软考信息安全工程师第二版总结加笔记及每章要记忆的东西（考试看这就够了）

一(重点)、1、网络信息安全基本属性(基本目标)CIA：

机密性：网络信息数据在传输过程中不允许泄露、被窃取。

完成性：网络信息数据在传输过程中不允许被篡改。

可用性：网络信息数据在授权的条件下，要及时的可使用。

抗抵赖性：防止网络信息相关用户否认其行为。

可控性：在授权的条件下能管理和支配信息网络.

真实性

真实性是指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。例如，网络

谣言信息不符合真实情况，违背了客观事实。

时效性

时效性是指网络空间信息、服务及系统能够满足时间约束要求。例如，汽车安全驾驶的智

能控制系统要求信息具有实时性，信息在规定时间范围内才有效。

合规性

合规性是指网络信息、服务及系统符合法律法规政策、标准规范等要求。例如，网络内容

符合法律法规政策要求。

公平性

公平性是指网络信息系统相关主体处千同等地位处理相关任务，任何一方不占据优势的特

性要求。例如，电子合同签订双方符合公平性要求，在同一时间签订合同。

可靠性

可靠性是指网络信息系统在规定条件及时间下，能够有效完成预定的系统功能的特性。

可生存性

可生存性是指网络信息系统在安全受损的情形下，提供最小化、必要的服务功能，能够支

撑业务继续运行的安全特性。

信息安全分为四个层次:

设备安全、数据安全、内容安全和行为安全,其中数据安全就是传统的。

信息理论属于信息安全理论的通用理论基础，包含：信息论、控制论、系统论。

特有理论基础：密码学、访问控制论、博弈论。

信息安全管理体系：（密网设人）

密码管理、网络管理、设备管理、人员管理。

网络管理体系：（对表安协）

对象、表示、安全、协议。

TOR洋葱路由，没有固定的代理服务器，tor代理一般在2-5层。

海明码是一种多重奇偶检错系统，有检错和纠错的功能，码距大于或等于3，循环冗余校验只能检错不能纠错，能检查r位错误，所以码距大于1

《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过，并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意，现予公布，自2022年2月15日起施行。

网络基础设施法：2022.9.7日开始

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文缩写为

或/CC) 是中国计算机网络应急处理体系中的牵头单位，是国家级应急中心。

目前，国内已经建立了国家计算机网络应急技术处理协调中心，简称“国家互联网应急中

心”，英文简称为 或/CC, 该中心成立千2002 年9 月，为非政府非盈利的网络安全技术协调组织，是中央网络安全和信息化委员会办公室领导下的国家级网络安全应急机构。作为国家级应急中心， 的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，

的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复＂的方针，

在中央网信办统筹协调下，工业和信息化部网络安全和信息化领导小组统一领导公共互联网网络安全突发事件应急管理工作， 负责特别重大公共互联网网络安全突发事件的统一指挥和协调。

国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定

网络安全事件应急预案，并定期组织演练。

2017 年中央网信办发布《国家网络安全事件应急预案》，其中把网络信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7 个基本分类。

根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度，可以将网络

安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件，

根据社会影响范围和危害程度，公共互联网网络安全突发事件分为四级： 特别重大事件、

重大事件、较大事件、一般事件。

3.1 特别重大事件

符合下列情形之一的，为特别重大网络安全事件：

(1) 全国范围大量互联网用户无法正常上网；

(2).CN 国家顶级域名系统解析效率大幅下降；

(3) 1 亿以上互联网用户信息泄露；

(4) 网络病毒在全国范围大面积爆发；

(5) 其他造成或可能造成特别重大危害或影响的网络安全事件。

3.2 重大事件

符合下列情形之一的，为重大网络安全事件：

(1) 多个省大量互联网用户无法正常上网；

(2) 在全国范围有影响力的网站或平台访问出现严重异常；

(3) 大型域名解析系统访问出现严重异常；

(4) 1 千万以上互联网用户信息泄露；

(5) 网络病毒在多个省范围内大面积爆发；

(6) 其他造成或可能造成重大危害或影响的网络安全事件。

3.3 较大事件

符合下列情形之一的，为较大网络安全事件：

(1) 1 个省内大量互联网用户无法正常上网；

(2) 在省内有影响力的网站或平台访问出现严重异常；

(3) 1 百万以上互联网用户信息泄露；

(4) 网络病毒在1 个省范围内大面积爆发；

(5) 其他造成或可能造成较大危害或影响的网络安全事件。

3.4 一般事件

符合下列情形之一的，为一般网络安全事件：

(1) 1 个地市大量互联网用户无法正常上网；

(2) 10 万以上互联网用户信息泄露；

(3) 其他造成或可能造成一般危害或影响的网络安全事件。

中国网络安全审查技术与认证中心(CCRC, 原中国信息安全认证中心）是负责实施网络

安全审查和认证的专门机构。

1999 年国务院发布实施的《商用密码管理条例》规定： “本条例所称商用密

码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。

《中华人民共和国密码法》明确规定，密码分为核心密码、普通密码和商用密码，实行分类管理。核心密码、普通密码用千保护国家秘密信息，属于国家秘密，由密码管理部门依法实行严格统一管理。

在提供服务的过程中采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2 年；除法律法规另有规定外，个人信息与业务数据不得外流。

网络信息安全基本技术需求

有网络物理环境安全、网络信息安全认证、访问控制，安全保密、漏洞扫描、恶意代码防护、网络信息内容安全。安全监测与预警、应急响应等

网络安全管理方法主要有风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA(Plan-Do-）方法

信息化标准体系由5个层次的标准构成

国际标准、国家标准、行业标准、地方标准和企业标准。

2、网络信息安全基本功能：

防御、监测、应急、恢复。

3、网络信息安全管理要素：

网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施。

通信隐藏技术：

端口定制技术

端口复用技术

通信加密技术

隐蔽通道技术

4、网络信息安全风险控制方法：

规避风险、转移网险、减少威胁、消除脆弱性、风险监测。

5、网络信息安全管理流程：

确定网络信息管理对象

评估网络信息安全对象价值。

识别网络信息安全对象威胁

识别网络信息安全对象的脆弱性

确定网络信息安全对象风险等级

制定网络信息安全防御体系

实施网络安全管理方案

运行维护管理网络

二(重点)、1、网络攻击模型：

攻击树模型：and-or形式的树结构，对目标进行安全威胁分析，增加节点，不会改变原节点，被read team用来进行渗透测试，被blue team用来进行防御；这种模型能够采用多人的意见融合到攻击树中，可以建模复杂的攻击场景，不能用来建模多尝试性的攻击，不能建模循环事件。

mitre att&ck 模型：根据真实的网络攻击数据提炼出来的数据模型，给出攻击活动的具体实现方式；应用于渗透测试和网络威胁情报收集。

网络杀伤链模型(kill chain)：

目标侦察

武器构造

载荷投送

漏洞利用

安装植入

指挥控制

目标行动

网络攻击常见的危害行为有4个基本类型：

信息泄露攻击

完整性破坏攻击

拒绝服务攻击

非法使用攻击

2、攻击一般过程

隐藏攻击源

收集目标信息

挖掘目标漏洞信息

获取目标访问权限

隐藏攻击行为

实施攻击

开辟后门

清除攻击痕迹

口令破解

建立与目标网络服务的网络连接；

选取一个用户列表文件及字典文件；

在用户列表文件及字典文件中，选取一组用户和口令按网络服务协议规定，将用户

名及口令发送给目标网络服务端口；

检测远程服务返回信息，确定口令尝试是否成功；

再取另一组用户和口令，重复循环试验，直至口令用户列表文件及字典文件选取完

毕

缓冲区溢出攻击的防范策略：

系统管理上的防范策略：

关闭不需要的特权服务；及时给程序漏洞打补丁。

软件开发过程中的防范策略：

编写正确的代码；缓冲区不可执行；改进C 语言函数库。

漏洞防范技术：

地址空间随机化技术；数据执行阻止；堆栈保护。

常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵

尸网络等。

W32..Worm 是一种利用DCOM RPC 漏洞进行传播的网络蠕虫，其传播能力很强。

感染蠕虫的计算机系统运行不稳定，系统会不断重启。并且该蠕虫还将对进行拒绝服务攻击，使得受害用户不能及时地得到这个漏洞的补丁。

(1) 创建一个名为BILLY 的互斥体。如果这个互斥体存在，蠕虫将放弃感染并退出。

(2) 在注册表中添加下列键值：“ auto ”=".exe"并且将其添加至：HKEY LOCAL \\\ \ \Run

这样就可以使蠕虫在系统被重起的时候能够自动运行。

(3) 蠕虫生成攻击IP 地址列表，尝试去感染列表中的计算机，蠕虫对有 漏洞

的机器发起TCP 135 端口的连接，进行感染。

(4) 在 端口绑定一个cmd.exe 的后门。

(5) 在 口上进行监听。如果收到了一个请求，将把.exe 发送给目标机器。

(6) 发送命令给远端的机器使它回联已经受到感染的机器并下载.exe 。

(7) 检查当前日期及月份，若当前日期为16 日或以后，或当前月份处在9 月到12 月之间，

则W32.. Worm 蠕虫将对 发动TCP 同步风暴拒绝服务攻击

dos攻击分类：

攻击是一种拒绝服务攻击，是一种基于UDP的病态分片数据包的攻击方法，英文“Tear”是“眼泪”的意思，“drop”是“掉落”的意思，顾名思义，攻击是一种令人落泪的攻击手段，可见其破坏威力很强大

主要针对早期微软操作系统（95、98、3.x、nt）近些年有人发现对 2.x 版本的安卓系统、6.0 IOS 系统攻击有效

攻击效果

被攻击者会出现蓝屏、重启、卡死等情况

攻击原理

攻击工作原理是攻击者A给受害者B发送一些分片IP报文，并且故意将“13位分片偏移”字段设置成错误的值(既可与上一分片数据重叠，也可错开)，B在组合这种含有重叠偏移的伪造分片报文时，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

攻击是一种拒绝服务攻击。攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。

反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段（丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC）。

LAND攻击（局域网拒绝服务攻击，英语：Local Area ，缩写：LAND ），是拒绝服务攻击（DoS攻击）的一种，通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包，致使缺乏相应防护机制的目标设备瘫痪。这种攻击方法最早在1997年被某人以“m3lt”的名称提出，并于多年之后的 2003、 XP SP2等操作系统中重现。

这种攻击方式采用了特别构造的TCP SYN数据包（通常用于开启一个新的连接），使目标机器开启一个源地址与目标地址均为自身IP地址的空连接，持续地自我应答，消耗系统资源直至崩溃。这种攻击方法与SYN洪泛攻击并不相同

Smurf攻击是一种病毒攻击，以最初发动这种攻击的程序“Smurf”来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。

Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

3、ddos攻击步骤：

扫描大量主机，寻找可以攻击的主机。

攻击有漏洞的主机，并获取控制权。

在已攻破的主机上，安装客户端程序。

利用已攻击成功的主机，对其它主机进行扫描和攻击。

当攻击成功的主机的数达到一定的数量后，主控制端控制这些主机发起对特写的目标主机进行攻击。

常见的网络窃听技术手段主要有：网络嗅探、中间人攻击。

SQL 注入(数值型注入和字符型注入)

（1）SQL 注入原理

•在web 服务中一般采用三层架构模式，即：浏览器+web 服务器+数据库；由于web

服务脚本程序的编程漏洞，网络攻击者将SQL 命令插入web 表单中的输入域或页面请

求查找字符串，欺骗服务器执行恶意的SQL 命令。

（2）注入形式