精华内容
下载资源
问答
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
      
    

    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。

    信息安全

      是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

      其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。

      信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

      关于这一部分的具体介绍,详见信息安全专业

    重要性

      

      

    积极推动信息安全等级保护

    信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。

      我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船侦察机卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我国通信传输中的信息。

      从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把

      

    信息安全策略

    [1]

    日益繁多的事情托付给计算机来完成 ,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。

      传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

    编辑本段主要威胁

      信息安全的威胁来自方方面面,不可一一罗列。但这些威胁根据其性质,基本上可以归结为以下几个方面:

      (1) 信息泄露:保护的信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      

    现代密码学宗师——肖国镇

    (3) 拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。

      (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (11)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。

      (12)信息安全法律法规不完善:由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。

    实现目标

      ◆ 真实性:对信息的来源进行判断,能对伪造来源的信息

      

    信息安全相关书籍

    予以鉴别。

      ◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。

      ◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。

      ◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。

      ◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。

      ◆ 可控制性:对信息的传播及内容具有控制能力。

      ◆ 可审查性:对出现的网络安全问题提供调查的依据和手段

    安全威胁

      (1) 信息泄露:信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      (3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。

      

    信息安全

    (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。

      (11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。

      (12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。

      (14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。

      (15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。

      (16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。

      (17)物理侵入:侵入者绕过物理控制而获得对系统的访问。

      (18)窃取:重要的安全物品,如令牌或身份卡被盗。

      业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等

    主要来源

      ◆ 自然灾害、意外事故;

      ◆ 计算机犯罪

      ◆ 人为错误,比如使用不当,安全意识差等;

      ◆ "黑客" 行为;

      ◆ 内部泄密;

      ◆ 外部泄密;

      ◆ 信息丢失;

      ◆ 电子谍报,比如信息流量分析、信息窃取等;

      ◆ 信息战

      ◆ 网络协议自身缺陷,例如TCP/IP协议的安全问题等等。

      ◆ 嗅探,sniff。嗅探器可以窃听网络上流经的数据包。

    编辑本段安全策略

      信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      ◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;

      ◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;

      ◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

    主要问题

      ◆ 网络攻击与攻击检测、防范问题

      ◆ 安全漏洞与安全对策问题

      ◆ 信息安全保密问题

      ◆ 系统内部安全防范问题

      ◆ 防病毒问题

      ◆ 数据备份与恢复问题、灾难恢复问题

    编辑本段技术简介

      目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:

      ◆ 用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。

      ◆ 防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈

      ◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料[2]。网络安全隔离与防火墙的区别可参看参考资料[3]。 ◆ 安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

      ◆ 虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。

      ◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。

      ◆ 电子签证机构--CAPKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。

      ◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。

      ◆ 入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。

      ◆ 入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。

      ◆ 安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      信息安全服务

      信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作

    安全问题

      电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全

      (一)计算机网络安全的内容包括:

      (1)未进行操作系统相关安全配置

      不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。

      (2)未进行CGI程序代码审计

      如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

      (3)拒绝服务(DoS,Denial of Service)攻击

      随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。

      (4)安全产品使用不当

      虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。

      (5)缺少严格的网络安全管理制度 

      网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

      (二)计算机商务交易安全的内容包括:

      (1)窃取信息

      由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

      (2)篡改信息

      当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

      (3)假冒

      由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

      (4)恶意破坏

      由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

    安全对策

      电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。

      1.计算机网络安全措施

      计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

      (一)保护网络安全。

      网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:

      (1)全面规划网络平台的安全策略。

      (2)制定网络安全的管理措施。

      (3)使用防火墙。

      (4)尽可能记录网络上的一切活动。

      (5)注意对网络设备的物理保护。

      (6)检验网络平台系统的脆弱性

      (7)建立可靠的识别和鉴别机制。

      (二)保护应用安全。

      保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。

      由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。

      虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

      (三)保护系统安全。

      保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:

      (1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。

      (2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。

      (3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。

      2.商务交易安全措施

      商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。

      各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。

      (一)加密技术。

      加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。

      (1)对称加密。

      对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。

      (2)非对称加密。

      非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。

      (二)认证技术。

      认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。

      (1)数字签名。

      数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。

      (2)数字证书。

      数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。

      (三)电子商务的安全协议。

      除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。

      (1)安全套接层协议SSL。

      SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。

      (2)安全电子交易协议SET。

      SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。

      SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。

    工程监理

      信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。

      信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。

    编辑本段技术对比

    1. 信息安全法规、政策与标准

      1)法律体系初步构建,但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。

      据相关统计,截至2008年与信息安全直接相关的法律有65部,涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,从形式看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时,与信息安全相关的司法和行政管理体系迅速完善。但整体来看,与美国、欧盟等先进国家与地区比较,我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法,信息安全在法律层面的缺失对于信息安全保障形成重大隐患。

      2)相关系列政策推出,与国外也有异曲同工之处从政策来看,美国信息安全政策体系也值得国内学习与借鉴。美国在信息安全管理以及政策支持方面走在全球的前列:

      一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;

      二是形成了军、政、学、商分工协作的风险管理体系;

      三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。

      3)信息安全标准化工作得到重视,但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。

      我国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检测、管理等方面的几十个主要标准。但总体而言,我国的信息安全标准体系目前仍处于发展和建立阶段,基本上是引用与借鉴了国际以及先进国家的相关标准。因此,我国在信息安全标准组织体系方面还有待于进一步发展与完善。

    2.信息安全用户意识与实践

      1) 信息安全意识有待提高

      与发达国家相比,我国的信息安全产业不单是规模或份额的问题,在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看,与美欧等相比较,仅盗版软件使用率相对较高这种现象就可以部分说明我国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低,以及在互联网使用过程中的密码使用以及更换等方面都更多地表明,我国个人用户的信息安全意识有待于提高。

      2)信息安全实践过程有待加强管理

      信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施,虽然,这是一个全球性的问题,但是我国用户在这一方面与发达国家还有一定差距。

    3.中间组织对信息安全产业发展的影响

      同国外相比较,国内的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等,而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等,其覆盖层次更多,面积更广。与欧美比较,国内资本市场相对薄弱,对于安全产业的发展而言,就缺乏有效的中间组织形式来推进和导向其发展,虽然国内目前有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务,但是距离推进、引导国内安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距。

    4.信息安全培训与教育

      教育培训是培育信息安全公众或专业人才的重要手段,我国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业,国家各级以及社会化的信息安全培训也得到了开展,但这些仍然是不够的,社会教育深入与细化程度与美国等发达国家比较仍有差距。在美国,对于企业的信息安全有很多监管规范,因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。

    编辑本段信息安全专业

    专业简介

      信息安全是国家重点发展的新兴交叉学科,它和政府、国防、金融、制造、商业等部门和行业密切相关,具有广阔的发展前景。通过学习,使学生具备信息安全防护与保密等方面的理论知识和综合技术。能在科研单位、高等学校、政府机关(部队)、金融行业、信息产业及其使用管理部门从事系统设计和管理,特别是从事信息安全防护方面的高级工程技术人才。

    主要课程

      离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、信息系统工程现代密码学、网络安全、信息伪装等

    培养要求

      通过学习本专业的学生应获得以下几方面的基本知识和职业能力:(1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识;(2)掌握计算机软、硬件加密、解密的基本理论、基本知识;(3)掌握计算机维护和系统支持的基本知识、基本技能;(4)掌握参与企业管理进行经济信息分析、处理的基本技能;(5)较熟练掌握一门外语,并能实际应用于信息安全管理领域

      基本技能掌握

      (1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识。

      (2)掌握计算机软、硬件加密、解密的基本理论、基本知识。

      (3)掌握计算机维护和系统支持的基本知识、基本技能。

      (4)掌握参与企业管理进行经济信息分析、处理的基本技能。

      (5)较熟练掌握一门外语,并能实际应用于信息安全管理领域。

    我国信息安全专业较强的大学

      1. 信息安全国家重点实验室。

      最早由中国科学技术大学创办,后归中科院统一管理。以国字头命名,是中国目前唯一的国家级信息安全实验室。其实力不言而喻,当之无愧的NO.1!

      2、西安电子科技大学

      作为信息安全的主干学科,西电的密码学全国第一。1959年,受钱学森指示,西安电子科技大学在全国率先开展密码学研究,1988年,西电第一个获准设立密码学硕士点,1993年获准设立密码学博士点,是全国首批两个密码学博士点之一,也是唯一的军外博士点,1997年开始设有长江学者特聘教授岗位,并成为国家211重

      

    西安电子科技大学

    点建设学科。2001年,在密码学基础上建立了信息安全专业,是全国首批开设此专业的高校。在中国密码学会的34个理事中,西电占据了12个,且2个副理事长都是西电毕业的,中国在国际密码学会唯一一个会员也出自西电。毫不夸张地说,西电已成为中国培养密码学和信息安全人才的核心基地。 以下简单列举部分西电信安毕业生:来学嘉,国际密码学会委员,IDEA分组密码算法设计者;陈立东,美国标准局研究员;丁存生,香港科技大学教授;邢超平,新加坡NTU教授;冯登国,中国科学院信息安全国家实验室主任,中国密码学会副理事长;张焕国,中国密码学会常务理事,武汉大学教授、信安掌门人;何大可,中国密码学会副理事长,西南交通大学教授、信安掌门人;何良生,中国人民解放军总参谋部首席密码专家;叶季青,中国人民解放军密钥管理中心主任。西电拥有中国在信息安全领域的三位领袖:肖国镇、王育民、王新梅。其中肖国镇教授是我国现代密码学研究的主要开拓者之一,他提出的关于组合函数的统计独立性概念,以及进一步提出的组合函数相关免疫性的频谱特

      

    西安电子科技大学礼仪广场

    征化定理,被国际上通称为肖—Massey定理,成为密码学研究的基本工具之一,开拓了流密码研究的新领域,他是亚洲密码学会执行委员会委员,中国密码学会副理事长,还是国际信息安全杂志(IJIS)编委会顾问。西电的信息安全专业连续多年排名全国第一,就是该校在全国信息安全界领袖地位的最好反映。

      3. 中国科学技术大学

      信息安全的概念最早由中科大的华罗庚教授提出来,并参与创建了信息安全国家重点实验室。现在依托于中科院各软件所、计算所、实验室,所系结合创办有自己风格的信息安全专业,并每年有接近半数的本科毕业生保送到中科院各研究所、实验室。

      4. 武汉大学 2001年武汉大学第一批创建了信息安全本科专业, 2003武大又建立了信息安全硕士点、博士点和信息安全企业博士后流动站。

      武汉大学的信息安全专业综合实力不容小觑,就业率高达98%。毕业生大部分去了腾讯 (Tencent)、百度 (baidu)、谷歌(Google),更有少部分较优秀的直接去了IBM 、微软。

      其教学优势在于学院学风严谨 要求严格 专业设置与国际接轨。而且全国名师(百度百科可查)梁意文、余纯武等均亲自授课。信息安全作为新兴的综合性专业 涉及法律经济通讯等多个方面,综合实力强取传统IT学科之精华,去其糟粕,而且此专业录取分数较高。

      5. 上海交通大学

      上海交通大学信息安全工程学院,创建于2000年10月,是由国家教育部、科技部共同发起的国内首家信息安全专业人才培养基地;学院同时也是国家863计划信息安全产业化(东部)基地的重要组成部分,将为加速信息安全的研究及产业化进程,培养国家紧缺的信息安全专业人才提供有力保障。

      信息安全工程学院是以交通大学通信与信息系统学科和计算机应用技术学科中从事信息安全的研究力量为主,集中了学校信息安全各方面优势的跨学科、跨专业的新型教学科研实体。信息安全工程学院目前有密码理论及应用技术、网络安全与检测技术、计算机病毒防范技术、保密通信理论技术、电子商务技术、安全集成电路芯片设计、移动通信安全、安全操作系统、安全数据库、信息智能检索等研究方向。信息安全工程学院所有专业依托通信与信息系统和计算机应用技术两个二级学科,都具有博士、硕士学位授予权。

      6. 清华大学

      整个清华大学的综合实力就是这个专业的保证。如果在国内读的话,清华的信息安全是很不错的。王小云,姚期智都在那里。

      清华大学的信息安全课程需要设计的内容包括:国家的政策与法规,计算机环境安全和实体安全,用户安全,软件安全与盗版,软件加密,软件防拷贝和反跟踪技术,软件漏洞,操作系统安全,计算机病毒,计算机密码学,网络安全协议,防火墙,通讯安全和数据库安全,黑客安全技术,入侵检测,电子商务的安全等等。

    全国高校信息安全专业排名

      

    学位代码院校名称整体排名学术队伍科学研究人才培养学术声誉
    排名得分排名得分排名得分排名得分排名得分
    10701西安电子科技大学192.44977.701100483.141100
    10003清华大学291.56786.59386.741100492.83
    10358中国科学技术大学388.651100582.89284.84293.72
    10486武汉大学483.16885.99876.93580.03393.31
    10248上海交通大学581.07394.04976.81677.93982.40
    90002国防科学技术大学680.65294.58286.83383.87683.81
    10013北京邮电大学780.62588.14779.25775.96882.69
    10213哈尔滨工业大学879.44687.01680.071068.96584.48
    10001北京大学978.291070.34485.18871.561080.17
    10613西南交通大学1078.09490.991073.88971.24783.06

    就业方向和主要从事的工作

      信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是抵御信息侵略的重要屏障,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国都在奋力攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。

      总之,在网络信息技术高速发展的今天,信息安全已变得至关重要,信息安全已成为信息科学的热点课题。目前我国在信息安全技术方面的起点还较低,国内只有极少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。我们应充分认识信息安全在网络信息时代的重要性和其具有的极其广阔的市场前景,适应时代,抓住机遇!

    编辑本段安全技术

    加密

      数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。

      在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环境中具体考虑。

      对于对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境。

      在Internet中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。

    认证和识别

      认证就是指用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。为了解决安全问题,一些公司和机构正千方百计地解决用户身份认证问题,主要有以下几种认证办法。

      1. 双重认证。如波斯顿的Beth IsrealHospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。

      2.数字证书。这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。

      3. 智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。

      4. 安全电子交易(SET)协议。这是迄今为止最为完整最为权威的电子商务安全保障协议。 信息安全的目标和原则

      信息安全的目标

      所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。

      保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。

      完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。

      可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。

      可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。

      不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

      信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。

      除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。

      信息安全的原则

      为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。

      最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

      分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。

      安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。

      在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

    展开全文
  • 计算机三级信息安全技术

    万次阅读 多人点赞 2020-09-08 22:13:46
    1. 了解信息安全保障工作的总体思路和基本实践方法 2. 掌握信息安全技术的基本概念、原理、方法和技术 3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能 4. 掌握信息安全设备的安装、...

    考试大纲

    基本要求

    1. 了解信息安全保障工作的总体思路和基本实践方法

    2. 掌握信息安全技术的基本概念、原理、方法和技术

    3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能

    4. 掌握信息安全设备的安装、配置和使用的基本方法

    5. 了解信息系统安全设施部署与管理基本技术

    6. 了解信息安全风险评估和等级保护原理与方法

    7. 了解信息安全相关的标准、法律法规和道德规范

    考试内容

    一、信息安全保障概述

    1. 信息安全保障的内涵和意义

    1. 信息安全保障的总体思路和基本实践方法

    二、信息安全基础技术与原理

    1. 密码技术

    (1)对称密码与非对称密码

    (2)哈希函数

    (3)数字签名

    (4)密钥管理

    2. 认证技术

    (1)消息认证

    (2)身份认证

    3. 访问控制技术

    (1)访问控制模型

    (2)访问控制技术

    4. 审计和监控技术

    (1)审计和监控基础

    (2)审计和监控技术

    三、系统安全

    1. 操作系统安全

    (1)操作系统安全基础

    (2)操作系统安全实践

    2. 数据库安全

    (1)数据库安全基础

    (2)数据库安全实践

    四、网络安全

    1. 网络安全基础

    2. 网络安全威胁技术

    3. 网络安全防护技术

    (1)防火墙

    (2)入侵检测系统与入侵防御系统

    (3)PKI

    (4)VPN

    (5)网络安全协议

    五、应用安全

    1. 软件漏洞概念与原理

    2. 软件安全开发

    3. 软件安全检测

    4. 软件安全保护

    5. 恶意程序

    6. Web 应用系统安全

    六、信息安全管理

    1. 信息安全管理体系

    2. 信息安全风险评估

    3. 信息安全管理措施

    七、信息安全标准与法规

    1. 信息安全标准

    2. 信息安全法律法规与国家政策

    3. 信息安全从业人员道德规范

    考试方式
      上机考试,考试时长 120 分钟,满分 100 分。 包含:选择题(60 分)、填空题(20 分)、综合应用题(20 分)。

    复习

    第一章信息安全保障概述

    1.1信息安全保障背景

    1.1.1信息技术及其发展阶段

    信息技术两个方面:生产:信息技术产业;应用:信息技术扩散

    信息技术核心:微电子技术,通信技术,计算机技术,网络技术

    第一阶段,电讯技术的发明;第二阶段,计算机技术的发展;第三阶段,互联网的使用

    1.1.2信息技术的影响

    积极:社会发展,科技进步,人类生活

    消极:信息泛滥,信息污染,信息犯罪

    1.2信息安全保障基础

    1.2.1信息安全发展阶段

    通信保密阶段(20世纪四十年代):机密性,密码学

    计算机安全阶段(20世纪六十和七十年代):机密性、访问控制与认证,公钥密码学(Diffie

    Hellman,DES),计算机安全标准化(安全评估标准)

    信息安全保障阶段:信息安全保障体系(IA),PDRR模型:保护(protection)、检测(detection)、响应(response)、恢复(restore),我国PWDRRC模型:保护、预警(warning)、监测、应急、恢复、反击(counter-attack),BS/ISO 7799标准(有代表性的信息安全管理体系标准):信息安全管理实施细则、信息安全管理体系规范

    1.2.2信息安全的含义

    一是运行系统的安全,二是系统信息的安全:口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等

    信息安全的基本属性:完整性、机密性、可用性、可控制性、不可否认性

    1.2.3信息系统面临的安全风险

    1.2.4信息安全问题产生的根源:信息系统的复杂性,人为和环境的威胁

    1.2.5信息安全的地位和作用

    1.2.6信息安全技术

    核心基础安全技术:密码技术

    安全基础设施技术:标识与认证技术,授权与访问控制技术

    基础设施安全技术:主机系统安全技术,网络系统安全技术

    应用安全技术:网络与系统安全攻击技术,网络与系统安全防护与响应技术,安全审计与责任认定技术,恶意代码监测与防护技术

    支撑安全技术:信息安全评测技术,信息安全管理技术

    1.3信息安全保障体系

    1.3.1信息安全保障体系框架

    生命周期:规划组织,开发采购,实施交付,运行维护,废弃

    保障要素:技术,管理,工程,人员

    安全特征:机密性,完整性,可用性

    1.3.2信息系统安全模型与技术框架

    P2DR安全模型:策略(policy),防护,检测,响应;防护时间大于检测时间加上响应时间,安全目标暴露时间=检测时间+响应时间,越小越好;提高系统防护时间,降低检测时间和响应时间

    信息保障技术框架(IATF):纵深防御策略():人员,技术,操作;技术框架焦点域:保护本地计算机,保护区域边界,保护网络及基础设施,保护支撑性基础设施

    1.4信息安全保障基本实践

    1.4.1国内外信息安全保障工作概况

    1.4.2信息安全保障工作的内容

    确定安全需求,设计和实施安全方案,进行信息安全评测,实施信息安全监控

    第二章信息安全基础技术与原理

    2.1密码技术

    2.1.1对称密码与非对称密码

    对称密钥密码体制:发送方和接收方使用相同的密钥

    非对称密钥密码体制:发送方和接收方使用不同的密钥

    对称密钥体制:

    加密处理速度快、保密度高,密钥管理分发复杂代价高、数字签名困难

    分组密码:一次加密一个明文分组:DES,IDEA,AES;序列密码:一次加密一位或者一个字符:RC4,SEAL

    加密方法:代换法:单表代换密码,多表代换;置换法

    安全性:攻击密码体制:穷举攻击法(对于密钥长度128位以上的密钥空间不再有效),密码分析学;典型的密码攻击:唯密文攻击,已知明文攻击,选择明文攻击(加密算法一般要能够抵抗选择明文攻击才认为是最安全的,分析方法:差分分析和线性分析),选择密文攻击

    基本运算:异或,加,减,乘,查表

    设计思想:扩散,混淆;乘积迭代:乘积密码,常见的乘积密码是迭代密码,DES,AES

    数据加密标准DES:基于Feistel网络,3DES,有效密钥位数:56

    国际数据加密算法IDEA:利用128位密钥对64位的明文分组,经连续加密产生64位的密文分组

    高级加密标准AES:SP网络

    分组密码:电子密码本模式ECB,密码分组链模式CBC,密码反馈模式CFB,输出反馈模式OFB,计数模式CTF

    非对称密码:

    基于难解问题设计密码是非对称密码设计的主要思想,NP问题NPC问题

    克服密钥分配上的困难、易于实现数字签名、安全性高,降低了加解密效率

    RSA:基于大合数因式分解难得问题设计;既可用于加密,又可用于数字签名;目前应用最广泛

    ElGamal:基于离散对数求解困难的问题设计

    椭圆曲线密码ECC:基于椭圆曲线离散对数求解困难的问题设计

    通常采用对称密码体制实现数字加密,公钥密码体制实现密钥管理的混合加密机制

    2.1.2哈希函数

    单向密码体制,从一个明文到密文的不可逆的映射,只有只有加密过程,没有解密过程

    可将任意长度的输入经过变换后得到固定长度的输出(原消息的散列或消息摘要)

    应用:消息认证(基于哈希函数的消息认证码),数字签名(对消息摘要进行数字签名口令的安全性,数据完整性)

    消息摘要算法MD5:128位

    安全散列算法SHA:160位

    SHA比MD5更安全,SHA比MD5速度慢了25%,SHA操作步骤较MD5更简单

    2.1.3数字签名

    通过密码技术实现,其安全性取决于密码体制的安全程度

    普通数字签名:RSA,ElGamal,椭圆曲线数字签名算法等

    特殊数字签名:盲签名,代理签名,群签名,不可否认签名,具有消息恢复功能得签名等

    常对信息的摘要进行签名

    美国数字签名标准DSS:签名算法DSA

    应用:鉴权:重放攻击;完整性:同形攻击;不可抵赖

    2.1.4密钥管理

    包括密钥的生成,存储,分配,启用与停用,控制,更新,撤销与销毁等诸多方面密钥的分配与存储最为关键

    借助加密,认证,签名,协议和公证等技术

    密钥的秘密性,完整性,真实性

    密钥产生:噪声源技术(基于力学,基于电子学,基于混沌理论的密钥产生技术);主密钥,加密密钥,会话密钥的产生

    密钥分配:

    分配手段:人工分发(物理分发),密钥交换协议动态分发

    密钥属性:秘密密钥分配,公开密钥分配

    密钥分配技术:基于对称密码体制的密钥分配,基于公钥密码体制的密钥分配

    密钥信息交换方式:人工密钥分发,给予中心密钥分发,基于认证密钥分发

    人工密钥分发:主密钥

    基于中心的密钥分发:利用公开密钥密码体制分配传统密码的密钥;可信第三方:密钥分发中心KDC,密钥转换中心KTC;拉模型,推模型;密钥交换协议:Diffie-Hellman算法

    公开密钥分配:公共发布;公用目录;公约授权:公钥管理机构;公钥证书:证书管理机构CA,目前最流行

    密钥存储:

    公钥存储

    私钥存储:用口令加密后存放在本地软盘或硬盘;存放在网络目录服务器中:私钥存储服务PKSS;智能卡存储;USB Key存储

    2.2认证技术

    2.2.1消息认证

    产生认证码的函数:

    消息加密:整个消息的密文作为认证码

    消息认证码(MAC):利用密钥对消息产生定长的值,并以该值作为认证码;基于DES的MAC算法

    哈希函数:将任意长的消息映射为定长的哈希值,并以该哈希值作为认证码

    2.2.2身份认证

    身份认证系统:认证服务器、认证系统客户端、认证设备

    系统主要通过身份认证协议(单向认证协议和双向认证协议)和认证系统软硬件进行实现

    认证手段:静态密码方式

    动态口令认证:动态短信密码,动态口令牌(卡)

    USB Key认证:挑战/应答模式,基于PKI体系的认证模式

    生物识别技术

    认证协议:基于口令的认证协议,基于对称密码的认证,基于公钥密码的认证

    2.3访问控制技术

    访问控制模型:

    自主访问控制(DAC):访问矩阵模型:访问能力表(CL),访问控制表(ACL);商业环境中,大多数系统,如主流操作系统、防火墙等

    强制访问控制(DAC):安全标签:具有偏序关系的等级分类标签,非等级分类标签,比较主体和客体的安全标签等级,,访问控制安全标签列表(ACSLL);访问级别:最高秘密级,秘密级,机密级,无级别及;Bell-Lapadula模型:只允许向下读、向上写,保证数据的保密性,Biba不允许向下读、向上写,保护数据完整性;Chinese Wall模型:多边安全系统中的模型,包括了MAC和DAC的属性

    基于角色的访问控制(RBAC):要素:用户,角色,许可;面向企业,大型数据库的权限管理;用户不能自主的将访问权限授权给别的用户;MAC基于多级安全需求,RBAC不是

    2.3.2访问控制技术
    集中访问控制:

    认证、授权、审计管理(AAA管理)

    拨号用户远程认证服务RADIUS:提供集中式AAA管理;客户端/服务器协议,运行在应用层,使用UDP协议;组合认证与授权服务

    终端访问控制器访问控制系统TACACS:TACACS+使用TCP;更复杂的认证步骤;分隔认证、授权、审计

    Diameter:协议的实现和RADIUS类似,采用TCP协议,支持分布式审计

    非集中式访问控制:

    单点登录SSO

    Kerberos:使用最广泛的身份验证协议;引入可信的第三方。Kerberos验证服务器;能提供网络信息的保密性和完整性保障;支持双向的身份认证

    SESAME:认证过程类似于Kerberos

    2.4审计和监控技术

    2.4.1审计和监控基础

    审计系统:日志记录器:收集数据,系统调用Syslog收集数据;分析器:分析数据;通告器:通报结果

    2.4.2审计和监控技术

    恶意行为监控:主机监测:可监测的地址空间规模有限;网络监测:蜜罐技术(软件honeyd),蜜网(诱捕网络):高交互蜜罐、低交互蜜罐、主机行为监视模块

    网络信息内容审计:方法:网络舆情分析:舆情分析引擎、自动信息采集功能、数据清理功能;技术:网络信息内容获取技术(嗅探技术)、网络内容还原分析技术;模型:流水线模型、分段模型;不良信息内容监控方法:网址、网页内容、图片过滤技术

    第三章系统安全

    3.1操作系统安全

    3.1.1操作系统安全基础

    基本安全实现机制:

    CPU模式和保护环:内核模式、用户模式

    进程隔离:使用虚拟地址空间达到该目的

    3.1.2操作系统安全实践

    UNIX/Linux系统:

    文件系统安全:所有的事物都是文件:正规文件、目录、特殊文件(/dev下设备文件)、链接、Sockets;文件系统安全基于i节点中的三层关键信息:UID、GID、模式;模式位,权限位的八进制数表示;设置SUID(使普通用户完成一些普通用户权限不能完成的事而设置)和SGID,体现在所有者或同组用户权限的可执行位上;chmod改变文件权限设置、chown、chgrp;unmask创建文件默认权限

    账号安全管理:/etc/passwd、/etc/shadow;伪用户账号;root账户管理:超级用户账户可不止一个,将UID和GID设置为0即可,使用可插入认证模块PAM进行认证登录

    日志与审计:日志系统:记录连接时间的日志:/var/log/wtmp、/var/run/utmp,进程统计:pacct与acct,错误日志:/var/log/messages

    Windows系统:

    Windows安全子系统:winlogon和图形化标识和验证GINA、本地安全认证、安全支持提供者的接口(SSPI)、认证包、安全支持提供者、网络登录服务、安全账号管理器(SAM)

    登录验证:Kerberos

    用户权力与权限:用户权限:目录权限、文件权限;共享权限

    日志与审计:系统日志、应用程序日志、安全日志

    安全策略:密码策略;锁定策略;审核策略;用户全力指派;安全选项;装载自定义安全模板;windows加密文件系统

    可信计算技术:

    可信计算平台联盟(TCPA),可信计算组织(TCG)

    可信PC,可新平台模块(TPM),可信软件栈(TSS),可信网络连接(TNC)

    可信平台模块(TPM):具有密码运算能力和存储能力,是一个含有密码运算部件和存储部件的小型片上系统;物理可信、管理可信的;

    可信密码模块(TCM):中国

    可信计算平台:三个层次:可信平台模块(信任根)、可信软件栈、可信平台应用软件;我国:可信密码模块、可信密码模块服务模块、安全应用

    可信网络连接(TNC):开放性、安全性

    3.2数据库安全

    3.2.1数据库安全基础

    统计数据库安全

    现代数据库运行环境:多层体系结构,中间层完成对数据库访问的封装

    数据库安全功能:

    用户标识和鉴定

    存取控制:自主存取控制:用户权限有两个要素组成:数据库对象和操作类型,GRANT语句向用户授予权限,REVOKE语句收回授予的权限,角色:权限的集合;强制存取控制:主体和客体,敏感度标记:许可证级别(主体)、密级(客体),首先要实现自主存取控制

    审计:用户级审计、系统审计;AUDIT设置审计功能,NOAUDIT取消审计功能

    数据加密

    视图与数据保密性:将视图机制与授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上再进一步定义存取权限

    数据完整性:

    语义完整性,参照完整性,实体完整性

    约束:优先于使用触发器、规则和默认值

    默认值:CREATEDEFAULT

    规则:CREATE RULE,USE EXEC sp_bindefault,DROP RULE

    事务处理:BEGAIN

    TRANSACTION,COMMIT,ROLLBACK;原子性、一致性、隔离性、持久性;自动处理事务、隐式事物、用户定义事物、分布式事务

    3.2.2数据库安全实践

    数据库十大威胁:

    过度的特权滥用;合法的特权滥用;特权提升;平台漏洞;SQL注入;不健全的审计;拒绝服务;数据库通信协议漏洞;不健全的认证;备份数据库暴露

    安全防护体系:事前检查,事中监控,事后审计

    数据库安全特性检查:

    端口扫描(服务发现):对数据库开放端口进行扫描;渗透测试:黑盒式的安全监测,攻击性测试,对象是数据库的身份验证系统和服务监听系统,监听器安全特性分析、用户名和密码渗透、漏洞分析;内部安全监测:安全员数据、内部审计、安全配置检查、漏洞检测、版本补丁检测

    数据库运行安全监控:网络嗅探器、数据库分析器、SQL分析器、安全审计

    第四章网络安全

    4.1网络安全基础

    4.1.1TCP/IP体系架构

    4.1.2网络协议

    数据链路层协议:地址解析协议(ARP),逆向地址解析协议(RARP)

    网络层协议:IP协议, Internet控制报文协议(ICMP):发送出错和控制消息,提供了一个错误侦测与回馈机制

    传输层协议:TCP协议,UDP协议

    应用层协议:HTTP,SMTP和POP3,DNS

    4.2网络安全威胁技术

    4.2.1扫描技术

    互联网信息搜集

    IP地址扫描:操作系统命令ping(网络故障诊断命令)、tracer,自动化的扫描工具Namp 、Superscan

    端口扫描:Namp软件;TCP全连接扫描,TCP SYN扫描,TCP FIN扫描,UDP的ICMP端口不可达扫描,ICMP扫描;乱序扫描和慢速扫描

    漏洞扫描:网络漏洞扫描:模拟攻击技术;主机漏洞扫描:漏洞特征匹配技术、补丁安装信息的检测

    弱口令扫描:基于字典攻击的弱口令扫描技术、基因穷举攻击的弱口令扫描技术

    综合漏洞扫描:Nessus

    扫描防范技术:防火墙,用安全监测工具对扫描行为进行监测

    4.2.2网络嗅探

    非主动类信息获取攻击技术

    防范:实现对网络传输数据的加密,VPN、SSL、SSH等加密和传输的技术和设备,利用网络设备的物理或者逻辑隔离的手段

    4.2.3网络协议欺骗

    IP地址欺骗:和其他攻击技术相结合

    ARP欺骗:中间人欺骗(局域网环境内实施),伪装成网关欺骗(主要针对局域网内部主机与外网通信的情况);防范:MAC地址与IP地址双向静态绑定

    TCP欺骗:将外部计算机伪装成合法计算机;非盲攻击:网络嗅探,已知目标主机的初始序列号,盲攻击:攻击者和目标主机不在同一个网络上

    DNS欺骗:基于DNS服务器的欺骗,基于用户计算机的DNS欺骗

    4.2.4诱骗式攻击

    网站挂马:

    攻击者成功入侵网站服务器,具有了网站中网页的修改权限

    技术:框架挂马:直接加在框架代码和框架嵌套挂马;JS脚本挂马;b ody挂马;伪装欺骗挂马

    防范:Web服务器,用户计算机

    诱骗下载:

    主要方式:多媒体类文件下载,网络游戏软件和插件下载,热门应用软件下载,电子书爱好者,P2P种子文件

    文件捆绑技术:多文件捆绑方式,资源融合捆绑方式,漏洞利用捆绑方式

    钓鱼网站

    社会工程

    4.2.5软件漏洞攻击利用技术

    软件漏洞:操作系统服务程序漏洞,文件处理软件漏洞,浏览器软件漏洞,其他软件漏洞

    软件漏洞攻击利用技术:直接网络攻击;诱骗式网络攻击:基于网站的诱骗式网络攻击,网络传播本地诱骗点击攻击

    4.2.6拒绝服务攻击

    实现方式:利用目标主机自身存在的拒绝服务性漏洞进行攻击,耗尽目标主机CPU和内存等计算机资源的攻击,耗尽目标主机网络带宽的攻击

    分类:IP层协议的攻击:发送ICMP协议的请求数据包,Smurf攻击;TCP协议的攻击:利用TCP本身的缺陷实施的攻击,包括SYN-Flood和ACK-Flood攻击,使用伪造的源IP地址,利用TCP全连接发起的攻击,僵尸主机;UDP协议的攻击;应用层协议的攻击:脚本洪水攻击

    分布式拒绝服务(DDos):攻击者,主控端,代理端,僵尸网络

    防范:支持DDos防御功能的防火墙

    4.2.7Web脚本攻击

    针对Web服务器端应用系统的攻击技术:

    注入攻击:SQL注入,代码注入,命令注入,LDAP注入,XPath注入;防范:遵循数据与代码分离的原则

    访问控制攻击,非授权的认证和会话攻击

    针对Web客户端的攻击技术:

    跨站脚本攻击(XSS):反射型XSS(非持久性的跨站脚本攻击),存储型XSS(持久型的跨站脚本攻击),DOM-based XSS(基于文档对象模型的跨站脚本攻击):从效果上来说属于反射型XSS

    跨站点请求伪造攻击(CSRF):伪造客户顿请求;防范:使用验证码,在用户会话验证信息中添加随机数

    点击劫持攻击

    4.2.8远程控制

    木马:

    具有远程控制、信息偷取、隐藏传输功能的恶意程序;通过诱骗的方式安装;一般没有病毒的的感染功能;特点:伪装性,隐藏性,窃密性,破坏性;

    连接方式:C/S结构;最初的网络连接方法;反弹端口技术:服务器端主动的发起连接请求,客户端被动的等待连接;木马隐藏技术:线程插入技术、DLL动态劫持技术、RootKit(内核隐藏技术)

    Wwbshell:用Web脚本写的木马后门,用于远程控制网站服务器;以ASP、PHP、ASPX、JSP等网页文件的形式存在;被网站管理员可利用进行网站管理、服务器管理等

    4.3网络安全防护技术

    4.3.1防火墙

    一般部署在网络边界,也可部署在内网中某些需要重点防护的部门子网的网络边界

    功能:在内外网之间进行数据过滤;对网络传输和访问的数据进行记录和审计;防范内外网之间的异常网络行为;通过配置NAT提高网络地址转换功能

    分类:硬件防火墙:X86架构的防火墙(中小企业),ASIC、NP架构的防火墙(电信运营商);软件防火墙(个人计算机防护)

    防火墙技术:

    包过滤技术:默认规则;主要在网络层和传输层进行过滤拦截,不能阻止应用层攻击,也不支持对用户的连接认证,不能防止IP地址欺骗

    状态检测技术(动态包过滤技术):增加了对数据包连接状态变化的额外考虑,有效阻止Dos攻击

    地址翻译技术:静态NAT,NAT池,端口地址转换PAT

    应用级网关(代理服务器):在应用层对数据进行安全规则过滤

    体系结构:

    双重宿主主机体系结构:至少有两个网络接口,在双重宿主主机上运行多种代理服务器,有强大的身份认证系统

    屏蔽主机体系结构:防火墙由一台包过滤路由器和一台堡垒主机组成,通过包过滤实现了网络层传输安全的同时,还通过代理服务器实现了应用层的安全

    屏蔽子网体系结构:由两个包过滤路由器和一台堡垒主机组成;最安全,支持网络层、传输层、应用层的防护功能;添加了额外的保护体系,周边网络(非军事区,DMZ)通常放置堡垒主机和对外开放的应用服务器;堡垒主机运行应用级网关

    防火墙的安全策略

    4.3.2入侵检测系统和入侵防御系统

    入侵检测系统(IDS):

    控制台:在内网中,探测器:连接交换机的网络端口

    分类:根据数据采集方式:基于网络的入侵检测系统(NIDS)、基于主机的入侵检测系统(HIDS);根据检测原理:误用检测型入侵检测系统、异常检测型入侵检测系统

    技术:误用检测技术:专家系统、模型推理、状态转换分析;异常检测技术:统计分析、神经网络;其他入侵检测技术:模式匹配、文件完整性检验、数据挖掘、计算机免疫方法

    体系结构:集中式结构:单一的中央控制台;分布式结构:建立树形分层结构

    部署:一个控制台可以管理多个探测器,控制台可以分层部署,主动控制台和被动控制台

    入侵防御系统(IPS):

    部署:网络设备:网络中需要保护的关键子网或者设备的网络入口处,控制台

    不足:可能造成单点故障,可能造成性能瓶颈,漏报和无保的影响

    4.3.3PKI

    公共密钥基础设施是创建、管理、存储、分布和作废数字证书的一场系列软件、硬件、人员、策略和过程的集合

    组成:数字证书是PKI的核心;安全策略;证书认证机构(CA);证书注册机构;证书分发机构;基于PKI的应用接口

    数字证书

    信任模式:单证书认证机构信任模式,层次信任模型,桥证书认证机构信任模型

    4.3.4VPN

    利用开放的物理链路和专用的安全协议实现逻辑上网络安全连接的技术

    网络连接类型:远程访问型VPN(Client-LAN)客户机和服务器都安装VPN软件;网络到网关类型的VPN(LAN-LAN)客户端和服务器各自在自己的网络边界部署硬件VPN网关设备

    VPN协议分类:网络隧道技术

    第二层隧道协:封装数据链路层数据包;介于二、三层之间的隧道协议;第三层隧道协议IPSec,通用路由封装协议(GRE);传输层的SSL VPN协议:SSL协议工作在TCP/IP和应用层之间

    4.3.5网络安全协议

    Internet安全协议(IPSec):引入加密算法、数据完整性验证和身份认证;网络安全协议:认证协议头(AH)、安全载荷封装(ESP,传输模式、隧道模式),密钥协商协议:互联网密钥交换协议(IKE)

    传输层安全协议(SSL):解决点到点数据安全传输和传输双方身份认证的网络安全传输协议;记录协议和握手协议

    应用层安全协议:

    Kerberos协议;SSH协议:加密所有传输的数据,能防止DNS欺骗和IP欺骗;安全超文本传输协议(SHTTP);安全多用途网际邮件扩充协议(S/MIME);安全电子交易协议(SET)

    展开全文
  • 信息安全基础知识理论总结 信息安全概述 密码学 数字签名 信息隐藏 计算机病毒、木马、蠕虫 计算机网络 网络安全(防火墙,入侵检测系统,入侵防御系统,拒绝服务攻击/分布式拒绝服务攻击) 网络安全协议理论与技术...

    注意:这里的总结,只是网络搜索的知识,检索重点进行的ctrl c 和ctrl v,具体详情,请自行查找资料,请知悉。

    目录

    信息安全基础知识理论总结

    信息安全概述

    网络信息安全产业概览

    信息安全产业全景概览

    信息安全产业链分析

    信息安全产品结构及分类

    网络信息安全厂商分类


    信息安全基础知识理论总结

        信息安全概述
        密码学
        数字签名
        信息隐藏
        计算机病毒、木马、蠕虫
        计算机网络
        网络安全(防火墙,入侵检测系统,入侵防御系统,拒绝服务攻击/分布式拒绝服务攻击)
        网络安全协议理论与技术(PKI,VPN,SSL)
        操作系统安全
        数据库系统
        Web安全防护
     

    信息安全概述

         信息安全的任务是保护信息财产,以防止偶然的故意为之的未授权者对信息的恶意修改、破坏以及泄漏,从而导致信息无法处理,不完整、不可靠。

         信息安全具有以下基本属性:
         (1)保密性(Confindentialy):保证未授权者无法享用信息,信息不会被非法泄漏而扩散;
         (2)完整性(Integrity):保证信息的来源、去向、内容真实无误;
         (3)可用性(Availability):保证网络和信息系统随时可用;
         (4)可控性(Controllability):保证信息管理者能对传播的信息及内容实施必要的控制以及管理;
         (5)不可否认性(Non-Repudiation):又称不可抵赖性,保证每个信息参与者对各自的信息行为负责;
    其中,前三者又称为信息安全的目标——CIA。

    信息安全所面临的危险可以分为自然威胁和人为威胁两方面:
    自然威胁:各种自然灾害,恶劣的场地环境,电磁干扰,电磁辐射,网络设备自然老化等;
    人为威胁:人为威胁又包含无意威胁(偶然事故)和恶意攻击。

    偶然事故:
    操作失误:未经允许使用,操作不当,误用存储媒介等;
    意外损失:电力线路漏电、搭线等;
    编程缺陷:经验、水平不足,检查疏忽等;
    意外丢失:数据被盗、被非法复制,设备、传输媒介失窃等;
    管理不善:维护不力,管理松懈等;
    恶意攻击:又分为主动攻击和被动攻击。
    主动攻击:有选择性的修改、删除、伪造、添加、重放、乱序信息,冒充以及制造病毒等;
    被动攻击:在不干扰网络信息系统正常工作的情况下,进行侦收,截获,窃取,破译,业务流量分析以及电磁泄漏等;

    信息安全体系:包括信息安全服务与信息安全机制。
    信息安全服务:实体鉴别,数据源鉴别,禁止抵赖,访问控制,数据完整性,数据机密性
    信息安全机制:加密,访问控制,数字签名,交换鉴别,路由控制,公证机制

    信息安全的主要技术包括:加密技术,认证技术,防伪技术,知识产权保护技术,网络控制技术,反病毒技术,数据库安全技术和安全审计技术等。

    网络信息安全产业概览

    信息安全产业全景概览

                                                               图1 信息安全产业全景概览

    信息安全产业链分析

                                                                                图2 信息安全产业链

    信息安全产品结构及分类

                                                                                 图3 信息安全产品

    网络信息安全厂商分类

                                                                                         图4 网络信息安全厂商分类

    注:参考原文均已失效,不再提供参考链接。

    展开全文
  • 信息安全基础知识

    千次阅读 多人点赞 2019-09-11 11:09:33
    信息安全研究方向 密码学 网络安全 信息系统安全 信息内容安全 信息对抗 信息安全理论基础 通用理论基础 数学 信息理论 计算理论 特有理论基础 访问控制理论 博弈论 密码学 信息安全方法论 ...

    目录

     

    信息安全研究方向

    密码学

    网络安全

    信息系统安全

    信息内容安全

    信息对抗

    信息安全理论基础

    通用理论基础

        数学

        信息理论

        计算理论

    特有理论基础

        访问控制理论

        博弈论

        密码学

    信息安全方法论

    理论分析

    逆向分析

    实验验证

    技术实现

    信息系统安全层次

    设备安全

        稳定性

        可靠性

        可用性

    数据安全

        秘密性

        完整性

        可用性

    内容安全

        政治

        法律

        道德

    行为安全

        秘密性

        完整性

        可控性

    信息安全管理

    密码管理

    网络管理

    设备管理

    人员管理

    IOS安全体系结构

    安全服务

    开放系统互连安全体系 结构示意图

    网络安全体系 结构示意图

    信息安全风险管理

    风险评估

    风险管理


    信息安全研究方向

    密码学

    网络安全

    信息系统安全

    信息内容安全

    信息对抗

    信息安全理论基础

    通用理论基础

        数学

    代数,数论,概率统计,组合数学,逻辑学

        信息理论

    信息论,控制论,系统论

        计算理论

    可计算性理论,计算复杂性理论

    特有理论基础

        访问控制理论

    访问控制模型,授权理论

        博弈论

    条件,规则(人、行动、结果),信息,策略,对抗,均衡,收益

        密码学

    编码学,破译学

    信息安全方法论

    理论分析

    逆向分析

    实验验证

    技术实现

    信息系统安全层次

    设备安全

        稳定性

    设备一定时间内不出故障的概率

        可靠性

    设备一定时间内正常运行的概率

        可用性

    设备随时可以正常使用的概率

    数据安全

        秘密性

    数据不被未授权方使用的属性

        完整性

    数据保持真实与完整,不被篡改的属性

        可用性

    数据随时可以正常使用的概率

    内容安全

        政治

    政治健康

        法律

    合法合规

        道德

    符合道德规范

    行为安全

        秘密性

    行为的过程和结果是秘密的,不影响数据的秘密性

        完整性

    行为的过程和结果可预期,不影响数据的完整性

        可控性

    可及时发现、纠正、控制偏离预期的行为

    信息安全管理

    密码管理

    保护信息安全的最有效手段、最关键技术

    网络管理

    性能,配置,故障,安全,计费

    设备管理

    选型,安装,调试,安装与维护,登记与使用,存储

    人员管理

    用户,管理者,工程实施人员,研发人员,运维人员

    IOS安全体系结构

    安全服务

    加强数据处理系统和信息传输的安全性服务,利用一种或多种安全机制阻止安全攻击

    安全机制:保护系统免受攻击、侦听、破坏及恢复系统

    开放系统互连安全体系 结构示意图

    网络安全体系 结构示意图

        协议层次

    TCP/IP协议

        系统单元

    该系统单元能够解决哪些系统环境的安全问题

        安全服务

    该系统单元能够解决哪些安全威胁

    信息安全风险管理

    风险评估

        风险评估流程

    确定资产-脆弱性和威胁分析-指定应对方案-决策-沟通与交流-方案实施

        风险评估方法

    定性,定量,定性与定量结合(层次分析法

    风险管理

    风险管理一般过程

    规划风险管理-识别风险-定性风险分析-定量风险分析-风险控制-风险监控

    降低风险常见途径

    避免风险(取消项目、网络隔离)

    转移风险(对高风险项目进行外包、保险、担保)

    减少威胁(部署杀软、反木马软件)

    减少脆弱性(系统安全补丁、修复漏洞)

    减少威胁可能的影响(指定业务持续性计划)

    检测并响应和恢复意外事件(使用网管软件检测系统的性能和故障)

     

     

    读书笔记:

    《信息安全工程师(5天修炼)》

     

    展开全文
  • 信息安全简答题

    千次阅读 2020-12-28 11:57:49
    一、区块链技术在网络与信息安全领域的应用 1.1区块链概念 在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改...
  • 信息安全与网络安全的区别

    万次阅读 多人点赞 2019-10-16 08:55:23
    信息安全包括网络安全,信息安全还包括操作系统安全,数据库安全,硬件设备和设施安全,物理安全,人员安全,软件开发,应用安全等。 二、针对的设备不同 网络安全侧重于研究网络环境下的计算机安全,信息安全侧重于...
  • 计算机三级信息安全知识点

    万次阅读 2021-03-26 19:23:04
    信息安全的五个基本属性 机密 可用 可控 不可否认 完整性 信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全 保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略 ...
  • 近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。本标准针对个人...
  • 信息安全事件分类分级解读

    万次阅读 2018-03-08 13:39:52
    信息安全事件分类分级解读 ...依据《中华人民共和国网络安全法》 、《GBT 24363-2009 信息安全信息安全应急响应计划规范》、《GB\T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB\Z 20...
  • 第1章:信息安全基础 1.1 信息安全概念 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=517 一.大纲要求 1.1 了解网络空间的...
  • 近年来,随着互联网应用的普及和大数据产业的发展,确实给生活带来很多便利,与此同时,个人信息安全也面临着严重威胁,个人信息被非法收集、泄露与滥用等。 2020年3月6日,国家市场监督管理总局、国家标准化管理...
  • 关于信息安全专业学习的一些看法

    万次阅读 多人点赞 2016-05-15 20:22:18
    总结了自己从本科到目前研究生阶段对信息安全学习的看法。
  • 物联网信息安全概述

    千次阅读 2019-04-16 17:26:15
    物联网信息安全 物联网信息安全 据《硅谷》杂志2012年第22期刊文称,物联网在各个领域的推广应用也把原来的网络安全威胁扩大到物质世界,增加防范和管理难度,根据物联网的三个层次,分析物联网的安全特性,特别...
  • 备战2020软考信息安全工程师顺利通关软考视频套餐:【一次付费,终身学习,软考课程动态更新】三大通关保障--软考专家授课、一对一专属答疑、软考课程体系化。本套餐为软考信息安全工程师学习套餐,包括:软考信息...
  • 软考信息安全工程师学习笔记汇总

    千次阅读 多人点赞 2019-05-30 22:51:12
    软考信息安全工程师学习笔记汇总 https://www.moondream.cn/?p=178 2020年软考信息安全工程师备考学习资料包 1.《信息安全工程师教程》重点标记版 2.《信息安全工程师考试大纲》 思维导图 3.信息安全...
  • 网络与信息安全基础知识专栏

    千次阅读 多人点赞 2019-01-18 11:18:06
    本专栏是网络信息安全的基础知识汇总(适合自学) 目录浏览(点击超链接即可访问) 网络与信息安全面试复习(一):什么是计算机网络,网络参考模型、网络安全的概念。 网络与信息安全面试复习(二):密码学基础...
  • 备战2018软考信息安全工程师顺利通关软考视频套餐:【一次付费,终身学习,软考课程动态更新】三大通关保障--软考专家授课、一对一专属答疑、软考课程体系化。本套餐为软考信息安全工程师顺利通关套餐,包括:软考...
  • 网络信息安全知识框架

    万次阅读 多人点赞 2018-12-30 22:10:32
    如需要下列知识的详细内容,欢迎评论或私信联系我。 第0章 基础概述 1.网络信息安全的原则(包括...1.1 网络安全的概念 (信息安全的4个层面、信息安全所涉及学科、研究信息安全的重要性、网络安全的概念) 1.2 ...
  • 备战2018软考信息安全工程师软考视频基础知识套餐:【一次付费,终身学习,软考课程动态更新】三大通关保障--软考专家授课、一对一专属答疑、软考课程体系化。本套餐为软考信息安全工程师基础知识套餐,包括:软考...
  • 课程紧跟软考信息安全工程师考试大纲,通过作者多年的软考辅导经验及实际的信息安全工作实战经历,本视频课程对信安考试中的所有知识点进行了详细的讲解及总结;对于考试中重点考、反复考的知识点做了强化训练;对于...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • 信息安全工程师考试心得体会

    千次阅读 2018-08-27 14:03:19
    信息安全工程师由于每年只考一次,因此如何备考是考生们关注的。这里跟大家说说信息安全工程师的考试心得体会,希望对备考2018年信息安全工程师的朋友有一定帮助。 信息安全工程师考试心得体会 很多考生在备考的...
  • 在掌握信息安全基础知识的基础上,通过对上午历年真题的解析,加深对信息安全,网络安全、加密算法等知识的理解,为考试和自身能力提高做进一步努力。
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...
  • 信息安全工程师参考资料(一)

    万次阅读 2018-09-04 18:05:50
    第一章 信息安全基础知识 1.1 信息安全研究方向 目前信息安全的研究包括密码学、网络安全、信息系统安全、信息内容安全、信息对抗等方向 网络空间是所有信息系统的集合,网络空间安全的核心是信息安全。网络...
  • 信息安全性与保密性

    千次阅读 2019-08-20 17:37:27
    信息安全,具体地说就是保证信息的保密性、完整性、真实性、占有性。 保密性是指系统中的信息必须按照该信息拥有者的要求保证一定的秘密性,不会被未经许可的第三方非法获取。系统必须阻止一切对秘密信息的非授权...
  • 个人信息安全管理条例解释

    千次阅读 2019-11-06 19:45:56
    给人们生活带来便利的同时,也出现了对个人信息的 非法收集、滥用、泄露 等问题,个人信息安全面临严重威胁。 为了保护公民个人隐私数据不被肆意收集、滥用、泄漏甚至非法售卖,各国政府纷纷出台相关法律政策文件,...
  • 信息安全技术(俞承杭)期末复习

    千次阅读 2021-01-15 14:13:08
    第一章 信息安全概述 对于信息的功能特征,它的基本功能在于维持和强化世界的有序性动态性 对于信息的功能特征, 它的社会功能表现为维系社会的生存、 促进人类文明的进步和自身的发展 信息技术主要分为感测与识别...
  • 历史信息安全事件回顾

    千次阅读 2018-09-15 10:43:08
     当前信息技术持续高速发展的大背景下,互联网对全球政治、经济、社会和文化的影响愈发深远,保障信息安全成为世界范围的重要议题。纵观历史,细想驱动安全发展的几点因素: 1、信息风险隐患驱动信息安全发展:...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,061,557
精华内容 824,622
关键字:

信息安全