1、安全架构设计方法有哪些维度?
(从eD-SAT-MaP 这八个维度分析)安全部署(Deployment):安全加固、组网安全等
安全检测响应(Detection):攻击检测、入侵保护、防DoS/DDoS、内存防护等
安全隔离(Seperation):网络隔离、应用隔离、容器隔离、沙箱隔离等
认证及权限控制(Authentication):身份认证、权限控制、用户管理等
系统可信保护(Trust):文件完整性保护、安全启动等
安全管理(Management):日志审计、安全升级、安全事件管理等
数据保护(Data):密钥管理、数据传输安全、数据存储安全等
隐私保护(Privacy):隐私控制、隐私合规、数据脱敏等
2、如何得到架构级安全需求和安全风险?
安全需求来源:大T客户安全需求、认证标注安全需求、友商竞争安全需求、公司规范安全需求安全风险来源:基于系统架构视图、威胁建模分析(STRIDE)
3、威胁建模有哪两种思维模型?
STRIDE模型DREAD模型
4、STRIDE模型从哪六大方面进行威胁建模分析?
伪冒(Spoofing):假冒为某人或某物篡改(Tampering):恶意修改资料
抵赖/否认行为(Repudiation):使用者可否认曾经进行某行为,没有方法可证明其行为
资讯泄露(Information Disclosure):咨询被泄露给不被预期可存取的个体
拒绝服务(Dos):对使用者拒绝服务或降低服务水准
提升权限(Evaluation of Privilege):未正常授权的权限能力
5、DREAD模型从哪五个角度进行威胁建模分析?
危害性(Damage):如果被攻击了,会造成怎样的危害持续生产(Reproducibility):攻击后恢复运营的简易度
难度系数(Exploitability):实施此项攻击的难度如何
受影响用户数(Affected users):有多少用户会受到此项攻击影响
发现系数(Discoverability):这项威胁是否容易被发现
6、如何抵御SYN欺骗攻击?
1)可以实用改进版本的TCP连接处理程序;2)修改TCP/IP网络处理程序中使用的参数
7、如何抵御广播放大攻击?
屏蔽IP定向广播的使用8、如何抵御以应用程序为攻击目标的DoS攻击?
一般要求修改被视为攻击目标的应用程序9、最根本、长期有效的抵御DoS攻击的方法是什么?
限制主机系统发送带有虚假源地址数据包的能力(RFC 2827)10、入侵检测系统包括哪三个逻辑组件?
传感器:负责收集数据分析器:负责确认是否发生了入侵
用户接口:用户接口使得用户能够查看系统输出或控制系统的行为
全部评论
(0) 回帖