信息安全工程师笔记

 

网络信息安全的基本属性：

机密性:网络信息不泄露给未授权的用户

可用性:可以及时获取网络信息和服务的特性

完整性:未经授权不能更改

可控性:负责主体对网络信息系统具有管理、支配的能力

抗抵赖性:防止用户否认其活动行为的特征

（信息安全的三要素）CIA：机密性、可用性、完整性

截获攻击是针对机密性的攻击、阻断攻击是针对可用性的攻击

 

网络信息安全的基本功能(防御、监测、恢复、应急):

防御:使网络系统具备阻止、抵御各种网络安全威胁的功能

监测:检测发现各类已知or未知的网络安全威胁的功能

应急:针对网络中的突发事件,具有及时响应的处理网络攻击的功能

恢复:对发生的网络灾害事件，具有恢复网络系统运行的功能

 

国家秘密分类：绝密、机密、秘密

密码分为：普通密码、核心密码、商用密码

普通密码：用于保护国家机密、秘密级别的信息

核心密码：用于保护国家绝密、机密、秘密级别信息

商用密码：人人可用的密码

 

信息安全管理流程：

确认对象-评估价值-识别面临的威胁-识别脆弱性-确定风险级别-制定防范措施-实施防护措施-运行维护

 

等保测评的流程：

定级：确认定级对象，通过专家评审，确定合适级别

备案：按等保2.0规定准备备案材料，到当地公安机关备案审核

建设整改：对当前保护对象的实际情况进行差距分析，针对不符合项整改

等级测评：对定级的保护对象进行测评，并出具相应的等级保护测评证书

运营维护（监督管理）：运营主题对保护对象的安全相关事宜进行监督管理

口诀：定被建平管

 

网络攻击的一般流程（能默写的程度）：

进入前：隐藏攻击源-收集攻击目标信息-挖掘目标的漏洞信息-获取目标的访问权限

进入后：隐藏攻击行为-实施攻击-开辟后面-清除攻击痕迹

 

常见的端口扫描技术：

完全连接扫描：建立一次3次握手

半连接扫描：只完成两次握手

SYN扫描：立即切断连接过程（ACK开放、RWSET关闭）

ID头信息扫描：ID头递增1则端口关闭，否则端口与开放

SYN | ACK扫描：发送SYN | ACK数据包

FIN扫描：发送FIN数据包，不返回信息则端口开放，返回RST端口关闭

ACK扫描：发送FIN数据包，开放<TLL值64<关闭 关闭<WIN值0<开放

NULL扫描：标志位置为空

XMAS扫描：标志位全部置成1

 

DDOS攻击的一般过程：

通过探测扫描大量主机，寻找可被攻击的目标.

攻击有安全漏洞的主机，并设法获取控制权.

在己攻击成功的主机中安装客户端攻击程序.

利用己攻击成功的主机继续扫描和攻击，从而扩大可被利用的主机.

当安装了攻击程序的客户端，达到一点的数量后，攻击者在主控制给客户端攻击程序发布命令，同时攻击特定主机

DDOS常用的攻击手段包括：HTTP Flood攻击、SYN Flood攻击、DNS放大攻击

 

拒绝服务攻击的特点:

难确认性：用户在得不到及时响应时，很难判断自己是否受到攻击

隐蔽性：正常请求服务，从而隐藏拒绝服务攻击的过程

资源有限性：计算机的资源是有限的，容易实现拒绝服务攻击

软件的复杂性：困难以确保软件没有缺陷，所以攻击者利用软件缺陷进行拒绝服务攻击

口诀:难隐原件

 

拒绝服务攻击的方式：

同步包风暴（SYN Flood）:发送大量的半连接状态服务请求

UDP 洪水（UDP Flood）：利用主机能自动回复的服务，在两台主机之间传送足够多的无用数据流

Smurf攻击：将回复地址设置目标网络广播地址，如果再复杂点就把原地址改为第三方目标网络

垃圾邮件：耗尽用户信箱磁盘空间，导致不能使用邮箱

消耗CPU和内存资源拒绝服务攻击：构造恶意输入数据，导致目标CPU或资源耗尽

死亡之ping：ICMP数据包大于64kb，就会出现内存分配错误

泪滴攻击：暴露出IP数据包分解与重组的弱点，增加了偏移量

分布式拒绝服务攻击：植入后面程序，然后统一攻击同一目标

 

网络攻击模型：

1.攻击树模型（故障树模型）：

攻击树方法可以被red team用来渗透测试，blue team用来研究防御机制

攻击树的优点：能够采用专家的头脑风暴法，并且将这些意见融入攻击树中去；能够进行费效分析和概率分析；能够建模非常复杂的攻击场景。

攻击树的缺点：依赖访问控制不能建模循环事件和多重攻击，对大规模网络处理复杂

2.MITRE ATT&CK 模型

基于MITRE ATT & CK常见应用场景：红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集

3.网络杀伤链（kill Chain）

该模型将网络攻击活动分成：目标侦察、武器构造、载荷投送、漏洞利用、安全植入、指挥和控制、目标行动

 

国产密码算法主要：

SM1分组密码、SM2椭圆曲线公钥密码算法、SM3密码杂凑算法、SM4分组算法、SM9标识密码算法

SM1：对称加密，分组长度和密钥长度都为128比特

SM2：非对称加密，用于公钥加密算法、密钥交换协议、数字签名算法    国家标准推荐使用素数域256位椭圆曲线

SM3：杂凑算法，杂凑值长度为256比特

SM4：对称加密，分组长度和密钥长度都为128比特

SM9：标识密码算法

口诀：14对称分组密钥128、椭圆杂凑256、能喝9是一种标识

 

密钥管理包括:密钥的管理、密钥管理政策、密码测评

密钥的生命周期：密钥生成、密钥存储、密钥分发、密钥使用、密钥更新、密钥撤销、密钥备份、密钥恢复、密钥销毁、密钥审计

口诀:生 存 发 使 更 销 备 恢 销 审

 

私钥密码体制的缺陷：

密钥分配问题：a让专门的人护送密钥给接收者b

密钥管理问题：由于加密和解密用的是同一种密钥，当接收者不一样，a就要存多个密钥

无法认证源：a发送了加密数据给b和c，那么b和c具备相同的加密、解密能力，这时候c收到数据包就不知道是a还是b发送的

私钥密码体制的优点：处理速度快，所以常用于数据加密

私钥密码典型算法：DES、IDEA、AES  （DES已经被AES取代） 非对称加密算法：椭圆曲线密码，ELGamal，RSA

  

公钥密码体制（非对称密码体制）：加密解密用不同密钥

公钥密码体制的优点：

1.密钥分发方便：能以公开的的方式分配密钥（加密密钥）

2.密钥保管量少：只需要保管自己的私钥就行

3.支持数字签名

 

常见密码算法：

名称        分组长度            密钥长度            备注

DES        分组长度64bit    密钥长度56bit       

IDEA       分组长度64dit    密钥长度128bit    同一算法即用加密也用解密

AES        分组长度128bit    128、192、256    免费

 

RSA  

 

Hash函数特点：

1、能将任意长度的信息转为固定长度的hash值

2、相同明文输入得到相同哈希值

3、不同明文输入得不同哈希

4、hash值越大的hash函数，安全性越高

5、hash计算不可逆w

hash函数名        分组大小        hash值大小

 MD5                 512bit            128bit

SHA                   512bit            160bit

SM3                   512bit            256bit

 

数字证书内容:

1、版本号

2、序列号

3、有效期

4、主体

5、主体唯一标识

6、主体公钥信息

7、颁发者

8、颁发者唯一标识

9、签名算法

10、扩展项

 

网络安全体系：网络安全保证系统的最高层概念抽象

整体性：网络安全单元按照一定规则，相互依赖、相互作用而形成人机物一体化的网络安全保护方式

协同性：通过各种安全机制的相互协作，建构系统性的网络安全方案。

过程性：网络安全体系提供一种过程式的网络安全保护机制，覆盖保护对象的全生命周期

全面性：网络安全体系基于多个维度、多个层面对安全威胁进行管控

适应性：网络安全体系，能够适应网络安全威胁的变化和需求、动态的

口诀：整协程面适

 

BLP机密性模型

Bel1-LaPadula模型：符合军事安全策略的计算机安全模型，用于防止非授权信息的扩散

BLP模型的两大特性：(下读上写 )简单安全特性、*特性

1、简单安全特性：操作者读访问资源时，操作者的安全级别和范畴都>=资源（客体）

2、*特性：操作者写访问资源时，操作者（主体）的安全级别和范畴都<=资源（客体）

 

BLP机密性模型与Biba完整性模型的对比

                      口诀              简单安全特性                                *特性                                           调用特性

BLP模型         下读上写        主体的安全级别和范畴>=客体        主体的安全级别和范畴<=客体

Biba模型  不能下读不能上写   主体的完整性级别和范畴>=客体    主体的完整性级别<客体             主体的完整性级别<另一个主体

 

上读下写保证了数据的完整性、上写下读保证了信息的机密性

 

信息保障模型P2DR、PDRR、WPDRRC：

 P2DR: 策略、防护、检测、响应

PDRR：（p保护）（d检测）（r响应）（r恢复）Pretection（保护）Detection（检测）Response（响应）Recovery（恢复）

WPDRRC：预警、保护、检测、响应、恢复、反击

 

数据安全能力从：组织结构、制度流程、技术工具、人员能力四个维度评估

组织结构：数据安全组织机构的架构建立、职责分配和沟通协助

制度流程：组织机构关键数据安全领域的制度规范和流程落地建设

技术工具：通过技术手段和产品工具固化安全要求和自动化实现安全工作

人员能力：执行数据安全工作的人员意识及专业能力

 

软件安全能力成熟度模型：

CMM1级:  补丁修补

CMM2级：渗透测试、安全代码评审

CMM3级：漏洞评估、代码分析、安全编码标准

CMM4级：软件安全风险识别、SDLC实施不同安全检查点

CMM5级：改进软件安全风险覆盖率 评估安全差距

 

纵深防御模型：多层次，多到保护线

 

信息系统物理安全技术：

1级:自主保护级 提供基本的物理安全防护

2级：审计保护级 提供适当的物理安全保护

3级：标记保护级 提供较高程度的物理安全保护

4级：结构化保护级 提供更高的物理安全保护

 

机房功能区域组成

1、主要工作房间：主机房、终端室

2、第一类辅助房间：低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室；口诀（监控气体用电）

3、第二类辅助房间：资料室、维修室、技术人员办公室；

4、第三类辅助房间：储藏室、缓冲间、技术人员休息室、盥洗室

 

IDC（互联网数据中心）

IDC组成：机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统

IDC机房等级划分：R1、R2、R3

R1：具备一定的冗余能力      可用性能力：不小于99.5%

R2：具备冗余能力        可用性能力：不小于99.9%

R3：具备容错的能力    可用性能力：不小于99.99%

 

认证类型与认证过程

认证类型：单向认证、双向认证、第三方验证

单向认证：验证者对声称者进行单方面的鉴别，而生称者不需要识别验证者的身份

 

Kerberos认证技术

Kerberos是一个网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。其技术原理是利用对称密码技术（DES加密算法），使用可信的第三方来为应用服务器提供认证服务，并在用户和服务器之间建立安全信道

一个Kerberos系统统涉及四个基本实体：

1.Kerberos客户机，用户用来访问服务器设备；

2.AS(Authentication Server 认证服务器),识别用户身份并提供TGS会话

3.TGS（Ticket Granting Server，票据发放服务器），为申请服务器的用户授权票据（Ticket）

4.应用服务器（Application Server），为用户提供服务的设备或系统

 

PKI公钥基础设施

PKI（Public Key Infrastructure）就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施

 

访问控制模型组成要素：主体、客体、参考监视器、访问控制数据库、审计

 

 

 

计算机病毒  如图1-图2：

图1 被动传播病毒

 

图2 主动病毒

 

防火墙部署基本方法

防火墙防御体系结构：基于双宿主主机防火墙、基于代理型防火墙、基于子网屏蔽的防火墙

1、划分区域

2、设置控制点

3、制定安全策略

4、依据策略选技术

5、真机上配置策略

6、验证策略

7、运维

 

 Linux访问控制(必考)

每个文件上使用"9比特位模式"来标识访问控制权限信息，这些二进制位标识了文件拥有者、与文件拥有者同组用户、其他用户对文件所具有的访问权限和方式

 

 

防火墙功能：过滤非安全网络访问、限制网络访问、网络访问审计、网络带宽控制、协同防御

 

防火墙安全风险

防火墙功能缺陷：不能完全防止感染病毒的软件或文件传输、不能防止基于数据驱动式的攻击、不能完全防止后门攻击

网络安全旁路：防火墙只能对通过它的网络通信包进行访问控制，而未经过它的网络通信就无能为力。

防火墙安全机制形成单点故障的特权威胁：所有网络流量都要经过防火墙，一旦防火墙管理失效，就会对网络造成单点故障和网络安全特权失控

防火墙无法有效防范内部威胁:内网用户操作失误，攻击者就能利用内网用户发起主动网络连接

防火墙效用受限与安全规则：依赖于安全规则的更新

 

包过滤技术

包过滤是在IP层实现的防火墙技术，包过滤根据包的源ip地址、目的IP地址、源端口号、目的端口号、包传递方向等包头信息判断是否允许包通过。

包过滤的规则由规则号、匹配条件、匹配操作3部分组成

匹配条件:源IP地址、目标IP地址、源端口号、目标端口号、协议、通信方向等

匹配操作：拒绝、转发、审计

包过滤防火墙技术的优点：低负载、高通过率、对用户透明。

包过滤技术的弱点：不能在用户级别进行过滤

 

防火墙主要功能：过滤非安全网络访问、限制网络访问、网络访问审计、网络带宽控制、协同防御

 

防火墙防御体系结构：基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙

双宿主主机防火墙结构

 

代理型防火墙结构

 

屏蔽子网防火墙结构

 

VPN类型

按照VPN在TCP/IP协议栈的工作层次，可以分为

VPN类型                    VPN技术

链路层VPN                ATM、Frame、Relay、多协议标签交换MPLS、PPTP、L2TP

网络层VPN                受控路由过滤、隧道技术（IPsec、GRE）

传输层VPN                SSL/TSL

 

ipSec提供的安全服务：保密性、完整性、认证服务

 

VPN的实现技术：SSL

SSL是传输层安全协议，用于构建客户端和服务器之间的安全通道，包含两层协议：

上层为：SSL握手协议、SSL密码变化协议和SSL报警协议

下层为：SSL记录协议：为高层提供基本的安全服务，比如分块、压缩、计算添加HMAC、加密等。

SSL握手协议：认证、协商加密算法和密钥

SSL密码规格变更协议：保客户端和服务器双方应该每隔一段时间改变加密规范。

SSL报警协议：通信过程中某一方发现任何异常，就需要给对方发送一条警示消息

SSL提供：保密性、完整性、可认证性

SSL 协议提供三种安全通信服务

1、保密性通信：握手协议产生密钥后才开始加、解密数据、数据的加、解密使用对称密码算法，例如DES、AES

2、点对点之间的身份认证：采用非对称密码算法，例如RSA、DSS

3、可靠性通信：信息传送时包括信息完整性检查，使用有密码保护的消息认证码（Me sage Authentication Code，简称MAC），MAC的计算采用安全扎凑函数，例如SHA、MD5

 

入侵检测相关概念及入侵检测模型

入侵：违背访问目标的安全策略的行为

判断入侵的依据是：对目标的操作是否超出了目标的安全策略范围。

入侵判断：通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。

入侵检测系统：具有入侵检测功能的系统称为入侵检测系统，简称为IDS。

入侵检测的目的：发现违背安全策略or危害系统安全的行为

通用入侵检测框架模型，简称为CIDF。该模型认为入侵检测系统包括：事件产生器、事件分析器、响应单元、事件数据库组成。

 

基于误用的入侵检测技术

攻击者常常利用系统和应用软件中的漏洞技术进行攻击

误用入侵检测的前提条件是：入侵行为能够按某种方式进行特征编码

入侵检测的过程实际上是：模式匹配的过程

基于条件概率的误用检测：将入侵方式对应一个事件序列，然后观测事件发生序列应用贝叶斯定理进行推理，推测入侵行为

基于状态迁移的误用检测：记录系统的一系列状态，检测系统的状态变化发现系统中入侵行为。这种方法状态特征用状态图描述

基于键盘监控的误用检测：检测用户的击键模式，检测攻击模式库，发现入侵行为（不能够检测恶意程序的自动攻击）

基于规则的误用：用规则描述入侵行为，通过匹配规则，发现入侵行为

 

基于异常的入侵检测技术

异常检测方法：建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象

异常检测的前提是：异常行为包括入侵行为

基于统计的异常检测方法：利用数学统计理论技术，至于统计的抽样周期可以从短到几分钟到长达几个月甚至更长（系统登录时间，资源被占用的时间等）

基于模式预测的异常检测方法：事件序列不是随机发生的而是服从某种可辨别的模式，其特点是考虑了事件序列之间的相互关系

基于文本分类的异常检测方法：将程序系统调用视为某个文档中的“字”，N此调用以后就形成一个文档分析文档的相似性，发现异常的系统调用，从而检测入侵行为

基于贝叶斯推理的异常检测方法：通过分析和测量，任一时刻的若干系统特征（磁盘读/写操作数量、网络连接并发数），判断是否发生异常

 

入侵检测系统组成

入侵检测系统功能模块组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块、辅助模块

基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）、基于主机检测的分布式入侵检测系统（HDIDS）、居于网络分布式入侵检测系统（NDIDS）

 

 

网络入侵检测系统Snort

Snort基本技术原理是通过获取网络数据包，然后基于安全规则进行入侵检测，最后形成报警信息

Snort规则由两部分组成：规则头、规则选项（通过（）来区分，括号里是规则选项）

规则头包含：规则操作、协议、源地址、目的ip地址、网络掩码、源端口、目的端口号信息。

规则选项包含：报警消息、被检查网络包的部分信息、规则应采取的动作（所有Snort队长选项都用  ";"隔开，规则选项关键词使用”；“和对应的参数来区分）

Snort规则如下所示：

Alert    tcp    any    any     ->    192.168.1.0 /24    111(content:"|00   01   86   a5|";msg:"mountd access";)

动作    协议   源ip  源端口            目标ip            目标端口（需要匹配的数据包内容；alert动作报警弹出的内容）

规则选项常用关键词是msg、content。msg用于显示报警信息，content用于指定匹配网络数据包的内容。sid表示Snort规则id;rev表示规则修订的版本号

 

网络物理隔离系统与类别

网络物理隔离系统是指通过物理隔离技术，在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统，以满足不同安全域的信息或数据交换、

按照隔离的对象分

单点隔离系统：主要是保护单独的计算机系统，防止外部直接攻击和干扰。

区域隔离系统：针对的是网络环境，防止外部攻击内部波保护网络

按照网络物理隔离的信息传递方向分：双向网络物理隔离系统、单向网络物理隔离系统

国家管理政策文件明确指出：”电子政务网站=政务内网+政务外网构成，两网之间物理隔离，政务外网与互联网之间的逻辑隔离

 

网络安全审计系统一般包括：审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理

 

网络安全审计机制与实现技术

审计机制：基于主机的审计机制、基于网络通讯的审计机制、基于应用的审计机制等

实现技术

系统日志数据采集技术：

常见的习题日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储，以便于分析与管理

网络流量数据获取技术：常见的技术方法有共享网络监听、交换机端口镜像、网络分流器

 

网络安全漏洞威胁

网络安全漏洞又称为脆弱性，简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷根据漏洞的补丁状况，可将漏洞分为：普通漏洞和零日漏洞

 

网络安全漏洞来源及分类

CVSS是一个通用的漏洞计分系统，分数计算依据由：基本度量计分、时序度量计分、环境度量计分

基本度量计分：由攻击向量、攻击复杂性、特权要求、用户交互、完整性影响、保密性影响、可用性影响、影响范围等决定。

时序度量计分:由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定。

环境度量计分：完整性要求、保密性要求、可用性要求、修订基本得分等决定。

国家信息安全漏洞库（CNNVD）漏洞分类分级标准

国家信息安全漏洞共享平台（CNVD）漏洞分类分级标准

 

防火墙的规则处理方式

Accept：允许数据包通过

Reject：拒绝数据包通过，并且通知信息源该信息被禁止

Drop：将数据包丢掉，不通知信息源、

 

 

ISO安全体系结构的5种安全服务包括：鉴别服务、访问控制、数据完整性、数据保密性、抗抵赖性

 

隐私保护技术主要分为3大类：基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名化的隐私保护技术

 

数字水印应该具备：安全性、鲁棒性、隐蔽性

 

 

入侵检测框架模型（CIDF）有以下4个组成部分：

事件产生器：从网络环境获得事件，并将事件提供给CIDF的其他部分

事件分析器：分析事件数据，给出分析结果

响应单元：针对事件分析器的分析结果进行响应。

数据库：存放中间和最终数据（文本、数据库）

 

 

下午题

 

IPtables防火墙

删除所有存在的规则

iptables -F

设置默认链策略

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

阻止特定ip地址

IP = "x.x.x.x"

iptables -A input -s ip -j DROP

 

 

 

 

linux命令

 

.Linux操作系统的基本审计信息有系统开机自检日志 boot.log、用户命令操作日志 acct/pacct、最近登录日志lastlog、使用su命令日志sulog、当前用户登录日志utmp、用户登录和退出日志wtmp、系统接收和发送邮件日志maillog、系统消息messages等。

 

查看端口开放命令：net stat

netstat -lntp 协议和地址、端口之间的关系

netstat -r 查看路由表

“>”代表追加并覆盖文件

“>>”追加重定向文件

“<”把<后面的文件取代键盘作为新的输入设备

启动服务： systemctl start  服务名

重启服务：systemctl restart  服务名

停止服务： systemctl stop  服务名

清除历史命令：history -c

 

SSH：默认端口22 

端口服务：SSH可能为软件 SSHD为web务端

Https:443

dns:53

FTP(文件传输):21

TFTP：69

PostgreSQL:5432

mongoDB数据库: 27017

Telnet(远程登录):23

SMTP(邮箱端口):25

 

 

linx文件夹

etc:配置文件目录

home：用户目录

run：每次开关机刷新的文件夹

tmp：临时文件夹

var：存放日志文件

boot：启动文件夹

usr：共享资源文件夹

 

Linux /etc/passwd

root:x:0:0:root:/root:/bin/bash

用户名:密码：UID：GID（组ID）：描述性信息：主目录：默认Shell

密码：“x”表示用户没用密码，但不是真正的密码

UID：用户ID，每个用户都拥有唯一的一个UID，linux系统通过UID识别不同用户。UID是一个0-65535之间的数

UID：0 表示超级用户

UID：1-499为系统用户，1-99用于系统自行创建的账号，100-499分配给偶遇系统账号需求的用户

UID：500-65535普通用户

主目录：

 

Linux etc/shadow

root: $6$9w5Td6lg$bgpsy3olsq9WwWvS5Sst2W3ZiJpuCGDY.4w4MRk3ob/i85fl38RH15wzVoomff9isV1PzdcXmixzhnMVhMxbvO:15775:0:99999:7:::bin:*:15513:0:99999:7:::daemon:*:15513:0:99999:7:::

用户名：加密密码：最后一次修改时间：最小修改时间间隔：密码有效期：密码需要变更前的警告天数：密码过期后的宽限时间：账号失效时间：保留字段

加密密码

linux密码采用SHA512散列加密算法，原来采用MD5或DES加密算法。SHA512加密等级更高

最后一次修改密码时间:如果该字段为15775 日期就为1971-1-1加15775天，可以通过命令换算： date -d "1970-01-01 15775 days"

linux用户名文件（etc/password）默认访问权限为：rw- r-- r--

linux口令文件（etc/shadow）默认访问权限为:r-- --- ---

 

域名系统的服务器程序工作在网络的应用层

 

windows hosts文件目录： C:\WINDOWS\system32\drivers\etc

linux hosts文件目录: /etc/hosts

 

安卓系统安全系统结构

应用程序层：权限声明机制

应用程序框架层：应用程序签名机制

系统运行库层：安全沙盒、SSL

内核层：文件系统安全、地址空间布局随机化、SELinux

 

Smurf为拒绝服务攻击结合IP欺骗和ICMP回复；‘/

 

密码分析攻击类型：唯密文攻击、已知明文攻击、选择明文攻击、密文验证攻击、选择密文攻击、选择密文攻击

 

 

云计算 大数据 

 

云计算主要特征：IT资源以服务的形式提供、多租户共享IT资源、IT资源按需定制与按用付费、IT资源可伸缩性部署（4种部署模式：私有云、社区云、公有云、混合云）

 

云计算平台安全威胁：云计算平台物理安全威胁、云计算平台服务安全威胁、云计算平台资源滥用安全威胁、云计算平台运维和内部安全威胁、数据残留、过度依赖、利用共享技术漏洞进行攻击、滥用服务器、云服务中断、利用不安全接口的攻击、数据丢失 篡改泄密

 

云计算网络安全机制：身份鉴别认证机制、数据完整计划、访问控制机制、入侵防范机制、安全审计机制、云操作系统安全增强机制

 

常用存储介质安全防护措施:强化存储安全管理、数据存储加密保存、容错容灾存储技术

 

认证一般由标识和鉴别两部分组成

认证类型可以分为单向认证、双向认证、第三方认证

 

 

扩张

 

 

现在主流数据库：mysql 、sql server、 Oracle、

 

ios系统框架：核心操作系统层、核心服务层、媒体层、可触摸层

移动应用app安全加固：防反编译、防调试、防篡改、防窃取

 

大数据安全涉及数据：采集、存储、使用、传输、共享、发布、销毁 包括数据的：真实性、机密性、完整性、可用性、可追溯性