- CIA三要素
防篡改=完整性;防泄露=机密性;防瘫痪=可用性
口诀:机密看不见,完整改不了,可用用得上
- 主动/被动攻击
流量分析、嗅探=被动攻击
篡改、DDoS、伪造=主动攻击
- 安全模型
BLP=机密性;Biba=完整性
- 访问控制
系统强制=MAC;企业常用角色=RBAC
- 最小权限
仅授予完成任务所需最小权限
- 安全审计
核心:可追溯、追责、发现异常
- 风险评估流程
识别→分析→评价→处置
- 风险处置
规避、降低、转移、接受(无放大)
- 技术/管理安全
防火墙、加密=技术;制度、培训=管理
- 预防/检测/纠正
防火墙=预防;IDS=检测;补丁备份=纠正
- 对称加密
单密钥、速度快;代表:AES、SM4
- 非对称加密
公钥私钥一对;代表:RSA、SM2;用于签名
- 完整性
靠哈希/摘要实现:MD5、SHA256、SM3
- 数字签名
保证:完整性+抗抵赖,不保证机密性
- 国密算法
SM2=非对称;SM3=摘要;SM4=对称加密
- 防火墙
工作在网络/传输层,防外不防内
- IDS/IPS
IDS=检测告警;IPS=检测+阻断
- DDoS攻击
破坏可用性
- 应用层攻击
SQL注入、XSS、CSRF=应用层
- VPN
外网安全访问内网资源
- 病毒/蠕虫/木马
蠕虫:自我复制、网络传播
木马:远程控制
勒索病毒:加密数据要赎金
- SQL注入
利用输入过滤不严
- XSS
盗取Cookie、会话
- CSRF防御
最有效:Token令牌
- 堡垒机
运维审计+权限管控
- 等级保护
共5级;流程:定级→备案→整改→测评→监督
- 应急响应
准备→检测→遏制→根除→恢复→总结
- 备份指标
RPO=可丢失数据量;RTO=恢复时间
- 工控安全
协议:Modbus;核心:高可用、不能停机
- 零信任
核心:默认不信任,持续验证