1、密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。
2、密码学安全目标:
1)保密性,确保信息仅被合法用户访问,而不泄露给非授权的用户。
提高手段:防侦查、防辐射、数据加密、物理保密
2)完整性,所有资源只能有授权方或者以授权方式进行修改,保证信息的不可抵赖性和真实性。
影响因素:故障、误码、攻&击、病&毒
3)可用性,所有资源在适当的时候可以由授权方访问。
3、“不适用”通常针对机密性。对于公开的信息,机密性没有意义。
4、公开且放开个人WEB服务器上的信息:机密性NA,完整性M,可用性M
公开的实时股票信息:机密性NA,完整性H,可用性H
5、求A关于模N的逆元,即求整数B,使得A*B mod N =1(要求A和N互素)
6、防火墙的体系结构:
1)双重宿主主机体系结构,以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。
2)(被)屏蔽主机体系结构,通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。
3)(被)屏蔽子网体系结构,由两台路由器包围起来的周边网络,并且将容易受到攻&击的堡垒主机都置于这个周边网络中。
7、内部包过滤器:用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规则,规则主要对内部用户访问周边网络和外部网络进行限制。
外部包过滤器:用于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,规则主要针对外网用户。
8、客户端首先向服务器发送SYN分组以便建立连接。目标服务器接收到SYN包后发回确认数据报文(SYN+ACK),该数据报文ACK=1。最后客户机再以ACK消息响应。
SYN:同步信号,TCP协议的发起连接位,是TCP/IP建立连接时使用的握手信号。
SYN扫描时,如果端口开放,目标主机会响应扫描主机的SYN/ACK连接请求;如果端口关闭,则目标主机向扫描主机发送RST的响应。如果收到RST/ACK分组也表示该端口不在监听状态。客户端不管收到什么样的分组,都向发起方发送一个RST/ACK分组,表示该端口关闭。
扫描机首先发出一个SYN连接,目标机使用SYN+ACK应答,而扫描机就返回RST终止三次我是。防火墙往往只记录成功的连接,而半连接的方式减少了对方主机或者防火墙记录这样的扫描行为。
防火墙在入方向过滤是为了防止被人攻&击,而在出口方向过滤是为了防止内部用户通过本网络对外攻&击。
9、入侵检测是动态安全模型(P2DR)的重要组成部分,P2DR模型是基于静态模型之上的动态安全模型,该模型不仅包含防护、检测、响应三个部分,还包含安全策略。
Snort是一款开源的网络入侵检测系统,它能够执行实时流量分析和IP协议网络的数据包记录。Snort的配置有三个主要模式:嗅探、包记录和网络入侵检测。
10、入侵检测系统常用的两种检测技术是异常检测和误用检测。
1)异常检测,是指把用户习惯行为特征存储在特征库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差较大,则认为有异常情况发生。
2)误用检测,一般由计算机安全专家首先对攻&击情况和系统漏洞进行分析和分类,然后手工编写相应的检测规则和特征模型。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻&击,并可以通过捕获攻&击及重新整理,确认入侵活动是基于同一弱点进行攻&击的入侵方法的变种。
11、防火墙默认规则
默认拒绝是指一切未被允许的就是禁止的。其安全规则的处理方式一般为accept。
默认允许是指一切未被禁止的就是允许的。其安全规则的处理方式一般为reject或drop。
12、防火墙规则的处理方式:
accept,允许数据包或信息通过。
reject,拒绝数据包或信息通过,并且通知信息源该信息被禁止。
drop,将数据包或信息直接丢弃,并且不通知信息源。
13、防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面为服务控制、方向控制、用户控制和行为控制。
服务控制,控制内部或者外部的服务,哪些可以被访问。
方向控制,决定特定方向发起的服务请求可以通过防火墙。需确定服务是在内网还是在外网。可以限制双向的服务。
用户控制,决定内网或者外网用户可以访问哪些服务。用户可以使用用户名、IP地址、MAC地址标示。
行为控制,进行内容过滤。如过滤网络流量中的病&毒、木&马或者垃圾邮件。
14、访问控制的三个基本要素
主体,改变信息流动和系统状态的主动方。主体可以访问客体。主体可以是进程、用户、用户组、应用等。
客体,包含或者接收信息的被动方。客体可以是文件、数据、内存段、字节等。
授权访问(访问权限),决定谁能访问系统,谁能访问系统的哪种资源以及如何使用这些资源。方式有读、写、执行、搜索等。
15、三种控制实现方法(P159)
访问控制矩阵
访问控制表
权能表
16、BLP模型是一种强制访问控制模型,它只允许主体向下读,不能上读(简单安全特性规则);主体只能向上写,不能向下写(*特性规则)。既不允许低信任级别的主体读高敏感度的客体,也不允许高敏感度的客体写入低敏感度区域,禁止信息从高级别流向低级别。这样保证了数据的机密性。
17、C语言不进行数组的边界检查。
通常,一个程序在内存中分为程序段、数据段和堆栈三部分。程序段里放着程序的机器码和只读数据;数据段放程序中的静态数据;动态数据则通过堆栈来存放。
18、缓冲区溢出解决方案:
1)编写正确的代码
2)缓冲区不可执行
3)改进C语言函数库
4)使堆栈向高地址方向增长
5)程序指针完整性检查
(检查代码正确性,检查输入参数的长度)
19、栈区(堆栈):压栈(push)、出栈(pop)
20、模糊测试:属于软件测试中的黑盒测试,是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。模糊测试不需要程序的源代码就可以发现问题。
模糊测试是一种自动化的动态漏洞挖掘技术,不存在误报,也不需要人工进行大量的逆向分析工作。
21、可以利用黑盒测试方法向服务器发送特定报文,通过服务器返回数据解析出报文,解析并判断是否存在“心脏出血”漏洞。
22、从数据挖掘的角度,隐私保护技术主要可以分为以下三类:
1)基于数据失真的技术:使敏感数据失真,但同时保持某些关键数据或数据属性不变的方法。如采用添加噪声、交换等技术对原始数据进行扰动处理,但要求保证处理后的数据仍然可以保持某些统计方面的性质,以便进行数据挖掘等操作。
2)基于数据加密的技术:采用加密技术在数据挖掘过程中隐藏敏感数据的方法。
3)基于数据匿名化的技术:根据具体情况有条件地发布数据。如不发布数据的某些域值、数据泛化。
23、SDLC安全开发模型的实现阶段给出了三种可以采取的安全措施。
1)使用批准工具:编写安全代码
2)使用不安全函数:禁用C语言中有隐患的函数
3)静态分析:检测程序指针的完整性
24、针对弱口令最有效的攻&击方式是穷举攻&击。
25、哈希算法具有单向性,经过哈希值运算之后的随机数,即使被攻&击者截获也无法对该随机数进行还原,获取该随机数的产生信息。
26、/etc/passwd和/etc/shadow默认访问权限分别为rw- r-- r--;r-- r-- ---。
27、WannaCry主要利用了微软windows操作系统的漏洞,以获得自动传播的能力。
28、恶意代码的特点如下:
1)恶意的目的
2)本身是计算机程序
3)通过执行发生作用
