1.2.1 安全的相对性#

“安全”（Security）从来不是一个绝对的二元概念，而是一组 相对于威胁模型（Threat Model） 的属性。离开威胁模型谈”某系统是否安全”毫无意义。举例：

• 一把普通弹子锁对于小偷是”安全”的，但对于锁匠只需 30 秒；
• TLS 1.2 对大多数窃听者是安全的，但若攻击者能折中 CA 则不然；
• 沙箱对普通应用进程是安全的，但对拥有内核 0day 的对手则不是。

因此，设计安全系统的第一步 永远 是：

1. 列出谁会攻击你（威胁者 Threat Actor）？
2. 他有什么能力和资源（Capability / Resource）？
3. 他的动机（Motivation）？
4. 他的成本和预期收益（Cost vs. Reward）？

1.2.2 网络安全简史（必须知道的里程碑）#

学习建议：每周抽 1 小时读 1 个历史事件的 post-mortem（事后分析）。历史是最好的威胁情报。

1.2.3 为什么”网络安全是无尽的军备竞赛”？#

从经济学视角：

• 攻击者收益 = 漏洞价值 × 成功率 - 成本
• 防御者成本 = 资产价值 × 风险概率 + 防护投入
• 双方都在优化 “成本-收益”，结果形成 动态平衡：新防御驱动新攻击，新攻击又倒逼新防御。
• 这也是”安全投入永远不够”的根源——完美安全在经济上不可达。

1.3.1 CIA 三元组（最经典）#

CIA 的数学化理解（信息论视角）：

• 机密性 ≈ 让攻击者对原文的不确定性 $H(X|Z)$ 尽量接近 $H(X)$。
• 完整性 ≈ 让伪造概率 $\Pr[\text{Forge success}] \le \text{negl}(\lambda)$。
• 可用性 ≈ 系统在规定时间窗口内响应请求的 SLA。

1.3.2 DAD：CIA 的”反义词”（从攻击角度看）#

• Disclosure 泄露 ←→ Confidentiality
• Alteration 篡改 ←→ Integrity
• Destruction 破坏 ←→ Availability

DAD 特别适合做 风险描述：“如果数据库被 D 了，业务会怎么样？“

1.3.3 AAA / 3A：认证、授权、审计#

有些书把 Accountability 问责性 和 Non-repudiation 不可抵赖 并列。

1.3.4 Parkerian 六元组#

Donn B. Parker 认为 CIA 不够，补充三项：

• Authenticity 真实性：信息来源可验证（防伪造）。
• Possession / Control 占有性：信息的控制权（即便未”泄露”，被复制也算失控）。
• Utility 效用性：信息仍可被使用（加密了但忘了密钥 = 失去 Utility）。

典型例子：医院病历被加密勒索——未发生 Disclosure，但 Possession 和 Utility 都被破坏。

1.3.5 纵深防御（Defense in Depth）#

1
┌────────── 物理安全（机房、门禁、监控）──────────┐
2
│ ┌──────── 边界（防火墙、IPS、WAF）────────┐ │
3
│ │ ┌────── 网络分段（VLAN、零信任、SDP）──┐ │ │
4
│ │ │ ┌──── 主机（EDR、HIDS、加固）────┐ │ │ │
5
│ │ │ │ ┌── 应用（RASP、SAST/DAST）─┐ │ │ │ │
6
│ │ │ │ │ ┌ 数据（加密、脱敏、DLP）┐│ │ │ │ │
7
│ │ │ │ │ │   用户教育 / 流程 / 合规 │ │ │ │ │
8
│ │ │ │ │ └───────────────────────┘│ │ │ │ │
9
│ │ │ │ └──────────────────────────┘ │ │ │ │
10
│ │ │ └──────────────────────────────┘ │ │ │
11
│ │ └────────────────────────────────────┘ │ │
12
│ └──────────────────────────────────────────┘ │
13
└────────────────────────────────────────────────┘

原则：任何一层失守，其它层仍应能阻挡或拖延攻击。这是工程上”不把鸡蛋放在一个篮子”的体现。

1.3.6 最小特权原则（Principle of Least Privilege, POLP）#

每个主体只被授予完成其功能所需的最小权限集合。

数学表达（Bell-LaPadula / Biba 的前身）：

• 对主体 $S$，客体 $O$，操作 $a$，授权集 $\Pi(S, O) \subseteq \mathcal{A}$。
• 设计目标：

工程落地：RBAC → ABAC / PBAC → JIT（Just-in-Time）→ 零信任 per-request 授权。

1.4.1 STRIDE（Microsoft）#

STRIDE 把威胁分成 6 类：

1.4.2 STRIDE-per-Element（实际做法）#

对每个 数据流图（DFD） 元素：外部实体 / 进程 / 数据存储 / 数据流，逐类看 STRIDE 是否适用：

• 日志类存储特别关心抵赖。

1.4.3 DREAD（风险打分）#

每项威胁用 D+R+E+A+D 评 1-10：

• Damage：成功利用后伤害多大
• Reproducibility：攻击可重复程度
• Exploitability：利用难度
• Affected users：影响用户范围
• Discoverability：漏洞被发现难度

DREAD 分数 = 平均值，划为 L / M / H。它被批评”主观性大”，但作为内部统一打分仍然实用。

1.4.4 PASTA（Process for Attack Simulation and Threat Analysis）#

7 个阶段，偏实战：

1. 定义业务目标与合规
2. 定义技术范围
3. 应用分解（DFD、组件、信任边界）
4. 威胁分析（外部情报 → 本系统）
5. 漏洞与弱点分析
6. 攻击建模（杀链、ATT&CK）
7. 风险与对策分析

1.4.5 LINDDUN（隐私专用威胁建模）#

• Linkability
• Identifiability
• Non-repudiation（对用户而言是负面属性）
• Detectability
• Disclosure of information
• Unawareness
• Non-compliance

LINDDUN 是 GDPR / PIPL 时代强有力的隐私威胁工具。

1.4.6 Attack Tree（攻击树）#

Bruce Schneier 1999 年提出。用树形展开”达成某目标的所有可能路径”。根节点是目标，子节点是子目标或具体攻击，叶子可以标注成本、可行性、检测难度。

1
目标：获取银行账号
2
├── 线下
3
│   ├── 偷卡 + 看输入密码 (成本低/需物理)
4
│   └── 偷钱包
5
├── 线上
6
│   ├── 钓鱼邮件 (成本低/需社工)
7
│   ├── 入侵银行 APP
8
│   │   ├── 逆向并伪造签名 (难)
9
│   │   └── 中间人劫持 (需 CA 漏洞)
10
│   └── 入侵数据库 (高价值目标)

1.4.7 威胁建模建议的产出物#

1. 系统数据流图（DFD，含信任边界）
2. 威胁清单（Threat ID、描述、类型、影响、当前缓解、剩余风险）
3. 风险矩阵（概率 × 影响）
4. 验收测试用例（Security Test Cases）

1.5.1 风险公式（定性）#

更通用的形式（考虑既有控制）：

1.5.2 FAIR（Factor Analysis of Information Risk，定量）#

FAIR 把风险定量拆解为：

1
Risk (损失额/年)
2
 ├── Loss Event Frequency (LEF, 次/年)
3
 │    ├── Threat Event Frequency (TEF)
4
 │    │    ├── Contact Frequency
5
 │    │    └── Probability of Action
6
 │    └── Vulnerability
7
 │         ├── Threat Capability
8
 │         └── Resistance Strength
9
 └── Loss Magnitude (LM, $/次)
10
      ├── Primary Loss (直接)
11
      └── Secondary Loss (品牌、合规罚款、诉讼)

优点：能与业务 / 管理层用 金额 沟通。

1.5.3 NIST RMF 六步法#

1. Categorize 系统分级
2. Select 选择控制
3. Implement 实施控制
4. Assess 评估效果
5. Authorize 授权运行
6. Monitor 持续监控

1.5.4 风险处置四策略#

1.5.5 风险矩阵（示例）#

1.6.1 DAC / MAC / RBAC / ABAC#

1.6.2 经典安全模型（考试常考）#

• Bell–LaPadula (BLP)：关注 机密性，两条规则：
  • 简单安全性（Simple Security Property，No Read Up）：$S$ 的级别 $\ge O$ 才能读。
  • *-Property（No Write Down）：$S$ 的级别 $\le O$ 才能写（防止高密往低密泄漏）。
• Biba：关注 完整性，与 BLP 对称：
  • No Write Up：不能往高完整性对象写。
  • No Read Down：不能读低完整性对象。
• Clark–Wilson：商业环境完整性（三元组：User / TP / CDI）。
• Brewer–Nash (Chinese Wall)：防利益冲突，典型场景：投行、律所。
• Lattice-Based：BLP/Biba 的一般化，安全标签构成格。

1.6.3 访问矩阵与能力（Capability）#

访问矩阵 $M[S, O]$：行是主体，列是客体，单元格是允许操作集合。

• 按行存：Capability List（对象叫 Capability，类似”钥匙”）。
• 按列存：Access Control List (ACL)（典型文件系统）。

工业实现：

• POSIX ACL、Windows DACL/SACL = ACL 式
• POSIX capabilities(7)、Linux seccomp、Wasm capability = Capability 式

1.8.1 Lockheed Martin Cyber Kill Chain#

1. Reconnaissance 侦察：OSINT、扫描、子域枚举。
2. Weaponization 武器化：把 exploit 和 payload 组装成可投递文件（例如带宏的 Word）。
3. Delivery 投递：邮件、水坑、U 盘。
4. Exploitation 利用：触发漏洞执行代码。
5. Installation 植入：落地后门、植入 RAT。
6. Command & Control C2：建立外连通道。
7. Actions on Objectives 目标达成：数据外带、破坏、横向。

局限：线性、防御视角、缺少内网横向。

1.8.2 Unified Kill Chain（18 阶段）#

Paul Pols 整合 Kill Chain + ATT&CK + 内网阶段，更贴合现代 APT。分 In（外到内）/ Through（内部横向）/ Out（达成目标） 三段。

1.8.3 Diamond Model（钻石模型）#

四个顶点描述事件：

• Adversary 对手
• Capability 能力（工具、恶意代码）
• Infrastructure 基础设施（C2、跳板）
• Victim 受害者

“事件”是四者的关联。便于 情报分析师 跨事件聚类对手家族（如 APT29、Lazarus）。

1.8.4 MITRE ATT&CK（当前事实标准）#

• 14 个 战术 (Tactics)：TA0043 Reconnaissance、TA0042 Resource Development、TA0001 Initial Access … TA0040 Impact。
• 600+ 技术 / 子技术 (Techniques / Sub-techniques)：如 T1566 Phishing、T1055 Process Injection。
• Procedures：具体家族 / 活动组实际使用的代码实现。
• 三大矩阵：Enterprise（Windows/Mac/Linux/Cloud/Containers）、Mobile、ICS。

ATT&CK 的用法：

1. 映射攻击：把每次入侵步骤打上 TID。
2. 评估覆盖：用 ATT&CK Navigator 画热力图，找盲区。
3. 红蓝演练：Atomic Red Team / Caldera 按 TID 自动触发。
4. 产品选型：对比 EDR / SIEM 在各 TID 上的检出率。

1.8.5 Pyramid of Pain（David Bianco）#

IOC 按”让对手更痛”的顺序从下到上：

1
TTPs (战术/技术/过程)   ←← 换这层对手要重构体系（最痛）
2
Tools 工具
3
Network/Host Artifacts  ←← 例如注册表键、User-Agent
4
Domain Names / IPs
5
Hash Values             ←← 换一个字节就绕过（最不痛）

结论：基于行为 (TTP) 的检测 > 基于样本 hash 的拦截。

1.10.1 中华人民共和国相关法律（必读）#

1.10.2 国外常见法律#

• 美国 CFAA (Computer Fraud and Abuse Act)：未授权访问最高 20 年。
• 美国 DMCA § 1201：禁止绕过 DRM（研究有例外，但实务仍风险）。
• 欧盟 GDPR：数据保护，最高 2000 万欧 / 全球营收 4%。
• 欧盟 NIS2：关键实体网络安全。
• 新加坡 Cybersecurity Act、英国 Computer Misuse Act。

1.10.3 伦理红线（个人检查清单）#

• 是否有 书面授权（SOW / ROE）？
• 是否只在 约定范围 内测试？
• 是否避免了 真实用户数据 的下载 / 传播？
• 发现漏洞后是否走 负责任披露（Responsible Disclosure）流程？
• 出海行为是否符合 目的国 法律？
• 是否愿意把自己今天做的事写进履历？（“Tech Twitter Test”）

1.10.4 漏洞披露伦理#

• Full Disclosure：立即公开所有细节（争议大）。
• Responsible / Coordinated Disclosure：先通知厂商 + 合理修复窗口 → 公开。
• Bug Bounty：在 Bugcrowd、HackerOne、国内补天 / SRC。
• 中国：CNVD、CNNVD、CNCERT 通道。
• 2022《网络产品安全漏洞管理规定》：发现漏洞 不得擅自公开，应 48h 内报告。

1.11.1 新手三问#

1. 我的目标是？ CTF / 企业蓝队 / 渗透测试 / 研究 / 安全产品开发 / CISO 管理？
2. 我的基础是？ 编程年限？网络协议？OS？算法？数学？
3. 我的时间预算？ 每天 1h 与 3h，18 个月能到的位置差一个数量级。

1.11.2 典型路径（每条路径附加配套书籍）#

1.11.3 T 字形成长#

• 横向：所有方向的基础（网络 / OS / 编程 / 密码）都要有。
• 纵向：选 1~2 个方向深钻。
• 顶级的安全人都是 “横足够宽 + 某几根竖足够深”。

1.11.4 学习节奏（示例：每天 1.5h 的上班族）#

1
Mon-Fri  每天 1h 理论 + 30 min 工具练习
2
Sat      3-4h 综合靶场（HTB/TryHackMe）
3
Sun      1h 复盘 + 写博客 + 读 CVE 情报

半年后应达到：

• 能独立拿下 HTB Easy 难度
• 能读懂 CVE advisory 并复现
• 能面 “安全工程师初级” 岗位

1.12.1 操作系统#

• Kali Linux 或 ParrotOS（攻击方训练）
• Ubuntu / Debian 最新 LTS（日常 + 蓝队）
• Windows 10/11 带 WSL2（AD 靶场必备）
• Flare-VM（恶意代码分析专用 Win 发行版）

1.12.2 最小化攻击方工具集#

• Burp Suite Community / Pro
• nmap / masscan / subfinder / httpx / nuclei
• Metasploit Framework
• sqlmap、ffuf、gobuster、dirsearch
• Hydra、John the Ripper、Hashcat
• pwntools、gdb + pwndbg
• Ghidra / IDA Free / Cutter

1.12.3 最小化防守方工具集#

• Wireshark / tcpdump / tshark / Zeek
• Sysmon + Winlogbeat
• Elastic Stack (ELK)
• osquery / Velociraptor / Wazuh
• Volatility 3 / Autopsy / Sleuthkit
• Yara / Sigma / Kunai

1.12.4 共通（编程与自动化）#

• Python 3.12+（requests、scapy、pwntools、impacket）
• Go（ProjectDiscovery 生态）
• Bash、PowerShell
• Docker / docker-compose
• Git 熟练
• 英语阅读（90% 高质量资料都是英文）

1.15.1 官方文档#

• NIST SP 800-53 Rev.5（控制库）
• NIST SP 800-207（零信任）
• NIST SP 800-61（事件响应）
• NIST SP 800-115（安全测试）
• NIST CSF 2.0
• ISO/IEC 27001:2022、27005:2022（风险）
• MITRE ATT&CK v15+、D3FEND
• CIS Benchmarks（Linux、Windows、K8s、Cloud）

1.15.2 书籍#

• Ross Anderson《Security Engineering》第 3 版（安全工程圣经，免费 PDF）
• Bruce Schneier《Secrets and Lies》《Applied Cryptography》
• Michal Zalewski《Silence on the Wire》《The Tangled Web》
• Parker《Fighting Computer Crime》

1.15.3 期刊 / 会议 / 博客#

• 学术：USENIX Security、IEEE S&P、ACM CCS、NDSS
• 工业：Black Hat、DEF CON、RSA、KCon、Tianfu Cup
• 博客：Krebs on Security、Schneier on Security、Troy Hunt、360/奇安信/知道创宇博客
• Newsletter：Risky Business、TLDR Infosec、SANS NewsBites

1.15.4 必看视频 / 课程#

• Stanford CS155（Web / Systems Security）
• CMU 15-330 Computer Security
• LiveOverflow 视频系列
• IppSec（HTB walkthrough）
• John Hammond（Malware + CTF）