|
|
1、网络信息安全基本属性
① 机密性:网络信息不泄露给非授权的用户、实体/程序,能防止非授权者获取信息
② 完整性:网络信息/系统未经授权不能更改
③ 可用性:合法许可的用户能及时获取网络信息/服务
④ 抗抵赖性:防止网络信息系统相关用户否认其活动行为的特性
⑤ 可控性:网络信息系统责任主体对其具有管理、支配能力的属性,能根据授权规则对系统进行有效掌握和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标
2、网络信息安全功能
① 防御:采取各种手段和措施,使得网络系统具备阻止、抵御各种已知网络安全威胁的功能
② 检测:采取各种手段和措施,检测、发现各种已知/未知的网络安全威胁的功能
③ 应急:采取各种手段和措施,针对网络系统中的突发事件,具备及时响应和处置网络攻击的功能
④ 恢复:采取各种手段和措施,针对已经发生的网络灾害事件,具备恢复网络系统运行的功能
3、网络安全等级保护主要工作
① 定级
② 备案
③ 建设整改
④ 等级测评
⑤ 运营维护
4、网络攻击一般过程
① 隐藏攻击源
② 收集攻击目标信息
③ 挖掘漏洞信息
④ 获取目标访问权限
⑤ 隐蔽攻击行为
⑥ 实施攻击
⑦ 开辟后门
⑧ 清除攻击痕迹
5、密码学安全性分析一般过程
① 唯密文攻击:只拥有一个/多个用同一个密钥加密的密文
② 已知明文攻击:仅知道当前密钥下的一些明文及所对应的密文
③ 选择明文攻击:能得到当前密钥下自己选定的明文所对应的密文
④ 密文验证攻击:对于任何选定的密文,能得到该密文“是否合法”的判断
⑤ 选择密文攻击:除挑战密文外,能得到任何选定的密文所对应的明文
6、国产密码算法类型
| SM1、SM4 | 对称加密 | 分组长度和密钥长度128bit | | SM2 | 非对称加密 | 公钥加密、密钥交换、数字签名算法 | | SM3 | 杂凑算法 | 杂凑值256bit | | SM9 | 标识密码算法 |
7、数字签名应具备的条件
① 真实性:接受者能验证签名,任何其他人不得伪造签名
② 非否认:签名者事后不能否认自己的签名(抗抵赖)
③ 可鉴别:当双方关于签名的真伪发生争执时,第三方能解决双方之间发生的争执
8、SSH安全应用协议组成部分
① SSH传输层协议:提供算法协商和密钥交换,实现服务器的认证,最终形成一个加密的安全连接,该安全连接提供完整性、保密性和压缩选项服务
② SSH用户认证协议:利用传输层的服务来建立连接,使用传统的口令认证、公钥认证、主机认证等多种机制认证用户
③ SSH连接协议:在前两个协议的基础上,利用已建立的认证连接,将其分解为多种不同的并发逻辑通道,支持注册会话隧道和TCP转发,并能为这些通道提供流控服务和通道参数协商机制
9、BLP机密性模型特征
① 简单安全特性:下读。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的范畴集合,即主体只能向下读,不能向上读
② *特性:上写。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的范畴集合,即主体只能向上写,不能向下写
10、BiBa完整性模型特性
① 简单安全特性:上读。主体对客体进行修改访问的必要条件是主体的完整性级别小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读
② *特性:下写。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写
③ 调用特性:向下调用。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体
11、三个信息保障模型特性
PDRR:Protection Detection Recovery Response
P2DR:Policy Protection Detection Response
WPDRRC:Warning Protection Detection Response Recovery Counterattack
12、能力成熟度模型CMM的五个等级
① 1级-非正式执行:具备随机、无序、被动的过程
② 2级-计划跟踪:具备主动、非体系化的过程
③ 3级-充分定义:具备正式的、规范的过程
④ 4级-量化控制:具备可量化的过程
⑤ 5级-持续优化:具备可持续优化的过程
级别越大(往下),能力成熟度越高
13、系统安全工程能力成熟度模型SSE-CMM的三个分类
① 工程过程类 Engineering
② 组织过程类 Organization
③ 项目过程类 Project
14、数据安全能力成熟度模型的评估维度
① 组织建设:数据安全组织机构的架构建立、职责分配和沟通协作
② 制度流程:组织机构关键数据安全领域的制度规范和流程落地建设
③ 技术工具:通过技术手段的产品工具固化安全要求/自动化实现安全工作
④ 人员能力:执行数据安全工作的人员的意识及专业能力
15、软件安全能力成熟度模型的五个级别
① CMM1级:补丁修补
② CMM2级:渗透测试、安全代码评审
③ CMM3级:漏洞评估、代码分析、安全编码标准
④ CMM4级:软件安全风险识别、SDLC实施不同安全检查点
⑤ CMM5级:改进软件安全风险覆盖率、评估安全差距
16、网络生存模型3R策略
① 抵抗 Resistance
② 识别 Recognition
③ 回复 Recovery
17、纵深防御模型的四道防线
① 安全保护:能阻止对网络的入侵和危害
② 安全监测:及时发现入侵和破坏
③ 实时响应:当攻击发生时维持网络“打不垮”
④ 恢复:使网络在遭受攻击后能以最快的速度“起死回生”,最大限度地降低安全事件带来的损失
18、网络安全组织结构的四个层次
① 领导层
② 管理层
③ 执行层
④ 外部协作层
19、网络安全技术的四个类型
① 保护
② 监测
③ 响应
④ 恢复
20、 智能交通网络安全运营体系的三个要素
① 运营管理
② 网络安全事件周期性管理
③ 工具
21、网络安全等级定级对象的五个等级
① 用户自主保护级
② 系统保护审计级
③ 安全标记保护级
④ 结构化保护级
⑤ 访问验证保护级
22、智慧城市的五个层次
① 物联感知层
② 网络通信层
③ 计算与存储层
④ 数据及服务融合层
⑤ 智慧应用层
23、物理安全威胁分类
① 自然安全威胁:地震、洪水、火灾、鼠害、雷电
② 人为安全威胁:盗窃、爆炸、毁坏、硬件攻击
24、计算机机房的安全等级
① A级:严。计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的,对计算机机房的安全由严格的要求,有完善的计算机机房安全措施
② B级:较。计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的,对计算机机房的安全由较严格的要求,有较晚上的计算机机房安全措施
③ C级:基本。不属于A、B级的情况,对计算机机房的安全由基本的要求,有基本的计算机机房安全措施
25、互联网数据中心IDC机房分类
① R1级:99.5%。IDC机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力,机房基础设施和网络系统可制成的IDC业务的可用性不应小于99.5%
② R2级:99.9%。IDC机房的机房基础设施和网络系统应具备冗余能力,机房基础设施和网络系统可制成的IDC业务的可用性不应小于99.9%
③ R3级:99.99%。IDC机房的机房基础设施和网络系统应具备容错能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.99%
26、数据中心规模大小
中小型<3000≤大型<10000≤超大型
① 超大型数据中心:规模大于等于10000个标准机架的数据中心
② 大型数据中心:规模大于等于3000个标准机架小于10000个标准机架的数据中心
③ 中小型数据中心:规模小于3000个标准机架的数据中心
27、认证类型按参与角色分类
① 单向认证:在认证过程中,验证者对声称者进行单方面的鉴别,声称者不需要识别验证者的身份
② 双向认证:在认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认
③ 第三方认证:两个实体在鉴别过程中通过可信的第三方TTP来实现
28、认证原理
① 验证对象:声称者,需鉴别的实体
② 认证协议:验证对象和鉴别实体之间进行认证信息交换所遵从的规则
③ 鉴别实体:验证者,根据验证对象提供的认证依据,给出身份的真实性/属性判断
29、认证技术产品评价指标
① 安全功能要求
② 性能要求
③ 安全保障要求
30、访问控制模型分类及应用
访问控制模型:访问控制机制由一组安全机制构成,可抽象为一个简单的模型,组成要素主要有主体 Subject、参考监视器 Reference Monitor、客体 Object、访问控制数据库、审计库
① 自主访问控制模型DAC、强制访问控制模型MAC、基于角色的访问控制模型RBAC 常用于操作系统、数据库系统的资源访问
② 基于使用的访问控制模型用于隐私保护、敏感信息安全限制、知识产权保护
③ 基于地理位置的访问控制模型用于移动互联网应用授权控制,如打车服务中的地理位置授权使用
④ 基于属性的访问控制是一个新兴的访问控制方法,主要提供分布式网络环境和Web服务的模型访问控制
⑤ 基于行为的访问控制模型主要根据主题的活动行为,提供安全风险的控制,如上网行为的安全管理和电子支付操作控制
⑥基于时态的访问控制模型利用时态作为访问约束条件,增强访问控制细粒度,如手机网络流量包的限时使用
31、访问控制产品4A
① 认证 Authentiction
② 授权 Authorization
③ 账号 Account
④ 审计 Audit
32、防火墙防御体系结构类型
① 基于双宿主主机防火墙
② 基于代理型防火墙
③ 基于屏蔽子网防火墙
33、防火墙部署基本步骤
①根据组织/公司的安全策略要求,将网络划分成若干安全区域
②在安全区域之间设置针对网络通信的访问控制点
③针对不同访问控制点的通信业务需求,指定相应的边界安全策略
④依据控制点的边界安全策略,采用核实的防火墙技术和防范结构
⑤在防火墙上,配置实现对应的网络安全策略
⑥测试验证边界安全策略是否正常执行
⑦ 运行和维护防火墙
34、VPN安全功能主要的安全服务
| 保密性服务 | Confidentality | 防止传输信息被监听 | | 完整性服务 | Integrity | 防暑传输信息被修改 | | 认证服务 | Authentiction | 提供用户和设备的访问认证,防止非法接入 |
35、VPN三种类型
①链路层VPN:实现方式有ATM、Frame Relay、多协议标签交换MPLS
②网络层VPN:实现方式有受控路由过滤、隧道技术
③传输层VPN:通过SSL来实现
36、VPN技术IPSec协议
①认证头 AH :保证IP包的完整性和提供数据源认证
②封装安全有效载荷 ESP :保证IP包的保密性
③密钥交换协议:优点:透明性,安全服务的提供不需要更改应用功能程序
37、VPN技术SSL协议
①握手协议 Handshake Protocol:用于身份鉴别和安全参数协商
②密码规格变更协议 Change Cipher Spec.:用于通知安全参数的变更
③报警协议 Alert Protocol:用于关闭通知和对错误进行报警
④记录层协议 Record Protocol:最底层协议,用于传输数据的分段、压缩、及解压缩、加密及解密、完整性校验等
SSL是两层协议,介于应用层和传输层之间,建立在TCP之上
38、SSL协议三种安全通信服务
①保密性通信
②点对点之间的身份认证
③可靠性通信
39、VPN技术的主要产品特征
①IPSec VPN:工作模式应支持隧道模式、传输模式,其中隧道模型适用于主机和网关实现,传输模式是可选功能,仅用于主机实现。
主要功能包括:随机数生成、密钥协商、安全报文封装、身份鉴别、NAT穿越
主要性能指标:加解密吞吐率、加解密时延、加解密丢包率、每秒新建连接数
②SSL VPN:工作模式分为客户端-服务端模式、网关-网关模式两种
主要功能包括:随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查
主要性能指标:最大并发用户数、最大并发连接数、每秒新建连接数、吞吐率
40、入侵检测系统分类
①基于主机的入侵检测系统 HIDS
②基于网络的入侵检测系统 NIDS
③分布式入侵检测系统 DIDS
41、入侵检测系统组成
①数据采集模块:采集为入侵分析引擎模块提供分析用的数据,包括操作系统的审计日志、应用程序的运行日志和网络数据包等
②入侵分析引擎模块【核心】:依据辅助模块提供的信息(如攻击模式),根据一定的算法对收集的信息进行分析,从中判断是否有入侵行为的出现,并产生入侵报警
③管理配置模块:为其他模块提供配置服务,是IDS系统中的模块与用户的接口
④应急处理模块:发生入侵后,提供紧急响应服务,如关闭网络服务、中断网络连接、启动备份系统等
⑤辅助模块:协助入侵分析引擎模块工作,为它提供相应的信息,如攻击特征库、漏洞信息等
42、入侵检测系统主要指标
①可靠性
②可用性
③可扩展性
④时效性
⑤准确性
⑥安全性
43、入侵检测系统部署基本步骤
①根据组织/攻击的安全策略要求,确定IDS要监测的对象/保护网段
②在监测对象/保护网段,安装IDS探测器,采集网络入侵检测所需要的信息
③针对监测对象/保护网段的安全需求,指定相应的检测策略
④依据检测策略,选用合适的IDS结构类型
⑤在IDS上,配置入侵检测规则
⑥测试验证IDS的安全策略是否正常执行
⑦ 运行维护IDS
44、重大漏洞部署安全事件
| 时间 | | 1988 | Internet蠕虫 | Sendmail及finger漏洞 | | 2000 | 分布式拒绝服务攻击 | TCP/IP协议漏洞 | | 2001 | “红色代码”蠕虫 | 微软Web服务器IIS4.0/5.0中index服务的安全漏洞 | | 2002 | Slammer蠕虫 | 微软MS SQL数据库系统漏洞 | | 2003 | 冲击波蠕虫 | 微软操作系统DCOM RPC缓冲区溢出漏洞 | | 2010 | 震网病毒 | Windows操作系统、WinCC系统漏洞 | | 2017 | Wannacry勒索病毒 | Windows系统的SMB漏洞 |
45、漏洞发布的三种形式
①网站
②电子邮件
③安全论坛
46、漏洞扫描器分类
①主机漏洞扫描器
②网络漏洞扫描器
③专用漏洞扫描器
47、恶意代码作用过程
①入侵系统
②维持/提升已有的权限
③隐蔽
④潜伏
⑤破坏
⑥重复①-⑤
48、数字证书分类
①按类别:个人、机构、设备证书
②按用途:签名、加密证书
49、 通信隐藏技术分类
①端口定制技术
②端口复用技术
③通信加密技术
④隐蔽通道技术
50、恶意代码特性
①隐蔽性
②潜伏性
③传染性
51、计算机病毒特点
①隐蔽性
②潜伏性
③传染性
④破坏性
52、计算机病毒组成
①复制传染部件
②隐藏部件
③破坏部件
53、木马攻击步骤
①寻找攻击目标
②收集目标系统的信息
③将木马植入目标系统
④木马隐藏
⑤攻击意图实现
54、网络蠕虫的功能模块
①探测模块
②传播模块
③蠕虫引擎模块
④负载模块
55、网络蠕虫的3类传播方法
①随机扫描
②顺序扫描
③选择性扫描
56、恶意代码主要技术指标
①恶意代码检测能力
②恶意代码检测准确性
③恶意代码阻断能力
57、可信计算机系统组成
①可信根(TPM安全芯片)
②可信硬件平台
③可信操作系统
④可信应用系统
58、可信计算机可信计算平台的信任根
①可信度量根RTM:一个软件模块
②可信存储跟RTS:可信平台模块TPM芯片、存储根密钥SRK
③可信报告根RTR:可信平台模块TPM芯片、根密钥EK
59、数字水印应用场景
①版权保护
②信息隐藏
③信息溯源
④访问控制
60、隐私保护类型
①身份
②属性
③社交关系
④位置轨迹
61、网络安全风险评估模式
①自评估:网络系统拥有者依靠自身力量,对自有的网络系统进行的风险评估活动
②检查评估:网络安全主管机关/业务主管机关发起,旨在依据已经颁布的安全法规、安全标准、安全管理规定等进行检查评估
③委托评估:网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动
62、网络安全风险分析步骤
①资产识别,对资产价值进行赋值
②威胁识别,描述威胁属性,对威胁出现的频率赋值
③脆弱性识别,对具体资产脆弱性的严重程度赋值
④根据威胁+威胁利用脆弱性的难易程度判断安全事件发生的可能性
⑤根据脆弱性的严重程度+安全事件所作用的资产价值计算安全事件的损失
⑥根据安全事件发生的可能性+安全事件出现后的损失(确定已鉴定资产受到损失所带来的影响),计算安全事件一旦发生对组织的影响=网络安全风险值。
63、网络安全应急响应组织
①公益性
②内部
③商业性
④厂商
64、网络安全事件等级
①特别重大
②重大
③较大
④一般
65、网络应急响应处理流程
①安全事件报警
②安全事件确认
③启动应急预案
④安全事件处理(准备、检测、抑制、根除、恢复、总结)
⑤撰写安全事件报告(人员、日期、途径、类型、范围、记录、损失+影响、处理过程、经验教训)
⑥应急工作总结
66、网络安全取证步骤
①取证现场保护:保护受害系统/设备的完整性,防止证据信息丢失
②识别证据:识别可获取的证据信息类型,应用适当的获取技术工具
③传输证据:将获取的信息安全地传送到取证设备
④保存证据:存储证据,确保存储数据与原始数据一致
⑤分析证据:将有关证据进行关联分析,构造证据链,重现攻击过程
⑥提交证据:向管理者、律师、法院提交证据
67、网络安全事件应急演练分类
①按组织形式划分:桌面、实战
②按内容:单项、综合
③按目的+作用:检验性、示范性、研究性
68、网络安全测评类型分类
①基于测评目标:等级、验收、风险测评
②基于内容:技术、管理安全测评
③基于实施方式:安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试
④基于测评对象保密性:涉密信息系统安全测评、非涉密信息系统安全测评
69、网络安全渗透测试过程
①委托受理:签署“保密协议”
②准备:填写“网络信息系统渗透测试用户授权单”
③实施:形成“网络信息系统渗透测试报告”
④综合评估:向客户发送“网络信息系统渗透测试报告”
⑤结题:填写“客户满意度调查表”
70、网络安全渗透测试类型
①黑盒模型:只需提供测试目标地址,授权测试团队从指定的测试点进行测试
②白盒模型:需提供尽可能详细的测试对象信息,测试团队根据获取的信息,制订特殊的渗透方案,对信息进行高级别的安全测试。适合高级持续威胁者模拟
③灰盒模型:需提供部分测试对象信息,测试团队根据获取的信息,模拟不同级别的威胁者进行渗透。适合手机银行、代码安全测试
71、Windows日志类型
①系统日志 SysEventevt
②应用程序日志 AppEventevt
③安全日志 SecEventevt
72、UNIX/Linux操作系统分层
①硬件层
②系统内核
③应用层
73、UNIX/Linux日志文件
| 日志文件 | 内容 | 日志文件 | 内容 | | lastlog | 记录用户最近成功登陆的时间 | wtmp | 记录每一次用户登陆、注销的历史信息 | | loginlog | 不良的登陆尝试记录 | wtmpx | 扩展的wtmp | | messages | 记录输出到系统主控台+由syslog系统服务程序
产生的信息 | voldlog | 记录使用外部介质出现的错误 | | utmp | 记录当前登陆的每个用户 | sulog | 记录su命令的使用情况 | | utmpx | 扩展的utmp | act | 记录每个用户使用过的
命令 | | xferkig | 记录ftp的存取情况 |
74、UNIX/Linux系统安全加固步骤
①确认系统的安全目标
②安装最小化UNIX/Linux系统
③利用UNIX/Linux系统自身的安全机制,配置安全策略
④在UNIX/Linux系统自身的安全机制不行的情况下,利用第三方软件包来增强系统安全
⑤利用系统安全测试工具,检查UNIX/Linux系统的安全策略的有效性/系统的安全隐患
⑥根据系统安全测试,重新调整安全策略/安全措施
⑦ 在系统安全检查通过后,UNIX/Linux系统开始正常运行
75、数据库存储加密的常用技术方法
①基于文件的数据库加密技术
②基于记录
③基于字段
76、SQL Server数据库
①三种角色类型:固定服务器角色、固定数据库角色、应用角色
②四种备份方案:文件和文件组备份、事务日志备份、完全备份、差异备份
③三种恢复机制模型:简单恢复、完全恢复、批量日志记录恢复
77、IIS安全机制内容
①IIS认证机制
②IIS访问控制
③IIS日志审计
78、计算机安全等级保护框架“一中心、三重防护”原则
①一个中心:安全管理中心
②三重防护:安全计算环境、安全区域边界、安全通信网络
79、Android组成
①Linux内核层
②系统运行库层
③应用程序框架层
④应用程序层
80、iOS组成
①核心操作系统层
②核心服务层
③媒体层
④可触摸层
81、附录
1、公共互联网网络安全突发事件
根据社会影响范围、危害程度,公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件
①特别重大事件
- 全国范围大量互联网用户无法正常上网
- .CN国家顶级域名系统解析效率大幅下降
- 1亿以上互联网用户信息泄露
- 网络病毒在全国范围大面积爆发
- 其他网络安全事件
②重大事件
- 多个省大量互联网用户无法正常上网
- 在全国范围有影响力的网站/平台访问出现严重异常
- 大型域名解析系统访问出现严重异常
- 一千万以上互联网用户信息泄露
- 网络病毒在多个省范围内大面积爆发
- 其他
③较大事件
- 1个省内大量互联网用户无法正常上网
- 省内有影响力的网站/平台访问出现严重异常
- 一百万以上互联网用户信息泄露
- 网络病毒在1个省范围内大面积爆发
- 其他
④一般事件
- 1个地市大量互联网用户无法正常上网
- 十万以上互联网用户信息泄露
- 其他
2、公共互联网网络突发事件预警等级
基础电信企业、域名机构、互联网企业应对本单位网络+系统的运行状况进行密切监测,一旦发生本预案规定的网络安全突发事件,应立即通过电话等方式向部应急办【特别重大/重大】+相关省(自治区、直辖市)通信管理局【较大/一般】报告,不得迟报、谎报、瞒报、漏报
\Delta 建立公共互联网网络突发事件预警制度,按紧急程度、发展态势、可能造成的危害程度:
公共互联网网络突发事件预警等级:高→红【特别重大】→橙【较大】→黄【一般】→蓝→低
1、红【特别重大】:由部应急办报国家网络安全应急办公室统一发布,并报部领导小组
2、橙【较大】:由部应急办统一发布,并报国家网络安全应急办公室、部领导小组
3、黄【一般】、蓝:省(自治区、直辖市)通信管理局在本行政区域内发布,并报部应急办,通报地方相关部门
4、达不到预警级别,又需发布警示信息:部应急办、省(自治区、直辖市)通信管理局发布风险提示信息
3、公共互联网网络安全突发事件应急响应分为四级
I级【特别重大】> II级【重大】> V级【较大】> IV级【一般】
I级:部领导小组
II级:部应急办
V级、IV级:省(自治区、直辖市)通信管理局 |
|
发 帖
发表于 2022-10-8 12:11:14