網絡工程系彭勁杰網絡工程師考試輔導系統及網絡安全基礎

網絡工程系彭勁杰網絡工程師考試輔導系統及網絡安全基礎一、系統與數據安全基礎二、網絡安全技術與協議迎考知識點復習三、模擬試題及答題技巧一、系統與數據安全基礎二、網絡安全技術與協議迎考知識點復習三一、系統與數據安全基礎1、系統安全基礎知識2、信息加密技術3、認證技術4、數字證書5、密鑰管理體制

一、系統與數據安全基礎1、系統安全基礎知識1、計算機安全主要是指計算機資產的安全，即要保證這些資產不受自然和人為因素的有害因素的威脅和危害。一、系統與數據安全基礎1、計算機安全一、系統與數據安全基礎2、安全的基本要素（5要素）分別是：機密性、完整性、可用性、可控性和可審查性。3、網絡交易中的信息安全分別是：機密性、完整性和不可抵賴性。一、系統與數據安全基礎2、安全的基本要素（5要素）一、系統與數據安全基礎4、計算機系統安全等級（1）依據是美國國防部和國家標準局的《可信計算機系統評測標準》，將系統分為4類7級。（2）具體劃分和實例A級（A1級）；B級（B1；B2；B3；）C級（C1；C2）；D級一、系統與數據安全基礎4、計算機系統安全等級一、系統與數據安全基礎A級：可驗證的保護，擁有數學模型。B級：強制式保護級，由系統強制安全保護。B1級：標記安全保護級，對系統的數據進行標記，并對標記的主體和客體實施強制存取控制B2級：結構化安全保護級，建立形式化的安全策略模型，對系統所有主客體實施自主訪問和強制訪問控制。NT4.0以上版本。B3級：安全域，提供系統恢復工程。一、系統與數據安全基礎A級：可驗證的保護，擁有數學模型。BC級：自定義保護。UNIX為代表；NT4.0C1級：自主安全保護級，能夠實現對用戶和數據的分離，進行自主存取控制，以用戶組為單位實施保護。C2級：受控訪問級，實施更細致的自主訪問，通過登陸規程、審計安全性相關事件隔離資源D級：級別最低，保護措施少，沒有安全功能。一、系統與數據安全基礎C級：自定義保護。UNIX為代表；NT4.05、常見的網絡安全威脅（1）網絡安全是指一種能夠識別和消除不安全因素的能力。具有動態性、相對性和過程性。（2）常見網絡安全威脅主要包括：竊聽、假冒、重放、流量分析、破壞完整性、拒絕服務、資源的非授權使用、后門、木馬、蠕蟲、病毒等。一、系統與數據安全基礎5、常見的網絡安全威脅一、系統與數據安全基礎

網絡威脅系統密碼被破解拒絕服務攻擊網絡偷票特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲流氓軟件GPS跟蹤網絡色情間諜軟件人肉搜索垃圾郵件網絡威脅系統密碼被破解拒絕服務攻擊網絡偷票特洛伊木馬黑客攻（3）網絡安全總結大都是針對“網絡安全漏洞”，進行網絡攻擊。其中安全漏洞包括：物理安全隱患、軟件安全漏洞、搭配的安全漏洞。一、系統與數據安全基礎（3）網絡安全總結一、系統與數據安全基礎6、主要安全措施（1）內因：數據加密；制定數據安全規劃；建立安全存取；進行容錯數據保護和數據備份；建立事故應急計劃和容災措施；重視安全管理，制定管理規范。（2）外因：設置身份認證、密碼、口令、生物認證等多種認證方式；設置防火墻；防止外部侵入；建立入侵檢測、審計與追蹤；計算機物理環境保護。一、系統與數據安全基礎6、主要安全措施一、系統與數據安全基礎7、主要安全技術（1）數據加密：重新組合信息，形成密文。（2）數據簽名：發送者身份證明。（3）身份認證：多種方法鑒別用戶的合法性。（4）防火墻：通過規則控制數據包的進出。（5）內容檢查：對數據內容的安全性進行檢查。一、系統與數據安全基礎7、主要安全技術一、系統與數據安全基礎數據鏈路層應用層表示層會話層傳輸層網絡層物理層通過采用防竊聽技術來加強通信線路的安全。通過采用通信保密機技術來進行鏈路加密，使用L2TP和PPTP來實現兩層隧道通信。通過采用防火墻來處理信息內外網絡邊界的流動，利用IPSec建立透明的安全加密信道。可以使用SSL對低層安全服務進行抽象和屏蔽一、系統與數據安全基礎數據鏈路層應用層表示層會話層傳輸層網絡層物理層通過采用防竊聽8、網絡安全設計原則（1）木桶原則：避免瓶頸。（2）整體性原則：綜合考慮網絡結構和網絡應用需求進行體系化設計。（3）有效性和實用性原則：有效防范潛在威脅。（4）登記性原則：對網絡區域、用戶、應用劃分等級。一、系統與數據安全基礎8、網絡安全設計原則一、系統與數據安全基礎1、密碼學（1）信息安全最核心的技術是密碼學。（2）密碼學包括：編碼學、分析學、密鑰密碼學。（3）密碼管理包括：密鑰產生、分配、存儲、保護、銷毀等環節。（4）密碼算法：理論上無解或雖可解但時間復雜。一、系統與數據安全基礎1、密碼學一、系統與數據安全基礎2、對稱密鑰技術（1）原理：加密和解密密鑰相同或可推導。（2）優點：具有很高的保密強度。（3）缺點：密鑰的傳輸和保存。（4）分類：分組密碼和序列密碼。（5）常見的對稱密鑰技術：DES和IDEA算法。一、系統與數據安全基礎2、對稱密鑰技術一、系統與數據安全基礎（5）常見的對稱密鑰技術：DES：它是一種迭代的分組密碼，輸入輸出都是64位，用一個56位的密鑰和8位CRC位。目前攻擊DES的主要技術是窮舉，因此只要增加DES的密鑰長度便可加強安全性，如：使用112位密鑰對數據進行三次加密的算法，稱為“3DES”。IDEA算法：其明文和密文都是64位，密鑰長度128位。一、系統與數據安全基礎（5）常見的對稱密鑰技術：一、系統與數據安全基礎3、非對稱密鑰技術（公鑰算法）（1）原理：加密和解密密鑰完全不同，并且無法推導。（2）優點：適用開放性使用環境，用于數字簽名和驗證（3）代表：RSA，理論基礎是數論中的大素數分解。（4）缺點：加密大量數據速度慢，用于密鑰的分發。（5）特點：利用數學上無法破解的算法，如早期的背包算法、橢圓曲線算法、分解大數的困難度和以大素數為模算法等。一、系統與數據安全基礎3、非對稱密鑰技術（公鑰算法）一、系統與數據安全基礎4、認證技術（1）認證技術主要解決通信雙方的身份認可。（2）常用技術：帳戶/口令；使用摘要算法；基于PKI數字證書認證三種。（3）信息摘要是一種數字指紋，可以用于數字簽名。對某一特定文件，信息摘要是唯一的。其算法包括：MD5（in512分組，out28）和SHA（in512分組，out160）安全散列算法。一、系統與數據安全基礎4、認證技術一、系統與數據安全基礎4、認證技術（4）數字簽名技術：通過一個單項函數對要傳送的報文進行處理，得到一個字母數字串：認證報文來源，并核實是否發生變化。加密技術解決機密性，而數字簽名解決“完整性和不可抵賴性”。一般采用公鑰算法。一、系統與數據安全基礎4、認證技術一、系統與數據安全基礎4、認證技術（5）RADIUS協議：1）含義：“遠程身份驗證撥入用戶系統”，是“通用的認證計費協議”，采用“基于挑戰和應答的”認證方式。2）是一種C/S結構的協議，RADIUS服務器和用戶接入NAS服務器通過UDP協議（同一局域網，更加快捷）進行通信，1812端口負責認證，1813端口負責計費。一、系統與數據安全基礎4、認證技術一、系統與數據安全基礎5、數字證書（1）采用公鑰體制，即利用一對互相匹配的密鑰進行加密和解密。（2）流程：發送方發送機密文件（用接收方的公鑰加密）-接收方通過數字證書確認發送方的身份。一、系統與數據安全基礎5、數字證書一、系統與數據安全基礎6、密鑰管理體制（1）指處理密鑰自產生到銷毀的整個過程中有關問題。（2）密鑰管理體制：以傳統密鑰管理中心為代表的KMI機制（依賴于秘密信道），適用于封閉網；適用于開放網的PKI機制（解決分發密鑰時依賴秘密信道的問題）；適用于規模化專用網的SPK機制（更好得地解決密鑰管理問題，可實現多重公鑰和組合公鑰）。一、系統與數據安全基礎6、密鑰管理體制一、系統與數據安全基礎二、網絡安全技術與協議1、虛擬專用網（VPN）2、防火墻3、電子商務安全4、SSL/SET和SHTTP5、PGP技術6、Kerberos7、網絡攻擊與入侵檢測技術8、病毒防護技術

二、網絡安全技術與協議1、虛擬專用網（VPN）二、網絡安全技術與協議1、虛擬專用網（VPN）（1）企業網在互聯網上等公網上的延伸。（2）原理：通過一個私有通道在公網上創建一個安全私有連接。本質上是個虛信道，用來連接兩個專用網二、網絡安全技術與協議1、虛擬專用網（VPN）二、網絡安全技術與協議1、虛擬專用網（VPN）（3）關鍵技術：VPN隧道技術、密碼技術和服務質量保證技術。（4）隧道技術：是一種數據封裝協議，即將一種協議封裝在另一種協議中傳輸。常見的有：二層隧道技術PPP基礎上的PPTP（點到點隧道協議）和L2F（二層轉發協議）、L2TP（二層隧道協議）；“三層隧道技術”，主要代表有：IPSec（IP層安全協議）、移動IP協議和虛擬隧道協議（VTP）。二、網絡安全技術與協議1、虛擬專用網（VPN）二、網絡安全技術與協議1、虛擬專用網（VPN）（5）密碼技術：加解密、身份認證、密鑰管理等。（6）QOS機制：包括RSVP（資源預留協議）、SBM（子網帶寬管理）。二、網絡安全技術與協議1、虛擬專用網（VPN）二、網絡安全技術與協議2、VPN網絡的參考模型（1）虛擬租用線路（VLL）：僅使用點對點連接。（2）虛擬專用路由網絡（VPRN）：通過公共IP網絡進行VPN仿真，主要特點是：數據包在網絡層轉發。（3）虛擬專用撥號網（VPDN）：允許遠程用戶按需通過PSTN/ISDN接入另一個網絡的某個站點，需要進行身份認證（如：RADIUS認證）。（4）虛擬專用LAN片段（VPLS）：利用公共IP資源進行局域網仿真，優點是協議透明，實現多協議傳輸。二、網絡安全技術與協議2、VPN網絡的參考模型二、網絡安全技術與協議3、VPN的分類與應用（1）IntranetVPN：可在互聯網上組建世界范圍內的VPN網絡，適合企業內部各分支機構互聯。（2）AccessVPN：適合企業內部人員移動或遠程辦公。（3）ExtranetVPN：將供應商、合作伙伴連接到企業內部網絡，提供B2B之間的安全訪問服務。二、網絡安全技術與協議3、VPN的分類與應用二、網絡安全技術與協議4、防火墻（1）隔離外網與內網；隔離內部不同安全區域。（2）類別：包過濾（訪問控制表ACL）；應用網關（實現協議過濾）；代理網關（不同協議需要不同的代理）；狀態檢測（自適應/動態包過濾）自適應代理。二、網絡安全技術與協議4、防火墻二、網絡安全技術與協議4、防火墻（3）組成：安全操作系統、過濾器、網關（提供中繼服務，輔助控制業務流）、域名服務（將內部的域名與互聯網隔離）、函件處理（進出函件必須經過防火墻）。（4）結構：屏蔽路由器、雙穴主機、屏蔽主機防火墻、屏蔽子網防火墻。（見書本P190-191）二、網絡安全技術與協議4、防火墻二、網絡安全技術與協議4、防火墻分類（1）屏蔽（包過濾）路由器：對進出內部網絡的所有信息進行分析，并按照一定的安全策略對進出的信息進行限制。優點是速度快，對用戶透明；缺點是維護困難。適用場合：非集中化管理的機構，網絡主機較少，沒有使用DHCP，沒有集中安全策略的機構。INTERNET二、網絡安全技術與協議4、防火墻分類INTERNET二、網絡安全技術與協議4、防火墻分類（2）雙穴主機（雙宿網關防火墻）：由一臺至少裝有兩塊網卡的堡壘主機作為防火墻，位于內外網絡之間，分別與內外網絡相離，實現物理上的隔開。優點是：安全性較高，缺點是：需要強大的身份認證系統。INTERNET二、網絡安全技術與協議4、防火墻分類INTERNET二、網絡安全技術與協議4、防火墻分類（3）屏蔽主機防火墻：強迫所有的外部主機與一個堡壘主機相連接，而不讓它們直接與內部主機相連接。它由包過濾路由器和堡壘主機組成。安全性較高。INTERNET二、網絡安全技術與協議4、防火墻分類INTERNET二、網絡安全技術與協議4、防火墻分類（4）屏蔽子網防火墻：用兩個屏蔽路由器和一個堡壘主機，也稱“單DMZ防火墻結構”。二、網絡安全技術與協議4、防火墻分類DMZ?E-Mail

?FileTransfer?HTTPIntranet企業網絡生產部工程部市場部人事部路由Internet中繼安全隱患外部/個體外部/組織內部/個體內部/組織ModemDMZIntranet企業網絡生產部工程部市場部人事部路由I二、網絡安全技術與協議5、電子商務的安全需求（1）有效性：時刻、地點的有效。（2）機密性：預防非法的存取和非法的截取。（3）完整性：數據的一致性。（4）不可抵賴性：不能否認發生的交易行為。（5）審查能力：對數據審查的結果進行記錄。相關的安全技術包括：VPN，SSL，電子郵件安全協議（PEM、S/MIME、MOSS）、電子支付安全等。二、網絡安全技術與協議5、電子商務的安全需求二、網絡安全技術與協議6、SSL/SET和SHTTP（安全通信信道）（1）SSL：安全套接字，工作在傳輸層的安全協議，結合了信息加解密、數字簽名認證兩大技術。它適合于所有的TCP/IP應用，采用443端口。（2）SHTTP：工作在應用層，確保商業貿易傳輸安全，僅限于Web應用。（3）SET：安全快捷的交易模式，最早支持各種信任卡的交易。在使用SSL時，只要求服務器端擁有數字證書；而使用SET時，還要求客戶端擁有數字證書。二、網絡安全技術與協議6、SSL/SET和SHTTP（安全通二、網絡安全技術與協議7、PGP技術（1）應用：PGP—PrettyGoodPrivacy，是一個基于RSA公匙加密體系的郵件加密軟件。可以用它對你的郵件保密以防止非授權者閱讀，它還能對你的郵件加上數字簽名從而使收信人可以確信郵件是你發來的。它是一種RSA和傳統加密的雜合算法，用于數字簽名的郵件文摘算法，有很快的速度。而且它的源代碼是免費的。二、網絡安全技術與協議7、PGP技術二、網絡安全技術與協議7、PGP技術（2）原理：在不安全的通信鏈路上創建安全的消息和通信。PGP協議已經成為公鑰加密技術和全球范圍消息安全性的事實標準。；可以在文檔中使用數字簽名；任何人都可以用你的公鑰加密寫給你的信息，而不用擔心信息被竊聽。二、網絡安全技術與協議7、PGP技術二、網絡安全技術與協議8、Kerberos（1）原理：Kerberos是一種網絡認證協議，其設計目標是通過密鑰系統為客戶機/服務器應用程序提供強大的認證服務。該認證過程的實現不依賴于主機操作系統的認證，無需基于主機地址的信任，不要求網絡上所有主機的物理安全，并假定網絡上傳送的數據包可以被任意地讀取、修改和插入數據。在以上情況下，Kerberos作為一種可信任的第三方認證服務，是通過傳統的密碼技術（如：共享密鑰）執行認證服務的。其核心是使用DES加密技術。二、網絡安全技術與協議8、Kerberos二、網絡安全技術與協議9、常見網絡攻擊（1）原理：都是針對系統的安全漏洞采取的特定手段，以下我們按TCP/IP協議層逐層分析網絡攻擊。二、網絡安全技術與協議9、常見網絡攻擊二、網絡安全技術與協議應用層傳輸層網絡層鏈路層MAC地址欺騙；ARP欺騙IP地址欺騙；淚滴攻擊（多段數據包）；ICMP攻擊（過大數據包）；RIP二、網絡安全技術與協議應用層傳輸層網絡層鏈路層MAC地址欺騙二、網絡安全技術與協議應用層傳輸層網絡層鏈路層偽造TCP數據包；TCP端口掃描；Land攻擊（偽造SYN包，不斷產生空連接）；TCP會話劫持；SYN洪流攻擊（阻止三次握手的完成）；RST和FIN攻擊（使被欺騙主機和目標主機正常通信突然中斷）。二、網絡安全技術與協議應用層傳輸層網絡層鏈路層偽造TCP數據二、網絡安全技術與協議應用層傳輸層網絡層鏈路層1）電子郵件攻擊：一是偽造IP地址或郵件地址發送大量垃圾郵件；二是偽裝成系統管理員向用戶發送郵件，要求用戶修改口令。2）DNS欺騙：將用戶要瀏覽的目標主機的DNS名稱指向攻擊者的服務器。3）緩沖區溢出攻擊：往程序的緩沖區寫入超長的內容，破壞程序的堆棧，是程序轉去執行其它指令。二、網絡安全技術與協議應用層傳輸層網絡層鏈路層1）電子郵件攻二、網絡安全技術與協議9、網絡攻擊（2）木馬攻擊：實質上是一個C/S程序，基于遠程控制的黑客工具。（2）DoS攻擊：消耗系統資源或網絡帶寬，導致網絡不堪重負。二、網絡安全技術與協議9、網絡攻擊二、網絡安全技術與協議10、入侵檢測技術（1）用途：監視或盡力阻止入侵者試圖控制系統或網絡資源的努力。力避損害系統機密性、完整性和可用性等行為的安全技術。（2）技術核心：可靠提取描述行為的特征數據；根據特征數據準確判斷行為的性質。（3）組成：數據源、分析引擎、響應系統。二、網絡安全技術與協議10、入侵檢測技術二、網絡安全技術與協議11、病毒防護技術（1）生命周期：潛伏期、繁殖期、觸發和執行。（2）病毒分類：寄生病毒；存儲器駐留病毒；引導區病毒；隱形病毒；多形病毒。（3）反毒歷程：簡單的掃描程序；啟發式掃描程序（啟發式規則和完整性檢查）；行為陷阱；全方位保護（掃描和行為陷阱）。類屬解密和數字免疫系統。二、網絡安全技術與協議11、病毒防護技術試題1兩個公司希望通過互聯網進行安全通信，保證從信息源到目的地之間的數據傳輸以密文形式出現，而且公司不希望由于在中間節點使用特殊的安全單元而增加開支，最合適的加密方式是（1），使用的繪畫密鑰算法應該是（2）。1：A.鏈路加密B.節點加密C.端-端加密D.混合加密2：A.RSAB.RC-5C.MD5D.ECC解析：1）加密可在通信的三個層次實現。網絡層以下的鏈路加密；節點加密；網絡層以上的端到端加密。2）RSA適用于數字簽名和密鑰交換，非常適合用于通過互聯網傳送的數據；RC-5是一種會話密鑰算法；MD5散列算法。試題1兩個公司希望通過互聯網進行安全通信，保證從信息源到目試題2HTTPS是一種安全的HTTP協議，它使用（3）來保證信息安全，使用（4）來發送和接受報文。3：A.IPSecB.SSLC.SETD.SSH4：A.TCP的443端口B.UDP的443端口C.TCP的80端口D.UDP的80端口解析：1）HTTPS、SSL、SET是協議安全三劍客。2）SSL協議是解決傳輸層安全問題的重要協議，它是基于TCP協議之上提供可靠的端到端安全服務，應用SSL協議最廣泛的是HTTPS，它為客戶瀏覽器和Web服務器之間交換信息提供安全通信支持，它使用TCP的443端口發送和接收報文。試題2HTTPS是一種安全的HTTP協議，它使用（3）來保試題3竊取是對（5）的攻擊，DDoS攻擊破壞了（6）。5：A.可用性B.保密性C.完整性D.真實性6：A.可用性B.保密性C.完整性D.真實性解析：1）竊取就是繞過系統的保密措施得到真實的、完整的、可用的信息。2）可用性是得到授權的實體在需要時可訪問的數據；保密性是確保信息不暴露給未授權的實體或進程；完整性是只有得到允許的人才能夠修稿數據，并判斷數據是否被篡改過。試題3竊取是對（5）的攻擊，DDoS攻擊破壞了（6）。5試題4數據加密標準DES是一種分組加密，將明文分成大小（7）位的塊進行加密，密鑰長度位（8）位。7：A.16B.32C.56D.648：A.16B.32C.56D.64解析：1）DES是一種對稱密鑰算法，明文分塊64位，密鑰為56位。2）原本密鑰也為64位，因為美國當時壟斷解密長度。試題4數據加密標準DES是一種分組加密，將明文分成大小（試題5以下用于在網絡應用層和傳輸層之間提供加密方案的協議是（9）。9：A.PGPB.SSLC.IPSecD.DES解析：1）PGP是一個郵件加密協議，位于應用層；2）IPSec是一個網絡層的安全標準協議；3）DES是一個數據加密的標準，而不是一個安全協議；4）在網絡應用層和傳輸層之間提供加密方案的協議是SSL協議。試題5以下用于在網絡應用層和傳輸層之間提供加密方案的協議試題6實現VPN的關鍵技術主要有：隧道技術、加解密技術、（10）和身份認證技術。如果需要在傳輸層實現VPN，可選的協議是（11）。10：A.入侵檢測技術B.病毒防治技術C.安全審計技術D.密鑰管理技術11：A.L2TPB.PPTPC.TLSD.IPSec解析：1）VPN采用四項技術：隧道技術、加解密技術、密鑰管理技術和身份認證技術；2）隧道技術類似于點對點的專線連接技術，隧道是利用隧道協議建立的，隧道協議有二層協議（PPTP、L2TP和L2F），三層協議（IPSec和GRE），第二層協議基于第三層協議之上；3）數據通信的加解密技術成熟，VPN可直接對數據進行加密；4）密鑰管理是如何在公網上傳遞密鑰，目前主要有SKIP和ISAKMP/oakley兩種。試題6實現VPN的關鍵技術主要有：隧道技術、加解密技術、試題6實現VPN的關鍵技術主要有：隧道技術、加解密技術、（10）和身份認證技術。如果需要在傳輸層實現VPN，可選的協議是（11）。10：A.入侵檢測技術B.病毒防治技術C.安全審計技術D.密鑰管理技術11：A.L2TPB.PPTPC.TLS