23、网络与信息安全知识综合解析-优快云博客

本文链接：https://blog.youkuaiyun.com/rice5/article/details/149797532

网络与信息安全知识综合解析

在网络与信息安全领域，有众多关键概念和技术手段，它们对于保障系统的正常运行、数据的安全以及业务的连续性至关重要。下面将对一些重要的知识点进行详细解析。

1. 关键指标与协议

恢复目标相关指标 ：
- 恢复点目标（RPO）：确定在恢复过程中可能丢失的最大数据量，以时间衡量。
- 恢复时间目标（RTO）：指IT服务或组件在故障后恢复运行所需的预期时间。
- 最大可容忍停机时间（MTD）：IT服务或组件在不对组织造成严重损害的情况下不可用的最长时间。
- 服务级别协议（SLAs）：记录服务期望的书面合同。
网络设备选择 ：
- 路由器：用于控制网络流量并连接相似网络。
- 网桥：可帮助连接差异较大的网络。
- 网关：通过转换流量协议或格式连接使用其他协议的网络。
- 交换机：常用于创建广播域并连接端点系统或其他设备。

2. 渗透测试与发现阶段

水晶盒渗透测试 ：也称为白盒渗透测试，为测试人员提供网络、系统和配置信息，便于进行高效测试，但缺乏实际攻击的模拟，可能导致在零知识或有限知识攻击中失败的攻击在此测试中成功。
发现阶段活动 ：包括收集IP地址、网络范围、主机名，以及关于员工、位置、系统和系统提供的服务的信息。横幅信息通常作为发现阶段的一部分收集，以提供服务版本和类型的信息。

3. 网络分类与设备指纹识别

B类网络 ：可容纳2^16个系统，默认网络掩码为255.255.0.0。
设备指纹识别 ：通过Web门户进行设备指纹识别可要求用户认证，并收集操作系统、版本、软件信息等能唯一识别系统的因素。自动化指纹识别系统优于手动注册，结合用户认证和数据收集比端口扫描提供更多细节。但MAC地址可被伪造，且系统可能有多个MAC地址，增加了唯一识别的难度。

4. 数据管理与攻击类型

数据分类责任 ：数据所有者通常负责对信息进行适当级别的分类，该角色一般由高级经理或总监担任，然后将操作责任委托给数据保管人。
Ping洪泛攻击 ：向目标系统发送回显请求，使用入站ICMP回显请求数据包，使系统以出站ICMP回显回复响应。

5. 认证与网络协议

多因素认证 ：虽然所有列出的控制措施都能提高认证安全性，但大多数只是加强了基于知识的认证。改善认证过程的最佳方法是通过使用多因素认证添加非基于知识的因素，如生物识别控制或基于令牌的认证。
软件定义网络（SDN） ：是一种融合协议，允许将虚拟化概念和实践应用于网络。MPLS可处理多种协议，但不具备SDN的集中化能力。内容分发网络（CDN）不是融合协议，FCoE是用于存储的融合协议。

以下是一些关键指标和网络设备的对比表格：
| 指标/设备 | 描述 |
| — | — |
| RPO | 恢复过程中可能丢失的最大数据量（以时间计） |
| RTO | 故障后恢复运行的预期时间 |
| MTD | 不造成严重损害的最长不可用时间 |
| 路由器 | 控制网络流量，连接相似网络 |
| 网桥 | 连接差异较大的网络 |
| 网关 | 转换协议连接不同网络 |
| 交换机 | 创建广播域，连接端点系统 |

mermaid格式流程图展示发现阶段的主要活动：

graph LR
    A[发现阶段] --> B[收集IP地址、网络范围、主机名]
    A --> C[收集员工、位置、系统信息]
    A --> D[收集系统提供的服务信息]
    A --> E[收集横幅信息]

6. 数据销毁与软件能力成熟度模型

DVD数据销毁 ：确保DVD上的数据完全消失的最佳方法是销毁它们，粉碎DVD是一种合适的销毁方式。DVD - ROM是只读媒体，安全擦除和零擦除无效，消磁仅适用于磁性媒体，不能保证零数据残留。
SW - CMM阶段 ：软件能力成熟度模型（SW - CMM）有五个阶段，依次为初始、可重复、定义、管理和优化。在优化阶段，会进行持续改进的过程。

7. 网络安全控制与数据分类

网络数据包过滤 ：所有离开Angie网络的数据包应具有来自其公共IP地址块的源地址。具有Angie网络目标地址的数据包不应离开网络。来自其他网络的源地址数据包可能是伪造的，应被出口过滤器阻止。源或目标为私有IP地址的数据包不应路由到互联网上。
密码文件安全 ：安全最佳实践规定使用影子密码文件，将密码哈希从广泛可访问的 /etc/passwd 文件移动到更受限制的 /etc/shadow 文件。

8. 职责分离与数字签名

职责分离原则 ：虽然开发人员可能认为有将代码投入生产的业务需求，但职责分离原则规定他们不应同时具备编写代码和将其放置在生产服务器上的能力。代码部署通常由变更管理人员执行。
数字签名 ：对消息应用数字签名可使发送者实现不可否认性，使消息接收者能够向第三方证明消息来自声称的发送者。对称加密不支持不可否认性，防火墙和入侵检测系统（IDS）不是用于提供不可否认性的工具。

9. 网络协议与攻击防护

TCP三次握手 ：系统A应发送ACK以结束TCP三次握手（SYN，SYN/ACK，ACK）。
TACACS + 协议 ：TACACS + 是TACACS（终端访问控制器访问控制系统）的最现代版本，是Cisco专有的协议，具有RADIUS之外的附加功能，常用于Cisco网络。

10. 云服务与风险评估

云服务责任 ：从客户承担最少责任到最多责任的云服务提供顺序为：软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）。
- IaaS：客户负责管理操作系统和应用程序安全，供应商管理虚拟机管理程序及以下级别的安全。
- PaaS：供应商负责操作系统，客户编写和配置应用程序。
- SaaS：供应商负责应用程序的开发和实施，客户仅配置应用程序内的安全设置。
风险评估指标 ：
- 暴露因子：风险发生时风险管理人员预计设施受损的百分比，通过损失金额除以资产价值计算。
- 年化发生率（ARO）：风险分析师预计风险每年发生的次数。
- 年化损失预期（ALE）：通过单次损失预期（SLE）乘以年化发生率（ARO）计算。

mermaid格式流程图展示风险评估指标的计算关系：

graph LR
    A[SLE] --> C[ALE]
    B[ARO] --> C[ALE]

11. 账户管理与应用控制

账户管理审查目标 ：账户管理审查最常见的目标是高权限账户，因为它们带来的风险最大。随机样本是第二常见的选择。存在时间较长的账户由于权限蔓延更可能出现问题，但除非有特定组织原因，否则这两种选择都不太可能。
应用控制方法 ：
- 黑名单方法：阻止某些禁止的软件包，但允许在系统上安装其他软件。
- 白名单方法：仅允许安装批准的软件。
- 杀毒软件：只能在恶意软件安装后检测到。
- 启发式检测：是杀毒软件的一种变体。

12. 法律规则与安全工具

证据规则 ：
- 传闻规则：证人通常不能就他人告知的内容作证，法院将此规则应用于包括律师在未得到系统管理员认证的情况下不得将日志作为证据引入。
- 最佳证据规则：如果有原件，不得提交文件副本作为证据。
- 口头证据规则：如果双方签订书面协议，该书面文件被视为包含协议的所有条款。
安全工具作用 ：
- 关键风险指标（KRIs）：可为组织规划提供有用信息，但不适合实时安全响应。
- 入侵防御系统（IPS）、安全信息和事件管理（SIEM）等工具：更适合处理实际攻击。

13. 恶意软件与云计算模型

恶意软件传播机制 ：
- 蠕虫：具有内置传播机制，无需用户交互，如扫描存在已知漏洞的系统并利用漏洞获取访问权限。
- 病毒和特洛伊木马：通常需要用户交互才能传播。
- 逻辑炸弹：不在系统间传播，而是等待特定条件满足后触发有效负载。
云计算模型 ：
- 基础设施即服务（IaaS）：供应商提供对象存储等核心基础设施服务。
- 社区云计算模型：两个或多个组织共享资源创建云环境。

14. 软件开发与数据保护

敏捷软件开发方法 ：敏捷方法强调工作软件是进度的主要衡量标准，简单性至关重要，商业人员和开发人员必须每天合作，最有效的信息传达方式是面对面交流。
数据保护措施 ：在某些情况下，加密、访问控制和防火墙可能无效，因为会计人员具有合法访问数据的权限。完整性验证软件可通过识别受保护数据的意外更改来防止此类攻击。

15. 消防与网络技术

C类灭火器 ：使用二氧化碳或卤代烷抑制剂，适用于电气火灾。水基灭火器绝不能用于电气火灾，以免触电。
帧中继技术 ：支持多个专用虚拟电路（PVCs），与X.25不同。它是一种分组交换技术，提供承诺信息速率，即服务提供商向客户保证的最小带宽。每个连接点需要数据终端设备（DTE）和数据电路终接设备（DCE），DTE提供对帧中继网络的访问，DCE在网络上传输数据。

mermaid格式流程图展示敏捷软件开发方法的核心要点：

graph LR
    A[敏捷软件开发] --> B[工作软件是进度衡量标准]
    A --> C[简单性至关重要]
    A --> D[商业人员和开发人员合作]
    A --> E[面对面交流有效]

16. 审计报告与访问控制模型

SOC报告 ：
- SOC 2报告：在保密协议（NDA）下发布给选定的合作伙伴或客户，可提供控制细节和可能存在的问题。
- SOC 1报告：仅提供财务控制信息。
- SOC 3报告：公开可用，提供的信息较少。
- SOC 2, Type 2报告：包含数据中心的安全、可用性、处理完整性、机密性和隐私信息，以及审计师对控制运营有效性的意见。SOC 3没有类型之分，SOC 2 Type 1仅需组织自行证明。
访问控制模型 ：Bell - LaPadula使用对象的安全标签和主体的许可，因此是一种强制访问控制（MAC）模型，不使用 discretionary、rule - based、role - based 或 attribute - based 访问控制。

SOC报告类型	发布范围	信息内容
SOC 1	-	财务控制信息
SOC 2	选定合作伙伴或客户（NDA）	控制细节及问题
SOC 3	公开	较少信息
SOC 2, Type 2	-	安全、可用性等信息及审计意见
SOC 2 Type 1	-	组织自行证明

graph LR
    A[SOC报告] --> B[SOC 1]
    A --> C[SOC 2]
    A --> D[SOC 3]
    C --> E[SOC 2, Type 2]
    C --> F[SOC 2 Type 1]

17. 法律法规与攻击防范

法律法规 ：
- 《家庭教育权利和隐私法》（FERPA）：保护接受联邦资金的任何教育机构中学生的隐私。
- 《健康保险流通与责任法案》（HIPAA）：强制保护受保护的健康信息（PHI）。《SAFE法案》涉及抵押贷款，《格拉姆 - 利奇 - 比利雷法案》（GLBA）涵盖金融机构。
TOU/TOC攻击防范 ：攻击者可能使用算法复杂性来利用TOU/TOC竞争条件。文件锁定、异常处理和并发控制是防御TOU/TOC攻击的方法。

18. 系统日志与RAID技术

系统日志设置 ：syslog的实现通常提供严重性级别设置，用于确定发送哪些消息，典型的严重性级别包括debug、informational、notice、warning、error、critical、alert和emergency。设施代码也受syslog支持，与记录的服务相关。安全级别和日志优先级不是典型的syslog设置。
RAID 1技术 ：也称为磁盘镜像，系统包含两个物理磁盘，每个磁盘包含相同数据的副本，在另一个磁盘发生故障时可使用其中一个。

19. 防火墙与安全评估

应用级网关防火墙 ：使用代理过滤每个服务的流量，每个代理旨在分析特定类型的流量，更好地理解有效流量并防止攻击。静态数据包过滤器和电路级网关仅查看源、目标和使用的端口，而状态数据包检查防火墙可以跟踪通信状态并根据此允许或拒绝流量。
安全评估方法 ：访谈、调查和审计都有助于评估安全意识。代码质量最好通过代码审查判断，服务漏洞使用漏洞扫描器和相关工具测试，组织的攻击面需要技术和行政审查。

20. 版权保护与身份验证

版权保护法案 ：《数字千年版权法案》将普通承运人保护扩展到互联网服务提供商，他们对客户的“临时活动”不承担责任。
身份验证令牌 ：令牌是硬件设备（你拥有的东西），根据时间或算法生成一次性密码，通常与密码等其他因素结合用于用户身份验证。CAC和PIV卡是美国政府发行的智能卡。

21. 协议与数据保护措施

服务供应标记语言（SPML） ：是OASIS开发的标记语言，用于在组织之间提供服务、用户和资源供应。安全断言标记语言（SAML）用于交换用户身份验证和授权数据，可扩展访问控制标记语言（XACML）用于描述访问控制。
设备数据保护 ：对于被盗设备，全设备加密结合密码是防止数据丢失的最佳选择。强制密码和应用程序管理可防止基于应用程序的攻击和对设备的不必要访问，但设备丢失时无法保证数据安全。远程擦除和GPS定位在小偷允许设备连接网络时有用，但现代小偷通常会阻止设备联网。

22. 网络安全与应急响应

SMTP开放中继 ：在转发消息前不验证用户的SMTP服务器称为开放中继，暴露在互联网上的开放中继通常会被垃圾邮件发送者利用。
日志保护 ：将日志发送到安全的日志服务器（有时称为堡垒主机）是确保日志在发生违规时存活的最有效方法。加密本地日志不能阻止攻击者删除它们，要求管理员访问也不能阻止已获得提升权限的攻击者。日志轮换根据时间或文件大小存档日志，并在达到阈值时清除日志，不能防止攻击者清除日志。

23. 安全工具与VPN协议

SIEM工具 ：安全信息和事件管理（SIEM）工具旨在提供对日志和安全事件的自动分析和监控，可帮助检测和警报日志被清除等违规指标。入侵检测系统（IDS）可帮助检测入侵，但通常不设计用于处理中央日志。中央日志服务器可接收和存储日志，但需要额外操作才能进行分析。
VPN协议 ：L2TP是四种常见VPN协议中唯一能原生支持非IP协议的协议，PPTP、L2F和IPsec都是仅支持IP的协议。

24. 数据残留与灾难恢复测试

数据残留 ：残留数据是在尝试删除或擦除后留下的数据。Bitrot用于描述随着时间推移而损坏的老化媒体，MBR是硬盘和其他媒体上的主引导记录。
灾难恢复测试类型 ：
- 并行测试：团队激活灾难恢复站点进行测试，而主站点保持运行。
- 模拟测试：涉及由主持人监督的角色扮演场景，评估响应以改进组织的响应过程。
- 清单审查：团队成员各自审查灾难恢复清单内容并建议必要更改，是最不具破坏性的测试类型。
- 桌面演练：团队成员一起演练场景，不更改信息系统。

灾难恢复测试类型	特点
并行测试	激活灾备站点，主站运行
模拟测试	角色扮演，评估响应
清单审查	成员审查清单提建议
桌面演练	团队演练场景，不改动系统

graph LR
    A[灾难恢复测试] --> B[并行测试]
    A --> C[模拟测试]
    A --> D[清单审查]
    A --> E[桌面演练]

25. 访问控制与道德准则

访问控制类型 ：
- 自主访问控制：所有者有权决定谁可以访问他们拥有的对象。
- 基于角色的访问控制：管理员为角色或角色组决定访问权限。
- 基于任务的访问控制：为每个用户使用任务列表。
- 基于规则的访问控制：对所有主体应用一组规则。
(ISC)²道德准则 ：(ISC)²道德准则的四个准则是保护社会、公共利益、必要的公众信任和信心以及基础设施；行为高尚、诚实、公正、负责和合法；为委托人提供勤奋和称职的服务；推进和保护该行业。

26. 应急指南与认证协议

应急响应指南 ：应包括组织在紧急情况下应立即采取的步骤，如立即响应程序、应通知紧急情况的人员列表以及第一响应者的二次响应程序，不包括激活业务连续性协议、订购设备或激活灾难恢复站点等长期行动。
SAML协议 ：安全断言标记语言（SAML）是提供身份验证和授权信息的最佳选择，特别是对于基于浏览器的单点登录。HTML主要用于网页，SPML用于交换单点登录的用户信息，XACML用于访问控制策略标记。

27. 业务连续性与加密算法

业务连续性培训 ：具有特定业务连续性角色的个人应至少每年接受一次培训。
加密算法 ：RSA是一种非对称加密算法，每个用户只需要两个密钥。IDEA、3DES和Skipjack都是对称加密算法，系统中每个唯一的用户对都需要一个密钥。

28. 网络监控与输入验证

网络监控 ：对于监控生产服务器，应使用被动监控，通过网络抽头、镜像端口等方式将实际流量复制到监控系统，避免引入潜在问题流量。主动监控依赖合成或先前记录的流量，“重播”和“实时”不是常见的监控类型术语。
输入验证 ：对于Web应用程序，输入验证应始终在Web应用程序服务器上执行。输入到达数据库时，它已经是格式正确的SQL命令的一部分，此时进行输入验证非常困难甚至不可能。输入验证控制不应驻留在客户端浏览器中，因为用户可能会删除或篡改验证代码。

29. 数字签名与身份验证流程

数字签名流程 ：消息发送者使用消息接收者的公钥加密消息，接收者使用自己的私钥解密用其公钥加密的消息，确保只有预期的接收者可以解密消息。数字签名通过发送者用自己的私钥加密消息摘要创建，可实现不可否认性。
身份验证流程 ：将因素进行比较以验证身份的过程称为身份验证。当Jim出示用户ID时进行的是身份识别。令牌化是将敏感数据元素转换为非敏感表示的过程，哈希是将字符串转换为固定长度值或键的过程。

30. 网络安全测试与设备类型

网络安全测试工具 ：
- nmap：用于端口扫描。
- QualysGuard：用于网络漏洞扫描。
- Metasploit：是一个利用框架。
- Nikto：用于Web漏洞扫描。
- aircrack - ng：用于无线加密评估。
设备类型 ：带有黑色磁条的卡是磁条卡，包含入站和出站TCP和UDP会话允许/拒绝状态的日志是防火墙日志。

测试工具	用途
nmap	端口扫描
QualysGuard	网络漏洞扫描
Metasploit	利用框架
Nikto	Web漏洞扫描
aircrack - ng	无线加密评估

graph LR
    A[网络安全测试工具] --> B[nmap]
    A --> C[QualysGuard]
    A --> D[Metasploit]
    A --> E[Nikto]
    A --> F[aircrack - ng]

31. 网络层转换与数据访问

网络层转换 ：当数据流转换为段（TCP）或数据报（UDP）时，它从会话层过渡到传输层，这种从发送的消息到编码段的变化使其能够穿越网络层。
数据访问 ：用户需要解释访问数据的有效需求并证明具有适当的许可才能访问数据。

32. 目录服务与防火墙功能

目录服务 ：Lightweight Directory Access Protocol（LDAP）是满足目录服务需求的开放、行业标准且供应商中立的协议。Kerberos和RADIUS是身份验证协议，Active Directory是Microsoft产品，虽支持一些开放标准但不具有供应商中立性。
防火墙功能 ：应用防火墙为其他防火墙解决方案添加第7层功能，能够检查应用层细节，如分析HTTP、DNS、FTP等应用协议。