20191206第十二周《信息安全专业导论》学习总结

计算机科学概论
一、各级安全
（一）信息安全
1．Information security：用于确保正确访问数据的技术和政策
2．信息安全可以说是一下三性的结合：
（1）保密性（confidentiality）确保数据被保护，免受未经授权的访问
（2）完整性（integrity）保护数据只被合适的机制修改
（3）可用性（availability）授权用户以合法目的访问信息的程度
（4）风险分析（risk analysis）确定关键数据风险的性质和可能性
二、阻止未授权访问、
（一）概论
1．用户认证（user authentication）验证计算机或软件系统中特定用户凭证的过程
2．鉴别凭证（authentication credential）用户访问计算机时提供的用于识别自身的信息
3．智能卡（smart card）具有嵌入式内存芯片的卡，用于识别用户，进行访问控制
4．生物特征（biometric）用人的生物特征（比如指纹、视网膜、声音模式）识别用户并进行访问控制
（二）密码
1．密码标准（password criteria）创建密码时遵守的一套准则
2．密码管理软件（password management software）以安全的方式帮助你管理密码等蜜柑数据的程序
3．验证码（CAPTCHA）一种软件机制，用来验证一个网络表是由一个人提交的，而不是一个自动化的程序。
4．指纹分析（fingerprint analysis）将扫描指纹与用户指纹存储的副本进行比较，用于用户身份验证的技术
三、恶意代码
（一）概述
1．恶意代码（malicious code）一种计算机程序，尝试绕过正当的授权保护执行未许可的功能
2．病毒（virus）一种能够自我复制的恶意程序，通常嵌入在其他代码中
3．蠕虫（worm）一种独立的恶意程序，目标通常是网络资源
4．特洛伊木马（trojan horse）伪装成善意资源的恶意程序
5．逻辑炸弹（logic bomb）一种恶意程序，被设置为在某些特定系统事件发生时执行
（二）杀毒软件
1．杀毒软件（antivirus software）为检测、删除、防止恶意软件而设计的软件。
（三）安全攻击
1．密码猜测（password guessing）通常系统的尝试来判断用户密码，从而获取对计算机系统的访问的企图
2．网络钓鱼（phishing）利用网页伪装成受信任系统的一部分，从而诱使用户暴露安全信息。
3．欺骗（spoofing）恶意用户伪装成许可用户对计算机系统进行的攻击
4．后门（back door）程序的一个问题，知道它的任何人都可能利用它对计算机系统进行特殊的或未经许可的访问
5．缓存溢出（buffer overflow）计算机程序的一个缺陷，会导致系统崩溃，并让用户具有更高的访问权限
四、密码学
（一）概述
1．密码学（cryptography）与编码信息有关的研究领域
2．加密（encryption）将明文转换为密文的过程
3．解密（decryption）将密文转换为明文的过程
4．密码（cipher）一种用于加密和解密文本的算法
5．替换密码（substitution cipher）将一个字符替换成另一个字符的密码
6．凯撒密码（caesar cipher）将字符移动字母表中的一定数量位置的替换密码
7．转换密码（transposition cipher）将消息中的字符重新排序的密码
8．路径密码（route cipher）将消息放到网格中并按照特定方式进行遍历的转换密码
9．密码分析（cryptanalysis）解密不知道密码或加密秘钥的消息的过程
10．公开密钥密码（public-key cryptography）一种加密方法，其中每个用户都有两个相关的秘钥，一个是公开的，一个是私有的
11．数字签名（digital signature）附加在消息中的数据，利用消息本身和发送者的私有秘钥以确保消息的真实性
12．数字证书（digital certificate）发送者认证的用于最小化恶意伪造的公开秘钥的表示
五、保护你的在线信息
1．安全策略（security policy）描述约束或行为的书面声明，包括其用户提供的消息。
2．GPS（global positioning system）一种利用卫星来精准定位任何GPS接收器的系统
3．维基密码，wiki：允许多个用户进行编辑和修改的网站