第1章 安全和风险管理
- 安全的目标是为数据和资源提供可用性、完整性和机密性保护。
- 脆弱性是系统中的弱点,威胁主体利用脆弱性危害组织的安全性。
- 威胁主体是某人或某物可能有意或无意地利用脆弱性,并对资产造成损害。
- 风险是威胁主体利用组织资产的脆弱性造成潜在损失的可能性。
- 安全对策,也称为防护措施或控制措施,可缓解风险。
- 安全控制措施可以是管理性的、技术性的或物理性的,并提供威慑性、预防性、检测性、纠正性、恢复性和补偿性保护。
- 补偿性控制措施是由于财务或业务运营职能原因而实施的替代性安全控制措施。
- COBIT 是一个控制目标的框架,适用于IT 治理。
- ISO/IEC 27001 是用于建立、实施、控制和改进信息安全管理体系的标准。
- The ISO/IEC27000 系列源自BS 7799 ,是国际上关于如何开发和维护安全计划的最佳实践。
- 企业架构框架为特定利益相关者在开发架构视图中展示信息。
- 信息安全管理体系(ISMS)是一系列策略、流程和系统的集合,用于管理ISO/IEC27001 中概述的信息资产风险。
- 企业安全体系结构是业务体系结构的一个子集,描述当前和未来安全流程、体系以及子结构。是保证战略一致性的一种方式。
- 蓝图是将技术集成到业务流程中的功能性定义。
- 企业架构框架用于构建各个组织需求和业务驱动因素结构的最佳映射。
- Zachman 框架是企业架构框架, SABSA 是安全企业架构框架。
- coso 内部控制-集成框架是一种治理模型,可防止公司环境中发生欺诈事件。
- ITIL 是一套IT 服务管理的最佳实践。
- 六西格玛用于识别流程中的缺陷,从而可持续改进和不断精简流程。
- CMMI 是一种成熟度模型,适用于以递增的和标准化方式改进流程。
- 安全企业架构应该与战略一致、支持业务以及增强流程和安全有效结合。
- NIST SP 800-53 使用以下控制类别:技术性、管理性和操作性。
- 民法法系使用预先编写的规则,而不是基于先例,与普通法系下的民事(侵权)法律有所不同。
- 普通法系由刑法、民法和行政法组成。
- 习惯法系统主要处理个人行为,并将地方传统和习俗作为法律的基础。通常与其他类型的法律体系混合使用,而不是在一个地区使用的唯一法律体系。
- 宗教法律体系的法律源于宗教信仰,并处理个人的宗教责任。
- 混合法律体系使用两个或更多法律系统。
- 刑法涉及处理个人违反政府法律行为,为保护公众而制定。
- 民法处理对个人或公司造成伤害或破坏的错误行为。民法的惩罚措施并不是判定某人的刑期,而通常是判罚经济赔偿。
- 行政或监管法律涵盖了政府机构对公司、行业和部分特定官员预期表现或行为的标准。
- 专利授予所有权,使该所有者能合法地执行其权利,防止其他人使用该专利所包含的发明。
- 版权保护思想的表达而不是思想本身。
- 商标保护用于识别产品或公司的文字、名称、产品形状、颜色或这些的组合形式。这些项目用于与竞争对手产品区分。
- 商业秘密是公司专有的,通常含有提供竞争优势的信息。只要所有者采取必要的保护措施,信息就会受到保护。
- Internet 犯罪给执法部门和法院带来司法管辖权问题。
- 隐私法规定政府机构必须公平合法地收集数据,且数据仅用于被收集的目的。保证使用时间合理、准确和及时。
- 在执行正确的安全控制措施缓解特定风险前,必须评估成本、功能和有效性,并执行成本/效益分析。
- 安全方针及策略是管理层授权安全角色在组织中发挥作用的声明。
- 程序是详细的操作步骤,应该遵循这些操作来完成某项任务。
- 标准是概述强制性规则并支持组织安全策略的文档。
- 基线是最低的安全级别。
- 指南是提供建议和灵活性的一般方法。
- OCTAVE 是一种以团队为导向的风险管理方法,采用研讨会形式,通常适用于商业领域。
- 安全管理应该自上而下(从高级管理层向下至普通职员)。
- 可以转移、规避、缓解(减少)或接受风险。
- 威胁X 脆弱性X 资产价值=总体风险。
- (威胁X 脆弱性X 资产价值) X 控制差距=残余风险。
- 风险分析的主要目标如下:识别资产并为其分配价值,识别脆弱性和威胁,量化潜在威胁的影响,并在风险影响和保障成本之间提供经济平衡。
- 失效模式和影响分析(FMEA)是一种通过结构化流程识别功能、分析功能故障以及评估故障原因和影响的方法。
- 故障树分析是用来检测复杂环境和系统中可能发生的故障的方法。
- 定量风险分析试图为分析组件分配货币价值。
- 无法进行纯粹的定量风险分析,因为定性条目无法被精确量化。
- 在进行风险分析时识别不确定性是十分重要的,因为它表明了团队和管理层在最终数据中应该具有的信心水平。
- 自动化风险分析工具减少了分析中的手动工作量,可用于估计未来预期损失并计算不同安全控制措施的效益。
- 单一损失预期X 年度发生率=年度损失预期(SLE X ARO=ALE)
- 定性风险分析使用主观直觉和判断,而不是数字。
- 定性风险分析需要有经验和受过培训的人来评估威胁场景,并需要根据个人经验对每种威胁的概率、潜在损失和严重程度进行评级。
- Delphi 技术是一种群体决策方法,每个群组成员都可匿名进行沟通。
- 岗位轮换是检测欺诈的检测性管理控制措施。
- 强制休假是一种检测性管理控制措施,可帮助组织发现欺诈活动。
- 职责分离确保任何一个人无法完全控制关键活动或任务。这是一种预防性管理控制措施。
- 知识分割和双重控制是职责分离的两个方法。
- 管理层必须定义安全管理的范围和目的,并提供资源支持,任命安全团队,委派责任并审计团队的调查结果。
- 风险管理团队应包括组织内不同部门的人员,而不应该只包括技术人员。
- 社交工程攻击(SEA)是一种非技术性攻击,旨在操纵某人向未经授权的个人提供敏感数据。
- 个人身份信息(PII)是一组基于身份的数据,可用于身份盗用和财务欺诈,因此必须受到高度保护。
- 供应链是一系列参与交付某些产品的供应商。
- 服务水平协议(SLA)是一种合同协议,用于说明服务提供商必须提供一定水平的服务。
- 安全治理是一个提供监督、可问责性和合规性的框架。
- ISO/IEC 27004:2016 是信息安全管理度量的国际标准。
- NIST SP 800-55 是信息安全绩效度量的标准。
- 业务连续性管理(Business Continuity Management, BCM)是管理BCP 和DRP 所有方面的方法。
- 业务连续性计划(Business Continuity Plan, BCP)包含一系列策略文档,这些文档提供了保证维护关键业务功能的详细过程,并有助于最大限度地挽救人员生命、确保业务持续运营以及保持业务系统正常运行。
- BCP 是一系列提供应急响应、扩展备份操作和灾难恢复的过程。
- BCP 应覆盖企业整个范围,每个组织有自己的详细连续性计划和应急计划。
- BCP 需要确定关键应用程序的优先级,并提供有效恢复的顺序。
- BCP 需要高级管理层支持计划启动和最终批准。
- 由于人员更替、组织重组和无变更文档等情况, BCP 很快就会过时失效。
- 如果没有制定和使用适当的BCP,管理人员可能要承担法律责任。
- 威胁可以是自然的、人为的或技术性的。
- 恢复计划的步骤包括启动项目、进行业务影响分析、制定恢复战略、制定恢复计划,以及实施、测试和维护计划。
- 项目启动阶段包括获得管理层支持、制定计划范围以及保证安全工作的资金和资源。
- 业务影响分析(BIA)是计划制定中最重要的第一步。需要收集、分析、解释并向管理层提供有关灾害业务影响的定性和定量数据。
- 得到管理层执行承诺和支持是制定BCP的最关键因素。
- 提交商业案例来获得管理层的支持。通过解释法律法规和监管要求、暴露脆弱性和提供解决方案来完成工作。
- 计划应由实际执行计划的人员准备。
- 计划团队应由来自于所有部门或组织单位的代表组成。
- BCP 团队应选定与外部参与者互动的个人,如记者、股东、客户和民事官员。应能够快速、诚实地应对灾难,并应该与其他组织的响应保持一致。
- ISO/IEC 27031:2011 描述了业务连续性的信息和通信技术(ICT)准备的概念和原则。
- ISO/IEC 22301 是业务连续性管理(BCM) 的标准。
第2章 资产安全
- 信息经历一个生命周期,以获取信息开始,到废弃结束。
- 评估信息生命周期每个阶段风险并选择控制措施时,都需要考虑不同的因素。
- 准备使用新信息前需要添加包括分级标签的元数据。
- 在使用数据复制技术的过程中,组织需要深思熟虑来确保数据的一致性。
- 数据聚合可能增加分级方案的敏感度水平。
- 在信息生命周期所有阶段都需要使用密码系统进行有效控制。
- 数据留存策略用于信息从归档阶段过渡到其生命周期的废弃阶段。
- 组织按信息的价值制定分级方案。
- 每个分级都应有关于如何独立的处理要求和流程,以说明如何访问、使用和销毁这些数据。
- 高级管理层要对公司的成败负责,包括安全问题。
- 数据所有者是负责特定业务单元的管理者,最终负责保护和使用这些信息。
- 数据所有者指定数据分级,数据托管者实施和维护数据分级的控制措施。
- 数据留存策略必须考虑法律法规和监管合规要求,以及组织的业务运营需求。
- 数据留存策略应确定留存那些数据,以及数据留存的位置、数据留存方式和数据留存时间。
- 电子取证(E-discovery)是指为法院或外部律师提供与诉讼程序相关的所有电子化存储信息(ESI)的过程。
- 普通的文件删除方式不会将文件从介质中永久移除。
- NIST SP 800-88rl 《介质脱敏指导原则》描述了清除数据残留的最佳实践。
- 覆写数据需要用1 和0 的随机数据或固定模式替换在存储介质上表示数据的1 和0,保证无法恢复原始数据。
- 消磁是去除或减少常规磁盘驱动器或磁带上的磁场的过程。
- 隐私权与组织的员工和客户的个人信息相关。
- 通常,组织只收集执行其业务所需的最少数量的个人数据。
- 静止状态数据是指驻留在外部或辅助存储设备,如留存在硬盘或光盘中的数据。
- 几乎所有主流操作系统都支持全盘加密功能,这是保护静止状态数据的好办法。
- 移动状态数据是指通过Internet 等数据网络在计算机节点之间传输数据。
- TLS 、IPSec 和VPN 是使用密码系统保护移动状态数据的经典方式。
- 处理状态数据是主存储设备(如RAM、内存缓存或CPU 寄存器)中的数据。
- 划定范围是指采用更广泛的标准并剔除无关或其他不需要的部分。
- 裁剪是指当组织在标准中对特定条款进行调整,以便能更好地满足组织的需求。
- 数据泄露意味着数据的机密性已受到损害。
- 数据防泄露(DLP)包括组织为防止未授权外部访问敏感数据而采取的行动。
- 网络数据防泄露(NDLP)将数据保护策略应用于移动状态数据。
- 终端节点数据防泄露(EDLP)将数据保护策略应用于静止状态数据。
- 移动设备极易丢失或失窃,应该预先配置以降低数据丢失或泄露的风险。
- 纸张通常含有与信息的敏感性和关键性相适应的、值得控制的信息。
第3章 安全架构与工程
- 系统架构是一种用于设计计算机系统,确保每个利益相关者的利益的正式工具。
- 系统架构由不同的视图组成,视图是系统组件及其关系的表示。每个视图处理系统不同方面的问题(功能、性能、互操作性、安全性)。
- ISO/IEC/IEEE 42010 是一个国际标准,概述了如何使用系统架构及其描述语言。
- CPU 包含一个控制单元,它控制指令和数据执行的时序;还包括一个ALU(算术逻辑单元),它执行算术功能和逻辑操作。
- 内存管理器使用不同内存保护机制,如基础(开始)和限制(结束)寻址、地址空间布局随机化和数据执行预防。
- 操作系统使用绝对(硬件地址)、逻辑(索引地址)和相对地址(索引地址,包括偏移量)的存储器方案。
- 缓冲区溢出漏洞最好通过边界检查来解决。
- 垃圾收集器是释放未使用的存储分段,防止“内存不足”的软件工具。
- 不同处理器家族在不同微架构中工作,以执行特定的指令集。
- 早期的操作系统被认为是“整体的”,因为所有代码都在一个层中工作,并以内核模式运行,组件之间以无序方式彼此通信。
- 操作系统可在以下架构中工作:一体化、层次化、微内核和混合微内核。
- 模式转换是指CPU 必须从执行一个在用户模式下运行的指令切换到另一个进程在内核模式下运行的指令。
- CPU 提供了一个环形架构,操作系统可在其中运行。更受信任的进程在编号较低的环中运行,并能访问所有或大部分系统资源。不受信任的进程运行在编号较高的环中,可访问的资源较少。
- 操作系统进程以特权模式(也称为内核或监管模式)执行,应用程序以用户模式(也称为“问题状态”)执行。
- 虚拟存储器结合了RAM 和辅助存储组合,因此系统似乎具有更大块的存储器。
- 安全机制越复杂,通常能提供的保证就越少。
- 可信计算基础(TCB)是直接执行安全策略并保护系统的系统组件集合。这些组件处于安全范围内。
- 组成TCB 的组件是硬件、软件和固件,它们提供某种类型的安全保护。
- 安全边界是一个虚构的边界,其中包含可信组件(组成TCB 的组件)和外部不可信组件。
- 访问监测是一个抽象的机器,确保所有主体在访问客体之前都具有必要的访问权限。因此,它协调主体对客体的所有访问。
- 安全内核是实际实施访问监测概念的机制。
- 安全内核必须隔离执行访问监测概念的进程,必须是防篡改的,必须为每次访问尝试进行调用,并且必须足够小,以便进行正确的测试。
- 进程需要进行隔离,这可通过分段内存寻址、对象封装、资源共享与时分复用、命名区分和虚拟内存映射来实现。
- 系统提供的安全级别取决于其安全策略的执行情况。
- 一个封闭的系统通常是制造商或供应商专有的,而一个开放系统允许更多的互操作性。
- 通用准则是为了提供全球公认的评估准则而制定的。
- 通用准则使用保护样板、安全目标和评级(EALl1至EAL7)为评估目标提供的安全保障。
- 认证是对系统或产品及其安全组件的技术评估。认可是管理层对系统提供的安全性的正式承认和接受。
- ISO/IEC 15408 是用来评估CC 框架下产品安全属性的国际标准。
- 进程隔离确保多个进程可同时运行,并且这些进程不会相互干扰或影响。
- TOC/TOU 表示检查时间和使用时间,这是一种异步攻击。
- 分布式系统是通过网络相互连接的多个计算节点的系统,它们交换信息来完成共同的任务。
- 云计算是使用共享的远程计算设备,以提供更高的效率、性能、可靠性、可扩展性和安全性。
- 软件即服务(SaaS)是一种云计算模型,为用户提供对在服务提供者环境中执行的特定应用程序的访问。
- 平台即服务(PaaS)是一种云计算模型,可让用户访问通常建立在服务器操作系统上的计算平台,而不是运行它的虚拟机。
- 基础架构即服务(Infrastructure as a Service, IaaS)是一种云计算模型,为用户提供了可无限制访问的云设备(如服务器实例),还包括操作系统和运行它的虚拟机。
- 并行计算指同时使用多台计算机,通过将某项任务划分到可用的计算机中来完成。
- 网络物理系统是指计算机和物理设备通过输入和输出的交换进行协作以完成任务或目标的系统。
- 密码学是一门通过将信息加密成不可读格式以对其保护的科学。
- 最著名的转子密码机是二战期间德国人使用的Enigma 机。
- 可读信息以明文形式存在,明文一旦加密,就以密文形式存在。
- 密码算法是规定加密和解密功能的数学规则。
- 密码分析学是对破解密码系统的研究。
- 抗抵赖性是指这样一种服务:确保发送方以后不会否认曾经发生过消息。
- 密钥集群是指不同密钥对同一明文加密可生成相同的密文。
- 可能的密钥所在的范围称为密钥空间。密钥空间越大,允许创建的随机密钥就越多,从而提供了更多保护。
- 对称密钥中使用的两种基本加密机制是替换和置换。替换密码就是使用不同的字符(或位)替换原来的字符(或位),置换密码则打乱原来的字符(或位)。
- 多字母密码使用多个字母来挫败频率分析。
- 隐写术是一种在其他介质类型(如图形、WAV 文件或文档)内隐藏数据的方法。此方法用于隐藏数据的存在。
- 密钥是插入加密算法中的随机位串。结果决定了在消息上执行什么加密功能以及以什么顺序执行。
- 在对称密钥算法中,发送方和接收方使用相同的密钥进行加密和解密。
- 在非对称密钥算法中,发送方和接收方使用不同的密钥进行加密和解密。
- 对称密钥过程为安全密钥分发和可扩展性带来了障碍。然而,对称密钥算法比非对称密钥算法运行得快得多。
- 对称密钥算法可提供机密性,但不能提供身份验证或抗抵赖性。
- 对称密钥算法的例子包括DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES。
- 非对称密钥算法用于加密密钥,对称密钥算法则用于加密批量数据。
- 非对称密钥算法比对称密钥算法慢得多,但可提供身份验证和抗抵赖性。
- 非对称密钥算法的例子包括RSA 、ECC 、Diffie-Hellman 、ElGamal 、Knapsack 和DSA 。
- 对称算法的两种主要类型是流密码和分组密码。流密码使用密钥流生成器,每次对消息加密一位。分组密码将消息分成几组位,并对它们分组进行加密。
- 许多算法是众所周知的,因此它们保密的部分是密钥。密钥为加密提供了必要的随机化。
- 数据加密标准(DES)是一种分组密码,将消息分为若干64 位分组,并在其上使用S盒类型的函数。
- 由于DES 密钥空间被成功打破,因此开发了三重DES(3DES)来代替它。3DES 具有48 轮计算,并且最多可以使用三个不同的密钥。
- 国际数据加密算法(IDEA)是一种对称分组算法,密钥长度为128 位。
- RSA 是由Rivest、Shamir 和Adleman 设计开发的一种非对称算法,是数字签名的实际标准。
- 椭圆曲线密码系统(ECC)作为非对称算法,可提供数字签名、安全密钥分发和加密功能。它们使用的资源很少,这使得它们更适用于无线设备和手机的加密。
- 当对称和非对称密钥算法一起使用时,称为混合加密系统。非对称算法加密对称密钥,对称密钥用于加密数据。
- 会话密钥是消息的发送方和接收方用于加密和解密目的的对称密钥。会话秘钥只有在通信会话处于活动状态是安全的,通信会话结束后就销毁会话密钥。
- 公钥基础架构(PKl)是由程序、过程、通信协议和公钥密码学组成的框架,使分散在各处的人们能够安全地通信。
- 证书认证机构(CA)是可信任的第三方,它生成和维护用户证书,用户证书持有其公钥。
- CA 使用证书撤销列表(CRL)来跟踪被撤销的证书。
- 证书是CA 用于将用户的公钥与个人身份关联在一起的机制。
- 证书注册机构(RA)验证用户的身份,然后向CA 发送证书请求。但RA 无法生成证书。
- 单向函数是一个方向比相反方向运算容易得多的数学函数。
- RSA 基于一个单向函数,它将大数分解成质数。只有私钥知道如何使用陷阱,以及如何解密用相应公钥加密的消息。
- 哈希算法只提供数据完整性。
- 当哈希算法应用于消息时,它会生成消息摘要,该值用私钥签名以生成数字签名。
- 一些哈希算法的例子包括SHA-1 、SHA-2 、SHA-3 、MD4 和MD5 。
- SHA 算法生成160 位的哈希值,用于DSS 。
- 生日攻击通过穷举方式攻击哈希函数。攻击者试图创建具有相同哈希值的不同消息。
- 一次性密码本使用随机密钥值,这些密钥值与消息进行异或运算,从而生成密文。一次性密码本至少与消息一样长,并且使用一次后就会被丢弃。
- 数字签名是用户使用私钥对哈希值进行签名的结果。它提供身份验证、数据完整性和抗抵赖性。签名行为是使用私钥加密哈希值。
- 用于数字签名的算法示例包括RSA 、El Gamal 、ECDSA 和DSA 。
- 密钥管理是密码学中最具挑战性的部分之一。它涉及加密密钥的创建、维护、分发和销毁。
- CPTED(通过环境设计来阻止犯罪)结合物理环境和社会学问题,降低犯罪率和对犯罪的恐惧。
- 需要确定基础设施内的财产价值和基础设施本身的价值,以确定物理安全,分配适当的预算。
- 一些物理安全控制可能与人的安全发生冲突。需要解决这些问题;人的生命总是比保护基础设施或其中的资产更重要。
- 在基础设施寻找建筑地点时,要考虑当地的治安情况,自然灾害的概率,距离医院、警察局、消防站、机场和火车站的路程。
- 外部护栏可能昂贵且难看,但可控制人群,帮助基础设施进行访问控制。
- 如果内部隔断没有延伸到真正的天花板,入侵者可移开天花板,爬过隔断,进入基础设施的关键部分。
- 主用电力是日常运行中使用的电力,备用电力是在主用电力发生故障时的备用电力。
- 烟雾探测器应安装在吊顶及吊顶以上、架空的地板以下和通风口中,以提供最大限度的火灾保护。
- 火灾发生需要高温、氧气和可燃物。为了扑灭它,需要减少或消除其中一个或多个因素。
- FM-200 和其他哈龙替代品等气体会干扰火灾中的化学反应。
- 手提式灭火器应放置在电子设备50 英尺以内,并应每季度对其进行检查。
- 二氧化碳是一种无色、无味的物质,使用其进行灭火,由于它会排挤空气中的氧气,因此是潜在的致命物质。
- CPTED 提供了三种主要策略,即自然访问控制、自然监视和自然区域加强。
- 应了解的窗户类型有普通、钢化、丙烯酸纤维、钢丝、夹层、太阳能涂层和安全涂层。
第4章 通信与网络安全
- 协议是规定计算机在网络上如何通信的一组规则。
- 应用层是第七层,包含用户应用网络互联功能所需的服务和协议。
- 表示层是第六层,将数据格式化为标准格式,并且处理数据的语法而非含义。
- 会话层是第五层,负责在两个应用程序之间建立、维护和中断对话(会话)。会话层控制对话组织和同步。
- 传输层是第四层,提供端对端的传输。
- 网络层是第三层,提供路由、寻址和数据包分片。网络层能通过改变路由来避免网络拥塞。
- 路由器工作在网络层(第三层)。
- 数据链路层是第二层,通过将数据装帧来为网络介质准备数据。第二层是采用不同LAN 和WAN 技术的位置。
- 物理层是第一层,为传输提供物理连接,并提供数据的电信号编码。物理层将位值转换为电信号。
- TCP/IP 是一套协议集,是Internet 上传输数据的事实标准。TCP 是可靠的、面向连接的协议, IP 则是不可靠的、无连接的协议。
- 数据在源计算机端按OSI 模型向下被逐层封装,这个过程在目标计算机上正好相反(向上逐层去封装)。在封装期间,每一层都会添加自己的信息,从而使目标计算机的对应层知道如何处理数据。
- 传输层上的两个主要协议是TCP 和UDP 。
- UDP 是无连接的协议,在接收数据报时并不发送或接收应答。UDP 不能确保数据到达目的地,提供“尽力的”传送。
- TCP 是面向连接的协议,发送或接收应答。TCP 确保数据到达目的地。
- ARP 将IP 地址转换为MAC 地址(物理以太网地址),而RARP 则将MAC 地址转换为IP 地址。
- ICMP 工作在网络层,能告知主机、路由器和其他网络设备网络中的问题。ICMP 是Ping 工具的重要组成部分。
- DNS 将主机名解析为IP 地址,在Internet 上由分布式数据库提供名称解析。
- 改变ARP 表使得一个IP 地址映射到一个不同的恶意MAC 地址,称为ARP 中毒,可将数据流量重定向至攻击者的计算机或无人值守的系统。
- 包过滤(屏蔽路由器)通过ACL 实现,这是第一代防火墙。数据流量能按地址、端口和协议类型进行过滤。
- 隧道协议将数据帧封装在可路由的帧内,从而将其从一个网络传送至另一个网络。
- 包过滤与应用无关,并提供高性能和可升级性,但在网络层以上安全性低且没有保护。
- 如果双宿防火墙的操作系统没有禁用包转发功能,数据包将可绕过双宿防火墙进入内网。
- 使用代理的防火墙为被允许的数据包建立副本,并将副本传送至另一个网络。
- 应用级代理要求每一个被认可的服务都具有一个代理,它能理解使用的协议以及协议内命令,并据此做决策。
- 电路级防火墙也是使用代理,但在更低的级别上工作。电路级防火墙不像应用级代理那样深入审查数据包。
- 代理防火墙是通信的中间人,它并不允许任何人直接连接到内部网络中受保护的计算机。代理防火墙是第二代防火墙。
- 应用级代理防火墙提供良好的安全性并理解整个应用层,但性能差、应用支持有限、难以升级。
- 状态检测防火墙会跟踪每个通话会话。它必须维护状态表,其中包含每个连接的相关数据。状态检测防火墙是第三代防火墙。
- VPN 可采用PPTP 、L2TP 或IPSec 作为隧道协议。
- PPTP 工作在数据链路层,只能处理一个连接。IPSec 工作在网络层,并能同时处理多个隧道。
- 专用链路通常是最昂贵的WAN 连接方法,其费用是根据两个目标之间的距离计算的,而非根据使用的带宽计算。T1 和T3 是专用链路的示例。
- 帧中继和X.25是数据包交换的WAN 技术,使用虚拟电路而非专用链路。
- 星型拓扑中的交换机是来自计算机和设备的所有线缆的汇聚之处。
- 交换机是集中继器和网桥技术于一身的设备。交换机工作在数据链路层,并能解析MAC地址。
- 路由器连接两个或多个网段,每个网段都可作为独立的网络。路由器工作在网络层,利用IP地址进行工作,比网桥、交换机或中继器具有更多的网络知识。
- 网桥利用MAC 地址过滤并转发广播流量;而路由器利用IP 地址过滤,且不转发广播流量。
- 第3 层交换结合了交换和路由技术。
- 衰减是当线缆超过最大长度时信号强度的损失。
- STP 和UTP 是最常用、最便宜、最容易使用的双绞线类型。然而,它们也最容易被窃听,存在串扰问题,且容易遭受电磁干扰(EMI)和射频干扰(RFI) 。
- 光纤利用光波运载数据,非常昂贵,能高速传送数据,难以窃听,抗电磁干扰和射频干扰。如果安全性要求非常高,那么需要使用光纤。
- ATM 采用固定的信元传送数据,是一种WAN 技术,能以很高的速率传送数据。ATM支持语音、数据和视频应用。
- FDDI 是LAN 和WAN 技术,通常在主干网中使用,采用令牌传递技术,并且具有冗余环以防主环出现故障。
- 令牌环802.5 是较早的LAN 实现,使用令牌传递技术。
- 以太网采用CSMA/CD, 这意味着所有计算机竞争共享的网络线缆,侦听何时能发送数据,容易造成数据冲突。
- 电路交换技术建立数据传输会话期间使用的电路。数据包交换技术并不建立电路,相反,数据包可通过许多不同的路径到达同一目的地。
- ISDN 具有BRl 速率(使用两个B 通道和一个D 通道)和PRl 速度(使用最多23 个B 通道)。ISDN 技术支持语音、数据和视频。
- PPP 是用于通信连接的封装协议。PPP 取代了SLIP, 是通过串行线连接不同类型设备的理想选择。
- PAP 以明文形式发送凭证。CHAP 使用挑战/响应机制进行身份验证,因此不需要通过网络发送口令。
- SOCKS 是代理型防火墙解决方案。SOCKS 采用基于电路的代理,而不是基于应用的代理。
- IPSec 隧道模式保护数据包的有效载荷和首部信息,而IPSec 传输模式只保护有效载荷。
- 屏蔽主机防火墙位于边缘路由器和LAN 之间,而屏蔽子网是由两个物理防火墙创建的DMZ 。
- NAT 在公司不希望外部系统知道内部主机的地址时采用,它支持公司使用私有的、不可路由的IP 地址。
- 802.15 标准概括了无线个人区域网(Wireless Personal Area Network, WPAN)技术,802.16 涉及无线MAN 技术。
- 使用不同的SSID 可将具体环境分成若干不同的WLAN 。
- 802.11b 标准工作在2.4GHz 频率段内,支持11Mbps 的传输速率;而802.11a 标准工作在5GHz 频率段内,支持54Mbps 的传输速率。
- IPv4 使用32 位地址,而IPv6 使用128 位地址。因此, IPv6 提供更多可供使用的地址。
- 子网划分允许将大范围的IP地址分为若干较小的、合乎逻辑的、更易于使用的网段。
- 会话初始化协议(Session Initiation Protocol, SIP)是一种广泛用于VoIP 通信会话的信令协议。
- 开放中继是配置为将电子邮件消息从任何源传输至任何目的地的SMTP 服务。
- SNMP 使用代理和管理器。代理收集和保留面向设备的数据,这些数据存放在管理信息库中。管理器轮询代理,用社区字符串值进行身份验证。
- 三种主要的多路复用是统计时分复用、频分复用和波分复用。
- 实时传输协议(Real-time Transport Protocol, RTP)为通过IP 网络传送音频和视频提供标准化的数据包格式。它和RTP 控制协议一起工作,提供带外数据统计和控制信息,以反馈QoS 级别。
- 802.1 AR 为设备提供唯一的ID, 802.1 AE 在数据链路层提供数据加密、完整性和源验证功能。802.1 AF 为用于数据加密的会话密钥提供密钥协商功能。每个标准都提供具体的参数以工作在802. I· X EAP-TLS 框架内。
- 轻量级EAP 由Cisco 开发,是EAP 和802.1 X 第一个用于无线网络的实现。它使用预先共享的密钥和MS-CHAP 来验证客户端和服务器的身份。
- 在EAP-TLS 中,客户端和服务器彼此使用数字证书进行身份验证。客户端用服务器的公钥对随机值进行加密,生成一个前置主密钥,然后把它发送给服务器。
- EAP-TTLS 与EAP-TLS 相似,但服务器必须使用数字证书来验证客户端的身份。客户端可使用其他任何EAP 身份验证方法或遗留PAP 或CHAP 方法来验证服务器。
- 网络融合指将服务器、存储器和网络功能结合到一个框架中。
- 移动电话经历不同时代和多种访问技术: IG(FDMA) 、2G(TDMA) 、3G(CDMA)和4G(OFDM) 。
- 链路加密仅限于两个直接连接的设备,因此每次跳转都需要对消息进行解密(并可能要重新加密)。
- 点对点隧道协议是链路加密技术的一个示例。
- 端到端加密涉及源节点和目的节点,因此消息不由中间节点解密。
- 传输层安全协议(TLS)是端到端加密技术的一个示例。
- MIME 是一个技术规范,指示如何传输多媒体数据和电子邮件二进制附件。
- 安全的多用途Internet 邮件扩展(S/MIME)是使用加密和数字签名电子邮件以及PK.I提供安全数据传输的标准。
- PGP 是一个免费的电子邮件安全程序,它使用基于信任网的PK.I 。
- s/MIME 和PGP 之间不兼容,因为前者使用集中式的、层次化的认证中心(CA) ,后者使用分布式的信任网络。
- 超文本传输协议安全(HTTPS)是指HTTP 在安全套接层(SSL)或传输层安全(TLS)上运行。
- 安全套接层SSL 于2015 年6 月正式废止。
- cookie 是浏览器保存在用户硬盘或内存段上的文本文件,目的是记住用户或维护网络应用程序的状态。
- 安全外壳(SSH)功能作为一种隧道机制,为远程计算机提供类终端的访问通道。
- 拒绝服务(DoS)攻击可导致服务或资源被降级或使合法用户无法使用服务或资源。
- DNS 劫持是一种攻击,迫使受害者使用恶意DNS 服务器,而不是合法的DNS 服务器。
第5章 身份与访问管理
- 访问是主体和客体之间的信息传输。
- 主体是请求访问客体的主动实体,客体是被动实体。
- 主体可以是一个用户、程序或进程。
- 能提供机密性的安全机制包括加密技术、逻辑性和物理性访问控制、传输协议、数据库视图和流量控制。
- 身份管理(IdM)解决方案包括目录、Web 访问管理、口令管理、传统单点登录、账户管理和用户配置更新。
- 口令同步降低了因不同系统使用不同口令而导致的复杂性。
- 自助式口令重置服务通过允许用户自己重置口令,减少了服务台的工作量。
- 辅助式口令重置服务减少了服务台口令相关问题的解决流程。
- IdM 目录包含所有资源信息、用户属性、授权配置、角色以及访问控制策略,以便其他IdM 应用程序可通过一个集中式资源获取这些信息。
- 提供IdM 解决方案的账户管理产品常采用自动化工作流程组件。
- 用户配置指的是为响应业务过程而创建、维护和注销存在于一个或多个系统、目录或应用程序中的用户对象和属性。
- 用户访问权限审查可确保没有不再需要的活动账户。
- 人力资源数据库通常被认为是用户身份的权威来源,因为这是每个用户身份最初创建和正确维护的地方。
- 五种主要的访问控制模型:自主、强制、基于角色、基于规则和基于属性。
- 自主访问控制(DAC) 允许数据所有者指定哪些主体可以什么样的权限访问他们拥有的文件和资源。
- 强制访问控制模型(MAC)使用安全标签系统来实现访问控制。用户具有许可,资源具有包含数据分级的安全标签。MAC 通过比较两者来决定访问控制能力。
- 基于角色的访问控制(RBAC)基于用户在公司的角色和职责来分配权限。
- 基于规则的角色访问控制(RB-RBAC) 以RBAC 为基础,通过在规则或策略中添加布尔逻辑来进一步限制访问。
- 基于属性的访问控制(ABAC)是基于系统组件的属性来分配权限。这是访问控制模型中粒度最细的控制。
- 用户界面限制的方式主要有3 种:菜单和shell、数据库视图以及物理接口限制。
- 访问控制列表与客体绑定,并列出客体可被哪些主体访问。
- 能力表与主体绑定,并列出主体可以访问哪些客体。
- 远程访问控制技术有RADIUS 、TACACS+和Diameter。
- 行政性控制措施的示例包括安全策略、人员控制、监管结构、安全意识培训和测试。
- 物理性控制措施的示例包括网络分段、边界安全、计算机控制、工作区域分隔和布线。
- 技术性控制措施的示例包括系统访问、网络架构、网络访问、加密技术和协议以及审计。
- 为使主体能够访问资源,必须对主体进行身份标识、验证和授权,并且操作应当可被问责。
- 可通过生物识别技术、口令、认知口令、一次性口令或令牌来验证身份。
- 生物识别技术中的I 类错误指的是拒绝一个应获授权的个体(错误拒绝率); II 类错误指的是冒名顶替者通过了验证(错误接受率)。
- 存储卡不能处理信息,但智能卡能通过集成电路和处理器来处理信息。
- 最小授权和“知必所需”原则限制用户只能具有完成其职责所需的最小权限。
- 单点登录能力可通过Kerberos 、域和瘦客户端来实现。
- Kerberos 用户收到一张TGT(票据授予票据),该票据允许用户请求通过TGS (票据授予服务)访问资源。TGS 使用会话密钥生成新的票据。
- 击键行为持续监控是一种审计方式,该审计方式跟踪用户的每次击键记录。
- 客体重用可能会造成信息在无意识的情况下遭到泄露,因为在将介质分配给下一个主体之前未对其进行正确擦除。
- 仅仅删除文件指针(删除文件、格式化硬盘),往往不能为客体重用提供足够的保护。
- 信息可通过电磁波获得。对抗此类入侵的方法是TEMPEST、白噪声和控制区域。
- 可通过“某人知道的东西”“某人具有的特征”以及“某人拥有的东西”来验证身份。
- 一次性口令生成令牌设备能使用同步(时间、事件)方法和异步方法(基于挑战)。
- 强身份验证需要使用3 种身份验证属性(“某人知道的东西”、“某人具有的特征”以及“某人拥有的东西”)中的两种属性。
- Kerberos 的弱点有: KDC 存在单点故障;它容易遭受口令猜测攻击;会话和秘密密钥本地存储; KDC 需要始终可用;并且必须管理秘密密钥。
- 网络钓鱼攻击是一种社交工程攻击,其目标是获取个人信息、凭证、信用卡号和财务数据。
- 在两个或更多的进程需要使用同一个共享资源并且访问步骤无序的情况下,就可能发生竞态条件。
- 相互身份验证是指两个实体间在发送数据之前需要互相验证身份,也被称为双向身份验证。
- 目录服务是一个软件组件,用于存储、组织和提供对位于目录(列表)中的资源的访问。单个资源通过使用名称空间来命名。
- cookie 是以文本格式永久保存在硬盘上或暂时保存在内存中的数据。cookie 可用来存储浏览习惯、身份验证数据或协议状态信息。
- 联合身份是一种与其权利相关联的便携式身份,可跨业务边界使用,不需要同步或合并目录信息。
- 可扩展标记语言(XML)是一组以机器可读形式编码文档的规则,用于实现各种Web技术之间的互操作。
- 服务配置标记语言(SPML) 由OASIS 在XML 框架的基础上开发,用于在合作组织之间交换用户、资源和服务配置信息。
- 可扩展访问控制标记语言(XACML) 既是一个应用于XML 的说明性访问控制策略语言,也是一个用于描述如何解读安全策略的处理模型。
- 重放攻击是一种网络攻击,其中有效的数据传输被恶意或欺诈性地重复使用,以达到获得未授权访问的目的。
- 门限是一个设定好的阈值。一旦阈值被超过,这个活动将被作为一个事件记录和/或调查。
- 彩虹表是一组预先计算的代表口令组合的哈希值。彩虹表通常用于口令攻击过程中,它能比字典攻击或暴力破解攻击更快地获得结果。
- 认知口令是基于事实或观点的信息,用于验证个人的身份。
- 智能卡需要与读卡器(接触式)进行物理交互,也可不与读卡器进行物理交互(非接触式)。非接触式架构包括组合式结构(一个芯片)和混合式结构(两个芯片)。
- ·旁路攻击首先收集某项工作如何进行的数据,然后使用这些数据来攻击系统或破解系统,如同差分功率分析或电磁分析一样。
- 授权蔓延是指当用户随着时间的推移获得过多的访问权限。
- 安全信息与事件管理在集中收集日志的基础上实施数据挖掘和分析,从而获得态势感知的能力。
- 入侵检测系统(IDS) 既可基于主机也可基于网络,并提供基于行为(统计)或特征(知识)功能的入侵检测。
- 网络钓鱼是一种社交工程攻击。如果针对特定个体发起攻击,则被称为鱼叉式网络钓鱼攻击。如果DNS 服务器中毒并将用户指向一个恶意网站,就被称为域欺骗攻击。
- Web 门户通常由门户组件组成,门户组件是一种插件式用户界面软件组件,用于显示来自其他系统的信息和服务。
- 服务配置标记语言(SPML)允许跨多个配置系统,实现与电子发布服务相关的自动化用户管理(账户创建、修改和撤销)和访问权限配置。
- 安全断言标记语言(SAML)允许用户在安全域之间共享身份验证与授权数据。
- OpenID 是一个开放的标准和协议,允许由第三方进行用户身份验证。
- OAuth 是一个开放标准,允许用户将一些网站资源授权给某个第三方,如联系人数据库。
- OpenID Connect 是基于OAuth2.0 协议构建的身份验证层,可实现透明身份验证和授权客户端资源请求。
- 简单对象访问协议(SOAP)是一种协议规范,用于在Web 服务和网络环境中交换结构化信息。
- 面向服务的体系结构(SOA)环境允许在多个业务域的多个独立系统中之间使用一套可互操作的服务。
- 射频识别(RFID)是一种通过使用无线电波进行数据通信的技术。
第6章 安全评估与测试
- 审计是对信息系统安全控制措施的系统性评估。
- 在规划安全审计时,最重要的步骤是设定清晰的目标。
- 内部审计的优点是审计人员熟悉系统,但可能受困于缺乏对其他人如何攻击和防御系统的了解。
- 当组织签订包含安全规定的合同时,就会有外部审计。合同方可要求对承包商进行审计,以确保符合这些规定。
- 第三方审计通常会带来广泛的经验背景,提供新见解,但价格昂贵。
- 测试覆盖率是衡量一个特定测试或一组测试检查了系统多大部分的指标。
- 漏洞测试对系统检查,目的是识别和定义漏洞并予以定级。
- 黑盒测试视待测系统为完全不透明的。
- 白盒测试中审计人员在第一次扫描之前就完全了解系统的内部工作原理。
- 灰盒测试给予审计人员的信息包括一些(但非全部)系统内部工作原理。
- 渗透测试是根据所有者的请求,对网络和系统进行各种模拟攻击的流程。
- 盲测中,评估人员在测试时只有公开可用的数据,而网络安全人员已经知道要进行该测试。
- 双盲测试,也称为隐蔽评估,是在不通知网络安全人员的情况下进行的盲测。
- 战争拨号允许攻击者和管理员拨打大量号段的电话号码,搜索可用的调制解调器。
- 日志审查通过检查系统的日志文件,检测各种安全事件,或验证各种安全控制措施的有效性。
- 综合交易是模拟真实用户行为的脚本事件,允许安全专业人士系统地测试关键服务的性能。
- 误用用例是包括威胁角色和他们想要在系统上执行的各种任务的一个用例。
- 代码测试是由代码作者以外的人来执行的,对包含在软件中的各种指令进行的系统检查。
- 接口测试是对系统和用户之间的特定数据交换点进行的系统评估。
- 管理控制措施主要通过策略或程序实施。
- 特权用户账号对组织构成重大风险,所以应谨慎地管理和控制。
- 当用户永久或长期离开组织时,其账号应该立即暂停。
- 数据备份除非已验证可用于恢复数据,否则不应视为是可靠的。
- 业务连续性计划(BCP)确保组织的关键业务流程不间断,或在严重事件后能够快速恢复。
- 灾难恢复计划(DRP)确保能够支持关键业务流程的信息系统持续运行,或在发生灾难时能够快速恢复。
- BCP 和DRP 都需要定期评估,确保在组织内部和外部环境发生变化时它们仍然有效。
- 安全培训是讲授一种或一组技能的流程,使人们能更好地履行特定职能。
- 安全意识宣贯向人们说明安全问题,以便他们能够识别问题,并能更好地应对。
- 在信息安全环境中,社交工程是指操纵个人执行各种违反安全协议的行为的流程。
- 网络钓鱼是通过数字通信进行的社交工程。
- 偷渡下载是一种自动攻击,人们访问恶意网站时即可触发。
- 关键绩效指标(KPI)衡量组织在指定时间点执行指定任务的有效性。
- 关键风险指标(KRI)衡量执行指定的一个或一组行动的风险。
- 必须针对特定的读者撰写有效的报告。
- 管理评审是一个正式的会议。其间,高层领导确定信息安全管理系统能否有效地完成目标。
第7章 运营安全
- 处理敏感信息的主系统应该配置物理访问控制设备,以限制只有授权人员才能访问。
- 应设置阙值水平((Clipping Level) 以建立用户活动和可接受错误的基线。
- 职责分离应落实到位,这样如果发生欺诈,就需要相互勾结。
- 对资源的访问应限于授权人员、应用程序和服务,并应进行审计,以确保符合规定的策略。
- 应进行变更控制和配置管理,确保变更得到批准、记录、测试和正确实施。
- 涉及变更管理的活动包括请求变更、批准变更、记录变更、测试变更、实施变更以及向管理层报告。
- 应采用适当的容错机制来应对设备故障。
- 应持续更新防病毒程序和入侵检测系统(IDS) 的特征库。
- 持续监测确保组织始终保持对信息安全、脆弱性和威胁的了解,以支持组织风险管理决策。
- 白名单是一组已知的可用资源,例如IP 地址、域名或应用程序。相反,黑名单则是一组已知的禁用资源。
- 安全信息和事件管理系统(SIEM)是一个软件平台,可将安全信息(如同资产清单)和安全事件(或会演变成事故)结合起来并以单一的、一致的、整体的方式呈现出来。
- 运营安全的主要方面包括资源保护、变更管理、硬件和软件管理、可信系统恢复、职责分离和最小特权。
- 最小特权可确保访问系统的用户、管理员和其他人员只能访问他们完成工作绝对需要的对象。
- 某些物理安全控制措施可能会与人员安全相冲突。这些问题需要解决;人的生命始终比保护设施或其资产更重要。
- 近距离识别(Proximity Identification)设备可以是用户激活的(需要用户采取行动)或系统感知的(不需要用户采取行动)。
- 应答机(Transponder)是不需要用户采取行动的近距离识别设备。读取器传送信号到设备,设备用访问码(Access Code)进行响应。
- 外部围栏既昂贵又不美观,但可提供人群控制并有助于控制对设施的访问。
- 如果内部隔板不能一直延伸到真正的天花板,则入侵者可移开天花板,然后爬过隔板进入设施的关键区域。
- 入侵检测设备包括运动检测器、闭路电视(CCTV) 、振动传感器以及机电装置。
- 入侵检测设备可以被渗透攻击,安装和监控成本高昂,需要人工响应,并且容易产生误报。
- 闭路电视(CCTV)可监控大面积区域,但应该与警报功能相结合,以确保可以作出适当响应。
- 虽然聘用安全保卫人员成本高,但当发现安全违规时反应迅速,并且阻止入侵者的攻击。
- 脆弱性管理是识别脆弱性、确定对组织构成威胁的风险,并提供可将风险控制在可接受水平的周期性过程。
- 补丁管理是识别、获取、安装和验证产品以及系统补丁程序的过程。
- 出口流量持续监测(Egress Monitoring)用于跟踪或限制通过网络传输出去的信息。
- 异地备份站点可分为热站、温站和冷站。
- 互惠协议是公司承诺另一家公司在遇到灾难时可以搬入并共享空间的协议,反之亦然。互惠协议很难实施,或可能无法执行。但是,它们提供了相对低成本的异地选项,有时是唯一的选择。
- 热站完整地配置了硬件、软件,并且满足环境需求。可在几个小时内恢复并投入运行。选择使用热站是成本最高的,但一些公司停业一整天会造成巨大损失。
- 温站没有计算机,但有一些外围设备,如磁盘驱动器、控制器、磁带驱动器。和热站相比,使用温站成本相对低一些,但需要投入更多精力和时间才能使其投入运行。
- 冷站是一个配有电源、活动地板和工具的外部设施。没有可用设备。冷站是三种选项中成本最低的,但需要数周才能恢复并投入运行。
- 恢复时间目标(RTO)是在灾难之后必须将业务流程恢复到指定服务水平的最长时间,以免造成不可接受的后果。
- 恢复点目标(RPO)是在时间上测量的可接受的数据丢失量。
- 平均故障间隔时间(MTBF)是系统运行过程中固有故障之间的预计时间。
- 平均修复时间(MTTR)是指设备在修复故障后重新投入生产所需的预计时间。
- 高可用性是指持续运行的系统、组件或环境。
·灾难恢复的高可用性通常是备份、冗余、容错、集群和负载均衡等技术和流程的组合。
- 数据恢复和还原是通过电子保管、备份和复制技术实现的。
- 当灾难后返回到原始站点时,应首先回迁最不重要的组织单位。
- 运营连续性计划(Continuity of Operations Plan, COOP)侧重于在备用站点恢复组织(通常是总部)的基本功能,并在恢复正常运营前履行这些职能长达30 天。这个术语通常被美国政府用来表示BCP 。
- 业务连续性计划的重要部分是将其要求和流程传达给所有员工。
- 业务中断保险包括组织在灾后恢复阶段所遭受的收入损失。
- 适度勤勉(或尽职, Due Diligence)要识别和分析风险;适度关注(或尽责, Due Care)意味着应始终采取谨慎的行动以减轻风险。
- 过失的要素包括:不履行法律认可的义务,不遵守适度关注原则,从而直接导致伤害或损坏。
- 采用证据保管链的主要原因是,确保证据在提交到法庭之前被妥善保管及处理。
- 为了能够被法庭接受业务记录必须在正常的业务过程中生成和收集,而不是专门为法庭审理而生成的。如果业务记录没有第一手的准确性和可靠性证明,则很容易成为传闻证据。
- 证据的生命周期包括对证据的识别和收集,以及证据的存储、保存、运输、呈交法庭和归还证据所有者。
- 采集计算机证据是一项非常复杂、注重细节的任务。只有熟练的专业人员可以尝试,否则这些证据将被永久损毁。
- 在寻找嫌疑人时,考虑嫌疑人的动机、机会和方法(MOM)是至关重要的。
- 确保证据在法庭上被接受,它必须是相关的、完整的、充分的和可靠的。
- 证据必须是法律认可的,这意味着证据是合法获取的,并且保管链没有被破坏。
- 胁迫是指对某一个人作出威胁或暴力行为,以强迫他人去做那些不想做或者根本不会做的事情。
第8章 软件开发安全
- 安全应该涵盖系统开发的每个阶段。不应该只在开发的最后阶段才介入,因为那样做会增加成本、时间、人力并丧失功能性。
- 攻击面是攻击者所有可能入口的集合。减少攻击面就减少了攻击者攻陷系统的可能。
- 威胁建模是用于了解不同威胁如何实现,以及如何成功防御的系统化方法。
- 计算机辅助软件工程是指任何以程序编辑器、调试器、代码分析器、版本控制机制等形式开展自动化开发的软件。其目标是提高开发速度和效率并减少错误。
- 在开发过程中应包括各种级别的测试:单元测试(测试单个组件)、集成测试(验证组件是否可以一起在生产环境中工作)、验收测试(确保代码满足客户需求)、回归测试(发生变化后再次进行测试),还应包括静态分析(审查程序代码)和动态分析(通过执行评估代码)。
- 模糊测试指将随机数据发送给目标程序以触发失败。
- 零日脆弱性是目前尚未解决或没有解决方案的脆弱性。
- ISO/IEC 27034 标准涵盖下列事项:应用程序安全性概述和概念、组织规范框架、应用安全管理流程、协议和应用程序安全控制数据结构、案例研究以及应用程序安全性保障预测。
- 开放网络应用程序安全项目(Open Web Application Security Project, OW ASP)是一个致力于帮助行业开发更安全软件的组织。
- 集成产品团队(Integrated Product Team, IPT)是一个由许多或所有的利益相关者群体代表组成的跨职能开发团队。
- CMMI 模型用数字1 到5 表示五个成熟度级别。每个级别代表过程的质量和优化管理的成熟度。
- 各个级别分别如下: l =初始级, 2 =可重复级, 3 =定义级, 4 =管理级, 5 =优化级。
- CMMI(Capability Maturity Model Integration, 能力成熟度集成模型)是一个过程改进方法,能够为组织提供有效流程的各个基本要素。这将有助于改善组织的绩效。
- 变更管理是有意识地规范对项目特性进行更改的一种系统性方法。变更控制是变更管理的组成部分,负责控制对系统特定的更改。
- 有多种SDLC 方法:瀑布模式(顺序排列,要求每个阶段完成后下一个阶段才可开始)、V 型模式(在每个阶段强调验证和确认)、原型模式(创建一个示例代码进行概念验证)、增量模式(一个软件在其开发阶段有多个开发周期)、螺旋模式(一个迭代过程,强调对每个迭代进行风险分析)、快速应用开发模式(结合原型和迭代开发过程加速软件开发过程)和敏捷模式(迭代和增量开发过程,鼓励团队协作、使用灵活和可适应的而不是严格的流程结构)。
- 软件配置管理(Software Configuration Management, SCM) 的任务是通过使用授权、版本控制、建立基线和审计等跟踪和控制软件的变化,目的是在软件的整个开发生命周期中维护软件的完整性和可追溯性。
- 编程语言逐步演化。第一代是机器语言(二进制格式),第二代是汇编语言(通过汇编程序翻译成机器代码),第三代是高级语言(提供一定程度的抽象),第四代是超高级语言(提供更多编程抽象),第五代是自然语言(用人工智能翻译)。
- 数据建模是定义和分析支持业务流程的数据需求的流程,这些业务流程一般属于相关系统和软件应用程序范围。
- 与经典的编程语言相比,面向对象编程在程序内提供了模块化、可重用性和更细粒度的控制。
- 对象是成员、实例或类。类指明对象的数据类型、结构和可接受的行为。
- 在OOP 中,对象通过消息相互通信,方法指一个对象可以执行的功能。对象通过标准接口进行交互。
- 多态性是不同的对象有相同的输入但反应不同。
- 对象的内部数据和操作对其他对象是隐蔽的,这称为数据隐藏。每个对象都封装了自身的数据和流程。
- 面向对象设计将现实世界的问题模块化表示为互相协助的对象。这些对象一起协作解决问题。
- 如果一个对象不需要与其他模块交互,就具有低耦合。
- 最好的编程设计使对象独立并尽可能模块化。因此,越是高内聚和低耦合越好。
- 对象请求代理(Object Request Broker, ORB)管理对象之间的通信,使管理对象在异构和分布式环境中可以交互。
- 公共对象请求代理架构(Common Object Request Broker Architecture, COREA) 在不同的应用程序、平台和环境间为对象提供了标准化的交流方式。CORBA 通过提供对象间标准接口实现这一点。
- 组件对象模型(Component Object Model, COM)提供了本地系统组件间交互的架构。分布式COM(Distributed COM, DCOM)使用与COM 相同的接口,允许组件在一个分布式或网络环境中交互。
- 开放数据库连接(Open Database Connectivity, ODBC) 通过调用需要的驱动程序并让数据通过驱动程序传输,使几个不同的应用程序与多个不同类型的数据库之间沟通。
- 对象链接和嵌入(Object Linking and Embedding, OLE)允许一个程序调用另一个程序(链接),并允许将数据插入另一个程序或文档(嵌入)。
- 面向服务的架构(Service-Oriented Architecture, SOA)提供了同时向多个不同的应用程序提供最需要的服务的标准化方法。服务交互是独立和松耦合的,这样各个交互之间相互独立。
- Java 安全机制采用沙箱技术, applet 被限制访问用户的硬盘或系统资源。但程序员目前已可编写越过沙箱机制的applet 。
- SOAP 允许使用不同的编程语言创建程序并运行在不同的操作系统上,且交互时没有兼容性问题。
- 有三种主要类型的跨站点脚本(XSS)攻击:非持久化XSS(利用动态网站缺乏适当的输入或输出验证),持久化XSS 攻击(攻击者将恶意代码加载到服务器上攻击访问该服务器的浏览器)和DOM(攻击者使用DOM 环境修改客户端原始JavaScript) 。
- 数据库管理系统(Database Management System, DBMS)是控制访问限制、数据完整性、冗余和数据库可用性等不同类型操作的软件。
- 数据库的主键用于将关系数据库中一行与其他部分区分。
- 视图是一种用于数据库访问的控制机制,确保只有授权的对象可访问敏感信息。
- 一个关系数据库使用二维表行(元组)和列(属性)。
- 层次型数据库使用树状结构定义数据元素之间的关系。数据之间是父/子关系。
- 大多数数据库包括有数据定义语言(DDL) 、数据操作语言(DML) 、查询语言(QL)和报告生成器。
- 数据字典保存在一个中央存储库中,描述数据库中的数据元素和彼此之间关系。
- 数据库完整性由并发机制提供。一种并发控制是锁定,防止用户访问和修改别人正在使用的数据。
- 实体完整性确保行或元组是由一个主键唯一标识,外键参照完整性确保每一个外键都指向已有的主键。
- 在执行事务时如有问题发生,回滚可以取消更改并让数据库返回之前的状态。
- commit 语句保存对数据库的所有更改。
- 如果系统有故障或执行事务时有问题则使用检查点,这种情况下用户会返回到最近的检查点。
- 如果用户无权访问一组元素,但有权访问该组数据中一些单个元素时,会发生聚合。用户将这些单个元素的信息整合在一起,从而发现了整个组的数据元素信息,而这些信息本来应该在更高的敏感性水平上。这时就发生了聚合。
- 推理是从不明确的信息中获取信息的能力。
- 采用数据库分区、单元抑制和向数据库添加噪声等方式是防止推理攻击的常见方法。
- 多实例化允许一个表中多个行具有相同主键。可通过安全水平或分类区分不同的实例。
- 数据仓库汇集来自多个数据库和数据源的数据。
- 数据挖掘是在数据仓库中搜索、过滤和关联数据并提供更多有用的信息给用户的流程。
- 挖掘工具能产生元数据,元数据可包含以前未见的关系和模式。
- 病毒是一个应用程序,该应用程序的复制需要宿主应用程序。
- 宏病毒最常见,因为用于开发宏的语言易于使用,并且病毒可感染到处都有的微软Office 产品。
- 多态病毒通过自身复制、修改副本的代码和属性试图逃避检测。
- 蠕虫不需要通过宿主应用程序复制。
- 逻辑炸弹在某一日期或时间,或预定义的事件发生时执行一个程序。
- 特洛伊木马程序只在表面上提供对客户有用的功能,而且用户对恶意功能一无所知。
- 僵尸网络是由C&C 服务器和僵尸牧人控制的。
- 当反恶意软件安装在每个入口和终端,并在有相应的策略描述用户培训、软件配置和更新的前提下最有效。
- 为评估已获取软件的安全性,除了内部或第三方测试,还需评估供应商的可靠性和成熟度。