培訓(xùn):工程師、建造師、消防師、監(jiān)理工程師
信息安全工程師含金量是比較高的。盡管網(wǎng)絡(luò)信息技術(shù)是一個(gè)新發(fā)展起來(lái)的行業(yè),但擁有廣闊的發(fā)展空間的市場(chǎng),已經(jīng)逐漸成為人們關(guān)注的一大重點(diǎn)問(wèn)題。信息安全工程師一般需求單位是國(guó)家機(jī)關(guān)、企事業(yè)單位以及科研教學(xué)單位等。一起來(lái)看看信息安全工程師考試:網(wǎng)絡(luò)安全防御相關(guān)知識(shí)點(diǎn)。
信息安全工程師是什么證書(shū)?
軟考是由人力資源和社會(huì)保障部(原人事部)、工業(yè)和信息化部(原信息產(chǎn)業(yè)部)領(lǐng)導(dǎo)的級(jí)考試,其目的是,科學(xué)、公正地對(duì)全國(guó)計(jì)算機(jī)與軟件專業(yè)技術(shù)人員進(jìn)行職業(yè)資格、專業(yè)技術(shù)資格認(rèn)定和專業(yè)技術(shù)水平測(cè)試。同時(shí),這種考試還具有水平考試性質(zhì),報(bào)考任何級(jí)別不需要學(xué)歷、資歷條件,只要達(dá)到相應(yīng)的技術(shù)水平就可以報(bào)考相應(yīng)的級(jí)別。
軟考分為計(jì)算機(jī)軟件、計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)應(yīng)用技術(shù)、信息系統(tǒng)和信息服務(wù)共5個(gè)專業(yè)類別,并在各專業(yè)類別中分別設(shè)置了初、中、高級(jí)專業(yè)資格考試,信息安全工程師屬于軟考中級(jí)的一個(gè)資格考試。通過(guò)軟考獲得證書(shū)的人員,表明其已具備從事相應(yīng)專業(yè)崗位工作的水平和能力,用人單位可根據(jù)工作需要從獲得證書(shū)的人員中擇優(yōu)聘任相應(yīng)專業(yè)技術(shù)職務(wù)(技術(shù)員、助理工程師、工程師、高級(jí)工程師)。
【考法分析】
本知識(shí)點(diǎn)主要是對(duì)網(wǎng)絡(luò)安全防御相關(guān)內(nèi)容的考查。
【要點(diǎn)分析】
1.防火墻主要是實(shí)現(xiàn)網(wǎng)絡(luò)安全的安全策略,而這種策略是預(yù)先定義好的,所以是一種靜態(tài)安全技術(shù)。
2.TCP/IP *族具有明顯的層次特性,由物理接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層四層*構(gòu)成,每個(gè)層次的作用都不相同,防火墻產(chǎn)品在不同層次上實(shí)現(xiàn)信息過(guò)濾與控制所采用的策略也不相同。
3.大多數(shù)防火墻規(guī)則中的處理方式主要包括以下幾種:
Accept: 允許數(shù)據(jù)包或信息通過(guò)。
Reject: 拒絕數(shù)據(jù)包或信息通過(guò),并且通知信息源該信息被禁止。
Drop: 直接將數(shù)據(jù)包或信息丟棄,并且不通知信息源。
缺省規(guī)則有兩種選擇:默認(rèn)拒絕或者默認(rèn)允許。
4.包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單,處理速度也很快。包過(guò)濾技術(shù)可能存在的攻擊有:
① IP 地址欺騙;
② 源路由攻擊;
③ 微分片攻擊。
5.防火墻的經(jīng)典體系結(jié)構(gòu)主要有三種形式:雙重宿主主機(jī)體系結(jié)構(gòu)、被屏蔽主機(jī)體系結(jié)構(gòu)和被屏蔽子網(wǎng)體系結(jié)構(gòu)。
6.應(yīng)用層網(wǎng)關(guān)也叫做代理服務(wù)器。它在應(yīng)用層的通信中扮演著一個(gè)消息傳遞者的角色。
第三種防火墻技術(shù)是電路層網(wǎng)關(guān)。它是負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的獨(dú)立系統(tǒng),類似于網(wǎng)絡(luò)渡船。電路層網(wǎng)關(guān)不允許一個(gè)端到端的直接的TCP 連接,它自網(wǎng)關(guān)建立兩個(gè)TCP 連接,一個(gè)連接網(wǎng)關(guān)與網(wǎng)絡(luò)內(nèi)部的TCP 用戶,一個(gè)連接網(wǎng)關(guān)與網(wǎng)絡(luò)外部的TCP 用戶。
7.VPN 即虛擬專用網(wǎng),它是依靠ISP和其他NSP,在公用網(wǎng)絡(luò)中建立專用的、安全的數(shù)據(jù)通信通道的技術(shù)。VPN 可以認(rèn)為是加密和認(rèn)證技術(shù)在網(wǎng)絡(luò)傳輸中的應(yīng)用。
8.VPN 的數(shù)據(jù)加密技術(shù):隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)等。
9.入侵檢測(cè)與防護(hù)的技術(shù)主要有兩種:入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem , IDS)和入侵防護(hù)系統(tǒng)(IntrusionPreventionSystem , IPS) ;入侵檢測(cè)技術(shù)主要分成兩大類:異常入侵檢測(cè)和誤用入侵檢測(cè);入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)大致可以分為基于主機(jī)型(Host-Based) 、基于網(wǎng)絡(luò)型(Network-Based) 和基于主體型(Agent-Based) 三種。
10.隧道*:三種最常見(jiàn)的也是最為廣泛實(shí)現(xiàn)的隧道技術(shù)是:點(diǎn)對(duì)點(diǎn)隧道*PPTP,第2 層隧道*L2TP, IP安全*(IPSec )。除了這三種技術(shù)以外還有通用路由封裝GRE、L2F 以及SOCK *等。
① 點(diǎn)對(duì)點(diǎn)隧道*CPPTP);
② 第2層隧道悔議(L2TP);
③ IP 安全*(IPSec)。
11.端口掃描:互聯(lián)網(wǎng)上通信的雙方不僅需要知道對(duì)方的地址,也需要知道通信程序的端口號(hào)。
12.密碼類探測(cè)掃描技術(shù)(即口令攻擊)是黑客進(jìn)行網(wǎng)絡(luò)攻擊時(shí)最常用、最基本的一種形式。
13.掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)、網(wǎng)絡(luò)系統(tǒng)安全性弱點(diǎn)的程序。漏洞是在暖件、軟件、*的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷。
14.WPDRRC 模型中具有層次關(guān)系的三大要素分別是人員、政策和技術(shù)。
15.風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個(gè)要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價(jià)值:威脅的屬性是威脅出現(xiàn)的頻率;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。最終,計(jì)算出-個(gè)量化的風(fēng)險(xiǎn)值。
16.我國(guó)也提出了自己的動(dòng)態(tài)安全模型——WPDRRC 模型★。該模型有6 個(gè)環(huán)節(jié)和3 大要素。6 個(gè)環(huán)節(jié)是W、P 、D 、R、R、C ,它們具有動(dòng)態(tài)反饋關(guān)系。其中, p, D 、R、R與PDRR 模型中出現(xiàn)的保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)等4 個(gè)環(huán)節(jié)相同;W 即預(yù)警(waming) ,就是根據(jù)己掌握的系統(tǒng)脆弱性以及當(dāng)前的計(jì)算機(jī)犯罪趨勢(shì),去預(yù)測(cè)未來(lái)可能受到的攻擊與危害C (counterattack) 則是反擊一一一采用一切可能的高新技術(shù)手段,偵察、提取計(jì)算機(jī)犯罪分子的作案線索與犯罪證據(jù),形成強(qiáng)有力的*能力和依法打擊手段。
17.SSL *以對(duì)稱密碼技術(shù)和公開(kāi)密碼技術(shù)相結(jié)合,提供了如下三種基本安全服務(wù):
① 秘密性SSL:*能夠在客戶端和服務(wù)器之間建立起一個(gè)安全通道,所有消息都經(jīng)過(guò)加密處理以后進(jìn)行傳輸,網(wǎng)絡(luò)中的非法黑客無(wú)法竊取。
② 完整性SSL:利用密碼算法和散列(HASH) 函數(shù),通過(guò)對(duì)傳輸信息特征值的提取來(lái)保證信息的完整性,確保要傳輸?shù)男畔⑷康竭_(dá)目的地,可以避免服務(wù)器和客戶端之間的信息受到破壞。
③ 認(rèn)證性:利用證書(shū)技術(shù)和可信的第三方認(rèn)證,可以讓客戶端和服務(wù)器相互識(shí)別對(duì)方的身份。
SSL *位于應(yīng)用層和傳輸層之間,獨(dú)立于應(yīng)用層*,即建立在SSL 之上的應(yīng)用層*可以透明地傳輸數(shù)據(jù)。
18.IEEE802.1x 是IEEE (美國(guó)電氣電子工程師學(xué)會(huì)) 802 委員會(huì)制定的LAN標(biāo)準(zhǔn)中的一個(gè),是一種應(yīng)用于LAN 交換機(jī)和無(wú)線LAN 接入點(diǎn)的用戶認(rèn)證技術(shù)。
19.PGP 可以在電子郵件和文件儲(chǔ)存應(yīng)用中提供保密和認(rèn)證服務(wù),防止非授權(quán)者閱讀,還能對(duì)郵件和文件加上數(shù)字簽名,從而使收件人確信發(fā)送者是誰(shuí)。
20.WEP *原理:WEP 基于RC4 算法用相同的密鑰加密和解密,用開(kāi)放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證進(jìn)行認(rèn)證。
21.WEP 是數(shù)據(jù)加密算法,它不是一個(gè)用戶認(rèn)證機(jī)制。
22.ADIUS *是一種提供在網(wǎng)絡(luò)接入服務(wù)器和共享認(rèn)證服務(wù)器間傳送認(rèn)證、授權(quán)和配置信息等服務(wù)的褂議。
23.Kerberos 是一種應(yīng)用于分布式網(wǎng)絡(luò)環(huán)境、以對(duì)稱密碼體制為基礎(chǔ),對(duì)用戶及網(wǎng)絡(luò)連接進(jìn)行認(rèn)證的增強(qiáng)網(wǎng)絡(luò)安全的服務(wù)?!?/p>
24.SSH (SecureShell) *是在傳輸層與應(yīng)用層之間的加密隧道應(yīng)用*,它從幾個(gè)不同的方面來(lái)加強(qiáng)通信的完整性和安全性。
25.X.509 是由國(guó)際電信聯(lián)盟CITU-T) 制定的數(shù)字證書(shū)標(biāo)準(zhǔn);X. 509 是基于公鑰密碼體制和數(shù)字簽名的服務(wù);X.509 給出的鑒別框架是一種基于公開(kāi)密鑰體制的鑒別業(yè)務(wù)密鑰管理。
26.蜜罐有四種不同的配置方式:
① 誘騙服務(wù)(DeceptionService);② 弱化系統(tǒng)(WeakenedSystem);③ 強(qiáng)化系統(tǒng)(HardenedSystem);④ 用戶模式服務(wù)器(UserModeServer)。
27.蜜罐(Honeypot) 技術(shù)是)種主動(dòng)助御技術(shù),是入侵檢測(cè)技術(shù)的一個(gè)重要發(fā)展方向。
蜜罐的優(yōu)點(diǎn)有:① 使用簡(jiǎn)單;② 資源占用少;③ 數(shù)據(jù)價(jià)值高。
蜜罐的缺點(diǎn)有: ① 數(shù)據(jù)收集面狹窄;② 給使用者帶來(lái)風(fēng)險(xiǎn)。
28.用于備份的設(shè)備有硬盤(pán)、光盤(pán)、磁帶三種;備份方式有三種:完全備份、增量備份、差異備份。完全備份就是對(duì)服務(wù)器上的所有文件完全進(jìn)行歸檔;增量備份是指只把最近新生成的或者新修改的文件拷貝到備份設(shè)備上;差異備份與增量備份很相似。兩者所不同的是,差異備份對(duì)上次備份后所有發(fā)生改變的文件都進(jìn)行備份(包括刪除文件的信息),并且不是從上次備份的時(shí)間開(kāi)始計(jì)算。
29.NAS (NetworkAttachedStorage) 通常譯為"網(wǎng)絡(luò)附加存儲(chǔ)"或"網(wǎng)絡(luò)連接存儲(chǔ)"。意思是連接在網(wǎng)絡(luò)上的存儲(chǔ)設(shè)備。SAN (StorageAreaN etwork) 通常譯為"存儲(chǔ)區(qū)域網(wǎng)絡(luò)"。它是使用光纖通道。
30.局域網(wǎng)的安全風(fēng)險(xiǎn)主要有以下4個(gè)方面:
① 計(jì)算機(jī)病毒的破壞;② 惡意攻擊;③ 人為失誤;④ 軟件本身的漏洞。
31.局域網(wǎng)的安全防范策略有:
① 物理安全策略;② 劃分VLAN 防止網(wǎng)絡(luò)偵聽(tīng);③ 網(wǎng)絡(luò)分段;④ 以交換機(jī)代替共享式集線器;⑤ 訪問(wèn)控制策略;⑥ 使用數(shù)字簽名;⑦ 用戶管理策略;⑧ 使用代理服務(wù)器;⑨ 防火墻控制;⑩ 入侵檢測(cè)系統(tǒng);? 定期進(jìn)行漏洞安全掃描;? 建立完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制;? 使用VPN。
32.網(wǎng)絡(luò)安全防范意識(shí)與策略:
① 保證通信安全:對(duì)鏈路、信息進(jìn)行加密,實(shí)行訪問(wèn)控制。
② 保證信息安全:采取技術(shù)、管理等措施,保護(hù)信息,使信息的保密性、完整性和可用性得到保障。
33.加強(qiáng)安全保障:加強(qiáng)信息安全保障措施,協(xié)同加強(qiáng)信息安全。主要包括三個(gè)方面的措施:
①檢測(cè):對(duì)系統(tǒng)的脆弱性、外部入侵、內(nèi)部入侵、濫用、誤用進(jìn)行檢測(cè),及時(shí)發(fā)現(xiàn)、修補(bǔ)漏洞。
② 響應(yīng):對(duì)各種安全事件及時(shí)晌應(yīng),把不安全因素消滅在萌芽狀態(tài)。
③恢復(fù):制定完整的恢復(fù)計(jì)劃,使得在網(wǎng)絡(luò)萬(wàn)一不能提供服務(wù)時(shí),能夠及時(shí)、完整地恢復(fù)。
以上就是廣州優(yōu)路教育為您提供2022年軟考:信息安全工程師網(wǎng)絡(luò)安全防御知識(shí)點(diǎn)的全部?jī)?nèi)容,更多內(nèi)容請(qǐng)進(jìn)入學(xué)習(xí)資料 查看