软考网络工程师第三部

第八章 网络安全

一、网络安全基础概念

1. 网络安全定义

保护网络硬件、软件、数据 ，避免破坏、篡改、泄露，保障系统稳定、服务不中断。包含三类：设备安全、软件安全、信息安全

2. 信息安全五大基本属性

保密性、完整性、可用性、可控性、不可否认性

3. 网络攻击分类

• 被动攻击：只窃听不破坏（嗅探、端口扫描、信息收集）

• 主动攻击：篡改、破坏、中断服务（DOS/DDOS、篡改、伪造、重放、中间人）

4. 常见安全威胁

恶意软件、DDoS、钓鱼社工、APT 高级威胁、中间人攻击、内网威胁

5. 安全措施目标

访问控制、身份认证、数据完整性、安全审计、数据保密

6. 安全等级（美国国防部）

D (无保护)→C (自主保护 C1/C2)→B (强制保护 B1/B2/B3)→A (最高验证保护)

二、数据加密技术（必考）

1. 三大加密体系

2. 对称加密（共享密钥） ：加解密同一密钥，速度快、适合大批量数据

3. 非对称加密（公钥私钥）：密钥成对，公钥公开、私钥保密，速度慢

4. 哈希摘要算法：无密钥，不可逆，校验完整性

5. 对称加密算法（必记密钥长度）

表格

算法	密钥长度	特点
DES	56 位	老旧不安全
3DES	112 位	DES 升级版，偏慢
IDEA	128 位	高安全
AES	128/192/256 位	主流最快最强

口诀：大批量加密首选 AES

3. 非对称加密算法

• RSA：可加密 + 可签名，最通用

• DSA ：仅用于数字签名，不能加密

• ECC：椭圆曲线，密钥短、效率高

• 国密商用算法SM2（非对称）、SM3（哈希摘要）、SM4（对称分组）

4. 哈希 / 报文摘要算法（固定输出长度）

• MD5：128 位，已不安全

• SHA-1：160 位

• SHA-256：256 位，企业主流作用：校验文件 / 报文完整性

三、数字签名 & 身份认证

1. 数字签名核心作用

防篡改、防抵赖、验证完整性 流程口诀：私钥签名，公钥验证

• 发送方：原文→HASH 摘要→私钥加密= 签名

• 接收方：公钥解密摘要 + 本地哈希比对，一致则合法

2. 认证分类

实体认证（确认人 / 设备）、消息认证（确认数据未改）

3. 经典认证协议

4. Kerberos 应用层认证，依赖对称 DES，三方架构：客户端 + KDC + 服务端流程：AS 拿 TGT 票据→TGS 拿业务票据→访问服务

5. PPP 链路认证

   • PAP：明文密码，不安全

   • CHAP：三次握手加密认证，安全

四、数字证书 & PKI 密钥管理

1. 数字证书

由CA 权威中心 签发，绑定用户身份 + 公钥 ，标准格式X.509 V3作用：身份认证、加密、签名、防伪造

2. 证书相关机构

• CA：证书签发、吊销

• RA：受理用户证书注册申请

3. 三大密钥管理体制

4. KMI：封闭内网密钥管理

5. PKI：开放互联网主流（公钥基础设施）

6. SPK：规模化专用网络

7. 核心口诀

公钥用来加密、验签；私钥用来解密、签名

五、VPN 虚拟专用网（分层必考）

1.VPN 三大分类

内联网 VPN、外联网 VPN、远程接入 VPN核心技术：隧道封装、加密、身份认证、密钥管理

2. 主流隧道协议分层

3. 二层 VPN

   • PPTP：仅 IP 网络，无隧道验证，依赖 PPP

   • L2TP：跨多网络，支持隧道验证，常搭配 IPSec

4. 2.5 层 VPNMPLS VPN：内外双层标签，企业专线常用

5. 三层 VPN IPSec VPN：网络层最强安全，分两种模式

   • 传输模式：内网主机互通

   • 隧道模式：网关对公网互通IPSec 组成：AH（认证完整性）、ESP（加密 + 认证）、IKE（密钥协商）

6. 应用层 VPN SSL VPN ：基于浏览器，免客户端，远程办公首选，端口443

7. 经典协议搭配

• 网页加密：HTTPS=HTTP+SSL/TLS

• 邮件加密：PGP、S/MIME

• 网购交易安全：SET 协议

六、应用层安全协议汇总

1. S-HTTP：安全网页传输

2. PGP：电子邮件加密（IDEA 加密 + MD5 校验 + RSA 签名）

3. S/MIME：邮件安全签名加密

4. SET：电子商务交易安全

5. Kerberos：全网统一身份认证

七、防火墙（第一道边界防护）

1. 工作位置：内外网边界

2. 核心功能：ACL 包过滤、NAT、VPN、日志、流量控制

3. 无法做到：防内网攻击、查杀病毒

4. 三大安全区域外网（非信任）→DMZ 隔离区（放服务器）→内网（信任区）

5. 部署模式：路由模式、透明模式、旁挂模式

八、恶意代码分类

1. 计算机病毒：依附文件，需触发感染

2. 蠕虫 Worm ：无需人为触发，自动全网传播

3. 木马 Trojan ：无自我复制，服务端放被控主机

4. 宏病毒：感染 Office 文档

5. 脚本病毒：网页 JS / 脚本类

九、IDS 入侵检测 & IPS 入侵防御（第二道防线）

1.IDS 入侵检测系统

• 作用：只报警、不拦截

• 部署：旁挂监听

• 分类：HIDS 主机型、NIDS 网络型

• CIDF 四大组件：事件产生器、分析器、数据库、响应单元

2.IPS 入侵防御系统

• 作用：实时检测 + 直接阻断攻击

• 部署：串行主干链路

• 分类：NIPS 网络、HIPS 主机、AIPS 应用层

3. 同类安全设备速记

• WAF：Web 应用防火墙，防 XSS、SQL 注入

• 流量清洗：专门防御 DOS/DDOS

• 网闸：物理隔离内外网，GAP 隔离技术

• 上网行为管理：内网管控、限速审计

十、高频网络攻击（选择题必出）

1. DoS：一对一耗尽资源断服务

2. DDoS：僵尸集群多对一攻击（SYN 洪水、UDP 洪水、ICMP 洪水）

3. Land 攻击：源目 IP 一致伪造报文

4. 泪滴 Teardrop：分片异常重组崩溃

5. XSS 跨站脚本：网页注入恶意脚本

6. SQL 注入：篡改数据库语句

7. 欺骗攻击：ARP 欺骗、DNS 欺骗、IP 欺骗

8. 重放攻击：重复发送旧报文，时间戳可防御

十一、软考必考端口

• HTTP：80

• HTTPS：443

• L2TP：UDP 1701

十二、速记口诀

1. 对称快、非对称稳、哈希验完整

2. 私钥签名不可抵赖，公钥加密公开传播

3. 防火墙管边界，IDS 监听报警，IPS 直接拦截

4. 远程办公用 SSL VPN，企业专线用 IPSec/MPLS

5. 邮件加密 PGP，网购安全用 SET

6. 内网认证 Kerberos，链路认证 CHAP 优于 PAP