目錄

• 一、安全等級測評和自查
• 二、網絡安全威脅
• • （一）常見的安全攻擊類型
  • （二）惡意代碼的命名規則
• 三、安全算法
• • （一）加密和解密
  • （二）公鑰和私鑰
  • （三）對稱加密算法
  • （四）非對稱加密算法
  • （五）報文摘要算法
• 四、數字簽名與數字證書
• • （一）數字簽名
  • （二）數字證書
• 五、VPN（虛擬專用網絡）
• • （一）VPN隧道技術
  • （二）IPSec VPN應用場景
  • • 1、站點對站點
    • 2、端對端
    • 3、端對站點
  • （三）IPSec的工作模式
  • （三）MPLS（多協議標記交換）
• 六、網絡隔離技術

一、安全等級測評和自查

第三級信息系統應當每年至少進行一次等級測評和自查，第四級信息系統應當每半年至少進行一次等級測評和自查，第五級信息系統則依據特殊安全需求進行等級測評和自查。

等級等級測評和自查次數

第三級	每年至少一次
第四級	每半年至少一次
第五級	依據特殊安全需求

二、網絡安全威脅

（一）常見的安全攻擊類型

1、計算機病毒：是一種附著在其他程序上、能自我繁殖、有一定破壞能力的程序代碼，復制后的程序仍具有感染和破壞的功能；
2、蠕蟲：是一段可以借助程序自行傳播的程序或代碼；
3、木馬：是利用計算機程序漏洞侵入后竊取信息的程序，常偽裝成無危害的程序；
4、僵尸網絡：是指一種或多種傳播手段使大量主機感染bot程序，從而在控制者和被感染者之間形成一個可以一對多的控制網絡；
5、拒絕服務（DOS）：是利用大量合法的請求占用大量網絡資源，從而達到癱瘓網絡的目的；
分布式拒絕服務攻擊（DDOS）：是指很多DOS攻擊源一起攻擊某臺服務器從而形成DDOS；
6、SQL注入：是把SQL命令插入到Web表單、域名輸入欄或頁面請求的查詢字符串中，最終達到欺騙服務器執行惡意的SQL命令；
7、跨站攻擊：惡意攻擊者往Web頁面里插入惡意HTML代碼，當用戶瀏覽該頁面時，嵌入到Web中的HTML代碼會被執行，從而達到目的。

（二）惡意代碼的命名規則

惡意代碼的一般命名格式：惡意代碼前綴.惡意代碼名稱.惡意代碼后綴，如下表：

惡意代碼前綴名稱解釋

Boot	引導區病毒	通過感染磁盤引導扇區進行傳播
DOSCom	DOS病毒	通過DOS操作系統進行復制和傳播
Worm	蠕蟲病毒	通過網絡或漏洞進行自主傳播，通過郵件或即時通訊工具發送帶毒文件
Trojan	木馬	通過偽裝成有用的程序誘騙用戶主動激活
Backdoor	后門	通過網絡或系統漏洞入侵計算機并隱藏，從而控制者遠程控制用戶計算機
Win32、PE、Win95、W32、W95	文件型病毒或系統病毒	感染可執行文件（.exe、.com、.dll），若與其他前綴連用，則表示病毒的運行平臺
Macro	宏病毒	宏語言編寫，感染辦公軟件，通過宏自我復制
Script、VPS、JS	腳本病毒	使用腳本語言編寫，通過網頁傳播、感染、破壞或調用特殊指令下載并運行病毒、木馬文件
Harm	惡意程序	直接對被攻擊主機進行破壞
Joke	惡作劇	只會給用戶帶來恐慌和麻煩

三、安全算法

（一）加密和解密

加密：明文通過加密算法變成密文的方法，明文X通過加密算法E，使用密鑰K1變成密文Y。

解密：密文通過解密算法還原成明文的方法，密文Y通過解密算法D，使用密鑰K2還原成明文X。

（二）公鑰和私鑰

公鑰和私鑰是通過一種算法得到的一個密鑰對(其中一個公鑰和一個私鑰)，其中一個向外界公開，稱為公鑰，公鑰用于加密和認證；另一個保留，稱為私鑰，私鑰用于解密和簽名，通過這種算法得到的密鑰對能保證在世界范圍內是唯一的。
例如，用戶A發送給用戶B的數據要用到用戶B的公鑰進行加密，加密后的數據只能通過用戶B的私鑰才能解密，如下圖：

（三）對稱加密算法

根據加密和解密密鑰是否相同的原則可分為對稱加密算法和非對稱加密算法。

加密密鑰和解密密鑰相同的算法稱為對稱加密算法，它相對于非對稱加密算法來說其加密效率更高且適合大量數據加密，常見的對稱加密算法如下：
1、DES：明文數據分為64位一組，密鑰長度為64位（56位密鑰+8位奇偶校驗位），每一個字節的第8位是奇偶校驗位，所以為8位；
2、3DES：三重DES算法是DES的擴展，它使用3條56位的密鑰對數據進行三次加密，即執行三次DES算法，相對于DES算法更加安全。其中K1、K2、K3決定該算法的安全性，若數據對安全性要求不是很高，可以采用兩個不同的密鑰進行加密，即在第一次和第三次加密使用同一密鑰，而第二次采用另一密鑰，此時密鑰長度為128位（112位密鑰+16位奇偶校驗位）；也可以使K1、K2、K3三次加密采用不同的密鑰，這樣密鑰長度為192位（168位密鑰+24位奇偶校驗位）；
3、RC4：一種流加密算法，加密和解密雙方使用相同的偽隨機加密數據流作為密鑰，明文數據每次與密鑰數據流順次對應加密，從而得到密文數據流，它的密鑰長度可變，用于TSL、SSL協議等等；
4、RC5：一種參數可變（三個參數：分組大小、密鑰長度、加密輪數）的分組密碼算法；
5、IDEA：明文和密文都為64位，密鑰長度為128位；
6、AES：明文分為128位一組，密鑰長度可變（128、192或256位）。

（四）非對稱加密算法

加密密鑰和解密密鑰不同的算法稱為非對稱加密算法，也稱為公鑰密碼體制，在公鑰密碼體系中，公鑰用于加密和認證，私鑰用于解密和簽名，比如RSA算法是一種非對稱加密算法，該算法基于大素數（質數）分解，適合進行數字簽名和密鑰交換運算，其中X為明文，Y為密文，RSA的加密和解密過程如下：

（五）報文摘要算法

通過特定算法對明文進行摘要，生成固定長度的密文的方法稱為報文摘要算法，常見的報文摘要算法有安全散列標準SHA-1、MD5系列標準等等。
1、MD5
信息摘要算法5，是將信息分為512bit的分組，創建一個128bit的摘要，即MD5的輸出的摘要位數為128位。
2、SHA-1
安全Hash算法基于MD5，將信息分為512bit的分組，創建一個160bit的摘要，即SHA-1的輸出的摘要位數為160位。

四、數字簽名與數字證書

（一）數字簽名

數字簽名又稱為公鑰數字簽名，數字簽名是非對稱密鑰加密算法（技術）與數字摘要技術的應用，例如用戶A向用戶B發送數據，首先A使用摘要算法對發送的數據進行摘要，然后通過使用自己的私鑰對數據摘要進行加密，并將加密摘要和原數據發送給用戶B；用戶B接收到后，也是使用與用戶A一樣的摘要算法對原數據再次摘要，從而形成新的摘要，然后通過使用用戶A的公鑰對A加密生成的加密摘要進行解密還原成原摘要，對比摘要，若兩個摘要一致則說明數據沒有經過篡改。

從圖可看出，數字簽名的特點是：
信息身份認證、信息完整性檢查、信息發送不可否認性，但它不提供原文信息加密，不能保證接收方能接收到信息，也不對接收方的身份進行驗證，例如用戶A向用戶B發送數字簽名的信息X，用戶A不能保證用戶B收到信息X，用戶B不能保證信息X確實來自于用戶A。

（二）數字證書

數字證書采用公鑰體制進行加密和解密，每個用戶都有一個私鑰來解密和簽名，同時每個用戶還有一個公鑰來加密和驗證。
例如網站向證書頒發機構（CA）申請了數字證書，用戶可以通過CA的簽名來驗證網站的真偽，在用戶與網站進行安全通信時，用戶可以通過證書中的公鑰進行加密和驗證，網站通過網站的私鑰進行解密和簽名。

五、VPN（虛擬專用網絡）

VPN是指在公用網絡上建立專用網絡的技術，由于是建立在公用網絡服務商提供的網絡平臺，也稱為虛擬網。
實現虛擬專用網絡的關鍵技術主要有隧道技術、加密/解密技術、密鑰管理技術和身份認證技術。

（一）VPN隧道技術

由于是在公網上建立虛擬信道，所以要通過VPN隧道技術實現，它建立在鏈路層和網絡層，它有以下主要的隧道協議：

1、PPTP
屬于第二層隧道協議，點到點隧道協議是一種用于讓遠程用戶撥號連接到本地的ISP（互聯網服務提供商），PPTP通過使用傳輸控制協議（TCP）創建控制通道來發送控制命令，即利用通用路由封裝（GRE）通道將PPP幀封裝成IP數據包，以便在基于IP的互聯網上進行傳輸。
2、L2TP
屬于第二層隧道協議，L2TP是PPTP和L2F（第二層轉發）的綜合，L2TP的封裝格式為PPP幀封裝L2TP報頭，再封裝UDP報頭，最后再封裝IP頭，格式如下：

L2TP協議與PPTP協議功能類似：

名稱PPTPL2TP

使用隧道數目	單一隧道	多隧道
包頭壓縮、隧道驗證	支持	不支持

3、IPSec（Internet 協議安全性）協議簇
屬于第三層隧道協議，是通過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸協議簇，即一個協議體系，它工作在網絡層，由建立安全分組流的密鑰交換協議（IKE（Internet密鑰交換）協議）和保護分組流的協議（AH（認證頭）協議、ESP（封裝安全載荷）協議）兩個部分組成，如下圖：

（1）IKE
IKE由ISAKMP框架、OAKLEY密鑰交換模式以及SKEME的共享和密鑰更新技術組成，加密和認證過程中所使用的密鑰由IKE機制來生成和分發，ISAKMP提供密鑰管理服務，IKE定義了自己的密鑰交換方式，有手工密鑰交換和自動IKE兩種。

（2）AH
AH（認證頭）協議為IP數據報提供完整性檢查與數據源認證，并防止重放攻擊，它不支持數據加密，AH協議通過采用摘要算法MD5和SHA-1實現摘要和認證，從而確保數據完整。

該協議只作摘要，只能驗證數據完整性和合法性。
（3）ESP
ESP（封裝安全載荷）可以同時提供數據完整性確認和數據加密等服務，它通常使用DES、3DES、AES等加密算法來實現數據加密，使用MD5或SHA-1來實現摘要和認證，從而確保數據完整。

ESP協議既作摘要，也作加密，所以它除了和AH一樣能驗證數據完整性和合法性，還能進行數據加密。
4、SSL VPN、TLS VPN
都屬于第四層隧道協議，兩類VPN分別使用了SSL和TLS技術，它工作在傳輸層，由于需要對傳輸數據加密，所以它的速度比IPSec VPN慢，但其配置和使用較簡單。

（二）IPSec VPN應用場景

IPSec VPN應用場景分為以下三種模式：

1、站點對站點

站點對站點也稱為網關到網關，即多個異地機構利用運營商網絡建立IPSec隧道，將各自的內部網絡聯系起來。

2、端對端

端對端是指PC到PC，連接的通信是兩個PC之間。

3、端對站點

端對站點是指兩個PC之間的通信由網關和異地PC之間的IPSec會話完成。

（三）IPSec的工作模式

IPSec的工作模式分為兩種：傳輸模式和隧道模式，傳輸模式下的AH和ESP處理后的IP頭部不變，而隧道模式下的AH和ESP處理后需新封裝一個新的IP頭。

工作模式AH和ESP處理后的IP頭部

傳輸模式	IP頭部不變
隧道模式	需新封裝一個新的IP頭

（三）MPLS（多協議標記交換）

多協議標記交換是將IP數據報封裝在MPLS數據包中，通過利用標簽交換取代復雜的路由運算和路由交換，通過標記對分組進行交換，為其分配固定長度的短的標記，并將標記與分組封裝在一起，在整個轉發過程中，交換節點僅根據標記進行轉發，從而引導數據高速、高效地傳輸，它是屬于二層和三層之間的協議（2.5層協議）。
MPLS VPN承載平臺由P路由器、PE路由器和CE路由器三部分組成：
1、P路由器
P路由器依據MPLS標簽完成數據包的高速轉發；
2、PE路由器
PE路由器除了負責待傳送數據包的MPLS標簽的生成和去除，還負責根據路由建立交換標簽的動作；
3、CE路由器
CE路由器是直接與電信運營商相連的用戶端路由器，它通常是一臺IP路由器，與連接的PE路由器建立鄰接關系。

六、網絡隔離技術

常見的網絡隔離技術有以下：
1、防火墻
通過ACL（訪問控制列表）隔離網絡數據包，它控制局限傳輸層以下的攻擊（對于病毒、木馬、蠕蟲等應用層的攻擊沒有辦法），適用于小型網絡隔離，不適合大型、雙向訪問業務網絡隔離。
2、多重安全網關
被稱為新一代防火墻，能做到網絡層到應用層的全面檢測。
3、VLAN劃分
該方法可以避免廣播風暴，解決了有效數據傳遞問題，通過劃分VLAN隔離各類安全性部門。
4、人工策略
通過斷開網絡物理連接，通過人工方式交換數據，安全性最好。

總結

以上是生活随笔為你收集整理的（*长期更新）软考网络工程师学习笔记——Section 10 网络安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。