IceWindy's Blog

网络安全审计概述与组成 概念 核心定位：属于4A安全框架（认证、授权、账号、审计）中的最后一环，是项目实践中应用广泛的重要技术 基本定义：对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作 作用机制：建立**"事后"安全保障措施，为安全事件分析提供线索及证据** 技术价值：发现潜在网络安全威胁，开展风险分析及管理 我国审计安全机制标准 标准依据：GB17859《计算机信息系统安全保护等级划分准则》 级别要求：从第二级（系统审计保护级）开始强制要求审计机制 实施要点：可信计算机实施细粒度自主访问控制 等保审计要求： 二级（系统审计保护级）：基础审计功能，记录身份鉴别、客体操作等事件 三级（安全标记保护级）：审计记录包含客体名与客体的安全级别。此外计算机信息系统可信计算基具有审计更改可读输出记号的能力 四级（结构化保护级）：计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件 五级（访问验证保护级）：计算机信息系统可信计算基包含能够监控可审计安全事件发生与累计机制，超过阈值时，能够立即向安全管理员发出警报，并且继续发生或累计，系 ...

网络物理隔离技术 概述 定义：网络物理隔离是既满足内外网数据交换需求，又能防止网络安全事件出现的安全技术。其基本原理是避免计算机之间直接连通，以阻断在线网络攻击。 典型设备：网闸是典型的物理隔离设备 安全风险： 非法外联：隔离网络用户私自连接互联网（如涉密网连接云桌面后远程控制） U盘摆渡：通过U盘作为介质传播病毒或窃取数据 产品漏洞：隔离设备存在DoS⁡/DDoS\operatorname{DoS}/\mathrm{DDoS}DoS/DDoS攻击风险或被构造恶意数据绕过 新型攻击：通过声波/热量/电磁波等模拟信号窃密（如Bitwhisper温度窃密技术） 网络物理隔离机制与实现技术 专用计算机：指定专用区域计算机仅连接外网，需离开工作环境使用 多PC方案：桌面部署两台PC分别连接内外网（政府单位常用方案） 外网代理：在内网指定服务器，负责专门搜集外网的置顶信息，然后把外网信息手工导入内网（U盘、光盘等），从而实现内部用户“上网”，又切断了内外网物理连接。 内外网网线切换器：通过物理开关盒切换网络连接 单硬盘分区：通过隔离卡划分逻辑分区控制访问权限 ...

入侵检测概述 判断依据：对目标的操作是否超出了目标的安全策略范围。例如只有读权限却进行写操作就属于入侵行为。 检测方式：通过收集操作系统、系统程序、应用程序、网络包等信息，发现违背安全策略或危及系统安全的行为。 系统定义：具有入侵检测功能的系统称为入侵检测系统（Intrusion Detection System，简称IDS）。 IDS只可以检测，不能阻断。IDS一般为旁路部署，IPS一般是串行部署 入侵检测模型 早期模型原理：根据审计记录数据生成系统轮廓（如正常行为基线），通过检测轮廓变化发现入侵。 CIDF模型组成： 事件产生器：从计算环境获取事件并进行标准化 事件分析器：分析数据并产生结果（判断是否为攻击） 响应单元：根据分析结果做出响应动作 事件数据库：存储中间和最终数据 模型特点：各组件协同工作，简单事件直接响应，复杂事件需经分析器处理。 入侵检测作用 核心角色：扮演**"预警机"或"安全巡逻人员"角色，不是阻止入侵事件发生，而是通过检测技术来发现**系统中企图或已经违背安全策略的行为。 六大功能： 发现系统中的入侵 ...

VPN概述 vpn概念 本质：Virtual Private Network（虚拟专用网）的缩写，通过在不可信任的公共网络上建立加密通道实现安全通信 核心机制：将需要传输的报文(packet)加密处理后通过公共网络传输，保证数据在公网上的保密性 vpn安全功能：保密性服务、完整性服务、认证服务 vpn实现功能 加密传输：如IPSec VPN对站点间通信数据进行加密，防止公网传输中被窃取 隧道技术：出差人员通过VPN隧道访问内网服务器，实现"虚拟内网接入"效果 三大安全服务： 保密性服务：防止数据被窃听（如AES加密） 完整性服务：检测数据是否被篡改（通过哈希校验） 认证服务：验证通信双方身份（如用户名/密码认证） vpn分类 链路层VPN： 典型协议：PPTP、L2TP（基于PPP协议） 其他技术：ATM、Frame Relay、MPLS 网络层VPN： 代表技术：IPSec、GRE 传输层VPN： 典型协议：SSL/TLS（如HTTPS使用的安全层） vpn实现技术 密码算法 国际算法： 对称加密：DES、AES（主流）、I ...

防火墙概述 边界隔离设备: 通过软硬件组合实现内网与外网隔离，既可隔离信任网络与不可信网络（如Internet），也可隔离内网不同区域（如教学区与宿舍区、应用区与数据库区） 流量控制机制: 根据安全规则决定网络包禁止（deny）或转发（permit） 防火墙区域划分 教材标准划分: 公共外部网络: Internet等不可信网络 内联网(Intranet): 组织专用网络（如公司内部网络） 外联网(Extranet): 内联网延伸（如医院与医保系统的互联网络） DMZ区域: 放置公共服务设备（如Web服务器）的缓冲地带 华为设备/其他安全厂商划分: Local区域: 防火墙自身（安全级别100） Trust区域: 内部可信网络（安全级别85） DMZ区域: 公共服务区（安全级别50） Untrust区域: 外部不可信网络（安全级别最低） 信任度排序：Local>Trust>DMZ>UntrustLocal > Trust > DMZ > UntrustLocal>Trust>DMZ>Untrus ...

访问控制概述 访问控制定义 核心要素：包含主体（用户/进程/应用程序）、客体（文件/服务/数据）、授权（访问方式）和控制（访问决策） 授权机制：明确访问者对资源对象的操作权限，如文件可读/写/删除/追加，邮件服务可接收/发送 控制决策：包含三种基本判断结果：拒绝访问、授权许可、禁止操作 访问控制目标 通过认证机制防止非法用户进入系统 通过权限管理阻止合法用户越权操作 实现访问控制目标 实现流程： 身份认证（前置条件） 权限授予（核心环节） 审计监控（事后保障） 协同机制：与认证、审计构成三位一体安全体系： 认证解决"你是谁" 访问控制解决"你能做什么" 审计记录"你做了什么" 访问控制模型 访问控制的组成要素 主体（Subject，操作的实施者） 客体（Object，被操作的对象） 参考监视器（Reference Monitor，访问控制的决策单元和执行单元的集合体） 访问控制数据库（记录访问权限及其访问方式，提供访问控制决策判断的依据） 审计库（存储主体访问客体的操作信息，如访问成功、失败等） ...

认证技术基础与原理 认证基础 组成要素：认证技术由**标识(Identification)和鉴别(Authentication)**两部分组成 标识： 定义：标识是实体对象的身份标志，如QQ号、用户名等 特性： 唯一性：确保实体可被唯一识别 强关联：与实体存在不可分割的绑定关系 表现形式：通常由名称和标识ID组成，通过唯一标识符代表特定实体 鉴别： 定义：利用数字化凭证对实体声称属性进行验证的过程 常见凭证类型： 知识凭证：如密码"123456"等用户知道的秘密 持有凭证：如UK(USB Key)等物理设备 生物特征：指纹、虹膜等生理特征 行为特征：键盘敲击力度、步态等行为模式 认证示意图：展示实体间通过输入凭证进行验证的交互过程 认证原理 基本构成： 验证对象：需要认证的实体(客户端/声称者) 鉴别实体：进行验证的实体(服务端/验证者) 认证协议：双方通信的规则和流程 认证技术发展： 单点登录(SSO)：一次认证访问多系统 人机识别认证：如12306验证码 多因素认证：组合多种鉴别方式 行为鉴别技术：基于风 ...

物理安全概述 物理安全概念 传统定义：涵盖环境、设备和记录介质等支持网络信息系统运行硬件的总体安全 广义定义：包含硬件、软件、操作人员及环境组成的人-机-物融合系统的安全 威胁分类： 自然威胁：地震/洪水/雷电/鼠害等 人为威胁：盗窃/爆炸/硬件攻击等 物理安全威胁 硬件木马 植入方式：在IC芯片中嵌入恶意电路，激活后改变原有功能 攻击阶段： 研发设计：通过EDA工具/IP核植入 生产制造：代工厂逆向工程植入 封装测试：测试环节恶意篡改 应用阶段 国产化意义：避免供应链不可控导致的安全隐患，国产化全环节可控 硬件协同的恶意代码 攻击特征：非授权软件访问特权内存区域（破坏了机密性） 破坏目标：主要破坏信息安全的机密性属性 硬件安全漏洞利用 典型漏洞： 熔断(Meltdown)：允许越权读取内核内存 幽灵(Spectre)：用于以侧信道方式获取指令预存、预执行对cache的影响等信息，进而获取到特定代码、数据在内存中的位置信息，从而利用其他漏洞对改内存进行读取或篡改 修复难点：硬件漏洞无法通过补丁完全修复，可能需整批设备淘汰 基于软件漏洞攻击硬件实 ...

动态调试 动态调试是指自带的调试器跟踪自己软件的运行，可以在调试的过程中知道参数或者局部变量的值以及履清代码运行的先后顺序。多用于爆破注册码。 动态调试步骤 修改debug权限 在AndroidManifest.xml里添加可以调试的权限 1android:debuggable="true" XappDebug模块 Magisk命令 12341. adb shell #adb进入命令行模式2. su #切换至超级用户3. magisk resetprop ro.debuggable 14. stop;start; #一定要通过该方式重启 MagiskHide Props Config模块 开启adb调试 模拟器直接在设置中开启 手机点击版本号多次后开启开发者模式后进入开启ADB调试

概述 网络安全模型 BLP模型 Bell-LaPadula模型（BLP）是机密性模型，用于防止非授权信息的扩散，该模型包含两个特性：简单安全特性和*特性。概括：上写下读。 简单安全特性: 读访问条件：主体安全级≥客体安全级，且主体范畴集包含客体全部范畴 操作限制：只能向下读，不能向上读 *特性： 写访问条件：客体安全级≥主体安全级，且客体范畴集包含主体全部范畴 操作限制：只能向上写，不能向下写 局限性：只能保障机密性，不能保障完整性 BLP机密性模型可用于实现军事安全策略，美国国防部为保护计算机机密信息提出的限制策略。 策略规定：用户要合法读取某信息，当且仅当用户安全级大于等于该信息的安全级，并且用户的访问范畴包含改信息范畴时。 安全级划分: 公开<秘密<机密<绝密（线性有序） 范畴集定义: 信息所属领域（如人事处、财务处等职能部门） 典型案例: 文件F：{机密：人事处，财务处} 用户A：{绝密：人事处} → 不可读F（缺少财务处范畴） 用户B：{绝密：人事处，财务处，科技处} → 可读F（满足全部条件） Bib ...