資訊保安專業知識點大提綱

一、資訊保安的保障標準（主體是資訊，從各種方面保證資訊的安全）

（1）保密性

網路安全解決措施網路安全解決措施資訊不洩露給非授權使用者、實體或過程，或供其利用的特性。

（2）完整性

資料未經授權不能進行改變的特性。即資訊在儲存或傳輸過程中保持不被修改、不被破壞和丟失的特性。

（3）可用性

可被授權實體訪問並按需求使用的特性。即當需要時能否訪問所需的資訊。例如網路環境下拒絕服務、破壞網路和有關系統的正常執行等都屬於對可用性的攻擊；

（4）可控性

對資訊的傳播及內容具有控制能力。

（5）可審查性

出現安全問題時提供依據與手段

二、安全服務

對等實體認證服務、訪問控**務、資料保密服務、資料完整性服務、資料來源點認證服務、禁止否認服務、安全機制。

三、加密機制

數字簽名機制、訪問控制機制、資料完整性機制、認證機制、資訊流填充機制、路由控制機制、公證機制

四、主要的加密演算法（對稱加密速度快，靈活）

（1）非對稱加密：rsa、elgamal、揹包演算法、rabin、d-h、ecc（橢圓曲線加密演算法）；

（2）對稱加密：des、3des、tdea、blowfish、rc2、rc4、rc5、idea、skipjack、aes；

（3）不可逆加密（摘要演算法）：md5；

五、金鑰管理技術

（1）金鑰分發：a.證書中心 b.金鑰分發協議（diffie-hellman）

五、常見的攻擊方式（並不侷限於網路安全領域）

（1）重放攻擊：黑客擷取到資訊，並傳送乙個主機接受過的包來達到欺騙的目的，比如模擬登入。在沒有乙個動態驗證登入或者動態強度不夠大（資訊熵不夠大）的系統中，這類攻擊很容易生效。

（2）dos洪水攻擊：不停的傳送請求，耗盡目標系統的處理能力，達到無法為正常請求服務的目的。

（4）整數溢位攻擊：程式設計師沒有考慮到輸入資料的範圍和長度，造成整數溢位（低位擷取），這種錯很有可能改變程式的執行流程，比如你根據資料的大小進入不同的分支。嚴重時可能造成程式崩潰。

（5）url攻擊：web開發用get方式傳值（甚至是明文）的時候容易遭受這類攻擊，和sql注入攻擊一起用很容易會造成資訊洩漏後果。

（7）arp欺騙攻擊：偽裝網關或某台主機

（8）木馬病毒：現在這型別已經不太流行。

（9）釣魚**

六、作業系統安全

1.定義：安全作業系統是指計算機資訊系統在自主訪問控制、強制訪問控制、標記、身份鑑別、客體重用、審計、資料完整性、隱蔽通道分析、可信路徑、可信恢復等十個方面滿足相應的安全技術要求。

2.安全作業系統主要特徵：（1 ）最小特權原則，即每個特權使用者只擁有能進行他工作的權力；（ 2）自主訪問控制；強制訪問控制，包括保密性訪問控制和完整性訪問控制；（3 ）安全審計；（4 ）安全域隔離。只要有了這些最底層的安全功能，各種混為「應用軟體」的病毒、木馬程式、網路入侵和人為非法操作才能被真正抵制，因為它們違背了作業系統的安全規則，也就失去了執行的基礎。

七、資訊隱藏

把資訊隱藏在各種介質中，比如影象的畫素低位

八、常見的安全平台設計實踐建議

（1）最小特權原則（2）強力的備份機制（3）加密原則（利用硬體輔助加密）（4）隱藏原則，比如資料庫盡量對非必要人員隱藏，對一些運維人員只提供一些管理軟體運算元據庫完成運維工作。

六、具體到android的安全思考

（1）資訊的保密性：所有的資料都需要加密，這些資料有哪些呢？ a.sharepreference b.sqlite c. 網路上傳播的資訊

（2）對等實體的驗證：驗證是否是伺服器，驗證是否是客戶端，其實就是應抗重放攻擊，怎麼驗證？證書機制（非對稱加密）

（3）對外介面的安全：各種輸入資訊，要驗證其合法性，總之對外介面越少越好，比如activity的action的設定，無非必要不要設定，直接用顯示意圖呼叫，免得被人盜用。

（6）輸入法安全：如果有重要資訊，呼叫自己的輸入法控制項輸入。

（7）金鑰的管理：用來進行加密的金鑰 key儲存在本地是不行的，只能儲存在伺服器上的kmc（金鑰管理中心），客戶端每次需要從伺服器上獲取key，當然在網路傳輸的肯定不是key明文。

（8）contentprovider的使用是有風險的，如果你的資料儲存在資料庫中，那麼有可能產生sql注入。

資訊保安專業知識點大提綱

根據物聯網提綱提煉的知識點提綱和目錄

web安全知識點

第3章資訊系統整合技術專業知識（一）

資訊保安專業知識點大提綱

根據物聯網提綱提煉的知識點 提綱和目錄

web安全知識點

第3章 資訊系統整合技術專業知識（一）

相關推薦

根據物聯網提綱提煉的知識點提綱和目錄

第3章資訊系統整合技術專業知識（一）