【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《网络安全知识要点(可做小抄)》,欢迎阅读!
1.信息:静态,数据库中的数据、磁盘中的文档、程序;动态,数据包
2.威胁网络安全的因素:1)人为的无意失误,2)人为的恶意攻击,3)网络软件的漏洞和后门
3.网络体系结构:为进行网络中的信息交换而建立的共同规则、标准和约定,称为网络协议,全部网络协议以层次化的结构形式构成的集合,称为网络体系结构
4.网络安全需求:保密性、完整性、可用性、可控性、真实性
5.TCP/IP体系结构对应OSI结构:1)应用层:FTP、Telent 、SMT、 SNMT 2)传送层:TCP 、UDP 3)互联网层:路由协议、IP、ICMP ARP RARP 6.攻击种类:拒绝服务攻击,利用型攻击(木马、口令),信息收集(端口扫描),假消息攻击(域名服务器DNS,邮件传输协议SMTP)
7.远程攻击步骤:1)准备攻击,确定攻击目的,收集信息;2)实施攻击:获得权限,配合本地漏洞将权限扩大,常常扩至系统管理员权限;3)善后工作:修改日志,留后门等隐藏踪迹
8.常用服务端口号:Web服务 80;FTP服务 21;Telent 23,;
9.密码体制分为:对称密码(单钥),DES为代表和不对称密码(双钥),RSA为代表 10.DES安全性分析:密钥的使用56bit密钥;采用16次迭代;S盒设计,是DES加密系统的保证。
DES改进:采用3DES加密;具有独立子密钥的DES;更换S盒的DES
11.RSA特点:居于大素数因数分解难,保密性强度高;密钥分配及管理简便;数字签名易实现
局限性:产生密钥麻烦;分组长度太大;解密运算复杂且速度缓慢
12.网络病毒:狭义,局限在网络内,破坏对象是网络,不包括单击病毒;广义,在网上传播,无论破坏的事网络还是计算机。来源:文件下载,FTP;电子邮件
13.网络病毒的特点:1)技术门槛低,易生成新病毒;2)蠕虫病毒和木马病毒式最大威胁;3)越来越快的传播速度;4)越来越短的攻击时间差;5)不断创新的自我防御技术;6)令人眼花紊乱的庞大变种;7)乱件齐发的垃圾邮件;8)有洞就钻;9)混合式攻击 14.病毒分类:宏病毒,木马病毒,蠕虫病毒,网页脚本病毒,及时通信病毒
15.防火墙:由软件和硬件设备组合而成,处于企业或网络群体计算机与外界通道之前,限制外界用户对内部网络访问,管理内部用户访问外界网络的权限
16.防火墙安全策略:没有被允许就是禁止,没有被禁止就是允许。主要内容:用户账号策略,用户权限策略,信任关系策略,包过滤策略,认证、签名和数据加密策略,密钥分配策略,审计策略。
17.防火墙分类:包过滤和应用代理
18.包过滤:根据分组包头源地址,目的地址和端口号、协议类型等标志确定允许数据包的通过,不能通过的数据包则从数据流中丢弃。
19.包过滤作用在网络层和传输层,包分为包头和数据部分;包过滤体系结构包括:双重宿主主机体系结构、主机过滤体系结构、子网过滤体系结构
应用代理作用在应用层
20.包过滤防火墙优点:1)仅用在重要位置上就可保护整个网络;2)不需要用户软件的支持,不要求对客户机做特别设置;3)包过滤工作对用户是透明的。
包过滤缺点:1)在机器中配置包过滤规则比较苦难;2)对系统中的规则的配置进行测试麻烦;3)寻找比较完整的包过滤产品困难。因此过滤客户就不能用包过滤。
21.应用代理:通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
22.代理服务有两个主要部件:代理服务器和代理客户。
23.代理服务器优点:允许用户“直接”访问互联网,适合进行日志记录。
缺点:代理服务落后于非代理服务;每个代理服务要求不同的服务器;要求对客户或程序进行修改;对某些服务不适合;不能保护用户不受协议本身缺点的限制
24.双重宿主主机体系结构:围绕具有双重宿主的主体计算机而构成,该计算机至少有两个网络 接口,充当路由器,能从一个网向另一个网发送数据包。
25.主机过滤体系结构:提供安全保护的主机仅与内部网络连接,还有单独的一台过滤路由器。
26.子网过滤体系结构:添加了额外的安全层到主机过滤体系结构中,即添加参数网络把内部网络与互联网隔离开。有两个路由器(内、外)和参数网络、堡垒主机构成。内部路由器不能保护参数网络上的系统免受伪数据包的侵扰。
27.安全扫描技术:主机安全扫描技术和网络安全扫描技术。端口扫描和漏洞扫描是核心技术。
28.入侵检测:对入侵行为的发觉,通过对网络或系统中关键点收集信息,并对其分析是否有违反安全策略和被攻击的痕迹。入侵检测的软件和硬件组合便是入侵检测系统。 29.入侵检测步骤:信息收集、数据分析、响应(被动、主动) 30.入侵检测系统采用技术:特征检测和异常检测
31.入侵检测系统的分类:基于网络的入侵检测;基于主机的入侵检测
32.虚拟专用网(VPN):利用公共网络等的一部分来发送专用信息,形成逻辑上的专用网络。 33.密钥管理:处理密钥产生到最终销毁的整个过程。 34.密钥等级:初级密钥,二级密钥,主密钥。
35.初级密钥:用以加解密数据的密钥,用于通信保密的称初级通信密钥(Kc),用于会话保密的称为初级会话密钥(Ks),用于文件保密的称为初级文件密钥(Kf),初级密钥生成周期很短,受更高一级密钥保护。采用伪随机序列产生。 36.主密钥:密钥管理中最高级密钥(Km),对二级密钥和初级密钥进行保护,由专职人员随机产生,周期很长。应采用真随机序列产生,如热噪声技术。 37.密钥分配:主密钥由人工分配,二级和初级由计算机网络。
38.密钥存储条件:安全可靠的存储介质;安全严密的访问控制机制。主密钥必须用明文保存。
39.密钥更新时,初级文件更新罪麻烦,主密钥应减少更新次数;密钥销毁时,不要立即销毁,应保留一段时间后销毁。
40.报文认证:两个通信者之前建立联系后,每个通信者对收到的信息进行验证,以保证收到的信息是真实的过程。
41.报文源的认证:通过双方共享密钥和通行字来实现。
42.身份认证:一方面是识别,另一方面是验证
43.口令生成方法:口令拥有者自己选择口令;机器自动生成随机的口令。
44.口令的管理问题:1)口令在系统中的保存,口令一旦加密,不会以任何明文形式出现; 2)口令测传送问题;3)口令交换。
45.灵巧卡与普通磁条卡的区别在于:带有智能化的微处理器与存储器。
46.人类的特征:生物特征和下意识动作留下的特征。
47.完善的数字签名满足:1)签名者不能抵赖自己的签名;2)任何其人不能伪造签名;3)当事人双方关于签名的真伪发生争执,能够在公正的仲裁者面前验证签名的真伪。、 48.数字签名包括:施加签名和验证签名,标准签名叫DSS。
49.避免对RSA签名攻击的方法:1)不要直接对数据签名,应对数据的HASH值签名;2)采用先签名后加密的数字签名方案。
50.盲签名特点:1)签名者不知道所签署的数据内容;2)签名被泄露后,签名者不能追踪签名。
51.双联签名:采用单向HASH函数和数字签名技术相结合。
52.数字证书:用于确认计算机网络上的个人或组织的身份和相应权限
53.认证中心:可信任的、负责发布和管理数字证书的权威机构,处在最高层的事根认证中心,
54.访问控制功能:用户身份认真;授权;审计。
55.授权:用户分为特殊用户、一般用户、审计用户、作废用户
56.访问控制的层次:入网访问控制;权限控制;目录级安全控制;属性安全控制,服务器安全控制。
57.访问控制的要素:主体(人,主动),客体(要访问的信息,被动),控制策略 58.控制策略:主体对客体的操作行为集合约束条件集,简称KS 59.访问控制策略的实施原则:最小特权,最小泄露。多级安全策略 60.访问控制的实现方式:基于身份安全的策略;基于规则的安全策略
61.访问控制分为:自主访问控制(DAC),强制访问控制(MAC),基于角色的访问控制(RBAC)
62.自主访问控制:1)实现方式:基于行的自主访问控制,行是主体上加明细表;基于列的自主访问控制,列式客体上附加。访问控制表是实现自主访问控制系统的最好方法。2)类型:等机型,树形结构,如老大可以分配给信任的小弟做各级领导;有主型,只有拥有者才有修改访问权利;自由型,可以授权给任何主体。3)文件设置访问模式:读和复制,写和删除,运行,无效
63.基于角色的访问控制:按照用户所承担的角色的不同而给予不同的操作集。
64.角色访问控制特点:1)可操作性和可管理性强得多;2)既是用户的集合,也是授权的集合,具有继承性;3)更加机动灵活
本文来源:https://www.wddqxz.cn/f9497ca0b0717fd5360cdcbc.html
2022-05-15
