信息安全

聚焦安可 引领未来 达梦数据库 近年，国家大力提倡“安全可靠”，国家为保障信息安全推出实现自主可控，国产化替代成为信息安全发展的趋势，需打造一条基于国产服务器、操作系统、数据库、中间件到应用系统的安全产品链条。其中以底层数据库尤为重中之重，今天我来给大家介绍国内的一个优秀的数据库软件：达梦数据库，为大家提供一个多的选择。 达梦数据库管理系统是达梦公司推出的具有完全自主知识产权的高性能数据库管理系统，简称DM。达梦数据库管理系统7.0版本，简称DM7。 DM7是达梦公司在总结DM系列产品研发与应用经验的基础之上，吸收主流数据库产品的优点，采用类JAVA的虚拟机技术设计的新一代数据库产品。DM7基于成熟的关系数据模型和标准的接口，是一个跨越多种软硬件平台、具有大数据管理与分析能力、高效稳定的数据库管理系统。DM7采用全新的体系架构，在保证大型通用的基础上，针对高可用性、高性能、高安全性、易用性和兼容性做了大量的研发和改进工作，极大提升了达梦数据库产品的性能、语言丰富性、可扩展性，能同时兼顾OLTP和OLAP请求，从根本上提升了DM7产品的品质。众多的企业级特性的实现使得DM7完全能够满足大、中型企业以及金融、电信等核心业务系统的需要，是理想的企业级数据管理与分析服务平台。DM7具有如下特点： 1、 通用性 达梦数据库管理系统兼容多种硬件体系，可运行于X86、X64、SPARC

个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 Root-me网址： https://www.root-me.org/en/Challenges/Web-Server/JSON-Web-Token-JWT-Introduction 知识点 JWT 前言 如果没有了解过JWT。可以参考这篇文章。 https://www.freebuf.com/articles/web/180874.html ok Ok，现在你了解了一些JWT的基础知识。这些足够了。 来到登录页面 哦豁，看到个guest账号登录，咱登一下子。 没东西，既然是JWT，那就刷新页面抓包看看 在cookie中看见了jwt参数，意思已经这么明显了。每段base64解码看看 站长工具解码失败。 https://tool.oschina.net/encrypt?type=3 看见了payload中username是guest。第一反应就是改为admin。但是如果要改为admin的话。第三部分签名也需要变。但不知道密钥。所以不能直接修改 以下就个人理解了 加密算法改为None，则不需要加密，则签名为空。验证就可以通过。 这里可以使用python的pyjwt库。 pip install pyjwt import jwt encoded = jwt . encode ( { 'username' :

　　2019 年网络安全形势已然更加复杂，网络***手段更为多样，数据泄露、勒索软件、APT ***等安全事件频发。此外，网络安全市场也在急剧膨胀，快速发展，安全产品更新快，种类多，数量激增。在 2020 年，网络威胁随着云技术、大数据、物联网、人工智能等技术的发展，也将进化，变得更加复杂、棘手、难以应对。网络安全投入持续增加，市场规模将进一步扩大，发展潜力也将继续被激发出来。 　　在 2020 年，网络威胁将仍然是安全行业发展的主要驱动力，而国家政策要求是安全市场增长的重要推动力。此外，技术变革将催生安全行业中新的应用场景与市场空间。在威胁、政策、技术的多重驱动下，信息网络安全行业需求将更加旺盛，发展将更加成熟。 　　<strong>一、2019 年网络安全事件回顾</strong> 　　<strong>（一）俄罗斯 50 多家大型企业遭到未知***者勒索</strong> 　　3 月 2 日，Rostelecom-Solar 的网络安全专家记录到针对俄罗斯企业的大规模网络***。***使用物联网设备，尤其是路由器，伪装成欧尚、马格尼特、斯拉夫尼奥夫等 50 多家知名公司发送钓鱼电子邮件，对公司人员进行勒索***。追踪被黑的网络设备要比服务器困难得多，且使用物联网设备的***更简单，对***者来说更安全。 　　<strong>（二）英特尔 CPU 再现高危漏洞

1、加密方式分类： 数据加密方式 描述 主要解决的问题 常用算法 对称加密 指数据加密和解密使用相同的密钥 数据的机密性 DES, AES 非对称加密 也叫公钥加密，指数据加密和解密使用不同的密钥--密钥对儿 身份验证 DSA，RSA 单向加密 指只能加密数据，而不能解密数据 数据的完整性 MD5，SHA系列算法 2、加密相关名词解释 　　HASH：一般翻译为‘散列’，就是指任意长度的输入，通过散列算法，变成固定长度的输出，该输出值就是散列值。这种转换是一种压缩映射，也就是散列值的空间通常远小于输入的空间，不同输入的可能会散列成相同的输出，而不可能从散列值来唯一的确认输入值。简单的说，hash算法就是一种将任意长度的消息压缩为某一个固定长度的消息摘要的函数。 　　MD5：全程Message Digest algorithm 5,即信息摘要算法。该算法可以生成定长的数据指纹，被广泛应用于加密和解密技术，常用于文件和数据完整性校验。 　　SHA：全称为Secure Hash ALgorithm,即安全散列算法/安全哈希算法。该算法为数字签名等密码学应用中的重要工具，被广泛应用于电子商务等信息安全领域。根据生成密文长度而命名的各种具体的算法有1、SHA1(160bits)、SHA224（224bits）、SHA384（384bits）等。 　　HMAC：全称为Hash Message

无论你在做前端、后端还是运维，HTTP都是不得不打交道的网络协议。它是最常用的应用层协议，对它的优化，既能通过降低时延带来更好的体验性，也能通过降低资源消耗带来更高的并发性。 可是，学习HTTP不久的同学，很难全面说出HTTP的所有优化点。这既有可能是你没好好准备过大厂的面试:-)，也有可能你没有加入一个快速发展的项目，当产品的用户量不断翻番时，需求会倒逼着你优化HTTP协议。 这篇文章是根据我在2019年GOPS全球运维大会上海站的演讲PPT，重新提炼文字后的总结。我希望能 从四个全新的维度，带你覆盖绝大部分的HTTP优化技巧 。这样，即使还不需要极致方法去解决当前的性能瓶颈，也会知道优化方向在哪，当需求来临时，能够到Google上定向查阅资料。 第一个维度，是从编码效率上，更快速地把消息转换成更短的字符流。这是最直接的性能优化点。 一、编码效率优化 如果你对HTTP/1.1协议做过抓包分析，就会发现它是用“ whitespace-delimited ”方式编码的。用空格、回车来编码，是因为HTTP在诞生之初 追求可读性 ，这样更有利于它的推广。 然而在当下，这种低效的编码方式已经严重影响性能了，所以2009年Google推出了基于二进制的SPDY协议，大幅提升了编码效率。2015年，稍做改进后它被确定为HTTP/2协议，现在50%以上的站点都在使用它。 这是编码优化的大方向

一、简介： 对称加密：加密和解密的秘钥使用的是同一个。 非对称加密：加密需要公钥、私钥两种。“公钥加密，私钥解密；私钥加密，公钥解密” 二、特点： 对称加密: AES，DES，3DES，IDEA，Blowfish，RC4、RC5、RC6 等。 在数据传送前，发送方和接收方必须商定好秘钥，然后双方都能保存好秘钥，使用该秘钥进行数据的加解密。 优点：算法公开、计算量小、加密速度快、加密效率高。 缺点：如果一方的秘钥被泄露，那么加密信息也就不安全了。另外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的唯一秘钥，这会使得收、发双方所拥有的钥匙数量巨大，密钥管理成为双方的负担。 非对称加密 ： RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA（数字签名用） 甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方，使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。 优点： 安全 缺点： 速度较慢 Hash算法 （摘要算法）：MD2、MD4、MD5、HAVAL、SHA Hash算法特别的地方在于它是一种单向算法，用户可以通过hash算法对目标信息生成一段特定长度的唯一hash值，却不能通过这个hash值重新获得目标信息

忽然想挑战一下ACE-A这个称号，经过一番努力，终于找到了申请渠道 登录网站 https://apexapps.oracle.com/pls/apex/f?p=251:1:1229412244199::::: 根据提示，填写一些信息 第一步：你的姓名、公司、电话号码、email 为了个人的信息安全，此处我把个人信息给覆盖了 第二步：此页填写的是所推荐的人的信息，个人信息依旧被覆盖 第三步：此页算是个人简介吧，把个人的一些贡献、资质填写进去 第四步：填写一下自己要申报的专项名称 我的主要技能是Oracle 数据库管理，职业是数据库管理员，擅长的程序语言是Python（根据我写的博客内容也能猜的到） 第五步：填写你的社交账号，此处我只填了领英的账号 第六步：添加贡献渠道，我能力有限，只填了一个博客 第七步：从头再检查一下即可 然后提交推荐（12周，三个月啊，这效率。。。） 希望可以通过初步审核，有好消息后我会在博客上更新进度，祝我好运！！！ 来源： CSDN 作者： Ryan_Bai 链接： https://blog.csdn.net/Ryan_Bai/article/details/103945936

Security+ Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA；是和CISSP、CISA等共同包含在内的国际IT业热门认证之一，和CISSP偏重信息安全管理相比，Security+认证更偏重信息安全技术和操作。 考试资料 Security+ Study Guide (英文版) https://www.professormesser.com/security-plus/sy0-401/sy0-401-course-index/ （非常棒，无废话） 淘宝或者谷安可以买到security+习题集，注意有的习题答案是错误的。 学习过程 读完一遍 Security+ Study Guide (SY0-401) 读完一遍 https://www.professormesser.com/security-plus/sy0-401/sy0-401-course-index/ 断断续续一共学习了一个月，做了一大堆笔记，去考试, 然后就过了 考完后当天就能看到电子证书，但是我收到纸质证书是在两个月后。 其他 Security+新版SY0-501书已经出来了，是可以选SY0-401或者SY0-501，但是拿到的证书上面并没有标注是501还是401。貌似501更偏向于技术操作，但是501由于比较新，考试资料可能比较少。 一共70道题目，拖图题3道

本应用尊重并保护所有使用服务用户的个人隐私权。为了给您提供更准确、更有个性化的服务，本应用会按照本隐私权政策的规定使用和披露您的个人信息。但本应用将以高度的勤勉、审慎义务对待这些信息。除本隐私权政策另有规定外，在未征得您事先许可的情况下，本应用不会将这些信息对外披露或向第三方提供。本应用会不时更新本隐私权政策。 您在同意本应用服务使用协议之时，即视为您已经同意本隐私权政策全部内容。本隐私权政策属于本应用服务使用协议不可分割的一部分。 1. 适用范围 (a) 在您注册本应用帐号时，您根据本应用要求提供的个人注册信息； (b) 在您使用本应用网络服务，或访问本应用平台网页时，本应用自动接收并记录的您的浏览器和计算机上的信息，包括但不限于您的IP地址、浏览器的类型、使用的语言、访问日期和时间、软硬件特征信息及您需求的网页记录等数据； (c) 本应用通过合法途径从商业伙伴处取得的用户个人数据。 您了解并同意，以下信息不适用本隐私权政策： (a) 您在使用本应用平台提供的搜索服务时输入的关键字信息； (b) 本应用收集到的您在本应用发布的有关信息数据，包括但不限于参与活动、成交信息及评价详情； (c) 违反法律规定或违反本应用规则行为及本应用已对您采取的措施。 2. 信息使用 (a)本应用不会向任何无关第三方提供、出售、出租、分享或交易您的个人信息，除非事先得到您的许可，或该第三方和本应用

本应用尊重并保护所有使用服务用户的个人隐私权。为了给您提供更准确、更有个性化的服务，本应用会按照本隐私权政策的规定使用和披露您的个人信息。但本应用将以高度的勤勉、审慎义务对待这些信息。除本隐私权政策另有规定外，在未征得您事先许可的情况下，本应用不会将这些信息对外披露或向第三方提供。本应用会不时更新本隐私权政策。 您在同意本应用服务使用协议之时，即视为您已经同意本隐私权政策全部内容。本隐私权政策属于本应用服务使用协议不可分割的一部分。 1. 适用范围 (a) 在您注册本应用帐号时，您根据本应用要求提供的个人注册信息； (b) 在您使用本应用网络服务，或访问本应用平台网页时，本应用自动接收并记录的您的浏览器和计算机上的信息，包括但不限于您的IP地址、浏览器的类型、使用的语言、访问日期和时间、软硬件特征信息及您需求的网页记录等数据； (c) 本应用通过合法途径从商业伙伴处取得的用户个人数据。 您了解并同意，以下信息不适用本隐私权政策： (a) 您在使用本应用平台提供的搜索服务时输入的关键字信息； (b) 本应用收集到的您在本应用发布的有关信息数据，包括但不限于参与活动、成交信息及评价详情； (c) 违反法律规定或违反本应用规则行为及本应用已对您采取的措施。 2. 信息使用 (a)本应用不会向任何无关第三方提供、出售、出租、分享或交易您的个人信息，除非事先得到您的许可，或该第三方和本应用