首页 > 其他分享 >软考高级--网络规划设计师(六)--网络安全

软考高级--网络规划设计师(六)--网络安全

时间:2024-09-16 21:27:58浏览次数:13  
标签:网络安全 协议 加密 安全 -- 证书 软考 用户 访问控制

文章目录

一、 网络安全体系

1.1 5种安全服务

①认证服务
②访问控制服务
③数据保密性服务
④数据完整性服务
⑤防止否认性服务

1.2 8种安全机制

①加密机制
②数字签名机制
③访问控制机制
④数据完整性机制
⑤认证机制
⑥业务流填充机制
⑦路由控制机制
⑧公证机制

1.3 8种安全机制与5种安全服务的关系

在这里插入图片描述
在这里插入图片描述

二、网络攻击与防御

2.1 被动攻击和主动攻击

在这里插入图片描述

2.2 信息安全基本属性

在这里插入图片描述

2.3 TCP/IP漏洞与防御

在这里插入图片描述

2.4 ARP欺骗

在这里插入图片描述

三、防火墙与访问控制

3.1 防火墙

在这里插入图片描述
在这里插入图片描述

3.2 网闸

防火墙是逻辑隔离设备,网闸是物理隔离设备。
网闸主要采用GAP技术,它是一种由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接,同时能够在网络间进行安全数据交换的网络安全设备。外网和内网不能直接相连,数据通过网闸设备的数据交换机区进行通信,该数据交换机区同一时刻只能与外网或内网进行通信,从而实现网络物理隔离。
在这里插入图片描述

3.3 访问控制技术

访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素,即主体、客体和控制策略。主体:也称访问者,可以是用户、进程、应用程序等。客体:也称被访问对象,可以是文件、应用服务、数据等。控制策略:是是否允许用户访问资源对象做出决策。
访问控制的实现技术主要有:访问控制矩阵、访问控制列表、能力表和授权关系表

3.3.1 访问控制矩阵

通过矩阵标识访问控制规则和用户权限的方法,如下表所示,张三可以访问网页、数据库和视频服务器;李四只能访问数据库。

3.3.2 访问控制列表

每个客体有一个访问控制列表,本质是按列保存访问控制矩阵。如网页应用只允许张三访问,李四不能访问。
访问控制列表(access control list,ACL)是由一系列规则组成的集合,ACL通过这些规则对数据包进行分类,从而使设备对不同报文进行不同的处理。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。如果路由器接口配置成支持三种协议IP、IPX、AppleTalk的情况,那么用户必须定义定义三种ACL来分别控制着三种协议的数据包。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

3.3.3 能力表

正好跟访问控制列表相反,能力表是按行保存访问控制矩阵的信息,如用户李四可以访问数据库,不能访问网页,视频

3.3.4 关系授权表

表示的只是简单的能否访问,可以延伸为更复杂的读、写和执行等关系,具体授权关系在授权关系表中定义。

四、IDS和IPS

4.1 IDS—入侵检测系统

在这里插入图片描述
在这里插入图片描述

4.2 IPS—入侵防御系统

在这里插入图片描述
在这里插入图片描述

五、虚拟专网技术

VPN (Virtual Private Network) ,即虚拟专用网络。 VPN 是指利用公共网络建立私有专用网络,数据通过安全的“加密隧道”在公共网络中传播,连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路,就像是架设了一条专线一样,但是它并不需要真正去敷设光缆之类的物理线路。

5.1 VPN类型按照工作层次划分

5.1.1 数据链路层(二层)

L2TP

基于PPP协议,可以运行在IP协议上,也可以在X.25、帧中继或ATM网络上使用。

PPTP

基于PPP协议,只支持TCP/IP体系,网络层必须是IP协议。

5.1.2 网络层(三层)

IPSec

IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性。
IPSec协议集提供如下安全服务:①数据完整性(Data Integrity)②认证(Autentication)③保密性(Confidentiality)④应用透明安全性(Application-transparent Security)
工作原理
在这里插入图片描述
两种封装模式
在这里插入图片描述

GRE

GRE(Generic Routing Encapsulation,通用路由封装)是网络层隧道协议,对组播等技术支持很好,但本身不加密,而IPSec可以实现加密,对组播支持不佳。所以语音、视频等业务中经常先用GRE封装,然后再使用IPSec进行加密。
MPLS虚拟专网主要用于广域网中实现业务隔离。

5.1.3 应用层(四层)

SSL

SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议(对称加密和非对称加密向结合的方式进行数据的交换)。典型的SSL VPN应用:Open VPN,这是一个比较好的开源软件。

5.2 VPN关键技术

• 隧道技术(Tuneling)
• 加解密技术(Encryption&Decryption)
• 密钥管理技术(Key Management)
• 身份认证技术(Authentication)

六、密码学技术

6.1 加密算法

6.1.1 对称密码—私钥密码

对称加密是一种加密和解密使用同一个密钥的算法。消息的收发双方必须事先通过安全渠道交换密钥。
优点:加解密速度快、密文紧凑、使用长密钥时难破解
缺点:密钥分配问题、密钥管理问题、无法认证源
在这里插入图片描述

在这里插入图片描述

6.1.2 非对称密码

非对称加密算法是指加密和解密使用不同的密钥的算法,也叫公开密钥加密算法。这两个密钥互不相同,一个称为公钥,另一个称为私钥。
公钥加密、私钥解密。可实现保密通信
私钥加密、公钥解密。可实现数字签名

在这里插入图片描述
在这里插入图片描述
RSA算法的工作原理
在这里插入图片描述

6.1.3 混合密码

在这里插入图片描述
PGP(Pretty Good Privacy)是一种用于电子邮件加密的工具,它结合了对称加密和非对称加密技术以及数字签名,以确保数据的安全性和完整性。在PGP中,用于数据加密的是对称加密算法,而用于数据完整性验证的是数字签名

6.1.4 国产加密算法

在这里插入图片描述
在我国自主研发的商用密码标准算法中,用于分组加密的是SM4算法

6.2 hash哈希算法

在这里插入图片描述
在这里插入图片描述

6.3 数字签名

在这里插入图片描述

6.4 数字证书与CA

在这里插入图片描述
在这里插入图片描述

数字证书包含用户的公钥和认证机构的数字签名,用户可以利用认证机构的公钥验证数据签名确认证书的真伪,然后就可以利用证书中的用户公钥进行数据的加密。
用户端除了要维护有效数字证书列表;还要维护CRL证书吊销列表,存放过期或无效证书。

6.4.1 PKI体系结构

PKI 是 Public Key Infrastructure 的缩写,中文叫做公开密钥基础设施,也就是利用公开密钥机制建立起来的基础设施。通过使用一对密钥(公钥和私钥)来实现数据的加密和解密,从而确保数据的安全性和完整性。在PKI体系中,公钥可以公开分享,而私钥则必须保密。PKI的核心组件包括认证中心(CA)、注册机构(RA)、证书库和密钥管理中心(KMC)。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在X.509证书中,签名算法用于确保证书的完整性和真实性。通过使用公钥加密技术,签名算法帮助证书使用者确认证书是由真正的证书颁发机构(CA)颁发且未被篡改

6.4.2 证书链

在这里插入图片描述
在这里插入图片描述
可以这么简单理解X1信任X2的证书,X2信任B的证书,B的证书里面就有B的公钥

七、网络安全应用

7.1 文件加密

在这里插入图片描述
AGDLP 是一种在 Active Directory 环境中用于用户和资源权限管理的策略,它代表以下含义:
A (Account): 用户账号,指的是单个用户的账户。
G (Global Group): 全局组,用于组织用户账户,可以包含同一域内的其他全局组和用户账户,并且可以跨域应用权限。
DL (Domain Local Group): 域本地组,用于直接分配资源权限,成员可以来自任何域,但只能在同一域内应用权限。
P (Permissions): 资源权限,指的是对资源(如文件、文件夹、打印机等)的访问权限。

AGDLP 策略的运作方式是将用户账户添加到全局组中,然后将这些全局组添加到域本地组中,最后为域本地组分配资源权限。这种策略有助于简化权限管理,因为当需要更改用户权限时,只需修改全局组的成员资格,而不必直接在域本地组上进行更改。

7.2 SSL协议

在这里插入图片描述

7.3 HTTPS

在这里插入图片描述

7.4 SET和PGP

在这里插入图片描述

7.5 S/MIME

在这里插入图片描述

7.6 Kerberos认证

在这里插入图片描述

7.7 AAA服务器

AAA服务器是网络访问控制中的一个重要组件,它负责实现认证(Authentication)、授权(Authorization)和计费(Accounting)功能,通常简称为AAA。这些功能确保了网络资源的安全和有效管理。AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议,也有些会使用TACACS+协议
①认证(Authentication):这是确认用户身份的过程,确保只有合法用户才能访问网络资源。认证可以通过多种方式进行,如用户名和密码、数字证书或生物特征等。
②授权(Authorization):一旦用户身份得到验证,授权过程就会确定用户可以访问的网络资源和服务。这有助于限制用户权限,防止未授权访问。
③计费(Accounting):这一功能记录用户使用网络资源的详细信息,如服务类型、使用时间、数据流量等。这些记录可以用于计费、审计和监控网络资源的使用情况。
参考文献

八、安全审计

安全审计包括识别、记录、存储、分析与安全相关行为的信息,审计记录用于检查与安全相关的活动和负责人。信息安全的目标分为系统安全、数据安全和事务安全,根据被审计对象的不同,安全审计分为:系统的安全审计、数据的安全审计、应用的安全审计
安全审计具有如下功能:
①监视网络中的异常行为
②收集操作系统和应用系统内部产生的审计数据
③实时报警,通知安全管理员及时处理
④网络控制,具备自动响应的审计系统发现严重违规或重大入侵时,可以自动或手动中断网络连接,减少损失,保障网络安全。
⑤审计数据维护和查询加密,权限控制
⑥规则定制。系统根据管理员指定的规则进行工作,适用不同应用的需求
⑦附加功能。除了标准功能外,还提供审计接口,可以和其他网络安全设备联动,协同防御。

标签:网络安全,协议,加密,安全,--,证书,软考,用户,访问控制
From: https://blog.csdn.net/m0_47364139/article/details/142283960

相关文章

  • C语言学习 三.缓进徐图
    1.if语句1.1if语句  if语句的语法形式如下:if(表达式)语句  如果表达式成立(为真),则语句执行,如果表达式不成立(为假),则语句不执行。   在C语言中,0为假,非0为真,也就是表达式的结果如果是0,则语句不执行,表达式的结果不为0,则语句执行。  例如:输入一个整数,判断......
  • JUC学习笔记(一)
    文章目录一、进程与线程1.1进程与线程1)进程2)线程3)二者对比1.2并行与并发注意二、Java线程2.1创建和运行线程1)直接使用Thread2)使用Runnable配合Thread3)FutureTask配合Thread2.2查看进程线程的方法1)windows2)linux3)java2.3原理之线程运行栈与栈帧线程上下......
  • 【开题报告】基于Springboot+vue社区人员信息管理系统设计与实现(程序+源码+论文) 计算
    本系统(程序+源码)带文档lw万字以上文末可获取一份本项目的java源码和数据库参考。系统程序文件列表开题报告内容研究背景随着城市化进程的加速,社区作为城市的基本单元,其管理效率与质量直接影响到居民的生活品质与社会和谐。传统的社区管理方式往往依赖于纸质记录和人工操......
  • 【开题报告】基于Springboot+vue陕西理工大学返校管理系统(程序+源码+论文) 计算机毕业
    本系统(程序+源码)带文档lw万字以上文末可获取一份本项目的java源码和数据库参考。系统程序文件列表开题报告内容研究背景随着高等教育的普及与校园管理的日益复杂化,特别是在后疫情时代,如何高效、安全地管理学生返校成为各大高校面临的重要课题。陕西理工大学作为一所拥有......
  • 【嵌入式linux开发】旭日x3派部署自己训练的yolov5模型(安全帽识别、视频流推理、yolov
    旭日x3派部署自己训练的模型(安全帽识别、视频流推理、yolov5-6.2)windows,框架pytorch,python3.7效果模型训练模型转换1、pt模型文件转onnx2、检查onnx模型3、准备校准数据4、onnx转bin上板视频流推理1、图片推理2、视频流推理效果模型训练进官网可克隆yolov5......
  • 【开题报告】基于Springboot+vue居民健康和慢性病管理信息系统(程序+源码+论文) 计算机
    本系统(程序+源码)带文档lw万字以上文末可获取一份本项目的java源码和数据库参考。系统程序文件列表开题报告内容研究背景随着人口老龄化的加速及生活方式的转变,慢性病已成为影响居民健康的主要威胁之一,如高血压、糖尿病、心血管疾病等,其长期管理和预防控制显得尤为重要。......
  • xpath 选择器的语法
    选择节点: //tag:选择文档中所有tag元素。 /tag:选择根节点下的tag元素。 //tag[@attribute='value']:选择具有特定属性值的tag元素。 选择子节点: tag1/tag2:选择tag1下的所有tag2子节点。 tag1/*:选择tag1下的所有子元素。 选择父节点: ..:选择......
  • ElementPlus表格相关操作大全
            ElementPlus的表格组件(<el-table>)提供了丰富的功能和可扩展性基础表格:通过设置el-table的data属性来插入数据到表格列中,使用prop来指定数据字段,label定义列名,width定义列宽。条纹表格:设置stripe属性为true可以显示条纹间隔的表格。带边框......
  • NPOI设定某个格子的样式
    XSSFCellStyleheadStyle=workBook.CreateCellStyle()asXSSFCellStyle;headStyle.Alignment=NPOI.SS.UserModel.HorizontalAlignment.Center;XSSFFontfont=workBook.CreateFont()asXSSFFont;f......
  • VUE3组合API中跨层数据传递 provide和inject
    1.provide顶层组件通过该函数提供数据2.inject底层组件通过该函数获得数据、        示例:                目的:数据从底层传到顶层底层:创建一个底层dowen.vue文件<scriptsetup>import{inject}from'vue';constvueData=inject('data-ke......