本指南涵盖CISP认证中的网络安全基础领域,包括VPN、安全机制、无线安全、数据库安全、恶意软件识别、拒绝服务攻击等关键知识点。
一、拒绝服务攻击与可用性
1.1 拒绝服务攻击损害的性能
🎯 拒绝服务攻击的目标
拒绝服务攻击(DoS/DDoS)损害了信息系统的可用性(Availability)
为什么是可用性:
⚠️ 拒绝服务攻击的目的
- 使系统无法为合法用户提供服务
- 消耗系统资源(CPU、内存、带宽)
- 导致服务中断或性能严重下降
- 影响业务连续性
CIA三元组对比:
| 安全属性 | 定义 | 是否受DoS影响 | |---------|------|-------------| | 完整性(Integrity) | 数据未被篡改 | ❌ 否 | | 可用性(Availability) | 服务可正常访问 | ✅ 是(主要目标) | | 保密性(Confidentiality) | 数据不被泄露 | ❌ 否 | | 可靠性(Reliability) | 系统稳定运行 | 🟡 间接影响 |
拒绝服务攻击的影响:
DoS攻击类型与影响:
拒绝服务攻击类型:
├── 流量型攻击
│ ├── UDP Flood
│ ├── ICMP Flood
│ ├── SYN Flood
│ └── 影响:带宽耗尽,服务不可用
├── 协议型攻击
│ ├── Teardrop
│ ├── Land
│ ├── Ping of Death
│ └── 影响:系统崩溃,服务中断
└── 应用层攻击
├── HTTP Flood
├── Slowloris
├── DNS Query Flood
└── 影响:应用无响应,服务降级
所有类型的共同目标:破坏可用性💡 记忆要点
DoS攻击 = 可用性破坏
- DoS的全称是Denial of Service(拒绝服务)
- "拒绝服务"直接对应"不可用"
- 攻击目标是让合法用户无法使用服务
- 因此损害的是可用性
其他安全属性:
- 完整性:防止数据被篡改(如中间人攻击)
- 保密性:防止数据被窃取(如窃听)
- 可靠性:系统稳定性(更广泛的概念)
二、VPN技术基础
📖 VPN详细内容
VPN技术的详细说明(定义、工作原理、安全功能、类型等)请参考: CISP学习指南:网络安全协议与VPN技术
VPN核心概念:
- 定义:通过公用网络建立的临时、安全连接
- 特点:利用公共网络、加密保护、成本低
- 类型:远程访问VPN、站点到站点VPN、SSL VPN、IPsec VPN
二、OSI安全机制
2.1 OSI安全体系结构
🛡️ ISO OSI安全体系
ISO的OSI安全体系结构定义了多种安全机制来提供不同的安全服务。
主要安全服务:
- 认证服务
- 访问控制
- 数据机密性
- 数据完整性
- 抗抵赖(不可否认性)
2.2 抗抵赖安全服务
✍️ 抗抵赖机制
在ISO的OSI安全体系结构中,数字签名是提供抗抵赖安全服务的关键机制。
为什么是数字签名:
- 证明消息来源
- 防止发送方否认
- 防止接收方伪造
- 提供法律证据
安全机制对比:
| 安全机制 | 提供的安全服务 | 是否支持抗抵赖 |
|---|---|---|
| 加密 | 机密性 | ❌ 否 |
| 数字签名 | 认证、完整性、抗抵赖 | ✅ 是 |
| 访问控制 | 授权 | ❌ 否 |
| 路由控制 | 可用性 | ❌ 否 |
2.3 数字签名详解
数字签名工作原理:
(生成数字签名) A->>B: 4. 发送消息+签名 B->>B: 5. 用Alice公钥解密签名
(得到哈希值1) B->>B: 6. 计算收到消息的哈希值
(得到哈希值2) B->>B: 7. 比较两个哈希值 alt 哈希值相同 Note over B: ✅ 签名有效
消息完整
来自Alice else 哈希值不同 Note over B: ❌ 签名无效
消息被篡改或伪造 end
数字签名的特性:
数字签名特性:
├── 认证性
│ └── 证明消息来自特定发送方
├── 完整性
│ └── 检测消息是否被篡改
├── 不可否认性(抗抵赖)
│ ├── 发送方不能否认发送过消息
│ ├── 接收方不能伪造签名
│ └── 可作为法律证据
└── 唯一性
└── 每个签名对应唯一的消息和签名者2.4 其他安全机制
加密机制:
🔐 加密
**功能:**保护数据机密性
特点:
- 防止未授权访问
- 不提供抗抵赖
- 需要密钥管理
访问控制:
🚪 访问控制
**功能:**限制对资源的访问
特点:
- 基于身份或角色
- 防止未授权访问
- 不提供抗抵赖
路由控制:
🛣️ 路由控制
**功能:**控制数据传输路径
特点:
- 提高可用性
- 避免不安全路径
- 不提供抗抵赖
三、无线网络安全
3.1 WPA2协议标准
📡 WPA2与IEEE 802.11i
WPA2(Wi-Fi Protected Access 2)包含IEEE 802.11i协议标准的所有安全特性。
关键关系:
- WPA2是IEEE 802.11i的商业认证名称
- 802.11i是无线安全的技术标准
- WPA2实现了802.11i的所有要求
3.2 IEEE 802.11系列标准
802.11标准对比:
| 标准 | 发布时间 | 主要特性 | 安全相关 |
|---|---|---|---|
| IEEE 802.11b | 1999 | 2.4GHz, 11Mbps | WEP(不安全) |
| IEEE 802.11a | 1999 | 5GHz, 54Mbps | WEP(不安全) |
| IEEE 802.11g | 2003 | 2.4GHz, 54Mbps | WPA |
| IEEE 802.11i | 2004 | 安全标准 | ✅ WPA2/AES |
| IEEE 802.11n | 2009 | 双频, 600Mbps | WPA2 |
| IEEE 802.11ac | 2013 | 5GHz, 1Gbps+ | WPA2 |
| IEEE 802.11ax | 2019 | Wi-Fi 6 | WPA3 |
3.3 WPA2安全特性
WPA2的核心安全特性:
WPA2安全特性(基于IEEE 802.11i):
├── 加密算法
│ ├── AES(高级加密标准)
│ ├── CCMP(计数器模式CBC-MAC协议)
│ └── 替代TKIP(临时密钥完整性协议)
├── 认证机制
│ ├── PSK(预共享密钥)- Personal模式
│ ├── 802.1X/EAP - Enterprise模式
│ └── RADIUS服务器支持
├── 密钥管理
│ ├── 4次握手(4-Way Handshake)
│ ├── 组密钥握手
│ └── 动态密钥生成
└── 完整性保护
├── MIC(消息完整性检查)
├── 防重放攻击
└── 数据完整性验证3.4 WPA2认证过程
WPA2四次握手过程:
开始加密通信
3.5 无线安全演进
无线安全技术演进:
RC4加密
易被破解 2003 : WPA(过渡方案)
TKIP
改进但仍有缺陷 2004 : WPA2(IEEE 802.11i)
AES-CCMP
强安全性 2018 : WPA3
SAE
防字典攻击
安全性对比:
| 协议 | 加密算法 | 密钥长度 | 安全性 | 状态 |
|---|---|---|---|---|
| WEP | RC4 | 64/128位 | ❌ 弱 | 已弃用 |
| WPA | TKIP | 128位 | 🟡 中 | 过时 |
| WPA2 | AES-CCMP | 128位 | ✅ 强 | 广泛使用 |
| WPA3 | AES-GCMP | 128/192位 | ✅ 最强 | 最新标准 |