一、选择题

第一章、信息安全保障概述

*信息与信号*

信号是信息的载体，信息则是信号所承载的内容

*信息与消息*

消息是信息的外壳，信息则是消息的内核;消息是信息的笼统概念，信息则是消息的精确概念

*信息技术产生与发展三个阶段*

第一阶段，电讯技术的发明;

第二阶段，计算机技术的发展;

第三阶段，互联网的使用;

*信息安全发展经历三大阶段*

通信保密阶段、计算机安全阶段和信息安全保障 阶段

*信息系统安全保障三个方面（安全保障体系框架）*

生命周期、保障要素以及安全特征

*信息安全的五个基本属性*

机密性、可用性、可控性、不可否认性和完整性

机密性是保证机密信息不被窃听，或窃听者不能了解信息的真实含义。

不可否认性是保证信息行为人不能否认自己的行为，

可用性是保证合法用户对信息和资源的使用不会被不正当地拒绝。

完整性是指保证数据的一致性，防止数据被非法用户篡改。

*P2DR模型*

策略、防护、检测、响应

策略是核心

检测是动态响应的依据

P2DR 模型可以用下面数学公式表示:Pt>Dt+Rt，

Pt表示系统为了保护安全目标设置各种保护后的防护时间，或者理解为在这样的保护方式下，黑客(入侵者)攻击安全目标所花费的时间;

Dt代表从入侵者开始发动入侵开始到系统能够检测到入侵行为所花费的时间;

Rt代表从发现入侵行为开始，到系统能够做出足够的响应，将系统调整到正常状态的时间;所以当Pt越大系统就越安全，

*TCSEC*

TCSEC标准是计算机系统安全评估第一个正式标准

A、B(B1、B2、B3)、C(C1、C2)、D共4个等级7个级别，等级由A到D依次降低

*加密相关*

1.1977年，美国联邦政府颁布数据加密标准(DES)，这是密码史上的一个创举，为加密算法的标准化奠定了基础。

2.1994年，美国联邦政府颁布数字签名标准(Digital Signature Standard，DSS)。

3.美国联邦政府颁布高级加密标准(Advanced?Encryption?Standard，AES)的年份是2001

信息技术的消极影响

信息泛滥、信息污染和信息犯罪。

*书籍相关*

1.1949年，香农（Shannon）发表了著名的《保密系统的通信理论》的论文，把密码学置于坚实的数学基础上，标志着密码学作为一门学科的形成，宣告科学的密码学时代到来。

2.我国的信息安全保障体系建设始于2003年9月，中央颁布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发27号文件)，标志着我国信息安全保障体系建设工作的开始

3.1998年10月，美国NSA颁布了《信息保障技术框架》(Information Assurance Technical Framework,IATF)它是描述信息保障的指导性文件。

4. 《信息保障技术框架(IATF)》提出了3个主要核心要素:人员、技术和操作

*杂记*

信息安全是网络时代国家生存和民族振兴的根本保障

消息认证是防止传输和存储的消息防止被篡改，验证所有消息来自发送方，并且未被篡改

消息摘要（数字摘要）：验证消息完整性

第二章、信息安全基础技术与原理

消息认证：验证接收消息来自于发送方，没有被篡改过

产生认证码：消息加密、消息认证码、哈希函数

访问控制：鉴别用户的合法身份后，控制用户对数据信息的访问

碰撞：两个不同消息具有相同的消息摘要的现象

*哈希函数（散列函数）*

单向性、易计算、抗碰撞性

SHA-1 信息摘要长度160位

应用于：消息认证、数字签名、口令的安全性、数据的完整性；不能用于消息加密、访问控制

SHA-2哈希长度值224、256、384、512比特

SHA-3哈希长度值224、256、384、512比特

*MD5函数（信息摘要算法）*

MD5信息摘要长度128位

512 长度

*密码攻击*

唯密文攻击：最容易防范,攻击者已知加密算法和密文

已知明文攻击

选择明文攻击

选择密文攻击：最难防范

*对称密码*

加密解密速度快，保密高，密钥管理和分发复杂

明文加密方式

分组密码：DES（Feistel 网络）、IDEA、AES（采用代换-置换SP网络）、SM4

序列密码（流密码）：RC4、SEAL

DES：Feistel网络；64位，8位校验位

IDEA

AES：SP网络，2001 美国联邦政府；分组固定长度128位，密钥长度128，192，256

RC4

SEAL

*非对称（公钥）密码*

用于加密和数字签名

加密过程：明文–接收方公钥加密–密文–接收方私钥解密–明文

*RSA：大整数因式分解*
公钥：e、n

素数；p、q

私钥：d;满足 d乘e mod((p-1)*(q-1))=1

明文：m

密文：c=m的e次方 mod n

为了确保RSA密码的安全，必须认真选择RSA的密码参数，要应用RSA密码，应当采用足够大的整数n，普遍认为，n至少应取1024位，最好是2048位;为了使加密速度快，根据反复平方乘算法，e的二进制表示中应当含有尽量少的1。

Elamal：离散对数

*密钥交换协议*

*消息加密*

发送方使用接收方公钥生成密文，接受方使用自己私钥解密

*数字签名*

发送方使用自己私钥签名，接受方使用发送方公钥认证

认证、完整性、不可抵赖性

认证使用签名者公钥、

防止签名者抵赖

访问控制主体和客体

主体也能是一个客体

*密钥交换协议*

Diffie-Hellman 实用、非保护信道、匿名（无认证）*
*

*访问控制*

鉴别之后，控制用户对数据的访问

主体：

客体

强制访问控制模型（MAC）：Biba

混合策略模型：Chinese Wall（强制访问控制模型）

完整性模型：

保密性：Bell-Lapudula模型

自主访问控制（DAC）

访问控制矩阵模型：

*分布式访问控制*

单点登录（SSO）、Kerberos协议和SESAME协议

*单点登录（SSO）*

用户只需输入一次用户名和密码，就能访问到多个该用户所需要的资源

缺点：需细致地分配用户权限，否则易造成用户权限过大

*Kerberos协议*

不依赖、不要求安全

支持单点登录、双向的身份认证、身份认证采用对称加密

核心设计：认证过程中引入可信第三方（Kerberos验证服务器）

TGT（票据获取凭证）

缺点：需要解决时钟同步

网络认证协议

*集中式AAA管理协议*

RADIUS（拨号用户远程认证服务）,TACAAS(终端访问控制器访问控制系统),Diameter

*RADIUS协议*

拨号用户远程认证服务是一个网络协议，提供集中式AAA管理，客户端/服务器协议，应用层，使用UDP协议

优点：简单明确、可扩充

缺点：不能处理丢包问题

*TACAAS协议*

使用TCP协议，动态密码，分离认证和授权

*Diameter协议*

与RADIUS协议类似，采用TCP协议，支持分布式审计、克服RADIUS协议许多缺点，最适合

*AAA管理*

认证、授权、审计

*不良信息监控*

网址过滤技术、网页内容过滤技术、图像内容过滤技术

网页内容过滤技术：网络舆情分析

*PKI体系*

数字证书：不包含用户私钥。验证有效性、可用性、真实信

*数据库*

数据库安全检测：端口扫描、渗透测试、内部安全检测

SQL注入：利用服务器漏洞

*杂记*

Caesar密码 k取值为3 密文是明文每个字母替换为每个字母的后面第三个字母

DSS 数字签名标准

*监测*

主机监测：主机上安装反病毒软件和基于主机的入侵监测软件

网络监测：网络活动中被动鉴定网络流量

*国密算法*

分组算法： 1，4，7

第三章、系统安全

低交互蜜獾：脚本或其它程序虚拟部分操作系统及服务行为，模拟系统服务漏洞，达到攻击诱捕获

高交互蜜獾：

TCB 可信计算基

TCM 可信密码模块

TCG 可信计算组织

TPCM 可信平台控制模块

TPM 可信平台模块

用户模式到内核：中断、异常、显式自陷

引导程序：Grub、Lilo、spfdisk

保护环结构

0环：操作系统内核

1环：操作系统的其它部分

2环：I/O驱动程序和实用工具

3环：应用程序和用户活动

Linux

启动第一个进程init（进程编号为1）

*守护进程*

linux后台服务进程，脱离终端并在后台运行（当控制终端被关闭时，包括守护进程在内），生长周期较长的，独立于控制终端并且周期性的执行某种任务或者等待处理某些发生的事件，系统装入时启动，系统关闭时终止

*UNINX/Linux*

last 上次登录过用户

chmod 访问权限

chown 拥有权限

umask 设置用户创建文件的默认权限

/var/account/pacct 用户历史命令

inetd 最重要的网络服务进程、用于启动服务进程

lastlog 最后一次登录文件的命令

/etc 配置文件

Sockets 进程通信时使用的特殊文件

超级用户：用户的UID和GID设置0

三种时间戳：atime（访问时间）、mtime（修改时间）、ctime(状态改变时间)

*Windows*

子系统：Win32、POSIX、OS/2、

idle 进程id 总为0

日志：文件日志、应用程序日志、安全日志

Windows NT 口令字密文保存在SAM文件

安全策略：密码策略、审核策略、软件限制策略

net start 查看当前已经启动的服务列表

tasklist 当前运行进程的控制台命令

smss 会话管理器（第一个在系统中被启动的用户进程）

services 管理启动和停止windows 服务

Msinfo 32 查看系统基本信息、显示本地计算机硬件

NTFS 文件系统可以修改文件日志

win2k.sys 子系统内核模式的windows 操作系统的核心组件

EXecute、Read 穿越目录并进入其子目录

默认口令最长存留期 42

*操作系统*

引导程序：Grub、Lilo、spfdisk

进程管理：中断实现

组织资源的最小单位：进程

*数据库*

事务处理的特性

原子性：

一致性：

隔离性：事务的执行不能被其他事务干扰

持久性：

CREATE USER 默认权限connect （只能登录数据库）

RESOURCE权限：能创建基本表和视图

缓冲区漏洞：每个安全漏洞只存在于相应的某个具体版本

*数据库安全检测：*

端口扫描（服务发现）：端口扫描、检查其中安全缺陷

能隐藏端口扫描：乱序扫描和慢速扫描

渗透测试：模拟黑客攻击、对象为数据库身份验证和服务监听系统

监听安全特性分析、用户名和密码渗透、安全漏洞分析

内部安全检测

外键：参照完整性

主键：实体完整性

视图：视图机制的安全功能不能太精细，往往不能达到应用系统的需求

GRANT 语句发出者（DBA,数据库对象的创建者，已经拥有该权限的用户）

特权提升：普通权限转换为管理员权限，使用管理权限，恶意的开发人员可以禁用审计机制、

开设伪造的账户以及转账等

过度的特权滥用：大学管理员修改分数，可能用高权限修改

参照完整性：外键参考现有的主键

AUDIT 设计审计功能

NONUDIT 取消设计审计功能

数据库动态安全防护：数据库入侵检测防护

*杂记*

高交互蜜獾：做攻击诱捕的有真实性操作系统的虚拟操作系统

第四章、网络安全

ARP(网络层协议) ip–>mac

RARP mac–>ip

端口扫描工具：nmap、

漏洞扫描工具：

跟踪路径的工具：tracert

诱骗式攻击：网站挂马、网站钓鱼、社会工程

网站挂马技术：框架挂马、js脚本挂马、body挂马、伪装欺骗挂马

诱骗下载：

网站钓鱼：

社会工程：

TCP格式

UDP格式

IPSec第三层隧道协议

半连接端口扫描：TCP SYN扫描（前两次握手）

TCP全连接DDos攻击：Port Connection Flood（TCP连接端口断开连接循环往复）

TCP层协议DDos协议攻击：只有针对TCP层（传输层）

秘密扫描（隐蔽扫描）：TCP FIN扫描

栈溢出工具：随机填充、NOP填充字段、shellcode 新的返回地址

AH验证、ESP加密

ESP协议：安全加密、身份认证、数据完整性鉴别三种安全保护机制

CSRF(跨站点请求伪造攻击)：伪造客户端请求的一种攻击方式

XSS(跨站点请求伪造攻击)：伪造客户端的一种攻击方式

网络嗅探工具通过获取数据包中的明文信息来窃取数据，VPN、SSL、SSH可以防范；

没有经过加密的就不能防范

*防火墙*

架构：X86、ASIC、NP

功能：内外网之间数据过滤、防范网络攻击、NAT地址转换、数据记录和审计

状态检测防火墙：

包过滤防火墙：支持采用包过滤技术进行攻击的拦截

木马服务端对木马客户端的连接不回引起防火墙的拦截

web服务器不能配置访问控制列表过滤

*ESP*

不能对源ip和目标ip加密

*木马程序*

第一代 客户端传统网络连接连接服务端

第二代 客户端传统网络连接连接服务端

第三代 反弹端口

第四代 反弹端口

第五代 采用Rootkit技术（内核隐藏技术）

入侵检测系统（IDS）：只能对网络行为

类型：异常检测型、误用检测型(收集攻击行为和非正常的行为特征，以建立特征库进行检测)

入侵防御系统(IPS):应用层防护、入侵检测、拦截恶意流量、监测过滤流量、传输内容的深度检测和安全防护

弱口令扫描：字典攻击的扫描技术、基于穷举攻击扫描技术

Land Flood 攻击：源ip以及目的ip 都为目标主机的ip地址

UDP Flood 攻击：耗尽目标主机网络带宽的攻击

21 ftp

23 telnet

25 smtp

80 http

110 破皮

第五章、应用安全

IPsec:加密、数据完整性、身份验证

*软件安全检测技术*

静态：未处于运行状态的软件所开展（软件源代码）

静态优势：不需要构建代码运行环境，分析效率高，资源消耗低

方法：词法分析、数据流分析、污点传播分析、符号执行、模型检验

污点传播分析：通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常

动态：运行中的软件构造非正常输入输出

方法：动态污点、模糊测试（随机性、缺乏对程序的理解、测试的性能不高）

模糊测试缺点：生成的数据随机性、缺乏对程序理解、代码覆盖不充分、测试数据覆盖率不高

代码混淆技术：词法转换、控制流转换、数据转换

*软件安全开发技术*

安全模型威胁、安全设计、安全编码、安全设计

*软件安全保护技术*

注册信息验证、软件防篡改、代码混淆、软件水印、软件加壳、反调试反跟踪

软件加壳技术：压缩保护壳和加密保护壳子

国家信息安全漏洞共享平台（CNVD）

美国国家漏洞数据库（NVD）

微软软件安全开发生命周期模型(SDL)13阶段

0（准备阶段）通过教育培训，培养开发团队员工的安全意识

1

2

3

4

5

6

7

8

9最终安全评审

10制定安全响应计划

11产品发布

12安全响应执行

软件开发生命周期模型：

瀑布（一系列阶段按照顺序执行）、螺旋、迭代、快速等

软件开发设计阶段–安全设计原则：最小权限、开放设计、全面防御、权限分开、最少公用、心理接受、代码重用、冲分考虑

恶意代码传播：网站挂码、诱骗下载、移动存储介质，电子邮件和即时通信软件

恶意代码查杀：特征码、启发式、虚拟机

漏洞存在三要素

计算机本身存在缺陷、漏洞的存在和利用都有一定的环境要求、漏洞本身是没有危害，只有被攻击者恶意利用，才能给计算机系统带来威胁和损失

软件漏洞的特点

危害性大、影响广泛、存在长久、隐蔽性

ISO 13335 IT安全：机密性、完整性、可用性、审计性、认证性、可靠性

*XSS(客户端脚本攻击)*

防范：输入输出检查、关键Cookie植入Httponly标识

微软公司漏洞

1紧急

2重要

3警告

4注意

数组越界漏洞特征：读取恶意构造的输入数据、用输入数据计算数组访问索引、对数组进行读写操作

UFA漏洞：内存地址对象破坏性调用漏洞

*栈*

栈指针寄存器esp中保存栈顶指针；内存增长方向是往低地址增长

指令寄存器esp中保存返回地址

*堆*

内存增长方向是往高地址增长

缓冲区溢出：堆、栈、单字节

整数溢出：存储溢出、运算溢出、符号问题

逆向辅助工具：OllyDbg、SoftlCE、WinDBG、IDApro

捆绑技术：多文件、资源融合、漏洞利用

风险缓解策略：事件响应计划(IRP)、灾难恢复计划(DRP)、业务持续性计划（BCP）

****软件开发技术：****建立安全威胁模型、安全设计、安全编码、安全测试

安全事故响应：非必要首先保护物理资产的安全，然后尽可能保护人员的安全

NOP漏洞利用技术

应急计划三元素：事件响应、灾难恢复、业务的持续性计划

SEH 是Windows 异常处理机制所采用的重要数据结构链表

白盒测试：代码

黑盒测试：功能

第六、章信息安全管理

风险管理两个任务：风险识别、风险控制

风险管理主要包括：风险的识别、风险的评估、风险控制策略

系统安全维护步骤：报告错误、处理错误、处理错误报告

信息安全风险评估方法：基础风险评估、详细风险评估、基础风险评估、详细风险评估相结合

ISMS

预防控制为主

建立的基础是安全风险评估

ISO 13335 IT安全的机密性、完整性、可靠性、可用性、审计性、认证性、

信息系统组成部分不包括解决方案

*应急计划过程开发*

第一阶段 业务影响分析

风险缓解策略：事件响应计划（IRP）、灾难恢复计划(DRP)、业务持续性计划(BCP)

*杂记*

特征码查杀不能有效检测采用加壳技术的恶意程序

事故响应：不包括保护物理资产

标识：对一个主体表示其身份并进行责任衡量的过程

安全组织机构三结合：领导、保卫、计算机技术人员

我国，计算机安全管理组织4个层面

用户账号管理建立、维护、关闭

事故响应四个阶段：计划、检测、反应、恢复

在我国计算机安全管理组织中，直接负责计算机应用和系统运行业务的单位是经营单位

信息安全管理主要内容：信息安全管理体系、信息安全风险管理和信息安全管理措施三个部分。

风险评估是信息安全管理工作的基础，风险处置是信息安全管理工作的核心，安全管理控制措施是风险管理的具体手段。

信息安全政策作为组织机构的信息安全的最高方针。

信息安全管理体系评审程序包括:编制评审计划、准备评审材料、召开评审会议、评审报告分发与保存、评审后要求。

访问控制可以分为下列3类。①预防性的访问控制。②探查性访问控制。③纠正性访问控制。

信息安全管理措施详细介绍了基本安全管理措施和重要安全管理过程。

危机管理的关键部分包括如下:核查人员;检查警报人员名单;检查紧急事件信息卡。

访问控制的实现可以按照行政、逻辑/技术或物理进行分类。

访问控制依赖于四个原则:身份标识、验证、授权、责任衡量。

风,险评估的过程包括信息资产评估、信息资产评估和识别可能的控制。

第七章、信息安全标准与法规

风险管理有两个主要任务:风险识别和风险控制。

信息安全管理的主要内容包括信息安全管理体系、信息安全风险评估和信息安全管理措施。

风险评估的过程包括信息资产评估、信息资产评估和识别可能的控制，并不包括转移风险。

信息安全管理体系审核中

纠正措施是为了消除已发现的不符合的或其他不期望的情况所采取的措施

风险管理任务：风险识别、风险估测、风险评价

系统安全维护的步骤:(1)报告错误(2)处理错误(3)处理错误报告

访问控制

信息技术安全评价的通用标准(CC),是由六个国家(美国、加拿大、英国、法国、德国、荷兰)于1996 年联合提出的，并逐渐形成国际标准ISO 15408。

首次给出关于IT安全的机密性、完整性、可用性、审计性、认证性、可靠性六个方面的含义的国际标准是ISO 13335。

国家密码的保密期限不能确定，要确定解密条件。

《电子签名法》

电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。

电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正;逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务;吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门

《电子签名法》第三章第十三条，电子签名同时符合下列条件，

(1)电子签名制作数据用于电子名时，属于电子签名人专有;

(2)签署时电子签名制作数据仅由电子签名人控制;

(3)签署后对电子签名的任何改动能够被发现;

(4)签署后对数据电文内容和形式的任何改动能够被发现

电子签名依赖方：基于对电子签名认证证书或者电子签名的信赖，从事有关活动的人或机构

《保守国家秘密法》

第十条，国家秘密的密级分为绝密、机密、秘密三级，

绝密级国家秘密是最重要的国家秘密泄露会使国家安全和利益遭受特别严重的损害。

绝密级不超过三十年，机密级不超过二十年，秘密级不超过十年。

第十四条，机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围。

《信息安全等级保护管理办法》

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

第二级，信息系统受到破坏后，会对公民法人和其他组织的合法权益产生严重损害，或对社会秩序和公共利益造成损害，但不损害国家安全;

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或对国家安全造成损害，第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或对国家安全造成严重损害;

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

《计算机信息系统安全保护等级划分准则》

已正式颁布并实施;该准则将信息系统安全分为5个等级，分别是自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。

安全考核指标有身份认证、自主访问控制、数据完整性、审计等

机关、单位应当根据工作需要，确定国家秘密的具体的保密期限、解密条件或者解密时间

机关、单位对所产生的国家秘密事项，应当看着国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围

国家秘密的保密期限，应当根据事项的性质和特点进行制定，对不能确定期限的，应当确定解密条件

应当根据情况变化及时变更国家秘密的密级、知悉范围、保密期限

*《信息安全等级保护基本要求》*

基本安全要求：信息系统的最低保护要求，包括基本技术要求和基本管理要求

物理、网络、主机、应用、数据

信息安全等级保护基本管理要求：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理

2016年《我国网络安全法》

CC(ISO 15408)

CC标准：信息技术安全评价的国际标准、信息技术安全性评估准则

美国、加拿大、英国、法国、德国、荷兰

评估过程：功能和保证两个部分，7个等级

《刑法》

3年 入侵国家事务、国防建设

机构

中国信息安全测评中心的简称是CNITSEC

CNCERT联合了国内重要单位和企业建设的国家信息安全漏洞共享平台，其英文简写为CNVD。

美国国家漏洞数据库简称是NVD

二、填空题

TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。

信息安全的发展大致经历了3个主要阶段:通信保密阶段、计算机安全阶段和信息安全保障阶段。

由于网上的信息量十分巨大，仅依靠人工的方法难以应对网上海量信息的收集和处理，需要加强相关信息技术的研究，形成一套自动化的网络舆情分析系统。

消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证。

访问能力表:这种方法对应于访问控制矩阵的行。每个主体都附加一个该主体可访问的客体的明细表。

强制访问控制系统通过比较主体和客体的 安全标签来决定一个主体是否能够访问某个客体。

在标准的模型中，将CPU模式从用户模式转到内核模式的唯一方法是触发一个特殊的硬件自陷。

在Unix/inux中，每一个系统与用户进行交流的界面都被命名为终端。

TCG使用了可信平台模块，而中国的可信平台以可信密码模块为核心。

根据ESP封装内容的不同，可将ESP分为传输模式和隧道模式。

PKI是创建、管理、存储、分布和作废数字证书的一系列软件、硬件、人员、策略和过程的集合。

木马程序由两部分程序组成，黑客通过客户端程序控制远端用户的计算机。

通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常。
是污点传播分析技术。

恶意影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序是恶意程序。

根据加壳原理的不同，软件加壳技术包括压缩保护壳和加密保护壳。

处于未公开状态的漏洞是0day漏洞。

国家信息安全漏洞共享平台是CNCERT联合国内重要信息系统单位建立的信息安全漏洞信息共享知识库，它的英文缩写是CNVD。

AES算法的分组长度是128位。

进程与CPU通信是通过中断信号来完成的。

在Unix/Linux系统中，服务是通过inetd进程或启动脚本来启动。

主要适用于有严格的级别划分的大型组织机构和行业领域的信任模型是层次信任模型。

NIDS包括探测器和控制台两部分。

根据软件漏洞具体条件，构造相应输入参数和Shellcode代码，最终实现获得程序控制权的过程是 漏洞利用。

攻击者窃取Web用户SessionID后，使用该SessionID登录进入Web目标账户的攻击方法，被称为漏洞劫持。

通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常，这种技术被称为 污点传播分析技术。

信息安全管理的主要内容，包括信息安全管理体系、信息安全风险评估和信息安全管理措施三个部分。

电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息
产业主管部门报告。

SHA算法的消息摘要长度为160位。

要实现消息认证，产生认证码的函数类型有三类:消息加密、消息认证码和哈希函数。

数据库渗透测试的对象主要是数据库的身份验证系统和服务监听系统。

通常情况下，
SOL注入攻击所针对的数据信道包括存储过程和Web应用程序输入参数。

静态绑定IP地址与MAC地址，注意命令使用，ARP**-d**先清空ARP缓存表;然后ARP -S IP MAC，完成IP地址与MAC地址绑定

当用户代码需要请求操作系统提供的服务时，通常采用系统调用的方法来完成这一过程。

当操作系统为0环和1环执行指令时，它在管理员模式或内核模式下运行。

SSL协议包括两层协议:记录协议和握手协议。

在不实际执行程序的前提下，将程序的输入表示成符号，根据程序的执行流程和输入参数的赋值变化，把程序的输出表示成包含这些符号的逻辑或算术表达式，这种技术被称为符号执行技术。

被调用的子函数下一步写入数据的长度，大于栈帧的基址到ESP之间预留的保存局部变量的空间时，就会发生栈的溢出。

漏洞利用的核心，是利用程序漏洞去执行 shellcode以便劫持进程的控制权。

软件安全检测技术中，定理证明属于软件静态安全检测技术。

风险评估分为自评估和检查评估。

(2)要使网络用户可以访问在NTServer服务器上的文件和目录，必须首先对这些文件和目录建立共享。

(3)为了防止网络黑客在网络上猜出用户的密码，可以在连续多次无效登录之后对用户账号实行锁定策略。

(4)在Windows系统中，任何涉及安全对象的活动都应该受到审核。审核报告将被写入安全日志中，可以使用事件查看器来查看。

数据库软件执行三种类型的完整性服务:语义完整性、参照完整性和实体完整性。

数据库都是通过开放一定的端口，来完成与客户端的通信和数据传输。

入侵检测系统可以实现事中防护，是指入侵攻击发生时，入侵检测系统可以通过与防火墙联动从而实现动态防护。

不同于包过滤防火墙技术，代理服务器在应用层对数据进行基于安全规则的过滤。

模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节的技术是渗透测试。

隶属于中国信息安全测评中心的中国国家信息安全漏洞库，其英文缩写为CNNVD。

由大量NOP空指令0x90填充组成的指令序列是滑板指令。

软件安全开发技术，主要包括建立安全威胁模型、安全设计、安全编码和安全测试等几个方面。

微软SDL模型的中文全称为软件软件开发生命周期模型。

信息安全风险评估的复杂程度，取决于受保护的资产对安全的敏感程度和所面临风险的复杂程度。

《信息系统安全保护等级划分准则》中提出了定级的四个要素:信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度。

(1)UNIX文件系统安全就是基于i节点中三段关键信息:UID、GID和模式。

服务发现，也称为端口扫描，主要是对数据库的开放端口进行扫描，检査其中的安全缺陷，比如开放了多余的服务端口等。

用于取消数据库审计功能的SOL命令是NOAUDIT。

证书链的起始端被称为信任锚。

根据数据采集方式的不同，IDS可以分为NIDS和HIDS

会话劫持是一种通过窃取用户的Session ID后，利用它登录目标账户的攻击方法。

美国国家漏洞数据库的英文简写为NVD。

按照漏洞生命周期的不同阶段进行的漏洞分类中，处于未公开状态的漏洞称为零日漏洞。

软件加壳技术的原理是对可执行文件进行压缩或加密，从而改变可执行文件中代码的表现形式

漏洞一般分为低危、中危、高危。

信息安全管理体系的主要内容，包括信息安全管理框架及其实施、信息安全管理体系审核与评审和信息安全管理体系的认证。

《计算机信息系统安全保护等级划分准则》将信息系统安全分为自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级五个等级。

1)SQL中，创建角色使用CREATE ROLE语句，本题案为:CREATE ROLE。

2)SQL中，创建角色后，使用GRANT语句给角色授权。本题案为:GRANT。

3)减少角色R1的SELECT权限，需要使用REVOKE命令回收权限，本题答案为REVOKE。

4)同2)，授予权限使用GRANT命令，本题答案为GRANT。

Windows有三种类型的事件日志:系统日志、应用程序日志和安全日志。

IDS的异常检测技术主要通过统计分析方法和神经网络方法实现。

为了捕获网络接口收到的所有数据帧，网络嗅探工具会将网络接口设置为混杂模式。

恶意程序会修改被感染计算机的Hosts文件，利用虚假IP地址的映像劫持技术来屏蔽被感染计算机与安全站点之间的连接。

根据软件漏洞具体条件，构造相应输入参数和shellcode代码，最终实现获得程序控制权的过程，被称为漏洞利用。

通常情况下，软件动态安全检测技术检测漏洞的准确率高于软件静态安全检测技术。

针对运行中的软件程序，通过构造非正常的输入来检测软件运行时是否出现故障或崩溃，这种软件检测技术被称为软件动态安全检测技术。

专门寄生在具有宏功能的文档或模板中的计算机病毒被称为宏病毒。

信息安全工作人员在上岗前、在岗期间和离职时都要严格按照人员安全控制策略执行安全措施。

关于国家秘密，机关、单位应当根据工作需要，确定具体的保密期限、解密时间，或者解密条件。

为了预防Alice抵赖，Bob要求Alice对其发送的消息进行签名。Alice将使用自己的 私钥对消息签名;而Bob可以使用Alice的公钥对签名进行验证。

在UNIX系统中，只要将用户的UID和GID设置为0就可以将其变成超级用户。

可以通过网络等途径，自动将自身的全部或部分代码复制传播给网络中其它计算机的完全独立可运行程序是蠕虫。

SSL协议中，客户端通过对服务器端发来的证书进行验证，以完成对服务器端的身份认证。

窃取用户SessionID后，使用该SessionID登录进入目标账户的攻击方法被称为会话劫持。

限制内存堆栈区的代码为不可执行的状态，从而防范溢出后代码的执行，这种技术被称数据执行保护。

自主访问控制模型的实现机制是控制矩阵通过实施的，而具体的实现办法，则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作。

恶意行为审计与监控，主要监测网络中针对服务器的恶意行为，包括恶意的攻击行为和入侵行为

恶意行为的监测方式主要分为两类:主机监测和网络监测。

信息安全管理体系(ISMS)是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立基于系统、全面和科学的安全风险评估。

电子签名认证证书应当载明下列内容:电子认证服务者名称、证书持有人名称、证书序列号和证书有效期。

当用户身份被确认合法后，赋予该用户进行文件和数据等操作权限的过程称为授权。

当用户代码需要请求操作系统提供的服务时，通常采用系统调用的方法来完成这一过程。

两台配置了IPSec协议的Windows计算机进行IPSec初始连接时，通过Wireshark嗅探的前面10个数据包是ISAKMP协议的数据包。

支持多种不同类型的CA系统相互传递信任关系的是桥CA信任模型

根据软件漏洞具体条件，构造相应输入参数和Shellcode代码，最终实现获得程序控制权的过程，是漏洞利用exploit。

通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常，这种技术被称为污点传播分析技术。

栈指针寄存器esp始终存放栈顶指针。

攻击者通过精心构造超出数组范围的索引值，就能够对任意内存地址进行读写操作，这种漏洞被称为数组越界漏洞。

信息安全风险评估的复杂程度，取决于受保护的资产对安全的敏感程度和所面临风险的 复杂程度。

《计算机信息系统安全保护等级划分准则》将信息系统安全分为自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级五个等级。

在Windows NT里，口令字密文保存在SAM文件里。

在Windows系统中，查看进程命令并能查看进程同服务的关系的DOS命令，是tasklist。

完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标数据库系统的安全做深入的探测，发现系统最脆弱的环节，此类数据库安全检测技术叫做桥渗透测试。

pimg命令利用ICMP协议的数据包检测远端主机和本机之间的网络链路是否连通。

软件保护技术中，在保持原有代码功能的基础上，通过代码变换等手段降低代码的人工可读性，隐藏代码原始逻辑的技术，称为代码混淆技术。

软件保护技术中，通过将可执行文件进行解压缩或者解密，从而使可执行文件还原为可执行的正常状态，被称为软件脱壳技术。

通过伪装欺骗手段诱使用户安装运行，对远端目标主机实现远程控制，但不具有复制、传播能力的恶意代码是木马。

出现漏洞的可能性是指成功攻击机构内某个漏洞的概率。

通过将恶意程序加载到虚拟环境中运行，从而让恶意程序自动脱壳还原为原有状态，再进行检测査杀的技术，被称为虚拟机查杀技术。

信息安全风险管理主要包括风险的识别、风险的评估和风险控制策略。

ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性六个方面含义。

拥有CONNECT权限的用户不能创建新用户，不能创建模式，也不能创建基本表，只能登陆数据库。

为不同的数据库用户定义不同的视图，可以限制各个用户的访问范围。

处于所有根CA的中心，与所有CA系统之间建立对等的信任关系，并实现信任传递的CA被称为桥CA。

防火墙所具备的网络地址翻译技术的英文缩写为NAT。

缓冲区溢出漏洞是由于向程序的缓冲区中输入的数据超过其规定长度，破坏程序正常的堆栈，使程序执行其他指令。

数据流分析技术是通过分析软件代码中变量的取值变化和语句的执行情况，来分析数据处理逻辑和程序的控制流关系，从而分析软件代码的潜在安全缺陷。

软件产品的攻击面包括一个软件可能遭受外来攻击的所有攻击点，包括代码、网络接口、服务和协议。

技术和管理层面的良好配合，是组织机构实现网络与信息安全系统的有效途径。

跨站脚本攻击的英文缩写为XSS。

ESP协议处理并传输数据的性能低于AH协议。

限制内存堆栈区的代码为不可执行的状态，从而防范溢出后代码的执行，这种技术是数据执行保护技术，它的英文缩写为DEP。

漏洞利用的核心是利用程序漏洞去执行shellcode以便劫持进程的控制权。

微软的软件安全开发生命周期模型中，最初的准备阶段属于第0阶段。

通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常，被称为污点传播分析技术。

结合了程序理解和模糊测试的技术，称为智能模糊测试技术。

风险管理的第一阶段为风险识别。

**《电子签名法》**被称为“中国首部真正意义上的信息化法律”，极大地推进了我国电子商务发展，是扫除我国电子商务发展障碍的重要步骤。

Windows系统提供的査看系统信息的工具是msinfo32，它可以显示本地计算机硬件、系统组件和软件环境的完整视图。

TCG定义可信计算平台的信任根包括三个根:可信测量根、可信存储根和可信报告根。

存储型XSS又被称为持久型跨站脚本攻击。

数字证书真实性的验证是通过验证证书中CA的数字签名来实现的。

处于未公开状态的漏洞被称为0day漏洞。

当一个函数被调用时，这个被调用函数的相关信息会保存在内存的栈区，这块内存中连续的栈区域又称为栈帧。

通过向目标软件输入大量的畸形数据并监测目标系统的异常来发现潜在的软件漏洞，这种测试技术被称为模糊测试。

Web安全检测技术包括黑盒检测和白盒检测两种主要检测技术。

基于硬件介质的软件安全保护技术包括加密狗、加密光盘和专用接口卡等。

信息安全管理方面的内容主要包括信息安全管理体系、信息安全风险管理和信息安全管理措施三个部分。

机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围。

数据库系统提供了两种存取控制机制:自主存取控制和强制存取控制。

在数据库中，GRANT和REVOKE语句分别用于向用户授予和收回对数据的操作权限。

分布式拒绝服务攻击的英文缩写为DDos。

CA对用户进行身份验证后，签发的用于标志用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的真实身份，并具有对用户身份标识的唯一性，这是管理证书信息资料。

通过网络等途径，自动将自身的全部代码或部分代码通过网络复制、传播给其它网络中计算机的完全独立可运行程序，被称为蠕虫。

MITRE公司建立的通用漏洞列表相当于软件漏洞的一个行业标准，通用漏洞列表的英文缩写为CVE。

在不实际执行程序的前提下，将程序的输入表示成符号，把程序的输出表示成包含这些符号的逻辑或算术表达式的技术，被称为符号执行技术。

信息安全管理体系审核是为了获得审核证据，对体系进行客观的评价。

可信计算机系统安全评估准则的英文缩写是TCSEC。

PKI是创建、管理、存储、分发和作废数字证书的一系列软件、硬件、人员、策略和过程的集合。

根据TCP/IP开放模型的层次划分，SSL协议为应用层的访问连接提供认证、加密和防篡改功能。

在缓冲区溢出攻击中，被植入的一段用以获得执行权限的代码被称为shellcode代码。

出现漏洞的可能性是指成功攻击机构内某个漏洞的概率。

有关国家秘密的相关事项中，应当根据事项的具体性质和特点，按照维护国家安全和利益的需要，限定在必要的期限内，不能确定期限的，应当确定解密条件。

在Windows系统中，查看进程命令并能查看进程同服务的关系的DOS命令，是tasklist。

美国国防部在1983年制定了世界上第一个《可信计算机系统评估准则》，准则中第一次提出可信计算机和可信计算基的概念，并把可信计算基作为系统安全的基础。

黑客通过诱使用户访问来实施网络欺诈的伪造网站，通常称为钓鱼网站。

根据IDS检测入侵行为的方式和原理的不同，IDS分为两种入侵检测技术。其中，基于统计分析的IDS检测技术属于异常检测技术。

软件保护技术中，通过对可执行文件的压缩或者加密，进而改变可执行文件中的代码表现形式以增加动态逆向分析的难度，被称为软件加壳技术。

如果攻击者窃取了用户的Session，并一直保持其有效，而服务器对于活动的Session一直不销毁，攻击者就能通过此Session一直使用用户的账户，这是会话保持攻击。

ISMS强调遵守国家有关信息安全的法律法规及其他合同方要求，强调全过程和动态控制，体现预防控制为主的思想。

CC标准是指《信息技术安全性评估准则》，其对应的国标编号为GB/T 18336。

信任根和信任链是可信计算平台的主要关键技术。

持久型的跨站脚本攻击也被称为存储型XSS。

在不实际执行程序的前提下，将程序的输入表示成符号，根据程序的执行流程和输入参数的赋值变化，把程序的输出表示成包含这些符号的逻辑或算术表达式，这种技术被称为符号执行。

只参照标准所提到的风险项对组织机构的资产进行风险评估的方法叫做基本风险评估。

信任链把信任关系从信任根传递扩展到整个计算机系统。

代理服务器和包过滤技术、NAT技术不同之处在于，代理服务器在应用层对这些数据进行安全规则过滤。

IPSec协议中，既支持加密功能也支持数据完整性鉴别功能的是ESP协议。

编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用并能够自我复制的一组计算机指令或者程序代码，被称为计算机病毒。

微软的软件开发模型是微软公司总结的一套完整的软件安全开发流程，将安全融入到了软件开发的每个阶段。

技术层面和管理层面的良好配合，是组织机构实现网络与信息安全系统的有效途径。在管理层面，通过构架安全管理体系来实现。

现代CPU通常运行在两种模式下:用户模式和内核模式。

操作系统采用保护环机制来确保进程不会在彼此之间或对系统的重要组件造成负面影响。

数据库执行3种类型的完整性服务:语义完整性、参照完整性和实体完整性。

在Linux中，用于设置用户创建文件的默认权限的命令为umask。

PKI系统的核心是数字证书。

SSL协议包括两层协议:记录协议和握手协议。

微软公司安全公告中软件漏洞危险等级最高的第一级定义为严重级。

依据恶意程序的特征码进行查杀是最基本的一种杀毒技术。

信息安全风险评估的复杂程度取决于受保护的资产对安全的敏感强度和所面临风险的复杂程度。

用于存放一个始终指向返回地址的指针的寄存器是EIP寄存器。

在数据库安全技术中，视图可以将要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。

如果实体A认为实体B严格地按A所期望的那样行动，则A信任B。

在扫描恶意程序时，通过将恶意程序加载运行，从而让恶意程序自动脱壳还原为原有状态，再进行检测査杀的技术被称为虚拟机查杀技术。

国家保密行政管理部门主管全国的保密工作。

PKI最基本的信任模型是单CA信任模型。

防火墙最基本的过滤技术是包过滤技术。

基址指针寄存器用于存放着一个指针，该指针始终指向当前执行指令(即正在被调用的函数)所对应栈帧的底部地址，也称为栈帧底部指针。

微软的软件安全开发生命周期的英文简写为SDL模型。

在信息安全事件管理与应急响应中，事故响应计划(IRP)是对事故的识别、分类和响应。

数据库安全审计一般可以分为用户级审计和系统级审计，其中，系统级审计只能由DBA设置，用以监测成功或失败的登录请求、监测授权操作以及其它数据库级权限下的操作。

适用于有严格级别划分的大型组织机构和行业领域的CA信任模型是层次信任模型。

微软的软件安全开发生命周期模型共包括13个阶段。

软件防篡改技术主要是通过完整性验证来检测软件是否被攻击者篡改。

信息安全风险控制中，即使机构尽可能的控制各种漏洞，仍然存在一些风险未能够完全排除、缓解，称为残留风险。

电子签名验证数据，是指用于验证电子签名的数据，包括代码、口令、算法或者公钥等。

攻击者和目标主机在同一个网络时，可以通过网络嗅探工具获得目标主机的数据包，从而预测出TCP初始序列号的攻击方法，被称为盲攻击。

一个程序运行时，函数调用过程中返回地址入栈，对应的指令是“call子函数地址”

ISMS是一个系统化、文件化和程序化的管理体系。

根据《信息安全等级保护管理办法》，信息系统的安全保护等级分为五级。

用于设置数据库审计功能的SOL命令是AUDIT。

软件漏洞危险等级主要分为“紧急”、“重要”、“警告”、“注意”这四个等级。

对恶意程序进行查杀的最基本杀毒技术是特征码查杀技术。

信息安全的最重要的原则是技术和管理并重。

商用密码技术属于国家秘密，因此国家对商用密码产品的科研、生产、销售和使用实行专控管理。

用于取消数据库审计功能的SOL命令是NOAUDIT。

NIDS探测器从交换机设备中采集要分析检测的原始数据。

漏洞一般分为低危。中危、高危，其中低危等级最低。

恶意程序会修改被感染计算机的Hosts文件，利用虚假地址的映像劫持技术来屏蔽被感染计算机与安全站点之间的连接。

识别和控制机构面临的风险的过程称为风险管理

CC将评估过程划分为功能和保证两部分。

跨站点请求伪造攻击(Cross Site Request Forgery）CSRF属于伪造客户端请求的一种攻击方式。

与屏蔽主机体系结构相比，屏蔽子网体系结构防火墙添加了额外的一层保护体系–周边网络或DMZ。

由于向程序的缓冲区中输入的数据超过其规定长度，破坏程序正常的堆栈，使程序执行其他指令，这种漏洞被称为缓冲区漏洞。

《保守国家秘密法》第十九条规定:国家秘密的保密期限已满的，自行解密。

拥有RESOURCE权限的用户能创建基本表和视图，成为所创建对象的属主。

对于数据库的安全防护分为三个阶段:事前检查、事中监控和事后审计。

首先总结正常操作应该具有的特征，当用户活动与正常行为有重大偏离时即被认为是入侵，采用这种DS检测技术的是异常检测型DDS。

计算机系统的硬件、软件、协议在系统设计、具体实现、系统配置或安全策略上存在的缺陷是漏洞。

数据执行保护技术通过限制内存堆栈区的代码为不可执行的状态，从而防范溢出后代码的执行。

污点传播分析技术通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常。

信息安全风险评估的复杂程度取决于受保护的资产对安全的敏感程度和所面临风险的复杂程度。

让程序加载非系统目录下DIL的技术，被称为DLL动态劫持技术。

通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术，是地址空间分布随机化技术，它的英文缩写为ASLR。

污点传播分析技术中，污点数据为需要进行标记分析的输入数据。

2010年和2013年OWASP发布的Web应用十大安全威胁排名中，排名第一的是注入。

在Linux/UNIX中，有关当前登录用户的信息保存在utmp文件中。

IDS 分为基于误用检测的IDS和基于异常检测的IDS两种类型。误用检测(Misuse Detection)通过匹配已知攻击特征(如签名、模式)识别攻击，而异常检测(Anomaly Detection)通过建立系统正常行为模型，检测偏离正常模式的异常行为，二者共同构成 IDS 的核心检测机制

vpn是利用开放网络的物理链路和专用的安全协议，实现逻辑上网络安全连接的技术。

Windows有三种环境子系统，其中Win32子系统拥有键盘、鼠标和显示器，它是必须存在的。

信息资产风险的计算公式可表述为:风险=信息资产的价值(或影响)x出现漏洞的可能性-已控制风险的比例+不确定因素。

非持久型的跨站脚本攻击也被称为反射型XSS。

普遍采用rootkit技术的是第5代木马。

针对Heap Spray，Windows系统比较好的系统防范办法是开启DEP功能，即使被绕过，被利用的概率也会大大降低。

通过栈溢出或者其他漏洞，使用精心构造的数据覆盖SEH上面的某个函数或者多个函数，从而控制EIP的攻击技术是SEH攻击。

漏洞的样本验证代码简写为POC。

信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

定义一个用户的存取权限，就是要定义这个用户可以在哪些数据库对象上进行哪些类型的操作。

在数据库中，为了保证实体完整性，每一个元组必须包含一个主键。

XSS是一种客户端脚本攻击方式。

软件防篡改技术主要是通过完整性检验来检测软件是否被攻击者篡改。

风险评估分为自评估和检查评估。

Windows的任务管理器是系统自带的一个很方便的软件，它能提供系统正在运行的程序和进程的相关信息，可以实现监视计算机性能、查看网络状态、终止已停止响应的程序等功能。

让用户访问攻击者构造的网页，执行网页中的恶意脚本，伪造用户自己的请求，对用户自己有登录权限的网站空间实施攻击，这种攻击被称为跨站点请求伪造攻击，其英文缩写为CSRF。

用于存放始终指向当前执行指令(即正在被调用的函数)所对应帧栈的最新栈顶地址的指针的寄存器，称为esp寄存器。

体系审核是为了获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查。

电子签名是一种以电子形式存在于数据信息之中的，或作为其附件或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可的技术。哈希函数又称为散列函数，可以将满足要求的任意长度的输入经过变换后得到固定长度的输出。单向及输出长度固定的特征使得哈希函数可以生成消息或者数据块的消息摘要，因此，在数据完整性和数字签名领域有着广泛的应用。SHA3算法是一种哈希算法，它基于海绵结构。

AH 协议常用的完整性检验算法有 MD5 和 SHA-1。

根据封装格式不同，AH协议可分为两种模式:传输模式和隧道模式。

传输模式下的 AH 数据包封装格式：原IP、AH报头、IP有效载荷

隧道模式下的 AH 数据包封装格式：新 IP 报头、AH 报头、原 IP 报头、IP 有效载荷。

数字签名首先由签名者使用自己的私钥对数据进行签名操作，生成签名后的信息;然后接收者使用签名者的公钥对收到的签名进行验证，以确认数据的来源和完整性等，所以完整的数字签名体制包括签名和验证这两个关键过程。

中国国家密码管理局在2010年也公布了中国商用密码杂凑算法标准，是在SHA-256基础上改进实现的一种算法，即SM3算法。

表示进程间通信时使用的特殊文件是Sockets。

用户起始目录的目录文件是home。

表示特殊设备文件的目录文件是dev。

计时修改攻击是指攻击者通过延迟或重放截获的消息来达到攻击目的。

Bell-LaPadula模型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露。

认证头协议(Authentication Header)缩写为AH，是IPSec 件之一，仅验证数据完整性，不加密数据。

封装安全载荷协议(Encapsulating Security Payload)缩写为ESP，是IPSec 组件之一，同时提供加密和完整性验

(1)为了安全存储用户的口令，需要对用户口令进行加密，采用MD5算法。
(2)MD5算法对信息进行摘要，防止被篡改。因此处应该填入:MD5

(3)一种确保共享KEY安全穿越不安全网络的方法。因此处应该填入:Diffie-Hellman。

(4) Diffie-Helman密钥交换算法1、有两个全局公开的参数，一个素数P和一个整数g，g是P的一个原根。?2、假设用)A和B希望交换一个密钥，用户A选择一个作为私有密钥的随机数a因此应填入:g^a
应填入:g^b
应填入::g^b

(1)权限适用于对特定对象如目录和文件的操作，每一个权限级别都确定了一个执行特定的任务组合的能力，包括Read、Execute、Write、Delete和SetPermission等。如果对目录有Execute权限，表示可以穿越目录，进入其子目录(2)要使网络用户可以访问在NT Server服务器上的文件和目录，必须首先对这些文件和目录建立共享。(3)为了防止网络黑客在网络上猜出用户的密码，可以在连续多次无效登录之后对用户账号实行锁定策略。(4)在Windows系统中，任何涉及安全对象的活动都应该受到审核。审核报告将被写入安全日志中，可以使用事件查看器来查看。

为了校验数据的完整性，需要计算所上传数据的消息摘要，为了获得更高的安全性，应该采用的密码学算法为SHA-1.

Regedit，回车后弹出注册表编辑器。

)IPS的缺点包含:
①由于IPS是串联部署，因此IPS设备的故障可能造成网络的中断，影响网络的正常运行，可能造成单点故障,②由于网络流量大，网络攻击手段复杂，因此IPS不可避免会出现漏报和误报:漏报可能造成入侵行为的发生，误报可能会影响网络中计算机的正常使用;
③IPS部署在关键网络的入口，因为提供了网络层、传输层、应用的防护能力，所以进行病毒木马检测的同时，可能造成内
外网之间的性能瓶颈:故此空答案为BDG。(2)IDS侧重于对网络行为的检测监控，注重安全审计，适合用其了解网络安全状态，但在防御网络攻击方面，不能提供有效的帮助;还有IDS旁路在网络上，当它检测出黑客入侵攻击并且报警时，但不能防范这个问题;故此空答案为CH。(3)属于防火墙的缺点有不能防范病毒和内部驱动的木马，不能检测防范内网之间的恶意攻击以及不能防护针对Web服务器对外开放端口的攻击;故此空答案为AEF。

GRANT SELECT ON 表名

1.第1和2代木马的连接是从木马的客户端连接木马的服务端。2.第3代木马由于采用了端口反弹技术，从木马的服务端连接木马的客户端，能穿透硬件防火墙。3.后续的木马为了突破软件防火墙的拦截，在进程隐藏方面比第3代木马做了较大改动，尤其是第5代木马，通过使用rootkit技术实现木马运行时进程、文件、服务、端口等的隐藏。

(1)在Linux系统中，主要的审计工具是syslogd守护进程，通过配置这个进程，可以提供各种水平的系统审计。
(2)在Linux系统中，sa命令可以报告、清理并维护进程统计文件。
(3)在Linux系统中，who命令可以查询utmp文件并报告当前登录的每个用户，其缺省输出包括用户名、用户登录终端类型和远程主机。
(4)在Linux系统中，ac命令可以用来计算用户登录系统后的连接时间，

linux 文档**#注释**