CISSP最全，根据最新OSG9整理，23年5月29日考试通过！

组织的信息包括其所有数据。

组织的系统包括提供一个或多个服务的任何 IT 系统。

设备是指任何计算系统，包括服务器、台式计算机、便携式笔记本电脑、平板电脑、智能手机和外部设备（如打印机）

组织的设施包括其拥有或租赁的任何物理场所。

应用程序往往提供组织的数据访问。应用程序的访问控制可以为组织的数据提供一个额外的控制层。权哏是一种简单的方法，可以限制应用程序的逻辑访问，并且可以分配给特定用户或组。

物理安全控制是你可以触摸的，如围栏、大门、警卫和旋转门等边界安全控制，以及供暖、通风和空调(HVAC) 系统和灭火等环境控制。

物理安全控制通过控制访问和环境来保护系统、设备和设施。

逻辑访问控制是一种技术控制，用千保护对信息、系统、设备和应用程序的访问。

逻辑访问控制包括身份认证、授权和权限。

问控制有助于确保只有已经授权的主体能够访问客体。如果未经授权的实体可以访问系统或数据，将导致保密性的丧失。

完整性可以确保主体经授权后才可以修改数据或系统配置，或如果发生未经授权的变更，安全控制可以检测到变更。如果客体发生了未授权的变更或不需要的变更，会导致完整性丢失。

必须在合理时间内向主体授予访问客体的权限。换句话说，系统和数据应该在需要时可以供用户和其他主体使用。一如果系统无法运行或数据无法访间，会导致可用性降低。

主体

客体

身份标识(identification)

身份认证(authentication)

身份标识和身份认证作为一个流程的两个步骤同时发生。第一步是提供身份标识，第＿步是提供身份认证信息。如果缺少身份标识和身份认证，主体就无法访问系统。

授权(authorization)

问责(accountability)

三种主要的身份认证因素

多因素身份认证(MFA)是使用两个或更多因素的身份认证。

双因素身份认证(2FA) 需要两种不同的认证因素来实施身份认证。相反，仅使用单一因素的身份认证方法都是单因素身份认证。

使用身份认证应用程序进行双因素身份认证

NIST 反对 2FA 使用 SMS 服务

无口令身份认证允许用户在不输入口令（或其他记忆的秘密）的情况下登录系统。例如，许多智能手机和平板电脑都支持生物特征认证。如果智能手机上启用了面部识别，你只需要面向屏幕就能解锁登录屏幕。同样，如果平板电脑上启用了指纹识别，你只需要将手指放在传感器上即可。

(FIDO

设备指纹识别

上下文感知

802.1X

服务账户只是管理员为服务或应用程序（而不是个人）创建的账户。

通过设置账户属性来使口令永不过期的做法是很常见的。

由于服务账户具有高级的权限，管理员为其配置了比普通用户更强大而复杂的门令，该口令也需要更频繁的修改。但是，管理员需要手动更改这些口令。口令保持不变的时间越长，就越有可能被泄露。
另一种选择是将账户设置为非交互式账户，这样可以防止用户使用传统登录方法登录账户。

基于证书

很多场景需要双向身份认证。例如，当客户端访问服务器时，客户端和服务器都需要提供身份认证，这样可以防止客户端向伪造服务器泄露信息。双向身份认证方法通常使用数字证书。

集中式访问控制意味着所有授权验证都由系统内的单个实体执行。

集中式访问控制的管理开销较低，因为所有更改都在单个位置进行，并且单个更改会影响整个系统。然而，集中式访问控制可能会产生单点故障

集中式身份管理解决方案的另一个好处是它可以通过扩展来支持更多用户。

分散式访问控制（也称为分布式访问控制）意味着整个系统中的各类实体执行授权验证。

分散式访问控制通常需要多个团队或多人管理。分散式访问控制的管理开销较高，因为必须在多个位置实施修改。随着访问控制点数量的增加，整个系统会越来越难以保持一致性。

在单个组织内，集中式访问控制系统往往应用千 SSO 。

目录服务是一个集中式数据库，包含主体和客体的有关信息，如身份认证数据。

端口636是LDAP-S的默认端口，它提供基于SSL或TLS的LDAP，因此指示服务器支持加密连接。

安全域是共享通用安全策略的主体和客体的集合，各个安全域可以独立千其他域运行。

各域之间建立信任，创建安全桥，并允许一个域的用户访问另一个域的资源。信任可以是单向的，也可以是双向的。

客户端需要查询发证机构(CA) 以获取有关证书的信息，并且使用的协议之一就是 LDAP

基千云的联合通常使用第三方服务来共享联合身份。

联合身份管理系统可以托管在本地、云上，也可以将两者结合为混合系统。

一些联合身份解决方案支持准时制(JIT)配置。这些解决方案自动创建两个实体之间的关系，以便新用户访问资源。 JIT 解决方案不需要管理员干预即可创建连接。

JIT 系统通常使用 SAML 来交换所需的数据。 SAML 为实体间各种数据的交换提供非常大的灵活性。

Windows 的控制面板中包含凭证管理器(Credential Manager) 小程序。

第三方凭证管理系统。例如， KeePass 是一个免费软件工具，可以存储凭证。

限通常是指授予对客体的访问权限，并明确允许对客体执行的操作。

权利主要是指对某个客体采取行动的能力。例如，用户可以有权利修改计算机系统时间或恢复备份数据。

权是权利和权限的组合。例如，计算机管理员将拥有全部特权，即授予计算机管理员对计算机的全部权利和权限。

访问控制的基本原则是隐式拒绝，大多数授权机制使用隐式拒绝。除非已明确授予主体访问权限，否则，隐式拒绝原则拒绝主体访问客体。

访问控制矩阵是一种包含主体、客体和分配权限的表格。

ACL 以客体为中心，标识针对任何特定客体授予主体的访问权限。

能力表(capability table) 是另一种确定主体所分配权限的方式。

应用程序利用受约束或受限制的接口，限制用户可执行或可查看的内容。

基于内容的访问控制依据客体内容来限制对数据的访问。数据库视图就是一种基于内容的控制。

基于上下文的访问控制在授予用户权限之前需要用户执行特定的活动。

基于时间的控制就是上下文相关控制

这个原则确保主体仅能访问为完成工作任务和工作职能而需要知道的内容。

最小特权原则确保主体仅拥有执行工作任务和工作职能所需的权限。

责分离原则确保将敏感职能划分为两个或多个员工共同执行的任务。

自主访问控制(DAC)模型的一个关键特征是每个客体都有一个所有者，所有者可以允许或拒绝其他主体的访问。

基于身份的访问控制是 DAC的子集，因为系统根据用户的身份识别用户并将资源所有权分配给身份。

使用客体访问控制列表(ACL)实现 DAC 模型。

基于角色的访问控制（RBAC）

基于规则的访问控制

基于属性的访问控制（ABAC）

强制访问控制（MAC）

基于风险的访问控制

过度权限

权限蔓延

身份证件、出生证明、背景调查、信用检查、安全许可验证、 FBI 数据库搜索，征信调查

自动配置系统按部就班地创建账户，例如始终以相同的方式创建用户名并处理重复的用户名。

可扩展标记语言(XML) 并非仅通过实际描述数据来描述如何显示数据。 XML 可以包含标记，从而描述所有所需数据。

许多云提供商使用基于 XML 的语言来共享身份认证和授权信息。许多云提供商不是直接使用 XML, 而是使用其他基千 XML 的语言。

服务提供标记语言（SPML）是一种基于XML的语言，旨在允许平台生成和响应配置请求。
XAML用于描述访问控制。
SOAP（简单对象访问协议）是一种消息传递协议，可用于任何XML消息传递，但不是标记语言本身。

安全断言标记语言(SAML) 是一种基千 XML 的开放标准，通常用千在联邦纠织之间交换身份认证和授权(AA)信息。 SAML 提供支持浏览器访间的 SSO 功能。

SAML2.0 规范使用三个实体

IdP 可以发送三种类型的 XML 消息（称为声明）：

OAuth 2.0 （意含开放授权）是 RFC 6749 中描述并由互联网工程任务组(IETF)维护的授权框架。互联网上的许多公司使用 0Auth2.0 与第三方网站共享账户信息。

OAuth 是一个授权框架，而不是身份认证协议。 OAuth 交换 API 消息并使用令牌来显示访问是否已获得授权。

OpenID 也是一个开放标准，但由 OpenID Foundation 维护，它不是 RFC 标准。 OpenID提供去中心化身份认证，允许用户使用一组凭证登录多个不相关的网站，这些凭证由第三方服务维护，这类第三方被称为 OpenID 提供商。

OpenID Connect (OIDC)是使用 0Auth2.0 授权框架的身份认证层。关键点是 OIDC 同时提供身份认证和授权。与 OpenID 一样， OIDC OpenlD 基金会维护。

OIDC 建立在 OpenID 创建的技术之上，但使用 JavaScript 对象表示法(JSON) Web 令牌(JWT) ，你也可称之为 1D 令牌。 OIDC 使用 Web 服务来检索 JWT 。除了提供身份认证之外，JWT 还可包含有关用户的个人资料信息。

OAuth 提供授权，而 OIDC 使用 OAuth 框架来授权，并基千 OpenID 技术进行身份认证。 OIDC 使用 JSON 网络令牌。

SAML

OAuth

OpenID

OIDC 

提供身份认证、授权和计费的协议被称为 AAA 协议。 AAA 协议通过远程访问系统，如虚拟专用网络(VPN)和其他类型的网络访问服务器，提供集中式访问控制。

票证身份认证是一种采用第三方实体来证明身份并提供身份认证的机制。 Kerberos 是最常见和最著名的票证身份认证。 Kerberos 的主要目的是身份认证。在用户通过身份认证并证明其身份后， Kerberos 使用用户已证明的身份来签发票证，用户在访问资源时出示这些票证即可。

Kerberos 为用户提供单点登录解决方案并保护登录凭证。 Kerberos 版本基千 AES称加密协议，实现对称密钥加密（也称为密钥加密）。 Kerberos 使用端到端安全，为身份认证流量提供保密性和完整性，并且可以预防窃听和重放攻击。

许多 Kerberos 角色可以集中在单个服务器上，但也可部署在不同的服务器上。较大规模的网络有时会将不同的 Kerberos 角色分开部署以提高性能，但规模较小的网络通常使用单台Kerberos 服务器来执行所有不同的角色。

要素

Kerberos 登录流程的工作原理

客户端通过 Kerberos 服务器获得票证

Kerberos 存在单点故障，即 KDC 。如果 KDC 被泄露，则网络上每个系统的密钥也会泄露。此外，如果 KDC 脱机，则无法开展主体的身份认证。

Kerberos 也具有严格的时间要求，默认配置要求所有系统保持 分钟以内的时间同步。

管理员通常在网络内部配置 个时间同步系统。在活动目录域中，一个域控制器(DC)外部网络时间协议(NTP)服务器在时间上保持同步。所有其他 DC将其时间与第一个 DC 保持同步，而其他系统在登录时将其时间和其中一个 DC 保持同步。

远程认证拨入用户服务(RADIUS) 集中认证远程访问连接，例如 VPN 或拨号访问。

Kerberos、联合身份验证服务（ADFS）和中央身份验证服务（CAS）都是单点登录，而且一些供应商会在后台使用它们为专有SSO提供身份验证。RADIUS不是单点登录。

RADIUS 通常适用于组织拥有多台网络访问服务器（或远程访问服务器）的情况。用户可以连接到任意的网络访问服务器，然后该服务器将用户凭证传送至 RADIUS 服务器，开展身份认证、授权和跟踪计费。这种情况下，网络访问服务器是 RADIUS 的客户端， RADIUS 服务器充当身份认证服务器。 RADIUS 服务器还为多个远程访问服务器提供 AAA 服务。

许多互联网服务提供商(ISP)使用 RADIUS 实施身份认证。

RADIUS 服务器可以将回调安全用作额外的保护层。用户拨号呼入，在经过身份认证后，RADIUS 服务器终止连接，并向用户预定义的电话号码发起回呼。如果用户身份认证凭证被盗用，回调安全功能会阻止攻击者使用身份认证凭证。

RADIUS 默认使用用户数据报协议(UDP) ，仅加密口令的交互过程。 RADIUS 不会加密整个会话，但 RADIUS 可以使用其他协议来加密会话。 RADIUS 目前版本在 RFC 2865 中定义。 RFC 6614 定义了 RADIUS 实验版，描述 RADIUS 如何使用传输控制协议(TCP) 上的传输层安全性(TLS)

使用 TLS 时， RADIUS 使用 TCP2083 端口。 RADIUS 使用 UDP 1812 端口传输 RADIUS消息，并使用 UDP 1813 端口传输 RADIUS 计费信息。

RFC 6614 描述了如何使用 RADIUS/TLS 保护 RADIUS 流量。

Cisco 开发了增强型终端访问控制器访问控制系统(TACACS+），后来将其作为开放标准发布。 TACACS＋对早期版本和 RADIUS 进行了多项改进。

TACACS＋将身份认证、授权和计费划分为独立的进程。如果需要，可将其托管在三个不同的服务器上。此外，与 RADIUS 一样， TACACS＋可以加密所有身份认证信息，而不仅仅是口令。 TACACS＋使用 TCP49 端口，为数据包的传输提供更高级别的可靠性。

日志可以记录用户使用 sudo 执行的所有命令。

通过尽慑减少 sudo 的使用，可以限制风险。这类似千在 Windows 系统上限制管理员组中的用户数量。

账户数据库可以是客户数据库或操作系统又件，如基千 Windows 的安全账户管理器(SAM)文件或 Linux系统上的／etc/shadow 文件。

字典攻击是指尝试通过使用预定义数据库中的每个可能密码或公共或预期密码列表来发现密码。

暴力破解攻击是指通过尝试所有可能的字母、数字和符号的组合来找到用户的口令。

喷射攻击(spraying attack) 是一种特殊类型的暴力破解攻击。攻击者在在线密码攻击中使用喷射攻击，并试图绕过账户锁定的安全控制措施。

凭证填充攻击仅检查每个站点的单个用户名及口令。攻击者使用自动化工具在数百个（或更多）站点上尝试某人的凭证。

如果人们在所有站点上使用不同的口令，凭证填充攻击将失败。

生日攻击的重点是寻找碰撞。生日攻击的名称来自一个被称为生日悖论的统计现象。生日悖论指出，如果一个房间里有 23 个人，那么其中任何两个人拥有相同生日的可能性为 50%

彩虹表通过使用大量预计算的哈希数据库来减少所需的时间。

许多系统通常使用加盐(salt) 口令来降低彩虹表攻击的有效性。盐是在进行哈希计算之前添加到口令中的一组随机位。

加盐密码算法

若将胡椒添加到加盐口令中，可以增加安全性，使其更难破解。盐是和哈希口令存储在同一数据库中的随机数，因此攻击者获取数据库后也会得到口令的盐。胡椒是存储在别处的大常数，例如服务器上的配置值或存储在应用程序代码中的常最。

Benjamin Delpy 2007 年发布了 Mimikatz 工具，目的是在学习 编程语言的同时，在Windows 安全方面开展一些实验。 Mimikatz 已经成为黑客和渗透测试人员手中的流行工具。

功能

攻击者可以在远程系统上将 Mimikatz 当作无文件恶意软件运行。

哈希传递(PtH)攻击是指攻击者将捕获的口令哈希值发送到身份认证服务。

PsExec Sysinternals 进程工具(PsTools) 的一部分，微软提供免费下载。 PsTools 是一套用于连接到远程计算机的命令行工具。管理员使用 PsTools 来访问远程系统上的命令提示符。

超哈希传递攻击

票证传递

白银票证(silver ticket)

黄金票证

Kerberos 暴力破解

ASREPRoast

Kerberoasting

嗅探是指捕获通过网络发送的数据包，其目的是分析数据包。

嗅探攻击可以捕获和读取通过网络以明文形式发送的任何数据，包括口令。

IP 欺骗攻击

电子邮件欺骗

电话号码欺骗

安全测试旨在验证某项控制措施是否正常运行。

这些测试包括自动化扫描、工具辅助的渗透测试、破坏安全性的手动测试。安全测试应该定期实施，并关注保护组织的每个关键安全措施。

渗透测试可以每年开展一次，以最大限度地降低费用并减小业务中断的影响。

安全评估是指对系统、应用程序或其他待测环境的安全性进行全面审查。

安全评估的主要成果通常是向管理层提交的评估报告，报告包括以非技术语言描述的评估结果，并往往以提高待测环境安全性的具体建议作为结论。

根据 NIST SP 800-53A, 评估包括4 个组成部分。

安全评估期间，安全审计虽然遵循许多相同的技术，但必须由独立审核员执行。

尽管组织安全人员可能定期执行安全测试和评估，但这不是安全审计。评估和测试的结果仅供内部使用，旨在评估控制措施，着眼于发现潜在的提升空间。而审计是为了向第三方证明控制措施的有效性而进行的评估。

审计员(auditor)为组织的安全控制状态提供一种客观中立的视角。

审计有三种主要类型：

SSAE 18 ISAE 3402 声明通常被称为服务组织控制(SOC) 审计，并以三种形式出现。

两种不同类型的 SOC报告

审计标准

安全内容自动化协议(Security Content Automation Protocol, SCAP)

网络发现扫描

网络漏洞扫描

Web 应用程序漏洞扫描

数据库漏洞扫描

漏洞管理工作流程

规划阶段

信息收集和发现阶段

攻击阶段

报告阶段

Metasploit 使用脚本语言来实现常见攻击的自动化执行。

白盒渗透测试(White-Box Penetration Test)

灰盒渗透测试(Gray-Box Penetration Test)

黑盒渗透测试(Black-Box Penetration Test)

应用程序崩溃，由于系统、网络或应用程序故障而拒绝服务，甚至数据损坏

获得访问
升级特权
系统浏览
安装其他工具

攻击者一旦安装了其他工具，渗透测试人员通常会使用它们获得额外的访问。测试人员可以在访问中进一步升级权限，搜索新的目标或数据。

使大量日志审查的常规工作实现自动化。 SIEM 工具包利用许多设备、操作系统和应用程序提供的 syslog 功能来收集信息。
一些设备（包括 Windows 系统）可能需要安装第三方客户端来实现对 syslog 的支待。

代码审查(code review)是软件评估的基础。代码审查也被称为“同行评审" (peerreview), 即除了编写代码的开发人员，其他开发人员也审查代码是否存在缺陷。

最正式的代码审查过程被称为范根检查法(Fagan inspection)

范根检查级别的审查通常只出现在严格受限的研发环境中，大多数组织采用稍微宽松的代码审查流程，它们使用同行评审方法

当有必要了解代码中上下文和业务逻辑时，手动代码审查时最佳选择。

静态应用程序安全测试(SAST)在不运行软件的情况下，通过分析软件源代码或编译后的应用程序来评估软什的安全性。

静态分析往往涉及自动化检测工具，用于检测常见的软件缺陷，如缓冲区溢出。

动态应用程序安全测试(DAST)在软件运行环境下检测软件的安全性。如果组织部署他人开发的软件，动态应用程序安全测试是唯一选择

动态测试可以使用模拟事务(synthetic transaction) 之类的方法验证系统的性能。

交互式应用程 序安全测试(IAST)对运行时行为、应用程序性能、 HITP/HTIPS 流量、框架、组件和后台连接进行实时分析。

运行时应用程序自我保护(RASP)是一种在服务器上运行的工具，可以拦截应用程序的调用，并验证数据请求。

模糊测试是一种特殊的动态测试技术，向软件提供许多不同类型的输入来测试其边界，以发现之前未检测到的缺陷。

模糊测试主要分为以下两大类。

zzuf 工具

局限性

测试环境和代码生产环境的变化会掩盖与时间相关的问题，如竞争条件

利用时序问题的竞争条件往往通过代码分析或使用专门测试竞争条件的自动化工具来发现

测试覆盖率 = 已测用例的数晕 / 全部用例的数量

分支覆盖率

条件覆盖率

函数覆盖率

循环覆盖率

语句覆盖率

在流量穿越网络或抵达服务器的过程中，捕获和分析发送到网站的实际网络流量。

真实用户监控(real user monitoring, RUM)是被动监测的一种变体，在该方法中，监测工具重新组装单个用户的活动，以追踪其与网站的交互。

该方法向网站发起伪造的事务活动，从而评估网站性能。

综合监测可能只是简单地向站点请求一个页面来计算响应时间，也可能执行复杂的脚本来确认事务活动的结果。

应用编程接口(API)

用户界面(UI)

物理接口

入侵模拟攻击(BAS)平台寻求自动化渗透测试的某些方面。这些系统旨在将威胁指标注入系统和网络，以触发其他安全控制。

BAS 平台实际上并没有发动攻击，而是对这些安全控制进行自动化测试，从而识别缺陷，这些缺陷可能表明组织需要更新或增强控制措施。

BAS（入侵和攻击模拟系统），是将红队和蓝队技术与自动化相结合的系统，用于模拟针对你的环境运行的高级持续威胁和其他高级威胁参与者。允许在一个环境中复制和评估各种威胁，而无需像人员配备齐全的紫色团队那样多的开销。

(1) 管理人员要求系统管理员提供特权用户及其特殊权限的列表。

(2) 管理人员要求特权审批机构提供特权用户及其特殊权限的列表。

(3) 然后，管理人员对这两份清单进行比较，确保只有经授权的用户能够保留对系统的访问权限，并且每个用户的访问权限不超过其授权。

组织识别出期望跟踪的关键安全指标后，管理人员可能希望开发一个指示板，以便清晰地展示这些指标的值随着时间的变化，而且管理人员和安全团队可以定期查看。

为首次进入组织或担任新角色的员工提供基础知识。

提醒员工明确其责任，并让员工了解组织运营环境和威胁形势的变化。

许多组织使用网络钓鱼模拟来评估安全意识方案的有效性。这些模拟使用虚假的网络钓鱼消息来确认用户是否容易受到网络钓鱼攻击。

首先，拥有证据的人可能自愿上交或者同意搜查。

第二，可让法院签发传票或法庭命令，迫使个人或组织交出证据，然后由执法部门送达传票。

第三，执法人员在履行法律允许的职责时，可以扣押他直接看到的证据，并且该人员有理由认为该证据可能与犯罪活动有关。这被称为“直接目视规则”。

第四个选项是搜查证。你必须以可信的理由表示强烈怀疑并说服法官采取这一行动。

最后，在紧急情况下，执法人员可以收集证据。

• 处理数字证据时，必须应用所有通用的司法和程序原则。
• 收集数字证据时，所采取的行动不应改变证据。
• 某人有必要使用原始数字证据时，应当接受有针对性的培训。
• 与收集、访问、存储或转移数字证据有关的所有活动都应当被完整记录和保留，并且可供审查。
• 在数字证据被某人掌握之后，他应当对与数字证据有关的所有活动负责。
• 所有负责收集、访问、存储或转移数字证据的机构都有责任遵守上述原则。

介质分析

内存分析

网络分析

软件分析

硬件／嵌入式设备分析

预防性控制(preventative control) 力求阻碍或阻止不必要或未经授权的活动发生。

检测性控制(detective control) 力求发现或检测不必要的或未经授权的活动。检测性控制在事件发生后运行，只有在事件发生后才能发现该活动。

保持系统和应用程序即时更新。

移除或禁用不需要的服务和协议。

使用入侵检测和预防系统。

使用最新版反恶意软件程序。

使用防火墙。

执行配置和系统管理流程。

僵尸网

拒绝服务攻击

SYN 洪水攻击

smurf 和 fraggle 攻击

ping 洪水

死亡之 ping

泪滴（Teardrop）

land 攻击

零日利用

中间人(man-in-the-middle, MITM) 攻击（有时被称作路径攻击）

蓄意破坏

持续的监测可以确保记录下所有事件，日后需要时可将其用于事件调查。

数据丢失预防(DLP)技术

隐写术监测

军方把各个阶段的行动编排成一个事件链并有序地逐个展开

如果进攻者在攻击链的任何一个阶段不成功，都会导致攻击失败。

与军用模型一样，这个模型框架旨在通过在攻击的任何阶段阻止攻击者来破坏这条攻击链。

1 侦察

2 武器化

3 交付

4 利用

5 安装

6 指挥和控制

7 目标行动

是内含已被识别的战术、技术和规程(TTP) 的知识库，可供攻击者在各种攻击中使用。它是网络杀伤链等模型的补充。

包括一下战术：
·侦察
．资源开发
·初始访问
·执行
．持续存在
．特权提升
．防御规避
．凭证访问
·发现
·横向移动
·收集
．指挥和控制
．外泄
．影响

每种战术都包含攻击者使用的技术手段。

威胁馈送(threat feed) 是关于当前和潜在威胁的一种稳定原始数据流。

威胁情报馈送力求从原始数据中提取可执行的情报。

一份威胁情报馈送包含的部分信息：

安全专家通过将威胁馈送中的数据与进出互联网的数据进行比较，可以从中识别出潜在的恶意通信流。

威胁搜寻(threat hunting) 是指在网络中主动查找网络威胁的过程。

威胁搜寻假定攻击者已经潜藏在网络中——即便还没有预防和检测性控制检测到他们并发出警报。相反，安全专家积极在系统内展开搜索，寻找威胁的迹象。

没有哪种方法可以单独实现威胁搜寻。然而，许多方法在尝试分析攻击的各个阶段，然后在单个阶段里查找攻击的迹象。一种流行的威胁搜寻方法是使用杀伤链模型。

禁用所有未使用的服务。

关闭所有未使用的逻辑端口。

删除所有未使用的应用程序。

更改默认口令。

管理理员首先在计算机上安装操作系统和所有需要的应用程序。
然后，管理员配置系统，使其相关安全设置及其他设置满足组织要求。
接着，员工执行全面的测试，确保系统能够按照预期运行

管理员使用镜像软件捕获系统镜像，并将其存储在镜像服务器上，或者外部硬盘驱动器、USB驱动器或DVD中。

员工根据组织需耍将镜像部署到具体系统。这些系统通常需要额外配置来完成部署，例如为系统提供唯一名称

因需可知原则要求仅授予用户执行工作所需数据或资源的访问权限。

因需可知通常与安全许可(security clearance)关联，例如拥有“秘密“许可的人。但许可不会自动授予用户对数据的访问权限。

最小特权原则规定，主体仅被授予执行指定工作所需的特权。请记住，这里的特权既包括访问数据的权限也包括执行系统任务的权利。

最小特权原则依赖于“所有用户都具有明确定义的职责描述＂的假设。

最小特权原则通常侧重于保证用户特权受到限制，但也适用于其他主题，比如应用程序或进程。

双人控制 (two-person control)（有时称为双人制）要求经过两个人批准后才能执行关键任务。

在组织内使用双人控制，可以实现同行评审并减少串通和欺诈的可能性。

知识分割(split knowledge)将职贡分离和双人控制的概念融入一个解决方案。其基本思想是将执行操作所需的信息或特权分配给两个或多个用户。

这种做法确保了单人不具有足够的特权来危及环境安全。

许多组织要求员工强制休假一周或两周。这种做法提供一种同行评审形式，有助于发现欺诈和串通行为。

和岗位轮换策略一样，强制休假也可充当威慑和检测机制。即使其他人仅接管一两周某个人的岗位，这也足以检测到违规行为。

除了 SLA, 组织有时还使用谅解备忘录(MOU) 。谅解备忘录记录了两个实体合作达成共同目标的意愿。

虽然 MOU 与 SLA 类似，但 MOU 不太正式，缺少处罚条款。如果其中一方不履行其职责，则没有任何处罚措施。

组织通常将数据备份存储在磁带上，磁带受损将极易导致数据丢失。

最佳方案是，组织至少保留两份数据备份。一份保留在本地以备不时之需，另一份保存在异地的安全位置。

存储区域的卫生情况可以直接影响磁带介质的使用寿命和可用性。

移动设备包括智能手机和平板电脑。

带有附件、联系人和日程信息的电子邮件也是数据。

关键是谨记移动设备拥有数据存储功能。如果移动设备存储敏感数据，那么务必采取措施保护这些数据。

所有媒介均拥有一个有用但有限的生命周期。

可重复使用的媒介会受到平均故障时间(mean time to failure, MTTF) 的影响，其中， MTTF 有时表示为可重复使用的次数或预计保存的年限。

备份媒介一旦达到平均故障时间，就应该被销毁。

常用方法

IT 人员需要对这些事情进行调查才能判断是否真有事件发生。

响应因事件严重程度而各异。许多组织设有专门的事件响应团队一一有时也叫计算机事件响应团队(CIRT) ，或计算机安全事件响应团队(CSIRT) 。

团队成员接受过有关事件响应以及组织事件响应计划的培训。团队成员通常对事件开展调查、评估损害、收集证据、报告事件和执行恢复程序。他们还参与补救和总结教训阶段的工作，帮助分析事件发生的根本原因。

组织对事件响应的速度越快，把损害控制在有限范围的机会越大。

调查结束后，管理层可能会决定起诉事件责任人。出千这一原因，务必在调查过程中保护好可以充当证据的所有数据。

抑制措施旨在遏制事件的发展。有效事件管理的主要目的之一是限制事件的影响或范围。

报告是指在组织内通报事件并将情况上报给组织外的相关部门和个人。

对千组织外发生的一些事件，组织往往也有合法的报告要求。

许多司法辖区为保护个人身份信息(PII) 而制定了专门的法律。如果数据破坏事件暴露了个人身份信息，组织必须马上报告。

组织在响应严重安全事件的过程中应该考虑把事件报告给执法部门。

接下来的一步是恢复系统或使其返回正常运行状态。

对于小事件，这会非常简单，或许只需要重启系统。但是一次重大事件可能会要求彻底重建系统。重建系统包括从最近的备份中恢复所有数据。

当从零开始重建受损系统时，必须确保系统配置恰当，安全性至少要达到事件之前的水平。

在补救阶段，安全人员首先查看事件，查明事件发生的原因，然后采取措施防止事件再次发生。此阶段需要进行一次根本原因分析。

如果根本原因分析找出了一个可以抑制的漏洞，这一阶段将建议改进系统。

在总结教训阶段，安全人员查验事件发生和响应的整个过程以确定是否要总结经验教训。事件响应团队将介入这一阶段的工作，而了解事件情况的其他员工也将参与其中。

安全人员在查验事件响应时寻找响应行动中需要改进的方面。

请务必记住，可将这一阶段的结果反馈给事件管理的检测环节。例如，管理员可能意识到攻击是躲过检测而展开的，于是增强检测能力并建议改进入侵检测系统。

事件响应团队总结了经验教训后，通常要编写一份报告。团队可能会根据总结出的结果建议改进程序，增加安全控制，甚至更改策略。
管理层将决定采纳哪些建议，并对因为没有采纳建议而依然存在的风险负责。

拦截路由器上的定向广播

在边界拦截私网 IP 地址

基千知识检测 (knowledge-based detection) 也被称为基千签名检测(signature-based detection) 或模式匹配检测，是最常用的检测方法。它使用了 IDS 供应商开发的已知攻击数据库。

主要好处在千它的假阳性率很低。

主要缺点是它只对已知的攻击方法有效。

第二类检测是基于行为检测(behavior-based detection) ，也被称为统计入侵检测、异常检测或启发式检测。基于行为检测首先会在系统上创建一个正常活动和事件的基线。一旦它积累了足够的基线数据来确定正常活动，便可检测出表明可能出现恶意入侵或事件的异常活动。

基于行为的 IDS 用基线、活动统计数据和启发式评估技术将当前活动与以前的活动进行比较，以检测出潜在恶意事件。

基于行为的 IDS 的一个突出优势是它能检测出还没有签名、尚不能被基于签名方法检测到的较新攻击。

主要缺点在于它经常会发出一些假警报一也叫假阳性。

IDS 检测到一个事件后会触发警报或发出警示。

被动响应会记录事件并发出通知。

主动响应除了记录事件和发出通知，还会更改环境以阻止活动。

HIDS 监测一台计算机上的活动，包括进程调用以及系统、应用程序、安全措施和基于主机防火墙日志记录的信息。

检查事件的详细程度往往超过 NIDS, 并能精确定位被攻击破坏的具体文件。它还可以跟踪攻击者所用的进程。

HIDS 能检测到 NIDS 检测不出来的主机系统异常情况。

HIDS 不能检测其他系统受到的网络攻击。此外，它往往需要消耗大量系统资源，因此会降低主机系统的性能。

HIDS 更容易被入侵者发现和禁用，并且它们的日志是保留在系统上的，使日志很容易被成功的攻击篡改。

NIDS 监测并评估网络活动，以找出攻击或异常事件。一个 NIDS可通过远程传感器监测一个大型网络：它使用传感器在关键网络位置收集数据，然后把数据发送给中央管理控制台，例如安全信息和事件管理(SIEM)系统

NIDS 的中央控制台往往安装在一台经过加固的专用计算机上。这减少了 NIDS 的漏洞，可令 NIDS 在几乎不可见的状态下运行，使攻击者更难发现和禁用它。 

入侵预防系统(intrusion prevention system, IPS)是一种特殊类型的主动响应 IDS, 可赶在攻击到达目标系统之前将其检测出来并加以拦截。

NIDS 与基于网络的 IPS(NIPS)之间的明显差别在于 NIPS 是安放在承载通信流的内联线路上的

评估补丁

测试补丁

审批补丁

部署补丁

验证补丁是否已完成部署

日常漏洞扫描

定期漏洞评估

“围栏”是一种边界界定装置。围栏清楚地划分出处于特定安全保护级别的内外区域。

围栏的一种高级形式是周界入侵检测和评估系统(PIDAS) PIDAS 是协同使用两个或三个围栏以提升安全性的围栏系统。

“门”是围栏中可控的出入口。们的威慑级别在功能上必须等同十围栏的威啜级别，这样才能维持围栏整体的有效性。

“旋转门”是一种特殊形式的门，其特殊性在于它一次只允许一个人通过，并且只能朝着一个方向转动。经常用于只能进不能出的场合，或相反的场景。

＂访问控制门厅＂（也被称为“捕人陷阱＂）通常是一种配备警卫的内、外双道门机构，或是其他类型的能防止捎带跟入的物理机关，机关可按警卫的意志控制进入的人员。

物理安全的另一个重要部件（尤其对千数据中心、政府设施和高安全组织）是安全隔离桩，其作用是防止车辆的闯入。

照明是最常用的提供安全威慑效果的边界安全控制形式。

照明的主要目的是阻止偶然的闯入者、侵入者、盗贼，或是有偷盗企图的人，比如故意破坏、盗窃和在黑暗中游荡的人。

外部照明一般应在黄昏至黎明期间打开。内部照明可始终打开、手动切换或按需触发（可能通过运动）。

用于边界保护的照明，一般业界接受的标准是：关键区域的照明强度应至少达到 2尺烛光（约为 2流明或 20 勒克斯）

标准建议将灯杆立在照明区域“直径“远的距离。

所有的物理安全控制，无论是静态的威慑，还是主动探测与监控机制，最终都需要人员进行干预来阻止真实的入侵与攻击行为。

警卫的优点在于他们能够适应各种条件并对各种情况做出反应。

警卫能够学习并识别出攻击活动及模式，可以针对环境的变化做出调整，能够做出决策并发出判断指令。

巡逻应该是经常性的，但间隔应是随机的。

预筛选、团队建设与训练并不能保证安全警卫胜任且可靠。

即使安全警卫最初是可靠的，他们也会受伤或生病，而且会休假，还可能心不在焉，难以抵御社会工程攻击，或者因为滥用药物而被解雇。

警犬是一种非常有效的探测与威慑手段。

巡逻机器人(robot sentries)可以用来自动巡逻一个区域，以检查异常情况。它们通常使用面部识别来确认被授权的个人以及潜在的入侵者。

门锁的设计与使用是为了防止未授权人员的出入。

shimming（复制钥匙）攻击

bumping（万能钥匙）攻击

可编程锁与密码锁的控制功能强千预置锁。有些种类的可编程锁能设置多个开锁密钥，还有一些配备了小键盘、智能卡或带加密功能的数字电子装置。

锁能替代警卫充当边界入口的访问控制设备。

物理访问控制以及设施安全保护的一个重要方面是，保护环境基本要素的完好以及人员生命安全。

人员始终都应该处于第一位。只有在人员安全的情况下，才能考虑解决业务连续性问题。

居住者紧急计划(occupant emergency plan, OEP) ，提供指导或讲授各种方法，来教你如何最大限度地减少安全威胁，防止受伤，缓解压力，提供安全监视以及防止财产遭受灾害的损失。

OEP 不解决 IT 相关或业务连续性问题，而只针对人员与一般财产安全。

每一个组织都在特定的行业或辖区内运营。

可能涉及软件的使用许可、雇佣条件限制、对敏感材料的处理以及对安全法规的遵守。

敏感数据

恶意软件和监控设备

免费 Wi-Fi

VPN

1. 概念定义

2. 功能需求确定

3. 控制规范的制定

4. 设计审查

5. 编码

6. 代码审查演练

7. 系统测试审查

8. 维护和变更管理

瀑布模型

螺旋模型

敏捷软件开发

DevOps

DevSecOps

主张所有从事软件开发的组织都将依次经历不同的成熟阶段。

描述了支持软件过程成熟度的原则与惯例，该模型旨在通过将临时的、混乱的软件过程发展为成熟的、规范的软件过程，以帮助软件组织改善软件过程的成熟度和质量。

SW-CMM 背后的理念是软件的质量依赖千其开发过程的质量。

SW-CMM 阶段

CMM 在很大程度上已被一种名为能力成熟度模型集成(CMMI) 的新模型所取代。

CMM CMMI 之间的主要区别在于 CMM 关注单独的过程，而 CMMI 关注这些过程的集成．

试图提供一个框架，将安全活动集成到软件开发和维护过程中，并为组织提供评估其成熟度的能力。

SAMM 将软件开发过程划分为以下五个业务功能：

启动 Initiating

诊断 Diagnosing

建立 Eastablishing

行动 Acting

学习 Learning

甘特图是一种显示项目和调度之间随时间变化的相互关系的条形图，提供了帮助计划、协调和跟踪项目中特定任务调度的图表说明。

计划评审技术(PERT)是一种项目调度工具，这种工具用于在开发中判断软件产品的规模并为风险评估计算标准偏差(standard deviation, SD) PERT 将估计的每个组件的最小可能规模、最可能的规模以及最大可能规模联系在一起。 PERT 图表清楚显示了不同项目任务之间的依赖关系。

请求控制

变更控制

发布控制

审核，并批准或拒绝变更

使用二进制数字的语言

使用助记符来表示 CPU 基本指令的高级语言

编译型

解释型

OOP 则关注交互所涉及的对象。可将这些对象视为被要求执行特定操作或显示特定行为的一组对象。

OOP 可能更可靠，能减少程序变更错误的传播。作为一种编程方法， OOP 更适用千建模或模拟现实生活。

常见的面向对象编程术语：

在配置标识过程中，管理员记录整个组织范围内的软件产品的配置。

配置控制确保对软件版本的变更与变更控制和配置管理策略一致。只有符合这些策略的授权分发能执行更新操作。

用千跟踪发生的所有授权变更的正规过程。

定期的配置审计能够确保实际的生产环境与统计记录一致，并确保没有发生未授权的配置变更。

白盒测试

黑盒测试

灰盒测试

静态测试

动态测试

传递审查
Pass around

结对编程
Pair programming

团队审查

Fagan 检查法
Fagan inspection 

攻击面识别

脚本小子

高级持续性威胁(APT)

计算机病毒主要有两个功能：

病毒传播技术

病毒技术

病毒恶作剧

逻辑炸弹是感染系统并且在满足一个或多个条件（如时间、程序启动、 Web 站点登录、某些按键等）前保持休眠状态的恶意代码对象。大多数逻辑炸弹都由软件开发人员植入用户定制的应用程序中，这些开发人员的目的是在被突然解雇时破坏公司的工作。

逻辑炸弹的形状和大小多种多样。事实上，许多病毒和特洛伊木马都包含逻辑炸弹组件。

逻辑炸弹也可能被恶意开发人员深入集成到现有的系统中，而不是作为独立的代码对象。

特洛伊木马也是一种软件程序，它表面友善，但实际却包含了恶意有效载荷，可能对系统或网络造成破坏。

不同的特洛伊木马在功能上区别很大。

最近，对安全造成重大影响的一类木马是流氓杀毒软件。一旦用户安装了，它就会窃取个人信息或提示用户付款以“更新“流氓杀毒软件。”更新”只是使木马无效而已！

远程访问木马(remote access Trojan, RAT)是特恪伊木马的一个子类，它在系统中打开后门，使攻击者能够远程控制被感染的系统。

其他特洛伊木马旨在窃取受感染系统的计算能力，以挖掘比特币或其他加密货币。通过使用这些计算能力，攻击者获得了经济回报。执行加密货币挖掘的特洛伊木马和其他恶意软件也被称为加密恶意软件。

蠕虫给网络安全带来了重大风险。它们和其他恶意代码对象有相同的破坏潜力，并且另有变化一一不需要人为干预就可以传播它们自己。

互联网蠕虫是互联网上发生的首例主要的计算机安全事件。

Code Red 蠕虫

震网病毒

间谍软件会监控你的行为，并向暗中监视你活动的远程系统传送重要细节。

广告软件在形式上与间谍软件相似，只是目的不同。广告软件使用多种技术在被感染的计算机上显示广告。最简单的广告软件会在你访问网站时在屏幕上弹出广告。恶毒的广告软件则可能监控你的购物行为，并将你重定向到竞争者的网站。

佪谍软件和广告软件都属于潜在有害程序(PUP，potentially unwanted programs) ，用户可能会同意将此类软件安装在其系统上，然后，这些软件在背地里执行用户不希望或未授权的功能。

勒索软件是一种利用加密技术的恶意软件。它感染系统所用的技术和其他类型的恶意软件采用的技术大多相同，然后，勒索软件生成一个只有勒索软件作者知道的加密密钥，并使用该密钥加密系统硬盘和任何已安装的驱动器上的关键文件。加密使授权用户或恶意软件作者以外的任何人都无法访问数据。

遭受勒索软件攻击的组织通常会面临进退两难的境地。那些拥有强大备份和恢复程序的用户在使用这些备份重建系统并进行补救以防止未来感染时，可能会停机一段时间；而那些缺乏数据备份的人则发现，为了重新找回数据，他们不得不支付赎金。

支付赎金的行为可能是违法的！

世界各地的技术专家用脚本和自动化技术来提高工作效率和有效性。

恶意攻击者也可以使用同样的脚本技术来提高效率。特别是， APT 组织经常利用脚本自动化其恶意活动的常规部分。

恶意脚本通常也存在于一类名为“无文件恶意软件”的软件中。这些无文件攻击从不将文件写入磁盘，使其更难被检测到。

许多形式的恶意代码利用了零日 (zero-day) 漏洞（黑客发现的还没有被安全社区彻底修复的安全漏洞）。

系统受零日漏洞影响的主要原因有两个：

零日漏洞的存在使得你有必要对网络安全采取深度防御方法

大约有 83 ％的恶意软件是针对 Windows 平台的

恶意软件开发的一个变化，更多的移动设备和其他平台成为恶意软件的目标。

底线是所有操作系统的用户都应该意识到恶意软件的威胁，并确保他们有足够的防护措施。

绝大多数都会使用被称为基于特征的检测方法来识别系统上潜在的病毒感染。防病毒软件维护一个包含所有已知病毒特征的超大数据库。根据防病毒软件
包的配置设置，它会定期扫描存储介质，检查其中是否有包含符合这些条件的数据的文件。该软件的效力仅与它所基千的病毒定义文件的效力相同。

如果检测到病毒，防病毒软件将执行以下操作之一

还有一些防病毒软件使用启发式机制来检测潜在的恶意软件感染。这些方法分析软件的行为寻找病毒活动的迹象，例如试图提升特权等级，掩盖其电子轨迹，以及更改无关的或操作系统的文件。

一种常见的策略是使系统隔离可疑文件并将其发送给恶意软件分析工具，这在隔离但受监控的环境中执行。如果该软件在环境中行为可疑，它将被添加到整个组织的黑名单中，组织将快速更新防病毒特征以应对新的威胁。

其他安全软件，如文件完整性监控工具，也提供了辅助性的防病毒功能。

这些系统通过维护存储在系统上的所有文件的哈希值来工作。然后将这些存档的哈希值与当前的计算值进行比较，以检测在这两个时段之间被修改的文件。

端点检测和响应(EDR)

托管式检测和响应(MDR)服务

用户和实体行为分析(UEBA)

下一代端点保护工具

当开发人员没有正确验证用户的输入以确保用户输入适当大小的内容时，就会存在缓冲区溢出漏洞。输入太多而“溢出“原有的缓冲区，就会覆盖内存中相邻的其他数据。在最糟的情况下，该数据可用来覆盖系统指令，使攻击者能利用缓冲区溢出漏洞在服务器上执行目标指令。

只要允许用户输入变量，编程人员就应当采取满足下列各项条件的措施。

这种漏洞会导致系统崩溃，甚至可能允许用户运行 shell 命令以获得系统访问权限。缓冲区溢出漏洞在使用通用网关接口(common gateway interface, CGI)或其他语言进行快速 Web 开发的代码中尤其普遍，这种开发方案允许没有经验的编程人员快速生成交互式 Web 页面。

差1错误

攻击者可以根据任务执行的可预测性发起攻击。算法的常见事件序列是：先检查资源是否可用，然后在允许的情况下访问它。检查时间(time of check, TOC)是主体检查客体状态的时间。在返回到客体以访间它之前，可能要做几个决定。当决定访问客体时，过程在使用时间(time ofuse, TOU)访问它。

TOC TOU 之间的差异有时大到足以让攻击者用另一个满足自己需求的客体替换原来的客体。检查时间到使用时间(TOC/TOU TOC/TOU)攻击通常被称为竞态条件，因为攻击者赶在合法过程使用客体之前替换它。

当资源或整个系统的状态发生变化时，攻击者可以尝试在两个已知状态之间采取行动。通信中断也提供了攻击者可能试图利用的小窗口。

TOC/TOU 攻击、竞态条件攻击和通信中断袚称为状态攻击，因为它们攻击的是特定时间、数据流控制以及系统状态之间的转换。

后门是没有被记录到文档中的指令序列，它们允许软件开发人员绕过正常的访问限制。

除了开发人员植入的后门外，许多恶意代码感染系统后也会留后门，以允许恶意代码的开发者远程访问受感染的系统。

攻击者一旦在系统上站稳脚跟，通常会迅速向第二个目标迈进—计各他们的访问权限从普通账号提升为管理员账号。他们通过特权提升攻击来实现此目标。

rootkit 可从互联网上免费获得，它利用操作系统上已知的漏洞。攻击者经常通过使用密码攻击或社会工程获得系统的普通用户账户的访问权哏，然后利用 roo 将访问权限提高到 root（或系统管理员）级别

攻击者无法直接查看结果时，将使用名为盲注的技术进行攻击。

任何将用户提供的输入插入应用程序开发人员编写的代码中的环境都可能受到代码注入攻击。

LDAP 注入攻击

输入验证和转义以及防御性编码对于消除这种威胁至关重要。

XML 注入

DLL 注入攻击

跨站脚本

应用程序代码可能返回到操作系统以执行命令。

Web 开发人员设计的应用程序根据用户在查询字符串或 POST 请求中提供的参数直接从数据库检索信息。

某些 Web 服务器存在安全配置错误，允许用户浏览目录结构并访问本应保密的文件。当Web 服务器允许包含导航目录路径的操作符，并且文件系统访问控制未正确限制对存储在服务器上其他位置的文件的访问时，目录遍历攻击就会起作用。

文件包含攻击将目录遍历提升到下一个级别。文件包含攻击不是简单地从本地操作系统检索文件并将其显示给攻击者，而是实际执行文件中包含的代码，从而使攻击者能够欺骗Web 服务器执行其目标代码。

文件包含攻击有两种变体：

Web 应用程序允许攻击者执行 HTML 注入，将他们自己的 HTML 代码插入网页时，就会发生跨站脚本(cross-site scripting, XSS)攻击。

反射 XSS

存储／持续 XSS

跨站请求伪造(cross-site request forgery, CSRF）

服务器端请求伪造(server-side request forgery, SSRF）

当恶意的个人拦截授权用户和资源之间的部分通信，然后使用劫持技术接管会话并假冒授权用户的身份时，即发生了会话劫持攻击。

常用技术：

边界检查
Bounds checking

输入白名单

输入黑名单

转义元字符

参数污染

WAF 的功能类似千网络防火墙，但它们工作在 OSI 模型的应用层

WAF位于 Web 服务器前面，接收所有到服务器的网络流量。然后，它将检查传给应用程序的输入，在将输入传给 Web 服务器之前执行输入验证（白名单和/或黑名单）。

参数化查询和存储过程

混淆和伪装

代码签名

代码重用

软件多样性

代码仓库

完整性度量

应用程序韧性

层次式数据库

分布式数据库

关系数据库

关系数据库支持事务的显式和隐式使用，从而确保数据的完整性。每个事务都是 SQL指令的离散集，作为一组 SQL 指令，要么执行成功，要么失败。事务的一部分成功而另一部分失败的情况不可能出现。

事务的提交可以是显式的，也就是使用 SQL COMMIT 命令；也可以是隐式的，也就是事务成功结束后进行提交。如果必须中止事务，可显式地使用 ROLLBACK 命令进行回滚；如果硬件或软件出现故障，也可能引起隐式回滚。当一个事务被回滚时，数据库将把自身还原至这个事务开始前的状态。

关系数据库事务都具有 个必需的特征

不会生成错误的语句不会导致事务回滚

多级安全性数据库包含大量不同分类级别的信息，它们必须对分配给用户的标签进行验证，并且根据用户的请求提供适当的信息。

数据库污染

数据库视图

并发性或编辑控制是一种预防性安全机制，它努力确保存储在数据库中的信息总是正确的，或者至少保护其完整性和可用性。不论数据库是多级的还是单级的，我们都可使用这个特性。

未能正确实现并发性的数据库可能遇到以下问题：

并发性使用“锁定“功能允许已授权用户更改数据，同时拒绝其他用户查看或更改数据。
更改完成后，＂解锁“功能才允许其他用户访问所需的数据。

SQL 提供了许多函数，利用这些函数，可以组合来自一个或多个表的记录，以生成潜在有用的信息，这个过程称为聚合。

聚合攻击用于收集大量低级别安全项目或低价值项目，并将它们组合起来以创建更高安全级别或价值的内容。

将深度防御、因需可知和最小特权原则结合起来，有助于防止访问聚合攻击。

推理攻击涉及组合多个非敏感信息，以生成应在更高级别才能访问的信息。

推理利用了人类思维的演绎能力，而不是数据库平台的原始数学能力。

针对推理攻击的最佳防御措施是对授予单个用户的权限保持持续警惕。

可以有意模糊数据来防范推断敏感信息的行为

使用数据库分区来防范这种攻击。

如果一个事务在使用聚合函数汇总存储在数据库中的数据，而另一个事务正在对数据进行修改，则会产生不正确的摘要。

语义完整性确保用户的动作不会违反任何结构上的规则。

还会检查存储的所有数据类型是否都在有效的域范围内，确保只存在逻辑值，并且确认系统遵守所有的唯一性约束。

管理员可能通过时间和日期标记来维护数据的完整性和可用性。时间和日期标记常出现在分布式数据库系统中。如果在所有变更事务上添加时间标记，然后将这些变更分发或复制至其他数据库成员，这些变更会应用千所有成员，但需要按正确的时间顺序来实施。

内容相关的访问控制

单元抑制

上下文相关的访问控制

数据库分区是将单个数据库分解为多个部分的过程，其中每个部分都具有唯一的和不同的安全级别或内容类型。

在数据库的上下文中，如果同一个关系数据库表中的两行或多行具有相同的主键元素，但包含用千不同分类级别的不同数据，就会出现多实例化(polyinstantiation) 。

多实例化常被用作针对某些推理攻击的防范措施，但它引入了额外的存储成本来存储针对不同许可级别设计的数据副本。

管理员可在 DBMS 中插入错误的或误导性的数据，从而重定向或阻止信息保密性攻击

ODBC 扮演了应用程序和后端数据库驱动程序之间代理的角色

键／值存储

图数据库

文档存储

数据在处理时还会经过计锌机的存储资源（内存和物理介质），为了确保这些本本资源免受安全漏洞的威胁，必须采取预防措施。

两个主要威胁

专家系统试图把人类在某个特殊学科累积的知识具体化，并以一致的方式将它们应用于未来的决策。

每个专家系统都有两个主要组件：

优劣完全取决千知识库中的数据和推理引擎采用的决策制订算法。

专家系统在紧迫的情况下有一个主要优点：它们的决策不受情绪影响。

机器学习 (machine learning, ML)技术使用分析能力从数据集中发现知识，而不直接应用人类洞察力。

机器学习技术分为两大类：

在神经网络中，计算单元链用千尝试模仿人脑的生物学推理过程。

神经网络的优点包括线型、输入－输出映射和自适应性

典型的神经网络涉及很多层次的求和，每一层的求和都需要加权信息，以反映在整个决策制订过程中计算的相对重要性。

开发人员必须考虑身份认证。

API 开发人员必须知道何时需要身份认证，并确保验证每个 API 调用的凭证和授权。

API 也必须彻底测试安全缺陷，就像任何 Web 应用程序一样。

注释是优秀开发人员工作流桯的重要组成部分。它们战略性地贯穿于整个代码，记录各种设计选项，解释工作流程，并给其他开发人员提供至关重要的细节，这些开发人员随后可能会被要求修改代码或排查代码中的问题。

开发人员应采取措施确保其代码的注释版本保持机密。

开发人员应该在部署前从生产版本的代码中删除注释。可以保留已存档源代码的注释以供未来开发人员参考，但是不能让互联网上的未知用户访问它们！

许多编程语言包括 try... catch 功能，允许开发人员显式指定如何处理错误。

错误处理的另一面一一过于详细的错误处理例程也可能存在风险。如果错误处理例程对代码的内部工作原理解释得太多，则可能会让攻击者找到利用代码的方法。

一个好的原则是，错误消息仅向用户显示理解问题性质所需的最少信息量，以便开发人员在其控制范围内进行纠正。
然后，应用程序应该在日志中记录尽可能详细的信息，以便调查错误的开发人员纠正根本问题。

在某些情况下，开发人员可能会使源代码包含用户名和密码。

开发人员可以为应用程序创建一个硬编码的维护账户，该账户允许开发人员在身份认证系统失效时重新获得访问权限。这被称为后门漏洞

硬编码凭证的第二种变体发生在开发人员使其源代码包含其他服务的访问凭证时。

资源耗尽

指针解引用

试图未经授权访问互联网的资源

破坏互联网的正常使用

通过这些行为耗费资源（人、容量、计算机）

破坏以计算机为基础的信息的完整性

危害用户的隐私权

保密性

完整性

可用性

泄露(disclosure)

修改(alteration)

破坏(destruction)

过度保护保密性会导致可用性受限。
过度保护完整性也会导致可用性受限。过度保护可用性会导致保密性和完整性受损。

指数据是可信的或非伪造的并源自其声称的来源。

确保事件的主体或引发事件的人不能否认事件的发生。

标识(identification)

身份认证(authentication)

授权(authorization)

审计(auditing)

记账(accounting)或问责制

指简单使用一系列控制中的多个控制。

在串行层中执行安全控制意味着以线性方式连续执行一个又一个控制。

在纵深防御的语境中，除了级别、多级和分层，与此概念相关的其他常用术语还有分类、分区、分域、隔离、孤岛、分段、格结构和保护环。

抽象(abstraction) 是为了提高效率。相似的元素被放入组、类或角色中，作为集合被指派安全控制、限制或许可。抽象使你可将安全控制分配给按类型或功能归类的客体集，由此简化安全。

数据隐藏是指将数据存放在主体无法访问或读取的逻辑存储空间以防止数据被泄露或访问

隐匿(obscurity)，通过隐匿保持安全是指不将客体的存在告知主体，以期主体不发现该客体。

加密(encryption) 科学旨在对非预期的接收者隐藏通信的真实含义或意图。

上层、高级或管理部门负责启动和定义组织的策略。

中层管理人员负责将安全策略落实到标准、基线、指导方针和程序。

操作管理人员或安全专业人员必须实现安全管理文档中规定的配置。

最终用户必须遵守组织的所有安全策略。

战略计划

战术计划

操作计划

应对资产进行净化以防止数据泄露。

对于不再负责相关事宜的员工，应询问其工作完成情况，该过程通常称为离职面谈。

剥离期间，知识产权保护是一个更大的问题。

现场评估

文件交换和审查

过程／策略审查

第三方审计

收购、资产剥离和治理委员会的组织流程。

变更控制/变更管理

数据分类

组织所有者（高级管理者）角色被分配给最终对组织安全的维护负责及最关心资产保护的人员。

安全专业人员、信息安全官(InfoSec) 或计算机事件响应小组(computer incident response team, CIRT) 的角色袚分配给受过培训和经验丰富的网络、系统和安全工程
师门，他们负责落实高级管理者下达的指示。安全专业人员的职责是保证安全性，包括编写和执行安全策略。

资产所有者(asset owner)角色将被分配给在安全解决方案中负责布置和保护信息分类的人员。资产所有者通常是高级管理人员，他们最终对资产保护负责。

托管员(custodian) 角色被分配给负责执行安全策略与高级管理者规定的保护任务的人员。

用户（最终用户或操作者）角色被分配给任何能访问安全系统的人员。

审计人员(auditor) 负责审查和验证安全策略是否被开确执行，以及相关的安全解决方案是否完备。审计人员出具由高级管理者审核的合规性和有效性报告。

COBIT 是由信息系统审计和控制协会(ISACA)编制的一套记录 IT 最佳安全实践的文档。

COBIT 基千六个关键原则进行企业 IT 治理和管理。

包含了美国政府为组织安全提供的通用性建议。

提供针对操作系统、应用程序和硬件的安全配置指引。

对联邦机构制定了强制性要求。 RMF 分为六个阶段：分类、选择、实施、评估、授权和监控。

为关键基础设施和商业组织而设计，由识别、保护、检测、响应和恢复这五个功能构成。

最初由英国政府制订，是一套被推荐的优化 IT 服务以支持业务增长、转型和变革的最佳实践。

FISMA 还要求政府机构将合同商的活动纳入安全管理程序。

主要适用于政府外包商。

NIST SP 800-53: 联邦信息系统和组织的安全和隐私控制。

NIST SP 800-171 ：保护非联邦信息系统和组织中受控的非分类信息。

NIST 网络安全框架(CSF)

要求美国国士安全部建立集中的国家网络安全和通信中心。该中心充当联邦机构和民间组织之间的接口，共享网络安全风险、事件、分析和警告。

组织可能发现自己受制千各种法律（其中许多法律在本章前面提到过）和由监管机构或合同义务强制实施的规定。

支付卡行业数据安全标准(PCI DSS)是合规要求的一个好例子，它是由合同义务（而不是法律）规定的。 PCIDSS 管理信用卡信息的安全性，通过接受信用卡的企业与处理业务交易的银行之间的商业协议条款来强制执行。

PCIDSS是支付卡行业安全标准委员会(PCI SSC)领布的一项标准，但通过商家与其银行之间的合同关系强制被执行。因此，根据PCI DSS 银行是启动调查的适当实体。

第四修正案

1974 年颁布的《隐私法案》

1986 年颁布的《电子通信隐私法案》(ECPA)

1994 年颁布的《通信执法协助法案》(CALEA)

1996 年颁布的《经济间谍法案》

1996 年颁布的《健康保险流通与责任法案》(HIPAA）

2009 年颁布的《健康信息技术促进经济和临床健康法案》(HITECH)

1998 年颁布的《儿童在线隐私保护法》(COPPA)

1999 年颁布的《Gramm-Leach-Bliley 法案》(GLBA)

2002 年的《萨班斯－奥克斯利法案》 (Sarbanes-Oxley Act, SOX)

2001 年颁布的《美国爱国者法案》

《家庭教育权利和隐私法案》 (FERPA)

1998 年，美国总统签署了《身份盗用与侵占防治法》

“隐私预期”

欧盟数据保护指令(DPD)

欧盟《通用数据保护条例》(GDPR)

《个人信息保护和电子文件法》 (Personal Information Protection and Electronic Documents Act, PIPEDA)

《加州消费者隐私法案》 (CCPA)

计算机软件版权是有先例的，它属于文学作品范畴。然而，重要的是必须注意到版权法只保护计算机软件固有的表现形式，即实际的源代码，而不保护软件背后的思想或过程。

法律规定作品的创作者从作品创作完成的那一刻起就自动拥有版权。

版权总是默认归作品的创作者所有。这个规定的例外是：因受雇用而创作的作品。

DMCA 的第一个主要条款是阻止那些试图规避版权所有者对受保护作品采用的保护机制的行为。

DMCA 还限制了当罪犯利用 ISP 线路从事违反版权法的活动时 ISP 应该承担的责任。

版权法用千保护创造性作品；对十用来辨识公司及其产品或服务的文字、口号和标志的商标，也存在保护机制。

保护商标的宗旨是在保护个人与组织的知识产权的同时避免市场混乱。版权保护一样，商标不需要正式注册就能获得法律保护。如果在公共活动过程中用到某个商标，你会自动获得相关商标法律的保护，可使用TM符号来表明你想将文字或标语当作商标来保护。

整个注册过程从开始到结束可能需要一年多的时间。一旦收到来自 USPTO 的注册证书，即可使用＠符号来表示这是已注册的商标。

若要使商标申请被接受，需要满足两个重点要求：

实用专利保护发明者的知识产权。专利提供了自发明之日起（自首次申请之日起）20 年的保护期限

专利有三个重点要求：

专利流氓＂

外观设计专利

许多公司拥有对其业务而言极其重要的知识产权，如果这些知识产权被泄露给竞争对手或公众，将造成重大损失，这些知识产权就是商业秘密。

版权和专利这两种知识产权来保护商业秘密信息，但存在如下两个主要缺点：

为保护商业秘密，必须在组织中实施充分控制，确保只有经过授权的、需要知道秘密的人员才能访问它们。还必须确保任何拥有访问权限的人都遵守保密协议(NDA) 的规定（不与他人共享信息），并对违反协议的行为给予惩罚

《经济间谍法案》条款真正保护商业秘密所有者的知识产权。这项法律的执行要求公司采取充分的措施，确保他们的商业秘密得到很好的保护，而不是被意外地放入公共领域。

四种常见的许可协议类型

目前，美国企业可向几乎所有国家出口高性能计算系统，而不必事先得到政府的批准。

行政调查属于内部调查，它检查业务问题或违反组织政策的行为。它们可作为技术故障排查工作的一部分或支持其他管理过程，如人力资源纪律程序。

刑事调查通常由执法者进行，是针对违法行为进行的调查。刑事调查的结果是指控犯罪嫌疑人以及在刑事法庭上起诉。

民事调查通常不涉及执法，但涉及让内部员工和外部顾问代表法律团队工作。他们会准备在民事法庭陈述案件所需的证据来解决双方之间的纠纷。

政府机构在他们认为个人或企业已违反行政祛规时会执行监管调查。监管机构通常会在他们认为可能发生的地点进行调查。监管调查范围比较广泛，常由政府工作人员执行。

一些监管调查可能不涉及政府机构，相反，它们基于行业标准，如支付卡行业数据安全标准(PCI DSS) 。这些行业标准不是法律，而是相关组织达成的合同义务。某些情况下，包括PCI DSS, 组织可能需要提交独立的第三方进行的审计、评估和调查。不参与这些调查或消极对待调查结果的组织可能面临罚款或其他制裁。

信息治理

识别

保存

收集

处理

检查

分析

产生

呈现

证据必须与确定事实相关。

证据要确定的事实对本案来说是必要的（即相关的）。

证据必须有作证能力，这意味着它必须是合法获得的。通过非法搜查获得的证据，将不被采纳。

实物证据(real evidence)

书面证据(documentary evidence)

言辞证据(testimonial evidence)

演示证据

最佳证据规则(best evidence rule)

口头证据规则(parol evidence rule)

传闻规则

组织分析

选择 BCP 团队

资源需求

法律和法规要求

确定优先级

风险识别

可能性评估

影响分析

资源优先级排序

策略开发

预备和处理

计划批准

计划实施

培训和教育

BCP 文档化

招聘新员工的过程通常包括几个不同步骤：创建岗位描述或职位描述，设置工作级别，筛选应聘者，招聘和培训最适合该岗位的人。

岗位描述定义了需要分配给员丁的角色，以便其执行工作任务。

岗位职责Gob responsibilities)指员工常规执行的具体工作任务。

岗位描述并非专用于招聘过程，应在组织的整个生命周期中对它们进行维护。

背景调查包括：获得候选人的工作和教育背景，检查推荐信，验证学历，访谈同事，核查有关被捕或从事非法活动的警方和政府记录，通过指纹、驾照和 或出生证明验证身份，进行个人面试。根据工作职位的不同，这个过程也可包括技能挑战、药物测试、信用核查、驾驶记录检查和性格测试／评估。

在线背景调查和补交网络账户审查

入职是在组织中添加新员工的流程：让他们审查和签署雇佣协议和策略，向管理人员和同事介绍他们，并使其接受员工操作和后勤方面的培训。

新员工将被提供一个计算机／网络用户账户。这是通过组织的 IAM(identity and access management, 身份和访问管理）系统来完成的， 1AM 提供账户并分配必要的特权和访问权限。当员工的角色或职位发生变化，或者当这个人被授予额外的特权或访问权限时，都可以使用入职流程。

聘用新员工时，应该签署雇佣协议。该协议文件概述了组织的规则与限制、安全策略、详细的岗位描述、违规行为和后果，以及员工担任该职位的最短期限或试用期。

可接受的使用策略(AUP)定义了哪些针对公司设施和资源的活动、实践或使用是可以接受的，以及哪些是不可以接受的。可接受的使用策略专门用于分配组织内的
安全角色，并规定与这些角色相关的职责

NDA 用于防止在职或已离职的员工泄露组织的机密信息。违反保密协议的行为通常会受到严厉惩罚。

在员工实际职责之外，有更高的可能性因为错误而破坏资产的保密性、完整性和可用性

心怀不满的员工有更大的能力故意造成损害

接管员工账户的攻击者有更大的能力造成损害

对于一些组织（主要是金融行业组织）来说，该审查过程的一个关键部分是强制休假。强休假可以被看成一种同行审查过程。这个过程要求员工每年离开工作环境一到两周的时间，同时不能远程访问工作环境。检测原来员工的滥用、欺诈或疏忽行为

当几个人共同完成一起犯罪，这种行为被称为串通(collusion) 。采用职责分离、限制岗位职责、强制休假、岗位轮换和交叉培训等方式，可以降低员工愿意合伙进行非法活动或滥用职权的可能性，因为其被检测到的风险非常高。

从UBA/UEBA 监控收集的信息可用于改进人员安全策略、程序、培训和相关的安全监督计划。

入职是在组织的 IAM(Identity and Access Management, 身份和访问管理）系中中添加新员工的过程。

离职是与入职相反的一个流程，指在员工离开公司后，将其身份从 IAM 系统删除。不过当员工被调动到组织内的新岗位时，特别是当员工要调动到不同的部门、设施或者物理位置时，也可能要使用离职流程。

人员调动可能被视为开除／重新雇用，而不是人员移动。这取决于组织的政策及其认为能最好地管理这一变化的方式。

离职流程还可能要求通知保安人员和其他物理设施与资产访问管理人员，以后不再允许该员工进入。

解雇会议应至少有一名证人在场，最好是一名高级经理和/或一名安保人员。一旦通知员工完成解雇，应该提醒他们雇佣协议、保密协议和任何其他安全相关文件要求前雇员承担的责任以及对他的限制。

离职面谈

在员工收到解雇通知的同时或在此之前，移除或禁用该员工的用户账户。

确保员工已将其交通工具中与家中的所有公司设备或用品们还。

安排一名安保人员陪同被解雇员工在工作区域收拾个人物品。

通知所有安保人员、巡查人员或监控出入口的人员，以确保前雇员在没有护送的清祝下无法再次进入办公大楼。

使用服务水平协议(SLA) 是一种确保提供服务的组织在服务提供商、供应商或承包商以及客户组织达成协议的基础上保持适当服务水平的方法。

VMS 是一种软件解决方案，可以协助人员配备服务、硬件、软件和其他所需产品和服务的管理和采购。

·主动防止未经授权访问个人可识别的信息（即直接关联致个人或组织的数据），被称为个人身份信息(PII)
·防止未经授权访问个人的或机密的信息。
·防止在未经同意或不知情的情况下被观察、监视或检查。

《健康保险流通与责任法案》(Health Insurance Portability and Accountability Act, HIPAA)

2002 年的《萨班斯－奥克斯利法案》 (Sarbanes-Oxley Act, SOX)

《家庭教育权利和隐私法案》(Family Educational Rights and Privacy Act, FERPA)

《金融服务现代化法案》

欧盟的《通用数据保护条例》 (GDPR)

资产(asset)

资产估值

威胁(threat)

威胁代理／主体

威胁事件

威胁向量

脆弱性(vulnerability)

暴露(exposure)

风险(risk)

防护措施(safeguard)

攻击(attack)

破坏(breach)

基于威胁的风险评估

基于资产的风险评估

定性风险分析

定量风险分析

风险偏好是组织愿意在所有资产中承担的风险总量。风险能力是组织能够承担的风险水平。

降低风险或缓解风险是指通过实施防护措施、安全控制和安全对策以减少或消除脆弱性或阻止威胁。

风险转让或风险转移指将风险带来的损失转嫁给另一个实体或组织。

风险威慑是对可能违反安全和策略的违规者实施威慑的过程。目的是说服威胁主体不进行攻击。

风险规避是选择替代的选项或活动的过程，替代选项或活动的风险低于默认的、通用的、权宜的或廉价的选项。

风险接受或风险容忍是成本／收益分析表明控制措施的成本将超过风险可能造成的损失之后的结果。

一个不可接受的但可能发生的风险响应是拒绝风险或忽略风险。否认风险的存在并希望它永远不会发生，并不是有效的或审慎的应尽关心／尽职审查的风
险响应方式。

固有风险是在执行任何风险管理工作之前，环境、系统或产品中存在的自然、原生或默认的风险水平。固有风险也被称为初始风险或起始风险。

一旦采取了防护措施、安全控制或者安全对策，余下的风险就被称为残余风险。残余风险是针对特定资产的威胁，高级管理人员选择不实施防护措施。

总风险指在没有实施防护措施的情况下组织面临的全部风险。

威胁＊脆弱性＊资产价值＝总风险

总风险和残余风险的差额被称为控制间隙。控制间隙指通过实施防护措施而减少的风险。

总风险－控制间隙号戈余风险

控制风险是将安全对策部署到环境中时引入的风险。大多数防护措施、安全控制和安全对策本身就是某种技术。

选择部署任何防护措施时都会使组织付出一定代价。这个代价可能并不是购买成本，而可能是因为生产力降低、重新培训、业务流程变更或其他机会成本等带来的费用。

管理性控制措施是依据组织的安全策略和其他法规或要求而规定的策略和程序。它们有时被称为管理控制、行政控制或者程序控制。

逻辑/技术性控制措施包括硬件或软件机制，可用千管理访问权限以及为 IT 资源和系统提供安全保护。

物理性控制措施是专为设施和真实世界对象提供保护的安全机制。

部署预防控制以阻挠或阻止非预期的或未经授权的活动的发生。

部署威慑控制以阻止违反安全策略的行为。威摄控制和预防控制是类似的，但威慑控制往往需要说服个人不采取不必要的行动。

部署检测控制以发现或检测非预期的或未经授权的活动。检测控制是在活动发生后才运行的，并且只有在活动发生后才能够发现活动。

补偿控制为其他现有的控制提供各种选项，从而帮助增强和支持女全策略。补偿控制可以是另－个控制的补充或替代选项。

纠正控制会修改环境，使系统从发生的非预期的或未经授权的活动中恢复到正常状态。

恢复控制是纠正控制的扩展，但具有更高级、更复杂的能力。安全策略被破坏后，恢复控制尝试修复或恢复资源、功能和能力。

指示控制用于指导、限制或控制主体的行为，以强制或鼓励主体遵守安全策略。

初始级(ad hoc）——所有组织开始进行风险管理时的混乱状态。

预备级(preliminary)——初步尝试遵守风险管理流程，但是每个部门执行的风险评估可能各不相同。

定义级(defined)——在整个组织范围内采用通用或者标准化的风险框架。

集成级(integrated) ——风险管理操作被集成到业务流程中，收集有效性指标数据，风险被视为业务战略决策中的一个要素。

优化级(optimized)—— 风险管理侧重于实现目标，而不仅仅是对外部威胁做出响应；增加战略规划是为了业务成功，而不只是避免事故；并将吸取的经验教训重新纳入风险管理过程。

生产期终止(end-of-life, EOL)是指制造商不再生产产品的时间点。

服务期终止(EOSL)或支持期终止(EOS)系统是指那些不能再从供应商处获得更新和支持的系统。

为联邦机构制定的强制性要求

准备 通过建立管理安全和隐私风险的上下文和优先级，准备从组织级和系统级的角度执行 RMF

分类 根据对损失影响的分析，对系统以及系统处理、存储和传输的信息进行分类。

选择 为系统选择一组初始控制并根据需要定制控制，以根据风险评估将风险降低到可接受的水平。

实施 实施控制并描述如何在系统及其操作环境中使用控制。

评估 评估控制以确定控制是否正确实施，是否按预期运行以及是否产生满足安全和隐私要求的预期结果。

授权 在确定组织运营和资产、个人、其他组织和国家／地区面临的风险是可接受的基础上，授权系统或共同控制。

监控 持续监控系统和相关控制，包括评估控制有效性，记录系统和操作环境的变化，进行风险评估和影响分析，以及报告系统的安全和隐私状况。

为关键基础设施和商业组织设计的

对风险管理理念的高层次概述

ISO/IEC31004“ 风险管理－ISO 31000 实施指南”

ISO/IEC27005“ 信息技术－安全技术－信息安全风险管理”

Treadway 委员会的 COSO 企业风险管理－综合框架

ISACA IT 风险框架

可操作的关键威胁、资产和脆弱性评估(Operationally Critical Threat, Asset, and Vulnerability Evaluation, OCTA VE)

信息风险因素分析(Factor Analysis oflnformation Risk, FAIR)

威胁代理风险评估(Threat Agent Risk Assessment, TARA)

关注资产

关注攻击者

关注软件

通常通过创建事务中的元素图表及数据流和权限边界来完成

简化分析也被称为分解应用程序、系统或环境。这项任务的目的是更好地理解产品的逻辑、内部组件及其与外部元素的交互。

在分解过程中，必须确定五个关键概念。

在降维分析中，安全专业人员将系统分为五个关键要素：信任边界、数据流路径、输入点、特权操作和有关安全控制的细节。

”概率＊潜在损失”排序技术会生成一个代表风险严重程度的编号。

DREAD 评级系统旨在提供一种灵活的评级解决方案，它基于对每个威胁的五个主要问题的回答。

通过使用伪造的身份获得对目标系统的访问权限的攻击行为。

对传输或存储中的数据进行任何未经授权的更改或操纵的行为。

用户或攻击者否认执行动作或活动的能力。

将私有、机密或受控信息泄露或发送给外部或未经授权的实体。

该攻击试图阻止对资源的授权使用。

该攻击是将权限有限的用户账户转换为具有更大特权、权利和访问权限的账户。

权威

恐吓

共识

稀缺性

熟悉

信任

紧追性

获取信息是指从系统或人员那里收集或汇聚信息的活动。

借口是精心制作的虚假陈述，盺起来可信，目的是说服你采取行动或作出有利于攻击者的回应。

通过社会工程收栠的数据可用千支持物理或逻辑哏术攻击。

前置词是在其他通信的开头或标题中添加的一个术语、表达式或短语。通常使用前置词是为了进一步完善或建立社会工程攻击的借口，例如垃圾邮件、恶作剧和网络钓鱼。

网络钓鱼(phishing) 是一种社会工程攻击形式，主要是从任何潜在的目标窃取凭证或身份信息

鱼叉式网络钓鱼(spear phishing)是一种更有针对性的网络钓鱼形式，其中信息是专门针对一个特定用户群体制作的。

网络钓鲸(whaling) 是鱼叉式网络钓鱼的一种变体，针对的是特定的高价值人员（按照头衔、行业、媒体报告等），如首席执行官(CEO)和其他C-层高管、管理员或者高净值客户。

短消息服务(SMS) 网络钓鱼或短信钓鱼(smishing, 叩时消息垃圾邮件）是一种社会工程攻击，它发生在标准文本消息服务之上或通过标准义本消息服务进行。

语音网络钓鱼(vishing, 即基千语音的网络钓鱼）或 SplT（互联网电话垃圾邮件）是通过任何电话或语音通信系统进行的网络钓鱼。

垃圾邮件(spam)是任何类型的不受欢迎和／或未经请求的电子邮件。

子主题

发票诈骗(invoice scam)是一种社会工程攻击，通常通过提供虚假发票然后强烈诱使付款，以期从组织或个人那里窃取资金。

恶作剧(hoax) 是一种社会工程，旨在说服目标执行会导致问题或降低其 IT 安全性的操作。

假冒(impersonation) 是假冒他人身份的行为。

伪装(masquerading)则是业余的和更简单

垃圾箱搜寻(dumpster diving) 是通过挖掘垃圾、废弃设备或废弃地点来获取有关目标组织或个人的信息的行为。

身份盗窃和身份欺诈指的是所有类型的以欺诈或欺骗的方式非法获取和使用他人的个人数据的犯罪，通常是为了获得经济利益

误植域名 (typo squatting) 是一种在用户错误输入目标资源的域名或 1P 地址时捕获和重定向流量的做法。

影响力运动(influence campaign)是试图引导、凋整或改变公众舆论的社会工程攻击。

Doxing 是指收集有关个人或组织（也可以包括政府和军队）的信息，以便公开披露收集的数据，以指向对目标的感知。

混合战争（非线性战争）

社交媒体

实施安全培训的一个前提条件是建立安全意识。建立安全意识的目标是让用户将安全放到首位并认可这一点。安全意识在整个组织中建立了通用的安全认知基线或基础，并聚焦于所有员工都必须理解的与安全相关的关键或基本的内容和问题。

安全意识建立了对安全认知的最小化的通用标准或基础。

培训是指教导员工执行他们的工作任务和遵守安全策略。培训通常由组织主办，面向具有类似岗位职能的员工群体。所有新员工都需要某种程度的培训，这样他们才会遵守安全策略中规定的所有标准、指南和程字。培训是一项南要持续进行的活动，每个员工在任职期间都必须持续接受培训。培训是和神管理性安全控制。

教育是一项更详细的工作，学生／用户学习的内容比他们完成其工作任务实际需要知道的内容多得多。教育最常与寻求资质认证或工作晋升的用户相关联。个人在应聘安全专家时常遇到的要求之一就是教育经历。安全专业人员需要掌握大量的安全知识并对整个组织的本地环境有广泛的了解，而不局限于了解他们的具体工作任务。

安全带头人
安全冠军security champions

游戏化

夺旗演习、模拟网络钓鱼、基于计算机的培训(CBT)和基于角色的培训等。

任何可以识别个人的信息。

与特定个人有关的任何健康信息。

专有数据指任何有助千纠织保持竞争优势的数据，它可以是开发的坎件代码、产品的技术计划、内部流程、知识产权或商业秘密。

绝密(top secret)

秘密(secret)

机密(confidential)

未分类(unclassified)

“仅供官方使用 ”(for official use only, FOUO)

“敏感但未分类”(sensitive but unclassified, SBU)

机密／专有(confidential/proprietary)

私有(private)

敏感(sensitive)

公开(public)

物理标签在整个生命周期内会一直存留在系统或介质上。

标记还包括数字标记或标签的使用。一种简单方法是将分类标签放在文档的页眉或页脚，或在其中嵌入水印。页眉、页脚和水印的另一个好处是， DLP 系统可识别包含敏感信息的义档，并应用适当的安全控制。

硬件资产包括计算机、服务器、路由器、交换机和外围设备等 IT 资源。许多组织使用数据库和库存应用程序在整个设备生命周期内执行资产盘点和跟踪硬件资产。

条形码/射频识别(radio frequency identification, RFID)标签

在处理设备之前，员工会对其进行净化(sanitize) 。当设备使用周期结束时，员工很容易忽视其存储的数据，因此通常应使用检查表(checklist) 来清理系统。检查表包含对系统内各类介质的净化步骤，净化对象包括系统内置硬盘、非易失性存储器，以及 CD DVD USB 闪存驱动器等可移动介质。

软件资产包括操作系统和应用程序。组织会支付软件费用，并通常使用许可密钥(license key)来激活软件。激活过程往往需要通过互联网连接许可服务器，以防止盗版行为。如果许可密钥被泄露到外部，可能导致组织内使用的许可密钥失效。还应监测软件的许可合规来避免法律纠纷，这一点也非常重要。

组织不会使用库存方式来盘点无形资产。但是，组织需要跟踪无形资产并加以保护。

高级管理团队通常是无形资产的所有者。他们试图通过评估资产为组织带来的收益来确定无形资产的价值。

大型组织使用公认会计原则(GAAP)在其资产负债表上报告无形资产的价值。这种做法便于组织至少每年审查一次无形资产。

数据所有者(data owner)（有时被称为组织所有者或高管）是对数据负有最终组织责任的人。所有者通常是首席运营官(CEO) 、总裁或部门主管(DH)

数据所有者识别数据的分类并确保它被正确地标记。他们还确保它在分类和组织的安全策略要求的基础上有足够的安全控制。所有者如未能在制订和执行安全策略时在保护和维持敏感资料方面进行尽职审查，则可能需要对其疏忽负责。

数据所有者，负责数据分类，为每个分类的数据选择合适的安全控制/建立适当的使用保护数据的规则

资产所有者（或系统所有者）是拥有处理敏感数据的资产或系统的人员。

业务所有者也可使用被其他实体管理的系统。例如，销售部门是业务所有者， IT 部门和软件开发部门是销售流程中使用的系统的所有者。

业务所有者需要平衡好创造价值、业务监管、业务安全和其他要求。在这样的需求下，越来越多的公司采用了像COBIT这样的框架。

任何处理数据的系统都可以被称为数据处理者。

GDPR 将数据处理者定义为＂仅代表数据控制者处理个人数据的自然人或法人、公共权力机构、代理机构或其他机构”。

主要工作时监督数据。

数据所有者常将日常任务委托给数据托管员(custodian) 。托管员通过正确存储和保护数据来帮助保护数据的完整性和安全性。

该术语在不同的上下文中有着不同的含义。许多组织将任何具有高级权限的人员都视为管理员，即使他们没有完全的管理权限。

系统管理员的主要工作是授予数据管理员访问权限，其次负责落实安全控制措施。

用户是通过计算系统访问数据以完成工作任务的人。用户只能访问执行上作任务所需的数据。也可将员工或最终用户视为用户。

主体是访问文件或文件夹等客体的任何实体。主体可以是用户、程序、进程、服务、计算机或任何其他可以访问资源的东西。

GDPR 将数据主体（不仅仅是主体）定义为可以通过标识符（如姓名、身份训号或其他方式）识别的个人。

一种方法是手动，人员将数据从未分类网络复制到 USB 设备并将其携带到分类网络。

另一种方法是使用单向网桥，这将两个网络连接起来，们只允许数据从一个方向传轮，即从未分类网络到分类网络。

第三种方法是使用技术防护解决力案，它是放置在两个网络之间的硬件和软件的组合。

净化指直接销毁介质或使用可信方法从介质中清除机密数据而不销毁它。

擦除(erasing)

清理(clearing)

清除(purging)

消磁(degaussing)

销毁(destruction)

清理Clearing

清除Purging

遵循公司的清除流程，然后降级并更换标签。首先进行重新标记可能导致故障，导致组织使用未清除的介质。

如果数据在设备上是加密的，则可以使用加密擦除或加密粉碎来销毁数据。在使用云存储时，销毁加密密钥可能是组织可用的唯一安全的删除形式。

静态数据（有时被称为存储中的数据）是存储在系统硬盘、固态驱动器(SSD)外部 USB 驱动器、 SAN（存储区域网络）和备份磁盘等介质上的任何数据。

传输中的数据（有时被称为动态数据）是通过网络传输的任何数据。
对称加密和非对称加密的组合使用可以保护传输中的数据。

使用中的数据（也被称为处理中的数据）是指应用程序所使用的内存或临时存储缓冲区中的数据。
当不再需要这些数据时，则必须刷新内存缓冲区。
应用程序可以使用同态加密技术处理加密数据。

安全基线提供了一个基点并确保了最低安全标准。组织经常使用的安全基线是映像。

将系统部署为安全状态后，审计进程会定期检查系统以确保它们一直处于安全状态。例如， Microsoft 组策略可定期检查系统并章新应用设置以匹配基线安全状态。

选择控制基线后，组织通过定制(tailoring)和范围界定(scoping) 流程对其进行微调。

定制过程的很大一部分是使控制措施与组织的特定安全要求保持一致。

定制是指修改基线内的安全控制列表以使其符合组织的使命。NIST SP 800-53B 正式将其定义为“组织范围内风险管理流程的一部分，包括构建、评估、响应和监控信息安全和隐私风险”，并指出它包括以下活动：

·识别和指定通用控制措施
．应用范围界定事项
．选择补偿杜控制
·分配控制措施价值

范围界定指审查基线安全控制列表，并且仅选择适用于你要保护的 IT 系统的安全控制措施。或者，简而言之，范围界定过程消除了基线中推荐的一些控制措施。

数据丢失预防(DLP)系统试图检测和阻止导致数据泄露的尝试。这些系统具有扫描未加密数据以查找关键字和数据模式的能力。

管理员可以设置一个 DLP 系统来根据自己的需求查找任何模式。基于云的 DLP 系统可以查找相同的代码字符或字符串。

DLP 系统分为两种主要类型

DLP 系统通常可以执行深度检查。例如，如果用户将文件嵌入压缩的 zip 文件中， DLP系统仍然可以检测到关键字和模式。但是， DLP 系统无法解密数据或检查加密数据。

大多数 DLP 解决方案还包括内容发现功能。目标是发现内部网络中有价值数据的位置。当安全管理员知道数据在哪里时，他们可以采取额外的步骤来保护它。

DLP系统使用规则查找传输中的数据，而不是搜索静态和存储中的数据。“敏感数据扫描工具”被设计通过使用已知格式和结构来扫描和标识敏感数据类型。

数字版权管理(digital right management, DRM)方法试图为受版权保护的作品提供版权保护。其目的是防止未经授权使用、修改和分发知识产权等受版权保护的作品的行为。

DRM 解决方案

有时使用隐写术将数字水印放置在音频或视频文件中。它们不会阻止复制，但可用于检测未经授权的文件复制。它们还可用于版权执法和起诉。同样，元数据有时会被放入文件中以识别买方。

数字水印用于识别文件的所有者。用于帮助识别文件持有人的内嵌数据

DRM 方法用于保护受版权保护的数据，但不用于保护商标、专利或商业秘密。

云访问安全代理(CASB)是指逻辑位置上处于用户和基于云的资源之间的软件。它可部署在本地或云端。任何访问云的人都须通过 CASB 软件。它监控所有活动并执行管理员定义的安全策略。

CASB 通常包括身份认证和授权控制，并确保只有授权用户能访问本资源。 CASB 还可记录所有访问、监控活动并发送可疑活动警报。通常，组织内部创建的任何安全控制都可被复制到 CASB 。这包括组织实施的任何 DLP 功能。

CASB 解决方案还可有效地检测影子 IT 。影子 IT 是指在 IT 部门尚未批准甚至不知情的情况下使用 IT 资源（如云服务）。CASB解决方案检测影子 IT 的一种方法是收集和分析来自网络防火墙和 Web 代理的日志。

假名化是一个使用假名来表示其他数据的过程。当假名化被有效执行时，可能不需要遵守那么严格的要求，否则将需要遵守欧盟(EU) 《通用数据保护条例》 (GDPR)

假名就是别名。

假名可防止攻击者直接通过数据识别实体，比如识别出个人。要有另外一个资源（如另外一个数据库）允许你使用假名在其中读取原始数据。

令牌化是使用一个令牌（通常是一个随机字符串）来替换具他数据的做法。它经常用用卡交易中。

将信用卡与智能手机关联起来

过去，信用卡数据曾在 POS 系统中被拦截和窃取。但是，当使用令牌化时， POS 系统不会使用或知道信用卡号码。

经常性收取费用的电子商务网站也使用令牌化。电子商务网站不收集和存储信用卡数据，而是从信用卡处理器获取令牌。该电子商务网站并不持有任何敏感数据。即使攻击者获得了令牌并试图对其进行攻击，也会失败，因为支付只会被电子商务网站接收。

匿名化是删除所有相关数据的过程，使攻击者理论上无法识别出原始主体或个人。如果有效地完成了匿名化，匿名数据就不必再遵守 GDPR。

你很难将数据真正匿名化。个人数据即使已被删除，也能被数据推断技术识别出来。这有时被称为匿名化数据的重新识别。

随机屏蔽是一种匿名化数据的有效方法。随机屏蔽是指交换单个数据列中的数据，从而使每一条记录不再代表真实的数据。但是，数据仍然保持一个可用于其他目的的聚合值，比如科学目的。

与假名化和令牌化不同，匿名化过程是不可逆转的。使用随机屏蔽的方式匿名化数据后，该数据是无法恢复到原始状态的。

“不自我重复"(DRY)

计算极简主义

最低耗能规则

• ·主动而非被动，预防而非修补
• • 以默认方式保护隐私
• • 隐私嵌入式设计
• ·所有功能——正和而非零和
• ．湍到端安全——全生命周期保护
• ·可见性和透明性
• ·尊重用户隐私

进程限定(confinement)使进程只能对某些内存位置和资源进行读和写。这也就是所谓的沙箱(sandboxing) ，即对进程执行最小特权原则。限定的目的是防止数据被泄露给未经授权的程序、用户或系统。

系统上运行的每个进程都被分配了一个授权级别。授权级别告知操作系统该进程可以执行哪些操作。简单系统中可能只有两个授权级别：用户和内核。

进程的界限(bound) 由一些限制组成，这些限制规定了进程可以访问的内存地址和资源。界限将进程的活动限定或制约在特定的区域内。

界限可以充当执行限定的手段。

当一个进程因访问界限的执行而被限定时，它就是在隔离状态下运行。

隔离(isolation) 是用来保护操作环境、操作系统内核以及其他独立应用程序的。隔离是稳定的操作系统的重要组成部分。隔离能阻止一个应用访问另一应用的内存或资源，不论访问是善意的还是恶意的。隔离使软失效环境得以实现，被隔离的进程无论是正常运行还是失效／崩溃，都不会干扰或影响其他进程。隔离
的实现依赖于限制的执行（以设置界限的方式）。

限定确保活跃进程只能访问特定资源（如内存）

界限是对进程的授权限制，使进程只能与规定的资源交互，且只被允许进行特定类型的交互。

隔离则是通过界限执行限定的手段。

访问控制限制主体对客体的访问。访问规则规定了每个主体可以合法访问的客体。

可信系统(trusted system) 是指所有保护机制协同工作，可为许多类型的用户处理敏感数据，同时使计算环境保持稳定、安全的系统。换句话说，信任是安全机制、功能或能力的体现。

保证(assurance) 是指满足安全需求的可信程度。换句话说保证体现了安全机制在提供安全保护方面有多可靠。保证必须持续保持、即时更新和反复验证。

信任可通过执行特定的安全性能以融入系统，而保证则是对这些安全性能在现实中表现出来的可靠性和实用性做出的评价。

系统的安全边界(security perimeter)是一个假想的边界，可将 TCB 与系统的其余部分分隔开来

TCB 中负责在授权访问请求之前验证对每个资源的访问的部分被称作参考监视器(reference monitor) 。

TCB 中用千执行参考监视器功能的组件集合被称为安全内核(security kernel) 。

级联(cascading) ：一个系统的输入来自另一系统的输出。

反馈(feedback) ：一个系统向另一系统提供输入，由后者进行角色互换

连接(hookup) ：一个系统在把输入发送给另一系统的同时还将其发送给了外部实体。

• ·获取规则：允许主体获取客体的权限。
• ·授予规则：允许主体向客体授予权限。
• ·创建规则：允许主体创建新权限。
• ·移除规则：允许卞体移除自己拥有的权限。

简单安全属性(Simple Security Property) 规定主体不可读取更高敏感度级别的信息（不可向上读）。

＊安全属性(*Security Property) 规定主体不可把信息写进较低敏感度级别的客体（不可向下写）。这也被称为限定属性(Confinement Property)

自主安全属性(Discretionary Security Property) 规定系统通过一个访问矩阵执行自主访问控制。

简单完整性属性(Simple Integrity Property) 规定主体不能读取较低完整性级别的客体（不可向下读）。

＊完整性属性(*Integrity Property) 规定主体不能修改较高完整性级别的对象（不可向上写）。

子主题

受约束数据项(constrained data item, CDI)指完整性受安全模型保护的任何数据项。

无约束数据项(unconstrained data item, UDI)指不受安全模型控制的任何数据项。任何输入但未经验证的数据或任何输出，都属于无约束数据项。

完整性验证规程(integrity verification procedme, IVP)指扫描数据项并确认其完整性的规程。

转换规程(transformation procedure, TP)指玻允许修改 CDI 的唯一规程。通过 TP 限制对CDI 的访问，这一方法构成 Clark-Wilson 完整性模型的支柱。

保护轮廓(protection profile, PP)

安全目标(security targets, ST)

安全性能包是“安全要求”成分的中间分组，既可被添加到受评估对象中，也可从受评估对象中移除（就像购买新车时的选项包）

EAL1 功能测试

EAL2 结构测试

EAL3 系统性测试和检查

EAL4 系统性设计、测试和审查

EAL5 半正式设计和测试

EAL6 半正式验证、设计和测试

EAL7 正式验证、设计和测试

验证过程与认证过程类以，因为它验证了安全控制。通过涉及第三方测试服务和得出广为信任的结果，验证可以进一步进行。

鉴定是管理层正式接受评估的系统，而非评估系统本身的行为。鉴定是指定审批机构(DAA)正式声明：T系统被批准在特定安全模式下使用规定的一套保障措
施在可接受的风，险水平下运行。一旦鉴定完毕，管理层就可以正式认可评估系统的整体安全性能。

认证是对T系统以及为支持鉴定过程而制定的其他保护措施的技术和非技术安全功能的综合评估，从而确定特定设计和实施满足一组特定安
全要求的程度。

• ．操作授权的时间期限到期。
• ·系统遭遇严重安全事件。
• ·系统发生重大安全变化。

操作授权

通用控制授权

使用授权

拒绝授权

未经授权的进程可以利用 Meltdown 漏洞读取系统内核内存中的隐私数据。而 Spectre漏洞可以让人从其他正在运行的应用程序中批量窃取内存数据。

中央处理单元(central processing unit, CPU) 通常被称作处理器(processor) 或微处理器(microprocessor)

CPU 本身却只能执行一组有限的计算和逻辑操作，为了使 CPU 能够以超快的速度执行计算和逻辑操作。

多任务处理

多核

multistate

多重处理

多程序设计

多线程

保护环

进程状态

用户模式

特权模式

只读存储器

随机存取存储器

动态 RAM 与静态 RAM

寄存器

内存寻址

二级内存

主存储设备与辅助存储设备

易失性存储设备与非易失性存储设备

随机存取与顺序存取

存储器的安全问题

发射安全

显示器

打印机

键盘 /鼠标

调制解调器

BIOS 包含计算机启动和从磁盘加载操作系统时所需的独立于操作系统的原始指令。

UEFI 还包含一个独立于 CPU的架构、一个具有网络支持、测量启动、引导认证（即安全引导）以及向后向前兼容的灵活预操作系统环境。

更新 UEFI、 BIOS 或固件的过程被称为刷新

applet 是服务器发送给客户瑞以执行某些操作的代码对象。 applet 实际上是独立于发送它们的服务器执行的自包含微型程序，即移动代码。

Java applet 和 ActiveX 控件是 applet 类型小程序历史上的两个例子。

JavaScript 是世界上应用最广的移动代码脚本语言，它通过<script></script> 附件标签嵌入（包含在） HTML 文档。

DNS 缓存

ARP 缓存

临时互联网文件

对称多处理(symmetric multiprocessing, SMP)

非对称多处理(asymmetric multiprocessing, AMP)

大规模并行处理(massive allel processing, MPP)

网格计算(grid computing)是一种并行分布式处理形式，它对大量处理节点进行松散的分组，使其共同去实现一个特定处理目标。

网格计算的最大安全问题是：每个工作包的内容都有暴露给外界的可能。

网格计算通常用一个核心中央服务器来管理项目，跟踪工仵包并染成返回的工作段落。

网格计算还存在这样一种潜在风险：有人可通过入侵中央网格服务器来攻击网格成员或欺骗网格成员执行非网格社区预期目的的恶意操作。

对等网络(peer-to-peer, P2P)技术是在伙伴之间共享任务和工作负载的联网和分布式应用解决方案。

PLC 单元其实是单用途或专用数字计算机。

用于以独立的方式控制单个设备。

DCS 侧重于流程，是状态驱动的

用于在有限的物理范围内连接多个PLC, 以便通过网络实施集中控制、管理和监督。

侧重于数据收集，是事件驱动的。

SCADA 系统可作为独立设备运行，也可与其他 SCADA 系统联网，或者与传统 IT 系统联网。 SCADA 常被称为一个人机界面(HMI) ，因为这样能让人更好地理解、监督、管理和控制复杂的机器和技术系统。

把这一点扩展到大规模物理区域，从而把多个 DCS 和各个 PLC 相互连接起来。

静态环境是一组静止不变的条件、事件和周围事物。

静态 IT 环境是指原本就不打算让用户和管理员改变的任何系统。它的目标是防止用户实施有可能导致安全性或性能下降的更改，或者至少减少这种可能性。静态系统也叫非持久性环境或无状态系统

静态系统的例子包括机场的值机柜台、 ATM 机以及通常在洒店或图书馆免费供客人使用的计算机。这些客户计算机经配置可为用户提供临时桌面环境，用于执行有限范围的任务。

可联网设备(network-enabled device) 是指具备本机联网能力的任何类型的设备——无论是移动的还是固定的。

信息物理融合系统(cyber-physical system)指可提供计算手段来控制物理世界中某物的设备。

信息物理融合设备和系统属于由机器人技术和传感器组成的网络中的关键元素。

有些嵌入式和专用系统依靠可更换或可充电电池运行。这些能量上的局限性会限制运行速度，进而限制安全组件的执行。

大多数嵌入式系统和专用系统都使用能力较低的 CPU 。

许多嵌入式和专用系统联网能力有限。

许多嵌入式和专用系统无法处理高端加密。

一些嵌入式和专用系统很难打补丁，而其他的甚至可能根本无法打补丁或升级。

一些嵌入式和专用系统不用身份认证来控制主体或限制更新。

由于天线功率低，一些嵌入式和专用系统的传输范围有限。

一些嵌入式和专用系统的成本较低，因此它们可能不包含必要的安全性能。

与供应链问题类似，机构使用嵌入式或专用系统时，会自动信任设备供应商及其背后的云服务。

大多数系统在设计上只注重最大限度地降低成本和减少无关性能。这往往会导致系统缺乏安全机制并造成升级或打补丁困难。

安全治理

虚拟应用程序(virtual application) 或虚拟软件(virtual software) 是这样一种软件产品：它的部署方式会让访问者误认为自己正在与整个主机操作系统交互。

虚拟化网络(virtualized network) 或网络虚拟化(network virtualization) 是指将硬件和软件网络组件组合成一个集成的实体。

软件定义一切(software-defmed everything, SDx)指的是通过虚拟化用软件取代硬件的一种趋势。 SDx 包括虚拟化、虚拟化软件、虚拟化网络、容
器化、无服务器架构、基咄设施即代码、软件定义网络、虚拟存储区域网(VSAN)、软件定义存储(SDS ）、虚拟桌面基础设施(VDI) 、虚拟移动基础设施(VMI)、软件定义可见性(SDV)和软件定义数据中心(SDDC)

软件定义可见性(software-defined visibility, SDV)是一个推动网络监控和响应进程实现自动化的框架。

hypervisor代表一个额外的受攻击面

每个虚拟机的客户操作系统仍然需要单独更祈。

虚拟机蔓延(VMsprawl)

服务器蔓延或系统蔓延

影子 IT(shadow IT)

虚拟机逃逸(VMescaping)

移动设备管理

设备身份认证

全设备加密

通信保护

远程擦除

设备锁定

屏幕锁

GPS 和定位服务

内容管理

应用程序控制

推送通知

第三方应用商店

存储分段

资产跟踪和存货控制

可移动存储

连接方法

禁用无用性能

生根或越狱

旁加载

自定义固件

运营商解锁

固件无线更新

密钥管理

凭证管理

手机短信

自带设备

公司拥有，个人使用

自选设备

公司拥有移动设备战略

移动设备部署策略的细节

数据的拥有权

对拥有权的支持

补丁和更新管理

安全产品管理

取证

隐私

列装／退役

遵守公司策略

用户接受

架构／基础设施方面的考虑

法律问题

可接受的使用策略

板载相机／摄像头

可录音的麦克风

Wi-Fi Direct

网络共享和热点

无接触支付方式

SIM 卡克隆

进程隔离(process isolation) 要求操作系统为每个进程的指令和数据提供单独的内存空间。

硬件分隔(hardware segmentation)与进程隔离类似，旨在阻止人员对属千不同进程／安全级别的信息的访问。主要区别在于，硬件分隔通过使用物理硬件控制（而不是操作系统强加的逻辑进程隔离控制）来达到这些目的。

系统安全策略的作用是告知和指导特定系统的设计、开发、实现、测试和维护。

隐蔽通道(covert channel) 是指在不常被通信使用的路径上传递信息的一种方法。

隐蔽通道分两种基本类型。

维护陷阱或后门

rootkit 可以操纵能被操作系统看到并显示给用户的信息。 rootkit 可以更换操作系统内核，在内核下填充其自身，更换设备驱动程序，或者渗透应用程序库，从而使操作系统把 rootkit提供给它或对它隐藏的任何信息都看作正常的和可接受的。

对抗 rootkit 的最佳保护手段是防御而不是响应，也就是说，预防感染是第一位的。

有些形式的攻击以缓慢、渐进的方式发生，而不是通过明显或可识别的尝试来危害系统的安全性或完整性。这便是增量攻击(incremental attack)

数据欺骗(data diddling)

萨拉米香肠攻击(salami attack)

密码学的4个基本目标

密码学概念

密码数学

代码与密码

移位密码

替换密码

单次密本

运动密钥密码/书密码(book cipher)

块密码

流密码

混淆和扩散

对称密码

非对称密码

哈希函数

数字签名

数字证书(certificate) 向通信双方保证，与之通信的确实是他们声称的人。数字证书其实就是一个人的公钥的签注副本。当用户证实一份证书是由一个可信的发证机构(CA)签发时，他们知道，公钥是合法的。

数字证书内含具体识别信息，它们的构成受国际标准 X.509 辖制。

发证机构(certificate authority, CA)是将公钥基础设施结合到一起的粘合剂。这些中立机构提供数字证书公证服务。

注册机构(registration authority, RA)分担了 CA 签发数字证书前验证用户身份的工作。 RA虽然本身并不直接签发证书，但是它们在认证流程中扮演了重要角色，使 CA 能够远程验证用户的身份。

发证机构必须严密保护自己的私钥以维护自己的信任关系。为了做到这一点，他们往往用一个离线 CA (oflline CA)来保护自己的根证书(root certificate) ，即整个 PK.I 的顶级证书。这个离线 CA 不被需要时与网络断开连接并关闭电源。离线 CA 用根证书创建次级中间 CA(intermediate CA) ，这些中间 CA 充当在线 CA (online CA) ，常规签发证书。

这种 CA 信任模式会使用一系列中间 CA, 形成所谓证书链(certificate chaining) 。为了验证证书，浏览器首先验证中间 CA 的身份，然后沿信任路径追溯到已知的根 CA, 验证信任链中每一环的身份。

发证机构不一定是第三方服务提供商。许多机构运营自己的内部 CA, 这些 CA 提供自签证书(self-signed certificate) 以便机构内部使用。这些证书不会被外部用户的浏览器估任，但是内部系统经配置以后可信任内部 CA, 从而节约从第三方 CA 获取证书的费用。

注册

验证

注销

最常见的二进制格式是区分编码规则(DER)格式。 DER 证书通常保存在带．der .crt 和 .cer 扩展名的文件中。

隐私增强邮件(PEM)证书格式是 DER 格式的一种 ASCII 文本版。 PEM 证书通常保存在带.pem 或 .crt 扩展名的文件中。

个人信息交换(PFX)格式通常被 Windows 系统使用。 PFX 证书以二进制格式保存，可使用.pfx .pl2 文件扩展名。

Windows 系统还使用 P7B 证书，这种证书以 ASCII 文本格式保存。

所用密钥的长度应在安全要求和性能考虑之间取得平衡。

还要保证密钥确实是随机生成的。

根据自己的密钥使用频率为密钥挑选一个适当的轮换时限。如果可行，你可能需要每隔几个月更换一次密钥对。

还必须备份自己的密钥！当你因为数据损毁、灾害或其他情况而丢失保存私钥的文件时，你肯定需要一个可用的备份。

硬件安全模块(hardware security module, HSM) 也提供管理加密密钥的有效方法。这些硬件设备以某种安全的方式存储和管理加密密钥，使人员不必直接接触密钥。许多 HSM 还能提高密码运算效率，形成所谓硬件加速流程。

硬盘加密能力

基于硬件的可信平台模块(TPM)

良好隐私

S/MIME

安全套接字层（SSL）

传输层安全（TLS）

洋葱网和暗网

隐写术(steganography) 是通过加密技术把秘密消息嵌入另一条消息的技艺。隐写算法的工作原理是从构成图像文件的大量位中选出最不重要的部分并对其作出改动。

线路加密

IPsec

区块链

轻量级加密

同态加密

彩虹表为密码哈希提供预先算出的值。彩虹表通常用千破解以哈希形式保存在系统中的口令。

专为暴力破解攻击设计的可扩展计算硬仵可以人幅提高这一攻击手段的效率。

密码盐是一个随机值，在操作系统对口令进行哈希运算之前被添加到口令末尾。盐随后与哈希值一起保存在口令文件中。PBKDF2、 bcrypt、 scrypt 等专用于口令的哈希函数允许利用盐创建哈希，同时采用一种名为密钥拉伸(key stretching) 的技术增加猜测口令的难度。

如果这些字母也在密文中使用得最频繁，则密码可能是一种移位密码，即重新排列了明文字符而未加任何改动的密码。

如果密文中使用得最频繁的是其他字母，则密码可能是某种替换密码，即更换了明文字符的密码。

当网络上禁用 NTLM 时，可以使用这种方法替代哈希传递攻击。即使网络上禁用 NTLM, 系统仍会创建 NTLM 哈希值并将其存储在内存中。攻击者可以使用用户口令哈希值请求票证授予的票证(TGT) 并使用 TGT 访问网络资源。这种攻击有时被称为传递密钥。

票证传递攻击中，攻击者试图获取 lsass.exe 进程中保存的票证。在获取票证后，攻击者注入票证以冒充用户。

白银票证使用截获的服务账户 NTLM 哈希值来创建票证授予服(TGS)票证。服务账户使用 TGS 票证，而不是 TGT 票证。白银票证授予攻击者服务账户的所有特权。

如果能获得 Kerberos 服务账户(KRBTGT) 的哈希值，攻击者就可以在活动目录中随意创建票证。这给了攻击者非常大的权力，因此被称为黄金票证。 KRBTGT 账户使用其口令的哈希值对域内的所有 Kerberos 票证进行加密和签名。因为 KRBTGT 账户的口令永远不会改变，其哈希值永远不会改变，所以攻击者仅需要获取一次哈希值。如果能获得域管理员账户的访问权限，攻击者就可以远程登录域控制器并运行 血如血来提取哈希值。黄金票证允许攻击者创建伪造的 Kerberos 票证并为任何服务请求 TGS 票证。

攻击者可以在 Linux 系统上运行 Python 脚本 kerbrute.py 或在Windows 系统上运行 Rubeus 。除了猜测口令，这些工具还可猜测用户名。 Kerberos 回复用户名是否有效。

此攻击识别未启用 Kerberos 预身份认证的用户。 Kerberos 预身份认证是Kerberos 的一项安全功能，有助于抵御口令猜测攻击。禁用预身份认证后，攻击者可以向 KDC发送身份认证请求。 KDC 将回复一个票证授予票证(TGT) ，使用客户端的口令进行加密。然后攻击者可以发起离线攻击来解密票证并发现客户端的口令。

此攻击收集加密的票证授予服务(TGS)票证。服务账户使用 TGS 票证。TGS 票证由用户账户上下文中运行的服务使用。此攻击试图找到没有 Kerberos 预身份认证的用户。

安全设施计划(secure facility plan) 需要列出组织的安全需求，并突出用于保障安全的方法及机制。该计划是通过风险评估和关键路径分析来制订的。

关键路径分析(critical path analysis) 是一项系统性工作，用于找出任务关键型应用程序、流程、运营以及所有必要的支撑元素间的关系。

设计安全 IT 基础设施的第一步是满足组织环境及信息设备的安全要求。这些基本要求包括电力、环境控制（建筑、空调、供暧、湿度控制等）以及供水／排水。

与关键路径分析同等重要的是针对已完成的或潜在的技术融合的评估。技术融合(technology convergence) 指的是各种技术、解决方案、实用程序及系统，随时间的推移而发展、合并的趋势。这通常会造成多个系统执行相似或兀余的任务，或者一个系统取代另一个系统的特殊功能。

信息安全人员应参与站点与设施的设计。否则，物理安全的很多重要方面可能会被忽视，而这些方面又是逻辑安全至关重要的基础。

安全设施计划基于分层防御模型。只有利用重叠的物理安全层，才能针对潜在入侵者建立合理的防御。

站点位置与施工建造在整个选址过程中起着至关重要的作用。此外，还要重点考虑站点是否靠近其他建筑物与商业区。

工业伪装(industrial camouflage) 是指通过提供一个让人信服的外表替代方案来掩盖或隐藏设施的实际功能、目标或运营业务。例如，数据中心可能看起来像食品包装设施厂。

安全的首要任务应始终是保护人员的生命和安全。因此，要确保所有设施设计和物理安全控制符合所有适用的法律、法规。

CPTED（通过环境设计预防犯罪）

CPTED 有三种主要策略：

安全控制的部署首先要能够“威慑＂（例如使用边界限制）入侵者并抑制其接近物理资产的企图。

如果威慑无效，应“拒绝”（如采用上锁的门）入侵者接触物理资产。

如果拒绝失败，“检测”系统应能及时发现入侵行为（如使用运动传感器）。

如果入侵者入侵成功，＂延迟”措施应尽晕延迟入侵者的闯入，以便安保人员有充分时间做出响应（如加固资产）。

安保人员或法律机构应判定事件原因或评估情况

然后根据评估结果决定实施什么应对措施，例如逮捕入侵者或收集进一步调查的证据。

MTTF 是特定操作环境下设备典型的预期寿命。

MTTR 是对设备进行修复所需的平均时间长度。

是第一次与后续的任何故障之间的间隔时间估值。

• ·永远不要把配线佪用作一般的储物区。
• ·配备充足的门锁，必要时采用生物因素。
• ·保持该区域的整洁。
• ．该区域中不能存储易燃品。
• ·配备视频监控设备以监视配线间内的活动。
• ．使用开 f] 传感器以进行日志记录。
• ·钥匙只能由获得授权的管理员保管。
• ·对配线间进行常规的现场巡视以确保其安全。
• ·将配线间纳入组织的环境管理和监控中，这样既能够确保合适的环境控制和监视，又能及时发现水灾和火灾之类的危险。

1. 智能卡和胸卡

2. 接近式设备

入侵检测系统

• ．将存储介质保存在上锁的柜子或保险箱里，而不是办公用品货架上。
• ·将介质存放在上锁的柜子里，并指定专人进行管理。
• ．建立检入／检出制度，跟踪库中介质的查找、使用与归还行为。
• ·当可重用介质被归还时，执行介质净化与清零过程（使用全零这样的无意义数据进行改写），以清除介质中的数据残余。
• ·采用基千哈希的完整性检查机制来校验文件的有效性，或验证介质是否得到了彻底净化并不再残留以前的数据。

• ．使用与生产网络完全不同的专用存储系统。
• ·如果没有新数据需要存入，应让存储系统保持离线状态。
• ·关闭存储系统与互联网的连接。
• ．跟踪证据存储系统上的所有活动。
• ·计算存储在系统中的所有数据的哈希值。
• ·只有安全管理员与法律顾问才能访问。
• ．对存储在系统中的所有数据进行加密。

电力

噪声

温度、湿度与静电

关于水的问题（如漏水、洪水）

• ·水降低温度。
• ·碳酸钠和其他干粉灭火剂阻断燃料的供应。
• ．二氧化碳抑制氧气的供应。
• ·哈龙替代物和其他不可燃气体千扰燃烧的化学反应和 或抑制氧气供应。

阶段 1: 早期阶段只有空气电离，没有烟雾产生。
阶段 2: 在烟雾阶段，可以看见烟雾从着火点冒出。
阶段 3: 在火焰阶段，用肉眼就能看见火焰。
阶段 4: 在炙热阶段，火场温度沿着时间轴急剧升高，火场中聚集了大晕热量，其中的任何可燃物都燃烧起来。

”固定温度探测”系统在环境达到特定温度时会触发灭火装置。

“上升率探测”系统在温度的上升速率达到特定值时启动灭火功能。

“火焰驱动”系统依靠火焰的红外热能触发灭火装置。

“烟雾驱动”系统将光电或辐射电离传感器用作触发器。

早期（火情）烟雾探测系统，也被称为吸气传感器，能够探测出燃烧早期阶段产生的化学物质，此阶段使用其他方法尚不能发现潜在的火情。

“湿管系统”（也被称为封闭喷头系统）的管中一直是充满水的。当打开灭火功能时，管中的水会立刻喷洒出来进行灭火。

“干管系统”中充满了压缩的惰性气体。 旦打开灭火功能，惰性气体就会释放出来，供水阀门会随即打开，管中进水，然后开始喷洒灭火

“预响应系统“是干管系统的变体，使用两级检测和释放机制。这种机制允许纠织在喷淋头触发前通过人工干预（通常通过安装在墙上的按钮）阻止水管喷水。

“密集洒水系统”采用更粗的管道，因而可以输送更大的水最。

气体消防系统使用压缩气体高效灭火。然而，不能将气体消防系统用在有入员常驻的环境中。

如果二氧化碳被泄漏到封闭空间，浓度达到 7.5 ％就可能导致窒息，而二氧化碳灭火剂的使用浓度通常为 34％或更高。

哈龙是一种有效的灭火用化合物（通过耗尽氧气来阻止燃烧），但在 900 下，会分解出有毒气体。所以，哈龙不是环境友好型的（同时，它会消耗臭氧）。1989 年，《蒙特利尔议定书》开始倡议终止包括哈龙在内的消耗臭氧层的物质的生产。

火灾的主要破坏因素包括烟、高温，也包括水或碳酸钠这样的灭火剂。

人员在用水管灭火、使用 救生斧寻找火源、救援人员的过程中也可能造成损坏。

应用层

表示层

会话层

传输层

网络层

数据链路层

物理层

应用层——应用层、表示层、会话层

传输层——传输层

互联网层——网络层

链路层——数据链路层、物理层

TCP/IP 的漏洞很多。如果在各种操作系统中不正确地实现 TCP/IP 堆栈，将容易受到缓冲区溢出攻击、 SYN 洪水攻击、各种拒绝服务(DoS)攻击、碎片攻击、超大数据包攻击、欺骗攻击、中间人攻击（路径攻击）、劫持攻击和编矶错误攻击。 TCP/IP（以及大多数协议）也会受到监视或嗅探等被动攻击。

封装是指在将每层从上面的层接收到的数据传递到下面的层之前，为其添加头部，也可能添加尾部。数据从物理层到应用层向上移动时的逆操作被称为解封。

第5、6、7层——协议数据单元(PDU)

第4层——段(TCP)或数据报(UDP)

第3层——数据包

第2层——帧

第1层——比特

Telnet

FTP

TFTP

SMTP

POP3

IMAP(IMAP4)

DHCP

HTTP

HTTPS

LPD

X Window

NFS

SNMP

端口允许单个 IP 地址同时支持多个通信，每个通信使用不同的端口号（即通过 IP多路复用）。 IP 地址和端口号的组合被称为套接字。

前 1024 (0~1023)被称为众所周知的端口或服务端口。这些端口被保留，以供服务器独占使用。

端口 1024-49 151 被称为已注册的软件端口。这些端门具有一个或多个专门在 IANA （互联网编号分配机构）网站上注册的网络软件产品。

端口 49 152-65 535 被称为随机、动态或临时端口，它们通常被客户端随机地 临时用作源端口。

TCP/IP 的两个主要传输层协议是 TCP UDP

顶级域名(TLD)-www.google.com 中的 com

注册域名－www.google.com 中的 google

子域或主机名－—－www.google.com 中的 WWW

流氓 DNS 服务器

执行 DNS 缓存中毒

DNS 域欺骗

改变 HOSTS 文件

破坏 IP 配置

DNS 查询欺骗

使用代理伪造

DNS 中毒的防御措施

拆分 DNS 部署供公共使用的 DNS 服务器和供内部使用的独立 DNS 服务器。

另一个 DNS 防御机制是 DNS 陷坑。

域名劫持或域名盗窃是在未经所有者授权的情况下更改域名注册的恶意行为。

防止域名劫持的最佳措施是在登录域注册器时使用强多因素身份认证。为了防止域名注册失效，请设置自动续费，并在续费日期前一周再次检查付款方式。

误植域名攻击

同形词攻击

URL 劫持

点击劫持

IPv4 使用 32 位寻址方案，而 IPv6 使用 128 位寻址。

IPv6 的一些新功能包括作用域地址、自动配置和服务质量(QoS) 优先级值。IPsec 内置于IPv6 中

向IPv6 的过渡或迁移引起了几个安全问题

同一网络上使用 IPv6 IPv4方法

A类

B类

C类

D类，用于多播

E类，将来使用

ICMP 可用于 ping traceroute pathping网络管理工具。

死亡之 ping

Smurf攻击

ping 洪水攻击

IGMP 允许系统支待多播。多播将数据传输到多个特定接收者，

ARP缓存中毒或 ARP 欺骗是由以伪造的回复进行响应的攻击者引起的。

另一种形式的 ARP 中毒使用无目的的或未经请求的 ARP 回复。

第三种形式的 ARP 缓存中毒是静态 ARP 条目的创建。这是通过 ARP 命令完成的，必须在本地完成。

针对基于 ARP 的攻击的最佳防御是实施交换机上的端口安全。

本地或软件防火墙、主机入侵检测和防御系统(HIDPS)或特定端点安全产品也可用于阻止未请求的 ARP 回复或通告。检测 ARP 中毒的一个流行工具是 
arpwatch

另一种防御措施是建立静态 ARP 条目。

IPsec Internet Protocol Security(IPsec)基千 IP 协议，使用公钥加密系统来提供加密、访问控制、不可否认性和消息验证。 IPsec 主要用千虚拟专用网络(VPN) ，因此 IPsec 可以在传输或隧道模式下运行。 IPsec IP 安全扩展的标准，被用作 IPv4 的附加组件，并集成到 IPv6中。

为用户提供单点登录(SSO)解决方案，并为登录凭证提供保护。 Kerberos 的最新实现是使用混合加密来提供可靠的身份认证保护。

端到端加密

是一种加密协议，为语音通信、视频会议和文本消息服务提供端到端加密。信令协议是非联邦(nonfederated)协议，是名为 “Signal" 的即时通信 APP 中的核心元素。

Secure Remote Procedure Call(S-RPC)是用于跨网络服务通信的身份认证服务，旨在防止在远程系统上未经授权执行代码。

Transport Layer Security(TLS)是一种在 OSI 层运行的加密协议（加密 TCP通信的有效载荷）。它主要用于加密 HTTPS Web 通信，也可加密应用层协议。

• ·可在更高层使用各种协议。
• ·加密可包含在各个层中。
• ·支持复杂网络结构中的灵活性和弹性。

• ·允许隐蔽通道。
• ·可以绕过过滤器。
• ·逻辑上强加的网段边界可被超越。

融合协议是专业（或专有）协议与标准协议的结合，如那些源自 TCP/IP 套件的协议。融合协议的主要好处是能使用现有的 TCP/IP 支持网络基础设施来托管特殊服务或专有服务，不需要独立部署备用网络硬件。

存储区域网络(Storage Area Network, SAN)

以太网光纤通道(Fibre Channel over Ethernet, FCoE)

多协议标签交换(Multiprotocol Label Switching, MPLS)

互联网小型计算机系统接口(Internet Small Computer System Interface, iSCSI)

网络电话(Voice over IP, Vi IP) 是一种隧道机制，它将音频、视频和其他数据封装到 IP数据包中，以支持语音呼叫和多媒体协作。

黑客可以对 VoIP 解决方案发起多种潜在攻击。

安全实时传输协议或安全 RTP(SRTP)是对 VoIP 通信中使用的实时传输协议(RTP) 的安全改进。 SRTP 旨在通过强加密和可靠的身份认证，将拒绝服务、路径攻击和其他 VoIP 攻击的风险降至最低。 RTP SRTP 在会话初始协议(SIP) 建立端点之间的通信链路后接管。

SIPS是VoIP会话初始化协议的安全版本，它添加了TLS加密，以确保会话初始化过程的安全。

SDN 旨在将基础设施层（亦称数据平面和转发平面一—硬件和基于硬件的设置）与控制层（即数据传输管理的网络服务）分离。控制平面使用协议来决定向何处发送流量，而数据平面包含决定是否转发流量的规则。

虚拟化网络概念带来的另一个有趣的发展是虚拟 SAN(VSAN)。虚拟 SAN 或软件定义的共享存储系统是 SAN虚拟化网络或 SDN 上的虚拟重现。

软件定义存储(SDS) 是SDN 的另一个衍生产品。 SDS是 SAN 或NAS 的SDN 版本。

软件定义广域网(SDWAN SD-WAN) SDN 的一种演变，用于远程数据中心、远端位置和 WAN 链路上的云服务之间的连接管理和服务控制。

提高性能

减少通信问题

提供安全

ad hoc 模式（也称为点对点 Wi-Fi)。ad hoc 模式意味着任何两个无线网络设备都可以在没有集中控制权限（即基站或接入点）的情况下进行通信。Wi-Fi 直连是 ad hoc 模式的升级版本，可支持 WPA2 WPA3(ad hoc 仅支持 WEP) 。

基础设施模式意味着需要无线接入点(WAP) ，并且强制执行无线网络访问限制。

基础架构模式 SSID 有两种类型

独立服务集杠识符(ISSID) Wifi直连或 ad hoc 模式使用。

WAP 通过被称为信标帧的特殊传输来广播 SSID 。信标帧允许其范围内的任何无线 NIC看到无线网络并使连接尽可能简单。应禁用此 SSID 的默认广播以保待无线网络的安全。然而攻击者仍可通过无线嗅探器发现 SSID, 因为 SSID 仍可用于连接的无线客户端和 WAP间的传输。因此，禁用 SSID 广播的方案不是真正的安全机制。

当两个或更多个 2.4 GHz 接入点在物理上相对靠近彼此时，一个信道上的信号可能干扰另一个信道上的信号。

5GHz 无线设计旨在避免这种信道重叠和干扰问题。

2.4GHz通常是首选，因为它可以在一定距离内提供良好的覆盖，但速度较慢； 
5GHz 通常是内部网络的首选，因为它提供了更高的吞吐最（但覆盖面积较小），而且不能穿透墙壁和家具等固体物体。

5G技术包括新的相互身份认证能力和对用户身份的额外保护。

WAP 位置是通过执行现场调查并生成热图来确定的。

现场调查是指使用射频信号检测器对无线信号强度、质量和干扰进行正式评估。

WEP

WAP

WPA2

WPA3

802.1X/EAP

LEAP

PEAP

Wi-Fi 保护设置(Wi-Fi Protected Setup, WPS)是无线网络的安全标准。它旨在减少将新客户端添加到无线网络的工作量。

WPS 是大多数 WAP 默认启用的功能，因为它是设备 Wi-Fi 联盟认证的必要条件。在以安全为中心的预部署过程中，有必要禁用它。

MAC 过滤器可被用在 WAP 上以限制对已知或经批准设备的访问。

标准直线或极天线是全向天线，是在大多数基站和一些客户端设备上采用的天线类型这种类型的天线有时也被称为基础天线或橡胶鸭天线

大多数其他类型的天线是定向的，这意味着它们将发送和接收能力集中在一个主要方向上。定向天线的一些示例包括八木天线、卡特纳天线、平板天线和抛物线天线。

调整功率级别时，请进行微调，而不是尝试最大化或最小化设置。

强制门户是一种身份认证技术，可将新连接的客户端重定向到基于 Web 的门户网站访问控制贞面。

强制门户还用于向用户显示可接受的使用策略、隐私策略和跟踪策略。用户必须先同意策略才能通过网络进行通信。

(1) 更新固件。
(2) 将默认管理员密码更改为独特复杂的密码。
(3) 启用 WPA2 WPA3 加密。
(4) 用长而复杂的密码启用 ENT 身份认证或 PSK/SAE
(5) 更改 SSID（默认值通常为供应商名称）。
(6) 更改无线 MAC 地址（以隐藏默认 MAC 地址的 OUI 和设备品牌／型号编码）。
(7) 根据部署要求决定是否禁用 SSID 广播（即使这不会增加安全性）。
(8) 如果无线客户端数量很少（通常小于20) ，启动 MAC 地址过滤并使用静态 IP 地址。
(9) 考虑使用静态 IP 地址，或使用预留设置配置 DHCP（仅适用于小型部署）。
(10) 将无线视为外部或远程访问，并使用防火墙将 WAP 与有线网络分开。
(11) 将无线视为攻击者的入口点，并使用 NIDS 监控所有 WAP 到有线网络的通信。
(12) 部署无线入侵检测系统(WIDS)和无线入侵预防系统(WIPS)
(13) 考虑在 Wi-Fi 链路上使用 VPN
(14) 部署强制门户。
(15) 跟踪／记录所有无线活动和事件。

通用无线概念

蓝牙(802.15)

RFID

NFC

Wi-Fi 扫描器

恶意接入点

Evil Twin

解除关联

阻塞

初始化向量滥用

重放

LiFi(Light Fidelity) 是一种利用光进行无线通信的技术。

它使用可见光、红外线和紫外线光谱来支持数字传输。它的理论传输速率为 100 Gbps

LiFi 有潜力用于基于无线解决方案但存在电磁辐射干扰问题的领域。

卫星通信(satellite communications) 主要基于地面位置和在轨人造卫星之间的无线电波传输。

卫星用于支持电话、电视、广播、互联网和军事通信。卫星可以定位在三个主要轨道上：近地轨道(LEO )160~2000 千米、中地轨道(MEO)2000~35 786 千米和地球同步轨道(GEO)35 786 千米。

窄带无线通信(narrow-band wireless)技术被 SCADA 系统广泛用于在电缆或传统无线无效或不合适的距离或地理空间进行通信。应监控和加密窄带无线通信。

Zigbee 是一种基于蓝牙的物联网设备通信的概念。 Zigbee 具有低功耗和低吞吐率，并且需要接近设备。 Zigbee 通信使用 128 位对称算法加密。

首先，通过手机提供商的网络进行的通信，无论是语音、文本还是数据，都不一定是安全的。

第二，如果使用特定的无线嗅探设备，你的手机传输的数据可能会被截获。实际上，可模拟提供商的基站，以进行中间人／路径攻击。

第三，使用手机连接访问互联网或办公室网络的行为为攻击者提供了另一种潜在的攻击、访问和破坏途径。

内联网为用户提供对内部服务器上的 Web／电了邮件和其他服务的访问权限，私有网络外的任何人都无法访问这些服务。

外联网是互联网和内联网之间的交叉。

屏蔽子网（以前被称为非军事区）是一种具有特殊用途的外联网，专门供低信任度和未知用户访问特定系统，例如访问 Web 服务器的公众。它可以通过两个防火墙或一个多宿主防火墙来实现。

UPS

冗余电源

负载均衡

热插拔支持

购买设备时，务必询问保修范围和退货政策限制。如果设备在约定时间内出现故障，你可以获得退款或更换。

可能需要专门的培训或认证才能进行配置、组装和部署，需要依赖供应商提供的支持服务

在获得新设备时，应询问可用的技术支持服务，以及这些服务是否包含在产品购买中，或者这些服务是否需要额外费用、订赎或合同。

中继器、集中器和放大器(RCA)用于加强电缆通信信号以及连接使用相同协议的网段。

集线器用十连接多个系统以及连接使用相同协议的网段。集线器是多端口中继器。集线器在 OSI 层运行。集线器两侧的系统是同一冲突域和广播域的一部分。

传统的 landline 调制解调器是一神通信设备，它覆盖或惆制模拟载波信号和数字信息，以支持 PSTN 线路的计算机通信。

调制解调器通常被数字宽带技术所取代，包括电缆调制解调器、 DSL 调制解调器、 802.11 无线以及各种形式的无线调制解调器。

网桥用于将两个网络（甚至是不同拓扑结构、布线类型和速率的网络）连接在一起，以便连接使用相同协议的限段。网桥将流量从一个网络转发到另一个网络。使用不同传输速度连接网络的网桥可能用缓冲区来存储数据包，直到它们可被转发到较慢的网络。这被称为存储转发设备。网桥在 OSI 层运行。网桥主要用于将集线器网络连接在一起，因此大部分已被交换机所取代。

交换机通过 MAC 地址管理帧的传输。交换机在创建 VLAN 时，可创建单独的广播域。交换机主要在 OSI 第2层运行。如果交换机具有其他功能（例如在 VLAN 之间路由时），它们也可在 OSI 第3层运行。

路由器用于控制网络上的流量，通常用千连接类似的网络并控制两者之间的流量。

LAN 扩展器是一种远程访问的多层交换机，用于在广域网链路上连接远程网络，也被称为广域网交换机或广域网路由器。

跳转服务器或跳转箱(jumpbox) 是一种远程访问系统，用于使对特定系统或网络的访问更容易或更安全。

传感器收集信息，然后将其传输回中央系统以进行存储和分析。许多传感器都基于 SoC

安全采集器是将数据收集到日志或记录文件中的系统。采集器的功能类似于审核、记录和监控的功能。

聚合器是一种多路复用器。大量输入被接收、定向或传输到单个目的地。MPLS 是聚合器的一个示例。一些 IDS/IPS 使用聚合器收集或接收来自多个传感器和
采集器的输入，并将数据集成到单个数据流中以进行分析和处理。

同轴电缆(coaxial cable) 也被称为 coax, 是一种流行的网络电缆类型，在整个 20 世纪 70年代和 80 年代使用。

同轴电缆具有由一层绝缘层包围的铜线芯，该绝缘层又由导电编织屏蔽层包围并封装在最终绝缘护套中。中心的铜芯和编织屏蔽层是两个独立的导体，因此允许通过同轴电缆进行双向通信。同轴设计电缆使其具有相当的抗电磁干扰(electromagnetic interference, EMI)能力，支持高带宽（与同时期的其他技术相比），并提供比双绞线更长的有效传输距离。

细网(10Base2) 通常用于将系统连接到粗网布线的主干中继线。细网可以跨越 185米的距离，并提供高达 10 Mbps 的吞吐量。

粗网(10Base5) 可以跨越 500 米，最高吞吐量达 10 Mbps

基带电缆一次只能传输一个信号，宽带电缆可以同时传输多个信号

如果外部护套下面的导线周围有金属箔包装，则将该导线称为屏蔽双绞线(STP）

没有箔的双绞线被称为非屏蔽双绞线(UTP)

原始 UTP 类别

基于导体的网络布线的距离限制源于被用作导体的金属的电阻。

每一种电缆的最大传输长度表明，信号号的退化程度在某一点可能开始影响数据的有效传输。这种信号的退化被称为衰减。

5-4-3 规则

极快且几乎不受攻击和干扰。

光纤可以部署为单模（支持单个光信号）或多模（支持多个光信号）

单模光纤具有较细的光纤芯、较低的远距离衰减以及潜在的无限带宽。它便用 1310 纳米或 1550 纳米波长的激光器，可在不使用中继器的情况下传输一万米，并且通常用黄色护套。

多模光纤具有更粗的光纤芯、更高的距离衰减和带宽限制（与距离成反比）。它使用 850 纳米或 1300 纳米波长的 LED 或激光器，最大传输距离为 400 米，通常采用蓝色护套。

逻辑总线和逻辑环可实现物理星形网络。以太网是一种基千总线的技术。它可以被部署为物理星形

模拟通信发生在频率、幅度、相位、电压等变化的连续信号上。

通过使用不连续的电信号和状态改变或开关脉冲来进行数字通信。

同步通信依赖于基千独立时钟或嵌入数据流中的时间戳的定时或时钟机制。同步通信通常能够支持非常高的数据传输速率。

异步通信使用停止和启动分隔符位来管理数据传输。由于使用了分隔符位及其传输的停止和启动特性，异步通信最适用于较少量的数据。

基带技术只能支持单个通信通道。以太网采用基带技术。

宽带技术可支持多个同步信号。宽带使用频率调制来支待多个信道，每个信道支待不同的通信会话。宽带适用千高吞吐率，特别是当多个信道被多路复用时。宽带是一种模拟信号。

广播(broadcast)技术支持与所有可能的接收者进行通信。

多播(multicast) 技术支待与多个特定接收者的通信。

单播(unicast)技术仅支待与特定接收者的单一通信。

载波侦听多路访问(Carrier-Sense Multiple Access, CSMA)

载波侦听多路访问／冲突检测(Carrier-Sense Multiple Access with Collision Detection, CSMA/CD)

载波侦听多路访问（冲突避免 (Carrier-Sense Multiple Access with Collision Avoidance, CSMA/CA)

令牌传递

轮询

．防止／减少已知的直接攻击和间接的零日攻击。
．在整个网络中实施安全策略。
．使用标识执行访佪控制。

静态数据包过滤防火墙

应用级防火墙

电路级防火墙

状态检查防火墙

下一代防火墙(next-generation firewall, NGFW)

内部分段防火墙(internal segmentation firewall, ISFW)

代理

内容/URL 过滤器

·必须对电子邮件进行筛选，使其不会成为恶意软件感染的媒介；电子邮件还应遵守一些策略以管理其适当使用并限制其潜在责任。
．必须创建下载／上传策略，以便筛选传入和传出的数据，并阻止可疑材料。
．系统必须受到强大的访问控制，其中可能包括多因素身份认证和／或生物测定，以限制对最终用户设备的访问，并防止未经授权访问服务器和服务的行为。
·应安装受限制的用户界面机制和数据库管理系统，并根据需要使用这些机制和系统，以限制和管理对关键信息的访问，从而使用户仅对敏感资源进行必要的访问。
·文件加密可能适用于存储在客户机上的文件和数据（事实上，驱动器级加密非常适用于笔记本电脑和其他移动计算设备，这些设备可能会在组织场所之外丢失或被盗）。
．超时后强制执行屏幕保护程序。这将在屏幕保护程产后面隐藏任何机密资料，然后需要有效登录才能重新访问桌面、应用程序、存储设备等。
．必须隔离在用户和监控模式下运行的进程，以防止对高权限进程和功能进行未经授权和不必要的访问。
．应创建保护域或网段，这样一来，客户端受到的损害不会自动危害整个网络。
·磁盘和其他敏感材料应清楚标明其安全分类或组织敏感级别；程序过程和系统控制应结合起来，以帮助保护敏感材料，使其不受不必要或未经授权的访问。
·理想情况下，台式计算机上的文件以及服务器上的文件都应该备份，若将某种形式的集中式备份实用程序与客户端代理软件结合起来使用，可从客户端安全备份存储归档中识别和捕获文件。
• 台式计算机用户需要定期的安全意识培训，以保持适当的安全意识；他们还需要了解潜在的威胁，并学习如何适当地处理这些威肋。
• 台式计算机及其存储介质需要防止环境危害（温度、湿度、电源损耗／波动等）。
• 台式计算机应该被纳入组织的灾难恢复和业务连续性规划，因为它们有助于让用户返回到其他系统上工作，而且其作用可能与别的系统和服务一样重要（甚至更重要）。
. 内置和用于分布式环境的定制软件的开发人员还需要考虑安全性，包括使用正式的开发和部署方法，如代码库、更改控制机制、配置管理以及补丁和更新部署。

是一种安全机制，是传统反恶意软件产品、 IDS 和防火墙解决方案的演变。

EDR 旨在检测、记录、评估和响应可疑活动和事件，这些活动和事件可能由有问题的软件或有效和无效的用户引起。它是连续监控的自然延伸，关注终端设备本身以及到达本地接口的网络通信。

MDR 侧重于威胁检测和调解，但不限千端点的范围。

MDR 是一种试图实时监控 IT环境以快速检测和解决威胁的服务。 MDR 解决方案通常是多种技术的组合和集成，包括SIEM 、网络流量分析(network traffic analysis, NTA) EDR 和IDS

EPP 是EDR 的变体，就像 IPS 是IDS 的变体一样。 EPP 的重点是四个主要的安全功能：预测、预防、检测和响应。因此， EPP 更主动地进行预防和预测，是更被动的 EDR 概念的变体。

至于 XDR, 与其说它是另一种工具，不如说它将几个概念收集并集成到一个解决方案中。 XDR 组件可能因供应商而异，但它们通常包括 EDR MDR EPP 元素。此外， XDR不仅关注端点，而且通常包括 NTA NIDS NIPS 功能。

可以提供集中控制和管理的 XDR 解决方案。 MSSP 解决方案可以完全部署在本地，完全部署在云中或部署为混合结构。 MSSP 解决方案可通过 SOC 进行监督，而 SOC 本身是本地或远程的。

PAP(Password Authentication Protocol, 密码身份认证协议）

CHAP (Challenge Handshake Authentication Protocol, 征询握手身份认证协议）

EAP(Extensible Authentication Protocol, 可扩展身份认证协议）

LEAP(Lighmr~ight Exte~sible A~thenticati~~. Protocol, 轻量级可扩展身份认证协议）

PEAP(Protected Extensible Authentication Protocol, 受保护的可扩展身份认证协议）在 TLS隧道中封装 EAP 协议。

EAP-SIM(EAP Subscriber Identity Module, EAP 用户识别模块）是通过全球移动通信系统(GSM) 网络认证移动设备的一种手段。

EAP-FAST(EAP Flexible Authentication via Secure Tunneling, EAP 通过安全隧道进行灵活的身份认证）是一种 Cisco 协议，旨在取代 LEAP 。

EAP-MD5 是使用 MD5 哈希密码的最早 EAP 方法之一，现在已被弃用。

EAP-POTP(EAP Protected One-Time Password, EAP 保护的一次性密码）支持在多因素身份认证中使用 OTP 令牌（包括硬件设备和软件解决方案），用千单向和交叉身份认证。

EAP-TLS(EAP Transport Layer Security, EAP 传输层安全）是一个开放的 IETF 标准，用于保护身份认证流量的 TLS 协议的实现。

EAP-TTLS(EAP Tunneled Transport Layer Security, EAP 隧道传输层安全）是 EAP-TLS扩展，它在身份认证进行之前在端点之间创建类似千 VPN 的隧道。

IEEE 802.1X 定义了封装 EAP 的使用，以支待 LAN 连接的广泛身份认证选项。 IEEE 802.1X 标准被正式命名为“基于端口的网络访问控制“

对所有连接点的物理控制

端口安全的另一个含义是管理 TCP UDP 端口。

为了确保端口安全性，在允许通过端口或跨端口通信之前，还需要对端口进行身份认证。

服务质量(QoS)是对网络通信效率和性能的监督和管理。

要测量的项目包括吞吐量、比特率、数据包丢失、延迟、抖动、传输延迟和可用性。

PBX 和 PSTN 语音通信易受到拦截、窃听、 tapping 及其他破解技术的攻击。通常，在组织的物理范围内，要通过物理安全来保护语音通信的安全。在组织场所外部，语音通信的安全主要由提供通信线路租用服务的公司来负责。

VoIP(Voice over Internet Protocol, 网络电话）是一种将语音封装在 IP 包中的技术，该技术支持在 TCP/IP 网络中打电话。 VoIP 也是许多结合音频、视频、聊天、文件交换、白板和应用程序协作的多媒体消息服务的基础。

只有当你呼叫的人与你使用相同的 ISP 提供的 VoIP 服务时，你才能建立端到端加密。

即使你的 VoIP 服务以某种方式为你提供了安全连接， VoIP 解决方案仍然容易受到许多其他威胁。这些攻击包括所有标准网络攻击，如中间人／路径攻击、劫持、域欺骗和拒绝服务(DoS) 。此外，还存在着对语音钓鱼、电话飞客、欺骗和滥用的担忧。

VoIP通信的保护

防止语音钓鱼的唯一方法，就是教育用户如何应对任何形式的交流。

指导方针

被称为电话飞客(pbreaker) 的恶意攻击者滥用电话系统的方式与攻击者滥用计算机网络的方式大致相同(“ph” 代表“电话”)

专用交换机(private branch exchange, PBX)是一种部署在私人组织中的电话交换系统，用于支持多台电话使用少量外部 PSTN 线路。

远程呼叫，也被称为 hoteling, 是指在办公室之外呼入办公室PBX 系统，键入密码后可以拨打另一个电话号码的能力。远程呼叫的最初目的是通过让外部
人员使用免费电话号码呼叫办公室，然后根据办公室的长途呼叫计划拨打长途电话，以节省资金。

许多 PBX 系统受到恶意攻击，攻击目的是逃避电话费用或隐藏身份。电话飞客可能会非法访问个人的语音信箱，重定向消息，阻塞访问以及重定向呼入与呼出电话。

·考虑用信任卡或呼叫卡系统来替代通过 PBX 进行的远程访问或长距离呼叫。
·只向工作中需要该类业务的合法用户提供拨入及拨出的功能。
·如果仍然使用拨入调制解调器，应使用未公布的电话号码，号码的前缀区号要与现在使用的不同。
·保护 PBX 的管理员接口。
·阻止或停用任何未分配的访问码或账户。
．制订切实可行的用户策略，并教用户如何正确使用系统。
·记录并审计 PBX 上的所有活动，并通过审计踪迹发现安全及使用上的违规行为。
·禁用维护调制解调器（即厂商用千远程管理、更新、调试产品的远程访问调制解调器）或任何形式的远程管理访问。
．更改默认配置，尤其是密码及有关管理或特权特点的功能。
·阻止远程呼叫。
．使用供应商服务提供商更新来保持系统的更新。
·采用 DISA(direct inward system access ，直接拨入系统访问）技术，减少外部实体对 PBX的欺骗。

远程会议技术可应用于任何产品、硬件或软件，支持远程实体间进行交互。这些技术或方案被冠以很多术语：数字合作、虚拟会议、视频会议、软件或应用合作、共享白板服务、虚拟培训方案等。任何支持不同用户之间进行通信、交换数据、协作完成材料／数据 文档以及其他合作的服务，都可被视为远程会议技术服务。

安全性的问题

IM(instant messaging, 即时通信，实时消息或聊天）是一种实时通信工具，能为互联网上任何地方的两个或更多用户提供基于文字的聊天功能。一些 IM 工具支持文件传输、多媒体、语音、视频会议等功能。有些形式的 IM 基千端对端服务，而有些采用集中控制服务器。端对端和基于云形式的 IM 易于部署与使用，但从公司的角度看，却难以管理，因为它缺乏安全性或管理控制。消息传递系统和聊天服务存在大量漏洞：数据包易被嗅探／窃听，缺乏本地安全功能（如多因素身份认证和加密），不能或很少能提供隐私保护。

现代文本通信解决方案既支待两人间的交流，也支持群组内的合作与通信。

使用完整客户机

连接中央系统

特定服务

远程控制

远程节点操作

抓屏／录屏

• ．远程用户应该经过严格的身份认证才能获得访问权限。
• ·   只有那些工作中需要远程访问的特定用户，才有权建立远程连接。
• ．所有远程通信都要防止被拦截和窃听。这样做通常需要加密技术来保护身份认证信息与数据传输。

• ．任何具备远桯连接的人员，如果企图破坏组织的安全，物理安全的防护效果会降低。
• ．远程办公人员可能使用不安全或低安全的远程系统来访问敏感数据，这样会给数据带来巨大的丢失、破坏与泄露风险。
• ．远程系统可能遭受恶意代码攻击，并可能成为恶意代码传入专用网络的载体。
• ．远程系统可能在物理上不够安全，因而也存在被非法实体滥用或偷窃的风险。
• ．远程系统可能难以进行故障定位，尤其是出现有关远程连接的问题时。
• ．远程系统可能难以升级或打补丁，原因在千其较少的连接或较慢的连接速度。如果存在高速宽带连接，这些问题会有所缓解。

远程连接技术

传输保护

身份认证保护

远程用户助手

谅解备忘录(MOU)或协议备忘录(MOA)是两个实体之间协议或一致意向、意愿或目的的表达。它通常不是一种法律协议或承诺，而是一种更为正式的互惠协议或握手形式（这两种形式通常都不采用书面形式）。谅解备忘录也可被称为意向书。这是一种记录双方之间协议或安排细节的方法，因而不具有法律约束力。

互连安全协议(interconnection security agreement, ISA)是两个组织的 IT 基础设施之间链路的安全态度、风险和技术要求的正式声明。 ISA 的目标是定义在两个网络之间的通信路径上维护安全的期望和责任。网络连接可能对双方都有利，但也会带来需要识别和解决的额外风险。 ISA 是实现这一目标的一种手段。

将远程办公人员限制在外联网服务器上，或将其限制在面向公众的系统（如电子邮件和网站）上

为远程员工提供公司拥有和控制的设备

随机选择

循环

负载监测

优先或加权

最少连接／流量／延迟

基于位置（地理）

基千位置（关联性）

虚拟 IP 地址有时用千负载均衡；客户端可以感知 IP 地址，甚至可以将其分配给域名，但该 IP 地址实际上并没有被分配给物理机器。相反，当 IP 地址处接收到通信时，它们以负载均衡调度的形式被分配给在另一组 IP 地址上运行的实际系统。

与负载均衡相关的待久性也被称为一致性。持久性被定义为：当客户端和负载均衡集群的成员之间建立会话时，来自同一客户端的后续通信将被发送到同一服务器，从而支持通信的持久性或一致性。

主动－主动(active-active)系统是一种负载均衡形式，在正常操作期间使用所有的可用路径或系统。如果一个或多个通路发生故障，剩余的活动通路必须支持之前由通路处理的所有负载。当正常运行期间的流量水平或工作负载需要最大化（如优化可用性）时使用此技术，但在不利条件（如降低可用性）下容量的降低是可以容忍的。

主动－被动(active-passive) 系统是另一种负载均衡形式，它在正常操作期间使某些路径或系统处于未使用的休眠状态。如果其中一个主动元素出现故障，则被动元素将联机并接管故障元素的工作负载。当吞吐量或工作负载水平需要在正常状态和不利条件之间保持一致（即保持可用性一致）时，使用此技术。

• ·消息只有收件人可以访问（即隐私与保密性）。
• ·维护消息的完整性。
• ·身份认证和验证消息源。
• .提供不可否认性。
• ·验证消息的传递。
• ．对消息或附件中的敏感内容进行分级。

可接受的邮件使用策略明确了组织的邮件基础设施中，哪些活动是被允许的，以及哪些活动是被禁止的。

针对电子邮件的访问控制措施旨在使用户只能访问各自的收件箱及存档数据库信息。

应明确组织中用千实现、维护及管理邮件的制度和流程。最终用户不必知道邮件管理规定的细节，但一定要明白邮件是否应被视为私人通信。

根据所在国家／地区与行业的差别，会有不同的法规指示邮件的保存策略。

支持邮件的标准协议（如SMTP POP IMAP)都未采用本地加密措施。

邮件是较常见的传播病毒、蠕虫、特洛伊木马、文档宏病毒及其他恶意代码的途径。

邮件很少进行本地源验证，假冒邮件地址对千黑客新手来说也不是难事。邮件头部在发送源头及传输过程的任何位置都可能被修改。

邮件炸弹

邮件风暴

垃圾邮件(spamming)

安全／多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extensions, S/MIME)

良好隐私(Pretty Good Privacy, PGP)

域名关键字标识邮件(DomainKeys Identified Mail, DKIM)

发件人策略框架(Sender Policy Framework, SPF)

域消息身份认证报告和一致性 (Domain Message Authentication Reporting and Conformance, DMARC)

STARTTLS

隐式 SMTPS

通过在网络邮件网关系统上拦截附件，能消除来自恶意附件的威胁。拦截策略可以是100％拦截，或只拦截已知的或疑似恶意的附件，如附件的扩展名是可执行文件或脚本文件。

阻止清单服务提供了一种订阅系统，记录已知的发送不良邮件的地址列表。

挑战－应答过滤器

隧道技术(tunneling)是一种网络通信过程，通过将协议数据包封装到另一种协议报文中，对协议数据内容进行保护。

可在其他任何网络连接上建立起 VPN 链路。例子包括典型的 LAN 电缆连接、无线 LAN连接、远程访问的拨号连接、 WAN 链路，甚至包括利用互联网连接接入办公网络的客户端。

VPN 能连接两个单独的系统或两个完整的网络。唯一的差别在于传输的数据只有在 VPN隧道中才能得到保护。

VPN 可在两种模式下运行

始终在线 VPN(always-on VPN)是指每当网络链接处千活动状态时，尝试自动连接到 VPN服务的 VPN 。

分割隧道(split tunnel) 是一种 VPN 配置，允许 VPN 连接的客户端系统（即远程节点）同时通过 VPN 和互联网直接访问组织网络。当建立分割隧道 VPN 时，存在从互联网通过客户端到 LAN 的开放路径。

全隧道(full tunnel) 是另一种 VPN 配置，在该配置中，客户端的所有流量都通过 VPN路发送到组织网络，然后任何以互联网为目的地的流呈从组织网络的代理或防火墙接口路由到互联网。全隧道确保所有流晕都由组织网络的安全基础设施过滤和管理。

点对点隧道协议

第2层隧道协议(L2TP)

SSH

OpenVPN

IP 安全协议

端口镜像是受管理交换机上的常见功能；它从一个或多个其他端口复制特定端口的流量。

现代的串联监听已经基本取代了抽式监听(vampire tap) 。要安装串联监听，首先必须从端口拔出原始电缆，然后插入分接头，并将窃听器插入空的原始端口。

MAC 泛洪(MAC flooding) 攻击是指故意滥用交换机的学习功能，使其陷入泛洪状态。这是通过使用带有随机源 MAC 地址的以太网帧淹没交换机来实现的。

MAC 泛洪与 ARP 中毒和其他类型的 MITM/路径攻击不同，因为攻击者不会进入客户端和服务器之间的通信路径；相反，攻击者（以及本地网络上的其他所有人）会获得通信的副本。此时，攻击者可以窃听通过受损交换机进行的任何通信。

防御 MAC 泛洪的措施通常出现在受管理交换机上。该功能名为 MAC 限制(MAC limiting) ，它限制从每个插孔／端口进入 CAM 表中的 MAC 地址数。网络入侵检测系统(NIDS)也可用千识别正在尝试的 MAC 泛洪攻击。

MAC 欺骗是将默认 MAC 地址更改为其他值。

MAC 克隆用千模拟另一个系统（通常是有效或授权的网络设备），以绕过端口安全或 MAC 过滤限制。

MAC 过滤是一种安全机制，旨在限制对具有已知特定 MAC 地址的设备的网络访问。 MAC 过滤通常用于 WAP 和交换机。

MAC 欺骗／克隆的对策包括：

·利用 NAT, 整个网络可通过共享一个（或一些）公共 1Pv4 地址接入互联网。
·可在内部网中使用 RFC 1918 中定义的私有 IPv4 地址，同时仍能与互联网进行通信。
．通过 NAT 向外部隐藏了内部 1Pv4 地址的划分及网络拓扑。
• NAT 对连接做了限制；来自互联网的流星中，只有网络内部受保护连接的流量才被允许通过。这样，大多数入侵攻击会被自动拦截。
• NAT 作为基本的单向防火墙，只允许响应内部系统请求的传入流量。

也被称为超载NAT、网络与端口地址转换(network and port address translation, NPAT) 以及网络地址与端口转换(network address and port translation, NAPT)一它允许单个公共IPv4地址承载多达65 536个来自内部客户端的同步通信（理论上的最大值；在实践中，由千硬件限制，在大多数情况下，你应该将数量限制为4000或更少）。

PAT并没有一对一地映射IPv4地址，而是使用传输层端口号，通过将内部套接字（即IPv4地址和端口号的组合）映射到外部套接字，在每个公共IPv4地址上同时承载多个通信。 PAT通过单个外部IPv4地址有效地多路复用来自内部系统的多个会话。

因为 IPsec 协议的要求和 NAT对数据包头的更改（被视为损坏或破坏完整性），传统 NAT 不支持 IPsec VPN 。但是， NAT-T专门用千支待 IPsec 和其他隧道 VPN 协议，如第 层隧道协议(L2TP) ，因此组织可以从跨同一边界设备 接口的 NAT 和 VPN 获益。

• 10.0.0.0 到 10.255.255.255 （全 A类地址）
• 172.16.0.0 到 172.31.255.255(16 个B类地址）
• 192.168.0.0 到 192.168.255.255(256 个C类地址）

不能对同一子网再次使用 NAT 。双重NAT不可能使用相同的IP范围，相同的IP地址不能出现在NAT路由器的内部和外部。

NAT 维护了内部用户请求、内部用户 1P 地址以及互联网服务 1P 地址之间的映射表。当收到一个来自内部用户的请求报文时， NAT 会将该报文的源地址更改为 NAT 的服务器地址，所做的更改信息与目标地址一起记录到 NAT 数据库中。从互联网服务器上接收到回复信息后， NAT 将回复信息中的源地址与存储在映射数据库中的地址进行对比，确定该信息所属的用户地址，再将该回复信息转发给接收者。该过程被称为“状态 NAT", 因为它维护了用户与外部系统之间的通信会话信息。

自动私有 IP 分配(Automatic Private IP Addressing, APIPA)也被称为本地链路地址分配（在RFC 3927 中定义），它在动态主机配置协议(Dynarnic Host Configuration Protocol, DHCP)分配失败的情况下，继续为系统分配 IP 地址。

APIPA 通常为 DHCP 分配失败的用户分配 169.254.0.1 到 169.254.255.254 地址段的一个 IP 地址，以及 B类子网掩码 255.255.0.0 。只有同一广播域中
APIPA 用户之间可通信，但无法跨越路由或和其他配置正确的 IP 地址通信。

环回地址(loopback address)是一个单纯的软件实体。这个 IP 地址用千在 TCP/IP 上进行自发自收通信。环回地址用千进行本地网络的测试，而不受硬件及相关驱动状态的影响。在技术上，整个 127.x.x.x 地址段都留作环回用途，但被广泛使用的只有 127.0.0.1

电路交换(circuit switching) 最初旨在管理公用电话交换网络中的电话呼叫。在电路交换中，两个通信实体之间需要建立专门的物理通道。

电路交换确保了固定或可预知的通信时间，保证了通话质量的一致性、很小的信号损失、几乎不发生通信中断。系统提供的是永久物理连接。术语“永久“只适用于每次通信会话。

分组交换(packet switching) 技术将估息或通信内容分为很小的段（固定长度单元或可变长度数据包，具体数值取决千所使用的协议和技术），并通过中间网络将这些分组传送到目的地。

每一个数据段都有自己的头部，其中包含源地址及目标地址信息。中间系统忱取头部信息，再选择合适的路由将数据段发送给接收者。传输通道和通信路径只保留给实际需要传送的分组。分组传送一结束，通道就被提供给其他通信使用。

分组交换并不强行独占通信路径。实际上，这可以被视为一种逻辑传输技术，因为寻址逻辑显示了信息如何穿越通信实体间的中间网络。

对千分组交换系统，在同一个物理连接中，可能会传输来自不同地址的数据，这就存在泄露、破坏或窃听的风险。

虚电路（也称为通信路径）是一条逻辑路径或电路，在分组交换网络两个特定端点之间建立。

分组交换系统中存在两种类型的虚电路：

专用线路(dedicated line)

非专用线路(nondedicated line)

SDH 是国际电信联盟(ITU)标准

SONET 是美国国际标准化研究所(ANSI)标准。

透明性(transparency) 是服务、安全控制或访问机制的一个特征，确保对用户不可见。

透明性常常是安全控制的一项必要特征。安全机制越透明，用户就越不可能绕过它，甚至察觉不到它的存在。

传输日志(transmission logging) 是一种专注千通信的审计技术。传输日志记录源地址、目标地址、时间戳、识别码、传输状态、报文数量、消息大小等详细信息。对千故障的定位、非法通信的追踪或系统工作数据的提取，这些信息都是十分有用的。

传输错误纠正(transmission error correction) 是面向连接或会话的协议及服务的内置功能。该功能要求在确定一条消息的整体或部分受到了破坏、更改或丢失时，能够向信源发送请求，要求重新发送消息的整体或部分。

窃听(eavesdropping) 是指偷听通信过程，以复制并获取通信内容。复制可采用的手段包括：将数据录制到存储装置上，或使用提取程序从流晕数据中动态提取原始内容。

窃听装置及软件通常难以察觉，因为它们属千被动攻击。当窃听或偷听变成对通信内容的更改或注入，攻击就变成主动攻击。

保证物理访问安全

使用加密技术（如 IPsec SSH) 以及一次性身份认证方法（一次性面板或令牌装置）

在篡改攻击(modification attacks) 中，捕获的报文经过修改后又被发送给系统。修改报文主要是为了绕过改进型身份认证机制与会话序列的限制。应对篡改重放攻击的措施包括使用数字签名验证及报文校验和验证（如完整性检查）。