逻辑安全访问控制可以采取哪两种措施?

以下17习题,请课前小组预习,获取知识。下节课,我们会以分组抽签的形式随机抽取问题,分组中有一个同学马上回答问题。如果回答正确,所有小组成员将获得10积分。在小组回答问题的时候,其他同学注意一下,然后可以进行补充回答。如果补充回答正确,所有补充回答组均给予1分。如果一组回答不全面,全班没人补充,最后老师补充,全班扣1分。

分组表:A1组包括座位为A1、B1、C1、D1的学生;A2组包括A2座、B2、C2和D座的学生,以此类推;E1组包括座位为E1、F1、G1的学生;组E2包括座位E2、F2和G2的学生,等等。

标题:

1.逻辑安全访问控制可以采取哪两种措施?

2.信息加密的两种安全措施是什么?

3.物理安全中防止静电的最好措施是什么?

4.可以用哪三种方法来防止电磁泄漏?

5.计算机病毒* * *有七个特征,哪四个特征是所有病毒共有的?

6.讨论如何正确使用杀毒软件。(可以这样讨论:电脑杀毒软件是不是装得越多越好;杀毒软件是否万能,只要安装了,就能查杀和防范所有病毒;是否有必要及时升级病毒库等。)

7.请分别谈谈杀毒软件和防火墙的功能和特点(包括区别)。

8.计算机信息安全分为物理安全和逻辑安全。物理和逻辑安全包括哪些方面?并请判断以下情况属于哪种人身安全。一台电脑没有联网,也没有人从上面下载信息,但是信息被盗了。

9.应该采取什么措施来维护计算机环境?

10.有一种病毒,进入电脑后一般人发现不了,但它会在某个时间爆发,破坏电脑系统。根据以上情况,病毒有什么特点?

11.电脑病毒除了杀毒软件还需要注意什么?(简短地)

12.目前的计算机犯罪有哪些?我们经常会收到一些垃圾邮件,讨论为什么会收到垃圾邮件。应该是什么样的罪?

13.预防计算机犯罪应该从哪些方面着手?其中,《青少年上网公约》体现了怎样的防范措施?

14.目前的计算机网络安全产品有哪些?防火墙和网络入侵检测产品有什么区别?

15.请讨论并说出五款国内外著名的杀毒软件。

16.计算机病毒的定义是什么?

17.请讨论计算机病毒和计算机特洛伊马的本质区别。

教育网站服务器主机的选择

在选择教育网站服务器主机时,除了功能、性能、价格等因素外,更重要的是考虑安全需求。服务器很多,但是安全性能不一样。要使教育网站安全,您必须选择满足安全要求的服务器。在线教育网站的安全要求一般包括:

(1)较低的脆弱性

(2)只能由授权用户管理的有限能力。

(3)拒绝访问服务器中未发布信息的能力。

(4)关闭操作系统或服务器软件中不必要的网络服务的能力。

5]可控访问各种外部可执行程序(如CGI脚本、服务器插件)的能力。

[6]记录教育网站的服务器活动以检测入侵或入侵企图的能力。

2教育网络分段和虚拟网络(VLAN)的应用和划分原则

对于局域网来说,网络分段和VLAN是保证教育网络安全的有效措施。

2.1教育网分段提升安全性能。

教育网络分段是保证安全的重要措施,也是基本措施。其指导思想是将非法用户与网络资源隔离,从而达到限制用户非法访问的目的。教育网络分割可分为物理分割和逻辑分割:

物理分段通常是指从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)将网络分成若干个网段,网段之间不能直接通信。目前很多交换机都有一定的访问控制能力,可以实现网络的物理分段。

逻辑分段是指在网络层(ISO/OSI模型中的第三层)对整个系统进行分段。例如,对于TCP/IP网络,可以将网络划分为若干个IP子网,子网之间必须通过路由器、路由交换机、网关或防火墙进行连接,并利用这些中间设备的安全机制(包括软件和硬件)来控制各自网络之间的访问。在实际应用过程中,可以采用物理分割和逻辑分割相结合的方法来实现网络系统的安全性能控制。

2.2利用VLAN改变安全性能

以太网本质上是基于广播机制,但应用了交换和VLAN技术后,实际上转化为点对点的通信。除非设置监听端口,否则在信息交换中不会出现监听和插(换)的问题。

上述运行机制给网络安全带来的好处是显而易见的:

信息只到达正确的地方。因此,大多数基于网络监控的入侵方法都被阻止。

通过虚拟网络设置的访问控制,虚拟网络外部的网络节点不能直接访问虚拟网络内部的节点。

2.3 VLAN之间的划分原则

VLAN分区的目的是确保系统的安全性。因此,VLAN;可以根据系统的安全性来划分;主服务器系统可分为VLAN,如数据库服务器、电子邮件服务器等。VLAN也可以根据教育机构和对象的设置来划分。比如可以根据教育机构的服务器管理员所在的网络独立作为一个leader VLAN(LVLAN),其他VLAN分别作为其他VLAN或几个VLAN,控制LVLAN与其他VLAN之间的单向信息流,即允许LVLAN查看其他VLAN的相关信息,其他VLAN无法访问LVLAN的信息。VLAN内部的连接是通过交换实现的,VLAN和VLAN之间的连接是通过路由实现的。

3服务器主机和服务器软件的配置

3.1教育网站服务器与内部网络隔离。

公共服务器主机是供公众访问的计算机。无论主机及其应用软件配置得多好,总会有人找到新的入侵点。入侵者可以观察或捕获内部主机之间的网络通信,或者进入内部主机获取更详细的信息。因此,需要将服务器主机与内部网络隔离,如图1所示。

图1 WEB服务器网络结构

3.2在更安全的主机上维护教育网站内容的可靠副本。

当服务器上信息的完整性被破坏时,需要一个可靠的拷贝来恢复它。建议将可靠的信息副本存储在与服务器主机隔离的更安全的主机上(即,在网络防火墙内的内部网络上),除了站点管理员之外,任何其他用户(无论是内部还是外部)都不能访问该副本。

3.3教育网站服务器主机只提供基本的网络服务。

现代计算机具有提供多种服务和应用的功能。如果在一台主机上同时提供多种服务和应用程序,主机的安全性能会被削弱。因此,教育站点服务器应配置如下:

(1).尽可能关闭服务和应用,然后选择性开启那些基础教育服务;

2.确保您打算支持教育服务器的功能(如CGI脚本);

(3).如果有其他方法提供相同的功能,请选择更安全的方法;

(4)一旦确定了最低限度的教育服务和应用,确保它们在主机上可用;

5.确定所有配置选项后,生成并记录关键系统软件的加密检查或其他完整检查信息。

3.4配置教育网站服务器以提高安全性。

由于不同的组织对公共站点有不同的要求,服务器软件提供了各种软件配置选项来满足不同站点的需求。默认配置设置可能是“典型”站点的最佳设置,这当然是供应商想象的优化,通常基于性能要求或易于安装。但是,在为教育网站安装服务器软件时,必须根据安全要求仔细配置服务器。

(1).配置教育站点服务器的日志功能。

教育站点服务器的日志文件记录了服务器对每个请求的响应行为信息,通过分析这些日志可以获得有用的用户信息和安全信息。目前有很多日志文件分析工具,大部分可以分析两种标准的日志文件格式,即“通用日志格式”和“扩展通用日志格式”。应该将服务器配置为生成任一格式的日志文件。

2.配置教育站点服务器的辅助网络服务。

通用教育网站服务器可以同时提供其他网络服务,如文件传输协议(FTP)、gopher协议、电子邮件或从客户端上传文件等。为了增加教育网站服务器的安全性,建议在不需要这些服务的情况下关闭所有辅助服务。

⑷.配置教育网站服务器的本地或远程管理。

教育站点主机控制台用于管理教育站点,可以控制教育站点服务器(防火墙外)和管理工作站(防火墙内)之间的网络传输,增加安全性。

然而,在许多情况下,教育网站的服务器管理必须远程管理。此时,有必要确保:

1.服务器主机对用户的身份验证能力很强,尤其是避免传输明文密码,除非是一次性密码。

②.服务器主机只允许从特定的远程主机进行远程管理。

(3).管理主机和服务器之间的网络传输中应该没有这些信息。如果信息被入侵者截获,它可以访问服务器或内部网络。

5.确定操作系统提供的访问控制类型。

一些操作系统可以限制远程访问教育网站服务的文件,这些进程可以被限制为只读访问一些文件,而一些文件是不允许访问的。

[6].使用文件访问控制来实现:

①公共教育网站的内容文件只能读取,不能被服务器管理进程写入。

(2)服务器管理进程无法写入存储教育网站内容的目录。

③公共教育网站的内容文件只能由服务器管理进程写入。

④教育网站服务器的日志文件可以由服务器进程写入,但不能作为教育网站的内容读取。

⑤.教育站点服务器的日志文件只能由管理进程读取。

⑥.教育网站服务器进程生成的任何临时文件(如生成动态页面时所需的文件)必须限制在特定的子目录中。

一次。不允许目录列表服务。

根据教育网站协议(http),以斜杠结尾的URL是请求列出目录中的文件。一般来说,即使这个目录中的所有文件都准备好发布,服务器也不允许响应这样的请求。这种请求意味着试图通过非教育网站提供的方法来定位信息。当浏览困难或链接中断时,用户可能会尝试重新排序。入侵者可以利用这种方法定位教育网站界面隐藏的信息。您可以从服务器日志文件中找到这样的请求。

⑻.配置服务器,使其不能为指定数量的文件目录之外的文件提供服务。

具体实现可以通过服务器软件本身的配置或者通过操作系统来选择。您必须避免在文件目录树中使用链接或别名,因为它表示网络中的服务器主机或其他文件。

9.确保服务器日志文件或配置文件不能用作公共教育网站的内容文件。

日志文件应该存储在服务器主机上,而不是传输到内部网络上的另一台主机。同样,服务器配置文件或参考文件也应该保存在服务器主机上。

使用服务器配置选项和操作系统访问控制来确保这些文件无法传输给用户,即使用户知道这些文件的名称(URL)。如果可能,将这些文件放在公共数据目录树之外。

⑽.完成所有配置选择后,应为服务器软件生成密码检查或其他完整的检查基准信息。

4网络教育网站服务器管理

4.1在安全模式下管理教育网站服务器

教育网站的服务器管理包括向服务器添加新内容、检查服务器日志、安装新的外部程序和更改服务器配置等。这些管理可以在服务器控制台或通过网络在另一台主机上完成。无论您在哪里管理它,都必须确保它的安全性,尤其是当您使用远程主机管理服务器时。

⑴.当选择远程主机来管理教育网站的服务器时,应该以安全的方式进行管理。

①教育站点服务器主机应具有较强的用户认证功能,需要避免使用明文传输密码。

②.教育站点服务器由特定的主机管理,主机的身份验证不依赖于网络解析信息,如IP地址或DNS名称。

③在管理员主机和服务器之间的网络传输过程中,不应向入侵者提供有关访问服务器或内部网络的信息。

⑵.如果允许,您可以使用可移动存储介质将教育网站的内容复制到教育网站服务器。

(3).当需要在另一台主机上检查服务器的日志文件时,应该以安全的方式将日志文件传输到该主机。

⑷.当服务器配置或网站内容发生变化时,应生成新的加密检查或其他完整的检查信息。

4.2检查目录和文件是否有意外更改。

网络环境中的文件系统包含了大量的软件和数据文件,目录和文件的意外变化,尤其是那些访问受到限制的文件,表明发生了某种入侵。入侵者为了隐藏自己在系统中的存在,通常会用功能相同的程序替换系统的原程序并修改日志文件,或者在系统中生成一个新文件。因此,通过检查系统目录和文件的变化信息,可以尽早发现入侵。

(1).为系统文件建立优先级和检查计划。

(2).关键文件和目录的权威参考数据,包括:

文件系统中的位置

可选路径

文件的内容,目录的入口。

实际长度和分配的单位(如果可能)。

文件和目录的生成和最终修改的时间和日期

所有权和访问权限设置

⑶.根据既定计划,将文件的属性和内容与权威参考数据进行比对,检查目录和文件的完整性。

(4).检查丢失的文件或目录。

5.检查任何新的文档和目录。

[6].调查已发现的任何意外变化的原因。

4.3检查系统和网络日志

日志文件记录了系统和网络中的异常和意外活动,入侵者往往会在日志文件中留下自己的足迹,所以定期检查系统和网络日志是发现入侵者的方法之一。日志文件因操作系统、运行的应用软件和配置而异。表1给出了典型日志文件中包含的信息。