- 彩虹系列图书:红皮书-网络、橙皮书-系统 ——TCSEC(可信计算机系统评估标准),别名橙皮书,是一种评估标淮,月用于对主要操作系统提供的保证和安全性进行评级。ITSEC是欧洲的保证评估标准红皮书用于评估网络组件
- Clearing清理指重写介质,在清理介质时,将介质全部写上未分类的数据。
Erasing删除指的是删除文件或介质。
Purging清除也是一种清理形式,但其涉及的安全等级较低。
Sanitization清扫是从系统或介质中移除数据的一系列过程,从而确保数据无法通过任何手段恢复出来。
- Kerchoff规定,即使加密系统的一切信息都公开,该系统也应该是安全的
- Crackers”和“hacker”在英语中分别有不同的含义和用法。
- “Crackers”主要用作名词,通常翻译为“咸饼干”。但在黑客文化的语境中,它有时被用作“骇客”的称呼,指的是那些专门搞破坏的黑客,尤其是那些试图非法侵入计算机系统或网络的人。
- “Hacker”则是对英语“hacker”的翻译,最初指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员。随着计算机和网络的发展,黑客逐渐区分为白帽、灰帽、黑帽等。其中,白帽黑客是调试和分析计算机安全系统的专家,而黑帽黑客(有时也被称为“cracker”)则是那些未经授权试图访问或破坏计算机系统的人。
- 安全电子交易 (SET) 已被建议替代当今使用 SSL 提供安全电子交易的方式。但是所需的开销、增加的软件和基础设施阻碍了这项技术的全面采用。
- 电子访问控制 (EAC) 令牌在物理安全中用于对主体进行身份验证。它们可以是感应读卡器、可编程锁或生物识别系统,在允许用户进入之前识别和验证用户。
- 隐蔽密码,也称为零密码,是一种隐写方法。隐写术是一种隐藏消息的方法,但不是通过加密过程。消息是明文的,可以隐藏在消息、图形或其他方法中
- ITSEC 标准分别对功能和保证进行评级。它们对产品的保证级别具有 E 级评级,对功能评级具有 F 级。这为产品评估提供了一种更准确、更精细的方法。橙皮书使用 A-D 评级,通用标准使用 EAL 包。
- KDF是hash函数,通常用来将短密码变成长密码
KDF是密码学安全的,详见(实用密码学工具——Hash)
KDF需要加salt,用于防彩虹表,salt长度至少要大于hash长度
KDF需要有能力消耗大量计算资源,用于防暴力破解
- 密钥集群:使用不同的key加密相同的明文得到相同的密文
- 真实用户监控(RUM)是一种被动的方式来监控真实用户与Web应用程序或系统的交互。它使用代理来捕获从用户的角度来看的延迟、抖动和错误等指标。RUM与合成事务的区别在于它使用真实的人而不是脚本命令。虽然RUM更准确地捕获实际用户体验,但它往往会产生噪声数据,因此可能需要更多的后端分析。
- BIA 确定了公司生存所需的关键系统,并估计了公司因各种不幸事件而可以容忍的中断时间。公司可以忍受的中断时间称为最大可容忍停机时间 (MTD)。
MTD 估计值: 非必要Nonessential= 30 天 、 正常Normal = 7 天 、 重要Important = 72 小时 、 紧急Urgent= 24 小时 、严重Critical = 分钟到几小时
- Hearsay 传闻证据
- SOC1代替了SAS70
- GDRP:72小时之内报告个人数据泄漏
- BIA阶段要决定系统影响的程度
- cookie 是 存储通道
- 威胁建模STRIDE模型中
- 欺骗身份(Spoofing):攻击者通过伪装成合法用户来获取未授权访问。
篡改数据(Tampering):攻击者修改数据流或数据存储中的数据。
否认(Repudiation):攻击者否认自己进行的操作或事件。
信息泄露(Information Disclosure):攻击者泄露敏感信息。
拒绝服务(Denial of Service):攻击者阻止合法用户对资源的访问。
权限提升(Elevation of Privilege):攻击者获得高于其授权级别的权限。
- SOC 1类型1:报告组织的一般内部控制,重点是财务相关的控制。
SOC 1类型2:报告组织的详细内部控制,包括财务和非财务控制。
SOC 2类型1:对服务组织内部控制的特定方面进行评估,通常涉及财务报告、合规性、资产完整性等。
SOC 2类型2:对服务组织的内部控制进行全面评估,包括财务、非财务和安全控制。
SOC3 关于安全和运营的对外公开的不包含详细信息的审计报告
- EAL1代表功能测试级,EAL2代表结构测试级,EAL3代表系统测试和检查级,EAL4代表系统设计、EAL5代表半形式化设计和测试级,EAL6代表半形式化验证设计和测试级,EAL7代表形式化验证设计和测试级.