(一)网络操作系统安全
网络操作系统安全是整个网络系统安全的基础。操作系统安全机制主要包括访问控制和隔离控制。
访问控制系统一般包括主体、客体和安全访问*策
访问控制类型:
自主访问控制
强制访问控制
访问控制措施:
入网访问控制
权限访问控制
属性访问控制
身份验证
网络端口和结点的安全控制
(二)网络实体安全
计算机网络实体是网络系统的核心,既是对数据进行加工处理的中心,也是信息传输的控制中心
网络设备的冗余
网络服务器系统冗余:
双机热备份:设置两台服务器(一个主服务器,一个备份服务器)
存储备份冗余
磁盘镜像
RAID
电源冗余:采用双电源系统(即服务器电源冗余)
网卡冗余
核心交换机冗余
供电系统冗余:使用UPS作为备份电源
链接冗余
网络边界设置冗余
ACL(路由器访问控制列表)
基于包过滤的流控制技术,主要作用一方面保护网络资源,阻止非法用户对资源的访问,另一方面限制特定用户所能具备的访问权限
类型:
标准ACL:序列号1-99
扩展ACL:序列号-
VRRP(虚拟路由器冗余协议)
选择性协议,可把一个虚拟路由器的责任动态分配到局域网上VRRP路由器
交换机端口汇聚
端口聚合也称以太通道,主要用于交换机之间的连接。就是将多个物理端口合并成一个逻辑端口
Internet上的应用服务器
HDCP服务器
Web服务器
FTP服务器
DNS服务器
STMP服务器
(三)网络数据库和数据安全
数据在计算机中的两种状态
存储状态
传输状态
数据库安全重要包括两方面
数据库系统的安全
数据库数据的安全
数据库安全管理原则
管理细分和委派原则
最小权限原则
账号安全原则
有效审计原则
对数据库的威胁形式
篡改
损坏
窃取
数据备份
概念:数据备份是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列中复制到其他存储介质上的过程
目的:在系统数据崩溃时能够快速地恢复数据,使系统迅速恢复运行
数据备份的类型
冷备份:关闭数据库的状态下进行备份
热备份:数据库运行状态下进行备份
逻辑备份
数据备份策略
完全备份
增量备份
差别备份
按需备份
数据恢复类型
全盘恢复
个别文件恢复
重定向恢复:将备份文件(数据)恢复到另一个不同的位置或系统上
容灾系统
容灾系统包括数据容灾和应用容灾
数据容灾技术
核心技术是数据复制,主要有两种方式:
同步数据复制:本地数据以完全同步方式复制到异地
异步数据复制:本地数据以后台方式复制到异地
建立容灾备份系统涉及的技术
SAN(存储区域网)和NAS(网络附加存储)
远程镜像技术
快照技术
虚拟存储技术
(四)密码学
对称密码体制:
概念:又称传统密钥密码,其加密密钥和解密密钥相同或相近,由其中一个易得出另一个,故加密密钥和解密密钥都是保密的
代表算法:DES、IDEA、TDEA、AES
特点:算法容易实现、速度快、通用性强等优点,但也存在密钥位数少,保密强度较差和密钥管理复杂的缺点
非对称密码体制:
概念:也称公开密钥密码,其加密密钥和解密密钥不同,由其中一个很难得出另一个,通常其中一个密钥是公开的,而另一个是保密的
代表算法:RSA、ECC、DSA、MD5
特点:密钥管理简单、便于数字签名、可靠性较高等优点,但也具有算法复杂、加密/解密速度慢,难于用硬件实现等缺点
网络加密方式
链路加密:传输数据仅在数据链路层上进行加密
端到端加密:传输数据在应用层上完成加密
数字签名和密钥加密的区别:
数字签名使用的是发送方的密钥对,是发送方用自己的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系
密钥加密解密过程使用的是接收方的密钥对,是发送方用接收方的公钥加密,接收方用自己的私钥解密,是多队一的关系
网络保密通信协议
SSL(安全套接层协议)协议:在客户端和服务器端之间建立安全通道的协议,被广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。主要部分是记录协议和握手协议
SSH(安全外壳)协议:建立在应用层和传输层基础上的安全认证协议,主要由SSH传输层协议、SSH用户认证协议和SSH连接协议三部分组成,共同实现SSH的安全保密机制
IPsec(IP安全)协议:包括认证协议AH(也称认证报头)、封装安全载荷协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等
(五)网络攻防技术
防火墙
概念:防火墙是隔离本地网络与外界网络之间的执行访问控制策略的一道防御系统,是一组由软、硬件设备构成的安全设施
不足:
网络瓶颈
不能防范绕过防火墙的信息攻击
不能防范病*的传播
不能防范内部人员的攻击
特征:
内部网和外部网之间的所有网络数据流都必须经过防火墙
只有符合安全策略的数据才能通过防火墙
自身具有非常强的抗攻击力
技术:
包过滤技术
代理服务技术
状态检测技术
自适应代理技术
病*
计算机病*的特征:繁殖性、传染性、破坏性、隐藏性、潜伏性、可触发性、衍生性、不可预见性。
网络病*的特点:传播速度快、传播范围广、清除难度大、破坏性大、病*变种多。
攻击
DoS攻击(拒绝服务)
DDoS攻击(分布式拒绝服务攻击):准备阶段-占领傀儡机-植入程序-实施攻击
缓冲区溢出攻击:是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。
VPN(虚拟专用网络):属于远程访问技术,利用公用网络架设专用网络
VLAN(虚拟局域网):是一组逻辑上的设备和用户
(六)互联网安全
Internet欺骗
IP电子欺骗:用一台主机设备冒充另外一台主机的IP地址
ARP电子欺骗:将IP地址转化成MAC地址的协议
DNS电子欺骗:进行域名和IP地址的转化(解析)
Web电子欺骗
Web服务使用HTTP协议,默认Web服务占用80端口
Email服务的两个主要协议:
简单邮件传输协议SMTP(SimpleMailTransferProtocol):默认占用25端口,用来发送邮件
邮局协议POP3(PostOfficeProtocol):占用端口,用来接收邮件
山东掌趣网络科技