第3章:网络安全基础
网络安全基础备考要点
https://www.moondream.cn/?p=1321
扫一扫加入信息安全工程师备考群
欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。
备考交流QQ群:39460595
考点1、计算机网络基本知识
【考法分析】
本考点主要是对计算机网络基础技术的考查。
【要点分析】
1.网络协议:为进行网络中的数据交换而建立的规则、标准或约定就是网络协议(Protocol)。
2.计算机网络的体系结构:将计算机网络的各层及其协议的集合,称为计算机网络的体系结构( Architecture )。
3.几种典型的计算机网络体系结构:
① OSI/ISO 体系结构;
② TCP/IP 体系结构。
4.IP 地址:
① 概述:IP 地址的划分经过了三个阶段:分类的IP 地址:子网的划分:无分类编址(CIDR) 。
② 分类E 地址结构及类射
分类IP地址结构及类别:IP地址是由32 位二进制数,即4 个字节组成的,它与硬件没有任何关系,所以也称为逻辑地址。
5.Internet 路由协议
常见的内部网关协议:有RIP 协议和OSPF 协议;外部网关协议:有BGP 协议。
① 路由信息协议RIP:RIP 是一种分布式的基于距离向量的路由选择胁议,它位于应用层,考虑到和上下协议的相关性放在这里进行讨论。它允许一条路径最多只能包含15 个路由器。
② 开放最短路径优先协议OSPF(适用于大型网络)。
③ 外部网关协议BGP:BGP 是不同自治系统的路由器之间交换路由信息的协议。
④ 因特网组管理协议(IGMP):IGMP 是在多播环境下使用的协议。
6.地址解析协议ARP 与反向地址解析协议RARP;网络中的一个机器具有逻辑地址和物理地址两种地址。逻辑地址是网络层的协议数据单元使用的地址,物理地址是数据链路层的协议数据单元MAC。
① ARP 协议:不知道物理地址那么就不能把网络层的数据包封装成MAC 帧,完不成通信。ARP 协议正是为了解决这个问题而设置的。
② RARP 协议:RARP 协议往往用于无盘工作站环境。
7.Internet 控制报文协议ICMP:ICMP协议允许路由器报告差错情况和提供有关异常情况的报告。
8.BGP 的结构和功能:BGP 用于在不同的自治系统(AS) 之间交换路由信息。
9.传输层协议TCP 协议特点:TCP 是面向连接的协议,提供可靠的、全双工的、面向字节流的,端到端的服务。
10.TCP 建立与释放连接机制:
① TCP 连接建立机制:TCP 使用三次握手来建立连接,大大增强了可靠性。
② TCP 连接释放机制:TCP 的释放分为半关闭和全关闭两个阶段。
11.TCP 定时管理机制:重传机制是保证TCP 可靠性的重要措施。TCP 每发送一个报文段,就对这个报文段设置一次计时器。只要计时器设置的重传时间到但还没有收到确认,就要重传这一报文段。
12.TCP 拥塞控制策略
TCP 的拥塞控制主要有以下四种方法:慢开始、拥塞避免、快重传和快恢复。
① 慢开始和拥塞避免:由小到大逐渐增大发送端的拥塞窗口数值,就是所谓的慢开始算法。
② 快重传和快恢复:快重传算法规定,发送端只要一连收到三个重复的ACK 即可断定有分组丢失了,就应立即重传丢失的报文段而不必继续等待为该报文段设置的重传计时器的超时。
13.UDP 协议的特点:发送数据之前不需要建立连接;UDP 的主机不需要维持复杂的连接状态表;UDP 用户数据报只有8 个字节的首部开销;网络出现的拥塞不会使源主机的发送速率降低,这对某些实时应用是很重要的。
14.域名系统DNS:功能是把Intemet 中的主机域名解析为对应的IP 地址。
15.电子邮件协议:邮件协议有发送协议SMTP 、接收协议POP3/IMAP4。
16.文件传输协议FTP的工作过程:FTP 是一个交互会话的系统,在进行文件传输时, FTP 的客户和服务器之间需要建立两个TCP 连接,一个控制连接,一个数据连接;FTP 的服务器进程由两大部分组成:一个主进程,负责接受新的请求:另外有若干个从属进程,负责处理单个请求。
17.远程登录协议Telnet:Telnet 有时也被称为虚拟终端协议。
18.动态主机配置协议DHCP:DHCP 是一种集中管理和自动分配IP地址的协议。
DHCP 支持三种类型的IP地址分配方式:
第一种人工分配,也称静态分配, DHCP为设备分配一个固定的IP 地址;
第二种动态分配,DHCP 从地址池中分配一个IP 地址给申请者,该地址有时间限制,在租约结束后收回;
第三种自动分配,从可用地址池中选择一个地址,自动地将其永久地分配给一台设备。
19.P2P (PeertoPeer) 应用协议:另一种模式应用模式叫点对点的应用,即 “peer-to-peer”,缩写为P2P 。这种模式不同于C/S 以服务器为中心,它没有客户机和服务器的区别,每个主机既是服务器也是客户机,既从其他主机获取资源,同时又为其他主机提供资源。
20.网络地址转换NAT:因特网的IP地址有本地地址和全球地址两类。但因特网中的所有路由器对目的地址是本地地址的数据报一律不进行转发。这就需要使用网络地址转换NAT,通常由路由器或专用NAT设备担任IP转换的功能。
【备考点拨】
了解并理解相关知识点内容。
考点2、网络安全的基本概念
【考法分析】
本考点主要是对网络安全相关内容的考查。
【要点分析】
1.网络安全法,涉及网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面。
2.网络安全法有4大亮点:① 用户不实名禁提供服务;② 阻断违法信息传播;③ 重大事件时可限制网络;④ 出售公民个人信息最高10 倍违法所得罚款。
3.APT 攻击是一种以商业或者政治目的为前提的特定攻击;APT 攻击过程可概括为3 个阶段:攻击前准备阶段、攻击入侵阶段和持续攻击阶段。共分为5 个步骤:情报收集、防线突破、通道建立、横向渗透、信息收集及外传。
4.暗网(深网,不可见网,隐藏网)是指那些存储在网络数据库里、不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。
5.网络其实有三层:① 表层网络:表层网就是人们所熟知的可见网络。② 深网:表层网之外的所有网络都称之为深网。③ 暗网:暗网是深网的一部分,但被人为地隐藏了起来。比特币成为暗网市场的主要流通货币。
【备考点拨】
了解并理解相关知识点内容。
考点3、网络安全威胁
【考法分析】
本考点主要是对网络安全防御技术相关内容的考查。
【要点分析】
1.网络安全是信息安全的核心。网络作为信息的主要收集、存储、分配、传输、应用的载体,其安全对整个信息的安全起着至关重要甚至是决定性的作用。
2、我国网络安全问题日益突出的主要标志是:
① 计算机系统遭受病毒感染和破坏的情况相当严重;
② 电脑黑客活动已形成重要威胁;
③ 信息基础设施面临网络安全的挑战;
④ 网络政治颠覆活动频繁。
3、制约提高我国网络安全防范能力的因素:
① 缺乏自主的计算机网络和软件核心技术;
② 安全意识淡薄是网络安全的瓶颈;
③ 运行管理机制的缺陷和不足制约了安全防范的力度;
④ 缺乏制度化的防范机制。
4.Sniffer 正当用处主要是分析网络的流量,由于Sniffer 可以捕获网络报文,因此它对网络也存在着极大的危害。
5.Sniffer 工作前提:① 网络必须是共享以太网;② 把本机上的网卡设置为混杂模式。
6.网络监听的防范方法:第一步工作就是要确保以太网的整体安全性;其次,采用加密技术;此外,对安全性要求比较高的公司可以考虑Kerberos(可信第三方认证机制)。
7.检测网络监听的手段:
① 反应时间;
② DNS 测试;
③ 利用ping 进行监测;
④ 利用ARP 数据包进行监测。
8.口令攻击类型:
① 字典攻击;② 强行攻击;③ 组合攻击。
口令破解器是一个程序,它能将口令解译出来,或者让口令保护失效。口令破解器一般并不是真正地去解码,因为事实上很多加密算法是不可逆的。
9.Email 口令破解:
① 利用邮件服务器操作系统的漏洞;
② 利用邮件服务器软件本身的漏洞;
③ 在邮件的传输过程中窃听。
10.拒绝服务攻击的主要企图是借助于两络系统或网络协议的缺陷和配置漏洞进行网络攻击,使网络拥塞、系统资源耗尽或者系统应用死锁,妨碍目标主机和网络系统对正常用户服务请求的及时响应,造成服务的性能受损甚至导致服务中断。
11.拒绝服务攻击DoS (DenialofService) 是阻止或拒绝合法使用者存取网络服务器(一般为Web 、FTP 或邮件服务器)的一种破坏性攻击方式。
12.拒绝服务攻击类型:
① 消耗资源;
② 破坏或更改配置信息;
③ 物理破坏或改变网络部件;
④ 利用服务程序中的处理错误便服务失效。
13.服务端口攻击:
① 同步包凤暴C SYNFlooding):它是通过创建大量”半连接”来进行攻击。
② Smurf 攻击:这种攻击方法结合使用了IP 欺骗和ICMP 回复方法使大量网络数据充斥目标系统,引起目标系统拒绝为正常请求进行服务。
③ 利用处理程序错误的拒绝服务攻击:这种攻击方法主要是利用TCP/IP 协议实现中的处理程序错误实施拒绝服务攻击。包括PingofDeath 攻击、 Teardrop 攻击、Winnuke 攻击和Land 攻击等。
14.电子邮件轰炸:电子邮件轰炸是最早的一种拒绝服务攻击。电子邮件轰炸实质上也是一种针对服务端口(SMTP 端口,即25 端口)的攻击方式,它的原理是:连接到邮件服务器的SMTP (25) 端口,按照SMTP 协议发送几仔头信息加上一堆文字垃圾,就算只发送了一封邮件,反复多次,就形成了邮件炸弹。
15.分布式拒绝服务攻击DDoS:攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。
16.漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
17.缓冲区溢出攻击是一种通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从雨破坏程序的堆枝,使程序转而执行其他预设指令,以达到攻击目的的攻击方法。
18.僵尸网络(Botnet) 是指采用一种或多种传播手段,将大量主机感染bot 程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。Botnet 首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot 程序的不断传播雨不断有新位置的僵尸计算机添加到这个网络中来。
19.僵尸网络的防御方法:基于IRC 协议的BotNet 防御方法,主要有使用蜜网技术、网络流量研究以及IRCserver 识别技术。
① 使用蜜网技术:蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术。
② 网络流量研究:网络流量的研究是通过分析BotNet 中僵尸主机的行为特征,将僵尸主机划分为长期发呆型和快速加入型。
20.网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式。
21.网络钓鱼防范措施:
① 申请并安装数字证书;
② 规范使用操作。
22.ARP 原理:某机器A 要向主机C 发送报文,会查询本地的ARP 缓存表,找到C 的IP 地址对应的MAC 地址后,就会进行数据传输。
23.ARP 欺骗的防范措施:
① 在wmxp 下输入命令: arp-s 网关IP 网关mac 固化arp表, 阻止arp欺骗。
② 使用ARP服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP广播。确保这台ARP 服务器不被黑。
③ 采用双向绑定的方法解决并且防止ARP 欺骗。
④ ARP 防护软件(ARPGuardo)
24.DNS 欺骗原理:首先是冒充域名服务器,然后把查询的IP 地址设为攻击者的IP 地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS 欺骗的基本原理。
25.IP 欺骗的原理:通过编程的方法可以随意改变发出的包的IP 地址,但工作在传输层的TCP 协议是一种相对可靠的协议,不会让黑客轻易得逞。由于TCP 是面向连接的协议,所以在双方正式传输数据之前,需要用”三次握手”来建立一个值得信赖的连接。
26.IP 欺骗的防范:预防这种攻击可以删除UNIX 中所有的/etc/hosts.equiv 、$HOME!.rhosts 文件,修改/etc/inetd.conf 文件,使得RPC机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部目的报文。
27.Web 欺骗的原理:Web 欺骗的原理是攻击者通过伪造某个www 站点的影像拷贝,使该影像Web 的入口进入到攻击者的Web 服务器,并经过攻击者机器的过滤作用,从而达到攻击者监控受攻击者的任何活动以获取有用信息的目的,这些信息当然包括用户的账户和口令。
28.Web 欺骗的手段和方法:
① 改写URL;
② 特殊的网页假象。
29.Email 欺骗:电子邮件欺骗是在电子邮件中改变名字使之看起来是从某地或某人发来的实际行为。
30.电子邮件欺骗有三种基本方法:
① 相似的电子邮件地址;
② 修改邮件客户;
③ 远程联系,登录到端口25。
31.网站安全威胁:
① SQL注入攻击;
② 跨站攻击;
③ 旁注攻击。
32.旁注攻击,有两种抵御方法:
① 设置IIS 单用户权限/禁止,来阻止非法用户运仔任意的CMD 命令,从而使入侵者的旁注入侵在无法提升权限下导致失败;
② 利用端口转发技术。
33.社会工程学就是使人们眼从你的意愿、满足你的欲望的一门艺术与学问。社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。
34.WEB安全漏洞:
① 加密算法中存在的漏洞
② 密钥管理中存在的漏洞
③ 身份认证机制中存在的漏洞
35.OpenSSL 安全漏洞:
① 计时攻击缺陷;② 分支预测缺陷;③ 故障分析缺陷;④ 单/双字节偏差缺陷;⑤ 伪随机数生成器缺陷;⑥ PaddingOracle 缺陷;⑦ Heartbleed 缺陷;⑧ 中间人攻击缺陷;⑨ 拒绝服务缺陷。
【备考点拨】
了解并理解相关知识点内容。
考点4、网络安全防御
【考法分析】
本考点主要是对网络安全防御相关内容的考查。
【要点分析】
1.防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术。
2.大多数防火墙规则中的处理方式主要包括以下几种:
Accept: 允许数据包或信息通过。
Reject: 拒绝数据包或信息通过,并且通知信息源该信息被禁止。
Drop: 直接将数据包或信息丢弃,并且不通知信息源。
缺省规则有两种选择:默认拒绝或者默认允许。
3.TCP/IP 协议族具有明显的层次特性,由物理接口层、网络层、传输层、应用层四层协议构成,每个层次的作用都不相同,防火墙产品在不同层次上实现信息过滤与控制所采用的策略也不相同。
4.包过滤技术的优点是简单,处理速度也很快。包过滤技术可能存在的攻击有:
① IP 地址欺骗;
② 源路由攻击;
③ 微分片攻击。
5.应用层网关也叫做代理服务器。它在应用层的通信中扮演着一个消息传递者的角色。
第三种防火墙技术是电路层网关。它是负责数据转发的独立系统,类似于网络渡船。电路层网关不允许一个端到端的直接的TCP 连接,它自网关建立两个TCP 连接,一个连接网关与网络内部的TCP 用户,一个连接网关与网络外部的TCP 用户。
6.防火墙的经典体系结构主要有三种形式:双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。
7.入侵检测与防护的技术主要有两种:入侵检测系统(IntrusionDetectionSystem , IDS)和入侵防护系统(IntrusionPreventionSystem , IPS) ;入侵检测技术主要分成两大类:异常入侵检测和误用入侵检测;入侵检测系统的体系结构大致可以分为基于主机型(Host-Based) 、基于网络型(Network-Based) 和基于主体型(Agent-Based) 三种。
8.VPN 即虚拟专用网,它是依靠ISP和其他NSP,在公用网络中建立专用的、安全的数据通信通道的技术。VPN 可以认为是加密和认证技术在网络传输中的应用。
9.VPN 的数据加密技术:隧道技术、加解密技术、密钥管理技术、身份认证技术等。
10.隧道协议:三种最常见的也是最为广泛实现的隧道技术是:点对点隧道协议PPTP,第2 层隧道协议L2TP, IP安全协议(IPSec )。除了这三种技术以外还有通用路由封装GRE、L2F 以及SOCK 协议等。
① 点对点隧道协议CPPTP);
② 第2层隧道悔议(L2TP);
③ IP 安全协议(IPSec)。
11.扫描器是一种自动检测远程或本地主机、网络系统安全性弱点的程序。漏洞是在暖件、软件、协议的具体实现或系统安全策略上存在的缺陷。
12.端口扫描:互联网上通信的双方不仅需要知道对方的地址,也需要知道通信程序的端口号。
13.密码类探测扫描技术(即口令攻击)是黑客进行网络攻击时最常用、最基本的一种形式。
14.我国也提出了自己的动态安全模型——WPDRRC 模型★。该模型有6 个环节和3 大要素。6 个环节是W、P 、D 、R、R、C ,它们具有动态反馈关系。其中, p, D 、R、R与PDRR 模型中出现的保护、检测、反应、恢复等4 个环节相同;W 即预警(waming) ,就是根据己掌握的系统脆弱性以及当前的计算机犯罪趋势,去预测未来可能受到的攻击与危害C (counterattack) 则是反击一一一采用一切可能的高新技术手段,侦察、提取计算机犯罪分子的作案线索与犯罪证据,形成强有力的取证能力和依法打击手段。
15.WPDRRC 模型中具有层次关系的三大要素分别是人员、政策和技术。
16.风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性。资产的属性是资产价值:威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度。最终,计算出-个量化的风险值。
17.SSL 协议以对称密码技术和公开密码技术相结合,提供了如下三种基本安全服务:
① 秘密性SSL:协议能够在客户端和服务器之间建立起一个安全通道,所有消息都经过加密处理以后进行传输,网络中的非法黑客无法窃取。
② 完整性SSL:利用密码算法和散列(HASH) 函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户端之间的信息受到破坏。
③ 认证性:利用证书技术和可信的第三方认证,可以让客户端和服务器相互识别对方的身份。
SSL 协议位于应用层和传输层之间,独立于应用层协议,即建立在SSL 之上的应用层协议可以透明地传输数据。
18.PGP 可以在电子邮件和文件储存应用中提供保密和认证服务,防止非授权者阅读,还能对邮件和文件加上数字签名,从而使收件人确信发送者是谁。
19.IEEE802.1x 是IEEE (美国电气电子工程师学会) 802 委员会制定的LAN标准中的一个,是一种应用于LAN 交换机和无线LAN 接入点的用户认证技术。
20.WEP 协议原理:WEP 基于RC4 算法用相同的密钥加密和解密,用开放系统认证和共享密钥认证进行认证。
21.WEP 是数据加密算法,它不是一个用户认证机制。
22.ADIUS 协议是一种提供在网络接入服务器和共享认证服务器间传送认证、授权和配置信息等服务的褂议。
23.Kerberos 是一种应用于分布式网络环境、以对称密码体制为基础,对用户及网络连接进行认证的增强网络安全的服务。★
24.X.509 是由国际电信联盟CITU-T) 制定的数字证书标准;X. 509 是基于公钥密码体制和数字签名的服务;X.509 给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。
25.SSH (SecureShell) 协议是在传输层与应用层之间的加密隧道应用协议,它从几个不同的方面来加强通信的完整性和安全性。
26.蜜罐(Honeypot) 技术是)种主动助御技术,是入侵检测技术的一个重要发展方向。
蜜罐的优点有:① 使用简单;② 资源占用少;③ 数据价值高。
蜜罐的缺点有: ① 数据收集面狭窄;② 给使用者带来风险。
27.蜜罐有四种不同的配置方式:
① 诱骗服务(DeceptionService);② 弱化系统(WeakenedSystem);③ 强化系统(HardenedSystem);④ 用户模式服务器(UserModeServer)。
28.用于备份的设备有硬盘、光盘、磁带三种;备份方式有三种:完全备份、增量备份、差异备份。完全备份就是对服务器上的所有文件完全进行归档;增量备份是指只把最近新生成的或者新修改的文件拷贝到备份设备上;差异备份与增量备份很相似。两者所不同的是,差异备份对上次备份后所有发生改变的文件都进行备份(包括删除文件的信息),并且不是从上次备份的时间开始计算。
29.NAS (NetworkAttachedStorage) 通常译为”网络附加存储”或”网络连接存储”。意思是连接在网络上的存储设备。SAN (StorageAreaN etwork) 通常译为”存储区域网络”。它是使用光纤通道。
30.网络安全防范意识与策略:
① 保证通信安全:对链路、信息进行加密,实行访问控制。
② 保证信息安全:采取技术、管理等措施,保护信息,使信息的保密性、完整性和可用性得到保障。
31.加强安全保障:加强信息安全保障措施,协同加强信息安全。主要包括三个方面的措施:
①检测:对系统的脆弱性、外部入侵、内部入侵、滥用、误用进行检测,及时发现、修补漏洞。
② 响应:对各种安全事件及时晌应,把不安全因素消灭在萌芽状态。
③恢复:制定完整的恢复计划,使得在网络万一不能提供服务时,能够及时、完整地恢复。
32.局域网的安全风险主要有以下4个方面:
① 计算机病毒的破坏;② 恶意攻击;③ 人为失误;④ 软件本身的漏洞。
33.局域网的安全防范策略有:
① 物理安全策略;② 划分VLAN 防止网络侦听;③ 网络分段;④ 以交换机代替共享式集线器;⑤ 访问控制策略;⑥ 使用数字签名;⑦ 用户管理策略;⑧ 使用代理服务器;⑨ 防火墙控制;⑩ 入侵检测系统;⑪ 定期进行漏洞安全扫描;⑫ 建立完善的网络安全应急响应机制;⑬ 使用VPN。
【备考点拨】
了解并理解相关知识点内容。
考点5、无线网络安全
【考法分析】
本考点主要是对无线网络安全相关内容的考查。
【要点分析】
1.无线网络大体可分为无线广域网、无线城域网、无线局域网、无线个域网和无线体域网。
2.无线广域网(WWAN):主要通过通信卫星把物理距离极为分散的局域网(LocalAreaNetwork , LAN) 连接起来,它连接地理范围较大,常常是一个国家或是一个洲。
3.无线城域网(WirelessMetropolitanAreaNetwork ,WMAN):主要通过移动电话或车载装置进行移动数据通信,可覆盖城市中的大部分地区。
4.无线局域网(WirelessLocalAreaNetwork, WLAN):覆盖范围较小。
5.无线个域网C WirelessPersonalAreaNetwork, WPAN):通常指近距离范围内的设备建立无线连接,WPAN 能够有效地解决”最后的几米电缆”的问题,进而将无线联网进行到底。
6.根据网络拓扑结构的不同,无线网络可分为集中式无线网络、分散式无线网络和分布式无线网络。
7.无线网络安全威胁:
① 无线窃听;② 假冒攻击;③ 信息篡改;④ 服务后抵赖;⑤ 重传攻击;⑥ 认证及密钙的攻击类型;⑦ 无线传感器网络节点劫持Sybil 攻击;⑧ 无线传感器网络虫涧攻击;⑨ 2G 伪基站攻击”伪基站”即假基站;⑩ NFC (NearFieldCommunication,近距离无线通信技术)面临特殊威胁攻击;⑪ RFID(RadioFrequencyIdentification ,射频识别) 面临特殊威胁攻击。
8.无线网络安全方案设计策略一般原则如下:
① 分析对系统的假设和约定。
② 分析网络的体系结构,明确网络的拓扑结构(星形、网状、分层树状、单跳还是多跳网络、拓扑结构是否变化、节点是否移动、节点移动的速度范围)、通信类型(单播、组播、广播等)、链路特征参数(带宽、吞吐率、延迟)、网络如模(节点数量、阿络覆盖面积〉、业务数据类型(语音、数据、多媒体、控制指令)等,~及网络的异拘性(多种形态网络的融合,有线网络和无线网络的融合),网络的时效性(是临时存在的还是长期存在的)。它和上一条一起构成了设计安全方案时的客观约束条件。
③ 分析网络的业务构成(工作流程、操作过程),涉及的实体(角色)、业务通信的基本内容等,思考这些实体和通信内容可能面临的安全威胁。
④ 分析网络和系统中的信任模型,明确方案涉及的相关实体和通信链路的信任程度,即追信链路或者实体是可信、半可信还是不可信的,思考并确定安全的边界.
⑤ 分析攻击网络和系统的敌手模型:
⑥ 从存在的威胁中归纳出共性的安全需求。
⑦ 根据前面步骤中归纳的安全需求、网络体系结构、系统假设确定设计需要达到的安全目标,以及实现该目标时要满足的特性,例如安全算法需要满足的计算量上限,存储空间上限,安全方案对容侵、容错的健壮性等。
针对以上原则,在设计无线网络安全方案时应综合采用以下策略:
① 安全策略(移动终端);
② 效率策略;
③ 兼容性。
9.WPKI 即”无线公开密钥体系”它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系,用它来管理在移动向络环境中使用的公开密铝和数字证书,有效建立安全和值得信赖的无线网络环境。
10.使用RC4(RivestCipher) 串流加密技术达到机密性,并使用CRC-32 验和达到资料正确性。
11.Wi-Fi 网络安全接入(WPA/WPA2):是一种保护无线电脑网络(Wi-FD) 安全的系统,它是应研究者在前一代的系统有线等效加密(WEP) 中找到的几个严重的弱点而产生的。
12.无线局域网鉴别与保密体系(WAPI):无线局域网鉴别和保密体系WAPD ,是一种安全协议,同时也是中国无线局域网安全强制性标准。
13.802.11i:IEEE802.11 i 是802.11 工作组为新一代WLAN 制定的安全标准,主要包括加密技术:TKlP、AES 以及认证协议IEEE802.1x 。
14.移动通信系统安全:2G 伪基站攻击防御:改善GSM 网络安全可以从以下几个方面进行:
① 调整基站参数,在不改变GSM 网络鉴权协议的’情况下,各大移动运营高可以通过谓整各基站小区的参数来遏制伪基站的危害。
② 定位伪基站,目前伪基站经常被不法分子用来向移动用户群发垃圾短消息,这给用户带来很大的匾扰。
③ 运营商可以和公安机关等执法部门配合,加强对伪基站的查找和处罚力度,从行政和执法上加强对网络的保护。
15.无线传感器网络安全:
① 密钥管理、身份认证和数据加密:公开密钥加密由于加密安全性高、网络抗毁性强等优点,被广泛应用于传统网络。但是传感器网络资源(包括节点自身能量、存储容量、计算和通信能力等)严格受限的;对称密钥加密算法由于加密处理简单,加解密速度’快,密钥较短等特点,非常适合资源受限的传感器网络部署使用。
② 攻击检测与抵御:无线传感器网络容易受到各种恶意攻击,例如干扰服务、节点捕获等。
16.无线个域网安全:
① 蓝牙安全:蓝牙技术提供短距离的对等通信,它在应用层和链路层上都采取了保密措施以保证通信的安全性,所有蓝牙设备都采用相同的认证和加密方式。
② Zigbee 安全:ZigBee 是基于IEEE802.15 .4标准的低功耗局域网协议。根据国际标准规定, ZigBee技术是一种短距离、低功耗的无线通信技术。
③ NFC 安全:从NFC 芯片、安全单元、手机应用等方面来阐述相关安全对策。
④ RFID 安全:
针对RFID 设备的破坏和攻击。可以考虑使用”法拉第笼月使得攻击者对于RFID的标签信息主动欺骗攻击失效。
Hash-Lock 协议及一系列改进方法,核心思想是使用metaID 来代替真实的标签ID以避免信息泄露和被追踪。
【备考点拨】
了解并理解相关知识点内容。