1.CA通過發佈證書黑名單,公開發布已經廢除的證書
2.攻擊者通過精心構造超出數組範圍的索引值,就能夠對任意內存的地址進行讀寫操作,這種漏洞被稱爲數組越界漏洞
3.在不實際執行程序的前提下,將程序的輸入表示成符號,根據程序的執行流程和輸入參數的賦值變化,把程序的輸出表示成包含這些符號的邏輯或算術表達式,這種技術被稱爲符號執行
4.被調用的子函數下一步寫入數據的長度,大於棧幀的基址到ESP之間預留的保存局部變量的空間時,就會發生棧的溢出
5.Shellcode實際是一段代碼(也可以是填充數據),是用來發送到服務器利用特定漏洞的代碼,一般可以獲得權限,另外,Shellcode一般是作爲數據發送給受攻擊服務的。Shellcode是溢出程序和蠕蟲病毒的核心。漏洞利用的核心是利用程序漏洞去執行shellcode以便劫持進程的控制權
6.軟件安全檢測技術中,定理證明屬於軟件靜態安全檢測技術
7.風險評估分爲自評估和檢查評估
8.國家祕密的保密期限,絕密級不超過30年,機密級不超過20年,祕密級不超過10年。
9.信息技術可能帶來的一些負面影響包括信息氾濫,信息污染和信息犯罪
10.IATF,國際汽車工作組,提出了三個主要核心要素,人,技術和操作
11.根據具體需求和資源操作,可以將網絡信息內容審計系統分爲流水線模型和分段模型兩種過程模型
12.RSA密碼建立在大整數因式分解的困難性之上,而ElGamal密碼建立在離散對數的困難性之上
13.對稱密鑰體制,根據對明文的加密方式的不同而分爲兩類,分組密碼和序列密碼。分組密碼以一定大小作爲每次處理的基本單位,而序列密碼則是以一個元素(一個字母或一個比特)作爲基本的處理單元
14.產生認證碼的函數類型有消息加密,消息認證碼和哈希函數
15.基於矩陣的列的訪問控制信息表示的是訪問控制表,即每個客體附加一個它可以訪問的主體的明細表
16.爲不同的數據庫用戶定義不同的視圖,可以限制各個用戶的訪問範圍
17.對於數據庫的安全防護分爲三個階段,事前檢查,事中監控和事後審計
18.數據庫軟件執行三種類型的完整性服務,語義完整性,參照完整性和實體完整性
19.數據庫都是通過開放一定的端口來完成與客戶端的通信和數據傳輸
20.入侵檢測系統可以實現事中防護,是指入侵攻擊發生時,入侵檢測系統可以通過與防火牆聯動從而實現動態防護
21.代理服務器和防火牆的包過濾技術不同之處在於,對於內外網轉發的數據包,代理服務器在應用層對這些數據進行安全過濾。而包過濾技術主要在網絡層和傳輸層進行過濾
22.模擬黑客可能使用的攻擊技術和漏洞發現技術,對目標系統的安全做深入的探測,發現系統最脆弱的環節是滲透測試
23.隸屬於中國信息安全測評中心的中國國家信息安全漏洞庫,其英文縮寫爲CNNVD
24.由大量NOP空指令0x90填充組成的指令序列是滑板指令
25.軟件安全開發技術,主要包括建立安全威脅模型,安全設計,安全編碼和安全測試等幾個方面
26.軟件開發週期是微軟提出的從安全角度指導軟件開發過程的管理模式
27.信息安全風險評估的複雜程度,取決於受保護的資產對安全的敏感程度和所面臨風險的複雜程度
28.《信息系統安全保護等級劃分準則》中提出了定級的四個要素,信息系統所屬類型,業務數據類型,信息系統服務範圍和業務自動化處理程度
29.信息安全問題產生根源可分爲內因和外因。其中信息安全內因主要來源於信息系統的複雜性
30.一個審計系統通常由三部分組成,日誌記錄器,分析器,通告器。分別用來收集數據,分析數據和通報結果
31.用戶接口是爲了方便用戶使用計算機資源所建立的用戶和計算機之間的聯繫,主要有兩類接口,作業級接口和程序級接口
32.TCG可信計算系統結構可劃分爲三個層次。分別爲可信平臺模塊,可信軟件棧和可信平臺應用軟件
33.產生認證符的函數類型。通常有如下三類,消息加密,消息認證碼和哈希函數
34.自主訪問控制模型的實現機制通過訪問控制矩陣實施,具體的實現辦法是通過訪問能力表或訪問控制表來限定哪些主體針對哪些客體可以執行什麼操作
35.在Unix\Linux中,主要的審計工具是syslogd守護進程
36.用於設置數據庫審計功能的SQL命令是AUDIT命令
37.ARP協議的主要作用是完成IP地址到物理地址之間的轉換
38.IPSec協議框架中包括兩種網絡安全協議,其中支持加密功能的安全協議是ESP協議
39.通過分析軟件代碼中變量的取值變化和語句的執行的執行情況,來分析數據處理邏輯和程序的控制流關係,從而分析軟件代碼的潛在安全缺陷的技術是數據流測試技術
40.軟件漏洞危險等級主要分爲緊急,重要,警告,注意這四個等級
41.攻擊者通過精心構造超出數組範圍的索引值,就能夠對任意內存地址進行讀寫操作,這種漏洞稱爲數組越界漏洞
42.結合了程序理解和模糊測試的軟件動態安全檢測技術,稱爲智能模糊測試技術
43.對惡意程序進行查殺的最基本殺毒技術是特徵碼查殺技術
44.CC評估等級每一級均需評估七個功能類,分別是配置管理,分發和操作。開發過程,指導文獻,生命期的技術支持,測試和脆弱性評估
45.關於國家祕密,機關,單位應當根據工作需要,確定具體的保密年限,解密時間或者解密條件
46.密碼技術是實現信息安全的核心技術,利用密碼技術可以實現網絡信息安全的機密性,完整性,抗否定性。保證信息機密性的核心技術是密碼學
47.IATF提出的信息保障的核心思想是縱深防禦戰略。在縱深防禦戰略中,人,技術和操作是三個主要核心因素
48.蜜網是在蜜罐技術上逐漸發展起來的一個新的概念,又可稱爲誘捕網絡。蜜罐技術實質上還是一類研究型的高交互蜜罐技術,其主要目的是收集黑客的攻擊信息
49.網絡信息內容監控的主要方法爲網絡輿情分析
50.擴散和混淆是對稱密碼設計的主要思想