第二章計算機網絡通信與信息安全
資料根據信息系統管理工程師考試大綱進行整理,資料全部來源於信息系統管理工程師教程,親自整理,用於自身複習,現在分享出來,歡迎指正!(從word中拿出來,排版會有點問題,請多包涵!,如需word文檔,可以聯繫我!)
1.計算機網絡知識
1.1協議和傳輸
(1)網絡體系結構(網絡拓撲、OSIRM、 基本的網絡和通信協議)。
網絡就是一些結點和鏈路的集合
計算機網絡就是相互連接、彼此獨立的計算機系統的集合
網絡的拓撲結構指網絡中結點(設備)和鏈路(連接網絡設備的信道)的幾何形狀。按照網絡的拓撲結構來分類,可以分爲總線狀、環狀、樹狀、網狀、星狀、混合狀等。
計算機網絡: 1.結點:也稱爲“站”,一般是指網絡中的計算機
2.線路:在兩個結點之間承載信息流的信道稱爲線路
3.鏈路:指從發信點到收信點(即信源到信宿)的一串結點和線路
OSI/RM七層協議模型
1.物理層:物理層涉及到通信在信道上傳輸的原始比特流
2.數據鏈路層:數據鏈路層的主要任務是加強物理層傳輸原始比特的功能,使之對網絡層呈現爲一條無錯線路。
3.網絡層:網絡層關係到子網的運行控制,其中一個關鍵問題是確定分組從源端到目的端如何選擇路由。
4.傳輸層:傳輸層的基本功能是從會話層接收數據,並且在必要時把它分成較小的單元,傳遞給網絡層,並確保達到對方的各段信息正確無誤,傳輸層使會話層不受硬件技術變化的影響。
5.會話層:會話層允許不同計算機的用戶建立會話關係
6.表示層:表示層以下的各層關心可靠地傳輸比特流,而表示層關心的是所傳輸信息的語法和語義。
7.應用層:應用層包含大量人們普遍需要的協議
(2) TCP/IP 協議基礎。
TCP/IP是一組通信協議的代名詞,是由一系列協議組成的協議簇。
包括: 1.遠程登錄協議(Telnet)
2.文件傳輸協議(FTP)
3.簡單郵件傳輸協議(SMTP)
(3)傳輸介質、傳輸技術、傳輸方法、傳輸控制。
數據通信模型:
任務:把數據源計算機所產生的數據迅速、可靠、準確地傳輸到數據宿(目的)計算機或專用外設。
一個完整的數據通信系統一般有以下幾個部分組成:數據終端設備、通信控制器、通信信道、信號變換器。
數據終端設備:即數據的生成者和使用者,它根據協議控制通信的功能。
通信控制器:除進行通信狀態的連接、監控和拆除等操作外,還可接收來
自多個數據終端設備的信息,並轉換信息格式
通信信道:是信息在信號變換器之間傳輸的通道。
信號變換器:把通信控制器提供的數據轉換成適合通信信道要求的信號,或
把信道中傳來的信號轉換成可供數據終端設備使用的數據,最
大限度地保證傳輸質量。
數據通信模型按照數據信息在傳輸鏈路上的傳送方向,可以做如下分類
(1)單工通信:信號只能向一個方向傳送,如廣播
(2)半雙工通信:信息的傳遞可以是雙向的,如對講機。
(3)全雙工通信:通信的雙方可以同時發送和接收信息
數據通信的主要技術指標如下所示
1. 波特率:又稱爲碼元速率。是指單位時間內所傳送的信號“波形”的
個數,單位爲波特(Baud)計算公式:B=1/T(baud)T爲波形週期
2. 比特率:又稱位速率,是指單位時間內所傳送的二進制位數單位爲
位/秒,計算公式:S=Blog2N,B爲波特率,N爲一個波形的有效狀態數
3. 帶寬:是指介質能傳輸的最高頻率和最低頻率之間的差值,帶寬通常用赫茲Hz表示
4. 信道容量:是指信道傳送信息的最大能力
5. 誤碼率:是指二進制數字信號在傳送過程中被傳錯的概率。計算公式爲:Pe=傳錯的比特數/傳送的總比特數
6.信道延遲:是指信號在信道中傳播時,從信源端到信宿端的時間差
傳輸介質
網絡傳輸介質是網絡中傳輸數據、連接各網絡結點的實體,常見的網絡傳輸介質
有雙絞線、同軸電纜、光纜等3種。其中,雙絞線是經常使用的傳輸介質,它一
般用於星狀網絡中,同軸電纜一般用於總線狀網絡,光纜一般用於主幹網的連接。
1雙絞線:是將一對或一對以上的雙絞線封裝在一個絕緣外套中而形成的一種 傳輸介質,是目前局域網最常用的一種佈線材料。雙絞線中的每一對都是由兩根絕緣銅導線相互纏繞而成的,這是爲了降低信號的干擾程度而採取的措施。雙絞線一般用於星狀網絡的佈線連接。
雙絞線主要是用來傳輸模擬聲音信息的,但同樣適用於數字信號的傳輸
雙絞線分爲非屏蔽雙絞線(UTP)和屏蔽雙絞線(STP)
2 同軸電纜:是由一根空心的外圓柱導體 (銅網)和一根位於中心軸線的內導線(電纜銅芯)組成,並且內導線和圓柱導體及圓柱導體和外界之間都是用絕緣材料隔開。它的特點是抗干擾能力好,傳輸數據穩定,價格也便宜,同樣被廣泛使用,如閉路電視線等。
3光纜:是由一組光導纖維組成的用來傳播光東的細小而柔韌的傳輸介質。與其他傳輸介質相比較,光纜的電磁絕緣性能好,信號衰變小,頻帶較寬,傳輸距離較大。光纜主要是在要求傳輸距離較長,用於主幹網的連接。光纜通信由光發送機產生光束,將電信號轉變爲光信號,再把光信號導入光纖,在光纜的另一端由光接收機接收光纖上傳輸來的光信號,並將它轉變成電信號,經解碼後再處理。光纜的傳輸距離遠、傳輸速度快,是局域網中傳輸介質的姣姣者。
現在有兩種光纜:單模光纜和多模光纜。單模光纜的纖芯直徑很小,在給定的工作波長上只能以單一模式傳輸,傳輸頻帶寬,傳輸容量大。多模光纜是在給定的工作波長上,能以多個模式同時傳輸的光纖,與單模光纖相比,多模光纖的傳輸性能較差。
光纜是數據傳輸中最有效的一種傳輸介質, 它有頻帶較寬、不受電磁干擾、衰減較小、中繼器的間隔較長等優點。
傳輸技術
多路複用技術
1.頻分多路複用(FDM)
2.時分多路複用(TDM)
數據交換技術
1.線路交換:通過網絡中的結點在兩個站之間建立一條專用的通信線路
2.報文交換:採用存儲轉發的方式來傳輸數據,它不需要在兩個站之間建立一條專用的通信線路
3.分組交換:類似於報文交換,但每次只能發送其中一個分組分組交換的傳輸時間短,傳輸延遲小,可靠性好,開銷小,靈活性高
4.其他技術:數字語音插空技術,幀中繼,異步傳輸模式等
傳輸控制
差錯控制:奇偶檢驗碼和循環冗餘碼
流量控制
1.2局城網(LAN)和廣域網
(1) LAN拓撲,存取控制,LAN的組網,LAN間連接,LAN-WAN連接。
LAN的組網:LAN局域網的組網技術根據局域網的不同主要有以太網,快速以太網,千兆位以太網,令牌環網絡,FDDI光纖環網,ATM局域網等
決定局域網的主要技術要素爲:網絡拓撲,傳輸介質與介質訪問控制方法。
局域網由網絡硬件(包括網絡服務器、網絡工作站、網絡打印機、網卡、網絡互聯設備等)和網絡傳輸介質,以及網絡軟件所組成。
LAN-WAN連接:交換機或者寬帶貓
(2)互聯網基礎知識及其應用。
服務器:即主機,用來承載網站源碼或程序的地方。網站相當於樹,服務器即承載這棵樹的土壤,土壤的肥沃程度(服務器質量)決定樹的生長好壞(網站速度)。
虛擬主機:同樣是用來承載網站源碼和程序的地方。不同的是,服務器可分開出多個虛擬主機。服務器這塊土壤是自己的,虛擬主機相當於你在地主家的土地上租了一小塊地。
網站空間:即虛擬主機的另一種稱謂;
域名:域名是唯一的名字,讓我們能找到和記住網站。相當於,我們把樹種下後,要設定一個座標,讓別人通過這唯一的座標,找到這棵樹。
解析:把域名和網站空間的聯繫起來,別人打開域名,即可成功找到設定的空間IP。
源碼:網站源碼又稱網站模板,常規網站源碼均有成品購買,少數需開發。
VPN:虛擬專用網絡,用來變換自己的IP地址。做網賺行業常會用到VPN,如操作百度問答、擼羊毛等。
(3)網絡性能分析(傳輸速度、線路利用率、線路容量)和性能評估。
1. 網絡傳輸速度一般以比特率(bps)爲單位,其含義是每秒鐘傳輸的二進制數的位數。不同的網絡一般比特率不同,相同的網絡採用不同的網絡電纜也可以達到不同的比特率。影響網絡傳輸速率的因素主要有帶寬、時延和丟包。
2. 網絡性能分析主要涉及網絡的QoS、SLA和網絡流量性能測評等三個方面
(1)服務質量(Quality of Service, QoS) 指的是網絡提供更高優先服務的一種能力,包括專用帶寬、抖動控制和延遲(用於實時和交互式流量情形)、丟包率的改進以及不同WAN,LAN和MAN技術下的指定網絡流量等,同時確保爲每種流量提供的優先權不會阻礙其他流量的進程。
(2)服務等級協議(Service-Level Agreement, SLA)是關於網絡服務供應商和客戶間的一份合同,其中定義了服務類型、服務質量和客戶付款等術語。
(3)流量管理主要涉及網絡帶寬控制和分配、通信延遲的降低和擁塞控制的最小化。流量管理通常又稱爲流量編整或流量工程。
(4)網絡有關的法律、法規要點。
(5)網絡安全(加密解密、授權、防火牆、安全協議)。
加密是指通過將信息進行編碼而使得侵入者不能夠閱讀或理解的方法,目的是保護數據和信息。解密是將加密的過程反過來,即將編碼信息轉化爲原來的形式。
授權:即訪問權限,訪問控制的手段包括用戶識別代碼,密碼,登錄控制,資源授權,授權覈查,日誌和審計
防火牆是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全城之間的一系列部件的組合,以防止發生不可預測的、潛在破壞性的侵入。實際上,它包含着一對矛盾(或稱機制):一方面它限制數據流通,另一方面它 又允許數據流通作爲內部網絡與外部公共網絡之間的第一道屏障,防火牆是最先受到人們重視的網絡安全產品之一。常見的防火牆主要有數據包過濾型防火牆、應用級網關型防火牆、代理服務型防火牆、複合型防火牆等幾種類型。典型的防火牆包括過濾器、鏈路級網關和應用級網關或代理服務器
安全協議:
1.SSH:提供兩種級別的驗證:基於密碼的安全驗證和基於祕鑰的安全驗證
2.PKI:PKI體系結構採用證書管理公鑰,通過第三方的可信機構CA,把用戶的公鑰和用戶的其他標識信息(如名稱、E-mail、 身份證號等)捆綁在一起,在Internet網上驗證用戶的身份,PKI體系結構把公鑰密碼和對稱密碼結合起來,在Internet網上實現密鑰的自動管理,保證網上數據的機密性、完整性。一個典型、完整、有效的PKI應用系統至少應具有:公鑰密碼證書管理、黑名單的發佈和管理、密鑰的備份和恢復、自動更新密鑰以及自動管理歷史密鑰等幾部分。
3.SET :SET安全電子交易協議是由美國Visa 和MasterCard兩大信用卡組織提出的應用於Internet上的以信用卡爲基礎的電子支付系統協議。它採用公鑰密碼體制和X.509數字證書標準,主要應用於B to C模式中保障支付信息的安全性。SET協議本身比較複雜,設計比較嚴格,安全性高,它能保證信息傳輸的機密性、真實性、完整性和不可否認性。
4. SSL:安全套接層協議(SSL)是網景(Netscape)公司提出的基於Web應用的安全協議,包括:服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對於電子商務應用來說,使用SSL可保證信息的真實性、完整性和保密性。但由於SSL不對應用層的消息進行數字簽名,因此不能提供交易的不可否認性,這是SSL在電子商務中使用的最大不足。
1.3常用網絡設備和各類通信設備
1、交換機:採用交換技術來增加數據的輸入輸出總和和安裝介質的帶寬。一般交換機轉發延遲很小,能經濟地將網絡分成小的衝突網域,爲每個工作站提供更高的帶寬。可以理解爲高級的網橋,他有網橋的功能,但性能比網橋強。
2、網橋:網橋(Bridge)也稱橋接器,是連接兩個局域網的存儲轉發設備,用它可以完成具有相同或相似體系結構網絡系統的連接。
3、中繼器:是連接網絡線路的一種裝置,常用於兩個網絡節點之間物理信號的雙向轉發工作。中繼器是最簡單的網絡互聯設備,主要完成物理層的功能,負責在兩個節點的物理 層上按位傳遞信息,完成信號的複製、調整和放大功能,以此來延長網絡的長度。就是簡單的信號放大器,信號在傳輸的過程中是要衰減的,中繼器的作用就是將信號放大,使信號能傳的更遠。
4、路由器:路由器是網絡層上的連接,即不同網絡與網絡之間的連接。路徑的選擇就是路由器的主要任務。路徑選擇包括兩種基本的活動:一是最佳路徑的判定;二是網間信息包的傳送。
5、網關:網關(協議轉換器)是互連網絡中操作在OSI網絡層之上的具有協議轉換功能設施,所以稱爲設施,是因爲網關不一定是一臺設備,有可能在一臺主機中實現網關功能。
1.4網絡管理與網絡軟件基礎知識
(1)網絡管理(運行管理、配置管理、安全管理、故障管理、性能管理、計費管理)
網絡管理是指通過某種規程和技術對網絡進行管理,從而實現:①協調和組織網絡資源以使網絡的資源得到更有效的利用:②維護網絡正常運行:③幫助網絡管理人員完成網絡規劃和通信活動的組織。網絡管理涉及網絡資源和活動的規劃、組織、監視、計費和控制。國際標準化組織(ISO)在相關標準和建議中定義了網絡管理的五種功能,即:
(1)故障管理:對計算機網絡中的問題或故障進行定位,主要的活動是檢測故障、診斷故障和修復故障。
(2)配置管理:對網絡的各種配置參數進行確定、設置、修改、存儲和統計,以增強網絡管理者對網絡配置的控制。
(3)安全管理:網絡安全包括信息數據安全和網絡通信安全。安全管理可以控制對計算機網絡中的信息的訪問。
(4)性能管理:性能管理可以測量網絡中硬件、軟件和媒體的性能,包括整體吞吐量、利用率、錯誤率和響應時間,幫助管理者瞭解網絡的性能現狀。
(5)計費管理:跟蹤每個個人和團體用戶對網絡資源的使用情況,並收取合理的費用。
(2)網絡軟件(網絡操作系統、驅動程序、網絡管理系統、網絡管理工具)
網管軟件的功能可以歸納爲三個部分:體系結構,核心服務和應用程序
體系結構、核心服務和應用程序三者之間是相互聯繫、密不可分的。體系結構提供一個系統平臺,一個多種資源有機聯繫的場所;核心服務提供最基本、最重要的服務,就像生活中維持人正常生存的部分;應用程序滿足具體的、個性化的需求,有如生活中不同人的不同習慣和愛好。
2.信息安全性知識
2.1信息安全基本概念
信息具有三個特性: 機密性、完整性和可用性。信息的機密性是防止信息暴露給未授權的人或系統質量或狀態,只確保具有權限和特權的人纔可以訪問信息的特定集合,而未被授權的人則被禁止獲得訪問權。信息的完整性是指信息完整而未被腐蝕的質量和狀態,在信息被暴露使其被腐蝕、損毀、破壞或其他真實狀態被破壞時,信息的完整性就受到了威脅。信息的可用性使需要訪問信息的用戶可以在不受干涉和阻礙的情況下對信息進行訪問並按所需格式接受它,這裏的用戶不只是一個人,而是另一個計算機系統,同時並不是說信息對任意用戶都是可訪問的,還需要對用戶進行信息訪問授權的驗證。
信息系統安全是指確保信息系統結構安全,與信息系統相關的元素安全,以及與此相關的各種安全技術、安全服務和安全管理的總和。
現代信息系統架構在計算機系統、通信系統、網絡系統之上,所以信息安全也要涵蓋這幾方面。信息系統安全的內涵是:確保以電磁信號爲主要形式的,在計算機網絡化系統中進行獲取、處理、存儲、傳輸和利用的信息內容,在各個物理位置、邏輯區域、存儲和傳輸介質中,處於動態和靜態過程中的機密性、完整性、可用性、可審查性和抗抵賴性的,與人、網絡、環境有關的技術和管理規程的有機集合。
2.2計算機病毒防治,計算機犯罪的防範,網絡入侵手段及其防範
計算機病毒的預防技術是根據病毒程序的特徵對病毒進行分類處理,然後在程序運行中凡有類似的特徵點出現時就認定是計算機病毒,並阻止其進入系統內存或陽止其對磁盤進行操作尤其是寫操作,以達到保護系統的目的。計算機病毒的預防包括兩方面:對已知病毒的預防和對來來病毒的預防。目前,對已知病毒預防可以採用特徵判定技術或靜態判定技術,對未知病毒的預防則是種行爲規則的判定技術即動態判定技術。計算機病毒的預防技術主要包括磁盤引導區保護、加密可執行程序、讀寫控制技術和系統監控技術等。
計算機犯罪的防範:法律,抓好安全教育
2.3容災
2.4加密與解密機制。認證(數字簽名身份認證)
加密的基本過程包括對原來的可讀信息(稱爲明文或平文)進行翻譯,譯成的代碼稱爲密碼或密文,加密算法中使用的參數稱爲加密密鑰。密文經解密算法作用後形成明文,解密算法也有個密鑰,這兩個密鑰可以相同也可以不相同。信息編碼的和解碼方法可以很簡單也可以很複雜,需要些加密算法和解密算法來完成。