精华内容
下载资源
问答
  • 安全需求分析&系统需求分析 1.可行性分析 本次可行性分析是按照规范步骤进行,即按复查项目目标和规模,研究本系统,导出新系统的高层逻辑模型,重新定义问题这一循环反复的过程进行。然后提出系统的实现方案,...

    基于图书管理系统的需求分析

    可行性分析&安全需求分析&系统需求分析

    1.可行性分析

    本次可行性分析是按照规范步骤进行,即按复查项目目标和规模,研究本系统,导出新系统的高层逻辑模型,重新定义问题这一循环反复的过程进行。然后提出系统的实现方案,推荐最佳方案进行经济、技术、用户操作和法律的可行性分析,最后给出系统是否值得开发的结论:

    成果、效益分析结果:效益>成本;

    技术可行:现有技术可完成开发任务;

    操作可行:系统能被现有人员快速掌握并使用;

    法律可行:所使用工具和技术及数据信息不违反法律。

    2.安全需求分析

    1. 保密性需求
      1. 数据要绝对安全,防止有意无意的破坏数据。若数据遭到破坏,系统具有数据恢复功能,不可恢复的数据仅限于当日录入和修改的数据。
      2. 各分部用户仅能录入、修改和查询与该分部用户有关的数据。
      3. 各分部的数据录入只能在规定的时间范围内由规定的授权用户完成,超过规定的时间段将不能再对数据进行修改。
      4. 学生用户不可以更改自己的学号,姓名,性别等关键信息,只能更改账户密码。
      5. 图书管理员和系统管理员必须严格控制对数据的修改,只能数据录入的用户才有权对数据进行修改。
      6. 使通过该图书管理系统浏览和查询本系统提供的服务信息的用户确信这些信息是完整的, 任何非授权形式的信息创建、插入、删除和篡改都是不允许的。针对于本系统的用户的用户密码以及个人隐私信息都是非公开的。
    2. 完整性需求

    1.所有输入的表单和参数在被软件处理之前,都需要根据允许的输入数据集进行比较验证,如身份的核实(需要图书管理员核实学生身份之后进行借书还书操作)等。

    2.所有发行的系统功能模块都应具有校验和、散列函数的功能,以便使用者能够验证该模块的准确性和完整性

    3.所有非人类的行动者(如系统和批处理程序)都需要被识别和监控,以防止它们对运行的系统数据进行操作,除非有明确的授权。

       3. 可靠性需求

    1.要能够抵御用户可能的误操作,保证软件的健壮性

    2.要对数据进行检验,保证数据有效性

    3.在数据被破坏时,具有数据恢复能力

    4.可认证性需求

    1. 用户在系统中注册是需要实名认证,需要核实其手机号码等的真实性,同时手机号码等个人信息也会存储到个人信息表中
    2. 学生用户在登录、借还书、修改密码等操作时需要进行身份认证,借还书是需要图书管理员对其进行身份认证
    3. 提供单点登录支持,并要求这些身份主体记录在预定义的用户认证列表中
    4. 对系统核心事务的处理模块,都需要多因素的身份认证

    5.授权需求

    1. 学生用户只有查询图书信息、修改个人账户密码、查看图书借阅记录的权限
    2. 图书管理员拥有修改图书借阅记录、修改图书信息、修改个人账户密码、查询图书信息的权限
    3. 系统管理员拥有查询图书信息、修改所有用户密码、修改图书借阅记录、修改图书信息的权限,系统管理员拥有该系统的最高权限

    3.系统需求分析

    1. 系统需求概述

    该系统主要建立一个基于C/S模式的图书馆借阅管理系统,面对当起很多小型图书管理仍是人工管理带来的检索速度慢,效率低,借阅归还图书量大,图书统计工作量大,藏书不能完成及时更新的问题,该系统可以对跟系统的三个用户类型的使用实现:

    (1)对于读者在本系统的应用下可实现查询图书馆的藏书清单,方便的借阅图书,续借图书,归还图书,能够查询自己的借阅图书情况;

    (2)对于图书馆工作人员能够实现方便的对图书进行查询,方便的进行读者借阅情况查询,方便的进行借书还书处理等,便捷的对图书信息进行添加、修改、删除,对读者信息进行相关添加,修改等操作;

    (3)对于系统管理员可以对图书馆信息进行修改更新操作,对系统用户进行添加、修改等操作。 

    2.系统性能需求

    1. 数据精确度

    保证查询的查全率和查准率为100%,所有在相应域中包含查询关键字的记录都能查到,所有在相应域中不包含查询关键字的记录都不能查到。

        2.系统响应时间

    系统对大部分操作的相应时间应在1秒内。

    ​​​​​​​   3.适应性需求

    满足运行环境在允许操作系统之间的安全转换和与其他应用软件的独立运行的要求。

    ​​​​​​​  4.运行需求

    用户界面:系统采用对话框方式,多功能窗口运行。

    故障处理: 正常使用时不出错,对于用户的输入错误给出适当的改正提示信息,遇到不可恢复的系统错误时,保证数据库完好无损。

     

    展开全文
  • 定义明确的安全需求

    千次阅读 2014-04-19 17:30:26
    定义明确的安全需求,重要的是确切了解什么是安全的需求。尽管安全需求与安全特性用于根本不同的目的,但它们经常被混淆。使用以下两个定义可以明确这种差异: ► 安全需求是必须完成的任务。例如,所有密码必须...
    要定义明确的安全需求,重要的是确切了解什么是安全的需求。尽管安全需求与安全特性用于根本不同的目的,但它们经常被混淆。使用以下两个定义可以明确这种差异:
    
    ► 安全需求是必须完成的任务。例如,所有密码必须加密存储。安全需求通常不会指示如何做,例如指示用哪个软件用来加密。

    ► 安全特性是必须可用的功能。例如,用户管理必须能够在Web 界面进行。

    与功能要求或性能要求类似,安全需求需要确保从一开始就将安全性构建到应用中。安全需求定义要求何种新安全特性和如何改变现有特性以包括必要的安全属性。设定安全需求的目标是确保应用可以预防和抵挡攻击。

    审计和日志记录
    尽管人们通常依赖网络和包日志来进行取证分析,同时,应用程序内部的日志记录也是同等重
    要的;应用程序应该对软件的保密性、可用性和完整性至关重要的事件进行内部日志记录。
    例如,应用就需要有审计日志。审计日志来记录日志的事件必须包括当前会话令牌(如果
    有)、IP 地址和时间。必须记录日志的事件还包括帐户验证尝试、帐户锁定、应用错误和与
    规定的验证例程不匹配的输入值。
    身份验证
    由于大多数应用具备访问控制限制,以防止机密性泄漏,因此,确保这些访问控制机制不能被
    破解或操作以允许未经授权的访问,这一点非常重要。
    例如,要求强密码。任何身份验证凭证必须包含适当的强度,其中包括大写字母、小写字母和
    数字字符,而且在长度上不能小于8 个字符。
    会话管理
    HTTP 协议最初的设计使得难以在整个应用会话持续期间跟踪会话。这推动了 HTTP 协议之
    上的会话管理功能的构建。
    例如,一个安全需求是合法用户自始至终可以保持正常访问;远程会话的所有资源利用必须加
    以监控和限制,以防止或减轻对应用可用性的攻击。
    输入验证和输出编码
    尽管在建模和架构阶段大多数设计级安全性缺陷都被发现,但大多数开发和交付安全性问题是
    因为不良的输入验证和输出编码而引入的。重要的是用户提供的数据要通过适当的验证。
    例如,所有输入必须通过集中的验证控制来加以验证。
    异常处理
    从严格意义上讲,一个应用不可能完全安全。但是,常常最可接受的是应用“足够安全”。隐
    藏详细的应用异常或过于具体的错误消息能够延长攻击应用所需的时间。
    举例来说,此上下文中的一个安全需求是应将所有错误消息捕获并记录在安全性审计日志中。
    加密技术
    安全的加密算法极难创建和实现。一个机构选择一种满足业务需要、受行业支持的算法极其重
    要。
    安全需求的一个例子是,应用内所使用的所有加密算法必须经过联邦信息处理标准(Federa
    l Information Processing Standards ,FIPS)[17]批准且与之兼容。
    静止数据
    尽管所有应用都试图保护后端存储库中的数据,但是最好假设该数据存储将来在某种意义下会
    被泄漏。深度防护规定任何敏感数据都要针对这种可能性进行加密。
    安全需求的一个例子是,如果应用包含必须为了法规遵从性而加以保护的敏感用户信息,则必
    须使用功能强大的加密技术来保护姓名(名称)、用户名、地址和财务数据等敏感的用户信
    息。
    活动数据
    只要软件应用被实现,就存在对要求跨网络或系统传输数据的软件架构的已知攻击。当应
    用数据跨越开放和封闭的网络和系统时,对其妥善保护是至关重要的。
    对这类系统的安全需求可能包括:如果应用在不可信或不安全的网络间传输敏感的用户信
    息,那么所有通信渠道必须予以加密。
    配置管理
    新的漏洞每天都会涌现,这凸显了普通基础设施组件中的弱点。尽管其中一些问题可通过打补
    丁的方式加以纠正,但有时要求这些选项能够用于进行特定部署的用户。
    通过既满足应用业务需求又保护了应用和基础设施的方式来平衡底层系统,这至关重要。
    安全需求的一个例子是,所有管理界面必须从非管理界面分离出来。

    展开全文
  • 软件安全需求分析

    千次阅读 2020-12-30 19:10:33
    文章目录一、软件与软件安全的需求分析1、软件需求分析的主要工作2、软件安全需求分析的主要工作二、软件安全需求来源1、来源的分类2、软件安全遵从性需求三、需求的获取1、获取的相关方2、获取方法 一、软件与软件...

    一、软件与软件安全的需求分析

    为了开发出满足用户需求的软件产品,首先需要知道的是用户的需求。这是对软件开发工作能否取得成功的基础条件。

    1、软件需求分析的主要工作

    为了开发出满足用户需求的软件产品,首先需要知道的是用户的需求。这是对软件开发工作能否取得成功的基础条件。
    1)确定系统的综合要求

    • 功能需求:划分系统需要的功能
    • 性能需求:指定系统的约束,包括速度、信息量、存储量等
    • 可靠性和可用性需求:顶俩个的指定系统的可靠性,它量化了系统被用户的实用程度。
    • 出错处理需求:该如何人响应错误环境。
    • 接口需求:描述系统与特的通信格式
    • 约束:应该遵循的限制条件
    • 逆向需求:说明软件不应该做什么。
    • 将来可能提出的需求:明确哪些需可能扩充到软件之中。

    2)分析系统的数据要求
    准确全面的定义数据,正确的描述数据之间的逻辑关系。
    3)导出系统的逻辑模型
    使用数据流图、实体-联系图、状态转换图、数据字典等逻辑模型。
    4)修正系统开发计划
    在分析过程中,对系统的深入理解,可以具体的、准确的估计系统的成本和进度,修正以前制定的计划。

    2、软件安全需求分析的主要工作

    1)软件安全需求分析的目的与作用

    • 目的: 描述为了实现信息安全目标,软件系统应该做什么,才能高效的提高软件的安全质量,减少软件漏洞。
    • 重要作用:一个没有惊进行安全需求分析的软件开发项目,将威胁到信息的保密性、完整性和可用性,以及其他的一些安全问题。这个软件被攻破就只是时间的问题,早晚会被攻破。所以对于一个软件来说,软件的安全需求分析是必不可少的。

    2)安全需求分析与软件需求分析的联系
    软件安全需求分析是软件需求分析的一个必要组成部分。安全需求应该与业务需求具有同样的需求水平,并能对功能需求具有约束力。
    3)安全需求分析与软件需求分析的区别
    软件安全需求的客观性:
    软件安全需求分析是由系统的客观属性决定的。与一般需求分析的不同在于:安全需求并不是从使用者的要求和兴趣出发,而是由系统的客观属性决定的。
    软件安全需求的系统性:
    软件安全需求分析不能只从系统本身出发,必须从系统角度进行分析。因为软件本身可能会由于逻辑、数据、时序等设计缺陷导致安全问题。从系统角度分析,不可避免涉及到各个领域的专业知识与经验积累。因此分析时应以人为主,分析工具只能起到辅助作用。并且分析时需要有专业的分析人员,熟悉系统架构的总体设计人员,软件设计人员和各领域专家共同参与。
    4)安全需求分析的主要工作
    首先需要确定明白你软件的业务运行环境、规则环境及技术环境。然后在了解各类软件安全需求的基础上,通过一定的安全需求获取过程,对软件应该包含的安全需求进行分析,然后对如何实际部署和开发进行讨论。

    二、软件安全需求来源

    1、来源的分类

    内部安全需求:
    内部安全需求一是指内部需要遵守的政策、标准、指南和实践模式,二是软件功能需要的相关安全需求。
    外部安全需求:
    主要是法律法规等遵从性需求,包括国家和地区的关于技术与管理的法律法规、标准与要求等。

    2、软件安全遵从性需求

    主要由信息系统安全的测评国际保准、信息安全管理的国际标准、信息系统安全工程国际标准以及我国的信息安全标准等组成。

    三、需求的获取

    1、获取的相关方

    软件安全需求获取的相关方包括 业务负责人、最终用户、客户、安全需求分析人员和安全技术支持人员等。
    业务负责人、最终用户和客户咋安全需求确定是发挥着重要作用,应当积极的参与安全需求的采集和分析过程。
    此外,运维小组与信息安全小组等技术支持人员页式相关方,应与分析人员、业务负责人、客户等做好积极沟通,寻求支持与帮助。

    2、获取方法

    1)头脑风暴
    又称之为智力激励法、自由思考法,是指无限制的思考和自由联想、讨论等,其目的在于产生新观念或者激发新创想。值得注意的是,这种情况只适用于需要快速实现的情况下使用。并且这种方式提出的安全需求可能不全面或不一致,以来于个人对问题的理解以及自身的经验等,比较主观。
    2)问卷调查和访谈
    通过问卷调查,可以直接的生成安全需求。其有效性取决于如何向被调查对象提出和是的问题。调查时应该覆盖当前软件的安全设计原则和安全配置文件的内容,应当考虑业务风险、过程风险和技术风险。
    3)策略分解
    将组织需要遵守的内部和外部政策,包括法律法规、隐私和遵从性命令分解成详细的安全需求。这是一个连续化的结构化的过程。
    4)数据分类
    更具数据的生命周期管理对数据分阶段划分来决定安全需求。也可以根据数据的重要性等级的划分来确定。

    5)主客体关系矩阵
    采用主/课题无关系矩阵来刻划一个基于使用用例的主/客体之间的操作关系,在此基础之上确立安全需求。

    展开全文
  • 信息系统安全 总结提纲

    千次阅读 2020-12-29 00:04:22
    常见的威胁信息系统安全的概念信息系统安全的实质基于信息保障的信息系统安全概念信息系统脆弱性的表现Analog Attack 的基本思想攻防不对称性拟态主动防御5G 对信息系统安全带来的挑战CMM框架云计算安全架构安全需求...

    信息系统安全 期末总结提纲

    信息系统概论

    什么是信息系统

    信息系统,用于收集、存储和处理数据以及传递信息、知识和数字产品的一套集成组件。商业公司和其他组织依靠信息系统来执行和管理他们的运作,与他们的客户和供应商互动,并在市场中竞争。

    信息系统是支持数据密集型应用程序的软件和硬件系统。

    信息系统安全与信息安全的区别

    信息系统安全是指信息网络的硬件、软件及其系统中的数据收到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断;信息安全指的是保障信息的保密性、完整性、可用性、可控性、不可否认性。

    信息系统的例子

    管理信息系统:最大限度的利用现代计算机及网络通信技术加强企业信 息管理,通过对企业拥有的人力、物力、财力、设备、 技术等资源的调查了解,建立正确的数据,加工处理并编制成各种信息资料及时提 供给管理人员,以便进行正确的决策,不断提高企业的管理水平和经济效益。

    数据处理系统:对数据进行加工(如清洗、去噪等)、整理(如分类等)、计算(数值计算、统计分析、 模型模拟等)及实现数据可视化(如画图、制表等)的人机系统。

    决策支持系统:为决策者提供所需的数据、信息和背景资料,帮助明确决策目标和进行问题的识别,建立或修改决策模 型,提供各种备选方案,并且对各种方案进行评价和优选,通过人机交互功能进行分析、比较和判断,为正确的决策提供必要的支持。

    电子商务系统:交易各方以电子交易方式而不是通过直接面谈方式进行的任何形式的商业交易,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、 电子公告牌)以及自动捕获数据(如条形码)等, 其目的是对整个贸易活动实现电子化。

    办公自动化系统:使人们的一部分办公业务借助于各种设备并由这些设备与办公人员构成服务于某种目标的人机信息处理系统。

    智慧地球分成三个要素:物联化互联化智能化

    信息系统发展趋势

    大型化 复杂化:以信息技术和通信技术为支撑,规模庞大,分布广阔,采用多级网络结构,跨越多个安全域,处理海量的、复杂且形式多样的数据,提供多种类型应用的大系统。

    与大数据的结合、和物联网的结合、和5G的结合、和人工智能的结合、和工业互联网的结合

    信息系统的架构

    单机架构:随着用户数的增长,Tomcat和数据库之间竞争资源,单机性能不足以支撑业务
    Tomcat与数据库分开部署:随着用户数的增长,并发读写数据库成为瓶颈
    引入本地缓存和分布式缓存:缓存扛住了大部分的访问请求,随着用户数的增长,并发压力主要落在单机的Tomcat上,响 应逐渐变慢。
    引入反向代理实现负载均衡:反向代理使应用服务器可支持的并发量大大增加,但并发量的增长也意味着更多请求穿透到数据库,单机的数据库最终成为瓶颈。
    数据库读、写分离:业务逐渐变多,不同业务之间的访问量差距较大,不同业务直接竞争数据库,相互影响性能。
    数据库按业务分库:随着用户数的增长,单机的写库会逐渐会达到性能瓶颈。
    把大表拆分为小表:数据库和Tomcat都能够水平扩展,可支撑的并发大幅提高, 随着用户数的增长,最终单机的Nginx会成为瓶颈。
    使用LVS或F5使多个Nginx负载均衡:由于LVS也是单机的,随着并发数增长到几十万时,LVS服务器最终会达到瓶颈,此时用户数达到千万甚至上亿级别,用户分布在不同的地区,与服务器机房距离不同,导致了访问的延迟会明显不同Nginx会成为瓶颈。
    通过DNS轮询实现机房间的负载均衡:随着数据的丰富程度和业务的发展,检索、分析等需求越来越丰富, 单单依靠数据库无法解决如此丰富的需求。
    引入NoSQL数据库和搜索引擎等技术:引入更多组件解决了丰富的需求,业务维度能够极大扩充,随之而来的是一个应用中包含了太多的业务代码,业务的升级迭代变得困难。
    大应用拆分为小应用:不同应用之间存在共用的模块,由应用单独管理会导致相同代码存在多份,导致公共功能升级时全部应用代码都要跟着升级。
    复用的功能抽离成微服务:不同服务的接口访问方式不同,应用代码需要适配多种访问方式才能使用服务。此外,应用访问服务,服务之间也可能相互访问,调用链将会变得非常复杂,逻辑变得混乱。
    引入容器化技术实现运行环境隔离与动态服务管理:使用容器化技术后服务动态扩缩容问题得以解决,但是机器还是需要公司自身来管理,在非大促的时候,还是需要闲置着大量的机器资源来应对大促, 机器自身成本和运维成本都极高,资源利用率低。
    以云平台承载系统:以上所提到的从高并发访问问题,到服务的架构和系统实施的层面都有了各自的解决方案。 针对更复杂的问题, 还需考虑诸如跨机房数据同步、分布式事务实现等实际问题。

    边缘计算和云计算互相协同

    二者是彼此优化补充的存在,共同使能行业数字化转型。云计算是一个统筹者,它负责长周期数据的大数据分析,能够在周期性维护、业务决策等领域运行。边缘计算着眼于实时、短周期数据的分析,更好地支撑本地业务及时处理执行。边缘计算靠近设备端,也为云端数据采集做出贡献,支撑云端应用的大数据分析,云计算也通过大数据分析输出业务规则下发到边缘处,以便执行和优化处理。

    如何解决秒杀技术瓶颈

    将请求拦截在系统上游,降低下游压力:秒杀系统特点是并发量极大,但实际秒杀成功的请求数量却很少,所以如果不在前端拦截很可能造成数据库读写锁冲突,甚至导致死锁,最终请求超时。

    充分利用缓存(Redis):利用缓存可极大提高系统读写速度。

    消息中间件(ActiveMQ 、Kafka等):消息队列可以削峰,将拦截大量并发请求,这是一个异步处理过程,后台业务根据自己的处理能力,从消息队列中主动的拉取请求消息进行业务处理。

    为什么存在架构的复杂性问题

    体系结构是信息系统的基本结构,它的复杂性直接影响着系统的复杂性。在体系结构设计阶段有效控制复杂性,不仅可以减小系统实现的难度、降低成本,而且对提高系统可靠性等也有一定的帮助。因此,对体系结构的复杂性进行度量和评价,对于系统的设计和决策非常重要。通过对体系结构复杂性的研究,对复杂性给出合适的定义和度量方法,就可以采取有效的措施来降低系统复杂性,减小复杂性所带来的不利影响。

    如何度量信息系统的复杂度

    Halstead 复杂性度量:Halstead把程序看成由可执行的代码行的词汇(操作符和操作数)组成的符号序列。设 n1 表示程序中不同运算符的个数, n2 表示程序中不同操作数的个数,令 H 表示程序的预测长度,

    Halstead给出 H的计算公式为:
    H = n 1 l o g 2 n 1 + n 2 l o g 2 n 2 H= n_1 log_2 n_1 + n_2 log_2 n_2 H=n1log2n1+n2log2n2
    Halstead的重要结论之一是:程序的实际长度 N与预测长度非常接近。

    McCabe度量法:McCabe度量用程序流图的圈数(cycloramic number)来测量程序的复杂 性,并基于程序控制论和图论提出了经典的McCabe圈复杂性度量理论。
    在这里插入图片描述
    复杂度:
    流图中的区域数:4(上图中用方框标注的)
    流图G的环形复杂度V(G)=E-N+2,其中E是流图中边的条数,N是结点数。本例中:12-10+2=4
    流图G的环形复杂度V(G)=P+1,其中P是流图中判定结点的数目。本例中3+1=4(判定节点是2,4,7)

    信息系统安全概述

    信息系统安全威胁,常见的威胁

    信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。
    在这里插入图片描述

    信息系统安全的概念

    信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

    信息系统安全的实质

    安全=及时的检测和处理 Pt(保护)>Dt(检测)+ Rt(反应)

    防护时间Pt:黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机)、系统(NT,UNIX)和防火墙等障碍,在黑客达到目标之前的时间;
    在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后,我们需要作出响应,这段时间称之为Rt.
    假如能做到Dt+Rt<Pt,那么我们可以说我们的目标系统是安全的。

    基于信息保障的信息系统安全概念

    信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命 。

    信息系统脆弱性的表现

    硬件组件:信息系统硬件组件的安全隐患多来源于设计,主要表现为物理安全方面的问题。

    软件组件:软件组件的安全隐患来源于设计和软件工程中的问题。 漏洞;不必要的功能冗余引起安全脆弱性;未按安全等级要求进行模块化设计,安全等级不能达到预期

    网络和通信协议:TCP/IP协议族本身的缺陷。基于TCP/IP协议Internet的安全隐患,缺乏对用户身份的鉴别、缺乏对路由协议的鉴别认证、TCP/UDP的缺陷。

    Analog Attack 的基本思想

    恶意攻击者不在应用程序或者操作系统的底层植入后门了,而是在计算机的处理器芯片中植入后门,这种基于“硅元素”的后门很难被发现。计算机芯片中有着数以亿计的元件,如果想要找出这样的一种单一组件(后门程序),可以算得上是大海捞针了。让问题更加严重的就是,计算机芯片中的每一个组件其大小甚至都不到人类头发丝直径的千分之一。这种后门程序被设计成了一种电容,而这种能够临时存储电荷的恶意容器件是很难被检测到的。

    攻防不对称性

    攻击者:攻击可以在任意时刻发起、攻击可以选择一个薄弱点进行、攻击包含了对未知缺陷的探测、攻击常在暗处,具隐蔽性、攻击可以肆意进行

    防御者:防御必须随时警惕、防御必须全线设防、防御只能对已知的攻击防御、防御常在明处,表面看起来完美,使人容易疏忽,丧失警惕、防御必须遵循一定的规则。

    拟态主动防御

    拟态:是自然界中一种生物 伪装成另一种生物,或伪装成环境中其它物 体以获取生存优势的能力。

    针对一个前提:防范未知漏洞后门等不确定威胁
    基于一个公理:相对正确公理
    依据一个发现:熵不减系统能稳定抵抗未知攻击
    借鉴二种理论:可靠性理论与自动控制理论
    发明一种构造:动态异构冗余构造(IT领域创新使能技术)
    导入一类机制:拟态伪装机制
    形成一个效应:测不准效应
    获得一类功能:内生安全功能
    达到一种效果:融合现有安全技术可指数量级提升防御增益
    实现二个目标:归一化处理传统/非传统安全问题——获得广义鲁棒控制属性

    拟态防御拓展了原有信息系统鲁棒的内涵,创建了集“服务提供、可靠性保障、安全可信”功能为一体的控制架构与运行机制,广义鲁棒突破“沙滩建楼不安全”的理论与方法,改变网络空间游戏规则。

    5G 对信息系统安全带来的挑战

    未来联网设备将数以百亿计,每一个都可能成为攻击的切入点,防不胜防。

    网络切片带来的安全挑战:切片授权与接入控制、切片间的资源冲突、切片间的安全隔离、切片用户的隐私保护、以切片方式隔离故障网元。

    CMM框架

    在这里插入图片描述

    云计算安全架构

    基于可信根的安全架构:该安全架构试图通过可信计算的成果从根本上解决云计算的安全 题。但是,其对硬件要求的严格性有违云计算开放性和经济性的基本要求,不利于对现有资源的继承与利用。

    基于隔离的安全架构:该安全架构旨在针对所有的租户构建封闭且安全的运行环境,从而保证其定制服务的安全性。但是,其势必导致资源的不充分利用,增加租户间协作的难度,引起管理成本的增加。

    安全即服务的安全架构:SOA安全架构充分考虑到了租户的个性化需求,提出以租户服务要求为导向的云计算安全架构,但是缺乏让租户和提供商及时且明晰地获得各自安全需求的方法。

    可管、可控、可度量的云计算安全架构:首先参考SLA确定系统的度量指标体系,然后利用模型分析技术,建立系统行为和用户行为的安全模型,通过模型的分析和求解,获得系统需要完善与维护的安全问题以及进一步的安全优化方案。这里系统的监控机制不仅可以获得系统当前的状态,还可以获得系统和用户的统计数据,这些数据将是安全度量的基础。

    安全需求及安全策略

    安全需求,一般化的安全需求

    安全需求:就是在设计一个安全系统时期望得到的安全保障。交易双方身份的确定性需求、信息的完整性需求、信息的不可伪造性需求、信息的不可抵赖性需求。

    一般化的安全需求:

    机密性需求:防止信息被泄漏给未授权的用户
    完整性需求:防止未授权用户对信息的修改
    可用性需求:保证授权用户对系统信息的可访问性
    可记账性需求:防止用户对访问过某信息或执行过某一操作以否认

    访问控制策略、访问支持策略

    访问控制策略:确立相应的访问规则以控制对系统资源的访问

    访问支持策略:为保障访问控制策略的正确实施提供可靠的“支持”

    主体、客体及其属性

    主体:系统内行为的发起者。通常是用户发起的进程

    客体:系统内所有主体行为的直接承担者

    系统环境(上下文) :系统主、客体属性之外的某些状态

    主体属性(用户特征):用户ID/ 组ID、用户访问许可级别、权能表、角色

    客体属性(客体特征):敏感性标签、访问控制列表

    访问控制列表

    访问控制列表是一系列允许或拒绝数据的指令的集合。

    基于有限状态自动机的“安全系统”定义

    一个“安全系统”是“一个如果起始状态为授权状态,其后也不会进入未授权状态的系统”。

    常见的强制访问控制模型

    Bell-LaPadula模型:BLP 保密模型基于两种规则来保障数据的机密度与敏感度:不上读(NRU)主体不可读安全级别高于它的数据;不下写(NWD)主体不可写安全级别低于它的数据。

    BIBA完整性模型:BIBA模型基于两种规则来保障数据的完整性的保密性:不下读(NRU)属性主体不能读取安全级别低于它的数据;不上写(NWD)属性主体不能写入安全级别高于它的数据。

    信息系统的风险评估

    风险的概念

    风险指在某一特定环境下,在某一特定时间段内,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。

    风险越大则安全性越低,反之风险越小则安全性越高。风险就是信息系统安全的一个测度。

    风险评估的基本概念

    风险评估是参照国家有关标准对信息系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

    风险评估的要素

    在这里插入图片描述

    怎样理解一个信息系统是安全的

    信息系统安全是指信息系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

    风险处置策略

    降低风险:采取适当的控制措施来降低风险,包括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作流程、制定业务连续性计划,等等。

    避免风险:通过消除可能导致风险发生的条件来避免风险的发生,如将公司内外网隔离以避免来自互联网的攻击,或是将机房安置在不可能造成水患的位置,等等。

    转移风险:将风险全部或者部分地转移到其他责任方,例如购买商业保险。

    接受风险:在实施了其他风险应对措施之后,对于残留的风险,可以有意识地选择接受。

    信息系统安全风险计算模型

    风险计算模型是对通过风险分析计算风险值过程的抽象,它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。
    在这里插入图片描述

    信息系统等级保护

    一法一决定

    在这里插入图片描述

    等级保护

    网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

    定级对象

    也称等级保护对象、网络安全等级保护工作的作用对象。包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台系统、大数据平台系统、物联网、工业控制系统、采用移动互联技术的系统等。

    等级保护建设核心思想

    信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。

    可信:即以可信认证为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。

    可控:即以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的策略进行资源访问,保证了系统的信息安全可控。

    可管:即通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个工作平台,使其可以进行技术平台支撑下的安全策略管理,从而保证信息系统安全可管。

    等级保护防护框架

    建设“一个中心”管理、“三重防护”体系,分别对计算环境、区域边界、通信网络体系进行管理,实施多层隔离和保护,以防止某薄弱环节影响整体安全。

    重点对操作人员使用的终端、业务服务器等计算节点进行安全防护,控制操作人员行为,使其不能违规操作,从而把住攻击发起的源头,防止发生攻击行为。

    分析应用系统的流程,确定用户(主体)和访问的文件(客体)的级别(标记),以此来制定访问控制安全策略,由操作系统、安全网关等机制自动执行,从而支撑应用安全。

    重要行业关键信息系统划分及定级建议,定级流程

    在这里插入图片描述
    确定定级对象、初步确定等级、专家评审、主观部门审核、公安机关备案审查

    等级保护管理组织

    在这里插入图片描述

    等级保护主要工作流程,备案的流程,备案地点

    流程:定级、备案、建设整改、等级评测

    备案:用户初步定级、编写定级报告、专家定级评审、填写备案表、提交备案材料、收到备案证明
    在这里插入图片描述

    云平台定级

    云平台通过等保三级,一方面意味着其安全性达到国家标准的较高水准,另一方面则可以助力云平台所承载业务的安全水平提升,有利于业务系统自身的等级保护安全建设。反之,若云平台不通过等保三级,则无法承载三级或三级以上政务系统。

    在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

    在这里插入图片描述
    挑战:数据丢失篡改或泄露、网络攻击、利用不安全接口的攻击、云服务中断、越权、滥用与误操作、滥用云服务、利用共享技术漏洞进行的攻击、过度依赖、数据残留…

    信息系统的物理安全

    物理安全的概念

    物理安全又叫实体安全(Physical Security),是保护计算机设备、设施(网络及通信线路)免遭自然灾害(包括地震、水灾、火灾、有害气体等)、人为破坏及其他环境事故(如电磁污染等)破坏的措施和过程。

    环境安全、线路安全、介质安全、设备安全、电源安全

    电磁泄漏

    指电子设备的杂散电磁能量通过导线或空间向外扩散。任何处于工作状态的电磁信息设备,如计算机、打印机、复印机、传真机、手机电话等,都存在不同程度的电磁泄漏问题,这是无法摆脱的电磁现象。如果这些泄漏“夹带”着设备所处理的信息,均可构成了电磁信息泄漏。

    电磁泄漏的途径及防护

    以电磁波形式的辐射泄漏;电源线、控制线、信号线和地线造成的传导泄漏;密码破解

    物理抑制技术:抑源法:从线路和元器件入手,从根本上阻止计算机系统向外辐射电磁波,消除产生较强电磁波的根源。
    电磁屏蔽技术:电磁屏蔽技术包括设备的屏蔽和环境的屏蔽,它是从阻断电磁信息泄漏源发射的角度采取措施。 主要指涉密计算机或系统被放置在全封闭的电磁屏蔽室内,其主要材料分别是金属板或金属网等。
    噪声干扰技术:在信道上增加噪声,从而降低窃收系统的信噪比,使其难以将泄露信息还原。

    电源调整器,不间断电源(UPS)

    在这里插入图片描述
    持续供电型UPS:将外线交流电源整流成直流电对电池充电。外线电力中断时,把电池直流电源变成交流电源,供电脑使用。
    顺向转换型UPS:平时由外线电力带动的发电机发电给电池充电,外线电力一旦中断,电池马上可取代外线电力,用变流器把电池的直流变成交流,供给电脑。
    逆向转换型UPS:大部分时间由电池来供电,能忍受外线电压过高、过低或电源线的暂态反应等冲击。而且对外线电力中断要迅速做出反应,在最短的时间间隔内将电力供应给电路。
    马达发电机:发电机可使用外线电力、汽油或柴油引擎带动发电机,可提供大容量电压稳定电力,供应电脑系统、家庭或办公室照明所需的电力。

    电磁战,防磁柜

    电磁战主要是指通信、雷达、光电、网络对抗战法和电磁频谱管控行动能力的战斗,目的是干拢敌方的信息联系、阻断信息沟通,使敌方致盲、失去应有的战斗力。

    防磁柜具有防磁、防火、防盗等特点的防磁柜是磁碟、磁盘、CD光盘各种磁性产品的最理想装具。防磁柜具有防止外来磁场对柜内磁性产品磁化作用,到空间磁场强度达到达6000GS(奥斯特)以上时,柜内装具间磁场不大于5GS。

    机房三度要求

    温度、湿度和洁净度并称为三度,为保证计算机网络系统的正常运行,对机房内的三度都有明确的要求。为使机房内的三度达到规定的要求,空调系统、去湿机、除尘器是必不可少的设备。重要的计算机系统安放处还应配备专用的空调系统,它比公用的空调系统在加湿、除尘等方面有更高的要求。

    温度:机房温度一般应控制在18~22℃
    湿度:相对湿度一般控制在40%~60%为宜
    洁净度:尘埃颗粒直径<0.5um,含尘量<1万颗/升

    常见的消防设计

    七氟丙烷气体灭火系统、防火分区、防火分区、水喷淋灭火系统

    三类供电方式

    一类供电:需要建立不间断供电系统。 兵工厂、大型钢厂、火箭发射基地、医院等

    二类供电:需要建立带备用的供电系统。

    三类供电:按一般用户供电考虑。

    电源防护措施

    电源:电源调整器、不间断电源、电源相关操作

    接地与防雷要求

    接地与防雷是保护计算机网络系统和工作场所安全的重要安全措施。接地是指整个计算机系统中各处电位均以大地电位为零参考电位。接地可以为计算机系统的数字电路提供一个稳定的0V参考电位,从而可以保证设备和人身的安全,同时也是防止电磁信息泄漏的有效手段。

    要求良好接地的设备有:各种计算机外围设备、多相位变压器的中性线、电缆外套管、电子报警系统、隔离变压器、电源和信号滤波器、通信设备等。

    计算机房的接地系统要按计算机系统本身和场地的各种地线系统的设计要求进行具体实施。

    信息系统的可靠性

    可靠性及其度量指标

    可靠性:在规定的条件下、在给定的时间内,系统能实施应有功能的能力。

    MTTF:对不可维修的产品的平均寿命是指从开始投入工作,至产品失效的时间平均值,也称平均失效前时间,记以MTTF。

    MTBF:对可维修产品而言,其平均寿命是指两次故障间的时间平均值,称平均故障间隔时间,习惯称平均无故障工作时间MTBF。

    可靠度R:产品在时刻 t 之前都正常工作(不失效)的概率,即产品在时刻 t 的生存概率,称为无故障工作概率(可靠度函数)。
    在这里插入图片描述
    失效率λ:
    在这里插入图片描述
    λ(t)的浴缸形曲线:λ(t)随时间的变化而变化,呈浴缸形的曲线。

    第一阶段 早期失效期:器件在开始使用时失效率很高,但随着产品工作时间的增加,失效率迅速降低。这一阶段失效的原因大多是由于设计、原材料和制造过程中的缺陷造成的。为了缩短这一阶段的时间,产品应在投入运行前进行试运转,以便及早发现、修正和排除故障;或通过试验进行筛选,剔除不合格品。

    第二阶段 偶然失效期,也称随机失效期:这一阶段的特点是失效率较低,且较稳定,往往可近似看作常数。这一时期是产品的良好使用阶段。由于在这一阶段中,产品失效率近似为一常数,故设 λ(t)=λ(常数)由可靠度计算公式得
    R ( t ) = e − λ t R(t)=e^{-λt} R(t)=eλt
    这一式表明设备的可靠性与失效率成指数关系。

    第三阶段 耗损失效期:该阶段的失效率随时间的延长而急速增加,主要原因是器件的损 失己非常的严重,寿命快到尽头了,可适当的维修或直接更换。

    R(t)和λ的关系:
    在这里插入图片描述

    可靠性模型:串联,并联,表决,储备

    串联系统:
    在这里插入图片描述
    在这里插入图片描述
    并联系统:
    在这里插入图片描述
    在这里插入图片描述
    表决系统:n中取k的表决系统由n个部件组成,当n个部件中有k个或k个以上部件正常工作时,系统才能正常工作(1≤k≤n)。当失效的部件数大于或等于n-k+1时,系统失效。简记为k/n(G)系统。

    冷贮备系统:系统由n个部件组成。在初始时刻,一个部件开始工作,其余n-1个部件作冷贮备。当工作部件失效时,存储部件逐个地去替换,直到所有部件都失效时,系统才失效。所谓冷贮备是指贮备的部件不失效也不劣化,贮备期的长短对以后使用时的工作寿命没有影响。假定贮备部件替换失效部件时,转换开关K是完全可靠的,而且转换是瞬时完成的。

    可维修产品、不可维修产品的可靠性指标:可用度

    可维修产品的可用性定义为,产品的可用性定义为系统保持正常运行时间的百分比。平均无故障时间(MTTF)、平均维修时间(MTTR)
    M T B F M T B F + M T T R ∗ 100 % \frac{MTBF}{MTBF + MTTR} * 100\% MTBF+MTTRMTBF100%

    网络可靠性,计算机网络可靠性故障特征

    网络可靠性:在人为或自然的破坏作用下,网络在特定环境和规定时间内,充分完成规定的通信功能的能力。环境、时间和充分完成功能是这一定义的三要素。当传输设备和交换设备发生故障时网络可以维持正常业务的程度。

    计算机网络可靠性故障特征

    故障定义:网络不能在用户期望的时间范围内将物质、信息、能量按用户需求完整、正确地在网络中传输的状态或事件。

    故障模式:断路:信息、能量不能按用户需求在网络中传输,即“网络不通”
    间歇断路:即物质、信息、能量间歇性地不能按用户需求在网络中传输
    延时:即物质、信息、能量不能在用户期望时间范围内在网络中传输
    丢失:即物质、信息、能量不能完整地在网络中传输
    错误:即物质、信息、能量不能正确地在网络中传输

    网络可靠性迫切需要解决的关键性问题

    尚未形成网络综合可用性体系结构
    网络可用性评价指标混乱
    对典型网络设备的可用性分析不足
    网络业务性能在网络可用性中反映不充分
    极少考虑网络协议的影响

    硬件可靠性和软件可靠性的不同

    硬件可靠性:硬件在使用过程中有磨损、材料的老化、变质和使用环境等多种因素。

    软件可靠性:软件使用期间无磨损,也不存在物质老化和变质。

    软件可靠性模型

    失效时间间隔模型:这类模型最常用的方法是假定第i个失效到第i+1个失效间隔时间服从于某一分布,而分布的参数依赖于各间隔时间内程序中的残留错误数。通过测试所得到的失效间隔时间数据来估计模型的参数,由获得的模型可以估算软件的可靠度以及各失效间的平均工作时间等导出量。

    缺陷计数模型:这类模型关心的是在特定的时间间隔内软件的错误数或失效数,并假定故障累计数服从某个己知的随机过程,过程强度是时间的离散或连续函数,根据在给定的测试时间间隔发现的错误数或失效数来估计故障强度、均值等参数。随着错误的不断排除,在单位时间内发现的失效数将不断减少。

    错误植入模型:这类模型的基本思路是通过将一组已知的错误人为地植入到一个固有错误总数尚不清楚的程序中,然后在程序的测试中观察并统计发现的植入错误数和程序总的错误数,通过计数的比值估计程序的固有错误总数,从而得到软件可靠度及其有关指标。

    基于输入域的模型:这类模型的基本研究方法是根据程序的使用情况,找出程序可能输入的概率分布,根据这种分布产生一个测试用例的集合。由于得到输入的分布难度较大,一般将输入域划分成等价类,每个等价类与程序的一条执行路径相联。在输入域上随机抽取测试用例,执行相应的程序测试,观测故障,从而推断出各项指标。

    容错技术,故障检测和诊断技术,故障屏蔽技术,冗余技术

    容错技术:容忍故障,即故障一旦发生时能够自动检测出来并使系统能够自动恢复正常运行。当出现某些指定的硬件故障或软件错误时,系统仍能执行规定的一组程序,或者说程序不会因系统中的故障而中止或被修改;执行结果也不包含系统中故障所引起的差错。

    故障检测:判断系统是否存在故障的过程。故障检测的作用是确认系统是否发生了故障,指示故障的状态,即查找故障源和故障性质。一般来说,故障检测只能找到错误点(错误单元),不能准确找到故障点。

    故障诊断:检测出系统存在故障后要进行故障的定位,找出故障所在的位置。

    故障屏蔽技术:防止系统中的故障在该系统的信息结构中产生差错的各种措施的总称,其实质是在故障效应达到模块的输出以前,利用冗余资源将故障影响掩盖起来,达到容错目的。

    时间冗余技术:重复执行指令或者一段程序来消除故障的影响,以达到容错的效果,它是用消耗时间来换取容错的目的。
    信息容错技术:通过在数据中附加冗余的信息位来达到故障检测和容错的目的。
    软件冗余技术:在出现有限数目的软件故障的情况下,系统仍可提供连续正确执行的内在能力。其目的是屏蔽软件故障,恢复因出故障而影响的运行进程。

    NVP是一种静态冗余方法,其基本设计思想是用N个具有同一功能而采用不同编程方法的程序执行一项运算,其结果通过多数表决器输出。这种容错结构方法有效避免了由于软件共性故障造成的系统出错,提高了软件的可靠性。

    RB是一种动态冗余方法。在RB结构中有主程序块和一些备用程序块构,主程序块和备用程序块采用不同编程方法但具有相同的功能。每个主程序块都可以用一个根据同一需求说明设计的备用程序块替换。首先运行主程序块,然后进行接受测试,如果测试通过则将结果输出给后续程序;否则调用第一个备用块。依次类推,在N个备用程序块替换完后仍没有通过测试,则要进行故障处理。

    三模冗余(硬件冗余)原理及优缺点

    在这里插入图片描述
    系统输入通过 3个功能相同的模块,产生的 3个结果送到多数表决器进行表决,即三中取二的原则,如果模块中有一个出错,而另外两个模块正常,则表决器的输出正确,从而可以屏蔽一个故障。

    如果3个模块的输出各不相同,则无法进行多数表决;若有两个模块出现一致的故障,则表决的结果会出现错误。

    热备份

    M运行,S后备;M故障,S接管作M;原M修复,S归还M。

    RAID

    廉价磁盘冗余阵列,以多个低成本磁盘构成磁盘子系统,提供比单一硬盘更完备的可靠性和高性能。

    三个因素:

    • 分条:将数据分散到不同物理硬盘上,使读写数据时可以同时访问多块硬盘。
    • 数据镜像:将同一数据写在两块不同的硬盘上,从而产生该数据的两个副本。
    • 奇偶校验:发现并纠正错误。

    纠删码

    是一种前向错误纠正技术,主要应用在网络传输中避免包的丢失,存储系统利用它来提高存储可靠性。相比多副本复制而言, 纠删码能够以更小的数据冗余度获得更高数据可靠性, 但编码方式较复杂,需要大量计算 。

    是一种编码技术,它可以将n份原始数据,增加m份数据,并能通过n+m份中的任意n份数据,还原为原始数据。即如果有任意小于等于m份的数据失效,仍然能通过剩下的数据还原出来。

    提高信息系统可靠性的途径

    提高可靠性有两个方面:一是尽量使系统在规定时间内少发生故障和错误;二是发生了故障能迅速排除

    硬件主要考虑如何提高元器件和设备的可靠性;采用抗干扰措施,提高系统对环境的适应能力和冗余结构设计。

    软件主要考虑测试技术、故障自诊断技术、自动检错、纠错技术、系统恢复技术方面的设计。

    计算机犯罪取证

    计算机取证和取证科学

    计算机取证:运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。

    取证科学:为了侦破案件还原事实真相,搜集法庭证据的一系列科学方法。

    活取证和死取证

    活取证:抓取文件metadata、创建时间线、命令历史、分析日志文件、hash摘要;使用未受感染的干净程序执行取证;U盘、网络 存储搜集到的数据。

    死取证:关机后制作硬盘镜像,分析镜像。

    数字取证中的信息收集目标、信息收集的主要侧重点

    收集目标详细信息:应用类型 硬件防护情况 应用权限 相关组件 加固情况 网络管理员提供的信息
    收集目标日志信息:系统日志 Web日志 应用程序日志 防护软件日志
    排查可疑文件:Webshell查杀 Windows系统后门查杀 Linux系统后门查杀

    侧重于以下几点:收集目标详细信息、收集目标日志信息、排查可疑文件、收集脚印信息

    操作系统安全

    操作系统面临的安全威胁

    黑客攻击、蠕虫、拒绝服务攻击、计算机病毒、逻辑炸弹、非法访问、机密信息泄漏、信息篡改、隐蔽通道、后门、木马程序。

    隐通道

    按常规不会用于传送信息但却被利用于泄漏信息的信息传送渠道。

    可以被进程利用来以违反系统安全策略的方式进行非法传输信息的通信通道。

    存储隐通道:进程P创建一个文件,命名为0bit或者1bit来代表要传输的比特。

    时间隐通道:接收方通过获得CPU的速度可以推断出前者发送的是0还是1。

    物联网和虚拟化技术对操作系统带来的安全挑战

    物联网:直接沿用原有的安全机制。例如,Android Things 直接沿用了Android系统的一些基础安全机制,并没有深入分析物联网设备实际的软硬件特性与需求;缺乏对终端系统安全设计。现有的物联网操作设计时普遍只关注其功能要求;没有充分利用设备自身硬件架构安全特性。

    虚拟化:。Qubes系统利用新一代的硬件技术和虚拟化技术实现物理宿主机的隔离能力,从系统层面对木马病毒和恶意代码进行了防范和遏制,一定程度上解决了系统安全领域的木桶问题。

    操作系统的一般性安全机制

    隔离机制:物理隔离、时间隔离、加密隔离、逻辑隔离。

    访问控制:确定谁能访问系统,能访问系统何种资源以及在何种程度上使用这些资源。访问控制包括对系统各种资源的存取控制。三项基本任务:授权确定访问授权试试访问控制的权限

    信息加密:加密机制用于安全传输、文件安全。

    审计机制:要求任何影响系统安全性的行为都被跟踪和记录在案,安全系统拥有把用户标识与它被跟踪和记录的行为联系起来的能力。

    身份认证的常见方式和协议

    基于你所知道的:知识、口令、密码
    基于你所拥有的:身份证、信用卡、钥匙、智能卡、令牌等
    基于你的个人特征:指纹,笔迹,声音,手型,脸型,视网膜,虹膜

    一次性口令认证:在登录过程中加入不确定因素,使每次登录过程中传送的口令信息都不相同,以提高登录过程安全性。

    Kerberos 认证:获取票据许可票据、获取访问票据、获取服务
    在这里插入图片描述

    Windows 的 EFS 机制,Windows 2003 Server 的身份认证机制

    EFS 机制:EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。

    Windows 2003 Server的身份认证:
    Kerberos V5与密码或智能卡一起使用,用于交互式登陆的协议
    用户尝试访问Web服务器时使用的SSL/TLS协议
    客户端或服务器使用早期的NTLMM协议
    摘要式身份验证,使凭据作为MD5哈希或消息摘要在网络上传递。
    Passport身份验证,用来提供单点登录服务的用户身份验证服务

    Symbian OS 的能力模型,数据锁定

    能力是指访问敏感性系统资源的权限标志。

    Symbian系统采用的是客户机/服务器模型架构;Symbian操作系统中内存保护的基本单元是进程;内核负责维护所有进程的能力列表。

    数据锁定的目标其实是防止对文件系统非法的写操作。它将文件系统中的代码与数据分开,将非可信计算基进程局限在一个特定空间,不能访问系统空间和其它进程空间。

    Symbian OS 体系结构及安全机制,Symbian 内核安全性的三个要素

    Symbian的平台安全性主要基于以下目标:保护移动终端的完整性、保证用户数据的隐秘性、控制对敏感性资源的访问。

    3个基本元素:可信计算单元、数据锁定、能力模型

    资源管理模式:工作组,域,域控制器

    域就是共享用户账号、计算机账号和安全策略的计算机集合。

    域是一个安全边界,资源在一个域中参与共享。

    域中集中存储用户账号的计算机就是域控制器,域控制器存储着目录数据并管理用户域的交互关系,包括用户登录过程、身份验证和目录搜索等。一个域中可有一个或多个域控制器,各域控制器间可以相互复制活动目录。

    目录服务,活动目录,schema,目录服务提供的好处

    活动目录就其本质来讲,是一种采用LDAP(轻量级目录访问协议)的目录服务。

    活动目录包括两个方面:目录目录相关的服务(目录是存储各种对象的容器)

    目录服务的功能:维护目录信息、数据复制、合理组织信息结构、查询机制、全局编目

    目录服务提供的好处:
    方便管理:让管理员可以集中控制和管理大型、复杂的网络
    方便使用:让用户只需要登录一次,就可以访问很多的计算机
    方便访问:帮助用户在不知道要访问的共享资源位置的情况下访问到它

    Schema:架构用来定义AD中的对象(classes)和属性(attributes)。活动目录的基础架构(base Schema),包括了比如user、computer、OU(organizational Unit)等对象以及用户电话号码、objectsid等属性。

    活动目录的逻辑结构和物理结构,为什么需要活动目录的物理结构?

    在这里插入图片描述
    为什么需要活动目录的物理结构:AD物理结构主要是规划站点拓扑,帮助管理员确定在网络的什么地方放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。

    组策略

    组策略是微软Windows NT家族操作系统的一个特性,它可以控制用户账户和计算机账户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。

    组策略很灵活,它包括如下的一些选项:基于注册表的策略设置、安全设置、软件安装、脚本、计算机启动与关闭、用户登录和注销,文件重定向等。

    主要优势:降低管理、支持与培训成本;提升用户工作效率;允许极大量的定制项目,其扩展性不会牺牲定制的灵活性。

    组织单元OU是一种类型的目录对象⎯⎯容器,其作用主要用来委派对用户、组及资源集合的管理权限。

    站点

    每个地理位置中的若干台域控制器可以划分为一个站点;站点内部优先同步活动目录数据库,同步后再和其他站点中的域控制器同步。

    站点反映了活动目录的物理结构:由于站点内的计算机有着良好的连接,因此用户使用站点来使服务器和网络客户的相关操作都在本地进行,而不需要跨越广域网。

    站点目的:优化复制流量,使用户登陆到DC,使用一个可靠的、高速的链接。

    Android 的本地类库,Dalvik 虚拟机

    本地类库:一系列的C/C++库,相当于Android系统在Linux核心系统上的功能扩展,为Application Framework层的许多功能提供支持,通过JNI供Java调用。

    Dalvik虚拟机(DVM)是运行Dalvik 可执行文件(*.dex)的虚拟计算机系统; 使用Java语言编写的Android程序,实际上是运行在DVM之上,而不是运行在Linux操作系统上。
    在这里插入图片描述
    Android系统在Linux内核之上实现了自己的系统架构层,一旦该层出现安全问题,即有可能导致Root权限的泄露。

    Android 的 apk 文件,AndroidManifest.xml 文件

    apk文件----Android上的安装文件

    apk 是Android 安装包的扩展名,一个Android 安装包包含了与该Android 应用程序相关的所有文件; 一个工程只能打进一个.apk文件;apk 文件的本质是一个zip包。

    AndroidManifest.xml是一个XML配置文件,它用于定义应用程序中需要的组件、组件的功能及必要条件等。

    Android 手机所有者权限、root 权限、应用程序权限

    Android手机所有者权限:自用户购买 Android 手机后,用户不需要输入任何密码,就具有安装一般应用软件、使用应用程序等的权限。

    Android root 权限:该权限为 Android 系统的最高权限,可以对所有系统中文件、数据进行任意操作。

    Android 应用程序权限:应用程序对 Android 系统资源的访问需要有相应的访问权限。如:没有获取 Android root 权限的手机无法运行 Root Explorer,因为运行该应用程序需要 Android root 权限。

    Android 的体系架构、组件模型

    Linux内核及驱动:Binder作为Linux内核层的进程通信机制,为进程间的共谋攻击提供便利。

    本地类库及Java运行环境:Android系统在Linux内核之上实现了自己的系统架构层,一旦该层出现 安全问题,即有可能导致Root权限的泄露。

    应用框架、应用:往往来自于安全漏洞

    一般情况下Android应用程序由四种组件构造而成
    ​ Activity:为用户操作而展示的可视化用户界面
    ​ Service:服务是运行在后台的功能模块,如文件下载、音乐播放程序等
    ​ Broadcast Receiver:专注于接收广播通知信息,并做出对应处理的组件
    ​ Content Provider:Android 平台应用程序间数据共享的一种标准接口

    四种组件的关系:
    在这里插入图片描述

    Android 的安全目标(objectives)及安全机制

    安全目标:保护用户数据、保护系统资源、提供应用程序隔离
    安全机制:签名机制、权限机制和沙盒机制

    Android 的 Binder 进程间通信机制及存在的安全问题

    在这里插入图片描述
    Binder作为Linux内核层的进程通信机制,为进程间的共谋攻击提供便利

    Android sandbox 通过利用开源工具动态分析、静态分析Android 的相关应用,发现应用的具体行为,从而进行判断Android应用的危险程度。

    Android 的安全理念(philosophy)和 Symbian 等有何不同?

    Linux的安全理念是保护用户资源不受其他资源的影响。

    数据库安全

    例程

    当用户连接到数据库并使用数据库时,实际上是连接到该数据库的例程,通过例程来连接、使用数据库。 所以例程是用户和数据库之间的中间层。

    数据库指的是存储数据的物理结构,总是实际存在的;
    例程则是由内存结构和一系列进程组成,可以启动和关闭。

    进程结构,存储结构,内存结构

    内存结构:SGA和PGA,使用内存最多的是SGA,同时也是影响数据库性能的最大参数。

    进程结构:包括前台进程、后台进程。前台进程是指服务进程和用户进程。前台进程是根据实际需要而运行的,并在需要结束后立刻结束;后台进程是指在Oracle数据库启动后,自动启动的几个操作系统进程。

    存储结构:分为逻辑存储结构、物理存储结构。逻辑存储结构是描述Oracle数据库中如何组织和管理数据,与操作系统平台无关;物理存储结构是数据库的外部存储结构。它对应操作系统相关文件,包括控制文件、数据文件、日志文件等操作系统文件。

    Oracle 数据库物理存储结构

    物理存储结构是现实的数据存储单元,对应于操作系统文件。

    Oracle数据库就是由驻留在服务器的磁盘上的这些操作系统文件所组成的,主要包括数据文件重做日志文件控制文件

    数据文件:是物理存储Oracle数据库数据的文件。
    重做日志文件:记录所有对数据库数据的修改,以备恢复数据时使用。
    控制文件:是一个较小的二进制文件,用于描述数据库结构。
    参数文件:也被称为初始化参数文件,用于存储SGA、可选的Oracle特性和后台进程的配置参数。
    口令文件:是个二进制文件,验证特权用户。

    Oracle 数据库逻辑存储结构,表空间

    主要描述Oracle数据库的内部存储结构,从技术概念上描述Oracle数据库中如何组织、管理数据。可以分为4部分:表空间、段、区、块。

    表空间是数据库的逻辑划分的最大单元,一个Oracle数据库至少有一个表空间,即system表空间。表空间的设计理念为Oracle的高性能做出了不可磨灭的贡献,其很多优化都是基于该理念而实现的。

    Oracle 数据库的内存结构

    系统全局区(SGA):在启动例程时分配,是Oracle例程的基础组件。SGA是ORACLE系统为例程分配的一组共享缓冲存储区,用于存放数据库数据和控制信息,以实现对数据库数据的管理和操作。 SGA是不同用户进程与服务进程进行通信的中心。

    程序全局区(PGA):当启动服务器进程时分配。为每个连接到数据库的用户进程预留内存;当建立服务器进程时分配;当终止服务器进程时释放;只能由一个进程使用。

    Oracle 客户端通过例程和后台数据库的交互方式

    建立用户连接、建立会话、会话过程。
    在这里插入图片描述

    当前的数据库安全防御体系,传统安全方案的缺陷

    网络防火墙产品不对数据库通信协议进行控制。
    IPS/IDS/网络审计并不能防范那些看起来合法的数据访问。
    WAF系统仅针对HTTP协议进行检测控制,绕过WAF有150多种方法。
    核心数据库防护措施被忽略。大多数系统前端层面的安全保护措施并无法覆盖所有的安全攻击和窃取——必须引入数据层面的保护作为最后一道安全防线。

    Oracle 的安全体系结构

    数据的备份与恢复:为保证数据的完整性和一致性,防止因故障而导致的数据破坏和灾难而采取的防范措施;

    用户管理:用户身份认证、角色与权限等;

    资源管理:通过系统概要文件限制连接会话等。

    本帖仅用于学习交流,内容取自周亚建老师《信息系统安全》课程

    展开全文
  • 根据整车安全目标分解的功能安全需求并对应到相关零部件,可知电机控制系统相关的功能安全需求至少要满足ASIL C的安全等级,才能符合整车的功能安全目标。然而传统电机控制器是由单个电机控制芯片做处理器,往往很难...
  • 根据整车安全目标分解的功能安全需求并对应到相关零部件,可知电机控制系统相关的功能安全需求至少要满足ASIL C的安全等级,才能符合整车的功能安全目标。然而传统电机控制器是由单个电机控制芯片做处理器,往往很难...
  • 考勤系统需求分析

    千次阅读 2019-06-27 16:11:45
    转 考勤管理系统需求文档 版权声明:...
  • DISSP规划由一个把安全需求转换成安全机制协议层和系统部件的三维矩阵组成如图7-2所示其中安全机制维基于IS07489-2标准的有关安全机制的描述并且定义了物理过程人员方面的安全机制这里物理过程和人员安全指对网络与...
  • 本标准再给出电子支付系统模型的基础上为公共类电子支付系统的信息安全提供了一个公共框架,包括安全问题定义安全目的,安全功能需求安全保障需求。本标准适用于安全构建运行公共类电子支付系统
  • 3. 目标系统功能需求 44 3.1. 功能需求分析 44 3.2. 功能需求点列表(功能模型) 46 4. 目标系统性能需求 58 4.1. 时间要求 58 4.2. 空间性能 58 4.3. 性能需求点列表 58 5. 目标系统界面与接口需求 60 5.1. 界面...
  • 信息系统安全评估方法探讨 信息技术安全评估准则发展过程 信息技术安全评估是对一个构件产品子系统或系统的安全属性进行的技术评价通过评估判断该构件产品子系统或系统是否满足一组特定的要求信息技术安全评估的另一...
  • 根据其安全需求的特征,安全行为模型定义安全因子以此描述系统状态、系统行为与系统风险之间的度量关系,采用安全约束规则对软件的安全约束行为、安全响应行为及安全失效行为进行描述。通过在我国高速铁路列控中心...
  • 1. 系统安全定义 包含电子电气的功能安全还包含机械等其他防护部分 1. 机械安全需求 无锋利锐边/强度保证(碰撞/冲击/挤压/振动/承载等) 2. 化学安全需求 无有毒有害化学物质/材料的可燃性/冷却液兼容性 3....
  • 无人驾驶系统安全

    千次阅读 2017-02-08 17:08:37
    作者:刘少山,李文超,唐洁 责编:何永灿,欢迎人工智能领域技术投稿、约稿、给文章纠错,请发送邮件至heyc@csdn...本文是无人驾驶技术系列的第九篇,详细介绍针对无人车传感器、操作系统、控制系统、车联网的攻...
  • 提高系统安全性方法详解

    万次阅读 2017-06-30 15:05:46
    规定的条件是指直接与软件运行相关的使用该软件的计算机系统的状态和软件的输入条件,或统称为软件运行时的外部输入条件;规定的时间区间是指软件的实际运行时间区间;规定功能是指为提供给定的服务,软件产品所必须...
  • 阐述了数据仓库的几种主要安全需求,在多维表达式查询语言(MDX)的基础上,使用与微软SQLSERVER数据库中CREATECUBE语句类似的语法定义了一种多维安全约束语言(MDSCL)来描述数据仓库的安全策略。以典型的销售立方...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • OWASP 测试指南 4.0-安全需求测试推导

    千次阅读 2016-10-12 12:41:26
    如果你想要有一个成功的测试项目,你需要知道测试的目的是什么。这些目的由安全要求指定。这章详细讨论了如何通过从适用标准和准则和积极和消极应用程序要求中推导出安全测试并记录安全测试要求。... 安全需求 文...
  • 考勤管理系统需求文档

    万次阅读 2016-01-07 09:30:36
    考勤管理系统需求文档 简介 背景  某软件公司,员工人数100人左右,大部分员工是软件研发人员,包括项目经理、软件设计师、程序员、测试工程师、实施工程师等,除此之外还包括行政人员、财务人员。公司在软件研发...
  • 如何分析软件安全需求

    千次阅读 2021-02-20 14:33:31
    软件安全需求是指系统可靠地控制、监控和审计谁能够在哪种资源上执行哪种动作的能力,以及检测安全漏洞并从中恢复的能力。
  • 引用监控器 安全内核及其设计原则 可信计算基 系统边界和安全周界 可信软件与不可信软件 主体、客体和访问控制矩阵 安全策略与安全建模 安全功能和安全保证 安全体系结构
  • 目 录 1 引言 4 1.1 编写目的 4 1.2 背景介绍 4 1.3 术语定义 4 1.4 参考资料 4 2 总体描述 5 2.1 系统目标 5 ...5.2 安全需求 9 5.3 应用监控需求 9 5.4 可靠性需求 9 5.5 可扩展性 9 5.6 灵活性与可配置性 9
  • 上文中对功能和产品进行了区分。...介绍系统架构之前,先简单介绍下ADAS/AD ECU常见的硬件架构。不展开描述,后续有专门章节深入探讨。目前主流的ADAS/AD ECU的硬件架构,一般有多个芯片(Core)构成;芯...
  • 数据库应用系统需求分析

    千次阅读 2019-03-01 23:46:58
    所谓的需求分析,就是对待开发系统要做什么,完成什么功能的全面描述 软件的一些特性使得需求的获取常常并不容易! 比如软件功能复杂,需求可变性,软件的不可见性 二 获取需求的方法 面谈 实地观察 问卷...
  • 信息系统安全法规与制度;计算机防病毒制度;保护私有信息规则。 2)系统的访问控制技术、数据的完整性、数据与文件的加密、通信的安全性、系统的安全性设计。 二、信息系统安全体系 信息安全的5个要素:机密性、...
  • XX大学学生选课系统需求规格说明书

    万次阅读 多人点赞 2019-04-09 20:30:19
    该文档是关于用户对于河北经贸大学学生选课系统的功能和性能的要求, 重点描述了选课 系统的功能需求 系统的主要目的是为了方便学校对教师信息、学生基本信息、课程信息、学生成绩录入、修改、查询,提高学校的工作...
  • 图书馆管理系统需求规格说明书

    万次阅读 多人点赞 2014-11-06 13:07:14
    文档信息:图书馆信息管理系统软件需求规格说明书 文档类别:管理文档 密 级:机密 版本信息:1.0 建立日期:2014-05-20   创 建 人: 审 核 者: 批 准 人: 批准日期:   编辑软件:Microsoft Office ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 317,707
精华内容 127,082
关键字:

系统安全需求的定义