2015年初次审议了网络安全法草案
2017.6.1施行网络安全法
国家网信部门负责统筹协调网络安全工作和相关监督管理工作。其他相关部门在各自职责范围内负责网络安全保护和监督管理工作。
相关的网络日志留存不少于六个月
国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。
处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。
网络运营者拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款

等保

国家客体是否受到损害，若有直接判定第三级
损害社会至少二级
国家受严重损害四级
国家受特别严重损害五级

计算机系统安全保护等级

一自主访控，二唯一标识，三强制访控，四扩展全部，五阻未授权

一是用户自主保护级：本级实施的是自主访问控制。针对普通用户
二是系统审计保护级：身份鉴别通过为用户提供唯一标识，使用户对自己的行为负责。针对需要保密的非重要单位
三是安全标记保护级：对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。针对地方各级国家机关、金融单位机构
四是结构化保护级：在第三级基础上进一步扩展到所有主体和客体。用于中央级国家机关、广播电视部门
五是访问验证保护级：阻止非授权用户访问客体。针对国防

分级保护

根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级（增强）、绝密级三个等级。

绝密物隔不联网

秘密级：最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求
机密级：最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求
绝密级：最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相连。

涉密系统

重变恢系定，局变回实施

涉密信息系统在安全运行及维护阶段，当局部调整等原因导致安全措施变化时，如果不影响系统的安全分级，应从安全运行及维护阶段进入安全工程实施阶段，重新调整和实施安全措施，确保满足分级保护的要求；当系统发生重大变更影响系统的安全分级时，应从安全运行及维护阶段进入系统定级阶段，重头开始一次分级保护实施过程

网络隔离

防火访控，内安不彻排，不连双向，连单向

网络隔离消除了基于网络和基于协议的安全威胁，但网络隔离技术也存在局限性，对非网络的威胁如内容安全，就无法从理论上彻成排除
防火墙是最常用的网络隔离手段，主要是通过访问控制列表技术。
按国家安全要求是需要涉密网络与非涉密网络互联的时候，要采用网闸隔离；若非涉密网络与互联网连通时，采用单向网闸，若非涉密网络与互联网不连通时，采用双向网闸。
- 单向隔离：一方向流通
- 双向隔离网闸：关上双方都不能向对方流通

风险评估

风险评估任务

看看有什么风险，再看看发生概率有多大，看看自己几斤几两，看看如何风控

识别风险
评估风险概率
确定自身承受风险能力
确定风险降低政策

风险评估过程

看看自己有啥东西和顶不顶得住及有啥风险，请人评估一下，交换意见监督

资产分析（脆弱性和威胁）
评估决策
沟通监督

风险管理

风险管理就是以可以接受的费用识别，控制，降低或消除可能影响信息系统的安全风险的过程

信息安全标准

推荐性国家标准的代号为 “GB/T” ， 强制性国家标准的代号为”GB“。

信息安全管理

网络管理

协表安对，统智安主

人员管理

法规相关人

分布

法律政策

选择题

ccrc

b，应该是及时发现

密码学

SM，SHA系列，DES,RSA,AES，分组密码工作模式，公钥体制概念，数字签名概念体制，认证概念，身份认证，非对称密钥管理

SM

SHA

DES

DES算法详解 - songoo - 博客园 (cnblogs.com)

计算

初始置换ip

DES 算法的安全性：

密钥较短：DES 采用 56 位密钥，其密钥量仅为 256 约为 1017 个。

存在弱密钥：弱密钥 K：K1=K2=…=K16；弱密钥不受任何循环移位的影响，并且只能得到相同的子密钥，存在 4 个弱密钥。

半弱密钥 K：DES 至少存在 12 个半弱密钥。半弱密钥将导致把明文加密成相同的密文。

RSA

密钥长度一般1024位，平台根密钥2048位

计算方法

安全性

AES

是分组密码，也是对称密码

状态

圈密钥

IDEA

IDEA(International Data Encryption Algorithm)

分组密码工作模式

ECB:明文分块后依次独立加密，可并行，但是会泄露明文的结构消息。
OFB:与CFB模式的区别在于每次将加密器的输出(而不是密文)反馈给下一块加密器
- 错误传播有界（错误只影响一位），不可并行。
CFB:将密文反馈给下一块加密器
- 自同步强，但是只有一个IV，可能影响安全性，明文的一个错误会影响后面所有的密文，加密不可并行，解密可并行
CTR:计数器值不同。CTR模式也可以用于随机存取。
- 错误传播有界，可并行
CBC:每一个明文块与前一个密文块进行异或后在进行加密操作。第一个块需要初始向量IV
PCBC:与CBC模式类似，只是在加解密时，与上一个密文和上一个明文进行异或
- 串行加密，下一个依赖上一个

密码体制概念

一个密钥很容易推出另一个成为对称密码
不能由一个密钥推出另一个密钥即使公开也很安全的叫公钥密码体制

古典密码

置换密码：原来的字母变换位置
代替密码：原位置的密码用密文字母表中字母代替
- 仿射，乘法，加法密码

无线局域网产品的密码算法

对称密码算法 SM4；
签名算法 ECDSA；
密钥协商算法 ECDH；
杂凑算法 SHA-256；

密码安全性分析

国产密码算法

HASH函数

错检，单抗性

Hash 函数将任意长的报文 M 映射为定长的 hash 码 h，其形式为：h=H（M）

Hash 也称为报文摘要，具有错误检测能力

基本性质：

单向性：由 Hash 码不能得出相应的报文；

抗弱碰撞性：不能找到相同 Hash 值的不同报文；对于任意给定的分块x，找到满足y≠x且H(x)=H(y)的y在计算上是不可行的

抗强碰撞性：抵抗生日攻击这类攻击的能力强弱问题。Hash 函数值应该较长。找到任何满足H(x)=H(y)的偶对(x,y)在计算上是不可行的

如果一个Hash函数是抗强碰撞的，那么同时也是抗弱碰撞的

HASH算法

全都以512位为一组

MD5摘要128位
SHA一般160位摘要，SHA 算法产生的哈希值长度有 SHA-224、SHA-256、SHA-384、SHA-512。
SM3 是我国商用密码杂凑算法，杂凑值长度为 256 比特。

数字签名

不可否认真实可鉴

数字签名体制包括：施加签名和验证签名。
数字签名至少应满足以下三个条件：

不可否认。签名者事后不能否认自己的签名。

真实性。接收者能验证签名，而任何其他人都不能伪造签名。

可鉴别性。当双方关于签名的真伪发生争执时，第三方能解决双方之间发生的争执。

数字证书

个机设签加

按类别分：个人，机构，设备证书
按用途分：签名，加密证书
- 签名证书用于证明签名公钥的数字证书；
  
  加密证书用于证明加密公钥的数字证书。

安全协议

SSH

加认完,传认连

由 SSH 传输层协议、SSH 用户认证协议和 SSH 连接协议三个子协议组成
SSH 能支持远程登录（Telnet）、rsh、rlogin、scp等多种安全服务。
提供加密、认证、完整性检查等多种安全服务
服务器公钥真实性认证方法
- PKI
- 下载服务器的公钥和hash，用hash工具生成新的hash和下载的hash比较，相同则是真实的

SSL

认证

和数字签名区别

认证公开信息基于双方都知道的秘密，数字签名验证数据完全公开
数字签名具有抗抵赖性，第三方能仲裁
认证不允许第三方参加

密钥管理

初级密钥：直接用于加密数据的，一次一密，生存周期很短
二级密钥：保护初级密钥，需要专职密钥安装员，生存周期一般较长
主密钥：保护上两级密钥，需要密钥专职人员，生存周期长

密码学网络安全应用

路由器
- SSH代替telnet
- 用 MD5-HMAC实现信息交换认证
- 路由口令先用MD5计算在保存到配置文件
SSH,SSL用于数据传输，都是传输层协议
数字签名用于保护真实，完整性
数字证书身份鉴别

网络安全体系

特征

- 协同：多种安全机制协作配合 - 整体：各个单元按照一定规则形成一体化的保护 - 过程：提供一种**过程式保护机制** - 全面：基于多维度，层面 - 适应：动态适应安全需求

安全模型

BLP 机密性模型

上写下读BLP

用于军事，保护机密性
简单安全特性：主体能向上读
*特性：主体只能向上写，不能向下写

BIBA完整性模型

下写上读,完整性级别不够不能调别人

保护完整性
简单安全特性：不能下读
*特性：主体不能向上写
调用特性：主体的完整性级别小于另外一个主体时，不能调用另一个主体。

信息流模型

访问控制模型的一种变形，简称FM
一个安全的 FM 当且仅当执行系列操作后，不会导致流与流关系→产生冲突。

信息保障模型PDRR

保护，检测，响应，恢复

能力成熟度模型

CMM是对组织能力进行成熟度评估的模型

纵深防御模型

保监响恢

将信息网络安全防护措施有机组合起来，形成多道保护线，各安全防护措施能够互相支持和补救，尽可能地阻断攻击者的威胁。

•安全保护

•安全监测

•实时响应

•恢复

分层防护模型

分层防护模型针对单独保护节点。

网络生存模型

网络生存性是指在网络信息系统遭受入侵的情形下，网络信息系统仍然能够持续提供必要服务的能力。

网络安全原则

物理与环境安全技术

硬件木马检测

反功侧

反向，功耗，侧信道分析

认证技术原理与应用

口令认证

不用弱口令
加密存储安全传输
符合安全协议

Kerberos 认证技术

TGT就相当于key，拿到后干嘛都可以

公钥基础设施（PKI）技术

CA签管撤

签证机构CA：负责签发证书、管理和撤销证书
注册机构RA：负责专门受理用户申请证书的机构证书的签发 证书目录 证书的认证证书的撤销信任模型

单点登录

用户访问使用不同的系统时，只需要一次身份认证，就可以根据这次登录的认证身份访问授权资源。

认证技术指标

密码算法
认证准确性
安全保障级别
支持用户量

访问控制

目标

防止非法用户
禁止合法用户非法使用（越权）

模型

主体。对客体的操作实施者。
客体。被主体操作的对象。
参考监视器。访问控制中决策单元与执行单元的集合体。控制主体对客体的操作，监督访问行为，记录安全事件至审计文件。
访问控制数据库。记录主体访问客体的权限及其访问方式的信息，提供访问控制决策判断的依据，也称访问控制策略库。
审计库。存储主体访问客体的操作信息。

访问控制类型

自主访控DAC：基于自己的安全策略授予访问权
强制访控MAC：系统根据主客体的安全属性控制访问
基于角色RBAC：根据任务授予权限
基于属性ABAC：根据主客体属性和其他条件授权主体请求操作

口令管理

至少8位大小写特殊符号
不用默认口令
登录次数限制
口令文件加密存放root才能读取
口令时效定期改

防火墙

逻辑隔离外部和内部网络

缺陷

内部威胁
受限于安全规则
不能完全防止感染病毒的软件，文件传输

防火墙实现技术

包过滤

在ip层实现
脆弱面：
- ip欺骗：ip伪装成内部的
- tcp/ip协议栈攻击
- 源路由攻击
- 微分片

状态检测

利用防火墙已经验证通过的连接，建立一个临时的状态表。当一个新的数据包到达防火墙，首先检查是否在状态表中。如果在，则允许通过:不在，则采用包过滤技术进行检查。

应用层网关

应用层网关也叫做代理服务器。可以实现基于内容的信息过滤。但是每开通一种服务，就必须在防火墙上添加相应的服务进程，对用户的透明性低，不太适合实时性要求太高的服务。

电路层网关

电路层网关不允许一个端到端的直接的 TCP 连接，它自网关建立两个 TCP 连接，一个连接网关与网络内部的 TCP 用户，一个连接网关与网络外部的 TCP 用户。
电路层网关的协议有 SOCKS，客户端希望与目标的建立连接时，首先必须建立与 SOCKS 服务。

防火墙技术名称

关键技术

协议分析
深度包检测
- 检测包头和内容

防火墙体系结构

堡垒主机 BastionHost) :堡垒主机是指直接面对外部用户攻击的主机系统。
双重宿主主机: 双重宿主主机是指至少拥有两个网络接口的计算机，一个接口接内部网，一个接口接外部网。
周边网络 (DMZ): 介于外网和内网之间。一般来说，对外提供服务的各种服务器都可以放在这个网络里，使得外部用户访问服务器时不需要进入内部网络

防御结构类型

双重宿主主机：以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。
被屏蔽主机：一个路由器和内部网络上的堡垒主机共同构成防火墙。
被屏蔽子网：两台路由器包围起来的周边网络，并且将容易受到攻击的堡垒主机都置于这个周边网络中。
内部路由器：内部路由器用于**隔离周边网络和内部网络，是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划**
外部路由器：外部路由器的主要作用在于**保护周边网络和内部网络，是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则，该规则主要针对外网用户**。

防火墙技术应用

划分区域
设置访问控制点
制订边界安全策略
选择防火墙技术和结构
配置安全策略
验证测试安全策略
运维

VPN

VPN 技术应用

VPN 安全服务

保完认

保密性服务
完整性服务
认证服务

入侵检测CIDR

protection：保护

detection：检测

由事件产生器,事件分析器,响应单元,事件数据库组成。

入侵检测技术 IDS注重的是网络安全状况的监管，寻找违反安全策略的行为，并发出报警。因此绝大多数 IDS 系统都是被动的。
入侵防护系统 IPS则倾向于提供主动防护，注重对入侵行为的控制。

入侵检测技术

基于误用的入侵检测技术

根据已知的入侵模式检测入侵行为。

基于异常的入侵检测技术

定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比，得出是否有被攻击的迹象

信息系统安全基础

恶意代码

常见的：

win32，winxx，系统病毒
worm蠕虫
macro宏病毒
trojan特洛伊木马
harm破坏性程序病毒
joke玩笑病毒
binder捆绑
dropper种植型病毒

计算机病毒

特点：

程序性
传播性
破坏性
潜伏性
非授权性
隐蔽性
可触发性
不可预见性

周期：

潜伏阶段
传播
触发
发作

蠕虫worm

特点：

自我移动
自我复制

例子：

震网

特洛伊木马

指表面上有用、实际目的却是危害计算机安全并导致严重破坏的计算机程序。主要是破坏，不传播

反弹木马：为了突破防火墙，被控向控制端发起连接

下午

防火墙，缓冲区溢出，密码学计算des，rsa，

防火墙

当源端口未指定时，填＞1024

安全需求描述

结合防火墙策略描述

缓冲区溢出

概念原理

缓冲区溢出攻击的基本原理:向缓冲区中写入超长的、预设的内容，导致缓冲区溢出，覆盖其他正常的程序或数据，然后让计算机转去运行这行预设的程序，达到执行非法操作、实现攻击的目的。
这种攻击能够成功主要是利用了程序中边界条件、函数指针等设计不当的漏洞

术语语法

main函数内三个都是本地静态变量，位于堆栈区
堆栈：先进后出，push（入栈）和pop（出栈）是基本操作
先定义的最先压入栈底
EBP是PE文件执行时候在函数调用时函数调用前栈底指针

结构

先定义的变量压入栈底，位于内存高端

流程

一个缓冲区溢出程序的执行通常由四个步骤组成:

①准备一个可以调出一个 shell 的机器码形式的字符串，称之为 SHELLCODE

②申请一个缓冲区，并将机器码填入缓冲区的低端。

③估算机器码在堆栈中的起始位置，并将这个位置写入缓冲区的高端。

④将这个缓冲区作为系统一个有着缓冲区溢出错误的程序的一个入口参数，并执行这个有错误的程序。

example

在函数 function（）中，将一个 128 字节长度的字符串拷贝到只有 16 字节长的局部缓冲区中去，在调用 strccpy（）进行字符串拷贝时没有进行缓冲区越界检查。执行此程序得不到输出”Thisisatest” 。因为程序没有执行到这一步，当程序执行到 function（）时，子程序执行完毕，应返回到执行 print (“ Thisisatest“）处，但是，由于缓冲区已经溢出，子程序的返回地址变成了 Ox41414141，一个显然还在进程地址空间但己不是程序正常流程的地址一一无法预料在这里程序会执行什么指令，但本程序很小，不会引起严重后果。因为 Ox41414141 是在主程中对字符串数组赋值时写入的值，可以设想，假如在主程序中对字符串数组赋值时，将一个有危险指令序列的地址以字符串方式填入在刚好覆盖子程序返回地址的数组位置，那么子程序执行完返回时，就会执行这一段危险指令。