點擊查看：2015年計算機等級考試三級網絡技術章節詳解匯總

　　第七章 網絡管理與網絡安全

　　本單元概覽

　　一、網絡管理。

　　二、信息安全技術概述。

　　三、網絡安全問題與安全策略。

　　四、加密技術。

　　五、認證技術。

　　六、安全技術應用。

　　七、入侵檢測與防火墻技術。

　　八、計算機病毒問題與防護。

　　一、網絡管理

　　1、網絡管理的基本概念

　　網絡管理的定義：對網絡運行狀態進行監測和控制，包括兩個任務：對運行狀態監測和運行狀態控制。

　　網絡管理對象：硬件資源和軟件資源。

　　管理目標：網絡應是有效的、可靠的、開放性、綜合性，一定安全行、經濟性地提供服務。

　　2、網絡管理功能

　　配置管理(基本管理)：包括資源清單管理、資源開通以及業務開通等

　　故障管理：發現和排除故障，包括檢測故障、隔離故障、糾正故障。

　　計費管理：主要功能有：計算網絡建設及運營成本、統計網絡包含資源的利用率、聯機收集計費數據、計算用戶應支付的網絡服務費用、賬單管理。

　　性能管理：維護網絡網絡服務質量和網絡運營效率。包括：性能檢測、性能分析、性能管理控制。

　　安全管理：保護網絡中的系統、數據以及業務

　　3、網絡管理模型

　　網絡管理的基本模型：核心是一對相互通信的系統管理實體，是采用一種獨特的方式使兩個進程之間相互作用，即管理進程與一個遠程系統相互作用來實現對遠程資源的控制。此種方式管理進程擔當管理者角色，而另一個系統中的對等實體擔當代理者角色，前者為網絡管理者，后者為網管代理。

　　網絡管理模式：分為集中式和分布式管理模式。集中式是所有的網管代理在管理站的監視和控制下協同工作而實現集成的網絡管理;分布式管理將數據采集、監視以及管理分散開來，可以從網絡上的所有數據源采集數據而不必考慮網絡的拓撲結構。具體實現是將信息管理和智能判斷分散到網絡各處，使管理變得更加自動。

　　管理者和代理者之間的信息交換可分為：從管理者到代理者的管理操作，從代理者到管理者的事件通知。

　　4、網絡管理協議(高層協議，位于應用層) www.Examda.CoM

　　主要協議有SNMP(簡單網絡管理協議)【UDP協議】和CMIP(公共管理信息協議)。

　　SNMP：有兩部分組成，SNMP管理者和SNMP代理者。網絡管理者通過SNMP協議收集代理所記錄的信息。收集方法有：輪詢和基于中斷的方法。

　　所謂輪詢：代理軟件不斷收集統計數據，并把數據記錄到一個管理信息庫(MIB)中，網管通過代理的MIB發出查詢信號得到這些信息。這種方法的缺點在于信息的實時性差。而基于中斷的方法可立即通知網絡管理工作站，實時性強。

　　CMIP：公共管理協議主要針對OSI模型的傳輸環境設立的。管理進程事先對事件分類，根據事件發生時對網絡服務影響的大小來劃分事件的嚴重等級，再產生相應故障處理方案。CMIP的所有功能都要映射到應用層的相關協議上實現。管理聯系的建立、釋放和撤銷是通過聯系控制協議(ACP)實現的。操作和事件報告時通過遠程操作協議(ROP)實現的。

　　二、信息安全技術概述

　　1、安全信息的概念

　　信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不因偶然的或惡意的原因而遭到破壞、更改、泄漏，系統連續、可靠、正常運行，信息服務不中斷。

　　主要有以下目標：

　　真實性：鑒別偽造來源的信息。

　　保密性：信息不被竊聽。

　　完整性：數據的一致性防止數據非法篡改。

　　可用性：合法用戶的合法使用不被拒絕。

　　不可抵賴性：建立責任機制，防止用戶否認其行為。

　　可控制性：信息傳播及內容具有控制能力。

　　可審查性：對出現的網絡安全問題提供調查的依據和手段。

　　2、信息安全策略

　　主要從三個方面體現：先進的信息安全技術是網絡安全的根本保證，嚴格的安全管理，嚴格的法律、法規。

　　3、信息安全性等級

　　美國國防部可信任計算機標準評估準則(TCSEC):又稱為橘皮書,將網絡安全性等級劃分為A、B、C、D共4類,其中A類安全等級最高，D類安全等級最低�！綜2級軟件：UNIX,NETWARE,XENIX,Windows NT等】

　　我國的信息安全系統安全保護分為5個等級：

　　自主保護級：會對國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統，造成一定影響。

　　指導保護級：會對國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統，造成一定傷害。

　　監督保護級：會對國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統，造成較大傷害

　　強制保護級：會對國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統，造成嚴重傷害

　　�？乇Ｗo級：會對國家安全、社會秩序、經濟建設和公共利益的一般信息和信息核心子系統，造成特別嚴重傷害

　　三、網絡安全問題與安全策略

　　1、網絡安全的概念

　　網絡安全是指系統部件、程序、數據的安全性，通過網絡信息存儲、傳輸、和使用過程體現。也就是保護網絡程序、數據或設備，使其避免受非授權使用或訪問。內容包括：保護信息和資源、保護客戶機和用戶、保證私有性。

　　安全的目的：

　　對網絡系統而言主要有信息的存儲安全和信息的傳輸安全。

　　信息的存儲安全通過設置訪問權限、身份識別、局部隔離等措施來保證

　　傳輸安全則需要預防：網上信息的監聽、用戶身份的假冒、網絡信息的篡改、對發出信息的否認、對信息進行重放(對信息不破譯，直接把信息再次向服務器發送)。

　　安全措施：

　　社會法律政策、企業規章以及網絡安全教育;技術方面措施(如防火墻技術、防病毒、信息加密等);審計與管理措施，包括技術與社會措施(如實時監控、漏洞檢查等)

　　2、OSI安全框架

　　OSI安全框架關注三個方面：安全攻擊、安全機制和安全服務。

　　(1)安全攻擊

　　被動攻擊：特性是對傳輸進行竊聽和監測，攻擊的目標是獲得傳輸信息。被動攻擊不涉及信息更改，比較難檢測。例如信息內容泄露、流量分析。所以重點是預防。

　　主動攻擊：對數據流進行篡改或偽造數據流，分為偽裝、重放、消息篡改、分布式拒絕服務。與被動攻擊相反，可以預防，難于檢測，所以重點是檢測。

　　從網絡高層分：服務攻擊和非服務攻擊：服務攻擊是針對某種特定網絡的攻擊，如E-MAIL、ftp等;非服務攻擊不針對具體應用服務，是基于網絡層等底層協議進行的。如源路由攻擊和地址欺騙等。非服務攻擊相對服務攻擊而言，往往利用協議或操作系統漏洞達到攻擊的目的，更為隱蔽。

　　(2)安全機制：用來保護系統免受偵聽、組織安全攻擊及回復系統機制。分為兩類：特定協議層實現的和不屬于任何的協議層或安全服務。X.800區分加密機制為可逆和不可逆�？赡婕用軝C制是一種簡單的加密算法，是數據可以加密和解密。不可逆加密機制包括Hash算法、消息認證碼，用于數字千米和消息認證應用。

　　(3)安全服務

　　指加強數據處理系統和信息傳輸安全性的一種服務，目的在于利用一種或多種安全機制阻止安全攻擊。X.800將其定義為通信開放系統協議層提供的服務，保證數據傳輸有足夠的安全性。

　　3、網絡安全模型

　　通信一方通過Internet將消息傳送給另一方，通信雙方必須協調工作共同完成消息的交換。可以通過定義Internet上源到宿的路由以及通信的主體共同使用的通信協議(如TCP/IP)來建立邏輯信息通道。

　　任何保護信息安全的方法都包含2個方面：

　　對發送信息的相關安全變換。如消息加密。

　　雙方共享某些秘密消息，并希望這些消息不為攻擊者所知。如加密密鑰。

　　為實現安全傳輸，必須有可信的第三方。例如第三方負責將秘密信息分配給通信雙方，而對攻擊者保密;或者當通信雙方關于信息傳輸的真實性發生爭執時，由第三方來仲裁。

　　安全服務主要包含4個方面：安全傳輸、信息保密、分配和共享秘密信息、通信協議。

　　由程序引起的威脅有2種：信息訪問威脅和服務威脅

　　四、加密技術

　　1、密碼學基本術語

　　明文：原始消息;密文：加密后的消息;加密：從明文到密文的變換過程;解密：從密文到明文的變換過程;密碼編碼學：研究各種加密方案的學科;密碼體制或密碼：加密方案;密碼分析學：研究破譯密碼獲得消息的學科;密碼學：密碼編碼學和密碼分析學的統稱。

　　(1)密碼編碼學特征

　　轉換明文為密文的運算類型：所有加密算法都給予兩個原理代換和置換。

　　所用密鑰數：發送方和接收方使用相同密鑰，為對稱密碼、單鑰密碼或傳統密碼;如果雙方使用不同密鑰，稱為非對稱密碼、雙鑰密碼或公鑰密碼。

　　處理明文的方法：加密算法分為分組密碼和流密碼。分組密碼每次處理一個輸入分組，相應輸出一個輸出分組;流密碼則連續地處理輸入元素，每次輸出一個元素。

　　(2) 密碼分析學

　　攻擊密碼體制一般有兩種方法：密碼分析攻擊和窮舉攻擊。

　　密碼分析學的攻擊主要依賴于算法的性質和明文的一般特征或某些明密文對。由此推導出密鑰

　　窮舉攻擊：攻擊者對一條密文嘗試所有可能的密鑰。

　　基于加密信息的攻擊類型有：唯密文攻擊，已知明文攻擊，選擇密文攻擊，選擇明文攻擊，選擇文本攻擊。

　　一般說來，加密算法起碼要經受得住明文攻擊。

　　(3)無條件安全與計算上的安全

　　無論有多少可使用的密文，都不足以唯一地確定由該體制產生密文所對應的明文，也就是說，無論花多少時間，攻擊者都無法將密文解密。除一次一密外，所有加密算法都不是無條件安全的，加密算法的使用者應盡量滿足以下標準：破譯密碼的代價超出密文信息的代價;破譯密碼的時間超出密文信息的有效生命期。

　　(4)代換與置換技術

　　對稱加密用到的兩種技巧。

　　代換法：將明文字母替換成其他字母、數字或符號的方法。

　　置換法：通過置換而形成新的隊列。

　　2、對稱密碼

　　(1)對稱密碼模型

　　5個基本成分：

　　明文：作為算法的輸入

　　加密算法：對明文進行各種代換和置換

　　密鑰：加密算法的輸入，不同于明文

　　密文：算法的輸出

　　解密算法：加密算法的逆。

　　籠統說，加密算法根據輸入的信息X和密鑰K生成密文Y。

　　(2)數據加密標準

　　廣泛使用的加密體制是數據加密標準(DES),采用64位的分組長度和56位密鑰長度。

　　(3)其他對稱加密算法：三重DES、高級加密標準AES、Blowfish算法、RC5算法。

　　3、公鑰密碼

　　是基于數學函數的算法而非基于置換和代換技術。是非對稱的，使用兩個獨立的密鑰。

　　(1)公鑰密碼體制

　　公鑰算法依賴于一個加密密鑰和一個與之相關但不相同的解密密鑰。重要特點是：根據密碼算法和加密密鑰來確定解密密鑰在計算上是不可行的。

　　通信各方均可訪問公鑰，而私鑰是通信方在本地產生的，只要系統控制了私鑰，那么他的通信就是安全的，在任何時刻，系統可以改變其私鑰，并公布相應的公鑰代替原來的公鑰。

　　(2)公鑰密碼體制的應用

　　應用分3種：

　　加密/解密：發送方用接收方的公鑰對消息加密。

　　數字簽名：發送方用其私鑰對“消息”簽名。

　　密鑰交換：通信雙方交換會話密鑰。

　　(3)RSA算法

　　RSA既能用于加密，又能用于數字簽名的算法。

　　RSA是一種分組密碼，明文和密文均是0至n-1之間的整數，通常n是1024位二進制數或309位十進制數。

　　明文以分組為單位加密，每個分組的二進制值均小于n。分組的大小必須小于或等于log2n位。

　　選取密鑰的過程：選取兩個大質數p和q，質數值越大，破解RSA越困難。計算n=pq和z=(p-1)(q-1)。選擇小于n的數e，并和z沒有公約數(e與z互質)。找到數d，滿足ed-1被z整除。公鑰數對(n，e)，私鑰數對(n，d)。公開公鑰。

　　加密過程：密文=明文的e次方再余n。

　　解密過程：明文=密文的d次方再余n。

　　(4)還有其他的常用公鑰加密算法如elgamal體制(采用離散對數的公鑰體質)，背包公鑰(速度快易解密)。

　　4、密鑰管理

　　(1)密鑰的分發

　　對稱密碼學的缺點是通信雙方事先對密鑰達成一致。一般通過密鑰分發中心(KDC)，KDC是一個獨立的可信網絡實體，是一個服務器。每個用戶可通過秘密密鑰同KDC通信。

　　如果A和B都是KDC的用戶，A與B通信，A通過秘密密鑰與KDC通信得到R,B也得到R;則A和B可通過R通信。

　　(2)密鑰的認證

　　認證中心(CA)驗證一個公共密鑰是否屬于一個特殊的實體。認證中心負責將公共密鑰和特定實體進行綁定，CA的工作就是證明身份和發放證書。

　　五、認證技術;消息認證、數字簽名、身份認證。

　　1、消息認證(驗證消息是否來自發送方并未經修改)

　　(1)消息認證的概念：

　　接收者能夠檢驗收到的消息是否真實的方法，又稱消息完整性校驗。

　　認證的內容包括：消息的信源信宿、內容是否篡改，消息的序號和時間是否正確等。

　　認證只在通信雙方之間進行，不允許第三者進行上述認證。

　　(2)消息認證的方法：

　　消息來源認證：A、通信雙方事先約定發送消息的數據加密密鑰，接收者只要證實發送來的消息是否能用該密鑰還原成明文就能鑒定發送者。B、事先約定各自發送消息所使用的通行字，發送者消息中含有加密的通行字，接收者驗證是否含有通行字即可，通行字是可變的。

　　認證信息的完整性：基本途徑有兩條：采用消息認證碼和采用篡改檢測碼。

　　認證消息的序號和時間：目的是阻止消息的重放攻擊，常用的方法是流水作業號、隨機數認證法和時間戳等。

　　(3)消息認證模式

　　單向認證：單向通信，接收者驗證發送者的身份和消息的完整性

　　雙向認證：雙向通信，接收者驗證發送者的身份和消息的完整性，同時發送者確認接收者是真實的。

　　(4)認證函數:分為3類：

　　信息加密函數MEF：用完整信息的密文作為對信息的認證。

　　信息認證碼MAC：是對信源消息的一個編碼函數。消息認證碼的安全性取決于兩點：采用的加密算法;待加密數據塊的生成方法。

　　散列函數HASH Function：將任意長的信息映射成一個固定長度的信息。

　　2、數字簽名(通信雙方真實性檢驗)

　　(1)數字簽名的需求：消息認證來保護通信雙方免受第三方的攻擊，但無法防止通信雙方的相互攻擊。解決方案是是數字簽名，是筆跡簽名的模擬。具有如下性質：

　　能證實作者簽名和簽名的日期和時間、簽名時必須能對內容進行鑒別、必須能被第三方證實以解決爭端。

　　基于公鑰密碼體制、私鑰密碼體制、公證系統都可以獲得數字簽名。常用的公鑰數字簽名算法包括：RSA算法和數字簽名標準算法(DSS)。

　　(2)數字簽名的創建

　　數字簽名是一個加密的消息摘要，附加在消息后面。步驟是：甲創建公鑰/私鑰對;將公鑰發送給乙;消息作為單項散列函數輸入，散列函數的輸出為消息摘要;甲用私鑰加密消息摘要，得到數字簽名。

　　數字簽名的驗證：發送的數據是消息與數字簽名的組合。乙將計算出來的消息摘要與甲解密后的消息相匹配，則證明消息的完整性并驗證了消息的發送者是甲。

　　3、身份認證(用戶身份是否合法)

　　又稱身份識別。是通信和數據系統中正確識別通信用戶或終端身份的重要途徑。

　　常用的方法有：口令認證、持證認證和生物識別。

　　口令認證：口令由數字、字母組成的字符串，有時也有特殊字符、控制字符等。

　　持證認證：一種個人持有物，類似鑰匙。

　　生物識別：依據人類自身所固有的生理或行為特征，包括指紋識別、掌紋識別等

　　常用的身份認證協議有：

　　一次一密制：每次根據信息產生口令。

　　X.509認證協議：利用公鑰密碼技術對X.500(對分布式網絡中存儲用戶信息的數據庫所提供的目錄檢索服務的協議標準)的服務所提供的認證服務的協議標準。

　　Kerberos認證協議：基于對稱密鑰體制，與網絡上的每個實體共享一個不同的密鑰，通過是否知道密鑰驗證身份。

　　六、安全技術應用

　　1、安全電子郵件

　　加密技術用在網絡安全方面通常有兩種形式：面向網絡的服務和面向應用的服務。

　　(1)PGP(面向個人、團體)

　　安全電子郵件加密方案。由5種服務組成：鑒別、機密性、壓縮、電子郵件的兼容性和分段。PGP有4種類型的密鑰：一次性會話的常規密鑰、公開密鑰、私有密鑰和基于口令短語的常規密鑰。

　　(2)S/MIME(面向商業組織)

　　基于RSA數據安全技術的Internet電子郵件格式標準的安全擴充。功能有：(1)加密的數據：由加密內容和加密密鑰組成。(2)簽名的數據：使用簽名者的私鑰對摘要進行加密形成數字簽名。(3)透明簽名的數據：簽名的數據形成了內容的數字簽名。(4)簽名并加密的數據：加密的數據可被簽名、簽名或透明的數據可加密。

　　2、網絡層安全---IPSEC

　　IP安全協議(稱為IPSEC)是在網絡層提供安全的一組協議，專門用于Ipv6，但也可用于Ipv4。主要有兩個主要協議：身份認證頭(AH)協議和封裝安全負載(ESP)協議。

　　AH協議提供源身份認證和數據完整性，但沒有提供秘密性;而ESP協議提供了數據完整性、身份認證和秘密性。

　　源主機在向目的主機發送安全數據報之前，源主機和網絡主機進行握手并建立網絡層邏輯連接，該邏輯通道稱為安全協定(SA)。SA定義的邏輯連接是單工的;如果要雙向傳輸，需要建立兩個邏輯連接。

　　IP數據報格式：IP頭+ AH頭+TCP或UDP數據段以及IP頭+ ESP頭+TCP或UDP數據段+ESP尾+ESP身份認證。

　　3、WEB安全

　　Web面臨的威脅：Web服務器安全威脅、Web瀏覽器安全威脅、瀏覽器與服務器之間的網絡通信量安全威脅。

　　Web流量安全性方法

　　網絡級：使用IPSec，使用IP安全性。

　　傳輸級：使用安全套接層，在TCP上實現安全性。

　　應用級：如安全的電子交易(SET)，與應用相關的安全服務被嵌入到特定的應用程序中。

　　七、入侵檢測技術與防火墻

　　1、入侵檢測技術

　　入侵者分為3類：假冒者(外部人員，未經授權使用計算機資源的人)、非法者(內部人員，越權訪問的人)、秘密用戶(奪取超級控制并利用控制逃避審計或抑制審計的人)

　　入侵檢測技術分為兩種：

　　統計異常檢測：收集一段時間的合法用戶的行為，然后統計測試觀測其行為，判斷是否違法。從閾值檢測和基于輪廓兩個方面。

　　基于規則檢測：包括異常檢測和滲透規則兩個方面。

　　2、防火墻特性

　　防火墻設計目標：所有由外道內或由內到外必須經過防火墻，只有被授權的通信才能通過防火墻。

　　用來控制訪問和執行站點安全策略的4種常用技術：

　　服務控制(確定可以訪問的Internet服務類型)、方向控制(決定哪些特定方向上服務請求可以被發起并通過防火墻)、用戶控制(根據哪個用戶嘗試訪問服務來控制對一個服務的訪問)和行為控制(控制怎樣使用特定的服務)。

　　防火墻的功能：

　　防火墻定義了單個阻塞點，將未授權的用戶隔離在被保護的網絡之外。不能放撥號上網。

　　提供了安全與監視有關事件的場所

　　是一些與安全無關的Internet功能的方便平臺

　　可用作IPSEC(網絡層安全)平臺。

　　3、防火墻的分類

　　常用的防火墻有包過濾路由器、應用級網關和電路級網關。

　　包過濾路由器：根據一套規則對收到的IP數據報進行處理，決定轉發還是丟棄。

　　應用級網關：也稱代理服務器，在應用級的通信中扮演著一個消息傳遞者的角色。

　　電路級網關：是一個獨立系統，或說它是某項具體功能，也可由應用級網關在某個應用中執行，但不允許建立一個端到端的直接TCP連接，由網關建立兩個鏈接，一個是網關到網內的TCP用戶，一個是網關到外部TCP用戶，網關僅是一個中繼作用。

　　堡壘主機：作為應用級網關和電路級網關的服務平臺。

　　八、計算機病毒與防護

　　1、計算機病毒

　　計算機病毒是一段可執行代碼，是一個程序。它不獨立存在，隱藏在其他可執行程序中，具有破壞性、傳染性和潛伏性。

　　(1)病毒的生命周期：

　　潛伏階段：病毒處于休眠狀態，最終要通過某個事件來激活。

　　繁殖階段：將與自身相同的副本放入其他程序或磁盤的特定區域中。

　　觸發階段：病毒被激活來進行它要實現的功能。

　　執行階段：功能被實現。

　　2、病毒的種類

　　寄生病毒：將自己附加到可執行文件中，當被感染的程序執行時，通過感染其他可執行文件來重復。

　　存儲器駐留病毒：寄宿在主存中，作為駐留程序的一部分。

　　引導區病毒：感染主引導記錄或引導記錄，從包含病毒的磁盤啟動時進行傳播。

　　隱形病毒：明確地設計成能夠在反病毒軟件檢測時隱藏自己。

　　多態病毒：每次感染時會改變自己。

　　3、計算機病毒的防治策略

　　檢測：一旦發生了感染，確定它的發生并且定位病毒

　　標識：識別感染程序的特定病毒

　　清除：一旦識別了病毒，清除病毒，將程序恢復到原來的狀態。

　　4、幾種常見病毒：宏病毒;電子郵件病毒;特洛伊木馬(偽裝成工具或游戲，獲取密碼，本質上不算病毒);計算機蠕蟲(通過分布式網絡擴散傳播特定信息)。

　　5、反病毒軟件分4代：

　　簡單的掃描程序;啟發式的掃描程序;行為陷阱;全方位的保護。

　　相關推薦：

　　各地2015年計算機等級考試報名時間匯總

　　各地2015年上半年計算機等級考試費用匯總

　　考試吧特別策劃：2015年計算機等級考試報考指南