网站信息抽查评估/seo下拉优化
思维导图:
前言:
第1章: 计算机与网络安全概念笔记
1. 学习目标
- 了解保密性、完整性和可用性的关键安全需求。
- 了解OSI的X.800安全架构。
- 识别和举例说明不同的安全威胁和攻击。
- 掌握安全设计的基本准则。
- 熟悉攻击面和攻击树的使用。
- 了解与密码标准相关的主要组织。
2. 密码技术
-
本书将主要讨论:
- 广泛使用的密码算法与协议。
- 依赖于密码技术的网络和Internet安全。
-
密码算法与协议分为:
- 对称加密: 加密任意大小的数据块或数据流。
- 非对称加密: 加密小数据块,如数字签名中使用的散列函数值。
- 数据完整性算法: 保护数据内容不被修改。
- 认证协议: 用于验证实体身份的基于密码的方案。
3. 网络安全
- 网络安全的目标是防止、检测和纠正信息传输中的安全违规行为。
- 安全违规行为示例:
- 用户C截获用户A向用户B发送的敏感文件。
- 用户F篡改网络管理员D的消息,误导计算机E更新权限。
- 用户F伪造管理员D的消息并误导计算机E。
- 被解雇的雇员截获注销账号的消息,延迟其执行,以便获取敏感信息。
- 顾客否认向股票经纪人发送的投资请求消息。
以上例子展示了网络安全的复杂性和范围。
我的理解:
-
核心主题:这一章关注计算机和网络的安全概念。
-
安全的三要素:
- 保密性:确保信息只能被授权的用户访问。
- 完整性:确保信息在传输或存储过程中不被篡改。
- 可用性:确保授权的用户可以随时访问信息和资源。
-
安全框架:学习者将被介绍到OSI的X.800安全架构。
-
安全威胁和攻击:本章将讨论各种安全威胁和攻击的类型,并给出相应的实例。
-
密码技术:
- 本书将重点关注密码算法与协议以及它们在网络和Internet安全中的应用。
- 分类:
- 对称加密:用于加密大量数据。
- 非对称加密:用于加密小数据块。
- 数据完整性算法:确保数据的完整性。
- 认证协议:验证实体的身份。
-
网络安全违规行为:提供了一系列网络安全违规行为的实例,展示了网络安全的复杂性和范围。
通过这种方式,前言为读者提供了一个对本章将要探讨的主题和子主题的概览。这有助于读者为深入学习做好准备,并为他们提供了一个参考框架,以便更好地理解接下来的内容。
1.1.1 计算机安全的定义
- 来源:NST的《计算机安全手册》NIST99。
- 定义:计算机安全指对自动化信息系统采取的保护措施,确保信息系统资源的完整性、可用性和保密性。
三大关键目标:(CIA三元组)
- 保密性:确保隐私或秘密信息不被非授权者泄露或使用。
- 数据保密性:主要针对信息内容。
- 隐私性:关乎个人数据的收集、存储和公开方式。
- 完整性:确保数据和系统不被非授权地改变或操纵。
- 数据完整性:信息和程序仅以授权的方式改变。
- 系统完整性:系统执行预定功能,避免非授权操纵。
- 可用性:确保系统快速工作,并始终对授权用户开放。
CIA三元组细节:
- 保密性:限制信息的访问和公开,保护隐私和机密信息。其缺失是信息的非授权泄露。
- 完整性:防止信息的非授权修改或破坏,保障信息的真实性和不可否认性。其缺失是信息的非授权修改和毁坏。
- 可用性:确保信息能及时、可靠地被访问和使用。其缺失是访问和使用的中断。
其他重要的安全概念:
- 真实性(Authenticity):实体或信息的真实性和可信度。能验证用户身份和输入来源。
- 可追溯性(Accountability):实体行为可以被追溯,支持不可否认性、阻止、隔离、入侵检测和预防、事后恢复和法律诉讼。目的是追查安全泄露的责任方。
备注:RFC4949区分了“信息”和“数据”,但安全文献和本书不作此区分。
我的理解:
-
计算机安全的定义:简而言之,计算机安全就是采用措施来保护自动化信息系统中的资源,如硬件、软件、数据和通信,从而确保这些资源的完整性、可用性和保密性。这意味着需要防止非授权的访问、修改或破坏。
-
CIA三元组:CIA代表计算机安全的三大核心目标。
- 保密性:这是关于信息的私密性。保密性确保敏感的信息不会被非授权者访问或使用。这不仅涉及信息本身的保护,还涉及对个人隐私的尊重。
- 完整性:这确保信息和系统不被非授权地改变。信息和系统的完整性是关于数据的正确性和系统正常运行的保证,防止被恶意修改或损坏。
- 可用性:它确保信息和系统是可访问和可用的,意味着授权的用户可以随时访问他们需要的信息,而不会受到服务中断的影响。
-
额外的安全概念:
- 真实性:这与验证某个实体或信息的真实性和信任度有关。例如,验证一个在线用户是否真的是他声称的那个人。
- 可追溯性:这涉及到对实体行为的记录和追踪,使其可以在事后被审查或分析。这对于确定安全事件的原因和责任方非常重要。
总体来说,本节为我们提供了计算机安全的基础框架,帮助我们理解保护信息系统资源的重要性和怎样去保护它们。在现代社会,随着技术的快速发展和对数据的依赖增加,理解这些基本概念变得尤为重要。
1.1.2 例子
-
安全涵件的影响层次:
- 低:损失造成的负面影响有限。
- 例如:可能导致任务执行能力略微降低,资产小幅损失,经济损失小,个人受到的伤害很小。
- 中:损失造成组织和个人有严重的负面影响。
- 例如:任务执行能力显著降低,资产显著损失,经济损失大,个人受到显著伤害但非致命。
- 高:损失对组织和个人有灾难性影响。
- 例如:任务执行能力严重降低,大部分资产损失,大量经济损失,个人受到严重或致命伤害。
- 低:损失造成的负面影响有限。
-
保密性:
- 学生分数:高保密等级。受FERPA法案管理,主要由学生、家长和学校员工访问。
- 学生注册信息:中等保密等级。受FERPA管理,但相比分数信息,被更多人访问。
- 目录信息(如学生/老师名单):低或无保密等级。对公众开放。
-
完整性:
- 医院数据库的病人过敏信息:高完整性要求。错误的信息可能导致严重伤害或病人死亡。
- Web站点论坛:中等完整性要求。如网站仅用于娱乐,则潜在风险较低。
- 匿名在线民意调查:低完整性要求。这些调查通常不准确且非科学。
-
可用性:
- 关键系统的认证服务:高可用性要求。服务中断会导致大量经济损失。
- 大学公共网站:中等可用性要求。虽不是关键系统,但中断仍造成困境。
- 在线电话目录查询:低可用性要求。有其他获取信息的方式,如纸质电话簿。
我的理解:
-
三个安全属性的影响层次:
- 信息安全事件可能对组织和个人带来不同程度的影响,从“低”到“中”再到“高”不断升级,涉及任务执行、资产损失、经济损失及对个人的伤害。
-
保密性:
- 保密性关心信息不被未授权的人访问。在例子中,学生的分数被视为高度敏感的信息,因为泄露会对学生造成伤害。而目录信息,如学生或老师的名单,公开性较高,保密性要求则较低。
-
完整性:
- 完整性确保信息不被篡改,并保持其真实性。在例子中,医院中的病人过敏信息要求有高完整性,因为错误的信息可能导致病人受到伤害。而对于在线民意调查,由于其非正式、非科学的性质,对完整性的要求则相对较低。
-
可用性:
- 可用性关心信息和资源在需要时可被访问。关键系统的认证服务是高可用性的例子,因为中断可能导致巨大的经济损失。而对于在线电话目录查询,尽管其可用性重要,但相对来说影响较小,因为还有其他方式可以查询到电话信息。
总之,这一节通过具体的应用例子,帮助读者理解和区分信息安全中的三大属性,并意识到不同的应用和资产可能对这三个属性有不同程度的要求。这有助于在实际工作中根据情境制定合适的安全策略和措施。
1.1.3 计算机安全的挑战
计算机和网络安全充满吸引力但同时也十分复杂。其复杂性来源于以下挑战:
-
直观上的复杂性:虽然安全服务的要求似乎很直接(例如保密性、认证、不可否认或完整性),但实现这些要求的机制却非常复杂。
-
预测潜在攻击:当设计特定的安全机制或算法时,必须考虑各种可能的攻击。攻击者可能利用设计中未预见到的弱点。
-
安全服务的非直观性:提供特定安全服务的方法并不总是直接明显的。真正有效的安全机制需要经过深思熟虑的设计。
-
确定安全机制的位置:设计了安全机制后,问题变为在哪里实施这些机制,这包括物理位置(如网络中的位置)和逻辑位置(如在哪个网络协议层)。
-
处理多种算法和协议:安全机制可以使用多种算法或协议,这些机制常常需要某些秘密信息(如加密密钥),带来了与这些信息的生成、分发和保护等相关的问题。
-
入侵者与设计者之间的战争:安全常常是一个持续的战争,入侵者只需要找到一个弱点,而设计者则需要找出并修复所有的弱点。
-
对安全投资的认知:许多人只有在安全事件发生后,才会意识到安全的重要性。
-
安全的持续监管:在当今繁忙的环境中,持续的安全监管变得困难。
-
安全常作为事后措施:安全往往在系统设计完成后才被考虑,而不是一开始就纳入系统设计。
-
安全与效率/便利性的权衡:许多用户和管理员认为强大的安全措施可能会妨碍系统的效率或用户体验。
总之,计算机和网络安全面临许多困难和挑战,这也是为什么深入理解和实施有效的安全策略如此重要的原因。
-
直观与实际的差异:虽然安全的需求看起来简单明了,但实现这些需求的技术和方法却非常复杂。
-
预测攻击:在设计安全机制时,必须考虑所有可能的攻击手段,因为攻击者可能会找到并利用设计中的弱点。
-
安全方法的复杂性:提供安全服务的方式并不总是明显的,必须深入思考。
-
确定部署位置:一旦创建了安全机制,还需确定在网络的哪个位置或协议层级上应用它。
-
算法与协议的复杂性:安全机制有多种可能的算法和协议,每种都有其秘密信息(如密钥)的管理问题。
-
不断的战斗:安全是一个持续的过程,设计者需要不断修补漏洞,而入侵者只需找到一个弱点。
-
安全意识的缺失:很多人只有在遭受安全威胁后才认识到安全的重要性。
-
持续的监管需求:保持安全需要持续的监督,这在当前忙碌的环境中是个挑战。
-
后期加入的安全:很多系统在设计后才考虑加入安全措施,而非从开始就考虑。
-
安全与便利的权衡:很多人认为过于强大的安全措施会降低系统的效率或用户体验。
总之,这节内容强调了计算机和网络安全的重要性和复杂性,以及实施安全措施时可能遇到的各种挑战。
相关文章:
1.1 计算机安全概念
思维导图: 前言: 第1章: 计算机与网络安全概念笔记 1. 学习目标 了解保密性、完整性和可用性的关键安全需求。了解OSI的X.800安全架构。识别和举例说明不同的安全威胁和攻击。掌握安全设计的基本准则。熟悉攻击面和攻击树的使用。了解与密码标准相关的…...
react中的函数柯里化
函数柯里化是一种将接受多个参数的函数转化为一系列接受单一参数的函数的技术。在React开发中,函数柯里化可以帮助我们更好地组织组件的代码,使其具有更好的可读性和可复用性。 一个简单的函数柯里化示例: function add(a) {return functio…...
Unity点乘的实战案例1
向量的点乘,也叫向量的内积、数量积,对两个向量执行点乘运算,就是对这两个向量对应位一一相乘之后求和的操作,点乘的结果是一个标量。点乘,也叫数量积。结果是一个向量在另一个向量方向上投影的长度,是一个标量。 • …...
Hive数据查询详解
本专栏案例数据集链接: https://download.csdn.net/download/shangjg03/88478038 1.数据准备 为了演示查询操作,这里需要预先创建三张表,并加载测试数据。 1.1 员工表 -- 建表语句CREATE TABLE emp(empno INT, -- 员工表编号ename STRING, -- 员工姓名...
人工智能基础_机器学习008_使用正规方程_损失函数进行计算_一元一次和二元一次方程演示_sklearn线性回归演示---人工智能工作笔记0048
自然界很多都是正态分布的,身高,年龄,体重...但是财富不是. 然后我们来看一下这个y = wx+b 线性回归方程. 然后我们用上面的代码演示. 可以看到首先import numpy as np 导入numby 数据计算库 import matplotlib.pyplot as plt 然后导入图形画的库 然后: X = np.linspace(0,…...
【详细】Java网络通信 TCP、UDP、InetAddress
一、网络程序设计基础 1.局域网与因特网 为了实现两台计算机的通信,必须用一个网络线路连接两台计算机(服务器<-->网络<-->客户机)。 服务器是指提供信息的计算机或程序,客户机是指请求信息的计算机或程序。网络用…...
Linux(Centos7)操作记录
1、nginx -t #Nginx配置文件检查 上述截图代表检查没问题 上述截图检查配置文件配置错误,并提示错误文件位置 2、systemctl restart nginx #重启Nginx 重启Nginx失败 3、systemctl status nginx.service #查看Nginx服务状态 80端口被占导致服务启动失败 4、n…...
Vue全局事件总线实现任意组件间通信
一、安装全局事件总线 全局事件总线就像是一个工具,专门用于挂载自定义事件和。 想要所有的组件都能使用这个全局事件总线,就只有在Vue的原型身上添加一个能够绑定自定义事件的属性。 所以我们在创建Vue实例对象的时候就可以添加如下代码:…...
linux-tools-$(uname -r) linux-headers-$(uname -r)工具安装:
linux-tools-$(uname -r) linux-headers-$(uname -r)工具安装: ebpfebpf-virtual-machine:~$ sudo apt-get install linux-tools-$(uname -r) [sudo] ebpf 的密码: 正在读取软件包列表... 完成 正在分析软件包的依赖关系树... 完成 正在读取状态信息... 完成 linux…...
hive sql,年月日 时分秒格式的数据,以15分钟为时间段,找出每一条数据所在时间段的上下界限时间值(15分钟分区)
获取当前的年月日 时分秒 select date_format(current_timestamp(), yyyy-MM-dd HH:mm:ss)date_format(时间字段, ‘yyyy-MM-dd HH:mm:ss’) 将时间字段转为 2023-10-18 18:14:16 这种格式 在指定时间上增加15分钟 select from_unixtime(unix_timestamp(current_timestamp(…...
C#学习系列之继承
C#学习系列之继承 啰嗦继承使用特殊基类隐藏方法实际使用总结 啰嗦 基础学习。 继承 一个类派生于另一个基类型,它拥有该基础类型的所有成员字段和函数。A派生于B,继承A的所有东西,同时可以增加自己的东西。 使用 public class parent {p…...
PyTorch入门学习(六):神经网络的基本骨架使用
目录 一、引言 二、创建神经网络骨架 三、执行前向传播 一、引言 神经网络是深度学习的基础。在PyTorch中,可以使用nn.Module类创建自定义神经网络模型。本文将演示如何创建一个简单的神经网络骨架并执行前向传播操作。 二、创建神经网络骨架 首先,…...
“体检报告健康解读技术传承人”授牌仪式圆满结束
2023年10月,全国卫生健康技术推广传承项目办公室将体检报告健康解读技术传承人证书授予中山大学麻醉学硕士、副主任医师、医说友道创始人许才燕医生。 10月13日,许才燕医生团队在广东佛山举行“解读体检报告 重构健康生态”体检报告健康解读技术传承人授…...
查询计算机GUID码
如何查询计算机GUID码(全局唯一标识符) 1.快键键WINR进入注册表 2.找到\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography路径 3.双击MachineGuid项即可显示计算机GUID码...
MediaPlayer+TextureView实现视频播放功能
前面写一些基础知识的学习,这篇写个小demo,实现视频循环播放功能。 1、xml代码: <TextureViewandroid:id"id/textureView"android:layout_width"600px"android:layout_height"400px"android:focusable&quo…...
webpack 优化
打包优化 webpack 优化1、依赖转化,兼容低版本浏览器2、生产环境关闭sourceMap3、打包输出目录名称修改和静态资源的存放4、修改图标5、修改webpack配置5-1、写在此处的配置可以覆盖掉脚手架本来就预设上有的配置5-2、写在此处的都是预设没有配置的,脚手…...
保障 Golang 项目安全的最佳实践
对任何项目来说,安全都是一个永恒的话题,本文详细讲解一下保障 Golang 项目的安全性需要遵循一些最佳实践。 对源代码和构建出的二进制文件做全面的安全扫描 定期对源代码和二进制文件进行全面的安全扫描,查找漏洞,以便及早识别…...
PG物理备份与恢复之pg_basebackup
PG物理备份与恢复之pg_basebackup 开启WAL日志归档pg_basebackup备份工具全库恢复:recovery.conf 🐘 数据库版本:PostgreSQL 10.4 开启WAL日志归档 通过数据库的全量备份和WAL日志,可以将数据库恢复到任意时间点。每个WAL日志文件…...
npm : 无法将“npm”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。请检查名称的拼写,如果包括路径,请确保路径正确,然后再试一次。
1 bug描述 使用vscode执行npm run dev指令时出现 “npm : 无法将“npm”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。请检查名称的拼写,如果包括路径,请确保路径正确,然后再试一次 “ 的错误提示,原因是系统里没有安装n…...
Android 13.0 通过驱动实现禁用usb鼠标和usb键盘功能
1.概述 在13.0的系统产品定制化开发中,在进行定制中有关于usb键盘和usb鼠标的需求中,产品要求禁止usb口挂载usb鼠标和usb键盘,所以需要要求在usb挂载类型的时候 判断如果是usb鼠标和usb键盘就不让挂载,这就需要从驱动方面入手来解决这个问题,接下来看下驱动的某些挂载usb…...
Ubuntu 22.04配置/etc/rc.local开机自启文件
1.查看系统版本 rootbogon-virtual-machine:~# lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 22.04 LTS Release: 22.04 Codename: jammy rootbogon-virtual-machine:~ 2. 解决 /etc/rc.local 开机启动问题 看rc-loc…...
python爬虫之正则表达式解析实战
文章目录 1. 图片爬取流程分析2. 实现代码—爬取家常菜图片 1. 图片爬取流程分析 先获取网址,URL:https://www.xiachufang.com/category/40076/ 定位想要爬取的内容使用正则表达式爬取导入模块指定URLUA伪装(模拟浏览器)发起请求…...
什么是虚拟dom?
虚拟DOM是利用js描述元素与元素的关系,用js对象来表示真实的dom树结构,创建一个虚拟的dom对象。 虚拟DOM的原理是根据真实DOM生成一个js对象,里面有元素、属性和文本,这些与真实DOM中的元素、属性、文本一一对应。虚拟DOM可以更好…...
大数据学习(18)-任务并行度优化
&&大数据学习&& 🔥系列专栏: 👑哲学语录: 承认自己的无知,乃是开启智慧的大门 💖如果觉得博主的文章还不错的话,请点赞👍收藏⭐️留言📝支持一下博主哦ᾑ…...
C++学习笔记之四(标准库、标准模板库、vector类)
C 1、C标准库2、C标准模板库2.1、vector2.1.1、vector与array2.1.2、vector与函数对象2.1.3、vector与迭代器2.1.4、vector与算法 1、C标准库 C C C标准库指的是标准程序库( S t a n d a r d Standard Standard L i b a r a y Libaray Libaray),它定义了十个大类…...
IDEA部署SSM项目mysql数据库MAVEN项目部署教程
如果 SSM 项目是基于 Maven 构建的,则需要配置 maven 环境,否则跳过这一步 步骤一:配置 Maven 第一步:用 IDEA 打开项目,准备配置 maven 环境 ,当然如果本地没有提前配置好 maven,就用 IDEA 默…...
uniapp 将流转化为视频并播放 微信小程序
该问题最关键的一步是将后端传回来的流,转化成视频,并播放。 1、从服务器请求数据流到前端 2、新建一个临时文件,将数据流写入这个文件里面,并自定义路径命名。 const fs wx.getFileSystemManager(); //获取全局唯一的文件管理…...
【软考】系统集成项目管理工程师(十)项目质量管理【3分】
一、质量概念 1、定义 国际:反应实体满足主体明确和隐含需求的能力的特性总和 国内:一组固有特性满足要求的程度 2、质量与等级 质量:作为实现的性能或成果,是一系列内在特性满足要求的程度ISO9000 等级:作为设计意…...
七层负载均衡 HAproxy
一、HAproxy 1、负载均衡类型: (1) 无负载均衡: 没有负载均衡,用户直接连接到 Web 服务器。当许多用户同时访问服务器时,可能无法连接。 (2) 四层负载均衡: 用户访问负载均衡器,负载均衡器将用户的请求…...
SQL SELECT TOP, LIMIT, ROWNUM
SQL SELECT TOP 子句 SELECT TOP 子句用于指定要返回的记录数量。 SELECT TOP子句在包含数千条记录的大型表上很有用。返回大量记录会影响性能。 注:并不是所有的数据库系统都支持SELECT TOP子句。MySQL支持LIMIT子句来选择有限数量的记录,而Oracle使用…...