23年《信息安全工程师》知识集锦备考精华.docx

《23年《信息安全工程师》知识集锦备考精华.docx》由会员分享，可在线阅读，更多相关《23年《信息安全工程师》知识集锦备考精华.docx（50页珍藏版）》请在优知文库上搜索。

1、第1章网络信息安全概述信息系统网络信息安全基本属性常见的网络信息安全基本属性如下:名称说明机密性机密性是指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息。完整性完整性是指网络信息或系统未经授权不能进行更改的特性。可用性可用性是指合法许可的用户能够及时获取网络信息或服务的特性。抗抵赖性抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。可控性可控性是指网络信息系统责任主体对其具有管理、支配能力的属性。其他除了常见的网络信息系统安全特性，还有真实性、时效性、公平性、可靠性、可生存性和隐私性等。网络信息安全基本功能：网络信息安全基本技术需求名称说明网络信息安全防御网络信息安

2、全防御是指采取各种手段和措施，使得网络系统具备阻止、抵御各种已知网络安全威胁的功能。网络信息安全监测网络信息安全监测是指采取各种手段和措施，检测、发现各种已知或未知的网络安全威胁的功能。网络信息安全应急网络信息安全应急是指采取各种手段和措施，针对网络系统中的突发事件，具备及时响应和处置网络攻击的功能。网络信息安全恢复网络信息安全恢复是指采取各种手段和措施，针对己经发生的网络灾害事件，具备恢复网络系统运行的功能。名称说明物理环境安全物理环境安全是指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全，是网络系统安全、可靠、不间断运行的基本保证。网络信息安全认证网络信息安全认证是实现

3、网络资源访问控制的前提和依据，是有效保护网络管理对象的重要技术方法。网络信息访问控制网络信息访问控制是有效保护网络管理对象，使其免受威胁的关键技术方法，其目标主要有：限制非法用户获取或使用网络资源。防止合法用户滥用权限，越权访问网络资源。网络信息安全保密网络安全保密的目的就是防止非授权的用户访问网上信息或网络设备。网络信息安全漏洞扫描网络系统中需配备弱点或漏洞扫描系统，用以检测网络中是否存在安全漏洞。恶意代码防护防范恶意代码是网络系统中必不可少的安全需求。网络信息内容安全网络信息内容安全是指相关网络信息系统承载的信息及数据符合法律法规要求，防止不良信息及垃圾信息传播。网络信息安全监测与预警网络

4、安全监测的作用在于发现综合网系统入侵活动和检查安全保护措施的有效性。网络信息安全以及响应网络系统中需配备弱点或漏洞扫描系统，用以检测网络中是否存在安全漏洞。网络信息安全管理对象是企业、机构直接赋予了价值而需要保护的资产。常见网络信息安全管理对象分类如下：对象类型范例硬件计算机、网络设备、传输介质及转换器、输入输出设备、监控设备软件网络操作系统、网络通信软件、网络管理软件存储介质光盘、硬盘、软盘、磁带、移动存储器网络信息资产网络IP地址、网络物理地址、网络用户账号/口令、网络拓扑结构图支持保障系统消防、保安系统、动力、空调、通信系统、厂商服务系统网络系统包含各类不同资产，由于其所具有的价值，将会

5、受到不同类型的威胁。下表列举了网络系统受到的非自然的威胁主体类型。威胁主体类型描述国家以国家安全为目的，由专业信息安全人员实现，如信息战士黑客以安全技术挑战为目的，主要出于兴趣，由具有不同安全技术熟练程度的人员组成恐怖分子以强迫或恐吓手段，企图实现不当愿望网络犯罪以非法获取经济利益为目的，非法进入网络系统，出卖信息或修改信息记录商业竞争对手以市场竞争为目的，主要是搜集商业情报或损害对手的市场影响力新闻机构以收集新闻信息为目的，从网上非法获取有关新闻事件中的人员信息或背景材料不满的内部工作人员以报复、泄愤为目的，破坏网络安全设备或干扰系统运行粗心的内部工作人员因工作不专心或技术不熟练而导致网络系

6、统受到危害，如误配置网络安全管理实际上是对网络系统中网管对象的风险进行控制，其方法如下:名称说明避免风险例如，通过物理隔离设备将内部网和外部网分开，避免受到外部网的攻击。转移风险例如，购买商业保险计划或安全外包。减少威胁例如，安装防病毒软件包，防止病毒攻击。消除脆弱点例如，给操作系统打补丁或强化工作人员的安全意识。减少威胁的影响例如，采取多条通信线路进行备份或制定应急预案。风险监测例如，定期对网络系统中的安全状况进行风险分析，监测潜在的威胁行为。下表为常见的网络安全技术方面的术语及其对应的英文。名称说明基础技术类常见的密码术语如加密(encryption)解密(decryption)非对称加密

7、算法(asymmetriccryptographicalgorithm)，公钥加密算法(publickeycryptographicalgorithm)、公钥(publickey)等。风险评估技术类包括拒绝服务(DenialofService)、分布式拒绝服务(DistributedDenialofService)%网页篡改(WebsiteDistortion)%网页仿冒(PhiShing)、网页挂马(WebsiteMaliciousCode)、域名劫持(DNSHijack)、路由劫持(RoutingHijack)垃圾邮件(Spam)恶意代码(MaliciousCode)特洛伊木马(Troja

8、nHorse)网络蠕虫(NetWorkWOrm)、僵尸网络(BOtnet)等。防护技术类包括访问控制(ACCeSSContrO1)、防火墙(FireWall)、入侵防御系统(IntrusionPreventionSystem)等。检测技术类包括入侵检测(IntrusionDetection)漏洞扫描(VulnerabilityScanning)等。响应/恢复技术类包括应急响应(EmergenCyReSponSe)、灾难恢复(DiSaSterReCOVery)、备份(Backup)等。测评技术类包括黑盒测试(BlackBoxTesting)%白盒测试(WhiteBoxTesting)、灰盒测试(

9、GrayBoxTesting)、渗透测试(PenetrationTesting)、模糊测试(FuzzTesting)。第2章网络攻击原理与常用方法网络攻击概述常见的危害行为有四个基本类型:信息泄露攻击完整性破坏攻击拒绝服务攻击非法使用攻击网络攻击原理表:攻击者攻击工具攻击访问攻击效果攻击意图黑客用户命令本地访问破坏信息挑战间谍脚本或程序远程访问信息泄密好奇恐怖主义者自治主体窃取服务获取情报公司职员电磁泄露拒绝服务经济利益职业犯罪分子恐怖事件破坏者报复网络攻击一般过程网络攻击过程主要分为以下几个步骤： 隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。 收集攻击目标信息。确定攻击目标并收集目标系

10、统的有关信息。 挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。 获取目标访问权限。获取目标系统的普通或特权账户的权限。 隐藏攻击行为。隐蔽在目标系统中的操作，防止入侵行为被发现。 实施攻击。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。 开辟后门。在目标系统中开辟后门，方便以后入侵。 清除攻击痕迹。避免安全管理员的发现、追踪以及法律部门取证。网络攻击常见方法1 .端口扫描端口扫描的目的是找出目标系统上提供的服务列表。根据端口扫描利用的技术，扫描可以分为多种类型:扫描名称说明完全连接扫描完全连接扫描利用TCP/IP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完

11、整的连接。如果建立成功，则表明该端口开放。否则，表明该端口关闭。半连接扫描半连接扫描是指在源主机和目的主机的三次握手连接过程中，只完成前两次握手，不建立一次完整的连接。SYN扫描首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。如果目标主机返回ACK信息，表明目标主机的该端口开放。如果目标主机返回RESET信息，表示该端口没有开放。ID头信息扫描首先由源主机A向dumb主机B发出连续的PING数据包，并且查看主机B返回的数据包的ID头信息（一般每个顺序数据包的ID头的值会增加1）。然后由源主机A假冒主机B的地址向目的主机C的任意端口（1-65535）发送SYN

12、数据包。这时，主机C向主机B发送的数据包有两种可能的结果：1、SYNlACK表示该端口处于监听状态；2、RSTIACK表示该端口处于非监听状态；后续的PING数据包响应信息的ID头信息可以看出，如果主机C的某个端口是开放的，则主机B返回A的数据包中，ID头的值不是递增1,而是大于1。如果主机C的某个端口是非开放的，则主机B返回A的数据包中，ID头的值递增1,非常规律。隐蔽扫描隐蔽扫描是指能够成功地绕过IDS、防火墙和监视系统等安全机制，取得目标主机端口信息的一种扫描方式。SYNACK扫描由源主机向目标主机的某个端口直接发送SYNACK数据包，而不是先发送SYN数据包。由于这一方法不发送SYN数

13、据包，目标主机会认为这是一次错误的连接，从而报错。如果目标主机的该端口没有开放，则会返回RST信息。如果目标主机的该端口开放，则不会返回任何信息，而是直接将数据包抛弃掉。FIN扫描源主机A向目标主机B发送FlN数据包，然后查看反馈信息。如果端口返回RESET信息，则说明该端口关闭。如果端口没有返回任何信息，则说明该端口开放。ACK扫描首先由主机A向主机B发送FIN数据包，然后查看反馈数据包的TTL值和WIN值。开放端口所返回的数据包的TrL值一般小于64,而关闭端口的返回值一般大于64;开放端口所返回的数据包的WIN值一般大于0,而关闭端口的返回值一般等于0。NULL扫描将源主机发送的数据包中

14、的ACK、FIN、RSTSYN、URGPSH等标志位全部置空。如果目标主机没有返回任何信息，则表明该端口是开放的。如果返HlRST信息，则表明该端口是关闭的。XMAS扫描XMAS扫描的原理和NULL扫描相同，只是将要发送的数据包中的ACK、FINRST、SYN、URGPSH等标志位全部置成1。如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回RST信息，则表明该端口是关闭的。2 .口令破解建立与目标网络服务的网络连接；选取一个用户列表文件及字典文件；在用户列表文件及字典文件中，选取一组用户和口令按网络服务协议规定，将用户名及口令发送给目标网络服务端口；检测远程服务返回信息，确定口令尝

15、试是否成功；再取另一组用户和口令，重复循环试验，直至口令用户列表文件及字典文件选取完毕。3 .缓冲区溢出攻击缓冲区溢出攻击的防范策略：系统管理上的防范策略：关闭不需要的特权服务；及时给程序漏洞打补丁。软件开发过程中的防范策略：编写正确的代码；缓冲区不可执行；改进C语言函数库。漏洞防范技术：地址空间随机化技术：数据执行阻止；堆栈保护。恶意代码常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。4.拒绝服务拒绝服务攻击的种类:DoS攻击名称说明同步包风暴(SYNFlood)利用TCP协议缺陷发送大量伪造的TCP连接请求，使得被攻击者资源耗尽。三次握手，进行了两次(SYN)(SYN/ACK),不进行第三次握手(ACK),连