网络安全知识要点讲解

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术与原理，都是网络安全所要研究的领域。

网络系统安全，系统信息安全，信息内容安全，信息传播安全。

网络安全是指网络系统的硬件、软件及其系统中的数据的安全，它体现在网络信息的存储、传输和使用过程中。主要内容：网络实体安全性，网络系统安全性。

(1) 保密性指信息不泄露给非授权的用户、实体或过程，或供非授权用户、实体或过程利用的特性。（2）完整性指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击.（4）可控性指对信息的传播及内容具有控制能力，可以控制授权范围内的信息流向及行为方式。（5）不可抵赖性用户无法再时候否认曾经对信息进行的生成、签发、接受等行为。

.信息存储安全和信息传输安全。

为确保网络信息的传输安全，尤其需要防止以下问题：（1）截获（Interception）（2）伪造（Fabrication）（3）篡改（Modification）（4）中断（Interruption）（5）重发（Repeat）

网络实体威胁：自然因素，电磁泄漏，操作失误，机房的环境威胁

影响因素：自然因素，技术原因，人为因素

立法：公法，私法，网络利用的法律问题安全管理：技术安全管理，行政安全管理，应急安全管理

主动被动攻击：被动攻击只观察和分析某一个协议数据单元而不干扰信息流，主动攻击中攻击者对某个连接通过的协议数据单元进行各种处理，拒绝服务，更改报文流，伪造连接初始化。

网络安全模型：1P2DR模型：Policy, Protection , Detection, Response.

P2DR模型在整体策略的控制下和指导下，在运用防护工具保证系统运行的同时，利用监测工具评估系统的安全状态，通过响应工具将系统调整到相对安全和风险最低的状态。P2DR采用被动主动防御结合的方式，存在一个明显的缺点

策略：是P2DR的核心，描述了网络安全管理过程中必须遵守的原则，所有的防护，检测，和响应都是依据安全策略进行实施的。策略一旦制定完毕，就应该成为整个网络安全行为的准则。

防护：采取一切手段保护计算机网络系统的五性，预先阻止产生攻击可以发生的条件。防护是网安的第一道防线，采用静态的技术和方法实现，入防火墙，操作系统身份认证，加密等，称为被动防御。分为系统安全防护，网络安全防护，信息安全防护。

检测：检测是第二道防线，是动态响应和加强防护的依据，通过检测工具检测和监控网络状态，发现新的威胁网络安全的异常行为，然后通过反馈并作出有效响应。检测和防护的区别是防护主要修补系统和网络缺陷，从而消除攻击和入侵的条件，检测是根据入侵事件的特征进行检测，相互之间有互补关系。

响应：响应是解决潜在安全问题的有效方法。响应就是在检测系统出现被攻击或攻击企图后，及时采取有效的措施，阻断可能的破坏，避免危害扩大。

PDRR模型

PDRR模型包括：检测、防护、响应、恢复。

检测、防护、响应和P2DR模型相同。恢复就是指在系统被入侵之后，把系统恢复到原样或者比原来更安全的状态，对入侵所造成的的影响进行评估和系统重建，采取恰当的技术措施。

PDRR模型的目标是尽可能的增大保护时间，尽量减少检测时间和响应时间，减少系统暴露时间。

安全服务：鉴别服务，访问控制服务，数据保密性服务，抗抵赖服务

网络安全机制：网络安全机制包括：访问控制机制；加密机制；认证交换机制；数字签名机制；业务流分析机制；路由控制机制。安全管理：系统安全管理，安全服务管理，安全机制管理。

服务与机制的关系：安全服务是由安全机制实现的，一个安全服务可以由一个或几个安全机制来实现，一个安全服务可以由一个或几个安全机制来实现，同一个安全机制也可以用于不同的安全服务，他们并不一一对应.

安全管理：系统安全管理，安全服务管理，安全机制管理

安全系统生命周期：系统规划，系统分析，系统设计，系统实施，维护管理

机房三度要求：温度湿度洁净度，电磁干扰分类：传导干扰辐射干扰，低频传导，高频辐射。

电磁干扰防护：屏蔽设备，屏蔽措施，利用噪声干扰源，进行距离防护，采用微波吸收材料。

静电防护：保证计算机设备外壳接地良好，避免使用挂毯等易产生静电的材料，家具尽可能用金属材料，维修人员应放掉静电，机房内应保持一定湿度，使用静电消除剂。

机房电源系统：电源应至少有俩路供电，应安装备用电源，关键的设备应有备用发电机组和备用电源，配备电涌保护器。

数据链路层安全机制优缺点：优点无需对其如何上层进行改变就能对所有数据加密，提供链路安全。缺点只能应用在两个直接的设备上上，而数据在网上传输的重要的是端到端的安全，单独链路加密并不能保证整个路径的安全。

L2TP协议：第二层隧道协议，VPN中一种是访问集中器LAC，一种是网络服务器LNS.

L2TP特点：差错控制：UDP封装，包头进行流控制和差错检测。地址分配：基于NCP协商机制支持动态分配客户地址，可以位于企业防火墙后。身份认证：由LAC和LNS完成。安全性能：何可可以侦听兵线LAC和LNS隧道中插入伪造数据包，可用IPSec解决。

L2TP协议工作流程：隧道建立：LAC和LNS任一端发起隧道建立，包括俩轮消息交换，完成相互认证，为隧道分配隧道ID并通知对方，确定承载类型，帧封装类型，接受窗口尺寸。

回话建立：分配ID，承载类型，帧封装类型，PPP帧前转，LAC受到PPP帧，去除CRC校验字段，帧封装字段和规避字段，封装入L2TP数据。

IPSec:是IETE为了在IP层提供通信安全而制定的一套协议簇，它包括安全协议部分和密钥协商部分。IPSec 安全协议部分给出了封装安全载荷ESP和鉴别头AH两种通信保护机制.其中ESP为通信提供机密性和完整性保护AH机制为通信提供完整性保护，不提供数据加密服务。IPSec密钥协商部分使用IKE实现安全协议的自动安全参数协商。俩种模式传输模式，隧道模式，SA安全关联是基础，SP是结构中的重要组件，定义了….

SSL/TLS，基于TCP，处于TCP上，FTP下，是分层协议，第一层为可靠传输层协议如TCP，第二层是记录层协议，第三层是应用数据协议，警示协议，密码规范变更协议，握手协议，记录协议负责数据传输，记录头和数据构成SSL记录。握手协议负责在建立安全连接之前在SSL/TLS客户代理和服务器之间鉴别双方身份，协商加密算法和密钥参数，流程为建立安全能力，服务器鉴别和密钥交换，客户端鉴别和密钥交换，完成握手协议。

电子邮件安全协议：PGP，端到端安全邮件标准，包含4个密码单元：对称加密算法，非对称加密算法，单向散列算法，随机数产生器。SET协议，不是支付系统，而是一个安全协议和格式规范的集合，SET主要特征：信息机密性，数据完整性，不可抵赖性。流程：客户商家银行注册申请证书，客商银身份认证，交易请求，交易认证，支付发货.

数据链路层安全协议：PPP,PPTP,L2TP对物理媒介传输的每一个直接进行加密，解密在收到是处理优点无