下载文档原格式
自考信息安全信息与网络管理知识点自考信息安全信息与网络管理知识点第一章信息安全基础知识1. 信息安全的概念和重要性2. 信息安全的基本原则和目标3. 信息安全的威胁和风险分析4. 信息安全管理体系和标准第二章密码学与加密技术1. 对称加密和非对称加密的原理和适用场景2. 常见的对称加密算法及其特点3. 常见的非对称加密算法及其特点4. 数字签名和数字证书的原理和应用5. 密码学在网络通信中的应用第三章网络安全技术1. 网络安全的威胁和攻击方式2. 防火墙和入侵检测系统的原理和功能3. 网络安全策略与防御措施4. 网络流量分析和日志审计技术5. 网络安全事件的响应与处置第四章信息系统安全管理1. 信息系统安全评估和风险管理2. 安全策略和安全规划的制定3. 整机安全和软件安全管理措施4. 准入控制和权限管理5. 数据备份和容灾恢复措施第五章网络管理技术1. 网络拓扑结构和网络设备2. 网络传输和路由技术3. IP地质规划和子网划分4. 网络设备配置与管理5. 网络故障排除与性能优化第六章信息安全法律法规1. 《中华人民共和国刑法》2. 《中华人民共和国网络安全法》3. 《中华人民共和国数据保护法》4. 《中华人民共和国信息安全等级保护管理办法》5. 其他相关法律法规解释及注释附件:________2.密码学实验案例3.网络安全事件响应流程图4.网络设备配置示例代码注释:________2.密码学实验案例是指用于教学实验的一组密码学相关的案例,用于学生实际操作和学习。
3.网络安全事件响应流程图是指根据实际的网络安全事件响应工作流程,绘制的一张流程图,便于在实际工作中按照流程进行处理。
4.网络设备配置示例代码是指一组网络设备配置的示例代码,可以作为网络管理员在实际工作中参考使用。
第一章.绪论1、计算机网络面临的主要威胁:①计算机网络实体面临威胁(实体为网络中的关键设备)②计算机网络系统面临威胁(典型安全威胁)③恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序)④计算机网络威胁的潜在对手和动机(恶意攻击/非恶意)2、典型的网络安全威胁:①窃听②重传③伪造④篡改⑤非授权访问⑥拒绝服务攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽3、计算机网络的不安全主要因素:(1)偶发因素:如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。
(2)自然灾害:各种自然灾害对计算机系统构成严重的威胁。
(3)人为因素:人为因素对计算机网络的破坏也称为人对计算机网络的攻击。
可分为几个方面:①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击4、不安全的主要原因:①互联网具有不安全性②操作系统存在的安全问题③数据的安全问题④传输线路安全问题⑤网络安全管理的问题5、计算机网络安全的基本概念:计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。
6、计算机网络安全的定义:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
网络的安全问题包括两方面内容:一是网络的系统安全;二是网络的信息安全(最终目的)。
7、计算机网络安全的目标(安全需求):①保密性②完整性③可用性④不可否认性⑤可控性8、计算机网络安全的层次:①物理安全②逻辑安全③操作系统安全④联网安全9、网络安全包括三个重要部分:①先进的技术②严格的管理③威严的法律10、网络安全基本模型:(P27图)11、OSI安全体系结构:①术语②安全服务③安全机制。
OSI安全体系结构不是能实现的标准,而是关于如何设计标准的标准。
(1)安全服务。
OSI安全体系结构中定义了五大类安全服务,也称为安全防护措施。
①鉴别服务;②访问控制服务;③数据机密性服务;④数据完整性服务;⑤抗抵赖性服务。
自考计算机网络管理02379知识点汇总-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN自考计算机网络管理02379知识点汇总第1章网络管理概念一、网络管理系统的层次结构:OSI/RM 管理站应用层网络管理应用表示层会话层网络管理框架传输层协议支持网络层代理系统数据链路层操作系统被管理的资源硬件物理层二、网络管理框架的共同特点:1、管理功能分为管理站(Manager)和代理(Agent)两部分;2、为存储管理信息提供数据库支持,例如,关系数据库或面向对象的数据库;3、提供用户接口和用户视图(View)功能,例如,管理信息浏览器;4、提供基本的管理操作,例如,获取管理信息,配置设备参数等操作过程。
三、网络管理实体:每一个网络结点都包含一组与管理有关的软件,叫做网络管理实体(NME)。
它完成下面的任务:1、收集有关网络通信的统计信息;2、对本地设备进行测试,记录设备状态信息;3、在本地存储有关信息;4、响应网络控制中心的请求,发送管理信息;根据网络控制中心的指令,设置或改变设备参数。
网络至少有一个结点担当管理站的角色,除NME之外,管理站中还有一组软件,叫做网络管理应用(NMA)。
提供用户接口,根据用户的命令显示管理信息,通过网络向NME发出请求或指令,以便获取有关设备的管理信息,或者改变设备配置。
结点中的NME模块叫做代理模块,网络中任何被管理的设备都必须实现代理模块。
四、分布式网络的优点:灵活性(Flexibility)和可伸缩性(Scalability)。
五、网络管理软件包括用户接口软件、管理专用软件和管理支持软件。
六、网络监控要解决的问题:1、对管理信息的定义:要说明监视哪些管理信息,从哪些被管理资源获得管理信息;2、监控机制的设计:如何从被管理资源得到需要的信息;3、管理信息的应用:根据收集到的管理信息实现什么管理功能。
七、网络管理功能可分为网络监视和网络控制两大部分,统称网络监控。
网络管理必学知识点总结一、网络基本知识1. OSI七层模型OSI七层模型是网络通信的基本理论,了解和掌握OSI七层模型对于网络管理人员是非常必要的。
了解每一层的功能和特点,能够帮助管理员更好地进行网络规划和故障排查。
2. TCP/IP协议TCP/IP协议是互联网上应用最广泛的一种协议,网络管理员需要深入了解TCP/IP协议的原理和工作机制,能够更好地进行网络配置和故障排查。
3. 子网划分和路由原理了解子网划分和路由原理对于网络管理员来说是非常重要的,能够帮助管理员更好地规划网络,提高网络的性能和安全性。
4. 网络安全基础知识网络安全是网络管理的重要组成部分,网络管理员需要了解常见的网络攻击手段,掌握基本的网络安全技术,能够及时发现并排除网络安全隐患。
5. 网络设备知识网络管理员需要了解各种网络设备的工作原理和配置方法,包括交换机、路由器、防火墙等,能够更好地进行网络设备的管理和维护。
二、网络性能优化1. 网络监控网络监控是网络管理的重要环节,网络管理员需要掌握各种网络监控工具和方法,能够实时监控网络的性能指标,及时发现并解决网络故障。
2. 带宽优化带宽优化是网络管理的重要工作之一,网络管理员需要了解各种带宽优化技术,包括QoS、流量控制、带宽分配等,能够提高网络的利用率和性能。
3. 传输优化传输优化是网络管理的重要内容,网络管理员需要了解各种传输优化技术,包括数据压缩、数据加速、数据加密等,能够提高网络数据传输的效率和安全性。
4. 网络性能评估网络管理员需要掌握网络性能评估工具和方法,能够对网络进行定期的性能评估,并进行相应的优化,提高网络的性能和稳定性。
三、网络安全管理1. 防火墙配置和管理防火墙是网络安全的重要组成部分,网络管理员需要掌握各种防火墙配置和管理技术,能够保护网络免受外部攻击。
2. 安全日志分析安全日志分析是网络安全管理的重要内容,网络管理员需要掌握安全日志分析工具和方法,能够及时发现并解决网络安全问题。
自考信息安全信息与网络管理知识点自考信息安全信息与网络管理知识点一、信息安全概述信息安全是指保护信息系统及其相关资源,防止未经授权的访问、使用、泄露、破坏、修改或干扰,以确保信息的机密性、完整性和可用性。
二、信息安全管理体系1. 信息安全管理体系的概念和基本要求:信息安全管理体系是指建立一套完整的、相互关联的信息安全管理活动的规范和流程,以确保信息安全管理工作能有效进行。
2. 信息安全管理体系的组成:包括组织管理、责任管理、基于风险的管理、监督与评审、持续改进等方面。
3. 信息安全政策:是组织在信息安全管理活动中确定的高层次、总体性的方针和目标,为信息安全管理提供指导和支持。
三、信息安全技术基础1. 对称加密与非对称加密:对称加密算法使用相同的密钥进行加密和解密,效率高但密钥管理困难;非对称加密算法使用公钥和私钥进行加密和解密,密钥管理方便但效率较低。
2. 数字签名与数字证书:数字签名用于验证信息的完整性和真实性,数字证书用于证明公钥的真实性和可信度。
3. 虚拟专用网(VPN):通过公共网络(如互联网)建立加密通道,实现远程用户之间的安全通信。
4. 防火墙:用于保护内部网络不受外部攻击,限制网络流量,过滤非法访问。
5. 入侵检测系统(IDS)与入侵防御系统(IPS): IDS用于检测网络中的异常行为和攻击,IPS用于实时阻止和防御攻击行为。
四、信息安全风险管理1. 风险管理的步骤:风险评估、风险处理和风险监控。
2. 风险评估方法: kw即关键资产法,根据关键资产的重要性和受威胁程度进行评估;ara即资产、威胁和脆弱性分析法,从资产、威胁和脆弱性三个方面进行综合评估。
五、网络管理1. 网络管理的基本概念和类型:网络管理是指对计算机网络进行监控、配置、优化和故障处理等一系列工作。
分类有配置管理、性能管理、安全管理、故障管理等。
2. 网络管理协议: SNMP(简单网络管理协议)用于网络设备的监控和管理;CMIP(公共管理信息协议)是一种较复杂的网络管理协议。
自考计算机网络管理02379知识点汇总-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN自考计算机网络管理02379知识点汇总第1章网络管理概念一、网络管理系统的层次结构:OSI/RM 管理站应用层网络管理应用表示层会话层网络管理框架传输层协议支持网络层代理系统数据链路层操作系统被管理的资源硬件物理层二、网络管理框架的共同特点:1、管理功能分为管理站(Manager)和代理(Agent)两部分;2、为存储管理信息提供数据库支持,例如,关系数据库或面向对象的数据库;3、提供用户接口和用户视图(View)功能,例如,管理信息浏览器;4、提供基本的管理操作,例如,获取管理信息,配置设备参数等操作过程。
三、网络管理实体:每一个网络结点都包含一组与管理有关的软件,叫做网络管理实体(NME)。
它完成下面的任务:1、收集有关网络通信的统计信息;2、对本地设备进行测试,记录设备状态信息;3、在本地存储有关信息;4、响应网络控制中心的请求,发送管理信息;根据网络控制中心的指令,设置或改变设备参数。
网络至少有一个结点担当管理站的角色,除NME之外,管理站中还有一组软件,叫做网络管理应用(NMA)。
提供用户接口,根据用户的命令显示管理信息,通过网络向NME发出请求或指令,以便获取有关设备的管理信息,或者改变设备配置。
结点中的NME模块叫做代理模块,网络中任何被管理的设备都必须实现代理模块。
四、分布式网络的优点:灵活性(Flexibility)和可伸缩性(Scalability)。
五、网络管理软件包括用户接口软件、管理专用软件和管理支持软件。
六、网络监控要解决的问题:1、对管理信息的定义:要说明监视哪些管理信息,从哪些被管理资源获得管理信息;2、监控机制的设计:如何从被管理资源得到需要的信息;3、管理信息的应用:根据收集到的管理信息实现什么管理功能。
七、网络管理功能可分为网络监视和网络控制两大部分,统称网络监控。
自考信息安全知识点总结信息安全是指对信息系统及其中所存储的资料和信息进行保护,以确保其完整性、可用性和保密性的一种综合性技术和管理措施。
在当今信息化社会中,信息安全已成为各个行业和企业必须重视的重要问题,保护信息安全已成为每个人都需要具备的基本素质。
以下是自考信息安全知识点的总结,希望能够帮助考生更好地理解和掌握信息安全知识。
一、信息安全的基本概念1. 信息安全的含义信息安全是指保护信息系统中的数据和信息不受未经授权的访问、使用、泄露、破坏和修改等威胁,确保信息的完整性、可用性和保密性。
2. 信息安全的目标信息安全的主要目标包括保护信息系统和其中的数据不受未经授权的访问、保护信息系统的可用性、保证信息系统的数据完整性、保护信息系统中的数据不被篡改,确保信息的保密性等。
3. 信息安全的基本原则信息安全的基本原则包括保密原则、完整性原则、可用性原则、不可抵赖性原则、真实性原则等。
4. 信息安全的威胁和挑战信息安全所面临的威胁和挑战包括网络黑客攻击、病毒和恶意软件感染、信息泄露、网络钓鱼、身份盗窃、勒索软件、DDoS攻击等。
5. 信息安全的重要性信息安全对于企业和个人来说具有非常重要的意义,信息安全问题一旦发生,将会给企业和个人带来严重的损失,因此保障信息安全是每个人都应该关注的重要问题。
二、信息安全的相关技术和方法1. 密码学密码学是信息安全领域的重要基础,它研究如何保护信息的保密性、完整性和真实性。
密码学主要包括对称加密算法、非对称加密算法、消息摘要算法等内容。
2. 认证与授权认证是指系统识别用户身份的过程,授权是指系统决定用户是否能够进行某种操作的过程。
认证与授权技术是信息安全领域中的重要技术,它们可以有效地保护系统不受未经授权的访问。
3. 防火墙技术防火墙技术是用来保护网络免受未经授权的访问的重要技术,它通过过滤和检查网络数据流来防止黑客攻击和恶意软件感染等。
4. 安全审计安全审计是通过对系统中的各种操作进行记录和检查,来确保系统操作的合法性和安全性。
自考本科计算机网络安全知识点自考本科计算机网络安全知识点汇总自考本科计算机网络安全知识点较多,以下是一些主要的知识点:1.密码学基础:包括对称加密和非对称加密算法,如DES、RSA等。
2.网络安全协议:如TCP/IP协议的安全性分析,HTTPS工作原理等。
3.网络安全防范技术:如防火墙、入侵检测系统等。
4.计算机病毒及防治:包括计算机病毒的分类、传播和防治方法等。
5.网络安全法律法规:包括网络安全相关法律法规和国际公约等。
6.网络安全管理:包括网络安全风险评估、网络安全事件应急响应等。
7.网络安全教育:包括网络安全意识教育、网络安全技能培训等。
以上仅是自考本科计算机网络安全部分知识点,具体内容还需要根据不同学校和专业的课程设置进行详细了解。
自考本科计算机网络安全知识点归纳自考本科计算机网络安全知识点归纳如下:1.密码学应用技术。
包括分组密码、公钥密码、对称密码、单向散列函数、数字签名。
2.网络安全协议。
包括TCP/IP协议的安全性、IP安全、SNMP和MPLS的安全性。
3.防火墙。
包括防火墙基本概念、防火墙的分类(包过滤防火墙、应用网关防火墙、状态检测防火墙)、防火墙系统配置。
4.入侵检测系统。
包括IDS基本概念、分类、工作原理、检测技术、防御措施。
5.网络安全扫描工具。
包括网络扫描的目的、类型、方法、步骤、步骤实施。
6.加密与解密算法。
包括DES、RSA、Diffie-Hellman、MD5、SHA-1、社会保障号码加密算法、对称与非对称密码算法、数字签名与时间戳、数字证书、证书吊销。
7.计算机病毒。
包括计算机病毒的概念、分类、感染特点、防范措施。
8.木马分析与防范。
包括木马的概念、分类、编写步骤、注入攻击与防御、反弹端口攻击与防御。
9.拨号攻击。
包括拨号攻击的概念、原理、过程、防范措施。
10.拒绝服务攻击。
包括拒绝服务攻击的概念、分类、防范措施。
11.无线网络安全。
包括无线网络安全的概念、防范措施。
自考信息安全信息与网络管理知识点以下是自考信息安全和信息与网络管理的知识点:第一章:信息安全基础知识⑴信息安全的概念和特点⑵信息安全的威胁和风险⑶信息安全的目标和原则⑷信息安全管理体系和标准第二章:计算机网络基础知识⑴网络结构和协议⑵ OSI模型和TCP/IP协议⑶ IP地质和子网划分⑷路由和交换技术第三章:信息安全技术⑴密码学基础⑵对称加密和非对称加密⑶数字签名和数字证书⑷防火墙和入侵检测系统⑸ VPN和远程访问控制第四章:网络安全管理⑴安全策略和安全管理模型⑵安全风险评估和安全漏洞分析⑶安全事件管理和应急处置⑷安全培训和员工管理⑸安全审计和合规性管理第五章:信息系统安全⑴数据库安全和数据备份⑵系统硬ening和安全配置⑶身份认证和访问控制⑷审计和日志管理⑸业务连续性和灾备第六章:网络安全实施⑴网络安全设备和工具⑵网络安全监控和防御⑶安全测试和渗透测试⑷网络安全事件响应和溯源⑸网络安全管理平台本文档涉及附件:●附件一:计算机网络拓扑图示例●附件三:安全事件应急处理流程图本文所涉及的法律名词及注释:●信息安全法:指中华人民共和国于2016年11月1日颁布的《中华人民共和国网络安全法》。
该法旨在保护国家安全和社会公共利益,维护网络秩序,保障公民的合法权益。
●数据隐私:指个人的个人信息、通信内容、交易记录等,以及企业的商业机密、客户数据、财务信息等敏感数据的隐私和保密性。
●入侵检测系统:指一种用于监测计算机网络中的安全事件、危险行为或异常行为的系统。
它通过监测网络流量、系统日志等实时数据来发现潜在的攻击或入侵行为。
●数字签名:指一种用于验证电子文件或通信的真实性和完整性的技术。
它基于公钥加密算法,通过对文件进行加密和签名,确保文件的发送方和完整性,以及文件在传输过程中的安全性。
●数据库安全:指保护数据库系统中存储的数据的机密性、完整性和可用性的安全措施和技术。
这包括对数据库系统本身的安全性进行保护,以及对用户的访问控制和数据加密等措施。
自考“计算机网络管理”知识重点第一章网络办理概论考试要求1.网络办理的基本概念,要求达到识记层次网络办理的需求和网络办理的目标网络办理系统体系结构被办理的软硬资源的种类和相关信息主要的网络办理标准的含义和适用范围2. OSI 系统办理的基本概念,要求达到领会层次OSI 的办理框架请求、响应、轮询、通告和心跳等通信机制,它们之间的区别和联系办理域和办理策略的概念,及其在分布式网络办理中的作用办理信息的层次结构应用层提供的系统办理支持功能配置办理、故障办理、性能办理、记账办理和安全办理的含义、功能和作用3.网络办理系统,要求达到识记层次知识重点(一)网络办理的基本概念1.网络办理的需求和目标(1)网络办理的需求计算机网络日益成为个人和企业/ 事业单位日常活动必不成少的工具。
许多公司、国家机关和大学每天都要利用网络上的数据业务(例如电子邮件和传真)、视频业务(例如电视会议)和话音业务(例如IP 电话)来包管他们的保存和发展。
另一方面计算机网络和组成越来越复杂,这主要表示在网络互联的规模越来越大,并且联网设备多是异构型设备、多制造环境、多合同栈。
这样的网络靠手工办理已是力所不及,所以研究和开发符合本身情况的、经济适用的网络办理系统就是一项迫切的任务了。
(2)网络办理目标。
减少停机时间,改进响应时间,提高设备利用率;。
减少运行费用,提高效率;。
减少/消灭网络瓶颈;。
适应新技术(多媒体、多种平台);。
使网络更容易使用;。
安全2. 网络办理系统体系结构(1)网络办理系统的层次结构各种网络办理框架的共同特点如下:。
办理功能分为办理站(Manager)和代理(Agent)两部分。
为存储办理信息提供数据库支持,例如关系数据库或面向对象的数据库。
提供有户接口和用户视频(View)功能,例如GUI和办理信息浏览器。
提供基本的办理操作,例如获取办理信息,配置设备参数等操作过程目标办理应用使用户按照需要开发的软件,这种软件运行在具体的网络上实现特定的办理目标,例如鼓掌诊断和性能优化,或者业务办理和安全控制等。
信息安全信息安全的概述信息:根本作用:表征,控制。
性质:普遍性可识别性,存储性可处理性,时效性共享性,增值性可开发性,可控制多效性。
信息安全:一个国家的社会信息化状态不受外来威胁侵害,技术体系不受侵害。
属性:完整性可用性保密性可控性可靠性。
基本原则:负责知晓道德多方配比综合及时重新评价民主安全服务:1鉴别:对等鉴别数据源鉴别2访问控制3数据保密性4数据的完整性5不可否认安全机制:加密数据签名访问控制数据完整性鉴别交换业务填充路由控制公证信息安全管理范畴:定义安全策略ISMS的范围进行安全评估和管理确定管理目标和选定管理措施准备信息安全的适应性说明信息安全评估:基本风险评估:进参照标准所列举的风险对组织资产进行评估详细风险评估:基本风险评估与详细风险评估:一类特殊对待一类一般对待管理风险的手段:降低避免转嫁接受信息安全管理体系的构建:建立安全管理架构具体实施所构建的ISMS在ISMS基础上建立相关的文档文件安全事件的记录与反馈CC:评估通用准则文档组织:1简介和一般模型2安全功能和要求3安全保证要求。
关键概念:评估对象TOC用于安全评估的信息技术产品系统子系统。
保护轮廓PP:安全性评估依据基于应用环境为一类TOE定义一组安全要求,而不管如何实现。
安全目标ST:安全性评估基础,他是针对具体的TOE而言的,通过评估证明YOE所要实现的技术和保证措施组件:描述特定的安全要求,讲传统的安全要求分成不能再分的构件包:组件一句某个特定的关系组合构成包,构建包的目的对满足某个特定安全的有效安全要求密码技术密码学:一门关于发现认识掌握和利用密码内在规律的科学,有密码编码密码分析组成。
基本原理:信息变换:对数据信息进行一组通常但并非总是可逆的数学函数运算。
明文:原始数据密文:经变换的数据这一过程叫做加密实施与加密相反的过程叫做解密加密和解密通常都在一组密钥下进行的分别叫做加密密钥和解密密钥五元组:明文空间M密文空间C密钥空间K加密算法E解密算法D穷举攻击:密码分析者采用遍历全部空间的方式对所获密文进行解密,直到获得正确的明文,有明文到密文统计分析攻击:密码分析者通过分析密文和明文的统计规律来破译密码数学分析攻击:针对加密解密算法的数学基础和某些密码学的特性破译密码古典密码:代替密码置换密码代替密码:就是发送将明文中每一个字符替换为密文中另外一个字符,然后发送出去,接收者对密文进行替换已恢复明文的过程单表替换多表替换一次一密钥替换置换密码:按照约定的规则,将明的字母数码和符号不改变形状的基础上打乱原有的位置进行加密对称密码体制:指解密算法是加密算法的逆运算,加密密钥就是解密密钥的体制,常用来加密大量的数据报文和文卷通信(高速),特点发送者和接收者之间密钥必须安全传递,且双方必须妥善保管DES:分组乘积密码体制最早供人的实用算法标准工作模式:电子密码本密码分组连接输出反馈密文反馈作用:完全适应某历史阶段安全的要求的一种密码体制构造数据加密标准表明分组密码最为对密码算法标准化的方法方便可行推动了分析理论和技术的而快速发展,出现里差分线性分析等密码分配和管理技术密钥分配技术:密钥分配中心方式:每个节点或用户只需保管与密钥分配中心(KDC)之间使用的密钥加密密钥,而KDC为每个用户保管一个不同的密钥加密密钥。
特点:用户不必保存大量的密钥,可实现一报一密;但缺点通信量大,而且要有较好的鉴别功能,可以识别KDC和用户。
离散数学智能卡加密的密钥交换Intnet密钥交换IKE:阶段一定义主模式和野蛮模式任务是建立IKE SA为阶段二提供加密和验证阶段二快速模式任务建立IPSee SAIKE安全隐患:洪泛攻击,也叫拒绝服务,攻击者制造大量伪造的IP请求包,发送给被攻击者,每个请求包多要求被攻击者响应,要开销很大的幂运算处理,到一定程度响应者就无法响应真正的合法用户。
设计了cookie交换让每个cookie和每个通讯方对应起来,一旦发起者和响应者交换cookie之后,余下的密钥交换消息都必须包含cookie对,相应的cookie与发起者和响应者IP地址对应起来。
如果攻击者和被攻击者交换cookie后,攻击者发送多个不同的IP地址和同一对cookie进行减缓,被攻击者很容易丢弃这些信息。
中间人攻击:攻击者在发起者面前模仿响应者在响应者面前模仿发起者,于是攻击者共享发起者和响应者的密钥预共享密钥数字签名公钥加密公钥的基础设施PKI:采用证书管理公钥,通过第三方可信任机构CA把用户的公钥和其它信息捆绑在一起,在intnet上验证用户身份。
目前采用PKI基础之上的数字证书,通过要传送的信息进行加密和签名,保证信息的传输机密性真实性完整性不可抵赖性,从而达到安全传输信息。
PKI八个部分:1认证机构:负责创建或者证明身份的可信赖的权威机构,权威性首先用户知道签名公钥加密公钥,CA是PKI的核心,功能发放和管理数字证书。
2注册机构RA作为CA和最终用户之间的中间实体,负责控制注册过程中证书传递过程中密钥和证书生命周期过程中最终实体和PKI间的交换3证书服务器:负责根据注册过程中提供的信息生成证书机器或者服务4证书库:CA或者RA代替CA发证的地方5证书验证6密钥备份恢复服务器7时间服务器8签名服务器公钥证书:证书的结构证书的生成与发放证书的验证证书的分发证书的废除证书存档信任模型:多层数结构网状结构信任管理:局部信任列表全局动态信任列表CA信任发布锚基于X.509证书的PKI:本质一种公证服务,通过离线的数字证书来证明某个公钥的真实性,并通过CRL来确认某个公钥的有效性结构模型:宏观上呈现域结构,即每个PKI都有一定的覆盖范围,形成一个管理域。
这些管理域通过交互证书相互关联,构成更大的管理域,最终形成全局的公钥管理体系基本结构模型:策略审批结构证书使用规定认证机构单位注册机构PKI:管理实体:认证机构CA注册机构RA。
端实体:持证者验证者。
操作:存取操作管理操作。
密钥托管技术:是备份解密和恢复密钥能力的加密技术,可控密码学重要组成部分。
逻辑上分为:用户安全块密钥托管模块数据恢复模块用户安全模块USC:是硬件设备或软件程序,它提供数据加密,解密能力同时支持密钥托管密钥托管模块:有密钥托管机构控制,管理着数据恢复密钥和存储、传递或使用,它可以作为公钥管理系统或密钥管理基础的部分数据恢复模块:有DRC算法、协议和专用设备组成。
托管系统的信息安全:职责分隔密钥保密知识分散两人控制冗余技术政审物理安全加密保护审计配置管理密钥管理技术:最小特权特别资源分散最小设备不影响系统正常工作等原则口令管理:生成口令具有不可预测性长度应根据访问者信息秘密等级确定人工输入口令要妥善保存口令存储传递必须加密更换频率根据访问信息做决定信息安全认证:目的:实体验证完整性验证数字签名:通常采用加密,哈希函数技术手段对电子文档试试某种机制和变换技术,以实现电子文档的确认的电子文档签名方法。
数字签名寄语两条假设:私钥是安全的只有拥有者才能获得产生数字签名的唯一途径是使用私钥。
数字签名电子文档满足的特性:无法伪造真实性不可重用性不可修改性不可抵赖性数字签名必须保证:能够检验签名者的身份能够证实消息的内容数字签名可由第三方认证解决通信双争议接收者可以核实发送者对报文的签名发送者不可抵赖对报文的签名接收者不可伪造对报文的签名防止数字签名重用:数字签名因消息而异不同数字签名的结果不同及时消息主要内容相同应包含如时间、序号让消息不同数字签名:签名算法检验算法签名私钥是秘密的只有签字人掌握;验证算法是公开的,以便于他人验证(基于对称密码体制的数字签名基于公钥密码体制的签名)数字签名分类:直接数字签名可仲裁数字签名哈希函数:把任意输入长度的输入窜M化成固定长度的输出窜H的一种函数,它是多对一的函数。
特点:给特定的输入计算哈希值很容易,但求逆是比较困难的,又称单向函数。
哈希函数的目的:产生文件报文和其它数据块;性质:输入任意长产生定长输出单向性抗弱碰撞性抗强碰撞性MD4MD5认证技术:又称鉴别确认,是证实某事名副其实或是否有效的过程认证和加密的区别:加密是确保数据的保密性,阻止攻击者的被动攻击;认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止攻击者主动攻击证人技术包括:站点认证报文认证身份认证站点认证:在正式的报文传送前,应首先认证通信是否在双方确定的站点间进行传送实现报文认证:必须使通信双方能够检验每份报文的发送方和接收方,内容和时间的真实性和完整性身份验证:许多应用系统的第一道防线口令智能卡生理特征识别零知识验证第五章:网络安全技术综合集成技术:VPN技术加密身份认证防火墙等技术于一体访问控制技术:两个要素实体和访问控制策略访问控制策略:主体对客体的操作集合约束集访问控制过程:访问控制涉及限制合法用户的行为。
通过一个监视器调节用户对系统内目标进行访问。
用户访问时参考监视器便查看数据库以确定进行操作的用户是否确实得到了进行操作的许可。
自主访问控制模型:包括主体客体和控制实体间访问的监视器。
自主访问控制模型DAC强制访问控制模型MAC基于角色的访问空模型RBAC访问控制安全策略:实现方式:基于身份的安全策略(MAC)基于规则的安全策略(DAC)。
原则:最小特权原则最小泄密原则多级安全策略基于身份安全策略:用于过滤对数据或资源的访问,只用通过认证的主体才可以正常访问客体资源基于规则安全策略:指在某个安全域内,用于与安全相关的活动的一套规则,由安全权威机构制定,并由安全控制机构描述、实施或现实。
访问控制的实施:访问控制列表访问控制性能列表授权关系访问控制矩阵访问控制实施的位置接入访问控制:是网络控制网络访问的第一层它控制哪些用户能够登录到服务器并获得网络资源资源访问访问控制:对客体整体资源信息的访问控制管理网络端口和节点的访问控制:网络端口和节点是网络数据的传输的关键节点,必须防止黑客攻击防火墙技术:是建立在现在通信网络技术和信息安全技术的基础上的应用性安全技术优越性:1控制不安全的服务,只有授权的协议和服务才能通过防火墙2能对站点进行访问控制防止非法访问3它可把安全软件集中地放在防火墙系统中,集中实施安全防护4他强调私有权防止攻击者截取别人的信息5能为所有的访问做出记录防火墙:是由硬件和软件组成的,它采用系统管理的定义的规则,对网络之间的数据流进行保护防火墙:通过控制和监视网络之间的信息交换和访问行为来实现对网络安全的有效管理基本功能:所有进程网络的数据流必须进过防火墙只有授权的数据流才能通过防火墙其自身对网络入侵是免疫的其最大的作用:在于可以使网络规划清晰明了有效的防止跨越权限的数据访问。
实质能够限制网络访问的设备或软件。
具有安全操作系统的防火墙:一种通过许可证获得操作系统的源码;另一种通过固化操作系统内核提高可靠性分布式防火墙:采用中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。
