网络安全
文章平均质量分 84
weixin_39757802
这个作者很懒,什么都没留下…
展开
-
cssip 第11章 : 安全网络架构和保护网络组件
一个较便宜的、距离有限的和较慢的版本,称为铜线分布式数据接口(CDDI), 使用双绞 线电缆。由于ICMP的功能能常用于各种形式的基于带宽的DoS攻击,很多网络限制了ICMP的使用,或者限制其吞吐量。通过检查源和目标地址、应用程序使用清况、来源以及当前数据包与同一会话的先前 数据包之间的关系,状态检查防火墙能为授权用户和活动授予更广泛的访问权限,并主动监视 和阻止未经授权的用户和活动。网桥用千将两个网络(甚至是不同拓扑结构、布线类型和速率的网络)连接在一起, 以便连接使用相同协议的网段。原创 2024-01-08 17:02:48 · 594 阅读 · 0 评论 -
cissp 第10章 : 物理安全要求
钥匙(key)、密码锁(combination lock)、胸卡(badge)、动作探测器(motion detector)、入侵警报(intrusion alarm)等。专有系统”(Proprietary System) 与中心站系统类似,但是,拥有此类系统的组织,在现场会配备组织专属的安保人员,随时待命对安全事件进行响应。白噪声可以是来自于其他非保密信号源的真实信号,也可以是某个特定频率的恒定信号,或是一个随机变量信号,甚至是导致侦听设备失效的混杂信号。一个控制区可以是一个房间,一层楼,或是整栋建筑。原创 2024-01-05 16:01:21 · 1391 阅读 · 0 评论 -
CISSP 第9章:安全脆弱性、威胁和对策
安全层:当不同级别分类或灵敏度不同的设备被分在一组时,就存在安全层,从而对不同级别的分组进行隔离,逻辑隔离要求数据包使用不同的分类标签,物理隔离需要实现不同安全级别网络之间的网络分割和空间隔离。攻击者获得系统的权限并且在存储、处理、输入、输出或事物处理期间对数据进行细小的、随机的或增量的改变时,就会发生数据欺骗,数据欺骗是修改数据的方法,视为主动攻击。分层法:实现与用于操作系统的环模型类似的结构,并且能够应用于每一个操作系统进程,层与层之间的通信只能使用定义良好的特定接口,以提供必要的安全性。原创 2024-01-04 18:32:57 · 1174 阅读 · 0 评论 -
CISSP 第7章:PKI和密码学应用
链路加密和端到端的加密区别:链路加密中,所有的数据都会被加密,下一条重新解密然后加密,降低了路由速度,端到端的加密不加密头、尾、地址和路由数据,容易被嗅探和偷听者攻击。POODLE攻击(贵宾犬攻击)的攻击表明在TLS的SSL 3.0反馈机制中存在重大缺陷,很多机构放弃对SSL的支持,依靠TLS的安全性。生日攻击:冲突攻击或逆向散列匹配,寻找散列函数一一对应特性中的缺陷,基于两个不同的消息使用相同的散列函数产生共同的消息摘要的概率。频率分析和仅知密文攻击:拥有加密后的密文信息,即仅知密文攻击;原创 2024-01-03 17:39:27 · 552 阅读 · 0 评论 -
CISSP 第6章: 密码学与对称加密算法
零知识证明:零知识证明就是既能充分证明自己是某种权益的合法拥有者,又不把有关的信息泄露出去——即给外界的“知识”为“零”。常见对称密码系统:DES(数据加密标准)、3DES(三重数据加密标准)、IDEA(国际数据加密算法)、Blowfish、Skipjack、AES(高级加密标准)密码分组链接模式(CBC):未加密文本的每个分组使用DES算法加密前,都与前一密文分组进行异或操作。简单的将字母表中的每个字母替换成其后的三个字母,是单一字母的替代置换密码。原创 2024-01-03 10:49:10 · 1499 阅读 · 0 评论 -
CISSP 第5章 保护资产的安全
②数据存档是不再使用的数据集的副本,但需要保存以备将来使用。组织内的许多人管理、处理和使用数据,不同角色有不同的需求,定义数据角色,建立全生命周期的数据所有权,逐步建立数据可追溯性,确保数据质量和元数据的指标维持在一个基本水平之上。敏感数据是任何非公开或非机密的信息,包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。b.与任何个人过去、现在或将来的身体或心理健康或状况、向个人提供的医疗保健、或向个人提供医疗保健的过去、现在和将来的付款有关的信息。原创 2024-01-02 18:03:12 · 622 阅读 · 0 评论 -
CISSP 第4章:法律、法规和合规
UCITA 条款对先前可疑的收缩性薄膜包装许可证和单击包装许可证颁发行为提供了法律援助, 从而将它们变为有法律约束力的合同。UCITA 还要求生产制造者为软件用户提供选择,用户可以在完成安装过程之前拒绝许可证协议的条款, 并且能够收到软件订购价格的全额退款。PCI DSS 管理信用卡信息的安全, 并且有一个商业合同条款,在接受信用卡信息的业务与处理业务交易的银行之间强制执行。行为不应得到投权批准, 但是那些可能性很大的原因、受到誓词或证词支持的、特别描述的需要搜查的地方和需要被逮捕或扣押的人或物品除外。原创 2024-01-02 17:54:32 · 889 阅读 · 0 评论 -
CiSSP 第3章:业务连续性计划
来自每个运营和支持部门的代表,IT部门的技术专家,具备BCP技术的物理和IT安全人员,熟悉公司法律、监管和合同责任的法律代表,以及高级管理层的代表。业务影响评估过程的五个步骤是:确定优先级、风险识别、可能性评估、影响评估和资源优先级排序。BCP包括四个不同阶段:项目范围和计划,业务影响评估,连续性计划,计划批准和实施。原创 2024-01-02 15:19:29 · 413 阅读 · 0 评论 -
CISSP 第2章: 人员安全和风险管理概念
风险:某种威胁利用脆弱性并导致资产损害的可能性 风险 =威胁 * 脆弱性,安全的整体目标是消除脆弱性和㢟长威胁主体和威胁时间危机资金安全,从而避免风险称成为现实。岗位轮换:提供知识冗余,减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险,还提供同级审计,防止共谋。技术控制示例:认证、加密、受限端口、访问控制列表、协议、防火墙、路由器、入侵检测系统、阀值系统。威胁:任何可能发生的、为组织或某些特定资产带来所不希望的或不想要结果的事情。暴露因子(EF): 特定资产被已实施的风险损坏所造成损失的百分比。原创 2023-12-30 19:58:04 · 739 阅读 · 0 评论 -
CISSP 第1章:实现安全治理的原则和策略
是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。原创 2023-12-29 14:47:15 · 1227 阅读 · 0 评论 -
CSSIP
ailx10:【CISSP备考】2021年加油冲ailx10:【CISSP备考】4次模拟考试ailx10:【CISSP备考】线上冲刺测试ailx10:【CISSP备考】考前情报收集ailx10:【CISSP备考】一次通过ailx10:2021 CISSP 考后感言ailx10:CISSP 报名保姆级教程。原创 2023-12-29 11:00:44 · 1249 阅读 · 0 评论