資訊保安專業知識點大提綱

2021-07-03 20:05:50 字數 2085 閱讀 8523

一、資訊保安的保障標準(主體是資訊,從各種方面保證資訊的安全)

(1)保密性

網路安全解決措施網路安全解決措施資訊不洩露給非授權使用者、實體或過程,或供其利用的特性。

(2)完整性

資料未經授權不能進行改變的特性。即資訊在儲存或傳輸過程中保持不被修改、不被破壞和丟失的特性。

(3)可用性

可被授權實體訪問並按需求使用的特性。即當需要時能否訪問所需的資訊。例如網路環境下拒絕服務、破壞網路和有關系統的正常執行等都屬於對可用性的攻擊;

(4)可控性

對資訊的傳播及內容具有控制能力。

(5)可審查性

出現安全問題時提供依據與手段

二、安全服務

對等實體認證服務、訪問控**務、資料保密服務、資料完整性服務、資料來源點認證服務、禁止否認服務、安全機制。

三、 加密機制

數字簽名機制、訪問控制機制、資料完整性機制、認證機制、資訊流填充機制、路由控制機制、公證機制

四、主要的加密演算法(對稱加密速度快,靈活)

(1)非對稱加密:rsa、elgamal、揹包演算法、rabin、d-h、ecc(橢圓曲線加密演算法);

(2)對稱加密:des、3des、tdea、blowfish、rc2、rc4、rc5、idea、skipjack、aes;

(3)不可逆加密(摘要演算法):md5;

五、金鑰管理技術

(1)金鑰分發:a.證書中心  b.金鑰分發協議(diffie-hellman)

五、常見的攻擊方式(並不侷限於網路安全領域)

(1)重放攻擊:黑客擷取到資訊,並傳送乙個主機接受過的包來達到欺騙的目的,比如模擬登入。在沒有乙個動態驗證登入或者動態強度不夠大(資訊熵不夠大)的系統中,這類攻擊很容易生效。

(2)dos洪水攻擊:不停的傳送請求,耗盡目標系統的處理能力,達到無法為正常請求服務的目的。

(4)整數溢位攻擊:程式設計師沒有考慮到輸入資料的範圍和長度,造成整數溢位(低位擷取),這種錯很有可能改變程式的執行流程,比如你根據資料的大小進入不同的分支。嚴重時可能造成程式崩潰。

(5)url攻擊:web開發用get方式傳值(甚至是明文)的時候容易遭受這類攻擊,和sql注入攻擊一起用很容易會造成資訊洩漏後果。

(7)arp欺騙攻擊:偽裝網關或某台主機

(8)木馬病毒:現在這型別已經不太流行。

(9)釣魚**

六、作業系統安全

1.定義:安全作業系統是指計算機資訊系統在自主訪問控制、強制訪問控制、標記、身份鑑別、客體重用、審計、資料完整性、隱蔽通道分析、可信路徑、可信恢復等十個方面滿足相應的安全技術要求。 

2.安全作業系統主要特徵: (1 )最小特權原則,即每個特權使用者只擁有能進行他工作的權力;( 2)自主訪問控制;強制訪問控制,包括保密性訪問控制和完整性訪問控制; (3 )安全審計; (4 )安全域隔離。只要有了這些最底層的安全功能,各種混為「 應用軟體 」 的病毒、木馬程式、網路入侵和人為非法操作才能被真正抵制,因為它們違背了作業系統的安全規則,也就失去了執行的基礎。

七、資訊隱藏

把資訊隱藏在各種介質中,比如影象的畫素低位

八、常見的安全平台設計實踐建議

(1)最小特權原則(2)強力的備份機制(3)加密原則(利用硬體輔助加密)(4)隱藏原則,比如資料庫盡量對非必要人員隱藏,對一些運維人員只提供一些管理軟體運算元據庫完成運維工作。

六、具體到android的安全思考

(1)資訊的保密性:所有的資料都需要加密,這些資料有哪些呢? a.sharepreference   b.sqlite    c. 網路上傳播的資訊

(2)對等實體的驗證: 驗證是否是伺服器,驗證是否是客戶端,其實就是應抗重放攻擊,怎麼驗證?證書機制(非對稱加密)

(3)對外介面的安全:各種輸入資訊,要驗證其合法性 ,總之對外介面越少越好,比如activity的action的設定,無非必要不要設定,直接用顯示意圖呼叫,免得被人盜用。

(6)輸入法安全:如果有重要資訊,呼叫自己的輸入法控制項輸入。

(7)金鑰的管理:用來進行加密的金鑰  key儲存在本地是不行的,只能儲存在伺服器上的kmc(金鑰管理中心),客戶端每次需要從伺服器上獲取key,當然在網路傳輸的肯定不是key明文。

(8)contentprovider的使用是有風險的,如果你的資料儲存在資料庫中,那麼有可能產生sql注入。

根據物聯網提綱提煉的知識點 提綱和目錄

題型 判斷題 5 2分 多項選擇 10 2分 簡答題 6題,35 40分 問答題 3題,30 35分 第一章 物聯網體系結構 物聯網的概念 物聯網的總體架構 層次結構 物聯網關鍵技術 至少5項,與層次對應 第三章 自動識別技術 自動識別技術的概念 rfid技術原理 分類和系統構成 rfid電子標籤的...

web安全知識點

前端資料的不信任原則 對使用者輸入校驗包括 表單驗證 正規表示式規範資料 限制長度 轉換特殊字元 sql注入 不使用動態拼接sql 使用引數化的sql 使用儲存過程查詢訪問 管理員許可權資料庫連線 有限的資料庫連線 單獨許可權 機密資訊不可明文存放 加密或者hash xss 非法獲取使用者資訊 使用...

第3章 資訊系統整合技術專業知識(一)

1.資訊系統建設 1.1 資訊系統的生命週期 1.1.1 產生階段 也稱為資訊系統的概念階段 需求分析階段。可分為兩個過程 一是概念的產生,即提出初步的資訊系統建設設想 二是需求分析階段,即對企業資訊系統的需求進行深入的調研和分析,並形成需求分析報告 及 需求規格說明書 1.1.2 開發階段 這個階...