开放系统互连安全体系结构学习笔记总结
开篇
本文是《网络安全 技术与实践》一书中序章中“开放系统互连安全体系结构”这一块的笔记总结。
定义
开放系统互连(Open System Interconnection, OSI)安全体系结构定义了必需的安全服务、安全机制和技术管理,以及它们在系统上的合理部署和关系配置。
安全服务
定义
为了保证系统或数据传输有足够的安全性,开放系统通信协议所提供的服务(X.800)。
安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务(RFC2828)。
安全服务分类及特定服务
- 认证
确保通信实体就是它所声称的实体。
-
- 同等实体认证
用于逻辑连接建立和数据传输阶段,为该连接的实体的身份提供可信性保障。
-
- 数据源点认证
在无连接传输时,保证收到的信息来源是所声称的来源。
- 访问控制
防止对资源的非授权访问,包括防止以非授权的方式使用某一资源。这种访问控制要与不同的安全策略协调一致。
- 数据保密性
连接保密性: 保护一次连接中所有的用户数据。
无连接保密性: 保护单个数据单元中所有的用户数据。
选择域保密性: 对一次连接或单个数据单元里选定的数据部分进行保密性保护。
流量保密性: 保护那些可以通过观察流量而获得的信息。
- 数据完整性
具有恢复功能的连续完整性:提供一次连接中所有用户数据的完整性。检测整个数据序列内存在的修改、插入、删除或重发,且试图将其恢复。
无恢复功能的连续完整性: 同具有恢复功能的连接完整性基本一致,但仅提供检测,无恢复功能。
选择域连接完整性:提供一次连接中传输的单个数据单元用户数据中选定部分的数据完整性,并判断选定域是否有修改、插入、删除或重发。
无连接完整性: 为单个无连接数据单元提供完整性保护:判断选定域是否被修改。
不可否认性: 防止整个或部分通信过程中,任意一个通信实体进行否认的行为。
源点的不可否认性: 证明消息由特定的一方发出。
信宿的不可否认性: 证明消息被特定方收到。
安全机制
安全服务与安全机制的关系
安全服务与安全机制之间的关系
安全服务与协议层之间的关系
网络安全模型
一个网络安全模型通常由6个功能实体组成,它们分别是消息的发送方(信源)、消息的接收方(信宿)、安全变换、信息通道、可信的第三方和攻击者。
在需要保护信息传输以防攻击者威胁消息的保密性、真实性和完整性时,就会涉及信息安全,任何用来保证信息安全的方法都包含如下两个方面:
- 对被发送信息进行安全相关的变换。例如对消息加密,它打乱消息使得攻击者不能读懂消息,或者将基于消息的编码附于消息后,用于验证发送者的身份;
- 使通信双方共享某些秘密消息,而这些消息不为攻击者所知。例如加密和解密密钥,在发送端加密算法采用加密密钥对所发送的消息加密,而在接收端解密算法采用解密密钥对收到的密文解密。
总结
- 信息安全的3个基本目标是保密性、完整性和可用性。此外,还有一个不可忽视的目标是合法性使用。
- 网络中存在的4种基本安全威胁有信息泄露、完整性破坏、拒绝服务和非法使用。
- 访问控制策略可以划分为基于身份的策略和基于任务的策略。
- X.800定义的5类安全服务是认证、访问控制、数据保密性、数据完整性和不可否认性。
- X.800定义的8种特定的安全机制是加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。
- X.800定义的5种普遍的安全机制是可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。
- 请简述通信安全、计算机安全和网络安全之间的联系和区别?
联系:
1.共同目标:三者都致力于保护信息的机密性、完整性和可用性,防止未经授权的访问、篡改和数据丢失。
2.重叠领域:这些安全措施往往重叠、例如,网络安全措施中会包含通信安全和计算机安全的内容,确保在网络传输的数据和网络中计算机系统的安全。
3.综合防御:在实际应用中,这三种安全措施通常联合使用,以提供全面的保护。例如,企业信息安全策略通常会包含通信加密(通信安全)、防火墙和入侵检测系统(网络安全)以及防病毒软件(计算机安全)。
区别:
1.定义和范围:
通信安全:主要关注通过各种通信手段(如电话、邮件、即时消息、无线通信等)传输的信息的保护、包括加密、认证、隐私保护和防窃听等措施。
计算机安全:主要关注单个计算设备(如PC、服务器、终端等)的安全性。包括操作系统安全、应用程序安全、反病毒软件、访问控制等。
网络安全:主要涉及通过网络(如互联网、局域网、广域网等)传输和交换的信息安全性、包括防火墙、入侵检测和防御系统、虚拟专用网络(VPN)、网络监控等。
2. 技术和方法:
通信安全:常用技术包括对称加密、非对称加密、公钥基础设施(PKI)、数字签名等。
计算机安全:常用技术包括防病毒软件、防火墙、操作系统补丁管理、用户身份验证和访问控制列表(ACL)等。
网络安全: 常用技术包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、VPN、网络分段、流量监控和过滤等。
- 基本的安全威胁有哪些?主要的渗入类型威胁是什么?主要的植入类型威胁是什么?请列出几种最重要的威胁。
基本的安全威胁包括信息泄露、完整性破坏、拒绝服务、非法使用。
主要的渗入类型威胁包括假冒、旁路控制、授权侵犯。
主要的植入类型的威胁包括:特洛伊木马、陷门。
- 在安全领域中,除了采用密码技术的防护措施外,还有哪些其他类型的防护措施?
除了采用密码技术的防护措施外,还有物理安全、人员安全、管理安全、媒体安全、辐射安全、生命周期控制等防护措施。
- 什么是安全策略?安全策略有几个不同的等级?
所谓安全策略,是指在某个安全领域内,施加给所有与安全相关活动的一套规则。所谓安全域,通常是指属于某个组织机构的一系列处理进程和通信资源。
安全策略有几个不同的等级:
安全策略目标;
机构安全策略;
系统安全策略;
- 什么是访问控制策略?什么是强制性访问控制策略?什么是自主性访问控制策略?
访问控制策略隶属于系统级安全策略,它迫使计算机系统和网络自动地执行授权。
强制性访问控制策略由安全域中的权威机构强制实施,任何人都不能回避。强制性安全策略在军事和其他政府机构机密环境中最为常用。
自主性访问控制策略为一些特定的用户提供了访问资源(如信息)的权限,此后可以利用此权限控制策略控制这些用户对资源进一步访问。
相关文章:
开放系统互连安全体系结构学习笔记总结
开篇 本文是《网络安全 技术与实践》一书中序章中“开放系统互连安全体系结构”这一块的笔记总结。 定义 开放系统互连(Open System Interconnection, OSI)安全体系结构定义了必需的安全服务、安全机制和技术管理,以及它们在系统上的合理部署…...
linux搭建redis cluster集群
集群介绍: Redis 集群实现了对Redis的水平扩容,即启动N个redis节点,将整个数据库分布存储在这N个节点中,每个节点存储总数据的1/N。 Redis 集群通过分区(partition)来提供一定程度的可用性(availability): 即使集群中有一部分节点失效或者无法进行通讯, 集群也可以继…...
瀚高数据库初级考试认证
pg_dumpall可以转储全局角色和表空间信息 单选题2分 A. 是 B. 否 回答正确(2分) 答案: A 解析:pg_dumpall备份一个给定集簇中的每一个数据库,并且也保留了集簇范围的数据,如角色和表空间定义。 2. 自定义文件格式必须与pg_restore…...
【java基础】spring中使用到的设计模式
Spring框架在其设计和实现中使用了多种设计模式,这些模式帮助Spring框架保持灵活性、可扩展性和易于集成的特点。以下是一些在Spring框架中常见和重要的设计模式: 工厂模式(Factory Pattern) Spring的核心容器使用了工厂模式&…...
浅层深度学习的概述
在人工智能和机器学习的领域中,“深度学习”已成为一个热门话题。该术语通常与多层神经网络和复杂模型联系在一起,然而,“浅层深度学习”是指那些较为简单而且通常只有一两个隐藏层的神经网络。这种模型在许多任务中表现出色,同时…...
如何找到最快解析速度的DNS
如何找到最快解析速度的DNS DNS,即域名系统(Domain Name System),是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使用户更方便地访问互联网,而不用记住能够被机器直接读取的IP数串。 在浏览网页时,我们通常使用域名,而不是IP地址。当域名在…...
【YashanDB知识库】数据库使用shutdown immediate无响应导致coredump
【标题】数据库使用shutdown immediate无响应导致coredump 【问题分类】数据库维护 【关键词】YashanDB, shutdown immediate, coredump 【问题描述】执行shutdown immediate后,数据库一直没有退出,在操作系统层面强制停止数据库进程时发生coredump。…...
)
web前端 React 框架面试200题(一)
面试题 1. 简述什么是React ( 概念 )? 参考回答: 1、React是Facebook开发的一款JS库。 2、React一般被用来作为MVC中的V层,它不依赖其他任何的库,因此开发中,可以与任何其他的库集成使用&…...
【前端】JavaScript入门及实战91-95
文章目录 91 DOM92 事件93 文档的加载94 DOM查询(1)95 图片切换的练习 91 DOM <!DOCTYPE html> <html> <head> <title></title> <meta charset"utf-8"><style> </style> </head> <body><button id&…...
vue3在元素上绑定自定义事件弹出虚拟键盘
最近开发中遇到一个需求: 焊接机器人的屏幕上集成web前端网页, 但是没有接入键盘。这就需要web端开发一个虚拟键盘,在网上找个很多虚拟键盘没有特别适合,索性自己写个简单的 图片: 代码: (代码可能比较垃圾冗余,也没时间优化,凑合看吧) 第一步:创建键盘组件 为了方便使用…...
VMware 上安装 CentOS 7 教程 (包含网络设置)
**建议先看一些我安装VMware的教程,有些网络配置需要做一下 1.打开VMware,创建虚拟机 2.勾选自定义,点击下一步 3.点击下一步 4.勾选“稍后安装操作系统”,点击下一步 5.勾选linux,勾选centos7,点击下一步…...
算法 day4 【双指针、快慢指针、环形链表】链表下
⚡刷题计划day4继续,可以点个免费的赞哦~ 下一期将会开启哈希表刷题专题,往期可看专栏,关注不迷路, 您的支持是我的最大动力🌹~ 目录 ⚡刷题计划day4继续,可以点个免费的赞哦~ 下一期将会开启哈希表刷题…...
智能音箱的工作原理
智能音箱的工作原理主要涉及到硬件和软件两个层面的协同工作,以及多个关键技术环节的配合。以下是对智能音箱工作原理的详细解析: 一、硬件层面 智能音箱的硬件组成通常包括主控芯片、麦克风阵列、扬声器、Wi-Fi模块和电源等部分。 主控芯片࿱…...
国际金融入门:国际收支与平衡表解析
在全球化的经济体系中,国际金融已成为我们日常生活不可或缺的一部分。了解国际金融的基础知识,可以帮助我们更好地理解世界经济的动态和趋势。今天,我们将深入探讨国际收支及其平衡表,以及它们是如何影响国家经济。 国际收支&…...
Modbus转BACnet/IP网关的技术实现与应用
引言 随着智能建筑和工业自动化的快速发展,不同通信协议之间的数据交换也变得日益重要。Modbus和BACnet/IP是两种广泛应用于自动化领域的通信协议,Modbus以其简单性和灵活性被广泛用于工业自动化,而BACnet/IP则在楼宇自动化系统中占据主导地…...
数据库连接断开后,DBAPI的数据源如何自动重连
现象 在使用DBAPI的过程中,如果网络抖动导致数据库连接不上,发现DBAPI的数据源不能重连,必须重启DBAPI才能连上数据库 解决办法 在数据源的连接池参数配置druid.breakAfterAcquireFailurefalse注意在企业版的4.1.1及以上版本才可以配置连接…...
Microsoft 365 Office BusinessPro LTSC 2024 for Mac( 微软Office办公套件)
Microsoft 365 Office BusinessPro LTSC 2024是一款专为商业用户设计的办公软件套件,它集成了Word、Excel、PowerPoint等核心应用,并特别包含了Microsoft Teams这一强大的协作工具。Teams将聊天、会议、文件共享、任务管理等功能整合到一个平台上&#x…...
svelte - 1. 基础知识
svelte中文官网 vue和svelt语法对比 掘金-svelte入门简介 文章目录 1、基本页面框架2、动态属性3、嵌套组件4、@html: 插入html标签,显示真实dom元素5、点击事件 on:click={handleClick}6、响应式声明7、父子组件通信8、if-else(1)if(2)if - else(3)if - else if - else…...
挖掘基于边缘无线协同感知的低功耗物联网 (LPIOT) 的巨大潜力
关键词:边缘无线协同感知、低功耗物联网(LPIOT)、无线混合组网、用电监测、用电计量、多角色、计量插座、无线场景感知、多角色运用、后台边缘层,网络边缘层,场景能效管理,场景能耗计算 在数字化和智能化日益加速的今天ÿ…...
iOS开发设计模式篇第一篇MVC设计模式
目录 1. 引言 2.概念 1.Model 1.职责 2.实现 3.和Controller通信 1.Contrller直接访问Model 2.通过委托(Delegate)模式 3.通知 4.KVO 4.设计的建议 2.View 1.职责 2.实现 3.和Controller通信 1. 目标-动作(Target-Action)模式 2…...
iOS 26 携众系统重磅更新,但“苹果智能”仍与国行无缘
美国西海岸的夏天,再次被苹果点燃。一年一度的全球开发者大会 WWDC25 如期而至,这不仅是开发者的盛宴,更是全球数亿苹果用户翘首以盼的科技春晚。今年,苹果依旧为我们带来了全家桶式的系统更新,包括 iOS 26、iPadOS 26…...
(转)什么是DockerCompose?它有什么作用?
一、什么是DockerCompose? DockerCompose可以基于Compose文件帮我们快速的部署分布式应用,而无需手动一个个创建和运行容器。 Compose文件是一个文本文件,通过指令定义集群中的每个容器如何运行。 DockerCompose就是把DockerFile转换成指令去运行。 …...
Maven 概述、安装、配置、仓库、私服详解
目录 1、Maven 概述 1.1 Maven 的定义 1.2 Maven 解决的问题 1.3 Maven 的核心特性与优势 2、Maven 安装 2.1 下载 Maven 2.2 安装配置 Maven 2.3 测试安装 2.4 修改 Maven 本地仓库的默认路径 3、Maven 配置 3.1 配置本地仓库 3.2 配置 JDK 3.3 IDEA 配置本地 Ma…...
Java数值运算常见陷阱与规避方法
整数除法中的舍入问题 问题现象 当开发者预期进行浮点除法却误用整数除法时,会出现小数部分被截断的情况。典型错误模式如下: void process(int value) {double half = value / 2; // 整数除法导致截断// 使用half变量 }此时...
关于uniapp展示PDF的解决方案
在 UniApp 的 H5 环境中使用 pdf-vue3 组件可以实现完整的 PDF 预览功能。以下是详细实现步骤和注意事项: 一、安装依赖 安装 pdf-vue3 和 PDF.js 核心库: npm install pdf-vue3 pdfjs-dist二、基本使用示例 <template><view class"con…...
 error)
【前端异常】JavaScript错误处理:分析 Uncaught (in promise) error
在前端开发中,JavaScript 异常是不可避免的。随着现代前端应用越来越多地使用异步操作(如 Promise、async/await 等),开发者常常会遇到 Uncaught (in promise) error 错误。这个错误是由于未正确处理 Promise 的拒绝(r…...
GeoServer发布PostgreSQL图层后WFS查询无主键字段
在使用 GeoServer(版本 2.22.2) 发布 PostgreSQL(PostGIS)中的表为地图服务时,常常会遇到一个小问题: WFS 查询中,主键字段(如 id)莫名其妙地消失了! 即使你在…...
简单介绍C++中 string与wstring
在C中,string和wstring是两种用于处理不同字符编码的字符串类型,分别基于char和wchar_t字符类型。以下是它们的详细说明和对比: 1. 基础定义 string 类型:std::string 字符类型:char(通常为8位)…...
CSS 工具对比:UnoCSS vs Tailwind CSS,谁是你的菜?
在现代前端开发中,Utility-First (功能优先) CSS 框架已经成为主流。其中,Tailwind CSS 无疑是市场的领导者和标杆。然而,一个名为 UnoCSS 的新星正以其惊人的性能和极致的灵活性迅速崛起。 这篇文章将深入探讨这两款工具的核心理念、技术差…...
WinUI3开发_使用mica效果
简介 Mica(云母)是Windows10/11上的一种现代化效果,是Windows10/11上所使用的Fluent Design(设计语言)里的一个效果,Windows10/11上所使用的Fluent Design皆旨在于打造一个人类、通用和真正感觉与 Windows 一样的设计。 WinUI3就是Windows10/11上的一个…...