|
网络安全无处不在,信息管理中心为大家梳理了100个网络安全相关的小知识,希望提升大家的安全意识,帮助大家建立更加安全的网络环境。
' ]) _6 q4 H& G/ e2 @
* f* V6 R# n+ z8 U+ ?4 C账户密码安全8 c* S3 {& I: {( ~- O- |
& o+ t3 k% I) X% } x: p' j" \. w" P
1.如果有初始密码,应尽快修改8 F' ^ K. V# ]$ p4 ^9 h
: V/ V* [/ ?6 B5 L0 M6 s
2.密码长度不少于8个字符9 F9 X/ V# Q# P2 k: o" {
* j/ h( p+ ]* ?7 t7 R, e1 L3.不要使用单一的字符类型,例如只用小写字母,或只用数字9 A! B7 Z, w2 V
: L- d7 a1 j0 j" x+ {
4.用户名与密码不要使用相同字符
, w" f% G0 P e
+ e2 z4 t5 |. I' P( c6 U) T5.常见的弱口令尽量避免设置为密码! O! I# m, J& b( w. Q t
& Q4 B* G6 X3 P6 S5 C7 q2 w& X$ ?6.自己、家人、朋友、亲戚、宠物的名字避免设置为密码8 s, {3 q$ ?9 j2 U
}* z; v* L) f7.生日、结婚纪念日、电话号码等个人信息避免设置为密码
+ n" C; P5 T6 O
8 T6 u: c0 t( z8 H+ q5 h+ I5 r! w7 g. d8.工作中用到的专业术语、职业特征避免设置为密码7 o( ?5 L3 L) p; k& M; V7 w
- n1 ^' u" m2 b6 Y8 }- [* S7 S9.密码字典中不应包含单词,或者在单词中插入其他字符
M6 k! q3 h4 v8 n
6 ~$ K9 b7 ~/ z2 [10.所有系统尽可能使用不同的密码3 q( S6 g4 {3 i% K3 w
5 p4 V9 `1 f' h3 H: l11.防止网页自动记住用户名与密码
1 R; G w: p# F5 Y3 y
h) b3 |0 J; r, m12.上网注册帐号时,用户名密码不要与学校内部用户名密码相同或有关联, _, h7 J L( Q
1 N# H6 Y; c; \+ B13.在通过密码管理软件保管好密码的同时, 密码管理软件应设置高强度安全措施2 r2 g, I9 c; `+ M4 A( \2 A
. ~7 [/ R1 ? o) h X' i' d. B14.密码应定期更换/ q2 d0 [$ P) ?. W# ]+ g" O1 f
7 x) e) K, F' `
15.不同软件与网站账户密码尽量不要设置为相同的2 i& e- J& y8 o( g6 a# C, [# X
7 d4 C9 r' s4 x w- t' g
病毒防范风险1 C5 V; Q0 M2 N7 e
8 R) T4 Q" K& e* y
15.安装病毒防护程序并及时更新病毒特征库2 X6 C& {! v T8 E& Q7 v, V; h' j
6 k% O% v! F. W! J! J16.下载电子邮件附件时注意文件名的后缀, 陌生发件人附件不要打开
0 w3 n4 {* x3 u `& J/ \" F9 b
/ `9 F, d6 v+ i D( z; S17.网络下载的文件需要验证文件数字签名有效性,并用杀毒软件手动扫描文件4 J7 ~ [. y5 R, R& v- k
! d2 A% k( ?. V, [& F; N
18.使用移动存储介质时,进行査杀病毒后打开
! ?/ H$ g" B; P" W
1 Y7 N* i `3 ?. q+ B) r) w& _19.安装不明来源的软件时,手动査杀病毒" w# s) Z1 {* j) I
2 e. M3 X" B' V3 m7 d
20.浏览网页时,若发现电脑工作异常,建议断开网络并进行全盘杀毒1 O+ |# w% j0 }: X$ N! u
; \' j" {% X* v上网安全注意9 B, Y3 w+ E9 Q5 k& N0 }
( @6 u( X" D; I4 \, y
21.使用知名的安全浏览器+ s5 E% g. N; i! D% U1 @9 H7 ]
+ A* G7 u$ M$ w K7 r
22.收藏经常访问的网站,不要轻易点击别人传给你的网址& `9 {+ L6 Y7 E8 W8 V! @ k
# G3 }. y& x& \ F2 _
23.对超低价、超低折扣、中奖等诱惑要提高 警惕
7 _7 k& A6 x7 t3 Q/ x6 ?) z( Q$ C% E6 W1 \
24.避免访问色情、赌博、反动等非法网站0 u0 u$ J/ O3 v
- C, S( w% Y$ V: M2 t0 ~* J25.重要文件通过网络、邮件等方式传输时进行加密处理
# F% C' {( a0 T- s! e3 i6 f" i7 W% E/ [$ o& W/ z4 H# V! H/ h
26.通过社交网站的安全与隐私设置功能,隐藏不必要的敏感信息展示. K- _1 g3 ~6 ^- V& p3 O1 f! D
4 ~& Y$ p) Y5 [' q7 l5 N27.避免将工作信息、文件上传至互联网存储空间,如网盘、云共享文件夹等
. z# `" `4 V2 M- i7 g G8 a( E6 l
28.在社交网站谨慎发布个人信息
$ R: N/ r# |: X' l# a& b, w2 i: w. r, N( w% C+ E/ C
29根据自己对网站的需求进行注册,不要盲目填写信息
4 G K) p4 ?6 p; E: |* m6 V" Y- c) F0 Q$ j
30.上网的DNS应设置为运营商指定的或内部DNS服务的IP地址,避免使用不安全的 DNS导致被劫持风险4 X# M# B o3 k ]
: |) S$ u+ h# \% U, y网上安全交易
8 F! t0 a/ m5 B6 e
# e" a! }3 f7 Y a4 K31.所访问的网址与官方地址进行比对,确认准确性
3 c {. P6 D5 s y9 B, i+ ~: U. }) E# q( N. H4 Q% r
32.避免通过公用计算机使用网上交易系统
- e3 E5 T* S6 R+ q& |& V' T
9 x* m; b( {: M( q! f33.不在网吧等多人共用的电脑上进行金融业务操作9 ]9 q \- J& M6 O
/ G s6 w7 B/ {/ {8 g1 w' u34.不通过搜索引擎上的网址或不明网站的链接进入交易
1 E5 r$ L9 K K6 R, N( q0 J5 i. Q2 m! G6 E+ Y
35.在网络交易前,对交易网站和交易对方的资质全面了解: @$ G5 R- q3 c/ e- y6 M# M
2 ]- ~6 H- L' R
36.可通过査询网站备案信息等方式核实网站资质真伪
! {# d9 O$ {6 k8 J9 K) u! A
% S& B* q& P% E" V4 j37.应注意查看交易网站是否为HTTPS协议, 保证数据传输中不被监听篡改4 A. m$ G& X! ?% K# ?; ? _
3 o& e1 W* Z$ S) D- }" u1 T( }
38.在访问涉及资金交易类网站时,尽量使用官方网站提供的虚拟键盘输入登录和交易密码 m0 v: c/ n' W4 _
; D" g1 G4 p2 \9 [* H
39.遇到填写个人详细信息可获得优惠券,更要谨慎填写/ W& f( e7 R3 |) M9 {
- `6 d, d! u+ I6 Z, o3 L
40.注意保护个人隐私,使用个人的银行账户、密码和证件号码等敏感信息时要慎重+ d3 `, ?# |' J
+ v* c9 s1 l% ~3 l q41.使用手机支付服务前,应按要求安装支付环境的安全防范程序
) t p/ l, y% v, q0 @. {8 g# f8 J: x! B8 o5 D1 @- ~
42.无论以何种理由要求你把资金打入陌生人账户、安全账户的行为都是诈骗犯罪,切勿上当受骗
% {/ \9 C- k1 W/ L( u: V6 d/ v. @0 I+ _+ p% |4 P6 ^
43.当收到与个人信息和金钱相关(如中奖、集资等)的邮件时要提高警惕
' t6 V( R% z: ^. F
a2 h [0 i1 {* s5 k8 L+ A' k电子邮件安全
# x% q) m' W# l& h, ?" S
" ]' S) `9 ^. ~, X) v: Q8 w44.不打开、回复可疑邮件、垃圾邮件、不明来 源邮件! j; t' b# H" L1 [7 b# h
0 q7 H8 h1 S' }; q
45.收发公司业务的邮件时,应使用公司企业邮箱处理,私人邮件应使用个人邮箱处理
, T7 M% ^3 C/ f6 t4 O& z9 t, s7 X' j( T! _5 l" T+ a0 F* b
46.员工应对自己的邮箱用户名及密码安全负责,不得将其借与他人% R8 ]" C. Y* C# o% I
( b. k3 _0 Q' H6 |47.若发现邮箱存在任何安全漏洞的情况,应及时通知公司邮件系统管理人员
1 w& U) u3 B8 j$ H- d) I. \. Y( x7 T
48.应警惕邮件的内容、网址链接、图片等+ L* a5 ~) `2 `
/ u# l* t7 D0 v" @+ p& t# ~. A/ _
49.机关工作人员工作邮件建议使用政府自建邮箱,严禁使用境外邮箱, C# M# t. P# d' a" F
- }4 i* e t9 K" L) {/ N% r4 }0 w
50.为电子邮箱设置高强度密码,并设置每次登录时必须经过用户名密码登录/ {8 p$ o( T: d1 a9 d7 U, g: H
/ Q; F& l. j) o E- j51.开启防病毒软件实时监控,检测收发的电子邮件是否带有病毒
8 p2 ?2 k( n2 e/ F) T# G. f+ G+ q! O3 O6 g9 \: h
52.定期检查邮件自动转发功能是否关闭% e$ w, W/ a# p4 I( m
3 \2 p; x( M, }* ]53.不转发来历不明的电子邮件及附件0 U( {, \" n- U
" d! M' k! ]' s$ J# i
54.收到涉及敏感信息邮件时,要对邮件内容和发件人反复确认,尽量进行线下沟通1 z4 {1 j$ g6 N' n/ b' h
/ o" X3 m/ N, ]8 Z |主机电脑安全; D4 H% ^3 u! C( W) v
% m( F) X* R, R9 A8 T1 j+ O
55.操作系统应及时更新最新安全补丁
. Z) _" U: }( H/ Z/ ?& F" t9 N% J' S$ H
56.禁止开启无权限的文件共享服务,使用更安全的文件共享方式
/ w3 S6 N& ?6 c8 J; N
! r% g9 {0 ]% a, h6 c) i57.针对中间件、数据库、平台组件等程序进 行安全补丁升级
, Y, Y- j) x' [ y$ {7 z' h n7 h$ P" a. [) e% T( ~7 i8 U
58.关闭办公电脑的远程访问
. N- D7 b2 k1 F% d1 m5 L" p" l. D* ?. B/ F
59.定期备份重要数据# g% ]' F2 ]: R& G% q* z7 |
( u; m# p+ N/ n/ B60.关闭系统中不需要的服务
+ P5 z7 ]4 j9 q1 @3 c1 i; G
, i2 K5 t7 U8 S5 N, e61.计算机系统更换操作人员时,交接重要资料的同时,更改该系统的密码# T* w1 n$ s3 z0 o5 r3 O
# z4 }$ ~0 L8 q9 ~
62.及时清理回收站
# T! ]) u; H9 a+ w9 I, {- M# `% E
0 ^8 Z) o) u4 X0 [4 i63.员工离开座位时应设置电脑为退出状态或锁屏状态,建议设置自动锁屏' u& o, v9 L2 o/ B- T% p* n
8 H/ V2 U T- R+ G* G8 F+ n# L- t) O办公环境安全
7 k) E: Y& O2 S2 s# u
) n+ u" y h b2 |0 v64.禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎
! ^$ u% M* \8 e; F" B4 w& R% `' ]8 H- @
65.废弃或待消磁介质转交他人时应经管理部门消磁处理# U$ L% l9 Y' N; U) C. V3 d. y0 r G
3 W, u+ |; I: U" }! `& N
66.离开座位时,应将贵重物品、含有敏感信息的资料锁入柜中
3 I9 \8 K) [+ I3 t* h
$ h3 t( a, h- Z' ~- s7 }67.应将复印或打印的资料及时取走/ k: a9 i5 a) k: b) C# d0 n0 p
9 q/ X" e/ N- ^1 ^) t& B$ F
68.废弃的光盘、U盘、电脑等要消磁或彻底破坏1 W' Z4 }) m* w4 F- U+ ~# S- M. u
" g1 ^3 ^3 o$ y
69.禁止在便签纸上留存用户名、密码等信息
4 r& }' Q7 x# V: X
% M; I; }4 ^3 d1 t4 e3 m70.UKey不使用时应及时拔出并妥善保管% M( a! i5 \4 w1 A
! t/ T: d* S3 T9 M
71.办公中重要内容电话找到安全安静的地方接听,避免信息泄露
" D3 {; v+ [; ^) i$ V7 }1 t% ?' O
) Q6 N: X; ~0 x8 O A72.U盘、移动硬盘,随时存放在安全地方,勿随意借用、放置
' Y4 |' C1 ^, }5 b: A
3 R; b. Y" r! t. \: b移动手机安全
5 z9 O. c2 w! x: z `) Z/ B
# r8 F" j( A( l: s/ }# B73.手机设置自动锁屏功能,建议锁屏时间设 置为1-5分钟,避免手机被其他人恶意使 用" Q: v/ s% M% n; e0 O
% _1 L4 g& Z1 T9 V1 K74.手机系统升级应通过自带的版本检查功 能联网更新,避免通过第三方网站下载到 如篡改后的系统更新包等,从而导致信息泄露
, P, {* C" \) B! s+ e4 f; C, W4 S1 L! Z
75.尽可能通过手机自带的应用市场下载手机应用程序
* t9 @* r t3 @3 g0 F# r. E$ a
4 Q4 C( t$ z; w4 t0 K76.为手机安装杀毒软件6 B. a! l) M% _. K
" o; [ p a' a; }9 |2 \! ~77.经常为手机做数据同步备份
1 h( O2 S; e$ t; K9 \
C. X, ^* x# ?* _/ c78.手机中访问WeB站点应提高警惕
4 l; R0 @; U" M4 [9 m. `( ~% W4 s6 ^: G& x: c3 G
79.为手机设置访问密码是保护手机安全的第一道防线,防止手机丢失导致信息泄露 F! n1 S6 e& t- d( @
]. M% u" |: i* F f80.蓝牙功能不用时,应处于关闭状态
0 t' z' u" e/ L$ B
9 ~" G5 k h* L/ }+ B81.手机废弃前应对数据进行完全备份,恢复出厂设置清除残余信息" G' p5 M" u. l' K* x8 I# k9 @: p
6 L# [8 q- r W6 W- R# x& ], e82.经常查看手机正在运行的程序,检查是否有恶意程序在后台运行,并定期使用手机 安全管理软件扫描手机系统6 C% M; m. X) R3 O. f2 {! M9 G
. h3 U: F4 X: [" _6 Q7 K83.对程序执行权限加以限制,非必要程序禁止读取通讯录等敏感数据; v* N/ o1 G4 i0 ^- b
1 Z; p4 W0 k) l+ i* B: y84.不要试图破解自己的手机,以保证应用程序的安全性
3 h, X( c" P/ [; \2 {7 _( I
# x" m1 z8 f" K$ S# D j+ ^无线网络安全
& Y- @& `+ y$ Y9 `/ _! ?
* O+ E8 e. n. [7 ? H, l6 G85.在办公环境中禁止私自通过办公网开放 Wi-Fi热点" W5 f# t: U7 _. Z3 c, R
6 d1 S8 C& _3 | \: k% ~. [
86.不访问任何非本单位的开放Wi-Fi,发现 单位附近的无密码、开放的Wi-Fi应通知 IT部门
) q% w7 [* @8 k, s W- [9 E) z' p. `9 w7 q: G" f# A; i
87.部门需要单独增设Wi-Fi网络时,应到IT部门报备,禁止自行开热点( H& [0 k9 B. i$ N9 R0 U4 P6 ?
6 W8 N, k$ q) D5 e2 i0 u b
88.禁止使用Wi-Fi共享类APP,避免导致无 线网络用户名及密码泄露& z- Q2 W5 @( d: q; a
1 H$ I1 R: T' i+ F89.无线网络设备及时更新到最新固件
" }0 R( X& S0 s/ o& T/ D8 a8 `: {" F( i
90.警惕公共场所免费的无线信号为不法分子设置的钓鱼陷阱
: n0 t0 m# p+ t ~3 r7 a; v% ?
# k. w( ]1 j0 w1 f91.设置高强度的无线密码,各单位的认证机制建议釆取实名方式$ |$ N0 r& c- @$ J2 S& q; |
) g2 r7 h* ]0 e5 R敏感信息安全
. q- v0 n9 a0 S3 s
$ m: {/ h. K0 |7 |. m1 |92.敏感及内网计算机不允许连接互联网或其它公共网络
0 E* J8 D+ Z: R1 w# g8 [( P! r
# Y6 V8 e& d4 _) B! O93.处理敏感信息的计算机、传真机、复印机 等设备应当在单位内部进行维修,现场有专门人员监督
/ I( k& r9 s m' g, f$ O* d7 B( d
7 ~4 P# o. c! u; m/ m$ W- L94.严禁维修人员读取或复制敏感信息,确定需送外维修的,应当拆除敏感信息存储部 件5 ]/ d2 C/ y7 @! Z
- e* q- O5 o; a- r* Q8 A4 h( s' f
95.敏感信息设备改作普通设备使用或淘汰时,应当将敏感信息存储部件拆除
8 h9 N- ~$ D& f# q& C7 m3 X
& d! V( x1 w+ Z/ y+ \" Y96.敏感及内网计算机不得使用无线键盘、无线鼠标、无线网卡
' I1 \2 m. C- Z, W- Z. L8 ^: @5 W
97.敏感文件不允许在普通计算机上进行处 理
6 M) p: |% ?: B% e! x) }
2 g; v- t g/ @. F98.内外网数据交换需使用专用的加密U盘 或刻录光盘
X) `4 o" ^2 V- |9 y/ ]6 u' Y0 p% @* n6 ]
99.工作环境外避免透露工作内容
$ N, r+ m& _2 a# R
5 T8 E2 L0 }8 C! c) t100.重要文件存储应先进行加密处理& m4 _/ B* W7 h# n/ A0 X) Z% m
+ y6 c v% |/ n: a; E; `0 h! t( \) {, I# N- f9 v
6 U9 T$ |; H/ G8 {
一、网络安全概述
% ^4 w$ ]6 M* C9 o( A1.1 定义
^/ U8 ]. y; u6 ?4 l; C' _信息安全:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。. ~! Y, ?! \) U- }$ C+ b6 B$ R7 x
' g3 c2 N" p& d网络安全:* U1 V- n/ U. P
4 |' P: k. T, p* c0 o防止未授权的用户访问信息
9 ?! U% F. E4 I; C防止未授权而试图破坏与修改信息0 V* h. L* \& V
1 Y* Z3 t! F- i/ y- a
! O3 m: A6 M" w$ s$ S. |9 V1.2 信息安全特性/ |2 P# z- P) Y+ W7 O
可用性 :确保授权用户在需要时可以访问信息并使用相关信息资产
4 D. }1 q4 n. h: H% Z# e# u9 k b4 t完整性 :保护信息和信息的处理方法准确而完整2 g/ |; o5 Y% _1 E: ~6 j
机密性:确保只有经过授权的人才能访问信息' D% J6 ]- q2 k2 n9 K8 ~
0 N2 ^% Y/ I! g, ^& t- H0 R J# z) L, ?. I% j+ o
1.3 网络安全的威胁0 r1 v- F! K A( [: M
主动攻击: H2 y7 O: o( [) w9 |; B4 n
以各种方式有选择地破坏信息
3 }8 {0 v9 @. j8 |' H) e
2 j. b q1 f; R7 |" a添加、修改、删除、伪造、重放、乱序、冒充、病毒等7 ?/ ^- A4 ^' E e6 X$ T" m
5 \, B3 ^1 V @
被动攻击
' {1 M2 Q* X2 T不干扰网络信息系统正常工作# }% W& g3 {: j+ \( f* o1 c2 i
* F g4 U* e+ N% V. K9 r! n! V
侦听、截获、窃取、破译和业务流量分析及电磁泄露等7 U; ]1 O/ D; o! h
6 J( C1 n8 V5 G9 `( M6 E/ s恶意攻击:特洛伊木马、黑客攻击、后门、计算机病毒、拒绝服务攻击、内外部泄密、蠕虫、逻辑炸弹、信息丢失篡改销毁% ~9 B% g& f9 G
4 r+ X' ^+ i8 }, T& Y* v @
黑客攻击:黑客使用计算机作为攻击主体,发送请求,被攻击主机成为攻击对象的远程系统,进而被窃取信息。
$ @3 b/ N6 U6 c" {. @特洛伊木马:特洛伊木马通过电子邮件或注入免费游戏一类的软件进行传播,当软件或电子邮件附件被执行后,特洛伊木马被激活。特洛伊密码释放他的有效负载,监视计算机活动,安装后门程序,或者向黑客传输信息。/ q/ y4 | G# U! W2 F4 n
拒绝服务攻击DoS:指故意的攻击网络协议实现的缺陷或直接通过暴力手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。% ]% }# m5 U& p" z4 |7 G" {
# S9 S! A. l6 \. s, h& ~/ S3 ]: a& {
9 H( ?3 s I' C, |; R最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。(1)带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。(2)连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
9 [6 g/ P7 f. U9 |- A# c+ n; R+ _$ `
分布式拒绝服务攻击 DDoS:) q& p0 |4 e/ n
(1)被攻击主机上有大量等待的TCP连接;(2) 网络中充斥着大量的无用的数据包;(3)源地址为假,制造高流量无用数据 ,造成网络拥塞,使受害主机无法正常和外界通讯;(4)利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;(5)严重时会造成系统死机。
/ V5 c9 G+ q- p, m: y u
" X; [4 U# x+ s4 k# K* b病毒:寄生在宿主文件中,将病毒代码嵌入到宿主文件中,针对本地程序或文件,宿主程序运行时被触发进传染。防治的关键是将病毒代码从宿主文件中摘除。
/ y$ s" ]# T( p# N) e: L" g蠕虫:独立存在的程序个体,通过自身拷贝进行传染。针对网络上的其他计算机,通过系统漏洞进行传染。防治的关键是为系统打补丁。
2 T# h) Q7 K; y7 s- x漏洞:指硬件、软件或策略上的缺陷,这种缺陷导致非法用户 未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限,非法用户就可以为所欲为,从而造成对网络安全的威胁。# r9 J% x9 v- |: {: y- G. `6 r6 g
区别于后门。后门:是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令,这些口令无论是被攻破,还是只掌握在制造者手中,都对使用者的系统安全构成严重的威胁。8 m- A% M, U8 g4 ^2 x+ t" F( A
; X4 V: X' K! [' U Y1 ^7 i! {漏洞与后门是不同的,漏洞是难以预知的,后门则是人为故意设置的。
9 F& ?8 Y& j8 u0 b2 n
& Z5 c4 A1 z9 A' }0 n7 s: k6 l" y3 TTCP劫持攻击:A尝试和B建立加密会话,黑客劫持通讯,假装是B,然后和A交换密钥,然后假装是A和B建立会话。
: f" v' { T* v0 c3 z% Q" j; ]; HIP欺骗:黑客更改原地址欺骗防火墙,防火墙允许数据包通过,将其误认为合法的通信,欺骗后的数据包进入内联网进行破坏。$ L! b A+ Q2 e m4 S9 g
, c9 ^; A& _7 O0 o
1.4 网络安全的特征
, s2 F* @8 G; t: b保密性
( E- x( r. b' T$ ? p' m网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。 L' t% e) ~: Y
# v) D5 ~9 M5 b1 V* `+ v6 r保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段5 K, z# y. `( c
4 H- B5 N( b1 L2 D
常用的保密技术
- s# k3 m9 J1 H, P
) {' W. L4 ^5 }2 T(1) 物理保密:利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露(锁好柜、关好门、看好人)3 @: ^0 M: y; `' `) U8 O% j9 b2 N
( @5 M* ~# B1 y; b(2) 防窃听:使对手侦收不到有用的信息5 U) i2 d: @$ b) v5 h% Z5 |* L
$ S9 O, M/ w% R7 f0 C1 o7 t: b$ a k
(3) 防辐射:防止有用信息以各种途径辐射出去,例:防窥。
* b8 a$ h8 ^; f0 ~2 d
9 U- G3 @3 S6 ] u(4) 信息加密:在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息; `$ X i8 M5 u1 T' o: V0 R5 K
- E: c2 e: x; O0 l
完整性* W9 `! b( G3 G( q
网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性6 V; U7 W" k+ W, p
% D8 ~) b2 V' }/ O
完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、正确存储和正确传输6 S8 R0 X( G$ C0 p7 h
' O+ l" w9 @- j
保障完整性的方法:
4 P, s2 \& I4 H9 _" H% A, y1 O" p
3 G) A+ V! A, T- N7 I- \(1)良好的协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段
6 p( u' t9 |( H0 r7 u7 S% g" n; E8 }' ?
(2)密码校验和方法: 它是抗窜改和传输失败的重要手段
1 y* W# K4 z' _1 y# p, A, C$ k2 u; h
(3)数字签名:保障信息的真实性,保证信息的不可否认性2 ]5 B9 e$ |- Q' L' O
' T" c W3 r% [
(4)公证:请求网络管理或中介机构证明信息的真实性! l m7 b+ G) O1 i, I
: f% Y3 a/ Z8 a$ o可靠性
+ C9 m" d3 @9 W8 T5 t( N( H(1)系统能够在规定条件和时间内完成规定功能的特性,是所有网络信息系统的运行和建设的基本目标。
( D/ \& q% X9 m q6 Y# z" C# _
( d2 B) s! i K( ^7 a7 |7 ](2)通过抗毁性,生存性与有效性进行衡量。4 F; R4 r5 h' b1 q
# V e2 l) V6 I) q' `
(3)可靠性是在给定的时间间隔和给定条件下,系统能正确执行其功能的概率。
$ y" A: _0 C6 n o
9 b! N/ l7 ], [7 k1 h(4)提高可靠性需要强调减少系统中断(故障)的次数。1 u @, {1 v1 B9 t, D$ l
# b }2 h8 S( }
可用性
9 G4 Z! ^" r# e. x) Q* z(1)网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体 使用的特性,或者是网络部分受损或需要降级使 用时,仍能为授权用户提供有效服务的特性4 C% u, P- i& o" A o! m
x& U3 P+ x3 c0 t
(2)可用性是系统在执行任务的任意时刻能正常工作的概率,一般用系统正常使用时间和整个工作时间之比来度量0 \7 i9 a7 ~6 e6 E0 p/ r5 |" S
) h' Z3 h. N. g; }8 M2 a(3)提高可用性需要强调减少从灾难中恢复的时间4 f' n, Y% F; K6 G4 i- r
% H. {/ g" V$ b; `- m(4)是产品可靠性、维修性和维修保障性的综合反映。3 o G5 N8 g' J
0 P% k) I/ }% V* p; `
不可否认性
& R1 Z" J( N! r! l/ ^3 J' Z8 z(1)也称作不可抵赖性,在网络信息系统的信息交互过程中,确信参与者的真实同一性
% N# U6 ^; J6 b: {' I* b8 B2 S$ ?3 p: j# c9 x1 n
(2)所有参与者都不可能否认或抵赖曾经完成的操作和承诺
9 i: ^; }, k; i2 W( J' M* @$ d" F( m% @& G, q8 B! [; i w/ z
保证不可否认性的方法:, A9 f4 u6 L. {1 T: E
: Z2 Y% W5 i, s(1)利用信息源证据可以防止发信方不真实地否认已发送信息, 利用递交接收证据可以防止收信方事后否认已经接收的信息
% k% e0 Y$ P+ ~/ T l, v; j! a6 x
3 {* `8 l/ z+ v) B(2)数字签名技术是解决不可否认性的手段之一
5 p' x1 g7 B J3 s8 N$ a) S, D# h0 w
可控性% h8 T6 P( `1 p& m7 r [2 Z: M: p
对信息的传播及内容具有控制能力+ i6 O2 M+ @! T# x1 u
n* z4 s- N8 h" G& ~$ D- K* j; \防止不良内容的传播) O* {5 H- l& @) R y
+ \3 B" W/ j5 C5 t7 N* V
二、入侵方式
5 M+ q' Q9 i8 ~4 {2.1 黑客 Z3 O' V! ^. Q9 W+ Y0 w
黑客(hacker) :指技术上的行家或热衷于解决问题, 克服限制的人* p( R2 x" s8 U/ m! F0 A/ v
) W' `6 r1 ]" I1 L2 @( ^4 ~; [; Y5 ^9 Y
骇客(cracker):是那些喜欢进入其他人系统的人3 F4 Y- v8 p+ m
_% e6 z% N+ Z7 D
骇客和黑客之间最主要的不同是:黑客们创造新东西,骇客们破坏东西。5 h. y. }* ?( S4 N7 _" Q* g
, U; g1 Q. r: @ j8 h, a c: |2.1.1 入侵方法
3 G& ^" _% p" I' N5 e4 ~' r. h
4 {7 J% d! I% H6 C; o% {# y* w(1)物理侵入:侵入者绕过物理控制而获得对系统的访问。对主 有物理进入权限 (比如他们能使用键盘) 。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。
# V4 J+ U/ T7 Q6 R" K7 y1 }: q8 L/ Q
(2)系统侵入: 已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁,就会给侵入者提供一个利用漏洞获得系统管理员权限的机会3 Q) s2 t. D6 z! c( U0 u! V2 U
9 z, R( N2 y$ [(3)远程侵入: 通过网络远程进入系统。侵入者从无特权开始这种侵入方式,包括多种形式。如果在他和受害主机之间有防火墙存在,侵入就复杂得多
, N: w7 G9 t& r0 Q
* q" R" Q% j; V- f2.1.2 系统的威胁
9 y' }) `) v0 T& z2 V" E. I5 k+ F
0 N/ q$ k7 I+ }. l软件bug o4 b6 e1 U2 ]$ n
软件bug存在于服务器后台程序, 客户程序, 操作系统,网络协议栈。
8 L* G/ v; _4 t, r1 O! C) Q% ~; a* b; N; G
) F% }0 a/ h* D" C! a6 C" M) P系统配置
Z2 ]# v4 G2 Q' A; @ E(1)缺省配置:许多系统交付给客户的时候采用的缺省的易用的配置
& l; t0 m& v# Y' z! K$ H/ i0 r) q' p: u0 s5 `- |5 w1 Z; ~; Z# a( D5 {
(2)懒惰的系统管理员:惊人数量的主机被配置成没有系统管理员口令
' q' x, T& Q# q( l8 f
) L' f/ W2 R, a7 m. f/ U9 x(3)生成的漏洞:事实上所有的程序可能被配置成一个非安全的模式7 g* T) z2 [# Y
7 h3 @: T; Y' C(4)信任的关系:侵入者常用“跳板”的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的环节一样安全。
3 A' r5 B b3 v# `0 K% m) q0 |# Q8 n l% ]1 B$ H
口令解密
# Q! M0 }' y1 p3 U) x字典攻击:字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配+ d; ?+ O* K. s% u
% U$ ^* H1 i6 f* b% j: R1 g
暴力破解(Brute Force Attacks): 同字典攻击类似, 侵入者可能尝试所有的字符组合方式; {. ]- r: `3 s1 a. w
3 I: J9 K7 S* u监听不安全的通信
% H% _0 s. ]: Q) f/ m* K+ Y(1)共享媒体: 传统的以太网中, 你只要在线上启动 Sniffer就可以看到在一个网段的所有通信
( e3 ]+ K A# w5 Q4 Z" v6 `3 k- H" l1 C5 Q" S% X! W$ B
(2)服务器监听: 在一个交换的网络里,如果入侵者可以在一个服务器(特别是做路由器的)安装sniffer程序,入侵者就可以使用得到的信息来攻击客户主机和信任主机。比如,你可能不知道某个用户的口令,通过在他登陆的时候监听Telnet会话,就可以得到他的口令
2 @" t3 l5 p2 _ _( h" `) V3 e8 X* L6 ~
(3)远程监听: 大量的主机可以远端网络监控,且使用缺省的community
5 {3 h3 k6 d1 ]; q+ d/ o0 }& n& @" F( y9 x+ G# e- N" X. ^/ \
设计的缺点& ]2 t; T4 f# E2 n$ O2 K
TCP/IP 协议缺点0 v. V% H3 Z! g4 H
% s" l5 V- K4 q! r
系统设计缺点
- ~& W& }9 J1 ^$ A) `. g
5 |6 ^7 ~/ y! o) @* x7 T) ^ O2.2 IP欺骗与防范* M/ B) }4 ]1 T8 `6 K: S* N% q1 u
IP欺骗就是伪造数据包源IP地址的攻击,8 J' V2 y7 t( w6 G- h* n
. B! R6 e! O) w它基于两个前提:
: L: r E5 d% F5 D2 j
) X k M( N0 F/ u% H- lTCP/IP网络在路由数据包时,不对源IP地址进行判断— 可以伪造待发送数据包的源IP地址。目前黑客入侵攻击的重要手段之一。8 C4 l/ }; x+ F6 H
主机之间有信任关系存在—基于IP地址认证,不再需要用户账户和口令。$ D* o& Q2 P- W' M. `+ W: L
2.2.1 TCP等IP欺骗基础知识. C9 X9 M# y3 ^) w2 G
+ B- }& h8 X y+ N: b4 F3 T! Q# F
1. TCP数据报首部标志域
9 y. n P5 B! Z4 {
c8 M' P7 j' g8 R/ G5 [
: Z X% u, K* _' @
: R0 o* {6 V5 b( N$ U3 U, e- ] Z$ R, k) G
8 Q3 T( r" A( G7 b7 } |
|