第六章：网络安全技术与产品

知识点1、网络安全需求分析与基本设计

【考法分析】

本知识点主要是对网络安全需求分析与设计相关内容的考查。

【要点分析】

1．网络安全在维基百科的定义是，网络安全包括网络设备安全、网络信息安全、网络软件安全。

2．网络安全的目标就是要实现信息系统的基本安全特征（即网络安全基本属性），并达到网络通讯所需的保障级别。

3．网络安全的基本属性包括机密性、完整性、可用性、可追究性、抗否认性。

4．安全威胁分为网络基础设施威胁、网络主机（服务）威胁、网络客户的安全威胁。也可分为网络内部威胁、网络外部威胁。

5．网络安全需求包括：安全服务、安全机制、技术管理以及在系统上的合理部署和关系配置。

6．在ISO的安全体系结构中包含：安全服务（Security Service）、安全机制（Security Mechanism）、安全管理（Security Management）

7．网络安全体系结构包含：安全服务、协议层次、系统单元；安全服务包括：认证、访问控制、数据完整性、数据保密性、抗抵赖、审计、可用性；系统单元分为：物理环境、应用平台、系统平台、网络平台、通讯平台。

8．协议层次是互联网的TCP/IP协议的基础；物理层设计在物理通信道上传输原始比特；  链路层分为介质访问控制和逻辑链路控制；网络层负责将数据从物理链接的一端传递到另一端；传输层的主要目的在于弥补网络服务与用户需求之间的差距；应用层想用户提供最常用且通用的应用程序。

9．网络安全防护系统的设计与实现应按照一下原则：最小权限原则；纵深防御原则；防御多样性原则：存在技术和防御两方面；网络安全的整体性原则；安全性评价与平衡原则；标准化与一致性原则。

10．校园网络安全构成威胁的因素很多，包括对网络硬件设备的破坏；窃取和干扰网络传输媒介上承载的信号；对邮件服务器进行攻击；针对应用服务器的攻击；管理者和使用者的威胁。

11．校园网络需要组合必要的安全设备和安全服务来构建网络安全系统，提供路由安全、路由过滤、防火墙、IDS、VPN、电子邮件安全、Web安全。

12．防火墙的设置应该满足如下原则：防火墙应该尽可能设置在网络最终出口和入口的校园网边界；除了网络防火墙设置在网络入口点之外，某些情况可能也需要将防火墙设置在校园网内部；防火墙不应该与其他的网络设备，比如路由器并行设置。

【备知识点拨】

了解并理解相关知识点内容。

知识点2、网络安全产品的配置与使用

【考法分析】

本知识点主要是对网络安全产品的配置相关内容进行考查。

【要点分析】

1．网络流量状况是网络中的重要信息，可以实现如下目标：负载检测；性能分析；网络纠错；网络优化；业务质量监视；用户流量计费；入侵检测；协议调测。

2．流量监控对于网络性能分析、异常检测、链路状态检测、容量规划等发挥重要作用。

3．流量监控的内容：流量大小；吞吐量；带宽情况；时间计数；延迟情况；流量故障。

4．网络流量检测计数包括：基于数据采集探针的流量监控技术、基于SNMP/RMON的流量监控技术、基于Netflow/sFlow的流量监控技术、基于实时抓包的流量监控技术。

5．数据采集探针是专门用于获取网络链路流量数据的硬件设备。SNMP是TCP/IP的标准网络管理协议；RMON协议是对SNMP标准的扩展。NetFlow是基于Cisco提供的Netflow机制实现的网络流量信息采集；是Cisco专属协议，已经标准化。sFlow也是一种嵌入在路由器或交换机内的基于抽样的流量检测技术。

6．流量监控系统的评价标准：有效性、可靠性、实时性。网络流量监控分析的基础是协议行为解析分析，包含协议描述、协议行为解析。

7．Sniffer称为嗅探器，基于被动侦听原理的网络分析方式，能快速定位网络故障，并能捕获网络故障数据包，帮助网管人员分析和处理故障数据包。

8.Wireshark是一款免费开源的协议解析器，目前世界范围应用最广泛的网络协议解析软件

Wireshark能够在网康接口处捕捉数据包

9．NBAR是在CiscoISO12.0（5）XE2中引用的一个功能，它查看数据包的前512字节，可以检测识别各种应用协议，包括静态端口的、非TCP/IP的IP层协议、使用动态端口的、伪装其他端口的。

10．NRTG用户定义的定制应用程序分类，而多路由器流量图MRTG是基于SNMP的监控网络链路流量负载的工具软件，利用它可以从所有运行SNMP协议的设备上抓取信息，以非常直观的方式显示给用户，而且好用的系统资源较小。

【备知识点拨】

了解并理解相关知识点内容。

知识点3、网络安全风险评估实施

【考法分析】

本知识点主要是对网络安全风险评估实施的相关内容进行考查。

【要点分析】

1．网络安全风险评估基本原则：标准性原则、可控性原则、最小影响原则。

2．识别阶段是风险评估工作的重要工作阶段，对组织和信息系统中资产、威胁、脆弱性等要素的识别，是进行信息系统安全风险分析的前提。

3．在风险评估工作中，风险的重要因素都已资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。

4．威胁利用资产自身脆弱性，是的安全事件的发生成为可能，从而形成了安全风险。

5．把资产分为硬件、软件、数据、服务、人员、其他。

6．威胁分类方法：软硬件故障、物理环境影响、无作为或者操作实物、管理不到位、恶意代码、越权或滥用、网络共计、物理共计、泄密、篡改、抵赖。

7．根据威胁产生起因、表现、后果，分为：有害程序、网络攻击、信息破坏、信息内容攻击、设备设施故障、灾害性破坏、其他威胁。

8．威胁调查工作包括：威胁源动机及其能力、威胁途径、威胁可能性及其影响。

9．脆弱性是资产自身存在的，本身不会对资产造成损害；脆弱性可从技术、管理两个方面进行识别。

10．脆弱性识别所采用的方法：文档查阅、问卷调查、人工核查、工具检测、渗透测试。

11．风险评估是以围绕被评估组织核心业务开展为原则的，评估业务所面临的安全风险。

12．风险分析的主要方法是对业务相关的资产、威胁、脆弱性、其他各项属性的关联分析

13．风险分析模型：

威胁识别 → 威胁出现的频率 → 安全事件的可能性 → 风险值；

脆弱性识别 → 脆弱性的严重程度 → 安全事件的可能性、造成的损失 → 风险值；

资产识别 → 资产价值 → 安全事件造成的损失 → 风险值。

14．风险分析分为定性、定量，一般风险计算多采用定性计算方法。

15．风险处置方式一般包括接受、消减、转移、规避。

16．安全整改：非常严重、需立即降低且加固措施易于实施的安全风险，建议被评估组织立即采取安全整改措施；非常严重、需立即降低，但加固措施不便于实施的安全风险，建立被评估组织立即制定安全整改实施方案，尽快实施安全整改，整改前应对相关安全隐患进行严密监控，并做好应急预案。比较严重、需降低且加固措施不易于实施的安全风险，建议被评估组织指定限期实施的整改方案，整改前应对相关安全隐患进行监控。

【备知识点拨】

了解并理解相关知识点内容。

知识点4、网络安全防护技术的应用

【考法分析】

本知识点主要是对网络安全防护技术的应用相关内容进行考查。

【要点分析】

1．安全漏洞扫描技术是一类重要的网络安全技术，与防火墙、入侵检测系统相互配合，能有效提高网络的安全性。

2．网络安全漏洞扫描技术基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。

3．一次完整的网络安全漏洞扫描分为：

第一阶段：发现目标主机或网络；

第二阶段：发现目标后进一步搜集目标信息；

第三阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。

4．网络安全漏洞扫描技术包括有PING扫射、操作系统探测、如何探测访问控制规则、端口扫描、漏洞扫描。

5．PING扫描用于网络安全漏洞扫描的第一阶段；操作系统探测、如何探测访问控制规则和端口扫描用于第二阶段；网络安全漏洞扫描第三阶段。

6．Telnet到远程主机时三次握手机会：

第一步：一台计算机首先请求和另一台计算机建立连接；

第二步：接收到SYN请求的计算机响应发送来的序列号；

第三步：发起连接请求的计算机对收到的序列号做出应答。

7．从扫描器的探测功能分为：① 网络扫描器，基于Internet远程检测目标网络和主机系统漏洞的程序，如提供网络服务、后门程序、密码破解、阻断服务等的扫描测试；② 主机扫描器；③ 服务扫描器；④ 数据库扫描器；⑤ 专用扫描器。

8．网络安全漏洞的防御：采用网络防火墙抵御由于网络内存在的安全漏洞而存在的潜在网络攻击，通过防火墙过滤不安全的服务而降低风险；具体可体现在以下方面：强化网络安全策略；监控审计；防止内部信息泄露；数据包过滤；网络地址转换；虚拟专用网络。

9．VPN被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

10．VPN四种技术保证安全：隧道技术、加解密技术、密钥管理技术、使用者与设备身份验证技术。

11．服务提供商提供虚拟电路来建立IPVPN服务。

18．高层安全协议可以提供应用层安全。

19．SOCKS是一个网络连接的代理协议，处于OSI模型的会话层，将连接请求进行鉴别和授权。

20．安全套接字属于高层安全机制，SSL是一个端到端协议，因而是在处于通讯通路通路端点的机器上实现，而不需要在通信通路的中间节点上实现。

21．S-HTTP是安全HTTP协议的安全扩展，它提供身份认证，也可以提供数据加密。

22．安全的多用途因特网邮件扩展可以被看作一个特殊的雷士SSL的协议。

23．第二隧道协议就是OSI模型中的数据链路层的安全协议，有PPTP 和 L2F 和L2TP，主要是为了组建远程访问VPN而提出。

24．IPSec是IETF正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性、保密性。

25．基于多协议标记交换的IPVPN是面向非连接的IP网络，可以像帧中继和提供IP服务级别一样具有保密性。

26．容灾备份系统指在相隔较远的异地，建立2套或多套功能相同的IT系统。

27．灾难恢复计划包括：数据保护、灾难防备、事后恢复

28．在建立容灾备份系统时会涉及到多种技术，如远程镜像技术、快照技术、基于IP的SAN互连技术。

29．远程镜像技术往往同快照技术结合起来实现远程备份，即通过镜像把数据备份到远程存储系统中，再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。

30．快照是通过软件对要备份的磁盘子系统的数据快速扫描，建立一个要备份数据快照逻辑单元号LUN和快照cache。

31．互连技术即通过光钎通道FC，把2个SAN连接起来。

32．增量备份分为差别备份和累积备份；差别备份是从上次备份后修改过的文件的拷贝；累积备份是从上一个完全备份后被修改的全部文件拷贝。一周备份设计：周日完全备份，周1、2、3差别备份，周4累积备份，周5、6差别备份。恢复：首先恢复上周日完全备份，再恢复周4累积备份，再恢复周5/6。

33．异地备份“一个三”“三个不原则“：备份到300公里外；不能在同一地震带、不能在同地电网、不能在同一江河流域。

34．日志分析审计要求包括：记录与再现、入侵检测、记录入侵行为、威慑作用和系统本身的安全性。

35．日志分析方法包括：人工分析；计算机手工分析；处理审计记录并与分析人员最后决策相结合的半自动；依靠希赛网系统做出判断结果的自动化的智能分析。

36．正则表达式分析方法可以让用户通过一系列的特殊字符构建匹配模式。

37．关联规则挖掘问题就是通过用户指定最小支持度、最小可信度。

38．聚类分析也叫分类分析，基本思想是:我们所研究的样品之间存在程度不同的相似度。

【备知识点拨】

了解并理解相关知识点内容。

点击进入>>>希赛软考题库 信息安全工程师每日一练

想要了解更多软考考试资讯，可以关注希赛网软考频道。