案例分析｜软考

基础

1. 安全三要素

• 机密性：维护对信息访问和公开授权的限制，包含个人隐私和私有隐患。
• 完整性：防止信息被不适当的修改和毁坏，保证信息的不可抵赖性和真实性。
• 可用性：保证信息的及时可靠的访问和使用。

2. 对影响等级不适用是针对机密性。
3. 公开信息，即不需要保密。所以机密性（NA）、完整性和可用性（M）

认证

1. 认证和加密

• 加密（保密性），防止被动攻击，如窃听、截取等
• 认证（完整性），防止主动攻击，如冒充、篡改、重播等

2. Nb是一个随机值，能抗重放攻击；应具有伪随机性。
3. 哈希具有单向性，能保护随机数。
4. 攻击者可以截获h（Nb）冒充A给B发送h（Nb），即中间人攻击。解决办法：A将标识和Nb进行哈希，发送给B，B再进行验证，即加入身份验证。

攻击

1. 输入长度为24字符的字符串，前12个字符和后12个字符相同【缓冲区溢出攻击】
2. gets函数必须保证输入长度不超过缓冲区，一旦输入超过12个字符就会造成缓冲区溢出。解决：使用安全函数代替gets函数，或对用户输入进行检查和校对。

1. 恶意软件

恶意代码类型有：木马（Trojan）、蠕虫（Worm）、病毒（）、后门（Backdoor）、Rootkit、僵尸程序、和广告软件。

对于该题，恶意软件属于蠕虫类型。

2. windows系统
3. 恶意代码共有特征

恶意目的、本身是计算机程序、通过执行发生作用

1. 最大取值不知道，必须一致。
2. ”心脏出血“漏洞，会造成有用数据泄漏。
3. 模糊测试属于黑盒测试，不存在误报。
4. 模糊测试可以测试出”心脏出血“漏洞，通过特定的socket形式将变异或生成的含有错误信息的数据包发送给目标程序，根据协议的格式、定义、准备大量的测试数据，从客户端发送给服务器端，从而试图找到一些安全漏洞，不需要程序的源代码即可发现问题。

密码

1. 密码学三要素

• 保密性：确保信息被合法用户访问，而不泄漏给非授权用户、实体或进程，即防止信息泄漏给非授权者，信息只为授权者使用。

• 完整性：所有资源只能由授权者修改，即未授权者不能修改（删除、伪造、乱序、重放、插入等操作）。

• 可用性：所有资源在适当的时候由授权者访问，即信息可被授权者访问并按需求使用。

2. 保密性；完整性；可用性

3. 密钥管理

密钥的产生、存储、分发、使用、更新、撤销、备份、恢复、销毁、审计。

4. 分组密码分组模式

• ECB（电子密码本）

特点：直来直去

优点：简单；快速；支持并行计算（加解密）

缺点：明文重复规律会显示在密文中；删除、替换密文分组可以对明文操作；不能抵抗重放攻击；对有比特错误的密文解密时对应分组的会出错。

• CBC（密文分组链接）

特点：串起来，先异或后加密

优点：支持并行计算（解密）、明文排列规律不会显示在密文中；

缺点：加密不支持并行计算；对有比特错误的密文解密时第一个和最后一个分组会出错。

• PCBC（明密文分组链接）

缺点：先异或后加密，明文与密文再异或后串起来。

缺点：错误传播性，即当明文或密文发生一位错误时，以后所有密文都会出错，不利于对磁盘文件加密；要求数据长度是密码分组长度的整数倍，否则最后一个数据块是短块，这时需要特殊处理。

• CFB（密文反馈）

特点：串起来，先加密后异或

优点：无需填充；支持并行计算（解密）

缺点：加密不支持并行计算；对有比特错误的密文解密时第一个和最后一个分组会出错；不能抵抗重放攻击

• OFB（输出反馈）

特点：初始向量串起密，后异或

优点：无需填充；可提前准备加密和解密；对有比特错误的密文解密时对应分组会出错。

缺点：不支持并行计算；反转密文时，对应的明文也会被反转。

• CTR（计数器）

特点：计数器每次都变，先加密后异或

优点：无需填充；加解密结构相同；支持并行计算（加解密）

缺点：反转密文时，对应的明文也会被反转。

1. 信息的重要安全目标：保密性、完整性、可用性、不可否认性等。

问题1中，使用了hash，保证数据的完整性，使用了加密，保证哈希值的保密性。不可以互换，若先加密，在hash，加密后的密文每次都不一样，这样hash就失去了意义。

问题2中，对原始数据和哈希值都加密，实现数据的保密性。

问题3中，应该是\(E_K(E_{SK_A}H(M) || M)\)和\(PK_A\)

1. 10，6，1，11
2. 逆IP置换表是IP置换表的逆
3. DES的不足

• 密钥太短
• 弱密钥：全0或全1组成的密钥是弱密钥。

1. 中间人攻击

2. 安全性提高，实现加密和认证。

操作系统

Linux

1. 用户名和密码分别存放在：/etc/passwd 和/etc/shadow，默认访问权限分别是：rw- r-- r--和r-- --- ---

2. vim /etc/passwd查询系统用户信息：root : x : 0 : 0 : root : root : /bin/bash

第一个：用户名

第二个：口令，也就是密码，加密后存放在/etc/shadow

第三个：用户ID，0标识系统管理员，1-499保留账号，>500为普通账号

第四个：用户组ID

第五个： 注释

第六个：主目录，即用户目录

第七个：登陆shell，通常是/bin/bash

3. ls -l后的文件类型：文件属性（文件类型 ｜所有者权限｜所属组权限 ｜ 其他用户权限） 文件数 拥有者 所属组 文件大小 创建日期 文件名

windows

1. 内存结构

后进先出

缓冲区漏洞，使用安全函数strncoy（）来代替stropy（）

访问控制

1. 访问控制基本要素

主体、客体和授权访问

2. 访问控制实现方式有三种：能力表、访问控制表（ACL）和访问控制矩阵，ACL和能力表就是访问控制矩阵的特殊形式。

• 访问控制矩阵

第一列是主体，其他列是客体，表格内容为主体对客体的执行动作或功能，例如：允许/不允许、读/写/执行/修改等

• 访问控制表

就是只有一列的访问控制矩阵，即针对一个客体的权限，就如：

• 能力表

就是只有一行的访问控制矩阵，即针对一个主体对所有客体的权限，比如：

所以放在该题中的访问控制矩阵为：

主体	traceroute.mpg
Administrator	读取、执行

访问控制表为：（客体）traceroute.mpg （主体）Administrator 读取、执行

能力表：（主体）Administrator （客体）traceroute.mpg 读取、执行

1. 账户策略
2. test123！和123@test

防火墙

1. 防火墙体系结构分类：

• 双重宿主主机

以一台双重宿主主机作为防火墙的主机，分离内外网。

• 被屏蔽主机

一台独立的路由器和内网堡垒主机构成的防火墙，通过包过滤的方式实现内外网隔离和内网保护。

• 被屏蔽子网

由DMZ网络、外部路由器、内部路由器及堡垒主机构成的防火墙，外部路由器保护DMZ网络和内网，内部路由器隔离DMZ网络和内网。

对于该问题中的防火墙，有DMZ网络、外部路由器、内部路由器和堡垒主机构成，应属于被隔离子网。

其中内部包过滤器（内部路由器）隔离内网和DMZ网络，是屏蔽子网的第二道屏障；外部包过滤器（外部路由器）保护内网和DMZ网络，是屏蔽子网的第一道屏障，在其上设置了对DMZ网络和内网进行访问的过滤规则，该规则主要针对外网用户。

如何区分TCP和UDP？

防御

1. 入侵检测系统（IDS）和入侵防护系统（IPS）是两种重要的网络安全防御手段。IDS注重网络状态的监管，IPS注重对入侵行为的控制。IDS属于被动防护，IPS属于主动防护。
2. 入侵检测是动态安全模型（P2DR）的重要组成部分，即Policy（安全策略）、Protection（防护）、Detection（检测）、Response（响应）。
3. 拒绝服务攻击，具体为SYN洪泛攻击。
4. 入侵检测系统常用的检测技术：异常检测（基于行为检测，误检率高，即准确度低）和误用检测（根据攻击特征、系统漏洞进行分析形成的攻击库模型，准确度高）。
5. snort是一款开源的网络入侵系统，能执行实时流量分析和IP协议网络的数据包记录。其配置有三种模式：嗅探（sniffer）、包记录（packetLogger）、网络入侵检测。

1. 192.168.220.1
2. TCP协议
3. 同步信号，是TCP/IP建立连接的握手信号。
4. 若端口开放，目标主机会响应扫描主机的SYN/ACK请求；若端口关闭，则目标主机向扫描主机发送RST响应。
5. 没有完成。