信息安全

一、回顾——我的初心 从上小学就开始上信息安全课时就接触到了计算机，那个时候就对计算机充满了好奇，到初中成为了一名“网瘾”少女。但是那都只是很表面的接触计算机。后来因为我哥大学时学的软件方面，我拿他的书翻阅过，觉得挺有意思的，原来我们看到的网页是由许多代码构成的，觉得好神奇的感觉。到高考填志愿的时候就选了计算机科学与技术专业，于是我就进入了这个的学习。刚接触c和java的时候虽然没有太费力，但是还是有许多没有学好的地方。当看到大佬的操作后，觉得自己真的远远不够。也许是自己不够努力，导致现在学起来越来越吃力了。中间也自学过前端，对前端比较有兴趣，所以学起来也不是特别吃力。以至于到大三学Javaweb的时候学起来就没有那么困难了。别人问我毕业后做什么，我想都没想就回答她说：程序员，这就是我立下的flag吧。我现在掌握的知识要想成为一名程序员是远远不够的，但是我会在接下来的学习中付出加倍的努力。 二、阶段总结与展望——我的简历 当前值： 技能： C语言 Java语言 MySQL数据库操作 Javaweb技术 ps 预期值： 可以熟练开发完整前端 能够精通一门语言，熟练的去使用 学习并学会一门新的语言 三、我目前最想学的技术 网络安全技术 安卓开发 来源： https://www.cnblogs.com/heying1226/p/12162864.html

《密码法》的产生 ● 2019年6月25日，十三届全国人大常委会第十一次会议，初次审议“密码法”草案； ● 2019年10月26日，十三届全国人大常委会第十四次会议表决通过《密码法》； ● 2020年1月1日，正式施行《密码法》。其中，明确规定“密码分为核心密码、普通密码和商用密码，实行密码分类管理，特定范围的商用密码实行进口许可和出口管制”。 《密码法》的正式颁布和实施，标志着密码将成为保障我国网络空间安全的核心技术和位于网络安全的核心地位，让信息和网络安全有法可依。 管理及保护哪些“密码” 现实生活中提到“密码”一词，人们通常以为是“账户登录密码”、“邮箱登录密码”、“银行卡支付密码”等。其实，这些生活中的“密码”实际上是“口令”，它是一种简单、初级的身份认证手段，是账号的“通行证”。 《密码法》旨在规范密码应用和管理。其所指的密码是使用特定变换对信息等进行加密保护或安全认证的产品、技术和服务。密码主要有两个功能，加密保护+安全认证。最常见的如网银USB Key。 加密保护是指使用数学变换，将原来可读的信息变成不能识别的符号序列，简单说，就是将明文变成密文。安全认证是指使用数学变换，确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实，即确认主体和信息的真实可靠性。 我们浏览国家政务的网站，有时会在地址栏的最左端看到“不安全”字样。 那这里的“不安全”指的是什么呢

2020年1月1日，伴随着元月的钟声，我国密码领域的第一部法律——《中华人民共和国密码法》正式施行！ 密码法旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性法律。 密码法的颁布实施，是我国密码发展史上具有里程碑意义，对维护我国网络空间安全、促进信息化发展具有重要意义，也直接关系企业商业秘密的依法保护，关系社会公众在网络空间生活的安全和便利。 说到密码，你能想到什么 密码法的出台，使神秘的密码真正进入了公共视野。在网络世界，密码就像一个看不见的安全卫士，无时无刻不在守护着网络与信息安全。 现实生活中人们通常认为是计算机或手机开机、电子邮箱登录“密码”、银行卡支付“密码”等。这些“密码”实际上是口令，是进入电子设备或账号的“通行证”，是最简易的密码。 密码法中的密码，并非日常生活中由数字、字母和符号组成的登录或支付密码等，而是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码的主要功能有两个：一个是加密保护，另一个是安全认证。 密码的这两大特殊功能，决定了密码在网络空间中身份识别、安全隔离、完整性保护、信息加密和抗抵赖性等方面，具有不可替代的重要作用。 例如：已部署SSL证书的HTTPS网站，实现了互联网数据从用户端到服务器端加密传输和网站身份认证的双重安全保障，防劫持、防篡改

2020年1月1日，伴随着元月的钟声，我国密码领域的第一部法律——《中华人民共和国密码法》正式施行！ 密码法旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性法律。 密码法的颁布实施，是我国密码发展史上具有里程碑意义，对维护我国网络空间安全、促进信息化发展具有重要意义，也直接关系企业商业秘密的依法保护，关系社会公众在网络空间生活的安全和便利。 说到密码，你能想到什么 密码法的出台，使神秘的密码真正进入了公共视野。在网络世界，密码就像一个看不见的安全卫士，无时无刻不在守护着网络与信息安全。 现实生活中人们通常认为是计算机或手机开机、电子邮箱登录“密码”、银行卡支付“密码”等。这些“密码”实际上是口令，是进入电子设备或账号的“通行证”，是最简易的密码。 密码法中的密码，并非日常生活中由数字、字母和符号组成的登录或支付密码等，而是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码的主要功能有两个：一个是加密保护，另一个是安全认证。 密码的这两大特殊功能，决定了密码在网络空间中身份识别、安全隔离、完整性保护、信息加密和抗抵赖性等方面，具有不可替代的重要作用。 例如：已部署SSL证书的HTTPS网站，实现了互联网数据从用户端到服务器端加密传输和网站身份认证的双重安全保障，防劫持、防篡改

科学技术的进步与发展，给现阶段的个人或者企业以及社会的发展都带来了不可忽视的作用，如今已是信息化时代，电脑的普及程度不断的提升，电脑在日常生活中以及企事业单位的日常办公中随处可见，电脑不仅是日常办公的平台，更是企业在日常工作中进行数据存储的途径之一，互联网信息化带来的影响不容忽视，然而其在不断的发展中出现了一些弊端，网络安全事件，企业信息泄漏频繁发生，这样的数据泄露事件也给企业敲响了警钟，企事业单位也逐步认识到数据加密的重要性， 那么企业数据加密软件如何有效的使用？ 数据加密软件 的出现和发展帮助企业解决了目前互联网市场频繁的数据泄露危机，保证了企业数据文件的安全，由于目前的企业主要都是采用的电子化进行办公以及对日常数据进行存储，这样在没有任何安全防护的基础下，容易出现数据泄露或者数据丢失以后没办法复原等等现象。那么企业应该如何使用数据加密软件来保证日常数据文件在正常使用的前提下实现加密管理？ 首先，对于企业来说，企业的数据安全直接关系到企业的发展，尤其是企业的核心数据保护场上频繁上演的数据泄露事件分析，企业数据泄露的途径主要是：竞争对手通过不正当的途径窃取商业机密、员工离职随意拷贝带走的数据文件造成损失……造成的数据泄露……这都是造成数据泄露事件出现的原因！因此，数据安全工作对于企业来说非常重要。 风奥科技，金甲数据加密软件对企事业单位实现透明加密管控，防止企业数据泄露

医院信息集成平台（ESB）实施、建设方案 基于中立、标准、开放的 IT 架构和数据标准，打造插拔式医院应用生态 。 解决方案 基于 ESB 集成 总线 ，构建医院信息化建设顶层设计 。 集成前 集成后 实施方案 业务监控平台 自动发现业务应用拓扑 , 准确定位影响业务的性能问题和技术栈 . 端到端事务监控 , 分布式跨应用交易追踪 , 可视化管理 ! 资源监控平台 业界领先的 Cloudera 产品和解决方案使你能够部署井管理 Apache Hadoop 及其相关项目、操作和分析你的数据，以及保护数据安全。 同时提供zabbix 分布式 服务器系统 监视 以及网络监视功能的企业级的开源解决方案。 数据集成服务 颐东数仓 依据卫生部统计信息中心 2011年发布的《基于电子病历的医院信息平台建设技术解决方案》建立标准化医院数据资产目录。 颐东数仓以医院基础业务活动为索引，提供 HIS、LIS、EMR等多数据源业务表字段绑定规则。实现零代码绑架，业务人员即可通过页面配置绑定规则。 颐东数仓将根据配置自动生成调度任务，并通过 Hadoop生态圈sqoop技术实现对业务系统的数据抽取,并提供全量数据抽取与增量数据抽取两种方式，抽取过程实现透明、可追溯。 应用集成服务 ESB 总线 业界最广泛的开源信息集成总线（ Mule ESB ）框架 超过数百万用户量数十万个开发者，很多世界五百强企业选择

CSRF漏洞也叫夸站脚本伪造 XSS和CSRF的区别 从信任的角度来分析的话 XSS：是利用用户对站点的信任 CSRF：利用站点对客户端的信任 - 默认情况下站点是对客户端不信任的站点只会对已经身份验证过的客户端有一定的信任 利用 结合社工在身份认证会话过程中实现供给 修改账号密码、个人信息（email、收货地址） 发送伪造的业务请求（网银、购物、投票） 关注他人社交账号、推送博文 在用户非自愿、不知情的情况下提交请求 下面这样黑客就叫你的用户密码给盗取了 还有好多不如骗访问量和投票量还有广告还有产品推广 比如我们发送一个链接点击这个链接就会给我投票等等等 业务逻辑漏洞 服务器对关键操作缺少确认机制 提交密码修改没有确认机制，还有二次认证，确认机制就是列我们每次登陆一个帐号密码之后都会出现一个验证码这个就是确认机制 自动扫描程序无法发现此漏洞 无法检测的是否是恶意的修改密码，自动扫面程序是检测不出来的应为都是正常提交数据 漏洞利用条件 被害用户已经完成身份认证 新请求的提交不需要重新身份认证或确认机制 攻击者必须了解 Web APP 请求的参数构造 诱使用户触发攻击的指令（社工） 实验开始 下面这个带有CSRF漏洞的服务器 下面输入密码直接就可以确认修改没有如何认证机制 用Burp截断下来 在kali开一个服务器里做一个简单的页面 http://192.168.43.245

题目来源 2019年底十二届全国大学生信息安全竞赛初赛 解题步骤 根据题目名，从 官网 下载saleae并安装。 在saleae打开题目的.saleaelogicdata文件，发现有4个channel，其中channel0和channel2有波形。 在右边Analyzer处新建一个SPI分析 参数设置如下，其中MOSI是主输出从输入，MISO是主输入从输出。 得到flag。 参考 第十二届全国大学生信息安全竞赛初赛writeup 2019 全国大学生信息安全竞赛 writeup [讨论]第十二届全国大学生信息安全竞赛misc中saleae Logic逻辑分析仪相关题目wp 来源： https://www.cnblogs.com/hardcoreYutian/p/12154465.html

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 信息化时代，伴随着信息技术的飞速发展,网络和信息化的产品已被广泛地应用到人类生活的各个方面，借助于互联网信息技术，人们的生活方式也发生了翻天覆地的变化，信息化产品的使用，不仅方便了我们的日常生活，同时也给企业的办公带来了极大的便利，提升了企业的工作效率，加强了企业与其他合作伙伴和事业单位的线上交流和沟通。 企业 办公文档加密 的重要性？互联网的发展，也让现阶段的企业以及个人意识到了网络中的安全隐患，以及企业在发展中了能受到的安全危机，互联网上频繁上演的数据泄露事件主要是员工有意无意的泄露、黑客攻击、竞争对手窃取商业机密等等都是企业数据泄露事件发生的根源，面对如此多样化的数据泄露危机，企事业单位应该如何应对呢？ 作为现阶段的企业，不仅要保证企业数据文件内部的安全，同时也要保证文件传输使用的安全，这才是企业在现阶段以及后期发展中所要重点关注的信息安全问题！借助文档加密软件能够确保企业数据信息安全,避免企业重要数据丢失、被窃取,可以有效降低企业数据泄露的风险，保证企业数据文件的安全使用！ 接下来，风奥科技作为数据安全防护专业，站在安全的角度为大家具体分析一下，对于企事业单位来说，企业的办公文档加密实用安全的方案！ 互联网数据安全产品繁多，对于如此繁多纷杂的市场，企业在选择加密软件的时候，首先考虑的是该企业是否是原厂商

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 今年是区块链技术自诞生以来最火的一年，也是区块链这一技术从诸多的数 字货币，比如其中最著名的比特币背后站出来，并真正走上历史舞台，进入 普遍大众视线的关键一年！而随着今年区块链技术的普及以及其在诸多领域 具有的良好的发展前景，与之而来的自然是当今社会人们越来越重视的区块 链技术的安全问题！ 我们都知道，比特币是一个基于点对点网络（Peer-to-Peer Network）的去中心化数字货币系统，应用区块链完成交易的记录，使用工作量证明机制（Proof of Work）和最长链规则（Longest Chain Rule）作为共识机制，使各个节点比特币的账本达到一致性。比特币系统先天可以遭受51%攻击：当某个节点拥有全网50%以上算力的时候，其从理论上可以实现账本的篡改，从而实现所谓的双重花费（Double Spending）攻击。而51%也就成为比特币系统的安全阈值（Security Threshold）了。 最近爆发的层出不穷的区块链安全问题，从以太坊RPC攻击转移用户资产，到ERC20代币频繁爆出溢出漏洞，这些问题其实大部分应该在区块链系统的设计阶段解决，而不是留给开发者来自己关注安全问题。 2019年区块链安全事件造成的经济损失高达 22.38 亿美元，较去年暴增 253%。2018 年区块链安全事件发生