密解密算法编程实现.提交可执行 解密算法 代码、源代码及相关注解性文档 网络监听工具的 监听网络中的数据包,分析网络性 使用 能和故障等.提交实验报告.

网络安全产品的 如:Kerberos,PGP等.要求讲清楚原 使用 理及实践过程. 注:1、2013年5月31日之前提交到bnunis2014@163.com 2、邮件主题:[学号+姓名+实验X] 2、结合自身实际,拟定实验具体内容。

Cryptography and Network Security

教材及参考材料

William Stallings, Cryptography and Network Security: Principles and Practice, 5ED.

孟庆树等, 密码编码学与网络安全:原理与实践,第4版.电子工业出版社.

Bruce Schneier, Applied Cryptography: protocol, algorithms, and source code in C, 2ED.

吴世忠等, 应用密码学(协议、算法与C源程序), 第2版,机械工业出版社. Alfred J. Menezes, Handbook of Applied Cryptography. 胡磊, 应用密码学手册, 电子工业出版社. Charlie Kaufman, 网络安全-公共世界中的秘密通信, 电子工业出版社, 2004年.

   

杨波, 网络安全理论与应用, 电子工业出版社, 2002年.

刘海燕, 计算机网络安全原理与实现, 2008.

Cryptography and Network Security

教学安排及考核

 课堂讲授计划(共11周,周六9:00am-11:35am,7教303)

     1~ 3,6~7: 4次 9~13: 2次 14~20: 4次 第3周、第6周、第10周各停课1次。 第14周,5月31日考试。

 课程资源

 考勤(20%)+笔试(40%)+作业(40%)

 考察重点:基本概念与原理的理解及应用  个人对待全勤及平时作业按时完成的态度(~60%)

Cryptography and Network Security

 http://net.bnu.edu.cn

络与信息安全概论

第1章 引言

(Version March 2, 2014)

Xiao Mingzhong

Email: bnunis2014@163.com

Outline

 1.1

安全趋势  1.2 OSI安全框架  1.3 安全攻击  1.4 安全服务  1.5 安全机制  1.6 网络安全模型  1.7小结及习题

Cryptography and Network Security

信息安全

 信息安全

 曾经以物理安全和行政管理为主要手段  面临的新状况:网络无国界

 计算机安全  网络安全

 Internet安全

Cryptography and Network Security

几个安全问题

 概括和举例

(1)网络窃听导致泄密 (2)篡改 (3)假冒 (4)后门程序 (5)抵赖

 黑客

 to be hacker, or cracker?  黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。

Cryptography and Network Security

安全趋势

互联网体系结构委员会(IAB)

 Security in the Internet Architecture (1994, RFC1636)  主要内容:

• 确保网络基础设施免受非授权监视 • 确保网络信息流免受非授权的控制 • 运用认证和加密机制确保E2E的信息流安全

 CERT的报告证实了这些关注是合理的

CERT (Computer Emergency Response Team)

 http://www.cert.org/  http://www.cert.org.cn/

Cryptography and Network Security

CERT报告---安全弱点和报告事件统计

指联网机器使用的OS,Router 及其他网络设备的弱点

事件有:拒绝服务攻击、IP欺骗、 窃听和包嗅探。 Cryptography and Network Security

安全趋势

攻击复杂化,而发动攻击要求的技能与知识在下降  攻击越来越自动化且危害更大

攻击复杂化

结论:Internet应用持续增长;设计者应关注基于Internet的协议、 OS和应用的弱点,使用实现保密性和认证的密码编码算法。

Cryptography and Network Security

OSI安全框架

安全框架:以某种系统化的方法,定义安全要求 及满足这些要求的措施。  X.800 (ITU-T,OSI安全框架)

 Security Architecture for Open Systems Interconnection for CCITT Applications  Recommendation X.800 and ISO 7498-2 are technically aligned  GB 9387-2等同

 Information processing systems – Open systems interconnection – Basic Reference  Model – Part 2: Security architecture  GB/T 9387.2—1995

Cryptography and Network Security

ISO 7498-2

X.800主要内容

 安全攻击

 任何危及信息系统安全的活动

 安全机制

 用来检测、阻止攻击或者从攻击状态恢复到正常状态 的过程(方法集),或实现该过程的设备。

 安全服务

 加强数据处理系统和信息传输的安全性的一种处理过 程或通信服务。  目的在于利用一种或多种安全机制进行反攻击。

Cryptography and Network Security

安全攻击

 分两类  被动攻击

 试图了解或利用系统的信息但不影响系统资源

 主动攻击

 试图改变系统资源或影响系统运

Cryptography and Network Security

被动攻击

分类 1、对传输中的明文进行 窃听,导致信息泄露

2、流量分析(针对密文)

 tcpdump/ windump/ snort/ NetXRay/ SnifferPro  可以得到消息模式信息。 如:通信主机的身份、位 置,传输消息的频度、长 度等。可用于判断通信的 性质等。

难于检测(不修改消息), 重在预防(加密手段)

Cryptography and Network Security

主动攻击

对数据流进行修改或伪造数据流:重放、伪装/假冒、篡改、拒绝服务

使服务器或网络 失效、性能降低

难于预防(通信系统弱点多),重在检测 Cryptography and Network Security

安全服务

X.800 定义安全服务为协议层提供的服务,以保证 系统或数据传输有足够安全性,是一种安全的数据 处理或通信过程。安全服务通过安全机制来实现其 安全策略。  服务分类(5个大类14个特定服务)

     认证 访问控制 数据保密 数据完整性 不可否认性 (保证通信双方的真实性) (你能干什么,授权) (防止传输数据遭被动攻击,加密:明文变密文) (不求保密但求发现篡改假冒) (防止否认收到或发出消息抵赖)

系统可用性:和各种安全服务(比如访问控制服务)相关的性质。依 赖于对系统资源的恰当管理和控制。

Cryptography and Network Security

x.800定义的14个特定服务(P11*)

认证

 对等实体认证:防伪装及重放  数据源认证:只对数据的来源提供确认,不管数据是否复制或修改

访问控制

 实体必须被识别或认证后,方可获得相应的存取权限

保密性

    连接保密性:消息流保密 无连接保密:单条消息保密 选择域保密:消息的选定部分保密 流量保密:防止流量分析

数据完整性  不可否认性

 发送和接收

Cryptography and Network Security

安全机制

 对于安全服务来说,是工具,是手段。  两类机制

(1)可以并入适当的协议层以提供一些安全 服务,不具有普适性,称为特定安全机制。 (2)不局限于任何协议层或安全服务的机制, 具有普适性。  对于加密机制来讲

 可逆加密机制:数据可以加密和解密。  不可逆加密机制:hash,MAC等。

Cryptography and Network Security

x.800安全机制(P13*)

特定安全机制(可以并入 适当的协议层以提供一些 OSI安全服务)  加密、数字签名  访问控制  数据完整性  认证交换、流量填充  路由控制、公证 普遍的安全机制(不局限 于任何OSI安全服务或协 议层次的机制)  可信功能、安全标签  事件检测、安全审计  安全恢复

Cryptography and Network Security

安全服务与安全机制的关系(P13*)

Cryptography and

Network Security

小结:课程将涉及的知识内容

系统安全

 病毒、木马、漏洞、黑客、攻击等  防火墙、信息过滤和入侵监测等

网络传输安全

 加密防信息泄密  鉴别和认证:消息来源、身份核认、防抵赖等  完整性

 

密码编码学

 加密算法、鉴别和签名算法、安全协议等

安全系统

 互操作、部署、运行、监控等

Cryptography and Network Security

安全的对等实体通信模型

 

信息通道、安全变换(加密等)和共享秘密(密钥等) 安全传输,还需要可信的第三方。 相关知识涉及本书第1-3部分。 该模型也表明了设计安全服务应包含的内容

 安全变换算法,秘密信息生成、分配及共享的方法,安全通信协议 Cryptography and Network Security

服务系统(网络访问)安全模型

 

有害访问两种表现形式 对应的机制 (1)黑客 (1)门卫,如基于口令的登录过程 (2)病毒等恶意代码 (2)监控程序,如:检测和拒绝攻击 一旦非法用户或软件获得了访问权,各种内部控制程序就监视其活动、 分析存储的信息,以便检测非法入侵者。 相关知识本书第4部分

Cryptography and Network Security

小结及习题

小结  OSI安全框架系统定义了安全攻击、安全机制、安全服务及其间 关系。  安全攻击分主动(如:对消息或文件的修改和拒绝服务)和被动 (如:非授权阅读消息、文件及流量分析)两种类型  安全机制是处理实体,用来检测、阻止攻击或恢复正常的工具。 如:加密算法、数字签名和认证协议  安全服务包括认证、访问控制、数据保密性、数据完整性、不可 否认性及可用性 关键术语  访问控制、拒绝服务、被动威胁、主动威胁、加密、重放、认证、 完整性、安全攻击、真实性、入侵者、安全机制、可用性、伪装、 安全服务、数据保密性、不可否认性、流量分析、数据完整性、 OSI安全框架 Homework  思考题1.1~1.5,习题1.1~1.2;下次课前提交至: bnunis2014@163.com, 附件名称:Ch01学号名字.Doc

Cryptography and Network Security

附1:思考题解答(1/2)

1.1The OSI Security Architecture is a framework that provides a systematic way of defining the requirements for security and characterizing the approaches to satisfying those requirements. The document defines security attacks, mechanisms, and services, and the relationships among these categories. 1.2Passive attacks have to do with eavesdropping on, or monitoring, transmissions. Electronic mail, file transfers, and client/server exchanges are examples of transmissions that can be monitored. Active attacks include the modification of transmitted data and attempts to gain unauthorized access to computer systems. 1.3Passive attacks: rel

ease of message contents and traffic analysis. Active attacks: masquerade, replay, modification of messages, and denial of service. 1.5See Table 1.3.

Cryptography and Network Security

附1:思考题解答(2/2)

1.4Authentication: The assurance that the communicating entity is the one that it claims to be. Access control: The prevention of unauthorized use of a resource (i.e., this service controls who can have access to a resource, under what conditions access can occur, and what those accessing the resource are allowed to do). Data confidentiality: The protection of data from unauthorized disclosure. Data integrity: The assurance that data received are exactly as sent by an authorized entity (i.e., contain no modification, insertion, deletion, or replay). Nonrepudiation: Provides protection against denial by one of the entities involved in a communication of having participated in all or part of the communication. Availability service: The property of a system or a system resource being accessible and usable upon demand by an authorized system entity, according to performance specifications for the system (i.e., a system is available if it provides services according to the system design whenever users request them).

Cryptography and Network Security

附2:习题解答(1/2)

1.1 Release of messa ge conten ts Traffic analys is Masquerade Replay Modification of messages Denial of servi ce

Peer entity authentication

Data origin authentication

Y

Y

Access control

Confidentiality Traffic flow confidentiality Data integrity Non-repudiation Availability Y Y

Y

Y Y

Y

Cryptography and Network Security

Y

附2:习题解答(2/2)

1.2 Release of message contents

Y Y Y Y

Traffic analysis

Masquerade

Replay

Modification of messages

Denial of service

Encipherment Digital signature

Access control

Data integrity Authentication exchange

Y

Y

Y

Y

Y Y

Y

Y

Y

Y

Y

Traffic padding

Routing control Notarization Y

Y

Y Y Y Y Y

Cryptography and Network Security

Part1:对称密码学原理、算法及应用

 加密

 传统(或对称)加密和公钥(或非对称)加密

 对称密码学(加密、解密、密码分析)

    传统对称加密技术 现代对称密码学原理及DES加密技术 AES、椭圆曲线密码、三重DES和RC4* 使用对称密码(机制)获得保密性(服务)问题

• 密码算法、E2E的信息流加密技术、链路加密技术、密钥分 发技术、随机数发生器等。

Cryptography and Network Security

网络与信息安全概论

第2章 传统加密技术

(Version March 2, 2013)

Xiao Mingzhong

Email: bnunis2014@163.com

Outline

2.1 对称密码的模型  2.2 基于代换(替代)的加密技术

 恺撒密码、单表替代密码、Playfair密码  Hill密码、多表密码、一次一密

2.3  2.4  2.5  2.6

基于置换(顺序)的加密技术 转轮机 隐写术 小结及习题

Cryptography and Network Security

密码学简史

在密

码学的发展进程中,有一条原则就是秘而不宣。虽然历 史上早就有密码学应用的痕迹,但是一战刺激了其需求,而 在二战中得到了充分发展和应用,并极大的影响了战争进程。 1949年,Shannon关于保密系统通信理论的发表,奠定了密 码学在公开领域研究的基础。然后是广泛商业应用的DES标 准。

1975年,Hellman和Diffie提出了公密算法方向,这是现代 密码学的里程碑。随后响应这一思路而提出的RSA算法,至 今仍是当今网络安全的基石。 此后,随着互联网络的发展,开创了密码学应用的新领域。

Cryptography and Network Security

对称加密/解密一句话

Alice加密

E(P, K)= C

Bob解密

D(C,K) = P

P:明文,原始消息 C:密文,加密后的消息

1、函数公开,且一般D=E 2、K只有A、B知道 加密、解密及破译的技术统称密码学

Cryptography and Network Security

一个简单却安全的算法

 One-time

Pad

1、D = E = XOR 2、K是真随机的,且和P等长

Cryptography and Network Security

Communication Theory of Secrecy systems

I 理论安全性

 只有当密钥和明文一样长时才能完全保密 即one time pad

II 计算安全性

 理论上并不完美,但在实践中难以攻破

• 破译代价高出密文信息的价值 • 破译的时间超出密文信息的有效生命期

 Diffusion 扩散

• 把明文重新排列分散

Transposition 置换 Substitution 替代

Cryptography and Network Security

 Confusion 混乱

• 以掩盖明文和密文的关系

New Directions in Cryptography

 提出了公钥密码算法的概念

 1977年的RSA

 提出了鉴别和签名问题

 讨论了一些数学问题

 Diffie-Hellman密钥协商协议

gX mod p = Y

Cryptography and Network Security

术语

明文:原始消息 plaintext  密文:加密后的消息 ciphertext  加密:明文到密文的变换过程 encipher (encrypt)  解密:逆过程 decipher (decrypt)  密码体制(密码):加解密方案的统称 cryptographic system(cipher)  密码学 cryptology  密码编码学 cryptography  密码分析学 cryptanalysis (codebreaking)

Cryptography and Network Security

对称密码模型

5个基本要素  明文 plaintext  密文 ciphertext  密钥 key  加密算法 encryption algorithm  解密算法 decryption algorithm

Cryptography and Network Security

简化的传统加密模型

 

加密算法必须够强

 拿到一堆对应的明文和密文,都不可破译或发现密钥

必须安全地协商密钥

 使用对称密码,仅需密钥保密,算法可公开

Cryptography and Network Security

传统加密模型

Y = EK(X) DK(Y) = X

或 Y = E(K, X) D(K, Y) = X

Cryptography and Network Security

传统密码体制

五元组(P,C,K,E,D)  明文空间P:可能的明文的有限

集  密文空间C:可能的密文的有限集  密钥空间K:可能的密钥的有限集  对k∈K,决定一个加密规则ek∈E:P→ C

和解密规则dk∈D:C → P,满足对明文x∈P

dk(ek(x))=x

Cryptography and Network Security

密码编码学(算法)特征

 转换明文为密文的运算类型

 代换 substitution 明文元素映射为密文元素,可逆  置换 transposition 把明文元素重排,可逆

 所用的密钥数

 对称密钥(收发双发使用相同) vs 非对称密钥(不同)  密钥空间的大小(密钥位数)

 处理明文的方法

 分组算法:一组一组的处理  流算法(序列密码算法):一个一个的处理

Cryptography and Network Security

密码编码学的基本原则

 算法要公开

 Kerckhoff‘s Principle

• 假设使用的算法和体制是公开的

 标准化:商用领域的互通性

• 商用密码体制的安全依赖于密钥,而非算法保密

 密钥要随机

 生成

• 字典攻击 dictionary attack • 蛮力攻击 brute force attack 要没有规律,不好猜 密钥空间要大

 存储、传输、使用

• 软件、硬件

Cryptography and Network Security

密码分析学

目标:恢复密钥或明文。对加密信息的攻击类型:  唯密文攻击

 只有一些密文

已知明文攻击

 知道一些过去的(明文及其密文)作参考和启发

选择密文攻击

 分析者有目的选择的一些密文,以及对应的密文.

选择明文攻击

 分析者选择一些明文(密文),及对应的密文(明文).

Cryptography and Network Security

安全强度依赖

 函数的好坏

 算法(即函数E和D)公开  异或(N0! 除非在0ne time pad中)  DES、AES、RC4、IDEA  私密性

• 安全基于key被Alice和Bob所知,而他人不知晓

 Key的好坏

 空间的大小

• 太小易受穷举搜索攻击 • 太大则不方便(one time pad)

Cryptography and Network Security

安全性分类

 理论安全性

 无论花多少时间,攻击者都无法将密文解密。

 实际安全性

 计算安全性 成本大于解密所得利益(机时和耗电) 周期长于所需保密时间  可证明安全性 比如RSA算法的安全性等价于大数分解。

Cryptography and Network Security

穷举攻击

尝试所有可能的密钥,平均需尝试密钥空间的一 半。56位密钥的DES算法不再是计算上安全的:

密码分析的基本出发点

 对称密码体制明文的结构和模式在加密(置换和代换)之后仍然 被保存下来,并且在密文中总能找到蛛丝马迹  公钥密码体制是密钥对的数学性质使得从一个密钥推出另一个密 钥是可能的。

Cryptography and Network Security

代换(替代)技术

 古典密码技术其技术、思想以及破译方法虽

然很简单,但是反映了密码设计和破译的思

想,是学习密码学的基本入口。  古典算法中使用26个字母组成的明文(现代 计算机使用二进制比特序列)。 为了方便,一般使用小写字母表书明文,使 用大写表书密文。

Cryptography and Network Security

S&T

 替代和置换是古典及现代密码算法的共同、

基本思想。

 替代  置换

substitution transposition

 把明文的(比特)模式替换成密文的(比特)模式  打乱明文的顺序排列方式,即置乱

Cryptography and Network Security

恺撒密码 Caesar/Shift Cipher

明文 26字母  密文 26字母  加密

 每个字母使用其后第3个(循环)代替 明文 meet me after class 密文 PHHW PH DIWHU FODVV

解密

其前第3个,或其后第23个

Cryptography and Network Security

移位密码 Shift Cipher

 P=C=K=Z26 E

D

ek(p)=p+k mod 26 = c, p∈P, c∈C dk(c)=c-k mod 26

k∈K,0≤k≤25

对于恺撒密码来说,密钥k=3,其空间0~25

Cryptography and Network Security

分析 Caesar/Shift

成功原因 加解密算法公开 尝试密钥只有25个 明文所用语言易识别

Cryptography and Network Security

单表替代密码

Monoalphabetic Cipher(Substitution)  查对照表 abcdefghijklmnopqrstuvwxyz RFAPCBZDQVJHKMWGSYUIXELNTO  明文/密文  meet me after class  KCCI KC RBUCY AHRUU  密钥空间(对照的可能数) 26!> 10^25

Cryptography and Network Security

分析 Monoalphabetic

 Caesar,

Shift,是Monoalphabetic的特例

 Monoalphabetic替代的可破译性

 因为替代没有去除统计规律

Cryptography and Network Security

普通英文中各个字母出现的统计概率

Cryptography and Network Security

另一个统计

Cryptography and Network Security

字母组合概率

 双字母组合:th、he、in、er、

 三字母组合:the、ing、and、

 单词出现概率组合:

Cryptography and Network Security

单表攻击步骤

 已经知道算法、明文的语言(英语)  先得有足够多的密文

 几十个字母

 统计密文中各个字母的出现概率

 结合明文元素(英文字母)的统计

 猜测出现得最多密文字母对应明文字母e(或t、a),最 少的是z(或j)  猜测出现得最多密文字母双组是th  观察所谓的明文,并重试

Cryptography and Network Security

攻击单表示例

 密文频率统计

(基于P25密文) P-13.33,Z-11.67 S , U-8.33,O-7.50 M-6.67, H-5.83

 猜测

P, Z 可能是 e, t S, U, O, M, H大约是r, n, i, o, a, s * 明文在P26

Cryptography and Network Security

Playfair密码

每两个明文字母替换为另外两个密文字母

aa ab ac ad ae af …… az si id ui we ii op …… kl

ba bb bc bd be bf …… bz yu qw sa po ee eq …… kk …… …… …… ……

 该表共有26×26=676项  密钥空间达676!

是多表代换密码,因为1个字母有多种可

能代换

Cryptography and Network Security

Playfair实现

缩小对照表的规模(简化)

 676项 →5×5字母行列(Matrix)

• 密钥词,然后是剩余字母按序填充

 明文双字母αβ→其对称对角线上的双字母

• 如hs→BP, tm→LR • 规定I同J(或U同V)

 同行者取右,同列者取下

• ar→RM,mu→CM

简化带来便利

M C E L U

O N A R H Y B D F G J K P Q S T V W X Z

 也导致密钥空间缩小(25!>2^56),安全性降低  主要是算法本身的缺陷,而不是25!不够大  而且单词记忆法又导致密钥空间进一步缩小

Cryptography and Network Security

Playfair例子

T L N C F X K Z G B V M O W S H R U P IJ E Y A D Q

填充字符

 “this

is not so good”

th is is no ts og ox od XR OD OD ZI VF ZW ZV IS

Cryptography and Network Security

Playfair分析

比单字母代换安全性好,需要更多的密文(几百个字母) 双字母的统计规律仍没有被打破 * 几种密文的相对频率对比

e的频率设定为1,水平轴字母递减序

图的含义:加密后的曲线体现了 加密后字母频率分布被掩盖的程 度。曲线越水平愈好,至少唯密 文密码分析将无从下手。

Cryptography and Network Security

Hill密码(m个连续的明文字母被替换成m个密文字母)

C=KP: {0,1,2,…25}=Z26 m=3 c1 k11 k12 k13 p1 c2 = k21 k22 k32 p2 c3 k31 k32 k33 p3 即(加法后模26): c1 = k11*p1 + k12*p2 + k13*p3 c2 = k21*p1 + k32*p2 + k23*p3 c3 = k31*p1 + k32*p2 + k33*p3 * 矩阵K得有逆KK-1=K-1K=I,即K的行列式得非零。 解密用:P=K-1C

Cryptography and Network Security

Hill 分析

 隐场了单字母和双字母的频率特性。

 不能抵抗已知明文攻击

c1 c1 c1 c2 c2 c2 c3 c3 c3

k11 k12 k13 p1 p1 p1 = k21 k22 k32 p2 p2 p2 k31 k32 k33 p3 p3 p3

* 已知三个(明文、密文)对,求K

Cryptography and Network Security

多表密码 Polyalphabetic Cipher

使用多个(单)表比如Vigenère:

 P31,表2.3 加密:密钥字母行,明文字母列,密文可得 解密:密钥字母行,密文字母左到右查找,明文字母 是列

key(repeat) deceptive deceptive deceptive Plaintext wearedisc overedsav eyourself Ciphertext ZICVTWQNG RZGVTWAVZ HCQYGLMGJ

Cryptography and Network Security

Vigenè re

P=C=K=(Z26)m K=(k1,k2,…,km) E: ek(p1, p2, … pm) =(p1+k1,p2+k2,…pm+km) = (c1, c2, …cm) D: dk(c1, c2, … cm) =(c1-k1,c2-k2,…cm-km) = (p1, p2, …pm)

Cryptography and Network Security

Vigenè re分析

key(repeat) deceptive deceptive deceptive Plaintext wearedisc overedsav eyourself Ciphertext ZICVTWQNG RZGVTWAVZ HCQYGLMGJ

首先设法获知密钥长度

 如果两个相同的明文序列之间的距离是密钥长度的整数倍,那么 产生的密文序列也是相同的。那么可能就是同样的密钥字母加的 密。  两个red间隔距离9(从r开始计数),密钥词长度只能

是3或9。  计算重复密文序列间距离的公因子,就可能获知密钥长度。

如果密钥词的长度为N,那么密码就是N个单表代 换

 比如上例,处在位置1,10,19,…的字母的统计特性就应符合 单表字母频率统计规律

最后对单表密码分别攻击

Cryptography and Network Security

一次一密 one-time pad

思路:密钥和明文一样长(而不是和Vigenère 那 样重复使用某个单词),随机密钥,一次一密

 哪一个才是真正的明文?

ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS pxlmvmsydofuyrvzwc tnlebnecvgdupahfzzlmnyih mr mustard with the candlestick in the hall

ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS mfugpmiydgaxgoufhklllmhsqdqogtewbqfgyovuhwt miss scarlet with the knife in the library

Cryptography and Network Security

一次一密的安全性

是唯一具有理论安全性的算法

 密文不含明文任何统计信息  可解密出大量可读、清楚地明文  完全取决于密钥的随机性

也可以直接用于二进制(XOR)

 流算法就是使用密钥为种子产生伪随机序列并和明文XOR

太不方便使用,密钥太长(和明文等长),难于 产生、传输、保存等。 在极端场合仍在使用

Cryptography and Network Security

置换技术

 Substitution

 Transposition 不是替代,而是重排明文(“洗牌”) 。  比如加密 “meet me after the toga party”

深度为2的栅栏技术

 密文:

“MEMATRHTGPRYETEFETEOAAT”

Cryptography and Network Security

列变换

 列的次序就是算法的密码

 Key: 4 3 1 2 5  P: a t t a c  o s t p o  C: ttaptsaocoknpe 6 k n 7 p e

 多步置换密码

 对上面的C,按照上面的算法再来一次  规律越来越少

Cryptography and Network Security

转轮机 Rotor

1)每个圆筒26 个输入和26个 输出; 2)一个圆筒定 义了一个单表 代换; 3)每输入一个 字母,圆筒就 旋转一个位置, 连线随动,一 个新的单表代 换产生。周期 为26; 4)三筒级联, 转动方式类似 里程表; 5)不同的代换 字母表个数 26^3(=使用周 期)。

轮转机的价值:为多层加密原理及DES指明了方向。

Cryptography and Network Security

Hagelin Rotor Machine

Cryptography and Network Security

隐写术---隐藏信息的存在

 藏匿

 暗语、暗喻、暗号

 藏头诗

 特殊墨水

 主要用于:通信双方宁愿内容丢失,也不愿

他们进行秘密通信的事实被人发现。

Cryptography and Network Security

例子:

 藏头诗

    芦花滩上有扁舟 俊杰黄昏独自游 义到尽头原是命 反躬逃难必无忧 施耐庵/吴用

 把一个文件藏到声音、图像、可执行文件中

 如:2048*3072*24,每像素24位的RGB颜色信息,可 用第24位来存储,结果是在一张照片中隐藏了2.3M的 信息。  先加密再

隐写;或者具体的加入方法由密钥决定

Cryptography and Network Security

数字水印 Digital Watermark

A pattern of bits inserted into a digital image, audio or video file that identifies the files copyright information (author, rights, etc.).  对一般文件里的签名

 数字签名  敏感性(察觉哪怕一个比特的改变)

保护版权

 用于图像、声音、视频资料等  抗噪性能,即抗有损压缩、分割、刻意的变换

Cryptography and Network Security

小结及习题

小结  对称密码是一种加解密使用相同密钥的密码体制  古典密码算法使用了替代和置换技术,现代对称算法只是以更加 复杂的模式运用这些技术。  单表替代算法的破译方法展示了密码分析的基本思路(统计方 法)。  一次一密算法在理论分析中,以及在某些极端场合有用,但是不 适合大规模商业应用。  密码攻击方法主要有基于算法性质的密码分析和密钥穷举两类.  轮转机是计算机出现前使用代换技术的复杂硬件设备.  隐写术是一种将秘密信息隐藏于其他更大信息中的一种技术,使得 其他人无法区分它的存在或隐藏信息的内容. Homework  思考题2.1~2.14,下次课前提交至bnunis2014@163.com,附件名 称:Ch02学号名字.Doc  习题2.1~2.21(自选作)

Cryptography and Network Security

附:思考题(1/2)

2.1Plaintext, encryption algorithm, secret key, ciphertext, decryption algorithm. 2.2Permutation and substitution. 2.3One key for symmetric ciphers, two keys for asymmetric ciphers. 2.4A stream cipher is one that encrypts a digital data stream one bit or one byte at a time. A block cipher is one in which a block of plaintext is treated as a whole and used to produce a ciphertext block of equal length. 2.5Cryptanalysis and brute force. 2.6Ciphertext only. One possible attack under these circumstances is the brute-force approach of trying all possible keys. If the key space is very large, this becomes impractical. Thus, the opponent must rely on an analysis of the ciphertext itself, generally applying various statistical tests to it. Known plaintext. The analyst may be able to capture one or more plaintext messages as well as their encryptions. With this knowledge, the analyst may be able to deduce the key on the basis of the way in which the known plaintext is transformed. Chosen plaintext. If the analyst is able to choose the messages to encrypt, the analyst may deliberately pick patterns that can be expected to reveal the structure of the key.

Cryptography and Network Security

附:思考题(2/2)

2.7An encryption scheme is unconditionally secure if the ciphertext generated by the scheme does not contain enough information to determine uniquely the corresponding plaintext, no matter how much ciphertext is available. An encryption scheme is said to be computationally secure if: (1) the cost of

breaking the cipher exceeds the value of the encrypted information, and (2) the time required to break the cipher exceeds the useful lifetime of the information. 2.12 1. There is the practical problem of making large quantities of random keys. Any heavily used system might require millions of random characters on a regular basis. Supplying truly random characters in this volume is a significant task. 2. Even more daunting is the problem of key distribution and protection. For every message to be sent, a key of equal length is needed by both sender and receiver. Thus, a mammoth key distribution problem exists. 2.13A transposition cipher involves a permutation of the plaintext letters. 2.14Steganography involves concealing the existence of a message.

Cryptography and Network Security

附:习题(1/2)

2.1 a.No. A change in the value of b shifts the relationship between plaintext letters and ciphertext letters to the left or right uniformly, so that if the mapping is one-to-one it remains one-to-one.//b的取值对一一映射没有影响。 b.2, 4, 6, 8, 10, 12, 13, 14, 16, 18, 20, 22, 24. Any value of a larger than 25 is equivalent to a mod 26.//a不能是偶数和26的质因 数。 c.The values of a and 26 must have no common positive integer factor other than 1(a和26应该互质). To see this, first note that E(a, p) = E(a, q) (0 ≤ p ≤ q < 26) if and only if a(p – q) is divisible by 26.//ap mod 26=aq mod 26, a(p-q) mod 26 =0. 2.2 There are 12 allowable values of a (1, 3, 5, 7, 9, 11, 15, 17, 19, 21, 23, 25). There are 26 allowable values of b, from 0 through 25). Thus the total number of distinct affine Caesar ciphers is 12  26 = 312.

Cryptography and Network Security

附:习题(2/2)

2.3Assume that the most frequent plaintext letter is e and the second most frequent letter is t. Note that the numerical values are e = 4; B = 1; t = 19; U = 20. Then we have the following equations: 1 = (4a + b) mod 26 20 = (19a + b) mod 26 Thus, 19 = 15a mod 26. By trial and error, we solve: a = 3. Then 1 = (12 + b) mod 26. By observation, b = 15. 2.5a.The first letter t corresponds to A, the second letter h corresponds to B, e is C, s is D, and so on. Second and subsequent occurrences of a letter in the key sentence are ignored. The result ciphertext: SIDKHKDM AF HCRKIABIE SHIMC KD LFEAILA plaintext: basilisk to leviathan blake is contact b.It is a monalphabetic cipher and so easily breakable. c.The last sentence may not contain all the letters of the alphabet. If the first sentence is used, the second and subsequent sentences may also be used until all 26 letters are encountered.//走不下去怎么办的问题。 2.20your package ready Friday 21st room three Please destroy this immediately.

Cryptography and Network Security

如何学好网络安全

“沉寂的深夜,杂乱的小屋,只传出阵阵清脆的键盘敲击声。屏幕上不时闪现出漂亮的3维立体动画的口令提示框„.”在很多影视及文学作品中通常都是这样描述黑客及黑客的工作的。

在现实生活中,真正黑客的工作是非常枯燥的,可能几天没日没夜的试探只是为了通过那个简陋的WIN2000口令提示框(甚至连框都没有,就是一行简单的字符:Enter your password:)。

同样,网络安全专家的工作绝大部分时候也是非常枯燥无味的,查阅设备配置文档、每日检查上千行的服务器访问日志、防火墙、IDS访问日志以发现黑客入侵的蛛丝马迹„„ 然而,上面被人们谈的最多的黑客攻击防御却不是网络安全学习的重点,尽管它们也很重要。

在网络安全课程的学习过程中,很多朋友面对浩如烟海的各种网络安全知识和技术不知所措。不知道该如何安排自己的学习过程。

今天,借这个机会和对网络安全感兴趣的朋友们谈谈如何学好网络安全课程。

首先,必须(时刻)意识到你是在学习一门可以说是最难的课程,是网络专业领域的顶尖课程,不是什么人、随随便便就能学好的。不然,大家都是黑客,也就没有黑客和网络安全的概念了。

很多朋友抱着学一门课程、读好一本书就可以掌握网络安全的知识和技能。不幸的是,网络安全技术决不是几本书、几个月就可以速成的。你需要参考大量的参考书。

另一方面,在学校接受的传统教育观念使我们习惯由老师来指定教材、参考书。遗憾的是走向了社会,走到工作岗位,没有人给你指定解决这个安全问题需要什么参考书,你得自己研究,自己解决问题。

网络安全涉及的知识面广、术语多、理论知识多。正给学习这门课程带来很多困难。也需要我们投入比其它课程多的时间和精力来学习它。

概括来说,网络安全课程的主要内容包括:

l 安全基本知识

l 应用加密学

l 协议层安全

l Windows安全(攻击与防御)

l Unix/Linux安全(攻击与防御)

l 防火墙技术

l 入侵监测系统

l 审计和日志分析

下面分别对每部分知识介绍相应的具体内容和一些参考书(正像前面提到的那样,有时间、有条件的话,这些书都应该看至少一遍)。

一、安全基本知识

这部分的学习过程相对容易些,可以花相对较少的时间来完成。这部分的内容包括:安全的概念和定义、常见的安全标准等。

大部分关于网络安全基础的书籍都会有这部分内容的介绍。

下面推荐一些和这部分有关的参考书:

l 《CIW:安全专家全息教程》 魏巍 等译,电子工业出版社

l 《计算机系统安全》 曹天杰,高等教育出版社

l 《计算机网络安全导论》 龚俭,东南大学出版社

二、应用加密学

加密学是现代计算机(网络)安全的基础,没有加密技术,任何网络安全都是一纸空谈。

加密技术的应用决不简单地停留在对数据的加密、解密上。密码学除了可以实现数据保密性外、它还可以完成数据完整性校验、用户身份认证、数字签名等功能。

以加密学为基础的PKI(公钥基础设施)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。

可以说,加密学的应用贯穿了整个网络安全的学习过程中。因为之前大多数人没有接触过在这方面的内容,这是个弱项、软肋,所以需要花费比其它部分更多的时间和精力来学习。也需要参考更多的参考书。

下面推荐一些和这部分有关的参考书:

l 《密码学》 宋震,万水出版社

l 《密码工程实践指南》 冯登国 等译,清华大学出版社

l 《秘密学导引》 吴世忠 等译,机械工业(这本书内容较深,不必完全阅读,可作为参考)

三、协议层安全

系统学习TCP/IP方面的知识有很多原因。要适当地实施防火墙过滤,安全管理员必须对于TCP/IP的IP层和TCP/UDP层有很深的理解、黑客经常使用TCP/IP堆栈中一部分区或来破坏网络安全等。所以你也必须清楚地了解这些内容。

协议层安全主要涉及和TCP/IP分层模型有关的内容,包括常见协议的工作原理和特点、缺陷、保护或替代措施等等。

下面推荐一些和这部分有关的参考书(经典书籍、不可不看):

l 《TCP/IP详解 卷1:协议》 范建华 等译,机械工业出版社

l 《用TCP/IP进行网际互联 第一卷原理、协议与结构》 林瑶 等译,电子工业出版社

四、Windows安全(攻击与防御)

因为微软的Windows NT操作系统已被广泛应用,所以它们更容易成为被攻击的目标。 对于Windows安全的学习,其实就是对Windows系统攻击与防御技术的学习。而Windows系统安全的学习内容将包括:用户和组、文件系统、策略、系统默认值、审计以及操作系统本身的漏洞的研究。

这部分的参考书较多,实际上任何一本和Windows攻防有关系的书均可。下面推荐一些和这部分有关的参考书:

l 《黑客攻防实战入门》 邓吉,电子工业出版社

l 《黑客大曝光》 杨继张 等译,清华大学出版社

l 《狙击黑客》 宋震 等译,电子工业出版社

五、Unix/Linux安全(攻击与防御)

随着Linux的市占率越来越高,Linux系统、服务器也被部署得越来越广泛。Unix/Linux系统的安全问题也越来越凸现出来。作为一个网络安全工作者,Linux安全绝对占有网络安全一半的重要性。但是相对Windows系统,普通用户接触到Linux系统的机会不多。Unix/Linux系统本身的学习也是他们必须饿补的一课!

下面是推荐的一套Linux系统管理的参考书。

l 《Red Hat Linux 9桌面应用》 梁如军,机械工业出版社(和网络安全关系不大,可作为参考)

l 《Red Hat Linux 9系统管理》 金洁珩,机械工业出版社

l 《Red Hat Linux 9网络服务》 梁如军,机械工业出版社

除了Unix/Linux系统管理相关的参考书外,这里还给出两本和安全相关的书籍。

l 《Red Hat Linux安全与优化》 邓少鹍,万水出版社

l 《Unix 黑客大曝光》 王一川 译,清华大学出版社

六、防火墙技术

防火墙技术是网络安全中的重要元素,是外网与内网进行通信时的一道屏障,一个哨岗。除了应该深刻理解防火墙技术的种类、工作原理之外,作为一个网络安全的管理人员还应该熟悉各种常见的防火墙的配置、维护。

至少应该了解以下防火墙的简单配置。

l 常见的各种个人防火墙软件的使用

l 基于ACL的包过滤防火墙配置(如基于Windows的IPSec配置、基于Cisco路由器的ACL配置等)

l 基于Linux操作系统的防火墙配置(Ipchains/Iptables)

l ISA配置

l Cisco PIX配置

l Check Point防火墙配置

l 基于Windows、Unix、Cisco路由器的VPN配置

下面推荐一些和这部分有关的参考书:

l 《

网络安全与防火墙技术

》 楚狂,人民邮电出版社

l 《Linux防火墙》

余青霓

译,人民邮电出版社

l 《高级防火墙ISA Server 2000》 李静安,中国铁道出版社

l 《Cisco访问表配置指南》 前导工作室 译,机械工业出版社

l 《Check Point NG安全管理》

王东霞

译,机械工业出版社

l 《虚拟专用网(VPN)精解》 王达,清华大学出版社

七、入侵监测系统(IDS)

防火墙不能对所有应用层的数据包进行分析,会成为网络数据通讯的瓶颈。既便是代理型防火墙也不能检查所有应用层的数据包。

入侵检测是防火墙的合理补充,它通过收集、分析计算机系统、计算机网络介质上的各种有用信息帮助系统管理员发现攻击并进行响应。可以说入侵检测是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

IDS提供了主动的网络保护,它能够自动探测网络流量中可能涉及潜在入侵、攻击和滥用的模式。随着各种商业入侵检测系统的部署,IDS逐渐成为网络安全不可或缺的元素之一。 在各种著名的入侵检测系统中,Snort以其免费、公开源代码和高效运行的特点获得了广泛的应用。同时,也成为学习入侵检测系统的首选。

建议有条件的朋友最好能在Linux系统上部署、维护运行一段时间的Snort以期获得宝贵的实践经验。

下面推荐一些和这部分有关的参考书:

l 《入侵检测系统及实例剖析》 韩东海,清华大学出版社

l 《Snort 2.0入侵检测》 宋劲松 等译,国防工业出版社

l 《Snort 入侵检测实用解决方案》 吴溥峰 机械工业出版社

八、审计和日志分析

在部署了各种先进的防火墙、入侵检测系统,实施了严格的、近乎完美的网络安全策略之后,如果不进行检查、监督、改进和维护,那么你只能获得短暂的、一时的安全。因此,审计在安全金字塔当中同样具有重要的位置。如下图所示。

日志分析是审计的重要手段。在一个网络安全系统中存在着各种日志:操作系统(Windows、Unix)日志、服务器日志(IIS、BIND„ „)、防火墙系统日志、入侵检测系统日志、拨号服务器日志等等。因此,对于如何维护日志系统的学习实际上是融入到操作系统以及防火墙、IDS的学习过程中的。

相关的参考资料也在前面已经列出,这里不再重复。

前面谈了网络安全领域的各个知识方面,有了这些具体的学习目标,接下来就是集中精力、个个击破了。

具体的学习方法是:读书+实践。

首先,看书是必须的。想要在网络安全实践的过程中知其然、知其所以然,就必须牢固掌握书本上的理论知识。尤其是对于加密学这样的比较抽象的章节更是如此。每个人的看书习惯都不相同,如果觉得自己看书的收效不高,可以试试采用下面的方法:第1遍,略读(快速了解某个章节的内容);第2遍,细读(认真、仔细阅读某个章节的每段文字);第3遍,通读(完全阅读某个章节,并记下重点、难点,之后再重点看这些)。

其次,是动手实践(实验)。对于网络安全来说,不能只停留在理论(纸上谈兵),重点应该放在实践上。

对于实验内容可以分别针对上面的网络安全的每一部分的内容(PGP、SSL、SSH、IPSEC、IPTABLES、ACL、VPN、PIX、ISA、SNORT„ „)来进行实验。对于实验环境,建议采用Windows 2000(2003)Server+Linux RedHat 9(FC3、4)(VMWare)这种实验环境模式。采用这种模式可以完全实现上述各种实验的需求。

同时需要指出,如果Linux的基础比较差,需要多进行和Linux相关的实验,至少应该有能力安装Linux、配置Linux上的各种服务。

最后,对于学习过程中遇到的问题。建议通过查阅书籍、搜索引擎,这样有利于锻炼自己独立实际解决问题的能力。而高效解决实际问题也是对网络安全管理人员能力的最大考验。

第9章网络安全

9 .2 例题分析

【例题9-1】 在分布式环境中实现身份认证可以有多种方案,以下各项中哪项是最不安全的?

A.用户发送口令,由通信对方指定共享密钥

B.用户发送口令,由智能卡产生解密密钥

C.用户从KDC获取会话密钥

D.用户从CA获取数字证书

【例题9-2】 OSI网络管理标准定义了网络管理的5个功能域。例如对管理对象的 每个属性设置阂值、控制阈值检查和告警的功能属于(1) ;接收报警信息、启动报 警程序、以各种形式发出警报的功能属于(2) ;接收告警事件、分析相关信息、及 时发现正在进行的攻击和可疑迹象的功能属于(3) ,上述事件捕捉和报告操作可 由管理代理通过SNMP和传输网络将(4) 报文发送给管理进程,这个操作

(5) (1) A.记账管理 B.性能管理 C.用户管理 D.差错管理

(2) A.人侵管理 B.性能管理 C.故障管理 D.日志管理

(3) A.配置管理 B.审计管理 C.用户管理 D.安全管理

(4) A. get-request B.get-next-requestC. set-request D. Trap

(5) A.无请求 B.有请求 C.无响应 D.有响应

【例题9-2】 对照OSI参考模型各层中的网络安全服务,在物理层可以采用(1) 加强通信线路的安全;在数据链路层,可以采用(2) 进行链路加密;在网络层可以采用

;在传输层主要解决进程到进程间的加密,最常见的传输层安全技术有(4) ;为了将低层安全服务进行抽象和屏蔽,最有效的一类做法是可以在传输层和应用层之间建立中间件层次实现通用的安全服务功能,通过定义统一的安全服务接口向应用层提供(5) 安全服务。

(1) A.防窃听技术 B.防火墙技术

C.防病毒技术 D.防抵赖技术

(2) A.公钥基础设施(PKI) B.K erberos认证

C.通信加密机 D.认证权威机构(CA)

(3) A.防窃听技术 B.防火墙技术

C.防病毒技术 D.防抵赖技术

(4) A. SET B.IPSec

C. S-HTTP D. SSL

(5) A.身份认证 B.访问控制

C.身份认证、访问控制和数据加密 D.数据加密

【例题9-4】 数学证书((digital certificate)采用公钥密码体制提供安全服务。在采用数字证书的系统中,每个用户有一个私钥,用它进行(1) ;同时每个用户还有一个公钥,用于(2) 。X. 509标准规定,数字证书由(3) 发放,并将其放人公共目录中,以供用户访问。X. 509数字证书中的签名字段是指(4) 。如果用户UA从A地的发证机构取得了证书,用户UB从B地的发证机构取得了证书,那么(5) 。

(1) A.解密和验证 B.解密和签名

C.加密和签名 D.加密和验证

(2) A.解密和验证 B.解密和签名

C.加密和签名 D.加密和验证

(3) A..密钥分发中心 B.证书权威机构

C.国际电信联盟 D.当地政府

(4) A.用户对自己证书的签名 B.用户对发送报文的签名

C.发证机构对用户证书的签名 D.发证机构对发送报文的签名

(5) A. UA可使用自己的证书直接与UB 进行安全通信

B. UA通过一个证书链可以与UB 进行安全通信

C. UA和UB 还须向对方的发证机构申请证书,才能进行安全通信

D. UA和UB 都要向国家发证机构申请证书,才能进行安全通信

【例题9-4】 对于防火墙的包过滤路由器,在设置包过滤规则时可以采用阻塞一些特定的数据报而允许其他所有数据报通过的方法。采用这种方式运行防火墙可以有效地保征内部网络的安全吗?为什么?

9 .3 基础习题

一、填空题

1.目前,计算机网络中的通信主要面临4种基本的安全威胁,分别是 、 、 。

2.保障计算机网络安全的基础是

3.网络管理过程通常包括数据

4.在网络管理模型中,管理进程和管理代理之间的信息交换可以分为两种:一种是从管理进程到管理代理的管理操作;另一种是从管理代理到管理进程的 。

5.OSI网络管理标准的5大管理功能域为:配置管理、故障管理、性能管理、安全管理和 。

6.故障管理的步骤一般为发现故障、判断故障症状、隔离故障、 故障、记录故障的检修过程及其结果。

7.目前,最常使用的网络管理协议是、 和 3个基本部分组成。

8.安全威胁是指某个人、物、事件或概念对某一资源的保密性、成的危害。

9.网络反病毒技术包括预防病毒、病毒和消除病毒3种技术。

10.利用凯撒加密算法对字符串attack进行加密,如果密钥为3,那么生成的密文

为 。

11.在信息安全中,认证的目的主要有两个。一个是验证信息的发送者身份,另一个 是验证信息的 。

12.大多数网络层防火墙的功能可以设置在内部网络与Internet上。

13.在Intern叔与Intranet负责对网络服务请求的合法性进行检查。

14.通信加密是对通信过程中 的数据加密。

15.在Internet与

16.有一种攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系

统响应减慢甚至瘫痪。这种攻击影响正常用户的使用,甚至使合法用户被排斥而不能得到服务。这种攻击称为 攻击。

17.数字信封技术将传统的 与 结合起来,利用了 的高效性与 的灵活性,保证了信息在传输过程中的安全性。在使用时,数字信封技术首先利用 对发送的数据进行加密,然后利用 对 的密钥进行加密。

18.构成防火墙系统的两个基本部件是和 组合而成。

19.在网络攻击的各种方式中,人侵系统类攻击的最终目的是为了获得主机系统的控制权,从而破坏主机和网络系统。这类攻击又可以分为 、 和 3种。

20.入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。入侵检测系统所采用的检测技术基本上可以分为两类,即 和 。

21.在TCP/IP协议族中,SNMP是在/响应协议。在SNMP管理操作中,由管理代理主动向管理进程报告异常事件所发送的报文是

。在OSI参考模型基础上的公共管理信息服务/公共管理信息协议(CMIS/CMIP)是一个完整的网络管理协议,网络管理应用进程使用OSI参考模型的(4) 。

(1) A.TCP B.UDP

C.HTTP D.IP

(2) A.异步 B.同步

C.主从 D.面向连接

(3) A.get-request B.get-response

C.trap D.set-request

(4) A. 网络层 B.传输层

C. 表示层 D.应用层

22.防火墙是在内外网络边界上构建的一类安全保护机制,其安全架构基于。一般来说,防火墙系统中的堡垒主机上安装有(2) ,其上运行的是(3) ,要求(4) 上实现对用户身份认证和访问操作分类检查和过滤。

(1) A.流量控制技术 B.加密技术

C.信息流填充技术 D.访问控制技术

(2) A。一块网卡且有一个IP地址 B.两个网卡且有两个不同的IP地址

C.两个网卡且有相同的IP地址 D.多个网卡且动态获得IP地址

(3) A.代理服务器软件 B.网络操作系统

C.数据库管理系统 D.应用软件

(4) A.网络层 B.传输层

C.表示层 D.应用层

23. RSA是一种基于原理的公钥加密算法。在Internet上广泛使用的PGP协议采用RSA和IDEA两种加密算法组成链式加密体系,这种方案的优点是(2) 。除了加密,PGP还可以对电子邮件进行身份认证,其认证机制是利用MD5算法产生(3) 比特的消息摘要,发送方用自己的RSA私钥对(4) 进行加密,附加在邮件中进行传拱。

(1) A.大素数分解 B.椭圆曲线

C.背包问题 D.离散对数

(2) A.两种算法互相取长补琢,从而提高了信息的保密性

B.可以组合成一种新的加密算法,从而避免专利技术的困扰

C.既有RSA体系的快捷性,又有IDEA算法的保密性

D.既有RSA体系的保密性,又有IDEA算法的快捷性

(3) A.256 B.160

C.128 D.96

(4) A.邮件明文 B.IDEA密钥

C.邮件明文和消息摘要 D.消息摘要

二、名词解释

(1) 替换密码。 (2) 移位密码。

(3)

(5) 防火墙。 (6) 应用级网关。

(7)

(9) 服务攻击。

(11) 非服务攻击。 (12) 截获。

(13) 篡改。

(15) 认证。

(17) 保密性。 (18) 完整性。

(19) 密码学。

(21) 密码编码学。 (22) 密码分析学。

(23) 非对称密码体制。

(25) 。 RSA。

(27) 数字签名。 (28) 数字信封。

(29) 堡垒主机。

(31) 异常检测。

(33) 管理信息库(MIB)。

A.用于保护内部网络不受外部攻击者攻击的网络安全防护系统。

B.攻击者有选择地破坏信息的有效性和完整性的攻击方式。

C.一种过程,可以鉴别通信中一方或双方身份的真实性,以防止出现假冒、伪装等现象,保证信息的真实性。

D.一种对称加密算法,其中明文被看成是连续的比特流.每次一个比特(或一个字符)地进行加密。

E.一种简单的加密方案,其中一个字符简单地用另外一个字符或符号替换。

F.攻击者破坏了信息源结点与目的结点的通信,使目的结点不能收到源结点发出的信息。 G.一种网络安全服务,主要用于保障所传输的数据在数据传送过程中不被攻击者非法篡改。 H.研究秘密书写的原理和破译密码的方法的一门学科,包括密码编码李与密码分析学的两个分支

I.一种简单的加密方案,其中明文中的实际字符被保留下来,但字符被重新排列。

J.一种认证机制,可以在消息上附加起到签名作用的代码,保证了消息的完整性和发送者的身份

K.SNMP使用的数据库,维护管理一个网络所必需的信息。

L.攻击者不仅获取了对源结点与目的结点之间的信息的访问,而且还修改了信息的内容,并将修改后的信息传送给目的结点。

M.防火墙的一个组成部件,主要在应用层针对网络特定服务完成数据包的分类检与过滤工作。

N.攻击者通过某种手段非法获取了对信息源结点与目的结点所传输的信息的访问。

O.一种目前广泛使用的对称加密算法,使用64比特长度的密钥对信息进行加密

P.一种对称加密算法,其中明文被分成组(每组含多个字符),每次一组的进行加密。

Q.密码学的一个分支,涉及到设计加密与解密算法,其主要目的是寻求保证消息保密性和真实性的方法。

R.防火墙的一个组成部件,主要在网络层与传输层完成数据包的过滤工作。

S.一种被普遍采用、基于大数因子难解性的非对称加密算法。

T.在不影响网络正常工作的情况下,攻击者进行信息的截获、窃取、破译的攻击方式。 U.一种网络安全服务,使被传输的数据免受被动攻击。

V.一种人侵检测技术,指的是如果当前网络状态不符合正常的活动状态,则认为有攻击发生。 W.位于防火墙关键部位、运行应用级网关软件的计算机系统。

X.一个具有多个网络接口卡的主机。

Y.攻击者冒充信息源结点,将伪造的信息发送给目的结点。

Z.一种网络安全服务,用于防止发送方或接收方抵赖所传输的信息完成之后,消息发送方不能抵赖所发送的消息,即在一次通信,消息接收方也不能抵赖所接收到的消急。

A.网络中的一种攻击类型,对网络中提供某种服务的服务器发起攻击,造成该网络的“拒绝服务”,使网络不能正常工作。

B.对计算机和网络资源的恶意使用行为进行识别的系统。

C.密码体制的一种形式,其特点是加密与解密都使用不同的密钥,其中一个是公钥,而另一个是私钥。

D.密码体制的一种形式,使用相同的密切进行加密与解密。

E.一种网络安全技术,用对称加密算法加密发送的数据,然后用非对称加密算法加黔对称加密使用的密钥,保证了信息在传输过程中的安全性。

F.密码学的一个分支,涉及到研究如何破译密码与如何伪造密码。

G.一种人侵检测技术,指的是根据人侵者在人侵时的某些行为特征建立一种行为模型,如果用户的行为或行为过程与人侵行为模型一致,则认为有攻击发生。

H.网络中的一种攻击类型,不针对某种具体应用服务进行攻击,而是针对网络层等低层协议进行攻击。

三、选择题(只有一个正确的选项)

1.在企业内部网与外部网之间,用来检查网络请求分组是否合法,保护网络资源不 被非法使用的技术是

A.防病毒技术 B.防火墙技术

C.差错控制技术 D.流量控制技术

2.关于防火墙的功能,下列哪项描述是错误的?

A.防火墙可以检查进出内部网的通信量

B.防火墙可以使用应用网关技术在应用层上建立协议过滤和转发功能

C.防火墙可以使用过滤技术在网络层对数据包进行选择

D.防火墙可以阻止来自内部的威胁和攻击

3. OSI网络管理标准的5个管理功能域为 。

A.端口管理、故障管理、性能管理、安全管理和记账管理

B.配置管理、故障管理、性能管理、效率管理和安全管理

C.配置管理、故障管理、性能管理、记账管理和安全管理

D.硬件管理、软件管理、故障管理、效率管理和安全管理

4.在网络管理中,通常需要监视网络吞吐率、利用率、错误率和响应时间。监视这些参数主

要是一下哪个功能域的主要工作?

A.配置管理 B.故障管理

C.安全管理 D.性能管理

5.以下哪种协议不是网络管理协议

A. LABP B. SNMP

C. CMIS D. CMIP

6.关于SN MP,以下哪种说法是错误的

A. SNMP模型由管理进程、管理代理和管理信息库组成

B. SNMP是一个应用层协议

C. SNMP可以利用TCI提供的服务进行数据传送

D.路由器一般都可以运行SNMI管理代理进程

7.网络安全中,中断指的是未授权的实体有意破坏网络系统传输的信息,使之变无用的。这是对

A.可用性的攻击 B.保密性的攻击

C.完整性的攻击 D.真实性的攻击

8.在网络安全中,截获指的是获得了信息的访问权。这是对 。

A.可用性的攻击 B.保密性的攻击

C.完枯性的攻击 D.真实性的攻击

9.在网络安全中,篡改指的是未授权的实体不仅获得了信息的访问权,而且还修改了信息。这是对

A.可用性的攻击 B.保密性的攻击

C.完整性的攻击 D.真实性的攻击

10.在网络安全中,伪造指的是未授权的实体向信息接收者发送伪装的信息。这是对

A.可用性的攻击 B.保密性的攻击

C.完整性的攻击 D.真实性的攻击

11.从网络高层协议角度,网络攻击可以分为

A.主动攻击与被动攻击

B.服务攻击与非服务攻击

C.网络攻击与主机攻击

D.浸人攻击与植人攻击

12.按密钥的使用个数,密码体制可以分为 A.替换密码和移位密码

B.分组密码和序列密码

C.对称密码体制和非对称密码体制

D.密码编码学和密码分析学

13.以下哪一项不是分组密码的优点?

A.良好的扩散性

B.不易被破解

C.不需要密钥同步

D.加密速度要快于流密码

14.假设采用“蛮力攻击”对密文进行破译,如果计算机的处理速度为1密钥/us,多需要多长时间才能破译56比特长的密钥生成的密文?

A. 71分钟

B. 1. 1 X 103年

C. 2. 3 X 10年

D,5. 4 X 10年

15.常用的加密算法包括:

(1)DES (2)E|Gama1 (3) RSA (4) RC-5 (5) IDEA

在这些加密算法中,属于对称加密算法的为

A.(3)和(5)

B. (1)、(4)和(5)

C. (2)、(4)和(5)

D.(1)、(2)、(3)、(4)和(5)

16.常用的加密算法包括:

(1)DES (2) E1Gama1 ( 3)RSA (4) RC-5 (5) IDEA

在这些加密算法中,属于非对称加密算法的为

A.(1)、(3)和(5)

B. (3)、(4)和(5)

C.(2)和(3)

D.(1)、(2)、(3)、(4)和(5)

17.网络管理系统中,管理对象指的是

A.网络系统中的各种具体设备

B.网络系统中的各种具体软件

C.网络系统中的各类管理人员

D.网络系统中的具体可以操作的网络资源

18.关于防火墙的功能,下列叙述中是错误的。

A.防火墙可以检查进出内部网络的通信量

B.防火墙可以使用应用级网关在应用层上进行协议过滤和转发功能

C.防火墙可以使用过滤技术在网络层对数据包进行选择

D.防火墙可以阻止来自网络内部的威胁和攻击

19.美国国防部安全标准定义了4个安全级别,其中最高安全级提供了最全面的安 全支持,是

A. A级 B. B级

C. C级 D. D级

20.如果发送方使用的加密密钥和接收方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统称为 。

A.常规加密系统 B.单密钥加密系统

C.公钥加密系统 D.对称加密系统

21.用户A通过计算机网络向用户B发消息,表示自己同意签订某个合同,随后用户A反悔,不承认自己发过该条消息。为了防止这种情况发生,应采用 。

A.数字签名技术 B.消息认证技术

C.数据加密技术 D.身份认证技术

22.在OSI的5个管理功能域中, 功能是用来维护网络的正常运行的。

A.性能管理 B.故障管理

C.配置管理 D.安全管理

23.在数字信封技术中,发送方首先选择二而称密钥并利用对称加密技术对要发然后再利用非对称加密技术并 。

A.使用发送方自身的公钥对生成的对称密钥加密 243

B.使用发送方自身的私钥对生成的对称密钥加密

C.使用接收方的公钥对生成的对称密钥加密

D.使用接收方的私钥对生成的对称密钥加密

24.关于数字签名,下面说法中哪项是错误的

A.数字签名技术能够保证信息传输过程中的安全性

B.数字签名技术能够保证信息传输过程中的完整性

C.数字签名技术能够对发送者的身份进行认证

D.数字签名技术能够防止交易中抵赖的发生

25.关于加密技术,下列说法中哪项是错误的

A.对称密码体制中加密算法和解密算法是保密的

B.密码分析的目的就是千方百计地寻找密钥或明文

C.对称密码体制的加密密钥和解密密钥是相同的

D.所有的密钥都有生存周期

26,以下哪种技术不是实现防火墙的主流技术

A.包过滤技术 B.应用级网关技术

C.代理服务器技术 D. NAT技术

27.基于数论原理的RSA算法的安全性建立在的基础上。

A.大数难以分解因子 B.大数容易分解甲子

C.容易获得公钥 D.私钥容易保密

28. Kerberos最初是MIT。

A.非对称密码学 B.对称密码学

C. PKI D. X.509证书

29.下列协议中,哪项可以用于构建A. SLIP B. III

C. PPTP D. TPTP

四、简答题

1.为什么么奇偶校验与CRC无法提供安全性?

2.替换密码的一个主要缺点是什么?

3.简述对称加密算法DES。

4.述非对称加密算法RSA。

5.采用公钥加备方式创建数字签名时,哪个密钥用于签名?

6.将数字签名与公钥加密方法结合使用,可以带来什么好处?

7.简述虚拟专角网(VPN)的工作原理。

8.简述Intranet与Internet的关系。

9.简述OSI网络管理标准的5个功能域。

10.简述SNMP管理模型的基本组成部分。

11.防火墙包括那些主要功能?防火墙防不住哪些攻击?

12.保障局域网可以有哪些安全防范措施?

13. SNMP消息一般是通过UDP协议而不是TCP协议传递的,为什么采用这种设计?

14.网络管理的主要目的是什么?

15. SSL是如何利用数字签名的?

16.一般防火墙可以防止外来的安全威胁,如何利用防火墙防止来自网络内部的安全威胁?

17.防火墙自身的安全性是十分重要的,如何提高防火墙自身的安全性?

18.简述电子邮件安全系统PEM的工作过程。

9. 4 综合习题

1.假设一个系统所采用的公钥基础设施(是利用树状结构的CA实现的。现在用户A想要和用户B通信,并且通过某个通信信道收到用户B的、由CAr签名的一个证书。如果用户A不知道CAX,用户A需要哪些步骤才能验证他正在和用户B通信?

2.如果用户A和用户B从来没有碰见过,没有共享任何秘密,也没有证书.不过他们可以通过Diffie-Hellman算法创建一个共享密钥。但这种方法却很难防范中间人攻击(man-in-the-middle attack),试解释其中的原因。

3.路由器通常具有包过滤功能,可以将从某一端口接收到的符合一定特征的数据包进行过滤而不再转发。合理地使用该功能,可以使企业内部网的安全性得到增强。现有一个企业希望企业内部的网络用户可以自由地访问外部的Internet,而仅仅允许外部的Internet网络用户利用浏览器访问企业内部网的某一WWW服务器(例如WWW服务器A)。于是,该企业的网络管理员利用与Internet网相连的路由器的包过滤功能,除了目的IP地址=主机A且TCP目的端口号=80的数据包,禁止转发从Internet到来的所有数据包,与此同时,允许转发所有从企业内部网到来的数据包。这样的设计能达到预期的目的吗?为什么?

4.已知在RSA公钥密码体制中,某用户的公钥。=7,n=55,明文M=10,试求其对应的密文C。通过求解p,q和d可破译这种密码体制。若截获的密文C=35,试求经破译得到的明文M。

5.在公钥密码体制中,利用RSA算法作下列运算:

(1)如果p=7,q=11。试列出可选用的5个d值;

(2)如果p=13,q=31,d=7,试球e值;

(3)已知p=5,q=ll,d=27,试求e值;并对明文“abcdefghijk,加密。假设a=01,b=02 , c=03,„,z=26。

6.假设某个用户A发现他的RSA私钥(dl,nl)与另一个用户B的RSA公钥(e2,n2)相.同。也就是说,dl=e2,且nl=n2。用户A是否应该考虑更换他的私钥和公钥?

7.某公司要组建一个小型Window。局域网,包括1台服务器和10台PC机,网络结构如图9-10所示。该公司在服务器上建立自己的商业网站,网站域名为www.economical. Comp。

(1)为了将公司内所有的计算机连接起来。图中的(A)处可采用哪两种类型的设备

?

(2)该网络的物理拓扑结构是什么类型?

(3)该公司在服务器上安装了DNS,以便把公司主页发布到Internet上。请问DNS 的主要功能是什么?

(4)在服务器和Internet接人之间安装采用IP过滤技术的防火墙,请问IP过滤技术是如何实现的?

8.VPN是通过公用网络Internet将分布在不同地点的终端联接而成的专用网络。目前大多采用IPSe实现IP网络上端点间的认证和加密服务。某公司的网络拓扑结构如图9-11所示,采用VPN来实现网络安全。请简要叙述从公司总部主机到分支机构主机通付IPSec的通信过程。

Wlan网络安全

  【摘要】 无线局域网络(Wireless Local Area Networks; WLAN)是在局部区域以无线媒体和介质进行通信的无线网络,它具备接入灵活、带宽高、低成本等特点。应用无线通信技术将计算机设备互联起来,客户可通过笔记本电脑、PDA等终端以WLAN随时随地接入互联网和企业网,获取信息、娱乐或进行办公,灵活接入的特点,也决定了WLAN网络面临网络攻击的风险。

  【关键词】 WLAN 网速 安全
  一、绪论
  1.1 WLAN网络安全的重要性
  在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到普及和发展。
  但是无线网络面临的威胁越来越多,像蹭网、重要隐私和数据遭破坏或窃取等事件也是接连发生,因此,网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。为了保证信息的安全与畅通,研究网络安全及防范措施已迫在眉睫,我们必须采取一定的安全技术手段来保护无线网络的安全。
  1.2 WLAN的研究现状
  面对社会的快速发展与人们生活的需要,WLAN在不断的成熟与普及,越来越多的校园与企业开始构建与铺设无线网络,无线网络的发展已成为人们生活中未来发展的趋势;但随着网络的开放,共享与互联性,网络的各种安全漏洞层出不穷,致使WLAN安全问题提升到一个新的高度,解决当前WLAN安全问题已成为一个社会的关注点。
  二、WLAN网络安全
  2.1无线局域网的安全必要性
  由于WLAN通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。
  2.2无线信道上传输的数据所面临的威胁
  由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。对于图谋不轨的人来说,只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容。
  另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
  2.3无线局域网安全性
  无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
  2.4无线局域网安全技术的发展趋势
  目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式。看来无线局域网真正的腾飞并非一己之事。
  无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
  三、结束语
  无线网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
  作者简介:李延(1984.6.20-),助理工程师,专科,主要从事通信工程建设工作。
  参 考 文 献
  [1] 郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997
  [2] 徐国爱,《网络安全》,北京邮电大学出版社,2006.5

论网络安全管理

论网络安全

——还青少年一颗健康的心

Xxxx专业 学生 xxx 学号 xxx

关键词 青少年 互联网 安全

社会高速发展的今天,网络也随之走近并走进了我们的生活。大多数的青少年与时俱进,跟上社会的大步伐。我们发现青年与网络之间存在众多的契合点,正是这些契合点使青年对互联网“一网情深”。青年在网络影响下千状百态虽然向社会展示了其众多绚丽之处,也令人倍感惊喜。但不少青年网民的失色表现却无论如何不能给社会增辉,不能让人高枕无忧。

一、青少年用户使用互联网的特征

(一)开始使用互联网的用户量随时间而增加

约80%的用户从1999年或2000年开始使用互联网,网龄大都不长。具体分布如下:1997年以前占6.3%;1998年占14.0%;1999年占36.20%;2000年占43.50%

(二)上网地点多样

58.8%的青少年用户在家里上网,31.5%的用户在亲戚朋友家上网,在网吧、咖啡厅或电子游戏厅上网的占20.45%,在父母或他人办公室上网的占15.0%,在学校上网的占10.8%。

(三)上网时间与对上网时间的满意度估计

青少年用户平均每周上网时间212分钟左右,如果平均到每日,约30分钟左右。37.0%的用户认为自己上网时间“正好”,认为“比较多还能满足”的用户占12.0%,认为“太多了”的仅为0.7%。31.7%的用户认为“比较少”,18.5%的青少年用户认为“太少了”。也就是说,50%的青少年用户对上网时间并不满足

(四)互联网功能的使用

玩游戏占62%;使用聊天室占54.5%;收发电子邮件占48.6%;下载储

存网页占39.7%;使用搜索引擎占25%;订阅新闻占21.9%;网络电话占14.7%;网上寻呼占14.3%;制作和更新个人网页占12.6%;上传文件占9.4%;公告板(BBS)占9.2%;代理服务器占2.3%。

(五)用户和非用户对互联网的需求

用户选择“获得更多的新闻”为最重要的需求的比例最高,其均值为

3.81(满分为5分,以下同)。以下依次是:“满足个人爱好”为3.74;“提高课程的学习效率”为3.71;“课外学习和研究有兴趣的问题”为3.67;“结交新朋友”为3.65。最不重要的需求是“享受成年人的自由”,均值为2.8l。

二、网络的影响

(一)网络的正面影响 1、网络有助于创新青少年思想教育的手段和方法

利用网络进行德育教育工作,教育者可以以网友的身份和青少年 在网上“毫无顾忌”地进行真实心态的平等交流,这对于德育工作者摸清、摸准青少年的思想并开展正面引导和全方位沟通提供了新的快捷的方法。此外,由于网络信息的传播具有实时性和交互性的特点,青少年可以同时和多个教育者或教育信息保持快速互动,从而提高思想互动的频率,提高教育效果;由于网络信息具有可下载性、可储存性等延时性特点,可延长教育者和受教育者思想互动的时间,为青少年提供“全天候”的思想引导和教育。还可以网上相约,网下聚会,实现网上德育工作的滋润和补充,从而及时化解矛盾,起到温暖人心,调动积极性,激发创造力的作用。

2、提供了求知学习的新渠道

目前在我国教育资源不能满足需求的情况下,网络提供了求知学习的广阔校园,学习者在任何时间、任何地点都能接受高等教育,学到在校大学生学习的所有课程、修满学分、获得学位。这对于处在应试教育体制下的青少年来说无疑是一种最好的解脱,它不但有利于其身心的健康发展,而且有利于家庭乃至于社会的稳定。

3、开拓青少年全球视野,提高青少年综合素质

上网使青少年的政治视野、知识范畴更加开阔,从而有助于他们全球意识的形成。同样,又可提高青少年综合素质。通过上网,可以培养他们和各式各样的人交流的能力;通过在网上阅览各类有益图书,触类旁通,提高自身文化素养。

(二)网络的负面影响

1、对于青少年“三观”形成构成潜在威胁

青少年很容易在网络上接触到资本主义的宣传论调、文化思想等,思想处于极度矛盾、混乱中,其人生观、价值观极易发生倾斜,从而滋生全盘西化、享乐主义、拜金主义、崇洋媚外等不良思潮。

2、网络改变了青年在工作和生活中的人际关系及生活方式

青少年在网上公开、坦白地发表观点意见,要求平等对话,对青少年工作者的权威性提出挑战,使思想政治工作的效果往往不能达到预期。同时,上网使青少年容易形成一种以自我为中心的生存方式,集体意识淡薄,个人自由主义思潮泛滥。

3、信息垃圾弱化青少年的思想道德意识

有关专家调查,网上信息47%与色情有关,六成左右的青少年在网上无意中接触到黄色信息。还有一些非法组织或个人也在网上发布扰乱政治经济的黑色信息,蛊惑青少年。这种信息垃圾将弱化青少年思想道德意识,污染青少年心灵,误导青少年行为。

4、网络的隐蔽性,导致青少年不道德行为和违法犯罪行为增多

一方面,少数青少年浏览黄 色和非法网站,利用虚假身份进行恶意交友、聊天。另一方面网络犯罪增多,例如传播病毒、黑客入侵、通过银行 和信用卡盗窃、诈骗等。这些犯罪主体以青少年 为主,大多数动机单纯,有的甚至是为了“好玩”、“过瘾”和“显示才华”。另外,有关网络 的法律制度不健全也给青少年 违法犯罪以可乘之机。

三、上网青年的各种“症状”

(一)认知上的“快餐——硬结”症

对于众多步履匆忙的青年而言,互联网好比知识快餐一样,大大激发了他们急于求知的强烈欲望,在鼠标轻点之间就能立刻在浩如烟海的信息海洋中找到自己所需的信息,从而大大提高了单位时间里的学习、工作效率。 而对网上各种时髦展品,他们在好奇心、求知欲驱使下流连忘返,从不审视、怀疑它的构造成份和运转功效,整个大脑于囫囵吞枣之际成了一个受动而麻木的机器,致使许多硬结不但吞噬着青年人本应充满活力和主见的青春大脑,而且阻塞着他们对真知的内化。

(二)情感上的“狂泻——冷漠”症

对于那些至今尚未完全摆脱父权主义、顺应主义教育的青年来说,虽然在现实中其情感表露总要受到他人及社会的左右,但他们身上被压抑的诸多情感却可以在网络世界中肆意暴发。上网交友,网上聊天、在BBS中高谈阔论成了人们忘记权威压制、排遣孤独,宣泄不

满的畅通渠道。只是我们观察到,尽管互联网在一定程度上有助于青年缓解压力、平衡心理、但过多虚拟的网上情感交流无疑让许多青年在放飞情感的同时,总想试图将自己真实的情感深埋心底,不愿向真实世界坦露,并懒得与活生生的人进行情感交流。 生活中,这些人沉默寡言、不善言谈、不为世间情感所动,显出一副冷漠姿态。互联网成了一部分人面对现实情感世界的心灵之锁。

(三)意志上的“自主——膨胀”症 在互联网这一无人管理的区域内,青年人能够以己为中心,以己需要为尺度,完全按自己的个人意志自主地利用网上资源、自主地在游戏中扮演各类角色、自主地设计令人惊叹的“小制作”、“小发明”等等,这种无拘无束,随心所欲的意志自主表现虽然在相当程度上利于青年个性的张扬。 但我们也为一部分人在极度的意志自主中其“唯我独尊、唯我是大”的意志膨胀表现所震惊:一些青年仅仅是为了显示自己的个性,总想通过自己的意志自主表现而一鸣惊人,于是利在互联网上随意制造思想和议论的巨大泡沫,甚至为了达到让世人把他当主角的目的而不惜作出损害别人数据、破坏他人网站,侵入别人系统等过激行为,以至酿发可怕的阻塞网络交通的网络地震。

四、充分认识网络发展中的“青年问题”,积极寻求对策 (一)充分认识网上思想渗透问题,强化对青少年的教育引导

必须加强对青少年的思想政治教育,以马列主义,毛泽东思想,邓小平理论和“三个代表”重要思想教育引导广大青少年,使他们坚定共产主义理想信念,努力树立起正确的人生观、世界观和价值观,强化爱国主义意识和宏扬民族精神。

(二)切实加强网上文明行为规范的建设

要广泛开展以宣传《青少年网络文明公约》为主题的各项活动,积极引导青少年遵守网络道德,提倡“五要五不”,即:要善于网上学习,不浏览不良信息;要诚实友好交流,不侮辱欺诈他人;要增强保护意识,不随意约见网友;要维护网络安全,不破坏网络秩序;要有益身心健康,不沉溺虚拟空间。努力创造干净、健康、文明、有序的网络环境。

(三)构建网络和社会互动的青少年教育体系

网络时代的青少年思想教育是一项复杂的系统 工程,因此政府、社会、家庭要协作联动,努力做到三个结合:一是要把传统的青少年教育的政治优势和互联网的特征有机结合起来;二是把党、政府和群众团体的组织力量和培养网上青年志愿者的工作结合起来;三是把网站的建设工作与对现有青少年组织和机构运

行机制进行必要的改革结合起来,以适应网络发展需求。另外,还要着重加强对青少年 的社会化教育,提高青少年适应现代社会的能力,使他们勇敢地直面现实世界,积极投入到改造社会的实践中去。

(四)培养一批适应网络时代要求的青少年工作者

调查显示,目前青少年工作者中有5.6%的人根本不会用电脑,38.4%的人根本没有接触过网络,这种情况很难适应网络时代的教育要求,所以,我们必须加强对青少年工作 者队伍网络技术的培训,让他们尽快掌握和互联网有关的知识和技能,丰富自己的知识容量,改善自己的知识结构,了解青少年的所思所想,这样才能使教育工作更具有针对性。

(五)开辟更多的更好的青年网站,积极占领网络阵地

目前,大多数青少年网站没有新鲜感、时代感,显得比较呆板,不容易产生强烈的凝聚力和号召力。因此我们要尽快建设内容丰富多彩、形式独特而富有新意的青少年网站,以“主题鲜明、形式活泼、清新高雅、健康向上”的风格对青少年进行正面教育,真正在“以理服人、以情感人”上有所突破。同时,要加强青少年教育软件的开发制作,利用法律和技术上的可行性打击网上违法犯罪现象,走“以法治网”的良性发展轨道。

因此,只要积极引导,互联网可以成为最好的、最有效用的工具,而不是玩具。他能为社会带来巨大便利,使社会更快速的发展,我们必须用好互联网,安全使用他,所以必须做好网络安全管理。

参考文献

【1】《当代青年研究》2002、4

网络安全webquest

《计算机安全及网络道德法律规范》

【教学背景】

在之前的课上同学们学习了如何利用因特网来获取和交流信息,网络已经开始渗透在学生学习与生活的方方面面,但网络如同一把双刃剑,在享受网络带来的便利的同时,学生也面临着网络带来的种种问题,如何正确引导学生合理利用网络,在使用网络的同时遵循法律法规与道德文明,培养学生的网络安全防范意识,具有现时意义。

【教学课题】

《计算机安全及网络道德法律规范》

【教学目标】

1. 知识与技能

(1)能够了解网络世界虚伪性,了解网络欺骗和网络黑客的危害。

(2)能够掌握基本的网络安全措施和自我保护方法

2.过程与方法

能够按照WebQuest的设计要求,小组协作完成探究。

3.情感态度价值观

(1)体验网络给学习和生活带来的变化

(2)正确认识网络技术和网络黑客

(3)树立网络安全意识,树立文明的上网习惯,自觉地维护网络秩序

(4)通过Webquest的探究,提高学生自主学习、团队合作的能力,提升学生探究的热情

【学习者分析】

学生为青少年学生,对上网有浓烈兴趣,在学习之前已经学习了浏览网页、利用因特网查找信息、下载网页信息的方法。但学生在使用网络时,信息安全意识薄弱,对于基本的网络信息安全措施不了解。

【教材分析】

本课内容是《计算机安全及网络道德法律规范》,包含计算机病毒、知识产权和个人隐私等三方面内容,突出网络安全的重要性,本课旨在让学生在网络生活中注意网络安全,培养学生的网络安全意识,并配合德育,引导学生在使用网络时应当遵循法律法规与道德,讲究文明。

【教学策略】

采用小组协作进行WebQuest探究教学方法。

【重点与难点】

教学重点:网络道德法律规范及信息安全的重要性

教学难点:对计算机病毒、知识产权及个人隐私安全

【教学环境】

Web电脑室

一、引言

与网友约会见面,是令不少青少年朋友兴奋和得意的事。但涉世未深的孩子与一个陌生人见面,是令父母们最为担心和反对的。父母的担心不无道理!你可知道,不法分子以网友见面为名实施违法犯罪的案件时有发生。警方曾破获这样一个抢劫团伙──他们在网上聊天室里专门寻找一些警惕性较差的女中学生,在聊天过程中,一旦打探到对方带有手机,就迫不及待地热情邀请女生到他所在的网吧一起玩游戏,并告知来的路线,并再三嘱咐女生别忘了带手机,到时联系。一般女生所走的路线都会经过偏僻的小巷或街心花园,当经过此处时,早已守候在那里的歹徒便一拥而上,将其所带的手机和随身财物一抢而空。

身处于网络化的社会,因特网正渗透到生活、学习的方方面面。大家既可以享受网络带来的各种便利和机遇,也不得不面对网络带来的种种问题。让我们不得不思考人类所创造的东西都是百利而无一害吗?要怎样合理安全地利用信息技术?更好地保障我们在网络生活中的合法权益,通过这个WebQuest实践大家一起来探究计算机安全与使用道德。

二、任务(Task)

任务一:为了让同学们对计算机安全与使用道德有所了解,请你从网上查找资料,制作一份详细的文件,介绍计算机安全及网络道德法律规范。

任务二:通过讨论,进行互联网活动的个案分析,利用网络查找资料,以论证你们的观点,并形成一份个案分析报告。

任务三:写一份倡议书,引导同学们如何正确对待网络,倡导文明上网,预防互联网的非法和不道德活动,提高上网的安全性,加强自我保护意识。

三、过程(process)

课前准备:自由组合,以四至六人为一组,并选出组长。

任务一:从知识产权、个人隐私、黑客入侵、计算机病毒、垃圾邮件等角度出发,选择至少三个方面,介绍计算机安全与网络道德。

任务二:通过讨论,进行互联网活动的个案分析,利用网络查找资料,以论证你们的观点,并形成一份个案分析报告。

任务三:写一份倡议书,引导同学们如何正确对待网络,倡导文明上网,预防互联网的非法和不道德活动,提高上网的安全性,加强自我保护意识。 任务四:展示你们的作品,并对其他组的作品进行鉴赏和评价。

汇报成果,总结经验:

开展全班的小组成果汇报。每一小组推选出一名同学作为本小组的汇报员,将自己小组里搜集的资料,有顺序,有目的的展示,并有条理地讲解给全班同学听。汇报的时候,其他的同学可以提问,或对该同学所讲的内容进行补充。然后全班进行总结,小组长要对本组在合作方面进行小结。最后由同学们评选出最团结的小组、最有成效的小组和最优秀的汇报员。

四、资源(Resources)

(1)搜索引擎:

百度:http://www.baidu.com

搜搜:http://www.soso.com

其他网络资源:

网络购物安全专题http://security.zdnet.com.cn/files/klist-125-159068-1.htm :

钓鱼网站:http://baike.baidu.com/view/64418.htm

支付宝安全学堂:https://securitycenter.alipay.com/sc/study/index.htm Windows系统用户摆脱黑客攻击的方法:http://soft.yesky.com/securityw/aqff/8/7741008.shtml

网络安全专家支招防范黑客攻击九大方法:http://soft.yesky.com/security/hkjj/146/7719646.shtml

网络病毒:http://baike.baidu.com/view/842976.htm

恶意代码:http://baike.baidu.com/view/16443.htm

木马病毒:http://baike.baidu.com/view/16873.htm

IE浏览器修复:http://baike.baidu.com/view/2214507.htm

怎样修复IE浏览器:http://jingyan.baidu.com/article/3065b3b636eff8becff8a403.html

怎样防止QQ盗号:http://jingyan.baidu.com/article/358570f61d7292ce4724fc8f.html

怎样防止盗号木马入侵你的电脑:http://xz4.2000y.net/104039/index.asp?xAction=xReadNews&NewsID=728 QQ安全学堂:http://aq.qq.com/cn2/safe_school/safe_school_index 网络诈骗:http://baike.baidu.com/view/1048470.htm

网络诈骗的12种方法揭秘:http://tech.qq.com/zt/2008/wlqz/

网络警察:http://baike.baidu.com/view/47175.htm

网络犯罪:http://baike.baidu.com/view/573426.htm

全国青少年网络文明公约:http://baike.baidu.com/view/20487.htm 文明上网:http://baike.baidu.com/view/17696.htm

(2)文章

“绿色上网”倡议书

《遵守公约,文明上网,营造健康的网络道德环境》倡议书

中国计算机安全

倡议书──增强文明上网意识,科学上网,营造良好的网络环境

比较中外网络犯罪立法

用法律与道德维护网络版权

网络:这里不是一方净土

五、评估(Evaluation)

六、结论(Conclusion)

随着科技的发展,网络已成为我们生活中不可或缺的一部分,网络虽然带来了方便,但同时也引起不少犯罪和道德问题,同学们通过制作网络相关的法规文件和个案分析,应该能够明白哪些行为是违法的,在参与网络活动时,要学会保护自己,提高警觉,免受不法分子的危害。另外,同学们应该能够在小学学习信息技术的基础上,重新体验和进一步学习文字编辑的软件WORD,并且学习了制作文件和倡议书,学习了如何选取和组织合适的资料。

13.网络安全

网络安全

李伟明

1.网络安全发展

网络安全形势非常严峻:

2014年Heartbleed和Shellshock可以说是有史以来“最严重”的漏洞利用。Heartbleed几乎无法追踪,而Shellshock/Bashdoor可能是有史以来最简单的远程代码执行,它根本不需要身份验证,但可以影响大多数物联网嵌入式设备。

1.网络安全发展

2014年79790家公司被黑泄漏数据;2122家公司公开确认信息被窃取;(500强企业超过半数)60% 的案例里,攻击者仅需要几分钟就可以得手;70%-90%的样本都是有针对性的(APT,Advanced Persistent Threat);

75%的攻击会在24小时内从一个受害者快速扩展到其他受害者。

1.网络安全发展

2015 -Kaspersky (Duqu 2.0)

2015 -Hacking Team

2014 –SONY(黑客攻击电影泄露)

2014 –APPLE(利用Find My iPhone API 来进行字典攻击)

1.网络安全发展-Duqu 2.0

卡巴斯基实验室公开承认其公司网络遭APT攻击,而且被入侵长达数月未发现,入侵卡巴斯基和入侵伊朗核问题“六方”会谈承办酒店电脑的都是超级计算机病毒Duqu 2.0。

而且其所使用的合法数字证书盗自富士康公司。Duqu2.0是现今为止最为复杂的蠕虫,广泛应用于各种APT攻击事件中。

1.网络安全发展-Duqu 2.0

针对卡巴斯基实验室的初始攻击,以亚太区的一个较小规模分支机构的某个员工为目标。Duqu 2.0 的初始感染向量目前未知,但是因为第一批感染源的邮箱和网络浏览器的记录被清除了,推测其目的是隐藏攻击痕迹。鉴于相关的各台机器都打了完整的安全补丁,相信攻击者使用了一个0 day 漏洞完成初始攻击。

2011 年,发现了Duqu 攻击使用了包含0 day 漏洞(CVE-2011-3402,依赖于一个恶意的嵌入式True Type 字体文件)利用代码的Word 文档。该漏洞允许攻击者通过Word 文档直接攻入内核模式。

1.网络安全发展-Duqu 2.0

在Duqu 2.0 的情况下,攻击者利用了另一个0 day 漏洞(CVE-2014-6324)实现横向运动。该漏洞利用代码允许普通权限的域用户将访问凭证提权至域管理员帐户。

一旦攻击者获得了域管理员权限,他们就能够利用这些权限感染该域中的其他计算机。

1.网络安全发展-Hacking Team

客户

1.网络安全发展-Hacking Team

客户

1.网络安全发展-Hacking Team

产品

1.网络安全发展-Hacking Team

产品

1.网络安全发展

传统的网络安全设备和系统:

1.

2.

3.

4.

5.Anti-Virus Software/HardwareFirewall(IPTables)VPN,TORWAF(Web Application Firewall)IDS(Intrusion Detection System)+SIEM(Security Information and Event Management)

6.UTM(Unified Threat Management),NGFW

除了3属于加密通信,其他本质上都是基于特征的检测方法

1.网络安全发展

Verizon联合了19个组织机构一起撰写报告

(DBIR2013),分析的数据更加丰富和全面,包括了47000多起数据破坏安全事故,621宗确认的数据泄漏案例,以及至少4400万份失窃的记录。

1.成功的攻击中,92%是由于外部攻击者《

DBIR2013》

2.攻击大多不能通过现有安全设备发现,87%源自外部的报告《DBIR2013》

3.互联网上的传播的病毒,54%不能通过AV检查出来(NTT Group)

1.网络安全发展-APT

Stuxnet蠕虫病毒(超级工厂病毒)又名“震网”,是世界上首个专门针对工业控制系统编写的破坏性病毒。2010年被发现,至少在2009年之前就开始大规模传播。

传播途径:该病毒主要通过U盘和局域网进行传播。

“历史贡献”:曾造成伊朗核电站推迟发电。

1.网络安全发展-APT

Stuxnet能够利用5个针对windows系统和两个针对西门子SIMATIC WinCC系统的漏洞进行攻击。

特别是针对西门子公司的SIMATIC WinCC过程监控与数据采集(SCADA) 系统的攻击。由于该系统在我国被广泛用于钢铁、电力、能源、化工等的人机交互与监控。。

1.网络安全发展-APT

Stuxnet的攻击目标主要是SIMATIC WinCC软件,主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图

所示:

1.网络安全发展

-APTmrxnet.sys通过

修改一些内核

调用来隐藏被

拷贝到U盘的

lnk文件和DLL

文件

1.网络安全发展-APT

Stuxnet 让公众知道:“原来真有这种事”Snowden 让公众知道:“原来这种事这么多”Hacking Team 让公众知道:“原来这种事都正经当买卖干了”

1.网络安全热点领域

传统安全设备从本地网络或终端数据中发现未知威胁,对于互联网而言,仿佛研究森林中的一片叶子。

通过对互联网海量多维数据的分析、挖掘和关联,才能真正解决在本地数据中快速发现未知威胁的难题:

1.复合型的安全产品举例

2.威胁情报平台

2.复合型的网络安全产品

CyberBIT是以色列国防部门和情报界的一个主要网络安全解决方案提供商。

以色列99%电力公司,66%银行,75%国防部门使用它们的产品。

能够满足石油能源、交通、IT、政府、银行行业的安全需求。

2.

复合型的网络安全产品

2.复合型的网络安全产品

主要产品有三个:

用于训练和模拟的Cyber Shield TnS(Training and Simulation)用于网络安全分析和检测的Cyber Shield AnD(Analysis and Detection),类似产品包括:Firewall、IDS、SIEM

用于网络攻击抑制和响应的Cyber Shield MnR (Mitigation and Response),类似产品包括:SOC

其中后两个产品可以集成起来,形成更加完善的网络安全产品

2.复合型的网络安全产品

用于网络安全分析和检测的Cyber Shield AnD由两个部分组成:

Sensors负责收集数据以及检测本地异常信息分析部分负责:

行为模式异常检测(Anomalies detection of behavioral pattern)一般是通过规则,将多个Sensor搜集的异常进行模式匹配跨域的关联分析(Cross domain correlation)

一般是对多种类型的Sensor数据进行关联分析,将不同类型数据关联到一起,呈现更复杂的安全事件

2.复合型的网络安全产品

用于网络安全分析和检测的Cyber Shield AnDCyber Shield AnD针对不同行业有不同行业的Cyber Shield AnD定制版本:

AnD For IT(for IT行业)

搜集内部网络和主机信息、其他资源

基于大数据的多层次异常检测

事件取证和实时分析

AnD For SCADA(for 工控行业)

非入侵式,网络协议和硬件诊断

深度报文分析

工控系统异常分析和取证

2.复合型的网络安全产品

用于网络攻击抑制和响应的Cyber Shield MnR (Mitigation and Response)

减少网络安全事件处理时间,利用最佳实践提高响应过程,实际上是一个安全运维中心(SOC)

核心功能:

智能化安排信息,降低管理员负担

集成所有的SOC Sensors(影响分析、事件管理、信息共享和协作、事件报告、任务调度、策略和知识管理)

保护各种资产

主要模块

安全事件管理

安全事件分析和态势感知

决策支持和解决方案推荐

3.威胁情报平台(进一步的解决方案)Splunk: the threat intelligence companyIBM: intelligence is the new defense

Norse: Norse maintains the world’s largest dedicated threat intelligence network

3.威胁情报平台

威胁情报:是应对资产所发生的威胁的基于证据的知识。包括威胁产生上下文、工作原理、检测方法、响应建议等。

机器可访问的威胁情报:machine-readable threat intelligence (MRTI)

威胁情报平台是用来搜集、关联、分类、集成威胁情报数据的平台,可以实时的支持防御行动优先级划分。

3.

威胁情报平台

3.威胁情报平台

很多研究人员和安全公司,认为威胁情报平台最大的创新是提出了可见性:

Visibility 可见性

Visualization 可视化

Visual Analytics 可视分析

机读情报可有效解决跨组织、跨设备、跨厂家的快速协同联防,在国外已经认为是安全防御发展的趋势,美国甚至专门成立了相关国家级组织、颁布了相关法令来改进其国家级基础设施防护

3.

威胁情报平台

3.威胁情报平台

除了可见性,威胁情报平台主要功能:

•CollectCorrelateCategorizeIntegrateActionShare

3.威胁情报平台

•Collect

•从多个数据源搜集和正规化数据,而且比普通的SIEM具有更强的异构数据处理能力,除了结构化的日志、告警数据,还可以分析非结构化的数据(Web pages, blogs, documents and social)

3.威胁情报平台

•Correlate

•根据数据内容将多个数据关联起来:A single email address, URL, domain, IP address or file can be the catalyst that connects together all of the existing information

3.威胁情报平台

•Categorize

•数据搜集和关联好之后,威胁情报平台就可以就可以进行分类,并开发更多的相关信息,形成威胁情报。例如:

an email address via the TIP‘s ability to perform relationship modeling,add:•Who has sent email to it

•Who has received email from this address

•Which domains this email has been used to register

•Which IP addresses are known to resolve via DNS to those domains•Which ISP details registered these domains

reveals further relationships, such as:

•Which other domains use the same DNS resolver

•Which internal hosts have tried to connect to this DNS resolver

•What other DNS host/domain name requests have been attempted to this

3.威胁情报平台

•Integrate

•对搜集的数据,用更多其他工具分析,并集成分析结果•Forensic tools搜集更多证据

•Intrusion detection system (IDS)/intrusion prevention system (IPS) 对当前威胁相关actor是否存在其他攻击•IP/host name/URL/filename reputation feeds for IPS, Web application firewall (WAF), next-generation firewall (NGFW) and secure Web gateway (SWG) 能够block其他用户访问危险目标

•SIEM加入到SIEM的watchlists搜集更多威胁相关actor的安全时间

3.威胁情报平台

•Action

•触发动作,自动响应

•Push notification of required actions to an analyst Disseminate content to other usersUpdate the IDS/IPSCreate Yara rules for use in other tools for malware detection.

•Generate imminent warning advice

3.威胁情报平台

•Share

•也是威胁情报平台的一

个特点,在信任圈

“circles of trust”中共享

威胁情报

4.如何描述威胁情报?

安全事件调查人员在安全事件应急响应过程中面临的其中一个挑战是,找一个有效的方法把所有调查过程中的信息组织起来。

这些信息包括攻击者的活动、所用的工具、恶意软件、或者其他的攻击指示器(indicators of compromise),简称IOC。

4.如何描述威胁情报?

以前的描述方式:

•IDMEF(The Intrusion Detection Message Exchange Format)rfc4765

define data formats and exchange procedures for sharing

information of interest to intrusion detection and response systems and to the management systems that may need to interact with them。

•The Incident Object Description Exchange Format rfc5070•ClamAV 特征

Exploit.WMF.Gen-

1:0:0:010009000003521f0000????????????0000??00000026名字:目标类型:偏移:特征

4.如何描述威胁情报?

最常见的IOC用例:

•恶意软件/工具型:这种类型的IOC可用于发现某些已知类型的恶意软件或恶意工具,通常通过查找二进制文件或其文件属性,或其执行时创建的特征,例如一些预读文件、注册表键值等。

•方法论型:不同于上一种可直接识别恶意软件/工具,这种类型的IOC为了生成一些调查的线索,查找注册表中所有“Run”键值内容结尾为“.jpg”,这个IOC代表了一种不正常的情况,在安全调查中就指示出很可能是一个已被恶意利用了的证据。

•“袋装”型:你可能已经在使用这种IOC,很多组织会订阅一些威胁情报,这些订阅的feed通常会投递一些MD5或者ip地址列表,一“袋装”的IOC可以代表这些入侵指示器(indicator)的一个集合。

4.如何描述威胁情报?

一个IOC通常由三个部分组成,分别是IOC

元数据部分、参考部分以及定义部分。下面

使用Mandiant的IOC编辑器来了实际了解一

下这些组成部分。

4.如何描述威胁情报?

元数据:

IOC元数据描述了以下信息,例如本IOC的名称(Evil.exe[BACKDOOR])、作者(jsmith@domain.tld)以及简述参考:

在IOC的参考里面,可以有调查事件的名称或者case编号,IOC成熟度的评论和信息(例如Alpha, Beta,Public Release等等)这些信息有助于你理解这个IOC适合放到你的威胁情报库中的什么位置。这个参考字段通常的用法是用于把IOC关联到特定的威胁组织(好比如APT1)。当于第三方共享IOC

信息时,删除特定的参考字段的做法并不常见。

4.如何描述威胁情报?

定义:

这是IOC的核心内容了,包括了调查人员决定编写IOC的关键内容。例如,可能包括一个文件的MD5值,注册表路径或一些在进程内存中发现的线索,所谓的指示器(indicator)会列在这个定义字段里,或者组合到表达式里面,这些表达式通常由两个术语和一些布尔型逻辑符组成。OpenIOC的其中一个特性令它特别有用,就是它可简单的组合一些and,or

的逻辑条件判断符。

4.如何描述威胁情报?

Indicator of Compromise (IOC)标准—in computer

forensics is an artifact observed on a network or in

an operating system that with high confidence

indicates a computer intrusion.

1.CybOX(Cyber Observable eXpression)

2.STIX(Structured Threat Information eXpression)

3.OpenIOC

4.如何描述威胁情报?

CybOX

Cyber Observable eXpression (CybOX) 规范定义了一个表征计算机可观察对象与网络动态和实体的方法。可观察对象包括文件,HTTP会话,X509证书,系统配置项等。这种可观察对象由于具有某个特定值,往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象,通常作为判断恶意企图的指标。

STIX

Structured Threat Information eXpression (STIX) 提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法。STIX的数据结构中,对于表象特征(Obsevables),使用CybOX 来描述。STIX规范可以描述威胁情报中多方面的特征,包括威胁因素,威胁活动,安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。

OpenIOC

4.如何描述威胁情报?

被FireEye 10亿美金收购的专业安全威胁情报公

司Mandiant,在2013年发布了其成名作关于中

国黑客攻击的APT1报告。

其在发布APT1报告同期发布的附件文件

Mandiant_APT1_Report_Appendix.zip 中除对APT

攻击中包含的恶意代码家族的分析和SSL证书之

外,还包含使用其力推的OpenIOC格式的相关可

机读的IOC文件。

随后,MITRE也根据Mandiant的报告,提供了使

用业内更加公认的STIX 1.1.1格式的机读文件。

4.如何描述威胁情报-APT1-BISCUIT-OpenIOC

格式

4.如何描述威胁情报-APT1-恶意域名-STIX

格式

2.如何描述威胁情报

-OpenIOC duqu

5.威胁情报平台举例

网络安全有哪些

网络安全的关键技术有哪些?

一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题: 执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。

基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。 基于MAC的VLAN不能防止MAC欺骗攻击。

以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。

但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二.防火墙枝术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.

虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.

防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统 如果答案是

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等

方向发展.

三.病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。

我们将病毒的途径分为:

(1 ) 通过FTP,电子邮件传播。

(2) 通过软盘、光盘、磁带传播。

(3) 通过Web游览传播,主要是恶意的Java控件网站。

(4) 通过群件系统传播。

病毒防护的主要技术如下:

(1) 阻止病毒的传播。

在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

(2) 检查和清除病毒。

使用防病毒软件检查和清除病毒。

(3) 病毒数据库的升级。

病毒数据库应不断更新,并下发到桌面系统。

(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。

四.入侵检测技术

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:

(1) 入侵者可寻找防火墙背后可能敞开的后门。

(2) 入侵者可能就在防火墙内。

(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。

入侵检测系统可分为两类:

√ 基于主机

√ 基于网络

基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。

基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示: 上述模型由四个部分组成:

(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。

(3) countermeasure执行规定的动作。

(4) Storage保存分析结果及相关数据。

基于主机的安全监控系统具备如下特点:

(1) 精确,可以精确地判断入侵事件。

(2) 高级,可以判断应用层的入侵事件。

(3) 对入侵时间立即进行反应。

(4) 针对不同操作系统特点。

(5) 占用主机宝贵资源。

基于网络的安全监控系统具备如下特点:

(1) 能够监视经过本网段的任何活动。

(2) 实时网络监视。

(3) 监视粒度更细致。

(4) 精确度较差。

(5) 防入侵欺骗的能力较差。

(6) 交换网络环境难于配置。

基于主机及网络的入侵监控系统通常均可配置为分布式模式:

(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。

(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。

选择入侵监视系统的要点是:

(1) 协议分析及检测能力。

(2) 解码效率(速度)。

(3) 自身安全的完备性。

(4) 精确度及完整度,防欺骗能力。

(5) 模式更新速度。

五.安全扫描技术

网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。

安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。

安全扫描工具通常也分为基于服务器和基于网络的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:

(1) 速度。在网络内进行安全扫描非常耗时。

(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。

(3) 能够发现的漏洞数量。

(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。

(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。

(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。

安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发

现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。

认证技术将应用到企业网络中的以下方面:

(1) 路由器认证,路由器和交换机之间的认证。

(2) 操作系统认证。操作系统对用户的认证。

(3) 网管系统对网管设备之间的认证。

(4) VPN网关设备之间的认证。

(5) 拨号访问服务器与客户间的认证。

(6) 应用服务器(如Web Server)与客户的认证。

(7) 电子邮件通讯双方的认证。

数字签名技术主要用于:

(1) 基于PKI认证体系的认证过程。

(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。

认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。

UserName/Password认证

该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。

使用摘要算法的认证

Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。

基于PKI的认证

使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。

七.VPN技术

1、 企业对VPN 技术的需求

企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。 因为VPN利用了公共网络,所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet,暴露出两个主要危险:

来自internet的未经授权的对企业内部网的存取。

当企业通过INTERNET进行通讯时,信息可能受到窃听和非法修改。

完整的集成化的企业范围的VPN安全解决方案,提供在INTERNET上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。

企业网络的全面安全要求保证:

保密-通讯过程不被窃听。

通讯主体真实性确认-网络上的计算机不被假冒。

2、数字签名

数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。

并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。

通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥,并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。

类 型 技 术 用 途

基本会话密钥 DES 加密通讯

加密密钥 Deff-Hellman 生成会话密钥

认证密钥 RSA 验证加密密钥

基于此种加密模式,需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。

3、IPSEC

IPSec作为在IP v4及IP v6上的加密通讯框架,已为大多数厂商所支持,预计在1998年将确定为IETF标准,是VPN实现的Internet标准。

IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。

Ipsec包含两个部分:

(1) IP security Protocol proper,定义Ipsec报文格式。

(2) ISAKMP/Oakley,负责加密通讯协商。

Ipsec提供了两种加密通讯手段:

Ipsec Tunnel:整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通讯。

Ipsec transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。

Ipsec Tunnel不要求修改已配备好的设备和应用,网络黑客户不能看到实际的的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道,因此,绝大多数均使用该模式。

ISAKMP/Oakley使用X.509数字证书,因此,使VPN能够容易地扩大到企业级。(易于管理)。

在为远程拨号服务的Client端,也能够实现Ipsec的客户端,为拨号用户提供加密网络通讯。

由于Ipsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。

八.应用系统的安全技术

由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。

1、域名服务

Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。

但是,域名服务通常为hacker提供了入侵网络的有用信息,如服务器的IP、操作系统信息、推导出可能的网络结构等。

同时,新发现的针对BIND-NDS实现的安全漏洞也开始发现,而绝大多数的域名系统均

存在类似的问题。如由于DNS查询使用无连接的UDP协议,利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。

因此,在利用域名服务时,应该注意到以上的安全问题。主要的措施有:

(1) 内部网和外部网使用不同的域名服务器,隐藏内部网络信息。

(2) 域名服务器及域名查找应用安装相应的安全补丁。

(3) 对付Denial-of-Service攻击,应设计备份域名服务器。

2、Web Server应用安全

Web Server是企业对外宣传、开展业务的重要基地。由于其重要性,成为Hacker攻击的首选目标之一。

Web Server经常成为Internet用户访问公司内部资源的通道之一,如Web server通过中间件访问主机系统,通过数据库连接部件访问数据库,利用CGI访问本地文件系统或网络系统中其它资源。

但Web服务器越来越复杂,其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心:

(1) Web服务器置于防火墙保护之下。

(2) 在Web服务器上安装实时安全监控软件。

(3) 在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统。

(4) 经常审查Web服务器配置情况及运行日志。

(5) 运行新的应用前,先进行安全测试。如新的CGI应用。

(6) 认证过程采用加密通讯或使用X.509证书模式。

(7) 小心设置Web服务器的访问控制表。

3、 电子邮件系统安全

电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。

加强电子邮件系统的安全性,通常有如下办法:

(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。

(2) 同样为该服务器安装实施监控系统。

(3) 该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯)。

(4) 升级到最新的安全版本。

4、 操作系统安全

市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。对操作系统的安全,除了不断地增加安全补丁外,还需要:

(1) 检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新)。

(2) 基于系统的安全监控系统。

网络安全__论文

内蒙古化工职业学院

毕业设计说明书(论文)任务书

网络安全技术分析

摘 要

本论文主要阐述了当今随着网络应用的普及,财富日益集中在网络上,几乎每一个人都在关注信息网络中的安全问题。现有的各种安全技术,具有很强的灵活性和可扩展性,能够经济地、有效地保护政府部门、网络运营商、业务提供商和用户对现有网络使用的合法权益。中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。

从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。

网络安全是一个相对的概念,绝对的网络安全是不存在的。随着网络技术的不断发展,网络安全的需求将变得更加迫切。

关键词: 网络, 防火墙 ,网络攻击, 安全预防 ,网络安全

目 录

第一章 计算机系统安全中的网络安全„„„„„„„„„„„„„„„„„„„„4

1.1 引言„„„„„„„„„„„„„„„„„„„„„„„„„„„„„4

1.2 计算机系统的安全隐患„„„„„„„„„„„„„„„„„„„„„4

1.3 网络安全的定义„„„„„„„„„„„„„„„„„„„„„„„„4

第二章 网络安全基础理论和相关分析„„„„„„„„„„„„„„„„„„„„5

2.1 网络信息安全特征与保护技术„„„„„„„„„„„„„„„„„„5

2.2 网络信息安全机制„„„„„„„„„„„„„„„„„„„„„„„6

第三章 网络攻击的发展„„„„„„„„„„„„„„„„„„„„„„„„„„6

第四章 网络攻击和隐藏技术发展趋势„„„„„„„„„„„„„„„„„„„„7

4.1 窃听技术的发展趋势„„„„„„„„„„„„„„„„„„„„„„7

4.2 欺骗技术的发展趋势„„„„„„„„„„„„„„„„„„„„„„8

4.3 拒绝服务攻击技术的发展 „„„„„„„„„„„„„„„„„„„„9

4.4 数据驱动攻击技术„„„„„„„„„„„„„„„„„„„„„„„10

4.5隐藏技术及其新发展„„„„„„„„„„„„„„„„„„„„„„12 结束语„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„14 谢辞„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„14 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„15

第一章 计算机系统安全中的网络安全

1.1 引 言

随着计算机技术的突飞猛进,计算机网络的日新月异,网络已经深入到我们生活的各个角落。小到个人的生活,工作。大至国家的发展以致整个人类文明的进步。计算机网络在扮演着越来越重要的角色。然而,在我们每天通过互联网络与朋友通信,和同行交流,通过互联网了解新闻获取信息的同时,我们对这个网络究竟了解多少,我们是否能意识到给我们生活、工作带来快捷、便利的网络所潜伏的不安全因素。本文从掌握网络安全原理,加强网络技术含量、消除防范网络安全隐患、提高从业人员素质、强化网络安全意识等方面进行了分析探讨。

1.2 计算机系统的安全隐患

计算机技术的发展特别是网络技术的发展把计算机从独立的主机发展到复杂的互连的开放式的系统,这一变化直接引发了系统安全问题的提出。同时,计算机操作系统和网络通信技术的复杂性不断增加,不仅导致了安全问题复杂性的增加,而且增加了设计和实现真正可靠的安全防御体系的难度。信息系统存在的安全隐患是指系统存在漏洞和由此而带来的安全风险。信息系统在逻辑上可分为硬件组件和软件组件两类,硬件组件的安全隐患多来源于自身的设计,采用程序补丁的方法很难解决,应从管理上人的因素来弥补。而软件组件又分为操作系统和应用软件两类,操作系统处于基础层,是信息系统安全的最基本的安全因素,它的任何功能的变化都有可能导致信息系统安全脆弱分布情况的变化,但遗憾的是操作系统的可用性和安全性似乎是一对永无法调节的矛盾。作为网络通信的基础—网络协议,在其设计之初就没有考虑到安全问题,再加上作为操作平台的操作系统的不安全性从而导致了今天网络安全问题的日益严重。

1.3 网络安全的定义

计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的机密性、完整性及可使用性受到保护。要做到这一点,必须保证网络系统软件、应用软件、

数据库系统具有一定的安全保护功能,并保证网络部件,如终端、调制解调器、数据链路的功能仅仅能被那些被授权的人访问。网络的安全问题实际上包括两方面的内容,一是网络的系统安全,二是网络的信息安全,而保护网络的信息安全是最终目的。凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。

网络安全的具体含义随观察者角度不同而不同。从用户(个人、企业等)的角度来说,希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和不可否认性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯,即用户的利益和隐私不被非法窃取和破坏。从网络运行和管理者角度说,希望其网络的访问、读写等操作受到保护和控制,避免出现“后门”、病毒、非法存取、拒绝服务,网络资源非法占用和非法控制等威胁,制止和防御黑客的攻击。对安全保密部门来说,希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,避免给国家造成损失。从社会教育和意识形态角度来讲,网络上不健康的内容会对社会的稳定和人类的发展造成威胁,必须对其进行控制。

第二章 网络安全基础理论和相关分析

2.1 网络信息安全特征与保护技术

(一)信息安全特征:

1. 完整性

指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。

2. 保密性

指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。

3. 可用性

指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。

4. 不可否认性

指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。

5. 可控性

指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。

(二)信息安全保护技术:

当前采用的网络信息安全保护技术主要有两种:主动防御技术和被动防御技术。

1. 主动防御保护技术

主动防御保护技术一般采用数据加密、身份鉴别、存取控制、权限设置和虚拟专用网络等技术来实现。

2. 被动防御保护技术

被动防御保护技术主要有防火墙技术、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护及安全管理。

2.2 网络信息安全机制

网络信息安全机制定义了实现网络信息安全服务的技术措施,包括所使用的可能方法,主要就是利用密码算法对重要而敏感的数据进行处理。因此,安全机制是安全服务乃至整个网络信息安全系统的核心和关键。

(一)在开放系统互联(OSI)基本参考模型(ISO 7498)中该模型提供了以下5 种基本的安全服务方案。

1.鉴别(Authentication)

2.访问控制(Access Control)

3.数据保密(Data Confidendance)

4.数据完整性(Data Integrity)

5.抗否认(Non-repudiation)

(二)为了实施5 种可选的安全服务功能,ISO 7498-2 又具体提出如下8 类安全机制。

1.加密机制(Encryption Mechanisms)

2.数字签名机制(Digital Signature Mechanisms)

3.访问控制机制(Access Control Mechanisms)

4.数据完整性机制(Data Integrity Mechanisms)

5.鉴别交换机制(Authentication Mechanisms)

6.通信业务填充机制

7.路由控制机制(Routing Control Mechanisms)

8.公证机制(Notarization Mechanisms)

第三章 网络攻击的发展

网络攻击的发展有以下几点:

(一)发现安全漏洞越来越快,覆盖面越来越广。新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

(二)攻击工具越来越复杂。攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有以下特点:反侦破和动态行为。攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为。攻击工具的成熟性。与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。

(三)攻击自动化程度和攻击速度提高,杀伤力逐步提高。自动攻击一般涉及四个阶段,在每个阶段都出现了新变化。扫描可能的受害者、损害脆弱的系统。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。传播攻击,在2000年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。

(四)越来越不对称的威胁,Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的不对称性将继续增加。

(五)越来越高的防火墙渗透率,防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如,Internet打印协议和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

(六)对基础设施将形成越来越大的威胁,基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。

我们可以从攻击者的角度出发,将攻击的步骤可分为探测(Probe)、攻击(Exploit)

和隐藏(Conceal)。同时,攻击技术据此可分为探测技术、攻击技术和隐藏技术三大类,并在每类中对各种不同的攻击技术进行细分。

第四章 网络攻击和隐藏技术发展趋势

4.1 窃听技术的发展趋势

窃听技术是攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。可以从以下几个方面来分析。

(一)键击记录器。这是植入操作系统内核的隐蔽软件,通常实现为一个键盘设备驱动程序,能够把每次键击都记录下来,存放到攻击者指定的隐藏的本地文件中。著名的有Win32 平台下适用的IKS 等。

(二)网络监听。这是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法,通过设置网卡的混杂(promiscuous)模式获得网络上所有的数据包,并从中抽取安全关键信息,如明文方式传输的口令。Unix 平台下提供了libpcap 网络监听工具库和tcpdump、dsniff 等著名监听工具,而在Win32 平台下也拥有WinPcap监听工具库和windump、dsniff forWin32、Sniffer等免费工具,另外还有专业工具Sniffer Pro等。

(三)非法访问数据。这是指攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。

(四)攫取密码文件。这是攻击者进行口令破解获取特权用户或其他用户口令的必要前提,关键的密码文件如Windows 9x下的PWL 文件、Windows NT/2000下的SAM文件和Unix平台下的/etc/password 和/etc/shadow。

4.2 欺骗技术的发展趋势

欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法,属于此类的有获取口令、恶意代码、网络欺骗等攻击手法。

(一)获取口令的方式。主要有通过缺省口令、口令猜测和口令破解三种途径。某些软件和网络设备在初始化时,会设置缺省的用户名和密码,但也给攻击者提供了最容易利用的脆弱点。口令猜测则是历史最为悠久的攻击手段,由于用户普遍缺乏安全意识,不设密码或使用弱密码的情况随处可见,这也为攻击者进行口令猜测提供了可能。口令破解技术则提供了进行口令猜测的自动化工具,通常需要攻击者首先获取密码文件,然后遍历字典或高频密码列表从而找到正确的口令。著名的工具有John the Ripple、Crack和适用于

Win32平台的L0phtcrack等。

(二)恶意代码。包括特洛伊木马应用程序、邮件病毒、网页病毒等,通常冒充成有用的软件工具、重要的信息等,诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制,在启动后暗地里安装邪恶的或破坏性软件的程序,通常为攻击者给出能够完全控制该主机的远程连接。

(三)网络欺骗。是攻击者向攻击目标发送冒充其信任主机的网络数据包,达到获取访问权或执行命令的攻击方法。具体的有IP 欺骗、会话劫持、ARP(地址解析协议)重定向和RIP(路由信息协议)路由欺骗等。

1.IP 欺骗。是指攻击者将其发送的网络数据包的源IP地址篡改为攻击目标所信任的某台主机的IP地址,从而骗取攻击目标信任的一种网络欺骗攻击方法。通用应用于攻击Unix 平台下通过IP 地址进行认证的一些远程服务如rlogin、rsh等,也常应用于穿透防火墙。

2.会话劫持指。是指攻击者冒充网络正常会话中的某一方,从而欺骗另一方执行其所要的操作。目前较知名的如TCP 会话劫持,通过监听和猜测TCP 会话双方的ACK,插入包含期待ACK的数据包,能够冒充会话一方达到在远程主机上执行命令的目的。支持TCP 会话劫持的工具有最初的Juggernaut 产品和著名的开源工具Hunt。

3.ARP欺骗。这种方法提供将IP地址动态映射到MAC 地址的机制,但ARP机制很容易被欺骗,攻击主机可以发送假冒的ARP 回答给目标主机发起的ARP查询,从而使其错误地将网络数据包都发往攻击主机,导致拒绝服务或者中间人攻击。由于RIP没有身份认证机制,因此攻击者很容易发送冒充的数据包欺骗RIP 路由器,使之将网络流量路由到指定的主机而不是真正希望的主机,达到攻击的目标。

2007年以来,通过欺骗的方式获得机密信息的事件越来越多,在国内比较严重的银行诈骗事件已经让不少用户开始感觉到网络中存在的安全隐患。下面是国际反钓鱼组织公布了一个典型案例。攻击者发了一个欺骗的邮件并声称:按照年度计划,用户的数据库信息需要进行例行更新,并给出了一个“To update your account address”连接地址。由于这封Email来自:

SebastianMareygrossness@comcast-support.biz

因此,一般人不会太怀疑。不过,细心的用户会发现,表面地址是http://comcast-database.biz/,实际地址是http://66.113.136.225。很明显,这个攻击者利用了URL欺骗技术,以达到其不可告人的目的!

此外,还有不少流氓软件通过欺骗技术,未经许可强行潜伏到用户电脑中,而且此类程序无卸载程序,无法正常卸载和删除,强行删除后还会自动生成。有迹象表明,病毒、黑客和流氓软件正紧密结合,日益趋于商业化、集团化,并且已经形成了一根完整的产业链条。

4.3 拒绝服务攻击技术的发展

拒绝服务攻击指中断或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法,被认为是最邪恶的攻击,其意图就是彻底地破坏,而这往往比真正取得他们的访问权要容易得多,同时所需的工具在网络上也唾手可得。因此拒绝服务攻击,特别是分布式拒绝服务攻击对目前的互联网络构成了严重的威胁,造成的经济损失也极为庞大。拒绝服务攻击的类型按其攻击形式划分包括导致异常型、资源耗尽型、分布式拒绝服务攻击(DDoS)。

(一)导致异常型拒绝服务攻击。这种方法利用软硬件实现上的编程缺陷,导致其出现异常,从而使其拒绝服务。如著名的Ping of Death攻击和利用IP协议栈对IP 分片重叠处理异常的Treadrop攻击。

(二)资源耗尽型拒绝服务攻击。这种方法通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。根据资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击的本质是攻击者通过放大等技巧消耗掉目标网络的所有可用带宽。系统资源耗尽攻击指对系统内存、CPU 或程序中的其他资源进行消耗,使其无法满足正常提供服务的需求。著名的Syn Flood 攻击即是通过向目标服务发送大量的数据包,造成服务的连接队列耗尽,无法再为其他正常的连接请求提供服务。

(三)分布式拒绝服务攻击。这种方法通过控制多台傀儡主机,利用他们的带宽资源集中向攻击目标发动总攻,从而耗尽其带宽或系统资源的攻击形式。DDoS攻击的第一步是瞄准并获得尽可能多的傀儡主机的系统管理员访问权,然后上传DDoS攻击并运行。目前著名的DDoS 工具有TFN(Tribe FloodNetwork)、TFN2K、Trinoo、WinTrinoo和Stacheldraht等。

从2007年网络攻击技术的发展情况来看,最近发生的拒绝服务攻击事件大多与联机游戏有关。某些玩家对在游戏中被人杀死或丢失他们喜爱的武器不满意,因此发动拒绝服务攻击,许多服务器已经成为这种攻击的牺牲品。另外,使用拒绝服务进行网络敲诈勒索的事件仍然十分频繁,攻击者通过在短暂而非紧要的时间段内发动攻击,对用户的数据构成威胁,受害者则不得不为此而支付“保护费”。

4.4 数据驱动攻击技术

数据驱动攻击是通过向某个程序发送数据,以产生非预期结果的攻击,通常为攻击者给出访问目标系统的权限,数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。

(一)缓冲区溢出攻击。缓冲区溢出攻击的原理是向程序缓冲区写入超出其边界的内容,造成缓冲区的溢出,使得程序转而执行其他攻击者指定的代码,通常是为攻击者打开远程连接的ShellCode,以达到攻击目标。近年来著名的蠕虫如Code-Red、SQL.Slammer、Blaster 和Sasser 等,都是通过缓冲区溢出攻击获得系统权限后进行传播。

(二)同步漏洞攻击。这种方法主要是利用程序在处理同步操作时的缺陷,如竞争状态。信号处理等问题,以获取更高权限的访问。发掘信任漏洞攻击则利用程序滥设的信任关系

获取访问权的一种方法,著名的有Win32 平台下互为映像的本地和域Administrator 凭证、LSA 密码(Local SecurityAuthority)和Unix 平台下SUID 权限的滥用和X Window 系统的xhost 认证机制等。

(三)格式化字符串攻击。这种方法主要是利用由于格式化函数的微妙程序设计错误造成的安全漏洞,通过传递精心编制的含有格式化指令的文本字符串,以使目标程序执行任意命令。输入验证攻击针对程序未能对输入进行有效的验证的安全漏洞,使得攻击者能够让程序执行指定的命令。

下面是一个很有代表性的例子。打开某些网页时,可以把网址中的“/”换成“%5c”然后提交,这样就可以暴出数据库的路径。成功后,会有类似的提示:“确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。” 在Google或者百度中,搜索关键词“wishshow.asp?id=”,找到一些具有缺陷的许愿板程序。本例是一个台湾测试站点,地址为:

http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117

在wish后,用“%5c”替换“/”,地址就变成了:

http://web.gges.tp.edu.tw/asp/wish%5c wishshow.asp?id=117。

这样就可以暴出对方数据库了。根据错误提示,数据库是db.mdb,而且还可以直接下载。如图所示。

“%5c”并

不是网页本身的漏洞,而是利用了IIS解码方式的一个缺陷。实际上是“”的十六进制代码,是“”的另一种表示法。但是,提交“”和“%5c”却会产生不同的结果。在IE中,我们把下面第一个地址中的“/”换成“”提交:

http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117

http://web.gges.tp.edu.tw/asp/wishwishshow.asp?id=117

二者的访问结果是一样的。IE会自动把“”转变成“/”,从而访问到同一地址。但是,当我们把“/”换成十六进制写法“%5c”时,IE就不会对此进行转换,地址中的“%5c”被原样提交了。2007年以来,针对网站、论坛等程序的攻击依然是一大热点,一些大学网站、论坛甚至一些知名企业的站点都遭遇了不同程度的攻击。比较热门的事件有:OBlog2.52文件删除漏洞、COCOON在线文件管理器上传漏洞、PJBlog v2.2用户提权再提权、BBSXP 6.0 SQL版的版主提权漏洞、雪人“SF v2.5 for Access”版论坛漏洞等,这些攻击手法都综合了多种技巧,尤其是数据驱动攻击技术的运用。

4.5 隐藏技术及其新发展

攻击者在完成其攻击目标后,通常会采取隐藏技术来消除攻击留下的蛛丝马迹,避免被系统管理员发现,同时还会尽量保留隐蔽的通道,使其以后还能轻易的重新进入目标系统。隐藏技术主要包括日志清理、内核套件、安装后门等。

(一)日志清理。日志清理主要对系统日志中攻击者留下的访问记录进行清除,从而有效地抹除自己的动踪迹。Unix平台下较常用的日志清理工具包括zap、wzap、wted 和remove。攻击者通常在获得特权用户访问权后会安装一些后门工具,以便轻易地重新进入或远程控制该主机,著名的后门工具包括BO、netbus和称为“瑞士军刀”的netcat等;攻击者还可对系统程序进行特洛伊木马化,使其隐藏攻击者留下的程序、服务等。

(二)内核套件。内核套件则直接控制操作系统内核,提供给攻击者一个完整的隐藏自身的工具包,著名的有knark for Linux、Linux Root Kit 及rootkit。

(三)安装木马后门。木马的危害性在于它对电脑系统强大的控制和破坏能力,窃取密码、控制系统操作、进行文件操作等等,一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。木马在被植入攻击主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制攻击主机。本文将通过网络盒子NetBox做一个木马,它可以方便的将ASP等脚本编译成为独立运行的执行程序,完全不用考虑平台兼容性要求。步骤如下:

1.创建一个NetBox应用。创建一个空的目录,假设是c:web;同时,在目录中创建一个文件,命名为main.box,其内容为:

Dim httpd,

设置在服务中运行的名称,可适当修改进行隐藏

Shell.Service.RunService

设置服务器启动 Sub OnServiceStart()

Set httpd = CreateObject(

以下设置浏览端口,可修改为其他参数,或更改wwwroot目录 If httpd.Create(

Set host = httpd.AddHost(

host.EnableScript = true

host.AddDefault

host.AddDefault

httpd.Start

else

Shell.Quit 0

end if

End Sub

Sub OnServiceStop()

httpd.Close

End Sub

Sub OnServicePause()

httpd.Stop

End Sub

Sub OnServiceResume()

httpd.Start

End Sub

2.设置木马运行环境。在c:web目录中再创建一个子目录wwwroot,并将我们所需要的ASP木马文件全部复制到wwwroot 中,这里选用的是海阳顶端ASP木马。此时,ASP运行环境应该已经准备好了。为了运行新建的NetBox 应用,必须确认8080端口没有被其他程序占用。双击main.box文件,就可以在窗口右下角看见NetBox的图标。此时,NetBox 已经正常运行了。现在,访问http://localhost:8080/测试ASP木马是否能正常运行。3.编译。执行“NetBox Deployment Wizard”,点击“选择文件夹”,找到刚才建立的目录C:web,设置文件类型和输出文件名后,点“Build...(编译)”按钮,开始编译,就得到了编译成功的那个执行文件。因为这个例程是以服务方式创建的Web 服务器,所以可以在命令行下执

安装成为服务,

运行应用了。如

命令行下执行

(myapp代表输

的test),如图

行:myapp -install将应用系统无须登录便可以自动果需要卸载服务,则可以在如下命令:myapp –remove。出的应用文件名,如本例中所示。

4.隐藏服务。要达到“神不知鬼不觉”的效果,首先需要把应用程序添加为服务,我们可以使用Windows提供的Instsrv.exe和Srvany.exe这两个小软件。在命令行下,先把Instsrv.exe把Srvany.exe注册为服务。格式为:INSTSRV 服务名 SRVANY的路径,如:“INSTSRV SYSTEM C:WEBSRVANY.EXE”。其中SYSTEM是为了便于隐藏服务名。

5.添加注册表键值。注册成功后,打开注册表如下键值:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSYSTEM]。SYSTEM是刚才我们注册的服务名,在SYSTEM下面先建立一个项PARAMETERS,然后在这个项上建立一个键值APPLICATION,填上我们要执行的文件路径如C:webtest.exe,就可以了。

6.启动服务。方法有两种,第一种是在图形界面,直接进入“管理工具”下的“服务”面板;另一种是在命令行下,启动命令为:“NET START SYSTEM”,停止命令为:“NET STOP SYSTEM”。如果要将这个服务删除,可以用如下命令:“SC DELETE SYSTEM”。

7.制作并发布木马。结合批处理和脚本把这个做成自解压文件,或者其他的上传方式,比如通过后台数据库备份上传后再修改密码。

2007年木马技术发展迅猛,除了一些老牌木马,其他有特色的木马也让人头疼不已,例如管理型木马——ncph远程控制;国产木马新秀PCView 2007;五毒俱全的蜜蜂大盗;木马Erazer Lite;另类的远程控制工具JXWebSver等。这些木马隐藏技术的不断提高,也给用户带来了许多麻烦。

结束语

网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,才能生成一个高效、通用、安全的网络系统。

网络安全是一个相对的概念,绝对的网络安全是不存在的。随着网络技术的不断发展,网络安全的需求将变得更加迫切。

谢辞

通过这几个月的学习,通过查找书籍和请教老师、同学,学到了许多书本以外的知识,对网络安全有了进一步的了解和掌握。在老师和同学的帮助下论文已经达到了我所预想的目标。最后,衷心感谢老师和同学对我悉心的指导和帮助。

附录:

【参考文献】

[1] 冯登过,《网络安全原理与技术》,北京,科学出版社, 2005.5

[2] 张小斌,《计算机网络安全工具》,北京,清华大学出版社, 2002.3

[3] 吴金龙,《网络安全》,北京,高等教育出版社, 2004.3

[4] 唐正军,《黑客入侵防护系统代码分析》,北京,机械工业出版社, 2003.8

[5] 扬守军,《黑客技术与网络安全》,北京,中国对外出版社, 2000.5

[6] 王占军,《网络的基本组成原理》,北京,机械工业出版社, 2007.2

[7] 杨 绪,《计算机组成原理》,北京,清华大学出版社, 2005.4

SebastianMareygrossness@comcast-support.biz

网络安全管理

摘 要

随着计算机信息技术时代的飞速发展,计算机技术已经成为我们日常生活中的各种方面不可缺少的。无论是在商业、工业、农业、生活等方面都起着重大的作用,计算机信息技术是我们每个人生活中不可缺少的一部分。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。计算机的广泛应用是我们新时代的通讯工具。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁,病毒扩散、黑客攻击、网络犯罪等违法事件的数量迅速增长,网络的安全问题越来越严峻。因此,如何提高计算机网络的防御能力,增强网络的安全措施,已成为当前急需解决的问题。否则网络不仅不能发挥其有利的作用,甚至会危及国家、企业及个人的安全。

关键词:计算机技术; 应用技术 网络安全

绪论

计算机网络的普及和网络技术的发展深刻地改变了传统的生产、经营、管理和生活方式,在构建信息防卫系统时,应着力发展自己独特的安全产品,要想真正解决网络安全问题,要从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。通过运用多种网络安全技术,如数据加密技术、访问控制、认证授权、防火墙、入侵检测和防病毒等来实现信息安全。计算机网络的高速发展带给人类巨大利益的同时,也带来了许多负面的影响,在网络安全体系中,为了弥补 TCP/IP协议等各种安全漏洞,防火墙技术是很常用、很有效的防御系统,是网络安全防护的重要组成部分。

一、网络技术的安全性非常脆弱由于网络技术

本身存在着安全弱点、系统的安全性差、缺乏安全性实践等缺陷,加上一些人为的因素,使得网络信息的安全受到很大威胁。 首先,TCP/IP 的协议集就存在安全缺点。由于在每一层,数据存在的方式和遵守的协议各不相同,而这些协议在开始制定时就没有考虑到通信路径的安全性,从而导致了安全漏洞。从纯技术的角度上说,缺乏安全防护设备与管理系统、缺乏通信协议的基本安全机制、基于 HTTP 与FTP 上的应用软件问题以及不够完善的服务程序等都是产生系统安全漏洞的主要原因。 其次,由于信息安全还处在初期发展阶段,缺少网络环境下用于产品评价的安全性准则和评价工具。加上许多网络系统管理人员素质不高,缺乏安全意识,当系统安全受到威胁时,缺少应有的安全管理方法、步骤和安全对策,如事故通报、风险评估、改正安全缺陷、评估损失、相应的补救恢复措施等。

二、计算机网络安全面临的威胁影响计算机网络安全的因素很多。

归结起来,主要有 4 个方面: 1自然因素。主要包括自然灾害的破坏,如地震、雷击、洪水及其他不可抗拒的天灾造成的损害。以及因网络及计算机硬件的老化及自然损坏造成的损失。 2无意失误。误操作引起文件被删除,磁盘被格式化,或因为网络管理员对网络的设置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等,都会给网络安全带来威胁。 3黑客攻击。这是计算机网络所面临的最大威胁。此类攻击又可分为两种:一种是网络攻击,就是以各种方式有选择地破坏对方信息的有效性和完整性;另一种是网络侦察,就是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。 4利用网络软件的漏洞和“后门”进行攻击。软件的“后门”都是软件公司的编程设计人员为了自己方便而设置的,一般不为外人所知,

一旦“后门”被洞开,所造成的后果不堪设想。

三、当今网络攻击的手段及发展趋势

1.拒绝服务攻击。攻击的主要目的是使计算机及网络无法提供正常的服务。它会破坏计算机网络的硬件设备,破坏计算机网络的各种配置,消耗计算机及网络中不可再生的资源等。 2.欺骗攻击。黑客会利用 TCP/IP 协议本身的缺陷进行攻击,或者进行 DNS 欺骗和 Web 欺骗。

3.通过协同工具进行攻击。各种协同工具使用的增长,可能导致泄漏机密商业数据。 4.对移动设备的攻击。2005 年以来,手机、PDA 及其他无线设备感染恶意软件的数量在激增,但因为其不能靠自身传播,所以还没有大规模爆发。但今后仍需要关注它的发展趋势。 5.电子邮件攻击。2005 年,英国电子邮件安全公司MessageLabs 每周拦截大约 2 至 3 次有目标的电子邮件攻击,而 2004 年这一数字还小得几乎可以忽略,这标志着网络攻击的性质和目的都发生了转变。这些攻击常常针对政府部门、军事机构及其他大型组织。 总而言之,根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。

四、网络信息安全的技术保障策略不安全的网络一旦遭到恶意攻击,将会造成巨大的损失。目前,技术措施仍是最直接、最常用和有效的的屏障。技术保障策略主要有如下几种。

1.密码技术。包括加密与解密技术。加密是网络与信息安全保密的重要基础。它是将原文用某种既定方式规则重排、修改,使其变为别人读不懂的密文。解密则是将密文根据原加密方法还原。目前,已成熟的加密方法有很多,如替换加密、移位加密、一次性密码本加密、序列密码等。 2.数字签名。对于网络上传输的电子文档,可使用数字签名的方法来实现内容的确认。签名有两个键,一是签名不能被仿照,二是签名必须与相应的信息捆绑在一起。保证该信息就是签名欲确认的对象,以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方的身份;发送方不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术,发送方对整个明文进行加密变换,得到一个值,将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。 3.鉴别。鉴别的目的是验明用户或信息的正身。对实体声称的身份进行惟一识别,以便验证其访问请求,或保证信息来源以验证消息的完整性,有效地对抗非法访问、冒充、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息鉴别和通信双方相互鉴别;按照鉴别内容不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。 4.网络访问控制策略。访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。目前进行网络访问控制的方法主要有:MAC 地址过滤VLAN 隔离、IEEE802.1Q 身份验证、基于 IP 地址的访问控制列表和防火墙控制等。

五、网络安全任重道远据国际调查显示,目前有 55的企业网没有自己的安全策略。

仅靠一些简单的安全措施来保障网络安全,这些安全措施可能存在互相分立、互相矛盾、互相重复、各自为战等问题,既无法保障网络的安全可靠,又影响网络的服务性能,并且随着购物运行而对安全措施进行不断的修补,使整个安全系统变得臃肿,难以使用和维护。这些都是迫切需要解决的问题,只有加强网络与信息安全管理,增强安全意识,不断改进和发展网络安全保密技术,才能防范于未然,避免国家、企业或个人的损失。所以,网络安全仍任重道远。

六、企业信息化为管理者提供了一个和员工面对面交流的平台,能具体了解到员工的想法和工作情况,有效的保证了管理的规范化。

1企业通讯运用了计算机网络技术,从而缩短了企业空间距离,实现了各部门“近距离”联系和控制。许多现代企业管理中运用了腾讯通和 OA 系统等一些计算机技术,大大拉近了

公司管理者和员工之间的距离。这种管理不但使公司更加的和谐,还是决策层的决策更加的正确。企业实行这种管理和监控有效的保障了公司的运作,加快了公司的管理结构的优化,甚至是加快管理层次的转变,从而实现企业的扁平化管理。公司会议有传统的人人到场转向现在的视频会议和网络会议,这样不但节约了参与者的时间,还加快了整个企业的运行效率。网络会议正逐渐的代替传统的会议模式成为企业会议主要方式,它的出现不仅为企业节约了成本,还在很大某种程度上促进了企业管理的进步以及提高员工自身素质。随着计算机网络技术的进步,各行各业的企业使用的通讯软件也不断更新,这些软件的作用也日益凸显。快速传递信息的软件使企业各部门间的沟通更加顺畅。 2计算机技术能够准确而快速的分析企业信息。对信息的准确把握和分析是企业决策层做出正确决策的可靠依据。企业的规模不断扩大,其内部信息量也会逐步扩大,各层的信息汇集量也会越来越大,而大量的信息需要专门的人员进行管理和分析。传统的信息的汇总和分析都是依靠人力来解决的,但其效率和效果都不能让人满意。此外,通过人力来汇总会导致信息丢失和信息失真,进一步导致企业决策层做出错误决策,给企业带来巨大的经济损失。计算机技术具备运行效率高,计算准确等优点,真好弥补了人为的不足。 计算机技术的这些优势真好符合企业对信息的处理。企业信息的收集和处理利用大量计算机技术,将会是企业介绍大量的成本和人力。利用现代信息技术处理信息给企业决策层提高可靠的依据。使决策更加的科学和合理,这也是现代企业健康发展的具体表现。

七、计算机技术在财务工作中的应用

1企业财务数据监控 利用计算机技术,从而保证了企业财务信息的准确性。企业的核心部门就是财务系统,其对企业起着着重要的作用,财务系统的数据准确性将直接关系到企业的决策和发展方向。转贴 计算机技术的集成性能对企业的财务数据进行全面监控,从而决策层能够随时的获取正确的财务数据,并能做出正确科学的决策。 2企业的财务分析 运用计算机技术,从而保证了企业财务分析的合理性和准确性。计算技术利用其自身的逻辑性,用于财务分析,为企业提供科学的分析数据和分析结果,实现财务分析数据的科学化,避免人工误差,帮助企业朝着正确的方向健康发展。

八、计算机技术在企业运营方面的应用

1计算机技术的集成性使得企业人力管理更加安全和顺畅。 企业的人力资本是企业发展的核心资本因而备受企业关注,计算机技术通过集成人力管理的各个模块,实现人力的动态管理和数据化分析,保证企业可以及时得到企业人力的状况和前景分析,提高企业对于人才的预警能力和风险防范能力,从而使得决策层可以快速做出反应,保障企业人力安全。计算机技术在人力资本管理上的应用还表现在其先进的信息收集系统,可以为企业收集和储备大量的备用人才,在企业发展过程中不断为企业提供强有力的人才保障和人力资本输入。企业人力资源部门可以利用计算机技术大规模的减少工作量,从而减少人力管理成本,实现企业利润的最大化和企业人力资本储备的最大化以及人力资本运用的科学化。在人力成本核算上,计算机技术可以集成财务与人力的双重功效,实现资源和信息的共享,从而提高企业的运作效率,提高人力决策的准确性和科学性。 2计算机技术为企业采购及物流储运提供有序的保障。企业的采购及物流储运系统需要顺畅的流程和密切的协同才能发挥其作用,为企业发展提供强有力的保障。计算机技术通过各类系统集成,可以实现采购、储运、物流的最优化配置,实现效益的最大化和成本的最低化,从而在保障企业产品供应的前提下,实现利润最大化。科学的计算机技术在运营调配中起着以往人力无法达到的作用,强大的运算能力保障了其作为调配中心的作用,安全快速的调配方案保证了企业在高速发展的同时降低自身成本,获得客户认同。

结束语

计算机信息管理技术是新时代的管理系统,计算机信息管理的应用事首要的出发点,也是我们生活的不可缺的。计算机信息管理专业具有知识覆盖面广的特点,对学生素质的要求绝不仅仅局限于技术层面。随着我们社会经济生活的发展,不断提高计算机的管理应用水平,应采用各种有效的创新方法技术来提高计算机在生活中的工作效益。在建立现代化发展的社会进程中,在新的经济和管理环境中,为使计算机信息管理技术在我们的工作生活中发挥其应有的作用,有必要对其进行不断的创新,进行改革,完善激励机制,才能促进计算机信息管理的实施和发展。

边界网络安全

可信园区网络的设计与部署

----边界网络安全

【摘要】随着校园网络的高速建设与发展,在给师生带来上网冲浪、购物便利的同时,网络安全也日益成为一个不可忽略的问题。本文主要针对现有网络中网络边界上存在的安全问题,进行详尽的安全威胁调研,经过需求分析、概要设计、详细设计、部署安全策略的实施与测试后得出一套完整可行的解决方案。主要解决方案包括:在网络边界部署硬件防火墙设备,防火墙设备的选型,网络地址转换的部署与测试以及网络边界安全策略的制定,其中包括网络信任域的划分,网络互访的限定,网络互访流量的审核。本文中还针对目前网络中普遍存在的DDOS攻击提出相应的解决方案。

【关键字】安全的园区网络;网络安全;边界网络安全

1.福建师范大学福清分校校园网现有网络以及网络安全状况概述 ……………………………………2

1.1在福建师范大学福清分校网络系统中增加网络安全性的意义 ……………………………………2

1.2现有网络概述 …………………………………………………………………………………………2

1.2.1 现有网络的物理连接示意图 …………………………………………………………………2

1.2.2 现有网络的逻辑规划概述 ……………………………………………………………………3

1.3现有网络边界存在的主要安全风险 …………………………………………………………………3

1.3.1 网络互访存在的安全威胁 ……………………………………………………………………3

1.3.2 公共服务存在的安全威胁 …………………………………………………………………… 3

1.4现有网络边界存在的主要安全需求 …………………………………………………………………3

2.网络边界安全的详细设计和配置 …………………………………………………………………… 5

2.1防火墙的基本定义 ………………………………………………………………………………… 5

2.2各种防火墙技术简介 ……………………………………………………………………………… 5

2.2.1包过滤防火墙及其特点 …………………………………………………………………… 5

2.2.2应用代理防洪墙及其特点 …………………………………………………………………… 5

2.2.3状态检测防火墙及其特点 …………………………………………………………………… 6

2.2.4防火墙的附加功能 …………………………………………………………………………… 6

2.3 DMZ区域简介 ……………………………………………………………………………………… 6

2.4防火墙的ASA自适应安全算法 …………………………………………………………………… 6

2.5防火墙设备的选型 ………………………………………………………………………………… 6

2.6网络边界的安全策略的制定 ……………………………………………………………………… 7

2.6.1划分安全信任域 ……………………………………………………………………………… 8

2.6.2用户访问控制策略的制定 …………………………………………………………………… 8

2.6.3流量过滤 ……………………………………………………………………………………… 9

2.6.3.1基本的流量过滤 ………………………………………………………………………… 9

2.6.3.2 RFC1918过滤 ………………………………………………………………………… 10

2.6.3.3 RFC2728过滤 ………………………………………………………………………… 11

2.7在网络边界部署NAT ……………………………………………………………………………… 12

2.7.1 NAT简介及其相关概念 …………………………………………………………………… 12

2.7.2 NAT的优点 ………………………………………………………………………………… 12

2.7.3 边界路由器上NAT的配置 …………………………………………………………………… 13

2.7.4 NAT可用性的测试 …………………………………………………………………………… 14

3.总结 ……………………………………………………………………………………………………… 16

4.参考文献 ………………………………………………………………………………………………… 16

5.致谢 ……………………………………………………………………………………………………… 16 1福建师范大学福清分校校园网现有网络以及网络安全状况概述

1.1在福建师范大学福清分校网络系统中增加网络安全性的意义

随着计算机技术、信息技术的发展,计算机网络已经成为广大高校师生学习娱乐的关键平台。与此同时,随着计算机网络系统的发展,计算机网络安全系统必将发挥越来越重要的作用。由于广大师生对网络的需求与日俱增,以及计算机网络朝着多媒体方向发展,对网络的性能,如带宽、延时、延时抖动等都提出了更高的要求,原先的福建师大福清分校的二期校园网已经逐渐不能满足广大师生日益增长的上网需求。

校园网络安全系统的建立,必将为学校的行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统,可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境,提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能,有效地保证秘密、机密文件的安全传输,严格地制止经济情报失、泄密现象发生,避免重大经济案件的发生。

1.2现有网络概述

1.2.1现有网络的物理连接示意图,如图1-1所示:

4#楼教工宿舍教工宿舍

页 1

图1-1总体连接拓扑

经过三期改造后的校园网,据有如下特点:

 高性能:实现了千兆核心,百兆到桌面。服务器集群与核心交换机之间采用千兆连接,高速的网络

可以满足未来若干年内对网络带宽的需求。在校园网中部署了OSPF路由协议,借由路由协议可以实现链路间的高速切换,同时也有利于后期的扩展。

 健壮性:在原有单核心交换机的基础上加上了双核心交换机,从而大大提高了网络的健壮性。通过

在两台交换机上部署HSPR协议,提供了第一跳网关冗余。

 可扩展性:采用层次化设计,在原有网络中新增加了汇聚层,将原有的核心层/接入层二层设计变

更成三层模型,即核心层,分布层,接入层。各个层次间的分工和地位明确,有利于故障的排查和隔离。

1.2.2现有网络的逻辑规划概述:

1)外部用户访问学校网站和FTP服务器

外部用户可以通过Internet访问学校的网站。

2)内部用户访问外部网络

存在以下两种情况:

内网用户通过10M光纤专线访问互联网,学校现有的公网IP地址为218.5.6.0/24网段。

内网用户通过2M帧中继专线访问福建师范大学校园网。其IP地址段为202.121.0.0/16网段。

3)内部部门之间的连接

学校的各个部门之间的网络是相互连接的。现存在两个网段,分别是192.168.0.0/16,100.0.0.0/24网段。其中192.168.0.0/16被分配用与普通网络设备的IP地址,例如教师办公用计算机、教师宿舍楼的计算机、学校机房的计算机等,100.0.0.0/24网段被用于关键部门,其中包括教务处的内部网络,课件服务器,学籍管理系统的服务器等。100.0.0.0/24网段由于承载了许多关键服务,故其对安全性的需求较高。

1.3现有网络边界存在的主要安全风险

由于福建师范大学福清分校的校园网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由单纯的提供内部互联的网络发展到Intranet,现在已经扩展到Internet,网络用户也已经不单单为内部用户。而网络安全主要是由处于中心节点的相关连接广域网的路由器直接承担对外部用户的访问控制工作,且内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁。

1.3.1 网络互访存在的安全威胁

内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也可以容易地访问内部的网络服务器和主机。这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击,且内部的信息也容易遭到外部攻击者的破坏。

由于我国互联网用户众多,而大多数的互联网用户安全意识不足,导致互联网整体安全形势不容乐观。校园网用户在没有适当的防护下,即使正常的访问互联网,如在不知情的情况下打开某些带有木马的网页,下载一些带有病毒的软件,也有可能遭到病毒、木马的侵害,造成不必要的损失。

此外,互联网中的一些有害信息,也需要经过相应的过滤。其中主要包括:

与福建师范大学本部连接的部分;

病毒或不良信息也完全有可能通过与本部相连的2M帧中继专线进入校园网中

1.3.2 公共服务存在的安全威胁

 缺乏对公共服务(public sever)的保护。

现有网络同时还对外开放HTTP服务和FTP服务。由于现今互联网上黑客和不法攻击者甚多,缺乏适当保护的HTTP服务器和FTP服务器无疑将成为黑客和攻击者们的最好目标。常见的攻击手段如DDOS分布式拒绝服务攻击等,随时都将对对外提供服务的服务器造成了重大威胁。

 关键部门缺乏有效防护

重要部门的网络和关键敏感主机(这里主要指学校教务处内网和财务处内网)既没有与非关键网段实行必要的物理隔离也没有实行逻辑隔离,没有制定和实施相应的网络安全策略,如访问控制策略等。使得学校教务处内网和财务处内网随时都面临着重大的威胁,例如关键数据被窃取、篡改、删除等。

1.4现有网络边界存在的主要安全需求

由于在现有网络中,内部网络和外部网络是直接连接的。网络边界的互通性和网络访问的无限制性使得网络边界很容易成为黑客或者恶意份子攻击的入口。如果网络边界没有任何的安全机制,外部连接可以没有任何约束的进入内部网络,窃听、监视内部网络;或者直接对内部网络设备发起攻击,损失可用带宽,造成网络阻塞、甚至瘫痪;或者网络内部的重要数据库或者服务器进行攻击造成机密信息的泄露、甚至篡改。

在网络边界上,即需要保证内部网络的安全与此同时还要提供对外服务,典型的如HTTP服务和FTP服务等,这就需要对内部网络和对外服务之间实行不同的安全策略。

针对通过以上的这些需求分析,可以总结出如下需求:

 网络边界必须部署相应的设备,主要也就是防火墙来实现内部网络和外部网络的隔离,从而改变网

络访问的无限制性。目前学校在校师生5000多人,共计1000余个节点有上网需求,其并发连接数和通过网络边界的流量都比较大。因此需要选择合适的网络安全设备来满足网络边界的安全需求。  由于需要同时对外提供服务,主要是HTTP和FTP服务,因此内部网络和对外提供服务的服务器

之间必须制定不同的安全策略,规划不同的安全等级。

 针对目前互联网上黑客和不法攻击者较多的特点,为了防止各种网络攻击,有必要对内部地址进行

隐藏。

 网络边界的公共服务必须受到相应的保护,以防止DOS攻击。

 由于网络安全设备位于网络的最外部,其自身安全性也是设计中需要考虑的重要因素。

 与师大校园网互访的要求,只允许教师办公电脑访问师大校园网,学生电脑发起的请求将被阻断。  由于外部访问量较大,有必要使用虚拟IP地址来对HTTP服务器和FTP服务器进行服务分配。

2.网络边界安全的详细设计和配置

2.1防火墙的基本定义

防火墙的定义是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访,以保护内部网络。通常认为:防火墙是位于两个(或多个)网络间,实施网络之间访问控制的组件集合。它具有以下3个方面的基本特性。  内部网络和外部网络之间的所有网络数据流都必须经过防火墙。因为只有当防火墙是内、外部网络

之间通信的唯一信道,才可以全面、有效地保护企业网部网络不受侵害。

 只有符合安全策略的数据流才能通过防火墙。这是防火墙的工作原理特性。防火墙之所以能保护企

业内部网络,就是依据这样的工作原理或者说是防护过滤机制进行的。它可以由管理员自由设置企业内部网络的安全策略,使允许的通信不受影响,而不允许的通信全部拒绝在内部网络之外。  防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当企业内部网络安全防护重任的

先决条件[4]。

2.2各种防火墙技术简介

防火墙是用于网络周边安全的关键设备。防火墙的功能是允许或者拒绝那些带有特殊预置规则企图穿过防火墙的访问。所有种类的防火墙都是具备检测网络访问和在规则集基础上制约访问的功能。然而他们所使用的方法是不同的。有3种不同种类的防火墙技术。

 分组过滤技术

 代理服务器

 状态检测

2.2.1包过滤防火墙及其特点

分组过滤防火墙仅仅检测在开放系统互联(OSI)参考模型中传输层的输入流量。分组过滤防火墙分析TCP或者UDP分组,并且把他们跟一组称作访问控制列表(access control list,ACL)的建立好的规则进行比较。分组过滤仅仅检测下列分组元素:

 源IP地址(source IP address)

 源端口 (source port)

 目的IP地址 (destination IP address)

 目的端口(destination port)

 协议 (protocol):指TCP或者是UDP

包过滤防火墙把这些元素与ACL(规则集)进行比较,以确定是否允许或者拒绝该分组。

分组过滤的一些缺点如下:

 ACL非常复杂并且难于管理。所有的维护工作都是通过手工完成,人为的疏忽很容易造成安全漏

洞。

 分组过滤防火墙能够被欺骗,而错误地允许一个未授权用户的访问。这个未授权用户是使用了一个

由ACL授权的IP地址作为它自己的IP地址进行欺骗的。

 许多新应用(比如多媒体应用)在随机端口创建多个连接,直到建立了连接才能够确定是使用了哪

个端口。因为访问列表是手工配置的,因此对这些应用提供支持是很困难的。

2.2.2应用代理防洪墙及其特点

代理,充当另一个人的替代者的一个代理人;授权充能够充当另一个人

代理防火墙,通常被称为代理服务器,代表在受保护网段上的主机工作。受保护的主机与外界没有任何连接。在受保护网络中的主机发送他们的请求给已认证和已授权的代理服务器。这样,代理服务器代表发送请求的主机向外部发送请求,并且向发送请求的主机转发应答。代理运行在OSI参考模型的上层。大部分代理防火墙被设计成常用信息的高速缓存,以加速对发送请求主机的响应时间。处理执行代理服务所需的工作量是重要的,并且随着发送请求主机数量的增加而增加。大型网络通常使用几个代理服务器,以避免吞吐量的问题。一个发送请求主机通过一个代理能够访问的应用的数量是有限的。通过设计,代理防火墙可以仅仅支持指定的应用和协议。代理服务器的主要缺点是它们是运行在操作系统之上的应用。一个设备只能获得同它运行的操作系统一样的安全性。如果操作系统被攻陷了,未授权用户

就能控制代理防火墙,并获得对整个受保护网络的访问。

2.2.3状态检测防火墙及其特点

状态检测,也称为状态分组过滤(stateful packet filtering),是一个过滤和代理服务器的组合。这项技术更安全并且提供了更多的功能性,因为连接不但应用一个ACL,也记录进一个状态表。一个连接建立后,所有的会话数据都要与状态表相比较。如果会话数据与状态表中这个连接的信息不匹配,这个连接就会被丢弃。

状态分组过滤是Cisco PIX防火墙使用的方法。

2.2.4防火墙的附加功能

目前的防火墙还往往能够提供一些附加的功能,如:

1. IP转换即NAT,IP转换主要功能有二,一是隐藏在其后的网络设备的真实IP,从而使入侵者无法直接攻击内部网络,二是可以使用RFC1918的保留IP,这对解决IP地址匮乏的网络是很实用的。

2. 虚拟专用网VPN,它是指在公共网络中建立的专用加密虚拟通道,以确保通讯安全。

3. 杀毒一般都通过插件或联动实现。

4. 与IDS联动 目前实现这一功能的产品也有逐渐增多的趋势。

5. GUI界面管理,目前大多数的商用防火墙一般都提供了WEB和GUI的界面,以便于管理员进行配置工作。

6. 自我保护,流控和计费等其它功能。

2.3 DMZ区域简介

DMZ(非军事区)作为内外网都可以访问的公共计算机系统和资源的连接点,在其中放置的都是一些可供内、外部用户公共访问的服务器,或提供通信基础服务的服务器及设备。比如企事业单位的WEB服务器、E-MAIL(邮件)服务器、VPN网关、DNS服务器、拨号所用的MODEM池等。这些系统和资源都不能放置在内部保护网络内,否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。因为边界路由器作为网络安全的第一道防线,可以起到一定的安全过滤作用,因为它具有包过滤功能,通常不会设置得太严。而防火墙作为网络的第二道,也是最后一道防线,它的安全级别肯定要比边界路由器上的设置高许多。如果把用于公共服务器的一些服务器放置在防火墙之后,显然因安全级别太高,外部用户无法访问这些服务器,达不到公共服务的目的[4]。

2.4防火墙的ASA自适应安全算法

每个防火墙的接口都被分配上相应的安全等级(security level)。PIX防火墙允许流量从安全等级较高的接口流向安全级别较低的接口而不需要在较高安全等级的段上定义任何的显式的安全规则。从较低安全级别接口流向较高安全级别端口的流量则必须满足以下两个条件。

 对于目的必须存在一个静态的转换(translation)

 必须存在一条ACL或者是conduit来允许该流量。

2.5防火墙设备的选型

根据2.2节对各种防火墙技术的分析,结合目前学校对网络边界安全的需求,决定采用状态检测防火墙。主要原因如下:

包过滤防火墙虽然速度快,但已属于上一代防火墙技术,包过滤防火墙只能工作在OSI网络模型的第三层和第四层,对于更高层次的信息无法进行有效过滤,此外包防火墙的可扩展性,智能性方面存在着不足,容易造成安全漏洞。

应用代理防火墙虽然价格低廉,易于部署。但由于应用代理防火墙是基于软件实现的,其过滤速度有限,最大吞吐量等指标不能满足现有网络边界的安全需求。另外应用代理防火墙的自身安全性能有限,部署在网络边界上有被攻破的危险。

综上分析,在网络边界才用状态检测防火墙是较为合理的,主要理由如下:

1. 状态检测防火墙基于硬件实现性能较高。我校目前有需要访问Internet的主机1000余台,以每

个主机3-4个TCP连接计算,网络边界至少需要维护3000-4000个并发连接,这是普通的应用代理防火墙无法实现的。

2. 状态检测防火墙灵活性好。由于状态检测防火墙是基于连接状态来进行检测的,当网络出现新

的应用是,它并不需要人为的增加新的过滤条目,从而大大提高了防火墙的灵活性。

3. 状态检测防火墙可以检测更深层次的信息。例如状态检测防火墙可以根据应用层的协议来检测

报文。

4. 状态检测防火墙自身安全性好。状态检测防火墙往往是基于专门的软件和硬件开发的,其系统

具有一定的封闭性,故其自身安全性较好。

CISCO PIX系列防火墙的主要特性:

高级防火墙服务——深层检测防火墙服务,如HTTP、FTP和ESMTP;即时消息;对等和隧道化应用阻拦;采用基于流量的安全策略的思科模块化策略框架;虚拟防火墙服务;第二层透明防火墙;3G移动无线安全服务。

强大的IP Sec VPN服务——VPN客户端安全状实施;自动 VPN客户端软件升级;VPN隧道上的OSPF动态路由。

PIX-525 的相关参数如表2-1

表2-1 PIX-525的相关参数

高可用性服务——屡获大奖的主用/备用或更为先进的主用/主用故障切换,支持不对称路由;远程接入和站点间VPN状态化故障切换;无需停机的软件升级

智能网络服务——PIM组播路由;服务质量(QoS);IPv6网络

灵活的管理解决方案——SSHv2和SNMPv2c;配置回退;可用性增强;基于Web的自适应安全设备管理器(ASDM)

2.6网络边界的安全策略的制定

网络边界的安全策略的制定主要包括如下内容:

 划分安全信任域。

 用户访问控制策略的制定

 审核和过滤

2.6.1划分安全信任域

根据对现有网络边界安全的需求分析,网络可以划分为以下几个安全区域:

 内部网段:即校园网内网,是防火墙重点保护的对象,其拥有最高的安全级别和受信级别。其主要

的承载对象为广大师生的计算机。

 外部网段:在本设计中是指边界路由器以外的网络。即INTERNET和福建师大校园网,其安全级

别和受信级别最低,一切从外部网络发起的流量都将被禁止。

 DMZ网段:被规划用于放置对外服务器,其安全级别和受信级别介于内部网络和外部网络之间。

允许外部网络访问其中的资源。

具体的安全区域规划和各个区域与防火墙相连的接口,以及各个接口的安全级别如图2-2所示:

福建师范大学福清分校网络边界

图2-2网络边界安全区域的划分

分属于两个安全区域的网段通过PIX防火墙进行互连,各个区域的安全级别和访问级别如表2-3所示:

表2-3

2.6.2用户访问控制策略的制定

根据需求分析,网络边界上存在的主要的访问方式如图2-4所示:

福建师范大学福清分校网络边界

图2-4 网络边界上存在的主要的访问方式

1.外部用户访问DMZ区域中的服务器。这种访问方式的情况较为特殊,默认情况下是不允许的。但实际应用中又需要外部用户可以访问到公共服务器,所以必须在防火墙上增加相应的访问控制列表来允许外部用户对DMZ区域的访问。

2.内部用户访问外部网络。根据ASA自适应安全算法,从高安全等级接口流向低安全等级的接口的流量默认情况下是被允许的,内部网络的安全级别高于外部网络,故这种访问方式默认情况下是被允许的,但实际应用中,还会对访问外部网络的流量加以一定限制。例如,本网络中用户要求只允许教师的主机访问师大校园网络,此时,就必须对访问外部的流量加以一定的限制,详细内容将在2.6.3.1基本的流量过滤中叙述。

3.内部用户访问DMZ区域中的服务器。根据ASA自适应安全算法,从高安全等级接口流向低安全等级的接口的流量默认情况下是被允许的,内部网络的安全级别高于外部网络,故这种访问方式默认情况下是被允许的。

4.外部用户访问内部网络。默认情况下不允许,从而防止了外部用户对内部非法访问。

2.6.3流量过滤

2.6.3.1基本的流量过滤

外部用户需要访问DMZ区域中的公共服务器,现有需要进行审核和过滤的应用和服务类型包括: (如表2-5所示)

表2-5

内部网络:

access-list permit DMZ extended permit tcp any host 172.16.1.1 eq http

//允许互联网主机访问DMZ中的HTTP服务器#1

access-list permit DMZ extended permit tcp any host 172.16.1.2 eq http

//允许互联网主机访问DMZ中的HTTP服务器#2

access-list permit DMZ extended permit tcp any host 172.16.1.3 eq ftp

//允许互联网主机访问DMZ中的FTP服务器

access-list permit DMZ extended deny ip any any

//拒绝其他一切的访问

access-list permit DMZ in interface outside

//在防火墙的outside接口上部署

学校还要求只能允许教师主机访问福建师大校园网,因此定义访问控制列表如下:

这里教师的主机所在的网络地址为192.168.3.0/24,师大校园网的IP地址范围为202.121.0.0/16 access-list to_fjsd extended permit ip 192.168.3.0 0.0.0.255 202.121.0.0 0.0.255.255

//允许教师主机访问师大校园网络

access-list to_fjsd extended deny ip any 202.121.0.0 0.0.255.255

//拒绝其余主机访问师大校园网

access-list to_fjsd in internface inside //在inside接口上应用该ACL

由于互联网上的带有不少有害信息,因此也有需要在网络边界上对这些有害信息进行过滤,下面以过滤用户访问sina的图片为例子,介绍HTTP过滤的基本方法与使用

!阻止访问sina的图片

class-map type regex match-any url_list //定义一个正则表达式url_to_sina match regex //过滤所有的图片 match regex

match regex www.sina.com/*.jpeg

exit

class-map type regex match-all methods //定义一个正则表达式methods

match regex ―GET‖

exit

class-map type http http_url_policy //定义一个用于过滤HTTP的MAP match request url regex class url //匹配HTTP的request请求报文中的URL字段 match request method regex class methods //匹配HTTP的request报文中的GET命令 exit

policy-map type http http_polisy

class http_url_policy

drop //阻止用户访问sina上的图片 service-policy http_policy interface outside //在接口outside上应用

2.6.3.2 RFC1918过滤

在RFC1918中定义了一段永久保留的IP地址,它们只能被用于私有的网络中。许多组织和机构都利用RFC1918中的IP地址来对它们的内部网络进行编址,然后使用NAT技术来对Internet进行访问。RFC1918所定义的IP地址如下:

10.0.0.0 – 10.255.255.255(10/8 prefix)

172.16.0.0 – 172.31.255.255(172.16/12 prefix)

192.168.0.0 – 192.168.255.255(192.168/16 prefix)

RFC1918过滤的基本原理是如果在网络边界上收到以RFC1918中所定义的IP地址为源地址的IP报文,那么这些报文都应该被视为是非法的,而且出现这种情况往往表明网络边界出现了DOS攻击。在网络边界上部署RFC1918过滤一定程度上可以减轻以RFC1918中定义的IP地址作为源地址的DOS攻击。

在本网络中,RFC1918过滤将部署在与INTERNT相连的接口上。如图2-6所示:

图2-6在网络边界上部署RFC1918过滤示意图

2.6.3.3 RFC2728过滤

RFC2827过滤的主要作用是用来防止IP欺骗攻击。RFC2827定义了一种基于内部分配的网络进行过滤进站和出站流量的方法。以本网络为例,网络内部地址为192.168.0.0/16,DMZ区域的IP地址为172.16.1.0/24,为了防止IP源地址欺骗,首先在防火墙的接口E0上进行过滤,仅允许内部的192.168.0.0/16的网段和DMZ区域的172.16.1.0/24通过,从而防止了内部用户对源IP地址进行欺骗。同理,在边界路由器上也应进行相应的过滤。具体的过滤方向和方式如图2-7所示:

图2-7在网络边界上部署RFC2728过滤示意图

2.7在网络边界部署NAT

2.7.1 NAT简介及其相关概念

NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 下面简要的介绍NAT的一些相关概念:  内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 在本设计中Inside

local address分别为192.168.0.0/16(内部网络)和172.16.1.0/24(DMZ区域)  内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法

IP地址。需要申请才可取得的IP地址。在本设计中即为:218.5.6.0/24(与INTERNET相连的地址)和Y。Y。Y。Y(和师大校园网相连的地址)  外部合法地址(outside global address):指任意一个合法的全球有效的单播地址。 2.7.2 NAT的优点  地址隐藏

当一个机构不想让外部网络用户知道自己的网络内部结构(如内部IP地址分配),可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 在本设计中通过部署NAT,可以对外部网络隐藏内部的网络细节,从而提高了安全性  解决IPv4地址不足的问题

当一个机构申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。在本设计中,由于学校只申请了若干个外部合法地址,远远不能满足全校师生的需要。因此,必须在网络边界部署NAT来解决这个问题  用于实现TCP连接的负载均衡: 当外部向内部的连接比较大时,很可能超过一台服务器的承受范围外部主机向虚拟主机(定义为内部全局地址)通讯,NAT 路由器接受外部主机的请求并依据NAT表建立与内部主机的连接,把内部全局地址(目的地址)翻译成内部局部地址,并转发数据包到内部主机,内部主机接受包并作出响应。NAT router再使用内部局部地址和端口查询数据表,根据查询到的外部地址和端口做出响应。

福建师范大学福清分校网络边界

图2-8 IP地址转换示意图

2.7.3边界路由器的NAT配置

ip nat pool to_internet 218.5.6.1 218.5.6.4 prefix-length 24

//定义一个地址池to_internet,该地址池中的地址范围为218.5.6.1到218.5.6.4,用户师生日常的上网服务

ip nat pool to_intranet 202.121.48.1 202.121.48.1 prefix-length 24

//定义一个地址池to_intranet,地址为202.121.48.1用于访问师大校园网时使用 ip nat pool to_DMZ 172.16.1.1 172.16.1.2 prefix-length 24 type rotary

//定义一个地址池to_DMZ地址范围为172.16.1.1到172.16.1.2,用于外部用户访问DMZ区域时使用 ip nat inside source list internet pool to_internet overload //定义一个动态的源地址转换,用于师生访问INTERNET ip nat inside source list intranet pool to_intranet overload //定义一个动态的源地址转换,用于用户访问师大校园网 ip nat inside destination list DMZ pool to_DMZ //定义一个静态的目的地址转换

ip route 0.0.0.0 0.0.0.0 218.5.6.12 !

ip access-list extended DMZ

permit tcp any host 218.5.6.5 eq www permit tcp any host 218.5.6.6 eq www

//允许外部主机访问DMZ区域中的WWW服务器 ip access-list extended internet

permit ip 192.168.0.0 0.0.255.255 any ip access-list extended intranet

permit ip 192.168.100.0 0.0.0.255 202.121.0.0 0.0.255.255 //定义可以访问师大校园网的源IP地址

//默认路由,指向ISP的路由器 //定义可以访问internet的源IP地址

2.7.4 测试NAT的可用性 studentcompute

//学生的计算机,在这里其IP地址为192.168.1.1

studentcomputer#ping ip 1.1.1.1 source 192.168.3.1 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !//测试学生主机与教师主机的互通性

Success rate is 100 percent (1/1), round-trip min/avg/max = 220/220/220 ms studentcomputer#ping ip 1.1.1.1 source 192.168.2.1 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1

Success rate is 100 percent (1/1), round-trip min/avg/max = 240/240/240 ms studentcomputer#ping ip 1.1.1.1 source 192.168.1.1 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1

Success rate is 100 percent (1/1), round-trip min/avg/max = 164/164/164 ms

premeter_router边界路由器上的DEBUG信息 Router#debug ip nat

*Mar 1 00:33:48.815: IP: tableid=0, s=192.168.3.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), routed via FIB *Mar 1 00:33:48.819: NAT: s=192.168.3.1->218.5.6.1, d=1.1.1.1 [44]

*Mar 1 00:33:48.823: IP: s=218.5.6.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), g=218.5.6.12, len 100, forward *Mar 1 00:33:48.959: NAT*: s=1.1.1.1, d=218.5.6.1->192.168.3.1 [44] Router#

*Mar 1 00:33:54.527: IP: tableid=0, s=192.168.2.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), routed via FIB *Mar 1 00:33:54.531: NAT: s=192.168.2.1->218.5.6.1, d=1.1.1.1 [45]

*Mar 1 00:33:54.531: IP: s=218.5.6.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), g=218.5.6.12, len 100, forward *Mar 1 00:33:54.671: NAT*: s=1.1.1.1, d=218.5.6.1->192.168.2.1 [45] Router#

*Mar 1 00:33:58.295: IP: tableid=0, s=192.168.1.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), routed via FIB *Mar 1 00:33:58.299: NAT: s=192.168.1.1->218.5.6.1, d=1.1.1.1 [46]

*Mar 1 00:33:58.299: IP: s=218.5.6.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), g=218.5.6.12, len 100, forward *Mar 1 00:33:58.415: NAT*: s=1.1.1.1, d=218.5.6.1->192.168.1.1 [46] Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global icmp 218.5.6.1:12 192.168.3.1:12 1.1.1.1:12 1.1.1.1:12 icmp 218.5.6.1:13 192.168.2.1:13 1.1.1.1:13 1.1.1.1:13 icmp 218.5.6.1:14 192.168.1.1:14 1.1.1.1:14 1.1.1.1:14

教师电脑访问INTERNET和师大校园网测试: teachercomputer#ping 1.1.1.1 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

!

Success rate is 100 percent (1/1), round-trip min/avg/max = 288/288/288 ms teachercomputer#ping 202.121.48.2 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 202.121.48.2, timeout is 2 seconds: !

Success rate is 100 percent (1/1), round-trip min/avg/max = 240/240/240 ms teachercomputer#

Router#

*Mar 1 00:40:31.679: IP: tableid=0, s=192.168.100.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), routed via FIB *Mar 1 00:40:31.683: NAT: s=192.168.100.1->218.5.6.1, d=1.1.1.1 [21]

*Mar 1 00:40:31.683: IP: s=218.5.6.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), g=218.5.6.12, len 100, forward *Mar 1 00:40:31.823: NAT*: s=1.1.1.1, d=218.5.6.1->192.168.100.1 [21] Router#

*Mar 1 00:40:44.735: IP: tableid=0, s=192.168.100.1 (Ethernet0/0), d=202.121.48.2 (Serial1/1), routed via FIB

*Mar 1 00:40:44.739: NAT: s=192.168.100.1->218.5.6.1, d=202.121.48.2 [22]

*Mar 1 00:40:44.739: IP: s=218.5.6.1 (Ethernet0/0), d=202.121.48.2 (Serial1/1), g=202.121.48.2, len 100, forward

*Mar 1 00:40:44.879: NAT*: s=202.121.48.2, d=218.5.6.1->192.168.100.1 [22] Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global icmp 218.5.6.1:5 192.168.100.1:5 1.1.1.1:5 1.1.1.1:5

icmp 218.5.6.1:6 192.168.100.1:6 202.121.48.2:6 202.121.48.2:6

外网访问DMZ区域的测试 Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global tcp 218.5.6.5:80 172.16.1.1:80 218.5.6.12:31483 218.5.6.12:31483 tcp 218.5.6.5:80 172.16.1.2:80 218.5.6.12:50808 218.5.6.12:50808

结 论

经过本文的设计和部署,网络边界的安全性能已经得到了显著改善。通过防火墙的部署,安全区域的划分和相应安全策略的部署,已经使内部受到了较为充分的保护。与此同时,通过DMZ区域的规划与使用,使得对外公共服务的安全也得到了保障。

当然,由于时间仓促,设计者水平认识有限等原因,本设计并非尽善尽美。主要存在的问题在于缺乏对DOS,DDOS攻击的防护,使得对外公共服务依然面临一定的安全风险。另外,由于投资有限,在本网络中只部署了一个防火墙,这给网络引入了单点故障。

此外,在现实的网络应用中,VPN技术已经越来越成为一种主流安全技术。在本设计中并未提及,主要原因是现在的校园网规模较小,还没有远程安全访问的需求。然而,随着校园网规模的扩大,广大师生对网络的需求的增大,远程安全访问的需求终将出现。届时,需要在网络边界部署相应的VPN网关等来满足这方面的需求。

参考文献

[1] Greg Bastien, Earl Carter, Christian Degu .CCSP Cisco Secure PIX® Firewall Advanced Exam Certification Guide, Second Edition[M] .Cisco Press,2004

[2] Sean Convery. Network Security Architectures[M].Cisco Press,2004

[3] Cisco Security Appliance Command Line Configuration Guide For the Cisco ASA 5500 Series and Cisco PIX 500 Series Software Version 7.2(2)[EB/OL],2006

[4] 王达.网络管理员必读—网络基础.北京:电子工业出版社[M],2004 [5] Todd Lammle. CCNA学习指南.北京:电子工业出版社[M],2005

致 谢

网络安全分析

网络安全分析

信息安全不是一次性工作,这是一个漫长过程,而且也是一种经验和智力的较量。安全配置服务器也不是安全工作的结束,只是表示一个安全维护工作过程的刚刚开始。在安全维护过程中,发现入侵事件并及时作出响应是非常重要的。但是,安全工作不能光在发现入侵事件之后得到重视,因为被入侵一定已经造成了破坏或者泄密,也就已经造成了损失。安全维护工作更应该及时发现入侵前兆,并及时加强相关方面的维护,在发现入侵前兆后就及时阻断可能发生的入侵威胁,这样才能更好地保障安全。

入侵检测系统(IDS)是防火墙的合理补充,它帮助安全系统发现可能的入侵前兆,并对付网络攻击。入侵检测系统能在不影响网络性能的情况下对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,能够扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。但是,入侵检测系统并不是万能的,高昂的价格也让人退却,而且,单个服务器或者小型网络配置入侵检测系统或者防火墙等投入也太大了。

这里我们将根据多数入侵方法,讨论一些Windows2000服务器入侵前兆检测的方法和技巧,希望能给你长期维护服务器的安全带来一定的帮助。

一、对于WWW服务入侵的前兆检测

对于网络上开放的服务器来说,WWW服务是最常见的服务之一。基于80端口的入侵也因此是最普遍的。很多sceipt kids就对修改WEB页面非常热衷。WWW服务面对的用户多,流量相对来说都很高,同时WWW服务的漏洞和相应的入侵方法和技巧也非常多,并且也相对容易,很多“黑客”使用的漏洞扫描器就能够扫描80端口的各种漏洞,比如wwwscan 、X-scanner等,甚至也有只针对80端口的漏洞扫描器。Windows系统上提供WWW服务的IIS也一直漏洞不断,成为系统管理员头疼的一部分。

虽然80端口入侵和扫描很多,但是80端口的日志记录也非常容易。IIS提供记录功能很强大的日志记录功能。在“Internet 服务管理器”中站点属性可以启用日志记录。默认情况下日志都存放在%WinDir%System32LogFiles,按照每天保存在exyymmdd.log文件中。这些都可以进行相应配置,包括日志记录的内容。

在配置IIS的时候应该让IIS日志尽量记录得尽量详细,可以帮助进行入侵判断和分析。现在我们要利用这些日志来发现入侵前兆,或者来发现服务器是否被扫描。打开日志文件,我们能够得到类似这样的扫描记录(以Unicode漏洞举例):

2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蜡../..蜡../..蜡../winnt/system32/cmd.exe /c+dir 404 -

2002-03-10 05:42:28 192.168.1.2 - 192.168.1.1 80 GET /script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404 -

需要注意类似这样的内容:

/script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404

如果是正常用户,那么他是不会发出这样的请求的,这些是利用IIS的Unicode漏洞扫描的结果。后面的404表示并没有这样的漏洞。如果出现的是200,那么说明存在Unicode漏洞,也说明它已经被别人扫描到了或者已经被人利用了。不管是404或者200,这些内容出现在日志中,都表示有人在扫描(或者利用)服务器的漏洞,这就是入侵前兆。日志也记录下扫描者的来源:192.168.1.2这个IP地址。

再比如这个日志:

2002-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -

这是一个使用HEAD请求来扫描WWW服务器软件类型的记录,攻击者能够通过了解WWW使用的软件来选择扫描工具扫描的范围。

IIS通常都能够记录下所有的请求,这里面包含很多正常用户的请求记录,这也让IIS的日志文件变得非常庞大,上十兆或者更大,人工浏览分析就变得不可取。这时可以使用一些日志分析软件,帮助日志分析。或者使用下面这个简单的命令来检查是否有Unicode漏洞的扫描事件存在:

find /I

“find”这个命令就是在文件中搜索字符串的。我们可以根据扫描工具或者漏洞情况建立一个敏感字符串列表,比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ远程溢出漏洞)、“.printer”(Printer远程溢出漏洞)等等。

二、对于FTP等服务入侵的前兆检测

根据前面对于WWW服务入侵前兆的检测,我们可以照样来检测FTP或者其他服务(POP、SMTP等)。以FTP服务来举例,对于FTP服务,通常最初的扫描或者入侵必然是进行帐号的猜解。对于IIS提供的FTP服务,也跟WWW服务一样提供了详尽的日志记录(如果使用其他的FTP服务软件,它们也应该有相应的日志记录)。

我们来分析这些日志:

2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331

2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530

这表示用户名administrator请求登录,但是登录失败了。当在日志中出现大量的这些登录失败的记录,说明有人企图进行FTP的帐号猜解。这就是从FTP服务来入侵的入侵前兆。 分析这些日志的方法也跟前面分析WWW服务的日志方法类似。因为FTP并不能进行帐号的枚举,所以,如果发现有攻击者猜测的用户名正好和你使用的帐号一致,那么就需要修改帐号并加强密码长度。

三、系统帐号密码猜解入侵的前兆检测

对于Windows 2000服务器来说,一个很大的威胁也来自系统帐号密码的猜解,因为如果配置不佳的服务器允许进行空会话的建立,这样,攻击者能够进行远程的帐号枚举等,然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立,攻击者同样能够进行系统帐号的猜测,因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些黑客工具,比如“流光”等,就可以进行这样的密码猜测,通过常用密码或者进行密码穷举来破解系统帐号的密码。

要检测通过系统帐号密码猜解的入侵,需要设置服务器安全策略,在审核策略中进行记录,需要审核记录的基本事件包括:审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”,然后我们可以从事件查看器中的安全日志查看这些审核记录。 比如:如果我们在安全日志中发现了很多失败审核,就说明有人正在进行系统帐号的猜解。我们查看其中一条的详细内容,可以看到:

登录失败:

原因: 用户名未知或密码错误

用户名:administrator

域: ALARM

登录类型: 3

登录过程: NtLmSsp

身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

工作站名: REFDOM

进行密码猜解的攻击者打算猜测系统帐号administrator的密码,攻击者的来源就是工作站

名:REFDOM,这里记录是攻击者的计算机名而不是他的IP地址。

当我们发现有人打算进行密码猜解的时候,就需要对相应的配置和策略进行修改。比如:对IP地址进行限制、修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的入侵。

四、终端服务入侵的前兆检测

Windows2000 提供终端控制服务(Telminal Service),它是一个基于远程桌面协议(RDP)的工具,方便管理员进行远程控制,是一个非常好的远程控制工具。终端服务使用的界面化控制让管理员使用起来非常轻松而且方便,速度也非常快,这一样也让攻击者一样方便。而且以前终端服务存在输入法漏洞,可以绕过安全检查获得系统权限。对于打开终端服务的服务器来说,很多攻击者喜欢远程连接,看看服务器的样子(即使他们根本没有帐号)。 对终端服务进行的入侵一般在系统帐号的猜解之后,攻击者利用猜解得到的帐号进行远程终端连接和登录。

在管理工具中打开远程控制服务配置,点击

netstat -n -p tcp | find

start Explorer

终端服务使用的端口是TCP 3389,文件第一行是记录用户登录的时间,并把这个时间记入文件Terminal.log中作为日志的时间字段;第二行是记录用户的IP地址,使用netstat来显示当前网络连接状况的命令,并把含有3389端口的记录到日志文件中去。这样就能够记录下对方建立3389连接的IP地址了。

要设置这个程序运行,可以在终端服务配置中,登录脚本设置指定TerminalLOG.bat作为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本是Explorer(资源管理器),所以在Terminal.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的。当然,可以把这个脚本写得更加强大,但是请把日志记录文件放置到安全的目录中去。

通过Terminal.log文件记录的内容,配合安全日志,我们就能够发现通过终端服务的入侵事件或者前兆了。

对于Windows2000服务器来说,上面四种入侵是最常见的,也占入侵Windows2000事件的绝大多数。从上面的分析,我们能够及时地发现这些入侵的前兆,根据这些前兆发现攻击者的攻击出发点,然后采取相应的安全措施,以杜绝攻击者入侵。

我们也可以从上面分析认识到,服务器的安全配置中各种日志记录和事件审核的重要性。这些日志文件在被入侵后是攻击者的重要目标,他们会删除和修改记录,以便抹掉他们的入侵足迹。因此,对于各种日志文件,我们更应该好好隐藏并设置权限等保护起来。同时,仅仅记录日志而不经常性地查看和分析,那么所有的工作就等于白做了。

在安全维护中,系统管理员应该保持警惕,并熟悉黑客使用的入侵手段,做好入侵前兆的检测和分析,这样才能未雨绸缪,阻止入侵事件的发生。

网络安全心得

“网络安全”班会心得

网络就像一把双刃剑,可以给我们带来诸多的收获,也可能给我们造成深深的伤害。好的一面会让我们终身受益,坏的一面会让我们后悔莫及。我觉得要想在网络中把握自己的命运,就需要正确对待网络。

正确对待网络,首先要学会区分网络上各种信息的善与恶。要坚决抵制各种不良信息。同时,可以利用网络的开放与便捷,做一些有益自己身心成长的事。

比如我们班级的梁婷同学,正确使用网络,网络成为她最亲密的朋友。她用网络在学校网站上发表了许多自己的习作,从而让更多的人欣赏到她的习作。这些令她自豪的事都是网络帮了她的忙啊! 正确对待网络,还需要控制好上网的时间。

曾经有位同学,因为太爱玩游戏了,有一次连续玩了几天几夜,终于导致视网膜脱落,最吃亏的还是他自己啊!

还听说过一位学生,也是因为没日没夜地在网吧里连续上网打游戏,过度兴奋,从而引发心脏病,导致不幸猝死。其实我认为凶手就是网络和他自己无法抑制的欲望。

网络社会是一个复杂的社会,哪些对我们有利,哪些对我们有害,还很难分辨。网络对很多青少年来说,都是一个新事物,充满了诱惑,因此,还需要我们擦亮眼睛,谨慎对待。

网络安全与管理

华北水利水电大学 North China Institute of Water Conservancy and Hydroelectric Power

信息工程学院

密码学结课论文

题目:密码学与网络信息安全

院系信息工程学院 专业计算机科学与技术

班级学号姓名杨红强 指导教师王畅

2016年 6 月日 17

网络安全计算机信息管理技术应用

【摘要】

经济的发展日新月异,社会总体上朝着信息化的方向发展,各个行业都采用了计算机信息管理技术,这就对计算机信息管理技术提出了更高的要求。当前,在计算机信息管理技术中确实存在网络安全隐患,要想使计算机管理技术更好地发挥其优势,就必须合理运用管理技术。文章围绕网络安全中计算机信息管理技术的应用进行探讨。

【关键词】

计算机;信息管理技术;网络信息安全

随着我国改革开放进程的不断加快,国际国内交往加深的程度日益提高。尤其是现代化与信息化水平的程度日益飞跃,对信息交往与沟通的数量,尤其是质量提出了更高的要求。为了更好地促进信息网络安全,必须要与时俱进,深刻研讨,提高警惕,做好预测,全方位多角度做好计算机信息网络安全管理技术,对我国社会主义现代化建设具有重要的深远意义。

1.网络信息安全的重要内涵与内容

网络信息安全,作为计算机信息技术的重要组成部分,而且是一道关键的屏障。需要引起我们的高度重视,尤其是在现代知识经济和信息时代,要深刻领会,从基础知识了解出发,不断敏锐眼光,切实深刻地把计算机网络信息安全放在当前重要位置上。因此,有必要有把握地认识与了解网络信息安全的内涵与内容具有重大的现实意义。

网络信息安全管理重要内容:网络信息管理内容主要主要包括的是IP地址和域名等比较基础的运行信息。它可以有效地为网络提供服务方面相关的服务器信息;也能够积极地认识与区别广大用户的信息,比如真实身份的确认;也能够积极地帮助网络信息贡献出优质服务的大量信息资源,这其中可以包括信息的有效发布、导航及索引等形成与发展。他们可以积极有效地起着阻止不良信息的侵入。

2.计算机信息管理在网络安全应用中存在的问题

以往,人们对于计算机信息管理的网络安全没有引起足够的重视,所以从整体来看,计算机信息管理的网络安全防控体系不够完善,计算机网络不安全,就可能会影响到整个系统的安全运行,甚至会带来比较大的经济损失,下面围绕计算机信息管理常见的网络安全隐患进行分析。

2.1没有按照相关规定对电脑进行操作

对于计算机这种设备来说,要想提高它的安全性,首先要做的就是按照规定进行操作,如果操作上有问题,那么它被侵入病毒的风险性就会提高很多,这就会对网络安全造成影响。

2.2计算机信息管理系统本身存在漏洞

当前,大部分计算机信息管理系统都是开放的,很多系统的本身就存在漏洞,当计算机管理系统之间在进行文件传输的时候,一些不法分子就会通过违法手段去入侵计算机系统,一旦发现系统的漏洞,他们就会拼命的攻击漏洞,从而给整个计算机网络系统带来极大的安全问题。

2.3计算机信息管理系统的数据与程序被破坏

当人们使用一些交流软件(例如MSN)的时候,一些不法分子可能已经通过违法手段植入了病毒或者木马,然后再侵入计算机系统,对整个计算机系统进行监控,对人们的一些隐秘信息进行窥探,给人们带来安全隐患。

2.4用户信息访问被控制

信息访问控制是指通过对网络信息机服务进行控制,从事实现对网络用户资料及应用的控制。信息访问限制也是计算机信息管理中的重要组成部分。信息访问控制能够控制用户的计算机及用户的相关资料,这造成了用户资料的泄露,对用户的安全造成严重影响。

2.5黑客病毒

黑客是指网络中的一种病毒,它专门利用电脑网络和系统安全漏洞对用户的网络进行攻击破坏,并窃取用户的治疗。计算机病毒是一种程序,它像生物病毒一样,迅速蔓延至电脑,但又难以根除。它们经常把用户的文件复制到另外一个用户的电脑上,以此蔓延开来。当前,我国很多网络用户都反应自己的电脑遭到黑客的侵扰,这对他们的安全造成严重威胁。

2.6系统漏洞

系统漏洞是指在操作网络系统以及应用程序时出现了漏洞,而这个漏洞主要是因黑客病毒造成的,黑客病毒利用系统中出现的漏洞对用户的网络系统进行破坏,从而实现对用户网络安全的威胁。

3.网络安全问题的应对措施

3.1 加强对安全风险的防范意识

要想实现计算机信息管理技术的安全使用,必须加强相关工作人们对网络安全风险的防范意识。从源头上树立抵制不良信息的防范意识,确保工作人员及用户认识到计算机信息管理技术安全应用的重要性。

计算机信息管理技术在网络安全中的应用关乎网络用户的切实利益,我们必须紧跟时代步伐,探讨当前网络安全的问题,并探求解决措施,从而实现用户的网络安全。在落实计算机信息管理技术在网络安全中的应用时,我们必须提高警惕,加强防范意识。做好安全防范的的计划,进而推动计算机信息管理技术在网络安全中的应用。

3.2 完善网络信息安全管理体系

为了维护网络的安全应用,我们必须建立健全网络信息安全管理体系,制定一个高效的管理模型,并保障其有效的应用,这对于维护网络安全具有重要的意义。当前,网络信息安全管理的相关模型已经被广泛认可,并得到政府和有关专家的肯定。我们可以通过建立混合型管理模式,实现对网络信息安全的管理。

加强对技术的控制也是计算机信息管理技术的重要部分,也是最关键及最可行的环节。我们应该从多方面综合考虑,建立健全信息安全系统。加强对专业人员的培训,调高他们应对网络安全问题的防范能力及解决能力。

3.3 建立健全计算机信息管理技术的网络安全管理制度

为确保计算机信息的安全,我们应该建立健全相关的制度规范,成立专门的安全管理小组,进行计算机信息技术网络安全系统的建立以及完善员工上网制度[3]。我们应该号召网络用户及时更新电脑,确保电脑配置的安全,防范网络病毒的攻击。加强对计算机应用的管理,按照统一管理,分部门保管的办法,实现对计算机的网络安全维护。

高度重视计算机操作系统安全性

对于计算机系统来说,硬件是它的组成部分,软件是它必不可少的驱动部分,在软件中,操作系统就是整个计算机系统的核心,计算机所有的指令都经过操作系统的处理。在计算机信息管理的网络系统中,其操作系统也会存在问题,所以必须要对它进行3.4防护,保障它的安全性。我们可以建立一个相对封闭的计算机网络防护系统,对于网络中的一些重要资源要设定访问权限或者应用更加先进的加密方式,工作人员可以设定内部的局域网,只有在局域网范围之内的用户才能够查看系统中的信息,一旦发现不正常的信号,要及时的封锁或者查杀。

3.5高度重视数据的加密

数据的保密性是非常重要的,对数据加密的重视主要是传输数据的安全性,常用的加密有线路加密和端对端加密。一般来说,信息在计算机系统的传输有多条线路,要想完整的截取信息,就必须要破解每一条数据传输线路,而线路机密每一条新路的密码是不相同的,它注重的是传输过程的安全性。端对端加密和线路加密的作用不同,端对端加密更加重视的是信息源头的安全性,在信息传输之前,会将相关的信息译成加密文件,然后再通过技术手段将这些加密的文件传输出去,收件人收到以后再根据发送者的加密方式对信息进行解密,这种技术已经得到了很多的应用,也取得了不错的效果。

4.结论

近些年来,计算机技术在多个领域取得了重要的应用,有力地推动了各行各业的快速发展,其应用的范围还在不断地扩大,越来越多地应用在一些领域的关键环节中,所以这就突出了安全问题的关键性。所以,必须要强化计算机信息管理技术的网络安全问题,这样才能够保护相关数据的安全,降低相关单位和个人资料的风险性,降低潜在的损失。人们应该认识到这个问题,采取各种有效的方法来提高计算机信息管理技术的安全性,本文首先分析了当前网络安全存在的问题,然后指出了应对措施,希望能够对相关的工作人员产生一定的指导意义。

【参考文献】

[1] 陈均海.计算机信息管理技术在网络安全中的应用[J].信息与电脑,2013(3):124.

[2] 尧新远.计算机信息管理技术在网络安全中的应用[J].软件,2012(7):135.

[3] 马小娟.浅谈计算机信息管理技术在网络安全中的应用[J].数字技术与应用,2013(3):211.

身边的网络安全

身边的网络安全

随着信息技术的日益发展,网络时代,全球一体化时代的到来,网络已深入到我们生活中的方方面面,与我们的生活越来越紧密,但同时,也对我们的网络安全提出了更高要求,对我们个人信息的保护敲响了警钟,现就个人信息泄露和保护谈谈身边的网络安全 个人信息泄露的原因

一.网民的窥私欲和自我展示心理导信息私泄露

社会生活中,网民对于诸如“衣优库”的关注和“流氓燕”的隐私类博客,一边骂一边兴趣地看。“痛恨”正说明网民在评价博客时还有一定的责任意识和道德意识,而隐私类博客奇高的点击率也证明:人类本能的新奇感和窥私欲远远超过了既有的网络道德规范。加上很多网民自我展示心理强烈,晒隐私成风,有的人将晒隐私当成一种在网络虚拟环境下发泄情绪和释放压力的一种方法。有的网民缺乏信息保护意识,在不经意间将自己的个人信息泄漏,如注册一些社交网站、博微上不经意的流露都会为隐私泄漏留下隐患。

二.经济利益是导致个人隐私备受青睐的根本原因

在网上,衡量一个网站成功与否的重要标志主要是网页访问量的大小。访问网页的直接表现形式是看,网页要多多地被看,就要有出彩的内容和精彩的噱头来吸引注意的眼球。什么才是噱头?无论答案的范围有多广,个人隐秘信息、私密照片等毫无疑问都包含在内,甚至是最主要的部分。当年的“衣优库”着实火了一把,一旦这样的甜头被更多的网络商家注意到,就会被大肆加以利用。

三.黑客产业化猖獗

现在的黑客产业链并不像人们想象得那么神秘,它早已经“平民化”。在网络上,充斥着五花八门的黑客论坛、黑客网站,有很多还兜售盗号木马,甚至专门传授黑客技术,成为一个普通黑客的门槛已经大大降低。一旦学会使用这些工具,黑客新手们往往怀着急功近利的心态,在最容易偷盗的私人信息当中寻找商业价值。

四、网络技术的发展使隐私侵权事件更易发生

人们在享受新媒体技术的便捷的同时,也不同程度地受到侵犯和伤害。近年来,获取用户隐私的网络技术手段层出不穷,有一种监视软件能够监视用户的各种行动,可以详细到用户所浏览的每一个超链接的内容;还有一种叫做网络嗅探器,它实际上是一个网络上的抓包工具,当一台计算机正在运行并且网络处于监听所有信息交通的状态,这台计算机就有能力浏览所有在网络上通过的信息包,这样就达到了网络监听的效果。

个人信息保护

一.加强网络自律,净化网络传播环境

要加强网络媒体行业自律。网络隐私问题已经成为网民乃至整个社会非常关心的问题之一。网络媒体的经营者拥有网络这个虚拟环境最真实的把关人身份,可以在第一时间从源头上对网络信息筛选过滤,从源头上切断隐私信息的泄露。因此,加强网络媒体行业自律,重塑网络公信力,是实现网络隐私无侵害的关键。其次,要加强网民个人自律。在网络面前,对于个人来说要提高自身的防范意识,切不

可肆无忌惮地四处透露个人信息。否则,在网络中个人隐私将无处可逃。安装正版杀毒软件,并及时升级病毒库,防止黑客入侵导致个人隐私资料泄露;安装个人防火墙并及时升级,以防止个人资料和财务数据被窃取;网上购物时,通过查看浏览器上方的闭锁图标,以确定连接是否安全;养成良好的网络使用习惯,不登录不良网站;尽量到正规网站下载软件,这些都可有效防止个人信息的泄漏。另外,个人要遵守网络规范,不传播、泄露他人隐私,也不做隐私信息的消费者。

二.加强法治建设,保护个人隐私

网络要健康发展,离不开法律制度的强制性制约。从法律层面规定保护个人隐私无疑是最有效力的措施。但在现存的网络权益管理法规中,对于保护隐私的规定几乎是零。即使是在全部的网络管理法律法规中,对于个人隐私保护的规定也是少之又少,并没有形成完整严密的隐私保护体系。因此,要保障网络传播环境下的个人隐私,必须加强立法,弥补和改进现有法律法规的不足。

三.个人隐私的技术保护

信息网络技术的进步促使了网络的发展,网络的繁荣又带来诸如隐私泄露等负面效果。要将这些负面影响最小化,最终有赖于技术的进步。例如:防火墙技术可以加强两个或多个网络间的边界防卫能力,在公共网络和专用网络之间设立一道隔离墙,阻止黑客入侵;反病毒技术有助于对由于黑客入侵和病毒污染造成的个人隐私泄露进行防范和补救。网络自律、立法管制以及技术的开发和运用都是保护个人隐私必不可少的方法,三者结合,方能有明显的效果。(王凯)

00.网络安全

初中信息科技(试验本)

华东师范大学出版社

初中信息科技(试验本)

华东师范大学出版社

想上引起对课题的重视。2、关于案例分析:4个案例都比较贴近生活,其中QQ是学生上网的热点,讨论气氛浓厚、价值更高。3、关于小组活动:学生对分析表钟“安全类型”认识模糊,从学生认知角度看,今后可以将“表现特征”置前,再判断“安全类型”。4、关于综合探究:学生能通过搜索引擎得到探究答案,在对“关键字”有了进一步理解,并认同通过网络解决问题的方法。5、整体效果:教学环节紧密,活动安排环环相扣,案例、素材选取有针对性(“赛一赛”漫画素材还有精选的余地),学生思维——操作——表达等活动到位,课堂气氛活跃。6、主要不足:课堂容量较大,时间控制较紧,部分学生由于能力有限在后半节课中跟不上班级整体节奏,可以考虑精简练习或案例,或将“小组活动”安排到课后思考,或者根据学生学习兴趣,将整堂课扩充到2节课中完成教学目标。

关于网络安全

网络安全风险分析

瞄准网络存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述:

1、物理安全风险分析

我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:

地震、水灾、火灾等环境事故造成整个系统毁灭

电源故障造成设备断电以至操作系统引导失败或数据库信息丢失

电磁辐射可能造成数据信息被窃取或偷阅

不能保证几个不同机密程度网络的物理隔离

2、网络安全风险分析

内部网络与外部网络间如果在没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。

内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。

3、系统的安全风险分析

所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door.而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。

4、应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。

4.1 公开服务器应用

电信省中心负责全省的汇接、网络管理、业务管理和信息服务,所以设备较多包括全省用户管理、计费服务器、认证服务器、安全服务器、网管服务器、DNS服务器等公开服务器对外网提供浏览、查录、下载等服务。既然外部用户可以正常访问这些公开服务器,如果没有采取一些访问控制,恶意入侵者就可能利用这些公开服务器存在的安全漏洞(开放的其它协议、端口号等)控制这些服务器,甚至利用公开服务器网络作桥梁入侵到内部局域网,盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的,完成计费、认证等功能,他们的安全性应得到100%的保证。

4.2 病毒传播

网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。

4.3信息存储

由于天灾或其它意外事故,数据库服务器造到破坏,如果没有采用相应的安全备份与恢复系统,则可能造成数据丢失后果,至少可能造成长时间的中断服务。

4.4 管理的安全风险分析

管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。

建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和技术解决方案的结合。转自环 球 网 校edu24ol.com

安全需求分析

1、物理安全需求

针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要数据库且有实时性服务要求的服务器必须采用UPS不间断稳压电源,且数据库服务器采用双机热备份,数据迁移等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。

2、系统安全需求

对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。

应用系统安全上,主要考虑身份鉴别和审计跟踪记录。这必须加强登录过程的身份认证,通过设置复杂些的口令,确保用户使用的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。我们认为采用的入侵检测系统可以对进出网络的所有访问进行很好的监测、响应并作记录。

3、防火墙需求

防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的隔离,达到有效的控制对网络访问的作用。

3.1省中心与各下级机构的隔离与访问控制

防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;

防火墙可以针对协议、端口号、时间、流量等条件实现安全的访问控制。

防火墙具有很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。

3.2公开服务器与内部其它子网的隔离与访问控制

利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器,而公开服务器不可以主动发起对内部网络的访问,这样,假如公开服务器造受攻击,内部网由于有防火墙的保护,依然是安全的。

网络安全篇

网络安全篇

大学生是接收和享用网络信息的重要群体,其学习和生活已于网络密切相关。网上聊天、热点讨论、网上购物和电脑游戏等已经使大学生的学习和生活发生了巨大变化。这种变化总的来说是有利的,但同时科技是把双刃剑,网络也有其弊端。

一、大学生网络行为失范

大学生网络行为失范是指大学生作为网络的使用者,使用网络缺乏秩序、混乱无度,甚至违反国家法律法规的社会行为问题。主要表现为网恋、利用网络病毒的违法行为、网络侵权行为、个人网络沉迷等。

(一)大学生自我防控和受害预防。大学生在浏览网页时要选择合法网站,不浏览色情网站;不上传散布违法信息;浏览BBS等虚拟社区时,不随意发表不负责任的言论信息。

(二)聊天交友时注意事项。尽量使用虚拟的E-mail等方式,避免使用真实的姓名,不要轻易告诉对方自己的电话号码、住址等有关个人的真实信息;不要轻易与网友见面,尽量不要一个人赴约;不要轻易点击来历不明的网址链接或来历不明的文件;警惕网络色情聊天、反动宣传。

二、大学生网络诈骗受害者

大学生涉世未深,易受网络诈骗分子的侵犯。主要有网络聊天受骗、阅读信息受骗、网络交易受骗,其中网络交易受骗更为普遍。常见的网络交易受骗有传销类、购物类、色情类、中奖类。

(一)网络诈骗的预防。勿轻易相信他人;勿贪图便宜;安全汇款;培养对网络信息的鉴别能力;勿随意透漏自己的信息。

(二)网络购物注意事项

选择合法的、信誉度较高的网站交易。必须对网站的信誉度、安全性、付款方式,特别是以信誉卡付费的保密性进行考察,防止个人账号密码遗失和被盗;

避免与未提供足以辨识和确认身份资料的电子商店进行交易;网上商店所提供的商品与市场价格相距甚远的要小心求证,勿贪图便宜,谨防上当受骗;进行网上交易时,妥善保存交易记录。应打印出交易内容与确认号码订单,或将其存入电脑。

三、个人网络安全

对病毒入侵的防范。切断计算机病毒的传播途径;采取切实可行的预防管理措施;注意计算机网络安全;使用正版软件,注意更新计算机系统,安装必要的补丁程序;使用QQ等聊天工具时,不要接收陌生人发来的文件或程序。

共青团中央、教育部、中国青少年网络协会等单位共同发布《全国青少年网络文明公约》:要善于网上学习,不浏览不良信息;要诚实友好交流,不侮辱欺诈他人;要增强自护意识,不随意约会网友;要维护网络安全,不破坏网络秩序;要有益身心健康,不沉溺虚拟时空。

5-4网络安全

第5 章计机网络算网

络安

安全的概念

网络全安指是网系络统硬的、件软件及其系中的

数据统到受保护,受偶不然的素或者恶意因的击而攻遭到破 坏更、改、露泄,确系统能连保、续可靠 正、地常运行网络,务服中断不。

防范的

极终段手---加-密技术

2--

全击攻举-例--黑的网被

-站3-

电商子务站被攻击

网现

主服象务器遭到客黑击攻后瘫痪 在启用备服份务器,数据后大分被部删除

火防墙行同设

虚机上主有作没多过配,置存大在量服务的 安装pcA了nwyereh远程控制件软

过十去,年息安全并不被大多数企信业重视相关。

构统机计示,国显大中型内业企过去在一年因内 信息安全件平均每家损事失2达4万0元美 。每计算机及网年络犯活罪动带来的失超过4损540 亿元。美来 网自络的胁已经不威仅再限传于IT统系统,已 扩经至展统传业工础设施。基

5--

I

tnreetn的攻击类

型 绝拒务服击 攻

 

后门

远程 缓冲溢攻出击网 络击攻 洛伊木马特击攻网 病络毒

络病毒网

病毒指编“制在计算者程序机中入的插破计算坏机

功或者能破坏数据影响计,算使机并用能且够我自 复的一制计组机算指或者程序令码代”

病的毒特

点 

 

性生可 行性 传染性 执坏破性潜伏性

障网保安络全的关键术技

 

份身证认术 访技问控技制术密 技码术防火 墙技术入 检侵测技术安全审 计术技

M.ruiwrug@amil.com

8

钥码技密术基

本思想

使用 对密称密钥术,码通一个过安全不的道发送消信息 ,侵者在入道信上单简听偷但不能理解消息内,

容密码术分技类

 对称(

单钥)密加技术

算法简

单密的钥发复分 杂不易容实现数字名签和身份证

对称(非公钥加密技术)加密

法算杂,复算计度慢。 密速钥管分理简配单

-

-9

统对称密钥密传术码

换密替码

基思想:用本个符一号替换一另个符号

如果明中文符号是的字符用另一个字符,代,如用字替 母D代字母A,替用代ZT

替最简单的替换密 码移是位码,密密算加法“为向下移位 ek字符y,”解密算为“法向移上位key字符,遇到 ”字母表尾开或头,用环绕的办法采。

-

1-

对称0密加举--例-换替码密

撒凯码密(Ceaas

crihpre

a)-D、-Eb、c-F、 -dG、-e H … …s- V…… z-、C

e.g明 文:cacessc ontol r变可: DF为FHV VFRQWUO R钥为密移:4位改 1:进许移位k允位,k为密,解钥密要尝25试种可

替换密码再的改

进用对照

a表 b c d ef g i jhk l n om p qr s ut w x vyz QW E RT YU I O APS D G F JH KL Z C XVB N M

二行的第62字个母序次即密为

解密要试尝2!6= 4x1 26 0种况,假设情s测1试一个密 钥也101需年0

解密方法可用 但1:布分计算

式2

:字用法

3:猜频字或测短语

对称代钥密密码术

传对统密钥密称术不再码全

安 常基通字于的替符换或位移 难以 抵抗蛮破解、力频词计等方法攻统

击现对代密称钥密术码

基于二进位制行进密 加 综使合用换、置替换和其复杂他转的换合,组从文创 明建文 密 常算法用D:E和SAES

-

3-1

对密称密码术钥意

示1--4

对非称密钥码术密基本思想

参与信通人均每拥有种钥2:公钥匙私和钥,公钥发分给社 区对外(开公,私钥)各自管。保 发 者用公送钥加密息信接收者,私钥用解。 密 加和解密密法算是不互逆。的果没有私如,钥使有即 钥公、密加和密算解,法也是法解密无的常用

 RSA法算法

-

5-

1

对称非钥密密码

术-1-6

公钥技术应用

例举---字签数名

数字名签的念概

利 公用密钥技术码和其他码算密通过某种密法码算运生 一系列符号成代码及组成电密子码进签行名,代来书 写替名或签印。

章字签数名能证以下三点

保 接

者收能核够发送实者报对文的签名; 发送者后事能抵不赖对文的报签; 名 收接不能者伪对造报的签名文。

1--

7数

字签的名程过

1--

8

数签字

名传统名和数字签签的名较

比

传 签统名文是档的一分部;字数签名时,息消和签名 离分,送发同时者送发息消和名,签收者接证签名。 验 传签统通名过比较签名本和当前副名,签以鉴真定伪;数 字名中,签收接者到收息消和名签后使,验证用术 验证技送发身者,并不份保存本副  。统传签名,多个文对使用相档同的签;数名字名签中 每,条消息会生产不的签同。名

-

1-

9

签字名

字签名数要需公钥统系,签者使署用私签钥,验

证者使用签名署者公钥的证。验 称对钥密无实法现署签验证

对称钥只有双方知道,为密同通不信方设置同的密钥不  双方创建为密钥,需要时密钥对本进行验证,验身证 需使用要数签字,名从而起引环循 无法止冒防和伪充

造码密统和数字签名系

密码系统中用使收接者私的和公钥钥,钥公密,私钥 解加;密

数签名中使用发送者的私字和钥钥公,钥签私,名钥公 验证。-2

0-

对称

非对和称码密术比较

的秘密号记的量数

在 对称密密钥术码,中钥必密是须双方共的享通信是 双向的,; 在 非称对密密码钥术中密钥,是共不的享每,一都有方 己自公钥和私的,钥钥公面向公公开众。 身 份验证、数字签名需使用要对非密称钥密码。 术 称对密密码钥算法术运

行速相对度快较,两通者常组 合使用。

2--1

分页:12 3

Tags:如何做到网络安全  网络安全班会  网络安全的论文  网络安全法  网络安全在我身边  网络安全周  关于网络安全  身边的网络安全  网络安全故事  网络安全管理  网络安全论文 

猜你喜欢

搜索
网站分类
标签列表
后台-系统设置-扩展变量-手机广告-栏目/内容页底部