《《精编》网络安全的主要知识点》由会员分享,可在线阅读,更多相关《《精编》网络安全的主要知识点(131页珍藏版)》请在金锄头文库上搜索。
1、主题十二 国家信息化工程师认证考试管理中心 网络安全 12 1主要知识点 12 2安全计算12 3VPN12 4风险管理12 5典型试题分析 12 2安全计算 信息安全的基本概念保密性和完整性非法入侵和病毒的防护 12 2 1信息安全的基本概念 信息安全 机密性 确保信息不暴露给未授权的实体或进程 完整性 只有得到允许的人才能够修改数据 并且能够判别出数据是否已被篡改 可用性 得到授权的实体再需要时可访问数据 即攻击着不能占用所有的资源而阻碍授权者的工作 可控性 可以控制授权范围内的信息流向以及行为方式 可审查性 对出现的网络安全问题提供调查的依据和手段 信息和网络安全现状 现在全球普遍存在信
2、息安全意识欠缺的状况 着导致大多数的信息系统和网络存在着先天性的安全漏洞和安全威胁 国际上也存在着信息安全管理不规范和标准不统一的问题 在信息安全的发展过程中 企业和政府的要求有一致性的地方 也有不一致的地方 信息和网络安全的技术仍然在发展过程中 绝对的安全是不可能的 和 木桶原理 也让一些使用者踌躇不前 市场上 叫好不叫卖 的现象仍然存在 同样在国内 信息安全产品的 假 大 空 现象在一定程度的存在 防火墙变成了 铜墙铁壁 产生这种情况的原因在于包括监督不力和信息安知识的普及程度不够 网络中存在的威胁 非授权访问信息泄漏或丢失破坏数据完整性拒绝服务攻击利用网络传播病毒 12 2 2保密性和完
3、整性 私钥和公钥加密标准 DES IDEA RSA 认证 数字签名 身份认证 完整性 SHA MDs 访问控制 存取权限 口令 加密方法的分类与识别 按应用技术或历史上发展阶段划分 手工密码机械密码电子机内乱密码计算机密码 按保密程度划分 理论上保密的密码实际上保密的密码不保密的密码 按密钥方式划分 对称式密码非对称式密码模拟型密码数字型密码 私钥和公钥加密标准 DES IDEA RSA 私钥加密标准是一种对称加密算法 用户使用同一个密钥加密和解密 包括DES 3DES和IDEA等 公钥加密标准是一种非对称加密算法 加密和解密使用不同的密钥 RSA是其中的代表 已经成为公钥加密标准的代名词 D
4、ES 数据加密标准 输入 输出均为64位 密钥为56位 虽然总共是64位 但是其中8位是奇偶校验位 实际上密钥只有56位是有效的 3DES是对DES算法的三次运行 将替代DES 3DES需要高级别安全性时使用 3DES将每个数据块处理三次 采用112b的密钥 使用密钥1加密数据块 使用密钥2解密数据块 使用密钥1加密数据块 私钥和公钥加密标准 DES IDEA RSA IDEA 国际数据加密算法 明文块和密文块都是64位 但密钥长128位 是目前数据加密中应用得较为广泛的一种密码体制 RSA 根据三位创立者的名字命名 发送者用接受者公钥对消息加密 接受者用自己的密钥解密 DES算法的应用误区
5、DES算法具有较高的安全性 到目前为止 除了用穷举搜索法对DES算法进行攻击外 还没有发现更有效的办法 而56位长的密钥的穷举空间为256 这意味着如果一台计算机的速度是每一秒一百万个密钥 则它搜索完全部密钥就需要将近2285年的时间 可见 这是难以实现的 当然 随着科学技术的发展 当出现超高速计算机后 可考虑把DES密钥的长度再增长一些 以此来达到更高的保密程度 由上述DES算法介绍可以看到 DES算法中只用到64位密钥中的其中56位 而第8 16 24 64位以外的其余56位的组合变化256才得以使用其他的56位作为有效数据位 才能保证DES算法安全可靠地发挥作用 如果不了解这一点 把密钥
6、K的8 16 24 64位作为有效数据使用 将不能保证DES加密数据的安全性 对运用DES来达到保密作用的系统产生数据被破译的危险 这正是DES算法在应用上的误区 留下了被人攻击 被人破译的极大隐患 认证 数字签名 身份认证 在信息技术中 所谓 认证 是指通过一定的验证技术 确认系统使用者身份 以及系统硬件 如电脑 的数字化代号真实性的整个过程 其中对系统使用者的验证技术过程称为 身份认证 身份认证一般会涉及到两方面的内容 一个是识别 一个是验证 所谓识别 就是要明确访问者是谁 即必须对系统中的每个合法 注册 的用户具有识别能力 要保证识别的有效性 必须保证任意两个不同的用户都不能具有相同的识
7、别符 所谓验证是指访问者声称自己的身份后 比如 向系统输入特定的标识符 系统还必须对它声称的身份进行验证 以防止冒名顶替者 识别符可以是非秘密的 而验证信息必须是秘密的 身份认证的本质是被认证方有一些信息 无论是一些秘密的信息还是一些个人持有的特殊硬件或个人特有的生物学信息 除被认证方自己外 任何第三方 在有些需要认证权威的方案中 认证权威除外 不能伪造 被认证方能够使认证方相信他确实拥有那些秘密 无论是将那些信息出示给认证方或者采用零知识证明的方法 则他的身份就得到了认证 身份认证的理论分类 单因素静态口令认证双因素认证挑战 应答机制认证时间同步机制身份认证 分类 实际的认证手段 Whaty
8、ouknow What syouhave Whoareyou Whereareyou 认证技术的完整性 SHA MDS 报文摘要MD4 创建128位散列值并由RSADataSecurity Inc开发的散列算法 报文摘要MD5 消息摘要5 MD5 基于RFC1321 它是针对MD4中发现的薄弱环节而开发的 MD5通过数据块 MD4完成三项传递 完成四项传递 对每一项传递的消息中的每个字采用一种不同的数字常量 MD5计算中使用的32位常量的个数等于64 最终会产生一个用于完整性校验的128位的哈希 但是MD5比较消耗资源 它可比MD4提供更强的完整性 安全散列算法SHA 以任意长度报文作为输入
9、按512b的分组进行处理 产生160b的报文摘要输出 数字签名与身份认证 数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串 数字证书采用公钥体制 利用一对互相匹配的密钥进行加密解密 在公钥密码体制中 常用的一种是RSA体制 证书格式遵循ITUX 509国际标准 证书由某个可信的证书发放机构CA建立 访问控制 存取权限 口令 访问控制管理指的是安全性处理过程 即妨碍或促进用户或系统间的通信 支持各种网络资源如计算机 Web服务器 路由器或任何其它系统或设备间的相互作用 认证过程主要包含两个步骤 认证 登录过程 自主访问控制 Discre
10、tionaryAccessControl 校验用户决定他们是否有权访问具有更高安全控制权限的敏感区域和文件的认证级别 12 2 3非法入侵和病毒的防护 防火墙入侵检测安全协议 IPSec SSL ETS PGP S HTTP TLS Kerberos 可信任系统硬件安全性计算机病毒保护文件的备份和恢复个人信息控制匿名不可跟踪性网络设备可靠性应付自然灾害环境安全性UPS 防火墙 简介 防火墙作为一种放置于Internet和企业内部网Intranet之间 进行数据包的访问控制的工具 是我们进行网络安全化建设中必须考虑的要素 如果把Internet比喻成为现实生活中的大街 Intranet比喻成一所
11、房子 数据比喻成为来往于大街和房子之间形形色色的人们 那么防火墙则为守护这所房子忠实的保安 他会从进出房子的人们中识别出哪些是房子的主人 正常进出网络的数据 哪些是企图进入房子的不法分子 恶意的数据包 允许房子的主人进入房子 拒绝不法分子进入房子 从而保证了房子中的物品安全 防火墙 防火墙的定义 防火墙是一种高级访问控制设备 它是置于不同网络安全域之间的一系列部件的组合 是不同网络安全域间通信流的唯一通道 能根据企业有关的安全策略控制 允许 拒绝 监视 记录 进出网络的访问行为 防火墙可以是硬件系统 路由器 也可以是个人主机 主系统和一批主系统 用于把网络或子网同那些可能被子网外的主系统滥用的
12、协议和服务隔绝 实施访问控制功能 防火墙必须部署到不同安全域之间的唯一通道 如果不同安全域之间 例如财务子网和工程子网 有多条通道 而只是再其中一条通道之间部署防火墙 那么此时的防火墙就没有任何意义 安全规则 防火墙上的安全策略定义哪些数据包可以通过防火墙 哪些数据包不可以通过防火墙 安全策略是防火墙能够实施访问控制的关键因素 如果仅设立防火墙系统 而没有全面的安全策略 那么防火墙就形同虚设 防火墙 第一阶段 基于路由器的防火墙第二阶段 用户化的防火墙工具集第三阶段 建立在通用操作系统上的防火墙第四阶段 具有安全操作系统的防火墙 防火墙的发展 防火墙 防火墙的位置包过滤技术状态检测技术应用代理
13、技术 防火墙技术 Firewall MailServer WebServer Internet 防火墙 数据包状态检测过滤防御功能应用代理URL过滤IP地址和MAC地址绑定NAT地址转换反向地址映射日志审核 DoS Ddos攻击防止入侵者扫描防止源路由攻击防止IP碎片攻击防止ICMP IMP攻击抗IP假冒攻击 防火墙的功能 防火墙 吞吐量延迟并发连接数平均无故障时间 防火墙的性能指标 防火墙 访问控制 的应用防火墙在VLAN网络中的应用 内网安全分段 的应用 动态IP分配 的应用 多出口 的应用 端口映射 的应用 应用案例 防火墙 无法防护内部用户之间的攻击无法防护基于操作系统漏洞的攻击无法防
14、护内部用户的其他行为无法防护端口反弹木马的攻击无法防护病毒的侵袭无法防护非法通道出现 不足之处 防火墙 企业部署防火墙的误区 1 最全的就是最好的 最贵的就是最好的 2 软件防火墙部署后不对操作系统加固 3 一次配置 永远运行 4 测试不够完全 5 审计是可有可无的 入侵检测 入侵检测系统IDS IntrusionDetectionSystem 处于防火墙之后对网络活动进行实时检测 许多情况下 由于可以记录和禁止网络活动 所以入侵检测系统是防火墙的延续 它们可以和防火墙和路由器配合工作 例如 IDS可以重新配置来禁止从防火墙外部进入的恶意流量 安全管理员应当理解入侵检测系统是独立域防火墙工作的
15、 入侵检测 IDS的起源 1 安全审计2 IDS的诞生 IDS包括 1 IDS信息的收集和预处理2 入侵分析引擎3 响应和恢复系统 入侵检测的功能 1 网络流量管理2 系统扫描 Jails和IDS3 追踪4 入侵检测系统的必要性 入侵检测 网络级IDS主机级IDS另一种分类方法 管理者特殊的考虑管理者和代理的比例代理理想的代理布局管理和代理的通信混合入侵检测 误用检测型异常检测 入侵检测系统的类型 入侵检测 IDS存在的问题 1 如何提高入侵检测系统的检测速度 以适应网络通信的要求 2 如何减少入侵检测系统的漏报和误报 3 提高入侵检测系统的互动性能 IDS躲避技术 1 字符串匹配的弱点 2
16、会话拼接 3 碎片攻击 4 拒绝服务 入侵检测技术发展方向 1 分布式入侵检测 2 智能化入侵检测 3 全面的安全防御方案 4 入侵检测应该与操作系统绑定 安全协议 密码身份验证协议 PAP Shiva密码身份验证协议 SPAP 质询握手身份验证协议 CHAP Microsoft质询握手身份验证协议 MS CHAP Microsoft质询握手身份验证协议版本2 MS CHAPv2 Microsoft点对点加密 MPPE 可扩展身份验证协议 EAP KerberosSSL和IPSecSHTTP和SET 安全协议 PAP 密码身份验证协议 PasswordAuthenticationProtocol PAP 是一种简单的身份验证协议 在该协议中 用户名和密码以明文 不加密的 形式发送到远程访问服务器 强烈建议您不要使用PAP 因为在身份验证过程中 您的密码可以被很容易地从点对点协议 PPP 数据包中读取 PAP一般只用于连接到不支持任何其他身份验证协议的较早的基于UNIX的远程访问服务器 注意 如果将PAP用于对连接进行身份验证 那么将无法使用Microsoft点对点加密 MPPE 如果将
