信息安全学习笔记（计算机三级）

前言

本文章根据B站视频http://【【橘子信安】2023年软考信息安全工程师必考知识点（每日1背）】 https://www.bilibili.com/video/BV1VS4y127Hc/?share_source=copy_web&vd_source=cfaee2d6b4ce1389cc9a101338395e4d进行学习而产生的笔记，虽然是软考必背，但其实我考的是计算机三级信息安全技术。考过了准备把笔记发出来，下面有些知识点是“未来教育”题库里面记下的。

如有不对，欢迎各位大佬指正。

第一章 网络信息安全概念

1、网络信息安全的属性

• 机密性：网络信息不泄露给非授权的用户
• 完整性：未经授权不能改的特性
• 可用性：可以及时获取网络信息和服务的特性
• 可控性：责任主体对网络信息系统具有管理、支配的能力（可管理、可支配）
• 抗抵赖性：防止用户否认其活动行为的特性

信息安全的（目标/三要素）CIA：机密性、可用性、完整性

2、网络信息安全的基本功能：防御、监测、应急、恢复

• 防御：采取各种措施，使网络系统具备阻止、抵御各种网络安全威胁的功能。
• 监测：采取各种措施检测发现各种已知或者未知的网络安全威胁的功能。
• 应急：针对网络中的突发事件，具有及时响应和处置网络攻击的能力。
• 恢复：对已经发现的网络灾害事件，具备恢复网络系统运行的功能。

3、国家密码分类：绝密、机密、秘密

密码分为：普通密码、核心密码、商用密码

• 核心密码：用于保护国家绝密、机密、秘密级别信息
• 普通密码：用于保护国家机密、秘密级别信息
• 商用密码：人人可用的密码

4、网络信息安全的基本技术：

• 物理环境安全：包括环境、设备存储介质等
• 网络认证：鉴别网络资源的访问者身份
• 访问控制：限制非法用户访问网络资源、防止合法用户越权访问网络资源
• 网络安全保密：防止非授权用户访问资源
• 漏洞扫描：检测网络中是否存在漏洞（脆弱性）
• 恶意代码防护：可以理解为安装杀毒软件
• 网络信息内容安全：确保网络信息系统中的信息及数据符合法律要求
• 网络安全 检测：检查安全防护措施是否有效
• 网络信息安全应急响应：采取措施恢复网络系统的正常运营

5、网络信息安全管理流程：

• 确定网络信息安全管理对象
• 评估网络信息安全管理对象价值
• 识别网络信息安全管理对象面临的威胁
• 识别网络信息安全管理对象的脆弱性
• 确定网络信息安全管理对象的风险级别
• 制定网络信息安全管理防范措施
• 实施网络信息安全管理防护措施
• 运维网络信息安全管理管理对象

6、等保测评的流程

1. 定级：确定定级对象，通过专家评审，确定合适级别
2. 备案：按等保2.0规定准备备案材料，到当地公安机关备案和审核
3. 建设整改：对当前保护对象的实际情况进行差距分析，针对不符合项整改
4. 等级测评：对定级的保护对象进行测评，并出具相应的等级保护测评证书
5. 运营维护（监督管理）：运营主体对保护对象的安全相关事宜进行监督管理
6. （三级等保每年一测）

7、IAFT

IAFT将信息系统的信息保障技术层面划分成了四个技术框架焦点域：网络和基础设施、区域边界、计算机环境和支撑性基础设施。

核心思想：纵深防御

1. 保护多个位置。包括保护网络和基础设施、区域边计算环境等。
2. 分层防御。如果说上一个原则是横向防御，那么这一原则就是纵向防御，这也是纵深防御思想的一个具体体现。
3. 安全强健性。不同的信息对于组织有不同的价值，该信息丢失或破坏所产生的后果对组织也有不同的影响。所以对信息系统内每个信息安全组件设置的安全强健性（即强度和保障），取决于被保护信息的价值以及所遭受的威胁程度。

第二章 网络攻击

1、网络攻击的一般流程

• • 隐藏攻击源、收集目标的信息、挖掘目标的漏洞信息、获取目标的访问权限
  • 隐藏攻击行为、实施攻击、开辟后门、清除攻击痕迹

2、常见的端口扫描技术

• 完全连接扫描：源主机和目的主机，建立一次三次握手
• 半连接扫描：只完成前两次握手，不建立一次完整的连接
• SYN扫描：向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程（返回：ACK开放、RESET关闭）
• ID头信息扫描：借助第三方主机，ID头递增１则端口关闭，否则端口开放
• 隐蔽扫描：绕过安全设备，取得目标主机端口信息
• SYN｜ACK扫描：发送SYN｜ACK数据包，不返回信息则端口开放，返回RST则端口关闭
• FIN扫描：发送FIN数据包，不返回信息则端口开放，返回RST则端口关闭
• ACK扫描：发送FIN数据包，开放＜TLL值６４＜关闭　关闭＜WIN值０＜开放
• NULL扫描：标志位置空，不返回信息则端口开放，返回RST则端口关闭
• XMAS扫描：标志位全部置成1，不返回信息则端口开放，返回RST则端口关闭

3、DDOS攻击的一般过程：采用C/S部署

• 通过探测扫描大量主机，寻找可被攻击的目标
• 攻击有安全漏洞的主机，并设法获取控制权
• 在已攻击成功的主机中安装客户端攻击程序
• 利用已攻击成功的主机继续扫描和攻击，从而扩大可被利用的主机
• 当安装了攻击程序的客户端，达到一定数量后，攻击者在主机端给客户端攻击程序发布命令，同时攻击特定主机

常见的DDOS攻击手段包括：HTTP Flood攻击、SYN FLood攻击、DNS放大攻击

4、拒绝服务攻击的特点

• 难确认性：用户在得不到及时响应时，很难判断自己是否受到攻击
• 隐蔽性：正常请求服务，从而隐蔽拒绝服务攻击的过程
• 资源有限性：计算机的资源时有限的，容易实现拒绝服务攻击的过程
• 软件复杂性：因难以确保软件没有缺陷，所以攻击者利用软件缺陷进行拒绝服务攻击

5、拒绝服务攻击的方式

• 同步包风暴（SYN Flood）：发送大量的半连接状态的服务请求，使TCP/IP的三次握手无法完成，从而无法建立连接
• UDP洪水（UDP Flood）：利用主机能自动回复的服务，在两台主机之间传送足够多的无用数据流
• Smurf攻击：将回复地址设置成目标网络广播地址，如果在复杂点就把原地址改为第三方的目标网络
• 垃圾邮件:耗尽用户信箱的磁盘空间，使用户无法应用这个邮箱
• 消耗CPU和内存资源的拒绝服务攻击：构造恶意的输入数据，导致目标系统CPU或资源耗尽
• 死亡之ping：ICMP数据包大于64KB,就会出现内存分配错误
• 泪滴攻击：暴漏出IP数据包分解与重组的弱点，增加了偏移量
• 分布式拒绝服务攻击：植入后门程序，然后统一攻击统一目标

6、远程口令破解的流程

1. 建立与目标网络服务的网络连接
2. 选取一个用户列表文件及字典文件
3. 在用户列表文件及字典文件中，选取一组用户名和口令，发送到目标网络服务端口
4. 检测远程服务返回的信息，确定口令尝试是否成功
5. 若不成功，再取另一组，重复试验，直到口令用户列表及字典文件选取完毕

7、网络攻击模型 【攻击树杀伤CK】

• 攻击树模型（又称故障树模型）

可以被red team用来进行渗透测试，同时也可以被blue team用来研究御机制

优：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景

缺：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来将会特别复杂。

• MITRE 　ATT＆CK模型（又称攻击矩阵模型）

基于MITRE 　ATT＆CK常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等

• 网络杀伤链

该模型将网络攻击活动分成：目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动等七个阶段。

第三章 密码名词

１、名词解析

２、国产密码算法主要有：

SM１分组密码算法（对称、128）、SM２椭圆曲线公钥密码算法（非对称、256）、SM３密码杂凑算法（杂凑、256）、SM４分组算法（对称、128）、SM９标识密码算法

３、密码体制分类

• 私钥密码体制

速度快、秘钥管理问题、秘钥保管量多

DES、IDEA、AES等

• 公钥密码体制

秘钥分发方便、秘钥保管量少、支持数字签名

包括椭圆曲线密码、ELGamal、RSA

• 混合密码体制

私钥＋公钥（利用公钥体制来解决私钥体制存在的问题）

４、密码分析攻击的五种类型：

• 1. 唯密文攻击：只知道密文
  2. 已知明文攻击：只知道明文和对应明文（固定片段）
  3. 选择明文攻击：知道自己选定的明文和对应的密文（可自选任意明文）
  4. 选择密文攻击：知道自己选定的密文和明文
  5. 密文验证攻击：密码分析者对于任何选定的密文，能够得到该密文“是否合法”的判断

５、密码管理

包括：秘钥管理、密码管理政策、密码测评

６、常见密码算法（加密算法可逆，哈希算法不可逆）

• DES　分组６４　秘钥５６　
• IDEA　分组６４　秘钥１２８　
• AES　分组１２８　秘钥支持１２８、１９２、２５６
• RSA（非对称）基于大整数因子分解的困难性
• Hash函数
  • 相同的明文输入得到相同的Hash值
  • Hash值越大的Hash函数安全性越高
  • Hash函数名 分组大小 Hash值大小（消息摘要）
  • MD５ 512bit 128bit
  • SHA 512bit 160bit
  • SM3 512bit 256bit
• 数字证书内容：版本号、序列号、有效期、主体、主体唯一标识、主体公钥信息、颁发者、颁发者唯一标识、签名算法、扩展项
• 数字证书的应用场景及目标

CA：认证授权中心

数字证书由证书认证机构（CA）签名的

第四章 网络安全体系

1、网络安全体系：网络安全保障系统的最高层概念抽象

特征

• 整体性：网络安全单元按照一定的规则，相互依赖、相互作用而形成人机物一体化的网络安全保护方式
• 协同性：通过各种安全机制的相互协作，构建系统性的网络安全保护方案
• 过程性：网络安全体系提供一种过程式的网络安全保护机制，覆盖保护对象的全生命周期
• 全面性：网络安全体系基于多个维度、多个层面对安全威胁进行管控
• 适应性：网络安全体系能够适应网络安全威胁的变化和需求，动态的

2、BLP机密性模型

Bell-LaPadula模型符合军事安全策略的计算机安全模型，用于防止非授权信息的扩散

BLP模型的2个特征：简单安全特性、*特性

• 简单安全特性：操作者读访问资源时，操作者（主体）的安全级别和范畴都大于等于资源（客体）（主体只能向下读，不能向上读——>下读）
• *特性：操作者写访问资源时，操作者（主体）的安全级别和范畴都≤资源（客体）（主体只能向上写，不能向下写——>上写）

Biba完整性模型：不能下读，不能上写，不能调用；

• 简单安全特性：主体的完整性级别和范畴≥客体；
• *特性：主体的完整性级别
• 调用特性：主体完整性级别

3、信息保障模型P2DR、PDRR、WPDRRC模型

• P2DR模型 策略
• PDRR模型 保护 检测 响应 恢复
• WPDRRC模型 预警 反击

4、能力成熟度模型

网络安全方面的成熟度模型主要有：SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型

• 能力成熟度模型 分为五级：1级---非正式执行、2级---计划跟踪、3级---充分定义、4级---量化控制、5级---持续优化
• 系统安全工程能力成熟度模型 包括：工程过程类、组织过程类、项目过程类
• 数据安全能力成熟度模型 数据安全能力从组织建设、制度流程、技术工具、人员能力四个维度评估
• 软件安全能力成熟度模型 分为五级：1级---补丁修补；2级---渗透测试、安全代码评审；3级---漏洞评估、代码分析、安全编码标准；4级---软件安全风险识别、SDLC（软件开发生命周期）实施不同安全检查点；5级---改进安全风险覆盖率、评估安全差距

5、网络安全等级保护体系应用参考

• 等级保护制度是中国网络安全保障的特色和基石
• 网络安全等级保护工作主要包括定备案、建设整改、等级测评、监督检查五个阶段
• 定级对象的安全保护等级分为五个，第一级用户自主保护级、第二级系统保护审计级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级。

6、网络安全等级保护2.0的主要变化包括：

• 扩大了对象范围
• 提出1个中心，三重防护体系架构
• 强化了可信计算机技术使用的要求，增加了“可信验证”控制点

7、软件安全能力成熟度模型

分为五级

• CMM1级——补丁修补
• CMM2级——渗透测试、安全代码评审
• CMM3级——漏洞评估、代码分析、安全编码标准；
• CMM4级——软件安全风险识别、SDLC实施不同安全检查点
• CMM5级——改进软件安全风险覆盖率 评估安全差距

8、四种模型区分

• Bell-Lapudula模型基于强制访问控制系统，以敏感度来划分资源的安全级别。
• Biba访问控制模型对数据提供了分级别的完整性保证，类似于BLP保密模型，也使用强制访问控制系统。
• Clark-Wilson模型是一种广泛应用于商务领域的信息安全模型，能够较好满足企业信息系统所追求的完整性安全需求，它的完整性保证在早期是通过遵循一些静态的授权约束来实现的。
• ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域，必须自动拒绝来自其他与用户的所选区域的利益冲突区域的访问，同时包括了强制访问控制和自主访问控制的属性，属于混合策略模型

第五章 物理安全

1、物理安全威胁

自然安全威胁：地震、洪水、鼠害、雷电

人为安全威胁：盗窃、爆炸、毁坏、硬件攻击

常见的硬件攻击技术：硬件木马（恶意电路）、硬件协同的恶意代码（实现越权访问）、硬件安全漏洞利用（熔断幽灵）、基于软件漏洞合计硬件实体（震网病毒）、基于环境攻击计算机实体。

2、物理安全规范

《信息系统物理安全技术要求（GB/T210522007）》则将信息系统的物理安全进行了分级，并给出设备物理安全、环境物理安全、系统物理安全的各级对应的保护要求

信息系统物理安全技术只涉及前四级

1. 第一级物理安全平台为第一级用户自主保护级提供基本的物理安全保护
2. 第二级物理安全平台为第二级系统审计保护级提供适当的物理安全保护
3. 第三级物理安全平台为第三级安全标记保护级提供较高程度的物理安全保护
4. 第四级物理安全平台为第四级结构化保护级提供更高程度的物理安全保护。

3、机房功能区域组成

按照《计算机场地通用规范（GB/f12887-2001）》的规定，计算机机房可选用下列房间（允许一室多用或酌情增减）

• 主要工作房间：主机房、终端室等
• 第一类辅助房间：低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等；
• 第二类辅助房间：资料室、维修室、技术人员办公室；
• 第三类辅助房间：储藏室、缓冲间、技术人员休息室、盥洗室等；

4、机房等级划分与数据中心等级

机房

• A级 造成严重损害、对机房安全又严格要求、有完善的机房安全措施
• B级 造成较大损害、对机房安全有较严格要求、有教完善的机房安全措施
• C级 不属于A、B级的情况

数据中心等级

• A级 造成重大的经济损失、造成公共场所秩序严重混乱
• B级 造成较大经济损失、造成公共场所秩序混乱
• C级 不属于A、B级的情况

5、IDC互联网数据中心

IDC组成：机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统

IDC机房等级划分：R1、R2、R3；三个级别

机房基础设施和网络系统可用性能力

R1 具备一定的冗余能力 不应小于99.5%

R2 具备冗余能力 不应小于99.9%

R3 具备容错能力 不应小于99.99%

第六章 认证

1、认证技术相关的名词解释

• 认证机制：是网络安全的基础性保护措施，是实施访问控制的前提（认证机制=严重对象+认证协议+鉴别实体）
• 认证：A向B证明自己身份的过程（认证=表示+鉴别）
• 验证对象：需要被鉴别的对象（A 声称者）
• 鉴别实体：根据验证对象所提供的认证依据，给主身份的真实性或属性判断（B 验证者）
• 标识：用来代表实体对象的身份表示
• 鉴别：利用口令、电子签名等对声称者的属性进行识别验证的过程
• 认证协议：A和B之间进行认证信息交换所遵从的规则
• 认证依据：例如鉴别所用到的口令、电子签名等

２、认证类型与认证过程

认证类型：单向认证、双向认证、第三方认证

• 单向认证：验证者对声称者进行单方面的鉴别，而声称者不需要识别验证者的身份
  • 实现单向认证技术方法有：基于共享秘钥、基于挑战响应（挑战：一个随机数 响应：对随机数的响应）
• 双向认证：是指在认证过程中验证者对声称者进行单方面的鉴别，同时，声称者也对验证者的身份进行确认。
• 第三方认证：是指两个实体在鉴别过程中通过可信的第三方来实现。第三方与每个认证的实体共享秘密，实体A和实体B分别与它共享秘密密钥KPA、KPB。当实体A发起认证请求时，实体A向可信第三方申请获取实体A和实体B的秘钥KAB，然后实体A和实体B使用KAB加密保护双方的认证消息。

３、Kerberos认证技术

Kerberos是一个网络协议，其目标时使用密钥加密为客户端/服务器应用程序提供强身份认证。其技术原理是利用对称密码技术（DES加密算法），使用可信的第三方来为应用服务器提供认证服务，并在用户和服务器之间建立安全信道。

一个Kerberos系统涉及四个基本实体

1. Kerberos客户机，用户用来访问服务器设备；
2. AS认证服务器，识别用户身份并提供TGS会话密钥；
3. TGS票据发放服务器，为申请服务的用户授予票据；
4. 应用服务器，为用户提供服务的设备或系统；

票据是用于安全的传递用户身份所需要的信息的集合，主要包括客户方实体名称、地址

事件戳、票据生存期和会话密钥等内容。

４、PKI公钥基础设施

PKI就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施

PKI各实体的功能分别叙述如下：

客户端：指需要基于PKI安全服务的使用者，包括用户、服务进程等

RA：证书登记权威机构，将公钥和对应的证书持有者的身份及其他属性联系起来，进行注册和担保；注册机构提供用户和CA之间的一个接口，他获取用户信息并进行资格审查，然后向CA发起出证书的请求。较小的机构，可以有CA兼任RA的工作

CA：证书授权机构，主要进行证书的颁发、废止和更新；

目录服务器：CA通常使用一个目录服务器，提供证书管理和分发的服务。

终端实体：指需要认证的对象，例如服务器、打印机、E-mali地址、用户等

5、认证技术方式

• 用户认证
  • 用于鉴别用户的身份是否是合法用户；
• 消息认证
  • 验证所收到的消息确实是来自真正的发送者且未被修改的消息，也可以验证消息的顺序和及时性。

第七章 访问控制参考模型

１、访问控制参考模型组成要素

主体－－是客体的操作实施者。通常是人、进程或设备等，一般是代表用户执行操作的进程。

客体－－是被主体操作的对象。对一个客体的访问隐含着对其信息的访问

参考监视器－－是访问控制的决策单元和执行单元的集合体

访问控制数据库－－主体访问客体的权限及其访问方式的信息，提供访问控制决策判断的依据，也称为访问控制策略库

审计库－－存储主体访问客体的操作信息，包括访问成功、访问失败以及访问操作信息。

２、自主访问控制

按照自己的安全策略授予系统中的其他用户对“客体”的访问权

• 基于行的自主访问控制 概念：在每个主体上附加一个它可以访问的“客体明细表”【主体＋客体明细表】
• 基于列的自主访问控制 概念：在每个客体上都附加一个可以访问它的主体明细表【客体＋主体明细表】

３、口令安全管理遵守的原则

• 口令选择应至少８个字符以上，应选用大小写字母、数字、特殊字符组合；
• 禁止使用与账号相同的口令；
• 更换系统默认口令，避免使用默认口令；
• 限制账号登录次数，建议为３次；
• 禁止共享账号和口令；
• 口令文件应加密存放，并只有超级用户才能读取；
• 禁止以明文形式在网络上传递口令；
• 口令应有时效机制，保证经常更改，并且禁止重用口令；
• 对所有的账号运行口令破解工具，检查是否存在弱口令或没有口令的账号；

４、Linux访问控制

每个文件上使用“９比特位模式”来标识访问控制权限信息，这些二进制位标识了“文件的拥有者与文件拥有者同组的用户、其他用户”对文件所具有的访问权限和方式。

第八章 防火墙

１、防火墙概念

为了应对网络威胁，联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离。网络的安全信任程度和需要保护对象，认为地划分若干区域，这些安全区域有：

公共外部网络 Internet

内联网 如某个公司或组织的专用网络，网络访问限制在组织内部；

外联网 内联网的扩展延伸，常用作组织与合作伙伴之间进行通信；

军事缓冲区域，简称DMZ，该区域是介于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务。

２、防火墙的功能

过滤非安全网络访问：将防火墙设置为只允许符合安全策略的能通过

限制网络访问：例如可以制定外网只能访问DMZ区的设备or特定主机

网络访问审计：防火墙是内外网唯一的网络通道，通过防火墙日志可以掌握网络使用情况

网络带宽控制：防火墙可以控制网络带宽实现Qos保障

协同防御：可以和IPS设备通过交换信息来实现联动

3、防火墙安全风险

• 防火墙功能缺陷：导致一些网络威胁无法阻断。
  • 不能完全防止感染病毒的软件或文件传输；
  • 不能防止基于数据驱动式的攻击；
  • 不能完全防止后门攻击
• 网络安全旁路：防火墙只能对通过它的网络通信包进行访问控制，而未经过它的网络通信就无能为力
• 防火墙安全机制形成单点故障和特权威胁：所有网络流量都要经过防火墙，一旦防火墙管理失败，就会对网络造成单点故障和网络安全特权失控
• 防火墙无法有效防范内部威胁：内网用户操作失误，攻击者就能利用内网用户发起主动网络连接
• 防火墙效用受限与安全规则：依赖与安全规则的更新

4、包过滤技术

包过滤是在IP层实现的防火墙技术，包过滤根据包的源IP地址、目的IP地址、源端口、目的端口、包传递方向等包头信息判断是否允许包通过。

包过滤的规则由规则号、匹配条件、匹配操作三部分组成

• 匹配条件：源IP地址、目标IP地址、源端口号、目标端口号、协议、通信方向等
• 匹配操作：拒绝、转发、审计

包过滤防火墙技术优点：低负载、高通过率对用户透明。

包过滤技术的弱点：不能再用户级别进行过滤

5、状态检查技术

基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表，当有符合已定义安全策略的TCP连接或UDP流时，防火墙会创建会话项，然后依据状态表项检查，与这些会话相关联的包才允许通过防火墙。

处理包流程：

• 接受到数据包
• 检查数据包的有效性，若无效，则丢掉数据包并审计。
• 查找会话表；若找到，则进一步检查数据包的序列号和会话状态，如有效，则进行地址转换和路由，转发该数据包；否则，丢掉数据包并审计。
• 当会话表中没有新到的数据包信息时，则查找策略表，如符合策略表，则增加会话条目到会话表中，并进行地址转换和路由，转发该数据包；否则，丢掉数据包并审计。

6、防火墙防御体系结构类型

基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙。

7、防火墙的部署

第九章 VPN、IPsec、SSL

1、VPN类型

链路层VPN ATM、Frame Relay、多协议标签交换MPLS、PPTP、L2TP

网络层VPN 受控路由过滤、隧道技术（IPsec、GRE）

传输层VPN SSL/TSL

VPN的实现技术：密码算法、秘钥管理、认证访问控制、IPsec、SSL、PPTP、L2TP

2、IPsec

组成：

• • • 认证头AH------保证IP数据包的完整性和数据源认证代表协议：MD5、SHA
    • 封装安全负荷ESP------将IP数据包进行封装加密处理，生成带有ESP协议的信息的新IP包，防重放攻击代表协议：DES、3DES、AES

工作模式：透明模式---只保护IP包中的数据域

随到模式---保护IP包的包头+数据

• • • 秘钥交换协议------用于生成和分发秘钥 代表协议：DHCP

3、SSL

传输层安全协议，用于构建客户端和服务器之间的安全通道，包含两层协议：

上层：SSL握手协议、SSL密码变化协议和SSL报警协议

下层：SSL记录协议；为高层协议提供基本的安全服务，比如分块、压缩、计算添加HMAC、加密等

SSL握手协议：认证、协商加密算法和密钥

SSL密码规格变更协议：保护客户端和服务器双方应该每隔一段使劲按改变加密规范

SSL报警协议：通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告

SSL协议提供三种安全通信服务：

• 保密性通信：握手协议产生秘密密钥后才开始加、解密数据。数据的加、解密使用对称式密码算法，例如DES、AES等
• 点对点之间的身份认证：采用非对称式密码算法，例如RSA、DSS等
• 可靠性通信：信息传送时包含信息完整性检查，使用有密钥保护的消息认证（Message Authentication Code，MAC），MAC的计算采用安全杂凑函数例如SHA、MD5

第十章 入侵检测

1、入侵检测及入侵检测模型

入侵：违背访问目标的安全策略的行为

判断入侵的依据：对目标的操作是否超出了目标的安全策略范围

入侵检测：通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。

入侵检测系统：具有入侵检测功能的系统称为入侵检测系统，称为IDS。

入侵检测系统的目的：发现违背安全策略or危害系统安全的行为

通用入侵检测框架模型，简称为CCIDF。该模型认为入侵检测系统包括：事件产生器、事件分析器、响应单元、事件数据库。

2、基于误用的入侵检测技术

攻击者常常利用系统和应用软件中的漏洞技术进行攻击

误用入侵检测的前提条件是：入侵行为能够按某种方式进行特征编码

入侵检测的过程实际上是：模式匹配的过程

• 基于条件概率的误用检测 将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理（概率公式）进行推理，推测入侵行为
• 基于状态迁移的误用检测 记录系统的一系列状态，检查系统的状态变化发现系统中的入侵行为，这种方式状态特征用状态图描述
• 基于键盘监控的误用检测 检测用户的击键模式，检索攻击模式库，发现入侵行为（不能检测恶意程序的自动攻击）
• 基于规则的误用检测 用于规则描述入侵行为，通过匹配规则，发现入侵行为（Snort）

3、基于异常的入侵检测技术

异常检测方法：建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数据值与所定义的“正常”情况相比较，得出是否有被攻击的迹象

异常检测的前提是异常行为包括入侵行为

• 基于统计的异常检测方法 利用数学统计理论技术，至于统计的抽样周期可以从短到几分钟到长达几个月甚至更长（系统登录时间、资源被占用的时间等）
• 基于模式预测的异常检测 事件序列不是随机发生的而是服从某种可辨别的模式，其特点是考虑了事件序列之间的互相联系
• 基于文本分类的异常检测 将程序的系统调用视为某个文档中的“字”，N此第调用以后形成一个文档分析文档的相似性，发现异常的系统调用，从而检测入侵行为
• 基于贝叶斯推理的异常检测方法 通过分析和测量，任一时刻的若干系统特征（磁盘读/写操作数量、网络连接并发数），判断是否发生异常

4、入侵检测系统的组成

入侵检测功能模块组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块、辅助模块

数据采集模块	为入侵分析引擎模块提供分析用的数据，包括操作系统的审计日志，应用程序的运行日志和网络数据包等
入侵分析引擎模块	是依据辅助模块提供的信息（如攻击模式），根据一定的算法对收集到的数据进行分析， 从中判断是否有人入侵行为出现，并产生入侵警报。该模块是入侵检测系统的核心模块。
应急处理模块	为其他模块提供配置服务，是IDS系统中的模块与用户的接口
管理配置模块	发生入侵后，提供紧急响应服务，例如闭关网络服务、中断网络连接、启动备份系统等
辅助模块	协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。

基于主机的入侵检测系统HIDS

基于网络的入侵检测系统NIDS

基于主机检测的分布式入侵检测系统HDIDS

基于网络的分布式入侵检测系统NDIDS

5、网络入侵检测系统Snort

Snort基于技术原理是通过获取网络数据包，然后基于安全规则进行入侵检测，最后形成报警信息。

Snort由两部分组成：规则头、规则选项。

规则头包含：规则操作、协议、源地址、目的IP地址、网络掩码、源端口、目的端口号信息。

规则选项包含：报警消息、被检查网络包的部分信息、规则应采取的动作（所有Snort规则选项都用“；”隔开，规则选项关键词使用“：”和对应的参数区分）

Snort规则如下所示

ALert tcp any any ➡ 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";)

动作 协议 源IP 源端口➡ 目标IP 目标端口（需要匹配的数据包内容；alert动作报警弹出的内容）

规则选项常用的关键字是msg、content。msg用于显示报警信息，content用于指定匹配网络数据包的内容。

sid表示Snort规则id；rev表示规则修订的版本号。

例如：

alert icmp any any ➡192.168.X.Y any(msg:"NMAP ping sweep Scan";dsize:0;sid:10000004;rev:1;)

第十一章 网络物理隔离

1、网络物理隔离系统与类型

网络物理隔离系统是指通过物理隔离技术，再不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统，已满足不同安全域的信息或数据交换。

按照隔离的对象分

单点隔离系统：主要是保护单独的计算机系统，防止外部直接攻击和干扰。

区域隔离系统：针对的是网络环境，防止外部攻击内部保护网络。

按照网络物理隔离的信息传递方向分

双向网络物理隔离系统

单向网络物理隔离系统

国家管理政策文件明确指出：电子政务网络=政务内网+政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离

2、网络物理隔离实现技术

专用计算机上网	这台计算机只与外部网相连，不予=与内部网相连
多PC	用户桌面上放两台PC，一台用于连接外部网络，另一台用于连接内部网络
外网代理服务	1台PC收集外网信息，然后用U盘把数据拷贝到内网PC，从而实现内网用户“上网”
内外网线路切换器	物理线路A/B交换盒
单硬盘内外分区	单一硬盘分隔成不同的区域，在IDE总线物理层上，通过一块IDE总线信号控制卡截取IDE总线
双硬盘	在一台机器上安装两个硬盘，通过硬盘控制卡对硬盘进行切换控制（用户在使用时又必须不断地重新启动切换）
网闸	利用一种GAP技术，使用一个具有控制功能的开关读写存储安全设备（两个独立主机不存在通信的物理连接）
协议隔离技术	物理上是有连线的，通过协议转换的手段保证受保护信息在逻辑上是隔离的
单向传输部件	该传输部件由一对独立的发送和接受部件构成，发送和接受部件只能以单工方式发送
信息摆渡技术	U盘在2台PC上拷贝东西
物理断开技术	物理断开是指处于不同安全域的网络之间不能以直接或间接的方式相连接（通常由电子开关来实现）

第十二章 网络安全审计

1、网络安全审计系统一般包括

审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分

审计数据信息安全保护	审计信息分析结果展示及管理服务	系统管理
	审计信息分析
	审计信息存储
	审计信息获取
	审计对象操作系统、数据库、网络通信等

2、网络安全审计机制与实现技术

审计机制：基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制等

实现技术

系统日志数据采集技术：

常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储，以便于查询分析与管理

网络流量数据获取技术：

常见的技术方法由共享网络监听、交换机端口镜像、网络分流器

第十三章 网络安全漏洞

1、网络安全漏洞威胁

网络安全漏洞又称为脆弱性，简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷根据漏洞的补丁状况，可将漏洞分为：普通漏洞和零日漏洞

攻击者基于漏洞构成的安全威胁主要有

敏感信息泄露、非授权访问、身份假冒、拒绝服务。

解决漏洞问题的方法包括：漏洞检测、漏洞修补、漏洞预防等。

2、网络安全漏洞来源及分类

网络信息系统的漏洞主要来自两个方面：技术性安全漏洞、非技术性安全漏洞

CVSS是一个通用漏洞计分系统，分数计算依据由：基本度量计分、时序度量计分、环境度量计分组成。

基本度量计分：由攻击向量、攻击复杂性、特权要求、用户互交、完整性影响、保密性影响、可用性影响、影响范围等决定。

时许度量计分：由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定

环境度量计分：由完整性要求、保密性要求、可用性要求、修补基本得分等决定。

国家信息安全漏洞库（CNNVD）漏洞分类分级标准

国家信息安全漏洞共享平台（CNVD）漏洞分类分级标准

第十四章 补充

1、CSRF

跨站点请求伪造攻击 Cross Site Request Forger，属于伪造客户端请求的一种攻击方式。CSRF攻击是让用户访问攻击者构造的网页，执行网页中的恶意脚本，伪造用户的请求，对用户有登录权限的网站空间实施攻击。

2、诱骗式攻击

网站挂马、诱骗下载、网站钓鱼、社会工程。

3、在探测器无法直接连接控制台的情况下，常用的IDS控制台与探测器管理模式是主动控制台模式。

4、软件安全技术

主要有软件水代码混淆、软件加密、功能限制等，主要实现降低代码的可读性和防止软件本身在运行时被调试等，主要应用在软件防盗版、放滥用、防篡改、防止信息获取等方面

5、逆向分析辅助工具

可实现对软件的逆向分析，例如：OllyDbg、Soft ICE、WinDBG、IDA pro等

6、ISMS

信息安全管理体系ISMS是一个体系化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立基于系统、全面和科学的安全风险评估。

信息安全管理体系审核是为了获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查。

7、纠正措施（Corrective Action）

是为了消除已发现的不符合的或其他不期望的情况所采取的措施。

8、针对恶意程序检测或查杀技术

主要包括特征码查杀、启发式查杀、基于虚拟机技术的行为判定以及主动防御等

9、中国国家信息安全漏洞库CNNVD

10、污点传播

通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常。

11、自主访问控制模型DAC

是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到主体访问权限的限制目的。

12、操作系统的功能模块，一般以进程的方式在后台运行，以启动服务的方式对用户提供访问接口。

13、与反射型XSS对应，存储型XSS被称作持久型的跨站脚本攻击。

14、限制内存堆栈区的代码为不可执行的状态，从而防范溢出后代码执行的技术是数据执行保护技术。

 

以上就是我半个月的学习笔记。说实话关于计算机三级信息安全还是多刷题效率高一点，我是边刷视频边刷题的，临时抱佛脚成功。

祝各位更上一层楼。