信息系統(tǒng)項(xiàng)目管理師考試必過筆記---第三章計(jì)算機(jī)網(wǎng)絡(luò)與信息安全

1、第三章 計(jì)算機(jī)網(wǎng)絡(luò)與信息安全1、 局域網(wǎng)（LAN）：傳輸距離短。傳輸媒介有雙絞線、細(xì)/精同軸電纜、微波、射頻信號(hào)和 紅外線等。類型有以太網(wǎng)、令牌環(huán)網(wǎng)、Apple Talk網(wǎng)絡(luò)和AcrNet網(wǎng) 絡(luò)等，新技術(shù)如光纖分布式數(shù)據(jù)接口（FDDI）。2、 廣域網(wǎng)（WAN）：傳輸距離較長，由通信子網(wǎng)與資源子網(wǎng)組成，通信子網(wǎng)通常由通信節(jié) 點(diǎn)和通信鏈路組成。通信節(jié)點(diǎn)往往是一臺(tái)計(jì)算機(jī)。局域網(wǎng)與廣域網(wǎng)的 互聯(lián)一般通過三第三層設(shè)備路由器實(shí)現(xiàn)。3、 城域網(wǎng)（MAN）：覆蓋范圍介于局域網(wǎng)和廣域網(wǎng)之間，主要技術(shù)是分布式隊(duì)列雙總線 （DQDB）即IEEE 802.6。DQDB是由雙總線構(gòu)成的，所有計(jì)算機(jī)都連 接在上面。4、互

2、聯(lián)網(wǎng)（Internet）網(wǎng)絡(luò)分類寬帶城域網(wǎng)：是在城市范圍內(nèi)，以網(wǎng)際協(xié)議（IP）和異步傳輸模式（ATM）電信技術(shù)為基礎(chǔ)，以光纖作為傳輸媒介，集數(shù)據(jù)、語音和視頻服務(wù)于一體的高帶寬、多功能及多業(yè)務(wù)接入的多媒體通信網(wǎng)絡(luò)。網(wǎng)絡(luò)互聯(lián)模型：應(yīng)用層：HTTP、Telnet、FTP、SMTP、NFS表示層：JPEG、ASCII、GIF、DES、MPEG會(huì)話層：RPC、SQL、NFS傳輸層：TCP、UDP、SPX網(wǎng)絡(luò)層：IP、IPX；路由器、三層交換機(jī)數(shù)據(jù)鏈路層：IEEE802.3/2、HDLC、PPP、ATM；交換機(jī)、網(wǎng)橋物理層：RS232、V.35、RJ-45、FDDI；調(diào)制解調(diào)器、中繼器、集線器1、802.

3、1：802協(xié)議概論；2、802.2：邏輯鏈路控制層（LLC）協(xié)議；3、 802.3：以太網(wǎng)的CSMA/CD（載波監(jiān)聽多路訪問/沖突檢測(cè)）協(xié)議；4、 802.4：令牌總線（Token Bus）協(xié)議；5、 802.5：令牌環(huán)（Token Ring）協(xié)議；6、 802.6：城域網(wǎng)協(xié)議；7、 802.7：寬帶技術(shù)協(xié)議；8、 802.8：光纖技術(shù)協(xié)議；9、 802.9：局域網(wǎng)上的語音/數(shù)據(jù)集成規(guī)范；10、 802.10：局域網(wǎng)安全互操作標(biāo)準(zhǔn)；11、 802.11：無線局域網(wǎng)（WLAN）標(biāo)準(zhǔn)協(xié)議；IEEE 802規(guī)范FDDI：光纖分布式數(shù)據(jù)接口。FDDI采用了類似令牌環(huán)網(wǎng)的協(xié)議，用光纖作為介質(zhì)，數(shù)據(jù)傳輸率

4、可達(dá)100Mb/s，環(huán)路長度可擴(kuò)展到200km，連接站點(diǎn)數(shù)可達(dá)1000個(gè)，常用于LAN骨干網(wǎng)。TCP/IP協(xié)議簇：TCP/IP不是一個(gè)簡單的協(xié)議，而是一組小的、專業(yè)化的協(xié)議。最大的優(yōu)勢(shì)之一是可路由性，還具有靈活性，可在多個(gè)網(wǎng)絡(luò)操作系統(tǒng)或網(wǎng)絡(luò)介質(zhì)的聯(lián)合系統(tǒng)中運(yùn)行。TCP/IP協(xié)議簇可分為應(yīng)用層、傳輸層、網(wǎng)際層、網(wǎng)絡(luò)接層四層。簡單文件傳輸協(xié)議（TFTP）是基于用戶數(shù)據(jù)報(bào)協(xié)議（UDP）的，而文件傳輸協(xié)議（FTP）是基于TCP的，網(wǎng)絡(luò)文件系統(tǒng)（NFS）即可基于UDP來實(shí)現(xiàn)，也可基于TCP來實(shí)現(xiàn)。虛擬局域網(wǎng)（VLAN）：是由一些主機(jī)、交換機(jī)或路由器等組成的一個(gè)虛擬局域網(wǎng)。終端系統(tǒng)可分布于網(wǎng)絡(luò)不同地理位置

5、，但屬于同一邏輯廣播域。VLAN劃分：按交換機(jī)端口號(hào)劃分、按MAC地址劃分、按第三層協(xié)議（網(wǎng)絡(luò)層）劃分、IP組播VLAN、基于策略的VLAN、按用戶定義劃分。1、 PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）：用于撥號(hào)上網(wǎng)。2、 ISDN（綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)）：3、 xDSL：數(shù)字用戶線路。4、 DDN：數(shù)字專線。5、 X.25：6、 FR幀中繼：用于廣域網(wǎng)。7、 ATM：異步傳輸模式。廣域網(wǎng)傳輸協(xié)議ATM異步傳輸模式優(yōu)點(diǎn)：（1） 速度：ATM支持高達(dá)622Mb/s的傳輸率。（2） 可擴(kuò)展性：ATM允許在現(xiàn)存結(jié)構(gòu)中增加帶寬和端口密度。（3） 高傳輸質(zhì)量QoS：（4） 一體化安裝：ATM提供了端到端解決方案的潛力，這意味著

6、它的應(yīng)用可以人桌面到局域網(wǎng)，一 直延伸到廣域網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)：1、 總線型 優(yōu)點(diǎn)： （1）所需電纜少 （2）布線容易 （3）單點(diǎn)可靠性高 缺點(diǎn)： （1）故障診斷困難 （2）對(duì)站點(diǎn)要求較高2、 星型 優(yōu)點(diǎn)： （1）整體可靠性高 （2）故障診斷容易 （3）對(duì)站點(diǎn)要求不高 缺點(diǎn)： （1）所需電纜多 （2）整個(gè)網(wǎng)絡(luò)可靠性依賴中央結(jié)點(diǎn)3、 環(huán)型 優(yōu)點(diǎn)： （1）所需電纜較少 （2）適用于光纖 缺點(diǎn)： （1）整體可靠性差 （2）診斷故障困難 （3）對(duì)站點(diǎn)要求高1、 異步傳輸模式（ATM）：是一種信元交換網(wǎng)絡(luò)，最大的特點(diǎn)是速率高、延遲小、傳輸質(zhì)量有保 障，但成本也很高。2、 幀中繼：在數(shù)據(jù)鏈路層實(shí)現(xiàn)，沒有專門定義

7、物理層接口。主要優(yōu)點(diǎn)是：透明傳輸、面向連接、 幀長可變、速率高、能夠應(yīng)對(duì)突發(fā)數(shù)據(jù)傳輸、沒有流控和重傳、開銷小，但不適合對(duì) 延遲敏感的應(yīng)用（音頻和視頻），無法保證可靠的提交。3、 綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)：綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)（ISDN）可分為窄帶ISDN（N-ISDN）和寬帶（B-ISDN）。4、 同步光纖：同步光纖網(wǎng)絡(luò)（SONET）和同步數(shù)字體系（SDH）是一組有關(guān)光纖信道上的同步 數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)協(xié)議，常有于傳輸網(wǎng)絡(luò)物理層技術(shù)，速率可達(dá)10Gbps。目前廣泛 使用點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）對(duì)IP數(shù)據(jù)包封裝、差錯(cuò)控制和鏈路初始化，并采用高級(jí) 數(shù)據(jù)鏈路控制（HDLC）的幀格式。5、 Internet接入與接口層協(xié)議：

8、提供接入的服務(wù)運(yùn)營商稱為Internet服務(wù)商（ISP）；接入方式 為、終端方式或主機(jī)方式，主機(jī)方式接入可分為串行線路網(wǎng)際 協(xié)議（SLIP）、以太網(wǎng)上的PPP（PPP/PPPoE）、數(shù)字?jǐn)?shù)據(jù)網(wǎng) （DDN）三種。6、 FTTx和LAN接入：實(shí)現(xiàn)高速以太網(wǎng)的寬帶技術(shù)常用方式是FFTx+LAN，即光纖+網(wǎng)絡(luò)網(wǎng)。 光纖入戶可分為：光纖到路邊（FTTC）、光纖到小區(qū)（FTTZ）、光纖到 大樓（FTTB）、光纖到樓層（FTTF）、光纖到戶（FTTH）5種。無源光 纖技術(shù)（PON）是實(shí)現(xiàn)FTTB的關(guān)鍵技術(shù)，主要技術(shù)有基于ATM的無 源光網(wǎng)絡(luò)（ATM-PON，APON）和基于以太網(wǎng)絡(luò)的無源光網(wǎng)絡(luò)（EPON）

9、兩種。7、 電話線路接入：常見的有公共電話網(wǎng)（PSTN）和xDSL。其中，xDSL可分為HDSL（高速 數(shù)字用戶環(huán)路）、SDSL（對(duì)稱數(shù)字用戶環(huán)路）、ADSL（非對(duì)稱數(shù)字用戶環(huán)路）、 RADSL（速率自適應(yīng)用戶數(shù)字線）、VDSL（甚高速數(shù)字用戶環(huán)路）。8、 同軸和光纖接入：同軸光纖技術(shù)（HFC）是將光纖敷設(shè)到小區(qū)，然后通過光電轉(zhuǎn)換節(jié)點(diǎn)，利 用CATV的總線式同軸電纜連接到用戶，提供綜合電信業(yè)務(wù)的技術(shù)。用戶 需要一個(gè)Cable Modem(電纜調(diào)制解調(diào)器)的設(shè)備，無須撥號(hào)、可提供在線 永遠(yuǎn)連接。9、 無線接入：多址技術(shù)可分為頻分多址（FDMA）、時(shí)分多址（TDMA）、碼分多址（CDMA）三 種。

10、第三代移動(dòng)通信（3G）技術(shù)采用了CDMA。3G主流技術(shù)有W-CDMA（寬帶 CDMA）、CDMA2000、TD-CDMA（時(shí)分同步CDMA）3種。4G牌照分為TD-LTE、 FDD-LTE，基于正交頻分復(fù)用（OFDM）技術(shù)。網(wǎng)絡(luò)接入技術(shù)1、 有源光網(wǎng)絡(luò)（AON）：基于SDH（同步光網(wǎng)絡(luò)）的AON，基于PDH（異步 光網(wǎng)絡(luò)）的AON。2、 無源光網(wǎng)絡(luò)（PON）分類光纖接入接入方式1、 FTTR（光纖到遠(yuǎn)端接點(diǎn)）2、 FTTB（光纖到大樓）3、FTTC（光纖到路邊）4、 FTTZ（光纖到小區(qū)）5、 FTTH（光纖到戶）多路復(fù)用技術(shù)：多路復(fù)用技術(shù)一般可以劃分為頻分多路復(fù)用（FDMA）、波分多路復(fù)用（

11、WDMA）、時(shí)分多路復(fù)用（TDMA）和碼分多路復(fù)用（CDMA）4種。IP地址中，全0代表的是網(wǎng)絡(luò)，全1代表的是廣播。IPv6：IPV6的設(shè)計(jì)要點(diǎn)在于克服IPv4的地址短缺，無法適應(yīng)對(duì)時(shí)間敏感的通信等缺點(diǎn)。 IPv6以十六進(jìn)制表示，將原來的32位地址擴(kuò)展為128位地址，徹底解決了地址 缺乏的問題。1、 電路交換方式：是兩臺(tái)計(jì)算機(jī)通過通信子網(wǎng)進(jìn)行數(shù)據(jù)交換之前，首先要在通信子網(wǎng)中建立一個(gè) 實(shí)際的物理鏈路連接的交換方式。可分為線路建立、線路傳輸、線路釋放三個(gè)階段。2、 存儲(chǔ)轉(zhuǎn)發(fā)交換：也叫報(bào)文交換，數(shù)據(jù)傳輸?shù)膯挝皇菆?bào)文。端點(diǎn)之間交換的數(shù)據(jù)是隨機(jī)性和突發(fā)性的， 存儲(chǔ)轉(zhuǎn)發(fā)可以節(jié)省信道容量和有效時(shí)間。 優(yōu)點(diǎn)是

12、：信道利用率高；存儲(chǔ)轉(zhuǎn)發(fā)過程中，結(jié)點(diǎn)可對(duì)數(shù)據(jù)進(jìn)行處理，易于實(shí)現(xiàn)速度 和代碼的轉(zhuǎn)換，為速度不同、代碼不同的計(jì)算機(jī)之間的互聯(lián)和通信提供了條件。3、 數(shù)據(jù)報(bào)方式：是報(bào)文分組存儲(chǔ)轉(zhuǎn)發(fā)的一種形式。分組傳送之間不需要預(yù)先在源主機(jī)與目的主機(jī)之間 建立“線路連接”。源站點(diǎn)所發(fā)送的每一個(gè)分組都是被單獨(dú)處理的，可以獨(dú)立地選擇 一條傳輸路徑。每個(gè)分組在通信子網(wǎng)中可又能是通過不同的傳輸路徑到達(dá)目的地站點(diǎn) 的。4、 虛電路方式：虛電路方式試圖將數(shù)據(jù)報(bào)與電路交換結(jié)合起來，發(fā)揮兩種方式的優(yōu)點(diǎn)。虛電路方式在 分組發(fā)送之前，需要在發(fā)送方和接收方建立一條邏輯連接的虛電路。5、 ATM交換：ATM（異步傳輸模式）交換，也稱為信元交

13、換，是分組技術(shù)在大容量傳輸媒體的環(huán)境中 的新發(fā)展。ATM把數(shù)字化的語音、數(shù)據(jù)及圖像信息分成固定長度的若干段，稱為信元。 接入ATM網(wǎng)主要指在各種接入網(wǎng)中使用ATM技術(shù)、傳送ATM信元，如基于ATM的無源 光纖網(wǎng)絡(luò)（APON）、混合光纖同軸（HFC）、非對(duì)稱數(shù)字環(huán)路（ADSL）等。交換技術(shù)基于HFC網(wǎng)（光纖和同軸電纜混合網(wǎng)）的Cable MODEM技術(shù)是寬帶接入技術(shù)中最先成熟和進(jìn)入市場的。有線接入網(wǎng)發(fā)展的一個(gè)重要趨勢(shì)是FTTC（光纖到路邊）與HFC整合，進(jìn)而向FTTC發(fā)展。HFC的最新發(fā)展趨勢(shì)是與DWDM（密集波分復(fù)用技術(shù)）結(jié)合，可以充分利用DWDM的降價(jià)趨勢(shì)簡化第二樞紐站。1、 DAS直接存儲(chǔ)

14、方式：在這種方式中，存儲(chǔ)設(shè)備是通過電纜（通常是SCSI接口電纜）直連到 服務(wù)器的。I/O（輸入/輸入）請(qǐng)求直接發(fā)送到存儲(chǔ)設(shè)備。2、 NAS直接聯(lián)網(wǎng)存儲(chǔ)：存儲(chǔ)系統(tǒng)不再通過I/O總線附屬于某個(gè)特定的服務(wù)器或客戶機(jī)，而是 直接通過網(wǎng)絡(luò)接口與網(wǎng)絡(luò)直接相連，由用戶通過網(wǎng)絡(luò)訪問。NAS實(shí)際 上是一個(gè)帶有瘦服務(wù)器的存儲(chǔ)設(shè)備。作用類似一個(gè)專用的文件服務(wù)器。 是一種即插即用的網(wǎng)絡(luò)設(shè)備。3、 SAN 存儲(chǔ)區(qū)域網(wǎng)絡(luò)：是一種類似于普通局域網(wǎng)的高速存儲(chǔ)網(wǎng)絡(luò)，SAN提供了一種與現(xiàn)有局域 網(wǎng)連接的簡易方法，允許企業(yè)獨(dú)立地增加它們的存儲(chǔ)容量，并使網(wǎng)絡(luò)性 能不至于受到數(shù)據(jù)訪問的影響。Open SAN（開放式存儲(chǔ)區(qū)域網(wǎng)）是SAN

15、 的最高境界，它可以在不考慮服務(wù)器操作系統(tǒng)或存儲(chǔ)設(shè)備制造商的情況 下，將任何平臺(tái)的服務(wù)器、存儲(chǔ)系統(tǒng)完整連接起來。SAN適用于存儲(chǔ)量 大的工作環(huán)境，但適用性和通用性較差，安裝和升級(jí)效率不高，成本比 較高。網(wǎng)絡(luò)存儲(chǔ)技術(shù)WiMax：WiMax（World Interoperability for Microwave Access）論壇是由采用IEEE 802.16標(biāo)準(zhǔn)的設(shè)備和器件供應(yīng)商成立的一個(gè)非營利性生產(chǎn)團(tuán)體，主要是向市場推廣IEEE新的無線通信標(biāo)準(zhǔn)802.16。Wi-Fi:Wi-Fi標(biāo)準(zhǔn)是針對(duì)局域網(wǎng)的無線接入技術(shù)制訂的，覆蓋距離通常只有10-300米，所以可以說Wi-Fi解決的是“最后100米”

16、的通信接入。CDMA2000：CDMA2000（Code Division Multiple Access 2000）是一種3G移動(dòng)通信標(biāo)準(zhǔn)，國際電信聯(lián)盟ITU的IMT-2000標(biāo)準(zhǔn)認(rèn)可的無線電接口，也是2G cdmaOne標(biāo)準(zhǔn)的延伸。WCDMA:WCDMA（Wideband Code Division Multiple Access），即寬帶碼分多址，它是一種3G移動(dòng)通訊標(biāo)準(zhǔn)。TD-SCDMA:TD-SCDMA（Time Division-Synchronous Code Division Multiple Access），即時(shí)分同步碼分多址，TD-SCDMA作為中國提出的第三代移動(dòng)通信標(biāo)準(zhǔn)

17、。光纖接入網(wǎng)從技術(shù)上分類：（1） 有源光網(wǎng)絡(luò)（Active Optical Network，AON）（2） 無源光網(wǎng)絡(luò)（Passive Optical Network，PON）光纖接入方式根據(jù)光網(wǎng)絡(luò)單元的位置分類：（1） FTTR（光纖到遠(yuǎn)端接點(diǎn)）（2） FTTB（光纖到大樓）（3） FTTC（光纖到路邊）（4） FTTZ（光纖到小區(qū)）（5） FTTH（光纖到戶）網(wǎng)絡(luò)規(guī)劃1、 網(wǎng)絡(luò)的功能要求。2、 網(wǎng)絡(luò)的性能要求。3、 網(wǎng)絡(luò)運(yùn)行環(huán)境的要求。4、 網(wǎng)絡(luò)的可擴(kuò)充性和可維護(hù)性要求。網(wǎng)絡(luò)設(shè)計(jì)方面，主要采用層次式設(shè)計(jì)方法。層次式網(wǎng)絡(luò)設(shè)計(jì)1、 接入層：將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層，目

18、的是允許終端用戶連接 到網(wǎng)絡(luò)，接入層交換機(jī)具有低成本和高端口密度的特性。2、 匯聚層：將位于接入層和核心層之間的部分稱為匯聚層，匯聚層完成網(wǎng)絡(luò)訪問策略控制、數(shù)據(jù) 包處理、過濾、尋址，以及其他數(shù)據(jù)處理任務(wù)。匯聚層交換機(jī)是多臺(tái)接入層交換機(jī)的 匯聚點(diǎn)，比接入層交換機(jī)性能更高，更少接口和更高的交換速率。3、 核心層：網(wǎng)絡(luò)主干部分稱為核心層，主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化、可靠的骨干 傳輸結(jié)構(gòu)，為網(wǎng)絡(luò)提供了骨干組件或高速交換組件，在分層設(shè)計(jì)中完成數(shù)據(jù)交換任務(wù)。 核心層交換機(jī)擁有更高的可靠性、性能和吞吐量。綜合布線工程包括綜合布線設(shè)備安裝、布放線纜和纜線端接等3個(gè)環(huán)節(jié)。任何一個(gè)網(wǎng)絡(luò)系統(tǒng)的實(shí)施都至少

19、包括兩個(gè)部分，即邏輯設(shè)計(jì)與物理實(shí)現(xiàn)。概念：綜合布線系統(tǒng)（PDS）是一種集成化通用傳輸系統(tǒng)，是在樓宇和園區(qū)范圍內(nèi)，利用雙絞線或 光纜來傳輸信息，可以連接電話、計(jì)算機(jī)、會(huì)議電視和監(jiān)視電視等設(shè)備的結(jié)構(gòu)化信息傳輸系統(tǒng)。綜合布線與機(jī)房工程1、 工作子系統(tǒng)：工作區(qū)子系統(tǒng)由終端設(shè)備連接到信息插座之間的設(shè)備組成，包括信息插座、 插座盒、連接跳線和適配器。2、 水平區(qū)子系統(tǒng)：（水平干線子系統(tǒng)、水平子系統(tǒng)）。水平區(qū)子系統(tǒng)應(yīng)由于工作區(qū)用的信息插 座、樓層分配線設(shè)備至信息插座的水平電纜、樓層配線設(shè)備和路線等組成。3、 管理間子系統(tǒng)：管理間子系統(tǒng)設(shè)置在樓層分配線設(shè)備的房間內(nèi)。管理間子系統(tǒng)應(yīng)由交接間 的配線設(shè)備及輸入/輸

20、出設(shè)備等組成，可應(yīng)用于設(shè)備間子系統(tǒng)中。4、 垂直干線子系統(tǒng)：（垂直干線子系統(tǒng)、干線子系統(tǒng)）。通常是由主設(shè)備間（如計(jì)算機(jī)房、程 控交換機(jī)房）提供建筑中最重要的銅線或光纖線主干線路，是整個(gè)大樓 的信息交通樞紐。5、 設(shè)備間子系統(tǒng)：設(shè)備間是在每一幢大樓的適當(dāng)?shù)攸c(diǎn)設(shè)置進(jìn)線設(shè)備，進(jìn)行網(wǎng)絡(luò)管理及管理人 員值班的場所。6、 建筑群子系統(tǒng)：（樓宇子系統(tǒng)）。建筑群子系統(tǒng)將一棟建筑的線纜延伸到建筑群內(nèi)的其他建 筑的通信設(shè)備和設(shè)施。系統(tǒng)模塊標(biāo)準(zhǔn)：綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范（GB 50311-2007）和綜合布線系統(tǒng)工程驗(yàn)收規(guī)范（GB 50312-2007）。大數(shù)通信綜合布線系統(tǒng)（YD/T 926）的適用范圍規(guī)定是跨越

21、距離不超過3000m、建筑面積不超過100萬平方米的布線區(qū)域，其人數(shù)為505萬人。1、 電纜和布線系統(tǒng)具有可控的電氣特性。2、 星型布線拓?fù)浣Y(jié)構(gòu)、為每臺(tái)設(shè)備提供專用介質(zhì)。3、 每條電纜都終結(jié)在放置LAN集線器和電纜互連設(shè)備的配線間中。4、 移動(dòng)、增加和改變配置容易。5、 局域網(wǎng)技術(shù)的獨(dú)立性。6、 單點(diǎn)故障隔離。7、 網(wǎng)絡(luò)管理簡單易行。8、 網(wǎng)絡(luò)設(shè)備安全。結(jié)構(gòu)化綜合布線系統(tǒng) 優(yōu)點(diǎn)雙絞線制作及測(cè)試1、 直連線（直通線）：用于連接非同種設(shè)備。兩端均采用568A或568B線序。2、 反跳線（交叉線）：用于連接同種設(shè)備。交叉線一端采用568A，另一端采用568B線序。3、 雙絞線測(cè)試：包括接線圖、鏈路長

22、度、衰減、連線長度、等效遠(yuǎn)端串?dāng)_、近端串?dāng)_、綜合遠(yuǎn) 端串?dāng)_、回波損耗、特性阻抗和衰減串?dāng)_比（ACR）等性能指標(biāo)的雙向測(cè)試。RJ45頭估算公式：X個(gè)信息點(diǎn)需要X×4+X×4×15%（損耗量）個(gè)RJ45頭。1、 性能價(jià)格比：選拔的線纜、接插件、電氣設(shè)備應(yīng)具有良好的物理和電報(bào)性能，而且價(jià)格適中。2、 實(shí)用性：滿足用戶現(xiàn)在和未來10至15年內(nèi)對(duì)通信線路的要求。3、 靈活性：做到信息口設(shè)備合理，可即插即用。4、 擴(kuò)充性好：盡可能采用易于擴(kuò)展的結(jié)構(gòu)和接插件。5、 便于管理：有統(tǒng)一標(biāo)識(shí)，方便配線、跳線。綜合布線產(chǎn)品選擇原則“安全空間”五大屬性：認(rèn)證、權(quán)限、完整、加密、不可否認(rèn)。

23、第一層：基礎(chǔ)設(shè)施實(shí)體安全：機(jī)房安全、場地安全、設(shè)施安全、動(dòng)力系統(tǒng)安全、 災(zāi)難預(yù)防與恢復(fù)。第二層：平臺(tái)安全：操作系統(tǒng)漏洞檢測(cè)與修復(fù)；網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測(cè)與修復(fù)； 通用基礎(chǔ)應(yīng)用程序漏洞檢測(cè)與修復(fù)；網(wǎng)絡(luò)安全產(chǎn)品部署。第三層：數(shù)據(jù)安全第四層：通信安全第五層：應(yīng)用安全第六層：運(yùn)行安全第七層：管理安全第八層：授權(quán)和審計(jì)安全第九層：安全防范體系安全機(jī)制信息安全系統(tǒng)體系安全服務(wù)1、 對(duì)等實(shí)體認(rèn)證服務(wù)2、 數(shù)據(jù)保密服務(wù)3、 數(shù)據(jù)完整性服務(wù)4、 數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)5、 禁止否認(rèn)服務(wù)（不可否認(rèn)性服務(wù)）6、 犯罪證據(jù)提供服務(wù)安全技術(shù)1、 加密技術(shù)2、 數(shù)字簽名技術(shù)3、 訪問控制技術(shù)4、 數(shù)據(jù)完整性技術(shù)5、 認(rèn)證技術(shù)6、

24、 數(shù)據(jù)挖掘技術(shù)1、 MIS+S系統(tǒng)：為初級(jí)信息安全保障系統(tǒng)或基本信息安全保障系統(tǒng)。 特點(diǎn)：業(yè)務(wù)應(yīng)用基本不變； 硬件和系統(tǒng)軟件通用； 安全設(shè)備基本不帶密碼。不使用PKI/CA的VPN設(shè)備也屬于這個(gè)范疇。 不能勝任電子商務(wù)、電子政務(wù)、等實(shí)際應(yīng)用所需要解決的安全問題。2、 S-MIS系統(tǒng)：為標(biāo)準(zhǔn)信息保障系統(tǒng)，這種系統(tǒng)是建立在PKI/CA標(biāo)準(zhǔn)的信息安全保證系統(tǒng)。 特點(diǎn)：硬件和系統(tǒng)軟件通用； PKI/CA安全保障系統(tǒng)必須帶密碼； 業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變； 主要的通用的硬件、軟件也要通過PKI/CA認(rèn)證。3、 S2-MIS系統(tǒng)：為超安全的信息安全保障系統(tǒng)，這種系統(tǒng)是“絕對(duì)的”安全的信息安全保障系統(tǒng)， 不

25、僅使用PKI/CA標(biāo)準(zhǔn)，同時(shí)，硬件和系統(tǒng)軟件都使用專用的安全產(chǎn)品。 特點(diǎn)：硬件和系統(tǒng)軟件都專用； PKI/CA安全保障系統(tǒng)必須帶密碼； 業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變； 主要的硬件和系統(tǒng)軟件需要PKI/CA認(rèn)證。信息安全系統(tǒng)架構(gòu)惡意代碼：是指病毒、蠕蟲、木馬、邏輯炸彈和其他一些意想不到的軟件問題。病毒：是一些可以自我復(fù)制到可執(zhí)行文件中的代碼段。特洛伊木馬：是一種程序，可以隱藏在正常程序中、執(zhí)行某種破壞功能。蠕蟲：是一種可以自我復(fù)制傳播且不需要宿主的完整程序。常常造成計(jì)算機(jī)系統(tǒng)運(yùn)行緩慢、網(wǎng)絡(luò)阻塞等后果，大大占用計(jì)算機(jī)和網(wǎng)絡(luò)資源。安全策略的核心內(nèi)容就是“七定”：定方案、定崗、定位、定員、定目標(biāo)、定制度、

26、定工作流程。1、 確定安全需求：包括確定安全需求的范圍、評(píng)估面臨的風(fēng)險(xiǎn)。2、 制訂可實(shí)現(xiàn)的安全目標(biāo)。3、 制訂安全規(guī)劃：包括本地網(wǎng)絡(luò)、遠(yuǎn)程網(wǎng)絡(luò)、Internet。4、 制訂系統(tǒng)的日常維護(hù)計(jì)劃。信息安全策略的設(shè)計(jì)與實(shí)施步驟1、 用戶自主保護(hù)級(jí)：可信計(jì)算機(jī)通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。為用 戶提供可行的手段，避免其他用戶對(duì)數(shù)據(jù)的非法讀/寫與破壞。第一級(jí)適用 于普通內(nèi)聯(lián)網(wǎng)用戶。2、 系統(tǒng)審計(jì)保護(hù)級(jí)：可信計(jì)算機(jī)實(shí)施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計(jì)安全 性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。第二級(jí)適用于通過內(nèi) 聯(lián)網(wǎng)或國際網(wǎng)進(jìn)行商務(wù)活動(dòng)，需要保密的非重要單位。3、

27、 安全標(biāo)記保護(hù)級(jí)：可信計(jì)算機(jī)具有系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能。此外，還提供有關(guān)安全策略 模型、數(shù)據(jù)標(biāo)記，以及主體對(duì)客體強(qiáng)制訪問控制的非形式化描述：具有準(zhǔn) 確地標(biāo)記輸出信息的能力；消除通過測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。第三級(jí)適用于 地方各級(jí)國家機(jī)關(guān)、金融機(jī)構(gòu)、郵電通信、能源與水源供給部門、交通運(yùn) 輸、大型工商與信息技術(shù)企業(yè)、重點(diǎn)工程建設(shè)單位。4、 結(jié)構(gòu)化保護(hù)級(jí)：可信計(jì)算機(jī)建立于一個(gè)明確定義的形式化安全策略之上，它要求將第三級(jí)系 統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體，此外，還要考慮隱蔽通 道。第四級(jí)適用于中央國家機(jī)關(guān)、廣播電視部門、重要物資儲(chǔ)備單位、社會(huì) 應(yīng)急服務(wù)部門、尖端科技企業(yè)集團(tuán)、國家重點(diǎn)科研機(jī)構(gòu)

28、和國防建設(shè)等部門。5、 訪問驗(yàn)證保護(hù)級(jí)：可信計(jì)算機(jī)滿足訪問監(jiān)控器要求。訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問。 第五級(jí)適用于國防關(guān)鍵部門和依法需要對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施特殊隔離的 單位。安全保護(hù)等級(jí)1、 主要領(lǐng)導(dǎo)人負(fù)責(zé)原則。2、 規(guī)范定級(jí)原則。3、 依法行政原則。4、 以人為本原則。5、 注重效費(fèi)比原則。6、 全面防范、突出重點(diǎn)原則。7、 系統(tǒng)、動(dòng)態(tài)原則。8、 十個(gè)特殊的安全管理原則。 分權(quán)制衡原則 最小特權(quán)原則 標(biāo)準(zhǔn)化原則 用成熟的先進(jìn)技術(shù)原則 失效保護(hù)原則 普遍參與原則 職責(zé)分離原則 審計(jì)獨(dú)立原則 控制社會(huì)影響原則 保護(hù)資源和效率原則 信息系統(tǒng)安全管理原則（8個(gè)總原則，10個(gè)特殊原則）概念：對(duì)稱

29、密碼體系又稱秘密密鑰體系（私鑰密碼體制），加密和解密采用 相同的密鑰。加密算法：FEAL、IDEA（128位）、DES（56位）、3DES（112位）。Kerberos1、對(duì)稱密碼體系密鑰算法概念：非對(duì)稱密碼體系又稱公開密鑰體制（公鑰密碼體制），其加密和解密 使用不同的密鑰，其中一個(gè)密鑰是公開的，另一個(gè)密鑰是保密的。分類：大整數(shù)分解問題類、離散對(duì)數(shù)問題類、橢圓曲線類（離散對(duì)數(shù)類）。加密算法：RAS（512位）、ECC。PKI2、非對(duì)稱密碼體系一個(gè)密碼體系模型可由五元組（M、C、K、E、D）構(gòu)成，M代表明文空間，C代表密文空間，K代表密鑰空間，E代表加密算法，D代表解密算法。密鑰空間是全體密鑰的

30、集合，每一個(gè)密鑰K均由加密密鑰Ke和解密密鑰Kd組成，即有K=<Ke，Kd>。加密算法是由一簇由M到C的加密變換，即有C=（M，Ke）。解密算法是由一簇由C到M的解密變換，即有M=（C，Kd）。信息摘要（MD）算法：是一個(gè)單向散列函數(shù)，任何數(shù)據(jù)塊經(jīng)過單向散列函數(shù)得到一個(gè)固定長度的HASH值。MD可以看作是一份長文件（如商貿(mào)合同、偷拍的照片）的“數(shù)字指紋”。信息摘要是唯一的，可以公開但不會(huì)透露相關(guān)文件內(nèi)容。數(shù)據(jù)簽名：對(duì)某個(gè)數(shù)據(jù)塊的簽名，就是先計(jì)算數(shù)據(jù)塊的HASH值，然后使用私鑰加密數(shù)據(jù)塊的HASH值得到數(shù)據(jù)簽名。 組成部件：基站（STA）和 網(wǎng)絡(luò)橋接器（AP）。1、 未授權(quán)和無關(guān)聯(lián)2

31、、 授權(quán)但無關(guān)聯(lián)3、 授權(quán)并關(guān)聯(lián)：可信息交換。無線安全網(wǎng)絡(luò) WLAN客戶端與AP建立關(guān)系1、 WEP：連接對(duì)等協(xié)議。24位2、 WEP2：128位。3、 WPA：4、 中國標(biāo)準(zhǔn)WAPI安全機(jī)制1、 網(wǎng)絡(luò)信息安全木桶原則：指對(duì)信息均衡、全面的進(jìn)行保護(hù)。2、 網(wǎng)絡(luò)信息安全整體性原則：包括安全防護(hù)機(jī)制、安全檢測(cè)機(jī)制和安全恢復(fù)機(jī)制。3、 安全性評(píng)價(jià)與平衡原則。4、 標(biāo)準(zhǔn)化與一致性原則。5、 技術(shù)與管理結(jié)合原則。6、 統(tǒng)籌規(guī)劃，分步實(shí)施原則。7、 等級(jí)原則：指安全層次和安全級(jí)別。8、 動(dòng)態(tài)發(fā)展原則。9、 易操作原則。網(wǎng)絡(luò)安全設(shè)計(jì)原則構(gòu)架企業(yè)信息安全管理體系時(shí)，應(yīng)建立從規(guī)劃、建設(shè)、運(yùn)行維護(hù)到報(bào)廢的全過程安

32、全管理，建立“評(píng)估-響應(yīng)-防護(hù)-評(píng)估”的動(dòng)態(tài)閉環(huán)的管理流程。概念： 即“公鑰基礎(chǔ)設(shè)施”，是以不對(duì)稱密鑰加密技術(shù)為基礎(chǔ)，以數(shù)據(jù)機(jī)密性、完整性、身份認(rèn) 證和行為不可抵賴性為安全目的，來實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。內(nèi)容： 數(shù)字證書、不對(duì)稱密鑰密碼技術(shù)、認(rèn)證中心、證書和密鑰的管理、安全代理軟件、不可 否認(rèn)性服務(wù)、時(shí)間戳服務(wù)、相關(guān)信息標(biāo)準(zhǔn)、操作規(guī)范等。1、 實(shí)現(xiàn)CA和證書的管理。2、 密鑰的備份與恢復(fù)。3、 證書、密鑰對(duì)的自動(dòng)更換。4、 交叉認(rèn)證。5、 加密密鑰和簽名密鑰的分隔。6、 支持對(duì)數(shù)據(jù)簽名的不可抵賴性。7、 密鑰歷史的管理。功能1、 數(shù)字證書2、 認(rèn)證中心（CA）：是PKI的

33、核心。它是公正、權(quán)威、可信的第三方網(wǎng)上認(rèn)證機(jī)構(gòu)， 負(fù)責(zé)數(shù)字證書的簽發(fā)、撤銷和生命周期管理，還提供密鑰管理和 證書在線查詢等服務(wù)。3、 數(shù)字證書注冊(cè)審批機(jī)構(gòu)（RA）4、 數(shù)字簽名5、 密鑰和證書管理工具6、 雙證書體系7、 PKI密鑰管理中心（KMC）PKI構(gòu)件概念：X.509證書是一些標(biāo)準(zhǔn)字段的集合，這些字段包含有關(guān)用戶或設(shè)備及其相應(yīng)公 鑰的信息。1、 版本號(hào)2、 序列號(hào)3、 簽名算法標(biāo)識(shí)符4、 認(rèn)證機(jī)構(gòu)5、 有效期限6、 主題信息7、 認(rèn)證機(jī)構(gòu)的數(shù)字簽名8、 公鑰信息X.509證書標(biāo)準(zhǔn)內(nèi)容1、 數(shù)字證書管理。2、 證書和證書庫。3、 密鑰備份及恢復(fù)。4、 密鑰和證書的更新。5、 證書歷史檔案

34、。6、 客戶端軟件。7、 交叉認(rèn)證。職責(zé)認(rèn)證中心 （CA）1、 認(rèn)證2、 數(shù)據(jù)完整性3、 數(shù)據(jù)保密性服務(wù)4、 不可否認(rèn)性服務(wù)5、 公證服務(wù)。服務(wù)概念： 數(shù)字簽名（又稱公鑰數(shù)字簽名、電子簽章）是一種類似寫在紙上的普通的物理簽名，但 是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義 兩種互補(bǔ)的運(yùn)算，一個(gè)用于簽名，另一個(gè)用于驗(yàn)證。數(shù)字簽名1、 驗(yàn)證信息是由簽名者發(fā)送的。2、 信息自簽發(fā)到接收為止，沒做任何修改。作用算法：Hash簽名、數(shù)字簽名標(biāo)準(zhǔn)（DSS簽名）、RSA簽名。數(shù)字信封：數(shù)字信封采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。數(shù)字信封中采用了私鑰密碼體制

35、和公鑰密碼體制。基本原理是：將原文用對(duì)稱密鑰加密傳輸，而將對(duì)稱密鑰用接收方公鑰加密發(fā)送給對(duì)方。接收方收到電子信封，用自己的私鑰解密信封，取出對(duì)稱密鑰解密得原文。概念：是信息安全保障體制的核心內(nèi)容之一，它是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性的主要手段之一。訪 問控制是為了限制訪問主體對(duì)訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)信息應(yīng)用系統(tǒng)在合法范 圍內(nèi)使用；訪問控制機(jī)制決定用戶以及代表一定用戶利益的程序能做什么及做到什么程度。（1） 認(rèn)證過程，通過“鑒別”來檢驗(yàn)主體的合法身份。（2） 授權(quán)管理，通過“授權(quán)”來賦予用戶對(duì)某項(xiàng)資源的訪問權(quán)限。重要過程1、 強(qiáng)制訪問控制（MAC）：用戶不能改變他們的安全級(jí)別或?qū)ο蟮陌踩珜傩?/p>

36、。2、 自主訪問控制（DAC）：允許對(duì)象的屬主來制定針對(duì)該對(duì)象的保護(hù)策略。 機(jī)制分類訪問控制1、 DAC自主訪問控制方式：針對(duì)每個(gè)用戶指明能訪問的資源，對(duì)于不在指定的資源列 表中的對(duì)象不允許訪問。2、 ACL訪問控制列表方式：目前應(yīng)用最多的方式。目標(biāo)資源擁有訪問權(quán)限列表，指明 允許哪些用戶訪問。如果某個(gè)用戶不在訪問控制列表中，則 不允許該用戶訪問這個(gè)資源。3、 MAC強(qiáng)制訪問控制方式：在軍事和安全部門中應(yīng)用較多，目標(biāo)具有一個(gè)包含等級(jí)的 安全標(biāo)簽（如：不保密、限制、秘密、機(jī)密、絕密）；訪問 者擁有包含等級(jí)列表的許可，其中定義了可以訪問哪個(gè)級(jí) 別的目標(biāo)。4、 RBAC基于角色的訪問控制方式：模型首

37、先定義了一些組織內(nèi)的角色，如局長、科長、 職員；再根據(jù)管理規(guī)定給這些角色分配相應(yīng)的權(quán)限， 最后對(duì)組織的每個(gè)人根據(jù)具體業(yè)務(wù)和職位分配一個(gè) 或多個(gè)角色。授權(quán)方案PMI權(quán)限管理基礎(chǔ)設(shè)施：核心思想是以資源管理為核心，將對(duì)資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理，即由資源的所有者來進(jìn)行訪問控制管理。PMI與PKI的不同：PMI主要進(jìn)行授權(quán)管理，證明這個(gè)用戶有什么權(quán)限，能干什么，即“你能做什么”。PKI主要進(jìn)行身份鑒別，證明用戶身份，即“你是誰”。概念：防火墻是指建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機(jī)制，其作用是防止不希望、未經(jīng)授權(quán)的 通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。1、 網(wǎng)絡(luò)級(jí)防

38、火墻（過濾型防火墻）：是一種具有特殊功能的路由器，采用報(bào)文動(dòng)態(tài)過濾技術(shù)， 能夠動(dòng)態(tài)地檢查流過的TCP/IP報(bào)文或分組頭，工作在傳輸 層與網(wǎng)絡(luò)層。2、 應(yīng)用級(jí)防火墻（應(yīng)用網(wǎng)關(guān)型防火墻）：采用一個(gè)網(wǎng)關(guān)來管理應(yīng)用服務(wù)，在其上安裝對(duì)應(yīng)于 每種服務(wù)的特殊代碼（代理服務(wù)程序），在此網(wǎng)關(guān)上 控制與監(jiān)督各類應(yīng)用層服務(wù)的網(wǎng)絡(luò)連接。分為：雙 穴主機(jī)網(wǎng)關(guān)、屏蔽主機(jī)網(wǎng)關(guān)、屏蔽子網(wǎng)關(guān)和應(yīng)用代 理服務(wù)器。產(chǎn)品分類防火墻典型應(yīng)用1、 控制來自因特網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問。2、 控制來自第三方局域網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問。3、 控制局域網(wǎng)內(nèi)部不同部門網(wǎng)絡(luò)之間的訪問。4、 控制對(duì)象服務(wù)中心的網(wǎng)絡(luò)訪問。安全區(qū)域1、 內(nèi)部網(wǎng)絡(luò)：是要保護(hù)的對(duì)象

39、，包括全部網(wǎng)絡(luò)設(shè)備及用戶機(jī)，是可信區(qū)域。2、 外部網(wǎng)絡(luò)：是要防護(hù)的對(duì)象，包括外部因特網(wǎng)主機(jī)和設(shè)備，是非可信網(wǎng)絡(luò)區(qū)域。3、 DMZ（非軍事區(qū)）：是從企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分出的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)用于 公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、FTP服務(wù)器和外部DNS服務(wù) 器等。概念：是用于檢測(cè)任何損害或企圖損害系統(tǒng)的機(jī)密性、完整性或可用性的行為的一種網(wǎng)絡(luò)安全技 術(shù)。他通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn) 網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。基本問題1、 如何充分并可靠地提取描述行為特征的數(shù)據(jù)。2、 如何根據(jù)特征數(shù)據(jù)高效并準(zhǔn)確地判斷行為的性質(zhì)。

40、入侵檢測(cè)模塊1、 數(shù)據(jù)源（原始數(shù)據(jù)）2、 分析引擎（通過異常檢測(cè)或誤用檢測(cè)進(jìn)行分析）3、 響應(yīng)（對(duì)分析結(jié)果采用必要和適當(dāng)?shù)拇胧z測(cè)技術(shù)1、 特征檢測(cè)：也稱為誤用檢測(cè)，假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是 檢測(cè)主體活動(dòng)是否符合這些模式。2、異常檢測(cè)：假設(shè)入侵者活動(dòng)異常于正常主體的活動(dòng)。概念：安全審計(jì)是指對(duì)主體訪問和使用客體的情況進(jìn)行記錄和審查，以保證安全規(guī)則被正確執(zhí)行， 并幫助企業(yè)分析安全事故產(chǎn)生的原因。安全審計(jì)是落實(shí)系統(tǒng)安全策略的重要機(jī)制和手段， 通過安全審計(jì)識(shí)別與防止計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的攻擊行為，追查計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的泄密行為。1、 采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識(shí)別網(wǎng)絡(luò)各種違規(guī)操

41、作與攻擊行為，即時(shí)響應(yīng)（如 報(bào)警）并進(jìn)行阻斷。2、 對(duì)信息內(nèi)容和業(yè)務(wù)流程的審計(jì)，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏和單位 資產(chǎn)流失。內(nèi)容安全審計(jì)安全審計(jì)與入侵檢測(cè)1、 入侵檢測(cè)是從信息安全審計(jì)派生出來的。2、 信息安全審計(jì)更偏向業(yè)務(wù)應(yīng)用系統(tǒng)的范疇，而入侵檢測(cè)更偏向“入侵”的、業(yè)務(wù) 應(yīng)用系統(tǒng)之外的范疇。3、信息安全審計(jì)與入侵檢測(cè)將合二為一，形成一個(gè)完整的信息安全防范體系。1、 檢測(cè)對(duì)系統(tǒng)的入侵，對(duì)潛在攻擊者起到震懾和警告作用。2、 發(fā)現(xiàn)計(jì)算機(jī)的濫用情況，對(duì)已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)。3、 為系統(tǒng)安全管理員提供有價(jià)值的系統(tǒng)使用日志，從而幫助系統(tǒng)安全員及時(shí)發(fā)現(xiàn)系 統(tǒng)入侵行為或潛在的系

42、統(tǒng)漏洞。4、 為系統(tǒng)安全管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志，使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性 能上的不足或需要改進(jìn)與加強(qiáng)的地方。安全審計(jì)作用1、 D1級(jí)（最小保護(hù)）：只為文件和用戶提供安全保護(hù)。最普通的形式是本地操作系統(tǒng)，或者是 一人完全沒有保護(hù)的網(wǎng)絡(luò)。2、C1級(jí)（無條件安全保護(hù)）：只提供了非常初級(jí)的自主安全保護(hù)。能夠?qū)崿F(xiàn)對(duì)用戶和數(shù)據(jù)的分 離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。C1 認(rèn)為所有文檔都具有相同的機(jī)密性。3、 C2級(jí)（受控的存取保護(hù)）：實(shí)際是安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)，即將C1級(jí) 的DAC進(jìn)一步細(xì)化，以個(gè)人身份注冊(cè)負(fù)責(zé)，并實(shí)施審計(jì)和資源隔 離。4、B1級(jí)（標(biāo)記

43、安全保護(hù)）：對(duì)系統(tǒng)的數(shù)據(jù)加以標(biāo)記，并對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制 （MAC）以及審計(jì)等安全機(jī)制。B1級(jí)能夠較好地滿足大型企業(yè)或一般 政府部門對(duì)于數(shù)據(jù)的安全需求，這一級(jí)別的產(chǎn)品才認(rèn)為是真正意義 上的安全產(chǎn)品。5、B2級(jí)（結(jié)構(gòu)化保護(hù)）：建立形式化的安全策略模型并對(duì)系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和 MAC。6、 B3級(jí)（安全域）：該級(jí)的TCB必須滿足訪問監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng) 恢復(fù)過程。7、A1級(jí)（驗(yàn)證設(shè)計(jì)）：提供B3級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保 護(hù)真正實(shí)現(xiàn)。安全審計(jì)作用可信計(jì)算機(jī)系統(tǒng)(TCSEC)網(wǎng)絡(luò)安全入侵監(jiān)測(cè)預(yù)警系統(tǒng)基本功能：負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)

44、上的通信數(shù)據(jù)流和網(wǎng)絡(luò)服務(wù)器中的審核信息，捕捉可疑的網(wǎng)絡(luò)和服務(wù)器系統(tǒng)活動(dòng)，發(fā)現(xiàn)其中的安全問題，當(dāng)網(wǎng)絡(luò)主機(jī)被非法使用或破壞時(shí)，進(jìn)行實(shí)時(shí)響應(yīng)和報(bào)警；產(chǎn)生通告信息。而系統(tǒng)審計(jì)管理人員根據(jù)主些通告信息、日志和分析結(jié)果，調(diào)整和更新已有的安全管理策略或進(jìn)行跟蹤追查等事后處理措施。入侵檢測(cè)的基本定義：為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理程序。它不僅檢測(cè)來自外部的入侵行為，同時(shí)也檢測(cè)內(nèi)部的用戶未授權(quán)活動(dòng)。從安全審計(jì)的角度看：入侵檢測(cè)采用的是以攻為守的策略，它所提供的數(shù)據(jù)不僅可用來發(fā)現(xiàn)合法用戶是否濫用特權(quán)，還可以為追究入侵者的法律責(zé)任提供有效證據(jù)。審計(jì)Agent：審計(jì)Agent是直接同被審計(jì)網(wǎng)

45、絡(luò)和系統(tǒng)連接的部件，不同的審計(jì)Agent完成不同的功能。主要可以分為網(wǎng)絡(luò)監(jiān)聽型Agent、系統(tǒng)嵌入型Agent、主動(dòng)信息獲取型Agent等。虛擬專用網(wǎng)絡(luò)（VPN）：提供了一種通過公用網(wǎng)絡(luò)安全地以企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。VPN連接使用隧道技術(shù)作為傳輸通道，可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。VPN關(guān)鍵技術(shù)包括，安全隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)。通過使用SSH（Secure Shell,安全外殼），可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙使用SSH，還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?/p>