計算機網(wǎng)絡(luò)安全考點概括

1、計算機網(wǎng)絡(luò)安全主要考點計算機網(wǎng)絡(luò)的不安全因素：1、 偶發(fā)因素：電源故障、軟件漏洞2、 自然災(zāi)害：火災(zāi)、水災(zāi)3、 人為因素：不法分子潛入機房破壞，網(wǎng)絡(luò)病毒，制度不健全?？煞譃橹鲃庸簦ū荛_或突破安全防護，引入惡意代碼）、被動攻擊（監(jiān)視公共媒體）、鄰近攻擊（未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)和設(shè)備，從而可以修改收集信息，或使系統(tǒng)拒絕訪問）、內(nèi)部人員攻擊、分發(fā)攻擊。計算機網(wǎng)絡(luò)安全定義：利用管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機密性、完整性及可使用性受到保護。目標：1）保密性。2）完整性。3）可用性。4）不可否認性。 鑒別 訪問控制 數(shù)據(jù)完整性 數(shù)據(jù)加密性 抗抵賴性 安全服務(wù) OSI參考模

2、型應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈物理層公證路由控制業(yè)務(wù)流填充鑒別交換數(shù)據(jù)完整性訪問控制數(shù)據(jù)簽名加密安全機制OSI安全體系結(jié)構(gòu)的研究始于1982年。它不是能實現(xiàn)的標準，而是關(guān)于如何設(shè)計標準的標準。計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)：PPDR（安全策略、防護、檢測、響應(yīng)）模型是一種常用的網(wǎng)絡(luò)安全模型。物理安全措施：保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施及其它媒體免糟自然災(zāi)害和人為操作失誤及各種計算機犯罪行為導(dǎo)致的破壞過程。主要包括三個方面： 1） 環(huán)境安全2） 設(shè)備安全3） 媒體安全機房的三度要求：溫度（1822）、濕度、潔凈度電源對用電設(shè)備安全的潛在威脅：脈動與噪聲、電磁干擾密碼學(xué)是數(shù)學(xué)的一個分支，是研究信息系統(tǒng)安

3、全保密的科學(xué)。是編碼學(xué)和密碼分析學(xué)的統(tǒng)稱。密碼學(xué)中的五元組：明文、密文、密鑰、加密算法、解密算法。解密密鑰Kd密文C明文P攻擊者加密密鑰Ke明文P加密E解密DP=Dk（Ek（P），即用加密算法得到的密文總能用一定的解密算法恢復(fù)出原始的明文來。加密體制的分類：1、 單鑰對稱密碼體制：它的安全性主要取決于兩個因素：加密算法必須足夠安全，使的不必為算法保密，僅根據(jù)密文就能破譯出消息是不可行的；密鑰的安全性，密鑰必須保密并保證有足夠大的密鑰空間，單鑰密碼體制要求基于密文和加密/解密算法的知識能破譯出消息的做法是不可行的。優(yōu)點：加密、減密處理速度快、保密度高等缺點：1）密鑰分布過程十分復(fù)雜所花代價高。

4、2）多人通信時密鑰組合的數(shù)量會出現(xiàn)爆炸性膨脹，使密鑰分布更加復(fù)雜化。 3）通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。如果發(fā)信者和收信者不相識，就不能發(fā)送秘密信息。 4）數(shù)字簽名困難。2、 雙鑰或非對稱密碼體制：產(chǎn)生的原因主要是：1）為了解決常規(guī)密鑰密碼體制的密鑰管理和分配的問題； 2）為了滿足對數(shù)字簽名的需求。優(yōu)點：可以公開加密密鑰，造就網(wǎng)絡(luò)的開發(fā)性要求，且僅需保密解密密鑰，所以密鑰管理問題比較簡單。缺點：算法復(fù)雜，加密速度慢。單鑰算法：DES、IDEA、SAFER K-64、GOST、RC-4、RC-5、Blowfish、CAST-128DES：數(shù)據(jù)加密標準，些算法的核心是乘積變換。雙鑰加密

5、算法：RSA、ElGamal常見的網(wǎng)絡(luò)數(shù)據(jù)加密方式主要有1、 鏈路加密（在線加密）：是對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護。2、 節(jié)點加密：在信息傳輸路過的節(jié)點處進行加密和減密。3、 端到端加密（脫線加密或包加密）：對一對用戶之間的數(shù)據(jù)連續(xù)地提供保護。 即整個傳輸過程都受到保護。認證的目的有三個：1）消息完整性認證2）身份認證3）消息的序號和操作時間（時間性）典型的安全管理協(xié)議：公用管理信息協(xié)議（CMIP）、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）、分布式安全管理協(xié)議（DSM）。數(shù)字簽名和手寫簽名的主要區(qū)別：1） 手寫簽名是不變的，而數(shù)字簽名對不同的消息是不同的，即手寫簽名因人而異，數(shù)字簽名因消

6、息而異；2） 手寫簽名是易被模仿的，無論哪種文字的手寫簽名，偽造者都容易模仿，而數(shù)字簽名是在密鑰控制下產(chǎn)生的，在沒有密鑰的情況下，模仿者幾乎無法模仿出數(shù)字簽名。數(shù)字簽名和消息認證的區(qū)別：消息認證可以幫助接收方驗證消息發(fā)送者的身份及消息是否被篡改。當收發(fā)者之間沒有利害沖突時，這種方式對于防止第三者破壞是有效的，但當存在利害沖突時，單純采用消息認證技能就無法解決糾紛，這時就需要借助于數(shù)字簽名技術(shù)來輔助進行更有效的消息認證。PKI（公共密鑰基礎(chǔ)設(shè)施）：適用于多種環(huán)境的框架，它是一個用公鑰密碼算法原理和技術(shù)來提供安全服務(wù)的通用型基礎(chǔ)平臺，用戶可利用PKI提供的安全服務(wù)進行安全通信。PKI采用標準的密鑰

7、管理規(guī)則，能夠為所有應(yīng)用透明地提供加密和數(shù)字簽名等服務(wù)需要的密鑰和證書管理。PKI（公鑰基礎(chǔ)設(shè)施）組成：認證機構(gòu)CA、證書庫、密鑰備份（即恢復(fù)系統(tǒng)）、證書作廢處理系統(tǒng)和PKI應(yīng)用接口系統(tǒng)。CA的職責(zé)：1） 驗證并標識申請者的身份。2） 確保用于簽名證書的非對稱密鑰的質(zhì)量。3） 確保整個鑒證過程中的安全性，確保簽名私鑰的安全性。4） 證書資料信息的管理5） 確保并檢查證書的有效期限6） 發(fā)布并維護作廢證書列表。7） 對整個證書簽發(fā)過程進行日志記錄8） 向申請人發(fā)出通知 PKI的特點：1、 節(jié)省費用。2、 互操作性。3、 開放性。4、 一致的解決方案5、 可驗證性。6、 可選擇性。防火墻概念：位于

8、被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預(yù)測的、潛在破壞性的侵擾。功能：1、 過濾進出網(wǎng)絡(luò)的數(shù)據(jù)（信息 必經(jīng)之路 ）2、 管理進出網(wǎng)絡(luò)的訪問行為3、 封堵某些禁止的業(yè)務(wù)4、 記錄通防火墻的信息內(nèi)容和活動5、 對網(wǎng)絡(luò)攻擊檢測和告警局限性：1、 網(wǎng)絡(luò)的安全性通常是經(jīng)網(wǎng)絡(luò)的開放性和靈活性為代價2、 防火墻只是整個網(wǎng)絡(luò)安全防護體系的一部分，而且防火墻并非萬無一失體系結(jié)構(gòu)：1、 雙重宿主主機體系結(jié)構(gòu)結(jié)構(gòu)簡單，由一臺同時連接在內(nèi)外部網(wǎng)絡(luò)的雙重宿主主機提供安全保障。2、 屏蔽主機體系結(jié)構(gòu)提供安全保護的主機只與內(nèi)部網(wǎng)絡(luò)相連，使用一個

9、單獨的過濾路由器來提供主要安全。3、 屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)與internet隔離開，通過用周邊網(wǎng)絡(luò)隔離堡壘主機，能減少堡壘主機被入侵造成的影響。它最簡單的結(jié)構(gòu)為兩個屏蔽路由器，每一個都連接到周邊網(wǎng)，一個位于周邊網(wǎng)與內(nèi)部網(wǎng)之間，另一個位于周邊網(wǎng)與外部網(wǎng)之間。周邊網(wǎng)絡(luò)：網(wǎng)絡(luò)的一個安全層，是在外部網(wǎng)絡(luò)與用戶的被保護的內(nèi)部網(wǎng)絡(luò)之間附加的網(wǎng)絡(luò)。堡壘主機、內(nèi)部路由器、外部路由器包過濾防火墻工作在網(wǎng)絡(luò)層數(shù)據(jù)包過濾技術(shù)可允許或不允許某些數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸，主要依據(jù)：1、 數(shù)據(jù)包的源地址2、 數(shù)據(jù)包的目的地址3、 數(shù)據(jù)包的協(xié)議類型（TCP、U

10、DP、ICMP）4、 TCP或UDP的源端口。5、 TCP或UDP的目的端口6、 ICMP消息類型包過濾系統(tǒng)不能識別數(shù)據(jù)包中用戶的信息，也不能識別數(shù)據(jù)包中的文件的信息。包過濾系統(tǒng)的主要特點是可在一臺計算機上提供對整個網(wǎng)絡(luò)的保護。代理技術(shù)優(yōu)點：1、代理易于配置。代理是一個軟件2、代理能生成各項記錄，代理工作在應(yīng)用層，安檢數(shù)據(jù)3、代理能靈活安全地控制進出流量、內(nèi)容4、代理能過濾數(shù)據(jù)內(nèi)容5、代理能為用戶提供透明的加密機制6、代理可以方便地與其它安全手段集成缺點：1、 代理速度較路由器慢2、 代理對用戶不透明3、 對于每項服務(wù)代理可能要求不同的服務(wù)器4、 代理服務(wù)不能保證免受所有協(xié)議弱點的限制5、 代

11、理不能改進低層協(xié)議的安全性NAT技術(shù)概念：NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）是internet工程任務(wù)組的標準，允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在互聯(lián)網(wǎng)上，它是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。特點：1、 優(yōu)點：（1）所有內(nèi)部的IP地址對外面的人來說是隱蔽的，網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺特定的計算機發(fā)起攻擊。（2）如果因為某種原因公共IP地址資源比較短缺的話，NTA技術(shù)可以使整個內(nèi)部網(wǎng)絡(luò)共享一個IP地址（3）可以啟用基本的包過濾防火墻安全機制，因為所有傳入的數(shù)據(jù)包如果沒有專門指定配置到NAT，那么就會被丟棄。2、缺點：存在局限性，和包過濾技術(shù)的缺點

12、類似。內(nèi)部網(wǎng)絡(luò)可以利用木馬程序通過NAT進行外部連接。個人防火墻主要功能：1、 IP數(shù)據(jù)包過濾功能2、 安全規(guī)則的修定功能3、 對特定網(wǎng)絡(luò)攻擊數(shù)據(jù)包的攔截功能4、 應(yīng)用程序網(wǎng)絡(luò)訪問控制功能5、 網(wǎng)絡(luò)快速切斷/恢復(fù)功能6、 日志記錄功能7、 網(wǎng)絡(luò)攻擊的報警功能8、 主品自身安全功能特點：優(yōu)點：1、 增加了保護級別，不需要額外的硬件資源。2、 個人防火墻除了可以阻擋外來攻擊的同時，還可以抵擋內(nèi)部的攻擊3、 個人防火墻是對公共網(wǎng)絡(luò)中的單個系統(tǒng)提供了保護，能夠為用戶隱蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址缺點：1、 對公共網(wǎng)絡(luò)只有一個物理接口，導(dǎo)致個人防火墻本身容易受到攻擊2、 運行時需要占用個人計算機的

13、內(nèi)存、CPU時間等資源3、 只能對單機提供保護，不能保護網(wǎng)絡(luò)系統(tǒng)。防火墻的發(fā)展趨勢：1、 優(yōu)良的性能2、 可擴展的結(jié)構(gòu)和功能3、 簡化的安裝與管理4、 主動過濾5、 防病毒現(xiàn)防黑客6、 發(fā)展聯(lián)動技術(shù)入侵檢測原理圖：知識庫當前系統(tǒng)用戶行為是否入侵檢測分析引擎歷史行為特定行為模式其它安全策略入侵數(shù)據(jù)提取記錄數(shù)據(jù)響應(yīng)處理入侵檢測的系統(tǒng)結(jié)構(gòu)：包括數(shù)據(jù)提取，入侵分析，影響處理和遠程管理四部分入侵檢測的分類：就檢測理論而言，可分為異常檢測和誤用檢測 異常檢測：根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴行為是否出現(xiàn)來檢測。誤用檢測：運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些

14、入侵模式是否出現(xiàn)來檢測。端口掃描技術(shù)：原理：向目標主機的TCP/IP端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應(yīng)。通過分析響應(yīng)來判斷端口號是打開還是關(guān)閉等狀態(tài)信息。分類：TCP端口掃描技術(shù)和UDP端口掃描技術(shù)TCP端口掃描技術(shù)主要有：全連接掃描技術(shù)：優(yōu)點用戶無須特殊權(quán)限，且探測結(jié)果最為準確。缺點是很容易被目標主機察覺并記錄下來。半連接掃描技術(shù)、間接掃描技術(shù)、秘密掃描技術(shù)。計算機病毒：定義：指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機的使用，并能自我復(fù)制的一組計算機指令或者程序代碼。也就是說計算機病毒是一個程序，它具有傳染性，能自我復(fù)制，是人為制造的。病毒特征：非授權(quán)可執(zhí)行性

15、、隱蔽性、傳染性、潛伏性、破壞性和可觸發(fā)性。危害：1、 直接破壞計算機的數(shù)據(jù)信息2、 戰(zhàn)勝磁盤空間和對信息的破壞3、 搶占系統(tǒng)資源4、 影響計算機運行速度5、 計算機病毒錯誤與不可預(yù)見的危害6、 計算機病毒的兼容性對系統(tǒng)運行的影響7、 給用戶造成心理壓力分類：1、 按攻擊的系統(tǒng)分：攻擊DOS系統(tǒng)的病毒、windows、UNIX、OS/22、 按病毒的鏈接方式：源碼型病毒、嵌入型、外殼型、操作系統(tǒng)型3、 按病毒的破壞情況：良性計算機病毒、惡性4、 按病毒的寄生方式：引導(dǎo)型病毒、文件型病毒、復(fù)合型病毒5、 按傳播媒介：單機病毒、網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的特點：1、 傳染方式多2、 傳播速度比較快3、 清除

16、難度大4、 破壞性強5、 潛在性深惡意代碼是一種程序，通常在人們沒有查覺的情況下把代碼寄宿到另一段程序中，從而達到破壞被感染計算機的數(shù)據(jù)，運行具有入侵性或破壞性的程序，破壞被感染系統(tǒng)數(shù)據(jù)的安全性和完整性。惡意代碼的分類：1、 木馬，2、網(wǎng)絡(luò)蠕蟲，3、移動代碼，4、復(fù)合型病毒網(wǎng)絡(luò)蠕蟲定義：是一種智能化、自動化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計算機病毒技術(shù)，不需要計算機使用者干預(yù)即可運行的攻擊程序或代碼。在計算機網(wǎng)絡(luò)設(shè)計規(guī)劃事，應(yīng)該遵守的原則：1、 需求、分析、代價平衡分析的原則2、 綜合性、整體性原則3、 一致性原則4、 易操作性原則5、 適應(yīng)性、靈活性原則6、 多重保護原則網(wǎng)絡(luò)安全威脅分析：（威脅來源）1、 操作系統(tǒng)的安全性2、 防火墻的安全性3、 來自內(nèi)部網(wǎng)用戶的安全威脅4、 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性5、 采用的TCP/IP協(xié)議，本身缺乏安全性。6、 未能對來自Internet的電子郵件夾的病毒及web瀏覽可能存在的java/activeX控件進行有效控制7、 應(yīng)用服務(wù)的安全網(wǎng)絡(luò)安全解決方案：1、 在風(fēng)頭位置配置多接口防火墻，將整個網(wǎng)絡(luò)劃分為外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)等多個安全區(qū)域，交工作主機放置于內(nèi)部網(wǎng)絡(luò)區(qū)域，將WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器等服務(wù)器放置在DMZ區(qū)域，其它區(qū)域?qū)Ψ?wù)器區(qū)的訪問必須經(jīng)過防火墻模塊的檢查。2、