网络安全重点

第一章

1.信息安全的5个基本属性。

可用性，可靠性，完整性，机密性以及不可抵赖性。

2.从网络通信的角度观察，网络通信安全所面临的威胁种类。

1）截获。攻击者从网络上窃听他人的通信内容。

2）阻断。攻击者有意阻断他人在网络上的通信。

3）篡改。攻击者故意篡改网络上传输的报文。、

4）伪造。攻击者利用虚假的身份在系统中插入伪造信息，并在网络上传送。

3.网络风险评估主要包含哪几个环节。

风险分析、风险评估、安全决策、安全监测

4.风险、漏洞和威胁的含义，三者之间的关系。

风险是指丢失所需要保护资产的可能性。

漏洞是攻击的可能途径。漏洞可能存在于计算机与网络系统中，他允许入侵者打开系统，使网络攻击得逞。漏洞也可能存在于管理环境中，使得系统环境对攻击开放。

威胁是一个可能破坏信息系统环境安全的动作或者事件，3个组成部分：1.目标。2.代理（攻击主体）.3.事件（攻击行为）。

关系：威胁加漏洞等于风险，风险是威胁与漏洞的综合结果。没有漏洞的威胁就没有风险，没有威胁的漏洞也就没有风险。

5.安全决策的定义、安全决策的策略

安全决策就是根据评估结论决定网络系统所需要采取的安全措施。在安全决策的过程中，根据评估的结论可选择使用以下某一策略： 1）逃避策略 2）应对策略 3）转移策略

6.网络安全策略的定义、等级划分。（注意与安全决策的策略之间的区别）

策略即为使一组对象协同完成某项任务或者达到某个目标而必须共同遵守的行为规范。

安全策略是指在一个特定网络环境中，为保证提供一定级别的安全保护所必须遵守的一系列规则。这些规则主要用于如何配置、管理和控制系统；约束用户在正常的环境下应如何使用网络资源；当网络环境发生不正常行为时，应如何响应与恢复。

网络安全策略的关键是如何保护企业内部网络及其信息，包括总体策略和具体规则。4个等级如下：

1）一切都是禁止的。2）一切未被允许的都是禁止的。3）一切未被禁止的都是允许的。4）一切都是允许的。

OSI安全体系结构的5类标准的安全服务

1）身份认证服务(身份鉴别服务) 包括：对等实体鉴别；数据源点鉴别

2）访问控制服务

在网络安全中，访问控制是一种限制，控制那些通过通信连接对主机和应用系统进行访问的能力。访问控制服务的基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法访问使用。访问控制和身份认证是紧密结合在一起的，在一个应用进程被授予权限访问资源之前，它必须首先通过身份认证。

3）数据机密性服务

数据机密性服务是指对数据提供安全保护，防止数据被未授权用户获知。

4）数据完整性服务

数据完整性服务通过验证或维护信息的一致性，防止主动攻击，确保收到的数据在传输过程中没有被修改、插入、删除、延迟等。

5）不可否认服务

不可否认服务主要是防止通信参与者事后否认参与。OSI安全体系结构定义了两种不可否认服务：①发送的不可否认服务；②接收的不可否认服务。

安全体系结构的8种安全机制

安全服务依赖于安全机制的支持。网络安全机制可分为两类：一类与安全服务有关，另一类与管理功能有关。

1.数据加密机制

加密机制（Encryption Mechanisms）指通过对数据进行编码来保证数据的机密性，以防数据在存储或传输过程中被窃取。

2.数字签名机制

数字签名机制（Digital Signature Mechanisms）指发信人用自己的私钥通过签名算法对原始数据进行数字签名运算，并将运算结果，即数字签名一同发给收信人。收信人可以用发信人的公钥及收到的数字签名来校验收到的数据是否是由发信人发出的，是否被其它人修改过。数字签名是确保数据真实性的基本方法。

3.访问控制机制

访问控制机制（Access Control Mechanisms）是网络安全防护的核心策略，它的主要任务是按事先确定的规则决定主体对客体的访问是否合法，以保护网络系统资源不被非法访问和使用。

4.数据完整性机制

数据完整性机制（Data Integrity Mechanisms）是指通过数字加密，保证数据不被篡改。

纠错编码和差错控制是防止信道干扰的一种有效方法。

报文认证是对付非法入侵者的方法。

5.认证交换机制

认证交换机制（Authentication Mechanisms）是指通过信息交换来确保实体身份的机制；主要有站点认证、报文认证、用户和进程的认证等方式。

6.通信流量填充机制

通信流量填充机制（Traffic Padding Mechanisms）是指由保密装置在无数据传输时，连续发出伪随机序列，使得非法攻击者不知哪些是有用数据、哪些是无用数据，从而挫败攻击者在线路上监听数据并对其进行数据流分析攻击。

7.路由控制机制

路由控制机制（Routing Control Mechanisms）用于引导发送者选择代价小且安全的特殊路径，保证数据由源节点出发，经最佳路由，安全到达目的节点。

8.公证机制

公证机制（Notarization Mechanisms）是指第三方（公证方）参与的签名机制，主要用来对通信的矛盾双方因事故和信用危机导致的责任纠纷进行公证仲裁。公证机制一般要通过设立公证机构（各方都信任的实体）来实现

1.基于角色的访问控制（RBAC）

基于角色的访问控制（RBAC）的基本思想是在用户(主体)和客体之间插入角色（Role），将对客体的访问权限授予角色，然后为用户分配角色，则分配了某角色的用户就可获得此角色的访问权限。可用RBAC实现DAC（自主访问控制）和MAC（强制访问控制）。

RBAC的基本概念

(1)用户（User）：一个被授权使用计算机的人员。

(2)资源（Resource）：一个计算机资源（如物理设备，网页，数据文件，内存或进程等）。

(3)许可（Permission）：赋予角色的访问权限，也可称为权限。

(4)角色（Role）：角色可以反映细节的职业描述（如部门经理、部门职员等），用户与组织之间的关系（如客户、供应者等）等。