前言
马上要去面试安全岗了,总结一下:
1.IS027001
全称是信息安全管理体系,是信息安全管理的国际标准,用于组织的信息安全管理组织和实施,采用PDCA过程,也就是PLan DO check action,也就是计划、实施、检查、采取措施,这是一套标准,可以申请认证证书。
2.对企业安全或者说是银行信息安全的理解
我觉得对于银行来说,业务是核心,任何脱离业务谈安全或者脱离安全谈业务都是不切实际的,保障业务的安全性、稳定性、持续性是安全工作的目的,那么和业务紧密相连的就是银行的资产,要搞清楚银行有多少资产,多少类资产,每种资产会面临着什么样特定的危险,然后逐个击破。
3. 安全开发生命周期
SDL,就是在软件开发的每个时期内,包括问题的定义与规划、需求分析、软件设计、程序编码、软件测试,这些时期内都加入安全管理,目标是开发出安全合规的软件并降低软件开发过程的成本。
4.代码审计
利用人工或者工具软件对程序源代码逐条进行检查和分析,找出其中的安全漏洞,比如sql注入等,主要是针对C或者C++这种语言,因为其直接对计算机地址进行操作,危险性更高。
5.WAF
Web Application Firewall,web应用防火墙,用在传统防火墙的后面,运行在应用层。
6.防火墙
分为各种等级防火墙,在osi的第二层到第七层都可以使用,主要技术有包过滤,ip地址转换等。
7.各类加密算法
对称加密算法:DES 3DES IDEA RC-4 RC-5 AES
非对称加密算法:RSA ECC elgamal
混合加密:用非对称算法交换会话密钥,用会话密钥加密数据。
散列算法:MD4 MD5 SHA安全散列
数字证书:用户用自己的私钥对哈希摘要加密得到的数据
PKI(公钥基础设施)
CA()负责发放和管理数据证书的权威机构
RSA:非对称加密算法的代表,基于一个事实,给定两个约数,得到他们的乘积很容易,但是给定乘积,想得到特定的两个说却很难。
8.国密改造
主要有 SM1、SM2、SM3、SM4。密钥长度和分组长度均为 128 位。SM1 为对称加密,SM2 为非对称加密,SM3 消息摘要,SM4 分组密码算法。
9.web常见漏洞
1.sql注入
2.跨站脚本攻击
3.上传漏洞
4.文件解析漏洞
5.跨站请求伪造
6.弱口令攻击
7.分布式拒绝服务攻击
10.常用集成扫描工具
1.Metasploit 渗透测试框架
2.AWVS 漏洞扫描工具
3.Kali linux 专注于安全的操作系统
4.burpsuit 攻击web应用程序的集成平台
5.fiddle 专注于http,是一个http调试代理
6.wireshark 网络抓包分析工具
7.Nessus 集成的系统漏洞扫描工具
9.nmap 网络扫描和嗅探,主要用于端口扫描
11.tcp三次握手