《ISO/IEC TR 13335信息安全技术指南》是国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的一份技术报告，旨在为组织和个人提供信息安全管理和实践方面的指导。这个中文版的压缩包包含了五个部分的PDF文档，分别是13335-1至13335-5，涵盖了该技术指南的全面内容。 1. **ISO/IEC TR 13335-1：信息安全管理体系** 这一部分主要介绍了信息安全管理体系（ISMS）的基础概念、原理和实施过程。ISMS是一种系统的方法，用于管理组织的信息安全风险，确保信息资产的保护符合业务需求和法律法规要求。它包括风险管理、策略制定、政策实施、审核和持续改进等多个环节。 2. **ISO/IEC TR 13335-2：信息安全管理体系实施** 在这一部分，详细阐述了如何在实际操作中建立和运行ISMS，包括需求分析、风险评估、控制选择、实施和监控等步骤。此外，还讨论了ISMS与组织其他管理体系的整合，以及如何通过内部审计和管理评审来保证其有效性和适应性。 3. **ISO/IEC TR 13335-3：信息安全风险评估** 风险评估是ISMS的核心，这部分详细介绍了风险评估的流程和方法，包括识别威胁、脆弱性、影响和可能性，以及如何计算风险等级。此外，还探讨了定量和定性风险评估的区别以及如何选择合适的评估工具。 4. **ISO/IEC TR 13335-4：信息安全控制选择和应用** 这部分主要讨论了信息安全控制的选择和应用，涵盖了技术、操作、管理和法律等领域的控制措施。这些控制措施旨在降低风险到可接受的水平，同时考虑到成本效益和可行性。 5. **ISO/IEC TR 13335-5：信息安全管理体系的持续改进** 最后一部分，强调了ISMS的持续改进和成熟度模型。通过定期审计、评审和反馈，组织可以不断提升其信息安全管理水平，适应不断变化的风险环境和技术发展。 这份指南对于那些负责建立、实施或改进组织ISMS的专业人士来说具有很高的参考价值。它提供了全面的理论框架和实践经验，帮助组织实现信息安全的系统化管理，保障业务的连续性和稳定性。同时，理解和应用ISO/IEC TR 13335标准也有助于满足ISO 27001等信息安全认证的要求，提升组织的信誉和市场竞争力。

01GB 17859-1999计算机信息系统 安全等级保护划分准则 02GBT 22240-2020 信息安全技术 网络安全等级保护定级指南 02GB-T 25058-2010 信息安全技术 信息系统安全等级保护实施指南 03GB-T 22239-2019 信息安全技术 网络安全等级保护基本要求 03GB-T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 04GB-T 28448-2019 信息安全技术 网络安全等级保护测评要求 05GB-T 20984-2007 信息安全技术 信息安全风险评估规范 06GB-T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求

《GB 35114-2017 公共安全视频监控联网信息安全技术要求》是一份重要的中国国家标准文件，它为公共安全视频监控系统的联网信息安全设定了技术要求。这份标准涵盖了多个技术方面，包括了视频监控系统中信息传输、处理和存储等环节的安全性。对于从事视频监控技术开发、安装、运营、维护的工作人员来说，掌握这份标准的要求是至关重要的。 标准中提到了协议接口规范，这是视频监控系统互联互通的技术基础。一个统一的协议接口规范能确保不同厂商生产的监控设备能够在同一个网络环境中顺畅地交换数据。在协议接口的制定上，需要考虑到数据封装格式、传输协议、会话控制、身份认证、信息加密等诸多方面。比如，应当明确传输过程中数据包的结构，包括头部信息和负载数据部分，确保接收端能够正确解析发送端的数据。此外，会话控制需要定义设备间建立、维护和终止通信会话的过程以及通信双方的数据交换顺序。 在平台操作命令的支持上，标准提出了对视频监控系统中心控制平台的指令集要求。这些操作命令涵盖了从最基本的设备开/关机、参数配置、视频录制和回放到更高级的事件响应、用户管理、数据分析等功能。要实现这些命令的标准执行，就需要有一个清晰定义的命令集，并且要求所有支持该标准的监控设备都能够理解和执行这些命令。 文档还强调了视频监控数据的加密传输。在传输链路中，数据的安全性是至关重要的，一旦数据被截获，可能导致隐私泄露、监控信息被篡改等风险。因此，标准中会提出对数据进行加密的要求，常见的加密方法包括对称加密和非对称加密。对称加密算法具有处理速度快、效率高的特点，适用于大量数据的加密传输；而非对称加密算法则在密钥分发和管理上更为安全，适合用于身份认证和安全通信会话的建立。在实际应用中，二者往往结合使用，即利用非对称加密算法交换对称加密密钥，然后用对称加密算法加密传输数据。 标准还可能要求视频监控系统具有安全审计功能。审计日志记录了系统中所有重要的操作和事件，是进行安全事件分析和故障排查的重要手段。因此，标准会规定审计日志的存储、保护、备份和审查等方面的要求，以保证审计日志的完整性和不可否认性。 除了上述技术要求外，标准还可能涉及以下方面： - 视频监控系统的信息存储安全，如数据库安全、数据备份与恢复策略等； - 系统运行时的故障恢复能力和应急处理措施； - 用户权限管理和身份认证机制，以防止未授权访问和操作； - 系统的物理安全措施，防止物理破坏或非法进入机房设备； - 视频监控系统与外部系统的数据交互接口安全。 由于提供的文件部分内容有限，并且存在OCR扫描识别错误，上述内容是根据《GB 35114-2017 公共安全视频监控联网信息安全技术要求》标准的描述和一般知识推测的可能知识点。在实际工作中，需要获取完整的标准文件以了解全部的技术要求，并且在应用时要遵循文件中的具体规定。这份标准对整个视频监控系统的安全性起到了指导和规范作用，确保了视频监控数据的安全传输和处理，对公共安全领域有着极为重要的意义。

《手机安全和可信应用开发指南：TrustZone与OP-TEE技术详解》这本书是关于网络空间安全技术的一本专著，由帅峰云、黄腾、宋洋三位作者编著。书中详细介绍了如何利用TrustZone技术和OP-TEE来保护智能手机、智能电视以及物联网(IoT)等领域的数据安全。 书中探讨了当前系统存在的安全问题，包括隐私泄露、恶意软件攻击等，这些威胁都源于系统缺乏有效隔离和保护机制。可信执行环境(Trusted Execution Environment, TEE)正是为了解决这些问题而设计的。TEE可以在同一硬件平台上提供一个安全的区域，使得敏感操作和数据处理能在受保护的环境中进行，防止未授权访问和篡改。 在介绍TEE解决方案时，书中特别提到了在智能手机领域的TrustZone应用，如通过硬件隔离来确保支付应用、生物识别数据等的安全。此外，还讨论了智能电视领域和IoT领域的TEE实现，强调了这些领域的安全需求和挑战，以及TEE如何满足这些需求。 TrustZone是ARM公司提供的一种硬件级别的安全技术，通过硬件划分安全世界和普通世界，确保安全世界的执行不受非安全世界的影响。书中深入解析了ARMv7和ARMv8架构下的TrustZone技术，包括硬件框架、安全状态位扩展、地址空间控制、内存适配器、保护控制器、中断控制器等组件的功能，以及如何实现资源隔离，如中断源、内存和外围设备的隔离。 ARM可信固件(ARM Trusted Firmware, ATF)在TrustZone中扮演着重要角色，它是启动流程中的关键组件，负责初始化硬件并启动安全操作系统。书中还讲解了如何构建和运行OP-TEE（Open-Source Trusted Execution Environment）的环境，包括获取源代码、编译工具链、配置QEMU模拟器等步骤，并提供了运行示例代码的详细指导。 在系统集成篇中，作者详述了QEMU运行OP-TEE的启动过程，包括各阶段的镜像加载、内核启动和rootfs挂载等。同时，书中还详细分析了安全引导功能和ATF的启动流程，以及OP-TEE OS自身的启动步骤，包括内核初始化和服务启动等。 OP-TEE在REE（Rich Execution Environment）侧的上层软件，如libteec库和tee_supplicant守护进程，也在书中有所阐述。libteec库提供了与TEE交互的接口，而tee_supplicant则作为桥梁，处理REE与TEE之间的通信请求。 这本书为读者提供了一套全面的TrustZone和OP-TEE技术指南，适合对移动设备和物联网安全感兴趣的开发者、研究人员和安全专业人员阅读，帮助他们理解和实践基于硬件的信任根的安全应用开发。

2023年最新发布的等级保护测评区块链安全扩展要求，T/ISEAA-003-2023信息安全技术网络安全等级保护区块链安全扩展要求

本标准依据ＧＢ／Ｔ２０２７３—２０１９规定了数据库管理系统安全评估总则、评估内容和评估方法。 本标准适用于数据库管理系统的测试和评估，也可用于指导数据库管理系统的研发。

《应用密码学 协议、算法与C源程序》 Bruce Schneier著 吴世忠 祝世雄 张文政 等译

太原理工大学软件安全技术实验 一共四个实验。 内容包括：漏洞分析实验，SQL注入，登陆页面需求分析，编写正则表达式 适合学习软件安全技术的学生，包括了利用OLLyDBG对C语言进行漏洞分析，以及DVWA靶场下的SQL注入漏洞实验，还有登陆页面的需求分析，以及编写正则表达式。 其中，对于每一个app，登录界面都是必不可少的，在进行登录之前，一个非常重要的功能就是用户注册，然而注册功能这个看似简单的功能，却存在很多潜在的容易忽略的点，能够设计好注册功能是设计一个比较完备的app的前提，注册登录功能不仅涉及到用户的使用感，更重要的是关系到用户数据和应用系统数据的安全，设计一个简单易用、安全可靠的用户注册登录界面是当前所需要的。

一、缓冲区溢出原理 缓冲区溢出是因为在程序执行时数据的长度超出了预先分配的空间大小，导致覆盖了其他数据的分配区域，从而执行非授权指令，获取信息，取得系统特权进而进行各种非法操作导致程序运行失败、系统宕机、重新启动等后果。普通的程序员由于失误导致的缓冲区溢出可能只会导致程序无法运行而不会影响系统，但是如果黑客使用构造好的数据来进行缓冲区溢出攻击则可能获得超级管理员权限，非常危险。 二、实验流程 1. 系统环境 Windows操作系统；Visual c++ 6.0；ollydbg；ida pro； 2. 程序实例 3. 实验过程分析 （1）判断main函数的地址 （2）分析call语句对于栈空间的影响 （3）缓冲区溢出分析 （4）溢出结果及危害 三、防御手段 四、实验总结

本标准针对用于保护计算机与电信系统内敏感信息的安全系统所使用的密码模块，规定了安全要求，本标准定以了4个安全等级。以满足敏感数据以及众多应用领域的，不同程度的安全需求