qq_42171569的博客

07_《计算机安全原理与实践》数据库随笔1.数据库安全面临的挑战对于一个群体而言（可以是任意的组织、机构），数据库是用于存储敏感数据的媒介。实际运用中，这些数据的访问对于业务开展至关重要。因此，这些敏感信息就成为了敌手（可能来自内部，也可能来自外部）的目标，稍有不慎，针对这些敏感信息的恶意攻击就会造成无法挽回的损失。可见，数据库安全至关重要。信息安全的发展是一个攻防相互促进，在竞争中发展的过程。作为信息安全的重要组成部分，数据安全与数据运用发展也是不匹配的，具体如下：DBMS的复杂程度不断增加，配

06_《计算机安全原理与实践》访问控制1. 访问控制原理【访问控制的概念】不同机构对访问控制的定义是不同的，广义角度上来说，访问控制与所有的计算机安全相关领域密切相关（以sql注入为例，如果发现当前注入网站的数据库用户拥有root权限，那么就可以进行许多高权限操作）。具体来说，访问控制思想可以分成两个方面：1.对于资源来说：指定对于一个具体的资源可以被哪些实体访问；2.对于实体而言：某个具体的实体对象可以访问哪些资源。【访问控制的基本元素】我们将主体、客体和访问权称作访问控制的基本元素。主体：

05_《计算机安全原理与实践》用户认证前言NIST SP 800-63-3 将用户认证定义为：信息系统对用户电子式提交的身份建立信任的过程。系统根据用户提交的认证信息判断用户是否被授权使用系统的某些资源。举个例子，在使用window系统时需要输入pin来登录设备，获得pc的使用权。本章将简要罗列用户验证的相关原理，对书中留下的主要问题进行简要讨论。1.认证方法和风险评估1.1 四种认证方法计算机系统主要基于四种方法对用户进行认证：1.个人所知道的信息：可以是个人标识码或口令，或是关于预设问题的应

04_《计算机安全原理与实践》密码编码工具（下）含本章理论性习题解答前言本专栏上一篇博文介绍了消息认证的机理和非对称加密体系，从实际应用角度，二者是不可分割的。本章将在上一章的基础上进行延申，主要介绍非对称加密体系在数字签名和密钥管理方面的应用。1.数字签名​ 当谈及这个话题，实际上有炒冷饭的嫌疑，本质上来说就是前篇博客中提到利用非对称加密技术的消息认证。以现实中的写信为例，写完信后写信者会签上自己的名字，而收信人可以根据信件上的签名字迹判断是写信者本人签名还是他人伪造的签名。在计算机通信中也存在

03_《计算机安全原理与实践》密码编码工具（中）前言【前篇回顾】在上一篇博客中，简要介绍了对称加密算法的工作机制、常见的对称加密算法、并讨论了分组密码和流密码的联系和区别。需要注意：关于分组密码和流密码，书中有一段描述，现将其概括如下：从工作机制上看，似乎流密码更适合数据流加密/解密的场景（数据流在信道中的传输，或者是网页请求），但是在实际应用中无论是流密码还是分组密码都可以用在任何形式的应用场景中。【题外话】本篇开始，由于原著实体书已经到手，为保证行文流畅性，所以不再加入原著PPT译读。【本篇

02_《计算机安全原理与实践》密码编码工具（上）前言【一个讨论】前一篇博客中有提到信息安全行业的三个问题：”Q1.我们需要保护什么样的资产？Q2.这些资产是如何受到威胁的？Q3.我们应当做些什么来应对这些威胁？“；关于Q3，私信中有这样的疑惑，前一篇博客中举例：从管理人员角度，他们则会思考如何预防入侵，如何在入侵发生后使得资源损失最小化。这个例子中为何管理人员还要考虑入侵发生过后，损失最小化的问题,难道不能设计一个周全的安全机制?对于这个问题，其实也是涉及两派观点，曾经一派认为存在一个绝对安全

01_《计算机安全原理与实践》概述部分随笔前言本章讨论的是一些通识性的知识，主要围绕的是贯穿信息安全行业的三个基本问题，这里引用原文：”Q1.我们需要保护什么样的资产？Q2.这些资产是如何受到威胁的？Q3.我们应当做些什么来应对这些威胁？“举个例子来理解这三个问题：假定我们的目标是个网站，那么网页中的数据、服务器资源、后台用户数据等等一系列资源都是我们想要保护的资产（Q1）。那么从web安全的角度上，敌手（adversary）会从中间件到搭建平台，从CMS到操作系统详尽的对站点进行信息收集寻找漏