关于信息安全软考的记录3
1、网络安全体系的特征
网络安全体系:网络安全保障系统的最高层概念抽象
| 特征 | 内容 |
|---|---|
| 整体性 | 网络安全单元按照一定的规则,相互依赖、相互作用而形成人机物一体化的网络安全保护方式 |
| 协同性 | 通过各种安全机制的相互协作,构建系统性的网络安全保护方案 |
| 过程性 | 网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期 |
| 全面性 | 网络安全体系基于多个维度、多个层面对安全威胁进行管控 |
| 适应性 | 网络安全体系,能够适应网络安全威胁的变化和需求,动态的 |
2、BLP机密性模型
Bel1-LaPadula模型:符合军事安全策略的计算机安全模型,用于防止非授权信息的扩散
BLP模型的两个特征:【下读上写】 简单安全 特性、*特性 (即机密性)
- 简单安全特性:操作者读访问资源时,操作者(主体)的安全级别和范畴都 >= 资源 (客体)
【主体只能向下读,不能向上读 ==》 下读】【读的角度】
- *特性:操作者写访问资源时,操作者【主体】的安全级别和范畴读<= 资源(客体)
【主体只能向上写,不能向下写==》 上写】 【写的角度】
举例说明:
- 文件F的 访问类 : {机密: 人事处、财务处};
- 用户A 访问类:{绝密:人事处};
- 用户B 访问类: {绝密 人事处、财务处、科技处}
主体:用户A 用户B
客体:文件F
安全级别:绝密、机密
范畴:人事处、财务处、科技处
按照军事安全策略规定,用户B可以阅读文件F 因为用户B安全级别高,同时范畴大于文件F; 而用户A 虽然安全级别高,但是范畴不够,所以不能读文件F。
3、BLP机密性模型和Biba完整性模型对比
| BLP机型米模型和Biba完整性模型对比 | ||||
|---|---|---|---|---|
| 口诀 | 简单安全特性 | *特性 | 调用特性 | |
| BLP模型 | 下读 上写 | 主体的安全级别和范畴 >= 客体 | 主体的安全级别和范畴 <= 客体 | 无 |
| Biba模型 | 不能下读 不能上写 不能调用 | 主体的完整性级别和范畴 >= 客体 | 主体的完整性级别 < 客体 | 主体的完整性级别 < 另一个主体 |
4、信息保障模型P2DR、PDRR、WPDRRC模型对比
| Pretection | Detection | Response | Recovery | |||
|---|---|---|---|---|---|---|
| P2DR模型 | 策略 | |||||
| PDRR模型 | / | 保护 | 检测 | 响应 | 恢复 | |
| WPDRRC模型 | 预警 | 反击 |
5、网络安全方面3个能力成熟度模型
网络安全方面的成熟度模型主要有:SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型)
| 模型名称 | 内容 |
|---|---|
| 能力成熟度模型 |
|
| 系统安全工程 能力成熟度模型 | 包括:工程过程类、组织过程类、项目过程类 |
| 数据安全能力 成熟度模型 | 数据安全能力:组织建设、制度流程、技术工具、人员能力四个维度评估 |
| 软件安全能力 成熟度模型 | 分为5级:1级--补丁修补; 2级--渗透测试、安全代码评审; 3级--漏洞评估、代码分析、安全编码标准; 4级--软件安全风险识别、SDLC(软件开发生命周期)实施不同安全检查点; 5级--改进软件安全风险覆盖率、评估安全差距 |
6、网络安全等级保护体系(等保2.0)
- 等级保护制度是中国网络安全保障的特色和基石
- 网络安全等级保护工作主要包括:定级、备案、建设整改、等级测评、监督检查五个阶段
- 定级对象的安全保护等级分为5个,即第一级(用户自主保护级)、第二级(系统保护审计级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)
- 网络安全等级保护2.0 的主要变化包括:
- 扩大了对象范围
- 提出1个中心,三重防护体系架构
- 强化了可信计算技术使用的要求,增加了”可信验证“控制点
7、软件安全能力成熟度模型CMM
软件安全能力成熟度模型分成五级,各级别主要过程如下:
- CMM 1级 —— 补丁修补;
- CMM 2级 —— 渗透测试、安全代码评审
- CMM 3级 —— 漏洞评估、代码分析、安全编码标准
- CMM 4级 —— 软件安全风险识别、SDLC实施不同安全检查点
- CMM 5级 —— 改进软件安全风险覆盖率 评估安全差距
8、物理安全威胁
| 分类 | 内容 |
|---|---|
| 自然安全威胁 | 地震、洪水、鼠害、雷电 |
| 人为安全威胁 | 盗窃、爆炸、毁坏、硬件攻击 |
| 常见的硬件攻击技术 | 内容 |
|---|---|
| 硬件木马 | 在集成电路IC中植入的”恶意电路“ 在IC的研发设计、生产制造、封装测试、应用等整个生命周期度可能被植入恶意硬件逻辑,形成硬件木马 |
| 硬件协同的恶意代码 | 本身是一个硬件,用来帮助恶意软件,实现越权访问 |
| 硬件安全漏洞利用 | 熔断幽灵属于CPU漏洞,通过cache与内存的关系,可以确定代码、数据在内存中的位置,然后再利用其它漏洞对内存中的代码、数据进行篡改 |
| 基于软件漏洞攻击硬件实体 | 利用软件漏洞,修改物理实体的配置参数,使得物理实体非正常的运行,从而导致物理实体受到破坏【震网病毒】 |
| 基于环境攻击计算机实体 | 利用计算机系统所依赖的外部环境缺陷,导致计算机系统运行出现问题 |
8、物理安全平台等级
物理安全规范:
《信息系统物理安全技术要求(GB/T210522007)》 将信息系统的物理安全进行了分级,并给出设备物理安全、环境物理安全、系统物理安全的各级对应的保护要求,具体要求目标如下:
【信息系统物理安全技术只涉及前4级】
- 第一级物理安全平台为第1级用户自主保护级提供基本的物理安全保护;
- 第二级物理安全平台为第2级系统审计保护级提供适当的物理安全保护;
- 第三级物理安全平台为第3级安全标记保护级提供较高程度的物理安全保护;
- 第四级物理安全平台为第4级结构化保护级提供更高程度的物理安全保护;
9、机房功能区域组成
按照《计算机场地通用规范(GB/f 2887-2011)》的规定,计算机机房可选用下列房间(允许一室多用或酌情增减):
- 主要工作房间:主机房、终端室等
- 第1类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等
- 第2类辅助房间:资料室、维修室、技术人员办公室
- 第3类辅助房间:储藏室、缓冲间、技术人员休息室、盥洗室
10、机房与数据中心等级划分
| 机房等级 | 划分条件 |
|---|---|
| A级 | 造成严重损害、对机房安全有严格要求、有完善的机房安全措施 |
| B级 | 造成较大损害、对机房安全有较严格要求、有较完善的机房安全措施 |
| C级 | 不属于A、B级的情况 |
| 数据中心等级 | 划分条件 |
|---|---|
| A级 | 造成重大的经济损失、造成公共场所秩序严重混乱 |
| B级 | 造成较大的经济损失、造成公共场所秩序混乱 |
| C级 | 不属于A、B级的情况 |
11、IDC 互联网数据中心
IDC的组成:机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统
IDC机房等级划分:R1、R2、R3 3个级别
| 级别 | 机房基础设施和网络系统冗余能力 | 机房基础设施和网络系统可用性能力 |
|---|---|---|
| R1 | 具备一定的冗余能力 | 不应小于 99.5% |
| R2 | 具备冗余能力 | 不应小于 99.9% |
| R3 | 具备容错能力 | 不应小于99.99% |
相关文章:
关于信息安全软考的记录3
1、网络安全体系的特征 网络安全体系:网络安全保障系统的最高层概念抽象 特征内容整体性网络安全单元按照一定的规则,相互依赖、相互作用而形成人机物一体化的网络安全保护方式协同性通过各种安全机制的相互协作,构建系统性的网络安全保护方…...
API攻防-接口安全SOAPOpenAPIRESTful分类特征导入项目联动检测
文章目录 概述什么是接口? 1、API分类特征SOAP - WSDLWeb services 三种基本元素: OpenApi - Swagger UISpringboot Actuator 2、API检测流程Method:请求方法URL:唯一资源定位符Params:请求参数Authorizationÿ…...
:UTS namespace IPC namespace)
【Docker 内核详解】namespace 资源隔离(二):UTS namespace IPC namespace
namespace 资源隔离(二):UTS namespace & IPC namespace 1.UTS namespace UTS(UNIX Time-sharing System),UTS namespace 提供了 主机名 和 域名 的隔离,这样每个 Docker 容器就可以拥有独…...
EOF() | BOF()相关题目解析
题目 设当前数据库有10条记录(记录未进行任何索引),在下列3种情况下,当前记录号为1时:EOF()为真时;BOF()为真时,命令RECN()的结果分别是______。 A.1,11,1B.1,10,1C.1,11,0D…...
spring 注入 当有两个参数的时候 接上面
新加一个int 型的 age 记得写getset方法和构造方法 ((((((( 构造方法的作用——无论是有参构造还是无参构造,他的作用都是为了方便为对象的属性初始化值 构造方法是一种特殊的方…...
博客文档续更
十、 博客前台模块-异常处理 目前我们的项目在认证出错或者权限不足的时候响应回来的Json,默认是使用Security官方提供的响应的格式,但是这种响应的格式肯定是不符合我们项目的接口规范的。所以需要自定义异常处理 我们需要去实现AuthenticationEntryP…...
OCR让点读笔如虎添翼
点读笔是一种智能学习工具,它可以通过识别文字来提供相应的语音或图像反馈。在实现文字识别功能时,点读笔通常会借助OCR(Optical Character Recognition,光学字符识别)技术。下面将详细介绍点读笔如何利用OCR技术实现文…...
棱镜七彩参编!开源领域4项团体标准正式发布
近日,中电标2023年第27号团体标准公告正式发布,《T/CESA 1270.2-2023 信息技术 开源治理 第 2 部分:企业治理评估模型》、《T/CESA 1270.3-2023 信息技术 开源治理 第 3 部分:社区治理框架》、《T/CESA 1270.5-2023 信息技术 开源…...
轻量级Composition
MEF,全称Managed Extensibility Framework(托管可扩展框架)。MEF是专门致力于解决扩展性问题的框架。MEF 位于 ComponentModel.Composition 程序集中,添加 System.ComponentModel.Composition 和 System.ComponentModel.Compositi…...
Vxlan网络和flannel记录
Vxlan 大二层网络,在三层网络中构建逻辑的2层网络 数据包经过vxlan隧道 用vni标识不同的vxlan网络(类似于vlan的vid) 通过vtep来封装和解封装,通过UDP传输 Flannel 分配子网和IP地址:Flannel为每个容器或虚拟机分配唯一…...
【已解决】微信小程序-苹果手机日期解析异常
在开发微信小程序时,使用了 uView 的 CountDown倒计时 组件和 uni.$u.timeFrom Api,后台传递了一个时间字符串,前台计算时间戳的差值,来显示还有多久开始,这个功能在模拟器和我自己手机(iphon13)…...
Avalonia如何更改全局背景色
1.项目下载地址:https://gitee.com/confusedkitten/avalonia-demo 2.UI库Semi.Avalonia,项目地址 https://github.com/irihitech/Semi.Avalonia 3.ColorView,使用Semi.Avalonia.ColorPicker,Nuget获取就行 4.样式预览 以下是…...
万界星空科技低代码平台云MES系统功能场景
1、 工艺管理 生产工艺规程、岗位操作法、工艺卡片的编制。 生产过程的工艺条件、产品质量指标以及原材料消耗的执行检查、相关数据的统计分析。 2、 工序管理 对人、机、料、法控制,规定产品质量标准及有关完成方法的各项规程,并明确各道工序的管理负责…...
运维大数据平台的建设与实践探索
随着企业数字化转型的推进,运维管理面临着前所未有的挑战和机遇。为应对日益复杂且严峻的挑战,数字免疫系统和智能运维等概念应运而生。数字免疫系统和智能运维作为新兴技术,正引领着运维管理的新趋势。数字免疫系统和智能运维都借助大数据运…...
【Java 进阶篇】创建 HTML 注册页面
在这篇博客中,我们将介绍如何创建一个简单的 HTML 注册页面。HTML(Hypertext Markup Language)是一种标记语言,用于构建网页的结构和内容。创建一个注册页面是网页开发的常见任务之一,它允许用户提供个人信息并注册成为…...
【JVM系列】- 启航·JVM概论学习
启航JVM概论 😄生命不息,写作不止 🔥 继续踏上学习之路,学之分享笔记 👊 总有一天我也能像各位大佬一样 🏆 博客首页 怒放吧德德 To记录领地 🌝分享学习心得,欢迎指正,…...
Windows技巧
Windows应用 Windows应用无限延长Windows10 自动更新时间管理员身份打开cmd输入以下代码设置暂停更新时间 Windows应用 无限延长Windows10 自动更新时间 管理员身份打开cmd 输入以下代码 这里设置的是3000天,需要恢复更新可以将其设置为1天 reg add “HKEY_LOCA…...
Git 应用小记
常用命令 git reset 3种模式 --soft:将HEAD引用指向给定提交,索引(暂存区)和工作目录的内容不变 --mixed(默认,可不写):将HEAD引用指向给定提交,索引(暂存区…...
APT攻击与零日漏洞
APT攻击 当谈到网络安全时,APT(高级持续性威胁)攻击是最为复杂和难以检测的攻击类型之一。APT攻击通常涉及到高度的技术和策略性,而且它们的目标是深入地渗透和长时间地隐藏在目标网络中。 1. 什么是APT攻击? 高级持续…...
leetCode 1143.最长公共子序列 动态规划 + 滚动数组
1143. 最长公共子序列 - 力扣(LeetCode) 给定两个字符串 text1 和 text2,返回这两个字符串的最长 公共子序列 的长度。如果不存在 公共子序列 ,返回 0 。 一个字符串的 子序列 是指这样一个新的字符串:它是由原字符串…...
【大模型RAG】拍照搜题技术架构速览:三层管道、两级检索、兜底大模型
摘要 拍照搜题系统采用“三层管道(多模态 OCR → 语义检索 → 答案渲染)、两级检索(倒排 BM25 向量 HNSW)并以大语言模型兜底”的整体框架: 多模态 OCR 层 将题目图片经过超分、去噪、倾斜校正后,分别用…...
阿里云ACP云计算备考笔记 (5)——弹性伸缩
目录 第一章 概述 第二章 弹性伸缩简介 1、弹性伸缩 2、垂直伸缩 3、优势 4、应用场景 ① 无规律的业务量波动 ② 有规律的业务量波动 ③ 无明显业务量波动 ④ 混合型业务 ⑤ 消息通知 ⑥ 生命周期挂钩 ⑦ 自定义方式 ⑧ 滚的升级 5、使用限制 第三章 主要定义 …...
从深圳崛起的“机器之眼”:赴港乐动机器人的万亿赛道赶考路
进入2025年以来,尽管围绕人形机器人、具身智能等机器人赛道的质疑声不断,但全球市场热度依然高涨,入局者持续增加。 以国内市场为例,天眼查专业版数据显示,截至5月底,我国现存在业、存续状态的机器人相关企…...
Java多线程实现之Callable接口深度解析
Java多线程实现之Callable接口深度解析 一、Callable接口概述1.1 接口定义1.2 与Runnable接口的对比1.3 Future接口与FutureTask类 二、Callable接口的基本使用方法2.1 传统方式实现Callable接口2.2 使用Lambda表达式简化Callable实现2.3 使用FutureTask类执行Callable任务 三、…...
:爬虫完整流程)
Python爬虫(二):爬虫完整流程
爬虫完整流程详解(7大核心步骤实战技巧) 一、爬虫完整工作流程 以下是爬虫开发的完整流程,我将结合具体技术点和实战经验展开说明: 1. 目标分析与前期准备 网站技术分析: 使用浏览器开发者工具(F12&…...
视频字幕质量评估的大规模细粒度基准
大家读完觉得有帮助记得关注和点赞!!! 摘要 视频字幕在文本到视频生成任务中起着至关重要的作用,因为它们的质量直接影响所生成视频的语义连贯性和视觉保真度。尽管大型视觉-语言模型(VLMs)在字幕生成方面…...
数据链路层的主要功能是什么
数据链路层(OSI模型第2层)的核心功能是在相邻网络节点(如交换机、主机)间提供可靠的数据帧传输服务,主要职责包括: 🔑 核心功能详解: 帧封装与解封装 封装: 将网络层下发…...
DBAPI如何优雅的获取单条数据
API如何优雅的获取单条数据 案例一 对于查询类API,查询的是单条数据,比如根据主键ID查询用户信息,sql如下: select id, name, age from user where id #{id}API默认返回的数据格式是多条的,如下: {&qu…...
鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个生活电费的缴纳和查询小程序
一、项目初始化与配置 1. 创建项目 ohpm init harmony/utility-payment-app 2. 配置权限 // module.json5 {"requestPermissions": [{"name": "ohos.permission.INTERNET"},{"name": "ohos.permission.GET_NETWORK_INFO"…...
WordPress插件:AI多语言写作与智能配图、免费AI模型、SEO文章生成
厌倦手动写WordPress文章?AI自动生成,效率提升10倍! 支持多语言、自动配图、定时发布,让内容创作更轻松! AI内容生成 → 不想每天写文章?AI一键生成高质量内容!多语言支持 → 跨境电商必备&am…...