CISP培訓筆記的內容

PPT信息安全保障10’信息安全保障中辦27號文《國家信息化領導小組關于加強信息安全保障工作的意見》室信息安全保障工作的綱領性文件信息的安全屬性CIA：保密性、完整性、可用性信息安全的范疇：信息技術問題、組織管理問題，社會問題，國家安全問題信息安全特征：系統(tǒng)性、動態(tài)性，無邊界性、非傳統(tǒng)性（最終保障業(yè)務的安全）信息安全問題根源：（信息戰(zhàn)士和網絡戰(zhàn)士是最嚴重的）內因，過程復雜、結構復雜、應用復雜外因，人（個人威脅、組織威脅、國家威脅）和自然信息安全發(fā)展階段通信安全COMSEC，信息竊取，加密，保證保密性、完整性計算機安全COMPUSEC，操作系統(tǒng)技術信息系統(tǒng)安全INFOSEC，防火墻、VPN、PKI公鑰基礎設施、信息安全保障IA，技術、管理、人員培訓等網絡空間安全/信息安全保障CS/IA，防御、攻擊、利用，強調威懾傳統(tǒng)信息安全的重點是保護和防御；信息安全保障是保護、檢測和響應，攻擊后的修復信息安全保障模型PDR防護--檢測--響應，安防措施是基于時間的，給出攻防時間表，假設了隱患和措施，不適應變化，時間PPDR策略--防護--檢測--響應，突出控制和對抗，強調系統(tǒng)安全的動態(tài)性信息安全保障技術框架IATF，深度防御的思想，層次化保護，人、技術、操作，關注4個領域：本地的計算機環(huán)境區(qū)域邊界網絡和基礎設施支撐性技術設施信息系統(tǒng)：每一個資質中信息流動的總和，含輸入輸出、存儲、控制、處理等。信息系統(tǒng)安全保障，從技術、管理、工程、人員方面提出保障要求信息系統(tǒng)安全保障模型GB/T20274保障要素4：技術、管理、工程、人員生命周期5：規(guī)劃組織、開發(fā)采購、實施交付、運行維護、廢棄安全特征3：保密性、完整性、可用性信息系統(tǒng)安全保障工作階段確保信息安全需求、設計并實施信息安全方案、信息安全測評、檢測與維護信息安全我國信息安全保障體系建立信息安全技術體系，實現國家信息化發(fā)展的自主可控信息安全保障實踐現狀美國CNNI《國家網絡安全綜合倡議》，3道防線1、減少漏洞和隱患，預防入侵2、全面應對各類威脅，增強反應能力，加強供應鏈安全低于各種威脅3、強化未來安全環(huán)境，增強研究、開發(fā)和教育，投資先進技術我國的信息安全保障戰(zhàn)略規(guī)劃，信息安全分：基礎信息網絡安全、重要信息系統(tǒng)安全和信息內容安全信息安全保障工作方法，信息系統(tǒng)保護輪廓ISPP（所有者角度考慮安保需求），信息系統(tǒng)安全目標ISST，從建設方制定保障方案確定信息系統(tǒng)安全保障的具體需求：法規(guī)符合性、風險評估、業(yè)務需求（只放前2個也對）信息安全測評對象：信息產品安全測評、信息系統(tǒng)安全測評、服務商資質、信息安全人員資質測評信息系統(tǒng)安全測評標準過程測評標準：GB/T20274產品安全測評標準：CCGB/T18336

我國的信息安全標準基礎標準、技術與機制標準、管理標準、測評標準、密碼技術標準、保密技術標準技術與機制：標識與鑒別、授權與訪問控制、實體管理、物理安全TCSEC美國安全評測標準低到高D、C（C1\C2）、B（B1\B2\B3）AB1開始強制訪問控制，B2開始隱蔽信道控制ITSEC歐洲的評測標準FC美國聯(lián)邦標準CC標準GB/T18336信息技術安全性評估準則，主要框架取自ITSEC和FC，不涉及評估方法學，重點關注人為威脅，定義了保護輪廓PP和安全目標ST，PP創(chuàng)建安全要求集合，ST闡述安全要求，詳細說明一個TOE評估對象的安全功能CC分3部分，18336.1/.2/.3簡介和一般模型；認證級別，即評估保證級EAL由低到高為7個級別。目標讀者：TOE（評估對象）的客戶，TOE的開發(fā)者，TOE的評估者，其他讀者組件是構成CC的最小單元評估對象，涉及產品、系統(tǒng)、子系統(tǒng)包：滿足一組確定的安全目的而組合在一起的一組可重用的功能或保證組件,如EAL《信息安全等級保護管理辦法》等級保護標準族的5級劃分2級以上到公安機關備案，3級開始對國家安全造成損害定級指南：受侵害的客體，客體的侵害程度定級、備案、安全建設整改、等級測評、檢查NISTSP800，應用于美國聯(lián)邦政府和其他組織，6個步驟信息安全風險管理風險是威脅源利用脆弱性造成資產不良的可能性，發(fā)生概率和產生后果。風險三要素：資產、威脅、脆弱性風險的構成5方面起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產）、后果（影響）信息安全風險只考慮對組織有負面影響的事件風險管理范圍和對象：信息、信息載體、信息環(huán)境風險管理是識別、控制、消減和最小化不確定因素的過程，風險只能消減，不能消除《關于開展信息安全風險評估工作的意見》國辦要求一次等保測評2個報告等保測評報告（公安部）和風險評估報告（國家信息安全測評中心發(fā)布的模板）IS風險管理的主要內容，4階段、2貫穿背景建立、風險評估、風險處理、批準監(jiān)督；監(jiān)控審查、溝通咨詢背景建立四個階段風險管理準備：確定對象、組建團隊、制定計劃、獲得支持、信息系統(tǒng)調查：信息系統(tǒng)的業(yè)務目標、技術和管理上的特點信息系統(tǒng)分析：信息系統(tǒng)的體系結構、關鍵要素信息安全分析：分析安全要求、分析安全環(huán)境風險評估要素識別：威脅識別、脆弱性識別、識別已有的控制措施風險處理-處置方法，（注意順序）接受風險、降低風險（安全投入小于負面影響價值的情況下采用）、規(guī)避風險、轉移風險批準監(jiān)督批準，殘余風險可接受，安措能滿足業(yè)務的安全需求；監(jiān)督，環(huán)境的變化監(jiān)控審查和溝通咨詢需貫穿整個階段，監(jiān)控過程有效性、成本有效性、審查結果有效性和符合性信息安全風險管理主要內容風險評估形式自評估為主，自評估和檢查評估相互結合、相互補充國企以自評估為主，自評估、檢查評估都可以委托第三方繼續(xù)風險評估方法定性風險分析方法，定量風險分析方法，半定量風險分析方法定性分析矩陣法，根據后果的可能性和影響作交叉定量分析評估資產AV確定單次預期損失額SLE，一種風險帶來的損失，暴露系數EFSLE=AV*EF確定年發(fā)生率ARO，一年中風險發(fā)生的次數年度預期損失ALEALE=SLE*ARO安全投資收益ROSIROSI=實施前的ALE–實施后的ALE–年控制成本半定量分析相乘法，在矩陣法上改進，影響和可能性賦值后相乘風險評估實施流程風險評估準備：計劃、方案、方法工具、評估準則等風險要素識別：資產、威脅、脆弱性識別與賦值，確認已有的安措風險分析：如下公式風險結果判定：評估風險的等級，綜合評估風險狀況信息安全法律框架人大頒布法律，憲法、刑法、國家安全法、國務院--行政法規(guī)，地方人大--地方性法規(guī)；地方人民政府--規(guī)章（條例、辦法）刑法-286、286、287條285：侵入，3年以下286：破壞，287：利用計算機進行犯罪，《治安管理處罰法》，未構成犯罪，15天--1月《國家安全法》，《保守國家秘密法》，國家保密局出版，國家秘密：，可以不受時間約束，但需制定解密條件。涉密人員，脫密期自離崗之日算絕密30年機密20年秘密10年泄露國家機密就是犯罪，無故意、過失之分國家秘密：國家安全和利益，一招法定程序確定，一定時間內限一定范圍人員知道的《電子簽名法》，第一步信息化法律，屬于電子簽名專人所有；由其控制；電子簽名的任何改動都能夠被發(fā)現；數據電文內容和形式的任何改動能夠被發(fā)現《計算機信息系統(tǒng)安全保護條例》，行政法規(guī)，公安部主管相關保護工作?！渡逃妹艽a管理條例》，涉及國家秘密，技術屬于國家秘密，不對個人使用密碼使用進行約束，國家密碼管理委員會《信息自由法》《國家信息化領導小組關于加強信息安全保障工作的意見》27號文，提出5年內的保障體系，主要原則2級以上系統(tǒng)備案，3是CISP職業(yè)道德維護國家、社會和公眾的信息安全誠實守信，遵紀守法努力工作，盡職盡責發(fā)展自身，維護榮譽應急響應與災難恢復應急響應組織有5個功能小組：領導小組、技術保障小組、專家小組、實施小組和日常運行小組CERT計算機應急響應組，美國的。FIRST事件響應與安全組織論壇CNCERT國家計算機網絡應急技術處理協(xié)調中心信息安全事件7類，4個級別，1-4，特別重大事件，重大事件，較大事件，一般事件。分級3要素：信息系統(tǒng)的重要程度，系統(tǒng)損失，社會影響；應急響應的6個階段準備、確定資產和風險，編制響應計劃，檢測、確認事件是否發(fā)生遏制、限制影響范圍根除、依據計劃實施根除恢復、跟蹤總結計算機取證5步驟準備、保護、提取、分析、提交應急響應計劃的幾個階段應急響應需求分析應急響應策略的確定編制應急響應計劃文檔應急響應計劃的測試、培訓、演練和維護DRP災難恢復計劃、DCP災難恢預案、BCM業(yè)務連續(xù)性管理BCP業(yè)務連續(xù)性計劃，包含：業(yè)務恢復計劃、運行連續(xù)性計劃COP、事件響應計劃IRP、應急響應計劃ERP、人員緊急計劃OEP、危機溝通規(guī)劃CCP、災難恢復計劃RPO恢復點目標，系統(tǒng)和數據必須恢復到的時間點要求，代表數據丟失量RTO恢復時間目標，系統(tǒng)從停頓到恢復的時間要求，備份、備份數據的測試，是恢復的基礎災難恢復規(guī)劃災難恢復需求分析：風險分析RA、業(yè)務影響分析BIA、確定恢復目標災難恢復策略制定：制定恢復策略災難恢復策略實現：實現策略災難恢復預案的制定和管理，落實和管理災難恢復級別，由低到高分6級，1最低，7個資源要素第1級：基本支持第2級：備用場地支持第6級：數據零丟失和遠程集群支持災難恢復—存儲技術DAS直接附加存儲、NAS網絡附加存儲、SAN存儲區(qū)域網絡災難恢復—備份技術全備份、增量備份（僅備份數據）、差分備份（全備后的增備，數據和文件）備份場所冷站（有空間，基礎設施，無設備），溫站（包含部分或所有的設備、資源），熱站（包含了所有設備）數據備份系統(tǒng)備份的范圍、時間間隔、技術和介質、線路速率及設備的規(guī)格教育、培訓和演練在災難來臨前使相關人員了解災難恢復的目標和流程，熟悉恢復操作規(guī)程根據演練和演習的深度，可分為數據級演練，應用級演練，業(yè)務級演練等說道ISO27001：2013信息安全工程CMM能力成熟度模型，面向工程過程的方法，定義了5個成熟度等級初始級、可重復級、已定義級、已管理級、優(yōu)化級信息安全工程解決的是“過程安全”問題信息安全建設必須同信息化建設“同步規(guī)劃、同步實施”，“重功能、輕安全”，“先建設、后安全”都是信息化建設的大忌系統(tǒng)工程思想，方法論，錢學森提出，涵蓋每一個領域霍爾三維結構，時間維、知識維、邏輯維項目管理，有限資源下，對項目的全部工作進行有效管理信息安全工程實施，5個階段發(fā)掘信息保護需求、定義系統(tǒng)安全要求、設計系統(tǒng)安全體系結構、開發(fā)詳細安全設計、實現系統(tǒng)安全需求階段要建立確認需求，實施階段不要確認需求信息安全工程監(jiān)理模型3個組成：監(jiān)理咨詢階段過程、監(jiān)理咨詢支撐要素、管理和控制手段、管理和控制手段：質量控制、進度控制、成本控制、合同管理、信息管理、組織協(xié)調SSE-CMM系統(tǒng)安全工程能力成熟度模型，強調過程控制，評估方法SSAM幫助獲取組織選擇合格的投標者幫助工程組織改進工程實施能力幫助認證評估組織獲得評估標準SSE-CMM體系結構，兩維模型橫向“域”維，表示需執(zhí)行的安全工程過程；由過程區(qū)域PA構成。基本實施BP構成過程區(qū)域PA（22個）再構成過程類（安全工程過程類、組織管理過程類、項目管理過程類），安全工程類描述安全直接相關的活動縱向“能力”維，表示執(zhí)行域維中各PA的能力成熟度級別，由公共特性CF組成。通用實施GP構成公共特征CF再構成能力級別（6個級別，0-5），0未實施1非正規(guī)執(zhí)行，個人的成熟角度上2計劃與跟蹤，項目成熟的角度上，帶執(zhí)行的都是2級的（計劃、規(guī)范化、跟蹤、驗證執(zhí)行）3充分定義，組織層面的成熟4量化控制5持續(xù)改進信息安全工程過程類11個PA，分成風險過程4（評估威脅、評估脆弱性、評估影響、評估安全風險）、工程過程5（確定安全需求、提供安全輸入、管理安全控制、監(jiān)控安全態(tài)勢、協(xié)調安全）、保證過程2（驗證和證實安全、建立保障論據）保證過程是指安全需要得到滿足的信任程度，驗證和證實安全為建立保證論據提供支撐數據采集方法：問卷、訪談、證據復審；SSAM評估過程：規(guī)劃、準備、現場、報告

安全漏洞與惡意代碼漏洞的定義存在于評估對象（TOE）中違反安全功能要求的弱點（1999年，ISO/IEC15408（GB/T18336）業(yè)務數據不是漏洞的載體，漏洞本身不會產生危害漏洞發(fā)現靜態(tài)漏洞挖掘（不運行，有源代碼）、動態(tài)漏洞挖掘（運行）動態(tài)挖掘：模糊測試、動態(tài)污染傳播補丁分類：文件類型方面（源代碼形式、二進制形式），內存角度（文件補丁、內存補?。阂獯a病毒：可感染，傳播性，非獨立性蠕蟲：可感染，獨立型，木馬：非傳染性，獨立型后門：非傳染，C/S，B/S沖擊波（MSBlaster）感染后，不能正常瀏覽網頁，系統(tǒng)不斷重啟，右擊功能失效震蕩波感染后，系統(tǒng)倒計60秒重啟隨系統(tǒng)啟動而加載、隨文件執(zhí)行加載注冊表HK_LocalmachineHK_CurrentUser惡意代碼檢測技術特征碼掃描、沙箱技術、行為檢測病毒不感染txt文檔蜜罐、蜜網士大夫軟件安全開發(fā)SDL安全開發(fā)生命周期，將軟件開發(fā)生命周期分為7個階段（培訓、要求、設計、實施、驗證、發(fā)布、響應），17項安全活動。MiniFuzz是動態(tài)分析工具SSF軟件安全框架：監(jiān)管、信息/情報、SSDL接觸點、部署CLASP綜合的輕量應用安全過程SAMM4個核心業(yè)務功能：治理、構造、驗證、部署，4個成熟度級別0-3安全設計階段尤為重要所有的驗證工作須放在服務器端，STRIDE建模S假冒身份/欺騙標識T篡改數據R抵賴I信息泄露D拒絕服務E權限提升EIP指令指針寄存器，棧是由程序自動生成的緩沖溢出解決方法編碼避免緩沖區(qū)溢出、使用替代的安全函數或庫函數、使用更新更安全的編譯環(huán)境、非執(zhí)行的堆棧防御代碼審核Coverity審核CFortify審java滲透測試是授權的，入侵是非授權的日志的相關概念瀏覽安全攻擊與防護嗅探、監(jiān)聽、釣魚屬于被動攻擊手段黑客攻擊的最后動作：清除痕跡端口號DNS53，url查詢時使用UDP53，DNS域傳送使用TCP53FTP21，TCP協(xié)議HTTP80,TCPTELENT23,TCPSMTP25,TCPPOP3110，TCPSNMP161\162，UDP集成化的漏洞掃描器NessusShadowSecurityScannereEye的RetinaInternetSecurityScannerGFILANguard專業(yè)web掃描軟件IBMappscanAcunetixWebVulnerability數據庫漏洞掃描器ISSDatabaseScanneroscanner Oracle數據庫掃描器Metacoretex 數據安全審計工具ARP欺騙實現的重要原因無狀態(tài)、無需請求可以應答，以ARP緩存實現拒絕服務攻擊SYNFlood、UDPFlood、Teardrop、Pingofdeath（smnp協(xié)議）、Smurf、LandSQL注入在服務器端執(zhí)行，因對用戶的輸入合法性沒有進行過濾SQL注入防御：白名單、黑名單、部署防SQL注入系統(tǒng)或腳本跨站腳本在瀏覽器上執(zhí)行，攻擊瀏覽器日志狀態(tài)代碼描述

拒絕服務攻擊攻擊通信方式：雙向通信方式、單向通信方式、間接通信方式私有IPA類–55B類–55C類.–55ICMPflood是ping風暴攻擊，單純向受害者發(fā)送大量ICMP回應請求消息DOS工具Trinoo分布式DOS工具BotNET傀儡網絡，IRC協(xié)議，端口TCP6667蠕蟲的攻擊手段，緩沖區(qū)溢出攻擊、格式化字符串攻擊、拒絕服務攻擊、弱口令攻擊方法鑒別與訪問控制鑒別類型單項鑒別（輸密碼）、雙向鑒別（證書）、第三方鑒別鑒別系統(tǒng)的組成被驗證者 P；驗證者V；可信賴者TP，參與鑒別鑒別的方法基于你所知道的（口令、挑戰(zhàn)-應答）、基于你所擁有的（物品，如磁卡，IC卡）、基于你的個人特征（筆記、虹膜、指紋、人臉、語音）雙因素、多因素認證（銀行卡取款是多因素）硬件存儲器加密，不保存任何明文軟件通過雙因素認證支持DES對稱加密、3DES非對稱加密和RSA等密碼算法錯誤的拒絕率可以最大化防止侵入CER交叉錯判率，錯誤的拒絕率和錯誤接受率構成訪問控制：針對越權使用資源的防御措施訪問控制模型：自主訪問控制、強制訪問控制、基于角色的訪問控制訪問控制的過程：鑒別、授權用戶等級（主體）≥信息等級（客體），能讀用戶等級（主體）≤信息等級（客體），能寫訪問控制模型的組成：主體、客體、訪問控制實施、訪問控制決策訪問控制模型DAC自主訪問控制模型：矩陣模型，行是訪問權限，列式操作權限。訪問控制表ACL（在客體），集中式系統(tǒng)、訪問能力表CL（在主體），分布式系統(tǒng)。優(yōu)缺點ACL，包括主體的身份及對該客體的訪問權CL，表示每個主體可以訪問的客體和權限訪問控制表如下訪問能力表如下MAC強制訪問控制模型：主體和客體固有的安全屬性來匹配訪問，安全標簽，主體BLP（Bell-LaPadula）模型，基于保密性，比較主、客體安全級控制訪問權限，策略：自主安全策略（類似DAC）、強制安全策略（類似MAC），主、客體分配安全級（密級，范疇）·簡單安全特性（向下讀）：主體讀客體，當主體≥客體·*-特性（向上寫）：主體寫客體，當主體≤客體Biba模型，基于完整性，主、客體分配完整級（安全等級，范疇），例如上級給下級寫文件主體讀客體，當主體≤客體主體寫客體，當主體≥客體，Clark-Wilson模型，完整性，數據中間件，廣泛用在數據庫中ChineseWall模型，混合型，定義利益沖突關系，沖突域RBAC基于角色訪問控制模型，用戶、角色、會話、權限角色被激活后才能使用，通過會話激活，最小特權原則、職責分離原則DAC\MAC比較MAC安全性更高，用戶共享方面不靈活單點登錄技術，只需在登錄時進行一次注冊，就可以訪問多個系統(tǒng)，實際是憑證在系統(tǒng)間傳遞優(yōu)點：方便用戶、方便管理員、簡化應用系統(tǒng)開發(fā)集中控制訪問技術Kerberos認證協(xié)議，采用對稱加密技術，單點登錄，支持雙向身份認證：組成：應用服務器、客戶端、KDC（KDC維護所有賬號信息）使用需要有一個時鐘基本同步的環(huán)境。密鑰分發(fā)中心KDC組成：KDC密鑰分發(fā)中心（認證服務器AS、票據授權服務器TGS）、票據許可票據TGT認證過程獲得票據許可票據TGT獲得服務許可票據SGT獲得服務AS認證后獲得TGT，訪問TGS獲得SGT訪問服務器RADIUS協(xié)議，C/S結構，UDP協(xié)議，認證、授權、記賬（AAA），UDP端口1812認證、1813計費。除口令外其他明文傳輸，安全性不高，缺少丟包和重傳TACACS+協(xié)議TCP協(xié)議，實質是訪問控制技術，報文加密，重傳機制，實時性較差Diameter，RADIUS的升級版，安全性高非集中訪問控制域每個域的訪問控制與其它域保持獨立跨域訪問必須建立信任關系，用戶可以從一個域訪問另一個域中的資源信任可以是單向的，也可以是雙向的訪問認證的過程標識、認證、授權、集合安全審計記錄系統(tǒng)被訪問的過程以及系統(tǒng)保護機制的運行狀態(tài)發(fā)現試圖繞過保護機制的行為及時發(fā)現用戶身份的變化；報告并阻礙繞過保護機制的行為并紀錄相關過程，為災難恢復提供信息審計系統(tǒng)的組成日志記錄器、分析器、通告器蜜網吸引入侵者來嗅探、攻擊。數據控制、數據捕獲、數據分析網絡安全OSI應用層：應用接口、流控、網絡訪問流處理、錯誤分析等FTP、Telnet、HTTP、SNMP、SMTP、DNS等表示層：協(xié)議轉換、字符轉換、數據加解密，數據格式：ASCII,MPEG,TIFF,GIF,JPEG會話層：會話建立、位置、終止傳輸層：提供端到端的數據傳輸服務，建立邏輯連接，TCP、UDP、SPX網絡層：邏輯尋址IP、路徑選擇，路由器、三層交換機，IP、IPX數據鏈路層：分為LLC/MAC：LLCIEEE802.2提供統(tǒng)一接口；MAC48比特IEEE802.3。PPP\HDLC\FR\FDDI\Ethernet物理層：OSI模型和TCP/IP協(xié)議比對，封裝由上至下，解封由下至上TCP/IP協(xié)議IP協(xié)議不可靠、無連接，TCP提供可靠的服務，UDP無連接、不可靠拒絕服務：分片攻擊teardropDNS實用TCP和UDP協(xié)議802.11i運行四階段發(fā)現AP階段802.11i認證階段密鑰管理階段安全傳輸階段WAPI無線局域網認證和保密基礎設施，采用數字證書和橢圓曲線公開密鑰，客戶端和AP的雙向認證防火墻控制，在網絡連接點上建立一個安全控制點，對進出數據進行限制隔離，將需要保護的網絡與不可信任網絡進行隔離，隱藏信息并進行安全防護記錄，對進出數據進行檢查，記錄相關信息按形態(tài)分硬件、軟件；按技術分包過濾、代理；按系統(tǒng)結構：雙宿/多宿主機，屏蔽主機、屏蔽子網（安全性最高）實現技術包過濾技術，網絡層依據數據包的基本標記來控制數據包網絡層地質IP、傳輸層地質（端口）、協(xié)議，不檢測有效載荷代理網關技術，電路級代理、應用代理（可以限制協(xié)議的命令級輸入）NAT，私有地址轉化為合法IP的技術靜態(tài)地址轉換動態(tài)地址轉換端口轉換狀態(tài)檢測技術，在數據鏈路層和網絡層之間對數據包進行檢測自適應代理技術應用網關防火墻可以根據輸入信息控制訪問能力防火墻部署方式路由模式、透明模式、混合模式防火墻的不足難于管理和配置，易造成安全漏洞防外不防內，不能防范惡意的知情者只實現了粗粒度的訪問控制很難為用戶在防火墻內外提供一致的安全策略不能防范病毒入侵檢測系統(tǒng)，自身不具有阻斷能力技術架構事件產生器：采集和監(jiān)視被保護系統(tǒng)的數據事件分析器：分析數據，發(fā)現危險、異常事件，通知響應單元響應單元：對分析結果作出反應事件數據庫：存放各種中間和最終數據檢測過程信息收集、入侵分析、告警響應分類根據檢測原理異常檢測技術（可以檢測未知攻擊，會誤報）、誤用檢測技術（特征檢測，只能檢測已有入侵，會漏報）根據數據來言主機入侵檢測安裝在主機上，跨平臺，適應加密環(huán)境，消耗主機資源、升級和管理繁瑣網絡入侵檢測通過旁路模式部署在關鍵節(jié)點，不影響主機性能，不能夠檢測加密數據報文，不能對協(xié)議進行修改網閘，傳輸數據或文件，不傳輸流，物理隔離網絡間傳遞數據入侵防御系統(tǒng)IPS，串聯(lián)在系統(tǒng)中，單點故障SOC安全管理平臺，集中監(jiān)控UTM統(tǒng)一威脅管理系統(tǒng)，串行，單點故障子網不算安全域VLAN劃分方法基于端口劃分的VLAN基于MAC地址劃分VLAN基于網絡層劃分VLAN根據IP組播劃分VLAN路由器的訪問控制列表以數據包的源地址作為判斷條件操作系統(tǒng)安全SAM安全賬號管理器使用哈希散列SHA1Bitlock對整個操作系統(tǒng)卷加密，解決物理丟失安全問題日志授權，administrato只能對日志讀操作，system寫操作，用戶不能操作日志。異地存儲是保證日志完整性最有效的方法Guest只能禁用，不能刪除服務/etc/password用戶管理文件/etc/shadow加密后的用戶管理文件Linux系統(tǒng)，用戶標識號UID，身份標識號GID文件必須有所有者用戶必須屬于某個或多個組用戶與組的關系靈活（一對多、多對多等都可以）根用戶擁有所有權限用戶賬號影子文件shadow僅對root可讀可寫文件\目錄權限維護不一定適用root賬戶TCB可信、計算、基保護計算的保密性，是數據庫及應用安全數據庫審計，事務日志，解決的是完整性約束的問題數據庫日志，審計用用戶級審計、系統(tǒng)級審計實體完整性（主鍵定義）、參照完整性（外鍵定義，關聯(lián)）HTTPS端口443，回話過程包括加密、身份認證Apache安全配置文件Httpd.confaccess.confIP欺騙關鍵步驟，拆解回話序號網頁防篡改原理備份文件對比摘要文件對比刪改操作觸發(fā)系統(tǒng)底層過濾SMTP用于郵件發(fā)送，POP3用于郵件接收郵件安全應用安全協(xié)議：PGP，早期使用IDEA的算法，主要用于郵件；現在使用RSA算法。X.400信息出路服務協(xié)議FTP端口20控制連接，21數據連接