轻松过23下软考信安低分心得，附案例

笔者的复习案例：

1.软考中级信安笔记：

案例题：

1.Linux Ubuntu系统钟打开一个终端窗口，如果显示符号是$，就是普通用户；如果显示符号是#，就是超级用户；而且显示hujiawei是用户名，显然是普通用户，Linux Ubuntu系统的超级用户的用户名为：root；

2.Linux Ubuntu系统下的文件权限共有十位：按照1bit,3bit,3bit,3bit划分4组，第1组只有1位，用于表示文件类型；第二组是第2~4位，用于表示文件拥有者对该文件所拥有的权限；第3组是第5~7位，标识文件所有者的属组队该文件所拥有的权限；第4组是第8~10位，表示其他人（除了拥有者和所属组之外的人）对该文件所拥有的的权限。

其中第一位文件类型分为普通文件、目录文件、特殊文件、管道文件、套接字文件、符号链接文件。文件类型对应指定符号参见下表：

ls -l命令列出的5个文件中，第1个文件的权限位第1位是“d”，表示这个文件是一个目录；第2个文件的权限位第1位是“L”表示符号链接文件；第3个文件的权限位第1位是“s”，标识套接字文件；第4、5个文件的权限位第1位是“-”，标识普通文件；

3.在Linux Ubuntu系统下创建符号链接的命令是ln。（这里需要注意windows下类似的命令是mklink）

ln命令的基本格式：ln[选项]源文件  目标文件

选项 -s 标识创建软连接，在图中，文件名"shm->/dev/shm"中符号"->"前的shm是目标文件，符号“->”后的/dev/shm是源文件，所以创建图中的符号链接命令如下:

hujiawei@local:~/var/run$ ln -s /dev/shm /shm

4.题：（1）请给出命令，实现列出/home目录下各种类型（如文件、目录及子目录）的所有失效链接；（2）并在基础上，完善命令以及实现删除所有失效链接；

答：(1)find /home -xtype l -print  

      (2)find /home -xtype l -exec rm {} ;

解析：

（1）当源文件（或目录）被移动或者被删除时，指向它的符号链接就会失效。过多的失效链接会影响系统的管理及性能，可以使用find命令按文件类型对失效链接进行搜索。find命令的格式如下：

find path -option [-print][-exec -ok command] {};

根据题意，参数path路径应该为/home;选项参数使用文件类型有很多，其中使用-xtype l 或 -type l 指定类型为失效链接文件，使用-print将文件或目录名称列出到标准输出。

find /home -xtype l -print

（2）用find命令时，还可以同时使用exec选项后面随着所要执行的命令或脚本，其中删除的shell命令是：rm，然后是一对儿{}，一个空格和一个，最后是一个分号。所以可以在第（1）问的基础上加上“-exec rm {} ;”来完成删除失效链接操作。

find /home -xtype l -exec rm {} ;

问题5：Linux系统的权限模型由文件的所有者、文件的组、所有其他用户以及读(r)、写(w)、执行(x)组成。

(1)请写出第一个文件的数字权限表示；

(2)请写出最后一个文件的数字权限表示；

(3)请写出普通用户执行最后一个文件后的有效权限;

(4)请写出去掉第一个文件的"x"权限的命令。

(5)执行(4)给出的命令后，请说明root用户能否进入该文件.

答：

下划线内容即是答案

解析

（1）第一个文件的权限是drwxr-xr-x，因此第2~4位对应111，即十进制7；第5~7位对应的是101，即十进制数5；第8~10位对应101，即十进制数5；所以第一个文件的数字权限标识为755.

（2）同理，最后一个文件的权限是-rwxr-xr-x，也是如此；第2~4位对应是111，即十进制7；第5~7位对应的是101，即十进制数5；第8~10位对应101，即十进制数5；所以第一个文件的数字权限标识为755；

PS：还有种方法：R（读取）=4，W（写入）=2，X（修改）=1，这样就好算了

（3）普通用户有效权限对应的是第8~10位代表的权限，r-x标识有效权限是可读、不可写、可执行。

r=read，-等于无，x=exec执行，w=write写；

（4）修改权限的命令是chmod,可以使用文字法设定字符来设定，也可以使用数字权限来设定。

语法：chmod [who][+/-/=][mode] 文件名。

chmod a-x openvpn 或者chmod 644 openvpn

a表示所有用户(a=All)，-表示去掉对应权限。

（5）执行第（4）问的命令后，第一个文件的权限由drwxr-xr-x变成了drw-r-r--，该文件的所有者root对应的权限是第2~4位即是rw-,即可读、可写、不可执行。文件夹的可读权限代表能否查看文件夹中的东西；文件夹的可写权限代表能否在文件夹中新增/修改文件；文件夹的可执行权限代表能否进入文件夹。第一个文件是文件夹，如果不可执行，那么就无法通过cd命令进入到该文件。

6.

Windows日志有三种类型：系统日志、应用程序日志、安全日志，它们对应的文件名为Sysevent.evt、Appevent.evt、Secevent.evt。日志文件的后缀名是.evt。

7.

wireshark过滤表达式：

ip.addr == xxx,xxx,xxx,xxx and ip.addr ==xxx,xxx,xxx,xxx

8.

问题：Windows系统为了实现安全的远程登录使用了TLS协议，请问图3-2中，（1）服务器的数字证书是在哪一个数据包中传递的？（2）通信双方是从哪一个数据包开始传递加密数据的？请给出对应的对应的数据包序号。

答：

(1)服务器数字证书在序号12162的数据包中传递；

(2)通信双方是从序号为12168的数据包开始传递加密数据。           #英文翻译就是应用数据#

解析：

SSL/TLS 通过四次握手（三次握手），图3-2的四次握手如下：

第一次：客户端发送序号12161的数据包发起Client Hello请求；

第二次：服务器回应序号12162的数据包Server Hello，其中包含协商版本信息、加密方法以及数字证书；

第三次：客户端发送序号12164的数据回应，其中包含约定好的HASH计算握手消息。

第四次：服务器发送序号12165的数据包完成握手，其中包含密码加密一段握手消息。

所以服务器传输数字证书在第二次握手阶段，数据包序号12162；第四次握手完成后开始传递加密数据，对应序号是12168.

9.滴滴公司违反了：《网络安全法》、《数据安全法》、《个人信息保护法》

10.员工个人信息属于机密数据。判断标准：

11.隐私保护的类型技术原理

隐私可以分为：身份隐私、属性隐私、社交关系隐私、位置和轨迹隐私。

1）身份隐私。是指可以通过分析用户数据来识别特定用户的真实身份信息。

2）属性隐私。信息是只用来描述个人用忽的属性特征，如用户年龄、用户性别、用户工资、用户购物历史等。

3）社交关系隐私。社交关系隐私指用户不愿公开的社交关系信息。

4）位置和轨迹隐私。位置隐私是指用户为防止个人敏感信息暴露而非自愿公开的位置轨迹数据和信息。例如：GPS导航，行程规划，无线接入点，位置记录。

12.隐私保护常见技术措施有印制、泛化、置换、扰动和裁剪等。

（1）抑制：通过数据置空的方式限制数据发布。

（2）泛化：通过降低数据精度实现数据匿名。

（3）置换：不对数据内容进行更改，只改变数据的位置和次序。

（4）扰动：在数据发布时添加一定的噪声，包括数据增删、变换等。

（5）裁剪：将数据分开发布。

例子：若某员工月薪8750元，经过脱敏处理后，显示为5k~10K，这种处理方式显然通过降低数据精度实现数据匿名，属于泛化。

13.Linux中，安全日志位置：/var/log/secure   路径：/var/log

14.由于Linux系统中默认不允许使用免密登录，因此需要修改SSHD的配置文件，该文件位于/etc/ssh/sshd_config.

15.Linux中，系统命令中常用的>和>>标识命令的输出重定向到指定的文件。>表示覆盖原文件内容（文件的日期也会自动更新），>>标识追加内容（会另起一行，文件的日期也会自动更新）

16.Linux中SSH认证，使用了的是非对称密码体质。当客户端确认server的公钥指纹后，server的公钥就会被存放在客户机的用户home目录里；客户端再次访问时，直接通过密码登录，不需要进行公钥确认。

客户端使用服务端公钥将加密自己的密码后发送给服务端，服务端收到客户端发过来的加密密码后使用服务端私钥进行解密，并将解密出来的密码和/etc/shadow 文件里的用户密码对比。如果相同，则服务端认证成功，则返回登录成功信息，并发送一个随机会话口令给客户端，该口令用于之后两台主机进行数据传输的一个临时会话口令。

17.参见《信息安全工程师5天修炼》的1.3节。网络安全的目标就是5个基本安全属性，即完整性、机密性、可用性、可控性、防抵赖性。要实现网络安全的5个基本目标，网络应具备防御、监测、应急、恢复等基本功能。

18.2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议表决通过了《中华人民共和国数据安全法》，该法律自2021年9月1日起施行。

19.TCP SYN扫描又称“半打开扫描”，当向目标主机发送SYN连接，如果收到一个来自目标主机的SYN/ACK应答，那么可以推断目标主机的该端口开放。如果收到一个RST/ACK则认为目标主机的该端口未开放。

20.SYN Flood、DNS放大攻击、泪滴攻击等属于拒绝服务攻击，基本原理就是通过发送大量合法的请求来消耗资源，使得网络服务不能响应正常的请求。

21.

22.Linux系统中用户有用户ID和组ID两个内部标识，其中用户ID的范围是0~65535，

其中0是超级用户root的标识号；

1~99由系统保留，作为管理预设账号；

100~499保留给一些服务使用；

500~65535给一般用户使用

23.Linux中，/etc/passwd文件中每一行代表一个用户，每行记录又用冒号(:)分隔为7个字段，如下图所示

用户标识号(UID)是一个整数，系统内部用它来标识用户，一般情况下它与用户名是一一对应的。如果几个用户对应的用户标识号是一样的，系统内部将它们视为同一个用户，但是它们可以有不同的口令、不同的主目录以及不同的登录shell等。因此Linux系统是根据用户标识号（UID）字段来判断用户。

24.shadow文件是不能被普通用户读取的，只有超级用户才有权读取。/etc/shadow文件的默认权限一般是600或者400。某些版本系统是000（数字权限），标识只有root可以读写这个文件。

25.Smurf攻击者向网络广播地址发送ICMP echo request包，并将回复地址设置成受害主机地址，网络钟的主机都会对这个请求包作出回应，从而导致网络中大量的icmp echo reply应答数据淹没受害主机。

26.ICMP协议是一个网络层协议，不具备传输层的端口号等特性，ICMP协议的协议号是1.

27.数字签名具有发送方不能抵赖、接收方不能伪造的能力，签名伪造主要是攻击数据的完整性。

28.TTL>64表示端口关闭，TTL<64表示端口开启.

29.隐藏通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取，通过信息流分析以发现隐蔽通道，阻止信息泄露途径。

30.做到安全性与可用性相容，做到组织上可执行，属于网络安全风险和分级保护原则。

31.国密算法即国家密码局认定的国产密码算法，其中包括了SM1、SM2、SM3、SM4等。其中，

SM1是对称算法，加密强度为128位，采用硬件实现；

SM2是公钥算法，加密强度为256位；

SM3是密码杂凑算法，杂凑值长度为32字节；MD5也是杂凑算法

SM4是分组密码算法。

SM9是标识密码算法。#1对，2公，3凑，4分，9标#

32.认证可以有效阻止主动攻击，加密可以有效阻止被动攻击。

33.构建信息安全管理体系中，应建立起一套动态闭环的管理流程，这套流程应该是：评估-响应-防护-评估

34.信息安全策略的设计与实施步骤是：

(1)确定安全需求:包括确定安全需求的范围、评估面临的风险。

(2)制订可实现的安全目标、

(3)制订安全规划：包括本地网络、远程网络、Internet

(4)制订系统的日常维护计划。

35.截收=截取

36.电子邮件的机密性与真实性是通过：发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密。

37.区块链系统没有采用序列密码

38. RSA实现签名的原理是分别利用自己的私钥和对方的公钥加密，签名后的内容是加密后的秘闻。而ECC的签名原理是利用密钥生成两个数附加在原始明文后一同发送。

39. CA在数字签名中扮演的主要角色是仲裁。

40. PDR模型包括：1.Protection（保护）：采用一系列手段（识别、认证、授权、访问控制、数据加密）保障数据的保密性、完整性、可用性、可控性和不可否认性等。2.Detection（检测）：利用各位工具检查系统可能存在的脆弱性，即入侵检测、病毒检测等。3.Response（响应）：对发生安全事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延。

41. 涉密信息系统，划分登记包括秘密、机密、绝密。

42. 404错误：服务器找不到请求的网页。505错误：服务器不支持请求中2所使用的HTTP协议版本

43. CA在数字签名当中扮演的主要角色是仲裁。

44. 强制存取控制中，用户与访问的信息的读写关系有四种：

下读（read down）：用户级别高于文件级别的读操作。

上写（write up)：     用户级别低于文件级别的写操作。

下写（write down）：用户级别高于文件级别的写操作。

上读（read up):           用户级别低于文件级别的读操作。

45.数字签名具有发送方不能抵赖、接收方不能伪造的能力，签名伪造主要是攻击数据的完整性，因此可采取数

完整性服务来缓解。

46.防火墙体系结构主要有：

 1.双重宿主主机体系结构：以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。

 2.屏蔽主机体系结构：通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内外网络的隔离和对内网的保护。

 3.屏蔽字网体系结构：由两台路由器包围起来的周边网络，并且将容易收到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成，分别为：周边网络、外部路由器、内部路由器以及堡垒主机。

47. 信息安全三大要素：机密性，完整性，可用性；

机密性：确保信息仅被合法授权用户访问，不被非授权用户、实体或过程利用的特性。

完整性：指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。

可用性：指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般是系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求：身份识别与确认、访问控制（对用户的权限进行控制，只能访问响应权限的资源，防止或限制经隐蔽通道的非法访问）

48.Android系统权限声明机制就在App当中，也就是应用层。应用程序签名机制则是属于应用框架层，安全沙箱在系统运行层，地址空间布局随机化是系统内核层实现的。

49.问：Android系统的应用程序权限信息声明在哪个配置文件中？

    答：AndroidManifest.xml

50.问：Android系统定义的权限组包括：Calendar、Camera、Contacts、Location、Microphone、Phone、Sensors、SMS、Storage。按照《信息安全技术移动互联网应用程序app收集个人信息基本规范》，运行在Android9.0系统中，使用网约车app可以有的最小必要权限是哪几个？

    答：Location、phone

51.问：假如有移动应用A提供了如下服务Aservice、对应的权限描述如下：

如果其他应用B要访问该服务，应该申明使用该服务，将以下申明语句补充完整。

   答：uses-permission；最常用的就是uses-permission，当我们需要获取某个权限的时候，就要在文件中声明

51.问：移动终端设备常见的数据存储方式包括：

①SharedPreferences;

②文件存储；

③SQLite数据库；

④ContentProvider；

⑤网络存储。

从以上5钟方式选出Android系统支持的数据存储方式。

答：①SharedPreferences、②文件存储、③SQLite数据库、④ContentProvider、⑤网络存储；以上5种全是Android系统支持的数据存储方式。

52.问：应用程序框架层集中了许多Android开发需要的组件，其中醉蛛要的就是Activities、Broadcast Receiver、Services以及Content Providers这四大组件。围绕四大组件存在很多的攻击方法，请说明一下三种攻击分别是针对哪个组件。

（1）目录遍历攻击。

（2）界面劫持攻击。

（3）短信拦截攻击。

    答：（1）目录遍历攻击：Content Providers；//Content Provides用来保存或获取数据，目录遍历攻击与此关联

           （2）界面劫持攻击：Activities；//Activities和Android系统中的界面有关，因此界面劫持攻击属于该组件

           （3）短信拦截攻击：Broadcast Receiver；//Broadcast Receiver用于广播发送和接收消息，短信拦截攻击与此关联

-----------------------------------------------------------------------

背景：2023年上半年爆出现场考试泄题作弊等行为，单位部门不容忍推行机考，机考从招标采购到测试实行，刚好赶上了下半年的软考。应运而生，笔者就参加了这一场“第一届机考”。

笔者是参加了两次，第一次参加软考信安，案例题没过，所以这次是第二次。

复习过程：

买书→刷题→复习

复习时间：

2个星期（足够）

复习内容：

1.手机刷题使用《软考通》App；微信小程序《51CTO》；

2.买书《信息安全工程师5天修炼第二版》、《信息安全工程师考前冲刺100题》；

3.复习，利用上班白天刷小程序《51CTO》然后经常忘记刷，因为之前考过一次知道自己哪里不足，所以考试前一个星期特意专门抽空刷案例题，主要是把案例搞懂。

分享考试心得：买的两本书基本都没怎么翻，笔者上班不方便带来带去，主要是靠刷51cto上的往年案例题，把基本问题搞懂就可以。机考考试环境就是教师管理软件的系统环境然后做了个桌面EXE程序，对键盘输入做了管控，还有ctrl+alt+del。

（1）选择题：主要靠刷题库，多做题，多做错题，把错题搞定就可以；笔者是刷《51CTO》和 软考通APP；平均分都是80以上才能说有把握。

（2）机考案例题：更上年有变化的地方就是大题变多，然后考的范围更广：iptables、Des盒子、wireshark、安卓框架、php代码审计、sql注入漏洞、内存溢处、windows密钥和Linux密钥等。

结尾附上贴低分成绩，希望看完这篇文章的信安们都能顺利通过；

原文始发于微信公众号（CyberTorres）：轻松过23下软考信安低分心得，附案例