计算机三级信息安全技术常考知识点总结

之前考三级，发现网上基本上没有信息安全技术的相关知识，于是在这里总结一些。我看完了官网的对应教材，刷了题库。故总结了以下常考的知识点，供大家参考

（分类不是严格按照教材目录分的，我为了方便联想记忆做了分类）

常考点的汇总

密码学：

1. 加密算法一般要能抵抗明文攻击才认为是安全的

2. 密钥体制的安全：依赖于对“密钥”的保密 而不是“算法”保密

3. 基于USB Key 身份认证系统的两种应用模式：基于冲击/响应/挑战/应答的认证模式； 基于PKI体系

4. 删除密钥称为密钥的撤销

5. 分组密码：AES , DES,IDEA
   AESDESIDEA基于排列和置换运算1977年对称分组密码 密钥长度支持：128，192，256 分组长度128分组长度为64位， 去掉奇偶校验位，密钥的有效位数：56
   6.DH算法--密钥交换协议（Diffie-Hellman）共享密钥安全穿越不安全网络的方法

    协商密钥：一个素数p，一个整数g，g是p的原根
   
   例子：
   
     用户A的服务器会选随机数a ，则A的密文：g^a mod p  然后把A发送给B
   
    B随机选b， B=g^b mod p, B发给A
   
    服务器根据AB得到共享密钥=g^(a*b)mod p
   
   7.分组密码工作模式：
   
    电子密码本模式ECB
   
    密码分组链模式CBC
   
    密码反馈模式CFB
   
    输出反馈模式OFB
   
    计数模式CTF
   

    ECB模式是分组密码的基本工作模式，直接利用分组密码对明文的各分组进行加密，求数据的长度是密码分组长度的整数倍

    在CBC模式中，每—分组的加密都依赖于所有前面的分组，它可以明文形式与密文一起传送。

    CBC模式的缺点是要求数据的长度是密码分组长度的整数倍

    OFB模式将一个分组密码转换为一个序列密码，具有普通序列密码的优缺点

   8.哈希函数：MD5 SHA（SHA-1的摘要为160位）

    MD5：128位, SHA：160

    SHA比MD5更安全

    SHA比MD5速度慢了25%

    应用：消息认证码，数字签名，伪随机数生成器，一次性口令

   9.产生认证码的函数：消息加密、消息认证码（MAC）、哈希函数

   10.非对称密码（公钥密码--提供保密和消息认证）包括：RSA ELGamal ECC等

RSAELGamalECC基于 大合数因式分解 难解问题设计基于 离散对数 难解问题设计基于 椭圆曲线离散对数 难解问题设计---选取参数p的规模应大于160位
为了确保RSA密码的安全，应当采用足够大的整数n，普遍认为，n至少应取1024位，最好是2048位。根据反复平方乘，e的二进制表示中应当含有尽量少的1

   11.传统对称密码加密时所使用的两个技巧是:代换和置换

   12.消息认证预防的攻击：伪装、内容修改、顺序修改、计时修改

   13.消息认证验证所收到的消息确实来自真正的发送方且未被篡改的过程是消息

访问控制：

1. 同时具有DAC和MAC的访问控制模型：Chinese wall
2. DAC模型的实现机制是通过访问控制矩阵实施的
3. 自主访问控制模型的实现机制是通过访问控制矩阵实施，行对应于用户，列对应于目标，访问控制列表对应于访问控制矩阵的列
4. 访问控制实现方法可以分为:行政性，逻辑性，技术性，物理性访问控制
5. MAC包含的模型：保密模型BLP 完整模型Biba 混合策模型Chinese wall
6. BLP（不上不下）：不上读，不下写，实现了信息的单向流通
7. Biba：不下读，不上写
8. 强制访问控制系统通过比较主体和客体的安全标签来决定一个主体是否能够访问某个客体
9. 访问控制类型：预防性，纠正性，探查性访问访问控制
10. 访问控制管理的依赖：用户账户管理，操作跟踪，访问权力和许可的管理

恶意漏洞：

1. 端口扫描 也称为服务发现

2. 恶意程序检测或查杀的主要技术：启发式，特征码查杀，基于虚拟机技术的行为判定，主动防御

3. 漏洞利用的核心：利用程序漏洞去执行shellcode

4. “整荡波”病毒：操作系统服务漏洞

5. 数组越界漏洞：构造超出数组范围的索引值

6. 栈溢出：被调用的子函数下一步写入数据的长度，大于栈帧的基址到ESP之间预留的局部变量的空间

7. 数据执行保护--DEP技术：在返回地址设置为不可执行

8. 虚拟机查杀技术：将恶意程序加载运行，从而让恶意程序自动脱壳还原为原有状态，再进行检测查杀

9. 蠕虫：通过网络途径，自动将自身的全部代码或部分代码复制，传播到其他网络中计算机，是完全可运行的程序

10. 漏洞的四个级别：紧急，重要，中，低危

11. 微软公司漏洞分四级时为:第—级:紧急（严重）。第二级:重要。第三级:中危（中等）。第四级:低危（警告）

12. 诱骗攻击：网站挂马、诱骗下载、钓鱼网站、社会工程

13. UAF (Use After Free)类漏洞（引用了已经释放的内存），如内存地址对象破坏性调用的漏洞

14. 恶意行为包括恶意的攻击行为和入侵行为。

15. 攻击者窃取Web用户SessionID后，使用该SessionlD登录进入Web目标账户的攻击方法，被称为会话劫持/会话保持

16. 一般情况下，注入攻击所针对的数据信道包括存储过程和Web应用程序输入参数。

17. 伪装网关ARP欺骗攻击，IP地址改为网关的地址，MAC地址依然为B的地址;

           方法：使用如下arp命令：
    
            arp -d //清除之前的缓存表
    
            arp -s //网关IP 网关MAC
    
            解释：-d表示清空arp缓存，-s表示静态绑定
    

    16.漏洞的定义包含以下三个要素:

    漏洞是计算机系统本身存在的缺陷
    
    漏洞的存在和利用都有—定的环境要求
    
    漏洞存在的本身是没有危害的，只有被攻击者恶意利用，才能给计算机系统带来威胁和损失
    

    17.缓冲区漏洞包含栈溢出漏洞、堆溢出漏洞、单字节溢出漏洞

    18.NIDS是网络入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为， NIDS提供的功能主要有数据的收集，探测器要连接在交换机

    19.网络漏扫工具不能扫软件漏洞

    20.事故响应阶段有：计划，反应和恢复

信息安全系统：

1. 信息安全管理中，工作目标是降低风险，不是零风险
2. 信息安全管理体系是为了审核证据
3. 风险评估分为：自评估和检查评估
4. CC:信息技术安全评估通用标准 （GB 18336）
5. 信息安全系统在管理层通过架构 ISMS安全管理体系实现
6. ISMS：安全风险评估 ---以预防控制为主

•     只参照标准所提及的风险项对组织机构的资产进行风险评估的方法叫基本风险评估
  

•     内容包括：信息安全方针的阐述，控制目标与控制方式描述，程序或其引用
  

•     原则：自主，适应度量，已定义过程，连续过程的基础
  

•     风险控制中，缓解的方法：事件响应计划， 灾难恢复计划， 业务持续性计划
  

•     (应急计划过程开发的第—阶段是业务影响分析)
  
  7.信息安全风险评估的复杂程度取决于受保护的资产对安全的敏感程度和所面临风险复杂程度
  
  8.引入信息安全管理体系就可以使管理更为有效，建立互相信任，但不是所以的组织都必须进行认证
  
   9.信息系统的安全保护等级分为五级
  

• 第一级：用户自主保护级

• 第二级：系统审计保护级

• 第三级：安全标记

• 第四级：结构化

• 第五级：访问验证

   10. TCSEC标准是计算机系统安全评估的第一个正式标准，他将计算机系统的安全划分为4个等级、7个级别。
  
    11.与信息安全标准有关的主要组织：ISO IEO ITU IETF
  
    12.中国信息安全测评中心：CNITSEC
  
    13.国家信息安全漏洞共享平台CNVD
  
    14.国家信息安全漏洞库 CNNVD
  
    15.信息安全保障：生命周期，保障要素，安全特征
  
    16.IATF（信息保障技术框架）：
  
            核心要素：纵深防御策略
  
            人员，技术（重点），操作
  
    17.技术框架焦点域：保护本地计算机，保护区域边界，保护网络及基础设施，保护支撑性基础设施
  
    18.现代信息安全：物理，网络，数据，信息内容安全和公共、国家信息安全的总和
  
    19.基本安全要求中基本技术要求从五个方面提出:物理,网络、主机和应用安全、数据安全及备份恢复
  
    20.信息系统安全保护等级的划分四要素：信息系统所属类型，业务数据类型，信息系统服务范围和业务自动化处理程度
  
    21.信息安全的五个属性：机密性，完整性，可用性，可控性，不可否认性
  
    22.微软的安全公告的第一级为“严重”信息安全系统在管理层通过架构   ISMS安全管理体系实现
  
    23.标准信息系统的因特网组件包括:服务器、网络设备和保护设备。电源为能源设备
  
    24.标准信息系统组成部分包括硬件、软件、数据和信息;解决方案是对问题发生时的处理方法
  
    25.1949年，香农发表的《保密系统的通信理论》，是现代通信安全的代表作，是信息安全发展的重要里程碑。
  
    26.信息安全管理的主要内容，包括信息安全管理体系、信息安全风险评估和信息安全管理措施三个部分。
  
    27.信息安全的地位和作用：
  
            网络时代国家生存和民族振兴的根本保障
  
            信息社会健康发展和信息革命成功的关键因素
  
            网络时代人类生存和文明发展的基本条件
  
    28.信息安全的发展3阶段:通信保密阶段、计算机安全阶段和信息安全保障阶段
  
    29.安全控制是一个循环过程
  
    30.网络信息内容审计系统分为“流水线”和分段模型
  

可信平台：

1. 信任根和信任链是可信计算机平台的最主要关键技术之一

2. 信任模型的类型有

    1.单级CA信任模型
   
    2.严格层次结构模型
   
            层次信任模型主要使用在以下三种环境
   
                  1.严格的层次结构
   
                  2.分层管理的PKI商务环境
   
                  3.PEM (Privacy-Enhanced Mail，保密性增强邮件)环境。
   
    3分布式(网状)信任模型结构
   
    4.Web模型
   
    5. 桥CA信任模型
   
    6. 用户为中心的信任模型
   

   3.分类数据的管理包括这些数据的存储、分布移植及销毁

   4.国内自前研究的TCM(trusted cryptography module,可信密码模块)

   1. TCB---可信计算基

操作系统：

1. 内核层实现的木马隐藏技术：Rootkit技术

2. 计算机的中断系统能够加强CPU对多任务事件的处理能。中断机制是现代计算机系统中的基础设施之一，它在系统中起着通信网络的作用(如进程与CPU通信），以协调系统对各种外部事件的响应和处理。

3. Windows

4. 目录有Execute权限则表示可以穿越目录，进入其子目录

5. 使网络用户可以在访问NT Server服务器上的文件和目录，需要建立共享

6. 在连续多次无效登录之后对用户账号实行锁定策略

7. 事件查看器：查看审核报告

8. 可执行文件为windows系统的文件类型

9. net start :启动服务，或显示已启动服务的列表;

10. Windows环境子系统：POSIX，OS/2，Win32

11. net stop:停止 Windows NT网络服务

12. 在Unix/Linux系统中，服务是通过inetd进程或启动脚本来启动。

13. EIP寄存器里存储的是CPU下次要执行的指令的地址，也就是函数调用完返回的地址

14. Linux系统

• Linux保存账户口令的信息文件为：/etc/shadow

• Linux监视网络请求的守护进程名为 inetd或xinetd

• Linux的主要审计工具是syslogd守护进程

• sa命令：报告，清理并维护进程统计文件

• who命令：查询utmp文件并报告当前登录的每个用户

• Ac命令：计算user登录系统最后的连接时间

  12.Linux系统启动后运行的第一个进程是初始化的进程(init)

  1. boot是在Linux启动之前运行的进程

  14.sysini进程和login进程是后续部分的进程。

  15.UNIX文件系统安全基于i节点中的关键信息：UID GID和模式

  1. root账户管理：超级用户账户可以不止一个，将UID和GID设置为0即可，使用可插入认证模块PAM进行认证登录

  17.进程于CPU之间通信：共享存储器，消息传递系统和管道通信完成

  18.大量NOP空指令填充组成的指令序列是：滑板指令

协议：

1. CA通过“证书黑名单”，公开发布已废除的证

2. 集中式访问控制：RADIUS TACACS Diameter

   非集中式访问控制：单点登录(SSO)  Kerberos  SESAME（SESAME：认证过程类似于Kerberos）
   

   1. Kerberos（网络认证协议）的优点：(身份验证协议)

•     1.单点登录   -         2.与授权机制相结合     -         3.支持双向的身份认证-         4.通过交换“跨域密钥”实现分布式网络环境下的认证         -         5.提供网络的保密性和完整性
  
  4. Kerberos的缺点：
  
    1.Kerberos密钥分发中心(KDC)兼具认证服务器(AS)和票据授权获取凭证(TGS)，容易造成瓶颈，系统的性能和安全也严重依赖AS和TGS的性能和安全
  
    2.时钟同步问题
  
    3.身份认证采用对称加密体制，用户数量增大时，密钥管理复杂
  

  1. RADIUS 是C/S模式的协议，运行在应用层，使用UDP协议上，审计(1813端口)独立于身份验证和授权服务(1812端口)，没有重传机制，不支持失败恢复机制。

     RADIUS仅加密需要传送的密码，TACACS（TCP协议）加密客户端和服务器之间的所有数据

     RADIUS中认证与授权必须是成对出现的。

  6.Diameter 还支持窗口机制，每个会话方可以动态调整自己的接收窗口，以免发送超出对方处理能力的请求。Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误。Diameter采用了peer-to-peer模式，peer的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter还支持认证和授权分离，重授权可以随时根据需求进行。
  
  7. TGS：票据授权服务器
       TGT：票据获取凭证
  
  8. 传输和隧道模式也是IPSec工作的两种方式
  
  9. 网络层安全协议：IPSec协议（第三层隧道协议）包括：ESP IKE AH
  
           IKE：混合型协议，由ISAKMP、Oakley、SKEME组成
  
            ESP：传输模式中的ESP不对整个数据包进行签名，不对源IP和目标IP进行加密
  
            AH：保障数据包的完整性和真实性（采用了哈希算法）
  
  10.传输层安全协议：SSL（引入第三方的安全协议）
  
  11. 应用层安全协议：Kerberos SSH SHTTP S/MIME
  
  12. TCP、ICMP和UDP均会被DoS攻击，lPSec无法被DoS攻击。
  
  13. IPv4中TCP/IP协议栈提供了端到端可靠传输机制
  
  14. SSL协议位于TCP/IP协议与各种应用层协议之间
  
  15.发起ACK-Flood时，目标主机收到攻击数据包后回应的是ACK和RST标志位设为1的数据包
  
  16.PKI系统组成：(数字证书是PKI的核心)
  
             安全策略
  
            证书认证机构（CA）
  
            证书注册机构（RA）
  
            证书分发机构（CDS）
  
            基于PKI的应用接口
  
  17.HTTPS简单讲是HTTP的安全版，用于安全的HTTP数据传输。提供了身份验证与加密通讯方法，用户认证的请求通过加密信道进行传输
  
  18.为电子邮件提供数字签名和数据加密功能的是S/MIME、POP3也可以
  

1. 私有IP地址范围:

            10.0.0.0~10.255.255.255
   
            172.16.0.0~172.31.255.255
   
            192.168.0.0~192.168.255.255
   

   . 端扫的时候，TCP FIN扫描为最高隐蔽扫描

数据库：

1. 在create table 中使用DEFAULT(default)子句，定义默认值首选方法
2. 数据库的三种完整性：语义，参照和实体完整性
3. 数据库中的视图 将要保密的数据对无权存取这些数据的用户隐藏起来
4. 为不同的数据库用户定义不同视图，限制访问范围
5. 创建角色：create role
6. 删除表的命令是:DROP
7. 删除记录的命令:delete
8. 建立视图的命令:CREATE view
9. 更新记录的命令update
10. 数据库渗透测试的对象主要是数据库的身份验证系统和服务监听系统
11. 数据库授权命令可以使每个用户对数据库的检索限制到特定的数据库对象上，但不能授权到数据库特定行和特定的列上。
12. 事务处理是—种机制，用来管理必须成批执行的SQL操作，以保证数据库不包含不完整的操作结果。每个事务均以BEGIN TRANSACTION- (begin transaction)语句显示开始，以COMMIT或ROLLBACK语句显示结束
13. 可以回退的语句INSERT、UPDATE和DELETE语句
14. 数据库防护的三个阶段：事前检查，事中监控，事后审计

软件技术：

1. 软件安全开发技术：安全设计，测试，编码和建立安全威胁模型

2. 由于网上的信息量十分巨大，仅依靠人工的方法难以应对网上海量信息的收集和处理，需要网络舆情分析系统

3. 特征码查杀不能有效检测加壳技术的恶意程序

4. 软件逆向分析技术不属于软件安全保护技术

5. 符号执行技术：程序分析技术。使用符号执行分析一个程序时，改程序会使用符号值作为输入

6. 逆向分析辅助工具：OllyDbg，SoftlCE，WinDBG，IDA pro

7. 误用检测主要有以下五种方法:

           1.基于专家系统
   
            2.基于模型推理
   
            3.基于状态转换分析
   
            4.基于条件概率
   
            5.基于键盘监控
   

8. 动态污点分析、模糊测试和智能模糊测试都属于软件动态安全检测技术

9. 静态安全检测技术：词法分析、数据流分析、污点传播分析、符号执行、模型检查、定理证明等

10. 污点传播分析技术通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常。

11. 静态安全检测技术可用于对软件源代码的检测软件

     动态安全检测技术可用于对软件可执行代码的检测
    

12. safeSEH、SEHOP、ASLR都属于软件漏洞利用防范技术，NOP属于漏洞利用技术

13. 采用软件动静结合安全检测技术的是BitBlaze

14. 加壳欺骗，用以躲过杀毒软件的查杀

15. 加壳工具通常分为压缩壳和加密壳两类

16. 软件漏洞网络攻击框架性工具是Metasploit

17. 软件漏洞网络攻击框架性工具是注入攻击

18. 代码混淆技术包括词法转换、控制流转换、数据转换

19. 恶意影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序是恶意程序

20. 系统开发分为五个阶段，即规划、分析、设计、实现和运行

            系统开发每个阶段都会有相应的期限
    
            任何系统都会经历一个发生、发展和消亡的过程
    
            系统生命周期就是系统从产生构思到不再使用的整个生命历程
    

    1. SDL模型的中文：软件安全开发生命周期模型

防火墙：

1. 防火墙的功能：内外网之间的数据过滤，记录和审计网络传输和访问的数据，防范内外网之间的异常攻击，配置NAT高网络转换功能
2. 最早突破软件防火墙的是第4代木马
3. 反弹端口技术中，由木马服务端程序主动连接木马客户端程序，木马的服务端程序可穿透所在内网的包过滤防火墙，木马客户端的IP地址必须是公网IP地址
4. 木马特点：伪装性，隐藏性，窃密性，破坏性；
5. 木马通常有两个可执行程序:客户端（控制端），服务端（被控制端）

相关法律：

1. 《中华人民共和国电子签名法》第二十四条，电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。

2. 《中华人民共和国电子签名法》第二十三条，电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报备，并与具他电子认证服务提供者就业务承接进行协商，作出妥善安排

3. 电子签名法被认为是中国首部真正电子商务法意义上的立法。

4. 《刑法》第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处5年以下有期徒刑或者拘役;后果特别严重的，处5年以上有期徒刑。

5. 机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围。

6. 涉密信息系统按照所处理信息的最高密级，由低到高分为秘密（10年）、机密（20年）、绝密（30年）三个等级。

7. 申请《商用密码产品销售许可证》的单位应当具备下列条件:

            (1)有独立的法人资格
   
            (2)有熟悉商用密码产品知识和承担售后服务的人员以及相应的资金保障
   
            (3)有完善的销售服务和安全保密管理制度
   
            (4)法律、行政法规规定的其它条件
   

   1. 公用事业服务信息文件无需进行验证

   2. 在具体实施应急响应的过程中就需要通过不断的总结和回顾来完善应急响应管理体系

         1.编写安全指南
      
         2.明确职责规范
      
         3.信息披露
      
         4.制定安全事件的报告提交策略
      
         5.设置优先级
      
         6.判断采用调查和评估安全事件的方法
      
         7.通知受影响各方
      
         8.安全事件的评估
      

8. 电子签名依赖方：对电子签名认证证书或电子签名的信赖，从事有关活动的人或事

（此总结为选择和填空题

综合题主要考察防火墙的配置规则，具体的密码学应用和协议的交互。

整理的较为粗糙，如果有错误的地方可以留言~）