2022-2023-1 20211408 《信息安全专业导论》第十二周学习总结

标签：第十二 20211408 访问信息安全用户学习密码 2022 2023

2021-2022-1 20211408 《信息安全专业导论》第十二周学习总结

2021-2022-1 20211408 《信息安全专业导论》第十二周学习总结
作业信息

作业模板：https://www.cnblogs.com/rocedu/p/9577842.html#JXJC
作业要求：https://www.cnblogs.com/rocedu/p/9577842.html#WEEK12

教材学习内容总结
1.1信息安全:用于确保正确访问数据的技术与政策。

技术层面上说，信息安全不同于网络安全。网络安全指的是应对攻击的网络空间（因特网上可以获得的资源）使用的保护和防御。如下图所示。
然而，由于大多数信息都存储在电子设备中，这些电子设备又可以联网，因此这两个概念有很大一部分重叠，有时会互用。

信息安全——C（confidentiality）,I（integrity）,A（availability）

保密性（C）：指确保关键数据受到保护以免受未经授权的访问。

完整性（I）：指确保数据只能通过适当的机制修改，。它定义了你对信息的信任程度。

可用性（A）：是指授权的用户能在必要时以合法的目的访问适当信息的程度，即授权用户以合法目的访问信息的程度。

1.2阻止未授权访问
用户认证：
用户认证：验证计算机或软件系统中特定用户凭据的过程。
鉴别凭证：用户访问计算机时提供的用于识别自身的信息。
智能卡：具有嵌入式内幕内存的卡，用于识别用户，进行访问控制。
生物特征卡：用人的生物特征（比如指纹）识别用户并进行访问控制。

1.3密码：密码是一个字符串，只有你作为特定账户的用户才可以知道
下面是一个关于密码管理的指南：
·创建一个你容易记住的密码，但难以被其他人猜到。
·不要使用简单的密码，尤其是涉及个人信息的密码，像是你的狗的名字。
·不要把密码写下来，以免其他人看到。
密码中使用字符组合，包括大写和小写字母、数字和特殊字符。
·不要登入账户后离开你的计算机。
永远不要告诉任何人你的密码，永远都不会有让你这么做的正当理由。
不要把你的密码附在电子邮件中。大多数电子邮件在发送时并没有加密，可以很容易地截获。
·不要为所有在线账户设置相同的密码。如果一个被攻破，那么所有的都会被攻破。

1.4恶意代码：一种计算机程序，尝试绕过正当的授权保护执行未许可的功能。
以下是几种恶意代码类型

病毒（virus):能够自我复制的恶意程序，通常嵌入在其他代码中。
蠕虫（worm):一种独立的恶意程序，目标通常是网络资源。
特洛伊木马（Trojan horse):伪装成善意资源的恶意程序。
逻辑炸弹（logic bomb):一种恶意程序，被设置为在某些特定系统事件发生时执行。

1.5安全攻击
几种安全攻击的方式：

密码猜测:通过系统地尝试来判断用户密码，从而获取对计算机系统的访
网络钓鱼（欺骗）:利用网页伪装成受信任系统的一部分，从而诱使用户暴露安全信息。
缓存溢出:计算机程序的一个缺陷，会导致系统崩溃，并让用户有更高的访问权限
Dos攻击（拒绝服务攻击）:并不直接破坏数据或进行不正当的访问，通过网络，让大量通信包涌入站点或其他网络资源，
使它保持忙碌状态，从而不能处理其他许可的用户请求，有时甚至使系统自身崩溃。
中间人攻击：一种安全攻击，即通过获取关键数据截取网络通信消息。

1.6密码学（cryptography):与编码信息有关的研究领域。
加密（encryption):将明文转换为密文的过程。
解密（decryption):将密文转换为明文的过程。
密码（cipher):一种用于加密和解密文本的算法。
替换密码（substitution cipher):将一个字符替换成另一个字符的密码。
密码分析（cryptanalysis):解密不知道密码或加密密钥的消息的过程。
公开密钥密码（public-key cryptography):一种加密方法，其中每个用户都有两个相关的密钥，
一个是公开的，一个是私有的。
数字签名（digital signature):附加在消息中的数据，利用消息本身和发送者的私有密钥以确保
消息的真实性。
数字证书（digital certificate):发送者认证的用于最小化恶意伪造的公开密钥的表示。

教材学习中的问题和解决过程
本周无

代码调试过程中的问题和解决过程
本周无

代码托管
本周无

上周考试错题及总结