三级信息安全（万余字笔记）_攻击者利用栈溢出发起攻击时,向存在漏洞的软件程序输入的数据,一般包括()

刚考完一个计算机等级三级信息安全技术。不管有没有用，拿证再说。
总结就是，只要把知识点背出来了题目就很简单。都是选择填空题（综合题就是多个填空题结合在一起）

然后这里的笔记是结合书本和历年真题记录的。不过也会有不全，也可能会有不严谨的地方。有些我原本就会的东西可能就会省略。
要去准备考的话笔记当然是自己一条一条记下来的更好，别人的可以拿来进行参考。
只刷题也是可以过的，比如我用的是未来教育刷题，把上面的历年真题都过一遍，然后考试的时候基本都是刷过的原题。

题目的样子，比如拿这个知识点举例：

访问控制类型：预防性的访问控制、探查性的访问控制、纠正性的访问控制

选择题出法：
以下不属于访问控制类型的是：（D）
A、预防性的访问控制
B、探查性的访问控制
C、纠正性的访问控制
D、预留性的访问控制

填空题出法：
访问控制类型包括预防性的访问控制、探查性的访问控制、_____的访问控制

————

信息安全保障概述

信息技术的产生与发展三个阶段：电讯技术的发明、计算机技术的发展、互联网的使用

信息安全发展三个主要阶段：通信保密阶段、计算机安全阶段、信息安全阶段

1995年美国 信息安全保障体系（IA）：保护、监测、响应

信息安全基本属性：机密性、完整性、可用性、可控性、不可否认性

信息安全问题产生原因：内因（信息系统的复杂性）、外因（人为和环境威胁）

信息安全技术：核心基础安全技术、安全基础设施技术、基础设施安全技术、应用安全技术、支撑安全技术

信息安全技术的核心基础安全技术主要包括密码技术。

信息安全保障体系框架：生命周期、保障要素、安全特征

P2DR（美国动态安全模型）：策略、防护、检测、响应 （核心是策略）
我国专家在1999年提出了更为完善的“保护-预警-监测-应急-恢复-反击”模型(即PWDRRC模型)

IATF（信息保障技术框架）提出的信息保障的核心思想是纵深防御战略 （美国安全局NSA）
IATF 主要核心要素：人员、技术、操作
IATF 将信息系统的信息保障技术层面划分成了四个技术框架焦点域：网络和基础设施，区域边界、计算环境、支撑性基础设施。

信息安全保障工作内容：确定安全需求、设计和实施安全方案、信息安全评测、信息安全监控与维护
安全技术评估方面：物理安全、网络层安全、主机系统层安全、应用层安全、数据安全

——————
——————

密码

1976年 D-H 密码
1977年 DES
1994 年 DSS 数据加密标准
2001年 AES

加密算法—般要能抵抗选择明文攻击才认为是安全的。
典型的密码攻击：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,
选择密文攻击是最难防范的，唯密文最容易防范

对称密码加解密处理速度快，密钥管理分发复杂、代价高，不能提供抗抵赖服务

传统对称密码加密时所使用的两个技巧是：代换和置换。

对称密码设计的主要思想：扩散、混淆

在20实际90年代初提出了两种有效的对称密码的选择明文分析方法：差分分析、线性分析

DES、RC5、FEAL、Twofish 密码结构基于—个称为 Feistel 网络的结构
AES密码结构基于 SP 网络的结构

分组密码工作模式
ECB （电子密码本模式）是分组密码的基本工作模式，数据长度要求为分组密码长度的整数倍
CBC（密码分组链模式），每一分组的加密依赖于所有前面的分组
OFB（输出反馈模式）将一个分组密码转换为一个序列密码，对密文纂改难以检测
CFB（密码反馈模式） 将一个分组密码转换为一个序列密码
CTR（计数模式）可以并行，可以预处理

公开密钥从根本上克服了对称密码密钥分配上的困难，易于实现数字签名，但降低了加解密效率

RSA 模数 n 至少要 1024 位才安全，e 的二进制表示中尽量少的 1
RSA密码建立在大整数因式分解的困难性之上，ElGamal密码建立在离散对数的困难性之上。
如果采用ECC算法，选取的参数p的规模应大于160位

哈希函数特点：压缩、易计算、单向性、抗碰撞
哈希函数应用：消息认证、数字签名、口令的安全、数据完整性
md5 将消息填充为 512 的倍数 ， 消息摘要 128 位（1992年）
sha 摘要 160 位，所以sha算法比 md5 算法慢

完善数字签名条件：
签名者事后不能抵赖自己的签名
其他人不能伪造签名
签名真伪，能在公正的仲裁者面前通过验证签名来认其真伪
数字签名应用：鉴权、完整性、不可抵赖
数字证书内容包括：证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的一系列数字签名，是数字签名。

密钥管理因素：理论因素、人为因素、技术因素

密钥管理：密钥的生成、存储、分配、启用停用、控制、更新、撤销和销毁
分配与存储最关键
密钥分配：人工密钥分配、基于中心的密钥分发、基于认证的密钥分发
基于中心的密钥分发模型：拉模型、推模型
放弃密钥为密钥的销毁，怀疑特定密钥收到威胁或密钥使用目的改变则为密钥撤销

计算机可以在多项式时间复杂度内解决的问题称为P类问题，计算机在多项式时间复杂度内不可以解决的问题称为NP类问题

——————
——————

认证技术

消息认证指验证收到的消息来自真正的发送方
消息认证不能预防发送方否认
产生认证码的函数类型有三类：消息加密、消息认证码、哈希函数
消息认证码只提供认证，不提供数字签名功能

传统加密密码、公钥密码能提供保密性、也能用于消息认证

身份认证手段：静态密码方式、动态口令认证、USB key 认证、生物识别技术
USB key两种认证模式：挑战/应答模式、基于PKI体系认证模式

身份认证协议：基于口令的认证协议、基于对称密码的认证、基于公钥密码的认证

——————
——————

访问控制

访问控制主体是访问资源具体请求、某一操作的发起者，
客体指被访问资源的实体（可以是信息、文件、记录、设施等）

访问控制管理主要依赖：用户账户管理、操作跟踪、访问权利、许可权的管理

在基本安全管理措施中，访问控制依赖于四个原则：身份标识、验证、授权、责任衡量

访问控制类型：预防性的访问控制、探查性的访问控制、纠正性的访问控制

访问控制模型：自主访问控制、强制访问控制、基于角色的访问控制模型

自主访问控制
访问控制矩阵（AM）∶任何访问控制策略最终均可被模型化为访问矩阵形式
空元素会造成存储空间浪费
访问控制表（ACL）：这种方法对应于访问控制矩阵的列。对应于目标（客体）
访问能力表（CL）：这种方法对应于访问控制矩阵的行。对应于用户（主体）

强制访问控制，系统通过比较主体和客体的安全标签来决定一个主体是否能够访问某个客体。

访问控制标签列表(ACSLL)是限定一个用户对一个客体目标访问的安全属性集合。

强制访问控制系统：Biba、Bell-Lapudula（BLP）
Bell-LaPadula模型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露（保密性）
Biba模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性
强制访问控制通过分级的安全标签实现了信息的单向流通
Bell-Lapudula 主体和客体用户划分安全等级：无密、秘密、机密、绝密
Biba 主体和客体用户划分完整性级别：重要、很重要、极重要

Chinese Wall 具有强制访问控制和自主访问控制属性

基于角色访问控制系统（RBAC）的要素包括：用户、角色、许可

访问控制技术：集中式访问控制、分布式访问控制

集中访问控制运营基础：AAA（认证、授权、审计）管理
AAA管理协议：RADIUS、TACACS、Diameter

RADIUS （拨号用户远程认证服务）运行在UDP协议上，简单明确、可扩充，没有定义重传机制。固有的CS模式限制了它的进一步发展。不支持失败恢复机制。认证与授权必须是成对出现的。
RADIUS 三种返回消息：访问拒绝、需要进行挑战、访问接受

TACACS（终端访问控制访问控制系统）使用固定的密码认证，基于UDP
TACACS+运行用户使用动态密码，使用TCP

Diameter 运行在可靠的传输协议TCP、SCTP之上，支持窗口机制，每个会话方可以动态调整自己的接收窗口，以兔发送超出对方处理能力的请求。支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输结果。采用了per-to-pee模式，pee的任何一端都可以发送消息以发起计费等功能或中断连接。支持认证和授权分离，重投权可以随时根据需求进行。

分布式访问控制：SSO（单点登录）、Kerberos、SESAME
Kerberos 协议是至今最为广泛的身份验证协议，支持单点登录，支持双向身份认证，交换“跨域密钥”
身份认证采用对称加密机制
Kerberos服务器提供：身份鉴别(Authentication Server,AS)服务、票据许可(Ticket- Granting Server,TGS)服务

访问控制实现方法：行政性访问控制、逻辑性访问控制、技术性访问控制、物理性访问控制

——————
——————

审计与监控技术

审计系统组成：日志记录器、分析器、通告器

根据具体需求和资源限制，内容审计系统可以分为流水线模型和分段模型两种过程模型。

恶意行为检测方式：主机监测、网络监测

恶意代码诱捕系统：高交互蜜罐、低交互蜜罐、主机行为监视模块
高交互蜜罐指的是用做攻击诱捕的有真实操作系统的虚拟机系统

危机管理的关键部分包括如下：核查人员、检查警报人员名单、检查紧急事件信息卡

网络信息内容监控主要方法：网络舆情分析
由于网络信息量十分巨大，仅依靠人工的方法难以应对网络海量信息的收集和处理，需要加强相关信息技术的研究，即网络舆情分析 技术
舆情分析系统的核心技术在于舆情分析引擎，主要技术：文本分类、聚类、观点倾向性识别、主题检测与跟踪、自动摘要

不良信息监控方法：网址过滤技术、网页内容过滤技术、图像内容过滤方式

认证、访问控制、审计 共同建立了保护系统安全的基础，其中的最后一项是对认证和访问控制的有效补充

——————
——————

系统安全

计算机系统安全三个特性：机密性、完整性、有效性

计算机组成：硬件设备、基本输入输出系统、操作系统、应用程序
操作系统是计算机系统的内核与基石

CPU两种运行模式：用户模式、内核模式

Linux系统启动后运行的第一个进程是初始化的进程，即init进程；而boot是在Linux启动之前运行的进程，sysini进程和login进程是后续部分的进程。

在标准的模型中，将CPU模式从用户模式转到内核模式的唯一方法是触发一个特殊的硬件自陷，如中断、异常等。

当用户代码需要请求操作系统提供的服务时，通常采用系统调用来完成

控制其它程序运行，管理系统资源并为用户提供操作界面的系统软件的集合是操作系统
操作系统组成：资源管理、用户接口、进程管理、内存管理、文件系统管理功能模块

进程是正在运行的程序实体，并且包括这个运行的程序中占据的所有系统资源。
进程就是为了实现多任务而提出的概念
进程管理是通过 中断 完成的
线程，有时被称为轻量级进程(Lightweight Process，LWP)，是程序执行流的最小单元。

用户接口是为方便用户使用计算机资源所建立的用户和计算机之间的联系，包括作业级接口和程序级接口。

操作系统通过保护环机制来确保进程不会在彼此之间或对系统的重要组件造成负面影响
当操作系统为0环和1环执行指令时，它在管理员模式或内核模式下运行
0环：操作系统内核
1环：操作系统的其他部分
2环：V/O驱动程序和实用工具
3环：应用程序和用户活动
现在的许多操作系统并不经常使用第二保护环，有的甚至根本不用，

Unix/Linux
Unix系统三层：硬件层、内核层、用户层

在Unix/Linux中，每一个系统与用户进行交流的界面都被命名为终端。

守护进程在系统引导装入时启动，系统关闭时终止，脱离于终端在后台运行

inetd 是 UNIX 最重要的网络服务进程
在Unix/Linux系统中，服务是通过inetd进程或启动脚本来启动。

文件系统安全是 Unix/Linux 系统安全的核心

UNIX文件系统安全就是基于 i节点中3段关键信息：UID、GID 和 模式

在Unix/Linux中部分文件类型：正规文件、目录、特殊文件、链接、Sockets

在Unix/Linux中 root 超级用户账户可对系统进行任何操作，可以不止一个root 账号，uid gid 为0 即可

在Unix/Linux中，主要审计工具：syslogd 守护进程

unix系统命令：
chown：改变文件拥有者
chgrp：变更文件和目录的所属群组
who：显示系统登陆者，其缺省输出包括用户名、用户登录终端类型和远程主机
lastlog：用户最后登录的时间、地址
last：列出所有用户登录的时间、地址
lastcomm：以前使用过的命令信息
umask ：设置用户创建文件的默认权限
sa：报告、清理并维护进程统计文件
ac：计算用户登录系统后的连接时间

/bin 用户命令的可执行文件（二进制文件）
/dev 特殊设备文件
/etc 系统执行文件、配置文件、管理文件
/lib 引导他x以及在 root 文件系统中运行命令所需的共享库文件

UNIX/Linux系统用来保存用户账户口令信息的文件为/etc/shadow
在Linux系统中，用户的关键信息—般被存放在系统的 /etc/passwd 文件中

Windows
基本用户模式进程：系统支持进程、服务进程、环境子系统、用户应用程序

windows 操作系统核心组件中
Kernel32.dll属于windows核心系统DLL组件
Ntidl.dl 属于windows内部支持函数组件
Win32k.sys属于windows子系统的内核模式部分组件;
HAL.dIl属于windows硬件抽象层组件，

Windows 环境子系统：POSIX、OS/2、win32
没有 win32 就不能运行，POSIX可移植一些重要unix/Linux 应用

Windows系统启动过程：预引导、引导、载入内核、初始化内核、登录

进程与cpu的通信是通过共享存储器系统、消息传递系统、管道通信来完成的
进程与cpu通信是通过中断信号完成的

sigverif 是windows系统文件进行签名验证的软件工具

Windows系统进程管理工具：任务管理器、msinfo32、dos命令行

Windows日志：事件查看器
事件日志类型：系统日志、应用程序日志、安全日志

设置连续多次无效登录后对账号实行锁定策略
在Windows的口令策略中，默认口令最长存留期为 42天

网络用户可以访问在NT Server服务器上的文件和目录，必须首先对它建立共享

修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防l止这种事情发生，前提是Windows系统要采用NTFS文件系统格式

系统维护的注意事项如下：维护和更改记录、更改的清除、错误报告处理、老版本的备份和清理。
系统安全维护活动：改正性维护、适应性维护、完善性维护、预防性维护
系统安全维护的步骤：报告错误、处理错误、处理错误报告

——————
——————

可信计算技术

1983年美国国防部制定了世界上第一个《可信计算机系统评价准则》，第一次提出可信计算机和可信计算基的概念，并把**可信计算基（TCB）**作为系统安全的基础

可信计算组织 TCG 定义可信计算平台的信任根：可信测量根（RTM）、可信存储根（RTS）、可信报告根（RTR）

可信计算组织 TCG 的可信计算系统结构：可信平台模块、可信软件栈、可信平台应用软件
可信平台模块是可信计算平台的信任根

可信计算的基本思想是在计算机系统中首先构建一个信任根，再建立一条信任链
信任根和信任链是可信计算的最主要的关键技术之一。

可信计算组织的可信平台模块 TPM 是可信计算平台的信任根，是可信计算的关键技术之一
TPM 组成：CPU、存储器、I/O、密码运算器、随机数产生器、嵌入式操作系统

中国可信平台模块 TPCM
中国可信平台模块 TPCM 层次结构：可信密码模块（TCM）、可信密码模块服务模块、安全应用
中国的可信平台以可信密码模块为核心
可信密码模块核心功能：度量平台完整性、建立平台免疫力，为平台身份提供唯一性表示，提供硬件级密码学计算与密钥保护

可信网络连接 TNC 突出优点：开放性、安全性
局限性：局限于完整性、单向可信评估、缺乏安全协议支持、缺乏网络接入后的安全保护

我国可信网络连接 TNC ，采用三元、三层、对等、集中管理的结构。引入一个策略管理器作为可信第三方，对访问请求者和访问控制器进行集中管理
简化了身份管理、策略管理、证书管理机制，保证了终端与网络的双向认证。

计算机系统安全评估第一个正式标准：可信计算机评估标准

第一个正式标准的计算机系统安全评估《可信计算机评估准则》TCSEC将计算机系统的安全划分为4个等级、7个级别。

——————
——————

数据库

数据库分为层次式数据库、网络式数据库、关系式数据库

数据库系统两种存取控制机制：自主存取控制、强制存取控制
强制存取控制敏感度：绝密、机密、可信、公开
实现强制存取控制时要首先实现自主存取控制

数据库软件执行的完整性服务：语义完整性、参照完整性、实体完整性
实体完整性保证了元组由主键值唯─确定。

审计：用户级审计、系统级审计（audit、noaudit语句）

事务处理特性：原子性、一致性、隔离性、持久性
事务处理类型：自动处理事务、隐式事务

每个事务以 BEGIN TRANSACTION 语句显式开始，以COMMIT 或 ROLLBACK 语句显式结束。

不能回退语句：SELECT、CREATE、DROP

视图是一个或几个表或几个视图导出来的表，是查看表中数据的另一种方式，视图不存储数据
create view 建立视图
delete 删除记录
update 更新记录
default 默认值

DISTINCT 去掉重复元组

grant 授予权限
revoke 收回权限

新创建的数据库用户有3种权限：DBA、RESOURCE、CONNECT
CONNECT权限的用户不能创建新用户、模式和基本表，只能登陆数据库
DBA权限的用户是系统中的超级用户，可以创建新的用户、创建模式、创建其他用户
RESOURCE权很的用户能创建基本表和视图，称为所创建对象的属主，但是不能创建模式和新的用户。

发出GRANT语句的可以是DBA，也可以是该数据库对象的创建者，还可以是已经拥有该权限的用户。
如果指定了WITH GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予其它的用户

CREATE USER命令中如果没有指定创建的新用户权限，默认该用户拥有CONNECT权限。

在数据库中，用户权限是由两个要素组成的：数据库对象、操作类型

数据库安全防护：事前检查、事中监控、事后审计

数据库安全检测：端口扫描、渗透测试、内部安全检查
数据库动态安全防护也称数据库入侵检测

数据库渗透测试内容：监听器安全特性分析、用户名和密码渗透、漏洞分析

数据库安全监控平台基本架构：网络嗅探器、数据库分析器、sql分析器、安全审计

数据库脱敏算法：同义替换、混合屏蔽、确定性屏蔽、可逆脱敏

sql注入攻击所针对的数据信道包括存储过程和 web 应用程序输入参数
数据库渗透测试的对象主要是数据库的身份验证系统和服务监听系统

——————
——————

网络安全

tcp 三次握手
syn=1，seq=x
syn/ack=1，seq=y，ack=x+1
ack=1，seq=x+1，ack=y+1

ACK标志位说明确认序列号字段有效
PSH标志位表示清求接收端主机尽快将数据包交付应用层
FIN标志位用于释放TCP链接
SYN标志位说明建立一个同步连接
RST 标志位表示出现差错，必须释放TCP连接重新建立连接
URG 标志位说明紧急指针有效

ARP清空缓存表：arp -d
绑定IP与mac 地址： arp -s 192.168.1.10 MACA

tcp欺骗攻击：非盲攻击、盲攻击

ipv4中 TCP/IP 协议栈安全缺陷，明文传输，认证过程简单，传输机制不可靠

木马隐藏技术：木马线程插入、DLL动态劫持、Rootkit
Rootkit是一种特殊的恶意软件，隐藏自身及指定的文件、进程和网络链接等信息，通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目（第五代木马）

为了捕获网络接口收到的所有数据帧，网络嗅探工具会将网络接口设置为混杂模式

恶意程序会修改被感染计算机的Hosts文件，利用虚假IP地址的映像劫持技术来屏蔽被感染计算机与安全站点之间的连接

防火墙分为：软件防火墙、硬件防火墙
防火墙技术：包过滤技术、状态检测技术、地址翻译技术、应用级网关技术

防火墙平台架构：X86架构、ASIC架构、NP架构

NAT映射方式：静态NAT、NAT池、端口地址转换

防火墙根据体系结构划分：双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构
屏蔽子网体系结构是最安全的防火墙体系结构

入侵检测系统 IDS ：探测器、控制器
探测器连接交换机
入侵检测系统：基于网络的入侵检测系统NIDS、基于主机的入侵检测系统HIDS

入侵系统检测：误用检测、异常检测
误用检测技术（ 特征检测）：专家系统、模型推理、状态转换分析
异常检测技术：统计分析方法、神经网络方法

入侵防御系统IPS 功能：拦截恶意流量、实现对参数内容的深度检测和安全防护、对网络流量监测的同时进行过滤
不足：造成单点故障、造成性能瓶颈、漏报和误报的影响

PKI 是一系列基于公钥密码学之上，用来创建、管理、存储、分布和作废数字证书的一系列软件、硬件、人员、策略和过程的集合。核心是数字证书

信任锚是证书链的起始端

PKI系统：CA（证书签发机构）、RA（证书注册机构）、CRL、LDAP目录服务器
最基本的证书存储格式：X.509
PKI系统的核心：CA

数字证书在使用过程中，为了验证此数字证书的真实性，其他用户、应用程序或实体需下载安装 CA 根 证书

PKI 信任模型：单 CA 信任模型、严格层次结构模型、分布式信任模型、web 模型、桥 CA 信任模型、用户为中心的信任模型

OCSP：为用户提供证书在线状态的查询

证书验证三个信息：证书有效性、证书可用性、证书真实性
CA通过发布证书黑名单，公开发布已废除的证书

VPN连接类型：client-lan、lan-lan
vpn技术：隧道技术、加密解密、完整性检验、密钥管理技术、身份认证技术

IPsec（Internet安全协议），在第三层网络层，支持 ipv4 和 ipv6
IPsec协议包含： 网络安全协议、密钥协商协议
网络安全协议包括：ESP协议、AH 协议

ESP封装IP层及上层协议
根据 ESP （封装式安全措施负载）封装内容不同，将 ESP 分为传输模式和隧道模式
传输模式中不对整个数据包进行签名。只对IP负载(而不对IP报头)进行保护
提供了安全加密、身份认证、数据完整性鉴别 这三种安全保护机制

AH 功能：保证完整性和真实性，采用哈希算法对数据包进行保护，不提供数据加密

密钥协商协议提供了安全参数的协商功能
IKE协议的三个组成协议：
Internet安全关联和密钥管理协议(ISAKMP）和两种密钥交换协议：OAKLEY、SKEME
IKE 协商安全参数要经过两个阶段：
第一阶段交换 IKE SA ，主要通过两种模式实现
第二阶段利用第一阶段建立的 SA 来创建其他协议的SA

两台配置了IPSec协议的Windows计算机进行IPSec初始连接时，通过Wireshark嗅探的前面10个数据包是 ISAKMP 协议的数据包

SSL协议分为：SSL记录协议、SSL握手协议
记录协议完成传输格式的定义，握手协议建立安全连接

S/MIME 协议为电子邮件提供数字签名和数据加密功能

——————
——————

漏洞

漏洞定义三要素：
计算机系统本身存在缺陷
存在和利用有一定的环境要求
漏洞本身没有危害，被利用才带来威胁和损失

软件漏洞危险等级：紧急、重要、中危、低危

堆存放动态数据，栈保存本地变量、函数调用等信息、缓冲区存放程序运行是加载到内存的运行代码和数据
程序员负责堆中变量的分配与释放，而栈中变量空间的分配与释放由程序负责

栈帧是指当一个函数被调用时，这个被调用函数的相关信息会保存在内存中的栈区

缓冲区溢出漏洞：栈溢出、堆溢出、单字节溢出
堆由低地址向高地址增长，栈由高地址向低地址增长
栈空间的增长方向是从高地址向低地址增长，数据写入栈帧的填充方向是从低地址向高地址增长

大量NOP空指令0x90填充组成的指令序列是滑板指令。

指令寄存器EIP里存储的是cpu下次要执行的指令的地址（返回地址）
EBP寄存器指向基地址，是栈的栈底指针,
寄存器 ESP 功能：存放栈顶指针。

攻击者利用栈溢出发起攻击，向存在漏洞的软件程序输入的数据一般包括：随机填充数据、NOP填充字段、 shellcode、新的返回地址

格式化字符串漏洞：根据传入的格式化字符串获知可变参数的个数和类型，依据格式化符合进行参数输出
整数溢出漏洞分类：存储溢出、运算溢出、符号问题
数组越界漏洞：攻击者通过精心构造超出数组范围的索引值，就能够对任意内存地址进行读写操作。
写污点值到污点地址漏洞：选择污点地址和污点值，改写操作系统内核关键数据结构

数组越界漏洞触发时在执行路径上特征：读取恶意构造的输人数据、用输入数据计算数组访问索引、对数组进行读写操作

漏洞利用核心是利用程序漏洞去执行 shellcode 以便劫持进程的控制权

漏洞利用技术：静态shellcode地址的利用、动态变化的shellcode 地址的利用、Heap Spray技术

Heap Spray技术通过使用类NOP指令来进行覆盖，会导致被攻击进程的内存占用非常大。防范办法是开启DEP功能

Windows软件漏洞利用防范技术：safeSEH、SEHOP、ASLR、GS Stack protection、DEP
**数据执行保护（DEP）**技术可以设置内存堆栈区的代码为不可执行状态，从而防范溢出后代码的执行
ASLR：通过将系统关键地址随机化，从而使攻击者无法获得需要跳转的精确地址的技术
GS 是对缓冲区溢出漏洞的防范

Nessus ：全世界最多人使用的系统漏洞扫描分析软件
Metasploit ：软件漏洞网络攻击框架

TCP FIN扫描的好处是完全不建立TCP连接，从而大大减少了被目标主机记录下来的可能性，隐蔽性较高

目前流行的捆绑技术和方式主要有：多文件捆绑、资源融合捆绑、漏洞利用捆绑

UAF（use after free）漏洞，引用已经释放的内存：内存地址对象破坏性调用

——————
——————

软件安全开发

软件开发生命周期模型：瀑布模型、螺旋模型、迭代模型、快速原型模型

软件安全开发技术：建立安全威胁模型、安全设计、安全编程、安全测试

软件安全设计原则：最小权限原则、开放设计原则、全面防御原则、权限分开原则、最少公用原则、心理接受性、代码重用性、充分考虑软件运行环境、选择安全的加密算法

软件安全检测技术：软件静态检测技术、 软件动态安全检测技术、软件动静结合安全检测技术
软件静态检测技术：词法分析、数据流分析、污点传播分析、符号执行、模糊检验、定理证明
软件动态安全检测技术：动态污点分析、模糊测试、智能模糊测试
软件动静结合安全检测技术：BitBlaze
BitBlaze组成：TEMU、VINE、Rudder

符号执行技术：在不实际执行程序的前提下，将程序的输入表示成符号，根据程序的执行流程和输入参数的赋值变化，把程序的输出表示成包含这些符号的逻辑或算术表达式,
污点传播分析技术：通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常。
数据流分析技术：通过分析软件代码中变量的取值变化和语句的执行情况，来分析数据处理逻辑和程序的控制流关系，从而分析软件代码的潜在安全缺陷。

可执行代码的静态安全检测技术可分为：基于程序结构的安全检测技术、基于程序语义的安全检测技术

软件安全保护技术：软件水印、代码混淆、软件加密、功能限制
基于软件技术的软件安全保护技术：注册信息验证技术、软件防篡改技术、代码混淆技术、软件水印技术、软件加壳技术、反调试反跟踪技术。
代码混淆技术：词法转换、控制流转换、数据转换
软件水印分为：代码水印、数据水印
软件加壳技术：压缩保护壳、加密保护壳

基于硬件介质的软件安全保护技术包括：加密狗、加密光盘、专用接口卡

微软提出SDL 软件安全开发生命周期 模型
第0阶段∶准备阶段
第1阶段：项目启动阶段
第2阶段：定义需要遵守的安全设计原则第3阶段:产品风险评估
第4阶段：风险分析
第5阶段︰创建安全文档、安全配置工具
第6阶段：安全编码策略
第7阶段：安全测试策略
第8阶段：开发团队自身进行的全面安全分析检测
第9阶段：最终安全评审
第10阶段：组建安全响应团队制定安全响应计划
第11阶段：产品发布
第12阶段：安全响应执行

微软公司漏洞：
第一级：严重
第二级：重要
第三级：警告
第四级：注意

恶意程序检测查杀技术：特征码查杀、启发式查杀、基于虚拟机技术的行为判定、主动防御

恶意行为指软件对操作系统、注册表项、其他软件或文件及文件夹进行未授权的更改，包括恶意的攻击行为和入侵行为。

——————
——————

信息安全管理

信息安全管理基本技术要求的五个方面：物理安全、网络安全、主机安全、应用安全、数据安全

信息安全管理主要内容：信息安全管理体系、信息安全风险评估、信息安全管理措施
信息安全管理体系的主要内容：信息安全管理框架及其实施、信息安全管理体系审核、评审、信息安全管理体系的认证（自愿）

信息安全管理体系（ISMS）的思想是预防控制为主
定义ISMS的范围，就是在组织机构内选定构架ISMS的范围
在定义ISMS范围时，为了使ISMS定义得更加完整，应重点考虑组织机构如下的实际情况：组织机构现有部门、处所、资产状况、所采用技术
ISMS建立的基础是安全风险评估

信息安全管理涉及：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

分类数据的管理包括：数据的存储、分布移植及销毁。

重要安全管理过程：系统获取、开发和维护、信息安全事件管理与应急响应、业务连续性管理与灾难恢复。

要制定一套好的安全管理策略，必须与决策层进行有效沟通

信息安全管理措施详细介绍了基本安全管理措施和重要安全管理过程。

信息安全管理工作的核心是风险处置，信息安全管理工作的基础是风险评估。
安全管理控制措施是风险管理的具体手段

信息安全管理体系审核：内部审核、外部审核
信息安全管理体系审核，包括管理和技术两个方面的审核
信息安全管理体系审核是为了获得审核证据，对体系进行客观评价

技术和管理层面的良好配合，是组织机构实现网络与信息安全系统的有效途径。

风险管理

风险管理主要任务：风险识别、风险控制

风险控制的基本第略有：
(1)采取安全措施，消除或减小漏洞的不可控制的残留风险(避兔)
(2)将风险转移到其他区域，或转移到外部(转移)
(3)减小漏洞产生的影响(缓解)
(4)了解产生的后果，并接受没有控制或缓解的风险(接受)。

风险分析主要分为：定量风险分析、定性风险分析,

风险评估分为自评估和检查评估

风险评估方法：基本风险评估、详细风险评估、基本风险评估和详细风险评估相结合。

风险评估主要依赖于：所管理采用的系统环境、使用信息的商业目的、商业信息、系统的性质

信息安全风险评估的复杂程度取决于受保护的资产对安全的敏感程度和所面临风险的复杂度

应急计划三元素：事件响应、灾难恢复、业务持续性计划
事故响应计划（IRP）

——————
——————

20世纪60年代末，美国出现了第一个用于军事目的的计算机网络ARPAnet

1937年，Shannon(香农）在美国麻省理工学院发表了《继电器和开关电路的符号分析》硕士论文，奠定了计算机二进制基础

1945年，现代计算机之父冯?诺依曼等提出了“存储程序通用电子计算机方案”——EDVAC

1949年，香农发表的《保密系统的通信理论》，是现代通信安全的代表作，是信息安全发展的重要里程碑。

1972年，Anderson带领的小组完成了著名的Anderson报告，这个报告可以看做是计算机安全发展的里程碑

美国国防部于1985年公布的计算机系统信息安全评估的第一个正式标准是TCSEC

信息技术安全评估标准 ITSEC 由 法、英、德、荷 发布

1996，信息技术安全评价的通用标准 CC 由六个国家提出（美、加、英、法、德、荷），并逐渐形成国际标准 ISO 15408
我国与之对应的标准为 GB/T17895
CC将评估过程划分为功能和保证两部分，评估等级分为EAL1、EAL2、EAL3、EAL4、EAl5、EAL6和EAL7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估

2010年中国国家商用密码管理局公布的哈希算法标准是SM3算法

我国的信息安全保障体系建设始于2003年9月，中央颁布的《国家信息化领导小组关于加强信息安全保障工作的意见》，标志着我国信息安全保障体系建设工作的开始

MITRE公司建立的通用漏洞列表CVE

标准信息系统的因特网组件：服务器、网络设备、保护设备
标准信息系统组成部分：硬件、软件、数据、信息

系统开发五个阶段：规划、分析、设计、实现、运行
每个阶段有相应期限，如何系统都会经历发生、发展和消亡的过程

——————

信息技术可能带来的一些负面影响包括信息泛滥、信息污染和信息犯罪。

保密级别：秘密、机密、绝密
国家秘密的保密期限，除有特殊规定外，绝密级事项不超过三十年，机密级事项不超过二十年，秘密级事项不超过十年。

同时将合下列四个条件的电子签名视为可靠的电子签名:
(1)电子签名制作数据用于电子签名时，属于电子签名人专有;
(2)签署时电子签名制作数据仅由电子签名人控制;
(3)签署后对电子签名的任何改动能够被发现;
(4)签署后对效数据电文内容和形式的任何改动能够被发现。

企业销售商用密码产品时向国家密码管理机构申请，必需条件：有独立的法人资格

信息安全保护等级有五级：
一：公民、法人和其他组织权益损害
二：公民、法人和其他组织权益严重损害，或对公共利益
三： 公共利益严重损害，或对国家损害
四：公共利益特别严重损害，或对国家严重损害
五：国家安全特别严重损害

《计算机信息系统安全保护等级划分准则》将信息系统安全分为五个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

《计算机信息系统安全保护等级划分准则》提出了定级的四个要素：信息系统所属类型、业务数据类型、信息系统服务范围、业务自动化处理程度

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体、对客体造成侵害的程度。

《计算机信息系统安全保护等级划分准则》安全考核对象：自主访问控制、身份认证、数据完整性、审计

《信息系统安全等级保护基本要求》中基本管理要求：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理

中国首部真正电子商务意义上的法律：《电子签名法》（中国首部真正意义上的信息化法律）
《电子签名法》第八条规定，审查数据电文作为证据的真实性，应当考虑的因素有：
生成、储存或者传递数据电文方法的可靠性
保持内容完整性方法的可靠性
用以鉴别发件人方法的可靠性
其他相关因素;

电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。
电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。故选择C选项。

《刑法》中有关信息安全犯罪包括3条。
《法律》

ISO 13335标准首次给出了关于IT安全的机密性、完整性、可用性、审计性、认证性、可靠性

—GB/T AAAA-AAAA信息安全技术、信息系统安全等级保护定级指南;

-GB/T CCCC-CCCC信息安全技术、信息系统安全等级保护实施指南;