税务大比武网络攻防复习(完整版)

信息化建设与管理

1.信息化建设步骤:需求分析、选型采购和系统实施

  • 需求分析:
    ①制定建设目标
    ②确定整体框架
    ③形成分析文档
  • 选型采购:
    ①确定技术路线和供给商
    ②供给商提交工程建议书,组织产品演示
    ③评审或招标确定供给商,签订合同
  • 系统实施:
    ①制订实施方案
    ②人员培训、系统配置、试运行
    ③系统上线、后续维护及调整

2.建设目标按照影响可分为:战略目标、短期目标

3.建设边界:实施边界、业务边界、用户边界

4.国产中间件:金蝶、中创、东方通

5.税收信息化

  • 安全管理:基线扫描、等级保护、安全检查、补丁防护、应急处理
  • 基础设施建设:基础环境建设、计算存储、网络建设、安全建设、容灾备份建设
  • 如果没有范围约束,那就很可能违反架构合理性、建设经济性、功能实用性

6.IT治理思想:即科学的信息化发展观。科学的信息化发展观是关于信息化发展的本质、目的、内涵和要求的总体看法和根本观点。

7.PMBOK中对项目的定义:为创造独特的产品、服务或成果而进行的临时性工作

8.项目验收

  • 标准:项目合同书、国际惯例、国际标准、行业标准、国家和企业的相关政策法规
  • 年度验收:运维年度到期后,乙方提交年度运维报告,甲方对运维报告审核、考核、支付费用

9.ITIL:信息技术基础架构库

  • ITSM:信息技术服务管理流程,指导思想
  • 服务台:负责接收客户电话、邮件、自助提交和监控系统的所有IT报障请求
  • 事件管理:解决突发事件、服务请求,尽快恢复被中断或受到影响的IT服务
  • 问题管理:事件管理的主要出口,在事件管理中无法根本解决的事件、不断重复的事件、典型或影响范围过大的事件进行问题管理
  • 配置管理资产管理相结合的管理方式可以保障资产的真实性和可靠性
  • 发布管理:大范围的IT架构的变更,经过测试后导入实际运营环境的过程。比如核心征管软件、财务软件的升级等
  • 知识管理:用知识库构建IT部门与客户之间的知识共享平台
  • 服务管理:ITIL4提出,作为一组特定的组织能力,最终以服务的形式为客户创造价值
  • 围绕产品和服务提出的纬度:组织与人员、信息与技术、合作伙伴与供应商、价值流与流程

10.“金税”工程三期并库后,处于的阶段有发展信息化、服务信息化

11.四个治理

四个治理含义
治理思想回答方向性问题
治理模式侧重于具有代表性、稳定性的治理方式
治理路径解决各相关主体的治理范围、责权利及其相互关系的准则等问题
治理机制解决运行机理、动力和约束问题。

12.可行性研究主要内容:投资必要性、技术可行性、组织可行性、风险因素及对策

13.进度表的方法:甘特图法、网络图法

14.软件开发项目文档:

阶段文档
概要设计结束《架构设计说明书》《概要设计说明书》
详细设计结束《详细设计说明书》《数据库设计说明书》
版本封装与发布《软件安装及升级指导手册》《系统操作使用手册》

15.关键技术约束:服务器、客户终端、桌面操作系统、数据库、中间件、浏览器和客户端等

16.应用系统的进度:需求分析、方案评审、功能验收、联调测试、初步验收、压力测试、系统部署、系统初始化、数据初始化、试运行、正式运行、最终验收、运维阶段等

计算机终端设备

1.计算机系统组成

  • 硬件系统:运算器、控制器、存储器、外部设备(输入设备和输出设备)
  • 软件系统:系统软件、应用软件

2.打开电源,主机箱灯亮,显示器有提示,提示找不到硬盘/引导区/鸣笛后死机,有可能是硬盘硬件故障

3.终端机设备

  • 瘦客户机:没有可移除的部件,可以提供比普通PC更加安全可靠的使用环境,以及更低的功耗,更高的安全性。瘦客户机不但经济实惠,并且更便于IT管理人员进行管理。
  • 一体机:将传统分体台式机的主机集成到显示器中,从而形成一体台式机,可以只需要一根电源线就可以完成所有连接

4.比较法:更换配件快速定位硬件问题

5.内外网交互:特殊处理U盘、光盘刻录

6.系统还原功能:除了修改启动密码之外都可以快速恢复

通信与网络

1.计算机网络分类:

分类标准分类
逻辑通信子网、资源子网
频带占用方式基带、宽带
拓扑结构总线形、环形、星形、树形、网状

2.协议要素:语法、语义、时序

3.OSI体系结构模型:

  • 物理层: 传输比特流
    ①协议:rj45;IEEE 802.3;802.11(传输最快的是802.11ac)
    ②设备:中继器、集线器
  • 数据链路层: 物理层传输的比特流封装成帧,在通信实体之间建立数据链路链接
    ①数据链路层分为两层:介质访问控制MAC和逻辑链路控制LLC
    ②广域网协议:PPP和HDLC
    ③滑动窗口协议:包括后退N帧协议GBN和选择重传协议SR
    ④设备:网桥、交换机
简称含义
CSMA载波监听多路访问协议
CSMA/CA载波监听多点介入/碰撞避免
CSMA/CD载波监听多点介入/碰撞检测
  • 网络层: 路由选择与分组转发
    ①路由选择协议:IGP和EGP
    ②路由算法:OSPF和RIP(距离向量,15跳)
    ③OSPF网络类型:点到点、点到多、广播多址(Ethernet、FDDI)、非广播多址(帧中继、ATM、X.25)
    ④协议:NAT、ARP(ip–>mac)、ICMP、BGP、VPN、IPsec
    ⑤IPv4:32位 ------->IPv6:128位
    ⑥设备:路由器
  • 传输层: 为应用层提供通信服务使用网络层服务
    协议:TCP、UDP
TCPUDP
面向连接无连接
可靠不可靠
一对一通信一对一、一对多、多对一、多对多
面向字节流面向报文
首部最小20字节,最大60字节首部8字节
文件传输实时应用(IP电话、视频会议、直播等)
  • 会话层功能: 建立,管理,终止会话
  • 表示层: 数据格式变换
  • 应用层: 对应用程序的通信提供服务、文件传输访问和管理
    协议:HTTP、FTP、TFTP、SMTP、POP3、Telne、SSH、SNMP(对设备进行监视和管理)、DHCP(169.254.0.0)

4.TCP\IP体系结构模型:网络接口层、网络层、传输层、应用层

5.传输介质:双绞线(100m最多4个中继器->500m)、同轴电缆(100km)、光导纤维(单模:高速长距;双模:低速短距)

6.地址类型:

类型地址
A类1.0.0.1-127.255.255.254 (255.0.0.0)
B类128.0.0.1-191.255.255.254(255.255.0.0)
C类192.0.0.1-223.255.255.254(255.255.255.0)
私有地址10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255

7.VPN隧道协议:PPTP L2TP(2层)IPSec(3层)

8.物联网

  • 层级:感知层、网络层、应用层
  • RFID(低频、高频、超高频):阅读器(传送器、接收器、微处理器)、天线、标签(电可擦、铁电随机、静态随机)

9.省级广域网结构:重要节点双冗余结果、分层分级、线路分担

10.数据通信系统:中央计算机系统、数据终端设备、数据电路

11.域名解析

  • DNS 服务器分为:主服务器、辅助服务器、缓存服务器
  • —个区域内只能有一台主DNS服务器,否则解析会出现紊乱
    在这里插入图片描述
    12.网络交换技术
    | 网络 | 类型 | 单位 |
    |–|--|–|
    | Internet | 数据报 | bit |
    | ATM | 虚电路 | 码元 |

13.默认服务端口

服务端口
FTP21端口
SSH22端口
Telnet23端口
SMTP25端口
DNS53端口
HTTP80端口
POP3110端口
NTP123端口
HTTPS443端口
SQL Server1433端口
Oracle1521端口
Mysql3306端口
远程终端3389端口
Weblogic监听7001端口
Tomcat8080端口

14.域名对应网址的命令:ping、nslookup、tracert

15.无线网络不足之处:性能不好易被干扰、速率不高、安全性不高

16.数据传输方式

分类方式分类
传输顺序并行传输、串行传输
同步方式同步传输、异步传输
流向和时间单工、半双工、全双工

数据管理与应用

1.数据库

  • 数据库系统(DBS)包括:数据库(DB)、数据库管理系统(DBMS)(以及开发工具)、应用系统、数据库管理员(DBA)和用户
  • 体系结构:
    内模式(存储模式)、模式(概念模式)、外模式(子模式、用户模式)
外模式/模式映射
模式/内模式映射
外模式
模式
内模式
  • 共享性好、冗余度低、独立性高
  • 关系模型完整性:实体参照、用户定义完整性
  • E-R实体联系图:实体、联系、属性
  • 关系数据库的层次结构:数据库、表与视图、记录、字段
数据模型分类分类
数据模型概念、逻辑、物理数据模型
层次模型树结构
关系模型二维表
网状模型图结构
面向对象模型

2.SQL核心动词

类型语句
数据查询select
数据定义create、drop、alter
数据操纵insert、update、delete
数据控制grant、revoke
常见语句含义
COMMIT完成数据提交保存
UNION并操作
INTERSECT交操作
MINUSR差操作

3.Oracle

  • 监听器默认通讯端口:TCP 1521
  • 初始化参数文件在数据库实例启动时读取。
  • 个人版、标准版、企业版
  • 文件类型:参数文件、控制文件、重做日志文件、数据文件
  • 必须存在的用户:SYS、SYSTEM
  • 必须存在表空间:SYSTEM、SYSAUX
  • 用户身份认证模式:数据库身份认证、外部身份认证和全局身份认证
  • 用户密码表:DBA_ USERS、USER USERS
  • 必须启动的后台进程:进程监控、系统监控、数据写入、日志写入、检查点
  • 逻辑备份:Expdb,日常备份:Rman
  • 安全控制机制:系统安全、数据安全、网络安全
  • 身份认证方式:数据库身份认证、外部身份认证、全局身份认证
  • 安装后有SYS、SYSTEM、SYAMAN、DBSNMP用户均不可删除
  • 默认用户均锁定,口令过期
  • 权限分为系统权限和对象权限,授权有传递性、回收没有传递性,with admin option可将获得的权限授予其他用户 --> 回收其系统权限后才能回收对象权限
  • 每个用户必须要有一个概要文件,DBA用户拥有alter权限,普通用户只有create session权限
  • 数据字典保存在SYSTEM表空间
  • connect是权限最低的用户
结构分类
物理结构日志文件、数据文件、控制文件
逻辑结构表空间 > 段 > 区 > 数据块
内存结构系统全局区、程序全局区、用户全局区
常见语句含义
HAVING限制分组函数返回值
startup正式启动
startup mount/nomount加载式/非加载式启动
truncate截断
alter user [uname] identified by [psw]修改密码
alter user [uname] account unlock解锁用户
shutdown abort / 关闭电源实例恢复关闭方法

4.数据仓库

  • 模式:星型、雪花型、星系模式(事实星座模式)
  • 特征:面向主题、集成性、稳定性、时变性
  • 信息发布系统:把数据仓库中的数据或其他相关的数据发送给不同的地点或用户

5.数据挖掘常用方法

  • 分类:决策树、贝叶斯、人工神经网络
  • 回归:线性回归、Logistic回归
  • 聚类:K-Means、DBSCAN、层次
  • 关联:Apriori

6.HDFS

  • 优点:兼容性、流数据读写、文件模型简单、大数据集
  • 缺点:不适合低延迟数据访问、无法高效存储大量小文件、不支持多用户写入及任意修改文件
  • Hadoop YARN:Hadoop任务调度和集群资源管理的框架
  • Hadoop2.x版本默认大小:128M

7.NoSQL不足:成熟度不够、分析和商务智能化不足

存储方式代表
键值数据库Redis、Riak、SimpleDB、Chordless、Scalaris、Memcached
列族数据库BigTable、HBase(B+树)、Cassandra、HadoopDB、GreenPlum、PNUTS
文档数据库CouchDB、MongoDB、Terrastore、ThruDB、RavenDB
图形数据库Neo4J、OrientDB、InfoGrid、GraphDB

8.大数据有五V特点:Volume(体量大) 、Variety(多样性)、Velocity (变化快)、Veracity (准确性)、Value(价值大)

9.事务特性:
原子性(Atomicity) :-个事务要么都执行,要么都回滚(不可再分割)。
一致性 保证数据的状态操作前和操作后保持一致。
隔离性( lsolation):多个事务同时操作相同数据库的同一个数据时,一个事务的执行不受另外一个事务的干扰。
持久性一个事务一旦提交,则数据将持久化到本地((则会永久的改变数据库的数据),除非其他事务对其进行修改。

特性解释
原子性一个事务要么都执行,要么都回滚
一致性保证数据的状态操作前和操作后保持一致
隔离性多个事务同时操作相同数据库的同一个数据时,一个事务的执行不受另外一个事务的干扰
持久性一个事务一旦提交会永久的改变数据库的数据,除非其他事务对其进行修改

10.MapReduce

  • 优点:易于编程、良好的扩展性、高容错性、适合PB级别以上的大数据的分布式离线批处理
  • 缺点:难以实时计算、不能流式计算

软件开发

1.软件工程

  • 要素:方法、工具、过程
  • 编制项目计划:项目进度计划、项目成本计划、项目质量计划、项目范围计划

2.软件

  • 生命周期:
    定义:问题定义、可行性研究、需求分析(需求提出、需求描述、需求评审)
    开发:总体设计、详细设计、编码、测试
    维护
  • 需求层次
    业务需求:组织或客户高层次的目标(为什么要开发一个系统)
    用户需求:用户的目标,或用户要求系统必须能完成的任务
    功能需求:项目中具体需要提供的功能和内容,如用户登陆功能、收发邮件功能和论坛功能等
    非功能需求:项目中为满足客户业务需要必须达到的一些特性,包括系统性能、可靠性、可维护性,可扩充性以及对技术与业务方面的适应性
  • 软件测试–>软件内部结构和具体实现:白盒测试、黑盒测试、灰盒测试
    Alpha测试是在软件开发环境下由用户进行的测试,或者模拟实际操作环境进而进行的测试,主要是对软件产品的功能、局域化、界面、可使用性以及性能等方面进行评价。
    Beta测试是在实际环境中由多个用户对其进行测试,并将在测试过程中发现的错误有效反馈给软件开发者。
  • 项目管理:项目进度难以界定、项目中的变更难以控制、软件项目对开发人员的依赖性极大
  • 风险管理:风险规划、风险识别、风险评估、风险应对、风险监控

3.软件开发模型

模型内容
瀑布模型自上而下,缺乏灵活性
螺旋模型制定计划、风险分析、实施工程、客户评估
快速原型模型快速分析实现原型
增量模型模块化分批次交付、降低风险、开发顺序灵活
迭代模型RUP推荐,每一个迭代都会产生一个可以发布的产品,这个产品是最终产品的一个子集

4.Java:面向对象

  • 消息传递:对象间通信方式
  • 多态:父类同一个方法在继承的子类中表现出不同的形式
  • 对象要素:标识、状态、行为
  • JRE–>运行环境,JDK–>开发环境(JDK里面已经包含了JRE,只要安装了JDK就可以编辑、运行Java程序)

5.线程状态:新建、就绪、运行、阻塞、死亡

6.B/S

  • 构架:表现层、逻辑层、数据层
  • 分布性强,客户端零维护,无法实现具有个性化的功能要求。在跨浏览器上,B/S架构不尽如
    人意。客户端服务器端的交互是请求—响应模式,通常动态刷新页面,响应速度明显降低。

7.面向数据流:事务流、变换流

8.UML(标准图形化建模语言):用例图、静态图、行为图、交互图、实现图

9.J2EE组件:服务端(Web、EJB)、客户端(Application、Applet)

10.面向数据结构的软件开发方法:把问题分解为顺序、选择、重复三种基本结构形式表示的各部分的层次结构

11.Web开发:

  • HTTP请求:请求行、消息报头、请求正文
  • 静态Web实现动态效果、丰富人机界面:JavaScript 、JScript、ScriptEase、VBScript
  • JDBC:JVM虚拟机与数据库的连接协议
    Statement:运行静态SQL语句
    PreparedStatement:运行动态SQL语句
    CallableStatement:运行数据库存储过程
    getConnectin:获取数据库连接对象

12.常见状态代码、状态描述、说明:

代码描述说明
400Bad Request客户端请求有语法错误,不能被服务器所理解
401Unauthorized请求未经授权
403Forbidden服务器收到请求,但是拒绝提供服务
404Not Found请求资源不存在
500lnternal Server Error服务器发生不可预期的错误
503Server Unavailable服务器当前不能处理客户端的请求

13.XML

  • 结构特点:元素成对出现、大小写敏感、属性必须被引号包围
  • DTD、XML Schema定义XML文档结构
  • 只需考虑每次传递数据大小、是否需要处理二进制数据

14.Weblogic

  • 服务器集群:灵活调配且稳定、对用户透明、可扩展性、高请求处理容量和冗余能力
  • 日志:Server运行日志、Http访问日志、Domain运行日志
  • 监听端口:7001
  • 基本管理单元:域
  • 域用户名和密码信息可以保存在boot. properties
  • 安全特征:限制到指定服务器的连接、数字认证、Ssl
  • 缺省安全策略中对口令长度进行约束
  • -verbosegc 打开垃圾回收日志文件
  • 默认用户组(没有Users组)
    Admin --> Administrators
    Deployer --> Deployers
    Operator --> Operators
  • 反序列化漏洞分类:Xml Decoded反序列化、Java反序列化

计算与存储

1.服务器分类

  • 体系架构:非X86服务器(RISC–>如Power PC,不能装Windows、EPIC)、X86服务器(CISC)
  • 应用层次:入门级、工作组、部门级(如E-mail、DNS)、企业级
  • IBM小型机:AIX或Linux、RISC、热插拔、重要备份(金税二期、营改增税控系统、金税三期生产型应用)
  • 专业机房使用的服务器:机架服务器、刀片服务器和小型机
机箱结构应用场景
台式/塔式扩展空间较大,散热、核心选择多,配置高冗余强,适合临时搭建
双塔式–>可靠性、可用性、可扩展性,冗余、容错、热插拔等
机架式19U,前吹风,安装紧凑,方便维护升级,成本低
刀片式低功耗、空间小、单价低、热插拔、高性能集群,前期建设成本高
机柜式高档,内部复杂、设备多

2.存储

  • DAS:服务器为中心
  • NAS:存储为中心,适用于需要通过网络将文件数据传送到多台客户机上、易于部署、高效文件共享;占用带宽、可拓展性差、文件级格式转换、前期成本高
  • SAN:网络为中心,传输块级数据、远程灾难恢复、集中高效管理功能

3.磁盘

  • 接口技术:SCSI(FC SAN、服务器和客户机的数据通信,块级)、SATA、SAS(6Gbps最快)
  • 串行传输硬盘接口:SATA、SAS、FC
  • ISCSI:基于IP协议,继承SCSI协议和TCP/IP协议
  • 磁盘阵列技术
RAID简介
RAID0利用率100%
RAID1镜像
RAID5奇偶校验 (N - 1 )/ N
RAID6两个磁盘奇偶校验 N - 2
RAID10RAID0 + RAID1

4.云计算

  • 核心服务层
服务层基于实例
IaaS基础设施虚拟化、数据中心
PaaS平台分布式存储、数据处理与编程、资源管理与调度(虚拟的操作系统、数据库管理系统等服务)
SaaS软件HTML、JavaScript、CSS、Flash、Silverlight
  • 服务管理层、用户访问接口层
  • 云技术标准:显性标准、潜性标准、隐形标准
  • 云原生技术和工具:容器、函数
  • 云计算基石:私有云–>虚拟化,公有云–>分布式

5.光纤通道交换机主要技术指标:端口数量、端口带宽、缓存数量、LUN管理的功能等。

6.Windows Server

  • Windows Server 2012基于Windows 8开发
  • Windows Server 2016标准版和数据中心版是64位,最大内存是24TB512个物理逻辑处理器,虚机支持12TB内存,240个虚拟处理器。

7.虚拟化

  • 解决高性能的物理硬件产能过剩、老旧硬件产能过低的重组重用,透明化底层物理硬件,最大化利用物理硬件
  • 支持异构操作系统,能在虚拟化平台快速迁移
  • 服务器虚拟化必备:CPU虚拟化、内存虚拟化、设备与I/O虚拟化
  • 潜在风险:系统额外开销、硬件风险、标准不一致的风险
  • 按照应用模式:—对多、多对一、多对多

8.虚拟机

  • VMware共享存储的优势:允许部署HA集群
  • 虚拟机运行中不可以进行的是:恢复
  • 应用服务器的虚拟机网卡应设置为桥连模式
  • 常见服务器虚拟软件XenServer、VMware vSphere、Oracle Visual Box

基础设施保障

1.基础设施

  • 功能分类等级:A容错、B冗余、C基本;T1基本、T2部件冗余、T3可在线维修、T4故障容错–>巡检:A每日两次,B、C每日一次
  • 维护:预防性、维护性

2.电力

  • 供电方式:直接、隔离、交流稳压器、发电机组、不间断电源(UPS)
  • 发电机工作模式:备用、持续、市电交互
  • 配电设备:
    分体空调插座墙面距地1.8米
    照明配电箱距地1.4米
    敷线背面距地0.1-0.3米
    漏电保护器动作电流不大于30毫安、动作时间不大于0.1秒、接地电阻小于4欧姆
    活动地板下既为电缆布线,又为空调静压箱,需要留不小于400mm
  • UPS电压低于80% 时,开启发电机或恢复市电供电
  • UPS及电池宜设于建筑物内的第一层或地下,如在楼上放置需要加固承重达到800kg/m²以上
  • 至少每半年—次对不间断电源系统电池进行充放电试验

3.温/湿度

  • 干燥<40%<80%<潮湿<100%饱和
  • 机房专用空调:风冷、水冷、风水冷混合,采用变频技术

4.通风系统:机械通风、事故通风

5.消防

  • 机房消防系统组成:火灾自动报警系统、气体灭火系统(七氟丙烷)、防排烟系统、防火卷帘门系统
  • 机房消防系统控制方式:自动、手动、机械应急操作
  • 消防资质的专业机构进行定期健康性检查
  • 消防系统检查:控制主机中的日志与告警信息、消防灭火系统

6.IETF:事件产生器、事件分析器、响应单元、事件数据库

7.税务

  • 按照数据中心的建设要求,市局不需要配置发电机系统,采用大容量UPS满足不间断供电
  • 省级数据中心机房值班制度:7*24小时

8.机房

  • 机房一般宜由主机房区、基本工作区、辅助机房区等功能区域组成。主机房区包括服务器机房区、保密机房区、网络通信区、前置机房区和介质库等
  • 机房类管理:供配电系统、空气调节系统、消防系统、安防监控系统、机房场地环境管理等
  • 机房环境监控范围:供配电系统、防雷监控系统、UPS监控系统(含UPS主机及后备电池)、精密空调监控系统、温湿度监控系统、漏水检测系统、新风机监控系统、消防监控系统、视频监控系统
  • 机房供配电系统建设要求:
    ①为设备提供稳定可靠的电源支持,保证正常运行及出现断电时保持重要设备运行不中断
    辅助市电配电柜向机房内的空调设备、排风机、照明、维修插座等设备供电
    UPS输出配电柜向机房计算机设备等弱电系统供电
    ④机柜所有设备采用双回路不同相的UPS电源供电

9.清洁:至少每季度一次(对机柜内部和机房类基础设施表面清洁,更换空调系统过滤网,紧固更换空调系统风机皮带,对空调系统翅片除尘并冲洗等)

网络安全

网络安全基础

1.网络安全基本属性:
*保密性:保证信息不泄露给未经授权的用户
完整性:信息不被偶然或恶意删除修改等破坏
可用性:保证授权用户能对数据进行及时可靠的访问

2.网络安全保护目标:系统硬件、软件、数据

3.各层级风险及对策:

层级风险对策
物理层设备破坏规范安装、防护措施、备用供电
线路监听、数据包截获加密传输
链路层MAC欺骗在交换机上配置静态条目,将特定的MAC地址始终与特定的端口绑定
MAC泛洪配置静态的MAC转发表,配置端口的MAC学习数目限制
ARP欺骗主机手动配置MAC表
网络层IP欺骗设置过滤器,设置路由器禁止使用源路由
IP地址扫描设置主机使其不对ping请求作出应答
Smurf攻击检查ICMP请求包的目的地址是否为子网广播地址或子网的网络地址,如果是则直接拒绝
ICMP重定向和不可达攻击修改注册表关闭主机的ICMP重定向报文处理
传输层TCP欺骗设置过滤器,设置路由器禁止使用源路由
TCP拒绝服务关闭处于Half Open状态的连接
端口扫描除必须要开放的端口,关闭系统的其他端口。
SYN拒绝服务
LAND攻击
会话劫持
应用层漏洞检测漏洞并及时修补
缓冲区溢出攻击通过操作系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码
WEB应用的攻击防火墙等
病毒及木马下载保护软件
邮件攻击
Weblogic漏洞

4.DDOS

  • 攻击者:只需要向主控端发送命令,不需要传输大量数据
  • 主控端:只发布命令而不参与实际的攻击
  • 代理端:发出DDoS的实际攻击包
  • 攻击目标:网络服务商提供服务的网站或数据库

5.身份假冒:IP假冒、用户假冒

6.操作系统层安全:修补系统漏洞、正确进行系统配置、安装防病毒软件

7.信息安全事件分类:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件

8.攻击
主动攻击:指的是攻击者直接攻击服务器–>拒绝服务攻击、信息篡改、资源使用、欺骗等
被动攻击:攻击者并不直接攻击服务器,而是针对网站用户设置陷阱,利用掉入陷阱的用户来攻击应用程序(一是获取消息内容,二是进行业务流分析)–>窃听、流量分析、破解弱加密的数据流、钓鱼、XSS、网站挂马、端口扫描

网络安全管理

1.法条实施时间

法条时间
《数据安全法》2021.9.1
《个人信息保护法》2021.8.20
《密码法》2020.1.1
《网络安全法》2017.6.1
《反恐怖主义法》2016.1.1
《国家安全法》2015.7.1
《秘密法》2010.10.1
《电子签名法》2005.4.1

2.密码管理部门:对核心密码、普通密码实行严格统一管理

3.密码分类:

密码
普通密码
核心密码
商用密码
国家秘密
公民-法人-其他组织

4.网络运营者应当制定网络安全事件应急预案,及时处理安全风险

5.用户在接入单位办理入网手续时,应当填写公安部监制的用户备案表

6.数据备份技术:基于磁盘、基于软件、其他

7.备份策略

  • 完全备份、增量备份、差分备份
  • 模式:热备份、冷备份

8.突发事件按性质、严重程度、可控性、影响范围等因素分为:
特别重大Ⅰ级、重大Ⅱ级、较大Ⅲ级、一般Ⅳ级

9.国家支持网络运营者之间在信息收集、分析、通报和应急处置方面合作

10.网络运营者:网络管理者、网络服务提供者、网络所有者

11.《电子签名法》目的:规范电子签名行为,确立法律效力,维护有关各方的合法权益

12.信息系统的安全保护:国家安全,社会秩序和公共利益,公民、法人和其他组织的合法权益

14.信息安全风险评估:风险识别、风险评定、风险转嫁

15.税务灾备中心建设模式:以总局灾备中心和省内两个护卫备份的同城异址数据中心模式的两地三中心模式、自建省内异地数据级数据备份或“双活”数据中心

16.安全三同步:同步规划、同步建设、同步使用

17.国家信息安全等级保护(不对国家秘密信息进行管理)

  • 原则:自主定级、自主保护
  • 内容:信息安全、服务安全
  • 三级及以上信息系统至少每年进行一次等级测评
  • 安全考核指标:身份认证、自主访问控制、数据完整性、审计等
明确定级流程
确定定级对象
确定受侵客体
确定客体受侵程度
确定安全保护等级
评审与审批
形成定级报告
备案
等级-社会秩序和公共利益国家安全增加功能
第一级(自主保护)用户自主保护级不损害不损害/
第二级(指导保护)系统审计保护级一般损害不损害系统审计保护
第三级(监督保护)安全标记保护级严重损害一般损害强制访问控制
第四级(强制保护)结构化保护级特别严重损害严重损害隐蔽信道分析、可信路径
第五级(专控保护)访问验证保护级特别严重损害特别严重损害可信恢复

18.网络安全事件应急预案

  • 分级因素:危害程度、影响范围
  • 税务系统:应急响应工作总体预案、应急响应综合预案、专项应急预案

19.信息安全核心三要素:、技术、操作(管理)

20.PPDR与PDR相比多了策略

21.RPO(数据丢失量) RTO(停止服务时间)
最佳灾难备份方式:RPO=RTO=0

22.发现网络存在较大安全风险或者发生安全事件的,可以对网络运营者法定代表人或者主要负责人进行约谈

23.对计算机信息系统中发生的案件,使用单位应向当地县级以上人民政府公安机关报告的时间期限是24小时

密码学

1.密码系统五元组:明文、明文、加密算法、解密算法、密钥

2.密码学研究目的:研究数据保密、研究编制密码和破译密码、研究隐秘地传递消息

3.传统密码体制:置换密码、代换密码

4.密码分析(破译难度由难到易)

攻击方式定义
为唯密文攻击有一些消息的密文,密任务是恢复尽可能多的明文,最好是能推算出加密消息的密钥来
已知明文攻击不仅可得到一些消息的密文,而且也知道这些消息的明文
选择明文攻击不仅可得到一些消息的密文和相应的明文,而且能选择特定的明文块去加密
自适应选择明文攻击可选取较小的明文块,然后再基于第一块的结果选择另一明文块,以此类推进行攻击
选择密文攻击选择不同的被加密的密文,并可得到对应的解密的明文,任务是推导出密钥

5.密码分类

分类算法
对称密码(加密密钥与解密密钥相同)DES(被差分攻击)、3DES、AES、RC4、BlowFish、IDEA
非对称密码(公钥、私钥)RSA、SM2、ElGamal、ECC、Diffie-Hellman
分组密码(明文、密文为固定长度的组)DES、3DES、AES、RSA
流密码(逐位加密连续处理)RC4

6.密钥分层保护:主密钥、密钥加密密钥、会话密钥

7.对称密码(加密解密速度相同)

  • 3DES加密:C=Ek3(k3,Dk2(k2,Ek1(k1,P)))
  • 3DES解密:P=Dk1(k1,Ek2(k2,Dk3(k3,C)))
密码算法分组长度有效密钥长度
DES6456–>16轮
3DES64112/168
AES128128/192/256–>10/12/14轮
BlowFish64可变
IDEA64128–>8轮

–>

工作模式概述
ECB(电子密码本模式)最简单,明文被分成固定大小的分组,每个分组被相同密钥单独加密
CBC(密码块链模式)每一个分组要先和前一个分组加密后的数据进行异或操作再进行加密
CFB(密文反馈模式)每一个分组和前一个分组的密文再加密后的数据进行异或操作产生当前分组的密文
OFB(输出反馈模式)将分组密码转换为同步流密码(可用于在有干扰的信道上<!如卫星通信>传送数据流)
CTR(计数器模式)通过加密计数器的连续值来产生下一个密钥流

8.非对称密码

  • 发送者–>用发送者的私钥签名,用接受者的公钥加密
  • 接受者–>用接受者的私钥解密,用发送者的公钥解签名
A的私钥
B的公钥
A发送者
签名
加密
B接受者
B的私钥
A的公钥
B接受者
解密
解签名
  • 公钥密钥发布形式:建立公钥目录、带认证的公钥分发、使用数字证书的公钥分发
  • ECC:椭圆曲线密码学(Elliptic curve cryptography,ECC),一种建立公开密钥加密的演算法,基于椭圆曲线数学。相同安全要求,其密钥比RSA要很多,一般来说160位的ECC算法强度与1024位的RSA安全程度相同。但由于算法比较复杂,工程实现上较其他常用算法困难
密码算法原理
RSAd = e-1 mod ((p - 1)(q - 1))
SM2y² = x³ + ax + b

9.Hash函数:摘要算法非加密算法

密码算法输出长度
SHA1160
SHA256256
MD5128
HMAC带密钥的摘要算法
安全性概述
原像稳固给定散列值 y ,要找到一个 x ,使得 H(x) = y 是计算上不可行的
第二原像稳固给定一个 x ,找到另一个 x’,使得 H(x’) = H(x) ,是计算上不可行的
碰撞稳固找到一对 x 和 x’ 且 x ≠ x’ ,使得 H(x) = H(x’) ,是计算上不可行的

10.SM算法

算法类型概述
SM1对称分组算法分组、秘钥长度128,采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等,广泛应用于电子政务、电子商务及国民经济的各个应用领域
SM2椭圆曲线公钥算法计算复杂度是完全指数级,秘钥长度256,包含数字签名、密钥交换和公钥加密,用于替换RSA/DH/ECDSA/ECDH等
SM3哈希算法消息分组512位,产生256位哈希值,适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成,可以满足电子认证服务系统等,用于替代MD5/SHA-1/SHA-2等
SM4对称算法密钥、分组长度128,适用于密码应用中使用分组密码的需求,32轮
SM7对称算法密钥、分组长度128,适用于非接IC卡应用包括身份识别类应用(门禁卡),票务类应用(门票),支付与通卡类应用(一卡通)
SM9椭圆曲线公钥算法包括数字签名生成算法和验证算法,并给出了数字签名与验证算法及其相应的流程,可以替代基于数字证书的PKI/CA体系。

11.密码系统安全性

安全性概述
无条件安全假定攻击者拥有无限的计算资源,但仍然无法破译该密码系统
计算安全使用目前最好的方法攻破它所需要的计算远远超出攻击者的计算资源水平
可证明安全将密码系统的安全性归结为某个经过深入研究的数学难题(如大整数素因子分解、计算离散对数等),数学难题被证明求解困难。如果这个数学问题被新的研究证实有新的快速求解方式,则该算法安全性存在问题

12.PKI(公钥基础设施)

主要元素概述
CA数字证书管理中心,管理用户数字证书的生成、发放、更新和撤销等工作
RA数字证书注册中心,主要提供证书注册、审核、发放
证书/CRL库发布、存储数字证书和证书撤销列表
终端实体拥有公私钥对和相应公钥证书的最终用户

13.流密码也叫序列密码,模仿一次一密系统,但不是基于一次一密系统

14.认证加密:将对称密码消息认证码相结合,同时满足机密性、完整性、认证三大功能

软件开发安全

1.编程中常见、基本的问题:缓冲区溢出、线程安全、异常/错误处理安全

2.缓冲区溢出:缓冲区溢出在各种操作系统、应用软件中广泛存在,可以导致程序运行失败、系统关机、重新启动,或者执行攻击者的指令,比如非法提升权限。根本原因是程序中没有仔细检查用户输入的参数

3.线程安全

  • 问题:线程同步、线程协作、线程死锁
  • 方案:将代码块进行同步、将方法进行同步、使用线程锁

4.异常/错误处理安全

  • 编译错误、运行错误
  • 语句:try、catch、finally

5.面向对象:

  • 消息传递:对象间通信方式
  • 对象要素:标识、状态、行为
  • 多态:父类同一个方法在继承的子类中表现出不同的形式
  • 多重继承:一个类可以同时继承多个类(C++支持多重继承,Java不支持)
  • 创建对象的方法:New、反射、Clone
  • 安全开发内容:静态成员安全、对象线程安全、对象内存安全、对象序列化安全

6.序列化技术步骤:打包、传输、拆解

7.Web程序最核心安全问题:Web用户可以提交任意输入 --> 手段:修改传输数据、打乱提交顺序、试探程序漏洞

8.对URL攻击最有效的方法:Session检查

9.防范Session方法攻击:更改Session名称、关闭透明化Session ID、防止XSS攻击、使用URL传递隐藏参数等

10.ActiveX

  • 需要在客户端执行,受浏览器约束,兼容性不好
  • 功能强大,可以接受计算机执行权限
  • 增加开发复用的可能,可多语言开发
  • 可以有OCX、DLL、EXE多种形式
  • 被添加恶意代码,容易被修改敏感文件,不安全
  • 区别于浏览器的解释执行,ActiveX控件可以提供更好的人机交互体验

11.逆向工程:反编译、脱壳、动态分析

12.软件安全漏洞和缺陷的原因:开发者自身的问题、软件规模越来越大、第三方扩展越来越多

13.移动app

  • 本地客户端安全、安全策略设置、网络通信安全
  • 加固:字符串加密、混淆、代码虚拟化

14.DCOM:分布式组件对象远程调用模型,由Microsoft微软公司推出

15.EJB(企业级Java Bean)

  • 会话Bean、实体Bean、消息驱动Bean
  • 技术标准最初是由Sun公司提出
  • 由于EJB的容器管理,一般不再进行安全逻辑设置
  • EJB可以通过打包时的部署描述符进行配置
  • EJB可以设置安全角色

16.静态成员安全

  • 静态成员存储在全局数据区,被类的所有对象共享
  • 不使用对象来访问静态变量
  • 对静态成员变量的操作会影响所对应的所有对象
  • 静态成员的初始化先于对象
  • 静态成员只适用于保存所有对象的共有状态

17.对Web程序攻击手段:修改传输数据、打乱提交顺序、试探程序漏洞

18.HTTP协议消息传递方法:URL、表单、Cookie、Session

19.RPC(远程过程调用)

  • 客户端无须知道服务器端的核心代码只需要知道接口即可:硬件系统平台间和不同的系统软件、网络协议、网络体系结构间进行通信
  • RPC使用的TCP调用
  • 通过防火墙来进行封堵,是防止RPC攻击的有效方法
  • RPC服务器中的过程、输入恶意数据会导致服务器失效
  • 客户端和服务器之间传递的信息可能被窃听,并且被篡改

20.Applet

  • 会在用户浏览网页时下载到客户端,并以一定的生命周期运行
  • 客户端运行的Java Applet会和服务器上的Web组件进行信息交互
  • 不能执行客户端可执行文件,不能读写客户端文件,只能和下载的源服务器进行信息交互,加入安全SDK。

主机、数据库、中间件安全

1.进程

  • 进程查看:ps、top
  • 进程调度:at、crontab、batch
  • 进程跟踪:审核与进程相关的成功和失败事件,如进程创建、进程终止等

2.Windows进程跟踪:审核与进程相关的成功和失败事件,如进程创建、进程终止等

3.Linux:如debian、archlinux、Centos、Red HatEnterprise Linux、SUSE、oracle linux等

  • 密码周期策略文件 /etc/login. defs
  • /etc/pam. d/system - auth 中设置密码复杂度,dcredit最少数字,difok本次密码与上次密码至少不同字符数.
  • 锁定用户 usermod -l [uname]
  • 关机:halt、shutdown、init 0
  • 改变工作目录到根目录:cd/
  • telinit:切换runlevers
  • 文件配置权限的命令:chmod、umask
  • showmount:显示指定NFS服务器连接NFS客户端的信息
数字法文件所有者的权限同组用户的权限其他用户的权限字符法
444100100100r- -r- -r- -
600110000000rw- - - - - - -
644110100100rw-r- -r–
666110110110rw-rw-rw-
700111000000rwx- - - - - -
744111100100rwxr- -r- -
755111101101rwxr-xr-x
777111111111rwxrwxrwx

4.操作系统对应其超级用户

操作系统超级用户
WindowsAdministrators
IBM AIXroot
Oracle Linuxroot

5.vi编辑器工作模式:命令模式、输入模式

6.数据库漏洞属于安全漏洞,不属于网络漏洞

网络与通信安全

1.电子邮件
协议:SMTP、POP3、IMAP4、MIME
安全策略:加密和验证、内容过滤处理、电子邮件过滤

2.无线网络安全措施:安全无线传输、安全无线接入点、安全无线网络

3.入侵检测(应用层)

  • 异常检测:学习正常行为检测异常行为,不需要定义各种入侵行为(白名单)
  • 误用检测:收集非正常行为的操作检测异常行为(黑名单)
  • 不进行告警与响应
  • 实时的入侵检测信息分析的技术手段:模式匹配、统计分析
  • 影响入侵检测性能的参数:检测率、虚警率
  • 依据:入侵事件
  • 对警报的处理:
    对警告进行甄别,确认是否是真实攻击
    按照资产的优先级别,进行响应处理
    根据受影响系统的事故严重程度,分析和评估事件等级

4.流量填充:避免攻击者监视数据包的发送并分析数据包的大小试图获取访问权

5.包过滤:基于包的源地址、目的地址、传输协议,无法区分用户身份

6.SSH体系:SSH传输层协议、SSH认证协议、Secure FTP、SSH连接协议

7.防火墙

  • 现有的网络安全防御体系不可或缺的网络安全硬件设备
  • 技术:包过滤、代理、网络地址转换、状态检测技术、VPN、内容检查技术
  • 网卡
    一个网卡:只有一个对外MAC地址,可以配置在一个网段内多个IP地址的单宿主堡垒主机
    两个网卡:可以进行访问策略的设置进行网段隔离
    三个网卡:区分三个网段,建立起DMZ域、内网、外网
  • WEB防火墙:对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求
  • 访问控制中
访问
访问
访问
内网
外网
DMZ
只提供服务

8.SSID:局域网的名称

  • 只有设置为名称相同SSID的值的电脑才能互相通信
  • 提供了40位和128位长度的密钥机制
  • 一个AP的两组天线上可以释放不同的SSID信号

9.信息安全审计:通过对信息系统风险进行事前防范、事中控制、事后审计,来达到保障系统无漏洞、信息无泄露的目标。

网络攻击

1.攻击类型

攻击类型含义内容对策
主动攻击攻击者利用安全缺陷或者不当配置攻击开放的网络服务(如FTP、Telnet、Web等)漏洞扫描、拒绝服务攻击、信息篡改、资源使用、欺骗等技术手段、安全策略加固开放的网络服务
被动攻击直接攻击服务器,而是针对网站用户设置陷阱,利用掉入陷阱的用户来攻击应用程序(一是获取消息内容,二是进行业务流分析窃听、流量分析、破解弱加密的数据流、钓鱼、XSS、网站挂马、邮件木马应用系统、客户程序进行安全加固、加强安全意识
本地攻击攻击者通过实际接触被攻击的主机而实施的攻击难以防御主要依靠严格的安全管理制度
中间人攻击将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,实施数据窃听、破坏、篡改等攻击会话劫持、欺骗攻击可靠认证、传输加密

2.网络攻击过程

初级权限
提升权限
后门攻击
消除痕迹

3.网络攻击的对象:操作系统、网络设备、应用系统、数据库等

4.TCP/IP在安全上的不足:缺乏系统有效的认证、加密机制

5.登录系统的弱口令属于操作系统漏洞

6.网络踩点目标:域名、网络地址范围、网络的拓扑结构

7.攻击对象

  • 攻击数据源:黑网页、篡改数据、DDoS
  • 攻击传输网络:病毒、网络蠕虫
  • 攻击使用者:TCP劫持

信息收集

1.信息收集

  • 方法 :调查法、实验法、观察法、文献检索法、网络信息收集法
  • 范围:内容、时间、地域范围

2.Whois查询域名返回的消息:域名、识别号、状态、注册人ID、注册组织名称、注册人联系电子邮件、代理人名称、名称服务器、注册时间、失效时间、签名标志

3.指纹

  • TCP指纹
    ACK序号
    FIN探测:给开放端口发送FIN包,有些操作系统有回应,有些则没有回应
    TCP初始化“窗口”:不同的操作系统TCP初始化“窗口”值不同
    SYN洪泛测试:如果发送太多的伪造SYN包,一些操作系统会停止建立新的连接,许多操作系统只能处理8个包
    TCP ISN取样:寻找初始序列号之间的规律,不同操作系统的ISN递增规律是不一样的
  • IP、ICMP指纹
    ICMP回应信息Tos值
    lCMP地址屏蔽请求
    P包分段重组

4.ping

  • 协议:ICMP
  • 报文:ICMP Echo Request/Reply
  • Windows ping默认发送4次,数据包大小为32byte

5.RFC6335端口说明

端口号内容
0-1023系统端口
1024-49151用户端口
49152-65535动态/专用端口

6.扫描技术

  • 主要通过端口扫描、渗透测试、模拟攻击

  • 主机扫描
    传统主机扫描技术:通过简单地向目标主机发送ICMP Echo Request数据包,并等待回复的ICMP Echo Reply包,如Ping
    高级主机扫描技术:利用探测主机产生的ICMP错误报文来进行复杂的主机探测
    异常的IP包头、在 IP头中设置无效的字段值、通过超长包探测内部路由器、反向映射探测

  • 端口扫描

端口扫描目的:查看存活的主机运行了哪些服务

1.TCP connect()扫描(开放扫描):
优点:简单,不需要特殊的权限,结果可靠
缺点:服务器可以记录下客户的连接行为,如果同一个客户轮流对每一个端口发起连接,则一定是在扫描。

2.TCP SYN扫描(半开放):
优点:很少有系统会记录这样的行为,结果可靠
缺点:需要对网络套接字的原始访问,在UNIX平台上,需要root权限才可以建立这样的SYN数据包

3.TCP FIN扫描(秘密):
优点:不是TCP建立连接的过程,所以比较隐蔽
缺点:与SYN扫描类似,也需要构造专门的数据包,在Windows平台无效,总是发送RST包

  • 系统类型扫描
    辨识方法:一些端口的提示信息(Telnet、HTTP、FTP服务)、TCP/IP栈指纹、DNS泄露出OS
    栈指纹技术:利用TCP/IP协议栈实现上的特点来辨识一个操作系统
    主动栈指纹识别技术:寻找不同操作系统之间在处理网络数据包上的差异,并且把足够多的差异组合起来,以便精确地识别出一个系统的OS版本
    被动栈指纹识别技术:被动监测网络通信,以确定所用的操作系统
    目的:获取目标操作系统类型、版本应用程序的版本等

  • 专用漏洞扫描器专门扫描某个程序或某类漏洞:RPCScan、Burp Suite、CPU漏洞检测修复(X-scan是通用扫描器)

  • 隐藏攻击者:分片扫描、随机包扫描、分布式扫描

  • 基于网络的漏洞扫描是从外部攻击者的角度对目标网络和系统进行扫描,主要用于探测网络协议网络服务中存在的漏洞

  • 基于主机的漏洞扫描是从系统用户的角度检测计算机系统的漏洞,从而发现系统服务应用软件注册表用户配置等存在的漏洞

7.通过网络拓扑探测可以了解到:目标网络中有哪些系统和版本信息

8.Telnet不会泄露设备信息

9.SNMP的命令模式:Read、Read/Write

10.Tracert

  • 向目标主机依次发送一系列UDP数据包(缺省大小为38字节),
  • 这些IP包的TTL字段(IP包生存期)从1开始依次递增,根据IP数据包路由的规则,每经过一跳,交换设备都会将TTL字段减1,一旦TTL字段减到0,就会向源端送回ICMP Time Exceeded应答消息。
  • Tracert监听所有返回的ICMP报文,从而确定路径上每个节点的IP地址

口令攻击和软件漏洞

1.口令攻击

  • 个人信息:用户名A、邮箱前缀E、姓名N、生日B、手机号P、身份证G
  • 根据攻击过程是否利用个人信息
分类算法
定向攻击Targeted-Markov、Personal-PCFG
漫步攻击Markov、PCFG、NLP
  • 强力攻击:如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合,将最终破解所有的口令
  • 撞库攻击:从互联网收集泄露的账号和口令信息规模越来越大
  • 彩虹表破解:基于内存—时间的衡量方法,通过以一定的存储空间来换取时间的方法,极大提高来对散列值的破解效率

2.John The Ripper的破解模式:“字典文件”破解模式、“简单”破解模式、“增强”破解模式、“外挂模块”破解模式

3.口令

  • SAM(安全账号管理器)文件包含:所有组、账户的信息,密码的Hash、账户的SID等
  • 针对口令传输的攻击:口令嗅探、键盘记录、网络钓鱼、重放攻击
  • 针对缓存口令的攻击:不论口令存储在什么位置,在进行用户的身份验证时,总要加载到内存中
  • 口令存放位置
系统位置
WindowsSAM文件
LinuxShadow文件
Windows应用软件注册表
WebLogic系统配置文件
Oracle数据库数据库

4.IPC:Windows进程间通信方式,

  • 网络协议:NetBios
  • 端口:139、445
  • 防范基于IPC的远程猜解攻击:禁止系统中的IPC$空连接,关闭139、455端口

5.LC5:用于破解Windows和Unix/Linux系统密码

6.LOphtCrack:利用Windows操作系统口令加密算法的弱点,较短时间内破解口令

7.漏洞

  • 攻击分类:栈溢出攻击、堆溢出攻击、格式化串攻击、整形溢出攻击
  • 攻击步骤:漏洞发现、漏洞分析、漏洞利用
  • 后果:以匿名身份直接获取系统最高权限、从普通用户提升为管理员用户、实施远程拒绝服务
  • 溢出点定位:探测法(黑盒法),反汇编分析法
  • 溢出攻击流程
注入恶意数据
溢出
控制流重定向
攻击

8.通用缺陷枚举(CWE):

  • 多层次体系:类缺陷、基础缺陷、变种缺陷
  • 视图:字典、开发、研究

9.Windows中的本地安全授权子系统(LSASS)负责有关安全方面的功能

Web应用攻击和恶意代码

1.计算机病毒分类

标准分类
操作系统DOS病毒、Windows病毒、UNIX病毒等
破坏程度恶性病毒、良性病毒
传播方式单机病毒、网络病毒
感染形式引导型病毒、文件型病毒、Win32病毒、宏病毒(只Windows)

2.系统文件没有使用价值,不会被窃取

3.CIH病毒是一种能够破坏计算机系统硬件的恶性病毒,属于文件型病毒

4.Web应用攻击:Web客户端攻击、Web服务器攻击、HTTP协议攻击

5.网页篡改

  • 修改网页:静态Web网页、动态Web网页。
  • 篡改方式:文件操作类、内容修改类
    文件操作类:服务器上的Web网页替换、创建
    内容修改类:对Web网页的内容进行增、删、改等非授权操作

6.代码注入攻击:SQL注入攻击、程序代码注入攻击、命令注入攻击、数据注入攻击等。

7.HTTP

  • HTTP协议攻击:HTTP头注入攻击、HTTP会话攻击
  • HTTP会话攻击:预测会话ID、窃取会话lD、控制会话ID、跨站请求伪造攻击

8.恶意代码

  • 恶意代码是指没有作用却会带来危险的代码,有实际用途但有危险的属于软件漏洞
  • 发展趋势:种类多元化、目标多样化、技术复杂化
  • 隐蔽方式:伪装为系统文件、躲藏在不明显的目录、替换系统DLL
  • 进程隐蔽:进程名伪装、进程信息篡改、利用DLL实现隐藏

9.病毒:初始化部分、感染部分、功能部分

10.特洛伊木马功能:收集密码或密码文件、收集系统关键信息、远程文件操作、远程控制、其他功能

11.木马下载植入方式:伪装、捆绑

12.网页挂马方式:利用iframe框架进行挂马、JavaScript脚本挂马、图片伪装型挂马、钓鱼网页挂马

假消息攻击和拒绝服务攻击

1.假消息攻击

  • 利用网络协议设计中或策略配置的缺陷,通过发送伪造的数据包达到欺骗目标
  • 目的:窃取敏感信息、欺骗认证过程、实施拒绝服务攻击

2.目的MAC地址

目的地址
目的地址
内网MAC
网关MAC
外网MAC

3.中间人攻击

  • “间接”的入侵攻击
  • 可以绕过一些协议认证机制的保护
  • 转发双方的通信数据

4.网络嗅探

  • 网卡模式:混杂模式
  • 网络嗅探器基本功能:设置网卡的工作模式、捕获所有流经网卡的数据包、正确分析数据包
  • 交换网络中嗅探方式:MAC洪泛、MAC欺骗、ARP欺骗

5.ARP欺骗

  • 用错误的MAC-IP地址映射污染主机的ARP缓存
  • 目标主机丧失与某些主机的通信能力
  • 可以嗅探或篡改通信的全部数据
  • 是实现其他高层协议欺骗手段的基础不能直接进行拒绝服务攻击

6.漏洞型拒绝服务:

  • Ping of Death攻击:畸形报文攻击,成功的关键是分片重组
  • Teardrop攻击:同上
  • Land攻击:局域网拒绝服务攻击

7.WinNuke(带外传输攻击):向Windows主机发送超量数据,攻击者向目标主机的目标端口(通常是53、1137、138、139)发送带外数据,目标主机在处理带外数据时会出现挂起或者重新启动等异常现象

8.洪范攻击

  • 短时间内向目标系统发送大量的虚假请求的攻击方式
  • 伪造源IP地址
  • TCP洪泛、UDP洪泛、HTTP洪泛。

9.发送的网络数据包含:URL,、TCP报头、IP包头、MAC帧头

10.正常网卡模式:广播模式、普通模式

11.拒绝服务攻击犯罪分子目的:敲诈勒索、表达观点主张、致瘫对手网络

12.DDOS

  • 特点:易实施、防范难、难追踪
  • 攻击对象:重要程度高、应用广泛
  • 重定向型拒绝服务攻击:ARP缓存、DNS缓存
  • 资源消耗型拒绝服务攻击:隐藏服务真实地址、拓展主机服务资源、辨识攻击源并加以过滤

网络防御

1.风险分析方法:定性分析、半定量分析、定量分析

2.边界防护

  • 设备:防火墙、安全代理、网闸
  • 目的:网络隔离与优化网络、防范攻击和用户授权管理

3.APPDRR:风险评估、安全策略、系统防护、动态检测、实时响应、灾难恢复

4.移动目标防御:允许系统漏洞存在,但不允许对方利用,通过增加系统的随机性(不确性)或者是减少系统的可预见性,从而对抗攻击者利用网络系统相对静止的属性发动的进攻

5.网络安全评估作用:明确信息系统的安全现状、确定信息系统的主要安全风险、指导企业信息系统安全技术体系与管理体系的建设

6.安全策略

  • 组成部分:目标:未来的安全状态、任务:安全有关的活动、限制:需要遵守的规则
  • 按照授权行为:基于身份、基于规则

7.纵深防御

  • 网络基础结构内保护重点:网络边界、服务器和客户端、信息本身
  • 客户端措施:安装个人防火墙、安装防病毒软件、防止导出打印机密材料的桌面控制系统

8.系统修复:系统升级、软件升级和打补丁

9.主动防御战略能够提高的防御能力:反击攻击能力、中止攻击能力、主动欺骗能力

10.主动诱骗能力:在敏感文档嵌入水印、装配诱骗性文档并对访问行为告警、文档被非授权访问时进行自销毁

11.网络空间拟态防御:以异构冗余多模裁决机制识别和屏蔽未知缺陷与未明威胁、以高可靠性架构增强目标系统服务功能的柔韧性或弹性、以系统的视在不确定属性防御或拒止针对目标系统的不确定性威胁

12.动态赋能:联动赋能、变化赋能、体系赋能

13.响应

  • 应急响应:当安全事件发生时采取应对措施
  • 其他事件:咨询、培训和技术支持。

14.动态防御技术:地址空间布局随机化技术、指令集随机化技术等

基线扫描

1.测评对象的选择:重要性、代表性、完整性、安全性、共享性

2.在华为设备中对超级用户密码加密:super password ****** ci-pher

3.secpol. msc:打开本地安全策略

4.AIX

  • 用户口令强度要求:至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类
  • 账户口令的生存期不长于90天
  • 锁定无关账户:锁定daemon、bin、sys、adm、uucp、nobody、ldp

5.ESXi vSwitch的MAC地址更改策略设置为:拒绝

6.NFS:设置NFS服务的访问IP范围

7.只有信任的IP地址通过监听访问数据库,需要设置sqlInet. ora

8.对于采用静态口令认证技术的数据库,在数据库的概要文件进行修改账号口令的生存期

9.Tomcat

  • 启动账户:普通用户
  • 管理服务:通过HTTPs协议进行加密
  • 默认端口:8080

10.Windows服务器

  • 配置应用日志文件大小至少为16M,配置当达到最大的日志尺寸时,按需要改写事件
  • 远程登录的账号不活动断连时间为15分钟
  • 建议关闭:smtp、echo

11.进行基线配置管理的原因包括:合规性要求、有经验、责任心的安全运维人员主动推动、被攻击过进行安全整改

12.扫描方式:检查系统自身安全配置、相关安全软件、专用的第三方安全设备等

13.开启SNMP后,取消默认public和private,并且对read和write设置专门的字符串

14.Linux中口令复杂度要求的设置需要查看的文件:/etc/pam. d/system-auth、/etclogin. defs

15.数据库管理系统Oracle对不必要账号:删除、锁定

16.Sockets最大打开数目设置不为-1且≤1024

防火墙

1.基于网络拓扑的特殊性,因此防火墙设备必须能抵抗各种类型的攻击

2.基本功能:检查并控制网络流量

3.最早的防火墙的开发基础:路由器

4.发展阶段:包过滤、应用代理、状态检测、流量识别技术

5.状态检测防火墙试图跟踪数据包的上下文关系,即考察数据包所处的状态是会话状态

6.包过滤

  • 优点:处理速度快、对于用户来说是透明的
  • 缺点:容易受到IP欺骗攻击、配置困难且配置错误将无安全保护、检查项目少防范能力弱

7.WAF

  • 主流的检测技术:基于规则、基于算法、基于自学习
  • 常见部署方式:多采用反向代理模式
模式特点
透明代理模式所有的网络流量都要经过WAF,对设备性能的要求比较高
路由代理模式需要转发所有流量,存在单点故障问题
反向代理模式进行地址映射需要改变原有网络环境,配置较为复杂。
旁路模式只对流量进行旁听不进行阻断,无法取得满意的防护效果

8.性能参数:吞吐量、新建连接速率、并发连接数、处理时延

9.网络边界部署防火墙可以:NAT地址转换、网络流量的记录和审计、服务端口的转换;但不能进行入侵检测、地址管理

10.部属方式:透明模式、路由模式、混合模式

11.连接状态表:源和目的的IP地址、上层协议类型、TCP源及目的端口、UDP源及目的端口

12.NAT:动态NAT、静态NAT、端口复用PNAT

13.流量识别技术应用方向:网络流量精准控制、用户行为管理、内容审计、入侵检测

14.DPI一个协议可以包含多个特征字

15.DFI:准确提取流量行为特征,不需要对每一个数据包进行检测,而是对大量数据包的统计信息或者流信息进行统计分析,精度比DPI低,检测速度比DPI快,多用于流量较大、不要求精确识别的场合,如带宽控制系统等。

16.硬件防火墙:安全性较高、高带宽、高吞吐量

网络安全监控

1.重点关注:谁发起的攻击、为什么攻击、怎样攻击

2.规划是网络安全监控第一步,从安全需求分析开始以威胁为主题,最基础的是威胁建模

3.攻击欺骗工具包:DTK、Honeyd

4.蜜罐

  • 商业化产品:KFSen-sor、ManTrap
  • 衡量蜜罐攻击欺骗和吸引能力的重要指标:交互程度
  • Honeynet核心技术机制:数据控制机制、数据捕获机制、数据采集分析机制
  • Honeyd:支持TCP/UDP能模拟出三四层的协议栈、外界主机可以进行Ping和Traceroute等操作、能够使单个主机拥有多达65536个IP地址

5.Inline-Hook技术:可实现沙箱对文件操作、注册表操作、网络通信、进程操作等行为的监控

6.反应式追踪:输入调试法、受控洪泛法

7.基于主机的溯源方法

  • 被动式溯源:入侵检测系统、呼叫识别系统、会话令牌协议
  • 主动式溯源技术:Caller ID

8.根本性假设:安全漏洞不可避免、网络预防终究失效

9.收集传感器:通过网络设备的镜像端口进行获取、通过专用的网络分流器进行获取、通过主机部署代理程序获取

10.由开源社区志愿者维护的关于互联网恶意行为的信息列表被称为:网络资源黑名单、公开信誉度列表

11.分析技术:

  • 数据包分析
  • 数字取证:内存数据取证、硬盘数据取证、网络数据取证
  • 程序行为分析

12.沙箱

  • 访问控制:资源标识技术、资源抽象隔离技术、指令动态翻译技术
  • 程序行为监控:动态链接库注入、lnline-Hook、虚拟监控器拦截

网络强国

1.网信三级工作体系建设

2.十八大以后,党中央重视互联网、发展互联网、治理互联网

3.网信事业发展必须贯彻以人民为中心、增进人民福祉的发展思想

4.十四五规划首次通过互联网向全社会征求规划编制意见建议

5.中国正在大力建设数字中国,在“互联网+”人工智能等领域收获—批创新成果

6.要加快推进电子政务,构建全流程一体化在线服务平台,让百姓少跑腿、信息多跑路

7.随着互联网特别是移动互联网发展,社会治理模式正在从单向管理转向双向互动、线下转向线上线下融合、单纯的政府监管向更加注重社会协同治理转变方面发生转变

8.信息技术创新日新月异,数字化、网络化、智能化深入发展,在推动经济社会发展、促进国家治理体系和治理能力现代化、满足人民日益增长的美好生活需要方面发挥着越来越重要的作用

9.各级党委和政府要推进政府决策科学化、社会治理精准化、公共服务高效化

10.自二十一年前接入国际互联网以来,我们按照积积极利用、科学发展、依法管理、确保安全的思路

11.建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍

12.善于获取数据、分析数据、运用数据,是领导干部做好工作的基本功。

13.各级领导干部要不断提高对互联网规律的把握能力、对网络舆论的引导能力、对信息化发展的驾驭能力、对网络安全的保障能力

14.完善互联网领域法律法规,推动依法管网、依法办网、依法上网,确保互联网在法治轨道上健康运行。

15.压实互联网企业的主体责任

16.靠马克思主义真理的力量、深入细致的思想政治工作,用真理揭露谎言,用科学战胜谬误

17.加强爱国主义、集体主义、社会主义,增强中国人的骨气和底气

18.网上网下形成同心圆

19.一个社会没有共同理想、没有共同目标、没有共同价值观,什么事也办不成

20.旗帜鲜明坚持正确的政治方向、舆论导向、价值取向

21.关键信息基础设施是经济社会运行的神经中枢

22.没有意识到风险就是最大的风险

23.核心技术受制于人是我们最大的隐患

  • 基础技术、通用技术
  • 非对称技术、“杀手锏”技术
  • 前沿技术、颠覆性技术

24.网络信息技术是全球技术创新的竞争高地

25.核心技术突破必须走自主创新之路

26.发展新一代人工智能,紧抓战略制高点

26.目前区块链存在耗能高、存储需求大、规模交易速度慢、隐私保护存在漏洞等技术瓶颈

27.信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志

28.信息技术成为先导技术,世界正在进入以信息产业为主导的新经济发展时期

29.推进政府管理和社会治理模式创新,实现政府决策科学化、社会治理精准化、公共服务高效化

30.网络的本质在于互联,信息的价值在于互通

31.为解决经济下行问题,应坚持创新驱动发展,开拓发展新境界

32.共同构建和平、安全、开放、合作的网络空间

33.共同构建网络空间命运共同体的“五点主张”

  • 加快全球网络基础设施建设,促进互联互通
  • 打造网上文化交流共享平台,促进交流互鉴
  • 推动网络经济创新发展,促进共同繁荣
  • 保障网络安全,促进有序发展
  • 构建互联网治理体系,促进公平正义

34.互联网发展不平衡、规则不健全、秩序不合理等问题日益凸显

简答题

1. OSI参考模型和TCP/IP参考模型的异同?

  • 共同点:OSI参考模型和TCPIP参考模型都采用了层次结构的概念,都能够提供面向连接和无连接两种通信服务机制。
  • 不同点:
    ①OSI采用的七层模型,而TCPIP是四层结构。
    ②TCP/IP参考模型的网络接口层实际上并没有真正的定义,只是一些概念性的描述。而OSl参考模型不仅分了两层,而且每一层的功能都很详尽,甚至在数据链路层又分出一个介质访问子层,专门解决局域网的共享介质问题。
    ③OSI模型是在协议开发前设计的,具有通用性。TCP/IP是先有协议集然后建立模型,不适用于非TCP/IP网络。
    ④OSI参考模型与TCP/IP参考模型的传输层功能基本相似,都是负责为用户提供真正的端对端的通信服务,也对高层屏蔽了底层网络的实现细节。所不同的是TCP/IP参考模型的传输层是建立在网络互联层基础之上的,而网络互联层只提供无连接的网络服务,所以面向连接的功能完全在TCP协议中实现,当然TCP/IP的传输层还提供无连接的服务,如UDP;相反OSI参考模型的传输层是建立在网络层基础之上的,网络层既提供面向连接的服务,又提供无连接的服务,但传输层只提供面向连接的服务。
    ⑤OSI参考模型的抽象能力高,适合与描述各种网络;而TCPIP是先有了协议,才制定TCP/IP模型的。
    ⑥OSI参考模型的概念划分清晰,但过于复杂;而TCP/IP参考模型在服务、接口和协议的区别上不清楚,功能描述和实现细节混在一起。
    ⑦TCP/IP参考模型的网络接口层并不是真正的一层;OSI参考模型的缺点是层次过多,划分意义不大但增加了复杂性。
    ⑧OSI参考模型虽然被看好,由于没把握好时机,技术不成熟,实现困难;相反,TCP/IP参考模型虽然有许多不尽人意的地方,但还是比较成功的。

2. 虚拟局域网(VLAN)的优势有哪些?

①防范广播风暴:通过将网络划分为多个VLAN可减少参与广播风暴的设备数量,限制网络上的广播。VLAN分段可以防止广播风暴波及整个网络。
②安全:增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。
③性能提高:将第二层平面网络划分为多个逻辑工作组(广播域)可以减少
网络上不必要的流量并提高性能。
④简化项目管理或应用管理:VLAN将用户和网络设备聚合到一起,以支持业务或部署地域上的需求。
⑤增加了网络连接的灵活性:借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境

3. 区块链面临的问题有哪些?

①受到现行观念、制度、法律制约:区块链去中心化、自我管理、集体维护的特性颠覆了人们生产生活方式,淡化了国家、监管概念,冲击了现行法律安排。
②在技术层面,区块链尚需突破性进展。区块链应用尚处在实验室初创开发阶段,没有直观可用的成熟产品。
③其他竞争性技术挑战。近年来其他技术如量子计算等取得了不小的进展,对于区块链技术来说,有很强的竞争优势。

4. 如何加强Oracle的安全防护?

①限制sysdba角色的用户使用远程登录;
②使用profile进行限定资源和口令安全;
③设置监听器口令;
④对连接数设置;
⑤数据库操作审计;
⑥数据库备份。

5. 请简述网络安全的特性?

保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性,即信息源在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

6. 请简述DDoS攻击的四部分如何扮演不同的角色?

攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。
主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们能够接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。
代理端:代理端同样也是攻击者侵入并控制的一批主机,它们运行攻击器程序,接受和运行主控端发来的命令。代理端主机,是攻击的执行者,真正向受害者主机发送攻击。
被攻击者:DDoS的直接受害者。

7. 请简述服务器需要采取的安全防范措施?

—是进行漏洞检查,补丁升级;
二是进行配置检查;
三是安装防病毒软件,并持续升级。

8. 简述等级保护的流程。

明确定级工作的流程,确定定级对象,确定受侵害的客体,确定对客体的侵害程度,确定业务系统的安全保护等级、评审与审批,形成定级报告,备案。

9. ①税务系统的主机分为哪些类?②主机安全在测评时会遇到哪些类型操作系统?③网络安全三级信息系统的安全子类是什么?④三级网络安全的安全审计的内容是什么?

①小型机、PC服务器、虚拟计算机等。
②目前运行在主机上的主流操作系统有:Windows、Linux、IBM aix、Hp-ux等等。
③结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
④应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括:事件的日期和时间、用户、时间类型、事件是否成功及其他与审计相关的信息。应能够根据记录数据进行分析,并生成审计报表。应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

10. 密码学的五元组是什么?它们分别有什么含义?

明文:原始信息。
密文:加密后的信息。
密钥:加密解密时使用的参数。
加密算法:将明文转化为密文的算法。
解密算法:将密文转化为明文的算法。

11. 简述密码算法中对称、非对称算法各自的优缺点。

对称密码体制的优缺点:

  • 优点:加密、解密处理速度快、保密度高等。
  • 缺点:
    ①密钥是保密通信安全的关键,发信方必须安全、妥善地把密钥护送到收信方,不能泄露其内容,如何才能把密钥安全地送到收信方,是对称密码算法的突出问题。对称密码算法的密钥分发过程十分复杂,所花代价高。
    ②多人通信时密钥组合的数量会出现爆炸性膨胀,使密钥分发更加复杂化,个人进行两两通信。
    ③通信双方必须统一密钥,才能发送保密的信息。如果发信者与收信人素不相识,这就无法向对方发送秘密信息了。
    ④除了密钥管理与分发问题,对称密码算法还存在数字签名困难问题(通信双方拥有同样的消息,接收方可以伪造签名,发送方也可以否认发送过某消息)。
    非对称密码体制的优缺点:
  • 优点:
    ①网络中的每一个用户只需要保存自己的私有密钥,则每一个用户仅需产生对密钥。密钥少,便于管理。
    ②密钥分配简单,不需要秘密的通道和复杂的协议来传送密钥。公开密钥可基于公开的渠道〈如密钥分发中心)分发给其他用户,而私有密钥则由用户自己保管。
    ③可以实现数字签名。
  • 缺点:与对称密码体制相比,公开密钥密码体制的加密、解密处理速度较慢,同等安全强度下公开密钥密码体制的密钥位数要求多一些。
  • 2
    点赞
  • 3
    收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页
评论

打赏作者

XQin9T1an

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值