说在前面:
本系列文章专注于软考备考复习内容梳理,文章内容是对教材中知识点和考点的提炼,备考过程中可以有针对的进行复习,减少阅读量,有的放矢。
导航目录:
一、网络安全概述
计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续和可靠地运行,使网络服务不中断。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
(1)网络安全涉及的主要内容包括运行系统安全、信息系统安全、信息传播安全和信息内容安全。
(2)信息系统对安全的基本需求有保密性、完整性、可用性、可控性和可核查性。
(3)网络安全威胁类别有物理威胁、网络攻击、身份鉴别、编码威胁和系统漏洞。
二、网络的信息安全
1.信息的存储安全
信息的存储安全包括以下内容:
(1)用户的标识与验证∶ 限制访问系统的人员。
(2)用户存取权限限制∶限制进入系统的用户所能做的操作。
(3)系统安全监控∶建立一套安全监控系统,全面监控系统的活动。
(4)病毒防治网络服务器必须加装网络病毒自动检测系统。
由于计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点,所以需要建立计算机病毒防治管理制度。
- 经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
- 定期检查敏感文件。对系统的一些敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。
- 使用高强度的口令。尽量选择难以猜测的口令,对不同的账号选用不同的口令。
- 经常备份重要数据,要做到每天坚持备份。
- 选择、安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测、清除工作。
- 可以在计算机和因特网之间安装使用防火墙,提高系统的安全性。
- 当计算机不使用时,不要接入因特网,一定要断掉连接。
- 重要的计算机系统和网络一定要严格与因特网物理隔离。
- 不要打开陌生人发来的电子邮件,无论它们有多么诱人的标题或者附件。同时也要小心处理来自熟人的邮件附件。
- 正确配置系统和使用病毒防治产品。正确配置系统,充分利用系统提供的安全机制,提高系统防范病毒的能力,减少病毒侵害事件。了解所选用防病毒产品的技术特点,正确配置以保护自身系统的安全。
(5)数据的加密防止非法窃取或调用。
(6)计算机网络安全∶通过采用安全防火墙系统、安全代理服务器、安全加密网关等实现网络信息安全的最外一层防线。
2. 信息的传输安全
信息的传输加密是面向线路的加密措施,有以下3种。
(1)链路加密。
只对两个节点之间的通信信道线路上所传输的信息进行加密保护。
(2)节点加密。
加、解密都在节点中进行,即每个节点里装有加、解密的保护装置,用于完成一个密钥向另一个密钥的转换。
(3)端一端加密。
为系统网络提供从信息源到目的地传送的数据的加密保护,可以是从主机到主机、终端到终端、终端到主机或到处理进程,或从数据的处理进程到处理进程,而不管数据在传送过程中经过了多少中间节点,数据均不会被解密。
三、防火墙技术
防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
1.防火墙的分类
通常可对防火墙进行以下分类。
(1)包过滤型防火墙。
工作在网络层,对数据包的源IP及目的IP具有识别和控制作用,对于传输层,它只能识别数据包是TCP还是UDP及所用的端口信息。优点是∶对每条传入和传出网络的包实行低水平控制;每个IP包的字段都被检查;可以识别和丢弃带欺骗性源IP 地址的包是两个网络之间访问的唯一通道通常被包含在路由器数据包中,不必用额外的系统来处理这个特征。缺点是∶不能防范黑客攻击;不支持应用层协议;访问控制粒度太粗糙。
(2)应用代理网关防火墙。
彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点是∶难以配置,处理速度慢。
(3)状态检测技术防火墙。
结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
2.典型防火墙的体系结构
一个防火墙系统通常是由过滤路由器和代理服务器组成的。典型防火墙的体系结构包括包过滤路由器、双宿主主机、被屏蔽主机网关、被屏蔽子网等。
(1)包过滤路由器。
又称屏蔽路由器,它是最简单也是最常用的防火墙。它一般作用在网络层,对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。优点在于速度快,实现方便;缺点是安全性差,兼容性差,没有或只有较少的日志记录能力。
(2)双宿主主机。
它是围绕着至少具有两个网络接口的双宿主主机构成的,每一个接口都连接在物理和逻辑上分离的不同的网段,代理服务器软件在双宿主主机上运行。优点是∶堡垒主机运行的系统软件可用于维护系统日志、硬件复制日志、远程日志等,有利于网络管理员的日后检查。缺点是∶由于内部网和外部网之间只有一道屏障,双宿主主机首先禁止网络层的路由功能,两个网络之间的通信通过应用代理层来完成,如果一旦黑客侵入堡垒主机并使其具有路由功能,防火墙会变得无用,需要具有强大的身份认证系统,尽量减少防火墙上用户的账户数目,以免堡垒主机被攻破。
(3)被屏蔽主机网关。
由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤;应用网关的作用是代理服务,即在内部网络和外部网络之间建立两道安全屏障。优点是安全等级较高,缺点是配置工作复杂。
(4)被屏蔽子网。
由两个包过滤路由器和一个应用网关组成。优点是∶入侵者必须突破3个不同的设备才能侵袭内部网络;由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对;内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet等。
未完待续。。。
更多知识传送:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
以上内容整理参考《软件设计师教程(第5版)》和《软件设计师考试同步辅导(第四版)》(忘记是哪个老师的了,侵删)。本文章内容旨在帮助更多想要进军软考,给自己镀金的小伙伴。有兴趣的小伙伴可以共勉。
