├── 第五章  保护资产的安全.md
├── 第三章  业务连续性计划.md
├── 第十五章  安全评估和测试.md
├── 第二章  人员安全和风险管理概念.md
├── 第四章  法律、法规和合规性.md
├── 第十九章  事件与道德规范.md
├── 第一章  通过原则和策略的安全治理.md
├── 第十四章  控制和监控访问.md
├── 第七章  PKI和密码学应用.md
├── README.md
├── 第十六章  管理安全运营.md
├── 第六章  密码学与对称加密算法.md
├── 第二十一章  恶意代码与应用攻击.md
├── 第十八章  灾难恢复计划.md
├── 第十章  物理安全需求.md
├── 第八章  安全模型的原则、设计和功能.md
├── 第二十章  软件开发安全.md
├── 第十三章  管理身份与认证.md
├── 第十七章  事件预防和响应.md
├── 第九章  安全脆弱性、威胁和对策.md
├── 第十二章  安全通信和网络攻击.md
└── 第十一章  网络安全架构与保护网络组件.md


/第五章  保护资产的安全.md:
--------------------------------------------------------------------------------
 1 | # 第五章  保护资产的安全
 2 | 
 3 | ## 5.1 对资产进行分类和标记
 4 | 
 5 | ### 5.1.1 定义敏感数据
 6 | * 敏感数据指所有不公开或未分类的数据
 7 | 	1. 个人信息身份
 8 | 	2. 受保护的健康信息
 9 | 	3. 专有数据：任何帮助组织保持竞争优势的数据
10 | 
11 | ### 5.1.2 定义分类
12 | * 政府数据分类为绝密、保密、机密和非机密
13 | * 非政府分类 机密或专业、私有、敏感、公开
14 | 
15 | ### 5.1.3 定义数据安全要求
16 | ![](https://i.imgur.com/buFy4LE.png)
17 | 
18 | ### 5.1.4 理解数据状态
19 | * 静态数据：存储在介质上的数据
20 | * 传输数据：通过网络传送的数据
21 | * 使用的数据：临时存储区中正在被应用程序使用的数据
22 | * 保护数据最好的办法就是使用强大的加密协议，此外身份认证、授权控制能有效防止未经授权的访问
23 | 
24 | ### 5.1.5 管理敏感数据
25 | 管理敏感数据的主要目标就是防止数据泄露
26 | 
27 | 1. 标记敏感数据：敏感数据进行标记能够确保用户能够轻松识别任何数据的分类级别，标记氛围物理标签、数字水印或标签、标题、脚注
28 | 2. 管理敏感数据：介质的整个生命周期内确保传送过程的安全
29 | 	* 备份磁带应该与备份数据一样受到同级别保护
30 | 3. 存储敏感数据：
31 | 	* 敏感数据应存储在受保护且没有任何损失的介质中，最有效的保护办法就是加密
32 | 	* 遵循基本的物理安全做法，如防止偷窃
33 | 	* 采取环境控制来保护介质的数据安全，如湿度和温度控制
34 | 	* 任何敏感数据的价值都大于存储介质的价值
35 | 4. 销毁敏感数据
36 | 	* 数据剩磁：数据仍然作为剩余磁道上的数据保留在硬盘驱动器上
37 | 	* 消磁工具：删除数据剩磁的一种方法，但该方法仅对磁介质有效
38 | 		* 最好的净化方法是销毁固态硬盘
39 | 	* 销毁数据常见术语
40 | 		1. 擦除：介质上的数据就是对文件、文件的选择或整个介质执行删除操作，可以被复原
41 | 		2. 消除：介质重写的过程，确保消除的数据不会通过传统的工具恢复，可通过高级工具获取原始数据
42 | 		3. 清除：比消除更强烈的形式，将消除过程多次重复并结合其他方法，但并不总是可靠
43 | 		4. 解除分类：在非机密情况下对介质或系统进行清除，以便其能够再次使用的准备过程
44 | 		5. 净化：从系统或介质中删除数据，确保数据不会以任何形式恢复
45 | 		6. 销毁：介质生命周期的最后阶段，也是最安全的方法
46 | 5. 保留资产
47 | 保留要求适用与数据或者记录、含有敏感数据的介质和系统，以及接触敏感数据的人员
48 | 
49 | ### 5.1.6 应用密码学保护机密文件
50 | 1. 应用对称加密保护数据
51 | 	* 高级加密标准算法(AES)：
52 | 	* 三重数据加密标准算法(3DES)
53 | 	* Blowfish : 可作为数据加密标准的可选择项
54 | 2. 应用传输加密保护数据
55 | 	* 传输加密在传播之前加密数据，对传输过程中的数据进行保护
56 | 	* 网络浏览器使用HTTPS来加密电子商务交易，使用TLS作为基本加密协议
57 | 	* 远程访问使用VPN，VPN使用TLS+ IPSec或者L2TP+IPSec
58 | 	* IPSec包括一个认证报头(AH),该认证报头提供鉴定和完整性，封装安全载荷(ESP)提供保密性
59 | 
60 | ## 5.2 定义数据角色
61 | 
62 | ### 5.2.1 数据所有者
63 | * 数据的最终负责人，通常为首席执行官、总裁或部门主管
64 | 
65 | ### 5.2.2 系统所有者
66 | * 拥有含机密数据的系统的人
67 | * 系统所有者负责确保系统中运行的数据的安全性
68 | 
69 | ### 5.2.3 业务/任务所有者
70 | * 拥有流程，并确保系统对组织的价值，一般为项目经理或信息系统所有者
71 | 
72 | ### 5.2.4 数据处理者
73 | * 通常为组织处理数据的第三方实体
74 | 
75 | ### 5.2.5 管理员
76 | * 基于数据所有者提供的指导方针授权访问数据
77 | 
78 | ### 5.2.6 保管者
79 | 保管者通过以适当的方式保存和保护数据，协助保护数据的安全性和完整性
80 | 
81 | ### 5.2.7 用户
82 | 任何通过计算机系统获取数据并完成工作的人
83 | 
84 | ## 5.3 保护隐私
85 | 1. 使用安全基线：
86 | 	* 安全基线确保最低安全标准，审计程序须周期性的检查系统，以去报维持在安全状态
87 | 2. 审视和定制
88 | 	* 审视： 评估基线安全控制，然后只选择那些适用于想保护的IT系统的控制
89 | 	* 定制： 修改基线内的安全控制列表，使其与组织的使命相适应
90 | 3. 选择标准
91 | 	* 选择基线内的安全控制时，组织需要确保控制符合某些外部安全标准


--------------------------------------------------------------------------------
/第三章  业务连续性计划.md:
--------------------------------------------------------------------------------
  1 | 第三章  业务连续性计划
  2 | 
  3 | ## 3.1 业务连续性计划
  4 | * 业务连续性计划(BCP): 对组织各种过程的风险评估，发生风险的情况下为了使风险对组织的影响降至最小而定制的各种计划
  5 | * BCP和DRP首先考虑的人不受伤害，然后再解决IT恢复和还原问题
  6 | * BCP的主要步骤：
  7 | 	1. 项目范围和计划编制
  8 | 	2. 业务影响评估
  9 | 	3. 连续性计划
 10 | 	4. 批准和实现
 11 | 
 12 | ## 3.2 项目范围与计划
 13 | 
 14 | ### 3.2.1业务组织分析
 15 | * 负责BCP计划编制的人员，首要职责之一就是进行业务组织分析
 16 | 
 17 | ### 3.2.2 BCP团队的选择
 18 | * BCP的团队至少包括下列人员
 19 | * 核心服务部门代表
 20 | * 重要支持部门代表
 21 | * 技术专长的IT代表
 22 | * 了解BCP的安全代表
 23 | * 法律代表
 24 | * 高层管理
 25 | 
 26 | ### 3.2.3 资源要求
 27 | BCP不同阶段所需资源
 28 | 
 29 | * BCP开发：实施BCP过程的四个要素(项目范围和计划编制、业务影响评估、连续性计划、批准和实现)
 30 | * BCP测试、培训和维护
 31 | * BCP实现：实现BCP需要大量资源，包括大量人力资源
 32 | 
 33 | ### 3.2.4 法律和法规要求
 34 | * 许多行业受到联邦政府、州和地方法律或法规的限制
 35 | * 许多国家、金融机构和公司在处理数据时，会受到政府和国际银行与证券制度的严格控制
 36 | * BCP过程中，将组织的法律顾问添加进来是非常重要的
 37 | 
 38 | ## 3.3 业务影响评估（BIA）
 39 | 
 40 | ### 3.3.1 确定优先级
 41 | * 每个参与者创建一个优先级列表，从而创建一个优先级主列表
 42 | * 最大允许中断时间(MTD)：某个业务功能出现故障但是不会对业务产生无法弥补 的损失的最大终端时间
 43 | * 恢复时间目标（RTO）：恢复时间目标
 44 | * BCP过程的目标确保RTO小于MTD
 45 | 
 46 | ### 3.3.2 风险识别
 47 | * BIA过程的风险识别部分是纯粹的定性分析
 48 | 
 49 | ### 3.3.3 可能性评估
 50 | * 可能性评估通常使用年发生比率(ARO)表示
 51 | 
 52 | ### 3.3.4 影响评估
 53 | * 定量分析影响评估: ALE = SLE * ARO
 54 | * 定性分析影响评估: 丧失的声誉、员工的流失、社会/道德责任、消极的公共影响
 55 | 
 56 | ### 3.3.5 资源优先级划分（BIA）
 57 | * BIC的最后一个步骤是位不同风险所分配的业务连续性资源的优先级
 58 | * 合并定量和定性优先级列表
 59 | 
 60 | ## 3.4 连续性计划
 61 | 
 62 | ### 3.4.1 策略开发
 63 | * 策略开发：决定需要缓解的风险和每种缓解任务将被交付的资源级别
 64 | 
 65 | ### 3.4.2 预备和处理
 66 | * 在这个过程中BCP团队设计具体的过程和机制，将在策略开发阶段缓解被认为不可接受的风险
 67 | * 通过BCP预备和处理保护的资产人、建筑物/设备、基础设施
 68 | * 人：认识最有价值的资产，人的安全必须始终优于公司的商业目的
 69 | * 建筑物/设备：
 70 | 	* 强化预备措施，采取措施保护设施抵御策略开发阶段定义的风险
 71 | 	* 预备场所：确定业务活动可以立即回复的预备场所
 72 | * 基础设施:
 73 | 	* 强化系统：引入保护性措施为系统抵御风险
 74 | 	* 预备系统：引入冗余性保护
 75 | 
 76 | ### 3.4.3 计划批准和实现
 77 | * 完成BCP文档设计阶段，申请获得高级管理层的批准
 78 | 
 79 | ### 3.4.4 计划实现
 80 | * 高级管理员实批准后，BCP团队共同开发一个实现计划
 81 | 
 82 | ### 3.4.5 培训和教育
 83 | * 对具体的BCP任务评估，确保灾难发生时能有效完成其任务，人员的冗余性
 84 | 
 85 | ## 3.5 BCP文档化
 86 | * 确保BCP有一个连续性的书面文档，甚至资深BCP团队成员不在场可参考
 87 | * 提供BCP过程的历史记录
 88 | * 促使团队成员将他们的想法记录到纸上
 89 | 
 90 | ### 3.5.1 连续性计划的目标
 91 | * 计划应当描述BCP团队和高级管理员提出的连续性计划目标
 92 | 
 93 | ### 3.5.2重要性声明
 94 | * 重要性声明反应了BCP对于组织继续生存能力的关键程度
 95 | 
 96 | ### 3.5.3优先级声明
 97 | * 优先级声明是业务影响评估的优先级确定阶段的直接产物
 98 | 
 99 | ### 3.5.4 组织责任声明
100 | * 来自高管，重申组织对业务连续性计划的承诺
101 | 
102 | ### 3.5.5 紧急程度和实现声明
103 | * 参数实现BCP的关键性，并概述上层管理者同意的实现时间表
104 | 
105 | ### 3.5.6 风险评估
106 | 
107 | ### 3.5.7 可接受的风险/风险缓解
108 | 
109 | ### 3.5.8 重大记录计划
110 | 
111 | ### 3.5.9 影响紧急事件的指导原则
112 | 
113 | ### 3.5.10 维护
114 | 持续维护BCP文档和计划
115 | 
116 | ### 3.5.11 测试和演习
117 | 


--------------------------------------------------------------------------------
/第十五章  安全评估和测试.md:
--------------------------------------------------------------------------------
 1 | # 第十五章  安全评估和测试
 2 | 
 3 | ## 15.1 创建安全评估和测试程序
 4 | * 信息安全团队维护活动的基石就是他们的安全评估和测试程序，用来定期合适机构与重组的安全控制以及这些安全控制可以正常运行以便有效的保护信息资产
 5 | 
 6 | ### 15.1.1 安全测试
 7 | * 安全测试能够验证控制运行正常：测试包括自动扫描、工具辅助渗透测试和手动测试，安全团队可设计和验证一个综合的评估测试策略
 8 | * 安全专家仔细审核测试结果，保证每个测试是成功的
 9 | 
10 | ### 15.1.2 安全评估
11 | * 安全评估是对系统、应用程序或其他测试环境的综合评价
12 | * 安全评估工具的主要产出物是一份用于管理的评估报告，报告以非技术的语音描述评估结果，并且以具体建议作为结论，从而提高被测环境的安全性
13 | 
14 | ### 15.1.3 安全审计
15 | * 安全审计会使用与安全评估期间相同的许多技术，但必须由独立的审计员执行
16 | * 审计员对安全控制的状态做出的评估应公正、无偏见，他们编写的报告与安全评估报告非常类似
17 | * 内部审计由组织的内部审计人员执行且通常也是为了内部使用
18 | 
19 | ## 15.2 执行漏洞评估
20 | * 漏洞评估是信息安全专家工具箱的重要测试工具，为安全专家找到系统或应用在技术控制方面的弱点
21 | 
22 | ### 15.2.1 漏洞扫描
23 | * 漏洞扫描会自动对系统、应用程序和网络进行探测，寻找可能被攻击者利用的弱点
24 | * 漏洞扫描分三种 
25 |     * 网络发现扫描：使用多种技术对一系列IP地址进行扫描，搜索配有开放网络端口的系统，不能探测系统漏洞 
26 |         * TCP SYN扫描：向每个被扫描的端口发送带有SYN标志设置的单个数据包
27 |         * TCP 连接扫描：向指定端口的远程系统打开一个全连接
28 |         * TCP ACK扫描：发送带有ACK标志设置的单个数据包
29 |         * Xmas 扫描：发送带有FIN、PSH和URG标志设置的数据包
30 |     * 网络漏洞扫描： 在检测到开放端口后继续调查目标系统或网络来查找已知漏洞，还能执行一些测试，来确定系统是否已收到数据库中的每个漏洞影响
31 |     * WEB漏洞扫描：在WEB应用程序中搜寻已知漏洞的专用工具
32 | 
33 | ### 15.2.2 渗透测试
34 | * 渗透测试：为了试图让安全控制失效，进入目标系统或应用程序来展示缺陷
35 | * 渗透测试分三种 
36 |     * 白盒测试：为攻击者提供目标系统的详细情况，缩短了攻击事件并增加了发现安全漏洞的可能性
37 |     * 灰盒测试：部分知识测试
38 |     * 黑盒测试：不为攻击者提供任何信息，模拟外部攻击者在进行攻击之前试图获取业务和技术环境信息的情况
39 | 
40 | ## 15.3 测试你的软件
41 | * 软件是系统安全的关键组成部分，仔细测试软件对每一个现代组织的机密性、完整性和可用性都是至关重要的
42 | 
43 | ### 15.3.1 代码审查和测试
44 | * 代码审核和测试可能再缺陷生效并对经营产生负面影响之前发现安全、性能或可靠性缺陷
45 | 	* 代码审查：除了写代码的人以外的开发人员进行审查、查找缺陷
46 | 	* 静态测试：在不运行软件的情况下通过分析源代码或编译的 应用程序对软件进行评估，通常用来检测常用软件缺陷（如缓冲区溢出）的自动化工具
47 | 	* 动态测试：在运行环境中评估软件安全，对部署别人写的应用程序的组织来说说通常是唯一选择
48 | 	* 模糊测试：一项专门的动态测试技术，向软件提供许多不同类型的输入，来强调其局限性并发现先前未发现的缺陷 
49 |     	* 变异模糊测试：从软件的实际操作中提取之前的输入值，对其进行处理以创建模糊输入
50 |     	* 智能模糊测试：开发数据模型并创建新的模糊输入
51 | 
52 | ### 15.3.2 接口测试
53 | * 接口测试是开发复杂软件系统的一个重要部分，接口测试针对接口规范的性能，以确保所有开发工作完成后模块能正常运行 
54 |     * 应用编程接口（API）：为代码模块提供一种标准的方式进行交互
55 |     * 用户界面（UI）:为终端用户提供与软件交互的能力，测试包括审查所有的用户界面来验证他们能否正常运作
56 |     * 物理接口：一些操作机器、逻辑控制器或物理世界中其他对象的应用程序存在
57 | 
58 | ### 15.3.3 误用案例测试：
59 | * 软件测试人员使用称为误用测试案例或滥用用例测试的过程来评估他们的软件对于那些已知风险的脆弱性
60 | 
61 | ### 15.3.4 测试覆盖率分析
62 | * 软件测试专业人员经常进行测试覆盖率分析，进行估计对新软件进行测试的程度
63 | 
64 | ## 15.4 实现安全管理过程
65 | 
66 | ### 15.4.1 日志审核
67 | * 信息安全管理人员应该定期对日志进行审查，特别是敏感功能，以确保特权用户不滥用特例
68 | 
69 | ### 15.4.2 账户管理
70 | * 账户管理审核确保用户只保留授权权限，而没有发生未经授权的修改
71 | 
72 | ### 15.4.3 备份验证
73 | * 管理人员定期检查备份的结果，确保过程有效执行，满足组织的数据保护需求
74 | 
75 | ### 15.4.4 关键性能指标和风险指标
76 | * 安全管理人员应该维持监视关键性指标和风险指标 
77 |     * 开放漏洞的数量
78 |     * 解决漏洞的时间
79 |     * 被盗账户的数量
80 |     * 在生产前扫描中发现的软件缺陷数
81 |     * 重复审计发现
82 |     * 访问恶意网站的用户尝试


--------------------------------------------------------------------------------
/第二章  人员安全和风险管理概念.md:
--------------------------------------------------------------------------------
  1 | # 第二章  人员安全和风险管理概念
  2 | 
  3 | ## 2.1 促进人员安全策略
  4 | * 职责分离: 把关键的、重要的和敏感工作任务分配给若干不同的管理员或高级执行者，防止共谋
  5 | * 工作职责:最小特权原则
  6 | * 岗位轮换:提供知识冗余，减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险，还提供同级审计，防止共谋
  7 | 
  8 | ### 2.1.1 筛选候选人
  9 | 筛选方法:
 10 | 1. 背景调查
 11 | 2. 社交网络账户复审
 12 | 
 13 | ### 2.1.2雇佣协议和策略
 14 | * 雇佣协议
 15 | * 保密协议
 16 | 
 17 | ### 2.1.3 解雇员工的流程
 18 | 
 19 | ### 2.1.4 供应商、顾问和承包商控制
 20 | SLA:服务级别协议
 21 | 
 22 | ### 2.1.5 合规性
 23 | 合规是符合或遵守规则、策略、法规、标准或要求的行为
 24 | 
 25 | ### 2.1.6 隐私
 26 | 
 27 | ## 2.2安全治理
 28 | * 安全治理是支持、定义和指导组织安全工作相关的实践合集
 29 | * 第三方治理: 由法律、法规、行业标准、合同义务或许可要求规定的监督
 30 | 
 31 | ## 2.3理解和应用风险管理概念
 32 | 
 33 | ### 2.3.1风险术语
 34 | * 资产: 环境中应该加以保护的任何事物
 35 | * 资产估值: 根据实际的成本和非货币性支出作为资产分配的货币价值
 36 | * 威胁:任何可能发生的、为组织或某些特定资产带来所不希望的或不想要结果的事情
 37 | * 脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性
 38 | * 暴露:由于威胁而容易造成资产损失，暴露并不意味实施的威胁实际发生，仅仅是指如果存在脆弱性并且威胁可以利用脆弱性
 39 | * 风险:某种威胁利用脆弱性并导致资产损害的可能性 风险 =威胁 * 脆弱性，安全的整体目标是消除脆弱性和㢟长威胁主体和威胁时间危机资金安全，从而避免风险称成为现实
 40 | * 防护措施： 消除脆弱性或对付一种或多种特定威胁的任何方法
 41 | * 攻击: 发生安全机制被威胁主体绕过或阻扰的事情
 42 | * 总结：风险概念之间的关系
 43 | 
 44 | ![](https://i.imgur.com/HoJnEW4.png)
 45 | 
 46 | ### 2.3.2 识别威胁和脆弱性
 47 | IT的威胁不仅限于IT源
 48 | 
 49 | ### 2.3.3 风险评估/分析
 50 | **定量的风险分析**
 51 |  
 52 | 1. 暴露因子(EF)： 特定资产被已实施的风险损坏所造成损失的百分比 
 53 | 2. 单一损失期望(SLE):特定资产的单个已实施风险相关联的成本 SLE = 资产价值(AV) * 暴露因子(EF)
 54 | 3. 年发生占比（ARO）:特定威胁或风险在一年内将会发生的预计频率
 55 | 4. 年度损失期望（ALE）:对某种特定资产，所有已实施的威胁每年可能造成的损失成本 ALE = SLE * ARO
 56 | 5. 计算使用防护措施时的年损失期望
 57 | 6. 计算防护措施成本（ALE1-ALE2）- ACS 
 58 | 	* ALE1:对某个资产与威胁组合不采取对策的ALE
 59 | 	* ALE2：针对某个资产与威胁组合采取对策的ALE
 60 | 	* ACS：防护措施的年度成本
 61 | 
 62 | **定性的风险分析**
 63 | * 场景，对单个主要威胁的书面描述
 64 | * Delphi技术:简单的匿名反馈和响应过程
 65 | 
 66 | ### 2.3.4 风险分配/接受
 67 | * 风险消减：消除脆弱性或组织威胁的防护措施的实施
 68 | * 风险转让：把风险带来的损失转嫁给另一个实体或组织
 69 | * 风险接受：统一接受风险发生所造成的结果和损失
 70 | * 风险拒绝：否认风险存在以及希望风险永远不会发生
 71 | * 总风险计算公式：威胁 * 脆弱 * 资产价值 = 总风险
 72 | * 剩余风险计算公式：总风险 - 控制间隙 = 剩余风险
 73 | 
 74 | ### 2.3.5 对策的选择和评估
 75 | 风险管理范围内选择对策主要依赖成本/效益分析
 76 | 
 77 | ### 2.3.6 实施
 78 | * 技术性控制：采用技术控制风险
 79 | * 技术控制示例：认证、加密、受限端口、访问控制列表、协议、防火墙、路由器、入侵检测系统、阀值系统
 80 | * 行政管理性控制：依照组织的安全管理策略和其他安全规范或需求而定义的策略与过程
 81 | * 物理性控制：部署物理屏障，物理性访问控制可以防止对系统或设施某部分的直接访问
 82 | 
 83 | ### 2.3.7 控制类型
 84 | * 威慑：为了阻吓违反安全策略的情况
 85 | * 预防：阻止不受欢迎的未授权活动的发生
 86 | * 检测：发现不受欢迎的或未授权的活动
 87 | * 补偿：向其他现有的访问控制提供各种选项
 88 | * 纠正：发现不受欢迎或未授权的操作后，将系统还原至正常的状态
 89 | * 恢复：比纠错性访问控制更高级，如备份还原、系统镜像、集群
 90 | * 指令：指示、限制或控制主体的活动，从而强制或鼓励主体遵从安全策略
 91 | 
 92 | ### 2.3.8 监控和测量
 93 | * 安全控制提空的益处应该是可以测量和度量的
 94 | 
 95 | ### 2.3.9 资产评估
 96 | 
 97 | ### 2.3.10 持续改进
 98 | * 安全性总在不断变化
 99 | 
100 | ### 2.3.11 风险框架
101 | * 分类 对信息系统和基于影响分析做过处理、存储和传输的信息信息进行分类
102 | * 选择 基于安全分类选择初始化基线、安全基线
103 | * 实施 实施安全控制并描述如何在信息系统和操作环境中部署操作
104 | * 评估 使用恰当的评估步骤评估安全系统
105 | * 授权
106 | * 监控 不间断的监控信息系统的安全控制
107 | 
108 | ## 2.4 建立和管理信息安全教育、培训和意识
109 | * 培养安全意识的目标是将安全放在首位并且让用户意识到这点
110 | 
111 | ## 2.5 管理安全功能
112 | * 安全必须符合成本效益原则
113 | * 安全必须可度量


--------------------------------------------------------------------------------
/第四章  法律、法规和合规性.md:
--------------------------------------------------------------------------------
 1 | # 第四章  法律、法规和合规性  
 2 | 
 3 | ## 4.1 法律的分类
 4 | 
 5 | ### 4.1.1 刑法
 6 | * 刑法是法律体系的基石，刑法非常严肃，卷入其中需请求律师帮助
 7 | 
 8 | ### 4.1.2 民法
 9 | * 民法是法律体系的大部分，用于维护社会秩序
10 | * 民法和刑法的主要差异在于执行方式，刑法是政府通过执法调查员和检察官对犯罪人采取的措施，民法是受到冤枉的人得到法律建议，政府在纠纷和争论过程中不站在任何一方
11 | * 行政法:行政机构要求众多的机构对保证政府功能的有效性担负广泛的责任
12 | 
13 | ## 4.2 法律
14 | 
15 | ### 4.2.1 计算机犯罪
16 | * 计算机诈骗和滥用法案：用于跨越州边界的计算机犯罪，避免违反州的权利和践踏宪法
17 | * CFAA修正案(1994年)
18 | 	1. 可能造成计算机系统损害的、生成任何类型恶意代码的行为是不合法的
19 | 	2. 修改CFAA，包含了所有被用于州间贸易的计算机，而不只是包含联邦利益的计算系统
20 | 	3. 允许关押犯人，不管他们是否造成实际的损坏
21 | 	4. 为计算受害者提供民事诉讼的法律权利，受到的损失可以申请减轻和补偿
22 | * 计算机安全法案(1987年)：为所有的联邦机构设置了安全要求基准
23 | * 美国国家信息基础设施保护法案(1996)：扩展了计算机诈骗和滥用法案的保护范围，增加新的领域
24 | * 文书精简法案(1995年)：要求机构在请求大多数类型的公共信息之前，必须获得美国行政管理和预算局的批准
25 | * 政府信息安全改革法案(2000年)：修正了美国法典，从而实施额外的信息安全策略和措施
26 | * 美国联邦信息安全管理法案：要求联邦机构实施一个信息安全项目
27 | 	1. 定期评估风险
28 | 	2. 基于风险评估的策略和程序，在成本和效益的原则下，把信息安全风险降低到一个可接受级别
29 | 	3. 下级计划为网络、设施、信息系统和信息系统集群提供恰当的信息安全
30 | 	4. 提供安全意识培训
31 | 	5. 定期测试和评估安全策略、程序、时间和安全控制的 有效性
32 | 	6. 规划、实施、评估和记录补救措施
33 | 	7. 制定对信息安全事件监测、报告和响应的流程
34 | 	8. 制定计划和程序来确保支撑着组织运营和资产信息的系统持续运行
35 | 
36 | ### 4.2.2 知识产权
37 | * 版本和数字千禧年版权法案
38 | 	1. 版权法只保护计算机软件的内在表达方式，也就是实际的源代码，不保护软件背后的思想和过程
39 | 	2. 版权法保护时间：最后一位创作者死后70年
40 | 	3. DMCA还限制了当网络服务提供商的线路被犯罪用来违反版权法时应承担的责任
41 | * 商标：商标是单词、口语和标志语
42 | 	1. 商标不需要正式注册，公众活动期间使用商标，就会获得相关商标法保护,TM符号
43 | 	2. 正式承认商标，在美国专利局和商标局进行注册，注册后得到R符号表示
44 | * 专利权：保护发明者的知识产权，提供20年的保护
45 | * 专利权的要求:
46 | 	1. 发明必须是新的
47 | 	2. 发明必须是有用的
48 | 	3. 发明不是显而易见的
49 | * 商业秘密：保存生产过程的秘密
50 | * 版权和专利的缺点
51 | 	1. 版权和专利申请时，要求公开透露发明细节
52 | 	2. 版权和专利都提供有限时间的保护
53 | * 许可证
54 | 	1. 合同许可证
55 | 	2. 收缩性薄膜包装许可证协议，撕开封装软件包的收缩薄膜包装就承认了合同条款
56 | 	3. 单击包装许可证协议，单击一个按钮，表示已阅读协议条款并且同意遵守这些条款
57 | 	4. 云服务许可条款，屏幕上简单闪现法律条款供检阅
58 | 
59 | ### 4.2.3 进口/出口
60 | * 计算机出口控制
61 | * 加密产品出口控制
62 | 
63 | ### 4.2.4 隐私
64 | * 美国隐私法 
65 | 	1. 隐私法案(1974):严格限制美国联邦政府机构在没有当事人书面同意的情况下，向他人或其他机构泄露隐私信息的能力
66 | 	2. 电子通信 隐私法案(1986)个人电子隐私的侵犯是犯罪行为
67 | 	3. 执法通信协助法案(1994) 无论采用怎样的技术，所有通信运营商都需要允许持有适当法院判决的执法人员进行窃听
68 | 	4. 经济和专有信息保护法案(1996) 窃取经济信息的行为视为针对行业或公司的间谍行为
69 | 	5. 健康保险流通与责任法案(1996) 规定要求医院、医师、保险公司和其他处理或存储个人医疗隐私信息的组织采取严格的安全措施
70 | 	6. 2009关于经济和临床健康的卫生信息技术法案 引入泄密通告需求，泄密影响 超过500人，需通知卫生和人力服务部的部长和媒体
71 | 	7. 儿童联机隐私保护法案(1998年) 对关心孩子和有意收集孩子信息的网站提出要求 网站必须发送隐私通知，清楚说明收集信息的类型和用途 必须向父母提供机会，复查任何从他们的孩子那里收集到的信息，并可以永久删除这些信息 孩子年龄小于13岁，收集信息前，必须获得负责的允许
72 | 	8. Gramm-Leach-blilry法案(1999年) 对银行、保险公司和贷款提供商受到对他们所能体统的服务和相互共享的信息严格限制
73 | 	9. 美国爱国者法案（2001年）官方对个人的一揽子授权，政府可监视此人的所有通信、ISP可以自愿的向政府提供大范围的信息
74 | 	10. 子女教育权和隐私法案，赋予18岁以上的学生和未成年学生父母的确定隐私权
75 | 	11. 身份偷窃和冒用阻止法案
76 | * 欧盟隐私法，在欧洲进行商业活动的美国公司必须遵守7项处理个人信息要求
77 | 	1. 通知
78 | 	2. 选择：信息用于其他目的或第三方共享，他们必须允许个人决定退出，敏感信息必须采取决定参加的策略
79 | 	3. 向前传递：企业只可能与其他遵守安全避难所原则的企业共享时数据
80 | 	4. 访问：个人必须被授权访问任何包含其个人信息的数据
81 | 	5. 安全：必须采取适当的机制保护数据，以防止丢失、滥用和未授权的公开
82 | 	6. 数据完整性：企业必须采取措施，确保他们所维护信息的可靠性
83 | 	7. 实施：企业必须为个人提供争论解决办法，想管理机构提供证明，表明遵守安全避难所规定
84 | 
85 | ## 4.3 合规性
86 | * 组织受到各种法律约束以及来自监管机构或合同义务的强制合规
87 | 
88 | ### 4.4 合同和采购


--------------------------------------------------------------------------------
/第十九章  事件与道德规范.md:
--------------------------------------------------------------------------------
  1 | # 第十九章  事件与道德规范
  2 | 
  3 | ## 19.1 调查
  4 | * 所有信息安全专家迟早都要遇到调查的安全事件
  5 | 
  6 | ### 19.1.1 调查的类型
  7 | * 操作型调查：涉及组织的计算基础设施问题，且首要目标为解决业务问题，操作型调查较为宽松，为了解决操作问题以及识别出现问题的根本原因，以防出现类似问题
  8 | * 犯罪调查：通常由执法者进行，针对违反行为进行的调查，犯罪过程必须遵守非常严格的证据收集和保存过程
  9 | * 民事调查：涉及内部员工和外部顾问代表法律团队的工作，采用较弱证据标准
 10 | * 监管调查：政府机构认为个人和企业可能违反法律时会执行监管调查
 11 | * 电子发现：保留与安全相关的证据，兵在控诉双方之间分享信息
 12 | 
 13 | ### 19.1.2 证据
 14 | 为了成功检举犯罪，起诉律师必须提供足够的证据来正视某个人的罪行超出合理的怀疑
 15 | 
 16 | 1. 可接纳的证据
 17 | 	* 可接纳的证据必须满足三点： 
 18 |     	* 证据必须与实施相关
 19 |     	* 证据的实施必须对本案来说是必要的
 20 |     	* 证据必须有法定资格，意味必须合法获得
 21 | 2. 证据得了类型
 22 | 	* 法庭可用的证据有四个类型 
 23 |     	* 实物证据：也叫客观证据，实物证据是直接证据，还可能是无可辩驳的结论性证据
 24 |     	* 文档证据：所有带到法庭用于证明事实的书面内容，证据必须经过验证
 25 | 	* 两种额外的证据被用用与文档证据
 26 | 	* 最佳证据规则声明，必须为原始文档，原始证据的副本或说明不会被接受为证据
 27 |     	* 言辞证据：包括证人证词，也可以是记录存储的书面证据，
 28 |     	* 传闻证据：没有经过系统管理员验证的计算机日志文件可能被认为是传闻证据
 29 | 3. 证据收集过程
 30 | 	* 取证时，保留原来的证据可能很重要，分析数据时最好使用副本
 31 | 	* 介质分析：介质分析是计算机取证分析的分支，包括磁介质、光学介质、存储器
 32 | 	* 网络取证分析：网络取证分析往往取决于对事件发生的预先了解，或使用记录网络活动的已存在的安全控制，如 
 33 |     	* 入侵检测和防御日志
 34 |     	* 流量检测系统捕获的网络流量数据
 35 |     	* 事件发生过程中有意收集的数据包
 36 |     	* 日志、防火墙和其他网络安全设备
 37 | 	* 软件分析： 对软件及其活动进行检查
 38 | 	* 硬件/嵌入式设备分析：硬件和嵌入式设备分析需要专业的相关知识，掌握介质分析和软件分析
 39 | 
 40 | ### 19.1.3 调查过程
 41 | * 请求执法：首要决定是，是否请求执法机构介入
 42 | * 实施调查：如果不请求执法机构的协助，应当试图遵守合理的调查原则，以确保调查的准确和公平
 43 | 
 44 | ## 19.2 计算机犯罪的主要列别
 45 | * 攻击计算机系统有很多种方式，同事对计算机系统进行攻击的动机也有很多种
 46 | 
 47 | ### 19.2.1 军事和情报攻击
 48 | * 主要用于从执法机构或军事和技术研究机构获得秘密和受限的信息
 49 | 
 50 | ### 19.2.2 商业攻击
 51 | * 商业攻击专门非法获取公司机密信息
 52 | 
 53 | ### 19.2.3 财务攻击
 54 | * 财务攻击被用于非法获得钱财和服务
 55 | 
 56 | ### 19.2.4 恐怖攻击
 57 | * 恐怖攻击的目标是中断正常的生活和制造恐怖气氛，计算机恐怖攻击的目标可能是控制电厂、造成电力中断或控制电信
 58 | 
 59 | ### 19.2.5 恶意攻击
 60 | * 恶意攻击的冬季通常来自不满，并且攻击可能是现在或以前的员工，认真的对系统漏洞进行监控和评估，是应对大多数恶意攻击的最佳防御措施
 61 | 
 62 | ### 19.2.6 兴奋攻击
 63 | * 兴奋攻击是具有很少技能的破坏者发起的攻击，动机是闯入系统的及其兴奋
 64 | 
 65 | ## 19.3 事故处理
 66 | * 事件：在特定时间周期内发生的任何事情
 67 | * 事故：对组织数据的机密性、完整性和可用性具有负面影响的事件
 68 | 
 69 | ### 19.3.1 常见的事故类型
 70 | 1. 扫描：仅扫描系统可能并不犯法，扫描是一种普遍现象，因此一定要自动收集证据
 71 | 2. 泄密：系统或系统存储的信息进行的未授权访问
 72 | 3. 恶意代码： 保护恶意代码的最有效方法就是使用病毒和间谍软件进行扫描并保持特征数据库最新
 73 | 4. 拒绝服务攻击：最容易检测的事故类型
 74 | 
 75 | ### 19.3.2 响应团队
 76 | * 负责调查计算机安全事故的专门团队
 77 | 
 78 | ### 19.3.3 事故响应过程
 79 | 1. 检测和确认
 80 | 	* 确定事故以及通知适当的人员
 81 | 2. 响应和报告
 82 | 	* 一旦确定事故已发生，下一步就是选择恰当的行动 
 83 |     	* 隔离与抑制：致力于限制组织泄密和阻止进一步破坏
 84 |     	* 收集证据： 为了执行适当的调查，没收设局、软件或数据时常有的事情 
 85 |         	* 拥有人资源交出证据
 86 |         	* 法院传票或法令，强迫个人或组织交出证据，并由执法部门强制执行传唤
 87 |         	* 让员工签署协议，使其同意在调查期间可搜寻和没收任何必要的证据
 88 | 		* 分析和报告：收集完成证据，分析证据确定导致事故的一系列时间，并交给管理部门书面报告概述发现
 89 | 3. 恢复和补救
 90 | 	* 恢复：修正针对组织的所有已发生破坏，并限制将来由于类似事故导致的破坏
 91 | 	* 总结经验教训：反思行为能够为今后成功的事故响应提供重要参考
 92 | 
 93 | ### 19.3.4 约谈个人
 94 | * 约谈是一种专门得技巧，应当只由训练有素的调查人员进行
 95 | 
 96 | ### 19.3.5 事故数据的完整性和保存
 97 | * 一定要确保能够维护所有证据的完整性，方法如： 
 98 |     * 简单的归纳策略，有助于确保能够在需要时获得证据
 99 |     * 远程日志记录
100 | 
101 | ### 19.3.6 事故报告
102 | * 事故发生之前，与公司的法律人员或适当的执法代理机构建立良好的关系是非常明智的
103 | 
104 | ## 19.4 道德规范
105 | * 道德规范是对专业人士行为的最低标准
106 | 
107 | ### 19.4.1 ISC的道德规范
108 | * 保护社会、公益、必须的公信与自信，以及基础设施
109 | * 行为得体、诚实、公正、负责和遵守法律
110 | * 为委托人提供尽职的、胜任的服务工作
111 | * 发展和保护职业
112 | 
113 | ### 19.4.2 道德规范和互联网
114 | * 不可接受和不道德的 
115 |     * 试图获得未经授权访问internet资源的权利
116 |     * 破坏Internet正常使用
117 |     * 通过这些行为耗费资源
118 |     * 破坏以计算机为基础的信息的完整性
119 |     * 危害用户的隐私权


--------------------------------------------------------------------------------
/第一章  通过原则和策略的安全治理.md:
--------------------------------------------------------------------------------
  1 | #第一章  通过原则和策略的安全治理
  2 | 
  3 | ## 1.1 理解和应用机密性、完整性和可用性的
  4 | 安全的主要目标，CIA三元组 机密性、完整性和可用性，每条原则的重要性主要取决于组织的安全目标以及安全性所受到的威胁程度
  5 | 
  6 | ### 1.1.1 机密性
  7 | * 机密性：限制未授权主体不能访问数据、客体或资源提供了高级别保证
  8 | * 针对机密性的攻击：捕捉网络通信、窃取密码文件、社会工程学、端口扫描、肩窥、偷听、嗅探攻击，人为错误
  9 | * 有助于机密性的对策： 加密、网络流量填充、严格的访问控制、严格的认证程序、数据分类和广泛的人员培训
 10 | * 机密性和完整性相互依赖
 11 | 
 12 | ### 1.1.2 完整性
 13 | * 完整性：客体必须保持自身的正确性，并且只能由被授权的主体进行有意修改
 14 | * 针对完整性的破坏： 病毒、逻辑炸弹、未授权访问、编码和应用程序的错误、恶意修改、有企图的替换以及系统后门，人为错误
 15 | * 保护完整性的措施：严格的访问控制、严密的身份认证、入侵检测系统、加密、散列总和认证、接口限制、输入/功能检测以及广泛的人员培训
 16 | * 完整性依赖机密性，缺乏机密性，完整性无法维护
 17 | 
 18 | ### 1.1.3 可用性
 19 | * 可用性：经过授权的主体被及时准许和不间断的访问客体
 20 | * 针对可用性的威胁：设备故障、软件错误、环境问题、DOS攻击、客体损坏和通信中断
 21 | * 可用性依赖完整性和机密性，缺乏完整性和机密性无法维护可用性
 22 | 
 23 | ### 1.1.4 其他安全概念
 24 | 1. 身份标识
 25 | 	* 主体表明身份，并开启可问责性
 26 | 	* 身份认证：认证或测试所声明身份合法性的过程就是身份认证，身份认证要求主体的附加信息必须完全对应于被表明的身份
 27 | 2. 授权
 28 | 	* 确保请求的活动或客体访问，可以获得通过身份认证和指派的权利和特权，对授权的定力使用了访问控制模型中的概念，如DAC,MAC或RBAC
 29 | 3. 审计
 30 | 	* 审计是对系统中未授权的或异常的活动进行检测的过程，日志为重建事件、入侵和系统故障的历史提供了审计跟踪，通过审计为起诉提供证据、生成问题报告和分析报告
 31 | 	* 审计通常为操作系统和大多数应用程序和服务的内在特性，因此配置系统功能来记录特定类型时间的相关信息非常简单
 32 | 4. 可问责性
 33 | 	* 只有支持可问责性，才能正确实施组织的安全策略
 34 | 	* 为	了获得切实可行的可问责性，在法律上你必须能够支持自己的安全性
 35 | 5. 不可否认性
 36 | 	* 不可否认性确保活动或事件的主体无法否认所发生的事情
 37 | 	* 身份标识、身份认证、授权、可问责性和审计使不可否认性称为可能，使用数字证书、会话标识符、事务日志以及其他很多传输和访问控制机制，建立不可否认性
 38 | 
 39 | ### 1.1.5 保护机制
 40 | 许多控制通过使用保护机制对机密性、完整性和可用性保护
 41 | 
 42 | * 分层
 43 | 	* 简单的使用连续的多重控制，也被称为深度防御，连续分层使用串行分层法
 44 | 	* 分层还包括网络由多个独立实体组成的概念，所有构成的单个安全防线的网络系统之间存在协同作用，共筑安全防线
 45 | * 抽象
 46 | 	* 为提高效率而使用的，将相似的元素放入组、类别或角色中，在为客体分类或主体分配角色时，就使用到抽象的概念
 47 | 	* 抽象能够为安类型或功能分类的客体组分配安全控制方法，并抽象简化安全措施
 48 | * 数据隐藏：
 49 | 	* 将数据置于主体不可访问或无法看到的存储空间，从而防止主体发现或访问数据
 50 | 	* 不让未授权的访问者访问数据库是隐藏，限制分类级别较低的主体访问级别较高的数据是隐藏，组织应用程序直接访问硬件还是数据隐藏
 51 | 
 52 | ## 1.2 应用安全治理原则
 53 | * 安全治理是实践行为的集合，这些实践都支持、定义和指导组织的安全工作相关
 54 | * 安全治理的共同目标就是维护业务流程，同时努力实现增长和弹性
 55 | * 安全治理也有合规性上的需求，是实施安全的解决方案和管理方法，安全是整个组织同时进行管理和控制的，而不只是在IT部门
 56 | 
 57 | ### 1.2.1 安全功能战略、目标、任务和愿景的一致
 58 | * 安全管理计划能确保安全策略的适当创建、实现和实施
 59 | * 安全策略编制的最好方法是自上而下，高层或管理部门负责启动和定义组织的安全策略，安全策略为组织中较低级别的人员指出防线，中层管理部门的职责是在安全策略的指导下制定标准、基准、指导方针和程序，操作管理者和安全专家负责实现安全管理文档中规定的配置要求，用户遵守组织制定的安全策略
 60 | * 安全管理计划编制包括：定义安全角色；规定如何管理安全性、谁负责安全性 以及如何测试安全性的效益；开发安全策略；执行风险风险；对员工进行安全教育
 61 | 安全管理计划团队开发的三种计划
 62 | * 战略计划： 相当稳定的长期计划，定义组织的目标，长期的目标和愿景在战略计划中被讨论，还包括风险评估
 63 | * 战术计划：中期计划，用于提供实现战略计划所提出目标的详细细节，包括项目计划、采购计划、雇佣计划、预算计划、维护计划、支持计划以及系统开发计划
 64 | * 操作计划：基于战略计划和战术计划制定的非常周详的计划，清楚说明了如何完成组织机构的各种目标，包括：培训计划、系统部署计划和产品设计计划
 65 | 
 66 | ### 1.2.2 组织流程
 67 | * 安全治理需要照顾到组织的方方面面，包括收购、剥离和治理委员会等组织流程
 68 | 变更控制/变更管理
 69 | * 安全环境的改变可能引入导致心脆弱性出现的漏洞、重叠、客体丢失和疏漏，面对变更，维持安全性的唯一方法就是系统的管理变更
 70 | * 变更管理的目的就是确保任何变更都不能降低或危机安全性，还负责能够将任何变更都回滚到先前的安全状态
 71 | * 并行变更是变更管理过程的示例，旧系统和新系统并行运行，确保新系统支持老系统所支持和提供的所有必须的业务功能性
 72 | 数据分类
 73 | * 分类的主要目的： 根据重要性和敏感性给数据分配标签，对数据安全保护过程进行规范化和层次化
 74 | * 政府/军方分类： 绝密、秘密、机密、敏感但非机密、非机密
 75 | * 商业/私营部门的分类： 机密、隐私、敏感、公开
 76 | 
 77 | ### 1.2.3 安全角色和责任
 78 | * 高级管理者：最终负责组织机构安全维护和最关心保护资产的人，高层管理者对安全解决方案的总体成败负有责任，并且对组织机构建立安全性予以适度关注并尽职尽责
 79 | * 安全专家：职责是保护安全性，包括制定和实现安全策略，安全专家不是决策制定者，只是实现者，决策都必须又高层管理制定
 80 | * 数据所有者： 分配给再安全解决方案中为了防止和保护信息而负责对信息进行分类的人，
 81 | * 数据管理员：负责实施安全策略和上层管理者规定的保护任务的用户，这些措施包括：完成和测试数据备份，确认数据的完整性，部署安全解决方案以及根据分类管理数据存储
 82 | * 用户：分配给具有安全系统访问权限的任何人
 83 | * 审计人员：负责测试和认证安全策略是否被正确实现以及衍生出来的安全解决方案是否合适，完成遵守情况报告和有效性报告，高层管理者审查这些报告
 84 | 
 85 | ### 1.2.4 控制架构
 86 | * 安全指定计划必须从规划计划开始，然后规划标准和合规，最后进行实际的计划开发和设计
 87 | * 信息及相关控制目标（COBIT），记录了一整套优秀的IT安全实践
 88 | 
 89 | ### 1.2.5 应尽关注和应尽职责
 90 | * 应尽关注：通过合理的关注保护组织利益，开发规范化的安全结构
 91 | * 应尽职责：不断实践维护应尽关注成果的活动，将安全结构应用到机构的IT基础设施中
 92 | * 高管必须做到应尽关注和应尽职责才能在出现损失时减少他们的过过失和职责
 93 | 
 94 | ## 1.3 开发和文档化安全策略、标准、指导方针和程序
 95 | 维护安全性是业务发展的重要组成部分
 96 | 
 97 | ### 1.3.1 安全策略
 98 | * 规范化的最高层次就是安全策略，许多组织都采用多种类型的安全策略来定义或概括他们整体的安全策略
 99 | * 规章式的策略：用于让人们遵守规章制度的安全措施
100 | * 建议式策略：讨论可接受的行为和活动，并且定义违背安全性的后果，这种策略解释了高层管理部门对组织内部安全和遵守规定的期望
101 | * 信息式的安全策略：设计用于提供特定主体的相关信息或知识
102 | 
103 | ### 1.3.2 安全标准、基准及指南
104 | * 标准为硬件、软件、技术和安全控制方法的统一使用定义了强制性要求，标准是战术文档，定义达到安全策略指定的目标和总体方向的步骤和方法
105 | 


--------------------------------------------------------------------------------
/第十四章  控制和监控访问.md:
--------------------------------------------------------------------------------
  1 | # 第十四章  控制和监控访问
  2 | 
  3 | ## 14.1 对比访问控制模型
  4 | * 授权主体访问客体根据不同IT系统的访问控制方法不同而不同
  5 | * 明确提到的四种方法：自主访问控制（DAC），强制访问控制（MAC），基于角色的访问控制（role-BAC），基于规则的访问控制（rule-BAC）
  6 | 
  7 | ### 14.1.1 对比许可、权限和特权
  8 | * 许可：许可是指授予对象的访问权以及对具体的访问权内容的确定
  9 | * 权限：指一个对象采取行动的能力
 10 | * 特权：特权是许可和权限的结合
 11 | 
 12 | ### 14.1.2 理解授权机制
 13 | * 隐私拒绝：访问控制的基本原则是隐私拒绝，并且为大多数授权机制所使用
 14 | * 访问控制矩阵：一个包含主体、客体和分配权限的表格，当主体想要执行某个动作时，系统检查访问控制矩阵来确定主体是否有适当的权限执行该动作
 15 | * 功能表：分配给主体特权的另一种方式，关注主体（如用户、用户组）(DAC自主访问控制)
 16 | * 限制接口：根据用户的特权限制用户可以做什么可以看什么
 17 | * 内容有关的控制：基于客体中的内容来限制对数据的访问，数据库视图使一个基于内容的控制
 18 | * 上下文相关的控制： 需要在授予用户访问权之前进行特定的活动
 19 | * 知其所需：确定主体只在他们的工作任务和工作职能有要求时被授予访问权
 20 | * 最小特权：确保主体只能被授予他们执行工作任务和工作职能所需的特权
 21 | * 职责分离：确保敏感功能被分成由两个或两个以上员工执行
 22 | 
 23 | ### 14.1.3 用安全策略定义需求
 24 | * 安全策略：一个定义组织安全需求的问题，它识别需要保护的资产，以及安全解决方案应该保护他们的程度
 25 | 
 26 | ### 14.1.4 部署纵深防御
 27 | * 组织使用深度防护 策略实现访问控制，使得多层访问控制提供多层安全
 28 | * 深度防御的概念重点： 
 29 |     * 组织的安全策略，这是惯例访问控制之一，通过定义安全需求为资产提供了一层防御
 30 |     * 人员是防御的重要组成部分
 31 |     * 行政管理性、技术性和物理性访问控制的结合提供更为强大的防御
 32 | 
 33 | ### 14.1.5 自主访问控制
 34 | * 自主访问控制：系统允许客体的所有者、创建者或数据保管者控制和定义主体对客体的访问
 35 | * 基于身份的访问控制是DAC的一个子集
 36 | * 常常针对客体的访问控制列表来实现DAC模型
 37 | 
 38 | ### 14.1.5 非自主访问控制
 39 | * 可自由支配和不可任意支配的访问控制之间的主要区别在于他们如何对他们进行控制和管理
 40 | * 非DAC访问不关注用户的身份，集中控制易于管理，主要为基于规则的、基于角色和基于格子的访问控制
 41 | 
 42 | * 基于角色的访问控制：采用基于角色或基于任务的访问控制系统基于主体的角色或分配任务定义主体访问对象的能力，基于角色的访问控制经常使用组来管理，类似银行机构，基于角色的访问控制在有频繁认识变动的动态环境是有用的
 43 | 	* DAC和role-BAC的区别：DAC中，所有者确定谁有权利访问；role-BAC中，管理员确定主体特权，并将特权分配给角色和组
 44 | 	* TBAC与role-BAC相似：区别为TBAC通过分配任务而不是通过用户身份来控制访问
 45 | 
 46 | * 基于规则的访问控制：使用一套规则、限制或过滤器来确定能以及不能出现在系统上的东西，它的独特特征是适用于所有主体的全局规则，常见例子防火墙
 47 | 
 48 | * 基于属性的访问控制：用使用多个属性的规则策略，许多软件定义的网络应用使用ABAC模型
 49 | 
 50 | * 强制访问控制模型：**依赖标签（通过分级和分类识别）**，每个分类标签代表一个安全域或安全领域，安全域是共享安全策略的主客体集合，客体由标签来表明他们的分类水平和敏感度，通常被称为**基于格子的模型（基于格子访问控制模型，包含一对元素即主体与客体，主体具有上限或高于上限的被访问对象）**
 51 | * MAC模型中的分类使用一下三种类型的环境之一 
 52 |     * 分层环境：将有序结构中的各个分类标签与低安全等级、中安全等级、高安全等级相互联系
 53 |     * 隔离区环境：一个安全域和另一个安全域之间没有关系
 54 |     * 混合环境： 结合分层和隔离区间的概念，包含更多细分等级，与安全域的剩余部分相隔离
 55 | 
 56 | ## 14.2 理解访问控制攻击方式
 57 | * 访问控制的目标就是组织针对客体的未授权访问，包括访问任何系统信息，IT安全方法试图防止机密性破坏、完整性破坏和可用性破坏
 58 | 
 59 | ### 14.2.1 风险元素
 60 | * 风险指的是某种潜在的威胁利用某种漏洞造成某种损失的可能性
 61 | 
 62 | * 威胁指的是某个时间发生的趋势，可能会产生某种不良后果
 63 | 
 64 | * 漏洞指的是任何类型的脆弱性
 65 | 
 66 | 风险管理，即通过执行控制和应对措施视图减少或消除漏洞或减少潜在威胁的影响
 67 | 
 68 | 1. 识别资产 
 69 | 	* 资产评估值得是确定各种资产的实际价值并对他们进行目标优选
 70 | 	* 风险管理就是将重点放在价值高的资产上，并执行控制来减少风险对这些资产的影响
 71 | 2. 识别威胁
 72 | 	* 识别资产并确定优先级后，组织试图是被对有价值系统的任何可能威胁
 73 | 	* 试图减少漏洞，以及减少任何易燃存在的漏洞的影响，总体是减少风险
 74 | 3. 威胁建模方法
 75 |     * 专注资产： 使用资产估值结果，并试图是被对有价值资产的威胁
 76 |     * 专注攻击者： 是被潜在的攻击者，并基于攻击者的目标是被他们代表的威胁
 77 |     * 专注软件： 组织开发软件，考虑针对软件的潜在威胁
 78 | 4. 高级持续性威胁
 79 |     * APT 一群熟练者持续高强度的攻击
 80 | 5. 识别脆弱性
 81 |     * 试图发现这些系统在潜在威胁前面的弱点
 82 |     * 脆弱性分析是一个持续的过程，包括技术和管理措施
 83 |     * 风险分析通常包括脆弱性分析，评价系统和环境的已知威胁和漏洞，然后利用漏洞的渗透测试
 84 | 
 85 | ### 14.2.2 常见的访问控制攻击
 86 | * 访问控制攻击试图绕过访问控制方法 
 87 |     * 访问聚合攻击：收集多个非敏感信息，然后将他们结合起来获得敏感信息，侦查攻击就是访问聚合攻击
 88 |     * 密码攻击：密码是最弱的形式认证，攻击者成功发动密码攻击，就可以访问账户和授权给账户的所有资源了 
 89 |     * 字典攻击：通过预定义数据库或常见预定义密码列表中所有可能的密码来发现密码
 90 |     * 暴力攻击：试图通过系统尝试所有可能的字母、数字和符号组合来发现用户账户的密码
 91 |     * 生日攻击：关注寻找碰撞，可以通过带有足够位数的散列算法和盐来降低生日攻击的成功性
 92 |     * 彩虹表攻击：通过大型预先计算的散列数据库来减少时间，许多系统通过撒盐来减少彩虹表攻击的有效性
 93 |     * 嗅探攻击：通过网络发送的数据包，以便对数据包进行分析
 94 |     * 电子欺骗攻击：伪装成某物或某人 
 95 |     * 邮件欺骗：伪装邮件地址，行程邮件来自其他来源的假象，如钓鱼攻击
 96 |     * 电话欺骗：更改电话号码
 97 |     * 社会工程学攻击：攻击者通过欺骗尝试获取他们信任的行为，诱骗人们透露敏感信息
 98 |     * 网络钓鱼：一种社交工程陷阱，诱骗用户，打开附件或链接 
 99 |     * 鱼叉式钓鱼：一种针对特定用户组的钓鱼方式
100 |     * 捕鲸：目标欧式高层人员或高管
101 |     * 语音钓鱼：通过及时通信和网络电话欺骗用户
102 |     * 智能卡攻击：旁路是一种被动的、非侵入性的攻击
103 |     * 拒绝服务攻击： 最值系统记性处理或组织和发流量或资源请求的响应
104 | * 防护方法汇总
105 |     * 对系统的物理访问控制：“如果攻击者无限制地对计算机进行物理访问，攻击者就会拥有它”
106 |     * 对文件的电子访问控制：严格控制和监控对密码文件的电子访问
107 |     * 加密密码文件： 对可用操作系统的密码文件进行强加密有助于保护他们免受未经授权的访问
108 |     * 创建强密码策略： 通过编程的密码策略可用强制使用强密码策略
109 |     * 使用密码掩码：确保应用程序在任何屏幕上都没有以明文方式显示过密码
110 |     * 配置多因素身份认证：比如使用生物识别技术或令牌设备
111 |     * 使用账户锁定控制：有助于防止在线密码攻击
112 |     * 使用最后一次登录通知：记录最后一次成功登陆的时间、日期和地点，用户可以注意到是否有其他人登陆自己账户
113 |     * 对用户进行安全教育
114 | 


--------------------------------------------------------------------------------
/第七章  PKI和密码学应用.md:
--------------------------------------------------------------------------------
  1 | # 第七章  PKI和密码学应用 
  2 | 
  3 | ## 7.1 非对称密码学
  4 | * 对称密码系统具有共享的秘钥系统，从而产生了安全秘钥分发的问题
  5 | * 非对称密码学使用公钥和私钥对，无需支出复杂密码分发系统
  6 | 
  7 | ### 7.1.1 公钥与私钥
  8 | 
  9 | ### 7.1.2 RSA（兼具加密和数字签名）
 10 | * RSA算法依赖于大质数在因素分解时固有的计算难度
 11 | 
 12 | ### 7.1.3 EI Gamal
 13 | * EI Gamal优点： 公开发布，使用免费（扩展了Diffie-Hellman秘钥交换协议，支持消息的加解密）
 14 | * 缺点：算法加密的任何消息的长度都加倍
 15 | 
 16 | ### 7.1.4 椭圆曲线密码系统(ECC)
 17 | * 1088位的RSA秘钥相当于160位的椭圆曲线密码系统的秘钥强度
 18 | 
 19 | ## 7.2 散列函数
 20 | * 散列函数的用途： 产生消息摘要
 21 | * 散列函数的基本要求：
 22 | 	1. 输入值可以是任意长度
 23 | 	2. 输出值具有固定长度
 24 | 	3. 散列函数在计算任何输入值要相对容易
 25 | 	4. 散列函数是单向的
 26 | 	5. 散列函数是不会发生冲突的
 27 | 
 28 | ### 7.2.1 SHA
 29 | * SHA-1不安全，SHA-2理论上不安全
 30 | 
 31 | ### 7.2.2 MD2
 32 | * 非单向函数，已不再使用
 33 | 
 34 | ### 7.2.3 MD4
 35 | * MD4存在消息摘要冲突，不是安全的散列算法
 36 | 
 37 | ### 7.2.4 MD5
 38 | * 512位的消息分组，消息摘要128位
 39 | * 散列函数以及生成函数值的长度
 40 | 
 41 | ![](https://i.imgur.com/YjDAmLz.png)
 42 | 
 43 | ## 7.3 数字签名
 44 | * 数字签名的目标
 45 | 	* 可以向接收方保证、消息确实来自自己申明的发送者，且实施了不可否认性
 46 | 	* 向接收方保证：消息在传输过程中没有改变
 47 | * 消息签名本身不提供隐私保护，只满足加密目标中的完整性和不可否认性
 48 | 
 49 | ### 7.3.1 HMAC 基于散列的消息身份认证代码
 50 | * 实现了部分数字签名功能，保证了消息传输过程的完整性、但不提供不可否认性
 51 | * HMAC依赖一个共享的秘钥，所以不提供不可否认性
 52 | 
 53 | ### 7.3.2 数字签名标准
 54 | * DSS标准加密算法
 55 | * 数字签名算法（DSA）
 56 | * RSA算法（既能数字签名又能加密！）
 57 | * 椭圆曲线数字签名算法(ECDSA)
 58 | 
 59 | ## 7.4 公钥基础设施(PKI)
 60 | * 公钥加密主要优点是原本不认识的双方之间的通信变得很容易，受信任的公钥基础设施层次使这一点称为可能
 61 | 
 62 | ### 7.4.1 证书
 63 | * 数字证书为通信双方提供了保证，保证在与之通信的人确实具有他们所宣称的身份
 64 | 
 65 | ### 7.4.2 证书授权机构
 66 | * 证书授权机构(CA)将基础设施绑定在一起，中立的组织机构为数字证书提供公证服务
 67 | 
 68 | ### 7.4.3 证书的生成与撤销
 69 | 1. 注册
 70 | 	* 采取某种方式向证书授权机构证明身份的过程被称为注册
 71 | 2. 验证
 72 | 	* 通过CA的公钥检查CA的数字签名来验证证书，接着检查证书没在CRL（证书撤销列表）
 73 | 3. 撤销
 74 | 	* 证书撤销原因：证书遭到破坏、证书被错误的发放、证书的细节发生变化、安全性关联发生变化
 75 | 	* 证书撤销的技术：
 76 | 	* 证书撤销列表：缺点是必须顶起下载并交叉参照，证书的撤销和通知用户撤销之间存在时间延迟
 77 | 	* 联机证书状态协议:解决认证撤销列表的固有延迟
 78 | 
 79 | ### 7.4.4 非对称秘钥的管理
 80 | * 选择加密系统
 81 | * 选择秘钥
 82 | * 使用公钥加密时，一定要保证私钥的机密性
 83 | * 秘钥在服务一段时期后应当停止使用
 84 | * 秘钥备份
 85 | 
 86 | ## 7.5 密码学的应用
 87 | 
 88 | ### 7.5.1 便携式设备
 89 | * 目前主流操作系统都包括磁盘加密功能、商业工具提供额外的功能和管理能力
 90 | 
 91 | ### 7.5.2 电子邮件
 92 | 1. 电子邮件规则
 93 | 	* 邮件机密性，加密邮件
 94 | 	* 邮件完整性，进行散列运算
 95 | 	* 邮件身份认证和完整性，进行数字化签名
 96 | 	* 邮件机密性、完整性、身份认证和不可否认性，对邮件加密和数字化签名
 97 | 2. 电子邮件标准
 98 | 	* 可靠隐私（PGP）商业版RSA、IDEA加密协议，使用MD5生成消息摘要；免费版使用Diff-Hellman秘钥交换，CAST128位的加密/解密算法以及SHA-1散列函数
 99 | 	* S/MIME(安全多用途互联网邮件扩展协议)：依靠X.509证书交换密码系统秘钥，这一支持AES、3DES和RSA
100 | 
101 | ### 7.5.3 Web应用
102 | * SSL协议，SSL的目标是建立安全的通信通道
103 | 	* POODLE攻击（贵宾犬攻击）的攻击表明在TLS的SSL 3.0反馈机制中存在重大缺陷，很多机构放弃对SSL的支持，依靠TLS的安全性。
104 | * 隐写术和水印
105 | 	* 隐写术：使用密码学技术在另一条消息内嵌入秘密消息的方法
106 | 	* 水印：检测拷贝并且跟踪拷贝来源
107 | 
108 | ### 7.5.4 数字版权管理(DRM)
109 | * 音乐、电影、电子书、视频游戏、文档
110 | 
111 | ### 7.5.5 网络连接
112 | 1. 链路加密
113 | 	* 链路加密使用软件或硬件解决在两个点之间建立一条安全隧道
114 | 	* 端到端加密有终于保护双方之间的通信安全，并且可以独立于链路加密实施
115 | 	* 链路加密和端到端的加密区别：链路加密中，所有的数据都会被加密，下一条重新解密然后加密，降低了路由速度，端到端的加密不加密头、尾、地址和路由数据，容易被嗅探和偷听者攻击
116 | 	* SSH是一个端到端的加密
117 | 2. IPSec（Internet密钥交换（IKE）解决了在不安全的网络环境（如Internet）中安全地建立或更新共享密钥的问题。）
118 | 	* IPSec通过公钥密码学提供加密、访问控制、不可否认性以及消息身份认证，并且一般使用IP协议
119 | 	* IPSec组件：
120 | 		* 身份验证头(AH),提供完整性和不可否认性的保证、提供身份认证和访问控制，并可以防止重放攻击
121 | 		* 安全封装有效载荷(ESP) 提供数据包内容的机密性和完整性，提供有限的身份认证，防止重放攻击
122 | 	* IPSec两种操作模式：
123 | 		* 运输模式：只有数据包有效载荷被加密，为对等通信设计
124 | 		* 隧道模式：整个数据包都会被加密，为网关间通信设计
125 | 3. ISAKMP（网络安全关联秘钥管理协议）
126 | 	* 通过协商、建立、修改和删除安全关联为IPSec提供后台的安全支持服务
127 | 	* ISAKMP基本要求：
128 | 		* 对通信对等进行身份关联
129 | 		* 建立并管理安全关联
130 | 		* 提供秘钥生成机制
131 | 		* 防止遭受威胁
132 | 4. 无线互联
133 | * 有限等价隐私（WEP）
134 | 	* WiFi安全访问：通过TKIP（临时秘钥完整协议）消除危害WEP的密码学弱点（客户端到无线接入点）
135 | 
136 | ## 7.6 密码学攻击
137 | * 分析攻击：试图降低算法复杂性的代数运算，关注算法本身的逻辑
138 | * 实现攻击：利用密码学系统的实现中的弱点，涉及错误与权限，编写加密系统程序所使用的方法
139 | * 统计攻击：试图发现驻留密码学应用程序的硬件或操作系统中的漏洞
140 | * 蛮力攻击：尝试有可能的、有效的秘钥或密码组合，彩虹表和转为蛮力涉及和开发的专业化、可扩展的硬件
141 | * 频率分析和仅知密文攻击：拥有加密后的密文信息，即仅知密文攻击；频率分析就是一种已证明可行的对抗简单密码的技术
142 | * 已知明文攻击：攻击者具有已加密消息的副本以及用以产生密文的明文消息
143 | * 选定密文攻击：攻击者能够解密所选的部分密文信息，并且可以使用已解密的部分消息来发现秘钥
144 | * 选定明文攻击：攻击者能够加密所选的明文信息，可以分析加密算法输出的密文
145 | * 中间相遇攻击：针对使用两轮加密的算法
146 | * 中间人攻击：怀有恶意的人置身于通信双方之间的位置并截获所有的通信
147 | * 生日攻击：冲突攻击或逆向散列匹配，寻找散列函数一一对应特性中的缺陷，基于两个不同的消息使用相同的散列函数产生共同的消息摘要的概率
148 | * 重放攻击：拦截通信双方的加密消息，重放捕捉的信息以打开新的会话
149 | 


--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
 1 | # CISSP 学习笔记
 2 | 
 3 | 以网上搜集到的CISSP学习资料为基础，补充修改了关键内容，不保证正确。
 4 | 
 5 | ## 目录
 6 | 
 7 | * [第一章  通过原则和策略的安全治理](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E4%B8%80%E7%AB%A0%20%20%E9%80%9A%E8%BF%87%E5%8E%9F%E5%88%99%E5%92%8C%E7%AD%96%E7%95%A5%E7%9A%84%E5%AE%89%E5%85%A8%E6%B2%BB%E7%90%86.md)
 8 | 
 9 | * [第二章  人员安全和风险管理概念](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E4%BA%8C%E5%8D%81%E7%AB%A0%20%20%E8%BD%AF%E4%BB%B6%E5%BC%80%E5%8F%91%E5%AE%89%E5%85%A8.md)
10 | 
11 | * [第三章  业务连续性计划](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E4%B8%89%E7%AB%A0%20%20%E4%B8%9A%E5%8A%A1%E8%BF%9E%E7%BB%AD%E6%80%A7%E8%AE%A1%E5%88%92.md)
12 | 
13 | * [第四章  法律、法规和合规性](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%9B%9B%E7%AB%A0%20%20%E6%B3%95%E5%BE%8B%E3%80%81%E6%B3%95%E8%A7%84%E5%92%8C%E5%90%88%E8%A7%84%E6%80%A7.md)
14 | 
15 | * [第五章  保护资产的安全](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E4%BA%94%E7%AB%A0%20%20%E4%BF%9D%E6%8A%A4%E8%B5%84%E4%BA%A7%E7%9A%84%E5%AE%89%E5%85%A8.md)
16 | 
17 | * [第六章  密码学与对称加密算法](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%85%AD%E7%AB%A0%20%20%E5%AF%86%E7%A0%81%E5%AD%A6%E4%B8%8E%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86%E7%AE%97%E6%B3%95.md)
18 | 
19 | * [第七章  PKI和密码学应用](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E4%B8%83%E7%AB%A0%20%20PKI%E5%92%8C%E5%AF%86%E7%A0%81%E5%AD%A6%E5%BA%94%E7%94%A8.md)
20 | 
21 | * [第八章  安全模型的原则、设计和功能](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%85%AB%E7%AB%A0%20%20%E5%AE%89%E5%85%A8%E6%A8%A1%E5%9E%8B%E7%9A%84%E5%8E%9F%E5%88%99%E3%80%81%E8%AE%BE%E8%AE%A1%E5%92%8C%E5%8A%9F%E8%83%BD.md)
22 | 
23 | * [第九章  安全脆弱性、威胁和对策](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E4%B9%9D%E7%AB%A0%20%20%E5%AE%89%E5%85%A8%E8%84%86%E5%BC%B1%E6%80%A7%E3%80%81%E5%A8%81%E8%83%81%E5%92%8C%E5%AF%B9%E7%AD%96.md)
24 | 
25 | * [第十章  物理安全需求](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E7%AB%A0%20%20%E7%89%A9%E7%90%86%E5%AE%89%E5%85%A8%E9%9C%80%E6%B1%82.md)
26 | 
27 | * [第十一章  网络安全架构与保护网络组件](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E4%B8%80%E7%AB%A0%20%20%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E6%9E%B6%E6%9E%84%E4%B8%8E%E4%BF%9D%E6%8A%A4%E7%BD%91%E7%BB%9C%E7%BB%84%E4%BB%B6.md)
28 | 
29 | * [第十二章  安全通信和网络攻击](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E4%BA%8C%E7%AB%A0%20%20%E5%AE%89%E5%85%A8%E9%80%9A%E4%BF%A1%E5%92%8C%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB.md)
30 | 
31 | * [第十三章  管理身份与认证](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E4%B8%89%E7%AB%A0%20%20%E7%AE%A1%E7%90%86%E8%BA%AB%E4%BB%BD%E4%B8%8E%E8%AE%A4%E8%AF%81.md)
32 | 
33 | * [第十四章  控制和监控访问](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E5%9B%9B%E7%AB%A0%20%20%E6%8E%A7%E5%88%B6%E5%92%8C%E7%9B%91%E6%8E%A7%E8%AE%BF%E9%97%AE.md)
34 | 
35 | * [第十五章  安全评估和测试](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E4%BA%94%E7%AB%A0%20%20%E5%AE%89%E5%85%A8%E8%AF%84%E4%BC%B0%E5%92%8C%E6%B5%8B%E8%AF%95.md)
36 | 
37 | * [第十六章  管理安全运营](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E5%85%AD%E7%AB%A0%20%20%E7%AE%A1%E7%90%86%E5%AE%89%E5%85%A8%E8%BF%90%E8%90%A5.md)
38 | 
39 | * [第十七章  事件预防和响应](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E4%B8%83%E7%AB%A0%20%20%E4%BA%8B%E4%BB%B6%E9%A2%84%E9%98%B2%E5%92%8C%E5%93%8D%E5%BA%94.md)
40 | 
41 | * [第十八章  灾难恢复计划](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E5%85%AB%E7%AB%A0%20%20%E7%81%BE%E9%9A%BE%E6%81%A2%E5%A4%8D%E8%AE%A1%E5%88%92.md)
42 | 
43 | * [第十九章  事件与道德规范](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E5%8D%81%E4%B9%9D%E7%AB%A0%20%20%E4%BA%8B%E4%BB%B6%E4%B8%8E%E9%81%93%E5%BE%B7%E8%A7%84%E8%8C%83.md)
44 | 
45 | * [第二十章  软件开发安全](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E4%BA%8C%E5%8D%81%E7%AB%A0%20%20%E8%BD%AF%E4%BB%B6%E5%BC%80%E5%8F%91%E5%AE%89%E5%85%A8.md)
46 | 
47 | * [第二十一章  恶意代码与应用攻击](https://github.com/wuzukang/CISSP/blob/master/%E7%AC%AC%E4%BA%8C%E5%8D%81%E4%B8%80%E7%AB%A0%20%20%E6%81%B6%E6%84%8F%E4%BB%A3%E7%A0%81%E4%B8%8E%E5%BA%94%E7%94%A8%E6%94%BB%E5%87%BB.md)


--------------------------------------------------------------------------------
/第十六章  管理安全运营.md:
--------------------------------------------------------------------------------
  1 | # 第十六章  管理安全运营
  2 | 
  3 | ## 16.1 应用安全运营概念
  4 | * 安全运营实践的主要目的是保障系统中信息资产的安全性
  5 | 
  6 | ### 16.1.1 知其所需和最小特权
  7 | * 知其所需和最小特权是值得在任何IT安全环境中采纳的两条标准原则
  8 | 	* 知其所需访问：利用需求来给用户授权，仅根据为完成所分配任务而授权访问需要操作的数据或资源，目的是为了保持机密性
  9 | 	* 最小特权
 10 | 		* 表明主体仅仅授予执行已分配工作任务的特权，不会拥有超出其工作任务的特权，目的是保护完整性
 11 | 		* 最小特权原则不仅仅延伸到数据访问，也应用到系统访问中
 12 | * 其他的人员概念： 
 13 |     * 授予：授予特权设计一系列用户获取的特权
 14 |     * 聚合：最小特权环境下的聚合设计用户随着时间而收集到的一系列特权
 15 |     * 传递信任：非信任传递出现在两个安全域中，信任传递扩展了两个安全域以及他们的所有子域之间的信任关系
 16 | 
 17 | ### 16.1.2 职责和责任分离
 18 | * 职责和责任分离确保没有单个人能控制某个关键功能和整个系统，确保没有单个人能危害到系统或系统的安全性
 19 | * 职责分离策略建立了一个相互支援和平衡的系统
 20 | 	* 特权分离 
 21 |     	* 特权分离类似于任务和职责分离的概念，建立在最小特权原则上并应用到应用程序和进程中，特权分离策略要求使用颗粒状的权限和许可
 22 | 	* 职责划分
 23 |     	* 职责划分类似于任务和责任分离的策略，但也结合最小特权原则，目的是确保个人没有可能导致成立以冲突的额外系统访问
 24 | 	* 双人控制
 25 |     	* 类似于职责划分，需要两个人认同关键任务，确保了并行互审，减少共谋和欺骗的可能性
 26 | 
 27 | ### 16.1.3 岗位轮换
 28 | * 岗位轮换作为安全控制可以提供并行审查，减少欺骗并促进交叉培训
 29 | 
 30 | ### 16.1.4 强制休假
 31 | * 提供一种互审形式，有助于检测欺诈和共谋
 32 | 
 33 | ### 16.1.5 监控特殊的权限
 34 | * 特殊的权限操作是一项需要特殊访问或较高的权限来执行许多管理员和敏感工作任务的活动
 35 | * 通常任何类型的管理员账户都有高级特权并应该监控他，也能授予用户较高的特权但不给用户授予所有的管理访问权
 36 | 
 37 | ### 16.1.6 管理信息生命周期
 38 | * 安全控制保护了整个生命周期内的信息，通用方法包括标记、处理、存储和恰当销毁数据 
 39 |     * 标记数据：确保用户能很容易的标识数据价值，用户应该在创建数据后不久就标记他们
 40 |     * 处理数据：主要涉及数据的传输，并且关键是在传输过程中提供与数据存储相同级别的保护
 41 |     * 存储数据：数据存储的位置需要得到保护一起防止丢失，数据主要存储在磁盘驱动上，需要人周期性的备份有价值的数据
 42 |     * 销毁数据：以一种数据不可读的方式来销毁
 43 | 
 44 | ### 16.1.7 服务级别协议
 45 | * SLA（服务级别协议）是组织和外部实体之间的一份协定，保证对性能的期望被满足，不能满足这些期望会受到处罚
 46 | 
 47 | ### 16.1.8 关注人员安全
 48 | * 关注人员安全是安全运营中非常重要的安全因素
 49 | 
 50 | ## 16.2 提供和管理资源
 51 | * 安全运营知识域的另一个元素就是整个生命周期中的资产配置及管理
 52 | 
 53 | ### 16.2.1 管理硬件和软件资产
 54 | * 硬件清单
 55 | 	* 许多组织使用数据库和库存应用程序来清点库存和跟踪硬件资产
 56 | 	* 无线射频识别（RFID）标签可以减少清点库存的时间
 57 | 	* 保存敏感数据的编写介质设备也视为一种资源
 58 | * 软件许可
 59 | 	* 组织购买软件，并经常使用许可证秘钥来激活软件，软件许可确保系统没有未授权的软件安装
 60 | 
 61 | ### 16.2.2 保护物理资产
 62 | * 物理资产在IT硬件之外，包括所有的物理设施，如办公建筑以及内部设施，栅栏，路障，安保，闭路电视系统等
 63 | 
 64 | ### 16.2.3 管理虚拟资产
 65 | * 为了大幅度节约成本，组织逐步使用越来越多的虚拟化技术，虚拟资产如下： 
 66 |     * 虚拟机（VM）
 67 |     * 软件定义网络（SDN）:将控制平面从数据平面中分离出来
 68 |     * 虚拟存储区域网络（VSAN） 虚拟化的存储设备
 69 | 
 70 | ### 16.2.4 管理基于云的资产
 71 | * 云的服务模式： 
 72 |     * 软件即服务（SaaS）:通过web浏览器提供全功能的应用程序
 73 |     * 平台即服务（PaaS）: 为消费者提供一个计算平台，包括硬件、操作系统和应用程序
 74 | 	* 基础设施即服务（IaaS）:为消费者提供基本的计算资源，包括服务器，存储和某些情况下的网络资源，消费者自己安装操作系统和应用程序
 75 | * 云模式： 
 76 |     * 公共云：任何消费者租用的资产由外部CSP管理
 77 |     * 私有云：组织自己的资源创建和管理私有云
 78 |     * 社区云：两个或多个组织提供云基础资产
 79 | 	* 混合云： 两个或两个以上的云组合
 80 | 
 81 | ### 16.2.5 介质管理
 82 | * 介质管理是采用措施管理保护介质和存储在介质上的数据
 83 | * 当介质包含敏感信息时，信息应该被存储在安全的位置，并且加以严格的访问控制
 84 | * 介质管理还可以包括使用技术控制来限制来自于计算机系统的设备访问
 85 | 	* 磁带介质管理 
 86 |     	* 磁带常易因腐蚀而被破坏，最好保留两份备份
 87 |     	* 存储区的清洁度将直接影响磁带介质设备的寿命和实用性
 88 | 	* 移动设备
 89 |     	* 移动设备包括智能手机和平板电脑
 90 | 
 91 | ### 16.2.6 管理介质的生命周期
 92 | * 一旦备份介质已达到其寿命，就要进行销毁
 93 | 
 94 | ## 16.3 配置管理
 95 | * 配置管理有助于保护系统处于一致安全的状态，并在整个生命周期维护这种状态
 96 | 
 97 | ### 16.3.1 基线
 98 | * 当系统处于部署在有安全基线状态下时，系统会更安全
 99 | * 基线可与检查列表同事产生，脚本和操作系统工具被用来实现基线，使用自动的方法减少手动基线的潜在错误
100 | 
101 | ### 16.3.2 用镜像创建基线
102 | * 管理员在计算机上安装操作系统和所需的应用程序
103 | * 管理员使用镜像制作软件捕获系统的镜像
104 | * 手动将镜像部署到系统中
105 | 
106 | ## 16.4 变更管理
107 | * 变更管理有助于减少由于未授权变更造成的不可预料的中断，变更管理的目的是确保变更不会导致中断
108 | * 变更可能会削弱安全性
109 | 
110 | ### 16.4.1 安全影响分析
111 | * 专家对变更管理进行评估并识别安全影响之后，工作人员才开始实施变更
112 | * 变更的常见步骤： 
113 |     * 请求变更：工作人员请求变更
114 |     * 审查变更：专家审查变更
115 |     * 批准/拒绝变更：专家批准和拒绝变更
116 |     * 计划和实施变更：
117 | 	* 记录变更：记录变更以确保所有相关人员熟悉变更
118 | 
119 | ### 16.4.2 版本控制
120 | * 版本控制指软件皮遏制管理中使用的版本控制，如果不能通过某种类型的版本控制系统来控制变更，可能会引发变更导致的网站瘫痪
121 | 
122 | ### 16.4.3 配置文档
123 | * 配置文档确定当前系统的配置，定义系统负责人和系统目标，应用于基线的变更
124 | 
125 | ## 16.5 补丁管理和减少漏洞
126 | * 补丁管理和漏洞管理同时用于保护企业的系统免受威胁
127 | 
128 | ### 16.5.1 补丁管理
129 | * 补丁是用于任何类型代码编写的笼统术语
130 | * 补丁管理的共同步骤 
131 |     * 评估补丁： 供应商发布补丁后，管理员评估补丁，已确定补丁适用于他们的系统
132 |     * 测试补丁： 管理员随时测试单一系统的补丁，以确定补丁不会带来其他副作用
133 |     * 批准补丁：测试补丁并确定安全性之后，批准补丁
134 |     * 部署补丁：经过测试和皮核准，管理员部署补丁
135 |     * 确认补丁已部署：部署补丁后，管理员定期测试和审计系统，以确保系统补丁仍然有效
136 | 
137 | ### 16.5.2 漏洞管理
138 | * 漏洞管理是指定期检测漏洞，评估并采取相应措施来减少相关风险，漏洞管理程序的常见要素是漏洞扫描和定期脆弱性评估
139 | 
140 | ### 16.5.3 漏洞扫描
141 | * 漏洞扫描是用来测试系统和网络有无已知安全问题的软件工具，攻击者利用漏洞扫描检测系统和网络中的漏洞
142 | 
143 | ### 16.5.4 漏洞评估
144 | * 漏洞评估通常包含漏洞扫描结果，漏洞扫描评估往往是风险分析和风险评估的一部分
145 | 
146 | ### 16.5.5 常见漏洞和披露
147 | 通用漏洞披露（CVE）列表，CVE数据库为组织创建补丁管理和漏洞管理提供了方便


--------------------------------------------------------------------------------
/第六章  密码学与对称加密算法.md:
--------------------------------------------------------------------------------
  1 | # 第六章  密码学与对称加密算法
  2 | 
  3 | ## 6.1 密码学历史上的里程碑
  4 | 
  5 | ### 6.1.1 凯撒密码
  6 | 简单的将字母表中的每个字母替换成其后的三个字母，是单一字母的替代置换密码
  7 | 
  8 | ### 6.1.2 美国内战
  9 | 美国内战使用词汇替代和置换的复杂组合，从而试图破坏敌人的破译企图
 10 | 
 11 | ### 6.1.3 Ultra与Enigma
 12 | 
 13 | ## 6.2 密码学基础
 14 | 
 15 | ### 6.2.1 密码学的目标
 16 | 密码系统基本目标： 机密性、完整性、身份认证和不可否认性
 17 | 
 18 | * 机密性
 19 | 	* 机密性：确保存储中或在传输中保持秘密状态
 20 | 	* 对称秘钥密码：密码系统中所有用户都使用一个共享的秘钥
 21 | 	* 公钥密码系统: 每个用户都能够使用公钥和私钥的组合密码
 22 | * 完整性
 23 | 	* 完整性：确保数据在传输过程中不背修改
 24 | 	* 完整性通过传输消息时创建的数字签名摘要来强制实施，公钥和私钥密码都能实施完整性
 25 | * 身份认证
 26 | 	* 身份认证： 声明的系统用户身份进行验证，是密码系统的主要功能
 27 | * 不可否认性
 28 | 	* 不可否认性为接受者提供了担保，保证消息确实来自发送者而不是来自伪装成发送者的人
 29 | 	* 秘密秘钥（对称秘钥）密码系统不提供不可否认性
 30 | 	* 公钥(非对称秘钥)密码系统提供不可否认性
 31 | 
 32 | ### 6.2.2密码学概念
 33 | * 消息发送者使用密码学算法将明文消息加密为密文消息，使用字母C表示
 34 | * 创建和实现秘密编码和密码的技术被称为密码术
 35 | * 密码术和密码分析学被成为密码学
 36 | * 编码或解码在硬件或软件商的具体操作被成为密码系统
 37 | 
 38 | ### 6.2.3 密码学的数学原理
 39 | * 二进制数学：
 40 | * 逻辑运算: OR、AND、NOT、XOR、模函数、单向函数、随机数、零知识证明、分割知识、工作函数
 41 | * 分割知识：单个解决方案中包含职责分离和两人控制被称为分割知识
 42 | * 零知识证明：零知识证明就是既能充分证明自己是某种权益的合法拥有者，又不把有关的信息泄露出去——即给外界的“知识”为“零”。证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。
 43 | * 工作函数：从成本和/或时间方面来度量所有努力，就可以度量密码学系统的强度
 44 | 
 45 | ### 6.2.5 密码
 46 | * 编码与密码：
 47 | 	* 编码：密码学系统中标识词汇或短语的符号
 48 | 	* 密码：隐藏消息的真实含义
 49 | * 换位密码：使用某种加密算法重新排列明文消息中的字母，从而形成密文消息
 50 | * 替代密码：使用加密算法将明文消息中的每一个字符或比特都替换为不同的字符、如凯撒密码
 51 | * 一次性填充密码：对明文消息的每个字母都使用一个不同的字母表，极为强大的替代密码，一个不可破解的加密方案必须满足如下要求：
 52 | 	1. 加密秘钥必须随机生成
 53 | 	2. 一次性填充必须进行物理保护
 54 | 	3. 每个一次性填充必须只使用一次
 55 | 	4. 秘钥必须至少与被加密的消息一样长
 56 | 	5. 一次性填充缺点：只可用于短消息、分发和保护需要冗长的秘钥
 57 | * 分组密码：按消息的"组块"或分组进行操作，并且对整个消息分组同时应用加密算法
 58 | * 流密码：对消息中的每一个字符或每一位操作，每次只处理一个/以为，如凯撒密码
 59 | * 混淆与扩散：
 60 | 	* 混淆：攻击者不能通过继续修改明文和分析产生的密文来确定秘钥
 61 | 	* 扩展：明文改变导致多种变化时，这个变化扩散到整个密文中
 62 | 
 63 | ## 6.3 现代密码学
 64 | 
 65 | ### 6.3.1 密钥
 66 | * 现代密码系统并不依赖其算法的安全性
 67 | * 现代密码系统不依赖于保密的算法
 68 | * 现代密码学系统依赖具体的用户或用户组专用的一个或多个秘钥
 69 | 
 70 | ### 6.3.2 对称秘钥算法
 71 | * 对称秘钥依赖一个共享的加密秘钥，该秘钥会分发给所有参与通信的成员
 72 | * 对称秘钥也被成为秘密秘钥密码学或私有秘钥密码学
 73 | * 对称秘钥的弱点
 74 | 	1. 秘钥分发是一个问题： 对称秘钥建立通信之前，通信参与必须具备一个安全的交换秘钥的方法
 75 | 	2. 对称秘钥密码学并未实现不可否认性
 76 | 	3. 这种算法不可扩充
 77 | 	4. 秘钥必须经常更新
 78 | * 对称秘钥密码可扩展性问题：n个通信方之间完全连接需要的秘钥总数为：n*（n-1）/2
 79 | 
 80 | ### 6.3.2 非对称秘钥算法
 81 | * 非对称秘钥算法也被成为公钥算法，每个用户都有公钥和私钥
 82 | * 非对称秘钥的优点：
 83 | 	1. 新增用户只需要生成一对公钥-私钥对
 84 | 	2. 从非对称系统中更容易删除用户
 85 | 	3. 只有在用户的私钥被破坏时，才需要进行秘钥重建
 86 | 	4. 非对称秘钥加密提供了完整性、身份认证和不可否认性
 87 | 	5. 秘钥分发是一个简单的过程
 88 | 	6. 不需要预先存在通信链接
 89 | * 对称和非对称密码学系统比较：
 90 | 
 91 | ![](https://i.imgur.com/JZahd7h.png)
 92 | 
 93 | ### 6.3.4 散列算法
 94 | * 常用的散列算法：
 95 | 	* 消息摘要2（MD2）
 96 | 	* 消息摘要5（MD5）
 97 | 	* 安全散列算法(SHA-0,SHA-1,SHA-2)
 98 | 	* 基于散列的消息身份认证代码(HMAC)
 99 | 
100 | ## 6.4 对称密码
101 | * 常见对称密码系统：DES（数据加密标准）、3DES（三重数据加密标准）、IDEA（国际数据加密算法）、Blowfish、Skipjack、AES（高级加密标准）
102 | 
103 | ### 6.4.1 数据加密标准(DES) 来源于Lucifer算法，DEA是实现DES标准的算法
104 | * DES是一个64位的分组密码，具有五种操作模式
105 | 	1. 电子代码本模式（ECB）：安全性最差，每次处理一个64位分组，简单的使用秘钥对这个分组进行加密
106 | 	2. 密码分组链接模式（CBC）：未加密文本的每个分组使用DES算法加密前，都与前一密文分组进行异或操作。
107 | 		* 缺点：错误传播，一个分组在传输中被破坏，这个分组将无法解密。
108 | 	3. 密码回馈模式（CFB）：流密码形式的CBC、针对实时生成的数据进行操作
109 | 	4. 输出回馈模式（OFB）：与CFB模式几乎相同。
110 | 		* 优点是不存在链接功能，传输错误不会通过传播影响之后分组的解密。
111 | 	5. 计数模式（CTR）：流密码，每次操作后都增加的计数，与OFB模式一样，不传播错误。
112 | 
113 | ### 6.4.2 三重数据加密算法(3DES)
114 | * 3DES有四个版本：
115 | 	1. DES EEE3：使用三个不同的秘钥对明文加密三次
116 | 	2. DES EDE3：使用三个秘钥，但是将第二个加密操作替换成解密操作
117 | 	3. DES EEE2：只使用两个秘钥
118 | 	4. DES EDE2：使用两个秘钥、中间使用解密操作
119 | 
120 | ### 6.4.3 国际数据加密算法（IDEA）
121 | * 针对DES算法的秘钥长度不够开发的，采用128位的秘钥进行操作，
122 | 
123 | ### 6.4.4 Blowfish（SSH使用）
124 | * Blowfish扩展了IDEA的秘钥长度，可使用变长秘钥，BlowFish比IDEA和DES更快的算法
125 | 
126 | ### 6.4.5 Skipjack
127 | * 对64位的文本分组操作，使用80位的秘钥
128 | * 没有被密码学团队普通接受，因为托管程序由美国政府控制
129 | 
130 | ### 6.4.6 高级加密协议(AES)（ Rijndael、Twofish算法加密 ）
131 | * 使用128、192、和256位加密，支持128分组处理对称加密算法记忆表
132 | * Twofish算法 利用了两种技术：预白噪声化、后白噪声化
133 | 
134 | ![](https://i.imgur.com/kgOSQGZ.png)
135 | 
136 | ### 6.4.7 对称秘钥管理
137 | 1. 创建和分发对称密码
138 | 	* 离线分发：一方向另一方提供包括秘钥的一张纸或一份存储介质
139 | 	* 公钥加密：使用公钥加密建立初始的通信链接，在链接中交换秘钥
140 | 	* Diffie-Hellman算法：在不安全的链路中交换秘钥
141 | 2. 存储和销毁对称秘钥
142 | 	* 永远不要将加密秘钥存储在存放加密数据一起
143 | 	* 敏感秘钥考虑两个人分别持有秘钥的一般
144 | 3. 秘钥托管
145 | 	* 公平密码系统：私钥分成多分，交给独立的第三方
146 | 	* 托管加密标准：向政府提供解密密文的技术手段
147 | 
148 | ### 6.4.8 密码生命周期
149 | * 确定组织可以接受和使用的加密算法
150 | * 基于传输信息的敏感性确认算法可接受的秘钥长度
151 | * 列出可以使用的安全传输协议（SSL和TLS）


--------------------------------------------------------------------------------
/第二十一章  恶意代码与应用攻击.md:
--------------------------------------------------------------------------------
  1 | # 第二十一章  恶意代码与应用攻击
  2 | 
  3 | ## 21.1 恶意代码
  4 | 恶意代码对象包括广泛的代码形式的计算机安全威胁，威胁利用各种网络、操作系统、软件和物理安全漏洞对计算机系统散播恶意载荷
  5 | 
  6 | ### 21.1.1 恶意代码的来源
  7 | 恶意代码来自相当有经验的软件开发人员以及一些脚本小子，目前大量病毒被反病毒机构证明准许任何具有极少技术知识的人制造病毒并在互联网上传播
  8 | 
  9 | ### 21.1.1 病毒
 10 | 病毒具有两个主要功能，传播和破坏，这都能产生任何针对系统或数据机密性、完整性和可用性的负面影响
 11 | 
 12 | 1. 病毒传播技术 
 13 | 	* 病毒必须包括能够在系统之间进行传播的技术，4中常见的传播技术： 
 14 |     	* 主引导记录病毒：系统读取受到感染的MBR,病毒会引导系统读取并执行在另一个地方的代码，从而将病毒加载到内存中，并可能触发病毒有效载荷的传播
 15 |     	* 文件程序感染病毒：感染不同类型的可执行文件，并且在操作系统师徒执行这些文件时触发，文件程序感染病毒的变种是同班病毒，利用与合法操作系统文件类似但又稍有不同的文件名来躲避检查
 16 |     	* 宏病毒：应用程序为了协助重复任务的自动执行而实现某些功能
 17 |     	* 服务器注入病毒：通过成功破坏受信进程，能够绕过主机上运行的任何防病毒软件的检测
 18 | 2. 容易受到病毒攻击的平台
 19 |     * 大多数计算机病毒被设计成破坏windos上运运行的活动
 20 | 3. 反病毒机制
 21 |     * 使用特征型反病毒时，软件包的有效性只依赖于基础性的病毒定义文件的有效性
 22 |     * 许多反病毒人廉使用基于启发式的机制来检测潜在的恶意软件感染
 23 |     * 大多数现代反病毒软件产品能够检测、删除和清除系统上的大量不同类型的恶意代码
 24 |     * 其他的软件包也提供了辅助反病毒功能
 25 | 4. 病毒技术：
 26 |     * 复合病毒：使用多种传播技术师徒渗透只防御其中一种方法的系统
 27 |     * 隐形病毒：通过对操作系统的实际篡改来欺骗反病毒软件包认为所有的事情都工作正常，从而将自己隐藏起来
 28 |     * 多态病毒：在系统间传输时，多态病毒实际上会修改自己的代码，这种病毒的传播和破坏技术保持相同，但每次感染新的系统时病毒的特征略有不同
 29 |     * 加密病毒：使用密码输来躲避检测，通过修改在磁盘上的存储方式来躲避检测
 30 | 5. 骗局
 31 |     * 病毒骗局如收到携带病毒的电子邮件
 32 | 
 33 | ### 21.1.3 逻辑炸弹
 34 | * 逻辑炸弹是感染系统并且在达到一个或多个满足的逻辑条件前保持休眠状态的恶意代码
 35 | 
 36 | ### 21.1.4 特逻辑木马
 37 | * 特洛伊木马是一种软件程序，表面上友善，实质上承载恶意的有效载荷，具有对网络和系统的潜在破坏能力，另一变种-勒索软件，勒索软件感染目标计算机，然后使用加密技术来对加密存储在系统上的文档、电子表格和其他文件
 38 | 
 39 | ### 21.1.5 蠕虫
 40 | 蠕虫包含的破坏潜力与其他恶意代码对象相同，还具有额外的手段，不需要任何人干预就可以传播自己
 41 | 
 42 | 1. Code Red蠕虫：系统管理员必须确保他们为连接Internet的系统使用了软件供应商所发布的适当的安全补丁
 43 | 2. 震网病毒：高度复杂的蠕虫使用各种高级技术来传播，似乎从中东开始传播
 44 | 
 45 | ### 21.1.6 间谍软件与广告软件
 46 | * 间谍软件会监控你的动作，并向暗中监视你活动的远程系统传送重要的细节
 47 | * 广告软件使用多种技术在被感染的计算机上现时广告
 48 | 
 49 | ### 21.1.7 对策
 50 | * 针对恶意代码的主要防护手段就是使用反病毒过滤软件，至少在三个关键区域考虑反病毒软件过滤 
 51 |     * 客户端系统
 52 |     * 服务器系统
 53 |     * 内容过滤系统： 对入站和出站电子邮件以及Web流量进行内容过滤，是非常明智的
 54 | * 零日漏洞的存在，使得必须在组织中拥有强大的补丁管理城西，确保应用及时更新
 55 | 
 56 | ## 21.2 密码攻击
 57 | * 攻击者获得对系统非法访问的最简单技术之一就是获悉已授权系统用户的用户名和密码
 58 | 
 59 | ### 21.2.1 密码猜测攻击
 60 | * 攻击者只师徒猜测用户的密码
 61 | 
 62 | ### 21.2.2 字典攻击
 63 | * 密码攻击者使用自动化工具运行自动的字典攻击
 64 | 
 65 | ### 21.2.3 社会工程学攻击
 66 | * 社会工程学是攻击者用于获得系统访问权限的最有效工具之一
 67 | 
 68 | ### 21.2.4 对策
 69 | * 安全人员应该经常提醒用户选择安全密码进行保密的重要性
 70 | * 为用户提供安全密码所需的知识，告诉他们攻击者在猜测密码时所使用的技术，并且为用户提供一些有关如何建立强密码的建议
 71 | 
 72 | ## 21.3 应用程序攻击
 73 | 
 74 | ### 21.3.1 缓冲区溢出
 75 | * 缓冲区溢出漏洞存在于开发人员不正确的验证用户的输入，输入太大，影响存储在计算机内存中的其他数据
 76 | 
 77 | ### 21.3.2 检验时间到使用时间
 78 | * 时间型漏洞，当程序检查访问许可权限的时间大大遭遇资源请求的时间时，就会出现这种问题
 79 | 
 80 | ### 21.3.3 后门
 81 | * 没有记录到文档中的命令序列，允许软件开发人员绕过正常的访问限制
 82 | 
 83 | ### 21.3.4 权限提升和rookit
 84 | * 攻击者权限提升攻击的最常见方法之一就是通过rookit
 85 | * 系统管理员必须关注针对其环境所使用操作系统而发布的最新补丁，并且始终坚持应用这些修正措施
 86 | 
 87 | ## 21.4 Web应用的安全性
 88 | 
 89 | ### 21.4.1 跨站脚本（XSS）攻击
 90 | * 当web应用程序包含反射式输入类型时，就容易出现跨站脚本攻击
 91 | * 防御跨站攻击的方法：确定许可的输入类型，然后通过验证实际输入来确保其与制定模式匹配
 92 | 	* 非持久型XSS（反射型），攻击者欺骗受害者处理一个用流氓脚本编写的URL，从而偷取受害者敏感信息cookie、会话ID等。攻击原理是利用动态网站上缺少适当的输入或者输出确认。
 93 | 	* 持久型XSS（存储型、第二顺序），通常针对的是那些让用户输入存储在数据库或其他任何地方（论坛、留言板、意见簿等）的数据网站。攻击者张贴一些包含恶意JavaScript的文本，在其他用户浏览这些帖子时，他们的浏览器会呈现这个页面并执行攻击者的JavaScript。
 94 | 	* 文件对象模型（Document Objec Model，DOM，也叫本地跨站脚本）XSS，DOM是标准结构布局，代表着浏览器中的HTML和XML。在这样的攻击中，像表单字段和cookie这样的文档组件可通过JavaScript被引用。攻击者利用DOM环境来修改最初的客户端JavaScript。这使受害者的浏览器执行由此而导致的JavaScript代码。
 95 |   
 96 | * **CSRF：**攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。
 97 | 	* 例如：一个网站用户Bob可能正在浏览聊天论坛，而同时另一个用户Alice也在此论坛中，并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下，Alice编写了一个在Bob的银行站点上进行取款的form提交的链接，并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息，并且此cookie没有过期，那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie，这样在没经Bob同意的情况下便授权了这次事务。  
 98 | ![](https://i.imgur.com/7sXc5Ip.jpg)
 99 | 
100 | ### 21.4.2 SQL注入攻击
101 | SQL注入攻击使用了Web应用程序不期望的输入
102 | 
103 | 1. 动态Web应用程序：如果web应用程序存在缺陷，可能导致某写使用SQL主攻击的用户能以不期望和未授权的方式篡改数据库
104 | 2. SQL注入攻击：违反隔离性，直接完成攻击内在数据库的SQL事务
105 | 3. 防御SQL注入 
106 | 	* 执行输入验证：输入验证操作能够限制用户在表单中输入的数据类型
107 | 	* 限制用户特权：web服务器使用的数据库账号应当具有尽可能最小特权集
108 | 	* 使用存储过程：利用数据库存储过程来限制应用程序执行任意代码的能力
109 | 
110 | ## 21.5 侦查攻击
111 | 侦查可以让攻击者找到弱点，利用他们的攻击代码直接攻击
112 | 
113 | ### 21.5.1
114 | IP探测：针对目标网络而实施的一种网络侦察类型
115 | 
116 | ### 21.5.2
117 | 端口扫描
118 | 
119 | ### 21.5.3
120 | 漏洞扫描：利用已知漏洞数据库，通过探测目标来定位安全缺陷
121 | 	
122 | * 只有操作系统升级到最新的安全补丁级别，才有可能几乎完全修复漏洞扫描程序中的所有漏洞
123 | 
124 | ### 21.5.4 垃圾搜寻
125 | 垃圾搜寻的防护方法： 
126 | 
127 | * 使攻击者的行动变得困难    
128 | * 垃圾保存在一个安全的地方
129 | 
130 | ## 21.6 伪装攻击
131 | * 为了获得对没有访问资格的资源的访问权限，最简单的方法就是假冒具有适当系访问许可权限的人
132 | 
133 | ### 21.6.1 IP欺骗
134 | * 怀有恶意的人重新配置他们的系统，使其具有可信系统的IP地址，然后视图访问其他外部资源的权限
135 | * 防止IP欺骗的措施 
136 |     * 具有内部源IP的地址包不能从外部进入网络
137 |     * 具有外部源IP地址的包么不能从内部离开网络
138 |     * 具有私有IP地址的包不能从任何一个方向通过路由器
139 | 
140 | ### 21.6.2 会话劫持
141 | * 会话劫持攻击指的是怀有恶意的人中途拦截已授权用户与资源之间通信数据的一部分
142 | 


--------------------------------------------------------------------------------
/第十八章  灾难恢复计划.md:
--------------------------------------------------------------------------------
  1 | # 第十八章  灾难恢复计划 
  2 | 
  3 | ## 18.1 灾难的本质
  4 | * 灾难恢复计划围绕组织正常运营被终端，为混乱的时间带来正常的工作秩序
  5 | * 灾难恢复计划应该被配置为几乎是自动执行的
  6 | 
  7 | ### 18.1.1 自然灾难
  8 | * 地震：美国的大部分地区都出现至少属于中级的地震事件
  9 | * 洪水：
 10 | * 暴风雨：
 11 | * 火灾：
 12 | * 其他的地区性事件： 世界上某些地区具有地区性的自然灾害
 13 | 
 14 | ### 18.1.2 人为灾难
 15 | * 火灾：
 16 | * 恐怖行为：恐怖行为不可预测，为DRP团队带来的特殊挑战
 17 | * 爆炸/煤气泄漏：
 18 | * 电力中断：最基本的灾难恢复计划也包括了对短时间电力中断威胁的应对方法，关键业务使用ups
 19 | 
 20 | ### 18.1.3 其他公共设施和基础设施故障
 21 | 1. 硬件/软件故障
 22 | 	* 硬件组件可能受到磨损且无法继续运行或受到物理损坏
 23 | 	* 由于财务上的限制，维持全冗余系统并非总能实现
 24 | 2. 罢工/示威抗议
 25 | 	* 人为灾难形式可能是罢工或其他劳工危机
 26 | 3. 盗窃/故意破坏
 27 | 	* 业务连续性计划和灾难恢复计划应当包括充分的预防性措施，以控制这些事件的发生频率
 28 | 
 29 | ## 18.2 理解系统恢复和容错能力
 30 | * 增加系统应变能力和容错能力的技术控制会直接影响到可用性，系统恢复和容错能力的主要目的是销毁单点故障
 31 | * 单点故障可以发生在任何组件上，能够导致整个系统崩溃
 32 | * 容错能力时指系统在发生故障的情况下仍然继续运行的能力
 33 | * 系统恢复能力指的是系统在发生不利时间时保持可接受的服务水平的能力
 34 | 
 35 | ### 18.2.1 保护磁盘驱动
 36 | * 添加容错和系统恢复组件的常见方法是增加冗余磁盘矩阵（RAID）
 37 | * 常见RAID配置： 
 38 |     * RAID-0：称为条带，使用两个或两个以上的磁盘，提高磁盘系统性能
 39 |     * RAID-1：称为镜像，使用两个磁盘，并含有相同的数据信息，实现高可用
 40 |     * RAID-5：称为奇偶校验，使用三个或更多磁盘，坏1个速度会变慢
 41 |     * RAID-10：条带镜像，至少使用4个磁盘，提高可用性和性能
 42 | 
 43 | ### 18.2.2 保护服务器
 44 | * 故障转移集群包含两个或两个以上的服务器，一台服务器出现故障，其他服务器通过称为故障转移的自动化过程接管负载
 45 | 
 46 | ### 18.2.3 保护电源
 47 | * 不间断供电电源（UPS）、发电机或他们两者提供容错能力，UPS提供5-到30分钟供电，发电机提供长时供电
 48 | 
 49 | ### 18.2.4 受信恢复
 50 | * 受信恢复保证系统在发生故障或崩溃后，能够还原到之前的状态，还原分为自动还原和管理员手动干预
 51 | * 系统可以被预制，在损坏时能够处于故障防护状态或应急开放状态
 52 | * 四种类型的受信恢复： 
 53 |     * 手动式恢复
 54 |     * 自动式恢复
 55 |     * 无过度损失的自动式恢复： 系统能够自动执行恢复过程，包括对数据以及其他对象的恢复
 56 |     * 功能恢复：支持功能恢复的系统能够偶自动恢复某些特定功能
 57 | 
 58 | ### 18.2.5 服务质量
 59 | * QOS（服务质量）控制能够保护负载下的数据网络的完整性：
 60 | * QOS因素： 
 61 |     * 宽带
 62 |     * 延迟时间
 63 |     * 抖动
 64 |     * 数据包丢失
 65 |     * 干扰
 66 | 
 67 | ## 18.3 恢复策略
 68 | * 灾难恢复计划应该能够几乎全自动起到作用并开始为恢复操作提供支持
 69 | * 除了提高响应能力外，保险也能够减少经济损失
 70 | * 有效行政保险责任范围为记名的、打印的或书面的文档与手稿
 71 | 
 72 | ### 18.3.1 确定业务单元的优先顺序
 73 | * 优先级别最高的业务最先被恢复
 74 | 
 75 | ### 18.3.2 危机管理
 76 | * 危机管理是一门科学和技术，如果培训预算支出允许，进行危机培训是个好办法
 77 | 
 78 | ### 18.3.3 应急通道
 79 | * 灾难来袭，组织能够内部与外部之间通讯是很重要的
 80 | 
 81 | ### 18.3.4 工作组恢复
 82 | * 灾难恢复计划目标是让工作组恢复到正常状态并且重新开始日常工作
 83 | * 为了推动这项工作，为不同的工作组开发独立的恢复设施是最好的办法
 84 | 
 85 | ### 18.3.5 可替代的工作站点
 86 | * 灾难恢复计划中重要要素之一就是，主要的工作站点无法使用时选择考研替代的工作站点 
 87 |     * 冷战点：足够大的地方处理组织运营工作，适当的电子环境支持，没有预先安装计算机设施，也没有通信宽带链接，成本相对便宜
 88 |     * 热站点：建筑布局中具有固定的被维护的固定工作设施，并且富有完备的服务器、工作站和通信链接设备，，服务器和工作站都是预先配置好的，装置了适当的操作系统和应用软件，服务器数据是最新的
 89 |     * 温站点：介于热站点和冷战点之间，包含设备和数据线路，不包含客户的备份数据，重新激活站点至少需要12个小时
 90 |     * 移动站点：设备起源的拖车或其他容易重新安置的单元组成，为了维持安全计算机环境所需的所有环境系统
 91 |     * 服务局：租借计算机时间的公司，购买部分处理能力，发生故障时，能够为IT需求提供支持，
 92 |     * 云计算：在云站点被激活之前能够避免大部分的操作成本
 93 | 
 94 | ### 18.3.6 相互援助协议
 95 | * 在灾难发生时通过共享计算机设施或其他资源彼此相互援助
 96 | * MAA协议缺点： 
 97 |     * 很难强制实施
 98 |     * 可能受同样的威胁
 99 |     * 机密性
100 | 
101 | ### 18.3.7 数据库恢复
102 | * 灾难恢复计划汇总包括数据恢复技术是很重要的
103 | * 数据库恢复的主要技术手段 
104 |     * 电子链接：数据库备份通过批量传送的方式被转移到远处的某个场所，需要测试备份解决方法
105 |     * 远程日志处理：更加迅速的方式完成数据的传输，以批量的方式进行，但是发生的更频繁，
106 |     * 远程镜像：最先进的数据库备份解决方法，费用也是最贵的，实时数据库服务器在备份站点进行维护
107 | 
108 | ## 18.4 恢复计划开发
109 | 
110 | ### 18.4.1 紧急事件响应
111 | * 重要人员在是被灾难或灾难即将来临应立即遵守、简单但内容全面的指令
112 | 
113 | ### 18.4.2 人员通知
114 | * 维护一份人员列表，以便在发生灾难时进行联络
115 | 
116 | ### 18.4.3 评估
117 | * 灾难恢复团队到达现场的收到任务就是评估现状
118 | 
119 | ### 18.4.4 备份和离站存储
120 | 
121 | **完整备份**：存储着受保护设备上包含的数据的完整副本，每个文件的归档比特都会被重置、关闭或设置为0
122 | 
123 | **增量备份**：只存储哪些自从最近一次完整备份依赖被修改过的所有文件，增量备份只复制归档比特被打开、启用和设施为1的文件，一旦备份完成，重置、关闭或设置为0
124 | 
125 | **差异备份**：存储哪些自从最近一次完整备份依赖被修改过的所有文件，差异备份只复制归档比特被打开、启用或设置为1的文件
126 | 
127 | 1. 备份介质格式
128 | 	* 数字数据存储（DDS）/数字音频磁带（DAT）
129 | 	* 数字线性磁带（DLT）和超强DLT
130 | 	* 线性磁带开放式技术（LTO）
131 | 2. 磁带到磁带（D2D）备份
132 | 	* 采用完整的磁带到磁盘备份方法的组织，必须确保地理多样性
133 | 3. 最佳备份做法
134 | 	* 数据备份量会随着时间的推移而增加
135 | 	* 使用定期备份的情况下，总有可能存在备份依赖的数据丢失
136 | 	* 最后需要测试组织的恢复流程
137 | 4. 磁带轮换
138 | 	* 磁带轮换策略:（GFS测试、汉罗塔测试、六磁带每周备份），商用备份软件、全自动分层存储管理系统实现自动备份策略
139 | 
140 | ### 18.4.5 软件托管协议
141 | * 软件托管协议，对公司起到保护作用，避免公司受软件开发商的代码故障影响，防止出现由软件开发商破产而造成产品失去技术支持的情况
142 | 
143 | ### 18.4.6 外部通信
144 | * 灾难恢复期间，与组织外部不同的实体进行通信很有必要
145 | 
146 | ### 18.4.7 公用设施
147 | * 灾难恢复计划中应该包括解决这些服务在灾难发生过程中出现问题的关联信息和措施
148 | 
149 | ### 18.4.8 物流和供应
150 | * 灾难恢复操作中有关物流的问题是值得注意
151 | 
152 | ### 18.4.9 恢复与还原的比较
153 | * 抢救团队必须确保新的IT基础设施的可靠性
154 | * 在结束所有灾难恢复工作之后，就需要在原有场所执行还原操作，并且终止灾难恢复约定下的任何处理场所操作
155 | 
156 | ### 18.5 培训、意识与文档记录
157 | * 灾难恢复计划应该进行完整的文档记录
158 | * DRP应当被视为极其敏感的文档，并且只有分类和需知的基础提供给个人
159 | 
160 | ## 18.6 测试与维护
161 | * 每一种灾难恢复计划都必须顶起进行测试，以确保计划的条款是可行的并且符合组织变化的需要
162 | 
163 | ### 18.6.1 通读测试
164 | * 通读测试是最简单的也是最重要的测试，只需灾难恢复团队分发灾难恢复清单的副本
165 | 
166 | ### 18.6.2 结构化演练
167 | * 灾难恢复团队成员聚集在一间大会议室，不同的人在灾难发生时扮演不同角色**（桌面演练）**
168 | 
169 | ### 18.6.3 模拟测试
170 | * 模拟测试为灾难恢复团队成员呈现情景并要求他们**产生适当的响应措施，这种测试可能涉及中断非关键的业务活动并使用某些操作人员**
171 | 
172 | ### 18.6.4 并行测试
173 | * 并行测试表示下一个层次的测试，将实际人员重新部署到替换的恢复场所和实现场所启用措施，唯一的差别在于**主要设施的运营不会被中断，这个场所仍然处理组织的日常处理**
174 | 
175 | ### 18.6.5 完全中断测试
176 | * 完全中断测试与并行测试的操作方法类似，但是**涉及关闭主场所的运营并将其转移到恢复场所**
177 | 
178 | ### 18.6.6 维护
179 | * 灾难恢复计划是灵活的文档，必须对灾难恢复计划修改以符合变化的需要，灾难恢复人员**应当将组织的业务连续性计划借鉴为恢复工作的模板**


--------------------------------------------------------------------------------
/第十章  物理安全需求.md:
--------------------------------------------------------------------------------
  1 | # 第十章  物理安全需求
  2 | 
  3 | ## 10.1 应用安全原则到选址和设施设计
  4 | 
  5 | ### 10.1.1 安全设施计划
  6 | * 安全设施计划描述了组织的安全要求的轮廓，并且着重强调为了提供安全性所用的方法和机制
  7 | * 关键路径分析是一种系统工作，可以确定关键任务应用、过程和操作以及所有必要的支持要素之间的关系
  8 | * 检查关键路径时，已完成的评估或潜在的技术融合是很重要的，技术融合是不同的技术、解决方法、工具和系统在随着时间的推移进行发展和合并的趋势
  9 | * 安保人员应参与场所和设施的设计考虑
 10 | 
 11 | ### 10.1.2 场所选择
 12 | * 场所的选择以组织的安全需要为基础，解决安全要求始终放在首位，自然灾害威胁，毗邻建筑物和业务、能够组织和防御明显的非法闯入企图很重要
 13 | 
 14 | ### 10.1.3 可视性、可见性
 15 | * 可视性很重要，周围地形、设施、当地犯罪率
 16 | 
 17 | ### 10.1.4 自然灾害
 18 | * 地区的自然灾害也是需要关注的方面
 19 | 
 20 | ### 10.1.5 设施的设计
 21 | * 在进行设施的设计时，需要理解组织所需的安全等级，并计划和设计恰当的安全等级
 22 | 
 23 | ## 10.2 设计和实施物理安全
 24 | * 物理安全管理控制分为三组：行政性的、技术性的和物理性的
 25 | * 行政性的包括设施构造和选择、场地管理、人员控制、意识培训和紧急事件响应及规程
 26 | * 技术性的包括访问控制、入侵检测、报警、闭路电视、监控、报文、通风、空调、电源以及火灾检查和排除
 27 | * 物理性的包括围栏、照明、锁、建筑材料、陷阱、狗和警卫
 28 | * 设计物理安全的控制措施顺序： 阻拦、拒绝、检测、延缓
 29 | 
 30 | ### 10.2.1 设备故障
 31 | * 任务不紧急，48小时内替换
 32 | * 对老化的设备进行替换或维修应制定时间表
 33 | 
 34 | ### 10.2.2 配线间
 35 | * 配线间的安全非常重要，重点在于防止未授权的物理访问方面
 36 | 
 37 | ### 10.2.3 服务器机房
 38 | * 服务器机房应设在建筑物的核心位置
 39 | 
 40 | ### 10.2.4 介质存储设施
 41 | * 介质存储设施应该被设计用于安全的保存空白介质、可重用介质和安全介质
 42 | * 可重用介质、应该被保护以防止被盗和残留数据恢复
 43 | * 安装介质要防止偷窃和恶意软件植入
 44 | 
 45 | ### 10.2.5 证据存储
 46 | * 证据存储证迅速成为所有企业的必备品
 47 | 
 48 | ### 10.2.6 受限的和工作区域安全
 49 | * 墙壁或隔离物都可以被用于隔开累死但不同的工作区域
 50 | * 每个工作站都 应当进行评估，并且像IT资产分类一样分门别类
 51 | * 设施安全设计过程应该支持内部安全的实施和维护
 52 | 
 53 | ### 10.2.7 数据中心安全
 54 | * 智能卡：信用卡大小的身份证、员工证或通行卡，是一种完整的安全解决方法 
 55 |     * 智能卡缺陷：容易遭受物理攻击、逻辑攻击、特洛伊木马攻击以及社会工程学攻击，智能卡一般为多因子认证
 56 |     * 记忆卡：具有磁条的、计算机可读的ID卡，记忆卡常作为一种双因子控制措施，记忆卡易于拷贝或复制
 57 | * 接近式读卡机：持卡人通过接近式读卡机时，接近式读卡机能够确定持卡人的身份以及是否被授权进行访问 
 58 |     * 无线射频识别或生物测定学方面的访问控制设备来管理物理访问
 59 | * 入侵检测系统 
 60 |     * 自动化的或人工的系统，用于检测未授权的个人企图发起的入侵、破坏和攻击行为
 61 |     * 物理入侵检测系统被称为防盗报警器，用于检测未经授权的活动并通知管理机构
 62 |     * 入侵检测失效的两方面：系统断电，如果断电可能不会功能做；系统通信线路被截断
 63 | * 访问滥用 
 64 |     * 为了阻止滥用、尾随和伪装，必须部署保安人员或其他监控系统
 65 |     * 即使针对物理访问控制，审计跟踪和访问日志也仍然是非常有用的工具
 66 | * 放射防护 
 67 |     * 阻止放射攻击的对策和防护类型被称为损失电磁脉冲设备屏蔽技术(TEMPEST)
 68 |     * TEMPEST的一些对策有法拉第笼、白噪声和控制区
 69 |     * 法拉第笼：完全包围区域所有面的金属网，金属网能够产生电容效应，防止电磁信号逸出
 70 |     * 白噪音：一直广播虚假通信数据，从而掩盖和隐藏实际的放射信号
 71 |     * 控制区：手续设备使用和支持放射信号的区域
 72 | 
 73 | ### 10.2.8 基础设施和HVAC注意事项
 74 | 不间断电源供应（UPS）可以为敏感的设备提供连续和平稳的电力  
 75 | 使用带有电涌保护器的配色盘，保护电源波动而遭受损坏  
 76 | 维持长时间的电力，需要一台发电机
 77 | 
 78 | * 电源术语 
 79 |     * 故障（fault） 电力瞬间消失
 80 |     * 中断（balckout ）电力完全消失
 81 |     * 电压不足（sag） 瞬间电压降低
 82 |     * 降压（brownout）长时间低电压
 83 |     * 脉冲（spike） 瞬间高电压
 84 |     * 电涌（surge）长时间高电压
 85 |     * 启动功率（inrush）电源开始的电涌同行与连接的电源有关
 86 |     * 噪声（noise） 持续不断的电源干扰
 87 |     * 瞬时现象（transient）短时间的线路杂音干扰
 88 |     * 平稳（clean） 完全平稳的电流
 89 |     * 接地（groud）电路中的电线是接地的
 90 | * 噪声  
 91 | 影响设备的功能，可能会干扰通信、传输和播放质量，电磁干扰分两种类型 
 92 |     * 普通模式：电源或运转的电子设备的火线和地线的电势差产生
 93 |     * 导线模式：电源或运转的电子设备的火线和中线电势差产生
 94 |     * 保护设备不受噪声干扰的步骤：提供充足的电力条件、合适的接地措施、屏蔽素有电缆、以及限制暴露在EMI和RFI电源中
 95 | * 温度、湿度和静电  
 96 | 温度保持在华氏60到75度之间、湿度维持在40%-60%之间，太高会侵蚀，太低会产生静电
 97 | 
 98 | ![](https://i.imgur.com/q7lM2cg.png)
 99 | 
100 | ### 10.2.9 水的问题
101 | * 如可能，防止服务器的房间和重要设备原理任何水源和传输管道
102 | * 关键任务系统的地板周围安装水检测电路
103 | 
104 | ### 10.2.10 火灾的预防、检测和抑制
105 | * 灭火器：灭火器只有在或是刚刚开始时才起作用
106 | 
107 | ![](https://i.imgur.com/9KLysFt.png)
108 | 
109 | * 防火检测系统
110 | 为了适当的保护设施免遭火灾，要求安装自动化检测和抑制系统
111 | * 放水灭火系统
112 |     * 湿管管道系统（封闭头系统）总是充满水，灭火装置出发就立刻放水
113 |     * 干管道系统：包含压缩的控制，灭火装置被出发，控血泄露，打开水阀，管道中充满水并放出来
114 |     * 洪水系统： 较粗的管道，大股的水流
115 |     * 预先响应系统是干管道/湿管道系统的组合，适合计算机和人都存在的洒水系统
116 | * 气体释放系统
117 | 	* 气体释放系统通常比放水系统有效，对人非常危险
118 | * 损失
119 | 	* 烟对大多数存储设备有损坏
120 | 	* 热会损坏所有的电子和计算机组件
121 | 	* 灭火一直介质可能造成电路短路、加快侵蚀或导致设备无法使用
122 | 
123 | ## 10.3 实施和管理物理安全
124 | * 每个区域都有唯一且集中的物理访问控制、监控和预防机制
125 | 
126 | ### 10.3.1 周边（访问控制和监控）
127 | * 栅栏、大门、旋转门、陷阱
128 | 	* 栅栏是外围设备 
129 | 	    * 3到4英尺高的栅栏可以阻挡偶然的侵犯
130 | 		* 6到7英尺的栅栏可以组织大多数入侵者
131 |     	* 带3股铁丝网8英尺以上的栅栏可以阻挡信心坚定的入侵者
132 | 	* 大门是栅栏上收到控制的出入点
133 | 	* 陷阱通常是由保安人员守护的双重门设置，陷阱包括组织跟随者捎带和尾随的措施
134 | * 照明
135 | 	* 关键区域应该2烛光英尺元、8英尺（1英尺=0.3米）高的地方被照亮
136 | 	* 照明主要目的是拦截偶然的入侵者、闯入者、小偷和希望在黑暗中实施恶意行为的潜在窃贼
137 | * 保安和看门狗
138 | 	* 所有的物理安全控制最终都要依靠人的接入来阻止实际的入侵和攻击
139 | 	* 保安的缺点：受伤、生病、容易被迷惑、遭受社会工程学攻击、滥用资源
140 | 
141 | ### 10.3.2 内部安全
142 | * 钥匙和密码锁
143 | 	* 可编程的锁配置多种有效的访问号码
144 | 	* 锁可以作为边界进出的访问控制设备，也可以验证设备对进出授权和限制
145 | * 员工证
146 | 	* 员工证、身份证或安全ID都是物理身份标识和/或电子访问控制设备的形式
147 | 	* 员工证可能被用于物理访问主要受到保安控制的环境中，还可以在扫描设备守卫而非保安守卫的环境中
148 | * 活动探测仪  
149 | 运动探测仪或运动传感器是在特殊区域内使用的、用于感知物体运动的设备 
150 |    	* 红外运动探测仪 对被监控区域红外照明模式的显著变化进行监控
151 |    	* 热能型运动探测仪 对被监控区域内的热能等级和模式的显著变化进行监控
152 |    	* 波形运动探测仪 向被监控的去发射连续的弱超声波或高频微博，并且对反射的波显著扰动或变化进行监视
153 |    	* 电容运动探测仪 对被监控物体周围区域的电场或磁场变化进行探测
154 |    	* 光电运动探测仪 在没有窗户或保持湖南的房间内部使用
155 |    	* 无源电频运动探测仪 对监视区域内的非正常声音进行侦听
156 | * 入侵报警
157 | * 环境出现重大或有意义的变化就会报警，报警分类一下几种 
158 |     * 威慑报警： 引发报警可能会采用额外的加锁，关门等措施，使得入侵或攻击变难
159 |     * 排斥报警： 引发报警声通常听起来像汽笛或钟声，灯打开，另入侵者放弃攻击离开设施
160 |     * 通知报警： 对于入侵者是缄默的，会记录相关数据，通知管理员、保安和执法机构
161 |     * 本地报警：必须广播可听到的报警信号，必须受到保护，通常由保安进行保护，以防止损害好损失
162 |     * 集中式报警系统：报警出发通过信号通告通知或集中式监控站，一般是有名的公司和国家安全公司
163 |     * 辅助报警系统： 可以加入本地或者集中式报警，当安全边界破坏，通知紧急服务机构（消防、警察和医疗服务）做出响应
164 | * 二次验证机制  
165 | 二次验证机制为了显著减少错误报警，并提高报警显示实际入侵或攻击的可能性
166 | * 环境和生命安全  
167 | 保护环境的基本要素和保护人员生命是设施内物理访问控制和安全维护的重要方面，防止人员遭受生命书上是最重要的部分
168 | * 隐私责任和法律需求
169 | 	* 隐私以为着保护个人信息不被泄露给未经任何授权的个人或实体
170 | 	* 对于任何组织，隐私保护应该是安全策略中 一个核心人物或目标
171 | * 合规要求  
172 | 遵守所有的法律规定是维护安全的一个关键部分


--------------------------------------------------------------------------------
/第八章  安全模型的原则、设计和功能.md:
--------------------------------------------------------------------------------
  1 | # 第八章  安全模型的原则、设计和功能
  2 | 
  3 | ## 8.1 使用安全设计原则实施和管理工程过程
  4 | 项目开发的早起阶段考虑安全是非常重要的
  5 | 
  6 | ### 8.1.1 客体和主体
  7 | * 主体：请求访问资源的用户或进程
  8 | * 客体：用户或进程想要的访问
  9 | * 信任传递：A信任B并且B信任C，则A通过信任传递信任C
 10 | 
 11 | ### 8.1.2 封闭式系统和开放式系统
 12 | * 封闭式系统被设计用于较小范围内的其他系统协调工作，优点：更安全，缺点：缺乏容易集成的特点
 13 | * 开放式系统被设计为使用同一的行业标准
 14 | 
 15 | ### 8.1.3 用于确保机密性、完整性和可用性的技术
 16 | * 限制：软件设计人员使用进程限制来约束程序的操作，限制仅允许进程在确定的内存地址和资源中读取和写入数据
 17 | * 界限：为每一个进程都分配一个授权级别，简单的系统仅两个授权级别，用户和内核，每个进程划分内存逻辑区域，操作系统负责实施逻辑界限不准许其他的进程访问，物理界限通过物理方式隔开，物理界限更贵也更安全
 18 | * 隔离：进程隔离能够确保任何行为只影响与隔离进程有关的内存和资源
 19 | 
 20 | ### 8.1.4 控制
 21 | * 控制使用访问规则来限制主体对客体的访问
 22 | * 两种控制：强制访问控制(MAC)和自主访问控制(DAC)
 23 | * 自主访问控制与强制访问控制的不同之处在意，主体具有一些定义访问客体的能力
 24 | * 访问控制目的：通过组织授权或未经授权的主体的未授权访问，从而确保数据的机密性和完整性
 25 | 
 26 | ### 8.1.5 信任与保证
 27 | * 安全原则、控制和机制设计和开发之前及期间考虑
 28 | 
 29 | ## 8.2 理解安全模型的基本概念
 30 | 
 31 | ### 8.2.1 可信计算基（Trusted Computing Base  TCB）
 32 | 硬件、软件和控制方法的组合，形成实施安全控制的可信基准
 33 | 
 34 | 1. 安全边界
 35 | 	* 假象的界限，将TCB于系统的其他部分隔开
 36 | 	* 可信路径：安全边界必须建立安全的通道，被称为可信路径
 37 | 2. 引用监视器和内核
 38 | 	* 在准许访问请求之前验证对每种资源的访问的这部分TCB被称为引用监视器
 39 | 	* 共同工作从而实现引用监视器的TCB中组件的集合被称为安全内核
 40 | 	* 安全内核的目的是使用适当的组件实施引用监视器的功能和抵抗所有已知的攻击
 41 | 
 42 | ### 8.2.2 状态机模型
 43 | * 状态机模型描述了一个无论处于何种状态下重是安全的系统
 44 | * 安全状态机模型是许多安全模型的基础
 45 | 
 46 | ### 8.2.3 信息流模型（BIBA、BLP）
 47 | * 信息流模型关注信息流
 48 | * Bell-LaPadula的目的是防止信息从高安全级别向点低安全级别流动（上写下读）
 49 | * Biba是防止信息从低级别向高安全级别流动（上读下写）
 50 | * 信息流模型被设计用于避免未授权的、不安全的或受限的信息流
 51 | 
 52 | ### 8.2.4 无干扰模型
 53 | * 无干扰模型建立在信息流模型的基础上，关注位于安全级别的主体的动作如何影响系统状态，更高的安全级别上发生的任何操作不会影响在较低级别上发生的操作。
 54 | 
 55 | ### 8.2.5 Take-Grant模型
 56 | * 采用有向图指示权限如何从一个主体传递至另一个主体或者如何从一个主体传递至一个客体
 57 | 
 58 | ### 8.2.6 访问控制矩阵
 59 | * 访问控制矩阵：由主体和客体组成的表，表示每个主体可以对每个客体执行的动作或功能
 60 | 
 61 | ### 8.2.7 Bell-LaPadula模型（解决机密性问题，下读上写）
 62 | * Bell-LaPadula模型防止分类信息泄露或传输至较低的安全许可级别
 63 | * Bell-LaPadula专注维护客体的机密性
 64 | * Bell-LaPadula模型已状态机概念和信息流模型为基础，采用强制访问控制和格子型概念
 65 | * Bell-LaPadula 的三种属性：
 66 | 	1. 简单安全属性：规定主体不能读取位于较高敏感度级别的信息
 67 | 	2. *安全属性，规定主体不能在位于较低敏感度级别的客体上写入信息
 68 | 	3. 自主访问控制，规定系统使用访问控制矩阵来实施自主访问控制
 69 | 
 70 | ![](https://i.imgur.com/ckbN21h.png)
 71 | 
 72 | ### 8.2.7 Biba模型（解决完整性问题，上读下写）
 73 | * Biba模型解决完整性问题
 74 | * 简单完整性属性：规定主体不能读取位于较低完整性级别的客体(不能向下读)
 75 | * *完整性属性，规定主体不能更改位于较高完整性级别的客体（不能向上写）
 76 | * Biba模型解决问题：
 77 | 	* 防止未授权的主体对可以的修改
 78 | 	* 防止已授权的主体对客体进行未授权的修改
 79 | 	* 保持内部和外部客体的一致性
 80 | * Biba模型的缺陷：
 81 | 	* 没有解决机密性和可用性问题
 82 | 	* 没有解决内部威胁
 83 | 	* 没有说明访问控制管理，也没有提供分配和改变主体或客体分类的方法
 84 | 	* 没有防止隐蔽通道
 85 | 
 86 | ![](https://i.imgur.com/5dEf9h3.png)
 87 | 
 88 | ### 8.2.9 Clark-Wilson模型（解决完整性问题）
 89 | * 主体 - 程序 - 客体，客体只能通过程序进行访问，通过使用格子良好的事物处理和职责分离提供保护完整性的有效方法
 90 | * Clark的优势：
 91 | 	* 任何用户都不能未授权的修改数据
 92 | 	* 实现职责分离
 93 | 
 94 | ### 8.2.10 Brewer and Nash模型（Chinese Wall）（根据用户行为动态改变访问控制方式、防止利益冲突）
 95 | * 准许访问控制基于用户以前的活动而改变
 96 | 
 97 | ### 8.2.11 Goguen-Mesegure 模型（预设域或客体列表）
 98 | * 基于主体可以访问的预设的域或客体列表
 99 | 
100 | ### 8.2.12 Sutherland模型（解决完整性问题）
101 | * 一个完整性模型，预防对完整性支持的干扰
102 | 
103 | ### 8.2.13 Graham-Denning模型（主体和客体在创建和删除时的安全性）
104 | * 关注主体和客体在创建和删除时的安全性
105 | 
106 | ## 8.3 基于系统安全评估模型选择控制和对策
107 | 
108 | ### 8.3.1 彩虹系列
109 | * 出现可信计算机系统评估标准（TCSEC），因为封面被称为彩虹系列
110 | 
111 | ### 8.3.2 TCSEC（橙皮书）分类和所需功能
112 | * TCSEC将系统挺的功能性和机密性保护等级保证组合成4个主要类别
113 | 	* 已验证保护，最高的安全级别
114 | 	* 强制性保护
115 | 	* 自主性保护
116 | 	* 最小化保护	
117 | * 保护分类（B3与A1是最高级级别，理解为强访问控制）：
118 | 	1. 自主性安全保护（C1） 通过用户ID或用户组实现访问控制，对客体访问采取一些控制措施
119 | 	2. 受控访问保护（C2）：用户必须被单独表示后才能获得访问客体的权限，必须实施介质清除措施，限制无效或未授权用户访问的严格登录措施
120 | 	3. 标签式安全（B1）：每个主体和客体都有安全标签，通过匹配主体和客体的安全标签比较他们的权限兼容性
121 | 	4. 结构化保护（B2）：确保不存在隐蔽通道，操作者和管理员职责分离，进程隔离
122 | 	5. 安全域（B3）：进一步增加无关进程的分离和隔离，系统关注点转移到简易信，从而减少暴露出来的脆弱性
123 | 	6. 已验证保护（A1）：与B3的差距在于开发周期，开发周期每个阶段都使用正式的方法进行控制
124 | 
125 | ![](https://i.imgur.com/RKmyRCS.jpg)
126 | 
127 | ### 8.3.3 彩虹系列的其他颜色
128 | * 红皮书：应用于为连接网络的独立计算机
129 | * 绿皮书：提供创建和管理密码的指导原则
130 | 
131 | ### 8.3.4 ITSEC类别与所需的保证和功能性
132 | * TCSEC几乎只关注机密性，ITSEC除了机密性外还关注完整性和可用性
133 | * ITSEC并不依赖TCB的概念，不要求系统的安全组件在TCB内是隔离的
134 | * TCSEC要求发生任何变化的系统都要重新评估
135 | 
136 | ### 8.3.5 通用准则
137 | 通用准则(CC)全球性的标准，定义了测试和确定系统安全能力的各个级别
138 | 
139 | * 通用准则的认可，**保护轮廓和安全目标**：
140 | 	* 保护轮廓PP：指定被评估产品的安全需求和保护。满足特定的消费者需求的，独立于实现的一组安全要求。PP回答“需要什么？”，而不涉及“如何实现？”
141 | 	* 安全目标ST：指定通硬伤在TOE内构成的安全申明。依赖于实现的一组安全要求和说明，ST回答“提供什么？”、“如何实现？”
142 | 	* 评估目标TOE：IT产品或系统 + 相关的管理指南和用户指南文档。TOE是Common Criteria评估的对象
143 | * 通用准则的结构
144 | 	* 部分1：介绍和一般模型描述用于评估IT安全性和指定评估目标设计的一般概念和基础模型
145 | 	* 部分2：安全功能描述
146 | 	* 部分3：安全保证
147 | * 行业和国际安全实施指南
148 | 	* 常见安全标准： CC标准，PCI-DSS（支付行业数据安全标准），国际化标准组织（ISO）
149 | 	
150 | ### 8.3.6 认证和鉴定
151 | * 认证
152 | 	* 对IT系统的技术和非技术安全特性以及其他防护措施的综合评估
153 | 	* 评估完所有的因素和确定系统的安全级别之后，认证阶段就完成了
154 | * 鉴定
155 | 	* 领导层认可，测试和记录具有特定配置的系统的安全能力，认证和鉴定是一个不断重复的过程
156 | * 认证和鉴定系统
157 | 	* 认证和鉴定过程的4个阶段：
158 | 		1. 定义：项目人员分配、项目需求的记录以及指导整个认证和鉴定过程的同安全许可协议的注册、协商和创建
159 | 		2. 验证：包括细化SSAA、系统开发活动以及认证分析
160 | 		3. 确定：细化SSAA，集成系统的认证评估、DAA建议的开发以及DAA的鉴定结果
161 | 		4. 后鉴定：维护SSAA、系统操作、变更管理以及遵从性验证
162 | 
163 | ## 8.4 理解信息系统的安全功能
164 | 
165 | ### 8.4.1 内存保护
166 | * 内存保护是一个核心安全组件，必须对它进行设计和在操作系统中加以实现
167 | 
168 | ### 8.4.2 虚拟化
169 | * 虚拟化技术被用于在单一系统的内存中运行 一个或多个操作系统
170 | 
171 | ### 8.4.3 可信平台模块
172 | * 可信平台模块：及时对主板上加密处理芯片的描述，同时也是描述实施的通用名称
173 | * HSM（硬件安全模块）：用于管理/存储数字加密秘钥、加速加密操作、支持更快的数字签名，以及提高身份认证的速度
174 | 
175 | ### 8.4.4 接口
176 | * 约束接口的目的是限制或制止授权和未经授权用户的行为，是Clark-Wilson安全模型的一种实践
177 | 
178 | ### 8.4.5 容错
179 | * 容错能力时指系统遭受故障，但持续运行的能力，容错是添加冗余组件


--------------------------------------------------------------------------------
/第二十章  软件开发安全.md:
--------------------------------------------------------------------------------
  1 | # 第二十章  软件开发安全
  2 | 
  3 | ## 20.1 系统开发控制概述
  4 | 为了防范漏洞，在整个系统开发的声明周期引入安全性是至关重要的
  5 | 
  6 | ### 20.1.1 软件开发
  7 | 软件开发项目的初期，给系统构建安全性比现有系统中添加安全性容易得多
  8 | 
  9 | 1. 编程语音：
 10 | 	* 汇编语言
 11 | 	* 高级语言
 12 | 	* 解释性语语言
 13 | 	* 语言优缺点： 
 14 |   	  * 编码代码通常不易被第三方草种，也更容易在编译代码中嵌入后门和其他安全缺陷并逃避检查
 15 |   	  * 解释型语言不易插入代码，但是任何能够更改编程人员的指令，都可能在解释性语言中添加恶意代码
 16 | 2. 面向对象编程
 17 |     * 消息：对象的通信或输入
 18 |     * 方法：定义执行响应消息操作的内部代码
 19 |     * 行为：通过方法处理消息的结果
 20 |     * 类：对象行为的一组对象的公共方法的集合
 21 |     * 实例：包含对象方法的类的实例或例子
 22 |     * 继承：某个类的方法被另一个子类集成时就出现继承性
 23 |     * 委托：某个对象请求转发给另一个对象或委托对象，如果对象没有处理特定消息的方法，就需要委托
 24 |     * 多态性：当外部条件变化时，允许以不同的行为响应相同的消息或方法
 25 |     * 内聚：相同类中方法目的之间关系的强度
 26 |     * 耦合：对象之间的交互级别
 27 | 3. 保证
 28 | 	* 保证过程只是据此在系统生命周期内构件信任的正规过程
 29 | 4. 避免和缓解系统故障
 30 | 	* 输入验证：核实用户提供的值是否匹配程序员的期待，通过代码确保数字落在一个可接受的范围，称为限制检测，输入验证应该存在于事物处理的服务器端
 31 | 	* 故障防护和应急开发 
 32 |     	* 当系统故障时有两个基本选择 
 33 |     	    * 将系统置入高级别安全性，直至管理员能够诊断问题并将系统还完至正常状态
 34 |     	    * 应急开放环境允许用户绕开失败的安全控制，此时用户获得特权过高
 35 |     	* 一旦出现安全防护操作，编程人员就应该靠接接下来的活动
 36 | 
 37 | ### 20.1.2 系统开发生命周期
 38 | 系统或应用程序的整个生命周期内斗进行计划和管理，安全性是最有效的，安全开发生命周期的动作 
 39 | 
 40 | 1. 概念定义：为系统创建基本的概念声明即由所有利益相关方协商的简单生命，规定了项目用途以及系统答题需求 2. 功能需求确定：具体的系统功能被累出来，开发人员开始考虑系统的这部分应当如何相互协作以满足功能需求 3. 控制规范的开发：从许多安全角度对系统进行分析
 41 | 4. 设计评审：设计人员正确的确定系统不同部分将如何相互操作以及如何布置模块化的系统结构
 42 | 5. 代码审查走查：项目经理安排代码审查走差会议，以寻找逻辑流中的问题或其他设计/安全性缺陷
 43 | 6. 用户验收测试：大多数组织由开发人员执行系统的初始测试，从而找出明显的错误
 44 | 7. 维护和变更管理：任何代码的变更都要通过正式的变更流程来进行
 45 | 
 46 | ### 20.1.3 生命周期模型
 47 | 1. 瀑布模型：有7个开发阶段，每个阶段完成后，项目进入下一个阶段，瀑布模型的主要批评是，只准许开发人员后退一个阶段，也没对开发周期后期发现错误做出响应规定
 48 | 2. 螺旋模型：允许瀑布模型处理过程多次反复
 49 | 3. 敏捷软件开发：强调客户需求的和快速开发的新功能，并以迭代的方式满足这些需求
 50 | 4. 软件能力成熟度模型：主张所有从事软件开发的组织都一次经历不同的阶段，SW-CMM的不同阶段
 51 |     * 初始级： 几乎没有或完全没有定义组织开发过程 
 52 |     * 可重复级：出现生命周期管理过程，开始有组织的重用代码
 53 |     * 定义级：依照一系列正式的、文档化的软件开发过程进行操作
 54 |     * 管理级：定量衡量被用来获得对开发过程的详细了解
 55 |     * 优化及：采用继续改进的过程，成熟的软件开发过程已被确立
 56 | 5. IDEAL模型：IDEAL模型的5个阶段：
 57 |     * 启动：概述更改的业务原因，为举措提供支持
 58 |     * 诊断：工程师分析组织的当前状态，并给出一般性建议
 59 |     * 建立：组织采用诊断阶级的一般建议并开发帮助实现这些更改的具体功动作计划
 60 |     * 行动：组织开发解决方法，随后测试、改进和实现解决方法
 61 |     * 学习：组织不断分析齐努力的结果，从而确定是否已实现期望的目标
 62 | 
 63 | ### 20.1.4 甘特图与PERT
 64 | * 甘特图是一种显示不同时间项目和调度之间相互关系的条形图，提供了帮助计划、协调和跟踪项目特定任务的调度图表
 65 | * 计划评审技术（PERT）用于直接改进项目管理和软件编码
 66 | 
 67 | ### 20.1.5 变更和配置管理
 68 | * 变更的基本组件 
 69 |     * 请求变更： 提供了一个有组织的框架，在框架内，用户可以请求变更，管理者可以进行成本/效益分析，开发人员可以优化任务
 70 |     * 变更控制： 重新创建用户遭遇的特定情况并且分析能够进行弥补的适当变更
 71 |     * 发布控制： 通过发布控制过程来进行发布认可，符合并确定更改过程中作为编程辅助设计插入的任何代码
 72 |     * 配置标识：管理员记录整个组织范围内的软件产品的配置
 73 |     * 配置控制：确保对软件版本的更改要与更改控制和配置管理的策略一致
 74 |     * 配置状态统计：用于跟踪所有发生的授权更改的正规过程
 75 |     * 配置审计：进行定期的配置审计能够确保实际的生产环境与统计环境一致，确保没有发生未授权的配置更改
 76 | 
 77 | ### 20.1.6 DevOps方法
 78 | * DevOps与敏捷开发方法紧密配合，旨在显著缩短开发、测试和部署软件更改所需的时间
 79 | 
 80 | ### 20.1.7 应用编程接口
 81 | * API允许应用程序开发人员绕过传统的网页，并通过函数调用直接与底层服务进行交互
 82 | * API必须进行彻底测试安全缺陷
 83 | 
 84 | ### 20.1.8 软件测试
 85 | * 组织内部分发任何软件之前都应当对其进行彻底测试，测试的最佳实践是设计模块之时
 86 | * 软件测试时，应该测试软件产品如何处理正常和有效的输入数据，不正确的类型、越界值以及其他界限和条件
 87 | * 测试软件时，应该应用于组织其他方面使用的相同的责任分离规则
 88 | * 软件测试方法 
 89 |     * 白盒测试：检查程序的内部逻辑程序，并逐行执行代码，检测是否有存在的错误
 90 |     * 黑盒测试：提供广泛的输入场景和查看输出，从用户角度检测程序
 91 |     * 灰盒测试：从用户角度处理软件，分析输入输出，但是也会看源代码
 92 | * 测试模式：
 93 |     * 动态测试： 在运行时环境中评估软件的安全性
 94 |     * 静态测试： 分析源代码或变异的应用程序来评估软件的安全性，不需要运行软件
 95 | 
 96 | ### 20.1.9 代码仓库
 97 | * 代码仓库是促进软件开发的出色协作工具，但他们也有自己的安全风险
 98 | 
 99 | ### 20.1.10 软件等级协议
100 | * 软件等级协议，是被服务提供商和服务供应商都任何的确保组织内部或外部客户提供服务并保持适当服务水平的一种方法
101 | 
102 | ### 20.1.11 软件采购
103 | 
104 | ## 20.2 创建数据库和数据仓储
105 | 
106 | ### 20.2.1 数据库管理修通的体系结构
107 | 1. 层次数据库和分布式数据库
108 | 	* 层次数据库模型将关联的记录和字段组合成一个逻辑树结构，迎接是一对多
109 | 	* 分布式数据库模型将数据存储在多个数据库中，分布式数据库的映射是多对多
110 | 2. 关系数据库
111 | 	* 关系数据库是由航和列组成的平面二维表，行列结构提供一对一数据映射关系
112 | 	* 行的数量被称为技术，列的数量被称为度，关系的域是一组属性可以采用的允许值
113 | 	* 数据库的三种键 
114 |     	* 候选键：用于唯一标识表中记录的属性子集
115 |     	* 主键： 唯一标识表中记录的键被称为主键
116 |     	* 外键：用于强制在两个表之间建立关系
117 | 	* 所有的关系数据库使用一种标准语言，即结构化查询语言（SQL）从而为用户存储、检测和更改数据
118 | 	* SQL为管理员、开发人员和终端用户为数据库交互提供了必须的完整功能
119 | 
120 | ### 20.2.2 数据事物
121 | * 关系数据库支持事物的显性和隐形使用，从而确保数据的完整性
122 | * 所有数据库事务都具有5个必需的特征： 
123 |     * 原子性：数据库事务必须是源自，也就是说必须是要么全有，要么全无的事物
124 |     * 一致性：所有事物都必须在于数据库所有规则一致的环境中开始操作
125 |     * 隔离性： 要求事物彼此之间独立操作
126 |     * 持久性：数据库事务必须是持久的，也就是说一旦提交给数据库，就会保留下来
127 | 
128 | ### 20.2.3 多级数据库的安全性
129 | 多级安全性数据库包含大量不同分类几倍的信息，必须分配给用户的标签进行验证，并且根据用户的请求只提供适当的信息
130 | 
131 | 管理员会通过部署可信前端为旧式或不安全的DBMS添加多级安全性
132 | 
133 | 1. 并发性： 是一种预防性的安全机制，该机制试图使数据库中存储的数据时钟是正确的，或至少使其完整性和可
134 | 用性收到保护
135 | 2. 其他安全机制：
136 | 	* 语义完整性：确保用户的动作不会违反任何结构上的规则
137 | 	* 时间和日期来标记和维护数据的完整性和可用性
138 | 	* 在数据库内能够细粒度的控制对象，如内容相关的访问控制
139 | 	* 管理员可以使用数据库分区技术来防止聚合、推理和污染漏洞
140 | 	* 多实例针对某些推理攻击类型的方法措施
141 | 	* 利用噪音和干扰在BDMS中插入错误的或欺骗的数据，从而重定向或阻扰信息机密性攻击
142 | 
143 | ### 20.2.4 ODBC
144 | * 开放数据库互连（ODBC）：不必针对交互的每种数据库类型直接进行编码的情况下，允许应用程序与不同的数据库类型通信
145 | 
146 | ## 20.3 存储数据和信息
147 | 
148 | ### 20.3.1 存储器的类型
149 | * 主存储器： 由系统CPU可以直接访问的主要存储资源组成，RAM，一般是系统可以使用的性能最高的存储资源
150 | * 辅助存储器：由许多廉价的，非易失性的、可供系统长期使用的存储资源组成，如磁带、磁盘、硬盘、CD/DVD存储器
151 | * 虚拟内存：系统利用辅助存储器模拟额外的主存储器的资源，这位多种应用程序提供了极快的文件系统，但没有提供恢复能力
152 | * 随机访问存储器： 准许操作系统请求介质上的任意位置的内容，RAM和硬盘都是随机访问存储器
153 | * 顺序访问存储器： 从头到指定地址对整个介质进行扫描
154 | * 易失性存储器：资源断电时会丢失上面的存储内容
155 | * 非易失性存储器：不依赖电源的供电来维持存储内容
156 | 
157 | ### 20.3.2 存储器威胁
158 | * 两种针对数据存储器的威胁 
159 |     * 无论正在使用哪种类型的存储器，都存在对存储器资源的非法访问
160 |     * 隐蔽存储通道准许通过直接或间接的操作共享存储介质
161 | 
162 | ## 20.4 理解基于知识的系统
163 | 
164 | ### 20.4.1 专家系统
165 | * 专家系统试图具体化人类在某个特殊学科积累的知识，并且以一致的方式将他们应用于将来的决定 
166 |     * 知识库： 包含专家系统已知的规则
167 |     * 推理引擎：对知识库中的信息进行分析，从而得到正确的决策
168 | * 专家系统的优点： 决策不涉及情绪影响
169 | 
170 | ### 20.4.2 神经网络
171 | * 建立互相插入和最终合计生成预期输出结果的计算决策长链
172 | 
173 | ### 20.4.3 决策支持系统
174 | * 决策支持系统（DSS）：一种知识型应用，分析业务数据并且以更容易做出业务决策的形式提供给用户 
175 | 
176 | ### 20.4.4 安全性应用
177 | * 专家系统和神经系统的主要优点是：快速做出一致决策的能力


--------------------------------------------------------------------------------
/第十三章  管理身份与认证.md:
--------------------------------------------------------------------------------
  1 | # 第十三章  管理身份与认证
  2 | 
  3 | ## 13.1 控制对资产的访问
  4 | * 资产可以包括信息、系统、设备、设施和人员
  5 | 
  6 | ### 13.1.1 主体与客体的对比
  7 | 
  8 | ### 13.1.2 访问控制的类型
  9 | * 访问控制时所有控制访问资源相关的硬件、软件或管理类策略或程序，目标是向授权主体提供访问并阻止任何未经授权的蓄意访问
 10 | * 访问控制类型： 
 11 |     * 预防性访问控制：试图阻碍或阻止有害的或未授权活动的发生
 12 |     * 检测性访问控制：试图发现或检测有害的或未授权的活动
 13 |     * 纠正性访问控制：为了发生有害的或未授权的操作，将系统还原至正常状态
 14 |     * 威慑性访问控制：为了试图吓阻违反安全策略的活动
 15 |     * 恢复性访问控制：为了在出现违反安全策略的情况后修复和还原资源、功能与性能
 16 |     * 指令性访问控制：为了指示、限制或者控制主体的活动，从而强制或鼓励主体遵从安全策略
 17 |     * 补偿性访问控制：当主控制不能使用或对主控制增加有效性时，补偿性访问控制提供另一种选择
 18 |     * 行政管理访问控制：依照组织的安全策略和其他规则或者需求，定义的策略与过程
 19 |     * 逻辑/技术性访问控制：作为硬件或软件机制用于提供这些资源或系统的保护
 20 |     * 物理性访问控制：控制能物理接触到的东西
 21 | 
 22 | ### 13.1.3 CIA三要素
 23 | 
 24 | ## 13.2 比较身份标识与认证
 25 | * 身份标识是主体声称或自称某个身份的过程
 26 | * 通过与有效身份数据库中的一个或多个因素进行对比，身份认证能够认证主体的身份
 27 | 
 28 | ### 13.2.1 身份的注册和证明
 29 | 
 30 | ### 13.2.2 授权与可问责
 31 | * 授权：授权就是指出谁获得信任以执行某具体操作，依据主体的证明身份授予其客体访问权限
 32 | * 可问责性：执行审计时用户和其他主体对自己的行为负责，审计、记录和监控都具有可问责性，以此确保主体对自己的行为要负担责任
 33 | * 有效的访问控制系统出了满足授权和可问责性外，还需要强大的身份识别和认证机制
 34 | 
 35 | ### 12.2.3 认证因素
 36 | * 类型1：你知道什么
 37 | * 类型2：你拥有什么
 38 | * 类型3：你是什么或你做什么
 39 | 
 40 | ### 13.2.4 密码
 41 | * 最常见的身份认证技术是使用类型1认证方式的密码
 42 | * 密码策略 
 43 |     * 创建强密码 
 44 |     	* 最长使用期
 45 |     	* 密码复杂度
 46 |     	* 密码长度
 47 |     	* 密码历史功能
 48 |     * 密码短语：比基本密码更有效的密码机制，列斯与密码字符的字符串
 49 |     * 认知密码： 通常是一系列问题，只有主体才知道的实施或预定义答案
 50 | 
 51 | ### 13.2.5 智能卡和令牌
 52 | 
 53 | 智能卡和赢令牌属于身份认证类型2 你拥有什么，一般会和另一种身份认证因素结合使用
 54 | 
 55 | 1. 智能卡
 56 | 	* 智能卡是信用卡大小的ID或徽章，中间嵌入了集成地阿奴了芯片，包含了识别或认证的授权信息
 57 | 
 58 | 2. 令牌
 59 | 	* 令牌或者赢令牌是一种密码生成设备，用户可以随身携带
 60 | 	* 硬令牌是一次性动态密码，有两种令牌类型 
 61 |     	* 同步动态密码令牌：基于时间的，并与身份认证服务保持同步
 62 |     	* 异步动态密码令牌：令牌依据算法和递增计数器生成密码
 63 | 	* 令牌能提供强大的身份认证，缺点为电池没电和设备中断用户无法访问
 64 | 
 65 | ### 13.2.6 生物识别
 66 | * 生物识别是属于身份认证类型3 你是什么或你做什么
 67 | * 生物识别因素可以用于识别或认证技术，或兼而有之
 68 | * 生物识别的方法： 
 69 |     * 指纹：
 70 |     * 脸部扫描：
 71 |     * 视网膜扫描：关注眼睛后方血管的图案，最精准的生物识别身份认证形式
 72 |     * 虹膜扫描：关注瞳孔周围的有色区域，虹膜扫描通过高品质的图像代替人眼、精度受到灯光变换的影响
 73 |     * 手掌扫描：用近红外光测量手掌的经脉模式
 74 |     * 手形：是被首部的物理尺寸，轮廓
 75 |     * 心跳/脉搏模式：测量用户的脉搏与心跳次数
 76 |     * 声音模式识别：依靠一个人说话的声音特点，用户说出一个特定短语，一般是额外验证机制
 77 |     * 签字力度：依赖用笔的压力、笔划方式、笔划长度以及提笔时间点
 78 |     * 击键模式：分析抬指时间和按压时间来确定主体使用键盘的方式，偏差较大
 79 | * 生物识别的错误率：
 80 |     * 生物是被最重要的就是准确性，必须检测到信息的微小差异
 81 |     * 类型1错误： 错误的身份认证，正确用户的类型1错误率称为错误拒绝率
 82 |     * 类型2错误：当无效认证发生时，被成为假正确身份认证，类型2错误率被称为错误接受率
 83 |     * 通过较差错误率（CER）：相等错误率
 84 | * 生物识别注册：
 85 |     * 只有主体被登记或注册，设备才能作为身份标识或身份认证机制使用，被存储的生物识别因素的采样被称为基准轮廓和基准模板
 86 | 
 87 | ### 13.2.7 多因素身份认证
 88 | * 多因素身份认证时使用两个或多个因素进行认证
 89 | 
 90 | ### 13.2.6 设备认证
 91 | * 设备指纹：注册期间，设备认证会捕获设备特性
 92 | 
 93 | ## 13.3 实施身份管理
 94 | * 身份管理技术分两类：集中式和分散式
 95 | * 集中式访问控制意味着所有的授权认证都由系统内的单个实体执行
 96 | * 分布式访问控制或分散式访问控制意味着授权认证由位于系统中的不同实体执行
 97 | 
 98 | ### 13.3.1 单点登录
 99 | * 单点登录是一种集中式访问控制技术，允许主体只在系统上认证一次并可以不用认证身份而访问多个资源
100 | * 优点是方便，安全性有增强，缺点是一旦账户被破解，主体就有不受限的访问权限
101 | 
102 | ### 13.3.2 LDAP和集中式访问控制
103 | * 单个组织经常使用集中式的访问控制系统，目录服务是一个集中式数据库，里面包含了主客体信息。许多目录服务建立在轻量级目录访问协议（LDAP）的基础上。
104 | 	* SASL认证：即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。
105 | * 访问控制系统经常也会用到多个域和信任关系，安全域是主客体的集合，共用一个安全策略。
106 | 
107 | ### 13.3.3 LDAP和PKI
108 | * 公钥基础设施（PKI）使用LDAP
109 | * LDAP和集中式访问控制系统可用于支持单点登录功能
110 | 
111 | ### 13.3.4 Kerberos
112 | * 票据身份认证采用第三方实体证实身份并提供身份身份认证，最知名的票据系统是Kerberos
113 | * Kerberos提供单点登录解决方案以及能够保护登录信息，使用对等秘钥加密AES（秘钥密码），使用端对端的安全机制保障认证通信的机密性和完整性
114 | * 秘钥分发中心（KDC）：提供身份认证服务的可信第三方，所有客户和服务都用KDC注册，秘钥都由KDC维持
115 | * Kerberos身份认证服务器：票据授予服务（KGS）和身份认证服务（AS），身份认证服务认证或拒绝票据的真实性和及时性
116 | * 授予票据：授予票证（TGT）通过KDC提供主体已认证的证明，并授权请求访问其他客体的票据，TGT加密
117 | * 票据：票据是加密的信息，证明主体已被授权访问某个对象
118 | * Kerberos需要账户数据库，它使用客户、网络服务器和KDC之间的票据交换来证明并提供身份认证
119 | * Kerberos的缺点，**存在单点故障，KDC被破解，所有系统的秘钥也都会破解**，KDC离线就无法对主体进行身份认证
120 | * Kerberos也有**严格的时间要求和默认的配置要求**，即所有的系统彼此要在**5分钟**内同步时间。如果本地系统时间超过 5 分钟不同步，有效的TGT 将失效，系统将不会收到任何新票证。
121 | 
122 | * Kerberos登陆过程如下：
123 | 	* 用户将用户名和密码键入客户端
124 | 	* 客户端使用AES加密用户名，然后传输至KDC
125 | 	* KDC使用已有证书的数据库来认证用户名
126 | 	* KDC产生一个同步秘钥，用户客户端和Kerberos服务器间的通信。它加密用户密码的散列值。KDC也生成一个有加密时间戳的授予票证（TGT）.
127 | 	* KDC然后传输加密过的同步秘钥和加密过的带有时间戳的TGT客户端
128 | 	* 客户端安装TGT，一直使用直至期满。客户端也使用用户的散列解密对称秘钥。
129 | 
130 | 
131 | * Kerberos客户端访问资源过程如下：
132 | 	* 客户端将其TGT发送回KDC，同时请求访问某个服务器或服务
133 | 	* KDC认证TGT有效性并查看其访问控制矩阵，从而认证用户是否拥有能够访问锁请求资源的足够权限
134 | 	* KDC生产一个服务票据，然后将它发送至客户端
135 | 	* 客户端发送票据至服务器或服务主机
136 | 	* 服务器或服务主机通过KDC认证服务票据的有效性
137 | 	* 一旦认证了用户身份和授权，Kerberos活动就完成了。服务器或服务主机随后建立与客户端的回话，从而开始进行通信或数据传输
138 | 
139 | ### 13.3.5 联合身份管理和SSO
140 | * 身份管理是对用户身份和凭证的管理，联合身份管理是多组织加入一个联盟一个组，通过一个方法共享彼此的身份
141 | * 联合身份系统常常使用安全生命标记语言（SAML）或服务配置标记语言（SPML） 
142 |     * 超文本标记语言（HTML）：普遍用于展示静态HTML
143 |     * 可扩展标记语言（XML）：超越对数据显示方式，以操控文本的大小和颜色
144 |     * 安全生命标记语言（SAML）：一种基于XML的语言，普遍用于联合组织之间交换认证和授权信息，常为浏览器访问提供单点登录（SSO）功能
145 |     * 服务配置标记语言（SPML）：基于XML的新框架，专门设计用于用户信息交换
146 |     * 访问控制标记语言（XACML）：用于在XML格式内定义访问控制策略，并且通常实现基于角色的访问控制
147 | 
148 | ### 13.3.6 其他单点登录的例子
149 | * 欧洲安全多环境应用系统（SESAME）：基于邀请的认证系统，开发出来为解决Kerberos的缺点，已不再认为是一款可行的产品
150 | * KryptoKnight：与Kerberos类似，使用对等认证而非第三方，不广泛使用
151 | * OAuth(公开认证):一个开放标准，与HTTP写作，允许用户以单一账户登录
152 | * OpenID:一个开放标准，可与OAuth连同使用，也可单独使用
153 | 
154 | ### 13.3.7 证书管理系统
155 | * 证书管理系统为用户的凭证保存提供存储空间，证书管理系统确保凭证已加密，从而防止未授权的访问
156 | 
157 | ### 13.3.8 整合身份服务
158 | * 身份服务未识别和认证提供了额外工具，一些工具是为了基于云的应用程序具体设计的，其他的工具是第三方身份服务，为组织内部使用而设计的
159 | * 身份即服务或者身份和访问即服务（IDaaS）,第三方服务，提供身份和访问管理，为云有效提供单点登录
160 | 
161 | ### 13.3.9 管理会话
162 | * 无论使用何种认证、重要的是管理会话，以防止未经授权的访问
163 | * 屏幕保护可以配置几分钟时间范围
164 | * 一段时间后安全网络会话也会终止
165 | 
166 | ### 13.3.10 AAA 协议
167 | * 提供认证、授权和可问责性的协议叫做AAA协议，提供集中式访问控制、并且附带虚拟专用网和其他类型的网络访问服务器的远程控制，保护内部局域网认证系统和其他服务免受远程攻击
168 | * 常见的AAA协议： 
169 |     * **RADIUS（远程认证拨号用户服务器）**：主要用于远程连接的身份认证，许多互联网服务提供商（ISP）使用RADIUS进行身份认证，组织也使用RADIUS协议，并与回调安全协议同时执行，实现进一步的保护
170 |     	* RADIUS采用用户数据报协议（UDP），并只加密交换密码而不会加密整个会话，也阔以使用附加协议来对数据会话进行加密
171 |     * **TACACS+**：将认证、授权以及可问责性分为独立的流程，可以加密所有的认证信息，使用TCP端口，为数据包提供更高的可靠性
172 |     * **Diameter**：支持多种协议，尤其在支持漫游服务的情况下特别欢迎，使用TCP端口3868或SCTP端口3868，支持IPSec和TLS加密。主要用于移动网络认证如无线设备和智能手机
173 | 
174 | ## 13.4 管理表示和访问开通生命周期
175 | * 身份信息和访问开通生命周期指账户的创建、管理和删除，开通生命周期的职责:开通、账户审核和账户撤销
176 | 
177 | ### 13.4.1 开通
178 | * 身份管理的第一步是创建新账号并为其开通相应的权限
179 | 
180 | ### 13.4.2 账号审核
181 | * 应定期检查账户，以确保正在运行的安全策略
182 | 
183 | ### 13.4.3 账户撤销
184 | * 无论员工处于何种原因，及时禁用他们的账户十分重要
185 | 


--------------------------------------------------------------------------------
/第十七章  事件预防和响应.md:
--------------------------------------------------------------------------------
  1 | # 第十七章  事件预防和响应
  2 | 
  3 | ## 17.1 管理事件响应
  4 | * 任何安全程序的主要目标之一就是防止安全事件发生
  5 | 
  6 | ### 17.1.1 事件界定
  7 | * 事件时对组织资产的保密性、完整性和可用性有负面影响的事故
  8 | * 计算机安全事件通常是指攻击接口，或指部分用户来说是恶意或故意行动的结果
  9 | 
 10 | ### 17.1.2 事件响应步骤
 11 | * 有效的时间响应氛围几个步骤或处理阶段
 12 | * **检测、响应、缓解、报告、恢复、修复、经验教训**
 13 | 
 14 | ### 17.1.3 检测
 15 | * IT环境包括许多检测潜在时间的方法，常用的有： 
 16 |     * 相匹配的事项发生时，入侵检测和防御系统发送告警给管理员
 17 |     * 检测到恶意软件时，反恶意软件会显示弹出窗口加以提示
 18 |     * 许多自动化工具定期扫描审计日志，寻找预定义的时间
 19 |     * 最终用户有时会发现不规则的活动，并联系技术人员或者管理员寻求帮助
 20 | 
 21 | ### 17.1.4 响应
 22 | * 检测和验证时间后，下一步就是响应，响应程度取决于事件的严重程度
 23 | * 团队成员应该对时间响应好组织的时间响应计划进行培训
 24 | * 组织如果能较快的响应一个时间，就可以更好的机会减少损害
 25 | * 在调查结束后，管理层可能决定起诉责任人，因此调查过程中保护所有的数据作为证据
 26 | 
 27 | ### 17.1.5 缓解
 28 | * 缓解措施尝试遏制事件，有效的事件响应的主要目标之一是限制事件的影响范围
 29 | 
 30 | ### 17.1.6 报告
 31 | * 报告是指组织内部并同时向组织外部报告事件，针对严重的安全事故，组织应考虑到报告事件给官方机构
 32 | 
 33 | ### 17.1.7 恢复
 34 | * 调查人员从系统收集所有适当的证据后，下一步就是恢复系统或将系统恢复到完全正常的状态
 35 | * 当受损的系统重建时，重要的是确保配置正确
 36 | 
 37 | ### 17.1.8 修复
 38 | * 在修复阶段，人员观察事件并确定什么原因导致事件发生，然后措施以防止再次发生
 39 | * 执行根本原因分析的目的是为了确定什么原因导致事件发生
 40 | 
 41 | ### 17.1.9 经验教训
 42 | * 在检测事件响应时，人们可以寻找改进响应的任何方面，完成经验审查后，通常需要事件响应团队编写一份报告
 43 | 
 44 | ## 17.2 部署预防措施
 45 | * 组织可以通过实时预防措避免事故
 46 | 
 47 | ### 17.2.1 基本的预防措施
 48 | * 一些对能抵抗大多数典型攻击措施有帮助的步骤： 
 49 |     * 保持系统和应用程序最新：补丁管理能确保系统和应用程序上安装最新的相关补丁
 50 |     * 删除和禁用不必要的服务和协议：缩小被攻击的面
 51 |     * 使用入侵检测和防御系统： 试图检测攻击，并提供报警
 52 |     * 使用最新的反恶意软件：涵盖各种类型的恶意代码
 53 |     * 使用防火墙： 防火墙可以阻挡许多不同类型的攻击
 54 | ### 17.2.2 理解攻击
 55 | * 常见的攻击 
 56 |     * 拒绝服务攻击： 能够阻止系统处理或响应来自资源和客体的合法数据和请求，拒绝服务攻击会导致系统崩溃、系统重启、数据损坏、服务被阻断等 
 57 |         * SYN泛洪攻击：通过破坏TCP/IP启动通信会话的三步握手标准来实施攻击
 58 |     * smurf和fraggle攻击 
 59 |         * smurf和fraggle属于dos攻击
 60 |         * smurf是一种泛洪攻击，使用受害者的IP地址作为源IP地址伪造广播Ping
 61 |         * fraggle攻击类似于smurf，使用UDP端口7和19，伪造IP地址发送UDP数据包发送给受害者
 62 |     * ping泛洪攻击 
 63 |         * ping泛洪攻击通过给受害者发送洪水般的请求来达到攻击目的
 64 |     * 僵尸网络 
 65 |         * 僵尸网络中的计算机，将会按照攻击者要求的命令执行，发起大范围攻击，发送垃圾邮件和钓鱼邮件
 66 |     * 死亡ping 
 67 |         * 采用一个超大的ping数据包，现在死亡ping攻击很少成功
 68 |     * 泪滴攻击 
 69 |         * 攻击者阻碍传输，系统无法将数据包一起发送，泪滴攻击以一种系统无法将文件还原的方式分割数据包，目前系统部容易受到泪滴攻击
 70 |     * land攻击 
 71 |         * 攻击者使用受害者的IP地址作为源地址和目的地址，发送伪造的SYN数据包给受害者，自己不断的做出回应，并最终可能会冻结、崩溃和重新启动
 72 |     * 零日攻击 
 73 |         * 利用他人未知的系统漏洞对系统发现攻击
 74 |         * 保护零日漏洞攻击的方法包括许多基本预防措施，不运行不需要的服务和协议，使用基于网络和基于主机的防火墙，使用入侵检测和防御系统检测和组织潜在攻击，使用蜜罐和填充单元
 75 |     * 恶意代码 
 76 |         * 在计算机系统上执行不必要、未授权的或位置活动的脚本或者程序
 77 |         * 偷渡式下载可以未经用户许可就将恶意软件下载并安装到用户的系统
 78 |         * 安装恶意软件的另一种流行方法就是使用付费的安装方法
 79 |     * 中间人攻击 
 80 |         * 当恶意用户能够逻辑上获得正在进行通信的两个端点之间的位置时，中间人攻击就会产生
 81 |         * 通过保持系统最新补丁，能够预防一些中间人攻击，入侵检测系统能检测通信线路上的异常活动
 82 |     * 战争拨号 
 83 |         * 一种使用调制解调器搜素接受入栈连接尝试的系统的行为
 84 |         * 新的战争拨号能够在不使用调制解调器的情况下，使用互联网协议拨号
 85 |         * 抵御战争拨号的对策包括：实施强大的远程访问安全，确保不存在未授权的调制解调器，使用回叫安全机制，协议约束和呼叫登入
 86 |     * 破坏 
 87 |         * 破坏指的是员工对组织的破坏行为
 88 |         * 预防破坏的措施：禁用解雇员工账号，定期审计，检测异常和未授权的活动
 89 |     * 间谍 
 90 |         * 一种收集专有的、秘密的、私人的、敏感或机密信息的恶意行为
 91 |         * 严格控制访问所有的非公开数据，彻底筛查新的员工，并有效跟踪员工活动
 92 | 
 93 | ### 17.2.3入侵检测和防御系统
 94 | * 入侵检测是一种特定形式的检测，通过监控记录信息和实时事件来检测潜在时间或入侵的异常活动
 95 | * 入侵防御系统有入侵检测的所有功能，还可以采取额外的措施来组织或防止入侵
 96 | * 基于知识和基于行为的检测 
 97 |     * 基于知识的入侵检测（匹配模式检测或基于签名的检测）：使用入侵检测系统供应商开发的数据库，缺点是仅对已知的攻击方法有效
 98 |     * 基于行为的入侵检测（统计入侵检测、异常入侵检测、基于启发式的检测）：基于检测最开始在系统中创建正常获得和时间的基线，基于行为的入侵检测可以被认为是专家系统和伪人工系统，缺点是会发现大量的假报警
 99 | * IDS响应 
100 |     * 被动响应： 系统通过电子邮件、文本、寻呼消息或弹出消息的方式将信息发送给管理员
101 |     * 主动响应：使用集中不同的方法来修改环境，典型ed如通过修改ACL组织基于端口、协议和源地址的流量输出
102 | * 主机性和网络型IDC 
103 |     * IDC根据信息来源分类 
104 |         * 主机型IDS：监控单个计算机上的活动，可以检测到主机系统上的异常，缺点是费用和相关的可用性，降低主机的性能
105 |         * 网络型IDS：检测并评估网络活动来检测攻击事件或异常，不能检测加密流量的内容，可以检测其他数据的信息 
106 | 			* 优点：整体性能的负面影响较小
107 | 			* 缺点： 能检测攻击或将要进行的攻击，但是不能提供有关攻击成功的信息
108 | * 入侵防御系统 
109 |     * 入侵防御系统（IPS）是一种特殊类型的主动入侵检测系统，能够在攻击达到目标系统之前检测并阻止，所有流量都必须经过IPS，IPS在分析后选择将流量通过或组织，IDS只有在攻击到达目标之后才能检测到，IPS可以使用基于知识或基于行为的检测
110 | * 理解黑暗网络 
111 |     * 黑暗网络使用已分配的，不用IP地址网络ongoin空间的一部分，包括一台已配置为捕获所有进入黑暗网络的流量的设备
112 | 
113 | ### 17.2.4 特殊的防御措施
114 | * 蜜罐/蜜网：创建独立的及实际作为陷阱来捕获入侵者，目的使入侵者远离保留有机制资源的合法网络，同时在不破坏真实环境下观察攻击者的活动
115 | * 理解伪漏洞：故意植入系统中，视图引诱攻击者的虚假漏洞或明显漏洞
116 | * 理解填充单元：和蜜罐类似，但是使用不同的方式来隔离入侵，填充单元是模拟环境
117 | * 警告框：将基本安全策略准则通知给用户和入侵者，提示他们在线活动会被审计和监控，并提供受限的活动提醒
118 | * 反恶意软件：组织恶意代码最重要的措施就是带有最新签名的反恶意软件，
119 | * 白名单和黑名单：可以有效组织用户运行未授权的 应用程序
120 | * 防火墙：通过过滤流量为网络提供保护 
121 |     * 基本防火墙：使用协议号过滤基于IP地址、端口和一些协议的流量
122 |     * 第二代防火墙：添加额外的过滤功能，应用级网关防火墙基于特定应用需求的流量，电路级防火墙过滤基于通信的流量
123 |     * 第三代防火墙（状态监测防火墙和动态数据包监测防火墙）：基于状态的流量
124 |     * 下一代防火墙：含有统一威胁管理装置的功能
125 | * 沙箱：提供一个安全边界，组织应用程序与其他应用程序交互
126 | * 第三方安全服务：一些组织奖安全服务外包给第三方
127 | * 渗透测试：模仿实际攻击，尝试确定攻击者会使用哪些技术绕过应用程序、系统、网络和组织的安全性 
128 |     * 渗透测试风险： 有些操作可能导致中断
129 |     * 获得渗透测试权限：经过高级管理人仔细深意和批准后才能进行渗透测试
130 |     * 渗透测试技术：组织聘请外部顾问进行渗透测试很常见
131 |     * 零知识团队黑盒测试
132 |     * 全知识团队白盒测试
133 |     * 部分知识会和测试
134 |     * 防护报告： 渗透测试人员提供一份记录测试结果的报告，且该报告作为敏感信息而被保护
135 |     * 道德黑客行为：了解网络安全知识并指导如何破解安全性，却不利用该知识为自己谋利的人
136 | 
137 | ## 17.3 日志、监控和审计
138 | 
139 | ### 17.3.1 日志和监控
140 | 1. 日志技术
141 | 	* 日志记录：将事件的信息记录到日志文件或数据库的过程
142 | 2. 通用日志类型：
143 | 	* 安全日志：记录一些对资源的访问
144 | 	* 系统日志：记录系统或服务的开启或关闭等事件
145 | 	* 应用程序日志：记录特定应用程序的信息
146 | 	* 防火墙日志： 记录与到达防火墙的流量相关的任何事件
147 | 	* 代理日志：记录详细的代理功能
148 | 	* 变更日志： 记录变更请求，批准和系统的实际变更
149 | 3. 保护日志数据
150 | 	* 中央系统上存储日志副本是很常见的保护日志方法
151 | 	* 对实施日志文件备份的组织有严格的管理策略
152 | 4. 角色监控
153 | 	* 监控功能为组织增加可问责性、帮助调查、提供基本的故障排除方法 
154 |     	* 监控和可问责性 
155 |     	    * 监控能确保受监控着可以对他们的行为和活动负责
156 |     	* 监控和调查 
157 |     	    * 审计跟踪通使得调查人员在发生事件之后能够对其进行重建
158 |     	* 监控和问题识别 
159 |     	    * 监控跟踪为管理员提供一些有用的、与事件相关的详细信息
160 | 5. 监控技术
161 | 	* 监控是一种检查信息日志并寻找具体某些细节的过程 
162 |     	* 日志分析是检测过程中一种详细且系统化的模式
163 |     	* 手动分析日志，管理员只需打开日志文件
164 |     	* 安全信息和事件管理 
165 |     	    * 许多组织使用集中式应用程序来自动监控网络上的系统
166 |     	    * 安全信息和事件管理（SIEM）、安全事件管理（SEM）和安全信息管理（SIM）
167 |     	* 审计跟踪 
168 |     	    * 审计跟踪提供了系统活动的记录，并可以重建导致安全事件的活动
169 |     	* 抽样 
170 |     	    * 从大量的数据中提取元素的过程
171 |     	* 阀值级别
172 | 			* 它只选择超过阀值平均值的时间，阀值平均值是时间的预定义阀值
173 |     * 其他监控工具 
174 |         * 击键监控： 记录用户在物理键盘上的记录行为
175 |         * 流量分析和趋势分析：对数据包的流量进行检测
176 | 
177 | ### 17.3.2 出口监控
178 | 出口监控是指检测传出去的流量、以防止数据泄露
179 | 
180 | 1. 数据泄露保护（DLP）：能够检测和阻止数据邪路的企图 
181 |   	* 基于网络的DLP：扫描所有网络输出数据以寻找具体的数据
182 |    	* 基于终端的DLP：可以扫描存储在系统中的文件以及发送到外部设备的文件
183 |    	* DLP通常具备进入深层次检查的能力
184 | 2. 隐写术
185 |     * 隐写术指的是在文件中嵌入消息
186 | 3. 水印
187 |     * 水印指的是在纸上嵌入不容易感知的图像或图案，经常用来防止伪造货币
188 | 
189 | ### 17.3.4 审计和评估有效性
190 | 审计是对环境有条理的进行检查和审查，目的是确保符合法规，还能检测异常、未授权的事件或犯罪
191 | 
192 | 审计人员负责测试和验证安全策略或法规的具体落实过程和程序
193 | 
194 | 1. 检验审计：来发现和纠正漏洞
195 | 2. 访问审计：检测用户权限，以及确保安全流程和程序都正常运行
196 | 3. 用户权限审计： 在用户权限的背景下，最小特权
197 | 4. 特权组审计：限制小组成员只有在必须时才使用它们的搞特权账户
198 | 5. 高级别管理组：
199 | 6. 双重管理员账号：管理员拥有两个账号，一个日常使用，一个账号额外特权
200 | 7. 安全审计和审查：帮助组织确定正确实施安全控制，审查条目有 
201 |    * 补丁管理
202 |    * 漏洞管理
203 |    * 配置管理
204 |    * 变更管理
205 | 8. 报告审计结果
206 | 9. 保护审计结果：审计报告包含敏感信息，只有足够特权的人能够访问审计报告
207 | 10. 发布审计报告
208 | 11. 使用外部审计师
209 | 


--------------------------------------------------------------------------------
/第九章  安全脆弱性、威胁和对策.md:
--------------------------------------------------------------------------------
  1 | # 第九章  安全脆弱性、威胁和对策
  2 | 
  3 | ## 9.1 评估和缓解安全脆弱性
  4 | 
  5 | ### 9.1 硬件
  6 | * 处理器
  7 | * 执行类型
  8 | 	1. 多任务处理： 同时处理两个或更多任务
  9 | 	2. 多处理： 利用多个处理器完成一个应用程序的处理能力
 10 | 	3. 多程序设计：通过操作系统对单个处理器上的两个任务进行协调，从而模拟两个任务同时执行的情况
 11 | 		* 多程序和多任务处理的差距： 多程序通常用于大规模系统使用，多任务处理在个人计算机操作系统中使用，多任务通常由操作系统协调，多程序要求特别编写的软件
 12 | 	4. 多线程处理：单个进程中执行多个并发线程，多线程的优势是降低多个线程之间转换的开销
 13 | * 处理类型：
 14 | 许多安全要求较高的系统控制着被分配不同安全级别的信息的处理任务
 15 | 	* 单一状态：使用策略机制来管理不同安全级别的信息
 16 | 	* 多态： 多台系统能够实现更高的安全级别，通过使用特定的安全机制组织信息跨越不同的安全级别
 17 | * 保护机制
 18 | 	* 保护环，保护环将操作通中的代码和组件表示为同心环，越进入环内部，特权级别越高
 19 | 		* 本质：保护环的本质在于优先权、特权和内存分割
 20 | 		* 安全性：操作系统和应用程序隔离，搞特权操作系统组件和地特权操作通组件之间有严格的界限
 21 | 	* 进程状态：也被叫做操作状态，指进程可能再其中运行的各种执行形式
 22 | 	* 安全模式：部署安全模式之前，必须存在三种特定元素： 
 23 |         * 分层的MAC环境
 24 |         * 对能够访问计算机控制台的主机完全物理控制
 25 |         * 对能够进入计算机控制台所在房间的主体的完全物理控制
 26 |     * 安全模式的分类：
 27 | 		* 专有模式：对系统所处理全部信息的额“知其所需”权限，等于没有知其所需。
 28 | 	    * 高级系统模式： 专有模式和高级系统模式的差异，高级系统模式中不必对系统处理信息的知其所需权限（只需对系统处理的部分信息具有知其所需权限）
 29 | 		* 分割模式：分割模式的系统用户不必批准访问系统中的全部信息
 30 |     	* 多级模式：多级模式暴露出最高的风险级别
 31 | 	* 安全许可、知其所需、处理多许可级别数据PDMCL
 32 | 	
 33 | ![](https://i.imgur.com/DsQVgpu.png)
 34 | 
 35 | * 操作模式
 36 | 	* 处理器支持两种操作模式：用户模式和特权模式 
 37 |     	* 用户模式：只允许执行其整个指令集中的部分指令，为了防止执行设计很差的代码以及无意识的滥用代码而意外损坏系统
 38 |     	* 特权模式(监管模式、系统模式、内核模式)：在CPU上执行的进程授予方位很广的特权
 39 | 
 40 | ### 9.1.2 存储器
 41 | 存储器：计算机为了保持信息使用的便捷所需的存储位置。
 42 | 
 43 | * 只读存储器：能够读取但是不能够修改的存储器，子类型如下
 44 |     * 可编程只读存储器：PROM芯片内容没有在工厂被烧入，允许终端用户稍后烧入内容
 45 |     * 可擦除可编程只读存储器(EPROM):当使用特殊的紫外线光照射时，可以擦除芯片上的内容，之后用户可将新信息烧入EPROM
 46 |     * 电可擦除可编程只读存储器（EEPROM）：使用送到芯片引脚上的电压进行擦除，
 47 |     * 闪存：非易时性存储媒介，可进行电子擦除和重写，闪存可以以块或页的方式进行擦写
 48 | * 随机存储器（RAM）：可读可写的存储器，当电源关闭时，数据会消失，RAM有以下类型：
 49 |     * 实际的存储器：计算机中可用的最大RAM存储资源
 50 |     * 高速缓存RAM：将数据从速度较慢的设备取出并暂时存储到高性能的设备上，高速缓存能提高系统的性能
 51 | * 寄存器：CPU的核心部分提供可直接访问的存储位置
 52 | * 存储器寻址：五种不同类型的寻址
 53 |     * 寄存器寻址：使用寄存器地址去访问寄存器的内容
 54 |     * 立即寻址：引用某些数据的一种方法，这些数据作为指令的一部分提供给CPU使用
 55 |     * 直接寻址：访问的存储器位置的实际地址会提供给CPU
 56 |     * 间接寻址：作为指令的一部分提供给CPU存储器，并不包括CPU用作操作的真实数值
 57 |     * 基址+偏移量寻址：使用存储在某个CPU寄存器中的数值作为开始计算的基址，然后将CPU指令提供的偏移量与基址相加，并计算得到存储位置取出操作数
 58 | * 辅助存储器：指磁性/光学介质或包含CPU不能立刻获得数据的其他存储设备
 59 | 辅助存储器比实际存储器便宜，而且可以存储大量信息，硬盘、软盘和光学介质都可以当做辅助存储器
 60 | * 存储器安全问题：
 61 | 围绕存储的最重要的安全问题是：计算机使用过程一定要控制那些人对存储器中的数据进行访问
 62 | 
 63 | ### 9.1.3 存储设备
 64 | * 主存储设备与辅助存储设备
 65 | 	* 主存储设备：计算机用于保存运行时CPU容易获得必要信息的RAM
 66 | 	* 辅助存储设备：由磁性介质和光学介质组成
 67 | * 易失性存储设备和非易失性存储设备
 68 | 	* 衡量存储设备在电源被切断时丢失数据的可能性的方法
 69 | * 随机存取与顺序存取
 70 | 	* 随机存储设备允许操作系统通过某些寻址系统从设备内的任何位置立刻读取数据
 71 | 	* 顺序存储设备要求到达指定位置之前读取该位置之前物理存储的所有数据
 72 | 
 73 | ### 9.1.4 存储介质的安全性
 74 | * 数据剩磁：数据诶删除后仍可能保留在辅助存储设备上，净化能解决这个问题
 75 | * 净化对固态硬盘无效
 76 | * 辅助性存储设备容易被盗
 77 | * 对存储在辅助存储设备上的数据访问，是计算机安全专家面对的最紧要的问题之一
 78 | 
 79 | ### 9.1.5 输入和输出设备
 80 | 输入和输出设备未基本的、原始的外围设备，存在安全风险
 81 | 
 82 | * 显示器
 83 | 	* TEMPEST的技术会危机显示器上锁显示数据的安全性
 84 | 	* 肩窥和相机的长焦镜头是最大风险
 85 | * 打印机
 86 | 	* 忘记取出打印出的敏感信息
 87 | 	* 磁盘保留着无期限的打印拷贝
 88 | * 鼠标/键盘
 89 | 	* TEPEST技术的监控
 90 | * 调制解调器
 91 | 	* 处于商业原因必须使用调制解调器，否则在组织的安全策略中重点考虑禁止使用调制解调器
 92 | * 输入/输出结构 
 93 |     * 存储映射I/O：映射存储位置的访问应当由操作系统居间调停，并且得到正确的授权和访问控制
 94 |     * 中断（IRQ）：只有操作系统能够在足够高的特权级别间接访问IRQ，以防止篡改或意外的错误配置
 95 |     * 直接内存访问（DMA）：
 96 | 
 97 | ### 9.1.6 固件
 98 | 固件：描述在ROM芯片中存储的软件，很少更改
 99 | 
100 | * BIOS：基本输入输出系统，使用UEFI（统一可扩展固件接口）取代传统系统的BIOS
101 | * 设备固件：
102 | 
103 | ### 9.2 基于客户端
104 | applet:代码对象被从服务器发送至客户端以便执行某些操作
105 | 
106 | * 优势 
107 |     * 处理压力转移到客户端，从而防止服务器资源
108 |     * 可以更快的响应对输入数据的修改
109 |     * 正确编程的applet中，可以维护参悟数据的安全和隐私性
110 | * 安全问题：applet准许远程系统向本地系统发送执行代码
111 | * Java applet和Active X控件
112 |     * Java applet: 优点：可以在操作系统间共享，不需要进行修改，缺点：沙盒通过JAVA减少了恶意事件的种类，但还是存在很多广泛利用的漏洞
113 | 	* Active X控件：具有操作系统的全部访问权限，能执行很多特权操作，微弱后期可能要淘汰Active X
114 | * 本地缓存：暂时存储在客户端上的任意内容，用于将来重新使用 
115 |     * ARP缓存投毒、DNS缓存投毒、临时互联网文件或互联网文件缓存
116 |     * 缓解本地缓安全方法：
117 | 		* 安装操作系统和应用程序补丁
118 | 		* 安装主机入侵检测系统和网络入侵检测工具定期审计日志
119 | 
120 | ## 9.3 基于服务端
121 | 服务端关注数据流控制
122 | 
123 | ## 9.4 数据库安全
124 | 没有数据库安全性方面的努力，业务任务可以被终端，保密信息被泄露
125 | 
126 | ### 9.4.1 聚合
127 | * 聚合：将一个或多个表中记录组合在一起，生成可能有用的信息
128 | * 防止方法：严格控制对聚合函数的访问并充分估计可能展示给未授权个体的潜在信息
129 | 
130 | ### 9.4.2 推理
131 | * 推理：利用几个非敏感信息片段的组合，从而获得对应属于更高级分类的信息的访问能力
132 | * 解决办法：使用混淆，对个人用户特权保持警惕
133 | 
134 | ### 9.4.3 数据挖掘和数据仓库
135 | * 数据仓库包含大量潜在的敏感信息，容易受到聚合和推理攻击
136 | * 数据挖掘技术开发基于异常的入侵检测系统的基准时，可以当安全工具使用
137 | 
138 | ### 9.4.4 数据分析
139 | 数据分析：对原始数据进行检查，提取有用的信息
140 | 
141 | ### 9.4.5 大规模并行数据系统
142 | 并行数据系统或并行计算系统
143 | 
144 | ## 9.5 分布式系统
145 | * 分布式系统结构容易出现想不到脆弱性
146 | * 通信设备会提供不期望的分布式环境入口
147 | 
148 | ### 9.5.1 云计算
149 | * 云计算存在问题：隐私问题、合规性困难、采用开放标准以及基于云计算的数据是否安全
150 | * 云的概念 
151 |     * 平台即服务(PaaS)：提供计算平台和软件解决方案作为虚拟的或基于云的服务,提供操作系统和完整的解决方案
152 |     * 软件即服务(SaaS)：提供对特定软件应用或套件的按需在线访问而不需要本地安装，SaaS可以实现订阅服务，付费服务或免费服务
153 |     * 基础设施即服务(IaaS)：不但提供安全操作的解决方案，还提供完全的外包选择
154 | 
155 | ### 9.5.2 网格计算
156 | * 并行分布处理的一种形式，松散的把大量处理节点组合在一起，为实现某个处理目标而工作
157 | 
158 | ### 9.5.3 点对点(P2P)
159 | 点对点技术是网络和分布式应用程序的解决方案，用于在点对点实体间共享任务和工作负载，网格计算的主要去呗是没有中央管理系统，并且提供服务是实时的
160 | 
161 | ## 9.6 工业控制系统
162 | * 集散控制系统（DCS）：负责从单个地点的大型网络环境中收集数据和实施控制，采用模拟或数字系统
163 | * 有效的单用途或专用图数字计算机（PLC）：用于各种工业化机电自动化管理与操作
164 | * SCADA（数据采集与监控系统）：
165 | 
166 | ## 9.7 评估和缓解基于Web系统的脆弱性
167 | * 脆弱性包括XML和SAML，以及开放式WEB应用程序安全项目(OWASP)中讨论的问题
168 | 
169 | ## 9.8 评估和缓解移动系统的脆弱性
170 | * 恶意内部员工可以通过外部不同类型的存储设备把恶意代码进入内部
171 | * 移动设备同行包含敏感数据
172 | 
173 | ### 9.8.1 设备安全
174 | * 全设备加密：
175 | * 远程擦除：远程擦除可以远程的删除设备上的所有数据甚至配置设置，应数据恢复工具可以恢复数据，配合加密使用
176 | * 锁定：多次尝试失败账户或设备禁用知道管理员清楚锁定标志
177 | * 锁屏：防止有人随便拾起并能使用你的手机或移动设备
178 | * GPS：通过GPS跟踪以跟踪丢失的设备
179 | * 应用控制：限制设备上的应用，也可以被用来强制安装特定的应用或执行某些应用的设置
180 | * 存储分割：人为的在存储介质上划分不同类型或数值的数据
181 | * 资产跟踪：
182 | * 库存控制：
183 | * 移动设备管理：解决员工使用移动设备访问公司资源的挑战性任务
184 | * 设备访问控制：减少对移动设备的未授权访问，如强制锁屏配置和防止用户禁用该功能
185 | * 可移动存储：
186 | * 关闭不使用的功能，删除那些对业务任务和个人使用无关的应用程序和禁用其他功能
187 | 
188 | ### 9.8.2 应用安全
189 | 应用安全：专注设备上使用的应用程序和功能
190 | 
191 | * 秘钥管理
192 | 大多数密码系统问题都出在秘钥管理而不是算法上，一旦创建秘钥，尽量减少暴露损失和风险的方式进行存储
193 | * 凭证管理：中心位置的凭证存储被称为凭证管理
194 | 凭证管理解决方案提供了一种方法来安全的存储大量的凭证集
195 | * 认证：谨慎的结合设备认证和设备加密，以组织通过连接电缆访问存储的信息
196 | * 地理标记： GPS
197 | * 加密：加密能提供对未授权数据访问的保密机制
198 | * 应用白名单： 禁止未授权软件能够被执行的安全选项
199 | 
200 | ### 9.8.3 BYOD关注点：
201 | * BYOD： 允许员工在工作中携带自己的个人移动设备并使用这些设备连接公司网络业务或互联网
202 | * BYOD带来的问题： 
203 |     * 数据所有权：提供数据隔离、分割、支持业务数据处理且不影响个人数据
204 |     * 所有权支持
205 |     * 补丁管理
206 |     * 反病毒管理
207 |     * 取证
208 |     * 隐私
209 |     * 在线/不在线
210 |     * 遵守公司策略
211 |     * 用户接受
212 |     * 架构/基础设施考虑
213 |     * 法律问题
214 |     * 可接受策略
215 |     * 机载摄像头/视频
216 | 
217 | ## 9.9 评估和缓解嵌入式设备和物联网系统的脆弱性
218 | * 嵌入式系统通过计算机实现一个更大系统的一部分
219 | 
220 | ### 9.9.1 嵌入式系统和静态数据示例
221 | * 支持网络功能的设备是那些本身有网络功能的编写或非便携设备
222 | * 网络物理系统指的是一种计算手段来控制物理世界中某样东西的设备
223 | * 网络物理系统、嵌入式系统和具备网络功能的设备的一种新扩展是物联网（loT）
224 | * 大型机是高端计算机系统并用于执行高度复杂的计算和提供大容量的数据处理
225 | * 现代大型机更灵活
226 | * 车辆计算系统把偶偶用于见识发送机性能和优化制动、转向及悬挂的组件
227 | 
228 | ### 9.9.2 安全方法
229 | * 嵌入式系统或静态系统往往缺乏安全性且难于升级或安装补丁，安全治理的方法： 
230 |     * 网络分隔：涉及控制网络设备之间的流量，隔离完成，传输仅限于分隔网络的设备之间
231 |     * 安全层：当不同级别分类或灵敏度不同的设备被分在一组时，就存在安全层，从而对不同级别的分组进行隔离，逻辑隔离要求数据包使用不同的分类标签，物理隔离需要实现不同安全级别网络之间的网络分割和空间隔离
232 |     * 应用防火墙：设备、服务器插件、虚拟服务或系统过滤器，定义服务和所有用户之间严格的通信规则
233 |     * 网络防火墙：为一般网络过滤而设计的装置，目的是提供全网的广泛保护
234 |     * 手动升级：在静态环境下以确保只实施测试和授权更改，使用自动更新系统将允许未检测的更新引进未知的安全降级
235 | * 固件版本控制：固件版本控制优先保持稳定的操作平台，同时尽量减少危险暴露和停机时间
236 | * 包装：封闭或包装其他东西，控制信道可以是特定的包装器，包括完整性和认证功能
237 | * 控制冗余和多样性：深度防御以同心圆或平面层方式使用多层访问控制，通过冗余和多样性的安全控制，避免单一安全功能失效的陷阱
238 | 
239 | ### 9.10 基本安全保护机制
240 | 安全机制分两技术机制和策略机制两部分
241 | 
242 | * 技术机制：系统设计人员针对系统建立的控制措施 
243 |     * 分层法：实现与用于操作系统的环模型类似的结构，并且能够应用于每一个操作系统进程，层与层之间的通信只能使用定义良好的特定接口，以提供必要的安全性
244 |     * 抽象：对象的用户没有必要知道对象的工作细节，只要使用正确的语法和作为结果返回的数据烈性，抽象的另一方式是引入安全组
245 |     * 数据隐藏：多级安全的重要特征，能够确保某个安全级别的数据对于运行在不同安全级别的进程来说是不可见的
246 |     * 进程隔离:要求操作系统为每个进程的指令和数据提供不同的内存空间，进程隔离的优点：组织未经授权的数据访问、保护进程的完整性
247 |     * 硬件分隔：用于组织对属于不同进程/安全级别的信息的访问，硬件隔离使通过无 控制来实现要求，进程隔离通过操作系统强加的逻辑进程隔离
248 | 
249 | ### 9.10.2 安全策略与计算机体系结构
250 | * 安全策略指导组织红日常的安全操作、过程和措施
251 | * 安全策略的角色是告知和指导某些特殊系统的设计、开发、实现、测试和维护
252 | * 组织信息从较高安全级别流向较低安全级别的策略被陈伟多级安全策略
253 | 
254 | ### 9.10.3 策略机制
255 | * 最小化特权原则
256 | * 特权分离，职责分离可以被视为针对管理员的最小特权的应用
257 | * 可问责性：支持可问责性需要用户活动记录，可靠的审计和监控系统，灵活的授权系统和完美的身份认证系统
258 | 
259 | ## 9.11 常见的缺陷和安全问题
260 | 安全模型和体系结构的目的是尽可能多的解决已知的缺陷
261 | 
262 | ### 9.11.1 隐蔽通道
263 | * 隐蔽通道是用于传递信息的方法，违反、绕过或会比了安全策略而不被发现的一种方法
264 | * 隐蔽通道类型： 
265 |     * 时间隐蔽通道:改变系统组件的性能或改变资源的时间安排来穿搭信息，难以检测
266 |     * 存储隐蔽通道:将数据写入其他进程可以读到的公共存储区域来传达信息
267 | * 针对隐蔽通道活动的最佳防护措施时实现审计和分析日志文件
268 | 
269 | ### 9.11.2 基于设计或编码缺陷的攻击和安全问题
270 | 较差的设计方法、可以的实现应用和措施、不充分的测试，都可能导致特定的攻击
271 | 
272 | 1. 初始化和失败状态：可信恢复能够保证安全控制失效的情况下不发生任何访问活动，甚至在系统恢复阶段
273 | 2. 输入和参数检查：试图将恶意入侵或代码作为程序输入部分时导致的攻击类型被称为缓冲区溢出，缓冲区溢出脆弱性的责任是编程人员
274 | 3. 维护钩子和特权程序：维护钩子程序是只有系统开发人员才知道的系统入口点，也称为后门，可通过监控审计日志发现未经授权的管理员访问后门的行为
275 | 	* 系统脆弱性是程序在执行过程中安全级别被提高的情况
276 | 4. 增量攻击：攻击形式以缓慢的、渐进的增量方式发生
277 | 	* 攻击者获得系统的权限并且在存储、处理、输入、输出或事物处理期间对数据进行细小的、随机的或增量的改变时，就会发生数据欺骗，数据欺骗是修改数据的方法，视为主动攻击
278 | 	* salami攻击，系统化的消减账户或财务就中的资产
279 | 
280 | ### 9.11.3 编程
281 | * 编程的最大权限，缓冲区溢出
282 | * 所有的程序必须经过完整的测试以遵从安全模型
283 | 
284 | ### 9.11.4 计时、状态改变和通信中断
285 | * 攻击者可以根据任务执行的可预测性来开发攻击程序
286 | * 当资源的状态或整个系统发生改变时，攻击者可以试图在两中已知的状态之间采取行动
287 | 
288 | ### 9.11.5 技术和过程完整性
289 | 
290 | ### 9.11.6 电磁辐射
291 | * 消除电磁辐射拦截最容易的方法：通过电缆屏蔽或放入导管来降低辐射
292 | 


--------------------------------------------------------------------------------
/第十二章  安全通信和网络攻击.md:
--------------------------------------------------------------------------------
  1 | # 第十二章  安全通信和网络攻击
  2 | 
  3 | ## 12.1 网络与协议安全机制
  4 | TCP/IP是主要协议，也存在许多安全缺陷
  5 | 
  6 | ### 12.1.1 安全通信协议
  7 | * 为特定应用通信信道提供安全服务的协议被称为安全通信协议
  8 | * 常见的安全通信协议： 
  9 | 	* IP简单秘钥管理（SKIP）：保护无会话数据报协议的加密工具，SKIP被设计为与IPSec相结合，并且工作在OSI模型的第三层上，能够对TCP/IP协议族的任何子协议进行加密
 10 | 	* 软件IP加密：工作在第三层IP安全协议，使用封装协议来提供身份认证、完整性和机密性
 11 | 	* 安全远程过程调用（S-RPC）：**身份认证服务，只防止远程系统上未经授权的情况下执行代码的手段**
 12 | 	* 安全套接字层（SSL）：保护WEB服务器和WEB浏览器之间的通信，是一个面向会话的协议，提供机密性和完整性
 13 | 	* 传输层安全（TLS）：功能类似于SSL，但是更健壮的认证和加密协议，TLS能加密UDP和会话初始协议（SIP）连接
 14 | 	* **安全电子交易（SET）**：互联网上进行交易传输时使用的安全协议，RSA加密以及数据加密标准（DES）
 15 | 
 16 | ### 12.1.2 身份认证协议
 17 | * 远程系统和服务器之间开始建立连接之后，应当是验证远程用户，该操作被称为身份认证
 18 | 	* **挑战握手身份认证协议（CHAP）**：CHAP对用户名和密码加密，在建立通话会话持续期间，CHAP定期对远程系统重新进行身份认证，从而认证远程客户端的持久性 
 19 | 	* **密码身份认证协议（PAP）**：基于PPP的标准身份认证协议，以**明文的形式传递用户名和密码**，仅简单的提供客户端向认证服务器传输登录凭证的手段
 20 | 	* **可扩展身份认证协议（EAP）**：一个身份认证框架，允许自定义身份认证安全解决方案
 21 | 
 22 | ## 12.2 安全的语音通信
 23 | * 常规的专用分支交换（PBX）或POTS/PSTN语音容易被截获
 24 | 
 25 | ### 12.2.1 互联网语音协议（VoIP）
 26 | * VoIP是一种将语音封装成IP数据包，并支持音频电话通过TCP/IP网络进行连接的技术
 27 | * VoIP安全问题：
 28 | 	* 呼叫ID可以被伪造，黑客可以执行语音钓鱼（VoIP钓鱼）攻击或者在网络中进行语音垃圾邮件（SPIT）攻击
 29 | 	* 呼叫管理系统和VoIP电话本身的漏洞可能受到OS攻击和DOS攻击
 30 | 	* 通过欺骗发动中间人攻击
 31 | 	* 类似VLAN中的802.1x认证证伪和VoIP跳跃（跳过验证通道）
 32 | 	* 不加密的VoIP流量可以通过解码的方式被窃听
 33 | 
 34 | ### 12.2.2 社会工程学
 35 | * 社会工程学是不认识的人获得组织内部某个人信任的一种方式，组织内的人是的公司容易受到社会工程学攻击
 36 | * 防止社会工程学的唯一途径就是教会用户如何应对和沟通只有语音的通信
 37 | 
 38 | ### 12.2.3 伪造和滥用
 39 | * 许多PBX系统都会被恶意攻击者的攻击用于躲避收费和隐藏自己的身份
 40 | * 飞客行为是一种针对电话系统的特定攻击类型
 41 | * 常见飞客工具： 
 42 | 	* 黑盒用于操纵线电压，以便窃取长途服务
 43 | 	* 红盒用于模拟硬币存入付费电话时的声音
 44 | 	* 蓝盒用于模拟与电话网络主干系统直接互动的2600Hz声音
 45 | 	* 白盒用于控制电话系统
 46 | 
 47 | ## 12.3 多媒体协作
 48 | * 多媒体协作是使用不同的多媒体通信解决方案来支持远程协作
 49 | 
 50 | ### 12.3.1 远程会议
 51 | * 远程会议技术用于让任何产品名称、硬件或软件可以和远程关系人之间相互交互
 52 | 
 53 | ### 12.3.2 即时消息
 54 | * 即时消息（IM）是一种机制，允许两个用户在互联网上的任何位置进行实时文字聊天
 55 | * 及时消息的缺陷： 
 56 | 	* 有很多漏洞
 57 | 	* 容易遭受数据包监听
 58 | 	* 缺乏加密和用户隐私
 59 | 
 60 | ## 12.4 管理电子邮件的安全性
 61 | * 电子邮件是一种罪广泛和常用的互联网服务
 62 | * Sendmail是Unix系统中最常用的SMTP服务器，Exchange是Microsoft系统中最常用的SMTP服务器
 63 | * SMTP被设计为邮件中继系统，希望避免SMTP服务器成为开放中继，开放中继是一种在接受和中继电子邮件之前并不对发送者进行身份认证的SMTP服务器
 64 | 
 65 | ### 12.4.1 电子邮件安全性的目标
 66 | * 增强的电子邮件可能满足下面列出的一个或多个目标 
 67 | 	* 提供不可否认性
 68 | 	* 限制只有预定的接受者能够访问邮件
 69 | 	* 维护邮件的完整性
 70 | 	* 对邮件源进行身份认证和校验
 71 | 	* 验证邮件的传输
 72 | 	* 对邮件的内容或附件的敏感度进行分类
 73 | *  如果对电子邮件进行备份，需要让用户意识到这种情况
 74 | 
 75 | ### 12.4.2 理解电子邮件的安全问题
 76 | * 电子邮件不采用加密，使得电子邮件容易被截获和偷听
 77 | * 电子邮件是病毒、蠕虫、特洛伊木马、破坏性宏文件以及其他恶意代码利用的最常用传输机制
 78 | * 在验证源上面，电子邮件几乎没有提供任何方法
 79 | * 电子邮件本身也可以作为一种攻击机制，如Dos
 80 | 
 81 | ### 12.4.3 电子邮件安全解决方案
 82 | * 安全多用途互联网邮件扩展（S/MIME）：通过公钥加密和数字签名为电子邮件提供身份认证和隐私保护。
 83 | * S/MIME提供两种类型的邮件：
 84 | 	* 签名的邮件：提供完整性和对发送者的身份认证
 85 | 	* 安全封装的邮件：提供完整性、对发送者的身份认证以及机密性
 86 | * MIME对象安全服务（MOSS）：利用MD2、MD5、RSA公钥以及数据加密标准（DES），从而提供身份认证和加密服务
 87 | * 隐私增强邮件（PEM）：使用RSA、DES和X.509提供身份认证、完整性、机密性和不可否认性
 88 | * 电子邮件验证标准（DKIM）：一种手段，确保合法邮件被组织通过域名身份认证来发送
 89 | * 良好的隐私（PGP）：使用多种加密算法对文件和电子邮件进行加密的公钥-私钥密码系统
 90 | 
 91 | 如果附件是电子邮件通信的必须部分，需要依赖对用户的培训和反病毒工具进行保护
 92 | 
 93 | ## 12.5 远程接入安全管理
 94 | * 远程访问使深处远方的客户端能够建立与某个网络的通信会话
 95 | 
 96 | ### 12.5.1 计划远程接入安全
 97 | * 列出远程安全策略时，务必解决以下问题： 
 98 | 	* 远程连接技术：每一样远程连接都有自己的问题
 99 | 	* 传输保护：加密协议、加密连接系统、加密的网络服务和应用程序存在多种形式，根据需求选用适当的安全服务组合，包括VPN、SSL、TLS、SSH、IPSec以及L2TP
100 | 	* 身份认证保护：为了保护登录凭证的安全，需要使用某种身份认证协议，甚至授权采用集中的远程访问身份认证系统，可能包裹密码认证协议（PAP）、挑战握手认证协议（CHAP）、扩展认证协议（EAP）以及扩展的PEAP或者LEAP、远程认证拨号用户服务（RADIUS）以及终端访问控制访问控制系统（TACACS+）
101 | 	* 远程用户支持： 远程发昂文用户可以定期寻求技术支持
102 | 
103 | ### 12.5.2 拨号协议
104 | * 在建立远程连接时，必须使用某些协议来管理连接的实际创建方式，并未其他协议创立工作于其上的通用通信基础
105 | * 拨号协议的主要例子： 
106 | 	* 点对点协议（PPP）：全双工协议，用于各种非LAN连接上传输TCP/IP数据包
107 | 	* 网络串行线路协议（SLIP）：支持异步串行连接上的TCP/IP，很少使用
108 | 
109 | ### 12.5.3 集中化的远程身份认证服务
110 | * 集中化的远程身份认证服务提供了远程客户端和专用网络之间的安全保护层
111 | * 远程认证拨号用户服务（RADIUS），用于集中完成远程拨号连接的身份认证，使远程的访问服务器将拨号用户的登录凭证发送给RADIUS服务器进行身份认证。Radius协议的三个基本功能：
112 | 	* 对需要访问网络的用户或设备进行身份验证
113 | 	* 对已通过身份验证的用户或设备授予资源访问的权限
114 | 	* 对已授权的访问进行审计
115 | *  终端访问控制器访问控制系统（TACACS+）:替换RADIUS
116 | 
117 | ## 12.6 虚拟专用网络
118 | * 虚拟专用网络是一条通信隧道，可以在不可信的中间网络上提供身份认证和数据通信的点对点传输，大多数VPN使用加密技术来保护封装的通信数据
119 | * VPN在不可信的中间网络上提供了机密性和完整性，并不保证可用性
120 | 
121 | ### 12.6.1 隧道技术
122 | * 隧道技术：通过将协议包封装到其他协议包中来保护协议包的内容
123 | * 如果封装协议涉及加密，那么不必担心丢失机密性和完整性
124 | 
125 | ### 12.6.2 VPN的工作原理
126 | * VPN连接能够被建立在其他任何网络通信链接上
127 | * VPN可以连接两个单独的系统或两个完整的网络
128 | 
129 | ### 12.6.3 常用VPN协议
130 | 
131 | 常用VPN协议：PPTP（IP网络）、L2F(数据链路层)、L2TP（数据链路层）和IPSec（IP网络）
132 | 
133 | 1. 点对点隧道协议 
134 | 	* 点对点隧道协议（PPTP）是从拨号协议点对点协议开发出来的一种封装协议，在两个系统之间创建一条点对点隧道，并封装PPP包
135 | 	* 身份认证协议包括：MS-CHAP（微软挑战握手身份认证协议）、CHAP（挑战握手协议）、PAP(密码身份认证协议)、EAP(扩展身份认证协议)、SPAP（Shiva密码身份认证协议）
136 | 2. 二层转发协议和二层隧道协议
137 | 	* 二层隧道协议（L2TP）源于PPTP和L2F的组合，在通信的断电之间建立一条点对点隧道，缺乏内置的加密方案，依赖IPSec作为安全机制，支持TACAS+和RADIUS
138 | 3. IP安全协议
139 | 	* 目前最常用的协议IPSec，只能用于IP通信，提供安全的身份认证以及加密的数据传输
140 | 	* IPSec主要的组件或功能： 
141 | 		* 身份认证头（AH）：提供**身份认证、完整性以及不可否认性**
142 | 		* 封装安全有效载荷（ESP）：提供加密，从而保护**机密性**，执行**有限的身份认证**操作，工作在第三层，在传输模式中对数据进行加密，在隧道模式整个IP包都加密。
143 | 
144 | ![](https://i.imgur.com/7FUFmwF.png)
145 | 
146 | ### 12.6.4 虚拟局域网
147 | * 在网络上进行逻辑隔离而不改变其物理拓扑
148 | * VLAN与安全相关的优势： 
149 | 	* 控制和限制广播流量。阻断子网和VLAN中的广播
150 | 	* 隔离网络分段的流量
151 | 	* 减少网络监听的脆弱性
152 | 	* 防止广播风暴
153 | 
154 | ### 12.7 虚拟化
155 | * 虚拟化技术用来在单一主内存中承载一个或多个操作系统
156 | * 虚拟化的好处 
157 | 	* 备份比同等安装在本地硬盘上的系统更容易和更快速
158 | 	* 恶意代码或感染很难影响主机操作系统
159 | 
160 | ### 12.7.1 虚拟化软件
161 | * 虚拟化应用程序是一种软件，一个虚拟应用被打包或者封装，使它具备移动性和在不用完整安装原有的操作系统的情况下运行
162 | * 虚拟桌面至少包括三种不同类型的技术： 
163 | 	* 一种远程工具，允许用户访问远程的计算机系统、并允许查看和控制远程桌面、键盘、鼠标
164 | 	* 虚拟应用概念的卡欧战，封装多个应用和一些桌面形式
165 | 	* 扩展或扩展桌面
166 | 
167 | ### 12.7.2 虚拟化网络
168 | * 虚拟化网络时将硬件和软件网络组件组合成单一合成实体
169 | * SDN（软件定义网络）是一种独特的网络操作、设计和管理方法，旨在从控制层分离基础设施层
170 | * 虚拟化网络的另一个概念SAN，将多个单独的存储设备组合成单一综合的网络访问存储容器
171 | 
172 | ## 12.8 网络地址转换
173 | * NAT是一种将报头的内部地址转成公共的IP地址，从而在互联网上传输的机制
174 | * NAT的优点： 
175 | 	* 始终只使用一个或者几个租用的公共IP地址将整个网络连接到互联网
176 | 	* 始终能够在互联网通信的情况下，定义专用IP地址用于专用网络
177 | 	* NAT能通过互联网隐藏IP地址方案和网络拓扑结构
178 | 	* NAT还通过限制连接提供保护
179 | 
180 | ### 12.8.1 专用IP地址
181 | * 10.0.0.0 ~ 10.255.255.255（整个A类范围）
182 | * 172.16.0.0 ~ 172.31.255.255（16个B类范围）
183 | * 192.168.0.0 ~ 192.168.255.255（255个C类范围）
184 | ### 12.8.2 状态NAT
185 | 
186 | 进行NAT操作时，会在内部客户端生产的请求、客户的内部IP地址以及联系的互联网服务的IP地址之间维护一个映射。
187 | 
188 | ### 12.8.3 静态NAT与动态NAT
189 | * 静态NAT：特定的内部客户端的IP地址永久映射到特定的外部公共IP地址，允许外部实体与专用玩过内部的系统进行通信
190 | * 动态NAT：允许多个内部客户端使用较少的租用公共IP，该方法将互联网访问成本降到最低
191 | 
192 | ### 12.8.4 自动私有IP寻址
193 | * APIPA为每个失败的DHCP客户端委派位于169.254.0.1到169.254.255.254内的一个IP
194 | 
195 | ## 12.9 交换技术
196 | * 两个系统通过多个中间网络连接时，一个系统向另一个系统传输数据包的任务是非常复杂的
197 | 
198 | ### 12.9.1 电路交换
199 | * 两个通信方会创建一条专用的物理路径，在会话过程中持续保护，电路交换使用永久的物理连接
200 | 
201 | ### 12.9.2 分组交换
202 | * 报文或者通信先被分为若干小段，然后通过中间网络发送至目的地，分组交换不具有排他性
203 | 
204 | ![](https://i.imgur.com/5hhlu6d.png)
205 | 
206 | ### 12.9.3 虚电路
207 | * 虚电路是一种在两个指定端点之间分组交换网上创建的逻辑路径或电路
208 | * 分组交换虚电路：永久虚电路（PVC）、交换虚电路（SVC）
209 | 
210 | ## 12.10 WAN技术
211 | * WAN连接用来把远端网络、节点或单个设备连接在一起，适当的连接管理和传输加密对于确保安全连接是必要的
212 | * 专线：一种长期保留以供指定客使用的线路，使用保持畅通，随时等待数据传输通信
213 | * 综合数字业务（ISDN）是一种完全数字化的电话网，能够同时支持语音通信和高速数据通信 
214 | 	* **基本速率接口（BRI）**为客户提供的连接具有两个B信道和一个D信道
215 | 	* **主速率接口（PR）**为客户提供连续具有2至23个64Kbps的B信道和一个64Kbps的信道
216 | 
217 | ### 12.10.1 WAN连接技术
218 | * 边界连接设备（信道服务单元/数据服务单元 CSU/DSU）：将LAN信号转换成WAN运营网络锁使用的格式
219 | 
220 | ### 12.10.2 X.25 WAN连接
221 | * 使用永久虚电路在两个系统或网络之间特定的点对点连接
222 | 
223 | ### 12.10.3 帧中继连接
224 | * 帧中继是一种使用分组交换技术在通信中断之间建立虚电路的第二层连接机制
225 | * CIR(承诺信息速率) ：服务商向客户保证的最小带宽
226 | 
227 | ### 12.10.4 ATM
228 | * 异步传输模式（ATM）是一种心愿交换WAN通信技术，是一种面向连接的分组交换技术
229 | 
230 | ### 12.10.5 SMDS
231 | * 交换式多兆位数据服务（SMDS）是一种无连接的分组交换技术，用于连接多个LAN，从而组成城域网（WAN）
232 | 
233 | ### 12.10.6 专门的协议
234 | * WAN连接技术需要使用专门的协议来支持各种各样特殊的系统或设备
235 | * 同步数据链路控制（SDLC）：用在专门租用线路的永久物理连接上，运行在* SI第二层
236 | * 高级数据链路控制（HDLC）：专门针对同步串行连接而设计，支持全双工，支持点对点和点对多点，使用轮询技术，工作在* SI第二层，提供流控制、差错检测与校验
237 | * 高速串行接口（HSSI）：定义了复用器和路由器如何连接告诉网络运营商服务，工作在* SI第一层
238 | 
239 | ### 12.10.7 拨号封装协议
240 | * 点对点协议（PPP）：用于支持在拨号或点对点连接上传输IP通信数据
241 | * PPP最初设计用于支持身份认证的CHAP和PAP，新版还支持MS-CHAP,EAP以及SPAP
242 | 
243 | ## 12.11 各种安全控制特性
244 | 
245 | ### 12.11.1 透明性
246 | * 安全控制或访问机制对于用户来说是不可见的，安全机制越透明，用户越难避开安全机制，甚至无法差距安全机制的存在
247 | 
248 | ### 12.11.2 验证完整性
249 | * 为了验证数据传输的完整性，可以使用散列总数的检验和
250 | * CRC（循环冗余校验）：也可以作为完整性工具使用
251 | 
252 | ### 12.11.3 传输机制
253 | * 传输日志是一种关注与通信的审计形式
254 | * 传输错误校验是面向连接的或面向会话的协议和服务内置的一种能力
255 | 
256 | ## 12.12 安全边界
257 | * 安全边界是任何两个具有不同安全要求或需求的区域、子网或环境之间的交线
258 | * 安全边界还存在于物理环境和逻辑环境之间，为了提供逻辑安全，必须采用与物理安全性不同的安全机制
259 | * 安全边界始终应当清楚的定义
260 | * 物理中的安全防线常常是逻辑环境中安全防线的反映
261 | * 在讲安全策略转换为实际的控制时，必须分别考虑所有的环境和安全边界
262 | 
263 | ## 12.13 网络攻击与对策
264 | 
265 | ### 12.13.1 DoS和DDoS
266 | * 拒绝服务攻击是一种资源消耗型攻击，以阻碍系统上的合法活动为主要目的
267 | * 拒绝服务攻击的方法： 
268 | 	* 利用硬件或软件的漏洞进行攻击
269 | 	* 通过巨量的垃圾网络流量以泛洪的方式充满受害者的通信信道
270 | * 针对Dos攻击的防御措施： 
271 | 	* 添加防火墙、路由器和入侵检测来检测Dos流量和自动阻断端口过滤基于元和目的地址的数据包
272 | 	* 与服务提供商保持良好沟通
273 | 	* 外部系统上禁用echo回复
274 | 	* 边界系统上禁用广播特性
275 | 	* 阻断伪造数据包进入或离开网络
276 | 	* 保持所有系统已安装来自供应商的最新安全更新补丁
277 | 	* 考虑第三方商用Dos保护/响应服务
278 | 
279 | ### 12.13.2 偷听
280 | * 偷听是为了复制目的而对通信信息进行简单的侦听
281 | * 维护物理接入的安全性，从而防止未授权的人员访问你的IT基础设施能够对付偷听
282 | * 对通信传输使用加密和一次性身份认证降低偷听的有效性和及时性
283 | 
284 | ### 12.13.3 假冒/伪装
285 | * 假冒或伪装是指假装成某人或某事，从而获得对系统的未授权访问
286 | * 对付假冒攻击的解决方法包括：使用一次性填充和令牌身份认证系统
287 | 
288 | ### 12.13.4 重放攻击
289 | * 重放攻击是假冒攻击的分支，可以利用偷听捕获的网络通信进行攻击
290 | * 使用一次性身份认证机制和序列回话身份标识来防范重放攻击
291 | 
292 | ### 12.13.5 修改攻击
293 | * 修改攻击能够更改捕获的数据包，然后将其放回系统中
294 | * 针对修改重放攻击的对策包括数字签名验证与数据包校验 与验证
295 | 
296 | ### 12.13.6 地址解析协议欺骗
297 | * ARP映射可能受到欺骗攻击，欺骗为请求的IP地址系统提供假的MAC地址，从而将通信重定向到另一个目的地。
298 | 
299 | ### 12.13.7 DNS投毒、欺骗和劫持
300 | * DNS投毒和DNS欺骗被称为解析攻击，攻击者更改DNS系统中域名到IP地址的映射并将流量定向到假冒系统或简单的执行拒绝服务时，DNS投毒就发生了
301 | * DNS劫持漏洞，唯一解决的办法就是升级DNS到域名系统安全扩展（DNSSEC）
302 | 
303 | ### 12.13.8 超链接欺骗
304 | *  超链接欺骗既可以采用DNS欺骗的形式，也可以简单的在发送给客户端的HTML代码中修改超链接URL
305 | *  对付超链接欺骗攻击的防护手段包括防止DNS欺骗、保持系统更新补丁
306 | 
307 | 


--------------------------------------------------------------------------------
/第十一章  网络安全架构与保护网络组件.md:
--------------------------------------------------------------------------------
  1 | # 第十一章  网络安全架构与保护网络组件
  2 | 
  3 | ## 11.1 OSI模型
  4 | 基于OSI模型的协议采用封装的机制，通过每一层从上一层接收到数据后，封装会给数据添加一个报头，并且还可能会添加一个报尾，然后才将数据传输到下一层。
  5 | 
  6 | * 数据从OSI模型的应用层向下移动至物理层时，在每一层都会发生**封装**。
  7 | * 数据从OSI模型的物理层向上移动至应用层时，在每一层发生的逆向操作称为**解封装**。
  8 | 
  9 | ![](https://i.imgur.com/bGEPAvz.png)
 10 | 
 11 | ### 1. 物理层
 12 | 物理层从数据链路层接收帧，并把帧转换为可以通过物理连接介质传送的比特。
 13 | 
 14 | 物理层的协议：
 15 | 
 16 | * EIA
 17 | * X.21
 18 | * 高速串行接口（HSSI）
 19 | * 同步光网络（SONET）
 20 | * V.24和V.35
 21 | 
 22 | ### 2. 数据链路层
 23 | 数据链路层负责将来自网络层的数据包格式化为可以进行传输的适当格式。
 24 | 
 25 | 工作在数据链路层的网络硬件设备包括交换机和桥。
 26 | 
 27 | 数据链路层的协议：
 28 | 
 29 | * 串行线路网络协议（SLIP）
 30 | * 点对点协议（PPP）
 31 | * **地址解析协议（ARP）：将IP地址解析为MAC地址。**
 32 | * **反向地址解析协议（RARP）：将MAC地址解析为IP地址。**
 33 | * 二层转发协议（L2F）
 34 | * 二层隧道协议（L2TP）：L2TP（第二层隧道协议）可使用 IPsec（网际协议安全）来提供流量加密，确保通过 L2TP VPN 流量的机密性。
 35 | * 点对点隧道协议（PPTP）：PPTP（点对点隧道协议）以明文形式发送会话的初始数据包，可能包括用户名和散列密码。PPTP 支持 EAP，并被用来封装 PPP 数据包。
 36 | * 综合服务数字网络（ISDN）
 37 | 
 38 | ### 3. 网络层
 39 | 网络层负责向数据中添加路由和寻址信息。
 40 | 
 41 | 网络层负责提供路由或传递信息，但不负责保证传输已进行验证（这个工作由传输层负责）。
 42 | 
 43 | 网络层还管理着错误检测和节点数据通信（也就是通信控制）。
 44 | 
 45 | 工作在网络层的硬件设备包括路由器和桥式路由器。路由协议：距离矢量（RIP、IGRP和BGP）和链路状态（OSPF）。
 46 | 
 47 | 网络层的协议：
 48 | 
 49 | * 网络控制报文协议（ICMP）
 50 | * 路由信息协议（RIP）
 51 | * 开放式最短路径优先（OSPF）
 52 | * 边界网关协议（BGP）
 53 | * 网络组管理协议（IGMP）
 54 | * 网际协议（IP）
 55 | * 网际协议安全（IPSec）
 56 | * 互联网分组交换协议（IPX）
 57 | * 网络地址转换（NAT）
 58 | * 网络简单秘钥管理协议（TKIP）
 59 | 
 60 | ### 4. 传输层
 61 | 
 62 | 传输层负责管理连接的完整性并控制会话。
 63 | 
 64 | 传输层的协议：
 65 | 
 66 | * 传输控制协议（TCP）
 67 | * 用户数据报系协议（UDP）
 68 | * 顺序数据包交换（SPX）
 69 | * 安全套接字层（SSL）
 70 | * 传输层安全（TLS）
 71 | 
 72 | ### 5. 会话层
 73 | 
会话层负责两台计算机之间建立、维护和终止通信会话。单工、半双工、全双工。

会话层的协议：

 74 | * 网络文件系统（NFS）
 75 | * 结构化查询语言（SQL）
 76 | * 远程过程调用（RPC）

### 6. 表示层

表示层负责将从应用层接受的数据转换为遵从OSI模型的任何系统能理解的格式，还负责加密和压缩。

表示层的格式标准：
 
* 美国信息交换标准代码（ASCII）
 77 | * 扩充二进制编码的十进制交换码（EBCDIC）
 78 | * 标签图像文件格式（TIFF）
 79 | * 联合图像专家组（JPEG）
 80 | * 运动图像专家组（MPEG）
 81 | * 音乐设备数字接口（MIDI）
 82 | 
 83 | ### 7. 应用层
 84 | 
应用层负责将协议栈与用户的应用程序、网络服务或操作系统连接在一起，准许应用程序和协议栈进行通信。

有一种网络设备（或服务）工作在应用层：应用层网关，作为协议转换工具。

应用层的协议：
 85 | 
 86 | * 超文本传输协议（HTTP）
 87 | * 文件传输协议（FTP）
 88 | * 行式打印机后台程序（LPD）
 89 | * 简单邮件传输协议（SMTP）
 90 | * 远程登录（Telnet）
 91 | * 普通文件传输协议（TFTP）
 92 | * 电子数据交换（EDI）
 93 | * 邮局协议第三版（POP3）
 94 | * 互联网消息访问协议（IMAP）
 95 | * 简单网络管理协议（SNMP）
 96 | * 网络新闻传输协议（NNTP）
 97 | * 安全远程过程调用（S-RPC）
 98 | * **安全电子交易（SET）支付、电子钱包。**
 99 | 
100 | 
## 11.2 TCP/IP模型

TCP/IP模型为四层：应用层：传输层（主机到主机层）、网际层（互联网层）和网络接入层

![](https://i.imgur.com/fYKzsto.png)

TCP的设计目的是便于使用而不是安全，因此容易遭受攻击。
101 | TCP/IP可以使用两个系统之间的VPN链接进行安全保护或采用TCP包装，通过用户ID和系统ID的基础上限制对端口和资源的访问。
102 | 
103 | 1. 传输层协议
104 | 	* 传输控制协议（TCP）在OSI模型的第四层上运作，这个面向连接的协议能够支持全双工通信，使用可靠的会话。
105 | 	* 用户数据报协议（UDP）也在OSI模型的第四层上运作，面向无连接的，尽力而为的通信协议。
106 | 
107 | 2. 网络层协议和IP网络基础
108 | 	* IP为数据包提供路由寻址功能，IP不保证传送数据包以正确的顺序传送数据包，也不保证只进行一次传送，所以IP上使用TCP获得可靠的和受控的通信会话
109 | 	* ICMP：用于确定某个网络或特定链接的健康状况，遗憾的是ICMP的功能被各种基于贷款的拒绝服务攻击利用，
110 | 	* ping of death攻击、smurf攻击和ping flood泛洪攻击
111 | 		* ping of death攻击：发送一个畸形的大于65535字节（大于最大IPV4数据包大小）的数据包给一个计算机并试图让其崩溃。
112 | 		* smurf攻击：Woodlly Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是Woodlly希望攻击的系统。
113 | 		* ping flood泛洪攻击是一个基本的拒绝服务攻击。
114 | 	* IGMP：网咯管理协议允许系统支持多播
115 | 	* ARP与反向ARP，使用ARP缓存污染的技术滥用活动
116 | 
117 | 3. 常见的应用层协议
118 | 	* 远程登录（Telnet），TCP端口23，支持命令和运行应用，不支持文件传输
119 | 	* 文件传输协议（FTP），TCP端口20和21，支持文件交换的网络应用
120 | 	* 普通文件传输协议（TFTP），UDP端口69，支持文件交换的网络应用，不要求认证
121 | 	* 简单邮件传输协议（SMTP），TCP端口25，客户端向邮件服务器以及从一个邮件服务器向另一个邮件服务器发送邮件
122 | 	* 邮局协议（POP3），TCP 端口100，将邮件服务器收件箱中的邮件传送至邮件客户端
123 | 	* 互联网消息访问协议（IMAP），TCP端口143，用于将邮件服务器收集箱中的邮件传输至邮件客户端，比POP3安全
124 | 	* 动态主机配置协议（HTTP），TCP端口80，用于从web服务器向WEB浏览器传送WEB页面元素
125 | 	* 安全套接字层（SSL），TCP端口443,原本设计用于支持安全的web通信，还能保护应用层协议通信安全
126 | 	* 行式打印后台程序（LPD），TCP端口515，用于管理打印作业以及向打印机发送打印作业的网络服务
127 | 	* X视窗，TCP端口6000-6063，用于支持不同系统之间共享文件的网络服务
128 | 	* 网络文件系统（NSF），TCP端口2049，文件共享服务
129 | 	* 简单网络管理协议（SNMP），UDP161 ，用于从中间监控站轮询设备来收集网络健康和状况信息
130 | 
131 | **分层协议的应用**
132 | 
133 | * 优点： 
134 | 	* 可以在更高层使用更为广泛的协议
135 | 	* 封装可以和不同的层进行合作
136 | 	* 在更为复杂的网络中支持灵活性和弹性
137 | * 缺点： 
138 | 	* 允许隐蔽信道
139 | 	* 过滤机制可被绕过
140 | 	* 逻辑上实现的网络边界可以被逾越（VLAN封装欺骗）
141 | 
142 | **TCP/IP的脆弱性**
143 | 
144 | 不正确的实现TCP/IP协议堆栈很容易遭受缓冲区溢出攻击、SYN泛洪、DOS攻击、碎片攻击、过长数据包攻击、欺骗攻击、中间人攻击、劫持攻击以及编码错误攻击，遭受监控或修改提案等被动攻击。
145 | 
146 | * 圣诞树攻击：Xmas，畸形TCP报文，设置一个数据包上所有可能的TCP标志，因此“像点亮圣诞树一样点亮了它”。
147 | * Land攻击：把TCP SYN包的源地址和目的地址都设置成一个受害者的IP，这将导致受害者向它自己的地址发送SYN-ACK消息结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时。
148 | * Fraggle攻击：类似于smurf攻击只是使用UDP应答消息而非ICMP。
149 | 
150 | **域名解析**
151 | 
152 | 最基础的三层：
153 | 
154 | * 第三层或底层，是MAC地址层。MAC地址或硬件地址是“永久”的物理地址。
155 | * 第二层或中间层，是IP地址层。IP地址是在MAC地址上“临时”赋予的逻辑地址。
156 | * 最顶层是域名。域名或计算机名是在IP地址上“临时”赋予的友好转换约定。
157 | 
158 | ## 11.3 汇聚协议
159 | 
160 | 汇聚协议是专业或专有协议和标准协议的融合。
161 | 
162 | * 以太网光纤通道（FCoE）：光纤通道是网络存储解决方案（SAN）或网络附加存储形式（NAS），光纤通道作为网络层或OSI第三层协议，替换IP作为标准的以太网网络负载
163 | * MPLS（多协议标签交换）：一种高通过、高性能的网络技术，基于最短路径的标签而不是更长的网络地址传输
164 | * 互联网小型计算机系统接口（iSCSI）:基于IP的网络存储标准，支持独立的文件存储、传输，以及对局域网、广域网的检索或公共网络连接，是光纤通道的低成本替代方案
165 | * IP语音（VoIP）:网络上传输语音和/或数据的一种隧道机制
166 | * 软件定义网络（SDN）：一种独特的对网络进行操作、设计和管理的方法，还提供一种直接怼中央位置进行网络设计的新方法，另一种SDN的思考是其有效的网络虚拟化
167 | 
168 | ## 11.4 内容分发网络
169 | CDN是资源服务的集合，被部署在互联网的许多数据中心提供低延迟、高性能和所承载内容的高可用性。
170 | 
171 | 大多数CDN关注于服务器的物理分布，然而基于客户的CDN也是可能的。这通常被称为P2P（点对点）。最被广泛认可的P2P CDN是BitTorrent。
172 | 
173 | ## 11.5 无线网络
174 | 
175 | 无线网络是因为易于部署和相对低廉的成本，称为一种连接企业和家庭系统的流行方法。
176 | 
177 | 缺点：容易被远程窃听、数据包嗅探、新的DoS和入侵形式。数据泄露是数据通过电磁信号进行传输。（TEMPTEST）
178 | 
179 | **保护无线接入点**
180 | 
181 | * 无线覆盖单元是物理环境中无线设备可以接入到无线接入点的区域，无线覆盖可导致环境中的安全泄露
182 | * 部署无线网络时，应该部署接入点并使用基础设施模式而不是点对点模式
183 | * 基础设施变化模式：独立模式、有限扩展模式、企业扩展模式和桥接模式 
184 | 	* 独立模式：无线接入点连接无线客户端但没有提供任何有线资源
185 | 	* 有线扩展模式： 无线接入点连接无线客户端到有限网络
186 | 	* 企业扩展模式：多个无线接入点（WAP）用来连接巨大的物理区域到同一个有线网络
187 | 	* 桥接模式：无线连接用于连接两个有线网络的情况
188 | 
189 | **保护SSID**
190 | 
191 | * 无线网络分配的服务标识符（SSID），为了区分无线网络。
192 | * 保护SSID的方法： 
193 | 	* SSID广播应禁用保持无线网络的私密性
194 | 	* 使用WP2作为可靠的身份认证和加密解决方案
195 | 
196 | **使用加密协议**
197 | 
198 | * WEP（有限等效保密），采用RC4的流密码算法，是对称流加密算法，在发布的同时就被破解（**依赖于单个预定义的共享静态秘钥**）
199 | * WPA（WEP的替代品），基于**LEAP**和**TKIP**的加密体系并同行使用安全加密用于认证，攻击者可以简单的在WPA网络上运行暴力猜测以发现密码，不提供长期可靠的安全
200 | * WPA2（基于AES），目前认为是安全的，使用CCMP（计数器模式密码块链接消息认证协议），基于AES的加密方法。**到目前为止，还没有实际的攻击能破坏正确配置的WPA2无线网络加密。**
201 | * 802.1X/EAP：基于端口的网络访问控制协议，确保客户端在没有发生正确认证时不能和资源发生通信联系 
202 | 	* **EAP（可扩展认证协议）：是认证框架而不是具体的认证机制**
203 | * PEAP（受保护的可扩展认证协议）：通过TLS隧道封装EAP方法，提供了认证和潜在的加密功能
204 | * **LEAP（轻量级可扩展认证协议）**：Cisco专有，用于WAP替代TKIP，**避免使用该协议**
205 | * MAC过滤器：无线接入点阻断那些未授权的设备，但是仅仅在小型的、静态的环境中使用
206 | * TKIP（临时秘钥完整性协议）：被设计为替代WEP而不需要更换无线硬件，WPA使用该协议
207 | * CCMP（计数器模式密码块链接验消息认证协议）：用于取代WEP和TKIP/WPA，使用AES加密和128的秘钥，是首选的标准安全协议
208 | 
209 | **天线的确定**
210 | 
211 | 1. 天线类型
212 | 	* 全向天线，标准的直杆或杆天线是一种全向天线，可以在垂直于天线本身的方向是发送和接受信号。在大多数基站和客户端设备可以发现这种天线。
213 | 	* 定向天线，专注于某个主要方向的发送和接收能力，Yagi天线、cantenna天线、面板天线和抛物面天线。
214 | 
215 | 2. 调整功率水平控制
216 | 	* 现场勘测和调整天线位置后，无线信号仍然无法令人满意，需要调整功率。
217 | 
218 | 3. 使用强制门户
219 | 	* 一种认证技术，将新连接的无线web客户端重定向到强制门户访问控制页面。
220 | 
221 | 4. 一般的Wi-Fi安全措施
222 | ![](https://i.imgur.com/2WXBiVb.png)
223 | 
224 | ## 11.6 保护网络组件
225 | 网络被分为内部网和外部网。
226 | 
227 | * 内部网：一种专用网络，被设计用于集成与建立互联网上的相同信息服务。
228 | * 外部网：互联网和内部网之间的中间网络。隔离区（DMZ）或边界网络。
229 | 
230 | 网络隔离的好处：
231 | 
232 | * 提高性能
233 | * 减少通信
234 | * 提高安全性
235 | 
236 | ### 11.6.1 网络接入控制
237 | * 网络接入控制（NAC）是一种访问控制环境中严格遵守和实施安全策略的概念，目标如下： 
238 | 	* 预防/减少0-day攻击
239 | 	* 加强网络通信的安全策略
240 | 	* 使用验证完成访问控制
241 | * NAC可以通过进入前评估方式和进入后评估方式： 
242 | 	* 进入前评估方式需要系统满足当前的安全要求才被允许与网络进行通信
243 | 	* 进入后评估方式基于用户的活动允许访问或拒绝访问，是预定义的授权矩阵
244 | 
245 | ### 11.6.2 防火墙
246 | * 防火墙是管理和控制网络通信的必要方式
247 | * 防火墙被用于阻止或过滤通信，大多数防火墙提供广泛的日志记录、审计和监控性能以及报警和基本的入侵检测系统功能
248 | * 防火墙不能组织通过其他已授权通信信道传送的病毒或恶意代码，不能防止未授权但 由用户无意或有意造成的数据泄露
249 | * 防火墙故障往往由于人为错误和不当配置 造成的
250 | * 防火墙的基本类型有4中，静态的数据包过滤防火墙、应用级网关防火墙、电路级网关防火墙以及状态监测防火墙 
251 | 	* **第一代 静态的数据包防火墙**：通过检查报文头部的数据进行通信过滤，容易受到虚假数据包的欺骗，是第一代防火墙，工作在OSI模型的第三层，也被成为屏蔽路由器或常用路由器
252 | 	* **第二代 应用级网关防火墙**：被成为代理防火墙，基于传送或接收数据的网络服务来过滤通信，每种应用类型都必须具有自己唯一的代理服务器，对网络性能会产生负面影响，被称为第二代防火墙，工作在应用层
253 | 	* **第二代 电路级网关防火墙**：用于在可信合作伙伴之间建立通信会话，工作在会话层，SOCKS是电路级方管防火墙的通用实现，只基于通信电路的终点名称来许可或拒绝转发策略，属于第二代防火墙
254 | 	* **第三代 状态监测防火墙**：对网络通信的状态或环境进行评估，能够为已授权的用户和活动授予广泛的访问权限，并且积极的监视和组织未授权的用户和活动，被视为第三方防火墙，工作在网络层和传输层
255 | * 多宿主防火墙：防火墙至少具有两个过滤通信的接口
256 | * 防火墙部署的体系结构：防火墙体系结构一般有三种：单层、双层、和三层
257 | 
258 | ### 11.6.3 终端安全
259 | * 终端安全的概念是指每个单独设备必须维护本地安全
260 | * 终端安全应视为在每个单独主机上提供足够安全的努力
261 | 
262 | ### 11.6.4 其他网络设备
263 | * 中继器、集中器和放大器：用于加强线缆上的通信信号以及连接使用相同协议的网段，工作在OSI的第一层，连接两侧系统都处于相同的冲突域和广播域
264 | * 集线器： 用于连接多个系统以及连接使用相同协议的网段，工作在OSI模型第一层上，连接系统两侧都是统一冲突域和广播域
265 | * 调制解调器：在模拟信号和数字信号之间进行覆盖和调制
266 | * 桥：用于两个网络连接在一起，以便连接使用相同协议的网段，工作在OSI模型第二层，两侧系统位于相同的广播域，不同的冲突域
267 | * 交换机：能够有效的进行流量传递、建立隔离的冲突域以及提高数据总体的吞吐量，使用VLAN可以隔离广播域，工作在OSI第三层
268 | * 路由器：控制网络上的通信流，工作在OSI模型第三层
269 | * 桥式路由器：一种路由器和桥组合的设备
270 | * 网关： 能够连接使用不同网络协议的网络，工作在OSI模型的第七层
271 | * 代理：不需要在协议之间进行转换的网关
272 | * LAN扩展：一种远程访问的多层交换机
273 | 
274 | ## 11.7 布线、无线、拓扑和通信技术
275 | 
276 | ### 11.7.1 网络布线
277 | * 同轴电缆：同轴电缆分为细缆（10Base2）和粗缆（10Base5）
278 | * 同轴电缆常见问题： 
279 | 	* 弯出超出最大半径幅度，从而破坏中心导线
280 | 	* 部署同轴电缆的长度超过推荐的最大长度
281 | 	* 在同轴电缆末端没有争取使用50欧姆电阻器
282 | * 基带和宽带线缆
283 | * 基带线缆一次只能传输一个单独的信号，绝大多数网络连线采用基带线缆
284 | * 宽带线缆可以同时传输多个信号
285 | ![](https://i.imgur.com/CDm5Zi1.png)
286 | * 双绞线：与同轴电缆相比，双绞线更加灵活，双绞线氛围屏蔽双绞线（STP）和非屏蔽双绞线（UTP）
287 | * 双绞线的常见问题 
288 | 	* 使用错误的双绞线线缆类型来完成高吞吐率的网络连接
289 | 	* 部署的双绞线线缆长度超过推荐的最大长度
290 | 	* 具有显著干扰的环境中使用UTP
291 | * 导线
292 | 	* 每种线缆类型定义最大长度，距离长的线缆常常可以通过使用中继器或集中器得到补充
293 | 	* 针对导线基础上的网络线缆，存在一种备选方案，那就是光纤，传输速度快，不会受到窃听和干扰
294 | 
295 | ### 11.7.2 网络拓扑
296 | * 环型网络拓扑：每次只有一个系统可以传输数据，通过令牌实现
297 | * 总线型拓扑：系统采用冲突避免机制，总线型的好处所有不存在单点故障，但是中央干线仍然存在单点故障隐患
298 | * 星型拓扑：采用一个集中式连接设备没个系统都通过一个专用的网段连接到中央集线器
299 | * 网状型拓扑结构：为系统提供冗余，多个网段出现故障也不会对连通性造成严重影响
300 | 
301 | ### 11.7.3 无线通信与安全性
302 | 1. 无线的一般概念
303 | 	* 扩频：多个频率同时发生
304 | 	* 跳频扩频（FHSS）：以串行方式传输数据，同时不断改变所使用的频率
305 | 	* 直接序列扩频（DSSS）：以并行的方式同时利用所有可用频率，提高更高的吞吐率，允许接收方重构数据
306 | 	* 正交频分复用（OFDM）：利用允许传输进行更紧密压缩的数字多在波调制模式，使用更小的频率组，提供更大的数据吞吐率
307 | 2. 蜂窝电话
308 | 	* 蜂窝电话：使用无线电波频率组的编写设备与蜂窝电话运营商的网络以及其他蜂窝电话设备或互联网设备交互
309 | 	* 蜂窝电话 重点：
310 | 		* 蜂窝电话提供商网络上的通信，不管是语音、文字还是数据都不一定是安全的
311 | 		* 特定的无线嗅探装备能够截获蜂窝电话传输的信息
312 | 		* 如果蜂窝电话联通互联网或办公网，攻击者甚至还可以获得其他的攻击方式、访问和破坏手段
313 | 		* 蜂窝电话的重要技术WAP，不可能从服务提供商那里得到真正的端对端保护
314 | 3. 蓝牙
315 | 	* 无线配对不安全
316 | 	* 蓝牙劫持能够在不知情的情况下配对
317 | 	* 蓝牙窃听允许黑客远程控制蓝牙设备的特征和功能
318 | 4. 无绳电话
319 | 	* 信号极少加密，很容易被偷听
320 | 5. 移动设备
321 | 	* 移动手机和其他移动设备证显示出不断增加的安全风险
322 | 	* 移动设备的遗失以为着个人和企业机密的破坏
323 | 	* 移动设备已成为黑客和恶意代码的攻击目标
324 | 	* 移动设备无法避免偷听
325 | 
326 | ### 11.7.4 LAN技术
327 | 1. 以太网
328 | 	* 以太网是一种共享介质的LAN技术，也称为广播技术，广播域是一个物理的系统组，冲突域包含若干系统组
329 | 	* 以太网可以支持全双工模式，由同轴电缆或者双绞线连接，常见为星型和总线型
330 | 2. 令牌环
331 | 	* 令牌环采用令牌传递机制来控制哪些系统可以在网络介质上传输数据
332 | 	* 令牌环可通过使用多占访问组件（MAU）部署物理星型结构，内部设备使用逻辑令牌连接
333 | 3. 光纤分布式数据接口（FDDI）
334 | 	* 光纤分布式数据接口使用两个环的告诉令牌传递技术，双环设计允许实现自愈，主要用于大型企业网络的主干
335 | 4. 辅助技术
336 | 	* 大多数网络并非只包含一种技术，而是包含众多技术
337 | 5. 模拟和数字
338 | 	* 传输分为两种类型：模拟和数字
339 | 		* 使用频率、幅度、相位等发生连续信号时，就是进行模拟通信
340 | 		* 使用非连续的电子信号以及状态改变或开关脉冲，出现数字信号
341 | 	* 模拟和数字优缺点：
342 | 		* 长距离传输时，数字信号比模拟信号可靠
343 | 		* 模拟信号具有无限多的变化被用于信号编码
344 | 6. 同步和异步
345 | 	* 同步通信依赖于定时或时钟机制，基于独立的时钟或数据流内嵌的时间标记，能够支持非常告诉的数据传送
346 | 	* 异步通信依赖于停止和开始定界位来管理数据的传输
347 | 7. 基带和宽带
348 | 	* 基带技术只能支持单个通信信道，以太网就是基带技术
349 | 	* 宽带技术能支持多个同时发生的信号，宽带是一种模拟信号形式
350 | 8. 广播、多播和单波
351 | 	* 广播技术支持与所有可能的接受者进行通信
352 | 	* 多播技术支持多个特定的接受者进行通信
353 | 	* 单波技术只支持与某个特定接受者的单一通信
354 | 9. LAN介质访问
355 | 	* 载波侦听多路存取（CSMA）
356 | 	* 带有冲突避免的载波侦听多路存取（CSMA/CA）
357 | 	* 带有冲突检测的载波侦听多路存取（CSMA/CD）
358 | 	* 令牌传递：持有令牌的主机有权传输数据，如FDDI
359 | 	* 轮询：主系统一次轮询或了解每个丛书系统是否需要传输数据，SDLC使用了轮询


--------------------------------------------------------------------------------