【正文】 ation) ? 認(rèn)可接受 (Accreditation) ? 維護(hù) 應(yīng)用和系統(tǒng)開發(fā)安全 (CBK4) ? 數(shù)據(jù)庫和數(shù)據(jù)集合 ? 集合 (Aggregation) ? 數(shù)據(jù)發(fā)掘 ? 推理 (Inference) ? 多實(shí)例 (Polyinstantiation) ? 多級安全 ? 安全控制體系結(jié)構(gòu) ? 過程隔離 (Process Isolation) ? 硬件分割 (Hardware Segmentation) ? 權(quán)限分離 (Separation of Privilege) ? 數(shù)據(jù)隱藏 ? 安全內(nèi)核 (Security Kernel) ? 參考記錄 (Reference Monitors) 密碼學(xué) (CBK5) ? 密碼學(xué)（ CBK5） ? 概要： ? 密碼學(xué)領(lǐng)域領(lǐng)重點(diǎn)放在偽裝信息以確保它的完整性，機(jī)密性和可鑒別性的原理，手段和原理。應(yīng)用涉及代理 (agents)，小程序 (applets)，軟件，數(shù)據(jù)庫，數(shù)據(jù)集合，以及基于知識(shí)的系統(tǒng)。它包括所有的安全檢查，風(fēng)險(xiǎn)分析；安全措施的選擇和評估，費(fèi)用收獲分析，管理決策安全的選擇和評估，定，安全措施安全應(yīng)用和有效性的檢查。使用管理工具 (如數(shù)據(jù)分類，風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)人析 )來識(shí)別脈絡(luò)，分資產(chǎn)，評估脆弱性以確保有效的安全控制應(yīng)用。 ? 應(yīng)試者應(yīng)弄清楚通信和網(wǎng)絡(luò)安全，它涉及語音通信；數(shù)據(jù)通信包括本地，廣域和遠(yuǎn)程訪問；Inter/Intra/Extra包括防火墻，路由和 TCP/IP；以及護(hù)偵通信安全管理和技術(shù)包括預(yù)防，檢測和糾正手段。 訪問控制系統(tǒng)方法（ CBK1） ? 訪問控制系統(tǒng)方法（ CBK1） ： ? 訪問控制管理 ? 帳戶管理 ? 帳戶，登錄和日志管理日記 ? 訪問權(quán)利和限制許可 ? 訪問控制技術(shù) ? 自由訪問控制 (Discretionary Access Control) ? 強(qiáng)制訪問控制：一般用于軍事機(jī)構(gòu)、安全部門 ? 基于規(guī)則的訪問控制 (Rulebased Access Control) ? 基于角色的訪問控制：用于人員流動(dòng)較大的企業(yè)或組織 ? 訪問控制列表 (Access Control Lists) 訪問控制系統(tǒng)方法 (CBK1) ? 鑒定和鑒別技術(shù) ? 一般是基于知道什么、是什么、有什么來進(jìn)行訪問主體的鑒別，分別是： ? 基于知識(shí)（口令字，個(gè)人標(biāo)識(shí)碼 PINs，短語），其中口令短語 passphrase是由 virtual password演進(jìn)而來 ? 基于特征 (生物測定學(xué)，行為 )。就是，如果委員們認(rèn)同其它安全專業(yè)人員的信息安全領(lǐng)域的某些知識(shí)，同時(shí)并不認(rèn)為這些知識(shí)不在此領(lǐng)域內(nèi)，則這些知識(shí)就確定為 CBK的一部分。委員會(huì)鑒定該知識(shí)體的邊界和主題領(lǐng)域。 計(jì)算機(jī)犯罪調(diào)查小組 ? 一般情況下，在發(fā)生計(jì)算機(jī)犯罪安全事件后，應(yīng)盡快成立計(jì)算機(jī)犯罪調(diào)查小組，包括： ? 調(diào)查總監(jiān) ? 詢問小組 ? 素描及影像小組 ? 物理搜查小組 ? 逮捕小組 ? 技術(shù)證據(jù)沒收及筆錄小組 ?計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?計(jì)算機(jī)犯罪學(xué)基礎(chǔ)理論知識(shí) ?CISSP基礎(chǔ)理論知識(shí) ?通用安全準(zhǔn)則（ CC）基礎(chǔ)知識(shí) ?Cobit基礎(chǔ)知識(shí) CISSP10個(gè)公共知識(shí)體系（ CBK） ? CISSP考試覆蓋的 10個(gè) CBK包括以下內(nèi)容 ： ? 訪問控制系統(tǒng)和方法 ? 通信和網(wǎng)絡(luò)安全 ? 安全管理準(zhǔn)則 ? 應(yīng)用和系統(tǒng)開發(fā)安全 ? 密碼學(xué) ? 安全體系結(jié)構(gòu)和模型 ? 操作安全 ? 業(yè)務(wù)連續(xù)性計(jì)劃（ BCP）和空難性恢復(fù)計(jì)劃（ DRP） ? 法律，調(diào)查研究和道德規(guī)范 ? 物理安全 CISSP10個(gè)公共知識(shí)體系（ CBK） ? 公共知識(shí)體系（ CBK）介紹 ： CBK委員會(huì)由（ ISC） 2TM執(zhí)行董事會(huì)，對定期為信息安全專業(yè)的知識(shí)體系進(jìn)行更新。 ? 通常的做法是將要獲取的數(shù)據(jù)包括從內(nèi)存里獲取易滅失數(shù)據(jù)和從硬盤獲取等相對穩(wěn)定數(shù)據(jù)，保證獲取的順序?yàn)橄葍?nèi)存后硬盤。無論在任何情況下，調(diào)查者都應(yīng)牢記 5點(diǎn)： ? 不要改變原始記錄； ? 不要在作為證據(jù)的計(jì)算機(jī)上執(zhí)行無關(guān)的操作； ? 不要給犯罪者銷毀證據(jù)的機(jī)會(huì)； ? 詳細(xì)記錄所有的取證活動(dòng)； ? 妥善保存得到的物證。 計(jì)算機(jī)犯罪取證技術(shù)要點(diǎn) ? 計(jì)算機(jī)犯罪取證技術(shù)要點(diǎn)： ? 物理證據(jù)的獲取是全部取證工作的基礎(chǔ)。 ? 需要采取措施保障計(jì)算機(jī)日志、其他證據(jù)沒有被破壞。 ? 每個(gè)證據(jù)都要標(biāo)記日期、時(shí)間、最初收集人、事件編號（如果有的話）。 ? 由于計(jì)算機(jī)證據(jù)可能被影響的因素非常多，所以需要非常恰當(dāng)?shù)淖C據(jù)收集流程，保存關(guān)于證據(jù)的保管鏈?zhǔn)欠浅Ｖ匾囊粋€(gè)環(huán)節(jié)。 計(jì)算機(jī)犯罪取證、證據(jù)保存 ? 計(jì)算機(jī)犯罪取證、證據(jù)保存： ? 重啟系統(tǒng)、瀏覽文件等都可能破壞證據(jù)，有時(shí)需要將內(nèi)存內(nèi)容保存到文件中，以便收集更精確的證據(jù)（需要特殊工具支持）。最早的針對電話的攻擊是在 1960年，但是貝爾公司公布了 blue Boxing（利用 2600HZ頻率可以撥打免費(fèi)長途電話）；后來有 red Boxing（模擬投幣聲音來免費(fèi)撥打本地、長途電話）； Black Boxing（調(diào)節(jié)線路電壓免費(fèi)打電話）。 ? Cult of the dead cow：是一個(gè)專門開發(fā)各種黑客工具的組織，其中有遠(yuǎn)程連接Windows9 Windows98的黑客工具：監(jiān)控鍵盤輸入、屏幕顯示、刪除程序和啟動(dòng)進(jìn)程等。 ? Chao計(jì)算機(jī)俱樂部：是一個(gè)德國的黑客組織。 ? Kevin Mitnick：是最著名的一個(gè)黑客，曾經(jīng)入侵 NOKIA、摩托羅拉、 SUN等公司的文件服務(wù)器，對電話系統(tǒng)進(jìn)行破壞等，是 FBI最想抓住的計(jì)算機(jī)黑客之一。 ? 隨著立法機(jī)構(gòu)、執(zhí)法機(jī)構(gòu)及其他信息安全組織機(jī)構(gòu)的通力合作，社會(huì)各界的信息安全意識(shí)逐漸增強(qiáng)，對計(jì)算機(jī)犯罪行為的打擊力度也在持續(xù)加強(qiáng)。 ? 要最大限度的避免緩存溢出，應(yīng)該采取以下措施： ? 對系統(tǒng)代碼進(jìn)行嚴(yán)格測試，最大限度發(fā)現(xiàn)潛在的安全漏洞 ? 對系統(tǒng)的輸入?yún)?shù)的數(shù)據(jù)類型、輸入位數(shù)進(jìn)行嚴(yán)格檢查 ? 對內(nèi)存執(zhí)行邊界進(jìn)行嚴(yán)格的保護(hù)，避免一個(gè)進(jìn)程從自己的內(nèi)存地址空間 “ 跳轉(zhuǎn) ” 到另一個(gè)進(jìn)程的內(nèi)存地址空間 DOS攻擊的解決方法 ? 對于 DOS網(wǎng)絡(luò)攻擊，可以采用以下措施來緩解被攻擊主機(jī)系統(tǒng)： ? 縮短 SYN Timeout時(shí)間和設(shè)置 SYN Cookie ? 在系統(tǒng)之前增加負(fù)載均衡設(shè)備 ? 在防火墻上設(shè)置 ACL或黑洞路由 ?計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?計(jì)算機(jī)犯罪學(xué)基礎(chǔ)理論知識(shí) ?CISSP基礎(chǔ)理論知識(shí) ?通用安全準(zhǔn)則（ CC）基礎(chǔ)知識(shí) ?Cobit基礎(chǔ)知識(shí) 計(jì)算機(jī)犯罪概念 ? 計(jì)算機(jī)犯罪概念： 是犯罪分子利用計(jì)算機(jī)或網(wǎng)絡(luò)上的技術(shù)、管理方面的漏洞，通過計(jì)算機(jī)或網(wǎng)絡(luò)對其他用戶或單位的計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)行非授權(quán)訪問或惡意攻擊，造成受害者在經(jīng)濟(jì)、名譽(yù)或心理上等方面的損失的犯罪行為。 緩存溢出的解決方法 ? 緩存溢出是一種常見的、威脅嚴(yán)重的一種網(wǎng)絡(luò)攻擊行為。 ? Teardrop攻擊 (Teardrop Attack)和 Land攻擊 (Land Attack)。這類攻擊手法花樣很多，蔚為大觀。 ? 原理：攻擊者在網(wǎng)上發(fā)布假的路由信息，再通過 ICMP重定向來欺騙服務(wù)器路由器和主機(jī)，將正常的路由器標(biāo)志為失效，從而達(dá)到攻擊的目的。主要有三種手法： ? 癱瘓真正擁有 IP的可信主機(jī)，偽裝可信主機(jī)攻擊服務(wù)器； ? 中間人攻擊； ? DNS欺騙（ DNS Spoofing）和 “ 會(huì)話劫持 ” （ Session Hijack）； TCP/IP服務(wù)攻擊原理 ? 源路由選擇欺騙（ Source Routing Spoofing）。 ARP地址欺騙 ARP地址欺騙定義： ARP地址欺騙是一種常見的網(wǎng)絡(luò)安全事件，其原理是將某個(gè)網(wǎng)段中的 IP地址和 MAC地址對應(yīng)關(guān)系進(jìn)行篡改，從而導(dǎo)致網(wǎng)段中的數(shù)據(jù)包不能正常到達(dá)正確的目的。 ? 僵尸網(wǎng)絡(luò)工作原理： 首先利用網(wǎng)絡(luò)蠕蟲病毒 “ bot”不斷感染 Inter大量的計(jì)算機(jī)。如果用戶填寫了此類信息，這些信息將最終落入詐騙者手中。電子郵件中會(huì)提供一個(gè)與銀行或購物網(wǎng)站極為相似的鏈接。電子郵件詐騙者會(huì)向沒有防范的用戶發(fā)送一些貌似來自銀行或零售商的電子郵件，聲稱收件者的賬戶需要更新或有新產(chǎn)品待售，目的在于釣?。?fishing）客戶的賬戶資料或信用卡號碼。 ? 不同之處： “ 蜜罐 ” 是合理、合法的，一般有明確的警示信息禁止非法登錄；而 “ 陷阱 ” 是不合理、不合法的，一般有暗示性或明確的提示信息可以登錄系統(tǒng)。 陷阱和蜜罐介紹 ? 陷阱和蜜罐相同和不同之處： ? 相同之處： “ 蜜罐 ” 和 “ 陷阱 ” 都是一種試圖捕捉黑客攻擊行為的原始記錄。侵入者通常利用一個(gè)英語字典或其他語言的字典。 ?數(shù)字簽名功能： ? 發(fā)送方事后不能抵賴對報(bào)文的簽名 ? 接收者能夠核實(shí)發(fā)送方對報(bào)文的簽名 ? 任何人不能偽造對報(bào)文的簽名 ? 保證數(shù)據(jù)的完整性，防止被第三方惡意篡改 ? 對數(shù)據(jù)和信息的來源進(jìn)行保證，確保發(fā)送方的身份 ? 數(shù)字簽名的速度可以滿足應(yīng)用需求 計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?信息安全加密技術(shù) ?常見網(wǎng)絡(luò)攻擊與防范技術(shù) 常見網(wǎng)絡(luò)攻擊與防范技術(shù) 常見的網(wǎng)絡(luò)攻擊方法 ? 字典攻擊 ? 拒絕服務(wù)攻擊 (DOS/DDOS) ? 會(huì)話劫持攻擊 ? 網(wǎng)絡(luò)釣魚 ? 病毒攻擊 ? SQL會(huì)話注入 ? 緩存溢出 ? ARP地址欺騙 發(fā)動(dòng)一次網(wǎng)絡(luò)攻擊流程 ?發(fā)動(dòng)一次網(wǎng)絡(luò)攻擊的流程是： ? 遠(yuǎn)程主機(jī)漏洞掃描 ? 獲取訪問權(quán)限 ? 本地權(quán)限提升 ? 種植后門程序 ? 清除日志 字典攻擊 字典攻擊介紹： 侵入者利用程序嘗試字典中的單詞的每種可能。 ? ping、 traceroute等命令是網(wǎng)絡(luò)管理員經(jīng)常使用的 ， 二者都使用了 TCP/IP協(xié)議棧中的 icmp協(xié)議來實(shí)現(xiàn)各種功能 。 ? 通常使用 sniffer軟件來對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行協(xié)議分析 、 內(nèi)容解析等 ， sniffer的工作是基于網(wǎng)卡處于混雜模式 。 ? 統(tǒng)一威脅管理 （ UTM） 是將各種安全防護(hù)功能集成在一起的安全設(shè)備 。 信息安全理論基礎(chǔ)知識(shí)培訓(xùn) 目錄 ?計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?計(jì)算機(jī)犯罪學(xué)基礎(chǔ)理論知識(shí) ?CISSP基礎(chǔ)理論知識(shí) ?通用安全準(zhǔn)則（ CC）基礎(chǔ)知識(shí) ?Cobit基礎(chǔ)知識(shí) 計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?網(wǎng)絡(luò)及系統(tǒng)安全理論知識(shí) ?信息安全加密技術(shù) ?常見網(wǎng)絡(luò)攻擊與防范技術(shù) OSI 七層參考模型 OSI 七層參考模型 Application Presentation Session Transport Network Data Link Physical Data Link Network Transport Session Presentation Application Physical 比特流 幀（ Frame） 包（ Packet） 分段（ Segment） 會(huì)話流 代碼流 數(shù)據(jù) OSI模型與 TCP/IP協(xié)議族對應(yīng) OSI模型與 TCP/IP協(xié)議族對應(yīng) 傳輸層