第一章

一、信息安全与网络空间安全

信息安全：为数据处理系统建立和采取技术管理的安全保护，保护计算机硬件、软件、数据不因偶然或者恶意的原因而受到破坏、更改、泄露

信息安全问题的根源：

内因：信息系统复杂性导致漏洞的存在不可避免（过程、结构、应用复杂性）

外因：威胁与破坏，员工误操作、外部攻击、自然环境破坏

信息的基本属性（CIA）

机密性防止信息有意无意的非授权泄露
- 使用权是否可控
- 数据是否有标识
- 访问是否有控制
- 访问是否有记录
完整性数据处于完整状态、没有遭篡改和破坏
- 什么样的数据可能被篡改
- 篡改后有什么影响
- 是否划分不同权限
- 操作是否有记录
可用性数据和系统在需要时可用
- 如何保证随时可用
- 如果无法使用如何应对（备份/修复/手工接替）

其他属性：真实性、可问责性、不可否认性、可靠性

通信安全发展过程

二十世纪四十到七十年代 主要注重传输过程中的数据保护
- 安全威胁：搭线窃听、密码学分析
- 核心思想：密码技术进行通信保密
- 安全措施：加密
二十世纪七十到九十年代 主要注重数据处理和储存时的数据保护
- 安全威胁：非法访问、恶意代码、弱口令
- 核心思想：预防、检测和减少计算机系统、用户执行时授权造成的影响
- 安全措施：通过操作系统的访问控制技术
二十世纪九十年代后 主要注重整体安全
- 安全威胁：网络入侵、病毒破坏、信息对抗
- 核心思想：重点保护比数据更精炼的信息
- 安全措施：防火墙、病毒扫描、漏洞扫描、入侵检测、PKI、VPN

二、网络安全法律法规

三次审议，两次公开征求意见和修改《网络安全法》

实行等级保护制度，对关键信息基础设施建设要求：同步规划、同步建设、同步使用

组织和企业的义务：一年一次风险评估机制，国家审查安全采购，应急预案机制，数据境内留存，人员安全管理。

三、网络空间安全政策与标准

信息安全等级保护标准体系工作流程：定级、备案、差距分析、建议整改、验收测评、定期复查

等保核心思想：对保护对象按等级划分，按标准进行建设、管理、监督

划分等级：

用户自主保护级
系统审计保护级
安全标记保护级
结构化保护级
访问验证保护级

	一般损害	严重损害	特别严重损害
公民法人和其他组织的合法权益	一	二	二
社会秩序、公共利益	二	三	四
国家安全	三	四	五

四、信息安全管理

信息安全管理体系（ISMS）

ISO/IEC 27001 标准族
GB/T 22080 标准族

使用PDCA过程：

P(plan) 计划
D(do) 实施
C(check) 检查
A(act) 行动

文档化与文件控制：

一级文件：由高级管理层发布的方针、政策
二级文件：由组织管理者代表发布的制度、流程、规范
三级文件：使用手册、操作指南、作业指导书
四级文件：日志、记录、检查表、模板、表单

第二章

一、密码学基础

信息安全要素	典型威胁	可用密码技术
机密性	窃听、非法盗取资料、泄露数据	对称加密和非对称加密，数字信封
完整性	纂改、重放、破坏	哈希函数和消息认证码数据，加密数字签名
可鉴别性	冒名	口令和数字密码，数字证书和签名
不可否认性	否认已收已发送的信息	数字签名，数据储存
授权与访问控制	非法存储资料，越权访问	属性证书，访问控制

密码系统安全性

影响安全性的基本因素（密码算法的复杂度，密钥机密性，密钥长度）
遵循柯克霍夫原则：密码体制可以对外公开，对密钥必须保密，一个密码系统需要保密的越多，可能的弱点就越多
需要达到以下准则
- 实际计算量无法实现
- 所需计算时间超过信息的生命周期
- 费用超过信息本身价值

对称密码算法

也称传统密码算法、秘密密钥算法、单密钥算法
加密密钥和解密密钥相同或实质等同
优点：算法简单、计算量小、加密速度快、加密效率高
缺点：安全信道难以实现、安全交换密钥问题和密钥管理复杂、无法解决对消息的纂改和否认

DES,3DES,IDEA,AES,RC4,RC5,Twofish,CAST-256,MARS等算法

非对称密码算法
也称双钥或公钥密码算法
其加密密钥和解密密钥不同
特点：成对出现公钥加密私钥解密(机密性)，私钥加密公钥解密(数字签名)

Merkle-Hellman,RSA,Rabin,EIGamal,ECC算法

哈希函数和数字签名

哈希函数：也称单向散列函数，可以将任意的有限长度信息映射为同等长度的值，主要用来检测消息的完整性和数字签名
- 单向性：无法还原
- 弱抗碰撞性：不会生成相同的哈希值
- 强抗碰撞性：无法通过计算得到相同的哈希值
- 应用：
  - MD5算法：输入任意长的消息，输出128bit的摘要
  - SHA-1算法：输入小于2的64次方长度的消息，输出160位散列值
数字签名
公钥基础设施（PKI架构）
- 终端实体——RA——CA——证书

二、身份鉴别与访问控制

身份鉴别

实体所知：如PIN码、口令
- 信息泄露：登入密码猜测，线路窃听
- 信息伪造：重放攻击
- 窃听攻击——加密——彩虹表攻击——口令使用随机数
- 重放攻击——引入时间戳、使用一次性口令、引入随机数
实体所有：如钥匙、磁卡、智能IC卡
实体特征：验证实体不可改变的特性，如生物特征
- 鉴别系统的有效性判断：错误拒绝率(FRR)、错误接受率(FAR)、交叉错误率(CER）

访问控制

保证用户在系统安全策略下正常工作
拒绝非法用户的非授权访问请求
拒绝合法用户的越权服务请求

自主访问控制(DAC):

安全性较低，主体权限易被改变，不能抵御特洛伊木马

一般使用访问控制列表，其他有访问控制矩阵、访问能力表等方式

强制访问控制(MAC):

安全性强，主体权限不会被改变

基本模型：

BLP模型，Biba模型，Clark-Wilson模型，Chinese Wall模型（也称长城模型）

三、网络安全协议

OSI七层模型

底层协议：下四层，处理实际的信息传输
高层协议：上三层，处理用户服务和各种应用请求

TCP/IP体系结构

应用层	用户协议	用户协议	用户协议
传输层	TCP协议		UDP协议
互联网络层	ICMP协议	IP协议	IGMP协议
网络接口层	ARP协议	硬件接口	RARP协议

链路层安全风险：

损坏
干扰：大功率电器，电源线路，电磁辐射
电磁泄漏：传输线路电磁泄漏
欺骗：ARP欺骗
嗅探：常见二层协议是明文通信
拒绝服务：mac flood ,arp flood等

网络层安全风险：

电子欺骗
- IP地址欺骗攻击
- 源路由欺骗
拒绝服务
- 碎片攻击：通过无法重组包导致系统无法访问
- 死亡之ping：使用工具合成信息超过65535的ping导致系统无法解释

传输层安全风险：

TCP：SYN flood攻击第三次握手无法实现导致漏洞发生
UDP：UDP flood攻击

TCP/IP安全架构

应用层	SNMP	PGP S/MIME PEM（E-Email）
	SET IKE SSH S-HTTP SFTP X.509	DNS安全扩展
传输层	SSL TLS
	TCP	UDP
网络层	IPSEC(AH)	IPSEC(ESP)
	IP	IP
链路层	PPTP L2TP	PPP L2F
	服务驱动与接入协议

四、网络安全新技术（云大物移工）

云计算

SaaS 软件级服务
PaaS 平台级服务
IaaS 基础设施服务

安全威胁：

安全认证
- 中间人攻击
- 重放攻击
- 僵尸攻击
- 拒绝服务攻击
- 身份伪造
虚拟化安全
- 漏洞攻击
  - VMware漏洞
  - HyperVM 0day漏洞
DOS&DDOS攻击
land,teardrop,SYN flood,UDP flood,ICMP flood,Smurf

大数据安全威胁：

破坏数据完整性
网络传播病毒
拒绝服务攻击
非授权访问
信息泄露或丢失
大数据成为攻击目标，大数据滥用风险，大数据误用风险

移动互联网安全威胁：

业务层面：非法访问用户，非法访问数据
网络层面：非法窃听，用户身份仿冒
终端层面：漏洞木马蠕虫，网络钓鱼，DDOS

物联网安全威胁：

感知层：网关节点/普通节点被控制，DDOS
传输层：信息的机密性方面，AKA机制防御
处理层：入侵检测
应用层：访问控制

工业互联网安全：

“震网”事件：利用MS10-046,西门子SIMATIC WinCC 的0day漏洞通过U盘实施

高级持续性威胁
工业网络病毒
国外设备预留后门
工控转移高危漏洞
无线技术应用风险

第三章

一、计算机网络和网络设备

计算机网络基础

阿帕网（ARPAnet）
TCP/IP模型
开放互动连接模型（OSI七层模型）

分类：覆盖范围：广域网、城域网、局域网

用户类型：公众网、专用网

计算机网络结构

网络单元：用以连接计算机网络的节点
链路：物理连接网络单元的介质

拓扑结构：总线型拓扑、星型拓扑（最常用的多节点转中央节点）、环形拓扑、树形拓扑、网状拓扑、混合型拓扑

无线局域网安全防护

安全管理
- 结合机构业务需求对万县局域网的应用进行评估，指定使用的管理策略
- 限制无线局域网的使用规范，例如仅用于互联网资料的查询和日常办公使用
- 明确定义并限制无线局域网的使用范围，尽量不在无线网络中汆熟褐处理机密文件
安全技术
- 位访客设立独立的接入网段，并在无线局域网于业务网之间部署隔离设备
- 对无线局域网接入使用安全可靠的认证和加密技术，增强认证技术
- 部署乳清检测系统以发现可能的攻击并定期执行安全审查

常见的网络设备

网卡（NIC）：有一个独一无二的48位串行号，被写在网卡上的一块ROM中，称为物理地址MAC地址，工作在第二层，MAC地址全球唯一
中继器：调整复制放大信号，物理层
集线器：HUB，与中继器原理相同
网桥：桥接器，大网段分割成小网段或者使小网段连接
交换机：接入层汇聚层核心层
冲突域：数据必然发送到的区域，交换机隔离
广播域：广播数据时可以发送到的区域，路由器隔离

二、防火墙

基础概念

通过数据包的刷选和屏蔽，可以防止非法的访问进入内部或是外部计算机网络

防火墙的部署位置

可信网络与不可信网络之间
不同安全级别网络之间
两个需要隔离的区域之间

技术原理

定义一个必经之点
挡住未经授权的访问流量
禁止具有脆弱性的服务带来危害
实施保护，以避免各种IP欺骗和路由攻击

策略：

接受：允许通过
拒绝：拒绝信息通过，通知发送信息的信息源
丢弃：直接丢弃信息，不通知发送信息的信息源

典型技术：

静态包过滤防火墙
- 依据数据包的基本标记来控制数据包
- 优点：技术逻辑简单，易于实现，处理速度快，过滤规则与应用层无关
- 不足：无法实现对应用层的过滤，不能防止地址欺骗，不能防止外部客户与内部主机直接连接，安全性差
应用代理防火墙
- 网络之间的连接都要通过防火墙进行转发，不允许绘画双方直接通过，需用防火墙作为代理，将外网数据转发给内网主机设备
- 优点：提供NAT，避免内外网直连，可以隐藏内部网络结构
- 不足：系统性能消耗极大，效率略低，需要为每个服务写代理程序
状态检测防火墙
- 动态包过滤防火墙，创建状态表用于维护连接
- 优点：安全性高，能记录每个包的信息
- 不足：检测内柔的包过滤多，对性能要求高

企业部署

单防火墙（无DMZ) 单防火墙（DMZ）双防火墙

局限性

难于管理和配置，易造成安全漏洞
防外不防内
只实现粗粒度的访问控制
不能防范病毒和某些网络攻击

三、边界安全防护设备

IPS（入侵防御系统）

结合入侵检测、防火墙等基础机制的安全产品，通过对网络设置进行分析入侵检测并产生响应中断入侵，但会产生误判拦截用户的正常操作行为

网闸（物理隔离系统）

组成：外部处理单元、内部处理单元、仲裁处理单元

上网行为管理

对内部网络用户的互联网行为进行控制和管理的边界网络安全产品，记录个人的上网数据

防病毒网关

终端上部署的，对进入终端的恶意代码进行检测和查杀

UTM（统一威胁管理系统）

集成各种边界安全防护设备

四、网络安全管理设备

IDS（入侵检测系统）

对入侵行为进行检测并进行响应的网络安全设备（监听包进行检测），是一种主动防御设备

类型有网络入侵检测（NIDS）和主机入侵检测（HIDS）

网络安全审计

漏洞扫描系统

VPN（虚拟专网）

在网络中建立一个虚拟的临时的专用的安全网络通道

VPN技术：

隧道技术
- PPTP、L2TP
- IPSEC、GRE
- SSL、TLS
密码技术
- 对称密码技术
- 非对称密码技术

堡垒主机

安全管理平台 SOC

为组织机构提供集中、统一、可视化的安全信息部署

常见功能：

统一日志管理（集中监控）
统一配置管理（集中管理）
各安全产品和系统的统一协调和处理（协同处理）
安全状态的统一管理（统一安全保护）

第四章

一、windows终端安全

账户安全

系统内置用户
- Administrator
- Guest
用户账号
- 安装时创建的
关闭内置账户
- Net user administrator /active:no
- Net user guest /active:no
更改默认账户用户名
账户策略——密码策略设置
账户策略——账户锁定策略
本地安全策略——审核策略

安全中心

病毒和威胁防护
- 确保启用
- 更新到最新特征库
- 勒索软件防护
防火墙和网络保护
- 确保其用
- 域网网络、专用网络、公共网络
- 出站规则、入站规则
应用和浏览器控制
- 检查应用和文件告警
- 适用于Microsoft Edge的smart screen开启
- 浏览隔离
- Exploit protection

系统服务安全

关闭不必要的服务
关闭管理共享
- 默认情况下，系统分区windows安装目录全部被共享
- 修改注册表关闭管理共享
关闭自动播放

二、windows终端数据安全

windows备份与还原

重新部署
- 配置丢失、数据丢失
系统还原点
- 速度快、个人配置不丢失
创建系统还原点
- 启用系统保护
- 对分区建立还原点

数据备份

系统备份还原无法保护用户数据

个人备份——移动硬盘
- 备份时间长，可以用专用备份软件备份变动差异部分
个人备份——网上云盘
- 带宽、流量、成本、数据泄露

数据粉碎

避免数据非法还原（正常删除文件、格式化硬盘的数据可被还原）
更彻底：物理破坏、电子消磁
专用文件粉碎软件（PGP、shedder、eraser）
反复覆盖：Gutmann算法35次覆盖，理论上无法恢复

数据加密

保护数据安全的主要措施
数据加密实现——EFS
- 加密文件系统，windows对NTFS卷上的文件、文件夹进行加密
- 不足：无法解决设备物理丢失情况下的数据保护
数据加密实现——Bitlocker
- 解决物理方式导致的数据失窃或恶意泄露的威胁
- 优点：对整个卷加密，支持可信平台协作，可存储在USB key中

三、移动终端安全

安全威胁与应对

业务承载平台
- 大量存储个人信息数据，攻击者的重点目标
- 操作系统和大量第三方软件存在安全漏洞，成为病毒、蠕虫和特洛伊木马等的攻击
典型安全威胁
- 伪基站
  - 移动信号机制工作机制
    - 蜂窝式组网
    - GSM单项认证
    - 终端自动寻找信号最强基站
  - 安全应对
    - 关注手机信号回落2G情况，伪基站只能伪装2G信号
    - 短信不是无风险信息，谨慎访问短信中的连接，哪怕是运营商发送的
  - 垃圾信息应对
    - 手机垃圾信息过滤
    - Imessage关闭或设置过滤未知发送人
    - 第三方过滤软件
- 设备丢失和损坏
  - 安全风险
    - 访问控制不足，非法操作
    - 数据丢失风险
    - SIM卡被非法利用风险
  - 安全措施
    - 手机访问控制机制
    - 开启定位以及“查找设备”功能，实现数据清除
    - 设置SIM卡锁
- 系统漏洞
- 恶意app

第五章

一、web浏览安全

web应用体系架构

浏览器/服务器架构（B/S架构)

浏览器的安全问题

XSS跨站脚本攻击
- 由于网站允许脚本运行，使用户可以提交脚本到网页上，在其他用户访问的时候加载执行
- 反射型直接反射
- 存储型存储在数据库
- DOM型
- 危害：执行命令，劫持用户会话，插入恶意内容，重定向访问，蠕虫木马
跨站请求伪造（CSRF）
- 以用户身份在当前已经登入的web应用程序执行非用户本意的做错
- 网站存在漏洞、账号登入、用户点击伪造请求
网页挂马
- 利用漏洞
- 伪装下载
- 自动下载
网络钓鱼

安全使用浏览器

清除浏览数据
防止跟踪
- cookie欺骗或篡改
避免自动口令填充
慎用代理服务器

二、互联网通信安全

网络安全问题

网络通信技术故障
网络通信安全

电子邮件安全威胁

邮件地址欺骗
垃圾邮件
邮件病毒
邮件炸弹

电子邮件防护

垃圾邮件过滤技术
邮件加密与签名

即时通信

应用系统自身安全风险
- 基础设施：服务商的服务器
- 客户端：基础薄弱的个人电脑
- 数据传输：明文传送
传播恶意代码
- MSN烤鸡病毒
- QQ盗号木马
- QQ尾巴
利用及时通信破坏防御系统
网络欺骗与非法信息

第六章

一、安全漏洞与网络攻击

攻击过程：踩点、入侵、后门、痕迹

信息收集

IT相关信息
- 域名信息
- 网络拓扑结构、安全设备型号、配置
- 系统版本数量
- 应用软件版本、型号、开发语言开发商
- web网页内容
相关公开信息
- 组织机构、地理位置、电话号码、邮件
- 近期重大事件

信息收集与分析工具

系统命令
- Nslookup、Whois、tracert、ping
专用软件
- kali linux
搜索引擎
- google、fafo
扫描器
- 端口扫描：nmap
- 漏扫：nessus、appscan

搜索引擎

某开源软件脚本存在漏洞，扫搜可用找到相关脚本

信息挖掘 “.doc+website” .mdb .ini .txt .old .bak .001 后台入口

防范：

公开信息收集防御。最小化原则
网络信息收集防御。IDS防火墙，阻止ICMP
系统及应用信息收集防御。修改默认配置，减少攻击面

网络攻击方式

配置缺陷
- 默认账户、口令
- 不合理配置（如启用匿名）
口令破解
社会工程学
电子欺骗
- ARP欺骗
- DNS欺骗
- IP欺骗
- TCP欺骗
- 路由欺骗
拒绝服务攻击
- 利用系统、协议或服务的漏洞
- 消耗目标系统服务资源能力
溢出攻击
- 缓冲区溢出(心脏滴血、想哭勒索软件)
- 格式化字符串溢出
代码注入
- SQL注入
- 命令注入
- Xpath注入
跨站脚本
跨站请求
会话管理漏洞利用
文件上传漏洞

后门设置和痕迹清理

操作系统级后门
- 特洛伊木马
- Rootkit
- 设备驱动
脚本后门
- 隐蔽性强
- 难以查找
账号后门
- 隐藏账号
- 已知密码的正常账号
- 超权限账号
清除痕迹
- 清除\改写日志
  - 日志的清除方法
  - 日志的改写工具
- 删除中间文件
- 删除临时用户
日志分析重点
- 时间日期
- 源ip
- 超长的记录
- 非正常编码
- 请求连接中的关键字

二、口令破解攻击

远程暴力破解

针对登入口令的攻击
- 反复多次模拟身份验证
防御措施
- 设置安全的口令
- 限制登入输入错误口令次数

口令字典

根据用户口令设置规则构建
- 收集常用密码
- 有效提高密码破解效率
口令字典内容
- 弱口令
- 社工口令
- 泄露口令数据库

木马窃取

木马窃取口令
- 从输入框中获取口令
- 通过获取击键记录获得口令
防御措施
- 使用安全输入控件
- 软键盘
- 随机排列字符

网络钓鱼

伪造受信任网站

网络嗅探

网络传输过程中发生

彩虹表

消耗存储空间】

口令破解防护

账户锁定策略
验证码
短信验证码（实体所有+口令实体所知）

三、社会工程学攻击

永远有效的攻击方法
人是最不可控的因素

信任权威

请求或命令来自一个”权威“人士时，这个请求就可能被通过

公共爱好

存在共同点时，相互之间的好感、信任度就会提升，请求容易被执行

报答

被赠与获得一些有价值的东西

守信

对自身信用的保护等原因，人们对自己公开承诺或者认可的事情，会倾向坚持或维护

社会认可

人有趋众的特性，当绝大部分人都是按某种方式来做的

短缺资源

获取稀缺物品的渴望

社会工程学攻击

间接用于攻击
- 口令破解中的社会工程学利用
  - 信息收集与口令破解
- 网络攻击中的社会工程学利用
  - 社工库：泄露的用户数据整合分析形成的数据库
  - 黑产中可买卖的数据
  - 爬虫抓取数据
社会工程学攻击防护
- 安全意识培训
- 注意保护个人隐私

四、恶意代码

类型：二进制代码、脚本语言、宏语言

表现形式：病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹

传播方式

利用文件进行传播
- 感染文件
  - 可执行程序：.exe .com .pif
  - 动态链接库文件、系统文件
  - 支持宏的文档：word、excel、ppt
- 软件捆包
  - 将自身与正常软件合并
  - 软件安装时默认、强制安装上
- 移动存储
  - 自动播放功能，自动执行autorun,inf执行指定文件
  - 应对：组策略编辑器
- 攻击者上传
  - 利用上传渠道
利用网络进行传播
- 网页
  - 将木马伪装为页面元素
  - 利用脚本运行的漏洞
  - 伪装为缺失的组件
  - 通过脚本运行调用某些组件
  - 利用软件漏洞
- 电子邮件
  - 社会工程学（欺骗性标题，吸引人的标题）
  - 利用系统及邮件客户端漏洞（尼姆达）
- 即时通讯
  - 伪装即使通讯中的用户向其联系人发送消息，使用欺骗性或迷惑性的字眼
  - P2P下载、FTP下载
利用漏洞进行传播
- 软件漏洞
- 配置漏洞
  - 弱口令、默认账户口令
  - 权限控制不足

恶意代码的预防技术

安全管理
- 制定管理制度
- 实施培训增强安全意识
加强防护
- 系统补丁、安全配置及加固
- 防护软件：防病毒、防火墙
减少损失
- 数据备份