网络安全概述

第一章

网

络安

全概

述 1.

计算机网络是地理上分散的多台自主计算机互联的集合，这些计算机遵循约定的通信协议，与通信设备、通信链路及

网络软件共同实现信息交互、资源共享、协同工作及在线处理等功能。 2.

广义上：网络安全包

括网络硬件资源及信息资源的安全性。 3.

用户角度看，网络安全主要是保障个人数据或企业的信息在网络中的保密性、完整性、不可否认性，防止信息的泄露和破坏，防止信息资源的非授权访问。 4.

网络管理者说，网络

安全的主要任务是保障合法用户正常使用网络资源，避免病毒、拒绝服务、远程控制、非授权访问等安全威胁，及时发现安全漏洞，制止攻击行为等。

5.

教育和意识形态方面，网络安全主要是保障信息内容的合法与健康，控制含不良内容的信息在网络中的传播。 6.

网络安全的定义：网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中断。

7.

网络安全的属性：可

用性、机密性、完整性、可靠性和不可抵赖性（不可否认性）。 8.

网络最基本的功能就是为用户提供信息和通信服务。

9.

对于针对网络可用性的攻击，一方面采取物理加固技术，另一方面通过访问控制机制。

10.

用于保障网络机密性的主要技术是密码技术。 11.

在物理层上，主要是采取电磁屏蔽技术、干扰及调频技术来防止电磁辐射造成的信息外泄。 12.

在网络层、传输层及应用层主要采用加密、路由控制、访问控制、审计等方法来保证信息的机密性。 13. 可靠性是网络安全最基本的要求之一。 14.

网络安全威胁：指某个实体（人、事件、程序）对某一网络资

源的机密性、完整性、可用性及可靠性等可能造成的危害。 15.

威胁分为两类：主动攻击（通信中断、通信内容破坏甚至系统无法正常运行）、被动攻击（攻击者截获、窃取通信消息，损害消息的机密性，具有较大的欺骗性）。

16. 对通信的保护主要采用加密方法。 17.

对信息存储的安全保护主要通过访问

控制和数据加密方法来实现。

18. 加密保护不能用于处理过程中的信息。 19.

针对信息系统的威胁主要有以下三个因素：环境和灾害因素、人为因素、系统自身因素。

20. 人为因素对网络安全的危害性更大，也更难于防御。 21. 黑客攻击：指利用通信软件，通过网络非法进入他人系统，截获或篡改数据，危害信息安全。

22. 人员无意造成的安全问题主要源自三个放慢：一网络及系统管理员方面，二程序员方面的问题，三用户方面。

23. 系统自身因素主要表现在它极易受到攻击和侵害，它的抗打击力和防护力很弱。

24. 自身系统的脆弱主要表现在：计算机硬件系统的故障、软件组件、网络和通信协议。

25. 软件组件可分为三类：操作平台软件、应用平台软件和应用业务软件。

26. 应用业务软件的任何风险都直接表现为信息系统的风险，因此其安全功能的完整性及自身的安全等级必须大于系统安全的最小需求。 27. 保障安全的措施：从根源出发，设计高可靠性的硬件和软件；要加强管理，设置有效的安全防范和管理措施；加强宣传和培训，增强用户的安全意识。 28. 安全策略：指在某个安全区域内，所有与安全活动相关的一套规则，这些规则由此安全区域内所设立的一个权威建立。 29. 系统安全策略主要涉及四个方面：物理安全策略、访问控制策略、信息加密策略、安全管理策略。 30. 物理安全策略的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

31. 访问控制是网络安全防范和保护的主要策略，它的主要任务是保护网络资源不被非法使用和非法访问。

32. 访问控制也是维护网络系统全、保护胡网络资源的重要手段。

33. 访问控制是保证网络安全最重要的核心策略之一

34. 用户的入网访问控制分为三步：用户名的识别与验证，用户口令的识别与验证、用户账户的缺省限制检查。

35. 用户名或用户账号是所有计算机系统中最基本的安全形式。

36. 可以根据访问权限将用户分为以下几类：特殊用户（系统

管理员）、一般用户、审计用户。 37.

访问控制策略：入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制。

38.

信息加密的目的：保护网内的数据、文件、口令和控制信息，保护网络会话的完整性。

39.

按照收发双方使用的密钥是否相同来分：将加密算法分为对称密码算法和非对称密码算法。 40.

对称密码的优点：有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。 41. 密钥管理成为系统安全的重要因素。 42.

最有影响的公钥密码算法是RSA 。公钥密码的有点事可以

适应网络的开放性要求，且密钥管理问题也较为简单，可方

便地实现数字签名和验证。 缺点：算法复杂，加密数据的速率较低。 43.

对称算法加密长消息，非对称算法加密短消息。 44.

网络的安全管理策略包括：确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施。 45.

安全管理的落实是实现网络安全的管理。

46.

P2DR 模型的基本思想：一个系统的安全应该在一个统一的安全策略的控制和指导下，综合运用各种安全技术（防火墙、操作系统身份认证、加密等手段）对系统进行保护，同时利用检测工具（漏洞评估、入侵检测等系统）来监视和评估系统的安全状态，并通过适当的响应机制

来讲将系统调整到相对“最安全”和“风险最低”的状态。 47.

P2DR 模型但对安全的描述公式：安全=风险分析+执行策略+系统实施+漏洞检测+实时响应

48. 安全策略是整个

P2DR 模型的核心。 49.

策略体系的建立包括安全策略的制定、评估、执行等。 50.

传统的静态安全技术主要有：防火墙技术、数据加密技术及认证技术。

51.

边界防卫技术分为物理实体保护技术和信息的保护技术。 52.

检测的对象主要针对系统自身的脆弱性及外部威胁，利用检测工具了解和评估系统的安全状态。 53.

检测包括：检查系统存在的脆弱性；在计

算机系统运行过程中，检查、检测信息是否泄漏、系统是否遭到入侵，并找出泄

漏的原因和攻击的来源。

54. PDRR 表示防护、检测、响应、恢复。

55. PDRR 在网络安全模型中引入时间的概念。Pt 表示系统受保护的时间，即从系统受攻击到被攻破经历的时间。Dt 是系统检测到攻击所需的时间。Rt 表示系统对攻击进行响应所需要的时间。Et 是指系统处于不安全状态的时间。

56. 网络安全一个高度概括的定义：及时的检测和响应就是安全。

57. 在网络安全体系一个宗旨：提高系统的保护时间，缩短检测时间和响应时间。

58. 位于不同系统上的同一层中的实体称为对等实体。不同系统间进行通信实际

是各对等实体间的通信。 59. 协议：在某层上进行通信所使用的规则、标准或约定的集合 60. 各层协议按层次顺

序排列而成的协议列称为协议栈。 61. 协议主要由三个要素组成：语义、语法、定时。

62. 下层向上层提供的服务分为两类：面向连接的服务和无连接的服务。

63. 开放系统互连参考模型OSI-RM 包括了体系结构、服务定义、协议规范三级抽象。

64. OSI-RM 采用分层的结构化技术，将通信

网络划分为七层：（从下到上）物理层、数据链路层、网络层、传输层、会话

层、表示层和应用层。

65. 物理层建立在物理通信介质之上，是系统和通信介质的接口。

66. 网络层主要实现线路交换、路由选择和网络拥塞控制。 67. 表示层的目的是为

了保证通信设备之间的互操作性。 68. 应用层是用户与网络的接口，它直接为网络用户或应用程序提供各种网络服务。应用层提供的网络服务包括文件服务、事务管理服务、网络管理服务、数据库服务。 69. 安全服务：指计算机网络提供的安全防护措施。

70. ISO 国际标准化组织定义了几种基本的安全服务：认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。

71. 对等实体鉴别时保障网络安全最基本的操作。

72. 认证就是确保某个实体的身份的真实性。可分为两种类型：对等实体认证、数据源发认证。 73. 未授权访问包括未经授权的使用、泄

露、修改、销毁以及发出指令。

74. 访问控制对于保障系统的机密性、完整性、可用性及合法使用具有重要作用。 75. 数据机密性就是保护信息不泄露给那些没有授权的实体。 76. “否认”指参与通信的一方事后不承认曾发生过本次信息交换。抗否认服务就是用来针对这种威胁，有两种形式：由数据源发证明的抗否认、由交付证明的抗否认。

77. OSI 模型的安全机制：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信流量填充机制、路由选择控制机制、公证机制。

78. TCP/IP 参考模型有四层：从上至下为：应用层、传输层、网络层及网络接口层。 79. 应用层：对应OSI 表示层、会话层、应用层，是TCP/IP 模型的最上层，是面向用户的各种应用软件。 80. 传输层：提供两种服务：一可靠的、面向连接的服务（TCP 协议）；一是无连接的数据报服务（UDP 协议）

81. IP 包是一种面向无连接协议的包，通过对通信传输的控制，攻击者有可能修改网络的操作以达到他们的攻击目的；数据包有可能被路由器发往错误的地方；服务可能被局部或全部拒绝。

82. 路由器间的更新信息必须使用完整性机制，还需要认证机制。

83. IP 安全性的主要优点是它的透明性，安全服务的提供不需要应用程序，也不需要其他通信层次和网络部件做任何改动。它的最主要缺点是IP 层一般对属于不同进程的包不作区别。

84. 美国1995年提出的：战略信息战“的概念，就是指通过侵袭和操纵计算机网络设施实施破坏，从而达到战略目的作战手段，并把它与核战和生化战列为对国家安全最具威胁的三大挑战。

85. 《计算机信息系统安全保护等级划分准则》是技术法规。从功能上对信息系统大安全等级划分为五个级别的安全保护能力：第一级—用户自主保护级 第二级—系统审计保护级 第三级—安全标记保护级 第四级—结构化保护级 第五级—访问验证保护级。