大家都工作了,跟读书时候很不一样了。有时候忙,有时候闲得会想找很多事情来做,总得来说大多数时间大家都在忙忙碌碌地过着各自的生活。3月开始正式工作,4月基本培训了一个月,5月都不知道咋就过去了,然后6月到现在就一直在检查。今天翻看好几个同学的博客,都没咋更新,想着没落的博客随着微博等快节奏信息的交换越来越没有人用了……
有的时候用一些文字来记录一下远比发一条微博抒发当时的情绪要来得好得多。 继续阅读
工作的事
发表评论
作者归档:admin
信息安全学习笔记(5)
两天没来写了,不是偷懒噢,而是前两天学习的主要是前沿技术的东西,都是大学的时候学过的,所以也没有太多可以记的。相关知识都可以在云计算,物联网,操作系统等课程中学到。
大概列个提纲吧:
云计算
架构部署模式:公有云,私有云,团体云,混合云
按业务交付模式:Software as a Service,SaaS;Platform as a Service,PaaS;Infrastructure as a Service,IaaS。
动态资源调配:网络资源,计算资源,存储资源,安全资源。
与Google的服务器群组不太一样,虚拟化技术是现在云计算的基础
云计算安全威胁:旁路边界防护,多用户滥用,跳板攻击,管理员权限滥用,未加固虚拟镜像
云计算安全建设:缺乏统一标准,虚拟机之间的攻击,不同安全级别的服务,
—–
物联网技术
—–
信息安全
PS:老师用note II就可以在局域网内session劫持,还是很可怕的
wifi密码设置WPA2要比WPA安全,WEP是最不安全的
—–
系统安全
WIndows,Linux,应用安全,web安全等
邮件系统中使用PGP,是RSA公钥加密
—–
访问控制中:
强制型访问控制有
BLP-保密性
Biba和Clark wilson-完整性
Chinese wall-混合型
访问控制矩阵 – 自主型访问控制:ACL和CL
—–
BLP模型中,简单规则是,向下读,不能向上读(S读O,S》O)
*-规则是,向上写,不能向下写(S写O,O》S)
Biba模型中,完整性的,向上读,向下写
—–
单点登陆,Kerberos协议,获得票据许可票据,获得服务许可票据,获得服务
集中式访问控制技术:RADIUS,TACACS,TACACS+,Diameter
审计是一次性,周期性的,三个部分:日志记录器,分析器,通告器
监控是实时的
—–
CISP知识体系
信息安全保障概述:信息安全基本知识,信息安全基本实践
信息安全技术:密码技术,访问控制与审计,网络安全,系统安全,应用软件安全,安全攻防,软件安全开发
信息安全管理:信息安全管理体系,信息安全风险管理,信息安全管理措施
信息安全工程:信息安全工程原理,信息安全工程实践
信息安全标准法规:信息安全法规与政策,信息安全标准,信息安全道德规范
—–
信息是一种资产,具有价值
信息安全就是保护信息的保密性,完整性和可用性
信息安全管理的相关标准27000系列:27001,引入PDCA模型,是信息安全体系要求
27002,7799-1,17799都是实践准则
27003,信息安全管理实施指南
信息安全管理体系:ISMS,Information Security Management System,从风险评估开始
—–
PDCA模型,又叫戴明环,规划和建立Plan,实施和运行Do,监视和评审Check,保持和改进Action
特点是:循环,组织部分,个人均可采用,阶段总结
风险就是威胁利用脆弱性对资产造成不良后果
项目 风险管理 风险评估
目的:降低风险 确定风险等级
周期:所有阶段 单个阶段
计划:PDCA 按需要
—–
风险管理内容:建立背景,风险评估,风险处理,批准监督;监控审查,沟通咨询
常用风险处置方法:减低风险,转移风险,规避风险,接受风险
风险管理贯穿信息系统生命周期:规划,设计,实施,运维,废弃
—–
应急响应的六个阶段:准备,确认,遏制,根除,恢复,跟踪
信息安全应急响应编制方法:总则,角色及职责,预防和预警机制,应急响应流程,应急响应保障措施,附件
信息安全事件分级方法:系统损失,社会影响,信息系统的重要程度
灾难恢复规划的过程阶段:风险分析,业务影响分析,确定灾难恢复目标,制定恢复策略,灾难恢复策略的实现,灾难恢复预案的制定、落实和管理
信息安全学习笔记(4)
七、网络安全
链路层=》物理寻址
网络层=》逻辑寻址
传输层=》应用寻址
应用层=》语义
协议是网络中计算机或设备之间进行通信的一系列规则的集合
ISO/OSI七层模型 《==》 四层模型(网络接口层,网络层,传输层,应用层)
TCP/UDP协议,报文中有端口号,直接对应应用
IP协议是无连接,不可靠的
链路层,有MAC地址
—–
IPV6的安全特性:地址数量大,强制IPSEC加密,128位
无线网络安全:802.11和wapi无线网络协议原理及安全特性
BSS->ESS,保证网络不断
安全性能:WPA2 》 WPA 》 WEP
WAPI三元安全架构,802.11i,802.11x,强制加密
3G(TD-SCDMA,CDMA2000,WCDMA)网络原理
—–
网络架构安全
网络安全域,网络边界划分,安全分级保护
IP地址包括网络标识和主机标识,使用子网掩码分开
无分类编址CIDR
—–
网络安全设备
防火墙:边界设备,访问控制
防火墙的功能:静态,动态地址转换,端口地址转换
防火墙分类:包过滤(网络传输),应用代理(应用协议),状态检测(传输)
越底层,开销越小,效率越高
工作模式:路由模式,透明模式,混合模式(可切换,不共存)
包过滤技术:只分析IP,TCP/UDP协议,对用户透明,处理较快,缺点是不能识别应用
应用网关或代理:可检查应用层、技术和协议,缺点是对用户不透明,支持应用有限
—–
入侵检测技术
功能:监视网络流量,Network IDS, Host IDS
以旁路的方式接入到网络中
其他网络安全技术:网闸,入侵防御系统IPS,安全管理平台SOC,统一威胁管理系统UTM等
入侵防御系统IPS=IDS+防火墙,透明方式串联接入网络中
—–
八、安全攻防
攻击的过程:踩点,定位,入侵,留后门,抹去痕迹
DNS欺骗
DNS两种工作模式:递归模式,迭代模式
—–
拒绝服务式攻击,Denial of Service,DoS
分布式DoS,DDoS,借刀杀人
缓存溢出与网页脚本安全
计算机取证
推荐超好看都市言情总裁虐恋小说 – 《假戏真爱》 – 磨铁中文网
《灵媒苏小小》作者转型巨作,都市言情小说《假戏真爱》
磨铁中文网首发,地址http://www.motie.com/book/22350
十三年前,母亲忽然死于一场莫名的车祸,苏董事长终于承认她这个无依无靠的女儿。 四年前,相爱多年的青梅竹马背叛自己,食言离开。 两年前,苏雨晴迫于无奈,只有代替姐姐嫁给一个自己不爱的人——吴氏集团的公子吴墨。 一年前,雨晴走出背叛的阴影准备和吴墨过上自己幸福的小日子。 可是,一条神秘的短信却打破了她原有的宁静,诱惑她打开潘多拉的魔盒。 知道了她不该知道的,看到了她不想看到的。 常年不回国的姐姐忽然回来,说要要回属于自己的丈夫。 当初抛弃自己的旧爱突然回国,说要弥补自己的过错,重新来过。 夫妻间的误会,解不开的心结,雨晴要何以为继? 在这一切发生的同时,雨晴竟然发现,她所经历的一切都与十三年前母亲的死有关? 苏雨晴立誓,我要找回我的公道,找回属于我的爱人。
信息安全学习笔记(3)
五、信息安全保障基本知识
20世纪40-70年代,通信安全,加密,防窃听
20世纪70-90年代,计算机安全,口令,美国TCSEC橙皮书,计算机系统分级
20世纪90年代后,信息技术安全,防病毒,防火墙,VPN
现在到未来,信息安全保障,黑客,网络犯罪,信息战等
—–
信息安全指信息本身的机密性,完整性和可用性保持。
美国国防部定义,信息安全保障:完整性,可用性,鉴别性,机密性,抗抵赖性
网络安全模型,CC的信息技术安全模型(功能要求,保证要求)
P2DR模型:策略(响应,防护,检测)
安全包括:Safety和Security
—–
保障的含义,范围:通信安全,网络安全,数据安全;外部环境法律与政策,内部环境
信息安全保障模型:三维关系
生命周期:计划组织,开发采购,实施交付,运行维护,废弃
保障要素:技术,工程,管理,人员
安全特征:机密性,完整性,可用性
—–
信息系统安全保障评估框架:简介和一般模型,技术保障,管理保障,工程保障
—–
六、信息安全工程
信息安全建设必须同信息化建设“同步规划,同步实施”
生产过程的高质量和组织实施的成熟性可以以低成本地生产出高质量的产品
—–
信息系统安全工程能力成熟模型,SSE-CMM
描述了一个组织的系统安全工程过程必须包含的基本特征
完善安全工作的保证,系统安全工程实施的度量标准,评估框架
SSE-CMM覆盖整个产品或系统的生命周期
—–
过程区域,Process Area,PA,是过程的一种单位,由基本实施,BP组成
PA包括三类:工程、项目和组织
过程能力,Process Capability,度量方法
两维模型:域维(由所有定义的安全工程过程区域组成)和能力维(组织实施的能力)
基本实施BP有129个=》过程区域PA共22个=》过程分类
通用实践GP=》公共特征CF=》能力级别0-5级
域维-工程类PA有3种:风险过程,工程过程,保证过程
能力维:0级,未实施;1级,非正规执行;2级,规划和跟踪级;3级,充分定义级;4级,量化控制级;5级,持续改进级
—–
信息安全工程监理模型:
监理咨询阶段过程,控制和管理手段(三控两管一协调),监理咨询支撑要素
信息安全学习笔记(2)
昨天看《我是歌手》去了,今天又刚看完电影回来,赶紧补作业。。。
—–
三、恶意代码与安全漏洞
恶意代码类型有:二进制代码,二进制文件,脚本语言,宏等等
常见的主要是病毒、木马和蠕虫
传染的独立型恶意代码的危害性最大
传播方式主要有:主动放置、网页、邮件、漏洞、移动存储、共享、网络通讯、软件捆绑等
—–
恶意代码的关键技术:加载,隐蔽,生存
加载:启动项,注册表,服务,组策略,感染文件合并,浏览器插件,修改文件关联(修改注册表)等等
隐藏:进程迷惑,DLL注入,端口复用,无端口,流文件等
生存:进程守护,超级权限,反跟踪,反分析,模糊变换等
—–
恶意代码检测技术:模式匹配(病毒库,扫描;准确,易于管理,但是滞后,效率低),校验和(完整性保护),行为检测(能检测未知恶意代码,但误报率高)
另外还有恶意代码的分析技术,清除技术,预防技术和基于互联网的防御(蜜罐,云查杀等)
—–
信息安全漏洞,即脆弱性,类似于基因天生的缺陷,不可避免
漏洞是信息安全的核心,漏洞也是一种战略资源(美国提出:海,陆,空,太空,网络空间)
常用漏洞库:
CVE,通用漏洞披露,统一编号,是国际通用标准
NVD,采用CVE编号,扩充了一些属性,美国所有
Secunia,漏洞挖掘,曾和微软合作
CNNVD,中国本地化漏洞库
安装补丁是漏洞消减的技术手段之一,另外还可以安全加固
—–
四、软件安全开发
平均每1000行代码存在10到20个缺陷
用户应提出除交付期和软件功能之外的软件安全方面的压力
软件漏洞来源于:需求分析阶段,总体设计阶段,代码编制阶段
越早发现漏洞,越少的修复时间和开销
—–
安全开发周期,Security Development Lifecycle,SDL是微软提出的从安全角度指导软件开发过程的管理模式
七个阶段:培训,需求,设计,实现,验证,发布,响应
安全设计原则:最小特权原则,职责分离原则,纵深防御原则,默认安全原则,减少攻击面原则,心理可接受原则,隐私保护原则
减少攻击面,即减少入口点,包括网络输入输出和文件输入输出
威胁建模:了解系统面临的安全威胁,确定风险并通过措施来缓解
—–
软件安全开发:溢出攻击(数据代码不分,堆栈溢出数据变代码指令),跨站脚本(数据不要直传),SQL注入(对输入验证)
Fuzz测试,黑盒测试,构造畸形数据
找到所有入口点,权限分类,可访问点
任何的崩溃都是漏洞
下节学习:五、信息安全保障基本知识;六、信息安全工程
信息安全学习笔记(1)
一、密码学基础
密码学的发展:古典密码,近代密码,现在密码,公钥密码
古典和近代密码:算法不能公开,主要方法是代替和换位
现代密码:安全在于密钥而不是算法的保密
科克霍夫假设:密码分析者知道双方使用的密码系统,包括明文的统计特性、加解密体制等,唯一不知道的是密钥。
在理想密码系统中,密文的所有统计特性都与所使用的密钥独立:扩散和混乱方法
—–
密码算法分类:对称密码算法,非对称密码算法,哈希密码算法
对称密码算法:DES(56位),三重DES(168位),IDEA(128位),AES(128/192/256位)
对称密码算法优缺点:效率高,算法简单,系统开销小;适合加密大量数据;明文长度与密文长度相等;缺点是需要以安全方式进行密钥交换;密钥管理复杂
DES是应用最广泛的对称密码算法,IDEA在欧洲应用较多,AES将是未来最主要的最常用的对称密码算法
—–
单向陷门函数:单向的,但已知某个值时可以反向计算
非对称密码算法,即公钥密码算法:RSA,ECC,DH,DSA等
RSA公钥用来加密和签名校验,私钥用来解密和签名
DH算法主要用于密钥交换,DSA算法主要用来签名
公钥密码体制的优缺点:解决密钥传递的问题(公钥私钥成对,初始时可选择);减少密钥持有量;提供签名服务等;缺点是计算复杂,加密后密文变长
—–
哈希密码算法:MD5(128位),SHA1(160位);单向性,碰撞性,散列性
哈希密码算法生成等长摘要,可以附加消息鉴别码,即带key的Hash
数字签名使用哈希后的摘要用私钥加密,具有唯一性和可验证性
—–
二、密码学应用
PKI指公钥基础设施Public Key Infrastructure,利用公开密钥技术建立的提供信息安全服务的在线基础设施。利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全
CA即认证中心Certificate Authority,共同信任的第三方,为公钥签名,发放公钥证书
加密模型:使用对方的公钥加密,解决机密性问题
签名模型:使用自己的私钥签名,解决完整性和认证,抗抵赖问题
数字信封:使用公钥加密对称密钥,结合两种加密方法,融合了各自的优点
SSL协议即使用了各种加密方法:对称加密信息,非对称加密对称密钥,哈希校验和签名
PKI/CA组成:CA,RA,LDAP,App
CRL:证书撤销列表,也称“证书黑名单”
证书:格式X.509,主要包括:证书颁发机构,持有者名字,公钥,有效期,颁发机构签名
国内的CA不具备信息交互的功能,主要是解决完整性和抗抵赖性问题
—–
VPN在各层的应用:数据链路层,网络层,传输层,应用层
VPN隧道技术:L2TP,PPTP,IPSec,SSL
按体系结构分类VPN:网关到网关,主机到网关,主机到主机
VPN最主要就是在分组交换的公用网络上使用加密传输建立虚拟的专用网络
VPN的基本功能:加密数据,信息认证和身份认证,提供访问控制
下节学习:三、恶意代码及安全漏洞;四、软件安全开发
青春时代
快二十五岁了,也为了回应境同学的日志,年少时代,预约一篇日志在这,稍后来写。
都预约了几个月了,趁着今天25岁生日,来记录下我的青春时代吧。
================================================
1.幼儿园?
幼儿园算青春时代吗? 暂且前青春时代吧。记忆中的幼儿园没有太多了,只记得有一次放学的时候天都黑了,还下好大的雨。在当时的我的心中这尼玛就是世界末日啊。我记得当时一群小朋友跟着老师在一个教室里面等着家长来接,终于只剩下几个孩子的时候,我看到了风雨中穿行而来的爸爸还是妈妈都记不清了。那一次印象特别深刻,总觉得那比世界末日恐怖多了。后来有一些印象就是在幼儿园午睡的时候,我和几个小朋友不听话,然后偷偷跑出来,跑到厕所里去玩去了,后来又被抓回来睡午觉。哎呀,是谁发明的睡午觉的习惯,害我现在每天到了中午就昏昏沉沉的。
还有什么关于幼儿园的事情呢? 就是记得有几个老师还挺喜欢我的,我还得了很多小红花,贴在墙上满满的。其实直到后来我才发现,其实每个孩子家里都是贴的满满的,如果谁不是一满墙,那估计他调皮捣蛋到一定程度了。哈哈。幼儿园的时候还跳舞来着,弄一个呼啦圈一直转,然后貌似还上厂里电视了,可惜现在估计也找不到那珍贵的录像了。还有一次很小的时候和老妈在家里过生日,是一个那种最原始的蛋糕,粉红色塑料底的,上面有一层蛋糕和奶油。还记得是厂里修了新大楼,我们一家三人去参观,还拍了很多照片。我穿着一个红白相间的花衣服,哎呦喂,那叫一个风骚啊现在看来。这些都是很小的时候的故事了,以留作纪念吧。
2.小学
小学时代正式开启了我的传奇故事。一年级的时候貌似还当着班长还是什么高级班干部来着,后来和谁谁谁打架,搞得在全班道歉,然后被撤职了!!!记得小学的时候上课,每天都在讲小白话,切擦擦,丢纸团。那三四年级之前叫一个混乱啊。但是奇怪的是成绩却很好,每次都是双100分。所以每年都可以奖很多红白机的卡带。那个时候最喜欢和一群小朋友在家里玩魂斗罗啊,坦克大战什么的。老爸的坦克大战技术很好,每次都可以带领我打到很后面。老妈打魂斗罗也很厉害。现在想想,其实父母打游戏也曾经比我们都厉害啊,哈哈。
然后小学的时候还去新修的幼儿园玩,爬来爬去的,晚上偷偷溜进去,溜到楼道里面转悠,还发现了好多好玩的东西。可惜了新的幼儿园我们没有享受到。还有一次溜到小学教学楼里面去了,不知道是谁叫了声楼道里有人,大家都吓得半死,连忙都跑了。现在那栋教学楼都被拆了修新大楼了。
还有小学的家长会就是一个很恐怖的事情,有的时候会被表扬啦,都还好。有的时候就会被抓住说上课讲白话的事情。奇怪的是没事开家长会,小朋友们都会在操场上玩,好多人。有一次不知道是谁说的有一个快速的红点在操场上移动闪过去了,姑且现在我就记作那个是UFO吧,哈哈。
小学的时候干了很多奇奇怪怪的事,在家里楼顶建造秘密基地啊,用TT(那时候还不知道是啥)装水球啊。还买梯子烤红薯,搞得不亦乐乎,老爸竟然还支持! 有一次在楼顶秘密基地放花炮,把楼下的树都要烧了,赶紧一群人跑下去尿灭掉……那个时候玩得最好的有好多同学啊,都是附近的一些野孩子。还玩过家家,在家里阳台上,用积木搭各种房子,组装什么电缆……汗啊。 还抓蜜蜂,捣鼓各种草药。最可怕的是,尼玛我们曾经还解剖过老鼠,现在想起来都恶心,不怕被传染病毒什么的。
厂里面有个游泳池,大家都很喜欢去游泳,我特别喜欢晚上的时候去泡一泡,也就是那个时候学会的仰面浮躺,特别舒服。话说游泳池还挺可怕的呢,经常有大孩子在里面欺负小孩,把别人呛得半死…… 还有一次游着游着浮上来一个大便。其实游泳的时候这些都还好,我们最怕的是一种叫牛蚊子的东西,特别大,吓死个人。每次飞过来,所有人都会潜水,憋气一直到牛蚊子走为止,哈哈。
小学时候还有什么事情呢? 那时候那么小,还会在楼顶烧那个柏油,在墙上乱写字。停电了在家里用电筒乱晃悠,和楼下的老太婆斗智斗勇。哈哈哈哈~还记得小学毕业之后,几个同学有聚过一次会,大家都装作很成熟的样子,感慨时光飞逝,现在想想还真有意思,那才12岁的年纪啊!!!!
3.初中
初中是最美好的时候,也是我从调皮到认真学习的时候。
运动会
五人小组
聚会KTV
锻炼身体
班干部
4.高中
高一玩的high啊
高二上课high啊
高三忙得high啊
大马之行游记
【大家好,我是tips君,由于顾桑对我的盛情邀请,tips君决定来对本文进行一下补充~~霍霍~~我不是正文噢~~】
旅行和旅游的区别,就是旅途的心情和见闻~ 这次的大马之行计划开始于11月,12月底定好机票,于是一切尘埃落定~
环游世界的计划正在继续中,陆陆续续游玩了中国的各大大小小城市,现在慢慢就要开始外国之旅了。
国内城市:北京,青岛,上海,杭州,香港,澳门,海南
(待去:云南,哈尔滨,成都,拉萨【嘛,谁说的要去西藏的?】,西安,台北)
世界国家:马来西亚,日本,美国
(待去:欧洲,巴西,澳大利亚,南非,俄罗斯)
===============================正文分割线===================================
大马之行时间:2013年1月3日-2013年1月10日
旅行路线
- 2013年1月3日,16:10 北京-吉隆坡飞机,22:50抵达吉隆坡国际机场【哟,这段写得这么简洁?哪有这么顺利啊!诶哟我去,各位看官tips君来给大家好好说一下。机场分为LCCT和KLIA这两个机场,LCCT是廉价机场,KLIA是比较好的机场。由于俺们这个不是穷游,所以坐的是比较好的马来西亚航空~(无耻的炫耀咩?-_-b)咳咳,tips君重点不是要说这个,而是各位不要以为机场什么时候都有大巴,我不知道LCCT如何,但是KLIA的大巴是一个小时一趟,且12:30是最后一趟!所以,如果坐很晚的航班的童鞋,千万不要做作多情以为能够坐到大巴,如果只能打车去市内的话,就会很贵的噢~】
- 从机场乘大巴前往KL Sentral,入住My Hotel@KL Sentral
- 1月4日,D1,从KL Sentral 大巴前往云顶,云顶游玩包括:大巴一小时,缆车,赌场观光。10:00-5:30往返,当晚继续入住My Hotel@KL Sentral
- 1月5日,D2,暴走吉隆坡,包括:火车总站,中央市场,独立广场,清真寺,苏丹大厦,唐人街等。晚上逛双子塔。继续入住My Hotel@KL Sentral
- 1月6日,D3,上午随便逛逛,返回KL Sentral,中午13:05 吉隆坡-兰卡威飞机,14:00抵达兰卡威,在机场租车,开往瓜镇,入住Langkawi Seaview Hotel。下午休息,在附近市场及海边观光
- 1月7日,D4,自驾环岛游东线:巨鹰广场,野生动物园,红树林,星沙海滩。继续住Langkawi Seaview Hotel
- 1月8日,D5,自驾环岛游西线:空中缆车,珍南海滩,跳岛游,晚上返回瓜镇,继续入住Langkawi Seaview Hotel
- 1月9日,D6,在瓜镇附近海滩游玩,逛瓜镇,下午5点返回兰卡威机场,19:40 兰卡威-吉隆坡飞机,20:40抵达吉隆坡国际机场,乘坐大巴返回KL Sentral, 入住My Hotel@Sentral
- 1月10日,D7,在酒店周边逛,双子塔购物,吃完午饭后前往吉隆坡国际机场
- 2012年1月10日,18:40 吉隆坡-北京飞机,00:20抵达北京国际机场
继续阅读
魔方日记 – 4(Special, at Kuala Lumpur)
吃了啥:额,马来西亚的东西好诡异,不过都尝试尝试吧,一股咸鱼味~
新鲜事:吉隆坡见闻
技术宅:PHP蛮好用,继续学习
天|空气:到了一个温暖的地方,好热~ 不过暴风雨很多噢
世界末日:世界末日貌似已经过了!!!
赶时髦:到处旅游
备忘录:继续搞网站,还有City的网站
阶段性:毕业旅行完毕准备入职咯