CISP学习指南:应急响应组织、标准与技术安全

  1. 一、计算机应急响应小组(CERT)
  2. 二、多组件事故处理
  3. 三、拒绝服务攻击的危害
  4. 四、中国信息安全管理体制
  5. 五、信息安全标准化技术委员会(TC260)
  6. 六、审计系统基础
  7. 七、OSI安全服务
  8. 八、安全数据传输
  9. 九、Unix系统文件权限
  10. 十、Unix系统配置文件
  11. 十一、电子邮件安全标准
  12. 十二、域名注册信息查询
  13. 十三、Smurf攻击防护
  14. 十四、Fuzz测试
  15. 十五、总结

本指南涵盖CISP认证中的应急响应组织、信息安全管理体制、标准化组织、审计系统、网络安全技术等关键领域的核心知识点。

一、计算机应急响应小组(CERT)

1.1 CERT概述

🚨 CERT定义

**CERT(Computer Emergency Response Team)**是计算机应急响应小组的简称,是专门负责处理计算机安全事件的组织。

📌 关键概念

计算机应急响应小组的英文简称是CERT(Computer Emergency Response Team),这是信息安全领域中最重要的应急响应组织形式。需要注意的是,FIRST是国际CERT协作组织的名称,而非单个应急响应小组的简称。

1.2 CERT的起源和发展

CERT的历史:

graph LR A["1988年
Morris蠕虫事件"] --> B["CERT/CC成立
卡内基梅隆大学"] B --> C["各国建立CERT"] C --> D["FIRST组织成立"] D --> E["全球CERT网络"] style A fill:#ffcdd2,stroke:#c62828 style B fill:#e3f2fd,stroke:#1976d2 style E fill:#c8e6c9,stroke:#2e7d32

重要里程碑:

时间 事件 意义
1988年 Morris蠕虫爆发 首次大规模网络安全事件
1988年11月 CERT/CC成立 第一个CERT组织
1990年 FIRST成立 国际CERT协作组织
2000年代 各国建立国家级CERT 全球应急响应网络形成

1.3 CERT的主要职责

CERT的核心功能:

CERT主要职责:
├── 事件响应
│   ├── 接收安全事件报告
│   ├── 分析和评估事件
│   ├── 协调应急响应
│   └── 提供技术支持
├── 预警通报
│   ├── 发布安全公告
│   ├── 漏洞预警
│   ├── 威胁情报共享
│   └── 安全态势通报
├── 技术支持
│   ├── 漏洞分析
│   ├── 恶意代码分析
│   ├── 安全咨询
│   └── 技术培训
└── 协调合作
    ├── 跨组织协调
    ├── 国际合作
    ├── 信息共享
    └── 最佳实践推广

1.4 相关组织对比

安全组织缩写对比:

缩写 全称 说明
CERT Computer Emergency Response Team ✅ 计算机应急响应小组
FIRST Forum of Incident Response and Security Teams 事件响应和安全团队论坛
CSIRT Computer Security Incident Response Team 计算机安全事件响应团队
CNCERT China National Computer Network Emergency Response Team 中国国家计算机网络应急技术处理协调中心

FIRST组织:

💡 FIRST简介

FIRST(Forum of Incident Response and Security Teams)

  • 成立于1990年
  • 全球性的CERT协作组织
  • 促进信息共享和合作
  • 制定最佳实践标准
  • 提供培训和认证

二、多组件事故处理

2.1 多组件事故概述

🔗 多组件事故定义

**多组件事故(Multi-component Incidents)**是指由信息系统中多个部分共同作用造成的安全事件。

特点:

  • 涉及多个系统组件
  • 需要关联分析
  • 单一日志难以发现
  • 需要综合视角

🔑 最佳实践

应对多组件事故的最有效方法是使用集中的日志审计工具和事件关联分析软件。虽然入侵检测系统、防病毒软件和DMZ隔离都是重要的安全措施,但它们只能检测单点攻击。只有通过集中日志收集和关联分析,才能发现跨多个系统组件的复杂攻击链。

2.2 为什么需要集中日志和关联分析

多组件事故的挑战:

graph TB A["多组件事故"] B["Web服务器
异常访问"] C["数据库
查询异常"] D["防火墙
规则触发"] E["应用服务器
性能下降"] A --> B A --> C A --> D A --> E F["单独查看
❌ 难以发现"] G["关联分析
✅ 发现攻击链"] B --> F C --> F D --> F E --> F B --> G C --> G D --> G E --> G style A fill:#ffcdd2,stroke:#c62828 style F fill:#ffccbc,stroke:#d84315 style G fill:#c8e6c9,stroke:#2e7d32

攻击链示例:

多组件攻击场景:
时间线:
├── T1: 防火墙日志
│   └── 来自IP 1.2.3.4的端口扫描
├── T2: Web服务器日志
│   └── 同一IP尝试SQL注入
├── T3: 应用服务器日志
│   └── 异常的数据库查询
├── T4: 数据库日志
│   └── 敏感数据被访问
└── T5: 网络流量日志
    └── 大量数据外传

单独查看:每个日志看起来都不严重
关联分析:发现完整的攻击链

2.3 集中日志审计和事件关联分析

SIEM系统架构:

graph TB A["数据源"] B["日志收集"] C["数据规范化"] D["事件关联"] E["分析和告警"] F["响应和处置"] A1["防火墙"] --> B A2["IDS/IPS"] --> B A3["服务器"] --> B A4["应用"] --> B A5["数据库"] --> B B --> C C --> D D --> E E --> F D --> D1["规则关联"] D --> D2["统计关联"] D --> D3["行为分析"] style A fill:#e3f2fd,stroke:#1976d2 style D fill:#fff3e0,stroke:#f57c00 style E fill:#ffcdd2,stroke:#c62828

关联分析的优势:

方法 检测能力 适用场景
单点检测(IDS) 单一攻击 简单攻击
防病毒软件 已知恶意代码 病毒感染
DMZ隔离 网络分段 预防措施
集中日志+关联分析 ✅ 复杂攻击链 多组件事故

三、拒绝服务攻击的危害

3.1 DoS攻击影响分析

⚠️ 常见误解

关于DoS攻击影响的一个常见误解是认为它会“破坍应用系统”。实际上,DoS政击导致的是资源耗尽,而非系统破坏。DoS攻击会导致网络带宽被耗尽、主机资源被耗尽、应用资源被耗尽,但系统本身并未被损坏。一旦攻击停止,系统通常可以恢复正常服务,数据也保持完整。

3.2 DoS攻击的影响层次

DoS攻击影响的三个层次:

graph TB A["DoS攻击影响"] B["✅ 网络层"] C["✅ 主机层"] D["✅ 应用层"] E["❌ 系统破坏"] A --> B A --> C A --> D A -.-> E B --> B1["带宽耗尽"] B --> B2["网络拥塞"] B --> B3["无法访问"] C --> C1["CPU耗尽"] C --> C2["内存耗尽"] C --> C3["连接耗尽"] D --> D1["应用资源耗尽"] D --> D2["线程池满"] D --> D3["数据库连接满"] E --> E1["系统未被破坏"] E --> E2["只是资源耗尽"] E --> E3["停止攻击可恢复"] style B fill:#c8e6c9,stroke:#2e7d32 style C fill:#c8e6c9,stroke:#2e7d32 style D fill:#c8e6c9,stroke:#2e7d32 style E fill:#ffcdd2,stroke:#c62828

正确理解DoS攻击:

💡 DoS vs 破坏性攻击

DoS攻击(资源耗尽):

  • ✅ 网络带宽被占满
  • ✅ CPU/内存被耗尽
  • ✅ 连接数达到上限
  • ✅ 应用线程池满
  • 🔄 攻击停止后可恢复
  • 💾 数据未被破坏

破坏性攻击(系统损坏):

  • 💥 删除系统文件
  • 💥 破坏数据
  • 💥 修改配置
  • 💥 植入后门
  • ❌ 需要修复才能恢复
  • 💾 数据可能丢失

3.3 DoS攻击影响详解

网络层影响:

网络带宽耗尽:
├── 攻击方式
│   ├── UDP Flood
│   ├── ICMP Flood
│   ├── SYN Flood
│   └── 放大攻击
├── 影响
│   ├── 网络拥塞
│   ├── 合法流量无法通过
│   ├── 网络延迟增加
│   └── 服务不可用
└── 特点
    ├── 系统未损坏
    ├── 攻击停止后恢复
    └── 无数据丢失

主机层影响:

主机资源耗尽:
├── CPU资源
│   ├── 处理大量请求
│   ├── CPU使用率100%
│   └── 无法处理新请求
├── 内存资源
│   ├── 内存被占满
│   ├── 系统变慢
│   └── 可能触发OOM
├── 连接资源
│   ├── TCP连接表满
│   ├── 无法建立新连接
│   └── 半开连接占用
└── 特点
    ├── 系统未损坏
    ├── 重启可恢复
    └── 数据完整

应用层影响:

应用资源耗尽:
├── 线程池
│   ├── 工作线程被占满
│   ├── 无法处理新请求
│   └── 请求排队超时
├── 数据库连接
│   ├── 连接池耗尽
│   ├── 无法执行查询
│   └── 应用报错
├── 会话资源
│   ├── 会话表满
│   ├── 内存占用高
│   └── 性能下降
└── 特点
    ├── 应用未损坏
    ├── 重启可恢复
    └── 业务数据完整

3.4 DoS攻击与破坏性攻击对比

影响对比表:

影响类型 DoS攻击 破坏性攻击
网络可用性 ❌ 不可用 可能正常
系统完整性 ✅ 完整 ❌ 被破坏
数据完整性 ✅ 完整 ❌ 可能丢失
恢复方式 停止攻击即可 需要修复
恢复时间
持续影响 可能有后门

四、中国信息安全管理体制

4.1 我国信息安全管理体制概述

⚠️ 方针辨析

我国信息安全管理的正确方针是**“积极防御、综合防范”**。需要注意区分:“及时检测、快速响应、综合治理”是应急响应阶段的具体工作内容,而非总体管理方针。我国信息安全保障工作的特点包括:各部门各司其职、相互配合、齐抓共管;综合利用法律、管理和技术手段;以及谁主管谁负责、谁经营谁负责的责任原则。

4.2 我国信息安全管理方针

正确的管理方针:

graph TB A["我国信息安全管理方针"] B["积极防御"] C["综合防范"] A --> B A --> C B --> B1["主动防护"] B --> B2["预防为主"] B --> B3["防患未然"] C --> C1["法律手段"] C --> C2["管理手段"] C --> C3["技术手段"] style A fill:#e3f2fd,stroke:#1976d2 style B fill:#c8e6c9,stroke:#2e7d32 style C fill:#fff3e0,stroke:#f57c00

方针对比:

方针 正确性 说明
积极防御、综合防范 ✅ 正确 官方方针
及时检测、快速响应、综合治理 ❌ 错误 这是应急响应的内容,不是总体方针

4.3 我国信息安全管理体制特点

管理体制的四个特点:

🏛️ 管理体制特点

1. 各司其职、相互配合、齐抓共管

  • 多部门协同
  • 职责明确
  • 协调配合

2. 综合利用法律、管理和技术手段

  • 法律:网络安全法、数据安全法等
  • 管理:等级保护、安全审查等
  • 技术:加密、认证、监控等

3. 积极防御、综合防范

  • 主动防护
  • 预防为主
  • 多层防御

4. 谁主管谁负责、谁经营谁负责

  • 责任明确
  • 属地管理
  • 行业监管

三种手段的关系:

信息安全保障手段:
├── 法律手段(基础)
│   ├── 网络安全法
│   ├── 数据安全法
│   ├── 个人信息保护法
│   ├── 密码法
│   └── 相关法规
├── 管理手段(核心)
│   ├── 等级保护制度
│   ├── 关键信息基础设施保护
│   ├── 网络安全审查
│   ├── 数据安全管理
│   └── 安全评估认证
└── 技术手段(支撑)
    ├── 密码技术
    ├── 访问控制
    ├── 安全监测
    ├── 应急响应
    └── 安全防护产品

4.4 信息安全责任原则

责任原则详解:

graph LR A["信息安全责任原则"] B["谁主管
谁负责"] C["谁经营
谁负责"] A --> B A --> C B --> B1["政府部门"] B --> B2["监管机构"] B --> B3["主管单位"] C --> C1["运营企业"] C --> C2["服务提供商"] C --> C3["平台运营者"] style A fill:#e3f2fd,stroke:#1976d2 style B fill:#c8e6c9,stroke:#2e7d32 style C fill:#fff3e0,stroke:#f57c00

责任主体示例:

主体类型 责任原则 具体责任
政府部门 谁主管谁负责 监管、指导、协调
行业主管部门 谁主管谁负责 行业监管、标准制定
运营企业 谁经营谁负责 安全防护、事件处置
网络平台 谁经营谁负责 内容管理、用户保护

五、信息安全标准化技术委员会(TC260)

5.1 TC260概述

📋 TC260简介

**全国信息安全标准化技术委员会(TC260)**是我国信息安全标准化工作的主要组织,负责信息安全领域国家标准的制定和修订。

📌 TC260工作组结构

全国信息安全标准化技术委员会(TC260)下设多个工作组,其中WG7负责信息安全管理相关标准的制定,包括安全管理体系、风险管理和业务连续性管理等领域。其他工作组分别负责安全技术、安全评估、密码、网络安全、身份管理与隐私保护等不同方向。

5.2 TC260工作组结构

TC260工作组划分:

TC260工作组:
├── WG1 - 安全技术工作组
│   ├── 密码技术
│   ├── 鉴别与授权
│   ├── 通信安全
│   └── 信息系统安全
├── WG2 - 安全评估工作组
│   ├── 安全评估方法
│   ├── 测评标准
│   └── 认证标准
├── WG3 - 密码工作组
│   ├── 密码算法
│   ├── 密码协议
│   └── 密码应用
├── WG4 - 网络安全工作组
│   ├── 网络安全
│   ├── 云安全
│   └── 物联网安全
├── WG5 - 身份管理与隐私保护工作组
│   ├── 身份管理
│   ├── 隐私保护
│   └── 个人信息保护
└── WG7 - 信息安全管理工作组
    ├── 安全管理体系
    ├── 风险管理
    └── 业务连续性管理

5.3 TC260的主要职责

标准化工作内容:

graph TB A["TC260职责"] B["标准制定"] C["标准审查"] D["国际合作"] E["技术研究"] A --> B A --> C A --> D A --> E B --> B1["国家标准制定"] B --> B2["行业标准协调"] B --> B3["标准体系规划"] C --> C1["标准审查"] C --> C2["标准复审"] C --> C3["标准修订"] D --> D1["ISO/IEC JTC1/SC27"] D --> D2["ITU-T SG17"] D --> D3["国际标准转化"] E --> E1["技术研究"] E --> E2["标准预研"] E --> E3["技术咨询"] style A fill:#e3f2fd,stroke:#1976d2

重要标准系列:

标准系列 标准号 主要内容
信息安全技术 GB/T 20000系列 基础技术标准
等级保护 GB/T 22239等 等级保护标准
个人信息保护 GB/T 35273等 隐私保护标准
密码应用 GB/T 39786等 密码技术标准

六、审计系统基础

6.1 审计系统组成

📊 审计系统三大组成

完整的审计系统包括三个核心部分:日志记录、日志分析和日志报告。日志记录负责收集和存储原始数据,日志分析负责发现问题和威胁,而日志报告则负责呈现结果、支持决策。三者缺一不可,共同构成完整的审计流程。报告环节尤其重要,它用于向管理层汇报、合规性证明、事件通报和提供法律证据。

6.2 审计系统三个组成部分

审计系统架构:

graph LR A["审计系统"] B["1. 日志记录
Logging"] C["2. 日志分析
Analysis"] D["3. 日志报告
Reporting"] A --> B B --> C C --> D B --> B1["收集日志"] B --> B2["存储日志"] B --> B3["保护日志"] C --> C1["解析日志"] C --> C2["关联分析"] C --> C3["异常检测"] D --> D1["生成报告"] D --> D2["可视化"] D --> D3["告警通知"] style B fill:#e3f2fd,stroke:#1976d2 style C fill:#fff3e0,stroke:#f57c00 style D fill:#c8e6c9,stroke:#2e7d32

6.3 各组成部分详解

1. 日志记录(Logging):

日志记录功能:
├── 数据收集
│   ├── 系统日志
│   ├── 应用日志
│   ├── 安全日志
│   ├── 网络日志
│   └── 数据库日志
├── 日志存储
│   ├── 集中存储
│   ├── 分布式存储
│   ├── 归档管理
│   └── 备份策略
└── 日志保护
    ├── 完整性保护
    ├── 访问控制
    ├── 加密存储
    └── 防篡改机制

2. 日志分析(Analysis):

日志分析功能:
├── 日志解析
│   ├── 格式识别
│   ├── 字段提取
│   ├── 数据规范化
│   └── 时间同步
├── 关联分析
│   ├── 事件关联
│   ├── 跨系统关联
│   ├── 时间序列分析
│   └── 攻击链分析
├── 异常检测
│   ├── 基线建立
│   ├── 偏差检测
│   ├── 模式识别
│   └── 行为分析
└── 威胁识别
    ├── 规则匹配
    ├── 特征识别
    ├── 威胁情报
    └── 机器学习

3. 日志报告(Reporting):

日志报告功能:
├── 报告生成
│   ├── 定期报告
│   ├── 按需报告
│   ├── 合规报告
│   └── 事件报告
├── 数据可视化
│   ├── 仪表板
│   ├── 图表展示
│   ├── 趋势分析
│   └── 实时监控
├── 告警通知
│   ├── 实时告警
│   ├── 邮件通知
│   ├── 短信通知
│   └── 工单创建
└── 审计追踪
    ├── 操作记录
    ├── 变更追踪
    ├── 合规证明
    └── 证据保全

6.4 为什么是三个部分

选项分析:

选项 组成 正确性 说明
A 记录、分析、处理 “处理"不准确,应该是"报告”
B 记录、处理 缺少"分析"环节
C 记录、分析 缺少"报告"环节
D 记录、分析、报告 完整的审计流程

完整审计流程的重要性:

💡 为什么需要三个部分

只有记录和分析是不够的:

  • 📝 记录:收集原始数据
  • 🔍 分析:发现问题和威胁
  • 📊 报告:呈现结果、支持决策

报告的重要性:

  • 向管理层汇报
  • 合规性证明
  • 事件通报
  • 改进依据
  • 法律证据

6.5 审计系统实施

审计系统部署架构:

graph TB A["数据源"] B["日志收集器"] C["日志存储"] D["分析引擎"] E["报告系统"] F["用户界面"] A1["服务器"] --> B A2["网络设备"] --> B A3["安全设备"] --> B A4["应用系统"] --> B B --> C C --> D D --> E E --> F D --> D1["实时分析"] D --> D2["离线分析"] E --> E1["定期报告"] E --> E2["实时告警"] style A fill:#e3f2fd,stroke:#1976d2 style D fill:#fff3e0,stroke:#f57c00 style E fill:#c8e6c9,stroke:#2e7d32

七、OSI安全服务

7.1 OSI参考模型安全服务

🔐 OSI会话层安全服务

在OSI七层模型中,会话层负责提供保密性、身份鉴别和数据完整性服务。会话层在会话建立时进行身份认证,为整个会话提供保密性,并保证会话期间的数据完整性。这与其他层次不同:应用层依赖具体应用,表示层主要处理数据格式,传输层提供端到端安全(如TLS),网络层处理IP层安全。

7.2 OSI七层模型安全服务

OSI七层模型及其安全服务:

graph TB A["OSI七层模型"] L7["7. 应用层
Application"] L6["6. 表示层
Presentation"] L5["5. 会话层
Session"] L4["4. 传输层
Transport"] L3["3. 网络层
Network"] L2["2. 数据链路层
Data Link"] L1["1. 物理层
Physical"] A --> L7 L7 --> L6 L6 --> L5 L5 --> L4 L4 --> L3 L3 --> L2 L2 --> L1 L7 --> L7S["应用安全
访问控制"] L6 --> L6S["数据加密
格式转换"] L5 --> L5S["✅ 保密性
✅ 身份鉴别
✅ 数据完整性"] L4 --> L4S["端到端安全
TLS/SSL"] L3 --> L3S["IPSec
路由安全"] L2 --> L2S["MAC安全
802.1X"] L1 --> L1S["物理安全
传输介质"] style L5 fill:#c8e6c9,stroke:#2e7d32 style L5S fill:#e8f5e9,stroke:#388e3d

7.3 各层安全服务详解

安全服务分布:

OSI层次 主要安全服务 典型协议/技术
应用层 访问控制、应用认证 HTTP认证、应用防火墙
表示层 数据加密、格式转换 加密算法、编码
会话层 ✅ 保密性、身份鉴别、完整性 会话密钥管理
传输层 端到端加密、认证 TLS/SSL、DTLS
网络层 IP安全、路由认证 IPSec、VPN
数据链路层 MAC认证、链路加密 802.1X、WPA
物理层 物理安全、传输保护 光纤、屏蔽线缆

会话层安全服务详解:

会话层安全服务:
├── 保密性(Confidentiality)
│   ├── 会话加密
│   ├── 密钥协商
│   ├── 加密算法选择
│   └── 密钥更新
├── 身份鉴别(Authentication)
│   ├── 双向认证
│   ├── 会话建立认证
│   ├── 证书验证
│   └── 身份确认
└── 数据完整性(Integrity)
    ├── 消息认证码(MAC)
    ├── 完整性校验
    ├── 防重放
    └── 序列号验证

7.4 为什么是会话层

会话层的特殊地位:

💡 会话层的作用

会话层负责:

  • 建立、管理和终止会话
  • 会话密钥协商
  • 身份认证
  • 数据保护

为什么在会话层提供这些服务:

  • 会话建立时进行认证
  • 为整个会话提供保密性
  • 保证会话期间的数据完整性
  • 独立于具体应用

与其他层的区别:

安全服务层次对比:
├── 应用层
│   └── 应用级别的安全,依赖具体应用
├── 表示层
│   └── 数据格式和编码,不涉及认证
├── 会话层 ✅
│   └── 会话级别的保密、认证、完整性
├── 传输层
│   └── 端到端安全(TLS在传输层之上)
└── 网络层
    └── IP层安全,不涉及会话管理

八、安全数据传输

8.1 网络窃听防护

🔒 安全传输协议

在各种数据传输方式中,HTTPS是难以通过网络窃听获取信息的。FTP和TELNET都采用明文传输,包括用户名、密码和数据内容都可被轻易窃听。TACACS+虽然对认证过程进行加密,但它只保护认证阶段,数据传输仍可能是明文。相比之下,HTTPS使用TLS/SSL加密,提供端到端的加密保护,窃听者无法解密传输内容。

8.2 各种传输方式的安全性

传输方式安全性对比:

graph TB A["数据传输方式"] B["❌ 明文传输"] C["✅ 加密传输"] A --> B A --> C B --> B1["FTP"] B --> B2["TELNET"] B --> B3["HTTP"] B --> B4["TACACS+认证后"] C --> C1["HTTPS"] C --> C2["SFTP"] C --> C3["SSH"] C --> C4["VPN"] B1 --> B1A["明文传输
易被窃听"] B2 --> B2A["明文传输
易被窃听"] B3 --> B3A["明文传输
易被窃听"] B4 --> B4A["认证加密
但数据可能明文"] C1 --> C1A["TLS/SSL加密
难以窃听"] style B fill:#ffcdd2,stroke:#c62828 style C fill:#c8e6c9,stroke:#2e7d32 style C1 fill:#e8f5e9,stroke:#388e3d

8.3 选项详细分析

A. FTP传输文件:

FTP(File Transfer Protocol):
├── 特点
│   ├── 明文传输
│   ├── 用户名密码明文
│   ├── 文件内容明文
│   └── 控制命令明文
├── 安全风险
│   ├── 易被窃听
│   ├── 凭证泄露
│   ├── 数据泄露
│   └── 中间人攻击
└── 安全替代
    ├── SFTP(SSH File Transfer Protocol)
    ├── FTPS(FTP over SSL/TLS)
    └── SCP(Secure Copy)

B. TELNET远程管理:

TELNET:
├── 特点
│   ├── 明文传输
│   ├── 所有输入明文
│   ├── 包括密码
│   └── 命令和输出明文
├── 安全风险
│   ├── 密码被窃听
│   ├── 会话被劫持
│   ├── 命令被截获
│   └── 数据泄露
└── 安全替代
    └── SSH(Secure Shell)

C. HTTPS网页内容:

HTTPS(HTTP over TLS/SSL):
├── 特点
│   ├── ✅ 加密传输
│   ├── ✅ 服务器认证
│   ├── ✅ 数据完整性
│   └── ✅ 可选客户端认证
├── 安全保护
│   ├── TLS/SSL加密
│   ├── 证书验证
│   ├── 密钥交换
│   └── 完整性校验
├── 防护能力
│   ├── 防窃听
│   ├── 防篡改
│   ├── 防重放
│   └── 身份验证
└── 难以窃听 ✅

D. TACACS+认证后的连接:

TACACS+(Terminal Access Controller Access-Control System Plus):
├── 功能
│   ├── AAA服务
│   ├── 认证(Authentication)
│   ├── 授权(Authorization)
│   └── 计费(Accounting)
├── 安全特性
│   ├── 认证过程加密
│   ├── 密码保护
│   └── 访问控制
├── 局限性
│   ├── 只保护认证过程
│   ├── 数据传输可能明文
│   ├── 依赖底层协议
│   └── 不提供端到端加密
└── 仍可能被窃听 ❌

8.4 HTTPS加密原理

HTTPS工作流程:

sequenceDiagram participant C as 客户端 participant S as 服务器 Note over C,S: TLS握手 C->>S: ClientHello(支持的加密套件) S->>C: ServerHello(选择的加密套件) S->>C: 服务器证书 S->>C: ServerHelloDone Note over C: 验证证书 C->>S: ClientKeyExchange(加密的预主密钥) C->>S: ChangeCipherSpec C->>S: Finished(加密) S->>C: ChangeCipherSpec S->>C: Finished(加密) Note over C,S: 加密通信开始 C->>S: 加密的HTTP请求 S->>C: 加密的HTTP响应 Note over C,S: 窃听者无法解密

HTTPS安全保障:

安全特性 实现方式 防护效果
保密性 TLS/SSL加密 防止窃听
完整性 MAC校验 防止篡改
认证性 数字证书 防止冒充
不可否认 数字签名 防止抵赖

九、Unix系统文件权限

9.1 Unix文件权限解析

⚠️ Unix权限解读误区

对于权限字符串"-rwxr-xr-x",常见的错误理解是认为其他用户“只可以执行”文件。实际上,最后三位"r-x"表示其他用户拥有读取和执行两项权限。完整解读:第一位"-"表示普通文件,"rwx"表示拥有者可读写执行,中间的"r-x"表示所属组可读和执行,最后的"r-x"表示其他用户也可读和执行。

9.2 Unix文件权限详解

权限字符串解析:

-rwxr-xr-x
│││││││││└─ 其他用户执行权限(x)
││││││││└── 其他用户写权限(-)
│││││││└─── 其他用户读权限(r)
││││││└──── 所属组执行权限(x)
│││││└───── 所属组写权限(-)
││││└────── 所属组读权限(r)
│││└─────── 拥有者执行权限(x)
││└──────── 拥有者写权限(w)
│└───────── 拥有者读权限(r)
└────────── 文件类型(-表示普通文件)

完整信息解析:

graph TB A["-rwxr-xr-x 3 root root 1024 Sep 13 11:58 test"] B["文件类型和权限
-rwxr-xr-x"] C["链接数
3"] D["拥有者
root"] E["所属组
root"] F["文件大小
1024字节"] G["修改时间
Sep 13 11:58"] H["文件名
test"] A --> B A --> C A --> D A --> E A --> F A --> G A --> H B --> B1["- 普通文件"] B --> B2["rwx 拥有者权限"] B --> B3["r-x 组权限"] B --> B4["r-x 其他用户权限"] style B fill:#e3f2fd,stroke:#1976d2

9.3 权限详细分析

三组权限:

权限组 权限字符 读® 写(w) 执行(x) 说明
拥有者 rwx 完全控制
所属组 r-x 读和执行
其他用户 r-x 读和执行

选项分析:

A. 这是一个文件,而不是目录 ✅
   - 第一个字符是"-"表示普通文件
   - 如果是"d"则表示目录
   - 如果是"l"则表示符号链接

B. 拥有者可以读、写和执行 ✅
   - 拥有者权限:rwx
   - r:可读
   - w:可写
   - x:可执行

C. 所属组成员可以读和执行 ✅
   - 组权限:r-x
   - r:可读
   - -:不可写
   - x:可执行

D. 其他用户只可以执行 ❌ 错误
   - 其他用户权限:r-x
   - r:可读 ✅
   - -:不可写
   - x:可执行 ✅
   - 不是"只能执行",而是"可读和可执行"

9.4 文件类型标识

第一个字符的含义:

字符 文件类型 说明
- 普通文件 常规文件
d 目录 Directory
l 符号链接 Symbolic Link
b 块设备 Block Device
c 字符设备 Character Device
p 命名管道 Named Pipe (FIFO)
s 套接字 Socket

9.5 权限修改

chmod命令:

# 符号模式
chmod u+x test      # 给拥有者添加执行权限
chmod g-w test      # 移除组的写权限
chmod o=r test      # 设置其他用户只读
chmod a+r test      # 给所有人添加读权限

# 数字模式
chmod 755 test      # rwxr-xr-x
chmod 644 test      # rw-r--r--
chmod 777 test      # rwxrwxrwx
chmod 600 test      # rw-------

# 数字权限计算
# r=4, w=2, x=1
# rwx = 4+2+1 = 7
# r-x = 4+0+1 = 5
# r-- = 4+0+0 = 4

十、Unix系统配置文件

10.1 /etc/services文件

📝 /etc/services文件作用

/etc/services文件记录了服务名称与端口号的映射关系,例如http对应80/tcp、ssh对应22/tcp等。应用程序可以通过查询这个文件来获取服务对应的端口号。需要区分其他配置文件:/etc/inetd.conf决定inetd启动哪些服务,/etc/inittab定义系统运行级别,/etc/rc.d/目录包含启动脚本。

10.2 /etc/services文件详解

/etc/services文件内容:

# /etc/services示例
# 格式:服务名  端口号/协议  [别名]  [注释]

ftp-data    20/tcp
ftp         21/tcp
ssh         22/tcp                  # SSH Remote Login Protocol
ssh         22/udp
telnet      23/tcp
smtp        25/tcp    mail          # Simple Mail Transfer Protocol
domain      53/tcp                  # Domain Name Server
domain      53/udp
http        80/tcp    www           # World Wide Web HTTP
https       443/tcp                 # HTTP over TLS/SSL
mysql       3306/tcp                # MySQL

文件作用:

graph LR A["应用程序"] B["/etc/services"] C["端口号"] A -->|"查询服务名"| B B -->|"返回端口号"| A A -->|"使用端口"| C A1["getservbyname()"] --> B B --> A1 style B fill:#e3f2fd,stroke:#1976d2

10.3 相关配置文件对比

Unix/Linux重要配置文件:

文件 作用 示例内容
/etc/services ✅ 服务名和端口映射 http 80/tcp
/etc/inetd.conf 决定inetd启动哪些服务 ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd
/etc/inittab 系统运行级别和启动 id:3:initdefault:
/etc/rc.d/ 启动脚本目录 rc0.d, rc1.d, …
/etc/hosts 主机名和IP映射 127.0.0.1 localhost
/etc/resolv.conf DNS配置 nameserver 8.8.8.8

选项分析:

A. 记录服务和端口的对应关系 ✅
   - /etc/services的主要功能
   - 服务名 → 端口号/协议
   - 例如:http → 80/tcp

B. 决定inetd启动哪些服务 ❌
   - 这是/etc/inetd.conf的功能
   - 或者/etc/xinetd.d/目录下的配置

C. 定义系统运行级别 ❌
   - 这是/etc/inittab的功能
   - 或者systemd的target配置

D. 包含启动脚本 ❌
   - 这是/etc/rc.d/或/etc/init.d/目录
   - 包含各种服务的启动脚本

十一、电子邮件安全标准

11.1 邮件安全相关标准

📧 邮件相关标准辨析

在邮件安全相关标准中,X.500与电子邮件系统无关。X.500是ITU-T制定的目录服务标准,用于分布式目录信息查询,LDAP就是基于X.500的简化版本。相比之下,PEM和PGP都是邮件加密和签名标准,X.400是OSI邮件系统标准,它们都与电子邮件直接相关。

11.2 邮件相关标准详解

邮件安全标准对比:

graph TB A["邮件相关标准"] B["✅ 邮件安全"] C["✅ 邮件协议"] D["❌ 目录服务"] A --> B A --> C A --> D B --> B1["PEM
Privacy Enhanced Mail"] B --> B2["PGP
Pretty Good Privacy"] B --> B3["S/MIME
Secure MIME"] C --> C1["X.400
邮件系统标准"] C --> C2["SMTP
简单邮件传输协议"] C --> C3["IMAP/POP3
邮件接收协议"] D --> D1["X.500
目录服务标准"] style B fill:#c8e6c9,stroke:#2e7d32 style C fill:#e3f2fd,stroke:#1976d2 style D fill:#ffcdd2,stroke:#c62828

11.3 各标准详解

A. PEM (Privacy Enhanced Mail):

PEM - 隐私增强邮件:
├── 功能
│   ├── 邮件加密
│   ├── 数字签名
│   ├── 消息完整性
│   └── 发件人认证
├── 特点
│   ├── IETF标准
│   ├── 基于X.509证书
│   ├── 使用DES加密
│   └── 较少使用
└── 与邮件相关 ✅

B. PGP (Pretty Good Privacy):

PGP - 优良保密协议:
├── 功能
│   ├── 邮件加密
│   ├── 数字签名
│   ├── 文件加密
│   └── 密钥管理
├── 特点
│   ├── 广泛使用
│   ├── 信任网模型
│   ├── 公钥加密
│   └── 开源实现(GPG)
└── 与邮件相关 ✅

C. X.500:

X.500 - 目录服务标准:
├── 功能
│   ├── 目录服务
│   ├── 信息查询
│   ├── 层次结构
│   └── 分布式数据库
├── 特点
│   ├── ITU-T标准
│   ├── 复杂的协议
│   ├── LDAP基于X.500
│   └── 用于目录服务
└── 与邮件无关 ❌

D. X.400:

X.400 - 邮件系统标准:
├── 功能
│   ├── 邮件传输
│   ├── 邮件存储
│   ├── 邮件访问
│   └── 地址格式
├── 特点
│   ├── ITU-T标准
│   ├── OSI协议栈
│   ├── 复杂但功能强大
│   └── 主要用于政府和企业
└── 与邮件相关 ✅

11.4 X.500与LDAP

X.500和LDAP的关系:

graph LR A["X.500
目录服务标准"] B["DAP
Directory Access Protocol"] C["LDAP
Lightweight DAP"] D["应用"] A --> B B -->|"简化"| C C --> D B --> B1["复杂
完整功能"] C --> C1["简化
易于实现"] D --> D1["Active Directory"] D --> D2["OpenLDAP"] D --> D3["邮件地址簿"] style A fill:#e3f2fd,stroke:#1976d2 style C fill:#c8e6c9,stroke:#2e7d32

十二、域名注册信息查询

12.1 Whois数据库

🌐 域名信息查询

域名注册信息存储在Whois数据库中,包括注册人、联系方式、注册日期、过期日期等详细信息。DNS记录只包含域名解析信息(如IP地址、邮件服务器),不包含注册信息。路由表用于网络路由,MIBs库用于SNMP设备管理,它们都与域名注册信息无关。

12.2 各选项对比

信息来源对比:

选项 包含的信息 用途 与域名注册的关系
Whois数据库 ✅ 注册人、联系方式、注册日期 域名注册信息查询 直接相关
DNS记录 IP地址、邮件服务器 域名解析 只有解析信息
路由表 网络路由信息 数据包转发 无关
MIBs库 SNMP管理信息 设备管理 无关

Whois查询示例:

# 命令行查询
whois example.com

# 查询结果示例
Domain Name: EXAMPLE.COM
Registry Domain ID: 2336799_DOMAIN_COM-VRSN
Registrar: RESERVED-Internet Assigned Numbers Authority
Creation Date: 1995-08-14T04:00:00Z
Expiration Date: 2024-08-13T04:00:00Z

Registrant Organization: Internet Assigned Numbers Authority
Registrant State/Province: CA
Registrant Country: US
Registrant Email: noreply@iana.org

Admin Organization: Internet Assigned Numbers Authority
Tech Organization: Internet Assigned Numbers Authority

Name Server: A.IANA-SERVERS.NET
Name Server: B.IANA-SERVERS.NET

十三、Smurf攻击防护

13.1 Smurf攻击与防护

🛡️ Smurf攻击防护

网络管理员使用"no ip directed-broadcast"命令可以有效防御Smurf攻击。该命令禁止路由器将定向广播包转换为链路层广播,从而防止网络被用作放大攻击的中继。Smurf攻击利用ICMP回显请求和广播地址,将少量攻击流量放大成大量响应流量,消耗目标网络带宽。(Smurf攻击的详细原理和防护措施可参考CISP-Network-Attacks-Security-Operations指南)

十四、Fuzz测试

14.1 Fuzz测试特性

⚠️ Fuzz测试误解

关于Fuzz测试的常见误解是认为它是“一种试探性测试方法,没有任何理论依据”。实际上,Fuzz测试具有坚实的理论基础,包括软件缺陷理论、测试方法论、输入生成策略和覆盖率理论。Fuzz测试的正确特性包括:主要针对软件漏洞或可靠性错误进行测试,采用大量测试用例,以及利用构造畸形的输入数据引发被测试目标产生异常。

14.2 Fuzz测试详解

Fuzz测试的正确特性:

graph TB A["Fuzz测试特性"] B["✅ 正确特性"] C["❌ 错误理解"] A --> B A --> C B --> B1["针对漏洞和可靠性"] B --> B2["大量测试用例"] B --> B3["构造畸形输入"] B --> B4["基于理论基础"] C --> C1["没有理论依据"] C --> C2["纯粹试探"] style B fill:#c8e6c9,stroke:#2e7d32 style C fill:#ffcdd2,stroke:#c62828

Fuzz测试的理论基础:

Fuzz测试理论基础:
├── 软件缺陷理论
│   ├── 输入验证缺陷
│   ├── 边界条件错误
│   ├── 异常处理不当
│   └── 资源管理问题
├── 测试方法论
│   ├── 黑盒测试
│   ├── 灰盒测试
│   ├── 白盒测试
│   └── 变异测试
├── 输入生成策略
│   ├── 随机生成
│   ├── 基于模板
│   ├── 基于语法
│   └── 基于变异
└── 覆盖率理论
    ├── 代码覆盖
    ├── 路径覆盖
    ├── 分支覆盖
    └── 条件覆盖

Fuzz测试类型:

类型 方法 优点 缺点
随机Fuzz 随机生成输入 简单快速 覆盖率低
基于模板 使用输入模板 针对性强 需要了解格式
基于变异 变异有效输入 效率较高 依赖种子质量
基于语法 根据语法生成 覆盖率高 实现复杂

十五、总结

15.1 核心知识点回顾

🎯 关键要点

应急响应组织:

  • CERT是计算机应急响应小组的简称
  • FIRST是国际CERT协作组织
  • 多组件事故需要集中日志和关联分析

DoS攻击:

  • DoS导致资源耗尽,不是系统破坏
  • 影响网络、主机、应用三个层次
  • 攻击停止后可以恢复

中国信息安全管理:

  • 方针:积极防御、综合防范
  • 手段:法律、管理、技术
  • 责任:谁主管谁负责、谁经营谁负责

TC260:

  • 我国信息安全标准化技术委员会
  • WG7负责信息安全管理
  • 制定国家信息安全标准

审计系统:

  • 三个组成:日志记录、日志分析、日志报告
  • 完整的审计流程
  • 支持事件检测和合规

OSI安全服务:

  • 会话层提供保密性、身份鉴别、数据完整性
  • 不同层次提供不同安全服务

安全传输:

  • HTTPS使用TLS/SSL加密,难以窃听
  • FTP、TELNET明文传输,易被窃听
  • TACACS+只保护认证,数据可能明文

Unix系统:

  • 文件权限:rwx分别表示读、写、执行
  • /etc/services记录服务名和端口映射
  • 理解权限字符串的含义

邮件安全:

  • PEM、PGP、X.400与邮件相关
  • X.500是目录服务,与邮件无关

域名信息:

  • Whois数据库包含域名注册信息
  • DNS记录只包含解析信息

Fuzz测试:

  • 基于理论基础,不是纯试探
  • 针对漏洞和可靠性测试
  • 使用大量畸形输入

15.2 考试要点

💡 考试提示

组织和标准:

  • 记住CERT、FIRST等组织的全称
  • 了解TC260的工作组职责
  • 掌握我国信息安全管理方针

技术概念:

  • 区分DoS的影响和破坏性攻击
  • 理解审计系统的三个组成部分
  • 掌握OSI各层的安全服务

系统配置:

  • 熟悉Unix文件权限表示
  • 了解重要配置文件的作用
  • 掌握安全配置方法

安全协议:

  • 区分邮件安全标准
  • 理解HTTPS的加密保护
  • 了解各种协议的安全性

相关资源:

  • CERT/CC官网
  • FIRST官网
  • TC260标准文档
  • NIST安全标准
  • Unix/Linux系统管理手册
分享到