软考网络工程师：网络安全

软考网络工程师：网络安全第七章网络安全一、威胁定义为对缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗 尽、资源被盗或者被破坏等。二、传统密码系统又单钥密码系统又对称密码系统：加密解密所用的密钥是相同的或类 似的，即由加密密码很容易推导出解密密码，反之亦然。常用的有DES数据加密标准，密钥为56位;后有改进型的IDEA国际数据加密算法，密钥为128位。公钥密码系统又非对称密码系统：加密密钥和解密密钥是本质上不同的，不需要分发密 钥的额外信道。有RSA密码系统，它可以实现加密和数字签名，它的一个比较知名的应用是SSL安全套接字（传输层协议）。三、对照ISO/OSI参考模型各个层中的网络安全服务，在物理层可以采用防窃听技术 加强通信线路的安全;在数据链路层，可以采用通信保密机进行链路加密;在网络层可以采用 防火墙技术来处理信息内外网络边界到进程间的加密，最常见的传输层安全技术有SSL;为 了将低层安全服务进行抽象和屏弊，最有效的一类做法是可以在传输层和应用层之间建立中 间件层可实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供身份认证、 访问控制和数据加密。防火墙技术一般可以分为两类：网络级防火墙（采用报文动态分组）和应用级防火墙（采 用代理服务机制），而后者又包括双穴主机网关、屏蔽主机网关、屏蔽子网网关。防火墙定义：（1）所有的从外部到内部或从内部到外部的通信都必须经过它（2）只有有内部访问策略的通信才能被允许通过；（3）系统本身具有很强的高可靠性。防火墙基本组成：安全操作系统、过滤器、网关、域名服务、函件处理。防火墙设计的主要技术：数据包过滤技术、代理服务技术。IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系 结构，包括网络认证协议AH、封装安全载荷协议ESP、密钥管理协议IKE和用于网络认证 及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥 交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。四、病毒生存期的四个阶段：潜伏阶段、繁殖阶段、触发阶段、执行阶段。病毒的类型有：寄生病毒、存储器驻留病毒、引导区病毒、隐形病毒、多形病毒。反病毒方法：检测、标识、清除。五、VPN虚拟专用网-是在Internet中通过特殊设计的硬件和软件直接通过共享的IP网 所建立的隧道（通道）来构建供企业专用的虚拟网。按服务类型分为Intranet VPN企业内 部虚拟网、Access VPN远程访问虚拟网和Extranet VPN扩展的企业内部虚拟专网。VPN的安全技术有：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证 技术。隧道协议可分为第二层隧道协议PPTP、L2F、L2TP和第三层协议GRE、IPSec。IPSec的VPN基于网络第二层，它只是打开了从分支到总部的通路，对于里面数据的 安全性能没有办法保证，没有什么好的办法加强VPN的安全性，和传统的IPSec VPN相 比，SSL VPN最突出的特点在于两个地方：提升安全性、简单实现性。SSL VPN最大的优 势在于SSL功能已经内嵌到浏览器里面去了;而IPSec VPN则需要在客户端安装相关软件， 且软件对于OS有要求。第八章网络操作系统网络操作系统的功能：（1）网络通信（2）共享资源管理（3）网络管理（4）网络服务（5）互操作（6）提供网络接口。网络操作系统的安全性：用户帐号安全性、时间限制、站点限制、磁盘空间限制、传输 介质的安全性、加密、审计。