10.2 网络与信息安全基础知识

yoyo勰

已于 2024-08-16 10:25:24 修改

阅读量549

点赞数 6

分类专栏：软考2024 文章标签：网络

于 2024-08-16 00:46:41 首次发布

本文链接：https://blog.csdn.net/weixin_39291021/article/details/141194312

版权

软考2024 专栏收录该内容

4 篇文章 0 订阅

订阅专栏

网络与信息安全

信息安全基础知识
网络安全概述
- 网络安全控制技术
层次化网络模型

信息安全基础知识

上午偶尔会考1分

信息安全

机密性：确保信息不暴露给未授权的实体或进程。
完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。
可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
可控性：可以控制授权范围内的信息流向及行为方式。
可审查性：对出现的信息安全问题提供调查的依据和手段。

存储安全

信息使用安全
如用户的标识与验证、用户存取权限限制、安全问题跟踪等
系统安全监控
计算机病毒防治
数据加密
防止非法攻击

计算机信息系统安全保护等级

用户自主保护级
- 损害【合法权益】不损害【社会秩序、公共利益和国家安全】
- 适用于普通内联网用户
系统审计保护级。
- 严重损害【合法权益】损害【社会秩序、公共利益】不损害【国家安全】
- 适用于通过内联网或国际网进行商务活动，需要保密的非重要单位
安全标记保护级
- 严重损害【社会秩序、公共利益】损害【国家安全】
- 适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位
结构化保护级
- 特别严重损害【社会秩序、公共利益】严重损害【国家安全】
- 适用中央级国家机关、广播电视部门、重要物资储备单位。社会应急服务部门、尖端科技企业集团、国家重点可严单位机构和国防建设等部门
访问验证保护级
- 特别严重损害【国家安全】
- 适用于国防关键部门和依法需要对计算机信息系统实施特殊

记忆口诀：用系安结访问

练习题

《计算机信息系统安全保护等级划分准则》规定了计算机系统安全保护能力的5个等级。其中，按照()的顺序从左到右安全能力逐渐增强
A、系统审计保护级、结构化保护级、安全标记保护级
B、用户自主保护级、访问验证保护级、安全标记保护级
C、访问验证保护级、系统审计保护级、安全标记保护级
D、用户自主保护级、系统审计保护级、安全标记保护级

答案D

网络安全概述

非授权访问
没有预先经过同意，就使用网络或计算机资源则被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失
指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括：信息在传输中丢失或泄漏、信息在存储介质中丢失或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、帐号等重要信息。
破坏数据完整性
以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。
拒绝服务攻击
它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒
通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

网络安全控制技术

网络安全控制技术为了保护网络信息的安全可靠，除了运用法律和管理手段外，还需依靠技术方法来实现。

防火墙技术。
防火墙技术是近年来维护网络安全最重要的手段。根据网络信息保密程度，实施不同的安全策略和多级保护模式。加强防火墙的使用，可以经济、有效地保证网络安全。目前已有不同功能的多种防火墙。但防火墙也不是万能的，需要配合其它安全措施来协同防范。
加密技术
加密技术是网络信息安全主动的、开放型的防范手段，对于敏感数据应采用加密处理，并且在数据传输时采用加密传输，目前加密技术主要有两大类：一类是基于对称密钥的加密算法，也称私钥算法；另一类是基于非对称密钥的加密算法，也称公钥算法。
用户识别技术
用户识别和验证也是一种基本的安全技术。其核心是识别访问者是否属于系统的合法用户，目的是防止非法用户进入系统。
访问控制技术。
访问控制是控制不同用户对信息资源的访问权限。根据安全策略，对信息资源进行集中管理，对资源的控制粒度有粗粒度和细粒度两种，可控制到文件、Web的HTML页面、图形、CCT、Java应用。
网络反病毒技术
计算机病毒从1981年首次被发现以来，在近20年的发展过程中，在数目和危害性上都在飞速发展。因此，计算机病毒问题越来越受到计算机用户和计算机反病毒专家的重视，并且开发出了许多防病毒的产品。
漏洞扫描技术
漏洞检测和安全风险评估技术，可预知主体受攻击的可能性和具体地指证将要发生的行为和产生的后果。该技术的应用可以帮助分析资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。
入侵检测技术
入侵行为主要是指对系统资源的非授权使用。它可以造成系统数据的丢失和破坏，可以造成系统拒绝合法用户的服务等危害。入侵者可以是一个手工发出命令的人，也可以是一个基于入侵脚本或程序的自动发布命令的计算机。入侵者分为两类：外部入侵者和允许访问系统资源但又有所限制的内部入侵者。

防火墙技术

防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而外部网络是不安全和不可信赖的。
防火墙的作用是防止不希望的、未经授权地进出被保护的内部网络，通过边界控制强化内部网络的安全策略。
在这里插入图片描述
根据网络的安全信任程度和需要保护的对象，人为地将企业网络划分若干安全区域，常见的安全区域有：

内网（intranet），内网是防火墙的重点保护区域，包含单位网络内部的所有网络设备和主机。该区域是可信的，内网发出的连接较少进行过滤和审计。
DMZ区（Demilitarized Zone）又称军事缓冲区，DMZ是一个逻辑区。从内网中划分出来（目前我看到的是介于内部网络和外部网络之间的网络段），常放置公共服务设备，向外提供信息服务。
外网(Internet)，是防火墙重点防范的对象，针对单位外部访问用户、服务器和终端。外网发起的通信必须按照防火墙设定的规则进行过滤和审计，不符合条件的则不允许访问。

防火墙类型

包过滤防火墙
- 网络层和数据链路层
  教材中包过滤器处在网络层和数据链路层之间但包防火墙一般在实际中处于网络层
- 对用户完全透明，速度较快
- 低水平控制
- 不能防范黑客攻击
- 不支持应用层协议
应用代理网关防火墙
- 彻底隔断内网与外网的直接通信
- 可以检查应用层、传输层和网络层的协议特征
- 缺点：难以配置；处理速度非常慢
状态检测技术防火墙
- 状态连接表

入侵检测系统

收集、分析：网络的安全日志、用户的行为、网络数据包、审计记录、有关入侵的技术资料等
主要功能：对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪，以及违反安全策略的用户行为的检测等。
弥补了防火墙系统对网络上的入侵行为无法识别和检测的不足

入侵检测与防御

	入侵检测系统	入侵防御系统
部署位置	旁路挂接	串接
入侵响应能力	将入侵行为记入日志无主动的采取对应措施，响应方式单一	主动防御

练习题

防火墙的工作层次是决定防火墙效率及安全的主要因素，以下叙述中，正确的是()。
A.防火墙工作层次越低，工作效率越高，安全性越高
B.防火墙工作层次越低，工作效率越低，安全性越低
C.防火墙工作层次越高，工作效率越高，安全性越低
D.防火墙工作层次越高，工作效率越低，安全性越高

答案D

以下关于防火墙功能特性的叙述中，不正确的是()。
A.控制进出网络的数据包和数据流向
B.提供流量信息的日志和审计
C.隐藏内部IP以及网络结构细节
D.提供漏洞扫描功能

答案D

()防火墙是内部网和外部网的隔离点，它可对应用层的通信数据流进行监控和过滤。
A.包过滤
B.应用级网关
C.数据库
D.Web

答案B

防火墙通常分为内网、外网和DZ三个区域，按照受保护程度，从低到高正确的排列次序为()。
A.内网、外网和DMZ
B.外网、DMZ和内网
C.DMZ、内网和外网
D.内外、DMZ和外网

答案B

使用漏洞扫描系统对信息系统和服务器进行定期扫描可以()。
A.发现高危风险和安全漏洞
B.修复高危风险和安全漏洞
C.获取系统受攻击的日志信息
D.关闭非必要的网络端口和服务

答案A

层次化网络模型

网络分层设计

在这里插入图片描述

层级	功能	特点
核心层	负责网络的高速转发	高度可靠和可用高度可靠和可用高速数据传输实现快速的包转发极简设计以减少故障点
汇聚层	负责网络中不同虚拟局域网（VLAN）和不同物理网络的数据汇聚	网络策略实施，如VLAN间路由、访问控制策略等作为核心层和接入层之间的中介提供路由、过滤和交通管理功能
接入层	负责将终端设备连接到网络	端口密度高，提供大量物理接入点实施对接入网络的设备进行身份验证、端口安全等控制措施支持终端设备的VLAN划分，实现网络的逻辑分割

这种分层设计有助于将网络划分为可管理和可维护的段,每一层都有其独特的角色和功能,允许网络管理员只关注网络的特定部分,而不是整个网络的复杂性。例如,核心层关注的是高速数据传输和可靠性,而接入层则更多地关注于如何高效、安全地将终端设备接入网络。

核心层:主要是高速数据交换,实现高速数据传输、出口路由,常用冗余机制。
汇聚层:网络访问策略控制、数据包处理和过滤、策略路由、广播域定义、寻址。
接入层:主要是针对用户端,实现用户接入、计费管理、MAC地址认证、MAC地址过滤、收集用户信息,可以使用集线器代替交换机。

综合布线系统

在这里插入图片描述

工作区子系统:由信息插座、插座盒、连接跳线和适配器组成。
水平子系统:由一个工作区的信息插座开始,经水平布置到管理区的内侧配线架的线缆所组成。
- 连接工作区到管理子系统。
- 通常包括从用户终端到配线架的电缆。
管理子系统:由交连、互连配线架组成,管理子系统为连接其它子系统提供连接手段。(进行楼层内配线架之间的交叉连接)
- 位于水平子系统和干线子系统之间。
- 主要功能是连接水平子系统和干线子系统，通过跳线实现不同系统的灵活连接。
垂直干线子系统:由建筑物内所有的垂直干线多对数电缆及相关支撑硬件组成,以提供设备间总配线架与干线接线间楼层配线架之间的干线路由。
- 用于连接各个楼层的管理子系统。
- 通常包含垂直电缆或光缆，实现楼层间的通信。
设备间子系统:由设备间中的电缆、连接器和有关的支撑硬件组成,作用是将计算机、用户交换机、摄像头、监视器等弱电设备互连起来并连接到主配线架上。
- 包含所有网络设备所在的房间，如服务器、交换机等。
- 该区域负责整个建筑物或建筑群的主干网络连接。
建筑群子系统:将一个建筑物的电缆延伸到建筑群的另外一些建筑物中的通信设备和装置上,是结构化布线系统的一部分,支持提供群之间通信所需的硬件。它由电缆、光缆和入楼处的过流过压电气保护设备等相关硬件组成,常用介质是光缆。
- 用于连接不同建筑物之间的主设备室。
- 一般采用室外电缆或光缆进行连接。

练习题

以下关于网络布线子系统的说法中，错误的是()。
A.工作区子系统指终端到信息插座的区域
B.水平子系统实现计算机设备与各管理子系统间的连接
C.干线子系统用于连接楼层之间的设备间
D.建筑群子系统连接建筑物

答案B

结构化布线系统由多个子系统组成，其中进行楼层内配线架之间的交叉连接是()的任务。
A.工作区子系统
B.水平子系统
C.管理子系统
D.垂直子系统

答案C

yoyo勰

关注

6
点赞
踩
8

收藏

觉得还不错? 一键收藏
打赏
0
评论
10.2 网络与信息安全基础知识

非授权访问没有预先经过同意，就使用网络或计算机资源则被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。信息泄漏或丢失指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括：信息在传输中丢失或泄漏、信息在存储介质中丢失或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。
复制链接

扫一扫