Day 19
考古题练习,错误要点乱记
复选题很烦... QQ
# 网络安全框架
# 访问控制模型类(很爱考 MAC, DAC)
# 主动式攻击(DDoS)、被动式攻击(钓鱼…)
# OWASP Top 10 iOT
# 加密算法(对称、非对称、杂凑…)
美国国家标准暨技术研究院所提出的网络安全框架(Cybersecurity
Framework, CSF)的组成元素包括:
1. 框架核心(Core):提供组织网络安全最基本的功能和活动。
2. 框架设定(Framework Profile):基于组织的网络安全需求,创
建自定义的框架概述。
3. 实施层级(Framework Implementation Tiers):提供对组织网
路安全运作的评估和分级,以及与组织整体风险管理过程的对应。
4. 框架核心评估(Core Assessment):提供组织评估其网络安全现
状的基础。
5. 参考资料(Informative References):提供有关网络安全领域
的参考资料和实施案例,以协助组织有效实施该框架。
这些元素可以协助组织评估其网络安全现状、建立基本的安全措施、
对安全风险进行风险评估和管理、以及发展网络安全策略和程序。
常见的访问控制模型(Access Control Policy):
1. 强制存取控制(Mandatory Access Control, MAC):
是一种中央管理的访问控制模型,其中系统会根据物件的机密性、
主体的安全等级等因素来限制对该物件的访问。常见的例子包括政
府机构、军事机构等。
2. 自主存取控制(Discretionary Access Control, DAC):
是一种基于主体(如用户)授权的访问控制模型,主体可以根据自
己的意愿决定对物件(如文件)的访问权限。常见的例子包括个人
电脑、家庭网络等。
3. 角色基础存取控制(Role-Based Access Control, RBAC):
是一种基于角色授权的访问控制模型,每个角色都有一组访问权限
,主体可以被分配到一个或多个角色。常见的例子包括企业内部系
统、网络应用等。
4. 属性存取控制(Attribute-Based Access Control, ABAC):
是一种基于属性授权的访问控制模型,系统根据主体和物件的属性
,以及环境因素(如时间、地点)等因素来决定对物件的访问权限
。常见的例子包括云计算、物联网等。
5. 委托存取控制(Delegation-Based Access Control, DBAC):
是一种基于授权委托的访问控制模型,主体可以将自己的权限授权
给其他主体,使其可以代表自己执行某些操作。常见的例子包括管理员授权等。
攻击:
.主动式攻击:指攻击者以主动的方式发起攻击,例如发送恶意软件
、扫描网络、攻击网站等。
例如:DDoSAttack(分布式阻断服务攻击),BufferOverflow(缓
冲区溢位),BruteForce(暴力破解)…等。
.被动式攻击:指攻击者不需要直接干扰目标系统或网络,而是通过
观察和监听目标系统或网络的流量、通信、活动等来收集信息、探
测漏洞、获取敏感信息等。被动式攻击通常需要攻击者进行深入的
分析和研究,这需要攻击者具有一定的技术和知识储备。
例如: TyposquattingAttack(误植域名攻击)不属于主动式攻击,
社交工程, 钓鱼攻击…等。
*OWASP Top 10 IoT 是 Open Web Application Security Project
(OWASP)所发布的一份报告,该报告列举了 IoT(Internet of
Things)领域中十大常见的安全风险和漏洞,以提高 IoT 设备和
应用程式的安全性。该报告列出的 OWASP Top 10 IoT 包括:
.Weak, Guessable, or Hardcoded Passwords
(弱密码、可猜测的密码或硬编码密码)
.Insecure Network Services
(不安全的网络服务)
.Insecure Ecosystem Interfaces
(不安全的生态系统接口)
.Lack of Secure Update Mechanism
(缺乏安全的更新机制)
.Use of Insecure or Outdated Components
(使用不安全或过时的元件)
.Insufficient Privacy Protection
(不足的隐私保护)
.Insecure Data Transfer and Storage
(不安全的资料传输和储存)
.Lack of Device Management
(缺乏设备管理)
.Insecure Default Settings
(不安全的默认设定)
.Lack of Physical Hardening
(缺乏物理硬化)
这些风险和漏洞涵盖了 IoT 环境中最常见的安全问题,并且对于保
障 IoT 设备和应用程式的安全性至关重要。
/* 加密算法 */
对称式加密算法:3DES、Blowfish
非对称式加密算法:ECC
杂凑算法:MD5