信息安全工程师备考
2022-02-24 20:35:52 16 举报
AI智能生成
软考备考笔记
作者其他创作
大纲/内容
计算机网络基础
计算机网络分类
OSI/RM七层模型
TCP/IP协议族
ip地址
公有地址
私有地址
子网划分
设置
例子:
例1:将5位主机位置为1代表网络位
例2:保留10位主机位
例3:
域名及域名解析
域名空间
ipv6
ipv6特征
ipv6简写
Internet服务
计算机硬件基础
数据的表示
原码、补码、反码
进制转换
例子
逻辑运算
运算器与控制器
寻址方式
多级存储器结构
主存
磁盘存储
例子
校验码
奇偶校验
例子
循环校验码CRC
海明校验码
网络安全漏洞防护技术原理与应用
概念、威胁、现状
概念
网络安全漏洞又称脆弱性,简称漏洞。
威胁
攻击者基于漏洞对网络系统安全构成的安全威胁主要有:敏感信息泄露、非授权访问、身份假冒、拒绝服务
现状
网络信息系统的产品漏洞已是普遍性的安全问题(漏洞问题远未被解决)
安全漏洞管理是网络安全的基础性工作
网络安全漏洞事关国家安全,很多国家已将安全漏洞列为国家安全战略资源
主要来源、发布机制、漏洞信息获取方式
漏洞主要来源
非技术性漏洞来源
(1)责任主体不明确
(2)策略不完备
(3)操作技能不足
(4)监督缺失
(5)特权控制不完备
技术漏洞来源
(1)设计错误(Design Error)
(2)输入验证错误(Input Validation Error)
(3)缓冲区溢出(Buffer Overflow)
(4)意外情况处置错误(Exceptional Condition Handling Error)
(5)访问验证错误(Access Validation Error)
(6)配置错误(Configuration Error)
(7)竞争条件(Race Condition)
(8)环境错误(Condition Error)
漏洞分类
CVE
CVSS
我国信息安全漏洞分类
国家信息安全漏洞库(CNNVD)漏洞分类
国家信息安全漏洞分享平台(CNVD)漏洞分类
根据产生原因划分
根据行业划分
行业漏洞
应用漏洞
漏洞分级
OWASP top10漏洞分类
漏洞发布
漏洞发布方式
网站、电子邮件、安全论坛
漏洞信息公布内容
漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等
漏洞信息获取
1.CERT(Computer Emergency Response Team)
2.Security Focus Vulnerability Database
国家信息安全漏洞库CNNVD
国家信息安全漏洞共享平台CNVD
厂商漏洞信息
漏洞管理过程
1.网络信息系统资产确认
2.网络安全漏洞信息采集
3.网络安全漏洞评估
4.网络安全漏洞消除和控制
5.网络安全漏洞变化跟踪
漏洞扫描技术、常用漏洞扫描工具、漏洞扫描器组成
漏洞扫描技术
用户界面
扫描引擎
漏洞扫描结果分析
漏洞信息及配置参数库
漏洞扫描器
主机漏洞扫描器
COPS(Computer Oracle and Password System)用来检测UNIX系统的常见安全配置问题与系统缺陷
Tiger是一个基于shell语言的漏洞检测程序,用于UNIX系统的配置漏洞检查
MBSA(Microsoft Baseline Security Analyser)是Windows系统的安全基准分析工具
网络漏洞扫描器
Nmap国际知名的端口扫描工具,常用于检测目标系统开启的服务端口
Nessus是典型的网络漏洞扫描器,由客户端和服务器两部分组成,支持即插即用的漏洞检测脚本。
X-scan是由国内安全组织xfocus开发的漏洞扫描工具,运行在windows环境中
专用漏洞扫描器
网络安全漏洞的发现、修补、利用防范等处置技术与相关产品
漏洞处置技术与应用
漏洞发现技术
漏洞发现工具
漏洞修补技术
漏洞利用防范技术
地址空间随机化技术
数据执行阻止
SEHOP
堆栈保护
虚拟补丁
漏洞防护主要产品与技术指标
主要产品
扫描产品技术指标
(1)漏洞扫描主机数量
(2)漏洞扫描并发数
(3)漏洞扫描速度
(4)漏洞检测能力
(5)数据库漏洞检查功能
(6)web应用漏洞检查功能
(7)口令检查功能
(8)标准兼容性
(9)部署环境难易程度
漏洞服务平台
漏洞防护网关
技术指标
阻断漏洞攻击的种类与数量
阻断漏洞攻击的准确率
阻断漏洞攻击的性能
支持网络宽带的能力
信息系统安全
计算机设备安全
计算机系统安全
计算机系统安全属性
电磁泄露与干扰
电磁泄露发射检查测试方法和安全依据
电磁泄露处理方法
物理安全
物理安全
计算机可靠性技术
计算机的可靠性技术
操作系统安全
操作系统安全性目标
操作系统安全模型
身份鉴别
身份鉴别方法
身份鉴别系统架构
访问控制机制
访问控制矩阵
文件的访问控制表示
访问控制策略
访问控制策略组成
访问控制策略种类
文件保护机制
文件保护方法
操作系统安全增强
安全操作系统的设计原则
安全操作系统实现方法
操作系统安全增强
数据库系统安全
数据库系统安全涉及的问题
数据库访问控制技术
数据库安全策略应遵循的原则
数据库安全策略
数据库加密技术
层次加密技术
多级安全数据库
多级安全数据库的体系结构
可信主体结构
集中式TCB子集类体系结构
分布式TCB子集类体系结构
完整性锁结构
数据库的备份与恢复
数据库备份
数据恢复
恶意代码
计算机取证
计算机取证步骤
计算机取证分析技术
嵌入式系统安全
智能卡的分类及应用
智能卡的COS
USB-KEY技术
信息安全基础知识
管理基础知识
信息安全管理体系
密码管理:基于密码机制的安全系统
网络管理:配置、安全、性能、故障管理
设备管理:包括设备的选型、检测、安装、登记、使用、维护、存储管理等
人员管理:确保业务人员的思想素质、职业道德和业务素质
信息安全等级保护
用户自主保护级:隔离用户与数据
系统审计保护级:在自主访问控制的基础上控制访问权限的扩散
安全标记保护级:具备审计保护级的功能,提供有关安全策略模型、数据标记,具备准确地标记输出信息的能力,消除通过测试发现的任何错误
结构化保护级:在安全标记保护级实施的自主和强制访问控制基础上,进一步扩展到所有的主体和客体,能够审计利用隐蔽存储信道是可能被使用的的事件。
访问验证保护级:满足访问监视器需求,访问监视器仲裁主体对客体的全部访问。
涉密信息系统安全分级保护:
秘密级:包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求
机密级:包含机密级信息,安全等级保护四级
绝密级:绝密级信息,安全等级保护五级
网络隔离:
第一代(完全隔离):完全的物理隔离
第二代(硬件卡隔离):增加硬件卡隔离
第三代(数据转播隔离):利用转播系统分时复制文件的途经来实现隔离
第四代(空气开关隔离):使用单刀双掷开关
第五代(安全通道隔离):通过专用通信硬件和专有安全协议等安全机制来实现内外部网络的隔离和数据交换
系统安全监控:
网络安全监控:全面的网络安全机制、细粒度的控制、网络审计和其他包括日志、报警和拦截等功能
主机安全监控:访问控制、系统监控、系统审计、系统漏洞检查
信息安全风险评估:
确定资产:(确定信息系统的资产),并明确(资产的价值)
脆弱性和威胁分析:发现资产的脆弱点及由脆弱点所引发的威胁
制定及评估控制措施:在分析脆弱性和威胁发生的可能性的基础上,研究消除、减轻、转移威胁风险的手段
决策:包括评估影响、排列风险、制定决策
沟通与交流:决策经由领导层的签字批准,并与各方面就决策结论进行沟通
监督实施:安全措施的实施过程要始终在监督下进行
法律法规:
所涉及的法律法规
知识产权:
信息安全标准化知识:
标准分类:
国际标准:ISO、IEC等国际化组织【ISO/IEC15408-1999】
国家标准:GB-中国,ANSI-美国,BS-英国【BS7799标准】,JIS-日本
区域标准:PASC-太平洋地区标准会议、CEN-欧洲标准委员会、ASAC-亚洲标准咨询委员会、ARSO-非洲地区标准化组织
行业标准:GJB-中国军用标准、MIT-S——美国军用标准、IEEE-美国电气电子工程师协会
地方标准:国家的地方一级行政机构制定的标准
企业标准
项目规范
标准代号的识别:
国际、国外标准代号:标准代号+专业类号+顺序号+年代号
我国国家标准代号:强制性标准代号为GB,推荐性标准代号为GB/T,指导性标准代号GB/Z,实物标准代号GSB
行业标准代号:由汉语拼音大写字母组成
地方标准代号:由DB加上升级行政区划代码的前俩位
企业标准代号:由Q加上企业代号组成
密码学
概论:
密码学概论:
基本概念:密码学由研究密码编制的科学(密码编制学cryptography)及研究密码破译的科学(密码分析学cryptanalysis)共同组成的。
保密性:信息不被未授权者知晓的属性
完整性:信息是正确的,真实的,未被篡改的,完整无缺的属性
可用性:信息可以随时正常使用的属性
密码体制:
密码分析与密码安全性:
古典密码设计思想:
置换密码:将明文中的字母重新排列,字母本身意义不变,但其位置改变
代替密码:
简单代替密码:
加法密码:C=(M+k)mod n (n为字母表总数:26)
乘法密码:C=(M*k)mod n
仿射密码:C=(M*k0+k1)mod n
多表代替密码:
Vigenre密码:
代数密码:按ASCII码值并通过进制转换将明文和密钥转为二进制序列,再将其进行按位模2相加(即异或运算)
古典密码分析:
分组密码:
分组密码概念:
分组密码算法结构:
Feistel结构:Feistel结构把任何函数(一般为F函数,又称轮函数)转化为一个置换。
SP结构:是Feistel结构的一种推广,其结构清晰
DES算法:
DES算法流程:
初始置换IP
子密钥的生成:
置换选择PC1
循环左移
置换选择PC2
F轮函数:
扩展置换E
S盒
置换P
逆初始置换P-1
des算法的安全性:
AES算法:
AES过程:
子主题
子主题
子主题
网络安全
网络协议
TCP/UDP协议
TCP协议——特点:
TCP协议——传输过程:
TCP协议——报文段:
TCP协议——建立连接:
TCP协议——释放连接:
UDP协议——特点:
UDP协议——数据报:
TCP与UDP的比较:
IP协议
IP协议数据报:
IP协议片偏移:
各协议数据表示:
ARP协议
ARP示意图
ARP示例:
DNS协议
DNS报文结构:
DNS递归查询:
DNS迭代查询:
PGP协议
过程解析:加密
过程解析:解密
Kerberos协议
防火墙
安全规则
功能
分类
包过滤防火墙
应用层网关防火墙
电路网关防火墙
体系结构
双重宿主主机体系结构
屏蔽子网体系结构
入侵检测与防护
IDS与IPS
入侵检测P2DR模型
入侵检测系统的体系结构
入侵检测原理
VPN虚拟专用网
VPN基本原理
点对点隧道协议PPTP
IP安全协议IPsec
传输模式:
隧道模式:
三种vpn隧道协议比较
安全扫描与风险评估
网络安全扫描分类
风险评估——WPDRRC模型
风险评估——风险要素关系
风险评估——风险评估过程
网络蜜罐技术
蜜罐技术概述:
蜜罐配置:
恶意代码防范技术原理
恶意代码概述
定义与分类
恶意代码(Malicious Code):是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用、破坏系统的完整性和可用性。
分类:主动传播、被动传播
攻击模型:
1.侵入系统
2.维持或提升已有的权限
3.隐蔽
4.潜伏
5.破坏
6.重复前面的5步对新的目标实施攻击过程
恶意代码生存技术
反跟踪技术
反动态跟踪技术
禁止跟踪中断
检测跟踪法
反静态分析技术
对程序代码分块加密执行
伪指令
加密技术
加密手段
信息加密
数据加密
程序代码加密
模糊变换技术
指令替换技术:模糊变换引擎(Mutation Engine)对恶意代码的二进制代码进行反汇编,解码并计算指令长度,再对其同义变换。
指令压缩技术:经恶意代码反汇编后的全部指令由模糊变换器检测,对可压缩的指令同义压缩。
指令扩展技术:对汇编指令进行同义扩展,所有经过压缩技术变换的指令都能够使用扩展技术来进行逆扩展变换。
伪指令技术:将无效的指令插入恶意代码程序体
重编译技术:携带源码,在自带编译器或操作系统提供的编译器上进行重新编译,该技术实现了变形的目的也为跨平台的恶意代码的出现提供了条件。
变形技术
重汇编技术:变形引擎对病毒体的二进制代码进行反汇编,解码每一条指令,并对指令进行同义变换。
压缩技术:变形器检测病毒体反汇编后的全部指令,对可进行压缩的一段指令进行同义压缩。
膨胀技术:压缩技术的逆变换就是对反汇编指令同义膨胀。
为指令技术:主要是对病毒体插入废指令
重编译技术:携带源码,在自带编译器或操作系统提供的编译器上进行重新编译,该技术实现了变形的目的也为跨平台的恶意代码的出现提供了条件。
自动生产技术
普通病毒能够利用“多态性发生器”编译成具有多态性的病毒
三线程技术:一个恶意代码开启三个线程,其中一个负责远程控制工作的主线程,另两个用来监视线程、自启动监视线程和守护线程。
进程注入技术:恶意代码为了实现隐藏和启动的目的,把自身嵌入与这些服务有关的进程中
通信隐藏技术
端口定制技术:新木马一般有定制端口的功能,可以避过木马检测工具的检测缺省端口的方法。
端口复用技术:利用系统网络打开的端口传送数据,具有很强的欺骗性。
通信加密技术:将恶意代码的通信内容加密发送。
隐蔽通道技术:能有效隐藏通信内容和通信状态
内核级隐藏技术
LKM技术:LKM Rootkit通过系统提供的接口加载到内核空间,将恶意程序转化成内核的某一部分,再通过hook系统调用的方式实现隐藏功能。
内存映射隐藏:内存映射是指由一个文件到一块内存的映射。
恶意代码攻击技术
进程注入技术
超级管理技术:部分恶意代码能够攻击反恶意代码软件。
端口反向连接技术:指令恶意代码使用端口反向连接技术使攻击的服务端(被控制端)主动连接客户端(控制端)端口
缓冲区溢出攻击技术:利用安全漏洞植入并执行攻击代码,攻击代码以一定的权限运行有缓冲区溢出漏洞的程序来获得被攻击主机的控制权。
恶意代码分析技术
静态分析方法
反恶意代码软件的检测和分析
字符串分析:字符串分析的目的是寻找文件中使用的ASCII或其他方法编码的连续字符串。
脚本分析:脚本分析能够帮助分析者用较短的时间识别出大量流行的脚本类型。
静态反编译分析:将机器优化过的源码重新转换成源码
静态反汇编分析
有线性遍历:简单地遍历程序的整个代码区,反汇编它所遇到的每一条指令
递归遍历:试图用反汇编出来的控制流指令来指导反汇编过程,以此解决上面线性遍历所存在的问题。
动态分析方法
文件监测:恶意代码在传播和破坏的过程中需要依赖读写文件系统,但存在极少数恶意代码只是单纯依赖内存。
进程监测:主机上所有被植入进程的细节都能为分析恶意代码提供重要的参考信息。
网络活动监测:使用网络嗅探器检测恶意代码传播的内容,当恶意代码在网络上发送包时,嗅探器就会将他们捕获
注册表监测:恶意代码运行时一般都要改变windows操作系统的配置来改变windows操作系统的行为,实现恶意代码的目的
动态反汇编分析:指在动态恶意代码的执行过程中对其进行监测和分析。
同内存调试:将调试工具与被分析恶意代码程序加载到相同的地址空间里
仿真调试:调试工具与被分析恶意代码程序不在相同的地址空间里
恶意代码防范策略:
组织管理上加强安全防范意识 通过技术手段来实现恶意代码的防御
计算机病毒分析与防护
概念与特性
它是一组具有自我复制、传播能力的程序代码
隐蔽性:计算机病毒附加在正常软件或文档中
传染性:计算机病毒可以自我复制,并把复制的病毒附加到无病毒的程序中,或去替换磁盘引导区的记录
潜伏性:计算机病毒感染正常的计算机后,一般不会立即发作,而是等到触发条件满足时,才执行病毒的恶意功能。
破坏性:计算机病毒对系统的危害性程度,取决于病毒设计者的设计意图。
组成与运行机制
病毒由复制传染部件(replicator)、隐藏部件(concealer)、破坏部件(bomb)组成
计算机病毒生命周期主要有:复制传播阶段、激活阶段
常见类型与技术
引导型病毒:通过感染计算机系统的引导区而控制系统,病毒将真实的引导区内容修改或替换,当病毒程序执行后,才启动操作系统。
宏病毒:利用宏语言来实现的计算机病毒
多态病毒(Polymorphic Viruses):每次感染新的对象后,通过更改加密算法,改变其存在形式。
杂乱的病毒体
解密例程(decryption routine)
变化引擎(mutation engine)
隐蔽病毒(Stealth Viruses):将自身的存在形式进行隐藏使得操作系统和反病毒软件不能发现。
防范策略与技术
查找计算机病毒源
比较法:原始备份与被检测的引导区或被检测的文件进行比较,检测文件及系统区域参数是否出现完整性变化
搜索法:用每一种病毒体含有的特定字节串对被检测的对象进行扫描。
特征字识别法:只需从病毒体内抽取很少的几个关键字,组成特征字库
分析法:反病毒技术人员通过详细分析病毒代码,制定相应的反病毒措施。
阻断计算机病毒传播途径
用户具有计算机病毒防范意识和安全操作习惯
消除计算机病毒的载体
安全区域隔离
主动查杀计算机病毒
定期对计算机系统进行病毒检测
安装防计算机病毒软件
计算机病毒应急响应和灾备
备份
数据修复技术
网络过滤技术
计算机病毒应急响应预案
防护方案
基于单机计算机病毒防护
基于网络计算机病毒防护
基于网络分级病毒防护
基于邮件网关病毒防护
基于网关防护
特洛伊木马分析与防护
概念与特性
特洛伊木马是具有伪装能力、隐蔽执行非法功能的恶意程序;不具有自我传播能力;受到特洛伊木马侵害的计算机,攻击者可不同程度的远程控制受害的计算机。
分类
本地木马:只运行在本地的单台主机上,没有远程通信功能
网络木马:具有网络通信连接和服务功能的木马
远程木马控制管理:监测木马代理的活动、远程配置管理代理、收集木马代理窃取的信息
木马代理:植入目标系统,司机获取系统的信息或控制系统的运行
运行机制
攻击过程主要分为五个部分:1.寻找攻击目标2.收集目标系统的信息3.将木马植入目标系统4.木马隐藏5.攻击意图实现
植入技术
被动植入:通过人工干预方式才能将木马程序安装到目标系统中,植入过程必须依赖于受害用户的手工操作
主动植入:将木马程序通过自动安装到目标系统中,植入不需受害用户的操作
隐藏技术
本地活动行为隐藏技术
文件隐藏
进程隐藏
通信连接隐藏
远程通信过程隐藏技术
端口定制技术:新木马一般有定制端口的功能,可以避过木马检测工具的检测缺省端口的方法。
端口复用技术:利用系统网络打开的端口传送数据,具有很强的欺骗性。
通信加密技术:将恶意代码的通信内容加密发送。
隐蔽通道技术:能有效隐藏通信内容和通信状态
存活技术
防范技术
1.基于查看开放端口检测特洛伊木马技术
2.基于重要系统文件检测特洛伊木马技术
3.基于系统注册表检测特洛伊木马技术
4.检测具有隐藏能力的特洛伊木马技术
针对已知的RootKit进行检测
基于执行路径的分析检测方法
直接读取内核数据的分析检测方法
5.基于网络检测特洛伊木马技术
不轻易安装未经过安全认证的软件
提供完整性保护机制
利用漏洞扫描软件检查系统存在的漏洞,及时安装补丁软件包
6.基于网络阻断特洛伊木马技术
7.清除特洛伊木马技术
手工清除方法
软件清除方法
网络蠕虫分析与防护
概念与特性
网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序
组成与运行机制
组成
探测模块:完成对特定主机的脆弱性检测
传播模块:采用各种形式生成各种形态的蠕虫副本,在不同主机间完成蠕虫副本传递
蠕虫引擎模块:决定采用何种搜索算法对本地或目标网络进行信息收集
负载模块:网络蠕虫内部的实现伪代码
运行机制
网络蠕虫常用技术
网络蠕虫防范技术
僵尸网络分析与防护
概念与特性
运行机制与技术
防范技术
子主题
其他恶意代码分析与防护
逻辑炸弹
陷门
细菌
间谍软件
主要产品与技术指标
恶意代码主要防护产品
恶意代码防护主要技术指标
恶意代码防护技术应用
0 条评论
下一页