信息安全工程师基础知识点
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
二、Web 安全威胁防护技术
1、防止 XSS 需要将不可信的数据与动态的浏览器内容区分开 (1)根据数据将要置于的 HTML 上下文(包括主体、属性、 JavaScript、CSS 或 URL)对所有的不可信数据进行恰当的转义 (escape),或者是去掉<>,没有 html 标签,页面就是安全的。 (2)“白名单”的,具有恰当的规范化和解码功能的输入验证 方法同样会有助于防止跨站脚本。但由于很多应用程序在输入中需要 特殊字符,这一方法不是完整的防护方法。这种验证方法需要尽可能 地解码任何编码输入,同时在接受输入之前需要充分验证数据的长 度、字符、格式和任何商务规则。 (3)用内容按去哪策略(CSP)来抵御整个网站的跨站脚本攻击。 (4)用户学会控制自己的好奇心,尽量不去单击页面中不安全 的链接。
3、EA 包含四层架构,这四层体系结构也可视为对组织信息化的 四种视角。包括:业务体系结构(Business Architecture)、信息 体 系 结 构 (Information Architecture) 、 解 决 方 案 体 系 结 构 (Solution Layout Architecture)、信息技术体系结构(Information Technology Architecture)。
H(p)=h,或确定在 P 中有没有这么一个 p. 2、HashCat 是世界上最快的基于 CPU 的口令破解工具。HashCat
系列软件在硬件上支持使用 CPU、NVIDIA GPU、ATI GPU 来进行密码 破解。在操作系统上支持 Windows、Linux 平台,并且需要安装官方 指定版本的显卡驱动程序,如果驱动程序版本不对,可能导致程序无 法运行。
十一、拒绝服务攻击
1、要对服务器实施拒绝服务攻击,实质上的方式就是两个:服 务器的缓冲区满,不接受新的请求、使用 IP 欺骗,迫使服务器把合 法用户的连接复位,影响合法用户的连接。
2、SYNFlooding(同步包风暴)攻击:它是通过创建大量的“半 连接”来进行攻击,任何连接收到 Internet 上并提供基于 TCP 的网 络服务的主机和路由器都可能成为这种攻击的目标。
信息安全工程师
基 础 知 识 点
目录
一、Web 安全威胁 ................................. 3 二、Web 安全威胁防护技术 ......................... 3 三、电子商务安全的需求分析与基本设计 ............. 3 四、访问控制 ..................................... 4 六、恶意代码 ..................................... 7 七、恶意代码的命名规则 ........................... 8 八、特洛伊木马 ................................... 8 九、典型反病毒技术 ............................... 9 十、计算机取证 ................................... 9 十一、拒绝服务攻击 .............................. 10 十二、网络欺骗 .................................. 11
2、ARP 欺骗:ARP 协议并不只是在发送了 ARP 请求后才接收 ARP 应答。当计算机接收到 ARP 应答数据包的时候,就会对本地的 ARP 缓 存进行更新,将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。因此, 局域网中的机器 B 首先攻击 C 使 C 瘫痪,然后向 A 发送一个自己伪 造的 ARP 应答,而如果这个应答是 B 冒充 C 伪造来的,就会更新本 地的 ARP 缓存,这样在 A 看来 C 的 IP 地址没有变,而它的 MAC 地 址已经变成 B 的了。由于局域网的网络流通不是根据 IP 地址进行, 而是根据 MAC 地址进行传输。如此就造成 A 传送给 C 的数据实际上 是传送到 B。这就是一个简单的 ARP 欺骗,如图:
1、彩虹表可以看成是一种非常有效,但有损耗的压缩散列查找 表的实现算法。它采用时空折中思路,引入 hash 链的每一步的使用 不同的还原函数并取出了辨识点的思想。其基本思路为:假设有一种 口令哈希函数 H 和一个有限口令集 P,目标是预先计算一个数据结 构,对于任意的哈希函数输出 h,都能很快地在 P 中定位 p,使得
八、特洛伊木马
1、木马的常见功能有:主机信息管理、文件系统管理、屏幕监 视和控制、密码截获、注册表管理、服务管理、进程管理、键盘记录、 Shell 控制等功能。
2、为了清除恶意代码,需要按照如下步骤进行:(1)停止恶意
代码的所有活动行为(包括停止进程、服务、卸载 DLL 等)。(2) 删除恶意代码新建的所有文件备份(包括可执行文件文件、DLL 文件、 驱动程序等)。(3)清除恶意代码写入的所有启动选项。(4)对被 计算机病毒感染的文件,还需要对被感染文件进行病毒清除等。
包括数据库安全、数据加密、数据备份与恢复技术等;行为安全 技术包括行为监控技术、入侵防护技术、安全审计技术、应急响应技 术等;交易安全包括安全电子支付协议、电子支付网关安全、电子支 付接口安全等,综合通过这些技术,确保电子商务系统的业务连续性。
2、电子商务系统的安全技术包括物理环境安全、系统安全、网 络安全、数据及支付安全等方面。 四、访问控制
三、电子商务安全的需术与安全管理两个层面为电 子商务系统提供深度多级、主动的安全保护,包括安全技术保障与安 全管理运维两个部分。
安全技术保障包括物理安全、网络安全、服务安全、数据安全、 行为安全和交易安全。
网络安全包括防火墙、虚拟专用网、防垃圾邮件、防拒绝服务攻 击、入侵检测、入侵防护、防恶意代码、网络接入、网络隔离、内容 过滤、网络审计等;服务安全包括双机热备、运行容器隔离技术、容 侵与容错技术、在线监控与自动恢复技术、多租户隔离技术等;数据 安全
3、利用处理程序错误的拒绝服务攻击,这些攻击包括 PingofDeath 攻击、Teardrop 攻击、Winnuke 攻击、以及 Land 攻 击等。
4、Teardrop 攻击就是利用 IP 包的分段/重组技术在系统实现 中的一个错误,即在组装 IP 包时只检查了每段数据是否过长,而没 有检查包中有效数据的长度是否过小。
风险分析与评估; 风险管理与控制; 安全计划制定; 安全策略与机制实现; 安全措施实施; 7、我国现有的信息系统安全标准体系可分为基础类、应用类、 产品类; 8、从具体的实施方案来看,目前代码静态分析采用的方法主要 有模式匹配、定力证明、模型检测等。 9、信息系统安全测评由三个阶段组成:(1)安全评估阶段;(2) 安全认证阶段;(3)持续监督阶段; 五、数据库安全的概念 1、数据库安全就是保证数据库信息的保密性、完整性、一致性 和可用性。保密性是指保护数据库中的数据不被破坏和删除;一致性 是指确保数据库中的数据满足实体完整性,参照完整性和用户定义完 整性要求;可用性指确保数据库中的数据不因认为和自然的原因对授 权用户不可用。 2、一般而言,数据库中需要满足的安全策略应该满足以下一些 原则:最小特权原则、最大共享原则、开放系统原则和封闭系统原则。 3、数据库安全策略的实施中通常包括以下这些方法:子模式法、 SQL 修改查询法、集合法、请求排序法;
5、Winnuke 攻击针对 Windows 系统上一般都开放的 139 端口, 这个端口由 netBIOS 使用。只要往该端口发送 1 字节 TCPOOB 数据, 就可以使 Windows 系统出现蓝屏错误,并且网络功能完全瘫痪。除 非重新启动,否则不能再用。
6、Land 攻击:攻击者将一个包的源地址和目的地址都设置为目 标主机的地址,然后将该包通过 IP 欺骗的方式发送给被攻击主机, 这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从 而很大程度地降低了系统性能。
一、Web 安全威胁
1、OWASP TOP10 漏洞:(1)注入;(2)失效的身份认证和会 话管理(3)跨站脚本(XSS)(4)不安全的直接对象引用(5)安全 配置错误(6)敏感信息泄漏(7)功能级访问控制缺失(8)跨站请 求伪造(CSRF)(9)使用更含有已知漏洞的组件(10)未验证的重 定向和转发。
十二、网络欺骗
1、ARP 原理:某机器 A 要向主机 C 发送报文,会查询本地的 ARP 缓存表,找到 C 的 IP 地址对应的 MAC 地址后,就会进行数据 传输。如果未找到,则广播一个 ARP 请求报文(携带主句 A 的 IP 地 址 Ia‐‐‐‐物理地址 AA:AA:AA:AA),请求 IP 地址为 Ic 的主机 C 回答物理地址 Pc,网上所有的主机包括 C 都收到 ARP 请求,但只有 主机 C 识别自己的 IP 地址,于是向 A 主机发回一个 ARP 响应报文。 其中就包含有 C 的 MAC 地址 CC:CC:CC:CC,A 接收到 C 的应答后, 就会更新本地的 ARP 缓存。接着使用这个 Mac 地址发送数据(由网 卡附加 MAC 地址)。因此,本地高速缓存的这个 ARP 表是本地网络 流通的基础,而且这个缓存是动态的。
九、典型反病毒技术
1、目前典型的反病毒技术有:特征码技术、虚拟机技术、启发 扫描技术、行为监控技术、主动防御技术、云查杀技术等。
十、计算机取证
1、电子证据必须是可信、准确、完整、符合法律法规的,是法 庭所能接受的。同时,电子证据与传统证据不同,具有高科技性、无 形性和易破坏性等特点。
2、针对智能卡有下面几种常见的攻击手段: 物理篡改:想办法使卡中的集成电路暴露出来,用微探针在芯片 表面,直接读出存储器中的内容。 时钟抖动:让时钟工作在正常的频率范围,但是在某一精确计算 的时间间隔内突然注入高频率的脉冲,导致处理器丢失一两条指令。 超范围电压探测:与超范围时钟频率探测类似,通过调整电压, 使处理器出错。 3、智能手机的软件操作系统有:Windows CE 、Palm OS、Pocket PC 、WindowsPhone 和 IOS,安卓等。
恶意代码前缀是指一个恶意代码的种类,比如常见的木马程序的 前缀 Trojan,网络蠕虫的前缀是 Worm,后门的前缀为 BackDoor,破坏 性程序病毒的前缀是 Harm,玩笑病毒的前缀是 Joke,捆绑机病毒 Binder
2 、卡巴斯基在对蠕虫进行命名分类时, 主要将其划分为: net‐Worm/email‐Worm/IM‐Worm/IRC‐Wrom/P2P‐Worm 等, 在威胁程度上,net‐Worm>Email‐worm>IM‐Worm>IRC‐Worm/P2P‐ Worm.
六、恶意代码
恶意代码定义与分类 1、恶意代码(Malicious Code,有时也称为 Malware,即恶意软 件)是指一切旨在破坏计算机或者网络系统可靠性、可用性、安全性 和数据完整性或者小号系统资源的恶意程序。
七、恶意代码的命名规则
1、恶意代码的一般命名格式为:<恶意代码前缀>.<恶意代码名 称>.<恶意代码后缀>
4 、 信 息 系 统 安 全 体 系 ( Information Systems Security Architecture,ISSA),包括信息系统安全技术体系,安全管理体系, 安全标准体系和安全法律法规。
5、从技术角度而言,通用的安全技术体系包括以下的模块: 信息系统硬件安全:密码机、密码加速卡等。 操作系统安全:防病毒、访问控制、白名单等。 密码算法技术:RSA、ECC、AES、3DES; 安全协议技术:CCITI X.509、ISO9798、TLS; 访问控制:RBAC、ACL 等; 安全传输技术:SSL、HTTPS 等; 应用程序安全:S/MIME、PKCS 等; 身份识别与权限管理技术:指纹、IC 卡、USB Key 等。 入侵检测技术和防火墙等; 6、信息系统安全管理体系,主要包括以下内容: 安全目标的确定; 安全需求获取与分类;
1、防止 XSS 需要将不可信的数据与动态的浏览器内容区分开 (1)根据数据将要置于的 HTML 上下文(包括主体、属性、 JavaScript、CSS 或 URL)对所有的不可信数据进行恰当的转义 (escape),或者是去掉<>,没有 html 标签,页面就是安全的。 (2)“白名单”的,具有恰当的规范化和解码功能的输入验证 方法同样会有助于防止跨站脚本。但由于很多应用程序在输入中需要 特殊字符,这一方法不是完整的防护方法。这种验证方法需要尽可能 地解码任何编码输入,同时在接受输入之前需要充分验证数据的长 度、字符、格式和任何商务规则。 (3)用内容按去哪策略(CSP)来抵御整个网站的跨站脚本攻击。 (4)用户学会控制自己的好奇心,尽量不去单击页面中不安全 的链接。
3、EA 包含四层架构,这四层体系结构也可视为对组织信息化的 四种视角。包括:业务体系结构(Business Architecture)、信息 体 系 结 构 (Information Architecture) 、 解 决 方 案 体 系 结 构 (Solution Layout Architecture)、信息技术体系结构(Information Technology Architecture)。
H(p)=h,或确定在 P 中有没有这么一个 p. 2、HashCat 是世界上最快的基于 CPU 的口令破解工具。HashCat
系列软件在硬件上支持使用 CPU、NVIDIA GPU、ATI GPU 来进行密码 破解。在操作系统上支持 Windows、Linux 平台,并且需要安装官方 指定版本的显卡驱动程序,如果驱动程序版本不对,可能导致程序无 法运行。
十一、拒绝服务攻击
1、要对服务器实施拒绝服务攻击,实质上的方式就是两个:服 务器的缓冲区满,不接受新的请求、使用 IP 欺骗,迫使服务器把合 法用户的连接复位,影响合法用户的连接。
2、SYNFlooding(同步包风暴)攻击:它是通过创建大量的“半 连接”来进行攻击,任何连接收到 Internet 上并提供基于 TCP 的网 络服务的主机和路由器都可能成为这种攻击的目标。
信息安全工程师
基 础 知 识 点
目录
一、Web 安全威胁 ................................. 3 二、Web 安全威胁防护技术 ......................... 3 三、电子商务安全的需求分析与基本设计 ............. 3 四、访问控制 ..................................... 4 六、恶意代码 ..................................... 7 七、恶意代码的命名规则 ........................... 8 八、特洛伊木马 ................................... 8 九、典型反病毒技术 ............................... 9 十、计算机取证 ................................... 9 十一、拒绝服务攻击 .............................. 10 十二、网络欺骗 .................................. 11
2、ARP 欺骗:ARP 协议并不只是在发送了 ARP 请求后才接收 ARP 应答。当计算机接收到 ARP 应答数据包的时候,就会对本地的 ARP 缓 存进行更新,将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。因此, 局域网中的机器 B 首先攻击 C 使 C 瘫痪,然后向 A 发送一个自己伪 造的 ARP 应答,而如果这个应答是 B 冒充 C 伪造来的,就会更新本 地的 ARP 缓存,这样在 A 看来 C 的 IP 地址没有变,而它的 MAC 地 址已经变成 B 的了。由于局域网的网络流通不是根据 IP 地址进行, 而是根据 MAC 地址进行传输。如此就造成 A 传送给 C 的数据实际上 是传送到 B。这就是一个简单的 ARP 欺骗,如图:
1、彩虹表可以看成是一种非常有效,但有损耗的压缩散列查找 表的实现算法。它采用时空折中思路,引入 hash 链的每一步的使用 不同的还原函数并取出了辨识点的思想。其基本思路为:假设有一种 口令哈希函数 H 和一个有限口令集 P,目标是预先计算一个数据结 构,对于任意的哈希函数输出 h,都能很快地在 P 中定位 p,使得
八、特洛伊木马
1、木马的常见功能有:主机信息管理、文件系统管理、屏幕监 视和控制、密码截获、注册表管理、服务管理、进程管理、键盘记录、 Shell 控制等功能。
2、为了清除恶意代码,需要按照如下步骤进行:(1)停止恶意
代码的所有活动行为(包括停止进程、服务、卸载 DLL 等)。(2) 删除恶意代码新建的所有文件备份(包括可执行文件文件、DLL 文件、 驱动程序等)。(3)清除恶意代码写入的所有启动选项。(4)对被 计算机病毒感染的文件,还需要对被感染文件进行病毒清除等。
包括数据库安全、数据加密、数据备份与恢复技术等;行为安全 技术包括行为监控技术、入侵防护技术、安全审计技术、应急响应技 术等;交易安全包括安全电子支付协议、电子支付网关安全、电子支 付接口安全等,综合通过这些技术,确保电子商务系统的业务连续性。
2、电子商务系统的安全技术包括物理环境安全、系统安全、网 络安全、数据及支付安全等方面。 四、访问控制
三、电子商务安全的需术与安全管理两个层面为电 子商务系统提供深度多级、主动的安全保护,包括安全技术保障与安 全管理运维两个部分。
安全技术保障包括物理安全、网络安全、服务安全、数据安全、 行为安全和交易安全。
网络安全包括防火墙、虚拟专用网、防垃圾邮件、防拒绝服务攻 击、入侵检测、入侵防护、防恶意代码、网络接入、网络隔离、内容 过滤、网络审计等;服务安全包括双机热备、运行容器隔离技术、容 侵与容错技术、在线监控与自动恢复技术、多租户隔离技术等;数据 安全
3、利用处理程序错误的拒绝服务攻击,这些攻击包括 PingofDeath 攻击、Teardrop 攻击、Winnuke 攻击、以及 Land 攻 击等。
4、Teardrop 攻击就是利用 IP 包的分段/重组技术在系统实现 中的一个错误,即在组装 IP 包时只检查了每段数据是否过长,而没 有检查包中有效数据的长度是否过小。
风险分析与评估; 风险管理与控制; 安全计划制定; 安全策略与机制实现; 安全措施实施; 7、我国现有的信息系统安全标准体系可分为基础类、应用类、 产品类; 8、从具体的实施方案来看,目前代码静态分析采用的方法主要 有模式匹配、定力证明、模型检测等。 9、信息系统安全测评由三个阶段组成:(1)安全评估阶段;(2) 安全认证阶段;(3)持续监督阶段; 五、数据库安全的概念 1、数据库安全就是保证数据库信息的保密性、完整性、一致性 和可用性。保密性是指保护数据库中的数据不被破坏和删除;一致性 是指确保数据库中的数据满足实体完整性,参照完整性和用户定义完 整性要求;可用性指确保数据库中的数据不因认为和自然的原因对授 权用户不可用。 2、一般而言,数据库中需要满足的安全策略应该满足以下一些 原则:最小特权原则、最大共享原则、开放系统原则和封闭系统原则。 3、数据库安全策略的实施中通常包括以下这些方法:子模式法、 SQL 修改查询法、集合法、请求排序法;
5、Winnuke 攻击针对 Windows 系统上一般都开放的 139 端口, 这个端口由 netBIOS 使用。只要往该端口发送 1 字节 TCPOOB 数据, 就可以使 Windows 系统出现蓝屏错误,并且网络功能完全瘫痪。除 非重新启动,否则不能再用。
6、Land 攻击:攻击者将一个包的源地址和目的地址都设置为目 标主机的地址,然后将该包通过 IP 欺骗的方式发送给被攻击主机, 这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从 而很大程度地降低了系统性能。
一、Web 安全威胁
1、OWASP TOP10 漏洞:(1)注入;(2)失效的身份认证和会 话管理(3)跨站脚本(XSS)(4)不安全的直接对象引用(5)安全 配置错误(6)敏感信息泄漏(7)功能级访问控制缺失(8)跨站请 求伪造(CSRF)(9)使用更含有已知漏洞的组件(10)未验证的重 定向和转发。
十二、网络欺骗
1、ARP 原理:某机器 A 要向主机 C 发送报文,会查询本地的 ARP 缓存表,找到 C 的 IP 地址对应的 MAC 地址后,就会进行数据 传输。如果未找到,则广播一个 ARP 请求报文(携带主句 A 的 IP 地 址 Ia‐‐‐‐物理地址 AA:AA:AA:AA),请求 IP 地址为 Ic 的主机 C 回答物理地址 Pc,网上所有的主机包括 C 都收到 ARP 请求,但只有 主机 C 识别自己的 IP 地址,于是向 A 主机发回一个 ARP 响应报文。 其中就包含有 C 的 MAC 地址 CC:CC:CC:CC,A 接收到 C 的应答后, 就会更新本地的 ARP 缓存。接着使用这个 Mac 地址发送数据(由网 卡附加 MAC 地址)。因此,本地高速缓存的这个 ARP 表是本地网络 流通的基础,而且这个缓存是动态的。
九、典型反病毒技术
1、目前典型的反病毒技术有:特征码技术、虚拟机技术、启发 扫描技术、行为监控技术、主动防御技术、云查杀技术等。
十、计算机取证
1、电子证据必须是可信、准确、完整、符合法律法规的,是法 庭所能接受的。同时,电子证据与传统证据不同,具有高科技性、无 形性和易破坏性等特点。
2、针对智能卡有下面几种常见的攻击手段: 物理篡改:想办法使卡中的集成电路暴露出来,用微探针在芯片 表面,直接读出存储器中的内容。 时钟抖动:让时钟工作在正常的频率范围,但是在某一精确计算 的时间间隔内突然注入高频率的脉冲,导致处理器丢失一两条指令。 超范围电压探测:与超范围时钟频率探测类似,通过调整电压, 使处理器出错。 3、智能手机的软件操作系统有:Windows CE 、Palm OS、Pocket PC 、WindowsPhone 和 IOS,安卓等。
恶意代码前缀是指一个恶意代码的种类,比如常见的木马程序的 前缀 Trojan,网络蠕虫的前缀是 Worm,后门的前缀为 BackDoor,破坏 性程序病毒的前缀是 Harm,玩笑病毒的前缀是 Joke,捆绑机病毒 Binder
2 、卡巴斯基在对蠕虫进行命名分类时, 主要将其划分为: net‐Worm/email‐Worm/IM‐Worm/IRC‐Wrom/P2P‐Worm 等, 在威胁程度上,net‐Worm>Email‐worm>IM‐Worm>IRC‐Worm/P2P‐ Worm.
六、恶意代码
恶意代码定义与分类 1、恶意代码(Malicious Code,有时也称为 Malware,即恶意软 件)是指一切旨在破坏计算机或者网络系统可靠性、可用性、安全性 和数据完整性或者小号系统资源的恶意程序。
七、恶意代码的命名规则
1、恶意代码的一般命名格式为:<恶意代码前缀>.<恶意代码名 称>.<恶意代码后缀>
4 、 信 息 系 统 安 全 体 系 ( Information Systems Security Architecture,ISSA),包括信息系统安全技术体系,安全管理体系, 安全标准体系和安全法律法规。
5、从技术角度而言,通用的安全技术体系包括以下的模块: 信息系统硬件安全:密码机、密码加速卡等。 操作系统安全:防病毒、访问控制、白名单等。 密码算法技术:RSA、ECC、AES、3DES; 安全协议技术:CCITI X.509、ISO9798、TLS; 访问控制:RBAC、ACL 等; 安全传输技术:SSL、HTTPS 等; 应用程序安全:S/MIME、PKCS 等; 身份识别与权限管理技术:指纹、IC 卡、USB Key 等。 入侵检测技术和防火墙等; 6、信息系统安全管理体系,主要包括以下内容: 安全目标的确定; 安全需求获取与分类;