软件评测师考试总复习05(安全性基础知识)

1、安全防护体系

实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全(实平数通应用管)

 

2、安全保护等级

由低到高:用户自主->系统审计->安全标记->结构化->访问验证

 

3、数据安全策略

备份恢复是一种数据安全策略

 

4、安全防护策略

安全日志:被动防护

入侵检测:防火墙的第二道闸门,主动网络安全防护策略

隔离防护:隔离网闸(实现内网和外网的物理隔离)、防火墙(实现内网和外网的逻辑隔离)

漏洞扫描

 

5、防火墙(包过滤、状态检测、代理服务)

DMZ区,非均势区,将服务器置与DMZ区,用于存放对外提供服务的服务器

 

6、访问控制

实现方式:<1>限制访问系统的人员(用户标识与验证) <2>限制进入系统所做的操作(存取控制)

USB key认证,解决了安全性与易用性的矛盾

 

7、加密技术

对称密钥技术(加密解密使用同一个密码)

  • 密钥分发困难
  • 算法效率高
  • 速度快,适合对大量数据进行加密
  • DES、3DES、RC-5、IDEA、AES

非对称密钥技术(加密解密使用不同密码)

  • 密钥成对出现
  • 密钥之间不能相互推导
  • 公钥对外公开,私钥只对持有者持有
  • 算法相对对称密钥算法效率低
  • RSA、ECC

 8、PKI

CA是证书颁发机构,是KPI的核心,用自己的私钥签名数字证书

常见单向加密算法:MD5、SHA

 

9、网络攻击术语

冒充:口令猜测、缓冲区溢出(解决办法:对软件系统自身进行升级)

消息篡改:DNS高速缓存污染、伪造电子邮件

服务拒绝:死亡Ping、泪滴攻击、UDP洪水、SYN洪水

ddos:分布式攻击

 

10、安全协议

SSL:安全套接字层,NetScape开发的基于WEB应用安全协议,能在TCP/IP和应用层无缝实现Internet协议栈处理

TSL:传输层安全协议,在SSL3.0基础上更新的

 

11、SQL注入和XSS攻击

XSS防御:<1>验证所有输入数据,有效检测攻击

<2>对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器运行。

 

原文链接:https://www.cnblogs.com/hc1hr2/p/15223956.html

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22078

(0)
上一篇 2023年8月9日 09:05
下一篇 2023年8月9日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml