- IP AH和IP ESP都有两种工作模式,既透明模式和隧道模式,透明模式只保护IP包中的数据域,而隧道模式则保护IP包的包头和数据域。因此在隧道模式下,将创建新的IP包头,并把旧的IP包(指需做安全处理的IP包)作为新的IP包数据。从性能来讲,隧道模式因为有一个额外的IP包头,所以他将比传输模式占用更多带宽
- SSL由Netscape开发,包含握手协议、密码规格变更协议、报警协议和记录层协议,其中,握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等
- 非对称密码算法使用1024比特RSA算法或256比特SM2椭圆曲线密码算法,用于实体验证、数字签名和数字信封等
- 对称密码算法使用128比特分组的SM1分组密码算法,用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为CBC模式
- 密码杂凑算法使用SHA-1算法或SM3密码杂凑算法,用于对称密钥生成和完整性校验。其中SM3算法的输出为256比特。随机数生成算法生成的随机数应能通过《随机性检测规范》规定的检测
- 基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则,只要符合规则就认定它是一种入侵行为。这种方法的优点是,检测起来简单,但是也存在缺点,既检测受到规则库限制,无法发起新的攻击,并且容易受到干扰,目前,大部分IDS采取的是这种方法。Snort是典型的基于规则的误用检测方法的应用实例
- 入侵检测系统的主要指标有可靠性、可用性、可扩展性、时效性、准确性和安全性。可用性指入侵检测系统运行开销要尽量小,特别是基于主机的入侵检测系统,入侵检测系统不能影响主机和网络系统的性能
- HIDS一般适合检测以下行为:针对主机的端口或漏洞扫描、重复失败的登录尝试、远程口令破解、主机系统的用户账号添加、服务启动或停止、系统重启动、文件的完整性或许可权变化、注册表修改、重要系统启动文件变更、程序的异常调用、拒绝服务攻击
- NIDS一般适合检测以下行为:同步风暴(SYN FLOOD)、分布式拒绝服务攻击(DDOS)、网络扫描、缓冲区溢出、协议攻击、流量异常,非法网络访问
- 《计算机信息系统国际互联网保密管理规定》第二章第六条规定“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行物理隔离。”物理隔离技术其基本原理是避免两台计算机之间的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击。隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全域之间进行信息及数据交换
- 网络物理隔离有利于强化网络安全的保障,增强涉密网络的安全性,但是不能完全确保网络的安全性,采用网络物理隔离安全保护措施的网络仍然面临如网络非法外联、U盘摆渡攻击、网络隔离产品安全隐患等网络安全风险
- 网络通信安全审计一般采用专门的审计系统,通过专用设备获取网络流量,然后进行存储和分析。网络通信安全审计的常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等
- 网络安全漏洞扫描可以自动搜集待评估对象的漏洞信息,以评估其脆弱性
- 在委托受理阶段需要签署保密协议、合同,在网络安全渗透测试过程中的准备阶段,经理协助被测单位填写“网络信息系统渗透测试用户授权单”并通知客户做好测试前的准备工作。在结题阶段,项目组质量工作人员请客户填写客户满意度调查表,收集客户意见
- 网络流量清洗是指通过基于网络流量的异常监测技术手段,将对目标网络攻击的DOS/DDOS等恶意网络流量过滤掉,同时把正常的流量转发到目标网络中
- WannaCry病毒利用方程式自组织工具包中的“永恒之蓝”漏洞工具,进行网络短裤扫描攻击。EternalBlue(永恒之蓝)是方程式组织开发的针对(SMB)服务进行攻击的模块
- 勒索软件需要利用系统服务端口号为445
- 病毒加密使用AES加密文件,并使用非对称加密算法RSA加密随机秘钥,每个加密文件使用一个随机秘钥