全国计算机等级考试三级信息安全技术知识点总结

USB Key认证：挑战/应答模式，基于PKI体系的认证模式 生物识别技术

认证协议：基于口令的认证协议，基于对称密码的认证，基于公钥密码的认证 2.3访问控制技术 访问控制模型：

自主访问控制（DAC）：访问矩阵模型：访问能力表（CL），访问控制表（ACL）；商业环境中，大多数系统，如主流操作系统、防火墙等 强制访问控制（DAC）：安全标签：具有偏序关系的等级分类标签，非等级分类标签，比较主体和客体的安全标签等级,，访问控制安全标签列表（ACSLL）；访问级别：最高秘密级，秘密级，机密级，无级别及；Bell-Lapadula模型：只允许向下读、向上写，保证数据的保密性，Biba不允许向下读、向上写，保护数据完整性；Chinese Wall模型：多边安全系统中的模型，包括了MAC和DAC的属性 基于角色的访问控制（RBAC）：要素：用户，角色，许可；面向企业，大型数据库的权限管理；用户不能自主的将访问权限授权给别的用户；MAC基于多级安全需求，RBAC不是

2.3.2访问控制技术 集中访问控制：

认证、授权、审计管理（AAA管理）

拨号用户远程认证服务RADIUS：提供集中式AAA管理；客户端/服务器协议，运行在应用层，使用UDP协议；组合认证与授权服务

终端访问控制器访问控制系统TACACS：TACACS+使用TCP；更复杂的认证步骤；分隔认证、授权、审计

Diameter：协议的实现和RADIUS类似，采用TCP协议，支持分布式审计 非集中式访问控制： 单点登录SSO

Kerberos：使用最广泛的身份验证协议；引入可信的第三方。Kerberos验证服务器；能提供网络信息的保密性和完整性保障；支持双向的身份认证 SESAME：认证过程类似于Kerberos.

RADIUS运行在UDP协议上，并且没有定义重传机制，而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter 还支持窗口机制，每个会话方可以动态调整自己的接收窗口，以免发送超出对方处理能力的请求。RADIUS协议不支持失败恢复机制，而Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误。RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式，peer的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter还支持认证和授权分离，重授权可以随时根据需求进行。而RADIUS中认证与授权必须是成对出现的。 2.4审计和监控技术 2.4.1审计和监控基础

审计系统：日志记录器：收集数据，系统调用Syslog收集数据；分析器：分析数据；通告器：通报结果 2.4.2审计和监控技术

恶意行为监控：主机监测：可监测的地址空间规模有限；网络监测：蜜罐技术（软件honeyd），蜜网（诱捕网络）：高交互蜜罐、低交互蜜罐、主机行为监视模块

网络信息内容审计：方法：网络舆情分析：舆情分析引擎、自动信息采集功能、数据清理功

能；技术：网络信息内容获取技术（嗅探技术）、网络内容还原分析技术；模型：流水线模型、分段模型；不良信息内容监控方法：网址、网页内容、图片过滤技术

第三章 系统安全 3.1操作系统安全

3.1.1操作系统安全基础 基本安全实现机制：

CPU模式和保护环：内核模式、用户模式 进程隔离：使用虚拟地址空间达到该目的 3.1.2操作系统安全实践 UNIX/Linux系统：

文件系统安全：所有的事物都是文件：正规文件、目录、特殊文件（/dev下设备文件）、链接、Sockets；文件系统安全基于i节点中的三层关键信息：UID、GID、模式；模式位，权限位的八进制数表示；设置SUID（使普通用户完成一些普通用户权限不能完成的事而设置）和SGID，体现在所有者或同组用户权限的可执行位上；chmod改变文件权限设置、chown、chgrp；unmask创建文件默认权限

账号安全管理：/etc/passwd、/etc/shadow；伪用户账号；root账户管理：超级用户账户可不止一个，将UID和GID设置为0即可，使用可插入认证模块PAM进行认证登录

日志与审计：日志系统：记录连接时间的日志：/var/log/wtmp、/var/run/utmp，进程统计：pacct与acct，错误日志：/var/log/messages

Windows系统：

Windows安全子系统：winlogon和图形化标识和验证GINA、本地安全认证、安全支持提供者的接口（SSPI）、认证包、安全支持提供者、网络登录服务、安全账号管理器（SAM） 登录验证：Kerberos

用户权力与权限：用户权限：目录权限、文件权限；共享权限 日志与审计：系统日志、应用程序日志、安全日志

安全策略：密码策略；锁定策略；审核策略；用户全力指派；安全选项；装载自定义安 全模板；windows加密文件系统 可信计算技术：

可信计算平台联盟（TCPA），可信计算组织（TCG） 可信PC，可新平台模块（TPM），可信软件栈（TSS），可信网络连接（TNC） 可信平台模块（TPM）：具有密码运算能力和存储能力，是一个含有密码运算部件和存储部件的小型片上系统；物理可信、管理可信的； 可信密码模块（TCM）：中国 可信计算平台：三个层次：可信平台模块（信任根）、可信软件栈、可信平台应用软件；我国：可信密码模块、可信密码模块服务模块、安全应用 可信网络连接（TNC）：开放性、安全性 3.2数据库安全

3.1.1数据库安全基础 统计数据库安全

现代数据库运行环境：多层体系结构，中间层完成对数据库访问的封装

数据库安全功能：

用户标识和鉴定 存取控制：

自主存取控制：用户权限有两个要素组成：数据库对象和操作类型，GRANT语句向用户授予权限，REVOKE语句收回授予的权限，角色：权限的集合；强制存取控制：主体和客体，敏感度标记：许可证级别（主体）、密级（客体），首先要实现自主存取控制 审计：用户级审计、系统审计；AUDIT设置审计功能，NOAUDIT取消审计功能 数据加密

视图与数据保密性：将视图机制与授权机制结合起来使用，首先用视图机制屏蔽一部分保密数据，然后在视图上再进一步定义存取权限

数据完整性：

语义完整性，参照完整性，实体完整性 约束：优先于使用触发器、规则和默认值 默认值：CREATE DEFAULT

规则：CREATE RULE，USE EXEC sp_bindefault，DROP RULE

事务处理：BEGAIN TRANSACTION，COMMIT，ROLLBACK；原子性、一致性、隔离性、持久性；自动处理事务、隐式事物、用户定义事物、分布式事务 3.2.2数据库安全实践 数据库十大威胁：

过度的特权滥用；合法的特权滥用；特权提升；平台漏洞；SQL注入；不健全的审计；拒绝服务；数据库通信协议漏洞；不健全的认证；备份数据库暴露 安全防护体系：事前检查，事中监控，事后审计 数据库安全特性检查： 端口扫描（服务发现）：对数据库开放端口进行扫描；渗透测试：黑盒式的安全监测，攻击性测试，对象是数据库的身份验证系统和服务监听系统，监听器安全特性分析、用户名和密码渗透、漏洞分析；内部安全监测：安全员数据、内部审计、安全配置检查、漏洞检测、版本补丁检测

数据库运行安全监控：网络嗅探器、数据库分析器、SQL分析器、安全审计

第四章 网络安全 4.1网络安全基础 4.1.1TCP/IP体系架构 4.1.2网络协议

数据链路层协议：地址解析协议（ARP），逆向地址解析协议（RARP） 网络层协议：IP协议， Internet控制报文协议（ICMP）：发送出错和控制消息，提供了一个错误侦测与回馈机制

传输层协议：TCP协议，UDP协议

应用层协议：HTTP，SMTP和POP3，DNS 4.2网络安全威胁技术 4.2.1扫描技术 互联网信息搜集 IP地址扫描：操作系统命令ping（网络故障诊断命令）、tracer，自动化的扫描工具Namp 、Superscan

端口扫描：Namp软件；TCP全连接扫描，TCP SYN扫描，TCP FIN扫描，UDP的ICMP端口不可达扫描，ICMP扫描；乱序扫描和慢速扫描

漏洞扫描：网络漏洞扫描：模拟攻击技术；主机漏洞扫描：漏洞特征匹配技术、补丁安装信息的检测

弱口令扫描：基于字典攻击的弱口令扫描技术、基因穷举攻击的弱口令扫描技术 综合漏洞扫描：Nessus

扫描防范技术：防火墙，用安全监测工具对扫描行为进行监测 4.2.2网络嗅探

非主动类信息获取攻击技术

防范：实现对网络传输数据的加密，VPN、SSL、SSH等加密和传输的技术和设备，利用网络设备的物理或者逻辑隔离的手段 4.2.3网络协议欺骗

I P地址欺骗：和其他攻击技术相结合

ARP欺骗：中间人欺骗（局域网环境内实施），伪装成网关欺骗（主要针对局域网内部主机与外网通信的情况）；防范：MAC地址与IP地址双向静态绑定

TCP欺骗：将外部计算机伪装成合法计算机；非盲攻击：网络嗅探，已知目标主机的初始序列号，盲攻击：攻击者和目标主机不在同一个网络上

DNS欺骗：基于DNS服务器的欺骗，基于用户计算机的DNS欺骗 4.2.4诱骗式攻击 网站挂马：

攻击者成功入侵网站服务器，具有了网站中网页的修改权限 技术：

框架挂马：直接加在框架代码和框架嵌套挂马； JS脚本挂马； b ody挂马； 伪装欺骗挂马

防范：Web服务器，用户计算机 诱骗下载：

主要方式：多媒体类文件下载，网络游戏软件和插件下载，热门应用软件下载，电子书爱好者，P2P种子文件

文件捆绑技术：多文件捆绑方式，资源融合捆绑方式，漏洞利用捆绑方式 钓鱼网站 社会工程

4.2.5软件漏洞攻击利用技术

软件漏洞：操作系统服务程序漏洞，文件处理软件漏洞，浏览器软件漏洞，其他软件漏洞

软件漏洞攻击利用技术：直接网络攻击；诱骗式网络攻击：基于网站的诱骗式网络攻击，网络传播本地诱骗点击攻击 4.2.6拒绝服务攻击

实现方式：利用目标主机自身存在的拒绝服务性漏洞进行攻击，耗尽目标主机CPU和内存等计算机资源的攻击，耗尽目标主机网络带宽的攻击

分类：IP层协议的攻击：发送ICMP协议的请求数据包，Smurf攻击；

TCP协议的攻击：利用TCP本身的缺陷实施的攻击，包括SYN-Flood和ACK-Flood攻击，使用伪造的源IP地址，利用TCP全连接发起的攻击，僵尸主机；