计算机三级（信息安全技术）

知识点源于顺文好友的馈赠

1. TCSES（橘皮书）将计算机系统的安全划分为四个等级七个级别，是计算机安全评估的第一个正式标准。

2. 香农发表《保密系统的通信理论》

3. 1977年美国制定数据加密标准DES，为加密算法标准化奠定了基础。

4. 1994年美国颁布数字签名标准DSS。

5. Chinese wall安全策略的基础是客户访问的信息不会与目前他们可支配的信息发生冲突。同时具有强制访问控制和自主访问控制属性的模型，属于混合策略模型,应用于多边安全系统中。

6. 当代信息安全学起源于20世纪40年代的通信保密，确保通信过程安全的核心技术是密码学。

7. 信息安全面临的安全风险包括：信息泄露、破坏信息的完整性、拒绝服务、假冒和欺诈、陷阱门、人员操纵不慎、窃听。

8. 钟义信先生提出信息是事物的状态和状态变化的方式。

9. 信息安全发展的三个阶段：通信保密阶段、计算机安全阶段、信息安全保障阶段。

10. 互联网的开放性属于信息安全问题产生的内在根源。

11. IATF将信息系统的信息保障技术层面划分为保护网络和基础设施、区域边界和计算环境,核心要素是人员、技术、操作，由美国国家安全局制定。核心思想是纵深防御战略。

12. 信息安全技术分为5类：核心基础安全技术、安全基础设施技术、基础设施安全技术、应用安全技术、支撑安全技术。

13. 20世纪60年代末美国出现第一个用于军事目的的计算机网络ARPAnet.

14. 信息安全技术的消极影响：信息泛滥、污染、犯罪，积极影响：促进社会发展、科技进步、提高人类生活水平。

15. 1945年，冯诺依曼提出存储程序通用电子计算机方案。

16. 2003年9月提出《国家信息化领导小组关于加强信息安全保障工作的意见》》

17. 2001年美国颁布高级加密标准AES。

18. 1999年提出更为完善的保护、预警、监测、应急、恢复、反击模型（PWDRRC）。

19. 信息系统安全保障涵盖3个方面：生命周期、保障要素和安全特征。

20. 1972年Anderson带领的小组完成了著名的Anderson报告，是计算机安全的里程碑。

21. 消息认证不能预防的是发送方否认。

22. 哈希函数应用于消息认证、数字签名、口令的安全性和数据完整性。

23. 强制访问控制（MAC）模型，对访问主体和受控对象标识两个安全标签：BLP模型无上读、无下写只允许下读上写的特点，可以有效防止机密信息向下级泄露（确保信息保密），常用于军事系统，但忽略了消息完整性问题，Biba模型不允许向下读和向上写，可以有效的保护数据的完整性。两个模型是相对立的模型。

24. 单点登录（SSO）用户只需要验证一次，便可以访问到自己所需要的网络和资源，消除了多个系统中用户密码进行同时登录的风险，大多数网站都运用单点登录技术。

25. 对称密码设计的主要思想是扩散和混淆，常用的方法是乘积迭代。

26. 密码分析方法：唯密文攻击—已知明文攻击—选择明文攻击—选择密文攻击。

27. 对称密钥体制根据对明文的加密方法不同分为分组密码和序列密码，分组密码有DES，IDEA,SM4，AES （分组长度128、192、256）等，序列密码（又称流密码）有RC4,SEAL等。 DES（密钥有效长度是56,分组长度是64）、FEAL、Twofish、RC5等算法使用Feiste网络。AES的整体结构采用SP网络。

28. 数字签名不能用于产生消息认证码，数字签名技术能够验证消息的完整性。产生认证码通常有消息加密、消息认证码和哈希函数，消息认证码只提供认证。

29. 自主访问控制（DAC）实现方法包括目录式访问控制、访问控制列表、访问控制矩阵（行表示主体，列表示客体）和面向过程的访问控制。任何访问策略都可以转化为访问控制矩阵。自主访问控制由客体属性对自己的客体进行管理，由属主决定是否将自己的客体访问权授予其他主体，这种方式是自主的，访问矩阵的行，每个主体都附加一个该主体可访问的客体明细表。

30. 基于角色的访问控制（RBAC）,要素包括用户，许可、角色。

31. RADIUS进行简单的用户密码认证，用户只需要一个接受或拒绝即可访问。

32. Calear是最早的代换密码，取用其K位后的字母代替。

33. DSS是数字签名标准，用于数字签名，RSA是非对称加密算法，可用于加密和数字签名，MD5是哈希函数可用于消息认证、数字签名、口令安全性和数据完整性。

34. 数据库渗透测试包括：监听器安全性分析、用户名和密码渗透。

35. 对传送的会话或文件进行加密时采用的密钥是加密密钥，也称次主密钥。

36. 由用户选出或由系统分配给用户可在长时间内用户所专用的秘密密钥是用户密钥也称为基本密钥或初始密钥。

37. 两个通信终端用户在一次交换数据时采用的密钥是会话密钥。

38. ELGamal密码是公开密钥密码，是建立在离散对数的困难性之上，RSA密码是建立在大整数因式分解的困难之上，目前尚未破解的密钥长度有512、1024、2048位。

39. RADIUS（拨号用户远程认证协议，属于集中式访问控制）是运行在UDP协议上的，并没有定义重传机制，不支持失败恢复机制，认证和授权必须成对出现，优点是简单明确，可扩充。而Diameter运行在可靠的TCP、SCTP之上，还支持窗口机制、应用层确认、认证和授权分离，最适合未来移动通信的AAA协议。TACACS＋与RADIUS协议相似，但用的是TCP协议，使允许用户使用动态密码，这样可以提供强大的保护。

40. Kerberos是一种网络认证协议，其设计目的是通过密钥系统为客户机/服务器应用程序提供强大的认证服务，该过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意的读取、修改和插入数据。可实现单点登录，支持双向的身份认证，通过交换跨域密钥实现分布式网络环境下的认证，缺点：AS和TGS是集中式管理容易形成瓶颈，时钟同步问题，身份认证采用的是对称加密机制。TGT是票据获取凭证。

41. 服务发现是对目标数据的开放服务端口进行扫描和确定。渗透测试是模拟黑客攻击和发现漏洞。内部安全检测是深入数据库之内，对数据库内部的安全进行完整的扫描和检测。

42. 数据库安全检测具有三个层次，分别是端口扫描、渗透测试、内部安全检测。

43. Diffie-Hellman(DH)算法是一种密钥交换协议，是第一个实用的在非保护信道中创建共享密钥的方法，本身是一个匿名（无认证）的密钥交换协议，存在中间人攻击的风险。不能进行消息的加解密。

44. 计算机可以在多项式时间复杂度内解决的问题称为P类问题，不能的称为NP问题。

45. 哈希函数中安全性最好的是SHA－3，支持的哈希值长度包括224、256、384、512，可产生160位哈希值的算法是SHA－1，SHA－2算法支持的哈希值长度包括224、256、384、512。MD5算法的消息摘要长度是128位，SHA所产生的消息摘要长度比它长32位。

46. USB Key身份认证采用软硬件相结合，一次一密的强双因子认证模式，它是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用内置的密码算法实现对用户身份的认证，有两种应答模式：基于挑战/应答和PKI体系的认证模式。

47. 分组密码的工作模式有电子密码本（ECB）、密码分组链（CBC）、密码反馈（CFB）、输出反馈（OFB）、计数模式（CTR）。

48. 访问关系中，主体是一个主动的实体，它提供对客体中的对象或数据的访问要求，主体可以是用户、程序、进程。客体是含有被访问信息的被动实体，客体可以是一台计算机、一个数据库、一个文件、一个程序、目录甚至是一个数据区。

49. AAA管理包括：认证、授权、审计。

50. 访问矩阵模型属于非集中访问（分布式访问控制），不属于强制访问控制模型。

51. 访问控制标签列（ACSLL）是限定一个用户对一个客体目标访问的安全属性集合。

52. 高交互蜜罐指的是用攻击诱捕的有真实操作系统的虚拟系统，可以收集丰富的主机响应信息。低交互蜜罐是通过脚本或其他形式程序虚拟部分操作系统及服务行为，同时模拟系统服务漏洞，以达到攻击诱捕的目的。

53. 集中式的AAA管理协议包括RADIUS（拨号用户远程认证服务）TACACS（终端访问控制系统）、Diameter等。目前广泛使用的三种分布式访问控制方法为单点登录、Kerberos、SESAME。

54. 网络中不良信息监控的方法包括：网址过滤技术、网页内容过滤技术、图像内容过滤方式。网络内容监控的主要方法是网络舆情分析。

55. 恶意行为的监控方式主要分为两类：主机监测和网络监测，其中网络监测中最常用的技术是在活动网络中被动监听网络流量，利用检测算法识别网络入侵行为。主机监测是在用户主机上安装反病毒软件和基于主机的入侵检测软件。

56. 数据库事务处理中，可以回退的有INSERT、UPDATE、DELETF，不能回退的是SELECT、CREATE、DROP语句。AUDIT语句用来设置审计功能，NOAUDIT用于取消审计功能。以BEGIN TRANSACTION开始，以COMMIT或ROLLBACK结束。

57. UNIX系统中，可读（r）、可写（w）、可执行（x）。

58. 保护环对工作在环内的进程能够访问什么、能够执行什么命令提出严格的界限和定义，保护环在主体和客体之间提供一个中间层，当一个主体试图访问一个客体时，可以用它来进行访问控制。在内环执行的进程往往处于内核模式，在外环中工作的进程处于用户模式。

59. 操作系统采用保护环机制来确保进程不会彼此之间或对系统的重要组件造成负面影响。

60. 访问控制类型分为三类：预防性的访问控制、探查性的访问控制、纠正性的访问控制。

61. 访问控制管理主要依赖：用户账户管理、操作跟踪、访问权利和许可权的管理。

62. 按照实现方法，访问控制可分为三类：行政访问控制、逻辑/技术访问控制、物理访问控制。

63. 渗透测试是通过模拟黑客攻击来评估计算机网络系统的安全，主要对象是数据库的身份认证系统和服务监听系统。

64. 在Linux系统中，/bin是用户命令的可执行文件，/dev是特殊设备文件，/etc是系统执行文件、配置文件、管理文件，/lib是引导系统以及在root文件系统中运行命令所需要的共享文件。

65. 现代CPU通常运行两种模式：内核模式和用户模式，操作系统运行在内核模式下，应用运行于用户模式，将CPU从用户模式转到内核模式的唯一方法是触发一个特殊的硬件缺陷，如中断、异常、显示的执行自陷指令。当用户代码请求需要请求操作系统提供服务时，通常采用系统调用的方法。

66. 保护环支持多任务操作系统所要求的可用性、完整性和机密性要求，进程运行所在的环编号越小，进程的可信度越高，常见的保护环提供4个保护环，0环操作系统内核，1环操作系统其他部分、2环I/O驱动程序和实用工具（现在不常用）、3环应用程序和用户活动。

67. 守护进程是脱离终端并且在后台运行的进程，守护进程常常在系统引导装入时启动，在系统关闭时终止，如果让某个进程不因为用户或终端其他变化而受影响，那么就必须把这个进程变成一个守护进程，守护进程能完成许多系统任务。

68. 需要系统完成特定功能时，通过调用系统中特定的子程序来完成，称为系统调用。系统调用能对操作系统的服务进行请求。

69. 操作系统的常见引导程序有Grub、Lilo、spfdisk。

70. 进程的管理是通过中断来实现的，线程是比进程更细化的管理单位。

71. 安全策略包括密码策略、审核策略、软件限制策略等措施。

72. 进程管理中，进程与CPU的通信是通过共享存储器系统、消息传递系统、管道通信来完成的。

73. 文件系统在操作系统存在的时候就已经存在了，操作系统本身就是保存在文件系统中的。

74. 在Linux系统中，服务是通过inetd进程或启动脚本来启动的，可以有多个超级用户账户，除非必要，避免以超级用户登录。Inetd是UNIX最重要的网络服务进程。

75. 在Linux系统中，用umask设置用户创建文件的默认权限，用chmod改变文件的权限设置。Users命令会单独的打印出当前登录的用户信息。Last命令往回搜索wtmp来显示自文件第一次创建以来登录过的用户。Chown命令改变文件拥有权。Lastlog查看最后一次登录文件的命令。

76. 在Linux系统中，Init进程是一个由内核启动的用户进程，init始终是系统启动后第一个执行的进程。

77. 数据库事务处理的4个特性：原子性、一致性、隔离性、持久性。

78. 在Windows系统中，用于启动和停止服务的进程是service.exe。UAC的含义是用户账户控制。

79. 视图机制的安全保护功能不太精细，往往不能达到应用系统的要求。

80. Windows系统采用NTFS文件系统格式，通过修改日志文件访问权限可以防止日志文件被清空。

81. Windows NT操作系统，口令密文保存在SAM （安全账户管理器）中。

82. Windows操作系统核心组件包括：执行体和内核（ntoskml.exe）硬件抽象层（hal.dll）、子系统的内核模式部分（win32.sys）。

83. Windows操作系统中，用Regedit命令打开注册表。

84. Windows中必须存在的子系统是win32。

85. Windows中用账户锁定阈值确定允许无效登录的次数。

86. Windows中的日志包括：系统日志、应用程序日志、安全日志。

87. Windows中系统进程管理工具由任务管理器、msinfo32（提供查看系统信息的工具，显示本地计算机的硬件，系统组件和软件环境）、DOS命令行。

88. NTLDR是系统加载程序，主要职责是解析Boot.ini文件。

89. 新建的数据库用户用3种权限，DBA :是系统中的超级用户，可以创建新的用户、创建模式、创建其他用户。CONNECT权限的用户不能创建新用户、模式和基本表。RESOURCE权限用户能创建基本表和视图，但不能创建模式和新用户。

90. Windows中如果对目录有Execute权限，可以穿越目录并进入其子目录。、

91. Windows中List权限可以查看目录中的子目录和文件名，也可以进入其子目录。

92. Windows中DOS命令中，netsta可以查看进程，并能查看发起程序，Ntsd可以用来终止一些常规下结束不了的死进程，taskkill用来终止进程。Tasklist查看系统当前运行进程。

93. TCM（可信密码模块）、TPM（可信平台模块）、TCB（可信计算基）。TPCM（可信平台控制模块）。

94. Windows中查看当前以及启动的服务列表的命令时net start。

95. Windows中第一个被启动的用户态进程是smss(会话管理器)。

96. 数据库中GRANT语句可以是DBA发出，也可以是该数据库对象的创建者发出，还可以是已经拥有该权限的用户发出。

97. 中国可信平台（使用TCM）与TCG可信平台（使用TPM）的差异体现在他们使用的可信平台模块不同。

98. Windows的口令策略中默认口令最长存留期为42天。

99. 数据库完整性包括;语义完整性、参照完整性、实体完整性（保证了元组由主键值唯一确定）。

100. 特权提升中，攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限，使用管理权限，恶意的开发人员可以禁用审计机制，开设伪造的账户以及转账。

101. 数据库渗透测试的主要内容是：监听器安全特性分析、用户名和密码渗透、漏洞分析。

102. 内部安全检测是深入数据库之内，对数据库内部的安全相关对象进行完整的扫描和检测。

103. TCP头部字段中有６个标志位，SYN标志位说明建立一个同步链接。

104. 文件完整性检验主要基于主机的入侵检测系统（HIDS），它是对计算机中文件的完整性进行前后比较，发现被篡改的文件。

105. IKE属于一种混合型协议，由密钥管理协议（ISAKMP）和两种密钥交换协议（OAKLEY与SKEME）组成。

106. PKI系统包括：安全策略、证书认证机构（CA）、证书注册机构（PA）、证书分发系统（CDS）、基于PKI的应用接口。

107. 密钥分配可以分为三类：人工密钥分发、基于中心的密钥分发和基于认证的密钥分发。

108. 状态检测防护墙技术能够对其动态连接状态进行有效检测和防护。

109. TCP、ICMP、UDP均会被DOS攻击。

110. 木马反弹端口技术中，由木马服务器端主动连接木马客户端程序，木马客户端的IP地址必须是公网IP地址，木马的服务器端程序可穿透所在内网的包过滤防护墙。

111. 利用ICMP协议进行扫描时，可以扫描目标主机的IP地址。

112. RARP是逆向地址转换协议，用于把MAC地址转化为IP地址。

113. ISAKMP协议规定，IKE协商参数要经过两个阶段。

114. 防火墙可以有效防止攻击者对目标主机和网络进行扫描。

115. 桥CA（证书认证机构）信任模型，可支持多种不同类型的CA系统相互传递信任关系。

116. 端口扫描工具有：Nmap、SuperScan、Netcat、X-port、Netscan tools、Nessus等。

117. TCP 全连接扫描时TCP三次握手扫描。

118. HTTP、DNS、SSH都是应用层协议，RIP、IP、OSPF、SNMP、ICMP是网络层协议。

119. TCP FIN扫描不采用三次握手连接方法，因此扫描行为更隐秘，称为秘密扫描。TCP SYN扫描利用的是前两次握手，称TCP的半连接扫描。

120. 传输层能提供源主机应用程序和目标主机应用程序之间数据端到端的传输服务。应用层可以面向用户提供管理和网络服务。

121. OSI七个层次，从下到上是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

122. 利用TCP全连接发起的DDos攻击是Port Connection Flood ，利用攻击者的计算机发起多线程连接目标主机的TCP服务端口，连接后断开一直重复。

123. 跨站点请求伪造攻击（CSRF）是让用户访问攻击者构造的网页，执行网页中的恶意脚本，伪造用户的请求，对用户有登陆权的网络空间实施攻击。

124. DDoS攻击中，SYN-Flood和ACK-Flood 攻击利用TCP握手漏洞进行攻击，Land攻击是使用特殊构造的TCP数据包，把源IP和目标IP设相同的值。前者都是在传输层发起的，Port …也是在传输层发起的，Script Flood是在应用层发起的。

125. ESP 协议无法封装数据链路层协议。

126. IPSec协议属于第三层隧道协议，包括AH（认证协议,用以保证数据包的完整性和真实性）、ESP（加密封装协议）、IKE（密交换协议）。

127. 常用的认证协议包括基于口令的认证协议、基于对称密码的认证和基于公钥的认证协议。

128. 目前流行的捆绑技术和方式主要有多文件捆绑、资源融合捆绑、漏洞利用捆绑。

129. 第五代木马普遍采用Rootkit技术，它是一种内核隐藏技术，它使恶意程序可以逃避操作系统标准管理程序的查找。

130. 入侵检测系统（IDS）只能对网络行为进行检测（IDS分为基于网络（NIDS）和基于主机（HIDS）），而入侵防御系统（IPS）同时具有在用用层进行防护功能以及入侵检测的功能，主要实现三个功能：拦截恶意流量、黑客攻击蠕虫等、对传输内容的深度检测和安全防护、对流量监测的同时进行过滤。

131. 网络21端口—FTP服务、23端口—-TELNET服务、25端口—-SMTP服务（传输层基于TCP）、80端口—HTTP服务（应用层）、110端口—-POP3服务。

132. B类IP地址前两位是1、0，网络号长度是14位。

133. TCP数据包头部标志位含义：URG是说明紧急指针有效、ACK是确认序号字段有效、PSH是请求接收端主机尽快将数据包交付应用层、RST是表示出现差错，必须重新连接、SYN是建立一个同步连接、FIN是释放TCP连接。

134. IP层协议攻击是利用发送ICMP协议和GMP协议的请求数据包实现的。

135. AH 协议不提供数据加密保护，所以不能防范网络嗅探，FTP、SMTP和TELNET也不能防范网络嗅探。

136. 和包过滤防护墙相比，状态检测防护墙动态记录状态、及时阻断连接、不用为了大量的正常访问而长久开放大量端口。

137. 木马不会自我繁殖，木马服务端对木马客户端的连接不会引起防护墙的拦截。

138. 硬件防火墙包括：X86架构、ASIC架构、NP架构。

139. XSS是一种客户端脚本攻击方式。

140. 防护墙可以把外来的数据包拦截，所以可以对扫描行为进行有效拦截。

141. 在探测器无法直接连接控制台的情况下，常用的IDS控制台与探测器管理模式是主动控制台模式，探测器是前端采集数据的网络设备，连接交换机的网络端口。

142. 误用检测有称特征检测基于专家系统、模型推理、状态转换分析、条件概率、键盘监控等。

143. 对ARP欺骗攻击有防范和检测作用的是IDS、IP和MAC双向的静态绑定以及ARP防护墙。

144. SSL协议包括两层协议，记录协议（定义传输格式）和握手协议（建立安全连接），它的加密的协议是应用层，它建立在TCP／IP协议之上，在HTTP协议之下。

145. 针对XSS的防范措施有给关键cookie设置httponly标志、进行输入输出检查。

146. 防护墙包过滤技术不能过滤HTTP数据包内容，主要在网络层和传输层进行拦截和过滤。

147. 第四代木马实现了对硬件防护墙穿透的同时隐藏在系统中那个，也能通过软件防护墙。

148. Kerberos服务器为Client访问Server提供身份鉴别（AS）服务和提供票据许可服务（TGS）。

149. 攻击者利用栈溢出攻击时，向漏洞的输入的数据一般包括：随机填充数据、NOP填充字段、Shellcode和新的返回地址。

150. Webshell是一种用web脚本写的木马后门，它用于远程控制网站的服务器，通过80端口传递交互数据。

151. 屏蔽子网体系结构防护墙是由两个包过滤路由器和一个堡垒主机构成的。

152. TCP三次握手中，第一次握手数据包的SYN和ACK分别是1、0，第二次是1、1。

153. Whois是提供查找相关域名、IP地址、E=mail信箱、联系电话的服务。

154. IPSec使用IKE协议来交换密钥和验证对方身份。

155. 网络地址翻译技术分为三种类型：静态NAT、NAT池和端口地址转换PAT。

156. 软件漏洞有危害性大、影响广泛、存在长久、隐秘的特点。

157. ESP协议为基于IPSec的数据通信提供了安全加密、身份认证和数据完整性鉴别。

158. TCP协议端口号范围是0-65535.

159. 数字证书是PKI的核心。

160. 栈是一个后进先出的数据结构，内存中的增长方向是从高地址向低地址增长，数据写入栈帧的方向是从低地址向高地址。堆完全相反，堆是先进先出，从低到高。

161. 内存地址对象破坏性调用漏洞属于UAF。

162. 综合漏洞扫描主要有IP地址扫描、网络端口扫描、漏洞扫描。

163. 局域网传播是利用网络服务程序的漏洞进行传播的。

164. DMZ 是隔离区缩写，是为了解决安装防护墙后外网用户无法访问女王的问题设立的缓冲区。

165. Windows7系统中，配置IPSec时支持的身份验证有Kerberos、数字证书、预共享密钥。

166. IP地址分类，A类：0—127，B类：128—191，C类192—255，D类：224—239.

167. 盲攻击发生在攻击者和目标主机不在同一个网络上，攻击者无法获取TCP 数据包和目标主机的初始序列号，攻击难度比更大。

168. 防护墙功能，在内外网之间进行数据过滤、对网络传输和访问的数据进行记录和审计、防范内外网之间的异常网络攻击、通过配置NAT提高地址转换功能。

169. 震荡波病毒是利用操作系统的安全漏洞传播的，用户不需要接收电子邮件和打开就可被感染。

170. OCSP是在线证书状态协议。CDS是对外公开发布用户证书的服务器。

171. 软件安全保护技术包括：注册信息验证、软件防篡改、代码混淆（降低代码可读性）、软件水印、软件加壳、反调试反跟踪。

172. Metasploit是一个免费的、可下载软件漏洞网络攻击框架性工具。

173. 堆用来存放动态数据，栈用来保存本地变量，缓冲区用来存放程序运行时加载到内存的运行代码和数据，栈帧存放在栈中是连续的栈的区域。

174. GS技术是一项缓冲区溢出的检测防护技术，通过对函数返回地址增加32位的随机数，看返回后值是否改变。

175. 国家信息安全漏洞共享平台缩写是CNVD。

176. 栈指针寄存器ESP中存放的指针指向是栈顶地址。基地址指针寄存器EBP存放的指针始终指向基地址。EIP存放的指针指向返回地址。

177. 数组越界漏洞触发时执行路径有以下特征：读取恶意构造的输入数据、用输入数据计算数组访问索引、对数组进行读写操作。

178. 内存地址对象破坏性调用漏洞属于UAF漏洞。

179. 静态安全检测技术包括：语法分析、数据流分析（通过代码变量取值变化）、污点传播（分析输入数据对执行路径影响）、符号执行、模型检查、定理证明等。

180. 微软的软件安全开发生命周期模型共包括13阶段，0阶段时准备阶段（培训开发团队的安全意识），9阶段是最终安全评审，10阶段是安全响应计划，11阶段是产品发布，12阶段时安全响应执行。

181. BitBlaze采用软件动静结合安全检测技术。

182. 软件开发生命周期模型包括：瀑布模型、螺旋模型、迭代模型、快速原型模型。

183. 整数溢出分三类：存储溢出、运算溢出、符号问题。

184. 程序员自己完成堆中变量分配与释放，而栈中变量空间的分配与释放由程序负责。

185. 数据执行保护（DEP）技术可以设置内存堆栈区的代码为不可执行状态，防范溢出后代码的执行。

186. 软件安全开发技术主要包括：建立安全威胁模型、安全设计、安全编码、安全测试。

187. 常见的缓冲区溢出由栈溢出、堆溢出和单字节溢出。

188. 代码混淆技术包括：语法转换、控制流转换、数据转换等。

189. 模糊测试（畸形数据）数据等生成具有随机性，缺乏对程序的理解，测试性能不高，并且难以保证一定的覆盖率。常见工具有SPIKE、Peach和BiBlaze。

190. 恶意程序检测技术包括：特征码查杀、启发式查杀、基于虚拟机技术的行为判定以及主动防御等。

191. 软件开发的设计阶段，安全设计原则有：最小权限、开放设计、全面防御、权限分开、最少公用、心里接受性、代码重用性、充分考虑软件运行环境、选择安全的加密算法、充分考虑不安全条件、失效保护。

192. Sigverif是Windows系统文件进行签名验证的微软工具。

193. Exploit是漏洞利用。

194. 微软公司安全公告（漏洞）的一级是严重（紧急）、二级是重要（重要）、三级是中危（警告）、四级是低危（注意）。

195. 针对Heap Spray，Windows系统最好的防范手段是开启DEP。

196. 为了劫持进程的控制权，漏洞利用的核心是利用程序漏洞去执行shellcode。

197. 逆向分析辅助工具有OllyDbg 、SoftICE、winDBG、IDA。

198. 基于硬件介质的软件安全技术有加密狗、加密光盘、专用接口卡。

199. 软件脱壳技术是将可执行文件进行解压或者解密，从而使可执行文件还原为可执行的正常状态。

200. Heap Spray技术也称对喷洒技术，注入非常长的代码段并且反复填充，向系统申请大量内存，一般配合堆栈溢出攻击。

201. 地址空间分布随机化（ASLR）是一项通过将系统关键地址随机化，从而使攻击者无法获得需要跳转的精确的地址的技术。

202. 安全编程时需要考虑的原则包括：数据的机密性、完整性、有效性。

203. Jmp esp可以使新的返回地址定位到shellcode起始地址。

204. 恶意程序的传播方式有网站挂马、诱骗下载、通过移动存储介质传播、通过电子邮件和及时通信软件传播、通过局域网传播。

205. 风险评估的方法有很多种，基本风险评估、详细风险评估、两者结合。

206. Web安全防护技术包括：客户端安全防护、通信信道安全防护、服务器端安全防护。

207. safeSEH、SEHOP、ASLR属于软件漏洞利用防范技术。

208. Windows中的sigverif软件工具可以检测操作系统的文件是否被篡改。

209. 事件响应、灾难恢复、业务的持续性计划使应急计划的三要素。

210. 模糊测试工具有SPIKE、Peach、BitBlaze等。

211. 信息安全风险管理主要包括风险识别、风险评估和风险控制策略（识别和控制是主要任务）。

212. 应急计划过程开发的第一阶段是业务影响分析（BIA）。

213. ISMS即信息安全管理体系，体现预防控制为主的思想，建立基础是安全风险评估，风险处置是核心，安全管理控制措施是具体手段，定义ISMS的范围就是在组织机构内选定构架ISMS的范围。

214. 系统维护的注意事项：维护和更改记录、更改的清除、错误报告处理、老版本的备份和清理。

215. 信息安全的管理涉及五个层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

216. ISO 13335标准首次给出了关于IT安全的机密性、完整性、可用性、审计性、认证性、可靠性6个方面的含义。

217. 事故响应的4个阶段：计划、检测、反应、恢复。

218. 访问控制的实现可以按照行政、逻辑/技术或物理进行分类。可以分为三类：预防性、探查性、纠正性。依赖于身份识别、验证、授权、责任痕量。

219. 信息安全管理体系审核包括管理和技术，内部审核和外部审核。

220. 信息安全管理的基本技术要求设计的五个方面是：物理安全、网络安全、主机安全、应用安全和数据安全。

221. 国际信息安全管理标准是BS7799标准。

222. 风险分析主要分为定量风险分析和定性风险分析。

223. 信息安全管理的主要内容包括：信息安全管理体系、信息安全风险管理和信息安全管理措施三个部分。

224. ISMS架构的具体实施包括：建立相关文档、文档的严格管理、安全事项记录和回馈。

225. 信息安全风险评估分为自我评估和检查评估。

226. 首席信息管（CIO）、灾难恢复计划（DRP）、事故响应计划（IRP）。

227. 信息资产风险的计算式：风险=信息资产的价值*出现漏洞的可能性-已控制风险的比例+不确定因素。

228. 风险评估过程包括：风险确定、信息资产评估、识别可能控制、记录风险评估结果。

229. 信息安全管理措施详细介绍了基本管理措施和重要安全管理过程。

230. 安全组织机构中三结合是指领导、保卫和计算机技术人员相结合。

231. 侵入国家事务、国防建设领域3年以下。

232. 危机管理的关键包括：核查人员、检查报警人员名单、检查紧急事件信息卡。

233. 信息系统的安全保护等级（分为5级）由等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

234. 信息安全风险评估的复杂程度取决于受保护的资产对安全的敏感程度和面临风险的复杂度。

235. 国家秘密等级分为秘密、机密、绝密三级，保密期限另有规定，绝密不超过30年，依次是20，10年。

236. Cc将评估划分为功能和保证两部分，评估等级分为7个等级，逐渐形成国际标准ISO 15408.

237. 为了保证信息系统安全，开发的过程可以划分为规划、分析、设计、实现、运行。

238. 系统安全维护的步骤：报告错误、处理错误、处理错误报告。

239. 美国国防部于1985年公布第一个正式的信息系统安全评估标准TCSEC。

240. 信息安全5个保护等级：用户自主、系统审计、安全标记、结构化、访问验证。

241. 信息安全的技术要求从物理、网络、主机、应用、数据安全5个层面提出。管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个层面。

242. 信息系统安全保护等级划分准则中提出定级的四要素：信息系统所属类型、业务数据类型、业务自动化处理程度、信息系统服务范围。

243. 信息安全技术评估准则把评估过程分为功能和保证两部分。

244. 我国1985年发布第一个信息安全方面相关的标准。

245. 2016年我国《网络安全法》颁布。

246. 《刑法》中有关信息安全犯罪包括3条。

247. 《计算机信息系统安全保护等级划分准则》主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等。

248. 我国1984年成立了全国信息技术安全标准化技术委员会（CITS）。

249. 《电子签名法》被称为中国首部真正意义上的信息化法律。

250. IDS的异常检测技术主要通过统计分析方法和神经网络方法实现。

251. 恶意程序会修改Hosts文件，利用虚假ip。

252. 分类数据的管理包括这些数据的存储、发布移植和销毁。

253. 恶意攻击行为和入侵行为。

254. 进程于CPU通信是通过中断信号来完成的。

255. 主要适用于严格的层次级别划分的信任模型是层次信任模型。

256. 攻击者窃取web用户然后登录的攻击是会话劫持。

257. 暂停认账服务，60日前报告。

258. 根据具体需求和资源限制，可以将网络信息内容审计系统分为流水线模型和分段模型。

259. 基于矩阵的列的访问控制信息表示的是访问控制表。

260. 为不同的数据库用户定义不同的视图，可以限制各个用户的访问范围。

261. 对与数据库的安全防护分三个阶段：事前检查、事中监控、事后审计。

262. 入侵检测系统可以通过与防火墙联动从而实现动态防护。

263. SDL全称是软件安全开发生命周期模型。

264. 信息安全内因主要来源于信息系统的复杂性。

265. 一个审计系统通常由三部分组成：日志记录器、分析器、通告器。

266. 用户接口包括：作业级接口和程序级接口。

267. TCG包括：可信平台模块、可信软件栈和可信平台应用软件。信任根包括：可信测量根、可信存储根、可信报告根。

268. Unix中主要的审计功能是syslogd守护进程完成的。

269. 数据库审计命令：AUDIT

270. CC脆弱性。

271. 证书链的起始端被称为信任锚。

272. 信息安全管理工作的核心是风险处置。

273. 限制内存堆栈区的代码不可执行，称为数据执行保护。

274. 信息安全管理体系属于风险管理范畴。

275. 认证、访问控制和审计共同建立了保护系统安全的基础。

276. 蜜罐是一种网络监测技术。

277. 信任根和信任链是可信计算平台的关键技术。

278. 数据库中，用户权限由数据库对象和操作类型组成。

279. 前10 个数据包时ISAKMP协议的数据包。

280. 构造相应输入参数和Shellcode代码，是漏洞利用。

281. 中国信息安全评测中心的英文简称是CNITESC。

282. 基于角色的访问控制模型包括：用户、角色、许可。

283. 加密算法一般要能抵抗选择明文攻击才是安全的。

284. Msinfo32可查看计算机软硬件。

285. 存储型XSS又称为持久性型的跨站点脚本攻击。

286. 在数据库中，GRANT语句向用户授予权限，REVOKE收回权限。

287. MITRE公司建立的通用漏洞列表CVE。

288. 可信计算机系统安全评估准则的英文缩写TCSEC。

289. 信息安全保障工作的内容包括：确定安全需求、设计和实施安全方案、进行信息安全评测和实施信息安全监控与维护。

综合题

密码学

1. SHA算法和椭圆曲线密码的消息摘要长度为160.

2. 用户可将自己的公钥通过公钥证书发给另一个用户。

3. 为了确保RSA安全，模数n 至少1024位，e的二进制应当含有尽量少的1

4. AES高效安全，SHA１比MD5更安全。

5. 数字签名体制包括签名和验证签名。

6. IPSec对网络层，SSL对应用层。

数据库：

1. 数据库渗透测试的对象主要是数据库的身份验证系统和服务监听系统。

2. 通常情况下，SQL注入攻击所针的数据信道包括存储过程和web应用程序输入参数

3. 数据库系统提供自主存取和强制存取控制，

linux系统：

1. unix文件系统安全就是基于i结点。

2. 查看UNIX文件权限的命令是：ls。

3. UID 表示文件拥有者，GID表示所在分组，模式指文件权限设置。—表示普通正规文件。UID和GID设置为0就变成超级用户。