计算机等级考试:信息安全技术 知识点一
- 美国联邦政府颁布数字签名标准(Digital Signature Standard,DSS)的年份是1994
- 美国联邦政府颁布高级加密标准(Advanced Encryption Standard,AES)的年份是2001
- 产生认证码的函数类型通常有3类:消息加密、消息认证码和哈希函数。
- 自主访问控制,DiscretionaryAccess Control,DAC
- 强制访问控制,MandatoryAccess Control,MAC
- 基于角色的访问控制,Role-basedAccess,RBAC
- 最早的代换密码是由Julius Caesar发明的Caesar密码。
- 消息认证技术可以解决的攻击有:伪装、内容修改、顺序修改和计时修改。
- MS-DOS则是个人电脑中最普遍使用的磁盘操作系统之一
- 目前流行的捆绑技术和方式主要有多文件捆绑、资源融合捆绑和漏洞利用捆绑3种。
- 80端口通常提供给应用层的http协议使用,晋通防火墙无法检测通过80端口传递的数据,雲要部署专用的Web防火墙,这是因为专用的Web防火墙比普通防火墙增加了对应用层的过滤。
- windows操作系统中,配置IPSec时支持三种身份验证方法:
第一种是Active Directory默认值( Kerberos V5协议);
第二种是利用CA颁发的数字证书进行身份验证:
第三种是两台计算机之间设置一个预共享密钥,两台计算机的预共享密钥必须相同,才能完成身份验证
- SSL协议包括两层协议:记录协议和握手协议。其中握手协议的作用是建立安全连接,在客户和服务器传送应用层数据之前,负责完成诸如加密算法和会话密钥的协商以及通信双方身份验证等功能;而记录协议位于SSL握手协议的下层,它定义了传输格式。
- 密钥加密密钥:是对传送的会话或文件密铜进行加密时采用的密钥,也称次主密钥,通信网中每个节点都分配有一个这类密钥。
- 国家信息安全漏洞共享平台( China National Vuinerability Database,简称CNVD)
- 美国国家漏洞数据库的英文简写为NDV
- 栈指针寄存器esp中保存的是:栈顶指针
- 下列微软的安全技术中,对程序分配的内存地址进行随机化分布的是ASLR
- 对软件安全漏洞的检测一般有两种方法:动态测试和静态检测。静态检测关注程序的源码,通过一定的算法对程序的结构和行为特征进行检测。
- 司域网是指内部的网络,一般指企业和家庭中的内部网络。在局域网内的计算机可以在网内自由的进行数据的存储、交换和访问;而恶意程序(如木马)的在局域网的传播是利用网络服务程序的漏洞进行传播。
- 风险评估主要依赖于所采用的系统环境、使用信息的商业目的、商业信息和系统的性质等。
- 信息安全管理的主要内容包括信息安全管理体系、信息安全风险评估和信息安全管理措施三个部分。信息安全管理措施详细介绍了基本安全管理措施和重要安全管理过程。信息安全管理体系的主要内容,包括信息安全管理框架及其实施、信息安全管理体系审核与评审和信息安全管理体系的认证。
- 信息安全风险评估的复杂程度取决于受保护的资产对安全的敏感程度和所面临风险的复杂度
- 国家秘密的密级分为绝密、机密、秘密三级,国家秘密的保密期限,除另有规定外,绝密级不超过30年,机密级不超过20年,秘密级不超过10年。
- 《信息系统安全保护等级划分准则》 提出了定级的四个要素:信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度。
- 保证信息机密性的核心技术是:密码学
- IATF提出的信息保障的核心思想是:纵深防御战略
- 网络信息内容监控的主要方法为:网络舆情分析
- 扩散和混淆是对称密码设计的主要思想。
- 序列密码,也被称流密码为是将明文和密钥都划分为位或字符的序列,并且对明文序列中的每一位或字符都用密钥序列中的对应分量来加密。
- 操作系统通过保护环机制来确保进程不会在彼此之间或对系统的重要组件造成负面影响。
- Unix/Linux系统中,服务是通过inetd进程或启动脚本来启动的。
- )服务发现,也称端口扫描为主要是对数据库的开放端口进行扫描,检查其中的安全缺陷,比如开放了多余的服务端口等。
- 取消数据库审计功能的SQL命令是NOAUDIT。
- 证书链的起始端被称为:信任锚
- 根据数据采集方式的不同,IDS可以分为NIDS和HIDS。
- NIDS包括探测器和控制台两部分
- 按照漏洞生命周期的不同阶段进行的漏洞分类中,处于未公开状态的漏洞称为零日漏洞。
- 软件加壳技术的原理是对可执行文件进行压缩或加密,从而改变可执行文件中代码的表现形式。
- 漏洞一般分为低危。中危、高危。
- chmod:文件/目录权限设置命令
chown:改变文件的拥有者
chgrp:更文件与目录的所属群组,设置方式采用群组名称或群组识别码皆可
who:显示系统登陆者。
- Kerberos 是一种网络认证协议。
- AH协议用以保证数据包的完整性和真实性,所以AH协议是具有数据完整性鉴别的功能。
- BitBlaze:平台由三个部分组成:Vine,静态分析组件,TEMU,动态分析组件,Rudder,结合动态和静态分析进行具体和符号化分析的组件。
Nessus:是目前全世界最多人使用的系统漏洞扫描与分析软件
Metasploit:是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。
NMap:也就是Network Mapper,是Linux下的网络扫描和嗅探工具包。
- 代码混淆技术可通过多种技术手段实现,包括词法转换、控制流转换、数据转换。
- 应急计划三元素是事件响应、灾难恢复、业务持续性计划。
- 计算机系统安全评估的第一个正式标准是可信计算机评估标准它具有划时代的意义,为计算机安全评估奠定了基础。
- 由于网络信息量十分巨大,仅依靠人工的方法难以应对网络海量信息的收集和处理,需要加强相关信息技术的研究,即网络舆情分析技术。
- 验证所收到的消息确实来自真正的发送方且未被篡改的过程是消息认证。
- 强制访问控制系统通过比较主体和客体的安全标签来决定一个主体是否能够访问某个客体.
- 在标准的模型中,将CPU模式从用户模式转到内核模式的唯一方法是触发一个特殊的硬件自陷,如中断、异常等。
- TCG使用了可信平台模块,而中国的可信平台以可信密码模块为核心。
- PKI是创建、管理、存储、分布和作废数字证书的一系列软件、硬件、人员、策略和过程的集合。
- 通过分析代码中输入数据对程序执行路径的影响,以发现不可信的输入数据导致的程序执行异常,是污点传播分析技术。
- 恶意影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序是恶意程序。
- 根据加壳原理的不同,软件加壳技术包括压缩保护壳和加密保护壳。
- 处于未公开状态的漏洞是0day漏洞,或者叫零日漏洞。
- 《可信计算机评估准则》(TCSEC,也称为橘皮书)将计算机系统的安全划分为四个等级七个级别。
- IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域:网络和基础设施,区域边界、计算环境和支撑性基础设施。
- 消息认证、数字签名和口令保护均属于哈希函数的应用。
- 访问控制矩阵的行是:访问能力表
访问控制矩阵的列是:访问控制列表
- SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL 协议可分为两层:
SSL记录协议:它建立在可靠的传输协议之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL 握手协议:它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法,交换加密密钥。
- 微软公司漏洞分为:第一级:紧急。第二级:重要。第三级:警告。第四级:注意,对应于漏洞危险等级。
- UAF(Use After Free)类漏洞,即引用了已经释放的内存,如内存地址对象破坏性调用的漏洞。
- safeSEH、SEHOP、ASLR都属于软件漏洞利用防范技术,而NOP属于漏洞利用技术。
- 根据访问控制手段,可以分为:行政性访问控制;逻辑性访问控制;技术性访问控制和物理性访问控制。
- 被称为"中国首部真正意义上的信息化法律"的是:电子签名法.
- IATF提出的信息保障的核心思想是纵深防御战略。
- 分类数据的管理包括这些数据的存储、分布移植和销毁。
- 传统对称密码加密时所使用的两个技巧是:代换和置换。
- 恶意行为审计与监控,主要监测网络中针对服务器的恶意行为,包括恶意的攻击行为和
入侵行为。
- 进程与CPU通信是通过中断信号来完成的。
- 在Unix/Linux系统中,服务是通过inetd进程或启动脚本来启动。
- 主要适用于有严格的级别划分的大型组织机构和行业领域的信任型是层次信任模型。
- 指令寄存器eip始终存放着返回地址。
- 根据软件漏洞具体条件,构造相应输入参数和Shelcode代码,最终实现获得程序控制权的过程,是漏洞利用。
- 攻击者窃取Web用户SessionlD后,使用该SessionlD登录进入Web目标账户的攻击方法,被称为会话劫持。
- 通过分析代码中输入数据对程序执行路径的影响,以发现不可信的输入数据导致的程序执行异常,这种技术被称为污点传播分析技术。
- 栈指针寄存器esp始终存放栈顶指针。
- 信息安全管理的主要内容,包括信息安全管理体系,信息安全风险评估和信息安全管理措施二个部分。
- 电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告。
- 数据库渗透测试的对象主要是数据库的身份验证系统和服务监听系统。
- 通常情况下,SQL注入攻击所针对的数据信道包括存储过程和Web应用程序输入参数。
- 防范计算机系统和资源被未授权访问,采取的第一道防线是:访问控制
- IPSec协议属于第三层隧道协议
- “震荡波” 病毒利用windows操作系统的安全漏洞进行传播,用户不需要接收电子邮件或者打开文件就可以被感染。
- 软件安全保护技术包括:注册信息验证技术、软件防篡改技术、代码混淆技术、软件水印技术、软件加壳技术、反调试反跟踪技术。
- 堆是一个先进先出的数据结构,在内存中的增长方向是从低地址向高地址增长。
- 综合漏洞扫描不包括的功能是SQL注入扫描
- 下列选项中,信息安全管理体系(ISMS)体现的思想是预防控制为主
- 由于是要制定安全管理策略,制定者与决策层进行有效沟通是必要条件(决策者拥有资源分配权,资金分配权,人员调换权等)。
- 计算机信息系统安全的三个特性:机密性、完整性、有效性。
- S7799是依据英国的工业、政府和商业共同需求而制定的一个标准,它分为两部分:第一部分为"信息安全信息安全管理系统的规范”,第二部分为”信息安全管理系统的规范”
- 《计算机信息系统安全保护等级划分准则》将信息系统安全分为五个等级。五个等级分为:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
- 《刑法》 中有关信息安全犯罪包括3条。
- 电子认证服务提供者被依法吊销电子认证许可证书的其业务承接事项的处理按照国务院信息产业主管部规定执行。
- 风险控制的基本策略有:
- 采取安全措施,消除或减小漏洞的不可控制的残留风险(避免);
- 将风险转移到其他区域,或转移到外部(转移);
- 减小漏洞产生的影响(缓解);
- 了解产生的后果,并接受没有控制或缓解的风险(接受)
- 恶意行为的监测方式主要分为两类:主机监测和网络检测
- 密码设计应遵循一个公开设计的原则,即密钥体制的安全应依赖于对密钥的保密,而不是依赖于对算法的保密。
- AES的分组长度固定为128位,密钥长度则可以是128、192或256位。
相关文章:
计算机等级考试:信息安全技术 知识点一
美国联邦政府颁布数字签名标准(Digital Signature Standard,DSS)的年份是1994美国联邦政府颁布高级加密标准(Advanced Encryption Standard,AES)的年份是2001产生认证码的函数类型通常有3类:消息加密、消息认证码和哈希函数。自主访问控制,Di…...
开展庆2024年“三八”国际妇女节系列纪念活动怎样向媒体投稿?
为了向媒体投稿,庆祝2024年“三八”国际妇女节系列纪念活动,你可以遵循以下步骤: 策划与准备: 确定纪念活动的主题和目标,例如提升女性权益、表彰女性成就、促进性别平等。 策划一系列活动,如研讨会、表彰仪式、展览、讲座等,确保内容丰富多样。 准备相关的背景资料、活动介…...
SpringBoot-集成Elasticsearch
jsoup:https://jsoup.org/ 依赖 <!--解析网页--> <dependency><groupId>org.jsoup</groupId><artifactId>jsoup</artifactId><version>1.10.2</version> </dependency> <dependency><groupId>c…...
数据结构之顺序表及其实现!
目录 编辑 1. 顺序表的概念及结构 2. 接口的实现 2.1 顺序表的初始化 2.2 检查顺序表容量是否已满 2.3 顺序表的尾插 编辑 2.4 顺序表的尾删 2.5 顺序表的头插 2.6 顺序表的头删 2.7 顺序表在pos位置插入 2.8 顺序表在pos位置删除 2.9 顺序表的查找 2.10 顺…...
Vue组件间通信实践
Vue组件间通信实践 🌟 前言 欢迎来到我的小天地,这里是我记录技术点滴、分享学习心得的地方。📚 🛠️ 技能清单 编程语言:Java、C、C、Python、Go、前端技术:Jquery、Vue.js、React、uni-app、EchartsUI设…...
FISCO BCOS区块链平台上的智能合约压力测试指南
引言 在当今的分布式系统中,区块链技术因其去中心化、安全性和透明性而备受关注。随着区块链应用的不断扩展,对其性能和稳定性的要求也越来越高。因此,对区块链网络进行压力测试显得尤为重要。 目录 引言 1. 配置FISCO BCOS节点 2. 安装和…...
LabVIEW流量控制系统
LabVIEW流量控制系统 为响应水下航行体操纵舵翼环量控制技术的试验研究需求,通过LabVIEW开发了一套小量程流量控制系统。该系统能够满足特定流量控制范围及精度要求,展现了其在实验研究中的经济性、可靠性和实用性,具有良好的推广价值。 项…...
Python 爱心代码
Python爱心代码是一种用Python编程语言实现的图形化表达方式,可以通过一系列的代码来绘制出一个爱心形状。以下是一个简单的Python爱心代码示例: import turtle # 设置画布和画笔 canvas turtle.Screen() canvas.bgcolor("black") pen turt…...
linux kernel物理内存概述(五)
目录 概述 一、快速路径分配 1、get_page_from_freelist 2、rmqueue()函数 二、慢速路径分配 1、分配流程 三、direct_compact 概述 物理内存分配步骤 1、初始化,参数初始化 2、内存充足,快速分配 get_page_from_freelist 3、内存压力大,慢速…...
3分钟带你搞定电流采样电阻选型
大家好,我是砖一。 一,电流采样电阻的介绍 电流检测电路常用于高压短路保护、电机控制、DC/DC换流器、系统功耗管理、二次电池的电流管理、蓄电池管理等电流检测等场景。 比如,对于电机来说,电流检测电路是为了检测电流功能有比…...
代码随想录算法训练营Day52 | 300.最长递增子序列、674.最长连续递增序列、718.最长重复子数组
300.最长递增子序列 这题的重点是DP数组的定义,子序列必须以nums[i]为最后一个元素,这样dp数组中后面的元素才能与前面的元素进行对比 1、DP数组定义:dp[i]表示以nums[i]为最后一个元素的最长递增子序列长度 2、DP数组初始化:全部…...
一个测试OOM killer的程序未触发OOM所带来的问题
概述 我们知道,由于MMU实现了虚拟地址到物理地址的转换,所以我们在申请虚拟地址时往往可以申请一大块内存,这实际上是对资源的有效利用,毕竟只有内存真正被投入使用时(如memset)才会实际分配物理内存&…...
SanctuaryAI推出Phoenix: 专为工作而设计的人形通用机器人
文章目录 1. Company2. Main2.1 关于凤凰™ (Phoenix)2.2 关于碳™(Carbon)2.3 商业化部署2.4 关于 Sanctuary Corporation 3. My thoughtsReference彩蛋:将手机变为桌面小机器人 唯一入选《时代》杂志 2023 年最佳发明的通用机器人。 称机器人自主做家务的速度和灵…...
李沐动手学习深度学习——4.2练习
1. 在所有其他参数保持不变的情况下,更改超参数num_hiddens的值,并查看此超参数的变化对结果有何影响。确定此超参数的最佳值。 通过改变隐藏层的数量,导致就是函数拟合复杂度下降,隐藏层过多可能导致过拟合,而过少导…...
CYQ.Data 支持 DaMeng 达梦数据库
DaMeng 达梦数据库介绍: 达梦数据库(DMDB)是中国自主研发的关系型数据库管理系统,由达梦科技股份有限公司开发。 达梦数据库提供了企业级的数据库解决方案,广泛应用于金融、电信、政府、制造等行业领域。 达梦数据库具有以下特点和优势: 高性能:具备高性能的并发处理…...
计网面试题整理上
1. 计算机网络的各层协议及作用? 计算机网络体系可以大致分为一下三种,OSI七层模型、TCP/IP四层模型和五层模型。 OSI七层模型:大而全,但是比较复杂、而且是先有了理论模型,没有实际应用。TCP/IP四层模型:…...
code: 500 ] This subject is anonymous - it does not have any identifying
项目场景: 相关背景: 使用idea 开发java 项目,前端页面请求 页面中相关的接口时,idea 控制台有报错信息出现,前端请求失败。 问题描述 问题: 使用idea 开发java 项目,前端页面请求 页面中相…...
FC-AE-1553 协议
FC-AE-1553 协议 MIL-STD-1553B总线协议总线结构字格式消息传输方式 FC协议FC协议栈拓扑结构服务类型帧/序列/交换FC帧格式 FC-AE-1553网络构成帧类型命令帧状态帧数据帧 Information UnitsNC1NC2NC3-4NC5-7NT1-7 传输模式1. NC-NT2. NT-NC3. NT-NT4. 无数据字的模式命令5. 带数…...
代码随想录算法训练营day38|理论基础、509. 斐波那契数、70. 爬楼梯、746. 使用最小花费爬楼梯
理论基础 代码随想录 视频:从此再也不怕动态规划了,动态规划解题方法论大曝光 !| 理论基础 |力扣刷题总结| 动态规划入门_哔哩哔哩_bilibili 动态规划:如果某一问题有很多重叠子问题,使用动态规划是最有效的。所以动态…...
夫妻一方名下股权到底归谁?
生效判决摘要:1.夫妻一方在婚姻关系存续期间投资的收益,为夫妻的共同财产,归夫妻共同所有,但是并不能据此否定股权本身可能成为夫妻共同财产。婚姻关系存续期间登记在配偶一方名下的股权能否成为夫妻共同财产,可由司法…...
git根据文件改动将文件自动添加到缓冲区
你需要修改以下脚本中的 use_cca: false 部分 #!/bin/bash# 获取所有已修改但未暂存的文件 files$(git diff --name-only)for file in $files; do# 检查文件中是否存在"use_cca: false"if grep -q "use_cca: false" "$file"; thenecho "Ad…...
SystemVerilog Constants、Processes
SystemVerilog提供了三种类型的精化时间常数: •参数:与最初的Verilog标准相同,可以以相同的方式使用。 •localparameter:与参数类似,但不能被上层覆盖模块。 •specparam:用于指定延迟和定时值&#x…...
交易平台开发:构建安全/高效/用户友好的在线交易生态圈
在数字化浪潮的推动下,农产品现货大宗商品撮合交易平台已成为连接全球买家与卖家的核心枢纽。随着电子商务的飞速发展,一个安全、高效、用户友好的交易平台对于促进交易、提升用户体验和增加用户黏性至关重要。本文将深入探讨交易平台开发的关键要素&…...
Linux系统之部署复古游戏平台
Linux系统之部署复古游戏平台 前言一、项目介绍1.1 项目简介1.2 项目特点1.3 游戏平台介绍二、本次实践介绍二、本地环境介绍2.1 本地环境规划2.2 本次实践介绍三、本地环境检查3.1 安装Docker环境3.2 检查Docker服务状态3.3 检查Docker版本3.4 检查docker compose 版本四、构建…...
开源计算机视觉库opencv-python详解
开源计算机视觉库opencv-python详解 OpenCV-Python的核心功能:安装OpenCV-Python:使用OpenCV-Python的基本步骤:OpenCV-Python的高级应用:注意事项:OpenCV-Python的高级应用示例:1. 人脸识别2. 目标跟踪3. …...
Vue开发实例(十)Tabs标签页打开、关闭与路由之间的关系
创建标签页 一、创建标签页二、点击菜单展示新标签页1、将标签数据作为全局使用2、菜单点击增加标签页3、处理重复标签4、关闭标签页 三、点击标签页操作问题1:点击标签页选中菜单进行高亮展示问题2:点击标签页路由也要跳转 四、解决bug 先展示最终效果 …...
基于51单片机的智能火灾报警系统
基于51单片机的智能火灾报警系统 摘要: 本文提出了一种基于51单片机的智能火灾报警系统。该系统采用烟雾传感器和温度传感器来检测火灾的发生,并通过单片机进行数据处理和报警控制。此外,该系统还具有无线通信功能,可以实时将火灾…...
【数据结构】堆的TopK问题
大家好,我是苏貝,本篇博客带大家了解堆的TopK问题,如果你觉得我写的还不错的话,可以给我一个赞👍吗,感谢❤️ 目录 一. 前言二. TopK三. 代码 一. 前言 TOP-K问题:即求数据结合中前K个最大的元…...
Vue后台管理系统笔记-01
npm(Node Package Manager)和 yarn 是两个常用的包管理工具,用于在 Node.js 项目中安装、管理和更新依赖项。它们有以下几个区别: 性能和速度:在包的安装和下载方面,yarn 通常比 npm 更快速。yarn 使用了并…...
飞天使-学以致用-devops知识点3-安装jenkins
文章目录 构建带maven环境的jenkins 镜像安装jenkinsjenkins yaml 文件安装插件jenkins 配置k8s创建用户凭证 构建带maven环境的jenkins 镜像 # 构建带 maven 环境的 jenkins 镜像 docker build -t 192.168.113.122:8858/library/jenkins-maven:jdk-11 .# 登录 harbor docker …...