信息系統安全基礎備考要點
https://www.moondream.cn/?p=1323
掃一掃加入信息安全工程師備考羣
歡迎加入最棒的信息安全工程師社羣,分享信息安全工程師備考乾貨資料。
備考交流QQ羣:39460595
第4章:信息系統安全基礎
考點1、計算機設備安全
【考法分析】
本考點主要是對計算機設備安全的考查。
【要點分析】
1.一般認爲,計算機安全的定義,要包括計算機試題及其信息的完整性,機密性,抗否認性,可用性,可審計性,可靠性等幾個關鍵因數;
機密性:保證信息部被非授權訪問;
完整性:維護信息和試題的人爲或非人爲的非授權篡改;
抗否認性:指保障用戶無法再時候否認曾經對信息進行的生成,簽發,接受等行爲;
可用性:授權用戶根據需要可以隨時訪問所需信息;
可審計性:保證計算機信息系統所處理的信息的完整性,準確性和可靠性,防止有意或無意地出現錯誤,乃至防止和發現計算機犯罪案件,除了採用其他安全措施之外,利用對計算機信息系統的審計的方法。利用審計跟蹤的工具,可以記錄用戶的活動;審計跟蹤可以監控和撲捉各種安全事件;審計跟蹤的另一個主要功能是保存,維護和管理審計日誌。
可靠性:指計算機在規定的條件下和給定的時間內完成預定功能的概率;所謂“失效率”是指計算機在某一瞬間失效元件數與元件總數的比率。
影響計算機可靠性的因數有內因和外因兩個方面:
內因:機器本身的因數
外因:指環境條件對系統可靠性,穩定性和維護水平的影響
一般認爲,在系統的可靠性工程中,元器件是基礎,設計是關鍵,環境是保證。除了保證系統的正常工作條件及正確使用和維護外,還要採取容錯技術和故障診斷技術。
容錯技術:指用增加冗餘資源的方法來掩蓋故障造成的影響;故障診斷技術:通過檢測和排除系統元器件或線路故障。
2.由於計算機系統本身的脆弱性以及硬件和軟件的開放性,加之缺乏完善的安全措施,容易給犯罪分子以可乘之機。
3.計算機系統安全涉及到許多學科,因此它是一個綜合性很強的問題。要想解決和計算機系統的安全,就必須首先從計算機的系統結構和基礎出發,從計算機硬件環境出發,找到一條合理地解決問題的道路。
4.計算機系統安全是指:爲了保證計算機信息系統安全可靠運行,確保計算機信息系統在對信息進行採集,處理,傳輸,存儲過程中,不致收到人爲(包括未授權使用計算機資源的人)或自然因數的危害,而使信息丟失,泄露或破壞,對計算機設備,設施(包括機房建築,供電,空調等),環境人員等採取適當的安全措施。
5.對系統安全的研究大致可以分爲基礎理論研究,應用技術研究,安全管理研究等。基礎理論研究:包括密碼研究,安全理論研究;密碼理論的研究重點是算法;安全理論的研究重點是單機環境,網絡環境下信息防護的基本理論;應用技術研究包括安全實現技術,安全平臺技術研究;安全技術的研究重點實在單機或網絡環境下信息防護的應用技術;平臺安全是指保障承載信息產生,存儲,傳輸和處理的平臺的安全和可控;安全管理研究包括安全標準,安全策略,安全測評等。
6.計算機系統外部設備在工作時能夠通過地線,電源線,信號線,寄生電磁信號或諧波將游泳信息輻射的過程,叫計算機的電磁泄露。
7.計算機及其外部設備內的信息,可以通過兩種途徑泄露:一種是以電磁波的形式輻射,稱爲輻射泄露;另一種是通過各種線路和金屬管道傳導出去,稱爲傳導泄露。
8.一般而言,傳導泄露還伴隨着輻射泄露。影響計算機電磁輻射強度的主要因素有:
① 功率和頻率;
② 與輻射源的距離;
③ 屏蔽狀況。
9.TEMPEST的電磁泄露是客觀存在的。任何處於工作狀態的電磁信息設備都存在不同程度的電磁泄露現象。TEMPEST泄露發射通過輻射和傳導兩種途徑向外傳播。
10.在實際中常用的電磁防護措施有:屏蔽,濾波,隔離,合理的接地與良好的搭接,選用低泄露設備,合理的佈局和使用干擾器,傳輸信息加密等。
11.電磁泄露的解決方法有以下幾種:
① 低輻射產品;
② 電磁干擾器;
③ 處理涉密信息的電磁屏蔽室的技術;
④ TEMPEST屏蔽室單純使用屏蔽法,結合濾波的手段其中屏蔽室的門屏蔽性能抗老化是關鍵。
12.其他的防泄露技術:
① 濾波是抑制傳導泄露的主要方法之一;
② 接地和搭接也是抑制傳導泄露的有效方法;
③ 隔離和合理佈局均爲降低電磁泄露的有效手段;
④ 選用低泄露設別也是降低電磁泄露的有效手段之一;
⑤ 配置低輻射設備。
13.物理安全主要包括三個方面:① 場地安全(環境安全);② 設備安全;(媒體安全)
14.計算機機房的安全等級分爲A類,B類,C類三個基本來別:
① A級機房:對計算機機房的安全有楊哥的要求;
② C級機房:對計算機機房的安全有基本的要求。
15.同一機房也可以對不同的設備(如電源,主機)設置不同的級別;爲了保證計算機中心有效地開展信息處理工作,基本工作房間和維修室,儀器室,備品室,磁介質存放室,人員工作室等房間所佔面積的總和應不小於計算機機房面積的1.5倍,而且還應考慮到計算機信息系統設備的擴充。通常計算機機房的面積還應留有15%~30%的富裕空間。
16.機房的安全可以從以下幾個方面來考慮:
① 供配電系統;② 防雷接地系統;③ 消防報警及自動滅火器系統功能;④ 門禁系統;⑤ 保安監控系統。
17.引起場地安全的自然原因的威脅有如下幾種:
① 場地溼度對計算機設別所使用電子元器件,絕緣材料,金屬構件以及記錄介質等都將產生一定的影響;
② 場地溼度對計算機信息系統的影響;
③ 灰塵對計算機信息系統安全的影響;
④ 有害氣體對計算機信息系統安全的影響;
⑤ 地震對計算機信息系統安全的影響。
18.引起場地安全的還有人爲原因,其主要威脅有如下幾種:
① 火災;② 防水;③ 電源;④ 防物理,化學和生物災害。
19.設備安全:包括設備的防盜和防毀,防止電磁信息泄露,防止線路截獲,抗電磁干擾一級電源的保護。
20.工業電氣設備產生的干擾,是計算機電磁干擾的主要來源。這種干擾源暗器干擾性質可分爲:工頻干擾,開關干擾,放點干擾和射頻干擾。
21.計算機信息系統設備的可靠運行提供能源保障,可歸納爲兩個方面:對工作電源的工作連續性的保護(如使用不間斷電源)和對工作電源的工作穩定的保護。
22.目前應用的UPS電源是一種比較理想的供電設備。介質安全是指介質數據和介質本身的安全。
23.計算機的可靠性工作,一般採用容錯系統實現。容錯主要依靠冗餘設計來實現。
24.由於資源的不同,冗餘技術分爲硬件冗餘,軟件冗餘,時間冗餘和信息冗餘。
25.容錯系統工作方式分爲:① 自動偵測;② 自動切換;③ 自動恢復。
26.容錯是指一個系統在運行中其任何一個子系統發生故障時,系統仍然能夠繼續操作的能力。容錯系統的實現應該遵守下列3個設計策略:① 冗餘性:提供備份子系統;② 預防性;③ 恢復性。
27.具體的冗餘技術可以分爲如下的4種:① 硬件冗餘;② 堆積冗餘;③ 待命儲備冗餘:該系統中多個模塊,其中只有一塊處於工作狀態;④ 混合冗餘:堆積冗餘和代碼儲備容易的結合。
28.計算機系統的硬件容錯技術主要採取兩個措施:一是每塊模板上裝有兩套相同的邏輯處理部件,二是每一種模塊都一式兩份。
29.硬件容錯具體的應用技術:
① 雙CPU容錯系統;② 雙機熱備份;③ 三機表決系統:三臺主機同時運行,由表決器(Voter)根據三臺機器的運行結果進行表決,有兩個以上的機器運行結果相同,則認爲該結果爲正確。通常可靠性比雙機系統要高,成本也高。④ 集羣系統(Clusting):指均衡負載的雙機或多級系統。
30.軟件容錯本身有兩層含義:一是對軟件自身故障的處理;二是使用軟件對系統中出現的其他故障進行處理。
31.研究表明,對於軟件本身的設計故障,簡單的冗餘是不夠的,需要輔以設計和數據表示的多樣性才能達到較好的容錯效果。
32.設計多樣性(Design Diversity)技術的核心思想:完成某個功能有多種可能的不同方法,現將每種可能的方法都實現(每種實現稱爲一個變體),以儘可能保證至少有一個變體能可靠地運行。
33.設計多樣性主要有三種經典的實現:
① 恢復塊(Recoery Blocks,RcB):通過建立還原點並使用可接受測試和後向恢復實現容錯;
② N版本程序設計(N2Version progaramming,NVP):使用多個不同的軟件版本利用決策機制和前向恢復實現容錯;
③ N自檢程序設計(N Self Checking Programming,NSCP) :利用程序冗餘在執行過程中檢測自身的行爲。
34.數據容錯的策略就是數據備份和恢復策略,以及容災技術,數據糾錯等技術。
35.數據備份通常可以分爲完全備份,增量備份,差分備份和漸進式備份
完全備份(Fullbackup):指將系統中所有選擇的數據對象進行一次全面的備份。是最基本也是最簡單的備份方式;
增量備份:只對上次備份後系統中變化過的數據對象的備份;
差分備份:只對上次完全備份i來系統中所偶變化過的數據對象的備份;
漸進式備份:也稱爲“只有增量備份”或“連續增量備份”;它是指系統排出完全備份,數據對象只有當放生改變時才被寫入到存儲介質上;漸進式備份只在初始時做所有數據文件的全部備份,以後只備份新建或改動過的文件,比上述三種備份方式有更少的數據移動;減少了備份時間和所需的存儲容量,減輕了網絡負擔;降低潛在的人爲錯誤。
36.數據恢復:通常分爲全盤恢復,數據庫和郵件系統恢復,個別文件恢復和重定向恢復。
37.容災可以分爲數據容災和因公容災兩類:
數據容災:在異地建立一個數據容災系統;
應用容災:建立在數據容災的基礎之上,在移動容災中心建立和本地應用服務系統相當的應用系統。
38.數據備份和數據容災存在本質的區別:備份數據從邏輯上來講施離線的,一旦災難發生,數據備份只能保證在一定時間內將數據恢復到某個時間點上的完整正確的狀態。而數據容災的關鍵在於保護數據的在線狀態,保證數據在發生災難時能從容災中心及時恢復並且無縫地想歪提供數據服務。
39.存儲器的主要錯誤是是單個電路故障所引起的以爲錯或者相關多位錯,而隨機獨立的多位錯誤極少。在按字節組織的內存儲器中,主要錯誤模式爲單字節錯;而在位組織的內存儲器中,主要錯誤模式爲單位錯。
40.半導體存儲器的錯誤大體上分爲硬錯誤和軟錯誤,其中主要爲軟錯誤。硬錯誤所表現的現象是在某個或某些位置上,存取數據重複地出現錯誤,出現這種現象的原因是一個或幾個存儲單元出現故障。軟錯誤主要是由a粒子引起的,引起軟錯誤的另一原因是噪聲干擾。
41.存儲技術中常用的糾檢錯碼有奇偶校驗碼,海明碼及其改進碼。
① 一維奇偶校驗碼是最簡單的一種糾錯碼,它能發現所有的奇數位錯,但它不能用來糾正錯誤。二維奇偶校驗碼可以糾正一位錯。
② 海明碼是一種能糾一維錯的線性分組碼。常用的能檢測兩位錯同事能糾正一位錯的糾錯碼有擴展海明碼和最佳奇權碼,它們的最小碼距都爲4,兩者有相似之處,比如冗餘度一樣。
③ 利用糾錯碼技術,可以保證計算機存儲設備數據安全。
【備考點撥】
瞭解並理解相關知識點內容。
考點2、操作系統安全
【考法分析】
本考點主要是對操作系統安全相關內容的考查。
【要點分析】
1.操作系統實質是一個資源管理系統,管理計算機系統的各種資源,用戶通過它獲得對資源的訪問權限。安全操作系統出了要實現普通操作系統的功能外,還要保證它所管理資源的安全性,包括保密性(Secrecy),完整性(Integrity)和可用性(Availability)。
2.安全威脅可以分爲如下6類:① 不合理的授權機制;② 不恰當的代碼執行;③ 不恰當的主體控制;④ 不安全的進程間通信(IPC);⑤ 網絡協議的安全漏洞;⑥ 服務的不當配置。
3.按照威脅的行爲方式劃分,通常有下面4種:① 切斷;② 截取;③ 篡改;④ 僞造。
4.按照安全威脅的表現形式來分,操作系統面臨的安全威脅有以下5種:① 計算機病毒;② 邏輯炸彈;③ 特洛伊木馬;④ 後門;⑤ 隱蔽通道。
5.安全模型包括狀態機模型,信息流模型,無干擾模型,不可推斷模型,完整性模型等類型。
① 狀態機模型:歐諾個狀態語言將安全系統描繪成抽象的狀態機,用狀態變量表示系統的狀態,用轉換規則描述變量變化的過程。狀態機模型用於描述通用操作系統的所有狀態變量幾乎是不可能的 ,通常只能描述安全操作系統中若干個與安全相關的主要狀態變量。
② 信息流模型:用戶描述系統中客體間信息傳輸的安全需求。信息流模型不是檢查主體對客體的存取,二十試圖控制從一個客體到另一個客體的信息傳輸過程。
③ 無干擾模型:將系統的安全需求描述成一系列主體間操作互不影響的斷言
④ 不可推斷模型:這個模型提出了不可推斷性的概念,要求低安全級用戶不能推斷出高安全級用戶的行爲。
⑤ 完整性模型:目前公認的兩個完整性模型是BIha模型和Clark-Wilson模型。
6.Biba模型通過完整級的概念,控制主體“寫”訪問操作的客體範圍。Clark-Wilson模型針對完整性問題,對系統進行功能分割和管理。
7.BLP模型是最早的一種計算機多級安全模型,也是受到公認最著名的狀態機模型。
8.操作系統的安全機制就是指在操作系統中利用某種技術,某些軟件來實施一個或多個安全服務的過程。
9.身份鑑別是計算機系統正確識別用戶個人身份的重要途徑。
10.訪問是使信息在主體和對象間流動的一種交互方式。訪問控制是對信息系統資源進行保護的重要措施,適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據。
11.訪問控制的手段包括用戶識別代碼,口令,登陸控制,資源授權(例如用戶配置文件,資源配置文件和控制列表),授權覈查,日誌和審計。
12.最小特權原則應限定系統中每個主體所必需的最小特權,確保可能的事故,錯誤,網絡部件的篡改等原因造成的損失最小。
13.最小特權原則要求每個主體在操作時應當使用儘可能少的特權。
14.可信通路(Trusted Paht,TP)也稱爲可信路徑,是指用戶能跳過應用層而直接同可信計算基之間通信的一種機制。
15.安全操作系統很重要的一點是進行分層設計,而運行域正是一種基於保護環的層次等級式結構。
16.存儲器是操作系統管理的重要資源之一,也是被攻擊的主要目標。存儲器保護主要是指保護用戶在存儲器中的數據,防止存儲器中的數據泄露或被篡改。
17.在操作系統中,所有的數據都是以文件形式存在的。文件保護就是防止文件被非法竊取,篡改或丟失,同時又保證合法用戶能正確使用文件。
18.進行文件保護的方法主要有文件的備份,文件的恢復,文件的加密。
19.操作系統的安全審計是指對系統中有關安全的活動進行記錄,檢查和審覈。
20.安全操作系統的設計原則:
① 最小特權;② 機制的經濟性;③ 開放系統設計;④ 完整的存儲控制機制;⑤ 基於“允許”的設計原則;⑥ 權限分離;⑦ 避免信息流的潛在通道;⑧ 方便使用。
21.在現有操作系統上實現安全增強是目前提高操作系統安全性普遍採用的方式,一般有三種具體方法:
① 虛擬機法。在現有操作系統與硬件之間增加一個新的分層作爲安全內核,操作系統幾乎不變地作爲虛擬機來運行。
② 改進、增強法。在現有操作系統的基礎上對其內核和應用陳旭進行面向安全策略的分析,然後加入安全機制,經改造,開發後的安全操作系統基本上保持了原來操作系統的用戶接口界面。
③ 仿真法。對現有操作系統的內核進行面向安全策略的分析和修改以形成安全內核。然後在安全內核與原來操作系統用戶接口界面中間再編寫一層仿真程序。
22.安全操作系統的一般開發過程:
首先建立一個安全模型;然後是安全機制的設計與實現;最後是安全操作系統的可信度認證。
23.操作系統近年來受到重視的安全增強技術:
① 增強對用戶身份的識別;② 增加對訪問的控制;③ 審計增強;④ 安全管理增強;⑤ 多管理員增強:改進原有操作系統中管理方面的缺陷和開發自動化或半自動化的輔助管理技術或工具;⑥ 自動化輔助管理。
除了緩衝區溢出的安全增強,網絡協議棧安全增強,系統完整性保護等近年來也有一定的研究。
【備考點撥】
瞭解並理解相關知識點內容。
考點3、數據庫系統的安全
【考法分析】
本考點主要是對數據庫系統安全相關內容的考查。
【要點分析】
1.數據庫安全就是保證數據庫信息的保密性,完整性,一致性和可用性;一般而言,數據庫安全涉及以下這些問題:
① 問題數據庫的完整性;② 邏輯數據庫的完整性;③ 元素安全性;④ 可審計性;⑤ 訪問控制;⑥ 身份認證;⑦ 可用性;⑧ 推理控制;⑨ 多級保護;⑩ 消除隱通道。
2.數據庫安全的發展可分爲4個階段:萌芽階段,軍事主導階段,標準化階段,多樣化階段。
3.訪問控制技術提供了一種控制用戶訪問數據的機制。
4.安全策略表達模型一般分爲兩大類,即自主訪問控制(DAC)和強制訪問控制(MAC)。自主訪問控制中,用戶對信息的訪問是基於用於的鑑別和訪問控制規則的確定,每個用戶都要給予系統中每個訪問對象的訪問權限。在強制訪問控制中,系統給主體和客體分配了不同的安全標記,通過比較主體和客體的安全標記是否匹配,來決定是否允許訪問。
5.數據中需要滿足的安全策略應該滿足以下一些原則:
① 最小特權原則;② 最大共享原則;③ 開放系統原則和封閉系統原則。
6.在開發系統中,存儲規則規定的是哪些訪問操作是不被允許的;在設計文芳控制策略時,還有一些特殊的規則約束。
7.數據庫安全策略的實施:
① 子模式法:對於用戶而言,他所能訪問到的信息是數據庫中模式的一部分,並且是模式的i中對外體現形式,而不能訪問到或瞭解到整個模式。用戶所能瞭解的那部分模式,稱爲子模式。
② SQL修改查詢法:該方法的核心思想是當用戶進行SQL查詢時,數據庫系統對用戶提交的SQL查詢語句自動附加上更多的安全約束限制。
③ 集合法。
④ 請求排序法。
8.數據庫加密技術是一種對計算機系統外存儲器中數據進行保護的有效手段。數據庫加密技術還有其更爲特殊的要求。
① 數據庫中的數據保存的時間相對更長,因此對加密強度的要求也更高;
② 數據庫中數據量很大,對加密熟讀要求更高;
③ 數據庫中數據通常是多用戶共享的,對加密和解密的性能要求也會更高
④ 數據庫中的數據規律性教強,某一個列的數據項往往取值於某一個限定範圍,往往呈現一定的概率分佈。引出數據庫的加密技術需要消除密文之間的關聯性。確保相同或雷士的明文在加密後的密文無規律性。
9.多級安全數據庫是數據庫在具體設計,實現方面中藥的研究領域。它將數據庫中的重要數據進行安全等級劃分,通過融合訪問控制,數據庫加密等技術實施的綜合保障技術來實現符合標準規範的安全數據庫。
10.推理通道通常分爲三大類:
① 演繹推理通道:在這類推理通道中,高級數據可以完全從低級數據中形式化的推理得出。
② 不明推理通道:在這類推理通道中,如果確定一些低級別上的推理依據公里,由低級數據就可以推理出高級數據,完成演繹推理及其證明這類推理通道相比於演繹推理通道,需要一些推理假設,因此其完備性相對較弱。
③ 概率推理通道:在這類推理通道中,由低等級數據可以降低高等級數據的不確定性。
11.數據庫備份分爲物理備份和邏輯備份,其中文理備份又分爲:冷備份和熱備份。
① 冷備份:通過定期的對系統數據庫進行備份,並將備份數據存儲在磁帶,磁盤等介質上。在冷備份過程中,數據庫必須是關閉狀態。
② 熱備份:熱備份是指當數據庫正在運行時進行的備份,又稱聯機備份。熱備份的實現通常徐璈一個備用的數據庫系統。
③ 邏輯備份:物理備份的一種補充,它使用軟件技術,利用到處工具執行SQL語句方式,從數據庫中讀取數據,將其到處到一個數據文件中。該文件的格式一般與原數據庫的文件格式不同,而是原數據庫中數據內容的一個映像。因此,邏輯備份文件只能用來對數據庫進行邏輯恢復,即數據導入,而不能按數據庫原來的存儲特徵進行物理恢復。邏輯備份一般用於增量備份。
【備考點撥】
瞭解並理解相關知識點內容。
考點4、惡意代碼
【考法分析】
本考點主要是對惡意代碼相關內容的考查。
【要點分析】
1.惡意代碼,指爲達到惡意的目的而專門設計的程序或代碼,是指一切旨在破壞計算機或者網絡系統可靠性,可用性,安全性和數據完整性或者消耗系統資源的惡意程序。
惡意代碼的主要的存在形態有:惡意數據文檔,惡意網頁,內存代碼,可執行程序和動態鏈接庫等。
2.惡意代碼=廣義的計算機病毒;惡意代碼的一般命名格式爲:<惡意代碼前綴>.<惡意代碼名稱>.<惡意代碼後綴>;惡意代碼後綴的數量可以有1到多個,如果只有1個,通知是指一個惡意代碼的變種特徵。
3.常用惡意代碼前綴解釋:
① 系統病毒:前綴爲:Win32,PE,Win95,W32,W95等,這些病毒是可以感染Windows操作系統的*.exe和*.dll文件。
② 網絡蠕蟲:前綴爲Worm
③ 特洛伊木馬:前綴爲Trojam
④ 腳本病毒:前綴爲Script
⑤ 宏病毒:前綴爲Macro
⑥ 後門程序:前綴是Backdoor
⑦ 病毒種植程序病毒
⑧ 破壞程序病毒:前綴是Harm
⑨ 玩笑病毒:前綴是Joke
⑩ 捆綁機病毒:前綴是Binder
4.惡意代碼命名的形式,每個組成部分介紹如下:
① 惡意代碼類型(malware_type);② 平臺(platform);③ 家族名(family_name);④ 組名(group_name);⑤ 感染程度(infective_length);⑥ 變種名(variant);⑦ 退化標識(devolution);⑧ 修飾符(modifiers)。
5.計算機病毒的特徵可以歸納爲傳染性,程序性,破壞性,非授權性,隱蔽性,潛伏性,可觸發性和不可預見性。
6.計算機病毒的生命週期:潛伏階段,傳播階段,出發階段,發作階段。
7.計算機病毒傳播途徑:
① 通過軟盤,光盤傳播;② 通過移動存儲設備傳播;③ 通過網絡傳播。
8.蠕蟲最重要的兩個特徵:“可以從一臺計算機移動到另一臺計算機”,以及“可以自我複製”。
9.木馬與病毒不同,它不以破壞目標計算機系統爲主要目的,同時在主機間沒有感染性。木馬的危害早已超過病毒。
10.特洛伊木馬又可以分爲多種,如遠程控制型木馬,信息竊取木馬,破壞型木馬等。
11.後門:指繞過系統中常規安全控制機制而獲取對特定軟件或系統的訪問權限的程序。一般是指攻擊者在獲得目標主機控制權之後爲了今後能方便地進入該計算機而安裝的一類軟件,它不僅繞過系統已有的安全設置,而且還能挫敗系統上各種增強的安全設置。
12.其他惡意代碼:① DDos程序;② 殭屍程序(Bot);③ Rootkit:最初被定義爲由有用的小程序組成的工具包,可是的攻擊者能夠獲得計算機用戶“Root”的最高系統權限。Rootkit技術的關鍵在於“是的髠對象無法被檢測”,因此Rootkit所採用的大部分技術和技巧都用於在計算機上隱藏代碼和數據。④ Exploit:漏洞利用程序。針對某一特定漏洞或一組漏洞而精心編寫的漏洞利用程序。目前比較常見的Exploit有:主機系統漏洞Exploit、文檔類漏洞Exploit和網頁掛馬類Exploit等。
13.爲了徹底清除惡意代碼,需要按照以下步驟進行:
① 停止惡意代碼的所有活動行爲(包括停止進程,服務,卸載DLL等);
② 刪除惡意代碼新建的所有文件備份(包括可執行文件,DLL文件,驅動程序等);
③ 清除惡意代碼寫入的所有啓動選項;
④ 對被計算機病毒感染的文件,還需要對被感染文件進行病毒清除等。
需要注意的是,並不是所有惡意代碼對系統進行的修改都可以被恢復。
14.典型反病毒技術:
① 特徵值查毒法:前提是需要從病毒體中提取病毒特徵值構成病毒特徵庫;
② 校驗和技術;
③ 啓發式掃描技術:一個熟練的程序員在調試狀態下只需要一看便可一目瞭然。啓發式代碼掃描技術實際上就是把這種經驗和知識移植到反病毒軟件中,從而有可能找到未知的病毒。
④ 虛擬機技術:軟件模擬法,它是一種軟件分析器,用軟件方法來模擬和分析程序的運行,而且程序的運行不會對系統起實際的作用
⑤ 行爲監控技術:通過審查應用程序的操作來判斷是否有惡意(病毒)傾向並向用戶發出警告。
⑥ 主動防禦技術:並不是一項全新的技術,集成了啓發式掃描技術和行爲監控及行爲阻斷等技術。
【備考點撥】
瞭解並理解相關知識點內容。
考點5、計算機取證
【考法分析】
本考點主要是對計算機取證技術相關內容的考查。
【要點分析】
1.計算機取證是將計算機調查和分析技術應用與對潛在的,有法律效力的證據的確定與提取上。
2.計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護,確認,提取和歸檔。與傳統證據一樣,電子證據必須是可信,準備,完整,符合法律法規的,是法庭所能夠接受的。同時,電子證據與傳統證據不同,具有高科技性,無形性和易破壞性等特點
3.計算機取證主要是對電子證據的獲取,分析,歸檔,保存和描述的過程;計算機取證的通常步驟包括:保護目標計算機系統,確定電子證據,收集電子證據,保全電子證據。
4.分析電子證據的信息需要很深的專業知識,應依靠專業的取證專家。通常取證分析工作中用到的技術包括:① 對比分析和關鍵字查詢;② 文件特徵分析技術;③ 密碼破譯;④ 數據恢復與殘留數據分析;⑤ 磁盤備份文件,鏡像文件,交換文件,臨時文件分析技術;⑥ 日誌記錄文件分析;⑦ 相關性分析等。
【備考點撥】
瞭解並理解相關知識點內容。
考點6、嵌入式系統安全
【考法分析】
本考點主要是對嵌入式系統安全相關內容的考查。
【要點分析】
1.廣義地講,凡是不用於通用目的的可編程計算機設備,就可以算是嵌入式計算機系統。最典型的嵌入式系統如手機,可視電話等,如傳真機,打印機等;狹義上講:嵌入式系統是指以應用爲核心,以計算機技術爲基礎,軟硬件可裁剪,適用應用系統對功能,可靠性,成本,體積和功耗嚴格妖氣的專用計算機系統。
2.嵌入式系統具有如下特點:① 嵌入式系統具有應用針對性;② 嵌入式系統硬件一般對擴展能力要求不高;③ 嵌入式系統一般採用專門針對嵌入式應用設計的中央處理器;④ 嵌入式系統中操作系統可能有也可能沒有,且嵌入式操作系統與桌面計算機操作系統有較大差別;⑤ 嵌入式系統一般有實時性要求;⑥ 嵌入式系統一般有較高的成本控制要求;⑦ 嵌入式系統軟件一般有固化的要求;⑧ 嵌入式系統一般採用交叉開發的模式;⑨ 嵌入式系統在體積,功耗,可靠性,環境適應性上一般有特殊要求;⑩ 嵌入式系統技術標準化程度不高,也存在一定程度的標準化。
3.常見的嵌入式系統設備,包括智能卡,USB-key和智能手機等。
4.智能卡的用途可歸爲如下四點:① 身份識別;② 支付工具;③ 加密解密;④ 信息存儲。
5.從本質上說,片內操作系統(COS)是智能卡芯片內的一個監控軟件,它在智能卡中的概念和地位類似與DOS在個人計算機PC中的概念和地位。與DOS不一樣的地方在於:COS更加註意安全;COS一般由四部分組成★:通訊管理模塊和安全管理模塊,應用管理模塊和文件管理模塊。
6.針對智能卡,有以下幾種常見的攻擊手段:① 物理篡改;② 時鐘抖動;③ 超範圍電壓探測。
7.USB Key是一種USB接口的硬件設備;USB Key身份認證的特點:
① 雙因子認證:每一個USB key都具有硬件PIN碼保護,PIN碼和硬件構成了用戶使用USB Key的兩個必要因數。即所謂“雙因子認證”。用戶只有同時取得了USB Key和用戶PIN碼,纔可以登錄系統。
② 帶有安全存儲空間。
③ 硬件實現加密算法。
④ 便於攜帶,安全可靠
⑤ 身份認證模式
8.USB Key目前來說並不是絕對安全的,實際存在兩大安全漏洞:
① 交互操作存在漏洞,黑客可以遠程控制;
② 無法防止數據被篡改。
解決這些漏洞的方法是通過在USB設備上增加新的硬件,革新認證策略。
9.由於USB Key具有安全可靠,便於攜帶,使用方便,成本低廉的優點,使用USB key存儲數字證書的認證方式已經成爲目前主要的認證模式。
10.智能手機的誕生,是PDA演變而來的。PDA,英文全稱Personal Digital Assistant,即個人數碼助理,一般是指掌上電腦。
11.智能手機的操作系統有:Windows CE,Palm OS,Pocket PC,WindowsPhone和IOS,安卓等。
Windows CE:微軟開發的嵌入式操作系統;
Palm OS:Palm公司開發的32位嵌入式操作系統;
Pocket PC:在Windows CE的基礎上改進的;
WindowsPhone:簡稱WP;
Android:是一種以Linux爲基礎的開放源代碼操作系統。Android 分爲4個層,從高層到低層分別是應用程序層,應用程序框架層,系統運行庫層和Linux核心層。Android是以Linux爲核心的手機操作平臺;
iOS:由蘋果公司開發的移動操作系統,也是閉源的操作系統,所有的開發軟件必須蘋果的審覈才能開放使用,並且只能在蘋果的硬件設備上使用。
12.智能手機安全隱患有如下的幾個方面:
① 目前我國軟件應用平臺以谷歌的安卓爲主;
② 黑客們就電商APP進行二次打包僞裝知名應用混淆用戶;
③ 手機病毒感染率非常嚴峻;
④ 短信信息常含有一些惡意軟件,網站的鏈接,掃面二維碼染毒的分先日益增多。
13.可信智能手機應該具有無線保密通信,GPS等典型的功能應用,其具體方法如下:
① 可信智能終端系統的體系結構;
② 可信智能終端的操作系統安全增強;
③ 可信智能終端的信任鏈結構;
④ 可信只能終端的保密通信與可信網絡連接。
14.現代工業控制系統包括過程控制,數據採集系統(SCADA),分佈式控制系統(DCS),程序邏輯控制(PLC)以及其他控制系統等。
15.在中國,與傳統的網絡語信息系統安全相比,工業控制系統信息安全保護水平明顯偏低,長期以來沒有得到關注,大多數的工業控制系統在開發設計時,只考慮了效率和實時等特性,並未將信息安全納入主要考慮的指標。
16.工業控制系統面臨的威脅是多樣化的,一方面敵對政府,恐怖組織,商業間諜,內部不法人員,外部非法入侵者等對系統虎視眈眈;另一方面,系統複雜性,認爲事故,操作系統,設備故障和自然災害等也會對工業控制系統造成破壞。
17.電力工控系統面臨的主要威脅:① 內部人爲風險;② 黑客攻擊;③ 病毒破壞;④ 預置陷阱;⑤ 電力工控系統採用對策:加強制度建設和人員管理;加強技術防範;加強整體防護。
18.工控系統信息安全不是一個單純的技術問題,而是涉及到技術,管理,流程,人員意識等各方面的系統工程,徐璈組件包括控制工程師,工控設備供應商,系統集成商,信息安全專家等成員的工控系統信息安全隊伍。
19.在監控級(如:工程師站、操作員站、歷史站等)和網絡層面可採取現有等級保護的相關標準和規範開展等級測評;在控制級,應加強對 Modbus、 OPC 等通信協議 的使用管理,對其用戶身份進行鑑別和認證;在現場級,應實現對設備、控制元件的准入檢測,加快建立工控設備的檢測標準和規範;在管理上,應建立完善的工控系統安全運維方案、策略和計劃,加強日常安全培訓,嚴控處理流程,防止內部攻擊,實現終端安全防護,操作使用安全,針對現階段難議解決的技術問題應通過管理手段進行彌補,切實提高工控系統的安全防護能力。
【備考點撥】
瞭解並理解相關知識點內容。