保护口令的一种方法是口令加密,就是为一进步防止口令泄露,口令在系统中保存时,以加密的形式存放。阻止口令攻击的另一种方法是拒绝入侵者访问口令文件,如果只有一个特权用户能够访问口令文件的加密部分,那么入侵者如果不知道该用户的口令,就无法读取它。
后门是一种可以绕过安全性控制而获得对程序或系统访问权的隐蔽程序或方法。在软件的开发阶段,程序员常会在软件内创建后门以便修改程序。如果后门被其他人知道,或是在发布软件之前没有删除后门,那么就可能被利用来建立隐蔽通道,甚至植入隐蔽的恶意程序,达到非法访问或窃取、篡改、伪造、破坏数据等目的。现在后门多指系统被入侵后被安装的具有控制系统权限的程序,通过它黑客可以远程控制系统。
漏洞是软件在开发的过程中没有考虑到的某些缺陷,也叫软件的bug。操作系统和应用软件都是存在安全漏洞的,这些漏洞不断地被发现。安全补丁是软件开发厂商为堵塞安全漏洞,提高软件的安全性和稳定性,开发的与原软件结合或对原软件升级的程序。因此,要定期从厂商处获取并安装最新的补丁程序,避免从非正规望站下载未知的补丁程序而被欺骗。
身份识别是指用户向系统出示自己身份证明的过程,主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。
嵌入式防火墙:就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样,所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。
基于软件的防火墙:是能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统,购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来,添加一个基于软件的防火墙就是合理之举。
基于硬件的防火墙:捆绑在“交钥匙”系统(Turnkey system)内,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。特殊防火墙:是侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的,MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙,但也具有防火墙类规则和应用防范禁闭功能。
通常,入侵检测系统按其输入数据的来源分为三种:基于主机的入侵检测系统,其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵;基于网络的入侵检测系统,其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵;分布式入侵检测系统,能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,系统由多个部件组成,采用分布式结构。
常规标准,可以将漏洞扫描器分为两种类型:主机漏洞扫描器(Host Scanner)和网络漏洞扫描器(Network Scanner)。网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序,如提供网络服务、后门程序、密码破解和阻断服务等的扫描测试。主机漏洞扫描器是指针对操作系统内部进行的扫描,如Unix、NT、Liunx系统日志文件分析,可以弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。一般采用Client/Server的架构,其会有一个统一控管的主控台(Console)和分布于各重要操作系统的Agents,然后由Console端下达命令给Agents进行扫描,各Agents再回报给Console扫描的结果,最后由Console端呈现出安全漏洞报表。
除了上述二大类的扫描器外,还有一种专门针对数据库作安全漏洞检查的扫描器,主要功能为找出不良的密码设定、过期密码设定、侦测登入攻击行为、关闭久未使用的帐户,而且能追踪登入期间的限制活动等,数据库的安全扫描也是信息网络安全内很重要的一环。
逻辑隔离器也是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。一般使用协议转换、数据格式剥离和数据流控制的方法,在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向,不能在两个网络之间直接进行数据交换。
信息过滤产品可以对互联网上的信息内容进行实时分析,对预先定义的非法信息内容进行过滤和拦截。信息过滤产品按其针对的服务进行分类,主要可分为:HTTP、邮件、TELNET(BBS)、FTP等。
VPN 架构中采用了多种安全机制,如隧道技术(Tunneling)、加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
安全操作系统主要特征:1、最小特权原则,即每个特权用户只拥有能进行他工作的权力;2、自主访问控制;强制访问控制,包括保密性访问控制和完整性访问控制;3、安全审计;4、安全域隔离。只要有了这些最底层的安全功能,各种混为“应用软件”的病毒、木马程序、网络入侵和人为非法操作才能被真正抵制,因为它们违背了操作系统的安全规则,也就失去了运行的基础。
数据库的安全性包括:机密性、完整性和可用性,数据库在三个层次上,客户机 /服务器通过开放的网络环境,跨不同硬件和软件平台通信,数据库安全问题在这个环境下变得更加复杂。管理分布或联邦数据库环境,每个结点服务器还能自治实行集中式安全管理和访问控制,对自己创建的用户、规则、客体进行安全管理。如由DBA或安全管理员执行本部门、本地区、或整体的安全策略,授权特定的管理员管理各组应用程序、用户、规则和数据库。因此访问控制和安全管理尤为重要。
安全数据库是指数据库管理系统必须允许系统管理员有效地管理数据库管理系统和它的安全,并且只有被授权的管理员才可以使用这些安全功能和设备。数据库管理系统保护的资源包括数据库管理系统存储、处理或传送的信息。数据库管理系统阻止对信息的未授权访问,以防止信息的泄漏、修改和破坏。
网络安全审计能够对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否安全的重要尺度。
(1)PKI/CA的工作原理
PKI/CA的工作原理就是通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。
(2)什么是数字证书?
数字证书就像日常生活中的身份证、驾驶证,在您需要表明身份的时候,必须出示证件来明确身份。您在参与电子商务的时候就依靠这种方式来表明您的真实身份。
(3)、什么是认证中心(CA)?
一个认证中心是以它为信任源,由她维护一定范围的信任体系,在该信任体系中的所有用户、服务器,都被发放一张数字证书来证明其身份已经被鉴定过,并为其发放一张数字证书,每次在进行交易的时候,通过互相检查对方的数字证书即可判别是否是本信任域中的可信体。
(4)什么是注册机构?
注册中心负责审核证书申请者的真实身份,在审核通过后,负责将用户信息通过网络上传到认证中心,由认证中心负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说,认证中心是面向各注册中心的,而注册中心是面向最终用户的,注册机构是用户与认证中心的中间渠道。
(5)PKI/CA的作用?
以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。PKI/CA解决方案已经普遍地应用于全球范围的电子商务应用中,为电子商务保驾护航,为电子商务的健康开展扫清了障碍。
电磁干扰是指雷电电磁脉冲、电网操作过电压、静电放电等电磁场会对计算机信息系统运行造成干扰。
计算机信息系统防范雷击灾害可以在与计算机连接的所有外线上(包括电源线和通信线)加设防雷保安器,同时规范地线,防止雷击时在地线上产生的高电位反击。
- 赞助本站
- 微信扫一扫
- 加入Q群
- QQ扫一扫
评论