信息安全学习笔记（计算机三级）

前言

本文章根据B站视频http://【【橘子信安】2023年软考信息安全工程师必考知识点（每日1背）】 https://www.bilibili.com/video/BV1VS4y127Hc/?share_source=copy_web&vd_source=cfaee2d6b4ce1389cc9a101338395e4d进行学习而产生的笔记，虽然是软考必背，但其实我考的是计算机三级信息安全技术。考过了准备把笔记发出来，下面有些知识点是“未来教育”题库里面记下的。

如有不对，欢迎各位大佬指正。

第一章 网络信息安全概念

1、网络信息安全的属性

• 机密性：网络信息不泄露给非授权的用户
• 完整性：未经授权不能改的特性
• 可用性：可以及时获取网络信息和服务的特性
• 可控性：责任主体对网络信息系统具有管理、支配的能力（可管理、可支配）
• 抗抵赖性：防止用户否认其活动行为的特性

信息安全的（目标/三要素）CIA：机密性、可用性、完整性

2、网络信息安全的基本功能：防御、监测、应急、恢复

• 防御：采取各种措施，使网络系统具备阻止、抵御各种网络安全威胁的功能。
• 监测：采取各种措施检测发现各种已知或者未知的网络安全威胁的功能。
• 应急：针对网络中的突发事件，具有及时响应和处置网络攻击的能力。
• 恢复：对已经发现的网络灾害事件，具备恢复网络系统运行的功能。

3、国家密码分类：绝密、机密、秘密

密码分为：普通密码、核心密码、商用密码

• 核心密码：用于保护国家绝密、机密、秘密级别信息
• 普通密码：用于保护国家机密、秘密级别信息
• 商用密码：人人可用的密码

4、网络信息安全的基本技术：

• 物理环境安全：包括环境、设备存储介质等
• 网络认证：鉴别网络资源的访问者身份
• 访问控制：限制非法用户访问网络资源、防止合法用户越权访问网络资源
• 网络安全保密：防止非授权用户访问资源
• 漏洞扫描：检测网络中是否存在漏洞（脆弱性）
• 恶意代码防护：可以理解为安装杀毒软件
• 网络信息内容安全：确保网络信息系统中的信息及数据符合法律要求
• 网络安全 检测：检查安全防护措施是否有效
• 网络信息安全应急响应：采取措施恢复网络系统的正常运营

5、网络信息安全管理流程：

• 确定网络信息安全管理对象
• 评估网络信息安全管理对象价值
• 识别网络信息安全管理对象面临的威胁
• 识别网络信息安全管理对象的脆弱性
• 确定网络信息安全管理对象的风险级别
• 制定网络信息安全管理防范措施
• 实施网络信息安全管理防护措施
• 运维网络信息安全管理管理对象

6、等保测评的流程

1. 定级：确定定级对象，通过专家评审，确定合适级别
2. 备案：按等保2.0规定准备备案材料，到当地公安机关备案和审核
3. 建设整改：对当前保护对象的实际情况进行差距分析，针对不符合项整改
4. 等级测评：对定级的保护对象进行测评，并出具相应的等级保护测评证书
5. 运营维护（监督管理）：运营主体对保护对象的安全相关事宜进行监督管理
6. （三级等保每年一测）

7、IAFT

IAFT将信息系统的信息保障技术层面划分成了四个技术框架焦点域：网络和基础设施、区域边界、计算机环境和支撑性基础设施。

核心思想：纵深防御

1. 保护多个位置。包括保护网络和基础设施、区域边计算环境等。
2. 分层防御。如果说上一个原则是横向防御，那么这一原则就是纵向防御，这也是纵深防御思想的一个具体体现。
3. 安全强健性。不同的信息对于组织有不同的价值，该信息丢失或破坏所产生的后果对组织也有不同的影响。所以对信息系统内每个信息安全组件设置的安全强健性（即强度和保障），取决于被保护信息的价值以及所遭受的威胁程度。

第二章 网络攻击

1、网络攻击的一般流程

• • 隐藏攻击源、收集目标的信息、挖掘目标的漏洞信息、获取目标的访问权限
  • 隐藏攻击行为、实施攻击、开辟后门、清除攻击痕迹

2、常见的端口扫描技术

• 完全连接扫描：源主机和目的主机，建立一次三次握手
• 半连接扫描：只完成前两次握手，不建立一次完整的连接
• SYN扫描：向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程（返回：ACK开放、RESET关闭）
• ID头信息扫描：借助第三方主机，ID头递增１则端口关闭，否则端口开放
• 隐蔽扫描：绕过安全设备，取得目标主机端口信息
• SYN｜ACK扫描：发送SYN｜ACK数据包，不返回信息则端口开放，返回RST则端口关闭
• FIN扫描：发送FIN数据包，不返回信息则端口开放，返回RST则端口关闭
• ACK扫描：发送FIN数据包，开放＜TLL值６４＜关闭　关闭＜WIN值０＜开放
• NULL扫描：标志位置空，不返回信息则端口开放，返回RST则端口关闭
• XMAS扫描：标志位全部置成1，不返回信息则端口开放，返回RST则端口关闭

3、DDOS攻击的一般过程：采用C/S部署

• 通过探测扫描大量主机，寻找可被攻击的目标
• 攻击有安全漏洞的主机，并设法获取控制权
• 在已攻击成功的主机中安装客户端攻击程序
• 利用已攻击成功的主机继续扫描和攻击，从而扩大可被利用的主机
• 当安装了攻击程序的客户端，达到一定数量后，攻击者在主机端给客户端攻击程序发布命令，同时攻击特定主机

常见的DDOS攻击手段包括：HTTP Flood攻击、SYN FLood攻击、DNS放大攻击

4、拒绝服务攻击的特点

• 难确认性：用户在得不到及时响应时，很难判断自己是否受到攻击
• 隐蔽性：正常请求服务，从而隐蔽拒绝服务攻击的过程
• 资源有限性：计算机的资源时有限的，容易实现拒绝服务攻击的过程
• 软件复杂性：因难以确保软件没有缺陷，所以攻击者利用软件缺陷进行拒绝服务攻击

5、拒绝服务攻击的方式

• 同步包风暴（SYN Flood）：发送大量的半连接状态的服务请求，使TCP/IP的三次握手无法完成，从而无法建立连接
• UDP洪水（UDP Flood）：利用主机能自动回复的服务，在两台主机之间传送足够多的无用数据流
• Smurf攻击：将回复地址设置成目标网络广播地址，如果在复杂点就把原地址改为第三方的目标网络
• 垃圾邮件:耗尽用户信箱的磁盘空间，使用户无法应用这个邮箱
• 消耗CPU和内存资源的拒绝服务攻击：构造恶意的输入数据，导致目标系统CPU或资源耗尽
• 死亡之ping：ICMP数据包大于64KB,就会出现内存分配错误
• 泪滴攻击：暴漏出IP数据包分解与重组的弱点，增加了偏移量
• 分布式拒绝服务攻击：植入后门程序，然后统一攻击统一目标

6、远程口令破解的流程

1. 建立与目标网络服务的网络连接
2. 选取一个用户列表文件及字典文件
3. 在用户列表文件及字典文件中，选取一组用户名和口令，发送到目标网络服务端口
4. 检测远程服务返回的信息，确定口令尝试是否成功
5. 若不成功，再取另一组，重复试验，直到口令用户列表及字典文件选取完毕

7、网络攻击模型 【攻击树杀伤CK】

• 攻击树模型（又称故障树模型）

可以被red team用来进行渗透测试，同时也可以被blue team用来研究御机制

优：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景

缺：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来将会特别复杂。

• MITRE 　ATT＆CK模型（又称攻击矩阵模型）

基于MITRE 　ATT＆CK常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等

• 网络杀伤链

该模型将网络攻击活动分成：目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制