《网络安全》考纲必背精简版背完可以去参加考试考了

1、重点是考纲的第二，三，四，五，六章，书本的第二，三，四，五，七章没时间的同学，数据安全和网络安全的发展方向这两章可以简略复习第一章网络安全基础（ 1） 网络安全概念：P1网络安全是指网络系统的硬件、软件及其系统中的数据得到有效的保护，不会由于自然的和人为的恶意原因而遭到破坏、更改和泄漏，系统能够连续可靠正常地运行，且能保证网络服务不中断。（网络安全目标就是为了保障网络系统的可靠性，可用性，保密性，完整性，不可抵赖性，可控性。）（ 2） 物理安全：P21物理安全是指在物理介质层次上对网络系统和传输的网络信息所进行的安全保护，也就是保护计算机网络设备、设施以及其他媒体免遭地震，水灾、火灾等环境事故

2、以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。理解：物理安全、联网安全涉及的内容物理安全的内容：P21a. 环境安全: 对系统所在环境的安全保护b. 设备安全：主要包括设备的防盗、抗毁、防电磁辐射和干扰c. 媒体安全：包括媒体数据的安全及媒体本身的安全第二章 密码学基础（ 1 ）数据加密技术的基本概念P27数据加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将敏感数据和重要数据（明文）转化成对非法用户没有意义的密文，从而阻止非法用户理解原始数据，从而确保数据的保密性。对存储数据加密，对传输数据加密。（ 2）加密体制的分类P28-29b. 按加密密钥和解密密钥是否相

3、同划分? aa. 对称密码体制? bb. 公钥（非对称）密码体制? cc. 混合密码体制5）混合密码体制为了充分发挥公钥密码体制和对称密码体制的长处，克服其缺点，提出了混合密码系统，即数字信封技术，发送方随机生成对称密钥，用对称密钥加密要发送的信息，并用接收方的公钥加密对称密钥，将二者一起发送给接收方。接收方用其私钥进行解密得到对称密钥，并用对称密钥来解密密文。2、数字签名技术(一般)识记：散列算法、数字签名的基本概念、数字签名的特点，数字签名的实现过程(1) 散列算法P34(又称为”Hash”函数或“杂凑函数”)是一种将任意长度的二进制串映射到固定长度的二进制串(称为散列值)的函数, 它用于

4、产生数据的消息摘要，来验证数据的完整性，确保数据没有被修改。(2) 数字签名P35数字签名是指用户通过一个单向散列函数对要传送的信息进行处理得到消息摘要，并用私钥对原始数据的消息摘要进行加密，用于身份认证、消息源鉴定和核实信息在传送过程中是否被篡改的一个字母数字串。(4) 数字签名的实现过程P37a. 发送方对欲传送的机密信息进行散列运算得到消息摘要A，然后用私钥对消息摘要进行加密，得到数字签名，并将其附在原信息的后面b. 发送方使用对称密钥对报文进行加密，形成密文，并用接收方的公钥加密对称密钥，形成数字信封，将其与密文通过公开的网络一起传送给接收方。c. 接收方使用私钥对数字信封进行解密，得

5、到对称密钥d. 接收方使用对称密钥对密文进行解密，得到数字签名及原始信息e. 接收方使用发送方的公钥对数字签名进行解密，得到原始信息的消息摘要Af. 接收方对接收到的原始信息进行散列运算，得到一个新的消息摘要B, 并将其与解密后得到的消息摘要A进行对比。如果两个消息摘要相同，则说明报文在网络上传输过程中没有发生变化。3、公钥基础设施(一般)(1) PKI 的基本组成P39a. 认证中心: 也称证书中心，即数字证书的申请和签发机关。b. 数字证书库: 用于存放和检索认证中心已签发的数字证书和CRLc. 密钥备份和恢复系统d. 证书撤销系统e. 应用程序接口系统(2) PKI 的主要功能P42a.

6、 证书管理39b. 密钥历史记录的管理c. 密钥的自动更新d. 数字签名的不可否认e. 交叉验证(3) 数字证书a. 数字证书的概念:P48数字证书是网络通信中标识参与各方身份信息的一种电子文件，它把公钥值和某一用户或实体的身份信息进行绑定，并由一个可信的中间机构CA进行签名，其作用类似于现实生活中的身份证。c:数字证书的格式P50?X.509 标准? 证书格式版本? 证书序列号? 签名算法标识符? 证书发行机构名称? 有效期? 持证人姓名? 签名用公钥算法? 公钥值? 发证机构身份标识符? 持证人身份标识符? 发证机关的CA签名(4) 数字证书的功能P51数字证书的主要功能是用来提供个人身份

7、真实性的证据第三章 系统攻击与防护系统攻击的三个阶段P57-58? 第 一阶段：寻找攻击目标? 第 二阶段：攻击前的侦查? （ 1 ）公共数据资源? 第 三阶段：正式攻击阶段2、口令攻击（重点）理解：口令认证的过程、破解口令的方法、创建与维护安全口令的方法。（ 1 ）口令认证的过程p61当用户登录Web服务器时，Web服务器把登录页面送到客户浏览器的同时也把由服务器脚本产生的一个随机数发送到客户浏览器。当用户键入帐号口令后，浏览器客户端脚本程序首先对用户输入的字符串和服务器产生的随机数合在一起，进行一次散列运算，称为加密口令，然后客户浏览器把帐号和加密口令送到服务器。当服务器收到帐号和加密口令

8、后，根据帐号从服务器的用户数据库中找到其对应的加密口令，把该口令和原来产生的随机数合并在一起，做一次散列运算，把运算结果和浏览器传送过来的加密口令比较，相同则认证通过允许访问。（ 2）破解口令的方法P61-63? 1. 强力破解法获取口令? 首 先寻找没有口令的户头? 其 次试探容易被猜测出的口令? 字 典搜索法（蛮力穷举法）? 2. 通过网络监听非法得到用户口令? 对 于许多传统网络应用来说，口令在网络完全以明文发送。如pop3,Telnet,FTP? 解 决方案：如SSL协议? 3. 通过木马攻击非法得到用户口令? 记 录键盘敲击信息。解决方案：口令管理器（ 3）创建与维护安全口令的方法p

9、64-65? 1. 安全口令的创建? （ 1 ）口令长度尽可能长，且复杂? a, 大于 6 个字符，字母，数字，符号? b, 不要选择有特征的字词? C, 也不要过于复杂，忘记? D, 口令管理器? （ 2）不用常规口令41? 2. 口令安全的维护?（1 ）服务器端不能存放密码明文?（2）密码和帐号在网络中传输要加密?（3）密码设立有效期，定期更换密码?（4）用户增强保护口令的安全意识4、端口扫描（一般）识记：端口扫描的基本概念、端口扫描技术、端口扫描防御技术（ 1 ）端口扫描的基本概念P71所谓的端口扫描，就是利用Socket 编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从

10、而侦知目标主机的端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。（ 3）端口扫描防御技术P74首先分析本地哪些端口处于打开状态，然后将某些端口伪装成打开。同时记录那些访问这些端口的主机。对这些主机可以采取（1 ）记账处理（2）提示非法扫描（3）拒绝访问? 端 口扫描防御可以分为两类：主机级别，网络级5 网络监听（一般）识记：网络监听的原理、检测技术、防御技术（ 1）网络监听的原理P75-76以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。通常只有与数据包中目标地址一致的那台主机才能接收到信息包。但是当主机工作在监听模式下，不管数据包中目标地址是什么，主

11、机都可以接受到。? 1.广播式以太网中的监听? 2.交换式以太网中的监听（ 3）防御技术P79-80? 1.数据加密? 2.网络分段? 3.VLAN 的使用? 电子邮件攻击（一般）2 电子邮件面临的主要威胁P81-82? 1. 垃圾邮件? 2. 邮件炸弹? 信 息泄漏，内容篡改，身份假冒3 电子邮件的攻击方法P83-84? 1. 相似的电子邮件地址? 2. 修改邮件客户? 3. 远程登录到端口25第四章 入侵检测系统（ 1）入侵检测的概念P87入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

12、（ 5）入侵检测的主要任务和作用P92?（1 ）监视用户和系统的运行状况，查找非法用户和合法用户的越权操作?（2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞?（3）对用户的非正常活动进行统计分析，发现入侵行为的规律?（4）检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验注：书本把任务和作用分开，这里我们认为任务和作用是一样的。同学们考试碰到任务和作用都答上面的4 点。（6） 入侵检测系统的基本结构P92-93? （1 ）事件产生器? （2）事件分析器? （3）响应单元? （4）事件数据库（7） 入侵检测系统的分类P95-96? 1. 根据检测原理进行分类? （1 ）异常

13、检测? （3）混合检测? . 根据数据来源分类? （1）基于主机的入侵检测系统? （2）基于网络的入侵检测系统? （3）分布式的入侵检测系统理解：入侵检测系统的工作原理入侵检测系统的工作原理:P93?入侵检测系统的工作流程大致分为以下几个步骤：?（1）信息收集?（2）信号分析：模式匹配；统计分析；完整性分析?（3）实时记录、报警或有限度反击2、入侵检测系统的分析方式（重点）理解：异常检测技术和误用检测及其它们之间的比较P97-102异常检测技术，也称基于行为的检测技术, 它把用户和系统的所有正常行为活动总结出来并建立行为模型，入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏

14、离了正常行为轨迹，就可以被检测出来。误用检测技术，也称基于知识的检测技术或者模式匹配检测技术。把以往发现的网络攻击的特征总结出来建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为比较：? 异 常检测技术? 优 点：能够检测出新的网络入侵方法；较少依赖特定的主机操作系统；对内部合法用户的越权违法行为检测能力较强。? 缺 点：误报率高；行为模型建立困难；难以对入侵行为进行分类和命名。? 误 用检测技术? 优 点：检测准确率高；技术相对成熟；便于进行系统防护? 缺 点：不能检测出新的入侵行为；完全依赖于入侵特征的有效

15、性；维护特征库的工作量大；难以检测来自内部用户的攻击第五章 防火墙技术45（1） 防火墙的定义P114防火墙是在专用网络和公用网络之间构筑的一道屏障，用于保护专用网络中的信息、资源等不受来自公用网络中非法用户的侵犯，它控制着专用网络和公用网络之间的所有数据流量，控制和防止专用网络中有价值的数据流入公用网络，也控制和防止来自公用网络的无用的和有害的数据流入专用网络。（3） 防火墙的功能P117? （ 1 ）对出入网络的访问 行为进行管理和控制? （ 2） 过滤 出入网络的数据（包），强化安全策略? （ 3）对网络存取和访问进行监控（统计）审计? （ 4）对不安全的服务进行限制 或则拦截，防止内部

16、信息外泄（5） 防火墙的局限性。P119? （ 1 ）防火墙难于管理和配置? （ 2）防火墙防外不防内? （ 3）粗粒度的访问控制? （ 4）很难为用户在防火墙内外提供一致安全策略? （ 5）不能防范病毒? （ 6）不能防范不通过它的连接2、防火墙的种类（次重点）识记：防火墙的主要技术类型，包过滤防火墙、应用代理防火墙的工作原理和优缺点。? 1） 包过滤防火墙P121-124包过滤是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及数据包所使用的端口，确定是否允许该类数据包通过包过滤防火墙的优点? （ 1 ）在处理速度上

17、具有一定的优势? （ 2）费用开销较低? （ 3）是两个网络之间的唯一通道? （ 4）每个 IP 包的字段都被检查? （ 5）不用改动应用程序? （ 6）对用户来说的透明的包过滤防火墙的缺点? （ 1 ）过滤规则集合复杂，配置困难? （ 2）安全性较差，不提供用户认证? （ 3）对网络的保护有限? （ 4）一般的包过滤审计功能弱? 2） 应用代理防火墙P124-128应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求。返回时数据发送到代理服务器，然后再传送给用户，从而确保内部IP地址和口令不会在Internet 上出

18、现。优点：? （ 1 ）代理易于配置? （ 2）能提供详细的审计记录? （ 3）能灵活、完全地控制进出流量、内容? （ 4）代理能过滤数据内容? （ 5）代理能为用户提供透明的加密机制和强认证机制? （ 6）安全性高缺点：? （ 1 ）代理速度比包过滤防火墙慢? （ 2）代理对用户不透明? （ 3）对每项代理可能要求不同的服务器? （ 4）明显的性能下降? （ 5）代理不能改进底层协议的安全性3、防火墙的体系结构（一般）识记：筛选路由器、双宿主主机结构、屏蔽主机结构、屏蔽子网结构的特性和功能。（1） 筛选路由器P131-132筛选路由器，通常又称包过滤防火墙。它一般作用于网络层，它是对进出内部

19、网络的所有信息进行分析，并按照一定的安全策略（信息过滤规则）对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。（2） 双宿主主机结构P133-135双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外部网络之间的IP 数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。特点：? 安全至关重要，因为他是内外网连接唯一通道。? 该主机成为瓶颈? 可防止伪造ip缺点：? （ 1 ）用户帐号口令容易被破

20、? （ 2）管理多个帐号，增加管理员的负担? （ 3）支持多用户会降低机器的稳定性和可靠性? （ 4）给入侵检测带来麻烦? 改 进版：双宿网关防火墙（3） 屏蔽主机结构P135-137双重宿主主机体系结构提供来自与多个网络相连的主机的服务（ 但是路由关闭） ，而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：即堡垒主机是Internet 上的主机能连接到内部网络上的系统的桥梁（例如，传送进来的电子邮件）。即使这样

21、，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。特点：? 允 许其他内部主机为某些类型的服务请求与外部网络建立直接连接? 任 何外部网的主机只能与内部网络的堡垒主机建立连接? 任 何外部系统对内部网络的操作都必须经过堡垒主机。? 要 有全面的安全维护缺点：过滤路由器的配置和安全是关键一旦攻破堡垒主机，整个内网就暴露在外面（4） 屏蔽子网结构P137-139从而进一步实现屏蔽主屏蔽子网结构就是在屏蔽主机结构中增加一个把内部网络与互联网隔离的周边网络，机的安全性，通过使用周边网络隔离堡垒主机能削弱外部网络对堡

22、垒主机的攻击。在这种结构下，即使攻破了堡垒主机，也不能直接侵入内部网络（他将仍然必须通过内部路由器）。特点：? 采 用了屏蔽子网体系结构的堡垒主机很坚固，不易被入侵者控制。万一堡垒主机被控制，入侵者仍然不能直接侵袭内部网络，内部网络受内部路由器的保护第六章 恶意代码与计算机病毒1 、恶意代码（一般）识记：恶意代码的基本概念。P168恶意代码，又称网页病毒，特指夹带在网页中，当用户访问页面时，由Web服务器下载到客户端环境中执行，并对客户端造成不同程度危害的代码。2） ） 清楚办法P171? 防御办法：?1. 把 IE 浏览器的安全级别改为”高”?2. 卸载 WSH? 清楚办法：? 修改注册表（

23、简单的方法就是备份修复）2、计算机病毒（一般）识记：计算机病毒的概念、特征、分类及结构计算机病毒的概念:P172计算机病毒是一种特殊编制的，具有自我再生能力的计算机程序，能够侵入互联网的计算机系统，并能扰乱，破坏计算机的正常运行。特征：P175（ 1 ）传染性（2）破坏性（3）潜伏性（4）可触发性（5）隐蔽性（6）不可预见性（7）寄生性分类： P176-P1783） 按照计算机病毒的链接方式分类?（1 ）源码型病毒?（2）嵌入型病毒?（3）外壳型病毒?（4）操作系统病毒5. 按照计算机病毒的寄生部位或传染对象分类?（1 ）引导区病毒?（2）文件型病毒?（3）深入型病毒6. 按照传播媒介分类?（

24、1 ）单机病毒?（2）网络病毒结构： P179?1.潜伏机制模块?2.传染机制模块?3.表现机制模块应用：给出计算机病毒的几种传播方式P189?1. 移动存储设备?2. 计算机硬件设备? 3.BBS 电子布告栏?4. 网络3、计算机病毒的防治技术（重点）识记：病毒免疫概念、作用，病毒检测的概念病毒免疫概念：P182计算机病毒免疫技术是指那些用来保护被用户所指定的文件的完整性的措施。病毒检测的概念：P185 就是采用各种检测方法将病毒识别，也就是说将病毒文件从普通文件中区分出来。计算机病毒免疫的方法P183-184 ：?（1 ）加强自主访问控制?（2）设置磁盘保护区?（3）针对某一种病毒进行免疫

25、?（4）基于自我完整性检查的免疫方法病毒检测技术：P185-P186 1. 比较法 2. 校验和对比法3. 扫描法 4. 分析法 5. 人工智能陷阱技术6. 宏病毒陷阱技术7. 软件仿真扫描法病毒预防技术：P189?（1 ）将大量的查毒 /杀毒软件汇集一体?（2）检测一些病毒经常要改变的系统信息?（3）监测写盘操作?（4）对系统中的文件形成一个密码校验和实现对程序完整性的验证?（5）智能判断技术?（6）智能监察技术病毒消除技术：P189-191?1.消除引导区病毒?2.消除文件型病毒?3.消除宏病毒?4.消除蠕虫病毒?5.使用病毒防治软件应用：计算机病毒防治技术分为哪几种。P182-1911）

26、病毒免疫技术（2）病毒检测技术（3）病毒预防技术（4）病毒消除技术第七章 数据安全识记：数据完整性的概念P192数据完整性指接收方得到的数据与原始定义的数据严格相同，即数据不能被非授权地修改或删除，且在数据受损的情况下应能通过数据备份完全恢复。它包括数据的正确性、一致性及有效性. 它通常表明数据的可靠性与准确性是可以信赖的。理解：提高数据完整性的办法P194防止数据完整性丧失的技术主要包括：（ 1 ）备份技术（ 2）归档技术（ 3）镜像技术（ 4）分级存储管理技术（ 5）奇偶检验技术（ 6）灾难恢复技术（ 7）故障前兆分析技术8）电源调节技术3、归档（一般）识记：归档的基本概念，归档的方法。P201-204所谓归档是指数据拷贝或打包以便能进行长时间的历史性保存