物理层，数据链路层，网络层，传输层，会话层，表示层，应用层

信息安全支撑技术：密码学、密码学、访问控制模型（DAC自主访问控制、MAC强制访问控制、角色的访问控制）

windows---安全标识符：

1、500、1000---系统管理员

     501---GUEST

2、

OSI七层模型：

1、物理层：

2、数据链路层：物理寻址（ARP、RARP--逆ARP协议）

3、网络层：路由寻址

4、传输层：建立逻辑连接

5、会话层：会话

6、表示层：数据加解密（ ）

7、应用层：应用处理（应用协议）

TCP/IP

1、网络接口层

2、互联网络层

3、传输层

4、应用层

物理安全：

1.  27001：机房安全，客户环境；
2. 等保安全：机房（数据中心）；
3. 机房：设备间、电池UPS间、动力间】、视频间；
4. 信息系统安全的基础；
5. 同城：几十公里；异地：百公里；
6.  
7.  

软件安全开发

模型：

瀑布模型-需求明确（只能回退一步）

迭代模型-适应需求变化（多次迭代，一次交付）

增量模型-迭代方式不一样，每次交付都是可操作产品

快速原型-需求不明确，增量过程中需要用户参加提需求

净室模型-成本高，零缺陷或接近零缺陷

软件缺陷：千行代码缺陷量：千分之三

国家漏洞库

SDL（security Development lifestyle）安全开发生命周期

七个阶段（5+2）

是气象必须的安全活动（5个阶段）

培训-要求-设计-实施-验证-发布-响应

应急响应

1、准备-确定重要资产及风险、编制响应计划、筹备相关资源

2、检测-确定事件性质及影响-事件通告

3、遏制

4、根除

5、恢复

6、跟踪总结-应急响应报告：事件描述、起因、处理、依据

灾备

RPO：可以定义为o，但无法绝对做到

RTO：无法为0

存储技术：

DAS--直接附加存储-大容量

NAS--网络附加存储-有独立IP

SAN--存储区域网络

备份技术：

备份速度：增量备份》差异备份〉完整备份

恢复速度：相反

增量备份-清楚备份标记

差异备份

RAID（容错、效率）

RAID-1:镜像

RAID2-6:校验

RAID5：最少三块磁盘，最多只能坏一块，替换后会自动同步

RAID10、01：最少4块磁盘

备用场所

镜像站：冗余站点、成本最高

冷站、温站、热站：租赁

灾难恢复规划的管理过程

1、灾难恢复需求分析：风险分析、业务影响分析、确定灾难恢复目标（RTO、RPO）

2、制定灾难恢复策略

3、实现灾难恢复策略

4、灾难恢复预案制定、落实和管理（培训、演练、更新）

PDCA循环（plan do check act）：顺序执行、持续改进

ISMS评审

内部评审：ISMS项目小组发起

管理评审：领导层发起

安全控制措施内部结构

14个类别、35个目标、114个控制措施

A.5 信息安全方针（决策层）

A.6 信息安全组织（内部组织、移动设备与远程办公）

A.7 人力资源安全（任用前、中、终止和变化）

A.8 资产管理（资产清单及负责人、信息分类及标记、介质处理及废弃）

A.9 访问控制（防止未授权访问）

A.10 加密技术

A.11 物理和环境安全

A.12 操作安全（审计）

A.13 通信安全（网络隔离、信息交换）

A.14 系统的获取、开发及维护

A.15 供应商关系

A.16 信息安全事件管理（事态报告）

A.17 业务连续性管理中的信息安全

A.18 符合性（法律和合同、信息安全审核）

24264《信息安全风险管理指南》

过程文档化

背景建立

风险评估

风险处理：将风险控制在可接受的范围内

处理方式：降低（漏洞）、规避（代替）、转移（外包）、接受风险

批准：机构决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，作出是否认可风险管理活动的决定

监督：检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险

贯穿全过程：沟通咨询、监控审查

监督审查的内容

a、审查过程有效性

1、过程是否完整和有效的被执行

2、输出文档是否齐全和内容完备

b、审查成本有效性：执行成本与所得效果相比是否合理

c、审查结果有效性

1、输出结果是否符合信息系统的安全要求

2、输出结果是否因信息系统自身或环境的变化而过时

1985年 可信计算机系统评测标准TCSEC（橘皮书）

安全标准cc：iso15408

GB/T：18436

操作系统的安全度量标准

1、OS

2、保密性

3、军用

4、BLP模型

TCSEC标准：

A、验证保护

B、强制访问控制级

【B1标记、B2结构化、B3安全域】B具有强制性安全保护

C、自主访问型

（DAC ）【C1任意安全保护、C2受访问控制且商用：C2系统具有C1系统中所有的安全性特征】

D、安全性最小（DOS、win98）

IDS：误用检测技术（特征）、异常检测技术（行为）

cain

等保 物理环境   机房

27001  物理安全  机房  办公环境

设备间  电池间  动力间  视频监控

异地  数百公里

同城  几十公里

GB50174 

典型攻击：syn flood

应用层协议：

应用层安全问题：

典型攻击：dns欺诈

基于tcp/ip协议簇的安全架构：

下一代互联网协议-ipv6：

ipv6报文机构：

无线通信安全：

无线技术：

无线局域网安全协议-wep：

无线局域网安全协议-wpa，wpa2

wapi无线安全协议：

无线协议间的比较：

无线入侵方式：

无线局域网应用安全策略：

近距离无线通信安全-蓝牙：

近距离无线通信安全-rfid：

典型网络攻击与防范：

ids考点：

ids局限性：

安全隔离与信息交换系统（网闸）：

ipsec协议考点：

总结：

osi七层模型：

物数网传是底层协议

会表应是高层协议

物理层的概念：

数据链路层：

网络层：

传输层：

会话层：

表示层：

应用层：

osi模型特点：

数据封装是由上到下：

数据解封是由下到上：

osi安全体系结构：

tcp/ip模型（背会osi七层和tcp四层）：

tcp/ip协议族结构：

网络接口层：

典型攻击arp：

apr协议的工作过程：

cain可进行arp欺诈：

如何防御arp欺诈：

arp-s 直接使用静态arp绑定ip地址和mac

网络互连层核心协议：

网络互联层安全问题：

IP欺骗：

传输层协议-tcp：

tcp首部端口号：

tcp三次握手过程：

传输层-udp协议：

传输层安全问题：

恶意代码行为特征：

  1、开机自启动（10%）；2、数据外发（20%）；3、keylog（30%）；4、文件隐藏（30%）

行为检测：设定阈值，当特征达到阈值时判断为病毒

场地选择：

  区域：避开自然灾害高发地区

  环境：原理可能的危险因素

      治安、人流量、加油站、化工厂

  其他：近消防、交通便利

SYN Flood攻击：伪造虚假地址连接请求，使用虚假地址与主机建立半开连接（只完成了三次握手中的两次），消耗主机连接数，导致主机无法正常工作

应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文。

应用层协议安全问题：
拒绝服务：超长URL链接
欺骗：XSS跨站脚本、钓鱼式攻击、cookie欺骗获取数据：SQL注入
窃听：数据泄漏
伪造：应用数据篡改
暴力破解：应用认证口令暴力破解等

DNS欺骗：攻击者冒充域名服务器的一种欺骗行为，攻击者将用户想要查询的域名对应的IP地址改成攻击者的IP地址，当用户访问这个域名时，访问到的其实是攻击者的IP地址，这样就达到了冒名顶替的效果。

DNS解析污染，就是黑客用假的IP地址冒充真的域名对应的地址，存入DNS服务器

风险评估准备阶段：

（1）风险评估计划书；

（2）风险评估方案；

（3）入选风险评估方法和工具列表；
风险要素识别阶段：

（1）保护资产清单；

（2）面临的威胁列表；

（3）存在的脆弱性列表；

（4）已有的安全措施列表；

风险分析阶段：

（1）风险计算报告；

风险结果判定阶段：

（1）风险程度等级列表；

（2）风险评估报告；

总风险=资产&威胁&脆弱性

残余风险=总风险-控制措施；

资产分类：

GB/T 20984 2007 （以前的老标准）：数据、软件、硬件、服务、人员、其他；

GB/T 20984 2022 （新标准）：业务资产、系统资产、系统组件和单元资产；

资产价值：业务对资产的依赖程度，资产在CIA三属性达成的程度；

威胁：威胁源、动机、能力、可能性、途径、评率；