导图社区软考信息安全工程师必背考点

软考信息安全工程师必背考点

软考信息安全思维导图，通过最新版的教材整理的，通过思维导图可以更快速的了解和加深记忆。有备战软考信息安全工程师的小伙伴们可以下单啦~~

编辑于2023-12-15 09:27:16

安安

他的近期作品查看更多>>

软考信息安全工程师必背考点
软考信息安全思维导图，通过最新版的教材整理的，通过思维导图可以更快速的了解和加深记忆。有备战软考信息安全工程师的小伙伴们可以下单啦~~

软考信息安全工程师必背考点

社区模板帮助中心，点此进入>>

安安

他的近期作品查看更多>>

软考信息安全工程师必背考点
软考信息安全思维导图，通过最新版的教材整理的，通过思维导图可以更快速的了解和加深记忆。有备战软考信息安全工程师的小伙伴们可以下单啦~~

相似推荐
大纲

计算机操作系统思维导图
- 4.2k
- 334
- 203
- 18
journey
简单介绍MYSQL数据库软件的基本命令
- 961
- 0
- 96
- 15
壞灬
计算机基础知识
- 2.5k
- 183
- 214
- 26
莫挽????
.net学习总结
- 440
- 0
- 41
- 12
长方体混凝土瞬移工程师
python基础知识点简单总结
- 978
- 92
- 65
- 9
排列&组合
序列类型的方法
- 252
- 13
- 19
- 1
排列&组合
管理信息系统
- 1.7k
- 105
- 84
- 12
欲戴王冠必承其重????????
Python3.0入门知识思维导图
- 1.2k
- 6
- 173
- 11
颜老师的作品
java 从入门到精通(第四版本)
- 482
- 27
- 78
- 10
吕远征
软考架构设计师
- 962
- 8
- 39
- 1
轻风

软考信息安全工程师必背考点

一、网络信息安全概述

时间点记忆

网络安全法

2017年6月1日

密码法

2020年1月1日

统一领导、分级负责，创新发展、服务大局，依法管理、保障安全

《中华人民共和国密码法》草案发布

2019年

数据安全法

2021年9月1日

个人信息保护法

2021年11月1日

反电信网络诈骗法

2022年12月1日

《中华人民共和国电子签名法》

2005年4月1日

记忆方法：619，双11，双12 顺序：网络，密码，数据，个人信息，电信诈骗

网络安全基本属性

机密性

网络信息不泄露给非授权的用户（不泄露）

完整性

网络信息未经授权不能更改（篡改）

完整性安全控制措施

哈希运算(数据完整性) 配置管理(系统完整性) 变更控制(流程完整性) 访问控制(物理性及技术性) 软件数字签名传输循环冗余校验(CRC)功能

可用性

合法用户可以及时获取网络信息或者服务（及时获取）

可用性控制措施

独立磁盘冗余阵列

集群技术

负载均衡技术

可控性

责任主体对网络信息系统具有可管理、可支配的能力（可管理可支配）

抗抵赖性

防止用户否认其活动行为（防否认）

可靠性

是指网络信息系统在规定条件及时间下，能够有效完成预定的系统功能的特性。

真实性

是指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。

时效性：是指网络空间信息、服务及系统能够满足时间约束要求。

合规性：是指网络信息、服务及系统符合法律法规政策、标准规范等要求。

公平性：是指网络信息系统相关主体处于同等地位处理相关任务，任何一方不占据优势的特性要求。

可生存性：是指网络信息系统在安全受损的情形下，提供最小化、必要的服务功能，能够支撑业务继续

隐私性：是指有关个人的敏感信息不对外公开的安全属性。

UDP协议

1. 网络文件系统(NFS，端口号2049)

2. 简单网络管理协义(SNMP，端口号161)

3. 基于TCP的SMTP（邮件传输协议）端口25混淆

4. 域名系统(DNS，端口号53)

5. 简单文件传输系统(TFTP，端口号69)

6. 动态主机配置协议(DHCP，端口号68)

7. 路由信息协议(RIP，端口号520)

8. L2TP，UDP 1701端口。

二、网络攻击原理与常用方法

网络攻击模型

攻击树模型

优点

采取专家头脑风暴法，费效分析或者概率分析

能够建模非常复杂的场景

缺点

不能建模多重尝试攻击、时间依赖及访问控制

不能建模循环事件

对于现实中的大规模网络，攻击树方法处理起来会非常复杂

MITRE ATT CK模型

网络红蓝对抗、安全渗透测试、网络防御差距评估、威胁情报收集

网络杀伤链(Kill Chain)模型

主动攻击与被动攻击

主动攻击

伪造、假冒、重放、修改信息和拒绝服务等

被动攻击

网络窃听、监听、嗅探、流量分析、口令截获、跨站脚本攻击XSS

防止被动攻击的主要手段是数据加密和网络监控。

两者区别

主动攻击一般是指攻击者对被攻击信息的修改，而被动攻击主要是收集信息而不进行修改等操作，被动攻击更具有隐蔽性

端口扫描

（1）完全连接扫描

源主机和目的主机的端口，建立一次三次握手

（2）半连接扫描

只完成前两次握手，不建立一次完整的连接

（3） SYN扫描

向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程【返回：ACK开放、RESET关闭】

（4） ID头信息扫描

借助第三方主机，ID头不是递增1而是大于1，说明开放。

（5）隐蔽扫描

绕过安全设备，取得目标主机端口信息

（6） SYN|ACK扫描

发送SYN |ACK数据包，不返回信息则端口开放，返回RST则端口关闭

（7） FIN扫描

发送FIN数据包，不返回信息则端口开放，返回RST则端口关闭

（8） ACK扫描

开放端口 TTL 值一般小于 64，关闭端口的返回值一般大于64

开放端口所返回的数据包的 WIN 值一般大于 0，而关闭端口的返回值一般等于0

（9） NULL扫描

标志位置成或者设为0，不返回信息则端口开放，返回RST则端口关闭

（10） XMAS扫描

标志位设置成1，不返回信息则端口开放，返回RST则端口关闭

可能会考

（11）总结

端口开放

不返回信息、返回ACK(仅限于SYN扫描)、ID头递增大于1

端口关闭

RESET、RST

拒绝服务类型

本质

延长服务等待时间

当服务等待时间超过某个阈值时，用户因无法忍耐而放弃服务。

类型

1、同步包风暴(SYN Flood):发送大量的半连接状态的服务请求，使TCP/IP的三次握手无法完成，从而无法建立连接

2、UDP洪水(UDP Flood):利用主机能自动回复的服务，在两台主机之间传送足够多的无用数据流

3、Smurf攻击：将回复地址设置成目标网络广播地址，如果再复杂点就把原地址改为第三方的目标网络

4、垃圾邮件：耗尽用户信箱的磁盘空间，使用户无法应用这个邮箱

5、消耗CPU和内存资源的拒绝服务攻击：构造恶意的输入数据，导致目标系统CPU或资源耗尽

6、死亡之ping:ICMP数据包大于64KB,就会出现内存分配错误

7、泪滴攻击：暴露出IP数据包分解与重组的弱点，通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果。

8、分布式拒绝服务攻击：植入后门程序，然后统一攻击同一目标，最著名的有 Trino0、TFN、TFN2K和Sacheldraht四种。

DDOS攻击类型

HTTP Flood攻击

利用僵尸主机向特定目标网站发送大量的 HTTP GET 请求，以导致网站瘫痪

SYN Flood攻击

利用 TCP/IP 协议的安全缺陷，伪造主机发送大量的SYN包到目标系统，导致目标系统的计算机网络瘫痪。

DNS放大攻击

攻击者假冒目标系统向多个DNS解析服务器发送大量请求，而导致DNS解析服务器同时应答目标系统，产生大量网络流量，形成拒绝服务。

密码破解

口令猜测

主要针对弱口令

穷举搜索

使用高性能计算机，逐个尝试可能的密码

撞库

用已经收集的用户名密码，去和目标系统的用户信息进行匹配

John the Ripper 用于检查 Unix/Linux 系统的弱口令

LophCrack 常用于破解 Windows 系统口令

三、密码学基本理论

（1）术语

D是解密 E是加密 M是明文 C是密码文 Ke是加密密钥 Kd是解密密钥

（2）国家秘密分类：绝密、机密、秘密

（3）密码分类

核心密码

普通密码

用于保护国家机密、秘密级别的信息

商用密码

人人可用的密码

用于保护国家绝密、机密、秘密级别的信息

递减

（4）密码分析攻击类型

唯密文攻击

只知道密文

已知明文攻击

只知道部分明文x和对应密文y(这个片段是固定的)

选择密文攻击

除了挑战密文外，选定的密文所对应的明文

选择明文攻击

知道自己选定的明文X和对应的密文y(可以自己选择任意明文)(这个片段是固定的)

密文验证攻击

对于任何选定的密文，黑客能够得到该密文"是否合法"的判断

（5）国产密码算法（12349）

SM1

SM4

14对称加密，分组长度和密钥长度都为128比特

SM2

非对称加密，用于公钥加密算法、密钥交换算法、数字签名算法椭圆曲线公钥密码算法，256

背包问题：背包算法椭圆曲线问题： ECC、SM2 大素数因子分解的困难性： RSA 离散对数问题： ELGamal、DH

几种重要算法的设计

SM3

杂凑算法，算法消息分组长度为 512 比特，输出杂凑值长度为 256 比特

椭圆（SM2）杂凑256

SM9

标识密码算法

（6）常见密码算法

DES

分组长度为64位，除去8位校验位，实际密钥长度为56位；

AES

美国NIST

> 密码必须是没有密级的，绝不能像商业秘密那样来保护它

> 算法的全部描述必须公开披露；

> 密码必须可以在世界范围内免费使用；

> 密码系统支持至少128比特长的分组；

> 密码支持的密钥长度至少为128、192和256比特。

> 分组长度128

IDEA

分组长度64，密钥长度128

RSA

公钥和私钥都可以用于加密消息

目前，SSH、OpenPGP、S/MIME和SSL/TLS都依赖于RSA进行加密和数字签名功能。

算法基于大素数因子分解的困难性

（7） RSA计算题

公式：【e*d mod φ(n）= 1】

ed=φ(n）* X（倍数） + 1

求密文值，用公钥求明文值，用私钥

密文 C ==>ciphertext 明文 M ==>message e ==>公钥参数 d==>私钥参数 φ(n）欧拉函数

（8）哈希

哈希函数 h(m)是有损压缩，不管消息m多长，哈希后得到的都是一个固定值。不可逆的，具体有单向性，加密函数没有哈希函数安全

网页防篡改应用

网页文件管理者首先用网页文件生成系列Hash值，并将Hash值备份存放在安全的地方。然后定时再计算这些网页文件的Hash值，如果新产生的Hash值与备份的Hash值不一样，则说明网页文件被篡改了。

特点

单向性

加密算法可逆，哈希算法不可逆

完整性校验

雪崩效应

确认文件是否被篡改过

缺点：

不管消息m多长，哈希后得到的都是一个固定值，意味着不同的输入可以得到相同的输出，这就是冲突/碰撞

常见的哈希算法

MD5算法

产生128位的哈希值

SHA算法

产生160位的哈希值

SM3

分组长度为 512 比特，杂凑值长度为 256 比特

（9）加密通信

私钥密码体制

概念

加密和解密使用相同的密钥 Ke=Kd

反过来，只有公钥，对称加密

RC5

网络中有n个使用者，使用者之间共享一个密钥，则共有n(n-1)/2个密钥。

缺点

密钥分配问题、密钥管理问题以及无法认证源。

优点

私钥密码算法处理速度快

公钥密码体制

概念

加密和解密使用不同的密钥

反过来，有私钥，非对称加密

RSA、DH、ECC

Ke≠Kd

记忆方法：与名称相反的理解

加密算法可逆，哈逆不可逆

数字信封

混合密码体制

通过非对称加密的方式传递对称加密的密钥，再通过对称加密的方式传递主体数据

数字信封

非对称加密【也称公钥加密】

公钥用来加密，私钥用来解密

（10）数字签名【hash+私钥加密】

基本原理

私钥用来加密，公钥用来解密

对称性

概念

发送方使用私钥对待签名数据的杂凑值做密码运算得到的结果。用私钥签署

该结果只能用发送方的公钥进行验证

公钥验证

一、用于确认数据的完整性（使用了哈希）二、发送者身份的真实性（确保是A发送的）三、签名行为的抗抵赖性。

满足条件

非否认性

真实性

可鉴别性

特点

是可信的、不可伪造的、不可重用的、不可改变的、不可抵赖、不可修改的

数字签名是一串二进制的字符串

公钥密码体制和单向安全Hash函数算法相结合

数字签名组成

签名算法

RSA、Rabin、EIGamal、DSS

签名算法密钥是秘密的，只有签名人掌握

验证算法

公开的，以便他人验证

签名与加密

相同点

一般是签名者利用私钥对需要签名的数据进行加密，验证方利用签名者的公钥对签名数据做解密运算。

不同点

加密的目的是保护信息不被非授权用户访问，而签名是使消息接收者确信信息的发送者是谁，信息是否被他人篡改。【总结】：确保消息是A发送的，发送的消息没有被篡改

签名：为了保证不可抵赖性、完整性加密：机密性

数字签名缺陷

缺乏认证

不能验证发信人身份

数字证书可以解决数字签名的这个缺陷

黑客可以假冒发信人的身份

（11）数字证书【也称公钥证书】

概念

数字证书是由一个可信第三方发出的（是由证书认证机构(CA)签名的），用来证明所有人身份以及所有人拥有某个公钥的电子文件。特点：证明身份，可以理解为【身份证】

基于信任，信任发证机构这个证书也有证书机构的数字签名

Bob不会把公钥上传到公共服务器上让Alice去下载而是把公钥附带上一个数字证书发给Aalice 这个证书是由可信第三方CA签发的。

A 证书通常携带持有者的公开密钥 B 证书携带CA的签名算法标识 C 证书的有效性可以通过CA的签名验证

组成

不包括加密算法

（12）公钥基础设施PKI【可信第三方】【解决公钥被伪造的问题】

作用：可信第三方，构建信任，发行数字证书，然后PKI签名数字证书

证书授权机构CA

CA负责签发证书、管理和撤销证书，包括证书的审批及备份

证书注册机构RA

将公钥和对应的证书持有者的身份及其他属性联系起来，进行注册和担保

（13） PGP

电子邮件安全

PGP应用了多种密码技术，其中密钥管理算法选用 RSA 数据加密算法 IDEA 、完整性检测 MD5 数字签名算法RSA

四、网络安全体系和模型

网络安全体系特征

整体性

全局、长远的角度，形成人机物一体化的网络安全保护方式

协同性

依赖于多种安全机制，通过各种安全机制的相互协作

过程性

覆盖保护对象的全生命周期

全面性

基于多个维度、多个层面

适应性

具有动态演变机制，能够适应网络安全威胁的变化和需求

BLP与Biba模型

一、 BLP机密性模型下读上写

简单安全特性（读）

*星特性（写）

信息流只向高级别的客体方向流动，而高级别的主体可以读取低级别的主体信息。

写

BLP模型用于实现军事安全策略

记忆方法：下吐上泄

二、 Biba完整性模型不能下读-->上读不能上写-->下写不能调用

简单安全特性（读）

*星特性（写）

调用特性

一共是3个特性

与BLP模型恰恰相反

主要用于防止非授权修改系统信息，以保护系统的信息完整性

信息流模型

信息流模型可以用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。

隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取

通过信息流分析以发现隐蔽通道，阻止信息泄露途径。

信息流保障模型

P2DR：策略、保护、检测、响应

记住这个，其他两种就是扩展

安全策略描述系统的安全需求，以及如何组织各种安全机制实现系统的安全需求

PDRR

保护

加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙

检测

入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等

响应

应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等

恢复

数据备份、数据修复、系统恢复等。

WPDRRC：预警、保护、检测、响应、恢复、反制

网络信息安全的基本功能（容易混淆）

防御：采取各种手段和措施，使得网络系统具备阻止、抵御各种已知网络安全威胁的功能

监测：采取各种手段和措施，检测、发现各种已知或未知的网络安全威胁的功能

应急：采取各种手段和措施，针对网络系统中的突发事件，具备及时响应和处置网络攻击的功能

恢复：采取各种手段和措施，针对已经发生的网络灾害事件，具备恢复网络系统运行的功能

网络生存模型3R策略内容

抵抗 (Resistance) 识别 (Recognition) 恢复 (Recovery)

没有响应

NIST网络安全框架体系

识别、保护、检测、响应、恢复

深纵防御的四道防线（安全保护、安全监测、实时响应、恢复）

网络安全技术四个类型

能力成熟型模型CMM

（1）能力成熟度模型

1级-非正式执行

具备随机、无序、被动的过程；

2级-计划跟踪

具备主动、非体系化的过程；

3级-充分定义

具备正式的、规范的过程；

4级-量化控制

具备可量化的过程；

5级-持续优化

具备可待续优化的过程。

（2）系统安全工程CMM

工程过程类

项目过程类

组织过程类

（3）软件安全CMM

（4）数据安全CMM

等保2.0变化

一是扩大了对象范围，将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“网络安全通用要求+新型应用的网络安全扩展要求”的要求内容。

二是提出了在“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

三是等级保护2.0新标准强化了可信计算技术使用的要求，各级增加了”可信验证”控制点。

其中，一级要求设备的系统引导程序、系统程序等进行可信验证；二级增加重要配置参数和应用程序进行可信验证，并将验证结果形成审计记录送至安全管理中心；三级增加应用程序的关键执行环节进行动态可信验证；四级增加应用程序的所有执行环节进行动态可信验证。

五、物理与环境安全技术

硬件漏洞类型

硬件木马

是指在集成电路芯片 (IC) 中被植入的恶意电路

硬件木马检测:反向分析法、功耗分析法、侧信道分析法

硬件协同的恶意代码

硬件可以使得非特权的软件访问特权的内存区域。 cloaker 是硬件支持的 Rootkit。

硬件安全漏洞利用

熔断(Meltdown)和幽灵(Spectre)CPU 洞属于硬件安全漏洞

以侧信道的方式

基于软件漏洞攻击硬件实体

利用控制系统的软件漏洞，修改物理实体的配置参数震网病毒==>利用软件漏洞攻击硬件实体

机房功能区域

主要工作房间:主机房、终端室等

第一类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等

和电有关的

第二类辅助房间:资料室、维修室、技术人员办公室

第三类辅助房间:储藏室、缓冲间、技术人员休息室、盟洗室等

机房安全等级（3个级别）

A级

造成严重损害、对机房安全有严格要求、有完善的机房安全措施

B级

造成较大损害、对机房安全有较严格要求、有较完善的机房安全措施

C级

不属于A、B级的情况

对计算机机房的安全有基本的要求

递减

数据中心等级（3个级别）

A级

造成重大的经济损失、造成公共场所秩序严重混乱

B级

造成较大的经济损失、造成公共场所秩序混乱

C级

不属于A、B级的情况

递减

数据中心建设

超大型数据中心

大于等于10000个

大型数据中心

大于等于 3000 个标准机架小于 10000 个

中小型数据中心

小于3000

数据中心设计规范

IDC（互联网数据中心）机房等级

不应小于99.5%

不应小于99.9%

不应小于99.99%

六、身份认证技术

A→B：表示B验证A的身份，箭头代表方向，代表A发消息给B，所以是B验证A的身份

认证组成

标识

这些标志可以是IP地址、网卡地址、通讯运营商信息 (典型的是手机号) 等。

鉴别

鉴别一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。鉴别的凭据主要有所知道的秘密信息、所拥有的凭证、所具有的个体特征以及所表现的行为。

认证原理

验证对象、认证协议、鉴别实体

认证

单因素、双因素、多因素

一次性口令OTP

防止口令重用攻击

例如

短消息验证码

持续认证

连续提供身份确认

认知因素

物理因素

上下文因素

认证类型

1. 单向认证

I. 基于共享密钥

II. 基于挑战响应

挑战就是一个随机数

响应就是对随机数的响应

2. 双向认证

双方互为验证者

3. 第三方认证

Kerberos（采用DES加密算法）

客户端

AS认证服务器

TGT票据发放服务器

应用服务器

Kerberos认证

采用对称密码技术(DES加密算法)

是一个网络认证协议

快速在线认证FIDO

FIDO 使用公钥加密技术来提供强身份验证

七、访问控制专题

类型

DAC自主访问控制

基于行的自主访问控制

（1）能力表

读、写、执行

（2）前缀表

（3）口令

password

基于列的自主访问控制

（1）访问控制表ACL

（2）保护位

就是Liniux下的rwx

MAC强制访问控制

如进程要访同文件，则进理的安全级别/范畴>=文件，否则拒绝访问

MAC在信息安全中还有其他含义 MAC（消息认证码）-验证消息的完整性 MAC（物理地址）

基于角色的访问控制RBAC

4A系统

用户 (U)、角色(R)、会话 (S) 和权限（P）

一个角色可以拥有多个权限，一个权限也可以赋予多个角色

一个用户可以扮演多个角色，一个角色也可以由多个用户承担

4A：认证，账号，授权，审计

基于属性的访问控制ABAC

最小特权管理

1. 特权:是用户超越系统访问控制所拥有的权限

2. 最小特权原则指系统中每一个主体只能拥有完成任务所必要的权限集

3. 操作系统特权通常是指系统中某些用户或进程具有超级权限的操作能力

4. 最小特权管理就是操作系统不分配用户超过执行任务所需的权限，防止权限滥用，减少系统的安全风险。

5. 按需分配（Need to Use）

参考模型

访问控制组成

主体

主体是客体的操作实施者

客体

客体是被主体操作的对象

参考监视器

参考监视器是访问控制的决策单元和执行单元的集合体

访问控制数据库

主体访问客体的权限及其访问方式的信息，提供访问控制决策判断的依据，也称为访问控制策略库

审计库

存储主体访问客体的操作信息，包括访问成功、访问失败

八、防火墙专题

带内和带外

带外访问

带外(out of-band)访问不依赖其他网络

带外管理：业务口和管理口是不同的口，可以本地物理从管理口接入

带内访问

而带内(in-band)访问则要求提供网络支持

带内：业务口和管理口是同一个。所以要求提供网络支持，因为业务口不能拔掉

iptables

黑名单:默认允许所有，把想拒绝的规则写进去

白名单:默认拒绝所有，把想放行的规则写进去

防火墙的功能

过滤非安全网络访问

只允许符合安全策略的通过

限制网络访问

限制外网只能访问DMZ或者特定主机

网络访问审计

防火墙日志

网络带宽限制

qos保障

协同防御

可以和IPS设备联动

防火墙缺点

防火墙功能缺陷

1. 不能完全防止感染病毒的软件或者文件传输

2. 不能防止基于数据驱动式的攻击

3. 不能完全防止后门攻击

旁路

单点故障和特权威胁

无法有效防范内部威胁

依赖于安全规则的更新

实现技术

包过滤技术

网络层

对用户透明

存在但不干预

用户意识不到防火墙的存在

匹配操作：拒绝、转发、审计

在网络层实现

状态检测技术

传输层

接收数据包

检查数据包的有效性，若无效则丢包并审计

查找会话表，若找到，则进一步检查

若没找到，说明是首包，则查找策略表，如符合策略表，则增加会话条目到会话表中

应用服务代理器

应用层

缺点

1. 速度比包过滤慢

2. 对用户不透明

3. 与特定应用协议相关联，代理服务器并不能支持所有的网络协议。

优点

1. 不允许外部主机直接访问内部主机

2. 持多种用户认证方案

3. 可以分析数据包内部的应用命令

4. 可以提供详细的审计记录

NAT

静态NAT

内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址

NAT池

在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络。

这个其实就是动态NAT，但是在课本中没有这个概念所以选择题不能选动态NAT，就选NAT池

端口NAT

PAT

是把内部地址映射到外部网络的一个 IP 地址的不同端口上

防火墙类型

基于双宿主主机的防火墙

只有一台，双网卡

基于代理型的防火墙

有两台

基于屏蔽子网的防火墙

有三台

下午题技巧

允许数据包通过

reject

拒绝数据包通过，并且通知信息源该信息被禁止

drop

丢弃数据包，且不通知

任意服务端口都有两条规则，一进一出

防火墙的第一条或者最后一条规则一定是拒绝（drop、deny），考试可以填中文拒绝，允许英文是accept

协议这一栏，不是填TCP就是填UDP

防火墙部署基本方法

划分若干安全区域

设置访问控制点

制定边界安全策略

采用合适的防火墙技术和防御结构

配置安全策略

运行维护

防火墙性能指标

最大吞量

最大连接速率

最大规则数

并发连接数

不是最大连接数

九、 VPN专题

VPN类型

链路层

PPTP、L2TP、ATM、Frame Relay、MPLS

网络层

IPSEC

GRE

传输层

TSL、SSL

根据VPN的用途，VPN可分为三种应用类型

远程访问(Access VPN)

企业内部(Intranet VPN)

企业扩展(Extranet VPN)

VPN安全服务

保密性服务

防止传输的信息被监听

完整性服务

防止传输的信息被修改

认证服务

提供认证，防止非法接入

没有可用性！

其他知识点

VPN的核心技术是密码算法，而不是密钥管理

IPSEC VPN

IPSEC组成

AH协议，认证头

提供完整性和数据源认证，不提供机密性，它不对数据进行加密

ESP协议，封装安全负荷

加密（机密性），防重放攻击，生成带有ESP协议的新的IP包

密钥交换协议

IKE

ISAKMP

OAkley

IPSEC 工作模式

传输（transport）模式：主要用于主机和主机之间端到端通信的数据保护封装方式：不改变原有的IP包头，在原数据包头后面插入IPSec包头，只封装数据部分原来的IP头+AH协议+数据

隧道（tunnel）模式：主要用于私网与私网之间通过公网进行通信，建立安全VPN通道。封装方式：增加新的IP（外网IP）头，其后是ipsec包头新的IP头（外网IP）+AH协议 +原来的IP头+数据

SSL VPN

协议

SSL握手协议

握手协议

用于身份鉴别和安全参数协商

密码规格变更协议

用于通知安全参数的变更

报警协议

用于关闭通知和对错误进行报警

上层协议

SSL记录协议

用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等

其位于传输层TCP 之上

最底层协议

SSL协议是介于应用层和传输层TCP之间的协议

三种安全服务

保密性通信

点对点之间的身份认证

可靠性通信

PPTP

TCP 的 1722 端口

L2TP

网络层

L2TP 采用专用的隧道协议，该协议运行在 UDP 的 1701 端口

十、入侵检测专题

IDS入侵检测是并联，并联就是旁路部署，只监测不处置 IPS入侵防御是串联，有处置功能，属于网关产品

基于网络的IDS 基于主机的IDS

基于误用的IDS

特征库模式匹配，误报率低，可以发现已知攻击

基于异常的IDS

行为匹配，误报率高，可以发现已知和未知攻击

入侵，简称CIDF

入侵检测模型，简称CIDF

事件产生器

事件分析器

响应单元

事件数据库

网络入侵检测系统snort

十一、物理隔离专题

概述

避免两台计算机之间直接的信息交换以及物理上的连通，以阻断两台计算机之间的直接在线网络攻击。隔离的目的是阻断直接网络攻击活动，避免敏感数据向外部泄露，保障不同网络安全域之间进行信息及数据交换

机制与实现技术

（1）专用计算机上网

这台计算机只与外部网相连，不与内部网相连

用户必须到指定的计算机才能上网，并要求用户离开自己的工作环境。

（2）多PC

一台用于连接外部网络，另一台用于连接内部网络。

（3）外网代理服务

在内部网指定一台或多台计算机充当服务器，负责专门搜集外部网的指定信息，然后把外网信息手工导入内部网，供内部用户使用

（4）内外网线路切换器

在内部网中，上外网的计算机上连接一个物理线路AB 交换盒，通过交换盒的开关设置控制计算机的网络物理连接。

（5）单硬盘内外分区

把单一硬盘分隔成不同的区域，在任一时间内，仅允许操作系统访问指定的分区

优点

提供数据分类存放和加工处理，可有效防止外部窃走内部网数据，实现一台 PC 功能多用，节省资源开支

缺点

操作失误，如误将敏感数据存放在对外硬盘分区中、驱动程序软件 bug、计算机病毒潜入、内部人员故意泄露数据、特洛伊木马程序

（6）双硬盘

两个硬盘实际上安装了两个操作系统，需要不断得重新启动切换，不方便

在一台机器上安装两个硬盘，通过硬盘控制卡对硬盘进行切换控制，用户在连接外网时，挂接外网硬盘，而当用内网办公时，重新启动系统，挂接内部网办公硬盘

（7）网闸

通过利用一种 GAP 技术，使两个或者两个以上的网络在不连通的情况下，实现它们之间的安全数据交换和共享。

两个独立主机不存在通信的物理连接，而且主机对网闸的操作只有“读”和“写”

（8）协议隔离技术

处于不同安全域的网络在物理上是有连线的，通过协议转换的手段保证受保护信息在逻辑上是隔离的

（9）单向传输部件

发送部件仅具有单一的发送功能，接收部件仅具有单一的接收功能，两者构成可信的单向信道

（10）信息摆渡技术

是信息交换的一种方式，物理传输信道只在传输进行时存在

（11）物理断开技术

指处于不同安全域的网络之间不能以直接或间接的方式相连接。

物理断开通常由电子开关来实现

产品与技术指标

终端隔离产品

以隔离卡的方式接入目标主机

网络隔离产品

产品技术原理采用"2+1"的架构，即以两台主机+专用隔离部件构成

网络单向导入产品（单导）

位于两个不同的安全域之间，通过物理方式 (可基于电信号传输或光信号传输) 构造信息单向传输的唯一通道，实现信息单向导入，并且保证只有安全策略允许传输的信息可以通过，同时反方向无任何信息传输或反馈

十二、网络安全审计

概念与标准

1. 对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作

2. 网络安全审计的作用在于建立"事后"安全保障措施

3. 常见的安全审计功能是安全事件采集、存储和查询

4. GB17859《计算机信息系统安全保护等级划分准则》(以下简称《准则》)从第二级【系统审计保护级】开始要求提供审计安全机制，一级【用户自主】不要求审计

该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责

5. TCSEC中，规定从C2级开始提出了安全审计的要求

6. 留存相关的网络日志不少于六个月

审计机制

基于主机的审计

基于网络通信的审计

基于应用的审计

审计系统组成与类型

审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。

安全审计技术

字符串匹配

通过模式匹配来查找相关审计数据，以便发现安全问题。

常见的字符串匹配工具是grep，regexp为正则表达式，用来表示要搜索匹配的模式。

全文搜索

利用搜索引擎技术来分析审计数据，常见的是ES

数据关联

识别未知攻击手段

统计报表

日报、周报、月报

可视化分析

数据库审计

网络监听审计

自带审计

数据库Agent

Linux 日志审计命令

系统开机自检日志 boot.log

用户命令操作日志acct/pacct

使用 su 命令日志 sulog

最近登录日志 lastlog

当前用户登录日志 utmp

用户登录和退出日志 wtmp

系统接收和发送邮件日志 mai1log

系统消息messages

十三、网络安全漏洞防护

防止重放攻击

随机数(nonce)

时间戳

序列号

S/key（一次一密）

漏洞的补丁状况

0-day，还未公布，只有少数人知道

新发现的、尚未提供补丁的漏洞。

通常被用来实施定向攻击

1-day，刚刚公布（没有超过一天）或者还没有POC或者EXP

N-day，公布了N天的漏洞

来源及分类

CVSS（国际）

通用漏洞计分系统

依据

基本度量计分

时序度量计分

环境度量计分

CVSS采用十分制的方式对安全漏洞的严重性进行计分评估分数越高则表明漏洞的危害性越大 CVSS的最新版本是v3.0

CVE

CVE 是由美国 MITRE公司建设和维护的安全漏洞字典。CVE 给出已经公开的安全漏洞的统一标识和规范化描述，其目标是便于共享漏洞数据。

CNNVD

国家信息安全漏洞库

CNVD

国家信息安全共享平台

国内的漏洞分类分级标准 CNVD漏洞分类是11类，CNNVD漏洞分类几十类

解决漏洞的方法

漏洞检测、漏洞修补、漏洞预防

漏洞发布

三种形式：网站、电子邮件、安全论坛

安全事件

漏洞扫描

（1）主机漏洞扫描器

主机漏洞扫描器不需要通过建立网络连接就可以进行，其技术原理一般是通过检查本地系主机漏洞扫描器的运行与目标系统在同一主机上，并且只能进行单机检测

COPS用来检查 UNIX 系统的常见安全配置问题和系统缺陷

Tiger 是一个基于 shell 语言脚本的漏洞检测程序,用于UNIX 系统的配置漏洞检查

MBSA是 Windows 系统的安全基准分析工具

（2）网络漏洞扫描器

Nmap 是国际上知名的端口扫描工具常用于检测目标系统开启的服务端口

Nessus 是典型的网络漏洞扫描器，由客户端和服务端两部分组成，支持即插即用的漏洞检测脚本

X-scan 是由国内安全组织 xfocus 开发的漏洞扫描工具，运行在 windows 环境中

（3）专用漏洞扫描器

漏洞修补技术

现状分析、补丁跟踪、补丁验证、补丁安装、应急处理和补丁检查。

防范技术

虚拟补丁

对尚未进行漏洞永久补丁修复的目标系统程序，在不修改可执行程序的前提下，检测进入目标系统的网络流量而过滤掉漏洞攻击数据包，从而保护目标系统程序免受攻击。虚拟补丁通过入侵阻断、Web 防火墙等相关技术来实现给目标系统程序"打补丁"，使得黑客无法利用漏洞进行攻击。

堆栈保护

堆栈保护 (Stack Protection)的技术原理是通过设置堆栈完整性标记以检测函数调用返回地址是否被篡改，从而阻止攻击者利用缓冲区漏洞。

SEHOP

SEHOP 原理是防止攻击者利用 Structured Exception Handler (SEH)重写。

数据执行阻止

数据执行阻止(DEP) 是指操作系统通过对特定的内存区域标注为非执行，使得代码不能够在指定的内存区域运行。利用 DEP，可以有效地保护应用程序的堆栈区域，防止被攻击者利用。

地址空间随机化技术

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动，会以 shellcode 地址来覆盖程序原有的返回地址。地址空间随机化 (ASLR)就是通过对程序加载到内存的地址进行随机化处理，使得攻击者不能事先确定程序的返回地址值，从而降低攻击成功的概率。目前，针对 Linux 系统，通过 ExecShield、PaX 工具可以实现程序地址空间的随机化处理。

漏洞防护网关产品

产品原理是通过从网络流量中提取和识别漏洞利用特征模式阻止攻击者对目标系统的漏洞利用

IPS（入侵防御）

WAF（WEB防火墙）

统一威胁管理 (UTM)

没有IDS，因为IDS不能阻断

十四、恶意代码防范

概述

违背目标系统安全策略的程序代码

Malicious Code

恶意代码

主动传播

计算机病毒、特洛伊木马、间谍软件、逻辑炸弹

被动传播（网络蠕虫）

攻击模型

入侵系统-->维持或者提升已有的权限-->隐蔽-->潜伏-->破坏

关键的恶意代码

（1）小莫里斯蠕虫

世界上首例蠕虫

（2） W32.Blaster.Worm

是一种利用DCOM RPC漏洞进行传播的网络蠕虫，传播能力很强

（3）震网病毒

是首个专门用于定向攻击真实世界中基础(能源)设施的恶意代码

（4） Casecode

是第一例采用加密技术的 DOS 环境下的恶意代码，Mad 和 Zombie 是 Cascade 加密技术的延伸，让恶意代码加密技术扩展到 32位的操作系统平台

此外，“中国炸弹”和“幽灵病毒”也是这类恶意代码

（5）网络神偷

我国最早实现端口反向连接技术的恶意代码。

灰鸽子是这项技术的集大成者

（6）红色代码（RedCode）

利用 IIS Server Indexing Service的缓冲区溢出漏洞完成攻击、传播和破坏等恶意目的。

（7）中国黑客

采用三线程技术的恶意代码

（8）广外女生

是一个国产特洛伊木马，对"金山毒霸"和"天网防火墙"采用超级管理技术进行拒绝服务攻击。

恶意代码分析

恶意代码种类

（1）计算机病毒 (Computer Virus)

基本特点

隐蔽性

传染性

计算机病毒可以进行自我复制

计算机病毒与其他程序最本质的区别在于计算机病毒能传染，而其他的程序则不能。没有传染性的程序就不是计算机病毒。

潜伏性

破坏性

病毒组成

复制传染部件

隐藏部件

破坏部分

常见类型

引导型病毒

病毒将真实的引导区内容修改或替换当病毒程序执行后，才启动操作系统

磁盘杀手病毒、AntiExe 病毒等

宏病毒(Macro Viruses)

多态病毒

杂乱的病毒体、解密例程、变化引擎

多态病毒没有固定的特征、没有固定的加密例程，从而就能逃避基于静态特征的病毒扫描器的检测。

隐蔽病毒

隐藏文件的日期、时间的变化，隐藏文件大小的变化、病毒加密

（2）特洛伊木马 (Trojan Horse) 简称木马

种类

包括webshell大马、小马，MSF马和CS马等

特点

不具有自我传播能力

远程控制

木马值入方式

主动植入

植入过程无须受害用户的操作

研究攻击目标系统的脆弱性，然后利用其漏洞

典型的方法是利用目标系统的程序系统漏洞植入木马

如红色代码，利用IIS漏洞

被动植入

人工干预方式，植入过程必须依赖于受害用户的手工操作

文件捆绑法

电子邮件附件

如 My.DOOM 的木马程序植入

web网页

（3）网络蠕虫(Worms)

特性

具有自我复制和传播能力、可独立自动运行的恶意程序

组成

探测模块

对特定主机的脆弱性检测，决定采用何种攻击渗透方式

传播模块

生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递

蠕虫引擎

该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集

负载模块

网络蠕虫内部的实现伪代码

传播方法

随机扫描

基本原理是网络蠕虫会对整个 IP 地址空间随机抽取的一个地址进行扫描，这样网络蠕虫感染下一个目标具有非确定性。

"slammer"蠕虫的传播方法就是采用随机扫描感染主机

顺序扫描

选择性扫描

漏洞类利用蠕虫包括

2001年的红色代码(CodeRed)和尼姆达(Nimda) 2003年的蠕虫王(Slammer) 和冲击波(MSBlaster) 2004年的震荡波(Sasser). 2005年的极速波(Zotob) 2006年的魔波(MocBot) 2008 年的扫荡波(Saodangbo). 2009 年的飞客(Conficker) 2010 年的震网(StuxNet) 。。。

传播策略

（4）逻辑炸弹 (Logic Bombs)

是一段依附在其他软件中，并具有触发执行破坏能力的程序代码

逻辑炸弹一旦触发，有可能造成文件删除、服务停止、软件中断运行等破坏

不能复制自身，不能感染其他程序。

（5）细菌 (Bacteria)

细菌是指具有自我复制功能的独立程序

（6）陷门

陷门不具有自动传播和自我复制功能。

（7）间谍软件 (Spyware)

间谍软件不具备自我复制功能

（8）恶意脚本 (Malicious Scripts)

（9）恶意ActiveX 控件

恶意代码传播

随机扫描

网络蠕虫会对整个 IP 地址空间随机抽取的一个地址进行扫描，这样网络蠕虫感染下一个目标具有非确定性

"slammer"蠕虫的传播方法就是采用随机扫描感染主机

顺序扫描

顺序扫描又可称为"子网扫描"，若蠕虫扫描的目标地址IP为A,则扫描的下一个地址IP为A+1或者A-1。

"W32.Blaster"是典型的顺序扫描蠕虫。

只有Blaster是顺序扫描，其他都是随机扫描

选择性扫描

基本原理是网络蠕虫在事先获知一定信息的条件下，有选择地搜索下一个感染目标主机。

恶意代码生存技术

反跟踪技术

反动态跟踪技术

禁止跟踪中断

检测跟踪法

其他反跟踪技术

如指令流队列法和逆指令流法等

反静态分析技术

对程序代码分块加密执行

伪指令法

将"废指令"插入指令流中，让静态反汇编得不到全部正常的指令

加密技术

信息加密、数据加密、程序代码加密

Cascade 是第一例采用加密技术的 DOS 环境下的恶意代码

Mad 和 Zombie 是 Cascade 加密技术的延伸

"中国炸弹"和"幽灵病毒"也是这一类恶意代码

模板变换技术

指令替换技术

指令压缩技术

指令扩展技术

伪指令技术

将无效指令插入恶意代码程序体，例如空指令。

重编译技术

自动生产技术

多态

变形技术

重汇编技术

压缩技术

膨胀技术

伪指令技术

重编译技术

三线程技术

是一个恶意代码进程同时开启了三个线程，其中一个为负责远程控制工作的主线程，另外两个为用来监视线程负责检查恶意代码程序是否被删除或被停止自启动的监视线程和守护线程。

进程注入技术

通信隐蔽技术

端口定制技术

端口复用技术

通信加密技术

隐蔽通道技术

没有端口随机技术

内核级隐藏技术

LKM隐藏

内存映射隐藏

十五、主动防御技术

入侵阻断

屏蔽指定IP地址

屏蔽指定网络端口

屏蔽指定域名

封锁指定 URL、阻断特定攻击类型

为零日漏洞提供热补丁

软件白名单

设置可信任的软件名单列表，以阻止恶意的软件在相关的网络信息系统运行。

移动互联网白名单应用审查流程共有如下三个环节：初审、复审、终审

流量清洗

通过异常网络流量检测，而将原本发送给目标设备系统的流量牵引到流量清洗中心，当异常流量清洗完毕后，再把清洗后留存的正常流量转送到目标设备系统

可信技术

是通过确保计算平台的可信性以保障网络安全

基于可信根，再建立一条信任链。一级认证一级，一级信任一级。把信任关系扩大到整个节点。

一个可信计算机系统由可信根、可信硬件平台、可信操作系统和可信应用系统组成

可信根TPM Trusted Platform Module 安全芯片

度量根RTM

Metric

root trust M

存储根RTS

Storage

root trust S

报告根RTR

Report

root trust R

可信网络连接TNC

完整性度量层

完整性评估层

网络访问层

数字水印

技术应用

版本保护

信息隐藏

信息溯源

访问控制

没有信息加密

分类

易感知的数字水印

不易感知的数字水印

嵌入和提取

嵌入方法

空间域方法

变换域方法

网络攻击陷阱

蜜罐主机技术

空系统

镜像系统

虚拟系统

陷阱网络技术

由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成

入侵容忍

安全 1.0 理念是把入侵者挡在保护系统之外。

安全 2.0 理念是检测网络安全威胁、阻止网络安全威胁、实现网络安全隔离

安全 3.0 理念是容忍入侵，对网络安全威胁进行响应，使受害的系统具有可恢复性

3R策略：抵抗(Resistance)、识别(Recognition)和恢复(Recovery)

隐私保护技术

隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类。

隐私保护技术方法

K-匿名方法

要求对数据中的所有元组进行泛化处理，使得其不再与任何人一一对应，且要求泛化后数据中的每一条记录都要与至少 k-1条其他记录完全一致。

差分隐私方法

抑制、泛化、置换、扰动、裁剪等。

隐私保护常见的技术

抑制

将数据置空

泛化

降低数据精度

置换

不对数据内容进行更改，只改变数据的属主

扰动

添加一定的噪声

包括数据增删，变化，对攻击者造成干扰

裁剪

将敏感数据分开发布

十六、安全风险评估

概述

简单地说，网络风险评估就是评估威胁者利用网络资产的脆弱性，造成网络资产损失的严重程度

评估模式

自评估

是网络系统拥有者依靠自身力量，对自有的网络系统进行的风险评估活动。

检查评估

由网络安全主管机关或业务主管机关发起，旨在依据已经颁布的安全法规、安全标准或安全管理规定等进行检查评估。

委托评估

指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。

风险评估过程

（1）评估准备

（2）风险要素识别

赋值说明

赋值都分为5级【很低、低、中等、高、很高】

12345，递增，数值越大，说明越重要，越严重，破坏越强

资产识别【价值】

资产保密性赋值

资产完整性赋值

资产可用性赋值

没有时间

很低

60min

低

30min

中

10min

高

不可中断

很高

资产重要性

威胁识别【频率】

威胁源

人为威胁

盗窃、破坏、网络攻击等。

自然威胁

威胁途径

如计算机病毒、特洛伊木马、蠕虫、漏洞利用和嗅探程序。

威胁效果

非法访问、欺骗、拒绝服务

威胁意图

挑战、情报信息获取、恐怖主义、经济利益和报复

威胁频率

是指出现威胁活动的可能性。

脆弱性识别【严重程度】

技术脆弱性

管理脆弱性

赋值

已有网络安全措施分析

（3）风险分析【计算题】

可能性乘以损失=风险值

计算顺序

1. 威胁出现频率

2. 脆弱性严重程度

3. 资产价值

定性

主观评估

定量

量化计算

定量计算方法的输出结果是一个风险数值。

综合计算

结合定性和定量方法，将风险评估的资产、威胁、脆弱性、安全事件损失等各要素进行量化赋值，然后选用合适的计算方法进行风险计算。

（4）风险处置

风险评估技术与工具

（1）资产收集

（2）网络拓扑发现

（3）漏洞扫描

（4）人工检查

（5）渗透测试

（6）问卷调查

采用书面的形式

（7）安全访谈

（8）审计数据分析

（9）入侵监测

主机入侵监测、网络入侵监测、应用入侵监测

风险评估项目流程和工作内容

前期准备

评估对象确定、评估范围界定、评估的粒度和评估的时间等

签订合同、保密协议

成立评估工作组

选择评估模式

评估方案设计与论证

确认评估方法

评估方案实施

敏感系统的测试，参加评估实施的人员要求至少两人，且必须领导签字批准。

风险评估报告撰写

评估报告是风险评估结果的记录文件，是组织实施风险管理的主要依据

报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、残余风险描述等。

评估认可

评估认可是单位最高管理者或上级主管机关对风险评估结果的验收，是本次风险评估活动结束的标志

十七、应急响应

国家互联网应急中心

CNCERT或CNCERT/CC

非政府非盈利

是中央网络安全和信息化委员会办公室领导下的国家级网络安全应急机构

积极预防、及时发现、快速响应、力保恢复

应急响应组分类

公益性应急响应组

内部应急响应组

商业性应急响应组

厂商应急响应组

应急响应预案

恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件 7个基本分类

分为国家级、区域级、行业级、部门级等网络安全事件应急预案。管理层级高的预案偏向指导，而层级较低的预案侧重于网终安全事件的处置操作规程

网络安全事件等级划分

特别重大

特别严重威胁

特别严重的系统损失

重大

极大影响

严重威胁

较大

较严重威胁

较大的系统损失

一般

构成一定威胁、造成一定影响的

应急处理流程

安全事件报警、安全事件确认、启动应急预案、安全事件处理、撰写安全事件报告、应急工作总结

应急演练

桌面应急演练

实战应急演练

单向应急演练

综合应急演练

检验性应急演练

示范性应急演练

研究性应急演练

网络安全取证

①取证现场保护。保护受害系统或设备的完整性，防止证据信息丢失。

②识别证据。识别可获取的证据信息类型，应用适当的获取技术与工具。

③传输证据。将获取的信息安全地传送到取证设备。

④保存证据。存储证据，并确保存储的数据与原始数据一致。

⑤分析证据。将有关证据进行关联分析，构造证据链，重现攻击过程。

⑥提交证据。向管理者、律师或者法院提交证据。

计算机取证

电子证据

高科技性

无形性

易破坏性

保护、确认、提取、归档

十八、网络安全测评

网络安全渗透测试的过程

委托受理

保密协议、合同

准备

方案、用户授权单

实施

形成渗透报告

综合评估

向客户发送报告，复测报告、评审

结题

客户满意度调查

安全等级测评过程

测评准备活动、方案编制活动、现场测评活动和报告编制活动四个基本测评活动

安全测评可分为三种类型

网络信息系统安全等级测评、网络信息系统安全验收测评、网络信息系统安全风险测评

基于实施方式分类

安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等

基于测评对象保密性分类

涉密信息系统安全测评、非涉密信息系统安全测评

十九、操作系统安全

Windows

（1）系统架构

第三层：基本系统服务

第二层：内核层

最底层：硬件抽象层

（2）操作系统安全等级

用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级

（3） Windows 2000架构有专门的安全子系统

本地安全授权(LSA)

提供了许多服务程序；产生令牌、执行本地安全管理、

安全账户管理(SAM)

SAM文件

SAM数据库进行维护，

安全参考监视器(SRM)

责访问控制和审查策略，由LSA支持。

（4） windows认证机制

本地认证

根据用户的本地计算机或者AD账户确认用户的身份

网络认证

Kerberos V5 、公钥证书和、NTLM

（5） windows访问控制

Windows NT/XP的安全性达到了橘皮书C2级，实现了用户级自主访问控制

安全性描述符

由用户 SID (Owner) 、工作组 SID (Group) 、自由访问控制列表 (DACL) 和系统访问控制列表 (SACL) 组成

（6） windows文件加密

加密的文件系统EFS

（7） windwos日志

应用程序日志

系统日志

安全日志

C:\Windows\System32\config

Uinx/Linux

认证方式

基于口令的认证

提供正确的用户名和口令

终端认证

限制超级用户远程登陆

主机信任机制

类似SSH免密码登陆

第三方认证

例如一次一密口令认证SKey、Kerberos认证系统、PAM

/etc/passwd文件，一共7个字段

/etc/passwd 文件对所有用户是可读的

rw-r--r--

默认权限为644，

r--r--r--

其最小权限为444

/etc/shadow/文件只有 root 用户拥有读权限

r--------

400

rw-------

600

Linux 用户三种角色

超级用户：root 拥有对系统的最高的管理权限 UID=0

系统用户：它是具有一定特权的用户，它们一般不需要用来登录系统系统用户 UID:1-999(centos7 版本) 1-499(centos6 版本)

普通用户 UID: 500+或者1000+开始，权限最低

查看第三列，代表UID，UID越大，权限越低

/sbin/nologin是不允许远程登陆

Linux日志审计

子主题

Tcpdump

Tcpdump tcp port 23 host X.Y.Z.1

命令

utmp

记录当前登陆的每个用户

wtmp

记录每一次用户登陆和注销的历史信息

网络服务最小化

国产操作系统

中标麒麟、中科方德等厂商研发的国产操作系统通过了国家标准《信息安全技术操作系统安全技术要求 (GB / T 20272 2019) 》中规定的第三级、第四级认证。

二十、数据库系统安全

数据库安全机制

数据库加密

一是与数据库网上传输的数据，通常利用 SSL 协议来实现

二是数据库存储的数据，通过数据库存储加密来实现。

数据库存储加密

库内加密

在 DBMS 内部实现支持加密的模块

库外加密

在 DBMS 范围之外，由专门的加密部件完成加密解密操作

基于文件的数据库加密技术

将数据库文件作为整体，对整个数据库文件进行加密，形成密文来保证数据的机密性。

基于记录的数据库加密技术

将数据库的每一个记录加密成密文并存放于数据库文件中。

基于字段的数据库加密技术

加密数据库的字段，以不同记录的不同字段为基本加密单元进行加密。

数据库防火墙

（1）通过 SQL 协议分析，根据预定义的禁止和许可策略让合法的 SQL 操作通过，阻断非法违规操作

（2）屏蔽直接访问数据库的通道。数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。

（3）增强认证。应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。

（4）防止内部高危操作。系统维护人员、外包人员、开发人员等具有直接访问数据库的权限，可能有意无意地进行高危操作对数据造成破坏。通过数据库防火墙可以限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate 等高危操作避免大规模损失。

数据库脱敏

数据脱敏指按照脱敏规则对敏感数据进行的变换，去除标识数据，数据实现匿名化处理，从而实现敏感数据的保护。

目前，常见的数据脱敏技术方法有屏蔽、变形、替换、随机、加密，使得敏感数据不泄露给非授权用户或系统。

数据库漏洞扫描

数据库类型

关系型数据库

Oracle、DB2、PostgreSQL、Microsoft SQL Server、Microsoft Access、MySQL

非关系型数据库

NoSql、Cloudant、MongoDB、redis、HBase

Oracle安全

（1） Oracle 数据库要求进行特别认证，支持强认证、操作系统认证、口令文件认证。网络认证支持第三方认证、PKI 认证、远程认证等[2021 考点]

（2） Oracle 数据库建立数据库保险库 (Database Vault，DV) 机制，该机制用于保护敏感数据。

（3） Oracle 数据库可审计的活动有3 种类型:登录尝试、数据库活动和对象存取

（4） Oracle 数据库提供透明数据加密和数据屏蔽机制，以保护数据安全。

MS SQL安全

（1）支持 Windows认证和混合认证两种方式。Windows认证是默认认证方式，SQLServer信任特定的 Windows用户账户和组账户，可以直接登录访问 SQL Server

（2）采用基于角色的访问控制。其中角色分为三种类型，即固定服务器角色、固定数据库角色和应用角色。每个角色赋予一定的权限

（3） MS SQLServer2008 提供透明数据库加密服务。透明加密使用不同密钥对不同敏感数据进行加密处理，其中密钥类型有服务主密钥、数据库主密钥、数据库密钥。

（4）备份机制主要支持静态备份和动态备份。SQL Server 有四种备份方案:文件和文件组备份、事务日志备份、完全备份、差异备份。--没有增量备份

（5）恢复机制有三种模型:简单恢复、完全恢复和批量日志记录恢复

My SQL安全

MySQL 具有 5个授权表: user、db、host、tablespriv 和 columns priv

微软安全响应中心MSRC

0-检测到被利用、1-可能被利用、2-不太可能被利用和 3-不可能被利用

二十一、网络设备安全

二十二、云计算

类型

Iaas

基础设施

Infrastructure

Paas

平台即服务

Platform

Saas

软件即服务

Soft

STaas

存储即服务

STorage

Daas

数据即服务

Data

容灾备份机制

两地

同城、异地

三中心

生产中心、同城容灾中心、异地容灾中心

私有云

指云计算设施为某个特定组织单独运营云服务，可能由组织自身或委托第三方进行管理

公有云

云计算设施被某一组织拥有并进行云服务商业化

社区云

指云计算设施由多个组织共享，用于支持某个特定的社区团体，可能由组织自身或委托第三方进行管理

混合云

指云计算设施由两个或多个云实体(公有云、私有云、社区云)构成，经标准化或合适的技术绑定在一起，该技术使数据和应用程序具备可移植性。

二十三、移动应用安全

组成

移动应用

简称APP

通信网络

包括无线网络、移动通信网络及互联网

应用服务端

由相关的服务器构成，负责处理来自App的相关信息或数据。

IOS架构【4层】

可触摸层

最后一层

媒体层

视听方面的技术

核心服务层

核心操作系统层

记忆方法：【操作服务，媒体触摸】

i0S平台的安全架构可以分为硬件、固件、软件。

安卓架构【4层】

应用程序层

权限声明机制

由APK包中的Manifest文件确定

normal权限

不会给用户带来实质性的伤害

dangerous权限

可能会给用户带来潜在威胁，如读取用户位置信息，读取电话簿等

signature权限

表示具有同一签名的应用才能访问

signatureOrSystem权限

主要由设备商使用

应用程序框架层

应用程序签名机制

系统运行库层

沙箱机制

SSL/TLS

Linux内核层

文件系统安全、地址空间布局随机化、SElinux

记忆方法：【内核运行，框架程序】

APP安全加固

防反编译

对移动应用程序文件进行加密处理

代码混淆

名字混淆

控制混淆

计算混淆

插入无关代码，修改计算等式

防调试

如清理用户数据、报告程序所在设备的情况、禁止使用某些功能甚至直接退出运行

防篡改

通过数字签名和多重校验的防护手段

防范移动应用程序APK被二次打包以及盗版。

防窃取

对移动应用相关的本地数据文件、网络通信等进行加密

二十四、大数据安全

特点

数据类型多

数据量大

价值密度低

处理速度快

二十五、工控安全

工业控制系统简称工控，ICS

工控系统网络信息安全偏重于“可用性-完整性-保密性”需求顺序。

组成

SCADA系统

以计算机为基础对远程分布运行的设备进行监控，功能主要包括数据采集、参数测量和调节。

PLC系统

PLC 主要执行各类运算、顺序控制、定时等指今，用于控制工业生产装备的动作，是工业控制系统的基础单元。

工控远程访问安全

（1）确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。

（2）确需远程维护的，采用虚拟专用网络(VPN)等远程接入方式进行

（3）保留工业控制系统的相关访问日志，并对操作过程进行安全审计。

工控恶意代码防范

经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件

在补丁安装前补丁进行严格的安全评估和测试验证。

电力监控系统

安全分区、网络专用、横向隔离、纵向认证