计算机网络安全考点概括

1、计算机网络安全主要考点计算机网络的不安全因素：1、 偶发因素：电源故障、软件漏洞2、 自然灾害：火灾、水灾3、 人为因素：不法分子潜入机房破坏，网络病毒，制度不健全。可分为主动攻击（避开或突破安全防护，引入恶意代码）、被动攻击（监视公共媒体）、邻近攻击（未授权者可物理上接近网络、系统和设备，从而可以修改收集信息，或使系统拒绝访问）、内部人员攻击、分发攻击。计算机网络安全定义：利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。目标：1）保密性。2）完整性。3）可用性。4）不可否认性。 鉴别 访问控制 数据完整性 数据加密性 抗抵赖性 安全服务 OSI参考模

2、型应用层表示层会话层传输层网络层数据链物理层公证路由控制业务流填充鉴别交换数据完整性访问控制数据签名加密安全机制OSI安全体系结构的研究始于1982年。它不是能实现的标准，而是关于如何设计标准的标准。计算机网络安全体系结构：PPDR（安全策略、防护、检测、响应）模型是一种常用的网络安全模型。物理安全措施：保护计算机网络设备、设施及其它媒体免糟自然灾害和人为操作失误及各种计算机犯罪行为导致的破坏过程。主要包括三个方面： 1） 环境安全2） 设备安全3） 媒体安全机房的三度要求：温度（1822）、湿度、洁净度电源对用电设备安全的潜在威胁：脉动与噪声、电磁干扰密码学是数学的一个分支，是研究信息系统安

3、全保密的科学。是编码学和密码分析学的统称。密码学中的五元组：明文、密文、密钥、加密算法、解密算法。解密密钥Kd密文C明文P攻击者加密密钥Ke明文P加密E解密DP=Dk（Ek（P），即用加密算法得到的密文总能用一定的解密算法恢复出原始的明文来。加密体制的分类：1、 单钥对称密码体制：它的安全性主要取决于两个因素：加密算法必须足够安全，使的不必为算法保密，仅根据密文就能破译出消息是不可行的；密钥的安全性，密钥必须保密并保证有足够大的密钥空间，单钥密码体制要求基于密文和加密/解密算法的知识能破译出消息的做法是不可行的。优点：加密、减密处理速度快、保密度高等缺点：1）密钥分布过程十分复杂所花代价高。

4、2）多人通信时密钥组合的数量会出现爆炸性膨胀，使密钥分布更加复杂化。 3）通信双方必须统一密钥，才能发送保密的信息。如果发信者和收信者不相识，就不能发送秘密信息。 4）数字签名困难。2、 双钥或非对称密码体制：产生的原因主要是：1）为了解决常规密钥密码体制的密钥管理和分配的问题； 2）为了满足对数字签名的需求。优点：可以公开加密密钥，造就网络的开发性要求，且仅需保密解密密钥，所以密钥管理问题比较简单。缺点：算法复杂，加密速度慢。单钥算法：DES、IDEA、SAFER K-64、GOST、RC-4、RC-5、Blowfish、CAST-128DES：数据加密标准，些算法的核心是乘积变换。双钥加密

5、算法：RSA、ElGamal常见的网络数据加密方式主要有1、 链路加密（在线加密）：是对网络中两个相邻节点之间传输的数据进行加密保护。2、 节点加密：在信息传输路过的节点处进行加密和减密。3、 端到端加密（脱线加密或包加密）：对一对用户之间的数据连续地提供保护。 即整个传输过程都受到保护。认证的目的有三个：1）消息完整性认证2）身份认证3）消息的序号和操作时间（时间性）典型的安全管理协议：公用管理信息协议（CMIP）、简单网络管理协议（SNMP）、分布式安全管理协议（DSM）。数字签名和手写签名的主要区别：1） 手写签名是不变的，而数字签名对不同的消息是不同的，即手写签名因人而异，数字签名因消

6、息而异；2） 手写签名是易被模仿的，无论哪种文字的手写签名，伪造者都容易模仿，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模仿者几乎无法模仿出数字签名。数字签名和消息认证的区别：消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时，这种方式对于防止第三者破坏是有效的，但当存在利害冲突时，单纯采用消息认证技能就无法解决纠纷，这时就需要借助于数字签名技术来辅助进行更有效的消息认证。PKI（公共密钥基础设施）：适用于多种环境的框架，它是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可利用PKI提供的安全服务进行安全通信。PKI采用标准的密钥

7、管理规则，能够为所有应用透明地提供加密和数字签名等服务需要的密钥和证书管理。PKI（公钥基础设施）组成：认证机构CA、证书库、密钥备份（即恢复系统）、证书作废处理系统和PKI应用接口系统。CA的职责：1） 验证并标识申请者的身份。2） 确保用于签名证书的非对称密钥的质量。3） 确保整个鉴证过程中的安全性，确保签名私钥的安全性。4） 证书资料信息的管理5） 确保并检查证书的有效期限6） 发布并维护作废证书列表。7） 对整个证书签发过程进行日志记录8） 向申请人发出通知 PKI的特点：1、 节省费用。2、 互操作性。3、 开放性。4、 一致的解决方案5、 可验证性。6、 可选择性。防火墙概念：位于

8、被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。功能：1、 过滤进出网络的数据（信息 必经之路 ）2、 管理进出网络的访问行为3、 封堵某些禁止的业务4、 记录通防火墙的信息内容和活动5、 对网络攻击检测和告警局限性：1、 网络的安全性通常是经网络的开放性和灵活性为代价2、 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失体系结构：1、 双重宿主主机体系结构结构简单，由一台同时连接在内外部网络的双重宿主主机提供安全保障。2、 屏蔽主机体系结构提供安全保护的主机只与内部网络相连，使用一个

9、单独的过滤路由器来提供主要安全。3、 屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与internet隔离开，通过用周边网络隔离堡垒主机，能减少堡垒主机被入侵造成的影响。它最简单的结构为两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部网之间，另一个位于周边网与外部网之间。周边网络：网络的一个安全层，是在外部网络与用户的被保护的内部网络之间附加的网络。堡垒主机、内部路由器、外部路由器包过滤防火墙工作在网络层数据包过滤技术可允许或不允许某些数据包在网络上传输，主要依据：1、 数据包的源地址2、 数据包的目的地址3、 数据包的协议类型（TCP、U

10、DP、ICMP）4、 TCP或UDP的源端口。5、 TCP或UDP的目的端口6、 ICMP消息类型包过滤系统不能识别数据包中用户的信息，也不能识别数据包中的文件的信息。包过滤系统的主要特点是可在一台计算机上提供对整个网络的保护。代理技术优点：1、代理易于配置。代理是一个软件2、代理能生成各项记录，代理工作在应用层，安检数据3、代理能灵活安全地控制进出流量、内容4、代理能过滤数据内容5、代理能为用户提供透明的加密机制6、代理可以方便地与其它安全手段集成缺点：1、 代理速度较路由器慢2、 代理对用户不透明3、 对于每项服务代理可能要求不同的服务器4、 代理服务不能保证免受所有协议弱点的限制5、 代

11、理不能改进低层协议的安全性NAT技术概念：NAT（网络地址转换）是internet工程任务组的标准，允许一个整体机构以一个公用IP地址出现在互联网上，它是一种把内部私有IP地址翻译成合法网络IP地址的技术。特点：1、 优点：（1）所有内部的IP地址对外面的人来说是隐蔽的，网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。（2）如果因为某种原因公共IP地址资源比较短缺的话，NTA技术可以使整个内部网络共享一个IP地址（3）可以启用基本的包过滤防火墙安全机制，因为所有传入的数据包如果没有专门指定配置到NAT，那么就会被丢弃。2、缺点：存在局限性，和包过滤技术的缺点

12、类似。内部网络可以利用木马程序通过NAT进行外部连接。个人防火墙主要功能：1、 IP数据包过滤功能2、 安全规则的修定功能3、 对特定网络攻击数据包的拦截功能4、 应用程序网络访问控制功能5、 网络快速切断/恢复功能6、 日志记录功能7、 网络攻击的报警功能8、 主品自身安全功能特点：优点：1、 增加了保护级别，不需要额外的硬件资源。2、 个人防火墙除了可以阻挡外来攻击的同时，还可以抵挡内部的攻击3、 个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，比如IP地址缺点：1、 对公共网络只有一个物理接口，导致个人防火墙本身容易受到攻击2、 运行时需要占用个人计算机的

13、内存、CPU时间等资源3、 只能对单机提供保护，不能保护网络系统。防火墙的发展趋势：1、 优良的性能2、 可扩展的结构和功能3、 简化的安装与管理4、 主动过滤5、 防病毒现防黑客6、 发展联动技术入侵检测原理图：知识库当前系统用户行为是否入侵检测分析引擎历史行为特定行为模式其它安全策略入侵数据提取记录数据响应处理入侵检测的系统结构：包括数据提取，入侵分析，影响处理和远程管理四部分入侵检测的分类：就检测理论而言，可分为异常检测和误用检测 异常检测：根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖行为是否出现来检测。误用检测：运用已知攻击方法，根据已定义好的入侵模式，通过判断这些

14、入侵模式是否出现来检测。端口扫描技术：原理：向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口号是打开还是关闭等状态信息。分类：TCP端口扫描技术和UDP端口扫描技术TCP端口扫描技术主要有：全连接扫描技术：优点用户无须特殊权限，且探测结果最为准确。缺点是很容易被目标主机察觉并记录下来。半连接扫描技术、间接扫描技术、秘密扫描技术。计算机病毒：定义：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机的使用，并能自我复制的一组计算机指令或者程序代码。也就是说计算机病毒是一个程序，它具有传染性，能自我复制，是人为制造的。病毒特征：非授权可执行性

15、、隐蔽性、传染性、潜伏性、破坏性和可触发性。危害：1、 直接破坏计算机的数据信息2、 战胜磁盘空间和对信息的破坏3、 抢占系统资源4、 影响计算机运行速度5、 计算机病毒错误与不可预见的危害6、 计算机病毒的兼容性对系统运行的影响7、 给用户造成心理压力分类：1、 按攻击的系统分：攻击DOS系统的病毒、windows、UNIX、OS/22、 按病毒的链接方式：源码型病毒、嵌入型、外壳型、操作系统型3、 按病毒的破坏情况：良性计算机病毒、恶性4、 按病毒的寄生方式：引导型病毒、文件型病毒、复合型病毒5、 按传播媒介：单机病毒、网络病毒网络病毒的特点：1、 传染方式多2、 传播速度比较快3、 清除

16、难度大4、 破坏性强5、 潜在性深恶意代码是一种程序，通常在人们没有查觉的情况下把代码寄宿到另一段程序中，从而达到破坏被感染计算机的数据，运行具有入侵性或破坏性的程序，破坏被感染系统数据的安全性和完整性。恶意代码的分类：1、 木马，2、网络蠕虫，3、移动代码，4、复合型病毒网络蠕虫定义：是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。在计算机网络设计规划事，应该遵守的原则：1、 需求、分析、代价平衡分析的原则2、 综合性、整体性原则3、 一致性原则4、 易操作性原则5、 适应性、灵活性原则6、 多重保护原则网络安全威胁分析：（威胁来源）1、 操作系统的安全性2、 防火墙的安全性3、 来自内部网用户的安全威胁4、 缺乏有效的手段监视、评估网络系统的安全性5、 采用的TCP/IP协议，本身缺乏安全性。6、 未能对来自Internet的电子邮件夹的病毒及web浏览可能存在的java/activeX控件进行有效控制7、 应用服务的安全网络安全解决方案：1、 在风头位置配置多接口防火墙，将整个网络划分为外部网络、内部网络、DMZ区等多个安全区域，交工作主机放置于内部网络区域，将WEB服务器、数据库服务器等服务器放置在DMZ区域，其它区域对服务器区的访问必须经过防火墙模块的检查。2、