2022年資訊安全工程師考試知識點：網絡安全防禦

為大家整理了2022年資訊安全工程師考試知識點：網絡安全防禦，希望對大家備考資訊安全工程師考試會有幫助。

網絡安全防禦

【考法分析】

本知識點主要是對網絡安全防禦相關内容的考查。

【要點分析】

1．防火牆主要是實作網絡安全的安全政策，而這種政策是預先定義好的，是以是一種靜态安全技術。

2．大多數防火牆規則中的處理方式主要包括以下幾種：

Accept: 允許資料包或資訊通過。

Reject: 拒絕資料包或資訊通過，并且通知資訊源該資訊被禁止。

Drop: 直接将資料包或資訊丢棄，并且不通知資訊源。

預設規則有兩種選擇:預設拒絕或者預設允許。

3．TCP/IP 協定族具有明顯的層次特性，由實體接口層、網絡層、傳輸層、應用層四層協定構成，每個層次的作用都不相同，防火牆産品在不同層次上實作資訊過濾與控制所采用的政策也不相同。

4．包過濾技術的優點是簡單，處理速度也很快。包過濾技術可能存在的攻擊有:

① IP 位址欺騙；

② 源路由攻擊；

③ 微分片攻擊。

5．應用層網關也叫做代理伺服器。它在應用層的通信中扮演着一個消息傳遞者的角色。

第三種防火牆技術是電路層網關。它是負責資料轉發的獨立系統，類似于網絡渡船。電路層網關不允許一個端到端的直接的TCP 連接配接，它自網關建立兩個TCP 連接配接，一個連接配接網關與網絡内部的TCP 使用者，一個連接配接網關與網絡外部的TCP 使用者。

6．防火牆的經典體系結構主要有三種形式：雙重宿主主機體系結構、被屏蔽主機體系結構和被屏蔽子網體系結構。

7．入侵檢測與防護的技術主要有兩種:入侵檢測系統(IntrusionDetectionSystem ， IDS)和入侵防護系統(IntrusionPreventionSystem ， IPS) ；入侵檢測技術主要分成兩大類：異常入侵檢測和誤用入侵檢測；入侵檢測系統的體系結構大緻可以分為基于主機型(Host-Based) 、基于網絡型(Network-Based) 和基于主體型(Agent-Based) 三種。

8．VPN 即虛拟專用網，它是依靠ISP和其他NSP，在公用網絡中建立專用的、安全的資料通信通道的技術。VPN 可以認為是加密和認證技術在網絡傳輸中的應用。

9．VPN 的資料加密技術：隧道技術、加解密技術、密鑰管理技術、身份認證技術等。

10．隧道協定：三種最常見的也是最為廣泛實作的隧道技術是:點對點隧道協定PPTP，第2 層隧道協定L2TP, IP安全協定（IPSec )。除了這三種技術以外還有通用路由封裝GRE、L2F 以及SOCK 協定等。

① 點對點隧道協定CPPTP)；

② 第2層隧道悔議(L2TP)；

③ IP 安全協定(IPSec)。

11．掃描器是一種自動檢測遠端或本地主機、網絡系統安全性弱點的程式。漏洞是在暖件、軟體、協定的具體實作或系統安全政策上存在的缺陷。

12．端口掃描：網際網路上通信的雙方不僅需要知道對方的位址，也需要知道通信程式的端口号。

13．密碼類探測掃描技術(即密碼攻擊)是黑客進行網絡攻擊時最常用、最基本的一種形式。

14．我國也提出了自己的動态安全模型——WPDRRC 模型★。該模型有6 個環節和3 大要素。6 個環節是W、P 、D 、R、R、C ，它們具有動态回報關系。其中， p, D 、R、R與PDRR 模型中出現的保護、檢測、反應、恢複等4 個環節相同;W 即預警(waming) ，就是根據己掌握的系統脆弱性以及目前的計算機犯罪趨勢，去預測未來可能受到的攻擊與危害C (counterattack) 則是反擊一一一采用一切可能的高新技術手段，偵察、提取計算機犯罪分子的作案線索與犯罪證據，形成強有力的驗證能力和依法打擊手段。

15．WPDRRC 模型中具有層次關系的三大要素分别是人員、政策和技術。

16．風險分析中要涉及資産、威脅、脆弱性等基本要素。每個要素有各自的屬性。資産的屬性是資産價值:威脅的屬性是威脅出現的頻率;脆弱性的屬性是資産弱點的嚴重程度。最終，計算出-個量化的風險值。

17．SSL 協定以對稱密碼技術和公開密碼技術相結合，提供了如下三種基本安全服務:

① 秘密性SSL：協定能夠在用戶端和伺服器之間建立起一個安全通道，所有消息都經過加密處理以後進行傳輸，網絡中的非法黑客無法竊取。

② 完整性SSL：利用密碼算法和散列(HASH) 函數，通過對傳輸資訊特征值的提取來保證資訊的完整性，確定要傳輸的資訊全部到達目的地，可以避免伺服器和用戶端之間的資訊受到破壞。

③ 認證性：利用證書技術和可信的第三方認證，可以讓用戶端和伺服器互相識别對方的身份。

SSL 協定位于應用層和傳輸層之間，獨立于應用層協定，即建立在SSL 之上的應用層協定可以透明地傳輸資料。

18．PGP 可以在電子郵件和檔案儲存應用中提供保密和認證服務，防止非授權者閱讀，還能對郵件和檔案加上數字簽名，進而使收件人确信發送者是誰。

19．IEEE802.1x 是IEEE (美國電氣電子工程師學會) 802 委員會制定的LAN标準中的一個，是一種應用于LAN 交換機和無線LAN 接入點的使用者認證技術。

20．WEP 協定原理：WEP 基于RC4 算法用相同的密鑰加密和解密，用開放系統認證和共享密鑰認證進行認證。

21．WEP 是資料加密算法，它不是一個使用者認證機制。

22．ADIUS 協定是一種提供在網絡接入伺服器和共享認證伺服器間傳送認證、授權和配置資訊等服務的褂議。

23．Kerberos 是一種應用于分布式網絡環境、以對稱密碼體制為基礎，對使用者及網絡連接配接進行認證的增強網絡安全的服務。★

24．X.509 是由國際電信聯盟CITU-T) 制定的數字證書标準；X. 509 是基于公鑰密碼體制和數字簽名的服務；X.509 給出的鑒别架構是一種基于公開密鑰體制的鑒别業務密鑰管理。

25．SSH (SecureShell) 協定是在傳輸層與應用層之間的加密隧道應用協定，它從幾個不同的方面來加強通信的完整性和安全性。

26．蜜罐(Honeypot) 技術是)種主動助禦技術，是入侵檢測技術的一個重要發展方向。

蜜罐的優點有：① 使用簡單；② 資源占用少；③ 資料價值高。

蜜罐的缺點有: ① 資料收集面狹窄；② 給使用者帶來風險。

27．蜜罐有四種不同的配置方式：

① 誘騙服務（DeceptionService)；② 弱化系統（WeakenedSystem)；③ 強化系統（HardenedSystem)；④ 使用者模式伺服器（UserModeServer)。

28．用于備份的裝置有硬碟、CD光牒、錄音帶三種；備份方式有三種：完全備份、增量備份、差異備份。完全備份就是對伺服器上的所有檔案完全進行歸檔；增量備份是指隻把最近新生成的或者新修改的檔案拷貝到備份裝置上；差異備份與增量備份很相似。兩者所不同的是，差異備份對上次備份後所有發生改變的檔案都進行備份(包括删除檔案的資訊)，并且不是從上次備份的時間開始計算。

29．NAS （NetworkAttachedStorage) 通常譯為"網絡附加存儲"或"網絡連接配接存儲"。意思是連接配接在網絡上的儲存設備。SAN （StorageAreaN etwork) 通常譯為"存儲區域網絡"。它是使用光纖通道。

30．網絡安全防範意識與政策：

① 保證通信安全：對鍊路、資訊進行加密，實行通路控制。

② 保證資訊安全：采取技術、管理等措施，保護資訊，使資訊的保密性、完整性和可用性得到保障。

31．加強安全保障：加強資訊安全保障措施，協同加強資訊安全。主要包括三個方面的措施：

①檢測：對系統的脆弱性、外部入侵、内部入侵、濫用、誤用進行檢測，及時發現、修補漏洞。

② 響應：對各種安全事件及時晌應，把不安全因素消滅在萌芽狀态。

③恢複：制定完整的恢複計劃，使得在網絡萬一不能提供服務時，能夠及時、完整地恢複。

32．區域網路的安全風險主要有以下4個方面：

① 計算機病毒的破壞；② 惡意攻擊；③ 人為失誤；④ 軟體本身的漏洞。

33．區域網路的安全防範政策有：