当前位置:首页 » 《休闲阅读》 » 正文

第二届全国大学生网络安全精英赛初赛笔记_NaCl鱼呜啦啦的博客

8 人参与  2022年02月01日 13:42  分类 : 《休闲阅读》  评论

点击全文阅读


第二届全国大学生网络安全精英赛初赛笔记

模拟题(一)

1.通信保密阶段开始于20世纪40年代,其时代标志是1949年香农发表的《保密系统的信息理论》,该理论首次将密码学的研究纳入了科学的轨道。
注:此条理论的后四个字“信息理论”与香农提出的《信息论》相近

2.信息系统安全保障涵盖生命周期、保障要素和安全特征三个方面。

3.法律法规是和人有关的。
在这里插入图片描述
《计算机信息系统安全保护等级划分准则》规定的五个等级:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。

4.数字签名的私钥用来加密,公钥用来解密。发送方通过向认证机构注册来生成公钥,进而接收方从认证机构获得公钥,这样保证了数据的不可抵赖性。

5.在访问控制应用方面,常用的主要有:入网访问控制、网络权限限制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节
点的安全控制和防火墙控制。
其中,
网络的权限控制是防止网络非法操作而采取的一种安全保护措施,用户对网络资源的访问权限通常用一个访问控制列表来描述。
从用户的角度,网络的权限控制可分为以下3类用户:特殊用户(具有系统管理权限的系统管理员等)、一般用户(系统管理员根加实际需要而分配到一定操作权限的用户)、审计用户(专门负责审计网络的安全控制与资源使用情况的人员);
注:很像微信小程序后台管理给小程序使用人员分配的权限。
目录级安全控制主要是为了控制用户对目录、文件和设备的访问,或指定对目录及目录下的子目录和文件的使用权限;
网络服务器安全控制是指允许通过服务器控制台执行的安全控制操作包括:用户利用控制台装载和卸载操作模块、安装和删除软件等;

6.USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。

7.攻击者成功入侵目标主机后,更希望对目标主机进行远程控制,以便轻松获取目标主机中有价值的数据。攻击者通过木马、webshell、 后门等来实现对目标主机的远程控制。DDOS不能控制目标主机,只能使目标主机无法正常使用。

8.在初始化SSL连接时采用的加密技术是公钥密码。

在这里插入图片描述
9.能正常播放的视频不会含有木马,B选项的意思是应用程序的代码中包含木马程序的代码,这样每次运行程序,里面的木马也会运行。

10.SSID是Service Set Identifier的缩写,意思是:服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。

11.OSI安全体系包括结构包括五类安全服务以及八类安全机制。
五类安全服务:
1.认证(鉴别)服务:在网络交互过程中,对收发双方的身份及数据来源进行验证。
2.访问控制服务:防止未授权用户非法访问资源,包括用户身份认证和用户权限确认。
3.数据保密性服务:防止数据在传输过程中被破解、泄露。
4.数据完整性服务:防止数据在传输过程中被篡改。
5.抗否认性服务:也称为抗抵赖服务或确认服务。防止发送方与接收方双方在执行各自操作后,否认各自所做的操作。

八类安全机制:
1.加密机制:加密机制对应数据保密性服务。加密是提高数据安全性的最简便方法。通过对数据进行加密,有效提高了数据的保密性,能防止数据在传输过程中被窃取。常用的加密算法有对称加密算法(如DES算法)和非对称加密算法(如RSA算法)。
2.数字签名机制:数字签名机制对应认证(鉴别)服务。数字签名是有效的鉴别方法,利用数字签名技术可以实施用户身份认证和消息认证,它具有解决收发双方纠纷的能力,是认证(鉴别)服务最核心的技术。在数字签名技术的基础上,为了鉴别软件的有效性,又产生了代码签名技术。常用的签名算法有RSA算法和DSA算法等。
3.访问控制机制:访问控制机制对应访问控制服务。通过预先设定的规则对用户所访问的数据进行限制。通常,首先是通过用户的用户名和口令进行验证,其次是通过用户角色、用户组等规则进行验证,最后用户才能访问相应的限制资源。一般的应用常使用基于用户角色的访问控制方式,如RBAC(Role Basic Access Control,基于用户角色的访问控制)。
4.数据完整性机制:数据完整性机制对应数据完整性服务。数据完整性的作用是为了避免数据在传输过程中受到干扰,同时防止数据在传输过程中被篡改,以提高数据传输完整性。通常可以使用单向加密算法对数据加密,生成唯一验证码,用以校验数据完整性。常用的加密算法有MD5算法和SHA算法等。
5.认证机制:认证机制对应认证(鉴别)服务。认证的目的在于验证接收方所接收到的数据是否来源于所期望的发送方,通常可使用数字签名来进行认证。常用算法有RSA算法和DSA算法等。
6.业务流填充机制:也称为传输流填充机制。业务流填充机制对应数据保密性服务。业务流填充机制通过在数据传输过程中传送随机数的方式,混淆真实的数据,加大数据破解的难度,提高数据的保密性。
7.路由控制机制:路由控制机制对应访问控制服务。路由控制机制为数据发送方选择安全网络通信路径,避免发送方使用不安全路径发送数据,提高数据的安全性。
8.公证机制:公正机制对应抗否认性服务。公证机制的作用在于解决收发双方的纠纷问题,确保两方利益不受损害。类似于现实生活中,合同双方签署合同的同时,需要将合同的第三份交由第三方公证机构进行公证。
9.安全机制对安全服务做了详尽的补充,针对各种服务选择相应的安全机制可以有效地提高应用安全性。随着技术的不断发展,各项安全机制相关的技术不断提高,尤其是结合加密理论之后,应用安全性得到了显著提高。本书的后续章节将以加密理论及其相应实现为基础,逐步阐述如何通过加密技术确保企业应用的安全。

12.常见服务以及对应的端口号
HTTP:80
FTP:21
SSH:22
Telnet:23
SMTP:25
DNS:53

13.脚本病毒通常是JavaScript代码编写的恶意代码, 一般带有广告性质,会修改您的IE首页、修改注册表等信息,造成用户使用计算机不方便。

14.数字版权管理的六大功能: 
1.数字媒体加密:打包加密原始数字媒体,以便于进行安全可靠的网络传输。
2.阻止非法内容注册:防止非法数字媒体获得合法注册从而进入网络流通领域。
3.用户环境检测:检测用户主机硬件信息等行为环境,从而进入用户合法性认证。
4.用户行为监控:对用户的操作行为进行实时跟踪监控,防止非法操作。
5.认证机制:对合法用户的鉴别并授权对数字媒体的行为权限。
6.付费机制和存储管理:包括数字媒体本身及打包文件、元数据(密钥、许可证)和其他数据信息(例如数字水印和指纹信息)的存储管理。

15.Windows server用户匿名登录主机时,用户名为:Anonymous(匿名的)

16.信息安全管理体系ISMS(Information Security Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。其信息安全管理的核心内容是风险管理。
模式应用:P(plan)D(do)C(check)A(act)

17.DES全称为Data Encryption Standard,即数据加密标准,是一种使用密钥加密的块算法,作为算法的DES称为数据加密算法(Data Encryption Algorithm,DEA),已与作为标准的DES区分开来。

18.Access VPN通过一一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。
Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或感兴趣的群体连接到企业内部网。

模拟题(二)

1.TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击,如HTTP、FTP、Telnet等。对于攻击者来说,所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文,这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号,从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。这样,在该合法主机收到另一台合法主机发送的TCP报文前,攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文,就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号(ackseq)的值的要求发生变化,从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对被攻击主机的的访问状态,因此对系统安全构成的威胁比较严重。

2.溢出攻击的核心是修改堆栈记录中进程的返回地址。

3.应急响应管理过程分为6个阶段,为准备→检测→遏制→根除→恢复→跟踪总结
.
4.数字证书(又称电子证书、公钥证书或证书)是一段经认证权威机构(CA) 签名的、包含拥有者身份信息和公开密钥的数据体。
注:不包含证书机构,这个是已知的

5.CIA:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)来划分信息系统的安全等级。
其他:
不可否认性(Non-repudiation) – 对做过的行为和接受过的信息不能抵赖。
可控性(Controlability) – 授权机构对信息的内容和传播是可控的。
认证性/真实性(Authenticity)-- 消息认证和实体认证

6.风险的大小,与资产、威胁、脆弱性这三个引起风险的最基本的要素有关。

7.域名的格式是以".”分隔的分级结构,最右侧为顶级域名(一级域名),顶级域名左侧为二级域名,以此类推,为三级、四级域名或者更高级别域名,格式一般遵循"功能、机构名称、国家”的规范。

8.Cookie是指网站放置在电脑上的小文件,其中存储有关用户和用户偏好的信息。Cookie可让网站记住用户的偏好或者让用户避免在每次访问某些网站时都进行登录,从而改善用户的浏览体验。但是,有些Cookie可能会跟踪用户访问的站点,从而危及个人隐私安全。所以在非私人电脑上使用浏览器,可以对Cookie进行删除和管理,不同的浏览器具有不同的操作步骤。

9.存储管理主要任务是对内存进行分配、保护和扩充,为多道程序运行提供有力的支撑,便于用户使用存储资源,提高存储空间的利用率。实现文件的高速存取为文件管理。

10.常见的三种上网方式: PPPoE 、动态IP、静态IP。
PPPoE(英语:Point-to-Point Protocol Over Ethernet),以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。

11.保障信息安全的三个支柱是技术、法律法规、管理。

12.信息安全事件划分为特别重大事件、重大事件、较大事件和一般事件四个级别。

13.密码学的目的是研究数据保密。

14.PKI(公钥基础设施)主要包括四个部分:
X.509格式的证书和证书废止列表;
证书授权中心(Certificate Authority, CA)操作协议;
CA管理协议;
CA政策制定。
PKl管理对象包括证书、密钥、证书撤消。

15.IPSEC密钥交换协议IKE定义了通信实体间进行身份认证、创建安全关联、协商加密算法以及生成共享会话密钥的方法。第一阶段是两个ISAKMP对等终端建立安全认证的通信信道和ISAKMP安全关联(SA) ,运行在该阶段的模式有两种,即“主模式”和“积极模式”。第二阶段对安全关联可提供的服务以及所需要的密钥和参数进行协商,运行在该阶段的模式为快速模式。

16.IPsec(Internet Protocol Security),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
IPsec主要由以下协议组成:
1.认证头(Authentication Header,AH)被用来保证被传输分组的完整性和可靠性。此外,它还保护不受重放攻击。认证头试图保护IP数据报的所有字段,那些在传输IP分组的过程中要发生变化的字段就只能被排除在外。当认证头使用非对称数字签名算法(如RSA)时,可以提供不可否认性(RFC 1826)。
2.封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
3.安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
4.密钥协议(IKE),提供对称密码的钥匙的生存和交换。
指定AH的工作模式为Transport或Tunnel模式;指定ESP的工作模式为Transport或Tunnel模式。

17.计算机病毒是计算机系统中一类隐藏在存储介质上蓄意破坏的捣乱程序。

18.第二层隧道协议(Layer Two Tunneling Protocol,L2TP)是一种虚拟隧道协议,通常用于虚拟专用网。L2TP协议自身不提供加密与可靠性验证的功能,可以和安全协议搭配使用,从而实现数据的加密传输。经常与L2TP协议搭配的加密协议是IPsec,当这两个协议搭配使用时,通常合称L2TP/IPsec。

19.包过滤防火墙主要过滤的信息有源IP地址、目的IP地址、TCP源端口和目的端口。

20.GRE(Generic Routing Encapsulation) 通用路由封装是对某些网络层协议(如: IP , IPX , Apple Talk等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。

21.Kerberos的设计目标包括认证、记账、审计。
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: 1) 服务器 “ticket” ; 2) 一个临时加密密钥(又称为会话密钥 “session key”) 。客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。

模拟题(四)

1.Session攻击
https://blog.csdn.net/a562449131/article/details/102113891


点击全文阅读


本文链接:http://zhangshiyu.com/post/34157.html

用户  数据  认证  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1