交大慧谷培训中心 内部资料,仅供参考
Type II error:accept impostor
Crossover error rate,CER,越小越好/精确(accurate) 常见类型:Fingerprint、retina视网膜、voice、palm scan(creases, ridges, and grooves,褶皱等)、hand geometry手纹路(宽、长、shape形状)、iris虹膜 scan、face scan、(behavior)signature dynamics动态签名、keyboard dynamics动态键盘、Hand topography(peaks and valleys)手型
2) Passwords(知道的)双因素是PIN+现实的密码:jeaf+显示的 i. 密码攻击:electronic monitoring(replay attack)、access the password file、
brute force attacks(暴力破解)、dictionary attacks、social engineering ii. Password checkers(检查密码的工具)、password hashing and encryption
(加密)、password aging(保存以前5到10次的密码)、limit logon attempts iii. Cognitive password(你妈妈的名字?XX) iv. one-time password:token device(我们公司就是这种,分为time or counter
(初始化),是强密码,用到了两种认证方式:has和knows),分为同步(输入显示的数字)和异步(显示的东西输入令牌,结果再次输入进行认证)
ii. iii. iv.
异步
v. Cryptographic keys(密码字):PKI vi. Passphrase,密码词(ILoveYou,ILY), Virtual password vii. Memory car(强认证,has & knows)
1. memory card,只存储信息,类似银行卡,需要读卡器card reader
2. smart card,能处理信息,接触和不接触/无线。攻击(fault generation
产生错误,比较正确和错误的区别找出密码;noninvasive:side-channel attacks、power analysis、software attacks(软件bug/flaw))
8. authorization
1) role、group、time、logical & physical location、time、transaction(根据动作,
能建数据库,但不能访问里面的内容)。Autorization creep(授权蔓延,一个人在转到其他部门,以前的权限没有清除权限就越来越多)
- 11 -
交大慧谷培训中心 内部资料,仅供参考
2) default to no access,默认全部拒绝
3) need-to-know,最小权限,least privilege
9. single sign-on:SSO单点登录(kerberos、SEMSAME、security domain、thin client)
1) Kerberos,特色是只相信KDC(Key Distribution Center),KDC存储所有用户和
服务的key,通讯双方之间不信任,只信任KDC。举例:A和B两人互相不信任,但都相信KDC,那么A从KDC取得ticket,然后给B看,然后B就相信了并与之通信。是一个认证协议 i. 基于C/S结构,symmetric key对称性key ii. 是异类网络SSO的事实标准facto。 iii. KDC是key分发中心 iv. 由于开放性,则不同vendor间的互操作性和兼容性不好 v. timestamp防止replay attack vi. 还可以设置认证有效时间,如8小时,过了后需要重新认证。 vii. 提供完整性Integrity、机密性privacy,但不提供可用性。 viii. 用户和KDC之间共享secret key,用于彼此间通讯的认证;session key用于
用户和打印机之间通讯的认证,通信结束即destroy。通信数据不加密。 ix. 类似于PKI,彼此不相信,都只相信CA。CA用digital certificates担保vouches,
KDC用ticket担保。 x. 缺点:KDC是单点故障;ticket和session key存在本地; 2) SEMSAME,在Kerberos基础扩展的一个欧洲。使用symmetric对称和asymmetric
非对称来保护通讯。PAC=ticket,PAS=KDC,S=server
3) Security domains:高级能访问低级,firewall、router ACLs、directory services、
different subnet mask address。每个subject在同一时间只能属于一个domain。 4) Directory services:LDAP、NDS(Novell NetWare directory service)、MS Active
Directory.
5) Thin client:本地什么也没有,所有的操作都需要与central interactive.
2.2 Access Control Models(访问控制模型)
What determines if an organization is going to operate under a discretionary,mandatory, or nondiscretionary access control model?――Security policy 10. Three model:可多种一起使用
1) (DAC)Discretionary Access Control:owner决定,非中央集中控制。user-directed,
执行了access control matrix
2) (MAC)Mandatory Access Control:覆盖DAC(即owner的决定),操作系统
administrator强制控制,subject和object都严格分级,基于Security labels(又称Sensitivity Labels)访问,有顶级保密级别的并不能访问所有顶级的东西,需要根据授权(但下级绝对不能访问上级)。分为secret、top secret、confidential。一般用在military。SE Linux NAS、Trusted Solaris
3) (RBAC)Role-Based Access Control,基于角色、功能任务,集中控制,适合高人
员流动high employee turnover
- 12 -
交大慧谷培训中心 内部资料,仅供参考
2.3 Access Control Techniques and Technologies(方法和技术)
11. Rule-Based Access Control:基于规则的访问控制,针对所有用户的强制,没有identity
这一步
12. Constrained User Interface:限制用户接口
1) Menu and Shells:菜单和命令,functionality、command 2) Data view
3) Physical:ATM
13. Access Control Matrix(矩阵),针对个体,os强制,一般是DAC模型的一个属性,
即DAC使用它。
1) Capability Tables:Kerberos就是这样的,仅针对individual,因为需要identity 2) Access Control Lists:ACL,可以针对individual or group 14. Content-Dependent Access Control:基于内容,数据库、关键字等,web surfing、email 15. Context-Dependent Access Control:基于上下文(次序),状态检测防火墙处理TCP
三次握手,syn-syn/ack-ack
2.4 Access Control Administration(访问控制管理)
16. 一个安全的过程:先policy等等、再access control model、再access control 方法和
技术,再access control administration方式(集中、分散和混合)
17. Centralize:集中式,由一个人或者一个部门进行控制。C/S结构(只能client主动发
请求)
1) AAA指:authentication, authorization, and auditing。 2) 三种认证协议:PAP, CHAP, EAP
3) RADIUS:C/S结构,集成authentication, authorization。传输只加密帐号、密码
等认证信息,其他都是cleartext。UDP传输,需要另外进行package检查。ISP上网认证使用,简单环境允许还是deny。
4) TACACS,C/S结构:TACACS(authentication & authorization)、XTACACS(分
开AAA)、TACACS+(增加SSO/双因素)。TACACS+,TCP传输。传输内容全部加密。可结合kerberos。使用方式更灵活但更复杂。
5) Diameter:overcome RADIUS的很多不足,提供AAA,the diameter is twice the
radius,兼容RADIUS,peer-based protocol(服务器能主动发送信息)。 提供一个基础协议,支持很多协议。能支持IPSEC OR TLS,RADIUS不支持。AVP更大2的32方,RADIUS为2的8方。Mobile IP,用户从一个网络到另外一个网络仍然使用同一个IP。
- 13 -
交大慧谷培训中心 内部资料,仅供参考
18. Decentralized:分散式管理,closer 离的近的分配权限,functional manager
2.5 Access Control Methods(访问控制方法)
19. Administrative Controls管理控制
1) Policy and Procedure:a High-Level plan
2) Personal Controls:人员变动,职责分离和职责轮换,人力部门和法律部门参与。 3) Supervisory Controls:监管控制,每个人有上级,汇报和负责 4) Training
5) Testing,All security controls, mechanisms, and procedures need to be tested on
a periodic
20. Physical Controls物理控制
1) Network Segregation:通过物理和逻辑都能进行网络分段 2) Perimeter Security:边界安全,门卡、监控monitor,TV 3) Computer Controls:FDD、CD-ROM 4) Work area separation:工作区域
5) Data backup:保存数据在防火的地方
6) Cabling:布线,防干扰,防火burnt、防窃听eavesdropped 21. Technical Control(logical)
1) System Access,MAC、DAC、RADIUS、TACACS、kerberos 2) Network Architecture:不同网络区域
3) Network Access,Router、Switch、Firewall、Bridge
4) Encryption and Protocols,perserve confidentiality and integrity of data
5) Control Zone:技术和物理和结合(A control zone is physical control.),防止emit
electrical signal 6) Auditing审计
- 14 -
交大慧谷培训中心 内部资料,仅供参考
2.6 Access Control Type
22. preventive(access control model)、detect、corrective、deterrent、recovery、
compensative
23. Preventive预防:administrative、physical、technology。
24. accountability:稽查/审计,行为的事后审计,网络管理员、安全专家确认安全机制部
署的place和configuration是否合理;提供法律材料;重构环境和事件、生成报告、检测入侵等,usually deciphering it and presenting it in a useful and understandable format。
1) system event 2) application event 3) user event
4) review of audit information审计信息查看。自动、手动。可以实时、一段时间。三
种审计分析工具:减少检测reduction、变化检测variance(以前和现在比较)、攻击特征检测attack signature。
5) keystroke monitor:击键监控,木马收集资料,如果公司采用需要inform用户。 6) protect audit data and log information:保护审计数据。攻击者删除log称为
scrubbing。
2.7 access control practices
25. Unauthorized Disclosure of Information(非授权的信息泄漏)
1) Object Reuse:FDD、TAPE等,仅仅format,delete还不够,overwrite后才能
清除。Object reuse can unintentionally disclose information. 2) Tempest抑止和防止信息无线泄漏airwaves。信息源通常为monitors, computers,
printers, and so on。Faraday cage。通常军方使用,complex、cumbersome、expensive,可以用white noise 和control zone替代alternatives。卖这种类型的设备under constant secutiny i. White noise白噪音,uniform spectrum of random noise ii. Control zone
2.8 Access Control Monitoring
攻击IDS:dos使其off line;让ids报警错误的攻击,正式的攻击不报。
只有异常检查的IDS能识别新攻击。 26. Intrusion Detection(IDS):sensor、analyzer、administrator;host-base & net-base 27. 检测技术的类型:after-the-fact
1) Signature based特征:每个攻击都有一个特征,the most popular的一种技术,
更新,不能识别最新的攻击。Signature data。识别Land Attack
2) Statistical anomaly base异常统计:基于行为,长期进行学习,学习完毕后生成
profile,以后所有的traffic & activity都与之进行比较。进行分项打分,然后加起来,超过normal的分数,就认为是一个攻击/异常。0 day attacks,存在误报、漏报的
- 15 -