考点综述
1、信息系统安全
5个基本要素:
1.1、安全体系结构
1.1.1、安全服务
计算机网络提供的安全防护措施
1)认证服务
确保某个实体身份的可靠
- 认证实体本身的身份,确保其真实性,称为实体认证。实体的身份一旦获得确认就可以和访问控制表中的权限关联起来,决定是否有权进行访问。如:口令认证
- 证明某个信息是否来自于某个特定的实体,这种认证叫做数据源认证。如:数据签名
2)访问控制
防止对任何资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源。
3)数据机密性服务
确保只有经过授权的实体才能理解受保护的信息。
- 数据机密性服务:数据加密
- 业务流机密性服务:要使监听者很难从网络流量的变化上推出敏感信息。流量填充
4)数据完整性服务
防止对数据未授权的修改和破坏。
完整性服务使消息的接收者能够发现消息是否被修改,是否被攻击者用假消息换掉。
5)不可否认服务
防止对数据源以及数据提交的否认。
数据发送的不可否认性和数据接收的不可否认性。如数字签名
1.1.2、特定的安全机制
加密:保证机密性
数字签名:保证完整性与不可否认
访问控制:权限认证
数据完整性:数字摘要
认证交换:通过交换标识信息使通信双方相互信任。
流量填充:针对的是对网络流量进行分析的攻击。
路由控制:指定数据通过网络的路径。
公正机制:由通信各方都信任的第三方提供。由第三方来确保数据完整性、数据源、时间及目的地的正确。
1.1.3、普遍性的安全机制
1)事件检测:
与安全有关的事件检测包括对安全明显事件的检测,也可以包括对“正常”事件的检测,如,一次成功的访问(或注册)。
2)安全审计跟踪
3)安全恢复
4)安全标记
1.2、安全保护登记
1)用户自主保护级:
适用于普通内联网用户。
2)系统审计保护级
适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
3)安全标记保护级
适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
4)结构化保护级
适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。
5)访问验证保护级
适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
2、数据安全与保密
2.1、加密体系
1)对称加密
DES:密钥长度56
3DES:128位
IDEA:128位
2)非对称加密
RSA:密钥512位
2.2、数字摘要
MD5
SHA-1
其中TLS(传输层安全协议)、SSL(安全套接字层)、PGP、SSH、S/MIME(邮件扩展)、IPSec(IP协议安全)
2.3、PKI与数字签名
PKI包括由认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统5大系统组成。
数字签名类型:Hash签名、DSS签名、RSA签名
Hash 数字签名把 Hash 函数和公钥算法结合起来,可以在提供数据完整性的同时也可以保证数据的真实性。其原理如下:
2.4、数字信封
数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。
数字信封中采用了私钥密码体制和公钥密码体制。
基本原理是将原文用对称密钥加密传输,而将对称密钥用接收方公钥加密发送给对方。收方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得原文。
其详细过程如下:
2.5、PGP
一个基于RSA 公钥加密体系的邮件加密软件。
一份 PGP 证书包括(但不仅限于)以下信息。
一份X.509证书包含以下数据。
2.6、数字水印
安全、隐蔽、鲁棒、水印容量
3、计算机网络安全
单点登录技术SSO:利用Kerberos机制
防火墙:建立在内外网络边界上的过滤封锁机制
入侵检测:对机密性、完整性、可用性的行为
虚拟专用网VPN:通过公用网络对企业内部专用网络进行远程访问,PPTP安全隧道技术
IPSec:保护TCP/IP的通信免遭窃听和串改。保护数据包和抵抗网络攻击
4、电子商务安全
SSL:传输层,数据加密
SET:安全电子交易。应用层
HTTPS:HTTP + SSL,使用443端口
认证中心:CA作为电子商务的核心。
通常 CA 中心会采用“统一建设,分级管理”的原则,
5、安全管理
1、安全体系
病毒和木马扫描:应用程序
安全扫描:计算机系统及网络端口
日志审计系统
安全审计
个人信息控制
安全管理制度
