1、源码扫描的工作原理。
即为白盒测试、静态扫描。
https://www.cnblogs.com/andy9468/p/11897812.html
2、我从事安全岗位后,对信息安全的理解
安全,是一种能力,包括抵御能力、恢复能力和控制能力。即为:事前防御、事后恢复、整体控制。(我的理解)
信息,就是数据。
信息系统,就是存储信息、提供服务的网络设备(节点)和传输介质设备(链路)组成的数据系统。
信息安全,就是信息系统的安全。包括网络传输时候的安全、信息位于网络节点上的安全。本质上就这两个方向内容。
安全三元组(CIA):保密性、完整性、可用性。(Confidentiality、Integrity、Availability)。详细:http://www.zpedu.org/Info-neirongye-4493_114.html
安全服务:包括认证、访问控制、数据机密性、数据完整性、不可抵赖性、可用性服务。
认证:就是确保通信实体就是它声称的那个实体。包括对等实体认证、数据源认证。
访问控制:就是防止对资源的非授权使用。(如:此项服务谁可以访问,哪些资源允许做什么)
数据机密性:就是防止非授权的数据泄露。包括:连接机密性、无连接及面向、选择域机密性、流量机密性。
数据完整性:就是确认认证实体发送的数据与接收到的数据完全相同(如:无篡改、插入、删除或者重放)
不可抵赖性:就是提供对被全程参与或部分参与通信的视图拒绝的防范。
可用性服务
访问安全