备考信息安全工程师的过程中整理的一些笔记,个人认为一些难记的和易混淆的知识点,很遗憾这次的考试我们这里因为疫情取消了,花了三个月时间准备却没能参加这次的考试,现在将这些笔记分享出来一起学习交流,因为时间原因没有排版看着有些乱,将就看吧.同时也欢迎大家来参观我的博客,里面会一直分享我的实训学习笔记:我的博客地址
另外,还有一些对应的试题和资料,如果有需要的小伙伴请在评论区留言或者访问我的博客获取。
snort(入侵检测系统)三个主要配置模式:嗅探,包记录,网络入侵检测。
msg用于显示报警信息,content用于指定匹配网络数据包的内容。
异常检测技术:基于行为模式的异常检测算法对目标服务器的网络流量进行检测,通过实时跟踪算法TCp服务器连接的状态机协商过程,能够有效区分攻击流量和正常流量,从而正确阻断攻击流量
iso五种安全服务:鉴别,访问控制,数据机密性,数据完整性,抗抵赖性
对日志数据进行审计检查,属于检查类控制措施
从安全属性对各种网络攻击进行分类,阻断攻击是针对可用性的攻击
身份认证协议:S/Key口令协议,Kerberors协议,X.509协议
我国制定的关于无线局域网安全的强制标准是WAPI
标准的64位标准流WEP用的密钥和初始向量长度分别是40位和24位
DSS数字签名标准的核心是数字签名算法DSA,该签名算法中杂凑函数采用的是SHA1
网络要实现网络信息安全基本目标,网络应具备防御,检测,应急,恢复等基本功能。
中国网络安全审查技术与认证中心(CCRC)是负责实施网络安全审查和认证的专门机构
CNCERT(国家互联网应急中心)主要职责:积极预防,快速响应,力保恢复
常见的危害行为的基本类型不包括隐私泄露攻击
DES使用56位密钥对64位数据进行加密
2006年我国政府公布了自己的的商用密码算法,成为我国密码发展史上的一件大事
单独的数字签名为真,可以保证完整性,不可抵赖性,能验证发送方无误,消息无篡改,无伪造,无错误,但不能保证机密性。
网络安全体系特征:整体性,协同性,过程性,全面性,适应性。
软件安全能力成熟度模型:
网络生存模型“3R”策略内容:抵抗,识别,恢复。
系统性和动态性原则:整体性(木桶原则)
纵深防御与协作性原则。
企业把资产分成四个级别:公开,内部,机密,限制
信息安全管理系统(ISMS)按照PDCA不断循环改进。计划(ISMS建立),执行(执行,操作),检查(ISMS监视,审查),处理(ISMS维护,提升)
数据中心设计规范自2018年1月1日起实施
身份认证协议:S/Key口令协议,Kerberors,X.509协议
认证产品的主要技术指标包括:密码算法支持,认证准确性,用户支持数量,安全保障级别
访问控制有四要素:主体,客体,授权,控制
基于角色的访问控制是根据用户完成某项任务所需要的权限进行控制的
特权是用户超越系统访问控制所拥有的权限
4A是认证,授权,账号,审计。
应用代理防火墙的主要优点是:安全控制更细化,更灵活。
防火墙的安全区域包括:因特网,内联网,外联网,DMZ
防火墙性能指标:最大吞吐量,最大连接速率,最大规则数,并发连接数。
L2TP采用专用的隧道协议,该协议运行在UDP的1701端口
IPSec VPN,SSL VPN 产品共有的功能要求:随机数生成,密钥协商,安全报文封装
IPSec VPN性能指标:加解密吞吐率,加解密时延,加解密丢包率,每秒新建连接数
SSL VPN性能指标:最大并发用户数,最大并发连接数,每秒新建连接数,吞吐率
CIDF入侵检测模型组成:事件产生器,事件分析器,,响应单元,事件数据库
网络物理隔离技术指标:安全功能指标,安全保障指标,性能指标。
网络安全审计的作用在于建立“事后”安全保障措施。
我国的国家标准GB 17859从第二级开始要求提供审计安全机制
网络流量数据获取技术:共享网络监听,交换机端口镜像,网络分流器
数据关联是指将网络安全威胁情报信息,如系统日志,全网流量,安全设备日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段
实现数据库审计的方式包括:网络监听审计,系统调用监控审计,数据库代理。
网络安全漏洞扫描器的具体模块包括:用户界面,扫描引擎,漏洞信息及匹配参数库。
数据执行阻正是指操作系统通过对特定内存区域标注为非执行,使得代码不能够在指定的区域运行
主机漏洞扫描器中,COPS用来检查UNIX系统的常见安全配置问题和系统缺陷
恶意代码变形技术包括:重汇编技术,压缩技术,伪指令技术。
文件检测属于动态分析方法。
计算机病毒的生命周期主要有两个阶段:传播阶段,激活阶段。
主要是渗入威胁有假冒,旁路,授权侵犯,主要的植入威胁有特洛伊木马和陷阱。
Slammer蠕虫的传播方法就是采用随机扫描感染主机
网络蠕虫免疫技术:通常在受害主机系统上设置一个标记,避免重复感染。
第二代网络技术实现了数据控制系统,数据捕获系统的集成系统,这样就更便于安装与管理。
Windows日志类型:系统日志,应用程序日志,安全类型。
etc目录用来存放系统管理所需要的配置文件和子目录。这是我们linux系统的神经中枢,它包含所有与系统相关的配置文件。一个“配置文件”要被定义为用来控制程序操作的本地文件;它必须是静态的,不能是可执行二进制文件。因此,定期备份这个目录是个好主意。通常,不能存放二进制文件。
lib 这个目录里存放着内核模块和系统最基本的动态链接共享库,其作用类似于Windows里的.dll文件。几乎所有的应用程序都须要用到这些共享库,是二进制机器码文件。它们对于基本系统功能是必不可少的。
tmp 在UNIX和Linux中,tmp目录是存放临时文件的地方。Web浏览器在页面浏览和下载期间定期向TMP目录写入数据。
usr usr 不是user的缩写,全拼是Unix System Resources。这是最庞大的目录,我们要用到的应用程序和文件几乎都存放在这个目录下,是用于系统范围的配置文件。
var /var是Linux和其他UNIX类操作系统中根目录的标准子目录,它包含系统在其运行过程中写入数据的文件。/var中包含可变数据,如系统日志文件、邮件和打印机假脱机目录,以及临时文件和临时文件夹。VAR的某些部分在不同系统之间是不可共享的。/var包含变量数据,即系统在运行期间必须能够写入的文件和目录,由于网络拓扑或安全问题,有些目录可以放在单独的分区或系统上,更容易备份。
inetd.conf的文件属主为root和文件权限为600
windows系统安全增强基本步骤:确认系统安全增强的安全目标和系统的业务用途,安装最小化的操作系统,安装最新系统补丁,配置安装的系统服务,配置安全策略,禁用NetBIOS,账户安全配置,文件系统安全配置,配置TCP/IP筛选,禁用光盘或软盘启动,使用屏幕保护口令,设置应用软件安全,安装第三方防护软件。
Oracle数据库提供透明数据加密和数据屏蔽机制,以保护数据安全。
SQL Server备份方案:文件和文件组备份,事务日志备份,完全备份。
SQL Server角色类型包括:固定服务器角色,固定数据库角色,固定应用角色。
带外访问不依赖网络,带内访问依赖于网络。
交换机的安全访问控制分为两级,第一级通过控制用户的连接实现,第二级通过用户口令认证实现。
IIS安全机制包括:IIS认证审计,IIS日志审计,IIS访问控制。
A2-遭受破坏的认证会导致Web应用程序存在不限制身份验证尝试等等。
云计算通过提供动态易扩展且通常为虚拟化的资源来实现基于网络的相关服务
云计算安全等级保护框架“一中心,三重防护”原则包括:安全计算环境,安全区域边界,安全通信网络。
两地三中心:两地:同城,异地。三中心:同城容灾中心,异地容灾中心,生产中心。
拆除或封闭工业主机上不必要的USB,光驱,无线等接口。若确使用,通过主机外设安全管理技术手段实施严格访问控制。
大数据库必须依靠新型数据挖掘等技术进行分析处理,主要是挖掘数据之间的关联关系。
大数据业务安全保护中,业务授权主要基于角色的访问控制技术,按照业务功能的执行所需要的权限进行分配。
定期对网络系统中的安全状况进行风险分析属于网络安全管理的风险监测方法
XMAS会将标志位全部置为1。
Smurf攻击会将源地址改为第三方的目标网络,最终导致第三方网络阻塞。
SSE-CMM是系统安全工程能力成熟度模型包括:工程过程类,项目过程类,组织过程类。
CMM3级包括:漏洞评估,代码分析,安全编码标准。
网络安全原则说法:安全第一,预防为主 统一推进,统一实施 网络安全为人民,网络安全靠人民。
NIST5个核心功能:识别,保护,检测,响应,恢复。
主要工作房间:主机室,终端室。
数据中心按照规模大小可以分为中小型(小于3000个标准机架的数据中心),大型(大于等于3000小于10000个标准机架的数据中心),超大型数据中心(大于等于10000个标准机架的数据中心)。
CA机房物理安全机制中,至少五年进行一次屏蔽室检测。
设备环境安全保护:防过热,防燃,防爆裂。
按照对验证对象提供的认证凭据的类型数量,认证可以分为:单因素认证,双因素认证,多因素认证。
持续认证所使用的鉴定因素:认知因素,物理因素,上下文因素。
根据认证所需要的的时间长度,认证可分为:一次性口令,持续认证。
CA证书授权机构:进行证书的颁发,废止和更新。通常是一个目录服务器,提供证书管理和分发的服务。
RA证书登记权威机构 注册和担保。
PKI加密识别和保护。
路由器邻居认证:OSPF认证,RIP认证,EIGRP认证。
基于地理位置的控制模型可用于移动互联网应用授权控制。
AH和ESP都有两种功能工作模式:透明模式和隧道模式。还有一个密钥交换协议。
SSL包括握手协议密码规格变更协议和报警协议。握手协议:身份鉴别和安全参数协商。密码规格变更协议:通知安全参数的变更。报警协议:关闭通知和对错误进行报警。
VPN的核心是密码算法。
通用的入侵检测模型框架CIDF:该模型认为IDS由事件产生器,事件分析器,响应单元和事件数据库组成。
IDS作用:不是阻止入侵事件的发生,是通过检测技术来发现系统中企图或已经违背安全策略的行为。
熔断和幽灵是针对cpu测信道的。
CVSS是一个通用漏洞计分系统,分数计算依据:基本度量计分,时序度量计分,环境度量计分组成。
2017年,Wannacry勒索病毒恶意代码利用Windows系统的SMB漏洞进行网络攻击。
漏洞发布的三种形式:网站,电子邮件,安全论坛。
主机漏洞扫描器有COPS,TIger,MBSA。COPS用来检查UNIX系统的常用安全配置问题和系统缺陷。Tiger是一个基于shell脚本的漏洞检测工具,用于UNIX系统的配置漏洞检查,MBSA是windows系统的安全基准分析工具。
常见的网络安全漏洞防护产品:IPS,WAF,UTM.
可信计算的技术原理是首先构建一个信任根,再建立一条信任链。一级认证一级,一级信任一级。可信计算机系统有可信根,可信硬件平台,可信操作系统,可信应用系统组成。
TPM是可信计算平台的信任根,TCG定义可信计算平台有三个根:RTM(可信度量根),RTS(可信存储根),RTR(可信报告根)。
TNC可信网络连接:完成性度量层,完整性评估层,网络访问层。
移动互联网应用自律白名单的发布过程设立公示和发布两个阶段公示期为7个工作日。
网络安全风险评估模式包括:自评估,检查评估,委托评估。
国家互联网应急中心是非政府非营利性组织。
GB/T18336-2001共分为三部分,第一部分:简介和一般模型。第二部分:安全功能要求。第三部分:安全保证要求。
网络安全测评可分为三个类型:网路信息系统安全等级测评。网络信息系统安全验收测评,网络信息系统安全风险测评。
管理安全测评主要内容:制度,机构,人员。
技术安全测评主要内容:安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心。
Windows日志类型:系统日志,安全日志,应用程序日志。
loginlog:不良的登陆尝试记录。
utmp:记录当前登录的每个用户。
wtmp:记录每一次用户登录和注销的历史信息
acct:记录每个用户使用过的命令。
MSRC漏洞利用指数分为:0未利用,1可能被利用,2不太可能被利用,3不可能被利用。
通用漏洞扫描器:Shadow Scanner,openVAS,Metasploit。
专用漏洞扫描器:Cisco Torch,CAT.检查思科路由设备常见漏洞。
政府网站的信息安全等级原则上不应低于二级,三级网站每年应测评一次,二级网站每两年测评一次。
PaaS平台即服务,SaaS软件即服务,DaaS数据即服务,STaaS存储即服务。
华为对象存储服务数据持久性高达99.12个9.
数据安全管控中,数据染色取证追朔属于数据加密后的内容。
等级保护对信息以及信息载体进行分级保护,不对人员进行分级。
强制访问控制:上读:用户级别高于文件级别的读操作;上写:用户级别低于文件级别的写操作;下写用户级别高于文件级别的写操作,上读:用户级别低于文件级别的读操作
口令文件 /etc/shadow
每一行存储一个用户的登录密码信息,加密
只有root用户才能读取这个文件
格式: 用户名:加密口令:上次更新时间:允许更改时间:要求更改时间:取消口令之前的警告时间:取消和停用之间的时间:账户口令的天数:账户终止时间:特殊标志。
用户信息文件 /etc/passwd
每一行存储一个用户的账号信息
超级用户root的UID是0,系统用户的UID在100以内,而普通用户的UID从500开始往上编号
格式: 用户名:加密密码:用户ID:用户组ID:用户信息:用户主目录: 登录Shell。
DOS的特点:隐蔽性,资源有限性,软件复杂性。
数字水印常见的应用场景:版权保护,信息朔源,访问控制,信息隐藏。
按照测评的目标,网络安全测评分为三个类型:等级测评,验收测评,风险测评。
CNCERT是中国计算机网络应急处理体系中的牵头单位
以下拒绝服务类型中,泪滴攻击能暴露出 IP 数据包分解与重组的弱点。
SSH端口号22
AppPscan是常见的Web站点脆弱性扫描工具。
硬件木马检测方法:反向分析法,功耗分析法,侧信道分析法。
Kerberos的端口号是88.
与漏洞相关的事件:
1988 Internet蠕虫 Sendmail及finger漏洞。
2000 分布式就拒绝服务 TCP/IP漏洞
2001 红色代码蠕虫 web iis4/5.0中index服务安全漏洞。
2002 Slammer蠕虫 MS SQL数据库系统漏洞。
2003 冲击波漏洞 微软os DCOM RPC缓冲区漏洞
2010 震网病毒 windows os wincc os
2017 Wannnacry勒索病毒 Windows系统SMB漏洞
Cascade 是第一例采用加密技术的Dos环境下的恶意代码,其解密器稳定,能够解密内存中加密的程序体。
蜜罐主机技术:空系统,镜像系统,虚拟系统。
VPN三种应用类型:远程访问虚拟网,企业内部虚拟网,企业扩展虚拟网。
web应用漏洞扫描器:AppScan,w3af,Nikto,Acunetix WVS。
协议分析工具:Wireshark,TCPDump。
网络漏洞扫描器:Nmap,Nessus,OpenVAS。
自主访问控制(DAC)包括访问控制矩阵和访问控制列表两种实施手段。
对称密码SM4签名算法:ECDSA 密钥协商算法:ECDH。
对称加密算法:DES,AES,3DES,RC5,IDEA
中国人民银行的智能卡技术规范支持3DES.
IDS可以使用旁路方式部署,不必是跨接方式部署,因此可以不产生网络流量,并且IDS并不是必须跨接在链路上。
数字水印鲁棒性:图像中的水印经过变换操作后不会丢失水印信息,仍然可以清晰的提取。
安全性:数字水印可以抵抗各种攻击,必须能够唯一的标识原始图像的相关信息,人格第三方都不能伪造他人的水印图像。
数字水印空间域方法:典型二点算法:Schyndel算法和Patchwork
Schyndel又称为最低为算法LSB 按像素点逐一嵌入原始图像像素值的最低位上Patchwork:算法是通过改变图像数据的统计特性将信息嵌入像素的亮度值中
宏病毒主要感染office文件。
《中华人民共和国刑法》非法入侵计算机信息系统罪,违法国家规定侵入国家事务,国防建设,尖端科学技术领域的计算机信息系统的出三年一下有期徒刑或者拘役。
TCP报头包括源端口号,目标端口号,顺序号和检验号等字段。
UDP报头不包括顺序号字段。
陷门:是在某个系统或者文件中设置的”机关“使得当提供特定的输入数据时,允许违反安全策略。
授权侵犯:又称内部威胁,授权用户将其权限用于其他未授权的目的。
旁路控制:攻击者通过各种手段发现本应保密却又暴露出来的一些系统”特征“,利用这些”特征“,攻击者绕过防守者渗入系统内部。
主动防御技术根据特定行为判断程序是否为病毒。
网闸的主要实现技术包括实施开关技术,单向连接技术和网络开关技术。
初级密钥通常采用一次一密的使用形式,再将密钥的明文传输给对方时,需要使用更高级的密钥进行加密。对方接收到加密的初级密钥后,使用将其解密才能使用。
ECC规定用户的私钥d为一个随机数,取值范围为0~n-1.公钥通过dG进行计算
ECC签名后的内容包含原文,RSA不包含。
S盒变换是一种压缩替换,48位输入变为32位输出,共有8个S盒,并行作用。每个S盒有6个输入,4个输出,是非线性压缩变换。
RC4为RSA的序列密码,在美国一般密钥长度为128位,因为限制向外限制到40位。
Red Flag Linux指定域名服务器位置的文件是etc/rosolv.conf
CC的保护轮廓:对一类TOE的安全需求,进行与技术实现无关的描述。
BMA访问控制模型是基于健康服务网络。
服务端是一个守护进程(daemon),他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程,提供了对远程连接的处理,一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。
计算机具有的IP地址是有限的,但通常计算机会开启多项服务或运行多个应用程序,网络通信中对这些程序或服务通过分配网络端口号进行单独标识。
风险评估报告属于网络安全风险分析阶段的输出报告。
嗅探器Sniffer工作的前提是网络必须是共享以太网。