第一篇：個人計算機信息安全概論

個人計算機信息安全概論

一、重要性的認識

隨著現(xiàn)代化科技的發(fā)展，個人計算機已經(jīng)走進全家萬戶，越來越多的人們喜歡在個人計算機上進行工作、娛樂、休閑、購物，商家們也抓緊商機，紛紛在個人計算機上推出各種方便的應(yīng)用，比較知名的有淘寶、京東等等，同時各類聊天交流軟件如雨后春筍般冒芽，從最初的QICQ雄霸天下，到現(xiàn)在的百度貼吧、新浪微博、人人網(wǎng)諸多巨頭百家爭鳴，真是應(yīng)了一句話“生活如此多嬌”，相比很少有人當初會設(shè)想到現(xiàn)在如此方便的個人計算機生活，當然想到人已經(jīng)都是各大門戶網(wǎng)站和游戲軟件網(wǎng)站的CEO。但同時，帶來方便生活的同時也帶來一個最最重要的問題，那就是“安全”。眾所周知，安全性向來都是各個活動的必須基礎(chǔ)保障，這個安全性分為很多，例如人身安全、財產(chǎn)安全、個人信息安全諸如類似，今天我們主要討論的是信息安全。

信息安全，例如個人真實信息、財產(chǎn)賬戶密碼等等都是非常重要的，如果不經(jīng)意間泄露出去，會造成諸多不便和帶來巨大的損失，相信各位經(jīng)常在生活中接到一些短信吧“考研請聯(lián)系xxxxxx”、“四級考試包過xxxxxx”、“會計考試資料”，甚至你剛報名某項考試，你就會收到一條信息關(guān)于此考試的比過內(nèi)容。財產(chǎn)安全問題更是值得關(guān)注，在網(wǎng)絡(luò)購物時，木馬網(wǎng)站，釣魚網(wǎng)站諸多網(wǎng)絡(luò)陷阱讓你防不勝防，造成的損失讓人后悔莫及。由此看來個人計算機信息安全概論是及其重要的。

二、目標

研究信息安全概論的最終目標就是保護自身的信息不被泄露出去，信息泄露的方式多種多樣，各種個人信息的填寫都讓人感覺身邊處處都是陷阱，但是經(jīng)過此次的探討，我們希望在以后的日常生活工作中，使用個人計算機時，能預(yù)防個人信息的泄露，注意到自己的個人信息安全，在可能的前提下，盡量減少自己的個人信息泄露以及在泄露的情況下，如何避免較大的損失。

三、威脅來源

計算機網(wǎng)絡(luò)世界豐富多樣，一般來說信息的丟失只有在與外界聯(lián)系的情況下才能實現(xiàn)，一般來說，威脅與可能的來源主要分為以下二塊：

A.個人計算機文檔信息安全威脅

許多人喜歡將自己的銀行卡密碼、賬號密碼、私人信息存檔在個人計算上，一般來說問題是不大的，但是在一些情況下，就會造成個人信息的丟失，例如：電腦維修，個人信息被惡意拷貝；別人使用電腦，將你的個人信息記錄；黑客入侵，控制電腦竊取信息??

B.網(wǎng)絡(luò)上個人信息安全威脅

這是個人信息泄露最主要的一塊部分，注冊賬號、申請，幾乎每個和賬號有關(guān)的就必須要求你填寫詳細的個人信息，大致分為以下幾塊

①門戶網(wǎng)站、游戲賬號的注冊，為了能使用某些程序或使用某些權(quán)利，必須要注冊賬號，同時為了賬號的安全性，必須填寫你的個人信息，這是一個環(huán)環(huán)相扣的聯(lián)系，但是在一些情況下，例如門戶網(wǎng)站的被黑，就極有可能導致你的個人信息安全泄露，同時又可以根據(jù)你的個人信息，直接竊取賬號，盜取里面有價值的貨物。一些黑客還會利用木馬，記錄你的鍵盤信息，發(fā)送至指定地點，從而達到盜取個人信息的方式

②網(wǎng)絡(luò)報名類，這塊相比上面部分，主要是個人信息的詳細程度不同，大家比較耳熟能詳?shù)睦缦嘤H網(wǎng)，一般人都會想，我得有誠意不是？于是一五一十的把自己所有的個人真實信息都填寫在了報名欄，并在網(wǎng)上公開，一些有心人看到，加以記錄，說不定哪天就收到了垃圾信息或者騷擾信息什么的。

另外同學們往往會參加一些等級考試的網(wǎng)絡(luò)報名，根據(jù)個人親身經(jīng)歷，報名會計類考試，個人信息幾乎就一定會被泄露，從你報名考試的第一天起，各種伴您考試成功，考試必過內(nèi)部資料就會蜂擁而至，說來也巧，當你考過后，這些信息又會銷聲匿跡，深藏功與名。很難不讓人不想象負責考試報名的網(wǎng)站背后在做著什么交易。

③不經(jīng)意間的泄露。很多同學喜歡在網(wǎng)上找尋資料，可能在某些時候看到樓主或者版主在發(fā)資源，但是是留郵箱，很多人想當然的就把自己常用的QQ郵箱寫上去了，隨后可能收到的并不是你需要的資料，而是一個“炸彈”，直接將你的個人信息暴露無遺。

④網(wǎng)絡(luò)欺騙。這類相對來說還是經(jīng)常遇到的，但是是最容易發(fā)現(xiàn)的。例如很多某某聊天室，注冊就送，等你注冊完后，進去了發(fā)現(xiàn)只是一個空殼或者說根本

不像他所說的那樣有優(yōu)質(zhì)的服務(wù)，其實人家做的生意是賣客服信息，利用包裝精美的外殼，吸引人們前來注冊，填寫個人信息（主要是手機號碼），然后有的放矢，各種誘人的廣告和詐騙信息一個接一個。

四、防范手段

根據(jù)以上的主要集中威脅防范手段主要為以下幾點

1.平日里的個人信息文檔應(yīng)及時處理，在把自己的個人計算機借給他人時，應(yīng)及時備份或者加密處理，不要在有多人使用的電腦上留下自己的個人文檔信息。電腦應(yīng)安裝殺毒軟件，及時查殺病毒，并留意有無異常文件并確認與刪除。

2.在注冊賬號時，要去驗證該公司是否誠實可信，之前有無信息泄露安全性問題，確認后方可填寫自己的真實信息，同時填寫個人信息的時候，要注意不可過分詳細，例如工作地點可填寫杭州，而不必填寫具體的地址。

3.在某些需要詳細填寫個人信息的網(wǎng)站時，需要求客服對個人信息的保密，一般情況下，不建議在網(wǎng)上詳細填寫詳細的個人信息，能避免則盡量避免，例如相親網(wǎng)站，看真人相親絕對比照片和修飾過的簡歷真實吧？

4.在報考各類等級考試時候，難免收到垃圾信息，但是為了考試個人信息核對，必須填寫清楚，同時目的性也很明確，很難避免不收到騷擾，對此，建議在手機上安裝來電信息屏蔽，眼不見為凈。

5.在網(wǎng)上留下郵箱的時候，現(xiàn)在有個軟件是可以直接指定關(guān)鍵詞搜索12345@XX.com的，本人有一個小方法，就是可以用漢字代替 例如扣扣一二三四五，而不是QQ12345，這樣不會被一些搜尋軟件檢索到。

6.個人密碼，密碼作為安全的第一道門，是一個很重要的因素，現(xiàn)在很多大的公司都有手機密保驗證來確保安全，但是有些人嫌麻煩，都會不用，更有甚者，密碼是簡單的12345或者是生日這種容易讓人猜到的組合，建議使用復雜的有字母大小寫的，并且定期更換密碼確保安全，有手機密保的話推薦使用，確保安全，避免個人信息安全泄露。

五．總結(jié)

在老師的教導下，對于個人電腦信息安全概念有了新的理解，同時也學到了許多新的知識，這些知識在平常生活應(yīng)用中也有著極大的幫助，作為一個21世紀的人，使用電腦是必備的技能，但是使用中出現(xiàn)的各種問題，尤其是信息的泄

露是需要引起人們關(guān)注的，最后的論文總結(jié)也讓我有一個機會，能系統(tǒng)的復習本學期學到的，并從中得出具體的方法來保護我的個人信息。感謝老師，感謝這門課給我的學習機會！

第二篇：個人計算機安全管理制度

三一重工股份有限公司 管理制度 ZG-QGZ/IT010 ZG-QGZ/IT010-2006 編制人 審核人 批準人 范秋華 吳云峰 唐修國

個人計算機安全管理制度
修訂號 標 記 紅色字體 V 2 實施日期 2007 年 7 更 改 處 數(shù) 更 改 依 據(jù) 45 MSS 評審會議要求 1 按 MSS 制度要求 修改格式 月1日 記 錄 更 改 人 更 改 日 期 范秋華 何奕玨 2007 年 4 月 20 日 范 宇 2007 年 6 月 29 日

1 目的 加強個人計算機安全管理，保障三一集團的網(wǎng)絡(luò)平臺、應(yīng)用系統(tǒng)正常運行及公司數(shù)據(jù)的安全。2 范圍 本制度適用于三一集團所有計算機用戶。3 職責 3.1 硬件工程師： 負責對所轄區(qū)域各部門個人計算機安 全配置進行糾正、指導。

作無關(guān)文件，嚴禁利用公司資源干私活，違者扣 10 分。4.3.2 嚴禁未經(jīng)批準使用 QQ、MSN 等即時通訊工具，違 者扣 20 分。4.3.3 嚴禁利用任何手段獲取他人密碼、控制他人計算 機，嚴禁進行黑客攻擊、監(jiān)聽數(shù)據(jù)、竊取密碼、嗅探網(wǎng) 絡(luò)拓撲等非法操作,違者扣 20 分。4.3.4 嚴禁編寫、搜集、傳播病毒木馬與黑客軟件，違 者扣 50 分。4.3.5 接入內(nèi)部網(wǎng)的計算機，嚴禁通過撥號等方式私自 連接 internet,違者扣 30 分。4.3.6 嚴禁在網(wǎng)吧等不安全場所使用 VPN，違者處罰 20

分。4.4 密碼安全管理 4.4 密碼安全管理 4.4.1 員工在得到 SANY 域的域帳號密碼（即郵箱密碼）、OA 帳號密碼后應(yīng)立刻進行修改，密碼由 8 位以上數(shù)字、字母組成,違者扣 5 分。4.4.2 域帳號密碼和 OA 密碼必須每兩個月修改一次，違者扣 5 分。4.4.3 嚴禁共享 OA、域等帳號密碼，違者扣 10 分。管理要求 4 管理要求 4.4.4 域、OA 帳號密碼丟失，須攜帶本人工卡到系統(tǒng) 4.1 物理安全管理 管理員處進行密碼初始化。駐外員工密碼丟失，須部門 4.1.1 嚴禁私自移動、安裝、拆除個人電腦硬件設(shè)備，主管郵件確認，違者不予受理。違者扣 10 分。4.5 郵箱安全管理 4.1.2 嚴禁私自打開膠封的外設(shè)通訊口，違者扣 10 分。4.5.1 使用公司電子郵箱必須定期將郵件收至本地計 系統(tǒng)安全管理 4.2 系統(tǒng)安全管理 算機，違者扣 10 分。4.2.1 不得私自重裝系統(tǒng)，違者扣 10 分。4.5.2 嚴禁群發(fā)工作無關(guān)郵件，嚴禁利用郵件作為聊天 4.2.2 個人計算機命名規(guī)則為“部門縮寫名_網(wǎng)絡(luò)帳號 工具，違者扣 10 分。名”，如 ITBB_chencg，違者扣 5 分。4.5.3 嚴禁往自己的郵箱發(fā)送郵件，違者扣 10 分。4.2.3 個人計算機必須安裝并及時升級公司標準防病 4.5.4 內(nèi)部發(fā)送密級資料需加密，密鑰或口令不得隨郵 毒軟件違者扣 5 分。件發(fā)送，違者扣 10 分。4.2.4 嚴禁刪除 BACKUP 文件夾下的 Ghost 鏡像文件和 4.5.5 未經(jīng)審批，嚴禁向外發(fā)送公司密級資料，違者扣

相關(guān)驅(qū)動程序，違者扣 5 分。20 分。4.2.5 嚴禁個人計算機私自提供 WEB、FTP、Proxy、4.5.6 嚴禁研發(fā)人員未經(jīng)審批在郵件中夾帶圖紙類附 DHCP、SMTP、POP3 等服務(wù)，違者扣 10 分。件，違者扣 10 分； 4.2.6 個人計算機只能安裝公司桌面標準軟件和經(jīng)部 安全管理 4.6 OA 安全管理 門或個人申請后授權(quán)軟件，違者扣 10 分。4.6.1 需要授權(quán)他人處理部分審批工作的，不允許直接 4.2.7 須將屏保設(shè)定時間為 10 分鐘,違者扣 5 分。將 OA 密碼告訴被授權(quán)人，違者扣 10 分。4.3 網(wǎng)絡(luò)安全管理 4.6.2 嚴禁用戶抄送給整個部門或整個公司，違者每次 4.3.1 嚴禁訪問與工作無關(guān)網(wǎng)站，嚴禁下載、存放與工 扣 10 分。3.2 安全督察員： 定期對個人計算機進行檢查，不定期 進行抽查、處理。3.3 部門主管： 貫徹和督促本制度的執(zhí)行，對于部門信 息安全承擔領(lǐng)導責任。3.4 計算機用戶： 對本人計算機安全負管理責任，對他 人行為進行監(jiān)督、指正。
－34－

三一重工股份有限公司 管理制度 ZG-QGZ/IT010 ZG-QGZ/IT010-2006

個人計算機安全管理制度
修訂號 V 2 實施日期 2007 2007 年 7 月 1 日 4.8 公用上網(wǎng)機管理 4.8.1 通過公用賬號上 Internet 的員工必須對上網(wǎng)情 況進行登記，并且不得刪除計算機中的上網(wǎng)記錄，違者 扣 10 分。4.8.2 公用上網(wǎng)機管理員必須保管好上網(wǎng)密碼,監(jiān)督使 用人員做好上網(wǎng)登記。違者扣 5 分。4.8.3 公用上網(wǎng)機管理員必須每月修改系統(tǒng)登陸密碼，違者扣 10 分。4.8.4 嚴禁任何員工通過公用上網(wǎng)機上與工作無關(guān)的 網(wǎng)站和做與工作無關(guān)的事情,違者扣 10 分。

4.6.3 嚴禁未經(jīng)審批通過 OA 傳送圖紙類文件，違者扣 10 分。文檔安全 安全管理 4.7 文檔安全管理 密級文檔劃分標準見公司保密管理制度。4.7.1 絕密文檔未經(jīng)審批不得擴散出受限范圍，須指定 專人打印、封裝、發(fā)送（回收），違者扣 30 分。4.7.2 機密文件在 OA 上不允許以“新聞”形式發(fā)布，違者扣 10 分。

4.7.3 絕密、機密文檔應(yīng)標明頁碼，并在醒目位置標明 密級標識，違者扣 5 分。4.7.4 絕密和機密文檔閱讀權(quán)限的開通由文件制定部 4.8.5 嚴禁利用公共上網(wǎng)機向外傳遞公司資料、數(shù)據(jù)，違者扣 20－50 分。門主管審批，未經(jīng)審批私自傳閱者扣 10 分。4.7.5 用戶不得將重要文檔存放在系統(tǒng)分區(qū) 盤）（C 中，4.9 其它 違者處罰 5 分； 不得設(shè)置匿名完全共享文件夾，違者扣 4.9.1 所有新入司管理和研發(fā)人員都必須參加 IT 培 5 分，共享文件夾包含密級文檔者扣 10 分。訓，IT 培訓考試未通過不予上崗。4.7.6 嚴禁收集、存放非本崗位的公司機密數(shù)據(jù),違者 4.9.2 員工領(lǐng)取新計算機五個工作日之內(nèi)須對照檢查 安全

第三篇：信息安全概論

第一章

1、信息安全的基本屬性：（1）可用性（2）機密性（3）非否認性（4）可控性（5）真實性（6）完整性

2、信息安全技術(shù)是指保障信息安全的技術(shù)，具體來說，它包括對信息的偽裝、驗證及對信息系統(tǒng)的保護等方面。

3、信息安全劃分四個階段：（1）通信安全發(fā)展時期（2）計算機安全發(fā)展時期（3）信息安全發(fā)展時期（4）信息安全保障發(fā)展時期。

4、信息安全威脅有：（1）信息泄露（2）篡改（3）重寫（4）假冒（5）否認（6）非授權(quán)使用（7）網(wǎng)絡(luò)與系統(tǒng)攻擊（8）惡意代碼（9）災(zāi)害、故障與人為破壞。

第二章

1、密碼技術(shù)提供：完整性、真實性、非否認性等屬性。

2、密碼學分為：密碼編碼學和密碼分析學。

3、按密鑰使用方法的不同，密碼系統(tǒng)主要分為對稱密碼、公鑰密碼。

4、密碼分析也可稱為密碼攻擊。

5、密碼分析分為4類：（1）唯密文攻擊（2）已知明文攻擊（3）選擇明文攻擊（4）選擇密文攻擊。第三章

1、系統(tǒng)實體標識：（1）系統(tǒng)資源標識（2）用戶、組和角色標識（3）與數(shù)字證書相關(guān)的標識。

2、威脅與對策：（1）外部泄密（2）口令猜測（3）線路竊聽（4）重放攻擊（5）對驗證方的攻擊。

3、PKI：公開密鑰基礎(chǔ)設(shè)施。（PKI中最基本的元素就是數(shù)字證書）

4、PKI的組成：（1）認證和注冊機構(gòu)（2）證書管理（3）密鑰管理（4）非否認服務(wù)（5）系統(tǒng)間的認證（6）客戶端軟件。

5、PKI支撐的主要安全功能：基于PKI提供的公鑰證書和私鑰，用戶之間可以進行相互的實體認證，也可以進行數(shù)據(jù)起源的認證。

6、公鑰認證的一般過程是怎樣的？ 公鑰來加密，只有擁有密鑰的人才能解密。通過公鑰加密過的密文使用密鑰可以輕松解密，但通過公鑰來猜測密鑰卻十分困難。

7、簡述PKI的構(gòu)成和基本工作原理。PKI的構(gòu)成：（1）認證和注冊機構(gòu)（2）證書管理（3）密鑰管理（4）非否認服務(wù)（5）系統(tǒng)間的認證（6）客戶端軟件 基本原理：PKI就是一種基礎(chǔ)設(shè)施，其目標就是要充分利用公鑰密碼學的理論基礎(chǔ)，建立起一種普遍適用的基礎(chǔ)設(shè)施，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù) 第四章

1、訪問控制策略：自主訪問控制策略（DAC）、強制訪問控制策略（MAC）、基于角色訪問控制策略（RBAC）。

（HRU模型 Bell-Lapadula模型 BIBA模型 Dion模型。）

2、PMI技術(shù)：授權(quán)管理基礎(chǔ)設(shè)施。

3、PMI基本屬性要素：屬性證書、屬性權(quán)威機構(gòu)及PMI模型。第五章

1、信息隱藏主要包括數(shù)字水印技術(shù)和隱寫技術(shù)。

2、魯棒水印：是一種主要面向數(shù)字內(nèi)容版權(quán)保護的信息隱藏技術(shù)，他通過原

內(nèi)容的感知冗余中隱藏地嵌入包含版權(quán)信息的數(shù)據(jù)。

3、脆弱水印技術(shù)將防偽信息隱藏在數(shù)字內(nèi)容中，目的是以后通過檢查發(fā)現(xiàn)篡改，由于防偽信息和被保護數(shù)據(jù)融合，方便地支持了電子圖文的流動。（脆弱水印是一種保護數(shù)據(jù)完整性和真實性的技術(shù)）第六章

1、網(wǎng)絡(luò)與系統(tǒng)攻擊手段主要包括網(wǎng)絡(luò)與系統(tǒng)調(diào)查、口令攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊等。

2、口令攻擊的破解方法：（1）詞典生成（2）口令截收和欺騙（3）非技術(shù)手段。

3、拒絕服務(wù)攻擊的主要類型和基本原理是什么？ 主要類型：（1）利用系統(tǒng)漏洞（2）利用網(wǎng)絡(luò)協(xié)議（3）利用合理服務(wù)請求（4）分布式拒絕服務(wù)攻擊?；驹恚汗粽咄ㄟ^發(fā)送大量的服務(wù)或操作請求，致使服務(wù)程序出現(xiàn)難以正常運行的情況。第七章

1、防火墻的基本類型：（1）包過濾防火墻（2）代理網(wǎng)關(guān)（3）包檢查型防火墻（4）混合型防火墻。

2、入侵檢測系統(tǒng)需要解決三個方面的問題：（1）需要充分并可靠地采集網(wǎng)絡(luò)和系統(tǒng)中數(shù)據(jù)，提取描述網(wǎng)絡(luò)和系統(tǒng)行為的特征；（2）必須根據(jù)以上數(shù)據(jù)和特征，高效并準確地判斷網(wǎng)絡(luò)和系統(tǒng)行為的性質(zhì)；（3）需要對網(wǎng)絡(luò)和系統(tǒng)入侵提供響應(yīng)手段。

3、IDS數(shù)據(jù)源主要可分為兩類：（1）基于主機的IDS（2）基于網(wǎng)絡(luò)的IDS。

4、“蜜罐”技術(shù)是指一類對攻擊、攻擊者信息的收集技術(shù)。

5、“蜜罐”主要采用的技術(shù)：（1）偽裝和引入（2）信息的控制（3）數(shù)據(jù)捕獲和分析。

6、信息安全應(yīng)急響應(yīng)一般分為前期響應(yīng)、中期響應(yīng)、后期響應(yīng)三個階段。

7、IDS主要的分析檢查方法：誤用檢測、異常檢測、其他檢測。8防火墻的原理是什么？

（監(jiān)視 拒絕 隔離 可疑文件。）第八章

1、日志和審計是兩個緊密相關(guān)的概念。

2、審計事件通常包括系統(tǒng)事件、登錄事件、資源訪問、操作、特權(quán)使用、賬號管理和策略更改等類別。

3、事件分析與追蹤：（1）檢查進程（2）檢查通信連接（3）檢查登錄用戶（4）分析日志（5）文件系統(tǒng)分析（6）地址追蹤（7）假冒地址追蹤。

4、電子證據(jù)：利用計算機和其他數(shù)字工具進行犯罪的一些證據(jù)以電子信息的形式存儲在計算機存儲系統(tǒng)或網(wǎng)絡(luò)中。

5、數(shù)字取證：利用計算機和其他數(shù)字工具進行犯罪的一些證據(jù)以電子信息的形式存儲在計算機存儲系統(tǒng)或網(wǎng)絡(luò)中，它們就是電子證據(jù)。第九章

1、操作系統(tǒng)安全技術(shù)主要包括：（1）內(nèi)存分離和進程分離（2）賬戶系統(tǒng)與特權(quán)管理（3）訪問控制（4）文件保護（5）內(nèi)核安全技術(shù)（6）安全審計（7）形式化驗證。

2、典型數(shù)據(jù)庫特色的安全需求：（1）

數(shù)據(jù)完整性（2）操作可靠性（3）存儲

可靠性（4）敏感數(shù)據(jù)保護。

3、可信計算的基本思想是：如果可以從計算平臺的源頭實施可靠的防范，這些不安全因素可以被有效控制。

4、TCPA 可信計算平臺聯(lián)盟TPM 可信平臺模塊。第十章

1、OSI（國際標準化組織）安全體系結(jié)構(gòu)：1-4層的安全服務(wù)以“底層網(wǎng)絡(luò)安全協(xié)議”的方式提供，包括傳輸層安全協(xié)議（TLSP）和網(wǎng)絡(luò)層安全協(xié)議（NLSP）；5-7層的安全服務(wù)以“安全組件”的方式提供，包括系統(tǒng)安全組件和安全通信組件。

2、IPSex協(xié)議：應(yīng)用于網(wǎng)絡(luò)層。

3、SET（電子商務(wù)協(xié)議）標準：主要目的是保護互聯(lián)網(wǎng)上信用卡交易安全。第十一章

1、常見的惡意代碼：計算機病毒、蠕蟲和特洛伊木馬。

2、計算機病毒：是一類具有傳染、隱蔽、破壞等能力的惡意代碼。（CIH病毒、蠕蟲、特洛伊木馬）

3、惡意代碼檢測方法主要有：（1）

特征代碼法（2）校驗和法、行為監(jiān)測法（3）軟件模擬法（4）比較法（5）感染實驗法 第十二章

1、內(nèi)容安全技術(shù)主要用于不良內(nèi)容傳播控制、數(shù)字版權(quán)侵權(quán)控制、敏感內(nèi)容泄露及其控制等方面。

2、內(nèi)容安全技術(shù)分為被動內(nèi)容安全技術(shù)和主動內(nèi)容安全技術(shù)，被動內(nèi)容安全技術(shù)不事先預(yù)處理被監(jiān)管的內(nèi)容，主動內(nèi)容安全技術(shù)對被監(jiān)管的內(nèi)容進行預(yù)處理。第十三章1、1999年，我國頒布了國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》 2、2001年5月，成立了“中國信息安全產(chǎn)品測評認證中心”。

3、2001年，我國根據(jù)CC頒布了國家標準《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》

4、2007年，我國成立了“中國信息安全認證中心”。

5、設(shè)計人員或分析人員已經(jīng)可以采用安全模型、協(xié)議形式化分析和可證明安全性方法等手段對安全策略、安全協(xié)議或密碼算法進行驗證。第十四章

1、安全策略主要應(yīng)明確以下問題：（1）安全目標（2）訪問主體（3）訪問客體（4）訪問方式。

2、在進行風險評估前，一般需要先分析信息系統(tǒng)的威脅、脆弱性和可能的攻擊。

第四篇：信息安全概論論文

淺析高校校園網(wǎng)信息安全的現(xiàn)狀與防范

摘要：信息安全是高校信息化建設(shè)的根本保證，高校通過制定一系列校園網(wǎng)信息安全來保障校園網(wǎng)的安全。本文概述了高校校園網(wǎng)信息安全的現(xiàn)狀，提出了保障高校校園網(wǎng)信息安全的防范措施，為科學地構(gòu)建高校校園網(wǎng)信息安全體系提供了參考。

隨著高校校園網(wǎng)絡(luò)的不斷擴建和升級，網(wǎng)絡(luò)規(guī)模日益龐大。在方便信息傳遞，實現(xiàn)資源共享，提高工作效率的同時，高校校園網(wǎng)的信息安全問題已成為高校日常工作中不可或缺的重要組成部分。校園網(wǎng)作為高校教學應(yīng)用的內(nèi)部網(wǎng)及教職工對外交流的窗口，具有開放共享的特點，使校園網(wǎng)的信息安全受到極大的危險。近年來高校中的信息安全事件時有發(fā)生，信息的泄密、數(shù)據(jù)的破壞、服務(wù)無法正常進行等屢屢發(fā)生，有些甚至導致校園網(wǎng)癱瘓，給高校校園網(wǎng)的管理和維護帶來了嚴重挑戰(zhàn)。

關(guān)鍵詞：校園網(wǎng)；信息安全；現(xiàn)狀防范； 安全威脅；網(wǎng)絡(luò)安全；安全規(guī)劃；防火墻;入侵檢測

1.引言

隨著Internet的迅速發(fā)展和應(yīng)用的普及，計算機網(wǎng)絡(luò)已經(jīng)深入教育、政府、商業(yè)、軍事等各行各業(yè)，計算機校園網(wǎng)是信息化建設(shè)的基礎(chǔ)設(shè)施，在教學支持服務(wù)、教學教務(wù)管理、行政管理和校內(nèi)外信息溝通等方面起著舉足輕重的作用。然而計算機網(wǎng)絡(luò)所具有的開放性、互連性和共享性等特征使網(wǎng)上信息安全存在著先天不足，再加上系統(tǒng)軟件中的安全漏洞以及所欠缺的嚴格管理，致使網(wǎng)絡(luò)易受黑客、惡意軟件的攻擊。在現(xiàn)有的校園網(wǎng)絡(luò)環(huán)境中，安全問題成為當前各信息網(wǎng)絡(luò)中心工作人員考慮得最多的問題。了解和分析這些安全隱患，采取正確的策略來抵御威脅，是校園網(wǎng)安全建設(shè)的根本，也是校園網(wǎng)絡(luò)正常發(fā)揮作用的保障。當然 要保證網(wǎng)絡(luò)的絕對安全是不可能的，必須根據(jù)網(wǎng)絡(luò)的現(xiàn)有狀況，對安全需求進行分析，采取必要的網(wǎng)絡(luò)安全策略，使網(wǎng)絡(luò)安全問題所造成的影響降到最低。在校園網(wǎng)建設(shè)中，很多校園網(wǎng)由于系統(tǒng)管理不善，安全保障措施不力，病毒通過系統(tǒng)漏洞、郵件等途徑在校園網(wǎng)傳播和泛濫，導致校園網(wǎng)成為計算機病毒滋生和泛濫的溫床，給校園網(wǎng)信息系統(tǒng)的應(yīng)用、管理和維護帶來巨大的負面影響。

2.高校校園網(wǎng)信息安全的現(xiàn)狀

高校本身是研究和探索新科技、傳授新知識的場所，儲存了大量的科研成果和技術(shù)資料，是信息安全受到威脅的“集中營”。例如今年四月份，我校的域名被攻擊，導致我校的主頁面打不開、網(wǎng)速變慢等一些問題，給老師和同學們帶來了不便。

2.1工作人員對信息系統(tǒng)的應(yīng)急處理能力不強，防范水平不高。

高校辦公室工作人員大都是非計算機專業(yè)的人員，計算機知識相對缺乏，對信息安全的防范意識尤為薄弱，缺乏對系統(tǒng)的基本維護能力，這勢必給高校校園網(wǎng)的信息安全造成威脅。

2.2信息安全管理觀念薄弱，負責信息安全人員的意識不強。

高校校園網(wǎng)用戶對安全意識以及防范能力沒有足夠重視，且認為防范信息安全是網(wǎng)絡(luò)信息或?qū)I(yè)人員的事情，與個人無關(guān)。負責信息安全人員把計算機安裝還原卡當作“萬事通”，只對出問題的計算機進行檢查并未對高校網(wǎng)絡(luò)檢查等。2.3信息安全保障管理機構(gòu)和組織隊伍不健全

對于高校校園網(wǎng)，信息瀏覽人數(shù)多，流量大，加大了信息安全人員對其管理和維護難度。且高校普遍存在維護人員短缺、工作機制不完善、隊伍不健全、無法及時響應(yīng)、快速解決，不能很好地保證校園網(wǎng)絡(luò)方便、快捷、規(guī)范地運行。2.4信息系統(tǒng)安全保障的必要設(shè)施短缺

信息系統(tǒng)軟硬件的內(nèi)在缺陷不僅直接造成系統(tǒng)癱瘓，還會為一些人為的惡意攻擊提供機會。應(yīng)用軟件的缺陷造成計算機信息系統(tǒng)的故障，降低系統(tǒng)安全性能，而設(shè)備的不完善、不更新，也給惡意攻擊有機可乘。2.5信息安全管理制度和標準缺乏開發(fā)性

我國的信息安全管理制度結(jié)構(gòu)比較單一，層次較低，難以適應(yīng)信息網(wǎng)絡(luò)技術(shù)發(fā)展的需要和日新月異帶來的信息安全問題。我國現(xiàn)行的信息安全管理制度基本上 是一些保護條例、管理辦法，缺少系統(tǒng)規(guī)范網(wǎng)絡(luò)行為的相應(yīng)法律。

3.校園網(wǎng)絡(luò)面臨的安全威脅

中國的校園網(wǎng)一般都最先應(yīng)用最先進的網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍。然而校園網(wǎng)由于自身的特點也是安全問題比較突出的地方，它既存在著自然因素導致的安全隱患，也存在著人為等諸多因素導致的危險，同時校園網(wǎng)絡(luò)的安全管理也更為復雜、困難。3.1 校園網(wǎng)的物理安全及自身的缺陷威脅

① 系統(tǒng)漏洞。系統(tǒng)漏洞是造成系統(tǒng)的安全風險的主要因素。雖然操作系統(tǒng)的功能及安全性日趨完善, 但仍存在著很多漏洞。由于操作系統(tǒng)的程序是可以動態(tài)鏈接的,包括I/O的驅(qū)動程序與系統(tǒng)服務(wù)均可以采用打補丁的方式進行升級。但這種軟件廠商使用的方法同樣也為黑客打開方便之門。如有名的Windows DCOM蠕蟲病毒就是利用Windows DCOM MS03-26漏洞進行攻擊的。另一方面系統(tǒng)管理員或使用人員對復雜的系統(tǒng)和自身的安全機制了解不夠、配置不當，從而形成安全隱患。還有操作系統(tǒng)自身設(shè)置不當也會留下安全隱患。

② 系統(tǒng)架構(gòu)缺乏安全策略。多數(shù)校園網(wǎng)普遍采用基于以太網(wǎng)技術(shù)且采用開放的網(wǎng)絡(luò)架構(gòu)，本身就不具備必要的安全策略。雖然隨著技術(shù)不斷更新，安全管理方面有所變化，但大多數(shù)校園網(wǎng)管還是采用一種單

一、被動、缺乏主動性和靈活性的基于網(wǎng)絡(luò)設(shè)備的集中式的安全策略，根本無法適應(yīng)現(xiàn)行的網(wǎng)絡(luò)規(guī)范。另外，大多的校園網(wǎng)用戶并發(fā)上網(wǎng)現(xiàn)象普遍突出，集中式管理往往又會造成用戶認證時間過長或認證無效等問題。

③ 物理安全威脅。網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等網(wǎng)絡(luò)設(shè)備和物理鏈路等基礎(chǔ)設(shè)施的不可用，如設(shè)備被盜、被毀壞，鏈路老化或被有意或者無意的破壞。因電子輻射造成信息泄露、設(shè)備意外故障、停電、雷擊以及其它自然災(zāi)害、有害氣體的破壞等等物理方面的因素，對校園網(wǎng)的正常運行構(gòu)成威脅。

3.2 來自校園網(wǎng)內(nèi)部的安全威脅

高校學生他們會把學校的網(wǎng)絡(luò)當作一個實驗環(huán)境，測試各種網(wǎng)絡(luò)功能。一些學生用自己的計算機和操作系統(tǒng)配置一個DHCP SEVER使在網(wǎng)絡(luò)上的計算機從假冒的 DHCP SEVER了解到IP地址，導致合法用戶不能登陸到DHCP提供的正確IP 地址而無法使用網(wǎng)絡(luò)資源。另外很多學生通過網(wǎng)絡(luò)在線看電影、聽音樂、聊天，占據(jù)了寶貴的網(wǎng)絡(luò)資源，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播?？傊?，來自校園網(wǎng)內(nèi)部的安全隱患所造成的破壞力、影響、威脅都是非常大的。3.3 來自外部互聯(lián)網(wǎng)的安全威脅

幾乎所有校園網(wǎng)絡(luò)都是利用Internet 技術(shù)構(gòu)建的，同時又與 Internet 相連。網(wǎng)絡(luò)用戶可以直接訪問互聯(lián)網(wǎng)的資源，同樣任何能上互聯(lián)網(wǎng)的用戶也可以直接訪問校園網(wǎng)的資源。這對宣傳學校、擴大學校的影響和知名度很有好處，但Internet 的共享性和開放性使網(wǎng)上信息安全存在先天不足，在帶來方便的同時，也帶來安全風險。

3.4 黑客、拒絕式服務(wù)、病毒帶來的安全威脅

① 黑客攻擊。隨著網(wǎng)絡(luò)的迅猛發(fā)展，黑客攻擊活動日益猖獗。校園網(wǎng)在接入Internet的時候，即使有防火墻的保護，由于技術(shù)本身的局限或錯誤配置等原因，仍很難保證校園網(wǎng)不遭到黑客攻擊。

② 拒絕式服務(wù)。是指惡意地向被攻擊服務(wù)器發(fā)送信息洪流，占用計算機設(shè)備的資源而造成正常的服務(wù)請求被中斷，使網(wǎng)絡(luò)運行速度變慢甚至處于一種癱瘓狀態(tài)。

③ 病毒的危害。網(wǎng)絡(luò)病毒, 無論是在傳播速度, 破壞性, 還是在傳播范圍等方面都遠遠超過了單機病毒。如當今流行的蠕蟲病毒, 通過電子郵件、網(wǎng)絡(luò)共享或主動掃描等方式從客戶端感染校園網(wǎng)的web服務(wù)器。還有通過網(wǎng)絡(luò)傳播病毒或惡意腳本文件，干擾用戶的正常使用，如凍結(jié)注冊表、修改設(shè)置等。計算機病毒對計算機的攻擊，輕則使系統(tǒng)變慢，破壞文件，重則使硬件遭到破壞，網(wǎng)絡(luò)遭到病毒攻擊，則使網(wǎng)絡(luò)堵塞及癱瘓。

4.校園網(wǎng)絡(luò)的安全對策

如何能夠保證網(wǎng)絡(luò)的安全運行，同時又能提供豐富的網(wǎng)絡(luò)資源，達到辦公、教學以及學生上網(wǎng)的多種需求成為了一個難題。網(wǎng)絡(luò)安全問題 , 不是單純的技術(shù)問題，而是一個系統(tǒng)工程。因此必須從系統(tǒng)的觀點去考慮。下面就校園網(wǎng)安全問題提出一些對策、措施。4.1 物理安全措施

物理安全的目的是保護路由器、交換機、工作站、各種網(wǎng)絡(luò)服務(wù)器、打印機 等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊；確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境；妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行破壞活動。其中包括：設(shè)立實物安全周界，實物進入控制，設(shè)施安全考慮（防塵、防火、防洪、防雷等），安全區(qū)域內(nèi)工作的規(guī)范規(guī)程，設(shè)備供電安全，通信電纜安全（防搭線），設(shè)備維護，運行日志以及電磁屏蔽、抑制和防止電磁泄漏等相關(guān)制度與技術(shù)。4.2 系統(tǒng)配置及軟件設(shè)置安全措施

要從系統(tǒng)配置及軟件設(shè)置上使得網(wǎng)絡(luò)更安全，主要做到以下幾個方面：一要關(guān)閉不必要的服務(wù)端口，取消服務(wù)器上不用的服務(wù)和協(xié)議種類。二要設(shè)置系統(tǒng)運行日志。通過運行系統(tǒng)日志，記錄下所有用戶使用系統(tǒng)的情形，分析日志文件，發(fā)現(xiàn)異常情況，及時防范。三要及時安裝系統(tǒng)補丁和更新服務(wù)方軟件。新版本的服務(wù)軟件能夠提供更多更好的功能，保證這些設(shè)備更有效更安全地運行。四要定期檢查系統(tǒng)安全性。通過安全檢測工具，在防火墻外對網(wǎng)絡(luò)內(nèi)所有的服務(wù)器和客戶機進行端口掃描，并檢查用戶口令的安全性以及各用戶對網(wǎng)絡(luò)設(shè)備訪問的合法性等。五要封鎖系統(tǒng)安全漏洞。黑客之所以得以非法訪問系統(tǒng)資源和數(shù)據(jù)，很多情況下是因為操作系統(tǒng)和各種應(yīng)用軟件的設(shè)計漏洞或者管理上的漏洞所致。在制定訪問控制策略時，不要忘記封鎖系統(tǒng)安全漏洞。4.3 校園網(wǎng)絡(luò)電子郵件安全策略

保障電子郵件安全的唯一一種辦法是讓攻擊者截獲了數(shù)據(jù)包但無法閱讀它。目前在校園網(wǎng)絡(luò)上可以采用如下策略來實現(xiàn)電子郵件的安全：

一、利用S/MIME來實現(xiàn)。S/MIME是一種安全的電子郵件格式，它采用一種消息加密與數(shù)字簽名格式，是一種已被接受的標準。

二、利用PGP。PGP是一個基于RSA公鑰加密體系的郵件加密軟件。可以用它對你的郵件保密，以防止非授權(quán)者閱讀，它還能對你的郵件加上數(shù)字簽名從而使收信人可以確信郵件是你發(fā)來的。讓你可以安全地與人們通訊，事先并不需要任何保密的渠道用來傳遞密鑰。

三、利用PEM。PEM是增強Internet電子郵件隱秘性的標準草案，它在Internet電子郵件的標準格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，并能夠支持多種加密工具。

四、利用MOSS。MOSS（MIME對象安全服務(wù)）是將PEM和MIME兩者的特性進行了結(jié)合。

五、采用安全網(wǎng)關(guān)。最便捷的途徑是 采用電子郵件安全網(wǎng)關(guān)，即電子郵件防火墻。使進入或輸出的每一條消息都經(jīng)過網(wǎng)關(guān)，從而使安全政策可以被執(zhí)行。4.4 正確配置路由器

對于大多數(shù)校園網(wǎng)來說，路由器已經(jīng)成為正在使用之中的最重要的安全設(shè)備之一。一般來說，大多數(shù)校園網(wǎng)絡(luò)都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。經(jīng)過恰當?shù)脑O(shè)置，邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網(wǎng)絡(luò)之外。

一、修改默認的口令。據(jù)國外調(diào)查顯示，80%的安全突破事件是由薄弱的口令引起的。

二、關(guān)閉IP直接廣播（IP Directed Broadcast）。Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應(yīng)。這種情況至少會降低你的網(wǎng)絡(luò)性能。

三、如果可能，關(guān)閉路由器的HTTP設(shè)置。

四、封鎖ICMP ping請求。ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應(yīng)答能力，你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”（script kiddies）。

五、關(guān)閉IP源路由。IP協(xié)議允許一臺主機指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)的路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個功能的合法的應(yīng)用是用于診斷連接故障。但是，這種用途很少應(yīng)用。除非指定這項功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個功能。

六、確定你的數(shù)據(jù)包過濾的需求。在這種規(guī)定中，除了網(wǎng)路功能需要的之外，所有的端口和IP地址都必要要封鎖。

七、建立準許進入和外出的地址過濾政策。在你的邊界路由器上建立策略以便根據(jù)IP地址過濾進出網(wǎng)絡(luò)的違反安全規(guī)定的行為。

八、審閱安全記錄。審閱你的路由器記錄（通過其內(nèi)置的防火墻功能）是查出安全事件的最有效的方法。利用出網(wǎng)的記錄，用心的安全管理員在病毒傳播者作出反應(yīng)之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。4.5 建立統(tǒng)一的身份認證系統(tǒng)

認證是網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)之一，其目的是實現(xiàn)身份鑒別服務(wù)、訪問控制服務(wù)、機密性服務(wù)和不可否認服務(wù)等。校園網(wǎng)與Internet沒有實施物理隔離，但是，對于運行內(nèi)部管理信息系統(tǒng)的內(nèi)網(wǎng) , 建立其統(tǒng)一的身份認證系統(tǒng)仍然是非常必要的 , 以便對數(shù)字證書的生成、審批、發(fā)放、廢止、查詢等進行統(tǒng)一管 理。只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題。同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證。校園網(wǎng)用戶不但要通過統(tǒng)一的身份認證系統(tǒng)確認，而且合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控。

4.6 服務(wù)器訪問控制策略

像服務(wù)器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備，避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問，在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。限制諸如chargen、echo、日期等這些簡單的TCP 協(xié)議。因為很多網(wǎng)絡(luò)測試工具可以利用這些特定的協(xié)議, 對網(wǎng)絡(luò)實施DOS 入侵。

4.7培養(yǎng)高素質(zhì)的安全運行維護隊伍

高?？梢越M建一支以學生為主體的安全運行維護隊伍，由網(wǎng)絡(luò)中心統(tǒng)一領(lǐng)導，中心專業(yè)老師負責對學生等用戶進行安全管理方面的培訓和指導，加強校園網(wǎng)的管理和維護力量，力爭對突發(fā)安全事件做到及時響應(yīng)，快速解決，保證校園網(wǎng)方便、快捷、規(guī)范地運行。這樣不但能解決由于經(jīng)費和維護人員不足造成的困難，而且也可以通過讓學生參與校園網(wǎng)的管理維護，來鍛煉他們的實際動手能力，為今后的工作奠定良好的基礎(chǔ)。4.8制定完善安全管理規(guī)章制度

安全管理貫穿于安全防范體系的始終，是保證網(wǎng)絡(luò)安全的基礎(chǔ)。各部門配備專職的信息安全管理人員，落實建立信息安全責任制度和工作章程，負責并保證組織內(nèi)部的信息安全。管理人員必須做到及時進行漏洞修補、定期軟件升級和定期安全系統(tǒng)巡檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理。同時必須制訂一系列的安全管理制度，并遵循可操作、動態(tài)性、管理與技術(shù)的有機結(jié)合等原則，使校園網(wǎng)的信息安全工作進一步走向規(guī)范化和制度化。4.9利用多種形式進行信息安全教育

高校應(yīng)利用多種形式進行信息安全教育:①是利用行政手段，通過各種會議進行信息安全教育;②是利用教育手段，通過信息安全學術(shù)研討會、安全知識競賽、安全知識講座等進行信息安全教育;③是利用學校傳播媒介、輿論工具等手段，通過?？?、校報、校園網(wǎng)絡(luò)、廣播、宣傳欄等進行信息安全教育。建議我校開展全校學生的信息安全教育。4.10構(gòu)建良好的校園文化氛圍

信息安全是高校實現(xiàn)教育信息化的頭等大事，除先進的安全技術(shù)、完善的安全管理外，良好的校園文化氛圍也是保證高校信息安全工作順利開展的前提。

5.結(jié)束語

校園網(wǎng)信息安全是一項復雜的系統(tǒng)工程，不能僅僅依靠某一方面的安全策略，而需要仔細考慮系統(tǒng)的安全需求，網(wǎng)絡(luò)信息安全涉及的內(nèi)容既有技術(shù)方面的問題，又有管理方面的問題，應(yīng)加強從網(wǎng)絡(luò)信息安全技術(shù)和網(wǎng)絡(luò)信息安全管理兩個方面來進行網(wǎng)絡(luò)信息安全部署，盡可能的為校園網(wǎng)提供安全可靠的網(wǎng)絡(luò)運行環(huán)境。面對日益復雜的高校校園網(wǎng)信息安全及與日俱增的安全威脅，高校校園網(wǎng)的安全建設(shè)必須以了解校園網(wǎng)信息安全的現(xiàn)狀為前提。通過信息安全培訓加強所有用戶的安全意識，從而完善安全防范體系賴以生存的大環(huán)境，有效地實現(xiàn)校園網(wǎng)可靠、穩(wěn)定地運行，創(chuàng)造出一個安全、便捷的網(wǎng)絡(luò)應(yīng)用環(huán)境，有效地保障校園網(wǎng)的安全，提高網(wǎng)絡(luò)信息的保密性、完整性和可用性。

參考文獻: [1] 段云所.信息安全概論.高等教育出版社.2003.9 [2] 高峽，陳智罡，袁宗福.網(wǎng)絡(luò)設(shè)備互聯(lián)學習指南.科學出版社2009.4 [3] 張武軍.高校校園網(wǎng)安全整體解決方案研究.電子科技.2006 年第3 期.[4] 朱海虹．淺談網(wǎng)絡(luò)安全技術(shù)．科技創(chuàng)新導報，2007，32：32． [5] 符彥惟．計算機網(wǎng)絡(luò)安全實用技術(shù).清華大學出版社.2008．9 [6] 王育民.通信網(wǎng)的安全—理論與技術(shù).西安電子科技大學出版社.2000 [7] 段云所.個人防火墻.人民郵電出版社.2002 [8] 黎萍等.網(wǎng)絡(luò)安全與管理與Windows2000.人民郵電出版社.2000 [9] 唐正軍.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn).電子工業(yè)出版社.2000 [10] 盧開成.計算機密碼學.清華大學出版社.1998

第五篇：信息安全概論考試總結(jié)

信息安全概論知識點

一．名詞解釋

1.信息安全：信息安全是指信息網(wǎng)絡(luò)的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞，更改，泄露，系統(tǒng)連續(xù)可靠地運行，信息服務(wù)不中斷。

2.安全漏洞：指計算機系統(tǒng)具有的某種可能被入侵者惡意利用的屬性，在計算機安全領(lǐng)域，安全漏洞通常又稱作脆弱性。

3.緩沖區(qū)溢出：是一種非常普遍，非常危險的漏洞，在各種操作系統(tǒng)，應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導致系統(tǒng)運行失敗，系統(tǒng)死機，重新啟動等后果。

4.網(wǎng)絡(luò)后門：是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。

5.計算機病毒：是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

6.惡意軟件：俗稱流氓軟件，是對破壞系統(tǒng)正常運行的軟件的總稱。惡意軟件介于病毒軟件和正規(guī)軟件之間，同時具備正常功能（下載，媒體播放等）和惡意行為（彈廣告，開后門），給用戶帶來實質(zhì)危害。7.防火墻：位于可行網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間并對二者之間流動的數(shù)據(jù)包進行檢查的一臺，多臺計算機或路由器。

8.入侵檢測：是從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點搜集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否有違反安全策略的行為和遭遇襲擊的跡象的一種機制。

9.異常檢測技術(shù)：也稱基于行為的檢測，是指根據(jù)使用者的行為或資源使用情況來判斷是否發(fā)生入侵，而不依賴于具體行為是否出現(xiàn)來檢測。

10.誤用檢測技術(shù)：也稱基于知識的檢測，它是指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。11.VPN:是一種能夠?qū)⑽锢砩戏植荚诓煌攸c的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。

12.對稱加密算法：是用加密數(shù)據(jù)使用的密鑰可以計算出用于解密數(shù)據(jù)的密鑰。

13.非對稱加密算法：是指用于加密的密鑰和用于解密的密鑰是不同的，而且從加密的密鑰無法推導出解密的密鑰。

14.散列函數(shù)：也稱為Hash函數(shù)，雜湊函數(shù)，哈希函數(shù)，哈希算法，散列算法或消息摘要算法。它通過把單項數(shù)學函數(shù)應(yīng)用于數(shù)據(jù)，將任意長度的一塊數(shù)據(jù)轉(zhuǎn)化成一定長的，不可逆轉(zhuǎn)的數(shù)據(jù)。

15.蜜罐：是當前最流行的一種陷阱及偽裝手段。主要用于監(jiān)視并探測潛在的攻擊行為。

二．簡答：

1.網(wǎng)絡(luò)監(jiān)聽的工作原理

當一個局域網(wǎng)采用共享Hub時，當用戶發(fā)送一個報文時，這些報文會被發(fā)送到LAN上所有在線的機器。一般情況下，網(wǎng)絡(luò)上所有的機器都可以“聽”到通過的流量，但對不屬于自己的報文則不予響應(yīng)，即主機A不會捕獲發(fā)向主機B的數(shù)據(jù)，而會簡單地忽略這些數(shù)據(jù)。但是如果局域網(wǎng)中的某臺計算機的網(wǎng)絡(luò)接口處于混雜模式，那么它就可以捕獲到網(wǎng)絡(luò)上所有的報文和幀。如果一臺計算機的網(wǎng)卡被設(shè)置成這種模式，那么它就是一個監(jiān)聽器或嗅探器。

2.網(wǎng)絡(luò)監(jiān)聽的防護和檢測的主要方法

（1）網(wǎng)絡(luò)分段

（2）加密會話（3）使用檢測工具

（4）觀察異常情況 3.緩沖區(qū)溢出的原理

主要是通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他命令，以達到攻擊的目的。4.Dos攻擊方式

（1）SYN Flood工作原理：該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYN ACK后并不回應(yīng)，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK 一直維護著隊列，造成了資源大量而不能向正常請求提供服務(wù)。（2）Smurf工作原理：該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求的包，并且將源地址偽裝成想要攻擊的主機地址。自網(wǎng)上所有主機都回應(yīng)廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。5.計算機病毒的特征（1）傳染性：基本特征

（2）隱蔽性

（3）潛伏性

（4）破壞性 6.普通病毒和蠕蟲病毒的區(qū)別

普通病毒

蠕蟲病毒 存在形式：

寄存文件

獨立程序 傳染機制：

寄主程序運行

主動攻擊 傳染目標：

本地文件

網(wǎng)絡(luò)計算機 7.木馬病毒的傳播方式

通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界透漏用戶的信息。

8.物理層常用的防護手段

（1）物理位置選擇（2）物理訪問控制（3）防盜竊和防破壞（4）防雷擊（5）防火（6）防水和防潮（7）防靜電（8）溫濕度控制（9）電力供應(yīng)（10）電磁防護要求 9.防火墻的發(fā)展歷史及局限性

發(fā)展歷史：第一代：1984年

采用的技術(shù)：包過濾

第二代：1989年

采用的技術(shù)：代理服務(wù)

第三代：1992年

采用的技術(shù)：動態(tài)包過濾（狀態(tài)監(jiān)控）

第四代：1998年

采用的技術(shù)：自適應(yīng)代理服務(wù) 局限性：（1）不能防止不經(jīng)過它的攻擊，不能防止授權(quán)訪問的攻擊。

（2）只能對配置的規(guī)則有效，不能防止沒有配置的訪問。

（3）不能防止通過社交工程手段的攻擊和一個合法用戶的攻擊行為。

（4）不能針對一個設(shè)計上有問題的系統(tǒng)攻擊。10.異常檢測技術(shù)的原理及前提

原理：該技術(shù)首先假設(shè)網(wǎng)絡(luò)攻擊行為是不常見的，區(qū)別于所有正常行為。如果能夠為用戶和系統(tǒng)的所有正常行為總結(jié)活動規(guī)律并建立行為模型，那么入侵檢測系統(tǒng)可以將當前捕獲到的網(wǎng)絡(luò)行為與行為模型相比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。前提條件：入侵活動是異?；顒拥囊粋€子集，理想的情況是：一場活動集與入侵活動集相等。11.無用檢測技術(shù)的原理及前提

原理：首先要定義違背安全策略事件的特征，判別所搜集到的數(shù)據(jù)特征是否在所搜集到的入侵模式庫中出現(xiàn)。

前提：假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征。12.VPN的作用

它提供了通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部網(wǎng)絡(luò)進行遠程訪問的連接方式。

賬號保護的主要方法及手段

（1）保護guest賬戶（2）限制用戶數(shù)量（3）管理員賬戶改名（4）建陷阱賬戶 13.對稱加密算法優(yōu)缺點 優(yōu)點：加密速度快,保密度高。

缺點：分發(fā)的困難問題幾乎無法解決。密鑰是保密通信的關(guān)鍵，發(fā)信方必須安全、妥善的把密鑰送到收信方，不能泄露其內(nèi)容，密鑰的傳輸必須安全，如何才能把密鑰安全送到收信方是對稱加密體制的突出問題。

14.非對稱加密算法的優(yōu)缺點 優(yōu)點：

（1）公鑰加密技術(shù)與對稱加密技術(shù)相比，其優(yōu)勢在于不需要共享通用的密鑰。

（2）公鑰在傳遞和發(fā)布過程中即使被截獲，由于沒有與公鑰相匹配的私鑰，截獲的公鑰對入侵者沒有太大意義。

（3）密鑰少便于管理，N個用戶通信只需要N對密鑰，網(wǎng)絡(luò)中每個用戶只需要保存自己的解密密鑰。

（4）密鑰分配簡單，加密密鑰分發(fā)給用戶，而解密密鑰由用戶自己保留。

缺點：加密算法復雜，加密和解密的速度比較慢。15.硬盤丟失數(shù)據(jù)的注意事項

（1）在硬盤數(shù)據(jù)出現(xiàn)丟失后，請立即換機，不要在對硬盤進行任何寫操作，那樣會增大修復的難度，也會影響到修復的成功率。（2）每一步操作都應(yīng)該是可逆的或者對故障硬盤是只讀的。16.使用Easy Recovery軟件的注意事項

（1）最好在重新安裝計算機操作系統(tǒng)完后，就把Easy Recovery軟件安裝上，這樣一旦計算機有文件丟失現(xiàn)象就可以使用Easy Recovery軟件進行恢復了。

（2）不能在文件丟失以后再安裝Easy Recovery文件恢復軟件，因為這樣的話Easy Recovery軟件極有可能將要恢復的文件覆蓋了，萬一在沒有安裝Easy Recovery軟件的情況下文件丟失，這時最好不要給計算機里再復制文件?？梢詫⒂嬎銠C硬盤拔下來，放到其他已經(jīng)安裝有Easy Recovery軟件的計算機上進行恢復，或找專業(yè)的安全人員來處理。

三． 問答題：

1.信息安全體系結(jié)構(gòu)

應(yīng)用安全：（1）數(shù)據(jù)庫加固（2）安全監(jiān)控

（3）電子文檔

（4）安全身份認證統(tǒng)一授權(quán)

系統(tǒng)安全：（1）容災(zāi)備份

（2）系統(tǒng)加固

（3）HIDS NIDS（4）漏洞掃描 系統(tǒng)防毒

網(wǎng)絡(luò)安全：（1）VLAN劃分

（2）外網(wǎng)的入網(wǎng)訪問控制

（3）網(wǎng)絡(luò)安全邊界防火墻

（4）VPN，傳輸安全

（5）網(wǎng)絡(luò)防毒

物理安全：（1）環(huán)境安全：防火，防水，磁泄露，防震

（2）設(shè)備安全：防盜，物理隔離系統(tǒng)的設(shè)置，雙網(wǎng)隔離設(shè)備

（3）介質(zhì)安全：防盜防電 2.SQL Server 注入攻擊的原理

攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造（或者影響）動態(tài)SQL命令，或作為存儲過程的輸入?yún)?shù)，這類表單特別容易受到SQL注入式攻擊。3.黑客攻擊步驟

（1）踩點

（2）掃描

（3）入侵

（4）獲取權(quán)限

（5）提升權(quán)限（6）清除日志 4.常見的攻擊手段

（1）密碼破解攻擊 ：字典攻擊

混合攻擊

暴力攻擊

專業(yè)工具（2）緩沖區(qū)溢出攻擊

（3）欺騙攻擊：源IP地址欺騙攻擊

源路由欺騙攻擊（4）DOS/DDOS攻擊：DOS攻擊

DDOS攻擊（5）SQL注入攻擊（6）網(wǎng)絡(luò)蠕蟲（7）社會工程學 5.常見的防范手段：

（1）拋棄基于地址的信任策略（2）使用加碼方法（3）進行包過濾（4）防火墻技術(shù)

（5）確定所有服務(wù)器采用最新系統(tǒng)，并打上安全補丁。6.防火墻的體系結(jié)構(gòu)（1）雙重宿主主機體系結(jié)構(gòu)

原理：雙重宿主主機體質(zhì)圍繞雙重宿主主機構(gòu)建。雙重宿主主機至少有兩個網(wǎng)絡(luò)接口，這樣的知己可以充當外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的路由器，所以它能夠使內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的數(shù)據(jù)包直接路由通過。然而雙重宿主主機的防火墻體系結(jié)構(gòu)不允許這樣直接地通過。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)直接發(fā)送到另一個網(wǎng)絡(luò)。外部網(wǎng)絡(luò)能與雙重宿主主機通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機通信，但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，他們之間的通信必須經(jīng)過過濾和控制，一般在雙重宿主主機上安裝代理服務(wù)器軟件，可以為不同的服務(wù)提供轉(zhuǎn)發(fā)，并同時根據(jù)策略進行過濾和控制。雙重宿主主機體系結(jié)構(gòu)連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，相當于內(nèi)部外部網(wǎng)絡(luò)的跳板，能夠提供級別比較高的控制，可以完全禁止內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。（2）被屏蔽主機體系結(jié)構(gòu)

原理：被屏蔽主機體系結(jié)構(gòu)防火墻使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔開，在這種體系結(jié)構(gòu)中，主要的安全防護功能由數(shù)據(jù)包過濾提供。

（3）被屏蔽子網(wǎng)體系結(jié)構(gòu)

原理：被屏蔽子網(wǎng)體系結(jié)構(gòu)將額外的安全層添加到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單形式是兩個屏蔽路由器，每一個都連接到周邊網(wǎng)絡(luò)。一個位于周邊網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。