1.網路安全概述
[編輯本段]
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。 網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。
網路安全應具有以下四個方面的特徵:
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控制能力。
從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
隨著計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、文件處理,基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網(Intranet)、企業外部網(Extranet)、全球互連網(Internet)的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在系統處理能力提高的同時,系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基於網路連接的安全問題也日益突出,整體的網路安全主要表現在以下幾個方面:網路的物理安全、網路拓撲結構安全、網路系統安全、應用系統安全和網路管理的安全等。
因此計算機安全問題,應該象每家每戶的防火防盜問題一樣,做到防範於未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。
2.網路安全分析
[編輯本段]
2.1.物理安全分析
網路的物理安全是整個網路系統安全的前提。在校園網工程建設中,由於網路系統屬於弱電工程,耐壓值很低。因此,在網路工程的設計和施工中,必須優先考慮保護人和網路設備不受電、火災和雷擊的侵害;考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離;考慮布線系統和絕緣線、裸體線以及接地與焊接的安全;必須建設防雷系統,防雷系統不僅考慮建築物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有,地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲;高可用性的硬體;雙機多冗餘的設計;機房環境及報警系統、安全意識等,因此要盡量避免網路的物理安全風險。
2.2.網路結構的安全分析
網路拓撲結構設計也直接影響到網路系統的安全性。假如在外部和內部網路進行通信時,內部網路的機器安全就會受到威脅,同時也影響在同一網路上的許多其他系統。透過網路傳播,還會影響到連上Internet/Intrant的其他的網路;影響所及,還可能涉及法律、金融等安全敏感領域。因此,我們在設計時有必要將公開伺服器(WEB、DNS、EMAIL等)和外網及內部其它業務網路進行必要的隔離,避免網路結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。
2.3.系統的安全分析
所謂系統的安全是指整個網路操作系統和網路硬體平台是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統可以選擇,無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統,其開發廠商必然有其Back-Door。因此,我們可以得出如下結論:沒有完全安全的操作系統。不同的用戶應從不同的方面對其網路作詳盡的分析,選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬體平台,並對操作系統進行安全配置。而且,必須加強登錄過程的認證(特別是在到達伺服器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。
2.4.應用系統的安全分析
應用系統的安全跟具體的應用有關,它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。
——應用系統的安全是動態的、不斷變化的。
應用的安全涉及方面很多,以目前Internet上應用最為廣泛的E-mail系統來說,其解決方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上,主要考慮盡可能建立安全的系統平台,而且通過專業的安全工具不斷發現漏洞,修補漏洞,提高系統的安全性。
——應用的安全性涉及到信息、數據的安全性。
信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響將是很嚴重的。因此,對用戶使用計算機必須進行身份認證,對於重要信息的通訊必須授權,傳輸必須加密。採用多層次的訪問控制與許可權控制手段,實現對數據的安全保護;採用加密技術,保證網上傳輸的信息(包括管理員口令與帳戶、上傳信息等)的機密性與完整性。
2.5.管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網路的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網路便成為了首要任務。一旦上述的安全隱患成為事實,所造成的對整個網路的損失都是難以估計的。因此,網路的安全建設是校園網建設過程中重要的一環。
3.網路安全措施
[編輯本段]
3 .1.安全技術手段
——物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
——訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權,等等。
——數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
——其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來,圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權,從而保護網路資源。其他安全技術包括密鑰管理、數字簽名、認證技術、智能卡技術和訪問控制等等。
3 .2.安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
4.網路安全案例
[編輯本段]
4 .1.概況
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。信息網路涉及到國家的政府、軍事、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
近年來,計算機犯罪案件也急劇上升,計算機犯罪已經成為普遍的國際性問題。據美國聯邦調查局的報告,計算機犯罪是商業犯罪中最大的犯罪類型之一,每筆犯罪的平均金額為45000美元,每年計算機犯罪造成的經濟損失高達50億美元。
計算機犯罪大都具有瞬時性、廣域性、專業性、時空分離性等特點。通常計算機罪犯很難留下犯罪證據,這大大刺激了計算機高技術犯罪案件的發生。
計算機犯罪案率的迅速增加,使各國的計算機系統特別是網路系統面臨著很大的威脅,並成為嚴重的社會問題之一。
4 .2.國外
1996年初,據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計,有53%的企業受到過計算機病毒的侵害,42%的企業的計算機系統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。
1994年末,俄羅斯黑客弗拉基米爾?利文與其夥伴從聖彼得堡的一家小軟體公司的聯網計算機上,向美國CITYBANK銀行發動了一連串攻擊,通過電子轉帳方式,從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。
1996年8月17日,美國司法部的網路伺服器遭到黑客入侵,並將「 美國司法部」 的主頁改為「 美國不公正部」 ,將司法部部長的照片換成了阿道夫?希特勒,將司法部徽章換成了納粹黨徽,並加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。
1996年9月18日,黑客又光顧美國中央情報局的網路伺服器,將其主頁由「中央情報局」 改為「 中央愚蠢局」 。
1996年12月29日,黑客侵入美國空軍的全球網網址並將其主頁肆意改動,其中有關空軍介紹、新聞發布等內容被替換成一段簡短的黃色錄象,且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
4 .3.國內
1996年2月,剛開通不久的Chinanet受到攻擊,且攻擊得逞。
1997年初,北京某ISP被黑客成功侵入,並在清華大學「 水木清華」 BBS站的「 黑客與解密」 討論區張貼有關如何免費通過該ISP進入Internet的文章。
1997年4月23日,美國德克薩斯州內查德遜地區西南貝爾互聯網路公司的某個PPP用戶侵入中國互聯網路信息中心的伺服器,破譯該系統的shutdown帳戶,把中國互聯網信息中心的主頁換成了一個笑嘻嘻的骷髏頭。
1996年初CHINANET受到某高校的一個研究生的攻擊;96年秋,北京某ISP和它的用戶發生了一些矛盾,此用戶便攻擊該ISP的伺服器,致使服務中斷了數小時。
5.網路安全類型
[編輯本段]
運行系統安全,即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由於電磁泄漏,產生信息泄露,干擾他人,受他人干擾。
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
網路上信息傳播安全,即信息傳播後果的安全。包括信息過濾等。它側重於防止和控制非法、有害的信息進行傳播後的後果。避免公用網路上大量自由傳輸的信息失控。
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。本質上是保護用戶的利益和隱私。
6.網路安全特徵
[編輯本段]
網路安全應具有以下四個方面的特徵:
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控制能力。
7.威脅網路安全因素
[編輯本段]
自然災害、意外事故;計算機犯罪; 人為行為,比如使用不當,安全意識差等;黑客」 行為:由於黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網路協議中的缺陷,例如TCP/IP協議的安全問題等等。
8.網路安全的結構層次
[編輯本段]
8.1 物理安全
自然災害(如雷電、地震、火災等),物理損壞(如硬碟損壞、設備使用壽命到期等),設備故障(如停電、電磁干擾等),意外事故。解決方案是:防護措施,安全制度,數據備份等。
電磁泄漏,信息泄漏,干擾他人,受他人干擾,乘機而入(如進入安全進程後半途離開),痕跡泄露(如口令密鑰等保管不善)。解決方案是:輻射防護,屏幕口令,隱藏銷毀等。
操作失誤(如刪除文件,格式化硬碟,線路拆除等),意外疏漏。解決方案是:狀態檢測,報警確認,應急恢復等。
計算機系統機房環境的安全。特點是:可控性強,損失也大。解決方案:加強機房管理,運行管理,安全組織和人事管理。
8.2 安全控制
微機操作系統的安全控制。如用戶開機鍵入的口令(某些微機主板有「 萬能口令」 ),對文件的讀寫存取的控制(如Unix系統的文件屬性控制機制)。主要用於保護存貯在硬碟上的信息和數據。
網路介面模塊的安全控制。在網路環境下對來自其他機器的網路通信進程進行安全控制。主要包括:身份認證,客戶許可權設置與判別,審計日誌等。
網路互聯設備的安全控制。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制。主要通過網管軟體或路由器配置實現。
8.3 安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
8.4 安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制
9.網路加密方式
[編輯本段]
鏈路加密方式
節點對節點加密方式
端對端加密方式
10.TCP/IP協議的安全問題
[編輯本段]
TCP/IP協議數據流採用明文傳輸。
源地址欺騙(Source address spoofing)或IP欺騙(IP spoofing)。
源路由選擇欺騙(Source Routing spoofing)。
路由選擇信息協議攻擊(RIP Attacks)。
鑒別攻擊(Authentication Attacks)。
TCP序列號欺騙(TCP Sequence number spoofing)。
TCP序列號轟炸攻擊(TCP SYN Flooding Attack),簡稱SYN攻擊。
易欺騙性(Ease of spoofing)。
11.網路安全工具
[編輯本段]
掃描器:是自動檢測遠程或本地主機安全性弱點的 程序,一個好的掃描器相當於一千個口令的價值。
如何工作:TCP埠掃描器,選擇TCP/IP埠和服務(比如FTP),並記錄目標的回答,可收集關於目標主機的有用信息(是否可匿名登錄,是否提供某種服務)。掃描器告訴我們什麼:能發現目標主機的內在弱點,這些弱點可能是破壞目標主機的關鍵因素。系統管理員使用掃描器,將有助於加強系統的安全性。黑客使用它,對網路的安全將不利。
掃描器的屬性:1、尋找一台機器或一個網路。2、一旦發現一台機器,可以找出機器上正在運行的服務。3、測試哪些服務具有漏洞。
目前流行的掃描器:1、NSS網路安全掃描器,2、stroke超級優化TCP埠檢測程序,可記錄指定機器的所有開放埠。3、SATAN安全管理員的網路分析工具。4、JAKAL。5、XSCAN。
12.黑客常用的信息收集工具
[編輯本段]
信息收集是突破網路系統的第一步。黑客可以使用下面幾種工具來收集所需信息:
SNMP協議,用來查閱非安全路由器的路由表,從而了解目標機構網路拓撲的內部細節。
TraceRoute程序,得出到達目標主機所經過的網路數和路由器數。
Whois協議,它是一種信息服務,能夠提供有關所有DNS域和負責各個域的系統管理員數據。(不過這些數據常常是過時的)。
DNS伺服器,可以訪問主機的IP地址表和它們對應的主機名。
Finger協議,能夠提供特定主機上用戶們的詳細信息(注冊名、電話號碼、最後一次注冊的時間等)。
Ping實用程序,可以用來確定一個指定的主機的位置並確定其是否可達。把這個簡單的工具用在掃描程序中,可以Ping網路上每個可能的主機地址,從而可以構造出實際駐留在網路上的主機清單。
13. Internet 防火牆
[編輯本段]
Internet防火牆是這樣的系統(或一組系統),它能增強機構內部網路的安全性。
防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。要使一個防火牆有效,所有來自和去往Internet的信息都必須經過防火牆,接受防火牆的檢查。防火牆只允許授權的數據通過,並且防火牆本身也必須能夠免於滲透。
13.1 Internet防火牆與安全策略的關系
防火牆不僅僅是路由器、堡壘主機、或任何提供網路安全的設備的組合,防火牆是安全策略的一個部分。
安全策略建立全方位的防禦體系,甚至包括:告訴用戶應有的責任,公司規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及雇員培訓等。所有可能受到攻擊的地方都必須以
同樣安全級別加以保護。
僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
13.2 防火牆的好處
Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定,並且安全性等同於其中最弱的系統。
13.3 Internet防火牆的作用
Internet防火牆允許網路管理員定義一個中心「 扼制點」 來防止非法用戶,比如防止黑客、網路破壞者等進入內部網路。禁止存在安全脆弱性的服務進出網路,並抗擊來自各種路線的攻擊。Internet防火牆能夠簡化安全管理,網路的安全性是在防火牆系統上得到加固,而不是分布在內部網路的所有主機上。
在防火牆上可以很方便的監視網路的安全性,並產生報警。(注意:對一個與Internet相聯的內部網路來說,重要的問題並不是網路是否會受到攻擊,而是何時受到攻擊?誰在攻擊?)網路管理員必須審計並記錄所有通過防火牆的重要信息。如果網路管理員不能及時響應報警並審查常規記錄,防火牆就形同虛設。在這種情況下,網路管理員永遠不會知道防火牆是否受到攻擊。
Internet防火牆可以作為部署NAT(Network Address Translator,網路地址變換)的邏輯地址。因此防火牆可以用來緩解地址空間短缺的問題,並消除機構在變換ISP時帶來的重新編址的麻煩。
Internet防火牆是審計和記錄Internet使用量的一個最佳地方。網路管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸的位置,並根據機構的核算模式提供部門級計費。
『貳』 寤虹瓚鏅鴻兘鍖栧伐紼嬫柦宸ラ渶瑕佷粈涔堟柦宸ユ満姊板拰璐ㄩ噺媯嫻嬭懼囷紵
涓鑸鍦ㄦ櫤鑳藉寲宸ョ▼涓鐢ㄥ埌鐨勬満姊版湁錛氭墜鐢甸捇錛岀數閿ゃ佸啿鍑婚捇銆佸彴閽匯佸集綆″櫒銆佹墜鎸佸紡瑙掔(鏈銆佺爞杞鍒囧壊鏈恆傛鏌ュ伐鍏鋒湁錛氬畨闃茬洃鎺х郴緇熶腑榪樺彲浠ョ敤鐩戞帶緋葷粺涓撶敤嫻嬭瘯浠銆佹祴綰誇華錛堟嫻嬬綉綰垮強鐢佃瘽綰誇俊鍙鳳級錛涓囩敤琛銆佹憞琛ㄣ
鍦ㄥ厜綰ゅ伐紼嬩腑榪樹細鐢ㄥ埌鐔旀帴鍏夌氦錛岀嚎璺媯嫻嬬殑浠鍣錛屼笉榪囦竴鑸榪欎簺宸ヤ綔閮芥槸璇蜂笓涓氱殑鍏鍙告潵鍋氥
『叄』 安全工具有哪些
問題一:電力安全工器具都有哪些 這很多。自身防護用具:安全帽、絕緣靴、手套、工作服等;保護工具:驗電桿,驗電筆、接地線等;施工用具:安全帶、圍欄,標示牌等;警示用具:提示牌、警示牌、警告牌等;安全制度:工作票;操作票等。
問題二:電力安全工具都有哪些 這很多。自身防護用具:安全帽、絕緣靴、手套、工作服等;保護工具:驗電桿,驗電筆、接地線等;施工用具:安全帶、圍欄,標示牌等;警示用具:提示牌、警示牌、警告牌等;安全制度:工作票;操作票等。
問題三:殺毒軟體都有哪些,具體點。 您好
1,有騰訊電腦管家、瑞星、金山毒霸、小紅傘、諾頓等等。
2,我個人推薦您安裝騰訊電腦管家,下桐弊載地址:電腦管家官網
3,因為電腦管家本身是4+1的核芯殺毒引擎,其中包括了金山雲查殺引擎和小紅傘殺毒引擎等。而且擁有全國最大的雲病毒庫,可以輕松雲鑒定出各種流行木馬病毒和啟發性病毒。
4,電腦管家是2合1的殺毒軟體,在占內存上非常小,而且電腦管家還是一個通過了WestCoastLabs(西海岸)、AV-paratives 和 Virus Bulletin和AV-Test等國際認證的殺毒軟體哦!
如果還有其他疑問和問題,歡迎再次來電腦管家企業平台進行提問,我們將盡全力為您解答疑難
問題四:安全管理工具有哪些 安全教育、風險評價、危害辨識、過程式控制制、隱患治理、績效考核等!
問題五:電工常用的安全工具有哪些 絕緣操縱桿、絕緣手套及鞋、絕緣皮墊和絕緣站台、驗電器及攜帶型短路接地線
問題六:網路安全軟體有哪些 很多,看你什麼方面。
之前的回答裡面都是殺毒軟體,相信一定無法滿足您的回答。
您需要的比如D-D-O-S軟體有Hoic,Loic和Xoic,當然還有效率較低級的國人開發的軟體。
漏洞測試軟體比如GoolagScanner
當然,線上工具也很多,比如Shodan可以尋找到網路上的任何一個存在的東西,包括攝像頭啊,網站的後台伺服器啊,之類的,注冊的話提供詳細物理位置。
OFCORS也有專門用來攻擊的AnonymousOS和魔方滲透系統之類的。
就看你想幹嘛了。至於為什麼圓角符號,這個,如果不用你就看不到了。
問題七:安全生產用品包括哪些? 很多啊。有勞動防護用品,如手套、口罩、防護服;安全措施用具,如安全閥、爆破片
問題八:什麼是網路安全?常用的網路安全軟體有哪些 網路從外到內: 從光纖---->電腦客戶端
設備依次有: 路由器(可做埠屏蔽,帶寬管理qos,防洪水flood攻擊等)-------防火牆(有普通防火牆和UTM等,可以做網路三層埠管理、IPS(入侵檢測)、IDP(入侵檢測防禦)、安全審計認證、防病毒、防垃圾和病毒郵件、流量監控(QOS)等)--------行為管理器(可做UTM的所有功能、還有一些完全審計,網路記錄等等功能,這個比較強大)--------核心交換機(可以劃分vlan、屏蔽廣播、以及基本的acl列表)
安全的網路連接方式:現在流行的有 MPLS VPN ,SDH專線、VPN等,其中VPN常見的包括(SSL VPN \ipsec VPN\ PPTP VPN等)
問題九:網路支付安全工具都有哪些 如果你說的是支付工具,那就是支付寶安全控制項,還有各大銀行的安全控制項;如果是工具獵豹瀏覽器,火狐瀏覽器都集成了安全支付的插件
問題十:電力安全工器具都包括哪些 高壓驗電器,安全帽,絕緣拉閘桿,安全帶,攜帶型短路接地線,電力安全工器具力學性能試驗機,腳扣、電力安全圍欄、安全警掘輪激示帶、智能安全工具櫃、絕緣梯、拉線護套、驅鳥刺、多功能緊線器、電纜放線架、安全標識牌、絕緣靴手、套測試儀、地錨鑽、三角拔桿、線桿轉運判襪車、卡線器、緊線器、電纜剪刀、液壓沖孔器、機械沖孔器、液壓開孔器、螺母切開器、壓線鉗、拉線護套、 警示管 電力拉線護套、過道警示管。
『肆』 設計一個局域組網方案,提供網路結構設計、各層設備選擇及其理由
2.1方案綜述
校園主幹網通過多模光纖連接各子系統,各區域網採用快速乙太網,系統採用星形結構連接,還可擴充學校教職工住宅區.
具體方案如下:
(1) 網路具有傳遞語音、圖形、圖像等多媒體信息功能,具備性能優越的資源共享功能。
(2) 校園網中各終端間具有快速交換功能。
(3) 中心系統交換機採用虛擬網技術對網路用戶具有分類控制功能。
(4) 對網路資源的訪問提供完善的許可權控制。
(5) 網路具有防止及便於捕殺病毒功能,保證網路使用安全。
(6) 校園網與Internet網相連後具有「防火牆」過濾功能,以防止網路黑客入侵網路系統。
(7) 可以對接入Internet網的各網路用戶進行許可權控制。
2.2網路拓撲圖
2.3綜合布線系統方案
結構化布線設計應該滿足以下目標:
(1) 滿足大樓各項主要業務的需求,且兼顧未來長遠發展;
(2) 符合當前和長遠的信息傳輸要求;
(3) 布線系統設計遵從國際(ISO/IEC11801)標准和信息產業部、建設部標准;
(4) 布線系統應支持語音、數據等綜合信息的高質量傳輸,並適應各種不同類型不同廠商的計算機及網路產品;
(5) 布線系統的信息的埠採用國際標準的RJ-45插座,以統一線路規格和設備介面,是任意信息點都能接插不同類型的終端設備,如計算機、列印機、網路終端、電話機、傳真機等,一支持語音、數據、圖像等數據信息和多媒體信息的傳輸,布線系統符合綜合業務數字網ISDN的要求,以便與國內國際其他網路互聯。
校園網為園區網,建築群子系統採用光纜連接,可提供千兆位的帶寬,有充分的擴展餘地。垂直子系統則位於高層建築物的豎井內,可採用多模光纖或大對數雙絞線。管理子系統並入設備子系統,集中管理。
對於多幢樓宇,可採用多設備間的方法,分為中心設備間和樓棟設備間部分。中心設備間椒整個區域網的控制中心,內設有對外(Internet)對內通信的各種網路設備(交換機、路由器、視頻伺服器等),中心交換機通過光纜(地下直埋)與樓棟設備間的交換設備連接,以保證數據的高速傳輸。在樓棟設備間放置布線的配線架和網路設備,端接樓內來自各層的主幹線纜,並端連接網路中心的光纖。
樓內布線包括水平布線和主幹布線,水平系統採用超五類雙絞線,新的樓宇採用暗裝牆內的方式,舊的樓宇採用PVC線槽明裝的方式。
2.4網路硬體設備構選型
在本方案中,整個校園網採用層次化網路拓撲結構,核心層採用聯想LRS-6706G第三層交換機。這是一種功能強大的主幹交換機,使網路管理者能方便地監督和管理網路,同時,又能將主幹網帶寬提升到千兆速度。
LRS-6706G與工作組交換機聯想DES-6000之間採用生成樹(SpanningTree)冗餘連接,可以保證與骨幹交換機之間的備份連接。DES-6000與接入層交換機聯想DES-36241之間可採用鏈路匯聚技術,用以保證負載均衡及線路備份。通過鏈路匯聚技術可以在交換機之間連接最多4條線路,實現負載均衡線路冗餘。採用快速乙太網連接,可以達到800M帶寬,若採用千兆乙太網作多鏈路冗餘連接,最多可以實現8G帶寬,當兩個交換機之間的一條線路出現故障,傳輸的數據會快速自動切換到另外一條線路上進行傳輸,不影響網路系統的正常工作,無需人工干預。
DES-36241可以根據所需要埠的數量進行堆疊群,網路管理軟體通過一個IP地址就可以完成整個堆疊群的管理,可以實時監測交換機,並且可以通過多種方式進行顯示以便於觀察,隨時監控網路運行狀況。
用聯想LR-2501A路由器實現廣域網的路由連接,同時採用聯想LF-2000防火牆,用以提供全面的訪問策略和安全防護能力。
2.5客戶機和伺服器
2.5.1客戶機
客戶機是一種網路終端,校園網中的客戶機大多是教師機、學生機及各級管理用的PC機。在本方案中建議使用品牌PC機,售後保修,使用年限較長。
選型標准如下( 簡述):
CPU
Intel P4
硬碟
4G
主板
Micro ATX
ADSL
華為SmartAX MT800
內存
256M
Moderm
花王系列Moderm卡
顯示器
TCL MF767 純屏電腦顯示器
網卡
10、100Mbit/s
2.5.2伺服器
伺服器是網路中的控制和數據的中心,是網路中的關鍵設備之一。一般伺服器是專用的,沒有主要的用戶,它是多客戶機共享的多用戶計算機。在大型校園網中一般選用企業級伺服器作為主伺服器。它可以連接客戶機120—500台之間的網路
1、網管工作站設計
網路管理是校園網必須考慮的關鍵技術,這里的網路管理主要指網路設備及其系統的管理,它包括配置、性能、安全、故障管理等,網路管理設計需要在配置每個網路設備時,都選擇具有網路管理代理的、駐留有網路管理協議的設備。
網路管理設計的另一方面,是配置一個網路管理中心,配置網路管理平台,在平台上運行管理每個網路設備的應用軟體。網管軟體應能夠支持對網路進行設備級和系統級的管理,並能支持通用瀏覽器進行網路設備的管理及配置。
2、WWW伺服器設計
WWW應用是Intranet的標志性應用,最核心的應用服務集中在WWW伺服器上完成。因而對於WWW伺服器的設計首要考慮的就是伺服器性能問題,另外考慮到將來在Intranet平台上做應用開發的可能,對於WWW伺服器同資料庫互聯的問題也應作為重點考慮。
因為WWW伺服器是被大量實時訪問的超文本伺服器,它要求在支持大量網路實時訪問、磁碟空間、I/O吞吐能力、快速處理能力等方面具有較高的要求。
3、DNS伺服器設計
建立Intranet,其中一個必不可少的組成部分就是DNS(域名系統)。IP地址和機器名稱的統一管理由DNS(DomainNameSystem)來完成的。
4、FTP伺服器的設計
FTP是Internet中一種廣泛使用的服務,主要用來在兩台機器之間(甚至是一同系統)傳輸文件。FTP採用C/S模式,FTP客戶軟體必須與遠程FTP伺服器建立連接並登錄後才能進行文件傳輸。為了實現有效的FTP連接和登錄,用戶必須在FTP伺服器進行注冊,建立帳號,擁有合法的用戶名和口令。
5、E-mail伺服器設計
為了作到Intranet內部Mail系統同公共InternetMail系統的平滑對接,要求採用Internet公共標準的通用MAIL系統,在內部的MAIL系統同外部通信時需要一個Proxy應用作適當的轉接服務,進行相應的地址轉換工作。
6、Proxy伺服器的設計
代理伺服器是作為內部私有網路和INTERNET之間的一個網關。通過代理方式,首先可以大大降低網路使用費,另外代理可以保護區域網的安全,起到防火牆的作用。
2.5.3操作系統
伺服器採用Windows server2003企業版作為網路操作系統。工作站客戶端採用Windows XP操作系統。
具體的安裝方法與日常裝機時相同。
2.6網路配置和管理
2.6.1綜合配置和管理
校園主幹網採用一台千兆多層交換機作為中心交換機,配置多台二層交換機作為二級交換機;在網路中心配置多台工作站,一台網管工作站,一台作為連入INTERNET/CERNET的路由器,同時在路由器上配置相應的撥號訪問模塊供撥號用戶訪問校園網;二級交換機通過千兆光纖上連到主幹交換機上,構成星形的拓撲結構,使得主幹網具有較好的可擴展性和可管理性;下屬站點採用10/100M接入方式,可以實現100M到桌面.網路中心的設備配置各高校可根據方案的「需求分析」部分,本著實用、高效的原則進行選型、配置(含二級接點和其他接點交換設備的選擇)。
所有系統內的用戶,IP地址規劃由網路中心統一規劃;對於上公網的用戶,需要進行IP地址轉換(NAT),即將內部私有地址轉換為公有IP地址。這樣的好處是既節省了有限的公有IP地址資源,又對外屏蔽了內部的網路,有利於網路的安全管理。
2.6.2網路核心層設計
作為網路核心,起到網間互聯作用的路由器技術卻沒有質的突破。傳統的路由器基於軟體,協議復雜,與區域網速度相比,其數據傳輸的效率較低。隨著Internet/Intranet的迅猛發展肯B/S(瀏覽器)計算模式的廣泛應用,跨地域、跨網路的業務急劇增長,業界和用戶深感傳統的路由器在網路中的瓶頸效應,第三層交換技術應運而生。第三層交換技術也稱為IP交換技術,高速路由技術等。
在本解決方案中,整個校園網路採用層次化網路拓撲結構,在網路中心的核心層配置聯想LRS-6706G第三層交換機。通過LRS-6706G第三層交換機完成高帶寬、大容量網路層路由交換功能交換,是一種功能強大的企業網主幹交換機,使網路管理者能方便地監督和管理網路,同時,又能將主幹網帶寬提升到千兆速度。LRS-6706G配置靈活、實用。可選的擴展模塊包括一個6埠的千兆模塊,一個16埠的10/100Base-TX擴展模塊。
LRS-6706G同時提供了增強的網路傳輸能力,例如:IP路由、服務質量(QoS)、分級傳送和IP組播。網路管理員能夠隨時通過任意一個埠配置以上功能,以消除傳統路由器的瓶頸,設置優先順序給不同類型的網路傳輸及保證某些應用的流量帶寬,如視頻傳輸。
LRS-6706G提供了廣泛的管理選擇,使用Netscape或IE瀏覽器,可以很容易地通過Web方式對交換機進行配置和監控。其中包括配置IP路由、IP組播、靜態VLAN、生成樹、設置陷阱和警報,察看RMON狀態和登錄事件。也可以通過VT100模擬終端以文本界面方式設置交換機。
2.6.3網路分布層設計
在校園園區內樓宇間連接時,主要樓宇可放置聯想機箱式言主幹交換機DES-6000作為分布層交換機,與主幹第三層交換機LRS-6706採用千兆以太鏈路冗餘方式連接,用以保證主幹鏈路的冗餘不連接。DES-6000採用級不連方式,通過千兆們埠與該樓宇的聯想可堆疊交換機DES-3624L連接。使得分布層交換機和接入層交換機之間均在全雙工模式下以1G的帶寬不連接,保證分支主幹無帶寬阻塞瓶頸。
2.6.4網路接入層設計
校園網廣域網的設計主要考慮如何實現和INTERNET、CERNET的互聯。校園網的撥號網路,主要目的是解決校內和校外零散用戶以及出差在外的臨時用戶的接入服務。訪問網中的技術關鍵是撥號訪問伺服器的選擇和對撥號上網用戶的安全控制。要求路由器有簡單的防火牆功能,具有良好的擴展性,即以後撥號用戶的擴展,其它公網的接入等。根據實際需要,能夠不斷增加撥號用戶的數量
在本方案設計中,採用聯想DES-3624系列可網管、可堆疊千兆乙太網交換機作為網路的接入級交換機,即放置於每幢樓的樓層內,可用以直接接入到辦公室或住宅內部。DES-3624系列是可網管、可堆疊的高性能交換機,包括:DES-3624I交換機和DES-3624交換機。DES-3624I提供了20個固定10/100Mbit/s埠和3個插槽,分別可插3口的堆疊模塊、單口或雙口的千兆模塊以及2口10/100Mbit/s(已內置)、100Base-FX模塊;DES-3624提供了22個固定10/100Mbit/s埠和2個插槽,分別可插單口堆疊模塊(已內置)和2口10/100Mbit/s、100Base-FX模塊。
DES-3624系列交換機堆疊後,可使用於高埠密度的部門級大中型網路;提供千兆乙太網模塊可適用於上連高速率主幹網路,用以有效地緩解網路骨乾的瓶頸。
採用1台DES-3624與3台DES-3624組成一個堆疊,可提供最多94個10/100BASE-TX埠和2個千兆乙太網埠。由於該技術採用背板堆疊,堆疊時不需佔用網路埠,而且堆疊後仍可以達到線速交換。
在設計接入Internet時,本方案推薦採用區域網專線接入方式。此方式需要配備聯想接入路由器LR-2501A租用電信部門的專線並向CERNET管理部門申請IP地址及注冊域名。聯想接入路由器LR-2501A可以通過DDN專線(最高可達2.048M帶寬)、FrameRelay、X.25、ISDN撥號等方式與Internet相連,還可以按照需要靈活配置多種廣域網埠模塊,提供寬頻、具有QOS保證的遠程多媒體服務。為了保證園區網路的安全,方案中在聯想接入路由器LR-2501A後,設置一台聯想LF-2000硬體防火牆,該防火牆可及時追蹤Internet的黑客攻擊行為和方法,實現了抗攻擊和反攻擊的安全策略,為用戶提供安全可靠的服務。在網路中亦可實現實時郵件病毒檢測、實時檢測是否有入侵行為、進行快速的流量過濾、訪問控制和加密,防止外部非法用戶的侵入以及內部用戶對外部網路的不安全訪問等。
另外,某些教師或學生如果要在園區外訪問校園內部網查找資料,這些遠程訪問用戶需要撥號訪問校園內部網,這就需要校園網提供遠程訪問服務。通過配備訪問伺服器可以滿足這些需求。使用聯想DI-520和DI540訪問伺服器,安裝在本地區域網中,通過1至4個數據機(或ISDNTA)和1至4根電話線,為們於任何地方遠程訪問人員提供撥號訪問本地區域網的服務。遠程用戶只要在當地擁有1個數據機和1根電話線,通過 撥接DI-540上所連接的電話號碼,就可以使其計算機登陸,訪問校園網上的資源。
2.7校園網內部信息資源建設
內部信息資源建設包括校園辦公管理系統、多媒體電子圖書閱覽室、網路多媒體課件製作系統等。外部信息資源包括學校主頁、遠程教學、Internet信息管理等。
1、校園辦公管理系統
校園辦公管理系統可分為以下幾個模塊:校長查詢、學生管理、教工管理、課程管理、工資管理、財產管理、人事檔案管理、文件管理等。
2、多媒體網路教室
多媒體網路教室有以下幾個功能模塊:教學功能、管理功能、輔助功能等。
3、外部信息資源建設
外部信息資源建設應包括以下功能模塊:Internet功能、遠程訪問功能、電子函件功能學校主頁、討論和交流功能、住處發布功能。
{1}Internet功能及遠程訪問功能 在信息時代宣傳學校、發布學校的信息,對提高學校的知名度,同時共享教育資源非常有意義。只要學校還沒有條件通過專線上Internet,可安裝Modem讓用戶遠程撥號入網。
(2)電子函件功能 校園網信息平台應用功能強大的郵件系統,可以為每個使用者建立自己的信箱,安全保密以極大地方便了通信。許多事務處理均可以通過郵件提醒,高效便利。
(3)建立學校主頁碼 在校園網中建立學校的主頁,可以以靈活生動的方式綜合介紹學校。這是展示學校風採的最佳手段。
(4)討論和漿功能 校園網信息平台具有討論的功能,可以允許所有人就一個問題發表自己的意見,面這種討論的好處在於它可以保留討論的過程,並且不受時間和空間的限制,如教學研討、經驗交流等均是以討論的形式出現。
(5)信息發布功能 學校有許多信息需要向老師、學生或社會公布,如學校的規章制度、招生信息、教學信息等,它們共同的特點是只許看不能改,校園網信息平台的安全體系保證這一點。
2.8網路安全
2.8.1網路安全性設計
網路的安全性是評價校園網的重要指標之一,對於校園網這樣的大型園區網,網路的安全問題就越發重要。
1、 本地主機系統的安全考慮
計算機病毒是伴隨著計算機而產生的,它同時隨著計算機技術的發展而發展,在網路環境中,計算機病毒更易於傳播,其對系統的危害也是明顯的,在校園網工程中建議採用網路與單機相結合的方式來避免計算機病毒的危害。
2、 內部網安全控制
通過VLAN的劃分,利用中心交換機上高性能路由模塊的管理和控制,可以控制內部各VLAN間的訪問。
3、 外聯網的安全控制
網路的安全問題主要是由網路的開放性、無邊界性、自由性造成的,所以考慮信息網路的安全首先應該考慮把被保護的網路由開放的、無邊界的網路環境中獨立出來,成為可管理、可控制的安全的內部網路。也只有做到這一點,實現信息網路的安全才有可能,而最基本的分隔手段就是防火牆。利用防火牆,可以實現內部網與外部網路(如網際網路)之間或是內部網不同網路安全域的隔離與訪問控制,保證網路系統及網路服務的可用性。
4、 撥號訪問的安全設計
對於從外部撥號訪問中心內部區域網的用戶,由於使用公用電話網進行數據傳輸所帶來的風險,必須嚴格控制其安全性。
主要措施如下:*通過在撥號訪問伺服器後設置防火牆來實現網路的安全性,以嚴格限制撥號上網用戶所訪問的系統信息和資源。
*使用專用身份驗證伺服器,以加強對撥號用戶的身份認證。
*在數據傳輸過程中採用加密技術,防止數據被非法竊取。
5、數據的安全: ]
網路系統應能通過身份驗證實現信息的鑒別,通過存取控制達到對信息的控制,通過數字簽名或數據壓縮等演算法保證數據在傳送過程中保持完整、保證信息的機密。在實現時重點考慮信息系統整體的安全控制策略和重要設備的安全控制。
2.8.2網路防火牆
防火牆界於網路出口,將網路分成內部網路和外部網路,並認為內部網路是安全的和可信賴的,而外部網路則是不太安全和不太可信的。防火牆檢查和檢測所有進出內部網路的信息流,防止未經授權的通信進出被保護的內部網路。
防火牆除了具有包過濾功能外,通常還可以對應用層數據進行安全控制和信息過濾,對主機地址轉換(SAT)和地址隱藏(NAT),具有認證、日誌、計費等功能。防火牆的實現技術非常復雜,由於所有進出內部網路的信息都需要通過防火牆的處理,因此對其可靠性和處理效益都有很高的要求。
此設計方案選用天網防火牆,它量款國產軟體。具有嚴密的襯里監測、靈活的安全規則及詳細的訪問記錄。可從www.sky.net.cn下載安裝。
2.8.3防毒軟體
面對計算機病毒的威脅,人們都希望能做好預防工作,而不是面對事後被病毒感染破壞的殺毒和數據恢復工作。預防計算機病毒最好的方法是安裝一套防毒軟體。防毒軟體對於保持系統安全很重要。目前國內主流的反病毒軟體有KV3000、Kill、瑞星、諾頓等多種品牌,它們各有所長,而且都有自己的特殊技術作為後盾。本方案選用「瑞星殺毒軟體」。它是北京瑞星科技股份有限公司針對流行於國內外危害較大的計算機病毒和有害程序,自主研製的反病毒安全工具。可以到瑞星公司的主頁(http://www.rising.com.cn)上去獲取試用版本。
2.8.4安全建議
1.建立良好的安全習慣。例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經殺毒處理的軟體等,這些必要的習慣會使您的計算機更安全。
2.關閉或刪除系統中不需要的服務。默認情況下,許多操作系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3.經常升級安全補丁。據統計,有80%的網路病毒是通過系統安全漏洞進行傳播的,象蠕蟲王、沖擊波、震盪波等,所以我們應該定期到微軟網站去下載最新的安全補丁,以防範未然。
4.使用復雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用復雜的密碼,將會大大提高計算機的安全系數。
5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。定期看一看注冊表的自啟動項是否有可疑鍵值和內存中是否有可疑程序。
7.最好安裝專業的殺毒軟體進行全面監控。用戶還應該安裝個人防火牆軟體進行防黑將安全級別設為中、高,這樣才能有效地防止網路上的黑客攻擊。