Crash course-CS-计算机安全

1. 计算机安全：保障保密性、完整性、可用性

1.1 保密性：有权限才能读取数据

1.2 完整性：有权限才能使用和修改数据

1.3 可用性：有权限就能随时访问数据（DDOS攻击使网站无法访问）

2. 两大安全问题

2.1 Who are you？

身份认证：What you know?密码 What you have？秘钥 What you are？身份识别

2.2 What should you have access to？

访问控制列表Access control list：不能向上读，不能向下写

3. 安全系统

保障安全前提：可信的程序和系统

定义安全系统：尽量少的代码且保持安全性

保持安全性手段：独立安全检查和质量验证（开源）

降低损害：sandbox沙箱（每个程序单独内存块，不能访问其他）；虚拟机上的程序只会损害虚拟机上的系统

4. 黑客和攻击：social engineering

4.1 攻击方法：欺骗别人泄露信息或配置电脑使得易于攻击

4.2 举例：钓鱼网站、假托Pretexting

4.3 恶意软件malware（木马）

4.4 漏洞利用Exploit：通过系统的bug来获取某些权限

4.5 常见攻击：buffer overflow攻击（通过溢出往其他内存空间注入数值获得权限）；解决方法：长度检查、缓冲区检查

4.6 代码注入：SQL语句注入；解决手段：删除语句再执行

4.7 DDoS攻击：控制僵尸服务器发送大量垃圾信息到服务器导致堵塞

5. 加密

5.1 硬件加密：Engima

5.2 软件加密：DES用56位加密；AES用128、192、256位加密

AES：以16 bytes为一块用秘钥进行替换加密和移位加密（存在性能和安全性的平衡）

5.3 秘钥交换（秘钥即明文到密文的映射）：

① 迪菲赫尔曼秘钥交换（对称加密）

②  非对称加密（一个公钥一个私钥）

公钥加密，私钥解密。

私钥加密，公钥解密。

数字证书：服务器私钥加密，其他人用公钥解密。如RSA加密