1、網(wǎng)絡(luò)安全體系的特征

網(wǎng)絡(luò)安全體系：網(wǎng)絡(luò)安全保障系統(tǒng)的最高層概念抽象

特征	內(nèi)容
整體性	網(wǎng)絡(luò)安全單元按照一定的規(guī)則，相互依賴、相互作用而形成人機物一體化的網(wǎng)絡(luò)安全保護(hù)方式
協(xié)同性	通過各種安全機制的相互協(xié)作，構(gòu)建系統(tǒng)性的網(wǎng)絡(luò)安全保護(hù)方案
過程性	網(wǎng)絡(luò)安全體系提供一種過程式的網(wǎng)絡(luò)安全保護(hù)機制，覆蓋保護(hù)對象的全生命周期
全面性	網(wǎng)絡(luò)安全體系基于多個維度、多個層面對安全威脅進(jìn)行管控
適應(yīng)性	網(wǎng)絡(luò)安全體系，能夠適應(yīng)網(wǎng)絡(luò)安全威脅的變化和需求，動態(tài)的

2、BLP機密性模型

Bel1-LaPadula模型：符合軍事安全策略的計算機安全模型，用于防止非授權(quán)信息的擴(kuò)散

BLP模型的兩個特征：【下讀上寫】 簡單安全 特性、*特性 （即機密性）

• 簡單安全特性：操作者讀訪問資源時，操作者（主體）的安全級別和范疇都 >= 資源 （客體）

【主體只能向下讀，不能向上讀 ==》 下讀】【讀的角度】

• *特性：操作者寫訪問資源時，操作者【主體】的安全級別和范疇讀<= 資源（客體）

【主體只能向上寫，不能向下寫==》 上寫】 【寫的角度】

舉例說明：

• 文件F的 訪問類 ： {機密： 人事處、財務(wù)處}；
• 用戶A 訪問類：{絕密：人事處}；
• 用戶B 訪問類： {絕密 人事處、財務(wù)處、科技處}

主體：用戶A 用戶B

客體：文件F

安全級別：絕密、機密

范疇：人事處、財務(wù)處、科技處

按照軍事安全策略規(guī)定，用戶B可以閱讀文件F 因為用戶B安全級別高，同時范疇大于文件F； 而用戶A 雖然安全級別高，但是范疇不夠，所以不能讀文件F。

3、BLP機密性模型和Biba完整性模型對比

BLP機型米模型和Biba完整性模型對比
	口訣	簡單安全特性	*特性	調(diào)用特性
BLP模型	下讀 上寫	主體的安全級別和范疇 >= 客體	主體的安全級別和范疇 <= 客體	無
Biba模型	不能下讀 不能上寫 不能調(diào)用	主體的完整性級別和范疇 >= 客體	主體的完整性級別 < 客體	主體的完整性級別 < 另一個主體

4、信息保障模型P2DR、PDRR、WPDRRC模型對比

		Pretection	Detection	Response	Recovery
P2DR模型	策略
PDRR模型	/	保護(hù)	檢測	響應(yīng)	恢復(fù)
WPDRRC模型	預(yù)警					反擊

5、網(wǎng)絡(luò)安全方面3個能力成熟度模型

網(wǎng)絡(luò)安全方面的成熟度模型主要有：SSE-CMM、數(shù)據(jù)安全能力成熟度模型、軟件安全能力成熟度模型）

模型名稱	內(nèi)容
能力成熟度模型	分為5級：1級--非正式執(zhí)行、2級--計劃跟蹤、3級--充分定義、4級--量化控制、5級--持續(xù)優(yōu)化
系統(tǒng)安全工程 能力成熟度模型	包括：工程過程類、組織過程類、項目過程類
數(shù)據(jù)安全能力 成熟度模型	數(shù)據(jù)安全能力：組織建設(shè)、制度流程、技術(shù)工具、人員能力四個維度評估
軟件安全能力 成熟度模型	分為5級：1級--補丁修補； 2級--滲透測試、安全代碼評審； 3級--漏洞評估、代碼分析、安全編碼標(biāo)準(zhǔn); 4級--軟件安全風(fēng)險識別、SDLC（軟件開發(fā)生命周期）實施不同安全檢查點； 5級--改進(jìn)軟件安全風(fēng)險覆蓋率、評估安全差距

6、網(wǎng)絡(luò)安全等級保護(hù)體系（等保2.0）

• 等級保護(hù)制度是中國網(wǎng)絡(luò)安全保障的特色和基石
• 網(wǎng)絡(luò)安全等級保護(hù)工作主要包括：定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查五個階段
• 定級對象的安全保護(hù)等級分為5個，即第一級（用戶自主保護(hù)級）、第二級（系統(tǒng)保護(hù)審計級）、第三級（安全標(biāo)記保護(hù)級）、第四級（結(jié)構(gòu)化保護(hù)級）、第五級（訪問驗證保護(hù)級）
• 網(wǎng)絡(luò)安全等級保護(hù)2.0 的主要變化包括：
  • 擴(kuò)大了對象范圍
  • 提出1個中心，三重防護(hù)體系架構(gòu)
  • 強化了可信計算技術(shù)使用的要求，增加了”可信驗證“控制點

7、軟件安全能力成熟度模型CMM

軟件安全能力成熟度模型分成五級，各級別主要過程如下：

• CMM 1級 —— 補丁修補；
• CMM 2級 —— 滲透測試、安全代碼評審
• CMM 3級 —— 漏洞評估、代碼分析、安全編碼標(biāo)準(zhǔn)
• CMM 4級 —— 軟件安全風(fēng)險識別、SDLC實施不同安全檢查點
• CMM 5級 —— 改進(jìn)軟件安全風(fēng)險覆蓋率 評估安全差距

8、物理安全威脅

分類	內(nèi)容
自然安全威脅	地震、洪水、鼠害、雷電
人為安全威脅	盜竊、爆炸、毀壞、硬件攻擊

常見的硬件攻擊技術(shù)	內(nèi)容
硬件木馬	在集成電路IC中植入的”惡意電路“ 在IC的研發(fā)設(shè)計、生產(chǎn)制造、封裝測試、應(yīng)用等整個生命周期度可能被植入惡意硬件邏輯，形成硬件木馬
硬件協(xié)同的惡意代碼	本身是一個硬件，用來幫助惡意軟件，實現(xiàn)越權(quán)訪問
硬件安全漏洞利用	熔斷幽靈屬于CPU漏洞，通過cache與內(nèi)存的關(guān)系，可以確定代碼、數(shù)據(jù)在內(nèi)存中的位置，然后再利用其它漏洞對內(nèi)存中的代碼、數(shù)據(jù)進(jìn)行篡改
基于軟件漏洞攻擊硬件實體	利用軟件漏洞，修改物理實體的配置參數(shù)，使得物理實體非正常的運行，從而導(dǎo)致物理實體受到破壞【震網(wǎng)病毒】
基于環(huán)境攻擊計算機實體	利用計算機系統(tǒng)所依賴的外部環(huán)境缺陷，導(dǎo)致計算機系統(tǒng)運行出現(xiàn)問題

8、物理安全平臺等級

物理安全規(guī)范：

《信息系統(tǒng)物理安全技術(shù)要求（GB/T210522007）》 將信息系統(tǒng)的物理安全進(jìn)行了分級，并給出設(shè)備物理安全、環(huán)境物理安全、系統(tǒng)物理安全的各級對應(yīng)的保護(hù)要求，具體要求目標(biāo)如下：
【信息系統(tǒng)物理安全技術(shù)只涉及前4級】

• 第一級物理安全平臺為第1級用戶自主保護(hù)級提供基本的物理安全保護(hù)；
• 第二級物理安全平臺為第2級系統(tǒng)審計保護(hù)級提供適當(dāng)的物理安全保護(hù)；
• 第三級物理安全平臺為第3級安全標(biāo)記保護(hù)級提供較高程度的物理安全保護(hù)；
• 第四級物理安全平臺為第4級結(jié)構(gòu)化保護(hù)級提供更高程度的物理安全保護(hù)；

9、機房功能區(qū)域組成

按照《計算機場地通用規(guī)范（GB/f 2887-2011）》的規(guī)定，計算機機房可選用下列房間（允許一室多用或酌情增減）：

• 主要工作房間：主機房、終端室等
• 第1類輔助房間：低壓配電間、不間斷電源室、蓄電池室、空調(diào)機室、發(fā)電機室、氣體鋼瓶室、監(jiān)控室等
• 第2類輔助房間：資料室、維修室、技術(shù)人員辦公室
• 第3類輔助房間：儲藏室、緩沖間、技術(shù)人員休息室、盥洗室

10、機房與數(shù)據(jù)中心等級劃分

機房等級	劃分條件
A級	造成嚴(yán)重?fù)p害、對機房安全有嚴(yán)格要求、有完善的機房安全措施
B級	造成較大損害、對機房安全有較嚴(yán)格要求、有較完善的機房安全措施
C級	不屬于A、B級的情況

數(shù)據(jù)中心等級	劃分條件
A級	造成重大的經(jīng)濟(jì)損失、造成公共場所秩序嚴(yán)重混亂
B級	造成較大的經(jīng)濟(jì)損失、造成公共場所秩序混亂
C級	不屬于A、B級的情況

11、IDC 互聯(lián)網(wǎng)數(shù)據(jù)中心

IDC的組成：機房基礎(chǔ)設(shè)施、網(wǎng)絡(luò)系統(tǒng)、資源系統(tǒng)、業(yè)務(wù)系統(tǒng)、管理系統(tǒng)和安全系統(tǒng)

IDC機房等級劃分：R1、R2、R3??3個級別

級別	機房基礎(chǔ)設(shè)施和網(wǎng)絡(luò)系統(tǒng)冗余能力	機房基礎(chǔ)設(shè)施和網(wǎng)絡(luò)系統(tǒng)可用性能力
R1	具備一定的冗余能力	不應(yīng)小于 99.5%
R2	具備冗余能力	不應(yīng)小于 99.9%
R3	具備容錯能力	不應(yīng)小于99.99%