做者声明:
1.本文整合了Web安全课程中ppt要点、课堂笔记以及网上的部份内容,原则上禁止转载;
2. 本文仅做为我的笔记,以方便查阅,复习,并无盈利目的;
3. 本文中大多数概念解释直接摘自网上或者上课的ppt,并非原创。程序员
CERT/CCweb
Computer Emergency Response Team/Coordination Center shell
美国计算机紧急事件响应小组协调中心数据库
CNCERT/CC安全
What about Security?服务器
What are the layers of security?网络
Physical security session
Personal security app
Operations security ide
Communications security
Network security
Information security
Next, the Information Security means:
protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction.
信息安全指保护信息和信息系统免受未经受权的访问、 使用、披露、破坏、修改、审阅、检查/探测、记录或销毁。
通常认为,信息安全主要包括如下五方面的内容:信息的保密性、真实性、完整性、未受权拷贝和所寄生系统的安全性。
信息安全的根本目的是使内部信息不受外部威胁,所以信息通 常要加密;为保障信息安全,要求有信息源认证和访问控制; 还要排除非法软件驻留和非法操做的可能性。
Then, We can see the threat to the Information Security:
窃取:非法用户经过数据窃听的手段得到敏感信息。
截取:非法用户首先得到信息,再将此信息发送给接收者。
伪造:将伪造的信息发送给接收者。
篡改:非法用户对合法用户之间的通信信息进行修改,再发送 给接收者。
拒绝服务攻击:攻击服务系统,形成系统瘫痪,阻止合法用户 得到服务。
行为否定:合法用户否定已经发生的行为。
非受权访问:未经系统受权而使用网络或计算机资源。
传播病毒:经过网络传播计算机病毒。
In addition,
信息安全覆盖范围普遍,从国家事务的机密安全,到防 范商业企业机密泄露、防范青少年对不良信息的浏览、 防止我的信息泄露等。
网络环境下的信息安全体系是保证信息安全的关键,其 中包括了计算机安全操做系统、安全协议、安全机制 (如 数字签名、信息认证、数据加密) 等,其中任何一个安全 漏洞均可能对全局安全形成威胁。
信息安全服务至少应该包括支持信息网络安全服务的基 本理论,以及基于新一代信息网络体系结构的网络安全 服务体系结构。
Information Security, Computer Security and Information Assurance
Similarities
Differences(注:我以为第一点和第二点表达的是同一个意思)
The approach to the subject
The methodologies used
The areas of concentration
The value of information comes from the characteristics it possesses :
CIA triad
confidentiality, integrity and availability
to be the core principles of information security.
Confidentiality
Data confidentiality: Assures that confidential information is not disclosed to unauthorized individuals
Privacy: Assures that individual control or influence what information may be collected and stored(注:没搞懂这句话的意思,先作个记号)
Integrity
Data integrity: assures that information and programs are changed only in a specified and authorized manner.
System integrity: assures that a system performs its operations in unimpaired (未受损害) manner .
Availability
Authenticity
Accountability
确保信息系统的安全和可靠, 包括:
真实性:判断信息的来源,能对伪造来源的信息予以鉴别
保密性:保证机密信息不被窃听,或机密信息的真实含义不被 窃听者了解
完整性:保证数据的一致性,防止数据被非法用户篡改
可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝
不可抵赖性:创建有效的责任机制,防止用户否定其行为
可控制性:对信息的传播及内容具备控制能力
可审查性:对出现的网络安全问题提供调查的依据和手段
Levels of security breach impact (安全事件的影响级别)
Low
Moderate
High
信息资产由两部分组成:
信息资产的载体
附加价值
信息资产的载体
网络资源
硬件
数据和程序
为何要保护信息资产?
保护其信息价值;
保护其价值转移合法性。
所谓的挂马,就是黑客经过各类手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各类方法得到网站管理员帐号,而后登录网站后台,经过数据库“备份/恢复”或者上传漏洞得到一个webshell。利用得到的webshell修改网站页面的内容,向页面中加入恶意转向代码。也能够直接经过弱口令得到服务器或者网站FTP,而后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒 。
拖库原本是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可使攻击者可以在未受权的状况下访问或破坏系统。
利用漏洞攻击的三要素
出现漏洞
被攻击者接触
攻击者有能力利用漏洞
安全漏洞产生的可能缘由:
恶意:程序员留后门(暗号泄露、叛变,后门响应程序给予最高权限)
能力:开发人员能力局限性
硬件 (注:待补充)
AAA是验证、受权和记帐(Authentication、Authorization、Accounting )三个英文单词的简称,是一个可以处理用户访问请求的服务器程序,提供验证受权以及账户服务,主要目的是管理用户访问网络服务器,对具备访问权的用户提供服务。
验证(Authentication): 验证用户是否能够得到访问权限。
受权(Authorization) : 受权用户可使用哪些服务。
记帐(Accounting) : 记录用户使用网络资源的状况。
AAA服务器管住了数据库的入口。
User Application Security
终端安全
开发商目标代码安全
平台安全
apk安全