自考复习自考计算机网络安全复习资料Word格式.docx
《自考复习自考计算机网络安全复习资料Word格式.docx》由会员分享,可在线阅读,更多相关《自考复习自考计算机网络安全复习资料Word格式.docx(22页珍藏版)》请在冰点文库上搜索。
①网络安全体系结构;
②网络攻击手段与防范措施;
③网络安全设计;
④网络安全标准、安全评测及认证;
⑤网络安全检测技术;
⑥网络安全设备;
⑦网络安全管理,安全审计;
⑧网络犯罪侦查;
⑨网络安全理论与政策;
⑽网络安全教育;
⑾网络安全法律。
概括起来,网络安全包括以下三个重要部分:
①先进的技术;
②严格的管理;
③威严的法律。
、网络安全威胁的发展趋势
网络安全威胁的发展趋势
()与更加紧密地结合,利用一切可以利用的方式进行传播。
()所有的病毒都具有混合型特征,集文件传染、蠕虫、木马和黑客程序的特点于一身,破坏性大大增强。
()其扩散极快,而更加注重欺骗性。
()利用系统漏洞将成为病毒有力的传播方式。
()无线网络技术的发展,使远程网络攻击的可能性加大。
()各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。
()各种病毒、蠕虫和后门技术越来越智能化,并出现整合趋势,形成混合性威胁。
()各种攻击技术的隐秘性增强,常规防范手段难以识别。
()分布式计算机技术用于攻击的趋势增强,威胁高强度密码的安全性。
()一些政府部门的超级计算机资源将成为攻击者利用的跳板。
()网络管理安全问题日益突出。
、网络安全技术的发展趋势(网络安全主要实用技术的发展)
网络安全技术的发展是多维的、全方位的,主要有以下几种:
①物理隔离;
②逻辑隔离;
③防御来自网络的攻击;
④防御网络上的病毒;
⑤身份认证;
⑥加密通信和虚拟专用网;
⑦入侵检测和主动防卫;
⑧网管、审计和取证。
三、应用
分析给定网络可能存在的安全威胁
第章物理安全
、物理安全包含的主要内容
主要包括以下几个方面
①机房环境安全;
②通信线路安全;
③设备安全;
④电源安全。
、机房安全要求和措施
、硬件设备的使用管理
①要根据硬件设备的具体配置情况,制定切实可行的硬件设备的操作使用规程,并严格按操作规程进行操作;
②建立设备使用情况日志,并严格登记使用过程的情况;
③建立硬件设备故障情况登记表,详细记录故障性质和修复情况;
④坚持对设备进行例行维护和保养,并指定专人负责。
、电源对用电设备安全的潜在威胁
①脉动与噪声。
②电磁干扰。
当电源的电磁干扰比较强时,产生的电磁场就会影响到硬盘等磁性存储介质,久而久之就会使存储的数据受到损害。
、机房安全等级划分标准
机房的安全等级分为类、类和类三个基本类别。
类:
对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。
对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
、通信线路安全技术
、电磁辐射的防护措施
防护措施主要有两类:
一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;
另一类是对辐射的防护,这类防护措施又可以分为两种:
一种是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;
第二种是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要的措施有屏蔽、隔离、滤波、吸波及接地等,其中屏蔽是应用最多的方法。
、机房供电的要求和方式
对机房安全供电的方式分为三类:
一类供电:
需建立不间断供电系统。
二类供电:
需建立带备用的供电系统。
三类供电:
按一般用户供电考虑。
对机房安全供电的要求
根据所需建设的网络系统要求,分析机房安全、通信线路安全和供电的需求
第章信息加密与
、明文、密文、密钥、加密算法、解密算法等基本概念
明文()是作为加密输入的原始信息,即消息的原始形式,通常用或表示。
所有可能明文的有限集称为明文空间,通常用或来表示。
密文()是明文经加密变换后的结果,即消息被加密处理后的形式,通常用表示。
密钥()是参与密码变换的参数,通常用表示。
加密算法()是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程,通常用表示,即()。
解密算法()是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程,通常用表示,即()。
、加密体制的分类~
密码体制从原理上可分为两大类:
①单钥或对称密码体制。
最有影响的是算法,另有国际数据加密算法。
单钥密码算法的优点主要体现在其加密、解密处理速度快、保密度高等。
②双钥或非对称密码体制。
最有名的是密码体制,另有算法。
双钥密码的优点是可以公开加密密钥,适应网络的开放性要求,且仅需保密解密密钥,所以密钥管理问题比较简单。
缺点是双钥密码算法一般比较复杂,加解密速度慢。
双钥密码体制的产生主要基于两个原因:
一是为了解决常规密钥密码体制的密钥管理与分配的问题;
二是为了满足对数字签名的需求。
在双钥密码体制中,公开密钥是可以公开的信息,而私有密钥是需要保密的。
、认证技术的分层模型
认证技术分为三个层次:
①安全管理协议。
主要任务是在安全体制的支持下,建立、强化和实施整个网络系统的安全策略。
典型的安全管理协议有公用管理信息协议()、简单网络管理协议()和分布式安全管理协议()。
②认证体制。
在安全管理协议的控制和密码体制的支持下,完成各种认证功能。
典型的认证体制有体制、体制和体制。
③密码体制。
是认证技术的基础,它为认证体制提供数学方法支持。
典型的密码体制有体制、体制。
、常用的数据加密方式
①链路加密;
②节点加密;
③端到端加密。
、认证体制应满足的条件
一个安全的认证体制应该至少满足以下要求
①意定的接收者能够检验和证实消息的合法性、真实性和完整性。
②消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息。
③除了合法的消息发送者外,其他人不能伪造发送消息。
、的基本概念和特点
是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用平台提供的安全服务进行安全通信。
特点:
透明性、一致性。
附:
、密码学的发展经历了三个阶段:
古代加密方法、古典密码和近代密码。
、身份认证常用的方式主要有两种:
通行字(口令)方式和持证方式。
、单钥密码体制与双钥密码体制的区别
①单钥密码体制的加密密钥和解密密钥相同,从一个可以推出另外一个;
双钥密码体制的原理是加密密钥与解密密钥不同,从一个难以推出另一个。
②单钥密码体制基于代替和换位方法;
双钥密码算法基于数学问题求解的困难性。
③单钥密码体制是对称密码体制;
双钥密码体制是非对称密码体制。
、、、加密算法的基本原理
即数据加密标准()于年由美国国家标准局公布,是公司研制的一种对二元数据进行加密的分组密码,数据分组长度为,密文分组长度也是,没有数据扩展。
密钥长度为,其中有效密钥长度,其余为奇偶校验。
的整个体制是公开的,系统的安全性主要依赖于密钥的保密,其算法主要由初始置换、轮迭代的乘积变换、逆初始转换及个子密钥产生器构成。
是的缩写,即国际数据加密算法。
它是根据中国学者朱学嘉博士与著名密码学家于年联合提出的建议标准算法改进而来的。
它的明文与密文块都是,密钥长度为,作为单钥体制的密码,其加密与解密过程雷同,只是密钥存在差异,无论是采用软件还是硬件实现都比较容易,而且加解密的速度很快。
体制是由和设计的用数论构造双钥的方法,它既可用于加密,也可用于数字签名。
算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。
、认证的三个目的
认证技术是防止不法分子对信息系统进行主动攻击的一种重要技术,其目的:
一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;
二是身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;
三是消息的序号和操作时间(时间性)等的认证,其目的是防止消息重放或延迟等攻击。
、手写签名与数字签名的区别
手写签名与数字签名的主要区别在于:
一是手写签名是不变的,而数字签名对不同的消息是不同的,即手写签名因人而异,数字签名因消息而异;
二是手写签名是易被模拟的,无论哪种文字的手写签名,伪造者都容易模仿,而数字签名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。
、数字签名与消息认证的区别
数字签名与消息认证的区别是:
消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。
当收发者之间没有利害冲突时,这种方式对于防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。
、认证技术的组成
公钥基础设施(,),主要包括①认证机构。
作为数字证书签发机构,是的核心,是应用中权威的、可信任的,公正的第三方机构。
②证书库。
是颁发证书和撤销证书的集中存放在,是网上的一种公共信息库,供广大用户进行开往式查询。
③证书撤销。
④密钥备份和恢复。
⑤自动更新密钥。
⑥密钥历史档案。
⑦交叉认证。
⑧不可否认性。
⑨时间戳。
⑩客户端软件。
将给定的明文按照给定的古典或单钥密码算法变换成密文
教材中例子
凯撒()密码是对英文个字母进行移位代替的密码,其。
这种密码之所以称为凯撒密码,是因为凯撒使用过=(表示密文为该字母后第个字母)的这种密码。
使用凯撒密码,若明文为
=
则密文为
教材中课后习题第题:
选择凯撒()密码系统的密钥=。
若明文为,密文是什么。
密文为
第章防火墙技术
、防火墙的基本概念
防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
、防火墙的体系结构类型
防火墙的体系结构一般有以下几种
①双重宿主主机体系结构;
②屏蔽主机体系结构;
③屏蔽子网体系结构。
、个人防火墙的特点
个人防火墙的优点:
①增加了保护级别,不需要额外的硬件资源。
②个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击。
③个人防火墙是对公共网络中的单个系统提供了保护,能够为用户隐蔽暴露在网络上的信息,如地址之类的信息等。
个人防火墙的缺点:
①个人防火墙对公共网络只有一个物理接口,导致个人防火墙本身容易受到威胁。
②个人防火墙在运行时需要战用个人计算机的内存、时间等资源。
③个人防火墙只能对单机提供保护,不能保护网络系统。
、防火墙的发展趋势
①优良的性能;
②可扩展的结构和功能;
③简化的安装与管理;
④主动过滤;
⑤防病毒与防黑客;
⑥发展联动技术。
、防火墙的主要功能
无论何种类型的防火墙都应具备五大基本功能:
()过滤进、出网络的数据
()管理进、出网络的访问行为
()封堵某些禁止的业务
()记录通过防火墙的信息内容和活动
()对网络攻击检测和告警
、防火墙的局限性
主要体现在以下几个方面
()网络的安全性通常是以网络服务的开放性和灵活性为代价
防火墙通常会使网络系统的部分功能被削弱。
①由于防火墙的隔离作用,在保护内部网络的同时使它与外部网络的信息交流受到阻碍;
②由于在防火墙上附加各种信息服务的代理软件,增大了网络管理开销,减慢了信息传输速率,在大量使用分布式应用的情况下,使用防火墙是不切实际的。
()防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失
①只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力;
②不能解决来自内部网络的攻击和安全问题;
③不能防止受病毒感染的文件的传输;
④不能防止策略配置不当或错误配置引起的安全威胁;
⑤不能防止自然或人为的故意破坏;
⑥不能防止本身安全漏洞的威胁。
、各类防火墙的特点
、数据包过滤技术的工作原理
包过滤防火墙工作在网络层,通常基于数据包的源地址、目的地址、源端口和目的端口进行过滤。
它的优点是效率比较高,对用户来说是透明的。
缺点是对于大多数服务和协议不能提供安全保障,无法有效地区分同一地址的不同用户,并且包过滤防火墙难于配置、监控和管理,不能提供足够的日志和报警。
数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合,来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,这通常安装在路由器上。
数据包过滤防火墙的缺点有两个:
一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;
二是数据包的源地址、目的地址及的端口号都在数据包的头部,很有可能被窃听或假冒。
、代理服务技术的工作原理
代理服务器()技术是一种较新型的防火墙技术,它分为应用层网关和电路层网关。
所谓代理服务器,是指代表客户处理连接请求的程序。
当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进一步处理后,将答复交给发出请求的最终客户。
代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用,所以又叫代理防火墙。
代理防火墙工作于应用层,且针对特定的应用层协议。
代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;
而且,还可用来保持一个所有应用程序使用的记录。
记录和控制所有进出流量的能力是应用层网关的主要优点之一。
代理服务器()作为内部网络客户端的服务器,拦截住所有请求,也向客户端转发响应。
代理客户机()负责代表内部客户端向外部服务器发出请求,当然也向代理服务器转发响应。
、状态检测技术的工作原理
基于状态检测技术的防火墙是由软件技术有限公司率先提出的,也称为动态包过滤防火墙。
基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。
检测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测。
它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。
检测引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现某个连接的参数有意外变化,则立即将其终止。
状态检测防火墙监视和跟踪每一个有效连接的状态,并根据这些信息决定是否允许网络数据包通过防火墙。
它在协议栈底层截取数据包,然后分析这些数据包的当前状态,并将其与前一时刻相应的状态信息进行对比,从而得到对该数据包的控制信息。
检测引擎支持多种协议和应用程序,并可以方便地实现应用和服务的扩充。
当用户访问请求到达网关操作系统前,检测引擎通过状态监视器要收集有关状态信息,结合网络配置和安全规则做出接纳、拒绝、身份认证及报警等处理动作。
一旦有某个访问违反了安全规则,该访问就会被拒绝,记录并报告有关状态信息。
、技术的工作原理
网络地址转换(,),这是一个工程任务组()的标准,允许一个整体机构以一个公用地址出现在互联网上,这是一种把内部私有地址翻译成合法网络地址的技术。
就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通信时,就在网关处将内部地址替换成公用地址,从而在外部公网上正常使用。
可以使多台计算机共享互联网连接,这一功能很好地解决了公共地址紧缺的问题。
通过这种方法,可以只申请一个合法地址,就把整个局域网中的计算机接入互联网中。
这时,屏蔽了内部网络,所有内部网络计算机对于公共网络来说是不可见的,而内部网络计算机用户通常不会意识到的存在。
功能通常被集成到路由器、防火墙、路由器或者单独的设备中。
、个人防火墙的主要功能
①数据包过滤功能
②安全规划的修订功能
③对特定网络攻击数据包的拦截功能
④应用程序网络访问控制功能
⑤网络快速切断恢复功能
⑥日志记录功能
⑦网络攻击的报警功能
⑧产品自身安全功能
防火墙的典型应用
从工作原理角度看,防火墙主要可以分为网络层防火墙和应用层防火墙。
这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和技术等。
第章入侵检测技术
、入侵检测的原理
入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。
它通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
所谓入侵检测系统,就是执行入侵检测任务的硬件或软件产品。
入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,其应用前提是:
入侵行为和合法行为是可区分的,也即可以通过提取行为的模式特征来判断该行为的性质。
入侵检测系统需要解决两个问题:
一是如何充分并可靠地提取描述行为特征的数据,二是如何根据特征数据,高效并准确地判定行为的性质。
、入侵检测的系统结构组成
根据任务属性的不同,入侵检测系统的功能结构可分为两个部分:
中心检测平台和代理服务器。
、入侵检测系统的分类
()基于数据源的分类:
基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。
()基于检测理论的分类:
异常检测和误用检测。
()基于检测时效的分类:
在线检测和离线检测。
、分布式入侵检测的优势和技术难点
分布式入侵检测的优势
①检测大范围的攻击行为;
②提高检测的准确度;
③提高检测效率;
④协调响应措施。
分布式入侵检测的技术难点
①事件产生及存储;
②状态空间管理及规则复杂度;
③知识库管理;
④推理技术。
、入侵检测系统的主要标准的名称
①。
提出了三项建议草案:
入侵检测消息交换格式()、入侵检测交换协议()及隧道轮廓();
②。
的工作集中体现在四个方面:
的体系结构、通信机制、描述语言和应用编程接口。
、入侵检测系统的分析模型
分析是入侵检测的核心功能。
入侵检测分析处理过程可分为三个阶段:
①第一阶段主要进行分析引擎的构造,分析引擎是执行预处理、分类和后处理的核心功能;
②第二阶段,入侵分析主要进行现场实际事件流的分析,在这个阶段分析器通过分析现场的实际数据,识别出入侵及其他重要的活动;
③第三阶段,与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规划集提炼等功能。
误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新,与此同时,一些误用检测引擎还对系统进行优化工作,如定期删除无用记录等。
对于异常检测,历史统计特征轮廓的定时更新是反馈和提炼阶段的主要工作。
、误用检测和异常检测的基本原理~
、体系结构组成
指公共入侵检测框架。
在和的基础上提出了一个通用模型,将入侵检测系统分为四个基本组件,事件产生器、事件分析器、响应单元和事件数据库。
在该模型中,事件产生器、事件分析器和响应单元通常以应用程序的形式出现,而事件数据库则是以文件或数据流的形式。
将需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志或其他途径得到的信息。
以上四个组件只是逻辑实体,一个组件可能是某台计算机上的一个进程甚至线程,也可能是多个计算机上的多个进程,它们以(统一入侵检测对象)格式进行数据交换。
第章网络安全检测技术
、安全威胁的概念
安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。
、安全漏洞的概念
安全漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
、端口扫描的基本原理
端口扫描的原理是向目标主机的端口发送探测数据包,并记录目标主机的响应。
通过分析响应来判断端口是打开还是关闭等状态信息。
根据所使用通信协议的不同,网络通信端口可以分为端口和端口两大类,因此端口扫描技术也可以相应地分为端口扫描技术和端口扫描技术。
、网络安全漏洞威胁等级的划分方法
、网络安全漏洞的分类方法
漏洞的分类方法主要有①按漏洞可能对系统造成的直接威胁分类;
②按漏洞的成因分类两大类。
、操作系统类型探测的主要方法
由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的,因此操作系统类型信息是网络安全检测的一个重要内容。
操作系统探测技术主要包括:
①获取标识信息探测技术;
②基于协议栈的操作系统指纹探测技术;
③响应分析探测技术。
、信息型漏洞探测和攻击型漏洞探测技术的原理
()信息型漏洞探测原理:
大部分的网络安全漏洞都与特定的目标状态直接相关,因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。
该技术具有实现方便、对目标不产生破坏性影响的特点,广泛应用于各类网络安全漏洞扫描软件中。
其不足之处是对于具体某个漏洞存在与否,难以做出确定性的结论。
这主要是因为该技术在本质上是一种间接探测技术,探测过程中某些不确定因素的影响无法完全消除。
为提高漏洞探测的准确率和效率,引进如下两种改进措施:
顺序扫描技术,可以将收集到的漏洞和信息用于另一个扫描过程以进行更深层次的扫描——即以并行方式收集漏洞信息,然后在多个组件之间共享这些信息。
多重服务检测技术,即不按照所指定的端口号来区分目标主机所运行的服务,而是按照服务本身的真实响应来识别服务类型。
()攻击型漏洞探测原理:
模拟攻击是最直接的漏洞探测技术,其探测结果的准确率也是最高的。
该探测技术的主要思想是模拟网络入侵的一般过程,对目标系统进行无恶意攻击尝试,若攻击成功则表明相应安全漏洞必然存在。
模拟攻击技术也有其局限性,首先,模拟攻击行为难以做到面面俱到,因此就有可能存在一些漏洞无法探测到;
其次,模拟攻击过程不可能做到完全没有破坏性,对目标系统不可避免地会带来一定的负面影响。
模拟攻击主要通过专用攻击脚本语言、通用程序设计语言和成形的攻击工具来进行。
按照网络安全漏洞的可利用方式来划分,漏洞探测技术可以分为信息型漏洞探测和攻击型漏洞探测。
按照漏洞探测的技术特征,又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标