系统分析师信息安全知识点

计算机网络---其他

Stub区域是一种比较特殊的区域，因为它不能像其他区域那样，经过该区域中的ABR接收其他OSPF AS路由。在Stub区域的内部路由器仅需要配置一条到达该区域ABR的默认路由（0.0.0.0.0.0.0.0）来实现与同一AS中不同区域间的路由，这样可使得这些区域中的内部路由器的路由表的规模以及路由信息传递的数量都会大大减少。

计算机网络

RIP协议存在的一个问题就是当网络出现故障的时候，要经过比较长的时间才能把信息传送到所有的路由器。在这个中间过程中，实际就是路由环路的问题：当发生路由环路的时候，路由表会频繁的进行变化，从而导致路由表中的一条或者几条，都无法收敛，结果会使得网络处于瘫痪或半瘫痪状态。

路由环路的解决方案：

1. 定义最大值，到达数值后不再累加
2. 水平分割法：
   1. 简单水平分割：从本地接口收到的路由条目不再从此接口发出。
   2. 带毒性逆转水平分割：从本接口发出的路由条目，会从本接口发出，但标记为不可达
3. 抑制计时器：路由器为网络中可能的故障延时，确认后再进行更新

计算机网络：

多模光纤一般采用LED光源，而单模光纤则采用极为昂贵的激光作为光源体。

计算机网络---网络规划与设计

逻辑网络设计文档：利用需求分析和现有网络体系分析的结果来设计逻辑网络结构，最后得到一份逻辑网络设计文档，输出内容包括以下几点：

1. 逻辑网络设计图
2. IP地址方案
3. 安全方案
4. 具体的软硬件、广域网连接设备和基本服务
5. 招聘和培训网络员工的具体说明
6. 对软件、硬件、服务、员工和培训的费用初步估计

物理设计文档：是逻辑网络设计的物理实现，通过对设备的具体物理分布，运行环境等确定，确保网络的物理连接符合逻辑连接的要求。

1. 网络物理结构图和布线方案
2. 设备和部件的详细列表清单
3. 软硬件和安装费用的估算
4. 按照日程表，详细说明服务的时间以及期限
5. 按照后的测试计划
6. 用户的培训计划

信息安全---防火墙技术

防火墙技术可以分为网络级防火墙和应用级防火墙两类。

1. 网络级防火墙用来防止整个网络出现外来非法的入侵。例如，分组过滤和授权服务器就属于这一类。前者检查所有流入本网络的信息，然后拒绝不符合事先制定好的一套准则的数据，而后者则是检查用户的登录是否合法；
2. 应用级防火墙是从应用程序来进行接入控制，通常使用应用级网关或代理服务器来区分各种应用。

例如，可以只允许www应用，而阻止所有ftp应用

信息安全---信息摘要与数字签名

在安全领域，使用数字签名技术，能防止消息篡改，防止消息伪造，也可以防止消息在传输过程中出错，但是不能防止消息泄密。因为数字签名本质上来讲，是利用私钥加密，公钥验证，这意味着所有人都能解开数字签名的内容，所以没有保密的作用。

信息安全---数字证书

用户A的数字证书中包含了用户A的私钥，然后CA中心用自己的私钥进行签名

信息安全---对称加密与非对称加密

常见的对称加密算法包括：DES、3DES、RC-5\IDEA、AES

常见的非对称加密算法包括：RSA、ECC、Elgamal、背包算法、Rabin、D-H

常见的信息摘要算法包括：SHA、MD5、HMAC

在使用非对称加密体制进行加密时，甲使用已的公钥加密、则已使用配套的私钥进行解密；

信息安全---其他

数据库容灾应该属于系统安全和应用安全，因为一方面数据库管理系统属于系统软件，另一个方面数据库中存储的是应用级的数据；

信息安全---网络安全协议

1. SSL是从传输层到应用层
2. PGP工作于应用层
3. IPSec工作于网络层

信息安全---对称加密与非对称加密

对称加密算法中，由于加密解密都使用同样的秘钥，所以秘钥需要进行共享，故也称为共享秘钥算法；

三重DES加密是使用2个DES秘钥，进行多次操作来完成的，所以秘钥的长度是56*2-112

信息安全---信息摘要与数字签名

常用的消息摘要算法有MD5、SHA等，市场上广泛使用的MD5、SHA算法的散列值分别是128与160位。由于SHA通常采用的秘钥较长，因此SHA的安全性要高于MD5；

信息安全---数字证书

在公钥体系中，交换私钥是无论什么情况下都绝对不允许发生的情况。互信的前提是建立在CA之上的，如果仅仅交换AB的公钥并不能解决信任的问题。

信息安全---对称加密与非对称加密

RSA是非对称加密算法；SHA-1与MD5都属于信息摘要算法；RC-5属于对称加密算法；这些算法中SHA-1与MD5是不能加密数据的，而RSA非对称加密由于效率问题，一般不会用于明文加密，适合明文加密的，只有RC-5适合。

信息安全---数字证书

CA是认证中心的简称，为了能够在互联网上认证通信双方的身份，可以在相应的认知中心申请自己的数字证书。

CA为用户颁发的数字证书中包含用户的公钥信息、权威机构的认证信息和有效期等。用户收到经数字签名的消息后，必须首先验证证书的真伪，即使用证书的公钥来验证，然后利用对方的公钥来验证消息的真实性。

信息安全---其他

作为全方位的，整体的系统安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状和结构，可以将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

1. 物理环境的安全性，物理层的安全包括通信线路。物理设备和机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网关软件和传输介质）、软硬件设备的安全性（替换设备、拆卸设备、增加设备）、设备的备份、防灾害能力、防干扰能力、设备的运行环境（温度、湿度、烟尘）和不间断电源保障等。
2. 操作系统的安全性，系统层的安全问题来自计算机网络内使用的操作系统的安全，例如，Window Server和UNIX等，主要表现在三个方面：
   1. 操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制和系统漏洞等
   2. 对操作系统的安全配置问题
   3. 病毒对操作系统的威胁
3. 网络安全性。网络层的安全问题主要体现在计算机网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等；
4. 应用的安全性。应用层的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子有点系统和DNS等。此外，还包括病毒对系统的威胁。
5. 管理的安全性。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理制度化极大程度的影响着整个计算机网络的安全，严格的安全管理制度、明确的部门安全职责划分与合理的人员角色配置，都可以在很大程度上降低其他层次的安全漏洞。

信息安全---其他

WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于正在制定中的IEEE802.11标准并将与之保持向前兼容。部署适当的话，WPA可保证WLAN用户的数据收到保护，并且只有授权的网络用户才可以访问WLAN网络。

由于WEP已经证明的不安全性，在802.11协议完善前，采用WPA为用户提供一个临时性的解决方案。该标准的数据加密采用了可以动态改变秘钥的临时秘钥完整性协议TKIP

信息安全---网络安全协议

在DNS体系中，根据服务器主要用来管理互联网的主目录，全世界只有13台。1个是主根服务器，放置在美国。其余12个均为辅助根服务器。其中9个放置在美国，欧洲2个、位于英国和瑞典，亚洲1个，位于日本。所有的根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。

当根域名服务器被攻击不能正常使用之后，带来的问题是访问网站时域名无法解析到正确的服务器上，无法解析，自然无法访问相应的网站，此时有可能将正常网站的域名解析到错误的地址。

信息安全---入侵检测

入侵检测（Intrusion Detection），顾名思义，就是对入侵性能为的发觉。通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

对于收集到的有关系统、网络、数据以及 用户活动的状态和行为等信息，一般通过三种技术手段进行分析：

1. 模式匹配
2. 统计分析
3. 完整性分析

前两个方法是用于实时的入侵检测、而完整性分析则是用于事后分析。

信息安全---防火墙技术

防火墙的工作层次是决定防火墙效率以及安全的主要因素，一般来说防火墙工作层次越低、则工作效率越高、但是安全性就越低；反之，工作层级越高，工作效率就会越低、安全性就会越高。

信息安全---网络安全协议

Internet协议安全性（IPSec）是一种开放标准的框架结构，通过使用加密的安全服务来确保在Internet协议IP网络上进行保密而安全的通讯。

1. IPSec（Internet Protocol Security）是安全互联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。在通信中，只有发送方和接收方才是唯一必须了解IPsec保护计算机。IPsec协议公证在OSI模型的第三层，使其在单独使用时适用于保护基于TCP或UDP的协议。（安全套接字层SSL就不能保护UDP层的通信流）
2. AH协议用来向IP通信提供数据完整性和身份验证，同时可以提供抗重放服务；
3. ESP提供IP层加密保证和验证数据源以对网络上的监听。因为AH虽然可以保护通信免受篡改，但是并不对数据进行变形转换，数据对于黑客而言仍然是清晰的，为了有效保护数据传输安全，在IPv6中 有另一个包头ESP进一步提供数据保密性并防止篡改。
4. IPSec支持两种封装模式
   1. 隧道模式（tunnel）：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。
   2. 传输模式（transport）：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式是应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。定义了一个通用格式。

信息安全---信息摘要与数字签名

报文摘要是使用单向哈希函数算法，将任意长度的报文经计算得出的固定输出。所谓单向是指该算法是不可逆的，找出具有同一报文摘要的两个不同报文是很困难的。正是因为报文摘要具备此特性，所以我们在传报文的过程中，会产生报文摘要，把摘要通过不同方式传送给对方，对方接收到报文与报文摘要后可以通过摘要对报文进行验证，以确定报文是否被篡改。所以报文摘要是一种保护数据完整性的手段，可以防止发送的报文被篡改。

信息安全---信息摘要与数字签名

数字签名（Digital Signature）技术是不对称加密算法的典型应用：数据源发送方使用自己的私钥对数据校验和其他数据内容有关的变量进行加密处理，完成对数据的合法签名，数据接收方则利用对方的公钥来解读收到的数字签名，并将解读结果用于对数据完整性校验，以确认签名的合法性。数字签名主要的功能是：保证信息传输的完整性，发送者的身份认证，防止交易中的抵赖发生。