第一篇:信息网络安全规章制度复习题
金盾工程主要包括哪些?
答:1.公安基础通信设施和网络平台建设;
2.公安计算机应用系统建设;
3.公安工作信息化标准和规范体系建设;
4.公安网络和信息安全保障系统建设;
5.公安工作信息化运行管理体系建设。
如何切实维护好社会治安,提高打击违法犯罪的能力,争当全国公安的排头兵? 答:科技强警是必由之路
今后五年我省实现公安信息化工作目标的基本思路是什么? 答:
1、立足全局抓规划,实现信息化公安和谐发展。
2、立足需求抓建设,实现信息化应用全面覆盖。
3、立足实战抓应用,实现信息化效益规模化。
4、立足长远抓保障,实现信息化发展持续化。
争当公安信息化建设的排头兵,确保公安信息化建设顺利推进的主要措施包括哪些?
答:
1、着力完善信息化工作机制,以信息化创新警务模式
2、着力完善信息化保障机制,确保信息化建设的可持续发展
3、着力加强信息化培训考核,形成全警信息化应用格局
科技强警首先要什么? 答:实现信息化
我省金盾工程建设的主要内容是什么?
答:一个信息中心、二个平台、三个保障体系、四个层次、八大信息资源库和16类56个应用系统。
单选题
《公安部关于禁止公安业务用计算机“一机两用”的通知》规定发生“一机两用”的情形为()
1、公安机关使用的计算机及网络设备既连接公安信息网,又连接国际互联网。
2、公安机关使用的计算机及网络设备在未采取安全隔离措施的情况下即连接公安信息网,又连接外单位网络。
3、存有涉密信息的计算机连接国际互联网或其他公共网络。
4、将国际互联网信息直接下载粘贴到公安信息网上。答案:1、2、3、4
2、擅自在公安信息网上开设与工作无关的个人网站(页)、聊天室、BBS等网站(页)的,给予();造成严重后果的,给予记过处分。答案:警告处分
以下行为可能会造成计算机感染病毒、数据泄露或被恶意入侵
1、开设共享目录
2、不设密码
3、将密码简单设为123或abc
4、一机两用
答案:1、2、3、4
在公安网上,以下哪些行为属违规行为()
1、建立个人网站
2、进行与工作无关的视频点播
3、建立游戏网站,下班时间才开放
4、采用bt到其他地方网站下载电影 答案:1、2、3、4
《公安计算机信息系统安全保护规定》规定严禁下列操作行为()
1、非法侵入他人计算机信息系统
2、将公安机关使用的计算机及网络设备同时连接公安信息网和国际互联网
3、擅自对公安计算机信息系统和网络进行扫描
4、擅自在公安信息网上开设与公安无关的网站或网页 答案:1、2、3、4
公安民警使用公安网,严禁以下行为()
1、将秘密级以上信息上网
2、玩网络游戏、聊天或从事其他与工作无关的事情,建立个人主页
3、未经公安信息网安全管理部门授权,使用黑客工具、扫描工具或软件扫描、检测不属于自己管理或使用的计算机系统漏洞。
4、浏览其他省厅和地市的网页 答案:1、2、3
违反“一机两用”规定,将公安信息网及设备外联其他信息网络、或者擅自拆除监控程序、逃避监控、扰乱上网注册工作的,给予()处分;造成严重后果的,给予记过以上处分。答案:通报批评或者警告
“一机两用”是导致()的重要途径,对公安信息网络和信息安全构成严重威胁。
1、病毒
2、黑客入侵
3、数据泄密
4、机器损坏 答案:1、2、3 判断题
计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其他计算机 答案:正确
公安网是内部网,为办公方便,计算机不用设置密码也没问题 答案:错误
新购置的电脑,联入公安网之前,必须安装重要的安全补丁,并设置复杂的密码。答案:正确
公安信息系统数字身份证书的管理单位为公安各级信息通信部门。答案:正确
公安网属于涉密网。答案:错误
在公安网上虽然不能开设聊天室,但可以开设个人网页。答案:错误
联接公安网的笔记本电脑,有时出差或回家上一下互联网是可以的。答案:错误 计算机不断重新启动,有可能中了“冲击波”病毒。答案:正确
不要打开来历不明或标题怪异的电子邮件及其附件,以免遭受病毒邮件的侵害。答案:正确
禁止将秘密载体作为废品出售 答案:正确
公安机关人民警察使用公安信息网,要落实“谁主管、谁负责”、“谁使用、谁负责”的管理责任制。答案:正确
将公安网的计算机断开与公安网连接后再去连接互联网,这种行为不属于“一机两用”。答案:错误
在工作调动时,公安信息系统数字身份证书持有者应将证书介质交还原责任单位。答案:正确 公安信息系统数字身份证书持有者可将其转借给公安内部人员。答案:错误
连接公安网的计算机必须进行注册,且注册信息必须真实。答案:正确
破坏公安信息网站、窃取数据的,给予记大过或者降级处分;造成严重后果的,给予撤职或者开除处分。答案:正确
严禁在计算机硬盘内存储绝密级信息 答案:正确
各业务部门在送修前需对维修公司相关人员进行教育和提醒,要求送修计算机(有硬盘等存储设备)在维修过程中(特别是进行相关驱动程序升级时)不得联接互联网或其他网络。无存储功能的计算机不受此条限制。答案:正确
张某为了使信息更快的与同事交流,在公安信息网上开设了聊天室,这种做法是正确的。答案:错误
在公安网上可以开设ftp服务器,提供一些电影和游戏等同事共享。答案:错误
将手机联接公安网的计算机,同时启动手机的上网功能,会造成“一机两用”。答案:正确
公安机关业务部门送修的所有计算机在维修过程中均不得联接互联网或其他网络。答案:正确
在工作调动时,公安信息系统数字证书持有者应将证书介质交还原责任单位。答案:正确
连接公安网的计算机必须进行注册,且注册信息必须真实。答案:正确 在公安网上可以开设ftp服务器,提供一些电影和和游戏等与同事共享。答案:错误
要养成定期备份数据的习惯,将重要文件备份到移动硬盘或光盘,防止系统崩溃导致数据丢失。答案:正确
破坏公安信息网站、窃取数据的,给予记大过或者降级处分;造成严重后果的,给予撤职或者开除处分。答案:正确
严禁在互联网上使用涉密移动存储介质。答案:正确
不准私自允许非公安人员接触和使用公安网网络和信息。答案:正确
在公安机关,属非存储类故障的计算机,必须由本业务部门安全员将硬盘类存储设备取出后方能送修。答案:正确
第二篇:计算机网络安全 复习题
1.6 数字签名有效的前提是什么?鉴别数字发送者身份和数字签名有什么异同?
答:一是数字签名是唯一的,即只有签名者唯一能够产生数字签名;二是和报文关联,是针对特定报文的数字签名;三是数字签名的唯一和与特定报文关联的两种特性可以由第三方证明。
异同:数字签名完全可以实现源端身份鉴别,但是实现源端身份鉴别未必要求数字签名。
1.11 拒绝服务攻击为什么难以解决?服务器能自己解决SYN泛洪攻击吗?试给出网络解决拒绝服务攻击的方法。
答:拒绝服务攻击一般不违反访问授权,因此,很难通过接入控制、访问控制策略等安全技术加以解决,但发生拒绝服务攻击时,通往攻击目标链路的信息流模式,尤其是以攻击目标为目的地的信息流模式会发生重大变化,通过监测网络中各段链路的信息流模式的变化过程,可以发现拒绝服务攻击,通过控制信息流模式的变化过程对拒绝服务攻击进行抑制。2.1 狭义病毒的特征是什么?广义病毒特征是什
么?蠕虫病毒的特征是什么?
答:狭义病毒的特征是寄生和感染。即病毒不是完整的一个程序。而是嵌入某个文件中的一段代码,病毒发作时可以将这一段代码嵌入系统的其他文件中。一般情况下,病毒感染的文件往往是可执行文件或设备驱动程序。
广义的病毒特征是自我复制能力,自我复制和感染不同,由于广义病毒可以是完整的程序,自我复制指的是将该病毒程序从一个系统自动复制到另一个系统中,广义病毒程序可以作为一个独立文件存在。蠕虫病毒属于广义病毒,它的特征是自我复制和自动激活。2.6:简述
基于代码特征的病毒检测机制的原理和缺陷 答:需要建立病毒特征库,通过分析已发现的病毒提取出没一种病毒有别于正常代码或文本的病毒特征,然后根据病毒特征库在扫描的文件中进行匹配操作。2.7 简述基于行为特征的病毒检测机制的原理和缺陷。答:基于行为的检测技术可以检测出变形病毒和未知病毒,但是在执行过程中检测病毒,有可能因为已经执行部分病毒代码而对系统造成危害,并且由于很难区分正常和非正常的资源访问操作,无法为用户精确配置资源访问权限,常常发生漏报和误报病毒的情况。
1.6 数字签名有效的前提是什么?鉴别数字发送者身份和数字签名有什么异同?
答:一是数字签名是唯一的,即只有签名者唯一能够产生数字签名;二是和报文关联,是针对特定报文的数字签名;三是数字签名的唯一和与特定报文关联的两种特性可以由第三方证明。
异同:数字签名完全可以实现源端身份鉴别,但是实现源端身份鉴别未必要求数字签名。1.11 拒绝服务攻击为什么难以解决?
服务器能自己解决SYN泛洪攻击吗?试给出网络解决拒绝服务攻击的方法。
答:拒绝服务攻击一般不违反访问授权,因此,很难通过接入控制、访问控制策略等安全技术加以解决,但发生拒绝服务攻击时,通往攻击目标链路的信息流模式,尤其是以攻击目标为目的地的信息流模式会发生重大变化,通过监测网络中各段链路的信息流模式的变化过程,可以发现拒绝服务攻击,通过控制信息流模式的变化过程对拒绝服务攻击进行抑制。
2.1 狭义病毒的特征是什么?广义病毒特征是什么?蠕虫病毒的特征是什么?
答:狭义病毒的特征是寄生和感染。即病毒不是完整的一个程序。而是嵌入某个文件中的一段代码,病毒发作时可以将这一段代码嵌入系统的其他文件中。一般情况下,病毒感染的文件往往是可执行文件或设备驱动程序。
广义的病毒特征是自我复制能力,自我复制和感染不同,由于广义病毒可以是完整的程序,自我复制指的是将该病毒程序从一个系统自动复制到另一个系统中,广义病毒程序可以作为一个独立文件存在。蠕虫病毒属于广义病毒,它的特征是自我复制和自动激活。2.6:简述
基于代码特征的病毒检测机制的原理和缺陷 答:需要建立病毒特征库,通过分析已发现的病毒提取出没一种病毒有别于正常代码或文本的病毒特征,然后根据病毒特征库在扫描的文件中进行匹配操作。2.7 简述基于行为特征的病毒检测机制的原理和缺陷。答:基于行为的检测技术可以检测出变形病毒和未知病毒,但是在执行过程中检测病毒,有可能因为已经执行部分病毒代码而对系统造成危害,并且由于很难区分正常和非正常的资源访问操作,无法为用户精确
3.9 DDos攻击的基本思路是什么?试给出反制机制。答:直接DDoS攻击和间接DDoS攻击,通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
机制:1:聚集拥塞控制(ACC)2:基于异常防范,监测源IP地址防范3:基于源防范,出口过滤,路由过滤,IP跟踪4:包过滤和限速 3.15 如何防止重复攻击?
答:用序号和时间戳防御重放攻击,为了防御重放攻击,要求接收端能够检测出被黑客终端重复传输的消息和延迟转发的消息。4.1 RSA私钥和对称密钥
加密算法中的密钥有什么不同?
答:只有本人拥有RSA私钥,因此,可以用是否拥有私钥来鉴别用户身份。加密通信的各方都需要拥有对称密钥,只能用对称密钥来鉴别用户是否授权参与加密通信。4.4 什么是数
字签名?它和发送端身份鉴别有什么区别?试给出用RSA实现数字签名的方法。
答:发送端身份鉴别首先需要在鉴别者建立发送端和某个标识符之间的绑定关系,然后通过判断该发送端是否拥有或知道该标识符来确定是否是与该与该标识符绑定的发送端。数字签名当然可以用于发送端身份鉴别,但是数字签名的主要用途是用于证明发送端确实发送过它数字签名的报文。Dsk(MD(P))可以对报文P的数字签名,其中D是RSA解密算法,SK是RSA私钥。5.1 列出发送
端身份鉴别机制并比较它们的特点。答:一是建立发送端和某个对称密钥之间的绑定,传输信息中嵌入该对称密钥(或是用该对称密钥加密传输的数据,或是用该对称密钥加密数据的报文摘要);二是发送端对传输的数据进行数字签名,前提是接收端拥有与该发送端绑定的公钥。由于对称密钥的安全分发、存储比较难以实现,因此,第二种是比较常用的发送端身份鉴别机制。
WEP安全缺陷:
①一次性密钥字典②完整性检测缺陷③静态密钥管理缺陷
Socks5:是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使通讯更加安全。
3.9 DDos攻击的基本思路是什么?试给出反制机制。答:直接DDoS攻击和间接DDoS攻击,通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
机制:1:聚集拥塞控制(ACC)2:基于异常防范,监测源IP地址防范3:基于源防范,出口过滤,路由过滤,IP跟踪4:包过滤和限速 3.15 如何防止重复攻击?
答:用序号和时间戳防御重放攻击,为了防御重放攻击,要求接收端能够检测出被黑客终端重复传输的消息和延迟转发的消息。4.1 RSA私钥和对称密钥
加密算法中的密钥有什么不同?
答:只有本人拥有RSA私钥,因此,可以用是否拥有私钥来鉴别用户身份。加密通信的各方都需要拥有对称密钥,只能用对称密钥来鉴别用户是否授权参与加密通信。4.4 什么是数
字签名?它和发送端身份鉴别有什么区别?试给出用RSA实现数字签名的方法。
答:发送端身份鉴别首先需要在鉴别者建立发送端和某个标识符之间的绑定关系,然后通过判断该发送端是否拥有或知道该标识符来确定是否是与该与该标识符绑定的发送端。数字签名当然可以用于发送端身份鉴别,但是数字签名的主要用途是用于证明发送端确实发送过它数字签名的报文。Dsk(MD(P))可以对报文P的数字签名,其中D是RSA解密算法,SK是RSA私钥。5.1 列出发送
端身份鉴别机制并比较它们的特点。答:一是建立发送端和某个对称密钥之间的绑定,传输信息中嵌入该对称密钥(或是用该对称密钥加密传输的数据,或是用该对称密钥加密数据的报文摘要);二是发送端对传输的数据进行数字签名,前提是接收端拥有与该发送端绑定的公钥。由于对称密钥的安全分发、存储比较难以实现,因此,第二种是比较常用的发送端身份鉴别机制。
WEP安全缺陷:
①一次性密钥字典②完整性检测缺陷③静态密钥管理缺陷
Socks5:是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使通讯更加安全。5.2 列出接收端身份鉴别机制并比较它们的特点。答:接收端身份鉴别机制是保证只有授权接收端接收数据,一是发送端和接收端之间共享某个对称密钥,发送端用该对称密钥加密数据,这样,只有拥有该对称密钥的接收端才能解密数据;二是发送端产生一个随机数作为对称密钥,用其加密数据,但用接收端的公钥加密该作为对称密钥的随机数,并把加密密钥后产生的密文连同数据密文一起发生给接收端,接收端必须用私钥解密处对称密钥,然后,再用对称密钥解密出数据;三是发送端直接用接收端的公钥加密数据。由于对称密钥的安全分发、存储比较困难,并且用公开密钥加密算法加密数据解密数据的计算量太大,因此,常用的鉴别接收端机制是第二种。6.8 什么是策略路由?它有何安全意义?
答:策略路由是为特点IP分组选择特殊的传输路径,特定IP分组由分类条件确定,通过人工指定下一跳地址,确定特殊的传输路径。它的安全意义一是为重要终端间通信选择安全传输路径,如避开位于不安全的路由器等;二是绕过有黑客通过实施路由欺骗攻击而生成的错误传输路径;三是可以避开黑客的拒绝服务攻击。6.12 NAT的安全性如何体现?
答:在内部网络中的终端发起某个会话前,外部网络中的终端是无法访问到内部网络中的终端的,因此,也无法发起对内部网络中的终端的攻击。
完整性检测:WEP采用循环冗余校验(CRC)码作为消息验证码进行完整性检测,它首先检测在WEP帧结构中FCS字段的CRC码数据序列包含MAC帧的各个字段,看是否发生错误;还检测ICV加密运算之后生成的密文在传输过程中是否被更改。
7.11802.11i如何实现基于用户分配的密钥? 答:鉴别服务器建立鉴别数据库,鉴别数据库中给出授权用户名与用户标识信息的绑定跪下。首先鉴别用户身份,鉴别用户身份的过程就是判断用户提供的用户标识信息是否与鉴别数据库中与该用户绑定的用户标识信息相同。通过身份鉴别后,为该用户分配临时密钥TK,并将TK与用户使用的终端的MAC地址绑定在一起,以后一律用该TK加密解密与该MAC地址标识的终端交换的数据。
7.6WEP如何加密数据和完整性检测?
答:WEP加密机制:将40位密钥(也可以是104位密钥)和24位初始向量(IV)串接在一起,构成64位随机种子,接收端和发送端同步随机数种子,伪随机数生成器(PRNG)根据随机数种子产生一次性密钥,然后在进行数据和4字节完整性检验者和一次性密钥异或运算后构成密文。
5.2 列出接收端身份鉴别机制并比较它们的特点。答:接收端身份鉴别机制是保证只有授权接收端接收数据,一是发送端和接收端之间共享某个对称密钥,发送端用该对称密钥加密数据,这样,只有拥有该对称密钥的接收端才能解密数据;二是发送端产生一个随机数作为对称密钥,用其加密数据,但用接收端的公钥加密该作为对称密钥的随机数,并把加密密钥后产生的密文连同数据密文一起发生给接收端,接收端必须用私钥解密处对称密钥,然后,再用对称密钥解密出数据;三是发送端直接用接收端的公钥加密数据。由于对称密钥的安全分发、存储比较困难,并且用公开密钥加密算法加密数据解密数据的计算量太大,因此,常用的鉴别接收端机制是第二种。6.8 什么是策略路由?它有何安全意义?
答:策略路由是为特点IP分组选择特殊的传输路径,特定IP分组由分类条件确定,通过人工指定下一跳地址,确定特殊的传输路径。它的安全意义一是为重要终端间通信选择安全传输路径,如避开位于不安全的路由器等;二是绕过有黑客通过实施路由欺骗攻击而生成的错误传输路径;三是可以避开黑客的拒绝服务攻击。
6.12 NAT的安全性如何体现?
答:在内部网络中的终端发起某个会话前,外部网络中的终端是无法访问到内部网络中的终端的,因此,也无法发起对内部网络中的终端的攻击。
完整性检测:WEP采用循环冗余校验(CRC)码作为消息验证码进行完整性检测,它首先检测在WEP帧结构中FCS字段的CRC码数据序列包含MAC帧的各个字段,看是否发生错误;还检测ICV加密运算之后生成的密文在传输过程中是否被更改。
7.11802.11i如何实现基于用户分配的密钥? 答:鉴别服务器建立鉴别数据库,鉴别数据库中给出授权用户名与用户标识信息的绑定跪下。首先鉴别用户身份,鉴别用户身份的过程就是判断用户提供的用户标识信息是否与鉴别数据库中与该用户绑定的用户标识信息相同。通过身份鉴别后,为该用户分配临时密钥TK,并将TK与用户使用的终端的MAC地址绑定在一起,以后一律用该TK加密解密与该MAC地址标识的终端交换的数据。
7.6WEP如何加密数据和完整性检测?
答:WEP加密机制:将40位密钥(也可以是104位密钥)和24位初始向量(IV)串接在一起,构成64位随机种子,接收端和发送端同步随机数种子,伪随机数生成器(PRNG)根据随机数种子产生一次性密钥,然后在进行数据和4字节完整性检验者和一次性密钥异或运算后构成密文。
8.1 什么是VPN?采用VPN的主要原因是什么? 答:VPN(虚拟专用网)是指保持专用网络资源独享和安全传输特性,且又通过公共分组交换网络实现子网间互连的网络结构。
独享资源是指独立的本地IP地址空间。只供内部网络终端访问的内部网络资源,安全传输是指保证内部各个子网间交换的数据的保密性和完整性。企业需要建立有物理上分散的多个子网构成的内部网络。但要求采用方便、廉价且又能保证子网间数据交换的数据的保密性和完整性的互连技术。
8.2 目前用于实现VPN的技术有哪些?各有什么优缺点?
答:IP隧道和IP Sec、SSL VPN和MPLS。
IP隧道和IP Sec是最常见的VPN技术,几乎适用于实验VPN应用环境。SSL VPN用于精细控制远程终端(连接在公共分组交换网络上的终端)访问内部网络资源的过程,MPLS通过类似虚拟电路的LSP实现子网间互连,可以有效保证子网间传输的数据的服务质量(Qos),但安全性不如IP隧道和IP Sec;
9.12 代理与有状态分组过滤器的主要区别是什么? 答:代理是基于用户进行传输层会话控制,有状态分组过滤器是基于终端进行传输层会话控制。9.16 代理与堡垒主机的主要区别是什么?
答:代理在传输层实施监控,堡垒主机在应用层实施监控。
10.1 入侵防御系统和有状态分组过滤器的主要功能差异是什么?
答:有状态分组过滤器是按照配置的访问控制策略控制由它隔离的网络之间的信息交换过程,以会话为单位确定允许转发或丢弃的IP分组,入侵防御控制系统主要对流经某个网段或进出某个主机系统想信息流进行检测,发现异常信息流并加以干预。
10.5 网络入侵防御系统中的探测器分为转发模式和探测模式,这两种模式各有什么优缺点?
答:转发模式从一个端口接收信息流,对其进行异常检测,在确定为正常信息流的情况下,从一个端口转发出去。
探测模式被动的接收信息流,对其进行处理,发现异常时,向安全管理器报警,并视需要向异常信息流的源和目的终端发送复位TCP连接的控制报文。
探测器工作在转发模式时,信息流需要经过探测器进行转发,不存在捕获信息流问题。而在探测模式下却需要。
8.1 什么是VPN?采用VPN的主要原因是什么? 答:VPN(虚拟专用网)是指保持专用网络资源独享和安全传输特性,且又通过公共分组交换网络实现子网间互连的网络结构。
独享资源是指独立的本地IP地址空间。只供内部网络终端访问的内部网络资源,安全传输是指保证内部各个子网间交换的数据的保密性和完整性。企业需要建立有物理上分散的多个子网构成的内部网络。但要求采用方便、廉价且又能保证子网间数据交换的数据的保密性和完整性的互连技术。
8.2 目前用于实现VPN的技术有哪些?各有什么优缺点?
答:IP隧道和IP Sec、SSL VPN和MPLS。
IP隧道和IP Sec是最常见的VPN技术,几乎适用于实验VPN应用环境。SSL VPN用于精细控制远程终端(连接在公共分组交换网络上的终端)访问内部网络资源的过程,MPLS通过类似虚拟电路的LSP实现子网间互连,可以有效保证子网间传输的数据的服务质量(Qos),但安全性不如IP隧道和IP Sec;
9.12 代理与有状态分组过滤器的主要区别是什么? 答:代理是基于用户进行传输层会话控制,有状态分组过滤器是基于终端进行传输层会话控制。9.16 代理与堡垒主机的主要区别是什么?
答:代理在传输层实施监控,堡垒主机在应用层实施监控。
10.1 入侵防御系统和有状态分组过滤器的主要功能差异是什么?
答:有状态分组过滤器是按照配置的访问控制策略控制由它隔离的网络之间的信息交换过程,以会话为单位确定允许转发或丢弃的IP分组,入侵防御控制系统主要对流经某个网段或进出某个主机系统想信息流进行检测,发现异常信息流并加以干预。
10.5 网络入侵防御系统中的探测器分为转发模式和探测模式,这两种模式各有什么优缺点?
答:转发模式从一个端口接收信息流,对其进行异常检测,在确定为正常信息流的情况下,从一个端口转发出去。
探测模式被动的接收信息流,对其进行处理,发现异常时,向安全管理器报警,并视需要向异常信息流的源和目的终端发送复位TCP连接的控制报文。
探测器工作在转发模式时,信息流需要经过探测器进行转发,不存在捕获信息流问题。而在探测模式下却需要。/ 1
第三篇:信息及网络安全管理办法
信息及网络安全管理办法
第一条为了加强我局信息网络安全管理,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和《关于加强党政机关计算机信息系统安全和保密管理的若干规定》和省广电局“关于进一步加强信息网络安全管理的通知”的精神,结合我局实际,制定本办法。
第二条局信息网络包括:省广电公文传输网,市政府电子公文传输网,局网站、广电办公楼局域网。
第三条信息化建设领导小组主管我局信息网络安全工作,局信息中心(办公室)负责信息网络安全管理的具体工作。局各科室及有关单位按照规定的职责范围做好广电信息网络安全管理的相关工作。
第四条信息化建设领导小组职责:
1、制订信息网络安全的有关规定;
2、组织进行安全检查,落实有关信息安全的法律法规,督促整改安全隐患;
3、审定安全保护等级,确定要害计算机信息系统,负责局信息网络的安全监督;
4、处理违反信息网络安全有关规定的事件;
5、履行法律、法规和规章规定的其它职责。
第五条局信息中心主要职责:
1、在局信息化建设领导小组领导下协助制定信息网络安全的有关规定;
2、落实执行有关信息安全的法律、法规,组织检查员执证对网络系统的安全进行检查,负责整改安全隐患;
3、负责局网站和局域网系统的监督维护和管理,为局各科室的计算机维护提供技术支持,协助各有关单位搞好计算机网络系统的维护工作;
4、查处违反局信息网络安全有关规定的事件。
第六条局信息网络使用单位及科室的负责人负责本单位或本科室信息网络的安全管理工作,并积极配合局信息中心作好网络管理和检查工作。
第七条局信息网络的各使用单位应建立以下安全管理制度。
1、安全管理责任制度。明确本单位工作人员的安全管理职责。
2、安全保障制度。保障信息安全,保障计算机网络设施、信息系统、设施和运行环境安全,保障计算机功能正常发挥。
3、安全操作制度。规定信息网络系统的操作权限和程序。
4、安全检查制度。经常检查信息网络系统状况,发现问题及时报告并处理。
5、其他安全管理制度。
第八条属于国家秘密的信息,必须根据《中华人民共和国保密国家秘密法》和有关规定,采取相应保密措施,确保国家秘密安全。
第九条单位和个人使用的计算机与机关局域网进行联网,必须按规定在局信息中心办理登记手续。任何单位和个人,均不得自联入网。
已联网的单位和个人使用的计算机信息系统,如需更改与局信息网络安全管理有关的配置信息,如IP地址、联网接口等,必须在局信息中心按规定办理变更登记手续。任何单位和个人,均不得擅自更改配置信息。
第十条对局信息网络中发生的安全事故,有关使用单位或个人应当采取措施,防止扩散,保存相关记录,在24小时内向局信息中心报告。对于重大的问题局信息中心应及时向局信息化建设领导小组汇报。
第十一条有下列行为之一的,处以警告或者停机断网整顿。
1、违反计算机信息网络安全管理的规定;
2、违反计算机信息系统国际联网备案制度的;
3、不遵守《信息网络安全管理办法》的;
4、不按照规定时间报告信息网络安全事故的;
5、在网络安全检查中发现的问题限期内改进,而拒不改进的。
第十二条任何单位和个人不得制作、复制、查阅和传播关系国家安全和社会稳定、侮辱或者诽谤他人、宣扬迷信、色情暴力等信息;不得破坏、盗用计算机网络中的信息资源;不得危害计算机网络的安全;不得私自转借、转让用户账号;不得故意制作和传播计算机病毒;不得利用计算机网络从事危害国家安全、泄露国家机密的活动。
第四篇:信息网络安全承诺书
xxx公安局公共信息网络安全监察处:
我公司将严格落实《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》以及xx市公安局网监部门有关规定,切实做好各项工作,保证依法做好信息网络安全审批、备案工作,严查信息网络安全漏洞,配合公安机关网监部门查证工作,保证不再出现任何信息网络安全问题和违法违规行为。公司主要负责人: 公司盖章 XX年 月 日第五篇:信息网络安全资料
信息网络安全
主要内容
u
基础概述
u
风险威胁
u
建设应用
u
安全管理
第一部分
信息网络基础概述
虚拟世界
虚拟世界:高科技的网络信息时代,把意识形态中的社会结构以数字
化形式展示出来。
虚拟世界:数字空间、网络空间、信息空间。
现实世界与虚拟世界的不同:
交往方式不同,(面对面,视距;点对点,非视距)
生存基础不同(自然,科技)
实体形态不同(原子,比特)
自由空间不同(心灵空间,网络空间)
科技是第七种生命形态
人类已定义的生命形态仅包括
植物、动物、原生生物、真菌、原细菌、真细菌,人造物表现得越来越像生命体;生命变得越来越工程化。
失控——全人类的最终命运和结局
信息的及时传输和处理技术变成当代社会的生产力、竞争力和发展成功的关键。
一、基本概念
信息
定义1:信息是事物现象及其属性标识的集合。
定义2:以适合于通信、存储或处理的形式来表示的知识或消息。
信息构成是由:
(1)信息源(2)内容(3)载体(4)传输(5)接受者
信息一般有4种形态:①数据
②文本
③声音
④图像
人类信息活动经历:
1、语言的获得
2、文字的创造
人类四大古文字体系:
①古埃及圣书文字
②苏美尔楔形文字(伊拉克东南部幼发拉底河和底格里斯河下游)
③印地安人玛雅文字
④中国甲古文
3、印刷术的发明
唐朝有印刷;宋代毕升创造活字印刷术;元代王祯创造木活字,又发明转轮排字盘;明代铜活字出现;再到油印,发展到现在利用磁的性质来复印。
4、摩尔斯电报技术的应用
5、计算机网络的应用
网络
一、概念
定义1:由具有无结构性质的节点与相互作用关系构成的体系。
定义2:在物理上或/和逻辑上,按一定拓扑结构连接在一起的多个节点和链路的集合。
★
计算机信息系统
指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。(94年国务院147号令)
信息网络是一个人机系统。
基本组成:网络实体、信息和人。
★
信息网络安全
保护计算机信息系统免遭拒绝服务,未授权(意外或有意)泄露、修改和数据破坏的措施和控制。
信息网络安全包括:①
实体安全
②
信息安全
③
运行安全
④人员安全
二、特点与属性
1、特点:①开放性
②互动性
③虚拟性
④便捷性
⑤全球性
⑥脆弱性
★2、属性:①保密性
②完整性
③可控性
④可用性
⑤不可否认性
如果有一条出现问题就不安全了
三、发展现状
网民
5.13亿互联网普及率为38.3%
手机网民
3.56亿
微博用户达2.5亿
第二部分
信息网络风险威胁
中国面临的威胁
1、来自外部威胁:政治军事上、经济上、思想文化上、自然资源和生态环境上等
2、潜藏在内部的威胁:信仰和价值取向的偏失;国民整个心态失衡;腐败的威胁;贫富分化日益严重的威胁;大部分甚至绝大部分地区和人民仍然面临基本温饱和生存的表面繁荣;东西部和南北方在经济和文化诸方面差距越来越大的威胁等。
3、非传统威胁:金融安全、环境安全、信息安全、流行疾病、人口安全、民族分裂主义等。
网络安全从其本质上来讲就是网络上的信息安全。
从国家安全、社会稳定角度
从社会教育和意识形态角度
从单位组织和用户角度
⑴从国家安全、社会稳定角度:
n
美国利用互联网对我”西化””分化”和遏制的战略图谋更加突出
n
境外敌对势力的网上煽动破坏活动更加突出
n
群体性事件从网上发端的情况更加突出
n
网络违法犯罪活动更加突出
n
互联新技术新应用对我工作挑战更加突出
建立隐形网络(带天线的手提箱基站、没有中央集线器的无线网络)
触犯他国法律(美国在触犯他国法律的时候却说,如果网络安全遭到爽破坏并导致严重后果,将动用高精度武器,包括巡航导弹)
打响新信息战(占领信息空间、掌握信息资源)
超级网络武器:
决定未来战争胜负
美军网络武器可分为四类
1、计算机病毒类:包括“逻辑炸弹”、“软件嗅探”、“蠕虫”等破坏性病毒。
2、电磁脉冲类:位于新墨西哥州的洛斯阿拉莫斯国家实验室,研制出一种手提箱大小、能产生高能量电磁脉冲的设备。
3、电子生物类:能吞噬计算机电子器件,并使电子线路绝缘,就像普通微生物吞噬垃圾
和石油废料一样;或对作战人员产生电子生物方面的干扰破坏,使之丧失战斗力。“神经电子”武器,产生神经性头痛,并损坏视觉细胞。
4、计算机黑客类:“无线空中监视平台”。能破解手机的PIN码,黑客能借此窃听手机通话,甚至假冒手机信号发射塔。
⑵从社会教育和意识形态角度
十七届六中全会:中共中央关于深化文化体制改革、推动社会主义文化大发展大繁荣若干重大问题的决定。①积极利用
②科学发展
③依法管理
④确保安全
加强互联网管理,必须依靠政府、业界、公众三方同努力,形成政府监管、行业自律与公众监督相结合的格局。法律规范
行政监管
利用网络进行意识形态渗透和文化侵略
美国的“三片”文化:
薯片
控制了我们的胃。通过胃感受到一种外来文化的重量。
大片
控制了我们视觉娱乐。东方审美欣赏的习惯已经被美国人改造了。
芯片
控制了我们的创造性和文化安全性。可以通过特殊技术把我们电
脑里所有的材料复制拿走
文化是什么?文化是一种社会现象,是人们长期创造形成的产物。同时又是一种历史现象,是社会历史的积淀物。确切地说,文化是指一个国家或民族的历史、地理、风土人情、传统习俗、生活方式、文学艺术、行为规范、思维方式、价值观念等。
中国具有向世界贡献“文明、公平、正义”价值观
①“礼”,即以文明方式行为是超越“自由”的价值观。
②“仁”
“公平”是比“平等”更高水平的社会进步。
③“义”
可译为“正义”或“道义”
⑶从单位和用户角度
★
安全威胁从方式上分类:
①殃及信息网:911事件等、雷击、断电等
②针对信息网络:如非法侵入他人的计算机系统、破坏计算机信息系统、在互联网上传输计算机病毒等等。
③利用信息网络:
主要包括:A、利用互联网危害国家安全和社会稳定的犯罪行为;B、利用互联网实施的破坏社会主要市场经济和社会管理秩序的犯罪,例如网上销售伪劣产品、侵害他人商业信誉、做虚假宣传、侵害金融秩序等等;C、利用计算机来实施侵害他人的人身权利或合法财产权利的行为,例如网上盗窃、诈骗、敲诈勒索、侮辱诽谤他人等等。
★恶意病毒“四大家族”
:①宏病毒
②CIH病毒
③蠕虫病毒
④木马病毒
计算机犯罪的种类及特征
分类标准
特点
常见形式
以互联网络作为生存空间
被动性质,引诱一般人进入
1、色情网站
2、六合彩站点
以互联网作为犯罪工具
针对特定目标进行侵害,使用网络作为犯罪工具
1、在网络上进行恐吓、诽谤
2、网络诈骗
3、传播有害信息
以互联网作为犯罪客体
对网络或计算机信息系统进行破坏、攻击
1、入侵网络
2、散布病毒
★系统的物理故障:
①硬件故障与软件故障
②计算机病毒
③人为的失误
④网络故障和设备环境故障
不属于安全策略所涉及的方面是:
①物理安全策略
②访问控制策略
③信息加密策略
④防火墙策略
第三部分
信息网络应用
实现网络应用的四个要素:
1.通信线路和通信设备2.有独立功能的计算机3.网络软件支持
4.实现数据通信与资源共享
⑴电子商务
⑵网络媒体
一定的组织或个人,在以计算机为核心的各种多媒体交互式数字化信息传输网络上,建立的提供各种新闻与信息服务的相对独立的站点。搜索引擎、门户网站、新闻网站、社交网站与视频网站正在构成网络媒体的主流。
⑶
物联网
物联网重点是物联
物联网三个特征:全面感知(感知层)、可靠传递(网络层)、智能处理(应用层)
广义物:人、物、工具、车辆、任务、过程等
⑷公安信息网络
一级网络公安部至各省级公安厅的主干网络。
二级网指连接公安厅、局至所辖地市的主干网络。
三级网连接市局至分、县局的主干网络。
四级网接入公安主干网的基层科、所、队的网络。
公安无线通信系统
以公安专用频率为载体,采取不同技术体制,实现无线网络通信功能的系统。
常规移动通信系统、集群移动通信系统、通信系统、微波通信系统等、基于公网实现的公安移动通信系统。
公安专用卫星通信网
公安卫星通信网是指利用卫星频率资源以公安部卫星主站为管理中心,提供语音、数据、图像等业务服务的公安专用卫星通信网络。主要用于公安应急通信、扩大公安信息通信网络覆盖范围和支持边远地区的信息化应用。
u
公安视频网络
u
电视电话会议系统
u
视频指挥系统
u
交通管理视频监控系统
u
治安视频报警与监控系统
u
警务督察视频管理系统
u
其它
公安四大技术:①刑侦技术
②技侦技术
③网侦技术
④图侦技术
安全技术防范:起步于入侵检测、发展于视频监控、完善于特征识别。
《计算机信息系统安全保护条例》规定,国家对计算机信息系统安全专用产品的销售实行
许可证制度。
大情报系统
公安“大情报”系统是一个以信息化应用为支撑,以情报信息分析研判为主要内容,以服务于警务决策为目标的工作体系,是一项涉及众多环节的综合性工作。
大情报系统可以把它简称为
“四有”:
有一个平台(情报信息综合应用平台)、有一支队伍(各级情报信息分析研判专业机构)、有一套制度(公安情报系统运行管理制度)、有一系列工作模型。
队伍+工具+工作机制+工作方法=大情报系统
大情报”系统基本架构特点
:
一是汇集大量信息
二是服务各个警种
三是具有强大的研判能力
四是部、省、市三级平台具有“纵向贯通、横向共享、互为一体”
公安信息网络防护
u
防火墙
u
防毒软件
u
PKI/PMI系统
u
一机两用监控
u
边界接入平台
u
其它
防火墙在逻辑上,是一个分离器,一个限制器,也是一个分析器。防火墙的重要行为
A准许
B限制
C日志记录
D问候访问者
建立有效计算机病毒防御体系所需要的技术措施
A
杀毒软件
B
补丁管理系统
C防火墙
D网络入侵检测
E漏洞扫描
公安网络泄密案件:
①计算机木马
②U盘泄密
③出卖内部文件
④翻墙上传文件
⑤入侵数据中心
1.2G丢失
⑥内部文件互联网发布
⑸互联网影响
第四部分
信息网络安全管理
网络安全体系结构
信息载体:系统、网络
信息本身:数据、数据内容
安全要从三个方面入手:①安全法规
②安全技术
③安全管理
一、安全法规
法
律:是指由全国人民代表大会及其常委会通过的法律规范。
行政法规:是指国务院为执行宪法和法律而制定的法灋律规范。
我国与网络安全相关的法律主要有:
《宪法》《人民警察法》《刑法》《治安管理处罚法》《刑事诉讼法》《国家安全法》
《保守国家秘密法》《行政处罚法》《行政诉讼法》《行政复议法》《国家赔偿法》
《立法法》《中华人民共和国电子签名法》《全国人大常委会关于维护互联网安全的决定》
与网络安全有关的行政法规主要有:
国务院令147号:《中华人民共和国计算机信息系统安全保护条例》
国务院令195号:《中华人民共和国计算机信息网络国际联网管理暂行规定》
公安部令33号:
《计算机信息网络国际联网安全保护管理办法》
国务院令273号:《商用密码管理条例》国务院令291号:《中华人民共和国电信条例》
国务院令292号:《互联网信息服务管理办法》国务院令339号:《计算机软件保护条例》
相关规章规定:
《公安计算机信息系统安全保护规定》《公安信息通信网运行管理规定》
《公安部关于禁止公安业务用计算机“一机两用”的通知》
《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》
《公安信息通信网联网设备及应用系统注册管理办法》
两高司法解释
司法解释是指司法机关在具体适用法律过程中对法律规范的内容和含义所作的解答和说明,或者是对法律规范的定义及所使用的概念、术语、定义的进一步说明。
法治理念:
依法治国(核心内容)执法为民(本质要求)公平正义(价值追求)服务大局(重要使命)
党的领导
(根本保证)
核心价值观:忠诚、为民、公正、廉洁
个人信息安全法未入立法程序
《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
对个人信息的处理包括收集、加工、转移和删除四个主要环节,并提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
个人信息保护指南正式报批
非强制标准效力待查
国家标准分为三种,强制性标准,推荐性标准,指导性技术文,标准可以作为参考。
让人担忧的是,这个指南标准不是强制性标准,甚至也不是推荐性标准,标准通过会对行业起到多大的规范效力,仍待观察。
二、安全技术
应用层面
系统层面
网络层面
物理层面
技术理念
第一绝对安全与可靠的信息系统并不存在。第二安全是一个过程而不是目的。
信息安全等级保护
指将安全策略、安全责任和安全保障等计算机信息网络安全需求划分不同的等级,国家、企业和个人依据不同等级的要求有针对性地保护信息网络安全。
关键技术:
1.防电磁辐射
2.访问控制技术
3.安全鉴别技术
4.权限控制
5.通信保密
6.数据完整性
7.实现身份鉴别
8.安全审计9.病毒防范及系统安全备份10.加密方法
11.网络的入侵检测和漏洞扫描12.应用系统安全13.文件传送安全14.邮件安全
难点问题
1、需要海量的客户端(云安全探针);
2、需要专业的反病毒技术和经验;
3、需要大量的资金和技术投入;
4、必须是开放的系统,而且需要大量合作伙伴的加入。
三、安全管理
社会是由人群组成,有人群就要管理。社会管理就是社会关系的调整。虚拟社会现实化管理
人过留名、雁过留声、网过留痕。管理理念:社会化、多元化、法治化、专业化
管理区别:
管理对象:(社会人,信息)
管理领域:(地域空间,数字空间)
管理手段不同(法律、道德,高科技术)
安全管理
实体层面
网络层面
系统层面
应用层面
管理层面
管理层面贯穿了其他几个层面
监控方式:不限时间、不限地域。可以是全部用户,也可以是重点用户。
监控内容:用户行踪、用户有关个人资料,使用的电子邮件、社交网站、聊天工具等信息。
监控分析:掌握监控对象的活动规律,关注的内容、行为特点等信息。
落实手机和笔记本电脑使用安全管理规定
严禁在通信中涉及涉密内容
严禁带入涉密场所
严禁使用无线上网功能处理、存储、传输涉密信息。
涉密笔记本电脑一律拆除无线上网设备。
要害部门严禁使用通过3G网卡、无线路由等方式连
接互联网,严禁使用无线鼠标、无线键盘、摄像头、麦克风等设备
强化保密检查
提高技术防范能力
加强保密教育
安全提示
手机可能泄露哪些信息?
回应:通信录、密码、短信、照片都可能被窃取。
手机泄密的渠道有哪些?
回应:手机木马与恶意软件最危险;隐私窃取木马会监听并上传通话录音;一些看似普通的软件可能读取私人短信。
公共场所使用免费wifi安全吗?
回应:未经加密处理的用户名和密码信息可能被窃取,手机网银等加密资料不易被窃。
禁止利用互联网等从事违法活动
根据《中华人民共和国宪法》和相关法律法规规定,在保护公民合法言论自由的同时,禁止利用互联网、通讯工具、媒体以及其他方式从事以下行为:
一、组织、煽动抗拒、破坏宪法和法律、法规实施的。
二、捏造或者歪曲事实,散布谣言,妨害社会管理秩序的。
三、组织、煽动非法集会、游行、示威,扰乱公共场所秩序的。
四、从事其他侵犯国家、社会、集体利益和公民合法权益的。
管理部门将依法严加监管上述行为并予以处理;对构成犯罪的,司法机关将追究刑事责任。
法律规定
刑法第一百零五条
组织、策划、实施颠覆国家政权、推翻社会主义制度的,对首要分子或者罪行重大的,处无期徒刑或者十年以上有期徒刑;对积极参加的,处三年以上十年以下有期徒刑;对其他参加的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利。
以造谣、诽谤或者其他方式煽动颠覆国家政权、推翻社会主义制度的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利;首要分子或者罪行重大的,处五年以上有期徒刑。
世界各国互联网监管消息
·德国:加强对互联网管理
打击网络违法行为
·法国:八国集团峰会将集中讨论互联网问题
·美国:参议员抛出新提案:授权总统紧急关闭互联网
·新加坡:互联网管理:法律规范和技术保障双管齐下
·日本:呼吁加强互联网监管
警惕美国网络帝国主义
·英国:互联网监管疏而不漏
倡导行业的自律和协调
·韩国:《电气通信事业法》危险通信信息为管制对象
·意大利:出台网站视频审查法令
上传视频需要审核
·澳大利亚:多“管”齐下治理互联网
·俄罗斯:让网民远离有害信息
微博
微博的媒体性质与社交功能混合,导致了诸多的不便以及虚伪的表演性。
把微博视为自媒体的,即发表个人观点尤其是时事评论为主。
由系统自动产生的关注“僵尸粉”、传播谣言和虚假信息、买卖‘粉丝’、利用网络进行欺诈等。例:油价哥
不讲脏话无话可说
政治谣言
微博实名制执行力度成关键
微博女王
受众超人民日报发行量的八倍
虚拟网络不能变成虚假网络
谣言传播的名言:“当真理还在穿鞋,谣言已经走遍了天下。”
德国纳粹戈培尔也曾说过,“重复是一种力量,谎言重复一百次就会
成为真理。”
谣言一旦见于网络,就像病毒的传播,无形而迅猛。
从“药家鑫不死则法律死”,到“张显不坐牢,全民学造谣”,舆论
前后呈现出冰火两重天的分化.死刑不是灵丹妙药,民意不能替代法官审判
用舆论的方式来判定一个人的生死,是人治赤裸裸的重现。
舆情不能反映真相,尽管网民在选择时是真诚的。
如:A美女盛装在镁光灯下飘过,B美女戴口罩站在黑糊糊的角落,观众百分之百真诚选A为冠军,其实说明的真相是镁光灯来错,口罩捂的严实。
舆情真实反映客观的三个前题:
讨论是否自由?
观念是否多元?
信息是否充分?
结语
组成:网络实体、信息和人
实质:信息安全
人是第一生产力
安全理念是最好的防火墙