信息安全

https://www.jianshu.com/p/db55261ed19e 支持国密SM2/SM3/SM4算法的OpenSSL分支 官方网站： http://gmssl.org/ 开源地址： https://github.com/guanzhi/GmSSL GmSSL 是支持国密算法和标准的OpenSSL分支，增加了对国密SM2/SM3/SM4算法和ECIES、CPK、ZUC算法的支持，实现了这些算法与EVP API和命令行工具的集成。GmSSL由北京大学信息安全实验室开发和维护。 GmSSL (http://gmssl.org) 是支持国密算法和标准的OpenSSL分支，是一个提供了丰富密码学功能和安全功能的开源软件包。在保持OpenSSL原有功能并实现和OpenSSL API兼容的基础上，GmSSL新增多种密码算法、标准和协议，其中包括： 椭圆曲线公钥加密国际标准ECIES 国密SM2椭圆曲线公钥密码标准，包含数字签名算法、公钥加密算法、密钥交换协议及推荐椭圆曲线参数 国密SM3密码杂凑算法、HMAC-SM3消息认证码算法、PBKDF2口令加密算法 国密SM4/SMS4分组密码、ECB/CBC/CFB/OFB/CTR/GCM/FFX加密模式和CBC-MAC/CMAC消息认证码算法 组合公钥(CPK)身份密码，可同时支持椭圆曲线国际标准算法和国密标准算法 国密动态口令密码规范

信息安全学习笔记（一）------防火墙技术 $1.定义： 位于可信网络之间与不可信网络之间并对二者进行流动的数据包进行检查的一台，多台计算机或路由器。 $2.防火墙的规则： 防火墙需要对内，外部网络之间的通信数据进行 筛选 ，那么其遵循的安全规则（安全策略）有如下两部分： 匹配条件：逻辑表达式，用于判断通信流量是否合法。 处理方式：接受，拒绝和丢弃。 即先判断是否符合规则，再决定如何处理。 $3.防火墙的优缺点： 1.优点： 可以完成整个网络安全策略的实施。防火墙可以把通信访问限制在可管理的范围内。 可以限制对某种特殊对象的访问，如限制某些用户对重要的服务器的访问。 审计功能。对网络连接的记录，历史记录，故障记录都有审计功能。 可以对有关人员发出警告。 使内部网络透明化。 2.缺点： 对于授权访问攻击，不经过它的攻击无效。 只对配置的规则有效，不能防止没有配置规则的访问。 不能防止针对设计有问题的系统的攻击。 $4.防火墙的核心技术： 包过滤技术 ：防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。可以根据数据包的源地址，目的地址，TCP/UDP源端口号，TCP/UDP目的端口号以及数据包包头的各种标志位等因素。其核心是安全策略的筛选规则设计的。 本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口 。例如，作为防火墙的设备可能有两块网卡(NIC)

信息漏洞的危害涉及到企业和用户，一直以来都是高风险的问题，本文章就两个方向进行讲述挖掘信息泄露的那些思路。 1 | 0 Web方面的信息泄露 1 | 1 0x01 用户信息泄露 ①：评论处 一般用户评论处用户的信息都是加密的，比如显示的是用户手机号或邮箱等，就会直接对中间的一段数字进行加密，但是有些可能就没有加密，而是直接显示出来，那么这就造成了用户信息泄露问题。 如果加密不当，直接游览用户评论处时进行抓包，然后查看返回包就可以直接看到明文，但有的时候会有2个参数，就比如name：1333******1这个值是加密的，但后面还会有一个testname这个参数就没有进行加密，从而导致用户信息泄露。 这里有一些小技巧，就比如一个买卖市场，他有用户评论的地方，有一个秒杀抢购成功的展示用户的地方，还有一个是用户相互交流的地方，一般白帽子测试了第一个功能处发现不存在问题，然后就不继续测试其它相同功能处了，这个疏忽就可能会导致错过一个发现问题的机会，每个功能处，加密机制有时候就会被漏掉，就比如用户评论处用户信息加了密，但是秒杀抢购成功的展示用户的地方却没有加密，所以白帽子要更细心点。 一般评论处都会有一个追加评论功能和一个商家回复功能，那么此时如果对这个功能参数没有加以加密，那么通过抓包游览查看返回包就可看到追加评论的用户信息和商家信息。 有些评论功能当中支持艾特(@)他人

目录 第三章 网络信息收集技术 1.实践内容+知识点总结 1.1网络踩点 1.2网络扫描 1.3网络查点 2.实践过程 DNS与IP查询：任务一 DNS与IP查询：任务二 nmap：任务 Nessus：任务 实践作业 3.学习中遇到的问题及解决 4.实践总结 5.参考资料 第三章 网络信息收集技术 1.实践内容+知识点总结 1.1网络踩点 是指攻击者通过对目标组织或个人进行有计划、有步骤的信息收集，从而了解攻击目标的网络环境和信息安全状况，得到攻击目标完整剖析图的技术过程。 常见的技术手段包含如下三种： 1.1.1 web信息搜索与挖掘 充分利用web搜索的强大能力，对目标组织和个人的大量公开或意外泄露的web信息进行挖掘，从而能够找到各种对进一步攻击非常关键的重要信息。 基本搜索与挖掘技巧 简洁明了； 使用最可能出现在要查找的网页上的字词； 简明扼要地描述要查找的内容； 选择独特性的描述字词； 善于利用搜索词智能提示功能。 高级搜索与挖掘技巧 谷歌的高级搜索页面显示： 以下所有字词 输入重要字词 与以下字词完全匹配 用引号将需要完全匹配的字词引起来 以下任意字词 在需要的字词之间添加OR（必须是大写） 不含以下任意字词 在不需要的字词前面添加一个- 文件格式 对应filetype:之后加特定格式文件后缀名 日期 返回在下列时间段内首次Cache和查看的网页 网站 对应site

2020年开春，即时通讯市场竞争更白热化，云产品用价格免费方案吸引了一堆企业使用，但也有很多企业选择私有化产品，考虑私有化部署目的一定有安全可控因素，一旦私有化部署，企业数据安全问题将大大降低风险，因为如果发生数据丢失的话，后果将会很严重。 比如，拿微信来说，微信是没有私有化部署的，注册了就可以直接用。很多小型企业都是直接用微信进行日常工作的交流，且不说使用微信会降低工作效率之外，其安全问题更是被企业所忽视了。目前，企业的IT边界再也不是一个封闭的局域网，而是被逐渐打破。企业暴露出的安全隐患将会越来越多，信息安全解决方案不再只是面向网络的安全防护，而是向企业数据和企业业务的安全防护方面转移，也就是说企业的核心资产是信息和数据。 国内做的比较好的私有化部署有”有度即时通”，是一款加密即时通信IM，相当于手机当中的微信，所有的信息只有发送方和接收方可以查看，任何第三方都无法查看。除此，还有安全的文件管理，用户可以将重要的资料和文件上传至网盘，并且可以随时在手机端查看。因为私有化部署解决方案是支持全平台同步的，所以，企业可以在iOS、Android、macOX、windows、Linux、麒麟等多操作系统使用，安全的同时，又很方便。 而这一切都建立在企业内部独立的服务器上，企业的数据库，企业自主掌握，不用担心建立在第三方运营商的安全问题。目前所知，有众多金融机架、政府机关和军工领域在使用

“数据防泄漏”这个无论是对于企业还是个人而言都并不陌生的名词，为什么互联网的现今，这个名词能够获得如此的关注度呢？面对互联网上层出不穷的数据泄漏事件，让这个时代的企业以及个人都具备了一定的安全意识，也加强了对自身数据安全的保护。那么对于企业而言，庞大的企业生产工作的电子数据文件又该如何进行有效的安全防护？ 文档加密软件 如何实现对企业局域网环境的数据安全加密？ 国内的数据防泄漏产品很多，这个现象对于企业来说有利有弊，利在于现在的企业安全意识增强对于数据安全的选择也增多了，弊在于众多的产品，众多的加密手段，已经不知道什么样的方案，方法是真正安全的，是能够真正帮助企业进行安全加密的？ 数据加密方法主要有硬件加密和软件加密，至于软件加密又有驱动层加密，以及应用层加密，企业在选择文档加密软件产品的时候，首先就需要对这样的加密技术有一定的了解，并且能够区分它们之间的利弊，以及企业更适合或者说现阶段的发展中更需要的是哪一种产品。 根据十多年的数据防泄漏经验，目前国内使用比较广的安全性较高的主要是驱动层透明加密技术，是在Windows底层对各类数据文件进行加密的，不会影响使用者的日常操作，能够轻松在底层就实现对数据文件的透明强制性加密。也比较符合现阶段企事业单位对于加密的需求，操作简单，安全性较高。 国内好用的加密软件有哪些？如何实现对企业的 办公电子文件加密 管控？

迭代器模式 一、迭代器模式 1.基本介绍 1）如果我们集合元素是用不同的方式实现的，有数组，还有java的集合类等，当客户端要遍历这些集合元素时就要使用多种遍历方式，还会暴露元素的内部结构，可以考虑使用迭代器模式解决。 2）提供一种遍历集合元素的统一接口，用一致的方法遍历集合元素，不需要知道集合对象的底层表示。 2.原理类图 1）Iterator：迭代器接口，是系统提供，含义hasNext，next，remove 2）Concretelterator：具体的迭代器类，管理迭代 3）Aggregate：一个统一的聚合接口，将客户端和具体聚合解耦 4）ConcreteAggreage：具体的聚合持有对象集合，并提供一个方法，返回一个迭代器，该迭代器可以正确遍历集合 5）Client：客户端，通过Iterator和Aggregate 依赖子类 二、迭代器模式应用实例 ​ 编写程序展示一个学校院系结构：要在一个页面中展示出学校的院系组成，一个学校有多个学院一个学院有多个系。 1.代码实现 public class Client { public static void main(String[] args) { //创建学院 List<College> collegeList = new ArrayList<College>(); ComputerCollege

作为互联网公司的信息安全从业人员经常要处理撞库扫号事件，产生撞库扫号的根本原因是一些企业发生了信息泄露事件，且这些泄露数据未加密或者加密方式比较弱，导致黑客可以还原出原始的用户密码。 目前已经曝光的信息泄露事件至少上百起，其中包括多家一线互联网公司，泄露总数据超过10亿条。 要完全防止信息泄露是非常困难的事情，除了防止黑客外，还要防止内部人员泄密。但如果采用合适的算法去加密用户密码，即使信息泄露出去，黑客也无法还原出原始的密码（或者还原的代价非常大）。 也就是说我们可以将工作重点从防止泄露转换到防止黑客还原出数据。下面我们将分别介绍用户密码的加密方式以及主要的破解方法。 一、用户密码加密 用户密码保存到数据库时，常见的加密方式有哪些，我们该采用什么方式来保护用户的密码呢？以下几种方式是常见的密码保存方式： 1、直接明文保存，比如用户设置的密码是“123456”，直接将“123456”保存在数据库中，这种是最简单的保存方式，也是最不安全的方式。但实际上不少互联网公司，都可能采取的是这种方式。 2、使用对称加密算法来保存，比如3DES、AES等算法，使用这种方式加密是可以通过解密来还原出原始密码的，当然前提条件是需要获取到密钥。不过既然大量的用户信息已经泄露了，密钥很可能也会泄露，当然可以将一般数据和密钥分开存储、分开管理，但要完全保护好密钥也是一件非常复杂的事情

隐私政策 贝贝GO尊重并保护所有使用服务用户的个人隐私权。为了给您提供更准确、更有个性化的服务，贝贝GO会按照本隐私权政策的规定使用和披露您的个人信息。但贝贝GO将以高度的勤勉、审慎义务对待这些信息。除本隐私权政策另有规定外，在未征得您事先许可的情况下，贝贝GO不会将这些信息对外披露或向第三方提供。贝贝GO会不时更新本隐私权政策。 您在同意贝贝GO服务使用协议之时，即视为您已经同意本隐私权政策全部内容。本隐私权政策属于贝贝GO服务使用协议不可分割的一部分。 适用范围 a) 在您注册贝贝GO帐号时，您根据贝贝GO要求提供的个人注册信息； b) 在您使用贝贝GO网络服务，或访问贝贝GO平台网页时，贝贝GO自动接收并记录的您的浏览器和计算机上的信息，包括但不限于您的IP地址、浏览器的类型、使用的语言、访问日期和时间、软硬件特征信息及您需求的网页记录等数据； c) 贝贝GO通过合法途径从商业伙伴处取得的用户个人数据。 您了解并同意，以下信息不适用本隐私权政策： a) 您在使用贝贝GO平台提供的搜索服务时输入的关键字信息； b) 贝贝GO收集到的您在贝贝GO发布的有关信息数据，包括但不限于参与活动、成交信息及评价详情； c) 违反法律规定或违反贝贝GO规则行为及贝贝GO已对您采取的措施。 信息使用 a) 贝贝GO不会向任何无关第三方提供、出售、出租、分享或交易您的个人信息

全国各地，无论是哪个地区的企业，对于这个时代的企事业单位而言，信息安全，互联网企业内部安全等一系列安全问题一直以来都是企业乃至于国家高度重视的层面。企事业单位需要采取一定的加密措施来实施对企业内部局域网数据文件的流通使用安全，由此可见，无论您是上市企业，还是中小企业，加强数据安全的管控对企业的发展而言，有利而无害！良好的数据防泄漏环境，能够助力企业在未来的发展中更显特色，并且能够有效的防止数据因为多种途径造成的泄漏问题。 公司内部加密软件跨部门使用权限问题如何管控？公司内部员工外发给客户或者合作伙伴的办公电子文件应该如何管控？企业如何防止黑客的攻击造成的数据泄漏？这都是企业在现阶段去筹划企业的发展中需要重点考虑的环境，也是企业迫切需要去解决的问题。 对于互联网企业而言，目前企业去布局和使用专业安全的加密软件，对于企业现阶段而言是可行的也是必须要执行的方案！目前国内企业所信赖的加密软件方案，主要是驱动层透明加密技术的加密软件产品，为什么是 驱动层透明加密 ？这类加密软件是基于Windows底层开发的，在底层数据文件产生的时候就会被采取一定的技术进行加密，并且在后期的使用流通过程中也都是一直处于加密状态的，并不影响企事业单位的日常办公的同时 能够提升办事效率，这也是目前企事业单位愿意使用和选择的加密软件方案。 风奥科技作为国内早期的数据防泄漏方案厂商