精华内容
下载资源
问答
  • 浅谈物联网信息安全

    千次阅读 2019-04-19 15:34:27
    近段时间我们刚刚开始了物联网信息安全的学习,算是稍微对这方面有了一点点认识。下面简单分享一下。 信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁,需保证信息...
    我是一名物联网专业的大三学生。近段时间我们刚刚开始了物联网信息安全的学习,算是稍微对这方面有了一点点认识。下面简单分享一下。
    信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁,需保证信息的保密性、真实性、完整性等等。信息安全本身包括的范围非常大,一两句话是根本无法概括的。实现信息的安全保护,其核心是密码学。提到密码学,大家都能联想到的无非就是加解密、公钥证书、旁路分析、椭圆曲线等等晦涩的字眼。
    黑客这个词汇已经越来越多的出现在我们的生活中。从斯诺登事件到比特币被盗,从吉普汽车被黑到最近的希拉里邮件门,种种迹象表明信息安全的重要性不容被忽视。
    当我们每天在因特网上处理邮件,发状态,发照片,用信用卡消费,每时每刻都有跟我们做着同样事情的人遭遇信息被盗或者篡改的事件发生。
    物联网给我们带来了很多之前无法想象的便利,然而同时伴随着存在的事实是:IoT也成为了黑客们非常感兴趣的攻击对象。物联网的范围越庞大,黑客可以下手的可能性就越丰富,那么我们需要保护的信息就越分散,同时存在的漏洞就越多。
    值得欣慰的是,目前物联网安全已经越来越引起工业界和各国政府的重视。从芯片解决方案到系统级的防护,越来越多的设备和软件生产商都渐渐采用了针对物联网安全的防护手段。
    显而易见,物联网将很快成为我们生活的一个重要组成部分,其安全性是全球的高科技公司要解决的主要问题之一,其中物联网隐私和数据保护技术仍需要极大的进步。![物联网信息安全](https://img-blog.csdnimg.cn/20190419153314600.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0Fycm9weW9u,size_16,color_FFFFFF,t_70)
    
    展开全文
  • 信息安全基础知识理论总结 信息安全概述 密码学 数字签名 信息隐藏 计算机病毒、木马、蠕虫 计算机网络 网络安全(防火墙,入侵检测系统,入侵防御系统,拒绝服务攻击/分布式拒绝服务攻击) 网络安全协议理论与技术...

    注意:这里的总结,只是网络搜索的知识,检索重点进行的ctrl c 和ctrl v,具体详情,请自行查找资料,请知悉。

    目录

    信息安全基础知识理论总结

    信息安全概述

    网络信息安全产业概览

    信息安全产业全景概览

    信息安全产业链分析

    信息安全产品结构及分类

    网络信息安全厂商分类


    信息安全基础知识理论总结

        信息安全概述
        密码学
        数字签名
        信息隐藏
        计算机病毒、木马、蠕虫
        计算机网络
        网络安全(防火墙,入侵检测系统,入侵防御系统,拒绝服务攻击/分布式拒绝服务攻击)
        网络安全协议理论与技术(PKI,VPN,SSL)
        操作系统安全
        数据库系统
        Web安全防护
     

    信息安全概述

         信息安全的任务是保护信息财产,以防止偶然的故意为之的未授权者对信息的恶意修改、破坏以及泄漏,从而导致信息无法处理,不完整、不可靠。

         信息安全具有以下基本属性:
         (1)保密性(Confindentialy):保证未授权者无法享用信息,信息不会被非法泄漏而扩散;
         (2)完整性(Integrity):保证信息的来源、去向、内容真实无误;
         (3)可用性(Availability):保证网络和信息系统随时可用;
         (4)可控性(Controllability):保证信息管理者能对传播的信息及内容实施必要的控制以及管理;
         (5)不可否认性(Non-Repudiation):又称不可抵赖性,保证每个信息参与者对各自的信息行为负责;
    其中,前三者又称为信息安全的目标——CIA。

    信息安全所面临的危险可以分为自然威胁和人为威胁两方面:
    自然威胁:各种自然灾害,恶劣的场地环境,电磁干扰,电磁辐射,网络设备自然老化等;
    人为威胁:人为威胁又包含无意威胁(偶然事故)和恶意攻击。

    偶然事故:
    操作失误:未经允许使用,操作不当,误用存储媒介等;
    意外损失:电力线路漏电、搭线等;
    编程缺陷:经验、水平不足,检查疏忽等;
    意外丢失:数据被盗、被非法复制,设备、传输媒介失窃等;
    管理不善:维护不力,管理松懈等;
    恶意攻击:又分为主动攻击和被动攻击。
    主动攻击:有选择性的修改、删除、伪造、添加、重放、乱序信息,冒充以及制造病毒等;
    被动攻击:在不干扰网络信息系统正常工作的情况下,进行侦收,截获,窃取,破译,业务流量分析以及电磁泄漏等;

    信息安全体系:包括信息安全服务与信息安全机制。
    信息安全服务:实体鉴别,数据源鉴别,禁止抵赖,访问控制,数据完整性,数据机密性
    信息安全机制:加密,访问控制,数字签名,交换鉴别,路由控制,公证机制

    信息安全的主要技术包括:加密技术,认证技术,防伪技术,知识产权保护技术,网络控制技术,反病毒技术,数据库安全技术和安全审计技术等。

    网络信息安全产业概览

    信息安全产业全景概览

                                                               图1 信息安全产业全景概览

    信息安全产业链分析

                                                                                图2 信息安全产业链

    信息安全产品结构及分类

                                                                                 图3 信息安全产品

    网络信息安全厂商分类

                                                                                         图4 网络信息安全厂商分类

    注:参考原文均已失效,不再提供参考链接。

    展开全文
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
      
    

    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。

    信息安全

      是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

      其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。

      信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

      关于这一部分的具体介绍,详见信息安全专业

    重要性

      

      

    积极推动信息安全等级保护

    信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。

      我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船侦察机卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我国通信传输中的信息。

      从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把

      

    信息安全策略

    [1]

    日益繁多的事情托付给计算机来完成 ,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。

      传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

    编辑本段主要威胁

      信息安全的威胁来自方方面面,不可一一罗列。但这些威胁根据其性质,基本上可以归结为以下几个方面:

      (1) 信息泄露:保护的信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      

    现代密码学宗师——肖国镇

    (3) 拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。

      (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (11)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。

      (12)信息安全法律法规不完善:由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。

    实现目标

      ◆ 真实性:对信息的来源进行判断,能对伪造来源的信息

      

    信息安全相关书籍

    予以鉴别。

      ◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。

      ◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。

      ◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。

      ◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。

      ◆ 可控制性:对信息的传播及内容具有控制能力。

      ◆ 可审查性:对出现的网络安全问题提供调查的依据和手段

    安全威胁

      (1) 信息泄露:信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      (3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。

      

    信息安全

    (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。

      (11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。

      (12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。

      (14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。

      (15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。

      (16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。

      (17)物理侵入:侵入者绕过物理控制而获得对系统的访问。

      (18)窃取:重要的安全物品,如令牌或身份卡被盗。

      业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等

    主要来源

      ◆ 自然灾害、意外事故;

      ◆ 计算机犯罪

      ◆ 人为错误,比如使用不当,安全意识差等;

      ◆ "黑客" 行为;

      ◆ 内部泄密;

      ◆ 外部泄密;

      ◆ 信息丢失;

      ◆ 电子谍报,比如信息流量分析、信息窃取等;

      ◆ 信息战

      ◆ 网络协议自身缺陷,例如TCP/IP协议的安全问题等等。

      ◆ 嗅探,sniff。嗅探器可以窃听网络上流经的数据包。

    编辑本段安全策略

      信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      ◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;

      ◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;

      ◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

    主要问题

      ◆ 网络攻击与攻击检测、防范问题

      ◆ 安全漏洞与安全对策问题

      ◆ 信息安全保密问题

      ◆ 系统内部安全防范问题

      ◆ 防病毒问题

      ◆ 数据备份与恢复问题、灾难恢复问题

    编辑本段技术简介

      目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:

      ◆ 用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。

      ◆ 防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈

      ◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料[2]。网络安全隔离与防火墙的区别可参看参考资料[3]。 ◆ 安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

      ◆ 虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。

      ◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。

      ◆ 电子签证机构--CAPKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。

      ◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。

      ◆ 入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。

      ◆ 入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。

      ◆ 安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      信息安全服务

      信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作

    安全问题

      电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全

      (一)计算机网络安全的内容包括:

      (1)未进行操作系统相关安全配置

      不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。

      (2)未进行CGI程序代码审计

      如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

      (3)拒绝服务(DoS,Denial of Service)攻击

      随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。

      (4)安全产品使用不当

      虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。

      (5)缺少严格的网络安全管理制度 

      网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

      (二)计算机商务交易安全的内容包括:

      (1)窃取信息

      由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

      (2)篡改信息

      当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

      (3)假冒

      由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

      (4)恶意破坏

      由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

    安全对策

      电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。

      1.计算机网络安全措施

      计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

      (一)保护网络安全。

      网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:

      (1)全面规划网络平台的安全策略。

      (2)制定网络安全的管理措施。

      (3)使用防火墙。

      (4)尽可能记录网络上的一切活动。

      (5)注意对网络设备的物理保护。

      (6)检验网络平台系统的脆弱性

      (7)建立可靠的识别和鉴别机制。

      (二)保护应用安全。

      保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。

      由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。

      虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

      (三)保护系统安全。

      保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:

      (1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。

      (2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。

      (3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。

      2.商务交易安全措施

      商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。

      各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。

      (一)加密技术。

      加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。

      (1)对称加密。

      对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。

      (2)非对称加密。

      非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。

      (二)认证技术。

      认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。

      (1)数字签名。

      数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。

      (2)数字证书。

      数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。

      (三)电子商务的安全协议。

      除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。

      (1)安全套接层协议SSL。

      SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。

      (2)安全电子交易协议SET。

      SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。

      SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。

    工程监理

      信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。

      信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。

    编辑本段技术对比

    1. 信息安全法规、政策与标准

      1)法律体系初步构建,但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。

      据相关统计,截至2008年与信息安全直接相关的法律有65部,涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,从形式看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时,与信息安全相关的司法和行政管理体系迅速完善。但整体来看,与美国、欧盟等先进国家与地区比较,我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法,信息安全在法律层面的缺失对于信息安全保障形成重大隐患。

      2)相关系列政策推出,与国外也有异曲同工之处从政策来看,美国信息安全政策体系也值得国内学习与借鉴。美国在信息安全管理以及政策支持方面走在全球的前列:

      一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;

      二是形成了军、政、学、商分工协作的风险管理体系;

      三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。

      3)信息安全标准化工作得到重视,但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。

      我国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检测、管理等方面的几十个主要标准。但总体而言,我国的信息安全标准体系目前仍处于发展和建立阶段,基本上是引用与借鉴了国际以及先进国家的相关标准。因此,我国在信息安全标准组织体系方面还有待于进一步发展与完善。

    2.信息安全用户意识与实践

      1) 信息安全意识有待提高

      与发达国家相比,我国的信息安全产业不单是规模或份额的问题,在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看,与美欧等相比较,仅盗版软件使用率相对较高这种现象就可以部分说明我国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低,以及在互联网使用过程中的密码使用以及更换等方面都更多地表明,我国个人用户的信息安全意识有待于提高。

      2)信息安全实践过程有待加强管理

      信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施,虽然,这是一个全球性的问题,但是我国用户在这一方面与发达国家还有一定差距。

    3.中间组织对信息安全产业发展的影响

      同国外相比较,国内的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等,而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等,其覆盖层次更多,面积更广。与欧美比较,国内资本市场相对薄弱,对于安全产业的发展而言,就缺乏有效的中间组织形式来推进和导向其发展,虽然国内目前有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务,但是距离推进、引导国内安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距。

    4.信息安全培训与教育

      教育培训是培育信息安全公众或专业人才的重要手段,我国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业,国家各级以及社会化的信息安全培训也得到了开展,但这些仍然是不够的,社会教育深入与细化程度与美国等发达国家比较仍有差距。在美国,对于企业的信息安全有很多监管规范,因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。

    编辑本段信息安全专业

    专业简介

      信息安全是国家重点发展的新兴交叉学科,它和政府、国防、金融、制造、商业等部门和行业密切相关,具有广阔的发展前景。通过学习,使学生具备信息安全防护与保密等方面的理论知识和综合技术。能在科研单位、高等学校、政府机关(部队)、金融行业、信息产业及其使用管理部门从事系统设计和管理,特别是从事信息安全防护方面的高级工程技术人才。

    主要课程

      离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、信息系统工程现代密码学、网络安全、信息伪装等

    培养要求

      通过学习本专业的学生应获得以下几方面的基本知识和职业能力:(1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识;(2)掌握计算机软、硬件加密、解密的基本理论、基本知识;(3)掌握计算机维护和系统支持的基本知识、基本技能;(4)掌握参与企业管理进行经济信息分析、处理的基本技能;(5)较熟练掌握一门外语,并能实际应用于信息安全管理领域

      基本技能掌握

      (1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识。

      (2)掌握计算机软、硬件加密、解密的基本理论、基本知识。

      (3)掌握计算机维护和系统支持的基本知识、基本技能。

      (4)掌握参与企业管理进行经济信息分析、处理的基本技能。

      (5)较熟练掌握一门外语,并能实际应用于信息安全管理领域。

    我国信息安全专业较强的大学

      1. 信息安全国家重点实验室。

      最早由中国科学技术大学创办,后归中科院统一管理。以国字头命名,是中国目前唯一的国家级信息安全实验室。其实力不言而喻,当之无愧的NO.1!

      2、西安电子科技大学

      作为信息安全的主干学科,西电的密码学全国第一。1959年,受钱学森指示,西安电子科技大学在全国率先开展密码学研究,1988年,西电第一个获准设立密码学硕士点,1993年获准设立密码学博士点,是全国首批两个密码学博士点之一,也是唯一的军外博士点,1997年开始设有长江学者特聘教授岗位,并成为国家211重

      

    西安电子科技大学

    点建设学科。2001年,在密码学基础上建立了信息安全专业,是全国首批开设此专业的高校。在中国密码学会的34个理事中,西电占据了12个,且2个副理事长都是西电毕业的,中国在国际密码学会唯一一个会员也出自西电。毫不夸张地说,西电已成为中国培养密码学和信息安全人才的核心基地。 以下简单列举部分西电信安毕业生:来学嘉,国际密码学会委员,IDEA分组密码算法设计者;陈立东,美国标准局研究员;丁存生,香港科技大学教授;邢超平,新加坡NTU教授;冯登国,中国科学院信息安全国家实验室主任,中国密码学会副理事长;张焕国,中国密码学会常务理事,武汉大学教授、信安掌门人;何大可,中国密码学会副理事长,西南交通大学教授、信安掌门人;何良生,中国人民解放军总参谋部首席密码专家;叶季青,中国人民解放军密钥管理中心主任。西电拥有中国在信息安全领域的三位领袖:肖国镇、王育民、王新梅。其中肖国镇教授是我国现代密码学研究的主要开拓者之一,他提出的关于组合函数的统计独立性概念,以及进一步提出的组合函数相关免疫性的频谱特

      

    西安电子科技大学礼仪广场

    征化定理,被国际上通称为肖—Massey定理,成为密码学研究的基本工具之一,开拓了流密码研究的新领域,他是亚洲密码学会执行委员会委员,中国密码学会副理事长,还是国际信息安全杂志(IJIS)编委会顾问。西电的信息安全专业连续多年排名全国第一,就是该校在全国信息安全界领袖地位的最好反映。

      3. 中国科学技术大学

      信息安全的概念最早由中科大的华罗庚教授提出来,并参与创建了信息安全国家重点实验室。现在依托于中科院各软件所、计算所、实验室,所系结合创办有自己风格的信息安全专业,并每年有接近半数的本科毕业生保送到中科院各研究所、实验室。

      4. 武汉大学 2001年武汉大学第一批创建了信息安全本科专业, 2003武大又建立了信息安全硕士点、博士点和信息安全企业博士后流动站。

      武汉大学的信息安全专业综合实力不容小觑,就业率高达98%。毕业生大部分去了腾讯 (Tencent)、百度 (baidu)、谷歌(Google),更有少部分较优秀的直接去了IBM 、微软。

      其教学优势在于学院学风严谨 要求严格 专业设置与国际接轨。而且全国名师(百度百科可查)梁意文、余纯武等均亲自授课。信息安全作为新兴的综合性专业 涉及法律经济通讯等多个方面,综合实力强取传统IT学科之精华,去其糟粕,而且此专业录取分数较高。

      5. 上海交通大学

      上海交通大学信息安全工程学院,创建于2000年10月,是由国家教育部、科技部共同发起的国内首家信息安全专业人才培养基地;学院同时也是国家863计划信息安全产业化(东部)基地的重要组成部分,将为加速信息安全的研究及产业化进程,培养国家紧缺的信息安全专业人才提供有力保障。

      信息安全工程学院是以交通大学通信与信息系统学科和计算机应用技术学科中从事信息安全的研究力量为主,集中了学校信息安全各方面优势的跨学科、跨专业的新型教学科研实体。信息安全工程学院目前有密码理论及应用技术、网络安全与检测技术、计算机病毒防范技术、保密通信理论技术、电子商务技术、安全集成电路芯片设计、移动通信安全、安全操作系统、安全数据库、信息智能检索等研究方向。信息安全工程学院所有专业依托通信与信息系统和计算机应用技术两个二级学科,都具有博士、硕士学位授予权。

      6. 清华大学

      整个清华大学的综合实力就是这个专业的保证。如果在国内读的话,清华的信息安全是很不错的。王小云,姚期智都在那里。

      清华大学的信息安全课程需要设计的内容包括:国家的政策与法规,计算机环境安全和实体安全,用户安全,软件安全与盗版,软件加密,软件防拷贝和反跟踪技术,软件漏洞,操作系统安全,计算机病毒,计算机密码学,网络安全协议,防火墙,通讯安全和数据库安全,黑客安全技术,入侵检测,电子商务的安全等等。

    全国高校信息安全专业排名

      

    学位代码院校名称整体排名学术队伍科学研究人才培养学术声誉
    排名得分排名得分排名得分排名得分排名得分
    10701西安电子科技大学192.44977.701100483.141100
    10003清华大学291.56786.59386.741100492.83
    10358中国科学技术大学388.651100582.89284.84293.72
    10486武汉大学483.16885.99876.93580.03393.31
    10248上海交通大学581.07394.04976.81677.93982.40
    90002国防科学技术大学680.65294.58286.83383.87683.81
    10013北京邮电大学780.62588.14779.25775.96882.69
    10213哈尔滨工业大学879.44687.01680.071068.96584.48
    10001北京大学978.291070.34485.18871.561080.17
    10613西南交通大学1078.09490.991073.88971.24783.06

    就业方向和主要从事的工作

      信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是抵御信息侵略的重要屏障,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国都在奋力攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。

      总之,在网络信息技术高速发展的今天,信息安全已变得至关重要,信息安全已成为信息科学的热点课题。目前我国在信息安全技术方面的起点还较低,国内只有极少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。我们应充分认识信息安全在网络信息时代的重要性和其具有的极其广阔的市场前景,适应时代,抓住机遇!

    编辑本段安全技术

    加密

      数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。

      在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环境中具体考虑。

      对于对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境。

      在Internet中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。

    认证和识别

      认证就是指用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。为了解决安全问题,一些公司和机构正千方百计地解决用户身份认证问题,主要有以下几种认证办法。

      1. 双重认证。如波斯顿的Beth IsrealHospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。

      2.数字证书。这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。

      3. 智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。

      4. 安全电子交易(SET)协议。这是迄今为止最为完整最为权威的电子商务安全保障协议。 信息安全的目标和原则

      信息安全的目标

      所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。

      保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。

      完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。

      可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。

      可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。

      不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

      信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。

      除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。

      信息安全的原则

      为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。

      最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

      分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。

      安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。

      在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

    展开全文
  • 信息安全期末复习整理

    万次阅读 多人点赞 2019-10-18 19:45:02
    信息安全期末复习整理。适用于韦老师2019《信息安全期末考试》。

    声明:本文为个人整理内容,适用于2019年韦老师信息安全期末测试


    【注】答案个人整理,不保证100%正确。

    题型与分值

    题型分值
    判断题15题 x 1’
    单选题15题 x 1’
    不定项选择10题 x 2’
    填空题20题 x 1’
    问答题3题 x 10’

    7、8、10三章不考,期末成绩必须50分以上哦!

    问答题

    1、简单替换密码加解密(教材57页4、5、6、7)

    • 恺撒密码:f(a)=(a+k) mod n 简单移位替换

    • 仿射密码:f(a)=(k*a+b) mod n

      仿射密码解密算法:f(a)=k-1*(a-b) mod n;k-1 是k的乘法逆元
      关于 k-1 如何求:其实就是 k*k-1 mod n=1

    举个例子:
    加密算法:f(a)=3*a+5 mod 263的逆元就是求:3*y mod 26 = 1
    3*9 mod 26 = 1,即y = 9
    ∴ 解密算法:f(a)=9(a-5) mod 26
    
    ⭐要注意负数的取模的情况:
    比如-25 mod 26 = 1
    可以理解为 -25+26*1 mod 26 = 1
    关于这点,C/Java语言中是直接取模的,即-25 mod 26= -25,在Python中-25 mod 26 = 1
    
    再看下面的例子:
    加密算法:f(a)=5*a+7 mod 265的逆元就是求:5*y mod 26 = 1
    -5*5 mod 26 = 1,即y = -5
    ∴ 解密算法:f(a)=-5(a-7) mod 26
    

    2、DES算法的原理(教材17-24)

    1)原理:DES是分组加密算法,它以64位(二进制)为一组对称数据加密,64位明文输入,64位密文输出。密钥长度为56位,但密钥通常表示为64位,并分为8组,每组第8位作为奇偶校验位,以确保密钥的正确性,这样对用户来说每组密钥仍是56位。利用密钥,通过传统的换位、替换和异或等变换,实现二进制明文的加密与解密。

    2)算法概要:

    • 对输入的明文从右向左按顺序每64位分为一组(不足64位在高位补0),并按分组进行加密或解密
    • 进行初始置换
    • 将置换后的明文分成左、右两组,每组32位
    • 进行16轮相同的变换,包括密钥变换
    • 将变换后的左右两部分合并在一起
    • 逆初始变换,输出64位密文

    3)加密过程

    • 初始置换
    • 明文分组
    • 密钥置换
    • 密钥分组、移位、合并
    • 产生子密钥
    • 扩展置换
    • 子密钥和扩展置换后的数据异或运算
    • S盒代替(核心部分
    • P盒置换
    • P盒输出与原64位数据疑惑运算
    • Ri-1 → Li
    • 重复4~11
    • 逆初始置换

    3、RSA算法的全过程(教材40-41)

    1)选择密钥

    • 选择两个不同的素数 p、q
    • 计算公开模数 r=pxq
    • 计算欧拉函数φ(r)=(p-1)(q-1)
    • 选择一个和φ(r)互质的量k,即保证 gcd(φ(r), k)=1 时,选择 k。可以令 sp=kpk=k
    • 根据 sk*pk ≡ 1 mod φ(r),已知 skpk,用乘逆算法求 pksk

    2)加密
    3)解密
    4)平方-乘算法

    RSA算法流程图

    4、基于公开密钥的数字签名方案(教材61)

    公开密钥体制可以用来设计数字签名方案。设用户Alice要发送一个经过数字签名的明文M给用户Bob,数字签名的一般过程如下:

    (1) Alice用信息摘要函数Hash从 M 抽取信息摘要 M'
    (2) Alice用自己的私人密钥对 M' 加密得到签名文本 S,即Alice在 M 上签了名。
    (3) Alice用Bob的公开密钥对 S 加密得到 S'
    (4) Alice将 S'M 发送给Bob。
    (5) Bob收到 S'M 后,用自己的私人密钥对 S'解密,还原出 S
    (6)Bob用Alice的公开密钥对 S 解密,还原出信息摘要 M'
    (7) Bob用相同的信息摘要函数从 M 抽取信息摘要 M"
    (8) Bob比较 M'M",当 M'M" 相同时,可以断定Alice在 M 上签名。

    由于Bob使用Alice 的公开密钥才能解密 M',可以肯定Alice 使用自己的私人密钥对 M 进行了加密所以Bob确信收到的M是Alice 发送的,并且 M 是发送给Bob的。

    为了提高数字签名的安全性和效率,通常先对明文信息 MHash 变换,然后再对变换后的信息进行签名这样就把签名过程从对明文信息 M 转移到一个很短的 Hash 值上。

    5、单向散列函数(Hash函数)的特点(教材62-63)

    h=h(M)

    • Hash函数能从任意长度的 M 中产生固定长度的散列值 h
    • 已知 M 时,利用 h(M) 很容易计算出 h
    • 已知 M 时,要通过同一个 h(M) 计算出不同的h是很困难的
    • 已知 h 时,要想从中计算出 M 是很困难的
    • 已知 M 时,要找出另一个信息 M' 使 h(M)=h(M') 是很困难的

    6、简述信息的完整性、可用性、保密性(教材4)

    • 完整性:只有经过授权的人才能对信息进行修改,并且能够判断出信息是否已被修改,从而保持信息的完整性。
    • 可用性:在用户授权的情况下,无论什么时候,只要用户需要,信息必须是可用的和可访问的,信息系统不能拒绝服务
    • 保密性:信息必须按照拥有者的要求保持一定的保密性。只有得到拥有者许可,其他人才能获得该信息。

    7、简述数字水印的主要特性(教材52)

    • 稳定性(鲁棒性):水印信息能够抵抗应用过程中的各种破坏,嵌入水印的数字信息经过某种变动之后仍能提取出水印信息。
    • 水印容量水印容量和稳定性是相互矛盾的。水印容量增加会降低稳定性,也对不可见性有影响。
    • 安全性:加入水印和检测水印的方法对没有授权的第三方应该是绝对保密的,而且不易破解。
    • 自恢复性:原始的数据经过较大的破坏或变换之后,仍能恢复出隐藏的水印。
    • 不可见性:这是数字水印最基本的特点,数字信息加入水印之后不会改变其感知效果,即看不到数字水印的存在。

    8、论述公开密钥算法的典型特点

    • 在公开密钥算法中,有一对密钥(pk, sk),其中pk (public key) 是公开的,即公开密钥,简称公钥。另一个密钥sk(private key) 是保密的,这个保密密钥称为私人密钥,简称私钥

    • 在公开密钥算法中,进行加密和解密时,使用不同的加密密钥解密密钥。而且加密密钥或解密密钥不能相互推导出来,或者很难推导出来。

    • 在公开密钥算法中,公开密钥和私人密钥必须配对使用。也就是说如果使用公开密钥加密时,就必须使用相应的私人密钥解密;如果使用私人密钥加密时,也必须使用相应的公开密钥解密。

    • 一般来说,公开密钥算法都是建立在严格的数学基础上,公开密钥和私人密钥的产生也是通过数学方法来产生的。公开密钥算法的安全性是依赖于某个数学问题很难解决的基础上

    9、论述对称加密体制

    对称加密算法,有时又叫传统密码算法,它的典型特点是:

    • 采用的解密算法就是加密算法的逆运算,或者解密算法与加密算法完全相同;
    • 加密密钥和解密密钥相同,或者加密密钥能够从解密密钥中推算出来,反过来也成立。

    对称算法要求发送者和接收者在安全通信之前商定一个密钥。它的安全性依赖于密钥的保密性。

    • 具有代表性的对称加密算法:DES、三重DES、AES、IDEA、PBE

    10、论述公开密钥体制

    • 公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种 由已知加密密钥推导出解密密钥在计算上是不可行的 密码体制。也称为非对称式加密

    11、简述什么是数字证书?X.509数字证书包含哪些内容?(教材73-74)

    • 数字证书:是由权威机构 CA 发行的一种权威性的电子文档,是网络环境中的一种身份证,用于证明某一用户身份以及其公开密钥的合法性
    • 一个标准的 X.509 数字证书包含:证书版本号、序列号、签名算法标识符、认证机构、有效期、主体、主体公开密钥信息、CA 的数字签名、可选项等

    12、论述网络攻击的一般步骤(PPT)

    • 第一步:隐藏攻击源

      利用别人的计算机 (肉机) 隐藏他们真实的 IP 地址,伪造 IP 地址,假冒用户账号等。

    • 第二步:信息搜集

      攻击者通过各种途径搜索目标信息,进行综合整理分析后,拟定攻击方案,为入侵作好充分的准备。踩点、扫描、嗅探等手段。

    • 第三步:掌握系统控制权
      攻击者们利用系统漏洞进入进入目标主机系统获得控制权。通常是系统口令猜测、种植木马、会话劫持等。

    • 第四步:实施攻击

      不同攻击者目的不同,主要是破坏机密性、完整性和可用性等。通常是下载、修改或删除敏感信息、瘫痪服务、攻击其他被信任的主机或网络等。

    • 第五步:安装后门

      成功的入侵通常消耗攻击者的大量时间和精力,所以在退出系统前安装后门,以保持对已入侵主机的长期控制

    • 第六步:隐藏攻击痕迹
      攻击者的活动通常会在被攻击主机上留下记录,为防止被发现,攻击者往往在入侵完毕之后清除登录日志等痕迹。

    13、论述计算机病毒程序的一般构成(教材96)

    1)安装模块:用户不会主动运行病毒程序,病毒必须通过自身实现自启动安装大计算机中。

    2)传染模块

    • 传染控制部分:病毒一般有一个控制条件,一旦满足条件就开始感染。
    • 传染判断部分:每个病毒都有一个标记,在传染时判断这个标记,如果磁盘文件已经被感染了就不再传染,否则继续传染。
    • 传染操作部分:满足条件是进行的传染操作。

    3)破坏模块:计算机病毒的最终目的是进行破坏,其破坏的基本手段就是删除文件或数据。

    • 激发控制:病毒满足条件时发作。
    • 破坏操作:不同病毒破坏操作不同,典型的方法就是疯狂复制、删除文件等。

    14、论述杀毒软件的一般构成(教材101)

    • 用户界面模块:直接面向用户,提供杀毒软件的基本设置;展示病毒信息;响应用户的命令
    • 病毒数据库:储存对病毒特征码源文件进行加密和压缩之后得到的特征码目标文件。
    • 病毒扫描引擎:包括文件解析模块、病毒扫描模块、特征码加载模块
    • 文件实时监控模块:扫描进入系统的文件是否有病毒并作出相应处理
    • 进程实时监控模块:监控系统中所有的任务和进程,并能通过进程ID定位到系统的宿主文件上,有异常发生时立即终止该进程并通知用户。

    15、在软件系统中,要安全的保护用户的密码,应该采取哪些措施(认证.ppt)

    在这里插入图片描述

    16、设计软件保护的一般性建议(教材289-290)

    • (1)软件发行之前一定要对可执行程序进行 加壳,使得破解者无法直接修改程序。
    • (2)要在自己编写的软件中 嵌入反跟踪代码,以增加软件的安全性。
    • (3)增加对软件自身的完整性检查这包括对磁盘文件和内存映像的检查,以防止有人未经允许修改程序,以达到破解的目的。
    • (4)不要采用一目了然的名字来命名 与软件保护相关的函数和文件。所有与软件保护相关的字符串都不能以明文形式直接存放在可执行文件中,这些字符串最好是动态生成的。
    • (5)当检测到软件破解企图之后,不要立即给用户提示信息,可以在系统的某个地方做一个记号,过一段时间后使软件停止工作,或者让程序处理一些垃圾数据等。
    • (6)不要依赖于众所周知的函数来获取系统时间,可以通过读取关键的系统文件的修改时间来得到系统时间。
    • (7)给软件保护加入 一定的随机性。如除了启动时检查注册码之外,还可以在软件运行的某个时刻随机地检查注册码。随机值还可以很好地防止模拟工具,如软件狗模拟程序。
    • (8)如果试用版与正式版是分开的两个版本,试用版的软件没有某项功能,则不要仅仅使相关的菜单变灰,而应彻底删除相关的代码,使得编译后的程序中根本没有相关的功能代码。
    • (9)如果软件中包含驱动程序,则最好将保护判断加在驱动程序中。因为驱动程序在访问系统资源时受到的限制比普通应用程序少得多,这也给了软件设计者提供发挥的余地。
    • (10)将注册码、安装时间记录在多个不同的地方。检查注册信息和时间的代码越分散越好,同时插入大量无用的运算以误导破解者,并在检查出错误的注册信息之后加入延时。
    • (11)采用一机一码,即注册码与机器特征相关 (如将注册码与硬盘序列号相关),这样一台机器上的注册码就无法在另外一台机器上使用,可以防止注册码传播
    • (12)如果自己设计检查注册信息的算法,则算法不能过于简单,最好采用成熟的密码学算法
    • (13)可以采用在线注册的方法。用户将注册请求发送到特定服务器上,由服务器通知用户注册是否成功。如果是合法的用户,再将关键程序代码或密钥发送给用户。
    • (14)如果采用注册文件的保护方式,则注册文件的尺寸不能太小,可将其结构设计得比较复杂,在程序中不同的地方对注册文件的不同部分进行复杂的运算和检查。

    17、什么是区块链技术?它有哪些特点?

    • 本质:它是一种特殊的分布式数据库

      区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构, 并以密码学方式保证的不可篡改和不可伪造的分布式账本

    • 特点:

      • 去中心化交易
      • 信息不可篡改,一旦写入无法改变
      • 完全匿名

    18、什么是社会工程学攻击?常见的攻击手段有哪些?

    • 社会工程学攻击:在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。
    • 常见手段:环境渗透、引诱、伪装、说服、恐吓、恭维、反向社会工程学攻击

    判断、选择、填空题

    1、计算机信息安全技术

    1)计算机信息安全技术研究的内容

    • 计算机外部安全
    • 计算机信息在存储介质上的安全,有时也称 计算机内部安全
    • 计算机信息在传输过程中的安全,或称为 计算机网络安全

    2)信息安全需求

    3)影响计算机安全的因素

    • 自然环境
    • 人为失误
    • 人为恶意破坏
    • 软件设计等的不完善

    2、密码

    1)代替密码
    代替密码,又称替换密码,就是按照一定的要求,将明文中的每个字符换成另外的字符,明文中的字符位置保持不变,但其本身改变了。

    2)对称加密算法的特点

    • 采用的解密算法就是加密算法的逆运算,或者加密算法与解密算法完全相同
    • 加密密钥和解密密钥相同,或者加密密钥能够从解密密钥中推算出来,反之也成立(即相互推导)。
      PS:对称加密算法速度快是唯一的优点

    3)公开密钥算法的特点(教材37)

    • 有一对密钥(PK, SK),PK(公开密钥)是公开的,可以在密钥簿上查找。SK(保密密钥/私人密钥)是对外保密的
    • 加密和解密时使用不同的加密密钥和解密密钥,而且加密密钥或解密密钥不能相互推导,或很难推导出来
    • 公开密钥和私人密钥必须配对使用。即公钥加密要用私钥解密,私钥加密要哦那个公钥解密。
    • 公开密钥算法是建立在严格的数学基础上的,公钥和私钥也是通过数学方法产生的。公开密钥算法的安全性时间里在某个数学问题很难解决的基础上。

    4)DES算法的核心原理:(见简答题2)

    5)AES算法的基本原理

    6)RSA算法的核心原理

    3、加密算法

    1)Hash函数的特点(见问答题5)

    2)MD5的特点

    • 压缩性:无论数据长度是多少,计算出来的MD5值长度相同

    • 容易计算性:由原数据容易计算出MD5值

    • 抗修改性:即便修改一个字节,计算出来的MD5值也会巨大差异

    • 抗碰撞性:知道数据和MD5值,很小概率找到相同MD5值相同的原数据

    3)SHA的特点

    • 安全性:SHA比MD5的摘要信息还要长。
    • 速度:实现SHA-1的速度比MD5慢20%左右。
    • 简单性:算法简单,易于实现。

    4、防火墙

    1)防火墙的分类、结构、特点

    • 防火墙提供的基本服务:
      • 有选择地限制外网用户对内网的访问,保护内网的特定资源
      • 有选择地限制内部网用户对外网的访问
    • 防火墙三大要素:安全、配置、速度
    • 分类
      • 按软硬件形式分为硬件防火墙和软件防火墙
      • 按防火墙部署位置分为边界防火墙、个人防火墙、分布式防火墙
    • 防火墙的主要功能:
      • 阻止易受攻击的服务
      • 控制访问网点
      • 集中安全性管理
      • 对网络存取和访问进行监控审计
      • 检测扫描计算机的企图
      • 防范特洛伊木马
      • 防病毒功能
      • 支持VPN技术
      • 提供网络地址翻译功能
    • 防火墙的缺陷:
      • 不能防范内部攻击
      • 不能防范不通过防火墙的连接入侵
      • 不能自动防御所有新的威胁
    • 防火墙的体系结构
      • 筛选路由结构
      • 双宿主主机结构
      • 屏蔽主机网关结构
      • 屏蔽子网结构
    • 防火墙技术:
      • 包过滤技术
      • 代理服务技术
      • 电路层网关技术
      • 状态检测技术

    2)包过滤防火墙

    3)应用代理防火墙

    4)网络防火墙

    5)分布式防火墙

    5、计算机病毒

    1)计算机病毒的基本概念、特征

    • 概念:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机正常使用,并且能够自我复制的一组计算机指令或程序代码。
    • 特征:破坏性、隐蔽性、传染性;潜伏性、可触发性、不可预见性

    2)宏病毒:宏病毒是一种寄存与Office文档或模板的宏中的计算机病毒,是利用宏语言编写的。一旦打开带有宏病毒的文档,宏病毒就会被激活,转移到计算机中,并驻留在Normal模板上,所有自动保存的文档都会被感染上这种宏病毒。

    3)特洛伊木马:实际上是一种典型的黑客程序,是一种基于远程控制的黑客工具。典型的黑客程序一般不对计算机系统进行直接的破坏,而是通过网络任意控制其他计算机,窃取国家、部门或个人的信息,占用计算机其他资源等。

    4)主动型木马:主动型木马服务器安装在被控制的主机上,黑客使用的时客户端程序,服务器程序能够实现自启动、隐蔽和打开网络通信端口的功能。黑客可以通过网络扫描工具寻找网络中一打开的木马指定端口,连接并实现对被攻击主机的控制。

    6、网络攻击

    1)网络易受攻击的原理

    • 主要是由于网络软件不完善和网络协议本身存在安全漏洞。人们使用最多最著名的TCP/IP网络协议就存在大量的安全漏洞。

    2)IP协议的安全隐患

    TCP/IP协议的几个安全漏洞:

    • 由于TCP/IP协议的数据流采用明文传输,因此信息很容易被在线窃听、篡改和伪造。特别是在使用FTP和 Telnet命令时,如果用户的账号、口令是明文传输的,攻击者就可以使用Sniffer、 Snoop、网络分析仪等软件截取用户账号和口令。
    • TCP/IP协议用IP地址作为网络节点的唯一标识,但是节点的IP地址又是不固定的,因此攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址进行攻击,实现源地址欺骗(Source Address Spoofing)或iP欺骗(IP Spoofing)。因此,IP地址不能作为一种可信的认证方法。
    • TCP/IP协议只能根据IP地址进行鉴别,而不能对节点上的用户进行有效的身份认证,因此服务器无法鉴别登录用户的身份有效性。目前主要依靠服务器提供的用户控制机制,如用户名、口令等进行身份认证。

    3)TCP/UDP/IP包头信息

    4)缓冲区溢出攻击

    缓冲区溢出原理:
    缓冲区(Buffer)是内存中存放计算机正在处理的数据的地方。攻击者向某个应用程序发送超出其缓冲区最大容量的数据,溢出的数据就会破坏堆栈中的数据,导致应用程序或整个系统出现崩溃等故障;在某些情况下,攻击者还可以在溢出数据中加上精心设计的机器代码,这些代码溢出到缓冲区以外时会被执行,就能达到破坏计算机系统的目的,这就是所谓的缓冲区溢出(Buffer Overflow)攻击

    5)拒绝服务攻击
    拒绝服务攻击( Denial of Service,DoS)是一种既简单又有效的进攻方式,它的目的就是拒绝
    为用户提供服务,破坏系统的正常运行,最终使用户的部分网络连接和网络系统失效,甚至导致
    系统完全瘫痪。从网络攻击的各种方法和所产生的破坏情况来看,DoS攻击简单易学,实用性
    和可操作性强,又有大量免费工具可以使用,给互联网安全带来了重大威胁。

    7、认证技术

    认证技术

    数字水印的特点

    生物特征识别技术

    8、反编译

    1)反编译工具

    2)静态分析工具

    • 静态分析:就是从反编译出来的程序中分析程序流程,以便了解软件中各模块所完成的功能、各模块之间的关系,了解软件的编程思路,从而更方便地根据自己的需要完善、修改程序的功能。
    • 常用工具:Language 2000、File Scanner、File Info、PEiD等用来分析文件类型;W32Dasm、IDA Pro

    3)动态分析工具

    • 动态分析:通过调试程序、设置断点、控制被调试程序的执行过程来发现问题。动态分析可以发现软件各模块执行的中间结果、各模块之间的关系、不同分支与转移需要的条件和加密过程等。
    • 常用工具:WinDbg、OllyDbg

    4)加壳脱壳工具

    • 加壳的目的和作用:保护程序和压缩程序
    • 加壳工具:ASPack、UPX、PECompact、ASProtect、tElock、幻影(DBPE)等
    • 脱壳工具:通用的有ProDump、GUW32和UN-PACK;
      针对ASPack的脱壳工具UnAspack、CASPR、AspackDie;
      针对UPX的脱壳工具有UPX和FS。

    拓展链接

    信息安全复习题1-百度文库-QZ
    信息安全复习题2-百度文库-XZ
    信息安全复习题3-淘豆网-PD

    展开全文
  • 在IT 安全领域流传的一个笑话是: ...体现了网络安全的防护原则与优先顺序:进不来、拿不走、看不懂、改不了、跑不掉。其中的进不来,是最优先的防御方法。网络和密闭的房间,保证了一般人进不到这个计算机。 ...
  • 近年来,随着互联网应用的普及和大数据产业的发展,确实给生活带来很多便利,与此同时,个人信息安全也面临着严重威胁,个人信息被非法收集、泄露与滥用等。 2020年3月6日,国家市场监督管理总局、国家标准化管理...
  • 近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。本标准针对个人...
  • 物联网信息安全概述

    千次阅读 2019-04-16 17:26:15
    物联网信息安全 物联网信息安全 据《硅谷》杂志2012年第22期刊文称,物联网在各个领域的推广应用也把原来的网络安全威胁扩大到物质世界,增加防范和管理难度,根据物联网的三个层次,分析物联网的安全特性,特别...
  • 信息安全工程师参考资料(一)

    万次阅读 2018-09-04 18:05:50
    网络空间安全学科是研究信息的获取、存储、传输、处理等领域中信息安全保障问题的一门学科。 1.2 信息安全理论基础 信息安全理论基础包含的学科如下: 通用理论基础 数学:包含代数、数...
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...
  • 内容安全 信息内容安全包括两部分:合法信息的保护和非法信息的监管; 信息隐藏和信息加密: ...隐匿标记:利用文字和图像的格式特征隐藏信息,将标记信息隐藏在格式,而改变内容; 数字水印...
  • 苹果公司自 iOS 11.3 和 macOS 10.13.4 开始,“Safari 浏览器”会在您浏览http网站时,显示“网站不安全”警告。 这个“不安全”指您浏览的网站不是采用安全的“https”模式。也就是说,您浏览的页面未给用户提供最...
  • 网络信息安全的重要性

    万次阅读 2018-08-15 11:39:01
    一、信息安全技术概论 1.网络安全的重要作用 在互联网普及的初期,人们更关注单纯的连接性,以受任何限制地建立互联网为最终目的。正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的...
  • 个人信息安全管理条例解释

    千次阅读 2019-11-06 19:45:56
    给人们生活带来便利的同时,也出现了对个人信息的 非法收集、滥用、泄露 等问题,个人信息安全面临严重威胁。 为了保护公民个人隐私数据被肆意收集、滥用、泄漏甚至非法售卖,各国政府纷纷出台相关法律政策文件,...
  • 网络信息安全综述

    万次阅读 2017-11-14 21:23:30
    一、信息安全技术概论 1.网络在当今社会的重要作用 2.信息安全的内涵 网络出现前:主要面向数据的安全,对信息的机密性、完整性和可用性的保护,即CIA三元组 网络出现后,还涵盖了面向用户的安全,即鉴别,授权,...
  • 信息安全技术(俞承杭)期末复习

    千次阅读 2021-01-15 14:13:08
    第一章 信息安全概述 对于信息的功能特征,它的基本功能在于维持和强化世界的有序性动态性 对于信息的功能特征, 它的社会功能表现为维系社会的生存、 促进人类文明的进步和自身的发展 信息技术主要分为感测与识别...
  • 信息安全系统和安全体系

    千次阅读 2017-02-12 21:19:23
    信息安全系统是基于OSI网络模型,通过安全机制和安全服务达成信息安全的系统。安全机制是提供某些安全服务,利用各种安全技术和技巧,形成的一个较为完善的结构体系。安全服务是从网络的各个层次提供信息应用系统...
  • 信息安全与密码学概论

    千次阅读 2016-11-25 10:43:21
    一篇文章让你初步了解信息安全领域。 1、简述安全攻击,安全机制,安全服务安全攻击:任何危及信息系统安全的行为。 安全机制:用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程。 安全服务(安全属性):使用...
  • 信息安全习题(含答案)

    万次阅读 多人点赞 2018-07-06 16:21:37
    信息安全技术教程习题及答案第一章 概述一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√2. 计算机场地可以选择在公共区域人流量比较大的地方。×3. 计算机场地可以选择在化工厂生产车间...
  • 信息安全导论复习(1-5章)

    万次阅读 2017-06-01 01:32:54
    第1章 信息化发展与信息安全 目录 1.1 信息化发展 1.1.1 信息化对我国的重要影响 1.1.2 信息化发展对信息安全的需求 1.2 信息安全的基本属性 1.2.1 保密性 1.2.2 完整性 1.2.3 可用性 1.3 信息安全概念的演变 1.3.1 ...
  • 密码和信息安全常识

    万次阅读 2018-08-23 18:40:38
    密码只是信息安全的一部分 二 不要使用保密的密码算法 很多公司都有这样的想法:“由公司自己开发的一种密码算法,并将这种算法保密,这样就能保证安全。” 然而,这样想法确实大错特错,使用保密的密码算法是...
  • 常见信息安全威胁与经典案例

    万次阅读 2020-04-15 18:35:05
    文章目录震网病毒威胁发展历程安全威胁分类网络安全威胁应用安全威胁数据传输与终端安全威胁 震网病毒 威胁发展历程 安全威胁分类 网络安全威胁 应用安全威胁 数据传输与终端安全威胁 ...
  • 此次中信银行客户信息泄漏事件,再次将银行和信息安全推到风口浪尖。如何保护好个人金融信息安全,已然成为金融行业必须重视的问题! 这里我们收集了2020年以来国内外金融行业出现的网络信息安全事件: 1、2020...
  • Tomcat安全漏洞修改总结

    千次阅读 2017-08-22 15:44:43
    1.删除webapps目录的docs、examples、host-manager、manager等正式环境用着的目录,这一步就可以解决大部分漏洞。 2.解决“slow http denial of service attack”漏洞 slow http denial of service attack漏洞...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及...
  • 信息安全常见名词解释

    万次阅读 多人点赞 2016-10-06 10:17:36
    信息安全意义上的 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 18.网页挂马:黑客入侵了一些门户网站后,将自己编写的网页木马嵌入被黑门户网站的主页,利用被黑网站的流量将...
  • 信息安全属性CIA

    千次阅读 2014-10-11 18:23:45
    保密性Confidentiality –定义:信息不被泄漏给非...–定义:信息未经授权能进行更改的特性,即信息在存储或传输过程保持被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 –主要因
  • 车联网的信息安全问题及安全威胁

    千次阅读 2019-04-21 22:04:59
    1.车联网的信息安全问题 车联网和物联网相似,在应用,每辆车及其车主的信息都将随时随地连接到网络随时随地被感知,这种暴露在公开场所的信号很容易被窃取、干扰甚至修改等,从而直接影响车联网的体系安全。在...
  • 二、Unix 安全概览 原文:Unix Security Basics 译者:飞龙 1 用户和用户组 用户root:超极用户(UID = 0) daemon:处理网络。 nobody:拥有文件,用作非特权操作的默认用户。 Web 浏览器可在这个模式下工作...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,066,253
精华内容 426,501
关键字:

属于信息安全中改不了