【软考网工条记】计算机底子理论与安全——网络安全
病毒Melissa 宏病毒
1. 是一种快速传播的能够感染那些使用MS Word 97 和MS Office 2000 的计算机宏病毒。
2. 前面有**Macro** 表示这是宏病毒;
3. 宏病毒可以感染后缀为`.xls`的文件;
Worm 蠕虫病毒
1. 通常是通过网络或者系统漏洞进行传播。
2. 利用信息系统缺陷,通过网络自动复制并传播的有害程序。
Trojan 木马
1. 木马通常伪装成有用的程序诱骗用户主动激活,或利用系统漏洞侵入用户计算机,计算机感染特洛伊木马后的典型现象是有未知程序试图建立网络连接。
Win32、PE 、Win95 文件型病毒或系统病毒
1. 感染可执行文件(如 exe、.com).d11 文件的病毒
公钥体系
私钥——解密和签名
公钥——加密和认证
数字签名与验证过程
https://i-blog.csdnimg.cn/img_convert/15603421adbfb1b81dc1e78a9e0cdac8.png
[*]数字签名过程:
[*]A使用“摘要算法”(如SHA-1、MD5等)对发送信息进行摘要。
[*]使用A的私钥对消息摘要进行加密运算,将加密摘要和原文一并发给B。
[*]验证签名过程:
[*]B吸收到加密摘要和原文后,使用和A同样的“摘要”算法对原文再次摘要,生成新摘要。
[*]使用A公钥对加密摘要解密,还原成原摘要。
[*]两个摘要对比,同等则分析由A发出且没有颠末任何窜改。
由此可见,数字签名功能具有信息身份认证、信息完整性检查、信息发送不可否认性,
但不提供原文信息加密,不能包管对方能收到消息,也不对吸收方身份进行验证。
安全需求
物理安全:——机房安全
网络安全:——入侵检测
系统安全:——毛病补丁
应用安全:——数据库安全
主动攻击包罗攻击者访问所需信息的故意行为;
RSA 加密算法
RSA(Rivest shamir Adleman)是典型的非对称加密(公开算法),该算法基于大素数分解。
RSA 适合进行数字签名和密钥交换运算。
IDEA 加密算法
国际数据加密算法 IDEA 的明文和密文均为 64 位,密钥长度为 128 位。
典型的 Des 的相关参数,还有 MD5,sha-1 的输出位数;
CSMA/CD
按总线争用协议来分类,有三种
[*]非对峙 CSMA
[*]一个站点在发送数据帧之前,先要对媒体进行检测。
[*]如果没有其它站点在发送数据,则该站点开始发送数据。https://i-blog.csdnimg.cn/img_convert/7b06015072a584499858909cd90b4ca6.png
[*]如果媒体被占用,则该站点不会持续监听媒体,而等待一个随机的延迟时间之后再监听。https://i-blog.csdnimg.cn/img_convert/499f9167e0a43da72822073daa5dcd1e.png
[*]采用随机的监听延迟时间可以淘汰辩论的可能性,但其缺点也是很显着的:即使有多个站点有数据要发送,因为此时所有站点可能都在等待各自的随机延迟时间,而媒体仍然可能处于空闲状态,如许就使得媒体的利用率较为低下。https://i-blog.csdnimg.cn/img_convert/7d595438a6132f265d619e87c7fe9936.png
[*]1-对峙 CSMA
[*]当一个站点要发送数据帧时,他就监听媒体,判断当前时候是否有其他站点正在传输数据。
[*]如果媒体忙的话,该站点等待直至媒体空闲。一旦检测到媒体空闲,他就立即发送数据帧。
[*]如果辩论,则等待一个随机时间再监听。
[*]https://i-blog.csdnimg.cn/img_convert/7375cb5ac423aa978de7f310f4fdd09c.png
https://i-blog.csdnimg.cn/img_convert/aabcb3708158616cf0115fa4f041c1d2.png
2. 之所以叫“1-坚持”,是因为当一个站点发现媒体空闲的时候,它传输数据帧的概率是 1。
3. 优点是:只要媒体空闲,站点就立即发送。
4. 缺点是:假如有两个或两个以上的站点有数据要发送,冲突就不可避免。
[*]P-对峙 CSMA
[*]p-对峙 CSMA 是非对峙 CSMA 和 1-CSMA 的折中。应用于分别时槽的媒体。
[*]其工作过程如下:
[*]当一个站点要发送数据帧的时候,他先检测媒体,若媒体空闲,则该站点按照概率 P 的可能性发送数据,而有 1-P 的概率会把要发送数据帧的任务延迟到下一个时槽。按照如许的规则,若下一个时槽也是空闲的,则站点同样有 P 的概率发送数据帧。
[*]https://i-blog.csdnimg.cn/img_convert/98d2e3769c7de8cc3a02fb7a663c0fe8.png
加密方式
(1)链路加密
是在数据链路层加密,通信设备必要安装特殊的安全单元。
(2)端-端加密
是把加密设备放在网络层和传输层之间,只加密传输层的数据单元,数据在发送端进行加密,到达吸收端才解密,中间结点不到场解密过程。
(3)节点加密
节点中的数据是以密文情势存在,但要求在每个节点加装安全单元,必要公共网络提供共同。
代理服务器(Proxy Server)
访问 Internet 重要功能:
[*]突破网站的访问限制。
[*]提高访问网站的速度。
[*]隐藏本田主机的 IP 地址。
MD5 & SHA-1
(1)MD5
消息摘要算法 5(MD5),把信息分为512比特的分组,而且创建一个128比特的摘要。
(2)SHA-1
安全 Hash 算法(SHA-1)也是基于 MD5 的,使用一个标准把信息分为512比特的分组,而且创建一个160比特的摘要。
传导泄露
(1)传导泄露
通过各种线路传导出去,可以将计算机系统的电源线,机房内的电话线、地线等作为媒介的数据信息泄露方式。
(2)辐射泄漏
(3)电信号泄漏
(4)媒介泄漏
非对称加密算法
在非对称加密算法中,私钥用于解密和签名,公钥用于加密和认证。
比方:RSA 和 ECC(椭圆曲线密码编码学)算法
缺点:加密速度慢,计算量大,不适合用于会话通信。
对称加密算法
(1)DES
秘钥 64位(实际位是56位的密钥和8位奇偶校验)。
(2)3DES
是 DES 的扩展,是执行了三次的 DES。
其中第一、三次加密使用同一密钥的方式下,密钥长度扩展到 128 位(112 位有效);
三次加密使用差别密钥,秘钥长度扩展到192位(168位有效),考试中默认 3DES 长度是112bit。
(3)RC5
RC5 是参数可变的分组密码算法,三个可变的参数是:分组巨细、密钥长度、加密轮数;
(4)IDEA
明文、密文均为 64位,密钥长度128位;
(5)RC4
常用流密码,密钥长度可变,用于 SSL 协议。曾用于 802.11WEP 协议中。
(6)AES
密钥长度可以是128、192、256比特,明文分组长度是 128bit。
IDS 入侵检测系统
IDS 的重要作用是对进出网络的信息进行实时的监测与对比,及时发现攻击行为。
常用的三种分析方法:
[*]匹配模式。
[*]数据完整性分析。
[*]统计分析。
密文分析必要相应的解密器不属于。
PGP 秘密机制方法
邮件内容生成摘要,对内容用 IDEA 算法加密,对摘要和 IDEA 密钥用 RSA 算法加密;
存储系统
存储系统重要结构有三种:NAS、DAS 和 SAN。
(1)DAS(Direct Attached Storage,直接附加存储)
存储设备是通过电缆(通常是 SCSI 接口电缆)直接连接服务器。I/O 请求直接发送到存储设备。
DAS 也可称为 SAS(Server-Attached-Storage,服务器附加存储)。它依靠于服务器,其本身是硬件的堆叠,不带有任何存储操纵系统。
(2)NAS(Network Attached Storage,网络附加存储)
存储系统不在通过 I/O 总线附属于某个特定的服务器或客户机,而是直接通过网络接口与网络直接相连,由用户通过网络来访问。
NAS 实际上是一个带有服务的存储设备,其作用类似于一个专用的文件服务器,NAS 用于存储服务,可以大大降低存储设备的本钱。
(3)SAN(Storage Area Network,存储区域网络)
通过专用高速网将一个或多个网络存储设备和服务器连接起来的专用存储系统。
SAN 重要采取数据块的方式进行数据存储,现在重要有 IP SAN 和 FC SAN 两种情势(分别使用 IP 协媾和光纤通道)。
通过协议,能利用廉价、货源丰富的的以太网交换机、集线器和线缆来实现低本钱、低风险基于 IP 的 SAN 存储。
光纤通道是一种存储区域网络技术,它实现了主机互连,企业间共享存储系统的需求,可以为存储网络用户提供高速、高可靠性以及稳定安全性的传输。光纤通道是一种高性能,高本钱的技术。由于是远程访问,因此选用 IP SAN 是最适合的。
固态盘具有最快的速度,但现在固态盘还有一些技术上的限制,重要表如今两个方面:
一是存储容量还不能像磁盘一样大;
二是写的次数有限制,远低于磁盘;
鉴于此,银行的灾备应用现在还不适于选用固态盘。
网络攻击
https://i-blog.csdnimg.cn/img_convert/75e09c72ec7c4eae51164d400fca9659.png
网络攻击有主动攻击和被动攻击两类。
(1)主动攻击:指通过一系列的方法,主动地向被攻击对象实施粉碎的一种攻击方式;
比方:重放攻击、IP 地址欺骗、拒绝服务攻击、信息窜改。
(2)被动攻击:指通过持续检测现有网络中的流量变化大概变化趋势,而得到相应信息的一种被动攻击方式。
比方:流量分析、嗅探、信息收集、系统干涉、会话拦截。
安全域间的数据活动
安全域间的数据活动具有方向性,包括入方向(Inbound)和出方向(Outbound)。
入方向:数据由低优先级的安全区域向高优先级的安全区域传输。
出方向:数据由高优先级的安全区域向低优先级的安全区域传输。
通常环境下,通信双方一定会交互报文,即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。
通常对发起连接的终端位于 Trust 区域,他向位于 UNtrust 区域的 Web 服务器发送了第一个报文,以请求建立 HTTP 连接。由于 Untrust 区域的安全级别比 Trust 区域低,以是防火墙设备将认为这个报文属于 Outbound 方向,并根据 Outbound 方向上的安全策略决定是放行还是丢弃。如果这个连接可以或许建立,那么设备将为其建立一条会话表。
会话表项中记录了这条连接的五元组:源和目的 IP地址,源和目的端标语,协议范例。此后凡是符合这五元组定义的报文,包括客户端后续发给 Web 服务器的报文以及 Web 服务器回应给客户端的报文,都会根据会话表来进行处理,而不会根据报文的实际传输方向重新检查安全策略。
ACL-访问控制列表
访问控制列表(Access Control Lists,ACL)是现在使用最多的访问控制实现技术。
访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。
ACL 实用于所有的被路由协议,如 IP、IPX、AppleTalk 等。
访问控制列表可以分为根本访问控制列表和高级访问控制列表。
ACL 的默认执行顺序是自上而下,在配置时要遵照最小特权原则、最靠近受控对象原则及默认丢弃原则。
(1)根本访问控制列表
根本访问控制列表基于 IP 地址,列表取值2000~2999,分析数据包的源地址决定允许或拒绝数据包通过。
(2)高级访问控制列表
高级访问控制列表比根本 IP 访问控制列表具有更多的匹配项,包括协议范例、源地址、目的地址、源端口、目的端口、建立连接的和 IP 优先级等。编号范围是从3000~3999的访问控制列表是高级访问控制列表。
X.509 标准
数字证书由 CA 发送。
X.509 数字证书中的签名字段是指发证机构对用户证书的签名。
来自差别 CA 的用户如果必要进行验证的话,必要通过 CA 之间的证书链进行。
IEEE 802.11 无线网络标准
(1)IEEE 802.11a
规定采用 5GHz的 ISM 频段,数据传输速率为54Mbps。
(2)IEEE 802.11b
规定采用2.4GHz最高数据传输速率能达到11Mbps。
(3)IEEE 802.11g
规定采用2.4GHz,最高数据传输速率达到54Mbps。
其较低的工作频率对于室内 WLAN 环境具有更好的传输性能,与基于 802.11a 的设备相比,该标准传输的距离更远。
(4)IEEE 802.11n
采用 2.4GHz频带,最大支持 540Mbps。
(5)IEEE 802.11i
IEEE 802.11i 规定使用 802.1x 认证和密钥管理方式。
802.1x 认证和密钥管理方式
在数据加密方面,定义了 TKIP、CCMP 和 WRAP 三种加密机制。
[*]TKIP 采用 WEP 机制里的 RC4 作为核心加密算法,
[*]CCMP 机制基于 AES 加密算法和 CCM 认证方式,使得WLAN 安全程度大大提高。由于 AES 对硬件要求比较高,CCMP 无法通过在现有设备的底子上升级实现。
[*]WRAP 机制则是基于 AES 加密算法和 OCB。
通信技术
(1)FHSS 跳频技术(Frequency-Hopping Spread Spectrum),是无线通讯最常用的扩频方式之一。
(2)CDMA(Code Division Multiple Access)又称码分多址,是在无线通讯上使用的技术,国内电信在用的方式。
(3)DSSS 扩展频谱(Spread Spectrum)技术是一种常用的无线通讯技术,简称展频技术。
(4)红外线 Infra-red,简称 IR,是一种无线通讯方式,可进行无线数据的传输。
IEEE 802.11 无线网络标准规定了三种物理层介质性能。其中两种物理层介质工作在2400--2483.5MHz无线射反复段(根据各国当地法规规定),另一种光波段作为其物理层,也就是利用红外线光波 IR 传输数据流。
而直序列扩频技术(DSSS)则可提供** 1Mb/S 及 2Mb/S** 工作速率。
而跳频扩频(FHSS)技术及红外线技术的无线网络则可提供 **1Mb/S **传输速率,
别的 IEEE 802.11 还全新定义了一种新的协议,即载波侦听多点接入/辩论避免(CSMA/CA).
AC 组网方式
AC 有直连式组网和旁挂式组网两种方式。
AC 承载管理流和数据业务流:
1. 管理数据流**必须**封装在 CAPWAP(Control And Provisioning of Wireless Access Points)隧道传输。
2. 数据流可以根据实际情况**选择**是否封装在 CAPWAP 隧道中传输。
https://i-blog.csdnimg.cn/img_convert/0494c37af1a7ae0b628b764089c1b75f.png
CAPWAP 有两种操纵模式:
Split MAC 模式下
所有二层的无线业务数据和管理数据都被 CAPWAP 协议封装,通过隧道传输,用于 AC 和 AP 之间交互,工作站的业务数据流被 AP 直接封装,转发给 AC。
在这种模式下,无线报文无需颠末报文转换,交给 AC 处理。
Local MAC 模式下
允许数据帧用本地桥大概使用 802.3 数据帧进行传输。
通常数据流不选择隧道,而是直接转发。
CAPWAP 定义了无线接入点(AP)与无线控制器(AC)之间的通信规则,为实现 AP 和 AC 之间的互通性提供通用封装和传输机制。
所谓的胖 AP,通常就是无线路由器。与纯AP 的区别在于,除无线接入功能外,一样平常具备 WAN、LAN 两个接口,多支持 DHCP 服务器、DNS 和 MAC 地址克隆,防火墙等安全功能。
瘦 AP:瘦 AP 是“代表自身不能单独配置大概使用的无线 AP 产品,这种产品仅仅是一个 WLAN 系统的一部分,必要 AC 进行控制和管理,自身可以实现零配置”
虚拟存储
虚拟存储的作用:内存在计算机中的作用很大,电脑中所有运行的步伐都必要颠末内存来执行,如果执行的步伐很大或许多,就会导致内存消耗殆尽。
为了解决这个题目,Windows 中运用了虚拟内存技术,即拿出一部分硬盘空间来充当内存使用,当内存占用完时,电脑就会主动调用硬盘来充当内存,以缓解内存的紧张。
虚拟存储器要在主存(如内存)和辅存(如硬盘)之间进行信息动态调度。
https://i-blog.csdnimg.cn/img_convert/c528d81cd65b316707f5b9a5677b5c96.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]