恶意代码行为特征：

  1、开机自启动（10%）；2、数据外发（20%）；3、keylog（30%）；4、文件隐藏（30%）

行为检测：设定阈值，当特征达到阈值时判断为病毒

场地选择：

  区域：避开自然灾害高发地区

  环境：原理可能的危险因素

      治安、人流量、加油站、化工厂

  其他：近消防、交通便利

SYN Flood攻击：伪造虚假地址连接请求，使用虚假地址与主机建立半开连接（只完成了三次握手中的两次），消耗主机连接数，导致主机无法正常工作

应用层协议定义了运行在不同端系统上的应用程序进程如何相互传递报文。

应用层协议安全问题：
拒绝服务：超长URL链接
欺骗：XSS跨站脚本、钓鱼式攻击、cookie欺骗获取数据：SQL注入
窃听：数据泄漏
伪造：应用数据篡改
暴力破解：应用认证口令暴力破解等

DNS欺骗：攻击者冒充域名服务器的一种欺骗行为，攻击者将用户想要查询的域名对应的IP地址改成攻击者的IP地址，当用户访问这个域名时，访问到的其实是攻击者的IP地址，这样就达到了冒名顶替的效果。

DNS解析污染，就是黑客用假的IP地址冒充真的域名对应的地址，存入DNS服务器

风险评估准备阶段：

（1）风险评估计划书；

（2）风险评估方案；

（3）入选风险评估方法和工具列表；
风险要素识别阶段：

（1）保护资产清单；

（2）面临的威胁列表；

（3）存在的脆弱性列表；

（4）已有的安全措施列表；

风险分析阶段：

（1）风险计算报告；

风险结果判定阶段：

（1）风险程度等级列表；

（2）风险评估报告；

总风险=资产&威胁&脆弱性

残余风险=总风险-控制措施；

资产分类：

GB/T 20984 2007 （以前的老标准）：数据、软件、硬件、服务、人员、其他；

GB/T 20984 2022 （新标准）：业务资产、系统资产、系统组件和单元资产；

资产价值：业务对资产的依赖程度，资产在CIA三属性达成的程度；

威胁：威胁源、动机、能力、可能性、途径、评率；

信息安全组织架构：

决策层：提供方针政策（信息安全治理）、分配职责、提供资重大事件的决策、为信息安全有最终的责任

管理层

支撑层、

安全层：实现安全目标；

用户层

审计层（独立过程）

风险：事件发生的概率、频率和影响的组合；

风险管理

风险评估（所有信息安全活动的起点和基础）：风险识别、风险评估；

风险处理（所有有信息安全活动的核心）；把风险降到可接受的范围；

COBIT：

组件：框架、流程描述、控制目标、管理指南、成熟度模型；

信息系统安全保障要素：

技术保障；

管理保障；

工程保障；

人员保障；

ISPP：信息系统保护轮廓；（一类产品或系统）

ISST：信息系统安全目标；（特定的产品或系统）

STOE：安全评估对象；（管理、技术、工程）

以上评估框架贯穿信息系统的全生命周期；

国内评估标准：GB/T 20274

企业安全架构：

SABSA：舍伍德；

背景层、概念层、逻辑层、物理层、组件层、运营层；

PDCA 

Zachman（5W1H）

TOGAF：开发群组架构框架；（认证）

syn flood（构造大量虚拟地址，消耗主机连接数）

应用协议：明文传输

DNS欺骗（构造假服务器冒充域名服务器、污染正常DNS，使用户获取到假地址访问错误的网站）

TCP/IP协议簇

IPSEC（一组协议的称呼，属于网络层）

SSL（传输层协议），TLS是SSL的标准化

HTTPS=HTTP+SSL

SET（支付协议）

IKE密钥交换协议

SSH安全远程登录

SFTP安全FTP（FTP属于明文）

POP3 SMTP邮箱明文协议

IPV4（32个bit）

IPV4（128个bit）

无线局域网

PAN（短距离、蓝牙

LAN（局域网802.11簇）

MAN（无线城域网）

WAN广域网

WEP-wire equivalent privacy 有线等效保密（已淘汰）

64位，有效56位

功能：加密、认证

WPA、WPA2-802.11i（主流）

WAPI双认证（国产）

WAI+WPI

物理安全

等保标准及范围-机房

27001标准-机房、混合环境？

设备间、电池间、动力间

自然灾害-

选址-避免自然灾害高发地区、远离可能的危险因素（加油站、化工厂）、消防、交通便利

抗震-特殊设防类、重点设防类（省级）、标准设防类

承重-写字楼改机房

防火

1、预防：防火设计及阻燃材料

2、检测：火灾探测器（烟、温、光、可燃气体）

3、抑制：机房不用水、二氧化碳对人有影响，最常用七佛丙烷

防水

1、远离水浸威胁（不在地下楼层和顶楼建立机房）

等保2.0可在地下室做机房（需做好防护）

2、检测-漏水传感器（可插SIM卡实现短信告警）

供电：双路供电、发电机、UPS

空气：机房专用空调（双机互为主备轮流工作长期开机）

电磁防护

1、电磁泄漏-屏蔽双绞线、屏蔽机柜（全封闭、下风口）、强电、弱电分开铺设（上走弱电、下走强电）

2、信号干扰

3、Tempest技术-泄漏信号还原以窃取

静电防护

1、防静电地板-金属网、支架、地板

2、经典消毒器

3、工作防静电手环

边界防护-双密码认证机房门禁、

日志保存6个月、机房监控视频保存3个月

传输安全

1、有线传输

2、无线传输

GB50174数据中心设计规范

机房A、B、C级别A要求最高

易地容灾（上百公里算异地、几十公里算同城容灾）

应急响应：为应对事件发生所做的准备以及事后所采用的措施

信息安全分级分类（20986）

7类：有害程序事件（蠕虫病毒使速度变慢）、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件

四级：特别重大事件（I级）、重大事件（II级）、较大事件（III级）、一般事件（IV级）

参考元素：信息系统的重要程度、系统损失大小、社会影响

企业内部可以有自己的定级标准

应急响应组织的一般构成：

领导组、技术保障组、专家组、实施组、日常运行组

call tree（明确联系人清单及指定联系负责人）

应急演练与演习（有风险）

桌面演练、模拟演练、实战演练

业务连续性（BC）

业务连续性管理（BCM）

BCM生命周期6个阶段

1、需求、组织、管理程序的确定

2、业务分析（业务树），确定关键业务流程和关键因素

3、制定业务策略

4、开发并执行业务持续计划

5、意识培养和建立

6、演习和演练（测试预案的有效性、明确具体的责任、测试各个部门之间的配合）

PDCA模型

1、策划（建立）

2、实施

3、检查（监视和评审）

4、改进（保持和改进）

BCP4个阶段

业务组织：

内、外组织

SLA-99.999%网络畅通率

清晰每个业务流程及相互依赖关系

业务影响分析（BIA）

确定业务优先级（确定投入比例、为业务建立最大允许中断时间-区别于IT系统中断时间、RTO恢复时间目标-不可能为0）

风险分析

资产优先级划分（资产清单、关键资产清单）

人员管理

职责分离-

最小特权-完成工作的最小权限

知其所需-过度收集信息违反了知其所需 

岗位轮换

强制休假（突发性、强制性）-检查其工作

文档化

信息安全保障评估框架

安全功能保障、非功能保障（时间、成本）

技术保障（证件）、管理保障（方法）、工程保障、人员保障

ISPP（信息系统保护轮廓，一类产品的安全目的和要求）

ISST（信息系统安全目标，特定产品的安全要求）

STOE（安全评估对象--技术、管理、功能）

信息系统安全保障：

生命周期--规划组织、开发采购、实施交付、运行维护、废弃

风险分析，响应的安全保障策略，

保障要素--技术、管理、工程、人员

安全特性--机密性、完整性、可用性

信息安全技术：

密码、访问控制、审计和监控、网络安全、操作系统、数据库安全等技术

企业安全架构

SABSA（舍伍德）：一个表格、6个层级、5W1H--what、why、how、howmuch、who、wherewhere、when

Zachman（6个角色、5W2How）、TOGAF（认证、实现企业架构）

战略一致性：安全性战略与企业业务战略保持一致（能够实现）

SABSA（舍伍德）考点

背景层-战略

概念层-涉及满足战略的架构、流程

逻辑层（设计视图）-架构的具体反映及功能

物理层（建设视图）

组建层（实施者视图）

运营层（服务和管理）

工业控制系统结构

类别：

1、分布式控制系统（DCS）

2、数据采集与监控系统（SCADA）

3、可编程逻辑控制气

特性：不可中断、

威胁：缺乏足够安全防护、安全可控性不高、缺乏安全管理标准和技术

管理控制：

1、认证：认证机构按照某一标准对信息系统进行评估

2、认可：组织中决策层对组织安全做出的肯定 /否定的回应

  认证、认可都有期限，两者不一定同时存在

操作控制

  沟通：交流、汇报、指导、通报、表态

技术控制

云计算的安全风险-标明物理存储位置

虚拟化安全-隔离

物联网安全威胁及安全架构

1、感知层-拒绝服务

2、传输层-拒绝服务、欺骗

3、支撑层

4、应用层-隐私保护、知识产权保护、取证、数据销毁

大数据安全

移动互联网安全及策略

模型

PDR（基于时间的静态模型-时间很难准确定义）：

1、固定攻击手段，看防护时间；

2、固定防守手段，看攻击时间
PPDR（动态模型）

PT（protection time）：防护时间

DT（detection time）：检测时间，发起攻击到检测到的时间、

RT（response time）：响应时间，从检测到攻击的时间到处理完成的时间）

RTO（recovery time objective）：恢复时间目标

IATF：信息技术保障框架（全方位防御、深度防御）

 核心思想：深度防御（串行防御措施，在路径的各个节点上添加防御措施）

 三要素：人（第一要素、意识培训、内外部组织管理、技术管理、操作管理）、技术（重要手段-防护、检测、响应 、恢复）、操作（主动防御体系）

 四个焦点领域：三防护一支撑

保护计算环境（CIA）

保护区域边界（物理区域/逻辑区域）

保护网络和基础设施

支撑性的技术设施（密钥管理基础设施KMI、测试和响应基础测试）

安全基本属性

1、机密性：泄漏

2、完整性：防止未授权篡改、防止越权篡改、保证数据内/外部一致性

3、可用性：保证授权用户对信息资产有效和高效的访问

4、其他属性

-真实性：来源真实性、信息的真实性

-不可否认性：签名等措施

-可问责性：accountability

-可靠性：保证信息资产在特定条件或特定时间段内完成功能（区别可用性）

国家视角：

1、网络战（国家间网络空间）、

2、关键基础设施保护（可能严重危害国家安全、国计民生、公共利益）

3、法律建设和标准化（威慑作用、指导性）

企业视角（为业务服务）：业务连续性、资产保护、合规性

个人视角：

1、隐私

2、社会工程学：

  最有效应对方式--安全意识培训（内容新、形式多样）

  检查效果--员工行为是否发生改变

3、个人信息保护

自我约束、技术、法律、道德

网络安全发展过程：

1、通信安全

2、计算机安全

3、信息系统安全

4、信息安全保障（27号文）：积极防御，综合防范、技术与管理并重（考点）

5、网络空间安全

3个月查询成绩、3个月拿证书、3个月查询到证书

信息安全：保障-10%分数

cyber space security网络空间安全

国家、企业、个人信息安全

信息：数据载体

信息特性：有意义、无形的

ISO对信息安全的定义（考点）

安全目标（依据：合规性、业务系统使命、风险评估）

信息安全体系：有目标、持续改进、遵循PDCA循环

管理工作：

1、建立安全策略

2、实现安全策略

3、评估

控制措施类型：技术、管理、物理

物理：以一己之力延迟犯罪（安保人员、指纹锁）

管理：引导作用

控制措施作用：威慑、预防、检测、纠正、恢复、补偿

生命周期：创建、使用、存储、传递、更改、销毁

销毁：正确销毁、真正销毁

信息安全属性：CIA-机密性、完整性、可用性、其他属性：真实性、可问责性、不可否认性、可靠性

信息安全责任：职责、责任、义务

信息安全问题：

  有责任人（决策层是最终责任人）

  根本目标保障业务连续性

  安全是自上而下运行

  考虑成本、适度安全

  技术、管理并重（7分管理、3分技术）

信息安全根源（考点）：

  内因-漏洞（脆弱性）

  外因-威胁（环境因素、人为因素）

威胁利用漏洞形成风险

信息安全保障

 1.物理安全--传输安全

快速原型 适应于需求不明确，

误用检测技术  基于特征库

异常检测技术  基于行为

一个机制可以支撑多个服务。

抗抵赖服务。

物数网传会表应

网络接口层 网络互联层 传输层 应用层

cain arp 欺骗、密码破解、抓包嗅探、无线网络安全有广泛的应用

IP协议

尽最大努力通信 不可靠通信

无连接通信

信息安全保障

安全工程与运营

业务连续性

信息安全支撑技术

信息安全评估

物理与网络通信安全

计算环境安全

信息安全管理

网络安全监管

软件 安全开发

tempest技术