开放系统互连安全体系结构学习笔记总结
开篇
本文是《网络安全 技术与实践》一书中序章中“开放系统互连安全体系结构”这一块的笔记总结。
定义
开放系统互连(Open System Interconnection, OSI)安全体系结构定义了必需的安全服务、安全机制和技术管理,以及它们在系统上的合理部署和关系配置。
安全服务
定义
为了保证系统或数据传输有足够的安全性,开放系统通信协议所提供的服务(X.800)。
安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务(RFC2828)。
安全服务分类及特定服务
- 认证
确保通信实体就是它所声称的实体。
-
- 同等实体认证
用于逻辑连接建立和数据传输阶段,为该连接的实体的身份提供可信性保障。
-
- 数据源点认证
在无连接传输时,保证收到的信息来源是所声称的来源。
- 访问控制
防止对资源的非授权访问,包括防止以非授权的方式使用某一资源。这种访问控制要与不同的安全策略协调一致。
- 数据保密性
连接保密性: 保护一次连接中所有的用户数据。
无连接保密性: 保护单个数据单元中所有的用户数据。
选择域保密性: 对一次连接或单个数据单元里选定的数据部分进行保密性保护。
流量保密性: 保护那些可以通过观察流量而获得的信息。
- 数据完整性
具有恢复功能的连续完整性:提供一次连接中所有用户数据的完整性。检测整个数据序列内存在的修改、插入、删除或重发,且试图将其恢复。
无恢复功能的连续完整性: 同具有恢复功能的连接完整性基本一致,但仅提供检测,无恢复功能。
选择域连接完整性:提供一次连接中传输的单个数据单元用户数据中选定部分的数据完整性,并判断选定域是否有修改、插入、删除或重发。
无连接完整性: 为单个无连接数据单元提供完整性保护:判断选定域是否被修改。
不可否认性: 防止整个或部分通信过程中,任意一个通信实体进行否认的行为。
源点的不可否认性: 证明消息由特定的一方发出。
信宿的不可否认性: 证明消息被特定方收到。
安全机制
安全服务与安全机制的关系
安全服务与安全机制之间的关系
安全服务与协议层之间的关系
网络安全模型
一个网络安全模型通常由6个功能实体组成,它们分别是消息的发送方(信源)、消息的接收方(信宿)、安全变换、信息通道、可信的第三方和攻击者。
在需要保护信息传输以防攻击者威胁消息的保密性、真实性和完整性时,就会涉及信息安全,任何用来保证信息安全的方法都包含如下两个方面:
- 对被发送信息进行安全相关的变换。例如对消息加密,它打乱消息使得攻击者不能读懂消息,或者将基于消息的编码附于消息后,用于验证发送者的身份;
- 使通信双方共享某些秘密消息,而这些消息不为攻击者所知。例如加密和解密密钥,在发送端加密算法采用加密密钥对所发送的消息加密,而在接收端解密算法采用解密密钥对收到的密文解密。
总结
- 信息安全的3个基本目标是保密性、完整性和可用性。此外,还有一个不可忽视的目标是合法性使用。
- 网络中存在的4种基本安全威胁有信息泄露、完整性破坏、拒绝服务和非法使用。
- 访问控制策略可以划分为基于身份的策略和基于任务的策略。
- X.800定义的5类安全服务是认证、访问控制、数据保密性、数据完整性和不可否认性。
- X.800定义的8种特定的安全机制是加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。
- X.800定义的5种普遍的安全机制是可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。
- 请简述通信安全、计算机安全和网络安全之间的联系和区别?
联系:
1.共同目标:三者都致力于保护信息的机密性、完整性和可用性,防止未经授权的访问、篡改和数据丢失。
2.重叠领域:这些安全措施往往重叠、例如,网络安全措施中会包含通信安全和计算机安全的内容,确保在网络传输的数据和网络中计算机系统的安全。
3.综合防御:在实际应用中,这三种安全措施通常联合使用,以提供全面的保护。例如,企业信息安全策略通常会包含通信加密(通信安全)、防火墙和入侵检测系统(网络安全)以及防病毒软件(计算机安全)。
区别:
1.定义和范围:
通信安全:主要关注通过各种通信手段(如电话、邮件、即时消息、无线通信等)传输的信息的保护、包括加密、认证、隐私保护和防窃听等措施。
计算机安全:主要关注单个计算设备(如PC、服务器、终端等)的安全性。包括操作系统安全、应用程序安全、反病毒软件、访问控制等。
网络安全:主要涉及通过网络(如互联网、局域网、广域网等)传输和交换的信息安全性、包括防火墙、入侵检测和防御系统、虚拟专用网络(VPN)、网络监控等。
2. 技术和方法:
通信安全:常用技术包括对称加密、非对称加密、公钥基础设施(PKI)、数字签名等。
计算机安全:常用技术包括防病毒软件、防火墙、操作系统补丁管理、用户身份验证和访问控制列表(ACL)等。
网络安全: 常用技术包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、VPN、网络分段、流量监控和过滤等。
- 基本的安全威胁有哪些?主要的渗入类型威胁是什么?主要的植入类型威胁是什么?请列出几种最重要的威胁。
基本的安全威胁包括信息泄露、完整性破坏、拒绝服务、非法使用。
主要的渗入类型威胁包括假冒、旁路控制、授权侵犯。
主要的植入类型的威胁包括:特洛伊木马、陷门。
- 在安全领域中,除了采用密码技术的防护措施外,还有哪些其他类型的防护措施?
除了采用密码技术的防护措施外,还有物理安全、人员安全、管理安全、媒体安全、辐射安全、生命周期控制等防护措施。
- 什么是安全策略?安全策略有几个不同的等级?
所谓安全策略,是指在某个安全领域内,施加给所有与安全相关活动的一套规则。所谓安全域,通常是指属于某个组织机构的一系列处理进程和通信资源。
安全策略有几个不同的等级:
安全策略目标;
机构安全策略;
系统安全策略;
- 什么是访问控制策略?什么是强制性访问控制策略?什么是自主性访问控制策略?
访问控制策略隶属于系统级安全策略,它迫使计算机系统和网络自动地执行授权。
强制性访问控制策略由安全域中的权威机构强制实施,任何人都不能回避。强制性安全策略在军事和其他政府机构机密环境中最为常用。
自主性访问控制策略为一些特定的用户提供了访问资源(如信息)的权限,此后可以利用此权限控制策略控制这些用户对资源进一步访问。
相关文章:
开放系统互连安全体系结构学习笔记总结
开篇 本文是《网络安全 技术与实践》一书中序章中“开放系统互连安全体系结构”这一块的笔记总结。 定义 开放系统互连(Open System Interconnection, OSI)安全体系结构定义了必需的安全服务、安全机制和技术管理,以及它们在系统上的合理部署…...
linux搭建redis cluster集群
集群介绍: Redis 集群实现了对Redis的水平扩容,即启动N个redis节点,将整个数据库分布存储在这N个节点中,每个节点存储总数据的1/N。 Redis 集群通过分区(partition)来提供一定程度的可用性(availability): 即使集群中有一部分节点失效或者无法进行通讯, 集群也可以继…...
瀚高数据库初级考试认证
pg_dumpall可以转储全局角色和表空间信息 单选题2分 A. 是 B. 否 回答正确(2分) 答案: A 解析:pg_dumpall备份一个给定集簇中的每一个数据库,并且也保留了集簇范围的数据,如角色和表空间定义。 2. 自定义文件格式必须与pg_restore…...
【java基础】spring中使用到的设计模式
Spring框架在其设计和实现中使用了多种设计模式,这些模式帮助Spring框架保持灵活性、可扩展性和易于集成的特点。以下是一些在Spring框架中常见和重要的设计模式: 工厂模式(Factory Pattern) Spring的核心容器使用了工厂模式&…...
浅层深度学习的概述
在人工智能和机器学习的领域中,“深度学习”已成为一个热门话题。该术语通常与多层神经网络和复杂模型联系在一起,然而,“浅层深度学习”是指那些较为简单而且通常只有一两个隐藏层的神经网络。这种模型在许多任务中表现出色,同时…...
如何找到最快解析速度的DNS
如何找到最快解析速度的DNS DNS,即域名系统(Domain Name System),是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使用户更方便地访问互联网,而不用记住能够被机器直接读取的IP数串。 在浏览网页时,我们通常使用域名,而不是IP地址。当域名在…...
【YashanDB知识库】数据库使用shutdown immediate无响应导致coredump
【标题】数据库使用shutdown immediate无响应导致coredump 【问题分类】数据库维护 【关键词】YashanDB, shutdown immediate, coredump 【问题描述】执行shutdown immediate后,数据库一直没有退出,在操作系统层面强制停止数据库进程时发生coredump。…...
)
web前端 React 框架面试200题(一)
面试题 1. 简述什么是React ( 概念 )? 参考回答: 1、React是Facebook开发的一款JS库。 2、React一般被用来作为MVC中的V层,它不依赖其他任何的库,因此开发中,可以与任何其他的库集成使用&…...
【前端】JavaScript入门及实战91-95
文章目录 91 DOM92 事件93 文档的加载94 DOM查询(1)95 图片切换的练习 91 DOM <!DOCTYPE html> <html> <head> <title></title> <meta charset"utf-8"><style> </style> </head> <body><button id&…...
vue3在元素上绑定自定义事件弹出虚拟键盘
最近开发中遇到一个需求: 焊接机器人的屏幕上集成web前端网页, 但是没有接入键盘。这就需要web端开发一个虚拟键盘,在网上找个很多虚拟键盘没有特别适合,索性自己写个简单的 图片: 代码: (代码可能比较垃圾冗余,也没时间优化,凑合看吧) 第一步:创建键盘组件 为了方便使用…...
VMware 上安装 CentOS 7 教程 (包含网络设置)
**建议先看一些我安装VMware的教程,有些网络配置需要做一下 1.打开VMware,创建虚拟机 2.勾选自定义,点击下一步 3.点击下一步 4.勾选“稍后安装操作系统”,点击下一步 5.勾选linux,勾选centos7,点击下一步…...
算法 day4 【双指针、快慢指针、环形链表】链表下
⚡刷题计划day4继续,可以点个免费的赞哦~ 下一期将会开启哈希表刷题专题,往期可看专栏,关注不迷路, 您的支持是我的最大动力🌹~ 目录 ⚡刷题计划day4继续,可以点个免费的赞哦~ 下一期将会开启哈希表刷题…...
智能音箱的工作原理
智能音箱的工作原理主要涉及到硬件和软件两个层面的协同工作,以及多个关键技术环节的配合。以下是对智能音箱工作原理的详细解析: 一、硬件层面 智能音箱的硬件组成通常包括主控芯片、麦克风阵列、扬声器、Wi-Fi模块和电源等部分。 主控芯片࿱…...
国际金融入门:国际收支与平衡表解析
在全球化的经济体系中,国际金融已成为我们日常生活不可或缺的一部分。了解国际金融的基础知识,可以帮助我们更好地理解世界经济的动态和趋势。今天,我们将深入探讨国际收支及其平衡表,以及它们是如何影响国家经济。 国际收支&…...
Modbus转BACnet/IP网关的技术实现与应用
引言 随着智能建筑和工业自动化的快速发展,不同通信协议之间的数据交换也变得日益重要。Modbus和BACnet/IP是两种广泛应用于自动化领域的通信协议,Modbus以其简单性和灵活性被广泛用于工业自动化,而BACnet/IP则在楼宇自动化系统中占据主导地…...
数据库连接断开后,DBAPI的数据源如何自动重连
现象 在使用DBAPI的过程中,如果网络抖动导致数据库连接不上,发现DBAPI的数据源不能重连,必须重启DBAPI才能连上数据库 解决办法 在数据源的连接池参数配置druid.breakAfterAcquireFailurefalse注意在企业版的4.1.1及以上版本才可以配置连接…...
Microsoft 365 Office BusinessPro LTSC 2024 for Mac( 微软Office办公套件)
Microsoft 365 Office BusinessPro LTSC 2024是一款专为商业用户设计的办公软件套件,它集成了Word、Excel、PowerPoint等核心应用,并特别包含了Microsoft Teams这一强大的协作工具。Teams将聊天、会议、文件共享、任务管理等功能整合到一个平台上&#x…...
svelte - 1. 基础知识
svelte中文官网 vue和svelt语法对比 掘金-svelte入门简介 文章目录 1、基本页面框架2、动态属性3、嵌套组件4、@html: 插入html标签,显示真实dom元素5、点击事件 on:click={handleClick}6、响应式声明7、父子组件通信8、if-else(1)if(2)if - else(3)if - else if - else…...
挖掘基于边缘无线协同感知的低功耗物联网 (LPIOT) 的巨大潜力
关键词:边缘无线协同感知、低功耗物联网(LPIOT)、无线混合组网、用电监测、用电计量、多角色、计量插座、无线场景感知、多角色运用、后台边缘层,网络边缘层,场景能效管理,场景能耗计算 在数字化和智能化日益加速的今天ÿ…...
iOS开发设计模式篇第一篇MVC设计模式
目录 1. 引言 2.概念 1.Model 1.职责 2.实现 3.和Controller通信 1.Contrller直接访问Model 2.通过委托(Delegate)模式 3.通知 4.KVO 4.设计的建议 2.View 1.职责 2.实现 3.和Controller通信 1. 目标-动作(Target-Action)模式 2…...
未来机器人的大脑:如何用神经网络模拟器实现更智能的决策?
编辑:陈萍萍的公主一点人工一点智能 未来机器人的大脑:如何用神经网络模拟器实现更智能的决策?RWM通过双自回归机制有效解决了复合误差、部分可观测性和随机动力学等关键挑战,在不依赖领域特定归纳偏见的条件下实现了卓越的预测准…...
ubuntu搭建nfs服务centos挂载访问
在Ubuntu上设置NFS服务器 在Ubuntu上,你可以使用apt包管理器来安装NFS服务器。打开终端并运行: sudo apt update sudo apt install nfs-kernel-server创建共享目录 创建一个目录用于共享,例如/shared: sudo mkdir /shared sud…...
解锁数据库简洁之道:FastAPI与SQLModel实战指南
在构建现代Web应用程序时,与数据库的交互无疑是核心环节。虽然传统的数据库操作方式(如直接编写SQL语句与psycopg2交互)赋予了我们精细的控制权,但在面对日益复杂的业务逻辑和快速迭代的需求时,这种方式的开发效率和可…...
React Native在HarmonyOS 5.0阅读类应用开发中的实践
一、技术选型背景 随着HarmonyOS 5.0对Web兼容层的增强,React Native作为跨平台框架可通过重新编译ArkTS组件实现85%以上的代码复用率。阅读类应用具有UI复杂度低、数据流清晰的特点。 二、核心实现方案 1. 环境配置 (1)使用React Native…...
)
postgresql|数据库|只读用户的创建和删除(备忘)
CREATE USER read_only WITH PASSWORD 密码 -- 连接到xxx数据库 \c xxx -- 授予对xxx数据库的只读权限 GRANT CONNECT ON DATABASE xxx TO read_only; GRANT USAGE ON SCHEMA public TO read_only; GRANT SELECT ON ALL TABLES IN SCHEMA public TO read_only; GRANT EXECUTE O…...
Nginx server_name 配置说明
Nginx 是一个高性能的反向代理和负载均衡服务器,其核心配置之一是 server 块中的 server_name 指令。server_name 决定了 Nginx 如何根据客户端请求的 Host 头匹配对应的虚拟主机(Virtual Host)。 1. 简介 Nginx 使用 server_name 指令来确定…...
Mac软件卸载指南,简单易懂!
刚和Adobe分手,它却总在Library里给你写"回忆录"?卸载的Final Cut Pro像电子幽灵般阴魂不散?总是会有残留文件,别慌!这份Mac软件卸载指南,将用最硬核的方式教你"数字分手术"࿰…...
Linux nano命令的基本使用
参考资料 GNU nanoを使いこなすnano基础 目录 一. 简介二. 文件打开2.1 普通方式打开文件2.2 只读方式打开文件 三. 文件查看3.1 打开文件时,显示行号3.2 翻页查看 四. 文件编辑4.1 Ctrl K 复制 和 Ctrl U 粘贴4.2 Alt/Esc U 撤回 五. 文件保存与退出5.1 Ctrl …...
Vite中定义@软链接
在webpack中可以直接通过符号表示src路径,但是vite中默认不可以。 如何实现: vite中提供了resolve.alias:通过别名在指向一个具体的路径 在vite.config.js中 import { join } from pathexport default defineConfig({plugins: [vue()],//…...
算术操作符与类型转换:从基础到精通
目录 前言:从基础到实践——探索运算符与类型转换的奥秘 算术操作符超级详解 算术操作符:、-、*、/、% 赋值操作符:和复合赋值 单⽬操作符:、--、、- 前言:从基础到实践——探索运算符与类型转换的奥秘 在先前的文…...