软考中级-软件设计师（十）网络与信息安全基础知识

一、网络概述

1.1计算机网络的概念

计算机网络的发展：具有通信功能的单机系统->具有通信功能的多机系统->以共享资源为目的的计算机网络->以局域网及因特网为支撑环境的分布式计算机系统

计算机网络的功能：数据通信、资源共享、负载均衡、高可靠性

1.2计算机网络的分类

按分布范围划分：局域网、城域网、广域网

局域网：传输距离有限、传输速度较高、以共享网络资源为目的

城域网：一般覆盖临近的多个单位和城市，城域网规范由IEEE 802.6协议定义

广域网：传输速度较低，以数据通信为主要目的

1.3网络的拓扑结构

网络的拓扑结构指网络中通信线路和结点的几何排序。常用的网络拓扑结构有：总线型、星型、环型、树型和分布式结构等

广域网多用分布式或树型结构，局域网常用总线型、环型、星型或树型结构

1.4ISO/OSI网络体系结构

ISO/OSI参考模型有七层

7.应用层}

6.表示层}}POP3,FTP,HTTP,SMTP,DHCP,TFTP,SNMP,DNS,Telent

5.会话层}

4.传输层：TCP，UDP

3.网络层：三层交换机、路由器、ARP、RARP、IP、ICMP、IGMP

2.数据链路层：网桥、交换机、网卡、PPTP、PPP

1.物理层：中继器、集线器

参考模型的信息流向：

物理层：负责比特流的传输，定义物理设备标准，如网络接口和传输介质。
数据链路层：负责将数据封装成帧，提供介质访问和链路管理，包括误码检测、帧同步等。
网络层：负责IP选址和路由选择，确保数据能够准确传输到目的地址。
传输层：提供端到端的数据传输服务，确保数据的可靠传输，如TCP和UDP协议。
会话层：负责建立、管理和结束会话，协调应用程序之间的通信。
表示层：负责数据格式的转换和加密，确保不同系统能够相互理解数据。
应用层：为用户提供特定的应用服务，如电子邮件、网页浏览等。

二、网络硬件连接

2.1网络的设备

物理层的互连设备有中继器（Repeater）和集线器（Hub），中继器放大并转发信号，延长网络距离；集线器则放大并转发至所有端口，实现局域网集中连接

数据链路层的互连设备有网桥（Bridge）和交换机（Switch），网桥是早期两端口设备，连接局域网；交换机是多端口设备，功能更强大

网络互联层设备是路由器（Router），用于连接多个逻辑上分开的网络

应用互联层设备是网关（Gateway），用于连接不同类型且协议差别较大的网络

2.2网络传输介质

·有线介质：双绞线（即网线，分为屏蔽双绞线STP和非屏蔽双绞线UTP）；同轴电缆；光纤（由纤芯和包层组成，传输光信号，由PC端传出的是电信号，需转换为光信号传输，分为多模光纤MMF和单模光纤SMF）

·无线介质：微波；红外线和激光；卫星

三、网络的协议与标准

3.1网络的标准

1）电信标准：V系列（针对调制解调器的标准）X系列（针对广域网的标准，X.1-X.39标准应用于终端形式、接口、服务设施和设备；X.25规定了数据包装和传送的协议；X.40-X.199标准管理网络结构、传输、发信号等）

2）国际标准：ANSI（美国国家标准研究所）NIST（美国国家标准技术研究所）IEEE（电气和电子工程师协会）EIA（电子工业协会）

3）Internet标准：自发的而非政府干预的，目前已组成了一个民间性质的协会ISOC进行必要的协调与管理

3.2局域网协议

以太网规范：通过使用MAC地址来唯一标识每一个网络设备，并通过交换机进行数据传输，IEEE 802.3标准

令牌环网：IEEE 802.5

无线局域网WLAN技术标准：IEEE 802.11

3.3广域网协议

PPP点对点协议：用于建立、配置和维护数据链路的连接

xDSL数字用户线：是各种数字用户线的统称

DDN数字专线、ISDN综合业务数字网、FR帧中继等

3.4TCP/IP协议族

网络协议三要素：语法（数据传输的格式）、语义（规定要完成的功能）、时序（规定各种操作的条件、顺序关系）

TCP/IP特性主要表现在5个方面：逻辑编址、路由选择、域名解析、错误检测和流量控制、对应用程序的支持

TCP/IP分层由4个层次构成，即应用层、传输层、网际层和网络接口层

1）网际层协议：网际层是整个TCP/IP协议族的重点，除了IP外，还有ICMP、ARP、RARP

·IP只提供无连接、不可靠的服务，将上层数据（如TCP、UDP数据）或同层的其他数据（如ICMP数据）封装到IP数据报中，将IP数据报传送到最终目的地

·ARP和RARP：地址解析协议及反地址解析协议，ARP将IP地址转换为物理（MAC）地址，RARP将物理（MAC）地址转回IP地址

·ICMP：专门用于发送差错报文的协议，用于发送错误及检查信息

2）传输层协议：

·TCP：在IP提供的不可靠数据服务的基础上为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务，TCP在建立和关闭连接时需要“三次握手”

·UDP：一种不可靠的、无连接的协议，但有助于提高传输的高速率性

3）应用层协议：NFS、Telnet、SMTP、DNS、SNMP、FTP等

四、Internet及应用

4.1Internet概述

Internet是全球性的、开放的、分布式网络互联系统，基于TCP/IP协议族，提供通信、信息、娱乐和电子商务等多种服务，已成为现代社会不可或缺的基础设施。

4.2Internet地址

域名：通常是用户所用的主机名字或地址，由若干部分组成。每个部分又称子域名，用"."分隔，通常由：计算机主机名 . 本地名 . 组名 . 最高层域名

IP地址：机器中存放的是32位二进制代码，每隔8位插入一个空格，点分十进制表示（10000000 00001011 00000011 00011111->128.11.3.31）

Internet中的地址可分5类：A、B、C、D、E类。全0代表的是网络，全1代表的是广播

·无分类编址：不按ABC类规则，自动规定网络号，格式为 IP地址/网络号
128.168.0.11/20表示IP地址为128.168.0.11网络号占20位，主机号占32-20=12位，也可以划子网（最小占2^20位主机，网络号就为20）

•特殊IP地址：
公有地址：通过他直接访问因待网，是全网唯一IP地址；私有地址：非注册地址，专门为组织机构内部使用，不能直接访问因特网
* 私有地址范围：
A类：10.0.0.0~10.255.255.205   网络号 10    网络数 1
B类：127.16.0.0～ 172.31.255.255    网络号 172.16～172.31    网络数 16
C类：192.168.0.0～192.168.255.255    网络号 192.168.0～192.168.255    网络数 256
其他特珠地址：

网络号	主机号	源地址使用	目的地址使用	代表的意思
0	0	是	否	在本网络的本主机
全1	全1	否	是	在本网络上进行广播
Net-ID	全1	否	是	对Net-ID上的所有主机进行广播
127	非全0全1	是	是	用作本地的软件环回测试
169.254	非全0全1	是	是	Windows主机DHCP服务器故障分配

•子网划分：即自定义网络号位数，避免浪费
将主机号拿出几位作为子网号，此时IP：网络号+子网号+主机号
网络号和子网号都为1，主机号都为0，这样的地址为子网掩码（子网号可以全0全1，主机号不行；主机数需-2，子网数不用）
聚合网络形成超网，即划分子网的逆过程
eg. 主机30位，所以主机号为5（2^5=32）故网络号32-5=27
网络号包含网络号和子网号，所以子网号27-24=3（一个C类地址网络为24位）
最终，一个C类地址被划分为2^3个子网，2^5-2个主机

IPv6简介：为解决IPv4地址数不够用的情况，IPv6增大地址长度至128位，空间增大2^96倍

IPv4和IPv6的过渡期间，主要使用三种技术：双协议栈、隧道技术、翻译技术

4.3Internet服务

1）域名服务：Internet中的域名地址和IP地址是等价的，他们之间是通过域名服务来完成映射变换的。域名系统采用客户端/服务器模式，整个系统由解析器和域名服务器组成

2）远程登录服务

远程登录服务是在Telnet协议的支持下，将用户计算机与远程主机连接起来，在远程计算机上运行程序，将相应的屏幕显示传送到本地机器，并将本地的输入送给远程计算机

3）电子邮件服务

电子邮件（E-mail）就是利用计算机进行信息交换的电子媒体信件；

E-mail服务主要采用SMTP（简单邮件传输协议），保证了被传输的电子邮件的可靠传输，但不能用来传送非ASCII码文本；

在TCP/IP网络上的大多数邮件管理程序使用SMTP来发信，且采用POP（常用的是POP3）来保管用户未能及时取走的信件

4）WWW（万维网）服务

万维网是一种交互式图形界面的Internet服务，是目前Internet中最受欢迎、增长速度最快的一种多媒体信息服务系统

WWW浏览器程序为用户提供基于超文本传输协议（HTTP）的用户界面；WWW服务器的数据文件由超文本标记语言（HTML）描述；HTML利用统一资源定位器（URL）的指标是超媒体连接，并在文本内指向其他网络资源

5）文件传输服务

Internet的FTP服务是一种匿名FTP服务，FTP是基于客户端/服务器模式的服务系统，由客户端软件、服务器软件和FTP通信协议3部分组成；FTP在客户端与服务器内部建立两条TCP连接：一条用于传输命令和参数（端口号为21）另一条用于传送文件（端口号20）

五、信息安全基础知识

5.1信息安全存储安全

信息安全包括5个基本要素：机密性、完整性、可用性、可控性、可审查性

5.2计算机信息系统安全保护等级

第一级，自主保护级。这个级别适用于一般的信息系统，就算它受到破坏，也只是对公民、法人和其他组织的合法权益产生损害，不会影响到国家安全、社会秩序和公共利益。
第二级，指导保护级。同样适用于一般的信息系统，但相比自主保护级，它受到破坏后会对社会秩序和公共利益造成轻微损害，但不会损害国家安全。
第三级，监督保护级。这个级别就相对重要了，它适用于涉及国家安全、社会秩序和公共利益的重要信息系统。一旦它受到破坏，就会对国家安全、社会秩序和公共利益造成损害。
第四级，强制保护级。这个级别的信息系统更加关键，一旦受到破坏，会对国家安全、社会秩序和公共利益造成严重损害。
第五级，虽然《信息安全等级保护管理办法》中没有明确说明第五级是什么，但根据其他资料，第五级可能是专控保护级，适用于极其重要的信息系统，其受到破坏后会对国家安全造成特别严重损害

5.3数据加密原理

加密技术：密码体制——明文空间M，密闻空间C，密钥空间K，加密算法E，解密算法D

对称加密技术：加解密的密钥相同，位数少、速度快、强度不高、密钥分发困难；

非对称加密技术：加解密的密钥不同，公开密钥加密算法，安全，但无法保证完整性；

数字信封原理：用对称密钥加密数据，非对称密钥加密密钥；

信息摘要：产生固定长度的信息摘要，无法还原数据，信息摘要由哈希函数生成；

数字签名：唯一标识一个发送方

六、网络安全概述

6.1网络安全威胁

非授权访问：假冒、身份攻击、非法用户进入网络系统、合法用户以未授权方式进入等

信息泄露或丢失：通过对信息流向、流量等分析推测出有用信息

破坏数据完整性：恶意添加、修改等数据以干扰用户正常使用

拒绝服务攻击：不断对网络服务进行干扰，执行无关程序使系统响应减慢甚至瘫痪，影响正常使用

利用网络传播病毒：通过网络传播计算机病毒

6.2网络安全控制技术

防火墙技术：在内部网络和外部因特网之间增加的一道安全措施

加密技术：网络信息安全主动的、开放性的防御手段，主要有对称加密和非对称加密两大类

用户识别技术：识别访问者是否属于系统的合法用户

访问控制技术：控制不同用户对资源的访问权限

入侵检测技术：检测对系统资源的非授权使用

6.3网络攻击

被动：窃听、业务流分析、非法登陆

主动：假冒身份、抵赖、旁路控制、重放攻击、拒绝服务

6.4计算机病毒

·直接执行病毒：通过感染可执行文件来传播，比如.exe或.com文件

·文件病毒：通过感染文档来传播，比如.doc或.xls等

·引导区病毒：感染计算机的启动区或引导区

典型的病毒有CIH（攻击BIOS和硬盘，破坏硬件）、蠕虫病毒（自动复制）、木马病毒（伪装成良性软件）……

6.5网络安全协议

物理层主要使用物理手段，隔离、屏蔽物理设备等，其他层靠协议来保护

·SSL协议：安全套接字协议，被设计为加强Web安全传输协议，与HTTP结合形成HTTPS协议，端口号443

·SSH协议：加强Telnet/FTP安全的传输协议

·SET协议：安全电子交易协议，保障支付信息安全

·Kerberos：网络身份认证协议

·PGP协议：使用RSA公钥证书进行身份认证，使用IDEA（128位密钥）进行数据加密，使用MD5进行数据完整性验证

·POP3协议采用Cilent/Server模式，客户端代理POP3服务，建立TCP连接

·TCP使用的流量控制协议是可变大小的滑动窗口协议

·DEC、RC4对称加密，只能用于数据加密

·MD5生成消息的摘要

·RSA数字签名

·SNMP协议的报文封装在UDP协议中传送

·SSH协议在终端设备与远程站点之间建立安全连接

·DHCP协议功能自动分配IP地址

·FTP使用的传输层协议为TCP

·JDBC与数据库连接，发送语句处理结果

·XML对文档和数据进行结构化处理，简化了网络中数据交换和表示

·CGI外部应用程序与WEB服务器之间的接口标准

·COM开发各种功能专一的组件，然后组合起来·Linux中更改一个文件的权限，是chomd

·DNS查询：本地缓存->host表->本地域名服务器(先看区域数据配置文件->缓存->根域名服务器->项级->权限）

基于TCP协议：HTTP（超文本传输协议）、HTTPS（安全超文本传输协议）、FTP（文件传输协议）、SMTP（简单邮件传输协议）、POP3（邮局协议第三版）

基于UDP协议：DNS（域名系统）、VoIP（语音通话协议）、TFTP（简单文件传输协议）、NTP（网络时间协议）、SNMP（简单网络管理协议）

七、典型例题