sparename的博客

软件安全开发软件安全开发生命周期软件安全需求及设计软件安全实现软件安全测试软件安全交付软件安全开发生命周期◆软件生命周期模型◆了解软件生命周期的概念及瀑布模型、迭代模型、增量模型、快速原型模型、螺旋模型、净室模型等典型◆软件开发生命周期模型。◆软件危机与安全问题◆了解三次软件危机产生的原因、特点和解决方案◆了解软件安全和软件安全保障的基本概念。◆软件安全生命周期模型◆了解SDL、 CLASP、CMM、SAM、BSIM等典型的软件安全开发生命周期模型。软件生命周期模型◆软件的定义◆软件

访问控制访问控制基础自主访问控制模型强制访问控制模型基于角色的访问控制模型特权管理基础设施访问控制基础◆理解访问控制的概念、作用及访冋控制模型的概念访问控制基础◆什么是访问控制◆为用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理，防止对信息的非授权簒改和滥用◆访问控制作用◆保证用户在系统安全策略下正常工作◆拒绝非法用户的非授权访问请求◆拒绝合法用户越权的服务请求◆访问控制模型基本概念◆一个信息系统在进行安全设计和开发时，必须满足某一给定的安全策略，即有关管理、保护和发布敏

身份鉴别1、身份鉴别基础2、基于实体所知的鉴别3、基于实体所有的鉴别4、基于实体特征的鉴别5、 kerberos体系6、认证、授权和计费1、身份鉴别基础◆理解标识与鉴别的区别、鉴别类型、鉴别方式等◆基本概念◆了解对身份鉴别系统的主要要求身份鉴别的概念◆标识◆实体身份的一种计算机表达◆每个实体与计算机内部的一个身份表达绑定◆信息系统在执行操作时，首先要求用户标识自己的身份，并提供证明自己身份的依据，不同的系统使用不同的方式表示实体的身份，同一个实体可以有多个不同的身份◆标识示例◆用户ID

密码学基础5.1 密码学基本概念5.2 对称密码算法5.3 非对称密码算法5.4 其他密码服务5.5公钥基础设备5.1 密码学基本概念密码学形成与发展◆古典密码学(1949年之前)◆主要特点：数据的安全基于算法的保密◆近代密码学(1949~1975年)◆主要特点：密码学真正成为]科学◆现代密码学(1976年以后)◆密码学的新方向公钥密码学◆主要特点：解决了密钥分发和管理的问题密码学形成与发展例如： ENIGMAENIGMA-是由 Arthur Scherbius(亚瑟谢尔比斯）于1

应用与数据安全4.1 应用安全4.2 数据安全4.1 应用安全◆Web应用安全◆了解WEB体系架构；◆理解HTTP协议工作机制及明文传输数据、弱验证、无◆状态等安全问题；◆理解SQL注入攻击的原理及危害；◆了解跨站脚本安全问题的原理及危害及其他针对WEB的攻击方式；◆了解WEB防火墙、网页防篡改等常见Web安全防护技术作用。应用安全威胁◆应用系统的体系架构◆客户端◆传输协议◆应用服务软件◆数据库◆复杂性和多样性使得安全问题也呈现出多样化的特点Web应用安全◆WEB服务器端安

操作系统安全与系统攻击3.1 操作系统安全3.2 信息收集与系统攻击3.1 操作系统安全◆操作系统安全机制◆了解操作系统标识与鉴别、访问控制、权限管理、信道保护、安全审计、内存存取、文件保护等安全机制◆操作系统安全配置◆了解安全补丁、最小化部署、远程访问控制、账户及口令策略、安全审计及其他操作系统配置要点。◆操作系统安全目标◆标识系统中的用户和进行身份鉴别◆依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问◆监督系统运行的安全性◆保证系统自身的安全和完整

网络通信安全2.1 OSI通信模型2.2 TCP/IP协议安全2.3 无线通信安全2.4 典型网络攻击与防范2.5 网络安全防护技术2.1 OSI通信模型◆OSI摸型◆理解OSI七层模型构成及每一层的作用；◆理解协议分层的作用◆OSl模型通信过程◆理解OSI模型通信过程及数据封装、分用等概念◆OSI模型安全体系构成◆了解OSI模型安全体系的构成◆了解OSI模型的五类安全服务、八种安全机制的概念ISO/OSl七层模型结构◆模型定义了网络中不同计算机系统进行通信的基本过程和方法◆底

物理安全1.1 规划物理安全2.2 场地安全3.3 设施安全4.4 传输安全1.1 规划物理安全◆了解物理安全的重要性；◆了解如何通过环境设计来预防犯罪;◆了解如何科学地制定物理安全计划;物理环境安全物理安全包含哪些内容◆物理安全是保护信息稳定、可靠的运行，确保信息系统在对信息进行采集、传输、存储、处理等过程中不会因为自然因素、人为因素等原因导致服务中断、数据丟失、破坏等问题。◆物理安全需要面对的是环境风险及不可预知的人类活动，是一个非常关键的领域，也是安全保障的第一道防线。◆物理安全机制

信息安全法律法规一、信息保护相关法律法规1、保护国家秘密相关法律法规2、保护商业秘密相关法律法规3、保护个人信息相关法律法规二、打击网络违法犯罪相关法律法规三、信息安全管理相关法律法规一、信息保护相关法律法规我国信息安全法治建设的发展历程1、保护国家秘密相关法律法规◆保护国家秘密相关法律◆《保守国家秘密法》、《刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等《保守国家秘密法》◆主旨（总则）◆目的：保守国家秘密，维加国家安全和利益◆国家秘密受法律保护，一切单位和公民都有保守

信息安全管理一、信息安全管理概述二、信息安全风险管理1、信息安全风险2、风险管理三、信息安全事件与应急响应1、信息安全事件2、信息安全应急响应3、信息安全应急响应管理过程一、信息安全管理概述信息安全管理（ Information Security Management ISM)◆ISM是管理者为实现信息安全目标（如信息资产的CIA等特性、业务运行的持续性）而进行计划、组织指挥、协调和控制的一系列活动。◆ISM管理对象是组织的信息及相关资产，包括信息人员、软件等，同时还包括信息安全目标、信息安全组织架

移动智能终端安全防护一、移动智能终端概述移动智能终端的定义移动智能终端的特点智能手机平台安全性差异二、移动智能终端安全威胁移动智能终端主要安全威胁1、伪基站攻击2、二维码扫描3、移动终端遗失的安全威胁4、手机病毒5、恶意扣费软件三、移动智能终端的安全防护一、移动智能终端概述移动终端或者叫移动通信终端是指可以在移动中使用的计算机设备，广义的讲包括手机、笔记本、平板电脑、POS机甚至包括车载电脑。但是大部分情况下是指手机或者具有多种应用功能的智能手机以及平板电脑。随着网络和技术朝着越来越宽带化的方向的发展，

应用安全一、浏览器安全二、网上金融交易安全（一）、网上银行1、概述2、安全措施3、常见银行网址4、注意三、电子邮件安全（一）、电子邮件主要安全威胁1、电子邮件欺骗2、垃圾邮件3、邮件病毒4、邮件炸弹（二）、电子邮件安全防护技术1、邮件过滤2、邮件加密和签名四、数据安全（一）、数据安全面临的其他威胁1、设备丢失2、数据被窃取、恶意恢复3、数据安全防护注意事项（二）、数据备份1、概念2、重要性3、数据备份与数据复制4、数据备份与数据存储硬件容错5、完全备份、增量备份和差异备份五、账号口令安全（一）、账户口令面临

操作系统安全防护一、操作系统的概述二、操作系统的安全威胁1、漏洞和漏洞扫描2、恶意代码3、端口扫描威胁三、操作系统安全防护1、安全防护策略2、补丁程序3、终端防护软件4、个人防火墙一、操作系统的概述◆操作系统( Operating System,OS)是计算机系统软硬件资源的控制中心，它以尽量合理有效的方法组织多个用户程序共享计算机的各种资源。◆有效( efficient):系统效率，资源利用率(如：CPU利用的充足与否，内存、外部设各是否忙碌)◆合理：公平与否，如果不公平则会产生“死锁”'或“饥饿

网络安全防护技术一、网络基础知识(1)TCP/IP协议(2)超文本标记语言HTML(3)超文本传输协议HTTP(4)端口(5)域名系统DNS(6)统一资源定位符URL(7)万维网WWW二、网络安全威胁1、社会工程学攻击2、网络嗅探3、网络钓鱼攻击4、拒绝服务攻击5、远程控制攻击三、网络安全防护与实践1、虚拟专用网络2、防火墙四、无线局域网安全防护1、无线局域网概述2、无线接入点安全管理一、网络基础知识(1)TCP/IP协议◆传输控制协议困特网互联协议（ Transmission Control Pro

信息安全基础技术密码学1、加密与解密2、哈希函数3、数字签名身份认证1、身份认证基本方法2、数字证书和公钥基础设施3、常见身份认证应用举例访问控制1、访问控制基本概念2、访问控制技术简介1、自主访问控制2、强制访问控制3、基于角色的访问控制安全审计密码学威胁、安全属性与密码学技术的相互关系面临的攻击威胁所破坏的信息安全属性解决问题所采用的密码学技术截获(泄露信息)机密性对称密码和非对称密码篡改(修改信息)完整性哈希函数、数字签名、对称密码和非对称密码伪造(伪造

信息安全概述一、信息与信息安全1、信息与信息技术2、信息安全二、信息安全威胁1、我国面临的信息安全威胁2、信息安全问题产生的根源三、信息安全发展阶段与形势四、信息安全与保障五、信息系统安全保障一、信息与信息安全1、信息与信息技术信息奠基人香浓认为：信息是用来消除随机不确定性的东西。信息是食物运动状态或存在方式的不确定性的描述。信息是具体的，并且可以被人（生物、机器等）所感知、提取、识别、可以被传递、储存、变换、处理、显示、检索和利用。信息来源于物质，又不是物质本身；它从物质的运动中产生出来，又可