思維導(dǎo)圖

系統(tǒng)安全概述

1.系統(tǒng)安全的演進

大型主機系統(tǒng)--網(wǎng)絡(luò)化系統(tǒng)--網(wǎng)絡(luò)空間生態(tài)系統(tǒng)

2.系統(tǒng)與系統(tǒng)安全

系統(tǒng)定義：一個系統(tǒng)是由相互作用或相互依賴的元素或成分構(gòu)成的某種類型的一個統(tǒng)一整體，其中的元素完整地關(guān)聯(lián)在一起，它們之間的這種關(guān)聯(lián)關(guān)系有別于它們與系統(tǒng)外其他元素之間可能存在的關(guān)系。
系統(tǒng)的安全性屬于系統(tǒng)層級所具有的涌現(xiàn)性屬性。

3.整體論與還原論

還原論與整體論相結(jié)合。
涌現(xiàn)性：指系統(tǒng)組成部分相互作用產(chǎn)生的組成部分所不具有的新特性，是不可還原的特性。
綜合特性：綜合特性可以通過系統(tǒng)組成部分的特性的綜合而得到，或者說綜合特性可以分解為系統(tǒng)組成部分的特性
。

4.系統(tǒng)安全思維

網(wǎng)絡(luò)空間系統(tǒng)安全兩大理念：保護對象，思維方法。
系統(tǒng)工程

系統(tǒng)安全原理

1.基本原則

1.限制性原則：最小特權(quán)原則，失敗-保險默認原則，完全仲裁原則，特權(quán)分離原則，信任最小化原則
2.簡單性原則：機制經(jīng)濟型原則，公共機制最小化原則，最小驚訝原則
3.方法性原則：公開設(shè)計原則，層次化原則，抽象化原則，模塊化原則，完全關(guān)聯(lián)原則，迭代設(shè)計原則

2.威脅建模

安全：指某物能本能地避免或抵御他物帶來的潛在傷害。
威脅：指給某物帶來傷害或損失的意圖。
風(fēng)險：指某物遭受傷害或損失的可能性。
威脅建模：標識潛在安全威脅并審視風(fēng)險緩解途徑的過程。

3.安全控制

訪問控制

4.安全監(jiān)測

主機入侵檢測：主機入侵系統(tǒng)運行在網(wǎng)絡(luò)環(huán)境中的單臺主機或設(shè)備上，它對流入和流出或設(shè)備的數(shù)據(jù)包進行監(jiān)測，一旦發(fā)現(xiàn)可疑行為就發(fā)出警告。
網(wǎng)絡(luò)入侵檢測：網(wǎng)絡(luò)入侵檢測系統(tǒng)部署在網(wǎng)絡(luò)中的策略性節(jié)點上，它對網(wǎng)絡(luò)中所有設(shè)備的流出和流入流量進行監(jiān)測，對通過整個·子網(wǎng)的流量進行分析，并與已知攻擊庫中的流量進行對比，識別出攻擊行為時，或感知到異常行為時，就發(fā)出警告。
1.基于入侵特征的入侵檢測
2.基于異常的入侵檢測

5.安全管理

系統(tǒng)安全結(jié)構(gòu)

1.硬件系統(tǒng)安全

1.硬件定義了內(nèi)核態(tài)（操作系統(tǒng)使用），用戶態(tài)（其他程序的使用），用戶態(tài)的程序不能影響內(nèi)核態(tài)的程序，使操作系統(tǒng)得到保護。
2.檢測篡改的發(fā)生，用于應(yīng)對篡改。
3。硬件安全是軟件安全的支撐。

2.操作系統(tǒng)安全

1.幫助建立一條可信的交互路徑，保證硬件設(shè)備的加密機制順利啟動，避免硬件加密機制被濫用
2.進行自主訪問控制，文件擁有者或者特定用戶組可確定任何用戶或用戶組對文件的權(quán)限
3.進行強制訪問控制，實現(xiàn)多級安全策略（MLS），如貝爾拉普度拉模型（BLP）
4.日志功能，有多個日志級別，從高到低：Emerg、Warning、Debug

3.數(shù)據(jù)庫系統(tǒng)安全

1.數(shù)據(jù)庫基本操作：查詢，修改，插入，刪除，授權(quán)用GRANT語句，撤銷權(quán)限用REVOKE語句
2.通過敏感級別把一張表分割成多張相互隔離的子表
3.數(shù)據(jù)推理威脅源自統(tǒng)計數(shù)據(jù)庫，數(shù)據(jù)庫的推理控制就是要阻止用戶根據(jù)公開發(fā)布的非敏感數(shù)據(jù)推導(dǎo)出不合法的敏感數(shù)據(jù)
4.典型威脅：SQL注入

4.應(yīng)用系統(tǒng)安全

1.服務(wù)端和客戶端
2.XSS攻擊

5.安全生態(tài)系統(tǒng)

互聯(lián)網(wǎng)生態(tài)系統(tǒng)的組成部分：域名和地址分配，開放標準分發(fā)，全球共享服務(wù)和運營，用戶，教育與能力建設(shè)，地方、地區(qū)、國家和全球政策制定。

教材學(xué)習(xí)過程中的問題和解決過程

問題1；SQL注入的原理和操作
問題1解決方案：詢問chatGPT，學(xué)習(xí)sqlmap的使用方法。

基于AI的學(xué)習(xí)