計(jì)算機(jī)網(wǎng)絡(luò)安全考點(diǎn)概括

1、計(jì)算機(jī)網(wǎng)絡(luò)安全主要考點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)的不安全因素：1、 偶發(fā)因素：電源故障、軟件漏洞2、 自然災(zāi)害：火災(zāi)、水災(zāi)3、 人為因素：不法分子潛入機(jī)房破壞，網(wǎng)絡(luò)病毒，制度不健全?？煞譃橹鲃?dòng)攻擊（避開或突破安全防護(hù)，引入惡意代碼）、被動(dòng)攻擊（監(jiān)視公共媒體）、鄰近攻擊（未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)和設(shè)備，從而可以修改收集信息，或使系統(tǒng)拒絕訪問）、內(nèi)部人員攻擊、分發(fā)攻擊。計(jì)算機(jī)網(wǎng)絡(luò)安全定義：利用管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。目標(biāo)：1）保密性。2）完整性。3）可用性。4）不可否認(rèn)性。 鑒別 訪問控制 數(shù)據(jù)完整性 數(shù)據(jù)加密性 抗抵賴性 安全服務(wù) OSI參考模

2、型應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈物理層公證路由控制業(yè)務(wù)流填充鑒別交換數(shù)據(jù)完整性訪問控制數(shù)據(jù)簽名加密安全機(jī)制OSI安全體系結(jié)構(gòu)的研究始于1982年。它不是能實(shí)現(xiàn)的標(biāo)準(zhǔn)，而是關(guān)于如何設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)：PPDR（安全策略、防護(hù)、檢測(cè)、響應(yīng)）模型是一種常用的網(wǎng)絡(luò)安全模型。物理安全措施：保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及其它媒體免糟自然災(zāi)害和人為操作失誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。主要包括三個(gè)方面： 1） 環(huán)境安全2） 設(shè)備安全3） 媒體安全機(jī)房的三度要求：溫度（1822）、濕度、潔凈度電源對(duì)用電設(shè)備安全的潛在威脅：脈動(dòng)與噪聲、電磁干擾密碼學(xué)是數(shù)學(xué)的一個(gè)分支，是研究信息系統(tǒng)安

3、全保密的科學(xué)。是編碼學(xué)和密碼分析學(xué)的統(tǒng)稱。密碼學(xué)中的五元組：明文、密文、密鑰、加密算法、解密算法。解密密鑰Kd密文C明文P攻擊者加密密鑰Ke明文P加密E解密DP=Dk（Ek（P），即用加密算法得到的密文總能用一定的解密算法恢復(fù)出原始的明文來。加密體制的分類：1、 單鑰對(duì)稱密碼體制：它的安全性主要取決于兩個(gè)因素：加密算法必須足夠安全，使的不必為算法保密，僅根據(jù)密文就能破譯出消息是不可行的；密鑰的安全性，密鑰必須保密并保證有足夠大的密鑰空間，單鑰密碼體制要求基于密文和加密/解密算法的知識(shí)能破譯出消息的做法是不可行的。優(yōu)點(diǎn)：加密、減密處理速度快、保密度高等缺點(diǎn)：1）密鑰分布過程十分復(fù)雜所花代價(jià)高。

4、2）多人通信時(shí)密鑰組合的數(shù)量會(huì)出現(xiàn)爆炸性膨脹，使密鑰分布更加復(fù)雜化。 3）通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。如果發(fā)信者和收信者不相識(shí)，就不能發(fā)送秘密信息。 4）數(shù)字簽名困難。2、 雙鑰或非對(duì)稱密碼體制：產(chǎn)生的原因主要是：1）為了解決常規(guī)密鑰密碼體制的密鑰管理和分配的問題； 2）為了滿足對(duì)數(shù)字簽名的需求。優(yōu)點(diǎn)：可以公開加密密鑰，造就網(wǎng)絡(luò)的開發(fā)性要求，且僅需保密解密密鑰，所以密鑰管理問題比較簡(jiǎn)單。缺點(diǎn)：算法復(fù)雜，加密速度慢。單鑰算法：DES、IDEA、SAFER K-64、GOST、RC-4、RC-5、Blowfish、CAST-128DES：數(shù)據(jù)加密標(biāo)準(zhǔn)，些算法的核心是乘積變換。雙鑰加密

5、算法：RSA、ElGamal常見的網(wǎng)絡(luò)數(shù)據(jù)加密方式主要有1、 鏈路加密（在線加密）：是對(duì)網(wǎng)絡(luò)中兩個(gè)相鄰節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)。2、 節(jié)點(diǎn)加密：在信息傳輸路過的節(jié)點(diǎn)處進(jìn)行加密和減密。3、 端到端加密（脫線加密或包加密）：對(duì)一對(duì)用戶之間的數(shù)據(jù)連續(xù)地提供保護(hù)。 即整個(gè)傳輸過程都受到保護(hù)。認(rèn)證的目的有三個(gè)：1）消息完整性認(rèn)證2）身份認(rèn)證3）消息的序號(hào)和操作時(shí)間（時(shí)間性）典型的安全管理協(xié)議：公用管理信息協(xié)議（CMIP）、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）、分布式安全管理協(xié)議（DSM）。數(shù)字簽名和手寫簽名的主要區(qū)別：1） 手寫簽名是不變的，而數(shù)字簽名對(duì)不同的消息是不同的，即手寫簽名因人而異，數(shù)字簽名因消

6、息而異；2） 手寫簽名是易被模仿的，無論哪種文字的手寫簽名，偽造者都容易模仿，而數(shù)字簽名是在密鑰控制下產(chǎn)生的，在沒有密鑰的情況下，模仿者幾乎無法模仿出數(shù)字簽名。數(shù)字簽名和消息認(rèn)證的區(qū)別：消息認(rèn)證可以幫助接收方驗(yàn)證消息發(fā)送者的身份及消息是否被篡改。當(dāng)收發(fā)者之間沒有利害沖突時(shí)，這種方式對(duì)于防止第三者破壞是有效的，但當(dāng)存在利害沖突時(shí)，單純采用消息認(rèn)證技能就無法解決糾紛，這時(shí)就需要借助于數(shù)字簽名技術(shù)來輔助進(jìn)行更有效的消息認(rèn)證。PKI（公共密鑰基礎(chǔ)設(shè)施）：適用于多種環(huán)境的框架，它是一個(gè)用公鑰密碼算法原理和技術(shù)來提供安全服務(wù)的通用型基礎(chǔ)平臺(tái)，用戶可利用PKI提供的安全服務(wù)進(jìn)行安全通信。PKI采用標(biāo)準(zhǔn)的密鑰

7、管理規(guī)則，能夠?yàn)樗袘?yīng)用透明地提供加密和數(shù)字簽名等服務(wù)需要的密鑰和證書管理。PKI（公鑰基礎(chǔ)設(shè)施）組成：認(rèn)證機(jī)構(gòu)CA、證書庫(kù)、密鑰備份（即恢復(fù)系統(tǒng)）、證書作廢處理系統(tǒng)和PKI應(yīng)用接口系統(tǒng)。CA的職責(zé)：1） 驗(yàn)證并標(biāo)識(shí)申請(qǐng)者的身份。2） 確保用于簽名證書的非對(duì)稱密鑰的質(zhì)量。3） 確保整個(gè)鑒證過程中的安全性，確保簽名私鑰的安全性。4） 證書資料信息的管理5） 確保并檢查證書的有效期限6） 發(fā)布并維護(hù)作廢證書列表。7） 對(duì)整個(gè)證書簽發(fā)過程進(jìn)行日志記錄8） 向申請(qǐng)人發(fā)出通知 PKI的特點(diǎn)：1、 節(jié)省費(fèi)用。2、 互操作性。3、 開放性。4、 一致的解決方案5、 可驗(yàn)證性。6、 可選擇性。防火墻概念：位于

8、被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、潛在破壞性的侵?jǐn)_。功能：1、 過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)（信息 必經(jīng)之路 ）2、 管理進(jìn)出網(wǎng)絡(luò)的訪問行為3、 封堵某些禁止的業(yè)務(wù)4、 記錄通防火墻的信息內(nèi)容和活動(dòng)5、 對(duì)網(wǎng)絡(luò)攻擊檢測(cè)和告警局限性：1、 網(wǎng)絡(luò)的安全性通常是經(jīng)網(wǎng)絡(luò)的開放性和靈活性為代價(jià)2、 防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬無一失體系結(jié)構(gòu)：1、 雙重宿主主機(jī)體系結(jié)構(gòu)結(jié)構(gòu)簡(jiǎn)單，由一臺(tái)同時(shí)連接在內(nèi)外部網(wǎng)絡(luò)的雙重宿主主機(jī)提供安全保障。2、 屏蔽主機(jī)體系結(jié)構(gòu)提供安全保護(hù)的主機(jī)只與內(nèi)部網(wǎng)絡(luò)相連，使用一個(gè)

9、單獨(dú)的過濾路由器來提供主要安全。3、 屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與internet隔離開，通過用周邊網(wǎng)絡(luò)隔離堡壘主機(jī)，能減少堡壘主機(jī)被入侵造成的影響。它最簡(jiǎn)單的結(jié)構(gòu)為兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)，一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)之間。周邊網(wǎng)絡(luò)：網(wǎng)絡(luò)的一個(gè)安全層，是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間附加的網(wǎng)絡(luò)。堡壘主機(jī)、內(nèi)部路由器、外部路由器包過濾防火墻工作在網(wǎng)絡(luò)層數(shù)據(jù)包過濾技術(shù)可允許或不允許某些數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸，主要依據(jù)：1、 數(shù)據(jù)包的源地址2、 數(shù)據(jù)包的目的地址3、 數(shù)據(jù)包的協(xié)議類型（TCP、U

10、DP、ICMP）4、 TCP或UDP的源端口。5、 TCP或UDP的目的端口6、 ICMP消息類型包過濾系統(tǒng)不能識(shí)別數(shù)據(jù)包中用戶的信息，也不能識(shí)別數(shù)據(jù)包中的文件的信息。包過濾系統(tǒng)的主要特點(diǎn)是可在一臺(tái)計(jì)算機(jī)上提供對(duì)整個(gè)網(wǎng)絡(luò)的保護(hù)。代理技術(shù)優(yōu)點(diǎn)：1、代理易于配置。代理是一個(gè)軟件2、代理能生成各項(xiàng)記錄，代理工作在應(yīng)用層，安檢數(shù)據(jù)3、代理能靈活安全地控制進(jìn)出流量、內(nèi)容4、代理能過濾數(shù)據(jù)內(nèi)容5、代理能為用戶提供透明的加密機(jī)制6、代理可以方便地與其它安全手段集成缺點(diǎn)：1、 代理速度較路由器慢2、 代理對(duì)用戶不透明3、 對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器4、 代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制5、 代

11、理不能改進(jìn)低層協(xié)議的安全性NAT技術(shù)概念：NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）是internet工程任務(wù)組的標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在互聯(lián)網(wǎng)上，它是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。特點(diǎn)：1、 優(yōu)點(diǎn)：（1）所有內(nèi)部的IP地址對(duì)外面的人來說是隱蔽的，網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對(duì)網(wǎng)絡(luò)內(nèi)的任何一臺(tái)特定的計(jì)算機(jī)發(fā)起攻擊。（2）如果因?yàn)槟撤N原因公共IP地址資源比較短缺的話，NTA技術(shù)可以使整個(gè)內(nèi)部網(wǎng)絡(luò)共享一個(gè)IP地址（3）可以啟用基本的包過濾防火墻安全機(jī)制，因?yàn)樗袀魅氲臄?shù)據(jù)包如果沒有專門指定配置到NAT，那么就會(huì)被丟棄。2、缺點(diǎn)：存在局限性，和包過濾技術(shù)的缺點(diǎn)

12、類似。內(nèi)部網(wǎng)絡(luò)可以利用木馬程序通過NAT進(jìn)行外部連接。個(gè)人防火墻主要功能：1、 IP數(shù)據(jù)包過濾功能2、 安全規(guī)則的修定功能3、 對(duì)特定網(wǎng)絡(luò)攻擊數(shù)據(jù)包的攔截功能4、 應(yīng)用程序網(wǎng)絡(luò)訪問控制功能5、 網(wǎng)絡(luò)快速切斷/恢復(fù)功能6、 日志記錄功能7、 網(wǎng)絡(luò)攻擊的報(bào)警功能8、 主品自身安全功能特點(diǎn)：優(yōu)點(diǎn)：1、 增加了保護(hù)級(jí)別，不需要額外的硬件資源。2、 個(gè)人防火墻除了可以阻擋外來攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊3、 個(gè)人防火墻是對(duì)公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)，能夠?yàn)橛脩綦[蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址缺點(diǎn)：1、 對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口，導(dǎo)致個(gè)人防火墻本身容易受到攻擊2、 運(yùn)行時(shí)需要占用個(gè)人計(jì)算機(jī)的

13、內(nèi)存、CPU時(shí)間等資源3、 只能對(duì)單機(jī)提供保護(hù)，不能保護(hù)網(wǎng)絡(luò)系統(tǒng)。防火墻的發(fā)展趨勢(shì)：1、 優(yōu)良的性能2、 可擴(kuò)展的結(jié)構(gòu)和功能3、 簡(jiǎn)化的安裝與管理4、 主動(dòng)過濾5、 防病毒現(xiàn)防黑客6、 發(fā)展聯(lián)動(dòng)技術(shù)入侵檢測(cè)原理圖：知識(shí)庫(kù)當(dāng)前系統(tǒng)用戶行為是否入侵檢測(cè)分析引擎歷史行為特定行為模式其它安全策略入侵?jǐn)?shù)據(jù)提取記錄數(shù)據(jù)響應(yīng)處理入侵檢測(cè)的系統(tǒng)結(jié)構(gòu)：包括數(shù)據(jù)提取，入侵分析，影響處理和遠(yuǎn)程管理四部分入侵檢測(cè)的分類：就檢測(cè)理論而言，可分為異常檢測(cè)和誤用檢測(cè) 異常檢測(cè)：根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴行為是否出現(xiàn)來檢測(cè)。誤用檢測(cè)：運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些

14、入侵模式是否出現(xiàn)來檢測(cè)。端口掃描技術(shù)：原理：向目標(biāo)主機(jī)的TCP/IP端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)來判斷端口號(hào)是打開還是關(guān)閉等狀態(tài)信息。分類：TCP端口掃描技術(shù)和UDP端口掃描技術(shù)TCP端口掃描技術(shù)主要有：全連接掃描技術(shù)：優(yōu)點(diǎn)用戶無須特殊權(quán)限，且探測(cè)結(jié)果最為準(zhǔn)確。缺點(diǎn)是很容易被目標(biāo)主機(jī)察覺并記錄下來。半連接掃描技術(shù)、間接掃描技術(shù)、秘密掃描技術(shù)。計(jì)算機(jī)病毒：定義：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)的使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。也就是說計(jì)算機(jī)病毒是一個(gè)程序，它具有傳染性，能自我復(fù)制，是人為制造的。病毒特征：非授權(quán)可執(zhí)行性

15、、隱蔽性、傳染性、潛伏性、破壞性和可觸發(fā)性。危害：1、 直接破壞計(jì)算機(jī)的數(shù)據(jù)信息2、 戰(zhàn)勝磁盤空間和對(duì)信息的破壞3、 搶占系統(tǒng)資源4、 影響計(jì)算機(jī)運(yùn)行速度5、 計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害6、 計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響7、 給用戶造成心理壓力分類：1、 按攻擊的系統(tǒng)分：攻擊DOS系統(tǒng)的病毒、windows、UNIX、OS/22、 按病毒的鏈接方式：源碼型病毒、嵌入型、外殼型、操作系統(tǒng)型3、 按病毒的破壞情況：良性計(jì)算機(jī)病毒、惡性4、 按病毒的寄生方式：引導(dǎo)型病毒、文件型病毒、復(fù)合型病毒5、 按傳播媒介：?jiǎn)螜C(jī)病毒、網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的特點(diǎn)：1、 傳染方式多2、 傳播速度比較快3、 清除

16、難度大4、 破壞性強(qiáng)5、 潛在性深惡意代碼是一種程序，通常在人們沒有查覺的情況下把代碼寄宿到另一段程序中，從而達(dá)到破壞被感染計(jì)算機(jī)的數(shù)據(jù)，運(yùn)行具有入侵性或破壞性的程序，破壞被感染系統(tǒng)數(shù)據(jù)的安全性和完整性。惡意代碼的分類：1、 木馬，2、網(wǎng)絡(luò)蠕蟲，3、移動(dòng)代碼，4、復(fù)合型病毒網(wǎng)絡(luò)蠕蟲定義：是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不需要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。在計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃事，應(yīng)該遵守的原則：1、 需求、分析、代價(jià)平衡分析的原則2、 綜合性、整體性原則3、 一致性原則4、 易操作性原則5、 適應(yīng)性、靈活性原則6、 多重保護(hù)原則網(wǎng)絡(luò)安全威脅分析：（威脅來源）1、 操作系統(tǒng)的安全性2、 防火墻的安全性3、 來自內(nèi)部網(wǎng)用戶的安全威脅4、 缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性5、 采用的TCP/IP協(xié)議，本身缺乏安全性。6、 未能對(duì)來自Internet的電子郵件夾的病毒及web瀏覽可能存在的java/activeX控件進(jìn)行有效控制7、 應(yīng)用服務(wù)的安全網(wǎng)絡(luò)安全解決方案：1、 在風(fēng)頭位置配置多接口防火墻，將整個(gè)網(wǎng)絡(luò)劃分為外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)等多個(gè)安全區(qū)域，交工作主機(jī)放置于內(nèi)部網(wǎng)絡(luò)區(qū)域，將WEB服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等服務(wù)器放置在DMZ區(qū)域，其它區(qū)域?qū)Ψ?wù)器區(qū)的訪問必須經(jīng)過防火墻模塊的檢查。2、