信息安全工程师
案例分析
1-2017年
[说明]基于Windows32位系统分析下列代码,回答相关问题。
1 | void Challenge(char *str) |
[问题 1](3 分)
main 函数内的三个本地变量所在的内存区域称为什么?它的两个最基本操作是什么?
动态存储区,分配存储空间和释放存储空间
(堆栈,压栈和出栈操作)
画出buf,check,buf2 三个变量在内存的布局图。
需要画出变量的先后关系,每个变量所占空间,增长方向(数组)
应该给程序提供什么样的命令行参数值(通过argv[]变量传递)才能使程序执行流程进入判断语句If(check=65)..然后调用challenge()函数。
让argv[8]=A
上述代码所存在的漏洞名字是什么,针对本例 代码,请简要说明如何修正上述代码以修补此漏洞。
缓冲区溢出漏洞
使用安全的 strcpy 函数,检测边界。
2-2018试题一
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、rootkit、僵尸程序、广告软件。2017年5月,勒索软件wanacry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后无法使用,系统或服务无法正常运行,损失巨大。
问题1
按照恶意代码分类,此次爆发的恶意软件属于哪种类型?
蠕虫
问题2
此次勒索软件针对软件攻击目标是Windows还是Linux类系统?
Windows系统
问题3
恶意代码具有的共同特征是什么?
- 具有恶意的目的
- 自身是一个计算机程序
- 通过执行发生作用
问题4
由于此次勒索软件需要利用系统的SMB服务漏洞(端口号445)进行传播,我们可以配置防火墙过滤规则来阻止勒索软件的攻击,请填写表1-1中的空(1)-(5),使该过滤规则完整。
注:假设本机ip地址为:1.2.3.4,”*”表示通配符。
| 规则号 | 源地址 | 目的地址 | 源端口 | 目的端口 | 协议 | ACK | 动作 |
|---|---|---|---|---|---|---|---|
| 1 | (1)* | 1.2.3.4 | (2)1024 | (3)445 | (4)TCP | (5)* | 拒绝 |
| … | … | … | … | … | … | … | … |
| … | * | * | * | * | * | * | 拒绝 |
3-
阅读下列说明和图,回答问题
【说明】
如图1-1为某地方政府政务数据中心的拓扑图。其中对外服务器内部配置有虚拟化云平台,为办公区域和互联网提供相关政务服务。
1、按照等级保护2.0要求,该虚拟化平台的定级不应低于(1)级?需要(2)年测评一次。
不应低于三级,需要一年测评一次;
2、根据信安部门要求,需要正对虚拟化平台进行等级测评,结合该数据中心网络拓扑图,需要购置相关安全设备。
针对要求点“应在关键网网络节点检测、防止或限制从外部或内部部发起的网络攻击行为”选购的设备是(3):
IDS或IPS
针对要求点“应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析”选购的设备是(4);
安全审计
针对要求点“应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并针对这些操作进行审计”选购的设备是(5):
堡垒机(运维审计系统)
针对要求点“应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞”选购的设备是(6)。
漏洞扫描器
按照网络安全测评购实施万式,测评丰要包挂安全功能检测安全管理检测、代码安全审查、安全渗透、信息系统攻干测计王工调说了部分后台处理代码,发现密码验证阶段存在安全漏洞,代码如下:
1 |
|
(1)请问上述代码存在哪种漏洞?
缓冲区溢出
(2)为了进一步验证自己的判断,王工在密码输入时输入对应密码,发起测试。请问王工最有可能输入的密码是以下哪个选项?
A.1234567 B.12345678
C.2345678 D.7654321
B
(3)该类型漏洞带来的危害有哪些?
程序崩溃并导致拒绝服务,跳转并且执行一段恶意代码。
(4)预防该类型漏洞带来危害的手段有哪些?
利用编译器的边界检查,来实现缓冲区的保护。在程序指针失效前进行完整性检查,通过操作系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码,强制写正确的代码的方法。
某日,网站管理员王工宝宝高网站访问慢,他查看了互联网接入区防火墙的日志。日志如图。
(1)根据上述日志显示,可以判断该公司服务器遭受到(1)攻击。该攻击除了ACK Flooding之外还有例如(2)(3)(4)等多种方式。
- DOS/DDOS攻击
- ICPM Flooding
- UDP Flooding
- Teardrop
该数据中心建设过程中严格博从《数据中心设计规范(GB50174-2017)》标准来建设,根据其中的强制条文中规定:数据中心的耐火等级不应低于(1)级。设置气体灭火系统的主机房,应配置专用(2)。
- 耐火等级不应低于二级
- 应该配置专用的氧气呼吸机或空气呼吸机
《数据中心设计规范(GB50174-2017)》中要求数据中心划分为A、B、C三级,该数据中心的电子信息系统运行中断将造成较大经济损失,那么该数据中心应定为(3)级
B级
4-
阅读下列说明和图,回答问题
【说明】
W32 Blaster.Worm网络攻击示意图如图所示
(1)W32.Blaster.Worm利用的是什么漏洞?该漏洞对应的是TCP还是UDP的多少号端口?
利用的是DOCM RPC漏洞,对应的是TCP的135端口
(2)W32.Blaster.Worm利用tftp协议下载蠕虫代码,tftp工作在网络的那一层?
tftp协议工作在网络的应用层
(3)tftp工作在哪个传输层协议的多少号端口?
tftp工作在UDP协议的69端口
(4)该蠕虫病毒还将对windowsupdate.com进行什么攻击?
拒绝服务攻击
网络蠕虫的传播方法包括 随即扫描,顺序扫描,选择扫描,W32.Blaster是哪种传播方法的蠕虫?
顺序扫描蠕虫
在windows系统中,需要对主机的网络通信状态监测可以使用什么命令?
netstat
网络安全评估是对受害系统进行分析,获取受書系统的危害情况。针对恶意代码的检测、漏洞扫描、文件完整性检查等是进行网络安全评估的有效方法。
(1)常用的漏洞扫描工具有哪些?(至少写出一种)
NAMP/Nessus
(2)在UNIX系统上,容易被感染特洛伊木马的二进制文件包括temnet、login、su等等,网络管理员可以使用什么命令直接把系统中的二进制文件和原始发布介质上的对应文件进行比较?
cmp
(3)在UNIXLinux系统中,通过utmp日志文件,可以确定当前哪些用户登录受害系统,并可以利用什么命令读出其中的信息?
who
//常用于UNIX/linux的日志分析工具有grep、sed、awk、find等
网络蠕虫传播抑制技术的基本原理是利用网络蠕虫的传播特点,来构造一个限制网络蠕虫传播的环境,现在,已有的网络鳔虫传播抑制技术主要基于什么技术?其技术方法是在网络系统设置虚拟机器或虚假漏洞,欺骗网络虫,导致虫的传播能力下降。
蜜罐技术
5-
阅读下列说明和图,回答问题。
【说明】
入侵检测系统(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,IDS注重的是网络安全状况的监管,IPS则注重对入侵行为的控制
问题1
网络安全防护可以分为主动防护和被动防护,请问IDS和IPS分别属于哪种防护?
IDS入侵检测系统属于被动防护
IPS入侵防护系统属于主动防护
问题2
入侵检测是动态安全模型(P2DR)的重要组成部分。请列举P2DR模型的4个主要组成部分。
保护、检测、响应、安全策略
问题3
假如某入侵检测系统记录了如图所示的网络数据包:
请问图中的数据包属于哪种网络攻击?该攻击的具体名字是什么?
拒绝服务攻击,SYN Flood攻击
问题4
入侵检测系统常用的两种检测技术是异常检测和误用检测,请问针对图中所描述的网络攻击应该采用哪种检测技术?请简要说明原因。
误用检测,SYN Flood攻击具有固定攻击行为,攻击特征明显。
问题5
Snort是一款开源的网络入侵检测系统,它能够执行实时流量分析和IP协议网络的数据包记录。
Snort的配置有3种模式,请给出这3种模式的名字。
嗅探、包记录、网络入侵检测
6-
阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】云计算是一个T资源服务平台,承载着多种应用系统,存储了大量的数据资源,其安全性至关重要。云安全不仅关系企事业单位的正常运行,同时也涉及国家安全以及社会影响保障云计算系统的安全成为相关企事业单位开展云计算服务业务的基础。网络安全问题成为云计算服务发展的重要因素。
问题1
IT资源以一种服务产品的形式提供,满足用户按需使用、计量付费的要求。目前,云计算常见的服务有基础设施即服务laaS、(1)、(2)、(3)、存储即服务 STaaS.
基础设施即服务LaaS
平台即服务PaaS
软件即服务SaaS
数据即服务DaaS
存储即服务STaaS
问题2
敏感数据处理是数据安全的重要内容。数据库脱敏是指利用数据脱敏技术将数据库中的数据进行变换处理,在保持数据按需使用目标的同时,又能避免敏感数据外泄。常见的数据脱敏技术方法有屏蔽、变形、替换、随机、加密,使得敏感数据不泄露给非授权用户或系统。
1)证件号码数据4346645400205379经过(4)脱敏后,变成4346********5379;
屏蔽
2)(5)指对于完整的数据进行Hash计算后,使数据不可读。
加密
3)将表格中的所有手机号码经过(6)处理后,统一变成了“13777777777”
替换
问题3
身份鉴别认证机制解决云计算中各种身份标识及鉴别问题。云计算提供商通常使用户名/口令认证。除此之外,云用户身份认证技术还有强制密码策略、多因子认证。Kerberos。其中Kerberos是一个网络认证协议。
1)-个Kerberos系统涉及客户机、(7)、(8)、应用服务器等四个基本实体。
Kerberos系统涉及四个实体:
AS(认证服务器):识别用户并提供TGS会话密钥
TGS(票据发放服务器):为申请服务的用户授予票据(Ticket)
客户机:用来访问服务器设备
应用服务器:为用户提供服务的设备或系统
2)Kerberos认证过程当中,客户机与KDC交换的信息中包含时间戳,时间戳的主要作用是什么?
防止重放攻击
3)Kerpers认证讨程具有(9)的优点,只要用户拿到了TGT并目该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。
单点登录
问题4
云计算平台承载大量应用,其业务的安全持续运营至关重要。安全事件导致停机事件时有报道。为此,建立异构云容灾备份机制非常重要,工业界常采用”两地三中心”的容灾机制其中,两地是指(10)、(11);三中心是指(12)、(13)、(14)。
两地:同城、异地
三中心:同城容灾中心、异地容灾中心、生产中心
7-
阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
某企业的网络拓扑图如图所示,图中,网站服务器的 IP 地址是192.168.70.140,邮件服务器的 IP 地址是192.168.70.141。从运营商获取固定地址202.114.58.22。李工是该企业的信息安全管理员。
问题1
防火墙在该企业网络当中起到了众多防护功能,但是该网络依然存在的风险(防火墙的不足之处)包括哪些?
- 网络安全旁路。防火墙只能对通过它的网络通信进行访问控制,而未经过它的网络通信就无能为力。
- 防火墙安全机制形成单点故障或特权威胁。
- 防火墙不能防止感染病毒、防止后门攻击等功能缺陷,导致一些网络威胁无法阻断。
- 防火墙无法有效防范内部威胁。
- 防火墙受限于安全规则。防火墙依赖于安全规则的更新,特别是采用黑名单策略的防火墙,一旦安全规则跟新不及时,极易导致防火墙的保护功能失效。
问题2
包过滤是防火墙的基本功能之一,李工需要完成以下防火墙过滤规则的配置,才满足只允许外网与该企业的邮件服务器进行邮件服务相关通信,以及人事部门的上网需求,其他全部禁止。请完善下面的过滤规则。
- 110
- 143
- 25
- 192.168.12.0/24 #人事部门的上网需求
- 允许
- 禁止
服务器上可以实现访问控制。Web服务器是Apache hto服务器,李工可以在(7)配置文件中设置以下访问控制,使得只有信息安全部的工作人员才可以访问lsecret目录资源。请完善以下配置。
1 | <Directory /full/path/to/(8)> |
(7)access.conf
(8) secret
(9) all
(10)192.168.11.2
问题4
Web服务器是Linux服务器,Linux服务器自带的防火墙iptabies来实现包过滤等功能,假设只能允许人事部的用户访问该服务器的web服务。李工可以使用命令(11)查看现有的过滤规则。规则如下:
1 | Chain INPUT (policy ACCEPT) |
1)从上述规则可知,iptables的默认规则并不符合web服务的安全要求,所以需要配置三条规则链,请写出这三条规则链
2
3
iptables -P FORWARD DROP
iptables -P OUTPUT DROP题干所给的防火墙规则都是允许的,不符合要求,需要默认拒绝的规则链。
2)请写出只能允许人事部的用户访问服务器的防火墙规则。
8-
阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
下图为我国电子政务系统的架构示意图,主要有互联网、政务外网、政务内网构成,涉及到不同的安全等级的网络信息之间的交换,
1)国家管理政策文件明确指出,电子政务网络有政务内网和政务外网构成,两网之间(1)隔离,政务外网与互联网之间(2)隔离。
两网之间 物理隔离
政务外网与互联网之间 逻辑隔离
2)图2-1说是的设备①应该选用设备(3):设备应该选用设备(4),
(3)-(4)备选答案:
A.交换机 B.路由器 C.防火墙 D.网闸E. 耦合器F. 集线器
① C 防火墙
② D 网闸
间题2
政务外网服务子各级完委、人大、政府、政协、法和检察说等政务部门时政务公用网络。在各单位需要成工信息安全管理机构,行使单位信息安全管理职能。各个单位应设立(5)领导小组,作为本单位信息安全工作的最高领导決策机构。设立信息安全管理岗位并明确职责,至少应包含安全主管和“三员”岗位,其中“三员”岗位中,(6)岗位职责包括信息系统安全监督和网络安全管理,沟通、协调和组织处理信息安全事件等;(7)岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作;(8)岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计,监督信息安全制度执行情况。
各个单位应设立 信息安全领导小组
安全保密员岗位:管理
系统管理员岗位 :配置
安全审计员岗位:审计
问题3
审计是网络隔离技术的重要指标之一。网络流量数据获取是网络通信安全审计的关键技术,下图是通过交换机端口镜像,从网络流量采集设备通过图形化流量数据采集工具Wireshark采集的部分数据。
1)由上图可知,数据流量都是基于那种传输层协议?针对的是那种应用层协议?
基于传输层的TCP协议(传输层协议有TCP和UDP)
针对应用层的HTTP协议(图中的目的端口为80)
2)可以基本判断流量异常,疑似针对什么服务器的何种攻击?
针对Web服务器的SYN-Floodding攻击
3)在华为交换机上设置镜像端口的配置如下:
observe-port 1interface GigabitEthernet0/0/2
interface GigabitEthernet0/0/1
port-mirroring to observe-port 1 inbound/outbound/both
则下列说法正确的是哪个?
A.GigabitEthernet0/0/2是镜像端口
B.GigabitEthernet0/0/1是镜像端口
C.GigabitEthernet0/0/1是观察端口
D.GigabitEthernet0/0/2是隔离端口
GigabitEthernet0/0/1 是镜像端口(prot-mirroring)
GigabitEthernet0/0/2 是观察端口(observe-port)
问题4
目前很多单位已经使用国产操作系统,国产操作基于Linux,
1)系统用户账号加密口令的文件是什么?请给出文件名。
/etc/shadow
2)在保证Linux某些关键性文件安全时,需要修改文件属性,将inetd.conf文件属性修改为600的命令是什么?600表示的权限含义是什么?
chmod 600 /etc/intd.conf
600表示仅有文件的拥有者能够对文件进行读、写操作
问题5
方德方舟国产操作系统基于三权分立的管理机制,将普通操作系统中的超级管理员的权限分配给了(9)管理员、(10)管理员、(11)管理员,并形成了相互制约关系,防止管理员的恶意或偶然操作引起的系统安全问题。
系统管理员
安全管理员
审计管理员
9-
阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内
【说明】
某网络安全公司针对政府网站的保护要求,给出了相应的解决方案,并完成对应的网络安全透测试
1)根据国家有关政府门户网站的相关要求,政府网站的信息安全等级原则上不应低于二级,二级网站每几年测评一次?三级网站每几年测评一次?
二级网站每两年测评一次
三级网站每一年测评一次
2)网站管理部门根据安全需求,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于几个月?
网络日志不少于6个月
假设网站有如下服务:http://duck/index.asp?category=food
其后台对应的web程序如下:
v cat =request(category”)
Sqlstr=”SELECT* FROM product WHERE Category=”& v cat &”
Set rs=conn.execute(salstr)
1)正常情况下,数据库对外部查询请求对应的执行程序语句是什么?用户能正常查询food相关信息。
SELECT* FROM product WHERE Category=”food”;
2)如果一个恶意的用户提交htp:/duck/index.asp?category=food’or 1=1–,此时数据库对外部査询请求对应的执行程序语句是什么?将达到什么样的效果?
SELECT* FROM product WHERE Category=”food” or 1=1–;
用户查询到product表的所有信息。
3)说明该web程序存在什么攻击漏洞?防范方法有哪些?
SQL注入攻击漏洞:
- 对应用程序输入进行安全过滤;
- 设置应用程序最小化特权
- 屏蔽应用程序错误提示信息
- 对开源Web应用程序做安全适应性改造
在网络日志中,安全工程师发现了如下可疑URL:
http://wy.gov.cn/ebanking?url-http://evilsite.com/phishing/fakepage.htm
http://wy.gov.cn/ebanking?page=1&client=\<script>evilcode
http://wy.gov.cn/ebanking?page=l&response=evilsite.com%2levilcode.js&go=2
安全工程师初步判断可疑URL存在什么攻击?
跨站脚本攻击
网站服务器使用Linux系统,使用Apache Web程序。
1)Apache安装后默认设置的文件宿主和权限都是比较合理和安全的,但是如果需要修改文件的拥有者,可使用什么命令?
chown
2)Apache的主配置文件是什么?(请写出文件名)
httpd.conf
3)Apache提供一个记录所有访问请求的机制,而且错误的请求也会记录。这些请求记录存放在哪两个文件中?
accesslog
errorlog
10
试题一(共20分)
阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内
【说明】
已知某公司网络环境结构主要由三个部分组成,分别是DMZ区、内网办公区和生产区,其拓扑结构如图1-1所示。信息安全部的王工正在按照等级保护2.0的要求对部分业务系统开展安全配置,图1.-1当中,网站服务器的!P地址是192.168.70.140,数据库服务器的IP地址是192.168.70.141,信息安全部计算机所在网段为192.168.1.124王工所使用的办公电脑IP地址为192.168.11.2。
为了防止生产网受到外部的网络安全威胁,安全策略要求生产网和其他网之间部署安全隔离装置,隔离强度达到接诉物理隔离。请问图中X最有可能代表的安全设备是什么?
网闸
问题2
防火墙是网络安全区域边界保护的重要技术,防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙,图1-1拓扑图中的防火墙布局属于哪种体系结构类型?
基于屏蔽子网的防火墙
问题3
通常网络安全需要建立四道防线,第一道是保护,阻止网络入侵;第二道是监测,及时发现入侵和破坏;第三道是响应,攻击发生时确保网络打不塆;第四道是恢复,使网络在遭受攻击时能以最快速度起死回生。请问拓扑图1-1中防火墙1属于第几道防线?
第一道防线
问题4
图1-1中防火墙1和防火墙2都采用Ubuntu系统自带的iptables防火墙,其默认的过滤规则如图1-2所示
(1)请说明上述防火墙采取的是白名单还是黑名单安全策略。
黑名单
【说明】
黑名单安全策略:当链的默认策路为ACCEPT时,链中的规则对应的动作应该为DROP或者REJECT,表示只有匹配到规则的报文才会被拒色,没有被规则匹配到的报文都会被默认接受。
白名单安全策略:当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到规则的报文才会被放行,没有被规则匹配到的报文都会被默认拒绝。
(2)图1-2显示的是iptables哪个表的信息,请写出表名。
Filter表
【说明】
在iptables中内建的规则表有三个:nat、mangle和filter。这三个规则表的功能如下:
- nat:此规则表拥有prerouting和postrouting两个规则链,主要功能是进行一对一、一对多、多对多等地址转换工作(snat、dnat),这个规则表在网络工程中使用得非常频繁。
- mangle:此规则表拥有prerouting、forward和postrouting三个规则链。除了进行网络地址转换外,还在某些特殊应用中改写数据包的t、t0s的值等,这个规则表使用得很少,因此在这里不做过多讨论。
- filter:这个规则表是默认规则表,拥有input、forward和output三个规则链,它是用来进行数据包过滤的处理动作(如drop、accept或reject等),通常的基本规则都建立在此规则表中。
(3)如果要设置iptables防火墙默认不允许任何数据包进入,请写出相应命令
iptables -P FORWARD DROP
问题5
DMZ区的网站服务器是允许互联网进行访问的,为了实现这个目标,王工需要对防火墙1进行有效配置。同时王工还需要通过防火墙2对网站服务器和数据库服务器进行日
常运维。
(1)防火墙1应该允许哪些端口通过?
网站服务器实现的是web服务,对应的是HTTP服务和HTTPS服务,对应端口为80和443端口
(2)请编写防火墙1上实现互联网只能访问网站服务器的iptables过滤规则。
iptables -P FORWARD DROP
iptables -A FORWARD -d 192.168.70.140 -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -d 192.168.70.141 -p tcp –dport 80 -j ACCEPT
(3)请写出王工电脑的子网掩码。
255.255.255.0
(4)为了使王工能通过SSH协议远程运维DMZ区中的服务器,请编写防火墙2的iptables过滤规则。
iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2 -p tcp –sport 22 -j ACCEPT
11-
阅读下列说明,
回签问题1至问题5
将解箜填入签锁纸的对应栏内
【说明】
Linux系统中所有内容都是以文件的形式保存和管理的,即一切皆文件。普通文本、音视频、二讲制程序是文件,目录是文件,硬件设备(键盘、监视器、硬盘、打印机)是文件,就连网络套接字等也都是文件。在Linux Ubuntu系统下执行is -1命令后显示的结果如图2-1所示。
问题1请问执行上述命令的用户是普通用户还是超级用户?
普通用户
问题2
(1)请给出图2-1中属于普通文件的文件名
crond.pid
abc
(2)请给出图2-1中的目录文件名。
openvpn
(3)请给出图2-1中的符号链接文件名,
sh->/dev/shm
问题3
符号链接作为Linux系统中的一种文件类型,它指向计算机上的另一个文件或文件夹。符号链接类似于Windows中的快捷方式。如果要在当前目录下,创建图2-1中所示的符号链接,请给出相应命令。
1 | ln -s dev/shm shm |
当源文件(或目录)被移动或者被删除时,指向它的符号链接就会失效。
(1)请给出命令,实现列出/home目录下各种类型(如:文件、目录及子目录)的所有失效链接
1 | find /home -xtype l -print |
(2)在(1)基础上,完善命令以实现删除所有失效链接。
1 | find /home -xtype l -exec rm {} \ |
问题5
Linux系统的权限模型由文件的所有者、文件的组、所有其他用户以及读(r)、写(w)、执行(x)组成.
(1)请写出第一个文件的数字权限表示;
755
(2)请写出最后一个文件的数字权限表示;
755
(3)请写出普通用户执行最后一个文件后的有效权限
可读、不可写、可执行
(4)请给出去掉第一个文件的’x’权限的命令。
1 | chomd 644 openvpn |
(5)执行(4)给出的命令后,请说明root用户能否进入该文件
去掉x可执行权限后,root对该文件可读可写但不能执行,则无法进入该文件。
12-2021年试题三
试题三(共18分)
阅读下列说明和图,回答问题1至问题9,将解答填入答题纸的对应栏内。
【说明】
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检査错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
有一天,王工在夜间的例行安全巡检过程中,发现有异常日志告警,通过査看NTA全流量分析设备,找到了对应的可疑流量,请分析其中可能的安全事
件。
问题4
Windows系统通过事件ID来记录不同的系统行为,图3-1的事件!D为4625,请结合任务类别,判断导致上述日志的最有可能的情况
B.网络失败登录
【说明】
4624表示登录成功、4625表示登录失败
3389为远程桌面端口
备选项:
A.本地成功登录
B.网络失败登录
C.网络成功登录
D.本地失败登录
问题5
王工通过对攻击流量的关联分析定位到了图3-2所示的网络分组,请指出上述攻击针对的是哪一个端口。
3389端口
问题6
如果要在Wireshark当中过滤出上述流量分组,请写出在显示过滤框中应输入的过滤表达式
ip.addr == 192.168.69.69 and ip.addr == 192.168.1.100
问题7
Windows系统为了实现安全的远程登录使用了1s协议,请问图3-2中,服务器的数字证书是在哪一个数据包中传递的?通信双方是从哪一个数据包开始传递加密数据的?请给出对应数据包的序号。
服务器数字证书在序号12162的数据包中传递;【12162中的 Certificate】
通信双方是从序号为12168的数据包开始传递加密数据的;
问题8
网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。请问上述攻击属于哪-种网络安全事件?
网络攻击事件
问题9
此类攻击针对的是三大安全目标即保密性、完整性、可用性中的哪一个?
针对保密性
【说明】
判定为利用3389端口进行的暴力密码攻击,针对保密性。
13-2021年试题四
试题四(共17分)
阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
网络安全侧重于防护网络和信息化的基础设施,特别重视重要系统和设施、关键信息基础设施以及新产业、新业务和新模式的有序和安全。数据安全侧重于保障数据在开放、利用、流转等处理环节的安全以及个人信息隐私保护。网络安全与数据安全紧密相连,相辅相成。数据安全要实现数据资源异常访问行为分析,高度依赖网络安全日志的完整性数据安全已经进入法制化时代。随着网络安全法和数据安全法的落地,
2022年7月21日,自国家互联网信息办公室公布的对滴滴全球股份有限公司依法做出网络安全审查相关行政处罚的决定,开出了80.26亿的罚单,请分析一下,滴滴全球股份有限公司违反了哪些网络安全法律法规?
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
问题2
根据《中华人民共和国数据安全法》,数据分类分级已经成为企业数据安全治理的必选题
一般企业按数据敏感程度划分,数据可以分为一级公开数据,级内部数据、三级秘密数据、四级机密数据。请问,一般员工个人信息属于几级数据?
一般员工个人信息属于三级秘密数据
问题3
隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类,请问员工的薪水属于哪一类隐私?
员工的薪水属于属性隐私
问题4
隐私保护常见的技术措施有抑制、泛化、置换、扰动和裁剪等。若某员工的月薪为8750元,经过脱敏处理后,显示为5k~10k,这种处理方式属于哪种技术措施?
属于泛化技术
问题5
密码学技术也可以用于实现隐私保护,利用加密技术阻止非法用户对隐私数据的未授权访问和滥用。若某员工的用户名为”admin”,计划用RSA对用户名进行加密,假设选取的两个素数p=47,q=71,公钥加密指数e=3。
请问:
(1)上述RSA加密算法的公钥是多少?
$$n=pq=4771=3337$$
$$\phi=(p-1)(q-1)=4670=3220$$
$$e*d = 1 mod\ \phi$$
$$3\ d= 1 mod 3220$$
$$d=2147$$
RSA的加密算法的公钥(e,n)是(3,3220)
RSA加密算法的私钥(d,n)是(2147,3220)
(2)请给出上述用户名的16进制表示的整数值。
0x61646D696E
【说明】
a的ASCII值为96,但需要转换成16进制为0x61
(3)直接利用(1)中的公钥对(2)中的整数值进行加密是否可行?请简述原因。
不可行,明文长度不能超过模式n
(4)请写出对该用户名进行加密的计算公式。
$$C\ =\ M^e\ mod\ n$$
14-2021年试题一
试题一(共20分)
阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
在某政府单位信息中心工作的李工要负责网站的设计、开发工作。为了确保部门新业务的顺利上线,李工邀请信息安全部门的干工按照等级保护2.0的要求对其开展安全测评,李工提供网站所在的网络拓扑图如图1-1所示,图中,网站服务器的!P地址是192.168.70.140,数据库服务器的IP地址是192.168.0.141.
王工接到网站安全测评任务以后,决定在内网办公区的信息安全部开展各项运维工作,王工使用的办公电脑|P地址为192.168.11.2。
问题1
按照等级保护2.0的要求,政府网站的定级不应低于几级?该等级的测评每几年开展一次?
政府网站的定级不应低于二级,每两年测评一次
问题2
按照网络安全测评的实施方式,测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。王工调阅了部分网站后台处理代码,发现网站某页面的数据库
查询代码存在安全漏洞,代码如下:
(1)请问上述代码存在哪种漏洞?
SQL注入漏洞
(2)为了进一步验证自己的判断,王工在该页面的编辑框中输入了漏洞测试语句,发起测试。请问王工最有可能输入的测试语句对应以下哪个选项?
C. I’ or 1=1 order by 1 #
A. or 1=1–order by 1
B. 1 or’1’=’1’=1 order by 1#
C. I’ or 1=1 order by 1#
D. 1’and’1’=’2’order by 1#
(3)根据上述代码,网站后台使用的哪种数据库系统?
MySql数据库系统
(4)王工对数据库中保存口令的数据表进行检查的过程中,发现口令为明文保存,遂给出整改建议,建议李工对源码进行修改,以加强口令的安全防护,降低敏感信息泄露风险。下面给出四种在数据库中保存口令信息的方法,李工在安全实践中应采用哪一种方法?
C.哈希加盐
A.Base64 B.MD5 C.哈希加盐 D.加密存储
问题3
按照等级保护2.0的要求,系统当中没有必要开放的服务应当尽量关闭。王工在命令行窗口运行了一条命令,查询端口开放情况。请给出王工所运行命令的名字。
netstat
问题4
防火墙是网络安全区域边界保护的重要技术,防火墙防御体系结构主有基于双宿主机防火墙、基于代理型防火增和基于屏蔽子网的防火墙。图1-1拓扑图中的防火墙布局属于哪种体系结构类型?
属于基于屏蔽子网的防火墙
问题5
根据李工提供的网络拓扑图,王工建议部署开源的Snort入侵检测系统以提高整体的安全检测和态势感知能力。
(1)针对王工建议,李工查阅了入侵检测系统的基本组成和技术原理等资料。请问以下有关Snort入侵检测系统的描述哪两项是正确的?(2分)
A.基于异常的检测系统 B.基于误用的检测系统
C.基于网络的入侵检测系统 D.基于主机的入侵检测系统
B.基于误用的检测系统
C.基于网络的入侵检测系统
(2)为了部署Snort入侵检测系统,李工应该把入侵检测系统连接到图1-1网络拓扑中的哪台交换机?(1分)
交换机2
(3)李工还需要把网络流量导入入侵检测系统才能识别流量中的潜在攻击。图1-1中使用的均为华为交换机,李工要将交换机网口GigabitEthernet1/0/2的流量镜像到部署 Snort的网口 GigabitEthernet1/0/1上,他应该选择下列选项中哪一个配置?(2分)
D
A.
1 | observe-port 1interface GiqabitEthernet1/0/2 |
B.
1 | observe-port 2 interface GiqabitEthernet1/0/2 |
C.
1 | port-mirroring to observe-port 1 inbound/outbound/both |
D.
1 | observe-port 1interface GiqabitEthernet1/0/1 |
(4)Snort入侵检测系统部署不久,就发现了一起网络攻击。李工打开攻击分组查看,发现很多字符看起来不像是正常字母,如图下图所示,请问该用哪种编码方式去解码该网络分组内容?(1分)
URL编码(URL encode)
(5)针对图上图所示的网络分组,李工查看了该攻击对应的Snort 检测规则,以更好地掌握Snort入侵检测系统的工作机制。请完善以下规则,填充空(a)、(b)处的内容。(2分)
(a) tcp any any ->any any ( msg:”XXX”;content:” (b) “; nocase ; sid : 1106 ; )
(a)alert (b)union,select
alert tcp any any ->any any ( msg : “XXX” ; content : “ union , select “ ; nocase ; sid : 1106)
【说明】考查Snort基本规则编写。
(a)表示Snort的规则行为,由于需要告警并记录数据,所以填alert。
(b)属于Snort 的规则选项部分,李工目标是发现分组中出现的union select关键字,就要触发告警信息。
15-2021年试题二
试题二(共20分)
阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内,
【说明】通常由于机房电磁环境复杂,运维人员很少在现场进行运维工作,在出现安全事件需要紧急处理时,需要运维人员随时随地远程开展处置工作。
SSH(安全外壳协议)是一种加密的网络传输协议,提供安全方式访问远程计算机。李工作为公司的安全运维工程师,也经常使用SSH远程登录到公司的Ubuntu18.04服务器中进行安全维护。
SSH协议默认工作的端口号是多少?
22端口
问题2
网络设备之间的远程运维可以采用两种安全通信方式:一种是SSH,还有一种是什么?
Stelnet方式
【说明】
Stelnet是Secure Telnet的简称。在一个传统不安全的网络环境中,服务器通过对用户认证及双向的数据加密,为终端用户提供安全的Telnet服务。
日志包含设备、系统和应用软件的各种运行信息,是安全运维的重点关注对象。李工在定期巡检服务器的SSH日志时,发现了以下可疑记录:
1 | Jul 22 17: 17: 52 humen systed-logiad [1182] : Waching sytem buttons on/dev/input/evet0 (Power Button) |
(1)请问李工打开的系统日志文件的路径和名称?
路径:/var/log 名称:/var/log/secure
(2)李工怀疑有黑客在攻击该系统,请给出判断攻击成功与否的命令以便李工评估攻击的影响,。
日志文件包含”Accepted password for humnen”命令,可以判断登录成功。
问题4
经过上次SSH的攻击事件之后,李工为了加强口令安全,降低远程连接风险,考虑采用免密证书登录。
(1)Linux系统默认不允许证书方式登录,李工需要实现免密证书登录的功能,应该修改哪个配置文件?请给出文件名。
/etc/ssh/sshd_config
(2)李工在创建证书后需要拷贝公钥信息到服务器中。他在终端输入了以下拷贝命令,请说明命令中“>>”的含义。
1 | ssh xiaoming@server cat/home/xiaoming/.ssh/id rsa.pub >> authorized keys |
>>表示向文件中进行追加内容
(3)服务器中的authorized keys文件详细信息如下,请给出文件权限的数字表示。
1 | -rw-------1 root root 0 10月18 2018'authorized keys |
600
(4)李工完成SSH配置修改后需要重启服务,请给出systemctl 重启SSH服务的命令。
1 | systemctl restart sshd |
(5)在上述服务配置过程中,配置命令中可能包含各种敏感信息,因此在配置结束后应及时清除历史命令信息,请给出清除系统历史记录应执行的命令。
1 | history -c |
SSH之所以可以实现安全的远程访问,归根结底还是密码技术的有效使用。对于SSH协议,不管是李工刚开始使用的基于口令的认证还是后来的基于密钥的免密认证,都是密码算法和密码协议在为李工的远程访问保驾护航。请问上述安全能力是基于对称密码体制还是非对称密码体制来实现的?
非对称密码体制
16-2021年试题三
试题三(共20分)
阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
域名系统是网络空间的中枢神经系统,其安全性影响范围大,也是网络攻防的重点。李工在日常的流量监控中,发现以下可疑流量,请协助分析其中可能的安全事件。
问题1
域名系统采用授权的分布式数据查询系统,完成域名和!P地址的解析。李工通过上述流量可以判断域名解析是否正常、有无域名劫持攻击等安全事件发生。
(1)域名系统的服务端程序工作在网络的哪一层?
应用层
(2)图3-1中的第一个网络分组要解析的域名是什么?
(3)给出上述域名在DNS查询包中的表示形式(16进制)。
77,77,77,05,68,75,6D,65,6E,03,63,6F,6D
(4)由图3-1可知李工所在单位的域名服务器的IP地址是什么?
192.168.299.133
问题2
签于上述DNS协议分组包含大量奇怪的子域名,如想知道是哪个应用程序发送的上述网络分组,请问在Windows系统下,李工应执行哪条命令以确定上述DNS流量来源?
netstat -b
通过上述的初步判断,李工认为192.168,229.1的计算机可能已经被黑客所控制(CC攻击)。黑客惯用的手法就是建立网络隐蔽通道,也就是指利用网络协议的某些字段秘密传输信息,以掩盖恶意程序的通信内容和通信状态。
(1)请问上述流量最有可能对应的恶意程序类型是什么?
DOS攻击
(2)上述流量中隐藏的异常行为是什么?请简要说明。
发送大量无效的DNS请求攻击DNS服务器,导致基于此DNS服务器解析应用不能正常工作
(3)信息安全目标包括保密性、完整性、不可否认性、可用性和可控性,请问上述流量所对应的网络攻击违反了信息安全的哪个目标?
可用性和可控性
问题4
通过上述的攻击流分析,李工决定用防火墙隔离该计算机,李工所运维的防火墙是Ubuntu 系统自带的iptables防火墙。
(1)请问iptables默认实现数据包过滤的表是什么?该表默认包含哪几条链?
Filter表,包含了input,output,forward三条链。
(2)李工首先要在ipables防火墙中查看现有的过滤规则,请给出该命令。
iptables -L
(3)李工要禁止该计算机继续发送DNS数据包,请给出相应过滤规则。
iptables -t filter -a input -s 192.168.229.1 –dport 53 -j drop
问题5
在完成上述处置以后,李工需要分析事件原因,请说明导致DNS成为CC攻击的首选隐蔽传输通道协议的原因。
便于隐藏,不易被防火墙和基于http协议的拦截工具拦截
17-2021年试题四
试题四(共15分)
阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内,
【说明】
近期,按照网络安全审查工作安排,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻某出行科技有限公司,开展网络安全审查,移动App安全检测和个人数据安全再次成为关注焦点
为保护 Android 系统及应用终端平台安全,Android 系统在内核层、系统运行层、应用框架层以及应用程序层采取了相应的安全措施,以尽可能地保护移动用户数据、应用程序和设备安全。
在Android 系统提供的安全措施中有安全沙箱、应用程序名机制、权限声明机制、地址空间布局随机化等,请将上述四种安全措施按照其所在层次分填入表4-1的空(1)~(4)。
表4-1 Android系统安全系统结构
| 应用程序层 | (1)权限声明机制 |
|---|---|
| 应用框架层 | (2)营运程序明机制 |
| 系统运行程序层 | (3)安全沙箱 |
| 内核层 | (4)地址空间布局随机 |
权限声明机制为操作权限和对象之间设定了一些限制,只有把权限和对象达行绑定,才可以有权操作对象
(1)请问Android系统应用程序权限信息声明都在哪个配置文件中?给出该配置文件名。
Manifest.xml
(2)Android系统定义的权限组包括CALENDAR、CAMERA、CONTACTS、LOCATION、MICROPHONE、PHONE、SENSORS.SMS、STORAGE。按照《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》,运行在Android9.0系统中提供网络约车服务的某某出行App可以有的最小必要权限是以上权限组的哪几个?
microphone
SMS
location
phone
storage
(3)假如有移动应用A提供了如下服务 AService,对应的权限描述如下:
1 | <permission |
如果其它应用B要访问该服务,应该申明使用该服务,将以下申明语句补充完整。
1.< android : name = “com.demo.ASeryice”/>
1 | <service android:name = "com.demo.ASerryice"/> |
【说明】当一个应用要使用服务时,必须在应用的清单文件中声明所有的服务。必须添加sercive元素作为application元素作为子元素。例如
2
3
4
5
6
7
...
applicationn ...
service andrrod:name=.ExampleService /
...
/application
/manifest
问题3
应用程序框架层集中了很多Android开发需要的组件,其中最主要的就是Activities、Broadcast Receiver Services以及Content Providers这四大组件,围绕四大组件存在很多的攻击方法,请说明以下三种攻击分别是针对哪个组件。
(1)目录遍历攻击: Content Providers
(2)界面劫持攻击: Acticities
(3)短信拦截攻击: Brodcast Receiver Services
问题4
移动终端设备常见的数据存储方式包括:
①SharedPreferences;
②文件存储;
③SQLite数据库:
④ContentProvider:
⑤网络存储。
从以上5种方式中选出Android系统支持的数据方式,给出对应存储方式的编号。
①②③④⑤
18-2017年试题一
阅读下列说明,回答问题1至问题3,将解答写在答题纸的对应栏内。
【说明】
安全目标的关键是实现安全的三大要素:机密性、完整性和可用性。对于一般性的信息类型的安全分类有以下表达形式:{(机密性,影响等级),(完整性,影响等级),(可用性,影响等级)}在上述表达式中,”影响等级”的值可以取为低(L)、中(M)、高(H)三级以及不适用(NA)。
问题1
请简要说明机密性、完整性和可用性的含义。
机密性:确保信息仅被合法用户访问,而不被泄露给非授权用户
完整性:所有资源只能由授权方或以授权的方式进行修改,即信息未授权不可进行改变。
可用性:所有资源在适当的时候可以由授权方访问,信息可悲授权实体访问并按需求使用。
问题2
对于影响等级”不适用”通常只针对哪个安全要素?
机密性
问题3
如果一个普通人在它的个人Web服务器上管理其公开信息。请问这种公开信息的安全分类是什么?
{(机密性:NA),(完整性:M),(可用性:M)}
知识汇集
信息安全基础知识
访问控制机制由组成要素主要有:主体(Subject) 、参考监视器(Reference Monitor) 、客体(Object) 、访问控制数据库、审计库。
- 主体是客体的操作实施者。实体通常是人、进程或设备等,一般是代表用户执行操作的进程。比如编辑一个文件,编辑进程是存取文件的主体,而文件则是客体。
- 客体是被主体操作的对象。
- 参考监视器是访问控制的决策单元和执行单元的集合体。
- 记录主体访问客体的权限及其访问方式的信息,提供访问控制决策判断的依据,也称为访
问控制策略库。
自主访问控制模型、强制访问控制模型、基于角色的访问控制模型常用于操作系统、数据库系统的资源访问。
基于使用的访问控制模型则用于隐私保护、敏感信息安全限制、知识产权保护;
基于地理位置的访问控制模型可用于移动互联网应用授权控制,如打车服务中的地理位置授权使用;
基于属性的访问控制主要提供分布式网络环境和 Web 服务的模型访问控制;
基于时态的访问控制模型则利用时态作为访问约束条件,增强访问控制细粒度,如手机网络流量包的限时使用。
自主访问控制(DAC):
基于行的自主访问控制【能力表(capability list) ,前缀表(capability list) ,口令(password)】
基于列的自主访问控制【保护位(protection bits)、访问控制表(Access Control List, **ACL)**】
HRU模型
强制访问控制 (Mandatory Access Control, MAC)
- BLP 机密性模型:下读、上写
- BiBa 完整性模型:上读、下写
- BN 模型 (Chinese Wall模型)
基于角色的访问控制模型(RBAC)
基于属性的访问控制模型(ABAC)
特权(Privilege)是用户超越系统访问控制所拥有的权限。有利于系统维护和配置,但不利于系统安全性。
最小特权原则是系统中每一个主体只能拥有完成任务所必须的权限集,阻止特权乱用。
特权的分配原则是“按需使用”。
网络安全专用产品有:数据备份一体机、防火墙(硬件)、WEB应用防火墙(WAF)、入侵检测系统(IDS)、入侵防御系统(IPS)、安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络中和审计系统、网路脆弱性扫描产品、安全数据库系统、网络恢复产品(硬件)。
入侵检测系统IDS帮助管理员快速发现网络攻击。
分组密码常用的工作模式:
- 电码本模式(ECB模式)
- 密码反馈模式(CFB模式)
- 密码分组链接模式(CBC模式)
- 输出反馈模式(OFB模式)
结构化保护的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,还要考虑隐蔽通道。
攻击树模型起源于故障树模型。使用AND-OR两类节点。
网络信息安全防御是指采取各种手段和措施,使得网路系统具备阻止、抵御各种已知的网络安全威胁的功能。
网络信息安全应急是指采取各种手段和措施,针对网络系统中的突发事件,具有及时响应和处置网络攻击的能力。
由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。
脆弱性指计算机系统和中与安全策略想相冲突的状态或错误,它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。
网络风险=网络威胁发生的概率X所造成的影响
避免风险:通过物理隔离设备将内部网和外部网分开,避免受到外部网的攻击。
转移风险:购买商业保险计划或安全外包。
减少威胁:安装防病毒软件包,防止病毒攻击。
消除脆弱点:给操作系统打补丁或强化工作人员的安全意识。
减少威胁的影响:采取多条通讯线路进行备份或定制应急预案。
风险监测:定期对网络系统中的安全状况进行风险分析,监测潜在的威胁行为。
保护措施是指 对付网络安全威胁,减少脆弱性,限制意外事件的影响,检测意外事件并促进灾难 恢复而实施的各种实践、规程和机制的总称。其目的是对网络管理对象进行风险控制。
《中华人民共和国个人信息保护法》自2021年11月1日起实施。
USENIX Security被中国计算机学会(CCF)归为“网络与信息安全”A类会议分(共分A,B,C三类,A类最佳)
用户的安全大于或等于信息的安全级并且用户的访问范畴包含信息范畴时,用户可合法读取该信息。
PDRR[Protection,Detection,Recovery,Respons]
保护:加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
检测:入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
恢复:数据备份、数据修复、系统恢复等。
响应:应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。
在人员安全的工作安全方面,应遵守多人负责原则,任期有限原则,职责分离原则。
信息安全等级保护测评:
- 用户自主保护级
- 系统保护审计级
- 安全标记保护级
- 结构化保护级
- 访问验证保护级
软件安全能力成熟度模型分成五级
CMMI级–补丁修补;
CMM2级–渗透测试、安安全代码评审;
CMM3级–漏洞评估、代码分析、安全编码标准;
CMM4级–软件安全风险识别、SDLC实施不同安全检查点;
CMM5级–改进软件安全风险覆盖率、评估安全差距。
共识算法主要应用于区块链,验证交易的合法性和正确这一部分,从而保持了各个节点的交易和区块数据的一致性。
FIN扫描:源主机A向目标主机B发送FIN数据包(断开连接请求),然后查看反馈信息,
如果返回RESET信息,则端口关闭
如果没有消息返回,则端口开放
半连接扫描:在源主机和目的主机的三次握手连接过程中,只完成前两次,不建立一次完整连接的扫描;
SYN扫描:首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程并查看响应情况。
如果返回ACK信息,表明端口开放
如果返回RESET信息,表明端口未开放
完全连接扫描:完全连接扫描利用TCP协议的三次握手连接机制,建立一次完整的连接。
如果连接成功,表明端口开放
未连接成功,表明端口未开放
私钥密码体制(对称密码体制):
缺点:密钥分配问题,密钥管理问题,无法认证源,加密强度不高
优点:使用大量的数据加密处理
公钥密码体制(非对称密码体制):
缺点:加密效率低、速度慢、算法复杂
优点:密钥分发方便、密钥保管量少,支持数字认证,少量数据加密
数字证书通过CA的私钥进行签名,其真伪及有效性通过CA的公钥来验证。
Diffie-Hellman密钥交换协议基于求解离散对数的困难性
RSA基于大整数因子分解的困难性
数据中心IDC机房的R1[99.5%] , R2[99.9%] , R3[99.99%];
数据中心IDC耐火等级不低于二级
在政府部门、军事和金融等高级安全要求领域,常要求利用 强制访问控制 将系统的资源划分安全等级和恶不同类别,然后进行安全管理。
防火前截取内网主机和外网通信,由防火墙本省完成与外网主机通信,然后把结果传回给内网主机,这种技术称为 透明代理
Web应用防火墙无法防御 Smurf攻击
VPN分为 数据链路层VPN(PPTP , L2TP),网络层VPN (IPSec),传输层VPN(SSL)
IPSec拥有两种工作模式:透明模式 和 隧道模式
透明模式:只保护IP包中的数据域
隧道模式:保护IP包中的包头和数据域
SSL:包含握手协议、密码规格变更协议、报警协议、记录层协议。
握手协议:用于身份鉴别和安全参数协商
密码规格变更协议:通知安全参数的变更
报警协议:关闭通知和对错误进行报警
记录层协议:传输数据的分段、压缩及解压缩、加密及解密 、完整性校验
基于网络的入侵检测系统(NIDS)不能检测出的入侵行为:远程口令破解
入侵检测系统:基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统(NIDS)、分布式入侵检测系统(DIDS)。
字符会话审计主要审计SSH、Telnet等协议
逻辑炸弹是一段依附在其他软件中,并具有触发执行破坏能力的程序代码
陷门是软件系统的一段代码,允许用户避开系统安全机制而访问系统
细菌是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件,但它通过复制本体来消耗系统资源。
间谍软件通常指在用户不知情的情况下被安装在计算机中的各种软件,并执行用户非期望的功能。
透明性:加入水印不会降低图像质量,很难发现于原图像的差别。
鲁棒性:不会丢失水印,提取水印信息后任然有效。
安全性:能抵抗各种攻击后还能唯一标识图像,第三方不能伪造他人带水印的图像。
电子证据在离开响应技术设备后,往往无法保存和传输,体现电子证据的 高科技性
在数据库设置后门,绕过数据库系统的安全访问控制机制属于 旁路控制
隐蔽信道:通常存储在数据库中数据经由合法的数据信道被取
伪装:攻击者假冒用户身份获取数据库系统的访问权限
口令密码破解:利用口令字典或手动猜测数据库用户密码,达到非授权访问数据库
政府网站的信息安全等级原则上不低于二级,政府数据中心安全等级原则上不低于三级。三级网站每年测评一次,二级网站每两年测评一次。
“两地三中心”两地指同城、异地。三中心:生产中心、同城容灾中心、异地容灾中心
NetBIOS和勒索病毒常使用135~139,445端口
IPSec VPN 提供的安全服务有:完整性服务、认证服务、保密性服务
2最小化系统网络服务是在满定业务的前提下,尽量关闭不需要的服务和网络端口,在Linux系统中首先是将inetd.conf的文件权限设置为 600
Apache的access.conf配置文件负责设置文件的访问权限
错误表述:数字签名是十六进制的字符串
消息认证能够确定接收方收到的消息是否被篡改过
数字签名最常见的实现方法是建立在 公钥密码体制 和 单向安全散列函数算法 的基础上
计算机取证时首先必须隔离目标计算机系统,不给犯罪嫌疑人破坏证据的机会。对现场计算机的一个处理原则:已经开机的计算机不要关机,关机的计算机不要开机。
注入语句http://xxx.xxx.xxx/abc.asp?pYY and user>0 可以判断服务器的后台数据库是否为SQL-SERVER,还可得到 当前连接数据库的用户名
在访问Internet时,为防止Web页面中恶意代码对自己计算机的损害,可采取的措施是 将要访问的Web站点按其可信度分配道浏览器的不同安全区域
主要的渗透威胁有 假冒,旁路,授权侵犯
主要的植入威胁:特洛伊木马 和 陷阱。
依据国家信息安全等级保护相关标准,军用不对外公开的信息系统至少应该属于 三级及三级以上
Kerberos 采用DES加密算法来身份认证
证书通常包含 用户身份信息,持有者的公开密钥,CA的数字签名信息
数字信封能保证数据传输过程中的 安全性
DES加密算法中,密钥长度和被加密的算法的分组长度为56位和64位,子密钥长度为48位
特洛伊木马攻击的威胁类型属于 植入威胁
属于专用地址的是10.1.2.3;整个A类都是专用。
风险评估报告属于信息安全风险分析阶段的输出报告
OSI参考模型中的数据链路层 保证数据正确的顺序、无差错和完整
深度流检测技术主要分三部分: 流特征选择、流特征提取、分类器
差错控制不属于网络安全控制技术
网络安全控制技术:防火墙技术 入侵检测技术 访问控制技术
病毒的引导过程不包含 删除引导扇区
海量数据加密一般不用 公钥加密(非对称加密)
安全备份的策略不包含 网络服务
SSL位于应用层和传输层中级,可以为任何基于tcp等可靠连接的应用层协议提供安全性保证。
智能卡的片内操作系统(cos)包括:通讯管理模块、安全管理模块、文件管理模块、应用管理模块。
cos中对接收命令进行可执行判断属于 应用管理模块。
PKI中,CA负责签发证书、管理和撤销证书、证书的审批及备份。
SHA1的输入分组长度为512bit。
AES结构由 字节代换、行移位、列混淆、**轮密钥加密 **
字节代换是非线性模块
求逆元算法:m mod n 的逆元 p ===》((p*n)-1 )mod n =0
《信息技术、安全技术、信息技术安全评估准则》(简称CC)该标准分为三部分,
- 简介和一般模型:附录介绍了”保护轮廓”和”安全目标”
- “安全功能要求”:技术要求
- “安全保证要求”:定义了评估保证级别
避免成为网络中的“单失效点”的原则:纵深防御原则
完成任务的所必须的最小特权:最小特权原则
系统不安全程度由最薄弱部分决定:木桶原则
主体所知道的最小信息分配给主体权力:最小泄露原则
适合攻击计算机文件系统和数据库系统的是:选择明文攻击
适合攻击公钥密码体制以及数字签名:选择密文攻击
认证能有效阻止主动攻击、加密能有效阻止被动攻击
访问控制的任务是授权、不包括审计
网卡有四种通信状态:
- Unicast(单播):网卡接收目的的地址为本网卡地址的报文;
- Broadcast(广播):网卡接收广播报文;
- Multicast(组播):网卡接收特定组播报文;
- Promiscuous(混杂模式):网卡接收所有报文。
SM1对称加密,分组长度和密钥长度为128位
SM2数字签名算法设计基于256位椭圆曲线公钥密码算法。非对称加密。
SM3杂凑算法,512数据分组长度,杂凑值长度为256位;
SM4分组密码,对称密码,分组长度和密钥长度为128比特。
SM9标识密码算法。
MD5杂凑算法,512数据块产生128位消息摘要(哈希值)。
SHA1杂凑算法,512数据块产生160位哈希值
AES对称加密,分组长度128,密钥长度可以为128,192,256
外部网关协议是在AS之间使用的路由协议,常见的外部网关协议BGP协议。
Sniffer分为软件和硬件两种,软件有NetXray、Netmonitor、Packetboy;硬件Sniffer通常称为协议分析仪。
产生认证码的方式:报文加密、消息认证码MAC、基于hash函数的消息认证码(HMAC)
VPN第二层隧道协议L2TP协议主要有LAC和LNS构成。
RSA具有雪崩效应
引入验证码机制不能有效解决解释攻击的方案
僵尸网络传播的手段:主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马
非盈利组织域名:org
WEP为了实现机密性采用RC4加密算法
RA不签发证书。CA发放证书。
BLP模型控制信息只能由低向高流动。
无线传感器网络标准中,Zigbee不属于工业标准
特洛伊木马不属于远程控制型木马。
IRC-Worm不属于漏洞利用类蠕虫。
外部路由器被称为屏蔽子网体系的第一道屏障。
Snort配置有:嗅探、包记录、网络入侵检测。
等保标准中,要求计算机信息系统可信计算基满足访问监视器需求的是:访问验证保护级(第5级)。
等保标准中,要求提供系统恢复机制的是:访问验证保护级(第5级)。
等保标准中,要求对应用程序的所有执行环节进行动态可信验证:第4级。
Wi-Fi加密过程采用TKIP和AES
资产清单包括 服务 和 无形资产 、信息资产、人员。
IPSec协议不属于身份认证协议。
容灾与备份技术不属于网络安全控制技术
密钥协商算法使用 ECDH
震网病毒攻击的是伊朗核电站西门子公司的SIMATIC WinCC系统。
要实现网络信息安全基本目标。网络应具备 防御 监测 应急 恢复等基本功能。
《中华人民共和国个人信息保护法》自2021年11月1日施行。
《中华人民共和国数据安全法》自2021年9月1日施行。
《中华人民共和国网络空间法》自2017年6月1日施行。
《中华人民共和国密码法》自2020年1月1日施行。
安全审计属于安全管理中心。
现代操作系统提供的 金丝雀(Canary)漏洞缓解技术属于 堆栈保护
对于受到治安管理处罚的人员,5年 内不得充实网络安全管理和网络安全运营关键岗位的工作。
网络攻击工具
扫描器:扫描目标系统地址、端口、漏洞——NMAP、Nessus、Super Scan
远程监控:代理软件,控制“肉鸡”——-冰河、网络精灵、Netcat
网络嗅探:窃取、分析、破解网络信息——–Tcpdump、DSniff、WireShark
安全渗透工具箱:漏洞利用、特权提升——–Metasploit、BackTrack
密码破解:猜测、穷举、破解口令——–John the Ripper、LOphtCrack
在移动应用App程序插入无关代码属于 防反编译
域名地址和端口地址无法转换
DHCP协议(动态主机配置协议)
PKI公钥基础设施技术:CA(证书授权机构:证书的颁发、废除、更新;认证机构负责签发、管理、撤销一组终端用户证书)、RA(证书登记权威机构:证书注册和担保)
按照访问控制的对象进行分类,对文件读写进行访问控制属于操作系统访问控制。
操作系统访问控制有:文件读写、进程、内存等访问控制。
IIS对文件的NTFS许可权限管理属于 文件授权
防火墙无法实现网络物理隔离
包过滤防火墙只能基于IP层过滤网站恶意包
VPN不能提供网络隔离服务
IPS主要安全功能不包括:网络物理隔离
数据链路层VPN的实现方式:ATM,Frame Relay,多协议标签交换MPLS
网络层VPN实现方式:受控路由过滤、隧道技术
传输层VPN实现方式:SSL技术
蜜罐为了实现一台计算机绑定多个IP地址,可以使用ARP协议实现。
物理断开技术需要保证不同安全域之间的网络 不能 以直接或间接的方式相连。
内外网路线切换器可以通过交换盒的开关设置控制计算机的网络物理连接。
文件传输审计主要针对FTP协议。
操作员 不能修改自己的操作记录。
网络安全特权控制不完备 属于 非技术性安全漏洞。
在Linux系统中,可以用 lsof 工具检查进程使用的文件、TCP/UDP端口、用户等信息。
磁盘杀手病毒 属于引导性病毒
常见的引导性病毒:Boot.WYX 、磁盘杀手、AnitiExe病毒
网络蠕虫的四个功能模块:探测模块、传播模块、蠕虫引擎模块、负载模块。
Linux系统中 cmp 命令将二进制文件和原始发布介质上对应的文件进行比较。
网络安全取证步骤:取证现场保护–证据识别–传输证据–保存证据–分析证据–提交证据。
端口扫描中的 ID头信息扫描 需要第三方机器配合。
Windows中安全日志文件名为SecEvent.evt。
Apachee Httpd 配置文件中,负责基本读取文件控制的是access.conf。
在路由器配置时,使用Enable secret命令保存口令密文。
SSH由SSH传输层协议、SSH用户认证协议、SSH连接协议 构成。
PGP协议来保护电子邮件的安全。
PGP加密软件:密钥管理算法 和 数字签名算法都采用RSA,数据加密算法采用IDEA,完整性检测算法 和 数字签名算法 采用了MD5 和 RSA 以及随机数生成器。
黑名单策略:只允许符合安全规则的包通过,其他通信包禁止;policy ACCEPT
白名单策略:禁止与安全规则冲突的包通过防火墙,其他通信包都允许; policy REFUSE
网络地址转换方式有:静态NAT,NAT池,端口NAT(PAT)
静态NAT:内部网络中每个主机都永久映射成外部网络中的某个合法地址
NAT池:在外部网络中配置合法地址集,采用动态分配的方法映射到内部网络
端口NAT:吧内部地址映射到外部网络的一个IP地址的不同端口上
Snort入侵检测系统属于 基于规则的误用检测方法。
基于主机的入侵检测系统HIDS:网页防篡改系统、SWATCH、Tripwire
基于网络的入侵检测系统NIDS:国外[Session Wall , ISS RealSecure , Cisco Secure IDS];开源Snort。
僵尸网络是指攻击者利用入侵手段,将恶意代码植入目标计算机,进而操纵受害机执行恶意活动。
ICMP风暴和Smurf风暴攻击基于网络层ICMP协议的攻击。
UDP风暴基于传输层UDP的攻击。
SYN Flood攻击通过创建大量“半连接”攻击,TCP连接的三次握手中,第三次握手无法完成。
日志文件固定组成格式:时间标签,主机名,生成消息的子系统名称,消息。
SNMP权限分级机制不属于网络设备提供的SNMP访问措施。
允许远程攻击者不需要认证就执行命令属于 代码执行漏洞。
针对信息系统的访问控制包含三要素:主体、客体、访问控制
P2DR(动态安全模型):防护(protection)、检测(detection)、响应(response)、安全策略(police)
PDRR模型:保护(protection),检测(detection),恢复(recovery),响应(response)
- Title: 信息安全工程师
- Author: 敬请T期待
- Created at : 2024-10-25 15:28:08
- Updated at : 2024-11-18 15:44:07
- Link: https://kingwempity.github.io/2024/10/25/信息安全工程师-案例分析/
- License: This work is licensed under CC BY-NC-SA 4.0.