1、信息安全发展的五个阶段:
通信安全保密性完整性
信息安全信息存储处理传输安全综合通信和计算机安全
信息安全保障体系信息和信息系统资产保密完整可⽤性
⽹络空间安全从保障到防御攻击利⽤
2、信息系统的基本概念:
信息系统是集数据录⼊、存储、加⼯为⼀体,传递信息、知识和数字产品的完整体系。
商业公司和其他组织,通过信息系统来实现业务管理,为顾客和供应商提供信息交互,圆满完成各类业务。构成要素:
环境主体客体
架构模型:
应⽤业务软件——应⽤平台软件——操作系统平台软件——硬件
系统风险是指系统遭受意外损失的可能性
风险来源:
1.威胁
2.⾃⾝脆弱性
3.应对威胁失策
威胁分类:
1.破坏
2.泄漏
3.假冒否认
脆弱性根源:
1.信息本源脆弱性
2.系统结构脆弱性
无线抄表3.攻防不对称
信息系统脆弱性表现:
1.硬件组件物理安全
2.软件组建漏洞
电阻加热炉3.通信协议协议缺陷
信息系统安全:
与⼈、⽹络、环境有关的
技术安全、结构安全和管理安全
的总和,旨在确保
在计算机⽹络系统中进⾏⾃动通信、处理和利⽤的、以电磁信号为主要形式的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,始终具有
可信性、机密性、完整性、可⽤性、和抗抵赖性等安全特质。
PDRR模型:
保护采⽤⼀切⼿段(主要指静态防护⼿段)保护信息系统的五⼤特性
检测检测本地⽹络的安全漏洞和存在的⾮法信息流,从⽽有效阻⽌⽹络攻击
恢复及时恢复系统,使其尽快正常对外提供服务,是降低⽹络攻击造成损失的有效途径响应对危及⽹络安全的事件和⾏为做出反应,阻⽌对信息系统的进⼀步破坏损失降到最低
资产损失:
资⾦
形象
业务
⼈员
资产损失形式:
暂时损失
长期恢复
潜在损失水性万能胶
安全投⼊与侵⼊可能性呈反⽐
进不来拿不⾛看不懂改不了跑不掉
信息系统安全体系ISSA(Information Systems Security Architecture)
是⼀个能为所保障对象提供的可⽤性、机密性、完整性、不可抵赖性、可授权性的可持续性的系统
信息安全4⼤体系:
技术管理标准法律
风险分析:
静态动态运⾏后
安全⽬标:
信息保护系统保护
信息安全:
防⽌任何对数据进⾏未授权访问的措施,或者防⽌造成信息有意⽆意泄漏、破坏、丢失等问题的发⽣,让数据处于远离危险、免于威胁的状态或特征。
⽹络安全:计算机⽹络环境下的信息安全。
3、GB17859-1999《计算机信息系统安全保护等级划分准则》
我国计算机信息系统安全等级保护系列标准的核⼼
实⾏计算机信息系统安全等级保护制度建设重要基础
将计算机信息系统的安全性从低到⾼5个等级:
⽤户⾃主保护级
系统审计保护级
安全标记保护级
结构化保护级
访问验证保护级
4、不可修系统可靠性可修系统可靠性
MTTF:
对不可维修的产品的平均寿命是指从开始投⼊⼯作,⾄产品失效的时间平均值。也称平均失效前时间,记Mean Time To Failure;
MTBF:
对可维修产品⽽⾔,其平均寿命是指两次故障间的时间平均值,称平均故障间隔时间,习惯称平均⽆故障⼯作时间,Mean Time Between Failures。
计算机产业界通常⽤如“9”的个数来划分计算机系统可⽤性的类型。
MTBF⾼达120万⼩时(约为137年)
并不是说该型号的硬盘每只都能⼯作137年不出故障。由MTBF=1/r可知r=1/MTBF=1/137,即该硬盘的平均年故障率约为0.7%,⼀年内,平均1000只硬盘有7只会出故障。
已知世界上第⼀代电⼦管计算机ENIAC有20000个电⼦管,假设每个电⼦管的失效率为r=0.5%/kh(千⼩时),试求:
(1) 该计算机的MTTF;
(2) 若要求计算机的可靠性在95%以上,则⾄多可以⼯作多久?
计算机系统可靠性:
软件可靠性硬件可靠性
硬件模型:
串联并联表决系统冷热储备模型
软件模型:
错误植⼊
缺陷计数
失效时间间隔模型
提⾼可靠性⽅案:
1.少发⽣
2.快排除
提⾼软件可靠性⽅案:
1.软件陷阱
2.指令复执
3.程序监视器
提⾼硬件可靠性⽅案:
1.冗余
2.抗⼲扰
3.提⾼适应性
设⼀个系统由三个相同⼦系统并联构成,⼦系统的可靠性为0.9,平均⽆故障时间为10000⼩时,则系统可靠性为()。
A. 0.729
B. 0.9
C. 0.999
D. 0.99
平均⽆故障时间为()。
A. 1. 9999
B. 18000
C. 9000
D. 18333
5、由6块500G硬盘组成的RAID1,最⼤容量⼤概1.5T
6、以下属于⽣物设别特征
指纹,笔迹,声⾳,⼿型,脸型,视⽹膜,虹膜
7、在TCSEC(可信计算机系统评估准则)中,美国国防部按
处理信息的等级;
气动压线钳应采⽤的相应措施;
计算机安全从⾼到低分为A、B、C、D四类七个级别:分别是D,C1和C2,B1,B2和B3,A。D类:⽆保护级
C类:⾃主保护级 C2控制访问保护级企业级主流军⽤最低级
B类:强制保护级 B3>B1 B1级以上的OS禁运
A类:验证保护级
8、数据库易受攻击主要来⾃三个层⾯:
勇猛的圣灵肩垫
管理层⾯
技术层⾯
审计层⾯
9、数据库安全漏洞按来源的不同可分为四类:
1.缺省安全漏洞
2.数据库设计缺陷
3.⼈为使⽤上的漏洞
4.数据库产品的BUG
10、在主流数据库中缺省端⼝号是固定的:
Oracle:1521
SQL Server:1433 1434
MySQL:3306
FTP: 20 21
SSH: 22
Telnet: 23
SMTP: 25
DNS: 53
Https: 443
11、HTML5的安全性在WEB安全中是客户端的脚本安全。智能分析
Web安全:
1.客户端脚本 XSS
2.服务器应⽤ SQL
3.互联⽹运营 DDoS
a)Find and Fix 漏扫渗透测试
b)Defend and Defer Web防⽕墙
c)Secure at the source 安全开发流程
12、
XSS(Cross Site Scripting)跨站脚本攻击根据效果分三种类型:
反射型⾮持久性诱骗⿏标点击
存储型持久性以博⽂的形式存储在服务器上
DOM型也是⼀种反射型XSS
XSS攻击的概念:⼀般是指⿊客通过各种⽅式篡改了⽹页,插⼊了恶意代码,⽤户在浏览⽹页时,控制⽤户浏览器的⼀种攻击。
XSS防御:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议