【文章內(nèi)容簡介】 詳細說明 應(yīng)用層 處理網(wǎng)絡(luò)應(yīng)用 直接為終端用戶服務(wù)，提供各類應(yīng)用過程的接口和用戶接口 表示層 數(shù)據(jù)表示 使應(yīng)用層可以根據(jù)其服務(wù)解釋數(shù)據(jù)的含義。通常包括數(shù)據(jù)編碼的約定、本地句法的轉(zhuǎn)換 會話層 互聯(lián)主機通信 負責管理遠程用戶或進程間的通信，通常包括通信控制、檢查點設(shè)置、重建中斷的傳輸鏈路、名字查詢和安全驗證服務(wù) 傳輸層 端到端連接 實現(xiàn)發(fā)送端和 接收端的端到端的數(shù)據(jù)分組傳送，負責保證實現(xiàn)數(shù)據(jù)包無差錯、按順序、無丟失和無冗余地傳輸。其服務(wù)訪問點為端口 網(wǎng)絡(luò)層 分組傳輸和路由選擇 通過網(wǎng)絡(luò)連接交換傳輸層實體發(fā)出的數(shù)據(jù)，解決路由選擇、網(wǎng)絡(luò)擁塞、異構(gòu)網(wǎng)絡(luò)互聯(lián)的問題。服務(wù)訪問點為邏輯地址（網(wǎng)絡(luò)地址） 數(shù)據(jù)鏈路層 傳送以幀為單位的信息 建立、維持和釋放網(wǎng)絡(luò)實體之間的數(shù)據(jù)鏈路，把流量控制和差錯控制合并在一起。包含 MAC 和 LLC 兩個子層。服務(wù)訪問點為物理地址 物理層 二進制位傳輸 通過一系列協(xié)議定義了通信設(shè)備的機械、電氣、功能及規(guī)程特征 3）常用的網(wǎng)絡(luò)協(xié)議 TCP（ Transmission Control Protocol，傳輸控制協(xié)議） /IP，不是一個簡單的協(xié)議， 而是 一組小的、專業(yè)化協(xié)議。 TCP/IP 協(xié)議最大的優(yōu)勢之一是其可路由性，這也就意味著它可以攜帶能被路由器解釋的網(wǎng)絡(luò)編址信息。 TCP/IP 協(xié)議族可被大致分為應(yīng)用層、傳輸層、網(wǎng)際層、網(wǎng)絡(luò)接口層 4 層。 TCP/IP 分層 對應(yīng) OSI 分層 TCP/IP 協(xié)議族 應(yīng)用層 應(yīng)用層 POP3 FTP HTTP Tel SMTP NFS DHCP TFTP SNMP DNS 表示 層 傳輸層 會話層 TCP UDP 傳輸層 網(wǎng)際層 網(wǎng)絡(luò)層 IP ICMP IGMP ARP RARP 18 網(wǎng)絡(luò)接口層 數(shù)據(jù)鏈路層 CSMA/CD TokingRing 物理層 端口，在 TCP/IP 網(wǎng)絡(luò)中，傳輸層的所有服務(wù)都包含端口號，它們可以唯一區(qū)分每個數(shù)據(jù)包包含哪些應(yīng)用協(xié)議。端口號和設(shè)備 IP 地址的組合通常稱作插口（ socket） 。 4）網(wǎng)絡(luò)地址與掩碼 IP 地址是一個 4 字節(jié)（共 32 位）的數(shù)字，被分為 4 段，每段 8 位，段與段之間用句點分隔。 IP 地址可分 為 5 類： A 類、 B 類、 C 類、 D 類、 E 類。常用的僅為 A 類、 B 類、 C 類。 A 類地址：最前面 1 位為 0，后面 7 位來標識網(wǎng)絡(luò)號， 24 位標識主機號。 B 類地址：最前面 2 位為 10，后面 14 位來標識網(wǎng)絡(luò)號， 16 位標識主機號。 C 類地址：最前面 3 位為 110，后面 21 位來標識網(wǎng)絡(luò)號， 8 位標識主機號。 子網(wǎng)掩碼，子網(wǎng)是指一個組織中相連的網(wǎng)絡(luò)設(shè)備的邏輯分組。 IPv6， 128 位長度的 IP 地址。 5）虛擬局域網(wǎng) 虛擬局域網(wǎng) （ Virtual Local Area Network， VLAN）是由一些主機、交換機或路由器等組成的一個虛擬的局 域網(wǎng)。 VLAN 的劃分有多種方法：按交換機端口號劃分、按 MAC 地址劃分、按第三層協(xié)議劃分、 IP 組播 VLAN、基于策略的 VLAN、按用戶定義、非用戶授權(quán)劃分。 通信設(shè)備 多路復(fù)用技術(shù)可以分為頻分多路復(fù)用（ Frequency Division Multiplexing，F(xiàn)DM）和時分多路復(fù)用（ Time Division Multiplexing， TDM）兩種。 1）傳輸介質(zhì) 雙絞線、 同軸電纜、光纖 2）網(wǎng)絡(luò)設(shè)備 網(wǎng)卡、集線器、重發(fā)器（中繼器）、網(wǎng)橋、交換機、路由器、網(wǎng)管、調(diào)制解調(diào)器。 19 網(wǎng)絡(luò)接入設(shè)備 異步傳輸 模式（ ATM）、幀中繼、綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)（ ISDN）、同步光網(wǎng)絡(luò)（ SONET、 SDH）、 Inter 接入與接口層協(xié)議、 FTTx和 LAN 接入、電話線接入、同軸和光纖接入、無線接入。 無線局域網(wǎng) 微波擴展頻譜通信（ Spread Spectrum Communication， SSC）。 標準 網(wǎng)絡(luò)應(yīng)用 萬維網(wǎng)、電子郵件、 DNS、 IIS、 FTP 等 網(wǎng)絡(luò)管理 代理服務(wù)器 網(wǎng)絡(luò)管理工具 故障檢測 布線工程 綜合布線工程包括綜合布線設(shè)備安裝、布放線纜和纜線端接等 3 個環(huán)節(jié)。 綜合布線系統(tǒng)可分為 6 個獨立 的系統(tǒng)：工作區(qū)子系統(tǒng)、水平區(qū)子系統(tǒng)、管理間子系統(tǒng)、垂直干線子系統(tǒng)、設(shè)備間子系統(tǒng)、建筑群子系統(tǒng)。 網(wǎng)絡(luò)規(guī)劃與設(shè)計 20 網(wǎng)絡(luò)規(guī)劃工作： ? 網(wǎng)絡(luò)的功能要求 ? 網(wǎng)絡(luò)的性能要求 ? 網(wǎng)絡(luò)運行環(huán)境的要求 ? 網(wǎng)絡(luò)的可擴充性和可維護性要求 網(wǎng)絡(luò)設(shè)計主要采用層次式方法。層次式設(shè)計在互聯(lián)網(wǎng)組件的通信中引入了 3個關(guān)鍵層的概念，分別是核心層、匯聚層、接入層。 第 5章 信息安全知識 本章知識點：信息系統(tǒng)安全和安全體系、信息系統(tǒng)安全風險評估、安全策略、密碼技術(shù)、訪問控制、用戶標識與認證、安全審計、與入侵檢測、網(wǎng)絡(luò)安全、應(yīng)用安全。 信息系統(tǒng)安全體系 1）安全系統(tǒng)體系架構(gòu) ISO74982 從體系結(jié)構(gòu)的觀點描述了 5 種可選的安全服務(wù)（認證服務(wù)、訪問控制、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認服務(wù)）、 8 項特定的安全機制（加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、認證交換機制、流量填充機制、路由控制機制、公證機制）以及 5 中普遍性的安全機制（可信功能度、安全標記、事件檢測、安全審計跟蹤、安全恢復(fù)）。 2）安全保護等級 國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》（ GB178591999）規(guī)定了計算機系統(tǒng)安全保護能力 5 個等級： ? 用戶自主保護級，適 用于普通內(nèi)聯(lián)網(wǎng)用戶 ? 系統(tǒng)審計保護級，適用于通過內(nèi)聯(lián)網(wǎng)進行的商務(wù)活動，需要保密的非重要單位 ? 安全標記保護級，適用于地方各級國家機關(guān)、金融機構(gòu)、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術(shù)企業(yè)、重點工程建21 設(shè)等單位 ? 結(jié)構(gòu)化保護級， 適用于中央級國家機關(guān)、廣播電視部門、重要物資儲備單位、社會應(yīng)急服務(wù)部門、尖端科技企業(yè)集團、國家重點科研機構(gòu)和國防建設(shè)部門。 ? 訪問驗證保護級，適用于國防關(guān)鍵部門和依法需要對計算機信息系統(tǒng)實施特殊隔離的單位。 3）信息安全保障系統(tǒng) 信息安全保障系統(tǒng) 3 種不同架構(gòu)： ? MIS+S（ Management Information System + Security）系統(tǒng)，特點是應(yīng)用基本不變；硬件和系統(tǒng)軟件通用；安全設(shè)備基本不帶密碼 ? SMIS（ Security Management Information System）系統(tǒng)，特點是硬件和系統(tǒng)軟件通用； PKI/CA 安全保障系統(tǒng)必須帶密碼；應(yīng)用系統(tǒng)必須根本改變 ? S2MIS（ Super Security Management Information System）特點是硬件和系統(tǒng)軟件都專用； PKI/CA 安全保障系統(tǒng)必須帶密碼；應(yīng)用系統(tǒng) 必須根本改變；主要的硬件和系統(tǒng)軟件需要 PKI/CA 認證 4）可信計算機系統(tǒng) TCSEC（ Trusted Computer System Evaluation Criteria，可信計算機系統(tǒng)準則）標準是計算機系統(tǒng)安全評估的第一個正式標準，它將計算機系統(tǒng)的安全分為 4 個等級、 7 個級別： 低 高 D 類安全等級 C 類安全等級 B 類安全等級 A 類安全等級 D1 C1 C2 B1 B2 B3 A1 數(shù)據(jù)安全與保密 當今密碼體制建立在 3 個基本假設(shè)之上 ， 分別是隨機性假設(shè)、計算假設(shè)和物理假設(shè)。 1）加密機制 數(shù)據(jù)加密是對明文按照某種加密算法進行處理，而形成難以理解的密文。按22 照加密密鑰和解密密鑰的異同，有對稱密碼體制（加密和解密采用相同的密鑰）和非對稱密碼體制兩種。 2） PKI與數(shù)字簽名 PKI是 CA 安全認證體系的基礎(chǔ)，可以實現(xiàn) CA 和證書的管理：密鑰的備份與恢復(fù)；證書、密鑰對的自動更換；交叉認證、加密密鑰和簽名密鑰的分隔；支持對數(shù)字簽名的不可抵賴性；密鑰歷史的管理等功能。 采用數(shù)字簽名能夠確認兩點： 一是信息是由簽名者發(fā)送的；二是信息自簽發(fā)到接收為止，沒有任何修改。 完善的簽名機制應(yīng)體現(xiàn)發(fā)送方簽名發(fā)送，接收方簽名送回執(zhí)。 數(shù)字簽名 3 種 應(yīng)用最廣泛的算法： Haah 簽名、 DSS 簽名、 RSA 簽名。 一個簽名體制一般包含兩個組成部分：簽名算法和驗證算法。 3）數(shù)字信封 數(shù)字信封采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容 。 數(shù)字信封中采用了私鑰密碼體制和公鑰密碼體制。 4） PGP PGP（ Pretty Good Privacy）是一個基于 RSA 公鑰加密體系的郵件加密軟件，可以用它對郵件保密以防止授權(quán)者閱讀 ，它還能對郵件加上數(shù)字簽名從而使收信人可以確信郵件發(fā)送者。 計算機網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全主要用于保證網(wǎng)絡(luò)的可用性，以及網(wǎng)絡(luò)中所傳輸?shù)男畔⒌耐暾院蜋C密性。 1）網(wǎng)絡(luò)安全設(shè)計 設(shè)計過程中應(yīng)遵循 9 項原則：木桶原則，整體性原則，安全性評價與平衡原則，標準化與一致性原則，技術(shù)與管理相結(jié)合原則，統(tǒng)籌規(guī)劃分步實施原則，等級性原則，動態(tài)發(fā)展原則，易操作性原則。 2）單點登錄技術(shù) 單點登錄（ Single SignOn， SSO）技術(shù)是通過用戶的一次性認證登錄，即可獲得需要訪問系統(tǒng)和應(yīng)用軟件的授權(quán)，在此條件下，管理員不需要修改 或干涉23 用戶登錄就能方便地實現(xiàn)希望得到的安全控制。 3）無線設(shè)備的安全性 認證性，機密性，惡意代碼和病毒 4）防火墻 防火墻是指建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機制。 防火墻是一種被動技術(shù)。主要有兩大類產(chǎn)品：網(wǎng)絡(luò)級防火墻和應(yīng)用 級 防火墻。 5）入侵檢測 入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的機密性、完整性或可用性的行為的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測系統(tǒng)通常包括數(shù)據(jù)源、分析引擎、響應(yīng) 3個模塊。 入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。 入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測與專家系統(tǒng)。 6）虛 擬專用網(wǎng) 虛擬專用網(wǎng)（ Virtual Private Network， VPN）提供一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。 實現(xiàn) VPN 的關(guān)鍵技術(shù)有：安全隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認證技術(shù)、訪問控制技術(shù)。 7） IPSec IPSec 是一個工業(yè)標準網(wǎng)絡(luò)安全協(xié)議，為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護 TCP/IP 通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時保護易用性。IPSec 有兩個基本目標，分別是保護 IP 數(shù)據(jù)包安全和為抵御網(wǎng)絡(luò)攻擊提供防護措施。 電子商務(wù)安全 電子商務(wù)安 全機制的國際規(guī)范比較有代表性的有 SSL 和 SET。 SSL 是一個傳輸層的安全協(xié)議，用于在 Inter 上傳送機密文件。 SSL 協(xié)議有 SSL 記錄協(xié)議、 SSL 握手協(xié)議和 SSL 警報協(xié)議組成。 SET（ Secure Electronic Transaction，安全電子交易）協(xié)議向基于信用卡進行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。 24 安全管理 安全管理的實施包括安全策略與指導方針、對信息進行分類和風險管理三個方面。 1）安全策略 安全策略的制定需要基于一些安全模型。常用的正式安全模型有 Bell LaPadule、 Biba 和 ClarkWilson 等模型。 安全策略的制定過程分為初始與評估階段、制定階段、核準階段、發(fā)布階段、執(zhí)行階段和維護階段。 2）安全審計 安全設(shè)計是指對主動訪問和使用客體的情況進行記錄和審查，以保證安全規(guī)則被正確執(zhí)行，并幫助分析安全事故產(chǎn)生的原因。 計算機操作安全 計算機操作安全包括與操作員和系統(tǒng)管理員特權(quán)相關(guān)的數(shù)據(jù)中心和分布式處理的安全性，對計算機資源的安全保護，以及對于重要資源的潛在威脅的漏洞等 。 1）安全威脅 評估安全威脅的方法主要有 4 種：查閱、實驗、調(diào)查、測量。 2）物理安全 計算機 系統(tǒng)的物理安全要采用分層的防御體制和多方面的防御體制相結(jié)合。 設(shè)計一個分層防御體制需要遵循的 3 個基本原則是廣度、深度和阻礙度。 物理安全的實施通常包括：確認、標注、安全、跟蹤、技能等幾個方面。 第 6章 法律法規(guī) 本章主要知識點：著作權(quán)法、商標法、專利法、反不正當競爭法，以及項目經(jīng)理資質(zhì)管理辦法和系統(tǒng)集成單位資質(zhì)管理辦法。 25 系統(tǒng)集成單位資質(zhì)管理辦法 計算機信息系統(tǒng)集成是指從事計算機應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的總體策劃、設(shè)計、開發(fā)、實施、服務(wù)及保障。凡從事計算機信息系統(tǒng)集成業(yè)務(wù)的單位，必須經(jīng)過資質(zhì)認證并取得《計算機 信息系統(tǒng)集成資質(zhì)證書》。 1）資質(zhì)等級 分一、