交大慧谷培训中心 内部资料,仅供参考
4.5 Perimeter security
4.5.1 Facility access controls
Deterren 威慑 Sophisticated 久经世故的 Hing 门的铰链
17. 边界防护模型考虑两种情况:设备正常运作和停机。、
18. 设备访问控制,判断哪些能进,哪些不能进;有多个口main、secondary、delivery。 19. locks,容易采用和接受的ac设备,但容易broken,key人员掉;lock不要单独用作
ac设备。Locks are considered delaying devices to intruders.挂锁Padlocks、programmable locks。Warded lock一种挂锁, tumbler 有spring弹簧。Combination locks密码锁。
20. wafer/disc用于car 和抽屉。Cipher lock介绍中最安全的lock,door delay、key override
(有一个正常的procedure,override就报警或者supervisory)、master keying、hostage alarm。
a) Cipher lock:就是一个programmable lock,keypad输入密码+swipe card 21. Device Locks:switch电源开关,port,slot,peripheral外围设备,cable traps防止I/O设备
被拿走。
22. procedures that detail how keys are to be assigned, inventoried, and destroyed when
necessary, and what should happen if and when keys are lost.
4.5.2 Personnel Access Controls
Illumination 照明 Vaults 金库
23. Landscaping is a tool used in the CPTED method 24. fencing & gate:fencing是“first line of defence”;critical area至少用eight feet的
fencing;The barbed wire on top of fences can be tilted in or out(铁丝网向里向外在fences上);是delay机制,deterrent威慑;要costly and unsightly不好看的。PIDAS Fencing带detection的fencing。
25. bollard:防止driver a vehicle,放在facility和road或者parking之间。
26. lighting:降低lawsuit,对着可能威胁的来源,暂时失明blind,一般是outward。 27. Surveillance Devices:监视设备,视频visual
28. CCTV:Closed-Circuit TV,采用coaxial cable传输。两种lens:fixed focal length and
zoom,如果要看大范围就使用smaller的固定镜头。Iris虹膜(感光),手动和自动(手动用在室内光强度固定等地方;自动用在outer室外光强度要改变的地方)
29. piggybacking:这个人没有合法的认证,但拿着其他合法的许可。添加guard或者用
magnetic strip 30. fence,带植物的fence;bollard,柱子;light;surveillance device,CCTV(Closed-Circuit
TV),CCD比CRT能获得更多的细节,分为定焦和变焦的镜头。CCD的特征: a) Captures signals in the infrared range
- 31 -
交大慧谷培训中心 内部资料,仅供参考
b) Receives input through the lenses and converts them into electronic signal c) Provides better-quality images d) CCD does not record data
31. A photoelectric system (or photometric system) detects the change in a light beam
and thus can be used only in windowless rooms. 32. Audit and access logs are detective, not preventive.
33. IDS不能防御prevent,只能an aid to the organization’s security forces.
- 32 -
交大慧谷培训中心 内部资料,仅供参考
五. Chapter 7:Telecommunications and Networking Security
Prevalent 普遍的,流行的 Unsolicited message was sent 为被请求的,主动的,bluejack Footprint:用于information gathering technique
x.400邮件相关,x.500是LDAP等相关,x.509是PKI相关。
Source routing:是L2层,代替transparent bridge的转发选路转发功能,有发送方确定发送路径。
CIR(Committed Information Rate):为了带宽支付money,guaranteed amount of frame relay bandwidth。注意区别QoS
Why are mainframe environments considered more secure than LAN environments? ――They usually have fewer entry points.
EAP:相对PAP,CHAP而言,它不是一种认证机制,而是一个框架,可以采用多种认证方式,如一次性、双因素等等
数据传送用到技术:analogy、digital、wireless
OSI模型对应TCP/IP模型
5.1 开放系统模型
the International Telecommunication Union (ITU) and the International Standards Organization (ISO).
1. ISO提供标准,让设备间能通信。 2. 表示层,包括compress、encryption、JPEG、TIFF、ASCII、MIDI、MPEG。No protocols
work at this layer, just services.
3. 会话层,session layer,两个application需要通信时他们之间建立连接的就在会话层。
Sql、rpc、nfs、NETBios。会话层处理的是application之间的会话;传输层处理的是
- 33 -
交大慧谷培训中心 内部资料,仅供参考
4. 5. 6.
7. 8.
computer system之间的会话。session相当于一个中间件middleware。Simplex(单工),half duplex,full-duplex。 transport layer,处理错误检测、流控、恢复等等。TCP、UDP、SPX、SSL。end-to-end network layer,网络层不负责确认packets送达与否,如果需要可以让传输层的协议进行,如TCP。IP/IPX/ICMP/IGMP/OSPF/RIP/BGP
Data Link layer,数据链路层,有网卡NIC来进行数据格式化为相应的协议(ATM、Ethernet、Token-Ring、FDDI等),LLC和MAC,此层常见协议有ARP、RARP、L2F、L2TP、ISDN、PPP。IEEE定义Ethernet is 802.3, Token Ring is 802.5, wireless LAN is 802.11。network card driver at the data link layer. physical layer。X.21, X.24, X.35, HSSI是物理层的东西 每层功能及相关设备功能图。
5.2 TCP/IP
A(0-127.255.), B(128-191.255.), C(192-223), D(224-239),E(240-255)
9. IP是无连接协议connectionless,TCP是connection-oriented(handshake),UDP
是best-effort。 10. TCP,socket=sip:sport+dip:dport。ftp:21&20,telnet:23,smtp:25,snmp:161&162。Three
handshake:syn-syn/ack-ack,TCP是full duplex。
11. TCP和UDP的主要区别:reliability(发包确认)、connecting、packet sequencing、
congestion controls、usage(TCP可靠)、speed & overhead(UDP开销小,速度更
- 34 -
交大慧谷培训中心 内部资料,仅供参考
快)。Message/stream(L7) -> segment(L4) -> datagram(L3) -> frame(L2)
12. IPv4是32位地址,IPv6(IPng)是128位地址。V6提供更多的地址、安全性更好、
提供QoS。
5.3 Type of transmission
异步传输有start和stop位,按sequential传
数据传送可以用不同的ways(analogy or digital),不同的controlling schemes(synchronous or asynchronous),不同的channel(baseband or broadband)
13. Analogy and digital:modulate/demodulate,模拟的可以用振幅(amplitude)和频率
(frequency)。Bandwidth是一个电子脉冲一秒钟在link上的传输数量。数字信号更适用于远距离传输,更容易从背景noise从分离出来。一些Voice电话、Radio还在用analogy。
14. 同步、异步:大数据、流数据用同步,小数据用异步;终端和终端服务器之间通常就使
用异步传输。同步方式在开始传数据前需要进行同步clock。 15. 宽带是多个channel,baseband是一个channel,T1、T3、DSL(Digital Subscriber Line)、
coaxial cable TV (CATV)是broadband(有多个台的电视);Ethernet is a baseband。
5.4 LAN Networking
Trunk lines的用处:用于两个交换机之间at a local phone company central office.与phone有关 16. 网络的4个reason:两个computer间通信、共享information、共享resource、集中
控制central control。 17. 拓扑:
1) ring(一个ring,一个节点fail,全部受影响,因为interdependence)。FDDI 2) bus,每个节点都是single point of failure,也会互相影响。Ethernet i. linear,single cable ii. tree,branch 3) star,节点间不互相影响,交换机是single point of failure;更少的cable。Ethernet、
Token Ring
4) mesh,连接每个节点。Internet,每个节点不直接相连因此连接是non-uniform的。 18. LAN:两个LAN用路由器相连,no longer a LAN.
1) Ethernet,可以总线型和星型,冲突域存在,CSMA/CD。802.3
2) Token Ring,一个令牌沿ring逐点传输,没有冲突域,物理上是star,逻辑上是
ring。802.5,central hub称为MAU(multistation access unit)
- 35 -