信息安全工程师(中级)-知识点汇总

一、信息安全基础
1.信息≠数据(结构化、非结构化),信息=有价值的数据
2.信息三种状态:存储状态、传输状态、运行(处理)状态
3.信息安全三部法:网络安全法、数据安全法、个人信息保护法
4.信息安全三要素(基本属性):机密性(C)、完整性(I)、可用性(A)
5.实现信息安全机密性的方法:加密、访问控制
6.检查信息安全完整性的方法:哈希函数
7.信息安全其他要素:不可否认性(数字签名)、可控性、认真性/真实性
8.加密算法一览:
(1)MD5、SHA1、SHA2,用于保证完整性,不属于算法
(2)SM1、SM2、SM3、SM4,国密
(3)DES、3DES、AES、IDES、RC(RC2、RC4、RC5),对称加密,单密钥,快,适合大数据量,明文密文长度相同,缺点:不好传递秘钥,需要以安全方式进行秘钥交换。
(4)RSA(慢)、DSA、ECC(优先)、DH,非对称加密,双密钥(私钥、公钥),优点:解决秘钥传递问题,大大减少秘钥持有量;缺点:慢,适合小数据量;方案:将用于对称加密的秘钥传递,可作数字签名
9.对称加密介绍:
(1)DES:数据加密标准(美)、有效密钥56bit
(2)3DES:有效密钥56*3=168bit
(3)AES:高级加密标准,有效密钥128bit/196bit/256bit,优先使用
10.密码分类
(1)按密钥数量:单密钥(对称加密)、双密钥(非对称加密)
(2)按执行的操作:替换、换位
(3)按明文处理方式:流密码(RC4,按位)、块密码(DES、3DES、AES)
11.对称/非对称密码体制对比
(1)对称:效率高、算法简单、系统开销小、适合加密大量数据、明文长度与密文长度相等(紧凑型加密);需要以安全方式交换密钥、密码管理复杂
(2)非对称:解决密钥传输问题、减少密钥持有量、数字签名;计算复杂、系统消耗大、导致密文变长
12.HMAC:哈希消息验证码,用于认证和完整性检查。
13.数据签名操作:
(1)涉及算法:非对称加密、哈希函数
(2)签名:利用私钥进行加密
14.数字签名特点:
(1)可信性:签名文件的接受者相信签名者是慎重地在文件上签名的。
(2)不可重用性:签名不可重用,即同一消息在不同时刻的签名是有区别的。
(3)不可改变性:在文件签名后,文件不能改变。
(4)不可伪造性:签名能够证明签名者而不是其他人在文件上签名,任何人都不能伪造签名。
(5)不可否认性:在签名者否认自己的签名时,签名接收者可以请求可信第三方进行仲裁。
1、 数字签名作用:1、不可否认性,2、源认证,3、完整性。将HASH值用私钥加密。
2、 数字证书执行标准:X.509 V3
15.PKI体系元素:CA(认证权威)、RA(注册权威)、证书/CRL库、终端实体
16.X.509 V3证书主要元素:版本、签名算法、证书服务器、有效期、公钥、CA数字签名
3、 数据三种状态:存储、传输、处理
4、 传输安全:为了保护传输安全使用IPSEC

17.VPN类型:Site to Site VPN(站到站)、remote-access VPN(远程)
18.remote-access VPN类型:SSL VPN(Web VPN)、IPsec VPN
19.IPsec安全特征:机密性、完整性、认证、反重演(加时间戳、加序号)
20.IPsec主要使用协议:
(1)Internet Key Exchange(IKE):秘钥交换,使用UDP 500端口,协商安全参数(SA)
(2)Encapsulating Security Payload(ESP):负责安全负载,保护数据安全,实现四个特性(机密性、完整性、认证、反重演),协议号50。
(3)Authentication Header(AH):负责安全负载,明文,主要用于IP v6,不支持NAT\PAT,无法实现机密性特性。协议号51。
AH和ESP区别:1、AH不支持加密,2、AH不支持NIT和PIT,AH主要用在IPV6(IPV6自用加密字段,AH不用加密,IPV6没有地址不够用问题)。
21.IPsec VPN两种模式:
(1)传输模式(Transport Mode):不加密IP头,加解密点在一起时生效。
(2)隧道模式(Tunnel Mode):加密IP头,生成新IP头,主要用在不是一个点上(任何情况都可以用隧道秘模式)。
传输过程中通过加密可以很好的解决网络攻击。
22.IKE阶段:
(1)Phase1(ISAKMP阶段):对等体认证、协商SA、通过DH算法派生密钥。该阶段产生6个数据包。连接默认24小时。
(2)Phase1.5:只用在remote-access VPN模式下。
(3)Phase2:协商SA,保护用户数据,又称为数据连接。该阶段产生3个数据包。连接默认1小时。
23.HASH的功能:
(1)MD5提供128位输出。
(2)SHA-1提供160位的输出。
(3)SHA-1比MD5计算的慢,但是比MD5更安全。
24.对等体认证方法:Preshared keys、RSA signatures、RSA encrypted nonces
25.SA时间的作用:更换密钥,提高安全性
26.Windows系统网络架构大致可分为:工作组架构、域架构、工作组+域的混合架构
工作组模式:小环境,安全性较低,成本较低。
域模式:大型环境,需要单独服务器集中管理,成本较高。
27.Windows系统SID(安全标识符)不会重复使用。
28.Windows文件系统安全基于NTFS分区格式,采用权限和加密两种方式。
29.Windows系统用户有效权限可以累计,但“拒绝”权限优先级较高。
30.Windows系统安全策略:
(1)密码策略,密码复杂度,最长多久换密码,密码长度解决密码口令问题。
(2)账户锁定厕所,解决暴力破解问题。
31.Linux系统用户信息文件-passwd中,x代表密码散列,具体内容放入影子文件(-shadow)中。P37
32.Linux系统访问权限类型:读(r)、写(w)、执行(x)。
33.《中华人民共和国网络安全法》由全国人大颁布,于2017年6月1日实施,全文共七章七十九条。
34.标准类型:
(1)国际标准:ISO、IEEE、IEC、IETF、ITU、ITU-T
(2)国家标准:GB(强制)、GB/T(推荐)、GB/Z(指导性技术文件,3年复审)
(3)行业标准
(4)地方标准
35.中国国家标准化管理委员会是我国最高级别的国家标准机构。
36.信安标委(TC260):全国信息安全标准化技术委员会
37.“网络安全等级保护2.0”于2019.12.1实施,属于国家政策。分为五个等级
38.等级保护工作流程:定级、备案、建设整改、等级测评
等级保护工作五个流程:定级、备案、差距分析、建设整改、验收测评、定期复查。
39.等级保护复测周期:
(1)1级:无需复测,无需备案。
(2)2级:2年。
(3)3级:1年。
(4)4级:1年。
40.等保2.0相关标准:
(1)GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》
(2)GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
(3)GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》
41.信息安全管理作用:找短板(约束、风险评估),补齐短板(技管并用技术措施、管理措施,(根据国际标准ISO/IEC27001))
42.信息安全风险管理基本过程:背景建立、风险评估、风险处理、批准监督
43.ISMS标准族:
(1)ISO/IEC 27000《信息安全管理体系 概述和词汇》
(2)ISO/IEC 27001《信息安全管理体系 要求》(BS7799-2:1998),证书有效期3年
(3)ISO/IEC 27002《信息安全管理实用规则》(BS7799-1)
(4)ISO/IEC 27003《信息安全管理体系 项目实施指南》
44.戴明环(PDCA):PLAN、DO、CHECK、ACTION
45.PDCA特点:大环套小环,小环保大环,推动大循环 ,P计划,D执行,C检查,A行动改进
46.ISO/IEC 27001文档化分级:
(1)一级:方针、政策
(2)二级:制度、流程、规范
(3)三级:使用手册、操作指南、作业指导书
(4)四级:日志、记录、检查表、模板、表单
47.ISO/IEC 27002安全措施实施内部结构:14个类别,35个目标,114个控制措施

你可能感兴趣的:(网络,安全)