點(diǎn)擊查看：2015年計(jì)算機(jī)等級(jí)考試三級(jí)網(wǎng)絡(luò)技術(shù)章節(jié)詳解匯總

　　第七章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

　　本單元概覽

　　一、網(wǎng)絡(luò)管理。

　　二、信息安全技術(shù)概述。

　　三、網(wǎng)絡(luò)安全問題與安全策略。

　　四、加密技術(shù)。

　　五、認(rèn)證技術(shù)。

　　六、安全技術(shù)應(yīng)用。

　　七、入侵檢測(cè)與防火墻技術(shù)。

　　八、計(jì)算機(jī)病毒問題與防護(hù)。

　　一、網(wǎng)絡(luò)管理

　　1、網(wǎng)絡(luò)管理的基本概念

　　網(wǎng)絡(luò)管理的定義：對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)和控制，包括兩個(gè)任務(wù)：對(duì)運(yùn)行狀態(tài)監(jiān)測(cè)和運(yùn)行狀態(tài)控制。

　　網(wǎng)絡(luò)管理對(duì)象：硬件資源和軟件資源。

　　管理目標(biāo)：網(wǎng)絡(luò)應(yīng)是有效的、可靠的、開放性、綜合性，一定安全行、經(jīng)濟(jì)性地提供服務(wù)。

　　2、網(wǎng)絡(luò)管理功能

　　配置管理(基本管理)：包括資源清單管理、資源開通以及業(yè)務(wù)開通等

　　故障管理：發(fā)現(xiàn)和排除故障，包括檢測(cè)故障、隔離故障、糾正故障。

　　計(jì)費(fèi)管理：主要功能有：計(jì)算網(wǎng)絡(luò)建設(shè)及運(yùn)營成本、統(tǒng)計(jì)網(wǎng)絡(luò)包含資源的利用率、聯(lián)機(jī)收集計(jì)費(fèi)數(shù)據(jù)、計(jì)算用戶應(yīng)支付的網(wǎng)絡(luò)服務(wù)費(fèi)用、賬單管理。

　　性能管理：維護(hù)網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)運(yùn)營效率。包括：性能檢測(cè)、性能分析、性能管理控制。

　　安全管理：保護(hù)網(wǎng)絡(luò)中的系統(tǒng)、數(shù)據(jù)以及業(yè)務(wù)

　　3、網(wǎng)絡(luò)管理模型

　　網(wǎng)絡(luò)管理的基本模型：核心是一對(duì)相互通信的系統(tǒng)管理實(shí)體，是采用一種獨(dú)特的方式使兩個(gè)進(jìn)程之間相互作用，即管理進(jìn)程與一個(gè)遠(yuǎn)程系統(tǒng)相互作用來實(shí)現(xiàn)對(duì)遠(yuǎn)程資源的控制。此種方式管理進(jìn)程擔(dān)當(dāng)管理者角色，而另一個(gè)系統(tǒng)中的對(duì)等實(shí)體擔(dān)當(dāng)代理者角色，前者為網(wǎng)絡(luò)管理者，后者為網(wǎng)管代理。

　　網(wǎng)絡(luò)管理模式：分為集中式和分布式管理模式。集中式是所有的網(wǎng)管代理在管理站的監(jiān)視和控制下協(xié)同工作而實(shí)現(xiàn)集成的網(wǎng)絡(luò)管理;分布式管理將數(shù)據(jù)采集、監(jiān)視以及管理分散開來，可以從網(wǎng)絡(luò)上的所有數(shù)據(jù)源采集數(shù)據(jù)而不必考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。具體實(shí)現(xiàn)是將信息管理和智能判斷分散到網(wǎng)絡(luò)各處，使管理變得更加自動(dòng)。

　　管理者和代理者之間的信息交換可分為：從管理者到代理者的管理操作，從代理者到管理者的事件通知。

　　4、網(wǎng)絡(luò)管理協(xié)議(高層協(xié)議，位于應(yīng)用層) www.Examda.CoM

　　主要協(xié)議有SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)【UDP協(xié)議】和CMIP(公共管理信息協(xié)議)。

　　SNMP：有兩部分組成，SNMP管理者和SNMP代理者。網(wǎng)絡(luò)管理者通過SNMP協(xié)議收集代理所記錄的信息。收集方法有：輪詢和基于中斷的方法。

　　所謂輪詢：代理軟件不斷收集統(tǒng)計(jì)數(shù)據(jù)，并把數(shù)據(jù)記錄到一個(gè)管理信息庫(MIB)中，網(wǎng)管通過代理的MIB發(fā)出查詢信號(hào)得到這些信息。這種方法的缺點(diǎn)在于信息的實(shí)時(shí)性差。而基于中斷的方法可立即通知網(wǎng)絡(luò)管理工作站，實(shí)時(shí)性強(qiáng)。

　　CMIP：公共管理協(xié)議主要針對(duì)OSI模型的傳輸環(huán)境設(shè)立的。管理進(jìn)程事先對(duì)事件分類，根據(jù)事件發(fā)生時(shí)對(duì)網(wǎng)絡(luò)服務(wù)影響的大小來劃分事件的嚴(yán)重等級(jí)，再產(chǎn)生相應(yīng)故障處理方案。CMIP的所有功能都要映射到應(yīng)用層的相關(guān)協(xié)議上實(shí)現(xiàn)。管理聯(lián)系的建立、釋放和撤銷是通過聯(lián)系控制協(xié)議(ACP)實(shí)現(xiàn)的。操作和事件報(bào)告時(shí)通過遠(yuǎn)程操作協(xié)議(ROP)實(shí)現(xiàn)的。

　　二、信息安全技術(shù)概述

　　1、安全信息的概念

　　信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)連續(xù)、可靠、正常運(yùn)行，信息服務(wù)不中斷。

　　主要有以下目標(biāo)：

　　真實(shí)性：鑒別偽造來源的信息。

　　保密性：信息不被竊聽。

　　完整性：數(shù)據(jù)的一致性防止數(shù)據(jù)非法篡改。

　　可用性：合法用戶的合法使用不被拒絕。

　　不可抵賴性：建立責(zé)任機(jī)制，防止用戶否認(rèn)其行為。

　　可控制性：信息傳播及內(nèi)容具有控制能力。

　　可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

　　2、信息安全策略

　　主要從三個(gè)方面體現(xiàn)：先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證，嚴(yán)格的安全管理，嚴(yán)格的法律、法規(guī)。

　　3、信息安全性等級(jí)

　　美國國防部可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則(TCSEC):又稱為橘皮書,將網(wǎng)絡(luò)安全性等級(jí)劃分為A、B、C、D共4類,其中A類安全等級(jí)最高，D類安全等級(jí)最低。【C2級(jí)軟件：UNIX,NETWARE,XENIX,Windows NT等】

　　我國的信息安全系統(tǒng)安全保護(hù)分為5個(gè)等級(jí)：

　　自主保護(hù)級(jí)：會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，造成一定影響。

　　指導(dǎo)保護(hù)級(jí)：會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，造成一定傷害。

　　監(jiān)督保護(hù)級(jí)：會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，造成較大傷害

　　強(qiáng)制保護(hù)級(jí)：會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，造成嚴(yán)重傷害

　　�？乇Ｗo(hù)級(jí)：會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息核心子系統(tǒng)，造成特別嚴(yán)重傷害

　　三、網(wǎng)絡(luò)安全問題與安全策略

　　1、網(wǎng)絡(luò)安全的概念

　　網(wǎng)絡(luò)安全是指系統(tǒng)部件、程序、數(shù)據(jù)的安全性，通過網(wǎng)絡(luò)信息存儲(chǔ)、傳輸、和使用過程體現(xiàn)。也就是保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或設(shè)備，使其避免受非授權(quán)使用或訪問。內(nèi)容包括：保護(hù)信息和資源、保護(hù)客戶機(jī)和用戶、保證私有性。

　　安全的目的：

　　對(duì)網(wǎng)絡(luò)系統(tǒng)而言主要有信息的存儲(chǔ)安全和信息的傳輸安全。

　　信息的存儲(chǔ)安全通過設(shè)置訪問權(quán)限、身份識(shí)別、局部隔離等措施來保證

　　傳輸安全則需要預(yù)防：網(wǎng)上信息的監(jiān)聽、用戶身份的假冒、網(wǎng)絡(luò)信息的篡改、對(duì)發(fā)出信息的否認(rèn)、對(duì)信息進(jìn)行重放(對(duì)信息不破譯，直接把信息再次向服務(wù)器發(fā)送)。

　　安全措施：

　　社會(huì)法律政策、企業(yè)規(guī)章以及網(wǎng)絡(luò)安全教育;技術(shù)方面措施(如防火墻技術(shù)、防病毒、信息加密等);審計(jì)與管理措施，包括技術(shù)與社會(huì)措施(如實(shí)時(shí)監(jiān)控、漏洞檢查等)

　　2、OSI安全框架

　　OSI安全框架關(guān)注三個(gè)方面：安全攻擊、安全機(jī)制和安全服務(wù)。

　　(1)安全攻擊

　　被動(dòng)攻擊：特性是對(duì)傳輸進(jìn)行竊聽和監(jiān)測(cè)，攻擊的目標(biāo)是獲得傳輸信息。被動(dòng)攻擊不涉及信息更改，比較難檢測(cè)。例如信息內(nèi)容泄露、流量分析。所以重點(diǎn)是預(yù)防。

　　主動(dòng)攻擊：對(duì)數(shù)據(jù)流進(jìn)行篡改或偽造數(shù)據(jù)流，分為偽裝、重放、消息篡改、分布式拒絕服務(wù)。與被動(dòng)攻擊相反，可以預(yù)防，難于檢測(cè)，所以重點(diǎn)是檢測(cè)。

　　從網(wǎng)絡(luò)高層分：服務(wù)攻擊和非服務(wù)攻擊：服務(wù)攻擊是針對(duì)某種特定網(wǎng)絡(luò)的攻擊，如E-MAIL、ftp等;非服務(wù)攻擊不針對(duì)具體應(yīng)用服務(wù)，是基于網(wǎng)絡(luò)層等底層協(xié)議進(jìn)行的。如源路由攻擊和地址欺騙等。非服務(wù)攻擊相對(duì)服務(wù)攻擊而言，往往利用協(xié)議或操作系統(tǒng)漏洞達(dá)到攻擊的目的，更為隱蔽。

　　(2)安全機(jī)制：用來保護(hù)系統(tǒng)免受偵聽、組織安全攻擊及回復(fù)系統(tǒng)機(jī)制。分為兩類：特定協(xié)議層實(shí)現(xiàn)的和不屬于任何的協(xié)議層或安全服務(wù)。X.800區(qū)分加密機(jī)制為可逆和不可逆�？赡婕用軝C(jī)制是一種簡單的加密算法，是數(shù)據(jù)可以加密和解密。不可逆加密機(jī)制包括Hash算法、消息認(rèn)證碼，用于數(shù)字千米和消息認(rèn)證應(yīng)用。

　　(3)安全服務(wù)

　　指加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸安全性的一種服務(wù)，目的在于利用一種或多種安全機(jī)制阻止安全攻擊。X.800將其定義為通信開放系統(tǒng)協(xié)議層提供的服務(wù)，保證數(shù)據(jù)傳輸有足夠的安全性。

　　3、網(wǎng)絡(luò)安全模型

　　通信一方通過Internet將消息傳送給另一方，通信雙方必須協(xié)調(diào)工作共同完成消息的交換。可以通過定義Internet上源到宿的路由以及通信的主體共同使用的通信協(xié)議(如TCP/IP)來建立邏輯信息通道。

　　任何保護(hù)信息安全的方法都包含2個(gè)方面：

　　對(duì)發(fā)送信息的相關(guān)安全變換。如消息加密。

　　雙方共享某些秘密消息，并希望這些消息不為攻擊者所知。如加密密鑰。

　　為實(shí)現(xiàn)安全傳輸，必須有可信的第三方。例如第三方負(fù)責(zé)將秘密信息分配給通信雙方，而對(duì)攻擊者保密;或者當(dāng)通信雙方關(guān)于信息傳輸?shù)恼鎸?shí)性發(fā)生爭執(zhí)時(shí)，由第三方來仲裁。

　　安全服務(wù)主要包含4個(gè)方面：安全傳輸、信息保密、分配和共享秘密信息、通信協(xié)議。

　　由程序引起的威脅有2種：信息訪問威脅和服務(wù)威脅

　　四、加密技術(shù)

　　1、密碼學(xué)基本術(shù)語

　　明文：原始消息;密文：加密后的消息;加密：從明文到密文的變換過程;解密：從密文到明文的變換過程;密碼編碼學(xué)：研究各種加密方案的學(xué)科;密碼體制或密碼：加密方案;密碼分析學(xué)：研究破譯密碼獲得消息的學(xué)科;密碼學(xué)：密碼編碼學(xué)和密碼分析學(xué)的統(tǒng)稱。

　　(1)密碼編碼學(xué)特征

　　轉(zhuǎn)換明文為密文的運(yùn)算類型：所有加密算法都給予兩個(gè)原理代換和置換。

　　所用密鑰數(shù)：發(fā)送方和接收方使用相同密鑰，為對(duì)稱密碼、單鑰密碼或傳統(tǒng)密碼;如果雙方使用不同密鑰，稱為非對(duì)稱密碼、雙鑰密碼或公鑰密碼。

　　處理明文的方法：加密算法分為分組密碼和流密碼。分組密碼每次處理一個(gè)輸入分組，相應(yīng)輸出一個(gè)輸出分組;流密碼則連續(xù)地處理輸入元素，每次輸出一個(gè)元素。

　　(2) 密碼分析學(xué)

　　攻擊密碼體制一般有兩種方法：密碼分析攻擊和窮舉攻擊。

　　密碼分析學(xué)的攻擊主要依賴于算法的性質(zhì)和明文的一般特征或某些明密文對(duì)。由此推導(dǎo)出密鑰

　　窮舉攻擊：攻擊者對(duì)一條密文嘗試所有可能的密鑰。

　　基于加密信息的攻擊類型有：唯密文攻擊，已知明文攻擊，選擇密文攻擊，選擇明文攻擊，選擇文本攻擊。

　　一般說來，加密算法起碼要經(jīng)受得住明文攻擊。

　　(3)無條件安全與計(jì)算上的安全

　　無論有多少可使用的密文，都不足以唯一地確定由該體制產(chǎn)生密文所對(duì)應(yīng)的明文，也就是說，無論花多少時(shí)間，攻擊者都無法將密文解密。除一次一密外，所有加密算法都不是無條件安全的，加密算法的使用者應(yīng)盡量滿足以下標(biāo)準(zhǔn)：破譯密碼的代價(jià)超出密文信息的代價(jià);破譯密碼的時(shí)間超出密文信息的有效生命期。

　　(4)代換與置換技術(shù)

　　對(duì)稱加密用到的兩種技巧。

　　代換法：將明文字母替換成其他字母、數(shù)字或符號(hào)的方法。

　　置換法：通過置換而形成新的隊(duì)列。

　　2、對(duì)稱密碼

　　(1)對(duì)稱密碼模型

　　5個(gè)基本成分：

　　明文：作為算法的輸入

　　加密算法：對(duì)明文進(jìn)行各種代換和置換

　　密鑰：加密算法的輸入，不同于明文

　　密文：算法的輸出

　　解密算法：加密算法的逆。

　　籠統(tǒng)說，加密算法根據(jù)輸入的信息X和密鑰K生成密文Y。

　　(2)數(shù)據(jù)加密標(biāo)準(zhǔn)

　　廣泛使用的加密體制是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),采用64位的分組長度和56位密鑰長度。

　　(3)其他對(duì)稱加密算法：三重DES、高級(jí)加密標(biāo)準(zhǔn)AES、Blowfish算法、RC5算法。

　　3、公鑰密碼

　　是基于數(shù)學(xué)函數(shù)的算法而非基于置換和代換技術(shù)。是非對(duì)稱的，使用兩個(gè)獨(dú)立的密鑰。

　　(1)公鑰密碼體制

　　公鑰算法依賴于一個(gè)加密密鑰和一個(gè)與之相關(guān)但不相同的解密密鑰。重要特點(diǎn)是：根據(jù)密碼算法和加密密鑰來確定解密密鑰在計(jì)算上是不可行的。

　　通信各方均可訪問公鑰，而私鑰是通信方在本地產(chǎn)生的，只要系統(tǒng)控制了私鑰，那么他的通信就是安全的，在任何時(shí)刻，系統(tǒng)可以改變其私鑰，并公布相應(yīng)的公鑰代替原來的公鑰。

　　(2)公鑰密碼體制的應(yīng)用

　　應(yīng)用分3種：

　　加密/解密：發(fā)送方用接收方的公鑰對(duì)消息加密。

　　數(shù)字簽名：發(fā)送方用其私鑰對(duì)“消息”簽名。

　　密鑰交換：通信雙方交換會(huì)話密鑰。

　　(3)RSA算法

　　RSA既能用于加密，又能用于數(shù)字簽名的算法。

　　RSA是一種分組密碼，明文和密文均是0至n-1之間的整數(shù)，通常n是1024位二進(jìn)制數(shù)或309位十進(jìn)制數(shù)。

　　明文以分組為單位加密，每個(gè)分組的二進(jìn)制值均小于n。分組的大小必須小于或等于log2n位。

　　選取密鑰的過程：選取兩個(gè)大質(zhì)數(shù)p和q，質(zhì)數(shù)值越大，破解RSA越困難。計(jì)算n=pq和z=(p-1)(q-1)。選擇小于n的數(shù)e，并和z沒有公約數(shù)(e與z互質(zhì))。找到數(shù)d，滿足ed-1被z整除。公鑰數(shù)對(duì)(n，e)，私鑰數(shù)對(duì)(n，d)。公開公鑰。

　　加密過程：密文=明文的e次方再余n。

　　解密過程：明文=密文的d次方再余n。

　　(4)還有其他的常用公鑰加密算法如elgamal體制(采用離散對(duì)數(shù)的公鑰體質(zhì))，背包公鑰(速度快易解密)。

　　4、密鑰管理

　　(1)密鑰的分發(fā)

　　對(duì)稱密碼學(xué)的缺點(diǎn)是通信雙方事先對(duì)密鑰達(dá)成一致。一般通過密鑰分發(fā)中心(KDC)，KDC是一個(gè)獨(dú)立的可信網(wǎng)絡(luò)實(shí)體，是一個(gè)服務(wù)器。每個(gè)用戶可通過秘密密鑰同KDC通信。

　　如果A和B都是KDC的用戶，A與B通信，A通過秘密密鑰與KDC通信得到R,B也得到R;則A和B可通過R通信。

　　(2)密鑰的認(rèn)證

　　認(rèn)證中心(CA)驗(yàn)證一個(gè)公共密鑰是否屬于一個(gè)特殊的實(shí)體。認(rèn)證中心負(fù)責(zé)將公共密鑰和特定實(shí)體進(jìn)行綁定，CA的工作就是證明身份和發(fā)放證書。

　　五、認(rèn)證技術(shù);消息認(rèn)證、數(shù)字簽名、身份認(rèn)證。

　　1、消息認(rèn)證(驗(yàn)證消息是否來自發(fā)送方并未經(jīng)修改)

　　(1)消息認(rèn)證的概念：

　　接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法，又稱消息完整性校驗(yàn)。

　　認(rèn)證的內(nèi)容包括：消息的信源信宿、內(nèi)容是否篡改，消息的序號(hào)和時(shí)間是否正確等。

　　認(rèn)證只在通信雙方之間進(jìn)行，不允許第三者進(jìn)行上述認(rèn)證。

　　(2)消息認(rèn)證的方法：

　　消息來源認(rèn)證：A、通信雙方事先約定發(fā)送消息的數(shù)據(jù)加密密鑰，接收者只要證實(shí)發(fā)送來的消息是否能用該密鑰還原成明文就能鑒定發(fā)送者。B、事先約定各自發(fā)送消息所使用的通行字，發(fā)送者消息中含有加密的通行字，接收者驗(yàn)證是否含有通行字即可，通行字是可變的。

　　認(rèn)證信息的完整性：基本途徑有兩條：采用消息認(rèn)證碼和采用篡改檢測(cè)碼。

　　認(rèn)證消息的序號(hào)和時(shí)間：目的是阻止消息的重放攻擊，常用的方法是流水作業(yè)號(hào)、隨機(jī)數(shù)認(rèn)證法和時(shí)間戳等。

　　(3)消息認(rèn)證模式

　　單向認(rèn)證：單向通信，接收者驗(yàn)證發(fā)送者的身份和消息的完整性

　　雙向認(rèn)證：雙向通信，接收者驗(yàn)證發(fā)送者的身份和消息的完整性，同時(shí)發(fā)送者確認(rèn)接收者是真實(shí)的。

　　(4)認(rèn)證函數(shù):分為3類：

　　信息加密函數(shù)MEF：用完整信息的密文作為對(duì)信息的認(rèn)證。

　　信息認(rèn)證碼MAC：是對(duì)信源消息的一個(gè)編碼函數(shù)。消息認(rèn)證碼的安全性取決于兩點(diǎn)：采用的加密算法;待加密數(shù)據(jù)塊的生成方法。

　　散列函數(shù)HASH Function：將任意長的信息映射成一個(gè)固定長度的信息。

　　2、數(shù)字簽名(通信雙方真實(shí)性檢驗(yàn))

　　(1)數(shù)字簽名的需求：消息認(rèn)證來保護(hù)通信雙方免受第三方的攻擊，但無法防止通信雙方的相互攻擊。解決方案是是數(shù)字簽名，是筆跡簽名的模擬。具有如下性質(zhì)：

　　能證實(shí)作者簽名和簽名的日期和時(shí)間、簽名時(shí)必須能對(duì)內(nèi)容進(jìn)行鑒別、必須能被第三方證實(shí)以解決爭端。

　　基于公鑰密碼體制、私鑰密碼體制、公證系統(tǒng)都可以獲得數(shù)字簽名。常用的公鑰數(shù)字簽名算法包括：RSA算法和數(shù)字簽名標(biāo)準(zhǔn)算法(DSS)。

　　(2)數(shù)字簽名的創(chuàng)建

　　數(shù)字簽名是一個(gè)加密的消息摘要，附加在消息后面。步驟是：甲創(chuàng)建公鑰/私鑰對(duì);將公鑰發(fā)送給乙;消息作為單項(xiàng)散列函數(shù)輸入，散列函數(shù)的輸出為消息摘要;甲用私鑰加密消息摘要，得到數(shù)字簽名。

　　數(shù)字簽名的驗(yàn)證：發(fā)送的數(shù)據(jù)是消息與數(shù)字簽名的組合。乙將計(jì)算出來的消息摘要與甲解密后的消息相匹配，則證明消息的完整性并驗(yàn)證了消息的發(fā)送者是甲。

　　3、身份認(rèn)證(用戶身份是否合法)

　　又稱身份識(shí)別。是通信和數(shù)據(jù)系統(tǒng)中正確識(shí)別通信用戶或終端身份的重要途徑。

　　常用的方法有：口令認(rèn)證、持證認(rèn)證和生物識(shí)別。

　　口令認(rèn)證：口令由數(shù)字、字母組成的字符串，有時(shí)也有特殊字符、控制字符等。

　　持證認(rèn)證：一種個(gè)人持有物，類似鑰匙。

　　生物識(shí)別：依據(jù)人類自身所固有的生理或行為特征，包括指紋識(shí)別、掌紋識(shí)別等

　　常用的身份認(rèn)證協(xié)議有：

　　一次一密制：每次根據(jù)信息產(chǎn)生口令。

　　X.509認(rèn)證協(xié)議：利用公鑰密碼技術(shù)對(duì)X.500(對(duì)分布式網(wǎng)絡(luò)中存儲(chǔ)用戶信息的數(shù)據(jù)庫所提供的目錄檢索服務(wù)的協(xié)議標(biāo)準(zhǔn))的服務(wù)所提供的認(rèn)證服務(wù)的協(xié)議標(biāo)準(zhǔn)。

　　Kerberos認(rèn)證協(xié)議：基于對(duì)稱密鑰體制，與網(wǎng)絡(luò)上的每個(gè)實(shí)體共享一個(gè)不同的密鑰，通過是否知道密鑰驗(yàn)證身份。

　　六、安全技術(shù)應(yīng)用

　　1、安全電子郵件

　　加密技術(shù)用在網(wǎng)絡(luò)安全方面通常有兩種形式：面向網(wǎng)絡(luò)的服務(wù)和面向應(yīng)用的服務(wù)。

　　(1)PGP(面向個(gè)人、團(tuán)體)

　　安全電子郵件加密方案。由5種服務(wù)組成：鑒別、機(jī)密性、壓縮、電子郵件的兼容性和分段。PGP有4種類型的密鑰：一次性會(huì)話的常規(guī)密鑰、公開密鑰、私有密鑰和基于口令短語的常規(guī)密鑰。

　　(2)S/MIME(面向商業(yè)組織)

　　基于RSA數(shù)據(jù)安全技術(shù)的Internet電子郵件格式標(biāo)準(zhǔn)的安全擴(kuò)充。功能有：(1)加密的數(shù)據(jù)：由加密內(nèi)容和加密密鑰組成。(2)簽名的數(shù)據(jù)：使用簽名者的私鑰對(duì)摘要進(jìn)行加密形成數(shù)字簽名。(3)透明簽名的數(shù)據(jù)：簽名的數(shù)據(jù)形成了內(nèi)容的數(shù)字簽名。(4)簽名并加密的數(shù)據(jù)：加密的數(shù)據(jù)可被簽名、簽名或透明的數(shù)據(jù)可加密。

　　2、網(wǎng)絡(luò)層安全---IPSEC

　　IP安全協(xié)議(稱為IPSEC)是在網(wǎng)絡(luò)層提供安全的一組協(xié)議，專門用于Ipv6，但也可用于Ipv4。主要有兩個(gè)主要協(xié)議：身份認(rèn)證頭(AH)協(xié)議和封裝安全負(fù)載(ESP)協(xié)議。

　　AH協(xié)議提供源身份認(rèn)證和數(shù)據(jù)完整性，但沒有提供秘密性;而ESP協(xié)議提供了數(shù)據(jù)完整性、身份認(rèn)證和秘密性。

　　源主機(jī)在向目的主機(jī)發(fā)送安全數(shù)據(jù)報(bào)之前，源主機(jī)和網(wǎng)絡(luò)主機(jī)進(jìn)行握手并建立網(wǎng)絡(luò)層邏輯連接，該邏輯通道稱為安全協(xié)定(SA)。SA定義的邏輯連接是單工的;如果要雙向傳輸，需要建立兩個(gè)邏輯連接。

　　IP數(shù)據(jù)報(bào)格式：IP頭+ AH頭+TCP或UDP數(shù)據(jù)段以及IP頭+ ESP頭+TCP或UDP數(shù)據(jù)段+ESP尾+ESP身份認(rèn)證。

　　3、WEB安全

　　Web面臨的威脅：Web服務(wù)器安全威脅、Web瀏覽器安全威脅、瀏覽器與服務(wù)器之間的網(wǎng)絡(luò)通信量安全威脅。

　　Web流量安全性方法

　　網(wǎng)絡(luò)級(jí)：使用IPSec，使用IP安全性。

　　傳輸級(jí)：使用安全套接層，在TCP上實(shí)現(xiàn)安全性。

　　應(yīng)用級(jí)：如安全的電子交易(SET)，與應(yīng)用相關(guān)的安全服務(wù)被嵌入到特定的應(yīng)用程序中。

　　七、入侵檢測(cè)技術(shù)與防火墻

　　1、入侵檢測(cè)技術(shù)

　　入侵者分為3類：假冒者(外部人員，未經(jīng)授權(quán)使用計(jì)算機(jī)資源的人)、非法者(內(nèi)部人員，越權(quán)訪問的人)、秘密用戶(奪取超級(jí)控制并利用控制逃避審計(jì)或抑制審計(jì)的人)

　　入侵檢測(cè)技術(shù)分為兩種：

　　統(tǒng)計(jì)異常檢測(cè)：收集一段時(shí)間的合法用戶的行為，然后統(tǒng)計(jì)測(cè)試觀測(cè)其行為，判斷是否違法。從閾值檢測(cè)和基于輪廓兩個(gè)方面。

　　基于規(guī)則檢測(cè)：包括異常檢測(cè)和滲透規(guī)則兩個(gè)方面。

　　2、防火墻特性

　　防火墻設(shè)計(jì)目標(biāo)：所有由外道內(nèi)或由內(nèi)到外必須經(jīng)過防火墻，只有被授權(quán)的通信才能通過防火墻。

　　用來控制訪問和執(zhí)行站點(diǎn)安全策略的4種常用技術(shù)：

　　服務(wù)控制(確定可以訪問的Internet服務(wù)類型)、方向控制(決定哪些特定方向上服務(wù)請(qǐng)求可以被發(fā)起并通過防火墻)、用戶控制(根據(jù)哪個(gè)用戶嘗試訪問服務(wù)來控制對(duì)一個(gè)服務(wù)的訪問)和行為控制(控制怎樣使用特定的服務(wù))。

　　防火墻的功能：

　　防火墻定義了單個(gè)阻塞點(diǎn)，將未授權(quán)的用戶隔離在被保護(hù)的網(wǎng)絡(luò)之外。不能放撥號(hào)上網(wǎng)。

　　提供了安全與監(jiān)視有關(guān)事件的場所

　　是一些與安全無關(guān)的Internet功能的方便平臺(tái)

　　可用作IPSEC(網(wǎng)絡(luò)層安全)平臺(tái)。

　　3、防火墻的分類

　　常用的防火墻有包過濾路由器、應(yīng)用級(jí)網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)。

　　包過濾路由器：根據(jù)一套規(guī)則對(duì)收到的IP數(shù)據(jù)報(bào)進(jìn)行處理，決定轉(zhuǎn)發(fā)還是丟棄。

　　應(yīng)用級(jí)網(wǎng)關(guān)：也稱代理服務(wù)器，在應(yīng)用級(jí)的通信中扮演著一個(gè)消息傳遞者的角色。

　　電路級(jí)網(wǎng)關(guān)：是一個(gè)獨(dú)立系統(tǒng)，或說它是某項(xiàng)具體功能，也可由應(yīng)用級(jí)網(wǎng)關(guān)在某個(gè)應(yīng)用中執(zhí)行，但不允許建立一個(gè)端到端的直接TCP連接，由網(wǎng)關(guān)建立兩個(gè)鏈接，一個(gè)是網(wǎng)關(guān)到網(wǎng)內(nèi)的TCP用戶，一個(gè)是網(wǎng)關(guān)到外部TCP用戶，網(wǎng)關(guān)僅是一個(gè)中繼作用。

　　堡壘主機(jī)：作為應(yīng)用級(jí)網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)的服務(wù)平臺(tái)。

　　八、計(jì)算機(jī)病毒與防護(hù)

　　1、計(jì)算機(jī)病毒

　　計(jì)算機(jī)病毒是一段可執(zhí)行代碼，是一個(gè)程序。它不獨(dú)立存在，隱藏在其他可執(zhí)行程序中，具有破壞性、傳染性和潛伏性。

　　(1)病毒的生命周期：

　　潛伏階段：病毒處于休眠狀態(tài)，最終要通過某個(gè)事件來激活。

　　繁殖階段：將與自身相同的副本放入其他程序或磁盤的特定區(qū)域中。

　　觸發(fā)階段：病毒被激活來進(jìn)行它要實(shí)現(xiàn)的功能。

　　執(zhí)行階段：功能被實(shí)現(xiàn)。

　　2、病毒的種類

　　寄生病毒：將自己附加到可執(zhí)行文件中，當(dāng)被感染的程序執(zhí)行時(shí)，通過感染其他可執(zhí)行文件來重復(fù)。

　　存儲(chǔ)器駐留病毒：寄宿在主存中，作為駐留程序的一部分。

　　引導(dǎo)區(qū)病毒：感染主引導(dǎo)記錄或引導(dǎo)記錄，從包含病毒的磁盤啟動(dòng)時(shí)進(jìn)行傳播。

　　隱形病毒：明確地設(shè)計(jì)成能夠在反病毒軟件檢測(cè)時(shí)隱藏自己。

　　多態(tài)病毒：每次感染時(shí)會(huì)改變自己。

　　3、計(jì)算機(jī)病毒的防治策略

　　檢測(cè)：一旦發(fā)生了感染，確定它的發(fā)生并且定位病毒

　　標(biāo)識(shí)：識(shí)別感染程序的特定病毒

　　清除：一旦識(shí)別了病毒，清除病毒，將程序恢復(fù)到原來的狀態(tài)。

　　4、幾種常見病毒：宏病毒;電子郵件病毒;特洛伊木馬(偽裝成工具或游戲，獲取密碼，本質(zhì)上不算病毒);計(jì)算機(jī)蠕蟲(通過分布式網(wǎng)絡(luò)擴(kuò)散傳播特定信息)。

　　5、反病毒軟件分4代：

　　簡單的掃描程序;啟發(fā)式的掃描程序;行為陷阱;全方位的保護(hù)。

　　相關(guān)推薦：

　　各地2015年計(jì)算機(jī)等級(jí)考試報(bào)名時(shí)間匯總

　　各地2015年上半年計(jì)算機(jī)等級(jí)考試費(fèi)用匯總

　　考試吧特別策劃：2015年計(jì)算機(jī)等級(jí)考試報(bào)考指南