三级信息安全技术 知识点总结

50单选（可能会有2分）+20填空+综合约20空（可能会有2分）
知识点肯定不全，只刷了三套卷整理出来的，不过实际考试时感觉这些大约覆盖了考题内容的60-70%，还有不少认真读题就能选对的送分题，应该差不多够了。

单选题

• 安全基础与杂项

  • 信息安全的五个基本属性：可用性、可靠性、完整性、保密性、不可抵赖性。
  • OWASP的十大安全威胁排名：
    • 第一位:注入式风险
    • 第二位:跨站点脚本(简称XSS)
    • 第三位:无效的认证及会话管理功能
    • 第四位:对不安全对象的直接引用
    • 第五位:伪造的跨站点请求(简称CSRF)
    • 第六位:安全配置错误
    • 第七位:加密存储方面的不安全因素
    • 第八位:不限制访问者的URL
    • 第九位:传输层面的保护力度不足
    • 第十位:未经验证的重新指向及转发。
  • **P2DR模型（动态网络安全体系的代表模型）**包括四个主要部分：
    • Policy(策路)、Protection(防护)、Detection(检测)和Response(响应)。
    • 核心是策略。
  • 通过视图看到的数据存放在基表中，而不是存放在视图中，视图不存储数据
  • 私有IP地址范围：
    • A：10.0.0.0~10.255.255.255即10.0.0.0/8
    • B：172.16.0.0~172.31.255.255即172.16.0.0/12
    • C：192.168.0.0~192.168.255.255即192.168.0.0/16
  • SDL：安全开发周期，微软提出的管理模式，目的是减少其软件中的漏洞的数量和降低其严重级别。
  • 内存地址：
    • 堆（heap）：低地址向高地址增长，生长方向向上，向着内存增加的方向
    • 栈（stack）：高地址向低地址增长
  • 系统开发：
    • 分为五个阶段：规划、分析、设计、实现和运行。
    • 系统开发每个阶段都会有相应的期限。
    • 系统生命周期就是系统从产生构思到不再使用的整个生命历程。任何系统都会经历一个发生、发展和消亡的过程。
  • 一旦实现了控制策略，就应该对控制效果进行监控和衡量，从而来确定安全控制的有效性，并估计残留风险的准确性。整个安全控制是一个循环过程，不会终止，只要机构继续运转，这个过程就会继续。
  • 国家秘密与密级：
    • 涉密信息系统按照所处理信息的最高密级，由低到高分为：秘密、机密、绝密。
    • 机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定：密级、保密期限、知悉范围。
    • 国家秘密的保密期限：
      • 应限定在必要的期限内（绝密级不超过30年，除另有规定；机密 **20年；**秘密 10年）
      • 不能确定期限的，应当确定解密的条件
  • 有关信息安全犯罪的规定包括：
    • 违反国家规定，侵入国家事务、国防建设、尖端科学领域的计算机信息系统的，处３年以下有期徒刑或拘役。
    • 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机系统系统不能正常运行，后果严重，处以5年以下有期徒刑或拘役。
  • 基本安全要求中基本技术要求从五个方面提出：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复
  • **TCSEC（计算机系统安全评估第一个正式标准）**将计算机系统的安全划分为：4个等级、7个级别。由低到高分别为：
    • D类安全等级：D1一个级别。最低安全等级。
    • C类安全等级：C1、C2，能够提供审慎的保护，并为用户的行动和责任提供审计能力。
    • B类安全等级：B1、B2、B3。具有强制性保护功能。
    • A类安全等级：A1。最高
  • IATF（信息保障技术框架）：核心思想——纵深防御。
    • IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域：本地计算环境、区域边界、网络及基础设施、支撑性基础设施。
    • 在纵深防御战略中，三个主要核心因素：人员、技术、操作
  • 微软定义的漏洞危险等级：
    • 第一级 严重；第二级 重要；第三级 警告；第四级 注意。
  • 信息资产管理中，标准信息系统的
    • 因特网组件：服务器、网络设备、保护设备。
    • 组成部分：软件、硬件、数据和信息。
  • 信息资产评估：不同权重，提问回答时应记录答案，开始清单处理过程前应确定一些评估的最佳标准。
  • 体系审核应：
    • 识别潜在不符合项及其原因
    • 确定并实施所需的预防措施
    • 记录所采取措施的结果
    • 评审所采取的预防措施
    • 识别已变化的风险，并确保对发生重大变化的风险予以关注
    • 对不符合项的纠正措施重新审查修订
  • 信息安全的目标：将残留风险保护在机构可以随时控制的范围内
  • 信息系统的安全保护等级分为五级：（由低到高）
    • 第一级：信息系统受到玻坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益【最小】
    • 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全
    • 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害
    • 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害
    • 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
  • 电子签名法：中国首部真正意义上的信息化法律。
  • 电子认证服务：
    • 从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合法律的相关材料。主管部门应当自接到申请起45日内作出许可或者不予许可的决定。
    • 电子认证服务提供者拟暂停或者终止电子认证服务的，应：
      • 当在暂停或者终止服务60日前向国务院信息产业主管部门报告。
      • 提前90日就业务承接及相关事项通知有关各方。
    • 电子签名认证信息保存期限至少为：证书失效后五年。
    • 被吊销电子认证许可证书后：不得从事电子认证服务的时间期限为10年。
  • 数据库事务处理的4个特性：原子性、一致性、隔离性和持久性。
  • ISMS
    • 建立的基础：安全风险评估
    • 风险管理手册内容包括：①信息安全方针的阐述;②控制目标与控制方式描述;③程序或其引用。

• 系统

  • 进程与CPU的通信是通过共享存储器系统、消息传递系统、管道通信来完成的。而不是通过系统调用来完成的。
  • 守护进程：是脱离于终端并且在后台运行的进程。在linux或者unix操作系统中在系统的引导的时候会开启很多服务，这些服务就叫做守护进程。守护进程脱离于终端是，为了避免进程在执行过程中的信息在任何终端上显示，并且进程也不会被任何终端所产生的终端信息所打断。守护进程常常在系统引导装入时启动，在系统关闭时终止。Linux系统有很多守护进程，大多数服务都是通过守护进程实现的，同时，守护进程还能完成许多系统任务，例如，作业规划进程crond、打印进程lqd等。
  • **Windows有3个环境子系统：**Win32、POSIK、OS/2
    • Win32子系统比较特殊，如果没有它，整个Windows系统就不能运行，其他两个子系统只是在需要时才被启动，而Wind32子系统必须始终处于运行状态。
    • POSIK子系统，可以在Windows下编译运行使用了POSIX库的程序，有了这个子系统，就可以向Windows移植一些重要的UNIX、Linux应用。
    • OS/2子系统的意义跟POSX子系统类似。
  • 事务：是由几个任务组成的，因此如果一个事务作为一个整体是成功的，则事务中的每个任务都必须成功。如果事务中有一部分失败，则整个事务失败。一个事务的任何更新要在系统上完全完成，如果由于某种原因出错，事务不能完成它的全部任务，系统将返回到事务开始前的状态。
    • COMMT语句用于告诉DBMS，事务处理中的语句被成功执行完成了。被成功执行完成后，数据库内容将是完整的。
    • 而ROLLBACK语句则是用于告诉DBMS，事务处理中的语句不能被成功执行。
    • 不能回退SELECT语句，因此该语句在事务中必然成功执行。
  • 文件系统：文件系统在操作系统存在的时候就已经存在了，操作系统程序自身也是保存在文件系统中，因此在安装系统之前总是会先将存储盘格式化成某种文件系统格式。
    • 文件是存储在外存上，具有标识名的一组相关字符流或记录的集合
    • 文件系统是操作系统负责存取和管理文件的一组软件及所需数据结构，是用户与外存之间的接口
    • 文件系统是一种数据链表，用来描述磁盘上的信息结构，并支持磁盘文件的取出和写回
  • Windows系统中，用来保存用户账号和口令的数据库为：**SAM——**安全账号管理器(Security Account Manager）
  • Windows的口令策略中，默认口令最长存留期为：42天。

• 命令

  • Unix命令：
    • umask命令：设置用户创建文件的默认权限。
    • users命令：用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。
    • chmod：文件/目录权限设置命令
    • chown：改变文件的拥有者
    • chgrp：变更文件与目录的所属群组，设置方式采用群组名称或群组识别码皆可
    • who：显示系统登陆者。
    • lastlog：查看最后一次登录文件的命令。
    • “chmod 666 myfiles”：表示将文件myfiles的权限设为rw-rw-rw-。
  • linux系统启动后运行的进程：init进程（第一个、初始化）
    • boot：是在Linux启动之前运行的进程
    • sysini进程和login进程：是后续部分的进程
  • windos命令：
    • net start：启动服务，或显示已启动服务的列表
    • NET STOP作用：停止Windows NT网络服务。
  • SQL命令：
    • DROP：删除表
    • DELETE：删除记录
    • CREATE view：建立视图的
    • UPDATE：更新记录
    • CHECK：CHECK约束通过限制用户输人的值来加强域完整性。检查输入的内容。

• 安全软件、硬件

  • **NIDS（网络入侵检测系统）：**主要用于检测Hacker或Cracker通过网络进行的入侵行为。
    • 主要功能：
      • 数据的收集，如数据包嗅探；
      • 事件的响应，如利用特征匹配或异常识别技术检测攻击，并产生响应；
      • 事件的分析，事件数据存储。所以其探测器要连接在交换机上。
    • 包括两部分：探测器、控制台。
  • BitBlaze（二进制分析与安全监测）平台由三个部分组成：【动静态结合】
    • Vine：静态分析组件
    • TEMU：动态分析组件
    • Rudder：结合动态和静态分析进行具体和符号化分析的组件
  • Nessus（系统漏洞扫描与分析软件）。
  • Metasploit（软件漏洞网络攻击框架）：是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。
  • NMap：也就是Network Mapper，是Linux下的网络扫描和嗅探工具包。
  • 逆向分析辅助工具：OllyDbg、SoftlCE、 WinDBG，IDA pro等

• 安全攻击、漏洞危险等

  • 漏洞定义三要素：
    1. 漏洞是计算机系统本身存在的缺陷
    2. 漏洞的存在和利用都有一定的环境要求
    3. 漏洞存在的本身是没有危害的，只有被攻击者恶意利用，才能给计算机系统带来威胁和损失。
  • 溢出：
    • 缓冲区溢出：指当计算机向缓冲区内填充数据位数时，超过了缓冲区本身的容量，使得溢出的数据覆盖在合法数据上。操作系统所使用的缓冲区又被称为"堆栈’。在各个操作进程之间，指令会被临时储存在"堆栈"当中，"堆栈"也会出现缓冲区溢出，单字节溢出是指程序中的缓冲区仅能溢出一个字节。
    • 整数溢出分为三种：存储溢出、运算溢出、符号问题。整数溢出不属于缓冲区溢出。
  • DoS攻击：TCP、ICMP、UDP均会被攻击，IPSec不会。
    • ACK Flood攻击：是在TCP连接建立之后。则主机操作系统协议栈会回应RST包告诉对方此端口不存在。这里，服务器要做两个动作：查表、回应ACK/RST。
    • Port Connection Flood：利用TCP全连接发起的DDoS攻击。
  • 木马：
    • 属性特点：伪装性、隐藏性、窃密性。（与病毒不同，不会繁殖，不主动感染）
    • 反弹端口型木马：是一个专业级远程文件访问工具，它的服务端（被控制端）会主动连接客户端（控制端）（原理：防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。）
      • 当客户端想与服务端建立连接时，它首先登录到FTP服务器，写主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作，因此，客户端必须有公网IP，且木马的服务端程序可穿透所在内网的包过滤防火墙。
  • 网站挂马的主要技术手段**：框架挂马、js脚本挂马、body挂马、伪装欺骗挂马**
  • ARP欺骗：1、对路由器ARP表的欺骗（截获网关数据）；2、对内网PC的网关欺骗（伪造网关）。
  • 诱骗攻击：网站挂马、网站钓鱼和社会工程等。
  • 恶意程序传播方法：
    • 诱骗下载：利用社会工程的恶意程序传播方法
    • 网站挂马：网站植入木马的恶意程序传播方法
    • 通过移动存储介质传播
  • 加壳欺骗：用以躲过杀毒软件的查杀，使得可以寄宿在宿主计算机上而不被发现
  • UAF（Use After Free）漏洞：引用已经释放的内存，如内存地址对象破坏性调用的漏洞。
  • 软件漏洞利用防范技术：safeSEH、SEHOP、ASLR
  • 漏洞利用技术：NOP

• 安全应对、应急与管理

  • 误用检测技术（特征检测）是基于模式匹配的网络入侵检测技术，用以发现未知的网络攻击行为。主要有五种方法：
    1. 基于专家系统的误用入侵检测
    2. 基于模型推理的误用入侵检测
    3. 基于状态转换分析的误用入侵检测
    4. 基于条件概率的误用入侵检测
    5. 基于键盘监控的误用入侵检测
  • 动态检测技术（对软件可执行代码的检测**）：通过调试器运行被检测的某项功能，检查运行结果与预期结果的差距，来确定被测软件此功能是否存在安全缺陷**。例如：
    • 动态污点分析
    • 模糊测试
    • 智能模糊测试
  • 静态检测技术（对软件源代码的检测**）**：
    • 模型检验
    • 词法分析
    • 数据流分析
    • 污点传播
    • 符号执行
    • 定理证明
  • 代码混淆技术：包括词法转换、控制流转换、数据转换。在保持原有代码功能的基础上，通过代码变换等混淆手段实现降低代码的人工可读性、隐藏代码原始逻辑的技术。
  • 进行恶意程序的安全防护：
    • 做好计算机自身的安全防护
    • 防止网站浏览和访问造成的恶意程序入侵
    • 防止因下载造成的恶意程序人侵
    • 防止通信类软件造成的恶意程序人侵
    • 防止因移动存储介质造成的恶意程序人侵
    • 防止基于局域网的恶意程序人侵。
  • Web服务器端的安全防护技术：
    • 部署专用的Web防火墙保护Web服务器的安全
    • Web服务器要进行安全的配置
    • Web服务器上的Web应用程序要进行安全控制
  • 系统安全维护活动：改正性、适应性、完善性、预防性

  ---

  • 应急计划三元素：事件响应（IR）、灾难恢复（DR）、业务持续性计划（BC）。
  • **基本风险评估：**预防风险，不属于应急。
  • 应急计划过程开发：
    • 第一阶段：业务影响分析
  • **信息安全应急响应：**核心是为了保障业务，在具体实施应急响应的过程中，需要通过不断的总结和回顾来完善应急响应管理体系。
    • 编写安全指南：针对可能发生的安全事件安全问题，对判断过程进行详细描述。同时，安全指南也是管理层支持组织T的一个证明。
    • **明确职责规范：**明确T用户、IT管理员、IT审计员、IT应用人员、IT安全员、IT安全管理层和管理层的职责，在发生安全事件时可以很快定位相应人员。
    • **信息披露：**明确处理安全事件的过程规则和报告渠道。
    • 制定安全事件的报告提交策略︰安全事件越重大，需要的授权也越大。
    • **设置优先级：**制定优先级表，根据安全事件导致的后果顺序采用相应的应急措施。判断采用调查和评估安全事件的方法:通过判断潜在和持续的损失程度、原因等采用不同的方法。
    • **通知受影响各方：**对所有受影响的组织内部各部门和外部机构都进行通报，并建立沟通渠道。
    • **安全事件的评估：**对安全事件做评估，包括损失、响应时间、提交策略的有效性、调查的有效性等，并对评估结果进行归档。

  ---

  • **信息安全管理体系：**可以协调各个方面信息管理，从而使管理更为有效。但不是所以的组织都必须进行认证。基于自愿原则。
    • 信息安全管理审核准备：
      • (1)编制审核计划
      • (2)收集并审核有关文件
      • (3)准备审核工作文件——编写检查表
      • (4)通知受审核部门并约定审核时间
  • 信息安全评估原则包括：⑴自主。(2)适应度量。(3)已定义过程。(4)连续过程的基础。

• 访问控制、防火墙

  • 访问控制模型（前四个是强制访问控制模型）：
    • BLP模型（Bel-Lapudula）基于强制访问控制系统，以敏感度来划分资源的安全级别。
    • Biba访问控制模型（完整性模型，+上读下写）对数据提供了分级别的完整性保证，类似于BLP保密模型，也使用强制访问控制系统。
    • Clark-Wison模型：它的完整性保证在早期是通过遵循一些静态的授权约束来实现的。
    • ChineseWall(中国墙)安全策略的基础是：客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域，必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问，同时包括了强制访问控制和自主访问控制的属性，属混合策略模型。
    • RBAC模型是20世纪90年代研究出来的一种新模型。这种模型的基本概念是把许可权与角色联系在一起，用户通过充当合适角色的成员而获得该角色的许可权。
  • 强制访问控制支持安全标签。
  • 分布式访问控制：SSO（单点登录）、Kerberos、SESAME协议
  • 集中式访问控制（AAA管理协议）：RADIUS拨号用户远程认证服务、TACACS终端访问控制器访问控制系统、Diameter等
  • 状态检测防火墙在处理无连接状态的UDP、ICMP等协议时，无法提供动态的链接状态检查，而且当处理FTP存在建立两个TCP连接的协议时，针对FTP协议的被动模式，要在连接状态表中允许相关联的两个连接。
    而在FTP的标准模式下，FTP客户端在内网，服务器端在外网，由于FTP的数据连接是从外网服务器到内网客户端的一个变化的端口，因此状态防火墙需要打开整个端口范围才能允许第二个连接通过，在连接量非常大的网络，这样会造成网络的迟滞现象。
    状态防火墙可以通过检查TCP的标识位获得断开连接的信息，从而动态的将改连接从状态表中删除。
  • 访问主体也可以是另一个客体
  • 访问控制可分为三类：行政性访问控制、逻辑/技术性访问控制、物理性访问控制。
  • 在访问控制中，给予用户一定权限的过程：授权。

• 协议

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3fOZ2QTd-1679840034615)(https://s3-us-west-2.amazonaws/secure.notion-static/43b95d40-29bd-41a3-b9df-10c9d3dd6305/Untitled.png)]

  • RADIUS（远程用户拨号认证系统，AAA协议）——>改进：Diameter

  • Kerberos（一种网络认证协议）：设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，即无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。基于对称加密机制。

    • Kerberos服务器提供两项服务：AS（身份鉴别）、TGS（票据许可）

  • IKE协议（Internet密钥交换）：属于一种混合型协议，由Internet安全关联和密钥管理协议（SAKMP）和两种密钥交换协议OAKLEY与SKEME组成。

  • LDAP：轻型目录访问协议

  • IPSec：支持IPv4、IPv6

    • 是随着IPv6的指定而产生的，后续增加对IPv4的支持，属于第三层隧道协议，提供的安全功能不包括故障诊断。
    • 两个网络安全核心协议：
      • AH协议（验证头部协议）：用以保证数据包的完整性和真实性，防止黑客截断数据包或向网络中插入伪造数据包的协议。
      • ESP协议（封装安全载荷）：主要设计在IPv4和IPv6中提供安全服务的混合应用。采用的是对称密钥加密算法，能够提供无连接的数据完整性验证、数据来源验证和抗重放攻击服务。根据用户安全要求，这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP)，也可以用于加密一整个的IРP数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性，但是，ESP协议无法封装链路层协议。
    • 一个密钥协商协议：
      • IKE协议（互联网密钥交换协议）

  • IPv4中TCP/IP协议栈——几乎没考虑安全问题：

    • 不提供认证服务
    • 明文传输 不提供保密服务 不提供数据保密服务
    • 不提供数据完整性保护
    • 不提供抵赖服务
    • 不保证可用性–服务质量（QoS)

    但提供了端到端可靠传输机制。

  • 电子邮件协议（SMTP——POP3——IMAP4）：

    • SMTP（简单邮件传输协议）︰它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。
    • POP3（邮局协议的第3个版本）：规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。
    • **S/MIME（多用途网际邮件扩充协议）：**在安全方面的功能进行了扩展，它可以把MIME实体(比如数字签名和加密信息等)封装成安全对象。

  • SET（安全电子交易协议）

  • RADIS协议（通信协议）：二进制安全。简单、高效、易读。基于UDP，是C/S协议，运行在应用层，有重传机制。但没有很好地解决丢包问题。

  • HTTPS：HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

  • SSL协议：**应用层协议，**可分为两层

    • SSL记录协议：它建立在可靠的传输协议之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。
    • SSL握手协议：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

  • ICMP协议：扫描时，可以扫描的目标主机信息是IP地址

• 哈希、密码、签名、认证

  【密码】	类型/说明	分组长度	密钥长度
  DES	对称：分组密码
  （Feistel网络）
  （不安全，密钥太短）	64	56
  AES	对称：分组密码
  （Rijndeal）	128
  （每轮密钥长度：128）	128/192/256
  SM4	对称：分组密码	128	128
  ZUC	对称：流密码		初始密钥：128
  初始向量：128
  密钥字序列：32
  RSA	非对称：数字签名
  （基于大合数因式分解困难）
  ElGamal	非对称：数字签名
  （基于离散对数求解困难）
  ECC	非对称：
  （基于椭圆曲线离散对数求解困难）
  DH（Diffie-Hellman）	非对称：密钥交换协议
  第一个在非保护信道中创建共享密钥
  【哈希函数】	输出杂凑值	分组长度	基本步长
  MD4/MD5	128	512	32
  SHA	160	512	32
  SM3	256	512

  • 对称加密系统：通常非常快速，却易受攻击，因为用于加密的密钥必须与需要对消息进行解密的所有人一起共享，同一个密钥既用于加密也用于解密所涉及的文本。对称加密最大的缺点在于其密钥管理困难。
    • 包括：分组密码（DES、IDEA、SAFER、Blowfish 和 Skipjack）、序列密码（RC4）
  • 非对称加密：算法复杂，实际应用中不适合数据加密。
  • SM1、SM4、SM7、祖冲之密码(ZUC)是对称算法；SM2、SM9是非对称算法；SM3是哈希算法。
  • CCB(密码块链接)：每个平文块先与前一个密文块进行异或后，再进行加密，没有分组工作模式。
  • 分组密码：
    • ECB（电码本）：是分组密码的一种最基本的工作模式。在该模式下，待处理信息被分为大小合适的分组，然后分别对每一分组独立进行加密或解密处理。
    • CBC（密码分组链）：IV不需要保密。
    • CFB（密文反馈）：其需要初始化向量和密钥两个内容，首先先对密钥对初始向量进行加密，得到结果(分组加密后)与明文进行移位异或运算后得到密文，然后前一次的密文充当初始向量再对后续明文进行加密。
    • OFB（输出反馈）：需要初始化向量和密钥，首先运用密钥对初始化向量进行加密，对下个明文块的加密。故选择B选项。
    • CTR（计时器模式）：
  • PKI系统
    • 包括以下组件：安全策略、证书认证机构(CA)、证书注册机构(RA)、证书分发系统（CDS）、基于PKl的应用接口
    • 核心：CA
    • PKI信任模型：
      1. 单级CA信任模型
      2. 严格层次结构模型
      3. 分布式（网状）信任模型结构
      4. web模型
      5. 桥CA信任模型：支持多种不同类型的证书认证机构系统相互传递信任关系
      6. 用户为中心的信任模型
  • 密码攻击方式：
    • 唯密文攻击：最容易防范，因为攻击者拥有的信息量最少。
    • 选择明文攻击 CPA：任何一个公钥密码体制都要抵挡。
    • 选择密文攻击 CCA
    • 适应性选择密文攻击 CCA2

  ---

  • 哈希函数将输入资料输出成较短的固定长度的输出，这个过程是单向的，逆向操作难以完成；发展MD5——>SHA1
    • MD5：以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组。输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。
    • SHA-1摘要长度：160位。
    • SHA-1和MD5最大区别在于其摘要比MD5摘要长32bit，故耗时更长。
  • 消息认证：包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证)、及消息的序号和操作时间认证等，但是发送方否认将无法保证。
  • **可靠的电子签名：**与手写签名或者盖章具有同等的法律效力。同时符合下列四个条件的电子签名视为可靠的电子签名
    • (1)电子签名制作数据用于电子签名时，属于电子签名人专有
    • (2)签署时电子签名制作数据仅由电子签名人控制
    • (3)签署后对电子签名的任何改动能够被发现
    • (4)签署后对数据电文内容和形式的任何改动能够被发现。
  • 电子签名：是一种电子代码，利用它，收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。公用事业服务信息文件无需进行验证。
  • 能够产生认证码的方式：消息加密、消息认证码、哈希函数
  • 数字证书的验证：1、验证有效性；2、验证可用性；3、验证真实性。

填空题

1. 计算机系统安全评估的第一个正式标准是：

   1. 可信计算机评估标准
   2. TCSEC标准

2. 信息安全的发展大致经历了3个主要阶段：通信保密阶段、计算机安全阶段和信息安全保障阶段。

3. 由于网络信息量十分巨大，仅依靠人工的方法难以应对网络海量信息的收集和处理，需要加强相关信息技术的研究，即网络舆情分析技术。

   对于网络舆情的特点，社会管理者应当了然于心。对现实中出现的各种网络舆论，社会管理者应能做出及时反馈，防微杜渐，防患于未然。因此，必须利用现代信息技术对网络舆情予以分析，从而进行控制和引导。由于网上的信息量十分巨大，仅依靠人工的方法难以应对网上海量信息的收集和处理，需要加强相关信息技术的研究，形成一套自动化的网络舆情分析系统，及时应对网络舆情，由被动防堵，化为主动梳理、引导。

4. 验证所收到的消息确实来自真正的发送方且未被篡改的过程是：消息认证。

5. 访问控制矩阵：任何访问控制策略最终均可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可。

   1. 访问控制列表：这种方法对应于访问控制矩阵的列。
   2. 访问能力表：这种方法对应于访问控制矩阵的行。每个主体都附加一个该主体可访问的客体的明细表。
   • 自主访问控制模型的实现机制是通过访问控制矩阵实施的，而具体的实现办法，则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作。

6. 强制访问控制系统通过比较主体和客体的安全标签来决定一个主体是否能够访问某个客体。

7. 在标准的模型中，将CPU模式从用户模式转到内核模式的唯一方法，是触发一个特殊的硬件自陷，如中断、异常、显式地执行自陷指令。

   操作系统通过一些基本元素，在硬件支持的基础上来达到目标。用户模式和内核模式。

   现代CPU通常运行在两种模式下：

   (1)内核模式，也称为特权模式，在hntel x86系列中，称为核心层(Ring 0)。

   (2)用户模式，也称为非特权模式，或者用户层(Ring 3)。

   如果CPU处于特权模式，那么硬件将允许执行一些仅在特权模式下许可的特殊指令和操作。要使特权模式所提供的保护真正有效，那么普通指令就不能自由修改CPU的模式。
   与上述行为的处理过程基本相同：CPU挂起用户程序，将CPU模式改变为内核模式，查表如中断向量表)以定位处理过程，然后开始运行由表定义的操作系统代码。

8. 在Unix/Linux中，每一个系统与用户进行交流的界面都被命名为：终端

9. 在Unix\Linux系统中，root账号是一个超级用户账户，可以对系统进行任何操作。

10. TCG使用了可信平台模块，而中国的可信平台以可信密码模块为核心

11. 根据ESP封装内容的不同，可将ESP分为传输模式和隧道模式。

12. PKI（"公钥基础设施”）是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI是一系列基于公钥密码学之上，用来创建、管理、存储、分布和作废数字证书的一系列软件、硬件、人员、策略和过程的集合。

13. 木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分。

14. 污点传播分析技术：通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常。

15. 恶意影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序是恶意程序（或计算机病毒）。

16. 加壳的全称应该是可执行程序资源压缩，是保护文件的常用手段。加壳过的程序可以直接运行，但是不能查看源代码。要经过脱壳才可以查看源代码。加壳工具通常分为压缩壳和加密壳两类。压缩壳的特点是减小软件体积大小，加密保护不是重点。

    相应的，解压缩或解密：脱壳

17. 0day漏洞，是已经被发现(有可能未被公开)只有黑客或者某些组织内部使用，而官方还没有相关补丁的漏洞（因为官方还不知道该漏洞)。

18. 国家信息安全漏洞共享平台是CNCERT联合国内重要信息系统单位建立的信息安全漏洞信息共享知识库，它的英文缩写是CNVD。

19. 电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。

20. 香农的《保密系统的通信理论》 宣告密码学时代的到来 信息安全发展的里程碑。

21. 香农提出的IATF核心思想——纵深防御。

22. 分类数据的管理包括这些数据的存储、分布移植和销毁。

23. 对称密码：

    1. 加密时所使用的两个技巧是：代换和置换。
    2. 主要设计思想：扩散和混淆。

24. 在访问控制中，给予用户一定权限的过程为：授权。

25. 恶意行为审计与监控，主要监测网络中针对服务器的恶意行为，包括恶意的攻击行为和入侵行为。

26. 控制其它程序运行，管理系统资源并为用户提供操作界面的系统软件的集合是：操作系统。

27. 进程与CPU通信是通过中断信号来完成的。

28. Unix/Linux系统：服务是通过inetd进程（最重要的网络服务进程）或启动脚本启动。

    1. 通过inetd来启动的服务可以通过在etclinetd.conf文件中注释来禁用
    2. 通过启动脚本来启动的服务可以通过脚本来改变脚本名称的方式禁用

29. 层次信任模型：层次信任模型是实现最简单的模型，使用也最为广泛。

    1. 建立层次信任模型的基础是所有的信任用户都有一个可信任根。所有的信任关系都基于根来产生。
    2. 是一种双向信任的模型，适用于孤立的、层状的企业，对于有组织边界交叉的企业，要应用这种模型是很困难的。
    3. 内部必须保持相同的管理策略。
    4. 层次信任模型主要使用在以下三种环境:
       (1)严格的层次结构;
       (2)分层管理的PKI商务环境;
       (3) PEM (Privacy-Enhanced Mail，保密性增强邮件)环境。
       （主要适用于有严格的级别划分的大型组织机构和行业领域）

30. EIP寄存器里存储的是函数调用完的返回地址

    EBP寄存器里存储的是是栈的栈底指针，通常叫栈基址

    ESP寄存器里存储的是在调用函数fun()之后，栈的栈顶指针。

31. 根据软件漏洞具体条件，构造相应输入参数和Shellcode代码，最终实现获得程序控制权的过程，是漏洞利用。

32. 攻击者窃取Web用户SessionID后，使用该SessionID登录进入Web目标账户的攻击方法，被称为：会话劫持。

    会话劫持攻击分为两种类型：（1）中间人攻击；（2）注射式攻击

    会话劫持攻击分为两种形式：（1）被动劫持；（2）主动劫持

    这类攻击是：“遭破坏的认证和会话管理”

33. 信息安全管理的主要内容，包括：信息安全管理体系、信息安全风险评估、信息安全管理措施。

34. 用户可将自己的公钥通过公钥证书发给另一用户，接收方可用证书管理机构的对证书加以验证。

35. 产生认证码的函数类型有三类：消息加密、消息认证码和哈希函数。

36. 为了确保RSA密码的安全，必须认真选择公钥参数(n,e)——

    1. 模数n至少1024位；
    2. 为了使加密速度快，根据“反复平方乘”算法，e的二进制表示中应当含有尽量少的1。

37. 数据库渗透测试的对象主要是数据库的身份验证系统和服务监听系统。

38. SQL注入攻击所针对的数据信道包括存储过程和Web应用程序输入参数。

39. 信息系统安全保障涵盖三个方面：生命周期、保障要素和安全特征。

40. 1949年 香农（Shannon）《保密系统的通信理论》 宣告密码学时代的到来 信息安全发展的里程碑

41. 1945年，现代计算机之父冯诺依曼等提出了**“存储程序通用电子计算机方案”**——EDVAC

42. AAA服务是指：认证、授权和审计(Authentication-Authorization-Accounting,AAA)

43. 操作系统采用保护环机制来确保：进程不会在彼此之间或对系统的重要组件造成负面影响

44. 数据库执行3种类型的完整性服务：语义完整性、参照完整性和实体完整性

45. 依据恶意程序的特征码进行查杀是最基本的一种杀毒技术。

46. 信息安全风险评估的复杂程度取决于：受保护的资产对安全的敏感强度和所面临风险的复杂程度

综合题【注意大小写】

1. MD5算法：哈希函数，消息摘要算法。

   1. 可用于口令加密与储存
   2. 为了同时确保数据的保密性和完整性，用户采用AES对消息m加密，并利用MD5产生消息密文的认证码，发送给服务器。假设服务器收到的消息密文为c，认证码为z。服务器只需要验证z是否等于**MD5（c）**即可验证消息是否在传输过程中被篡改。

2. AES算法：对称加密算法，Rijndeal加密法。

   1. 分组长度固定为128位，密钥长度可选：128、192、256位

3. Diffie-Hellman算法：非对称加密。

   1. 可在非保护的信道上进行密钥交换

4. SQL语句：

   1. 授权权限——GRANT语句：（GRANT…ON…TO…）
   2. 撤销授予——REVOKE语句：（REVOKE…ON…FROM…）
   3. 设置审计——AUDIT语句
   4. 取消审计——NOAUDIT语句

5. 事务处理语句：

   1. 显式开始：BEGIN TRANSACTION语句（隐式开始：第一个可执行的SQL语句）
   2. 显式结束：COMMIT或ROLLBACK语句（无法隐式结束）
   3. 可以回退的语句：INSERT、UPDATE、DELETE语句
   4. 不能回退的语句：SELECT、CREATE、DROP语句;

6. 审计与监控：

   1. 安全审计对用户使用何种信息资源，在何时使用，以及如何使用(执行何种操作)进行记录并检查。
   2. 审计是通过对所关心的事件进行记录和分析来实现的，因此一个审计系统通常由日志记录器、分析器、通告器3部分组成，它们分别用于收集数据、分析数据及通报结果。
   3. 为了减轻网络恶意行为对互联网基础设施和重要应用系统的危害，必须对网络威胁进行监控和追踪。恶意行为的监控方式主要分为两类︰主机监测和网络监测。
   4. 蜜罐技术是一种网络监测技术，它将未使用的地址空间伪装成活动网络空间，通过与入侵者的主动交互获取入侵详细信息。
   5. 网络信息内容监控的主要方法为网络舆情分析。

7. TCP三次握手：注意小写、注意顺序！

   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PA5zrN91-1679840034616)(https://s3-us-west-2.amazonaws/secure.notion-static/972a0891-e1f2-43ba-8715-9eea20e1edf7/Untitled.png)]

   第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认

   第二次握手：服务器收到5yn包，必须确认客户的syn (ack=j+1)，同时自己也发送一个SYN包(syn=k)，即SYN+ACK包，此时服务器进入SYN_RECV状态

   第三次握手︰客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLSHED状态，完成三次握手。完成三次握手，客户端与服务器开始传送数据，
   如果端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手，在第三步时，扫描主机中断了本次连接，使连接没有完全建立起来，这样的端口扫描称为半连接扫描，也称为间接扫描。

8. 有以下网络：

   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VJsUxaWv-1679840034616)(https://s3-us-west-2.amazonaws/secure.notion-static/790f94de-8628-456d-9521-babe587ad339/Untitled.png)]

   1. B感染ARP病毒，对内网其他计算机发起ARP欺骗的数据包中，IP地址为：59.60.1.1，MAC地址为：MACB。
   2. 进行ARP表静态绑定：
      1. 清空ARP缓存表：arp -d
      2. 将IP地址与MAC地址静态绑定：arp -s 192.168.1.10 MACA

9. 根据以下Linux系统中的passwd文件：

   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x7Vgfdq6-1679840034617)(https://s3-us-west-2.amazonaws/secure.notion-static/d2bdba07-0034-419b-b290-754e69dfc768/Untitled.png)]

   • 与root用户同在一个用户组的用户有sync、shutdown和halt（倒数第二行）
   • 文件每一行中第二个字段（即“x”）表示用户的口令存储在文件shadow中
   • root用户登录系统时运行的shell程序名称为bash
   • 如果要通过修改passwd文件禁用帐号adm，可以在该文件的第4行前面加上**“#“**即可

一些用于猜测缩写的英文

• 平台：Platform
• 测量：Measure
• 可信：Trusted
• 存储：Storage
• 分发：Distribution
• 证书：Certification
• 身份验证、认证、授权：Authentication
• 审计：Accounting
• 票据：Ticket
• 许可、授权：Granting
• 协议头：Header
• 封装：Encapsulating
• 载荷：Payload
• 交换：Exchange
• 互联网：Internet
• 事件：Incident
• 响应：Respond
• 业务：Business
• 持续性：Constancy