- 博客(17)
- 收藏
- 关注
RSS订阅
1原创 NISP二级7.2 自动访问控制模型
有主型是对客体设置一个拥有者,它是唯一有权访问客体访问控制表(ACL)的主体。拥有者对其拥有的客体具有全部控制权,但无权将客体的控制权分配给其他主体。目前,这种控制方法已应用于许多系统中,如UNIX系统等。一个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制表的修改权,并且还可以使其对其他主体具有分配这种权力的能力。
2022-11-28 22:21:08
393
原创 NISP二级6.5kerberos体系
1985年由美国麻省理工学院开发,用于通信实体间的身份认证,1994年V5版本作为Internet标准草案公布基于对称密码算法为用户提供安全的单点登录服务包含可信第三方认证服务。
2022-11-28 21:45:16
241
原创 NISP二级6.1身份鉴别基础
使用两种(双因素鉴别)或两种以上鉴别方式的组合例如:网上银行的转账验证时,必须同时使用用户名密码(实体所知)和USB Key(实体所有)才能完成一次转账验证。访问控制机制的正确执行依赖于对用户身份的正确识别,标识和鉴别作为访问控制的必要支持,以实现对资源机密性、完整性、可用性及合法使用的支持。鉴别是将标识和实体联系在一起的过程确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体。被验证者P(Prover) :出示身份标识的人,又称声称者(Claimant)
2022-11-28 21:00:18
687
原创 NISP二级4.1应用与数据安全
http1.1提供摘要访问认证机制,采用MD5将用户名密码、请求包头等进行封装,但仍然不提供对实体信息的保护。例:IIS配置允许远程写入。请求响应机制决定http是一个无状态协议。Session解决方案带来的安全问题。软件漏洞,如缓冲区溢出、unicode解码漏洞等。复杂性和多样性使得安全问题也呈现出多样化的特点。例如: SQL注入,跨站脚本等。监控Web服务器上的页面文件,防止被篡改。IE、firefox、chrome等。PHP、JAVA、ASP等。
2022-11-27 20:44:28
143
原创 NISP二级3.3 操作系统安全与系统攻击
缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变。某开源软件xxxxjsp脚本存在漏洞,Google 搜索xxxx.jsp”可以找到存在此脚本的Web网站。缓冲区:缓冲区也称堆栈,是一种抽象的数据结构,物理上就是一段连续分配的内存空间。如果可精确控制内存跳转地址,就可以执行指定代码,获得权限或破坏系统。信息技术的发展使得数据大量被生产出来。目标系统的信息系统相关资料。指针是指向内存单元的地址。目标系统的组织相关资料。
2022-11-27 19:35:58
469
原创 NISP二级--操作系统安全
事件的日期和时间、代表正在进行事件的主体的唯一标识符、事件的类型、事件的成功与失败等。文件、目录、注册表项、动态目录对象、内核对象(如事件、信号量和互斥)、服务、线程、进程、Windows工作站和桌面等。安全标识符的组成包括:大写字母S、修订级别、颁发机构、第一个颁发子机构、其余颁发机构和相对标识符等。标识与鉴别、访问控制、最小特权管理、信道保护安全审计、内存存储保护、文件系统保护等。存储用户的登录名、登录的散列、用户ID、登录后使用的ShelI等信息。安全主体的代表(标识用户、组、计算机、服务等的。
2022-11-27 15:17:19
1117
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人