考试大纲重点整理——永生由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“神国与永生的中心意思”。
06年网络安全设计考试大纲复习(参考)
第一章 网络安全概论
▲ 互联网发展现状分析;
△ 在中国如此庞大的互联网用户和基础网络迅猛发展的同时,一个十分严峻的问题出现在国人面前,就是互联网的安全问题。
▲ 建立安全机制的必要性;
△ 互联网的安全分为:网络运行安全 和 信息安全
△ 中国互联网的安全现状:
1、信息和网络的安全防护能力较差
2、基础信息产业严重依靠国外
3、信息安全管理机构权威性不够
4、全社会的信息安全意识淡薄
▲ 网络安全解决方法;
△ 网络安全的目标:可用性、机密性、完整性、不可抵赖性
△ 信息安全技术包括:监控、扫描、检测、加密、认证、防攻击、防病毒、审计等。△ 增强互联网安全的主要方法和途径有两大类:(防火墙和加密技术)
1、以防火墙技术为代表的被动防卫型方案
2、以数据加密、用户授权认证为核心的主动开放型方案
▲ 管理黑客活动:
△ 黑客活动表现形式分为:入侵、攻击、窃听三类。
△ 嗅探(sniff)是一种常用的窃听手法,计算机网络嗅探器可以窃听计算机程序在网络上发送和接收到的数据。
第二章 网络攻击的目的、方法和原理
▲ 网络攻击及网络安全设计的目的基本概念:
△ 网络攻击的动机 是获取目标主机的超级用户权限。
△ 网络攻击利用网络非法获取他人信息或影响计算机正常运行、通信以及导致计算机有异常动
作的行为均称为网络攻击
▲ 网络攻击的基本步骤:
△ 隐藏自已的位置△ 寻找并分析目标主机△ 获取账户和密码,登录主机△ 保持访问△ 隐藏踪迹△ 窃取网络资源和特权▲ 常见攻击手法:
△ 口令入侵、植入特洛伊木马程序、WWW的欺骗技术、电子邮件攻击、通过一个节点攻击其他节点、网络监听、黑客软件、安全漏洞攻击、端口扫描攻击。
▲ 网络攻击手法的原理剖析:
△ 缓冲区溢出攻击的原理和防范措施:
原理:攻击者向一个有限空间的缓冲区中置入过长的字符串
防范措施:
1、关闭不需要的特权程序
2、关闭不需要使用的端口和服务
3、及时给软件漏洞打补丁
4、尽量不以管理员的身份运行软件
△ 拒绝服务攻击的原理和防范措施:
原理:通过大量的合理的服务请求占用过多的服务资源,通过大量的消耗服务器资源的手段,达到服务器无法响应其他的正常请求的目的。
防范措施:
1、主机系统:关闭不必要的服务 和 及时更新系统补丁
2、防火墙:关闭不必要的服务、限制特定IP地址访问、启动防Ddos属性 ▲ 网络安全设计的原则:
△ 保护最薄弱环节,标识并加强最弱的环节
△ 纵深防御,提供彻底防御△ 保护故障,安全故障的管理
△ 最小特权△ 分隔,划分
△ 简单性,使安全策略保持简单△ 提升隐私
△ 不要试图隐藏所有的秘密△ 不要轻易扩展信任
第三章 服务器操作系统基础
▲ 操作系统基本原理:
△ 操作系统 是控制和管理计算机硬件和软件资源,合理组织计算机工作流程以及方便用户的程序集合,是最基本的系统软件,是硬件机器的第一级扩充。
△ 基本特性:
1、并发性
2、共享性
3、虚拟性
4、异步性
▲ 常见的操作系统分类及其典型代表
1、微机操作系统典型代表:MicrosoftWindows2、多任务多系统操作系统典型代表: UNIX3、多处理机操作系统典型代表:Master-Slave Mode4、网络操作系统分类:广域网(WAN)和局域网(LAN)
5、分布式操作系统典型实例:计算机网络
▲ Windows Server 2003的安装和配置
△ 系统种类概述:
Windows Server 2003 Web Edition(WEB版)不能做域控制器
Windows Server 2003 Standard Edition(标准版)普通服务器操作系统,直接由windows 2000 server发展而来
Windows Server 2003 Enterprise Edition(企业版)前身是windows 2000 advanced server
Windows Server 2003 DataCenter Edition(数据中心版)
▲ Windows Server 2003 安全特性基础
△ 活动目录(域的功能):
1、集中存储用户和密码列表
2、提供一组服务器作为“身份验证服务器”或“登录服务器”
3、对域中的资源维护一个可供搜索的索引
4、创建带有不同级别权限的用户
5、将域分解为子域,然后将针对这些组织单位的各种级别的控制和权限,分配给指定的个体.△ 公钥系统所能做到的典型应用 :
1、证书服务
2、可伸缩的CA层次模型
3、安全的Web通信
4、安全通信标准
5、认证码
第四章 用户管理
▲ 用户账户和组账户的概念和基本类型;
△ 账户可以用于:
1、验证计算机或用户的身份。
2、授权或拒绝访问计算机和域中的资源。
3、审核用户或计算机账号的活动。
4、管理其他安全主体
△ Windows Server 2003用户账户有三类 :内置账户、本地用户账户、域账户
▲ 用户账户的管理:
(创建新用户账户,用户账户密码策略,设置用户账户属性,管理用户账户,创建和修改计算机账户)△ 强密码的要求:
1、长度至少有七个字符。
2、不包含用户名、真实姓名或公司名称。
3、不包含完整的字典词汇。
4、与先前的密码大不相同
▲ 组对象的管理(Windows Server 3默认组,创建组,设置组属性,删除组);
略!
▲ 计算机组策略(组策略概述,创建组策略,组策略应用建议)
△ 组策略的优势:保护用户环境 和 增强用户环境
△ 组策略的应用顺序 :
1、惟一的本地组策略对象。
2、站点组策略对象
3、域组策略对象
4、组织单位组策略对象
第五章数据文件的安全管理
▲ 磁盘管理的基本知识:
△ 磁盘磁盘包括常见的软盘、硬盘及不太常见的磁带盘等。
△ 分区分区指一种组织磁盘可用空间的方法。
△ 文件系统文件系统是操作系统用于组织磁盘或分区上文件的方法和数据结构。
▲ 基本磁盘管理
△ 针对基本磁盘,可以进行下列操作:
1、创建和删除主分区和扩展分区。
2、创建和删除主分区内的逻辑驱动器。
3、格式化任意分区,并将其标记为活动分区。
▲ 加密文件系统
△ 加密文件系统的核心部分:
1、EFS驱动程序
2、EFS文件系统运行库
3、EFS服务
4、Win32 API
△ 需要注意:
1、只可以加密 NTFS 文件系统卷上的文件和文件夹。
2、不能加密压缩的文件或文件夹。
3、无法加密标记为“系统”属性的文件,并且无法加密 systemroot 文件夹中的文件。
4、如果在加密单个文件时选择加密其父文件夹,则以后添加到该文件夹的所有文
件和子文件夹在添加时都将被加密。
5、如果在加密某个文件夹时选择加密所有文件和子文件夹,则会加密当前位于该文
件夹中的所有文件和子文件夹,以及将来添加到该文件夹中的任何文件和子文件夹。
▲ 数据的备份与恢复
△ 数据备份的类型:
1、完全备份
2、增量备份
3、系统备份
第六章 身份验证和证书服务
▲ 身份验证的概念
△ 交互式登录交互式登录过程向域账户或本地计算机确认用户的身份。
△ 网络身份验证网络身份验证向用户尝试访问的任何网络服务确认用户的身份证明。▲ 交互式登录的原理及过程:
1、Winlogon.exe2、GINA3、LSA服务
4、身份验证程序包
5、SAM数据库
6、Net Logon服务
7、KDC服务
▲ 网络身份验证;Kerberos;
△ Kerberos的一般原理:
1、请求票据—许可票据
2、票据—许可票据
3、请求服务器票据
4、服务器票据
5、请求服务
▲ 微软公钥基础设施:
△ 网络世界的特殊要求:保密性、完整性、身份认证与授权、抗抵赖
▲ 数字证书:
1、主体的公钥值
2、主体标识符信息
3、有效期
4、颁发者标识符信息
5、颁发者的数字签名
▲ 证书模板:
1、名称考虑事项
2、证书有效期限
3、每个接受方的证书数
4、加密服务提供程序和密钥大小
5、获得证书
▲配置证书模板:
1、配置使用者名称
2、允许自动注册
3、配置密钥用法
4、建立颁发策略
5、建立应用程序策略
6、建立密钥选项和密钥存档
7、建立注册的身份验证和签名要求
8、在Active Directory中配置证书发布
▲信任模型概述:
分类:下属层次型、对等模型、混合型模型、桥模型
第七章文件共享与打印服务
▲ 访问控制概述
△ 控制访问是网络安全防范和保护的主要策略,主要任务:保证网络资源不被非法使用和访问。△ 访问控制的构成:权限、用户权利、对象审核
△ 控制访问的管理:集中式管理、分布史管理、混合式管理
▲ 文件共享
△ 文件共享三种方式:一般共享文件、共享或隐藏子目录、DFS根
△ 实现文件共享和信息共享:
1、通过NetBIOS和Windows下的135->139号端口服务
(在Windows 2000是445号端口)实现。
2、在UNIX NFS中通过2049端口实现。
▲管理打印服务
△ 常用的四种打印模式:
1、非远程本地打印
2、非远程的网络打印
3、远程的本地打印
4、远程的网络打印
△ 网络打印优势:
1、提高工作效率,降低办公费用
2、管理性,可靠性
3、易用性,可适应性
第八章 Internet信息服务
▲ IIS 6.0 内核
△ 内核体系:W3SVC、http.sys、W3Core
△ IIS6.0的请求处理架构:
1、HTTP.sys 和内核模式请求队列排序
2、Web 管理服务(WAS)
3、工作进程隔离模式
4、IIS5隔离状态
5、完全隔离用户代码和服务器
▲ 安装Internet信息服务器
方法:在“开始”菜单中的“管理工具”中选择“管理您的服务器”选项
▲创建和设置应用程序池
△ 在“IIS信息服务管理器”中右击“应用程序池”节点,在快捷菜单中依次选择“新建”→“应用程序池”
▲ 设置与管理FTP服务
△ 打开“Internet信息服务管理器”,右击左侧窗口树形结构中的“FTP站点”选项,在弹出的菜单中选择“新建”→“FTP站点”命令
▲ IIS配置数据库管理
△ XML格式的纯文本配置数据库文件的优点:
可使用常见的文本编辑器直接编辑配置数据库文件
经过改善的配置数据库的损坏恢复和疑难解答
改善了可能出现严重错误的计算机上的配置数据库备份和还原功能
△ 为确保配置数据库安全而建议采取的方法:
确保计算机上所有账户的密码都是强密码,且未写在计算机旁边或看得见的位置。
对于在文件级安全中列出的配置数据库文件,维护严格的访问控制权限。
在计算机上采用“最小权限”的概念。
不要针对配置数据库文件运行cipher命令或使用加密文件系统(EFS)。
当手动编辑MetaBase.xml文件时,先复制MetaBase.xml文件,再对副本进行操作。 配置数据库中进行重大更改时,使用备份/还原配置工具创建配置数据库文件的备份。不要使用配置数据库导入和导出功能创建定期备份文件。
监视事件日志中是否有IIS事件消息。
为影响配置数据库的各种文件设置文件审核。
第九章 网络监视与调整
▲ Windows Server 2003提供了五种用于网络监视的工具:
1、系统监视器
2、网络监视器
3、事件查看器
4、性能日志和警报
5、任务管理器▲ 系统监视器的使用
△ 选择要监视的数据:
服务器上常见的性能瓶颈来源:内存、处理器、磁盘、网络
▲ 网络监视器的使用
△网络监视器为用户提供的特定类型的信息:
设置触发器,让网络监视器在发生某种或某些情况时开始或停止捕获信息。
设置筛选程序,以便控制网络监视器捕获或显示的信息类型。
通过修改信息在屏幕上的显示方式使信息分析更加简便,还可以保存或打印信息以供
日后查看。
网络监视器还可以识别出某些有助于预防或解决问题的模式。
网络监视器提供了有关网络通信的信息。
▲ 事件查看器的使用:
△事件查看器工具可以完成:
Windows Server 2003的系统日志中存放了操作系统产生的信息、警告或错误
安全日志中存放了审核事件是否成功的信息
应用程序日志中存放应用程序产生的信息、警告或错误
△ 计算机被配置位域控制器,则系统还将提供:
目录服务日志
文件复制服务日志
▲性能日志和警报
△ 性能日志和警报的主要功能
以不同的账户运行日志集合。
两个新安全组,可帮助用户确保只有受信任的用户才可访问和操作敏感的性能数据。 支持超过 1GB 大小的日志文件。
“性能日志和警报”收集逗号分隔或制表符分隔格式的数据。
以收集 SQL 数据库格式的数据。
可在收集数据期间,或者在停止收集后查看由“性能日志和警报”收集的计数器数据。 不管是否有用户登录到被监视的计算机,数据收集都会发生。
可以定义用于自动日志生成的起始和终止时间、文件名、文件大小以及其他参数。 可以从单个控制台窗口管理多个日志会话。
可以设定计数器上的性能警报。
△ 通过命令行监视系统:Logman、Perfmon、Relog、Tracerpt、Typeperf、Lodctr
第十章安全审核
▲ Windows Server 3 的审核功能
1、系统日志
2、安全日志
3、应用程序日志
(域)
4、目录服务日志
5、文件复制服务日志
6、DNS服务器日志▲ 查看和备份日志
△Windows Server 2003提供了三种格式来存储备份日志文件:
1、事件日志格式(*.evt)
2、文本格式(*.txt)
3、逗号分隔值格式(*.csv)▲ 配置对象审核策略
第十二章 网络安全传输
▲ IPSec的部署
△ 网络IP存在的安全问题:
1、窃听
2、数据修改
3、标识伪造(IP地址伪造)
4、基于密码的攻击△ WindowsServer2003支持的IPSec有两个目标:
1、保护IP数据包的内容。
2、通过数据包筛选及受信任通信的实施来防御网络攻击。
△ 点对点的模式允许部署IPSec的方案:
1、局域网(LAN)
2、广域网(WAN)
3、远程访问
▲ DHCP的配置和管理
△ DHCP为管理基于TCP/IP的网络提供了好处:安全而可靠的配置 和 减少配置管理▲ 动态DNS的配置
△ 攻击者对于DNS结构进行威胁的常见方式:跟踪、拒绝服务攻击、数据修改、重定向 △ Windows Server 2003针对DNS有三种安全级别:
1、低级安全性
2、中级安全性
3、高级安全性
