参考书:《计算机安全原理和实践》,因为要考试哭了,是所以当作复习笔记咯~比较浅显,请大佬多多指教!
第一章概述:
1.计算机安全的基本概念:
计算机安全在NIST内部报告中指出定义为:保证信息系统资产的机密性、完整性和可用性的措施和控制方法,其中资产包括硬件、软件、固件以及要处理、存储和通信的信息。
关键安全的目标:机密性、完整性、可用性
机密性:确保隐私或机密信息不被非授权个人所利用或者被泄露。
隐私性:确保个人能够控制或影响自身相关的信息的收集和存储,也能控制这些信息谁能看。
数据完整性:确保信息和程序只能在指定的和得到授权的情况下才能够被改变。
系统完整性:确保系统在未受损的情况下,执行预期的功能,避免对系统进行有意无意的非授权操作
可用性:确保系统能够及时响应,并且不能拒绝授权用户请求。
安全违规所造成的影响级别:低级、中级、高级
安全确实会给机构运转、机构资产或个人带来(低级:有限的)(中级:严重的)(高级:非常严重或者灾难性的)负面影响、
一些安全术语:敌手,攻击,对策,风险,安全策略,系统资源,威胁,脆弱性
2.攻击类型:
被动攻击:企图了解或利用系统信息资源,但不影响系统资源。监听或监视数据传输。攻击者的目的是获取传输的数据信息。常见两种形式:消息内容泄露,流量分析。
主动攻击:试图改变系统的资源或者影响其运行。包含对数据流进行篡改或伪造数据流、常见的四种划分:重放、冒充、篡改消息、拒绝服务。
3.安全要求:
访问控制,意识和培训,审计和可说明性,认证、信赖和安全评估,配置管理,应急规划,识别与认证,事故响应,维护,介质保护,物理和环境保护,规划,人员安全,风险评估,系统和服务获取,系统和通信保护,系统和信息完整性。
4.安全设计原则:
经济机制原则,安全缺省原则,绝对中介原则,开放式设计原则,特权分离原则,最小特权原则,最小共用机制原则,心里可接受原则,隔离原则,封装原则,模块化原则,分层原则,最小惊动原则。
经济机制原则:应当充分利用现有的资源,尽量简单短小精炼,不耗费过多资源。
安全缺省原则:访问控制应当基于许可而不是排除。建立可访问和不可访问的情形。
绝对中介原则:在每次访问中都应依据访问控制机制进行检查,不依赖于系统缓存。
开放式设计原则:安全的设计应当开放而非保密。
特权分离原则:在访问限定资源的时候需要多特权属性的情况。
最小特权原则:每个进程和系统用户都应当使用完成某项任务所必需的最小特权进行操作。
最小公用机制原则:在设计时应当最小化不同的用户共享的功能,来提高彼此的安全性。
心理可接受性原则:安全机制不应该过度干预用户,并且要满足客户基本需求。
隔离原则:公共访问系统与重要资源隔离;个人用户的进程等操作要和其它人隔离;安全机制隔离。
封装原则:封装一系列过程及其域中的数据对象的时候,要使得数据对象的内部结构仅能被受保护的子系统中的过程访问,并且这些过程也只能通过特定的域的入口点被调用。
模块化原则:各个安全功能开发成分离的、受保护的模块;或者对安全机制的设计和实现使用模块化框架。
分层原则:使用多重的、重叠的保护方法,在敌手和受保护的信息与服务之间提供多重保护。
最小惊动原则:程序或用户界面的响应方式应当尽量不出乎用户的意料,不至于惊吓到用户。
1860
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
