第一篇：信息安全概論(2011)實驗大綱

信息安全概論實驗大綱

英文名：Computer Data Security

開課單位：計算機學(xué)院

學(xué)分學(xué)時：學(xué)分：2；總學(xué)時：48（含實驗10學(xué)時）

適用對象：計算機專業(yè)本科生

先修課程：計算機網(wǎng)絡(luò)，C語言程序設(shè)計

撰稿人：陳卓編寫日期： 2012年9月

一、目的與任務(wù)

實驗?zāi)康暮椭饕獌?nèi)容：“信息安全概論” 屬計算機應(yīng)用專業(yè)選修課，主要介紹信息安全的基本概念、基本原理以及主要的網(wǎng)絡(luò)安全技術(shù)。

開設(shè)實驗的目的是：一是通過實驗來對所學(xué)的理論知識加以驗證，進一步加深理論知識的理解；二是鍛煉學(xué)生的實際動手能力、分析問題能力，為將來的開發(fā)與應(yīng)用打下基礎(chǔ)。

二、基本要求

在實驗教學(xué)中，主要安排兩個方面的實踐環(huán)節(jié)，一是進一步鞏固和加深理論教學(xué)的實踐驗證型實驗；二是配置與應(yīng)用方面的實驗。這兩方面的實驗都要求學(xué)生在實驗之前作好準備，預(yù)習(xí)實驗步驟，實驗中要求積極動手，理論聯(lián)系實際，實驗后要求完成實驗報告。

通過實踐性教學(xué)，使學(xué)生加深對理論知識的理解，提高學(xué)生的編程能力，提高學(xué)生獨立分析問題、解決問題的能力，并增強協(xié)調(diào)能力和創(chuàng)造性思維能力。

三、內(nèi)容與進度安排

該課程配合理論教學(xué)開設(shè)了如下實驗。共10學(xué)時，5組實驗：

實驗1：

實驗名稱：古典密碼驗證與設(shè)計：Hill、Playfair、Vigenere算法。

實驗?zāi)康模赫莆彰艽a學(xué)的基本概念，掌握幾種典型的古典密碼的設(shè)計原理。實驗內(nèi)容：手工計算以下算法

1）用Ｖigenere加密we are discovered”

K=deceptive

2）采用Hill密碼對明文best加密，并寫出解密過程，使用密鑰

K=49

3）用Ｐl(wèi)ayfair算法加密明文“playfair is not secure”K=fivestars采用密碼分析軟件CAP驗證以上計算，并寫出實驗分析編程實現(xiàn)Vigenere算法(編程工具不限)

實驗2：

實驗名稱：對稱密碼與公鑰密碼

實驗?zāi)康模?/p>

1、掌握數(shù)據(jù)加密標準DES的結(jié)構(gòu)原理，2、了解高級加密標準AES的結(jié)構(gòu)和設(shè)計原理和安全性，3、掌握公鑰密碼體制的基本原理，掌握RSA公鑰算法過程與安全性，實驗內(nèi)容：

1、采用教學(xué)軟件分析DES結(jié)構(gòu)與S盒構(gòu)造，2、采用教學(xué)軟件分析AES結(jié)構(gòu)

3、采用教學(xué)軟件分析RSA結(jié)構(gòu)

4、編程實現(xiàn)擴展歐幾里得算法

5、采用cryptoAPI等平臺實現(xiàn)文件加密（選作）

寫出以上實驗內(nèi)容的實驗過程、實驗分析。

實驗環(huán)境與平臺：DES S盒教學(xué)演示軟件、上海交大實驗系統(tǒng)（密碼算法部分）、RSATool

實驗3：消息鑒別與身份認證

實驗?zāi)康模?/p>

1、掌握散列算法與消息鑒別的原理

2、掌握身份認證的原理與方法，掌握常用的采用用戶ID與口令的身份認證，掌握數(shù)字證書與

公開密鑰基礎(chǔ)設(shè)施PKI的原理和應(yīng)用，實驗內(nèi)容：

1、采用教學(xué)軟件分析MD5算法的原理，2、采用LC5分析口令機制中的弱口令與安全口令

3、設(shè)計一個系統(tǒng)登錄程序，采用MD5算法進行口令驗證

4、在windows中安裝與配置證書服務(wù)

寫出以上實驗內(nèi)容的實驗過程、實驗分析。

實驗環(huán)境與平臺：MD5教學(xué)演示軟件、上海交大實驗系統(tǒng)（PKI部分）

端口掃描與信息探測（2學(xué)時）

實驗4 網(wǎng)絡(luò)防御技術(shù)

試驗?zāi)康模?/p>

1、掌握網(wǎng)絡(luò)攻擊（目標探測、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)監(jiān)聽、緩沖區(qū)溢出、拒絕服務(wù)等）的原理、過程以及防范措施。

2、掌握網(wǎng)絡(luò)嗅探的原理與防范、掌握防火墻、入侵檢測技術(shù)的原理

實驗內(nèi)容：采用Supersacn、X-SCAN軟件掌握網(wǎng)絡(luò)掃描的原理與防御了解并掌握sniffer的操作學(xué)會防火墻軟件的一般使用方法了解入侵檢測軟件blackICE 的使用方法

實驗平臺：Supersacn、X-SCAN軟件，上海交大實驗系統(tǒng)等

寫出以上實驗內(nèi)容的實驗過程、實驗分析。

實驗5:數(shù)據(jù)備份與恢復(fù)

試驗?zāi)康模?/p>

1、掌握數(shù)據(jù)備份的基本概念、常用的數(shù)據(jù)備份方式、備份設(shè)備、備份策略等，2、掌握常用的數(shù)據(jù)備份與恢復(fù)軟件的使用

試驗內(nèi)容：

1、采用Ntbackup工具備份系統(tǒng)數(shù)據(jù)

2、采用Second Copy 2000完成系統(tǒng)數(shù)據(jù)的備份

寫出以上實驗內(nèi)容的實驗過程、實驗分析。

實驗6（選作）

教材實驗8 P329

四、教材及主要參考資料

《計算機信息安全概論》高等教育出版社，步山岳編著

《網(wǎng)絡(luò)安全基礎(chǔ)實驗指導(dǎo)》高等教育出版社，Paul Cretaro著

《信息安全原理及應(yīng)用》 清華大學(xué)出版社，闕喜戎等編著

《密碼編碼學(xué)與網(wǎng)絡(luò)安全》電子工業(yè)出版社,William Stallings著

《計算機安全學(xué)》機械工業(yè)出版社，李輝編著

實驗設(shè)備配套指導(dǎo)教材。

五、考核與成績評定

學(xué)生做完實驗后，教師依據(jù)學(xué)生考勤情況、完成情況、實驗報告書撰寫情況，給出優(yōu)、良、中、及格、不及格的等級成績評定。并轉(zhuǎn)換為平時成績的一部分。

專業(yè)負責人簽字：教學(xué)院長簽字：

第二篇：信息安全概論

第一章

1、信息安全的基本屬性：（1）可用性（2）機密性（3）非否認性（4）可控性（5）真實性（6）完整性

2、信息安全技術(shù)是指保障信息安全的技術(shù)，具體來說，它包括對信息的偽裝、驗證及對信息系統(tǒng)的保護等方面。

3、信息安全劃分四個階段：（1）通信安全發(fā)展時期（2）計算機安全發(fā)展時期（3）信息安全發(fā)展時期（4）信息安全保障發(fā)展時期。

4、信息安全威脅有：（1）信息泄露（2）篡改（3）重寫（4）假冒（5）否認（6）非授權(quán)使用（7）網(wǎng)絡(luò)與系統(tǒng)攻擊（8）惡意代碼（9）災(zāi)害、故障與人為破壞。

第二章

1、密碼技術(shù)提供：完整性、真實性、非否認性等屬性。

2、密碼學(xué)分為：密碼編碼學(xué)和密碼分析學(xué)。

3、按密鑰使用方法的不同，密碼系統(tǒng)主要分為對稱密碼、公鑰密碼。

4、密碼分析也可稱為密碼攻擊。

5、密碼分析分為4類：（1）唯密文攻擊（2）已知明文攻擊（3）選擇明文攻擊（4）選擇密文攻擊。第三章

1、系統(tǒng)實體標識：（1）系統(tǒng)資源標識（2）用戶、組和角色標識（3）與數(shù)字證書相關(guān)的標識。

2、威脅與對策：（1）外部泄密（2）口令猜測（3）線路竊聽（4）重放攻擊（5）對驗證方的攻擊。

3、PKI：公開密鑰基礎(chǔ)設(shè)施。（PKI中最基本的元素就是數(shù)字證書）

4、PKI的組成：（1）認證和注冊機構(gòu)（2）證書管理（3）密鑰管理（4）非否認服務(wù)（5）系統(tǒng)間的認證（6）客戶端軟件。

5、PKI支撐的主要安全功能：基于PKI提供的公鑰證書和私鑰，用戶之間可以進行相互的實體認證，也可以進行數(shù)據(jù)起源的認證。

6、公鑰認證的一般過程是怎樣的？ 公鑰來加密，只有擁有密鑰的人才能解密。通過公鑰加密過的密文使用密鑰可以輕松解密，但通過公鑰來猜測密鑰卻十分困難。

7、簡述PKI的構(gòu)成和基本工作原理。PKI的構(gòu)成：（1）認證和注冊機構(gòu)（2）證書管理（3）密鑰管理（4）非否認服務(wù)（5）系統(tǒng)間的認證（6）客戶端軟件 基本原理：PKI就是一種基礎(chǔ)設(shè)施，其目標就是要充分利用公鑰密碼學(xué)的理論基礎(chǔ)，建立起一種普遍適用的基礎(chǔ)設(shè)施，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù) 第四章

1、訪問控制策略：自主訪問控制策略（DAC）、強制訪問控制策略（MAC）、基于角色訪問控制策略（RBAC）。

（HRU模型 Bell-Lapadula模型 BIBA模型 Dion模型。）

2、PMI技術(shù)：授權(quán)管理基礎(chǔ)設(shè)施。

3、PMI基本屬性要素：屬性證書、屬性權(quán)威機構(gòu)及PMI模型。第五章

1、信息隱藏主要包括數(shù)字水印技術(shù)和隱寫技術(shù)。

2、魯棒水印：是一種主要面向數(shù)字內(nèi)容版權(quán)保護的信息隱藏技術(shù)，他通過原

內(nèi)容的感知冗余中隱藏地嵌入包含版權(quán)信息的數(shù)據(jù)。

3、脆弱水印技術(shù)將防偽信息隱藏在數(shù)字內(nèi)容中，目的是以后通過檢查發(fā)現(xiàn)篡改，由于防偽信息和被保護數(shù)據(jù)融合，方便地支持了電子圖文的流動。（脆弱水印是一種保護數(shù)據(jù)完整性和真實性的技術(shù)）第六章

1、網(wǎng)絡(luò)與系統(tǒng)攻擊手段主要包括網(wǎng)絡(luò)與系統(tǒng)調(diào)查、口令攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊等。

2、口令攻擊的破解方法：（1）詞典生成（2）口令截收和欺騙（3）非技術(shù)手段。

3、拒絕服務(wù)攻擊的主要類型和基本原理是什么？ 主要類型：（1）利用系統(tǒng)漏洞（2）利用網(wǎng)絡(luò)協(xié)議（3）利用合理服務(wù)請求（4）分布式拒絕服務(wù)攻擊。基本原理：攻擊者通過發(fā)送大量的服務(wù)或操作請求，致使服務(wù)程序出現(xiàn)難以正常運行的情況。第七章

1、防火墻的基本類型：（1）包過濾防火墻（2）代理網(wǎng)關(guān)（3）包檢查型防火墻（4）混合型防火墻。

2、入侵檢測系統(tǒng)需要解決三個方面的問題：（1）需要充分并可靠地采集網(wǎng)絡(luò)和系統(tǒng)中數(shù)據(jù)，提取描述網(wǎng)絡(luò)和系統(tǒng)行為的特征；（2）必須根據(jù)以上數(shù)據(jù)和特征，高效并準確地判斷網(wǎng)絡(luò)和系統(tǒng)行為的性質(zhì)；（3）需要對網(wǎng)絡(luò)和系統(tǒng)入侵提供響應(yīng)手段。

3、IDS數(shù)據(jù)源主要可分為兩類：（1）基于主機的IDS（2）基于網(wǎng)絡(luò)的IDS。

4、“蜜罐”技術(shù)是指一類對攻擊、攻擊者信息的收集技術(shù)。

5、“蜜罐”主要采用的技術(shù)：（1）偽裝和引入（2）信息的控制（3）數(shù)據(jù)捕獲和分析。

6、信息安全應(yīng)急響應(yīng)一般分為前期響應(yīng)、中期響應(yīng)、后期響應(yīng)三個階段。

7、IDS主要的分析檢查方法：誤用檢測、異常檢測、其他檢測。8防火墻的原理是什么？

（監(jiān)視 拒絕 隔離 可疑文件。）第八章

1、日志和審計是兩個緊密相關(guān)的概念。

2、審計事件通常包括系統(tǒng)事件、登錄事件、資源訪問、操作、特權(quán)使用、賬號管理和策略更改等類別。

3、事件分析與追蹤：（1）檢查進程（2）檢查通信連接（3）檢查登錄用戶（4）分析日志（5）文件系統(tǒng)分析（6）地址追蹤（7）假冒地址追蹤。

4、電子證據(jù)：利用計算機和其他數(shù)字工具進行犯罪的一些證據(jù)以電子信息的形式存儲在計算機存儲系統(tǒng)或網(wǎng)絡(luò)中。

5、數(shù)字取證：利用計算機和其他數(shù)字工具進行犯罪的一些證據(jù)以電子信息的形式存儲在計算機存儲系統(tǒng)或網(wǎng)絡(luò)中，它們就是電子證據(jù)。第九章

1、操作系統(tǒng)安全技術(shù)主要包括：（1）內(nèi)存分離和進程分離（2）賬戶系統(tǒng)與特權(quán)管理（3）訪問控制（4）文件保護（5）內(nèi)核安全技術(shù)（6）安全審計（7）形式化驗證。

2、典型數(shù)據(jù)庫特色的安全需求：（1）

數(shù)據(jù)完整性（2）操作可靠性（3）存儲

可靠性（4）敏感數(shù)據(jù)保護。

3、可信計算的基本思想是：如果可以從計算平臺的源頭實施可靠的防范，這些不安全因素可以被有效控制。

4、TCPA 可信計算平臺聯(lián)盟TPM 可信平臺模塊。第十章

1、OSI（國際標準化組織）安全體系結(jié)構(gòu)：1-4層的安全服務(wù)以“底層網(wǎng)絡(luò)安全協(xié)議”的方式提供，包括傳輸層安全協(xié)議（TLSP）和網(wǎng)絡(luò)層安全協(xié)議（NLSP）；5-7層的安全服務(wù)以“安全組件”的方式提供，包括系統(tǒng)安全組件和安全通信組件。

2、IPSex協(xié)議：應(yīng)用于網(wǎng)絡(luò)層。

3、SET（電子商務(wù)協(xié)議）標準：主要目的是保護互聯(lián)網(wǎng)上信用卡交易安全。第十一章

1、常見的惡意代碼：計算機病毒、蠕蟲和特洛伊木馬。

2、計算機病毒：是一類具有傳染、隱蔽、破壞等能力的惡意代碼。（CIH病毒、蠕蟲、特洛伊木馬）

3、惡意代碼檢測方法主要有：（1）

特征代碼法（2）校驗和法、行為監(jiān)測法（3）軟件模擬法（4）比較法（5）感染實驗法 第十二章

1、內(nèi)容安全技術(shù)主要用于不良內(nèi)容傳播控制、數(shù)字版權(quán)侵權(quán)控制、敏感內(nèi)容泄露及其控制等方面。

2、內(nèi)容安全技術(shù)分為被動內(nèi)容安全技術(shù)和主動內(nèi)容安全技術(shù)，被動內(nèi)容安全技術(shù)不事先預(yù)處理被監(jiān)管的內(nèi)容，主動內(nèi)容安全技術(shù)對被監(jiān)管的內(nèi)容進行預(yù)處理。第十三章1、1999年，我國頒布了國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》 2、2001年5月，成立了“中國信息安全產(chǎn)品測評認證中心”。

3、2001年，我國根據(jù)CC頒布了國家標準《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》

4、2007年，我國成立了“中國信息安全認證中心”。

5、設(shè)計人員或分析人員已經(jīng)可以采用安全模型、協(xié)議形式化分析和可證明安全性方法等手段對安全策略、安全協(xié)議或密碼算法進行驗證。第十四章

1、安全策略主要應(yīng)明確以下問題：（1）安全目標（2）訪問主體（3）訪問客體（4）訪問方式。

2、在進行風(fēng)險評估前，一般需要先分析信息系統(tǒng)的威脅、脆弱性和可能的攻擊。

第三篇：信息資源管理概論復(fù)習(xí)大綱

第一章

1、認識論層次上的信息。

2、本課程給出的關(guān)于信息的定義（信息的來源）？

3、廣義的信息資源定義？

4、講義中賴茂生給出的信息資源定義。

5、信息資源的種類按照運營機制劃分的種類？

6、信息資源的自然特性。

7、信息資源管理的主要內(nèi)容（過程）？

第二章

1、我國政府信息公開條例規(guī)定的主要內(nèi)容？

2、名詞

信息安全：

計算機安全：

網(wǎng)絡(luò)安全：

第三章

1、政府信息資源的特性是什么？

2、電子政務(wù)建設(shè)的主要內(nèi)容？(答案也可以通過圖形表示)

3、電子政務(wù)的發(fā)展階段有哪些？

第四章

1、公益性信息資源的特性有哪些？

2、公共圖書館的職能有哪些？

3、名詞解釋：

數(shù)字圖書館

第五章

1、名詞解釋：

1）企業(yè)信息管理

2）競爭情報

2、競爭情報對企業(yè)有哪些作用？

第六章

1、信息生命周期管理包括哪些階段？

第七章

1、互聯(lián)網(wǎng)信息資源的特點有哪些？

2、超文本/超媒體信息資源組織方式是什么？

第四篇：信息安全概論論文

淺析高校校園網(wǎng)信息安全的現(xiàn)狀與防范

摘要：信息安全是高校信息化建設(shè)的根本保證，高校通過制定一系列校園網(wǎng)信息安全來保障校園網(wǎng)的安全。本文概述了高校校園網(wǎng)信息安全的現(xiàn)狀，提出了保障高校校園網(wǎng)信息安全的防范措施，為科學(xué)地構(gòu)建高校校園網(wǎng)信息安全體系提供了參考。

隨著高校校園網(wǎng)絡(luò)的不斷擴建和升級，網(wǎng)絡(luò)規(guī)模日益龐大。在方便信息傳遞，實現(xiàn)資源共享，提高工作效率的同時，高校校園網(wǎng)的信息安全問題已成為高校日常工作中不可或缺的重要組成部分。校園網(wǎng)作為高校教學(xué)應(yīng)用的內(nèi)部網(wǎng)及教職工對外交流的窗口，具有開放共享的特點，使校園網(wǎng)的信息安全受到極大的危險。近年來高校中的信息安全事件時有發(fā)生，信息的泄密、數(shù)據(jù)的破壞、服務(wù)無法正常進行等屢屢發(fā)生，有些甚至導(dǎo)致校園網(wǎng)癱瘓，給高校校園網(wǎng)的管理和維護帶來了嚴重挑戰(zhàn)。

關(guān)鍵詞：校園網(wǎng)；信息安全；現(xiàn)狀防范； 安全威脅；網(wǎng)絡(luò)安全；安全規(guī)劃；防火墻;入侵檢測

1.引言

隨著Internet的迅速發(fā)展和應(yīng)用的普及，計算機網(wǎng)絡(luò)已經(jīng)深入教育、政府、商業(yè)、軍事等各行各業(yè)，計算機校園網(wǎng)是信息化建設(shè)的基礎(chǔ)設(shè)施，在教學(xué)支持服務(wù)、教學(xué)教務(wù)管理、行政管理和校內(nèi)外信息溝通等方面起著舉足輕重的作用。然而計算機網(wǎng)絡(luò)所具有的開放性、互連性和共享性等特征使網(wǎng)上信息安全存在著先天不足，再加上系統(tǒng)軟件中的安全漏洞以及所欠缺的嚴格管理，致使網(wǎng)絡(luò)易受黑客、惡意軟件的攻擊。在現(xiàn)有的校園網(wǎng)絡(luò)環(huán)境中，安全問題成為當前各信息網(wǎng)絡(luò)中心工作人員考慮得最多的問題。了解和分析這些安全隱患，采取正確的策略來抵御威脅，是校園網(wǎng)安全建設(shè)的根本，也是校園網(wǎng)絡(luò)正常發(fā)揮作用的保障。當然 要保證網(wǎng)絡(luò)的絕對安全是不可能的，必須根據(jù)網(wǎng)絡(luò)的現(xiàn)有狀況，對安全需求進行分析，采取必要的網(wǎng)絡(luò)安全策略，使網(wǎng)絡(luò)安全問題所造成的影響降到最低。在校園網(wǎng)建設(shè)中，很多校園網(wǎng)由于系統(tǒng)管理不善，安全保障措施不力，病毒通過系統(tǒng)漏洞、郵件等途徑在校園網(wǎng)傳播和泛濫，導(dǎo)致校園網(wǎng)成為計算機病毒滋生和泛濫的溫床，給校園網(wǎng)信息系統(tǒng)的應(yīng)用、管理和維護帶來巨大的負面影響。

2.高校校園網(wǎng)信息安全的現(xiàn)狀

高校本身是研究和探索新科技、傳授新知識的場所，儲存了大量的科研成果和技術(shù)資料，是信息安全受到威脅的“集中營”。例如今年四月份，我校的域名被攻擊，導(dǎo)致我校的主頁面打不開、網(wǎng)速變慢等一些問題，給老師和同學(xué)們帶來了不便。

2.1工作人員對信息系統(tǒng)的應(yīng)急處理能力不強，防范水平不高。

高校辦公室工作人員大都是非計算機專業(yè)的人員，計算機知識相對缺乏，對信息安全的防范意識尤為薄弱，缺乏對系統(tǒng)的基本維護能力，這勢必給高校校園網(wǎng)的信息安全造成威脅。

2.2信息安全管理觀念薄弱，負責信息安全人員的意識不強。

高校校園網(wǎng)用戶對安全意識以及防范能力沒有足夠重視，且認為防范信息安全是網(wǎng)絡(luò)信息或?qū)I(yè)人員的事情，與個人無關(guān)。負責信息安全人員把計算機安裝還原卡當作“萬事通”，只對出問題的計算機進行檢查并未對高校網(wǎng)絡(luò)檢查等。2.3信息安全保障管理機構(gòu)和組織隊伍不健全

對于高校校園網(wǎng)，信息瀏覽人數(shù)多，流量大，加大了信息安全人員對其管理和維護難度。且高校普遍存在維護人員短缺、工作機制不完善、隊伍不健全、無法及時響應(yīng)、快速解決，不能很好地保證校園網(wǎng)絡(luò)方便、快捷、規(guī)范地運行。2.4信息系統(tǒng)安全保障的必要設(shè)施短缺

信息系統(tǒng)軟硬件的內(nèi)在缺陷不僅直接造成系統(tǒng)癱瘓，還會為一些人為的惡意攻擊提供機會。應(yīng)用軟件的缺陷造成計算機信息系統(tǒng)的故障，降低系統(tǒng)安全性能，而設(shè)備的不完善、不更新，也給惡意攻擊有機可乘。2.5信息安全管理制度和標準缺乏開發(fā)性

我國的信息安全管理制度結(jié)構(gòu)比較單一，層次較低，難以適應(yīng)信息網(wǎng)絡(luò)技術(shù)發(fā)展的需要和日新月異帶來的信息安全問題。我國現(xiàn)行的信息安全管理制度基本上 是一些保護條例、管理辦法，缺少系統(tǒng)規(guī)范網(wǎng)絡(luò)行為的相應(yīng)法律。

3.校園網(wǎng)絡(luò)面臨的安全威脅

中國的校園網(wǎng)一般都最先應(yīng)用最先進的網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍。然而校園網(wǎng)由于自身的特點也是安全問題比較突出的地方，它既存在著自然因素導(dǎo)致的安全隱患，也存在著人為等諸多因素導(dǎo)致的危險，同時校園網(wǎng)絡(luò)的安全管理也更為復(fù)雜、困難。3.1 校園網(wǎng)的物理安全及自身的缺陷威脅

① 系統(tǒng)漏洞。系統(tǒng)漏洞是造成系統(tǒng)的安全風(fēng)險的主要因素。雖然操作系統(tǒng)的功能及安全性日趨完善, 但仍存在著很多漏洞。由于操作系統(tǒng)的程序是可以動態(tài)鏈接的,包括I/O的驅(qū)動程序與系統(tǒng)服務(wù)均可以采用打補丁的方式進行升級。但這種軟件廠商使用的方法同樣也為黑客打開方便之門。如有名的Windows DCOM蠕蟲病毒就是利用Windows DCOM MS03-26漏洞進行攻擊的。另一方面系統(tǒng)管理員或使用人員對復(fù)雜的系統(tǒng)和自身的安全機制了解不夠、配置不當，從而形成安全隱患。還有操作系統(tǒng)自身設(shè)置不當也會留下安全隱患。

② 系統(tǒng)架構(gòu)缺乏安全策略。多數(shù)校園網(wǎng)普遍采用基于以太網(wǎng)技術(shù)且采用開放的網(wǎng)絡(luò)架構(gòu)，本身就不具備必要的安全策略。雖然隨著技術(shù)不斷更新，安全管理方面有所變化，但大多數(shù)校園網(wǎng)管還是采用一種單

一、被動、缺乏主動性和靈活性的基于網(wǎng)絡(luò)設(shè)備的集中式的安全策略，根本無法適應(yīng)現(xiàn)行的網(wǎng)絡(luò)規(guī)范。另外，大多的校園網(wǎng)用戶并發(fā)上網(wǎng)現(xiàn)象普遍突出，集中式管理往往又會造成用戶認證時間過長或認證無效等問題。

③ 物理安全威脅。網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等網(wǎng)絡(luò)設(shè)備和物理鏈路等基礎(chǔ)設(shè)施的不可用，如設(shè)備被盜、被毀壞，鏈路老化或被有意或者無意的破壞。因電子輻射造成信息泄露、設(shè)備意外故障、停電、雷擊以及其它自然災(zāi)害、有害氣體的破壞等等物理方面的因素，對校園網(wǎng)的正常運行構(gòu)成威脅。

3.2 來自校園網(wǎng)內(nèi)部的安全威脅

高校學(xué)生他們會把學(xué)校的網(wǎng)絡(luò)當作一個實驗環(huán)境，測試各種網(wǎng)絡(luò)功能。一些學(xué)生用自己的計算機和操作系統(tǒng)配置一個DHCP SEVER使在網(wǎng)絡(luò)上的計算機從假冒的 DHCP SEVER了解到IP地址，導(dǎo)致合法用戶不能登陸到DHCP提供的正確IP 地址而無法使用網(wǎng)絡(luò)資源。另外很多學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂、聊天，占據(jù)了寶貴的網(wǎng)絡(luò)資源，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播?？傊瑏碜孕@網(wǎng)內(nèi)部的安全隱患所造成的破壞力、影響、威脅都是非常大的。3.3 來自外部互聯(lián)網(wǎng)的安全威脅

幾乎所有校園網(wǎng)絡(luò)都是利用Internet 技術(shù)構(gòu)建的，同時又與 Internet 相連。網(wǎng)絡(luò)用戶可以直接訪問互聯(lián)網(wǎng)的資源，同樣任何能上互聯(lián)網(wǎng)的用戶也可以直接訪問校園網(wǎng)的資源。這對宣傳學(xué)校、擴大學(xué)校的影響和知名度很有好處，但Internet 的共享性和開放性使網(wǎng)上信息安全存在先天不足，在帶來方便的同時，也帶來安全風(fēng)險。

3.4 黑客、拒絕式服務(wù)、病毒帶來的安全威脅

① 黑客攻擊。隨著網(wǎng)絡(luò)的迅猛發(fā)展，黑客攻擊活動日益猖獗。校園網(wǎng)在接入Internet的時候，即使有防火墻的保護，由于技術(shù)本身的局限或錯誤配置等原因，仍很難保證校園網(wǎng)不遭到黑客攻擊。

② 拒絕式服務(wù)。是指惡意地向被攻擊服務(wù)器發(fā)送信息洪流，占用計算機設(shè)備的資源而造成正常的服務(wù)請求被中斷，使網(wǎng)絡(luò)運行速度變慢甚至處于一種癱瘓狀態(tài)。

③ 病毒的危害。網(wǎng)絡(luò)病毒, 無論是在傳播速度, 破壞性, 還是在傳播范圍等方面都遠遠超過了單機病毒。如當今流行的蠕蟲病毒, 通過電子郵件、網(wǎng)絡(luò)共享或主動掃描等方式從客戶端感染校園網(wǎng)的web服務(wù)器。還有通過網(wǎng)絡(luò)傳播病毒或惡意腳本文件，干擾用戶的正常使用，如凍結(jié)注冊表、修改設(shè)置等。計算機病毒對計算機的攻擊，輕則使系統(tǒng)變慢，破壞文件，重則使硬件遭到破壞，網(wǎng)絡(luò)遭到病毒攻擊，則使網(wǎng)絡(luò)堵塞及癱瘓。

4.校園網(wǎng)絡(luò)的安全對策

如何能夠保證網(wǎng)絡(luò)的安全運行，同時又能提供豐富的網(wǎng)絡(luò)資源，達到辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個難題。網(wǎng)絡(luò)安全問題 , 不是單純的技術(shù)問題，而是一個系統(tǒng)工程。因此必須從系統(tǒng)的觀點去考慮。下面就校園網(wǎng)安全問題提出一些對策、措施。4.1 物理安全措施

物理安全的目的是保護路由器、交換機、工作站、各種網(wǎng)絡(luò)服務(wù)器、打印機 等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊；確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境；妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行破壞活動。其中包括：設(shè)立實物安全周界，實物進入控制，設(shè)施安全考慮（防塵、防火、防洪、防雷等），安全區(qū)域內(nèi)工作的規(guī)范規(guī)程，設(shè)備供電安全，通信電纜安全（防搭線），設(shè)備維護，運行日志以及電磁屏蔽、抑制和防止電磁泄漏等相關(guān)制度與技術(shù)。4.2 系統(tǒng)配置及軟件設(shè)置安全措施

要從系統(tǒng)配置及軟件設(shè)置上使得網(wǎng)絡(luò)更安全，主要做到以下幾個方面：一要關(guān)閉不必要的服務(wù)端口，取消服務(wù)器上不用的服務(wù)和協(xié)議種類。二要設(shè)置系統(tǒng)運行日志。通過運行系統(tǒng)日志，記錄下所有用戶使用系統(tǒng)的情形，分析日志文件，發(fā)現(xiàn)異常情況，及時防范。三要及時安裝系統(tǒng)補丁和更新服務(wù)方軟件。新版本的服務(wù)軟件能夠提供更多更好的功能，保證這些設(shè)備更有效更安全地運行。四要定期檢查系統(tǒng)安全性。通過安全檢測工具，在防火墻外對網(wǎng)絡(luò)內(nèi)所有的服務(wù)器和客戶機進行端口掃描，并檢查用戶口令的安全性以及各用戶對網(wǎng)絡(luò)設(shè)備訪問的合法性等。五要封鎖系統(tǒng)安全漏洞。黑客之所以得以非法訪問系統(tǒng)資源和數(shù)據(jù)，很多情況下是因為操作系統(tǒng)和各種應(yīng)用軟件的設(shè)計漏洞或者管理上的漏洞所致。在制定訪問控制策略時，不要忘記封鎖系統(tǒng)安全漏洞。4.3 校園網(wǎng)絡(luò)電子郵件安全策略

保障電子郵件安全的唯一一種辦法是讓攻擊者截獲了數(shù)據(jù)包但無法閱讀它。目前在校園網(wǎng)絡(luò)上可以采用如下策略來實現(xiàn)電子郵件的安全：

一、利用S/MIME來實現(xiàn)。S/MIME是一種安全的電子郵件格式，它采用一種消息加密與數(shù)字簽名格式，是一種已被接受的標準。

二、利用PGP。PGP是一個基于RSA公鑰加密體系的郵件加密軟件?？梢杂盟鼘δ愕泥]件保密，以防止非授權(quán)者閱讀，它還能對你的郵件加上數(shù)字簽名從而使收信人可以確信郵件是你發(fā)來的。讓你可以安全地與人們通訊，事先并不需要任何保密的渠道用來傳遞密鑰。

三、利用PEM。PEM是增強Internet電子郵件隱秘性的標準草案，它在Internet電子郵件的標準格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，并能夠支持多種加密工具。

四、利用MOSS。MOSS（MIME對象安全服務(wù)）是將PEM和MIME兩者的特性進行了結(jié)合。

五、采用安全網(wǎng)關(guān)。最便捷的途徑是 采用電子郵件安全網(wǎng)關(guān)，即電子郵件防火墻。使進入或輸出的每一條消息都經(jīng)過網(wǎng)關(guān)，從而使安全政策可以被執(zhí)行。4.4 正確配置路由器

對于大多數(shù)校園網(wǎng)來說，路由器已經(jīng)成為正在使用之中的最重要的安全設(shè)備之一。一般來說，大多數(shù)校園網(wǎng)絡(luò)都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。經(jīng)過恰當?shù)脑O(shè)置，邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網(wǎng)絡(luò)之外。

一、修改默認的口令。據(jù)國外調(diào)查顯示，80%的安全突破事件是由薄弱的口令引起的。

二、關(guān)閉IP直接廣播（IP Directed Broadcast）。Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應(yīng)。這種情況至少會降低你的網(wǎng)絡(luò)性能。

三、如果可能，關(guān)閉路由器的HTTP設(shè)置。

四、封鎖ICMP ping請求。ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應(yīng)答能力，你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”（script kiddies）。

五、關(guān)閉IP源路由。IP協(xié)議允許一臺主機指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)的路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個功能的合法的應(yīng)用是用于診斷連接故障。但是，這種用途很少應(yīng)用。除非指定這項功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個功能。

六、確定你的數(shù)據(jù)包過濾的需求。在這種規(guī)定中，除了網(wǎng)路功能需要的之外，所有的端口和IP地址都必要要封鎖。

七、建立準許進入和外出的地址過濾政策。在你的邊界路由器上建立策略以便根據(jù)IP地址過濾進出網(wǎng)絡(luò)的違反安全規(guī)定的行為。

八、審閱安全記錄。審閱你的路由器記錄（通過其內(nèi)置的防火墻功能）是查出安全事件的最有效的方法。利用出網(wǎng)的記錄，用心的安全管理員在病毒傳播者作出反應(yīng)之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。4.5 建立統(tǒng)一的身份認證系統(tǒng)

認證是網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)之一，其目的是實現(xiàn)身份鑒別服務(wù)、訪問控制服務(wù)、機密性服務(wù)和不可否認服務(wù)等。校園網(wǎng)與Internet沒有實施物理隔離，但是，對于運行內(nèi)部管理信息系統(tǒng)的內(nèi)網(wǎng) , 建立其統(tǒng)一的身份認證系統(tǒng)仍然是非常必要的 , 以便對數(shù)字證書的生成、審批、發(fā)放、廢止、查詢等進行統(tǒng)一管 理。只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題。同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證。校園網(wǎng)用戶不但要通過統(tǒng)一的身份認證系統(tǒng)確認，而且合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控。

4.6 服務(wù)器訪問控制策略

像服務(wù)器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備，避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問，在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。限制諸如chargen、echo、日期等這些簡單的TCP 協(xié)議。因為很多網(wǎng)絡(luò)測試工具可以利用這些特定的協(xié)議, 對網(wǎng)絡(luò)實施DOS 入侵。

4.7培養(yǎng)高素質(zhì)的安全運行維護隊伍

高校可以組建一支以學(xué)生為主體的安全運行維護隊伍，由網(wǎng)絡(luò)中心統(tǒng)一領(lǐng)導(dǎo)，中心專業(yè)老師負責對學(xué)生等用戶進行安全管理方面的培訓(xùn)和指導(dǎo)，加強校園網(wǎng)的管理和維護力量，力爭對突發(fā)安全事件做到及時響應(yīng)，快速解決，保證校園網(wǎng)方便、快捷、規(guī)范地運行。這樣不但能解決由于經(jīng)費和維護人員不足造成的困難，而且也可以通過讓學(xué)生參與校園網(wǎng)的管理維護，來鍛煉他們的實際動手能力，為今后的工作奠定良好的基礎(chǔ)。4.8制定完善安全管理規(guī)章制度

安全管理貫穿于安全防范體系的始終，是保證網(wǎng)絡(luò)安全的基礎(chǔ)。各部門配備專職的信息安全管理人員，落實建立信息安全責任制度和工作章程，負責并保證組織內(nèi)部的信息安全。管理人員必須做到及時進行漏洞修補、定期軟件升級和定期安全系統(tǒng)巡檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理。同時必須制訂一系列的安全管理制度，并遵循可操作、動態(tài)性、管理與技術(shù)的有機結(jié)合等原則，使校園網(wǎng)的信息安全工作進一步走向規(guī)范化和制度化。4.9利用多種形式進行信息安全教育

高校應(yīng)利用多種形式進行信息安全教育:①是利用行政手段，通過各種會議進行信息安全教育;②是利用教育手段，通過信息安全學(xué)術(shù)研討會、安全知識競賽、安全知識講座等進行信息安全教育;③是利用學(xué)校傳播媒介、輿論工具等手段，通過?？?、校報、校園網(wǎng)絡(luò)、廣播、宣傳欄等進行信息安全教育。建議我校開展全校學(xué)生的信息安全教育。4.10構(gòu)建良好的校園文化氛圍

信息安全是高校實現(xiàn)教育信息化的頭等大事，除先進的安全技術(shù)、完善的安全管理外，良好的校園文化氛圍也是保證高校信息安全工作順利開展的前提。

5.結(jié)束語

校園網(wǎng)信息安全是一項復(fù)雜的系統(tǒng)工程，不能僅僅依靠某一方面的安全策略，而需要仔細考慮系統(tǒng)的安全需求，網(wǎng)絡(luò)信息安全涉及的內(nèi)容既有技術(shù)方面的問題，又有管理方面的問題，應(yīng)加強從網(wǎng)絡(luò)信息安全技術(shù)和網(wǎng)絡(luò)信息安全管理兩個方面來進行網(wǎng)絡(luò)信息安全部署，盡可能的為校園網(wǎng)提供安全可靠的網(wǎng)絡(luò)運行環(huán)境。面對日益復(fù)雜的高校校園網(wǎng)信息安全及與日俱增的安全威脅，高校校園網(wǎng)的安全建設(shè)必須以了解校園網(wǎng)信息安全的現(xiàn)狀為前提。通過信息安全培訓(xùn)加強所有用戶的安全意識，從而完善安全防范體系賴以生存的大環(huán)境，有效地實現(xiàn)校園網(wǎng)可靠、穩(wěn)定地運行，創(chuàng)造出一個安全、便捷的網(wǎng)絡(luò)應(yīng)用環(huán)境，有效地保障校園網(wǎng)的安全，提高網(wǎng)絡(luò)信息的保密性、完整性和可用性。

參考文獻: [1] 段云所.信息安全概論.高等教育出版社.2003.9 [2] 高峽，陳智罡，袁宗福.網(wǎng)絡(luò)設(shè)備互聯(lián)學(xué)習(xí)指南.科學(xué)出版社2009.4 [3] 張武軍.高校校園網(wǎng)安全整體解決方案研究.電子科技.2006 年第3 期.[4] 朱海虹．淺談網(wǎng)絡(luò)安全技術(shù)．科技創(chuàng)新導(dǎo)報，2007，32：32． [5] 符彥惟．計算機網(wǎng)絡(luò)安全實用技術(shù).清華大學(xué)出版社.2008．9 [6] 王育民.通信網(wǎng)的安全—理論與技術(shù).西安電子科技大學(xué)出版社.2000 [7] 段云所.個人防火墻.人民郵電出版社.2002 [8] 黎萍等.網(wǎng)絡(luò)安全與管理與Windows2000.人民郵電出版社.2000 [9] 唐正軍.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn).電子工業(yè)出版社.2000 [10] 盧開成.計算機密碼學(xué).清華大學(xué)出版社.1998

第五篇：信息安全概論考試總結(jié)

信息安全概論知識點

一．名詞解釋

1.信息安全：信息安全是指信息網(wǎng)絡(luò)的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞，更改，泄露，系統(tǒng)連續(xù)可靠地運行，信息服務(wù)不中斷。

2.安全漏洞：指計算機系統(tǒng)具有的某種可能被入侵者惡意利用的屬性，在計算機安全領(lǐng)域，安全漏洞通常又稱作脆弱性。

3.緩沖區(qū)溢出：是一種非常普遍，非常危險的漏洞，在各種操作系統(tǒng)，應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致系統(tǒng)運行失敗，系統(tǒng)死機，重新啟動等后果。

4.網(wǎng)絡(luò)后門：是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。

5.計算機病毒：是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。

6.惡意軟件：俗稱流氓軟件，是對破壞系統(tǒng)正常運行的軟件的總稱。惡意軟件介于病毒軟件和正規(guī)軟件之間，同時具備正常功能（下載，媒體播放等）和惡意行為（彈廣告，開后門），給用戶帶來實質(zhì)危害。7.防火墻：位于可行網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間并對二者之間流動的數(shù)據(jù)包進行檢查的一臺，多臺計算機或路由器。

8.入侵檢測：是從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點搜集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否有違反安全策略的行為和遭遇襲擊的跡象的一種機制。

9.異常檢測技術(shù)：也稱基于行為的檢測，是指根據(jù)使用者的行為或資源使用情況來判斷是否發(fā)生入侵，而不依賴于具體行為是否出現(xiàn)來檢測。

10.誤用檢測技術(shù)：也稱基于知識的檢測，它是指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。11.VPN:是一種能夠?qū)⑽锢砩戏植荚诓煌攸c的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。

12.對稱加密算法：是用加密數(shù)據(jù)使用的密鑰可以計算出用于解密數(shù)據(jù)的密鑰。

13.非對稱加密算法：是指用于加密的密鑰和用于解密的密鑰是不同的，而且從加密的密鑰無法推導(dǎo)出解密的密鑰。

14.散列函數(shù)：也稱為Hash函數(shù)，雜湊函數(shù)，哈希函數(shù)，哈希算法，散列算法或消息摘要算法。它通過把單項數(shù)學(xué)函數(shù)應(yīng)用于數(shù)據(jù)，將任意長度的一塊數(shù)據(jù)轉(zhuǎn)化成一定長的，不可逆轉(zhuǎn)的數(shù)據(jù)。

15.蜜罐：是當前最流行的一種陷阱及偽裝手段。主要用于監(jiān)視并探測潛在的攻擊行為。

二．簡答：

1.網(wǎng)絡(luò)監(jiān)聽的工作原理

當一個局域網(wǎng)采用共享Hub時，當用戶發(fā)送一個報文時，這些報文會被發(fā)送到LAN上所有在線的機器。一般情況下，網(wǎng)絡(luò)上所有的機器都可以“聽”到通過的流量，但對不屬于自己的報文則不予響應(yīng)，即主機A不會捕獲發(fā)向主機B的數(shù)據(jù)，而會簡單地忽略這些數(shù)據(jù)。但是如果局域網(wǎng)中的某臺計算機的網(wǎng)絡(luò)接口處于混雜模式，那么它就可以捕獲到網(wǎng)絡(luò)上所有的報文和幀。如果一臺計算機的網(wǎng)卡被設(shè)置成這種模式，那么它就是一個監(jiān)聽器或嗅探器。

2.網(wǎng)絡(luò)監(jiān)聽的防護和檢測的主要方法

（1）網(wǎng)絡(luò)分段

（2）加密會話（3）使用檢測工具

（4）觀察異常情況 3.緩沖區(qū)溢出的原理

主要是通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他命令，以達到攻擊的目的。4.Dos攻擊方式

（1）SYN Flood工作原理：該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYN ACK后并不回應(yīng)，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK 一直維護著隊列，造成了資源大量而不能向正常請求提供服務(wù)。（2）Smurf工作原理：該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求的包，并且將源地址偽裝成想要攻擊的主機地址。自網(wǎng)上所有主機都回應(yīng)廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。5.計算機病毒的特征（1）傳染性：基本特征

（2）隱蔽性

（3）潛伏性

（4）破壞性 6.普通病毒和蠕蟲病毒的區(qū)別

普通病毒

蠕蟲病毒 存在形式：

寄存文件

獨立程序 傳染機制：

寄主程序運行

主動攻擊 傳染目標：

本地文件

網(wǎng)絡(luò)計算機 7.木馬病毒的傳播方式

通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界透漏用戶的信息。

8.物理層常用的防護手段

（1）物理位置選擇（2）物理訪問控制（3）防盜竊和防破壞（4）防雷擊（5）防火（6）防水和防潮（7）防靜電（8）溫濕度控制（9）電力供應(yīng)（10）電磁防護要求 9.防火墻的發(fā)展歷史及局限性

發(fā)展歷史：第一代：1984年

采用的技術(shù)：包過濾

第二代：1989年

采用的技術(shù)：代理服務(wù)

第三代：1992年

采用的技術(shù)：動態(tài)包過濾（狀態(tài)監(jiān)控）

第四代：1998年

采用的技術(shù)：自適應(yīng)代理服務(wù) 局限性：（1）不能防止不經(jīng)過它的攻擊，不能防止授權(quán)訪問的攻擊。

（2）只能對配置的規(guī)則有效，不能防止沒有配置的訪問。

（3）不能防止通過社交工程手段的攻擊和一個合法用戶的攻擊行為。

（4）不能針對一個設(shè)計上有問題的系統(tǒng)攻擊。10.異常檢測技術(shù)的原理及前提

原理：該技術(shù)首先假設(shè)網(wǎng)絡(luò)攻擊行為是不常見的，區(qū)別于所有正常行為。如果能夠為用戶和系統(tǒng)的所有正常行為總結(jié)活動規(guī)律并建立行為模型，那么入侵檢測系統(tǒng)可以將當前捕獲到的網(wǎng)絡(luò)行為與行為模型相比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。前提條件：入侵活動是異常活動的一個子集，理想的情況是：一場活動集與入侵活動集相等。11.無用檢測技術(shù)的原理及前提

原理：首先要定義違背安全策略事件的特征，判別所搜集到的數(shù)據(jù)特征是否在所搜集到的入侵模式庫中出現(xiàn)。

前提：假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征。12.VPN的作用

它提供了通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部網(wǎng)絡(luò)進行遠程訪問的連接方式。

賬號保護的主要方法及手段

（1）保護guest賬戶（2）限制用戶數(shù)量（3）管理員賬戶改名（4）建陷阱賬戶 13.對稱加密算法優(yōu)缺點 優(yōu)點：加密速度快,保密度高。

缺點：分發(fā)的困難問題幾乎無法解決。密鑰是保密通信的關(guān)鍵，發(fā)信方必須安全、妥善的把密鑰送到收信方，不能泄露其內(nèi)容，密鑰的傳輸必須安全，如何才能把密鑰安全送到收信方是對稱加密體制的突出問題。

14.非對稱加密算法的優(yōu)缺點 優(yōu)點：

（1）公鑰加密技術(shù)與對稱加密技術(shù)相比，其優(yōu)勢在于不需要共享通用的密鑰。

（2）公鑰在傳遞和發(fā)布過程中即使被截獲，由于沒有與公鑰相匹配的私鑰，截獲的公鑰對入侵者沒有太大意義。

（3）密鑰少便于管理，N個用戶通信只需要N對密鑰，網(wǎng)絡(luò)中每個用戶只需要保存自己的解密密鑰。

（4）密鑰分配簡單，加密密鑰分發(fā)給用戶，而解密密鑰由用戶自己保留。

缺點：加密算法復(fù)雜，加密和解密的速度比較慢。15.硬盤丟失數(shù)據(jù)的注意事項

（1）在硬盤數(shù)據(jù)出現(xiàn)丟失后，請立即換機，不要在對硬盤進行任何寫操作，那樣會增大修復(fù)的難度，也會影響到修復(fù)的成功率。（2）每一步操作都應(yīng)該是可逆的或者對故障硬盤是只讀的。16.使用Easy Recovery軟件的注意事項

（1）最好在重新安裝計算機操作系統(tǒng)完后，就把Easy Recovery軟件安裝上，這樣一旦計算機有文件丟失現(xiàn)象就可以使用Easy Recovery軟件進行恢復(fù)了。

（2）不能在文件丟失以后再安裝Easy Recovery文件恢復(fù)軟件，因為這樣的話Easy Recovery軟件極有可能將要恢復(fù)的文件覆蓋了，萬一在沒有安裝Easy Recovery軟件的情況下文件丟失，這時最好不要給計算機里再復(fù)制文件?？梢詫⒂嬎銠C硬盤拔下來，放到其他已經(jīng)安裝有Easy Recovery軟件的計算機上進行恢復(fù)，或找專業(yè)的安全人員來處理。

三． 問答題：

1.信息安全體系結(jié)構(gòu)

應(yīng)用安全：（1）數(shù)據(jù)庫加固（2）安全監(jiān)控

（3）電子文檔

（4）安全身份認證統(tǒng)一授權(quán)

系統(tǒng)安全：（1）容災(zāi)備份

（2）系統(tǒng)加固

（3）HIDS NIDS（4）漏洞掃描 系統(tǒng)防毒

網(wǎng)絡(luò)安全：（1）VLAN劃分

（2）外網(wǎng)的入網(wǎng)訪問控制

（3）網(wǎng)絡(luò)安全邊界防火墻

（4）VPN，傳輸安全

（5）網(wǎng)絡(luò)防毒

物理安全：（1）環(huán)境安全：防火，防水，磁泄露，防震

（2）設(shè)備安全：防盜，物理隔離系統(tǒng)的設(shè)置，雙網(wǎng)隔離設(shè)備

（3）介質(zhì)安全：防盜防電 2.SQL Server 注入攻擊的原理

攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造（或者影響）動態(tài)SQL命令，或作為存儲過程的輸入?yún)?shù)，這類表單特別容易受到SQL注入式攻擊。3.黑客攻擊步驟

（1）踩點

（2）掃描

（3）入侵

（4）獲取權(quán)限

（5）提升權(quán)限（6）清除日志 4.常見的攻擊手段

（1）密碼破解攻擊 ：字典攻擊

混合攻擊

暴力攻擊

專業(yè)工具（2）緩沖區(qū)溢出攻擊

（3）欺騙攻擊：源IP地址欺騙攻擊

源路由欺騙攻擊（4）DOS/DDOS攻擊：DOS攻擊

DDOS攻擊（5）SQL注入攻擊（6）網(wǎng)絡(luò)蠕蟲（7）社會工程學(xué) 5.常見的防范手段：

（1）拋棄基于地址的信任策略（2）使用加碼方法（3）進行包過濾（4）防火墻技術(shù)

（5）確定所有服務(wù)器采用最新系統(tǒng)，并打上安全補丁。6.防火墻的體系結(jié)構(gòu)（1）雙重宿主主機體系結(jié)構(gòu)

原理：雙重宿主主機體質(zhì)圍繞雙重宿主主機構(gòu)建。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口，這樣的知己可以充當外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的路由器，所以它能夠使內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的數(shù)據(jù)包直接路由通過。然而雙重宿主主機的防火墻體系結(jié)構(gòu)不允許這樣直接地通過。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)直接發(fā)送到另一個網(wǎng)絡(luò)。外部網(wǎng)絡(luò)能與雙重宿主主機通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機通信，但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，他們之間的通信必須經(jīng)過過濾和控制，一般在雙重宿主主機上安裝代理服務(wù)器軟件，可以為不同的服務(wù)提供轉(zhuǎn)發(fā)，并同時根據(jù)策略進行過濾和控制。雙重宿主主機體系結(jié)構(gòu)連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，相當于內(nèi)部外部網(wǎng)絡(luò)的跳板，能夠提供級別比較高的控制，可以完全禁止內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。（2）被屏蔽主機體系結(jié)構(gòu)

原理：被屏蔽主機體系結(jié)構(gòu)防火墻使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔開，在這種體系結(jié)構(gòu)中，主要的安全防護功能由數(shù)據(jù)包過濾提供。

（3）被屏蔽子網(wǎng)體系結(jié)構(gòu)

原理：被屏蔽子網(wǎng)體系結(jié)構(gòu)將額外的安全層添加到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單形式是兩個屏蔽路由器，每一個都連接到周邊網(wǎng)絡(luò)。一個位于周邊網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。