《转计算机三级网络技术复习题总结34》由会员分享,可在线阅读,更多相关《转计算机三级网络技术复习题总结34(12页珍藏版)》请在金锄头文库上搜索。
1、转 计算机三级网络技术复习题总结 34安全管理是对网络资源以及重要信息访问进行约束和控制。在网络管理模型中,网络管理者和代理之间需要交换大量的管理信息,这一过程必 须遵循统一的通信规范,我们把这个通信规范称为网络管理协议。网络管理协议是高层网络应用协议,它建立在具体物理网络及其基础通信协议基础 上,为网络管理平台服务。目前使用的标准网络管理协议包括:简单网络管理协议SNMP公共管理信息服务/协议CMIS/CMIP和局域网个人管理协议 LMM等。SNM采用轮循监控方式。代理/管理站模式。管理节点一般是面向工程应用的工作站级计算机,拥有很强的处理能力。代理节点 可以是网络上任何类型的节点。SNMP
2、!一个应用层协议,在TCP/IP网络中,它应 用传输层和网络层的服务向其对等层传输信息。CMIP的优点是安全性高,功能强大,不仅可用于传输管理数据,还可以执行一定 的任务。信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。1 D1级。D1级计算机系统标准规定对用户没有验证。例如DOS WIND0S3.)及WINDOW 9不在工作组方式中)。Apple的System7.X。2 C1级提供自主式安全保护,它通过将用户和数据分离,满足自主需求。C1级又称为选择安全保护系统,它描述了一种典型的用在Unix系统上的安全级别。C1级要求硬件有一定的安全级别,用户在使用前必须登陆到系统。C
3、1级的防护的不足之处在与用户直接访问操作系统的根。3 C2级提供比C1级系统更细微的自主式访问控制。为处理敏感信息所需要的最底安全级别。C2级别还包含有受控访问环境,该环境具有进一步限制用户执行一些 命令或访问某些文件的权限,而且还加入了身份验证级别。例如UNIX系统。XENIX Novell 3。0 或更高版本。WINDOWS NT4 B1级称为标记安全防护,B1级支持多级安全。标记是指网上的一个对象在安全 保护计划中是可识别且受保护的。B1级是第一种需要大量访问控制支持的级别。 安全级别存在保密,绝密级别。5 B2又称为结构化保护,他要求计算机系统中的所有对象都要加上标签,而且给 设备分配
4、安全级别。B2级系统的关键安全硬件/软件部件必须建立在一个形式的安 全方法模式上。6 B3级又叫安全域,要求用户工作站或终端通过可信任途径连接到网络系统。而 且这一级采用硬件来保护安全系统的存储区。B3级系统的关键安全部件必须理解 所有客体到主体的访问,必须是防窜扰的,而且必须足够小以便分析与测试。7 A1最高安全级别,表明系统提供了最全面的安全,又叫做验证设计。所有来自 构成系统的部件来源必须有安全保证,以此保证系统的完善和安全,安全措施还必 须担保在销售过程中,系统部件不受伤害。网络安全从本质上讲就是网络上的信息安全。凡是涉及到网络信息的保密性,完整 性,可用性,真实性和可控性的相关技术和
5、理论都是网络安全的研究领域。安全策约是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规 则。安全策约模型包括了建立安全环境的三个重要组成部分:威严的法律,先进的 技术和严格的管理。网络安全是网络系统的硬件,软件以及系统中的数据受到保护,不会由于偶然或恶 意的原因而遭到破坏,更改,泄露,系统能连续,可靠和正常的运行,网络服务不 中断。保证安全性的所有机制包括以下两部分:1对被传送的信息进行与安全相关的转换。2两个主体共享不希望对手得知的保密信息。安全威胁是某个人,物,事或概念对某个资源的机密性,完整性,可用性或合法性 所造成的危害。某种攻击就是某种威胁的具体实现。安全威胁分为故意的
6、和偶然的两类。故意威胁又可以分为被动和主动两类。中断是系统资源遭到破坏或变的不能使用。这是对可用性的攻击。截取是未授权的实体得到了资源的访问权。这是对保密性的攻击。修改是未授权的实体不仅得到了访问权,而且还篡改了资源。这是对完整性的攻 击。捏造是未授权的实体向系统中插入伪造的对象。这是对真实性的攻击。被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有: 泄露信息内容和通信量分析等。主动攻击涉及修改数据流或创建错误的数据流,它包括假冒,重放,修改信息和拒 绝服务等。假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 重放涉及被动捕获数据单元以及后来的重新
7、发送,以产生未经授权的效果。修改消息意味着改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授 权的操作。拒绝服务的禁止对通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种 拒绝服务的形式是整个网络的中断,这可以通过使网络失效而实现,或通过消息过 载使网络性能降低。防止主动攻击的做法是对攻击进行检测,并从它引起的中断或延迟中恢复过来。从网络高层协议角度看,攻击方法可以概括为:服务攻击与非服务攻击。服务攻击是针对某种特定网络服务的攻击。非服务攻击不针对某项具体应用服务, 而是基于网络层等低层协议进行的。非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的,是一种更有 效的攻击
8、手段。网络安全的基本目标是实现信息的机密性,完整性、可用性和合法性。主要的可实现威胁:1渗入威胁:假冒,旁路控制,授权侵犯。2植入威胁:特洛伊木马,陷门。病毒是能够通过修改其他程序而感染它们的一种程序,修改后的程序里面包含了病 毒程序的一个副本,这样它们就能继续感染其他程序。网络反病毒技术包括预防病毒,检测病毒和消毒三种技术。网络信息系统安全管理三个原则:1多人负责原则。2任期有限原则。3职责分离原则。保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析 学。需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文。这种变换叫 做加密。加密的逆过程叫组解密。对明文进行加密
9、所采用的一组规则称为加密算 法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一 组密钥控制下进行的,加密算法所采用的密钥成为加密密钥,解密算法所使用的密 钥叫做解密密钥。密码系统通常从3个独立的方面进行分类:1按将明文转化为密文的操作类型分为:置换密码和易位密码。所有加密算法都是建立在两个通用原则之上:置换和易位。2按明文的处理方法可分为:分组密码(块密码)和序列密码(流密码)。3按密钥的使用个数分为:对称密码体制和非对称密码体制。如果发送方使用的加密密钥和接受方使用的解密密钥相同,或从其中一个密钥易于 的出另一个密钥,这样的系统叫做对称的,但密钥或常规加密系统。如果发送
10、放使 用的加密密钥和接受方使用的解密密钥不相同,从其中一个密钥难以推出另一个密 钥,这样的系统就叫做不对称的,双密钥或公钥加密系统。分组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的 密钥和加密函数进行运算。分组密码设计的核心上构造既具有可逆性又有很强的线性的算法。序列密码的加密过程是将报文,话音,图象,数据等原始信息转化成明文数据序 列,然后将它同密钥序列进行异或运算。生成密文序列发送给接受者。数据加密技术可以分为3类:对称型加密,不对称型加密和不可逆加密。对称加密使用单个密钥对数据进行加密或解密。不对称加密算法也称为公开加密算法,其特点是有两个密钥,只有两者搭配使用才
11、能完成加密和解密的全过程。不对称加密的另一用法称为数字签名,既数据源使用其私有密钥对数据的效验和 或其他与数据内容有关的变量进行加密,而数据接受方则用相应的公用密钥解读 数字签名,并将解读结果用于对数据完整性的检验。不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密, 只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。加密技术应用于网络安全通常有两种形式,既面向网络和面向应用程序服务。面向网络服务的加密技术通常工作在网络层或传输层,使用经过加密的数据包传 送,认证网络路由及其其他网络协议所需的信息,从而保证网络的连通性和可用性 不受侵害。面向网络应用程序服务
12、的加密技术使用则是目前较为流行的加密技术的使用方法。从通信网络的传输方面,数据加密技术可以分为 3类:链路加密方式,节点到节点 方式和端到端方式。链路加密方式是一般网络通信安全主要采用的方式。节点到节点加密方式是为了解决在节点中数据是明文的缺点,在中间节点里装有加,解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换。在端到端机密方式中,由发送方加密的数据在没有到达最终目的节点之前是不被解 密的。试图发现明文或密钥的过程叫做密码分析。算法实际进行的置换和转换由保密密钥决定。密文由保密密钥和明文决定。对称加密有两个安全要求:1需要强大的加密算法。2发送方和接受方必须用安全的方式来获得保密密
13、钥的副本。常规机密的安全性取决于密钥的保密性,而不是算法的保密性。IDEA算法被认为是当今最好最安全的分组密码算法。公开密钥加密又叫做非对称加密。公钥密码体制有两个基本的模型,一种是加密模型,一种是认证模型。通常公钥加密时候使用一个密钥,在解密时使用不同但相关的密钥。常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥。RSA体制被认为是现在理论上最为成熟完善的一种公钥密码体制。密钥的生存周期是指授权使用该密钥的周期。在实际中,存储密钥最安全的方法就是将其放在物理上安全的地方。密钥登记包括将产生的密钥与特定的应用绑定在一起。密钥管理的重要内容就是解决密钥的分发问题。密钥销毁包括清
14、除一个密钥的所有踪迹。密钥分发技术是将密钥发送到数据交换的两方,而其他人无法看到的地方。数字证书是一条数字签名的消息,它通常用与证明某个实体的公钥的有效性。数字 证书是一个数字结构,具有一种公共的格式,它将某一个成员的识别符和一个公钥 值绑定在一起。人们采用数字证书来分发公钥。序列号:由证书颁发者分配的本证书的唯一标示符。认证是防止主动攻击的重要技术,它对于开放环境中的各种信息系统的安全有重要 作用。认证是验证一个最终用户或设备的声明身份的过程。认证主要目的为:1验证信息的发送者是真正的,而不是冒充的,这称为信源识别。2验证信息的完整性,保证信息在传送过程中未被窜改,重放或延迟等。认证过程通常
15、涉及加密和密钥交换。帐户名和口令认证方式是最常用的一种认证方式。授权是把访问权授予某一个用户,用户组或指定系统的过程。访问控制是限制系统中的信息只能流到网络中的授权个人或系统。有关认证使用的技术主要有:消息认证,身份认证和数字签名。消息认证的内容包括为:1证实消息的信源和信宿。2消息内容是或曾受到偶然或有意的篡改。3消息的序号和时间性。消息认证的一般方法为:产生一个附件。身份认证大致分为3类:1个人知道的某种事物。2个人持证。3个人特征。口令或个人识别码机制是被广泛研究和使用的一种身份验证方法,也是最实用的认 证系统所依赖的一种机制。为了使口令更加安全,可以通过加密口令或修改加密方法来提供更强健的方法,这 就是一次性口令方案,常见的有 S/KEY和令牌口令认证方案。持证为个人持有物。数字签名的两种格式:1经过密码变换的被签名信息整体。2附加在被签消息之后或某个特定位置上的一 段签名图样。对与一个连接来说,维持认证的唯一办法是同时使用连接完整性服务。防火墙总体上分为包过滤,应用级网关和代理服务等几大类型。数据包过滤技术是在网络层对数据包进行选择。应用级网关是在网络应用层上建立协议过滤和转发功能。代理服务也称链路级网关或TCP通道,也有人将它归于应用级网关一类。防火墙是
