还剩7页未读,继续阅读
文本内容:
第一章网络安全管理基础网名各办议
1.1•(Protocol)是一种特殊的软件,是计算机网络实现其功能的最基本机制网络办议的组成2t语法、语义、同步模型的七层体系名吉构物
3.0SI理层、数据链路层、网络层、传输层、会话层、表达层和应用层其提成原则根据功能的需要分层;•每一层应当实现一个定义明确的功能;•每一层功能的选择应当有助于制定国际标准化协议;•各层界面的选择应当尽量减少通过接口的信息量;•层数应足够多,以避免不同的功能混杂在同一层中;但也不能过多,否则体系结构会过于庞大.物理层,4信息安全,重要防止物理通路的损坏、物理通路的窃听、对物理通路的袭击(干扰等)数据链路层,的网络安全需要保证通过网络链路传送的数据不被窃听重要采用划分VLAN(局域网)、加密通讯(远程网)等手段网络层,的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由对的,避免被拦截或监听操作系统,安全规定保证客户资料、操作系统访问控制的安全,同时可以对该操作系统上的应用进行审计°应用平台,指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等应用系统,完毕网络系统的最终目的-为用户服务.网络层安全性的重要优点是5透明性,即安全服务的提供,不需要应用程序、其它通信层次和网络部件做任何改动重要缺陷是网络层一般对属于不同进程和相应条列的包不加以区别记录协议
6.SSL该协议涉及应用程序提供的信息的分段、压缩、数据认证和加密握手办议
7.SSL t用来互换版本号、加密算法、(互相)身份认证并互换密钥的且织方式及构成
8.PEM PKIZ顶层为网络层安全政策登记机构(ipra);第二层为安全政策证书颁发机构(pea);底层为证书颁发机构(ca)互换式集线器代替共享式集线器的优点
9.互换机(即你说的互换式集线器)增长了冲突域,把冲突域范围缩小,每条线路是一个冲突域.这样计算机不像在用共享式集线器那样之间会有冲突,这样增长了网络性能.同时填补了以太网布线不方便,容易出现单点故障,扩展等缺陷.()网名各安全威
1.月办威胁有很多类型,有自然地和物理的(火灾、地震),无意的(不知情的顾客或员工)和故意的(袭击者、恐怖分子和工业间谍等).安全漏洞11是指资源容易遭受袭击的位置它可以被视为是一个弱点安全漏洞类型有物理自然的,硬件和软件的,媒介的,通信的(未加密的协议),人为的等.乘需袭击方法12运用技术漏洞袭击(强力袭击、缓冲区溢出、错误配置、重放袭击、会话劫持);信息收集(地址辨认、操作系统辨认、端口扫描、服务和应用程序探测、漏洞扫描、响应分析、用户枚举、文档研磨、无线泄露、社会工程);拒绝服务(物理损坏、资源删除、资源修改、资源饱和);此外来自外网的威胁网络系统安全应具有的功能及其含义
13.访问控制通过对特定网段、服务建立的访问控制体系,将绝大多数袭击阻止在到达袭击目的之前检查安全漏洞通过对安全漏洞的周期检查,即使袭击可到达袭击目的,也可使绝大多数袭击无效袭击监控通过对特定网段、服务建立的袭击监控体系,可实时检测出绝大多数袭击,并采用相应的行动(如断开网络连接、记录袭击过程、跟踪袭击源等)加密通讯积极的加密通讯,可使袭击者不能了解、修改敏感信息认证良好的认证体系可防止袭击者假冒合法用户备份和恢复良好的备份和恢复机制,可在袭击导致损失时,尽快地恢复数据和系统服务多层防御袭击者在突破第一道防线后,延缓或阻断其到达袭击目的隐藏内部信息使袭击者不能了解系统内的基本情况设立安全监控中心为信息系统提供安全体系管理、监控、保护及紧急情况服务网络安全中常用的袭击形式
14.,信息收集和运用技术漏洞型袭击的原理及相应的防范措施,缓冲区溢出的概念,恶意代码的重要类型有(病毒、蠕虫、特洛伊木马、其它恶意代码)保证网络安全的措施15防火墙、身份认证、加密、数字署名、内容检查、存取控制、安全协议及智能卡技术等涵义防火墙是一种防御技术,它网络安全是不可缺少的它像一道防盗门,把内部网和外部网分隔开来,转发可信的分组的数据包,丢弃不可疑的数据包身份认证是一致性验证的一种,验证是建立一致性Identification证明的一种手段身份验证重要涉及验证依据、验证系统和安全规定加密是通过对信息的重新组合,使得只有收发双方才干解码还原信息数字署名大多数电子交易采用两个密钥加密密文和用来解码的密钥一起发送,而该密钥自身又被加密,还需要另一个密钥来解码这种组合加密被称为数字署名,它有也许成为未来电子商业中首选的安全技术存取控制存取控制规定何种主体对何种客体具有何种操作权力存取控制是内部网安全理论的重要方面,重要涉及人员限制、数据标记、权限控制、控制类型和风险分析安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素网络的安全策略,数据防御、应用程序防御、主机防御、网络防御、周边防御、物理安全防御第二章
1.信息安全的4个特性•保密性Confidentiality保证信息不泄露给未经授权的任何人;•完整性Integrity防止信息被未经授权的人篡改;•可用性Availability保证信息和信息系统的确为授权者所用;•可控性Controllability对信息和信息系统实行安全监控,防止非法运用信息和信息系统
2.密码算法是一个函数变换,要加密的信息称为明文,通过以密钥为参数的函数加以转换
3.目前流行的密码算法重要有DES,RSA,IDEA,DSA等
4.密钥算法的分类传统密码算法和现代密码算法•对称加密算法这种技术使用单一的密钥加密信息•公钥加密算法非对称加密这种技术使用两个密钥,一个公钥用于加密信息,另一个私钥用于解密信息•单项函数算法这个函数对信息进行加密产生原始信息的一个“署名”,该署名将被在以后证明它的权威性
5.对称加密算法对称加密算法是一种传统的加密算法,它的基本原理如下在对称加密中,数据信息的传送,加密及接受解密都需用到这个共享的钥匙,也就是说加密和解密共用一把钥匙对称加密最常用的一种方式是资料加密标准data encryptionstandard,DESo
6.三重DES,这种方法用两个密钥对明文进行三次加密,假设两个密钥是1和2,其算法环节
1.用密钥1进行DSE加密
2.用密钥2对环节1的结果进行DSE解密
3.对环节2的结果使用密钥1进行DSE加密
7.在非对称加密算法中,运用了两把钥匙一个钥匙用来将数据信息加密,而用另一把不同的钥匙来解密
8.非对称加密异于两方都用同一个密钥的对称加密算法,公钥密码法对每一个人都使用一对钥匙,其中一个是公开的,而另一个是私密的公共钥匙可以让其别人知道,而私密钥匙则必须加以保密,只有持有人知道它的存在
9.公钥它可以给任何请求它的应用程序或用户私钥只有它的所有者知道公钥加密算法也称非对称密钥算法,用两对密钥一个公共密钥和一个专用密钥
10.公密钥算法的重要用途数据加密和身份认证1LRSA的优点安全性较高不易被破坏;缺陷
1.产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密
2.分组长度太大,为保证安全性,n至少也要600bits以上,使运算代价很高,特别是速度较慢,较对称密码算法慢几个数量级;且随着大数分解技术的发展,这个长度还在增长,不利于数据格式的标准化
12.RSA和DES算法的比较在加密、解密的解决效率方面DES算法优于RSA算法;在密钥的管理方面RSA算法比DES算法更加优越;在安全面DES算法和RSA算法的安全性都较好;在署名和认证方面DES算法从原理上不也许实现数字署名和身份认证,但RSA算法可以容易地进行数字署名和身份认证总的来说两种算法各具特点DES算法加密、解密速度快,所以对数据量大、需要在网上传播的信息,用DES算法对于数据量小但非常重要的数据,数字署名和DES算法的密钥就要使用RSA算法进行加密和解密
13.PKI PublicKey Infrastructure,PKI即公开密钥基础设施一个成熟的加密体系必然要有一个成熟的密钥管理机制,公钥的管理机制都采用PKI机制,它是由公开密钥技术,数字证书、证书发行机构CA和相关的公钥安全策略等组成
14.CA CertificateAuthority是证书的签发机构构建密码服务系统的核心内容是如何实现密钥管理
15.认证中心是一个负责发放和管理数字认证的权威机构
16.使用智能卡的优点对加密智能卡的支持是微软集成到WIND(用S2023中的公钥基础结构(PKI)的关键功能第四章重点L信任安全架构的重要内容,访问层、资源层和外围层的涵义信任安全构架重要涉及身份验证授权和访问控制审核与记账密码管理安全管理,涉及鉴别与策略访问层信任安全构架引入新的安全层是由Burten Group组提出的位于资源层和外围层之间资源层是用各种应用和数据组成外围层涉及一些安全设备,涉及防火墙、访问控制路由器、入侵检测系统和虚拟专用网的终端等理解信任的完毕过程辨认、验证和审核
2.Window Server2023的安全环境中重要进一步加强了用户身份验证和访问控制,即内置了TSI构架,在公司服务版本中还增长了如下安全功能授权管理器存出用户名和密码软件限制策略证书颁发机构受限委派有效权限工具加密文献系统(EFS)Everyone成员身份基于操作的审核重新应用安全默认值
3.Windows Server2023身份验证一般有四种某个具体内容,如用户名/密码等;某个具体设备如ATM卡和密钥等;某个特性如指纹,视网膜扫描和声音检测等;某个位置如网络适配卡地址,基于全球定位的系统等;
4.Windows Server2023身份验证重要功能就是它启用对所有网络资源股的单一登录
5.操作系统的验证机制体现如下方面支持验证方法的数量;方法的强度;验证信息是否集成到所有安全系统中
6.交互式登录身份验证需要执行两个部分交互式登录和网络身份验证
7.Kerberos V5是与密码或智能卡一起使用以进行交互登录的协议,是Windows Server2023对服务进行网络身份验证的默认方法Kerberos的三个头在协议中分别代表验证、授权、和审核具有扩展功能密钥的互换
8.Kerberos身份验证的优点使用独特的票证系统并能提供更快的身份验证;是交互式验证;是开放的标准;支持委托验证;只是只能卡网络登录的验证
9.Kerberos V5身份验证过程客户端系统上的用户使用密码或智能卡向KDC进行身份验证;KDC为此客户颁发一个特别的票证授予式票证;TGC接着向客户颁发服务票证;客户向请求的网络服务出示服务票证
10.Windows Server2023的身份验证中强密码规则长度至少有七个字符;不包含用户名、真实姓名或公司名称;不包含完整的字典词汇;与先前的密码大不相同;包含下列四组字符类型大写字母、小写字母、数字、键盘上的符号
11.Windows Server2023中有以下模拟级匿名、辨认、模拟和委托
12.授权管理器是windonws的一种通用的、基于角色的新安全体系结构第五章
1.Shadow身份认证体系最基本的身份认证系统由口令验证构成.口令不是明文进行比较,而是采用下面的结构TCSEC TDI将系统划分为四组division七个等级,依次是D;C Cl,C2;B Bl,B2,B3;A Al,安全级别从左至右逐步提高,各级之间向下兼容,也就是说高级别必须抑有低档别的一切特性
2.验证口令环节1系统记录用户的原始口令,并将其加密保存在系统中,口令原文则被丢弃2当用户登录系统的时候,输入口令,系统用同样的加密算法将用户输入的口令转换成密文3比较保存的密文和现在得到的密文,假如相同,允许用户登录系统
3.日记:就是对系统行为的记录在标准的Linux系统中,操作系统维护三个基本的日记
1.连接时间日记:用来记录用户的登录信息,这是最基本的日记系统,管理员可以运用它来跟踪谁在什么时候进入了系统
2.进程记账:用来记录系统中执行的进程信息比如某个进程消耗了多少CPU时间等等
3.syslog系统并不由系统内核维护,而是由syslogd或者其它一些相关程序完毕它是各种程序重要是daemon进程对运营中发生的事件的描述等级描述C1所有的用户都被分组;对于每个用户,必须登记后才干使用系统;系统必须记录每个用户的登记;系统必须对也许破坏自身的操作发出警告在C1的基础上增长几个规定C2所有的对象都有且仅有一个物主;对于每一个试图访问对象的操作,都必须检查权限,对于不符合权限规定的访问,必须予以拒绝;有且仅有物主和物主指定的用户可以更改权限;管理员可以取得对象的所有权,但不能归还;系统必须保证自身不能被管理员以外的用户改变;系统必须有能力对所有的操作进行记录,并且只有管理员和由管理员指定的用户可以访问该记录B1在c2的基础上增长以下规定不同的组成员不能访问对象创建的对象,但管理员许可的除外;管理员不能取得对象的所有权;在B1基础上增长以下规定B2所有的用户都被授予一个安全等级;安全等级较低的用户不能访问高等级用户创建的对象
4.C1-C2的规定1,身份认证,每个用户都必须在系统中标志其身份
2.系统的资源被归于不同的所有者,对这些资源的访问必须验证用户权限3,系统要对用户的行动进行记录
5.文献存在三种存取权限用户存取权限;组存取权限和其它用户的存取权限第九章防火墙安全管理防火墙:
1.所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,.防火墙重2要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件该计算机流入流出的所有网络通信均要通过此防火墙一般防火墙有两个组成部分两个分组筛选器路由器和一个应用程序网关.防火墙的牛寺点3广泛的服务支持;数据的加密支持;方电子欺骗;过滤不安全服务和非法用户;控制对特殊站点的访问;提供了监视Internet安全和预警的方便端点;防火墙能强化安全策略;防火墙能有效地记录Internet上活动;防火墙限制暴露用户点.实现防火墙的技术4数据包过滤、应用网关、代理服务、IP通道、隔离域名服务器和网络地址转换器等相关技术.包过滤技术作为防火墙的应用有三类5路由设备在完毕路由选择的数据转发之外,同时进行包过滤,这是目前较常用的方式;在工作站上使用软件进行包过滤,但是此方式价格较贵;在一种称为屏蔽路由器设备上启动包过滤功能.代理服务6Proxy Server是设立在internet防火墙网关的专用应用级代码它涉及应用代理服务Application GatewayProxy;回路级代理服务器.防火墙的类型7网络防火墙涉及包过滤防火墙、应用级网关、电路及防火墙及状态监视器等.网络及防火墙8简洁、速度快、费用低、并且对用户透明,但是对网络的保护很有限,由于它只检查地址和端口,对网络更高协议层的信息无理解能力9电路及防火墙的缺陷由于该网关是在会话层工作,它无法检查应用层级的数据包.防火墙体系吉构102双重宿主主机体系结构;被屏蔽主机体系结构;被屏蔽子网体系结构.防火墙的配置与管理11防火墙的配置一般有三种方式Dual-homed Screened-host Screemed-subnetoDual-homed方式最简朴Dual-homedGateway放置在两个网络之间Screened-host方式中的Scereeningroutet为保护Bastionhost的安全建立了一道屏蔽Screened-subnet方式包含两个Scereeningroutert和两个Bastionhosto.安全威用12h所有能对网络系统网络服务信息的机密性和完整性破坏的因素防火墙的选择
131.好的防火墙是一个整体网络的保护者;
2.好的防火墙必须能填补其他操作系统的局限性;
3.好的防火墙应当为使用者提供不同平台的选择;
4.好的防火墙应能向使用者提供完善的售后服务
5.好的防火墙应当向使用者提供完整的安全检查功能;
6.好的防火墙还能实现IP转换
7.好的防火墙应当有双重DNS;
8.查杀病毒功能第五章重点
1.Shadow身份认证体系最基木的身份认证系统由口令验证构成.口令不是明文进行比较,而是采用下面的结构TCSEC TDI将系统划分为四组division七个等级,依次是D;C Cl,C2;B Bl,B2,B3;A Al,安全级别从左至右逐步提高,各级之间向下兼容,也就是说高级别必须拥有低档别的一切特性
2.验证口令环节:1系统记录用户的原始口令,并将其加密保存在系统中,口令原文则被丢弃2当用户登录系统的时候,输入口令,系统用同样的加密算法将用户输入的口令转换成密文3比较保存的密文和现在得到的密文,假如相同,允许用户登录系统
3.日记:就是对系统行为的记录在标准的Linux系统中,操作系统维护三个基本的日记
1.连接时间日记:用来记录用户的登录信息,这是最基本的日记系统,管理员可以运用它来跟踪谁在什么时候进入了系统
2.进程记账:用来记录系统中执行的进程信息比如某个进程消耗了多少CPU时间等等
3.syslog系统并不由系统内核维护,而是由syslogd或者其它一些相关程序完毕它是各种程序重要是daemon进程对运营中发生的事件的描述等级描述C1所有的用户都被分组;对于每个用户,必须登记后才干使用系统;系统必须记录每个用户的登记;系统必须对也许破坏自身的操作发出警告C2在C1的基础上增长几个规定所有的对象都有且仅有一个物主;对于每一个试图访问对象的操作,都必须检查权限,对于不符合权限规定的访问,必须予以拒绝;有且仅有物主和物主指定的用户可以更改权限;管理员可以取得对象的所有权,但不能归还;系统必须保证自身不能被管理员以外的用户改变;系统必须有能力对所有的操作进行记录,并且只有管理员和由管理员指定的用户可以访问该记录B1在c2的基础上增长以下规定不同的组成员不能访问对象创建的对象,但管理员许可的除外;管理员不能取得对象的所有权;B2在B1基础上增长以下规定所有的用户都被授予一个安全等级;安全等级较低的用户不能访问高等级用户创建的对象
4.C1-C2的规定:
1.身份认证,每个用户都必须在系统中标志其身份
2.系统的资源被归于不同的所有者,对这些资源的访问必须验证用户权限3,系统要对用户的行动进行记录
5.文献存在三种存取权限用户存取权限;组存取权限和其它用户的存取权限。