计算机三级信息安全技术知识点总结(7)
TCG使用了可信平台模块,而中国的可信平台以可信密码模块为核心。
漏洞利用的核心,是利用程序漏洞去执行shellcode以便劫持进程的控制权。
恶意影响计算机操作系统,应用程序和数据的完整性、可用性、可控性和保密性的计算机程序是恶意程序。
根据加壳原理的不同,软件加壳技术包括压缩保护壳和加密保护壳。
处于未公开状态的漏洞是0day漏洞。
国家信息安全漏洞共享平台是CNCERT联合国内重要信息系统单位建立的信息安全漏洞共享知识库,它的英文缩写是CNVD。
电子签名需要第三方认证,是由依法设立的电子认证服务提供方提供认证服务的。
IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域:网络和基础设施、区域边界、计算环境和支撑性基础设施。
IATF提出的信息保障的核心思想是纵深防御战略。
IATF提出了三个主要核心要素:人员,技术和操作。
root账户 Unix\Linux超级账户可以有多个。
Windows系统 查看当前已经启动的服务列表的命令是:net start。
软件漏洞利用防范技术:safeSEH、SEHOP、ASLR
漏洞利用技术:NOP
误用检测技术(又称特征检测):专家系统 模型推理 状态转换分析 条件概率 键盘监控。
特征码查杀技术不能有效检测采用加壳技术的恶意程序。
误用检测:对于已知攻击类型的检测非常有效,而对于攻击的变种和新的攻击几乎无能为力的IDS检测技术。
采用软件动静结合安全检测技术的是:BitBlaze。
加壳欺骗不属于恶意程序传播方法。
模型检验是一种软件静态安全检测技术。
软件安全测试技术中,定理证明属于软件静态安全检测技术。
属于UAF(use-after-free)漏洞的是内存地址对象破坏性调用的漏洞。
应急计划过程开发的第一阶段:业务影响分析。
自主访问控制模型的实现机制是通过访问控制矩阵实施的,而具体的实现办法,则是通过访问能力表或访问控制表来限制哪些主体针对哪些客体可以执行什么操作。
任何访问控制策略最终可以被模型化为访问控制矩阵形式,行对应于用户,列对应于目标,矩阵中每一元素表示相应的用户对目标的访问许可。
控制其他程序运行,管理系统资源并为用户提供操作界面的系统软件的集合是操作系统。
主要适用于有严格的级别划分的大型组织机构和行业领域的信任模型是层次信任模型。
根据软件漏洞具体条件,构造相应输入参数和Shellcode代码,最终实现获得程序控制权的过程,是漏洞利用。
攻击者窃取Web用户SessionID后,使用该SessionID登录进入Web目录账户的攻击方法,被称为会话劫持。
如果密钥丢失或其他原因在密钥未过期之前,需要将它从正常运行使用的集合中除去,称为密钥的撤销。放弃这个密钥称为密钥的销毁。密钥期限到后,我们将更新密钥,称为密钥的过期。整个过程称为密钥的更新。
防范计算机系统和资源被未授权访问,采取的第一道防线是访问控制。
视图不能保证数据完整性。
防火墙能够防范针对面向连接协议的攻击。
防火墙的体系结构包括屏蔽路由器、双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。
入侵检测传统可以实现事中防护,是指入侵攻击发生时,入侵检测系统可以通过与防火墙联动从而实现动态防护。
主要在操作系统的内核层实现的木马隐藏技术是:Rootkit技术。
采用Rootkit技术的木马属于第五代。
“震荡波“病毒进行扩散和传播所利用的漏洞是:操作系统服务程序漏洞。
软件逆向分析技术不属于软件安全保护技术。
由国内机构维护的漏洞库是CNNVD。
在制定一套好的安全管理策略时,制定者首先必须与决策层进行有效沟通。
1996年,信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)提出,并逐渐形成国际标准ISO15408。
CC将评估过程划分为功能和保证两个部分,评估等级分为7个等级。
ISO 13335标准首次给出了关于IT安全的机密性、完整性、可用性、审计性、可靠性6个方面的含义,并提出了以风险为核心的安全模型。
组织机构实施信息安全管理体系认证是根据国际上的信息安全管理标准---BS7799标准,建立完整的信息安全的体系。
攻击者通过精心构造出数组范围的索引值,就能够对任意内存地址进行读写操作,这种漏洞被称为数组越界漏洞。
在不实际执行过程的前提下,将程序的输入表示成符号,根据程序的执行流程和输入参数的赋值变化,把程序的输出表示成包含这些符号的逻辑或算术表达式,这种技术被称为符号执行技术。
模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入地探测,发现系统最脆弱环节的技术是:渗透测试。
线程是为了节省资源而可以在同一个进程中共享资源的一个执行单位。
深入数据库之内,对数据库内部的安全相关对象进行完整的扫描和检测,即内部安全检测。
慢速扫描可以隐藏端口扫描行为。
主动感染不属于木马功能。
用户的私钥不包含在数字证书中。
基本对电子签名认证证书或电子签名的信赖,从事有关活动的人或机构被称为电子签名依赖方。
针对Web系统的源代码进行全面的代码安全性分析,以全面监测分析Web应用程序的安全性问题,是指白盒测试。
为不同的数据库用户定义不同的视图,可以限制各个用户的访问范围。
数据库都是通过开放一定的端口,来完成与客户端的通信和数据传输。
不同于包过滤防火墙技术,代理服务器在应用层对数据进行基于安全规则的过滤。
由大量NOP空指令0x90填充组成的指令序列是滑板指令。
CPU模式和保护环境,环号越高,赋予运行在该环内的进程的权限就越小。
计算机的特权级有四个:从0(最高特权)到3(最低特权)。
Script Flood攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序。拒绝服务攻击中Script Flood是不通过传输层实施。
非集中访问控制方法又称为控制方法,属于非集中访问控制方法:访问矩阵模型。
网络内容监控的主要方法是:网络舆情分析。
消息是信息的笼统概念。
服务发现:对数据库的开放端口进行扫描,检查其中的安全缺陷的安全检测技术。
exploit的含义是漏洞利用。
Heap Spray技术也称为对喷洒技术。
安全测试的主要目的是发现和消除在软件设计和编写中产生的安全隐患,为此安全测试往往需要从攻击者的角度开展测试,通用的思路和方法有:构造畸形数据包做测试、对用户的输入进行全面测试、验证输入输出的文件、测试非正常的路径及其路径限制、全面测试异常处理、采用反汇编方式检测敏感信息。
电子认证服务提供者签发的电子签名认证证书应当准确无误,应当载明下列内容:电子认证服务提供者名称、证书持有人名称、证书序列号、证书有效期、证书持有人的电子签名验证数据、电子认证服务提供者的电子签名、国务院信息产业主管部门规定的其他内容。
信息安全等级保护的重要标准有:GB/T22239 《信息系统安全等级保护基本要求》;GB/T AAAA-AAAA信息安全技术、信息系统安全等级保护定级指南;GB/T CCCC-CCCC信息安全技术、信息系统安全等级保护实施指南;《信息系统安全等级保护测评准则》。
商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。
用户应用程序在用户模式下运行,操作系统代码(如系统服务和设备驱动程序)在内核模式下运行。
拥有CONNECT权限的用户不能创建新用户,不能创建模式、也不能创建基本表、只能登录数据库。
数据执行保护(DEP):限制内存堆栈区的代码为不可执行的状态,从而防范溢出后代码的执行。
结合了程序理解和模糊测试的技术,称为智能模糊测试技术。
风险管理的第一阶段为风险识别。
MITRE公司建立的通用漏洞列表CVE相当于软件漏洞的一个行业标准。
访问控制标签列表(ACSLL)是限定一个用户对一个课题目标访问的安全属性集合。
我国专家在1999年提出了更为完善的“保护-预警-监测-应急-恢复-反击”模型(即PWDRRC模型),使信息安全保障技术体系建立于更为坚实的基础之上。