关于信息安全软考的记录3
1、网络安全体系的特征
网络安全体系:网络安全保障系统的最高层概念抽象
| 特征 | 内容 |
|---|---|
| 整体性 | 网络安全单元按照一定的规则,相互依赖、相互作用而形成人机物一体化的网络安全保护方式 |
| 协同性 | 通过各种安全机制的相互协作,构建系统性的网络安全保护方案 |
| 过程性 | 网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期 |
| 全面性 | 网络安全体系基于多个维度、多个层面对安全威胁进行管控 |
| 适应性 | 网络安全体系,能够适应网络安全威胁的变化和需求,动态的 |
2、BLP机密性模型
Bel1-LaPadula模型:符合军事安全策略的计算机安全模型,用于防止非授权信息的扩散
BLP模型的两个特征:【下读上写】 简单安全 特性、*特性 (即机密性)
- 简单安全特性:操作者读访问资源时,操作者(主体)的安全级别和范畴都 >= 资源 (客体)
【主体只能向下读,不能向上读 ==》 下读】【读的角度】
- *特性:操作者写访问资源时,操作者【主体】的安全级别和范畴读<= 资源(客体)
【主体只能向上写,不能向下写==》 上写】 【写的角度】
举例说明:
- 文件F的 访问类 : {机密: 人事处、财务处};
- 用户A 访问类:{绝密:人事处};
- 用户B 访问类: {绝密 人事处、财务处、科技处}
主体:用户A 用户B
客体:文件F
安全级别:绝密、机密
范畴:人事处、财务处、科技处
按照军事安全策略规定,用户B可以阅读文件F 因为用户B安全级别高,同时范畴大于文件F; 而用户A 虽然安全级别高,但是范畴不够,所以不能读文件F。
3、BLP机密性模型和Biba完整性模型对比
| BLP机型米模型和Biba完整性模型对比 | ||||
|---|---|---|---|---|
| 口诀 | 简单安全特性 | *特性 | 调用特性 | |
| BLP模型 | 下读 上写 | 主体的安全级别和范畴 >= 客体 | 主体的安全级别和范畴 <= 客体 | 无 |
| Biba模型 | 不能下读 不能上写 不能调用 | 主体的完整性级别和范畴 >= 客体 | 主体的完整性级别 < 客体 | 主体的完整性级别 < 另一个主体 |
4、信息保障模型P2DR、PDRR、WPDRRC模型对比
| Pretection | Detection | Response | Recovery | |||
|---|---|---|---|---|---|---|
| P2DR模型 | 策略 | |||||
| PDRR模型 | / | 保护 | 检测 | 响应 | 恢复 | |
| WPDRRC模型 | 预警 | 反击 |
5、网络安全方面3个能力成熟度模型
网络安全方面的成熟度模型主要有:SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型)
| 模型名称 | 内容 |
|---|---|
| 能力成熟度模型 |
|
| 系统安全工程 能力成熟度模型 | 包括:工程过程类、组织过程类、项目过程类 |
| 数据安全能力 成熟度模型 | 数据安全能力:组织建设、制度流程、技术工具、人员能力四个维度评估 |
| 软件安全能力 成熟度模型 | 分为5级:1级--补丁修补; 2级--渗透测试、安全代码评审; 3级--漏洞评估、代码分析、安全编码标准; 4级--软件安全风险识别、SDLC(软件开发生命周期)实施不同安全检查点; 5级--改进软件安全风险覆盖率、评估安全差距 |
6、网络安全等级保护体系(等保2.0)
- 等级保护制度是中国网络安全保障的特色和基石
- 网络安全等级保护工作主要包括:定级、备案、建设整改、等级测评、监督检查五个阶段
- 定级对象的安全保护等级分为5个,即第一级(用户自主保护级)、第二级(系统保护审计级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)
- 网络安全等级保护2.0 的主要变化包括:
- 扩大了对象范围
- 提出1个中心,三重防护体系架构
- 强化了可信计算技术使用的要求,增加了”可信验证“控制点
7、软件安全能力成熟度模型CMM
软件安全能力成熟度模型分成五级,各级别主要过程如下:
- CMM 1级 —— 补丁修补;
- CMM 2级 —— 渗透测试、安全代码评审
- CMM 3级 —— 漏洞评估、代码分析、安全编码标准
- CMM 4级 —— 软件安全风险识别、SDLC实施不同安全检查点
- CMM 5级 —— 改进软件安全风险覆盖率 评估安全差距
8、物理安全威胁
| 分类 | 内容 |
|---|---|
| 自然安全威胁 | 地震、洪水、鼠害、雷电 |
| 人为安全威胁 | 盗窃、爆炸、毁坏、硬件攻击 |
| 常见的硬件攻击技术 | 内容 |
|---|---|
| 硬件木马 | 在集成电路IC中植入的”恶意电路“ 在IC的研发设计、生产制造、封装测试、应用等整个生命周期度可能被植入恶意硬件逻辑,形成硬件木马 |
| 硬件协同的恶意代码 | 本身是一个硬件,用来帮助恶意软件,实现越权访问 |
| 硬件安全漏洞利用 | 熔断幽灵属于CPU漏洞,通过cache与内存的关系,可以确定代码、数据在内存中的位置,然后再利用其它漏洞对内存中的代码、数据进行篡改 |
| 基于软件漏洞攻击硬件实体 | 利用软件漏洞,修改物理实体的配置参数,使得物理实体非正常的运行,从而导致物理实体受到破坏【震网病毒】 |
| 基于环境攻击计算机实体 | 利用计算机系统所依赖的外部环境缺陷,导致计算机系统运行出现问题 |
8、物理安全平台等级
物理安全规范:
《信息系统物理安全技术要求(GB/T210522007)》 将信息系统的物理安全进行了分级,并给出设备物理安全、环境物理安全、系统物理安全的各级对应的保护要求,具体要求目标如下:
【信息系统物理安全技术只涉及前4级】
- 第一级物理安全平台为第1级用户自主保护级提供基本的物理安全保护;
- 第二级物理安全平台为第2级系统审计保护级提供适当的物理安全保护;
- 第三级物理安全平台为第3级安全标记保护级提供较高程度的物理安全保护;
- 第四级物理安全平台为第4级结构化保护级提供更高程度的物理安全保护;
9、机房功能区域组成
按照《计算机场地通用规范(GB/f 2887-2011)》的规定,计算机机房可选用下列房间(允许一室多用或酌情增减):
- 主要工作房间:主机房、终端室等
- 第1类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等
- 第2类辅助房间:资料室、维修室、技术人员办公室
- 第3类辅助房间:储藏室、缓冲间、技术人员休息室、盥洗室
10、机房与数据中心等级划分
| 机房等级 | 划分条件 |
|---|---|
| A级 | 造成严重损害、对机房安全有严格要求、有完善的机房安全措施 |
| B级 | 造成较大损害、对机房安全有较严格要求、有较完善的机房安全措施 |
| C级 | 不属于A、B级的情况 |
| 数据中心等级 | 划分条件 |
|---|---|
| A级 | 造成重大的经济损失、造成公共场所秩序严重混乱 |
| B级 | 造成较大的经济损失、造成公共场所秩序混乱 |
| C级 | 不属于A、B级的情况 |
11、IDC 互联网数据中心
IDC的组成:机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统
IDC机房等级划分:R1、R2、R3 3个级别
| 级别 | 机房基础设施和网络系统冗余能力 | 机房基础设施和网络系统可用性能力 |
|---|---|---|
| R1 | 具备一定的冗余能力 | 不应小于 99.5% |
| R2 | 具备冗余能力 | 不应小于 99.9% |
| R3 | 具备容错能力 | 不应小于99.99% |
相关文章:
关于信息安全软考的记录3
1、网络安全体系的特征 网络安全体系:网络安全保障系统的最高层概念抽象 特征内容整体性网络安全单元按照一定的规则,相互依赖、相互作用而形成人机物一体化的网络安全保护方式协同性通过各种安全机制的相互协作,构建系统性的网络安全保护方…...
API攻防-接口安全SOAPOpenAPIRESTful分类特征导入项目联动检测
文章目录 概述什么是接口? 1、API分类特征SOAP - WSDLWeb services 三种基本元素: OpenApi - Swagger UISpringboot Actuator 2、API检测流程Method:请求方法URL:唯一资源定位符Params:请求参数Authorizationÿ…...
:UTS namespace IPC namespace)
【Docker 内核详解】namespace 资源隔离(二):UTS namespace IPC namespace
namespace 资源隔离(二):UTS namespace & IPC namespace 1.UTS namespace UTS(UNIX Time-sharing System),UTS namespace 提供了 主机名 和 域名 的隔离,这样每个 Docker 容器就可以拥有独…...
EOF() | BOF()相关题目解析
题目 设当前数据库有10条记录(记录未进行任何索引),在下列3种情况下,当前记录号为1时:EOF()为真时;BOF()为真时,命令RECN()的结果分别是______。 A.1,11,1B.1,10,1C.1,11,0D…...
spring 注入 当有两个参数的时候 接上面
新加一个int 型的 age 记得写getset方法和构造方法 ((((((( 构造方法的作用——无论是有参构造还是无参构造,他的作用都是为了方便为对象的属性初始化值 构造方法是一种特殊的方…...
博客文档续更
十、 博客前台模块-异常处理 目前我们的项目在认证出错或者权限不足的时候响应回来的Json,默认是使用Security官方提供的响应的格式,但是这种响应的格式肯定是不符合我们项目的接口规范的。所以需要自定义异常处理 我们需要去实现AuthenticationEntryP…...
OCR让点读笔如虎添翼
点读笔是一种智能学习工具,它可以通过识别文字来提供相应的语音或图像反馈。在实现文字识别功能时,点读笔通常会借助OCR(Optical Character Recognition,光学字符识别)技术。下面将详细介绍点读笔如何利用OCR技术实现文…...
棱镜七彩参编!开源领域4项团体标准正式发布
近日,中电标2023年第27号团体标准公告正式发布,《T/CESA 1270.2-2023 信息技术 开源治理 第 2 部分:企业治理评估模型》、《T/CESA 1270.3-2023 信息技术 开源治理 第 3 部分:社区治理框架》、《T/CESA 1270.5-2023 信息技术 开源…...
轻量级Composition
MEF,全称Managed Extensibility Framework(托管可扩展框架)。MEF是专门致力于解决扩展性问题的框架。MEF 位于 ComponentModel.Composition 程序集中,添加 System.ComponentModel.Composition 和 System.ComponentModel.Compositi…...
Vxlan网络和flannel记录
Vxlan 大二层网络,在三层网络中构建逻辑的2层网络 数据包经过vxlan隧道 用vni标识不同的vxlan网络(类似于vlan的vid) 通过vtep来封装和解封装,通过UDP传输 Flannel 分配子网和IP地址:Flannel为每个容器或虚拟机分配唯一…...
【已解决】微信小程序-苹果手机日期解析异常
在开发微信小程序时,使用了 uView 的 CountDown倒计时 组件和 uni.$u.timeFrom Api,后台传递了一个时间字符串,前台计算时间戳的差值,来显示还有多久开始,这个功能在模拟器和我自己手机(iphon13)…...
Avalonia如何更改全局背景色
1.项目下载地址:https://gitee.com/confusedkitten/avalonia-demo 2.UI库Semi.Avalonia,项目地址 https://github.com/irihitech/Semi.Avalonia 3.ColorView,使用Semi.Avalonia.ColorPicker,Nuget获取就行 4.样式预览 以下是…...
万界星空科技低代码平台云MES系统功能场景
1、 工艺管理 生产工艺规程、岗位操作法、工艺卡片的编制。 生产过程的工艺条件、产品质量指标以及原材料消耗的执行检查、相关数据的统计分析。 2、 工序管理 对人、机、料、法控制,规定产品质量标准及有关完成方法的各项规程,并明确各道工序的管理负责…...
运维大数据平台的建设与实践探索
随着企业数字化转型的推进,运维管理面临着前所未有的挑战和机遇。为应对日益复杂且严峻的挑战,数字免疫系统和智能运维等概念应运而生。数字免疫系统和智能运维作为新兴技术,正引领着运维管理的新趋势。数字免疫系统和智能运维都借助大数据运…...
【Java 进阶篇】创建 HTML 注册页面
在这篇博客中,我们将介绍如何创建一个简单的 HTML 注册页面。HTML(Hypertext Markup Language)是一种标记语言,用于构建网页的结构和内容。创建一个注册页面是网页开发的常见任务之一,它允许用户提供个人信息并注册成为…...
【JVM系列】- 启航·JVM概论学习
启航JVM概论 😄生命不息,写作不止 🔥 继续踏上学习之路,学之分享笔记 👊 总有一天我也能像各位大佬一样 🏆 博客首页 怒放吧德德 To记录领地 🌝分享学习心得,欢迎指正,…...
Windows技巧
Windows应用 Windows应用无限延长Windows10 自动更新时间管理员身份打开cmd输入以下代码设置暂停更新时间 Windows应用 无限延长Windows10 自动更新时间 管理员身份打开cmd 输入以下代码 这里设置的是3000天,需要恢复更新可以将其设置为1天 reg add “HKEY_LOCA…...
Git 应用小记
常用命令 git reset 3种模式 --soft:将HEAD引用指向给定提交,索引(暂存区)和工作目录的内容不变 --mixed(默认,可不写):将HEAD引用指向给定提交,索引(暂存区…...
APT攻击与零日漏洞
APT攻击 当谈到网络安全时,APT(高级持续性威胁)攻击是最为复杂和难以检测的攻击类型之一。APT攻击通常涉及到高度的技术和策略性,而且它们的目标是深入地渗透和长时间地隐藏在目标网络中。 1. 什么是APT攻击? 高级持续…...
leetCode 1143.最长公共子序列 动态规划 + 滚动数组
1143. 最长公共子序列 - 力扣(LeetCode) 给定两个字符串 text1 和 text2,返回这两个字符串的最长 公共子序列 的长度。如果不存在 公共子序列 ,返回 0 。 一个字符串的 子序列 是指这样一个新的字符串:它是由原字符串…...
微软PowerBI考试 PL300-选择 Power BI 模型框架【附练习数据】
微软PowerBI考试 PL300-选择 Power BI 模型框架 20 多年来,Microsoft 持续对企业商业智能 (BI) 进行大量投资。 Azure Analysis Services (AAS) 和 SQL Server Analysis Services (SSAS) 基于无数企业使用的成熟的 BI 数据建模技术。 同样的技术也是 Power BI 数据…...
Oracle查询表空间大小
1 查询数据库中所有的表空间以及表空间所占空间的大小 SELECTtablespace_name,sum( bytes ) / 1024 / 1024 FROMdba_data_files GROUP BYtablespace_name; 2 Oracle查询表空间大小及每个表所占空间的大小 SELECTtablespace_name,file_id,file_name,round( bytes / ( 1024 …...
高等数学(下)题型笔记(八)空间解析几何与向量代数
目录 0 前言 1 向量的点乘 1.1 基本公式 1.2 例题 2 向量的叉乘 2.1 基础知识 2.2 例题 3 空间平面方程 3.1 基础知识 3.2 例题 4 空间直线方程 4.1 基础知识 4.2 例题 5 旋转曲面及其方程 5.1 基础知识 5.2 例题 6 空间曲面的法线与切平面 6.1 基础知识 6.2…...
华为OD机试-食堂供餐-二分法
import java.util.Arrays; import java.util.Scanner;public class DemoTest3 {public static void main(String[] args) {Scanner in new Scanner(System.in);// 注意 hasNext 和 hasNextLine 的区别while (in.hasNextLine()) { // 注意 while 处理多个 caseint a in.nextIn…...
2025 后端自学UNIAPP【项目实战:旅游项目】6、我的收藏页面
代码框架视图 1、先添加一个获取收藏景点的列表请求 【在文件my_api.js文件中添加】 // 引入公共的请求封装 import http from ./my_http.js// 登录接口(适配服务端返回 Token) export const login async (code, avatar) > {const res await http…...
【AI学习】三、AI算法中的向量
在人工智能(AI)算法中,向量(Vector)是一种将现实世界中的数据(如图像、文本、音频等)转化为计算机可处理的数值型特征表示的工具。它是连接人类认知(如语义、视觉特征)与…...
Spring Boot+Neo4j知识图谱实战:3步搭建智能关系网络!
一、引言 在数据驱动的背景下,知识图谱凭借其高效的信息组织能力,正逐步成为各行业应用的关键技术。本文聚焦 Spring Boot与Neo4j图数据库的技术结合,探讨知识图谱开发的实现细节,帮助读者掌握该技术栈在实际项目中的落地方法。 …...
【Java_EE】Spring MVC
目录 Spring Web MVC 编辑注解 RestController RequestMapping RequestParam RequestParam RequestBody PathVariable RequestPart 参数传递 注意事项 编辑参数重命名 RequestParam 编辑编辑传递集合 RequestParam 传递JSON数据 编辑RequestBody …...
Reasoning over Uncertain Text by Generative Large Language Models
https://ojs.aaai.org/index.php/AAAI/article/view/34674/36829https://ojs.aaai.org/index.php/AAAI/article/view/34674/36829 1. 概述 文本中的不确定性在许多语境中传达,从日常对话到特定领域的文档(例如医学文档)(Heritage 2013;Landmark、Gulbrandsen 和 Svenevei…...
React---day11
14.4 react-redux第三方库 提供connect、thunk之类的函数 以获取一个banner数据为例子 store: 我们在使用异步的时候理应是要使用中间件的,但是configureStore 已经自动集成了 redux-thunk,注意action里面要返回函数 import { configureS…...