(*长期更新)软考网络工程师学习笔记——Section 10 网络安全
目錄
- 一、安全等級測評和自查
- 二、網(wǎng)絡(luò)安全威脅
- (一)常見的安全攻擊類型
- (二)惡意代碼的命名規(guī)則
- 三、安全算法
- (一)加密和解密
- (二)公鑰和私鑰
- (三)對稱加密算法
- (四)非對稱加密算法
- (五)報文摘要算法
- 四、數(shù)字簽名與數(shù)字證書
- (一)數(shù)字簽名
- (二)數(shù)字證書
- 五、VPN(虛擬專用網(wǎng)絡(luò))
- (一)VPN隧道技術(shù)
- (二)IPSec VPN應(yīng)用場景
- 1、站點對站點
- 2、端對端
- 3、端對站點
- (三)IPSec的工作模式
- (三)MPLS(多協(xié)議標記交換)
- 六、網(wǎng)絡(luò)隔離技術(shù)
一、安全等級測評和自查
第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評和自查,第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評和自查,第五級信息系統(tǒng)則依據(jù)特殊安全需求進行等級測評和自查。
| 第三級 | 每年至少一次 |
| 第四級 | 每半年至少一次 |
| 第五級 | 依據(jù)特殊安全需求 |
二、網(wǎng)絡(luò)安全威脅
(一)常見的安全攻擊類型
1、計算機病毒:是一種附著在其他程序上、能自我繁殖、有一定破壞能力的程序代碼,復制后的程序仍具有感染和破壞的功能;
2、蠕蟲:是一段可以借助程序自行傳播的程序或代碼;
3、木馬:是利用計算機程序漏洞侵入后竊取信息的程序,常偽裝成無危害的程序;
4、僵尸網(wǎng)絡(luò):是指一種或多種傳播手段使大量主機感染bot程序,從而在控制者和被感染者之間形成一個可以一對多的控制網(wǎng)絡(luò);
5、拒絕服務(wù)(DOS):是利用大量合法的請求占用大量網(wǎng)絡(luò)資源,從而達到癱瘓網(wǎng)絡(luò)的目的;
分布式拒絕服務(wù)攻擊(DDOS):是指很多DOS攻擊源一起攻擊某臺服務(wù)器從而形成DDOS;
6、SQL注入:是把SQL命令插入到Web表單、域名輸入欄或頁面請求的查詢字符串中,最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令;
7、跨站攻擊:惡意攻擊者往Web頁面里插入惡意HTML代碼,當用戶瀏覽該頁面時,嵌入到Web中的HTML代碼會被執(zhí)行,從而達到目的。
(二)惡意代碼的命名規(guī)則
惡意代碼的一般命名格式:惡意代碼前綴.惡意代碼名稱.惡意代碼后綴,如下表:
| Boot | 引導區(qū)病毒 | 通過感染磁盤引導扇區(qū)進行傳播 |
| DOSCom | DOS病毒 | 通過DOS操作系統(tǒng)進行復制和傳播 |
| Worm | 蠕蟲病毒 | 通過網(wǎng)絡(luò)或漏洞進行自主傳播,通過郵件或即時通訊工具發(fā)送帶毒文件 |
| Trojan | 木馬 | 通過偽裝成有用的程序誘騙用戶主動激活 |
| Backdoor | 后門 | 通過網(wǎng)絡(luò)或系統(tǒng)漏洞入侵計算機并隱藏,從而控制者遠程控制用戶計算機 |
| Win32、PE、Win95、W32、W95 | 文件型病毒或系統(tǒng)病毒 | 感染可執(zhí)行文件(.exe、.com、.dll),若與其他前綴連用,則表示病毒的運行平臺 |
| Macro | 宏病毒 | 宏語言編寫,感染辦公軟件,通過宏自我復制 |
| Script、VPS、JS | 腳本病毒 | 使用腳本語言編寫,通過網(wǎng)頁傳播、感染、破壞或調(diào)用特殊指令下載并運行病毒、木馬文件 |
| Harm | 惡意程序 | 直接對被攻擊主機進行破壞 |
| Joke | 惡作劇 | 只會給用戶帶來恐慌和麻煩 |
三、安全算法
(一)加密和解密
加密:明文通過加密算法變成密文的方法,明文X通過加密算法E,使用密鑰K1變成密文Y。
解密:密文通過解密算法還原成明文的方法,密文Y通過解密算法D,使用密鑰K2還原成明文X。
(二)公鑰和私鑰
公鑰和私鑰是通過一種算法得到的一個密鑰對(其中一個公鑰和一個私鑰),其中一個向外界公開,稱為公鑰,公鑰用于加密和認證;另一個保留,稱為私鑰,私鑰用于解密和簽名,通過這種算法得到的密鑰對能保證在世界范圍內(nèi)是唯一的。
例如,用戶A發(fā)送給用戶B的數(shù)據(jù)要用到用戶B的公鑰進行加密,加密后的數(shù)據(jù)只能通過用戶B的私鑰才能解密,如下圖:
(三)對稱加密算法
根據(jù)加密和解密密鑰是否相同的原則可分為對稱加密算法和非對稱加密算法。
加密密鑰和解密密鑰相同的算法稱為對稱加密算法,它相對于非對稱加密算法來說其加密效率更高且適合大量數(shù)據(jù)加密,常見的對稱加密算法如下:
1、DES:明文數(shù)據(jù)分為64位一組,密鑰長度為64位(56位密鑰+8位奇偶校驗位),每一個字節(jié)的第8位是奇偶校驗位,所以為8位;
2、3DES:三重DES算法是DES的擴展,它使用3條56位的密鑰對數(shù)據(jù)進行三次加密,即執(zhí)行三次DES算法,相對于DES算法更加安全。其中K1、K2、K3決定該算法的安全性,若數(shù)據(jù)對安全性要求不是很高,可以采用兩個不同的密鑰進行加密,即在第一次和第三次加密使用同一密鑰,而第二次采用另一密鑰,此時密鑰長度為128位(112位密鑰+16位奇偶校驗位);也可以使K1、K2、K3三次加密采用不同的密鑰,這樣密鑰長度為192位(168位密鑰+24位奇偶校驗位);
3、RC4:一種流加密算法,加密和解密雙方使用相同的偽隨機加密數(shù)據(jù)流作為密鑰,明文數(shù)據(jù)每次與密鑰數(shù)據(jù)流順次對應(yīng)加密,從而得到密文數(shù)據(jù)流,它的密鑰長度可變,用于TSL、SSL協(xié)議等等;
4、RC5:一種參數(shù)可變(三個參數(shù):分組大小、密鑰長度、加密輪數(shù))的分組密碼算法;
5、IDEA:明文和密文都為64位,密鑰長度為128位;
6、AES:明文分為128位一組,密鑰長度可變(128、192或256位)。
(四)非對稱加密算法
加密密鑰和解密密鑰不同的算法稱為非對稱加密算法,也稱為公鑰密碼體制,在公鑰密碼體系中,公鑰用于加密和認證,私鑰用于解密和簽名,比如RSA算法是一種非對稱加密算法,該算法基于大素數(shù)(質(zhì)數(shù))分解,適合進行數(shù)字簽名和密鑰交換運算,其中X為明文,Y為密文,RSA的加密和解密過程如下:
(五)報文摘要算法
通過特定算法對明文進行摘要,生成固定長度的密文的方法稱為報文摘要算法,常見的報文摘要算法有安全散列標準SHA-1、MD5系列標準等等。
1、MD5
信息摘要算法5,是將信息分為512bit的分組,創(chuàng)建一個128bit的摘要,即MD5的輸出的摘要位數(shù)為128位。
2、SHA-1
安全Hash算法基于MD5,將信息分為512bit的分組,創(chuàng)建一個160bit的摘要,即SHA-1的輸出的摘要位數(shù)為160位。
四、數(shù)字簽名與數(shù)字證書
(一)數(shù)字簽名
數(shù)字簽名又稱為公鑰數(shù)字簽名,數(shù)字簽名是非對稱密鑰加密算法(技術(shù))與數(shù)字摘要技術(shù)的應(yīng)用,例如用戶A向用戶B發(fā)送數(shù)據(jù),首先A使用摘要算法對發(fā)送的數(shù)據(jù)進行摘要,然后通過使用自己的私鑰對數(shù)據(jù)摘要進行加密,并將加密摘要和原數(shù)據(jù)發(fā)送給用戶B;用戶B接收到后,也是使用與用戶A一樣的摘要算法對原數(shù)據(jù)再次摘要,從而形成新的摘要,然后通過使用用戶A的公鑰對A加密生成的加密摘要進行解密還原成原摘要,對比摘要,若兩個摘要一致則說明數(shù)據(jù)沒有經(jīng)過篡改。
從圖可看出,數(shù)字簽名的特點是:
信息身份認證、信息完整性檢查、信息發(fā)送不可否認性,但它不提供原文信息加密,不能保證接收方能接收到信息,也不對接收方的身份進行驗證,例如用戶A向用戶B發(fā)送數(shù)字簽名的信息X,用戶A不能保證用戶B收到信息X,用戶B不能保證信息X確實來自于用戶A。
(二)數(shù)字證書
數(shù)字證書采用公鑰體制進行加密和解密,每個用戶都有一個私鑰來解密和簽名,同時每個用戶還有一個公鑰來加密和驗證。
例如網(wǎng)站向證書頒發(fā)機構(gòu)(CA)申請了數(shù)字證書,用戶可以通過CA的簽名來驗證網(wǎng)站的真?zhèn)?#xff0c;在用戶與網(wǎng)站進行安全通信時,用戶可以通過證書中的公鑰進行加密和驗證,網(wǎng)站通過網(wǎng)站的私鑰進行解密和簽名。
五、VPN(虛擬專用網(wǎng)絡(luò))
VPN是指在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù),由于是建立在公用網(wǎng)絡(luò)服務(wù)商提供的網(wǎng)絡(luò)平臺,也稱為虛擬網(wǎng)。
實現(xiàn)虛擬專用網(wǎng)絡(luò)的關(guān)鍵技術(shù)主要有隧道技術(shù)、加密/解密技術(shù)、密鑰管理技術(shù)和身份認證技術(shù)。
(一)VPN隧道技術(shù)
由于是在公網(wǎng)上建立虛擬信道,所以要通過VPN隧道技術(shù)實現(xiàn),它建立在鏈路層和網(wǎng)絡(luò)層,它有以下主要的隧道協(xié)議:
1、PPTP
屬于第二層隧道協(xié)議,點到點隧道協(xié)議是一種用于讓遠程用戶撥號連接到本地的ISP(互聯(lián)網(wǎng)服務(wù)提供商),PPTP通過使用傳輸控制協(xié)議(TCP)創(chuàng)建控制通道來發(fā)送控制命令,即利用通用路由封裝(GRE)通道將PPP幀封裝成IP數(shù)據(jù)包,以便在基于IP的互聯(lián)網(wǎng)上進行傳輸。
2、L2TP
屬于第二層隧道協(xié)議,L2TP是PPTP和L2F(第二層轉(zhuǎn)發(fā))的綜合,L2TP的封裝格式為PPP幀封裝L2TP報頭,再封裝UDP報頭,最后再封裝IP頭,格式如下:
L2TP協(xié)議與PPTP協(xié)議功能類似:
| 使用隧道數(shù)目 | 單一隧道 | 多隧道 |
| 包頭壓縮、隧道驗證 | 支持 | 不支持 |
3、IPSec(Internet 協(xié)議安全性)協(xié)議簇
屬于第三層隧道協(xié)議,是通過對IP協(xié)議的分組進行加密和認證來保護IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議簇,即一個協(xié)議體系,它工作在網(wǎng)絡(luò)層,由建立安全分組流的密鑰交換協(xié)議(IKE(Internet密鑰交換)協(xié)議)和保護分組流的協(xié)議(AH(認證頭)協(xié)議、ESP(封裝安全載荷)協(xié)議)兩個部分組成,如下圖:
(1)IKE
IKE由ISAKMP框架、OAKLEY密鑰交換模式以及SKEME的共享和密鑰更新技術(shù)組成,加密和認證過程中所使用的密鑰由IKE機制來生成和分發(fā),ISAKMP提供密鑰管理服務(wù),IKE定義了自己的密鑰交換方式,有手工密鑰交換和自動IKE兩種。
(2)AH
AH(認證頭)協(xié)議為IP數(shù)據(jù)報提供完整性檢查與數(shù)據(jù)源認證,并防止重放攻擊,它不支持數(shù)據(jù)加密,AH協(xié)議通過采用摘要算法MD5和SHA-1實現(xiàn)摘要和認證,從而確保數(shù)據(jù)完整。
該協(xié)議只作摘要,只能驗證數(shù)據(jù)完整性和合法性。
(3)ESP
ESP(封裝安全載荷)可以同時提供數(shù)據(jù)完整性確認和數(shù)據(jù)加密等服務(wù),它通常使用DES、3DES、AES等加密算法來實現(xiàn)數(shù)據(jù)加密,使用MD5或SHA-1來實現(xiàn)摘要和認證,從而確保數(shù)據(jù)完整。
ESP協(xié)議既作摘要,也作加密,所以它除了和AH一樣能驗證數(shù)據(jù)完整性和合法性,還能進行數(shù)據(jù)加密。
4、SSL VPN、TLS VPN
都屬于第四層隧道協(xié)議,兩類VPN分別使用了SSL和TLS技術(shù),它工作在傳輸層,由于需要對傳輸數(shù)據(jù)加密,所以它的速度比IPSec VPN慢,但其配置和使用較簡單。
(二)IPSec VPN應(yīng)用場景
IPSec VPN應(yīng)用場景分為以下三種模式:
1、站點對站點
站點對站點也稱為網(wǎng)關(guān)到網(wǎng)關(guān),即多個異地機構(gòu)利用運營商網(wǎng)絡(luò)建立IPSec隧道,將各自的內(nèi)部網(wǎng)絡(luò)聯(lián)系起來。
2、端對端
端對端是指PC到PC,連接的通信是兩個PC之間。
3、端對站點
端對站點是指兩個PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec會話完成。
(三)IPSec的工作模式
IPSec的工作模式分為兩種:傳輸模式和隧道模式,傳輸模式下的AH和ESP處理后的IP頭部不變,而隧道模式下的AH和ESP處理后需新封裝一個新的IP頭。
| 傳輸模式 | IP頭部不變 |
| 隧道模式 | 需新封裝一個新的IP頭 |
(三)MPLS(多協(xié)議標記交換)
多協(xié)議標記交換是將IP數(shù)據(jù)報封裝在MPLS數(shù)據(jù)包中,通過利用標簽交換取代復雜的路由運算和路由交換,通過標記對分組進行交換,為其分配固定長度的短的標記,并將標記與分組封裝在一起,在整個轉(zhuǎn)發(fā)過程中,交換節(jié)點僅根據(jù)標記進行轉(zhuǎn)發(fā),從而引導數(shù)據(jù)高速、高效地傳輸,它是屬于二層和三層之間的協(xié)議(2.5層協(xié)議)。
MPLS VPN承載平臺由P路由器、PE路由器和CE路由器三部分組成:
1、P路由器
P路由器依據(jù)MPLS標簽完成數(shù)據(jù)包的高速轉(zhuǎn)發(fā);
2、PE路由器
PE路由器除了負責待傳送數(shù)據(jù)包的MPLS標簽的生成和去除,還負責根據(jù)路由建立交換標簽的動作;
3、CE路由器
CE路由器是直接與電信運營商相連的用戶端路由器,它通常是一臺IP路由器,與連接的PE路由器建立鄰接關(guān)系。
六、網(wǎng)絡(luò)隔離技術(shù)
常見的網(wǎng)絡(luò)隔離技術(shù)有以下:
1、防火墻
通過ACL(訪問控制列表)隔離網(wǎng)絡(luò)數(shù)據(jù)包,它控制局限傳輸層以下的攻擊(對于病毒、木馬、蠕蟲等應(yīng)用層的攻擊沒有辦法),適用于小型網(wǎng)絡(luò)隔離,不適合大型、雙向訪問業(yè)務(wù)網(wǎng)絡(luò)隔離。
2、多重安全網(wǎng)關(guān)
被稱為新一代防火墻,能做到網(wǎng)絡(luò)層到應(yīng)用層的全面檢測。
3、VLAN劃分
該方法可以避免廣播風暴,解決了有效數(shù)據(jù)傳遞問題,通過劃分VLAN隔離各類安全性部門。
4、人工策略
通過斷開網(wǎng)絡(luò)物理連接,通過人工方式交換數(shù)據(jù),安全性最好。
總結(jié)
以上是生活随笔為你收集整理的(*长期更新)软考网络工程师学习笔记——Section 10 网络安全的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Python数据结构学习笔记——队列和双
- 下一篇: (*长期更新)软考网络工程师学习笔记——