Security+ 1. 基础概念

1. 基础概念

• • 1.1 信息安全的目标
  • • 1.1.1 漏洞(vunerability)
    • 1.1.2 风险(risk)
    • 1.1.3威胁(threat)
    • 1.1.4 攻击(attack)
    • 1.1.5 控制(control)
    • 1.1.6 安全管理流程
  • 1.2 信息安全原则：CIA 三位一体
  • • 1.2.1 认证(Authentication)
    • 1.2.2 特权管理(Privilege management)
    • 1.2.3 密码学

1.1 信息安全的目标

1. 预防(Prevention)
2. 检测(Detection)
3. 恢复(Recovery)

1.1.1 漏洞(vunerability)

任何可能使信息系统遭受损坏的情况

1. 不合理的配置或安装软硬件
2. 未及时应用和测试软件及固件补丁
3. 未经测试的软件及固件补丁
4. 软件或操作系统中的错误
5. 设计拙劣的网络
6. 糟糕的物理安全
7. 不安全的密码
8. 软件或操作系统中的设计缺陷
9. 未经检查的用户输入

1.1.2 风险(risk)

表示面临损坏或者丢失的可能性的概念，他说明了发生灾难或者威胁的概率。

1.1.3威胁(threat)

可能对资产造成损害的任何事件或行动

1. 无意地或未经授权地访问或修改数据
2. 服务的中断
3. 访问资产时的中断
4. 硬件损坏
5. 未经授权地访问或损坏设施

1.1.4 攻击(attack)

在未经授权地情况下，利用任意应用程序或物理计算机系统中漏洞技术。

1. 物理安全攻击
2. 基于软件的攻击
3. 社交工程攻击
4. 基于网络应用程序的攻击
5. 基于网络的攻击，如无线网络

1.1.5 控制(control)

为了避免，缓解或抵消由威胁或攻击引起的安全风险而做出的相应对策。

类型	描述
预防控制(Prevention control)	预防因漏洞暴露而遭受到的威胁或攻击。
检测控制(Detection control)	发现威胁或漏洞
校正控制(Correction control)	消除威胁或攻击

1.1.6 安全管理流程

阶段	描述
确定安全控制	找出安全泄露发生的时间和位置; 泄露的日志详细信息; 选择合适的识别技术，如NIDS
实施安全控制	对用户身份进行合理验证，或控制数据和资源的访问权限; 安装安全机制;
监控安全控制	验证控制的有效性; 分析, 记录每一起控制故障并确定控制是否需要进行更新或移除

1.2 信息安全原则：CIA 三位一体

名称	描述
机密性(Confidentiality)	保证机密信息在传输、存储和使用过程中不被未授权的第三方进行窃听，或者窃听者无法了解信息的真实含义。
完整性(Integrity)	确保收到的数据和对方所发出的信息完全一样，防止数据在传输或存储过程中被非法篡改
可用性(Availability)	授权人员能按需访问数据

• 不可否认性(Nop-repudiation)：发送方不能否认信息的发送，接收方不能否认信息的接收。
• 身份识别(Identification): 对特定实体声明所有权的过程。

1.2.1 认证(Authentication)

对信息的真实来源进行判断，确认信息真实的发送者和接收者，对能对伪造来源的信息予以鉴别
认证机制：

• 密码

• 口令: PIN+用户信息+密码=口令，如智能卡(Smart card)

• 生物识别(Biometrics)

• 定位

• 击键认证: 根据按键被按压和释放时精确且详细的信息进行验证的认证类型。

• 多因素认证(Multi-factor authentication): 使用多种认证机制进行认证

• 相互认证(Mutual authentication): 通讯中的每一方之间相互验证身份。

• 授权(Authorization): 确定实体拥有哪些权利和权限的过程。

• 访问控制(Access control): 对不同资源，对象或数据确定并分配权限的过程。

• 计费(accounting)和审计(auditing): 计费指跟踪并记录系统活动和资源的访问的过程。审计是计费的一部分，审核被记录下来的日志。

• 最小特权原则(least privilege): 规定用户和软件只能被赋予执行任务所必须的最低访问级别。

• 特权包围(Privilege bracketing): 指仅在需要时才授予特权，任务完成时立即撤销。

1.2.2 特权管理(Privilege management)

• 使用认证和授权机制提供用户和组访问控制的集中式或分散式管理，如(单点登录[Single signon/SSO])
• 管理特权方式：授权，认证，访问控制，计费/审计

1.2.3 密码学

• Plaintext: 打算进行加密的未加密数据

• Cleartext: 未打算进行加密的未加密数据

• 对称加密(Symmetric encryption)：加解密使用相同密钥，如secret-key，shared-key，private-key

• 非对称加密(asynmmetric encryption)：公钥加密，私钥解密。

• 散列(Hashing): 如散列(hash),散列值 (hash value), 消息摘要(message diges)t。

• 信息隐藏(Steganography): 将消息装入图形，视频、音频等文件中进行隐藏。