jenchoi413的博客

背景之前在Freenom上白嫖了 jenchoi.top/2023 这个域名， 用了差不多将近一年，主要写了些技术博客，把博客放在简历里，一切似乎风平浪静。 最近入职了新公司，好些时间没有管我的博客了，前些天通过域名访问的时候，突然发现访问不了了。起初我以为是手机没有挂梯子，有时候访问不到GitHub也很正常（博客托管在GitHub上），并没有在意。后面Vercel也发邮件告诉我域名有问题，我就上GitHub的发布页面看了下，发现也提示有问题，我就猜到，这个白嫖的域名应该是G了。后面又看到Freenom的一些新闻，确信域名是没了。。。至于是被回收了还是怎么的，我也不太清楚了，后面我尝试过几次，想重新去Freenom把域名注册回来，结果Freenom的网站访问奇慢，根本用不了，不管挂梯子与否，都差不多，于是我放弃了。 白嫖的域名失效以后，我意识到，白嫖的东西存在很大的不稳定性。后面我就一直在想：要不要买一个域名？ 要不要买域名？买域名必定要花钱，只不过是花钱多少的问题。 But, 我的问题就是不愿意花钱！就说搭个博客吧，用的GitHub Pages + Freenom白嫖的域名 ...

我与游戏关于端游上小学的时候，酷爱打游戏，下课网桌子上一坐，就开始和同学讨论游戏，什么飞车、洛克王国、炫舞、TNT、泡泡堂，玩的不亦乐乎，3366小游戏基本被我玩了个遍，都被我玩倒闭了（手动狗头），4399和7k7k现在还活着呢。那时候家里有电脑，一天净是折腾这些玩意，还因次被班主任教训了一顿。 那时候都是网页游戏，也有要下客户端的，但我玩的都是网页游戏。初二的时候，电脑被爸妈搬到厂里办公室去了，家里到厂里虽然不远，但是每天吃了晚饭走到厂里，没玩一会，就要回家睡觉了，第二天还得上学，就这么折腾了一周之后，我觉得太累了，之后，我就不这么折腾了。 从那之后，我就几乎告别了端游。 关于手游关于手游，小时候用按键手机玩推箱子、贪吃蛇、连连看这些游戏，那是很久远的事情了。 后来就是智能手机刚问世那会，我爸爸买了一台，那时候我用他的手机玩过摩托车游戏，那时候觉得新奇，控制摩托车不需要通过左右按键了，而是直接左右摇晃手机就行。现在我知道那是通过传感器来实现的，当时觉得牛逼坏了。 后面腾讯游戏开始搞手游了，天天酷跑应该算是首当其冲，那时候天天借叔叔他们的手机来玩这个游戏，因为我自己没有手机，叔叔他们也 ...

认证1、概念 认证是一个实体向另外一个实体证明其所声称的身份的过程 在认证过程中，需要被证实的实体是声称者，负责检查确认声称者的实体是验证者 通常情况下，双方要按照一定规则，声称者传递可区分其身份的证据给验证者，验证者根据所接收到的声称者的证据进行判断，证实声称者的身份 2、组成部分 标识 (Identification) 用来代表实体对象(如人员、设备、数据、服务、应用) 的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联 标识一般用名称和标识符(D)来表示，通过唯一标识符，可以代表实体。 鉴别(Authentication) 一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程 鉴别的凭据主要有所知道的秘密信息、所拥有的凭证、所具有的个体特征以及所表现的行为 3、认证依据(1) 所知道的秘密信息 (Something You Know)：实体(声称者) 所掌握的秘密信息，如用户口令、验证码等(2) 所拥有的实物凭证 (Something You Have)：实体(声称者) 所持有的不可伪造的物 ...

物理安全1、物理安全威胁 自然安全威胁 地震、洪水、火灾、鼠害、雷电 人为安全威胁 盗窃、爆炸、毁坏、硬件攻击 2、物理安全保护 设备物理安全设备物理安全的安全技术要素主要有设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性等方面。除此之外，还要确保设备供应链的安全及产品的安全质量，防止设备其他相关方面存在硬件木马和硬件安全漏洞。智能设备还要确保嵌入的软件是安全可信的。 环境物理安全环境物理安全的安全技术要素主要有机房场地选择、机房屏蔽、防火、防水、防雷、防鼠.防盗、防毁、供配电系统、空调系统、综合布线和区域防护等方面。 系统物理安全系统物理安全的安全技术要素主要有存储介质安全、灾难备份与恢复、物理设备访问、设备管理和保护、资源利用等。物理安全保护的方法主要是安全合规、访问控制、安全屏蔽、故障容错、安全监测与预警供应链安全管理和容灾备份等。 物理环境安全1、防火 原因：电线破损、电气短路、抽烟失误、蓄意放火、接线错误、外部火情蔓延到机房内以及技术上或管理上的原因等 防护措施 (1) 消除火灾隐患 (2) 设置火灾报警系统 (3) 配 ...

网络安全体系1、是什么网络安全体系是网络安全保障系统的最高层概念抽象，是由各种网络安全单元按照一定的规则组成的，共同实现网络安全的目标。 2、组成部分网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态安全投入等多种要素。 3、特征(1) 整体性。网络安全体系从全局、长远的角度实现安全保障，网络安全单元按照一定的规则，相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。(2) 协同性。网络安全体系依赖于多种安全机制，通过各种安全机制的相互协作，构建系统性的网络安全保护方案。(3) 过程性。针对保护对象，网络安全体系提供一种过程式的网络安全保护机制，覆盖保护对象的全生命周期。(4) 全面性。网络安全体系基于多个维度、多个层面对安全威胁进行管控，构建防护、检测、响应、恢复等网络安全功能。(5) 适应性。网络安全体系具有动态演变机制，能够适应网络安全威胁的变化和需求。 4、用途(1) 有利于系统性化解网络安全风险，确保业务持续开展并将损失降到最低限度(2) 有利于强化工作人员的网络安全意识，规范组织、个人的网络安 ...

分值：4-6分 重点：密码学安全分析、密码体制、RSA、国产密码算法、Hash 函数/算法、数字签名 密码学概述密码学是一门研究信息安全保护的科学，以实现信息的保密性、完整性、可用性及抗抵赖性。（CIA） 主要目的：保持明文的秘密以防止攻击者获知 密码学的组成 密码编码：研究信息的变换处理以实现信息的安全保护 密码分析：研究通过密文获取对应的明文信息 密码学发展 1949年，香农发表了著名的论文《保密系统的通信理论》，提出 交替使用换位 和 置换以抵御统计分析，增加了混乱 (Confusion) 和扩散 (Diffusion) 的密码技术新方法。 2005年4月1日起国家施行《中华人民共和国电子签名法》 2006年我国政府公布了自己的商用密码算法，成为我国密码发展史上的一件大事 2019年《中华人民共和国密码法》草案发布，2020年1月1日正式实行 ⭐密码安全分析(1) 唯密文攻击 (ciphertext-only attack) 。密码分析者只拥有一个或多个用同一个密钥加密的密文，没有其他可利用的信息。(2) 已知明文攻击 (known-plaintext at ...

昨晚，中共中央网络安全和信息化委员会办公室 发布了 关于调整《网络关键设备和网络安全专用产品目录》的公告，距离上次发布已经过了6年多的时间，我这也跟着紧跟时事了解一下。 相关资源如下 2023版公告原文：关于调整《网络关键设备和网络安全专用产品目录》的公告 2023版附件下载链接：网络关键设备和网络安全专用产品目录 2017版公告原文：关于发布《网络关键设备和网络安全专用产品目录（第一批）》的公告 在网络关键设备方面，6年过去了，没有任何变化 而网络安全专用产品，从2017年的11条增加到34条，新增了23条 17年只提供了传统的安全产品，23年的安全产品的范围更加广，更加细分 这也能能解释现在的网络设备厂商基本是那几家大厂，而安全厂商却百花齐放。因为安全的方向实在是太广了，新创安全厂商想要做产品，那么多的细分赛道可以选，没哪家新创公司敢去做ids，ips，waf这些传统安全设备。 网络关键设备路由器整系统吞吐量(双向) ≥１２Tbps整系统路由表容量 ≥５５万条 交换机整系统吞吐量(双向) ≥３０Tbps整系统包转发率 ≥１０Gpps 服务器(机架式)CPU 数量 ≥８个单 ...

8fa9860978f8b6e1e0631820e9e59b36181498ae61c2c3db78987fa2c54fb4eea4bf8ac14dccff6a350f2ded4be964a3c55f1a205957cef72a25c5dbc1adb92a45e93c07bb9d02527bada6f81ab29557a064e1da452c43eb180dc40efd5c75fc5e47e1e7db85467d7e392cce8058fa800d4b0bbc3ab9938e908a10fd5ce6d6dbc0414769412046c9279836ea7763513e70781135413a45947f5958a8ee5b188b71ccd367a5f2af709a3533bb545bdd517c93fa9811e30309ba5de56ef0bab2ad28726c34f79e3dafa846bc25c37130ee7024aab4d5b2a5e68b6084d7d705c1450851e161a027a1ae84c09aaf35453c0e1e60d2da45ed6bf28 ...

备考合集：2023软考-信息安全工程师 本章分析 分值：3-4分 重点：端口扫描、恶意代码、拒绝服务攻击、DDOS 攻击 网络攻击网络攻击是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。 常见的危害行为有四个基本类型：(1) 信息泄露攻击（机密性）(2) 完整性破坏攻击（完整性）(3) 拒绝服务攻击（可用性）(4) 非法使用攻击。 网络攻击模型（1）攻击树模型（故障树）（2）MITRE ATT & CK 模型（攻击矩阵）（3）网络杀伤链 (Kill Chain) 模型 网络攻击一般流程 (1) 隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。 利用被侵入的主机作为跳板； 免费代理网关； 伪造 IP 地址； 冒用户账号。 (2) 收集攻击目标信息。确定攻击目标并收集目标系统的有关信息。 (3) 挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。 (4) 获取目标访问权限。获取目标系统的普通或特权账户的权限。 (5) 隐蔽攻击行为。隐蔽在目标系统中的操作，防止入侵行为被发现。 连接隐藏 ...

备考合集：2023软考-信息安全工程师 本章分析 分值：选择题2-3分，案例题6分 重点 1.3 网络信息安全属性(CIA) 1.4 网络信息安全功能 定义、现状网络发展现状：数字化、网络化、智能化成为信息社会的主要特征，”万物互联”时代已经来临。 狭义上的网络信息安全特指网络信息系统的各组成要素符合安全属性的要求，即机密性、完整性、可用性、抗抵赖性、可控性 广义上的网络信息安全是涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的”大安全“ 变化围绕网络安全问题，保障网络信息安全的对象内容、理念方法、持续时间都在不断演变，其新的变化表现为三个方面 一是保障内容从单维度向多维度转变，保障的维度包含网络空间域、物理空间域、社会空间域 二是网络信息安全保障措施从单一性（技术） 向综合性（法律、政策、技术、管理、产业、教育）演变 三是保障时间维度要求涵盖网络系统的整个生命周期，保障响应速度要求不断缩短，网络信息安全没有战时、平时之分，而是时时刻刻 法律法规2016 年国家发布了《国家网络空间安全战略》，相关的网络安全法律法规政政策也相继出台《中华人民共和国 ...