计算机网络安全期末复习知识点(ZZU)

第一章 网络安全基础

1，掌握常见的网络安全技术

1，预防保护类。包括常用的身份认证，访问管理，加密，防恶意代码和加固等

2，检测跟踪类。对网络系统中的客体访问行为需要严格监控，检测和审计跟踪，以防止在网络用户的访问过程中可能产生的安全事故的各种有效措施，并保留电子证据

3，相应恢复类。一旦网络系统出现重大安全故障，需要采取应急预案和有效措施，确保在最短时间内进行应急响应和备份恢复，尽快将损失和影响降至最低

第二章 网络安全技术

1，网络协议的总体安全风险

①网络协议自身的设计缺陷和现实生活中存在的一些安全漏洞，很容易被黑客利用侵入网络并对系统进行攻击和破坏

②网络协议本身没有认证机制且无法验证通信双方的身份信息

③网络协议缺乏保密机制，不能对网上数据的保密性进行保护

2，VPN基本概念和技术特点

概念：VPN是借助Internet等公共网络的基础设施，利用隧道技术为用户提供和物理网络具有相同功能的专用网络

特点

①安全性高：VPN利用通信协议，数据加密和身份认证3中技术实现通信网络系统传输的安全性。客户端向VPN服务器发送连接请求，VPN服务器响应请求，并要求用户客户端发送身份认证信息，客户端通过将身份信息加密后传输给VPN服务器，服务器在数据库中进行验证检查，判断该用户是否有远程访问的权限，如果该用户有远程访问的权限，则VPN服务器接受该连接，对身份信息加密的密钥也需要进行加密。

②费用低，应用广。远程用户和机构可以利用VPN通过Internet访问企业网络，比传统的网络通信费用低，并且可以降低设备的购买，管理和维护费用并且应用广泛

③管理便捷。构建VPN只需要很少专用的设备和线路，企业机构和用户可以通过公共的网络接口或Internet访问企业网络，网络管理如同使用微信群，其主要工作是由公用网治负责。

④灵活性高。VPN支持通过各种网络的任何类型的数据流，也可以支持传输多种类型数据，并且图像，语音和其他数据可以同时传输

⑤服务质量好。可满足不同企业不同等级的服务质量

第三章 网络安全体系及管理

1，网络安全总体架构

①网络安全策略。是整个体系框架的顶层设计，起到总体宏观上的战略性和方向性的指导作用。以风险管理为核心理念，从长远发展规划和战略角度整体策划网络安全建设

②网络安全政策和标准。其是网络安全策略的各层细化和落实，包括网络安全运作，管理和技术3个层面，每个层面都有相应的安全政策和标准，通过统一规范便于落实到实处。一旦网络安全运作，管理和技术发生改变，安全政策和标准就要做出相应的调整相互适应，反之，安全政策和标准也会影响网络安全运作，管理和技术。

③网络安全运作。其对于网络安全实施是至关重要的，贯穿网络安全始终，也是网络管理机制和技术在日常运行的实现，涉及运作流程和运作管理，包括基于日常运作模式和流程。

④网络安全管理。是网络安全运作的保证，从人员，意识和职责等方面保证网络安全运作顺利进行。网络安全通过运作体系实现，而网络安全管理是从人员组织的角度保证正常运行，网络安全技术是从技术角度保证

⑤网络安全技术。网络安全运作需要网络安全基础服务和基础设施的有力支持，先进完善的网络安全技术能够极大地提高网络安全运作的有效性，从而达到网络安全体系架构的目标，实现整个生命周期的风险防范和控制。

第六章 身份认证和访问控制

1，访问控制模型

①自主访问控制。也成随意访问控制，是指在确认主体的身份和所属组的基础上，根据访问者的身份和授权来决定访问模型，以对访问权限进行限定的一种控制策略，具有很大的灵活性，并便于理解和使用，但也存在以下两个重要缺陷。

1，权限传播可控性差。在这个机制下，用户可以自主地将自己客体的访问操作权限转移给别的主体，一旦转授给不可信的主体，那么该客体的信息将会被泄露

2，不能抵抗木马攻击。该机制下，用户可以运行任何的程序来修改自己文件的访问控制信息，系统无法区分是合法用户修改还是木马程序恶意修改

②强制访问控制。根据客体信息的敏感标签和访问敏感信息的主体等级来对敏感信息进行访问限定的一种方法，主要用户保护处理敏感信息的系统。在强制访问控制中，用户的权限和客体的安全属性是固定的，由系统决定一个用户对客体是否能进行访问。

③基于角色的访问控制。将访问权限分类给一定的角色，用户通过扮演一定的角色来用户访问权限。角色充当主体和客体之间联系的桥梁，角色不仅仅是用户的集合，还是一系列权限的集合。当用户或权限发生变化是，系统可以将用户从一个角色转移到另一个角色，从而实现权限的转移，降低了管理的复杂度。另外组织机构发生只能变化时，应用程序可以重新授权或取消某些权限，就可以使系统更新适应需要。

④基于任务的访问控制。以任务为中心，并采用动态授权的主动安全模型，该模型的基本思想是：授予用户的访问权限，不仅仅依赖与主体和客体，还依赖与主体所执行的任务和任务的状态。当任务执行时，用户用户该访问权限，当任务被挂起事务，用户的访问权限被冻结，任务一旦重新运行，用户将重新拥有访问权限，任务处于终止状态时，用户拥有的权限马上被撤销。基于任务的访问控制适合于工作流和分布式处理。

⑤基于属性的访问控制。将主体和客体的属性作为决定因素，灵活地利用主体的属性集合来决定该是否给主体赋予访问权限，能够很好地将策略管理和权限判定相分离。主体和客体的属性是固有的，不需要手工分配，同时访问控制是多对多的方式，使得ABAC在管理上相对简单。另外ABAC是强扩展性的使其能够可以同加密机制等数据隐私保护机制相结合，在实现细粒度的访问控制的基础上，保证用户的数据不会被分析及泄露。

2，安全审计，审计跟踪基本概念和类型

安全审计是通过特定的安全策略，利用记录及分析系统活动和用户活动的历史操作事件，按照顺序检查，审查和检验每个事件的环境及活动。其中系统活动包括操作系统和应用程序进程的活动，用户活动包括用户在操作系统和应用程序中的活动

安全审计类型：系统级审计，应用级审计和用户级审计

1，系统级审计。系统级审计的内容主要包括登录情况，登录识别号，每次登录尝试的日期，每次退出的日期和时间，所使用的设备和登录后运行的内容，如用户启动应用的尝试，无论成功或失败。典型的系统级日志还包括和安全无关的信息如系统操作，费用记账和网络性能

2，应用级审计。系统级审计可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的信息细节信息。通常，应用级审计的内容包括打开和关闭数据文件，读取，编辑和删除记录或字段的特定操作，以及打印报告之类的用户活动

3，用户级审计。用户级审计的内容通常包括：用户直接启动的所有命令，用户所有的鉴别和认证尝试，以及用户所访问的文件和资源等。

审计跟踪是系统活动的记录，这些记录可以重构，评估，审查环境和活动的次序，这些环境和活动是与同一项事务的开始到结束期间围绕或导致的一项操作，一个过程或一个事件相关的。

第八章 防火墙

1，防火墙的基本概念，主要功能，主要缺陷

防火墙是一个由软件和硬件设备组合而成，在内部网络，外部网络和公共网络，专用网络之间构造的保护屏障，使内部网络和外部网络之间建立一个安全网络，以免内部网络受非法用户的入侵

防火墙的主要功能

1，建立一个集中的检测点。防火墙位于两个或多个网络之间，使用包过滤技术对所有流经它的数据包进行过滤和检查，这些检查点被称为“阻塞点”。通过强制所有进出流量通过阻塞点，网络管理员可以集中在较少是地方实现安全的目的。

2，隔绝内外网络，保护内部网络。这是防火墙的基本功能，通过隔离内外网络，可以防止非法用户进入内部网络，并能有效防止邮件炸弹，蠕虫病毒和宏病毒的攻击。

3，强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有的安全软件（如口令，加密，身份认证和审计等）配置在防火墙上，如在防火墙上实现AAA认证。与将网络安全问题分散在各个主机上相比，防火墙的集中安全管理更为经济

4，有效记录和审计内外网络之间的活动。因为内外网络之间的数据包必须经过防火墙，所以防火墙能够对这些数据包进行记录并写进日志系统，同时可以对使用情况进行数据统计。当发生可疑动作时，防火墙能进行适当报警，并提供网络是否受到检测和攻击的详细信息。

5，代理转发。代理技术使得使得防火墙将用户的访问请求变成由防火墙代为转发，使得外部网络无法查看内部网络的结构，也无法直接访问内部网络的主机。在防火墙代理技术中，第一种是透明代理，内部网络用户在访问外部网络时，无需更改任何配置，防火墙就像透明的一样；第二种是传统代理，其工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。与包过滤技术相比，使用代理可以提供更加细致的过滤，但是实现复杂且速度慢。

6，网络地址转换NAT。网络地址转换可以屏蔽内部网络的IP地址，对内部网络用户起到保护作用；同时可以用来缓解IPv4的IP地址资源短缺问题。

7，虚拟专用网VPN。VPN在不安全的公共网络上建立一个专用网络来进行信息的安全传递，目前已经成为在线交换信息最安全的方式之一。VPN技术基本上已经是主流防火墙的标准配置，一般防火墙都支持VPN加密标准，并提供基于硬件的加解密功能。

防火墙的主要缺陷

1，无法防范不经由防火墙的攻击。如果数据一旦绕过防火墙，就无法检查。

2，防火墙是一种被动的安全策略执行设备，即对于新的未知攻击或者策略配置有误，防火墙就无能为力了

3，不能防止利用标准网络协议中的缺陷进行攻击。一旦防火墙允许某些标准网络协议，就不能防止利用协议缺陷的攻击

4，不能防止利用服务器系统漏洞进行的攻击。防火墙不能阻止黑客通过防火墙准许的访问端口对该服务器漏洞进行的攻击

5，不能防止数据驱动式攻击。当有些表面看起来无害的数据传送或复制到内部网络的主机上并被执行，可能会发生数据驱动式攻击。

6，无法保证准许服务的安全性。防火墙可以准许某项服务，但不能保证该服务的安全性

7，不能防止本身的安全漏洞威胁。防火墙有时也无法保护自己。

8，不能防止感染了病毒的软件或文件的传输。防火墙本身不具备查杀病毒的功能，即使有些防火墙集成了第三方的防病毒软件，也没有一种软件可以查杀所有病毒。

2，防火墙主要技术（静态包过滤，动态包过滤，应用代理的各自优缺点）

静态包过滤防火墙优点：

1，逻辑简单，价格便宜，成本低

2，对网络性能影响较小，透明性高

3，工作与应用层无关，因此客户机与服务器主机的应用程序无需改变，易于理解和使用

缺点

1，内外网络直接连接

2，工作在OSI网络模型的网络层和传输层，需要对IP，TCP，UDP，ICMP等网络协议有一定的理解，否则可能会因为配置错误而造成不便

3，已判别过滤的是位于网络层和传输层数据，不能对各种安全需求得到满足

4，无法为每个用户提供鉴别机制

5，由于 网络地址和端口都是在头部，因此无法抵御IP地址欺骗的攻击

6，仅工作在网络层，不能提供很好的安全性

7，在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响

8，由于缺少上下文关联信息，不能有效地过滤如UDP，RPC一类的协议

9，大多数过滤器缺少审计和报警机制，只能依据包头信息，而不能对用户身份进行验证，很容易受到地址欺骗攻击。

动态包过滤防火墙与静态包过滤防火墙有一致的特性，只不过多增加一个行为：对于流出的数据包身份进行表示，等待下一次相同连接进入的数据包直接通过

应用代理防火墙优点

1，易于配置，界面友好

2，不允许内外网络直接相连

3，保护内部IP地址和网络结构

4，可以提供比包过滤更加详细的日志系统

5，为每个用户提供鉴别机制

6，可以与授权，审计等安全机制更好地集成

7，可以提供对用户透明的加密机制

缺陷：

1，比包过滤速度慢，在用户对内外部网络吞吐量要求较高时，代理防火墙就成为内外部网络之间的瓶颈

2，代理对用户不透明，给用户带来不便

3，仅靠代理无法改变底层网络安全协议存在的缺陷

4，必须针对每个服务器配置一个不同的代理服务器

第九章 操作系统安全

1，windows操作系统安全的概念，内容和常见的加固设置

windows系统安全主要包括六个方面

1，文件系统NTFS

Windows NT文件系统（NTFS）是建立在保护文件和目录数据基础上，可提供安全存取控制及容错能力，同时节省存取资源，减少磁盘占用量。通常，在大容量磁盘上，其效率比文件配置表FAT高

2，域

域是由一组由网络连接而成的主机群组，是windows中数据安全和集中管理的基本单位，域中的各主机是一种不平等的关系，可将主机内的资源共享给域中的其他用户访问。

3，用户和用户组

在windows NT中，用户账号中包含用户的名称与密码，用户所属的组，用户的权利和用户的权限等相关数据。

4，身份认证

身份认证是实现系统及网络合法访问的关键一步，主要用于对试图访问系统的用户进行身份验证。

5，访问控制

访问控制是按用户身份及其所归属的组限制用户对某些信息项的访问，或限制对某些控制功能使用的一种技术

6，组策略

组策略是管理员为用户和主机定义并控制程序，网络资源及操作系统行为的主要工具。

windows 操作系统安全加固方法

1，账户管理：账户，口令，密码最长留存期，账户锁定策略

2，认证授权：远程关机，本地关机，用户权限指派，授权账户登录，授权账户从网络访问

3，日志配置操作：日志配置，审核策略，审核对象访问，审核事件目录服务访问，审核特权使用，审核系统事件，审核账户管理，审核过程追踪，日志文件大小

4，IP安全配置

5，文件共享：共享文件夹及访问权限，共享文件夹授权访问

6，服务安全：禁用TCPA/IP上的NetBIOS，禁用不必要的服务

7，安全选项：启用安全选项，禁用未登录前关机

8，其他安全配置：防病毒管理，设置屏幕保护密码和开启时间，远程登录空闲断开时间，操作系统补丁管理

 

 

2，unix和linux操作系统安全的概念，内容和常见的加固设置

linux操作系统安全加固方法

1，账号和口令：禁用或删除无用账号，检查特殊账号，添加口令策略，限制用户su.，禁止root用户直接登录

2，服务：关闭不必要的服务，SSH服务安全

3，文件系统：设置umask值，设置登录超时

4，日志：syslog日志，记录所有用户的登录和操作日志。

第十章 数据库及数据安全

1，数据库安全的常见措施

数据库常用的3种安全性措施为：用户的身份认证，数据库的使用权限管理和数据库中对象的使用权限管理。保障web数据库的安全运行，需要构建一整套数据库安全的访问控制模式。

1，用户的身份认证。身份认证是网络系统中确认操作用户身份的过程。包括用户与主机间的认证和主机与主机间的认证。主要通过对用户所知道的物件或信息认证，如口令，密码，证件和智能卡等；用户所具有的生物特征，如指纹，声音，视网膜，签字和笔记等。身份认证管理是对此相关方面的管理。

2，数据库权限管理。权限管理主要体现在授权和角色管理两个方面

①授权。DBMS提供了功能强大的授权机制，可给用户授予各种不同对象（表，视图和存储过程等）的不同使用权限，如查询，增删改等。

②角色。指一组相关权限的集合。是被命名的一组与数据库操作相关的权限，即可为一组相同权限的用户创建一个角色。使用角色管理数据库权限，便于简化授权的过程。

3，数据库对象使用权限管理

数据库对象主要包括：数据库，数据表，视图，索引，以及数据（记录）

①视图访问。视图提供了一种安全便捷的访问数据的方法，在授予用户对特定视图的访问权限时，该权限只用于在该视图中定义的数据项，而不是用于视图对应的完整基本表

②审计管理。审计是记录审查数据库操作和事件的过程。通常，审计记录记载用户所用的系统权限，频率，登录的用户数，会话平均持续时间，操作命令，以及其他有关操作和事件。通过审计功能可将用户对数据库的所有操作自动进行记录，并存入审计日志中。