信息安全工程师笔记-综合知识冲刺

Posted 2021-11-23 IT1995

SM3算法是在SHA-256基础上改进实现的一种算法，消息分组长度为512位，生成摘要（杂凑）值长度为256位

---

BS7799标准是英国标准协会制定的信息安全管理体系标准，是按照先进的信息安全管理标准建立完整的信息安全管理体系，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，获得最高的信息安全水平，从根本上保证业务的连续性。

---

信息安全必须遵守的原则：

最小化原则：受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要，仅被授予其访问信息的适当权限，称为最小化原则。

分权制衡原则：在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。

安全隔离原则：信息安全的一个基本策略就是将信息主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。

---

信息系统访问控制包括：

主体：用户、终端、主机等，主体可以访问客体；

客体：指一个包含或接受信息的被动实体，对客体的访问要受控；

授权访问：指主体访问客体的允许。

---

私有地址：

A类：10.0.0.0~10.255.255.255

B类：172.16.0.0~172.31.255.255

C类：192.168.0.0~192.168.255.255

---

主动攻击：DDOS、信息篡改、破坏、资源使用、欺骗假冒等攻击；

被动攻击：嗅探、窃听、信息收集。

---

安全模型：

BLP模型：强制访问控制模型，以资源敏感度划分级别，强制要求满足某个条件；

基于角色的存取控制模型：强制访问控制模型，每个角色有每个角色的权限；

BN模型：强制访问控制模型；

访问控制矩阵（列）模型：自主访问控制模型，可以调整访问策略。

---

加密用于确保数据的保密性，阻止被动攻击。认证用于确保报文发送者和接收者的真实性以及报文的完整性，阻止主动攻击。

认证允许发送双方互相验证其真实性，不准许第三方验证，而数字签名允许收发双方和第三者都能验证。

认证系统参数有口令、标识符、密钥、信物、智能卡、指纹、视网纹、生理特征。

---

VPN关键技术：①加解密技术；②隧道技术；③密钥管理技术；④身份认证技术。

---

数据加密存储技术：

Linux：AFS、TCFS、CFS

Windows：EFS

---

用户与访问的信息的读写关系有4种：

下读（read down）：用户级别高于文件级别的读操作；

上写（write up）：用户级别低于文件级别的写操作；

下写（write down）：用户级别高于文件级别的写操作；

上读（read up）：用户级别低于文件级别的读操作。

---

SMTP协议基本命令：

①HTLO向服务器标识用户身份；

②MAIL初始化邮件传输mail from；

③DATA在单个或多个RCPT命令后，标识所有的邮件接收人标识，并初始化数据传输；

④EXPN验证给定的邮箱列表是否存在，扩充邮箱列表，常禁用；

⑤HELP查询服务器支持什么命令；

⑥RSET重置会话，当前传输被取消；

⑦MAIL FROM制定发送者地址；

⑧RCPT TO指明的接收者地址。

---

X.509数字证书包括：

版本号、序列号、签名算法标识、发行者名称、有效期、主体名称、主体公钥信息、发行者唯一标识性、主体唯一识别符、扩充域、CA的签名。不包括加密算法标识。

---

PDR模型是美国国际互联网安全系统公司（ISS）提出，是一种主动防御思想的一种网络安全模型。PDR模型包括protection（保护）、detection（检测）、response（响应）

---

IPSec协议包括：

认证头AH：可以同时提供数据完整性确认、数据来源确认、重放等安全特性；AH常用摘要算法（单向Hash函数）MD5和SHA1实现该特性。

ESP协议：可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。

---

包过滤技术防火墙规则匹配包括：

①IP源地址；

②IP目的地址；

③协议。

---

DES中事实上是56有效密钥，第8、16、24、32、40、48、56、64位是校验位。

---

Windows中策略

本地策略：审核策略、用户权限分配、安全选项；

公钥策略：加密文件系统、数据保护、BitLocker驱动器加密；

帐号策略：密码策略、账户锁定策略。

---

APT攻击3个阶段：攻击前准备、攻击入侵阶段、持续攻击阶段；

分为5个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。

---

Snort是一款开源的网络入侵检测系统，配置有3个模式：嗅探（Sniffer）、包记录（PacketLogger）、网络入侵检测（NetworkIntrusionDetection）

---

防火墙规则中的处理方式包括：

Accept：允许数据包或信息通过；

Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止；

Drop：直接将数据包或信息丢弃，并且通知信息源。