2022年网络安全复习笔记

第一章.信息安全是防止对知识、事实、数据或能力非授权使用、误用、篡1改或拒绝使用所采取的措施（量度）网络安全是在分布网络环境中，对信息载体（处理载体、存储载体、

2.传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务计算机网络的安全隐患

3.）安全:口令窃听、欺骗、路由攻击1IP F）安全2DNS）拒绝服务（）攻击:发送信息分组、邮件3Denied of Service DoSSYN炸弹）分布式拒绝服务（）攻击4Distributed DeniedofS㊀rvice,DDoS网络安全具有三个基本属性

4.）机密性（保密性）是指保证信息与信息系统不被非授权者所获取与使1用，主要防范措施是密码技术）完整性是指信息是真实可信的，其发布者不被冒充，来源不被伪造,内2容不被篡改，主要防范措施是校验与认证技术访问控制分类♦＞根据能够控制的访问对象粒度可以分为粗粒度访问控制，中粒度访问控制，细粒度访问控制＞根据访问控制策略的不同，访问控制可以分为自主访问控制，强制访问控制，基于角色的访问控制第五章系统安全体系结构

1.可信系统体系结构要素包括定义主体和客体的子集、可信计算基、安♦全边界、基准监控器和安全内核、安全域、资源隔离、安全策略和最小特权在计算机系统中全部保护机制的组合定义为可信计算基♦trust6d涉及硬件、软件和固件computing base,TCB TCBo网络体系结构的观点

2.标准定义了5类安全服务、种特定的安全机制、5种普♦ISO7498-28遍性安全机制＞安全体系结构的类安全服务:鉴别对等实体鉴别，数OSI5据原发鉴别），访问控制，数据机密性（连接机密性，无连接机密性，选择字段机密性，通信业务流机密性），数据完整性（带恢复的连接完整性，无恢复的连接完整性，选择字段的连接完整性，无连接完整性，选择字段无连接完整性），抗否认（有数据原发证明的抗否认，有交付证明的抗否认）＞普遍性安全机制可信功能度，安全标记，事件检测，安全审计跟踪，安全恢复＞特定的安全机制加密机制，数字签名机制，访问控制机制,数据完整性机制，交换鉴别机制，业务流量填充机制，路由控制机制，公证机制＞安全特性是基于的种安全服务，包括鉴别、访问ISO7498-25控制、数据机密性、数据完整性、抗否认第六章物理网络风险及安全

1.攻击包括窃听回答（重放）插入拒绝服务（）♦DoS局域网的安全.LAN2攻击类型破坏干扰故意攻击♦防御方法防火墙特权区连接♦LAN是在和之间的一个隔离的网段，♦DMZ:DMZ LANWAN DMZ对网络安全提供个关键的好处限制数据流、限制物理连接以及3监控访问点无线网络安全

3.无线网风险♦＞分组嗅测无线网攻击的最简单方式无线网上的数据流本质上是一总线结构＞服务集标识信息通常设置为一个公司名、家庭名或SSID SSID街道地址这种数据类型能被潜在的攻击者破坏＞假冒＞寄生者＞直接安全漏洞风险缓解的方法♦＞打标签，不使广播，天线放置，过滤，其SSID SSIDMAC WEP,他密码系统，网络体系结构数据链路层风险及安全

4.数据链路层风险♦＞随意模式随意模式攻击随意模式通常用于网络分析和查错工具，但是攻击者也能利用该模式进行攻击随意模式的检测方法使用检测连接随意模式，使用检测随意模式，ARP ICMP使用检测随意模式DNS＞负载攻击，地址攻击，帧外数据，转换通道，物理风险数据链路层风险缓解方法硬编码，数据链路身份鉴别，高层身份鉴♦别，分析器和工具和的风险身份鉴别，双向通信，用户教育

5.PPP SLIP和的风险

6.MAC ARP的风险硬件框架攻击，伪装攻击，负载攻击♦MAC受损的影响资源攻击，攻击，中间人攻击（攻击）♦ARP DoSMitM缓解的受损硬编码表，过期，过滤回答,锁♦ARP ARP ARPARP住表ARP交换机攻击交换机中毒攻击，交换机淹没攻击♦路由风险;直接路由器攻击,路由表中毒，路由表淹没，路由度量攻♦击，路由器环路攻击地址机制的风险假地址，地址拦截，假释放攻击，假的动态分酉♦己分段的风险丢失分段攻击，最大的不分段大小，分段重组♦网络层安全安全协议，网络不兼容能力，体系结构，安全过滤,防♦火墙和出口过滤风险地址冲突，拦截，回答攻击，分组风暴，分段攻击，转♦IP IP换通道安全可选方案禁用非路由地址，网络地址转换反♦IP ICMP,NAT,向过滤，出口过滤，NAT,IP IPSec,IPv6匿名网络匿名是阻止识别连接的参与者网络匿名有个不同属♦3性源匿名、目的匿名和链路匿名第七章.传输层核心功能1传输层定义网络层和面向应用层之间的接口，从应用层抽象连网♦功能，包括连接管理、分组组装和服务识别，传输层有两个核心成分，即传输层端口和序列传输层风险♦缓解对攻击的方法改变系统框架，阻断攻击指向，识别网络♦TCP设备，状态分组检验，入侵检测系统（）入侵防御系统IDS,（）高层协议IPS,风险非法的进入源，拦截，保持存活攻击，♦UDP UDP UDPUDP攻击，侦察Smurf UDP安全套接字层SSL

2.分为两层，上面是协商层，双方通过协商约定有关加密♦SSL SSL的算法、进行身份鉴别等；下面是记录层，它把上层的数据经SSL分段、压缩后加密，由传输层传送出去采用公钥方式进行身份鉴别，但大量数据传输仍使用对称密钥♦SSL方式通过双方协商，可支持多种身份鉴别、加密和检验算法SSL同网络层安全机制相比，传输层安全机制的主要优点是它提供基于♦进程对进程的（而不是主机对主机的）安全服务和加密传输信道，利用公钥体系进行身份鉴别，安全强度高，支持用户选择的加密算法风险及缓解方法

3.DNS直接风险♦＞无身份鉴别的响应＞缓存受损DNS＞盲目攻击ID＞破坏分组DNS技术风险♦＞域拦截DNS＞服务器拦截拦截通常发生的两种情况，即系统被破DNS DNS坏或拦截IP＞更新持续时间＞动态DNS社会风险♦＞相似的主机名＞自动名字实现＞社会工程＞域更新缓解风险的方法♦＞直接威胁缓解补丁，内部和外部域分开，限制域的转换，鉴别的域转换，有限的缓冲间隔，拒绝不匹配的回答＞技术威胁的缓解加固服务器，防火墙＞侦察威胁的缓解限制提供信息，限制域转换，限制请求，DNS去除反向查找，分开内部和外部域，去除额外信息，隐藏版本＞社会威胁缓解锁住域，使用有效联系，不间断支持，自己主持＞优化配置DNS＞确定可信的回答邮件风险

4.SMTP伪装报头及垃圾邮件♦中继和拦截♦和♦SMTP IDNS低层协议♦的伦理问题♦E-mciil风险

5.HTTP漏洞主机名求解攻击，主机伪装，统一资源标识符伪装，♦URL URI剪切和拼接，滥用查询，插入，跨站脚本SQL常见的风险无身份鉴别的客户，无身份鉴别的服务器，客户♦HTTP端隐私，信息泄露，服务器定位轮廓，访问操作系统，低层协议，不安全的应用程序第八章防火墙

6.防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是♦安全和可信赖的，而外部网络通常是被认为是不安全和Internet不可信赖的防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策防火墙的功能♦＞访问控制功能＞内容控制功能可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是）3确保信息与信息系统处于一个可靠的运行状态之下网络安全模型

5.为了在开放网络环境中保护信息的传输，需要提供安全机制和安全服务，主要包含两个部分一部分是对发送的信息进行与安全相关的转换，另一部分是由两个主体共享的秘密信息，而对开放网络是保密的在设计网络安全系统时，该网络安全模型应完成个基本任务:4设计一个算法以实现和安全有关的转换）1产生一个秘密信息用于设计的算法）2开发一个分发和共享秘密信息的方法）3确定两个主体使用的协议，用于使用秘密算法与秘密信息以得到特定的）4安全服务网络访问安全模型

6.黑客攻击可以形成两类威胁信息访问威胁、服务威胁.信息安全分成个阶段37通信安全的主要目的是解决数据传输的安全问题，主要的措施是密）1码技术计算机安全的主要目的是解决计算机信息载体及其运行的安全问题，）2主要的措施是根据主、客体的安全级别，正确实施主体对客体的访问控制网络安全的主要目的是解决在分布网络环境中对信息载体及其运行提）3供的安全保护问题，主要的措施是提供完整的信息安全保障体系,包括防护、检测、响应、恢复对称密钥密码技术从加密模式上可分为两类序列密码和分组密码

8.序列密码:RC4分组密码、、DE3IDEA AES公钥算法RSA第二章风险分析是对需要保护的资产及其受到的潜在威胁进行鉴别的过程，风

1.险是威胁和漏洞（脆弱性）的组合，正确的风险分析是保证网络环境安全的极其重要的一步资产的类型一般可分成以下类物理资源、知识资源、时间资源、

42.信誉（感觉）资源网络安全最终是一个折中的方案，需要对危害和降低危害的代价进

3.行权衡用户的方便程度、管理的复杂性、对现有系统的影响、对不同平台的支持安全属性来看，攻击类型分为类:阻断攻击截取攻击篡改攻击伪

4.4造攻击从攻击方式来看，攻击类型可分为被动攻击和主动攻击从攻击目的和效果将攻击类型分为访问攻击篡改攻击拒绝服务攻击否认攻击，拒绝服务攻击主要是针对计算机和网络系统否认攻击是针对信息的可审性进行的

5.风险管理从本质上讲，安全就是风险管理，漏洞和威胁是测定风险的两个组成部分风险是威胁和漏洞的综合结果，没有漏洞的威胁没有风险，没有威胁的漏洞也没有风险，风险的度量是要确定事件发生的可能性和造成的损失第三章信息策略定义一个组织内的敏感信息以及如何保护敏感信息包括:

1.识别敏感信息，信息分类，敏感信息标记，敏感信息存储，敏感信息传输，敏感信息销毁安全策略两个主要任务确定安全的实施，使员工的行动一致

2.第四章机密性服务

1.机密性服务提供信息的保密♦机密性服务能对抗访问攻击♦机密性服务必须和可审性服务配合工作♦机密性服务应考虑信息所在的形式和状态♦完整性服务

2.完整性服务提供信息的正确性♦正确地使用完整性服务，可使用户确信信息是正确的，未经非授权♦者修改过完整性服务必须和可审性服务配合工作♦完整性服务应考虑信息所在的形式和状态♦完整性服务可阻止篡改攻击和否认攻击♦可用性服务

3.可用性服务提供的信息是可用的♦可用性使合法用户能访问计算机系统，存取该系统上的信息，运♦行各种应用程序可用性还提供两个计算机系统之间可用的传输信息的通信系统♦可用性服务可用来减少拒绝服务攻击的影响，使系统得以在线恢复、♦正常运行可审性服务

4.可审性服务本身并不能针对攻击提供保护，必须和其他安全服务结♦合可审性服务会增加系统的复杂性，降低系统的使用能力♦如果没有可审性服务，机密性服务和完整性服务也会失效♦身份认证技术

5.口令技术♦采用物理形式的身份认证标记进行身份认证的鉴别技术♦身份认证协议

6.身份认证协议一般有两个通信方，可能还会有一个双方都信任的第三♦方参与进行身份认证协议可分为以下几类♦＞会话密钥传统密钥＞共享密钥认证＞公钥认证审计功能

7.可审性的另一个重要功能是审计审计提供历史事件的记录♦数字签名

8.数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗♦的一种身份认证数字签名的作用保证信息完整性；提供信息发送者的身份认证♦数字签名的特征♦＞必须能够验证作者及其签名的日期时间＞必须能够认证签名时刻的内容＞签名必须能够由第三方验证，以解决争议数字签名分类♦数字签名的执行方式＞直接数字签名数字签名的执行过程只有通信双方参与，弱点方案的有效性取决于发方私钥的安全性＞仲裁数字签名数字签名算法♦RSA,DSS/DSA,El Gamal消息摘要

9.消息和已签名的消息摘要合在一起是不可伪造的，是可检验♦X DH的和不可否认的消息摘要算法♦＞常用的散列函数有、MD5SHA-1＞消息摘要算法是精心选择的一种单向函数鉴别Kerberos

10.是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心♦的身份认证系统提供网络通信方之间相互的身份认证手段♦使用两个服务器:鉴别服务器、♦Kerberos AuthenticotionServer,AS凭据授予服务器Ticket-Gronting S㊀rver,TGS到目前共有个版本、、版为实验室版第、版得到广♦512345泛应用第版和第版基本原理一致，只对第版做了部分改进544公钥基础设施

11.公钥基础设施是在分布式计♦Public KeyInfrastructure,PKI算机系统中提供的使用公钥密码系统和证书安全服务的基础X.509设施主要任务是在开放环境中为开放性业务提供基于公开密钥技术的一系♦列安全服务，包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等提供的基本服务♦PKI＞认证采用数字签名技术，签名作用于相应的数据之上＞完整性数字签名既可以是实体认证，也可以是数据完整性＞保密性用公钥分发随机密钥，然后用随机密钥对数据加密＞不可否认性发送方的不可否认——数字签名，接受方的不可否认——收条+数字签名访问控制

12.访问控制是确定来访实体有否访问权以及实施访问权限的过程♦访问控制表按行存储矩阵♦Access ControlList,ACL权利表按列存储矩阵♦CopciHity。