點(diǎn)擊查看:2015年計(jì)算機(jī)等級(jí)考試三級(jí)網(wǎng)絡(luò)技術(shù)章節(jié)詳解匯總
第七章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全
本單元概覽
一、網(wǎng)絡(luò)管理。
二、信息安全技術(shù)概述。
三、網(wǎng)絡(luò)安全問題與安全策略。
四、加密技術(shù)。
五、認(rèn)證技術(shù)。
六、安全技術(shù)應(yīng)用。
七、入侵檢測與防火墻技術(shù)。
八、計(jì)算機(jī)病毒問題與防護(hù)。
一、網(wǎng)絡(luò)管理
1、網(wǎng)絡(luò)管理的基本概念
網(wǎng)絡(luò)管理的定義:對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)測和控制,包括兩個(gè)任務(wù):對(duì)運(yùn)行狀態(tài)監(jiān)測和運(yùn)行狀態(tài)控制。
網(wǎng)絡(luò)管理對(duì)象:硬件資源和軟件資源。
管理目標(biāo):網(wǎng)絡(luò)應(yīng)是有效的、可靠的、開放性、綜合性,一定安全行、經(jīng)濟(jì)性地提供服務(wù)。
2、網(wǎng)絡(luò)管理功能
配置管理(基本管理):包括資源清單管理、資源開通以及業(yè)務(wù)開通等
故障管理:發(fā)現(xiàn)和排除故障,包括檢測故障、隔離故障、糾正故障。
計(jì)費(fèi)管理:主要功能有:計(jì)算網(wǎng)絡(luò)建設(shè)及運(yùn)營成本、統(tǒng)計(jì)網(wǎng)絡(luò)包含資源的利用率、聯(lián)機(jī)收集計(jì)費(fèi)數(shù)據(jù)、計(jì)算用戶應(yīng)支付的網(wǎng)絡(luò)服務(wù)費(fèi)用、賬單管理。
性能管理:維護(hù)網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)運(yùn)營效率。包括:性能檢測、性能分析、性能管理控制。
安全管理:保護(hù)網(wǎng)絡(luò)中的系統(tǒng)、數(shù)據(jù)以及業(yè)務(wù)
3、網(wǎng)絡(luò)管理模型
網(wǎng)絡(luò)管理的基本模型:核心是一對(duì)相互通信的系統(tǒng)管理實(shí)體,是采用一種獨(dú)特的方式使兩個(gè)進(jìn)程之間相互作用,即管理進(jìn)程與一個(gè)遠(yuǎn)程系統(tǒng)相互作用來實(shí)現(xiàn)對(duì)遠(yuǎn)程資源的控制。此種方式管理進(jìn)程擔(dān)當(dāng)管理者角色,而另一個(gè)系統(tǒng)中的對(duì)等實(shí)體擔(dān)當(dāng)代理者角色,前者為網(wǎng)絡(luò)管理者,后者為網(wǎng)管代理。
網(wǎng)絡(luò)管理模式:分為集中式和分布式管理模式。集中式是所有的網(wǎng)管代理在管理站的監(jiān)視和控制下協(xié)同工作而實(shí)現(xiàn)集成的網(wǎng)絡(luò)管理;分布式管理將數(shù)據(jù)采集、監(jiān)視以及管理分散開來,可以從網(wǎng)絡(luò)上的所有數(shù)據(jù)源采集數(shù)據(jù)而不必考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。具體實(shí)現(xiàn)是將信息管理和智能判斷分散到網(wǎng)絡(luò)各處,使管理變得更加自動(dòng)。
管理者和代理者之間的信息交換可分為:從管理者到代理者的管理操作,從代理者到管理者的事件通知。
4、網(wǎng)絡(luò)管理協(xié)議(高層協(xié)議,位于應(yīng)用層) www.Examda.CoM
主要協(xié)議有SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)【UDP協(xié)議】和CMIP(公共管理信息協(xié)議)。
SNMP:有兩部分組成,SNMP管理者和SNMP代理者。網(wǎng)絡(luò)管理者通過SNMP協(xié)議收集代理所記錄的信息。收集方法有:輪詢和基于中斷的方法。
所謂輪詢:代理軟件不斷收集統(tǒng)計(jì)數(shù)據(jù),并把數(shù)據(jù)記錄到一個(gè)管理信息庫(MIB)中,網(wǎng)管通過代理的MIB發(fā)出查詢信號(hào)得到這些信息。這種方法的缺點(diǎn)在于信息的實(shí)時(shí)性差。而基于中斷的方法可立即通知網(wǎng)絡(luò)管理工作站,實(shí)時(shí)性強(qiáng)。
CMIP:公共管理協(xié)議主要針對(duì)OSI模型的傳輸環(huán)境設(shè)立的。管理進(jìn)程事先對(duì)事件分類,根據(jù)事件發(fā)生時(shí)對(duì)網(wǎng)絡(luò)服務(wù)影響的大小來劃分事件的嚴(yán)重等級(jí),再產(chǎn)生相應(yīng)故障處理方案。CMIP的所有功能都要映射到應(yīng)用層的相關(guān)協(xié)議上實(shí)現(xiàn)。管理聯(lián)系的建立、釋放和撤銷是通過聯(lián)系控制協(xié)議(ACP)實(shí)現(xiàn)的。操作和事件報(bào)告時(shí)通過遠(yuǎn)程操作協(xié)議(ROP)實(shí)現(xiàn)的。
二、信息安全技術(shù)概述
1、安全信息的概念
信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改、泄漏,系統(tǒng)連續(xù)、可靠、正常運(yùn)行,信息服務(wù)不中斷。
主要有以下目標(biāo):
真實(shí)性:鑒別偽造來源的信息。
保密性:信息不被竊聽。
完整性:數(shù)據(jù)的一致性防止數(shù)據(jù)非法篡改。
可用性:合法用戶的合法使用不被拒絕。
不可抵賴性:建立責(zé)任機(jī)制,防止用戶否認(rèn)其行為。
可控制性:信息傳播及內(nèi)容具有控制能力。
可審查性:對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。
2、信息安全策略
主要從三個(gè)方面體現(xiàn):先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證,嚴(yán)格的安全管理,嚴(yán)格的法律、法規(guī)。
3、信息安全性等級(jí)
美國國防部可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則(TCSEC):又稱為橘皮書,將網(wǎng)絡(luò)安全性等級(jí)劃分為A、B、C、D共4類,其中A類安全等級(jí)最高,D類安全等級(jí)最低!綜2級(jí)軟件:UNIX,NETWARE,XENIX,Windows NT等】
我國的信息安全系統(tǒng)安全保護(hù)分為5個(gè)等級(jí):
自主保護(hù)級(jí):會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),造成一定影響。
指導(dǎo)保護(hù)級(jí):會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),造成一定傷害。
監(jiān)督保護(hù)級(jí):會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),造成較大傷害
強(qiáng)制保護(hù)級(jí):會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),造成嚴(yán)重傷害
?乇Wo(hù)級(jí):會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息核心子系統(tǒng),造成特別嚴(yán)重傷害
三、網(wǎng)絡(luò)安全問題與安全策略
1、網(wǎng)絡(luò)安全的概念
網(wǎng)絡(luò)安全是指系統(tǒng)部件、程序、數(shù)據(jù)的安全性,通過網(wǎng)絡(luò)信息存儲(chǔ)、傳輸、和使用過程體現(xiàn)。也就是保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或設(shè)備,使其避免受非授權(quán)使用或訪問。內(nèi)容包括:保護(hù)信息和資源、保護(hù)客戶機(jī)和用戶、保證私有性。
安全的目的:
對(duì)網(wǎng)絡(luò)系統(tǒng)而言主要有信息的存儲(chǔ)安全和信息的傳輸安全。
信息的存儲(chǔ)安全通過設(shè)置訪問權(quán)限、身份識(shí)別、局部隔離等措施來保證
傳輸安全則需要預(yù)防:網(wǎng)上信息的監(jiān)聽、用戶身份的假冒、網(wǎng)絡(luò)信息的篡改、對(duì)發(fā)出信息的否認(rèn)、對(duì)信息進(jìn)行重放(對(duì)信息不破譯,直接把信息再次向服務(wù)器發(fā)送)。
安全措施:
社會(huì)法律政策、企業(yè)規(guī)章以及網(wǎng)絡(luò)安全教育;技術(shù)方面措施(如防火墻技術(shù)、防病毒、信息加密等);審計(jì)與管理措施,包括技術(shù)與社會(huì)措施(如實(shí)時(shí)監(jiān)控、漏洞檢查等)
2、OSI安全框架
OSI安全框架關(guān)注三個(gè)方面:安全攻擊、安全機(jī)制和安全服務(wù)。
(1)安全攻擊
被動(dòng)攻擊:特性是對(duì)傳輸進(jìn)行竊聽和監(jiān)測,攻擊的目標(biāo)是獲得傳輸信息。被動(dòng)攻擊不涉及信息更改,比較難檢測。例如信息內(nèi)容泄露、流量分析。所以重點(diǎn)是預(yù)防。
主動(dòng)攻擊:對(duì)數(shù)據(jù)流進(jìn)行篡改或偽造數(shù)據(jù)流,分為偽裝、重放、消息篡改、分布式拒絕服務(wù)。與被動(dòng)攻擊相反,可以預(yù)防,難于檢測,所以重點(diǎn)是檢測。
從網(wǎng)絡(luò)高層分:服務(wù)攻擊和非服務(wù)攻擊:服務(wù)攻擊是針對(duì)某種特定網(wǎng)絡(luò)的攻擊,如E-MAIL、ftp等;非服務(wù)攻擊不針對(duì)具體應(yīng)用服務(wù),是基于網(wǎng)絡(luò)層等底層協(xié)議進(jìn)行的。如源路由攻擊和地址欺騙等。非服務(wù)攻擊相對(duì)服務(wù)攻擊而言,往往利用協(xié)議或操作系統(tǒng)漏洞達(dá)到攻擊的目的,更為隱蔽。
(2)安全機(jī)制:用來保護(hù)系統(tǒng)免受偵聽、組織安全攻擊及回復(fù)系統(tǒng)機(jī)制。分為兩類:特定協(xié)議層實(shí)現(xiàn)的和不屬于任何的協(xié)議層或安全服務(wù)。X.800區(qū)分加密機(jī)制為可逆和不可逆?赡婕用軝C(jī)制是一種簡單的加密算法,是數(shù)據(jù)可以加密和解密。不可逆加密機(jī)制包括Hash算法、消息認(rèn)證碼,用于數(shù)字千米和消息認(rèn)證應(yīng)用。
(3)安全服務(wù)
指加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸安全性的一種服務(wù),目的在于利用一種或多種安全機(jī)制阻止安全攻擊。X.800將其定義為通信開放系統(tǒng)協(xié)議層提供的服務(wù),保證數(shù)據(jù)傳輸有足夠的安全性。
3、網(wǎng)絡(luò)安全模型
通信一方通過Internet將消息傳送給另一方,通信雙方必須協(xié)調(diào)工作共同完成消息的交換?梢酝ㄟ^定義Internet上源到宿的路由以及通信的主體共同使用的通信協(xié)議(如TCP/IP)來建立邏輯信息通道。
任何保護(hù)信息安全的方法都包含2個(gè)方面:
對(duì)發(fā)送信息的相關(guān)安全變換。如消息加密。
雙方共享某些秘密消息,并希望這些消息不為攻擊者所知。如加密密鑰。
為實(shí)現(xiàn)安全傳輸,必須有可信的第三方。例如第三方負(fù)責(zé)將秘密信息分配給通信雙方,而對(duì)攻擊者保密;或者當(dāng)通信雙方關(guān)于信息傳輸?shù)恼鎸?shí)性發(fā)生爭執(zhí)時(shí),由第三方來仲裁。
安全服務(wù)主要包含4個(gè)方面:安全傳輸、信息保密、分配和共享秘密信息、通信協(xié)議。
由程序引起的威脅有2種:信息訪問威脅和服務(wù)威脅
四、加密技術(shù)
1、密碼學(xué)基本術(shù)語
明文:原始消息;密文:加密后的消息;加密:從明文到密文的變換過程;解密:從密文到明文的變換過程;密碼編碼學(xué):研究各種加密方案的學(xué)科;密碼體制或密碼:加密方案;密碼分析學(xué):研究破譯密碼獲得消息的學(xué)科;密碼學(xué):密碼編碼學(xué)和密碼分析學(xué)的統(tǒng)稱。
(1)密碼編碼學(xué)特征
轉(zhuǎn)換明文為密文的運(yùn)算類型:所有加密算法都給予兩個(gè)原理代換和置換。
所用密鑰數(shù):發(fā)送方和接收方使用相同密鑰,為對(duì)稱密碼、單鑰密碼或傳統(tǒng)密碼;如果雙方使用不同密鑰,稱為非對(duì)稱密碼、雙鑰密碼或公鑰密碼。
處理明文的方法:加密算法分為分組密碼和流密碼。分組密碼每次處理一個(gè)輸入分組,相應(yīng)輸出一個(gè)輸出分組;流密碼則連續(xù)地處理輸入元素,每次輸出一個(gè)元素。
(2) 密碼分析學(xué)
攻擊密碼體制一般有兩種方法:密碼分析攻擊和窮舉攻擊。
密碼分析學(xué)的攻擊主要依賴于算法的性質(zhì)和明文的一般特征或某些明密文對(duì)。由此推導(dǎo)出密鑰
窮舉攻擊:攻擊者對(duì)一條密文嘗試所有可能的密鑰。
基于加密信息的攻擊類型有:唯密文攻擊,已知明文攻擊,選擇密文攻擊,選擇明文攻擊,選擇文本攻擊。
一般說來,加密算法起碼要經(jīng)受得住明文攻擊。
(3)無條件安全與計(jì)算上的安全
無論有多少可使用的密文,都不足以唯一地確定由該體制產(chǎn)生密文所對(duì)應(yīng)的明文,也就是說,無論花多少時(shí)間,攻擊者都無法將密文解密。除一次一密外,所有加密算法都不是無條件安全的,加密算法的使用者應(yīng)盡量滿足以下標(biāo)準(zhǔn):破譯密碼的代價(jià)超出密文信息的代價(jià);破譯密碼的時(shí)間超出密文信息的有效生命期。
(4)代換與置換技術(shù)
對(duì)稱加密用到的兩種技巧。
代換法:將明文字母替換成其他字母、數(shù)字或符號(hào)的方法。
置換法:通過置換而形成新的隊(duì)列。
2、對(duì)稱密碼
(1)對(duì)稱密碼模型
5個(gè)基本成分:
明文:作為算法的輸入
加密算法:對(duì)明文進(jìn)行各種代換和置換
密鑰:加密算法的輸入,不同于明文
密文:算法的輸出
解密算法:加密算法的逆。
籠統(tǒng)說,加密算法根據(jù)輸入的信息X和密鑰K生成密文Y。
(2)數(shù)據(jù)加密標(biāo)準(zhǔn)
廣泛使用的加密體制是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),采用64位的分組長度和56位密鑰長度。
(3)其他對(duì)稱加密算法:三重DES、高級(jí)加密標(biāo)準(zhǔn)AES、Blowfish算法、RC5算法。
3、公鑰密碼
是基于數(shù)學(xué)函數(shù)的算法而非基于置換和代換技術(shù)。是非對(duì)稱的,使用兩個(gè)獨(dú)立的密鑰。
(1)公鑰密碼體制
公鑰算法依賴于一個(gè)加密密鑰和一個(gè)與之相關(guān)但不相同的解密密鑰。重要特點(diǎn)是:根據(jù)密碼算法和加密密鑰來確定解密密鑰在計(jì)算上是不可行的。
通信各方均可訪問公鑰,而私鑰是通信方在本地產(chǎn)生的,只要系統(tǒng)控制了私鑰,那么他的通信就是安全的,在任何時(shí)刻,系統(tǒng)可以改變其私鑰,并公布相應(yīng)的公鑰代替原來的公鑰。
(2)公鑰密碼體制的應(yīng)用
應(yīng)用分3種:
加密/解密:發(fā)送方用接收方的公鑰對(duì)消息加密。
數(shù)字簽名:發(fā)送方用其私鑰對(duì)“消息”簽名。
密鑰交換:通信雙方交換會(huì)話密鑰。
(3)RSA算法
RSA既能用于加密,又能用于數(shù)字簽名的算法。
RSA是一種分組密碼,明文和密文均是0至n-1之間的整數(shù),通常n是1024位二進(jìn)制數(shù)或309位十進(jìn)制數(shù)。
明文以分組為單位加密,每個(gè)分組的二進(jìn)制值均小于n。分組的大小必須小于或等于log2n位。
選取密鑰的過程:選取兩個(gè)大質(zhì)數(shù)p和q,質(zhì)數(shù)值越大,破解RSA越困難。計(jì)算n=pq和z=(p-1)(q-1)。選擇小于n的數(shù)e,并和z沒有公約數(shù)(e與z互質(zhì))。找到數(shù)d,滿足ed-1被z整除。公鑰數(shù)對(duì)(n,e),私鑰數(shù)對(duì)(n,d)。公開公鑰。
加密過程:密文=明文的e次方再余n。
解密過程:明文=密文的d次方再余n。
(4)還有其他的常用公鑰加密算法如elgamal體制(采用離散對(duì)數(shù)的公鑰體質(zhì)),背包公鑰(速度快易解密)。
4、密鑰管理
(1)密鑰的分發(fā)
對(duì)稱密碼學(xué)的缺點(diǎn)是通信雙方事先對(duì)密鑰達(dá)成一致。一般通過密鑰分發(fā)中心(KDC),KDC是一個(gè)獨(dú)立的可信網(wǎng)絡(luò)實(shí)體,是一個(gè)服務(wù)器。每個(gè)用戶可通過秘密密鑰同KDC通信。
如果A和B都是KDC的用戶,A與B通信,A通過秘密密鑰與KDC通信得到R,B也得到R;則A和B可通過R通信。
(2)密鑰的認(rèn)證
認(rèn)證中心(CA)驗(yàn)證一個(gè)公共密鑰是否屬于一個(gè)特殊的實(shí)體。認(rèn)證中心負(fù)責(zé)將公共密鑰和特定實(shí)體進(jìn)行綁定,CA的工作就是證明身份和發(fā)放證書。
五、認(rèn)證技術(shù);消息認(rèn)證、數(shù)字簽名、身份認(rèn)證。
1、消息認(rèn)證(驗(yàn)證消息是否來自發(fā)送方并未經(jīng)修改)
(1)消息認(rèn)證的概念:
接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法,又稱消息完整性校驗(yàn)。
認(rèn)證的內(nèi)容包括:消息的信源信宿、內(nèi)容是否篡改,消息的序號(hào)和時(shí)間是否正確等。
認(rèn)證只在通信雙方之間進(jìn)行,不允許第三者進(jìn)行上述認(rèn)證。
(2)消息認(rèn)證的方法:
消息來源認(rèn)證:A、通信雙方事先約定發(fā)送消息的數(shù)據(jù)加密密鑰,接收者只要證實(shí)發(fā)送來的消息是否能用該密鑰還原成明文就能鑒定發(fā)送者。B、事先約定各自發(fā)送消息所使用的通行字,發(fā)送者消息中含有加密的通行字,接收者驗(yàn)證是否含有通行字即可,通行字是可變的。
認(rèn)證信息的完整性:基本途徑有兩條:采用消息認(rèn)證碼和采用篡改檢測碼。
認(rèn)證消息的序號(hào)和時(shí)間:目的是阻止消息的重放攻擊,常用的方法是流水作業(yè)號(hào)、隨機(jī)數(shù)認(rèn)證法和時(shí)間戳等。
(3)消息認(rèn)證模式
單向認(rèn)證:單向通信,接收者驗(yàn)證發(fā)送者的身份和消息的完整性
雙向認(rèn)證:雙向通信,接收者驗(yàn)證發(fā)送者的身份和消息的完整性,同時(shí)發(fā)送者確認(rèn)接收者是真實(shí)的。
(4)認(rèn)證函數(shù):分為3類:
信息加密函數(shù)MEF:用完整信息的密文作為對(duì)信息的認(rèn)證。
信息認(rèn)證碼MAC:是對(duì)信源消息的一個(gè)編碼函數(shù)。消息認(rèn)證碼的安全性取決于兩點(diǎn):采用的加密算法;待加密數(shù)據(jù)塊的生成方法。
散列函數(shù)HASH Function:將任意長的信息映射成一個(gè)固定長度的信息。
2、數(shù)字簽名(通信雙方真實(shí)性檢驗(yàn))
(1)數(shù)字簽名的需求:消息認(rèn)證來保護(hù)通信雙方免受第三方的攻擊,但無法防止通信雙方的相互攻擊。解決方案是是數(shù)字簽名,是筆跡簽名的模擬。具有如下性質(zhì):
能證實(shí)作者簽名和簽名的日期和時(shí)間、簽名時(shí)必須能對(duì)內(nèi)容進(jìn)行鑒別、必須能被第三方證實(shí)以解決爭端。
基于公鑰密碼體制、私鑰密碼體制、公證系統(tǒng)都可以獲得數(shù)字簽名。常用的公鑰數(shù)字簽名算法包括:RSA算法和數(shù)字簽名標(biāo)準(zhǔn)算法(DSS)。
(2)數(shù)字簽名的創(chuàng)建
數(shù)字簽名是一個(gè)加密的消息摘要,附加在消息后面。步驟是:甲創(chuàng)建公鑰/私鑰對(duì);將公鑰發(fā)送給乙;消息作為單項(xiàng)散列函數(shù)輸入,散列函數(shù)的輸出為消息摘要;甲用私鑰加密消息摘要,得到數(shù)字簽名。
數(shù)字簽名的驗(yàn)證:發(fā)送的數(shù)據(jù)是消息與數(shù)字簽名的組合。乙將計(jì)算出來的消息摘要與甲解密后的消息相匹配,則證明消息的完整性并驗(yàn)證了消息的發(fā)送者是甲。
3、身份認(rèn)證(用戶身份是否合法)
又稱身份識(shí)別。是通信和數(shù)據(jù)系統(tǒng)中正確識(shí)別通信用戶或終端身份的重要途徑。
常用的方法有:口令認(rèn)證、持證認(rèn)證和生物識(shí)別。
口令認(rèn)證:口令由數(shù)字、字母組成的字符串,有時(shí)也有特殊字符、控制字符等。
持證認(rèn)證:一種個(gè)人持有物,類似鑰匙。
生物識(shí)別:依據(jù)人類自身所固有的生理或行為特征,包括指紋識(shí)別、掌紋識(shí)別等
常用的身份認(rèn)證協(xié)議有:
一次一密制:每次根據(jù)信息產(chǎn)生口令。
X.509認(rèn)證協(xié)議:利用公鑰密碼技術(shù)對(duì)X.500(對(duì)分布式網(wǎng)絡(luò)中存儲(chǔ)用戶信息的數(shù)據(jù)庫所提供的目錄檢索服務(wù)的協(xié)議標(biāo)準(zhǔn))的服務(wù)所提供的認(rèn)證服務(wù)的協(xié)議標(biāo)準(zhǔn)。
Kerberos認(rèn)證協(xié)議:基于對(duì)稱密鑰體制,與網(wǎng)絡(luò)上的每個(gè)實(shí)體共享一個(gè)不同的密鑰,通過是否知道密鑰驗(yàn)證身份。
六、安全技術(shù)應(yīng)用
1、安全電子郵件
加密技術(shù)用在網(wǎng)絡(luò)安全方面通常有兩種形式:面向網(wǎng)絡(luò)的服務(wù)和面向應(yīng)用的服務(wù)。
(1)PGP(面向個(gè)人、團(tuán)體)
安全電子郵件加密方案。由5種服務(wù)組成:鑒別、機(jī)密性、壓縮、電子郵件的兼容性和分段。PGP有4種類型的密鑰:一次性會(huì)話的常規(guī)密鑰、公開密鑰、私有密鑰和基于口令短語的常規(guī)密鑰。
(2)S/MIME(面向商業(yè)組織)
基于RSA數(shù)據(jù)安全技術(shù)的Internet電子郵件格式標(biāo)準(zhǔn)的安全擴(kuò)充。功能有:(1)加密的數(shù)據(jù):由加密內(nèi)容和加密密鑰組成。(2)簽名的數(shù)據(jù):使用簽名者的私鑰對(duì)摘要進(jìn)行加密形成數(shù)字簽名。(3)透明簽名的數(shù)據(jù):簽名的數(shù)據(jù)形成了內(nèi)容的數(shù)字簽名。(4)簽名并加密的數(shù)據(jù):加密的數(shù)據(jù)可被簽名、簽名或透明的數(shù)據(jù)可加密。
2、網(wǎng)絡(luò)層安全---IPSEC
IP安全協(xié)議(稱為IPSEC)是在網(wǎng)絡(luò)層提供安全的一組協(xié)議,專門用于Ipv6,但也可用于Ipv4。主要有兩個(gè)主要協(xié)議:身份認(rèn)證頭(AH)協(xié)議和封裝安全負(fù)載(ESP)協(xié)議。
AH協(xié)議提供源身份認(rèn)證和數(shù)據(jù)完整性,但沒有提供秘密性;而ESP協(xié)議提供了數(shù)據(jù)完整性、身份認(rèn)證和秘密性。
源主機(jī)在向目的主機(jī)發(fā)送安全數(shù)據(jù)報(bào)之前,源主機(jī)和網(wǎng)絡(luò)主機(jī)進(jìn)行握手并建立網(wǎng)絡(luò)層邏輯連接,該邏輯通道稱為安全協(xié)定(SA)。SA定義的邏輯連接是單工的;如果要雙向傳輸,需要建立兩個(gè)邏輯連接。
IP數(shù)據(jù)報(bào)格式:IP頭+ AH頭+TCP或UDP數(shù)據(jù)段以及IP頭+ ESP頭+TCP或UDP數(shù)據(jù)段+ESP尾+ESP身份認(rèn)證。
3、WEB安全
Web面臨的威脅:Web服務(wù)器安全威脅、Web瀏覽器安全威脅、瀏覽器與服務(wù)器之間的網(wǎng)絡(luò)通信量安全威脅。
Web流量安全性方法
網(wǎng)絡(luò)級(jí):使用IPSec,使用IP安全性。
傳輸級(jí):使用安全套接層,在TCP上實(shí)現(xiàn)安全性。
應(yīng)用級(jí):如安全的電子交易(SET),與應(yīng)用相關(guān)的安全服務(wù)被嵌入到特定的應(yīng)用程序中。
七、入侵檢測技術(shù)與防火墻
1、入侵檢測技術(shù)
入侵者分為3類:假冒者(外部人員,未經(jīng)授權(quán)使用計(jì)算機(jī)資源的人)、非法者(內(nèi)部人員,越權(quán)訪問的人)、秘密用戶(奪取超級(jí)控制并利用控制逃避審計(jì)或抑制審計(jì)的人)
入侵檢測技術(shù)分為兩種:
統(tǒng)計(jì)異常檢測:收集一段時(shí)間的合法用戶的行為,然后統(tǒng)計(jì)測試觀測其行為,判斷是否違法。從閾值檢測和基于輪廓兩個(gè)方面。
基于規(guī)則檢測:包括異常檢測和滲透規(guī)則兩個(gè)方面。
2、防火墻特性
防火墻設(shè)計(jì)目標(biāo):所有由外道內(nèi)或由內(nèi)到外必須經(jīng)過防火墻,只有被授權(quán)的通信才能通過防火墻。
用來控制訪問和執(zhí)行站點(diǎn)安全策略的4種常用技術(shù):
服務(wù)控制(確定可以訪問的Internet服務(wù)類型)、方向控制(決定哪些特定方向上服務(wù)請(qǐng)求可以被發(fā)起并通過防火墻)、用戶控制(根據(jù)哪個(gè)用戶嘗試訪問服務(wù)來控制對(duì)一個(gè)服務(wù)的訪問)和行為控制(控制怎樣使用特定的服務(wù))。
防火墻的功能:
防火墻定義了單個(gè)阻塞點(diǎn),將未授權(quán)的用戶隔離在被保護(hù)的網(wǎng)絡(luò)之外。不能放撥號(hào)上網(wǎng)。
提供了安全與監(jiān)視有關(guān)事件的場所
是一些與安全無關(guān)的Internet功能的方便平臺(tái)
可用作IPSEC(網(wǎng)絡(luò)層安全)平臺(tái)。
3、防火墻的分類
常用的防火墻有包過濾路由器、應(yīng)用級(jí)網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)。
包過濾路由器:根據(jù)一套規(guī)則對(duì)收到的IP數(shù)據(jù)報(bào)進(jìn)行處理,決定轉(zhuǎn)發(fā)還是丟棄。
應(yīng)用級(jí)網(wǎng)關(guān):也稱代理服務(wù)器,在應(yīng)用級(jí)的通信中扮演著一個(gè)消息傳遞者的角色。
電路級(jí)網(wǎng)關(guān):是一個(gè)獨(dú)立系統(tǒng),或說它是某項(xiàng)具體功能,也可由應(yīng)用級(jí)網(wǎng)關(guān)在某個(gè)應(yīng)用中執(zhí)行,但不允許建立一個(gè)端到端的直接TCP連接,由網(wǎng)關(guān)建立兩個(gè)鏈接,一個(gè)是網(wǎng)關(guān)到網(wǎng)內(nèi)的TCP用戶,一個(gè)是網(wǎng)關(guān)到外部TCP用戶,網(wǎng)關(guān)僅是一個(gè)中繼作用。
堡壘主機(jī):作為應(yīng)用級(jí)網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)的服務(wù)平臺(tái)。
八、計(jì)算機(jī)病毒與防護(hù)
1、計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是一段可執(zhí)行代碼,是一個(gè)程序。它不獨(dú)立存在,隱藏在其他可執(zhí)行程序中,具有破壞性、傳染性和潛伏性。
(1)病毒的生命周期:
潛伏階段:病毒處于休眠狀態(tài),最終要通過某個(gè)事件來激活。
繁殖階段:將與自身相同的副本放入其他程序或磁盤的特定區(qū)域中。
觸發(fā)階段:病毒被激活來進(jìn)行它要實(shí)現(xiàn)的功能。
執(zhí)行階段:功能被實(shí)現(xiàn)。
2、病毒的種類
寄生病毒:將自己附加到可執(zhí)行文件中,當(dāng)被感染的程序執(zhí)行時(shí),通過感染其他可執(zhí)行文件來重復(fù)。
存儲(chǔ)器駐留病毒:寄宿在主存中,作為駐留程序的一部分。
引導(dǎo)區(qū)病毒:感染主引導(dǎo)記錄或引導(dǎo)記錄,從包含病毒的磁盤啟動(dòng)時(shí)進(jìn)行傳播。
隱形病毒:明確地設(shè)計(jì)成能夠在反病毒軟件檢測時(shí)隱藏自己。
多態(tài)病毒:每次感染時(shí)會(huì)改變自己。
3、計(jì)算機(jī)病毒的防治策略
檢測:一旦發(fā)生了感染,確定它的發(fā)生并且定位病毒
標(biāo)識(shí):識(shí)別感染程序的特定病毒
清除:一旦識(shí)別了病毒,清除病毒,將程序恢復(fù)到原來的狀態(tài)。
4、幾種常見病毒:宏病毒;電子郵件病毒;特洛伊木馬(偽裝成工具或游戲,獲取密碼,本質(zhì)上不算病毒);計(jì)算機(jī)蠕蟲(通過分布式網(wǎng)絡(luò)擴(kuò)散傳播特定信息)。
5、反病毒軟件分4代:
簡單的掃描程序;啟發(fā)式的掃描程序;行為陷阱;全方位的保護(hù)。
相關(guān)推薦:
各地2015年計(jì)算機(jī)等級(jí)考試報(bào)名時(shí)間匯總
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |