【软考网工笔记】计算机基础理论与安全——网络安全

病毒

Melissa 宏病毒

1. 是一种快速传播的能够感染那些使用MS Word 97 和MS Office 2000 的计算机宏病毒。
2. 前面有**Macro** 表示这是宏病毒；
3. 宏病毒可以感染后缀为`.xls`的文件；

Worm 蠕虫病毒

1. 通常是通过网络或者系统漏洞进行传播。
2. 利用信息系统缺陷，通过网络自动复制并传播的有害程序。

Trojan 木马

1. 木马通常伪装成有用的程序诱骗用户主动激活，或利用系统漏洞侵入用户计算机，计算机感染特洛伊木马后的典型现象是有未知程序试图建立网络连接。

Win32、PE 、Win95 文件型病毒或系统病毒

1. 感染可执行文件（如 exe、.com）.d11 文件的病毒

公钥体系

私钥——解密和签名

公钥——加密和认证

数字签名与验证过程

1. 数字签名过程：
   1. A使用“摘要算法”（如SHA-1、MD5等）对发送信息进行摘要。
   2. 使用A的私钥对消息摘要进行加密运算，将加密摘要和原文一并发给B。
2. 验证签名过程：
   1. B接收到加密摘要和原文后，使用和A同样的“摘要”算法对原文再次摘要，生成新摘要。
   2. 使用A公钥对加密摘要解密，还原成原摘要。
   3. 两个摘要对比，一致则说明由A发出且没有经过任何篡改。

由此可见，数字签名功能具有信息身份认证、信息完整性检查、信息发送不可否认性，

但不提供原文信息加密，不能保证对方能收到消息，也不对接收方身份进行验证。

安全需求

物理安全：——机房安全

网络安全：——入侵检测

系统安全：——漏洞补丁

应用安全：——数据库安全

主动攻击包含攻击者访问所需信息的故意行为；

RSA 加密算法

RSA（Rivest shamir Adleman）是典型的非对称加密（公开算法），该算法基于大素数分解。

RSA 适合进行数字签名和密钥交换运算。

IDEA 加密算法

国际数据加密算法 IDEA 的明文和密文均为 64 位，密钥长度为 128 位。

典型的 Des 的相关参数，还有 MD5，sha-1 的输出位数；

CSMA/CD

按总线争用协议来分类，有三种

1. 非坚持 CSMA
   1. 一个站点在发送数据帧之前，先要对媒体进行检测。
      1. 如果没有其它站点在发送数据，则该站点开始发送数据。
      2. 如果媒体被占用，则该站点不会持续监听媒体，而等待一个随机的延迟时间之后再监听。
      3. 采用随机的监听延迟时间可以减少冲突的可能性，但其缺点也是很明显的：即使有多个站点有数据要发送，因为此时所有站点可能都在等待各自的随机延迟时间，而媒体仍然可能处于空闲状态，这样就使得媒体的利用率较为低下。
2. 1-坚持 CSMA
   1. 当一个站点要发送数据帧时，他就监听媒体，判断当前时刻是否有其他站点正在传输数据。
      1. 如果媒体忙的话，该站点等待直至媒体空闲。一旦检测到媒体空闲，他就立即发送数据帧。
      2. 如果冲突，则等待一个随机时间再监听。
      3. 

2. 之所以叫“1-坚持”，是因为当一个站点发现媒体空闲的时候，它传输数据帧的概率是 1。
3. 优点是：只要媒体空闲，站点就立即发送。
4. 缺点是：假如有两个或两个以上的站点有数据要发送，冲突就不可避免。

3. P-坚持 CSMA
   1. p-坚持 CSMA 是非坚持 CSMA 和 1-CSMA 的折中。应用于划分时槽的媒体。
   2. 其工作过程如下：
      1. 当一个站点要发送数据帧的时候，他先检测媒体，若媒体空闲，则该站点按照概率 P 的可能性发送数据，而有 1-P 的概率会把要发送数据帧的任务延迟到下一个时槽。按照这样的规则，若下一个时槽也是空闲的，则站点同样有 P 的概率发送数据帧。
      2. 

加密方式

（1）链路加密

是在数据链路层加密，通信设备需要安装特殊的安全单元。

（2）端-端加密

是把加密设备放在网络层和传输层之间，只加密传输层的数据单元，数据在发送端进行加密，到达接收端才解密，中间结点不参与解密过程。

（3）节点加密

节点中的数据是以密文形式存在，但要求在每个节点加装安全单元，需要公共网络提供配合。

代理服务器（Proxy Server）

访问 Internet 主要功能：

1. 突破网站的访问限制。
2. 提高访问网站的速度。
3. 隐藏本地主机的 IP 地址。

MD5 & SHA-1

（1）MD5

消息摘要算法 5（MD5），把信息分为512比特的分组，并且创建一个128比特的摘要。

（2）SHA-1

安全 Hash 算法（SHA-1）也是基于 MD5 的，使用一个标准把信息分为512比特的分组，并且创建一个160比特的摘要。

传导泄露

（1）传导泄露

通过各种线路传导出去，可以将计算机系统的电源线，机房内的电话线、地线等作为媒介的数据信息泄露方式。

（2）辐射泄漏

（3）电信号泄漏

（4）媒介泄漏

非对称加密算法

在非对称加密算法中，私钥用于解密和签名，公钥用于加密和认证。

例如：RSA 和 ECC（椭圆曲线密码编码学）算法

缺点：加密速度慢，计算量大，不适合用于会话通信。

对称加密算法

（1）DES

秘钥 64位（实际位是56位的密钥和8位奇偶校验）。

（2）3DES

是 DES 的扩展，是执行了三次的 DES。

其中第一、三次加密使用同一密钥的方式下，密钥长度扩展到 128 位（112 位有效）；

三次加密使用不同密钥，秘钥长度扩展到192位（168位有效），考试中默认 3DES 长度是112bit。

（3）RC5

RC5 是参数可变的分组密码算法，三个可变的参数是：分组大小、密钥长度、加密轮数;

（4）IDEA

明文、密文均为 64位，密钥长度128位；

（5）RC4

常用流密码，密钥长度可变，用于 SSL 协议。曾用于 802.11WEP 协议中。

（6）AES

密钥长度可以是128、192、256比特，明文分组长度是 128bit。

IDS 入侵检测系统

IDS 的主要作用是对进出网络的信息进行实时的监测与对比，及时发现攻击行为。

常用的三种分析方法：

• 匹配模式。
• 数据完整性分析。
• 统计分析。

密文分析需要相应的解密器不属于。

PGP 机密机制方法

邮件内容生成摘要，对内容用 IDEA 算法加密，对摘要和 IDEA 密钥用 RSA 算法加密；

存储系统

存储系统主要结构有三种：NAS、DAS 和 SAN。

（1）DAS（Direct Attached Storage，直接附加存储）

存储设备是通过电缆（通常是 SCSI 接口电缆）直接连接服务器。I/O 请求直接发送到存储设备。

DAS 也可称为 SAS（Server-Attached-Storage，服务器附加存储）。它依赖于服务器，其本身是硬件的堆叠，不带有任何存储操作系统。

（2）NAS（Network Attached Storage，网络附加存储）

存储系统不在通过 I/O 总线附属于某个特定的服务器或客户机，而是直接通过网络接口与网络直接相连，由用户通过网络来访问。

NAS 实际上是一个带有服务的存储设备，其作用类似于一个专用的文件服务器，NAS 用于存储服务，可以大大降低存储设备的成本。

（3）SAN（Storage Area Network，存储区域网络）

通过专用高速网将一个或多个网络存储设备和服务器连接起来的专用存储系统。

SAN 主要采取数据块的方式进行数据存储，目前主要有 IP SAN 和 FC SAN 两种形式（分别使用 IP 协议和光纤通道）。

通过协议，能利用廉价、货源丰富的的以太网交换机、集线器和线缆来实现低成本、低风险基于 IP 的 SAN 存储。

光纤通道是一种存储区域网络技术，它实现了主机互连，企业间共享存储系统的需求，可以为存储网络用户提供高速、高可靠性以及稳定安全性的传输。光纤通道是一种高性能，高成本的技术。由于是远程访问，因此选用 IP SAN 是最适合的。

固态盘具有最快的速度，但目前固态盘还有一些技术上的限制，主要表现在两个方面：

一是存储容量还不能像磁盘一样大；

二是写的次数有限制，远低于磁盘；

鉴于此，银行的灾备应用目前还不适于选用固态盘。

网络攻击

网络攻击有主动攻击和被动攻击两类。

（1）主动攻击：指通过一系列的方法，主动地向被攻击对象实施破坏的一种攻击方式；

例如：重放攻击、IP 地址欺骗、拒绝服务攻击、信息篡改。

（2）被动攻击：指通过持续检测现有网络中的流量变化或者变化趋势，而得到相应信息的一种被动攻击方式。

例如：流量分析、嗅探、信息收集、系统干涉、会话拦截。

安全域间的数据流动

安全域间的数据流动具有方向性，包括入方向（Inbound）和出方向（Outbound）。

入方向：数据由低优先级的安全区域向高优先级的安全区域传输。

出方向：数据由高优先级的安全区域向低优先级的安全区域传输。

通常情况下，通信双方一定会交互报文，即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。

通常对发起连接的终端位于 Trust 区域，他向位于 UNtrust 区域的 Web 服务器发送了第一个报文，以请求建立 HTTP 连接。由于 Untrust 区域的安全级别比 Trust 区域低，所以防火墙设备将认为这个报文属于 Outbound 方向，并根据 Outbound 方向上的安全策略决定是放行还是丢弃。如果这个连接能够建立，那么设备将为其建立一条会话表。

会话表项中记录了这条连接的五元组：源和目的 IP地址，源和目的端口号，协议类型。此后凡是符合这五元组定义的报文，包括客户端后续发给 Web 服务器的报文以及 Web 服务器回应给客户端的报文，都会根据会话表来进行处理，而不会根据报文的实际传输方向重新检查安全策略。

ACL-访问控制列表

访问控制列表（Access Control Lists，ACL）是目前使用最多的访问控制实现技术。

访问控制列表是路由器接口的指令列表，用来控制端口进出的数据包。

ACL 适用于所有的被路由协议，如 IP、IPX、AppleTalk 等。

访问控制列表可以分为基本访问控制列表和高级访问控制列表。

ACL 的默认执行顺序是自上而下，在配置时要遵循最小特权原则、最靠近受控对象原则及默认丢弃原则。

（1）基本访问控制列表

基本访问控制列表基于 IP 地址，列表取值2000~2999，分析数据包的源地址决定允许或拒绝数据包通过。

（2）高级访问控制列表

高级访问控制列表比基本 IP 访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和 IP 优先级等。编号范围是从3000~3999的访问控制列表是高级访问控制列表。

X.509 标准

数字证书由 CA 发送。

X.509 数字证书中的签名字段是指发证机构对用户证书的签名。

来自不同 CA 的用户如果需要进行验证的话，需要通过 CA 之间的证书链进行。

IEEE 802.11 无线网络标准

（1）IEEE 802.11a

规定采用 5GHz的 ISM 频段，数据传输速率为54Mbps。

（2）IEEE 802.11b

规定采用2.4GHz最高数据传输速率能达到11Mbps。

（3）IEEE 802.11g

规定采用2.4GHz，最高数据传输速率达到54Mbps。

其较低的工作频率对于室内 WLAN 环境具有更好的传输性能，与基于 802.11a 的设备相比，该标准传输的距离更远。

（4）IEEE 802.11n

采用 2.4GHz频带，最大支持 540Mbps。

（5）IEEE 802.11i

IEEE 802.11i 规定使用 802.1x 认证和密钥管理方式。

---

802.1x 认证和密钥管理方式

在数据加密方面，定义了 TKIP、CCMP 和 WRAP 三种加密机制。

1. TKIP 采用 WEP 机制里的 RC4 作为核心加密算法，
2. CCMP 机制基于 AES 加密算法和 CCM 认证方式，使得WLAN 安全程度大大提高。由于 AES 对硬件要求比较高，CCMP 无法通过在现有设备的基础上升级实现。
3. WRAP 机制则是基于 AES 加密算法和 OCB。

通信技术

（1）FHSS 跳频技术（Frequency-Hopping Spread Spectrum），是无线通讯最常用的扩频方式之一。

（2）CDMA（Code Division Multiple Access）又称码分多址，是在无线通讯上使用的技术，国内电信在用的方式。

（3）DSSS 扩展频谱（Spread Spectrum）技术是一种常用的无线通讯技术，简称展频技术。

（4）红外线 Infra-red，简称 IR，是一种无线通讯方式，可进行无线数据的传输。

IEEE 802.11 无线网络标准规定了三种物理层介质性能。其中两种物理层介质工作在2400--2483.5MHz无线射频频段（根据各国当地法规规定），另一种光波段作为其物理层，也就是利用红外线光波 IR 传输数据流。

而直序列扩频技术（DSSS）则可提供** 1Mb/S 及 2Mb/S** 工作速率。

而跳频扩频（FHSS）技术及红外线技术的无线网络则可提供 **1Mb/S **传输速率，

此外 IEEE 802.11 还全新定义了一种新的协议，即载波侦听多点接入/冲突避免（CSMA/CA）.

AC 组网方式

AC 有直连式组网和旁挂式组网两种方式。

AC 承载管理流和数据业务流：

1. 管理数据流**必须**封装在 CAPWAP（Control And Provisioning of Wireless Access Points）隧道传输。
2. 数据流可以根据实际情况**选择**是否封装在 CAPWAP 隧道中传输。

CAPWAP 有两种操作模式：

Split MAC 模式下

所有二层的无线业务数据和管理数据都被 CAPWAP 协议封装，通过隧道传输，用于 AC 和 AP 之间交互，工作站的业务数据流被 AP 直接封装，转发给 AC。

在这种模式下，无线报文无需经过报文转换，交给 AC 处理。

Local MAC 模式下

允许数据帧用本地桥或者使用 802.3 数据帧进行传输。

通常数据流不选择隧道，而是直接转发。

CAPWAP 定义了无线接入点（AP）与无线控制器（AC）之间的通信规则，为实现 AP 和 AC 之间的互通性提供通用封装和传输机制。

所谓的胖 AP，通常就是无线路由器。与纯AP 的区别在于，除无线接入功能外，一般具备 WAN、LAN 两个接口，多支持 DHCP 服务器、DNS 和 MAC 地址克隆，防火墙等安全功能。

瘦 AP：瘦 AP 是“代表自身不能单独配置或者使用的无线 AP 产品，这种产品仅仅是一个 WLAN 系统的一部分，需要 AC 进行控制和管理，自身可以实现零配置”

虚拟存储

虚拟存储的作用：内存在计算机中的作用很大，电脑中所有运行的程序都需要经过内存来执行，如果执行的程序很大或很多，就会导致内存消耗殆尽。

为了解决这个问题，Windows 中运用了虚拟内存技术，即拿出一部分硬盘空间来充当内存使用，当内存占用完时，电脑就会自动调用硬盘来充当内存，以缓解内存的紧张。

虚拟存储器要在主存（如内存）和辅存（如硬盘）之间进行信息动态调度。