安全技术 |
||
防火墙 |
防火墙系统通常由过滤路由器和代理服务器组成,设于被保护网络与外部网络之间,保护内部网络。两种情况无效:内部计算机与互联网直联,来自内部的攻击 |
|
IP过滤 |
TCP/IP层,只准许授权IP包通行,过滤准则是选择准则(数据包的源和目的地址、协议和传输方向)和执行准则(拒绝和准许) |
|
线路过滤 |
电路级网关,会话层,两个主机首次建立TCP连接时创立一个电子屏障,判断会话是否合法,不过滤包。可限制FTP服务的使用 |
|
应用层代理 |
应用层,用户身份验证,通过代理服务器,安全级别高,速度慢 |
|
数字加密 |
对称密钥 |
加密与解密密钥相同或容易导出,保密强度高,密钥需安全传输。两种类型:分组密码(DES,迭代分组密码,64位,短,穷举可破。加强版3DES,112位进行三次加密)和序列密码(IDEA,128位) |
非对称密钥(公钥算法) |
加密与解密密钥完全不同,不能互相推导,可以适应开放环境,实现数字签名和认证。最常见RSA,基础是大素数分解,加密大量信息太慢,一般用于密钥分发 |
|
入侵检测 |
监视和阻止入侵者试图控制系统或网络资源,用于检测损害系统机密性、完整性和可用性等行为,也可发现入侵攻击和合法用户滥用特权。技术核心是提取描述行为的数据并判断行为性质,包括数据源、分析引擎和响应系统,行为性质有入侵性而非异常性,异常性而非入侵性,非入侵性且非异常性以及入侵性且异常性 |
|
漏洞扫描 |
按对象 |
基于网络(外部攻击者角度,对网络和系统结构进行扫描)和基于主机(内部用户角度检测系统级漏洞,必须装在目标主机)的扫描 |
按方式 |
主动扫描(传统,发送探测包,易发现,较准确和快)和被动扫描(监听网络包,不易发现,不受网络设备干扰,速度慢、准确性差) |
|
物理隔离 |
物理隔离:传输隔离和存储隔离 物理隔离技术包括隔离技术(终端级,终端设备,有隔离卡;网络级,网络隔离卡+安全集线器)和安全隔离与交换技术(两套独立系统分别连接安全的和非安全的网络) |
|
VPN |
虚拟专用网络,创建隧道的方式进行安全通信,完整VPN方案包括用户验证、地质管理、数据加密、密钥管理、多协议支持。隧道协议在数据链路层和网络层 |
各省软考办 | ||||||||||