1. 作为局域网的网络安全管理员,应该从哪些方面来确保整个局域网的安全和可靠
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个 较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定 的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施, 实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
2. 信息安全策略应遵循哪些基本原则
实施原则
1、最小特权原则
最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权利。
2、最小泄露原则
最小泄露原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权利。
3、多级安全策略
多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密(TS)、机密(C)、秘密(S)、限制(RS)和无级别(U)5级来划分。
(2)网络安全配置管理应满足什么原则扩展阅读
所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
1、保密性
阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。
而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。
2、完整性
防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。
3、可用性
授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。
4、可控性
对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。
5、不可否认性
在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。
3. 网络安全法的基本原则包括哪些
网络安全法的基本原则包括网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则等。网络安全法基本原则包括国家主权原则、信息化和监管并重原则及合作治理原则等。强调主权,就是在我国境内的内外资网络运营商,都要遵守网络安全法,没有特权和法外之地。而共同治理则强调的国际合作,共同维护网络安全。
法律依据:《网络安全法》
第1条规定:要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。
第2条规定:本法适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
第3条规定:国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力。
《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作中来。
4. 网络安全有哪五大原则
我国在维护网络安全方面确立了五个方面的基本原则:
第一,实名制原则。
第二,互联互通原则。
第三,关键数据评估管理原则。
第四,保护个人隐私的原则。
第五,防火墙原则。
5. 网络系统安全性设计原则有哪些
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:
1.网络信息安全的木桶原则
网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。
2.网络信息安全的整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。
3.安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
4.标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。
5.技术与管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
6.统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。
7.等级性原则
等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8.动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
9.易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
6. 良好的网络设备安全配置管理原则
网络配置与管理
第一章
1. 计算机技术与通讯技术的紧密结合产生了计算机网络。它经历了三个阶段的发展过程:
具有通信功能的单机系统、具有通信功能的多机系统和计算机网络。
2. 计算机网络按逻辑功能分为资源子网和通信子网两部分。
资源子网是计算机网络中面向用户的部分,负责数据处理工作。
通信子网是网络中数据通信系统,它用于信息交换的网络节点处理机和通信链路组成,主要负责通信处理工作。
3. 网络设备,在现代网络中,依靠各种网络设备把各个小网络连接起来,形成了一个更大的网络,也就是Internet。网络设备主要包括:网卡(NIC)、调制解调器(Modem)、集线器(Hub)、中继器(Repeater)、网桥(Bridge)、交换机(Switch)、路由器(Router)和网关(Gateway)等。
4. 集线器是一种扩展网络的重要设备,工作在物理层。中继器工作在物理层,是最简单的的局域网延伸设备,主要作用是放大传输介质上传输的信号。网桥,工作在数据链路层,用于连接同类网络。交换机分为二层交换机和三层交换机,二层工作在数据链路层,根据MAC地址转发帧。三层交换机工作在网络层,根据网络地址转发数据包。每个端口都有桥接功能,所有端口都是独立工作的,连接到同一交换机的用户独立享受交换机每个端口提供的带宽,因此用交换机来扩展网络的时候,不会出现网络性能恶化的情况,这是目前使用最多的网络扩展设备。路由器,工作在网络层,它的作用是连接局域网和广域网。网关工作在应用层。
5. 传输介质,可分为有线传输介质和无线传输介质。
6. 计算机网络的分类,根据地理范围可以分为局域网(LAN)、城域网(MAN)、广域网(WAN)、和互联网(Internet)4种。
7. 局域网的分类,局域网主要是以双绞线为传输介质的以太网,基本上是企业和事业的局域网。
8. 以太网分为标准以太网,快速以太网,千兆以太网和10G以太网。
9. 令牌环网,在一种专门的帧称为“令牌”,在环路上持续地传输来确定一个结点何时可以发送包。
10. FDDI网,光纤分布式数据接口。同IBM的令牌环网技术相似,并具有LAN和令牌环网所缺乏的管理、控制和可靠性措施。
11. ATM网,异步传输模式,ATM使用53字节固定长度的单元进行交换。ATM的优点:使用相同的数据单元,可实现广域网和局域网的无缝连接。支持VLAN(虚拟局域网)功能,可以对网络进行灵活的管理和配置。具有不同的速率,分为25、51、155、622Mbps,从而为不同的应用提供不同的速率。ATM采用“信元交换”来代替“包交换”进行实验,发现信元交换的速度是非常快的。
12. 无线局域网,所采用的是802.11系列标准,它也是由IEEE 802标准委员会制定的。目前一系列标准主要有4个标准:802.11b 802.11a 802.11g 802.11z,前三个标准都是针对传输速度进行的改进。802.11b,它的传输速度为11MB/S,因为它的连接速度比较低,随后推出了802.11a标准,它的连接速度可达54MB/S。但由于两者不兼容,所以推出了802.11g,这样原有的802.11b和802.11a标准的设备都可以在同一网络中使用。802.11z是一种专门为了加强无线局域网安全的标准。因为无线局域网的“无线”特点,给网络带来了极大的不安全因素,为此802.11z标准专门就无线网络的安全做了明确规定,加强了用户身份认证制度,并对传输的数据进行加密。
13. 网络协议的三要素为:语法,语义,同步。
14. OSI参考模型是计算机网络的基本体系结构模型,通常使用的协议有:TCP/IP协议、IPX/SPX协议、NetBEUI协议等。
15. OSI模型将通信会话需要的各种进程划分7个相对独立的功能层次,从下到上依次是:物理层 数据链路层 网络层 传输层 会话层 表示层 应用层。
16. TCP/IP参考模型包括4个功能层:应用层 传输层 网际层及接口层
17. 协议组件 IP:网络层协议。 TCP:可靠的主机到主机层协议。 UDP:尽力转发的主机到主机层协议。 ICMP:在IP网络内为控制、测试、管理功能而设计的多协议。
18. IP地址介绍,地址实际上是一种标识符,它能够帮助找到目的站点,起到了确定位置的作用。IP 地址分为A B C DE类地址。
19. IP地址的使用规则:
20. 网络号全0的地址保留,不能作为标识网络使用。主机号全0的地址保留,用来标识网络地址。
网络号全1、主机号全0的地址代表网络的子网掩码。
地址0.0.0.0:表示默认路由。
地址255.255.255.255:代表本地有限广播。
主机号全1的地址表示广播地址,称为直接广播或是有限广播。可以跨越路由器。
21. 划分子网后整个IP地址就分为三个部分:主网号,它对应于标准A,B,C类的网络号部分。借用主机位作为网络号的部分,这个被称为子网号。剩余的主机号。
22. 子网掩码的意义,在掩码中,用1表示网络位,用0表示主机位。
23. IPV4地址不够用了,所以出现了IPV6地址。,在表示和书写时,用冒号将128位分割成8个16位的段,这里的128位表示在一个IPV6地址中包括128个二进制数,每个段包括4位的16进制数字。
第二章
1. 路由器是一种网络连接设备,用来连接不同的网络以及接入Internet。
IOS是路由器的操作系统,是路由器软件商的组成部分。
2. 路由器和PC机一样,也需要操作系统才能运行。Cisco(思科)路由器的操作系统叫做IOS,路由器的平台不同、功能不同,运行的IOS也不相同。IOS是一个特殊格式的文件,对于IOS文件的命名,思科采用了特殊的规则。
4. 网络互连:把自己的网络同其他的网络互连起来,从网络中获取更多的信息和向网络发布自己的消息。网络互连有多种方式,其中执行最多是网桥互连和路由器互连。
5. 路由动作包括两项基本内容:寻径和转发。寻径:判断到达目的地的最佳路径,由路由器选择算法来实现。
6. 路由选择方式有两种:静态路由和动态路由。
7.RIP协议最初是为Xerox网络系统的Xerox parc通用协议设计的,是Internet中常用的路由协议。RIP采用距离向量算法,也称为距离向量协议。 RIP执行非常广泛,它简单,可靠,便于配置。
8.ROP已不能互连,OSPF随机产生。它是网间工程任务组织的内部网关协议工作组为IP网络而开发的一种路由协议。是一种基于链路状态的路由协议。
9.BGP是为TCP/IP互联网设计的外部网关协议,用于多个自治域之间。
10.路由表的优先问题,它们各自维护的路由表都提供给转发程序,但这些路由表的表项间可能会发生冲突。这种冲突可通过配置各路由表的优先级来解决。通常静态路由具有默认的最高优先级,当其他路由表项与它矛盾时,均按静态路由转发。
11. 路由算法有一下几个设计目标:最优化 简洁性 快速收敛性灵活性坚固性
路由算法执行了许多种不同的度量标准去决定最佳路径。
通常所执行的度量有:路径长度。可靠性,时延。带宽。负载通信成本等。
第三章
进入快速以太网接口配置模式命令:Router(Config)#Interface Fasterthernet interface-number
配置IP地址及其掩码的命令:Router(Config-if)#ip address ip-address ip-mask【secondary】
启用接口的命令:Router(Config)#no shutdown
进入接口SO配置模式:Router1(config)#interface serial 0
配置路由器接口SO的IP地址:Router1(config-if)#ip address 172.16.2.1255.255.255.0
配置Router1的时钟频率(DCE):Router1(config-if)#clock rate 64000
开启路由器fastetherner0接口:Router1(config)#no shutdown
第四章
静态路由的优点:1.没有额外的路由器的cpu负担2.节约带宽3.增加安全性
静态路由的缺点:1.网络管理员必须了解网络的整个拓扑结构
2.如果网络拓扑发生变化,管理员要在所有的路由上动手修改路由表
3.不适合于大型网络
默认路由是在路由选择表中没有对应于特定目标网络的条目是使用的路由
华为路由器配置默认路由:【RunterC】ip route-static 0. 0.0.0.0.0.0.0 192.168.40.1
静态路由的默认管理距离:1
目前使用的动态路由协议又两种:内部网关协议(IGP)和外部网关协议(RGP)
三种路由协议:距离矢量(Distance vector),链路状态(Link state)和混合型(Hybrid)
RIP目前有两个版本:RIPv1和RIPv2。RIPv1是个有类路由协议,而RIPv2是个无类路由协议
路由更新计时为:30秒 路由无效计时为:180秒保持停止计时为:大于等于180秒 路由刷新时间:240秒
复合度量包括4个元素:带宽、延迟、负载、可靠性
访问控制列表(ACL)是应用路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝
ACL通过在访问控制列表中对目的地进行归类来管理通信流量,处理特定的数据包
ACL适用于所有的路由协议,如IP,IPX等
设置ACL的一些规则:
1. 按顺序地比较,先比较第一行,再比较第二行,直到最后一行
2. 从第一行起,直到一个符合条件的行,符合以后,其余的行就不再继续比较下去
3. 默认在每个ACL中最后一行为隐含的拒绝,如果之前没找到一条许可语句,意味着包将被丢弃
两种主要的访问控制列表:1.标准访问控制列表2.扩展访问控制列表
ACL号为1-99和1300-1999
扩展ACL使用的数字表号在100-199之间
第五章
交换机对数据包的转发是建立在MAC地址基础上
冗余路径带来的问题:广播风暴、重复帧拷贝、MAC地址表表项不稳定
STP(生成树协议)的主要任务是防止2层的循环,STP使用生成树算法(STA)来创建拓扑数据库
IEEE版本的STP的默认优先级是32768,决定谁是根桥。假如优先级一样,那就比较MAC地址,MAC地址小的作为根桥
运行STP的交换机端口的5中状态:堵塞、监听、学习、禁用、转发
交换机对于数据的转发有一下三种方式:1.存储-转发式交换方 2.直通式交换方式 3.消除片断式交换方式
可堆叠交换机就是指一个交换机中一般同时具有UP和DOWN堆叠端口
可堆叠交换机常用的堆叠方式有两种:菊花型和星型
SVI端口的配置第三层逻辑接口称为:SVI P168
交换环境中的两种连接类型:access links、trunk links
附加VLAN 信息的方法,最具代表性的有:Inter-Switch link(ISL)、IEEE 802.1Q(俗称dot 1 Q)
当出现违反端口安全原则的情况时,端口有一下几种措施:
Suspend(挂起):端口不再工作,直到有数据帧流入并带有合法的地址
Disable(禁用):端口不再工作,除非人工使其再次启用
Ignore(忽略):忽略其违反安全性,端口仍可工作
计算机网络按逻辑功能可分为资源子网和通信子网两部分
网卡工作在网络模型的物理层
集线器是多端口中继器,工作在网络模型的物理层,所有端口共享设备
宽带
中继器工作在网络模型的物理层,是局域网的延伸设备。
网桥工作在网络模型的数据链路层,用于连接同类网络
交换机工作在网络模型的数据链路层,根据MAC地址转发数据帧,每个端口
独占宽带。
路由器工作在网络模型的网络层,根据IP地址转发数据包。
网关
网络有线通信介质通常包括双绞线、同轴电缆、光缆等
计算机网络按地里范围可以分为LAN、MAN、WAN、INTERNET
标准以太网宽带为10Mbps,实用CSMA/CD的访问控制方法,遵循
IEEE802.3标准,使用双绞线和同轴电缆为介质
10Base-5,使粗同轴电缆,最大网段长度500M,基带传输
10Base-2,使细同轴电缆,最大网段长度185M,基带传输
10Base-T,使双绞线,最大网段长度100M
快速以太网宽带为100Mbps,使用CSMA/CD的访问控制方法,使用双绞线
和光纤
100Base-TX,使双绞线,使用2对线路传输信号
100Base-T4,使双绞线,使用4对线路传输信号
100Base-FX,使用光纤,使用4B/5B编码方式
令牌环网,使用专门的数据帧称为令牌,传送数据
FDDI光纤分布式数据接口,使用光纤为传输介质,采用令牌传递数据
ATM异步传输模式使用53字节固定长度的信元传输数据
无线局域网WLAN采用802.11系列标准,有802.11a、802.11b、802.11g、
802.11n、802.11z
网络协议是计算机网络体系结构中关键要素之一,它的三要素为:语法、
语义、同步
TCP/IP中文为传输控制协议/互联网协议,是internet的基础协议,使用IP
地址通信
IPX/SPX中文为NetBIOS增强用户接口,特点是简单、通信效率高的广播型协
议
OSI参考模型七层:物理层、数据链路层、网络层、传输层、会话层、表示
层、应用层
物理层:传送单位是比特流,定义物理特性
数据链路层:传送单位是数据帧,确保链路连接
网络层:传送单位是数据包,提供网间通信
传输层:传送单位是信息,提供端到端的可靠传输
会话层:管理通信双发会话
表示层:负责数据编码转换
应用层:提供应用服务接口
TCP/IP模型四层:网络接口层、网际层、传输层、应用层
应用层协议:Telnet、FTP、SMTP、HTTP等 传输层协议:TCP、UDP
网际层协议:IP、ICMP、IGMP
网络接口层协议:ARP、RARP
7. 网络安全的基本原则是什么
1. 确保数据安全为第一位,数据库一定要设置复杂密码。
2. 确保用户安全,账户名不能有弱口令,且密码要准按时更改。
3. 制度安全,不能所有人都有权限查看数据,或者是更改数据。