信息安全工程师

Salted Fish 2025/11/7 软考

自学路径

希赛：https://www.educity.cn/

51CTO：https://rk.51cto.com/

B站：崔老夫子

考试宝：https://www.kaoshibao.com/

# 一、安全基础与模型

# 安全目标

# 1.实现安全目标的三大要素（CIA）

保密性（Confidentiality）：是确保信息仅被合法用户访问，而不被披露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。这里的"访问"是指不仅可以读，还能浏览、打印或简单了解一些特殊资源是否存在。常用的保密技术包括：防侦收（使对手侦收不到有用的信息）、防辐射（防止有用信息以各种途径辐射出去）、数据加密（在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息）、物理保密（利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被披露）等。
完整性（Integrity）：是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信患的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有：设备故障、误码（传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码）、人为攻击计算机病毒等。
可用性（Availability）：是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求：身份识别与确认、访问控制（对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问）。

# 2.其他重要属性

抗抵赖性（Non-Repudiation）指网址用户否认其活动行为的特性；
可问责性、真实性

# 3.信息系统安全风险评估

信息系统安全风险评估是信息安全保障体系建立过程中重要的评价方法和决策机制

# 4.自动专用IP地址(Automatic Private IP Address，APIPA)

169.254.X.X是保留地址。如果PC机上的IP地址设置自动获取，而FPC机又没有找到相应的DHCP服务，那么最后PC机可能得到保留地址中的一个IP。这类地址又称为自动专用IP地址（Automatic Private IP Address， APIPA）。APIPA是IANA（Internet Assigned Numbers Authority）保留的一个地址块。

# 设计原则

# 1.萨尔泽（Saltzer）和施罗德（Schroder）提出了下列安全操作系统的设计原则

最小特权：为使无意或恶意的攻击所造成的损失达到最低限度，每个用户和程序必须按照"需要"原则，尽可能地使用最小特权。
机制的经济性：保护系统的设计应小型化、简单、明确。保护系统应该是经过完备测试或严格验证的。
开放系统设计：保护机制应该是公开的，因为安全性不依赖于保密。
完整的存取控制机制：对每个存取访问系统必须进行检查。

# 2.Kerckhoffs原则

一个安全保护系统的安全性不是建立在它的算法对于对手来说是保密的，而是应该建立在它所选择的密钥对于对手来说是保密的。属于密码理论原则。

# 安全模型

# 1.P2DR/PPDR模型

P2DR模型包括四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）
WPDRRC模型有6个环节和3大要素（人员、政策、技术）。6个环节是W、P、D、R、R、C，它们具有动态反馈关系。其中，P、D、R、R与PDRR模型中出现的保护、检测、反应、恢复等4个环节相同；W即预警（warning）；C（counterattack）则是反击。(counterattack)则是反击--采用一切可能的高新技术手段，侦察、提取计算机犯罪分子的作案线索与犯罪证据，形成强有力的取证能力和依法打击手段。

# 2.访问控制模型

自主访问控制模型的典型代表有HRU模型（Harrison、Ruzzo、Ullmaan访问控制矩阵模型）
强制访问控制：如BLP模型（保障机密性）、BiBa模型（保障完整性）。
基于属性的访问控制：
BiBa模型的简单安全特性规则：当且仅当客体的完整性级别支配主体的完整性级别时，主体才具有对客体读的权限，即（主体不能向下读）
BiBa模型的*特性规则：当且仅当主体的完整性级别支配客体的完整性级别时，主体才具有对客体写权限，即（主体不能向上写）。
BLP模型：“不上读，不下写”。
BiBa模型：“不下读，不上写”。
BLP模型是最早、最常用的多级安全模型，也属于状态机模型。

# 3.访问控制机制组成要素

主体：客体的操作实施者；
客体：被主体操作的对象；
参考监视器：访问控制的决策单元和执行单元的集合体；
访问控制数据库：记录主体访问客体的权限及其访问方式的信息，提供访问控制决策判断的依据，也称为访问控制策略库；
审计库：存储主体访问客体的操作信息。

# 4.多级安全模型中主体对客体的访问主要有四种方式

向下读（read down）：主体级别高于客体级别时允许读操作；
向上读（readup）：主体级别低于客体级别时允许读操作；
向下写（write down）：主体级别高于客体级别时允许执行或写操作；
向上写（writeup）：主体级别低于客体级别时允许执行或写操作；

# 安全评估

# 1.评测操作系统安全性

主要有三种方法：形式化验证、非形式化确认及入侵分析。分析操作系统安全性最精确的方法是形式化验证。

# 二、系统安全

# Linux系统安全

# 1.系统审计日志

系统启动日志（boot.log）
记录用户执行命令日志（acct、pacct）
记录使用su命令的使用（sulog）
记录使用外部介质出现的错误（vold.log）
记录当前登录的用户信息（utmp）
记录所有用户每次登录和退出信息（wtmp）
最近几次成功登录及最后一次不成功登录日志(lastlog)
记录用户最近成功登录的时间（lastlog）
不良的登录尝试记录（loglog）
记录fp的存取情况（xferkig）
记录输出到系统主控台以及由 syslog系统服务程序产生的消息（messages）

# 2.文件权限机制

Linux Ubuntu系统下文件的权限位共有十个：按照1bit，3bit，3bit，3bit划分为4组。第1组只有1位，用于表示文件类型；第2组是第2~4位，用于表示文件拥有者对该文件所拥有的权限；第3组是第5~7位，表示文件所有者的属组对该文件所拥有的权限；第4组是第8~10位，表示其他人（除了拥有者和所属组之外的人）对该文件所拥有的权限。

所有其他用户以及读(r)、写(w)、执行(x)组成。

chmod a-x openvpn 或者 chmod 644 openvpn（去掉文件的执行权限）

600 表示只有文件的所有者可以读写
Is-l命令列出的文件中，第1位表示文件的类型，是"d"表示这个文件是一个目录；是"L"表示符号链接文件；是"s"表示套接字文件；是"-"，表示普通文件;是"P"表示管道文件
In -s /dev/shm shm （创建软连接）

In命令的基本格式：In[选项]源文件目标文件

-s：表示创建软链接
find path -option [-print] [-exec -ok command ] {} ;

find/home-xtypel-print ：列出/home目录下各种类型（如:文件、目录及子目录）的所有失效链接。

find/home-xtypel-execrm{}\ ：删除所有失效链接。

# 3.安全命令使用

/etc/ssh/sshd_config：ssh的相关配置文件
">>"：表示向文件中追加内容
systemctl restart sshd：重启ssh
history -c：清除服务器的历史命令信息
netstat -b：-b可以显示在创建每个连接或侦听端口时涉及的可执行程序。
/etc/shadow：用于实际保存用户口令的文件（文件权限：640或者600或者400或者000，只有超管可以读）
/etc/passwd：账号信息的文件。总共7个字段，

LOGNAME:PASSWORD:UID:GID:USERINFO:HOME::SHELL

登录名：密码：用户ID：组ID；用户信息：分配的目录：用户登录执行的shell

# 4.iptables防火墙配置

参数说明
- -t filter：指定操作的表为filter表（iptables有三张（nat、mangle、filter），如果省略此参数，系统也会默认使用filter表）
- -P：这是"policy"的缩写，表示设置链的默认策略（Policy）
- FORWARD：指定要操作的链（FORWARD链）
- DROP：设置默认策略为"丢弃"（即不匹配任何规则的数据包将被丢弃）
iptables -t filter-P FORWARD DROP

将filter表中FORWARD链的默认策略设置为DROP
iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 80 -j ACCEPT

允许任何来源的流量访问 192.168.70.140 的 HTTP 服务（端口 80）。
iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 443 -j ACCEPT

允许任何来源的流量访问 192.168.70.140 的 HTTPS 服务（端口 443）
iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp --dport 22 -j ACCEPT

允许 SSH 流量（端口 22）从 192.168.11.2 到 192.168.70.0/24
iptables -t fillter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2-p tcp --sport 22 -j ACCEPT

允许 192.168.70.0/24 网络中的服务器（如 192.168.70.140）的 SSH 响应流量（源端口 22）返回到 192.168.11.2（客户端）
iptables -a INPUT -s 192.168.229.1/32 -dport 53 -j DROP

禁止该计算机（192.168.229.1/32）继续发送DNS数据包（53）

# Windows系统安全

# 1.系统日志分析

三种日志通常存放在操作系统安装的区域 "system32\config" 目录下
系统日志（Sysevent.evt）：系统组件记录的事件，记录系统进程和设备驱动程序的活动；
应用程序日志（Appevent.evt）：包含计算机系统中的用户程序和商业程序在运行时出现的错误活动；
安全日志（Secevent.evt）：安全日志记录与安全相关的事件，包括成功和不成功的登录或退出、系统资源使用事件（系统文件的创建、删除、更改）等，与系统日志和应用程序日志不同，安全日志只有系统管理员才可以访问。（一般会有：Microsoft Windows security auditing）
通过命令行窗口快速访问事件查看器，可以使用命令"eventvwr"。也可以在开始菜单的运行中输入"eventvwr.msc"。
根据任务类别logon，说明是登录事件，事件ID：4624表示登录成功，4625表示登录失败
3389是远程桌面默认端口。
在Wireshark中使用：ip.addr == 192.168.69.69 and ip.addr == 192.168.1.100，可以过滤出该ip的事件

# 2.安全

windows操作系统自带的文件加密工具是EFS，为NTFS格式的磁盘文件加密。
注册表：regedit。
Windows系统中的Interactive组，任何本地登录的用户都属于这个组。
其中guests代表来宾用户用户组，因此其权限相对是最低的。Administrators组是管理员，级别最高，权限也最大。

# Android系统安全

# 1.四层安全架构

应用程序层安全机制有：权限声明机制、接入权限限制、保障代码安全

Android应用的权限主要是在：Manifest.xml中声明权限
应用框架层安全机制有：应用程序签名

用程序框架层集中了很多Android开发需要的组件，其中最主要的就是Adctivities、Broadcast Receiver，Services 及 Content Providers。组件之间的消息传递通过Intent完成
- Activity是用户和应用程序交互的窗口，相当于Web应用中的网页，用于显示信息。一个Android应用程序由一个或多个Activity组成。基于界面劫持攻击主要是针对Activities。
- Service和Activity类似，但没有视图。它是没有用户界面的程序，可以后台运行，相当于操作系统中的服务。
- BroadcastReceiver称为"广播接收者"，接收系统和应用程序的广播并回应。Android系统中，系统变化比如开机完成，网络状态变化，电量改变等都会产生广播。BroadcastReceiver本质上是一种全局的监听器，用于监听系统全局的广播消息，因此短信拦截攻击是针对BroadcastReceiver。
- Content Providers主要用于对外共享数据。应用数据通过ContentProviders共享给其他应用；其他应用通过Content Provider对指定应用中的数据进行操作。因此对目录遍历攻击，主要是针对conterht provider
系统运行库层安全机制有：网络安全、采用SSL/TSL加密通信、虚拟机安全、沙箱机制
Linux内核层安全机制有：文件系统安全、ACL权限机制、集成了SELinux模块、地址空间布局随机化等。

# 2.数据存储安全

Android系统支持的数据存储方式有5种，分别是SharedPreferendces、文件存储、SQLite、ContentProvider、网络存储。

# 其他系统

# 1.智能卡的片内操作系统(COS)组成安全

通讯管理模块：半双工通讯通道，用于COS与外界联系；
安全管理模块：为COS提供安全保证；
应用管理模块：非独立横块，接收命令并判断其可执行性；
文件管理模块：COS为每种均建立对应的文件来管理和存储应用，文件就是智能卡中数据单元、记录的有组织集合。

# 2.操作系统安全机制

安全审计系统功能模块：审计事件收集及过滤、记录及查询、分析及响应报警。
操作系统安全机制：标识和鉴别、安全审计、访问控制、可信通路、隐蔽通道等。

# 3.数据库安全威胁

随着数据库所处的环境日益开放,所面临的安全威胁包括:授权的的误用、逻辑推断和汇聚、伪装、旁路控制、隐蔽通道、SQL注入攻击、口令密码破解、硬件及介质攻击。

旁路控制：在数据库设置后门，绕过数据库系统的安全访问控制机制。
隐蔽信道：通常储存在数据库中的数据经由合法的数据信道被取。
伪装：攻击者假冒用户身份获取数据库系统的访问权限。
口令密码破解：利用口令字典或者手动猜测数据库用户名密码，以达到非授权访问数据库系统的目的。

# 三、网络安全

# 安全事件

# 1.网络安全目标宏观和微观

宏观的网络安全目标是指网络信息系统满足国家安全需求特性,符合国家法律法规政策要求,如网络主权、网络合规等;
微观的网络安全目标则指网络信息系统的具体安全要求。

# 2.网络安全事件

时间	网络安全事件	所利用的漏洞
1988	Internet 蠕虫	Sendmail及finger漏洞
2000	分布式拒绝服务攻击	TCPP协议漏洞
2001	"红色代码"蠕虫	微软web服务器IS4.0或5.0中 index服务的安全漏洞
2002	Slammer 蠕虫	微软MSSQL数据库系统漏洞
2003	冲击波蠕虫（W32.Blaster）	微软操作系统DCOMRPC缓冲区溢出漏洞
2010	震网病毒	Windows操作系统、Wincc系统漏洞
2017	Wannacry 勒索病毒	Windows系统的SMB漏洞

# 3.安全事件分类

有害程序事件：是指插入信息系统的一段程序，会对信息系统的完整性、保密性和可用性产生危害，甚至影响营销系统的正常运转。计算机病毒、蠕虫事件、混合攻击程序事件等都是有害程序，这类事件具有故意编写、传播有害程序的特点。

有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件（僵尸网络的防御方法主要有使用蜜网技术、网络流量研究以及IROserver识别技术）、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
网络攻击事件：是指通过网络技术、利用系统漏洞和协议对信息系统实施攻击，对信息系统造成危害或造成系统异常的安全事件，如DDOS攻击、后门攻击、漏洞攻击等

网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
信息破坏事件：是指通过网络等其他手段，对系统中的信息进行篡改或窃取、泄露等的安全事件，主要包括信息篡改、信息泄露等。
信息内容安全事件：是指利用网络信息发布、传播危害国家安全、社会安全和公共利益安全的事件。
设备实施故障：是指因信息系统本身的故障或人为破坏信息系统设备而导致的网络安全事件。
灾害性事件：是指外界环境对系统造成物理破坏而导致的网络安全事件

# 4.IIS的典型安全威胁

非授权访问：攻击者通过IIS的配置失误或系统漏洞，如弱口令，非法访问IIS的资源，甚至获取系统控制权。
网络蠕虫：攻击者利用IIS服务程序缓冲区溢出漏洞，构造网络蠕虫攻击。例如，"红色代码"网络蠕虫。
网页篡改：攻击者利用IIS网站的漏洞，恶意修改S网站的页面信息。
拒绝服务：攻击者通过某些手段使IIS服务器拒绝对HTTP应答，引起IIS对系统资源需求的剧增，最终造成系统变慢，甚至完全瘫痪。

# 5.网络生存性

网络生存性是指在网络信息系统遭受入侵的情形下，网络信息系统仍然能够持续提供必要服务的能力。目前，国际上的网络信息生存模型遵循"3R" 的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式，给出相应的3R策略，即抵抗（Resistance）、识别（Recognition）和恢复（Recovery）。

# 网络攻击技术

# 1.端口扫描

FIN扫描：源主机A向目标主机B发送FIN数据包（断开连接请求），然后查看反馈信息，如果端口返回RESET信息，则说明该端口关闭，如果没有返回任何信息，则说明该端口开放；
半连接扫描：在源主机和目的主机的三次握手连接过程中，只完成前两次，不建立一次完整连接的扫描；
SYN扫描：首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。如果目标主机返回ACK信息，表示目标主机的该端口开放。如果目标主机返回RESET信息，表示该端口没有开放；
SYN/ACK扫描首先向目标主机某个端口发送SYN/ACK数据包，而不是先发送SYN数据包。由于这种方法不发送SYN数据包，目标主机会认为这是一次错误的连接，从而会报错。如果目标主机的该端口没有开放，则会返回RST信息。如果目标主机的该端口处于开放状态（LISTENING），则不会返回任何信息，而是直接将这个数据包抛弃掉。
完全连接扫描：完全连接扫描利用TCPP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功，则表明该端口开放。否则，表明该端口关闭。
NULL扫描：将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。
ID头信息扫描：需要一台第三方dumb主机配合扫描；
隐蔽扫描能够成功绕过防火墙、IDS等安全机制。

# 2.扫描工具

Nessus是目前全世界最多人使用的系统漏洞扫描与分析软件。
NMAP是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。
X-SCAN安全漏洞扫描工具。
AppScan是IBM的一款web安全扫描工具，可以利用爬虫技术进行网站安全渗透测试，根据网站入口自动对网页链接进行安全扫描，扫描之后会提供扫描报告和修复建议等。

# 3.拒绝服务攻击

同步包风暴（SYNflood）：发送大量半连接状态的服务请求，使服务器无法处理正常的连接请求，因而影响正常运作。
Smurf攻击：将回复地址设置成目标网络广播地址的ICMP应答请求数据包，使该网络的所有主机都对此ICMP应答请求作出应答，导致网络阻塞。
垃圾邮件：攻击者利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹（mail bomb）程序给受害用户的信箱发送垃圾信息，耗尽用户信箱的磁盘空间，使用户无法应用这个信箱。
泪滴攻击：IP数据包在网络中传输时，会被分解成许多不同的片传送，并借由偏移量字段（Offset Field）作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果。

# 4.恶意代码

蠕虫病毒具有信息搜集、漏洞利用、复制传播、目标选择等能力，其中"红色代码"、"冲击波"、"永恒之蓝"等网络蠕虫可以在网络信息系统中自动扩散。
引导区病毒是通过感染磁盘引导扇区进行传播的病毒。常见的引导区病毒有Boot.WYX、磁盘杀手、AntiExe病毒等。
宏病毒的前缀是Macro。Macro.Melissa是一种宏病毒，主要感染Office文件。
蠕虫病毒的前缀是Worm。
木马病毒的前缀名是Trojan。
Trojan-Ransom属于勒索病毒，具有较大的破坏力，是破坏型木马。

# 5.恶意程序代码

逻辑炸弹：是一段依附在其他软件中，并具有触发执行破坏能力的程序代码。
细菌：是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但是它通过复制本身来消耗系统资源。例如，某个细菌先创建两个文件，然后以两个文件为基础进行自我复制，那么细菌以指数级的速度增长，很快就会消耗掉系统资源，包括CPU、内存、磁盘空间。
间谍软件：通常指那些在用户不知情的情况下被安装在计算机中的各种软件，执行用户非期望的功能。

# 6.攻击分类

拒绝服务攻击：SYN Flood、Smurf、泪滴攻击。
恶意代码：病毒、蠕虫、木马、间谍软件、逻辑炸弹、勒索软件。
其他攻击：中间人攻击、回放攻击、撞库、拖库、缓冲区溢出、端口反向连接。
高级持续性威胁：APT攻击案例。

# 7.攻击技术

撞库攻击：攻击者收集在某一网站泄露的用户账号密码信息,尝试在其他网站上进行登录。其主要利用的就是很多用户在不同网站使用相同账号密码组合这一特点。
拖库攻击：拖库本来是数据库领域的术语，指从数据库中导出数据。它被用来指网站遭到入侵后，黑客窃取其数据库文件。
依赖性威胁：指攻击者破坏路由器所依赖的服务或环境，导致路由器非正常运行。例如，破坏路由器依赖的认证服务器，导致管理员无法正常登录到路由器。
回放攻击：指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。
中间人攻击：攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为"中间人"。
缓冲区溢出：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令。攻击者就有机会控制程序的执行流程，从而得到主机的控制权。
端口反向连接：特点是通过内网的被控制端（服务端）主动连接控制端（客户端），从而规避防火墙的严格的外部访问内部策略。代表程序有灰鸽子、网络神偷等。
恶意代码生存技术：包含反跟踪技术、加密技术、模糊变换与变形技术、自动生产技术、三线程技术、进程注入技术、通信隐藏技术等。
恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，阻碍反恶意代码软件的正常运行。例如，"广外女生"是一个国产洛伊木马，对"金山毒霸"和"天网防火墙"采用超级管理技术进行拒绝服务攻击。

# 8.攻击模型与主体

网络杀伤链模型分成目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥与控制、目标行动等七个阶段。
"方程式""白象""海莲花""绿斑""蔓灵花"都是目前已发现和公布的高级安全威胁APT行为主体。

# 9.病毒载体

word文档作为载体的病毒案例是Melissa
照片作为载体的病毒案例是库尔尼科娃
电子邮件作为载体的病毒案例是"求职信"病毒和"ILove You"病毒
网页作为载体的病毒案例是NIMDA病毒。

# 10.网络蠕虫的具体组成

探测模块：探测目标主机的脆弱性，确定攻击、渗透方式
传播模块：复制并传播蠕虫。
蠕虫引擎模块：扫描并收集目标网络信息，如IP地址、操作系统版本等。
负载模块：实现蠕虫内部功能的伪代码。

# 11.程序常用端口

一些木马常使用固定端口进行通信，比如冰河使用7626端口，Back Orifice使用54320端口等。
445是勒索病毒的利用端口
Executor用80端口传递控制信息和数据；
BladeRunner、Doly Trojan、Fore、FTP Trojan、Larva、Ebex、WinCrash等木马复用21端口；
Shtrilitz Stealth、Terminator、WinPC、WinSpy等木马复用25端口。

# 12.端口协议

RDP：3389
MySQL：3306
DNS：53
SSH：22
SQLServer：1433
IMAP协议：143
Web服务：80
局域网中的共享文件夹：445
局域网中的打印机：139
局域网内部Web服务：8080
SSL议(安全套接层)：443

# 入侵检测防护

# 1.入侵检测技术 (IDS，被动)

异常检测（也称基于行为的检测）：把用户习惯行为特征存入特征库，将用户当前行为特征与特征数据库中存放的特征比较，若偏差较大，则认为出现异常
异常检测方法：基于统计的异常检测方法、基于模式预测的异常检测方法、基于文本分类的异常检测方法、基于贝叶斯推理的异常检测方法
误用检测：通常由安全专家根据对攻击特征、系统漏洞进行分析，然后手工的编写相应的检测规则、特征模型。误用检测假定攻击者会按某种规则、针对同一弱点进行再次攻击。
误用检测方法：基于条件概率的误用检测方法、基于状态迁移的误用检测方法、基于键盘监控的误用检测方法、基于规则的误用检测方法。

# 2.入侵检测系统 (IPS，主动)

入侵检测系统的主要指标有可靠性、可用性、可扩展性、时效性、准确角性和安全性。可用性指入侵检测系统运行开销要尽量小，特别是基于主机的入侵检测系统，入侵检测系统不能影响到主机和网络系统的性能。

需要串接在网络中，分析经过的数据包，对异常的数据包进行阻断，因此需要对数据包进行分析和处理，所以会影响网络性能。

入侵检测系统在网络安全保障过程中扮演类似"预警机"或"安全巡逻人员"的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或已经违背安全策略的行为，其作用表现为以下几个方面：

①发现受保护系统中的入侵行为或异常行为；
②检验安全保护措施的有效性；
③分析受保护系统所面临的威胁；
④有利于阻止安全事件扩大,及时报警触发网络安全应急响应；
⑤可以为网络安全策略的制定提供重要指导;
⑥报警信息可用作网络犯罪取证。

# 3.入侵检测系统分类

**HIDS（基于主机的入侵检测系统）**一般适合检测一下行为：针对主机的端口或漏洞扫描、重复失败的登入尝试、远程口令破解、主机系统的用户账号添加、服务启动或停止、系统重启动、文件的完整性或许可权变化、注册表修改、重要系统启动文件变更、程序的异常调用、拒绝服务攻击。
**NIDS（基于网络的入侵检测系统）**一般适合检测一下行为：同步风暴（SYNFlood）、分布式拒绝服务攻击（DDoS）、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问。
DIDS（分布式入侵检测系统）

# 4.入侵检测工具和系统

类型	工具或系统
网络协议分析器	Tcpdump，Wireshark
入侵检测系统	开源入侵检测系统Snort、Suricata、Bro
Windows系统注册表监测	regedit
恶意代码检测	RootkitRevealer，ClamAV
文件完整性检查	Tripwire，MD5sumo

# 5.网络攻击工具过程模型

①隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。
②收集攻击目标信息。确定攻击目标并收集目标系统的有关信息。
③挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。
④获取目标访问权限。获取目标系统的普通或特权账户的权限。
⑤隐蔽攻击行为。隐蔽在目标系统中的操作，防止入侵行为被发现。
⑥实施攻击。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。
⑦开辟后门。在目标系统中开辟后门，方便以后入侵。
⑧清除攻击痕迹。避免安全管理员的发现、追踪以及法律部门取证。

# 6.网络攻击工具

类别	作用	经典工具
扫描器	扫描目标系统的地址、端口、漏洞等。	NMAP、Nessus、SuperScan
远程监控	代理软件，控制"肉鸡"	冰河、网络精灵、Netcat
密码破解	猜测、穷举、破解口令	John the Ripper、LOphtCrack
网络嗅探	窃获、分析、破解网络信息	Tcpdump、DSniff、WireShark
安全渗透工具箱	漏洞利用、特权提升	Metasploit、BackTrack

# 7.网络流量清洗原理

流量检测：利用分布式多核硬件技术，基于深度数据包检测技术（DPI）监测、分析网络流量数据，快速识别隐藏在背景流量中的攻击包，以实现精准的流量识别和清洗。
流量牵引与清洗：当监测到网络攻击流量时，如大规模DDoS攻击，流量牵引技术将目标系统的流量动态转发到流量清洗中心来进行清洗。流量清洗即拒绝对指向目标系统的恶意流量进行路由转发，从而使得恶意流量无法影响到目标系统。
流量回注：流量回注是指将清洗后的干净流量回送给目标系统，用户正常的网络流量不受清洗影响。

# 8.其他知识

Snort的配置有3个主要模式：嗅探、包记录和网络入侵检测。
DPI技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术。

# 防火墙VPN

# 1. 常见的防火墙类型

包过滤防火墙、代理防火墙、下一代防火墙、Web应用防火墙、数据库防火墙、工控防火墙

Web应用防火墙根据预先定义的过滤规则和安全防护规则，对所有访问Web服务器的HTP请求和服务器响应，进行HTTP协议和内容过滤，进而对Web服务器和web应用提供安全防护功能。可抵御的典型攻击主要是：SQL注入攻击、XSS跨站脚本攻击、Web应用扫描、Webshell、Cookie注入攻击、CSRF攻击等。Smurf攻击基于网络层ICMP协议的攻击。
**应用代理防火墙（透明代理）**扮演"中间人"的角色，代理防火墙代替受保护网络的的主机向外部网发送服务请求，并将外部服务请求响应的结果返回合受保护网络的主机。

# 2. 防火墙的实现技术

包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等

# 3. 防火墙防御体系结构类型

基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网

双重宿主主机体系结构：以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。双宿主主机结构是最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中，一般都是将一个为内部网络和外部网络分别连接在不同的网卡上，使内外网络不能直接通信。对从一块网卡上送来的IP包，经过一个安全检查模块检查后，如果是合法的，则转发到另一块网卡上，以实现网络的正常通信；如果不合法，则阻止通信。这样，内外网络直接的IP数据流完全在双宿主主机的控制之中。
屏蔽主机体系结构：通过一个单独的路由器和内部网络上的堡垒主机共同构成方火墙，主要通过数据包过滤实现内外网络的隔离和对内网的保护
屏蔽子网体系结构：由两台路由器包围起来的周边网络，周边网络隔离堡垒主机与内部网，减轻攻击者攻破堡垒主机时对内部网络的冲击力并且将容易受到攻击的堡垒主机都置于这个周边网络中，攻击者即使攻破了堡垒主机，也不能侦听到内部网络的信息，不能对内部网络直接操作。其主要由四个部件构成，分别为：周边网络、外部路由器、内部路由器以及堡垒主机。

# 4. 包过滤防火墙技术

优点：是低负载、高通过率、对用户透明。

弱点：是不能在用户级别进行过滤，如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以轻易通过包过滤器。

用源IP地址、目的IP地址、源端口号、目的端口号、协议类型（UDP、TCP、ICMP）、通信方向、规则运算符来描述过滤规则条件。

包过内部包过滤器：内部滤器用于隔离周边网络和内部网络，是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规则，规则主要对内部部用户访问周边网络和外部网络进行限制。
外部包过滤器：外部包过滤器用于保护周边网络和内部网络，是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则，规则主要针对外网用户。

# 5.Cisco IOS

Cisco IOS的标准IP访问表和扩展IP访问表中各字段的含义如下：

标准IP访问控制规则的list-number规定为1~99，而扩展IP访问控制规则的list-number规定为100~199；
deny表示若经过Cisco IOS过滤器的包条件不匹配，则禁止该包通过
permit表示若经过Cisco IOS过滤器的包条件匹配，则允许该包通过
source表示来源的IP地址；
source-wildcard表示发送数据包的主机P地址的通配符掩码，其中1代表"忽略"，0代表"需要匹配"，any代表任何来源的P包
destination表示目的IP地址；
destination-wildcard表示接收数据包的主机IP地址的通配符掩码
protocol表示协议选项，如IP、ICMP、UDP、TCP等
log表示记录符合规则条件的网络包。

# 6.ISO中定义了5大类可选的安全服务

鉴别：用于保证通信的真实性，正式接收的数据就来自所要求的源方，包括对等实体鉴别和数据源鉴别。
访问控制：用于防止对网络资源的非授权访问，保证系统的可控性。
数据保密性：用于加密数据以防被窃听。
数据完整性：用于保证所接受的消息为未经复制、插入、篡改、重排或重放，主要用于防止主动攻击。
不可否认：用于防止通讯双方中某一方抵赖所传输的消息。

# 7. 防火墙的安全规则中的处理方式

Accept：允许数据包或信息通过。
Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止。
Drop：直接将数据包或信息丢弃，并且不通知信息源。

# 8. VPN的结构用途

VPN有多种实现技术，按照VPN在TCP/IP协议层的实现方式，VPN结构分为数据链路层VPN（PPTP，L2TP），网络层VPN（IPSec），传输层VPN（SSL），链路层VPN的实现方式有ATM Frame Relay、多协议标签交换MPL；网络层VPN的实现方式有受控路由过滤、隧道技术；传输层VPN则通过SSL来实现。另外还有一种归纳为2.5层的MPLSVPN，在新版教程中，也被归结为数据链路层。

远程访问虚拟网（Access VPN）（远程接入）：主要解决远程用户安全办公问题，远程办公用户既要能远程获取到企业内部网信息，又要能够保证用户和企业内网的安全；
企业内部虚拟网（Intranet VPN）（站点到站点）：用途就是通过公用网络，如因特网，把分散在不同地理区域的企业办公点的局域网安全互联起来，实现企业内部信息的安全共享和企业办公自动化；
E企业扩展虚拟网（Extranet VPN）（合作伙伴接入）：是利用VPN技术，在公共通信基础设施（如因特网）上把合作伙伴的网络或主机安全接到企业内部网，以方便企业与合作伙伴共享信息和服务。ExtranetVPN解决了企业外部机构接入安全和通信安全的问题，同时也降低了网络建设成本。

# 9.协议

国家密码管理局颁布了《IPSec VPN技术规范》和《SSLVPN技术规范》。其中IPSec VPN的主要功能包括：随机数生成、密钥协商、安全报文封装、NAT穿越、身份鉴别。身份认证数据应支持数字证书或公私密钥对方式，IP协议版本应支持IPv4协议或IPv6协议。
SSL VPN的主要功能包括：随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查。
许多与PKI相关的协议标准（如PKIX、S/MIME、SSL、TLS、IPSec）等都是在X.509基础上发展起来的。
IPSec的加密和认证过程中所使用的密钥由Internet密钥交换协认**（IKE）**机制来生成和分发
IPSec是一个标准的第三层安全协议，是一个协议包。
报文内容认证使接收方能够确认报文内容的真实性，产生认证码的方式有三种：报文加密、消息认证码MAC、基于hash函数的消息认证码（HMAC）。
NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用Over Load。

# 10. SSL组成

握手协议：用于身份鉴别和安全参数协商；
密码规格变更协议：用于通知安全参数的变更；
报警协议：用于关闭通知和对错误进行报警；
记录层协议：用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。

# 11. SSL协议提供三种安全通信服务

保密性通信。握手协议产生秘密密钥（secret key）后才开始加、解密数据。数据的加、解密使用对称式密码算法，例如DES、AES等。
点对点之间的身份认证。采用非对称式密码算法，例如RSA、DSS等。
可靠性通信。信息传送时包含信息完整性检查，使用有密钥保护的消息认证（Message Authentication Code，简称MAC），MAC的计算采用安全杂凑函数，例如SHA、MD5。

# 12. SSL/TSL通过四次握手，四次握手如下:

客户端发送数据包发起Client Hello请求；
服务器回应数据包Server Hello，其中包含协商版本信息、加密方法以及数字证书；
客户端发送数据包回应，其中包含约定好的HASH计算握手消息；（client Key Exchange，Change Cipher spec，EncryptedHandshake Message）
服务器发送数据包完成握手，其中包含密码加密一段握手消息。（Change Cipher spec，Encrypted Handshake Message）

# 13.SSL应用数据的传输过程为

应用程序把应用数据提交给本地的SSL进程；
发送方根据需要，使用指定的压缩算法，压缩应用数据；
发送方使用散列算法对压缩后的数据进行散列，得到数据的散列值；
发送方把散列值和压缩后的应用数据一起用加密算法加密；

# 13.PKI安全服务

PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。

基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说,PKI涉及多个实体之间的协商和操作,主要实体包括CA、RA、终端实体(End Entity)、客户端、目录服务器。

CA（Certification Authority）：证书授权机构，主要进行证书的颁发、废止和更新认证机构负责签发、管理和撤销一组终端用户的证书，证书到期或废弃后将其放入CRL（证书撤销列表）
RA（Registration Authority）：证书登记权威机构，将公钥和对应的证书持有者的身份及其他属性联系起来，进行注册和担保，RA可以充当CA和它的终容端用户之间的中间实体，辅助CA完成其他绝大部分的证书处理功能
目录服务器：CA通常使用一个目录服务器，提供证书管理和分发的服务。
终端实体（End Entity）：指需要认证的对象，例如服务器、打印机、E-mai地址、用户等。
客户端（Client）：指需要基于PKI安全服务的使用者，包括用户、服务进程等。

# 14.交换机是构成网络的基础设备，主要功能是负责网络通信数据包的交换传输。

第一代交换机：以集线器为代表，工作在OSI的物理层；
第二代交换机：(二层)交换机，基于MAC地址进行数据帧的转发，工作在OSI模型的数据链路层；
第三代交换机：通俗地称为三层交换机，工作在OSI的网络层，实现VLAN技术来抑制广翻风暴；
第四代交换机：在第三代交换机的基础上增加了业务功能，比如防火墙、负载均衡、IPS等；
第五代交换机：通常支持软件定义网络SDN，具有强大的QoS能力。

# 无线网络安全

WPA认证方式有WPA、WPA-PSK、WPA2、WPA2-PSK。
有线等效保密协议WEP采用的密钥和初初始向量长度分别是40位24位。
MPPE是微软点对点加密机制，不是身份验证机制。
《无线局域网产品须使用的系列密码算法》规定的密钥协商算法是EECDH （Elliptic Curve Diffie-Hellman key Exchange），即椭圆曲线迪非-赫尔曼秘钥交换算法。
Ospf、rip2、eigrp支持路由器邻居认证。
**路由器（Router）**是连接网络中各类局域网和广域网和广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径按前后顺序发送信号的设备。
共享网络监听利用Hub集线器构建共享式网络，网络流量采集设备接入集线器上，获取与集线器相连接的设备的网络流量数据。

# 四、应用与数据安全

# Web安全

# 1.威胁的分类

渗入威胁：假冒、旁路、授权侵犯
植入威胁：木马、陷阱。
陷门：是在某个系统或某个文件中设置的"机关"，使得当提供特定的输入数据时，允许违反安全策略。
授权侵犯：又称内部威胁，授权用户将其权限用于其他未授权的目的。
旁路控制：攻击者通过各种手段发现本应保密却又暴露出来的一些系统"特征"，利用这些"特征"，攻击者绕过防线守卫者渗入系统内部。
威胁：SQL注入、XSS、CSRF、网页篡改。
防护：WAF、CSP。
扫描工具：Nessus、NMAP、AppScan。

# 2.防护策略

内容安全策略（Content Security Policy，CSP）：使用可信白名单，来限制网站只接受指定的资源。CSP可缓解广泛的内容注入漏洞，比如XSS、数据注入等。

# 3.攻击工具

hydra是一个网络账号破解工具，支持telnet、rdp、ssh、ftp、sql server、MySQL等账号的暴力破解。Nikto是web应用程序入侵工具，Burp Suite是http或HTTPS协议抓包工具，常用于web应用程序入侵。

# 4.后门技术

一句话木马短小精悍，分为asp、php、aspx、jsp等不同语言编写，一句话木马植入在web应用程序中，黑客操纵控制端，其功能强大，隐蔽性好，在入侵中始终扮演着强大的作用。菜刀、蚁剑、冰蝎是三款知名的一句话木马控制端。

# 5.web欺骗

Web欺骗短期解决方案：

禁止浏览器中的JavaScript功能；
确保浏览器的连接状态是可见的，它将提供当前位置的各类信息
时刻关注点击的URL链接在浏览器状态行的正确显示。

Web欺骗长期解决方案：

改变浏览器，使之具有反映真实URL信息的功能，而不会被蒙蔽；
对于通过安全连接建立的Web--浏览器对话，浏览器还应该告诉用户谁在另一端，而不只是表明一种安全连接的状态。比如：在建立了安全连接后，给出一个提示信息"NetscapeInc."等等。

# 安全开发

# 1.软件安全能力成熟度模型分成五级

CMM1级——补丁修补；
CMM2级——渗透测试、安全代码评审；
CMM3级——漏洞评估、代码分析、安全编码标准；
CMM4级——软件安全风险识别、SDLC实施不同安全检查点；
CMM5级——改进软件安全风险覆盖率、评估安全差距。

# 2.审计工具

工具名称	简要描述
Flawfinder	利用词法分析技术发现以C语言编写的源程序安全漏洞
Splint	检查以C语言编写的程序安全漏洞
ITS4	检查以C和C++语言编写的源程序安全漏洞
Grep	自定义漏洞模式,检查任意源程序安全漏洞
MOPS	利用状态机技术来分析以C语言编写的源程序安全漏洞
W3AF	web应用程序漏洞验证
Wireshark	网络数据包分析软件
Metasploit	网络安全漏洞验证软件
011 VDBG	分析调试器

# 数据安全与隐私

# 1.隐私保护常见技术计算机机房

抑制：通过数据置空的方式限制数据发布。
泛化：通过降低数据精度实现数据匿名
置换：不对数据内容进行更改，只改变数据的属主。
扰动：在数据发布时添加一定的噪音，包括数据增、删、变换等。
裁剪：将数据分开发布。

# 2.数据脱敏

数据脱敏技术方法有：屏蔽、变形、替换、随机、加密，使得敏感数据不泄露给非授权用户或系统。

# 3.数字图像的内嵌水印的特点

LSB算法将信息嵌入到随机选择的图像点中最不重要的像素位上，这可保证嵌入的水印是不可见的。
Patchwork算法利用像素的统计特征将信息嵌入像素的亮度值中。该算法先对图像分块，再对每个图像块进行嵌入操作，可以加入更多信息
透明性：加入水印不会降低图像质量，很难发现与原图像的差别。
鲁棒性：图像变换操作（D/A或AD转换、加入噪声、滤波，有损压缩等）时，不会丢失水印，提取水印信息后仍然有效。
安全性：能在抵抗各种攻击后还能唯一标识图像，第三方不能伪造他人带水印的图像。

# 4.水印攻击

表达攻击：是让图像水印变形而使水印存在性检测失败，包括置乱攻击、同步攻击等。这种攻击并不一定要移去水印，它的目标是对数据作一定的操作和处理，使得检测器不能检测到水印的存在。
鲁棒性攻击：以减少或消除数字水印的存在为目的，包括像素值失真攻击、敏感性分析攻击和梯度下降攻击等。

# 5.水印分类

①秘密水印（非盲化水印）
②半秘密水印（半盲化水印）
③公开水印（盲化或健忘水印）

# 五、密码学

# 密码算法

# 1.国密算法

SM2椭圆曲线公钥密码算法（非对称）、SM3杂凑算法（杂凑）、SM4分组密码算法（对称分组）、SM9算法基于标识的密码算法。
SM2属于公开密码
SM3杂凑算法经过填充和迭代压缩，生成杂凑值，与sha-256安全性相当。杂凑值长度为256比特，即32字节。
SM3密码杂凑算法的消息分组长度为512比特。
SM4算法的分组长度为128比特，密钥长度为128比特。
SM4密码加密算法与密钥扩展算法采用32轮非线性迭代结构。

# 2.国际算法

对称加密：DES、AES。非对称加密：RSA、ECC。杂凑算法：MD5、SHA系列。
MD5算法由MD2、MD3、MD4发展而来，其消息分组长度为512比特，生成128比特的摘要。
DES分组长度为64比特，使用56比特密钥对64比特的明文串进行16轮加密，得到64比特的密文串。
DES的子密钥的长度是48位。这里要注意题目问的是子密钥，而不是密钥。将56位密钥分成两半，然后通过左循环移一位或者两位的方式选取子密钥，最终选取到56位中的选取出48位子密钥。这个过程叫做压缩置换。
AES标准规范中，分组长度只能是128位，密钥的长度可以使用128位、192位或者256位。密钥的长度不同，推荐加密轮数也不同，比如AES-128也就是密钥的长度为128位，加密轮数为10轮，AES-192为12轮，AES-256为14轮。
AES明文分组长度可以是128位、192位、256位；密钥长度也可以是128位、192位、256位
AES密码系统支持至少128比特长的分组；密码支持的密钥长度至少为128、192和256比特。
有线等效保密协议WEP采用的密钥和初初始向量长度分别是40位1024位。
DNSSEC采用的数字签名算法是RSA算法，DES、IDEA是对称算法，SHA是哈希算法。
**安全Hash算法（SHA）**是由美国标准与技术研究所（NIST）设计并于1993年公布（FIPS PUB 180），1995年又公布了FIPS PUB 180-1，通常称之为SHA-1。
SHA-1输入为长度小于264位的报文，输出为160位的报文摘要，该算法对输入按512位进行分组，并以分组为单位进行处理。

# 3.Hash函数的特性

单向性（oneway）：已知x，求x=h(m)的m在计算上不可行的。
弱抗碰撞性（weakly collision free）：对于任意给定的消息m，如果我到另一不同消息m'，使得h(m)=h(m')在计算上不可行的。
强抗碰撞性（strongly collision free）：寻找两个不同消息m和m'，使得h(m)=h(m')在计算上不可行的。

# 4.密码应用

PGP是一种加密软件，应用了多种密码技术，其中密钥管理算法选用RSA、数据加密算法IDEA、完整性检测和数字签名算法，采用了MD5和RSA以及随机数生成器，PGP将这些密码技术有机集成在一起利用对称和非对称加密算法的各自优点，实现了一个比较完善的密码系统。
标准的电子邮件协议使用的SMTP、POP3或者IMAP。这些办议都是不能加密的。而安全的电子邮件协议使用PGP加密。

# 5.无线局域网产品须使用的系列密码算法

对称密码算法：SMS4；
签名算法：ECDSA；
密钥协商算法：ECDH；
杂凑算法：SHA-256；
随机数生成算法：自行选择。
ECDSA和ECDH密码算法须采用国家密码管理局指定的构圆曲线和参数。

# 6.密码分析攻击类型

唯密文攻击（ciphertext-only attack）
己知明文攻击（known-plaintext attack）
选择明文攻击（chosen-plaintext attack）
选择密文攻击（chosen-ciphertegt attack）

# 认证与密钥管理

# 1.认证依据主要有四类

所知道的秘密信息（Something You Know）实体（声称者）所掌握的秘密信息，如用户口令、验证码等。
所拥有的实物凭证（Something You Have）实体（声称者）所持有的不可伪造的物理设备，如智能卡、U盾等。
所具有的生物特征实体（声称者）所具有的生物特征，如指纹、声音、虹膜、人脸等。
所表现的行为特征实体（声称者）所表现的行为特征，如鼠标使用习惯、键盘敲键力度、地理位置等。

# 2.认证协议

OpenID、SAML、OAuth、EIDO等是国际标准的认证协议
SSH协议是在传输层与应用层之间的加密隧道应用协议，它从几个不同的方面来加强通信的完整性和安全性。SSH协议有三部分（层次）组成：传输层协议（Transport Layer Protocol）、用户认证协议（User Authentication Protocol）、连接协议（Connection Protocol）。SSH传输层协议负责进行服务器认证、数据机密性、信息完整性等方面的保护，并提供作为可选项的数据压缩功能，以便提高传输速度。
IP地址与MAC地址的映射关系涉及的协议是ARP和RARP，所以IP地址与MAC地址绑定使用ARP协议。ICMP是互联网控制报文协议，用于网络诊断；DHCP用于IP地址的动态分配；DNS是域名解析，用于域名和IP地址的相互映射。
SMTP是电子邮件传输协议：HELO表示发送身份标识；MAIL表示识别邮件发起方；RCPT表示识别邮件接收方；HELP表示发送帮助文档；SEND表示向终端发送邮件；DATA表示传送报文文本；VRFY表示证实用户名；QUIT表示关闭TCP连接。

# 3.无线局域网鉴别和保密体系（WAPI）

是一种安全协议，同时也是中国提出的无线局域网安全强制性标准。
当前全球无线局域网领域仅有的两个标准，分别是IEEE802.11系列标准（俗称WiFi）、WAPI标准
WAPI从应用模式上分为单点式和集中式两种。
WAPI的密钥管理方式包括基于证书和基于预共享密钥两种方式。若采用基于证书的方式，整个过程包括证书鉴别、单播密钥协商与组播密钥通告；若采用预共享密钥的方式，整签到个过程则为单播密钥协商与组播密钥通告。
WAPI分为WAI和WPI两部分，分别实现对用户身份的鉴别和对传输的业务数据加密。其中，WAI采用公开密钥体制，进行认证；WPI采用对称密码体制，实现加、解密操作。
与WIFI的单向加密认证不同，WAPI采用双向均认证。

# 六、安全管理与工程

# 安全运维

# 1. 运维安全审计产品的主要功能

字符会话审计：审计SSH、Telnet等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作命令等。
图形操作审计：审计RDP、VNC等远程京面以及HTTP/HTTPS协议的图形操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
数据库运维审计：审计Oracle、MSSQLServer、IBMDB2、PostgreSQL等各主流数据库的操作行为，审计内容包括访问起始和终止时间、用户名、用户|P、设备名称、设备IP、协议类型、危险等级和操作内容等。
文件传输审计：审计FTP、SFTP等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、目标设备IP、协议类型、文件名称、危险等级和操作命令等。
合规审计：根据上述审计内容，参照相关的安全管理制度，对运维操作进行合规检查，给出符合性审查

# 2. 容错系统工作方式

自动侦测：运行中自动地通过专用的冗余侦测线路和软件判断系统运行情况，检测冗余系统各冗余单元是否存在故障。
自动切换：当确认某一主机出错时，正常主机除了保证自身原来的任务继续运行外，还接管预先设定的后备作业程序，进行后续程序及服务。
自动恢复：故障主机被替换后，进行故障隔离，离线故障修复。修复后通过冗余通信线与正常主机连线，继而将原来的工作程序和磁盘上的数据自动切换回修复完成的主机上。

介质安全：指介质数据和介质本身的安全。包括磁盘信息加密技术和磁盘信息清除技术。

# 3.备份类型

增量备份：备份自上一次备份（包含完全备份、差异备份、增量备份）之后所有变化的数据（含删除文件信息）。

# 4.《重要信息系统灾难恢复指南》将灾难恢复能力划分为6级。

等级1：最低级，基本支持。
等级2：备用场地支持。
等级3：电子传输和设备支持。
等级4：电子传输及完整设备支持。
等级5：实时数据传输及完整设备支持。
等级6：最高级，数据零丢失和远程集群支持。

# 5.信息安全产品认证

信息安全产品认证分为产品型式认证、产品认证、信息系统安全认证、信息安全服务认证四类。
恶意代码防护产品的主要技术指标有恶意代码检测能力、恶意代码检测准确性、恶意代码阻断能力。

# 6.依据《信息安全等级保护管理办法》

第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理

第一级，信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级，信息系统运营、使用单位应当依据国家有关管理规范和技术标准佳进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级，信息系统运营、使用单位应当依据国家有关管理规范和技术标准佳进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级，信息系统运营、使用单位应当依据国家有关管理规范和技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查
第五级，信息系统运营、使用单位应当依据国家管理规范和技术标准和业业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

# 7.技术性分类漏洞

依据技术性分类，漏洞分为以下两类：

非技术性安全漏洞：这方面的漏洞来自制度、管理流程、人员、组织结构等。包括网络安全责任主体不明确、网络安全策略不完备、网络安全操作技能不足、网络安全监督缺失、网络安全特权控制不完备。
技术性安全漏洞：这方面的漏洞来源有设计错误、输入验证错误、缓冲区溢出、意外情况处置错误、访问验证错误、配置错误、竞争条件、环境错误等。

# 8.两地三中心容灾机制

同城
异地
生产中心
同城容灾中心
异地容灾中心

# 9.信息安全管理机构

信息安全领导小组：作为单位信息安全工作的最高领导决策机构
安全保密员：岗位职责包括信息系统安全监督和网络安全管理，沟通，协调和组织处理信息安全事件
系统管理员：岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作。
安全审计员：岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计，监督信息安全制度执行情况

# 风险评估与治理

# 1.网络安全管理方法

避免风险。例如，通过物理隔离设备将内部网和外部网分开，避免受到外部网的攻击。
转移风险。例如，购买商业保险计划或安全外包。
减少威胁。例如，安装防病毒软件包,防止病毒攻击。
消除脆弱点。例如，给操作系统打补丁或强化工作人员的安全意识。
减少威胁的影响。例如，采取多条通信线路进行备份或制定应急预案。
风险监测。例如，定期对网络系统中的安全状况进行风险分析，监测潜在的威胁行为。

# 2.攻击树方法

攻击树方法起源于故障树分析方法。故障树分析方法主要用于系统充风险分析和系统可靠性分析，后扩展为软件故障树，用于辅助识别软件设计和实现中的错误。

Schneier首先基于软件故障树方法提出了攻击树的概念，用AND-OR形式的树结构对目标对象进行网络安全威胁分析。

攻击树方法可以被Red Team用来进行渗透测试，同时也可以被Blue Team用来研究防御机制。

攻击树的优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景。
攻击树的缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来将会特别复杂。

# 3.网络安全取证一般包含如下6个步骤

第一步，取证现场保护。保护受害系统或设备的完整性，防止证据信息丢失。
第二步，识别证据。识别可获取的证据信息类型，应用适当的获取技术与工具。
第三步，传输证据。将获取的信息安全地传送到取证设备。
第四步，保存证据。存储证据，并确保存储的数据与原始数据一致。
第五步，分析证据。将有关证据进行关联分析，构造证据链，重现攻击过程。
第六步，提交证据。向管理者、律师或者法院提交证据。

# 4.电子证据

必须是可信、准确、完整、符合法律法规的，同时电子证据和传统证据不同，具有高科技性、无形性、易破坏性等特点。
高科技性：指电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了相应技术设备，电子证据就无法保存和传输。
无形性：指电子证据肉眼不能够直接可见的，必须借助适当的工具。
易破坏性：指电子证据很容易被篡改、删除。计算机取证要解决的关键问题是电子物证如何收集、如何保护、如何分析和如何展示。

# 5.安全风险管理

云服务安全风险：云平台物理安全威胁、云平台服务安全威胁、云平台资源滥用威胁、云平台运维及内部威胁、数据残留、过度依赖、利用共享技术漏洞攻击等。

# 法律法规与标准

# 1.安全法规

《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。
《中华人民共和国个人信息保护法》自2021年11月1日起施行。
中央网络安全和信息化领导小组成立于2014年2月
《中华人民共和国数据安全法》，2021年6月10日通过，2021年9月1日执行。
滴滴全球股份有限公司违反：《网络安全法》、《数据安全法》、《个人信息保护法》
国内已经建立了国家计算机网络应急技术处理协调中心，简称"国家互联网应急中心"，英文简称为CNCERT或CNCERT/CC，该中心成立于2002年 9月，为非政府非盈利的网络安全技术协调组织，是中央网络安全和信息化委员会办公室领导下的国家级网络安全应急机构。
刑法第二百八十五条（非法侵入计算机信息系统罪）违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
刑法第二百八十六条（破坏计算机信息系统罪）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

# 2.漏洞平台

CNVD（国家信息安全漏洞共享平台）：CNVD根据漏洞产生原因，将漏洞分为11种类型：输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。
CNNVD（国家信息安全漏洞库）：将信息安全漏洞划分为：配置错误、代码问题、资源管理错误、数字错误、信息泄露、跨站脚本、路径遍历、SQL注入、代码注入、访问控制错误和资料不足等。
NVDB（工业和信息化部网络安全威胁和漏洞信息共享平台）
ESRC（教育漏洞报告平台）
CNVDB（通用网络产品安全漏洞专业库）
CITIVD（信创政务产品安全漏洞专业库）
漏洞发布方式主要有三种形式：网站、电子邮件以及安全论坛。

# 3.计算机犯罪

计算机犯罪是指利用信息科学技术且以计算机为犯罪对象的犯罪行为。具体可以从犯罪工具角度、犯罪关系角度、资产对象角度、信息对象角度等方面定义。

首先是利用计算机犯罪，即将计算机作为犯罪工具。以构成犯罪行为和结果的空间为标准，可分为预备性犯罪和实行性犯罪。对于前者，犯罪的后果必须通过现实空间而不是虚拟空间实现。
从犯罪关系角度，计算机犯罪是指与计算机相关的危害社会并应当处以刑罚的行为。
从资产对象角度，计算机犯罪是指以计算机资产作为犯罪对象的行为。例如如公安部计算机管理监察司认为计算机犯罪是以计算机为工具或以计算机资产作为对象实施的犯罪行为。
从信息对象角度，计算机犯罪是以计算机和网络系统内的信息作为对象进行的犯罪，即计算机犯罪的本质特征是信息犯罪。

# 4.《全国人民代表大会常务委员会关于维护互联网安全的决定》

威胁社会主义市场经济秩序和社会管理秩序的行为：

利用互联网销售伪劣产品或者对商品、服务作虚假宣传；
利用互联网损坏他人商业信誉和商品声誉；
利用互联网侵犯他人知识产权；
利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息；
在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。

威胁个人、法人和其他组织的人身、财产等合法权利的行为：

利用互联网侮辱他人或者捏造事实诽谤他人；
非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密
利用互联网进行盗窃、诈骗、敲诈勒索。

威胁互联网运行安全的行为：

侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统
故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害；
违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。

威胁国家安全和社会稳定的行为：

利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一；
通过互联网窃取、泄露国家秘密、情报或者军事秘密；
利用互联网煽动民族仇恨、民族歧视，破坏民族团结；
利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。

# 七、物理与环境安全

# 机房安全

# 1. 计算机机房可选用下列房间(允许一室多用或酌情增减)

主要工作房间：主机房、终端室等;
第一类辅助房间：低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等;
第二类辅助房间：资料室、维修室、技术人员办公室;
第三类辅助房间：储藏室、缓冲间、技术人员休息室、盥洗室等。

# 2.IDC机房分成RI、R2、R3三个级别。各级IDC机房要求如下

R1级：IDC机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力，机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.5%；
R2级：IDC机房的机房基础设施和网络系统应具备冗余能力，机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.9%；
R3级：IDC机房的机房基础设施和网络系统应具备容错能力，机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.99%。

# 3.《数据中心设计规范(GB50174-2017)》强制性条文内容

8.4.4数据中心内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构必须进行等电位联结并接地；
13.2.1数据中心的耐火等级不应低于二级；(一级最高)
13.2.4当数据中心与其他功能用房在同一个建筑内时，数据中心与建筑内的其他功能用房之间应采用耐火极限不低于2.0h的防火隔墙和1.5h的楼板附隔开，隔墙上开门应采用甲级防火门；
13.3.1采用管网式气体灭火系统或细水雾灭火系统的主机房，应同时设置两组独立的火灾探测器，火灾报警系统应与灭火系统和视频监控系统联动；
13.4.1设置气体灭火系统的主机房，应配置专用空气呼吸器或氧气呼吸器

# 技术隔离

# 1.物理隔离

网闸：由两套各自独立的系统分别连接安全和非安全的网络，两套系统之间通过网闸进行信息摆渡，保证两套系统之间没有直接的物理通路。这是最接近物理隔离的方式。
信息摆渡：存在中间缓冲区，在任何时刻，物理传输信道只在传输进行时存在，中间缓冲区只与一端安全域相连；
单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC，使得单台计算机在某一时刻只能连接到内部网或外部网。
多PC：在用户桌面上安放两台PC，一台连接外部网络，一台连接内部网络。
双硬盘：一台计算机上安装两个硬盘，通过硬盘控制卡对硬盘进行切换控制，连接不同网络时挂接不同的硬盘；
单向传输：传输部件由一对独立的发送和接收部件构成，发送部件仅具有单一的发送功能，接收部件仅具有单一的接收功能，两者构成可信的单向信道，该信道无任何反馈信息

# 工业控制

# 1.编程控制器

可编程序控制器（Programmable Controllers，简称PLC），它主要由微处理器（CPU）、存储器（包括ROM和RAM）、输入/输出单元（I/O）、编程器和电源组成。

咸鱼翻身记