sim3 - HackMD

# sim3 https://taiwan.ul.com/201908_4/ https://community.boschsecurity.com/t5/Security-Video/How-to-create-LUNs-after-RAID-failure-DIVAR-IP-6000-7000/ta-p/16661 https://community.boschsecurity.com/t5/Security-Video/How-to-create-iSCSI-Virtual-Disk-LUNs-after-replacing-an-HDD-on/ta-p/27403 https://community.boschsecurity.com/t5/Security-Video/How-to-add-camera-in-VRM-and-display-images-in-Operator-Client/ta-p/19241 https://www.htcenter.com.tw/home-2/nutrition-iv.html =========== ![](https://hackmd.io/_uploads/B1fvsirE5.png) 攻击可能使用一种或多种技术。反射、放大和泛洪是 DDoS 攻击中最常用的技术。反射是一种通过操纵源地址发送未经请求的流量的技术，以便将响应反弹（反射）给受害者。放大是一种生成由小请求触发的大响应的技术。例如，典型 DNS 查询的 512 字节 PDU（协议数据单元）可以生成大约 20 倍于 DNS 查询的 DNS 响应。这取决于放大系数。泛洪是一种呈现大量请求以压倒受害者的技术。泛洪不一定采用反射或放大。例如，僵尸网络中的数十万僵尸可以直接向受害者发送流量，而无需使用欺骗的源地址。 NAP 和 NAC 以下是维基百科和 NIST 分别定义的 NAP 和 NAC 的定义： **网络访问保护 (NAP)** 是一项 Microsoft 技术，用于根据计算机的运行状况控制计算机的网络访问。（维基百科） **网络访问控制 (NAC)** 是某些防火墙提供的一项功能，它允许基于用户的凭据和远程办公客户端设备上执行的健康检查结果进行访问。( NIST ) ---------- ![](https://hackmd.io/_uploads/r1AWnsHEq.png) 强制访问控制 (MAC)功能将主体的安全许可与对象的安全标签进行比较以授权访问。MAC 可以基于Bell-Lappadula 模型或Brewer-Nash 模型（中国墙）实现机密性，或Biba 模型实现完整性。自主访问控制 (DAC)是根据数据所有者的判断授予授权的访问控制机制。授权安排可以存储在概念结构中，例如访问控制矩阵、ACL和容量表。数据所有者应在需要知道的基础上进行授权，遵循最小权限原则，并考虑利益冲突（COI）和职责分离。 RBAC、ABAC 和 RuBAC 也不依赖于安全许可。 ![](https://hackmd.io/_uploads/rkM93jBEc.png) **通用标准 (CC)** 通用标准 (CC) 没有像 TCSEC 那样规定安全功能要求 (SFR)和SAR（安全保证要求）。相反，开发了 PP（保护配置文件）和 ST（安全目标）来指定 SFR 和 SAR，这些 SFR 和 SAR 被分组为类、系列和组件。 **保护配置文件 (PP)** 国家信息保障合作伙伴 (NIAP) 批准了47 个保护配置文件，这些配置文件分为 24 种类型，例如应用程序软件、BIOS 更新、证书颁发机构、网络设备、防火墙、USB 闪存驱动器、Web 浏览器、无线 LAN 等等。所以，CC适用于各种IT产品。供应商可以基于 PP 开发 ST 并对其进行扩展。 **安全目标 (ST)** 在CC中，隐蔽信道的分辨率取决于ST是否包括隐蔽信道相关的SFR，例如信息流控制功能(FDP_IFF)。例如：应用软件的保护配置文件包括FDP 类中的一些 SFR ：用户数据保护，但不包括处理隐蔽通道的 SFR，FDP_IFF。给定一个具有 EAL 1 的应用软件和另一个具有 EAL 7 的应用软件，如果它们的 ST 基于应用软件的保护配置文件并且不扩展它，那么它们都不会处理隐蔽通道。 **评估保证等级 (EAL)** CC EAL（评估保证水平）不是由 SFR 直接确定的。EAL 由 SAR、评估的范围、深度和严格性决定。只有当两个产品具有基于同一组 PP 开发的相同 ST 范围时，EAL 的比较才有意义。如上所述，具有较高 EAL 的产品可能不一定像具有较低 EAL 的产品那样处理隐蔽通道。除了范围之外，评估的深度和严格程度也各不相同。例如，寻求 EAL1 的产品供应商将产品 (TOE) 提交给实验室。他们不需要参与评估。相反，实验室只根据产品手册对产品进行测试，测试不会进入内部设计。因此，如产品手册所述，EAL1 仅表示产品功能正常。然而，EAL7 是僵硬而深沉的。它需要并验证正式的设计。 -------------- **数据分类**是授权的基础；两者都强制执行数据的机密性。存储冗余保护数据的可用性。 **数据标记**也加强了数据的机密性。它适用于打印的报告或文档（静态数据）。但是，此问题将上下文限制为数据库或数字数据，而数据/安全标签更适合数字数据。此外，标签意味着实施强制访问控制（MAC）。除了军队之外，在数据库级别实现 MAC 的情况很少见。 ![](https://hackmd.io/_uploads/ByjPQ2SEq.png) 數據庫存流程(Data Inventory Process) 以下是GovEx Labs的數據清單流程示例： . 步驟1：建立監督機構 . 步驟2：確定數據清單範圍和計劃 . 步驟3：根據庫存計劃對數據資產進行分類 . 步驟4：數據庫存質量檢查 . 步驟5：啟動數據優先級劃分工作