1. 什麼是免疫網路解決方案
巡路免疫網路解決方案(XunLu Immunity Wall Network Solutions)—— 欣全向公司巡路免疫網路解決方案是在企業網路中實現安全免疫,打造免疫網路的途徑和方法。在目前網路架構不做重大改變的前提下,實施部署巡路免疫網路解決方案,可以順利地將一個普通網路升級為免疫網路。 巡路免疫網路解決方案不是一個單獨的產品,而是一套由軟硬體、內網安全協議、安全策略構成的完整組件。 在巡路免疫網路解決方案中,採用了各種技術手段實現免疫網路的基本要求。比如: 1、通過在接入網關設備中加入安全功能,如ARP先天免疫、內網防火牆、濾窗技術等,實現了網路設備中融合安全功能的要求; 2、通過強制安裝終端免疫驅動,在網路的末端節點進行部署。更重要的是在網卡一級對底層協議也進行管控,實現了深度防禦和控制。 3、通過對全網安全策略組合的綜合設置、預定和學習,實現了主動防禦,對已知和未知的攻擊行為起到抑制、干預,阻止其發作的作用。 4、通過運行在伺服器上的運營中心,對來自網關和終端驅動的報警信息、異常流量、身份核查等進行處理,對網路的運行狀況進行審計評估,還負責安全策略的升級和下發等工作。 5、內網安全和管理協議將接入網關、伺服器、終端驅動等各部分網路設備和安全功能,構成一個完整的體系,實現了全網設備聯動。 巡路免疫網路解決方案的功能特色: 1、 對終端身份的嚴格管理。終端MAC取自物理網卡而非系統,有效防範了MAC克隆和假冒;將真實MAC與真實IP一一對應;再通過免疫驅動對本機數據進行免疫封裝;真實MAC、真實IP、免疫標記三者合一,這個技術手段其他方案少有做到。所以,巡路免疫方案能解決二級路由下的終端偵測和管理、IP-MAC完全克隆、對終端身份控制從系統到封包等其他解決不了或解決不徹底的問題。 2、 終端驅動實現的是雙向的控制。他不僅僅抵禦外部對本機的威脅,更重要的是抑制從本機發起的攻擊。這和個人防火牆桌面系統的理念顯著不同。在受到ARP欺騙、骷髏頭、CAM攻擊、IP欺騙、虛假IP、虛假MAC、IP分片、DDoS攻擊、超大Ping包、格式錯誤數據、發包頻率超標等協議病毒攻擊時,能起到主動干預的作用,使其不能發作。 3、 群防群控是明顯針對內網的功能。每一個免疫驅動都具有感知同一個網段內其他主機非法接入、發生攻擊行為的能力,並告知可能不在同一個廣播域內的免疫運營中心和網關,從而由免疫網路對該行為進行相應處理。 4、 提供的2-7層的全面保護,還能夠對各層協議過程的監控和策略控制。深入到2層協議的控制,是巡路免疫網路解決方案的特有功能。而能夠對各層協議過程的監控和策略控制,更是它的獨到之處。現在普遍的解決方案,基本上是路由器負責 3層轉發,防火牆、UTM等進行3層以上的管理,唯獨缺少對「區域網至關重要的二層管理」,免疫驅動恰恰在這個位置發揮作用。而上網行為管理這類的軟硬體,在應用層進行工作,對2、3層的協議攻擊更是無能為力。 5、 對未知的協議攻擊,能夠有效發揮作用,是真正的主動防禦。 6、 免疫接入網關在NAT過程中,採取了專用演算法,摒棄了其他接入路由器、網關產品需要IP-MAC映射的NAT轉發演算法,將安全技術融於網路處理過程,使ARP對免疫接入網關的欺騙不起作用。這叫做ARP先天免疫,這樣的技術融合還很多。 7、 具有完善的全網監控手段,對內網所有終端的病毒攻擊、異常行為及時告警,對內外網帶寬的流量即時顯示、統計和狀況評估。監控中心可以做到遠程操作。 欣全向目前提供三種產品形式:集成方案、核心方案、整體方案。 背景資料—— 網路攻擊的發展趨勢: 目前網路威脅呈現出復雜性和動態性的特徵,黑客日益聚焦於混合型攻擊,結合各種有害代碼來探測和攻擊系統漏洞,並使之成為僵屍或跳板,再進一步發動大規模組合攻擊。攻擊速度超乎想像,已經按小時和分鍾來計算,出現了所謂大量的零日或零小時攻擊的新未知攻擊。 很多從內網發起的攻擊,不會採用以真實身份單獨進行,而是通過內網的欺騙串聯,偽造身份多點進行。 防火牆的局限性: 現有的各種網路安全技術中,防火牆技術可以在一定程度上解決一些網路安全問題。防火牆產品主要包括包過濾防火牆,狀態檢測包過濾防火牆和應用層代理防火牆,但是防火牆產品存在著局限性。其最大的局限性就是防火牆自身不能保證其准許放行的數據是否安全。同時,防火牆還存在著一些弱點:一、不能防禦來自內部的攻擊:來自內部的攻擊者是從網路內部發起攻擊的,他們的攻擊行為不通過防火牆,而防火牆只是隔離內部網與網際網路上的主機,監控內部網和網際網路之間的通信,而對內部網上的情況不作檢查,因而對內部的攻擊無能為力;二、不能防禦繞過防火牆的攻擊行為:從根本上講,防火牆是一種被動的防禦手段,只能守株待兔式地對通過它的數據報進行檢查,如果該數據由於某種原因沒有通過防火牆,則防火牆就不會採取任何的措施;三、不能防禦完全新的威脅:防火牆只能防禦已知的威脅,但是人們發現可信賴的服務中存在新的侵襲方法,可信賴的服務就變成不可信賴的了;四、防火牆不能防禦數據驅動的攻擊:雖然防火牆掃描分析所有通過的信息,但是這種掃描分析多半是針對IP地址和埠號或者協議內容的,而非數據細節。這樣一來,基於數據驅動的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進入你的系統中並發動攻擊。 關於「老三樣」: 國家信息化專家咨詢委員會專家沈昌祥院士認為,首先,由老三樣(防火牆、入侵監測和病毒防範)為主要構成的傳統信息安全系統,是以防外為重點,而與目前信息安全主要「威脅」源自內部的實際狀況不相符合。其次,從組成信息系統的伺服器、網路、終端三個層面上來看,現有的保護手段是逐層遞減的。人們往往把過多的注意力放在對伺服器和網路設備的保護上,而忽略了對終端的保護。第三,惡意攻擊手段變化多端,而老三樣是採取封堵的辦法,例如,在網路層(IP)設防,在外圍對非法用戶和越權訪問進行封堵。而封堵的辦法是捕捉黑客攻擊和病毒入侵的特徵信息,其特徵是已發生過的滯後信息,不能科學預測未來的攻擊和入侵。 「老三樣,堵漏洞、做高牆、防外攻,防不勝防。」 沈院士這樣概括目前信息安全的基本狀況。老三樣在目前網路安全應用上已經明顯過時了。
2. 網路安全的目標是什麼
網路安全是指保護網路系統中的軟體、硬體及信息資源,使之免受偶然或惡意的破壞篡改和泄露,保證網路系統的正常運行、網路服務不中斷。
從廣義上說,網路安全包括網路硬體資源和信息資源的安全性。硬體資源包括通信線路、通信設備(交換機、路由器等)、主機等,要實現信息快速、安全地交換,一個可靠的物理網路是必不可少的。
信息資源包括維持網路服務運行的系統軟體和應用軟體,以及在網路中存儲和傳輸的用戶信息數據等。信息資源的保密性、完整性、可用性、真實性等是網路安全研究的重要課題。
網路安全的特徵:
1、保密性
保密性是指信息不泄漏給非授權的用戶、實體或過程,或供其利用的特性。數椐保密性就是保證具有授權用戶可以訪問數據,而限制其他人對數據的訪問。數據保密性分為網路傳輸保密性和數據存儲保密性。
2、完整性
完整性是指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。數據的完整性的目的就是保證計算機系統上的數據和信息處於一種完整和未受損害的狀態,這就是說,數據不會因有意或無意的事件而被改變或丟失。數據完整性的喪失直接影響到數據的可用性。
3、可用性
可用性是指被授權實體訪問並按需求使用的特性,即當需要時能否存取和訪問所需的信息。
4、可控性
可控性是指對信息的傳播及內容具有控制能力。
3. 網路信息安全包括哪些方面
網路信息安全包括以下方面:
1、網路安全模型
通信雙方在網路上傳輸信息,需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由,再選擇該路由上使用的通信協議,如TCP/IP。
2、信息安全框架
網路信息安全可看成是多個安全單元的集合。其中,每個單元都是一個整體,包含了多個特性。一般,人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
3、安全拓展
網路信息安全往往是根據系統及計算機方面做安全部署,很容易遺忘人才是這個網路信息安全中的脆弱點,而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。
(3)網路安全的目標有免疫性嗎擴展閱讀:
網路信息安全的主要特徵:
1、完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特徵。
2、保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特徵。
3、可用性
指網路信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特徵,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。
4、不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5、可控性
指對流通在網路系統中的信息傳播及具體內容能夠實現有效控制的特性,即網路系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了採用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的託管政策,當加密演算法交由第三方管理時,必須嚴格按規定可控執行。
4. 網路安全的定義,內容,目標各是什麼
網路安全(Network Security)包含網路設備安全、網路信息安全、網路軟體安全,是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。
網路安全
信息不泄露給非 授權用戶、 實體或過程,或供其利用的特性。
完整性
數據未經授權不能進行改變的特性。即信息在 存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性
可被授權 實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對 可用性的攻擊;
可控性
對信息的傳播及內容具有控制能力。
可審查性
出現安全問題時提供依據與手段
從網路運行和管理者角度說,希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「 陷門」、 病毒、非法存取、拒絕服務和 網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。
隨著 計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、文件處理,基於簡單連接的 內部網路的內部業務處理、 辦公自動化等發展到基於復雜的內部網(Intranet)、企業外部網(Extranet)、全球互聯網( Internet)的企業級計算機處理系統和 世界范圍內的信息共享和業務處理。
在系統處理能力提高的同時,系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基於網路連接的安全問題也日益突出,整體的網路安全主要表現在以下幾個方面:網路的物理安全、網路 拓撲結構安全、網路系統安全、應用系統安全和 網路管理的安全等。
因此計算機安全問題,應該像每家每戶的防火防盜問題一樣,做到防範於未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。
5. 計算機網路通信安全的五個目標是什麼 詳細點
計算機網路安全。
計算機網路安全的4個目標為!保密性,端點鑒別,信息的完整性,運行的安全性。
大科院17級軟體工程
6. 09年自考計算機網路安全答案
16.環境安全
17.不確定 可能是訪問控制
18.電磁干擾
19.單鑰
20.應用
21.誤用
22.行為監測
23.分析過程
24.入侵檢測消息交換格式
25.網路病毒
26.防火牆的功能,
1,過濾進出網路的數據,
2,管理進出網路的訪問行為,
3,封鎖某些禁止的業務
4,紀律通過防火牆的信息內容和活動
5,對網路攻擊檢測的告警,
27.
明文(Plain Text):原來的信息(報文)、消息,就是網路中所說的報文(Message)
密文(Cipher Text):經過加密後得到的信息
解密:將密文還原為明文的過程
密鑰(Key):加密和解密時所使用的一種專門信息(工具)
密碼演算法(Algorithm):加密和解密變換的規則(數學函數),有加密演算法和解密演算法
28. 入侵檢測技術的原理是什麼?
入侵檢測可分為實時入侵檢測和事後入侵檢測兩種。
實時入侵檢測在網路連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。而事後入侵檢測由網路管理人員進行,他們具有網路安全的專業知識,根據計算機系統對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為,如果有就斷開連接,並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的,不具有實時性,因此防禦入侵的能力不如實時入侵檢測系統。
29. 什麼是計算機病毒?
計算機病毒是一種能傳染其他程序的程序,病毒是靠修改其他程序,並把自身的復制嵌入到其他程序而實現的
30. 試述網路安全技術的發展趨勢。
31. 埠掃描的基本原理是什麼?埠掃描技術分成哪幾類?
原理:向目標機的TCP/IP埠發送探測數據包,並紀錄目標主機的響應,通過分析響應來判斷埠是否打開還是關閉等狀態信息。
又分為倆種,1:TCP埠掃描技術 (a.全連接掃描技術 b.半連接埠掃描技術)
2,UDP埠掃描技術。
選擇題為 1.C 2.A 3.C 4.不確定 我選(D) 5.A
7. 網路信息安全目標里的抗抵賴性是怎樣實現的
傳統的方法是靠手寫簽名和加蓋印章來實現信息的不可否認性(抗抵賴性)。在互聯網電子環境下,可以通過數字證書機制進行的數字簽名和時間戳,保證信息的抗抵賴。
不可否認性的目的是為解決有關事件或行為是否發生過糾紛,而對涉及被聲稱事件或行為不可辯駁的證據進行收集、維護和使其可用,並且證實。與其他安全服務一樣,不可否認性服務只對特定應用在一個確定的安全策略上下文背景下才能被提供。
(7)網路安全的目標有免疫性嗎擴展閱讀
使用數字簽名的消息身份驗證還不能滿足不可抵賴性的條件。因為僅僅有數字簽名並無法保證發送方就是他們自己所聲稱的人,消息的傳輸很容易遭受惡意第三方諸如再現攻擊等技術的襲擊。
例如,假設甲企業將一個帶有數字簽名的購買訂單發送到乙企業。另外,假設另有一個惡意的丙企業通過某種途徑獲取了一個訂單的副本。
如果丙企業將該訂單重復發送給乙企業,那麼乙企業就會將其當作另一個來自甲企業的訂單(來自丙企業的再現攻擊)。同樣,惡意的甲企業也可以抵賴第二份訂單,並聲稱這第二份訂單是惡意的丙企業再現攻擊的結果,盡管事實上它是甲企業發送的訂單。
當然,用MAC進行的消息身份驗證對不可抵賴性來說沒有用,因為正如上文所提到的那樣,沒有人能確定該消息究竟是由發送方創建的還是由接收方創建的。
與此類似的是,發送方身份驗證也無法滿足不可抵賴性的條件。由於無法保證消息在途中未被修改,惡意的發送方可以聲稱接收方收到的消息在途中已被修改,盡管該消息是由惡意的發送方所創建的。
8. 網路安全工作的目標包括
信息機密性、信息完整性、服務可用性。
網路安全,通常指計算機網路的安全,實際上也可以指計算機通信網路的安全。計算機通信網路是將若乾颱具有獨立功能的計算機通過通信設備及傳輸媒體互連起來,在通信軟體的支持下,實現計算機間的信息傳輸與交換的系統。
而計算機網路是指以共享資源為目的,利用通信手段把地域上相對分散的若干獨立的計算機系統、終端設備和數據設備連接起來,並在協議的控制下進行數據交換的系統。
(8)網路安全的目標有免疫性嗎擴展閱讀
計算機網路的根本目的在於資源共享,通信網路是實現網路資源共享的途徑,因此,計算機網路是安全的,相應的計算機通信網路也必須是安全的,應該能為網路用戶實現信息交換與資源共享。下文中,網路安全既指計算機網路安全,又指計算機通信網路安全。
客觀上不存在威脅,主觀上不存在恐懼。即客體不擔心其正常狀態受到影響。可以把網路安全定義為:一個網路系統不受任何威脅與侵害,能正常地實現資源共享功能。
要使網路能正常地實現資源共享功能,首先要保證網路的硬體、軟體能正常運行,然後要保證數據信息交換的安全。從前面兩節可以看到,由於資源共享的濫用,導致了網路的安全問題。因此網路安全的技術途徑就是要實行有限制的共享。
9. 網路安全工作的目標包括什麼
網路安全的目標是要保證網路的硬體、軟體能正常運行,然後要保證數據信息交換的安全。
從用戶(個人或企業)的角度來講,其希望:
(1)在網路上傳輸的個人信息(如銀行賬號和上網登錄口令等)不被他人發現,這就是用戶對網路上傳輸的信息具有保密性的要求。
(2)在網路上傳輸的信息沒有被他人篡改,這就是用戶對網路上傳輸的信息具有完整性的要求。
(3)在網路上發送的信息源是真實的,不是假冒的,這就是用戶對通信各方提出的身份認證的要求。
(4)信息發送者對發送過的信息或完成的某種操作是承認的,這就是用戶對信息發送者提出的不可否認的要求。
從網路運行和管理者的角度來講,其希望本地信息網正常運行,正常提供服務,不受網外攻擊,未出現計算機病毒、非法存取、拒絕服務、網路資源非法佔用和非法控制等威脅。