計算機四級考試網路工程師考點：網路安全與資訊保安

網路安全與資訊保安是現代網際網路關注的重點。你知道網路安全與資訊保安包括哪些內容嗎?下面是小編為大家帶來的網路安全與資訊保安的知識，歡迎閱讀。

　　一、密碼學

1、密碼學是以研究資料保密為目的，對儲存或者傳輸的資訊採取祕密的交換以防止第三者對資訊的竊取的技術。

2、對稱金鑰密碼系統(私鑰密碼系統):在傳統密碼體制中加密和解密採用的是同一金鑰。常見的演算法有:DES、IDEA

3、加密模式分類:

(1)序列密碼:通過有限狀態機產生效能優良的偽隨機序列，使用該序列加密資訊流逐位加密得到密文。

(2)分組密碼:在相信複雜函式可以通過簡單函式迭代若干圈得到的原則，利用簡單圈函式及對合等運算，充分利用非線性運算。

4、非對稱金鑰密碼系統(公鑰密碼系統):現代密碼體制中加密和解密採用不同的金鑰。

實現的過程:每個通訊雙方有兩個金鑰，K和K'，在進行保密通訊時通常將加密金鑰K公開(稱為公鑰)，而保留解密金鑰K'(稱為私鑰)，常見的演算法有:RSA

　　二、鑑別

鑑別是指可靠地驗證某個通訊參與方的身份是否與他所聲稱的身份一致的過程，一般通過某種複雜的身份認證協議來實現。

　　1、口令技術

身份認證標記:PIN保護記憶卡和挑戰響應卡

分類:共享金鑰認證、公鑰認證和零知識認證

(1)共享金鑰認證的思想是從通過口令認證使用者發展來了。

(2)公開金鑰演算法的出現為

　　2、會話金鑰:是指在一次會話過程中使用的金鑰，一般都是由機器隨機生成的，會話金鑰在實際使用時往往是在一定時間內都有效，並不真正限制在一次會話過程中。

簽名:利用私鑰對明文資訊進行的變換稱為簽名

封裝:利用公鑰對明文資訊進行的變換稱為封裝

　　3、Kerberos鑑別:是一種使用對稱金鑰加密演算法來實現通過可信第三方金鑰分發中心的身份認證系統。客戶方需要向伺服器方遞交自己的憑據來證明自己的身份，該憑據是由KDC專門為客戶和伺服器方在某一階段內通訊而生成的。憑據中包括客戶和伺服器方的身份資訊和在下一階段雙方使用的臨時加密金鑰，還有證明客戶方擁有會話金鑰的身份認證者資訊。身份認證資訊的作用是防止攻擊者在將來將同樣的憑據再次使用。時間標記是檢測重放攻擊。

　　4、數字簽名:

加密過程為C=EB(DA(m)) 使用者A先用自己的保密演算法(解密演算法DA)對資料進行加密DA(m)，再用B的公開演算法(加密演算法EB)進行一次加密EB(DA(m))。

解密的過程為m= EA (DB (C)) 使用者B先用自己的保密演算法(解密算DB)對密文C進行解密DB (C)，再用A的公開演算法(加密演算法EA)進行一次解密EA (DB (C))。只有A才能產生密文C，B是無法依靠或修改的，所以A是不得抵賴的DA(m)被稱為簽名。

　　三、訪問控制

訪問控制是指確定可給予哪些主體訪問的權力、確定以及實施訪問許可權的過程。被訪問的資料統稱為客體。

1、訪問矩陣是表示安全政策的最常用的訪問控制安全模型。訪問者對訪問物件的許可權就存放在矩陣中對應的交叉點上。

2、訪問控制表(ACL)每個訪問者儲存有訪問權力表，該表包括了他能夠訪問的特定物件和操作許可權。引用監視器根據驗證訪問表提供的權力表和訪問者的身份來決定是否授予訪問者相應的操作許可權。

3、粗粒度訪問控制:能夠控制到主機物件的訪問控制

細粒度訪問控制:能夠控制到檔案甚至記錄的訪問控制

4、防火牆作用:防止不希望、未經授權的通訊進出被保護的內部網路，通過邊界控制強化內部網路的安全政策。

防火牆的分類:IP過濾、線過濾和應用層代理

路由器過濾方式防火牆、雙穴信關方式防火牆、主機過濾式防火牆、子網過濾方式防火牆

5、過濾路由器的優點:結構簡單，使用硬體來降低成本;對上層協議和應用透明，無需要修改已經有的'應用。缺點:在認證和控制方面粒度太粗，無法做到使用者級別的身份認證，只有針對主機IP地址，存在著假冒IP攻擊的隱患;訪問控制也只有控制到IP地址埠一級，不能細化到檔案等具體物件;從系統管理角度來看人工負擔很重。

6、代理伺服器的優點:是其使用者級身份認證、日誌記錄和帳號管理。缺點:要想提供全面的安全保證，就要對每一項服務都建立對應的應用層閘道器，這就極大限制了新應用的採納。

7、VPN:虛擬專用網，是將物理分佈在不同地點的網路通過公共骨幹網，尤其是internet聯接而成的邏輯上的虛擬子網。

8、VPN的模式:直接模式VPN使用IP和編址來建立對VPN上傳輸資料的直接控制。對資料加密，採用基於使用者身份的鑑別，而不是基於IP地址。隧道模式VPN是使用IP幀作為隧道的傳送分組。

9、IPSEC是由IETF制訂的用於VPN的協議。由三個部分組成:封裝安全負載ESP主要用來處理對IP資料包的加密並對鑑別提供某種程式的支援。，鑑別報頭(AP)只涉及到鑑別不涉及到加密，internet金鑰交換IKE主要是對金鑰交換進行管理。

　　四、計算機病毒

1、計算機病毒分類:作業系統型、外殼型、入侵型、原始碼型

2、計算機病毒破壞過程:最初病毒程式寄生在介質上的某個程式中，處於靜止狀態，一旦程式被引導或呼叫，它就被啟用，變成有傳染能力的動態病毒，當傳染條件滿足時，病毒就侵入記憶體，隨著作業程序的發展，它逐步向其他作業模組擴散，並傳染給其他軟體。在破壞條件滿足時，它就由表現模組或破壞模組把病毒以特定的方針表現出來。