訪問(wèn)控制模型:
- 訪問(wèn)控制分為自主訪問(wèn)控制(DAC)和非自主訪問(wèn)控制
1贪婉、自主訪問(wèn)控制- 自主訪問(wèn)控制允許客體的所有者突雪、創(chuàng)建者或數(shù)據(jù)保管者控制和定義主體對(duì)該客體的訪問(wèn)触机,所有客體都有擁有者,并且訪問(wèn)控制基于客體所有者的自由決定
- 訪問(wèn)控制列表关划、基于身份的訪問(wèn)控制屬于自主訪問(wèn)控制
2坡贺、非自主訪問(wèn)控制
- 非自主訪問(wèn)控制集中控制易于管理
1官辈、基于角色的訪問(wèn)控制- 基于角色(role-BAC)或基于任務(wù)的訪問(wèn)控制系統(tǒng)基于主體的角色或分配的任務(wù)定義主體訪問(wèn)對(duì)象的能力
- DAC和role-BAC的區(qū)別:DAC中客體所有者,所有者決定誰(shuí)有權(quán)訪問(wèn);role-BAC模型中遍坟,管理員確定主體特權(quán)拳亿,并將特權(quán)分配給角色或組
2、基于規(guī)則的訪問(wèn)控制 - 基于規(guī)則的訪問(wèn)控制(rule-BAC)使用一套規(guī)則政鼠、限制或過(guò)濾器來(lái)確定能有自己不能出現(xiàn)在系統(tǒng)上的東西风瘦,包括給與主體訪問(wèn)客體的權(quán)限,或授予主體執(zhí)行某個(gè)動(dòng)作的能力公般,rule-BAC的常見(jiàn)例子是防火墻
3万搔、基于屬性的訪問(wèn)控制 - 基于屬性的訪問(wèn)控制(ABAC):使用包括多個(gè)屬性的規(guī)則策略,適用于所有用戶的全局規(guī)則
4官帘、強(qiáng)制訪問(wèn)控(MAC) - 強(qiáng)制訪問(wèn)控制(MAC)模型依賴于分類標(biāo)簽的使用瞬雹,每個(gè)分類標(biāo)簽代表一個(gè)安全域或安全領(lǐng)域,安全域是共享公共安全策略的主客體集合
- 主體基于用戶的許可等級(jí)分配標(biāo)簽刽虹,客體由標(biāo)簽來(lái)表明他們的分類水平或敏感度
- MAC模型通常被稱為基于各自的模型酗捌,在公開(kāi)和敏感之間的區(qū)域包括標(biāo)記為敏感的客體(上限),具有平安標(biāo)記的用戶可以訪問(wèn)敏感數(shù)據(jù)
- MAC模型中使用隔離劃分使得“知其所需”原則變得必要,強(qiáng)制訪問(wèn)控制時(shí)禁止的而非許可使用隱式拒絕的哲學(xué)
- MAC模型中的分類使用三種環(huán)境
- 分層環(huán)境:有序結(jié)構(gòu)中的各個(gè)分類標(biāo)簽與堤安全等級(jí)胖缤、中安全等級(jí)和高安全等級(jí)相互聯(lián)系
- 隔離區(qū)分環(huán)境:一個(gè)安全域和另一個(gè)安全域之間沒(méi)有聯(lián)系
- 混合環(huán)境: 混合分層和隔離區(qū)分的概念
安全控制模型
Bell-LaPadula模型
- Bell-LapPadula模型的屬性
- 簡(jiǎn)單安全屬性: 規(guī)定主體不能讀取位于高敏感級(jí)別的信息(不能向上讀)
- 安全屬性:規(guī)定主體不能在較低敏感級(jí)別的客體上寫入信息(不能向下寫)
- 自主安全控制:使用訪問(wèn)控制矩陣來(lái)實(shí)施自主安全控制
Biba模型
- Biba模型關(guān)注完整性
- Biba模型的 基本屬性
- 簡(jiǎn)單安全屬性:規(guī)定主體不能讀取位于較低完整級(jí)別的客體(不能向下讀)
- 完整屬性尚镰,主體不能更改位于較高級(jí)完整性級(jí)別的客體(不能向上寫)
KerBeros
- 使用對(duì)稱秘鑰加密(秘鑰式密碼),使用的AES(對(duì)稱加密的高級(jí)加密標(biāo)準(zhǔn))哪廓,使用端對(duì)端的安全機(jī)制保障認(rèn)證通信的機(jī)密性和完整性
OSI七層模型
-
各層數(shù)據(jù)格式
image.png - 物理層
- 負(fù)責(zé)告訴協(xié)議如何應(yīng)用硬件來(lái)發(fā)送和接受比特的多種設(shè)備驅(qū)動(dòng)程序
- 接口協(xié)議:
- EIA/TIA-232和EIA/TIA-449
- X.21
- 高速串行接口(HSSI)
- 同步光網(wǎng)絡(luò)(SONET)
- V.24和V.25
- 數(shù)據(jù)鏈路層
- 負(fù)責(zé)將網(wǎng)絡(luò)層的數(shù)據(jù)包格式華為可以進(jìn)行傳輸?shù)倪m當(dāng)格式
- 數(shù)據(jù)鏈路層協(xié)議
- 串行線路的網(wǎng)絡(luò)協(xié)議(SLIP)
- 點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)
- 地址解析協(xié)議(ARP)
- 反向地址解析協(xié)議(RARP)
- 二層轉(zhuǎn)發(fā)協(xié)議(L2F)
- 二層隧道協(xié)議(L2TP)
- 點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)
- 綜合服務(wù)數(shù)字網(wǎng)絡(luò)(ISDN)
- 網(wǎng)絡(luò)層
- 負(fù)責(zé)向數(shù)據(jù)中添加路由和尋址信息
- 網(wǎng)絡(luò)層協(xié)議
- 網(wǎng)絡(luò)控制報(bào)文協(xié)議(ICMP)
- 路由信息協(xié)議(RIP)
- 開(kāi)放式最短路徑優(yōu)先(OSPF)
- 邊界網(wǎng)關(guān)協(xié)議(BGP)
- 網(wǎng)絡(luò)組管理協(xié)議(IGMP)
- 網(wǎng)際協(xié)議(IP)
- 網(wǎng)際協(xié)議安全(IPSec)
- 互聯(lián)網(wǎng)分組交換協(xié)議(IPX)
- 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)
- 網(wǎng)絡(luò)簡(jiǎn)單秘鑰管理協(xié)議(SKIP)
- 傳輸層
- 負(fù)責(zé)管理連接的完整性并控制會(huì)話
- 傳輸層協(xié)議:
- 傳輸控制協(xié)議(TCP)
- 用戶數(shù)據(jù)報(bào)協(xié)議(UDP)
- 順序數(shù)據(jù)包交換(SPX)
- 安全套接字層(SSL)
- 傳輸層安全(TLS)
- 會(huì)話層
- 負(fù)責(zé)兩臺(tái)計(jì)算機(jī)之間建立狗唉、維護(hù)和終止通信會(huì)話
- 會(huì)話層協(xié)議:
- 網(wǎng)絡(luò)文件查詢(NFS)
- 結(jié)構(gòu)化查詢語(yǔ)言(SQL)
- 遠(yuǎn)程過(guò)程調(diào)用(RPC)
- 通信會(huì)話模式
- 單工
- 半雙工
- 全雙工
- 表示層
- 將應(yīng)用層接受的數(shù)據(jù)轉(zhuǎn)換為遵守OSI模型的任何系統(tǒng)都能理解的格式
- 應(yīng)用層
- 負(fù)責(zé)將協(xié)議棧與用戶的應(yīng)用程序、網(wǎng)絡(luò)服務(wù)和操作系統(tǒng)連接在一起
IPSec
- IPSec通過(guò)公鑰密碼學(xué)提供加密涡真、訪問(wèn)控制分俯、不可否認(rèn)性以及消息身份認(rèn)證,一般使用IP協(xié)議
- IPSec重要組件
- 身份驗(yàn)證頭(AH)提供消息完整性和不可否認(rèn)性的保證哆料,AH還提供身份認(rèn)證和訪問(wèn)控制缸剪,防止重放攻擊
- 安全封裝有效載荷(ESP)提供數(shù)據(jù)包內(nèi)容的機(jī)密性和完整性,提供加密和有限的身份認(rèn)證东亦,防止重放攻擊
- IPSec兩種分離的操作模型
- 運(yùn)輸模式: 只有數(shù)據(jù)包有效載荷被加密杏节,這種模式為對(duì)等通信設(shè)計(jì)
- 隧道模式: 整個(gè)數(shù)據(jù)包都會(huì)加密,這個(gè)為網(wǎng)關(guān)間通信而設(shè)計(jì)
數(shù)據(jù)庫(kù)
數(shù)據(jù)庫(kù)安全
- 聚合:能夠?qū)⒁粋€(gè)或多個(gè)表中的記錄組合在一起讥此,以生成可能有用的信息拢锹,被稱為聚合谣妻,聚合攻擊收集大量低安全級(jí)別或低價(jià)值的事物萄喳,將他們集合起來(lái)創(chuàng)造較高安全級(jí)別或有價(jià)值的東西
- 嚴(yán)格控制對(duì)聚合函數(shù)的訪問(wèn)并充分估計(jì)可能展示給未授權(quán)個(gè)體的潛在信息
- 推理
- 利用幾個(gè)非敏感信息的組合,從而獲得對(duì)應(yīng)該屬于更高分類的信息訪問(wèn)能力
- 推理攻擊最好的防范就是對(duì)賦予個(gè)人用戶的特權(quán)保持持續(xù)浸提蹋半,使用混淆來(lái)防止對(duì)敏感信息的推理
- 數(shù)據(jù)挖掘
- 準(zhǔn)許分析人員對(duì)數(shù)據(jù)倉(cāng)庫(kù)進(jìn)行搜索他巨,從而尋找歷史數(shù)據(jù)中潛在的相關(guān)信息
數(shù)據(jù)庫(kù)開(kāi)發(fā)
- 關(guān)系數(shù)據(jù)庫(kù)是由行和列組成的平面二維表,關(guān)系數(shù)據(jù)庫(kù)的主要構(gòu)件是表(也稱為關(guān)系)减江,每個(gè)表都包含一組相關(guān)的記錄
- 每個(gè)屬性對(duì)應(yīng)表中的列染突, 每個(gè)用戶都具有自己的記錄或元祖,這些記錄或者元祖由表中的某行表示
- 關(guān)系中行的數(shù)量被視為基數(shù)辈灼,列的數(shù)量被視為度份企,關(guān)系的域是一組屬性可以采用的屬性值
- 單元抑制的概念是對(duì)單獨(dú)的數(shù)據(jù)庫(kù)字段或單元隱藏或加強(qiáng)更安全的約束
風(fēng)險(xiǎn)術(shù)語(yǔ)
- 資產(chǎn):加以保護(hù)的任何事物,是可用于商業(yè)過(guò)程和任務(wù)中的任何東西
- 資產(chǎn)估值: 根據(jù)實(shí)際的成本和非貨幣性支出為資產(chǎn)分配的貨幣價(jià)值
- 威脅: 任何可能發(fā)生的巡莹、為組織或某種特定資產(chǎn)帶來(lái)不希望的或不想要的事情
- 脆弱性: 資產(chǎn)防護(hù)中的弱點(diǎn)或防護(hù)措施/對(duì)策的缺乏
- 暴露: 由于威脅而容易造成資產(chǎn)損失司志,脆弱性會(huì)被或?qū)⑼{主體或威脅事件加以利用的可能性是存在的
- 風(fēng)險(xiǎn): 某種威脅利用脆弱性并導(dǎo)致資產(chǎn)損害的可能性
- 防護(hù)措施: 能消除脆弱性或?qū)Ω兑环N或多種特定威脅的任何方法
- 攻擊: 威脅主體對(duì)脆弱性的利用
-
破壞: 發(fā)生安全機(jī)制被威脅主體繞過(guò)或阻擾的事情
image.png
電力常見(jiàn)術(shù)語(yǔ)
- 故障:電力瞬間消失
- 中斷:電力完全消失
- 電壓不足:瞬間電壓降低
- 降壓: 長(zhǎng)時(shí)間低電壓
- 脈沖:瞬間高電壓
- 電涌: 長(zhǎng)時(shí)間高電壓
- 噪聲: 持續(xù)不斷的電源干擾
- 瞬時(shí)現(xiàn)象:短時(shí)間的線路雜音干擾
- 平穩(wěn): 完全平穩(wěn)的電流
- 節(jié)點(diǎn): 電路中的電線是接地的
運(yùn)動(dòng)探測(cè)儀
- 紅外探測(cè)儀:對(duì)監(jiān)控區(qū)域內(nèi)紅外照明模式的顯著變化進(jìn)行監(jiān)視
- 熱能型運(yùn)動(dòng)探測(cè)儀:對(duì)監(jiān)控區(qū)域內(nèi)的熱能等級(jí)和模式的顯著變化進(jìn)行監(jiān)視
- 波形運(yùn)動(dòng)探測(cè)儀: 對(duì)監(jiān)視的區(qū)域發(fā)射連續(xù)的弱超聲波或高頻微波,并且對(duì)反射波的顯著擾動(dòng)變化進(jìn)行監(jiān)視
- 電容運(yùn)動(dòng)探測(cè)儀:對(duì)被監(jiān)控物體周圍區(qū)域的電場(chǎng)或磁場(chǎng)變化進(jìn)行探測(cè)
- 光電運(yùn)動(dòng)探測(cè)儀:通常對(duì)沒(méi)有窗戶或保持昏暗的房間內(nèi)部使用
- 無(wú)源音頻運(yùn)動(dòng)探測(cè)儀:對(duì)被監(jiān)控區(qū)域內(nèi)的非正常聲音進(jìn)行偵聽(tīng)
引用監(jiān)視器和內(nèi)核
- 在準(zhǔn)許許可訪問(wèn)之前驗(yàn)證對(duì)每種資源的訪問(wèn)的這部分TCB被稱為引用監(jiān)視器降宅,引用監(jiān)視器是TCB的訪問(wèn)控制者
- 共同工作從而實(shí)現(xiàn)引用監(jiān)視器功能的TCB中組件的集合被稱為安全內(nèi)核骂远,安全內(nèi)核的目的是使用適當(dāng)?shù)慕M件實(shí)施引用監(jiān)控器的功能和抵抗所有已知的攻擊
- 可信計(jì)算機(jī)由硬件、軟件和控制方法組合形成了實(shí)施安全策略的可信任基準(zhǔn)
RADIUS
- 遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)器腰根,將用戶的憑證傳送給RADIUS服務(wù)器來(lái)認(rèn)證用戶的身份和權(quán)限激才,并對(duì)其進(jìn)行追蹤,RADIUS采用數(shù)據(jù)報(bào)協(xié)議UDP,只加密交換密碼而不會(huì)加密整個(gè)會(huì)話瘸恼,可以使用加密協(xié)議來(lái)對(duì)數(shù)據(jù)會(huì)話進(jìn)行加密
CHAP
- 身份認(rèn)證協(xié)議劣挫,對(duì)用戶名和密碼進(jìn)行加密,通過(guò)不能重放的挑戰(zhàn)對(duì)話來(lái)執(zhí)行身份認(rèn)證操作
TLS(安全傳輸層協(xié)議)
- 安全傳輸層協(xié)議包括TLS記錄協(xié)議和TLS握手協(xié)議
防火墻
- 靜態(tài)數(shù)據(jù)包過(guò)濾防火墻:靜態(tài)的數(shù)據(jù)包過(guò)濾防火墻通過(guò)檢查報(bào)文頭部的數(shù)據(jù)進(jìn)行通信過(guò)濾东帅,工作在OSI模型的第三層揣云,被稱為一代防火墻
- 應(yīng)用級(jí)網(wǎng)關(guān)防火墻:也稱代理防火墻,將數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)復(fù)制到另一個(gè)網(wǎng)絡(luò)的機(jī)制冰啃,被稱為第二代防火墻邓夕,工作在OSI模型的應(yīng)用層(第七層)
- 電路級(jí)網(wǎng)關(guān)防火墻:工作在OSI的會(huì)話層(第五層),基于通信電路的終點(diǎn)名稱(源地址阎毅,目的地址以及服務(wù)端口號(hào))來(lái)許可或拒絕轉(zhuǎn)發(fā)策略焚刚,第二代防火墻
- 狀態(tài)監(jiān)測(cè)防火墻:對(duì)網(wǎng)絡(luò)通信的狀態(tài)或環(huán)境進(jìn)行評(píng)估,查看源地址扇调、目的地址矿咕、應(yīng)用習(xí)慣、起源地址以及當(dāng)前數(shù)據(jù)包與同一會(huì)話先前數(shù)據(jù)包之間的關(guān)系狼钮,能夠積極的監(jiān)視和阻止未授權(quán)的用戶和活動(dòng)碳柱,被稱為第三代防火墻
安全模式
image.png
- 在這四種安全模式中多級(jí)模式暴露出最高的風(fēng)險(xiǎn)級(jí)別
- 所有用戶都必須擁有相同的安全許可,那么安全許可為相同
- 如果沒(méi)有被應(yīng)用熬芜,或雖然被應(yīng)用但是所有用戶對(duì)系統(tǒng)中存在的所有數(shù)據(jù)都具有“知其所需”權(quán)限莲镣,那么知其所需權(quán)限就為“無(wú)”
證據(jù)類型
- 次要證據(jù): 最佳證據(jù)內(nèi)容的證據(jù)副本或口頭說(shuō)明
- 直接證據(jù):通過(guò)基于證人五官感知收集信息的言辭證據(jù)或反駁特定行為的證據(jù)
- 傳聞證據(jù):其他人在庭外告訴證人的內(nèi)容所形成的證據(jù),沒(méi)有經(jīng)過(guò)系統(tǒng)管理員驗(yàn)證的計(jì)算機(jī)日志文件也可能被認(rèn)為傳聞證據(jù)
- 文檔證據(jù):所有帶到法庭上用于證明事實(shí)的書面內(nèi)容
- 言辭證據(jù): 包括證人證詞的證據(jù)
錯(cuò)題知識(shí)點(diǎn)記錄
1涎拉、旋轉(zhuǎn)門適合在沒(méi)有保安人員或無(wú)法保持持續(xù)監(jiān)視的輔助或側(cè)面出口
2瑞侮、FERPA(兒童教育權(quán)利和隱私法案)保護(hù)學(xué)生和未成年家長(zhǎng)的權(quán)利
3、創(chuàng)建數(shù)據(jù)庫(kù)備份的主要技術(shù)手段
- 電子鏈接:數(shù)據(jù)庫(kù)備份通過(guò)批量傳送的方式唄轉(zhuǎn)移到遠(yuǎn)處的某個(gè)場(chǎng)所
- 遠(yuǎn)程日志處理:以一種更加迅速的方式完成數(shù)據(jù)的傳輸鼓拧,通常每小時(shí)或間隔更短
- 遠(yuǎn)程鏡像:實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器在備份站點(diǎn)進(jìn)行維護(hù)
4半火、stuxnet攻擊是美國(guó)和以色列聯(lián)合行動(dòng),旨在破壞伊朗核行動(dòng)
5季俩、病毒技術(shù): - 復(fù)合病毒:使用多種傳播技術(shù)試圖滲透只防御其中一種方法的系統(tǒng)
- 隱形病毒: 通過(guò)對(duì)操作系統(tǒng)的實(shí)際篡改來(lái)欺騙反病毒軟件
- 多態(tài)病毒:通過(guò)連續(xù)改變特征使得特征型反病毒軟件包失效
- 加密病毒:使用密碼術(shù)來(lái)躲避檢測(cè)
6钮糖、操作安全三元組:資產(chǎn)、脆弱性和威脅之間的關(guān)系
7酌住、S/MIME支持的加密算法(RSA,AES,3DES店归、RC2)
8、第二次世界大戰(zhàn)赂韵,德國(guó)使用Enigma的商業(yè)編碼機(jī)娱节,日志使用的Japanese Purple Machine
