两天没来写了,不是偷懒噢,而是前两天学习的主要是前沿技术的东西,都是大学的时候学过的,所以也没有太多可以记的。相关知识都可以在云计算,物联网,操作系统等课程中学到。
大概列个提纲吧:
云计算
架构部署模式:公有云,私有云,团体云,混合云
按业务交付模式:Software as a Service,SaaS;Platform as a Service,PaaS;Infrastructure as a Service,IaaS。
动态资源调配:网络资源,计算资源,存储资源,安全资源。
与Google的服务器群组不太一样,虚拟化技术是现在云计算的基础
云计算安全威胁:旁路边界防护,多用户滥用,跳板攻击,管理员权限滥用,未加固虚拟镜像
云计算安全建设:缺乏统一标准,虚拟机之间的攻击,不同安全级别的服务,
—–
物联网技术
—–
信息安全
PS:老师用note II就可以在局域网内session劫持,还是很可怕的
wifi密码设置WPA2要比WPA安全,WEP是最不安全的
—–
系统安全
WIndows,Linux,应用安全,web安全等
邮件系统中使用PGP,是RSA公钥加密
—–
访问控制中:
强制型访问控制有
BLP-保密性
Biba和Clark wilson-完整性
Chinese wall-混合型
访问控制矩阵 – 自主型访问控制:ACL和CL
—–
BLP模型中,简单规则是,向下读,不能向上读(S读O,S》O)
*-规则是,向上写,不能向下写(S写O,O》S)
Biba模型中,完整性的,向上读,向下写
—–
单点登陆,Kerberos协议,获得票据许可票据,获得服务许可票据,获得服务
集中式访问控制技术:RADIUS,TACACS,TACACS+,Diameter
审计是一次性,周期性的,三个部分:日志记录器,分析器,通告器
监控是实时的
—–
CISP知识体系
信息安全保障概述:信息安全基本知识,信息安全基本实践
信息安全技术:密码技术,访问控制与审计,网络安全,系统安全,应用软件安全,安全攻防,软件安全开发
信息安全管理:信息安全管理体系,信息安全风险管理,信息安全管理措施
信息安全工程:信息安全工程原理,信息安全工程实践
信息安全标准法规:信息安全法规与政策,信息安全标准,信息安全道德规范
—–
信息是一种资产,具有价值
信息安全就是保护信息的保密性,完整性和可用性
信息安全管理的相关标准27000系列:27001,引入PDCA模型,是信息安全体系要求
27002,7799-1,17799都是实践准则
27003,信息安全管理实施指南
信息安全管理体系:ISMS,Information Security Management System,从风险评估开始
—–
PDCA模型,又叫戴明环,规划和建立Plan,实施和运行Do,监视和评审Check,保持和改进Action
特点是:循环,组织部分,个人均可采用,阶段总结
风险就是威胁利用脆弱性对资产造成不良后果
项目 风险管理 风险评估
目的:降低风险 确定风险等级
周期:所有阶段 单个阶段
计划:PDCA 按需要
—–
风险管理内容:建立背景,风险评估,风险处理,批准监督;监控审查,沟通咨询
常用风险处置方法:减低风险,转移风险,规避风险,接受风险
风险管理贯穿信息系统生命周期:规划,设计,实施,运维,废弃
—–
应急响应的六个阶段:准备,确认,遏制,根除,恢复,跟踪
信息安全应急响应编制方法:总则,角色及职责,预防和预警机制,应急响应流程,应急响应保障措施,附件
信息安全事件分级方法:系统损失,社会影响,信息系统的重要程度
灾难恢复规划的过程阶段:风险分析,业务影响分析,确定灾难恢复目标,制定恢复策略,灾难恢复策略的实现,灾难恢复预案的制定、落实和管理
