一、各章节基础知识点

唐大帅

第一章  网络信息安全概述

1、网络信息安全基本属性

  机密性、完整性、可用性、可控性、抗抵赖性

• 机密性        Confidentiality               不泄露给非授权用户
  
• 完整性        Integrity                         未经授权不得更改
  
• 可用性        Applicability                   合法用户及时获得信息/服务 （DOS攻击：拒绝服务攻击）
  
• 可控性        Controllability                主体可管理、支配
  
• 抗抵赖性     Non-repudiation           防止否认
  

CIA   机密性、完整性、可用性
2、网络安全基本技术要求

物理环境安全	环境、设备、存储介质安全
信息安全认证	实现网络资源访问控制的前提和依据
访问控制	有效保护网络管理对象
保密	防止非授权用户访问
漏洞扫描
恶意代码防护	病毒、蠕虫、特洛伊木马
信息内容安全	数据符合法律法规要求
检测、预警
应急响应

3、网络安全等级保护
  定级、备案、建设整改、等级测评、运营维护

• 定级：确认定级对象，确认合适级别，通过专家评审和主管部门审核
  
• 备案：按等级保护管理规定准备备案材料，到当地公安机关备案和审核
  
• 建设整改：依据相应等级要求对当前保护对象的实际情况进行差距分析，针对不符合项结合行业要求对保护对象进行整改，建设符合等级要求的安全技术和管理体系
  
• 等级测评：等级保护测评机构依据相应的等级要求，对定级的保护对象进行测评，并出具相应的等级保护测评证书
  
• 运营维护：等级保护运营主体按照相应等级要求，对保护对象的安全相关事宜进行监督管理
  

4、网络信息安全管理--风险控制

  避免风险、转移风险、减少威胁、消除脆弱点、减少威胁的影响、风险监测

• 避免风险：通过物理隔离设备将内部网和外部网分开，避免受到外部网的攻击
  
• 转移风险：购买商业保险计划/安全外包
  
• 减少威胁：安装防病毒软件包，防止病毒攻击
  
• 消除脆弱点：给操作系统打补丁/强化工作人员的安全意识
  
• 减少威胁的影响：采取多条通信线路进行备份/指定应急预案
  
• 风险监测：定期对网络系统中的安全状态进行风险分析，监测潜在的威胁行为
  

5、法律法规颁布、实施时间

《中华人民共和国密码法》	2019发布草案
2020-1-1正式发布
《中华人民共和国电子签名法》	2005-4-1施行

6、留存网络日志时间

  不少于六个月
7、网络信息安全新变化

  单维度→多维度（网络空间域、物理空间域、社会空间域）
  单一性→综合性（技术）
  涵盖网络系统的整个生命周期
8、网络信息安全基本功能

  防御、检测、应急、响应
9、网络信息安全管理工作流程

1、确定网络信息安全管理对象
2、评估网络信息安全管理对象的价值
3、识别网络信息安全管理对象的威胁
4、识别网络信息安全管理对象的脆弱性
5、确定网络信息安全管理对象的风险级别
6、制定网络信息安全防范体系及防范措施
7、实施和落实网络信息安全防范措施
8、运行/维护网络信息安全设备、配置
10、机构

CCRC	中国网络安全审查技术与认证中心	网络产品和服务审查
SAC/TC260	全国信息安全标准化技术委员会	网络安全标准规范与测评
CNCERT	国家互联网应急中心	网络安全事件与应急响应制度

<hr/><hr/><hr/>第二章  网络攻击原理及常用方法

1、网络攻击的基本类型和原理表

  常见的危害行为基本类型：信息泄露攻击、完整性破坏攻击、拒绝服务攻击、非法使用功能攻击

• 攻击者：间谍、恐怖主义者、黑客、职业犯罪分子、公司职员、破坏者
  
• 攻击工具：用户命令、脚本/程序、自治主体、电磁泄露
  
• 攻击访问：本地访问、远程访问
  
• 攻击效果：破坏信息、信息泄露、窃取服务、拒绝服务
  
• 攻击意图：获取情报信息、获取恐怖主义集团利益、表现自己/技术挑战、获取经济效益、好奇、报复/发泄不满情绪
  

2、网络攻击模型

  攻击树模型、MITRE ATT&CK模型、网络杀伤链模型
1、攻击树模型
         起源于故障树分析方法，经过扩展用AND-OR形式的树结构对目标对象进行网络安全威胁分析。可被Red Team用于渗透测试，被Blue Team用于研究防御机制
        优：采取专家头脑风暴法，并将这些意见融合到攻击树中；能进行费效分析/概率分析；能建模非常复杂的攻击场景  （费效分析：通过权衡各种备选项目的全部预期费用和全部预期效益的现值来评价这些备选项目，以作为决策者进行选择和决策的一种方法）
        缺：由于树结构的内在限制，不能用来建模多重常识攻击、时间依赖及访问控制等场景；不能用来建模循环时间；不便于现实的大规模网络
2、MITRE ATT&CK模型
        根据真实观察到的网络攻击数据提炼形成的攻击矩阵模型
        把攻击活动抽象为【初始访问→执行→持久化→特权提升→躲避防御→凭据访问→发现→横向移动→收集→指挥和控制→外泄→影响】12个部分
        主要应用场景：网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集
3、网络杀伤链模型/Kill Chain模型
       将网络攻击活动分为【目标侦察→武器构造→载荷投送→漏洞利用→安装植入→指挥和控制→目标行动】7个阶段
3、网络攻击常见技术方法（14个）

端口扫描	SQL注入
口令破解	社交工程
缓冲区溢出	电子监听
恶意代码	会话劫持
拒绝服务	漏洞扫描
网络钓鱼	代理技术
网络窃听	数据加密

4、网络攻击一般过程

1、隐藏攻击源
     利用被侵入的主机为跳板；免费代理网络；伪造IP地址；假冒用户账号
2、收集攻击目标信息
     收集目标系统一般信息、配置信息、安全漏洞信息、安全措施信息、用户信息
3、挖掘漏洞信息
     系统/应用服务漏洞；主机信息关系漏洞；目标网络的使用者漏洞；通信协议漏洞；网络业务系统漏洞
4、获取目标访问权限
     获得系统管理员口令；利用系统管理漏洞；让系统管理员运行特洛伊木马；窃听管理员口令
5、隐蔽攻击行为
     连接隐藏；进程隐藏；文件隐蔽
6、实施攻击
     攻击其他被信任的主机和网络、修改/删除重要数据、窃听敏感数据、停止网络服务、下载敏感数据、删除数据账号、修改数据记录
7、开辟后门
     放宽文件许可权；重新开放不安全的服务；修改系统配置；替换系统本身的共享库文件；修改系统的源代码，安装特洛伊木马；安装嗅探器；建立隐蔽信道
8、清除攻击痕迹
     篡改日志文件中的审计信息；更改系统时间造成日志文件数据絮乱以迷惑系统管理员；删除/停止审计服务进程；干扰入侵检测系统的正常运行；修改完整性检测标签
5、端口扫描

1、完全连接扫描
2、半连接扫描
3、SYN扫描
4、ID头信息扫描
5、SYN|ACK扫描
6、隐蔽扫描
7、FIN扫描
8、ACK扫描
9、NULL扫描
10、XMAS扫描
6、拒绝服务

同步包风暴	SYN Flood
UDP洪水	UDP Flood
Smurf攻击
垃圾邮件
拒绝服务攻击
死亡之ping	ping of death
泪滴攻击	Teardrop Attack
分布式拒绝服务攻击	Distributed Denial of Service	DDoS

<hr/><hr/><hr/>第三章 密码学基本理论

1、密码学组成

  密码编码学、密码分析学
2、密码学法律法规

  密码是网络与信息安全的核心技术和基础支撑
  2005-4-1实施《中华人民共和国电子签名法》
  2006我国政府公布了自己的商用密码算法，成为我国密码发展史上的一件大事
  2019发布《中华人民共和国密码法》草案，2020-1-1正式发布