[网络协议]信息安全技术3

①TCSEC标准是计算机系统安全评估的第一个正式标准，TCSEC将计算机系统的安全划分为4个等级、7个级别。D类安全等级：D类安全等级只包括D1一个级别。D1的安全等级最低。C类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力，C类安全等级可划分为C1和C2两类。B类安全等级：B类安全等级可分为B1、B2和B3三类。B关系统具有强制性保护功能。A类安全等级：A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。

②IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域：网络和基础设施，区域边界、计算环境和支撑性基础设施。

③哈希函数的应用：消息认证、数字签名和口令保护等。

④自主访问控制：由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主的。访问控制矩阵的行，每个主体都附加一个该主体可访问的客体的明细表。

⑤Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术(传统密码技术术语对称加密机制)执行认证服务的。

⑥在分组密码工作模式——CBC模式中，每一分组的加密都依赖于所有前面的分组。在处理第一个明文分组时，与一个初始向量(Ⅳ)组进行异或运算。Ⅳ不需要保密，它可以明文形式与密文一起传送。

⑦DoS是Denial fserice的简称，即拒绝服务，造成Do的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。ICMP在Intemnet上用于错误处理和传递控制信息。'PingofDeath就是故意产生畸形的知试Ping包，声称自己的尺寸超过(CMP上限，也就是加载的尺寸超过64B上限，使未采取保护措旋的网络系统出现内存分配猎误，导致TCP/P协议按崩溃，最终接收方宕机。UDPFlood攻击:如今在InternetUDP(用户数据包协议）的应用比较广泛，很多提供WWW和Mail服务设备通常是使用Unix的服务器，它们默认打开一些被黑客恶意利用的UDP服务。所以，TCP、ICMP和UDP均会被DoS攻击，IPSec无法被DoS攻击。

⑧Linux系统启动后运行的第一个进程是初始化的进程，即init进程;而boot是在Linux启动之前运行的进程，sysini进程和login进程是后续部分的进程。

⑨关于木马反弹端口技术：当客户端想与服务端建立连接时，它首先登录到FTP服务器，写主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作，因此，客户端必须有公网IP，且木马的服务端程序可穿透所在内网的包过滤防火墙。

⑩ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。第二种ARP欺骗的原理是——伪造网关。网站挂马、网站钓鱼和社会工程都有诱骗性质，属于诱骗攻击。

?拨号用户远程认证服务(RADIUS)是一个网络协议，提供集中式AAA管理。故RADIUS属于集中式访问控制。

?SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议:它建立在可靠的传输协议之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

?信任模型是PK原理中的一个重要概念，指建立信任关系和验证证书时寻找和遍历信任路径的模型。信任模型的类型有：1.单级CA信任模型；2.严格层次结构模型；3.分布式(网状)信任模型结构；4.Web模型；5.桥CA信任模型；6.用户为中心的信任模型。

?特征检测又称误用检测，主要有以下五种方法：(1)基于专家系统的误用入侵检测；(2)基于模型推理的误用入侵检测；(3)基于状态转换分析的误用入侵检测；(4)基于条件概率的拥用入侵检测；(5)基于键盘监控的误用入侵检测。

?ACKFood攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACXK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的诺口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。这里，服务器要做两个动作：查表、回应ACK/RST。

?对软件源代码的检测属于软件静态安全检测技术；对软件可执行代码的检测属于软件动态安全检测技术；模糊测试是一种软件动态安全检测技术；模型检验是—种软件静态安全检测技术。

?UAF(Ulse Aftr Free)类漏洞，即引用了已经释放的内存，如内存地址对象破坏性调用的漏洞。写污点值到污点地址漏洞、格式化字符串漏洞、数组越界漏洞都不是利用已经释放内存的攻击方式。

?safeSEH、SEHOP、ASLR都属于软件漏洞利用防范技术，而NOP属于漏洞利用技术。

?标准信息系统的因特网组件包括：服务器、网络设备和保护设备。换个说法，标准信息系统组成部分包括硬件、软件、数据和信息；解决方案是对问题发生时的处理方法。

?根据访问控制手段，访问控制方法可以分为：行政性访问控制；逻辑性访问控制;技术性访问控制和物理性访问控制。