2023年2月27日01:36:09评论149 views字数 36309阅读121分1秒阅读模式

前言

作者：G4br1el

主要是看着视频来记笔记，一个字一个字敲的,三万多字。标了重要的可能是会考，听说发布法律的时间也会考到，包括可能也会考数据安全法啥的。不过缺了一个移动安全，视频没有就没办法记录。（可能有错别字哈）

去年（22年）考的内容，下午题有linux文件权限、iptables防火墙规则的编写、密码学写公式（密码学现在不是特别重视，但是也会考）等等。本来去年就写好了这个，但是还没群发。大家加油吧！我已经上岸了。

信息安全概述

网络发展现状：数字化（智慧城市）、网络化（5G）、智能化（中国制造2025）
狭义网络信息安全：机密性（C）、完整性（I）、可用性（A）、抗依赖性（数字签名）、可控性。
广义信息安全：大安全：国家、城市、经济、社会、生产、人身

保障内容：从单维度向多维度转变：网络空间域、物理空间域、社会空间域

保障措施从单一性（技术）向综合性（法律、政策、技术、管理、产业、教育）

保障时间维度涵盖网络系统整个生命周期
2016年发布《国家网络空间安全战略》
网络信息安全基本属性：机密性（C，不泄露给非授权）、完整性（I，未经授权不能进行更改）、可用性（A，合法许可用户能够及时获取网络信息或服务特性）、抗依赖性（数字签名，不可否认）、可控性（具有管理、支配能力的属性，控制），此外真实性（网络。物理、社会保持一致性）、时效性（满足时间约束要求）、合规性（符合法律法规）、隐私性（不对外公开）、公平性（同等地位）、可靠性（有效完成预定的系统功能）、可生存性（支撑业务继续运行）
重点网络信息安全功能：防御（具备阻止、抵御已知网络安全威胁，防火墙（静态））、监测（检测和发现已知或未知网络安全威胁）、应急（针对突发事件，具备及时响应和处置网络攻击）、恢复（针对已发生网络灾害事件、具备网络系统运行的功能）
网络信息安全基本技术要求：物理环境安全（环境、设备、存储介质）、网络信息安全认证（标识鉴别网络资源访问的身份的真实性，防止用户假冒身份访问网络资源）、网络信息访问控制（限制非法用户获取或使用网络资源，防止合法用户滥用权限越权访问）、网络安全保密（防止非授权用户访问网上信息或网络设备）、网络信息安全漏洞扫描、恶意代码防护、网络信息内容安全（防止不良信息、垃圾信息传播）、网络信息安全监测及预警、网络信息安全应急响应。
网络安全管理方法主要有：风险管理、等级保护（2.0）、纵深防御、层次化保护、应急响应以及PDCA方法。
威胁主体：自然和人为，威胁对象（物理安全、网络通信、网络服务、网络管理）
风险控制：避免（物理隔离，规避后不存在风险）、转移风险（购买商业保险计划或安全外包，转移第三方）、减少威胁（安装防病毒软件）、消除脆弱点（给操作系统打补丁，强化人员安全意识）、减少威胁影响（采用多条通信线路）、风险监测（定期对网络系统中安全状况进行风险分析，监测潜在的威胁行为）
网络信息安全管理工作流程:确定对象->评估价值->识别威胁->识别脆弱性->确定风险级别->制定防范措施->实施防范措施->运行维护设备和配置’
常见网络信息安全管理评估：网络安全等级保护测评、信息安全管理体系认证（ISMS）、系统安全工程能力成熟度模型（SSE-CMM）
《中华人民共和国网络安全法》于2017年6月1日正式实施
《中华人民共和国密码法》于2020年1月1日实施
留存网络日志不少于六个月
网络安全等级保护主要工作：定级、备案、建设整改、等级测评、运营维护
CCRC：中国网络安全审查技术与认证中心。
国家计算机网络应急技术处理协调中心（简称：国家互联网应急中心），英文名缩写为CNCERT 或者CNCERT/CC，积极预防、及时发现、快速响应、力保恢复。
网络信息安全科技信息获取主要来源：网络安全会议、网络安全期刊、网络安全网站、网络安全术语
网络信息安全领域四大顶级学术会议：S&P/CCS/NDSS/USENIX SECurity
网络安全术语（英文也要记住）：基础技术类（密码）、风险评估技术类（拒绝服务、网页篡改、网页仿冒、挂马、域名劫持、僵尸网络等等）、防护技术类（访问控制、防火墙、入侵防御系统）、检测技术类（入侵检测、漏洞扫描）、响应恢复技术类（应急响应、灾难恢复、备份）、测评技术类（黑盒测试、白盒测试、灰盒测试、渗透测试、模糊测试）

网络攻击原理与常用方法

网络攻击：是指损害网络系统安全属性的危害行为：信息泄露攻击（机密性）、完整性破坏攻击（完整性）、拒绝服务攻击、非法使用攻击
网络攻击模型：攻击树模型（故障树，系统风险分析和可靠性）、MITRE ATT&CK（攻击矩阵，网络红蓝对抗、渗透测试、网络防御差距评估、网络威胁情报）、网络杀伤链模型（kill chain，目标侦察-舆论-爬虫、武器构造、载荷投送-电子邮件附件-网站-USB可移动介质、漏洞利用、安装植入、指挥和控制-主机、目标行动-执行攻击目标，实现攻击意图）
网络攻击一般过程：隐藏攻击源->收集攻击目标信息->挖掘漏洞信息->获取目标访问权限->隐蔽攻击行为->实施攻击->开辟后门->清除攻击痕迹
重点端口扫描（找出目标系统上提供的服务列表）：

完全连接扫描：TCP/IP协议三次握手连接机制，建立一次完整的连接，建立成功表明该端口开放
半连接：TCP/IP协议三次握手过程中，只完成前两次握手，不建立一次完整连接。
SYN同步位扫描：向目标发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。目标返回ACK确认比特信息，则表明该端口开放，返回RESET复位比特信息，则表明端口没有开放。（SYN：同步比特、FIN：终止比特）
ID头信息扫描：需要第三方机器配合扫描，网络通信量要小。

SYN/ACK表示该端口处于监听状态

RST/ACK表示该端口处于非监听状态
隐蔽扫描：指能够成功绕过IDS、防火墙和监视系统等安全机制
SYN/ACK：同步确认扫描，源主机向目标主机直接发送SYN/ACK数据包，端口不处于开放状态（LISTENING）则返回RST复位信息，如果端口处于开放，不返回信息直接将数据包抛弃。
FIN终止位扫描：源主机向目标主机发送FIN数据包，如果返回RESET信息则说明端口关闭，端口没有返回任何信息则说明端口开放。
ACK扫描：源主机向目标主机发送ACK数据包，观察反馈数据包的TTL值和WIN值。开放端口返回数据包TTL一般小于64，win值大于0。关闭端口返回TTL值一般大于64，win值等于0。
NULL空位扫描：将源主机发送的数据包中的ACK（确认位）、FIN（终止位）、RST（复位位）、SYN（同步位）、URG（紧急位）、PSH（推位）等标志位全部置空，目标主机没有返回信息则端口是开放的，返回RST信息则端口是关闭的。
XMAS扫描：原理与NULL扫描相同，标志位置1，后面结果同NULL扫描相同。

口令破解：口令机制是资源访问控制第一道屏障，主要工作流程：建立目标服务网络连接->选取用户列表文件及字典文件->选取一组用户和口令，按网络服务协议规定，将用户名及口令发送给目标网络服务端口->检测远程服务返回信息，确定口令尝试是否成功->再选取另一组用户和口令，重复循环试验，直至口令用户列表文件及字典文件选取完毕。
缓冲区溢出：可以使攻击者有机会获得一台主机的部分或全部的控制权，缓冲区溢出漏洞会给予攻击者控制程序执行流程的机会。攻击者将特意构造的攻击代码植入有缓冲区溢出漏洞的程序之中，改变漏洞程序的执行过程，就可以得到被攻击主机的控制权。堆栈特性是后进先出。
恶意代码：常见类型：计算机病毒、网络蠕虫（1988年小莫里斯编制、2001年8月红色代码蠕虫、2010震网）、特洛伊木马、后门、逻辑炸弹、僵尸网络

常用恶意代码前缀：系统病毒（win32/PE/win95/w32/295）、网络蠕虫（Worm）、木马病毒（Trojan）、脚本病毒(Script)、宏病毒（Macro）、后门程序（Backdoor）、破坏性（Harm）、玩笑病毒（Joke）、捆绑机（Binder）
拒绝服务攻击：拒绝服务攻击最本质特征是延长服务等待时间（破坏可用性）

拒绝服务特点：难确认性、隐蔽性、资源有限性、软件复杂性

拒绝服务类型：同步包风暴、UDP洪水、Smurf攻击、垃圾邮件、消耗CPU和内存资源的拒绝服务攻击、死亡之ping、泪滴攻击、分布式拒绝服务攻击（Trino0、TFN、TFN2K、Sacheldraht）
网络钓鱼：是一种通过假冒可信方提供网上服务，以欺骗手段获取敏感个人信息的攻击方式。最典型网络钓鱼方法，网络钓鱼者利用欺骗性的电子邮件和伪造的网站来进行诈骗活动。
网络窃听：利用网络通信技术缺陷，获取其他人的网络通信信息，技术手段有网络嗅探和中间人攻击。
SQL注入：把SQL命令插入web表单的输入域或页面的请求查找字符串中，欺骗服务器执行恶意的sql命令。
社交工程：通过一系列社交行动，获取需要的信息。例如伪造系统管理员的身份，给特定的用户发电子邮件骗取他的密码口令。
电子监听：采用电子设备远距离地监视电磁波的传送过程。
会话劫持：攻击者在初始授权之后建立一个连接，在会话劫持以后，攻击者具有合法用户的特权权限。TCP会话劫持。
漏洞扫描：自动检测远程或本地主机安全漏洞的软件。常见漏洞扫描技术：CGI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等
代理技术：网络攻击者通过免费代理服务器进行攻击，目的是以代理服务器（肉鸡）为“攻击跳板”，增加追踪难度。
数据加密：网络攻击者采用数据加密技术来逃避网络安全管理人员的追踪。
扫描器：黑客的眼睛，通过扫描程序，黑客可以找到攻击目标的IP地址、开放的端口号、服务器运行的脚本、程序可能存在的漏洞等

扫描目的：地址扫描器、端口扫描器、漏洞扫描器

扫描软件：NMAP、Nessus、Superscan
远程监控：实际上是在受害机器上运行一个代理软件，在黑客电脑中运行管理软件，受害机器手控于黑客的管理端。常见的远程监控工具有冰河、网络精灵、netcat
密码破解：是安全渗透常用的工具，破解方式有口令猜测（弱口令）、穷举搜索（针对用户密码的选择空间）、撞库（根据已经收集到的用户密码的相关数据集）。密码破解常用工具：John the Ripper、L0phCrack
网络嗅探器：通过网络嗅探，黑客可以截获网络的信息包，之后对加密的信息包进行破解。常用工具：Tepdump、DSniff、Wireshark。
安全渗透工具箱：Metasploit（提供漏洞查找、漏洞利用、漏洞验证）、BackTrack5
重要DDOS攻击：分布式拒绝服务攻击，攻击步骤：通过探测扫描大量主机，寻找可以攻击的目标->攻击有安全漏洞的主机，并设法获取控制权->在已攻击成功的主机中安装客户端攻击程序->利用已攻击成功的主机继续进行扫描和攻击->当攻击客户端达到一定数目后，攻击者在主控端妃客户端攻击程序发布向特定目标进行攻击的命令。

常用攻击技术手段：HTTP Flood攻击（僵尸主机向特定目标网站发送大量的HTTP GET请求，导致网站瘫痪）、SYN Flood攻击（利用TCP/IP协议的安全缺陷，伪造主机发送大量的SYN包到目标系统，导致目标系统计算机网络瘫痪）、DNS放大攻击（假冒目标系统向多个DNS解析服务器发送大量请求，导致DNS解析服务器同时应答目标系统，产生大量网络流量形成拒绝服务）。
重要当案例W32.Blaster.worm：利用DCOM RPC漏洞进行传播的网络蠕虫。选择端口号135端口进行感染，在4444端口绑定后门，UDP 69端口进行监听，检查当前日期16日或以后，当前月份在9-12月之间，蠕虫将对windowsupdate.com发动TCP同步风暴进行拒绝服务攻击（SYN Flood）。

密码学基本概论

密码学发展概况：研究信息安全保护的科学，实现信息的保密性、完整性、可用性、抗依赖性
密码学主要由密码编码（加密，信息的变换处理以实现信息的安全保护）和密码分析（破译，通过密文获取对应的明文信息）两个部分组成，1949年，香农《保密系统的通信理论》提出交替使用换位和置换以抵御统计分析，增加了混乱和扩散的密码技术新方法。
2005年4月1日施行《中华人民共和国电子签名法》
2006年我国政府公布自己的商用密码算法
2020年1月1日正式实施《中华人民共和国密码法》
明文（M）采用密码技术进行保护的消息；密文（C）用密码技术处理过明文的结果，称为加密消息；将明文变换成密文的过程称作加密（D）；逆过程，由密文恢复出原明文的过程称作解密（E）。加密和解密算法的操作通常是在密钥控制下进行的，分别称为加密密钥（Kd）和解密密钥（Ke）
重要密码安全性分析：

唯密文攻击：只拥有一个或多个用同一个密钥加密的密文，没有其他可利用信息
已知明文攻击：仅知道当前密钥下的一些明文及所对应的密文
选择明文攻击：能够得到当前密钥下自己选定的明文所对应的密文
密文验证攻击：对于任何选定的密文，能够得到该密文“是否合法”的判断
选择密文攻击：除了挑战密文外，能够得到任何选定的密文所对应的明文.

重要密码体制：分为私钥和公钥密码体制，介于两者之间称为混合密码体制。

私钥密码体制：对称密码体制，特点是加密和解密使用相同密钥（Kd=Ke），有n个使用者，使用者共享一个密钥，则共有

$$
frac{n(n-1)}{n}
$$

个密钥，缺点：密钥分配问题、密钥管理问题以及无法认证源，但是处理速度快，算法有：DES、IDEA、AES。
公钥密码体制：非对称密码体制，Kd≠Ke，其中加密密钥可以公开，只需要把解密密钥安全存放即可。优点：密钥分发方便，密钥保管量少，支持数字签名（RSA体制、ELGamal、椭圆曲线ECC）
混合密码体制（数字信封）：利用公钥密码体制分配私钥密码体制的密钥，消息收发双方共用这个密钥，按照私钥密码体制方式进行加密和解密运算。

DES：数据加密标准简称，由IBM公司研制。分组加密算法，支持64比特的明文块加密，其密钥长度为56比特。

三重DES（TDEA算法）：使用DES对明文进行“加密->解密->加密”操作，即对DES加密后的密文进行解密再加密，而解密则相反。
IDEA：国际数据加密算法，分组加密处理算法，明文和密文长度是64比特，密钥长度128比特。能够接受64比特分组加密处理，同一算法即可以用于加密又可以用于解密。该算法设计思想是“混合使用来自不同代数群中的运算”
AES：1997年NIST研究所发起征集AES算法的活动，目的是确定一个非保密的、公开的、全球免费使用的分组密码算法，保护下一世纪政府的敏感信息。密码系统支持至少128比特长的分组，密码支持的密钥长度至少为128、192、256比特。

重要当案例计算RSA：非对称算法。公钥和私钥都可以用于加密消息，用于加密消息的密钥与用于解密消息的密钥相反。提供了一种保护网络通信和数据存储的机密性、完整性、真实性和不可否认性的方法，目前SSH、OpenPGP、S/MIME和SSL/TLS都依赖与RSA进行加密和数字签名。

RSA算法基于大整数因子分解的困难性，算法步骤如下：
RSA安全性保证要做到选取素数p和q足够大，使得给定了它们的乘积n后，在事先不知道p或q的情况下分解n是计算上不可行的。机遇安全性考虑，要求n长度至少为1024比特，长期安全性来看，n的长度至少应为2048比特，或者是616位的十进制数。

重要国产密码算法：国家密码研究相关机构自主算法，商用密码。（选择题必考）

SM1：对称加密，分组长度和密钥长度都是128比特
SM2：非对称加密，用于公钥加密、密钥交换、数字签名算法，推荐使用素数域256位椭圆曲线
SM3：杂凑算法，杂凑值长度为256比特
SM4：对称加密，分组长度和密钥长度都是128比特
SM9：标识密码算法

Hash函数：杂凑函数简称Hash函数，能够将任意长度的信息转换成固定长度的哈希值（数字摘要或消息摘要），并且任意不同消息或文件所生成的哈希值不一样的。不仅用于保护信息或文件的完整性，而且也能用作密码信息的安全存储，例如网页防篡改应用。
Hash算法：产生哈希值或杂凑值的计算方法，又称为杂凑算法、散列算法、哈希算法、数据摘要算法。

MD5：以512位数据块为单位来处理输入，产生128位的消息摘要，MD5能产生128比特长度的哈希值，用在文件完整性检查。
SHA算法：以512位数据块为单位来处理输入，产生160位的哈希值
SM3国产算法：分组长度为512比特，输出杂凑值长度为256比特

重要数字签名：签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果，该结果只能使用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。特点：可信的、不可伪造的、不可重用、不可抵赖、不可修改。

数字签名需满足条件：非否认、真实性、可鉴别性。

签名方案一般由签名算法（密钥是秘密的）和验证算法（公开的）组成

数字签名方案有：RSA签名体制、Rabin签名体制、EIGamal签名体制和DSS标准。签名与加密相似，利用私密密钥对需签名的数据进行加密，验证方利用签名者的公开密钥对签名数据做解密运算，不同之处在于，加密的目的是保护信息不被非授权用户访问，而签名是使消息接收者确信信息的发送者是谁，信息是否被他人篡改。
密码管理：分为三方面内容，密钥管理、密码管理政策、密码测评。《中华人民共和国密码法》规定，密码分为核心密码、普通密码、商用密码，实行分类管理，核心密码和普通密码用于保护国家秘密信息，属于国家秘密，由密码管理部门依法实行严格统一管理；商用密码用于保护不属于国家秘密的信息，公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
数字证书：公钥证书，由证书认证机构（CA）签名的包含公开密钥拥有者信息。数字证书类别：个人证书、机构证书、设备证书，按用途分为签名证书和加密证书。基于PKI技术建立数字证书认证系统，CA提供数字证书的申请、审核、签发、查询、发布以及证书吊销。
数字证书认证系统构成包括：目录服务器、OCSP服务器、注册服务器、签发服务器、
安全协议：DH密钥交换协议，基于求解离散对数问题的困难性。

$$
C^d=M mod P
$$
重要SSH是基于公钥的安全应用协议，有SSH传输层协议（算法协商和密钥交换）、SSH用户认证协议（利用传输层服务建立连接）、SSH连接协议（支持注册会话隧道和TCP转发）。
重要 SSH的工作流程7步骤：

客户获取服务器证书
SSH连接请求
初始化连接请求，发送服务器公钥
客户验证服务器公钥
建立DH密钥
认证用户
使用SSH Tunnel

22年软考中级信息安全工程师备考笔记

在实际应用中，SSH在端口转发技术的基础上，能够支持远程登陆（Telnet）、rsh、rlogin、文件传输（SCP）等安全服务。linux一般提供SSH服务、端口为22。虽然是一个安全协议，但也有可能受到中间人攻击和拒绝服务攻击。

密码学应用场景：网络用户安全（公钥密码学技术、加密技术）、物理和环境安全（物理区域访问者的身份鉴别、保护电子门禁系统进出记录存储完整性和机密性、保证视频监控音像记录的存储完整性和机密性）、设备和计算安全、网络和通信安全、应用和数据安全
路由器安全应用：路由器口令管理（MD5对管理员口令进行HASH计算）、远程安全访问路由器（远程访问路由器Telnet，用SSH安全协议替换Telnet）、路由信息交换认证（MD5-HMAC）
web网站安全应用：安全威胁（信息泄露、非授权访问、网站假冒、拒绝服务）；密码学应用（web用户身份认证、web服务信息加密处理以及web信息完整性检查）；重要信息网站通过数字证书和SSL共同保护web服务的安全。
电子邮件安全应用：用PGP保护电子邮件安全，采用了MD5和RSA以及随机数生成器。

网络安全体系与网络安全模型

网络安全体系概述：网络安全保障系统的最高层概念抽象
网络安全体系特征：整体性、协同性、过程性、全面性、适应性
重要 BLP机密性模型：符合军事安全策略的计算机安全模型。有简单安全特性、*特性。BLP：上写下读

简单安全特性：主体对客体进行读访问的必要条件是：主体的安全级别不小于客体的安全级别，主体只能向下读，不能向上读。
*特性：一个主体对客体进行写访问的必要条件：客体的安全级支配主体的安全级，客体的保密级别不小于主体的保密级别，主体只能向上写，不能向下写。
信息流只向高级别的客体访问流动，而高级别的主体可以读取低级别的主体信息。
安全级顺序：公开<秘密<机密<绝密
两个范畴集之间的关系是包含、被包含和无关。
在一个访问类中，仅有单一的安全级，而范畴可以包含多个。

重要Biba完整性模型：防止非授权修改系统信息，以保护系统的信息完整性。不能下读不能上写。

简单安全特性：主体的完整性级别不小于客体的完整性级别，主体不能向下读。
*特性：主体的完整性级别小于客体的完整性级别，不能修改客体，主体不能向上写。
调用特性：主体的完整性级别小于另一个主体的完整性级别，不能调用另一个主体。

信息流模型：是访问控制模型的一种变形，简称FM。该模型不检查主体对客体的春去，而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。一个安全的FM当且仅当执行系列操作后，不会导致流与流关系产生冲突。信息流模型可以用于分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。隐蔽通道表现为低安全等级主体对于高安全等级主题所产生信息的间接读取。
重要信息保障模型：

安全保护，能够阻止对网络的入侵和危害
安全监测，及时发现入侵和破坏
实时响应，当攻击发生时维持网络“打不垮”
恢复，使网络在遭受攻击后以最快速度起死回生，最大限度降低安全事件带来的损失。

CMM1级：补丁修补
CMM2级：渗透测试、安全代码评审
CMM3级：漏洞评估、代码分析、安全编码标准
CMM4级：软件安全风险识别、SDLC实施不同安全检查点
CMM5级：改进软件安全风险覆盖率、评估安全差距

1级-非正式执行：具备随机、无序、被动的过程
2级-计划跟踪：具备主动、非体系化的过程
3级-充分定义：具备正式的、规范的过程（要记住，定的阶段）
4级-量化控制：具备可量化的过程
5级-持续优化：具备可持续优化的过程

保护(Protection)：加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术、入侵防护。
检测(Detection)：入侵检测、系统脆弱性。数据完整性检测、攻击性检测
恢复(Recovery)：数据备份、数据修复、系统恢复
响应(Response)：应急策略、应急机制、应急手段、入侵过程分析及安状态评估。

PDRR模型：
P2DR模型：策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）
WPDRRC模型：预警、保护、检测、响应、恢复和反击。
重点能力成熟度模型（CMM），级别越大能力成熟度越高。
SSE-CMM：系统安全工程能力成熟度模型，工程组织项目。工程过程类、组织过程类、项目过程类。
数据安全能力成熟度模型：组织建设（架构建立、职责分配和沟通协作）、制度流程（制度规范和流程落地建设）、技术工具（要求自动化实现安全工作）、人员能力（执行数据安全工作的人员的意识和专业能力）
重点软件安全能力成熟度模型：
纵深防御模型（四道防线）：
分层防护模型：以OSI七层模型作为参考，对保护对象进行分层次化保护，分为物理层、网络层、系统层、应用层、用户层、管理层。
等级保护模型：首先定级，其次确定与系统安全等级相对应的基本安全要求，最后依据要求进行安全保护措施的定制，并依照指南相关要求完成规划、设计、实施、验收。
网络生存模型：网络生成性是指在网络信息系统遭受入侵的情形下，依然能够持续提供比较服务的能力。目前模型遵循“3R”建立方法：抵抗（Rsistance）、识别（Reognition）、恢复（Recovery）
网络安全原则：系统性和动态性、纵深防护和协作性、网络安全风险和分级保护原则、标准化和一致性原则、技术与管理相结合原则、安全第一预防为主等
网络安全策略：策略文件具备：涉及范围、有效期、所有者、责任、参考文件、策略主体内容、复查、违规处理。
网络安全体系框架：网络安全法律法规、网络安全策略、网络安全组织、网络安全管理、网络安全基础设施及网络安全服务等等等。
网络安全组织建设内容：网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资质协同。
网络安全组织结构主要包括领导层（审查与批准）、管理层（制订与监督）、执行层（实行与负责）以及外部协作层（组织外的安全专家或合作伙伴组成）。
网络安全组织的执行层：业务人员、技术人员、系统管理员、项目工程人员组成。
网络安全管理体系：管理目标、管理手段、管理主体、管理依据、管理资源。
网络安全基础设施：网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心。
网络安全体系构建内容，网络安全核心技术目标：自主可控、安全可信。网络安全技术类型分为：保护类技术、监测类技术、恢复类技术、响应类技术
网络安全等级保护制度：主要工作是定级、备案、建设整改、等级测评、监督检查。
定级对象的安全保护等级（用系安结访）：用户自主保护级、系统保护审计级、安全标记保护级、结构化保护级、访问验证保护级。
网络安全等级保护制度2.0主要变化：扩大了对象范围（云计算、移动互联、物联网、工业控制系统）；提出了在”安全通信网络“、”安全区域边界“、”安全计算环境“、”安全管理中心“支持下三重防护体系架构；强化了可信计算技术使用的要求。
智慧城市安全体系框架：智慧城市安全战略保障（明确国家只会城市安全建设总体方针）、智慧城市安全技术保障（物联感知、网络通信、计算与存储、数据及服务融合以及智慧应用层，功能要素包括防护、检测、响应和恢复）、智慧城市安全管理保障（决策规划、组织管理、协调监督、评价改进）、智慧城市安全建设与运营保障（要素包含工程实施、监测预警、应急处置、灾难恢复）、智慧城市安全基础支撑（密钥与证书管理基础设施、身份管理基础设施、监测预警与通报基础设施、容灾备份基础设施和时间同步）。
智能交通系统是集成先进的信息技术。数据通信技术、计算机处理技术和电子控制技术而形成的复杂系统，其潜在的网络安全风险可能危及车主的财产和生命安全。按照”识别风险、设计规划、指导落实、持续改进“的体系架构设计方法论。
NIST网络安全框架体系：识别（面临安全风险的认识和确认）、保护（制定实施安全措施）、检测（指定实施恰当行动以发现网络安全事件）、响应（对已经发现的网络安全事件采取合适的行动）、恢复（制定和实施适当的行动以弹性容忍安全事件出现并修复受损的功能或服务）

物理与环境安全技术

物理安全是网络安全基础。
物理安全威胁：网络信息系统安全运行、可信控制的基础。物理安全面临硬件攻击的威胁。
硬件木马：在集成电路芯片（IC）被植入恶意电路，被激活后会改变IC的原有功能和规格，导致信息泄露会失去控制。IC整个生命周期内的研发设计、生产制造、封装测试都有可能被植入恶意硬件逻辑，形成硬件木马。Cloaker是一个硬件支持的Rotkit。
硬件安全漏洞利用：”熔断(Meltdown)“和”幽灵(Spectre)“CPU漏洞属于硬件安全漏洞。
软件漏洞攻击硬件实体：利用控制系统的软件漏洞，修改物理实体的配置参数，使得物理实体处于非正常运行状态，导致物理实体受到破坏，例如震网病毒
基于环境攻击计算机实体：电磁场、温度、空气湿度
物理安全防护：设备（标志和标记、防止电磁信息泄露）、环境（防火、防水、防雷、防盗等）、系统（存储介质、灾难备份与恢复、物理设备访问、设备管理和保护、资源利用等）
物理安全规范：用户自主保护级（基本物理安全防护）、系统审计保护级（适当）、安全标记级（较高）、结构化保护级（更高程度物理安全保护）。
机房安全等级划分：机房实体是由电子设备、机电设备、光磁材料组成。使用GBT9361-2011国标要求，等级分为三级：A为严格要求，有完善的计算机机房安全措施；B级有较严格的要求和较完善的安全措施；C级有基本要求和基本安全措施。
重要数据中心建设与设计要求，并使用GB50170-2017国标标准实行：

数据中心建设和布局基本原则：市场需求导向、资源环境优先、区域统筹协调原则、多方要素兼顾、发展与安全并重原则
规模大小将数据中心分三类：超大型（大于等于10000个标准机架的数据中心，考虑气候环境、能源供给）、大型（大于等于3000个小于10000个）、中小型（小于3000，考虑市场需求、能源供给）
数据中心所有设备的金属外壳、各类金属管道、金属线槽等结构必须进行等电位联结并接地。
数据中心耐火等级不低于二级。数据中心与建筑内其他功能用房之间应采用耐火极限不低于2.0h的防火隔墙和1.5h的楼板隔开，隔墙上开门应采用甲级防火门。

互联网数据中心：简称IDC，是一类向用户提供资源出租基本业务和有关附加业务、在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心。IDC一般由机房基础设施、网络系统、资源系统、业务系统、管理系统、安全系统六大逻辑功能部分组成。

GB51195-2016规定IDC机房分成R1/R2/R3三个级别
R1：具备一定的冗余能力，机房基础设施和网络系统可支撑的IDC业务可用性不小于99.5%
R2：应具备冗余能力，机房基础设施和网络系统可支撑的IDC业务可用性不小于99.9%
R3：应具备容错能力，机房基础设施和网络系统可支撑的IDC业务可用性不小于9.9%

CA机房物理安全机制：物理环境安装GMT0034要求严格实施。至少每五年进行一次屏蔽室检测。
网络通信线路安全分析：物理安全威胁：被切断、被电磁干扰、泄露信息。核心网络设备采取设备冗余，设备之间互为备份。安全措施采用多路通信方式（双路由保护）
设备硬件攻击防护，硬件木马检测：反向分析法、功耗分析法、侧信道分析法。

认证技术原理与应用

认证是一个实体向另外一个实体怎么其所声称的身份的过程，认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者。
认证一般由标识（Identification，人员、设备、数据的身份标志，ID）和鉴别（Authentication，利用口令、电子签名等对实体所声称的属性进行识别验证的过程）
认证依据：鉴别信息，确认实体身份真实性

所知道的秘密信息：用户口令、验证码
所拥有的实物凭证：智能卡、U盾
所具有的生物特征：指纹、声音等
所表现的行为特征：鼠标使用习惯、键盘敲键力度

认证机制由验证对象（声称者）、认证协议（验证者）、鉴别实体（根据验证对象所提供的认证凭据，给出身份的真实性或属性判断）构成
认证类型数量可分成单因素、双因素和多因素认证。认证所利用时间长度分为一次性口令（OTP，保护口令安全，防止口令重用）、持续认证（整个会话过程特征行为进行连续地监测，鉴定因素分为认知因素、物理因素、上下文因素）
重要认证类型分为：单向认证、双向认证、第三方认证。

单向认证是认证过程中，验证者对声称者进行单方面的鉴别，声称者不需要识别验证者身份。基于共享秘密（A发送自身标识和共享秘密给B，B回复A验证结果消息），基于挑战响应。
双向认证是认证过程中，验证者对声称者进行单方面的鉴别，同时声称者也对验证者身份进行确认，互为验证者。
第三方认证：鉴别过程中通过可信第三方（TTP）实现

重要认证技术方法：口令认证、智能卡技术、基于生物特征认证技术、Kerberos认证技术。

kerberos客户机：用来访问服务器设备
AS认证服务器：识别用户身份并提供TGS会话密钥
TGS票据发放服务器：为申请服务的用户授予票据
应用服务器：为用户提供服务的设备或系统

口令认证：基于用户所知道的秘密进行的认证技术，不足就是容易受到窃听、重放、中间人攻击、口令猜测。
智能卡：带有存储器和微处理的集成电路卡。认证根据所拥有的实物进行，可以用来实现挑战认证。
基于生物认证技术：利用人类生物特征进行验证，如指纹（采集、处理、登记、比对）、人脸（客户端、服务端、安全传输通道组成）、视网膜（虹膜特征是对虹膜图像进行特征分析，生成能区分个体的唯一的特征数据序列）、语音。
kerberos认证：网络认证协议，目标是使用密钥加密为客户端/服务端应用程序提供强身份认证，是利用对称密码技术，使用可信第三方提供认证服务。涉及四个基本实体（AS和TGS统称为KDC）：
公钥基础设施（PKI）技术：公钥密码体制不仅能够实现加密服务，而且也能提供识别和认证服务。需要一个可信第三方担任实体身份（CA机构）。PKI多个实体的协商和操作，包括CA、RA、终端实体、客户端、目录服务器。
单点登陆：用户访问使用不同的系统时，只需要进行一次身份认证。
基于人机识别认证技术：基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作，防止计算机程序恶意操作。CAPTCHA技术：文本、图像、语音。
多因素认证技术：多种鉴别信息进行组合提升认证的安全强度。
基于行为的身份鉴别技术：用户行为和风险大小而进行。
快速在线认证（FIDO）：使用标准公钥加密技术来提供强身份验证，主要保护用户隐私

认证主要产品：硬件实体模式、软件模式、软硬结合模式。商业产品主要为物理硬件实体，安全功能软件集成到硬件实体中。
目前认证技术主要产品类型包括：系统安全增强、生物认证、电子认证服务、网络准入控制和身份认证网关。认证技术产品的评价指标分成三类：安全功能要求、性能要求、安全保障要求。
认证技术常见应用场景：用户身份验证、信息来源证实、信息安全保护。
路由器邻居认证类型：OSPF、RIP、RIGRP认证，认证模式由明文认证和消息摘要认证（一般采用）
eID身份验证应用:由一对非对称密钥和含有其公钥及相关信息的数字证书组成。

访问控制技术原理与应用

访问控制是网络信息系统的基本安全机制，是指对资源对象的访问者授权、控制的方法及运行机制。访问者称为主体，可以是用户、进程、应用程序。资源对象称为客体，即被访问的对象，可以是文件、应用服务、数据等。授权是访问者可以对资源对象进行访问的方式，如文件读写删除追加等。控制是对访问者使用的方式的监测和限制。访问控制目标：防止非法用户进入系统、阻止合法用户对系统资源的非法使用。禁止越权访问。
重要访问控制模型组成要素有：主体、参考监视器、客体、访问控制数据库、审计库。

主体：客体操作实施者，是人、进程、设备
客体：是被主体操作的对象。
参考监视器：访问控制的决策单元和执行单元的集合体。
访问控制数据库：记录主体访问客体的权限及其访问方式的信息，提供访问控制决策判断的依据，也称为访问控制策略库。
审计库：存储主体访问客体的操作信息。

访问控制的模型

自主访问控制模型、强制访问控制模型、基于角色的访问控制模型常常用于操作系统、数据库系统的资源访问。
基于使用的访问控制模型：隐私保护、敏感信息安全限制、知识产权保护
基于地理位置的访问控制模型：移动互联网应用授权控制，如打车服务
基于属性的访问控制：提供分布式网络环境和web服务的模型访问控制。
基于行为的访问控制模型：根据主体的活动行为，提供安全风险的控制，如上网行为管理
基于时态的访问控制模型：利用时态作为访问的约束条件，增强访问控制细粒度。

重要自主访问控制（DAC）：客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。

基于行的自主访问控制：每个主体附加一个该主体可访问客体的明细表：能力表（访问客体钥匙）、前缀表（受保护客体名和主体对它的访问权限）、口令（基于口令机制的自主存储控制机制中）
基于列的自主访问控制：在每个客体附加一个可访问它的主体的明细表：保护位（对所有主体、主体组以及客体的拥有者指明一个访问模式的集合，通过以比特位来表示访问权限）、访问控制表ACL（是在每个客体上都附加一个主体明细表，表示访问控制矩阵）。

强制访问控制（MAC）：系统根据主体和客体的安全属性，强制方式控制主体对客体的访问。自主访问控制不能适应高安全等级需求，政府部门、军事和金融领域常利用强制访问控制机制。
重要基于角色的访问控制（RBAC）：角色（role）是系统中的、职位或者分工，基于角色访问控制根据完成某些职责任务所需要的访问权限来进行授权和管理。RBAC由用户U、角色R、会话S和权限P，用户与角色关系是多对多关系。
基于属性的访问控制（ABAC）:根据主题属性/客体属性/环境条件、访问策略对主体的请求操作进行授权许可或拒绝。
访问控制策略：用于规定用户访问资源的权限，防止资源损失、泄密或非法使用。由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成。
访问控制规则：就是访问约束条件集，是访问控制策略的具体实现和表现形式。常见规则有：基于用户身份、基于时间、基于地址、基于服务。
访问控制过程：目的是保护系统资产，防止非法用户进入系统以及合法用户对系统资源的非法使用
最小特权管理：特权（Privilege）是用户超越系统访问控制所拥有的权限。利于系统维护和配置，不利于系统安全性。

特权的管理应按最小化机制，防止特权误用
最小特权原则指系统每一个主体只能拥有完成任务所必要的权限集
最小特权管理的目的是系统不应赋予特权拥有者完成任务的额外权限，阻止特权乱用
特权分配原则是“按需使用”

用户访问管理：防止系统非授权使用，对系统用户权限进行管理。用户管理主要工作：用户登记、用户权限分配、访问记录、权限监测、权限取消、撤销用户。
口令安全管理：访问控制进行身份鉴别的重要依据。
访问控制主要产品：4A系统（认证、授权、账号、审计，也就是统一安全管理平台，常用基于角色的访问控制）、安全网关（统一威胁管理）、系统安全增强等。
访问控制技术应用：物理访问、网络访问控制、操作系统访问控制。
linux系统访问控制应用：实现自主访问控制技术的基本方法是在每个文件上使用“9比特位”来标识访问控制权限信息。

r表示“读权限”、w表示“写权限”、x表示"执行权限"
windows访问控制应用：winlogon进程为用户创建访问令牌，包含SID安全标识符、DACL客体自主访问控制列表、SACL系统访问控制列表、SRM安全参考监视器。

防火墙技术

将自己的网络与公共的不可信任的网络进行隔离。人为划分若干安全区域：公共外部网络（internet）、内联网、外联网（合作伙伴之间通信）、军事缓冲区（DMZ）。防火墙安装在不同安全区域边界处，用于网络通信安全控制，由专用硬件或软件系统组成，根据安全规则进行控制（禁止或转发）
防火墙的安全策略有两种类型：白名单（只允许符合安全规则的包通过防火墙）、黑名单（禁止与安全规则相冲突的包通过防火墙）。
防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层。
防火墙功能：过滤非安全网络访问（禁止未授权）、限制网络访问（Mail、FTP、www）、网络访问审计（记录）、网络带宽控制、协同防御（防火墙+入侵检测系统）
防火墙安全风险：网络安全旁路、防火墙功能缺陷（不能完全防止感染病毒软件或文件传输、不能防止基于数据驱动式的攻击、不能完全防止后门攻击、安全机制形成单点故障和特权威胁、无法有效防范内部威胁、受限于安全规则）
防火墙类型分为：包过滤、代理防火墙、下一代防火墙、web防火墙、数据库防火墙、工控防火墙。

防火墙实现技术主要有包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查。

包过滤：IP层实现，包过滤根据包的源IP、目的IP、源端口、目的端口、包传递方向。匹配操作有拒绝、转发、审计。包过滤防火墙技术优点是低负载、高通过率，对用户透明。
状态检测
应用服务代理：内部于外部通信的连接”中间人“的角色，可以分为FTP代理、Telnet代理、HTTP代理、socks代理、邮件代理等。

优点是：不允许外部主机直接访问内部、支持多种认证方案、可以分析数据包内部的应用命令

缺点是：速度比包过滤慢、对用户不透明、并不能支持所有网络协议
重要网络地址转换：静态NAT、NAT池、端口NAT三种类型。开源操作系统linux自带的iptables防火墙支持地址转换技术。
web防火墙：允许/禁止HTTP请求，后缀名过滤、URL关键字过滤、web服务器返回内容过滤、抵御典型攻击：sql注入、XSS跨站脚本攻击、web应用扫描、webshell等。
数据库防火墙：深度分析可以访问数据库服务的应用程序数据包的”源地址、目标地址、源端口、sql语句“
工控防火墙
下一代防火墙：具有应用识别、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署。智能化安全管理

防火墙共性关键技术：深度包检测（DPI，对包的数据内容进行检查，深入应用层分析，隐私保护使DPI的检测能力受到限制）
防火墙主要技术指标：安全功能、性能（吞吐量、最大连接速率、最大规则数、并发连接数）、安全保障、环境适应。
防火墙防御体系结构：基于双宿主机防火墙（双网卡）、基于代理型防火墙（代理主机位于内部网络，缺点就是被攻破后，攻击者变成了内部合法用户，完全可以侦听到内部网络上的所有信息）、基于屏藏子网（应用代理位于被屏蔽子网中，优点是安全级别最高，缺点是成本高配置复杂）
防火墙应用场景：上网保护、网站保护、数据保护。网络边界保护、终端保护、网络安全应急响应。
iptables是linux自带防火墙：支持数据包过滤、数据包转发、地址转换、基于MAC地址的过滤、基于状态的过滤、包速率限制等安全功能。

VPN技术原理与应用

VPN翻译为”虚拟专用网“，经过加密处理后由公共网络到目的地。是逻辑隔离的而不是物理隔离的。
VPN安全服务：保密性服务（防止被监听）、完整性（防止传输信息被修改）、认证服务（防止非法接入）
重要VPN类型：链路VPN（ATM/Frame relay/多协议标签交换MPLS）、网络层VPN（手控路由过滤，隧道技术）、传输层VPN（SSL）

SSL（传输层安全协议，包含SSL握手协议：”握手协议、密码规格变更协议、报警协议“和记录层协议；

SSL协议介于应用层和TCP层的安全通信协议；

SSL工作原理：将应用层的信息加密或签证处理后经TCP/IP网络送至对方，收方经验证无误后解密还原信息。

提供三种安全通信服务：保密性通信(对称密码算法)，点对点身份认证（非对称密码算法）和可靠性通信（安全杂凑函数））

PPTP（点对点安全隧道协议，使用TCP-1722端口）

L2TP（UDP-1701端口）

IPSec（认证头AH保证IP包完整性和提供数据源认证；封装安全有效负荷ESP保证IP包的保密性，透明模式只保护IP包的数据域，隧道模式保护IP包头和数据域；密钥交换协议主要有互联网密钥交换协议IKE、互联网安全关联与密钥管理协议ISAKMP、密钥交换协议Oakley）

VPN实现技术是密码算法（核心技术）、密钥管理（手工配置SKIP/ISAKMP、密钥交换协议动态分发）、认证访问控制(用户身份认证、数据完整性和合法性认证)

VPN技术主要产品特征如下：

IPsec VPN：支持隧道模式（适用于主机和网关实现）、传输模式（可选，仅适用于主机实现）

非对称算法使用1024比特的RSA算法或256比特的SM2椭圆曲线密码算法，用于实体验证、数字签名和数字信封等；

对称算法使用128比特分组的SM1分组密码算法，用于密钥协商数据的加密保护和报文数据的加密保护，CBC工作模式。
SSL VPN工作模式：客户端-服务端模式，网管-网关模式两种。

非对称密码算法包括256位群阶ECC椭圆曲线密码算法SM2、IBC标识密码算法SM9和1024以上RSA算法。

分组密码算法为SM1算法，用于密钥写上数据的加密保护和报文数据的加密保护，使用CBC模式。

密码杂凑算法包括SM3和SHA-1算法，用于密钥生成和完整性校验。

VPN应用分类：远程访问虚拟网（AccesVPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（ExtranetVPN）

入侵检测技术原理与应用

入侵检测(IDS)是网络安全态势感知的关键核心技术
入侵检测模型（CIDF）由事件产生器、事件分析器、响应单元和事件数据库组成
入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术发现系统中企图或已经违背安全策略的行为，作用：发现入侵行为、检验安全保护措施有效性、及时报警触发网络安全应急响应、可以为网络安全策略的制定提供重要指导、可以用作网络犯罪取证。
基于误用入侵检测技术：根据已知入侵模式检测入侵行为。采用此IDS产品的检测能力取决于攻击模式库的大小以及攻击方法的覆盖面。还分为这几种检测方法：基于条件概率、状态迁移、键盘监控、基于规则（snot）
基于异常的入侵检测技术：和正常情况相比较。异常检测前提是异常行为包括入侵行为。理想情况下，异常行为等同于入侵行为，但现实生活中，入侵行为集合不等同于异常行为集合。基本思路：构造异常行为集合，从中发现入侵行为。检测方法：基于统计、基于模式预测、基于文本分类、基于贝叶斯推理、基于规范、基于生物免疫、基于攻击诱骗、入侵报警、沙箱动态。
重要入侵检测系统组成及分类：主要包括基于主机的入侵检测系统（HIDS）、基于网络入侵检测系统（NIDS）和分布式入侵检测系统（DIDS）。

功能模块：数据采集、入侵分析引擎、应急处理、管理配置模块、辅助模块。
数据采集：为入侵分析提供数据资源
入侵分析引擎：依据辅助模块提供信息，根据算法对收集到的数据进行分析，判断是否有入侵行为出现，并产生入侵报警。是入侵检测系统的核心模块。
管理配置模块：IDS系统中的模块与用户的接口
应急处理：提供紧急响应服务，如关闭网络服务，中断网络连接、启动备份系统。
辅助模块：协助入侵分析引擎模块工作，提供相应信息，如攻击特征库、漏洞信息。

入侵检测系统主要产品与技术指标：产品类型有主机入侵检测系统、网络入侵检测系统、统一威胁管理（UTM，部署方式通常包括透明网桥、路由转发和NAT网关）、高级持续威胁检测。技术指标有可靠性、可用性、可扩展性、时效性、准确性和安全性
入侵检测部署方法：确定、安装、制定、选用、配置、测试、运行

网络物理隔离技术原理与应用

物理隔离技术基本原理：避免两台计算机之间直接的信息交换以及物理上的连通，以阻断两台计算机之间的直接在线网络攻击。隔离目的是阻断直接网络攻击活动，避免敏感数据向外部泄露。
网络物理隔离系统与类型：隔离对象来分一般分为单点隔离系统和区域隔离系统。隔离信息传递方向分为双向网络物理隔离系统与单向网络物理隔离系统。
重要网络物理隔离机制与实现技术：主要包括专用计算机上网、多PC、外网代理服务、内外网线路切换器、单硬盘内外分区、双硬盘、网闸、协议隔离、单向传输、信息摆渡、物理断开等技术。

专用计算机上网：这台计算机只与外部网相连，不与内部网相连。
多PC：内部网络中，在上外网的用户桌面安放两台PC，分别连接两个分离的物理网络，一台用于连接外部网络，另一台用于连接内部网络
外网代理服务：在内部网指定一台或多台计算机充当服务器，负责专门收集外部网的指定信息，然后把外网信息手工导入内部网，供内部使用。
内外网线路切换器：上外网的计算机上连接一个物理线路AB交换盒，通过交换盒的开关设置控制计算机的网络物理连接。
网闸：两个独立主机不存在通信的物理连接，而且主机对网闸的操作只有“读”和“写”
信息摆渡技术：在任何时刻，中间缓存区域只与一端安全域相连。
物理断开技术：通常由电子开关来实现。

网络物理隔离主要产品与技术指标：

终端隔离产品一般以隔离卡的方式接入目标主机。用于同时连接两个不同的安全域。
网络隔离产品：用于同时连接两个不同的安全域，实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤、信息摆渡。原理是“2+1”架构，即两台主机+专用隔离部件。
网络单向导入产品：物理方式构造信息单向传输的唯一通道。
技术指标：安全功能指标、安全保障指标、性能指标。

重要电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间的逻辑隔离。为此，采用网闸技术。

网络安全审计技术原理与应用

网络安全审计是对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。作用是建立“事后”安全保障措施。
常见安全审计功能是安全事件采集、存储、查询。
留存相关的网络日志不少于6个月。
按照GB17859《计算机信息系统安全保护等级划分准则》，从第二级开始要求提供审计安全机制。（用系安结访的第二级系统审计保护级）
重要网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示与利用、系统管理组成

windows基本审计信息：注册登陆事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件。
linux基本审计信息：系统开机自检日志botlog，用户命令操作日志actpacct、最近登陆日志lastlog、使用su命令日志sulog、当前用户登录日志utmp、用户登录和退出日志wtmp、系统接收和发送邮件日志maillog、系统消息mssges。

审计对象：操作系统、数据库、网络通信、应用系统、网络安全设备、工控安全、移动安全、互联网安全、代码安全。
操作系统审计一般是对操作系统用户和系统服务进行记录。
数据库审计是监控并记录用户对数据库服务器的读、写、查询、添加、修改以及制除等操作。
网络通信安全审计：常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等。按照审计范围分为综合审计系统和单个审计系统。

网络安全审计机制与实现技术：基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制

系统日志数据采集技术：常见采集方式syslog、SNMPTap
网络流量数据获取技术：常见技术方法有共享网络监听、交换机端口镜像（Por Miroring）、网络分流器（Network Tap）
常见网络审计数据安全分析技术：字符串匹配、全文搜索、数据关联、统计报表、可视化分析等
网络审计数据保护技术措施：系统用户分权、审计数据强制访问。审计数据加密、审计数据隐私保护、审计数据完整性保护（SM2/SM9数字签名算法可用于对审计数据进行签名）。

网络安全漏洞技术原理与应用

网络安全漏洞称为脆弱性，简称漏洞。安全漏洞影响主要有机密性受损、完整性破解、可用性降低、抗抵赖性、可控制性下降、真实性不保。
普通漏洞是相关漏洞信息已经公开，安全厂商有修补方案。零日漏洞特指系统或软件中新发现的、尚未提供补丁的漏洞，常被用来实施定向攻击。
基于漏洞对网络系统安全构成的安全威胁主要有：敏感信息泄露、非授权访问、身份假冒、拒绝服务。
重要网络安全漏洞分类与管理。非技术性安全漏洞涉及管理组织结构、管理制度、管理流程、人员管理等。技术性安全漏洞涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统。

非技术性安全漏洞主要来源：网络安全责任主体不明确、网络安全策略不完备、网络安全操作技能不足、网络安全监督缺失、网络安全特权控制不完备。
技术性安全漏洞主要来源：设计错误、输入验证错误、缓冲区溢出、访问验证错误、配置错误、竞争条件、环境错误。

网络安全漏洞分类：CVE以及CVSS（由基本度量计分、时序度量计分、环境度量计分组成）。我国漏洞分类：国家信息安全漏洞库（CNNVD）漏洞分类分级标准、国家信息安全漏洞共享平台（CNVD）漏洞分类分级标准。
网络安全漏洞扫描技术与应用：检测系统中漏洞的技术，通过远程和本地检查系统是否存在已知漏洞。漏扫包括：用户界面、扫描引擎、漏洞扫描结果分析、漏洞信息及配置参数库。
漏洞扫描器主要分为：主机漏洞扫描器、网络漏洞扫描器、专用漏洞扫描器。

主机漏洞扫描器：COPS用来检查unix系统的常见安全配置问题和系统缺陷。Tiger是一个基于shell语言脚本的漏洞检测程序。MBSA是windows系统的安全基准分析工具。
网络漏洞扫描器：常见扫描器有Nmap、nessus、x-scan
专用扫描器：数据库扫描器、网络设备漏洞扫描器、web漏洞扫描器、工控漏洞扫描器

网络安全漏洞发现方法依赖于人工安全分析、工具自动化检测及人工只能辅助分析，修补技术：现状分析、补丁跟踪、补丁验证、补丁安装、拥挤处理。补丁检查。

恶意代码防范技术原理

恶意代码是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露，资源滥用，破坏系统的完整性及可用性。
恶意代码种类包括：计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、细菌、恶意脚本、恶意ActiveX控件、间谍软件
恶意代码作用过程：侵入系统->维持或提升已有权限->隐蔽->潜伏->破坏
恶意代码生存技术：

反动态跟踪技术：禁止跟踪终端、检测跟踪法、其他反跟踪技术。
反静态分析技术：对程序代码分块加密执行、伪指令法
加密技术：加密手段有三种，即信息加密、数据加密、程序代码加密，Cascade是采用加密技术的dos环境下的恶意代码，Mad和Zombie是此加密技术的延伸。
模糊变换技术：指令替换、指令压缩、伪指令技术、重编译技术
自动生产技术：利用多态性发生器编译成多态性的病毒。

恶意代码变形技术：重汇编技术、压缩技术、膨胀技术、伪指令技术、重编译技术。
三线程技术：同时开启三个线程，其中一个为负责远程控制工作的主线程，另外两个为用来监视线程负责检查恶意代码程序是否被删除或停止自启动的监视线程和守护线程。注入其他可执行文件内的守护线程，同步于恶意代码进程。只要进程被停止，它就会重新启动该进程，同时向主线程提供必要的数据，这样使得恶意代码可以持续运行。”中国黑客“就是采用这种技术的恶意代码
通信隐藏技术：

端口定制技术：木马检测工具一般用检测缺省端口，定制端口可以避过此方法检测
端口复用技术：利用系统网络打开的如25、21、80、139等传送数据，木马executor用80端口，FTP Trojan木马使用21端口，winpc等木马服用25端口
隐蔽通道技术：常见能提供隐蔽通道方式进行通信的后门有B02k、code Red I等
内核隐藏技术：LKM隐藏、内存映射隐藏

恶意代码攻击技术：进程注入、超级管理技术、端口反向连接技术、缓冲区溢出攻击技术
恶意代码分析技术：

静态分析方法：反恶意代码软件的检查、字符串分析、静态反编译分析
动态分析方法：文件监测、进程监测、注册表监测、动态反汇编分析。

重要计算机病毒分析与防护：

计算机病毒具备四个基本特点：隐蔽性、传染性、潜伏性、破坏性
计算机病毒三部分组成：复制传染部件、隐藏部件、破坏部件
计算机病毒的生命周期：计算机病毒的复制传播阶段、计算机病毒的激活阶段
计算机病毒类型：引导型病毒（感染引导区）、宏病毒（文档）、多态（更换加密算法改变存在形式，由杂乱的病毒体、解密例程、变化引擎组成，没有固定特征没有固定加密例程，可逃避静态特征的扫描器检测）、隐蔽病毒（隐藏文件日期时间的变化，隐藏文件大小变换）

计算机病毒防范策略与技术：

查找计算病毒源：比较法，搜索法，特征字识别法，分析法
阻断计算机病毒传播途径：用户具有计算机病毒防范安全意识和安全操作习惯、消除计算机病毒载体、安全区域隔离
主动查杀计算机病毒：定期对计算机系统进行病毒检测、安装防计算机病毒软件
计算机病毒应急响应和灾备：备份、网络过滤技术、计算机病毒应急响应预案

重要特洛伊木马分析与防护：特洛伊（Trojan Horse）木马具有伪装能力、隐蔽执行非法功能的恶意程序。分为本地特洛伊木马和网络特洛伊木马。

网络特洛伊木马：具有网络通信连接及服务功能的一类木马，由远程木马控制管理（监测木马代理活动、远程配置管理代理、收集木马代理窃取的信息）和木马代理（植入目标系统伺机获取目标系统的信息和控制目标系统的运行）两部分组成。
木马攻击过程：寻找攻击过程->收集目标系统的信息->将木马植入目标系统->木马隐藏->攻击意图实现。
特洛伊木马植入：被动植入（人工干预方式，比如文件捆绑法、邮件附件、web网页）、主动植入（研究攻击目标系统的脆弱性，利用其漏洞，通过程序自动完成木马植入，比如红色代码利用缓冲区溢出漏洞完成木马植入）
特洛伊木马隐藏技术：本地活动隐藏（文件隐藏、进程隐藏、通信连接隐藏）、远程通信过程隐藏（通信内容加密、通信端口复用、网络隐蔽通道）
特洛伊木马防范技术：基于查看开放端口检测、基于重要系统文件检测、基于系统注册表、检测具有隐藏能力（针对已知rootkit/基于执行路径的分析检测/直接读取内核数据的分析检测）、基于网络检测、基于网络阻断、清除特洛伊木马技术。

重要网络蠕虫分析与防护：网络蠕虫是一种具有自我复制和传播能力，可独立自动运行的恶意程序。由四个模块构成：探测模块、传播模块、蠕虫引擎模块和负载模块。

网络蠕虫运行机制：已经感染蠕虫的主机在网络上搜索易感染目标主机->已经感染蠕虫的主机把蠕虫代码传送到易感染目标主机上->易感染目标主机执行蠕虫代码，感染目标主机
网络蠕虫扫描技术：网络蠕虫改善传播效果的防范是提高扫描的准确性，快速发现易感的主机。目前有三种措施采取：减少扫描未用的的地址空间、主机漏洞密度高的地址空间发现易感染主机、增加感染源。
网络蠕虫传播方法：随机扫描（Slammer蠕虫的传播方法）、顺序扫描（本地优先原则，W32.Blaster蠕虫传播方法）
网络蠕虫漏洞利用：主机之间信任关系漏洞（1988的“小莫里斯”蠕虫）、目标主机程序漏洞、目标主机默认用户和口令漏洞、目标主机用户安全意识薄弱漏洞
网络蠕虫防范技术：监测与预警、传播抑制（蜜罐）、网络系统漏洞检测与系统加固、免疫技术、阻断与隔离技术、清除技术

重要僵尸网络（Botnet）分析与防护：攻击者利用入侵手段将僵尸程序植入目标计算机上，进而操纵受害机执行恶意活动的网络。

僵尸网络构建方式：远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享
僵尸网络运行机制与技术：僵尸程序的传播->对僵尸程序进行远程命令操作和控制，将受害目标机组成一个网络->攻击者通过僵尸网络的控制服务器给僵尸程序发送攻击指令，执行攻击活动。
僵尸网络防范技术：僵尸网络威胁检测（蜜罐技术获取）、僵尸网络监测（检测网络异常流量）、僵尸网络主动遏制（屏蔽IP地址或域名）、僵尸程序查杀。

其他恶意代码分析与防护：

逻辑炸弹：一段依附在其他软件中，并具有触发执行破坏能力的程序代码。计数器触发、时间触发、文件触发、特定用户访问触发。
陷门：软件系统的一段代码，允许用户避开系统安全机制而访问系统。陷门由专门命令激活，一般不容易发现。陷门不具有自动传播和自我复制功能。
细菌：具有自我复制功能的独立程序，不会直接攻击任何软件，但是她复制本身来消耗系统资源
间谍软件：在用户不知情情况下被安装在计算机中的各种软件，执行用户非期望功能。弹广告等等。间谍软件不具备自我复制功能。

恶意代码防护主要产品和技术指标：

终端防护产品：云+终端
安全网关：统一威胁管理（UTM）、IPS，应用网关、具有安全功能的路由器
恶意代码监测产品：IDS、网络协议分析器
恶意代码防护产品：补丁管理
恶意代码主要技术指标：恶意代码检测能力（动静态检测）、恶意代码检测准确性、恶意代码阻断能力

网络安全主动防御技术与应用

入侵阻断技术：通过对目标对象的网络攻击行为进行阻断，从而达到保护目标对象的目的。
IPS入侵防御系统：根据网络包特性及上下文进行攻击行为判断来控制包转发，可以进行攻击行为检测+阻断。IPS需要解决网络通信瓶颈和高可用性。主要安全功能：屏蔽指定IP地址、屏蔽指定网络端口、屏蔽指定域名、封锁指定URL以及阻断特定攻击类型、为0day提供热补丁。
移动互联网白名单审查流程：初审、复审、终审，公示期7个工作日然后发布。
网络流量清洗：通过网络流量检测，将原本发送给目标设备系统的流量，牵引（BGP/DNS）到流量清洗中心，当异常流量清洗完后再把清洗后留存的正常流量转送到目标设备系统。
重要可信技术与应用：可信计算是网络信息安全的核心关键技术，技术思想是通过确保计算机平台的可信性以保障网络安全。

计算平台安全保护：利用TPM/TCM安全芯片进行完整性度量和检查，防止恶意代码篡改BIOS、操作系统和应用软件
可信网络连接（TNC）：组成结构为：完整性度量层、完整性评估层、网络访问层。
可信验证技术原理（重要）：基于可信根，构建信任链，一级度量一级，一级信任一级，把信任关系扩大到整个计算节点，从而确保计算节点可信。

I/O：TCM输入输出硬件接口
SMS4引擎：执行SMS4对称密码运算
SM2引擎：产生SM2密钥对和执行SMS加/解密、签名运算
SM3引擎：执行杂凑运算
随机数产生器：生成随机数
HMAC引擎：基于SM3引擎来计算消息认证码
执行引擎：TCP的运算执行单元
非易失性存储器：存储永久数据
易失性存储器：存储TCM运行时的临时数据

可信度量根RTM是一个软件模块
可信存储根RTS由可信平台模块TPM芯片和存储根密钥SRK组成
可信报告根RTR由可信平台模块TPM芯片和根密钥EK组成

技术原理：构建一个信任根，再建立一条信任链，从信任跟开始到硬件平台，到操作系统再到应用，一级认证一级，一级信任一级，把这种信任扩展到整个计算机系统。
一个可信计算机系统由可信根、可信硬件平台、可信操作系统和可信应用系统组成。
TPM是可信根，是可信计算的关键部件。包含三个根（MSR）：可信度量根RTM、可信存储根RTS和可信报告根RTR。
可信计算密码支撑平台以密码技术为基础，主要有可信密码模块（TCM）和TCM服务模块（TSM）组成。可信密码模块是可信计算密码支撑平台必备的关键基础部件
TCM组成结构和功能用途：
可信计算技术应用：

重要数字水印技术与应用：通过数字信号处理方法：在数字化的媒体文件中嵌入特定标记。水印分为可感知的和不易感知的两种，水印技术通常由水印的嵌入和水印的提取两部分组成。

空间域方法：水印信息直接叠加到数字载体的空间域上。典型的算法有Schyndel算法（又称LSB最低有效位算法）和Patchwork算法
变换域方法：利用扩展频谱通信技术，先计算图像的离散余弦变换（DCT），再将水印叠加到DCT域中幅值最大的前L个系数上，通常为图像的低频分量。典型算法为ENC算法，该算法由作者的标识码和图像的HASH值等组成密钥，以该密钥为种子来产生伪随机序列，再对图像做DCT变换，用该伪随机高斯序列来调制（叠加）图像除直流分量外的1000个最大的DCT系数。

数字水印嵌入方法：
数字水印技术应用：版权保护、信息隐藏（嵌入图像、声音）、信息溯源、访问控制等。

重要网络攻击陷阱技术与应用：

网络诱骗技术：主动防御。目前诱骗技术有：蜜罐主机（技术包括空系统、镜像系统、虚拟系统）和陷阱网络技术
陷阱网络技术：由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成，为攻击者制造一个攻击环境，供防御者研究攻击者的攻击行为。主要应用场景有恶意代码监测、增强抗攻击能力和网络态势感知。

入侵容忍及系统生存技术：

安全3.0理念：容忍入侵，对网络安全威胁进行响应，使受害的系统具有可恢复性。
3R策略：抵抗（Resistance）、识别（Recognition）、恢复（Recovery）
入侵容忍及系统生存技术主要有：分布式共识、主动恢复、门限密码、多样性设计。
区块链由众多对等的节点组成，利用共识机制、密码算法来保持区块数据和交易的完整性、一致性，形成一个统一的分布式账本。区块链是一个去中心化的分布式数据库。

隐私保护技术与应用：隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私。

K匿名方法：对所有元组进行泛化处理，使得其不再与任何人一一对应。
查分隐私方法：抑制、泛化、置换、扰动、裁剪

身份隐私：用户数据可以分析识别出特定用户的真实身份信息，保护方法是对公开的数据或信息进行匿名化处理。
属性隐私：属性信息是用来描述个人用户的属性特征，如年龄、性别、购物史，保护则对属性进行安全保护处理。
社交关系隐私：指用户不愿公开的社交关系信息。
位置隐私：用户非自愿公开的位置轨迹数据及信息。
隐私保护的方法：K匿名方法和差分隐私方法
同态加密：同时满足加同态和乘同态性质，可以进行任意多次加和乘运算的加密函数

网络安全风险评估技术与应用

网络安全风险评估：评估威胁者利用网络资产的脆弱性，造成网络资产损失的严重程度。也就是对网络系统的保密性、完整性、可控性、可用性等安全属性进行科学评价的过程。
风险评估模式：有自评估、检查评估、委托评估
重要网络安全风险评估过程：

风险评估准备：确定评估对象和范围
资产识别：网络设备、主机、服务器、应用、数据和文档资产。资产重要性：很低、低、中等、高、很高。价值估算不是资产的物理实际经济价值，而是相对价值。资产可用性：很低（可用度低于25%）、低（可用度25%以上，系统允许中断时间小于60min）、中等（可用度70%以上，系统允许中断时间小于30min）、高（可用度达到每天90%以上，系统允许中断时间小于10min）、很高（可用度达到年度99.9%以上，系统不允许中断）
威胁识别：从威胁来源（自然和人为）、威胁途径（威胁资产的方法和过程步骤）、威胁意图（情报信息获取、恐怖主义、经济利益和保护）来分析。威胁效果（非法访问、欺骗、拒绝服务）
脆弱性识别：通过各种测试方法，获得网络资产中所存在的缺陷清单，缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用。以资产为核心。脆弱性评估分为技术脆弱性评估和管理脆弱性评估。
已有网络安全措施分析
网络安全风险分析：对资产识别，并对资产的价值进行赋值->对威胁进行识别，描述威胁的属性并对威胁出现的频率赋值->对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值->根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性->计算机安全事件的损失->计算安全事件一旦发生对组织的影响。
网络安全风险分析方法：主要有定性计算（做概率评估）方法、定量（量化为数据）计算方法和定性定量综合（相乘法、矩阵法）计算。

网络安全风险评估技术：

资产信息收集
网络拓扑发现
网络安全漏洞扫描：Nmap端口扫描、通用漏洞扫描、数据库扫描、web漏洞扫描
人工检查
网络安全渗透测试
问卷调查
网络安全访谈
入侵监测：主机入侵检测、网络入侵检测、应用入侵检测

网络安全评估项目流程和工作内容：评估工程前期准备->评估方案设计与论证->评估方案实施（敏感系统测试参加评估实施的人员要求至少两人且必须领导签字批准）->风险评估报告撰写->评估结果评审与认可（评估认可是单位管理者或上级主管机关对风险评估结果的验收）
ICT供应链风险管理的主要目标：完整性、保密性、可用性、可控性。ICT供应链主要面临恶意篡改、假冒伪劣、供应中断、信息泄露或违规操作和其他威胁。0
工业控制平台脆弱性包括：平台硬件、平台软件、平台

网络安全应急响应技术原理与应用

网络安全应急响应：应对网络安全事件，相关人员或组织机构对安全事件进行监测、预警、分析、响应和恢复。
国家互联网应急中心（CNCERT），十六字方针：积极预防、及时发现、快速响应、力保恢复
网络安全应急响应组：公益性、内部应急、商业化应急、厂商应急响应组
重要网络安全应急响应预案内容与类型

I级处置程序：核心业务系统中断或硬件设备故障时的应急处置程序
II级处置程序：门户网站及托管系统遭到完整性破坏时的应急处置程序
II级处置程序：外网系统遭遇黑客入侵攻击时的应急处置程序
II级处置程序：外网系统遭遇拒绝服务攻击时的应急处置程序
II级处置程序：外部电源中断后的应急处置程序

详细列出系统紧急情况的类型和处理措施
事件处理基本工作流程
应急处理所要采取的具体步骤及操作顺序
执行应急预案有关人员的姓名、住址、电话号码以及有关智能部门的联系方法

网络安全事件分为：恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件。
网络安全应急响应预案基本内容
网络安全响应预案类型：国家级、区域级、行业级、部门级。

网络安全应急事件场景与处理流程

安全事件报警：值班人员及时报告，准确描述安全事件，并做书面记录
安全事件确认：接到安全报警后首先判断安全事件类型，然后确定是否启动应急预案
启动应急预案：充分考虑各种安全事件后，制定的应急处理措施，以便在紧急情况下，及时有效地应对各类安全事件。
安全事件处理：要求至少两人参加
撰写安全事件报告：根据事件处理工作记录和所搜集到的原始数据，结合专家的安全知识，完成安全事件报告的撰写。
应急工作总结：召开应急工作总结会议，回顾应急工作过程中所遇到的问题，分析问题引起的原因，找出相应解决方法。

准备工作：通知相关人员，交换必要信息
检测工作：对现场做快照，保护一切可能作为证据的记录
抑制工作：采取围堵措施，尽量限制攻击涉及范围
根除工作：解决问题，根除隐患，分析导致事故发生的系统脆弱点，并采取补救措施
恢复工作：恢复系统，使系统正常运行
总结工作：提交事故处理报告

安全事件发生日期
参加人员
事件发现的途径
事件类型
事件涉及范围
现场记录
事件导致的损失和影响
事件处理过程
从本次事故中应该吸取的经验与教训

恶意程序事件：主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络。对恶意程序破坏性蔓延的，由应急响应组织进行处置，可以协调外部组织进行技术协助，分析有害程序，保护现场，必要时切断相关网络连接。
网络攻击事件：安全扫描器攻击、暴力破解、系统漏洞攻击。
网站及web应用安全事件：网页篡改、网页挂马、非法页面、web漏洞攻击、网站域名服务劫持
拒绝服务事件：DDOS、DOS
重要网络安全应急处理流程：
网络安全取证：取证现场保护->识别证据->传输证据->保存证据->分析证据

网络安全测评技术与标准

网络安全测评类型：

网络信息系统安全等级测评、验收测评、风险测评
基于测评内容分类：技术安全测评和管理安全测评
基于实施方式分类：安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试
基于测评对象保密性分类：涉密信息系统安全测评、非涉密信息系统安全测评

重要网络安全测评流程和内容：

技术安全测评：主要有安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
管理安全测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
网络安全等级保护2.0标准规范，等级测评过程包括：测评准备活动、方案编制活动、现场测评活动和报告编制活动。
网络安全渗透测试的过程：委托受理（签署保密协议）、准备（渗透测试用户授权单）、实施（测试后形成渗透测试报告）、综合评估（发送渗透报告）和结题（客户满意度调查表）

网络安全测评技术与工具：漏洞扫描、安全渗透测试【黑盒、百盒（适合模拟APT）、灰盒（适合手机银行和代码安全测试）】、代码审查【典型代码安全缺陷类型：缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数】、性能测试
协议分析关键字（重要）：

类型关键字：host主机、net网络、port端口
传输方向关键字：src源地址、dst目的网络地址
协议关键字：监听包协议内容，包括FFDI/IP/ARP/RARP/TCP/UDP

网络安全测评质量管理是测评可信的基础性工作

操作系统安全保护

操作系统是构成网络信息系统的核心关键组件
操作系统的安全可控目标分为两个层面：

给定一个操作系统，用户能够实现对操作系统的可理解、可修改、可检测、可修复、可保护
商业用户能够自己主导操作系统的产品化，不受恶意的商业利益绑架或遭受知识产权专利陷阱。

操作系统安全需求：标识和鉴别、访问控制、系统资源安全、网络安全、抗攻击、自身安全
操作系统安全机制：硬件安全、标识与鉴别、访问控制、最小特权管理、可信路径、安全审计、系统安全增强
重要windows操作系统安全分析与防护：

系统安全增强方法：安全漏洞打补丁、停止服务和卸载软件、升级或更换程序、修改配置和权限、去除特洛伊恶意程序、安装专用的安全工具软件
系统安全增强基本步骤：确认系统安全增强的安全目标和系统业务用途->安装最小化的操作系统->安装最新系统补丁->配置安全的系统服务、配置安全策略（账户策略、审计策略、远程访问、文件共享）->禁用NetBIOS(提供名称服务和会话服务，防火墙过滤135~139、445端口，禁用注册表，禁用TCP/ip)->账户安全配置->禁用光盘->使用屏保->设置应用软件安全
系统增强实例：停掉guest账号、限制不必要的用户数量、把系统Administrator账号改名、创建陷阱账号、设置安全复杂口令、开启口令安全策略、开启账号安全策略。
网络安全增强：禁止建立空链接、关闭默认共享、关闭不必要的网络服务和网络端口、安装第三方防护软件。

windows xp 系统分为三层：最底层是硬件抽象层、第二是内核层、第三层是基本系统服务的模块组成。
windows2000有专门子系统，主要有本地安全授权（LSA）、安全账户管理（SAM）、安全参考监视器（SRM）等组成
windows认证机制：本地认证和网络认证（Kerbreos V5、公钥证书和NTLM）
windows访问控制：安全性描述符：用户SID、工作组SID、自由访问控制列表DACL、系统访问控制列表SACL
windows审计日志机制：系统日志、应用程序日志和安全日志，对应文件名：SysEventevt、AppEventevt、SecEventevt。日志文件存放在“system32config”目录下
windows系统安全增强技术方法（可能会考）：

重要UNIX/LINUX操作系统安全分析与防护

linux操作系统分为：硬件层、系统内核和应用层
认证是第一道关卡：基于口令认证、终端认证、主机信任机制、第三方认证
访问控制：普通系统通过文件访问控制表ACL实现系统资源控制，也就是通过“9bit”实现。
审计机制：UNIX比较新版本的审计日志放在/var/adm

linux系统安全加固步骤

安装系统补丁包
最小化系统网络服务：inetd.conf文件权限为600、inetd.conf文件属主为root、services文件权限设置644、service文件属主为root、inetd.conf注销不必要服务、只开放系统业务允许有关的网络通信端口。
设置系统开机保护口令
弱口令检查
禁用默认账号
用SSH增强网络服务的安全
利用tcp_wrapper增强访问控制
构筑主机防火墙
检测LKM后门
系统安全检测
确认系统安全目标
安装最小化linux系统
利用系统自身安全机制，配置安全策略。主要有用户及口令、主机信任、文件访问、网络服务等
在自身安全机制不行的情况下，利用第三方软件包增强系统安全，比如SSH替换Telnet
利用系统安全测试工具，检查安全策略的有效性
重新调整安全策略和安全措施。
定期安全监控：进程、用户、网络连接、日志分析
linux系统安全增强技术：

国产操作系统安全分析与防护：

基于三权分立的管理机制
强化身份标识与认证机制
综合应用多种安全策略，提高系统的安全性
基于内核层的安全审计
支持各类通用软件

安全增强措施：管理员分权、最小特权、结合角色的基于类型的访问控制、细粒度的自主访问控制、多级安全（禁止上读下写）
中科方德方周安全操作系统：满足第四级-结构化保护级要求，安全特点如下：
中标麒麟安全操作系统：基于LSM机制的SElinux安全子系统框架。
中标麒麟可信操作系统：提供基于三权分立机制的多项安全功能（身份鉴别、访问控制、数据保护、安全标记、可信路径、安全审计），支持国内外可信计算规范（TCM/TPCM/TPM2.0），支持国家密码管理部门发布的SM2、3、4等国密算法，提供可持续性的安全保障，防止软硬件被篡改

数据库系统安全

国产主流数据库操作系统：ms sql、mysql、oracle、DB2，国产有人大金仓，达梦
数据库安全是指数据库的机密性、完整性、可用性
数据库安全威胁：授权的误用、逻辑判断和汇聚、伪装、旁路控制、隐蔽信道、sql注入攻击、硬件及介质攻击
数据库安全机制：标识鉴别、访问控制、安全审计、备份与恢复、数据加密、资源限制、安全加固、安全管理
数据库加密：数据库网上传输的数据用SSL协议实现，数据库存储的数据通过数据库存储加密来实现。

数据库存储加密：库内加密（DBMS内部实现加密）、库外加密（专门的加密部件完成加解密）

数据库存储加密技术方法：基于文件的数据库加密、基于记录的数据库加密、基于字段的数据库加密。
数据库防火墙：通过sql协议分析。安全作用：屏蔽直接访问通道，增强认证、攻击检测、防止漏洞利用、防止内部高危操作、防止敏感数据泄露、数据库安全审计
数据库脱敏：屏蔽、变形、替换、随机、加密。
重要Oracle数据库安全分析与防护

用户认证：特别认证、支持强认证、操作系统认证、口令文件认证。网络认证支持第三方认证，PKI认证、远程认证。
访问控制：网络访问控制和数据对象授权控制
保险库：建立数据保险库DV机制，保护敏感数据，具有防止数据系统未授权变更、多因素可信授权、职责隔离、最小化特权的功能。
安全审计和数据库防火墙：可审计的活动：登陆尝试、数据库活动和对象存取
高级安全功能：提供数据加密和数据屏蔽机制。

MS SQL数据库安全分析与防护：

用户身份认证：windows认证和混合认证
访问控制：基于角色的访问控制机制，角色分为：固定服务器角色、固定数据库角色和应用角色
数据库加密：对称非对称密钥、证书。透明数据加密，密钥类型有服务主密钥、数据库主密钥、数据库密钥
备份、恢复机制：

备份方案有：文件和文件组备份、事务日志备份、完全备份和差异备份。

恢复机制有三种模型：简单恢复、完全恢复、批量日志记录恢复。
安全审计

微软安全响应中心MSRC：每月发布安全公告以解决安全漏洞问题，并公布漏洞利用指数：0-检测到被利用，1-可能被利用，2-不太可能被利用，3-不可能被利用
mysql数据库安全分析与防护

用户身份认证：用户名/口令认证
访问授权：5个授权表：user/db/host/tablespriv/dolumns priv
安全审计

网络设备安全

集线器是第一代交换机，以太网交换机是第二代交换机，三层交换机是第三代交换机。第四代交换机为满足业务的安全性、可靠性、Qos需求。第五代交换机支持软件定义网络DSN，具有强大的Qos能力。
交换机威胁：MAC地址泛洪，ARP威胁、口令威胁、漏洞利用、DOS威胁、依赖性威胁
认证机制：

使用aaa new-model命令启用AAA
使用radius-server host命令指定网络设备能用的RADIUS服务器
使用radius-server key命令告知网络设备RADIUS服务器的密钥
定义默认的AAA认证方法，并将本地认证作为备份
配置使用AAA认证方法

使用aaa new-model命令启用AAA
使用Tacacs-server host命令指定网络设备能用的TACACS+服务器
使用Tacacs-server key命令告知网络设备TACACS+服务器的密钥
定义默认的AAA认证方法，并将本地认证作为备份

配置网络设备使用TACACS+服务器步骤：
配置网络设备使用RADIUS认证的步骤：

访问控制：带外访问（不依赖其他网络）和带内访问（要求提供网络支持）
网络设备访问方法：控制端口、辅助端口、VTV、HTTP、TFTP、SNMP等。Console port要求物理上访问网络设备，AUXport提供带外访问，通过终端服务器或调制解调器Modem连接到网络设备。VTV提供终端模式通过网络访问网络设备，通常协议是Tenet或SSH2
安全通信：SSH配置步骤

使用hostname指定设备名称
使用ip domain-name配置设备域
使用crypto key generatersa生成RSA加密密钥，最小密钥大小为1024位
使用ipssh设置SSH访问
使用transport input命令配置使用SSH

日志审计：网络设备提供：控制台日志审计，缓冲区日志审计、终端审计、snmptaraps、AAA审计和syslog审计
交换机安全访问控制：第一级通过控制用户的连接，第二级通过用户口令认证实现。

网站安全需求分析与安全防护工程

网站安全主要是有关网站的机密性、完整性、可用性、可控性。
常见网站拒绝服务技术：UDP洪水、ICMP洪水、SYN洪水、HTTP洪水
apache web安全分析与增强：

软件程序威胁：缓冲区溢出漏洞
软件配置威胁：目录索引、资源位置预测、信息泄露
安全机制威胁：口令暴力、授权不当、弱口令恢复验证
应用程序威胁：sql注入、输入严重错误
服务通信威胁：明文传输窃取通信内容
服务内容威胁：网页恶意篡改和网络钓鱼
拒绝服务威胁：绝对对HTTP应答

httpd.conf：是apache的主配置文件
conf/srm.conf：是数据配置文件，主要设置www server读取文件的目录、索引时的画面。CGI执行时的目录
conf/access.conf：基本的读取文件控制
conf/mime.conf：设定apache所能辨别的MIME格式
apache web安全威胁：

IIS安全机制：IIS认证机制、IIS访问控制、IIS日志审计
重要web应用漏洞分析与防护

A1-注入漏洞
A2-遭受破坏的认证
A3-敏感数据暴露漏洞
A4-XML外部实体注入XXE
A5-受损害的访问控制漏洞
A6-安全配置错误
A-7跨站脚本漏洞XSS
A-8安全反序列化漏洞
A-9使用含有已知漏洞的组件
A-10非充分的日志记录和监控

技术安全漏洞：sql注入、xss、恶意文件执行、非安全对象应用
业务逻辑安全漏洞
owasp top 10

网站安全综合案例：政务网站安全，安全等级原则不低于二级，三级网站每年应测评一次，二级网站每两年应测评一次

云计算安全需求分析与安全保护工程

云计算通过虚拟化及网络通信技术，提供一种按需服务、弹性化的IT资源池服务平台
云计算的主要特征：

IT资源以服务的形式提供：基础设施即服务Saas、平台即服务PaaS、软件即服务Saas、数据即服务DaSS、存储即服务STaas
多租户共享IT资源：租户间服务实现隔离，功能隔离、性能隔离和故障隔离。
IT资源按需定制与按用付费
资源可伸缩性部署
云计算四种部署模式：私有云、社区云、公有云、混合云

云计算安全分析（理解）

物理安全：被雷电击中。
云计算平台服务安全威胁：云服务安全漏洞，导致云客户信息泄露、虚拟机安全不可信任、虚拟机逃逸、非安全的云服务API接口、侧信道攻击。
云平台资源滥用安全威胁：虚拟主机漏洞，非法入侵，构造僵尸网络。
云计算平台运维及内部安全威胁：数据丢失和泄露
数据残留
过渡依赖
利用共享技术漏洞进行的攻击
滥用云服务
云服务中断
利用不安全接口的攻击：非法获取接口访问密钥

端-管-云的安全威胁分析方法：端是指使用云计算服务的终端设备或用户端，管是连接用户端和云计算平台的网络，云就是云计算服务平台.
云端安全威胁：云用户设置弱的口令，导致云用户账号被劫，或被黑客攻击终端平台，假冒云用户，云终端设备存在安全漏洞，导致黑客入侵终端
云管安全威胁：网络监听，网络数据泄露中间人攻击、拒绝服务等
云计算安全威胁：

云计算安全要求：

安全需求主要是多租户安全隔离、虚拟资源安全、云服务安全合规、数据可信托管、安全运维及业务连续性保障、隐私保护等
云计算服务安全需求：云计算技术安全需求、云计算安全合规需求、云计算隐私保护需求

云端安全需求：云用户的身份鉴别、资源访问控制。数据安全存储及云端设备及服务软件安全
网络安全通信安全需求：确保云用户及时访问云服务以及网上数据及信息的安全性。技术包括身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务等。
云计算平台安全需求分析：云服务的安全可信性和业务连续性。

云计算合规需求

云安全联盟指南最新版本为4.0
国内规范：严格政府信息技术服务外包的安全管理，为政府籍贯提供服务的数据中心云计算服务平台等要设在境内。

明确党政部门云计算服务网络安全管理的基本要求：安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出镜。重点审查云计算服务的安全性、可控性。

云计算隐私保护需求：

数据采集：明确个人信息采集范围和用途
数据传输：采用安全加密措施
数据存储：采用加密、认证、访问控制、备份
数据使用：制定相应特权管理、个人信息披露控制策略规则
数据维护：指定敏感个人数据安全生命周期管理流程
数据安全事件处置

云计算安全保护机制与技术方案：

云计算列为等级保护2.0重点保护对象
等级保护标准首先保证云计算基础设施位于中国境内，围绕”一个中心，三重防护“原则。

一个中心指安全管理中心

三重防护包括安全计算环境、安全区域边界和安全通信网络
身份鉴别认证机制：强制密码策略、多因子认证、kerberos
数据完整性机制：数字签名
访问控制机制：openstack强访问机制、角色访问控制机制（RBAC）
入侵防范机制
安全审计
云操作系统增强：热补丁
云计算容灾备份机制：两地三中心机制，两地是同城和异地，三中心指生产中心、同城容灾中心、异地容灾中心

云计算隐私保护：

个人信息备份保管
建立信息安全合规机制与开展安全认证
强化身份验证和访问控制
限制个人信息存储地理位置
个人信息留存管理：不超过满足相关使用目的所必需的时间

大数据安全需求分析

大数据种类：结构化、半结构化、非结构化数据
重要大数据安全保护机制与技术方案：

大数据安全保护机制：基本的安全机制主要有数据分类分级、数据源认证、数据溯源、数据用户标识和鉴别、数据资源访问控制、数据隐私保护、数据备份与恢复、数据安全审计与监测、数据安全管理。
大数据自身安全保护技术：数字签名可以验证数据来源真实性，hash算法用于确保数据的完整性，加密算法则用来保护数据的机密性。
大数据平台安全保护技术：防火墙用于大数据平台的安全区域之间的隔离和访问控制
大数据业务安全保护技术：业务授权（基于角色的访问控制技术）、业务逻辑安全（业务流程）、业务合规等安全内容
大数据隐私安全保护技术：主要技术有数据身份匿名、数据查分隐私、数据脱敏、数据加密、数据访问控制
大数据运营安全：数据处理系统的安全维护、安全策略更新及安全设备配置、数据资源容灾备份、安全事件监测与应急响应。
大数据安全标准规范

大数据安全综合应用案例：

业务安全管控：私域数据为基础的店铺内服务闭环，公域数据为基础的平台内渠道闭环和价值闭环。
数据安全管控：数据加工前（商业秘密合规性评估、数据标签规范性管理、数据分级分类的管理、数据来源合法性评估、数据用途合理性评估、数据相关方权属评估）、数据加工中（多租户隔离控制。数据探索容器。数据建模风控、数据脱敏控制、代码可信审核、数据画像风控等）、数据加工后（数据血缘安全控制、数据营销渠道管控、数据效果回流风控、数据染色取证追溯等）、数据合规
生态安全管控：通过对数据ISV的准入和准出

阿里巴巴大数据安全实践：从业务、数据和生态三个层面保护数据安全与隐私：

上海数据交易中心安全保护：规制+技术的模式

上海数据交易准则：个人数据保护原则、数据互联规则、流通数据处理准则、流通数据禁止清单、交易要素标准体系
个人数据保护原则：告知同意原则、禁止公开原则、选择退出原则、数据正确原则、应急补救原则、保护个人权益原则、诚实守信原则、保护正当数据权益原则、数据安全原则

可能会考的内容

公共互联网网络安全突发事件分为四级：特别重大事件、重大事件、较大事件、一般事件

I级-特别重大：根据国家决定或部领导小组批准后启动，由部领导小组统一指挥
II级-重大：由部应急办决定启动
III级、IV级-较大和一般：省通信管理局决定启动

特别重大：全国范围大量互联网用户无法正常上网、.cn顶级域名系统解析效率大幅度下降、1亿用户以上信息泄露，网络病毒全国爆发等
重大事件：多个省无法上网，一千万以上用户信息泄露，网络病毒多个省爆发
较大事件：1个省内无法上网。一百万以上用户信息泄露，网络病毒一个省爆发
一般事件：1个地市无法上网，10万以上用户信息泄露
基础电信企业、域名机构、互联网企业发生网络安全突发时间，应当通过电话等方式向应急办和通信管理局报告，认为特别重大和重大应当立即向部应急办报告，认为较大和一般应当向省通信管理局报告。
公共互联网网络突发事件预警制度：特别重大-红色，重大-橙色，较大-黄色、一般-蓝色；认为需要发布红色预警，由部应急办报国家网络安全应急办公室统一发布，并报部领导小组；认为需要发布橙色预警，由部应急办统一发布，并报国家网络安全应急办公室和部领导小组；认为需要发布黄色以及蓝色预警，由省通信管理局在本行政区发布，并报部应急办和通报地方相关部门；对打不到预警级别但是又需要发布警示信息的，部应急办和各省通信管理局可以发布风险提示信息
公共互联网网络突发事件应急响应分四级

I级-特别重大：根据国家决定或部领导小组批准后启动，由部领导小组统一指挥
II级-重大：由部应急办决定启动
III级、IV级-较大和一般：省通信管理局决定启动

●暗魂社区2.0开放注册！地址：https...

●CVE-2021-4034提权漏洞解析

●【渗透测试】Vulnhub靶场之Machine_Matrix

●【渗透测试】Vulnhub靶场之Catch Me If You Can

微信搜一搜

暗魂攻防实验室

左青龙
微信扫一扫

右白虎
微信扫一扫

22年软考中级信息安全工程师备考笔记

前言

信息安全概述

网络攻击原理与常用方法

密码学基本概论

网络安全体系与网络安全模型

物理与环境安全技术

认证技术原理与应用

访问控制技术原理与应用

防火墙技术

VPN技术原理与应用

入侵检测技术原理与应用

网络物理隔离技术原理与应用

网络安全审计技术原理与应用

网络安全漏洞技术原理与应用

恶意代码防范技术原理

网络安全主动防御技术与应用

网络安全风险评估技术与应用

网络安全应急响应技术原理与应用

网络安全测评技术与标准

操作系统安全保护

数据库系统安全

网络设备安全

网站安全需求分析与安全防护工程

云计算安全需求分析与安全保护工程

大数据安全需求分析

可能会考的内容

网安众生相【三十七】关于工作选择

面试经验分享 | 某工控安全厂商安全研究员

电子数据取证带头大哥2023年财报深度解读

信息安全保障人员认证（CISAW）报考指南

长亭红队面试题

红队面试题一期

HW面试经验总结与分享 | 干货

安全面经｜土拨鼠的应用安全面经(二)

渗透面经-MySQL面经(一)

【面试题总结】HW面试，你准备的怎么样啦？

发表评论

在线咨询

微信