信息安全三級知識點(diǎn)

1、最新資料歡迎閱讀信息安全三級知識點(diǎn)第一章：信息安全保障基礎(chǔ)1：信息安全大致發(fā)展經(jīng)歷3個主要階段：通信 保密階段，計算機(jī)安全階段和信息安全保障階段2：現(xiàn)代信息安全主要包含兩 層含義（1）運(yùn)行系統(tǒng)的安全（2）完整性，機(jī)密性，可用性，可控制性，不可 否認(rèn)性。3:信息安全產(chǎn)生的根源（1）內(nèi)因：信息系統(tǒng)的復(fù)雜性，包括組成網(wǎng)絡(luò)通信 和信息系統(tǒng)的自身缺陷，互聯(lián)網(wǎng)的開放性（2）外因：人為因素和自然環(huán)境的 原因4：信息安全保障體系框架（1）生命周期：規(guī)劃組織，開發(fā)采購，實(shí)施交 付，運(yùn)行維護(hù)，廢棄（2）安全特征：保密性，完整性，可用性（3）保障要 素：技術(shù)，管理，工程，人員5：P2DR安全模型Pt Dt+Rt P

2、t表示系統(tǒng)為了保護(hù)安全氣目標(biāo)設(shè)置各種保護(hù)后 的防護(hù)時間，或者理解為在這樣的保護(hù)方式下，黑客攻擊安全目標(biāo)所花費(fèi)的時 間；Dt代表從入侵者開始發(fā)動入侵開始，到系統(tǒng)能夠檢測到入侵行為所花費(fèi)的 時間Rt代表從發(fā)現(xiàn)入侵行為開始，到系統(tǒng)能夠做出足夠的響應(yīng)，講系統(tǒng)調(diào)整到 正常狀態(tài)的時間Et=Dt+Rt （ Pt =0） Dt和Rt的和安全目標(biāo)系統(tǒng)的暴露時間 Et, Et越小系統(tǒng)越安全6：信息安全技術(shù)框架（IATF）：核心思想是縱深防御 戰(zhàn)略，即采用多層次的，縱深的安全措施來保障用戶信息及信息系統(tǒng)的安全。 核心因素是人員，技術(shù)，操作。7：IATF4個技術(shù)框架焦點(diǎn)域：本地計算環(huán)境，區(qū)域邊界，網(wǎng)絡(luò)及基礎(chǔ)設(shè)施，支

3、撐性基礎(chǔ)設(shè)施。8：信息系統(tǒng)安全保障工作的內(nèi)容包括：確保安全需求，設(shè)計和實(shí)施安全方案, 進(jìn)行信息安全評測和實(shí)施信息安全監(jiān)控與維護(hù)。第二章：信息安全基礎(chǔ)技術(shù)與原理1:數(shù)據(jù)加密標(biāo)準(zhǔn)DES；高級加密標(biāo)準(zhǔn) AES；數(shù)字簽名標(biāo)準(zhǔn)DSS； 2：對稱密鑰的優(yōu)點(diǎn)：加密解密處理速度快，保密度高, 缺點(diǎn)：密鑰管理和分發(fā)復(fù)雜，代價高，數(shù)字簽名困難3：對稱密鑰體制：分組密 碼和序列密碼常見的分組密碼算法：DESJDEA.AES公開的序列算法主要有RC4, SEAL4：攻擊密碼體制方法（1） 窮舉攻擊法（2）密碼分析學(xué)：差分分析和線性分析5：差分密碼分析法的基本 思想：是通過分析明文對的差值對密文的差值影響來恢復(fù)某些密鑰

4、比特。線性密碼分析基本思想：尋找一個給定密碼算法有效的線性近似表達(dá)式來破 譯密碼系統(tǒng)：6：對稱密碼設(shè)計的主要思想是：擴(kuò)散和混淆7：數(shù)據(jù)加密標(biāo)準(zhǔn)DES 算法64為分組大小，64位密鑰，起作用的只有56位。8：IDEA利用128位密鑰對64位明文分組，經(jīng)過連續(xù)加密產(chǎn)生64位密文分 組。9：AES分組長度固定位128位，密鑰長度可以 使8,192和256位，10：Rijndael使用的密鑰和分組長度可以使32位的整數(shù)倍，以128位為下限, 256位為上限。11:主流的非對稱密碼包括RSA.ElGamal,橢圓曲線密碼（ECC）。R SA基 于大合數(shù)因式分解難的問題設(shè)計ElGamal基于離散對數(shù)求解困

5、難的問題設(shè)計 ECC基于橢圓曲線離散對數(shù)求解困難的問題設(shè)計12：典型的哈希函數(shù)：消息摘 要算法MD5,安全散列算法SHA13：哈希函數(shù)的特點(diǎn)：壓縮，易計算，單向性， 抗碰撞性，高靈敏性。哈希函數(shù)的應(yīng)用：消息認(rèn)證，數(shù)字簽名，口令的安全性，數(shù)據(jù)完整性14： 消息摘要算法MD5按512位進(jìn)行處理產(chǎn)生128位消息摘要，SHA預(yù)處理完畢 后的明文長度是512位整數(shù)倍，輸出的是160位15：密鑰的產(chǎn)生的硬件技術(shù): 力學(xué)噪聲源，電子學(xué)噪聲源，混沌理論16：密鑰的分配：人工密鑰分發(fā)，基于 中心密鑰分發(fā)（密鑰分發(fā)中心KDC,密鑰轉(zhuǎn)換中心KTC） 17：基于中心的密鑰分 發(fā)兩種模式：拉模式和推模式18：最典型的密

6、鑰交換協(xié)議：Diffie-Hellman 算法。19：公開密鑰分配：（1）公開發(fā)布（2）公用目錄（3）公鑰授權(quán)（4）公鑰證 書20：公鑰授權(quán)的優(yōu)點(diǎn)：更高的安全性，缺點(diǎn)由于用戶想要與其他人聯(lián)系都要 求助于公鑰管理機(jī)構(gòu)分配公鑰，這樣公鑰機(jī)構(gòu)可能會成為系統(tǒng)的瓶頸，此外維 護(hù)公鑰目錄表也科恩給你被對手竄擾。21：產(chǎn)生認(rèn)證函數(shù)的3種類型：消息加密，消息認(rèn)證碼，哈希函數(shù)22：消息 認(rèn)證碼是一種認(rèn)證技術(shù)，它利用密鑰來生成一個固定長度的數(shù)據(jù)塊，并將該數(shù)據(jù) 塊附加在消息之后。23：系統(tǒng)采用的認(rèn)證協(xié)議有兩種：單向認(rèn)證協(xié)議，雙向認(rèn)證協(xié)議24：身份認(rèn) 證基本手段：靜態(tài)密碼方式，動態(tài)口令方式，USB Key認(rèn)證以及生物

7、識別技術(shù)動 態(tài)口令：主要有短信密碼和動態(tài)口令牌兩種方式。優(yōu)點(diǎn)在于一次一密，安全性高, 缺點(diǎn)在于如果客戶端硬件與服務(wù)器程序的時間或次數(shù)不能保持良好的同步，就可 能發(fā)生合法的用戶無法登陸。U SB Key：主要有兩種模式（1）挑戰(zhàn)應(yīng)答模式和 基于PKI體系的認(rèn)證模式生物識別技術(shù)：優(yōu)點(diǎn)使用者幾乎不能被仿冒，缺點(diǎn)價 格昂貴，不夠穩(wěn)定25：訪問控制模型26：LBP模型具有下讀上寫的特點(diǎn)，方式機(jī)密信息向下級泄露。B iba不允許 向下讀，向上寫的特點(diǎn)，可以有效的保護(hù)數(shù)據(jù)的完整性。C hinese Wall模型 是應(yīng)用在多邊安全系統(tǒng)中的安全模型，有兩個主要的屬性，（1）用戶必須選擇 一個他可以訪問的區(qū)域（2

8、）用戶必須自動拒絕來自其他與用戶所選區(qū)域的利益 沖突區(qū)域的訪問。27：基于角色訪問控制（RBAC）模型要素包括用戶，角色和許可28：RBAC與 MAC的區(qū)別在于:MAC是基于多級安全需求的，而RBAC則不是。29：訪問控制技術(shù)分兩類：一類是集中式訪問控制技術(shù)，另一類是分布式訪 問控制技術(shù)，即非集中式訪問控制技術(shù)30：集中式的AAA管理協(xié)議包括撥號 用戶遠(yuǎn)程認(rèn)證服務(wù)RADIUS,終端訪問控制器訪問控制系統(tǒng)TACACS, Diameter 等。31：RADIUS協(xié)議是一個客戶端/服務(wù)器協(xié)議，運(yùn)行在應(yīng)用層，使用UDP協(xié)議， 身份認(rèn)證和 授權(quán)使用1812端口，審計使用1813端口。32:RADIUS有

9、3個主要的功能：（1）對需要訪問網(wǎng)絡(luò)的用戶或設(shè)備進(jìn)行身份驗(yàn) 證，（2）對身份臉證的用戶或設(shè)備授予訪問資源的權(quán)限，（3）對以及授權(quán)的訪 問進(jìn)行審計，33：RADIUS的審計獨(dú)立于身份驗(yàn)證和授權(quán)服務(wù)。34：TACACS+使用傳輸控制協(xié)議TCP35：Diameter協(xié)議支持移動IP, NAS請求和移動代理的認(rèn)證，授權(quán)和審計工 作，協(xié)議的實(shí)現(xiàn)和RADIUS類似，但是采用TCP協(xié)議，支持分布式審計。是最 適合未來移動通信系統(tǒng)的AAA協(xié)議。36：Diametet協(xié)議包括基本協(xié)議，NAS （網(wǎng)絡(luò)接入服務(wù)）協(xié)議，EAP （可擴(kuò)展鑒 別）協(xié)議，MIP （移動IP）協(xié)議，CMS （密碼消息語法）協(xié)議37：廣泛使用

10、的 三種分布式訪問控制方法為單點(diǎn)登錄，Kerberos協(xié)議和SESAME38：常用的認(rèn) 證協(xié)議：基于口令的認(rèn)證協(xié)議，基于對稱密碼的認(rèn)證，基于公鑰密碼的認(rèn)證39： 一個審計系統(tǒng)通常由3部分組成：日志記錄器，分析器，通稿器。40：惡意行為的監(jiān)控方式主要分為兩類：主機(jī)監(jiān)測和網(wǎng)絡(luò)監(jiān)測。第三章：系統(tǒng)安全1：計算機(jī)主要由4個部分組成：硬件設(shè)備，基本輸入 輸出系統(tǒng)，操作系統(tǒng)，應(yīng)用程序。2：CPU通常在兩種模式下運(yùn)行（1）內(nèi)核模式（核心層RingO） （2）用戶模式, 也成用戶層（Ring3）,操作系統(tǒng)在內(nèi)核模式下運(yùn)行，其他應(yīng)用應(yīng)當(dāng)在用戶模式 下運(yùn)行3：將CPU從用戶模式轉(zhuǎn)到內(nèi)核模式的唯一辦法就是觸發(fā)一個特殊

11、的硬件 自陷如（1）中斷（2）異常（3）顯式地執(zhí)行自陷指令4：用戶接口是為了方便 用戶使用計算機(jī)資源所建立的用戶和計算機(jī)之間的聯(lián)系，主要有兩類接口：作 業(yè)級接口和程序級接口。作業(yè)級接口是操作系統(tǒng)為用戶對作業(yè)運(yùn)行全過程控制提供的功能，程序級 接口是操作系統(tǒng)專門為用戶程序設(shè)置的，它也是用戶程序取得操作系統(tǒng)服務(wù)的 以為途徑。5:從功能上劃分3類系統(tǒng)調(diào)用：設(shè)備輸入輸出系統(tǒng)調(diào)用，硬盤的輸入輸出 及磁盤文件管理的系統(tǒng)調(diào)用，其他系統(tǒng)調(diào)用6：操作系統(tǒng)的基本功能：資源管 理，用戶接口，進(jìn)程管理，內(nèi)存管理操作系統(tǒng)的基本安全實(shí)現(xiàn)機(jī)制包括CPU模 式和保護(hù)環(huán)，進(jìn)程隔離，內(nèi)存保護(hù)等7：文件系統(tǒng)準(zhǔn)確的說是一種數(shù)據(jù)鏈表，

12、用來描述磁盤上的信息結(jié)構(gòu)8：常見保護(hù)環(huán)（1） 0環(huán)：操作系統(tǒng)內(nèi)核（2） 1環(huán): 操作系統(tǒng)的其他部分（3） 2環(huán)：I/O驅(qū)動程序和實(shí)用工具（4） 3環(huán)：應(yīng)用程序和用戶活動9：UNIX系統(tǒng)可分為3層：硬件層，內(nèi)核層和用戶層。關(guān)鍵系統(tǒng)組件包括內(nèi) 存管理系統(tǒng)，文件系統(tǒng)，進(jìn)程間通信，進(jìn)程調(diào)度系統(tǒng)和設(shè)備驅(qū)動程序10：守護(hù) 進(jìn)程是脫離于終端并且在后臺運(yùn)行的進(jìn)程，在系統(tǒng)引導(dǎo)時裝入，在系統(tǒng)關(guān)閉時終 止。11：系統(tǒng)和用戶進(jìn)行交流的界面稱為終端，當(dāng)控制終端關(guān)閉時，相應(yīng)的進(jìn)程 都會自動關(guān)閉。12：服務(wù)是運(yùn)行在網(wǎng)絡(luò)服務(wù)器上監(jiān)聽用戶請求的進(jìn)程，通過inetd進(jìn)程或啟 動腳本來啟動通過inetd來啟動的服務(wù)可以通過在/et

13、c/inetd, conf文件中 注釋來禁用，通過啟動腳本啟動的服務(wù)可以通過改變腳本的名稱禁用。13：inetd是UNIX最重要的網(wǎng)絡(luò)服務(wù)進(jìn)程，通過集中配置文件inetd、conf 來管理大多數(shù)入網(wǎng)連接，根據(jù)網(wǎng)絡(luò)請求來調(diào)用相應(yīng)的服務(wù)進(jìn)程來處理連接請求, 有助于降低系統(tǒng)負(fù)載。x inetd以及取代了 inetd,并且提供了訪問控制，加強(qiáng) 的日志和資源管理功能，已經(jīng)成為新版的UNIX/Linux系統(tǒng)的Internet標(biāo)準(zhǔn) 超級守護(hù)進(jìn)程。14：Linux系統(tǒng)中，用戶的關(guān)鍵信息被存放在系統(tǒng)的/etc/passwd文件中。15：IS0/IEC15408標(biāo)準(zhǔn)將可信定義為：參與計算的組件，操作或過程在任意的

14、 條件下是可預(yù)測的，并能夠抵御病毒和物理干擾。16：信任根是系統(tǒng)可信的基點(diǎn)，TCG定義可信計算平臺的信任根包括3個 根：可信測量根（RTM）,可信存儲根（RTS）,可信報告根（RTR）。17：可信平臺（TPM）是由CPU,存儲器，I/O,密碼運(yùn)算器，隨機(jī)數(shù)產(chǎn)生 器和嵌入式操作系統(tǒng)等部件。18：可信密碼模塊的核心功能包括：度量平臺完整性，建立平臺免疫力，為平臺身份提供唯一性表示，提供硬件級密碼計算和密鑰保護(hù)。最新資料歡迎閱讀19：可信計算組織的可信計算系統(tǒng)結(jié)構(gòu)可劃分為3個層次：可信密碼模塊，可信密碼模塊服務(wù)模塊，安全應(yīng)用。20：可信網(wǎng)絡(luò)連接（TNC）的優(yōu)點(diǎn)：開放性，安全型，增加了平臺身份驗(yàn)證 和

15、完整性驗(yàn)證。局限性：局限于完整性，單向可信評估，缺乏安全協(xié)議支持，缺乏網(wǎng)絡(luò)接 入后的安全保障第四章：網(wǎng)絡(luò)安全1:網(wǎng)絡(luò)之間的連接通過物理介質(zhì)實(shí)現(xiàn)的：物理介質(zhì)包 括雙線線，光纖燈有線介質(zhì)，也包括無線電，微波，激光等無線介質(zhì)。2：TCP/IP的體系結(jié)構(gòu)：從下往上：物理和數(shù)據(jù)鏈路層，網(wǎng)際層，傳輸層和應(yīng) 用層。3：網(wǎng)絡(luò)地址：A類：0、 0、 0、 0127、255、255、 255 B 類：128、 0、 0、 0191、255、255、 255c 類：192、 0、 0、 0223、255、255、 255 D 類：224、 0、 0、 0239、255、2最新資料歡迎閱讀55、 255 E 類：24

16、0、 0、 0、 0255、255、255、255私有地址：A類：10、 0, 0、 010、255、255、 255 B 類：172、16、 0, 0172、31、255、 255c 類：192、168、 0、 0192、168、255、255 （1）網(wǎng)絡(luò)地址：在A, B, C三類地址中，主機(jī)號全為。的地址用來表示一個網(wǎng)絡(luò)的本網(wǎng) 地址。（2）直接廣播地址：在A, B, C三類地址中，主機(jī)號全為1的地址為直接廣播地址，用于 表示特定網(wǎng)絡(luò)的所有主機(jī)（3）受限廣播地址：ip地址32位全為1,即255、255、255、255,則這個地址表示當(dāng)前網(wǎng)絡(luò)的廣播地址（4）自環(huán)地址：最新資料歡迎閱讀IP地址為

17、127、 0、 0、 14：TCP初始序列號常用的產(chǎn)生方法包括3種：第一種64K規(guī)則法，就是在一 個tcp連接啟動時，在原有的序列號基礎(chǔ)上增加一個64000的常量作為新 的序列號。第二種是與時間相關(guān)的產(chǎn)生規(guī)則，序列號的值是與時間相關(guān)的值， 第三種是偽隨機(jī)數(shù)產(chǎn)生規(guī)則，通過偽隨機(jī)數(shù)產(chǎn)生器產(chǎn)生序列號。5：TCP欺騙攻擊包括非盲攻擊和盲攻擊兩種6：DNS欺騙技術(shù)可分為基于DNS服務(wù)器的欺騙和基于用戶計算機(jī)的欺騙。7：網(wǎng)站掛馬的主要技術(shù)手段有：框架掛馬（分直接加載框架掛馬和框架嵌套 掛馬兩種方法），JS腳本掛馬，body掛馬和偽裝欺騙掛馬8：DoS/DDoS攻擊的防御措施（1）靜態(tài)和動態(tài)DDoS過濾器（

18、2）反欺騙技 術(shù)（3）異常識別（4）協(xié)議分析（5）速率限制（6）增強(qiáng)系統(tǒng)安全性，及早發(fā) 現(xiàn)系統(tǒng)中的漏洞，及時安裝補(bǔ)丁，禁止所有不需要的服務(wù)（7）利用普通防火墻, 路由器等網(wǎng)絡(luò)設(shè)備，和網(wǎng)絡(luò)安全設(shè)備加固網(wǎng)絡(luò)的安全性，關(guān)閉服務(wù)器的非開放 服務(wù)端口，限制SYN半連接數(shù)量，配置好訪問控制列表的過濾規(guī)則，禁止網(wǎng)絡(luò) 中的無用UDP數(shù)據(jù)包和ICMP數(shù)據(jù)包。9：開源Web應(yīng)用安全項(xiàng)目（0WASP） 10：注入攻擊的防范（1）使用預(yù)編 譯語句（2）使用存儲過程來驗(yàn)證用戶的輸入（3）在數(shù)據(jù)類型，長度，格式和 范圍等方面對用戶輸入進(jìn)行過濾（4）使用數(shù)據(jù)庫自帶的安全參數(shù)（5）按照最 小權(quán)限原則設(shè)置數(shù)據(jù)庫的連接權(quán)限11：

19、跨站腳本攻擊XSS分三類：（1）反射型 XSS （2）存儲型 XSS （3） DOM-based XSS12：反射型XSS也稱作為非持久型跨站腳本攻擊：一般是向用戶發(fā)出帶有惡意 攻擊腳本的一個URL連接，誘騙用戶區(qū)點(diǎn)擊。存儲型XSS稱為持久型跨站腳本攻擊，攻擊者將惡意數(shù)據(jù)非法存儲在 Web服務(wù)器端的頁面中。D 0M-based XSS是基于文檔對象模型的跨站腳本攻 擊,攻擊者通過對javascript腳本動態(tài)修改D0M結(jié)構(gòu)，進(jìn)而導(dǎo)致XSS漏 洞。13：最新資料歡迎閱讀XSS的防范（1）給關(guān)鍵Cookie設(shè)置Httponly標(biāo)識（2）進(jìn)行輸入檢查（3） 進(jìn)行輸出查14：跨站腳本請求偽造（CSRF

20、）是偽造客戶端請求的一種攻擊方式。是讓用戶 訪問攻擊者偽造的網(wǎng)頁，執(zhí)行網(wǎng)頁中的惡意腳本。防范措施：（1）使用驗(yàn)證碼（2）在用戶會話驗(yàn)證信息中添加隨機(jī)數(shù)15：木 馬的連接方式：木馬程序都采用C/S的結(jié)構(gòu)，他由兩部分程序組成，客戶端和 服務(wù)端木馬程序，攻擊一方安裝木馬的客戶端，同時誘騙用戶安裝木馬的服務(wù) 端。16：防火墻的功能：（1）防火墻在內(nèi)網(wǎng)外網(wǎng)之間進(jìn)行數(shù)據(jù)過濾（2）對網(wǎng)絡(luò)傳 輸和訪問的數(shù)據(jù)進(jìn)行記錄和審計（3）防范內(nèi)外網(wǎng)之間的異常網(wǎng)絡(luò)攻擊（4）通 過配置NAT提高網(wǎng)絡(luò)地址轉(zhuǎn)換功能17：防火墻技術(shù)：（1）包過濾技術(shù)（2）狀 態(tài)監(jiān)測技術(shù)（3）地址翻譯技術(shù)（4）應(yīng)用級網(wǎng)關(guān)技術(shù)18：防火墻體系結(jié)構(gòu):

21、雙重宿主主機(jī)體系結(jié)構(gòu)，屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻19：入侵檢測系統(tǒng)的分類（1）根據(jù)數(shù)據(jù)采集方式的分類：基于網(wǎng)絡(luò)的入侵檢測 系統(tǒng)NIDS和基于主機(jī)的入侵檢測系統(tǒng)HIDS （2）根據(jù)檢測原理分類：誤用檢 測型入侵檢測系統(tǒng)和異常檢測型入侵檢測系統(tǒng)。誤用檢測技術(shù)（1）專家系統(tǒng)（2）模型推理異常檢測技術(shù)（1）統(tǒng)計分析 （2）神經(jīng)網(wǎng)絡(luò)（3）其他入侵檢測技術(shù)：模式匹配，文件完整性檢驗(yàn)，數(shù)據(jù)挖 掘，計算機(jī)免疫20：入侵檢測體系結(jié)構(gòu)：基于網(wǎng)絡(luò)/主機(jī)的入侵檢測系統(tǒng)，集中式結(jié)構(gòu)，分 布式結(jié)構(gòu)21：入侵檢測系統(tǒng)包括探測器和控制臺兩大部分：探測器是專用的硬件設(shè)備負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲，分析檢測和報警等?？?/p>

22、制臺是管理探測器的工具，它負(fù)責(zé)接收探測器的檢測日志數(shù)據(jù)，并 提供數(shù)據(jù)查詢和報告生成功能。22：入侵防御系統(tǒng)可以實(shí)現(xiàn)下面3個功能（1）攔截惡意流量（2）實(shí)現(xiàn)對 傳輸內(nèi)容的深度檢測和安全防護(hù)（3）對網(wǎng)絡(luò)流量檢測的同時進(jìn)行過濾23：入 侵防御系統(tǒng)的部署（1）內(nèi)外網(wǎng)絡(luò)的邊界（2） DMZ與防火墻的邊界（3）內(nèi)網(wǎng)核 心交換機(jī)和防火墻中間（4）內(nèi)網(wǎng)關(guān)鍵服務(wù)器的外側(cè)24：入侵防御系統(tǒng)的不足（1）可能造成單點(diǎn)故障（2）可能造成性能瓶頸（3）漏報和誤報的影響25： 公共密鑰基礎(chǔ)設(shè)施PKI的作用主要包括（1）驗(yàn)證用戶身份并頒發(fā)證書（2）確 保用于證書簽名的非對稱密鑰的安全（3）管理證書信息資料26：證書認(rèn)證機(jī) 構(gòu)

23、系統(tǒng)的組成結(jié)構(gòu)：認(rèn)證中心（根CA）,密鑰管理中心（KM）,認(rèn)證下級中心（子CA）,證書審批中心（RA中心），證書審批受力點(diǎn)（RAT） 27：證書 的 驗(yàn) 證（1）驗(yàn)證有效性（2）驗(yàn)證可用性（3）驗(yàn)證真實(shí)性 證書的安全性（1）物理 安全（2）網(wǎng)絡(luò)安全（3）密碼安全28：信任模式：（1）單證書認(rèn)證機(jī)構(gòu)信任模式：這種模式中的PKI體系只有 一個證書認(rèn)證 機(jī)構(gòu)，PKI的所有終端用戶都信任這個證書認(rèn)證機(jī)構(gòu)（2）層 次信任模式：由一級根證書認(rèn)證機(jī)構(gòu)1個，二級的政策證書認(rèn)證機(jī)構(gòu)3個， 三級的運(yùn)營證書認(rèn)證機(jī)構(gòu)多個，三個層次組成。第一層為根認(rèn)證機(jī)構(gòu)（Root CA）,第二層為政策證書認(rèn)證機(jī)構(gòu)（Policy CA

24、）,第三層為運(yùn)營證書認(rèn)證機(jī)構(gòu)（Operation CA） （3）橋證書機(jī)構(gòu)認(rèn)證信任模式：使不同結(jié)構(gòu)類型的PKI體系中的中端用戶都可以通過橋證書認(rèn)證機(jī)構(gòu)連 接在一起，并實(shí)現(xiàn)相互信任。29：虛擬專網(wǎng)VPN分為Client-LAN（也被稱為遠(yuǎn)程訪問型VPN）和LAN-LAN 兩種連接類型（也被稱為網(wǎng)絡(luò)到網(wǎng)關(guān)類型的VPN）o30：VPN應(yīng)用了多種信息安全技術(shù)和網(wǎng)絡(luò)技術(shù)，包含隧道技術(shù)，加密解密，完 整性驗(yàn)證密鑰管理技術(shù)和身份認(rèn)證技術(shù)。其中網(wǎng)絡(luò)隧道技術(shù)室VPN的關(guān)鍵技術(shù)，它的原理是使一種協(xié)議封裝在另一 種安全協(xié)議中傳輸，從而實(shí)現(xiàn)被封裝協(xié)議的安全性。31：VPN協(xié)議的分類（1）第二層隧道協(xié)議即鏈路層隧道協(xié)議

25、，主要有三種，第一種點(diǎn)對點(diǎn)隧道協(xié)議 PPTP,第二種是二層轉(zhuǎn)發(fā)協(xié)議L2F,第三種二層隧道協(xié)議L2TP,結(jié)合前面兩種協(xié) 議的優(yōu)點(diǎn)。(2)介于二三層之間的隧道協(xié)議：MPLS VPN是一種基于多協(xié)議標(biāo)記交換MPLS技術(shù) 的IP-VPN (3)第三層隧道協(xié)議即網(wǎng)絡(luò)層的隧道協(xié)議，主要包括IPSec和GRE等隧道 協(xié)議(4)傳輸層的SSL VPN協(xié)議，采用標(biāo)準(zhǔn)的安全套接層協(xié)議SSL對傳輸 的數(shù)據(jù)包進(jìn)行加密32：Internet安全協(xié)議IPSec包括網(wǎng)絡(luò)安全協(xié)議和米啊喲協(xié)商協(xié)議兩部分。網(wǎng)絡(luò)安全協(xié)議包括：認(rèn)證協(xié)議頭AH協(xié)議和安全載荷封裝ESP協(xié)議。密鑰協(xié)商協(xié)議包括互聯(lián)網(wǎng)密鑰交換協(xié)議IKE等33： (1) ES

26、P協(xié)議為基于 IPSec的數(shù)據(jù)通信提供了安全加密，身份認(rèn)證和數(shù)據(jù)完整性鑒別這三種安全保 護(hù)機(jī)制。根據(jù)封裝的內(nèi)容不同，可將ESP分為傳輸模式和隧道模式兩種模式。傳輸模式下，ESP對于要傳輸?shù)腎P數(shù)據(jù)包中的IP有效數(shù)據(jù)載荷進(jìn)行加 密和認(rèn)證。隧道模式用于網(wǎng)關(guān)設(shè)備到網(wǎng)關(guān)設(shè)備的網(wǎng)絡(luò) 連接。E SP采用的主要 加密標(biāo)準(zhǔn)時DES和3DES (2)認(rèn)證協(xié)議頭分為傳輸模式和隧道模式兩種。分別 用于和ESP相同的網(wǎng)絡(luò)連接環(huán)境中傳輸模式中，認(rèn)證協(xié)議頭被插在IP數(shù)據(jù) 包的IP頭之后，有效數(shù)據(jù)載荷之前，它對整個新IP數(shù)據(jù)包進(jìn)行完整性檢驗(yàn)認(rèn) 證，IP報頭AH頭IP有效載荷隧道模式中IP數(shù)據(jù)包格式不變，認(rèn)證協(xié)議 頭被插在原

27、IP頭之前，并生成一個新的IP頭放在認(rèn)證協(xié)議頭之前，新IP 報頭AH報頭原IP報頭IP有效載荷(3)密鑰協(xié)商協(xié)議ESP和認(rèn)證協(xié)議在 進(jìn)行IPSec數(shù)據(jù)安全封裝過程中需要使用加密算法，數(shù)據(jù)完整性檢驗(yàn)算法 和密鑰等多種安全參數(shù)。I KE協(xié)議負(fù)責(zé)兩個IPSec對等體之間協(xié)商相關(guān)安全 參數(shù)，包括協(xié)商協(xié)議參數(shù)，交換公共密鑰，雙方進(jìn)行認(rèn)證以及在交換安全參數(shù) 后對密鑰的管理，IKE協(xié)議屬于混合型協(xié)議，由3個協(xié)議組成：ISAKMP,Oakley, SKEME、沿用了 Oakley的密鑰交換模式和SKEME的共享 密鑰和密鑰組成技術(shù)。IKE使用兩階段協(xié)商安全參數(shù)：第一階段，通過協(xié)商IKE SA建立一個通信信道并

28、對該信道進(jìn)行驗(yàn)證。第二階段,IKE使用第一階段由IKESA協(xié)議建立的安全通道一個完整 的IPSec隧道建立過程：1) IPSec的一端收到另一端的IPSec數(shù)據(jù)流后將產(chǎn) 生IKE會話2) IPSec兩端使用IKE的主模式或者主動模式協(xié)商，交換IKE SA,建立安全通道3） IPSec兩端使用IKE的快速模式協(xié)商，交換IPSec SA, 建立IPSec安全通道4）上述協(xié)商完成并建立IPSec安全通道，傳輸?shù)臄?shù)據(jù) 采用ESP或者認(rèn)證協(xié)議進(jìn)行封裝后就可以在加密通道上傳輸了綜上可知 IPSec提供了數(shù)據(jù)加密，身份認(rèn)證和完整性檢驗(yàn)這三個最基本的安全措施保證 通過IPSec建立的VPN的安全性。34：安全

29、套接層：解決了 TCP/IP協(xié)議的安全防護(hù)問題，為傳輸層之上的應(yīng)用層提供了加密， 身份認(rèn)證，和完整性驗(yàn)證的防護(hù)。（1）SSL協(xié)議的構(gòu)成，建立在TCP/IP協(xié)議之上，包括兩層協(xié)議：記錄 協(xié)議和握手協(xié)議SSL記錄協(xié)議位于SSL握手協(xié)議的下層，定義了傳輸格式，上 層數(shù)據(jù)包括SSL握手協(xié)議建立安全連接時所需傳送的數(shù)據(jù)，他們都通過SSL 記錄協(xié)議往下層進(jìn)行傳送。35：應(yīng)用層安全協(xié)議：Kerberos協(xié)議，SSH協(xié)議，SHTTP協(xié)議，S/MIME協(xié)議，SET協(xié)議。（1）Kerberos協(xié)議是一種認(rèn)證協(xié)議，主要用于分布式網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn) 用戶和服務(wù)器之間的安全身份認(rèn)證。（2） SSH協(xié)議可以把所有的傳輸數(shù)據(jù)

30、進(jìn)行加密，同時能防止DNS欺騙 和IP欺騙攻擊。S SH支持的兩種登陸認(rèn)證方式第一種基于口令的登錄認(rèn)證第二種是登錄認(rèn)證需要依靠密鑰來進(jìn)行（3） SHTTP協(xié)議是一種基于HTTP 設(shè)計的消息安全通信協(xié)議，提供了對稱密鑰加密功能，支持用戶瀏覽器到服務(wù) 器之間的數(shù)據(jù)安全傳輸，加密用到的對稱密鑰是通過公鑰加密后傳輸?shù)絎eb服 務(wù)器的。（4） S/MIME協(xié)議即安全多用途網(wǎng)際郵件擴(kuò)充協(xié)議提供針對電子郵件的數(shù) 字簽名和數(shù)據(jù)加密功能，以彌補(bǔ)SMTP協(xié)議和POP3協(xié)議在安全功能方面的不 足。第五章應(yīng)用安全1：漏洞分類（1）本地漏洞：指攻擊者必須在本機(jī)擁有訪問權(quán)限的前提下才能攻擊并利用的軟件漏洞（2）遠(yuǎn)程利用漏

31、洞：指攻擊者可以通過網(wǎng)絡(luò)發(fā)起攻擊并利用的軟件漏洞2：根據(jù)漏洞形成的原因 分類（1）輸入驗(yàn)證錯誤漏洞（2）緩沖區(qū)溢出漏洞（3）設(shè)計錯誤漏洞（4）意 外情況處置錯誤漏洞（5）訪問驗(yàn)證錯誤漏洞（6）配置錯誤漏洞（7）競爭條件 漏洞（8）環(huán)境錯誤漏洞（9）外部數(shù)據(jù)被異常執(zhí)行漏洞3：美國國家漏洞數(shù)據(jù) 庫NVD收錄了三個漏洞公告和安全警告：CVE漏洞公告，US-CERT漏洞公告，US-CERT安全警告。C NNVD中國國 家信息安全漏洞庫，國家信息安全漏洞共享平臺CNVD,國家互聯(lián)網(wǎng)應(yīng)急中心 （CNDERT 或 CNCERT/CC） 4：、text段是存放程序代碼的區(qū)域，該區(qū)域?yàn)橹蛔x，任何對該區(qū)域的寫操作

32、 都會導(dǎo)致段違法出錯。、bss段和、data段都保存的是全局變量，其中、bss 段包含未初始化的全局變量，、data段包含已初始化的全局變量，他們都是 可寫的。這塊區(qū)域編譯時分配空間，程序運(yùn)行結(jié)束時回收。堆（heap）是先進(jìn)先出的數(shù)據(jù)結(jié)構(gòu)，往高地址增長，主要用來保存動態(tài)分 配變量棧（stack）是一個后進(jìn)先出的數(shù)據(jù)結(jié)構(gòu)，往低地址增長，它保存本 地變量，函數(shù)調(diào)用信息。5：Windows應(yīng)用程序4GB虛擬內(nèi)存空間被分成兩個部分：一個給用戶模式， 其范圍是 0 xO x7fffffffo另一個分給內(nèi)核模式，空間是0 xO xbfffffffo6： （1）指令寄存器eip用于存放一個指針，該指針始終指

33、向下一條要執(zhí)行 指令（即要被調(diào)用的函數(shù)）的地址，即返回地址（2）基址指針寄存器ebp用 于存放一個指針，該指針始終指向當(dāng)前執(zhí)行指令（正被調(diào)用的函數(shù)）所對應(yīng)棧 幀的底部地址，即基址，也被稱為棧幀底部指針。（3）棧指針寄存器esp用于存放一個指針，該指針始終指向當(dāng)前執(zhí)行指 令（即正在被調(diào)用的函數(shù)）所對應(yīng)棧幀的最新棧頂?shù)刂?，也稱為棧頂指針。7：函數(shù)別調(diào)用一般過程（1）參數(shù)入棧（2）返回地址入棧（3）代碼區(qū)跳躍 （4） ebp中母函數(shù)棧幀基址指針 入棧（5） esp值裝入ebp, ebp更新為新 棧幀基地址（6）給新棧幀分配空間8：溢出漏洞：棧溢出，堆溢出，單字節(jié)溢出，格式化字符串漏洞，內(nèi)存地址對象

34、破壞性調(diào)用漏洞整數(shù)溢出漏洞：整數(shù)分有符號類和無符號類，有符號的負(fù)數(shù)最高位是1,正數(shù)最高位是 0,無符號類就沒有這類限制，分為三類：存儲溢出，運(yùn)算溢出，符號問題數(shù)組越界漏洞：由不正確的數(shù)組訪問造成 的，相關(guān)特征：讀取惡意構(gòu)造的輸入數(shù)據(jù)，用輸入數(shù)據(jù)計算數(shù)組訪問索引，對 數(shù)組進(jìn)行讀/寫操作寫污點(diǎn)值到污點(diǎn)地址漏洞：這個漏洞一般存在Windows設(shè) 備驅(qū)動中，攻擊者利用這種漏洞修改操作系統(tǒng)內(nèi)核的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)，相關(guān)特征: 讀取污點(diǎn)數(shù)據(jù)，讀取污點(diǎn)地址，向污點(diǎn)地址寫入污點(diǎn)數(shù)據(jù)9：緩沖區(qū)溢出攻擊，攻擊者一般向存在漏洞的軟件程序輸入數(shù)據(jù)一般包括：隨 機(jī)填充數(shù)，NOP填充字段，shellcode和新的返回地址。10

35、：kernel32、dll 中提供了 LoadLibrary （）和 GetProcAddress （）兩個關(guān)鍵的函 數(shù)，通過他們就可以獲取任意API的地址，從而實(shí)現(xiàn)API調(diào)用。11：漏洞利用技術(shù)（1）靜態(tài)shellcode地址的利用技術(shù)：（2）動態(tài)變化的shellcode地址的利用技術(shù)（3） Heap Spray技術(shù)： 在shellcode的前面加上大量的滑板指令,之后反復(fù)向系統(tǒng)申請大量的 內(nèi)存，并且反復(fù)用這個注入代碼段來填充12：軟件漏洞利用的防范技術(shù)（1） GS Stack protection技術(shù)是一項(xiàng)緩沖區(qū)溢出的檢測防護(hù)技術(shù)（2） DEP數(shù)據(jù) 執(zhí)行保護(hù)技術(shù)可以限制內(nèi)存堆棧區(qū)的代碼為不

36、可執(zhí)行狀態(tài)，從而防范溢出后代 碼的執(zhí)行（3） ASLR地址空間分布隨機(jī)化是一項(xiàng)通過將系統(tǒng)關(guān)鍵地址隨機(jī)化， 從而使攻擊者無法獲得需要跳轉(zhuǎn)的精確地址的技術(shù)，使用ASLR技術(shù)的目的就 是打亂系統(tǒng)中存在的固定地址（4） SafeSEH是Windows異常處理機(jī)制所采 用的重要數(shù)據(jù)結(jié)構(gòu)鏈表，定義程序發(fā)生各種異常時相應(yīng)的處理函數(shù)保存在SHE 中，攻擊者通過緩沖區(qū)溢出覆蓋SHE中異常處理函數(shù)句柄，將其替換為指向惡 意代碼shellcode的地址。（5） SEHOP結(jié)構(gòu)化異常處理覆蓋保護(hù)13：軟件開發(fā)生命周期模型：瀑布 模型，螺旋模型，迭代模型，快速原型模型14：軟件靜態(tài)安全檢測技術(shù)可以用于對軟件源代碼和可執(zhí)

37、行代碼的檢測軟件 源代碼靜態(tài)檢測：詞法分析，數(shù)據(jù)流分析，污點(diǎn)傳播分析，符號執(zhí)行，模型檢驗(yàn), 定理證明可執(zhí)行代碼的靜態(tài)安全檢測：基于程序結(jié)構(gòu)的安全檢測技術(shù)，基于程 序語義的安全檢測技術(shù)15：軟件動態(tài)安全檢測技術(shù)：模糊測試，智能模糊測 試，動態(tài)污點(diǎn)分析16：基于軟件技術(shù)的軟件安全保護(hù)技術(shù)：（1）注冊信息驗(yàn)證技術(shù)（2）軟件防篡改技術(shù)：通過完整性檢驗(yàn)來檢測 軟件是否被攻擊者篡改，有兩種方式判斷。第一種：判斷內(nèi)存中的代碼段是否 能通過完整性檢驗(yàn)。第二種：判斷硬盤中的文件是否被篡改（3）代碼混淆技 術(shù)：技術(shù)手段有詞法轉(zhuǎn)換，控制流轉(zhuǎn)換，數(shù)據(jù)轉(zhuǎn)換（4）軟件水印技術(shù)：可分為代碼水印和數(shù)據(jù)水印，代碼水印是將水印信

38、息隱藏在程序的代碼 和指令部分。數(shù)據(jù)水印是將水印信息隱藏在程序的頭文件，字符串和調(diào)試信息數(shù)據(jù) 中。（5）軟件加殼技術(shù)：第一類壓縮保護(hù)殼，第二類加密保護(hù)殼17：單一功能的病毒：（1）文件感染型病毒（2）宏病 毒（3）引導(dǎo)型病毒（4）郵件型病毒18：蠕蟲一般由兩個部分組成：一個主程序和一個引導(dǎo)程序19：加密狗一種廣泛應(yīng)用在硬件介質(zhì)的軟件安全保護(hù)技術(shù)20：針對Web系統(tǒng)的主要安全威脅包括：注入，跨站腳本，造破壞的身份認(rèn)證 和會話管理，不安全的直接對象引用，偽造跨站請求。第六章：信息安全管理1：信息安全管理體系（ISMS）構(gòu)架實(shí)施的有效性有兩方面 的含義：一是控制活動應(yīng)嚴(yán)格要求實(shí)施，二是活動的結(jié)果要達(dá)

39、到預(yù)期的目標(biāo)要 求。2：信息安全管理體系審核時為了獲得審核證據(jù)。對體系進(jìn)行客觀的評價， 以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的，獨(dú)立的并形成文件的檢查。3：組織機(jī)構(gòu)實(shí)施信息安全管理體系認(rèn)證時根據(jù)國際上的信息安全管理標(biāo)準(zhǔn) BS7799標(biāo)準(zhǔn)4：識別和控制機(jī)構(gòu)面臨的風(fēng)險的過程成為風(fēng)險管理，這個過程有 兩個主要任務(wù)：實(shí)現(xiàn)識別和風(fēng)險控制5：信息安全風(fēng)險評估原值：自主，適應(yīng) 度量，已定義過程，連續(xù)過程的基礎(chǔ)6：風(fēng)險評估過程：（1）信息資產(chǎn)評估（2） 風(fēng)險的確定（3）識別可能的控制（4）記錄風(fēng)險評估的結(jié)果7：風(fēng)險控制策略 （1）采取安全措施，消除或減小漏洞的不可控制的殘留風(fēng)險（2）將風(fēng)險轉(zhuǎn)移 到其他區(qū)域，或

40、轉(zhuǎn)移到外部（3）減小漏洞產(chǎn)生的影響（4） 了解產(chǎn)生的后果，并 接受沒有控制或緩解的風(fēng)險8：訪問控制可以分為下列三類：預(yù)防性的訪問控 制，探查性訪問控制，糾正性訪問控制，9：訪問控制依賴四個原則：身份標(biāo)識，驗(yàn)證，授權(quán)和責(zé)任衡量10：信息安全事件管理與應(yīng)急響應(yīng)4個不同的計劃：業(yè)務(wù)持續(xù)性計劃BCP,災(zāi) 難恢復(fù)計劃DRP,事故響應(yīng)計劃IRP,應(yīng)急計劃CPo11：持續(xù)性戰(zhàn)略計劃有三種互不相同的選項(xiàng)：熱站點(diǎn)，暖站點(diǎn)，冷站點(diǎn)，以 及三種共享功能：時間共享，服務(wù)臺和共有協(xié)議。第七章：信息安全標(biāo)準(zhǔn)與法規(guī)1:可信的計算機(jī)系統(tǒng)安全評估標(biāo)準(zhǔn) （TCSEC）,信息技術(shù)安全評估標(biāo)準(zhǔn)（ITSEC）由（法國，英國，荷蘭，德國） 發(fā)布的，信息技術(shù)安全評價的通用標(biāo)準(zhǔn)（CC）由六個國家聯(lián)合發(fā)布的（美國, 加拿大，英國，法國，德國，荷攔）2：BS7799分為兩