Ⅰ 建設一個小型的網路系統要些什麼配置和協議
如果要連接internet的話 就需要一個路由器 和交換機 如果單純區域網的話 交換機就可以了 具體的硬體規格看你的終端點數 協議只要有tcp/ip協議就可以了
route語法如下 route [-f] [-p] [Command] [Destination] [mask Netmask] [Gateway] [metric Metric] [if Interface]
參數 -f -p
ROUTE在Command命令下編輯
指定要運行的命令。下表列出了有效的命令。 命令 目的
add 添加路由
change 更改現存路由
delete 刪除路由
print 列印路由Destination
指定路由的網路目標地址。目標地址可以是一個 IP 網路地址(其中網路地址的主機地址位設置為 0),對於主機路由是 IP 地址,對於默認路由是 0.0.0.0。
mask subnetmask
指定與網路目標地址相關聯的網掩碼(又稱之為子網掩碼)。子網掩碼對於 IP 網路地址可以是一適當的子網掩碼,對於主機路由是 255.255.255.255 ,對於默認路由是 0.0.0.0。如果忽略,則使用子網掩碼 255.255.255.255。定義路由時由於目標地址和子網掩碼之間的關系,目標地址不能比它對應的子網掩碼更為詳細。換句話說,如果子網掩碼的一位是 0,則目標地址中的對應位就不能設置為 1。
Gateway
指定超過由網路目標和子網掩碼定義的可達到的地址集的前一個或下一個躍點 IP 地址。對於本地連接的子網路由,網關地址是分配給連接子網介面的 IP 地址。對於要經過一個或多個路由器才可用到的遠程路由,網關地址是一個分配給相鄰路由器的、可直接達到的 IP 地址。
metric Metric
為路由指定所需躍點數的整數值(范圍是 1 ~ 9999),它用來在路由表裡的多個路由中選擇與轉發包中的目標地址最為匹配的路由。所選的路由具有最少的躍點數。躍點數能夠反映躍點的數量、路徑的速度、路徑可靠性、路徑吞吐量以及管理屬性。
if Interface
指定目標可以到達的介面的介面索引。使用 route print 命令可以顯示介面及其對應介面索引的列表。對於介面索引可以使用十進制或十六進制的值。對於十六進制值,要在十六進制數的前面加上 0x。忽略 if 參數時,介面由網關地址確定。
/?
在命令提示符顯示幫助。
注釋
路由表中 躍點數 一列的值較大是由於允許 TCP/IP 根據每個 LAN介面的 IP 地址、子網掩碼和默認網關的配置自動確定路由表中路由的躍點數造成的。默認啟動的自動確定介面躍點數確定了每個介面的速度,調整了每個介面的路由躍點數,因此最快介面所創建的路由具有最低的躍點數。要刪除大躍點數,請在每個 LAN 連接的 TCP/IP 協議的高級屬性中禁用自動確定介面躍點數。
如果在 systemroot\System32\Drivers\Etc 文件夾的本地網路文件中存在適當的條目,名稱可以用於 Destination。只要名稱可以通過「域名系統」 (DNS) 查詢這樣的標准主機名解析技術分解為 IP 地址,就可以將其用於 Gateway,DNS 查詢使用存儲在 systemroot\System32\Drivers\Etc 文件夾下的本地主機文件和 NetBIOS 名稱解析。
如果是 print 或 delete 命令,可以忽略 Gateway 參數,使用通配符來表示目標和網關。Destination 的值可以是由星號 (*) 指定的通配符。如果指定目標含有一個星號 (*) 或問號 (?),它被看作是通配符,只列印或刪除匹配的目標路由。星號代表任意一字元序列,問號代表任一字元。例如, 10.*.1, 192.168.*、 127.* 和 *224* 都是星號通配符的有效使用。
使用了無效的目標和子網掩碼(網掩碼)值的組合,會顯示「Route:bad gateway address netmask」錯誤消息。目標中有一位或多位設置為 1,而其在子網掩碼中的對應位設置為 0 時會發生這個錯誤。可以通過二進製表示法表示目標和子網掩碼來檢查這種情況。以二進製表示的子網掩碼包括表示目標網路地址部分的一連串的 1 和表示目標主機地址部分的一連串的 0 兩個部分。查看目標以確定目標的主機地址部分(由子網掩碼所定義)是否有些位設置成了 1。
只有 Windows NT 4.0、Windows 2000、Windows Millennium Edition 和 Windows XP 的 route 命令支持 -p 參數。Windows 95 或 Windows 98 的 route 命令不支持該參數。
只有當網際協議 (TCP/IP) 協議在 網路連接中安裝為網路適配器屬性的組件時,該命令才可用。
範例
要顯示 IP 路由表的完整內容,請鍵入:
route print
要顯示 IP 路由表中以 10. 開始的路由,請鍵入:
route print 10.*
要添加默認網關地址為 192.168.12.1 的默認路由,請鍵入:
route add 0.0.0.0 mask 0.0.0.0 192.168.12.1
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1 的路由,請鍵入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1 的永久路由,請鍵入:
route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1,躍點數為 7 的路由,請鍵入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1,介面索引為 0x3 的路由,請鍵入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3
要刪除目標為 10.41.0.0,子網掩碼為 255.255.0.0 的路由,請鍵入:
route delete 10.41.0.0 mask 255.255.0.0
要刪除 IP 路由表中以 10. 開始的所有路由,請鍵入:
route delete 10.*
要將目標為 10.41.0.0,子網掩碼為 255.255.0.0 的路由的下一個躍點地址由 10.27.0.1 更改為 10.27.0.25,請鍵入:
route change 10.41.0.0 mask 255.255.0.0 10.27.0.25
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
route 的命令
routing ip add/delete/set/show interface 在指定介面上添加、刪除、配置或顯示常規 IP 路由設置。
routing ip add/delete/set/show filter 在指定介面上添加、刪除、配置或顯示 IP 數據包篩選器。
routing ip add/delete/show boundary 在指定介面上添加、刪除或顯示多播邊界設置。
routing ip add/set ipiptunnel 添加或配置 IP 中的 IP 介面。
routing ip add/delete/set/show rtmroute 添加、配置或顯示不持續的路由表管理器路由。
routing ip add/delete/set/show persistentroute 添加、刪除、配置或顯示持續路由。
routing ip add/delete/set/show preferenceforprotocol 添加、刪除、配置或顯示路由協議的優先順序。
routing ip add/delete/set/show scope 添加、刪除或顯示多播作用域。
routing ip set/show loglevel 配置或顯示全局 IP 記錄等級。
routing ip show helper 顯示 IP 的所有 Netsh 實用程序子環境。
routing ip show protocol 顯示所有正在運行的 IP 路由協議。
routing ip show mfe 顯示多播轉發項。
routing ip show mfestats 顯示多播轉發項統計。
routing ip show boundarystats 顯示 IP 多播邊界。
routing ip show rtmdestinations 顯示路由表管理器路由表中的目標。
routing ip show rtmroutes 顯示路由表管理器路由表中的路由。
routing ip nat set/show global 配置或顯示全局網路地址轉換 (NAT) 設置。
routing ip nat add/delete/set/show interface 添加、刪除、配置或顯示指定介面的 NAT 設置。
routing ip nat add/delete addressrange 在 NAT 介面公用地址池中添加或刪除一個地址范圍。
routing ip nat add/delete addressmapping 添加或刪除 NAT 地址映射。
routing ip nat add/delete portmapping 添加或刪除 NAT 埠映射。
routing ip autodhcp set/show global 配置或顯示全局 DHCP 分配器參數。
routing ip autodhcp set/show interface 配置或顯示指定介面的 DHCP 分配器設置。
routing ip autodhcp add/delete exclusion 在 DHCP 分配器地址范圍中添加或刪除一個排除范圍。
routing ip dnsproxy set/show global 配置或顯示全局 DNS 代理參數。
routing ip dnsproxy set/show interface 配置或顯示指定介面的 DNS 代理參數。
routing ip igmp set/show global 配置或顯示 IGMP 全局設置。
routing ip igmp add/delete/set/show interface 在指定介面上添加、刪除、配置或顯示 IGMP。
routing ip igmp add/delete staticgroup 添加或刪除指定介面的靜態多播組。
routing ip igmp show grouptable 顯示 IGMP 主機組表。
routing ip igmp show ifstats 顯示每個介面的 IGMP 統計。
routing ip igmp show iftable 顯示每個介面的 IGMP 主機組。
routing ip igmp show proxygrouptable 顯示 IGMP 代理介面的 IGMP 組表。
routing ip igmp show rasgrouptable 顯示遠程訪問伺服器所使用的 Internet 介面的組表。
routing ip ospf set/show global 配置或顯示全局 OSPF 設置。
routing ip ospf add/delete/set/show interface 在指定介面上添加、刪除、配置或顯示 OSPF。
routing ip ospf add/delete/set/show area 添加、刪除、配置或顯示 OSPF 區域。
routing ip ospf add/delete/show range 在指定的 OSPF 區域上添加、刪除、配置或顯示範圍。
routing ip ospf add/delete/set/show virtif 添加、刪除、配置或顯示 OSPF 虛擬介面。
routing ip ospf add/delete/show neighbor 添加、刪除、配置或顯示 OSPF 鄰居。
routing ip ospf add/delete/show protofilter 添加、刪除、配置或顯示 OSPF 外部路由的路由信息源。
routing ip ospf add/delete/show routefilter 添加、刪除、配置或顯示 OSPF 外部路由的路由篩選。
routing ip ospf show areastats 顯示 OSPF 區域統計。
routing ip ospf show lsdb 顯示 OSPF 鏈接狀態資料庫。
routing ip ospf show virtifstats 顯示 OSPF 虛擬鏈接統計。
routing ip relay set global 配置「DHCP 中繼代理程序」的全局設置。
routing ip relay add/delete/set interface 在指定介面上添加、刪除或配置「DHCP 中繼代理程序」設置。
routing ip relay add/delete dhcpserver 在 DHCP 伺服器地址列表中添加或刪除 DHCP 伺服器的 IP 地址。
routing ip relay show ifbinding 顯示介面的 IP 地址綁定。
routing ip relay show ifconfig 顯示每個介面的「DHCP 中繼代理程序」配置。
routing ip relay show ifstats 顯示每個介面的 DHCP 統計。
routing ip rip set/show global 配置 IP 的 RIP 全局設置。
routing ip rip add/delete/set/show interface 在指定介面上添加或配置 IP 的 RIP 設置。
routing ip rip add/delete peerfilter 添加或刪除 RIP 對等篩選器。
routing ip rip add/delete acceptfilter 在接受的路由列表中添加或刪除 RIP 路由篩選器。
routing ip rip add/delete announcefilter 在公布的路由列表中添加或刪除 RIP 路由篩選器。
routing ip rip add/delete/show neighbor 添加或刪除 RIP 鄰居。
routing ip rip set/show flags 在指定介面上配置 IP RIP 高級設置。
routing ip rip show globalstats 顯示全局 RIP 參數。
routing ip rip show ifbinding 顯示介面的 IP 地址綁定。
routing ip rip show ifstats 顯示每個介面的 RIP 統計。
IPX netsh 路由命令
routing ipx add/set staticroute 在 IPX 路由表中添加或配置靜態 IPX 路由。
routing ipx add/set staticservice 在 SAP 服務表中添加或配置靜態 SAP 服務。
routing ipx add/set filter 在指定的介面上添加或配置 IPX 數據包篩選器。
routing ipx add/set interface 在請求撥號介面上啟用 IPX 路由,或在指定的介面上配置 IPX 設置。
routing ipx set global 配置全局 IPX 路由設置。
routing ipx rip add/set filter 添加和配置 RIP 路由篩選器。
routing ipx rip set global 配置全局 IPX 的 RIP 設置。
routing ipx rip set interface 在指定介面上配置 IPX 的 RIP 設置。
routing ipx sap add/set filter 添加或配置 SAP 服務篩選器。
routing ipx sap set global 配置全局 IPX 的 SAP 設置。
routing ipx sap set interface 在指定介面上配置 IPX 的 SAP 設置。
routing ipx netbios add nbname 將靜態 NETBIOS 名稱添加到 IPX NetBIOS 名稱表中。
routing ipx netbios set interface 在指定介面上配置基於 IPX 的 NetBIOS 設置。
Ⅲ 安全協議樣本
施工安全協議書
甲方單位名稱:
乙方單位名稱:
一.目的
為維護甲乙雙方的共同利益,保證施工質量和安全生產,保持良好的工作秩序和施工場所的安全、衛生環境,經甲乙雙方平等協商,簽定本施工協議。
二. 施工項目:
三. 施工地點:
四. 施工時間:
五. 協議內容:
1、乙方進場施工,須經甲方同意,並指定施工負責人,施工現場設立安全監督,便於施工過程中的協調、聯系。同時,在不影響甲方安全生產運行的前提下,甲方需為乙方提供施工便利條件和服務。
2、乙方施工前,必須對施工人員進行安全教育,並與甲方公司簽定《施工安全協議書》,甲方並不承擔對乙方進行安全教育內容。
3、 乙方施工人員必須穿戴勞保用品如安全帽、安全帶等,特種作業人員還必須攜帶特種作業操作證。
4、乙方應在施工區域設置明顯標志,對於時間較長的集中性施工項目要做封閉處理,施工人員應在施工區域內活動,不得隨意進入非施工區域,甲方人員有權隨時檢查.
6、 施工隊伍的安全防護器材必須配置到位,安全措施得力,否則將不得開工作業;施工中因違章操作等原因造成意外的人身傷害或事故損失應由乙方負責。
7、施工過程中使用到甲方的水、電、等,所需費用由甲方單位承擔。
8、施工完成後,乙方向甲方提供相應施工資料。
9、其它未盡事宜由甲乙雙方協商解決。
1、現場負責人:
2、安全負責人:
3、材料負責人:
本協議一式二份,甲乙雙方各執一份。
該責任書自雙方簽字蓋章之日起生效,至乙方負責施工之上述施工項目辦完工程驗收後,即告終止。
甲方(簽字) 乙方(簽字)
甲方代表 : 乙方代表:
年 月 日 年 月 日
(3)系統網路安全補充協議擴展閱讀:
安全協議的安全性質
機密性 完整性 認證性 非否認性 正確性 可驗證性 公平性 匿名性 隱私屬性 強健性 高效性
安全協議可用於保障計算機網路信息系統中秘密信息的安全傳遞與處理,確保網路用戶能夠安全、方便、透明地使用系統中的密碼資源。安全協議在金融系統、商務系統、政務系統、軍事系統和社會生活中的應用日益普遍,而安全協議的安全性分析驗證仍是一個懸而未決的問題。
在實際社會中,有許多不安全的協議曾經被人們作為正確的協議長期使用,如果用於軍事領域的密碼裝備中,則會直接危害到軍事機密的安全性,會造成無可估量的損失。這就需要對安全協議進行充分的分析、驗證,判斷其是否達到預期的安全目標。
Ⅳ 詳解https是如何確保系統安全的
https協議需要到CA申請證書。
http是超文本傳輸協議,信息是明文傳輸;https 則是具有安全性的ssl加密傳輸協議。
http和https使用的是完全不同的連接方式,用的埠也不一樣,前者是80,後者是443。
http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,比http協議安全。
http默認使用80埠,https默認使用443埠
下面就是https的整個架構,現在的https基本都使用TLS了,因為更加安全,所以下圖中的SSL應該換為SSL/TLS。
客戶端首次發出請求
由於客戶端(如瀏覽器)對一些加解密演算法的支持程度不一樣,但是在TLS協議傳輸過程中必須使用同一套加解密演算法才能保證數據能夠正常的加解密。在TLS握手階段,客戶端首先要告知服務端,自己支持哪些加密演算法,所以客戶端需要將本地支持的加密套件(Cipher Suite)的列表傳送給服務端。除此之外,客戶端還要產生一個隨機數,這個隨機數一方面需要在客戶端保存,另一方面需要傳送給服務端,客戶端的隨機數需要跟服務端產生的隨機數結合起來產生後面要講到的 Master Secret 。
客戶端需要提供如下信息:
支持的協議版本,比如TLS 1.0版
一個客戶端生成的隨機數,稍後用於生成」對話密鑰」
支持的加密方法,比如RSA公鑰加密
支持的壓縮方法
協議的版本
加密的演算法
隨機數
伺服器證書
服務端首次回應
服務端在接收到客戶端的Client Hello之後,服務端需要確定加密協議的版本,以及加密的演算法,然後也生成一個隨機數,以及將自己的證書發送給客戶端一並發送給客戶端,這里的隨機數是整個過程的第二個隨機數。
服務端需要提供的信息:
客戶端再次回應
客戶端首先會對伺服器下發的證書進行驗證,驗證通過之後,則會繼續下面的操作,客戶端再次產生一個隨機數(第三個隨機數),然後使用伺服器證書中的公鑰進行加密,以及放一個ChangeCipherSpec消息即編碼改變的消息,還有整個前面所有消息的hash值,進行伺服器驗證,然後用新秘鑰加密一段數據一並發送到伺服器,確保正式通信前無誤。
客戶端使用前面的兩個隨機數以及剛剛新生成的新隨機數,使用與伺服器確定的加密演算法,生成一個Session Secret。
ChangeCipherSpec
ChangeCipherSpec是一個獨立的協議,體現在數據包中就是一個位元組的數據,用於告知服務端,客戶端已經切換到之前協商好的加密套件(Cipher Suite)的狀態,准備使用之前協商好的加密套件加密數據並傳輸了。
伺服器再次響應
服務端在接收到客戶端傳過來的第三個隨機數的 加密數據之後,使用私鑰對這段加密數據進行解密,並對數據進行驗證,也會使用跟客戶端同樣的方式生成秘鑰,一切准備好之後,也會給客戶端發送一個 ChangeCipherSpec,告知客戶端已經切換到協商過的加密套件狀態,准備使用加密套件和 Session Secret加密數據了。之後,服務端也會使用 Session Secret 加密一段 Finish 消息發送給客戶端,以驗證之前通過握手建立起來的加解密通道是否成功。
後續客戶端與伺服器間通信
確定秘鑰之後,伺服器與客戶端之間就會通過商定的秘鑰加密消息了,進行通訊了。整個握手過程也就基本完成了。
值得特別提出的是:
SSL協議在握手階段使用的是非對稱加密,在傳輸階段使用的是對稱加密,也就是說在SSL上傳送的數據是使用對稱密鑰加密的!因為非對稱加密的速度緩慢,耗費資源。其實當客戶端和主機使用非對稱加密方式建立連接後,客戶端和主機已經決定好了在傳輸過程使用的對稱加密演算法和關鍵的對稱加密密鑰,由於這個過程本身是安全可靠的,也即對稱加密密鑰是不可能被竊取盜用的,因此,保證了在傳輸過程中對數據進行對稱加密也是安全可靠的,因為除了客戶端和主機之外,不可能有第三方竊取並解密出對稱加密密鑰!如果有人竊聽通信,他可以知道雙方選擇的加密方法,以及三個隨機數中的兩個。整個通話的安全,只取決於第三個隨機數(Premaster secret)能不能被破解。
其他補充
對於非常重要的保密數據,服務端還需要對客戶端進行驗證,以保證數據傳送給了安全的合法的客戶端。服務端可以向客戶端發出 Cerficate Request 消息,要求客戶端發送證書對客戶端的合法性進行驗證。比如,金融機構往往只允許認證客戶連入自己的網路,就會向正式客戶提供USB密鑰,裡面就包含了一張客戶端證書。
PreMaster secret前兩個位元組是TLS的版本號,這是一個比較重要的用來核對握手數據的版本號,因為在Client Hello階段,客戶端會發送一份加密套件列表和當前支持的SSL/TLS的版本號給服務端,而且是使用明文傳送的,如果握手的數據包被破解之後,攻擊者很有可能串改數據包,選擇一個安全性較低的加密套件和版本給服務端,從而對數據進行破解。所以,服務端需要對密文中解密出來對的PreMaster版本號跟之前Client Hello階段的版本號進行對比,如果版本號變低,則說明被串改,則立即停止發送任何消息。
session的恢復
有兩種方法可以恢復原來的session:一種叫做session ID,另一種叫做session ticket。
session ID
session ID的思想很簡單,就是每一次對話都有一個編號(session ID)。如果對話中斷,下次重連的時候,只要客戶端給出這個編號,且伺服器有這個編號的記錄,雙方就可以重新使用已有的」對話密鑰」,而不必重新生成一把。
session ID是目前所有瀏覽器都支持的方法,但是它的缺點在於session ID往往只保留在一台伺服器上。所以,如果客戶端的請求發到另一台伺服器,就無法恢復對話
session ticket
客戶端發送一個伺服器在上一次對話中發送過來的session ticket。這個session ticket是加密的,只有伺服器才能解密,其中包括本次對話的主要信息,比如對話密鑰和加密方法。當伺服器收到session ticket以後,解密後就不必重新生成對話密鑰了。
目前只有Firefox和Chrome瀏覽器支持。
總結
https實際就是在TCP層與http層之間加入了SSL/TLS來為上層的安全保駕護航,主要用到對稱加密、非對稱加密、證書,等技術進行客戶端與伺服器的數據加密傳輸,最終達到保證整個通信的安全性。
Ⅳ 網路安全
網路安全知識包括黑客知識。
是指網路系統的硬體、軟體及系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統可以連續可靠正常地運行,網路服務不被中斷。
什麼是計算機病毒?
計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。
什麼是木馬?
木馬是一種帶有惡意性質的遠程式控制制軟體。木馬一般分為客戶端和伺服器端。客戶端就是本地使用的各種命令的控制台,伺服器端則是要給別人運行,只有運行過伺服器端的計算機才能夠完全受控。木馬不會象病毒那樣去感染文件。
什麼是防火牆?它是如何確保網路安全的?
使用功能防火牆是一種確保網路安全的方法。防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的惟一出入口,能根據企業的安全策略控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網路和信息安全的基礎設施。
什麼是後門?為什麼會存在後門?
後門是指一種繞過安全性控制而獲取對程序或系統訪問權的方法。在軟體的開發階段,程序員常會在軟體內創建後門以便可以修改程序中的缺陷。如果後門被其他人知道,或者在發布軟體之前沒有刪除,那麼它就成了安全隱患。
什麼叫入侵檢測?
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,檢查網路中是否有違反安全策略的行為和遭到襲擊的跡象。
什麼叫數據包監測?它有什麼作用?
數據包監測可以被認為是一根竊聽電話線在計算機網路中的等價物。當某人在「監聽」網路時,他們實際上是在閱讀和解釋網路上傳送的數據包。如果你需要在互聯網上通過計算機發送一封電子郵件或請求一個網頁,這些傳輸信息時經過的計算機都能夠看到你發送的數據,而數據包監測工具就允許某人截獲數據並且查看它。
什麼是NIDS?
NIDS是網路入侵檢測系統的縮寫,主要用於檢測HACKER和CRACKER通過網路進行的入侵行為。NIDS的運行方式有兩種,一種是在目標主機上運行以監測其本身的通信信息,另一種是在一台單獨的機器上運行以監測所有網路設備的通信信息,比如HUB、路由器。
什麼叫SYN包?
TCP連接的第一個包,非常小的一種數據包。SYN攻擊包括大量此類的包,由於這些包看上去來自實際不存在的站點,因此無法有效進行處理。
加密技術是指什麼?
加密技術是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。
加密技術包括兩個元素:演算法和密鑰。演算法是將普通的信息或者可以理解的信息與一串數字(密鑰)結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解密的一種演算法。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網路的信息通信安全。
什麼叫蠕蟲病毒?
蠕蟲病毒源自一種在網路上傳播的病毒。1988年,22歲的康奈爾大學研究生羅伯特.莫里斯通過網路發送了一種專為攻擊UNIX系統缺陷、名為「蠕蟲」的病毒,蠕蟲造成了6000個系統癱瘓,估計損失為200萬到6000萬美圓。由於這只蠕蟲的誕生,在網上還專門成立了計算機應急小組。現在蠕蟲病毒家族已經壯大到成千上萬種,並且這千萬種蠕蟲病毒大都出自黑客之手。
什麼是操作系統病毒?
這種病毒會用它自己的程序加入操作系統進行工作,具有很強的破壞力,會導致整個系統癱瘓。並且由於感染了操作系統,這種病毒在運行時,會用自己的程序片段取代操作系統的合法程序模塊。根據病毒自身的特點和被替代的操作系統中合法程序模塊在操作系統中運行的地位與作用,以及病毒取代操作系統的取代方式等,對操作系統進行破壞。同時,這種病毒對系統中文件的感染性也很強。
莫里斯蠕蟲是指什麼?
它的編寫者是美國康奈爾大學一年級研究生羅伯特.莫里斯。這個程序只有99行,利用UNIX系統的缺點,用finger命令查聯機用戶名單,然後破譯用戶口令,用MAIL系統復制、傳播本身的源程序,再編譯生成代碼。
最初的網路蠕蟲設計目的是當網路空閑時,程序就在計算機間「游盪」而不帶來任何損害。當有機器負荷過重時,該程序可以從空閑計算機「借取資源」而達到網路的負載平衡。而莫里斯蠕蟲不是「借取資源」,而是「耗盡所有資源」。
什麼是DDoS?
DDoS也就是分布式拒絕服務攻擊。它使用與普通的拒絕服務攻擊同樣的方法,但是發起攻擊的源是多個。通常攻擊者使用下載的工具滲透無保護的主機,當獲取該主機的適當的訪問許可權後,攻擊者在主機中安裝軟體的服務或進程(以下簡稱代理)。這些代理保持睡眠狀態,直到從它們的主控端得到指令,對指定的目標發起拒絕服務攻擊。隨著危害力極強的黑客工具的廣泛傳播使用,分布式拒絕服務攻擊可以同時對一個目標發起幾千個攻擊。單個的拒絕服務攻擊的威力也許對帶寬較寬的站點沒有影響,而分布於全球的幾千個攻擊將會產生致命的後果。
區域網內部的ARP攻擊是指什麼?
ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的進行。基於ARP協議的這一工作特性,黑客向對方計算機不斷發送有欺詐性質的ARP數據包,數據包內包含有與當前設備重復的MAC地址,使對方在回應報文時,由於簡單的地址重復錯誤而導致不能進行正常的網路通信。一般情況下,受到ARP攻擊的計算機會出現兩種現象:1、不斷彈出「本機的XXX段硬體地址與網路中的XXX段地址沖突」的對話框。2、計算機不能正常上網,出現網路中斷的症狀。
因為這種攻擊是利用ARP請求報文進行「欺騙」的,所以防火牆會誤以為是正常的請求數據包,不予攔截。因此普通防火牆很難抵擋這種攻擊。
什麼叫欺騙攻擊?
網路欺騙的技術主要有:HONEYPOT和分布式HONEYPOT、欺騙空間技術等。主要方式有:IP欺騙、ARP欺騙、DNS欺騙、WEB欺騙、電子郵件欺騙、源路由欺騙(通過指定路由,以假冒身份與其他主機進行合法通信或發送假報文,使受攻擊主機出現錯誤動作)、地址欺騙(包括偽造源地址和偽造中間站點)等。
Ⅵ 急:網路與信息安全保障措施如何寫
可以先分析目前的現狀,哪些做的好哪些需要完善,然後對完善的重點寫。
可以從管理措施和技術措施兩大部分寫。
管理可以從組織機構、管理制度、監督檢查措施等方面寫。
技術從物理層、網路層、系統層、應用層、數據層等方面一一描述。
另外,還可以補充應急方面的措施,比如說應急預案、預案演練等。估計應該也差不多了。
Ⅶ ipv6協議是否對網路安全進行了考慮,如果有,它是如何實現網路安全的
隨著企業網路的普及和網路開放性,共享性,互連程度的擴大,網路的信息安全問題也越來越引起人們的重視。一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全,還要保護數據安全。 網路安全風險分析 計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網路的潛在威脅。信息網路化使信息公開化、信息利用自由化,其結果是信息資源的共享和互動,任何人都可以在網上發布信息和獲取信息。 這樣,網路信息安全問題就成為危害網路發展的核心問題,與外界的網際網路連接使信息受侵害的問題尤其嚴重。目前企業網路信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。 計算機病毒是一種危害計算機系統和網路安全的破壞性程序。它可以直接破壞計算機數據信息,也可以大量佔用磁碟空間、搶占系統資源從而干擾了系統的正常運行。 隨著Internet技術的發展、企業網路環境的日趨成熟和企業網路應用的增多,病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽,尤其是Internet環境和企業網路環境為病毒傳播、生存提供了環境。 黑客攻擊已經成為近年來經常發生的事情,網路中伺服器被攻擊的事件層出不窮。黑客利用計算機系統、網路協議及資料庫等方面的漏洞和缺陷,採用破解口令(password cracking)、天窗(trapdoor)、後門(backdoor)、特洛伊木馬(Trojan horse)等手段侵入計算機系統,進行信息破壞或佔用系統資源,使得用戶無法使用自己的機器。 一般大型企業的網路都擁有Internet連接,同時對外提供的WWW和EMAIL等服務。因此企業內部網路通過Internet連接外部進行大量的信息交換,而其中大約80%信息是電子郵件,郵件中又有一半以上的郵件是垃圾郵件,這一比例還在逐年上升。 企業區域網內部的信息安全更是不容忽視的。網路內部各節點之間通過網路共享網路資源,就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下,因此造成信息泄漏;甚至存在內部人員編寫程序通過網路進行傳播,或者利用黑客程序入侵他人主機的現象。因此,網路安全不僅要防範外部網,同時更防範內部網。 網路安全措施 由此可見,有眾多的網路安全風險需要考慮,因此,企業必須採取統一的安全策略來保證網路的安全性。一個完整的安全技術和產品包括:身份認證、訪問控制、流量監測、網路加密技術、防火牆、入侵檢測、防病毒、漏洞掃描等;而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。 1.外部入侵的防範措施 (1)網路加密(Ipsec) IP層是TCP/IP網路中最關鍵的一層,IP作為網路層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網路安全的核心。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全,所以能實現非常細致的安全控制。對於用戶來說,便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網路數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務,使得數據在通過公共網路傳輸時,不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密演算法、驗證演算法、封裝協議和一些特殊的安全保護機制來實現這些目的,而這些演算法及其參數是保存在進行IPSec通信兩端的SA(Security Association,安全聯盟),當兩端的SA中的設置匹配時,兩端就可以進行IPSec通信了。 在虛擬專用網(VPN)中主要採用了IPSec技術。 (2)防火牆 防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制進、出一個網路的許可權,在內部和外部兩個網路之間建立一個安全控制點,對進、出內部網路的服務和訪問進行控制和審計,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問、干擾和破壞內部網路資源。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網路和Internet之間的任何活動,保證了內部網路的安全。 防火牆有軟、硬體之分,實現防火牆功能的軟體,稱為軟體防火牆。軟體防火牆運行於特定的計算機上,它需要計算機操作系統的支持。基於專用的硬體平台的防火牆系統,稱為硬體防火牆。它們也是基於PC架構,運行一些經過裁剪和簡化的操作系統,承載防火牆軟體。 (3)入侵檢測 部署入侵檢測產品,並與防火牆聯動,以監視區域網外部繞過或透過防火牆的攻擊,並及時觸發聯動的防火牆及時關閉該連接;同時監視主伺服器網段的異常行為,以防止來自區域網內部的攻擊或無意的誤用及濫用行為。入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力。 2.內部非法活動的防範措施 (1)身份認證 網路安全身份認證是指登錄計算機網路時系統對用戶身份的確認技術。是網路安全的第一道防線,也是最重要的一道防線。用戶在訪問安全系統之前,首先經過身份認證系統識別身份,然後訪問監控器根據用戶的身份和授權資料庫決定用戶是否能夠訪問某個資源。授權資料庫由安全管理員按照需要進行配置。 審計系統根據審計設置記錄用戶的請求和行為,同時入侵檢測系統實時或非實時地檢測是否有入侵行為。訪問控制和審計系統都要依賴於身份認證系統提供的用戶的身份。身份認證在安全系統中的地位極其重要,是最基本的安全服務,其它的安全服務都要依賴於它。一旦身份認證系統被攻破,那麼系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統,因此身份認證實在是網路安全的關鍵。 (2)訪問控制 訪問控制決定了用戶可以訪問的網路范圍、使用的協議、埠;能訪問系統的何種資源以及如何使用這些資源。 在路由器上可以建立訪問控制列表,它是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕,可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。 建立訪問控制列表後,可以限制網路流量,提高網路性能,對通信流量起到控制的手段,這也是對網路訪問的基本安全手段。由於訪問控制列表ACL(Access Control List)的表項可以靈活地增加,所以可以把ACL當作一種網路控制的有力工具,用來過濾流入和流出路由器介面的數據包。 在應用系統中,訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日誌和審計。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據,根據授予的許可權限制其對資源的利用范圍和程度。 (3)流量監測 目前有很多因素造成網路的流量異常,如拒絕服務攻擊(DoS)、網路蠕蟲病毒的傳播、一些網路掃描工具產生的大量TCP連接請求等,很容易使網路設備癱瘓。這些網路攻擊,都是利用系統服務的漏洞或利用網路資源的有限性,在短時間內發動大規模網路攻擊,消耗特定資源,造成網路或計算機系統癱瘓。因此監控網路的異常流量非常重要。 流量監測技術主要有基於SNMP的流量監測和基於Netflow的流量監測。基於SNMP的流量信息採集,是通過提取網路設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變數。 基於SNMP收集的網路流量信息包括:輸入位元組數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出位元組數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。基於Netflow流量信息採集是基於網路設備提供的Netflow機制實現的網路流量信息採集,在此基礎上實現的流量信息採集效率和效果均能夠滿足網路流量異常監測的需求。 基於以上的流量檢測技術,目前有很多流量監控管理軟體,此類軟體是判斷異常流量流向的有效工具,通過流量大小變化的監控,可以幫助網管人員發現異常流量,特別是大流量異常流量的流向,從而進一步查找異常流量的源、目的地址。 處理異常流量最直接的解決辦法是切斷異常流量源設備的物理連接,也可以採用訪問控制列表進行包過濾或在路由器上進行流量限定的方法控制異常流量。 (4)漏洞掃描 對一個網路系統而言,存在不安全隱患,將是黑客攻擊得手的關鍵因素。就目前的網路系統來說,在硬體、軟體、協議的具體實現或系統安全策略方面都可能存在一定的安全缺陷即安全漏洞。及時檢測出網路中每個系統的安全漏洞是至關重要的。 安全掃描是增強系統安全性的重要措施之一,它能夠有效地預先評估和分析系統中的安全問題。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序,按功能可分為:操作系統漏洞掃描、網路漏洞掃描和資料庫漏洞掃描。網路漏洞掃描系統,是指通過網路遠程檢測目標網路和主機系統漏洞的程序,它對網路系統和設備進行安全漏洞檢測和分析,從而發現可能被入侵者非法利用的漏洞。 定期對網路系統進行漏洞掃描,可以主動發現安全問題並在第一時間完成有效防護,讓攻擊者無隙可鑽。 (5)防病毒 企業防病毒系統應該具有系統性與主動性的特點,能夠實現全方位多級防護。 考慮到病毒在網路中存儲、傳播、感染的方式各異且途徑多種多樣,相應地在構建網路防病毒系統時,應利用全方位的企業防毒產品,實施集中控制、以防為主、防殺結合的策略。具體而言,就是針對網路中所有可能的病毒攻擊設置對應的防毒軟體,通過全方位、多層次的防毒系統配置,使網路沒有薄弱環節成為病毒入侵的缺口。 實例分析 大慶石化區域網是企業網路,覆蓋大慶石化機關、各生產廠和其他的二級單位,網路上運行著各種信息管理系統,保存著大量的重要數據。為了保證網路的安全,針對計算機網路本身可能存在的安全問題,在網路安全管理上我們採取了以下技術措施: 1.利用PPPOE撥號上網的方式登錄區域網 我們對網路用戶實施了身份認證技術管理。用戶採用 PPPOE撥號方式上區域網,即用戶在網路物理線路連通的情況下,需要通過撥號獲得IP地址才能上區域網。我們選用華為ISN8850智能IP業務交換機作為寬頻接入伺服器(BAS),RADIUS伺服器作用戶認證系統,每個用戶都以實名注冊,這樣我們就可以管理用戶的網上行為,實現了對乙太網接入用戶的管理。 2.設置訪問控制列表 在我們的網路中有幾十台路由交換機,在交換機上我們配置了訪問控制列表,根據信息流的源和目的 IP 地址或網段,使用允許或拒絕列表,更准確地控制流量方向,並確保 IP 網路免遭網路侵入。 3.劃分虛擬子網 在區域網中,我們把不同的單位劃分成不同的虛擬子網(VLAN)。對於網路安全要求特別高的應用,如醫療保險和財務等,劃分獨立的虛擬子網,並使其與區域網隔離,限制其他VLAN成員的訪問,確保了信息的保密安全。 4.在網路出口設置防火牆 在區域網的出口,我們設置了防火牆設備,並對防火牆制定安全策略,對一些不安全的埠和協議進行限制,使所有的伺服器、工作站及網路設備都在防火牆的保護之下,同時配置一台日誌伺服器記錄、保存防火牆日誌,詳細記錄了進、出網路的活動。 5.部署Symantec防病毒系統 我們在大慶石化區域網內部署了Symantec防病毒系統。Symantec系統具有跨平台的技術及強大功能,系統中心是中央管理控制台。通過該管理控制台集中管理運行Symantec AntiVirus 企業版的伺服器和客戶端;可以啟動和調度掃描,以及設置實時防護,從而建立並實施病毒防護策略,管理病毒定義文件的更新,控制活動病毒,管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。 6.利用高效的網路管理軟體管理全網 大慶石化區域網的網路環境比較復雜,含有多種cisco交換設備、華為交換設備、路由設備以及其他一些接入設備,為了能夠有效地網路,我們採用了BT_NM網路資源管理系統。 該系統基於SNMP管理協議,可以實現跨廠商、跨平台的管理。系統採用物理拓撲的方法來自動生成網路的拓撲圖,能夠准確和直觀地反映網路的實際連接情況,包括設備間的冗餘連接、備份連接、均衡負載連接等,對拓撲結構進行層次化管理。 通過網路軟體的IP地址定位功能可以定位IP地址所在交換機的埠,有效解決了IP地址盜用、查找病毒主機網路黑客等問題。 通過網路軟體還可實現對網路故障的監視、流量檢測和管理,使網管人員能夠對故障預警,以便及時採取措施,保證了整個網路能夠堅持長時間的安全無故障運行。 7.建立了VPN系統 虛擬專用網是對企業內部網的擴展。它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。虛擬專用網可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。 為了滿足企業用戶遠程辦公需求,同時為了滿足網路安全的要求,我們在石化區域網中建立了VPN系統。VPN的核心設備為Cisco的3825路由器,遠端子公司採用Cisco的2621路由器,動態接入設備採用Cisco的1700路由器。 8.啟動應用伺服器的審計功能 在區域網的各應用中我們都啟用了審計功能,對用戶的操作進行審核和記錄,保證了系統的安全。 大慶石化區域網結構簡圖網路信息系統安全問題的解決依賴於技術和管理兩方面,在採取技術措施保障網路安全的同時,我們還建立健全網路信息系統安全管理體系,將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。 通過以上管理機制和技術措施的實施,提高了網路安全性,降低了網路安全事故的風險,保證了網路長期平穩的運行。
Ⅷ 有關中小型區域網的網路安全解決方案
企業網路安全管理方案
大致包括: 1) 企業網路安全漏洞分析評估2) 網路更新的拓撲圖、網路安全產品采購與報價3) 管理制度制定、員工安全教育與安全知識培訓計劃4) 安全建設方案5) 網管設備選擇與網路管理軟體應用6) 網路維護與數據災難備份計劃7) 企業防火牆應用管理與策略8) 企業網路病毒防護9) 防內部攻擊方案10) 企業VPN設計
網路安全要從兩方面來入手
第一、管理層面。包括各種網路安全規章制度的建立、實施以及監督
第二、技術層面。包括各種安全設備實施,安全技術措施應用等
按照你的描述 首先我提醒你一點
安全是要花錢的 如果不想花錢就你現有的這些設備
我認為應該從以下幾點入手
一、制定並實施網路安全管理制度 包括伺服器以及個人主機安全管理、包括個級別許可權管理等等
二、制定並實施網路安全日常工作程序,包括監測上網行為、包括入侵監測
三、從技術層面上,你那裡估計是一根專線接入後用交換機或者無線路由器DHCP分配IP地址供大家上網,這樣的話你做不到上網行為管理,你需要一台防火牆進行包過濾以及日誌記錄 或者作一台代理伺服器進行上網行為管理並進行日誌記錄。
四、區域網內計算機系統管理 包括操作系統防病毒 更新補丁等工作 堡壘往往是從內部攻破 內部計算機中毒主動向外發送數據,造成泄密 這已經是很常見的事情 所以做好主機防護很重要。
當然 如果您有錢 黑洞系統 入侵監測 漏洞掃描 多級防火牆 審計系統都可以招呼
最後提醒一點 那就是 沒有絕對的安全 安全都是相對的
你需要什麼級別的安全 就配套做什麼級別的安全措施
管理永遠大於技術 技術只是輔助手段
Ⅸ 網路信息系統安全性分析
給我分哦,謝謝
http://bbs.wuyou.net/viewthread.php?tid=8894
網 絡 安 全 畢 業 論 文
網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱,同時也避免其它用戶的非授權訪問和破壞。從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。 對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。 從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。 從本質上來講,網路安全就是網路上的信息安全,是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全所要研究的領域。網路安全涉及的內容既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。技術方面主要側重於防範外部非法用戶的攻擊,管理方面則側重於內部人為因素的管理。如何更有效地保護重要的信息數據、提高計算機網路系統的安全性已經成為所有計算機網路應用必須考慮和必須解決的一個重要問題。
不同環境和應用中的網路安全
運行系統安全:即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由於電磁泄漏,產生信息泄露,干擾他人,受他人干擾。 網路上系統信息的安全:包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。 網路上信息傳播安全:即信息傳播後果的安全。包括信息過濾等。它側重於防止和控制非法、有害的信息進行傳播後的後果。避免公用網路上大量自由傳輸的信息失控。 網路上信息內容的安全:它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。本質上是保護用戶的利益和隱私 .
網路安全的結構層次主要包括:物理安全、安全控制和安全服務。
1: 物理安全
物理安全是指在物理介質層次上對存貯和傳輸的網路信息的安全保護。也就是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。物理安全是網路信息安全的最基本保障,是整個安全系統不可缺少和忽視的組成部分。它主要包括三個方面:
環境安全:對系統所在環境的安全保護。
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;
媒體安全:包括媒體數據的安全及媒體本身的安全。
目前,該層次上常見的不安全因素包括三大類:
1)自然災害(比如,地震、火災、洪水等)、物理損壞(比如,硬碟損壞、設備使用壽命到期、外力破損等)、設備故障(比如,停電斷電、電磁干擾等)。此類不安全因素的特點是:突發性、自然性、非針對性。這種不安全因素對網路信息的完整性和可用性威脅最大,而對網路信息的保密性影響卻較小,因為在一般情況下,物理上的破壞將銷毀網路信息本身。解決此類不安全隱患的有效方法是採取各種防護措施、制定安全規章、隨時數據備份等。
2)電磁輻射(比如,偵聽微機操作過程),乘機而入(比如,合法用戶進入安全進程後半途離開),痕跡泄露(比如,口令密鑰等保管不善,被非法用戶獲得)等。此類不安全因素的特點是:隱蔽性、人為實施的故意性、信息的無意泄露性。這種不安全因素主要破壞網路信息的保密性,而對網路信息的完整性和可用性影響不大。解決此類不安全隱患的有效方法是採取輻射防護、屏幕口令、隱藏銷毀等手段。
3)操作失誤(比如,偶然刪除文件,格式化硬碟,線路拆除等),意外疏漏(比如,系統掉電、「死機」等系統崩潰)。此類不安全因素的特點是:人為實施的無意性和非針對性。這種不安全因素主要破壞網路信息的完整性和可用性,而對保密性影響不大。解決此類不安全隱患的有效方法是:狀態檢測、報警確認、應急恢復等。 顯然,為保證信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失秘的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上探取一定的防護措施,來減少或干擾擴散出去的空間信號。這對重要的政策、軍隊、金融機構在興建信息中心時都將成為首要設置的條件。
正常的防範措施主要在三個方面:
1、 對主機房及重要信息存儲、收發部門進行屏蔽處理 即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓,磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風波導,門的關起等。
2、 對本地網、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射信息的不可避免性,現均採用了光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換介面,用光纜接出屏蔽室外進行傳輸。
3、 對終端設備輻射的防範
終端機尤其是CRT顯示器,由於上萬伏高壓電子流的作用,輻射有極強的信號外泄,但又因終端分散使用不宜集中採用屏蔽室的辦法來防止,故現在的要求除在訂購設備上盡量選取低輻射產品外,目前主要採取主動式的干擾設備如干擾機來破壞對應信息的竊復,個別重要的首腦或集中的終端也可考慮採用有窗子的裝飾性屏蔽室,此類雖降低了部份屏蔽效能,但可大大改善工作環境,使人感到在普通機房內一樣工作。
安全控制是指在網路信息系統中對存貯和傳輸的信息的操作和進程進行控制和管理,重點是在網路信息處理層次上對信息進行初步的安全保護。安全控制可以分為以下三個層次:
1)操作系統的安全控制。包括:對用戶的合法身份進行核實(比如,開機時要求鍵入口令)、對文件的讀寫存取的控制(比如,文件屬性控制機制)。此類安全控制主要保護被存貯數據的安全。
2)網路介面模塊的安全控制。在網路環境下對來自其他機器的網路通信進程進行安全控制。此類控制主要包括身份認證、客戶許可權設置與判別、審計日誌等。
3)網路互聯設備的安全控制。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制。此類控制主要通過網管軟體或路由器配置實現。需要指明的是,安全控制主要通過現有的操作系統或網管軟體、路由器配置等實現。安全控制只提供了初步的安全功能和網路信息保護。
安全服務是指在應用程序層對網路信息的保密性、完整性和信源的真實性進行保護和鑒別,滿足用戶的安全需求,防止和抵禦各種安全威脅和攻擊手段。安全服務可以在一定程度上彌補和完善現有操作系統和網路信息系統的安全漏洞。安全服務的主要內容包括:安全機制、安全連接、安全協議、安全策略等。
1)安全機制是利用密碼演算法對重要而敏感的數據進行處理。比如,以保護網路信息的保密性為目標的數據加密和解密;以保證網路信息來源的真實性和合法性為目標的數字簽名和簽名驗證;以保護網路信息的完整性,防止和檢測數據被修改、插入、刪除和改變的信息認證等。安全機制是安全服務乃至整個網路信息安全系統的核心和關鍵。現代密碼學在安全機制的設計中扮演著重要的角色。
2)安全連接是在安全處理前與網路通信方之間的連接過程。安全連接為安全處理進行了必要的准備工作。安全連接主要包括會話密鑰的分配和生成和身份驗證。後者旨在保護信息處理和操作的對等雙方的身份真實性和合法性。
3)安全協議。協議是多個使用方為完成某些任務所採取的一系列的有序步驟。協議的特性是:預先建立、相互同意、非二義性和完整性。安全協議使網路環境下互不信任的通信方能夠相互配合,並通過安全連接和安全機制的實現來保證通信過程的安全性、可靠性和公平性。
4)安全策略。安全策略是安全體制、安全連接和安全協議的有機組合方式,是網路信息系統安全性的完整的解決方案。安全策略決定了網路信息安全系統的整體安全性和實用性。不同的網路信息系統和不同的應用環境需要不同的安全策略。
網路安全的目標 通俗地說,網路信息安全與保密主要是指保護網路信息系統,使其沒有危險、不受威脅、不出事故。從技術角度來說,網路信息安全與保密的目標主要表現在系統的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。
1:可靠性
可靠性是網路信息系統能夠在規定條件下和規定的時間內完成規定的功能的特性。可靠性是系統安全的最基於要求之一,是所有網路信息系統的建設和運行目標。網路信息系統的可靠性測度主要有三種:抗毀性、生存性和有效性。
2.抗毀性是指系統在人為破壞下的可靠性。比如,部分線路或節點失效後,系統是否仍然能夠提供一定程度的服務。增強抗毀性可以有效地避免因各種災害(戰爭、地震等)造成的大面積癱瘓事件。 生存性是在隨機破壞下系統的可靠性。生存性主要反映隨機性破壞和網路拓撲結構對系統可靠性的影響。這里,隨機性破壞是指系統部件因為自然老化等造成的自然失效。 有效性是一種基於業務性能的可靠性。有效性主要反映在網路信息系統的部件失效情況下,滿足業務性能要求的程度。比如,網路部件失效雖然沒有引起連接性故障,但是卻造成質量指標下降、平均延時增加、線路阻塞等現象。 可靠性主要表現在硬體可靠性、軟體可靠性、人員可靠性、環境可靠性等方面。硬體可靠性最為直觀和常見。軟體可靠性是指在規定的時間內,程序成功運行的概率。人員可靠性是指人員成功地完成工作或任務的概率。人員可靠性在整個系統可靠性中扮演重要角色,因為系統失效的大部分原因是人為差錯造成的。人的行為要受到生理和心理的影響,受到其技術熟練程度、責任心和品德等素質方面的影響。因此,人員的教育、培養、訓練和管理以及合理的人機界面是提高可靠性的重要方面。環境可靠性是指在規定的環境內,保證網路成功運行的概率。這里的環境主要是指自然環境和電磁環境。
3:可用性
可用性是網路信息可被授權實體訪問並按需求使用的特性。即網路信息服務在需要時,允許授權用戶或實體使用的特性,或者是網路部分受損或需要降級使用時,仍能為授權用戶提供有效服務的特性。可用性是網路信息系統面向用戶的安全性能。網路信息系統最基本的功能是向用戶提供服務,而用戶的需求是隨機的、多方面的、有時還有時間要求。可用性一般用系統正常使用時間和整個工作時間之比來度量。可用性還應該滿足以下要求:身份識別與確認、訪問控制(對用戶的許可權進行控制,只能訪問相應許可權的資源,防止或限制經隱蔽通道的非法訪問。包括自主訪問控制和強制訪問控制)、業務流控制(利用均分負荷方法,防止業務流量過度集中而引起網路阻塞)、路由選擇控制(選擇那些穩定可靠的子網,中繼線或鏈路等)、審計跟蹤(把網路信息系統中發生的所有安全事件情況存儲在安全審計跟蹤之中,以便分析原因,分清責任,及時採取相應的措施。審計跟蹤的信息主要包括:事件類型、被管客體等級、事件時間、事件信息、事件回答以及事件統計等方面的信息。)
4: 保密性
保密性是網路信息不被泄露給非授權的用戶、實體或過程,或供其利用的特性。即,防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上,保障網路信息安全的重要手段。 常用的保密技術包括:防偵收(使對手偵收不到有用的信息)、防輻射(防止有用信息以各種途徑輻射出去)、信息加密(在密鑰的控制下,用加密演算法對信息進行加密處理。即使對手得到了加密後的信息也會因為沒有密鑰而無法讀懂有效信息)、物理保密(利用各種物理方法,如限制、隔離、掩蔽、控制等措施,保護信息不被泄露)。