2021年2月11日
安全三原则:CIA三元组(保密性、完整性、可用性:Confidentiality、Integrity、Availability)
保密性:保障数据、客体或资源的保密状态。违反事件:未正确实现的加密传输、未身份验证、开放的非安全访问点、文件遗留在打印机上、访问终端还在显示数据的时候走开。
完整性:保护数据可靠性和正确性,防止未经授权的数据更改。措施:严格访问控制、身份验证、***检测、数据加密、散列值验证、接口限制、输入检查、人员培训。
可用性:授权主体被授予实时、不间断的客体访问。破坏事件:意外删除文件、滥用硬件和软件、资源分配不足、错误标记、错误客体分类。
AAA:
Authentication身份验证
Authoriztion 授权
Accounting/Audit 记账/审计
代表五项内容:
标识:用户名、卡号、流程ID...
身份验证:一个或多个因子认证
授权:访问矩阵
审计:追踪和记录主题的操作
记账:
保护机制:
分层:一个系统失效不会导致系统或数据暴露
抽象:提高效率
数据隐藏:
加密
安全管理计划:战略计划、战术计划、操作计划
组织的流程:
变更控制/变更管理
数据分类,常见分裂:政府/军事分类 商业/私营部门分类。
政府/军事分类:绝密、秘密、机密、敏感但未分类、未分类
商业/私营部门分类:机密、私有、敏感、公开
组织角色:高级管理员、安全专业人员、数据所有者、用户、审计人员
STRIDE(识别威胁,微软公司开发):
Spoofing欺骗、Tampering篡改、Repudiation否认、Information Disclosure 信息泄露、DOS拒绝服务、Elevation of Privilege特权提升
PASTA(模拟和威胁分析):
1.风险分析定义目标
2.定义技术范围DTS
3.分解和分析应用程序ADA
4.威胁分析TA
5.弱点和脆弱性分析WVA
6.建模与仿真AMS
7.风险分析和管理RAM
优先级排序:概率*潜在损失
本人课后作业,20题,对了16个。