信息安全学习笔记(5)

两天没来写了,不是偷懒噢,而是前两天学习的主要是前沿技术的东西,都是大学的时候学过的,所以也没有太多可以记的。相关知识都可以在云计算,物联网,操作系统等课程中学到。

大概列个提纲吧:

云计算

架构部署模式:公有云,私有云,团体云,混合云

按业务交付模式:Software as a Service,SaaS;Platform as a Service,PaaS;Infrastructure as a Service,IaaS。

动态资源调配:网络资源,计算资源,存储资源,安全资源。

与Google的服务器群组不太一样,虚拟化技术是现在云计算的基础

云计算安全威胁:旁路边界防护,多用户滥用,跳板攻击,管理员权限滥用,未加固虚拟镜像

云计算安全建设:缺乏统一标准,虚拟机之间的攻击,不同安全级别的服务,

—–

物联网技术

—–

信息安全

PS:老师用note II就可以在局域网内session劫持,还是很可怕的

wifi密码设置WPA2要比WPA安全,WEP是最不安全的

—–

系统安全

WIndows,Linux,应用安全,web安全等

邮件系统中使用PGP,是RSA公钥加密

—–

访问控制中:

强制型访问控制有

BLP-保密性

Biba和Clark wilson-完整性

Chinese wall-混合型

访问控制矩阵 – 自主型访问控制:ACL和CL

—–

BLP模型中,简单规则是,向下读,不能向上读(S读O,S》O)

*-规则是,向上写,不能向下写(S写O,O》S)

Biba模型中,完整性的,向上读,向下写

—–

单点登陆,Kerberos协议,获得票据许可票据,获得服务许可票据,获得服务

集中式访问控制技术:RADIUS,TACACS,TACACS+,Diameter

审计是一次性,周期性的,三个部分:日志记录器,分析器,通告器

监控是实时的

—–

CISP知识体系

信息安全保障概述:信息安全基本知识,信息安全基本实践

信息安全技术:密码技术,访问控制与审计,网络安全,系统安全,应用软件安全,安全攻防,软件安全开发

信息安全管理:信息安全管理体系,信息安全风险管理,信息安全管理措施

信息安全工程:信息安全工程原理,信息安全工程实践

信息安全标准法规:信息安全法规与政策,信息安全标准,信息安全道德规范

—–

信息是一种资产,具有价值

信息安全就是保护信息的保密性,完整性和可用性

信息安全管理的相关标准27000系列:27001,引入PDCA模型,是信息安全体系要求

27002,7799-1,17799都是实践准则

27003,信息安全管理实施指南

信息安全管理体系:ISMS,Information Security Management System,从风险评估开始

—–

PDCA模型,又叫戴明环,规划和建立Plan,实施和运行Do,监视和评审Check,保持和改进Action

特点是:循环,组织部分,个人均可采用,阶段总结

风险就是威胁利用脆弱性对资产造成不良后果

项目      风险管理     风险评估

目的:降低风险      确定风险等级

周期:所有阶段      单个阶段

计划:PDCA            按需要

—–

风险管理内容:建立背景,风险评估,风险处理,批准监督;监控审查,沟通咨询

常用风险处置方法:减低风险,转移风险,规避风险,接受风险

风险管理贯穿信息系统生命周期:规划,设计,实施,运维,废弃

—–

应急响应的六个阶段:准备,确认,遏制,根除,恢复,跟踪

信息安全应急响应编制方法:总则,角色及职责,预防和预警机制,应急响应流程,应急响应保障措施,附件

信息安全事件分级方法:系统损失,社会影响,信息系统的重要程度

灾难恢复规划的过程阶段:风险分析,业务影响分析,确定灾难恢复目标,制定恢复策略,灾难恢复策略的实现,灾难恢复预案的制定、落实和管理

信息安全学习笔记(4)

七、网络安全

链路层=》物理寻址

网络层=》逻辑寻址

传输层=》应用寻址

应用层=》语义

协议是网络中计算机或设备之间进行通信的一系列规则的集合

ISO/OSI七层模型 《==》 四层模型(网络接口层,网络层,传输层,应用层)

TCP/UDP协议,报文中有端口号,直接对应应用

IP协议是无连接,不可靠的

链路层,有MAC地址

—–

IPV6的安全特性:地址数量大,强制IPSEC加密,128位

无线网络安全:802.11和wapi无线网络协议原理及安全特性

BSS->ESS,保证网络不断

安全性能:WPA2 》 WPA 》 WEP

WAPI三元安全架构,802.11i,802.11x,强制加密

3G(TD-SCDMA,CDMA2000,WCDMA)网络原理

—–

网络架构安全

网络安全域,网络边界划分,安全分级保护

IP地址包括网络标识和主机标识,使用子网掩码分开

无分类编址CIDR

—–

网络安全设备

防火墙:边界设备,访问控制

防火墙的功能:静态,动态地址转换,端口地址转换

防火墙分类:包过滤(网络传输),应用代理(应用协议),状态检测(传输)

越底层,开销越小,效率越高

工作模式:路由模式,透明模式,混合模式(可切换,不共存)

包过滤技术:只分析IP,TCP/UDP协议,对用户透明,处理较快,缺点是不能识别应用

应用网关或代理:可检查应用层、技术和协议,缺点是对用户不透明,支持应用有限

—–

入侵检测技术

功能:监视网络流量,Network IDS, Host IDS

以旁路的方式接入到网络中

其他网络安全技术:网闸,入侵防御系统IPS,安全管理平台SOC,统一威胁管理系统UTM等

入侵防御系统IPS=IDS+防火墙,透明方式串联接入网络中

—–

八、安全攻防

攻击的过程:踩点,定位,入侵,留后门,抹去痕迹

DNS欺骗

DNS两种工作模式:递归模式,迭代模式

—–

拒绝服务式攻击,Denial of Service,DoS

分布式DoS,DDoS,借刀杀人

缓存溢出与网页脚本安全

计算机取证

推荐超好看都市言情总裁虐恋小说 – 《假戏真爱》 – 磨铁中文网

假戏真爱

《灵媒苏小小》作者转型巨作,都市言情小说《假戏真爱

磨铁中文网首发,地址http://www.motie.com/book/22350

十三年前,母亲忽然死于一场莫名的车祸,苏董事长终于承认她这个无依无靠的女儿。 四年前,相爱多年的青梅竹马背叛自己,食言离开。 两年前,苏雨晴迫于无奈,只有代替姐姐嫁给一个自己不爱的人——吴氏集团的公子吴墨。 一年前,雨晴走出背叛的阴影准备和吴墨过上自己幸福的小日子。 可是,一条神秘的短信却打破了她原有的宁静,诱惑她打开潘多拉的魔盒。 知道了她不该知道的,看到了她不想看到的。 常年不回国的姐姐忽然回来,说要要回属于自己的丈夫。 当初抛弃自己的旧爱突然回国,说要弥补自己的过错,重新来过。 夫妻间的误会,解不开的心结,雨晴要何以为继? 在这一切发生的同时,雨晴竟然发现,她所经历的一切都与十三年前母亲的死有关? 苏雨晴立誓,我要找回我的公道,找回属于我的爱人。

信息安全学习笔记(3)

五、信息安全保障基本知识

20世纪40-70年代,通信安全,加密,防窃听

20世纪70-90年代,计算机安全,口令,美国TCSEC橙皮书,计算机系统分级

20世纪90年代后,信息技术安全,防病毒,防火墙,VPN

现在到未来,信息安全保障,黑客,网络犯罪,信息战等

—–

信息安全指信息本身的机密性,完整性和可用性保持。

美国国防部定义,信息安全保障:完整性,可用性,鉴别性,机密性,抗抵赖性

网络安全模型,CC的信息技术安全模型(功能要求,保证要求)

P2DR模型:策略(响应,防护,检测)

安全包括:Safety和Security

—–

保障的含义,范围:通信安全,网络安全,数据安全;外部环境法律与政策,内部环境

信息安全保障模型:三维关系

生命周期:计划组织,开发采购,实施交付,运行维护,废弃

保障要素:技术,工程,管理,人员

安全特征:机密性,完整性,可用性

—–

信息系统安全保障评估框架:简介和一般模型,技术保障,管理保障,工程保障

—–

六、信息安全工程

信息安全建设必须同信息化建设“同步规划,同步实施”

生产过程的高质量和组织实施的成熟性可以以低成本地生产出高质量的产品

—–

信息系统安全工程能力成熟模型,SSE-CMM

描述了一个组织的系统安全工程过程必须包含的基本特征

完善安全工作的保证,系统安全工程实施的度量标准,评估框架

SSE-CMM覆盖整个产品或系统的生命周期

—–

过程区域,Process Area,PA,是过程的一种单位,由基本实施,BP组成

PA包括三类:工程、项目和组织

过程能力,Process Capability,度量方法

两维模型:域维(由所有定义的安全工程过程区域组成)和能力维(组织实施的能力)

基本实施BP有129个=》过程区域PA共22个=》过程分类

通用实践GP=》公共特征CF=》能力级别0-5级

域维-工程类PA有3种:风险过程,工程过程,保证过程

能力维:0级,未实施;1级,非正规执行;2级,规划和跟踪级;3级,充分定义级;4级,量化控制级;5级,持续改进级

—–

信息安全工程监理模型:

监理咨询阶段过程,控制和管理手段(三控两管一协调),监理咨询支撑要素

 

信息安全学习笔记(2)

昨天看《我是歌手》去了,今天又刚看完电影回来,赶紧补作业。。。

—–

三、恶意代码与安全漏洞

恶意代码类型有:二进制代码,二进制文件,脚本语言,宏等等

常见的主要是病毒、木马和蠕虫

传染的独立型恶意代码的危害性最大

传播方式主要有:主动放置、网页、邮件、漏洞、移动存储、共享、网络通讯、软件捆绑等

—–

恶意代码的关键技术:加载,隐蔽,生存

加载:启动项,注册表,服务,组策略,感染文件合并,浏览器插件,修改文件关联(修改注册表)等等

隐藏:进程迷惑,DLL注入,端口复用,无端口,流文件等

生存:进程守护,超级权限,反跟踪,反分析,模糊变换等

—–

恶意代码检测技术:模式匹配(病毒库,扫描;准确,易于管理,但是滞后,效率低),校验和(完整性保护),行为检测(能检测未知恶意代码,但误报率高)

另外还有恶意代码的分析技术,清除技术,预防技术和基于互联网的防御(蜜罐,云查杀等)

—–

信息安全漏洞,即脆弱性,类似于基因天生的缺陷,不可避免

漏洞是信息安全的核心,漏洞也是一种战略资源(美国提出:海,陆,空,太空,网络空间)

常用漏洞库:

CVE,通用漏洞披露,统一编号,是国际通用标准

NVD,采用CVE编号,扩充了一些属性,美国所有

Secunia,漏洞挖掘,曾和微软合作

CNNVD,中国本地化漏洞库

安装补丁是漏洞消减的技术手段之一,另外还可以安全加固

—–

四、软件安全开发

平均每1000行代码存在10到20个缺陷

用户应提出除交付期和软件功能之外的软件安全方面的压力

软件漏洞来源于:需求分析阶段,总体设计阶段,代码编制阶段

越早发现漏洞,越少的修复时间和开销

—–

安全开发周期,Security Development Lifecycle,SDL是微软提出的从安全角度指导软件开发过程的管理模式

七个阶段:培训,需求,设计,实现,验证,发布,响应

安全设计原则:最小特权原则,职责分离原则,纵深防御原则,默认安全原则,减少攻击面原则,心理可接受原则,隐私保护原则

减少攻击面,即减少入口点,包括网络输入输出和文件输入输出

威胁建模:了解系统面临的安全威胁,确定风险并通过措施来缓解

—–

软件安全开发:溢出攻击(数据代码不分,堆栈溢出数据变代码指令),跨站脚本(数据不要直传),SQL注入(对输入验证)

Fuzz测试,黑盒测试,构造畸形数据

找到所有入口点,权限分类,可访问点

任何的崩溃都是漏洞

 

下节学习:五、信息安全保障基本知识;六、信息安全工程

信息安全学习笔记(1)

一、密码学基础

密码学的发展:古典密码,近代密码,现在密码,公钥密码

古典和近代密码:算法不能公开,主要方法是代替和换位

现代密码:安全在于密钥而不是算法的保密

科克霍夫假设:密码分析者知道双方使用的密码系统,包括明文的统计特性、加解密体制等,唯一不知道的是密钥。

在理想密码系统中,密文的所有统计特性都与所使用的密钥独立:扩散和混乱方法

—–

密码算法分类:对称密码算法,非对称密码算法,哈希密码算法

对称密码算法:DES(56位),三重DES(168位),IDEA(128位),AES(128/192/256位)

对称密码算法优缺点:效率高,算法简单,系统开销小;适合加密大量数据;明文长度与密文长度相等;缺点是需要以安全方式进行密钥交换;密钥管理复杂

DES是应用最广泛的对称密码算法,IDEA在欧洲应用较多,AES将是未来最主要的最常用的对称密码算法

—–

单向陷门函数:单向的,但已知某个值时可以反向计算

非对称密码算法,即公钥密码算法:RSA,ECC,DH,DSA等

RSA公钥用来加密和签名校验,私钥用来解密和签名

DH算法主要用于密钥交换,DSA算法主要用来签名

公钥密码体制的优缺点:解决密钥传递的问题(公钥私钥成对,初始时可选择);减少密钥持有量;提供签名服务等;缺点是计算复杂,加密后密文变长

—–

哈希密码算法:MD5(128位),SHA1(160位);单向性,碰撞性,散列性

哈希密码算法生成等长摘要,可以附加消息鉴别码,即带key的Hash

数字签名使用哈希后的摘要用私钥加密,具有唯一性和可验证性

—–

二、密码学应用

PKI指公钥基础设施Public Key Infrastructure,利用公开密钥技术建立的提供信息安全服务的在线基础设施。利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全

CA即认证中心Certificate Authority,共同信任的第三方,为公钥签名,发放公钥证书

加密模型:使用对方的公钥加密,解决机密性问题

签名模型:使用自己的私钥签名,解决完整性和认证,抗抵赖问题

数字信封:使用公钥加密对称密钥,结合两种加密方法,融合了各自的优点

SSL协议即使用了各种加密方法:对称加密信息,非对称加密对称密钥,哈希校验和签名

PKI/CA组成:CA,RA,LDAP,App

CRL:证书撤销列表,也称“证书黑名单”

证书:格式X.509,主要包括:证书颁发机构,持有者名字,公钥,有效期,颁发机构签名

国内的CA不具备信息交互的功能,主要是解决完整性和抗抵赖性问题

—–

VPN在各层的应用:数据链路层,网络层,传输层,应用层

VPN隧道技术:L2TP,PPTP,IPSec,SSL

按体系结构分类VPN:网关到网关,主机到网关,主机到主机

VPN最主要就是在分组交换的公用网络上使用加密传输建立虚拟的专用网络

VPN的基本功能:加密数据,信息认证和身份认证,提供访问控制

 

下节学习:三、恶意代码及安全漏洞;四、软件安全开发