信息安全工程师知识点

第一章 信息安全基础知识

国家法律法规

《中华人民共和国网络安全法》 2017年6月1日开始实施。

《中海人民共和国密码法》 2020年1月1日开始实施。

《中华人民共和国数据安全法》 2021年6月10日通过，于2021年9月1日开始实施。

《中华人民共和国个人信息保护法》 2021年11月1日开始实施。

网络信息安全基本属性

机密性（Confidentiality）、完整新(Integrity)、可用性(Availability)、抗抵赖性、可控性、真实性、时效性、合规性、隐私性

网络信息安全基本功能

要实现网络信息安全基本目标，网络应具备防御、监测、应急和恢复的基本功能。

网络信息安全基本技术需要有网络物理环境安全、网络信息安全认证、访问控制、安全保密、漏洞扫描、恶意代码防护、网络信息内容安全、安全监测与预警、应急响应等。

物理环境安全：环境安全、设备安全、存储介质安全。

安全保密：对网络重要的核心信息和敏感数据采用机密技术保护，防止非授权查看和泄露，重要系统采用安全分区、数据防泄漏技术（DLP）、物理隔离技术，确保与非可信的网络进行安全隔离。

内容安全：垃圾邮件过滤、IP/URL过滤、自然语言分析处理。

安全策略表达模型

自主访问控制模型：HRU模型

强制访问控制模型：BLP模型

第二章 网络攻击技术

网络攻击模型：攻击树模型、攻击矩阵模型ATT&CK、网络杀伤链模型（7步）

端口扫描

• 完全连接扫描：完成的三次握手连接机制，建立成功则端口开放。

• 半连接扫描： 只完成三次握手的前两次握手，不建立完整的连接。

• SYN扫描： 向主机发送连接请求，目标主机返回响应后立即切断连接过程，查看响应情况，根据响应信息判断端口开放情况。若主机返回ACK，则表示该端口开放，若返回reset,则表示该端口未开放。
• ID头信息扫描:根据dumb主机的数据包ID头是否连续递增1判断是否开放，是则没开放，不是则开放。
• 隐蔽扫描：
• SYN|ACK 扫描：源主机向目标主机的端口直接发送SYN|ACK包，而不是先发送第一次握手的SYN包，由于此方法不发送SYN包，将导致报错。若主机端口没有开放，则会返回RST信息，若端口开放，则不会返回任何信息，直接将这个数据包抛弃。
• FIN扫描：源主机A向目标主机B发送FIN数据包，然后查看反馈信息。如果端口返回RESET信息，则表示端口关闭，如果端口没有返回任何信息，，则说明该端口开放。
• ACK扫描：源主机A向目标主机B发送FIN数据包，然后查看反馈数据包的TTL值和WIN值。开放端口返回的TTL值一般小于64，WIN值一般大于0，关闭端口返回的的TTL值一般大于64，WIN值一般小于0。
• NULL扫描：将主机发送到数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。如果目标主机没有返回任何信息，则表示端口是开放的，如果返回RST信息，则表示端口关闭。
• XMAX扫描：将主机发送到数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置为1。如果目标主机没有返回任何信息，则表示端口是开放的，如果返回RST信息，则表示端口关闭。

缓冲区溢出

• 栈区保存局部变量、函数参数；保存数据的地址增长是往低地址增长。
• 堆区为动态内存分配。保存数据的地址增长是往高地址增长。
• BSS区：未初始化的全局变量、静态变量
• 数据区：已初始化的全局变量、静态变量、常量
• 程序区:代码
  

拒绝服务

• 同步包风暴(SYN FLOOD):通过伪造不同的源IP向受害主机发送大量SYN同步数据包，受害主机无法收到第三次握手的确认ACK包，无法建立连接，发送了大量半连接请求。
• UDP泛洪攻击（UDP FLOOD）：传输大量无用数据占用带宽
• Smurf攻击：攻击者向广播地址发送ICMP echo request 包，并将回复地址设置为受害主机地址，网络中的主机都会对这个请求包做出回应，导致网络中大量的ICMP echo reply应答数据淹没受害主机。
• 死亡之PING
• 泪滴攻击：在IP数据包传输过程中，加入过多或不必要的偏移量字段，使计算机系统重组错乱。

APT攻击

特点：技术高级、持续时间长、威胁性大

解决方法：通过沙箱、态势感知平台，联动全网安全设备进行分析；定期对文件进行备份；购买安全服务定期对系统进行漏洞扫描整改。

第三章 密码学

《中国人民共和国密码法》 2020年1月1日开始实施。

《中华人民共和国电子签名法》 2005年4月1日实施

• 唯密文攻击 （只有密文）
• 已知明文攻击 （知道某些明文对应的密文）
• 选择明文攻击 （选择明文并获得相应的密文）攻击 文件系统和数据库系统
• 密文验证攻击 （对于任意密文，能验证密文是否合法）
• 选择密文攻击 （选择密文并获得相应的明文，主要攻击公开秘钥体制，特别是数字签名）

密码体制

公钥密码体制、私钥密码体制、混合密码体制

私钥密码体制（对称密码体制）：加解密使用相同的秘钥。如DES、3DES、IDEA、AES、RC4/5。

公钥密码体制（非对称密码体制）：加解密过程中使用不同的秘钥处理，其中加密公钥进行公开，私钥不予公开。如RSA、椭圆曲线

混合密码体制：发送方通过对称密钥加密需要发送的消息，再用接收方的公钥加密对称密钥，再一起发送给接收方。接收方先用自己的私钥解密获取到对称密钥，再用对称密钥解密得到明文。

私钥密码体制的优点：

私钥算法处理速度快，加解密速度快，密文紧凑，使用长秘钥时难破解，适用于数据加密。

私钥密码体制的缺点：

一是风险点在于秘钥分配管理。

二是秘钥的管理问题，当有n个使用者是，将会有n(n-1)/2个秘钥，秘钥将多得无法处理。

三是无法认证消息来源。

公钥密码体制的优点：

• 秘钥分发方便，公开的方式分配加密秘钥。
• 秘钥保管量少，消息发送方公用一个加密秘钥。
• 支持数字签名。RSA、ELGaml体制和ECC(椭圆曲线密码体制)、背包算法、Rabin、DH。

公钥密码体制的缺点：

算法复杂度较高，加密速度慢。

公钥加密，私钥解密，实现保密通信。

私钥加密，公钥解密，实现数字签名

密码算法

对称加密算法：

• DES算法：分组加密算法，支持64比特的明文块加密，秘钥长度为64位，其中有8位是校验位，有效秘钥长度是56位。存在4个弱秘钥和12个半弱秘钥。16轮迭代加密。 子密钥48位。
• 3DES算法：三重DES加密，k1加密，k2解密，k3加密，一般情况k1和k3是相同秘钥，秘钥长度为112位
• IDEA算法：分组加密算法，明文和密文分组都是64比特，秘钥长度为128位。主要用于PGP
• AES算法：分组密码算法，支持至少128比特的分组，秘钥长度至少为128、192、256位。不存在弱秘钥
• RC4/5算法：流加密算法,用于WIFI，加密速度快，分组和秘钥长度都可变

DES算法S盒（每行1-15的数字都会出现，不重复）

第一位与第六位组合成二进制串转换为十进制，中间四位组合成二进制串转换为十进制，对应S盒的3行9列，即6，转换为二进制110

非对称加密算法

• 基于大素数因子分解的困难性: RSA算法
• 基于离散对数问题困难性： DH、Elgamal、ECC

RSA算法：基于大素数因子分解的困难性，512位或1024位秘钥,提供保护机密性、完整性、真实性和不可否认性的方法。SSH、OpenPGP、S/MIME、SSL/TLS都依赖于RSA进行加密和数字签名

RSA的三种模式：加密模式、认证模式、机密认证混合模式

加密模式(确保数据的秘密性）

发送方：

A首先查PKDB(公钥数据库）,查到B的公开公钥KeB

A用KeB加密明文M得到密文C,C=E(M,KeB)

A发密文C给B

接收方：

B接收C,B用自己的私钥KdB解密C，M=D(C,KdB)

认证模式（确保数据的真实性）

发送发：

A使用自己的私钥KdA加密M，得到密文C , C=E(M,KdA)

A将密文C发送给B

接收方：

B接收密文C，B查询PKDB，查到A公开的公钥KeA,用KeA解密C得到明文M M=D(C,KeA)

机密认证混合模式（真实性和秘密性）

发送方：

A用自己的私钥kdA加密M，得到中间密文S，S=E(M,KdA)

A查询PKDB，获取B的公开公钥KeB,A使用KeB加密S得到最终的密文C，C=E(S,KeB)

A发送密文给B

接收方：

B接收到密文C，B用自己的KdB解密C，得到中间密文S=D(C,KdB)

B通过PKDB获取A的公开公钥KeA,用KeA解密S得到明文M=D(S,KeA)

gcd(a,b)=1,即a,b最大公约数为1，即a、b互为质数

a/m=b/m,a与b对于m同余，a=b(mod m)

求解乘法逆元：

5 x d = 1(mod 72) => 5 x d = 72n+1（n=1,2,3...)

RSA加密时，明文m不能大于n，会发生回绕

公钥Ke=（n,e) 私钥Kd=（p,q,d,φ(n))

公开参数：n（素数乘积）、e（与欧拉函数互素的随机数）

私钥参数：p、q（两个大素数）、φ(n)、d（逆元）

计算n:n=pq

计算φ(n);φ(n)=（p-1)(q-1)

求解逆元d: e x d = 1 mod φ(n) ==>dxe=φ（n)*i +1 (i=1,2,3,4...)

加密：C=M^e mod n

解密： M=C^d mod n

国产商用密码算法

• SM1:对称加密，分组密码算法，分组长度和秘钥长度均为128比特 (对应AES)
• SM2椭圆曲线公钥密码算法：非对称加密，公钥加密算法，秘钥交换协议及数字签名算法（ECC椭圆曲线问题)
• SM3:杂凑算法，分组512位，杂凑值长度为256比特
• SM4:对称加密，分组长度和秘钥长度都为128比特
• SM9标识密码算法，支持公钥加密、秘钥交换、数字

Hash算法（杂凑算法、散列算法）

Hash函数特性：不可逆性（单向性）、无碰撞性、雪崩效应

MD5: 512位数据块为单位处理输入，产生128位消息摘要

SHA： 512位数据块为单位处理输入，产生160位消息摘要

SM3：商用密码杂凑算法，分组长度为512比特，输出杂凑值长度为256比特

应用：认证（MAC加密）、加密存储（加盐密码）、文件完整性校验

数字签名

签名者使用私钥对待签名数据的哈希值做密码运算得到的结果。只能用对应签名者的公钥进行验证，用于确定签名数据的完整性、真实性和抗抵赖性。

数字签名的特点：不可否认性、真实性（解决冒充的问题）、可鉴别性、不可篡改性、完整性。

典型的数字签名算法（公钥加密算法）：RSA、Rabin、ELGamal签名体制和DSS标准

签名方用自己的私钥进行签名，对方收到后，用签名方公钥进行验证

数字证书

通过数字证书获取用户公钥，数字证书含所有者公钥、认证机构数字签名（CA的私钥签名）

数字证书（也称公钥证书）由证书认证机构（CA）签名，包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。

按类别分类：个人证书、机构证书和设备证书

按用途分类：签名证书和加密证书

签名证书：证明签名公钥的数字证书

加密证书：证明加密公钥的数字证书

CA（数字证书认证系统）：管理数字证书，提供数字证书的申请、审核、签发、查询、发布以及证书的吊销等全生命周期管理。

组成：目录服务器、OCSP服务器、注册服务器、签发服务器。

PKI体系：用户/终端实体、注册机构RA（注册审核）、证书颁发机构CA、证书发布系统、证书吊销列表CRL

Kerberos体系：认证服务器（AS)、授权服务器（TGS）

密码管理

密码管理主要分为三部分：秘钥管理、秘钥管理政策、密码测评

秘钥管理全生命周期：生成、存储、分发、使用、更新、撤销、备份、恢复、销毁、审计

密码法规定，密码分为核心密码、普通密码和商用密码。国家密码法实施时间：2020年1月1日

核心密码、普通密码用于保护国家秘密信息，属于国家秘密，由密码管理部门依法实行严格统一管理。

商用密码用于保护不属于国家秘密的信息，公民、法人和其他组织均可一发使用商用密码保护网络与信息安全。

安全协议

Diffie-Hellman秘钥交换协议：基于求离散对数问题的困难性。常用于IPSEC秘钥交换。

SSH :公钥认证。 满足加密、认证、完整性检查。DH进行秘钥交换 。rsh、rlogin、文件传输等服务。可能存在的攻击：中间人攻击和拒绝服务攻击。（传输层协议负责进行服务器认证、数据机密性、信息完整性保护。）

PGP邮件加密软件，秘钥管理采用RSA，数据加密采用IDEA算法，完整性检查和数字签名算法采用MD5和RSA以及随机数生成器。

网络用户安全：身份认证、数据加密

物理环境安全：来访者身份认证

第四章 网络安全体系安全模型

• BLP机密性模型：防止非授权信息扩散。

BLP模型两个特性（读写权限）：简单安全特性、*特性。（下读上写），主体的保密级别和范围不小于客体的保密级别和范围。

简单安全特性（读访问）。主体对客体进行读访问存在要求，主体只能向下读，不能向上读。

*特性（写） 。 主体对客体进行写访问存在要求，主体只能向上写，不能向下写。

安全集：公开<秘密<机密<绝密

访问要求：主体的安全级大于或等于该信息的安全级，且主体的访问范畴包含该信息的范畴

• BiBa完整性模型：防止非授权修改系统信息，保护系统的信息完整性。（上读下写）

BiBa的三个安全特性（修改权限）：简单安全性、*特性、调用特性。

简单安全性。对客体进行修改访问存在要求，客体的完整性级别不小于主体，主体的范畴集包含客体的全部范畴，即主体不能向下读

*特性。主体的完整性级别小于客体的完整性级别，不能修改客体，即主体不能向上写。

调用特性：主体的完整性级别小于另一个主体的完整性级别，不能调用另一个主体。

• 信息流模型FM：访问控制模型的一种变形。可以用来分析系统的隐蔽通道，防止敏感信息通过隐蔽通道泄露。

• 信息保障模型

PDRR模型:保护(Protect)、监测（Detection）、恢复(Recovery)、响应(Response)

P2DR模型：策略(policy)、防护（Protect）、检测(Detection)、响应（Response）。安全策略描述系统的安全需求及如何组织各种安全机制实现系统的安全需求。

WPDRRC模型：预警、保护、监测、响应、恢复、反击等能力。

• 能力成熟度模型（MM）:对组织机构的能力进行成熟度评估的模型。评估对象是组织机构。共分为五级，等级越高，评估对象越优秀

一级：非正式执行，具备随机、无序、被动的过程

二级：计划跟踪，具备主动、非体系化的过程

三级：充分定义，具备正式的、规范的过程

四级:量化控制，具备可量化的过程

五级：持续优化，具备可持续优化的过程

网络安全方面的能力成熟度模型有：SSE-CMM系统安全工程能力成熟度模型、数据安全能力成熟度模型、软件安全能力成熟度模型。

SSE-CMM系统安全工程能力成熟度模型包括工程过程类、组织过程类、项目过程类

数据安全能力成熟度模型从组织建设、制度流程、技术工具及人员能力四个维度进行评估

软件安全能力成熟度模型分为五级：

CMM1级：补丁修补

CMM2级：渗透测试、安全代码评审

CMM3级：漏洞评估、代码分析、安全编码标准

CMM4级：软件安全风险识别、SDLC实施不同安全检查点

CMM5级: 改进软件安全风险覆盖率，评估安全差距

• 纵深防御模型

将信息网络安全防护措施有机组合起来，部署多道防线，尽可能阻断攻击。

通常认为网络安全需要建立四道防线：第一道是安全保护，阻断作用。第二道是安全监测，及时发现攻击。第三道是实时响应。第四道是恢复。

• 分层防御模型

根据OSI7层模型为参考，针对每层的安全威胁部署安全措施。

• 等级保护模型

根据系统等级保护级别制定安全措施

• 网络生存模型

即在网络信息系统遭受入侵的情况下，仍然能提供必要服务的能力。

网络生存模型遵循3R策略，即抵抗（Resistance）、识别（Recognition）和恢复（Recovery）

网络安全原则

系统性和动态性原则，整体安全性，“木桶效应”

网络安全风险和分级保护原则

纵深防护与协作性原则

网络安全体系与建设内容

法律法规：《网络安全法》2017年6月1日 、《密码法》2020年1月1日、《数据安全法》2021年6月10日通过，2021年9月1日实施、《个人隐私保护法》2021年11月1日

网络安全策略：备份策略、访问控制策略、管理策略

网络安全组织：领导层（协调各部门，审查批准预算，人员考察及录用）、管理层（安全负责人和中层管理人员，制定安全策略，提预算、制定工作流程、监督项目实施）、执行层和外部协作层

网络安全管理：管理目标、管理手段、管理主体、管理依据、管理资源。 人员安全应遵循多人多责原则、任期有限原则、职责分离原则

网络安全技术：

基础设施及安全服务：PKI

科技产业生态：

教育培训：教培、网络安全宣传周

网络安全等级保护

等保流程：定级、备案、建设整改、等级测评、运营维护。

等保策略成绩分为优（大于90分）、良（[80,90)）、中（[70,80)),差(小于70），70分才算及格

政府门户网站的信息安全等级原则上不应低于2级《信息安全技术政府门户网站系统安全技术指南》（GB/T 31506-2015)

二级系统每两年测评一次，三级系统每年测评一次，四级系统每半年测评一次。

涉密信息系统应按照秘密、机密、绝密不同要求，实行分类分级管理。其保护等级不低于等级保护第三级、第四级、第五级。

计算机安全保护能力：用户自主保护级(D)、系统审计保护级(C1)、安全标记保护级（B1)、结构化保护级（B2)、访问验证保护级(A)

技术要求：一个中心，三重防护（安全管理中心，安全计算环境、安全区域边界、安全通信网络、安全物理环境）

管理要求：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

等保2.0新增云计算、移动互联、物联网、工业控制纳入标准范围。各级均增加“可信验证”控制点，四级需要动态可信验证

第五章 物理与环境安全技术

物理安全概述

物理安全包含环境、设备、记录介质在内的所有支持网络信息系统运行硬件的总体安全

自然安全威胁：地震、洪水、水灾、鼠灾、雷电

人为安全威胁：盗窃、爆炸、毁坏、硬件攻击

硬件木马（恶意电路）、硬件协同的恶意代码、硬件安全漏洞的利用（熔断、幽灵、CPU漏洞）、基于软件漏洞攻击硬件实体（震网蠕虫）、基于环境的攻击（电磁波、磁场、温度、湿度）

防护：

设备物理安全：设备标记标识，防止电磁信息泄露，双路供电

环境物理安全：机房场地选择，机房屏蔽、防水、防火、防雷、防盗、防鼠

系统物理安全：存储介质、灾难备份恢复、物理设备访问（门禁、上锁管理）

安全合规、访问控制、安全屏蔽、故障容错、安全监测与预警、供应链安全管理与灾难备份

机房安全分析与防护

机房安全分区及防护：

主要工作房间：主机房、终端室

第一类辅助房间：低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室

第二类辅助房间：资料室、维修室、技术人员办公室

第三类辅助房间：储藏室、缓冲间、技术人员休息室、盥洗室

计算机机房三个等级：A（有完善的机房安全措施）、B（有较为完善的机房安全措施）、C级（有基本的机房安全措施）

若机房是大楼的一部分，应选用二层为宜，一楼作为动力、配电、空调间

数据中心可分为ABC三级，《数据中心设计规范》自2018年1月1日起实施，强制条文如下：

• 1. 数据中心的耐火等级不低于二级
  2. 数据中心所有设备的的金属外壳、金属管道等金属结构必须进行等电位联合并接地
  3. 数据中心与其他功能用房间应采用耐火极限不低于2h的防火墙和1.5bd1楼板隔开，隔墙上开门应采用甲级防火门。
  4. 火灾报警系统应与灭火系统和视频监控系统联动
  5. 设置气体灭火系统的主机房，应配置专用空气呼吸器或氧气呼吸器

IDC（互联网数据中心）机房可划分为三个等级：R1(主要部分具备一定的冗余能力，支持的业务的可用性不能低于99.5%)、R2（具备冗余能力，支持的业务的可用性不能低于99.9%）、R3(备一定的容错能力，支持的业务的可用性不能低于99.99%)

IDC机房强制要求，抗震设防烈度7级以上（含7级）地区IDC使用的主要电信设备必须经过电信设备抗震性能检查合规。

1. 机房必须配备有效的灭火器
2. 孔洞应非燃烧材料封堵
3. 机房内严禁存放易燃易爆等危险物品
4. 机房不同电压的电源设备、电源插座应有明显的区别标志

通信线路/设备/存储介质安全

物理威胁：线路被切断、电磁干扰、线路泄露信息

防护：设备冗余+线路冗余、 使用光纤防范电磁干扰、 数据加密防止信息泄露

设备实体安全

设备硬件攻击防护-硬件木马检测：反向分析法、功耗分析法、侧信道分析法

硬件漏洞处理：破坏漏洞利用条件，防止漏洞被攻击者利用

存储介质安全：

• 1. 存储管理失控===>强化存储安全管理，如设置专门区域存放介质，专人负责保管；介质借用必须办理审批和登记手续；介质分类存放，重要数据应进行复制备份两份以上，分开存放；敏感数据、重要数据、关键数据应采取贴密封条或其他安全有效措施，防止被非法拷贝；报废光盘、磁盘、磁带、硬盘、移动盘必须按规定程序完全消除敏感数据信息
  2. 存储数据泄密===>数据存储加密保存
  3. 存储介质及存储设备故障===>容错容灾存储技术。采用磁盘阵列、双机在线备份、离线备份等综合安全措施。
  4. 存储介质数据非安全删除
  5. 恶意代码攻击

第六章 认证技术与原理

认证由标识（Identification）和鉴别（Authentication)两部分组成

鉴别的凭据/认证依据：所知道的秘密信息（如账号密码）、所拥有的实物凭证（如Ukey)、所具有的生物特征（如指纹）、所表现的行为特征（行为）

认证机制由验证对象、认证协议、鉴别实体构成

认证分类：

认证凭证的类型数量，可分为单因素认证、双因素认证、多因素认证

认证双方角色和所依赖外部条件，可分为单向认证、双向认证和第三方认证

根据认证依据所利用的时间长度，可分为一次性口令（OTP），防止口令重用攻击，如短信验证码，S/Key）、持续认证(连续提供身份确认，对用户整个会话过程中的特征行为进行联系检测，不断验证用户所具有的特性

单向认证技术：基于共享秘密和基于挑战响应

基于共享秘密的认证：（PAP两次握手验证协议）

设验证者和声称者共享一个秘密Kab,IDa为标识，过程如下：

• 1. A产生并向B发送消息（IDa,Kab)
• 2. B收到（IDa,Kab)后，检查IDa和Kab的正确性，若正确则确认A的身份，并回复A的验证结果消息

基于挑战响应的认证：（CHAP三次握手认证）

设验证者B生成一个随机数Rb，IDa为实体A的标识，IDb为实体B的标识，则认证过程如下：

• 1. B产生一个随机数Rb，并向A发送消息（IDb,Rb)
• 2. A收到（IDb,Rb)后，安全生成包含随机数Rb的秘密Kab,并发送消息（IDa,Kab)到B
• 3. B收到（IDa,Kab)的消息后，

如果采用HASH算法，则B本地生成Kab‘，比对Kab'和收到的Kab,r如果相等则认证通过

如果采用对称加密算法，B解密Kab，检查Rb是否正确，若正确，则确认A的身份

• 1. B回复A验证结果消息

双向认证（SSH)

第三方认证：通过可信第三方（TTP）实现

认证技术方法：

口令认证技术

优点：简单、易于实现

缺点：容易受到攻击，如窃听、重放（加时间戳）、中间人攻击、口令猜测等

安全措施：口令信息加密储存，口令信息要安全传输；口令认证协议要抵抗攻击，符合安全协议涉及要求；口令选择避免弱口令，遵循口令生成安全策略，对生成的口令进行安全强度评测。

智能卡技术：带有智能存储器和微处理器的集成电路卡，能够安全存储认证信息，如（身份证、银行卡、校园卡）

生物特征认证技术：利用人类生物特征进行验证，指纹、人脸、视网膜、语音等生物特征信息进行身份认证

Kerberos认证协议

KDC秘钥分发中心包含AS认证服务器和TGS票据分发服务器组成

AS认证服务器提供身份认证,并提供TGS会话秘钥

TGS票据发放服务器为申请服务的用户授予票据Ticket

票据（Ticket）是用于安全传递用户身份所需要的信息的集合，主要包含客户方实体的名称、地址、时间戳、票据生存期和会话秘钥等内容。

kerberos优缺点：

优点：减少用户秘钥的密文暴露次数；kerberos具体单点登录（SSO)的优点

缺点：要求主机节点要解决时间同步问题和地域拒绝服务攻击

SSO、基于人机识别认证技术、多因素认证技术、基于行为的身份鉴别技术、快速在线认证（FIDO)

认证主要产品

硬件实体模式、软件模式或软硬件结合模式

认证产品评价指标可分为三类：安全功能要求、性能要求和安全保障要求：

算法支持，如DES/3DES、AES、SHA-1、RSA、SM1/SM2/SM3/SM4

认证准确率，认证产品的认假率、拒真率

用户支持数量：认证产品的最大承载的用户数量

安全保障级别，认证产品的安全保证措施，安全可靠程度、抵抗攻击能力

应用场景:

用户身份验证

信息来源证实

信息安全保护

第七章 访问控制技术原理与应用

访问控制概述与模型

访问控制是指资源对象的访问者授权、控制的方法及运行机制。

访问者（主体），如用户、进程、控制

资源对象（客体），如文件、应用服务、数据

授权，访问者可以对资源对象进行访问的方式，如读写删除追加等

控制，对访问者是否允许用户访问资源对象做出决策，如拒绝、允许

访问控制的目标是：

1.防止非法用户进入系统

2.阻止合法用户对系统资源的非法使用

认证、访问控制、审计

访问控制参考模型：主体、客体、参考监视器（Reference Monitor（访问控制的决策单元和执行单元）、访问控制数据库（访问控制策略库）、审计库（操作信息，如成功、失败）

常见访问控制模型：

自主访问控制模型（DAC) ：常用于操作系统、数据库系统的资源访问。 客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权限。基于行的自主访问控制（能力表、前缀表、口令）、基于列的自主访问控制（保护位、访问控制列表ACL）

强访问控制模型（MAC)：常用于操作系统、数据库系统的资源访问。 根据主体和客体的属性，以强制方式控制主体对客体的访问

基于角色的访问控制模型（RBAC)：常用于操作系统、数据库系统的资源访问。 通过分配和取消角色来完成用户权限的授予和取消，提供角色分配规则。RBAC包括用户（U)、角色（R）、会话（S）、权限（P)。访问权限与角色相关，角色再与用户关联。

基于使用的访问控制模型：用于隐私保护、敏感信息安全限制

基于地理位置的访问控制模型：地理位置授权使用

基于属性的访问控制模型（ABAC)：主要提供分布式网络环境和Web服务的模型访问控制。 根据主体的属性、客体的属性、环境的条件以及访问控制策略对主体的请求操作进行授权许可或拒绝。

基于行为的访问控制模型：如上网行为安全管理

基于时态的访问控制模型：基于时间的管控

访问控制策略设计与实现

所建立的规则应以“未经明确运行的都是禁止的”为前提（白名单）

最小特权管理：每个主体只能拥有完成任务所必要的权限集，按需使用

用户访问管理：用户登记、用户权限分配、访问记录、权限监测、权限取消、撤销用户

口令安全管理：

• 1. 至少8字符以上，大小写字母、数字、特殊字符组合。
  2. 禁止使用与账号相同的口令；更换系统默认口令，避免使用默认口令
  3. 限制账号登录次数，建议为3次；禁止共享账号和口令
  4. 口令文件应加密存放，并只有超级用户才能读取；禁止以明文形式在网络上传递口令
  5. 口令应有时效机制，保证经常更改，并且禁止重用口令
  6. 对所有的账号运行口令破解工具，检查是否存在弱口令或没有口令的账号

访问控制产品与应用

4A系统（认证、授权、账号、审计），统一安全管理平台

安全网关：对网络连接服务进行访问限制，如防火墙、NGFW、统一威胁管理（UTM）

系统安全增强：采用强制访问控制技术增强操作系统、数据库系统的安全，防止特权滥用，如Linux的SELinux、Windows操作系统加固

物理访问控制：门禁、门锁

网络访问控制：区域划分、路由

操作系统访问控制：文件读写、进程访问、内存访问

数据库/数据访问控制：数据库表创建、数据生产

应用系统访问控制：业务执行操作、业务文件读取

Linux 文件权限

d rwx rwx rwx 文件所有者 组

文件类型- 用户权限 -用户组权限- 其他用户权限

文件类型：- 普通文件 d 目录文件 l 链接文件 b 设备文件 p 管道文件

r-4 w-2 x-1

Windows访问控制WinLogon进程

文件等客体有自主访问控制列表（DACL)，标明谁有权访问

系统访问控制列表(SACL)，标明哪些主体的访问需要被记录

第八章 防火墙技术原理与应用

防火墙概述

将内部信任网络与外部不可信的网络进行隔离

区域划分：

公共外部网络，如Internet

内联网：如公司的专网，网络访问限制在组织内部

外联网：常用做组织与合作伙伴间进行通信

军事缓冲区（DMZ）：介于内部网络和外部网络之前的区域，常用于放置提供外部访问的服务器

Local(防火墙本身），安全级别100

Trust(内部网络），安全级别85

DMZ(内网服务器所在区域），安全级别50

Untrust，安全级别5

华为防火墙：permit 、deny

Linux防火墙：Accept（接受）、Reject(拒绝数据包或信息通过，通知信息源）、Drop(拒绝数据包或信息通过，不通知信息源）

白名单策略，默认禁止（安全性高）

黑名单策略，默认允许

功能：过滤非安全网络访问、限制网络访问、网络访问审计、网络带宽控制、协同防御

风险：不能完全防止感染病毒的软件或文件传输；不能防止基于数据驱动式的攻击；不能完全防止后门攻击；容易形成单点故障和特权威胁；无法防范内部威胁；受限于安全规则，依赖于安全规则更新

防火墙类型与实现技术

包过滤防火墙：IP层（网络层），根据源地址、目的地址、源端口、目的端口、协议类型及包传递方向等包头信息判断是否允许包通过

优点：低负载、高通过率、对用户透明

缺点：不能在用户级别进行过来，不能识别不同用户或防止IP地址盗用

包过滤规则由：规则号、匹配条件、匹配操作三部分组成

匹配操作：拒绝、转发、审计三种

华为防火墙规则

acl 3000 #定义一个acl 1~2999是基本acl，只过滤源，3000及以上是高级acl，可过滤源目端口

rule 10 permit tcp source any destination any source-port gt 1024 destination eq 25 #创建规则

interface GigabitEthernet 0/0/1 #进入接口，绑定acl

traffic-filter inbound acl 3000

状态检测技术：利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制

应用服务代理防火墙（中间人）：

优点：不允许外部主机直接访问内部主机

缺点：速度比包过滤慢，对用户不透明

NAT 解决公网地址不足的问题：静态NAT、NAT地址池、端口NAT(PAT)

NGFW:包过滤、状态监测、地址转换、入侵防护、数据防泄露、URL分类与过滤、带宽管理

web应用防火墙（waf）

数据库防火墙基于数据通讯协议深度分析和虚拟补丁

虚拟补丁：在数据库外部创建一个安全屏蔽层监控数据库活动，阻断可疑会话，不需要停止服务，可以保护数据库安全

工控防火墙技术：保护工业设备及系统

工控协议：Modbus TCP协议、IEC61750协议、OPC协议、Ethernet/IP协议和DNP3

实时性要求高，恶劣环境要求

防火墙防御体系结果类型

基于双宿主主机防火墙：一个主机拥有两张网卡，实现内外网隔离，最基本的防火墙结构

基于代理型防火墙：由一台主机同外部网络连接，通过路由器过滤

基于屏蔽子网的防火墙：在内网和外网间建立一个单独的网段，应用代理位于屏蔽子网中，通过两个路由器进行隔离。（安全级别最高，成本高，配置复杂）

防火墙技术应用

选择指标：最大吞吐量、最大连接速率、并发连接数

防火墙部署；

• 1. 划分区域，将网络划分成若干安全区域
  2. 设控制点，在安全区域间设置网络通信控制点
  3. 定策略，制定相应的边界安全策略
  4. 选技术，选择合适的防火墙技术和防范结构
  5. 配策略，配置实现对应的网络安全策略
  6. 测试验证，验证策略是否正常执行
  7. 运维维护

Linux防火墙规则：

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

第九章 VPN技术原理与应用‘

VPN概述

虚拟专用网络，把需要通过公共网传递的报文加密处理后，再由公共网络发送到目的地。在不可信的公共网络上构建一条专用的安全通道，数据传输是保密的。

链路层VPN: PPTP、L2TP(基于PPP）

网络层VPN: IPSec、GRE

传输层VPN: SSL/TLS

VPN的核心技术是密码算法

秘钥管理：秘钥分发

手动配置秘钥更新

采用秘钥交换协议动态分发（SKIP(互联网简单秘钥管理协议）和ISAKMP/Oakley(互联网安全联盟和秘钥管理协议））

认证访问控制：

• 1. 用户身份认证
  2. 数据完整性和合法性认证，检查数据传输过程中是否被篡改

IPSec 和SSL

IPSec用于增强IP网络的安全性。实现数据完整性、认证、保密性、应用透明安全性

IPSec功能分为三类：认证头（AH)、封装安全负载（ESP）、Internet秘钥交换协议（IKE)

AH用于数据完整性认证和数据源认证，不提供加密服务（Hash算法（md5、sha））

ESP提供数据保密性，防止数据重放攻击（des、3des、aes)

IKE用于生成和分发秘钥（DH）

两种封装模式：传输模式和隧道模式

SSL协议：传输层安全协议，ssl协议分两层，下层是ssl记录协议（为高层协议提供基本的安全服务，如分块、压缩、计算添加HMAC、加密等），上层是ssl握手协议（认证、协商加密算法和秘钥）、ssl密码规格变更协议（保护双方每隔一段时间改变加密规范）和ssl报警协议（通信中发现异常，给对方发送一条警示消息）

• 1. 保密通信，对称密码算法
  2. 点对点直接的身份认证，采用非对称密码算法
  3. 可靠性通信，信息传送包含信息完整性检查，使用有秘钥保护的消息认证码MAC

PPTP：点对点的安全隧道协议，基于UDP1723，主要给电话上网的用户提供VPN安全服务

L2TP:基于UDP 1701端口，用于在客户端和服务器直接建立VPN隧道，不提供加密服务。

PPTP和L2TP都是二层VPN，都采用PPP封装，存在一下区别：

• • • PPTP要求互联网络为IP网络，L2TP可以用于ATM、帧中继等其他网络
    • PPTP只能在两端点间建立单一隧道，L2TP支持在两端点间使用多隧道
    • L2TP可以提供包头压缩，当压缩包头时，系统开销是4个字节，而PPTP是6个字节
    • L2TP可以提供隧道验证，而PPTP则不支持隧道验证

VPN产品性能指标：

IPSEC VPN ：加解密吞吐率（在VPN产品不丢包的情况下，内网口所能达到的最大流量）、加解密延时、加解密丢包率、每秒新建连接数、最大隧道数

以太帧分别为64、1428字节（IPv6为1408字节

SSL VPN : 最大并发用户数、最大并发连接数、每秒新建连接数、吞吐率

第十章 入侵检测技术原理与应用

入侵检测概述

IDS,通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为

IDS只检测，不阻断，一般为旁路部署

IPS能够阻断，一般为串行部署

CIDF入侵检测模型：事件产生器（从计算机环境获得事件，并向系统其他部分提供事件）、事件分析器（分析所得到的事件，并产生分析结果）、响应单元（对分析结果做出反应）、事件数据库（存储各种中间和最终数据）

入侵检测技术原理

误用检测：基于特征的入侵检测方法，缺点：（高度依赖特征库，检测不出新的攻击）

异常检测：通过统计分析，建立系统的正常行为轨迹，将系统运行的数值与正常情况相比，如异常登录。缺点：（存在较多误报，可以检测出新的攻击）

入侵检测系统组成与分类

入侵检测由数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块

分类：基于主机的入侵检测（HIDS,如swatch、tripwire、网页防篡改系统)、基于网络的入侵检测系统（NIDS分为探测器和管理控制器)、分布式入侵检测系统（DIDS)

第十一章 网络物理隔离技术原理与应用

网络物理隔离技术

网络物理隔离既满足内外网数据交换需求，又能防止网络安全事件出现，基本原理是避免计算机之前直接连通，以阻断在线网络攻击。（网闸设备）

物理隔离安全风险（无法解决）：

• • 1. 网络非法外联，隔离状态的网络私自连接互联网或第三方网络。
    2. U盘摆渡攻击
    3. 网络物理隔离产品安全隐患
    4. 针对物理隔离的攻击新方法，如Bitwhisper窃密技术，利用温度升降原理进行

物理隔离技术与实现

• 1. 专用计算机上网
  2. 多PC,桌面部署两台电脑，连接不同内网网，不能互联
  3. 外网代理服务
  4. 内外网线路切换器（网闸），通过交换盒开关控制计算机的网络物理连接
  5. 单硬盘内外分区，将单一物理PC虚拟成逻辑上的两台PC
  6. 双硬盘（每次切换需要重启系统）
  7. 协议隔离技术（协议的剥离和重建）
  8. 单向传输部件（单工方式工作）
  9. 信息摆渡技术（中间缓冲区域，中间缓存区域只与一段安全域相连）
  10. 物理断开技术（不同安全域的网络间不能以直接或间接的方式相连）

网络物理隔离产品

终端隔离产品，通过物理端口技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机

隔离卡，互斥形式同时连通安全域的硬盘

网络隔离产品是连接不同的安全域

网闸，利用一种GAP（空气开关）技术，“2+1”架构

风险：入侵者可以将恶意代码隐藏在电子文档中，将其发送到目标网络

网络物理隔离应用

内网工作站安全隔离（硬盘隔离卡，实现单一网络，物理上端口内部网络连接）

电子政务网闸应用：电子政务网由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离

税务外网和税务内网使用安全隔离网闸进行物理隔离

第十二章 网络安全审计技术原理与应用

4A技术，认证、账号、授权、审计

安全审计主要是“事后”分析安全事件，提供线索及证据，对信息进行获取、记录、存储分析和利用的工作

等保第二级（系统审计保护级）开始要求提供审计安全机制

等保第三级（安全标记级），在二级的基础上审计记录包含客体名及客体的安全级别

等保第四级（结构化保护级），在三级的基础上能够审计利用隐蔽存储信道

等保第五级（访问验证保护剂），四级的基础上能审计安全事件发生与积累的机制，当超过阈值时，能够立即向安全管理员发出报警

网络安全审计系统一般由审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理组成

操作系统审计、数据库审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计

系统开机自检日志boot.log su命令日志sulog 用户命令操作日志acct/pacct 用户登录日志utmp、wtmp 、最近登录日志lastlog

网络通信安全审计：源目IP、源目端口、协议类型、传输内容

基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制

系统日志数据采集技术,采集操作系统、数据库、网络设备等系统中产生的事件信息

网络数据流量获取技术，如共享网络监听、交换机端口镜像（port Mirroring)、网络分流器（network Tap)

数据捕获软件：wireshark、windump、Tcpdump、Libpacp

字符串匹配：grep 、begin

全文搜索：搜索引擎技术、如Elasticsearch、Hadoop

数据关联分析

统计报表

可视化分析

分散存储、集中存储

审计数据保护：系统用户分权管理（操作员（操作系统的维护工作）、审计员（维护审计相关事宜，查看操作员、安全员工作过程日志）、安全员（实施安全策略配置和维护））

审计数据强访问，对审计数据设置安全标记、防止非授权查询及修改

审计数据加密，对数据进行加密处理

审计数据隐私保护，防止数据泄露隐私数据

审计数据完整性保护，使用hash算法和数字签名对数据进行签名和来源认证

产品

日志安全审计产品：利用syslog、SnmpTrap等协议

主机监控与审计产品：用户监控、系统配置管理、补丁管理、准入控制、存储介质管理、非法外联管理

数据库安全审计产品：通过网络流量分析、系统调用监控、数据库代理等技术对数据库系统的行为信息进行采集并分析

网络安全审计产品：通过网络流量信息采集及数据包深度内容分析（DPI),记录网络应用的活动信息

指标：网络带宽大小、协议识别种类、原始数据包查询响应时间

工控系统网络审计产品：形成工业控制系统的操作信息记录，然后进行保存和分析。

• • 1. 一体化集中产品，数据采集和分析工能在一台硬件中
    2. 采集端和分析端分离

运维审计：通过网络流量信息采集或服务代理技术，记录telenet、FTP、SSH、http等运维操作的活动信息

字符会话审计、图形化操作审计、数据库运维审计、文件传输审计、合规审计

数据访问监测，发现违规访问或异常访问记录

第十三章 网络安全漏洞防护原理与应用

漏洞概述

“红色代码”蠕虫： 微软web 服务器iis4或iis5中index服务的安全漏洞

Internet蠕虫：Sendmail及finger漏洞

分布式拒绝服务攻击：TCP/IP协议漏洞

Slammer蠕虫：微软MS SQL数据库系统漏洞

冲击波蠕虫：微软操作系统DCOM RPC缓冲区溢出漏洞（135）

震网病毒（蠕虫）：windows操作系统、Wincc系统漏洞

Wannacry勒索病毒：winodws SMB漏洞（445）

漏洞分类管理

国家信息安全漏洞库（CNNVD）分类分级标准、国家信息安全漏洞共享平台（CNVD）（11类漏洞类型）行业漏洞和应用漏洞。高、中、低三种漏洞危害级别。

OWASP TOP 10

漏洞管理：从被动向主动转变

• 1. 网络信息系统资产确认
  2. 网络安全漏洞信息采集
  3. 网络安全漏洞评估
  4. 网络安全漏洞消除和控制
  5. 网络安全漏洞变化跟踪

漏扫：用户界面、扫描引擎、扫描结果分析、漏洞信息及配置参数库，用于系统安全检查和风险评估

主机漏扫（杀毒软件）、网络漏扫（SuperScan、nessus)、专用漏扫(数据库漏洞扫描器、工控漏洞扫描器）

漏洞发现技术：人工安全性分析、工具自动化检测及人工智能辅助分析

漏洞防范技术

地址空间随机化技术：防范缓冲区溢出

数据执行阻止（DEP):防范缓冲区溢出

SEHOP：防止攻击者利用Strued Exception Handler重写

堆栈保护：设置堆栈完整性标记检测函数调用返回地址是否被篡改，防范缓冲区漏洞

虚拟补丁

第十四章 恶意代码防范技术原理

恶意代码概述

信息泄露、资源滥用、破坏系统可用性及完整性

恶意代码： 被动传播（病毒、间谍软件(spyware)、木马、逻辑炸弹）

主动传播（蠕虫、细菌（bacteria)、恶意脚本、恶意Active控件）

1、侵入系统 2、维持或替身已有权限 3、隐蔽 4、潜伏 5、破坏 6、重复前五步

恶意代码生存技术：

反跟踪技术：反动态跟踪技术（禁止跟踪中断，检测跟踪调试）；反静态分析技术（加密、伪指令法）

加密技术：信息加密、数据加密、程序源代码加密

模糊变换技术：加大提取特征码的难度（指令替换技术、指令压缩技术、指令扩展技术）

自动生产技术：每生产一个恶意代码，其程序体都会发生变化

变形技术：利用病毒特征代码库固定性这一漏洞，设计不同的特征码的恶意代码

三线程技术：主线程（远程控制工作）、监视线程和守护线程（检查恶意代码是否被删除或停止，只要被停止，就重新启动）

进程注入技术：把自身嵌入与系统服务有关的进程中

通信隐蔽技术：（端口定制技术、端口复用技术、通信加密技术、隐蔽通道技术）

内核级隐藏技术：LKM技术（在不用重新编译内核的情况下把文件加载到内存中）、内存映射隐藏

恶意代码攻击技术：

超级管理技术：部分恶意代码能攻击反恶意软件代码

端口返连接技术：内部向外部连接

静态分析（反恶意代码软件检查、字符串分析、脚本分析、静态反编译分析、静态反汇编分析（线性遍历和递归遍历））和动态分析（文件监测、进程监测、注册表监测、网络活动监测、动态反汇编分析（同内存调试、仿真调试）

恶意代码防范策略：

组织管理上必须加强恶意代码的安全防范意识，明确安全责任、义务和注意事项。

通过技术手段实现恶意代码防御

计算机病毒分析与防护

具有自我复制、传播能力的代码程序。具备隐蔽性、传染性、潜伏性、破坏性四个基本特点。

病毒三部分：复制传染部件、隐藏部件、破坏部件

第一阶段：复制传播阶段 第二阶段：计算机病毒的激活阶段

引导型病毒（感染计算机的引导区）、宏病毒Macro （Office文件）、多态病毒Polymorphic(更换加密算法，改变存在形式）、隐蔽病毒Stealth（将自身的存在形式进行隐藏）

查找计算机病毒源、阻断计算机病毒传播途径、主动查杀计算机病毒、应急响应和灾备（备份、数据修复技术、网络过滤、应急响应预案）

特洛伊木马分析与防护

木马不具备自我传播能力，可远程控制受害计算机（本地特洛伊木马和网络特洛伊木马（主流））

特洛伊木马植入是木马攻击目标系统最关键的一步，可分为被动植入（需要受害者操作，如邮件附件、文件捆绑法、web网页）和主动植入（无需受害用户操作）

木马隐藏技术：本地活动行为隐藏技术（文件隐藏、进程隐藏、通信连接隐藏）、远程通信过程隐藏技术（通信内容加密技术、通信端口复用技术、网络隐蔽通道）

木马存活技术：逃避安全监测的能力。超级管理技术（“广外女生”）、端口反向连接技术

木马防范技术：监测预警、通信阻断、系统加固修复、应急管理

基于端口：查看通信端口

基于系统文件：对比重要文件变化确认木马是否存在

基于系统注册表：检查注册表减值异常的情况

检测具有隐藏能力的木马技术：1、针对一直的RootKit进行检查，Rootkit的运行痕迹 2、基于执行路径的分析法，指令数据比较 3、直接读取内核数据的分析检测

基于网络检测：IDS

基于网络阻断：IPS

清楚特洛伊木马技术：手工清楚和软件清除

网络蠕虫分析与防护

具备自我复制和传播能力，可独立自动运行的恶意软件。

蠕虫的四大功能模块：探测模块（脆弱性检测）、传播模块（生成蠕虫副本）、蠕虫引擎模块（信息收集）、负载模块（伪代码）

蠕虫三个阶段：

• 1. 搜索，搜索易感染目标主机
  2. 传送，将蠕虫代码传送到易感染主机上
  3. 感染，执行蠕虫代码，继续第一阶段工作

扫描技术：基于路由的扫描（效率是随机扫描的3.5倍）、基于DNS的扫描、分而治之的扫描、基于目标列表的扫描、选择性随机扫描

漏洞利用技术：默认口令、程序漏洞、信任关系、安全意识

蠕虫防范技术：监测预警、阻断抑制、漏洞检测与系统加固、蠕虫免疫、阻断隔离、清除技术

僵尸网络分析与防护

僵尸网络运行技术与技术：

• 1. 僵尸程序传播
  2. 对僵尸程序进行远程命令操作和控制，架构受害目标主机组成一个网络
  3. 攻击者通过僵尸网络的控制服务器，给僵尸程序发送攻击指令，执行攻击

防范技术：网络威胁监测、僵尸网络（C&C）检测、僵尸网络主机遏制、僵尸程序查杀

病毒、木马、蠕虫相同处和不同处？

相同点：对计算机系统保密性和完整性造成损害

不同点：病毒可以自我复制传播，造成破坏

木马一般不具备破坏性

蠕虫不断复制自身，普遍在内网中传播，修改正常文件

木马属于后门间谍恶意软件，蠕虫属于病毒

逻辑炸弹：满足触发条件，才触发执行破坏能力的程序代码

陷门（后门）：避开系统安全机制而访问系统，不具有自动传播和自我复制的功能

细菌：具有自我复制功能的独立程序，通过复制本身来消耗系统资源。

间谍软件：弹出广告，重定向用户浏览器到陌生的网站，还具有收集信息的能力。

恶意代码防范技术指标：检测能力、检测准确性、阻断能力

APT防护：部署APT检测系统，检测电子文档和电子邮件是否存在恶意代码，并联动防火墙、入侵监测、态势感知能安全设备综合分析，做好备份恢复措施，制定应急预案。APT检测系统（如沙箱、CIS安全大数据分析平台)

第十五章 网络安全主动防御技术与应用

入侵阻断技术与应用

主动防御（IPS）,既能检测，也能阻断，串行部署在网络中，IPS需要解决通信瓶颈和高可用问题。也可基于旁路部署SPS（旁路注入报文），通过策略路由进行转发阻断

软件白名单技术与应用

设置可信任的软件白名单列表。

构建安全、可信的移动互联网安全生态环境（即合规的下载平台）。

恶意代码防护：传统杀毒软件基于黑名单（病毒库特征），利用软件白名单技术，只允许可信的软件安装和执行。

“白环境”保护：基于白名单安全策略，只有可信的设备才能接入控制网络，只有可信的消息才能在网络上传输，只有可信的软件才能被允许执行

网络流量清洗技术与应用

通过异常网络流量检测，将流量牵引到流量清洗中心，再把留存的正常流量转发到正常的系统。（针对DDOS攻击）

流量检测：利用分部署多核硬件技术、基于深度数据包检测技术监测、分析网络流量数据，快速识别隐藏在流量中的攻击包。

流量牵引与清洗

流量回注

应用：

畸形数据报文过滤：如LAND(利用TCP三次握手漏洞，伪造接收方地址为自己，导致受害主机消耗自身资源）、Fraggle、Smurf（伪造IP向广播地址发送ICMP request）、Winnuke（攻击135、137、139、445端口）、Ping Of Death、tear drop(IP分组） 和Error Flag

抗拒绝服务攻击

web应用保护

DDos高防IP服务：通过代理转发模式防护源站服务器

可信计算技术与应用

TCG制定的TPM和TNC标准，从硬件、BIOS、操作系统各层次上增强计算机系统平台的可信性。建议以安全芯片（TPM)为信任根的完整性度量机制，防止篡改计算机组件。

可信计算机系统：可信根、可信硬件平台、可信操作系统和可信应用系统

信任根包括：可信度量根RTM、可信存储根RTS、可信报告根RTR

可信计算密码支撑平台由可信密码模块（TCM）和TCM服务模块（TSM)两大部分组成

计算平台安全保护：完整性度量和检查

可信网络连接：实现身份认证和完整性验证

可信验证：等保2.0要求基于可信根对保护对象进行可信验证，应用程序执行关键执行环节进行动态可信验证，针对恶意代码攻击，采取主动免疫可信验证机制识别入侵和病毒行为。

数字水印技术与应用

空间域方法（将水印信息直接叠加到数字载体的空间域上）和变换域方法（利用扩展频谱通信技术和hash函数）。即核心内嵌技术

应用：版权保护、信息隐藏（如隐写技术）、信息溯源、访问控制

网络攻击陷阱技术与应用

网络诱骗技术是一种主动的防御方法

技术：蜜罐主机技术和陷阱网络技术

蜜罐技术包括空系统、镜像系统、虚拟系统

陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成，主要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理的功能。

应用：恶意代码监测、增强抗攻击能力、网络态势感知

入侵容忍及系统生存技术与应用

系统具有容侵能力、可恢复能力、保护业务持续运营

3R策略：抵抗（resistance)、识别(recongnition)、策略(recovery)

入侵容忍及系统生存技术主要有分布式共识、主动恢复、门限密码（多重防护认证）、多样性设计。

应用：

弹性CA系统，容忍一台服务器或多台设备遭受入侵时，PKI系统仍能正常运行。

区块链，去中心化的分布式数据库，数据安全具有较强的入侵容忍能力。

隐私保护技术与应用

身份隐私、属性隐私、社交关系隐私、位置轨迹隐私

通过对隐私数据进行安全修改处理，保留原数据的使用价值

k-匿名方法：对数据中的元组进行泛化处理

差分隐私方法：对数据集添加随机噪声构成新数据集

隐私保护的常见技术措施有：抑制（将数据置空限制数据发布）、泛化（降低数据精度提供匿名的方法）、置换（改变数据的属主）、扰动（在数据发布时添加一定的噪声，包括增删、变换）、裁剪（将敏感数据分开发布）

应用：匿名处理个人信息、对个人信息去标识化处理、保护信息系统的重要敏感数据（如配置文件、密码文件）

网络安全前沿技术发展动向

网络威胁情报、同态加密技术（加密后对密文进行相应的运算，与明文直接运算结果是等价的，用于委托不信任第三方对数据进行处理，而不泄露信息）

域名安全保障（域名信息篡改、域名解析配置错误、域名劫持、域名软件安全漏洞等风险），提供DNS托管服务、DNS灾备服务、流量管理服务和抵抗大规模DDos攻击和DNS劫持安全服务。IFTF提出DNSSEC安全扩展协议（为DNS解析服务提供数据源身份认证和数据完整性验证）

第十六章 网络安全风险评估技术原理与应用

网络安全风险评估过程

依据有关信息安全技术和管理标准，依照等保2.0要求，对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学性评价的过程。评估威胁者利用资产脆弱性，造成资产损失的严重程度。

网络安全风险值=安全事件发生的概率与安全事件的损失的乘积。R=f(Ep,Ev)

风险评估要素：资产、威胁、脆弱性、安全措施、风险

风险评估模式：自评估、检查评估（网络安全主管机关或业务主管机关发起）、委托评估（第三方专业评估机构）

风险评估主要工作内容：评估准备、资产识别、威胁识别、脆弱性识别、已有的网络安全措施分析、网络安全风险分析、网络安全风险处置与管理

评估准备：确定评估对象和范围。输出《网络安全风险评估范围界定报告》

资产识别：网络资产鉴定（网络设备、主机、服务器、应用、数据和文档资产）；网络资产价值估算（相对价值），对资产资自身及与其关联业务的影响大小来决定。资产可用性赋值：5级99.9%以上 4级90% 以上 3级70%以上 2级25%以上

威胁识别：自然威胁（雷电、洪水、水灾、鼠灾）和人为威胁。威胁途径（木马、蠕虫、病毒、漏洞）、威胁效果（对系统造成的影响）、威胁意图、威胁频率（5级-很高->=1次/周、4级-高->=1次/月、3级-中等->1次/半年、2级-低-概率较小，一般不太可能发生）

脆弱性识别：获得网络资产所存在的缺陷清单。（漏洞扫描、人工检查、问卷调查、安全访谈、渗透测试）。技术脆弱性评估（安全技术措施的合理性和有效性方面进行评估）和管理脆弱性评估（对组织结构、人员配备、安全意识、教育培训等方面进行评价）

已有安全措施确认：对已有安全措施有效性进行确认

网络安全风险分析：确认风险等级（对资产价值赋值、对威胁出现频率赋值、对脆弱性的严重程度赋值、判断安全事件发生的可能性、计算安全事件的损失、计算安全事件发生对组织的影响）

风险处置与管理：给出具体的风险控制建议，降低网络系统的安全风险。安全措施从管理和技术两方面考虑。

控制措施：

制定明确的安全策略，建立安全组织；实施网络资产分类；控制加强人员安全管理；

保证物理实体和环境安全；加强安全通信运行；采取访问控制机制；

进行安全系统开发与维护；保证业务持续运行；遵循法律法规、安全目标一致性检查。

网络安全风险评估技术方法与工具

资产信息收集：调查表形式，收集资产信息

网络拓扑发现：ping、traceroute以及网络管理综合平台

网络安全漏洞扫描：脆弱性扫描，评估脆弱性

人工检查：检查表，应有书面的记录材料

渗透测试、问卷调查、访谈、审计数据分析、入侵监测

网络安全风险评估项目流程和工作内容

前期准备、评估方法设计与论证、评估方案实施（实施人员至少两人，且必须领导签字批准）、评估报告撰写、评估结果评审与认可

ICT供应链主要面临恶意篡改、假冒伪劣、供应中断、信息泄露或违规操作和其他威胁五类安全威胁

工业控制系统平台脆弱性识别：平台脆弱性包括平台硬件、平台软件、平台配置和平台管理四个方面的脆弱性。

人工智能安全分析：人工智能训练数据安全风险、人工智能算法安全风险、人工智能代码实现安全风险、人工智能技术滥用风险、高度自治智能系统导致社会安全风险

第十七章 网络安全应急响应技术原理与应用

网络安全应急响应概述

包括监测、预警、分析、响应和恢复等工作。Cert(计算机安全应急组织）FIRST(国际性网络安全应急响应组织），中国国家互联网应急中心（CNCERT/CC)"积极预防、及时发现、快速响应、力保恢复“十六字方针，保障关键基础设施安全运行

网络安全组织建立与工作机制

网络安全应急响应组织建立：应急领导组（应急指挥、协调）和应急技术支撑组（解决技术问题、现场操作处置）

网络安全事件类型与分级：中央网信办发布《国家网络安全事件应急预案》，把事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件七个类别。

根据对国家、社会、经济及公众利益划分为四级：特别重大网络安全事件（特别严重的系统损失，特别严重影响）、重大网络安全事件（极大影响、严重威胁、严重影响）、较大网络安全事件（较大的系统损失、较严重影响）和一般网络安全事件（一定的影响）

网络安全预案内容与类型

I级：门户篡改、核心系统故障

II级：dos、黑客攻击、停电

网络安全应急处置场景

恶意程序事件:分析恶意程序，保护现场，必要时切断网络连接

网络攻击事件:部署安全设备，封禁攻击IP,打补丁、添加登录限制等

网站及web应用安全事件：

拒绝服事件

信息系统灾难恢复规范（GB/T 20988-2007)：

第一级：每周做一次完全数据备份，并且备份介质场外存放。

第二级-备用场地支持：在发送灾难后能在预定的时间内调配使用的数据处理设备和通信线路以及相应的网络设备。制定备用场地管理制度，签订紧急供货协议。

第三级-电子传输和部分设备支持。在紧急供货协议之外，配置设备和线路冗余

第四级-电子传输级完整设备支持：在第三级的基础上，配置灾难恢复所需要的全部数据处理设备及通信线路及网络设备，并处于就绪状态，备用场地7x24小时运作

第五级-实时数据传输及完整设备支持：要求实现远程数据复制技术，实现数据实时备份到备用场地。

第六级：数据零丢失和远程集群支持：实现数据零丢失，要求数据应用软件集群部署，实现实时无缝切换。

入侵取证：（提取攻击证据）

• 1. 取证现场保护，保护受害系统或设备的完整性，防止证据信息丢失。
  2. 识别证据，识别可获取的证据信息类型，应用适当的获取技术和工具。（日志系统）
  3. 传输证据，将获取到的信息安全地传输到取证设备。
  4. 保存证据，存储证据，并确保存储的数据与原始数据一致。
  5. 分析证据，将有关证据进行关联分析，构造证据链，重视攻击过程。
  6. 提交证据，想管理者、律师或者法院提交证据。

安装补丁、系统加固、阻断端口、安装免疫工具

acl:

华为：

rule deny tcp destination-port 445

第十八章 网络安全测评技术与标准

信息安全产品分级评估、信息安全产品认定评测、信息技术产品自主原创测评、源代码安全风险评估

等级测评（测评机构依据《网络安全法》等保2.0对非涉及国家秘密的系统进行检查评估，国家秘密使用分级保护，整改后进行复测确认）、验收测评（根据项目验收目标和验收范围，测评项目是否满足安全考核目标）、风险测评（评估系统面临的威胁及脆弱性）

安全渗透测试、安全功能测试、安全管理测评、代码安全审查、信息系统攻击测试（根据用户提出的各种攻击性测试要求进行测试）

基于测评对象保密性分类：涉密信息系统测评（由保密局负责，分级保护）、非涉密信息系统测评（公安网安负责，等级保护）

安全等级测评保护包括：技术安全测评、管理安全测评

技术层面要求：一个中心（安全管理中心）三重保护（安全物理环境、安全网络通信、安全区域边界、安全计算环境）

管理要求：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

黑盒测试、白盒测试、灰盒测试（手机银行和代码安全测试）

协议分析、性能测试（Apache JMeter)、

测评质量管理与标准：国际标准是ISO9001,中国合格评定国家认可委员会（CNAS)

第十九章 操作系统安全保护

操作系统安全概述

用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级

狭义：产品安全 广义：产业可控

操作系统安全目标：防范网络安全威胁，保障操作系统安全运行

安全需求：标识和鉴别、访问控制、系统资源安全、网络安全、抗攻击、自身安全

Windows 操作系统安全分析与防护

windows系统三层结构：

第一层：最底层的是硬件抽象层，为上面的一层提供硬件结构的接口

第二层：内核层，为底层提供执行、中断、异常处理和同步的支持

第三层：由实现基本系统服务的模块组成，如对象管理、内存管理、进程和线程管理、IO

UNIX/Linux系统三层结构：硬件层、系统内核层、应用层

认证机制：本地认证（SAM数据库、AD域账户)和网络认证（Kerberos、公钥证书和NTLM)

访问控制机制：实现了用户级自主访问控制

审计/日志机制：系统日志（SysEvent.evt)、应用程序日志（AppEvent.evt)、安全日志（SecEvent.evt)，通常存储在system32\config目录下

协议过滤和防火墙，WindowsNT4.0 、Windows2000提供包过滤机制，Windows XP开始自带防火墙

文件机密系统：文件中的数据利用EFS在磁盘加密，对称加密

抗攻击机制：集成了内存保护、地址随机化ASLR、数据执行保护DEP等抗攻击安全机制

安全增强（加固）：

安装最小化的操作系统，尽量使用英文版Windws操作系统，删除不必要的服务和组件，使用NTFS分区

安装最新系统补丁

配置安全策略：密码复杂度要求、账号锁定阈值

禁用NetBIOS：135~139,445端口

禁用默认账号，锁定Guest用户

文件系统安全配置：删除不必要的应用程序

net user 用户名 /active:no或者yes 禁用或启用用户

F键值 1F4=>500

UNIX/Linux操作系统安全分析与防护

UNIX/Linux系统三层结构：硬件层、系统内核层、应用层

多用户、多任务的操作系统

口令认证、终端认证、主机信任机制、第三方认证

最小化系统网络服务：inetd.conf 的文件权限设置为600、services的文件权限设置为644，属主都设置为root /etc/passwd 文件权限是644 ， /etc/shadow 文件权限是400

chattr +i /etc/inetd.conf 设置文件属主为root，其他用户都不能对该文件进行改变

/etc/hosts.allow 和 /etc/hosts.deny 设置允许和禁止远程主机访问：

hosts.allow: sshd:192.168.220.1 (允许单个IP访问） sshd 192.168.220.（允许IP段访问）in.telnetd:192.168.88.1

LSM安全模块：在内核源代码放置钩子的方法，对内核内部对象的访问进行控制。（身份验证模块框架PAM、SELinux)

SELinux可以实现基于角色的访问控制和强制访问控制

字符--ascii---hex

a>97>61 大小写相差32

国产操作系统安全分析与防护

如：中科方德、中标麒麟、北京凝思科技、普华、深度Linux、华为鸿蒙操作系统、阿里飞天云操作系统、统新UOS

安全威胁分析：

• 1. linux内核的安全风险：缓冲区溢出、、
  2. 自主研发系统组件的安全
  3. 依赖第三方系统组件的安全
  4. 系统安全配置的安全
  5. 硬件的安全

国产操作系统基于Linux进行安全开发：管理员分权、最小特权、结合角色的基于类型的访问控制、细粒度的自主访问控制、多级安全（即禁止上读下写）

第二十章 数据库系统安全

数据库安全机制与实现技术

数据库的机密性、完整性、可用性得到保障。住巨款管理安全、数据安全、数据库应用安全以及数据库运行安全

国外：MS SQL、MYSQL、Oracle、DB2

国内：人大金仓、达梦

数据库加密：网上传输过程中数据加密，数据存储加密（库内加密和库外加密）

加密常用技术方法有：基于文件的数据库加密技术、基于记录的数据库加密技术、基于字段的数据库加密技术

数据库防火墙：阻断非法违规操作，允许合法SQL操作，形成数据库外围防御圈。虚拟补丁：数据库系统不用升级，打补丁即可完成对数据库漏洞的防护。增强认证、攻击检测、防止漏洞利用、防止内部高危命令执行

数据库脱敏：利用数据脱敏技术将数据进行变换处理，在保持数据按需使用目标的同时，又能避免敏感数据外泄。脱敏方法有：屏蔽、变形、替换随机、加密

数据库漏洞扫描：分析数据库系统的不安全配置，检查有弱口令的数据库用户

主流数据库安全分析与防护

Oracle数据库：

认证支持数据库认证、操作系统认证、网络认证、多级认证、SSL认证，网络认证支持第三方认证、PKI认证、远程认证等

保险库：用于保护敏感数据

提供透明数据加密和数据屏蔽机制

MS SQL数据库：

身份认证支持Windows认证和混合认证两种方式，默认是Windows 认证

访问控制：基于角色的访问控制，固定服务器角色、固定数据库角色、应用角色

数据库加密：Transact-SQL函数、非对称秘钥、对称密钥、证书、数据加密机制（服务主秘钥、数据库主密钥、数据库密钥）

备份恢复机制：支持静态备份和动态备份。四种备份方案：文件和文件组备份（完全备份、差量备份、增量备份）简单恢复、完全恢复、批量日志记录恢复

MySQL数据库：

国产数据库：

国家自主研发研制的数据库系统，具有较强的可控性和安全性。我国制定了《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2019),规定了数据库系统的五个安全等级。

第二十一章 网络设备安全

网络设备安全概况

交换机安全威胁

1.MAC地址泛洪，伪造大量虚假mac地址，交换机MAC地址表被填满。

2.ARP欺骗，发送虚假的ARP包

3.口令威胁

4.漏洞利用

查看路由表：route print

netstat -r

路由器威胁：

1.漏洞利用

2.口令威胁

3.路由协议安全

4.Dos/DDos威胁

5.依赖性威胁

网络设备安全机制与实现技术

身份认证技术

user-interface ga/...

TACACS+、RADUIS认证

带外访问（out of band)既跑业务流量也跑管理流量和带外访问（in-band)专用管理接口

安全通信：SSH和VPN

安全增强：关闭非安全的网络服务及功能、信息过滤

网络设备安全增强技术方法

交换机：

1、配置ACL和访问口令

2、利用镜像技术监测网络流量

3、MAC地址控制技术，设置端口最大学习MAC地址数量

4、安全增强。关闭不必要的服务、端口、限制远程访问、限制控制台访问、安全审计、安全检查

路由器：

1、升级操作系统和打补丁

2、关闭不必要的服务

3、禁止不使用的端口

4、禁止IP直接广播和源路由

5、增强VTY安全，必须提供口令认证，并限制访问主机

6、阻断恶意数据包

7、路由器口令安全

8、传输安全

9、增强路由器SNMP安全

网络设备常见漏洞与解决办法

拒绝服务、CSRF、格式化字符串漏洞、XSS、旁路绕过、代码执行、溢出、内存破坏

解决：

打补丁、漏洞扫描修复、

第二十二章 网站安全需求分析与安全保护工程

网站安全威胁与需求分析

非授权访问、网页篡改、数据泄露、恶意代码、网站假冒、拒绝服务、网站后台管理安全威胁

Apache Web 安全分析与增强

httpd.conf 主配置文件 access.conf 负责基本的读取文件控制 mime.conf 设定Apache能辨别的MIME格式

IIS安全分析与增强

非授权访问、网络蠕虫、网页篡改、拒绝服务、IIS软件漏洞

IIS提供web服务、smtp（25）服务、ftp（20数据、21控制）服务

认证机制：匿名认证、基本认证、证书认证、数字签名认证、IIS证书认证、windows认证（NTML认证）

启用动态IP限制，减缓拒绝服务攻击和暴力破解攻击

启用URLScan，限制特定的URL请求

启用IIS web应用防火墙

启用SSL

第二十三章 云计算安全需求分析与安全保护工程

Saas软件即服务：地图服务、文档编辑处理、资源管理应用系统

PaaS平台即服务：云操作系统、数据库、开发平台

IaaS架构即服务：云主机、云存储、虚拟防火墙、云容灾备份

以服务形式提供IT资源、多租户共享IT资源、IT资源按需定制与按需付费、IT资源可伸缩性部署

云计算四种部署模式：私有云、社区云（如政务云）、公有云、混合云

“端-管-云”安全分析：

1.云端安全威胁。云终端即用户使用云计算服务的终端设备。

2.云“管”安全威胁。网络传输安全，网络监听、数据泄露、中间人攻击

3.云计算平台安全威胁。（物理安全、服务安全、资源滥用安全、运维及内部安全威胁、数据残留、过度依赖（难以迁移，上云容易下云难）、利用共享技术漏洞进行的攻击、滥用云服务、云服务中断、利用不安全接口的攻击、数据丢失、篡改或泄露）

云计算安全要求：多租户安全隔离、虚拟资源安全、云服务安全合规、数据可信托管、安全运维及业务连续性保障、隐秘保护，比传统计算平台的安全运维要求更高

云计算隐私保护需求：

1.数据采集，明确个人信息采集范围和用途，告知用户相关安全风险。

2.数据传输，对敏感数据传输进行加密

3.数据存储，采用加密、认证、备份、访问控制等技术保护敏感个人数据

4.数据使用，制定相应特权管理，限制个人数据使用范围

5.数据维护，制定敏感个人数据安全生命周期管理流程，敏感个人数据按规清楚

6.数据安全事件处置，制定针对个人信息安全事件的应急预案

安全等级保护要求，云计算基础设施位于中国境内，围绕"一个中心，三重防护“的原则，构建云计算安全等级保护框架。

一个中心是指安全管理中心，三重防护包括安全计算环境、安全区域边界和安全通信网络

云计算安全管理与运维：

安全管理要求：

安全策略和管理制度：安全策略、管理制度

安全管理机构和人员：岗位设置、人员分配、安全意识教育

安全管理对象：系统定级备案、安全方案设计、供应链管理、服务商选择、等级测评

安全运维要求：

云计算环境与资产运维管理：环境管理、资产、介质、数据管理

云计算系统安全漏洞检查与风险分析：安全漏扫

安全设备及策略维护

系统安全监管：安全测评、外包运维管理

云计算系统安全监测与应急响应：监控和审计管理、应急预案、备份与恢复管理

安全运维的安全措施：云计算安全风险评估、内部安全防护机制、网络安全监测机制、应急响应机制、容灾备份机制（“两地三中心”，同城、异地；生产中心、同城容灾中心、异地容灾中心）

第二十四章 工控安全需求分析与安全保护工程

工控系统（ICS)是由各种控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。常分为离散制造类和过程控制类。

控制系统包括SCADA系统（数据采集与监视控制系统）、分布式控制系统（DCS，包括现场控制级、系统控制级和管理级三个层次)、过程控制系统（PCS，实时采集被控设备状态参数进行调节，如温度、压力、浓度等)、可编程逻辑控制器（PLC，执行各类运算、顺序控制、定时等指令，控制工业生产装备的动作，是工业控制系统的基础单元)、主终端设备（MTU，部署在调度控制中心，用于生产过程的信息收集和监测，与RTU保持通信）、远程终端（RTU，与MTU一样）、人机界面（HMI，为操作者和控制器之间提供操作和数据通信的软硬件平台））、数控机床及数控系统、工控通信网络（专用网络协议，形成封闭网络，常见的工控系统协议有OPC、Modbus、DNP3、工业以太网等）

工控系统的安全威胁：

• 1. 自热灾害及环境
  2. 内部安全威胁，如命令输入错误，操作不当导致设备安全失效
  3. 设备功能安全故障，如质量不合格，磁盘故障等
  4. 恶意代码,如针对PLC的网络蠕虫，PLC Worm
  5. 网络攻击

安全隐患类型：

• 1. 工控协议安全，设计缺乏安全设计，无安全认证、加密、审计，明文数据传输等问题（CANBUS、MODBUS、profibus)
  2. 工控系统技术产品安全漏洞，PLC、SCADA、HMI
  3. 工控系统基础软件安全漏洞，操作系统、数据库
  4. 工控系统算法安全漏洞
  5. 工控系统设备固件漏洞，如BIOS
  6. 工控系统设备硬件漏洞,如CPU
  7. 工控系统开放接入漏洞
  8. 工控系统供应链安全

安全需求分析：

除了传统的IT安全外，还涉及控制设备及操作安全。工控系统网络信息安全侧重于“可用性->完整性->保密性”需求顺序，传统IT系统侧重“保密性->完整性->可用性”需求顺序

等保2.0新增：云大物移工

工控系统等级保护是根据工控业务的重要性和生产安全，划分安全区域、确定安全防护等级

《工业控制系统信息安全防护指南》要求：

对重要工程师站、数据库、服务器核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施

拆除或封闭工业主机上不必要的USB、光驱、无线等接口，若需使用，通过主机外设安全管理技术手段实施严格访问控制

工控系统划分开发、测试和生产独立环境，隔离，在边界部署工业防火墙、工业网闸、单向隔离设备及企业定制的便捷安全防护网关等安全防护设备

工业企业安全权限管理应遵循最小权限原则，系统和平台访问采用多因素认证

原则上工控系统禁止接入互联网，开放HTTP、FTP、Tlenet等高风险服务。确需远程访问的，采用数据单向访问控制等策略进行安全加固，需远程维护的，采用VPN，保留安全日志，进行审计

在工业主机上安装的防病毒软件必须经过离线环境充分验证测试，或应用程序白名单，只允许经过工业企业自身授权和安全评估的软件运行。定期更新病毒库，查杀病毒，关注工控安全漏洞及补丁，及时升级补丁，对补丁进行严格安全评估和测试验证

工业生产数据是工业企业的核心资源（研发数据、生产数据、运维数据、管理数据、外部数据）。对数据进行分类分级管理，定期备份关键业务数据，对测试数据进行保护，对测试数据进行保护。

工业生产数据的安全目标是保障数据全生命周期的可用性、完整性、机密性和时效性，防止数据操作未授权泄露、篡改、移动、销毁，特别是防止实时数据延缓滞后

建立资产清单，明确资产责任人，对关键设备主机进行冗余配置，配置和补丁管理，选择合适的安全软件

工控产品：工控防火墙、工控加密、工控漏洞扫描、工控堡垒机、工控风险管理系统

电力监控系统：安全策略是“安全分区、网络专用、横向隔离、纵向认证”

生产控制区和管理信息区

网络专用，电力系统的调度控制网络采用专用网络，满足电力控制的实时性及高可信要求

第二十五章 移动应用安全需求分析与安全保护工程

移动应用安全威胁与需求分析

APP

移动安全威胁：移动操作系统平台安全威胁（鸿蒙、IOS)、无线网络攻击(假冒基站、WIFI钓鱼）、恶意代码（恶意扣费、远程控制）、移动应用代码逆向工程（反编译获取源代码，窃取敏感数据）、移动应用程序非法篡改

Android系统安全与保护机制

Android系统分为Linux内核层（各种驱动）、系统运行库层（虚拟机、组件库）、应用程序框架层（Activity管理器，各种管理器、内容提供器）和应用程序层（浏览器、电话）

各层采取的安全措施：

应用程序层：权限声明机制。将权限和对象进行绑定，制定了不同级别不同认证方式的制度:normal权限(不会给用户带来实质性伤害）、dangerous权限（可能带来潜在威胁，如读取位置、电话簿等信息提示用户）、signature权限（只有该权限者具有相同签名的应用才可以申请该权限）、signatureSystem权限（主要由设备商使用)

应用程序框架层：应用程序签名机制。规定对APK文件进行数字签名

系统运行库层：安全沙箱、SSL。

内核层：文件系统安全、地址空间布局随机化、SELinux

补充：

Android 四大组件

• Activity ：用户和应用程序交互的窗口，相当于 Web 应用中的网页，用于显示页面信息与用户交互。一个 Android 应用程序由一个或多个 Activity 组成。
• Service ： Service 和 Activity 类似，但没有视图。它是没有用户界面的程序，可以后台运行，相当于操作系统中的服务，处理长时间运行的操作。
• BroadcastReceiver：是对发送出来的Broadcast进行过滤接受并响应的一类组件。可以使用BroadcastReceiver来让应用对一个外部的事件做出响应。Android 系统中，系统变化比如开机完成、网络状态变化、电量改变等都会产生广播。 BroadcastReceiver 本质上是一种全局的监听器，用于监听系统全局的广播消息，处理异步事件。
• ContentProvider： 用于对外共享数据。应用数据通过 Content Providers 共享给其他应用；其他应用通过 Content Provider 对指定应用中的数据进行操作。如果权限控制不当，容易造成敏感信息泄露以及SQL注入。

Android APK文件结构

• Assets目录 : 存放需要打包到APK的静态文件
• Lib目录 : 程序依赖的native库
• Res目录 : 存放应用程序的资源文件
• META-INF目录 : 存放应用程序签名和证书的目录
• AndroidManifest.xml : Android应用程序的配置文件
• Classes.dex : Dex可执行文件
• Resources.arsc : 记录资源文件和资源ID之间的映射关系

IOS系统安全与保护机制

四层架构：核心操作系统层、核心服务层、媒体层和可触摸层

IOS安全架构可分为硬件、固件、软件

安全机制如下：

1.安全启动链，启动过程中使用组件要求完整性验证，确保信任传递可控

2.数据保护，提供了数据保护API

3.数据的加密与保护机制。AES加密

4.地址空间布局随机化

5.代码签名，应用程序必须使用苹果公司发放的证书签名

6.沙箱机制

移动应用安全保护机制与技术方案

1.防反编译，加密措施，使用代码混淆（名字混淆、控制混淆、计算混淆）

2.防调试，设置程序调试检测功能，监测到直接退出运行

3.防篡改，验证完整性，HMAC值

4.防窃取，对本地数据文件、网络通信进行加密，防止数据被篡改

第二十六章 大数据安全需求分析与安全保护工程

大数据具有4V特性海量的数据规模（Volume)、快速的数据流转(Velocity)、多样的数据类型(Variety)和价值密度低(Value)等特性

采集、存储、使用、传输、共享、发布、销毁全生命周期，包括数据的真实性、实时性、机密性、完整性、可用性、可追溯性

安全机制：数据分类分级、数据源认证、数据溯源、数据用户标识和鉴别、数据资源访问控制、数据隐私保护、数据备份与恢复、数据安全审计与监测、数据安全管理等

大数据业务安全保护，业务授权主要基于角色的访问控制技术