安全基本准则
1)机密性
2)完整性
3)可用性
该课程属于 安全牛课堂2018年企业课程包 请加入后再学习
BCM业务连续性管理
无线防御最佳实践
配置接入点设置
防火墙
主要架构
1、屏蔽主机防火墙
2、多穴防火墙
3、屏蔽子网防火墙
代理服务器
用于客户端访问处理
可以充当网关,配置路由,安装软件防火墙充当防火墙代理
负载均衡器
高可用性
F5,集群eig
AES,RSA
数据存储加密
传输通道加密
89958199
due care
due diligence
1、安全定义与术语
脆弱性、威胁、风险、暴露、控制
安全模型:
- 状态机:只允许主题在安全状态中访问资源,并且在安全状态进行关闭和故障相应。保证数据完整性。
- Bell-laPadula:一种状态机模型;不能上读,不能下写(星属性);保证数据机密性;主客体都要有相同的数据标签
- Biba模型:保证数据完整性;不能上写,不能下读
- Clark-Wilson模型:防止未授权用户进行更改,防止授权用户进行不挣钱更改,维护内外部一致性
- 中国墙模型:防止用户访问被认为是有利益冲突的数据
包过滤防火墙:第一代,工作在OSI模型3层
有状态防火墙:维护状态表,记录通信内容
代理防火墙:应用级,电路级
防火墙基础架构:
- 双宿主机:堡垒机,
- 屏蔽主机:
- 屏蔽子网:
IPSec:AH,保证数据完整性; ES,保证数据完整性,机密性
安全联盟SA:记录每条IP安全通路的策略和策略参数
IPSec隧道模式:
- 可信计算机:包括安全内核
- 引用监控器
- 安全内核
安全特性:CIA, 真实性,可问责性,不可否认性,可靠性
- 属主
- 属组
Linux: Umask值设置
Windows: NTFS权限
架构设计安全
BS架构:browser/server
CS架构: client/ server
- 类Unix主机
- Windows主机
- 大型机
代理服务器:类似缓存池,提高浏览速度和效率
UTM: unified threat management 统一威胁管理
IPS: 主动中断,调整或隔离不正常或具有伤害性的行为
IDS:
字典攻击:更具有针对性,只针对字典里的密码进行破解
蛮力攻击/暴力破解:尝试所有可能的密码,没有针对性
防御:限制登录次数,黑名单机制,强密码策略
访问控制方法与技术
- 规则型访问控制
- 限制用户接口
模型
- 自主访问控制
ACL,由网络管理员设置
- 强制访问控制
基于“数据安全标签”
- 角色访问控制
基于不同的角色分配权限,
适用于人员流动频繁d
减少管理成本
身份识别-身份验证-权限访问控制-会话管理
IAM
- 身份识别
- 身份认证
- 访问控制
主机加固:
- 系统补丁
- 恶意设备检测防御
- TCB可信计算机(CISSP考点):包括硬件、固件、软件
- 安全基线:包括服务应用程序设置、操作系统组件配置、权限、权利分配等
- 补丁管理程序
- 日志审计
- 反恶意软件
- 虚拟化主机的安全:
- 云计算环境虚拟主机安全:资源共享带来的威胁
操作系统安全设置
- 服务管理:
- 配置防火墙
- 管理自动更新
- 补丁管理
- 开启日志审计
RAID 5提供高可用性
RAID 0 将2块硬盘作一块硬盘使用
