信息安全三级知识点

1、最新资料欢迎阅读信息安全三级知识点第一章：信息安全保障基础1：信息安全大致发展经历3个主要阶段：通信 保密阶段，计算机安全阶段和信息安全保障阶段2：现代信息安全主要包含两 层含义（1）运行系统的安全（2）完整性，机密性，可用性，可控制性，不可 否认性。3:信息安全产生的根源（1）内因：信息系统的复杂性，包括组成网络通信 和信息系统的自身缺陷，互联网的开放性（2）外因：人为因素和自然环境的 原因4：信息安全保障体系框架（1）生命周期：规划组织，开发采购，实施交 付，运行维护，废弃（2）安全特征：保密性，完整性，可用性（3）保障要 素：技术，管理，工程，人员5：P2DR安全模型Pt Dt+Rt P

2、t表示系统为了保护安全气目标设置各种保护后 的防护时间，或者理解为在这样的保护方式下，黑客攻击安全目标所花费的时 间；Dt代表从入侵者开始发动入侵开始，到系统能够检测到入侵行为所花费的 时间Rt代表从发现入侵行为开始，到系统能够做出足够的响应，讲系统调整到 正常状态的时间Et=Dt+Rt （ Pt =0） Dt和Rt的和安全目标系统的暴露时间 Et, Et越小系统越安全6：信息安全技术框架（IATF）：核心思想是纵深防御 战略，即采用多层次的，纵深的安全措施来保障用户信息及信息系统的安全。 核心因素是人员，技术，操作。7：IATF4个技术框架焦点域：本地计算环境，区域边界，网络及基础设施，支

3、撑性基础设施。8：信息系统安全保障工作的内容包括：确保安全需求，设计和实施安全方案, 进行信息安全评测和实施信息安全监控与维护。第二章：信息安全基础技术与原理1:数据加密标准DES；高级加密标准 AES；数字签名标准DSS； 2：对称密钥的优点：加密解密处理速度快，保密度高, 缺点：密钥管理和分发复杂，代价高，数字签名困难3：对称密钥体制：分组密 码和序列密码常见的分组密码算法：DESJDEA.AES公开的序列算法主要有RC4, SEAL4：攻击密码体制方法（1） 穷举攻击法（2）密码分析学：差分分析和线性分析5：差分密码分析法的基本 思想：是通过分析明文对的差值对密文的差值影响来恢复某些密钥

4、比特。线性密码分析基本思想：寻找一个给定密码算法有效的线性近似表达式来破 译密码系统：6：对称密码设计的主要思想是：扩散和混淆7：数据加密标准DES 算法64为分组大小，64位密钥，起作用的只有56位。8：IDEA利用128位密钥对64位明文分组，经过连续加密产生64位密文分 组。9：AES分组长度固定位128位，密钥长度可以 使8,192和256位，10：Rijndael使用的密钥和分组长度可以使32位的整数倍，以128位为下限, 256位为上限。11:主流的非对称密码包括RSA.ElGamal,椭圆曲线密码（ECC）。R SA基 于大合数因式分解难的问题设计ElGamal基于离散对数求解困

5、难的问题设计 ECC基于椭圆曲线离散对数求解困难的问题设计12：典型的哈希函数：消息摘 要算法MD5,安全散列算法SHA13：哈希函数的特点：压缩，易计算，单向性， 抗碰撞性，高灵敏性。哈希函数的应用：消息认证，数字签名，口令的安全性，数据完整性14： 消息摘要算法MD5按512位进行处理产生128位消息摘要，SHA预处理完毕 后的明文长度是512位整数倍，输出的是160位15：密钥的产生的硬件技术: 力学噪声源，电子学噪声源，混沌理论16：密钥的分配：人工密钥分发，基于 中心密钥分发（密钥分发中心KDC,密钥转换中心KTC） 17：基于中心的密钥分 发两种模式：拉模式和推模式18：最典型的密

6、钥交换协议：Diffie-Hellman 算法。19：公开密钥分配：（1）公开发布（2）公用目录（3）公钥授权（4）公钥证 书20：公钥授权的优点：更高的安全性，缺点由于用户想要与其他人联系都要 求助于公钥管理机构分配公钥，这样公钥机构可能会成为系统的瓶颈，此外维 护公钥目录表也科恩给你被对手窜扰。21：产生认证函数的3种类型：消息加密，消息认证码，哈希函数22：消息 认证码是一种认证技术，它利用密钥来生成一个固定长度的数据块，并将该数据 块附加在消息之后。23：系统采用的认证协议有两种：单向认证协议，双向认证协议24：身份认 证基本手段：静态密码方式，动态口令方式，USB Key认证以及生物

7、识别技术动 态口令：主要有短信密码和动态口令牌两种方式。优点在于一次一密，安全性高, 缺点在于如果客户端硬件与服务器程序的时间或次数不能保持良好的同步，就可 能发生合法的用户无法登陆。U SB Key：主要有两种模式（1）挑战应答模式和 基于PKI体系的认证模式生物识别技术：优点使用者几乎不能被仿冒，缺点价 格昂贵，不够稳定25：访问控制模型26：LBP模型具有下读上写的特点，方式机密信息向下级泄露。B iba不允许 向下读，向上写的特点，可以有效的保护数据的完整性。C hinese Wall模型 是应用在多边安全系统中的安全模型，有两个主要的属性，（1）用户必须选择 一个他可以访问的区域（2

8、）用户必须自动拒绝来自其他与用户所选区域的利益 冲突区域的访问。27：基于角色访问控制（RBAC）模型要素包括用户，角色和许可28：RBAC与 MAC的区别在于:MAC是基于多级安全需求的，而RBAC则不是。29：访问控制技术分两类：一类是集中式访问控制技术，另一类是分布式访 问控制技术，即非集中式访问控制技术30：集中式的AAA管理协议包括拨号 用户远程认证服务RADIUS,终端访问控制器访问控制系统TACACS, Diameter 等。31：RADIUS协议是一个客户端/服务器协议，运行在应用层，使用UDP协议， 身份认证和 授权使用1812端口，审计使用1813端口。32:RADIUS有

9、3个主要的功能：（1）对需要访问网络的用户或设备进行身份验 证，（2）对身份脸证的用户或设备授予访问资源的权限，（3）对以及授权的访 问进行审计，33：RADIUS的审计独立于身份验证和授权服务。34：TACACS+使用传输控制协议TCP35：Diameter协议支持移动IP, NAS请求和移动代理的认证，授权和审计工 作，协议的实现和RADIUS类似，但是采用TCP协议，支持分布式审计。是最 适合未来移动通信系统的AAA协议。36：Diametet协议包括基本协议，NAS （网络接入服务）协议，EAP （可扩展鉴 别）协议，MIP （移动IP）协议，CMS （密码消息语法）协议37：广泛使用

10、的 三种分布式访问控制方法为单点登录，Kerberos协议和SESAME38：常用的认 证协议：基于口令的认证协议，基于对称密码的认证，基于公钥密码的认证39： 一个审计系统通常由3部分组成：日志记录器，分析器，通稿器。40：恶意行为的监控方式主要分为两类：主机监测和网络监测。第三章：系统安全1：计算机主要由4个部分组成：硬件设备，基本输入 输出系统，操作系统，应用程序。2：CPU通常在两种模式下运行（1）内核模式（核心层RingO） （2）用户模式, 也成用户层（Ring3）,操作系统在内核模式下运行，其他应用应当在用户模式 下运行3：将CPU从用户模式转到内核模式的唯一办法就是触发一个特殊

11、的硬件 自陷如（1）中断（2）异常（3）显式地执行自陷指令4：用户接口是为了方便 用户使用计算机资源所建立的用户和计算机之间的联系，主要有两类接口：作 业级接口和程序级接口。作业级接口是操作系统为用户对作业运行全过程控制提供的功能，程序级 接口是操作系统专门为用户程序设置的，它也是用户程序取得操作系统服务的 以为途径。5:从功能上划分3类系统调用：设备输入输出系统调用，硬盘的输入输出 及磁盘文件管理的系统调用，其他系统调用6：操作系统的基本功能：资源管 理，用户接口，进程管理，内存管理操作系统的基本安全实现机制包括CPU模 式和保护环，进程隔离，内存保护等7：文件系统准确的说是一种数据链表，

12、用来描述磁盘上的信息结构8：常见保护环（1） 0环：操作系统内核（2） 1环: 操作系统的其他部分（3） 2环：I/O驱动程序和实用工具（4） 3环：应用程序和用户活动9：UNIX系统可分为3层：硬件层，内核层和用户层。关键系统组件包括内 存管理系统，文件系统，进程间通信，进程调度系统和设备驱动程序10：守护 进程是脱离于终端并且在后台运行的进程，在系统引导时装入，在系统关闭时终 止。11：系统和用户进行交流的界面称为终端，当控制终端关闭时，相应的进程 都会自动关闭。12：服务是运行在网络服务器上监听用户请求的进程，通过inetd进程或启 动脚本来启动通过inetd来启动的服务可以通过在/et

13、c/inetd, conf文件中 注释来禁用，通过启动脚本启动的服务可以通过改变脚本的名称禁用。13：inetd是UNIX最重要的网络服务进程，通过集中配置文件inetd、conf 来管理大多数入网连接，根据网络请求来调用相应的服务进程来处理连接请求, 有助于降低系统负载。x inetd以及取代了 inetd,并且提供了访问控制，加强 的日志和资源管理功能，已经成为新版的UNIX/Linux系统的Internet标准 超级守护进程。14：Linux系统中，用户的关键信息被存放在系统的/etc/passwd文件中。15：IS0/IEC15408标准将可信定义为：参与计算的组件，操作或过程在任意的

14、 条件下是可预测的，并能够抵御病毒和物理干扰。16：信任根是系统可信的基点，TCG定义可信计算平台的信任根包括3个 根：可信测量根（RTM）,可信存储根（RTS）,可信报告根（RTR）。17：可信平台（TPM）是由CPU,存储器，I/O,密码运算器，随机数产生 器和嵌入式操作系统等部件。18：可信密码模块的核心功能包括：度量平台完整性，建立平台免疫力，为平台身份提供唯一性表示，提供硬件级密码计算和密钥保护。最新资料欢迎阅读19：可信计算组织的可信计算系统结构可划分为3个层次：可信密码模块，可信密码模块服务模块，安全应用。20：可信网络连接（TNC）的优点：开放性，安全型，增加了平台身份验证 和

15、完整性验证。局限性：局限于完整性，单向可信评估，缺乏安全协议支持，缺乏网络接 入后的安全保障第四章：网络安全1:网络之间的连接通过物理介质实现的：物理介质包 括双线线，光纤灯有线介质，也包括无线电，微波，激光等无线介质。2：TCP/IP的体系结构：从下往上：物理和数据链路层，网际层，传输层和应 用层。3：网络地址：A类：0、 0、 0、 0127、255、255、 255 B 类：128、 0、 0、 0191、255、255、 255c 类：192、 0、 0、 0223、255、255、 255 D 类：224、 0、 0、 0239、255、2最新资料欢迎阅读55、 255 E 类：24

16、0、 0、 0、 0255、255、255、255私有地址：A类：10、 0, 0、 010、255、255、 255 B 类：172、16、 0, 0172、31、255、 255c 类：192、168、 0、 0192、168、255、255 （1）网络地址：在A, B, C三类地址中，主机号全为。的地址用来表示一个网络的本网 地址。（2）直接广播地址：在A, B, C三类地址中，主机号全为1的地址为直接广播地址，用于 表示特定网络的所有主机（3）受限广播地址：ip地址32位全为1,即255、255、255、255,则这个地址表示当前网络的广播地址（4）自环地址：最新资料欢迎阅读IP地址为

17、127、 0、 0、 14：TCP初始序列号常用的产生方法包括3种：第一种64K规则法，就是在一 个tcp连接启动时，在原有的序列号基础上增加一个64000的常量作为新 的序列号。第二种是与时间相关的产生规则，序列号的值是与时间相关的值， 第三种是伪随机数产生规则，通过伪随机数产生器产生序列号。5：TCP欺骗攻击包括非盲攻击和盲攻击两种6：DNS欺骗技术可分为基于DNS服务器的欺骗和基于用户计算机的欺骗。7：网站挂马的主要技术手段有：框架挂马（分直接加载框架挂马和框架嵌套 挂马两种方法），JS脚本挂马，body挂马和伪装欺骗挂马8：DoS/DDoS攻击的防御措施（1）静态和动态DDoS过滤器（

18、2）反欺骗技 术（3）异常识别（4）协议分析（5）速率限制（6）增强系统安全性，及早发 现系统中的漏洞，及时安装补丁，禁止所有不需要的服务（7）利用普通防火墙, 路由器等网络设备，和网络安全设备加固网络的安全性，关闭服务器的非开放 服务端口，限制SYN半连接数量，配置好访问控制列表的过滤规则，禁止网络 中的无用UDP数据包和ICMP数据包。9：开源Web应用安全项目（0WASP） 10：注入攻击的防范（1）使用预编 译语句（2）使用存储过程来验证用户的输入（3）在数据类型，长度，格式和 范围等方面对用户输入进行过滤（4）使用数据库自带的安全参数（5）按照最 小权限原则设置数据库的连接权限11：

19、跨站脚本攻击XSS分三类：（1）反射型 XSS （2）存储型 XSS （3） DOM-based XSS12：反射型XSS也称作为非持久型跨站脚本攻击：一般是向用户发出带有恶意 攻击脚本的一个URL连接，诱骗用户区点击。存储型XSS称为持久型跨站脚本攻击，攻击者将恶意数据非法存储在 Web服务器端的页面中。D 0M-based XSS是基于文档对象模型的跨站脚本攻 击,攻击者通过对javascript脚本动态修改D0M结构，进而导致XSS漏 洞。13：最新资料欢迎阅读XSS的防范（1）给关键Cookie设置Httponly标识（2）进行输入检查（3） 进行输出查14：跨站脚本请求伪造（CSRF

20、）是伪造客户端请求的一种攻击方式。是让用户 访问攻击者伪造的网页，执行网页中的恶意脚本。防范措施：（1）使用验证码（2）在用户会话验证信息中添加随机数15：木 马的连接方式：木马程序都采用C/S的结构，他由两部分程序组成，客户端和 服务端木马程序，攻击一方安装木马的客户端，同时诱骗用户安装木马的服务 端。16：防火墙的功能：（1）防火墙在内网外网之间进行数据过滤（2）对网络传 输和访问的数据进行记录和审计（3）防范内外网之间的异常网络攻击（4）通 过配置NAT提高网络地址转换功能17：防火墙技术：（1）包过滤技术（2）状 态监测技术（3）地址翻译技术（4）应用级网关技术18：防火墙体系结构:

21、双重宿主主机体系结构，屏蔽主机体系结构和屏蔽子网体系结构的防火墙19：入侵检测系统的分类（1）根据数据采集方式的分类：基于网络的入侵检测 系统NIDS和基于主机的入侵检测系统HIDS （2）根据检测原理分类：误用检 测型入侵检测系统和异常检测型入侵检测系统。误用检测技术（1）专家系统（2）模型推理异常检测技术（1）统计分析 （2）神经网络（3）其他入侵检测技术：模式匹配，文件完整性检验，数据挖 掘，计算机免疫20：入侵检测体系结构：基于网络/主机的入侵检测系统，集中式结构，分 布式结构21：入侵检测系统包括探测器和控制台两大部分：探测器是专用的硬件设备负责网络数据流的捕获，分析检测和报警等。控

22、制台是管理探测器的工具，它负责接收探测器的检测日志数据，并 提供数据查询和报告生成功能。22：入侵防御系统可以实现下面3个功能（1）拦截恶意流量（2）实现对 传输内容的深度检测和安全防护（3）对网络流量检测的同时进行过滤23：入 侵防御系统的部署（1）内外网络的边界（2） DMZ与防火墙的边界（3）内网核 心交换机和防火墙中间（4）内网关键服务器的外侧24：入侵防御系统的不足（1）可能造成单点故障（2）可能造成性能瓶颈（3）漏报和误报的影响25： 公共密钥基础设施PKI的作用主要包括（1）验证用户身份并颁发证书（2）确 保用于证书签名的非对称密钥的安全（3）管理证书信息资料26：证书认证机 构

23、系统的组成结构：认证中心（根CA）,密钥管理中心（KM）,认证下级中心（子CA）,证书审批中心（RA中心），证书审批受力点（RAT） 27：证书 的 验 证（1）验证有效性（2）验证可用性（3）验证真实性 证书的安全性（1）物理 安全（2）网络安全（3）密码安全28：信任模式：（1）单证书认证机构信任模式：这种模式中的PKI体系只有 一个证书认证 机构，PKI的所有终端用户都信任这个证书认证机构（2）层 次信任模式：由一级根证书认证机构1个，二级的政策证书认证机构3个， 三级的运营证书认证机构多个，三个层次组成。第一层为根认证机构（Root CA）,第二层为政策证书认证机构（Policy CA

24、）,第三层为运营证书认证机构（Operation CA） （3）桥证书机构认证信任模式：使不同结构类型的PKI体系中的中端用户都可以通过桥证书认证机构连 接在一起，并实现相互信任。29：虚拟专网VPN分为Client-LAN（也被称为远程访问型VPN）和LAN-LAN 两种连接类型（也被称为网络到网关类型的VPN）o30：VPN应用了多种信息安全技术和网络技术，包含隧道技术，加密解密，完 整性验证密钥管理技术和身份认证技术。其中网络隧道技术室VPN的关键技术，它的原理是使一种协议封装在另一 种安全协议中传输，从而实现被封装协议的安全性。31：VPN协议的分类（1）第二层隧道协议即链路层隧道协议

25、，主要有三种，第一种点对点隧道协议 PPTP,第二种是二层转发协议L2F,第三种二层隧道协议L2TP,结合前面两种协 议的优点。(2)介于二三层之间的隧道协议：MPLS VPN是一种基于多协议标记交换MPLS技术 的IP-VPN (3)第三层隧道协议即网络层的隧道协议，主要包括IPSec和GRE等隧道 协议(4)传输层的SSL VPN协议，采用标准的安全套接层协议SSL对传输 的数据包进行加密32：Internet安全协议IPSec包括网络安全协议和米啊哟协商协议两部分。网络安全协议包括：认证协议头AH协议和安全载荷封装ESP协议。密钥协商协议包括互联网密钥交换协议IKE等33： (1) ES

26、P协议为基于 IPSec的数据通信提供了安全加密，身份认证和数据完整性鉴别这三种安全保 护机制。根据封装的内容不同，可将ESP分为传输模式和隧道模式两种模式。传输模式下，ESP对于要传输的IP数据包中的IP有效数据载荷进行加 密和认证。隧道模式用于网关设备到网关设备的网络 连接。E SP采用的主要 加密标准时DES和3DES (2)认证协议头分为传输模式和隧道模式两种。分别 用于和ESP相同的网络连接环境中传输模式中，认证协议头被插在IP数据 包的IP头之后，有效数据载荷之前，它对整个新IP数据包进行完整性检验认 证，IP报头AH头IP有效载荷隧道模式中IP数据包格式不变，认证协议 头被插在原

27、IP头之前，并生成一个新的IP头放在认证协议头之前，新IP 报头AH报头原IP报头IP有效载荷(3)密钥协商协议ESP和认证协议在 进行IPSec数据安全封装过程中需要使用加密算法，数据完整性检验算法 和密钥等多种安全参数。I KE协议负责两个IPSec对等体之间协商相关安全 参数，包括协商协议参数，交换公共密钥，双方进行认证以及在交换安全参数 后对密钥的管理，IKE协议属于混合型协议，由3个协议组成：ISAKMP,Oakley, SKEME、沿用了 Oakley的密钥交换模式和SKEME的共享 密钥和密钥组成技术。IKE使用两阶段协商安全参数：第一阶段，通过协商IKE SA建立一个通信信道并

28、对该信道进行验证。第二阶段,IKE使用第一阶段由IKESA协议建立的安全通道一个完整 的IPSec隧道建立过程：1) IPSec的一端收到另一端的IPSec数据流后将产 生IKE会话2) IPSec两端使用IKE的主模式或者主动模式协商，交换IKE SA,建立安全通道3） IPSec两端使用IKE的快速模式协商，交换IPSec SA, 建立IPSec安全通道4）上述协商完成并建立IPSec安全通道，传输的数据 采用ESP或者认证协议进行封装后就可以在加密通道上传输了综上可知 IPSec提供了数据加密，身份认证和完整性检验这三个最基本的安全措施保证 通过IPSec建立的VPN的安全性。34：安全

29、套接层：解决了 TCP/IP协议的安全防护问题，为传输层之上的应用层提供了加密， 身份认证，和完整性验证的防护。（1）SSL协议的构成，建立在TCP/IP协议之上，包括两层协议：记录 协议和握手协议SSL记录协议位于SSL握手协议的下层，定义了传输格式，上 层数据包括SSL握手协议建立安全连接时所需传送的数据，他们都通过SSL 记录协议往下层进行传送。35：应用层安全协议：Kerberos协议，SSH协议，SHTTP协议，S/MIME协议，SET协议。（1）Kerberos协议是一种认证协议，主要用于分布式网络环境中，实现 用户和服务器之间的安全身份认证。（2） SSH协议可以把所有的传输数据

30、进行加密，同时能防止DNS欺骗 和IP欺骗攻击。S SH支持的两种登陆认证方式第一种基于口令的登录认证第二种是登录认证需要依靠密钥来进行（3） SHTTP协议是一种基于HTTP 设计的消息安全通信协议，提供了对称密钥加密功能，支持用户浏览器到服务 器之间的数据安全传输，加密用到的对称密钥是通过公钥加密后传输到Web服 务器的。（4） S/MIME协议即安全多用途网际邮件扩充协议提供针对电子邮件的数 字签名和数据加密功能，以弥补SMTP协议和POP3协议在安全功能方面的不 足。第五章应用安全1：漏洞分类（1）本地漏洞：指攻击者必须在本机拥有访问权限的前提下才能攻击并利用的软件漏洞（2）远程利用漏

31、洞：指攻击者可以通过网络发起攻击并利用的软件漏洞2：根据漏洞形成的原因 分类（1）输入验证错误漏洞（2）缓冲区溢出漏洞（3）设计错误漏洞（4）意 外情况处置错误漏洞（5）访问验证错误漏洞（6）配置错误漏洞（7）竞争条件 漏洞（8）环境错误漏洞（9）外部数据被异常执行漏洞3：美国国家漏洞数据 库NVD收录了三个漏洞公告和安全警告：CVE漏洞公告，US-CERT漏洞公告，US-CERT安全警告。C NNVD中国国 家信息安全漏洞库，国家信息安全漏洞共享平台CNVD,国家互联网应急中心 （CNDERT 或 CNCERT/CC） 4：、text段是存放程序代码的区域，该区域为只读，任何对该区域的写操作

32、 都会导致段违法出错。、bss段和、data段都保存的是全局变量，其中、bss 段包含未初始化的全局变量，、data段包含已初始化的全局变量，他们都是 可写的。这块区域编译时分配空间，程序运行结束时回收。堆（heap）是先进先出的数据结构，往高地址增长，主要用来保存动态分 配变量栈（stack）是一个后进先出的数据结构，往低地址增长，它保存本 地变量，函数调用信息。5：Windows应用程序4GB虚拟内存空间被分成两个部分：一个给用户模式， 其范围是 0 xO x7fffffffo另一个分给内核模式，空间是0 xO xbfffffffo6： （1）指令寄存器eip用于存放一个指针，该指针始终指

33、向下一条要执行 指令（即要被调用的函数）的地址，即返回地址（2）基址指针寄存器ebp用 于存放一个指针，该指针始终指向当前执行指令（正被调用的函数）所对应栈 帧的底部地址，即基址，也被称为栈帧底部指针。（3）栈指针寄存器esp用于存放一个指针，该指针始终指向当前执行指 令（即正在被调用的函数）所对应栈帧的最新栈顶地址，也称为栈顶指针。7：函数别调用一般过程（1）参数入栈（2）返回地址入栈（3）代码区跳跃 （4） ebp中母函数栈帧基址指针 入栈（5） esp值装入ebp, ebp更新为新 栈帧基地址（6）给新栈帧分配空间8：溢出漏洞：栈溢出，堆溢出，单字节溢出，格式化字符串漏洞，内存地址对象

34、破坏性调用漏洞整数溢出漏洞：整数分有符号类和无符号类，有符号的负数最高位是1,正数最高位是 0,无符号类就没有这类限制，分为三类：存储溢出，运算溢出，符号问题数组越界漏洞：由不正确的数组访问造成 的，相关特征：读取恶意构造的输入数据，用输入数据计算数组访问索引，对 数组进行读/写操作写污点值到污点地址漏洞：这个漏洞一般存在Windows设 备驱动中，攻击者利用这种漏洞修改操作系统内核的关键数据结构，相关特征: 读取污点数据，读取污点地址，向污点地址写入污点数据9：缓冲区溢出攻击，攻击者一般向存在漏洞的软件程序输入数据一般包括：随 机填充数，NOP填充字段，shellcode和新的返回地址。10

35、：kernel32、dll 中提供了 LoadLibrary （）和 GetProcAddress （）两个关键的函 数，通过他们就可以获取任意API的地址，从而实现API调用。11：漏洞利用技术（1）静态shellcode地址的利用技术：（2）动态变化的shellcode地址的利用技术（3） Heap Spray技术： 在shellcode的前面加上大量的滑板指令,之后反复向系统申请大量的 内存，并且反复用这个注入代码段来填充12：软件漏洞利用的防范技术（1） GS Stack protection技术是一项缓冲区溢出的检测防护技术（2） DEP数据 执行保护技术可以限制内存堆栈区的代码为不

36、可执行状态，从而防范溢出后代 码的执行（3） ASLR地址空间分布随机化是一项通过将系统关键地址随机化， 从而使攻击者无法获得需要跳转的精确地址的技术，使用ASLR技术的目的就 是打乱系统中存在的固定地址（4） SafeSEH是Windows异常处理机制所采 用的重要数据结构链表，定义程序发生各种异常时相应的处理函数保存在SHE 中，攻击者通过缓冲区溢出覆盖SHE中异常处理函数句柄，将其替换为指向恶 意代码shellcode的地址。（5） SEHOP结构化异常处理覆盖保护13：软件开发生命周期模型：瀑布 模型，螺旋模型，迭代模型，快速原型模型14：软件静态安全检测技术可以用于对软件源代码和可执

37、行代码的检测软件 源代码静态检测：词法分析，数据流分析，污点传播分析，符号执行，模型检验, 定理证明可执行代码的静态安全检测：基于程序结构的安全检测技术，基于程 序语义的安全检测技术15：软件动态安全检测技术：模糊测试，智能模糊测 试，动态污点分析16：基于软件技术的软件安全保护技术：（1）注册信息验证技术（2）软件防篡改技术：通过完整性检验来检测 软件是否被攻击者篡改，有两种方式判断。第一种：判断内存中的代码段是否 能通过完整性检验。第二种：判断硬盘中的文件是否被篡改（3）代码混淆技 术：技术手段有词法转换，控制流转换，数据转换（4）软件水印技术：可分为代码水印和数据水印，代码水印是将水印信

38、息隐藏在程序的代码 和指令部分。数据水印是将水印信息隐藏在程序的头文件，字符串和调试信息数据 中。（5）软件加壳技术：第一类压缩保护壳，第二类加密保护壳17：单一功能的病毒：（1）文件感染型病毒（2）宏病 毒（3）引导型病毒（4）邮件型病毒18：蠕虫一般由两个部分组成：一个主程序和一个引导程序19：加密狗一种广泛应用在硬件介质的软件安全保护技术20：针对Web系统的主要安全威胁包括：注入，跨站脚本，造破坏的身份认证 和会话管理，不安全的直接对象引用，伪造跨站请求。第六章：信息安全管理1：信息安全管理体系（ISMS）构架实施的有效性有两方面 的含义：一是控制活动应严格要求实施，二是活动的结果要达

39、到预期的目标要 求。2：信息安全管理体系审核时为了获得审核证据。对体系进行客观的评价， 以确定满足审核准则的程度所进行的系统的，独立的并形成文件的检查。3：组织机构实施信息安全管理体系认证时根据国际上的信息安全管理标准 BS7799标准4：识别和控制机构面临的风险的过程成为风险管理，这个过程有 两个主要任务：实现识别和风险控制5：信息安全风险评估原值：自主，适应 度量，已定义过程，连续过程的基础6：风险评估过程：（1）信息资产评估（2） 风险的确定（3）识别可能的控制（4）记录风险评估的结果7：风险控制策略 （1）采取安全措施，消除或减小漏洞的不可控制的残留风险（2）将风险转移 到其他区域，或

40、转移到外部（3）减小漏洞产生的影响（4） 了解产生的后果，并 接受没有控制或缓解的风险8：访问控制可以分为下列三类：预防性的访问控 制，探查性访问控制，纠正性访问控制，9：访问控制依赖四个原则：身份标识，验证，授权和责任衡量10：信息安全事件管理与应急响应4个不同的计划：业务持续性计划BCP,灾 难恢复计划DRP,事故响应计划IRP,应急计划CPo11：持续性战略计划有三种互不相同的选项：热站点，暖站点，冷站点，以 及三种共享功能：时间共享，服务台和共有协议。第七章：信息安全标准与法规1:可信的计算机系统安全评估标准 （TCSEC）,信息技术安全评估标准（ITSEC）由（法国，英国，荷兰，德国） 发布的，信息技术安全评价的通用标准（CC）由六个国家联合发布的（美国, 加拿大，英国，法国，德国，荷拦）2：BS7799分为两