信息安全三级知识点汇总.docx

1、信息安全三级知识点汇总第一章：信息安全保障基础1：信息安全大致发展经历3个主要阶段：通信阶段，计算机安全阶段和信息安全保障阶段 2：现代信息安全主要包含两层含义（1）运行系统的安全（2）完整性，性，可用性，可控制性，不可否认性。3：信息安全产生的根源（1）因：信息系统的复杂性，包括组成网络通信和信息系统的自 身缺陷，互联网的开放性（2）外因：人为因素和自然环境的原因4：信息安全保障体系框架（1）生命周期：规划组织，开发采购，实施交付，运行维护， 废弃（2） 安全特征：性，完整性，可用性（3） 保障要素：技术，管理，工程，人员5： P2DR安全模型Pi Dt+RiPl表示系统为了保护安全气目标设

2、置各种保护后的防护时间，或者理解为在这样的保护方式 下，黑客攻击安全目标所花费的时间；D代表从入侵者开始发动入侵开始，到系统能够检测到入侵行为所花费的时间Ri代表从发现入侵行为开始，到系统能够做出足够的响应，讲系统调整到正常状态的时间 E=Di+Ri （Pi =0）Di和Ri的和安全目标系统的暴露时间E” E越小系统越安全6：信息安全技术框架（IATF）：核心思想是纵深防御战略，即采用多层次的，纵深的安全 措施来保障用户信息及信息系统的安全。核心因素是人员，技术，操作。7： IATF4个技术框架焦点域：本地计算环境，区域边界，网络及基础设施，支撑性基础设 施。8：信息系统安全保障工作的容包括：

3、确保安全需求，设计和实施安全方案，进行信息安全 评测和实施信息安全监控与维护。第二章：信息安全基础技术与原理1：数据加密标准DES;髙级加密标准AES；数字签乞标准DSS：2：对称密钥的优点：加密解密处理速度快，度髙，缺点：密钥管理和分发复杂，代价高，数字签名困难3:对称密钥体制：分组密码和序列密码常见的分组密码算法：DES.IDEA.AES公开的序列算法主要有RC4, SEAL4：攻击密码体制方法（1）穷举攻击法（2）密码分析学：差分分析和线性分析5：差分密码分析法的基本思想：是通过分析明文对的差值对密文的差值影响来恢复某些密 钥比特。线性密码分析基本思想：寻找一个给定密码算法有效的线性近似

4、表达式来破译密码系统:6：对称密码设计的主要思想是：扩散和混淆7：数据加密标准DES算法64为分组大小，64位密钥，尼作用的只有56位。8： IDEA利用128位密钥对64位明文分组，经过连续加密产生64位密文分组。9： AES分组长度固定位128位，密钥长度可以使&192和256位，10： Rijndael使用的密钥和分组长度可以使32位的整数倍，以128位为下限，256位为上限。11：主流的非对称密码包括RSA.ElGamal,椭圆曲线密码（ECC）。RSA基于大合数因式分解难的问题设计ElGamal基于离散对数求解困难的问题设计ECC基于椭圆曲线离敬对数求解困难的问题设计12：典型的哈希

5、函数：消息摘要算法MD5,安全散列算法SHA13：哈希函数的特点：圧缩，易计算，单向性，抗碰撞性，高灵敏性。哈希函数的应用：消息认证，数字签名，口令的安全性，数据完整性14：消息摘要算法MD5按512位进行处理产生128位消息摘要，SHA预处理完毕后的明文 长度是512位整数倍，输出的是160位15：密钥的产生的硬件技术：力学噪声源，电子学噪声源，混沌理论16：密钥的分配：人工密钥分发，基于中心密钥分发（密钥分发中心KDC,密钥转换中心KTC）17：基于中心的密钥分发两种模式：拉模式和推模式18：最典型的密钥交换协议：Diffie-Hellman算法。19：公开密钥分配：（1）公开发布（2）公

6、用目录（3）公钥授权（4）公钥证书20：公钥授权的优点：更高的安全性，缺点由于用户想要与英他人联系都要求助于公钥管理 机构分配公钥，这样公钥机构可能会成为系统的瓶颈，此外维护公钥目录表也科恩给你被 对手窜扰。21：产生认证函数的3种类型：消息加密，消息认证码，哈希函数22：消息认证码是一种认证技术，它利用密钥来生成一个固左长度的数据块，并将该数据块 附加在消息之后。23：系统采用的认证协议有两种：单向认证协议，双向认证协议24：身份认证基本手段：静态密码方式，动态口令方式，USB Key认证以及生物识别技术 动态口令：主要有短信密码和动态口令牌两种方式。优点在于一次一密，安全性 高，缺点在于如

7、果客户端硬件与服务器程序的时间或次数不能保持良好的同步，就可能发生 合法的用户无法登陆。USB Key：主要有两种模式（1）挑战应答模式和基于PKI体系的认证模式 生物识别技术：优点使用者几乎不能被仿冒，缺点价格昂贵，不够稳泄25：访问控制模型访问控制 模型26： LBP模型具有下读上写的特点，方式信息向下级泄露。Biba不允许向下读，向上写的 特点，可以有效的保护数据的完整性。Chinese Wall模型是应用在多边安全系统中的安全模 型，有两个主要的属性，（1）用户必须选择一个他可以访问的区域（2）用户必须自动拒绝 来自其他与用户所选区域的利益冲突区域的访问。27：基于角色访问控制（RBA

8、C）模型要素包括用户，角色和许可28:RBAC与MAC的区别在于：MAC是基于多级安全需求的，而RBAC则不是。29：访问控制技术分两类：一类是集中式访问控制技术，另一类是分布式访问控制技术，即 非集中式访问控制技术30：集中式的AAA管理协议包括拨号用户远程认证服务RADIUS,终端访问控制器访问控制 系统 TACACS, Diameter 等。31： RADIUS协议是一个客户端/服务器协议，运行在应用层，使用UDP协议，身份认证和 授权使用1812端口,审计使用1813端口。32： RADIUS有3个主要的功能：（1）对需要访问网络的用户或设备进行身份验证，（2）对 身份验证的用户或设备

9、授予访问资源的权限，（3）对以及授权的访问进行审计，33： RADIUS的审计独立于身份验证和授权服务。34： TACACS+使用传输控制协议TCP35： Diameter协议支持移动IP, NAS请求和移动代理的认证，授权和审计工作，协议的实 现和RADIUS类似，但是采用TCP协议，支持分布式审计。是最适合未来移动通信系统的 AAA协议。36： Diameter协议包括基本协议，NAS （网络接入服务）协议.EAP （可扩展鉴别）协议， MIP （移动IP）协议,CMS （密码消总语法）协议37：广泛使用的三种分布式访问控制方法为单点登录，Kerberos协议和SESAME38：常用的认证

10、协议：基于口令的认证协议，基于对称密码的认证，基于公钥密码的认证 39： 个审计系统通常由3部分组成：日志记录器，分析器，通稿器。40：恶意行为的监控方式主要分为两类：主机监测和网络监测。第三章：系统安全1：计算机主要由4个部分组成：硬件设备，基本输入输出系统，操作系统，应用程序。2：CPU通常在两种模式下运行（1）核模式（核心层RingO）（2）用户模式，也成用戸层（Ring3）, 操作系统在核模式下运行，其他应用应当在用户模式下运行3：将CPU从用户模式转到核模式的唯一办法就是触发一个特姝的硬件自陷如（1）中断（2） 异常（3）显式地执行自陷指令4：用户接口是为了方便用户使用讣算机资源所建

11、立的用户和汁算机之间的联系，主要有两 类接口：作业级接口和程序级接口。作业级接口是操作系统为用户对作业运行全过程控制提供的功能，程序级接口是操作系统专门为用户程序设置的，它也是用户程序取得操作系统服务 的以为途径。5：从功能上划分3类系统调用：设备输入输岀系统调用，硬盘的输入输出及磁盘文件管理 的系统调用，其他系统调用6：操作系统的基本功能：资源管理，用户接口，进程管理，存管理操作系统的基本安全实现机制包括CPU模式和保护环，进程隔离，存保护等7：文件系统准确的说是一种数据链表，用来描述磁盘上的信息结构8：常见保护环（1） 0环：操作系统核（2） 1环：操作系统的其他部分（3） 2环：I/O驱

12、动 程序和实用工具（4） 3环：应用程序和用户活动9： UNIX系统可分为3层：硬件层，核层和用户层。关键系统组件包括存管理系统，文件 系统，进程间通信，进程调度系统和设备驱动程序10：守护进程是脱离于终端并且在后台运行的进程，在系统引导时装入，在系统关闭时终I匕。 11：系统和用户进行交流的界而称为终端，当控制终端关闭时，相应的进程都会自动关闭。12：服务是运行在网络服务器上监听用户请求的进程，通过incld进程或启动脚本来启动 通过inetd来启动的服务可以通过在/ctc/inctd.conf文件中注释来禁用，通过启动脚本启 动的服务可以通过改变脚本的需称禁用。13： inetd是UNIX

13、最重要的网络服务进程，通过集中配置文件inetd.conf来管理大多数入网 连接，根据网络请求来凋用相应的服务进程来处理连接请求，有助于降低系统负载。xinetd 以及取代了 inc（d,并且提供了访问控制，加强的日志和资源管理功能，已经成为新版的 UNIX/Linux系统的Internet标准超级守护进程。14： Linux系统中，用户的关键信息被存放在系统的/etc/passwd文件中。15： ISO/IEC 15408标准将可信左义为：参与计算的组件，操作或过程在任意的条件下是可 预测的，井能够抵御病毒和物理干扰。16：信任根是系统可信的基点，TCG泄义可信计算平台的信任根包括3个根：可

14、信测量根 （RTM）,可信存储根（RTS）,可信报告根（RTR）017：可信平台（TPM）是由CPU,存储器，I/O,密码运算器，随机数产生器和嵌入式操作 系统等部件。18：可信密码模块的核心功能包括：度量平台完整性，建立平台免疫力，为平台身份提供唯 一性表示，提供硬件级密码计算和密钥保护。19：可信计算组织的可信计算系统结构可划分为3个层次：可信密码模块，可信密码模块服 务模块，安全应用。20：可信网络连接（TNC）的优点：开放性，安全型，增加了平台身份验证和完整性验证。 局限性：局限于完整性，单向可信评估，缺乏安全协议支持，缺乏网络接入后的安全保障1:网络之间的连接通过物理介质实现的：物理

15、介质包括双绞线，光纤灯有线介质，也包括 无线电，微波，激光等无线介质。2： TCP/IP的体系结构：从下往上：物理和数据链路层，网际层，传输层和应用层。3：网络地址：A 类：0.0.0.0-127.255.255.255 B 类：128.0.0.0-191.255.255.255 C 类： 192.0.0.0-223.255.255.255 D 类：224.0.0.009.255.255.255 E 类：240.0.0.0-255.255.255.255私有地址:A 类：10.0.0.0-10.255.255.255 B 类：172.16.0.0 172.31.255.255 C 类： 192

16、.168.0.0-192.168.255.255（1） 网络地址：在A, B, C三类地址中，主机号全为0的地址用来表示一个网络的本网 地址。（2） 直接广播地址：在A, B, C三类地址中，主机号全为1的地址为直接广播地址，用 于表示特宦网络的所有主机（3） 受限广播地址：ip地址32位全为1,即255.255.255.255,则这个地址表示当前网络的 广播地址（4） 自环地址：IP地址为127.0.0.14： TCP初始序列号常用的产生方法包括3种：第一种64K规则法，就是在一个tcp连接启 动时，在原有的序列号基础上增加一个64000的常量作为新的序列号。第二种是与时间相关 的产生规则，

17、序列号的值是与时间相关的值，第三种是伪随机数产生规则，通过伪随机数产 生器产生序列号。5： TCP欺骗攻击包括非盲攻击和盲攻击两种6： DNS欺骗技术可分为基于DNS服务器的欺骗和基于用户计算机的欺骗。7：挂马的主要技术手段有：框架挂马（分直接加载框架挂马和框架嵌套挂马两种方法），JS 脚本挂马，body挂马和伪装欺骗挂马8： DoS/DDoS攻击的防御措施（1）静态和动态DDoS过滤器（2）反欺骗技术（3）异常识 别（4）协议分析（5）速率限制（6）增强系统安全性，及早发现系统中的漏洞，及时安装 补丁，禁止所有不需要的服务（7利用普通防火墙，路由器等网络设备，和网络安全设备 加固网络的安全性

18、，关闭服务器的非开放服务端口，限制SYN半连接数虽:，配巻好访问控 制列表的过滤规则，禁止网络中的无用UDP数据包和ICMP数据包。9：开源Web应用安全项目（OWASP）10：注入攻击的防（1）使用预编译语句（2）使用存储过程来验证用户的输入（3）在数据 类型，长度，格式和用等方面对用户输入进行过滤（4）使用数据库自带的安全参数（5）按 照最小权限原则设垃数据库的连接权限11：跨站脚本攻击XSS分三类：（1）反射型XSS （2）存储型XSS （3） DOM-based XSS 12：反射型XSS也称作为非持久型跨站脚本攻击：一般是向用户发岀带有恶意攻击脚本的 一个URL连接，诱骗用户区点击。

19、存储型XSS称为持久型跨站脚本攻击，攻击者将恶意数据非法存储在Web服务器端的 页面中。DOM-based XSS是基于文档对象模型的跨站脚本攻击，攻击者通过对javascript脚本动 态修改D0M结构，进而导致XSS漏洞。13： XSS的防（1）给关键Cookie设置Httponly标识（2）进行输入检查（3）进行输出査 14：跨站脚本请求伪造（CSRF）是伪造客户端请求的一种攻击方式。是让用户访问攻击者 伪造的网页，执行网页中的恶意脚本。防措施：（1）使用验证码（2）在用户会话验证信息中添加随机数15：木马的连接方式：木马程序都采用C/S的结构，他由两部分程序组成，客户端和服务端 木马程

20、序，攻击一方安装木马的客户端，同时诱骗用户安装木马的服务端。16：防火墙的功能：（1）防火墙在网外网之间进行数据过滤（2）对网络传输和访问的数据 进行记录和审汁（3）防外网之间的异常网络攻击（4）通过配置NAT提高网络地址转换功 能17：防火墙技术：（1）包过滤技术（2）状态监测技术（3）地址翻译技术（4）应用级网关 技术18：防火墙体系结构：双重宿主主机体系结构，屏蔽主机体系结构和屏蔽子网体系结构的防 火墙19：入侵检测系统的分类（1）根据数据采集方式的分类：基于网络的入侵检测系统NIDS 和基于主机的入侵检测系统HIDS （2）根据检测原理分类：误用检测型入侵检测系统和异 常检测型入侵检测

21、系统。误用检测技术（1）专家系统（2）模型推理异常检测技术（1）统计分析（2）神经网络（3）英他入侵检测技术：模式匹配，文 件完整性检验，数据挖掘，计算机免疫20：入侵检测体系结构：基于网络/主机的入侵检测系统，集中式结构，分布式结构21：入侵检测系统包括探测器和控制台两大部分：探测器是专用的硬件设备负责网络数据流 的捕获，分析检测和报警等。控制台是管理探测器的工具，它负责接收探测器的检测日志数 据，并提供数据查询和报告生成功能。22：入侵防御系统可以实现下而3个功能（1）拦截恶意流量（2）实现对传输容的深度检测 和安全防护（3）对网络流量检测的同时进行过滤23：入侵防御系统的部署（1）外网络

22、的边界（2） DMZ与防火墙的边界（3）网核心交换机 和防火墙中间（4）网关键服务器的外侧24：入侵防御系统的不足（1）可能造成单点故障（2）可能造成性能瓶颈（3）漏报和误报 的影响25：公共密钥基础设施PKI的作用主要包括（1）验证用户身份并颁发证书（2）确保用于 证书签爼的非对称密钥的安全（3）管理证书信息资料26：证书认证机构系统的组成结构：认证中心（根CA）,密钥管理中心（KM）,认证下级 中心（子CA）,证书审批中心（RA中心），证书审批受力点（RAT）27： iiE书的验证（1）验证有效性（2）验证可用性（3）验证真实性证书的安全性（1）物理安全（2）网络安全（3）密码安全28：信

23、任模式：（1）单证书认证机构信任模式：这种模式中的PKI体系只有一个证书认证 机构，PKI的所有终端用户都信任这个证书认证机构（2） 层次信任模式：由一级根证书认证机构1个，二级的政策证书认证机 构3个，三级的运营证书认证机构多个，三个层次组成。第一层为根认证机构（RootCA）, 第二层为政策证书认证机构（Policy CA）,第三层为运营证书认证机构（Operation CA）（3） 桥证书机构认证信任模式：使不同结构类型的PKI体系中的中端用户 都可以通过桥证书认证机构连接在一起，并实现相互信任。29：虚拟专网VPN分为Client丄AN （也被称为远程访问型VPN）和LAN-LAN两种

24、连接类 型（也被称为网络到网关类型的VPN）。30:VPN应用了多种信息安全技术和网络技术，包含隧道技术，加密解密，完整性验证密钥 管理技术和身份认证技术。英中网络隧道技术室VPN的关键技术，它的原理是使一种协议封装在另一种安全协议 中传输，从而实现被封装协议的安全性。31： VPN协议的分类（1） 第二层隧道协议即链路层隧道协议，主要有三种，第一种点对点隧道协议PPTP，第二种是二层转发协议L2F,第三种二层隧道协议L2TP,结合前面两种协议的优 点（2） 介于二三层之间的隧道协议：MPLS VPN是一种基于多协议标记交换MPLS技术的 IP-VPN（3） 第三层隧道协议即网络层的隧道协议，

25、主要包括IPSec和GRE等隧道协议（4） 传输层的SSL VPN协议，采用标准的安全套接层协议SSL对传输的数据包进行加密32： Internet安全协议IPSec包括网络安全协议和米啊哟协商协议两部分。网络安全协议包括：认证协议头AH协议和安全载荷封装ESP协议。 密钥协商协议包括互联网密钥交换协议IKE等33： （1） ESP协议为基于IPSec的数据通信提供了安全加密，身份认i正和数据完整性鉴别这 三种安全保护机制。根据封装的容不同，可将ESP分为传输模式和隧道模式两种模式。传 输模式下，ESP对于要传输的IP数据包中的IP有效数据载荷进行加密和认证。隧道模式用 于网关设备到网关设备的

26、网络连接。ESP采用的主要加密标准时DES和3DES（2）认证协议头分为传输模式和隧道模式两种。分别用于和ESP相同的网络连接环境中 传输模式中，认证协议头被插在IP数据包的IP头之后，有效数据载荷之前，它对整个新 IP数据包进行完整性检验认证，IP报头AH头IP有效载荷隧道模式中IP数据包格式不变，认证协议头被插在原IP头之前，并生成一个新的IP头放 在认证协议头之前，新IP报头AH报头原IP报头IP有效载荷（3）密钥协商协议ESP和认证协议在进行IPSec数据安全封装过程中需要使用加密算法，数据完整性检验算法 和密钥等多种安全参数。IKE协议负责两个IPSec对等体之间协商相关安全参数，包

27、括协商协议参数，交换公共密钥, 双方进行认证以及在交换安全参数后对密钥的管理，IKE协议属于混合型协议，由3个协议 组成：ISAKMP.Oakley, SKEME.沿用了 Oakley的密钥交换模式和SKEME的共享密钥和密 钥组成技术。IKE使用两阶段协商安全参数：第一阶段，通过协商IKE SA建立一个通信信道并对该信道 进行脸证。第二阶段，IKE使用第一阶段由IKESA协议建立的安全通道 一个完整的IPSec隧道建立过程：1） IPSec的一端收到另一端的IPSec数据流后将产生IKE会话2） IPSec两端使用IKE的主模式或者主动模式协商，交换IKE SA,建立安全通道3） IPSec

28、两端使用IKE的快速模式协商，交换IPSec SA.建立IPSec安全通道4） 上述协商完成并建立IPSec安全通道，传输的数据采用ESP或者认证协议进行封 装后就可以在加密通道上传输了综上可知IPSec提供了数据加密，身份认证和完整性检验这三个最基本的安全措 施保证通过IPSec建立的VPN的安全性。34：安全套接层：解决了 TCP/IP协议的安全防护问题，为传输层之上的应用层提供了加密, 身份认证，和完整性验证的防护。（1） SSL协议的构成，建立在TCP/IP协议之上，包括两层协议：记录协议和握手协议 SSL记录协议位于SSL握手协议的下层，左义了传输格式，上层数据包括SSL握手 协议建

29、立安全连接时所需传送的数据，他们都通过SSL记录协议往下层进行传送。35：应用层安全协议：Kerberos协议，SSH协议，SHTTP协议，S/MIME协议，SET协议。（1） Kerberos协议是一种认证协议，主要用于分布式网络环境中，实现用户和服务 器之间的安全身份认证。（2） SSH协议可以把所有的传输数拯进行加密，同时能防止DNS欺骗和IP欺骗攻 击。SSH支持的两种登陆认证方式第一种基于口令的登录认证 第二种是登录认证需要依靠密钥来进行（3） SHTTP协议是一种基于HTTP设计的消息安全通信协议，提供了对称密钥加密 功能，支持用户浏览器到服务器之间的数据安全传输，加密用到的对称密

30、钥是 通过公钥加密后传输到Web服务器的。（4） S/MIME协议即安全多用途网际扩充协议提供针对电子的数字签拿和数据加密 功能，以弥补SMTP协议和POP3协议在安全功能方而的不足。第五章应用安全1：漏洞分类（1 本地漏洞：指攻击者必须在本机拥有访问权限的前提下才能攻击并利用的 软件漏洞（2）远程利用漏洞：指攻击者可以通过网络发起攻击并利用的软件漏洞2：根据漏洞形成的原因分类（1）输入验证错误漏洞（2）缓冲区溢出漏洞（3）设计错误漏 洞（4）意外情况处置错误漏洞（5）访问验证错误漏洞（6）配置错误漏洞（7）竞争条件漏 洞（8）环境错误漏洞（9）外部数据被异常执行漏洞3：美国国家漏洞数据库NV

31、D收录了三个漏洞公告和安全警告：CVE漏洞公告，US-CERT 漏洞公告，US-CERT安全警告。CNNVD中国国家信息安全漏洞库，国家信息安全漏洞共享平台CNVD,国家互联网应 急中心（CNDERT 或 CNCERT/CC）4： .text段是存放程序代码的区域，该区域为只读，任何对该区域的写操作都会导致段出错。 bss段和.data段都保存的是全局变量，其中.bss段包含未初始化的全局变.data段包 含已初始化的全局变量，他们都是可写的。这块区域编译时分配空间，程序运行结朿时回收。堆（heap）是先进先岀的数据结构，往高地址增长，主要用来保存动态分配变量栈（stack）是一个后进先出的数据结构，往低地址增长，它保存本地变量，函数调用 信息。内存高地址标 OkcOOOOOOO内核存储区卩找（运行时临时创建）卩堆（运彳亍时malloc创遂）3.bss.datatext。未用卩0x08048000 ijir .内存低地址0 亠丄 15： Windows应用程序4GB虚拟存空间被分成两个部分：一个给用户模式，英围是 OxOOOOOOOOOx7fffffffu 另一个分给核模式，空间是 0x800000000xbfffffffo6： （1）指令寄存器cip用于存放一个指针，该指针始终指向下一条要执行指令（即要被调 用的函