网络安全基础扫盲
1. 名詞解釋
APT
高級持續性威脅。利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。
VPN
虛擬專用網絡(Virtual private network)
VPN是Virtual PrivateNetwork的縮寫,是將物理分布在不同地點的網絡通過公用骨干網,尤其是Internet連接而成的邏輯上的虛擬子網。
Virtual是針對傳統的企業“專用網絡”而言的。VPN則是利用公共網絡資源和設備建立一個邏輯上的專用通道,盡管沒有自己的專用線路,但它卻可以提供和專用網絡同樣的功能。
Private表示VPN是被特定企業或用戶私有的,公共網絡上只有經過授權的用戶才可以使用。在該通道內傳輸的數據經過了加密和認證,保證了傳輸內容的完整性和機密性。
SSL
SSL(Secure Sockets Layer 安全套接層),
為網絡通信提供安全及數據完整性的一種安全協議。
ICMP
Internet控制報文協議。它是TCP/IP協議族的一個子協議,用于在IP主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。
HTTPS
是以安全為目標的HTTP通道,簡單講是HTTP的安全版。https
SYN Flood
就是一種DOS攻擊。
SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方
IDS
入侵檢測系統IDS,它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。
1)監測并分析用戶和系統的活動,查找非法用戶和合法用戶的越權操作;2)核查系統配置和漏洞并提示管理員修補漏洞;3)評估系統關鍵資源和數據文件的完整性;4)識別已知的攻擊行為,統計分析異常行為;5)操作系統日志管理,并識別違反安全策略的用戶活動等。
網絡蠕蟲
網絡蠕蟲是一種可以通過網絡(永久連接網絡或撥號網絡)進行自身復制的病毒程序。一旦在系統中激活,蠕蟲可以表現得象計算機病毒或細菌。可以向系統注入特洛伊木馬程序,或者進行任何次數的破壞或毀滅行動。普通計算機病毒需要在計算機的硬件或文件系統中繁殖,而典型的蠕蟲程序會在內存中維持一個活動副本。蠕蟲是一個獨立運行的程序,自身不改變其他的程序,但可以攜帶一個改變其他程序功能的病毒。
中間人攻擊
中間人攻擊(Man-in-the-MiddleAttack,簡稱“MITM攻擊”)是一種“間接”的入侵攻擊,這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間,這臺計算機就稱為“中間人”。
2.簡答題
1.簡述DOS和DDOS的區別
答:DOS意思是 Denial of service
的縮寫,也就是網絡產生的初期,用一臺高配的設備去攻擊一臺低配的設備,造成被攻擊的設備死機
DDOS意思是 Distributed Denial of service
的縮寫,隨著技術的進步,IT設備的配置都在飛速增長,DOS的方式已經變的水土不服,那就產生了分布式的DOS,形象的說就是我一個人打不過你,那我可以多叫幾個兄弟過來揍你,我可以雇傭很多打手,(也就是控制很多傀儡機)這樣的攻擊就是DDOS
2.信息安全的基本屬性主要表現在哪幾個方面?
答:
(1)完整性(Integrity)(2)保密性(Confidentiality)(3)可用性(Availability)(4)不可否認性(Non-repudiation)(5)可控性(Controllability)
3、PMI與PKI的區別主要體現在哪些方面?
答:PKI證明用戶是誰,并將用戶的身份信息保存在用戶的公鑰證書中;
PMI證明這個用戶有什么權限,什么屬性,能干什么,并將用戶的屬性信息保存在授權證書中。
4、請回答數據容災的四個層次?
第0級 本地備份、保存的冷備份第1級 本地備份和異地保存的冷備份第2級 熱備份站點備份第3級 活動互援備份
5、請簡述網站保護的方法?
答:
方法一:提高網站代碼的質量,對客戶端輸入的內容做好檢測和過濾。
方法二:部署WEB防火墻(WAF產品),用設備來替代程序做好檢測和過濾。
6、什么是數字簽名?并簡述數字簽名與數字簽名驗證有何區別?
數字簽名技術是將摘要信息用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要信息,然后用HASH函數對收到的原文產生一個摘要信息,與解密的摘要信息對比。
如果相同,則說明收到的信息是完整的,在傳輸過程中沒有被修改,否則說明信息被修改過,因此數字簽名能夠驗證信息的完整性。
數字簽名是個加密的過程,數字簽名驗證是個解密的過程。
7、什么是非對稱密碼算法?
答:
非對稱密碼算法是指加密和解密數據使用兩個不同的密鑰,即加密和解密的密鑰是不對稱的。
8、請簡述防火墻的缺陷。
答:
(1)防火墻不能防止內部攻擊(2)防火墻不能防止未經過防火墻的攻擊(3)防火墻不能取代殺毒軟件(4)防火墻不易防止反彈端口木馬攻擊
9、請簡述一般網絡攻擊的步驟及過程
答:
(1)隱藏自己的位置;(2)尋找目標主機并分析目標主機(3)獲取賬號和密碼(4)獲得控制權(5)獲取網絡資源和特權
10、xxx網絡安全事件帶給我國的啟示與對策?
(如:勒索病毒)
近年來,我國已經成為全球網絡安全威脅的最大受害者之一。為了減少損害,并提升我國網絡安全技術水平,我認為應推進以下幾項措施:
依據《中華人民共和國網絡安全法》構建更加全方位的網絡安全管理與預警措施。力爭在網絡安全威脅還未全面爆發前就采取有效行動,做到防患于未然。
加強網絡安全宣傳教育,提升每個人的網絡安全意識。
努力實現關鍵技術上的技術自主,如操作系統,核心交換機,加密算法等。對于尚不能實現技術自主的信息系統,應當加強風險評估、分級管理,做到系統安全可控。
加強國際合作,特別是加強全球范圍內的網絡安全共同治理,共同應對跨國信息安全問題。
11、什么是入侵檢測系統?
答:
入侵檢測系統(簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。
它與其他網絡安全設備的不同之處便在于,IDS是一種積極主動的安全防護技術。
IDS最早出現在1980年4月。 1980年代中期,IDS逐漸發展成為入侵檢測專家系統(IDES)。
12、請說明DES算法的基本過程?
答:
DES加密算法特點:分組比較短、密鑰太短、密碼生命周期短、運算速度較慢。
DES工作的基本原理是,其入口參數有三個:key、data、mode。
key為加密解密使用的密鑰,data為加密解密的數據,mode為其工作模式。當模式為加密模式時,明文按照64位進行分組,形成明文組,key用于對數據加密,當模式為解密模式時,key用于對數據解密。實際運用中,密鑰只用到了64位中的56位,這樣才具有高的安全性。
13、信息安全有哪些常見的威脅?信息安全的實現有哪些主要技術措施?
答:
常見威脅有非授權訪問、信息泄露、破壞數據完整性,拒絕服務攻擊,惡意代碼。信息安全的實現可以通過物理安全技術,系統安全技術,網絡安全技術,應用安全技術,數據加密技術,認證授權技術,訪問控制技術,審計跟蹤技術,防病毒技術,災難恢復和備份技術。
14、什么是密碼分析,其攻擊類型有哪些?DES算法中S盒的作用是什么?
答:
密碼分析是指研究在不知道密鑰的情況下來恢復明文的科學。攻擊類型有只有密文的攻擊,已知明文的攻擊,選擇明文的攻擊,適應性選擇明文攻擊,選擇密文的攻擊,選擇密鑰的攻擊,橡皮管密碼攻擊。S盒是DES算法的核心。其功能是把6bit數據變為4bit數據。
15、什么事通信網絡安全?涉及哪些方面?
答:
通信網絡安全保護網絡系統的硬件、軟件、數據及通信過程,不應偶然或惡意原因遭到破壞、更改和泄漏,保證系統連續可靠正常地運行,保證網絡服務不中斷。
涉及通信網絡上信息的機密性、完整性、可用性、真實性、可控性,要求具有抵御各種安全威脅能力。
16、密碼體制分類
答:
(1)對稱加密算法
加密密鑰和解密密鑰相同或等價的,且都需要保密。DES IDEA FEAL-8 LOKI。
優點:加密算法簡單、高效、密鑰簡短,破譯極其困難。缺點:密鑰必須通過安全的途徑傳送。
(2)非對稱密碼體制
(公鑰、收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰)RSA。
優點:可以適應網絡的開放要求,且密鑰管理問題也較為簡單,方便地實現數字簽名和驗證。缺點:算法復雜,加密數據的速率較低。
17、包過濾基本特點和工作原理?
答:
基本特點:
可以讓我們在一臺機器上提供對整個網絡的保護。
工作原理:
包過濾是一種安全機制,它控制哪些數據包可以進出網絡,而哪些數據包應被網絡拒絕。*
包過濾路由器是具有包過濾特性的一種路由器。在對包做出路由決定時,普通路由器只依據包的目的地址引導包,而*包過濾路由器就必須依據路由器中的包過濾規則做出是否引導該包的決定。
18、代理服務器作用?
答:
代理,也稱為應用級網關,是一個提供替代連接并且充當服務的網關。代理服務是運行在防火墻主機上的一些特定應用程序或者服務程序。
代理服務位于內部用戶(在內部的網絡上)和外部服務(在因特網上)之間。
代理在后臺處理所有用戶和因特網服務之間的通信以代替相互間的直接交談。代理服務器可使得一些不能訪問因特網的主機通過代理服務也可以完成訪問因特網的工作。
19.簡述主動攻擊與被動攻擊的特點,并列舉主動攻擊與被動攻擊現象。
主動攻擊 是攻擊者通過網絡線路將虛假信息或計算機病毒傳入信息系統內部,破壞信息的真實性、完整性及系統服務的可用性,即通過中斷、偽造、篡改和重排信息內容造成信息破壞,使系統無法正常運行。
被動攻擊是攻擊者非正常截獲、竊取通信線路中的信息,使信息保密性遭到破壞,信息泄露而無法察覺,給用戶帶來巨大的損失。
20.簡述對稱密鑰密碼體制的原理和特點。
對稱密鑰密碼體制,對于大多數算法,解密算法是加密算法的逆運算,加密密鑰和解密密鑰相同,同屬一類的加密體制。它保密強度高但開放性差,要求發送者和接收者在安全通信之前,需要有可靠的密鑰信道傳遞密鑰,而此密鑰也必須妥善保管。
21. 常規加密密鑰的分配有幾種方案,請對比一下它們的優缺點。
(1)集中式密鑰分配方案
由一個中心節點或者由一組節點組成層次結構負責密鑰的產生并分配給通信的雙方,在這種方式下,用戶不需要保存大量的會話密鑰,只需要保存同中心節點的加密密鑰,用于安全傳送由中心節點產生的即將用于與第三方通信的會話密鑰。這種方式缺點是通信量大,同時需要較好的鑒別功能以鑒別中心節點和通信方。目前這方面主流技術是密鑰分配中心KDC技術。我們假定每個通信方與密鑰分配中心KDC之間都共享一個惟一的主密鑰,并且這個惟一的主密鑰是通過其他安全的途徑傳遞。
(2)分散式密鑰分配方案
使用密鑰分配中心進行密鑰的分配要求密鑰分配中心是可信任的并且應該保護它免于被破壞。如果密鑰分配中心被第三方破壞,那么所有依靠該密鑰分配中心分配會話密鑰進行通信的所有通信方將不能進行正常的安全通信。如果密鑰分配中心被第三方控制,那么所有依靠該密鑰分配中心分配會話密鑰進行進信的所有通信方之間的通信信息將被第三方竊聽到
22. 密鑰的產生需要注意哪些問題?
算法的安全性依賴于密鑰,如果用一個弱的密鑰產生方法,那么整個系統都將是弱的。DES有56位的密鑰,正常情況下任何一個56位的數據串都能成為密鑰,所以共有256種可能的密鑰。在某些實現中,僅允許用ASCII碼的密鑰,并強制每一字節的最高位為零。有的實現甚至將大寫字母轉換成小寫字母。這些密鑰產生程序都使得DES的攻擊難度比正常情況下低幾千倍。因此,對于任何一種加密方法,其密鑰產生方法都不容忽視。
大部分密鑰生成算法采用隨機過程或者偽隨機過程來生成密鑰。
隨機過程一般采用一個隨機數發生器,它的輸出是一個不確定的值。偽隨機過程一般采用噪聲源技術,通過噪聲源的功能產生二進制的隨機序列或與之對應的隨機數。
23. 請說明數字簽名的主要流程。
數字簽名通過如下的流程進行:
(1)采用散列算法對原始報文進行運算,得到一個固定長度的數字串,稱為報文摘要(Message Digest),不同的報文所得到的報文摘要各異,但對相同的報文它的報文摘要卻是惟一的。在數學上保證,只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符,這樣就保證了報文的不可更改性。
(2) 發送方用目己的私有密鑰對摘要進行加密來形成數字簽名。
(3) 這個數字簽名將作為報文的附件和報文一起發送給接收方。
(4)接收方首先對接收到的原始報文用同樣的算法計算出新的報文摘要,再用發送方的公開密鑰對報文附件的數字簽名進行解密,比較兩個報文摘要,如果值相同,接收方就能確認該數字簽名是發送方的,否則就認為收到的報文是偽造的或者中途被篡改。
24、解釋身份認證的基本概念。
身份認證是指用戶必須提供他是誰的證明,這種證實客戶的真實身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網絡資源,它是其他安全機制的基礎。
身份認證是安全系統中的第一道關卡,識別身份后,由訪問監視器根據用戶的身份和授權數據庫決定是否能夠訪問某個資源。一旦身份認證系統被攻破,系統的所有安全措施將形同虛設,黑客攻擊的目標往往就是身份認證系統。
25. 使用口令進行身份認證的優缺點?
優點在于黑客即使得到了口令文件,通過散列值想要計算出原始口令在計算上也是不可能的,這就相對增加了安全性。缺點:嚴重的安全問題(單因素的認證),安全性僅依賴于口令,而且用戶往往選擇容易記憶、容易被猜測的口令(安全系統最薄弱的突破口),口令文件也可被進行離線的字典式攻擊。
26. 有哪些生物特征可以作為身份認證的依據,這種認證的過程是怎樣的?
以人體唯一的、可靠的、穩定的生物特征(如指紋、虹膜、臉部、掌紋等)為依據,采用計算機強大的計算功能和網絡技術進行圖象處理和模式識別。該技術具有很好的安全性、可靠性和有效性。
所有的工作有4個步驟:抓圖、抽取特征、比較和匹配。生物捕捉系統捕捉到生物特征的樣品,唯一的特征將會被提取并且被轉化成數字符號,這些符號被存成那個人的特征摸板,人們同識別系統交互進行身份認證,以確定匹配或不匹配授權與訪問控制
27. 電子郵件存在哪些安全性問題?
1)垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。垃圾郵件會增加網絡負荷,影響網絡傳輸速度,占用郵件服務器的空間。
2)詐騙郵件通常指那些帶有惡意的欺詐性郵件。利用電子郵件的快速、便宜,發信人能迅速讓大量受害者上當。
3)郵件炸彈指在短時間內向同一信箱發送大量電子郵件的行為,信箱不能承受時就會崩潰。
4)通過電子郵件傳播的病毒通常用VBScript編寫,且大多數采用附件的形式夾帶在電子郵件中。當收信人打開附件后,病毒會查詢他的通訊簿,給其上所有或部分人發信,并將自身放入附件中,以此方式繼續傳播擴散。
28. 什么是防火墻,為什么需要有防火墻?
防火墻是一種裝置,它是由軟件/硬件設備組合而成,通常處于企業的內部局域網與Internet之間,限制Internet用戶對內部網絡的訪問以及管理內部用戶訪問Internet的權限。換言之,一個防火墻在一個被認為是安全和可信的內部網絡和一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間提供一個封鎖工具。
如果沒有防火墻,則整個內部網絡的安全性完全依賴于每個主機,因此,所有的主機都必須達到一致的高度安全水平,這在實際操作時非常困難。而防火墻被設計為只運行專用的訪問控制軟件的設備,沒有其他的服務,因此也就意味著相對少一些缺陷和安全漏洞,這就使得安全管理變得更為方便,易于控制,也會使內部網絡更加安全。
防火墻所遵循的原則是在保證網絡暢通的情況下,盡可能保證內部網絡的安全。它是一種被動的技術,是一種靜態安全部件。
29. 防火墻應滿足的基本條件是什么?
作為網絡間實施網間訪問控制的一組組件的集合,防火墻應滿足的基本條件如下:
(1) 內部網絡和外部網絡之間的所有數據流必須經過防火墻。(2) 只有符合安全策略的數據流才能通過防火墻。(3) 防火墻自身具有高可靠性,應對滲透(Penetration)免疫,即它本身是不可被侵入的。
30. 列舉防火墻的幾個基本功能?
(1)隔離不同的網絡,限制安全問題的擴散,對安全集中管理,簡化了安全管理的復雜程度。
(2)防火墻可以方便地記錄網絡上的各種非法活動,監視網絡的安全性,遇到緊急情況報警。
(3)防火墻可以作為部署NAT的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題或者隱藏內部網絡的結構。
(4) 防火墻是審計和記錄Internet使用費用的一個最佳地點。
(5) 防火墻也可以作為IPSec的平臺。
(6)內容控制功能。根據數據內容進行控制,比如防火墻可以從電子郵件中過濾掉垃圾郵件,可以過濾掉內部用戶訪問外部服務的圖片信息。只有代理服務器和先進的過濾才能實現。
31、防火墻有哪些局限性?
(1) 網絡上有些攻擊可以繞過防火墻(如撥號)。(2) 防火墻不能防范來自內部網絡的攻擊。(3) 防火墻不能對被病毒感染的程序和文件的傳輸提供保護。(4) 防火墻不能防范全新的網絡威脅。(5) 當使用端到端的加密時,防火墻的作用會受到很大的限制。(6) 防火墻對用戶不完全透明,可能帶來傳輸延遲、瓶頸以及單點失效等問題。(7)防火墻不能防止數據驅動式攻擊。有些表面無害的數據通過電子郵件或其他方式發送到主機上,一旦被執行就形成攻擊(附件)。
32、包過濾防火墻的過濾原理是什么?
包過濾防火墻也稱分組過濾路由器,又叫網絡層防火墻,因為它是工作在網絡層。路由器便是一個網絡層防火墻,因為包過濾是路由器的固有屬性。它一般是通過檢查單個包的地址、協議、端口等信息來決定是否允許此數據包通過,有靜態和動態兩種過濾方式。
這種防火墻可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火墻就會使用默認規則(丟棄該包)。在制定數據包過濾規則時,一定要注意數據包是雙向的。
33、靜態包過濾和動態包過濾有什么不同?
靜態包過濾在遇到利用動態端口的協議時會發生困難,如FTP,防火墻事先無法知道哪些端口需要打開,就需要將所有可能用到的端口打開,會給安全帶來不必要的隱患。
而狀態檢測通過檢查應用程序信息(如FTP的PORT和PASV命令),來判斷此端口是否需要臨時打開,而當傳輸結束時,端口又馬上恢復為關閉狀態。
34. 試述RAID 0、RAID 1、RAID 3、RAID 5方案。
(1)RAID0—-無冗余、無校驗的磁盤陣列。
RAID0至少使用兩個磁盤驅動器,并將數據分成從512字節到數兆節的若干塊(數據條帶),這些數據塊被交替寫到磁盤中。RAID0不適用于對可靠性要求高的關鍵任務環境,但卻非常適合于對性能要求較高的視頻或圖像編輯。(2)RAID1:鏡像磁盤陣列。
每一個磁盤驅動器都有一個鏡像磁盤驅動器,鏡像磁盤驅動器隨時保持與原磁盤驅動器的內容一致。RAID1具有較高的安全性,但只有一半的磁盤空間被用來存儲數據。為了實時保護鏡像磁盤數據的一致性,RAID1磁盤控制器的負載相當大,在此性能上沒有提高。RAID1主要用于在對數據安全性要求很高,而且要求能夠快速恢復損壞的數據的場合。(3)RAID3:帶奇偶校驗碼的并行傳送。
RAID3使用一個專門的磁盤存放所有的校驗數據,而在剩余的磁盤中創建帶區集分散數據的讀寫操作。RAID3適合用于數據密集型環境或單一用戶環境,尤其有益于要訪問較長的連續記錄,例如數據庫和Web服務器等。(4)RAID5:無獨立校驗盤的奇偶校驗磁盤陣列。
RAID5把校驗塊分散到所有的數據盤中。RAID5使用了一種特殊的算法,可以計算出任何一個帶區校驗塊的存放位置,這樣就可以確保任何對校驗塊進行的讀寫操作都會在所有的RAID磁盤中進行均衡,從而消除了產生瓶頸的可能。RAID5能提供較完美的性能,因而也是被廣泛應用的一種磁盤陣列方案。它適合于I/O密集、高讀/寫比率的應用程序,如事務處理等。為了具有RAID5級的冗余度,我們至少需要三個磁盤組成的磁盤陣列。RAID5可以通過磁盤陣列控制器硬件實現,也可以通過某些網絡操作系統軟件實現。
35. 簡述Web安全目標及技術?
Web安全目標是:
保護Web服務器及其數據的安全、
保護Web服務器和用戶之間傳遞信息的安全、
保護終端用戶計算機及其他人連入Internet的設備的安全。
Web安全技術主要包括:
Web服務器安全技術
Web應用服務安全技術
Web瀏覽器安全技術
36. 數據備份的種類有哪些?常用的方法有哪些?
數據備份按照備份時所備份數據的特點可以分為三種:
完全備份
增量備份
系統備份
根據數據備份所使用的存儲介質種類可以將數據備份方法分成如下若干種:
軟盤備份、磁帶備份、可移動存儲備份、可移動硬盤備份、本機多硬盤備份和網絡備份。
3.案例分析
一、我們知道,從克林頓時代的網絡基礎設施保護,到布什時代的網絡反恐,再到奧巴馬時代的創建網絡司令部,美國的國家信息安全戰略經歷了一個“從被動預防到網絡威懾”的演化過程。
據美國《紐約時報》報道,美國國防部正在采取措施加強美軍網絡戰備戰能力,其中一項措施是創建網絡戰司令部。網絡戰司令部將對目前分散在美國各軍種中的網絡戰指揮機構進行整合。成立網絡戰司令部實際上是承認美國已擁有越來越多的網絡戰武器。克林頓時代的網絡安全戰略主題是基礎設施保護,重點在于“全面防御”;布什時代的網絡安全戰略主題是網絡反恐,重點在于“攻防結合”;奧巴馬時代的網絡安全戰略已顯現出“攻擊為主,網絡威懾”的主題。
從克林頓時代的網絡基礎設施保護,到布什時代的網絡反恐,再到奧巴馬時代的創建網絡司令部,美國的國家信息安全戰略經歷了一個“從被動預防到網絡威懾”的演化過程。而隨著“棱鏡事件”的曝光以及***任中央網絡安全和信息化領導小組組長,很明顯,信息安全事件已經上升到了全球性的一個戰略高度話題,那么,作為一個中國公民,我們應該如何看待信息安全話題,以及你認為對我國有何種啟示呢?
答:
啟示如下:
一 是有序管理。
我國對信息安全問題一直十分重視,但近年來形成的條塊管理體制造成國家信息安全管理出現多頭管理的局面,缺乏國家層面上的統一協調和管理。
二 是實現技術自主。
我國網絡領域的核心技術對外依存度很高,重要信息系統安全存在隱患。微軟操作系統等重要信息化裝備留有后門等間諜軟件已不是秘密,黑屏事件、微軟終端“五國”MSN(即時通信工具)事件足以證明美國可以隨時對我國發動信息攻擊。實現技術自主,加大對“核高基”技術和產品的投入非常重要。
三 是系統可控。
對于目前不能夠實現技術自主的信息系統,應當加強風險評估、分級管理,實行等級保護,做到系統安全可控。
四 是加強國際合作。
我國應加強國際合作,特別是加強全球范圍內的信息安全的共同治理,共同應對跨國信息安全問題。積極參與下一代互聯網游戲規則的制定,利用國內廣大的市場和產業,提高信息領域的話語權。
二、中國網絡安全問題非常突出。隨著互聯網技術和應用的快速發展,中國大陸地區互聯網用戶數量急劇增加。據估計,到2020年,全球網絡用戶將上升至50億戶,移動用戶將上升100億戶。我國2013年互聯網用戶數將達到6.48億,移動互聯網用戶數達到4.61億。網民規模、寬帶網民數、國家頂級域名注冊量三項指標仍居世界第一,互聯網普及率穩步提升。然而各種操作系統及應用程序的漏洞不斷出現,相比西方發達國家,我國網絡安全技術、互聯網用戶安全防范能力和意識較為薄弱,極易成為境內外黑客攻擊利用的主要目標。
據國家互聯網應急中心(CNCERT)的數據顯示,中國遭受境外網絡攻擊的情況日趨嚴重。CNCERT抽樣監測發現,2013年1月1日至2月28日,境外6747臺木馬或僵尸網絡控制服務器控制了中國境內190萬余臺主機;其中位于美國的2194臺控制服務器控制了中國境內128.7萬臺主機,無論是按照控制服務器數量還是按照控制中國主機數量排名,美國都名列第一。
通過以上數字及案例,請結合自身實際感受,羅列出目前網絡系統主要面臨的安全隱患問題。
答:
①系統漏洞及復雜性。
創建互聯網最初只用于科研和計算,其設計及技術本身并不安全。另外,主機系統和網絡協議的結構復雜,以及一些難以預料的軟件設計和實現過程中的疏忽及漏洞隱患,致使網絡安全與防范非常繁雜困難。
②網絡共享性。
網絡快速發展、資源共享與更新,致使相關的法律法規、管理、運行及技術保障等方面問題難以及時有效地得到解決。網絡資源共享增加更多開放端口,使黑客和病毒的侵入有機可乘,為系統安全帶來更大隱患。
③網絡開放性。
開放的服務、端口和通信協議等給網絡帶來極大的隱患和風險,而且站點主機和路由等數量劇增,致使網絡監控與管理難以及時準確有效。
④身份認證難。
網絡環境下的身份認證技術、機制和環節等較薄弱,常用的靜態口令極不安全,以越權借用管理員的檢測信道,便可竊取用戶名和密碼等重要信息。
⑤傳輸路徑與結點不安全。
用戶通過網絡互相傳輸的路徑多且中間結點多,因此,兩端的安全保密性根本無法保證中間結點的安全問題。
⑥信息聚集度高。
信息量少且分散時,其價值不易被注意。當大量相關信息聚集以后,顯示出其重要價值。網絡聚集大量敏感信息后,容易受到分析性等方式的攻擊。
⑦邊界難確定。
為了網絡升級與維護預留的擴展性致使網絡邊界難以確定,網絡資源共享訪問也使網絡安全邊界“長城”被削弱,致使對網絡安全構成嚴重的威脅。
4.分析說明題
計算路由器下一跳
解析防火墻各項規則含義
轉載于:https://www.cnblogs.com/wangyaning/p/7853864.html
總結
