• IPsec - IP network layer 

• Authentication Header (AH) Provides data integrity, data-origin authentication, and protection from replay attacks
• Encapsulating Security Payload (ESP) Provides confidentiality, data-origin authentication, and data integrity
• Internet Security Association and Key Management Protocol (ISAKMP) Provides a framework for security association creation and key exchange
• Internet Key Exchange (IKE) Provides authenticated keying material for use with ISAKMP
• 协议标识为51
• Tunnel mode  隧道模式<=> 加密整个数据包，包括数据包头和数据包消息
• Transport mode  传输模式<=> ESP

• due care （发现风险，通过检查和评估）and due diligence（落实控制措施）

• IPv4 VS IPv6

• IPV6 128位 128/16=8
• IPV4 32位   32/8 =4

• IDS

• 分类：主机和网络
• 分类：基于签名（signature-base ）-基于知识库的IDS和基于统计（statical anomaly-base）-基于行为的IDS：统计异常、流量异常、协议异常

• IPS
• 网络攻击方式：

• smurf attack 结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。
• syn attack  占用TCP链接的资源，导致TCP三次握手无法成功，属于DOS攻击
• buffer overflow attack 缓冲区溢出
• ping of death attack 可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”(死亡之Ping)攻击。“Ping of Death”攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机
• TCP sequence number attack TCP序号攻击，劫持TCP的会话
• ip spoofing attack
• spoofing attack
• sniffing attack 嗅探攻击
• 主动攻击和被动攻击的区别  

  主动攻击是具有攻击破坏性的一种攻击行为，攻击者是在主动地做一些不利于你或你的公司系统的事情，会对你造成直接的影响。
  主动攻击按照攻击方法不同，可分为中断、篡改和伪造。中断是指截获由原站发送的数据，将有效数据中断，使目的站无法接收到原站发送的数据；篡改是指将原站发送的目的站的数据进行篡改，从而影响目的站所受的的信息；伪造是指在原站未发送数据的情况下，伪造数据发送的目的站，从而影响目的站。
  比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息；伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个非法地址。

  被动攻击是一种在不影响正常数据通信的情况下，获取由原站发送的目的站的有效数据，通过监听到的有效数据，从而对网络造成间接的影响，影响所传数据的保密性，泄露数据信息，如只是被动攻击，不会对其传输造成直接的影响，不易监测。
  被动攻击又分为2类：
  1、被动的获取消息的内容；
  2、对业务数据流分析

• OSI各层加密协议：

• 应用层S/MIME、POP（POP3）、PGP、S-HTTP、HTTPS
• 传输层：SSL、TLS1.3
• 网络层：IPSec
• 链路层：PPTP、L2TP

• 无线协议标准
• 端口类型划分

• well known  port0-1023 
• registered  port 1024-49141
• dynamic  port 49151-65535

• 机制划分 管理+技术+物理、检测、预防、纠正、防御、威慑
• 生物测定学

• 生理性 物理特征 指纹、手掌、手部外形、视网膜、虹膜、声纹、面部
• 行为性 
• 误报（false positive ）和漏报（false negative）
• I类错误FRR（False Rejection Rate）：拒绝一个已授权的人
• II类错误FAR（False Acceptance Rate）：接受本该拒绝的人
• 交叉错误率（Crossover Error Rate）CER 用作生物测定学系统的公正判断

访问控制：MAC（clearance and classification）、DAC（基于身份的访问控制）、RBAC

• 可信计算基、安全边界、安全内核、应用监视器
• 介质的可行性控制：storage、marking、handlling
• 系统重启动、冷启动、重启动

可信恢复：在系统崩溃时或故障时确保安全性不受破环

系统重启动：应对内核故障以一种可控的方式发生而又无需人的介入

系统冷启动：内核或者介质故障，低特权用户进程企图访问受限制的内存段引起的，需要人的干预

系统重启动：常规措施不能将系统恢复到更一致的状态时

• RAID 独立磁盘冗余陈列

• RIAD 0 条带化
• RAID 1 镜像
• RAID 2 汉明码奇偶校验
• RAID 3 字节级奇偶校验
• RAID 4 分组级奇偶校验
• RAID 5 间插奇偶校验 每个磁盘都会存储数据和奇偶校验码数据
• RAID 6 第二奇偶校验
• RAID 10 先镜像，后条带
• RAID 01 先条带，后镜像

• salami techniques 萨拉米技术 将1000万分成1000w个人接受，散塔成沙、洛基攻击-使用ICMP协议进行攻击
• clearing （实验室可恢复） and  pursing（实验室不可恢复）
• 备份方式

• 完全备份
• 差分备份 归档为不变，仍为1
• 增量备份 归档为变为0，代表下一次备份数据不备份该部分数据了

• 软件成熟度模型CMMI：可初始化、可管理、可定义、可量化管理、可优化
• 电子备份解决方案

• 磁盘映像：将数据备份备份到其他磁盘介质
• 电子传送：在文件发生改变时，定期批量传送备份数据
• 远程日志：离线传送，实时将日志或事务处理日志传送到异地设施
• 磁盘传送：数据备份到磁盘上，由人运输到异地设施

• 元目录和虚拟目录的区别

元目录：和一个目录相连

虚拟目录：和多个数据源相连

• 安全模型

Bell-Lapadula模型（多级安全模型）：基于机密性 

简单安全规则：不上读

*规则：不下写

Biba：基于完整性

强*完整性规则：不上写

简单完整性规则：不下读

Chinese Wall（Brew and Nash）中国墙：处理利益冲突

Clark-Wilson模型：基于完整性，三元组（主体、中间程序TP、客体），良好交易和职责分离的机制

非干扰模型：处理隐蔽通道（Timing 和 Storage）

信息流模型：数据被保存在独立的分割区间内，在独立的主体之间信息是否被允许或不允许访问

基于矩阵的模型：以主体为核心-功能表，以客体为核心-访问控制表

• CIA

• 可用性 Availability：ensure reliablity and timely access to data and resource to authorized individuals.确保授权按用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。

• 完整性 Integrity：Integrity is upheld when the assurance of the accuray and reliability of information and systems is provided and any unauthorized motification is prevented.确保信息在在使用、存储、传输的过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。

• 机密性 Confidentiality：Confidentiality ensure that the necessary level of secrecy is enfored at each junction of data processing and prevent unauthorized disclosure .确保信息在使用、存储、传输的过程中不会泄漏给非授权用户或实体。

• 对称加密的5种模式

• ECB

• CBC

• CFB

• OFB

• CTR

• 业务影响分析流程

• 研发模型

• 瀑布模型
• 敏捷模型
• 螺旋模型
• 原型模型

• 商业知识

• 专利
• 版权
• 商标
• 商业秘密

• BCP流程和团队分工（待完善）

• 救援团队
• 重建团队
• 恢复团队
• BCP团队

• 组织架构和标准（待完善）

• ToGAF
• DoDAF 企业体系结构框架的供应商中间平台
• MoDAF
• SABSA 安全架构开发
• ISO/IEC27000 标准
• COSO 企业内控
• ITIL IT服务管理的客户端化架构，解决如何实现的问题
• Conit 定义了IT目标，解决实现什么的问题，IT内部控制
• NIST 800-53 安全控制参考
• CMMI 软件成熟度模型
• Six Sigma 流程控制
• ISO 22301 业务连续性管理
• ISO9000 质量管理

• 非入侵式攻击和入侵式攻击

• 非入侵式：故障生成、差分功率分析（Differential Power Analysis，DPA）、电磁分析、时序分析，用来发现有关组件如何运作的敏感信息，但不会伺机利用任何类型的缺陷和缺点
• 入侵式：主动攻击

• 主动和被动攻击

• 主动攻击：篡改、伪造、修改数据
• 被动攻击：不对数据进行修改

• CCTV

 

• 安全控制功能的分类

• 威慑（Deterrent）旨在打击潜在的攻击者
• 预防（Preventive）旨在避免发生事件
• 检测（Detective）确认事件的活动和潜在的入侵者
• 矫正（Corrective）事件发生后，修复部件或系统
• 恢复（Recovery）目的是使环境恢复正常运作
• 补偿（Compensating）提供可替代控制措施

灭火系统

• 火灾分类

A  普通可燃物

B  液体火灾

C  电器火灾

D  金属可燃物

•  
• 泛滥式
• 湿管
• 干管  
• 提前作用式 

入侵检测器的类型

• 电容探测器：窄范围
• 被动红外系统：温度
• 波形运动探测器：声波、光波
• 光电系统：光电 烟感和火感
• 离子系统 ：最灵敏

RPC与SOAP、SOA、DCM