逻辑安全的访问控制可采取哪两种措施？

请你谈谈保护信息系统的逻辑安全的措施有哪些~

(一)信息安全

1.信息安全的内容

随着信息技术的广泛应用及迅猛发展,人们的各种信息活动更多地通过以计算机及网络为主体的信息系统进行,信息安全越来越依赖于信息系统的安全,然而以计算机及网络为主体的信息系统有其本身的脆弱性,存在来自各方面的威胁,信息安全问题日益突出.

对于信息系统的使用者来说,维护信息安全的措施主要包括保障计算机及网络系统的安全,预防计算机病毒,预防计算机犯罪等内容.

2.信息系统的安全

信息系统的安全主要来自对系统实体和信息信息的威胁,在实践过程中,可采用以下措施维护系统安全:环境维护,防盗,防火,防静电,防雷击,防电磁泄露,访问控制,信息加密.

3.计算机病毒及其预防.

计算机病毒是一段非常小的,会不断自我复制,隐藏和感染其他文件或程序的代码.它在计算机中执行,并导致不同的影响.

计算机病毒的制造有许多不同的原因.例如,病毒由雇员故意制造用来向公司报复,表示自己的不满;有些是用来庆祝某些节日;甚至是由某些宗教狂,政治狂制造的,目的是想通过这些途径发表自己的声音.有些程序设计人员制造病毒的目的是为了表现自己的能力或挑战自己或别人.

计算机病毒具有非授权可执行性,隐蔽性,传染性,潜伏性,破坏性,表现性以及可触发性等特点.

计算机病毒的防治主要包括两个方面,一是预防,二是用杀毒软件进行杀毒.常用的杀毒软件有:

在日常的信息活动中,我们应注意以下几个方面:

(1)尊重知识产权,支持使用合法原版的软件,拒绝使用盗版软件.

(2)平常将重要资料备份.

(3)不要随意使用来路不明的文件或磁盘,需要使用,要先用杀毒软件扫描后再用.

(4)随时注意特殊文件的长度和使用日期以及内存的使用情况.

(5)准备好一些防毒,扫毒和杀毒的软件,并且定期使用.

4.计算机犯罪

(二)网络安全及伦理道德

网络应用过程中,对于网络安全的隐患要"防微杜渐",逐渐养成一些良好的网络应用习惯.

(1)不随意在不了解的网站上填写个人真实资料,如非必要,尽量少让别人知道你的"底细".

(2)不随意在公用计算机输入个人信息.

(3)不随意打开来路不明的邮件(尤其是附件),如有必要,先采取预防措施.

(4)不轻易打开陌生人通过QQ等即时通讯工具发送的文件和链接.

(5)给计算机设置足够安全的密码,如混合书记和符号的长密码.

计算机的安全问题主要是指计算机网络的安全（包括物理安全、逻辑安全、操作系统安全和联网安全）。物理安全是指用来保护计算机硬件和存储介质的装置和工作程序，主要有防盗、防火、防静电、防雷击和防电磁泄漏。逻辑安全需要用口令文字、文件许可、查帐等方式来实现，防止计算机黑客的入侵主要依赖计算机的逻辑安全。操作系统是计算机中最基本、最重要的软件，所以操作系统的安全也是非常重要的，通常一个用户一个账户，操作系统不允许一个用户修改由另一个账户产生的数据。联网安全可以通过访问控制服务和通信安全服务来达到。

以下17个习题请同学们以小组形式进行课前预习，并取得共识。下节课我们以小组抽签形式，随机抽取题目，并立即由组内一名学生回答问题，答题正确全组成员都得10分。在某小组答题时，其他同学注意倾听，其后可进行补充答题，凡补充答题正确，补充答题小组全体加1分。若某组答题不全面，全班无人补充，最后教师补充，则全班都扣1分。

分组表：A1组包括A1、B1、C1、D1座位同学；A2组包括A2、B2、C2、D座位同学，以此类推；E1组包括E1、F1、G1座位同学；E2组包括E2、F2、G2座位同学，以此类推。

题目：

1． 逻辑安全的访问控制可采取哪两种措施？

2． 信息加密的安全措施有哪两种方法?

3． 物理安全中防静电的最佳措施是什么？

4． 防电磁泄漏可用哪三种方法？

5． 计算机病毒共有七个特征，其中那四个特点是所有病毒共有的特点？

6． 讨论如何正确使用杀病毒软件？（可以根据以下讨论：是否计算机杀毒软件安装越多越好；杀毒软件是否万能的，只要安装了，就能杀防所有病毒；是否需要及时升级病毒库等等）

7． 请分别说说防病毒软件与防火墙的功能与特点（包括区别）。

8． 计算机信息安全分为物理与逻辑安全，物理与逻辑安全各包括哪些方面？并请判断下面一个案例属于哪个物理安全，一台计算机没有联网，也没有人从中下载资料，但信息被人窃取。

9． 计算机环境维护需采取哪些措施？

10． 有一种病毒进入计算机后，一般人发现不了，但在某一特定时间发作，破坏计算机系统，根据以上情况，反映了病毒哪些特征？

11． 针对计算机病毒，除可用防病毒软件外，还需注意做到哪几点？（简单扼要叙述）

12． 当前计算机犯罪有哪些行为？我们经常收到一些垃圾邮件，讨论为什么会收到垃圾邮件，这应是哪种犯罪行为？

13． 预防计算机犯罪应从哪几方面着手？其中青少年上网公约体现了哪方面的预防措施？

14． 目前计算机网络安全产品包括哪几种？其中防火墙与网络入侵检测产品的区别是什么？

15． 请讨论说出国内外5个著名的防病毒软件。

16． 计算机病毒的定义是什么？

17． 请讨论说出计算机病毒与计算机木马的本质区别。
教育站点服务器主机的选择

在选择教育站点服务器主机时，除了考虑诸如功能、性能和价格等因素外，更重要的要考虑安全需求，服务器很多，但它们的安全性能是不一样的，要使教育站点具有安全性就必须选择满足安全需求的服务器，网络教育站点的安全需求一般包括：

⑴较小的易受攻击性

⑵只能由授权用户进行管理的限制能力

⑶拒绝访问服务器中没有发布的信息的能力

⑷关闭操作系统或服务器软件中不必要的网络服务的能力

⑸访问各种外部可执行程序（如CGI scripts、服务器plug-ins）的可控能力

⑹为侦测入侵或企图入侵，记录教育站点服务器活动的能力

2 教育网络分段及虚拟网络（VLAN）运用和划分原则

对局域网来说，网络分段和VLAN的运用是保证教育网络安全的有效措施。

2.1 教育网络分段改善安全性能。

教育网络分段是保证安全的一项重要措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。教育网络分段可分为物理分段和逻辑分段两种方式：

物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。

逻辑分段则是指将整个系统在网络层（ISO/OSI模型中的第三层）上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各自网间的访问。在实际应用过程中可采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性能控制。

2.2 运用VLAN改变安全性能

以太网从本质基于广播机制，但应用了交换和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。

由以上运行机制带来的网络安全的好处是显而易见的：

信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。

通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

2.3 VLAN 之间的划分原则

VLAN 的划分方式的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN；可以将主要的服务器系统单独划分作一个VLAN，如数据库服务器、电子邮件服务器等。也可以按照教育机构、对象的设置来划分VLAN，如可以按照教育机构服务器管理员所在的网络单独作为一个leader VLAN(LVLAN)，其它层次的分别作为另一个或几个VLAN，并且控制LVLAN与其他VLAN之间的单向信息流向，即允许LVLAN查看其他VLAN的相关信息，其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现，VLAN 与VLAN之间采用路由实现。

3 服务器主机和服务器软件的配置

3.1 教育站点服务器与内部网络隔离

公用服务器主机是一个供公众访问的计算机，无论主机及其应用软件配置的如何好，总会有人发现新的入侵点，入侵者可以观察或捕获到内部主机之间的网络通信，也可能进入内部主机，获得更详细的信息，为此需要把服务器主机与内部网络隔离，如图1所示。

图1 WEB服务器网络结构

3.2 在一个更安全的主机上维持一个可靠的教育站点内容拷贝。

当服务器上的信息完整性受到破坏时，需要一个可信赖的拷贝来恢复．建议把一个可靠的信息拷贝存贮于与服务器主机隔离的更安全的主机上（即放在网络防火墙内的内部网络上），并且除了教育站点管理员可以访问这个拷贝外，其它用户（无论是内部还是外部的）都不能访问拷贝。

3.3 教育站点服务器主机只提供基本的网络服务

现代的计算机具有可提供多种服务和应用的功能，如果多项服务和应用同时在一台主机上提供，会使主机的安全性能减弱，为此，应该按以下方法来配置教育站点服务器：

⑴．尽可能多地关掉服务和应用，然后有选择地打开那些基本的教育服务；

⑵．确定你打算支持教育服务器的功能（如CGI脚本）；

⑶．如果有其它的方法提供同样功能，选择更安全的方法；

⑷．一旦最少的教育服务和应用确定后，确保它们在主机上是可用的；

⑸．当所有配置选项确定后，为关键系统软件生成并记录加密校验或其它完整校验信息。

3.4 配置教育站点服务器，增加安全性

由于不同的机构组织对公用站点的需求是不一样的，因此服务器软件已提供了各种软件配置选项以满足不同站点的需求．省缺的配置设定可能是对“典型”站点的最优设定，当然这是销售商想象的最优化，一般是基于性能需求或容易安装来设定的．但在安装教育站点服务器软件时，必须认真仔细地按安全需求配置服务器．

⑴．配置教育站点服务器日志能力

教育站点服务器日志文件记录着服务器对每一请求的响应行为信息，分析这些日志可以得到有用的用户信息和安全信息．目前有许多日志文件分析工具，大部分可对两种标准日志文件格式进行分析，这两种格式是“Common Log Format”和“Extended Common Log Format” ，服务器应该配置成能生成两种格式中任意一种格式的日志文件。

⑵. 配置教育站点服务器的辅助网络服务

一般教育站点服务器可同时提供其它的网络服务，如文件传输协议（FTP），gopher协议，电子邮件或按受从客户机来的文件上载等，为增加教育站点服务器的安全性，在确定不需要这些服务的条件下,建议关闭所有的辅助服务

⑷. 配置教育站点服务器的本地或远程管理

利用教育站点主机控制台来管理教育站点，这样可以控制在教育站点服务器（防火墙外）与管理工作站（防火墙内）之间的网络传输，以增加安全性。

但是在许多情况下，教育站点服务器管理不得不从远程进行管理，这时必须要保证：

①.服务器主机有很强的验证用户身份能力，特别要避免传送明文口令，除非这是一个一次性口令。

②.服务器主机只允许从某个特定远程主机进行远程管理

③.在管理主机与服务器之间的网络传输不应有这样的信息，这些信息如果入侵者截获后，可访问到服务器或内部网络。

⑸．确定操作系统提供什么样的访问控制

有些操作系统可以对教育站点服务的远程访问文件加以限制，这些进程可以限制为对某些文件的只读访问，而对一些文件不允许访问。

⑹ . 利用文件访问控制来实现：

①. 公用教育站点的内容文件只能读，不能由服务器管理进程来写

②. 存贮教育站点内容的目录不能由服务器管理进程来写

③. 公用教育站点内容文件只能由服务器管理进程来写

④. 教育站点服务器日志文件可由服务器进程写，但不能作为教育站点内容来读

⑤. 教育站点服务器日志文件只能由管理进程读

⑥. 任何由教育站点服务器进程生成的临时文件（如在生成动态页面时所需的临时文件）必须限制在某个特定的子目录下。

⑺． 不允许目录列表服务

按照教育站点协议（http），一个以斜杠结束的URL是请求列出一个目录中的文件。按一般的规则，即使该目录下的所有文件都是准备发布的文件，也不允许服务器对这类请求有响应。这类请求表示试图用非教育站点提供的方法来定位信息，当浏览有困难或链接断裂了，用户就可能企图重新排序。入侵者可用此方法定位那些由教育站点接口隐藏的信息。可以从服务器日志文件中查出这类请求。

⑻．配置服务器使之不能提供指定文件目录数以外文件的服务。

具体的实现可以通过服务器软件本身的配置选择，也可以通过操作系统选择。必须避免在文件目录树中使用链接或别名，因为它指出了服务器主机或网络中的其它文件。

⑼. 确保服务器日志文件或配置文件不能作为公用教育站点内容文件。

日志文件应该存贮在服务器主机上，而不是传送到内部网络的另一台主机上，同样，服务器配置文件或参考文件也应保持在服务器主机上。

利用服务器配置选项和操作系统访问控制，确保这些文件不能传送给用户，即使用户知道这些文件的名字（URLs）。如果可能，把这些文件放在公用数据目录树以外的地方。

⑽. 当所有的的配置选择完成好后，要为服务器软件生成一个密码校验或其它的完整检验基准信息。

4 网络教育站点服务器管理

4.1 用安全模式管理教育站点服务器

教育站点服务器管理包括为服务器增加新内容，检查服务器日志，安装新的外部程序以及改变服务器配置等等。这些管理可以在服务器控制台上完成，也可以通过网络在另一主机上来管理，无论从哪里来管，一定要确保其安全性，特别是以远程主机管理服务器时，安全更加重要。

⑴．当选用远程主机来管理教育站点服务器时，应选用安全的方式来管理

①．教育站点服务器主机应有很强的用户身份验证功能，要避免使用明文形式传输密码口令。

②．教育站点服务器从某一特定主机进行管理，主机的验证不依赖于网络解析信息，如IP地址或DNS名等。

③．在管理员主机与服务器之间的网络传输过程中，不应给入侵者提供访问服务器或内部网络的信息。

⑵．如果允许，可使用活动存贮介质把教育站点的内容拷贝到教育站点服务器上。

⑶ ．当需要在另一台主机上检查服务器的日志文件时，要用安全方法把日志文件传送到那台主机上。

⑷．当服务器的配置或站点内容改变后，要生成一个新的加密校验或其它的完整校验信息。

4.2 检查目录和文件有无意外的改变

网络环境中的文件系统包括了大量软件和数据文件，目录和文件的意外改变，特别是那些访问受到限制的目录和文件的意外改变，表明发生了某种入侵。入侵者为了隐藏他们在系统中的存在，通常用相同功能的程序替换系统的原有程序并修改日志文件，或在系统中生成新的文件。所以，利用检查系统的目录和文件的更改信息的方法，可尽早发现入侵。

⑴. 为系统文件建立优先级和检查时间表。

⑵. 对关键文件和目录一个权威参考数据，这些数据包括：

·在文件系统中的位置

·可选择的路径

·文件的内容、目录的入口

·实际长度、如可能还应有分配的单元

·文件和目录生成和最后修改的时间、日期

·所属权和访问许可设定

⑶. 按照建立的计划，用权威参考数据比较文件的属性和内容，查验目录和文件的完整性。

⑷．查验丢失的文件或目录

⑸．查验任何新的文件和目录

⑹．调查已发现的任何意外改变的原因

4.3 检查系统和网络日志

日志文件记录了系统和网络中发生的异常和意外活动，入侵者经常在日志文件中留下了其活动的足迹，因此定期地检查系统和网络日志是发现入侵者的方法之一。日志文件依操作系统、运行的应用软件和配置的不同而不同，表1给出了典型的日志文件包含的信息。

教育站点服务器主机的选择

在选择教育站点服务器主机时，除了考虑诸如功能、性能和价格等因素外，更重要的要考虑安全需求，服务器很多，但它们的安全性能是不一样的，要使教育站点具有安全性就必须选择满足安全需求的服务器，网络教育站点的安全需求一般包括：

⑴较小的易受攻击性

⑵只能由授权用户进行管理的限制能力

⑶拒绝访问服务器中没有发布的信息的能力

⑷关闭操作系统或服务器软件中不必要的网络服务的能力

⑸访问各种外部可执行程序（如CGI scripts、服务器plug-ins）的可控能力

⑹为侦测入侵或企图入侵，记录教育站点服务器活动的能力

2 教育网络分段及虚拟网络（VLAN）运用和划分原则

对局域网来说，网络分段和VLAN的运用是保证教育网络安全的有效措施。

2.1 教育网络分段改善安全性能。

教育网络分段是保证安全的一项重要措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。教育网络分段可分为物理分段和逻辑分段两种方式：

物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。

逻辑分段则是指将整个系统在网络层（ISO/OSI模型中的第三层）上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各自网间的访问。在实际应用过程中可采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性能控制。

2.2 运用VLAN改变安全性能

以太网从本质基于广播机制，但应用了交换和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。

由以上运行机制带来的网络安全的好处是显而易见的：

信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。

通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

2.3 VLAN 之间的划分原则

VLAN 的划分方式的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN；可以将主要的服务器系统单独划分作一个VLAN，如数据库服务器、电子邮件服务器等。也可以按照教育机构、对象的设置来划分VLAN，如可以按照教育机构服务器管理员所在的网络单独作为一个leader VLAN(LVLAN)，其它层次的分别作为另一个或几个VLAN，并且控制LVLAN与其他VLAN之间的单向信息流向，即允许LVLAN查看其他VLAN的相关信息，其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现，VLAN 与VLAN之间采用路由实现。

3 服务器主机和服务器软件的配置

3.1 教育站点服务器与内部网络隔离

公用服务器主机是一个供公众访问的计算机，无论主机及其应用软件配置的如何好，总会有人发现新的入侵点，入侵者可以观察或捕获到内部主机之间的网络通信，也可能进入内部主机，获得更详细的信息，为此需要把服务器主机与内部网络隔离，如图1所示。

图1 WEB服务器网络结构

3.2 在一个更安全的主机上维持一个可靠的教育站点内容拷贝。

当服务器上的信息完整性受到破坏时，需要一个可信赖的拷贝来恢复．建议把一个可靠的信息拷贝存贮于与服务器主机隔离的更安全的主机上（即放在网络防火墙内的内部网络上），并且除了教育站点管理员可以访问这个拷贝外，其它用户（无论是内部还是外部的）都不能访问拷贝。

3.3 教育站点服务器主机只提供基本的网络服务

现代的计算机具有可提供多种服务和应用的功能，如果多项服务和应用同时在一台主机上提供，会使主机的安全性能减弱，为此，应该按以下方法来配置教育站点服务器：

⑴．尽可能多地关掉服务和应用，然后有选择地打开那些基本的教育服务；

⑵．确定你打算支持教育服务器的功能（如CGI脚本）；

⑶．如果有其它的方法提供同样功能，选择更安全的方法；

⑷．一旦最少的教育服务和应用确定后，确保它们在主机上是可用的；

⑸．当所有配置选项确定后，为关键系统软件生成并记录加密校验或其它完整校验信息。

3.4 配置教育站点服务器，增加安全性

由于不同的机构组织对公用站点的需求是不一样的，因此服务器软件已提供了各种软件配置选项以满足不同站点的需求．省缺的配置设定可能是对“典型”站点的最优设定，当然这是销售商想象的最优化，一般是基于性能需求或容易安装来设定的．但在安装教育站点服务器软件时，必须认真仔细地按安全需求配置服务器．

⑴．配置教育站点服务器日志能力

教育站点服务器日志文件记录着服务器对每一请求的响应行为信息，分析这些日志可以得到有用的用户信息和安全信息．目前有许多日志文件分析工具，大部分可对两种标准日志文件格式进行分析，这两种格式是“Common Log Format”和“Extended Common Log Format” ，服务器应该配置成能生成两种格式中任意一种格式的日志文件。

⑵. 配置教育站点服务器的辅助网络服务

一般教育站点服务器可同时提供其它的网络服务，如文件传输协议（FTP），gopher协议，电子邮件或按受从客户机来的文件上载等，为增加教育站点服务器的安全性，在确定不需要这些服务的条件下,建议关闭所有的辅助服务

⑷. 配置教育站点服务器的本地或远程管理

利用教育站点主机控制台来管理教育站点，这样可以控制在教育站点服务器（防火墙外）与管理工作站（防火墙内）之间的网络传输，以增加安全性。

但是在许多情况下，教育站点服务器管理不得不从远程进行管理，这时必须要保证：

①.服务器主机有很强的验证用户身份能力，特别要避免传送明文口令，除非这是一个一次性口令。

②.服务器主机只允许从某个特定远程主机进行远程管理

③.在管理主机与服务器之间的网络传输不应有这样的信息，这些信息如果入侵者截获后，可访问到服务器或内部网络。

⑸．确定操作系统提供什么样的访问控制

有些操作系统可以对教育站点服务的远程访问文件加以限制，这些进程可以限制为对某些文件的只读访问，而对一些文件不允许访问。

⑹ . 利用文件访问控制来实现：

①. 公用教育站点的内容文件只能读，不能由服务器管理进程来写

②. 存贮教育站点内容的目录不能由服务器管理进程来写

③. 公用教育站点内容文件只能由服务器管理进程来写

④. 教育站点服务器日志文件可由服务器进程写，但不能作为教育站点内容来读

⑤. 教育站点服务器日志文件只能由管理进程读

⑥. 任何由教育站点服务器进程生成的临时文件（如在生成动态页面时所需的临时文件）必须限制在某个特定的子目录下。

⑺． 不允许目录列表服务

按照教育站点协议（http），一个以斜杠结束的URL是请求列出一个目录中的文件。按一般的规则，即使该目录下的所有文件都是准备发布的文件，也不允许服务器对这类请求有响应。这类请求表示试图用非教育站点提供的方法来定位信息，当浏览有困难或链接断裂了，用户就可能企图重新排序。入侵者可用此方法定位那些由教育站点接口隐藏的信息。可以从服务器日志文件中查出这类请求。

⑻．配置服务器使之不能提供指定文件目录数以外文件的服务。

具体的实现可以通过服务器软件本身的配置选择，也可以通过操作系统选择。必须避免在文件目录树中使用链接或别名，因为它指出了服务器主机或网络中的其它文件。

⑼. 确保服务器日志文件或配置文件不能作为公用教育站点内容文件。

日志文件应该存贮在服务器主机上，而不是传送到内部网络的另一台主机上，同样，服务器配置文件或参考文件也应保持在服务器主机上。

利用服务器配置选项和操作系统访问控制，确保这些文件不能传送给用户，即使用户知道这些文件的名字（URLs）。如果可能，把这些文件放在公用数据目录树以外的地方。

⑽. 当所有的的配置选择完成好后，要为服务器软件生成一个密码校验或其它的完整检验基准信息。

4 网络教育站点服务器管理

4.1 用安全模式管理教育站点服务器

教育站点服务器管理包括为服务器增加新内容，检查服务器日志，安装新的外部程序以及改变服务器配置等等。这些管理可以在服务器控制台上完成，也可以通过网络在另一主机上来管理，无论从哪里来管，一定要确保其安全性，特别是以远程主机管理服务器时，安全更加重要。

⑴．当选用远程主机来管理教育站点服务器时，应选用安全的方式来管理

①．教育站点服务器主机应有很强的用户身份验证功能，要避免使用明文形式传输密码口令。

②．教育站点服务器从某一特定主机进行管理，主机的验证不依赖于网络解析信息，如IP地址或DNS名等。

③．在管理员主机与服务器之间的网络传输过程中，不应给入侵者提供访问服务器或内部网络的信息。

⑵．如果允许，可使用活动存贮介质把教育站点的内容拷贝到教育站点服务器上。

⑶ ．当需要在另一台主机上检查服务器的日志文件时，要用安全方法把日志文件传送到那台主机上。

⑷．当服务器的配置或站点内容改变后，要生成一个新的加密校验或其它的完整校验信息。

4.2 检查目录和文件有无意外的改变

网络环境中的文件系统包括了大量软件和数据文件，目录和文件的意外改变，特别是那些访问受到限制的目录和文件的意外改变，表明发生了某种入侵。入侵者为了隐藏他们在系统中的存在，通常用相同功能的程序替换系统的原有程序并修改日志文件，或在系统中生成新的文件。所以，利用检查系统的目录和文件的更改信息的方法，可尽早发现入侵。

⑴. 为系统文件建立优先级和检查时间表。

⑵. 对关键文件和目录一个权威参考数据，这些数据包括：

·在文件系统中的位置

·可选择的路径

·文件的内容、目录的入口

·实际长度、如可能还应有分配的单元

·文件和目录生成和最后修改的时间、日期

·所属权和访问许可设定

⑶. 按照建立的计划，用权威参考数据比较文件的属性和内容，查验目录和文件的完整性。

⑷．查验丢失的文件或目录

⑸．查验任何新的文件和目录

⑹．调查已发现的任何意外改变的原因

4.3 检查系统和网络日志

日志文件记录了系统和网络中发生的异常和意外活动，入侵者经常在日志文件中留下了其活动的足迹，因此定期地检查系统和网络日志是发现入侵者的方法之一。日志文件依操作系统、运行的应用软件和配置的不同而不同，表1给出了典型的日志文件包含的信息。

---

金门县18378245359： 请你谈谈保护信息系统的逻辑安全的措施有哪些 - ？
贠咳威利： (一)信息安全1.信息安全的内容 随着信息技术的广泛应用及迅猛发展,人们的各种信息活动更多地通过以计算机及网络为主体的信息系统进行,信息安全越来越依赖于信息系统的安全,然而以计算机及网络为主体的信息系统有其本身的脆弱性...

金门县18378245359： 了解信息安全防范的基本方法(物理防范、逻辑防范)？
贠咳威利： 物理防范: 环境维护:实体设备的位置应远离噪声源、振动源;保持设备运行所需的温度、湿度、洁净度;远离火源和易被水淹没的地方;尽量避开强电磁场源;保持系统电源的稳定及可靠性 防盗:应采取严格的防范措施.对于重要的计算机...

金门县18378245359： 访问控制技术手段有哪些?并比较优缺点 - ？
贠咳威利： 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问.它是保证网络安全最重要的核心策略之一.访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手...

金门县18378245359： 局域网中目前广泛采用的两种介质访问控制方法是什么? ？
贠咳威利： 介质访问控制(medium access control)简称MAC. 是解决当局域网中共用信道的使用产生竞争时,如何分配信道的使用权问题.它定义了数据帧怎样在介质上进行传输...

金门县18378245359： 如何保障计算机网络的安全? ？
贠咳威利： 一)物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,...

金门县18378245359： 1.局域网最常用的介质访问控制方式有哪2种?各自有什么特点? - ？
贠咳威利： 交换机和路由器

金门县18378245359： Windows系统实现安全机制的基本手段有哪些 - ？
贠咳威利： 1.标识、鉴别及可信通路机制 用于保证只有合法用户才能以系统允许的方式存取系统中的资源.用户合法性检查和身份认证机制通常采用口令验证或物理鉴定(如磁卡或IC卡、数字签名、指纹识别、声音识别)的方式.而就口令验证来讲,系统...

金门县18378245359： 信息系统中信息资源的访问控制是保证信息系统安全的措施之一.下面关于访问控制的叙述正确的是 - ？
贠咳威利： 答案是A 访问控制不一定都在鉴别用户身份的基础上进行,有些控制是按访问先后顺序控制的,如两个有同样权限的用户,同时访问数据库的一条记录(如购票系统).

金门县18378245359： 计算机网络安全维护包含哪些?解决办法? - ？
贠咳威利： 包括:(1)网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等.(2)软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等...