2015年软考系统架构设计师学习笔记第十一章(3)
发布时间:2010/12/4 22:36:50 来源:城市学习网 编辑:ziteng
11.1.5 安全协议
1、IPSec 协议简述
因特网工程任务组(IETF),IPSec 在 IP层上 对数据包 进行高强度 的 安全处理 提供 数据源验证、无连接数据完整性、数据机密性、抗重播、有限通信流机密性等安全服务。
1. IPSec 协议工作原理
通过使用两种信息安全协议 来为数据报提供高质量的安全性:认证头(AH)协议 和 封装安全载荷(ESP)协议,以及像 Internet 密钥交换(Internet Key Exchange,IKE)协议这样的密钥管理协过程和协议。
IPSec 允许系统或网络用户 控制安全服务提供的粒度。
由通信双方建立的安全关联(Security Association,SA)来提供。
3. IPSec 协议 安全性分析
可以应用于所有跨越网络边界的通信。
如果所有来自外部的通信必须使用IP,且防火墙是 Internet 与 组织的唯一入口,则 IPSec 是不能被绕过的。
IPSec 位于传输层(TCP、UDP)之下,因此对应用程序是透明的,实现时,没有必要在用户或服务器上更改软件。
IPSec 对最终用户是透明的,没有必要 培训用户掌握安全机制。
2、SSL 协议
SSL 协议(Secure Socket Layer)对计算机之间的 整个会话进行加密,位于 TCP 和 应用层 之间,可为应用层 提供 安全业务,主要是 Web应用。
基本目标是 在通信双方之间 建立安全的连接。
SSL 协议工作原理
两个重要的概念:SSL 连接和SSL 会话。
连接 是 提供恰当类型服务的传输,对于 SSL ,连接是点到点的关系。
SSL 的会话是 客户和服务器之间的关联,会话通过握手协议来创建。
会话定义了 加密安全 参数的一个集合。
会话可以用来避免为每个连接进行 昂贵的新安全参数的协商。
3、PGP 协议
1. PGP 协议的定义
PGP(Pretty Good Privacy)针对 电子邮件 在 Internet上 通信的 安全问题而设计的一种混合加密系统。
公钥密码和分组密码 是在同一个系统中,PGP 的用户拥有一张公钥表。
PGP 应用程序具有很多优点:速度快、效率高、可移植性好。
2. PGP 协议 的 加密过程
用 IDEA 算法对明文加密,接着用接收者的 RSA公钥 对这个IDEA密钥进行加密。
PGP 没有用 RSA 算法直接对明文加密,而是对 IDEA 密钥 进行加密。
由于 IDEA 算法 速度很快,所以不会因为邮件的数量大而耽误时间,而IDEA的密钥位数较少,所以使用RSA算法在速度上也不会有很大影响。
11.1.6 数据备份
1、备份的类型
备份数据常常被人们遗忘,造成的后果往往是毁灭性的。
保证数据完整性以及准确性,一直都面临着极大的考验。
1. 完全备份,所需时间最长,但恢复时间最短,操作最方便可靠。
2. 差异备份,备份上一次的 完全备份后发生变化的所有文件。备份时间较长,占用空间较多,恢复时间较短。
3. 增量备份,上一次备份后,所有发生变化的文件。备份时间较短,占用空间较少,恢复时间较长。
4. 按需备份。有很好的选择性。
2、异地备份
数据异地备份 是 容灾系统 的核心技术,确保一旦本地系统出现故障,远程的容灾中心能够迅速进行完整的业务托管。
进行异地备份时,要注意以下几个问题:
避免让备份带上病毒。
保证磁片质量,定期对其进行质量检查。
对于光盘,最大的缺点是 兼容性不好,最好是用哪台刻录机刻录 就用哪台刻录机读取(有时光头歪了也刻歪了,好光驱读不出来)。
对于移动硬盘,要做磁盘检查,保证其性能良好。
3、自动备份软件
具备 多个备份的文件 无论怎样重命名 都只备份一个。
对员工正常工作无任何干扰,就好像这个软件不存在一样。
11.1.7 计算机病毒免疫
1、计算机病毒定义
通过修改其他程序 使之含有该程序本身或它的一个变体,具有感染力,借助使用者的权限感染他们的程序。
每个被感染的程序也像病毒一样可以感染其他程序。
2、计算机病毒免疫的原理
传染模块一般包括传染条件判断和实施传染两部分。
一般情况下,传染完一个对象后,都要给被传染对象加上传染标识,若不存在这种标识,则病毒就对该对象实施传染。
不判断是否存标识,反复传染多次,雪球越滚越大。
当某些尚不能被病毒检测软件检查出来的病毒感染了文件,该文件又被免疫外壳包在里面时,查毒软件查不到它。
11.2 信息安全管理和评估
11.2.1 安全管理技术
安全管理技术就是 监督、组织、控制网络通信服务以及信息处理所必须的 各种技术手段和措施的总称。
目标是确保计算机网络的持续正常运行,出现异常时能及时响应和排除故障。
各种网络安全产品的作用 提现在网络中的不同方面,统一的网络安全管理平台 必然要求对网络中部署的安全设备进行协同管理。
安全设备的管理、安全策略管理、安全风险控制、安全审计,几个方面。
安全审计:安全设备、操作系统、应用系统的日志信息收集汇总,进一步分析,得出更深层次的分析结果。
