5,信息安全技术基础
2024-10-17 11:08:55 0 举报AI智能生成
信息安全技术基础知识
作者其他创作
大纲/内容
数据加密是防止未经授权的用户访问敏感信息的手段,保障系统的机密性要素
数据加密有对称加密算法、非对称加密算法两种
数据加密
对称密钥算法的加密密钥和解密密钥相同,又称为共享密钥算法
使用密钥加密的块算法(Data Encryption Standard,DES),明文切分为 64 位的块(即分组),由 56 位的密钥控制变换成 64 位的密文。
三重 DES(Triple-DES)是 DES 的改进算法,使用两把 56 位的密钥对明文做三次 DES加解密,密钥长度为 112 位。
国际数据加密算法(International Data Encryption Algorithm,IDEA),分组长度 64 位,密钥长度 128 位,已经成为全球通用的加密标准。
高级加密标准(Advanced Encryption Standard,AES),分组长度 128 位,支持 128 位、192 位和 256 位 3 种密钥长度,用于替换脆弱的 DES 算法,且可以通过软件或硬件实现高速加解密
SM4 国密算法,分组长度和密钥长度都是 128 位
对称加密算法主要有:
对称密钥加密算法
非对称密钥加密算法的加密密钥和解密密钥不相同,又称为不共享密钥算法或公钥加密算法
在非对称加密算法中用公钥加密,私钥解密,可实现保密通信;用私钥加密,公钥解密,可实现数字签名
RSA(Rivest,Shamir and Adleman)是一种国际通用的公钥加密算法,安全性基于大素数分解的困难性,密钥的长度可以选择,但目前安全的密钥长度已经高达 2048 位。RSA 的计算速度比同样安全级别的对称加密算法慢 1000 倍左右
SM2 国密算法,基于椭圆曲线离散对数问题,在相同安全程度的要求下,密钥长度和计算规模都比 RSA 小得多
非对称加密算法可以分为:
非对称密钥加密算法
信息加解密技术
控制密钥的安全性主要有密钥标签和控制矢量两种技术
该第三方即密钥分配中心(Key Distribution Center,KDC)
密钥的分配发送有物理方式、加密方式和第三方加密方式
密钥的使用控制
有直接公开发布(如 PGP)、公用目录表、公钥管理机构和公钥证书 4 种方式
公钥证书可以由个人下载后保存和传递,证书管理机构为 CA(Certificate Authority)
公钥加密体制的密钥管理
密钥管理技术
密钥在概念上被分成数据加密密钥(DK)和密钥加密密钥(KK)两大类
增大密钥空间
选择强钥
密钥的随机性
密钥生成需要考虑:
密钥的选择
DoS 是使系统不可访问并因此拒绝合法的用户服务要求的行为,侵犯系统的可用性要素
传统拒绝服务攻击的分类有消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效等 4 种模式
常见的 DoS 攻击模式为分布式拒绝服务攻击(Distributed Denial of Service,DDoS)。
DoS 的防御包括特征识别、防火墙、通信数据量的统计、修正问题和漏洞 4 种方法
ARP 协议解析 IP 地址为 MAC 网卡物理地址,欺骗该机制即可阻断正常的网络访问
常用防范办法为固化 ARP 表、使用 ARP 服务器、双向绑定和安装防护软件
ARP 欺骗
DNS 协议解析域名为 IP 地址,欺骗该机制可以使用户访问错误的服务器地址
其检测有被动监听检测、虚假报文探测和交叉检查查询 3 种方法
DNS 欺骗
攻击者修改 IP 数据报的报头,把自身的 IP 地址修改为另一个 IP,以获取信任
常用防火墙等防范 IP 欺骗
IP 欺骗
欺骗攻击与防御
端口扫描尝试与目标主机的某些端口建立连接,如果目标主机该端口有回复,则说明该端口开放,甚至可以获取一些信息
端口扫描有全TCP 连接、半打开式扫描(SYN 扫描)、FIN 扫描、第三方扫描等分类
端口扫描(Port Scanning)
攻击 TCP 协议建立连接的三次握手,让目标主机等待连接完成而耗尽资源
可以减少等待超时时间来防范
同步包风暴(SYN Flooding)
例如“Ping of Death”攻击操作系统的网络层缓冲区,旧版操作系统会崩溃
防范方法是打补丁、升级到新版操作系统
ICMP 攻击
SNMP 协议常用于管理网络设备,早期的 SNMP V1 协议缺少认证,可能被攻击者入侵
防范方法是升级 SNMP 协议到 V2 以上并设置访问密码
SNMP 攻击
针对 TCP/IP 堆栈的攻击方式
系统漏洞扫描指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞
基于网络的漏洞扫描,通过网络来扫描目标主机的漏洞,常常被主机边界的防护所封堵,因而获取到的信息比较有限
基于主机的漏洞扫描,通常在目标系统上安装了一个代理(Agent)或者是服务(Services),因而能扫描到更多的漏洞。有扫描的漏洞数量多、集中化管理、网络流量负载小等优点
系统漏洞扫描分为:
系统漏洞扫描
信息安全的抗攻击技术
信息安全是指为数据处理系统采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改和泄露。
基本要素有机密性、完整性、可用性、可控性与可审查性
数据安全即采取措施确保数据免受未授权的泄露、篡改和毁坏,包括秘密性、完整性和可用性 3 个方面
信息安全的范围包括设备安全、数据安全、内容安全和行为安全
信息存储安全的范围:信息使用的安全、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击
信息安全(Information Security)
网络安全漏洞和隐患表现在物理安全性、软件安全漏洞、不兼容使用安全漏洞等方面
网络安全威胁表现在非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒等方面
安全措施的目标包括访问控制、认证、完整性、审计和保密等 5 个方面
网络安全
信息安全基础
从技术体系看,信息安全系统涉及基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术
技术体系
信息系统安全的组织机构分为决策层、管理层和执行层 3 个层次
组织机构体系
信息系统安全的管理体系由法律管理、制度管理和培训管理 3 个部分组成
管理体系
信息安全系统的组成框架
访问控制技术包括 3 个要素,即主体、客体和控制策略
访问控制包括认证、控制策略实现和审计 3 方面的内容
审计的目的是防止滥用权力
基本模型
访问控制矩阵(Access Control Matrix,ACM),以主体为行索引,以客体为列索引的矩阵
访问控制表(Access Control Lists,ACL),按列(即客体)保存访问矩阵
能力表(Capabilities),按行(即主体)保存访问矩阵
授权关系表(Authorization Relations),抽取访问矩阵中的非空元素保存,当矩阵是稀疏矩阵的时候很有效,常用于安全数据库系统
访问控制的实现技术
数字签名是公钥加密技术与数字摘要技术的应用
数字签名的条件是:可信、不可伪造、不可重用、不可改变和不可抵赖
数字签名
访问控制及数字签名技术
第 1 级:用户自主保护级(对应 TCSEC 的 C1 级)
第 2 级;系统审计保护级(对应 TCSEC 的 C2 级)
第 3 级;安全标记保护级(对应 TCSEC 的 B1 级)
第 4 级:结构化保护级(对应 TCSEC 的 B2 级)
第 5 级:访问验证保护级(对应 TCSEC 的 B3 级)
等级保护
数据泄密(泄露)防护(Data Leakage Prevention,DLP)
数字水印(Digital Watermark)
安全保密技术
SSL 协议是介于应用层和 TCP 层之间的安全通信协议
提供保密性通信、点对点身份认证、可靠性通信 3 种安全通信服务
SSL 协议
PGP 是一种加密软件,应用了多种密码技术,包括 RSA、IDEA、完整性检测和数字签名算法,实现了一个比较完善的密码系统
广泛地用于电子邮件安全
PGP(Pretty Good Privacy)
IPSec 是工作在网络层的安全协议
主要优点是它的透明性,提供安全服务不需要更改应用程序
互联网安全协议(Internet Protocol Security,IPSec)
主要用于解决用户、商家和银行之间通过信用卡支付的交易问题,保证支付信息的机密、支付过程的完整、商户和持卡人身份合法性及可操作性
SET 协议
HTTPS 协议
安全协议
信息系统的安全风险是指由于系统存在的脆弱性所导致的安全事件发生的概率和可能造成的影响
风险评估是对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,是信息安全保障体系建立过程中重要的评价方法和决策机制
风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施
信息系统的安全风险与评估
信息安全的保障体系与评估方法
信息安全技术基础
0 条评论
回复 删除
下一页
