整理不易,恳请三连。如有错误,希望轻喷,接受指正,积极完善。
1.信息安全的五个属性:机密性、完整性、可用性、可控性、不可否认性
2.上世纪90年代中期,六国七方提出的信息技术安全性评估通用准则英文缩写为 CC,是评估信息技术产品和系统安全性的基础准则
3.恶意行为的检测方式主要分为两类:主机监测和 网络 监测
4.密码设计应遵循一个公开设计的原则,即密钥体制的安全应依赖于对 密钥 的保密,而不是依赖于算法的保密
5.AES的分组长度固定为 128 位,密钥长度则可以是128、192或256位
6.基于usb key的身份认证系统主要有两种认证模式:挑战、应答模式和 PKI 体系的认证模式
7.任何访问控制策略最终可以被模型化为 访问控制矩阵 形式,行对应于用户,列对应于目标,矩阵中每一元素表示相应的用户对目标的访问许可
8.信任根和 信任链 是可信计算平台的最主要的关键技术之一
9.在create table语句中使用 default 子句,是定义默认值首选的方法
10.当用户代码需要请求操作系统提供的服务时,通常采用 系统调用 的方法来完成这一过程
11.当操作系统为0环和1环执行指令时,它在管理员模式或 内核 模式下运行
12.SSL协议包括两层协议:记录协议和 握手 协议
13.CA通过发布 证书黑名单,公开发布已经废除的证书
14.攻击者通过精心构造超出数组范围的索引值,就能够对任意内存地址进行读写操作,这种漏洞被称为 数组越界 漏洞
15.在不实际执行程序的前提下,将程序的输入表示成符号,根据程序的执行流程和输入参数的赋值变化,把程序的输出表示成包含这些符号的逻辑或算术表达式,这种技术被称为 符号执行 技术
16.被调用的子函数下一步写入数据的长度,大于栈帧的基址到 ESP 之间预留的保存局部变量的空间时,就会发生栈的溢出
17.漏洞利用的核心,是利用程序漏洞去执行 shellcode 以便挟持进程的控制权
18.软件安全检测技术中,定理证明属于软件 静态 安全检测技术
19.风险评估分为 自评估 和检查评估
20.国家秘密的保密期限,绝密级不超过 30 年,除另有规定
