Day 19
考古題練習,錯誤要點亂記
複選題很煩... QQ
# 網路安全框架
# 訪問控制模型類(很愛考 MAC, DAC)
# 主動式攻擊(DDoS)、被動式攻擊(釣魚…)
# OWASP Top 10 iOT
# 加密演算法(對稱、非對稱、雜湊…)
美國國家標準暨技術研究院所提出的網路安全框架(Cybersecurity
Framework, CSF)的組成元素包括:
1. 框架核心(Core):提供組織網路安全最基本的功能和活動。
2. 框架設定(Framework Profile):基於組織的網路安全需求,創
建自定義的框架概述。
3. 實施層級(Framework Implementation Tiers):提供對組織網
路安全運作的評估和分級,以及與組織整體風險管理過程的對應。
4. 框架核心評估(Core Assessment):提供組織評估其網路安全現
狀的基礎。
5. 參考資料(Informative References):提供有關網路安全領域
的參考資料和實施案例,以協助組織有效實施該框架。
這些元素可以協助組織評估其網路安全現狀、建立基本的安全措施、
對安全風險進行風險評估和管理、以及發展網路安全策略和程序。
常見的訪問控制模型(Access Control Policy):
1. 強制存取控制(Mandatory Access Control, MAC):
是一種中央管理的訪問控制模型,其中系統會根據物件的機密性、
主體的安全等級等因素來限制對該物件的訪問。常見的例子包括政
府機構、軍事機構等。
2. 自主存取控制(Discretionary Access Control, DAC):
是一種基於主體(如用戶)授權的訪問控制模型,主體可以根據自
己的意願決定對物件(如文件)的訪問權限。常見的例子包括個人
電腦、家庭網絡等。
3. 角色基礎存取控制(Role-Based Access Control, RBAC):
是一種基於角色授權的訪問控制模型,每個角色都有一組訪問權限
,主體可以被分配到一個或多個角色。常見的例子包括企業內部系
統、網絡應用等。
4. 屬性存取控制(Attribute-Based Access Control, ABAC):
是一種基於屬性授權的訪問控制模型,系統根據主體和物件的屬性
,以及環境因素(如時間、地點)等因素來決定對物件的訪問權限
。常見的例子包括雲計算、物聯網等。
5. 委託存取控制(Delegation-Based Access Control, DBAC):
是一種基於授權委託的訪問控制模型,主體可以將自己的權限授權
給其他主體,使其可以代表自己執行某些操作。常見的例子包括管理員授權等。
攻擊:
.主動式攻擊:指攻擊者以主動的方式發起攻擊,例如發送惡意軟體
、掃描網絡、攻擊網站等。
例如:DDoSAttack(分散式阻斷服務攻擊),BufferOverflow(緩
衝區溢位),BruteForce(暴力破解)…等。
.被動式攻擊:指攻擊者不需要直接干擾目標系統或網絡,而是通過
觀察和監聽目標系統或網絡的流量、通信、活動等來收集信息、探
測漏洞、獲取敏感信息等。被動式攻擊通常需要攻擊者進行深入的
分析和研究,這需要攻擊者具有一定的技術和知識儲備。
例如: TyposquattingAttack(誤植域名攻擊)不屬於主動式攻擊,
社交工程, 釣魚攻擊…等。
*OWASP Top 10 IoT 是 Open Web Application Security Project
(OWASP)所發佈的一份報告,該報告列舉了 IoT(Internet of
Things)領域中十大常見的安全風險和漏洞,以提高 IoT 設備和
應用程式的安全性。該報告列出的 OWASP Top 10 IoT 包括:
.Weak, Guessable, or Hardcoded Passwords
(弱密碼、可猜測的密碼或硬編碼密碼)
.Insecure Network Services
(不安全的網路服務)
.Insecure Ecosystem Interfaces
(不安全的生態系統介面)
.Lack of Secure Update Mechanism
(缺乏安全的更新機制)
.Use of Insecure or Outdated Components
(使用不安全或過時的元件)
.Insufficient Privacy Protection
(不足的隱私保護)
.Insecure Data Transfer and Storage
(不安全的資料傳輸和儲存)
.Lack of Device Management
(缺乏設備管理)
.Insecure Default Settings
(不安全的預設設定)
.Lack of Physical Hardening
(缺乏物理硬化)
這些風險和漏洞涵蓋了 IoT 環境中最常見的安全問題,並且對於保
障 IoT 設備和應用程式的安全性至關重要。
/* 加密演算法 */
對稱式加密演算法:3DES、Blowfish
非對稱式加密演算法:ECC
雜湊演算法:MD5