第十章：网络与信息安全基础知识

网络与信息安全基础知识

考点分析（上午题：占比4%，5分）

加密解密技术、网络安全、计算机病毒

网络概述

计算机网络的概念

计算机网络（计算机技术+通信技术）的发展：具有通信功能的单机系统->具有通信功能的多机系统->以共享资源为目的的计算机网络->以局域网及因特网为支撑环境的分布式计算机系统。

计算机网络的功能：数据通信，资源共享，负载均衡，高可靠性。

计算机网络的分类

网络的拓扑结构

ISO/OSI网络体系结构

传输层为会话层实体提供透明、可靠的数据传输服务，保证端到端的数据完整性；选择网络层能提供最适宜的服务；提供建立、维护和拆除传输连接功能。计算机网络是相当复杂的系统，相互通信的两个计算机系统必须高度协调才能正常工作。为了设计这样复杂的计算机网络，人们提出了将网络分层的方法。分层可将庞大而复杂的问题转化为若干较小的局部问题进行处理，从而使问题简单化。七层参考模型（由下至上）：
1）物理层
物理地传送比特流，物理层提供为建立、维护和拆除物理链路所需的机械、电 气、功能和规程的特性；提供有关在传输介质上传输非结构的位流及物理链路故障检测指示。
2）数据链路层
数据链路层负责在两个相邻结点间的线路上无差错地传送以帧为单位的数据，并进行流量控制。每一帧包括一定数量的数据和一些必要的控制信息。
3）网络层
网络层为传输层实体提供端到端的交换网络数据功能，使得传输层摆脱路由选择、交换方式和拥挤控制等网络传输细节；可以为传输层实体建立、维持和拆除一条或多条通信路径；对网络传输中发生的不可恢复的差错予以报告。
4）传输层
传输层为会话层实体提供透明、可靠的数据传输服务，保证端到端的数据完整性；选择网络层能提供最适宜的服务；提供建立、维护和拆除传输连接功能。
5）会话层
会话层为彼此合作的表示层实体提供建立、维护和结束会话连接的功能；完成通信进程的逻辑名字与物理名字间的对应；提供会话管理服务。
6）表示层
表示层为应用层进程提供能解释所交换信息含义的一组服务，即将要交换的数据从适合于某一用户的抽象语法转换为适合于OSI系统内部使用的传送语法；提供格式化的表示和转换数据服务。数据的压缩、解压缩、加密和解密等工作都由表示层负责。
7）应用层
应用层提供OSI用户服务，即确定进程之间通信的性质，以满足及提供网络与用户应用软件之间的接口服务。例如，事务处理程序、电子邮件和网络管理程序等。

网络互连硬件

网络的设备

中继器：它是在物理层上实现局域网网段互连的，用于扩展局域网网段的长度。由于中继器只在两个局域网网段间实现电气信号的恢复与整形，因此它仅用于连接相同的局域段。

集线器：集线器可以看成是一种特殊的多路中继器，也具有信号放大功能。

网桥：网桥用于连接两个局域网网段，工作于数据链路层。

交换机：交换机是一个具有简化、低价、高性能和高端口密集特点的交换产品，它是按每一个包中的MAC地址相对简单地决策信息转发，而这种转发决策一般不考虑包中隐藏的更深的其他信息。

路由器：路由器是网络层互连设备，用于连接多个逻辑上分开的网络。逻辑网络是指一个单独的网络或一个子网，当数据从一个子网传输到另一个子网时，可通过路由器来完成。

网关：网关是应用层的互连设备。在一个计算机网络中，当连接不同类型且协议差别较大的网络时，则要选用网关设备。

网络的传输介质

网络传输介质
1）有线介质
双绞线。同轴电缆：直接传输数字信号。光纤：传输光信号、需信号转换。
2）无线介质
微波：利用无线电波传输。红外线：传输红外光信号。激光：传激光信号。卫星通信：传输电磁波信号。

组建网络

局域网组成部件：服务器（文件服务器、打印服务器、通信服务器），客户端（用户与网络应用接口设备），网络设备（网卡，收发器，中继器，集中器，网桥，路由器等），通信介质（数据的传输媒体），网络软件（底层协议软件、网络操作系统等）。

网络的协议与标准

网络的标准

协议：规定通信时的数据格式、数据传送时序以及相应的控制信息和应答信号等内容。
网络的标准：电信标准，国际标准（IEEE标准等），Internet标准（自发标准非政府干预）。

局域网的协议

决定局域网特性的主要技术：用以传输数据的传输介质，用以连接各种设备的拓扑结构，用以共享资源的介质访问控制方法。

局域网协议：LAN 模型（物理层，数据链路层：逻辑链路控制子层、介质访问控制）；以太网（CSMA/CD技术：边发送边接收、时刻侦听信道）；令牌环网（适用于环型网络结构的分布式介质访问控制：广播发送令牌、目标站进行处理）；FDDI（类似令牌环网协议、光纤作为传输介质）。

广域网的协议

广域网协议：点对点协议（PPP：主要用于拨号上网，建立点对点连接发送数据），数字用户线（xDSL：不对称数字用户线ADSL，甚高速数字用户线VDSL），数字专线（电信数字数据网固定专线，电信铺设），帧中继（在用户网络接口之间提供用户信息流的双向传送，并保持顺序不变），异步传输模式（ATM：面向分组的快速分组交换模式，使用异步时分复用技术），X.25协议（在本地数据终端设备和远程数据终端设备之间提供一个全双工、同步的透明信道）。

TCP/IP协议族

TCP/IP协议簇特性：逻辑编址，路由选择，域名解析，错误检测和流量控制。

ISO/OSI模型、TCP/IP的分层模型及协议的对比图：

Internet及应用

Internet概述

Internet地址

Internet地址格式：域名格式，IP地址格式

解决IP地址短缺问题：长期（使用Ipv6），短期（使用网络地址翻译技术NAT：在子网内部使用局部地址，外部使用少量的全局地址，通过路由器进行内部地址和外部地址的转换）。

Ipv6：40个字节的首部长度，16个字节的IP地址长度。

Internet服务

端口分两类：一类是已知端口或称公认端口，端口号为0-1023，这些端口由Internet赋值地址和端口号的组织（IANA）赋值；另一类是需在IANA注册登记的端口号，为1024-65535。

Internet高层协议
1）域名服务：在访问主机的时候只需要知道域名，通过DNS服务器将域名变换为IP地址。DNS所用的是UDP端口，端口号为53。
2）远程登录服务：远程登录服务是在Telnet协议的支持下，将用户计算机与远程主机连接起来，在远程计算机上运行程序，将相应的屏幕显示传送到本地机器，并将本地的输入送给远程计算机。在运行Telnet客户程序后，首先应该建立与远程主机的TCP连接，从技术上讲，就是在一个特定的TCP端口（端口号一般为23）上打开一个套接字，如果远程主机上的服务器软件一直在这个众所周知的端口上侦听连接请求，则这个连接便会建立起来，此时用户的计算机就成为该远程主机的一个终端，便可以进行联机操作了，即以终端方式为用户提供人机界面。
3）电子邮件服务：E-mail服务器主要采用SMTP (简单邮件传输协议），本协议描述了电子邮件的信息格式及其传递处理方法，保证被传送的电子邮件能够正确的寻址和可靠的传输。后来的一些协议，包括多用途Internet邮件扩充协议（MIME）及增强私密邮件保护协议（PEM），弥补了SMTP的缺点。简单邮件传送协议和用于接收邮件的POP3均是利用TCP端口。SMTP所用的端口号是25，POP3所用的端口号是110。
4）WWW服务：TCP端口（端口号80），基于客户端/服务器模式的信息发送技术和超文本技术的综合。
5）文件传输服务：FTP在客户端与服务器的内部建立两条TCP连接：一条是控制连接，主要用于传输命令和参数（端口号为21），另一条是数据连接，主要用于传送文件（端口号为20）。

信息安全基础知识

信息安全包括5个基本要素：
1）机密性：确保信息不暴露给未授权的实体或进程。 
2）完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 
3）可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 
4）可控性：可以控制授权范围内的信息流向及行为方式。 
5）可审查性：对出现的信息安全问题提供调查的依据和手段。

网络的信息安全：信息的存储安全（用户的标识与验证，用户存取权限限制，系统安全监控，计算机病毒防治，数据的加密，计算机网络安全）；信息的传输安全（链路加密，节点加密，端到端加密）。

网络安全概述

1）网络安全的威胁：非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。

2）网络安全控制技术：防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术。

3）防火墙：建立在内外网络边界的过滤封锁机制，防止不良数据包进出被保护的内部网络。

4）防火墙的分类：包过滤型（直接转发报文，对用户透明），应用代理网关型（通过服务器建立连接），状态检测型（建立状态连接表，跟踪检测每一个会话状态）。

5）典型防火墙的体系结构：包过滤路由器（在网络层对进出内部网络所有信息进行分析限制），双宿主主机（代理服务器软件在双宿主主机上运行，每一个接口连接不同网段），被屏蔽主机（由过滤路由器和应用网管组成，包过滤+代理服务，内网和外网双重保障），被屏蔽子网（由两个包过滤路由器和一个应用网关组成，最安全的防火墙系统）。

6）入侵检测系统有效的弥补了防火墙系统对网络上的入侵行为无法识别和检测的不足，入侵检测系统的部署，使得在网络上的入侵行为得到了较好的检测和识别，并能够进行及时的报警。入侵防御系统是在入侵检测系统的基础上发展起来的，入侵防御系统不仅能够检测到网络中的攻击行为，同时主动的对攻击行为能够发出响应，对攻击进行防御。