【文章內(nèi)容簡(jiǎn)介】 詳細(xì)說(shuō)明 應(yīng)用層 處理網(wǎng)絡(luò)應(yīng)用 直接為終端用戶(hù)服務(wù)，提供各類(lèi)應(yīng)用過(guò)程的接口和用戶(hù)接口 表示層 數(shù)據(jù)表示 使應(yīng)用層可以根據(jù)其服務(wù)解釋數(shù)據(jù)的含義。通常包括數(shù)據(jù)編碼的約定、本地句法的轉(zhuǎn)換 會(huì)話(huà)層 互聯(lián)主機(jī)通信 負(fù)責(zé)管理遠(yuǎn)程用戶(hù)或進(jìn)程間的通信，通常包括通信控制、檢查點(diǎn)設(shè)置、重建中斷的傳輸鏈路、名字查詢(xún)和安全驗(yàn)證服務(wù) 傳輸層 端到端連接 實(shí)現(xiàn)發(fā)送端和 接收端的端到端的數(shù)據(jù)分組傳送，負(fù)責(zé)保證實(shí)現(xiàn)數(shù)據(jù)包無(wú)差錯(cuò)、按順序、無(wú)丟失和無(wú)冗余地傳輸。其服務(wù)訪(fǎng)問(wèn)點(diǎn)為端口 網(wǎng)絡(luò)層 分組傳輸和路由選擇 通過(guò)網(wǎng)絡(luò)連接交換傳輸層實(shí)體發(fā)出的數(shù)據(jù)，解決路由選擇、網(wǎng)絡(luò)擁塞、異構(gòu)網(wǎng)絡(luò)互聯(lián)的問(wèn)題。服務(wù)訪(fǎng)問(wèn)點(diǎn)為邏輯地址（網(wǎng)絡(luò)地址） 數(shù)據(jù)鏈路層 傳送以幀為單位的信息 建立、維持和釋放網(wǎng)絡(luò)實(shí)體之間的數(shù)據(jù)鏈路，把流量控制和差錯(cuò)控制合并在一起。包含 MAC 和 LLC 兩個(gè)子層。服務(wù)訪(fǎng)問(wèn)點(diǎn)為物理地址 物理層 二進(jìn)制位傳輸 通過(guò)一系列協(xié)議定義了通信設(shè)備的機(jī)械、電氣、功能及規(guī)程特征 3）常用的網(wǎng)絡(luò)協(xié)議 TCP（ Transmission Control Protocol，傳輸控制協(xié)議） /IP，不是一個(gè)簡(jiǎn)單的協(xié)議， 而是 一組小的、專(zhuān)業(yè)化協(xié)議。 TCP/IP 協(xié)議最大的優(yōu)勢(shì)之一是其可路由性，這也就意味著它可以攜帶能被路由器解釋的網(wǎng)絡(luò)編址信息。 TCP/IP 協(xié)議族可被大致分為應(yīng)用層、傳輸層、網(wǎng)際層、網(wǎng)絡(luò)接口層 4 層。 TCP/IP 分層 對(duì)應(yīng) OSI 分層 TCP/IP 協(xié)議族 應(yīng)用層 應(yīng)用層 POP3 FTP HTTP Tel SMTP NFS DHCP TFTP SNMP DNS 表示 層 傳輸層 會(huì)話(huà)層 TCP UDP 傳輸層 網(wǎng)際層 網(wǎng)絡(luò)層 IP ICMP IGMP ARP RARP 18 網(wǎng)絡(luò)接口層 數(shù)據(jù)鏈路層 CSMA/CD TokingRing 物理層 端口，在 TCP/IP 網(wǎng)絡(luò)中，傳輸層的所有服務(wù)都包含端口號(hào)，它們可以唯一區(qū)分每個(gè)數(shù)據(jù)包包含哪些應(yīng)用協(xié)議。端口號(hào)和設(shè)備 IP 地址的組合通常稱(chēng)作插口（ socket） 。 4）網(wǎng)絡(luò)地址與掩碼 IP 地址是一個(gè) 4 字節(jié)（共 32 位）的數(shù)字，被分為 4 段，每段 8 位，段與段之間用句點(diǎn)分隔。 IP 地址可分 為 5 類(lèi)： A 類(lèi)、 B 類(lèi)、 C 類(lèi)、 D 類(lèi)、 E 類(lèi)。常用的僅為 A 類(lèi)、 B 類(lèi)、 C 類(lèi)。 A 類(lèi)地址：最前面 1 位為 0，后面 7 位來(lái)標(biāo)識(shí)網(wǎng)絡(luò)號(hào)， 24 位標(biāo)識(shí)主機(jī)號(hào)。 B 類(lèi)地址：最前面 2 位為 10，后面 14 位來(lái)標(biāo)識(shí)網(wǎng)絡(luò)號(hào)， 16 位標(biāo)識(shí)主機(jī)號(hào)。 C 類(lèi)地址：最前面 3 位為 110，后面 21 位來(lái)標(biāo)識(shí)網(wǎng)絡(luò)號(hào)， 8 位標(biāo)識(shí)主機(jī)號(hào)。 子網(wǎng)掩碼，子網(wǎng)是指一個(gè)組織中相連的網(wǎng)絡(luò)設(shè)備的邏輯分組。 IPv6， 128 位長(zhǎng)度的 IP 地址。 5）虛擬局域網(wǎng) 虛擬局域網(wǎng) （ Virtual Local Area Network， VLAN）是由一些主機(jī)、交換機(jī)或路由器等組成的一個(gè)虛擬的局 域網(wǎng)。 VLAN 的劃分有多種方法：按交換機(jī)端口號(hào)劃分、按 MAC 地址劃分、按第三層協(xié)議劃分、 IP 組播 VLAN、基于策略的 VLAN、按用戶(hù)定義、非用戶(hù)授權(quán)劃分。 通信設(shè)備 多路復(fù)用技術(shù)可以分為頻分多路復(fù)用（ Frequency Division Multiplexing，F(xiàn)DM）和時(shí)分多路復(fù)用（ Time Division Multiplexing， TDM）兩種。 1）傳輸介質(zhì) 雙絞線(xiàn)、 同軸電纜、光纖 2）網(wǎng)絡(luò)設(shè)備 網(wǎng)卡、集線(xiàn)器、重發(fā)器（中繼器）、網(wǎng)橋、交換機(jī)、路由器、網(wǎng)管、調(diào)制解調(diào)器。 19 網(wǎng)絡(luò)接入設(shè)備 異步傳輸 模式（ ATM）、幀中繼、綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)（ ISDN）、同步光網(wǎng)絡(luò)（ SONET、 SDH）、 Inter 接入與接口層協(xié)議、 FTTx和 LAN 接入、電話(huà)線(xiàn)接入、同軸和光纖接入、無(wú)線(xiàn)接入。 無(wú)線(xiàn)局域網(wǎng) 微波擴(kuò)展頻譜通信（ Spread Spectrum Communication， SSC）。 標(biāo)準(zhǔn) 網(wǎng)絡(luò)應(yīng)用 萬(wàn)維網(wǎng)、電子郵件、 DNS、 IIS、 FTP 等 網(wǎng)絡(luò)管理 代理服務(wù)器 網(wǎng)絡(luò)管理工具 故障檢測(cè) 布線(xiàn)工程 綜合布線(xiàn)工程包括綜合布線(xiàn)設(shè)備安裝、布放線(xiàn)纜和纜線(xiàn)端接等 3 個(gè)環(huán)節(jié)。 綜合布線(xiàn)系統(tǒng)可分為 6 個(gè)獨(dú)立 的系統(tǒng)：工作區(qū)子系統(tǒng)、水平區(qū)子系統(tǒng)、管理間子系統(tǒng)、垂直干線(xiàn)子系統(tǒng)、設(shè)備間子系統(tǒng)、建筑群子系統(tǒng)。 網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì) 20 網(wǎng)絡(luò)規(guī)劃工作： ? 網(wǎng)絡(luò)的功能要求 ? 網(wǎng)絡(luò)的性能要求 ? 網(wǎng)絡(luò)運(yùn)行環(huán)境的要求 ? 網(wǎng)絡(luò)的可擴(kuò)充性和可維護(hù)性要求 網(wǎng)絡(luò)設(shè)計(jì)主要采用層次式方法。層次式設(shè)計(jì)在互聯(lián)網(wǎng)組件的通信中引入了 3個(gè)關(guān)鍵層的概念，分別是核心層、匯聚層、接入層。 第 5章 信息安全知識(shí) 本章知識(shí)點(diǎn)：信息系統(tǒng)安全和安全體系、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估、安全策略、密碼技術(shù)、訪(fǎng)問(wèn)控制、用戶(hù)標(biāo)識(shí)與認(rèn)證、安全審計(jì)、與入侵檢測(cè)、網(wǎng)絡(luò)安全、應(yīng)用安全。 信息系統(tǒng)安全體系 1）安全系統(tǒng)體系架構(gòu) ISO74982 從體系結(jié)構(gòu)的觀(guān)點(diǎn)描述了 5 種可選的安全服務(wù)（認(rèn)證服務(wù)、訪(fǎng)問(wèn)控制、數(shù)據(jù)機(jī)密性服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認(rèn)服務(wù)）、 8 項(xiàng)特定的安全機(jī)制（加密機(jī)制、數(shù)字簽名機(jī)制、訪(fǎng)問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證交換機(jī)制、流量填充機(jī)制、路由控制機(jī)制、公證機(jī)制）以及 5 中普遍性的安全機(jī)制（可信功能度、安全標(biāo)記、事件檢測(cè)、安全審計(jì)跟蹤、安全恢復(fù)）。 2）安全保護(hù)等級(jí) 國(guó)家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（ GB178591999）規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力 5 個(gè)等級(jí)： ? 用戶(hù)自主保護(hù)級(jí)，適 用于普通內(nèi)聯(lián)網(wǎng)用戶(hù) ? 系統(tǒng)審計(jì)保護(hù)級(jí)，適用于通過(guò)內(nèi)聯(lián)網(wǎng)進(jìn)行的商務(wù)活動(dòng)，需要保密的非重要單位 ? 安全標(biāo)記保護(hù)級(jí)，適用于地方各級(jí)國(guó)家機(jī)關(guān)、金融機(jī)構(gòu)、郵電通信、能源與水源供給部門(mén)、交通運(yùn)輸、大型工商與信息技術(shù)企業(yè)、重點(diǎn)工程建21 設(shè)等單位 ? 結(jié)構(gòu)化保護(hù)級(jí)， 適用于中央級(jí)國(guó)家機(jī)關(guān)、廣播電視部門(mén)、重要物資儲(chǔ)備單位、社會(huì)應(yīng)急服務(wù)部門(mén)、尖端科技企業(yè)集團(tuán)、國(guó)家重點(diǎn)科研機(jī)構(gòu)和國(guó)防建設(shè)部門(mén)。 ? 訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)，適用于國(guó)防關(guān)鍵部門(mén)和依法需要對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施特殊隔離的單位。 3）信息安全保障系統(tǒng) 信息安全保障系統(tǒng) 3 種不同架構(gòu)： ? MIS+S（ Management Information System + Security）系統(tǒng)，特點(diǎn)是應(yīng)用基本不變；硬件和系統(tǒng)軟件通用；安全設(shè)備基本不帶密碼 ? SMIS（ Security Management Information System）系統(tǒng)，特點(diǎn)是硬件和系統(tǒng)軟件通用； PKI/CA 安全保障系統(tǒng)必須帶密碼；應(yīng)用系統(tǒng)必須根本改變 ? S2MIS（ Super Security Management Information System）特點(diǎn)是硬件和系統(tǒng)軟件都專(zhuān)用； PKI/CA 安全保障系統(tǒng)必須帶密碼；應(yīng)用系統(tǒng) 必須根本改變；主要的硬件和系統(tǒng)軟件需要 PKI/CA 認(rèn)證 4）可信計(jì)算機(jī)系統(tǒng) TCSEC（ Trusted Computer System Evaluation Criteria，可信計(jì)算機(jī)系統(tǒng)準(zhǔn)則）標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，它將計(jì)算機(jī)系統(tǒng)的安全分為 4 個(gè)等級(jí)、 7 個(gè)級(jí)別： 低 高 D 類(lèi)安全等級(jí) C 類(lèi)安全等級(jí) B 類(lèi)安全等級(jí) A 類(lèi)安全等級(jí) D1 C1 C2 B1 B2 B3 A1 數(shù)據(jù)安全與保密 當(dāng)今密碼體制建立在 3 個(gè)基本假設(shè)之上 ， 分別是隨機(jī)性假設(shè)、計(jì)算假設(shè)和物理假設(shè)。 1）加密機(jī)制 數(shù)據(jù)加密是對(duì)明文按照某種加密算法進(jìn)行處理，而形成難以理解的密文。按22 照加密密鑰和解密密鑰的異同，有對(duì)稱(chēng)密碼體制（加密和解密采用相同的密鑰）和非對(duì)稱(chēng)密碼體制兩種。 2） PKI與數(shù)字簽名 PKI是 CA 安全認(rèn)證體系的基礎(chǔ)，可以實(shí)現(xiàn) CA 和證書(shū)的管理：密鑰的備份與恢復(fù)；證書(shū)、密鑰對(duì)的自動(dòng)更換；交叉認(rèn)證、加密密鑰和簽名密鑰的分隔；支持對(duì)數(shù)字簽名的不可抵賴(lài)性；密鑰歷史的管理等功能。 采用數(shù)字簽名能夠確認(rèn)兩點(diǎn)： 一是信息是由簽名者發(fā)送的；二是信息自簽發(fā)到接收為止，沒(méi)有任何修改。 完善的簽名機(jī)制應(yīng)體現(xiàn)發(fā)送方簽名發(fā)送，接收方簽名送回執(zhí)。 數(shù)字簽名 3 種 應(yīng)用最廣泛的算法： Haah 簽名、 DSS 簽名、 RSA 簽名。 一個(gè)簽名體制一般包含兩個(gè)組成部分：簽名算法和驗(yàn)證算法。 3）數(shù)字信封 數(shù)字信封采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容 。 數(shù)字信封中采用了私鑰密碼體制和公鑰密碼體制。 4） PGP PGP（ Pretty Good Privacy）是一個(gè)基于 RSA 公鑰加密體系的郵件加密軟件，可以用它對(duì)郵件保密以防止授權(quán)者閱讀 ，它還能對(duì)郵件加上數(shù)字簽名從而使收信人可以確信郵件發(fā)送者。 計(jì)算機(jī)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全主要用于保證網(wǎng)絡(luò)的可用性，以及網(wǎng)絡(luò)中所傳輸?shù)男畔⒌耐暾院蜋C(jī)密性。 1）網(wǎng)絡(luò)安全設(shè)計(jì) 設(shè)計(jì)過(guò)程中應(yīng)遵循 9 項(xiàng)原則：木桶原則，整體性原則，安全性評(píng)價(jià)與平衡原則，標(biāo)準(zhǔn)化與一致性原則，技術(shù)與管理相結(jié)合原則，統(tǒng)籌規(guī)劃分步實(shí)施原則，等級(jí)性原則，動(dòng)態(tài)發(fā)展原則，易操作性原則。 2）單點(diǎn)登錄技術(shù) 單點(diǎn)登錄（ Single SignOn， SSO）技術(shù)是通過(guò)用戶(hù)的一次性認(rèn)證登錄，即可獲得需要訪(fǎng)問(wèn)系統(tǒng)和應(yīng)用軟件的授權(quán)，在此條件下，管理員不需要修改 或干涉23 用戶(hù)登錄就能方便地實(shí)現(xiàn)希望得到的安全控制。 3）無(wú)線(xiàn)設(shè)備的安全性 認(rèn)證性，機(jī)密性，惡意代碼和病毒 4）防火墻 防火墻是指建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)濾封鎖機(jī)制。 防火墻是一種被動(dòng)技術(shù)。主要有兩大類(lèi)產(chǎn)品：網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用 級(jí) 防火墻。 5）入侵檢測(cè) 入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的機(jī)密性、完整性或可用性的行為的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)系統(tǒng)通常包括數(shù)據(jù)源、分析引擎、響應(yīng) 3個(gè)模塊。 入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。 入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專(zhuān)家系統(tǒng)。 6）虛 擬專(zhuān)用網(wǎng) 虛擬專(zhuān)用網(wǎng)（ Virtual Private Network， VPN）提供一種通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專(zhuān)用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)的連接方式。 實(shí)現(xiàn) VPN 的關(guān)鍵技術(shù)有：安全隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)、訪(fǎng)問(wèn)控制技術(shù)。 7） IPSec IPSec 是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù) TCP/IP 通信免遭竊聽(tīng)和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保護(hù)易用性。IPSec 有兩個(gè)基本目標(biāo)，分別是保護(hù) IP 數(shù)據(jù)包安全和為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施。 電子商務(wù)安全 電子商務(wù)安 全機(jī)制的國(guó)際規(guī)范比較有代表性的有 SSL 和 SET。 SSL 是一個(gè)傳輸層的安全協(xié)議，用于在 Inter 上傳送機(jī)密文件。 SSL 協(xié)議有 SSL 記錄協(xié)議、 SSL 握手協(xié)議和 SSL 警報(bào)協(xié)議組成。 SET（ Secure Electronic Transaction，安全電子交易）協(xié)議向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。 24 安全管理 安全管理的實(shí)施包括安全策略與指導(dǎo)方針、對(duì)信息進(jìn)行分類(lèi)和風(fēng)險(xiǎn)管理三個(gè)方面。 1）安全策略 安全策略的制定需要基于一些安全模型。常用的正式安全模型有 Bell LaPadule、 Biba 和 ClarkWilson 等模型。 安全策略的制定過(guò)程分為初始與評(píng)估階段、制定階段、核準(zhǔn)階段、發(fā)布階段、執(zhí)行階段和維護(hù)階段。 2）安全審計(jì) 安全設(shè)計(jì)是指對(duì)主動(dòng)訪(fǎng)問(wèn)和使用客體的情況進(jìn)行記錄和審查，以保證安全規(guī)則被正確執(zhí)行，并幫助分析安全事故產(chǎn)生的原因。 計(jì)算機(jī)操作安全 計(jì)算機(jī)操作安全包括與操作員和系統(tǒng)管理員特權(quán)相關(guān)的數(shù)據(jù)中心和分布式處理的安全性，對(duì)計(jì)算機(jī)資源的安全保護(hù)，以及對(duì)于重要資源的潛在威脅的漏洞等 。 1）安全威脅 評(píng)估安全威脅的方法主要有 4 種：查閱、實(shí)驗(yàn)、調(diào)查、測(cè)量。 2）物理安全 計(jì)算機(jī) 系統(tǒng)的物理安全要采用分層的防御體制和多方面的防御體制相結(jié)合。 設(shè)計(jì)一個(gè)分層防御體制需要遵循的 3 個(gè)基本原則是廣度、深度和阻礙度。 物理安全的實(shí)施通常包括：確認(rèn)、標(biāo)注、安全、跟蹤、技能等幾個(gè)方面。 第 6章 法律法規(guī) 本章主要知識(shí)點(diǎn)：著作權(quán)法、商標(biāo)法、專(zhuān)利法、反不正當(dāng)競(jìng)爭(zhēng)法，以及項(xiàng)目經(jīng)理資質(zhì)管理辦法和系統(tǒng)集成單位資質(zhì)管理辦法。 25 系統(tǒng)集成單位資質(zhì)管理辦法 計(jì)算機(jī)信息系統(tǒng)集成是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的總體策劃、設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、服務(wù)及保障。凡從事計(jì)算機(jī)信息系統(tǒng)集成業(yè)務(wù)的單位，必須經(jīng)過(guò)資質(zhì)認(rèn)證并取得《計(jì)算機(jī) 信息系統(tǒng)集成資質(zhì)證書(shū)》。 1）資質(zhì)等級(jí) 分一、