软考之信息安全工程师:考点整理【四】

摘星辰
235 阅读6分钟

VPN各层的实现方式

  • 数据链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换MPLS
  • 网络层VPN的实现方式有受控路由过滤隧道技术
  • 传输层VPN的实现方式有SSL技术

PKI中X.509数字证书

X.509定义的数字证书包括3部分:证书内容、签名算法和使用签名算法对证书内容所做的签名。

X.509数字证书的具体内容如下。

  • 证书版本号:用于识别数字证书版本号,版本号可以是VI、V2和V3,自前常用的是V3。
  • 证书序列号:是由CA分配给数字证书的唯一的数字类型的标识符,当数字证书被撤销时,将此证书序列号放入由CA签发的证书撤销列表CRL。
  • 签名算法标识:用来标识对证书进行签名的算法和算法包含的参数,X.509规定, 这个算法同证书格式中出现的签名算法必须是同一个算法。
  • 证书签发机构:签发数字证书的CA的名称。
  • 证书有效期:证书启用和废止的日期和时间,表明证书在该时间段内有效。
  • 证书对应的主体:证书持有者的名称。
  • 证书主体的公钥算法:包括证书主体的签名算法、需要的参数和公钥参数。
  • 证书签发机构唯一标识:该项为可选项。
  • 证书主体唯一标识:该项为可选项。
  • 扩展项:X.509证书的V3版本还规定了证书的扩展项。

Kerberos系统

Kerberos是一种网络认证协议,主要用于计算机网络的身份鉴别。其特点是用户只需要输入一次身份验证信息就可以凭借此验证获得的票据访问多个服务,它采用DES加密算法。

Kerberos系统涉及四个基本实体: (1)Kerberos客户机,用户用来访问服务器设备(2)AS(认证服务器),识别用户身份并提供TGS会话密钥; (3)TGS(票据发放服务器) ,为申请服务的用户授予票据(Ticket); (4)应用服务器,为用户提供服务的设备或系统。 其中,通常将AS和TGS统称为KDC。票据(Ticket)是用于安全的传递用户身份所需要的信息的集合,主要包括客户方Principal、目的服务方Principal、客户方IP地址、时间戳(分发该Ticket的时间)、Ticket的生存期,以及会话密钥等内容。

CMMI软件安全能力成熟度模型

  • 1级:补丁修补
  • 2级:渗透测试、安全代码评审
  • 3级:漏洞评估、代码分析、安全标准编码
  • 4级:软件安全风险识别、SDLC实施不同安全点检查
  • 5级:改进软件安全风险覆盖率、评估安全差距

金丝雀(Canary)

是一种 堆栈保护 技术

网关协议

  • 内部网关协议常用的有:OSPF、ISIS、RIP、EIGRP
  • 外部网关协议有:BGP

Android系统架构

  • 应用程序层

    • email客户端、SMS短消息程序、日历、地图、浏览器、联系人管理程序

  • 应用程序框架层

    • 丰富且扩展的视图、内容提供器、资源管理器、通知管理器、活动管理器

  • 系统运行库层

    • 程序库(系统C库、媒体库),Android运行库

  • Linux内核层

    • 安全性、内存管理、进程管理、驱动

Linux最小化配置(安全加固)

实现 Linux 系统网络服务最小化的操作,方法有:

  • inetd.conf的文件权限设置为600;
  • inetd.conf的文件属主为root;
  • services的文件权限设置为644;
  • services的文件属主为root;
  • 在inetd. conf中,注销不必要的服务,比如echo、finger、rsh、rlogin、tftp等。
  • 只开放与系统业务运行有关的网络通信端口。

国密算法

对称算法:SM1、SM4、SM7

非对称算法:SM2、SM9

哈希算法:SM3

其中 SM9 是 标识密码算法

IEEE 802.11标准的WEP协议

IEEE 802.11标准的WEP协议采用的流密码算法,其对应的加密算法是RC4

典型的控制型木马

冰河、网络神偷、广外女生、网络公牛、黑洞、上兴、彩虹桥、Posionivy、PCShare、灰鸽子

入侵检测

  • 基于主机的入侵检测系统HIDS

    • SWATCH
    • Tripwrie
    • 网页防篡改系统

  • 基于网络的入侵检测系统NIDS

    • SessionWall
    • ISS RealSecure
    • Cisco Secure
    • IDS
    • Snort

BLP与Biba安全特性比较

  • BLP

    • 简单安全特性:主体只能向下读、不能上读
    • *特性:主体只能向上写、不能向下写

  • Biba

    • 简单安全特性:主体不能访问更低完整级的客体
    • *特性:主体不能修改更高完整级的客体(主体不能上写)
    • 调用特性:主体不能调用更高完整级的主体

IDC机房级别

  • R1:不小于99.5%
  • R2:不小于99.9%
  • R3:不小于99.99%

隐私保护

  1. 抑制:通过数据置空的方式
  2. 泛化:降低数据精度
  3. 置换:不对数据内容做更改,只更改属主
  4. 扰动:在数据发布时添加一定的噪音,包括数据增删、变换等
  5. 裁剪:将数据分开发布

SSL 协议

  • 握手协议:用于身份鉴别和安全参数协商
  • 密码规格变更协议:用于通知安全参数的变更
  • 报警协议:用于关闭通知和对错误进行报警
  • 记录层协议:用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验

历史重大网络安全事件

时间网络安全事件利用漏洞
1988Internet蠕虫Sendmail及finger漏洞
2000分布式拒绝服务攻击TCPP协议漏洞
2001红色代码蠕虫微软web服务器IS4.0、5.0中服务安全漏洞
2002Slammer蠕虫微软MS SQL数据库系统漏洞
2003冲击波蠕虫微软操作系统DCOM RPC缓冲区溢出漏洞
2010震网病毒Windows操作系统、Wincc系统漏洞
2017Wannacry勒索病毒Windows系统SMB漏洞

交换机分代

  • 第一代:以集线器为代表,工作在物理层
  • 第二代:又称为以太网交换机,工作在数据链路层,识别数据中MAC,并根据MAC地址选择转发
  • 第三代:又称为三层交换机,工作在网络层
  • 第四代:在第三代基础上增加了业务功能、比如防火墙、负载均衡、IPS等
  • 第五代:支持软件自定义SDN,具有强大的Qos能力
avatar
文章
阅读
粉丝