网络安全

1.你对网络专业或者计算机专业了解是怎样？ 起初 起初对于我来说，计算机专业毕业后就相当于程序员，或者去开发一些游戏，软件等等，而学得特别优秀的可能会成为黑客，就像电影电视剧里演得那样，这是我一开始的理解。 后来 后来填报志愿时，我从老师，哥哥姐姐那里了解到这个专业发展比较好，并且我自己也比较喜欢，于是填报志愿时大部分都是与之相关的专业和院校，并且了解到将来的就业方向可以在 国家机关、科研机构、学校、工厂等企事业单位 从事 计算机应用软件及网络技术的研究、设计、制造、运营、开发及系统维护和教学、科研 等工作,对于我十分内向的性格比较合适。 现在 现在根据被录取后搜集到的一些相关知识，我了解到 网络工程有2个比较热门的方向：网络运维和网络安全 1.网络运维：它是指 为保障电信网络与业务安全有效运行的管理活动 ，在我的认知里，它类似于网管，不过比网管高级多了。 2.网络安全：它则指的是 维护网络的信息安全 ，比如可以建立防火墙，毕竟现在人人都上网，这个还是很有必要的。 现在有一个名词叫 网络工程师 ,其分为 硬件网络工程师和软件网络工程师 两大类，硬件网络工程师以负责 网络硬件等物理设备的维护和通信 ；软件网络工程师负责 系统软件，应用软件等的维护和应用 ,而根据硬件和软件的不同、认证的不同，将网络工程师划分成很多种类。所以将来还需要确定更细的方向。 2.你了解C语言么

1.你对网络专业或者计算机专业的了解是怎样？ 我认为 ,计算机专业是教导我如何应用计算机语言，与之沟通，使计算机能够明确表达出我的想法的专业。例如，如若我掌握了计算机语言，我可以设计出我符合我心意的软件，或是一些兴趣方面的网页为生活增添更丰富的色彩。据我所知，它需要我拥有较强的 逻辑性 。 查阅资料后 ，我了解到，计算机专业是计算机硬件与软件相结合、面向系统、侧重应用的宽口径专业。市场经济和互联网的发展，以及信息产业的规模化，推动了计算机技术人才市场的发展，加大了对高技术人才的需求。 关于网络专业 网络工程专业 主要讲授 计算机科学基础理论、计算机软硬件系统及应用知识、网络工程的专业知识及应用知识。 两个热方向 网络运维 ：网络运维是指为保障电信网络与业务正常、安全、有效运行而采取的生产组织管理活动。简单来说，是维护 网络安全 和 网络通畅 的。 网络安全 ：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不被破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。主要使用" 防火墙 "技术。 来源： https://www.cnblogs.com/yubing----/p/11399173.html

一、什么是威胁建模 简单的来说，威胁建模就是通过结构化的方法，系统的识别、评估产品的安全风险和威胁，并针对这些风险、威胁制定消减措施的一个过程。 威胁建模是一个非常有用的工具，它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展，强迫我们站在攻击者的角度去评估产品的安全性，分析产品中每个组件是否可能被篡改、仿冒，是否可能会造成信息泄露、拒绝攻击。威胁建模的作用更偏向于确保产品架构、功能设计的安全，无法保证编码的安全，但是输出的威胁建模报告中包含了全面的安全需求，这些安全需求不仅包括大的方案设计，如要认证、鉴权、审计，也可以包括安全细节的实现，比如具体的认证方式、密码使用哪种安全算法存储，使用什么方法生成安全随机数等。所以，威胁建模虽不能保证编码的安全，但可以指导研发人员编写出安全的代码，同时也可以辅助渗透测试人员开展安全测试。 二、为什么要做威胁建模 1. 站在攻击者的角度通过识别威胁，尽可能多的发现产品架构和功能设计中的安全风险 2. 制定措施消减威胁，规避风险，确保产品的安全性 三、应该在什么时候做威胁建模 威胁建模应融入企业的软件开发安全生命周期（SDL）中。 1. 新产品或新功能的设计阶段应开展威胁建模，发现风险、制定消减措施，消减措施是安全需求的一部分，需落入产品需求跟踪，确保产品安全。 2. 系统运行过程中也可以开展威胁建模

2019-2020-1学期 20192415 《网络空间安全专业导论》第八周学习总结 第一章 网络空间安全概述 第二章 物理安全 第六章 数据安全 主要内容： 数据安全范畴 数据的保密性 数据存储技术 数据备份和恢复技术 6.1 概述 数据的全生命周期管理过程：创建→存储→访问→传输→使用→销毁 数据泄露主要原因：黑客通过网络攻击，木马、病毒窃取，设备丢失或被盗，使用管理不当等。 6.2 数据安全范畴 数据安全：保障数据的 合法持有和使用者 能够在 任何需要该数据时 获得 保密的、没有被非法更改过 的 纯原始数据 。 （一）要素 保密性（Confidentiality）:具有一定保密程度的数据只能让有权读到或更改的人进行读取和更改。 完整性（Integrity）:在存储或传输的过程中，原始的数据不能被随意更改。 可用性（Availability）:对于该数据的合法拥有和使用者，在他们需要这些数据的任何时候，都应该确保他们能够及时得到所需要的数据。 例：多处备份 （二）组成 1.数据本身的安全：主要是指采用现代密码算法对数据进行主动保护。 如：数据保密、数据完整性、双向身份认证 2.数据防护的安全：主要是指采用现代信息存储手段对数据进行主动防护。 如：磁盘阵列、数据备份、异地容灾 数据本身的安全是基于可靠的加密算法与安全体系，如：对称加密、非对称加密方式 3.数据处理的安全

“云、大、物、移、智”的发展流行，使得我们的信息化基础设施越来越完备，在循序渐进这么多年的信息化建设历程中，有一个明显的特征就是信息系统积累了大量的数据，由此催生的不仅仅是数据利用的问题，同时也夹带着数据安全的问题。 数据就如脱缰的“野马”，驯服好了能为我们所用，不能驯化就只能付诸东流，甚至可能出现“反噬”，所以驾驭好信息化过程中的“果实”（数据）需要创新技术的运用，同时对数据的安全保护理念也需要进行转变：从优化管理推进到积极防御。 01 这是最好的时代 也是最坏的时代 当地时间2019年7月24号，Facebook花了5,000,000,000美元跟美国联邦贸易委员(FTC)达成了关于用户隐私问题的和解，这个似乎是一个皆大欢喜的结果，但是背后深层次的原因细思极恐：Facebook仅仅是跟政府监管机构达成了和解，但是泄露的恰恰是数据应用中最为重要的数据之一公民的个人隐私，然而针对个人的隐私追责之路依然是遥遥无期。 欧洲有《GDPR》、中国有《网络安全法》、《个人信息安全规范》，这些法律法规的落地说明市场在觉醒，监管在重视，但是这其中似乎都有一个不可调和的“点”：隐私保护与数据使用。 我们在享受信息化所提供的便利的同时，也存在着个人隐私信息泄露的巨大风险。虽然上到监管、中到企业都有“原力觉醒”，法律法规对隐私数据的使用者都有巨额罚款的条款，然而个人信息已经泄露，产生的危害一直在持续

互联网发展至今，已经让人们对它产生了很大的依赖，很多交易都是在网上进行的。然而，网络攻击事件也在与日俱增，网络安全已经成为一件大事，这就不得不用到SSL证书了。 什么是SSL证书？为什么网络安全需要他们？ SSL证书是一种提供SSL协议的证书，通过在客户端浏览器和web服务器之间建立一条SSL安全通道，对网络传输数据进行加密，防止数据被截取或窃听。从而确保数据传输的安全性以及数据的完整性。 我们都知道，任何从事电子商务的网站都必须在其web服务器上安装SSL证书，以确保客户和公司信息的安全性，以及在线金融交易的安全性。OVSSL和EVSSL证书广泛用于电商网站，因其具有更高的安全性和可信性。 使用SSL证书有很多好处 1、保护客户及公司信息 安装SSL证书后，网站由原来的HTTP纯文本传输方式变为HTTPS加密传输方式，保证了用户到服务器之间的安全通信。同时也有效的保护了用户信息和公司信息不被第三方窃取。 如果没有SSL证书，客户的信息不受保护，隐私极容易被窃取，会给用户造成极大的困扰，而降低对网站的信任度。 相关部门要求在线企业要保护用户个人身份信息、个人健康信息、信用卡号码和其他敏感数据，未能保护客户信息的企业可能会导致罚款以及其他处罚。 2、有利于优化SEO排名 百度谷歌均明确表示会优先收录https的站点，https站点要比http站点拥有更好的排名权重，使网站优化效果更好

网站需要安装SSL证书吗？为什么需要安装SSL证书？近年来，网络安全事件层出不穷，屡禁不止。据统计仍有57%的网站未进行https加密，成为数据泄漏的“导火索”之一。而SSL证书不仅仅可以保护网站数据安全，而且可以降低网站被第三方窃取或篡改的风险。那么网站安装SSL证书还有哪些作用呢？且听安信SSL慢慢分析。 网站 SSL 证书的作用 （1）保护网站安全：SSL证书可以对网站传输数据加密，防止信息被窃取，防止信息泄露。 （2）防假冒、钓鱼网站：部署SSL证书后，会认证网站服务器身份，浏览器显示绿色安全锁，一眼就可以看出假冒网站。 （3）有利于网站SEO：百度等搜索引擎早先就表示对部署了SSL证书实现https加密的网站优先收录显示。 （4）防止运营商的流量劫持：阻止网站弹窗广告，访问更友好、更安全。 （5）增加在线信任：HTTPS+安全锁标识，增强用户在线信任。 （6）消除Chrome浏览器“不安全”提示：Chrome浏览器把所有HTTP网站标记为“不安全”。 当然除了网站，APP、微信小程序等也都需要SSL证书的支撑。 什么样的网站需要安装 SSL 证书？ （1）拥有在线交易的电商、金融类支付平台 早先年国内外的电商、金融类支付平台数据泄露事件频繁发生，网站的用户的账户信息、银行信息、交易数据、个人隐私信息被窃取，将给用户和企业带来巨大的财产损失。所以说

本章讲解，在不考虑微服务，只考虑一个简单的API ，如何保证这个API的安全？ 三个问题： 1，什么是API ？ 2，API安全的要素有哪些？ 3，API安全基本机制 一、什么是API 百度百科：API（Application Programming Interface，应用程序接口）是一些预先定义的 函数 ，或指软件系统不同组成部分衔接的约定。 [1] 目的是提供 应用程序 与开发人员基于某 软件 或硬件得以访问一组 例程 的能力，而又无需访问原码，或理解内部工作 机制 的细节。 通俗的讲： API就是你为客服提供服务的一种方式。 二，API安全包含哪些方面 API安全主要包含3方面内容： 　 　 信息安全： 信息在整个生命周期里（信息从创建、存储、转换 、备份、销毁），数据是受到保护的，是安全的。 网络安全： 数据在通过网络进行传输的时候是安全的，不会被人盗取或篡改，也应该保证在网络上，不会被未授权的访问接触到你的信息。 应用安全： 应用程序本身的安全。从设计上要抵挡各种各样的攻击，防范各种风险。 这3个方面综合起来，才可以说你的API是安全的。 三、API风险与应对 四，安全机制图解 绿色部分就是我们要在用户请求到业务逻辑API之间要加入的安全机制。 1，流控（流量控制）在所有安全机制的最前面，通过流控把一些请求挡调之后，后边的处理是不需要做的。 2，认证，在流控后面

搞Web开发离不开安全这个话题，确保网站或者网页应用的安全性，是每个开发人员都应该了解的事。本篇主要简单介绍在Web领域几种常见的攻击手段及Java Web中的预防方式。 XSS SQL注入 DDOS CSRF 项目地址： https://github.com/morethink/web-security XSS 什么是XSS XSS攻击：跨站脚本攻击(Cross-Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。XSS是一种常见的web安全漏洞，它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者)，XSS涉及到三方，即攻击者、客户端与Web应用。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后，攻击者甚至可以假冒合法用户与网站进行交互。 XSS通常可以分为两大类： 存储型XSS，主要出现在让用户输入数据，供其他浏览此页的用户进行查看的地方，包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据，在页面中显示出来，攻击者在相关页面输入恶意的脚本数据后，用户浏览此类页面时就可能受到攻击。这个流程简单可以描述为： 恶意用户的Html输入Web程序->进入数据库

当我们在浏览某些http站点时会发现浏览器提示“不安全”的警告，而我们的第一反应可能就是这个网站不安全，立马关掉，不会再进行下一步的操作了。长此以往，会让一些企业损失掉不少潜在的客户，负面影响还是挺大的。安信SSL需要告诉大家的是，对于需要进行交易的网站，这种“不安全”提示更有可能会导致用户中断交易。 除了降低用户信任度和减少交易量外，“不安全”警告还可能损害公司的品牌。有研究表明，绝大部分活跃互联网用户希望与能保护他们重要信息的公司做生意，而且是希望与采取最佳安全保护方案的公司做生意。 而增强型SSL证书（EV）在地址栏绿色显示企业名称，能极大的增加用户对网站的信任度，也能表明企业对用户信息保护的重视程度。而“不安全”警告产生了相反的效果，它强烈表明网站没有采取措施来保护用户信息安全。当用户对网站的信任度消失时，网站收入也就随之消失。 未安装SSL证书时，网站以http协议明文传输，而安装SSL证书后，网站以https协议加密传输，其通过在客户端浏览器和web服务器之间建立一条SSL安全通道，可以使数据进行加密传输，防止数据被截取、窃听和篡改，从而保证了网络数据传输的安全性。 当网站需要用户购买、打开或登录账户、填写或提交敏感信息时，需要为网站部署最高级别的EV SSL证书，它能最大程度的获取用户的信任度以及最大程度的提供网站交易量。 网络安全不仅为运营站点的企业提供保护