Ⅰ 網路安全基礎知識
肉雞:所謂「肉雞」是一種很形象的比喻,比喻那些可以隨意被我們控制的電腦,對方可以是WINDOWS系統,也可以是UNIX/LINUX系統,可以是普通的個人電腦,也可以是大型的伺服器,我們可以象操作自己的電腦那樣來操作它們,而不被對方所發覺。 2. 木馬:就是那些表面上偽裝成了正常的程序,但是當這些被程序運行時,就會獲取系統的整個控制許可權。有很多黑客就是 熱中與使用木馬程序來控制別人的電腦,比如灰鴿子,黑洞,PcShare等等。 3. 網頁木馬:表面上偽裝成普通的網頁文件或是將而已的代碼直接插入到正常的網頁文件中,當有人訪問時,網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。 4. 掛馬:就是在別人的網站文件裡面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里,以使瀏覽者中馬。5. 後門:這是一種形象的比喻,入侵者在利用某些方法成功的控制了目標主機後,可以在對方的系統中植入特定的程序,或者是修改某些設置。這些改動表面上是很難被察覺的,但是入侵者卻可以使用相應的程序或者方法來輕易的與這台電腦建立連接,重新控制這台電腦,就好象是入侵者偷偷的配了一把主人房間的要是,可以隨時進出而不被主人發現一樣。 通常大多數的特洛伊木馬(Trojan Horse)程序都可以被入侵者用語製作後門(BackDoor) 6. rootkit:rootkit是攻擊者用來隱藏自己的行蹤和保留root(根許可權,可以理解成WINDOWS下的system或者管理員許可權)訪問許可權的工具。通常,攻擊者通過遠程攻擊的方式獲得root訪問許可權,或者是先使用密碼猜解(破解)的方式獲得對系統的普通訪問許可權,進入系統後,再通過,對方系統內存在的安全漏洞獲得系統的root許可權。然後,攻擊者就會在對方的系統中安裝rootkit,以達到自己長久控制對方的目的,rootkit與我們前邊提到的木馬和後門很類似,但遠比它們要隱蔽,黑客守衛者就是很典型的rootkit,還有國內的ntroorkit等都是不錯的rootkit工具。 7. IPC$:是共享「命名管道」的資源,它是為了讓進程間通信而開放的餓命名管道,可以通過驗證用戶名和密碼獲得相應的許可權,在遠程管理計算機和查看計算機的共享資源時使用。 8. 弱口令:指那些強度不夠,容易被猜解的,類似123,abc這樣的口令(密碼) 9. 默認共享:默認共享是WINDOWS2000/XP/2003系統開啟共享服務時自動開啟所有硬碟的共享,因為加了"$"符號,所以看不到共享的托手圖表,也成為隱藏共享。 10. shell:指的是一種命令指行環境,比如我們按下鍵盤上的「開始鍵+R」時出現「運行」對話框,在裡面輸入「cmd」會出現一個用於執行命令的黑窗口,這個就是WINDOWS的Shell執行環境。通常我們使用遠程溢出程序成功溢出遠程電腦後得到的那個用於執行系統命令的環境就是對方的shell 11. WebShell:WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱做是一種網頁後門。黑客在入侵了一個網站後,通常會將這些asp或php後門文件與網站伺服器WEB目錄下正常的網頁文件混在一起,好後就可以使用瀏覽器來訪問這些asp 或者php後門,得到一個命令執行環境,以達到控制網站伺服器的目的。可以上傳下載文件,查看資料庫,執行任意程序命令等。國內常用的WebShell有海陽ASP木馬,Phpspy,c99shell等
Ⅱ 馬進 上海交通大學
馬進
上海交通大學信息安全工程學院講師,目前在職攻讀上海交通大學電子信息與電氣工程學院博士學位。
主要研究方向:信息安全,數據通信;網路優化與系統測試、評估;網路安全與控制;防火牆技術及應用等。
網路安全
1.安裝好殺毒軟體和防火牆並及時更新。
2.養成良好的上網習慣,不去點擊一些不良網站和郵件。
3.定期殺毒,及時給系統打好補丁。
4.學習網路安全知識,遠離黑客工具。
Ⅳ 網路面臨的安全威脅主要有哪些
你提的問題比較范哦。
各種各樣的網路攻擊,可能造成計算機網路中數據在存儲和傳輸過程中被竊取、暴露和篡改,網路系統和應用軟體受到惡意攻擊和破壞,甚至造成網路服務中斷,網路系統和網路應用的癱瘓。
Ⅳ 計算機網路漏洞及防範措施的意義
淺談計算機網路安全漏洞及防範措施
在網路時代,網路安全正在日益受到廣大的計算機用戶的關注,如何有效的打造自己安全的計算機網路,如何有效的保護自己的重要信息,本文將向您介紹有關網路安全的幾個方面,並向您提供了一些有效的防範措施與建議
在Internet上有一批熟諳網路技術的人,其中不乏網路天才,他們經常利用網路上現存的一些漏洞,想方設法進入他人的計算機系統。有些人只是為了一飽眼福,或純粹出於個人興趣,喜歡探人隱私,這些人通常不會造成危害。但也有一些人是存著不良動機侵入他人計算機系統的,通常會偷窺機密信息,或將其計算機系統搗毀。這部分人我們稱其為Internet上的"黑客"。
然而從根本意義講,絕對安全的計算機是根本不存在的,絕對安全的網路也是不可能的。只有存放在一個無人知嘵的秘室里,而又不插電的計算機才可以稱之為安全。只要使用,就或多或少存在著安全問題,只是程度不同而已。常見的威脅主要來自以下幾個方面:
1、自然威脅。自然威脅可能來自於各種自然災害、惡劣的場地環境、電磁輻射和干擾、網路設備的自然老化等。這些無法預測的事件有時也會直接或間接地威脅網路的安全,影響信息的存儲和交換。
2、非授權訪問。指具有熟練編寫和調試計算機程序的技巧並使用這寫技巧來獲取得非法或未授權的網路或文件訪問,侵入到他方內部網路的行為。網路入侵的目的主要是取得使用系統的存儲許可權、寫許可權以及訪問其他存儲內容的許可權,或者惡意破壞這個系統,使其毀壞而喪失服務能力。
3、後門和木馬程序。從最早計算機被人入侵開始,黑客們就已經發展了『後門』這門技術,利用這門技術,他們可以再次進入系統。後門的主要功能有:使系統管理員無法阻止種植者再次進入系統;使種植者在系統中不易被發現;使種植者進入系統花費最少時間。
4、計算機病毒。計算機病毒指編制或在計算機程序中插入的破壞計算機功和數據,影響計算機使用並能自我復制的一組計算機指令或者程序代碼。如常見的蠕蟲病毒,就是計算機為載體,利用操作系統和應用程序的漏洞主動濟寧攻擊,是一種通過網路傳輸的惡性病毒。它們具有病毒的一些共性,如傳播性、隱蔽性、破壞性和潛伏性等等,同時具有自己的一些特徵,如不利用文件寄生(有的只是存在於內存中),對網路造成拒絕服務,以及和黑客技術相結合等。其他常見的破壞性比較強的病毒有宏病毒、義大利香腸等。
一、 計算機網路安全的防範措施
計算機網路安全的防範措施可以從技術和管理上兩個方面來考慮解決。
1、 從技術上解決信息網路安全問題。
(1) 數據備份。所謂素具備份就是將硬碟上的有用的文件、數據都拷貝到另外的地方如移動硬碟等,這樣即使連續連接在網路上的計算機被攻擊破壞,因為已經有備份,所以不用擔心,再將需要的文件和數據拷貝回去就可以了。做好數據的備份是解決數據安全問題的最直接與最有效措施之一。數據備份方法有全盤備份,增量備份,差分備份。
(2) 物理隔離網閘。物理隔離網閘是使用帶有多個控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由於物理隔離網閘所連接的來年兩個獨立主機系統之間,不存在通信的物理連,邏輯連接,信息傳輸命令,信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議『擺渡』,且對固態存儲介質只有『讀』和『寫』兩個命令。所以,物理隔離網閘從物理上隔離,阻斷了具有潛在攻擊可能的一切連接,使『黑客』無法入侵,無法攻擊,無法破壞,實現了真正的安全。
(3) 防火牆技術。防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠,而且還能禁止特定的埠流出通訊,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。在很大程度上保護了網路的安全性。
需要說明的是,網路的安全性通常是以網路服務的開放性、便利性、靈活性為代價的。對防火牆的設置也不例外,由於防火牆的隔斷作用,一方面加強了內部網路的安全,一方面卻使內部網路與外部網路(Internet)的信息系統交流受到阻礙,必須在防火牆上附加各種信息服務的代理軟體來代理內部網路與外部人信息交流,這樣不僅增大了網路管理開銷,而且減慢了信息傳遞速率。 因此,一般而言,只有對個體網路安全有特別要求,而又需要和Internet聯網和企業網、公司網,才建議使用防火牆。
另外,防火牆只能阻截來自外部網路的侵擾,而對於內部網路的安全還需要通過對內部網路的有效控制和管理來實現。
(4) 加密技術。網路安全的另一個非常重要的手段就是加密技術。它的思想核心就是既然網路本身並不安全可靠,那麼所有重要信息全部通過加密處理。 網路安全中,加密作為一把系統安全的鑰匙,是實現網路安全的重要手段之一,正確的使用加密技術可以確保信息的安全。數據加密的基本過程就是對原來為明文的文件或數據按某種書案發進行處理,使其成為不可讀的一段代碼,通常成為『密文』,使其只能在輸入相應的密鑰之後才能顯示出來本來的內容,通過這樣的途徑來達到保護數據不被非法人竊取,閱讀的目的。該過程的逆過程為解密,即將該編碼信息轉化為其原來數據的過程。
加密技術主要有兩個用途,一是加密信息;另一個是信息數字署名,即發信者用自己的私人鑰匙將信息加密,這就相當於在這條消息上署上了名。任何人只有用發信者的公用鑰匙,才能解開這條消息。這一方面可以證明這條信息確實是此發信者發出的,而且事後未經過他人的改動(因為只有發信息者才知道自己的私人鑰匙),另一方面也確保發信者對自己發出的消息負責, 消息一旦發出並署了名,他就無法再否認這一事實。 如果既需要保密又希望署名,則可以將上面介紹的兩個步驟合並起來。即發信者先用自己的私人鑰匙署名再用收信者的公用鑰匙加密,再發給對方,反過來收信者只需要用自己的私人鑰匙解密,再用發信者的公用鑰匙驗證簽名。這個過程說起來有些繁瑣,實際上很多軟體都可以只用一條命令實現這些功能,非常簡便易行。
(5) 從管理上解決信息網路安全的問題。在強調技術解決信息網路安全的同時,還必須花大力氣加強對使用的網路人員的管理,注意管理方式和實現方法,因為諸多的不安全因素恰恰反映在組織管理或人員工作時錄入,使用等方面,而中又是計算機網路安全必須考慮的基本問題。
(6) 妥善的系統管理將網路的不安全性降至現有條件下的最低
目前,在Unix上發現的大多問題,都歸因於一些編程漏洞及管理不善,如果每個網路及系統管理員都能注意到以下幾點,即可在現有條件下,將網路安全風險降至最低:
A、口令管理。目前發現的大多數漏洞,都是由於口令管理不善,使"黑客"得以趁虛而入。因此口令的有效管理是非常基本的,也是非常重要的。
B、用戶帳號管理。在為用戶建立帳號時,應注意保證每個用戶的UID是唯一的,應避免使用公用帳號,對於過期的帳號要及時封閉,對於長期不用的帳號要定期檢查,必要時封閉。(因為這樣的帳號通常是"黑客"襲擊的目標,他們可以在上面大做手腳而很長時間內不被發現。)
C、Inetd/Xinetd的妥善管理。Inetd是超級伺服器,它使得一台機器上可以同時運行幾十個伺服器。它以這些伺服器的名義同時偵聽這些服務的口(port)。當有服務請求到來時,它會啟動相應的伺服器,通過其配置文件/ect/inetd.conf可以對其進行合理配置。
D、謹慎使用r命令。r命令可以使用戶在不需提供密碼情況下執行遠程操作。因此,在方便的同時,也帶來潛在的安全問題。 因此,建議用戶在懷疑自己的系統被闖入時,馬上查看.rhosts文件,檢查其最後一次修改日期及內容,注意文件中絕對不能出現"++",否則網路上任何一個用戶不需知道你的密碼就能任意進入你的帳戶。
另外,還要特別注意.rhosts文件中不能涉及一些特殊帳戶(例如news,
E 、X管理。X的使用無疑使計算機網路錦上添花。它除了提供好的圖形用戶界面,還可以使用戶通過網路在本機調用遠程節點的X程序。同時,也正是由於它廣泛應用,物美價廉的X終端(X terminal)才得以倍愛歡迎。
F、加強信息伺服器的安全措施。如果對外開放的信息伺服器本身是不安全的,就相當於在系統的防護罩上開了一個漏洞,那麼其他的安全工作做得再多,也會付諸東流。因此,系統管理員和信息伺服器的管理人員必須細心注意伺服器本身的安全設置,並隨時更新版本。目前,幾乎所有的信息伺服器(如www)均提供了安全設置途徑。
總之,解決安全的措施有很多,僅靠其中的某一項或幾項是很難解決好網路安全問題的。在具體工作中還需要根據網路的實際情況做出細致而全面的多級安全防護措施,盡可能的提高網路的安全可靠性,使網路系統更安全地為大家服務。
Ⅵ 計算機如何進入安全模式
一、Windows95環境下進入安全模式:
1、開啟計算機,如果正在運行Windows,請重啟計算機;
2、在計算機開啟時,請留意觀察屏幕,當出現"Starting Windows 95"的時候,按住F5鍵,這樣就能進入安全模式;
3、或者,在計算機開啟時,當出現"Starting Windows 95"的時候,迅速按住F8鍵,在出現的啟動菜單中選擇第三項"Safe Mode"。
二、Windows98/Me環境下進入安全模式:1、在計算機開啟時,按住CTRL鍵直到出現Windows 98啟動菜單為止,選擇第三項"Safe Mode"。2、或者,在計算機開啟時,當出現"Starting Windows 98"的時候,迅速按下F8鍵,在出現的啟動菜單中選擇第三項"Safe Mode"。3、如果有多系統引導,在選擇Windows98/Me啟動時,當按下回車鍵,就應該迅速地按下F8鍵(最好兩只手進行操作),在出現的啟動菜單中選擇第三項"Safe Mode"另外一種方法:1、在Windows環境下,點擊「開始」菜單,然後點擊「運行」;2、輸入msconfig,然後點擊「確定」按鈕;3、點擊「高級」按鈕,選擇「啟用「啟動」菜單」;
4、然後點擊「確定」按鈕保存退出,重新啟動計算機;
5、重新啟動計算機後,就會出現「啟動菜單」,選擇第三項"Safe Mode";
6、如果要取消「啟動菜單」,重復上述1-4步驟,不同的是第3步取消選擇「啟用「啟動」菜單」。如果以上兩個方法都失敗了,還可以進行以下操作進入安全模式: 1、確認系統啟動首先從軟碟機開始引導啟動,插入一張空白軟盤或者非引導盤;2、重新啟動計算機,當計算機啟動的時候,由於所插入的軟盤不是引導盤,此時就會看到一條錯誤信息"Non-System Disk, please replace the disk and press any key.";3、取出軟盤,然後按F8鍵,就會出現啟動菜單,選擇"Safe Mode";
三、Windows2000環境下進入安全模式:在啟動Windows2000時,當看到白色箭頭的進度條,按下F8鍵,出現Windows2000高級選項菜單,有以下一些選項:安全模式 帶網路連接的安全模式 帶命令提示行的安全模式 啟用啟動日誌模式 啟用VGA模式最近一次的正確配置 目錄恢復模式 調試模式 正常啟動 其中,安全模式:是啟動Windows2000的最低配置的設備驅動程序及服務。帶網路連接的安全模式:是啟動Windows2000的最低配置的設備驅動程序及服務,加上裝載網路所需的驅動程序。帶命令提示行的安全模式:這與「安全模式」一樣,例外的是,啟動Cmd.exe而不啟動Windows資源管理器。一般情況下選擇「安全模式」。
四、WindowsXP環境下進入安全模式:1、在計算機開啟BIOS載入完之後,迅速按下F8鍵,在出現的WindowsXP高級選項菜單中選擇「安全模式」;2、如果有多系統引導,在選擇WindowsXP啟動時,當按下回車鍵,就應該迅速地按下F8鍵(最好兩只手進行操作),在出現的WindowsXP高級選項菜單中選擇「安全模式」。另外一種方式: 1、在Windows環境下,點擊「開始」菜單,然後點擊「運行」;2、輸入msconfig,然後點擊「確定」按鈕;3、點擊「Boot.ini」標簽;4、選擇"/SAFENOOT";5、然後點擊「確定」按鈕保存退出,重新啟動計算機;6、重啟之後出現的WindowsXP高級選項菜單和Windows2000的類似,選擇「安全模式」即可;7、如果要取消「高級選項菜單」,重復上述1-5步驟,不同的是第4步取消選擇"/SAFENOOT"。
在Windows中有一個安全模式,一般情況下我們進入安全模式的時候並不多,如果計算機死機,無法正常的關機和重新啟動時,發生這種情況時,可以先進入「安全模式」解決問題後,再進行重新電腦,回到原先使用的操作系統。
下面我們就來了解一下Windows 98、windows 2000和windows XP下安全模式的進入和介紹。
Windows 98下的安全模式
進入windows 98的安全模式很簡單,在電腦啟動的時候,按住CTRL鍵直到出現Windows 98啟動菜單為止,然後再選擇第三項「Safe Mode」,或者電腦啟動時,當出現「Starting Windows 98」的時候,迅速按下F8鍵,也可以在出現的啟動菜單中選擇第三項「Safe Mode」;如果你的電腦安裝了多個操作系統,在選擇Windows98啟動時,當按下回車鍵,迅速地按下F8鍵,這樣也會出現啟動菜單,選擇其中的第三項「Safe Mode」就行了;如果系統在引導過程中檢測到某些問題時,系統就會自動引導至「安全模式」狀態。
通過「安全模式」來進入windows系統是與正常啟動進入windows系統是不一樣的,它不會載入其它驅動程序或其它應用程序;因此在「安全模式」中,屏幕顯示只有16色,而且無法使用光碟機及一些周邊設備。所以「安全模式」是最基本而安全的啟動模式。
在安全模式一起的還有其他一些啟動模式,下面就做一些簡單的介紹。
1、 Normal
這是正常啟動的模式,就想平時啟動電腦一樣。
2、 Logged
記錄啟動模式,它會記錄windows驅動程序載入是的詳細清單,啟動結果將會保存在系統磁碟下的的bootlog.txt中。
3、 Step-By-Step Confirmation
啟動時會載入Config.sys和Autoexec.bat文件進行一條一條的執行,你可以根據情況來跳過某條命令。
4、 Command Prompt Only
直接載入Config.sys和Autoexec.bat文件後就跳到DOS下。
5、 Safe Mode Command Prompt Only
通過最少的安全模式啟動到DOS下,不載入Config.sys和Autoexec.bat文件。
Windows 2000下的安全模式
進入windows 2000安全模式和win98 的基本差不多,一是自動進入。即當系統在引導過程中檢測到某些問題時,系統就會自動引導至「安全模式」狀態;二是手工啟動。用戶可以手工強行使用安全模式,方法是在啟動計算機過程中按F8鍵,之後屏幕上會顯示一個菜單,可在菜單中選擇「安全模式」。
安全模式啟動後,會在桌面的四角顯示「安全模式」的字樣,提示系統現在正處於「安全模式」狀態。如果顯示驅動已經損壞或設置錯誤,那Windows 2000就會自動使用VGA模式顯示驅動程序,因為這種通用的VGA顯示驅動程序基本可以保證系統正常工作。
在windows2000中的啟動菜單中,有多個「安全模式」的啟動模式,大家可能會有所疑問:菜單中的這么多選項都代表著什麼意思?什麼情況下選擇什麼模式呢?下面就介紹這幾類模式各自的用處。
1. 安全模式
大多數情況下可選擇這個項,從中可以發現引導問題。此模式可以在啟動機器的同時只使用少量設備,此時系統將不處理Config.sys和Autoexec.bat的內容,也不處理啟動文件夾的任何內容。
2. 帶網路連接的安全模式
這個模式基本上和上面的「安全模式」是一樣的,唯一不同的地方就是會載入網卡驅動和相應的服務,啟動後就可以連接到區域網中,以便通過區域網來安裝程序。獲得需要文件和工具,由於具備網路功能,還可以從網上來下載驅動程序等能解決問題的軟體。
3. 帶命令提示行的安全模式
以這個模式啟動,除了得到和「安全模式」一樣的功能外,唯一不同的就是系統將載入命令提示窗口,在這個模式不處理Config.sys或Autoexec.bat文件,我們可以查看和修改這兩個文件,然後重新啟動計算機。
4. 啟動日誌模式
選擇該模式後將啟動Bootlog.txt文件,這個文件是啟動日誌,通過分析該文件可以得到引導序列失敗的位置,建議電腦初學者不要採用該模式。
5. VGA模式
當顯示驅動程序或顯示設置損壞時,通用的VGA顯示驅動仍可以正常使用。採用這種模式進入計算機後,這時的系統開機後會自動將屏幕解析度設置為600×400,用最基本的VGA驅動程序來啟動windows 2000,我們就可以來修復損壞的驅動程序或者設備,也可重新安裝程序。
6. 最後一次正確配置模式
如果用戶選擇該模式,計算機將以最後一次正確啟動計算機時的配置來重新配置系統。當用戶沒有足夠把握自己修復系統的時候,最好還是選擇該模式,但是不能解決由於損壞和丟失啟動程序或者文件而引起的問題。
Windows XP的啟動模式和windows2000的基本一樣的,所以這里就不太介紹,你可以來參考windows 2000的。
雖然安全模式能在不是情況下來幫我們解決很多問題,但是有些情況下,連安全模式也起不了作用,如啟動文件的損壞、缺少啟動文件等,這樣連系統都不能啟動,更不要說進入「安全模式」了,所以這時就一點辦法也沒有了,只要重新安裝操作系統了。
Ⅶ 網路與信息安全技術的目錄
第1章計算機網路與網路安全
1.1計算機網路的概念和分類
1.2計算機網路的組成和拓撲結構
1.3網路協議與網路體系結構
1.4計算機網路安全及其體系結構
1.5網路安全模型
1.6網路安全評估准則
習題1
第2章數據加密與認證
2.1數據加密概述
2.2傳統密碼演算法
2.3對稱密鑰密碼體制
2.4非對稱密鑰密碼體制
2.5密鑰管理
2.6數字簽名和認證技術
習題2
第3章網路實體安全
3.1防濕和防水
3.2控溫與防火
3.3環境污染
3.4供電安全
3.5靜電、電磁輻射、雷擊、振動防護
3.6數據備份
3.7物理訪問控制
3.8日常管理
習題3
第4章網路操作系統安全
4.1網路操作系統概述
4.2可信計算
4.3WindowsServer2003操作系統
4.4Unix/Linux操作系統
習題4
第5章Internet安全
5.1IP層安全協議(IPSec)
5.2Web安全
5.3電子郵件安全
習題5
第6章計算機病毒監測與防護
6.1計算機病毒概述
6.2病毒的發展歷史與分類
6.3計算機病毒的結構和工作機制
6.4傳統計算機病毒
6.5網路病毒
6.6計算機病毒防治技術
習題6
第7章防火牆和虛擬專網
7.1防火牆
7.2VPN技術
習題7
第8章入侵檢測與防禦技術
8.1常見的入侵和攻擊
8.2入侵檢測
8.3入侵防禦
習題8
第9章資料庫與數據安全
9.1概述
9.2安全模型
9.3多級安全資料庫
9.4推理分析與隱通道分析
9.5資料庫加密技術
9.6資料庫安全其他問題
習題9
參考文獻
網路資源
……
Ⅷ 西北工業大學計算機類網路安全是不是拔尖班
網路安全專業是這兩年新出的一個專業類型。所以不管是在哪所學校,都只能說是新興專業,熱門專業;但談不上拔尖。
Ⅸ 如何防範計算機網路攻擊
一、計算機網路攻擊的常見手法
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。
(一)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
(二)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓,這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。
(三)解密攻擊
在互聯網上,使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。
取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。
但一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用於區域網,一旦成功攻擊者將會得到很大的操作權益。
另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
(四)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。
這些後門軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,並使用一定的反編譯軟體,查看來源數據是否有其他可疑的應用程序,從而杜絕這些後門軟體。
(五)拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。
現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作,所以大家在上網時一定要安裝好防火牆軟體,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
-----------------------------------------------------------------------------
二、計算機網路安全的防火牆技術
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的,就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。
(一)防火牆的含義
所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
(二)防火牆的安全性分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,作者對防火牆的安全性有如下幾點認識:
1.只有正確選用、合理配置防火牆,才能有效發揮其安全防護作用
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:
a.風險分析;
b.需求分析;
c.確立安全政策;
d.選擇准確的防護手段,並使之與安全政策保持一致。
然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2.應正確評估防火牆的失效狀態
評價防火牆性能如何,及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,它應有這樣四種狀態:
a.未受傷害能夠繼續正常工作;
b.關閉並重新啟動,同時恢復到正常工作狀態;
c.關閉並禁止所有的數據通行;
d. 關閉並允許所有的數據通行。
前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3.防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆軟體進行更新。
4.目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大,主要原因是:
a.防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。
b.防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
c.選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要,進而提出這樣一個問題:不進行測試,何以證明防火牆安全?
5.非法攻擊防火牆的基本「招數」
a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面,因此攻擊者無需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。
b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
c.防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
----------------------------------------------------------------------------
(三)防火牆的基本類型
實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。
如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機 ;
(2)允許IP地址為 和 的用戶Telnet (23口)到主機 上;
(3)允許任何地址的E-mail(25口)進入主機 ;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。
當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。
規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。
如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
(四)防火牆的配置
防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。
這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。
Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。
這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網,稱之為」停火區」(DMZ,即DemilitarizedZone),Bastionhost放置在」停火區」內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
----------------------------------------------------------------------------
(四)防火牆的安全措施
各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關介面相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,並向網路管理員報警。
2.網路地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP定址方式的諸多限制,完善內部定址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.開放式結構設計
開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易,典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。
4.路由器安全管理程序
它為Bay和Cisco的路由器提供集中管理和訪問列表控制。
(六)傳統防火牆的五大不足
1.無法檢測加密的Web流量
如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網路防火牆,根本就不提供數據解密的功能。
2、普通應用程序加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。
但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程序,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設置與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務數據。網路防火牆的防護范圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程序時,由於無法全面控制網路、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的數據中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程序;
★ 經常需要增加或更新軟體模塊;
★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。
在這樣動態復雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠數據流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要屏蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程序。
5、無法擴展帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網路性能,這是不行的。
真正的針對所有網路和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議性能;
這些任務,在基於標准PC硬體上,是無法高效運行的,雖然一些網路防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。
三、結束語
由於互聯網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的網。
Ⅹ 上海交大網路安全使用什麼教材
1、安全橫過道路
上學、放學和外出活動,我們幾乎天天要在道路上行走。走路要保證安全,這裡面的學問可多著呢!有不少行人,因為沒有掌握好安全橫過道路的要領,結果喪身與汽車輪子底下。
橫過道路時,要選擇有人行橫道的地方。這是行人享有「先行權」的安全地帶。在這個地帶,機動車的行駛速度一般都要減慢,駕駛員也比較注意行人的動態。在沒劃有人行橫道的地方橫過道路,要特別注意避讓來往的車輛。避讓車輛最簡單的方法是:先看左邊是否有來車,沒有來車才走入車行道;再看右邊是否有來車,沒有來車時就可以安全橫過道路了。
橫過道路不走人行橫道,隨便亂穿,或者在汽車已經臨近時急匆匆過道路,都是十分危險的舉動。
2、乘車
乘坐公共車輛,應該遵守公共秩序,講究社會公德,注意交通安全。
候車時,應依次排隊,站在道路邊或站台上等候,不應擁擠在車行道上,更不準站在道路中間攔車。上車時,應等汽車靠站停穩,先讓車上的乘客下完車,再按次序上車,不能爭先恐後。上車後,應主動買票,主動讓座給老人、病人、殘疾人、孕婦或懷抱嬰兒的乘客。車輛行駛時,要拉住扶手,頭、手不能伸出車窗外,以免被來往車輛碰擦。下車時,要依次而行,不要硬推硬擠。下車後,應隨即走上人行道。需要橫過車行道的,應從人行道內通過;千萬不能在車前車尾急穿,這樣很不安全。
3、道路不是游戲場
道路是為了交通的便利而建造的。道路上車輛川流不息。交通十分繁忙,如果我們隨意地在道路上玩耍、游戲、追逐,把它當作「游戲場」,放學以後在道路拉開「場子」踢足球、打羽毛球,既妨礙車輛的通行又會被車輛撞傷,是不允許的。在人行道上跳「橡皮筋」、跳繩、踢毽子,會給行人的通行帶來困難,是妨礙交通的。在道路上追追打打,車前車後亂穿,甚至相互扔石子,這就更容易出事故了,另外一些同學,因為不懂得在道路上玩耍的危害性,甚至在道路中間攔車、追車、扒車和向汽車投擲石塊,以此為樂,這是最最危險的舉動,一旦被車撞倒,後果不堪設想。
道路不是游戲場所,不能在道路上玩耍。我們要互相提醒,大膽勸阻,當一名維護交通安全的「宣傳員」。
4、避讓轉彎車輛
當汽車的方向燈一閃一閃時,告戒人們,汽車要轉彎了。我們應該注意避讓轉彎車輛。
現代汽車的轉向,都是依靠前輪來轉向的。隨著前輪的轉動,汽車車身也逐漸改變方向。汽車轉彎時所佔用的空間往往大於車輛固有的寬度。前輪行駛的軌跡不與後輪的軌跡重合,也就是說,前後兩只輪子不會走在同一條弧線上,而是有一定距離差別的。這就是汽車轉彎的「內輪差」。由於這種「內輪差」,使汽車轉彎時,前輪可以通過道路的某一物體,而後輪卻不能通過。
懂得了汽車轉彎的基本原理後,我們在道路上碰見轉彎的車輛時,不能靠車輛太近,不要以為汽車的車頭可以過去,就沒有事情了。其實如果你離轉彎汽車太靠近,就很可能被車尾撞倒。
5、騎自行車常識
我國十世界上擁有自行車最多的國家,十世界公認的「自行車王國」。
自行車輕巧靈活,車速自便,維修簡單,並且不使用燃料,無廢氣污染,無雜訊,因此特別受人青睞。但是,自行車靠騎車人用雙腳踩動踏板,由鏈條來帶動後輪向前滾動,在行進時要用雙手握住車把來掌握重心,控制方向。所以穩定性差,安全性差。一碰即倒,一倒人就傷。
從保證交通安全出發,《中華人民共和國道路交通管理條例》明文規定,未滿十二歲的兒童不準在道路上騎自行車。而當你已經達到法定的騎車年齡,准備騎車時,則必須認真地學一學有關騎自行車的規定,要掌握騎自行車的基本要領。
自行車首先應該保持機件完好,安全設施齊全,牌、證齊全。出發之前,應該先檢查一下鈴、鎖、剎車、車輪、踏腳、鏈條、撐腳、坐墊等是否完好有效。
學騎自行車時,應選擇人車稀少的道路或廣場、操場。禁止在交通繁忙地段學騎自行車。
當你已經掌握騎車技術,可以單獨騎車時,你還應該掌握一下幾條騎車規范:
一是,在非機動車車道內順序行駛,嚴禁駛入機動車道。在沒有劃分非機動車道和機動車道的道路上行駛,應盡量靠右邊行駛,不能騎車在道路中間,不要數車並行,逆向行駛。
二是,騎車至路口,應主動地讓機動車先行。遇紅燈停止信號時,應停在停止線或人行橫道線以內。嚴禁用推行或繞行的方法闖越紅燈。
三是,騎車轉變時,要伸手示意。左轉彎時伸出左手示意;同時要選擇前後暫無來往車輛時轉彎,切不可在機動車駛近時急轉猛拐,爭道搶行;也不要彎小轉。
四是,自行車在道路上停放,應按交通標志指定的地點和范圍有秩序地停放;在不設置交通標志的支路上停放也不要影響車輛、行人的正常通行。
五是,騎自行車載物,長度不能超過車身,寬度不能超出車把寬度,高度不能超過騎車人的雙肩。騎自行車在市區道路上不準帶人。
六是,騎自行車不準在道路上互相追逐、曲折競駛、扶身並行。
七是,不準一手扶把,一手撐傘騎車。撐傘時,要下車推行。
騎自行車的安全問題是個大問題,在各類交通事故種,自行車事故要佔總事故的一半以上。自行車給人們的交通帶來了便利,自行車同時也給人們帶來了不幸。為此,我們應該嚴格遵守騎車規范,避免成為自行車的「犧牲品」。