精华内容
下载资源
问答
  • 中级软考信息安全工程师笔记

    千次阅读 多人点赞 2021-01-25 16:24:27
    1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级: 第一级:用户自主保护级; 第二级:系统...

    在这里插入图片描述

    这次也是压线过嘤嘤嘤,先说一下感想叭,上午的题目出的中规中矩,70%~80%的知识点都是以往卷子里出过的,认真背书刷题的话上午及格不难,下午的题目和以往试卷比出的很笼统,过不过不是取决于评分者的判分,真的纯靠运气辽。
    考场缺考的人还蛮多的,三个半小时还是几个小时的考试时间,不允许中途出来,我差不多半个多小时写完了,然后就只能在考场睡觉,无语子。

    历史和法规

    1. 1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级:

    第一级:用户自主保护级;
    计算机信息系统可信计算机通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏

    第二级:系统审计保护级;
    粒度更细的自主访问控制,通过登录规程、审计安全性相关事件和隔离资源,是用户对自己的行为负责

    第三级:安全标记保护级;
    提供有关安全策略模型、数据标记以及主体对客体强制访问的非形式化描述,具有准确标记输出信息的能力,这个级别的特点是计算机信息系统可信计算基,对所有主体以及所控制的客体实施强制访问控制。该级别要求为主体以及客体提供敏感标记,这类标记为等级以及非等级分类组合,是实施强制访问控制的依据
    第四级:结构化保护级;
    计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,还要考虑隐蔽通道
    第五级:访问验证保护级。
    访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的,必须足够小,能够分析和测试
    定级四个要素:

    信息系统所属类型、业务数据类型、信息系统服务范围、业务自动化处理程序

    1. 国家密码局 于2006年公布了“无线局域网产品使用的系列密码算法”,其中
      签名算法是ECDSA
      对称密码算法是SMS4密钥协商算法是ECDH
      杂凑算法是SHA-256
      其中ECDA和ECDH密码算法需要使用国家密码管理局指定的椭圆曲线和算法
    2. 2016年11月7日,十二届全国常委会第二十四次会议以154票赞成1票弃权,表决通过了《中华人民共和国网络安全法》。该法律由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起实施
    3. 2017年6月1日《中华人民共和国网络安全法》开始实施
      第二十一条:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月
    4. 2018年10月,含有我国SM3杂项密码算法的ISO/IEC10118-3:1028《信息安全技术杂凑函数 第3部分:专用杂凑函数》最新一版由国际标准化组织(ISO)发布,SM3算法正式成为国际标准。2018年11,明确了国家落实网络安全的职能部门和职责,其中明确规定由国家网信部门负责统筹协调网络安全工作和相关监督管理工作月,作为补篇2017年纳入国际标准化的SM2/SM9数字签名算法,以正文形式随ISO/IEC14888-3:2018《信息安全技术带附录的数字签名的SM2/SM9 数字签名 第3部分:基于离散对数的机制》最新一版发布。
      SM9:标识密码算法是一种基于双线性对的标识密码算法,它可以把用户的身份标识用以生成用户的公、私密钥对,主要用于数字签名,数据加密、密钥交换以及身份认证等。SM9算法不需要申请数字证书、适用于互联网应用的各种新兴应用的安全保障。如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全
      SM3:密码杂凑算法,分组长度为512比特
      SM2:椭圆曲线公钥密码算法(替换RSA)

    橙皮书(正式名称为可信任计算机标准评估标准)包括计算机安全级别的分类。

    	D1 级:
    这是计算机安全的最低一级。整个计算机系统是不可信任的,硬件和操作系统很容易被侵袭。D1级计算机系统标准规定对用户没有验证,也就是任何人都可以使用该计算机系统而不会有任何障碍。系统不要求用户进行登记(要求用户提供用户名)或口令保护(要求用户提供唯一字符串来进行访问)。任何人都可以坐在计算机前并开始使用它。
    D1级的计算机系统包括:MS-Dos、MS-Windows3.xe及Windows95(不在工作组方式中、Apple的System7.x
    	C1 级
    C1级系统要求硬件有一定的安全机制(如硬件带锁装置和需要钥匙才能使用计算机等),用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力,经应当允许系统管理员为一些程序或数据设立访问许可权限。C1级防护不足之处在于用户直接访问操作系统的根。C1级不能控制进入系统的用户的访问级别,所以用户可以将系统的数据任意移走。
    常见的C1级兼容计算机系统如下所列:UNIX 系统、XENIX 、Novell3.x或更高版本、Windows NT
    	C2 级
    C2级在C1级的某些不足之处加强了几个特性,C2级引进了受控访问环境(用户权限级别)的增强特性。这一特性不仅以用户权限为基础,还进一步限制了用户执行某些系统指令。授权分级使系统管理员能够分用户分组,授予他们访问某些程序的权限或访问分级目录。另一方面,用户权限以个人为单位授权用户对某一程序所在目录的访问。如果其他程序和数据也在同一目录下,那么用户也将自动得到访问这些信息的权限。C2级系统还采用了系统审计。审计特性跟踪所有的“安全事件”,如登录(成功和失败的),以及系统管理员的工作,如改变用户访问和口令。
    常见的C2级操作系统有:UNIX 系统、XENIX、Novell3.x或更高版本、Windows NT
    	B1 级:
    B1级系统支持多级安全,多级是指这一安全保护安装在不同级别的系统中(网络、应用程序、工作站等),它对敏感信息提供更高级的保护。例如安全级别可以分为解密、保密和绝密级别。
    	B2 级
    这一级别称为结构化的保护(Structured Protection)。B2 级安全要求计算机系统中所有对象加标签,而且给设备(如工作站、终端和磁盘驱动器)分配安全级别。如用户可以访问一台工作站,但可能不允许访问装有人员工资资料的磁盘子系统。
    	B3 级
    B3级要求用户工作站或终端通过可信任途径连接网络系统,这一级必须采用硬件来保护安全系统的存储区。
    	A 级
    这是橙皮书中的最高安全级别,这一级有时也称为验证设计(ve-rified design)。与前面提到各级级别一样,这一级包括了它下面各级的所有特性。A级还附加一个安全系统受监视的设计要求,合格的安全个体必须分析并通过这一设计。另外,必须采用严格的形式化方法来证明该系统的安全性。而且在A级,所有构成系统的部件的来源必须安全保证,这些安全措施还必须担保在销售过程中这些部件不受损害。例如,在A级设置中,一个磁带驱动器从生产厂房直至计算机房都被严密跟踪。 
    
    1. 机密性:确保信息未经非授权的访问,避免信息泄露(不适用只针对机密性)、完整性(防止信息非法的修改和毁坏,包括信息的不可抵赖性和真实性)、可用性(保证信息及时且可靠的访问和使用)
      个人web服务器的信息{(机密性,NA)、(完整性,M)、(可用性,M)}
      公开的股票信息{(机密性,NA)、(完整性,H)、(可用性,H)}

    2.  《信息安全等级保护管理方法》
       第二十七条  涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
       网络运营者应当制定 网络安全事件应急预案 及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险
       第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
       电子认证服务者拟暂停或者终止电子认证服务的,应当在暂停或终止服务六十日前向国务院信息产业主管部门报告
      
       《刑法》
       第二百八十五条规定:对违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役
       第二百八十六条规定:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的;处五年以上有期徒刑
       《商用密码管理条例》第三条,商用密码技术属于国家秘密,国家对商用密码的科研、生产、销售和使用实行专控管理。
      
       《中华人民共和国电子签名法》
       第二十四条,电子认证服务者应当妥善保存与认证有关的信息,信息保存期限至少为电子签名认证失效后五年。
       第三十一条电子认证服务者不遵守认证业务规则、未妥善保存与认证相关的信息,或者其他违法行为的 ,由国务院信息产业主管部门责令限期修正;逾期未修正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门
      
       《中华人民共和国保守国家秘密法》
       第十四条,机关、单位对产生的国家秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级,同时确定保密期限和知悉范围。
       第十五条,国家秘密的保密期限,应当根据事项的性质和特点,按照维护国家安全和利益的需要,限定在必要的期限内;不能确定期限的,应当确定解密的条件。
       核心涉密人员脱密期为3至5年
       
       《中华人民共和国网络安全法》第五十八条规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院
      
    3. SC27(信息安全通用方法及技术标准化工作的分技术委员会)是ISO和IEC组成的JTC1(第一技术联合委员会)下的分技术委员会

       第一工作组 (WG1):需求、安全服务及技术工作组
          二	  (WG2):安全技术与机制工作组
          三	  (WG3):安全评估准则工作组
      

    攻击

    主动攻击

    主动攻击: 假冒、重放、修改消息和拒绝服务

    信息泄露

    数据窃听、流量分析

    陷门

    在某个系统或者文件中设置的“机关”,使得当提供特定的输入数据时,允许违反安全策略

    鲁棒性攻击:

    减少消除数字水印为目的,包括像素值失真攻击、敏感性分析攻击和梯度下降攻击,可能损坏水印信息

    表达攻击:

    让图像水印变形使水印存在检测性失败,包括置乱攻击、同步攻击,试图让水印检测器与嵌入的信息不同步

    重放攻击:

    又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。

    它是一种攻击类型,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者拦截并重复发该数据到目的主机进行。攻击者利用网络监听或者其他方式盗取认证凭据,一般是cookies或者一些的认证session会话,进行一定的处理后,再把它重新发给认证服务器。从这个解释上理解,加密可以有效防止明文数据被监听,但是却防止不了重放攻击。S/key口令可对抗。能够预防重放攻击的只有时间戳、Nonce(一个只能被使用一次的任意或者非重复的随机数值)、序号

    渗入威胁

    包括假冒、旁路和授权侵犯

    勒索软件端口

    445

    邮件欺骗

    可采用端口25

    病毒的生命周期

    潜伏、传播、触发、发作

    保护

    网络安全防护体系

    在设计时实现的基本原则有纵深防御原则、安全性与代价平衡原则 、最小权限原则、开放设计原则、全面防御原则、权限分开原则、最小公用原则、心理接受性、代码重用性、充分考虑软件运行环境、选择安全的加密算法、充分考虑不安全条件、失效防护
    在这里插入图片描述

    分布式访问控制(Distributed access control)

    通常对某个网络的访问进行控制,其作用相当于高速公路上的入口,因此,集中式访问控制并不能胜任对其他资源的访问控制任务。如果用户要对特定的资源进行访问控制,就需要用到分布式访问控制方法。目前广泛使用的三种分布式访问控制方法为 单点登录、Kerberos协议和SESAME
    目前访问控制模型主要分为3种:
    自主访问控制模型(DAC),
    强制访问控制模型(MAC)
    基于角色的访问控制模型(RBAC)。

    自主访问控制模型(Discretionary Access Control)

    允许资源的拥有者显示的指定其他用户是否可以访问或者不可以访问该资源,DAC模型一般采用访问控制矩阵访问控制列表来存放各个主体之间的访问控制信息,从而限制各个主体的访问权限。由于模型没有明确指定冗长的访问规则,因此显得非常灵活,使得它得到了非常广泛的应用。包括Jones取予模型(Take-grant)模型、HRU模型、动作-实体模型

    但该控制模型在拥有它无可比拟的优点的同时,也有其本身设计带来的缺点:

    (1)在大型系统中,无论是访问矩阵还是列表都将变得非常庞大,但其中很多元素是空的,因此造成了资源的浪费;

    (2)由于客体的拥有者能够授予或取消其它主体对该客体的访问权限。这就造成了很难预测访问权限在系统中是如何传播的,给系统的管理造成了很大的困难;

    (3)不能防范“特洛伊木马”,无法实现多级安全策略。

    强制访问控制模型(Mandatory Access Control)

    系统强制各个主体遵守系统制定的访问控制策略。用户和资源都被赋予一定的安全级别,在执行访问控制时,系统先对访问主体和资源的安全级别进行比较,再决定访问主体能否访问该资源。它对访问主体和受控对象表示俩个安全标签:一个是具有偏序关系的安全等级标签,另一个是非等级分类标签。包括BLP模型、Clark-Wilson模型、BN模型

    该模型的优点显而易见,它的缺点是:

    (1)模型赋予系统中每个用户一个唯一的UID号和唯一的安全级标签,认为该用户用受此安全级标签支配的安全级登录均可,而这会造成系统中的用户均可以写访问系统中的安全级为最低的信息,而这些信息通常是公共信息,应该是“只读不可写”的信息模型;

    (2)只处理了具有安全等级分类的信息的访问控制,而对无等级关系的信息并没有给出相应的处理模型,如Chinese-Wall模型中提到的“利益冲突”问题;

    (3)模型过于严格,在实现时无法对系统进行安全、有效的管理;

    虽然在保持信息的机密性的Bell-Lapadula模型中加入了一个“可信主体盯的概念,但其权限太大,没能实现“最小特权,而这在现代系统中是非常不安全的。因为一旦黑客入侵系统并获得此“可信主体”的权限,系统的安全性就变得不堪一击。

    角色访问控制模型(Role-based Access)

    模型的要素包括用户、角色和许可等基本定义。将访问权限与角色相联系,通过给用户分配适合的角色,让用户和访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的,根据用户在企业中的职权和责任来设定,用户可以在角色间进行转换,系统可以添加、删除角色,还可以对角色的权限进行添加、删除,这样通过应用RBAC将安全性放在一个接近组织结构的自然层面上进行管理。

    它把现实和计算机访问控制策略更好的结合起来,并且易于实现复杂、动态的安全访问控制策略。缺点是对有些没有角色区别的机构不适合,需要人为的构造一些虚构的人物角色。

    隐私保护技术:

    基于数据失真的隐私保护技术(随机化优化过程修改敏感数据)
    基于数据加密的隐私保护技术(基于泛化的隐私保护技术)
    基于数据隐匿化的隐私保护技术(安全多方计算隐私保护技术)
    

    集中式体系结构、客户/服务器体系结构、分布式体系结构

    数字水印

    特点:
    透明性:水印后图像不能有视觉质量的下降,与原始图像对比,很难发现二者的区别
    鲁棒性:图像中的水印进过变换操作,不会丢失水印信息,仍然可以清晰地提取
    安全性:数字水印可以抵抗各种攻击,任何第三方不能伪造他人的水印信息
    LSB算法将信息嵌入随机选择的图像点中最不重要的像素位上,可保证嵌入的水印是不可见的
    PatchWork算法利用像素的统计特征将信息嵌入像素的亮度值中
    

    防范缓冲溢出

    系统管理防范策略:关闭不必要的特权程序、及时打好系统补丁
    软件开发的防范策略:正确编写代码、缓冲区不可执行、改写C语言函数库、程序指针完整性检查、堆栈向搞地质反向增长

    防范DDOS

    1. 购买运营商流量清洗服务
    2. 采购防DDOS设备
    3. 修复系统漏洞,关闭不必要开放的端口
    4. 购买云加速服务
    5. 增加出口带宽,提升硬件性能
    6. CDN加速

    消息认证:

    消息认证(message authentication)就是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。它包含两层含义:一是验证信息的发送者是真正的而不是冒充的,即数据起源认证;二是验证信息在传送过程中未被篡改、重放或延迟等。不能预防发送方否认

    数字签名:

    数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。

    一个数字签名体制包括俩个过程,签名和验证签名

    数字签名是个加密的过程,数字签名验证是个解密的过程。

    S-SDLC

    实现了三种安全措施:

    	1.为主流编程语言提供了安全代码规范
    	2.			  筛选出了安全函数库
    	3.	提供了代码审计方法
    

    1.使用批准工具:编写安全代码
    2.禁用不安全函数:禁用C语言中有隐患的函数
    3.静态分析:检查程序指针的完整性

    WPA认证方式:

    有WPA、WPA-PSK、WPA2、WPA2-PSK

    SSL和TLS

    SSL(Secure Sockets Layer 安全套接层)协议,及其继任者TLS(Transport Layer Security传输层安全)协议是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,用于保障网络数据传输安全,利用数据加密技术,确保数据在网络传输过程中不会被截取及窃听。SSL协议已成为全球化标准,所有主要的浏览器和WEB服务器程序都支持SSL协议,可通过安装SSL证书激活SSL协议。SSL协议结合了对称密码技术和公开密码技术,提供保密性、完整性、可认证性服务

    SSL 证书就是遵守 SSL协议的服务器数字证书,由受信任的证书颁发机构(CA机构),验证服务器身份后颁发,部署在服务器上,具有网站身份验证(包括S/key口令协议、kerberos、X.509)和加密传输双重功能。

    SSL协议提供的服务主要有:

    1.认证用户和服务器,确保数据发送到正确的客户机和服务器;
    
    2.加密数据以防止数据中途被窃取;
    
    3.维护数据的完整性,确保数据在传输过程中不被改变。
    

    服务器认证阶段:

    1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
    
    2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
    
    3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
    
    4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
    

    SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:

    SSL记录协议(SSL RecordProtocol):建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。

    SSL握手协议(SSL HandshakeProtocol):建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

    SSL协议实际上是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。

    在SSL协议中,所有的传输数据都被封装在记录中。记录是由记录头和记录数据(长度不为0)组成的。所有的SSL通信都使用SSL记录层,记录协议封装上层的握手协议、报警协议、修改密文协议。SSL记录协议包括记录头和记录数据格式的规定。

    SSL记录协议定义了要传输数据的格式,它位于一些可靠的传输协议之上(如TCP),用于各种更高层协议的封装。主要完成分组和组合、压缩和解压缩,以及消息认证和加密等。

    风险评估:

    包括风险评估准备、风险因素识别、风险程度分析、风险等级评价
    输出文档:

    准备阶段:《系统调研报告》《风险评估方案》
    识别阶段:《资产价值分析报告》《威胁分析报告》《安全技术脆弱性分析报告》《安全管理脆弱性分析报告》《已有安全措施分析报告》
    风险分析:《风险评估报告》
    风险处置:《安全整改建议》
    

    深度流检测技术

    组成部分通常包括 流特征选择、流特征提取、分类器

    审计系统三大功能模块:

    审计事件的收集及过滤,审计事件的记录及查询、审计事件分析及响应报警系统

    电子邮件协议

    1.标准的电子邮件协议使用SMTP、POP3或IMAP。
    2.安全的电子邮件协议使用PGP加密

    IPsec协议:

    IPSec(IP Security)协议产生于IPv6的制定之中,用于提供IP层的安全性。介于第三层隧道协议。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定,但由于其中存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。

    IPSec提供了两种安全机制:认证(采用ipsec的AH)和加密(采用ipsec的ESP)。

    认证机制使IP通信的数据接收方能够确认数据发送方的真实身份,以及数据在传输过程中是否遭篡改。

    加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。

    IPSec主要功能为加密和认证,为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE(Internet Key Exchange,Internet 密钥交换)三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语SA(Security Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个"连接"。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。要实现AH和ESP,都必须提供对SA的支持。通信双方如果要用IPSec建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。ESP协议基于IPSec的数据通信提供了安全加密、身份认证和数据完整性鉴别

    IKE创建在ISAKMP协议定义的框架上,沿用了Oakley协议的密钥交换模式和SKEME协议的共享密钥和密钥组成技术.IKE使用俩阶段协商安全参数.第一阶段交换IKE,主要通过俩种模式实现,第二阶段利用第一阶段建立的安全关联来创建其他协议的安全关联,用于IPSec协议时,创建SA

    IPSec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种:丢弃或转发。IPSec通过查询SPD(Security Po1icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性、真实性、完整性,通过Internet进行安全的通信才成为可能。IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是隧道模式,另一种是传输模式。

    在这里插入图片描述

    BLP规则俩条基本规则:

    	简单安全特性规则:主体只能向下读,不能向上读
    	特性规则:主题只能向上写,不能向下写
    

    安全电子交易(SET)

    采用公钥密码体制和X.509数字证书标准,关心应用的互通性,提供了消费者、商家和银行之间的认证,安全程度很高,结合了DES、RSA.SSL、S—HTTP,使用了秘密密钥、公共密钥、数字信封、多密钥对、双重签名、

    PKI系统 (Public Key Infrastructure/公钥基础设施)

    PKI 采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信 息,以在Internet网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传 输。

    因 此,从大的方面来说,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一 个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性(确保信息)、完整性、有效性。数据的机密性是指数据在传 输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。

    一 个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI的内部运作机制。在一个典型、完整和有效的PKI系统 中,除证书的创建和发布,特别是证书的撤销,一个可用的PKI产品还必须提供相应的密钥管理服务,包括密钥的备份、恢复和更新等。没有一个好的密钥管理系统,将极大影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。在一个企业中,PKI系统必须有能力为一个用户管理多对密钥和证书;能够提供安 全策略编辑和管理工具,如密钥周期和密钥用途等。

    PKI发展的一个重要方面就是标准化问题,它也是建立互操作性的基础。目前,PKI标准化主要有两个方面:一是RSA公司的公钥加密标准PKCS(Public Key Cryptography Standards),它定义了许多基本PKI部件,包括数字签名和证书请求格式等;二是由Internet工程任务组IETF(Internet Engineering Task Force)和PKI工作组PKIX(Public Key Infrastructure Working Group)所定义的一组具有互操作性的公钥基础设施协议。在今后很长的一段时间内,PKCS和PKIX将会并存,大部分的PKI产品为保持兼容性,也将会对这两种标准进行支持。

    一个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。
    PKI信任模型类型有:单级CA信任模型、严格层次结构模型、分布式(网状)信任模型结构、web模型、桥CA信任模型、用户为中心的信任模型

    数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构–CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。接受客户证书申请并进行审核注册的的机构被称为RAX.509是最基本的证书存储格式。

    内容包括:证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的一系列数字签名。CA通过发布证书黑名单,公开发布已经废除的的证书

    物理隔离

    思想是内外网隔开,但分时对已存储设备进行读和写,间接实现信息交换。网闸的主要实现技术包括实时开关技术、单向连接、网络开关

    IDS

    入侵检测系统(IDS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到拒绝服务(DoS) 袭击。由于问题比较复杂,先进的IDS解决方案一般都包含两个组件:用于保护网络的IDS(NIDS)和用于保护服务器及其上运行的应用的主机IDS (HIDS)。NIDS(Network Intrusion System):网络入侵系统,主要用于监测Hacker或Cracker通过网络进行的入侵行为,其主要包括时间探测器和控制台俩部分。

    (1)按入侵检测的手段、IDS的入侵检测模型可分为基于网络和基于主机两种。

    (2)按入侵检测的技术基础可分为两类:一种基于标志的入侵检测(signature-based),另一种是基于异常情况的入侵检测(anomaly-based)。

    (3) 按输入入侵检测系统的数据的来源来分,可以分为三类:

    1. 基于主机的入侵检测系统:其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵;

    2. 基于网络的入侵检测系统:其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵;

    3. 采用上述两种数据来源的分布式入侵检测系统它能够同时分析来源于系统的审计日志和来源于网络的信息流,这种系统一般由多个部件组成。

    (4)按入侵检测所采用的技术方法又可将其细分为下面四种方法:

    一是基于用户行为概率统计模型的入侵检测方法:

    这种入侵检测方法是在对用户历史行为建模或在早期的证据或模型的基础上,实时检测用户对系统的使用情况,根据系统内部保存的用户行为概率统计模型进行检测,当发现有可疑的用户行为发生时,立即保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当用户改变他们的行为习惯时,这种异常就会被检测出来。

    二是基于神经网络的入侵检测方法:

    这种方法是利用神经网络技术来进行入侵检测。这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出是否有入侵行为的判断。但该方法还不成熟,目前还没有出现较为完善的产品。

    三是基于专家系统的入侵检测技术:

    该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统,由此专家系统自动进行对所涉及的入侵行为进行分析。该系统可以随着经验的积累而不断自我学习,并进行规则的扩充和修正。

    四是基于模型推理的入侵检测技术:

    该技术根据入侵者在进行入侵时所执行的某些行为程序的特征,建立一种入侵行为模型,根据这种行为模型所代表的入侵行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的,对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。

    IPS

    入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的解释。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。是

    在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。

    入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。

    应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

    入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。是主动防御系统。

    投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统(HIPS: Hostbased Intrusion Prevension System)(对计算机中文件的完整性进行前后比较,发现被篡改的系统文件)和网路入侵预防系统(NIPS: Network Intrusion Prevension System) =两种类型。

    流量监控

    基础是协议分析,包括端口识别、DPI(深度包检测)和DFI(深度流检测)

    VPN

    主要隧道协议包括PPTP(第二层)、L2TP(第二层)、GRE(第三层)、IPsec(第三层)、SSL VPN(第四层)、TLS VPN(第四层)
    Internet VPN:通过公网VPN
    实现VPN的关键技术有隧道技术、加解密技术、秘钥管理技术和身份认证技术

    RADIUS

    承载于UDP协议之上,认证授权端口为1812,计费端口为1813

    P2DR模型

    包括四个主要部分:Policy(策略)、Protection(防护)、Detection(检测)和 Response(响应)。

    (1)策略:定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
    
    (2)防护:通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
    
    (3)检测:是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
    
    (4)响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
    

    代码静态分析方法

    包括模式匹配、定理证明、模式检测

    安全漏洞扫描

    核心技术是端口扫描技术和漏洞扫描技术

    防火墙

    防火墙的主要目的是实时访问控制和加强站点安全策略,访问控制包含服务控制、方向控制、用户控制和方向控制,防火墙主要有以下几种体系结构,防火墙主要包括双重宿主主机体系结构,屏蔽主机体系结构和屏蔽子网体系结构

    1. 双重宿主主机体系结构,双重宿主主机是一种防火墙,这种防火墙主要有2个接口,分别连接着内部网络和外部网络,位于内外网络之间,阻止内外网络之间的IP通信,禁止一个网络将数据包发往另一个网络。两个网络之间的通信通过应用层数据共享和应用层代理服务的方法来实现,一般情况下都会在上面使用代理服务器,内网计算机想要访问外网的时候,必需先经过代理服务器的验证。这种体系结构是存在漏洞的,比如双重宿主主机是整个网络的屏障,一旦被黑客攻破,那么内部网络就会对攻击者敞开大门,所以一般双重宿主机会要求有强大的身份验证系统来阻止外部非法登陆的可能性
      在这里插入图片描述

    2. 屏蔽主机体系结构,防火墙由一台过滤路由器和一台堡垒主机构成,防火墙会强迫所有外部网络对内部网络的连接全部通过包过滤路由器和堡垒主机,堡垒主机就相当于是一个代理服务器,也就是说,包过滤路由器提供了网络层和传输层的安全,堡垒主机提供了应用层的安全,路由器的安全配置使得外网系统只能访问到堡垒主机,这个过程中,包过滤路由器是否正确配置和路由表是否收到安全保护是这个体系安全程度的关键,如果路由表被更改,指向堡垒主机的路由记录被删除,那么外部入侵者就可以直接连入内网
      在这里插入图片描述

    3. 屏蔽子网体系结构,这是最安全的防火墙体系结构,如下图所示,由两个包过滤路由器和一个堡垒主机构成,与屏蔽主机体系结构相比,它多了一层防护体系就是周边网络,周边网络相当与是一个防护层介于外网和内网之间,周边网络内经常放置堡垒主机和对外开放的应用服务器,比如web服务器。下图中虚线框起来的地方就是屏蔽子网体系结构的防火墙,称为DMZ,通过DMZ网络直接进行信息传输是被严格禁止的,外网路由器负责管理外部网到DMZ网络的访问,为了保护内部网的主机,DMZ只允许外部网络访问堡垒主机和应用服务器,把入站的数据包路由到堡垒主机。不允许外部网络访问内网。内部路由器可以保护内部网络不受外部网络和周边网络侵害,内部路由器值允许内部网络访问堡垒主机,然后通过堡垒主机的代理服务器来访问外网。外部路由器在DMZ向外网的方向只接受由堡垒主机向外网的连接请求。在屏蔽子网体系结构中,堡垒主机位于周边网络,为整个防御系统的核心,堡垒主机运行应用级网关,比如各种代理服务器程序,如果堡垒主机遭到了入侵,那么有内部路由器的保护,可以使得其不能进入内部网络。应用代理防火墙的主要优点是安全控制更细化、更灵活
      在这里插入图片描述

    密码

    1. 一个密码当它能经得起已知明文攻击时才是安全的

    2. 选择明文攻击可得到任何明文的密文

    3. Kerberos进行密钥分配时使用AES、DES等对称密钥加密,用户先向认证服务器AS申请原始票据,然后从票据授予服务器TGS获取会话密钥,使用一次性密钥和时间戳,来阻止重放攻击。

    4. 密码体制由以下五个部分构成 明文空间M 密文空间C 加密算法E 解密算法D 密钥空间K,非对称密码通常包括基于因子分解、基于离散对数、基于椭圆离散对数

    5. 秘钥管理遵循的原则有:全程安全原则、最小权利原则、责任分离原则、密钥分级原则、密钥设定与更换原则

    6. 对称算法分为俩类:
      (1)分组算法(分组密码),常见分组密码算法:DES、IDEA、AES
      (2)序列算法(序列密码、流密码),公开的序列密码算法主要有RC4、SEAL

    7. 公钥密码体制主要有RSA、DSA、ECC

    8. DES分组长度为64bit,使用56bit对64bit的明文串进行16轮加密,得到64比特的密文串,子秘钥长度为48

    9. 中国人民银行的智能卡规范支持3DES,其中3DES有俩种加密方法:
      (1)第一三次加密使用同一密钥,这种密钥长度为128位(112位有效)
      (2)三次加密使用不同密钥,这种方式密钥长度192位(168位有效)

    10. SHA所产生的摘要长度为160位,信息摘要算法MD5的摘要长度为128位
      RSA算法选取的模至少有1024位,椭圆曲线密码,选取的参数p的规模不少于160位
      WEP采用RC4算法,使用40位(出口)或64位密钥,有些厂商将密钥位数扩展到128位(WEP2),标准64位标准流使用的密钥和初始向量长度分别为40位和24位

    11. ECC规定用户的私钥d为一个随机数,取值范围为0~n-1。公钥Q通过dG进行计算。ECC签名后的内容中包括原文,而RSA不包括

    12. S盒变换是一种(字节代换)压缩替换,通过S盒将48位输入变为32位输出,共有8个S盒,并行作用。每个S盒有6个输入、4个输出,是非线性压缩变换

    13. ECB模式:又称电子密码本模式:Electronic codebook,是最简单的块密码加密模式,加密前根据加密块大小(如AES为128位)分成若干块,之后将每块使用相同的密钥单独加密,解密同理。
      在这里插入图片描述
      在这里插入图片描述

      CBC模式:密码分组链接(CBC,Cipher-block chaining)模式,由IBM于1976年发明,每个明文块先与前一个密文块进行异或后,再进行加密。在这种方法中,每个密文块都依赖于它前面的所有明文块。同时,为了保证每条消息的唯一性,在第一个块中需要使用初始化向量IV,缺点是加密会引发错误传播无界,解密引发错误传播有界,CBC不利于并行运算
      在这里插入图片描述
      在这里插入图片描述

      CFB模式:密文反馈(CFB,Cipher feedback)模式与ECB和CBC模式只能够加密块数据不同,可以将块密码变为自同步的流密码;CFB的解密过程几乎就是颠倒的CBC的加密过程。
      在这里插入图片描述
      在这里插入图片描述
      OFB模式(输出反馈:Output feedback):OFB是先用块加密器生成密钥流(Keystream),然后再将密钥流与明文流异或得到密文流,解密是先用块加密器生成密钥流,再将密钥流与密文流异或得到明文,由于异或操作的对称性所以加密和解密的流程是完全一样的。
      在这里插入图片描述
      在这里插入图片描述
      PCBC模式(PCBC,Propagating cipher-block chaining)
      或称为明文密码块链接(Plaintext cipher-block chaining)是一种可以使密文中的微小更改在解密时导致明文大部分错误的模式,并在加密的时候也具有同样的特性。缺点:加解密错误传播无界性,不合适磁盘文件加密2.要求数据长度是密码分组长度的整数倍,否则最后一个块需要特殊处理
      在这里插入图片描述
      在这里插入图片描述

    14. 祖冲之算法集包括祖冲之算法、加密算法128-EEA3和完整性算法128-EIA3,已经被国际组织3GPP推荐为4G无线通信的第三套国际加密和完整性标准的候选算法,由三个基本部分组成:1.比特重组2.非线性函数F3.线性反馈移位寄存器(LFSR)

    15. SHA把信息分为512比特的分组,所产生的摘要长度为160位,信息摘要算法MD5把信息分为512比特的分组,摘要长度为128位

    16. 初级秘钥采取一次一密的使用形式,在将秘钥的明文传输给对方时,需要使用更高级的密钥进行加密。对方接收到加密的初级秘钥后,需要将其解密才能使用

    17. 基于windows的文件加密系统为EFS

    18. COS包括通信管理模块、安全管理模块、应用管理模块和文件管理模块

    其他

    1. Linux系统的运行日志存储的目录是: /var/log
      用户名 :/etc/passwd
      口令 :/etc/shadow

    2. windows系统中从DHCP服务器获取IP地址时,可以使用ipconfig/renew命令

    3. 数据中心应该被合理的划分为 核心数据域 核心业务域 安全管理域

    4. 专用地址(私有地址):
      (1)10.0.0.0——10.255.255.255
      (2)172.16.0.0——172.31.255.255
      (3)192.168.0.0——192.168.255.255

    5. 心跳包的最大取值为:64KB-1

    6. Ethernet物理地址采用十六进制表示,共六个字节(48位)。其中,其三个字节是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位),也称为“机构唯一的标识符”,后三个字节(低位24位)由各厂家自行指派给生产的适配器接口,称为扩展标识符(唯一位)。一个地址块可以生成2个不同的地址。
      Ethernet帧前导码与帧前定界符为8个字节,帧校验字段采用32位的CRC校验,数据字段最大长度为1500B。帧最小长度为64B,最大长度为1518B
      IEEE 802.3帧结构中前导码由7字节组成,它和帧前定界符不计入帧头长度中。目的地址和源地址分别表示帧的接收结点地址与发送结点的硬件地址。数据字段的最长长度为1500B,最小长度为4B,帧校验位采用32位的CRC校验。
      IEEE 802.11标准中,实现虚拟监听机制(Virtual Carrier Sense)的层次是MAC层,帧控制字段为2B。无线局域网(WLAN)的介质访问控制协议及物理层技术规范
      IEEE 802.12:需求优先的介质访问控制协议
      IEEE 802.15:采用蓝牙技术的无线个人网技术规范
      IEEE 802.16:宽带无线连接工作组,开发2~66GHz的无线接入系统空中接口
      IEEE 802.11a使用的频段是5GHZ
      IEEE 802.11b使用的频段是2.4GHZ,最大传输速率11Mbps
      IEEE 802.11g使用的频段是2.4GHZ,最大运输速率54Mbps
      IEEE 802.11n使用的频段是5GHZ,最大运输速率100Mbps,采用介质专用接口MII
      IEEE 802.3ae是10 Gigabit Ethernet标准
      IEEE 802.3ba是40/100 Gigabit Ethernet标准
      IEEE 802.3u最大运输速率100Mbps,是Fast Ethernet标准
      IEEE 802.3z是Gigabit Ethernet标准,千兆以太网

    7. 安卓的系统架构从上层到下层包括应用程序层、应用框架层、系统库和安卓运行时、Linux内核。安卓其核心系统服务如安全性、内存管理、进程管理、网络协议以及驱动模型都依赖于Linux内核

    8. snort三种主要模式:嗅探、包记录、网络入侵检测

    9. 100BASE-T2使用俩对五类无屏蔽双绞线作为传输介质

    10. IEEE802.3规定的最小帧长(从目的地址到校验和的距离)是64字节

    11. 采用ADSL虚拟拨号接入方式中,用户需要装入PPPOE软件

    12. web服务器可以使用内容安全策略严格约束并指定可信的内容来源

    13. 网页防篡改技术中,外挂轮询技术又被称为时间轮询技术

    14. 中国无线局域网鉴别与保密基础结构(WAPI:采用公钥密码技术,鉴权服务器AS负责证书的颁发、验证和撤销),美国无线安全标准IEEE 802.11i

    15. NAT(网络地址翻译技术)
      静态NAT、NAT池和端口地址转换PAT

    16. ICMP是网络层协议,封装在IP数据包内传输的

    17. TCP报头包括端口号、目标端口号、顺序号和校验号,UDP报头不包括顺序号字段

    18. Telnet采用客户端/服务器工作方式,采用NVT格式实现客户端和服务器的数据传输

    19. RAID技术中,磁盘容量利用率最高的是RAID0

    20. 网络化存储的有NAS(网络接入存储)和SAN(存储区域网络)

    21. 网络应用层和传输层之间提供加密方案的协议是SSL

    22. SMTP命令指令
      HELO:			 客户端为标识自己的身份而发送的命令
      EHLO:			是服务器可以表明自己支持扩展简单邮件传输协议(ESMTP)命令
      MAIL FROM:表示邮件的发件人
      RCRT TO	:表示邮件的收件人
      TURE			:允许客户端和服务器交换角色,并在相反的方向发送邮件,而不用重新建立连接
      ATRN			:可以选择将一个或者多个域作为参数,如果该会话通过身份验证,则ATRN命令一定会被拒绝
      
    23. A 				将DNS域名映射到IPV4的32位地址上
      AAAA		将DNS域名映射到IPV4的128位地址上
      CNAME	规范名资源记录,允许多个名称对应到同一个主机
      MX			邮件交换器资源,其后的数字首选参数值(0-65535)指明与其他邮件交换服务器的优先级
      NS 			域名服务器记录,指明该域名由哪台服务器来解析
      RTP			指针,用于将一个IP地址映为一个主机名
      
    24. PIX配置语句:
      fixup protocol ftp 21       //启用ftp协议,允许21端口的数据通过
      nameif eth0 outside security 0     //eth0 接口命名为outside,安全级别设置为0
      ip address outside 61.144.51.42 255.255.255.0    //配置outside 接口IP地址与掩码
      global(outside)1 61.144.51.46      //经outside接口去外网的数据,地址转换为61.144.51.46,全局地址池标志为1
      nat(inside)1 0.0.0.0 0.0.0.0			//所有地址按地址池1定义进行地址转换
      route outside  0.0.0.0 0.0.0.0 61.144.51.46		//设置默认路由,所有数据通过61.144.51.46转发
      

    Tcp协议三次握手

    在这里插入图片描述
    ACK标志位说明确认序列号有效,PSH标志位表示请求接收端主机尽快将数据包交付给应用层,FIN标志位用于释放TCP链接,SYN标志位说明建立一个同步连接。其中TCP的半连接扫描也称为TCP SYN扫描.未完成三次握手可减少对方主机或者防火墙记录这样的扫描行为

    存储区域网络

    存储区域网络(Storage Area Network,简称SAN)采用网状通道(Fibre Channel ,简称FC,区别与Fiber Channel光纤通道)技术,通过FC交换机连接存储阵列和服务器主机,建立专用于数据存储的区域网络。SAN经过十多年历史的发展,已经相当成熟,成为业界的事实标准(但各个厂商的光纤交换技术不完全相同,其服务器和SAN存储有兼容性的要求)。

    内存结构

    在这里插入图片描述

    计算

    在这里插入图片描述
    2.
    在这里插入图片描述

    在这里插入图片描述
    4.
    在这里插入图片描述
    5.
    在这里插入图片描述

    安全事件

    1. 2018年12月14日下午,一款通过“驱动人生”升级通道进行传播的木马突然爆发,在短短两个小时的时间内就感染了十万台电脑。通过后续调查发现,这是一起精心策划的供应链入侵事件。(Xshell后门)

    2. 永恒之蓝:
      是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒
      SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。

    SMB工作原理:
    (1):首先客户端发送一个SMB negport 请求数据报,,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。
    (2):协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。
    (3):当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称,之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。
    (4):连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。

    1. ZipperDown通用漏洞:

    ZipperDown漏洞并非iOS平台自身问题,而是与Zip文件解压有关。iOS平台没有提供官方的unzipAPI函数,而是引用了第三方库来实现解压功能,由于现有的iOS App基本上采用SSZipArchive或Ziparchive来实现解压,因此漏洞是来自使用第三方Zip库解压Zip文件的过程中没有对Zip内文件名做校验导致的。如果文件名中含有“…/”则可以实现目录的上一级跳转,从而实现应用内任意目录的跳转,进一步可以实现文件覆盖,如果把App的hotpatch文件覆盖替换了,可以达到执行黑客指定指令,从而按照黑客的意图实现任意应用内攻击。
    攻击条件:

    使用了第三方解压库。
    Zip包在解压时没有做完整性校验。
    APP使用了JSPatch或其他执行引擎,且本地脚本没有加密,只要把脚本放指定目录即可执行 ,本地脚本未做合法性校验。
    连接不可靠的WIFI热点进行通信。

    1. Memcache DDoS
      memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包(stats、set/get指令),使memcached服务器向受害者IP地址反射返回比原始数据包大数倍的数据(理论最高可达5万倍,通过持续跟踪观察攻击流量平均放大倍数在100倍左右),从而进行反射攻击。

    2. 勒索软件凶猛:“罗宾汉”打瘫美国市政府,在于一个名为“Robbin Hood”的勒索软件病毒,Robbin Hood的中文译名,是“罗宾汉”。这个“侠盗”病毒,让巴尔的摩市政府的网络陷入瘫痪,攻击者索要13个比特币才肯交出密钥。(与互联网物理隔绝,实行严格的安全等级保护,以及对重要系统和数据进行备份。)

    展开全文
  • 作者:华章尹老师来源:大数据DT(ID:hzdashuju)网络安全行业热火朝天,但我们很少看到这个领域相关职业路线的规划,这一方面是由于这个行业还比较年轻,还没有完全建立职业路径,另一方...

    作者:华章尹老师

    来源:大数据DT(ID:hzdashuju)

    3d92ef2ca4c4f525e033faa57e942a66.png

    网络安全行业热火朝天,但我们很少看到这个领域相关职业路线的规划,这一方面是由于这个行业还比较年轻,还没有完全建立职业路径,另一方面也是因为高端职位以前比较少,很少有人到达顶峰,所以难以总结。

    但随着这个行业的爆发,这恰好是网络安全行业的“后浪们”最想了解的内容之一。我们通过与企业网络安全专家联盟(诸子云)合作,针对近30名企业网络安全负责人及 CSO(首席安全官)进行了调研,分析和总结了他们的职业成长路径、以及网络安全技术的学习路线(附书籍推荐和导图下载),给大家做一个参考。

    本文导引:

    01 网络安全技术学习路线(附书籍推荐)

    02 网络安全的职业路线

    03 对新人的网络安全从业建议

    01 网络安全技术学习路线(附书籍推荐)

    公号图文有些压缩,如需下载导图,请关注大数据DT微信公众号,在对话框回复安全导图,可下载原图。

    d60edfa64ce24a16b58fba6a61bb858d.png

    02 网络安全的职业路线

    网络安全行业主要涉及两个方向、四类岗位。两个方向是甲方和乙方。所谓甲方是指企业内与IT相关的领域,所谓乙方是指安全厂商或服务商。四类岗位分别是安全产品研发、安全研究、安全管理、安全产品营销。在此,我们只说明前三类岗位的发展路线。

    1. 研发路线

    软件工程师是安全行业需求量最多的岗位,主要负责对产品的设计和实现。与其他行业的研发岗位类似,网络安全研发工程师主要职责包括系统开发、测试和文档编写,高级别工程师同时负责把握系统架构和前沿技术。

    研发又分为前端和后端,从整个行业来看,前端工程师比后端工程师更加缺乏;当然,最受欢迎的是全栈工程师。根据不同的产品线,研发工程师需要对网络安全领域知识(即业务)有不同程度的了解,包括网络协议、网络攻防原理以及Linux内核等。(国内优秀的C高级工程师太过稀缺,而C是网络安全的“官方语言”。)

    • 研发岗位的职业路线:初级工程师→中级工程师→高级工程师→架构师→首席架构师→CTO/CSO。

    21b0fdf166c5f2e0aff92dbae5324141.png

    Linux网络安全精要

    作者:威廉·罗斯韦尔 丹尼斯·金赛

    译者:王跃东 王云午

    推荐语:本书强调了Linux的书籍或课程里经常忽略掉的网络安全部分,从Linux基础讲起,涵盖了用户和用户组、文件和数据存储、自动化、网络、进程和日志管理、软件包管理、安全任务等内容。英文原版入选BookAuthority2019年评选的“学习Linux最适合的10本新书”,并且涉及CompTIALinux+和LPIC-1考试的关键主题。

    e5889e63ac3e0ccff3dc7c2ac06a9285.png

    网络安全与攻防策略

    作者:尤里·迪奥赫内斯 埃达尔·奥兹卡

    译者:赵宏伟 王建国 韩春侠 姚领田 等

    推荐语:本书涵盖了新的安全威胁和防御机制,包括对云安全态势管理(Cloud Security Posture Management,CSPM)的概述和对当前威胁形势的评估,另外还重点介绍了新的物联网威胁和加密的相关内容。

    27c313a90c82cc9a16ab7a74a5e2761f.png

    CSO进阶之路

    从安全工程师到首席安全官

    作者:张威 张耀疆 赵锐 等

    推荐语:本书是一部面向各层次网络安全从业人员的职业晋升实战宝典。作者融合自己丰富的工程实践经验,详细阐述了从安全工程师晋升到首席安全官所需的知识和技能。在网络安全日益受到国家和企业重视之际,本书将成为你职场进阶的秘籍。

    2. 研究路线

    安全研究侧重于对某一个或几个方向进行深入研究,如漏洞挖掘、操作系统安全等。研究岗位通常不放在研发团队中,而放在较为独立的“安全实验室”。

    做安全研究是否需要有研发能力呢?大部分安全研究岗位对开发技能有明确要求,在公司或学校(作为学生)从事安全研究更准确的称谓是“Research engineer”(研究工程师),他们既精通安全(业务),又有较强研发能力。

    • 研究岗位的职业路线:初级研究员→中级研究员→高级研究员→顾问→科学家→首席科学家/CSO。

    504c7197b4d4c92fe21f53b81fa41bf3.png

    互联网安全建设从0到1

    作者:林鹏

    推荐语:这是一本适合从安全小白到企业安全负责人阅读的安全书籍,作者林鹏将自己多年丰富的安全经验融入此书,通俗易懂,雅俗共赏,既可作为安全工程师的工具手册,解决各类常见安全问题,也可以指导安全负责人如何从0到1系统地建设企业安全体系,非常值得推荐。

    3. 管理路线

    安全管理主要围绕企业的信息资产开展持续的风险控制工作,具体负责ISMS建设、安全运维、IT审计等。

    管理方向要求从业者有全局视野,考虑得更多的是如何实现安全的木桶原理,在资源有限的情况下让所有木板达到相同的高度,需要有比较强的沟通和协调能力,同时对企业的业务要有比较深刻的认识。资深的安全管理人员是企业中最稀缺的人才。

    • 管理岗位的职业路线:安全员→内审员→审计师→合规专家→CSO。

    03 对新人的网络安全从业建议

    这里给准备进入网络安全方向的从业者提出几点建议。

    自2017年6月《网络安全法》颁布后,国家对信息安全领域愈发重视。了解这个行业需要先了解网络安全相关的技术、产品和服务,下面我们简单看一下。

    • 技术:物理安全和运行安全技术、数据安全与内容安全技术、信息对抗技术。

    • 产品:防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。

    • 服务:包括安全集成、风险评估、渗透测试、合规性咨询、安全巡检、应急保障等专业信息安全服务。

    0257a4ee9feb518a0619733667af8d47.png

    Kali Linux高级渗透测试

    (原书第3版)

    作者:维杰·库马尔·维卢 罗伯特·贝格斯

    译者:祝清意 蒋溢 罗文俊 李琪

    推荐语:原书第3版全新升级,Kali Linux渗透测试经典之作。本书从攻击者的角度来审视网络框架,详细介绍攻击者“杀链”采取的具体步骤,包含大量实例,并提供源码。


    e3798bae46b93a0b4105662304b9676b.png

    Python安全攻防:渗透测试实战指南

    作者:吴涛 方嘉明 吴荣德 徐焱 编著  

    推荐语:在网络安全领域,是否具备编程能力是“脚本小子”和真正黑客的本质区别。本书围绕Python在网络安全渗透测试各个领域中的应用展开,通过大量图解,从实战攻防场景分析代码,帮助初学者快速掌握使用Python进行网络安全编程的方法,深入浅出地讲解如何在渗透测试中使用Python,使Python成为读者手中的神兵利器。MS08067安全实验室出品。

    725e4202580c70a6e419f234d362ad31.png

    C++反汇编与逆向分析技术揭秘

    (第2版)

    作者:钱林松,张延清

    推荐语:这是一部系统讲解反汇编与逆向分析技术原理、流程、方法和实用技巧的著作。本书第1版出版于2011年,10年来畅销不衰,成为反汇编与逆向工程领域的标志性著作,被数十万安全工程师和C++工程师奉为瑰宝。在全球学术界和企业界都享有盛誉,故第2版得到了全球15位安全技术专家的倾力推荐。第2版在技术、工具和案例等方面做了大量的更新和补充。

    另外,对于就业前置条件,要求专业基础扎实(本科知识十分基础,这既代表它并非与时俱进,同时也代表它十分重要,你的发展和进步完全依赖于你的基础是否牢固);英语至少要过四级,能作为工作语言当然最好,就业面会更广;以上就是这个专业的硬实力和软实力的结合。

    还有一点,无论将来从事什么技能方向,一定要有有价值的项目经验积累,这里的项目不一定是指学校统一组织的项目,而是真实的落地项目,HR看了那么多模拟项目,对于模拟项目是不感兴趣的!哪怕你在校期间帮助老师管理过校园网或者大规模的机房等!

    再就是,如果有机会,在毕业前可以积累一些安全行业的人脉,了解到业内的信息,这对于将来就业或者成长都会有帮助。

    首先,需要树立个人职业目标,建议观察IT公司的各个职位职责,如产品经理、研发人员、售前工程师、售后工程师等。闭上眼睛想象一下自己以后想成为哪种人,哪种职业与自己的性格比较匹配。

    找到自己的方向后,即可从自己的专业课里规划出重点要学习的内容,加入一些行业论坛,深入地了解要掌握的技术内容,为自己以后的求职做铺垫。

    作为希望进入网络安全行业的年轻人,有一定开发基础并且网络相关知识扎实,这会让你的安全技能学习过程简单不少。你可以根据自身特点选择一个安全方向,如网络安全、移动安全、物联网安全、大数据安全等,在这些安全方向中,密码学都是必须掌握的,另外还要掌握Linux系统原理、攻防知识、逆向原理、漏洞分析技术等。

    f80c9fddd204fedf8c6739f4d4c8e92d.png

    物联网安全

    (原书第2版)

    作者:布莱恩·罗素 德鲁·范·杜伦

    译者:戴超 冷门 张兴超 刘江舟

    推荐语:从物联网安全建设的角度全面阐释物联网面临的安全挑战并提供有效解决方案 本书由资深的计算机安全专家撰写,全面阐释物联网面临的安全挑战及有效解决方案,为构建安全的物联网世界提供了一个切实可行的安全指南。

    再看可以选择的企业类型,通常可以将其分为甲方企业和乙方企业。甲方企业是指传统的生产制造、服务与快消等传统企业,如联合利华、宝洁、上海家化、美特斯邦威等(它们一般都会设置信息部,为了支持企业内部的信息化建设与运维,会有一些专业IT人员来做开发与运维以及新的项目引进工作);乙方企业,即为甲方企业提供软件服务或集成服务的企业,如用友、金蝶、埃森哲、SAP、浪潮、海康威视、浙江大华等。

    另外,考证要有目的性,不要白白浪费时间和金钱。你可以花一些时间去了解这些认证的获得条件、费用、考试大纲和往年的教材目录,再花一定时间规划自己到底适合哪个方向。因为你要在一个领域长远发展,必须要有兴趣的支撑。

    接下来,就是选一个(决不能超过两个)去学习,甚至是看情况报培训班(有的是必须的)。

    在安全方向的证书中有一定含金量的包括CISSP(注册信息系统安全专家,国际认可,需要有较长的安全工作经验)、CISP(注册信息安全专业人员,国家级的)、ISO27001,其他如CSSLP、CISAW、Security+、CISA,请记住考证是有目的性的,但不是目的,它也只是让你多了一个“敲门”工具,最终还是要通过自身的技术实力说话。

    再提一点,近些年计算机软考中级也将信息安全单列出来进行认证,即“信息安全工程师”,可见国家对于信息安全的重视程度。

    • 对于专业通路:助理工程师→中级工程师→高级工程师→专家,要熟悉专业及其在企业中的职能应用,在全面了解和掌握相关知识后,在行业、产品、职能等某个细分领域进行深耕和研究,十年磨一剑。

    • 对于管理通路:组长→主管→经理→总监→总经理,可以根据行业、企业的情况向职能管理领域发展,除了专业能力的要求,还需要具备一定管理能力和沟通协调能力。

    横向通路的具体方向可以有咨询、培训、人力资源、客户服务、售前咨询、市场营销等。

    以上内容,部分选自《CSO 进阶之路:从安全工程师到首席安全官》3.2节,从网络安全新人到CSO的职业路径。

    相关阅读:

    1. 《数据安全法》,对所有互联网公司的大考,该如何应对?

    2. 360漏洞响应平台(SRC)为白帽子挑选的10本互联网安全好书

    3. 破案了!库里为何会花18万美元买一个猴子头像?

    长按下方小程序码或点击阅读原文

    发现更多安全工程好书

    ed0d5fa01d232282aa312a09b9e73178.png

    f8aea383da3c82497cfd970838183f26.png

    6d874a88e5b028cc4c58f11a3816849c.png

    2fc8c782fa335744da75ff0ca87060a0.gif

    一直看到这里的你,一定是爱读书的人。欢迎加入大数据读书会微信群,结识更多同行业小伙伴,我们将不定期在群里送书!未来还有更多福利等你认领!加数据叔微信DoctorData,备注读书会,拉你入群!

    2da0c790b7790f0aca88266eb0b31676.gif

    划重点👇

    干货直达👇

    更多精彩👇

    在公众号对话框输入以下关键词

    查看更多优质内容!

    读书 | 书单 | 干货 讲明白 | 神操作 | 手把手

    大数据 | 云计算 | 数据库 | Python | 爬虫 | 可视化

    AI | 人工智能 | 机器学习 | 深度学习 | NLP

    5G | 中台 | 用户画像 数学 | 算法 数字孪生

    据统计,99%的大咖都关注了这个公众号

    👇

    展开全文
  • 描述事故后果评价的任务 C.描述事故后果评价的主要工作内容 D.说明获取参数的方法与安排 E.重点描述场外辐射后果评价方法与应急环境监测内容及安排 4 下列关于核安全与环境专家委员会说法正确的有()。 A.是国家核...

    一、单项选择题
    1
    实际工作中,为确定设计基准洪水的一组洪水起因事件和基准水位组合的例子有:由可能最大热带气旋产生的可能最大风暴潮;风-浪活动(最大风浪活动);10%超越概率高潮位;河流的设计基准洪水(适用于热带气旋区内流域面积小于()km2)。
    A.400
    B.800
    C.1200
    D.1600
    2
    国际原子能机构推荐的短寿命低、中放废物处置方案为()。
    A.近地表处置
    B.地质处置
    C.近地表处置或地质处置
    D.填埋处置
    3
    核动力厂的分类工况中的工况Ⅳ事故不得导致具有()功能的系统损坏,反应堆冷却剂系统和安全壳不得受到进一步的损伤。
    A.辐射防护
    B.限制事故后果
    C.保护
    D.包容
    4
    为评价核电厂放射性物质在大气中的弥散,应保证收集的数据能充分代表厂址气象条件。应提供至少()整年有代表性的气象数据,并说明这些数据表征厂址长期气象特征的程度。
    A.1
    B.2
    C.5
    D.10
    5
    典型的定量安全目标是美国核管会所确定的对紧邻核动力厂的正常个体成员来说,由于反应堆事故所导致立即死亡的风险不应该超过美国社会成员所面对的其他事故所导致的立即死亡风险总和的()。
    A.1/100
    B.1/1000
    C.1/10000
    D.1/100000
    6
    运行限值和条件必须反映最终设计,并必须在核动力厂()经国家核安全监管部门评价和批准。
    A.设计完成之前
    B.设计完成之后
    C.开始建造之前
    D.开始运行之前
    7
    制定完整有效的()应急计划是营运单位在平时保持应急响应能力、在事故状态下正确执行应急响应的保证,也是制定场外应急计划及国家核应急计划的技术基础。
    A.事故
    B.场内
    C.场区
    D.场外
    8
    铀选冶厂各作业场所全面换气可以按放射性工作场所的()选定换气次数。
    A.类型
    B.特征
    C.级别
    D.体积
    9
    核与辐射事件分级表(INES)对放射性物质明显释放,可能要求执行计划中的对策定为()。
    A.特大事故(7级)
    B.重大事故(6级)
    C.影响范围较大的事故(5级)
    D.影响范围有限的事故(4级)
    10
    大、中型辐照装置不宜采用观察设施是()。
    A.反射镜
    B.潜望镜
    C.窥视窗
    D.闭路电视
    在这里插入图片描述

    二、多项选择题
    1
    在考虑内部事件引起的假设始发事件中,必须考虑人员差错。人员差错的后果往往与部件故障的后果相类似。属于人员差错范畴的有:()。
    A.系统或部件的接口错误设计
    B.错误的和不良的维修
    C.控制限值的错误整定
    D.操纵员执行差错
    E.操纵员疏忽差错
    2
    核设施和辐射设施退役前要考虑废物的出路,退役设施营运者应该建立具有()的能力,能够解决退役过程所产生的废物,包括非预期事件/事故所产生的废物。
    A.收集
    B.检测
    C.处理
    D.整备
    E.运输
    F.处置(至少应该具备暂存废物)
    3
    核动力厂场内应急计划的“事故后果评价”部分应()。
    A.描述事故后果评价的目的
    B.描述事故后果评价的任务
    C.描述事故后果评价的主要工作内容
    D.说明获取参数的方法与安排
    E.重点描述场外辐射后果评价方法与应急环境监测内容及安排
    4
    下列关于核安全与环境专家委员会说法正确的有()。
    A.是国家核安全局常设的审议咨询机构
    B.协助国家核安全局制定核与辐射安全政策法规
    C.审评和监督民用核设施的核与辐射安全
    D.开展核与辐射安全科学研究
    E.为国家核与辐射安全事业重大决策提供科学依据
    5
    核电厂定期安全审查的范围必须覆盖运行核动力厂的所有安全方面,还应包括()。
    A.应急计划
    B.事故管理
    C.辐射防护
    D.环境保护
    E.流出物监测
    6
    核动力厂事故分析采用的初始条件及各项参数均取保守值,为决定如何取保守值,有哪些方面是必须虑及的:()。
    A.所分析的事故的过程特征
    B.需假设极限的单一故障
    C.事故分析所针对哪一项验收准则
    D.在事故分析中,采用的是哪一种停堆信号
    E.最大价值的一组控制棒卡在全抽出位置
    7
    核动力厂场内应急计划的“应急组织与职责”部分应()。
    A.概述正常运行组织
    B.概述应急响应组织
    C.提供相应的组织框图
    D.给出应急指挥部的组成及各成员的职责、替代顺序
    E.描述各应急行动组的组成及职责
    8
    应按不同的质保等级确定一套相应的质量保证要求,规定对每一级物项和服务应进行的大纲活动,选择用于每一级的大纲活动应考虑()。
    A.程序、细则的详细程度和格式
    B.验证方法
    C.验证深广度
    D.监查要求
    E.质量保证记录
    9
    核安全检查的依据有()。
    A.经国际核安全局审评认可的质量保证大纲和许可证(函)中规定的质量保证条件或要求
    B.《质保规定》(HAF003),并参考其相关导则
    C.对从事核安全设备设计、安装和制造的单位,其质量保证的核安全检查还应依据《民用核安全设备监督管理条例》
    D.质保大纲程序和第一层次质保文件
    E.质保大纲程序和第三层次质保文件
    10
    概率安全评价(PSA)的概率安全分析工作的形成的文档通常包括()。
    A.PSA输入
    B.所有故障树和事件树分析过程和结果
    C.支配性事故序列和对它们有贡献的最小割集
    D.电厂总的CDF(堆芯严重损坏频率)和来自不同始发事件和事故类别的贡献
    E.CDF(堆芯严重损坏频率)的不确定性分布
    F.重要度分析结果
    G.敏感性研究的结果

    展开全文
  • 前言 在运维工作中,经常被贴上这样的标签:背锅侠?电脑修理工?救火队员?35岁被退休?996/007等等,安全运维...初级运维负责运用运维技术,运维平台,确保入网设备的全面纳管和全生命周期管理,确保设备、业务及安全

    前言

    在运维工作中,经常被贴上这样的标签:背锅侠?电脑修理工?救火队员?35岁被退休?996/007等等,安全运维工程师真的这么不堪吗?

    一、运维安全是什么?

    首先我们从运维工程师的工作职能入手,岗位工作内容:
    1、平台架构组建
    运维工程师的基本工作之一,主要负责参与并审核架构设计的合理性和可运维性,以确保系统上线后,安全、高效、稳定运行。保障并不断提升服务的可用性和数据安全性,提升用户体验。

    2、日常运营保障
    初级运维负责运用运维技术,运维平台,确保入网设备的全面纳管和全生命周期管理,确保设备、业务及安全等状态可监可控。负责制定应急预案并组织演练,负责保障业务7*24小时稳定运行,在此期间对出现的各种问题快速定位并解决。

    3、系统优化
    高级运维工程师则需要考虑系统的优化问题。高水平的云计算运维工程师对系统长期稳定运行至关重要。linux服务器本身架构的局限,系统运行故障不可避免,但通过合理的设计,有效的运维大幅降低故障发生的频率,提高业务恢复效率。

    二、合格的运维安全人员需要掌握的技能:

    Linux学习路线

    1、Linux系统基础,Linux基础知识和命令使用,及用户和权限等核心知识点;

    2、Linux系统管理,Linux从进程、资源、任务、文件、软件包、磁盘等管理方法;

    3、Linux企业级常用服务,如DNS、FTP、Http、mail;

    4、Linux企业级安全原理和防范技巧以及网络和安全 Linux安全架构、安全威胁模型、以及加密、解密等原理,常见攻击和防范手段;

    5、Shell编程,Shel脚本基本用法,需要学习一些企业级常见脚本用法;

    6、MySQL应用原理及管理 Mysql安装、管理、授权、增删改查;

    7、http服务代理缓存加,http高级协议应用、缓存、web服务nginx;

    8、企业级负载集群企业级4层负载均衡LVS、和7层负载均衡nginx以及haproxy的应用;

    9、企业级高可用集群高可用集群原理,实现以keepalived为核心的高可用集群,以及主从高可用、双主;

    10、运维监控zabbix企业级监控体系以及zabbix流行开源监控系统的功用及架构;

    11、云计算运维自动化ansible、puppet等运维自动化解决方案;

    12、WEB服务体系架构 WEB服务体系架构,JSP体系、tomcat、CDN、缓存原理、压测、评估;

    13、大型互联网集群架构和实战方案LB集群:nginx、Haproxy、LVSHA集群、动静分离;

    14、MySQLDBA实战技能和优化数据库参数优化、分库分表、备份方案、数据恢复策略、主从复制、读写分离、连接池及sharding技术、MHA等;

    15、企业级云计算0penstackKeystone、Glance、Nova核心组件、网络模块、块存储服务等;

    16、企业级大数据Hadoop运维实战列式数据库HBase基础原理、安装配置及其应用、Zookeeper集群构建、hadoop实现Namenode高可用;

    17、企业级虚拟化KVM实战 KVM环境:KVM的安装、配置及应用;

    18、NoSQL企业级应用 Nosql应用,如redis、MongoDB复制、集群等高级应用;

    19、企业级日志收集系统ELK实战海量数据曰志收集系统Elasticsearch+Logstash+kibana应用;

    20、可持续化集成 Jenkins+github企业级应用;

    21、虚拟化容器Docker Linux轻量虚拟化Docker,Docker的原理和安装,配置以及应用;

    22、企业级K8S实战组件功能、安装、配置、企业级应用场景和常见故障分析;

    23、Linux系统调优实战从内存、CPU、进程调度、磁盘IO、网络参数等全面讲解Linux系统调优;

    24、Python编程基础,Python安装、逻辑判断、模块使用等;

    25、综合能力提升表达能力、团队协作能力、执行能力、胜任力等;

    三、运维前景

    Linux运维工程师,在企业担负非常重要的环节,这也是Linux运维工程师这个岗位,薪资高原因,甚至到后期薪资会比开发高的多。有很多前期做网管,桌面运维或者技术支持的同学,到后期,基本都选择转Linux运维岗,随着云技术的推广,docker、K8s、DevOPS普及,低端的技术支持岗位,会慢慢被边缘化,取而代之的是会这些新技术的中高级运维工程师。我有很多朋友做运维,腾讯、百度、阿里这些厂商,对于优秀的运维工程师,给年薪50W的还是不难的。在一线城市,对于不少刚入门的新手,基本起薪也能达到7K-9K左右。下图招聘的薪资,也是不低的。

    在这里插入图片描述
    Linux运维工程师,总体来说,是比开发要好掌握一些,开发是要求比较高的数学能力,因为到后期,算法会成为很多人的天花板,Linux运维工程师学起来比较容易一些,都是实操类的学科,把命令、安装、配置和服务练熟。技术支持岗位往往到后期,都会选择晋升到Linux运维工程师。而且对于刚毕业的大学生来说,学习起来是非常顺手的,因为在学校的课程中,就包含了不少运维所需要的基本技能:操作系统、网络、数据库、Linux等。对于转行的人来说,Linux运维工程师的趣味性比较强一些,上手也更容易些,Linux运维是首选,上手容易趣味性强,薪资高,将来工作还轻松。

    想成为合格运维工程师,需要掌握不少技能,Linux运维工程师讲究的是广度,下面是年薪50W的Linux云计算工程师的学习路线图:
    在这里插入图片描述
    还需要结合视频去学习:
    在这里插入图片描述

    运维安全

    运维安全负责网络、系统和业务等方面的安全加固工作,进行常规的安全扫描、渗透测试,进行安全工具和系统研发以及安全事件应急处理。详细的工作职责如下所述。

    1.安全制度建立

    根据公司内部的具体流程,制定切实可行,且行之有效的安全制度。

    2.安全培训

    定期向员工提供具有针对性的安全培训和考核,在全公司内建立安全负责人制度。

    3.风险评估

    通过黑白盒测试和检查机制,定期产生对物理网络、服务器、业务应用、用户数据等方面的总体风险评估结果。

    4.安全建设

    根据风险评估结果,加固最薄弱的环节,包括设计安全防线、部署安全设备、及时更新补丁、防御病毒、源代码自动扫描和业务产品安全咨询等。为了降低可能泄露数据的价值,通过加密、匿名化、混淆数据,乃至定期删除等技术手段和流程来达到目的。

    5.安全合规

    为了满足例如支付牌照等合规性要求,安全团队承担着安全合规的对外接口人工作。

    6.应急响应

    建立安全报警系统,通过安全中心收集第三方发现的安全问题,组织各部门对已经发现的安全问题进行修复、影响面评估、事后安全原因追查。

    需要配置的工具包有:
    在这里插入图片描述

    独家视频:
    在这里插入图片描述

    看到这里的大佬,动动发财的小手 点赞 + 回复 + 收藏,能【 关注 】一波就更好了

    我是一名渗透测试工程师,为了感谢读者们,我想把我收藏的一些渗透测试干货贡献给大家,回馈每一个读者,希望能帮到你们。

    点此获取

    总结运维工程师需具备的技能:熟练掌握主机、网络及操作系统基本知识,在出现问题时可以及时解决问题。懂开发能实现自动化运维,将重复性的简单工作交给脚本程序处理提升工作效率。

    展开全文
  • 中级信息安全工程师重要知识点;软考。
  • 网络安全 零. 试题解析 1.分数分配 删去。。。。 2.IP分类复习 根据上图,我们可以推出下面的表 再筛选掉特殊的地址,就有如下的范围 P地址根据网络号和主机号来分,分为A、B、C三类及特殊地址D、E。 全0和全1的都...
  • 文章目录1.1网络发展现状与重要性认识1.3网络信息安全基本属性1.4网络信息安全墓帮与功能1.5 网络信息安全基本技术需求1.6 网络信息安全管理内容与方法1.7 网络信息安全法律与政策文件1.8 网络信息安全科技信息获取 ...
  • 1.设计(论文)的主要任务及目标随着教育教学的信息化发展,以信息化带动教育现代化,实现高校由传统高校向现代化高校转变,教学资源的网络化管理已经成为一种趋势.而随着高校招生规模的扩大,毕业生的数量逐年增多,毕业...
  • 工程伦理 2021-04-20

    千次阅读 2021-04-20 13:11:41
    目前对水利工程价值的伦理判断基本是遵循功利主义原则。() 本题得分:1分 正确答案:正确 3.多选题(2分) 强化()_手段,保证数据安全,是大数据应用的重要伦理法则。 A 技术 B 管理 ...
  • 文章目录CH01 软件与软件安全1.1 计算环境与软件1.1.1 计算环境1.1.2 二进制1.1.3 指令与指令集1.1.4 软件的形式和概念1.1.4.1 软件概念1.1.4.2 软件主要内容1.1.4.3 软件的形式1.2 信息安全与软件安全1.2.1 信息与...
  • 编译器 通过对计算机进行编程,可以完成核磁共振成像、声音识别、行星探索以及其他许多复杂的任务。值得注意的是,计算机执行的所有操作最终都要通过简单的CPU 指令完成,即归结为对数字的求和与比较。而Web 浏览器...
  • 但计算机专业个人认为比较好,学好以后可以转行另外两个专业,毕竟计算机语言是想通的,上手也不难,就计算机科学与技术专业学习的知识也比较杂,学习计算机语言好几个,c++, java,计算机软件工程,操作系统,逻辑数...
  • 非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
  • 土木工程对于人类的重要性都体现在哪里?土木工程的意义是什么?下面是建筑网带来的关于土木工程的重要性与意义的主要内容介绍以供参考。重要性与意义土木工程的目的是形成人类生产或生活所需要的、功能良好且舒适...
  • 搞不懂,只能收藏一下包不挂科 知识点总结 第一章: 软件工程定义: 1968年10月,Fritz Bauer 首次提出了“软件工程”的概念,并将“软件工程”定义为:为了经济地获得能够在实际机器上有效运行的可靠软件,而建立并...
  • 浅谈人工智能时代下的工程伦理问题

    万次阅读 多人点赞 2021-01-09 23:29:25
    浅谈人工智能时代下的工程伦理问题 一、引言 近年来,随着大数据基础设施建设以及人工智能技术的发展,社会中涌现出许多新技术,给人们带来更便捷的生活。但与其共生的道德风险问题也日益显著。人工智能道德风险即...
  • 工程师职级胜任力框架

    千次阅读 2020-12-30 11:32:32
    最近我有幸读到了Circle CI公司分享的工程胜任力矩阵,发现这份文档就是一份比较贴合互联网研发型企业的工程师职级胜任力框架,于是我在它的基础上,重新整理出了一份更适合国内工程师阅读的《工程师职级胜任力框架...
  • 如有兴趣投身于这一领域的研究,使它充分服务社会,将是对社会的一大贡献,也实现人生价值的一条很好的路径。我觉得这将是我以后选择职业的一条重要的参考路线。 这次做项目我也注意到了我们团队的一些缺点: 一、各...
  • 计算机网络对电子信息工程技术的应用论文第一篇【摘要】计算机工程的快速发展对人们的日常生活,学习,工作都起到了不可忽视的影响,渗透在社会的每一个角落。信息的全球化,多样化,社会化、网络化、全球经济的一体...
  • 软件工程

    千次阅读 2021-01-01 00:42:24
    软件工程整理 基于张海藩老师出版的《软件工程导论(第六版)》,简单整理软件工程各章知识。 第一章 软件工程学概述 1.1软件危机 1.1.1软件危机的介绍 软件危机是指在计算机软件的开发和维护过程中所遇到的一系列...
  • 原文发表于kubernetes中文社区,为作者原创翻译,原文地址 更多kubernetes文章,请多关注kubernetes中文社区 目录 什么是DevOps工程师? 角色与职责 DevOps工程师技能 沟通与合作 ...安全工程师..
  • 作为软件产业的支撑学科,软件工程研究如何帮助人们在软件开发过程中提升效率和质量,具有过程性、抽象性、综合性、复杂性等特征,学生难理解、难运用、难发挥,如何将各种经典和新兴软件工程真实案例穿插入教学内容...
  • 论文阐释了CAD技术在土木工程中应用的优缺点, 并且在此基础上, 提出了CAD在土木工程领域中的应用策略, 为之后的土木工程应用CAD技术提供参考, 能够推动基于CAD技术的土木工程健康稳定发展。关键词:CAD,土木工程,...
  • 复习提纲对应教材为《软件工程(第3版)》,清华大学出版社 软件工程定义 软件工程是应用计算机科学理论和技术以及工程管理原则和方法,安远和进度实现满足用户要求的软件产品的工程,或以此为研究对象的学科。 ...
  • 如何学好逆向分析及吕布传游戏逆向案例 [系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战 [系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向 [系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物...
  • 信息安全发展的三个阶段:通信保密,信息安全,信息保障 Wind River的安全专家则针对IoT设备安全提出了如下建议: 安全启动 设备首次开机时,理应采用数字证书对运行的系统和软件作认证; 访问控制 采用不同...
  • 当今世界,随着互联网技术的不断发展,网络安全也受到了人们的重视。近年来,中国的许多大学校园里都在普及网络安全的知识,让大学生拥有一个良好的上网规范。从今天起,小编准备带大家好好学习一下有关于网络安全的...
  • 一文读懂云安全

    2021-05-21 00:27:45
    新钛云服已为您服务1063天本文讨论如下问题:1.云安全和传统安全有什么区别2.云安全的挑战及应对3.如何衡量云安全水平4.如何构建有效的云安全团队5.公有云与私有云安全的区别6...
  • 本文主要梳理到公司参与团队后端开发2年多来,总结开发过的项目中遇到的各种安全问题及应对方案。 目前我们后端团队使用的技术主要还是SpringBoot + Mysql + Redis这一套 ,暂未涉及到SpringBoot Cloud,后面内容...
  • 信息安全管理

    2021-09-01 16:46:58
    信息安全管理一、信息安全管理概述二、信息安全风险管理1、信息安全风险2、风险管理三、信息安全事件与应急响应1、信息安全事件2、信息安全应急响应3、信息安全应急响应管理过程 一、信息安全管理概述 信息安全管理...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 45,004
精华内容 18,001
关键字:

安全价值工程的任务