简述针对操作系统层的网络攻击及防御
温州职业技术学院
2011/ 2012学年第一学期《网络攻防》试卷(A)卷
适用班级 网络0901/0902_(开)卷 总页数共_3_页
班级_网络0902_ 姓名___ 学号__ 成绩_____
一. 简述针对物理层的网络攻击及防御?(10分)
攻击:网络物理层最重要的攻击主要有直接攻击和间接攻击,直接攻击时指:直接对硬件进行攻击,间接攻击是指对间接的攻击物理介质,如复制或sinffer,把信息原样的传播开来
防御:物理层信息安全主要包括防止物理通路的损坏、通过物理通路窃听、对物理通路的攻击(干扰)等;
二.简述针对操作系统层的网络攻击及防御?(20分)
网络攻击的步骤一般可分为以下几步:
1. 收集目标的信息
2. 寻求目标计算机的漏洞和选择合适的入侵方法
3. 留下“后门”
4. 清除入侵记录
攻击:黑客、病毒、木马、系统漏洞
防御:打开防火墙,杀毒软件等,关闭远程登入、漏洞的修补,不明网站不打开。
三.简述针对网络层的网络攻击及防御?(20分)
攻击:网络层攻击的类型可以分:首部滥用、利用网络栈漏洞带宽饱和
IP地址欺骗、Nmap ICMP Ping扫描,Smurf攻击、Ddos攻击网络层过滤回应,伪造,篡改等
防御:网络层的安全需要保证网络只给授权的客户提供授权的服务,保证网络路由正确,避免被拦截或监听,设置防火墙;
四.简述针对应用层的网络攻击及防御?(20分)
攻击:在对应用层的攻击中,大部分时通过HTTP协议(80端口)进行。恶意脚本 还有Cookie投毒 隐藏域修改 缓存溢出 参数篡改 强制浏览 已知漏洞攻击
Ddos攻击
SQL注入
CSS攻击
防御:对应用层的防范通常比内网防范难度要更大,因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口,如web的80端口。这样,黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计,所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足,对特定应用进行有效保护。
五、论述如何构建一个如图所示的企业安全内联网Intranet安全防御体系?(30分)
注意:安全防御体系包括总公司网络和分公司网络互联,远程拔号接入等
核心层采用快速以太网或以上类型组建全动态交换式网络。汇聚层采用100M或以上进行链接,接入层采用交换式10M进行链接。
以TCP/IP协议作为基础,以WEB为核心应用,构成统一和便利的信息交换平台在内网服务器上安装杀毒、防火墙软件辅以一定的访问控制策略并及时更新补丁等多项安全措施相结合的综合安全防护体系。
设定有限的网络管理即制定一套对计算机网络进行规划、设计、操作运行、管理、监控、分析等手段,充分应用资源提供可靠地服务。
对边缘交换机进行地址转换。采用3A认证、VPN通道加密、LAN技术隔离、备份线路、数据备份、带有网管系统,有个标准的通信协议,有防火墙,在非军事化区
放置对外的服务器。
网络攻击升级,提供安全防御技术有哪些
我们常用的网络安全防御技术,主要包括防火墙,杀毒软件,网址过滤,终端检测和响应,以及浏览器隔离解决方案!
以下是各自的最佳操作,希望对你有帮助:
防火墙
防火墙是常用的终端保护平台,可作为终端与互联网之间的屏障。防火墙过滤通过互联网进入网络或终端的信息。如数据包被标记,则不允许通过。以下是防火墙设置和使用的一些最佳实践:
1、请勿购买第一个碰到的。在线搜索并与同行协商,根据您的需求寻找最合适的选择
2、请专家配置和管理防火墙。如果您没有内部专家(例如您的IT团队),请考虑将此任务外包给外部专家
3、确保每个终端都具有软件防火墙保护,并且每个互联网连接/服务器都具有硬件防火墙保护。
杀毒(AV)软件
杀毒(AV)软件通常直接安装在终端上,并可检测和删除恶意应用程序。传统杀毒软件使用病毒数据库来识别潜在的威胁,然后将其隔离和销毁,而下一代杀毒(NGAV)解决方案通常采用其他技术,而不仅仅依赖病毒数据库,来帮助识别威胁。使用杀毒软件时,请遵循以下做法:
1、选择一个优质的杀毒软件。虽然基本的免费杀毒解决方案在整个网络随处可见,但值得去购买更先进的解决方案,以提供更高程度的保护
2、确保网络上的每个终端都装有自身的杀毒软件,并且该软件会定期更新。建议将此作为组织安全策略的一项规则
3、考虑使用额外的反间谍软件、反恶意软件和反木马软件来补充杀毒软件,以保护终端免受其他形式的恶意威胁的侵害
4、确保对终端经常进行定期全面扫描,以检测任何可能已经入侵的病毒
5、每天至少更新一次病毒数据库,以保护终端免受最新威胁的侵害
6、使用大多数现代杀毒解决方案附带的额外终端保护功能,例如启发式病毒检测和电邮扫描,以获得进一步的保护
网址过滤
使用网址过滤限制网络流量,阻止用户访问已知或疑似恶意或有害网站。使用网址过滤工具时,请确保执行以下操作:
1、制定全面政策,确定可允许访问的网站类别
2、当用户遇到未正确分类的可疑网站时,应将其提交给网址过滤系统进行分类
终端检测和响应(EDR)
EDR系统含有复杂智能工具,可持续监视终端是否存在可疑活动或其他潜在安全问题,并在检测到异常行为时启动实时响应。在选择和实施EDR系统时,请遵守以下准则:
1、在选择适当的EDR之前,为您的组织制定全面的安全政策,以便您清楚了解希望EDR实现的目标
2、确保解决方案适用于网络上使用的所有类型的终端
3、选择与终端保护系统所有其他元件兼容的EDR
4、确保您选择的EDR供应商协助安装、配置和集成EDR系统
浏览器隔离解决方案
浏览器隔离解决方案是所有全面终端防护策略的重要组成部分,因其可以保护最常见的勒索软件、零日攻击,隐蔽强迫下载和其他恶意内容的攻击媒介,即网络浏览器。这些解决方案填补了诸如防火墙和杀毒软件等工具留下的关键空白,因为它们不依赖于检测威胁来防范攻击。相反,他们在虚拟机或容器等孤立的环境中运行所有活动浏览器的可执行代码,无论该活动是否为恶意。这就确保了即使万一在浏览器上运行了恶意代码,终端也不会受到影响。在实施浏览器隔离解决方案时,以下是一些最佳做法:
1、选择一个在组织网络之外的云端或网络隔离区中执行浏览会话的远程浏览器隔离解决方案(RBI)。这会将终端和网络从任何潜在风险中转移出来,以获得最佳保护
2、通过确保浏览环境在每个会话结束时重置为已知良好状态,选择一种可最大程度减少持续威胁的解决方案。例如,Ericom Shield远程浏览器隔离会在其自身的一次性容器中运行每个浏览器的页面,并在浏览会话结束时或经过预定的闲置时间后将其销毁,从而进一步降低感染风险
3、旨在为任何设备提供最佳用户体验的解决方案,最好无需任何本地安装,以便用户可以按照自己选择的设备和浏览器正常浏览,IT也无需安装或维护个人终端上的任何内容
4、确保解决方案兼容,并且可以与组织安全系统的其他组件有效集成
5、利用集成文件清理技术。一些浏览器隔离解决方案预先集成了CDR或其他工具,用于解除用户浏览时所下载文件的警报。
如果对我的回答还满意的话记得采纳哦~
计算机网络系统设计方案时应遵循哪些原则?
尽管没有绝对安全的网络,但是,如果在网络方案设计之初就遵从一些合理的原则,那么相应网络系统的安全和保密就更加有保障。设计时如不全面考虑,消极地将安全和保密措施寄托在网管阶段事后“打补丁”的思路上,这是相当危险的和不可取的做法。从工程技术角度出发,在设计网络方案时,应该遵守以下原则: 1.网络信息系统安全与保密的“木桶原则” 强调对信息均衡、全面地进行安全保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分
网络方案设计过程主要分哪几个步骤
步骤如下:
1,需求调研
2,需求分析
3,概要设计
4,详细设计
设计方案内容包括:网络拓扑、IP地址规划、网络设备选型等等。
扩展资料:
网络工程设计原则
网络信息工程建设目标关系到现在和今后的几年内用户方网络信息化水平和网上应用系统的成败。在工程设计前对主要设计原则进行选择和平衡,并排定其在方案设计中的优先级,对网络工程设计和实施将具有指导意义。
1,实用、好用与够用性原则
计算机与外设、服务器和网络通信等设备在技术性能逐步提升的同时,其价格却在逐年或逐季下降,不可能也没必要实现所谓“一步到位”。所以,网络方案设计中应采用成熟可靠的技术和设备,充分体现“够用”、“好用”、“实用”建网原则,切不可用“今天”的钱,买“明、后天”才可用得上的设备。
2,开放性原则
网络系统应采用开放的标准和技术,资源系统建设要采用国家标准,有些还要遵循国际标准(如:财务管理系统、电子商务系统)。其目的包括两个方面:第一,有利于网络工程系统的后期扩充;第二,有利于与外部网络互连互通,切不可“闭门造车”形成信息化孤岛。
3,可靠性原则
无论是企业还是事业,也无论网络规模大小,网络系统的可靠性是一个工程的生命线。比如,一个网络系统中的关键设备和应用系统,偶尔出现的死锁,对于政府、教育、企业、税务、证券、金融、铁路、民航等行业产生的将是灾难性的事故。因此,应确保网络系统很高的平均无故障时间和尽可能低的平均无故障率。
4, 安全性原则
网络的安全主要是指网络系统防病毒、防黑客等破坏系统、数据可用性、一致性、高效性、可信赖性及可靠性等安全问题。为了网络系统安全,在方案设计时,应考虑用户方在网络安全方面可投入的资金,建议用户方选用网络防火墙、网络防杀毒系统等网络安全设施;网络信息中心对外的服务器要与对内的服务器隔离。
5, 先进性原则
网络系统应采用国际先进、主流、成熟的技术。比如,局域网可采用千兆以太网和全交换以太网技术。视网络规模的大小(比如网络中连接机器的台数在250台以上时),选用多层交换技术,支持多层干道传输、生成树等协议。
6,易用性原则
网络系统的硬件设备和软件程序应易于安装、管理和维护。各种主要网络设备,比如核心交换机、汇聚交换机、接入交换机、服务器、大功率长延时UPS等设备均要支持流行的网管系统,以方便用户管理、配置网络系统。
7,可扩展性原则
网络总体设计不仅要考虑到近期目标,也要为网络的进一步发展留有扩展的余地,因此要选用主流产品和技术。若有可能,最好选用同一品牌的产品,或兼容性好的产品。在一个系统中切不可选用技术和性能不兼容的产品。
网络安全防范体系有哪些设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则: 1.网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。 2.网络信息安全的整体性原则 要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。 3.安全性评价与平衡原则 对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。 4.标准化与一致性原则 系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。 5.技术与管理相结合原则 安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 6.统筹规划,分步实施原则 由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。 7.等级性原则 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。 8.动态发展原则 要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。 9.易操作性原则 首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
网络安全方案设计流程主要有哪些步骤?
首先强调网络安全的重要性 立足自己的产品 如果是防病毒当然就是强调病毒木马的危害 如果是安全网关 则着重于攻击或黑客带来的隐患
其次是分析对方的拓扑图 这是最关键的 除了清楚的让客户认识到自己网络中的隐患外 还能告诉对方需要在什么地方做改动
之后就是介绍自己的产品 或者公司资质等等
最后可以举出一些成功案例还有售后服务之类
当然 不能忘记报价
0条大神的评论