信安概论复习题总结
一，信息安全概述
1，P2DR2安全模型：
Policy,protection,detection,response,restore
2，信息安全体系结构：
（1）物理层
（2）网络层
（3）系统层
（4）应用层
（5）管理层
3，信息安全的目标：保密性、完整性、可用性（CIA）
4，信息安全发展过程
（1）通信安全COMSEC
（2）信息安全INFOSEC,代表性有美国TCSEC，欧洲的ITSEC
（3）信息保障information assurance
第二章网络安全基础
5，OSI的七层
6，TCPIP四层：
（1）主机到网络层
（2）网络互联层：是整个TCP、IP协议栈的核心
（3）传输层；TCP、UDP
（4）应用层
7，FTP服务：file transfer protocol
在TCPIP协议中，FTP标准命令TCP端口号为21，port方式端口为20
8，Telnet服务：是TCPIP网络的登录和仿真程序，允许用户登录进入远程主机系统
9，Ipconfig命令：用于显示当前的TCPIP配置的设置值
10，Arp：地址转换协议的意思，用于确定对应IP地址的网卡物理地址。用ARP命令，可以查看本地计算机或另一台计算机的ARP告诉缓存中的当前内容
11，Web主要功能是提供网上信息浏览服务。在WWW上，每一信息资源都有统一的且在网上唯一的地址，该地址就叫URL（Uniform Resource Locator,统一资源定位器），它是WWW的统一资源定位标志，就是指网络地址。
12，tracert命令：用于显示将数据包从计算机传递到目标位置的一组IP路由器，以及每个跃点所需的时间。
第三章网络扫描（漏洞）和网络监听（黑客渗透的常用方法）
1，攻击：破坏CIA
Stalling分为四类：阻断、截取、篡改、伪造
2，网络踩点：信息收集
（1）利用搜索引擎 http：hyper text transfer protocol
（2）利用whois数据库
（3）利用DNS服务器
3，网络踩点在黑客攻击活动中起什么作用？
信息收集，攻击者将收集俩的信息进行整理、综合和分析后，就能初步了解一个机构网络的安全态势和存在的问题，并据此拟定出一个攻击方案。
4，简述计算机脆弱性的概念和产生原因？
（1）安全漏洞，单个计算机或者整个计算机系统。恶意主题能够利用这组特性，通过一些方法，对计算机造成伤害。
（2）软件或协议的漏洞、弱点、设计时的瑕疵缺陷、系统和网络的配置错误。
5，简述网络安全扫描的内容及大致步骤？
（1）攻击者和网络管理员都用
（2）扫描就是通过向目标主机发送数据报文，然后根据响应获得目标主机的情报。
找到网络上存活的系统
得到目标主机的操作系统信息和开放的服务
通过向目标主机发送数据报文，然后根据响应获得目标主机的情报。
（3）分类
地址扫描：Ping扫描，ICMP查询（internet控制报文协议），TCP扫射，UDP扫射
端口扫描：端口和进程一一对应，0-65535
标准端口范围：0-1023，比如21分配给FTP，25端口分给STMP，80分给HTTP
漏洞扫描
6，端口扫描的目的是什么？简述TCL SYN扫描（半连接扫描）的原理
只完成两次握手协议，在第三步时，扫描主机中断了本次连接
7，漏洞扫描的原理是什么？
发现系统中存在的不安全的地方。
（1）与漏洞库匹配（2）模拟攻击
8，网络监听的原理是什么？如何防止被监听？
（1）一个局域网，采用共享hub时，某台计算机设成了混杂模式，就是一台嗅探器。
（2）交换网络：arp欺骗+sniffer就OK
（3）Hub和网卡（交换机）的工作原理：
共享hub先接收数据，然后再把它接收到的数据转发给hub上的其他每一个接口。
交换机（数据链路层）：其内部程序能够记住每个接口的MAC地址
网卡（网卡工作在物理层和数据链路层的MAC子层）：收到传输来的数据时，网卡内的程序先接收数据头的目的MAc地址，根据计算机上网卡的模式确定该不该接收，通知CPU产生中断
9，IIS：internet infomation sever 是目前最流行的web服务器产品之一。
第四章黑客攻击技术
1，攻击的一般流程
踩点、扫描、入侵、获取权限、提升权限、清楚日志
2，攻击的方法与技术
（1）密码破解攻击：字典攻击、混合攻击、暴力攻击、破解工具
（2）缓冲区溢出攻击：往程序的缓冲区写超过缓冲区长度的内容，覆盖，错误
（3）欺骗攻击：源IP欺骗攻击、源路由欺骗攻击
（4）DoS、DDoS该攻击：
DOS：宽带攻击、连通性攻击
以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。
大量的连接请求冲击计算机。
DDos攻击：很多个

（5）SQL注入攻击
B/S Browser/Server，浏览器/服务器模式），是WEB兴起后的一种网络结构模式
有些网页并不对输入数据的合法性进行判断，存在安全隐患。
SQL注入：用户提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据。
SQL注入攻击：攻击者把SQL命令插入到Web表单的输入域或页面请求的插叙字符创，欺骗服务器执行恶意的SQL命令

（6）网络蠕虫：不寄生、主动攻击、网络计算机。
通过系统漏洞、聊天软件、电子邮件传播。
（7）社会工程学攻击
第五章网络后门与网络隐身
1，什么是木马？如何防范木马攻击？
（1）木马一般有两个程序，一个是客户端，一个是服务器端。受害者一段运行服务器端。
（2）木马的传播方式一般有两种：E-mail，软件下载
远程访问型木马现在最广泛的是特洛伊木马，eg.BO（back office），冰河
（3）常见的类型与欺骗方法
FTP型木马、密码发送型木马、键盘记录型木马、毁坏型木马
捆绑欺骗、危险下载点、文件夹惯性点击、zip伪装、网页木马法
（4）防范：
用好的杀毒软件、防火墙、浏览器、电子邮件、防止未知程序向外传送数据
2，什么是后门，后门与木马的异同点在哪里？
（1）后门：是那些越过安全性控制而获取对程序或系统访问权的程序方法
传统意义上的后门程序往往只是能够让黑客活得一个shell，通过这个shell进行一些远程操作。
（2）联系：都是隐藏在用户系统中向外发送信息，并且本身具有一定权限，以便远程计算机本基本的控制
区别：木马是一个非常完整的工具集合，而后门体积较小且功能单一，所以木马能够提供的功能远远超过后门程序。
第六章计算机病毒与恶意软件
1，什么是计算机病毒，它怎么产生的？
（1）一组恶意指令或者一段恶意的程序代码
（2）程序设计-传播-潜伏-触发-运行-实行攻击
2，计算机病毒的特征有哪些？
传染性、隐蔽性、破坏性、潜伏性
3，什么是恶意软件？
流氓软件、破坏系统正常运行的软件。介于病毒软件和正常软件之间。
4，恶意软件有哪些类型？
广告软件、间谍软件、浏览器劫持软件、行为记录软件、恶意共享软件、搜索引擎劫持、网络钓鱼。ArtiveX控件
5，ARP欺骗的原理是什么？
在一个网络的范围内冒充别人，在发送方大声询问的时候
第七章物理环境与设备安全
1，物理层安全威胁
物理层负责传输比特流，它从第二层数据链路层接受数据帧，并将数据帧的结构和内容串行发送，即每次发送一个比特
2，物理层安全防护
防火防潮。。
3，物理层安全设备
（1）物理安全隔离卡
把一台普通的计算机分成两或三台虚拟计算机，可以连接内部网或外部网，实现安全环境和不安全环境的绝对隔离。把计算机硬盘物理分割成两个区：公共区（外网），安全区（内网），阻塞信息泄露通道
（2）双硬盘物理隔离器：和隔离卡相似，隔离卡是网卡，这里是磁盘
（3）物理隔离网（电子在政务信息系统的标配）：摆渡
在内网和外网之间实行防火墙的逻辑隔离，内网和专网实行物理隔离。
4，物理层安全管理
第八章防火墙技术
1，什么是网络防火墙？
严格来说不是防火墙，是网络地址转换network address translation
受保护的网内用户访问internet时，必须使用合法的IP地址。但是，合法的internetIP地址有限，而且受保护网络往往有自己的一套IP地址分配方案（非正式的IP地址）。NAT在防火墙上设置有一个合法IP地址及，并能够将内部网络的多个IP地址转换到一个公共地址发送到internet上。
2，什么是数据包过滤防火墙，其工作原理是什么？
（1）网络层，不能再应用层级别上进行过滤
（2）包过滤技术：根据数据包中包头信息有选择地实施允许通过或阻断。
（3）包过滤防火墙：按照防火墙内事先设定的过滤规则，对每一个通过的网络包头部进行检查，包括源地址、目的地址、端口号、协议。核心是安全策略及过滤规则的设计。
3，包过滤防火墙与代理服务器防火墙的异同？
4，什么是防火墙？
防火墙是硬件或软件。
防火墙通过对数据包的筛选和屏蔽，可以防止非法的访问进入内部或外部计算机网络。
定义为：位于可信网络与不可信网络之间并对二者之间流动的数据报进行检查的一台或多天计算机或路由器。
安全规则：匹配条件、处理方式（接受、解决、丢弃）
5，请谈谈防火墙的优缺点？
（1）优点
·把内部网络结构隐藏起来
·完成整个网络安全策略的实施
·限制对某种特殊对象的访问
·警告
·审计
（2）缺点
防止不了 经过防火墙的攻击、授权的攻击、没有配置的访问、通过社交工程手段的攻击、针对一个设计上有问题的攻击
6，请比较数据包过滤防火墙和应用级网关的异同
应用级网关（应用层）：接受内部和外部网络的通信数据包，并根据自己的安全策略记性过滤，不符合安全协议的信息被拒绝或丢弃。
与包过滤防火墙不同的是，它不使用通用目标机制来允许各种不同种类的通信，而是针对每个应用使用专用的目的的处理方法。是对内容级的过滤，但是麻烦维护困难。
7，代理服务器防火墙（应用层）的工作原理是什么？
外部主机和内部主机通信必须通过代理服务器，必须为其设计一个代理软件模块进行安全控制。
8，试比较防火墙的三种体系结构的优缺点？
（1）DMZ：demilitarized zone；非军事区，位于外网和内网之间。
（2）堡垒主机：位于内部网络的最外层。
（3）分类：
双宿主主机体系结构：两个网络接口
被屏蔽主机体系结构：路由器
被屏蔽子网体系结构：添加周边网络隔离内外网
第九章入侵检测技术（intrusion detection system）
1，一个IDS一般由哪几部分构成？
入侵检测系统一般包括是哪个功能部件
（1）信息收集
·系统、网络、数据及用户的状态和行为
·在若干不同关键点收集信息
·入侵检测的效果很大程度上依赖收集信息的可靠性和正确性
·收集来源：日志文件、异常变化、异常行为、网络流量
（2）分析引擎
·模式匹配（与已知模式数据库比较）、统计分析（建立一个统计描述）、完整性分析（关注某个文件或对象是否被更改）
（3）响应部件
简单报警、切断连接、封锁用户、改变文件属性、回击攻击者
2，防火墙和IDS的异同？
同：
异：
防火墙：有后门、不能阻止内部攻击、没有入侵检测能力、不能主动跟踪入侵者、不能对病毒进行有效防护
IDS：是P2DR2的重要组成部分，检测网络外部和内部的入侵行为。
几乎不具有访问控制能力（防火墙有）
主动的，动态的
3，一个局域网安装了防火墙后，为什么还需要安装入侵检测系统
入侵检测是积极主动的安全技术，系统漏洞越来越多，传统的操作系统加固技术和防火墙隔离技术越来越不能满足系统对安全性的要求。
4，入侵检测系统可以从哪些角度进行分类？
（1）按照数据来源：基于主机的HIDS，基于网络的NIDS，基于路由器的RIDS
（2）按照分析的方式：异常检测系统（假设所有的入侵行为都不正常），误用检测系统（假设所有入侵检测系统都能用一种模式表示，有一个攻击模式库），混合检测系统
5，目前主要有哪些入侵检测方法？这些方法有哪些优缺点？
（1）异常检测技术：基于行为：定量的统计分析的方法
（2）误用检测技术：基于知识：有一个攻击模式库
6，入侵检测分类：外部闯入、内部用户越权使用和滥用
7，Denning一种经典的入侵检测模型：
主体、对象、轮廓特征、活动规则、异常记录、审计记录
8，入侵检测系统的作用：
监视、检查、审计、响应、评估、分析
9，IDS-IPS（intrusion protection）入侵防御系统-IMS入侵管理系统
第十章 VPN技术：解决的如何在异地安全地访问本地网络
1，VPN的概念
（1）virtual：虽然不是物理上真正的专用网络，却能够实现物理专用网络的功能
（2）Private：并不是公共网络上的任何用户都能够使用已经建立的VPN通道，需要经过授权才能使用
（3）Network：专用，要想用必须买专用的设备
2，网络连接：客户机、传输介质、服务器。VPN使用隧道作为传输通道。
3，VPN的分类
（1）access VPN：传统远程访问
（2）Intranet VPN：企业内部网
（3）Extranet VPN：扩展的，企业和合作伙伴
4，VPN安全技术：
（1）隧道技术：数据封装、传输、解包
第二层隧道协议有：L2F,PPTP,L2TP
第三层隧道协议有：VTP，IPSec，GRE
IPSec（Internet protocol security）工作在OSI的第三层-网络层
（2）加密技术
（3）认证技术：PPP认证协议（point to point protocol）
5，MPLS VPN（multiprotocol lable switch）多协议标签交换：一种更好的技术
6，SSP协议（State Synchronization Protocol），网络层之上，应用层之下
十一章，windows操作系统安全
如何配置一个安全的操作系统
1，账户、密码
2，关服务、端口、默认共享
3，策略：账户密码审核
4，禁止TTL（time to live）判断主机类型
5，下载最新的补丁
十四章：PKI原理与应用（public key infrastructure）
一，什么是PKI，作用是什么，由哪些部分构成？
1，概述：是提供公钥加密和数字签名服务的系统，目的是为了自动管理密钥和证书，保证网上数字信息传输的机密性、真实性、完整性和不可否认性。
2，作用：
（1）对身份合法性进行验证
（2）实现数据的保密性和完整性
（3）实现数据传输安全性
（4）实现数字签名和不可否认性
3，组成
（1）密钥管理中心
（2）CA认证机构
（3）RA注册审核机构
（4）发布系统
（5）应用接口系统
4，PKI的标准 X.209,X.500,X.509,OCSP(在线证书状态协议online cerificate status protocol)
二，什么是CA，它的作用是什么？
1，概述
采用PKI公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，是具有权威性和公正性的第三方信任机构。
CA认证机构是PKI安全体系的核心。
2，作用：多层的分级机构，上级认证中心负责签发和管理下级认证中心证书，最下一级的认证中心直接面向最终用户。
3，主要功能包括证书的颁发、查询、更新、作废、归档
三，什么是数字证书，作用？
1，概念：
网络通信中标志各方身份信息的一系列数据，类似于身份证。
2，作用：
（1）访问需要客户验证的安全站点
（2）用对方的数字证书向对方发送加密的信息（公钥加密）
（3）给对方发送带自己签名的信息（私钥签名）
四，PKI的典型应用？
SSL（安全套接字协议）利用PKI技术来进行身份认证。在SSL协议上面可以运行所有基于TCPIP的网络应用
1，电子商务
2，电子政务
3，网上银行
4，网上证券
第十六章信息安全管理与法律法规
1，保障信息安全的三个支柱：技术，管理，法律法规
2，信息安全管理模式：PDCA（plan，do ,check,act）(BS-7799)
3，信息安全管理体系建设：
（1）木桶原理
（2）HTP模型：human and management,technology and products,process and framework
（3）人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。
组织实现信息安全采用“适度防范”（rightsizing）的原则，就是在风险评估的前提下，引入恰当的控制措施。
5，信息安全管理标准、体系
BS 7799=BS7799-1 + BS7799-2
BS7799-2才是认证的依据，BS7799-1为BS7799-2的具体实施提供了指南
（1）BS7799-1(ISO/IEC17799:2000)：
信息安全是指信息保密性，完整性，可用性的保持
127个安全控制措施，10个方面
（2）BS7700-2(ISO 27001:2005)：提出了应该如何建立信息安全管理体系的步骤
·定义信息安全策略
定义ISMS的范围
进行信息安全风险评估
风险管理
确定管制目标和管制范围
准备信息安全适用性声明
第十七章信息系统等级保护和风险管理
一，什么是等级保护和风险管理？
1，等级保护：国家制定标准，对信息系统分等级实行安全保护，对等级保护工作的实施进行监督管理。
（1）自主保护
（2）指导保护
（3）监督保护
（4）强制保护
（5）专控保护
2，风险管理是安全管理的重要部分。分为风险评估、风险控制、做出决策。
（1）风险评估的要素：（过程）
威胁识别、脆弱性识别、资产识别
威胁出现的频率、脆弱性程度、资产价值
安全事件的可能性、安全事件的损失
风险值
3，等级保护是基本制度，风险评估是过程、风险管理是目标。风险评估是风险管理的前提。
第十八章信息系统应急响应
1，应急响应的六个阶段：
（1）准备
（2）检测
（3）抑制
（4）根除
（5）恢复
（6）报告和总结