1.5.信息化和信息系统(五)
2022-04-10 21:57:01 20 举报AI智能生成
信息系统项目管理师 第一章第五部分思维导图
作者其他创作
大纲/内容
信息不被未授权者知晓的属性
秘密性
信息是正确的、真实的、未被篡改的、完整无缺的属性
完整性
信息可以随时正常使用的属性
可用性
安全属性
在一定时间内不出现故障的概率
设备的稳定性
在一定时间内正常执行任务的概率
设备的可靠性
随时可以正常使用的概率
设备的可用性
设备安全
是一种静态安全,如数据泄露、数据篡改
数据安全
是信息安全在政治、法律上、道德层次的要求
内容安全
是一种动态安全
行为的过程和结果不能危害数据的私密性,必要时行为的过程和结果也应该是秘密的
行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的
行为的过程和结果出现偏离预期时能够及时修正
可控性
行为安全
安全分层
个人合法权益造成损害
第一级
个人合法权益严重损害,或社会利益遭到损害,但不损害国家安全
第二级
对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
第三级
公共利益造成特别严重损害或国家安全造成严重损害
第四级
国家安全造成特别严重损害
第五级
信息安全等级保护
普通内联网用户
用户自主保护级
该级适用通过内联网或国际网进行商务活动,需要保密的非重要单位
系统审计保护级
适用于地方各级国家机关、金融单位机构等与信息技术企业、重点工程建设等单位
安全标记保护级
适用于中央国家机关、广播电视部门、国家重点科研单位和国防建设等部门
结构化保护级
适用于国家关键部门和依法需要对计算机信息系统实时特殊隔离的单位
访问验证保护级
安全保护能力的5个等级
首先要求加强人员审查
与信息安全相关的所有人员
领导和管理人员,工程技术人员,一般用户
信息安全教育对象
人员管理
加密解密采用相同的密码
使用起来简单快捷、密钥较短、破译困难
DES、IDEA、AES
对称加密
加密密钥和解密秘钥不同
公钥用来加密,公开
私钥用来解密,非公开
特点
RSA
算法
非对称加密
加密技术
证明当事者的身份和数据真实性的一种信息
作用
(1)签名者事后不能抵赖自己的签名
(2)任何任何人不能伪造签名
(3)如果当事双方关于签名的真伪产生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪
条件
利用RSA密码可同时实现数字签名和数据加密
方法
数字签名
又称鉴别、确认,他是证实某事是否名副其实或是否有效的一个过程
定义
加密是用来确保数据的保密性,阻止对手的被动攻击,如窃取、窃听等
认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等
和加密的区别
(1)认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性,而数字签名中用于验证签名的数据是公开的
(2)认证允许收发双发互相验证其真实性,不准许第三者验证,而数字签名允许收发双发和第三者都能验证
(3)数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力,而认证则不一定具备
和数字签名区别
认证
信息安全基本概念
计算机实体
信息是否被非法授权访问
机密性
一般通过数字签名来进行抗否认性的工作
抗否认性
可审计性
可靠性
信息
设备安全内容
主要是场地和机房
场地安全(环境安全)
物理安全
包括设备的防盗和防毁,防止电磁信息泄露,防止线路截获、抗电磁干扰以及电源的保护
介质的防盗、防毁、防止发霉或其他损害
介质本身和介质上存储数据的安全
存储介质安全
冗余设计来实现,以增加资源换取可靠性
采用容错系统实现
可靠性技术
按设备安全分类
计算机设备安全-
一种较早使用,实用性很强的网络安全防御技术,它阻挡网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁
在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络
防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术
在策略中涉及的网络访问行为可以实施有效管理,而策略之外的网络访问行为则无法控制
防火墙的安全策略由安全规则表示
特点和作用
防火墙
注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警
大多数IDS系统都是被动的
入侵检测系统(IDS)
倾向于提供主动防护,注重对入侵行为的控制
预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失
通过直接嵌入到网络流量中实现这一功能,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能再IPS设备中被清除掉
入侵防护系统(IPS)
入侵检测与防护
在公用网络中建立专用的、安全的数据通信通道的技术
可以认为是加密和认证技术在网络传输中的应用
连接由客户机、传输介质和服务器三部分组成
不是采用物理的传输介质,而是使用称之为“隧道”的技术作为传输介质,这个隧道是建立在公共网络或专用网络基础之上的
常见的隧道技术:点对点隧道协议(PPTP)、第2层隧道协议(L2TP)和IP安全协议(IPSec)
VPN(虚拟专用网络)
漏洞扫描、端口扫描、密码类扫描(发现弱口令密码)
扫描器的软件来完成,是最有效的网络安全检测工具之一,它可以自动检测、远程或本地主机哦、网络系统的安全弱点以及所存在可能被利用的系统漏洞
安全扫描
主动防御技术,是入侵检测技术的一个重要发展方向,也是一个诱捕“攻击者”的陷阱
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标
攻击者往往在蜜罐上浪费时间,延缓对真正目标的攻击
蜜罐技术
无线公开密钥基础设施(WPKI)有线对等加密协议(WEP)、Wifi网络安全接入(WPA/WPA2)、无线局域网鉴别与保密体系(WAPI)、802.11i(802.11工作组为新一代WLAN制定的安全标准)
无线网络安全技术
网络安全
对可用性的威胁
系统的资源被破坏或变得不可用或不能用,如破坏硬盘、切断通信线路或使文件管理失效
切断
对机密性的威胁
未经授权的用户、程序或计算机系统获得了对某资源的访问,如在网络中窃取数据及非法拷贝文件和程序
截取
对完整性的攻击
未经授权的用户不仅获得了对某资源的访问,而且进行篡改
篡改
对合法性的威胁
未经授权的用户将伪造的对象插入到系统中,如非法用户把伪造的信息加到网络中或向文件加入记录
伪造
按行为分类
计算机病毒
逻辑炸弹
特洛伊木马
后门
隐秘通道
按保险形式
威胁分类
实施强认证方法,比如口令、数字证书等
身份认证机制
粒度的用户访问控制,细化访问权限等
访问控制机制
数据保密性
数据完整性
系统的可用性
审计
防范手段
操作系统安全
可以认为使用于存储而非传输的数据的安全问题
数据库访问控制技术
数据库加密技术
多级安全数据库技术
数据库的控制问题
数据库备份与恢复
数据库安全-
以计算机设备安全、网络安全和数据库安全为基础的应用系统安全
可信任站点的漏洞、浏览器和浏览器插件。。。
威胁
技术
Web威胁防护
IP地址、子网或域名
用户名/口令
公钥加密体系PKI(CA认证)
Web访问控制技术
一点登录,多点访问
基于数字证书的加密和数字签名技术,基于统一的策略的用户身份认证和授权控制功能,对用户实行集中统一的管理和身份验证
单点登录(SSO)技术
时间轮询技术
核心内嵌技术
事件触发技术
文件过滤驱动技术
网页防篡改技术
电子邮件过滤
网页过滤
反间谍软件
Web内容安全
应用系统安全-
信息化与信息系统(五)
0 条评论
回复 删除
下一页
