1.简述目前网络面临的主要危胁以及网络安全的重要性。
答:网络结构复杂,威胁主要来自:病毒的侵袭、黑客的非法闯入、数据" 窃听" 和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗和基础设施破坏等。
下面来分析几个典型的网络攻击方式:
<1> 病毒的侵袭
几乎有计算机的地方,就有出现计算机病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快、影响面大,所以它的危害最能引起人们的关注。
病毒的" 毒性" 不同,轻者只会玩笑性地在受害机器上显示几个警告信息,重则有可能破坏或危及个人计算机乃至整个企业网络的安全。
有些黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。员工在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,这导致了病毒的传播。这些病毒会从一台个人计算机传播到另一台,因而很难从某一中心点对其进行检测。 任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件,并定期对软件中的病毒定义进行更新。值得用户信赖的防病毒软件包括Symantec 、Norton 和McAfee 等。然而,如果没有" 忧患意识" ,很容易陷入" 盲从杀毒软件" 的误区。 因此,光有工具不行,还必须在意识上加强防范,并且注重操作的正确性;重要的是在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
<2> 黑客的非法闯入
随着越来越多黑客案件的报道,企业不得不意识到黑客的存在。黑客的非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。一般来说,黑客常用的入侵动机和形式可以分为两种。
黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。黑客非法闯入将具备企业杀手的潜力,企业不得不加以谨慎预防。
防火墙是防御黑客攻击的最好手段。位于企业内部网与外部之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。硬件防火墙产品应该具备以下先进功能: 包状态检查:在数据包通过防火墙时对数据进行检查,以确定是否允许进入局域网络。
流量控制:根据数据的重要性管理流入的数据。
虚拟专用网(VPN)技术:使远程用户能够安全地连接局域网。
Java 、ActiveX 以及Cookie 屏蔽:只允许来自可靠Web 站点上的应用程序运行。 代理服务器屏蔽(Proxyblocking):防止局域网用户绕过互联网过滤系统。
电子邮件发信监控(Outgoinge-mailscreening):能够阻塞带有特定词句电子邮件的发送,以避免企业员工故意或无意的泄露某些特定信息。
<3>数据" 窃听" 和拦截
这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能还原并阅读的编码。
进行加密的最好办法是采用虚拟专用网(VPN)技术。一条VPN 链路是一条采用加密隧道(tunnel)构成的远程安全链路,它能够将数据从企业网络中安全地输送出去。两家企业可以通过Internet 建立起VPN 隧道。一个远程用户也可以通过建立一条连接企业局域网的VPN 链路来安全地访问企业内部数据。
<4>拒绝服务
这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。例如,通过破坏两台计算机之间的连接而阻止用户访问服务;通过向企业的网络发送大量信息而堵塞合法的网络通信,最后不仅摧毁网络架构本身,也破坏整个企业运作。
<5>内部网络安全
为特定文件或应用设定密码保护能够将访问限制在授权用户范围内。例如,销售人员不能够浏览企业人事信息等。但是,大多数小型企业无法按照这一安全要求操作,企业规模越小,越要求每一个人承担更多的工作。如果一家企业在近期内会迅速成长,内部网络的安全性将是需要认真考虑的问题。
<6>电子商务攻击
从技术层次分析,试图非法入侵的黑客,或者通过猜测程序对截获的用户账号和口令进行破译,以便进入系统后做更进一步的操作;或者利用服务器对外提供的某些服务进程的漏洞,获取有用信息从而进入系统;或者利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱,以获取进一步的有用信息;或者通过系统应用程序的漏洞获得用户口令,侵入系统。
除上述威胁企业网络安全的主要因素外,还有如下网络安全隐患:
恶意扫描:这种方式是利用扫描工具(软件) 对特定机器进行扫描,发现漏洞进而发起相应攻击。
密码破解:这种方式是先设法获取对方机器上的密码文件,然后再设法运用密码破解工具获得密码。除了密码破解攻击,攻击者也有可能通过猜测或网络窃听等方式获取密码。 数据篡改:这种方式是截获并修改网络上特定的数据包来破坏目标数据的完整性。
地址欺骗:这种方式是攻击者将自身IP 伪装成目标机器信任机器的IP 地址,以此来获得对方的信任。
垃圾邮件主要表现为黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件,或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上。
基础设施破坏:这种方式是破坏DNS 或路由器等基础设施,使得目标机器无法正常使用网络。
由上述诸多入侵方式可见,企业可以做的是如何尽可能降低危害程度。除了采用防火墙、数据加密以及借助公钥密码*等手段以外,对安全系数要求高的企业还可以充分利用网络上专门机构公布的常见入侵行为特征数据-通过分析这些数据,企业可以形成适合自身的安全性策略,努力使风险降低到企业可以接受且可以管理的程度。
企业网络安全的防范
技术与管理相结合:技术与管理不是孤立的,对于一个信息化的企业来说,网络信息安全不仅仅是一个技术问题,也是一个管理问题。在很多病毒或安全漏洞出现不久,网上通常就会有相应的杀毒程序或者软件补丁出现,但为什么还会让病毒肆虐全球呢?为什么微软主页上面及时发布的补丁以及各种各样查杀的工具都无法阻止这些病毒蔓延呢?归根结底还是因为很多用户(包括企业级用户) 没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。
要保证系统安全的关键,首先要做到重视安全管理,不要" 坐以待毙" ,可以说,企业的信息安全,是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高企业信息系统安全性的目的。
风险评估:要求企业清楚自身有哪些系统已经联网、企业网络有哪些弱点、这些弱点对企业运作都有哪些具体风险,以及这些风险对于公司整体会有怎样的影响。
安全计划:包括建立企业的安全政策,掌握保障安全性所需的基础技术,并规划好发生特定安全事故时企业应该采取的解决方案。企业网络安全的防范策略目的就是决定一个组织机构怎样来保护自己。
一般来说,安全策略包括两个部分:一个总体的安全策略和具体的规则。总体安全策略制定一个组织机构的战略性安全指导方针,并为实现这个方针分配必要的人力物力。
计划实施:所有的安全政策,必须由一套完善的管理控制架构所支持,其中最重要的要素是要建立完整的安全性解决方案。
物理隔离:即在网络建设的时候单独建立两套相互独立的网络,一套用于部门内部办公自动化,另一套用于连接到Internet ,在同一时候,始终只有一块硬盘处于工作状态,这样就达到了真正意义上的物理安全隔离。
远程访问控制:主要是针对于企业远程拨号用户,在内部网络中配置用户身份认证服务器。在技术上通过对接入的用户进行身份和密码验证,并对所有的用户机器的MAC 地址进行注册,采用IP 地址与MAC 地址的动态绑定,以保证非授权用户不能进入。
病毒的防护:培养企业的集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
防火墙:目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙的安全性能很高,是最不容易被破坏和入侵的。
网络安全问题简单化
大多数企业家缺乏对IT 技术的深入了解,他们通常会被网络的安全需求所困扰、吓倒或征服。许多企业领导,不了解一部网关与一台路由器之间的区别,却不愿去学习,或因为太忙而没时间去学。
他们只希望能够确保财务纪录没被窃取,服务器不会受到一次" 拒绝服务攻击" 。他们希望实现这些目标,但不希望为超出他们需求范围的技术或服务付出更高的成本,就像销售计算机设备的零售店不愿意提供额外服务一样。
2.什么是防火墙?防火墙应具有哪些基本功能?简述各类防火墙的工作原理和主要特点。
答:<1>防火墙:一种位于内部网络与外部网络之间的网络安全系统。详细解释
防火墙:所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障. 是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet 与Intranet 之间建立起一个安全网关(Security Gateway ),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、
包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet )分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet ,Internet 上的人也无法和公司内部的人进行通信。
<2>防火墙的主要功能包括:
a 检查所有从外部网络进入内部网络的数据包;
b 检查所有从内部网络流出到外部网络的数据报;
c 执行安全策略,限制所有不符合安全策略要求的分组通过;
d 具有防攻击能力,保证自身的安全性。
工作原理:防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。
<3>防火墙的种类
防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE 、NETSCREEN 、TALENTIT 等。
从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络过滤器(Filter )路由器(Router )Internet 从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。[1] 吞吐量网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT (Full Duplex Throughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
3. 计算机网络中使用的通信加密方式有哪些?简述各自的特点及使用范围。
答:计算机网络中使用的通信加密方式有:链路加密和端到端加密
<1>链路—链路加密
面向链路的加密方法将网络看作链路连接的节点集合,每一条链路被独立加密。链路—链路加密方式为两个节点之间通信链路中的信息提供安全性,它与这个信息的起始或终结无关,每一个这样的链接相当于OSI 参考模型建立在物理层之上的链路层。
这种类型的加密最容易实现,因为所有的报文都被加密,黑客攻击者无法获得任何关于报文结构的信息,也无法知道通信者、通信内容、通信时间等信息,还可以称之为信号流安全。这种加密方式中,密钥管理相对来说是简单的,只在链路的两站节点需要一个共用密钥。加密是在每条通信链路上独立进行的,每条链路上使用不同的加密密钥。因此,一条链路上的错误不会波及其他链路,影响其他链路上的信息安全。
链路—链路信息加密仅限于节点内部,所以要求节点本身必须安全。另一个较大的问题是维护节点安全性的代价。其优缺点如下:
a 加密对用户是透明的,通过链路发送的任何信息在发送前都先被加密;每条链路只需要一对密钥;提供了信号流安全机制。
b 缺点是数据在中间节点以明文形式出现,维护节点安全性的代价较高。
在链路—链路加密方式中,加密对用户是看不见的、透明的,所有的用户拥有一个设备,加密可以用硬件完成。
<2>节点加密
节点加密指每对节点共用一个密钥,对相邻两节点间(包括节点本身) 传送的数据进行加密保护。尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为消息提供安全性;都在中间节点先对消息进行解密,然后进行加密。因为要对所有传输的数据进行加密,这一过程在节点的安全模块中进行。在节点加密方式中,为了将报文传送到指定的目的地,链路上的每个节点必须检查路由选择信息,因此只能对报文的正文进行加密而不能对报头加密,报头和路由信息以明文形式传输,以便中间节点能得到如何处理该报文的信息,但是这种方法不利于防止攻击者分析通信业务。
<3>端—端加密
端—端加密方法建立在OSI 参考模型的网络层和传输层。这种方法要求传送的数据从源端到目的端一直保持密文状态,任何通信链路的错误不会影响整体数据的安全性。对于这种方法,密钥管理比较困难。如果加密在应用层或表示层进行,那么加密可以不依赖于所用通信网的类型。
在端—端加密方式中,只加密数据本身信息,不加密路径控制信息。信息在发送主机内和中间节点也是加密的。用户必须找到加密算法,用户可以选择加密,也可以决定施加某种加密手段。
端—端加密方法将网络看作是一种介质,数据能安全地从源端到达目的端。这种加密在OSI 模型的高3层进行,在源端进行数据加密,在目的端进行解密,而在中间节点及其链路上将一直以密文形式出现。其缺点是允许进行通信量分析,而且密钥管理机制较复杂。
<4>加密方式的选择
保密是一个相对概念,加密技术在攻守较量中不断发展和完善。采用什么加密方式,是安全策略研究的重要内容。一个信息系统要有明晰的安全策略,制定保密策略,选择合理、合适的加密方式。
前面介绍的几种加密方式都有其优缺点。目前网络加密主要采用链路加密和端到端加密方式。
通过对加密方式的分析,可得出如下结论:
a 在需要保护的链路数不多,要求实时通信,不支持端到端加密远程调用通信等场合宜采用链路加密方式,这样仅需少量的加密设备,可保证不降低太多的系统效能,不需要太高的加密成本;
b 在需要保护的链路数较多的场合以及在文件保护、邮件保护、支持端到端加密的远程调用、实时性要求不高的通信等场合,宜采用端到端加密方式,这样可以使网络具有更高的保密性、灵活性,加密成本也较低;
c 在多个网络互联的环境下,宜采用端到端加密方式;
d 对于需要防止流量分析的场合,可考虑采用链路加密和端到端加密相结合的加密方式。
4. 简述OSI 网络管理标准的5个功能域。
答:根据国际标准化组织定义网络管理有五大功能:故障管理、配置管理、性能管理、安全
管理、计费管理。对网络管理软件产品功能的不同,又可细分为五类,即网络故障管理软件,网络配置管理软件,网络性能管理软件,网络服务/安全管理软件,网络计费管理软件。 下面我们来简单介绍一下大家熟悉的网络故障管理、网络配置管理、网络性能管理、网络计费管理和网络安全管理五个方面网络管理功能:
<1>、网络故障管理:计算机网络服务发生意外中断是常见的,这种意外中断在某些重要的时候可能会对社会或生产带来很大的影响。但是,与单计算机系统不同的是,在大型计算机网络中,当发生失效故障时,往往不能轻易、具体地确定故障所在的准确位置,而需要相关技术上的支持。因此,需要有一个故障管理系统,科学地管理网络发生的所有故障,并记录每个故障的产生及相关信息,最后确定并改正那些故障,保证网络能提供连续可靠的服务。
<2>、网络配置管理:一个实现中使用的计算机网络是由多个厂家提供的产品、设备相互连接而成的,因此各设备需要相互了解和适应与其发生关系的其它设备的参数、状态等信息,否则就不能有效甚至正常工作。尤其是网络系统常常是动态变化的,如网络系统本身要随着用户的增减、设备的维修或更新来调整网络的配置。因此需要有足够的技术手段支持这种调整或改变,使网络能更有效地工作。
<3>、网络性能管理:由于网络资源的有限性,因此最理想的是在使用最少的网络资源和具有最小通信费用的前提下,网络提供持续、可靠的通信能力,并使网络资源的使用达到最优化的程度。
<4>、网络安全管理:计算机网络系统的特点决定了网络本身安全的固有脆弱性,因此要确保网络资源不被非法使用,确保网络管理系统本身不被未经授公的访问,以及网络管理信息的机密性和完整性。
<5>网络计费管理:当计算机网络系统中的信息资源是有偿使用的情况下,需要能够记录和统计哪些用户利用哪条通信线路传输了多少信息,以及做的是什么工作等。在非商业化的网络上,仍然需要统计各条线路工作的繁闲情况和不同资源的利用情况,以供决策参考。
5. 网络管理的主要目的是什么?
答:<1> 网络管理(Network Management)是通过某种方式对网络进行管理,使网络能正常高效地运行。
<2>网络管理的目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行。
6. 简述SNMP 管理模型的基本组成立部分。
答:在SNMP 中,SNMP 管理模型包含四个组成部分:
<1> SNMP NMS:SNMP 管理站,利用SNMP 协议对网络设备进行管理和监控的系统;
<2>SNMP Agent:SNMP 代理,是运行在被管设备上的软件模块,用于维护被管设备的信息数据(即MIB ),还负责接收、处理、响应来自NMS 的请求报文,也可以主动发送一些通知报文给NMS ;
<3> SNMP 协议:规定NMS 和Agent 之间是如何交换管理信息的应用层协议,以GET 、SET 方式替代了复杂的命令集,事先网管需求;