全国计算机等级考试三级网络技术知识点巩固——第7章 网络管理与网络安全
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2
理明文的方法 2. 密码分析学 攻击密码体质一般由两种方法:密码分析学和穷举攻击。攻击类型有:唯密文攻击、已知明 文攻击、选择明文攻击、选择密文攻击、选择文本攻击。 3. 无条件安全与计算上的安全 4. 代换与置换技术 代换法是将明文字母替换成其他字母、数字或符号的方法。最典型的 Ceasar 密码的实现方 式为:对于明文中的每一个字母,用字母表示 k 个字母后的字母来代替。 7.4.2 对称密码 对称加密方案有 5 个基本成分:明文、加密算法、密钥、密文、解密算法。 使用最广泛的加密体质是数据加密标准(DES) 。DES 采用了 64 位的分组长度和 56 位的密钥 长度,将 64 位的输入进行一些列变换得到 64 位的输出。 7.4.3 公钥密码 RSA 算法:密文 c m mod n
3
未来几年将广泛使用的两种技术:PGP(相当好的私密性)和 S/MIME(安全/通用 Internet 邮件扩充) PGP 利用了 4 中类型的密钥:一次性会话的常规密钥、公开密钥、私有密钥和基于口令短语 的常规密钥。 7.6.2 网络层安全——IPSec IP 安全协议(通常称为 IPSec)是在网络层提供安全的一层协议。在 IPSec 协议族中,有两 个主要的协议:身份认证头(AH)协议和封装安全负载(ESP)协议。 7.6.3 Web 安全 根据威胁的位置,Web 安全威胁可分为:Web 服务器安全威胁、Web 浏览器安全威胁以及 浏览器与服务器之间的网络通信量安全威胁。 7.7 入侵检测技术与防火墙 7.7.1 入侵者 两大最广泛的安全性威胁之一是入侵者, 入侵者通常指的是黑客和解密高手, 入侵者大致可 分为 3 类:假冒者、非法者、秘密用户。 7.7.2 入侵检测技术 入侵检测技术可分为以下两种:统计异常检测、基于规则的检测。 入侵检测的一个基础工具是审计记录。一般采用两种方法记录:原有的审计记录、专门用于 检测的审计记录。 统计异常检测技术分成两大个类别:阈值检测和基于轮廓的检测。 7.7.3 防火墙的特性 防火墙用来控制访问和执行站点安全策略的 4 种常用技术: 服务控制、 方向控制、 用户控制、 行为控制。 7.7.4 防火墙的分类 3 中最常用的防火墙:包过滤路由器、应用及网关和电路及网关。 7.8 计算机病毒问题与防护 7.8.1 计算机病毒 计算机病毒的完整工作过程包括以下 4 个环节: 潜伏阶段、 繁殖阶段、 触发阶段、 执行阶段。 重要病毒有如下分类方法:寄身病毒、存储器主流病毒、引导区病毒、隐形病毒、多态病毒。 几种比较常见的病毒:宏病毒、电子邮件病毒、特洛伊木马、计算机蠕虫。 7.8.2 计算机病毒防治的策略 通常的防治方法是能够完成以下工作:检测、标识、清除。
e
解密:明文 m c mod n
d
7.4.4 密钥管理 密钥分发中心(KDC)是一个独立的可信网络实体,是一个服务器,它同每个注册用户共享 不同的密钥对称密钥。 认证中心(CA)验证一个公共密钥是否属于一个特殊实体(一个人活着一个网络实体) 。认 证中心(CA)负责将公共密钥和特定实体进行绑定,它的工作是证明身份的真实性和发放 证书。 7.5 认证技术 7.5.1 消息认证 信息认证就是使指定的接收者能够检验收到的消息是否真实的方法,又称为完整性校验。 信息完整性认证方法的基本途径有两条: 采用消息认证码 (MAC) 和采用篡改检测码 (MDC) 。 7.5.2 数字签名 签名的需求: ① 签名必须是依赖于要签名报文的比特模式 ② 签名必须使用对发送者来说是唯一的信息,以防伪造和抵赖 ③ 数字签名的产生必须相对简单 ④ 数字签名的识别和正式必须相对简单 ⑤ 伪造数字签名具有很高的计算复杂性 ⑥ 保留一个数字签名的备份在存储上是现实可行的。 7.5.3 身份认证 身份认证又称为身份识别,他是通信和数据系统中正确识别通信用户或终端身份的重要途 径。 7.5.4 常用的身份认证协议 目前以设计出了许多满足条件的认证协议,主要有这几类:一次一密机制、X.509 认证协议、 Kerberos 认证协议 7.6 安全技术应用 加密技术应用于网络安全通常有两种形式:面向网络的服务和面向应用的服务。 7.6.1 安全电子邮件
4
Fra Baidu bibliotek
全国计算机等级考试——三级网络技术 知识点巩固 第 7 章 网络管理与网络安全
7.1 网络管理 7.1.1 网络管理的基本概念 网络管理包含两个任务, 一是对网络的运行状态进行检测, 二是对网络的运行状态进行 控制。 计算机网络管理涉及网络中的各种资源,可分为两大类:硬件资源和软件资源。硬件资 源是指物理介质、计算机设备和网络互连设备。软件资源主要包括操作系统、应用软件和通 信软件。 网络管理的目标是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全 性和经济性的要求。 7.1.2 网络管理的功能 国际标准化组织 (ISO) 在 ISO/IEC7498-4 文档中定义了网络管理的五大功能: 配置管理、 故障管理、计费管理、性能管理和安全管理。 配置管理是最基本的网络管理功能, 负责网络的建立、 业务的展开以及配置数据的维护。 配置管理功能包括资源清单管理、资源开通以及业务开通。 故障管理的主要任务时发现和排除网络故障。 故障管理用于保证网络资源无障碍、 无错 误的运营,包括障碍管理、故障恢复和预防保障。网络故障管理包括检测故障、隔离故障和 纠正故障 3 个方面。 计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。 性能管理的目的是维护网络服务质量和网络运营效率。 性能管理包括性能监测、 性能分 析以及性能管理控制功能。 还提供性能数据库的维护以及发现性能严重下降时启动故障管理 系统的功能。 安全管理采用信息安全措施保护网络中的系统、 数据以及业务。 安全管理包括风险分析 功能、安全服务功能、告警功能、日志功能和报告功能以及网络管理系统保护功能等。 7.1.3 网络管理模型 网络管理中的基本模型是网络管理者-网管代理模型。核心是管理进程与一个远程系统 相互作用来实现对远程资源的控制。信息交换可以分为两种:从管理者到代理的管理操作、 从代理到管理者的事件通知。 集中式网络管理模式是所有的网管代理在管理站的监视和控制下协同工作而实现集成 的网络管理。 分布式网络管理将信息管理和智能判断分散到网络各处。 7.1.4 网络管理协议 SNMP 协议(简单网络管理协议)的体系结构由 SNMP 管理者和 SNMP 代理者两部分组 成, 代理随时记录网络设备的各种信息。 网络管理程序再通过 SNMP 通信协议收集代理所记 录的信息。从被管理设备中收集数据有两种方法:轮询方法和基于中断的方法。将以上两种 方法结合的陷入制导轮询方法可能是执行网络管理最有效的方法。 ISO 指定的公共管理信息协议(CMIP)主要针对 OSI 模型的传输环境设计的。管理联系 的建立、释放和撤销是通过联系控制协议(ACP)实现的。操作和实践报告是通过远程操作 协议(ROP)实现的。
1
7.2 信息安全技术概述 7.2.1 信息安全的概念 信息安全要实现的目标有:真实性、保密性、完整性、可用性、不可抵赖性、可控制性、可 审查性。 7.2.2 信息安全策略 ① 先进的信息安全技术是网络安全的根本保证。 ② 严格的安全管理。 ③ 制定严格的法律法规。 7.2.3 信息安全性等级 ① 第一级为自主保护级 ② 第二级为指导保护级 ③ 第三级为监督保护级 ④ 第四级为强制保护级 ⑤ 第五级为专控保护级 7.3 网络安全问题与安全策略 7.3.1 网络安全的基本概念 网络安全是指网络系统的部件、程序、数据的安全性,它通过网络信息的存储、传输和 使用过程体现。 确保网络系统的信息安全是网络安全的目标,对网络系统而言,主要包括两个方面:信 息的存储安全和信息的传输安全。需要防止出现以下状况:①对网络上信息的监听 ②对用 户身份的假冒 ③对网络上信息的篡改 ④对发出的信息予以否认 ⑤对信息进行重放 一个完整的网络信息安全系统至少包括三类措施: ①社会的法律政策、 企业的规章制度 及网络安全教育 ②技术方面的措施 ③审计与管理措施 7.3.2 OSI 安全框架 国际电信联盟推荐方案 X.800,即 OSI 安全框架。OSI 框架主要关注三部分:安全攻击、 安全机制和安全服务。 安全攻击分两类:被动攻击(又分信息内容泄露攻击和流量分析两种)和主动攻击。主 动攻击包括对数据流进行篡改或伪造数据流,可分为 4 类:伪装、重放、消息篡改和分布式 拒绝服务。从网络高层的角度划分,攻击方法可以概括为两大类:服务供给与非服务攻击。 安全机制:用来保护系统免受侦听、组织安全攻击及恢复系统的机制成为安全机制。这 些安全机制可以分为两大类: 一类是在特定的协议层实现的, 另一类不属于任何的协议层或 安全服务。 7.3.3 网络安全模型 任何用来保证安全的方法都包含两个方面: 对发送信息的相关安全变换; 双方共享某些秘密 消息。 7.4 加密技术 7.4.1 密码学基本术语 原始的消息成为明文,加密后的消息成为密文,聪明文到密文的变换过程称为加密,从 密文到明文的变换过程称为解密。密码编码学和密码分析学统称为密码学。 1. 密码编码学 密码学系统具有以下三个独立的特征: ①转换明文为密文的运算类型 ②所用的密钥数 ③处
理明文的方法 2. 密码分析学 攻击密码体质一般由两种方法:密码分析学和穷举攻击。攻击类型有:唯密文攻击、已知明 文攻击、选择明文攻击、选择密文攻击、选择文本攻击。 3. 无条件安全与计算上的安全 4. 代换与置换技术 代换法是将明文字母替换成其他字母、数字或符号的方法。最典型的 Ceasar 密码的实现方 式为:对于明文中的每一个字母,用字母表示 k 个字母后的字母来代替。 7.4.2 对称密码 对称加密方案有 5 个基本成分:明文、加密算法、密钥、密文、解密算法。 使用最广泛的加密体质是数据加密标准(DES) 。DES 采用了 64 位的分组长度和 56 位的密钥 长度,将 64 位的输入进行一些列变换得到 64 位的输出。 7.4.3 公钥密码 RSA 算法:密文 c m mod n
3
未来几年将广泛使用的两种技术:PGP(相当好的私密性)和 S/MIME(安全/通用 Internet 邮件扩充) PGP 利用了 4 中类型的密钥:一次性会话的常规密钥、公开密钥、私有密钥和基于口令短语 的常规密钥。 7.6.2 网络层安全——IPSec IP 安全协议(通常称为 IPSec)是在网络层提供安全的一层协议。在 IPSec 协议族中,有两 个主要的协议:身份认证头(AH)协议和封装安全负载(ESP)协议。 7.6.3 Web 安全 根据威胁的位置,Web 安全威胁可分为:Web 服务器安全威胁、Web 浏览器安全威胁以及 浏览器与服务器之间的网络通信量安全威胁。 7.7 入侵检测技术与防火墙 7.7.1 入侵者 两大最广泛的安全性威胁之一是入侵者, 入侵者通常指的是黑客和解密高手, 入侵者大致可 分为 3 类:假冒者、非法者、秘密用户。 7.7.2 入侵检测技术 入侵检测技术可分为以下两种:统计异常检测、基于规则的检测。 入侵检测的一个基础工具是审计记录。一般采用两种方法记录:原有的审计记录、专门用于 检测的审计记录。 统计异常检测技术分成两大个类别:阈值检测和基于轮廓的检测。 7.7.3 防火墙的特性 防火墙用来控制访问和执行站点安全策略的 4 种常用技术: 服务控制、 方向控制、 用户控制、 行为控制。 7.7.4 防火墙的分类 3 中最常用的防火墙:包过滤路由器、应用及网关和电路及网关。 7.8 计算机病毒问题与防护 7.8.1 计算机病毒 计算机病毒的完整工作过程包括以下 4 个环节: 潜伏阶段、 繁殖阶段、 触发阶段、 执行阶段。 重要病毒有如下分类方法:寄身病毒、存储器主流病毒、引导区病毒、隐形病毒、多态病毒。 几种比较常见的病毒:宏病毒、电子邮件病毒、特洛伊木马、计算机蠕虫。 7.8.2 计算机病毒防治的策略 通常的防治方法是能够完成以下工作:检测、标识、清除。
e
解密:明文 m c mod n
d
7.4.4 密钥管理 密钥分发中心(KDC)是一个独立的可信网络实体,是一个服务器,它同每个注册用户共享 不同的密钥对称密钥。 认证中心(CA)验证一个公共密钥是否属于一个特殊实体(一个人活着一个网络实体) 。认 证中心(CA)负责将公共密钥和特定实体进行绑定,它的工作是证明身份的真实性和发放 证书。 7.5 认证技术 7.5.1 消息认证 信息认证就是使指定的接收者能够检验收到的消息是否真实的方法,又称为完整性校验。 信息完整性认证方法的基本途径有两条: 采用消息认证码 (MAC) 和采用篡改检测码 (MDC) 。 7.5.2 数字签名 签名的需求: ① 签名必须是依赖于要签名报文的比特模式 ② 签名必须使用对发送者来说是唯一的信息,以防伪造和抵赖 ③ 数字签名的产生必须相对简单 ④ 数字签名的识别和正式必须相对简单 ⑤ 伪造数字签名具有很高的计算复杂性 ⑥ 保留一个数字签名的备份在存储上是现实可行的。 7.5.3 身份认证 身份认证又称为身份识别,他是通信和数据系统中正确识别通信用户或终端身份的重要途 径。 7.5.4 常用的身份认证协议 目前以设计出了许多满足条件的认证协议,主要有这几类:一次一密机制、X.509 认证协议、 Kerberos 认证协议 7.6 安全技术应用 加密技术应用于网络安全通常有两种形式:面向网络的服务和面向应用的服务。 7.6.1 安全电子邮件
4
Fra Baidu bibliotek
全国计算机等级考试——三级网络技术 知识点巩固 第 7 章 网络管理与网络安全
7.1 网络管理 7.1.1 网络管理的基本概念 网络管理包含两个任务, 一是对网络的运行状态进行检测, 二是对网络的运行状态进行 控制。 计算机网络管理涉及网络中的各种资源,可分为两大类:硬件资源和软件资源。硬件资 源是指物理介质、计算机设备和网络互连设备。软件资源主要包括操作系统、应用软件和通 信软件。 网络管理的目标是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全 性和经济性的要求。 7.1.2 网络管理的功能 国际标准化组织 (ISO) 在 ISO/IEC7498-4 文档中定义了网络管理的五大功能: 配置管理、 故障管理、计费管理、性能管理和安全管理。 配置管理是最基本的网络管理功能, 负责网络的建立、 业务的展开以及配置数据的维护。 配置管理功能包括资源清单管理、资源开通以及业务开通。 故障管理的主要任务时发现和排除网络故障。 故障管理用于保证网络资源无障碍、 无错 误的运营,包括障碍管理、故障恢复和预防保障。网络故障管理包括检测故障、隔离故障和 纠正故障 3 个方面。 计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。 性能管理的目的是维护网络服务质量和网络运营效率。 性能管理包括性能监测、 性能分 析以及性能管理控制功能。 还提供性能数据库的维护以及发现性能严重下降时启动故障管理 系统的功能。 安全管理采用信息安全措施保护网络中的系统、 数据以及业务。 安全管理包括风险分析 功能、安全服务功能、告警功能、日志功能和报告功能以及网络管理系统保护功能等。 7.1.3 网络管理模型 网络管理中的基本模型是网络管理者-网管代理模型。核心是管理进程与一个远程系统 相互作用来实现对远程资源的控制。信息交换可以分为两种:从管理者到代理的管理操作、 从代理到管理者的事件通知。 集中式网络管理模式是所有的网管代理在管理站的监视和控制下协同工作而实现集成 的网络管理。 分布式网络管理将信息管理和智能判断分散到网络各处。 7.1.4 网络管理协议 SNMP 协议(简单网络管理协议)的体系结构由 SNMP 管理者和 SNMP 代理者两部分组 成, 代理随时记录网络设备的各种信息。 网络管理程序再通过 SNMP 通信协议收集代理所记 录的信息。从被管理设备中收集数据有两种方法:轮询方法和基于中断的方法。将以上两种 方法结合的陷入制导轮询方法可能是执行网络管理最有效的方法。 ISO 指定的公共管理信息协议(CMIP)主要针对 OSI 模型的传输环境设计的。管理联系 的建立、释放和撤销是通过联系控制协议(ACP)实现的。操作和实践报告是通过远程操作 协议(ROP)实现的。
1
7.2 信息安全技术概述 7.2.1 信息安全的概念 信息安全要实现的目标有:真实性、保密性、完整性、可用性、不可抵赖性、可控制性、可 审查性。 7.2.2 信息安全策略 ① 先进的信息安全技术是网络安全的根本保证。 ② 严格的安全管理。 ③ 制定严格的法律法规。 7.2.3 信息安全性等级 ① 第一级为自主保护级 ② 第二级为指导保护级 ③ 第三级为监督保护级 ④ 第四级为强制保护级 ⑤ 第五级为专控保护级 7.3 网络安全问题与安全策略 7.3.1 网络安全的基本概念 网络安全是指网络系统的部件、程序、数据的安全性,它通过网络信息的存储、传输和 使用过程体现。 确保网络系统的信息安全是网络安全的目标,对网络系统而言,主要包括两个方面:信 息的存储安全和信息的传输安全。需要防止出现以下状况:①对网络上信息的监听 ②对用 户身份的假冒 ③对网络上信息的篡改 ④对发出的信息予以否认 ⑤对信息进行重放 一个完整的网络信息安全系统至少包括三类措施: ①社会的法律政策、 企业的规章制度 及网络安全教育 ②技术方面的措施 ③审计与管理措施 7.3.2 OSI 安全框架 国际电信联盟推荐方案 X.800,即 OSI 安全框架。OSI 框架主要关注三部分:安全攻击、 安全机制和安全服务。 安全攻击分两类:被动攻击(又分信息内容泄露攻击和流量分析两种)和主动攻击。主 动攻击包括对数据流进行篡改或伪造数据流,可分为 4 类:伪装、重放、消息篡改和分布式 拒绝服务。从网络高层的角度划分,攻击方法可以概括为两大类:服务供给与非服务攻击。 安全机制:用来保护系统免受侦听、组织安全攻击及恢复系统的机制成为安全机制。这 些安全机制可以分为两大类: 一类是在特定的协议层实现的, 另一类不属于任何的协议层或 安全服务。 7.3.3 网络安全模型 任何用来保证安全的方法都包含两个方面: 对发送信息的相关安全变换; 双方共享某些秘密 消息。 7.4 加密技术 7.4.1 密码学基本术语 原始的消息成为明文,加密后的消息成为密文,聪明文到密文的变换过程称为加密,从 密文到明文的变换过程称为解密。密码编码学和密码分析学统称为密码学。 1. 密码编码学 密码学系统具有以下三个独立的特征: ①转换明文为密文的运算类型 ②所用的密钥数 ③处