随着2024年下半年软考成绩的公布,这场考试终于画上了句号。今年,在参与HVV期间,我偶然听到几位同事提及这个证书,好奇心驱使我在闲暇之余搜索了相关信息,发现软考的通过率并不高。本着挑战自我的心态,果断报名参加了考试。然而,由于HVV政策的变动,活动时间延长,加之琐事缠身,我的学习计划受到了严重影响。直到十月下旬,我才重新开始学习,而考试时间已定在十一月十号。面对紧迫的时间,我曾考虑过放弃,但考虑到报名费用的付出以及对自我能力的挑战,我决定坚持下去。在复习过程中,我发现对课本知识点的掌握不够扎实,对学习路线也不够清晰。为了提高效率,我选择了合适的辅导资料进行学习。在有限的时间内,我重点复习了基础知识,并针对案例部分进行了深入研究。通过分析历年真题,发现案例部分涉及的知识点主要包括密码学、Android安全、wireshark抓包、恶意代码分析、linux基础和windows基础等。幸运的是,除了密码学,其他知识点我都有所涉猎,这让我在学习过程中相对轻松一些。在考前的那十来天,过得非常充实,最终顺利通过了考试,这让我感到非常开心。在学习过程中,我顺便做了一些笔记(笔记不全,还请大家见谅),今天上午花了一些时间整理了一下,希望对大家有所帮助。
网络与信息安全理论
信息安全的基本要素:(CIA)
机密性:保证信息不会泄露给未经授权的进程与实体,只提供给授权者使用
完整性:只能被授权许可的人修改,并且可以判别信息是否已经被篡改
可用性:只有授权者才能在需要的时候方法访问该数据,而非授权者应该被拒绝访问
工控系统网络安全偏重于"可用性-完整性-保密性"需求顺序
网络安全等级保护(主要针对非涉密信息系统)
| 系统等级 | 监管级别 | 保护能力等级 |
|---|---|---|
| 第一级 | 自主保护 | 用户自主保护级 |
| 第二级 | 指导保护 | 系统审计保护级(本级的计算机系统可信计算基实施了粒度更细的自主访问控制,从该级开始要求系统有安全审计机制,C2及其级别以上的计算机系统必须有审计功能) |
| 第三级 | 监督保护 | 安全标记保护级(有第二级的所有功能,此外还得有安全策略模型,数据标记以及主体对客体强制访问控制的非形式化描述) |
| 第四级 | 强制保护 | 结构化保护级(要求第三级的自主和强制访问控制扩展到所有主体和客体,还要考虑隐蔽信道) |
| 第五级 | 专控保护 | 访问验证保护级(访问监控器仲裁主体对客体的全部访问) |
(顺口溜:用系安结访)
三级以上每年测评一次,四级每半年测评一次
等保2.0及格线从60分提升到75分
等级保护的五个阶段:定级,备案,安全建设,等级测评,监督检查
等保定级标准:
| 受侵害的客体 | 一般损害 | 严重损害 | 特别严重损害 |
|---|---|---|---|
| 公民,法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
| 社会秩序,公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
可信验证
一级要求设备的系统引导程序,系统程序等进行可信验证
二级增加重要配置参数和应用程序进行可信验证
三级增加应用程序的关键执行环节进行动态可信验证
四级增加应用程序的所有执行环节进行动态可信验证
根据等保2.0要求,对云计算实施安全分级保护,分为五个级别,要求云计算基础设施位于中国境内,围绕"一个中心,三重防护"的原则构建云计算安全等保框架。一个中心指的是安全管理中心,三重防护指的是:计算环境安全,区域边界安全和通信网络安全。安全管理中心的安全机制是系统管理,安全管理和安全审计。
网络安全法律法规
| 《中华人民共和国网络安全法》 | 2017.6.1实施 | 1.国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门,公安部门,其他有关机关依照本法和有关法律法规在各自职责范围内负责监督管理工作。2.处置重大社会突发事件经过国务院决定和批准可以在特定区域采取限制网络通信等临时措施 |
| 《中华人民共和国密码法》 | 2020.1.1实施 | 1.密码分为核心密码,普通密码和商用密码。核心密码定级为绝密,普通密码定级为机密两者都属于国家秘密。商业密码用于保护不属于国家秘密的信息2.国家密码管理部门负责管理全国的密码工作 |
| 《中华人民共和国数据安全法》 | 2021.9.1实施 |
网络信息安全事件
| 时间 | 网络安全事件 | 所利用的漏洞 |
|---|---|---|
| 1988年 | Internet蠕虫 | Sendmail以及finger漏洞 |
| 2000年 | 分布式拒绝服务攻击 | TCP/IP协议漏洞 |
| 2001年 | "红色代码"蠕虫 | 微软IIS4.0和IIS5.0中index服务的安全漏洞 |
| 2002年 | Slammer蠕虫 | 微软MS SQL数据库系统漏洞 |
| 2003年 | 冲击波蠕虫 | 微软的DCOM RPC缓冲区溢出漏洞 |
| 2010年 | 震网病毒 | windows操作系统和WinCC系统漏洞 |
| 2017年 | 勒索病毒 | windows的SMB漏洞 |
网络安全体系和网络安全模型
| BLP机密性模型 | 简单安全特性:主体只能向下读,不能向上读 |
| *特性:主体只能向上写,不能向下写 | |
| Biba完整性模型 | 简单安全特性:主体不能向下读 |
| *特性:主体不能向上读 | |
| 调用特性:主体的完整性级别小于另一个主体的完整性级别不能调用另一个主体 | |
| PDRR模型 | 防御,检测,恢复,响应 |
| P2DR模型 | 策略,防护,检测,响应 |
| WPDRRC模型 | 预警,保护,检测,响应,恢复,反击 |
| 软件安全能力成熟度模型 | CMM1级-补丁修改 |
| CMM2级-渗透测试,安全代码评审 | |
| CMM3级-漏洞评估,代码分析,安全编码标准 | |
| CMM4级-软件安全风险识别,SDLC实施不同安全检查点 | |
| CMM5级-改进软件安全风险覆盖率,评估安全差距 |
密码学
密码学主要由密码编码和密码分析两个部分组成
香农提出了了混乱与扩散的密码技术新方法
五种密码分析攻击类型
| 唯密文攻击 | 密码分析者只拥有一个或者多个用同一密钥加密的密文对于攻击者最不利。 |
| 已知明文攻击 | 密码分析者只知道当前密钥下的部分明文及其所对应的密文,近代密码学认为当一个密码经得起已知明文攻击时才是可取的。 |
| 选择明文攻击 | 密码分析者可以得到当前密钥下自己选定的明文所对应的密文。适用于攻击计算机文件系统和数据库系统。 |
| 密文验证攻击 | 密码分析者对于任何选定的密文可以知道该密文是否合法的判断。 |
| 选择密文攻击 | 除挑战密码外密码分析者可以得到任何选定密文所对应的明文。适用于攻击密码算法。 |
密钥体制分为私钥和公钥密码体制两种,介于两者之间的被称为混合密码体制。
私钥密码体制
私钥密码体制又称为对称密码体制,该体制加密和解密使用相同的密钥
私钥密码体制的优点是速度快,缺点是密钥分配问题,密钥管理问题以及无法认证源
私钥密码典型算法:DES,3DES,RC4,RC5,IDEA,AES,SM1,SM4
DES加密算法:是一组分组加密算法,密钥长64位但是只有56位参与运算,所以一般记住密钥长度为56位
3DES算法密钥长度是112位
IDEA算法的密钥长度是128比特
AES的算法的密钥长度至少为128,192,256比特
DES算法
DES算法的大致流程如下图所示:
最低0.47元/天 解锁文章
扫一扫
291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
