信息安全工程师考试要点

第一章:1.3.2：1、 GB17859-1999标准规定了计算机系统安全保护能力的五个等级，即:用户资助保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。2、 目前正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分析保护管理规范》。3、 涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级：4、 秘密级，信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术的要求。机密级，信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求：信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门。信息系统中的机密级信息含量较高或数量较多；信息系统使用单位对信息系统的依赖程度较高；绝密级，信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求。5、 安全监控可以分为网络安全监控和主机安全监控1.3.3信息安全风险评估与管理1、一般可通过以下途径达到降低风险的目的：避免风险、转移风险、减少威胁、减少脆弱性、减少威胁可能的影响、检测以外事件，并做出响应和恢复。1.4信息安全标准化知识1、 国家标准化指导性技术文件，其代号为“GB/Z”；推荐性国家标准代号为“GB/T”2、 目前国际上两个重要的标准化组织，即国际标准化组织ISO和国际电工委员会IECoISO和IEC成立了第一联合技术委员会JTC1制定信息技术领域国际标准；SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会。3、 信息安全标准体系与协调工作组(WG1)，主要负责研究信息安全标准体系、跟踪国际信息安全标准发展态势，研究、分析国内信息安全标准的应用需求，研究并提出了新工作项目及设立新工作组的建议、协调各工作组项目。涉密信息系统安全保密工作组(WG2)、密码工作组(WG3)和鉴别与授权工作组(WG4)o信息安全测评工作组(WG5)，负责调研国内外测评标准现状与发展趋势，研究提出了我国统一测评标准体系的思路和框架，研究提出了系统和网络的安全测评标准思路和框架，研究提出了急需的测评标准项目和制定计划。1.5信息安全专业英语1、 cryptography:密码；plaintext明文；ciphertext密文；concealment隐藏；cryptology密码学；2、 symmetric-key对称密钥；Symmetric-keycryptographyreferstoencryptionmethodsinwhichboththesenderandreceiversharethesamekey(or,lesscommonly,inwhichtheirkeysaredifferent,butrelatedinaneasilycomputableway).对称密钥加密是指加密方法，在该方法中，发送者和接收者共享相同的密钥3、 asymmetrickey非对称密钥；Digitalsignatures数字签名RSAandDSAaretwoofthemostpopulardigitalsignatureschemes4、 ellipticcurvecryptography椭圆曲线密码5、 Cryptanalysis密码分析；quantumcomputer量子计算机；6、 Antivirussoftware杀毒软件Network-attachedstorage(NAS,网络附加存储)：isfile-levelcomputerdatastorageconnectedtoacomputernetworkprovidingdataaccesstoheterogeneousnetworkclients.7、 PenetrationTestingTools渗透测试工具第二章：密码学2.1密码学的基本概念1、密码学的安全目标包括三个重要方面：保密性、完整性和可用性2.1.2密码体制1、一个密码系统，通常简称为密码体制，由五部分组成。明文空间M，它是全体明文的集合。密文空间C，它是全体密文的集合。密钥空间K，它是全体密钥的集合。其中每一个密钥K均由加密密钥Ke和解密密钥Kd组成，即K=<Ke,Kd>.加密算法E，它是一族由M到C的加密交换。解密算法D，它是一族由C到M的解密交换。对于明文空间M中的每一个明文M，加密算法E在密钥Ke的控制下将明文M加密成密文C：C=E(M,Ke).而解密算法D在密钥Kd的控制下将密文C解密出同一明文M：M=D(C,Kd)=D(E(M,Ke),Kd)如果一个密码体制的Kd=Ke,或由其中一个很容易推出另一个，则称为单密钥密码体制或对称密码体制或传统密码体制。否则称为双密钥密码体制。进而，如果在计算上Kd不能由Ke推出，这样将Ke公开也不会损害Kd的安全，于是便可将Ke公开。这种密码体制称为公开密钥密码体制，简称为公钥密码体制。2、密码分析者攻击密码的方法主要有三种：穷举攻击、数学分析攻击、基于物理的攻击；2.2.2DES算法1、 DES算法的设计目标是，用于加密保护静态存储和传输信道中的数据，安全使用10-15年。2、 DES是一种分组密码。明文、密文和密钥的分组长度都是64位。3、 3DES密钥长度是168位，完全能够抵抗穷举攻击。3DES的根本缺点在于用软件实现该算法的速度比较慢。第三章：3.1计算机网络基本知识1、 由于Internet规模太大，所以常把它划分成许多较小的自治系统(AutonomousSystemAS).通常把自治系统内部的路由协议称为内部网关协议，自治系统之间的协议称为外部网关协议。常见的内部网关协议有RIP协议和OSPF协议；外部网关协议有BGP协议。2、 路由信息协议RIP(RoutingInformationProtocol)是一种分布式的基于距离向量的路由选择协议，它位于应用层，该协议所定义的距离就是经过的路由器的数目，距离最短的路由就是最好的路由。它允许一条路径最多只能包含15个路由器。3、 开放最短路径有限协议OSPF(OpenShortestPathFirst)是分布式的链路状态路由协议。链路在这里代表该路由器和哪些路由器是相邻的，即通过一个网络是可以连通的。链路状态说明了该通路的连通状态以及距离、时延、带宽等参数。在该协议中，只有当链路状态发生变化时，路由器采用洪范法向所有路由器发送路由信息。4、 外部网关协议BGP(BorderGatewayProtocol)是不同自治系统的路由器之间的交换路由信息的协议。由于资质系统之间的路由选择，要寻找最佳路由是不现实的。因此，BGP只是尽力寻找一条能够达目的网络的比较好的路由。5、 因特网组管理协议(InternetGroupManagementProtocol,IGMP)是在多播环境下使用的协议。IGMP使用IP数据报传递其豹纹，同时它也向IP提供服务。6、 ARP协议：根据IP地址获取MAC地址；RARP协议：根据MAC地址获取IP地址；7、 Internet控制报文协议ICMP(InternetControlMessageProtocol):ICMP协议允许路由器报告差错情况和提供有关异常情况的报告。8、 TCP是面向连接的协议，提供可靠的、全双工的、面向字节流的，端到端的服务。9、 TCP使用三次握手来建立连接，大大增强了可靠性。具体过程如下：S¥N-I.上号X淬寇2求一一 …••…—— —SYN-I,ACK-I.，味岭一"醐认序号-X+卜— 跚AACK-1..哼号-XT.瞒认序写fF堕/ - 〜图.%17TCP-.次握手连接建立过港TCP连接释放机制TCP的释放分为：半关闭和全关闭两个阶段。半关闭阶段是当A没有数据再向B发送时，A向B发出释放连接请求，B收到后向A发回确认。这时A向B的TCP连接就关闭了。但B仍可以继续向A发送数据。当B也没有数据向A发送时，这时B就向A发出释放连接的请求，同样，A收到后向B发回确认。至此为止B向A的TCP连接也关闭了。当B确实收到来自A的确认后，就进入了全关闭状态。如图所示。A土机 3主机FlN=l.序写X再放连接清茨 ——，ACK-I.序号Y.确认序号-X+1*-一 褊认l'TM=l,ACK-I.序耳=Y,撕认.号=X+!— 释放连接请求ACK=L.序号"-Xi:■呻认序号-Yi!确认.一―•—一.―一...— . 图3-18TCF释放连接的过程10、TCP的拥塞控制主要有以下四种方法：慢开始、拥塞避免、快重传和快恢复。为了防止cwnd增长过大引起网络拥塞，还需设置一个慢开始门限ssthresh状态变量。ssthresh的用法如下：当cwnd<ssthresh时，使用慢开始算法。当cwnd>ssthresh时，改用拥塞避免算法。当cwnd=ssthresh时，慢开始与拥塞避免算法任意。

慢开始 慢开始图5点5慢升始和拥塞避免算法的实现举例快重传配合使用的还有快恢复算法，有以下两个要点：当发送方连续收到三个重复确认时，就执行“乘法减小”算法，把ssthresh门限减半。但是接下去并不执行慢开始算法。考虑到如果网络出现拥塞的话就不会收到好几个重复的确认，所以发送方现在认为网络可能没有出现拥塞。所以此时不执行慢开始算法，而是将cwnd设置为ssthresh的大小，然后执行拥塞避免算法。如下图：快情垣蚩开始融塞避免“加法崩火'S5-27从连壤收到三个重度的确认转入拥塞避免的初始iSi—16新的顾嵌由便一12快情垣蚩开始融塞避免“加法崩火'S5-27从连壤收到三个重度的确认转入拥塞避免的初始iSi—16新的顾嵌由便一12慢开始0,佬输轮魏cwnd收到3个垂复的通认执行快重住算拄拥塞避色 aTCP髭皿版本法堆大：TCPTaLoe烦本旧废弃不用）3.2.3暗网1、暗网是指那些存储在网络数据库里，不能通过超链接访问而需要通过动态网页技术访问的资源集合，不属于那些可以被标准搜索引擎索引的表面网络。3.3.2网络监听1、网卡有几种接受数据帧的状态，如unicast,broadcast,multicast,promiscU§Usunicast是指网卡在工作时接收目的地址是本机硬件地址的数据帧。Broadcast是指接收所有类型为广播报文的数据帧。Multicast是指接收特定的组播报文。Promiscuous即混杂模式，是指对报文中的目的硬件地址不加任何检查，全部接收的工作模式。2、 Sniffer的工作前提是：网络必须是共享以太网。把本机上的网卡设置成混杂模式；3、 检测网络监听的手段：反应时间、DNS测试、利用ping进行监测、利用ARP数据包进行监测。3.3.3口令破解1、常用的一些破解工具：InsideproSAMInside可以有效破解windows口令，QQ杀手2008版可以破解QQ密码，Cain可以破解屏保AccessDatebase和CiscoPIXFirewall等口令，MessenPass可以恢复出MSN和YahooMessenger等的口令。3.3.4拒绝服务攻击1、 要对服务器实施拒绝服务攻击，实质上的方式就是两个：服务器的缓冲区满，不接受新的请求、使用ip欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。2、 SYNFlooding（同步包风暴）攻击：它是通过创建大量的“半连接”来进行攻击，任何连接收到Internet上并提供基于TCP的网络服务的主机和路由器都可能成为这种攻击的目标。3、 利用处理程序错误的拒绝服务攻击，这些攻击包括PingofDeath攻击、Teardrop攻击、Winnuke攻击、以及Land攻击等。4、 Teardrop攻击就是利用IP包的分段/重组技术在系统实现中的一个错误，即在组装IP包时只检查了每段数据是否过长，而没有检查包中有效数据的长度是否过小。5、 Winnuke攻击针对Windows系统上一般都开放的139端口，这个端口由netBIOS使用。只要往该端口发送1字节TCPOOB数据，就可以使Windows系统出现蓝屏错误，并且网络功能完全瘫痪。除非重新启动，否则不能再用。6、 Land攻击：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。3.3.8网络欺骗1、 ARP原理：某机器A要向主机C发送报文，会查询本地的ARP缓存表，找到C的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播一个ARP请求报文（携带主句A的IP地址Ia----物理地址AA:AA:AA:AA），请求IP地址为Ic的主机C回答物理地址Pc,网上所有的主机包括C都收到ARP请求，但只有主机C识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有C的MAC地址CC:CC:CC:CC，A接收到C的应答后，就会更新本地的ARP缓存。接着使用这个Mac地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。2、 ARP欺骗：ARP协议并不只是在发送了ARP请求后才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，局域网中的机器B首先攻击C使C瘫痪，然后向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经变成B的了。由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。如此就造成A传送给C的数据实际上是传送到B。这就是一个简单的ARP欺骗，如图：

MAC-aMAC-3、 ARP欺骗的防范：（1）在winxp下输入命令：arp-sgate-way-ipgate-way-mac固话arp表，阻止arp欺骗（2）使用arp服务器。通过该服务器查找自己的ARP转化表来响应其他机器的Arp广播。（3）采用双向绑定的方法来解决并组织ARP欺骗°（4）ARP防护软件一ARPGuard.4、 DNS欺骗原理：DNS欺骗首先是冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。5、 IP攻击的步骤：（1）首先使主机hostb的网络暂时瘫痪，以免对攻击造成干扰；（2）然后连接到目标机hosta的某个端口来猜测ISN基值和增加规律；（3）接下来把源地址伪装成主机hostb,发送带有SYN标志的数据段请求连接；（4）然后等待目标机hosta发送SYN+ACK包给已经瘫痪的主机，因为现在看不到这个包；（5）最后再次伪装成主机hostb向目标主机hosta发送的ACK，此时发送的数据段带有预测的目标机ISN+1，（6）连接简历，发送命令请求（3・4网络安全防御3.4.1防火墙1、 防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面或层次的内容：服务控制、方向控制、用户控制、行为控制。2、 防火墙可以实现的功能如下：（1）防火墙设立了单一阻塞点，它使得未授权的用户无法进入网络，禁止了潜在的易受攻击的服务进入或是离开网络，同时防止了多种形式的IP欺骗和路由攻击。（2）防火墙提供了一个监控安全事件的地点。对于安全问题的检查和警报可以在防火墙系统上实施。（3）防火墙还可以提供一些其他功能，比如地址转换器，它把私有地址映射为Internet地址，又如网络管理功能，它用来审查和记录Internet的使用。（4）防火墙可以作为IPSec的平台。防火墙可以用来实现虚拟专用网络。3、 按照防火墙实现的技术不同可以分为：数据包过滤、应用层网关、电路层网关。4、 包过滤技术可能存在的攻击有：IP地址欺骗、源路由攻击、微分片攻击；5、 状态检查技术是包过滤技术的一种增强，其主要思想就是利用防火墙已经验证通过的连接，建立一个临时的状态表。状态表的生成过程是：对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，省策划生成状态表。

6、防火墙的经典体系结构主要有三种形式：双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构；3.4.2入侵检测与防护1、 入侵检测与防护的技术主要有两种：入侵检测系统(InstrusionDetectionSystem,IDS)和入侵防护系统(InstrusionPreventionSystem,IPS)2、 入侵检测的基本模型是PDR模型，其思想是防护时间大于检测时间和响应时间。3、 针对静态的系统安全模型提出了“动态安全模型(P2DR)”.P2DR模型包含4个主要部分：(1^ElectionI防护:Protection')应\(Responsej/图3-57P2DR模型安全策略：P心底刃Policy(安全策略^Protection(1^ElectionI防护:Protection')应\(Responsej/图3-57P2DR模型安全策略：P心底刃4、 入侵检测技术主要分为两大类型：异常入侵检测和误用入侵检测。5、入侵检测系统的体系结构大致可以分为 基于主机型(Host-Based)、基于网络型(Network-Based)和基于主体型(Agent-Based)三种。6、 基于主机入侵检测系统的检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。7、 基于网络的入侵检测系统是根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵，如Netstat检测就是基于网络型的。8、 基于主体的入侵检测系统主要的方法是采用相互独立运行的进程组(称为自治主体)分别负责检测，通过训练这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来，并将检测结果传送到检测中心。9、 异常检测的方法有统计方法、预测模式生成、专家系统、神经网络、用户意图识别、数据挖掘和计算机免疫学方法等。10、 误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类，然后手工的编写相应的检测规则和特征模型。11、 Snort的配置有3个主要模式：嗅探(Sniffer)、包记录(PacketLogger)和网络入侵检测(NetworkInstrusionDetection).嗅探模式主要是读取网络上的数据包并在控制台上用数据流不断地显示出来；包记录模式把数据包记录在磁带上；网络入侵检测模式是最复杂最难配置的，它可以分析网流量与用户定义的规则设置进行匹配然后根据结果指行相应的操作。3.4.3虚拟专用网络VPN1、 VPN架构中采用了多种安全机制，如隧道技术(Tunneling)、加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等。2、 VPN可以通过ISAKMP/IKE/Oakley协商确定可选的数据加密算法，其中包括DES(数据加密标准)，3DES(三重数据加密标准)和AES(高级加密标准)等。3、 DES该密码用56位的密钥对64位的数据块进行加密。当被加密的数据大于64位时，需要把加密的数据分割成多个64位的数据块；当被加密数据不足64位时，需要把它填充到64位。为了增强安全性，一般使用3DES。4、 三种最常见也是最为广泛实现的隧道技术是：点对点隧道协议(PPTP，Point-toPointTunnelingProtocoD，第2层隧道协议(L2Tp,Layer2TunnelingProtocol),IP安全协议(IPSec)o除了这三种技术以外还有通用路由封装(GRE,GenericRouteEncapsulation)、L2F以及SOCK协议等。5、 IPSec是一个标准的第三层安全协议，是一个协议包。它工作在七层OSI协议中的网络层，用于保护IP数据包，由于工作在网络层，因此可以用于两台主机之间、网络安全网关之间或主机与网关之间爱你。其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。6、 IPSec的工作主要有数据验证(Authentication),数据完整(Integrity)和信任(Confidenticality).7、 目前IPSec协议可以采用两种方法来对数据提供加密和认证：ESP(EncapsulatingSecurityPayload)协议和AH(AuthenticationHeader)协议。8、 三种协议的比较，如下图所示：表3-1。三种主要VPN隧道协漠比岐协谀迷授PPTPLJTPJPSm洞靖模式C/SC/S主机对主机的亦等蟆式使用方式通过隧道逃行远程操作通过隧道进行近程操作Lntranet”BxUratLet利通过隧道进行远程操作数据辩路层散据鼓路层嚅协议支持IP、IPX等IP、IPX等IIP安全加密无泳准(通常与IPS既如组建VFN,所采用的加密技术也是由IPSec协议提供的*参考IPSet的扯密技术，MPPE加密技木DES.租3DES协议选舞PPTPL2TPIPSec用户认证采用PPP切议中拘CIIAP、MSCHAF.MS-CHAPy2等验证方法无标准(通常与IPSec—起组建VPN,所采用的用户身份验证技术也是MIPS睥义议提供的，＞考IPSec的击户认证技犬)可包认证需特殊解决无标准ESP包加密元标准关标准ISAKMP/Oakley,SKIP密钥管理无标准无.椽准IKM隧道服务|单个点对点隧道,不能同时访问会用网单十点府点隧逍.不能同时访伺公月网 |笏点隋道，同时访问VPN|和公用网3.4.4安全扫描和风险评估1、 TCPSYN扫描。这种方法也叫“半打开扫描(Half-openScanning)”。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接，如果收到一个来自服务器的SYN/ACK应答，那么可以推断该端口处于监听状态。如果收到一个RST/ACK分组则认为该端口不在监听。而客户端不管收到的是什么样的分组，都向服务器发送一个RST/ACK分组，这样并没有建立一个完整的TCP连接，但客户端能够知道服务器某个端口是否开放。该扫描不会在目标系统上产生日志。2、 TCPACK扫描，它可以用来判断防火墙过滤规则的涉及，测试安全策略的有效性。3、 UDP扫描，此方法往目标端口发送一个UDP分组。如果目标系统返回一个“ICMP端口

不可达”来响应，那么此端口是关闭的。若没有返回该响应，则认为此端口是打开的oUDP是无连接不可靠的，其准确性将受到外界的干扰。4、我国提出了自己的动态安全模型----WPDRRC模型。即W预警（Warning）；C（Counterattack）就是反击。PDRR即为PDRR模型中出现的保护、检测、反应、恢复四个环节。图3-66WPDRRC模型的二大要素关系图5、风险评估工具的比较：表貌合风脸评怙与管理工具对照表T具名称COBR.4RA1CRAMM(^RISKBDSS国家组既AmericaIJSI/BntainCCTA/BritaiaPaHsadt/AinjcriciiTheTntegratedRiskManagcmentGmup，American体系结构客户机/.眼名器模式单机版单机版单机版单机版名称COBRARACRAMM@RISK果用方法育家系统1过程式算法过程式算法度彖系统"1庵家系统IS量%定定算定性r定最黠合定性，定量结定性r定量结定性，定量靖合定性/定最靖合数推吴集形式调查文件|唳过程调查文件调查问卷对使.片人员的要求不溢要和’风险评估的专业知讥依靠评估人员的知识与经验依靠评估人员的R俱&经验不需要有风险评估的专业知识不需要有风险评咕的专业箱1很络果输出形式法果报告：风险等基于控纽措施风险等级与控牯措施（基F0S7799提供的控制措施）风险等级与控制措施（基于BS7799提供的控制措决策支持信息安全防护措施列表3.4.5安全协议1、 SSL协议以对称密码技术和公开密码技术相结合，提供了如下三种基本安全服务。秘密性：SSL协议能够在客户端和服务端之间建立起一个安全通道，所有消息都经过加密处理以后进行传输，网络的非法黑客无法窃取。完整性：SSL利用密码算法和HASH函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户端之间的信息受到破坏。认证性：利用证书技术和可信的第三方认证，可以让客户端和服务器相互识别对方的身份。2、 PGP（PrettyGoodPrivacy）是美国PhilZimmermann研究出来的一个基于RSA公钥加密体系的邮件加密软件。PGP可以在电子邮件和文件储存应用中提供保密和认证服务。PGP的基本原理是：先用对称密钥系统加密传输的信息，再将该对称加密密钥以接收方公开密钥系统的公钥加密，组成电子信封，并将此密钥交给公正的第三者保管，然后将此电子信封传给接收方。接收方必须先以自己的私钥将电子信封拆封，以获得对称密钥解密密钥，再以该对称密钥解密密钥解出真正的信息，兼顾方便与效率。3、 SSH协议有三部分组成：传输层协议、用户认证协议、连接协议。传输层协议（SSH-TRANS）负责进行服务器认证、数据机密性、信息完整性等方面的保护，并提供作为可选项的数据压缩功能，以便提高传输速度。用户认证协议（SSH-USERAUTH）是简历在传输层协议智商的。连接协议（SSH-CONNECT）是运行在SSH传输层协议和用户认证协议之上，提供交互式登录会话（即Shell会话），远程命令的执行，转交TCP/IP连接以及转交X11连接。3.4.6网络蜜罐技术1、蜜罐有四种不同的配置：诱骗服务、弱化系统、强化系统、用户模式服务器3.4.7匿名网络（Tor）Tor是一个能够抵御流量分析的软件项目。Tor将通信信息通过一个由遍及全球的志愿者运行的中继（relay）所组成的分布式网络转发，以此来保护信息的安全。Tor在传输数据时封包不但经过加密，传输过程中会经过哪些路由也是随机的，因此不但很难追踪，也不易得知通信的内容。3.4.8网络备份1、 在网络备份中比较常见的存储架构有NAS和SAN。NAS（NetworkAttachedStorage）通常译为“网络附加存储”或“网络连接存储”意思是连接在网络上的存储设备。NAS是适应信息存储和共享的应用需求而产生的网络存储技术，因其具备简便高效的特点而得到广泛的应用。NAS是利用现有的网络环境，将网络中某一台计算机作为中心的备份方案。通过部署专业的备份软件对网络中心的计算机进行集中备份。SAN（StorageAreaNetwork）通常译为“存储区域网络”。它是一种在服务器和外部存储资源或独立的存储资源之间实现高速可靠访问的专用网络。2、 局域网安全防范策略有：（1）物理安全策略；（2）划分VLAN防止网络侦听；（3）网络分段；（4）以交换机代替共享式集线器；（5）访问控制策略；（6）使用数字签名；（7）用户管理策略；（8）使用代理服务器；（9）防火墙控制；（10）入侵检测系统；（11）定期进行漏洞安全扫描；（12）建立完善的网络安全应急响应机制；（13）使用VPN；3・5无线网络安全1、 无限公开密钥体系WPKI,并不是一个全新的PKI标准，它是传统的PKI技术应用于无限环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥，通过第三方的可信任机构一一认证中M(CA)验证用户的身份，从而实现信息的安全传输。2、 WPA加密方式目前有四种认证方式：WPA、WPA-PSK、WPA2、WPA2-PSK.采用的加密算法有二种：AES和TKIP第四章:信息系统安全基础第四章:信息系统安全基础4.2操作系统安全4.2.1操作系统安全概述1、操作系统安全性的主要目标具体包括如下几个方面：身份认证机制：实施强认证方法，比如口令、数字证书等；访问控制机制：实施细粒度的用户访问控制，细化访问权限等；数据保密性：对关键信息，数据要严加保密；数据完整性：防止数据系统被恶意代码破坏，对关键信息进行数字签名技术保护；系统的可用性：操作系统要加强应对攻击的能力，比如防病毒，防缓冲区一处攻击等。审计：可以在一定程度上阻止对计算机系统的威胁，并对系统检测，故障恢复方面发回重要作用。4.2.2操作系统面临的安全威胁4.2.4操作系统的安全机制1、 操作系统的安全机制就是指在操作系统中利用某种技术、某些软件来实施一个或多个安全服务的过程，主要包括，标识与鉴别机制、访问控制机制、最小特权机制、可信通路机制、安全审计机制、以及存储保护、运行保护和io保护机制。2、 一个安全的身份鉴别协议至少满足以下两个条件：鉴别者A能向验证者B证明他的确是A；在鉴别者A向验证者提供了证明他的身份的信息后，验证者B不能取得A的任何有用的信息，即B不能模仿A向第三方证明他是A。目前已设计出了许多满足上述条件的鉴别协议，主要有以下几类：一次一密机制；X.509鉴别协议；Kerberos鉴别协议；零知识身份鉴别等。3、 访问控制一般包括三种类型：自主访问控制、强制访问控制和基于角色的访问控制。4、 强制访问控制包括基于规则的访问控制和管理指定型访问控制。5、 安全级别一般有四级：绝密级(topSecret)，秘密级(Secret)，机密级(Confidential)，无级别级(Unclassified)；其中T>S>C>U6、 常见的加密文件系统，如基于Linux系统的CFS(CryptographicFileSystem)＞TCFS(TransparentCryptographicFileSystem)＞AFS(AndrewFileSystem)＞基于Windows系统的EFS(EncryptingFileSystem)7、 CFS是一个经典的加密文件系统，使用DES来加密文件。CFS客户基于网络文件系统NFS协议运行一个服务器保护程序，可以使用本地或网络文件系统来进行存储。8、 TCFS是一个受CFS启发的Linux软件包。TCFS对数据进行加密时，对每个文件使用不同的“文件密钥”进行加密，对一个文件的不同部分使用不同的“块密钥”进行加密，这就保证了用户无法通过比较两个文件来判断它们的明文是否相同，也无法判断同一个文件的不同部分的明文是否相同。9、 AFS是一个分布式的加密文件系统，它通过一个统一的访问接口把多个服务器连接起来，形成一个庞大的数据存储空间。EFS是一个由微软Windows2000系列开始引入的加密文件系统，它提供的透明的文件加密服务，以公共密钥为基础。4.2.5操作系统安全增强的实现方法1、 安全操作系统的设计优先考虑的是隔离性、完整性和可验证性三个基本原则。2、 目前访问控制相关研究主要集中在三个方面：访问控制策略，策略描述与验证，策略支持结构。4.3数据库系统的安全4.3.1数据库安全的概念1、 数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。保密性是指保护数据库中的数据不被破坏和删除；一致性是指确保数据库中的数据满足实体完整性，参照完整性和用户定义完整性要求;可用性指确保数据库中的数据不因认为和自然的原因对授权用户不可用。2、 一般而言，数据库中需要满足的安全策略应该满足以下一些原则：最小特权原则、最大共享原则、开放系统原则和封闭系统原则。3、 数据库安全策略的实施中通常包括以下这些方法：子模式法、SQL修改查询法、集合法、请求排序法；4.4恶意代码4.4.1恶意代码定义与分类1、恶意代码(MaliciousCode，有时也称为Malware,即恶意软件)是指一切旨在破坏计算机或者网络系统可靠性、可用性、安全性和数据完整性或者小号系统资源的恶意程序。4.4.2恶意代码的命名规则1、恶意代码的一般命名格式为：＜恶意代码前缀＞.＜恶意代码名称＞.＜恶意代码后缀〉恶意代码前缀是指一个恶意代码的种类，比如常见的木马程序的前缀Trojan,网络蠕虫的前缀是Worm,后门的前缀为BackDoor，破坏性程序病毒的前缀是Harm,玩笑病毒的前缀是Joke,捆绑机病毒Binder2、卡巴斯基在对蠕虫进行命名分类时，主要将其划分为：net-Worm/email-Worm/IM-Worm/IRC-Wrom/P2P-Worm等，在威胁程度上，net-Worm>Email-worm>IM-Worm>IRC-Worm/P2P-Worm.4.4.5特洛伊木马1、 木马的常见功能有：主机信息管理、文件系统管理、屏幕监视和控制、密码截获、注册表管理、服务管理、进程管理、键盘记录、Shell控制等功能。2、 为了清除恶意代码，需要按照如下步骤进行：（1）停止恶意代码的所有活动行为（包括停止进程、服务、卸载DLL等）。（2）删除恶意代码新建的所有文件备份（包括可执行文件文件、DLL文件、驱动程序等）。（3）清除恶意代码写入的所有启动选项。（4）对被计算机病毒感染的文件，还需要对被感染文件进行病毒清除等。4.4.9典型反病毒技术1、目前典型的反病毒技术有：特征码技术、虚拟机技术、启发扫描技术、行为监控技术、主动防御技术、云查杀技术等。4.5计算机取证1、 电子证据必须是可信、准确、完整、符合法律法规的，是法庭所能接受的。同时，电子证据与传统证据不同，具有高科技性、无形性和易破坏性等特点。2、 针对智能卡有下面几种常见的攻击手段：物理篡改：想办法使卡中的集成电路暴露出来，用微探针在芯片表面，直接读出存储器中的内容。时钟抖动：让时钟工作在正常的频率范围，但是在某一精确计算的时间间隔内突然注入高频率的脉冲，导致处理器丢失一两条指令。超范围电压探测：与超范围时钟频率探测类似，通过调整电压，使处理器出错。3、 智能手机的软件操作系统有：WindowsCE、PalmOS、PocketPC、WindowsPhone和IOS，安卓等。第六章：网络安全技术与产品6.1网络安全需求分析与基本设计1、网络安全体系结构则是由三个安全单元组成的，分别是安全服务，协议层次和系统单元。网络安全体系结构示意图如下：

[Z一系统电元鬼[Z一系统电元鬼64网络安仝体系结殉忒虑国安全胴务2、 安全服务主要包括了六个方面：认证、访问控制、数据完整性、数据保密性、抗抵赖性、审计和可用性。3、 网络安全防护系统的设计与实现应按照以下原则：最小权限原则、纵深防御原则、防御多样性原则、防御整体性原则、安全性与代价平衡原则、网络资源的等级性原则。6・2网络安全产品的配置与使用1、 网络流量监测技术主要包括：基于数据采集探针的流量监控技术、基于SNMP(SimpleNetworkManagementProtocol,SNMP)/RMON(RemoteNetworkMonitoring,RMON)的流量监控技术，基于Netflow/sFlow的流量监控技术以及基于实时抓包的流量监控技术等这3种常用的技术。2、 数据采集探针是专门用于获取网络链路流量数据的硬件设备。按实现方式可以分为软件架构和硬件架构。使用时是通过交换机流量镜像端口或直接将其串接在待观测的链路上，对链路上所有的数据报文进行处理，提取流量监测所需的协议字段深圳全部报文内容。3、 与其他3种方式相比，基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。但硬件探针的监测方式受限于探针的接口速率，一般只针对1000Mb以下的速率，而且探针方式重点是单条链路的流量分析。4、 深度流检测技术主要分为三部分：流特征选择、流特征提取、分类器。常见的流特征有：流中数据包的个数、流中数据包的总大小；流的持续时间；在一定的流深度，流中包的最小、最大长度及均方差；在一定的流深度，流中最小、最大时间及均方差；在一定的流深度，某方向上的数据包总和。5、 常见的特征选择算法有BIF(BestIndividualFeature,BIF)算法、MIFS(MutualInformationFeatureSelection,MIFS)算法、MIFS-U(MutualInformationFeatureSelection-Uncertainty,MIFS-U)算法、FCBF(FastCorrelation-basedFilter,FCBF)算法等，用于选择影响因子最大的流特征，便于之后的攻击流量识别。6・3网络安全风险评估实施1、 网络安全风险评估的原则有：标准性原则、关键业务原则、可控性原则、最小影响原则；2、 一般将风险评估实施划分为评估准备、风险要素识别、风险分析与风险处置四个阶段；3、 常见的被动攻击包括：侦察、嗅探、监听、流量分析、口令截获等。4、 常见的邻近攻击有偷取磁盘后又放回，偷窥屏幕信息，收集作废的打印纸，房间窃听，毁坏通信线路。5、 分发攻击是指在软件和硬件的开发、生产、运输和安装阶段，攻击者恶意修改设计、配置等行为。常见的包括：利用制造商在设备上设置隐藏功能，在产品分发、安装时修改软硬件配置，在设备和系统维护升级过程中修改软硬件配置等。6、 威胁赋值分为很高、高、中等、低、很低5个级别，级别越高表示威胁发生的可能性越高。7、 脆弱性识别所采用的方法主要有：文档查阅、问卷调查、人工核查、工具检测、渗透测试等。8、 风险处置方式一般包括接收、消减、转移、规避等。安全整改是风险处置中常用的风险消减方法。风险评估序提出安全整改建议。9、 被评估组织包括：单位信息安全主管领导、相关业务部门主管人员、信息技术部门主管人员、参与评估活动的主要人员等。6・4网络安全防护技术的应用1、 半连接(SYN)扫描是端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一指定端口简历连接时候只完成了前两次握手，在第三步时，扫描主机中断了本次连接，使连接没有完全建立起来，这样的端口扫描称为半连接扫描，也称为间接扫描。现有的半连接扫描有TCPSYN扫描和IPID头dumb扫描等。2、 SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的继龙也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。3、 FIN秘密扫描就是向它的目的地一个根本不存在的连接发送FIN信息，如果这项服务没有开，那么目的地会响应一条错误信息，但如果是有这项服务，那么它将忽略这条信息。4、 VPN作为一种组网技术的概念，有三种应用方式：远程访问虚拟专网(AccessVPN)、企业内部虚拟专网(IntranetVPN)、扩展的企业内部虚拟专网(ExtranetVPN)O5、 目前，VPN主要采用四种技术来保证安全，这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。其中，隧道技术是VPN的基本技术。6、 基于第二层隧道协议的VPN也就是OSI模型中的数据链路层的安全协议。从软件方面考虑当前在此层提供安全隧道技术的安全协议主要有：PPTP和L2P和L2TPo7、 异地备份，通过互联网TCP/IP协议，将生产中心的数据备份到异地。备份时要注意“一个三”和“三个不原则”，必须备份到300公里以外，并且不能在同一地震带，不能在同地电网，不能在同一江河流域。最好是能够建立其“两地三中心”的模式，既做同城备份也做异地备份，这样数据的安全性会高得多。

第七章：信息系统安全工程7.1访问控制1、 彩虹表可以看成是一种非常有效，但有损耗的压缩散列查找表的实现算法。它采用时空折中思路，引入hash链的每一步的使用不同的还原函数并取出了辨识点的思想。其基本思路为：假设有一种口令哈希函数H和一个有限口令集？，目标是预先计算一个数据结构，对于任意的哈希函数输出h/r/