Day 23
最近开始快速浏览“资讯安全概论”（第四版）
这本书原本是初级的参考书目之一
但是中级没有参考书目还是买来看看
有翻了一些建立概念很好用
密码学、作业系统安全、存取控制（相对技术性比较高的章节）
＊密码学的安全目标：保密性、完整性、验证性、不可否认性。
1977 美国国家标准局公司了资料加密算法的国家标准:DES
近30年后又公布了另一个标准：AES
＊DES, AES 均属于对称性加密。
1976 Diffie, Hellman、 1977 Rivest, Shamir, Adleman 提出了RSA
＊非对称加密。
1991 美国国家标准局公布了：数位签章标准。
目前最新的版本为 FIPS 186-5 (2023/02/03)
．对称金钥算法：DES, AES
原理：混淆、扩散
增加复杂度的做法：替换、重排
．公开金钥算法：RSA, ElGamal, ECC
做法：金钥对产生、讯息加密、讯息解密
．DSA, ECDSA 签章算法
做法：金钥对产生、签章、验章
使用杂凑函数实现。
密码技术应用：应用系统（SSL, 数位信封）、标准格式（PKCS）、
加密算法、数学运算
加盬杂凑法：使用杂凑函数保护密码避免管理人员或其他人窥视。
数位签章：使用杂凑验证签章、使用送讯者的私密金钥加密必须由送
讯者的公开金钥解开。
数位信封：送讯者使用收讯者公开金钥加密，收讯者个人私密金钥解密。
数位凭证：辨识使用者身份用。
网页加密传输：SSL/TLS, 建立于传输层之上、应用层之下。
/* 系统安全 */
电脑系统分成：硬件、驱动程式、作业系统、应用程式。
作业系统功能：行程管理、内存管理、输出输入管理、档案管理。
常见作业系统
．PC: Windows, macOS, chrome OS, Linux
．mobile: iOS, Android
．Server: Unix, Linux(CentOS, Ubuntu), Windows
．Embeded: FreeRTOS, uC/OS II, Raspberry Pi
作业系统安全架构：行程隔离、保护圈环、抽象接口、安全模式
．恶意程式：电脑病毒、电脑蠕虫、后门程式、木马程式、间谋软件、
钓鱼网页
存取控制：作业系统中管理系统资源的机制控制每一个主体依其权限
以存其各项客体资源的控管方法。
存取控制的目标：
．资讯之存取控制
．避免资讯系统遭受未授权之存取
．保护网络服务
．避免电脑资遭受未授权之存取
．侦测未授权的行为
．确保行动设备与电脑网络设施之安全
分成两类：DAC, MAC