安全中心相关知识点整理
2024-03-19 18:03:45 0 举报AI智能生成
安全中心相关知识点整理
作者其他创作
大纲/内容
安全策略
CNO(计算机网络对抗)
操作目标
位置访问
战略集合
定向集合
非动能CNA
战略访问
原则
第一原则
人性
访问
经济
通用原则
知识
意识
创新
预防
操作安全
程序安全
主题
漏洞利用
非动能
攻击者(目标锁定/初始访问/持久,访问扩张,渗漏/监测)
流程
目标锁定
初始访问
持久
访问扩张
渗漏
检测
访问原则
入站访问
出站访问
双向访问
没有外部访问
经济原则
时间
漏洞利用能力
网络技能
软件开发技能
技术资源
操作分析技能
目标定位能力
战略
知识
意识
创新
预防
操作安全
程序安全
不对称性优势
动机
主动性
焦点
失败的影响
技术知识
对手分析
定制软件
变化率
不对称性劣势
错误
复杂性
有缺陷的攻击工具
升级和更新
其他攻击者
安全社区
坏运气
防御者(隐私,预防,约束,阻塞,检测)
人性原则
访问原则
经济原则
流程
隐私
预防
约束
阻塞
检测
防御战略
应用程序白名单
网络分段和隔离
自动化计算机事件集中日志记录,即时日志分析
针对所有域的web域白名单
基于云的安全性
不对称性优势
网络识别
网络态势
不对称性劣势
错误
存在缺陷的软件
惯性
安全社区
复杂性
用户
坏运气
CNA(计算机网络攻击)
动能
非动能
CND(计算机网络防御)
有效的
无效的
攻击手段
Web应用攻击
跨站脚本(XSS)攻击
SQL注入攻击
应用攻击
缓冲区溢出
检查时间到使用时间
后门
权限提升/rootkit
恶意代码
病毒
逻辑炸弹
特洛伊木马
广告软件/间谍软件
蠕虫
密码攻击
侦察攻击
IP探测(Nmap)
端口扫描
漏洞扫描
垃圾搜索
伪装攻击
IP欺骗
会话劫持
网络攻击
DDoS/DoS
偷听
假冒/伪装
重放攻击
修改攻击
ARP地址解析协议欺骗
DNS偷渡,欺骗/劫持
超链接欺骗
垃圾邮件/邮件泛滥
网络钓鱼
嗅探攻击
检测手段
漏洞扫描检测
异常访问检测
XSS检测
OS命令执行检测
SQL注入检测
XML实体注入检测
代码注入
文件上传漏洞检测
支持漏洞检测
安全领域功能
物理安全
人员安全
通信安全
移动安全
网络安全
风控系统
内容安全
公共/舆情安全
安全态势
访问安全
软件开发安全
SDL
SAMM
运营安全
安全防护框架
安全运维框架
安全验证框架
安全度量框架
资产安全
情报分析
可疑资产识别
精确检测
预警处理
数据安全
数据脱敏
磁盘加密
文件加密
数据访问权限控制
桌面虚拟化
溯源/数据水印
应用安全
业务安全
页面混淆
反爬虫
API网关防护
钓鱼与反制
安全加固/安全运维
UEBA-用户实体行为分析
CASB-云访问安全代理
BCP/DRP
IT服务管理体系
风险管理体系
供应商管理和外包
IT治理
技术管理
软件开发
密码学/信息加密
密码工具箱
窃听(机密性)
对称密码(提高效率,存在配送问题)
一次性密码本:让明文与一串随机数进行XOR运算(无法判断哪个解译结果是正确的)
Data Encryption Standard(64位,每个七位会设置一个校验位,实际是56位,超过需要迭代):攻击手段CPA选择明文攻击(线性分析/差分分析:分析明文和密文变化的关系)
3DES(56*3=168位,加密,解密,加密):向下兼容DES
Advanced Encryption Standard:Rijindael(128,192,256位)
分组密码模式
CBC、CFB、OFB、CTR
ECB(不推荐使用,无法抵御重放攻击)
Diffie-Hellman(解决配送问题,在不交换密钥的情况下实现密钥共享)
非对称密码(公钥密码,解决密钥配送问题)
RSA(大数质因数分解、求离散对数):中间人攻击/选择密文攻击
EIGamal
Rabin
混合密码
加密
解密
基于口令的密码(PBE)
篡改(完整性)
单向散列函数(无法辨别伪装,生日攻击/暴力破解)
算法
MD4、MD5(128位,不具备强抗碰撞性)
SHA-1(160位,不具备强抗碰撞性)
SHA-2
SHA-224
SHA-256
SHA-512/224
SHA-512/256
SHA-384
SHA-512
RIPEMD-160
RIPEMD:160位,不具备强抗碰撞性
RIPEMD-128
RIPEMD-160:比特币使用的算法
RIPEMD-256
RIPEMD-320
SHA-3
keccak
场景
检查软件是否被更改
基于口令的加密
消息认证码
数字签名
伪随机生成器
一次性口令
伪装(认证)
消息认证码(对第三方证明/防止否认,因为使用的是同一个密钥)
算法
单向散列函数
分组密码
流密码/公钥密码
场景
IPSEC
SWIFT(环球银行金融电信协会)
SSL/TLS
攻击(重放攻击/暴力破解/生日攻击)
否认(不可否认性)
数字签名
加密
解密
公钥合法性
证书(给公钥加上数字签名)
证书标准规范X.509
PKI(公钥基础设施)
攻击
在公钥注册之前进行攻击
注册相似人名进行攻击
身份确认和认证业务准则(class1-3,邮箱,第三方数据库,当面)
窃取认证机构的私钥
伪装成认证机构进行攻击
钻CRL的空子进行攻击
实际应用
PGP(https://www.jianshu.com/p/91c98a27fd16)
SSL V3/TLS(前向安全):指的是长期使用的主密钥泄漏不会导致过去的会话密钥泄漏。前向安全能够保护过去进行的通讯不受密码或密钥在未来暴露的威胁
密码与信息安全常识
不要使用保密的密码算法
密码算法得秘密早晚会公诸于世
开发高强度的密码算法是非常困难的
使用低强度的密码比不进行任何加密更危险
任何密码总有一天都会被破解
密码只是信息安全的一部分(社会工程学攻击)
注册信息系统审计师(CISA)
注册信息安全经理(CISM)
企业IT治理认证(CGEIT)
风险及信息系统控制认证(CRISC)
IT的审计流程
按照IS审计标准执行基于风险的审计策略,以确保关键风险领域得到审计
计划具体审计工作,确定信息系统是否得到保护和控制,并为组织赋予价值
按照IS审计标准执行审计,以实现规划的审计目标
通过会议和审计报告向关键利益相关方传达审计结果并提出建议,以根据需要推动变革
执行设计后续工作,以确定管理层是否及时采取了适当的措施
IT的治理与管理
对IT战略及该战略的制定,审批,实施和维护过程进行评估,确定它是否符合组织的战略和目标
对IT治理结构的有效性进行评估,以确定IT决策,方向和执行是否支持组织的战略和目标
对IT组织结构和人力资源管理情况进行评估,以确定它是否符合组织的战略和目标提供支持
对组织的IT政策,标准,流程及其制定,审批,颁布/发布,实施和维护过程进行评估,以确定它是否支持IT战略并符合法律法规的要求
对IT资源管理,包括投资,确定优先级,分配和使用进行评估,以确定它们是否符合组织的战略和目标
对IT组合管理,包括投资,确定优先级和分配进行评估,以确定它们是否符合组织的战略和目标
对风险管理实践进行评估,以确定组织内IT相关的风险是否得到确定,评估,监控,报告和管理
对IT管理和控制的监控进行评估,以确保他们符合组织的政策,标准和流程
对关键绩效指标的监控和报告进行评估,以确定管理层是否收到充分和及时的信息
评估组织的业务持续计划,包括IT灾难恢复计划与BCP是否协调一致,以确定组织在IT中断期继续基本业务运营的能力
系统的购置,开发和实施
评估在信息系统的购置,开发,维护及后期退役方面进行建议投资的业务案例,以确定它是否符合业务目标
评估IT供应商选择和合同管理流程,确保符合组织的服务级别和购置控制
对项目管理框架和控制进行评估,以确定在管理组织的风险时是否以具有成本效益的方式达到业务要求
进行审查,以确定进行中的项目是否与项目计划保持一致,具有充分的文档支持,并且具有及时,准确的状态报告
对需求,购置,开发和测试阶段的信息系统控制进行评估,以确保符合组织的政策,标准,程序及相应外部要求
对信息系统的生产实施和迁移就绪情况机械能评估,以确定它是否满足项目交付成果,控制及组织的要求
对系统执行实施后审查,以确定其是否满足项目交付成果,控制及组织的要求
系统的操作,维护和服务
对IT服务管理框架和实务进行评估,以确定是否达到组织所期望的控制和服务水平,以及是否满足战略目标
定期审查信息系统,以确定其是否在企业架构内持续满足组织目标
对IT操作进行评估,以确定其是否得到有效控制并持续支持组织的目标
对IT维护进行评估,以确定其是否得到有效控制并持续支持组织的目标
对数据库管理实务进行评估,以确定数据库的完整性和最优化情况
对数据质量和生命周期管理实务进行评估,以确定其是否持续满足战略目标
对问题和事故管理实务进行评估,以确定问题和事故是否及时得到预防,侦测,分析,记录和解决,从而支持组织的目标
对变更和发布管理实务进行评估,以确定是否能充分控制对系统和应用程序做出的变更,并将这些变更记录在案
对最终用户计算进行评估,以确定最终用户计算的流程是否得到有效控制并支持组织的目标
对IT连续性和恢复能力进行评估,以确定其是否持续满足战略目标
信息资产的保护
评估信息安全和隐私政策,标准和流程的完整性,与公认实务的一致性以及对相应外部要求的依从性
评估物理和环境控制的设计,实施,维护,监控和报告,以确定信息资产是否得到充分保护
评估系统和逻辑安全控制的设计,实施,维护,监控和报告,以验证信息的机密性,完整性及可用性
评估数据分类过程和流程的设计,实施,监控,以确保他们符合组织的政策,标准,流程及相应外部要求
评估用于存储,检索,传输和处置资产的流程与程序,以确保信息资产是否得到充分保护
评估信息安全计划,以确定其有效性及与组织战略和目标的一致性
安全评估和应对措施
安全演练/测试
渗透测试
黑盒漏洞测试
网络安全(日志分析)
包注入技术
嗅探技术
应用安全
渗透测试
白盒漏洞测试
代码审查
入侵检测
漏洞扫描
基于设备层面的
基于应用层面的
基于应用程序内部逻辑的
异常检测
日志检测
端口扫描
蜜罐系统
数据加密
红蓝对抗
网络攻击
安全评估
日志审计
账号管理
风险管理
备份管理
BCM/BAM
资产管理
变更管理
安全影响分析
版本管理
补丁管理
漏洞管理
安全审计
审计信息安全管理架构
审计逻辑访问点
审计访问控制和密码管理
审计网络基础架构安全
审计环境控制
审计点对点计算
审计即时消息/社交媒体
审计物理控制
审计移动计算
0 条评论
下一页
为你推荐
查看更多
