(一)網絡操作系統安全
網絡操作系統安全是整個網絡系統安全的基礎。操作系統安全機制主要包括訪問控制和隔離控制。
訪問控制系統一般包括主體、客體和安全訪問政策
訪問控制類型:
- 自主訪問控制
- 強制訪問控制
訪問控制措施:
- 入網訪問控制
- 權限訪問控制
- 屬性訪問控制
- 身份驗證
- 網絡端口和結點的安全控制
(二)網絡實體安全
計算機網絡實體是網絡系統的核心,既是對數據進行加工處理的中心,也是信息傳輸的控制中心
網絡設備的冗餘
網絡服務器系統冗餘:
- 雙機熱備份:設置兩臺服務器(一個主服務器,一個備份服務器)
- 存儲備份冗餘
磁盤鏡像
RAID - 電源冗餘:採用雙電源系統(即服務器電源冗餘)
- 網卡冗餘
核心交換機冗餘
供電系統冗餘:使用UPS作爲備份電源
鏈接冗餘
網絡邊界設置冗餘
ACL(路由器訪問控制列表)
基於包過濾的流控制技術,主要作用一方面保護網絡資源,阻止非法用戶對資源的訪問,另一方面限制特定用戶所能具備的訪問權限
類型:
- 標準ACL:序列號1-99
- 擴展ACL:序列號100-199
VRRP(虛擬路由器冗餘協議)
選擇性協議,可把一個虛擬路由器的責任動態分配到局域網上VRRP路由器
交換機端口匯聚
端口聚合也稱以太通道,主要用於交換機之間的連接。就是將多個物理端口合併成一個邏輯端口
Internet上的應用服務器
- HDCP服務器
- Web服務器
- FTP服務器
- DNS服務器
- STMP服務器
(三)網絡數據庫和數據安全
數據在計算機中的兩種狀態
- 存儲狀態
- 傳輸狀態
數據庫安全重要包括兩方面
- 數據庫系統的安全
- 數據庫數據的安全
數據庫安全管理原則
- 管理細分和委派原則
- 最小權限原則
- 賬號安全原則
- 有效審計原則
對數據庫的威脅形式
- 篡改
- 損壞
- 竊取
數據備份
概念: 數據備份是指爲防止系統出現操作失誤或系統故障導致數據丟失,而將全部或部分數據集合從應用主機的硬盤或陣列中複製到其他存儲介質上的過程
目的: 在系統數據崩潰時能夠快速地恢復數據,使系統迅速恢復運行
數據備份的類型
- 冷備份:關閉數據庫的狀態下進行備份
- 熱備份:數據庫運行狀態下進行備份
- 邏輯備份
數據備份策略
- 完全備份
- 增量備份
- 差別備份
- 按需備份
數據恢復類型
- 全盤恢復
- 個別文件恢復
- 重定向恢復:將備份文件(數據)恢復到另一個不同的位置或系統上
容災系統
容災系統包括數據容災和應用容災
數據容災技術
核心技術是數據複製,主要有兩種方式:
- 同步數據複製:本地數據以完全同步方式複製到異地
- 異步數據複製:本地數據以後臺方式複製到異地
建立容災備份系統涉及的技術
- SAN(存儲區域網)和NAS(網絡附加存儲)
- 遠程鏡像技術
- 快照技術
- 虛擬存儲技術
(四)密碼學
對稱密碼體制:
- 概念:又稱傳統密鑰密碼,其加密密鑰和解密密鑰相同或相近,由其中一個易得出另一個,故加密密鑰和解密密鑰都是保密的
- 代表算法:DES、IDEA、TDEA、AES
- 特點:算法容易實現、速度快、通用性強等優點,但也存在密鑰位數少,保密強度較差和密鑰管理複雜的缺點
非對稱密碼體制:
- 概念:也稱公開密鑰密碼,其加密密鑰和解密密鑰不同,由其中一個很難得出另一個,通常其中一個密鑰是公開的,而另一個是保密的
- 代表算法:RSA、ECC、DSA、MD5
- 特點:密鑰管理簡單、便於數字簽名、可靠性較高等優點,但也具有算法複雜、加密/解密速度慢,難於用硬件實現等缺點
網絡加密方式
- 鏈路加密:傳輸數據僅在數據鏈路層上進行加密
- 端到端加密:傳輸數據在應用層上完成加密
數字簽名和密鑰加密的區別:
- 數字簽名使用的是發送方的密鑰對,是發送方用自己的私鑰對摘要進行加密,接收方用發送方的公鑰對數字簽名解密,是一對多的關係
- 密鑰加密解密過程使用的是接收方的密鑰對,是發送方用接收方的公鑰加密,接收方用自己的私鑰解密,是多隊一的關係
網絡保密通信協議
- SSL(安全套接層協議)協議:在客戶端和服務器端之間建立安全通道的協議,被廣泛用於Web瀏覽器與服務器之間的身份認證和加密數據傳輸。主要部分是記錄協議和握手協議
- SSH(安全外殼)協議:建立在應用層和傳輸層基礎上的安全認證協議,主要由SSH傳輸層協議、SSH用戶認證協議和SSH連接協議三部分組成,共同實現SSH的安全保密機制
- IPsec(IP安全)協議:包括認證協議AH(也稱認證報頭)、封裝安全載荷協議ESP、密鑰管理協議IKE和用於網絡認證及加密的一些算法等
(五)網絡攻防技術
防火牆
概念: 防火牆是隔離本地網絡與外界網絡之間的執行訪問控制策略的一道防禦系統,是一組由軟、硬件設備構成的安全設施
不足:
- 網絡瓶頸
- 不能防範繞過防火牆的信息攻擊
- 不能防範病毒的傳播
- 不能防範內部人員的攻擊
特徵:
- 內部網和外部網之間的所有網絡數據流都必須經過防火牆
- 只有符合安全策略的數據才能通過防火牆
- 自身具有非常強的抗攻擊力
技術:
- 包過濾技術
- 代理服務技術
- 狀態檢測技術
- 自適應代理技術
病毒
- 計算機病毒的特徵:繁殖性、傳染性、破壞性、隱藏性、潛伏性、可觸發性、衍生性、不可預見性。
- 網絡病毒的特點:傳播速度快、傳播範圍廣、清除難度大、破壞性大、病毒變種多。
攻擊
- DoS攻擊(拒絕服務)
- DDoS攻擊(分佈式拒絕服務攻擊):準備階段->佔領傀儡機->植入程序->實施攻擊
- 緩衝區溢出攻擊:是指當計算機向緩衝區內填充數據位數時超過了緩衝區本身的容量,溢出的數據覆蓋在合法數據上。
VPN(虛擬專用網絡):屬於遠程訪問技術,利用公用網絡架設專用網絡
VLAN(虛擬局域網):是一組邏輯上的設備和用戶
(六)互聯網安全
Internet欺騙
- IP電子欺騙:用一臺主機設備冒充另外一臺主機的IP地址
- ARP電子欺騙:將IP地址轉化成MAC地址的協議
- DNS電子欺騙:進行域名和IP地址的轉化(解析)
- Web電子欺騙
Web服務使用HTTP協議,默認Web服務佔用80端口
Email服務的兩個主要協議:
- 簡單郵件傳輸協議SMTP(Simple Mail Transfer Protocol):默認佔用25端口,用來發送郵件
- 郵局協議POP3(Post Office Protocol):佔用110端口,用來接收郵件