1.网络安全概述
[编辑本段]
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
网络安全应具有以下四个方面的特征:
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性:对信息的传播及内容具有控制能力。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。
2.网络安全分析
[编辑本段]
2.1.物理安全分析
网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。
2.2.网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
2.3.系统的安全分析
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
2.4.应用系统的安全分析
应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
——应用系统的安全是动态的、不断变化的。
应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
——应用的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。
2.5.管理的安全风险分析
管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是校园网建设过程中重要的一环。
3.网络安全措施
[编辑本段]
3 .1.安全技术手段
——物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。
——访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
——数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。
——其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。
3 .2.安全防范意识
拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。
4.网络安全案例
[编辑本段]
4 .1.概况
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域。其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告,计算机犯罪是商业犯罪中最大的犯罪类型之一,每笔犯罪的平均金额为45000美元,每年计算机犯罪造成的经济损失高达50亿美元。
计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。通常计算机罪犯很难留下犯罪证据,这大大刺激了计算机高技术犯罪案件的发生。
计算机犯罪案率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
4 .2.国外
1996年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有53%的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。
1994年末,俄罗斯黑客弗拉基米尔?利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。
1996年8月17日,美国司法部的网络服务器遭到黑客入侵,并将“ 美国司法部” 的主页改为“ 美国不公正部” ,将司法部部长的照片换成了阿道夫?希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。
1996年9月18日,黑客又光顾美国中央情报局的网络服务器,将其主页由“中央情报局” 改为“ 中央愚蠢局” 。
1996年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。
4 .3.国内
1996年2月,刚开通不久的Chinanet受到攻击,且攻击得逞。
1997年初,北京某ISP被黑客成功侵入,并在清华大学“ 水木清华” BBS站的“ 黑客与解密” 讨论区张贴有关如何免费通过该ISP进入Internet的文章。
1997年4月23日,美国德克萨斯州内乍得逊地区西南贝尔互联网络公司的某个PPP用户侵入中国互联网络信息中心的服务器,破译该系统的shutdown帐户,把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。
1996年初CHINANET受到某高校的一个研究生的攻击;96年秋,北京某ISP和它的用户发生了一些矛盾,此用户便攻击该ISP的服务器,致使服务中断了数小时。
5.网络安全类型
[编辑本段]
运行系统安全,即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。
网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。
网络上信息传播安全,即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。
网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。
6.网络安全特征
[编辑本段]
网络安全应具有以下四个方面的特征:
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性:对信息的传播及内容具有控制能力。
7.威胁网络安全因素
[编辑本段]
自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客” 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
8.网络安全的结构层次
[编辑本段]
8.1 物理安全
自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故。解决方案是:防护措施,安全制度,数据备份等。
电磁泄漏,信息泄漏,干扰他人,受他人干扰,乘机而入(如进入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善)。解决方案是:辐射防护,屏幕口令,隐藏销毁等。
操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏。解决方案是:状态检测,报警确认,应急恢复等。
计算机系统机房环境的安全。特点是:可控性强,损失也大。解决方案:加强机房管理,运行管理,安全组织和人事管理。
8.2 安全控制
微机操作系统的安全控制。如用户开机键入的口令(某些微机主板有“ 万能口令” ),对文件的读写存取的控制(如Unix系统的文件属性控制机制)。主要用于保护存贮在硬盘上的信息和数据。
网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括:身份认证,客户权限设置与判别,审计日志等。
网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。
8.3 安全服务
对等实体认证服务
访问控制服务
数据保密服务
数据完整性服务
数据源点认证服务
禁止否认服务
8.4 安全机制
加密机制
数字签名机制
访问控制机制
数据完整性机制
认证机制
信息流填充机制
路由控制机制
公证机制
9.网络加密方式
[编辑本段]
链路加密方式
节点对节点加密方式
端对端加密方式
10.TCP/IP协议的安全问题
[编辑本段]
TCP/IP协议数据流采用明文传输。
源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)。
源路由选择欺骗(Source Routing spoofing)。
路由选择信息协议攻击(RIP Attacks)。
鉴别攻击(Authentication Attacks)。
TCP序列号欺骗(TCP Sequence number spoofing)。
TCP序列号轰炸攻击(TCP SYN Flooding Attack),简称SYN攻击。
易欺骗性(Ease of spoofing)。
11.网络安全工具
[编辑本段]
扫描器:是自动检测远程或本地主机安全性弱点的 程序,一个好的扫描器相当于一千个口令的价值。
如何工作:TCP端口扫描器,选择TCP/IP端口和服务(比如FTP),并记录目标的回答,可收集关于目标主机的有用信息(是否可匿名登录,是否提供某种服务)。扫描器告诉我们什么:能发现目标主机的内在弱点,这些弱点可能是破坏目标主机的关键因素。系统管理员使用扫描器,将有助于加强系统的安全性。黑客使用它,对网络的安全将不利。
扫描器的属性:1、寻找一台机器或一个网络。2、一旦发现一台机器,可以找出机器上正在运行的服务。3、测试哪些服务具有漏洞。
目前流行的扫描器:1、NSS网络安全扫描器,2、stroke超级优化TCP端口检测程序,可记录指定机器的所有开放端口。3、SATAN安全管理员的网络分析工具。4、JAKAL。5、XSCAN。
12.黑客常用的信息收集工具
[编辑本段]
信息收集是突破网络系统的第一步。黑客可以使用下面几种工具来收集所需信息:
SNMP协议,用来查阅非安全路由器的路由表,从而了解目标机构网络拓扑的内部细节。
TraceRoute程序,得出到达目标主机所经过的网络数和路由器数。
Whois协议,它是一种信息服务,能够提供有关所有DNS域和负责各个域的系统管理员数据。(不过这些数据常常是过时的)。
DNS服务器,可以访问主机的IP地址表和它们对应的主机名。
Finger协议,能够提供特定主机上用户们的详细信息(注册名、电话号码、最后一次注册的时间等)。
Ping实用程序,可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中,可以Ping网络上每个可能的主机地址,从而可以构造出实际驻留在网络上的主机清单。
13. Internet 防火墙
[编辑本段]
Internet防火墙是这样的系统(或一组系统),它能增强机构内部网络的安全性。
防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查。防火墙只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。
13.1 Internet防火墙与安全策略的关系
防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,防火墙是安全策略的一个部分。
安全策略建立全方位的防御体系,甚至包括:告诉用户应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有可能受到攻击的地方都必须以
同样安全级别加以保护。
仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
13.2 防火墙的好处
Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。
13.3 Internet防火墙的作用
Internet防火墙允许网络管理员定义一个中心“ 扼制点” 来防止非法用户,比如防止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理,网络的安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。
在防火墙上可以很方便的监视网络的安全性,并产生报警。(注意:对一个与Internet相联的内部网络来说,重要的问题并不是网络是否会受到攻击,而是何时受到攻击?谁在攻击?)网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。
Internet防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。
Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并根据机构的核算模式提供部门级计费。
‘贰’ 寤虹瓒鏅鸿兘鍖栧伐绋嬫柦宸ラ渶瑕佷粈涔堟柦宸ユ満姊板拰璐ㄩ噺妫娴嬭惧囷纻
涓鑸鍦ㄦ櫤鑳藉寲宸ョ▼涓鐢ㄥ埌镄勬満姊版湁锛氭坠鐢甸捇锛岀数阌ゃ佸啿鍑婚捇銆佸彴阍汇佸集绠″櫒銆佹坠鎸佸纺瑙掔(链銆佺爞杞鍒囧壊链恒傛镆ュ伐鍏锋湁锛氩畨阒茬洃鎺х郴缁熶腑杩桦彲浠ョ敤鐩戞带绯荤粺涓撶敤娴嬭瘯浠銆佹祴绾夸华锛堟娴嬬绣绾垮强鐢佃瘽绾夸俊鍙凤级锛涓囩敤琛銆佹憞琛ㄣ
鍦ㄥ厜绾ゅ伐绋嬩腑杩树细鐢ㄥ埌镡旀帴鍏夌氦锛岀嚎璺妫娴嬬殑浠鍣锛屼笉杩囦竴鑸杩欎簺宸ヤ綔閮芥槸璇蜂笓涓氱殑鍏鍙告潵锅氥
‘叁’ 安全工具有哪些
问题一:电力安全工器具都有哪些 这很多。自身防护用具:安全帽、绝缘靴、手套、工作服等;保护工具:验电杆,验电笔、接地线等;施工用具:安全带、围栏,标示牌等;警示用具:提示牌、警示牌、警告牌等;安全制度:工作票;操作票等。
问题二:电力安全工具都有哪些 这很多。自身防护用具:安全帽、绝缘靴、手套、工作服等;保护工具:验电杆,验电笔、接地线等;施工用具:安全带、围栏,标示牌等;警示用具:提示牌、警示牌、警告牌等;安全制度:工作票;操作票等。
问题三:杀毒软件都有哪些,具体点。 您好
1,有腾讯电脑管家、瑞星、金山毒霸、小红伞、诺顿等等。
2,我个人推荐您安装腾讯电脑管家,下桐弊载地址:电脑管家官网
3,因为电脑管家本身是4+1的核芯杀毒引擎,其中包括了金山云查杀引擎和小红伞杀毒引擎等。而且拥有全国最大的云病毒库,可以轻松云鉴定出各种流行木马病毒和启发性病毒。
4,电脑管家是2合1的杀毒软件,在占内存上非常小,而且电脑管家还是一个通过了WestCoastLabs(西海岸)、AV-paratives 和 Virus Bulletin和AV-Test等国际认证的杀毒软件哦!
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
问题四:安全管理工具有哪些 安全教育、风险评价、危害辨识、过程控制、隐患治理、绩效考核等!
问题五:电工常用的安全工具有哪些 绝缘操纵杆、绝缘手套及鞋、绝缘皮垫和绝缘站台、验电器及携带型短路接地线
问题六:网络安全软件有哪些 很多,看你什么方面。
之前的回答里面都是杀毒软件,相信一定无法满足您的回答。
您需要的比如D-D-O-S软件有Hoic,Loic和Xoic,当然还有效率较低级的国人开发的软件。
漏洞测试软件比如GoolagScanner
当然,线上工具也很多,比如Shodan可以寻找到网络上的任何一个存在的东西,包括摄像头啊,网站的后台服务器啊,之类的,注册的话提供详细物理位置。
OFCORS也有专门用来攻击的AnonymousOS和魔方渗透系统之类的。
就看你想干嘛了。至于为什么圆角符号,这个,如果不用你就看不到了。
问题七:安全生产用品包括哪些? 很多啊。有劳动防护用品,如手套、口罩、防护服;安全措施用具,如安全阀、爆破片
问题八:什么是网络安全?常用的网络安全软件有哪些 网络从外到内: 从光纤---->电脑客户端
设备依次有: 路由器(可做端口屏蔽,带宽管理qos,防洪水flood攻击等)-------防火墙(有普通防火墙和UTM等,可以做网络三层端口管理、IPS(入侵检测)、IDP(入侵检测防御)、安全审计认证、防病毒、防垃圾和病毒邮件、流量监控(QOS)等)--------行为管理器(可做UTM的所有功能、还有一些完全审计,网络记录等等功能,这个比较强大)--------核心交换机(可以划分vlan、屏蔽广播、以及基本的acl列表)
安全的网络连接方式:现在流行的有 MPLS VPN ,SDH专线、VPN等,其中VPN常见的包括(SSL VPN \ipsec VPN\ PPTP VPN等)
问题九:网络支付安全工具都有哪些 如果你说的是支付工具,那就是支付宝安全控件,还有各大银行的安全控件;如果是工具猎豹浏览器,火狐浏览器都集成了安全支付的插件
问题十:电力安全工器具都包括哪些 高压验电器,安全帽,绝缘拉闸杆,安全带,携带型短路接地线,电力安全工器具力学性能试验机,脚扣、电力安全围栏、安全警掘轮激示带、智能安全工具柜、绝缘梯、拉线护套、驱鸟刺、多功能紧线器、电缆放线架、安全标识牌、绝缘靴手、套测试仪、地锚钻、三角拔杆、线杆转运判袜车、卡线器、紧线器、电缆剪刀、液压冲孔器、机械冲孔器、液压开孔器、螺母切开器、压线钳、拉线护套、 警示管 电力拉线护套、过道警示管。
‘肆’ 设计一个局域组网方案,提供网络结构设计、各层设备选择及其理由
2.1方案综述
校园主干网通过多模光纤连接各子系统,各局域网采用快速以太网,系统采用星形结构连接,还可扩充学校教职工住宅区.
具体方案如下:
(1) 网络具有传递语音、图形、图像等多媒体信息功能,具备性能优越的资源共享功能。
(2) 校园网中各终端间具有快速交换功能。
(3) 中心系统交换机采用虚拟网技术对网络用户具有分类控制功能。
(4) 对网络资源的访问提供完善的权限控制。
(5) 网络具有防止及便于捕杀病毒功能,保证网络使用安全。
(6) 校园网与Internet网相连后具有“防火墙”过滤功能,以防止网络黑客入侵网络系统。
(7) 可以对接入Internet网的各网络用户进行权限控制。
2.2网络拓扑图
2.3综合布线系统方案
结构化布线设计应该满足以下目标:
(1) 满足大楼各项主要业务的需求,且兼顾未来长远发展;
(2) 符合当前和长远的信息传输要求;
(3) 布线系统设计遵从国际(ISO/IEC11801)标准和信息产业部、建设部标准;
(4) 布线系统应支持语音、数据等综合信息的高质量传输,并适应各种不同类型不同厂商的计算机及网络产品;
(5) 布线系统的信息的端口采用国际标准的RJ-45插座,以统一线路规格和设备接口,是任意信息点都能接插不同类型的终端设备,如计算机、打印机、网络终端、电话机、传真机等,一支持语音、数据、图像等数据信息和多媒体信息的传输,布线系统符合综合业务数字网ISDN的要求,以便与国内国际其他网络互联。
校园网为园区网,建筑群子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内,可采用多模光纤或大对数双绞线。管理子系统并入设备子系统,集中管理。
对于多幢楼宇,可采用多设备间的方法,分为中心设备间和楼栋设备间部分。中心设备间椒整个局域网的控制中心,内设有对外(Internet)对内通信的各种网络设备(交换机、路由器、视频服务器等),中心交换机通过光缆(地下直埋)与楼栋设备间的交换设备连接,以保证数据的高速传输。在楼栋设备间放置布线的配线架和网络设备,端接楼内来自各层的主干线缆,并端连接网络中心的光纤。
楼内布线包括水平布线和主干布线,水平系统采用超五类双绞线,新的楼宇采用暗装墙内的方式,旧的楼宇采用PVC线槽明装的方式。
2.4网络硬件设备构选型
在本方案中,整个校园网采用层次化网络拓扑结构,核心层采用联想LRS-6706G第三层交换机。这是一种功能强大的主干交换机,使网络管理者能方便地监督和管理网络,同时,又能将主干网带宽提升到千兆速度。
LRS-6706G与工作组交换机联想DES-6000之间采用生成树(SpanningTree)冗余连接,可以保证与骨干交换机之间的备份连接。DES-6000与接入层交换机联想DES-36241之间可采用链路汇聚技术,用以保证负载均衡及线路备份。通过链路汇聚技术可以在交换机之间连接最多4条线路,实现负载均衡线路冗余。采用快速以太网连接,可以达到800M带宽,若采用千兆以太网作多链路冗余连接,最多可以实现8G带宽,当两个交换机之间的一条线路出现故障,传输的数据会快速自动切换到另外一条线路上进行传输,不影响网络系统的正常工作,无需人工干预。
DES-36241可以根据所需要端口的数量进行堆叠群,网络管理软件通过一个IP地址就可以完成整个堆叠群的管理,可以实时监测交换机,并且可以通过多种方式进行显示以便于观察,随时监控网络运行状况。
用联想LR-2501A路由器实现广域网的路由连接,同时采用联想LF-2000防火墙,用以提供全面的访问策略和安全防护能力。
2.5客户机和服务器
2.5.1客户机
客户机是一种网络终端,校园网中的客户机大多是教师机、学生机及各级管理用的PC机。在本方案中建议使用品牌PC机,售后保修,使用年限较长。
选型标准如下( 简述):
CPU
Intel P4
硬盘
4G
主板
Micro ATX
ADSL
华为SmartAX MT800
内存
256M
Moderm
花王系列Moderm卡
显示器
TCL MF767 纯屏电脑显示器
网卡
10、100Mbit/s
2.5.2服务器
服务器是网络中的控制和数据的中心,是网络中的关键设备之一。一般服务器是专用的,没有主要的用户,它是多客户机共享的多用户计算机。在大型校园网中一般选用企业级服务器作为主服务器。它可以连接客户机120—500台之间的网络
1、网管工作站设计
网络管理是校园网必须考虑的关键技术,这里的网络管理主要指网络设备及其系统的管理,它包括配置、性能、安全、故障管理等,网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的、驻留有网络管理协议的设备。
网络管理设计的另一方面,是配置一个网络管理中心,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
2、WWW服务器设计
WWW应用是Intranet的标志性应用,最核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题,另外考虑到将来在Intranet平台上做应用开发的可能,对于WWW服务器同数据库互联的问题也应作为重点考虑。
因为WWW服务器是被大量实时访问的超文本服务器,它要求在支持大量网络实时访问、磁盘空间、I/O吞吐能力、快速处理能力等方面具有较高的要求。
3、DNS服务器设计
建立Intranet,其中一个必不可少的组成部分就是DNS(域名系统)。IP地址和机器名称的统一管理由DNS(DomainNameSystem)来完成的。
4、FTP服务器的设计
FTP是Internet中一种广泛使用的服务,主要用来在两台机器之间(甚至是一同系统)传输文件。FTP采用C/S模式,FTP客户软件必须与远程FTP服务器建立连接并登录后才能进行文件传输。为了实现有效的FTP连接和登录,用户必须在FTP服务器进行注册,建立帐号,拥有合法的用户名和口令。
5、E-mail服务器设计
为了作到Intranet内部Mail系统同公共InternetMail系统的平滑对接,要求采用Internet公共标准的通用MAIL系统,在内部的MAIL系统同外部通信时需要一个Proxy应用作适当的转接服务,进行相应的地址转换工作。
6、Proxy服务器的设计
代理服务器是作为内部私有网络和INTERNET之间的一个网关。通过代理方式,首先可以大大降低网络使用费,另外代理可以保护局域网的安全,起到防火墙的作用。
2.5.3操作系统
服务器采用Windows server2003企业版作为网络操作系统。工作站客户端采用Windows XP操作系统。
具体的安装方法与日常装机时相同。
2.6网络配置和管理
2.6.1综合配置和管理
校园主干网采用一台千兆多层交换机作为中心交换机,配置多台二层交换机作为二级交换机;在网络中心配置多台工作站,一台网管工作站,一台作为连入INTERNET/CERNET的路由器,同时在路由器上配置相应的拨号访问模块供拨号用户访问校园网;二级交换机通过千兆光纤上连到主干交换机上,构成星形的拓扑结构,使得主干网具有较好的可扩展性和可管理性;下属站点采用10/100M接入方式,可以实现100M到桌面.网络中心的设备配置各高校可根据方案的“需求分析”部分,本着实用、高效的原则进行选型、配置(含二级接点和其他接点交换设备的选择)。
所有系统内的用户,IP地址规划由网络中心统一规划;对于上公网的用户,需要进行IP地址转换(NAT),即将内部私有地址转换为公有IP地址。这样的好处是既节省了有限的公有IP地址资源,又对外屏蔽了内部的网络,有利于网络的安全管理。
2.6.2网络核心层设计
作为网络核心,起到网间互联作用的路由器技术却没有质的突破。传统的路由器基于软件,协议复杂,与局域网速度相比,其数据传输的效率较低。随着Internet/Intranet的迅猛发展肯B/S(浏览器)计算模式的广泛应用,跨地域、跨网络的业务急剧增长,业界和用户深感传统的路由器在网络中的瓶颈效应,第三层交换技术应运而生。第三层交换技术也称为IP交换技术,高速路由技术等。
在本解决方案中,整个校园网络采用层次化网络拓扑结构,在网络中心的核心层配置联想LRS-6706G第三层交换机。通过LRS-6706G第三层交换机完成高带宽、大容量网络层路由交换功能交换,是一种功能强大的企业网主干交换机,使网络管理者能方便地监督和管理网络,同时,又能将主干网带宽提升到千兆速度。LRS-6706G配置灵活、实用。可选的扩展模块包括一个6端口的千兆模块,一个16端口的10/100Base-TX扩展模块。
LRS-6706G同时提供了增强的网络传输能力,例如:IP路由、服务质量(QoS)、分级传送和IP组播。网络管理员能够随时通过任意一个端口配置以上功能,以消除传统路由器的瓶颈,设置优先级给不同类型的网络传输及保证某些应用的流量带宽,如视频传输。
LRS-6706G提供了广泛的管理选择,使用Netscape或IE浏览器,可以很容易地通过Web方式对交换机进行配置和监控。其中包括配置IP路由、IP组播、静态VLAN、生成树、设置陷阱和警报,察看RMON状态和登录事件。也可以通过VT100仿真终端以文本界面方式设置交换机。
2.6.3网络分布层设计
在校园园区内楼宇间连接时,主要楼宇可放置联想机箱式言主干交换机DES-6000作为分布层交换机,与主干第三层交换机LRS-6706采用千兆以太链路冗余方式连接,用以保证主干链路的冗余不连接。DES-6000采用级不连方式,通过千兆们端口与该楼宇的联想可堆叠交换机DES-3624L连接。使得分布层交换机和接入层交换机之间均在全双工模式下以1G的带宽不连接,保证分支主干无带宽阻塞瓶颈。
2.6.4网络接入层设计
校园网广域网的设计主要考虑如何实现和INTERNET、CERNET的互联。校园网的拨号网络,主要目的是解决校内和校外零散用户以及出差在外的临时用户的接入服务。访问网中的技术关键是拨号访问服务器的选择和对拨号上网用户的安全控制。要求路由器有简单的防火墙功能,具有良好的扩展性,即以后拨号用户的扩展,其它公网的接入等。根据实际需要,能够不断增加拨号用户的数量
在本方案设计中,采用联想DES-3624系列可网管、可堆叠千兆以太网交换机作为网络的接入级交换机,即放置于每幢楼的楼层内,可用以直接接入到办公室或住宅内部。DES-3624系列是可网管、可堆叠的高性能交换机,包括:DES-3624I交换机和DES-3624交换机。DES-3624I提供了20个固定10/100Mbit/s端口和3个插槽,分别可插3口的堆叠模块、单口或双口的千兆模块以及2口10/100Mbit/s(已内置)、100Base-FX模块;DES-3624提供了22个固定10/100Mbit/s端口和2个插槽,分别可插单口堆叠模块(已内置)和2口10/100Mbit/s、100Base-FX模块。
DES-3624系列交换机堆叠后,可使用于高端口密度的部门级大中型网络;提供千兆以太网模块可适用于上连高速率主干网络,用以有效地缓解网络骨干的瓶颈。
采用1台DES-3624与3台DES-3624组成一个堆叠,可提供最多94个10/100BASE-TX端口和2个千兆以太网端口。由于该技术采用背板堆叠,堆叠时不需占用网络端口,而且堆叠后仍可以达到线速交换。
在设计接入Internet时,本方案推荐采用局域网专线接入方式。此方式需要配备联想接入路由器LR-2501A租用电信部门的专线并向CERNET管理部门申请IP地址及注册域名。联想接入路由器LR-2501A可以通过DDN专线(最高可达2.048M带宽)、FrameRelay、X.25、ISDN拨号等方式与Internet相连,还可以按照需要灵活配置多种广域网端口模块,提供宽带、具有QOS保证的远程多媒体服务。为了保证园区网络的安全,方案中在联想接入路由器LR-2501A后,设置一台联想LF-2000硬件防火墙,该防火墙可及时追踪Internet的黑客攻击行为和方法,实现了抗攻击和反攻击的安全策略,为用户提供安全可靠的服务。在网络中亦可实现实时邮件病毒检测、实时检测是否有入侵行为、进行快速的流量过滤、访问控制和加密,防止外部非法用户的侵入以及内部用户对外部网络的不安全访问等。
另外,某些教师或学生如果要在园区外访问校园内部网查找资料,这些远程访问用户需要拨号访问校园内部网,这就需要校园网提供远程访问服务。通过配备访问服务器可以满足这些需求。使用联想DI-520和DI540访问服务器,安装在本地局域网中,通过1至4个调制解调器(或ISDNTA)和1至4根电话线,为们于任何地方远程访问人员提供拨号访问本地局域网的服务。远程用户只要在当地拥有1个调制解调器和1根电话线,通过 拨接DI-540上所连接的电话号码,就可以使其计算机登陆,访问校园网上的资源。
2.7校园网内部信息资源建设
内部信息资源建设包括校园办公管理系统、多媒体电子图书阅览室、网络多媒体课件制作系统等。外部信息资源包括学校主页、远程教学、Internet信息管理等。
1、校园办公管理系统
校园办公管理系统可分为以下几个模块:校长查询、学生管理、教工管理、课程管理、工资管理、财产管理、人事档案管理、文件管理等。
2、多媒体网络教室
多媒体网络教室有以下几个功能模块:教学功能、管理功能、辅助功能等。
3、外部信息资源建设
外部信息资源建设应包括以下功能模块:Internet功能、远程访问功能、电子函件功能学校主页、讨论和交流功能、住处发布功能。
{1}Internet功能及远程访问功能 在信息时代宣传学校、发布学校的信息,对提高学校的知名度,同时共享教育资源非常有意义。只要学校还没有条件通过专线上Internet,可安装Modem让用户远程拨号入网。
(2)电子函件功能 校园网信息平台应用功能强大的邮件系统,可以为每个使用者建立自己的信箱,安全保密以极大地方便了通信。许多事务处理均可以通过邮件提醒,高效便利。
(3)建立学校主页码 在校园网中建立学校的主页,可以以灵活生动的方式综合介绍学校。这是展示学校风采的最佳手段。
(4)讨论和浆功能 校园网信息平台具有讨论的功能,可以允许所有人就一个问题发表自己的意见,面这种讨论的好处在于它可以保留讨论的过程,并且不受时间和空间的限制,如教学研讨、经验交流等均是以讨论的形式出现。
(5)信息发布功能 学校有许多信息需要向老师、学生或社会公布,如学校的规章制度、招生信息、教学信息等,它们共同的特点是只许看不能改,校园网信息平台的安全体系保证这一点。
2.8网络安全
2.8.1网络安全性设计
网络的安全性是评价校园网的重要指标之一,对于校园网这样的大型园区网,网络的安全问题就越发重要。
1、 本地主机系统的安全考虑
计算机病毒是伴随着计算机而产生的,它同时随着计算机技术的发展而发展,在网络环境中,计算机病毒更易于传播,其对系统的危害也是明显的,在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。
2、 内部网安全控制
通过VLAN的划分,利用中心交换机上高性能路由模块的管理和控制,可以控制内部各VLAN间的访问。
3、 外联网的安全控制
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网与外部网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
4、 拨号访问的安全设计
对于从外部拨号访问中心内部局域网的用户,由于使用公用电话网进行数据传输所带来的风险,必须严格控制其安全性。
主要措施如下:*通过在拨号访问服务器后设置防火墙来实现网络的安全性,以严格限制拨号上网用户所访问的系统信息和资源。
*使用专用身份验证服务器,以加强对拨号用户的身份认证。
*在数据传输过程中采用加密技术,防止数据被非法窃取。
5、数据的安全: ]
网络系统应能通过身份验证实现信息的鉴别,通过存取控制达到对信息的控制,通过数字签名或数据压缩等算法保证数据在传送过程中保持完整、保证信息的机密。在实现时重点考虑信息系统整体的安全控制策略和重要设备的安全控制。
2.8.2网络防火墙
防火墙界于网络出口,将网络分成内部网络和外部网络,并认为内部网络是安全的和可信赖的,而外部网络则是不太安全和不太可信的。防火墙检查和检测所有进出内部网络的信息流,防止未经授权的通信进出被保护的内部网络。
防火墙除了具有包过滤功能外,通常还可以对应用层数据进行安全控制和信息过滤,对主机地址转换(SAT)和地址隐藏(NAT),具有认证、日志、计费等功能。防火墙的实现技术非常复杂,由于所有进出内部网络的信息都需要通过防火墙的处理,因此对其可靠性和处理效益都有很高的要求。
此设计方案选用天网防火墙,它量款国产软件。具有严密的衬里监测、灵活的安全规则及详细的访问记录。可从www.sky.net.cn下载安装。
2.8.3防毒软件
面对计算机病毒的威胁,人们都希望能做好预防工作,而不是面对事后被病毒感染破坏的杀毒和数据恢复工作。预防计算机病毒最好的方法是安装一套防毒软件。防毒软件对于保持系统安全很重要。目前国内主流的反病毒软件有KV3000、Kill、瑞星、诺顿等多种品牌,它们各有所长,而且都有自己的特殊技术作为后盾。本方案选用“瑞星杀毒软件”。它是北京瑞星科技股份有限公司针对流行于国内外危害较大的计算机病毒和有害程序,自主研制的反病毒安全工具。可以到瑞星公司的主页(http://www.rising.com.cn)上去获取试用版本。
2.8.4安全建议
1.建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3.经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。定期看一看注册表的自启动项是否有可疑键值和内存中是否有可疑程序。
7.最好安装专业的杀毒软件进行全面监控。用户还应该安装个人防火墙软件进行防黑将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。