网络安全

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 网络安全领域最热门的话题之一就是企业区块链。它采用了与比特币一样的加密货币技术。简单地说，区块链是对等各方共享的交易或者合同的列表，并被一些巧妙的密码锁定。不同于比特币的是，区块链能够确保供应链的完整性，管理合同，甚至可以作为金融交易的平台。 区块链的安全性风险 尽管具备一些技术优势，区块链技术在安全上就没有缺失了吗？尽管技术在不断研究，但技术层面和业务层面依然面临很多安全挑战和风险。 1、共识机制挑战 对于区块链中的共识算法，是否能实现并保障真正的安全，需要更严格的证明和时间的考验。采用的非对称加密算法可能会随着数据、密码学和计算技术的发展而变的越来越脆弱，未来可能具有一定的破解性。此外，区块链上包含账户安全的私钥是否容易窃取仍待进一步探索。 2、51%攻击 在比特币中，若控制节点中绝大多数计算资源，就能重改公有账本，这被称为51%攻击。真实的区块链网络是自由开放的。所以，理论上，区块链上无法阻止拥有足够多计算资源的节点做任何操作。在现实情况下，发起51%攻击是具有一定可行性的。当然，拥有足够的算力并不会迅速破坏整个体系——至少不是短时间内，但可能会导致系统混乱。 3、NS攻击 (Nothing at stake)攻击问题。比如，在某些情况下一个区块可以暂时拥有两个子区块。这种分叉状态出现时

昨天在浏览CSDN首页的时候，看到了有“网络安全”字眼的博客，点进去浏览，浏览过后，发现博主叫杨秀璋，非常优秀，是CSDN博客专家。他现在在武汉大学读博士，最近对网络安全和机器学习、深度学习都有很高强度的学习，文章产出也很大。 自己之前一直很彷徨，导师也不给具体的研究方向，同门有做深度学习的，有做代码API推荐的，有做code2vec的。因为算法岗近几年很火，工资很高，研究生毕业实在不想继续做简单的开发，做CRUD boy，有为算法岗积极准备的想法。但是，最近网络强国、网络安全提的也很响亮，觉得也是一个不错的方向。于是，我想在网络安全和AI学习这俩之间选一个，考虑了很久，我还是选择了网络安全方向，因为我觉得以我的智商不足以学习ML、DL等内容。但是看了杨秀璋老师的博客，发现他一直都在学习、总结、产出博客。一个该有多大的精力才能持续不断的学习！我又重新感受到了榜样的力量。他目前在同时学习网络安全和AI，并且把学习成果以博客的形式讲给别人听，那么应该可以推断出他每天都得至少12个小时以上的高强度学习。因此，看到榜样的力量，我决定我接下来的学习策略是以安全为主，同时保持对机器学习、深度学习的学习。 本科的时候，我也面临着同样的问题，学习前端 or 后端？学长说，后端比较牛，考验技术功底，毕业之后薪资水平更高些，可能学长的话是对的，但是我选定方向后没有付出足够的努力

等级保护 2.0 安全架构介绍 等级保护 2.0安全架构介绍 基于 “ 动态安全 ” 体系架构设计，构筑 “ 网络 + 安全 ” 稳固防线 “等级保护2.0解决方案”，基于“动态安全”架构， 将网络与安全进行融合，以合规为基础，面对用户合规和实际遇到的安全挑战，将场景化安全理念融入其中，为用户提供 “一站式”的安全进化。 国家网络安全等级保护工作进入 2.0时代 国家《网络安全法》于 2017年6月1日正式施行，所有了网络运营者和关键信息基础设施运营者均有义务按照网络安全等级保护制度的要求对系统进行安全保护。随着2019年5月13日《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》标准的正式发布，国家网络安全等级保护工作正式进入2.0时代。 等级保护 2.0关键变化 “信息安全”→“网络安全” 引入移动互联、工控、物联网等新领域 等保 2.0充分体现了“一个中心三重防御“的思想。一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用。 被动防御 →主动防御 等级保护 2.0解决方案拓扑结构设计 安全管理中心 大数据安全 （流量 +日志） IT运维管理 堡垒机 漏洞扫描 WMS 等保建设咨询服务 建设要点 对安全进行统一管理与把控 集中分析与审计 定期识别漏洞与隐患 安全通信网络

等级保护发展历程 二十多年来，我国的计算机等级保护制度得到了完善的发展，并在各个行业中得到了切实的实践执行，对我国的网络信息安全具有重要的指导作用。今天，等级保护 2.0时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。 等 级 保 护 1.0 ： 1994年，国务院颁布《 中华人民共和国计算机信息系统安全保护条例 》，规定计算机信息系统实行安全等级保护 等保 2.0 ： 2016年10月10日，第五届全国信息安全等级保护技术大召开，公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入2.0时代”。 下面来看下详细的发展历程： 等级保护 1.0时代： 1994年，国务院颁布《 中华人民共和国计算机信息系统安全保护条例 》，规定计算机信息系统实行安全等级保护。 2003年，中央办公厅、国务院办公厅颁发《 国家信息化领导小组关于加强信息安全保障工作的意见 》（中办发 [2003]27号）明确指出“实行信息安全等级保护”。 2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。 2007年6月，四部门联合出台《 信息安全等级保护管理办法 》。

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> CDN的防御方式是采用多节点分布， 能解决各地区不同网络用户访问速度， 解决并发量减轻网站服务器的压力，并且隐藏源站IP，从而让攻击者找不到源站IP，无法直接攻击到源服务器，使攻击打到CDN的节点上。 CDN每个节点都是单机防御，每个节点都有套餐防御的对应防御，除非是攻击超过套餐防御，不然网站是不会受到影响，可以为客户的网站得到安全保障。高防服务器防御一般可以分为软件防御、硬件防御和技术防御。 1. 软件防御利用寄生于操作平台上的软件防火墙来实现隔离内部网与外部网之间的一种保护屏障。由于大多数网络恶意攻击都是对网络的主节点进行攻击，而软件防火墙会定期扫描网络主节点，寻找可能存在的安全隐患并及时清理，不给攻击者可乘之机。 2．硬件防御主要指机房的带宽冗余、机器的处理速度。网络恶意攻击其中一个形式就有带宽消耗型攻击，我们常见的服务器带宽堵塞就是大量的攻击数据包堵塞导致的，这就需要高防服务器所在机房带宽冗余充足，服务器的处理速度快，这些都可以有效防御攻击。 3．技术防御主要指供应商处理攻击攻击的能力。其中，流量牵引技术是一种新型的技术防御，它能把正常流量和攻击流量区分开，把带有攻击的流量牵引到有防御能力的设备上去，而不是选择自身去硬抗。而在主节点上配置防火墙，可以过滤网络恶意攻击

360推出搜索服务挑战百度，实质上是又实施了一次“寄生战略”，即，利用寄主上位、尽量吸干寄主、最后脱离寄主独立，这样的方式发展壮大自己。在对于寄主的拿捏上，或许无人能够与周鸿祎匹敌。 需要说明的是，我为360带来的鲶鱼效应而叫好，在我谈到“寄生”这个词的时候也并没有恶意，只是为了说明360的战略实质。 几天前，一位朋友告诉我：“3B大战一触即发，目前双方都在囤积弹药，战争不可避免。”我在国内外游玩了半年多，几乎脱离了网络，但当听说360推出搜索服务时，还是能立即意识到新的战争就要打响了。 从目前的发展来看，360又实施了一次“寄生战略”，即，利用寄主上位、尽量吸干寄主、最后脱离寄主独立，这样的方式发展壮大自己。在对于寄主的拿捏上，或许无人能够与周鸿祎匹敌。 3Q大战时的寄生战略 什么是“寄生战略”？ 我们首先回顾一篇两年前的文章。 当时业界发生了著名的3Q大战，引起一片哗然。最后，腾讯不惜采取鱼死网破的战术，让用户要么卸载360，要么卸载QQ，两者只能选其一，从而引起了公愤。 在3Q大战中，一直很少露面的马化腾最后接受了 《经济观察报》杨阳的访问 ，解释了腾讯为什么做得如此“过火”，他的解释在某些人（包括周鸿祎本人）看来是强词夺理，但另一些人会认为马化腾说得非常到位，实际上360当时已经将QQ逼上了绝境。我们来温习一下当时的这篇文章，其中重要的信息有三点。 一是360传播速度之快

　　由于下周可能会有一个技术支持的面试，面试可能需要用到《计算机网络》的知识，由于本科学的东西基本上都还回去了，所以决定好好看看书，自己做个简单的笔记。以下逐一列出个人认为重要的一些知识要点。 Q1：网络、互联网和因特网的一些最基本的概念 A： 网络 由若干个结点（Node，网络中的结点可以是计算机、集线器、交换机或路由器等）和连接这些结点的链路（Link）组成；网络和网络还可以通过路由器互联起来，这样就构成了一个覆盖范围更大的网络，即 互联网 （网络的网络）； 因特网 是世界上最大的互联网络，连在因特网上的计算机都称为主机。 Q2：互联网的组成 A：互联网由 边缘部分 （由所有连接在因特网上的主机组成，这部分是用户直接使用的，用来进行通信（传送数据、音频或视频）和资源共享）和 核心部分 （由大量网络和连接这些网络的路由器组成）组成。 Q3：网络边缘的系统中运行的程序之间的通信方式 A：通常可划分为两大类： 客户服务器方式 （C/S方式，客户是服务请求方，服务器是服务提供方）和 对等方式 （P2P，两个主机在通信时不区分哪一个是服务请求方还是服务提供方，该种方式中两台主机即是客户又是服务器）。 Q4：计算机网络的定义 A：一些互相连接的、自治的计算机的集合。 Q5：常见几种不同类别的网络 A：按照作用范围分 　　（1） 广域网 （Wide Area NetWork）有时也称远程网

Ms17-010永恒之蓝漏洞复现 0x00 漏洞介绍 永恒之蓝是指2017年4月14日晚， “永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限 2017年5月12日，不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，在多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。 0x01漏洞原理 永恒之蓝漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞，该漏洞导致攻击者在目标系统上可以执行任意代码。 0x02影响版本 目前已知受影响的Windows 版本包括但不限于： WindowsNT， Windows2000、 Windows XP、 Windows 2003、 Windows Vista、 Windows 7、 Windows 8， Windows 2008、 Windows 2008 R2、 Windows Server 2012 SP0。 0x03 漏洞修护 微软已于2017 年 3 月 14 日发布MS17-010补丁，修复了“永恒之蓝”攻击的系统漏洞，一定要及时更新Windows系统补丁；务必不要轻易打开doc、rtf等后缀的附件；内网中存在使用相同账号、密码情况的机器请尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作，可以下载“永恒之蓝”漏洞修复工具进行漏洞修复 0x04

WebView 一 简介： WebView一般用于将Android页面已HTML的形式展现，我们一般叫它HTML5开发； WebView可以使得网页轻松的内嵌到app里，还可以直接跟js相互调用，通过json或者GSON格式的数据调用，可以很方便的和后台交互。 webview有两个方法： setWebChromeClient 和 setWebClient setWebClient：主要处理解析，渲染网页等浏览器做的事情； setWebChromeClient：辅助WebView处理Javascript的对话框，网站图标，网站title，加载进度等 ； WebViewClient就是帮助WebView处理各种通知、请求事件的。 二、简单使用： 2.1、在AndroidManifest.xml设置访问网络权限： 1 <uses-permission android:name="android.permission.INTERNET"/> View Code 2.2、WebView控件： 1 <WebView 2 android:id="@+id/view_html5_1" 3 android:layout_height="fill_parent" 4 android:layout_width="fill_parent"/> View Code 2.3、后台Activity程序： 1

在App开发中，内嵌WebView始终占有着一席之地。它能以较低的成本实现Android、iOS和Web的复用，也可以冠冕堂皇的突破苹果对热更新的封锁。 然而便利性的同时，WebView的性能体验却备受质疑，导致很多客户端中需要动态更新等页面时不得不采用其他方案。 以发展的眼光来看，功能的动态加载以及三端的融合将会是大趋势。那么如何克服WebView固有的问题呢？我们将从性能、内存消耗、体验、安全几个维度，来系统的分析客户端默认WebView的问题，以及对应的优化方案。 性能 对于WebView的性能，给人最直观的莫过于：打开速度比native慢。 是的，当我们打开一个WebView页面，页面往往会慢吞吞的loading很久，若干秒后才出现你所需要看到的页面。 这是为什么呢？ 对于一个普通用户来讲，打开一个WebView通常会经历以下几个阶段： 交互无反馈 到达新的页面，页面白屏 页面基本框架出现，但是没有数据；页面处于loading状态 出现所需的数据 如果从程序上观察，WebView启动过程大概分为以下几个阶段： 如何缩短这些过程的时间，就成了优化WebView性能的关键。 接下来我们逐一分析各个阶段的耗时情况，以及需要注意的优化点。 WebView初始化 当App首次打开时，默认是并不初始化浏览器内核的；只有当创建WebView实例的时候，才会创建WebView的基础框架。