网络安全（补充）

1. 虚拟专用网中可以采用隧道技术
2. IPSec的加密和认证过程中所使用的密钥由IKE机制来生成和分发
3. 传输模式下的AH和ESP处理后的IP头部不变，而隧道模式下的AH和ESP处理后需要新封装一个新的IP头
4. SSL协议可分为两层，处于下层的是SSL记录
5. SSL握手协议，由三种协议组合而成，包含握手协议、密码规格变更协议及报警协议。其用途是在两个应用程序开始传送或接收数据前，为其提供服务器和客户端间相互认证的服务，并相互协商决定双方通信使用的加密算法及加密密钥
6. 属于第二层隧道协议的是PPTP和L2TP，第二层隧道协议中必须要求TCP/IP支持的是PPTP
7. IPSec VPN中，密码杂凑算法使用SHA-1算法，SM3密码杂凑算法，用于对称密钥生成和完整性校验。其中SM3算法的输出为256比特
8. SSL VPN算法及使用方法如下：非对称密码算法包括256位群阶ECC圆曲线密码算法SM2IBC标识密码算法SM9和1024位以上RSA算法
9. 分组密码算法为SM1算法，用于密码协商数据的加密保护和报文数据加密保护。该算法的工作模式为CBC模式
10. 密码杂凑算法包括SM3算法和SHA-1算法，用于密码生成和完整性校验
11. 状态迁移方法利用状态图标识攻击特征，不同状态刻画了系统某一时刻的特征
12. 基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。目前大部分IDS采用的是这种方法。Snort是典型的基于规则的误用检测方法的应用实例
13. 一个入侵检测系统主要由以下功能模块组成：数据采集模块（为入侵分析引擎模块提供分析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等）、入侵分析模块（依据辅助模块提供的信息<如攻击模式>根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生告警）、应急处理模块（发生入侵后，提供紧急响应服务，例如关闭网络服务、中断网络连接、启动备份系统等）、管理配置模块（为其他模块提供配置服务，是IDS系统中的模块与用户的接口）和相关的辅助模块（协助入侵分析引擎模块等工作，为它提供相应的信息，例如攻击特征库、漏洞信息等）
14. 恶意代码每感染一个客体对象时都会利用模糊变换技术使潜入宿主程序的代码不尽相同。尽管是同一种恶意代码，但仍然具有多个不同样本，几乎不存在稳定的代码，只采用基于特征的检测工具一般无法有效识别它们。模糊变换技术主要有：指令替换技术、指令压缩技术、指令扩展技术、伪指令技术、重编译技术。
15. 恶意代码靠采用反跟踪技术来提高自身的伪装能力和防破译能力，使检测与清除恶意代码的难度大大增加
16. 恶意代码的分析方法由静态分析方法和动态分析方法两部分构成。其中，静态分析方法有反恶意代码软件的检查、字符串分析和静态反编译分析等；动态分析方法包括文件监测、进程监测、注册表监测和动态反汇编分析等
17. 计算机病毒由三部分组成：复制传染部件、隐藏部件、破坏部件
18. 恶意代码防护产品的主要技术指标有恶意代码检测能力、恶意代码检测准确性、恶意代码阻断能力
19. 流量检测技术利用分布式多核硬件技术，基于深度数据包检测技术监测、快速识别隐藏在背景流量中的攻击包，以实现精准的流量识别和清洗
20. 流量回注是指将清洗后的干净流量回送给目标系统，用户正常的网络流量不受清洗影响
21. 当监测到网络攻击流量时，如大规模的DDOS攻击，流量牵引技术将目标系统的流量动态转发到流量清洗中心进行清洗。流量清洗既拒绝对指向目标系统的恶意流量进行路由转发，从而使得恶意流量无法影响到目标系统
22. 蜜罐主机技术包括空系统、镜像系统、虚拟系统
23. 数字水印利用人类的听觉、视觉系统的特点在图像、音频、视频中加入特定的信息，使人难觉察，而通过特殊方法和步骤又能提取所加入的特定信息。数字水印应用领域有：数字版权保护、票据防伪、证据篡改鉴定、数据侦测和跟踪、数据真伪鉴别等
24. 移动用户的隐私数据包括：用户身份信息、口令、用户位置信息、终端设备信息
25. 公众运营商信息属于公开信息，不需要被保护
26. 目前，隐私保护方法主要有k-匿名方法和查分隐私方法
27. K-匿名方法要求数据中的所有元组进行泛化处理，使得其不再与任何人一一对应，且要求泛化后数据中的每一条记录都要与至少多条其他记录完全一致
28. 域名劫持。黑客通过各种手段控制了域名管理密码和域名管理邮箱，然后将该域名的DNS记录指向黑客可以控制的服务器
29. 假设价值为40万的网站受到黑客攻击的概率为0.8，经济影响为2万元人民币，则该公司的网站安全风险量化值为1.6万元人民币
30. 网络安全风险评估准备的首要工作是确定评估对象和范围
31. 网络资产鉴定给出评估所考虑的具体对象，确认网络资产种类和清单，使整个评估工作的基础
32. 网络资产价值估算是某一具体资产在网络系统中的重要程度确认
33. 常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面
34. 计算机信息系统安全保护等级划分准则（GB 17859--1999）第四级 结构化保护级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体
35. 信息理论包含信息论、控制论、系统论、不包含博弈论
36. 木桶原则就是"木桶的最大容积取决于最短的一块木板"，攻击者必然在系统中最薄弱的地方进行攻击
37. 严禁直接使用境外的密码设备
38. 尽量避免使用境外的密码设备，必须采用境外信息安全产品时，该产品必须通过国家信息安全测评机构的认可
39. 严禁使用未经过国家密码管理部门批准和 未通过国家信息安全质量认证的国内密码设备
40. 严禁使用未经国家信息安全测评机构认可的信息安全产品
41. 端口扫描工具，如Nmap（开源）
42. 通用漏洞扫描工具，如X-Scan（开源）、绿盟极光（商用）、启明星辰天镜脆弱性扫描与管理系统（商用）、Nessus（开源）等
43. 数据库扫描，如SQLMap（开源）、Pangolin（开源）等
44. Web漏洞扫描，如AppScan（商用）、Acunetix Web Vulnerability Scanner（商用）等
45. 网络安全渗透测试是指在法律授权后，模拟黑客攻击网络系统，以发现深层次的安全问题。其主要工作有目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。常见的渗透测试集成工具箱有BackTrack5，Metasploit，Cobalt Strike等
46. 常用于进行入侵监测的工具和系统如下：网络协议分析器（Tcpdump，Wireshark）、入侵监测系统（开源入侵检测系统Snort，Suricata，Bro）、Windows系统注册表监测（regedit）、恶意代码检测（RootkitRevealer，ClamAV）、文件完整性检查（Tripwire，MD5sumo）
47. 桌面应急演练是指参演人员利用地图沙盘、离成都、计算机moni/ship会议等辅助手段，针对事先假定的演练情景，讨论和推演应急决策及现场处置的过程，从而促进相关人员行我应急预案中所规定的职责和程序，提高指挥决策和协同配合能力
48. 路由器是连接网络中各类局域网和广域网的设备，他会根据信道的情况自动选择和设定路由，以最佳路径按前后顺序发送信号的设备
49. IEEE802.3规定最小帧长为64字节，这个帧长是指从目标地址到校验和的长度