本文涵盖了信息系统安全的各个方面,从线程进程的区别到操作系统安全、数据库管理和风险评估。重点讨论了线程与进程、操作系统面临的安全威胁、SQLServer身份认证、数据库恢复机制、风险评估方法以及恶意代码如病毒、蠕虫和特洛伊木马的特性。内容还涉及了缓冲区溢出攻击的防范和SQL注入攻击的防御策略。
信息保障技术框架IATF
三要素:人,技术,操作,技术主要是PDRR保障体系:保护-检测-响应-恢复模型
系统的定义
1.有两个及以上的要素
2.系统的要素组成是有结构的
3.系统的功能大于要素的功能之和
第一章
以下那些是计算机信息系统?(计算机信息系统由硬件,软件,使用人员组成)
政府网站,银行业务系统,魔兽世界
“你自己的计算机”不是计算机信息系统
安全目标主要是机密性,完整性,可用性,不可否认性,认证
被动/主动攻击
被动攻击,破坏保密性
主动攻击破坏信息的保密性,完整性,可用性,有消息篡改
信息系统的层次结构顺序:硬件系统,BIOS系统,操作系统,数据库,应用软件
安全防护基本原则:整体性原则,分层性原则,最小特权原则,简单性原则
木桶理论是整体性原则
系统安全保障包括系统运行环境的安全
安全是动态过程
安全防御水平的提升需要考虑技术,管理和人的因素
第二章
密码学包括密码编码学(编码)和密码分析学(分析)
密码设计两个重要原则:扩散性,混淆性
密码分析方法:穷举法,分析法
下列密码算法安全性的说法正确的是
破译密文的代价超过被加密信息的价值;破译密文所花的时间超过信息的有用期;只有一次一密的密码系统才是不可破解的,没有绝对安全的密码算法
第三章 物理安全
物理安全包括环境安全,设备安全,介质安全,系统安全
机房的安全等级根据机房的使用性质,管理要求,在经济和社会中的重要性划分
环境安全面临的威胁:温度,湿度,灰尘
设备安全面临的威胁/防护:计算机硬件容易被盗(设备防盗),电磁泄露(′屏蔽技术,使用干扰器,滤波技术,采用低辐射设备,隔离和合理布局),电气与电磁干扰(接地,屏蔽,滤波)
可用性:系统在规定条件下,完成规定功能的能力
可靠性:在指定的时期内系统无故障地执行指定任务的可能性
容错技术:硬件容错,软件容错,数据容错,时间容错
容灾备份系统分类
数据容灾:建立一个异地的备份数据系统
应用容灾:在异地建立一套完整的,与本地数据系统相当的备份应用系统,可以保持业务的连续性,是更高层次的容灾系统
灾难恢复的指标:RPO恢复点目标,RTO恢复时间目标
第四章
口令认证过程:
-
用户标识
-
登录请求
-
用户鉴别
PKI为开放的Internet环境提供的安全服务有 认证,数据完整性,不可抵赖性,保密性,授权,可用性
用户标识符:序列号,手机号,邮箱,微信号
口令猜测的措施:严格限制从一个给定的终端进行非法认证的次数
一次性口令可以用来抵御口令嗅探,重放攻击,
最低0.47元/天 解锁文章
扫一扫
8万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
