本指南涵盖CISP认证中的网络安全基础领域,包括VPN、安全机制、无线安全、数据库安全、恶意软件识别、拒绝服务攻击等关键知识点。
一、拒绝服务攻击与可用性
1.1 拒绝服务攻击损害的性能
拒绝服务攻击的目标
拒绝服务攻击(DoS/DDoS)损害了信息系统的可用性(Availability) 为什么是可用性: ⚠️ 拒绝服务攻击的目的
- 使系统无法为合法用户提供服务
- 消耗系统资源(CPU、内存、带宽)
- 导致服务中断或性能严重下降
- 影响业务连续性 CIA三元组对比: | 安全属性 | 定义 | 是否受DoS影响 | |---------|------|-------------| | 完整性(Integrity) | 数据未被篡改 | ❌ 否 | | 可用性(Availability) | 服务可正常访问 | ✅ 是(主要目标) | | 保密性(Confidentiality) | 数据不被泄露 | ❌ 否 | | 可靠性(Reliability) | 系统稳定运行 | 🟡 间接影响 | 拒绝服务攻击的影响:
graph TB
A["拒绝服务攻击"]
B["消耗资源"]
C["服务中断"]
D["性能下降"]
E["业务影响"]
A --> B
A --> C
A --> D
A --> E
B --> B1["CPU耗尽"]
B --> B2["内存耗尽"]
B --> B3["带宽耗尽"]
B --> B4["连接耗尽"]
C --> C1["服务不可用"]
C --> C2["系统崩溃"]
D --> D1["响应缓慢"]
D --> D2["超时错误"]
E --> E1["收入损失"]
E --> E2["声誉损害"]
E --> E3["客户流失"]
style A fill:#ffcdd2,stroke:#c62828
style B fill:#fff3e0,stroke:#f57c00
style C fill:#f44336,stroke:#b71c1c
style D fill:#ff9800,stroke:#e65100
style E fill:#ffebee,stroke:#d32f2f
DoS攻击类型与影响:
拒绝服务攻击类型:
├── 流量型攻击
│ ├── UDP Flood
│ ├── ICMP Flood
│ ├── SYN Flood
│ └── 影响:带宽耗尽,服务不可用
├── 协议型攻击
│ ├── Teardrop
│ ├── Land
│ ├── Ping of Death
│ └── 影响:系统崩溃,服务中断
└── 应用层攻击
├── HTTP Flood
├── Slowloris
├── DNS Query Flood
└── 影响:应用无响应,服务降级
所有类型的共同目标:破坏可用性记忆要点
DoS攻击 = 可用性破坏
- DoS的全称是Denial of Service(拒绝服务)
- “拒绝服务”直接对应”不可用”
- 攻击目标是让合法用户无法使用服务
- 因此损害的是可用性 其他安全属性:
- 完整性:防止数据被篡改(如中间人攻击)
- 保密性:防止数据被窃取(如窃听)
- 可靠性:系统稳定性(更广泛的概念)
二、VPN技术基础
VPN详细内容
VPN技术的详细说明(定义、工作原理、安全功能、类型等)请参考: CISP学习指南:网络安全协议与VPN技术 VPN核心概念:
- 定义:通过公用网络建立的临时、安全连接
- 特点:利用公共网络、加密保护、成本低
- 类型:远程访问VPN、站点到站点VPN、SSL VPN、IPsec VPN
二、OSI安全机制
2.1 OSI安全体系结构
ISO OSI安全体系
ISO的OSI安全体系结构定义了多种安全机制来提供不同的安全服务。 主要安全服务:
- 认证服务
- 访问控制
- 数据机密性
- 数据完整性
- 抗抵赖(不可否认性)
2.2 抗抵赖安全服务
✍️ 抗抵赖机制
在ISO的OSI安全体系结构中,数字签名是提供抗抵赖安全服务的关键机制。 为什么是数字签名:
- 证明消息来源
- 防止发送方否认
- 防止接收方伪造
- 提供法律证据 安全机制对比: | 安全机制 | 提供的安全服务 | 是否支持抗抵赖 | |---------|---------------|---------------| | 加密 | 机密性 | ❌ 否 | | 数字签名 | 认证、完整性、抗抵赖 | ✅ 是 | | 访问控制 | 授权 | ❌ 否 | | 路由控制 | 可用性 | ❌ 否 |
2.3 数字签名详解
数字签名工作原理:
sequenceDiagram
participant A as Alice(发送方)
participant B as Bob(接收方)
Note over A: 1. 创建消息
A->>A: 2. 计算消息哈希值
A->>A: 3. 用私钥加密哈希值<br/>(生成数字签名)
A->>B: 4. 发送消息+签名
B->>B: 5. 用Alice公钥解密签名<br/>(得到哈希值1)
B->>B: 6. 计算收到消息的哈希值<br/>(得到哈希值2)
B->>B: 7. 比较两个哈希值
alt 哈希值相同
Note over B: ✅ 签名有效<br/>消息完整<br/>来自Alice
else 哈希值不同
Note over B: ❌ 签名无效<br/>消息被篡改或伪造
end
数字签名的特性:
数字签名特性:
├── 认证性
│ └── 证明消息来自特定发送方
├── 完整性
│ └── 检测消息是否被篡改
├── 不可否认性(抗抵赖)
│ ├── 发送方不能否认发送过消息
│ ├── 接收方不能伪造签名
│ └── 可作为法律证据
└── 唯一性
└── 每个签名对应唯一的消息和签名者2.4 其他安全机制
加密机制:
加密
**功能:**保护数据机密性 特点:
- 防止未授权访问
- 不提供抗抵赖
- 需要密钥管理 访问控制:
🚪 访问控制
**功能:**限制对资源的访问 特点:
- 基于身份或角色
- 防止未授权访问
- 不提供抗抵赖 路由控制:
🛣️ 路由控制
**功能:**控制数据传输路径 特点:
- 提高可用性
- 避免不安全路径
- 不提供抗抵赖
三、无线网络安全
3.1 WPA2协议标准
📡 WPA2与IEEE 802.11i
WPA2(Wi-Fi Protected Access 2)包含IEEE 802.11i协议标准的所有安全特性。 关键关系:
- WPA2是IEEE 802.11i的商业认证名称
- 802.11i是无线安全的技术标准
- WPA2实现了802.11i的所有要求
3.2 IEEE 802.11系列标准
802.11标准对比:
| 标准 | 发布时间 | 主要特性 | 安全相关 |
|---|---|---|---|
| IEEE 802.11b | 1999 | 2.4GHz, 11Mbps | WEP(不安全) |
| IEEE 802.11a | 1999 | 5GHz, 54Mbps | WEP(不安全) |
| IEEE 802.11g | 2003 | 2.4GHz, 54Mbps | WPA |
| IEEE 802.11i | 2004 | 安全标准 | ✅ WPA2/AES |
| IEEE 802.11n | 2009 | 双频, 600Mbps | WPA2 |
| IEEE 802.11ac | 2013 | 5GHz, 1Gbps+ | WPA2 |
| IEEE 802.11ax | 2019 | Wi-Fi 6 | WPA3 |
3.3 WPA2安全特性
WPA2的核心安全特性:
WPA2安全特性(基于IEEE 802.11i):
├── 加密算法
│ ├── AES(高级加密标准)
│ ├── CCMP(计数器模式CBC-MAC协议)
│ └── 替代TKIP(临时密钥完整性协议)
├── 认证机制
│ ├── PSK(预共享密钥)- Personal模式
│ ├── 802.1X/EAP - Enterprise模式
│ └── RADIUS服务器支持
├── 密钥管理
│ ├── 4次握手(4-Way Handshake)
│ ├── 组密钥握手
│ └── 动态密钥生成
└── 完整性保护
├── MIC(消息完整性检查)
├── 防重放攻击
└── 数据完整性验证3.4 WPA2认证过程
WPA2四次握手过程:
sequenceDiagram
participant C as 客户端
participant AP as 接入点
Note over C,AP: 第一次握手
AP->>C: ANonce(AP随机数)
Note over C,AP: 第二次握手
C->>C: 生成SNonce(客户端随机数)
C->>C: 计算PTK(成对临时密钥)
C->>AP: SNonce + MIC
Note over C,AP: 第三次握手
AP->>AP: 计算PTK
AP->>AP: 验证MIC
AP->>C: GTK(组临时密钥)+ MIC
Note over C,AP: 第四次握手
C->>C: 安装密钥
C->>AP: 确认消息
Note over C,AP: ✅ 密钥协商完成<br/>开始加密通信
3.5 无线安全演进
无线安全技术演进:
timeline
title 无线安全技术演进
1999 : WEP(已弃用)<br/>RC4加密<br/>易被破解
2003 : WPA(过渡方案)<br/>TKIP<br/>改进但仍有缺陷
2004 : WPA2(IEEE 802.11i)<br/>AES-CCMP<br/>强安全性
2018 : WPA3<br/>SAE<br/>防字典攻击
安全性对比:
| 协议 | 加密算法 | 密钥长度 | 安全性 | 状态 |
|---|---|---|---|---|
| WEP | RC4 | 64/128位 | ❌ 弱 | 已弃用 |
| WPA | TKIP | 128位 | 🟡 中 | 过时 |
| WPA2 | AES-CCMP | 128位 | ✅ 强 | 广泛使用 |
| WPA3 | AES-GCMP | 128/192位 | ✅ 最强 | 最新标准 |