精华内容
下载资源
问答
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
      
    

    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。

    信息安全

      是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

      其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。

      信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

      关于这一部分的具体介绍,详见信息安全专业

    重要性

      

      

    积极推动信息安全等级保护

    信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。

      我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船侦察机卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我国通信传输中的信息。

      从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把

      

    信息安全策略

    [1]

    日益繁多的事情托付给计算机来完成 ,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。

      传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

    编辑本段主要威胁

      信息安全的威胁来自方方面面,不可一一罗列。但这些威胁根据其性质,基本上可以归结为以下几个方面:

      (1) 信息泄露:保护的信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      

    现代密码学宗师——肖国镇

    (3) 拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。

      (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (11)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。

      (12)信息安全法律法规不完善:由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。

    实现目标

      ◆ 真实性:对信息的来源进行判断,能对伪造来源的信息

      

    信息安全相关书籍

    予以鉴别。

      ◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。

      ◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。

      ◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。

      ◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。

      ◆ 可控制性:对信息的传播及内容具有控制能力。

      ◆ 可审查性:对出现的网络安全问题提供调查的依据和手段

    安全威胁

      (1) 信息泄露:信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      (3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。

      

    信息安全

    (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。

      (11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。

      (12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。

      (14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。

      (15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。

      (16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。

      (17)物理侵入:侵入者绕过物理控制而获得对系统的访问。

      (18)窃取:重要的安全物品,如令牌或身份卡被盗。

      业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等

    主要来源

      ◆ 自然灾害、意外事故;

      ◆ 计算机犯罪

      ◆ 人为错误,比如使用不当,安全意识差等;

      ◆ "黑客" 行为;

      ◆ 内部泄密;

      ◆ 外部泄密;

      ◆ 信息丢失;

      ◆ 电子谍报,比如信息流量分析、信息窃取等;

      ◆ 信息战

      ◆ 网络协议自身缺陷,例如TCP/IP协议的安全问题等等。

      ◆ 嗅探,sniff。嗅探器可以窃听网络上流经的数据包。

    编辑本段安全策略

      信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      ◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;

      ◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;

      ◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

    主要问题

      ◆ 网络攻击与攻击检测、防范问题

      ◆ 安全漏洞与安全对策问题

      ◆ 信息安全保密问题

      ◆ 系统内部安全防范问题

      ◆ 防病毒问题

      ◆ 数据备份与恢复问题、灾难恢复问题

    编辑本段技术简介

      目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:

      ◆ 用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。

      ◆ 防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈

      ◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料[2]。网络安全隔离与防火墙的区别可参看参考资料[3]。 ◆ 安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

      ◆ 虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。

      ◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。

      ◆ 电子签证机构--CAPKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。

      ◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。

      ◆ 入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。

      ◆ 入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。

      ◆ 安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      信息安全服务

      信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作

    安全问题

      电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全

      (一)计算机网络安全的内容包括:

      (1)未进行操作系统相关安全配置

      不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。

      (2)未进行CGI程序代码审计

      如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

      (3)拒绝服务(DoS,Denial of Service)攻击

      随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。

      (4)安全产品使用不当

      虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。

      (5)缺少严格的网络安全管理制度 

      网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

      (二)计算机商务交易安全的内容包括:

      (1)窃取信息

      由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

      (2)篡改信息

      当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

      (3)假冒

      由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

      (4)恶意破坏

      由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

    安全对策

      电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。

      1.计算机网络安全措施

      计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

      (一)保护网络安全。

      网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:

      (1)全面规划网络平台的安全策略。

      (2)制定网络安全的管理措施。

      (3)使用防火墙。

      (4)尽可能记录网络上的一切活动。

      (5)注意对网络设备的物理保护。

      (6)检验网络平台系统的脆弱性

      (7)建立可靠的识别和鉴别机制。

      (二)保护应用安全。

      保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。

      由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。

      虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

      (三)保护系统安全。

      保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:

      (1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。

      (2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。

      (3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。

      2.商务交易安全措施

      商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。

      各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。

      (一)加密技术。

      加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。

      (1)对称加密。

      对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。

      (2)非对称加密。

      非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。

      (二)认证技术。

      认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。

      (1)数字签名。

      数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。

      (2)数字证书。

      数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。

      (三)电子商务的安全协议。

      除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。

      (1)安全套接层协议SSL。

      SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。

      (2)安全电子交易协议SET。

      SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。

      SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。

    工程监理

      信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。

      信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。

    编辑本段技术对比

    1. 信息安全法规、政策与标准

      1)法律体系初步构建,但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。

      据相关统计,截至2008年与信息安全直接相关的法律有65部,涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,从形式看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时,与信息安全相关的司法和行政管理体系迅速完善。但整体来看,与美国、欧盟等先进国家与地区比较,我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法,信息安全在法律层面的缺失对于信息安全保障形成重大隐患。

      2)相关系列政策推出,与国外也有异曲同工之处从政策来看,美国信息安全政策体系也值得国内学习与借鉴。美国在信息安全管理以及政策支持方面走在全球的前列:

      一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;

      二是形成了军、政、学、商分工协作的风险管理体系;

      三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。

      3)信息安全标准化工作得到重视,但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。

      我国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检测、管理等方面的几十个主要标准。但总体而言,我国的信息安全标准体系目前仍处于发展和建立阶段,基本上是引用与借鉴了国际以及先进国家的相关标准。因此,我国在信息安全标准组织体系方面还有待于进一步发展与完善。

    2.信息安全用户意识与实践

      1) 信息安全意识有待提高

      与发达国家相比,我国的信息安全产业不单是规模或份额的问题,在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看,与美欧等相比较,仅盗版软件使用率相对较高这种现象就可以部分说明我国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低,以及在互联网使用过程中的密码使用以及更换等方面都更多地表明,我国个人用户的信息安全意识有待于提高。

      2)信息安全实践过程有待加强管理

      信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施,虽然,这是一个全球性的问题,但是我国用户在这一方面与发达国家还有一定差距。

    3.中间组织对信息安全产业发展的影响

      同国外相比较,国内的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等,而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等,其覆盖层次更多,面积更广。与欧美比较,国内资本市场相对薄弱,对于安全产业的发展而言,就缺乏有效的中间组织形式来推进和导向其发展,虽然国内目前有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务,但是距离推进、引导国内安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距。

    4.信息安全培训与教育

      教育培训是培育信息安全公众或专业人才的重要手段,我国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业,国家各级以及社会化的信息安全培训也得到了开展,但这些仍然是不够的,社会教育深入与细化程度与美国等发达国家比较仍有差距。在美国,对于企业的信息安全有很多监管规范,因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。

    编辑本段信息安全专业

    专业简介

      信息安全是国家重点发展的新兴交叉学科,它和政府、国防、金融、制造、商业等部门和行业密切相关,具有广阔的发展前景。通过学习,使学生具备信息安全防护与保密等方面的理论知识和综合技术。能在科研单位、高等学校、政府机关(部队)、金融行业、信息产业及其使用管理部门从事系统设计和管理,特别是从事信息安全防护方面的高级工程技术人才。

    主要课程

      离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、信息系统工程现代密码学、网络安全、信息伪装等

    培养要求

      通过学习本专业的学生应获得以下几方面的基本知识和职业能力:(1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识;(2)掌握计算机软、硬件加密、解密的基本理论、基本知识;(3)掌握计算机维护和系统支持的基本知识、基本技能;(4)掌握参与企业管理进行经济信息分析、处理的基本技能;(5)较熟练掌握一门外语,并能实际应用于信息安全管理领域

      基本技能掌握

      (1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识。

      (2)掌握计算机软、硬件加密、解密的基本理论、基本知识。

      (3)掌握计算机维护和系统支持的基本知识、基本技能。

      (4)掌握参与企业管理进行经济信息分析、处理的基本技能。

      (5)较熟练掌握一门外语,并能实际应用于信息安全管理领域。

    我国信息安全专业较强的大学

      1. 信息安全国家重点实验室。

      最早由中国科学技术大学创办,后归中科院统一管理。以国字头命名,是中国目前唯一的国家级信息安全实验室。其实力不言而喻,当之无愧的NO.1!

      2、西安电子科技大学

      作为信息安全的主干学科,西电的密码学全国第一。1959年,受钱学森指示,西安电子科技大学在全国率先开展密码学研究,1988年,西电第一个获准设立密码学硕士点,1993年获准设立密码学博士点,是全国首批两个密码学博士点之一,也是唯一的军外博士点,1997年开始设有长江学者特聘教授岗位,并成为国家211重

      

    西安电子科技大学

    点建设学科。2001年,在密码学基础上建立了信息安全专业,是全国首批开设此专业的高校。在中国密码学会的34个理事中,西电占据了12个,且2个副理事长都是西电毕业的,中国在国际密码学会唯一一个会员也出自西电。毫不夸张地说,西电已成为中国培养密码学和信息安全人才的核心基地。 以下简单列举部分西电信安毕业生:来学嘉,国际密码学会委员,IDEA分组密码算法设计者;陈立东,美国标准局研究员;丁存生,香港科技大学教授;邢超平,新加坡NTU教授;冯登国,中国科学院信息安全国家实验室主任,中国密码学会副理事长;张焕国,中国密码学会常务理事,武汉大学教授、信安掌门人;何大可,中国密码学会副理事长,西南交通大学教授、信安掌门人;何良生,中国人民解放军总参谋部首席密码专家;叶季青,中国人民解放军密钥管理中心主任。西电拥有中国在信息安全领域的三位领袖:肖国镇、王育民、王新梅。其中肖国镇教授是我国现代密码学研究的主要开拓者之一,他提出的关于组合函数的统计独立性概念,以及进一步提出的组合函数相关免疫性的频谱特

      

    西安电子科技大学礼仪广场

    征化定理,被国际上通称为肖—Massey定理,成为密码学研究的基本工具之一,开拓了流密码研究的新领域,他是亚洲密码学会执行委员会委员,中国密码学会副理事长,还是国际信息安全杂志(IJIS)编委会顾问。西电的信息安全专业连续多年排名全国第一,就是该校在全国信息安全界领袖地位的最好反映。

      3. 中国科学技术大学

      信息安全的概念最早由中科大的华罗庚教授提出来,并参与创建了信息安全国家重点实验室。现在依托于中科院各软件所、计算所、实验室,所系结合创办有自己风格的信息安全专业,并每年有接近半数的本科毕业生保送到中科院各研究所、实验室。

      4. 武汉大学 2001年武汉大学第一批创建了信息安全本科专业, 2003武大又建立了信息安全硕士点、博士点和信息安全企业博士后流动站。

      武汉大学的信息安全专业综合实力不容小觑,就业率高达98%。毕业生大部分去了腾讯 (Tencent)、百度 (baidu)、谷歌(Google),更有少部分较优秀的直接去了IBM 、微软。

      其教学优势在于学院学风严谨 要求严格 专业设置与国际接轨。而且全国名师(百度百科可查)梁意文、余纯武等均亲自授课。信息安全作为新兴的综合性专业 涉及法律经济通讯等多个方面,综合实力强取传统IT学科之精华,去其糟粕,而且此专业录取分数较高。

      5. 上海交通大学

      上海交通大学信息安全工程学院,创建于2000年10月,是由国家教育部、科技部共同发起的国内首家信息安全专业人才培养基地;学院同时也是国家863计划信息安全产业化(东部)基地的重要组成部分,将为加速信息安全的研究及产业化进程,培养国家紧缺的信息安全专业人才提供有力保障。

      信息安全工程学院是以交通大学通信与信息系统学科和计算机应用技术学科中从事信息安全的研究力量为主,集中了学校信息安全各方面优势的跨学科、跨专业的新型教学科研实体。信息安全工程学院目前有密码理论及应用技术、网络安全与检测技术、计算机病毒防范技术、保密通信理论技术、电子商务技术、安全集成电路芯片设计、移动通信安全、安全操作系统、安全数据库、信息智能检索等研究方向。信息安全工程学院所有专业依托通信与信息系统和计算机应用技术两个二级学科,都具有博士、硕士学位授予权。

      6. 清华大学

      整个清华大学的综合实力就是这个专业的保证。如果在国内读的话,清华的信息安全是很不错的。王小云,姚期智都在那里。

      清华大学的信息安全课程需要设计的内容包括:国家的政策与法规,计算机环境安全和实体安全,用户安全,软件安全与盗版,软件加密,软件防拷贝和反跟踪技术,软件漏洞,操作系统安全,计算机病毒,计算机密码学,网络安全协议,防火墙,通讯安全和数据库安全,黑客安全技术,入侵检测,电子商务的安全等等。

    全国高校信息安全专业排名

      

    学位代码院校名称整体排名学术队伍科学研究人才培养学术声誉
    排名得分排名得分排名得分排名得分排名得分
    10701西安电子科技大学192.44977.701100483.141100
    10003清华大学291.56786.59386.741100492.83
    10358中国科学技术大学388.651100582.89284.84293.72
    10486武汉大学483.16885.99876.93580.03393.31
    10248上海交通大学581.07394.04976.81677.93982.40
    90002国防科学技术大学680.65294.58286.83383.87683.81
    10013北京邮电大学780.62588.14779.25775.96882.69
    10213哈尔滨工业大学879.44687.01680.071068.96584.48
    10001北京大学978.291070.34485.18871.561080.17
    10613西南交通大学1078.09490.991073.88971.24783.06

    就业方向和主要从事的工作

      信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是抵御信息侵略的重要屏障,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国都在奋力攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。

      总之,在网络信息技术高速发展的今天,信息安全已变得至关重要,信息安全已成为信息科学的热点课题。目前我国在信息安全技术方面的起点还较低,国内只有极少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。我们应充分认识信息安全在网络信息时代的重要性和其具有的极其广阔的市场前景,适应时代,抓住机遇!

    编辑本段安全技术

    加密

      数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。

      在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环境中具体考虑。

      对于对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境。

      在Internet中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。

    认证和识别

      认证就是指用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。为了解决安全问题,一些公司和机构正千方百计地解决用户身份认证问题,主要有以下几种认证办法。

      1. 双重认证。如波斯顿的Beth IsrealHospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。

      2.数字证书。这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。

      3. 智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。

      4. 安全电子交易(SET)协议。这是迄今为止最为完整最为权威的电子商务安全保障协议。 信息安全的目标和原则

      信息安全的目标

      所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。

      保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。

      完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。

      可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。

      可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。

      不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

      信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。

      除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。

      信息安全的原则

      为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。

      最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

      分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。

      安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。

      在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

    展开全文
  • 信息安全期末复习整理

    万次阅读 多人点赞 2019-10-18 19:45:02
    信息安全期末复习整理。适用于韦老师2019《信息安全期末考试》。

    声明:本文为个人整理内容,适用于2019年韦老师信息安全期末测试


    【注】答案个人整理,不保证100%正确。

    题型与分值

    题型分值
    判断题15题 x 1’
    单选题15题 x 1’
    不定项选择10题 x 2’
    填空题20题 x 1’
    问答题3题 x 10’

    7、8、10三章不考,期末成绩必须50分以上哦!

    问答题

    1、简单替换密码加解密(教材57页4、5、6、7)

    • 恺撒密码:f(a)=(a+k) mod n 简单移位替换

    • 仿射密码:f(a)=(k*a+b) mod n

      仿射密码解密算法:f(a)=k-1*(a-b) mod n;k-1 是k的乘法逆元
      关于 k-1 如何求:其实就是 k*k-1 mod n=1

    举个例子:
    加密算法:f(a)=3*a+5 mod 263的逆元就是求:3*y mod 26 = 1
    3*9 mod 26 = 1,即y = 9
    ∴ 解密算法:f(a)=9(a-5) mod 26
    
    ⭐要注意负数的取模的情况:
    比如-25 mod 26 = 1
    可以理解为 -25+26*1 mod 26 = 1
    关于这点,C/Java语言中是直接取模的,即-25 mod 26= -25,在Python中-25 mod 26 = 1
    
    再看下面的例子:
    加密算法:f(a)=5*a+7 mod 265的逆元就是求:5*y mod 26 = 1
    -5*5 mod 26 = 1,即y = -5
    ∴ 解密算法:f(a)=-5(a-7) mod 26
    

    2、DES算法的原理(教材17-24)

    1)原理:DES是分组加密算法,它以64位(二进制)为一组对称数据加密,64位明文输入,64位密文输出。密钥长度为56位,但密钥通常表示为64位,并分为8组,每组第8位作为奇偶校验位,以确保密钥的正确性,这样对用户来说每组密钥仍是56位。利用密钥,通过传统的换位、替换和异或等变换,实现二进制明文的加密与解密。

    2)算法概要:

    • 对输入的明文从右向左按顺序每64位分为一组(不足64位在高位补0),并按分组进行加密或解密
    • 进行初始置换
    • 将置换后的明文分成左、右两组,每组32位
    • 进行16轮相同的变换,包括密钥变换
    • 将变换后的左右两部分合并在一起
    • 逆初始变换,输出64位密文

    3)加密过程

    • 初始置换
    • 明文分组
    • 密钥置换
    • 密钥分组、移位、合并
    • 产生子密钥
    • 扩展置换
    • 子密钥和扩展置换后的数据异或运算
    • S盒代替(核心部分
    • P盒置换
    • P盒输出与原64位数据疑惑运算
    • Ri-1 → Li
    • 重复4~11
    • 逆初始置换

    3、RSA算法的全过程(教材40-41)

    1)选择密钥

    • 选择两个不同的素数 p、q
    • 计算公开模数 r=pxq
    • 计算欧拉函数φ(r)=(p-1)(q-1)
    • 选择一个和φ(r)互质的量k,即保证 gcd(φ(r), k)=1 时,选择 k。可以令 sp=kpk=k
    • 根据 sk*pk ≡ 1 mod φ(r),已知 skpk,用乘逆算法求 pksk

    2)加密
    3)解密
    4)平方-乘算法

    RSA算法流程图

    4、基于公开密钥的数字签名方案(教材61)

    公开密钥体制可以用来设计数字签名方案。设用户Alice要发送一个经过数字签名的明文M给用户Bob,数字签名的一般过程如下:

    (1) Alice用信息摘要函数Hash从 M 抽取信息摘要 M'
    (2) Alice用自己的私人密钥对 M' 加密得到签名文本 S,即Alice在 M 上签了名。
    (3) Alice用Bob的公开密钥对 S 加密得到 S'
    (4) Alice将 S'M 发送给Bob。
    (5) Bob收到 S'M 后,用自己的私人密钥对 S'解密,还原出 S
    (6)Bob用Alice的公开密钥对 S 解密,还原出信息摘要 M'
    (7) Bob用相同的信息摘要函数从 M 抽取信息摘要 M"
    (8) Bob比较 M'M",当 M'M" 相同时,可以断定Alice在 M 上签名。

    由于Bob使用Alice 的公开密钥才能解密 M',可以肯定Alice 使用自己的私人密钥对 M 进行了加密所以Bob确信收到的M是Alice 发送的,并且 M 是发送给Bob的。

    为了提高数字签名的安全性和效率,通常先对明文信息 MHash 变换,然后再对变换后的信息进行签名这样就把签名过程从对明文信息 M 转移到一个很短的 Hash 值上。

    5、单向散列函数(Hash函数)的特点(教材62-63)

    h=h(M)

    • Hash函数能从任意长度的 M 中产生固定长度的散列值 h
    • 已知 M 时,利用 h(M) 很容易计算出 h
    • 已知 M 时,要通过同一个 h(M) 计算出不同的h是很困难的
    • 已知 h 时,要想从中计算出 M 是很困难的
    • 已知 M 时,要找出另一个信息 M' 使 h(M)=h(M') 是很困难的

    6、简述信息的完整性、可用性、保密性(教材4)

    • 完整性:只有经过授权的人才能对信息进行修改,并且能够判断出信息是否已被修改,从而保持信息的完整性。
    • 可用性:在用户授权的情况下,无论什么时候,只要用户需要,信息必须是可用的和可访问的,信息系统不能拒绝服务
    • 保密性:信息必须按照拥有者的要求保持一定的保密性。只有得到拥有者许可,其他人才能获得该信息。

    7、简述数字水印的主要特性(教材52)

    • 稳定性(鲁棒性):水印信息能够抵抗应用过程中的各种破坏,嵌入水印的数字信息经过某种变动之后仍能提取出水印信息。
    • 水印容量水印容量和稳定性是相互矛盾的。水印容量增加会降低稳定性,也对不可见性有影响。
    • 安全性:加入水印和检测水印的方法对没有授权的第三方应该是绝对保密的,而且不易破解。
    • 自恢复性:原始的数据经过较大的破坏或变换之后,仍能恢复出隐藏的水印。
    • 不可见性:这是数字水印最基本的特点,数字信息加入水印之后不会改变其感知效果,即看不到数字水印的存在。

    8、论述公开密钥算法的典型特点

    • 在公开密钥算法中,有一对密钥(pk, sk),其中pk (public key) 是公开的,即公开密钥,简称公钥。另一个密钥sk(private key) 是保密的,这个保密密钥称为私人密钥,简称私钥

    • 在公开密钥算法中,进行加密和解密时,使用不同的加密密钥解密密钥。而且加密密钥或解密密钥不能相互推导出来,或者很难推导出来。

    • 在公开密钥算法中,公开密钥和私人密钥必须配对使用。也就是说如果使用公开密钥加密时,就必须使用相应的私人密钥解密;如果使用私人密钥加密时,也必须使用相应的公开密钥解密。

    • 一般来说,公开密钥算法都是建立在严格的数学基础上,公开密钥和私人密钥的产生也是通过数学方法来产生的。公开密钥算法的安全性是依赖于某个数学问题很难解决的基础上

    9、论述对称加密体制

    对称加密算法,有时又叫传统密码算法,它的典型特点是:

    • 采用的解密算法就是加密算法的逆运算,或者解密算法与加密算法完全相同;
    • 加密密钥和解密密钥相同,或者加密密钥能够从解密密钥中推算出来,反过来也成立。

    对称算法要求发送者和接收者在安全通信之前商定一个密钥。它的安全性依赖于密钥的保密性。

    • 具有代表性的对称加密算法:DES、三重DES、AES、IDEA、PBE

    10、论述公开密钥体制

    • 公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种 由已知加密密钥推导出解密密钥在计算上是不可行的 密码体制。也称为非对称式加密

    11、简述什么是数字证书?X.509数字证书包含哪些内容?(教材73-74)

    • 数字证书:是由权威机构 CA 发行的一种权威性的电子文档,是网络环境中的一种身份证,用于证明某一用户身份以及其公开密钥的合法性
    • 一个标准的 X.509 数字证书包含:证书版本号、序列号、签名算法标识符、认证机构、有效期、主体、主体公开密钥信息、CA 的数字签名、可选项等

    12、论述网络攻击的一般步骤(PPT)

    • 第一步:隐藏攻击源

      利用别人的计算机 (肉机) 隐藏他们真实的 IP 地址,伪造 IP 地址,假冒用户账号等。

    • 第二步:信息搜集

      攻击者通过各种途径搜索目标信息,进行综合整理分析后,拟定攻击方案,为入侵作好充分的准备。踩点、扫描、嗅探等手段。

    • 第三步:掌握系统控制权
      攻击者们利用系统漏洞进入进入目标主机系统获得控制权。通常是系统口令猜测、种植木马、会话劫持等。

    • 第四步:实施攻击

      不同攻击者目的不同,主要是破坏机密性、完整性和可用性等。通常是下载、修改或删除敏感信息、瘫痪服务、攻击其他被信任的主机或网络等。

    • 第五步:安装后门

      成功的入侵通常消耗攻击者的大量时间和精力,所以在退出系统前安装后门,以保持对已入侵主机的长期控制

    • 第六步:隐藏攻击痕迹
      攻击者的活动通常会在被攻击主机上留下记录,为防止被发现,攻击者往往在入侵完毕之后清除登录日志等痕迹。

    13、论述计算机病毒程序的一般构成(教材96)

    1)安装模块:用户不会主动运行病毒程序,病毒必须通过自身实现自启动安装大计算机中。

    2)传染模块

    • 传染控制部分:病毒一般有一个控制条件,一旦满足条件就开始感染。
    • 传染判断部分:每个病毒都有一个标记,在传染时判断这个标记,如果磁盘文件已经被感染了就不再传染,否则继续传染。
    • 传染操作部分:满足条件是进行的传染操作。

    3)破坏模块:计算机病毒的最终目的是进行破坏,其破坏的基本手段就是删除文件或数据。

    • 激发控制:病毒满足条件时发作。
    • 破坏操作:不同病毒破坏操作不同,典型的方法就是疯狂复制、删除文件等。

    14、论述杀毒软件的一般构成(教材101)

    • 用户界面模块:直接面向用户,提供杀毒软件的基本设置;展示病毒信息;响应用户的命令
    • 病毒数据库:储存对病毒特征码源文件进行加密和压缩之后得到的特征码目标文件。
    • 病毒扫描引擎:包括文件解析模块、病毒扫描模块、特征码加载模块
    • 文件实时监控模块:扫描进入系统的文件是否有病毒并作出相应处理
    • 进程实时监控模块:监控系统中所有的任务和进程,并能通过进程ID定位到系统的宿主文件上,有异常发生时立即终止该进程并通知用户。

    15、在软件系统中,要安全的保护用户的密码,应该采取哪些措施(认证.ppt)

    在这里插入图片描述

    16、设计软件保护的一般性建议(教材289-290)

    • (1)软件发行之前一定要对可执行程序进行 加壳,使得破解者无法直接修改程序。
    • (2)要在自己编写的软件中 嵌入反跟踪代码,以增加软件的安全性。
    • (3)增加对软件自身的完整性检查这包括对磁盘文件和内存映像的检查,以防止有人未经允许修改程序,以达到破解的目的。
    • (4)不要采用一目了然的名字来命名 与软件保护相关的函数和文件。所有与软件保护相关的字符串都不能以明文形式直接存放在可执行文件中,这些字符串最好是动态生成的。
    • (5)当检测到软件破解企图之后,不要立即给用户提示信息,可以在系统的某个地方做一个记号,过一段时间后使软件停止工作,或者让程序处理一些垃圾数据等。
    • (6)不要依赖于众所周知的函数来获取系统时间,可以通过读取关键的系统文件的修改时间来得到系统时间。
    • (7)给软件保护加入 一定的随机性。如除了启动时检查注册码之外,还可以在软件运行的某个时刻随机地检查注册码。随机值还可以很好地防止模拟工具,如软件狗模拟程序。
    • (8)如果试用版与正式版是分开的两个版本,试用版的软件没有某项功能,则不要仅仅使相关的菜单变灰,而应彻底删除相关的代码,使得编译后的程序中根本没有相关的功能代码。
    • (9)如果软件中包含驱动程序,则最好将保护判断加在驱动程序中。因为驱动程序在访问系统资源时受到的限制比普通应用程序少得多,这也给了软件设计者提供发挥的余地。
    • (10)将注册码、安装时间记录在多个不同的地方。检查注册信息和时间的代码越分散越好,同时插入大量无用的运算以误导破解者,并在检查出错误的注册信息之后加入延时。
    • (11)采用一机一码,即注册码与机器特征相关 (如将注册码与硬盘序列号相关),这样一台机器上的注册码就无法在另外一台机器上使用,可以防止注册码传播
    • (12)如果自己设计检查注册信息的算法,则算法不能过于简单,最好采用成熟的密码学算法
    • (13)可以采用在线注册的方法。用户将注册请求发送到特定服务器上,由服务器通知用户注册是否成功。如果是合法的用户,再将关键程序代码或密钥发送给用户。
    • (14)如果采用注册文件的保护方式,则注册文件的尺寸不能太小,可将其结构设计得比较复杂,在程序中不同的地方对注册文件的不同部分进行复杂的运算和检查。

    17、什么是区块链技术?它有哪些特点?

    • 本质:它是一种特殊的分布式数据库

      区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构, 并以密码学方式保证的不可篡改和不可伪造的分布式账本

    • 特点:

      • 去中心化交易
      • 信息不可篡改,一旦写入无法改变
      • 完全匿名

    18、什么是社会工程学攻击?常见的攻击手段有哪些?

    • 社会工程学攻击:在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。
    • 常见手段:环境渗透、引诱、伪装、说服、恐吓、恭维、反向社会工程学攻击

    判断、选择、填空题

    1、计算机信息安全技术

    1)计算机信息安全技术研究的内容

    • 计算机外部安全
    • 计算机信息在存储介质上的安全,有时也称 计算机内部安全
    • 计算机信息在传输过程中的安全,或称为 计算机网络安全

    2)信息安全需求

    3)影响计算机安全的因素

    • 自然环境
    • 人为失误
    • 人为恶意破坏
    • 软件设计等的不完善

    2、密码

    1)代替密码
    代替密码,又称替换密码,就是按照一定的要求,将明文中的每个字符换成另外的字符,明文中的字符位置保持不变,但其本身改变了。

    2)对称加密算法的特点

    • 采用的解密算法就是加密算法的逆运算,或者加密算法与解密算法完全相同
    • 加密密钥和解密密钥相同,或者加密密钥能够从解密密钥中推算出来,反之也成立(即相互推导)。
      PS:对称加密算法速度快是唯一的优点

    3)公开密钥算法的特点(教材37)

    • 有一对密钥(PK, SK),PK(公开密钥)是公开的,可以在密钥簿上查找。SK(保密密钥/私人密钥)是对外保密的
    • 加密和解密时使用不同的加密密钥和解密密钥,而且加密密钥或解密密钥不能相互推导,或很难推导出来
    • 公开密钥和私人密钥必须配对使用。即公钥加密要用私钥解密,私钥加密要哦那个公钥解密。
    • 公开密钥算法是建立在严格的数学基础上的,公钥和私钥也是通过数学方法产生的。公开密钥算法的安全性时间里在某个数学问题很难解决的基础上。

    4)DES算法的核心原理:(见简答题2)

    5)AES算法的基本原理

    6)RSA算法的核心原理

    3、加密算法

    1)Hash函数的特点(见问答题5)

    2)MD5的特点

    • 压缩性:无论数据长度是多少,计算出来的MD5值长度相同

    • 容易计算性:由原数据容易计算出MD5值

    • 抗修改性:即便修改一个字节,计算出来的MD5值也会巨大差异

    • 抗碰撞性:知道数据和MD5值,很小概率找到相同MD5值相同的原数据

    3)SHA的特点

    • 安全性:SHA比MD5的摘要信息还要长。
    • 速度:实现SHA-1的速度比MD5慢20%左右。
    • 简单性:算法简单,易于实现。

    4、防火墙

    1)防火墙的分类、结构、特点

    • 防火墙提供的基本服务:
      • 有选择地限制外网用户对内网的访问,保护内网的特定资源
      • 有选择地限制内部网用户对外网的访问
    • 防火墙三大要素:安全、配置、速度
    • 分类
      • 按软硬件形式分为硬件防火墙和软件防火墙
      • 按防火墙部署位置分为边界防火墙、个人防火墙、分布式防火墙
    • 防火墙的主要功能:
      • 阻止易受攻击的服务
      • 控制访问网点
      • 集中安全性管理
      • 对网络存取和访问进行监控审计
      • 检测扫描计算机的企图
      • 防范特洛伊木马
      • 防病毒功能
      • 支持VPN技术
      • 提供网络地址翻译功能
    • 防火墙的缺陷:
      • 不能防范内部攻击
      • 不能防范不通过防火墙的连接入侵
      • 不能自动防御所有新的威胁
    • 防火墙的体系结构
      • 筛选路由结构
      • 双宿主主机结构
      • 屏蔽主机网关结构
      • 屏蔽子网结构
    • 防火墙技术:
      • 包过滤技术
      • 代理服务技术
      • 电路层网关技术
      • 状态检测技术

    2)包过滤防火墙

    3)应用代理防火墙

    4)网络防火墙

    5)分布式防火墙

    5、计算机病毒

    1)计算机病毒的基本概念、特征

    • 概念:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机正常使用,并且能够自我复制的一组计算机指令或程序代码。
    • 特征:破坏性、隐蔽性、传染性;潜伏性、可触发性、不可预见性

    2)宏病毒:宏病毒是一种寄存与Office文档或模板的宏中的计算机病毒,是利用宏语言编写的。一旦打开带有宏病毒的文档,宏病毒就会被激活,转移到计算机中,并驻留在Normal模板上,所有自动保存的文档都会被感染上这种宏病毒。

    3)特洛伊木马:实际上是一种典型的黑客程序,是一种基于远程控制的黑客工具。典型的黑客程序一般不对计算机系统进行直接的破坏,而是通过网络任意控制其他计算机,窃取国家、部门或个人的信息,占用计算机其他资源等。

    4)主动型木马:主动型木马服务器安装在被控制的主机上,黑客使用的时客户端程序,服务器程序能够实现自启动、隐蔽和打开网络通信端口的功能。黑客可以通过网络扫描工具寻找网络中一打开的木马指定端口,连接并实现对被攻击主机的控制。

    6、网络攻击

    1)网络易受攻击的原理

    • 主要是由于网络软件不完善和网络协议本身存在安全漏洞。人们使用最多最著名的TCP/IP网络协议就存在大量的安全漏洞。

    2)IP协议的安全隐患

    TCP/IP协议的几个安全漏洞:

    • 由于TCP/IP协议的数据流采用明文传输,因此信息很容易被在线窃听、篡改和伪造。特别是在使用FTP和 Telnet命令时,如果用户的账号、口令是明文传输的,攻击者就可以使用Sniffer、 Snoop、网络分析仪等软件截取用户账号和口令。
    • TCP/IP协议用IP地址作为网络节点的唯一标识,但是节点的IP地址又是不固定的,因此攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址进行攻击,实现源地址欺骗(Source Address Spoofing)或iP欺骗(IP Spoofing)。因此,IP地址不能作为一种可信的认证方法。
    • TCP/IP协议只能根据IP地址进行鉴别,而不能对节点上的用户进行有效的身份认证,因此服务器无法鉴别登录用户的身份有效性。目前主要依靠服务器提供的用户控制机制,如用户名、口令等进行身份认证。

    3)TCP/UDP/IP包头信息

    4)缓冲区溢出攻击

    缓冲区溢出原理:
    缓冲区(Buffer)是内存中存放计算机正在处理的数据的地方。攻击者向某个应用程序发送超出其缓冲区最大容量的数据,溢出的数据就会破坏堆栈中的数据,导致应用程序或整个系统出现崩溃等故障;在某些情况下,攻击者还可以在溢出数据中加上精心设计的机器代码,这些代码溢出到缓冲区以外时会被执行,就能达到破坏计算机系统的目的,这就是所谓的缓冲区溢出(Buffer Overflow)攻击

    5)拒绝服务攻击
    拒绝服务攻击( Denial of Service,DoS)是一种既简单又有效的进攻方式,它的目的就是拒绝
    为用户提供服务,破坏系统的正常运行,最终使用户的部分网络连接和网络系统失效,甚至导致
    系统完全瘫痪。从网络攻击的各种方法和所产生的破坏情况来看,DoS攻击简单易学,实用性
    和可操作性强,又有大量免费工具可以使用,给互联网安全带来了重大威胁。

    7、认证技术

    认证技术

    数字水印的特点

    生物特征识别技术

    8、反编译

    1)反编译工具

    2)静态分析工具

    • 静态分析:就是从反编译出来的程序中分析程序流程,以便了解软件中各模块所完成的功能、各模块之间的关系,了解软件的编程思路,从而更方便地根据自己的需要完善、修改程序的功能。
    • 常用工具:Language 2000、File Scanner、File Info、PEiD等用来分析文件类型;W32Dasm、IDA Pro

    3)动态分析工具

    • 动态分析:通过调试程序、设置断点、控制被调试程序的执行过程来发现问题。动态分析可以发现软件各模块执行的中间结果、各模块之间的关系、不同分支与转移需要的条件和加密过程等。
    • 常用工具:WinDbg、OllyDbg

    4)加壳脱壳工具

    • 加壳的目的和作用:保护程序和压缩程序
    • 加壳工具:ASPack、UPX、PECompact、ASProtect、tElock、幻影(DBPE)等
    • 脱壳工具:通用的有ProDump、GUW32和UN-PACK;
      针对ASPack的脱壳工具UnAspack、CASPR、AspackDie;
      针对UPX的脱壳工具有UPX和FS。

    拓展链接

    信息安全复习题1-百度文库-QZ
    信息安全复习题2-百度文库-XZ
    信息安全复习题3-淘豆网-PD

    展开全文
  • 安全测试主要类型

    千次阅读 2016-01-26 08:58:15
    本篇博文主要介绍安全测试的主要类型,及其最基本的概念,不涉及到每一安全类型的详细内容,每一类型的详细内容将在后续的博文中分开详细讲解。 安全测试类型表格 如下: 类型 简单描述 失效的身份验证机制 只对...

    本篇博文主要介绍安全测试的主要类型,及其最基本的概念,不涉及到每一安全类型的详细内容,每一类型的详细内容将在后续的博文中分开详细讲解。


    安全测试类型表格 如下:

    类型简单描述
    失效的身份验证机制只对首次传递的Cookie加以验证,程序没有持续对Cookie中内含信息验证比对,攻击者可以修改Cookie中的重要信息以提升权限进行网站数据存取或是冒用他人账号取得个人私密资料(测试对象:可以进行传参的URL,提交请求页面,登录后的Cookie)
    会话管理劫持检测Web应用程序会话机制是否存在安全隐患,能否被非法利用(会话劫持,伪装成合法用户)而影响Web应用程序的安全。
    SQL注入注入攻击漏洞,这些攻击发生在当不可信的SQL语句作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。
    XPath注入XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。
    XSS跨站脚本攻击恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
    CSRF跨站请求伪造攻击者通过调用第三方网站的恶意脚本来伪造请求,在用户不知情的情况下,攻击者强行递交构造的具有“操作行为”的数据包。(测试对象:网页中可进行输入的表单)
    不安全的直接对象引用在具有导出/下载功能的页面参数中修改内容,WEB服务器便会导出/下载程序源代码或者指定文件(测试对象:URL中有用户参数的地址,可以进行下载操作的地址)或者当开发人员暴露一个对内部实现对象的引用时,例如,一个文件、目录或者数据库密匙, 就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时,攻击者会操控这些引用去访问未授权数据
    安全配置错误Config中的链接字符串以及用户信息,邮件,数据存储信息等都需要加以保护,如果没有进行保护,那么就是安全配置出现了问题。
    不安全的加密存储未对需要保护的数据进行加密或者加密算法太弱都是不安全的加密存储
    没有限制URL访问系统已经对URL的访问做了限制,但这种限制却实际并没有生效。攻击者能够很容易的就伪造请求直接访问未被授权的页面(测试对象:需要身份验证的页面)
    传输层保护不足在身份验证过程中没有使用SSL/TLS,因此暴露传输数据和会话ID,被攻击者截听。它们有时还会使用过期或者配置不正确的证书。(测试对象:登录模块)
    未验证的重定向(redirectUrl)和转发攻击者可以引导用户访问他们所要用户访问的站点。而最终造成的后果,重定向会使得用户访问钓鱼网站或是恶意网站。
    敏感信息泄露许多Web应用程序没有正确保护敏感数据,如信用卡、税务ID和身份验证凭据。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取或其他犯罪。敏感数据值需额外的保护,比如在存放或在传输过程中的加密,以及在与浏览器交换时进行特殊的预防措施。
    功能级访问控制缺失大多数Web应用程序的功能在UI页面显示之前,会验证功能级别的访问权限。但是,应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证,攻击者能够伪造请求从而在未经适当授权时访问功能。
    使用含有已知漏洞的组件组件,比如:库文件、框架和其他软件模块,几乎总是以全部的权限运行。如果使用含有已知漏洞的组件,这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,并使一系列可能的攻击和影响成为可能。危害比较严重
    缓冲区溢出当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。
    LDAP注入利用LDAP注入技术的关键在于控制用于目录搜索服务的过滤器。使用这些技术,攻击者可能直接访问LDAP目录树下的数据库,及重要的公司信息。情况还可能比这更严重,因为许多应用的安全性依赖于基于LDAP目录的单点登录环境。
    篡改输入利用一些命令或者工具等篡改一些字段的值,从而达到恶意的效果。例如,篡改商品的单价和数量等。


    除了上述提到的之外,看到一些文章上也有提到解析应用程序、绕过客户端控件的原理和预防、OS注入、逻辑缺陷以及社会学攻击等,这里不再细说,有兴趣的或者涉及到的时候可以查阅下相关资料。

    展开全文
  • 信息安全简答题

    千次阅读 2020-12-28 11:57:49
    一、区块链技术在网络与信息安全领域的应用 1.1区块链概念 在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改...

    一、区块链技术在网络与信息安全领域的应用

    1.1区块链概念

    在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改和可追溯的块链式数据结构,实现和管理事务处理的模式。区块链本质上是一个去中心化的数据库,通过其独特的技术设计和数据管理方式,可以支撑不同领域的多方协作。区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着密切的联系,可以用来解决该领域的一些问题,例如攻击防御、数据保护、隐私保护、身份认证、崩溃恢复等。但区块链作为新技术在许多方面尚未成熟,多数的应用仍处于研究和发展阶段,运行成本较高,现阶段的用途和效果可能存在夸大和炒作的情况,实现技术优化和更好的应用仍是需要研究的重要课题。

    1.2区块链的核心技术

    区块链的核心技术中共识机制、数据存储、网络协议、加密算法、隐私保护和智能合约等6类公认的区块链核心技术发展活跃,不断取得新的进展。此外,跨链、分片等技术进展较快,也已逐渐成为新的核心技术方向。

    1.2.1共识机制

    共识机制指的是群体或组织达成和维护共识的方式。区块链作为分布式记账技术,没有一个中心来指挥协调多方之间的协作,就必须有一个共识机制来解决谁有权写入数据和如何进行同步数据的问题。常用的共识机制主要有PoW工作量证明、PoS 权益证明、DPoS 委托权益证明、Paxos 算法、PBFT实用拜占庭容错算法、dBFT授权拜占庭容错算法等。

    1.2.2数据存储

    区块链中每一个区块记录了创建期间所有的交易信息,按时间顺序逐个先后生成并连接成链。每个区块都指向前一个区块,形成链表。区块分为区块头和区块体两部分。区块头存储着区块的多项特征值,包含上一个区块的哈希值、本区块体的哈希值以及时间戳等等。区块体中记录了该区块存储的交易数量以及交易数据。

    1.2.3网络协议

    区块链在网络层一般采用P2P协议,由多个节点组成网络结构,节点之间处于对等的地位且共享资源,既可以是资源的提供者,也可以资源的接受者。P2P 网络结构是扁平化的拓扑结构,节点相互之间没有层次之分。不同的区块链系统往往有其独特的P2P网络协议。

    1.2.4加密算法

    区块链中用到的密码学算法主要有两大类:哈希算法和非对称加密算法。哈希算法是将任意长度的字符串映射为较短的固定长度的字符串。其确定性、高效性使得去中心化的计算能够实现,其对输入的敏感性和抗原像攻击对区块链系统的安全性有很大帮助,被广泛地用于构建区块和确认交易的完整性。非对称加密技术的加密和解密过程使用的是一对不同的密钥:公开密钥和私有密钥。交换信息时使用一方的公钥或私钥加密,则需对应的私钥或公钥才能解密。非对称加密在区块链中有数据加密和数字签名等用途。

    1.2.5隐私保护

    目前区块链上传输和存储的数据都是公开可见的。为了达到匿名效果,通常以一串无意义的数字作为组织或个人的代号,通过该代号的表面信息无法将其对应到某一个具体对象的真实身份。但这样的保护并非完美,通过一°些手段还是可以追查到帐户和交易的关联性。想要加强区块链的隐私保护,可以采用混币、环签名、同态加密、零知识证明等方式。

    1.2.6智能合约

    智能合约是一种特殊协议,旨在提供、验证及执行合约,可以由一个计算系统自动执行。其最大的优势是利用程序算法替代人仲裁和执行合同。区块链可以实现去中心化的重要原因之一是智能合约,使得进行可追溯、不可逆转和安全的交易时可以不依赖第三方。

    1.2.7跨链

    区块链的链与链之间存在高度异构化,每一个单独的区块链网络都是-一个相对独立的网络,数据信息不能做到互通互联。不同的区块链网络之间协作的难度大,极大地限制了区块链应用的发展。跨链可以理解为一种协议,解决两个或多个不同链上的资产以及功能状态可以互相传递、转移、交换的难题。跨链的存在,不仅是增加了区块链的可拓展性,还可以解决不同区块链之间交易困难产生的信息孤岛问题。

    1.2.8分片

    分片是数据库设计中的一个概念,将较大的数据库分成更小、更快、更容易管理的部分,实现扩容并提高性能。可以将分片的思想运用到区块链网络中,将一个大任务拆分为多个可以并行处理的小任务,从而提升性能。将网络中的工作分摊给所有参与的节点,通过使用多个网络设备来获得平行处理转账的功能,进行分片处理。将网络分割为碎片可以使得更多的交易同时被处理和验证。

    1.3区块链技术在网络与信息安全领域的应用

    区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着本质的联系,提供了一种完全不同的方法来存储信息、进行交易、执行功能和建立信任,可以用来解决网络与信息安全领域的某些问题。

    1.3.1支持更安全的DNS架构

    区块链中的交易一旦被确认,不容易被篡改。可以利用该特性将域名和P地址对应关系的操作记录在区块链中,在全网达成共识,不可篡改,形成交易记录,完美地保存域名服务器信息。使用去中心化的区块链技术的域名服务器比传统的中心化域名服务器更安全,能支持域名管理,防止域名服务器缓存投毒。

    1.3.2 缓解DDoS攻击

    分布式拒绝服务攻击(DDoS 攻击)将多个计算机联合起来作为攻击平台来发动攻击,通过大量合法的请求,大规模消耗目标网站的主机资源,使被攻击的对象无法正常提供服务。区块链技术允许用户加入分布式网络,从而缓解DDoS攻击。此外,还可通过出租额外带宽,以支持那些流量过载的网络。

    1.3.3保护边缘计算设备

    由于边缘计算的网络体系和网络环境庞杂,要想为分散布局的边缘计算设备设置有效的隔离保护,增加的大量网络隔离设备会带来成本和工作量的压力。但若不防护,边缘计算设备一旦被入侵或者攻击,会渗透到整个网络。此外,如果边缘计算中的终端设备没有身份认证体系,攻击者可以随意接入恶意终端来传播病毒或恶意软件,也会导致网络瘫瘓,影响生产和生活。通过区块链技术可以很好解决以上问题。区块链技术可以通过给边缘计算不同域及终端设备分发数字证书,控制功能权限和数据权限,提供更安全的运算与存储环境。区块链技术也可以为边缘计算中的终端设备提供身份认证体系。在进行边缘计算和数据上传前,首先要进行身份验证,之后才能传输数据。

    1.3.4数据保护

    区块链构建分布式账本不可篡改,能够通过加密和权限控制等技术保障数据的机密性、完整性、可用性。区块链对数据的完全加密可以确保这些数据在传输过程中不会被未授权的用户访问。使用分布式记账技术对文件进行签名,来代替传统的签名方式,使得攻击者几乎不可能伪造和窃取数据。区块链可以被视为一条存储数据的链条,环环紧扣。每当加入新的一环,前一环中数据的特征值将被记录在新的环节上。只要验证对应某一环与前后两环的特征值,就可以判断原始信息是否被篡改。

    1.3.5与PKI结合提高安全性

    目前标准的加密技术是基于公钥基础设施(PKI)的,主要依赖于中心化、受信任的第三方认证机构(CA)来发放、激活和存储用户证书。如果黑客攻击了这些第三方认证机构,就可以伪造成CA欺骗用户身份并破解加密通信。在区块链中依靠非对称加密技术,对用户的身份信息进行高度加密,发放密钥来鉴别对方的真实身份,一旦信息经过验证并添加至区块链,采用去中心化的管理方式,不容易篡改,理论上来说可以大大提高数字证书的安全性。

    1.3.6隐私保护

    区块链技术可以通过分布式结构、可追溯性、匿名性来实现隐私保护。在区块链中,用户的隐私数据是随机发布在分布式账本中的,攻击者无法通过入侵单一节点来收集到用户的所有数据,能最大限度地防止数据泄露。区块链的可追溯特性使得数据从采集、交易、流通到计算分析的每步记录都可以留存在区块链上,不容易被篡改。在区块链技术中,各节点之间的数据交换基于地址而非个人身份,交易双方采取匿名方式就能交易,因此大部分个人隐私信息都不会暴露。

    1.3.7崩溃恢复

    区块链上的数据分布在对等节点之间。不同于传统数据库中所有数据都存储在中心位置,区块链上的每个用户有权生成并维护数据的完整副本。虽然造成数据冗余,但大大提高了可靠性,增加了网络的容错性。如果某些节点受到攻击,不会对其余部分网络造成损害,也容易实现崩溃恢复。

    1.4

    运用区块链技术可以解决一些网络与信息安全领域的问题,例如攻击防御、数据保护、隐私保护、身份认证、崩溃恢复等。但其作为新技术,在稳定性、安全性、业务模式、经济评价等方面尚未成熟,多数的应用仍处于研究和发展阶段,运行成本较高。现阶段的用途和效果可能存在夸大和炒作的情况,如何实现技术优化和更好的应用仍是需要研究的重要课题。

    二、大数据背景下的网络信息安全控制的研究

    2.1大数据

    2.1.1大数据的概念

    20 世纪 80 年代,美国著名学者阿尔文·托夫勒在《第三次浪潮》中提出了“大数据”(Big Data)的概念。大数据是指以计算机技术为基础的规模庞大、无法用当前常规数据处理方法实现有效、及时的提取、储存、分析、搜索以及处理等操作的数据。大数据的出现也在表明,当今的信息技术框架和数据处理模式,已经与过去的情形完全不同,当前的数据信息处理模式要求能够更加经济、高效、智能地从海量信息以及多样化类型的数据中找到可利用价值。

    2.1.2大数据的特点

    (1)Volume 表示大数据规模巨大、数据量多的特性。在描述大数据时,常见的

    GB 或者 TB 的数据储存单位已经无法再适用,而是通过 PB(1024TB)、EB(1024PB)甚至 ZB(1024EB)进行储存。国际互联网数据中心 IDC 预测,2020 年全球互联网数据量将达到 35ZB。因此,大数据的特点之一就是数据规模庞大。

    (2)Variety 表示大数据的数据结构多样化,数据类型复杂多变,不但包括常规的计算机处理的结构型数据,同时也包括大量的视频、文字、音频以及图片等非结构化的数据信息。互联网数据分布具有自身的特点,再加上云计算、物联网等技术平台的不断完善,信息数据的来源逐渐向多样化趋势发展,互联网数据来源逐渐增多。主要的数据来源有以下几个方面:海量的互联网终端用户在多种互联网应用中传递、应用图片、文字、音频、视频等多种类型的数据信息;各种互联网设备以及多种信息管理系统在运作过程中产生各种数据库、文件、操作日志、审计等等信息数据;近些年兴起的物联网信号采集设备和传感设备,例如智能医疗设备所产生的各种生命特征数据、天文望远镜产生的大量天文观测相关的信息数据等。

    1. Value 表示大数据具有价值密度低的特性。因为大数据虽然拥有庞大的数据量,但是对决策产生有利作用的信息和数据是有限的,需要进行有效地挖掘。相对有限的价值量除以巨大的数据基数,就使得大数据形成了价值密度低的又一特点。需要强调的是,价值密度低并不代表没有价值,而是强调大数据的价值需要利用更精密的算法进行更进一步的数据挖掘才能体现,这对数据处理技术提出了新的要求。
    2. Velocity 表示大数据的数据信息处理速度快的特性。因为大数据数量巨大,从中提取有效信息成为大数据发挥作用的关键,因此对数据传递和处理的速度要求也大大提升。并且大数据所催生的信息产业瞬息万变,因此要求大数据处理过程能及时快速的响应变化,对数据的分析也要快速,因此数据处理速度快将为大数据时代处理数据的一个最显著的特点。
    3. Complexity 表示大数据复杂性的特征。数据量的庞大和数据类型的繁多都成为大数据复杂特征的原因,在当前环境下,大数据的智能处理和分析成为体现大数据价值的关键步骤,大数据的复杂性已经成为其处理与分析过程中必须应对的问题。

    2.2大数据背景下网络信息安全存在的问题及成因分析

    2.2.1网络信息安全面临的挑战

    1.日益严重的计算机病毒的形成

    以“震荡波”病毒为例,“震荡波”(Sasser)病毒利用微软公布的 Lsass漏洞进行传播,通过Windows2000/XP 等操作系统,开启上百个线程去攻击其他网上用户,造成机器运行缓慢、网络堵塞。利用病毒,木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。

    2.愈发严重的网络黑客攻击

    网络黑客(Hacker)是专业进行网络计算机入侵的人员,通过入侵计算机网络窃取机密数据和盗用特权,或进行文件破坏,或使系统功能得不到充分发挥直至瘫痪。从世界范围看,黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。黑客就是利用网络安全的漏洞,尝试侵入其聚焦的目标。

    2.2.2网络信息安全面临的问题成因分析

    1. 技术层面的问题:网络通信线路和设备的缺陷以及软件存在漏洞和后门。网络通信线路和设备缺陷包括电磁泄漏、设备监听、终端接入和网络攻击。软件存在漏洞和后门包括网络软件的漏洞被利用、软件病毒入侵和软件端口未进行安全限制。
    2. 人员层面的问题:网络信息安全存在的问题离不开人员的控制和影响。从系统使用人员的角度上出发,系统使用人员保密观念不强,关键信息没进行加密处理,密码保护强度低和文档的共享没有经过必要的权限控制;从技术人员的角度上出发,技术人员因为业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施;从专业人员的角度上出发,专业人员利用工作之便,用非法手段访问系统,非法获取信息;从不法人员的角度上出发,不法人员利用系统的端口或者传输的介质,采用监听、捕获、破译等手段窃取保密信息。所以,人员层面是严重危害和影响网络信息安全的关键主体。
    3. 管理层面的问题:网络安全管理可以有效提高网络安全系数,保护用户的个人信息及电脑中的重要数据信息,但由于管理层面上的问题,也导致网络信息安全的问题的产生。首先,安全管理制度不健全,缺乏完善的制度管理体系,管理人员对网络信息安全重视不够;其次,监督机制不完善,技术人员有章不循,对安全麻痹大意,缺乏有效地监管;再次,教育培训不到位。对使用者缺乏安全知识教育,对技术人员缺乏专业技术培训。

    2.3大数据背景下网络信息安全控制要素分析

    2.3.1人员

    1. 网络控制人员:网络用户构成网络信息安全管理工作的又一管理对象群体。网络用户并不是孤立存在的,而是处于相互连接的系统中。网络用户的信息行为是影响网络信息安全的重要因素之一,不安全的操作行为会在不经意间暴露个人隐私信息,且由于是网络用户的主观行为,使得追责工作难以有效取证。
    2. 网络安全管理者:首先要明确的是,作为网络信息安全管理者,必须具备较高的网络信息安全素养,尤其是在信息量剧增的大数据时代,海量数据对网络信息安全工作的影响已见端倪,在数据存储、数据挖掘、数据过滤等方面均面临挑战。网络信息安全管理者的信息安全素养是指管理工作人员积极适应网络信息安全管理活动职业所需要的和信息环境变化(如大数据环境)所要具备的有关信息安全方面的知识、能力和文化修养。只有具备较高的网络信息安全意识,才能从根本上明确网络信息安全工作的重要性,才能为掌握必须的安全工作技能与技术打下坚实的基础。

    2.3.2环境

    1. 网络设施:互联网的正常运行离不开网络设施的正常运转与维护,在大数据背景下,物联网、云计算、三网融合等 IT 与通信技术的迅猛发展,对现有 IT 架构的处理和计算能力提出了挑战,目前大数据的数据处理规模能够从 TB 级上升到 PB、EB级,因而如何降低数据存储成本,如何充分地利用计算资源,并且提高系统并发吞吐率,如何支持分布式的非线性迭代算法的优化,成为升级和维护网络设施的重要难题。大数据背景下,如何构建海量数据的存储与管理体系,挖掘和计算体系以及网络平台及其应用是保障网络信息安全的基础。
    2. 网络文化:在信息技术高速发展的今天,网络文化由一种草根文化,被逐步引导而向高级文化发展,在社会生活中逐渐起到不可忽视的作用。作为大数据背景下传播速度最快的文化形式,网络文化与网络信息安全息息相关。网络文化尤其以社交网络中的形式为典型,社交网络拥有庞大的用户群,能够产生巨大的用户信息量。社交网络的社会交互性使得用户的个人信息很大程度上处于公开透明的状态,而且,热点信息会在短时间内吸引众多的关注并且以病毒式营销的方式迅速传播,因此网络暴力等网络信息安全问题容易出现。因此,健康的网络文化会促进网络信息安全工作的进行,相反,不健康的网络文化则会引发相应的网络安全问题。
    3. 政策与法规:我国现有的政策制度和法律法规大多存在原则性强、实际执行操作性差的问题,在大数据背景下,无法切实对网络信息行为进行有效地规范,对网络信息和数据的保护力度也不够大。需要明确在网络环境中,政策与法规的强制力作用是保障网络信息安全的有效外在动力,是网络信息安全控制机制正常运行的有效保障。

    2.3.3技术

    1. “防”——防火墙技术:“防火墙”是位于内部网络与外部网络间的网络安全系统,是在两个网络通讯时执行的一种访问控制,属于网络通信监控系统范畴。“防火墙”被建立在网络边界上,具有对计算机网络安全进行保障的功能,既可以用软件产品体现,又可以在某种硬件产品上制作或嵌入。通常防火墙构成为软件系统和硬件设备的组合,在内部网络和外部网络间把安全的保护屏障构建起来。立足逻辑视角看防火墙,其作用体现为分隔和限制以及分析;就网络安全策略组成而言,防火墙可以借助对网络间信息交换和访问行为的控制与监测,效管理网络安全。在网络安全保护实施中,防火墙处于核心地位。防火墙是连接所有内部网和外部网的必经之路,检查和连接在此进行,只通过被授权的通信。防火墙基于一定条件具备隔离内部网络与外部网络功能,并对非法入侵和对系统资源非法使用具有防止的作用。
    2. “密”——数据加密技术: 在不断发展和创新的科技背景下,不断的更新与改进加密技术才能使当下网络信息安全保障需要得以满足。对称加密和非对称加密是加密技术被划分的两种类型。对称加密就是以相同密钥进行加密和解密,目前是使用最为广泛的加密技术,典型的 SessionKey 就是美国政府使用的数据加密标准(DES)。反之,非对称加密(公开或私有密钥)技术就是在加密和解密上使用不同密匙,其中能够对外公布公钥,私人持有私钥,因而数据的安全性具有保障。为了保密传输的数据,加密和解密数据环节必不可少。加密就是把明文数据转化为特定的密码算法,使其达到不易辨认的程度,某一明文可依靠不同密钥和相同算法进行加密,形成不相同的密文。解密就是把密文数据依靠密钥进行转化,形成明文数据过程。
    3. “控”——入侵检测技术与网络监控技术:入侵检测系统就是识别和处理恶意使用计算机和网络资源行为的系统。外部入侵系统行为和没有授权的内部用户行为是其处理的主要内容。入侵检测系统是能够对系统中没有授权现象及时发现并报告的技术,其目的是为计算机系统安全提供保障,入侵检测系统包括入侵检测软件与硬件两部分。网络监控,是针对局域网内的计算机进行监视和控制。在大数据背景下,互联网的使用呈现出越来越普遍的情况,网络监控技术的使用也越发频繁。监控软件与监控硬件是网络监控产品的主要类型。
    4. “审”——安全审计技术:计算机网络安全审计就是以一定的安全策略为指导依据,以记录的系统活动等信息为依托,对事件的环境及活动进行检查和审查以及检验等操作,从而把系统漏洞和入侵行为找出,使系统性能改善的技术,也是针对系统安全风险进行审查评估并实施相应措施过程,是系统安全性提高的重要途径。安全审计的主要作用和目的如下:
    • 具有威慑和警示可能存在的潜在攻击者功能,风险评估是核心。
    • 对系统的控制情况进行测试,进而及时调整,达到与安全策略和操作规程实现协调一致目的。
    • 评估已经出现的破坏事件,从而为灾难恢复和责任追究提供有效依据。
    • 评价和反馈系统控制和安全策略以及变更规程,从而为决策和部署的修订带来便利。
    • 发挥使系统管理员对网络系统入侵或对潜在漏洞及时发现的协助作用。

    (创作不易,欢迎您的意见和建议,感谢支持♥♥♥)

     
    展开全文
  • 信息安全事件分类分级解读

    万次阅读 2018-03-08 13:39:52
    信息安全事件分类分级解读 ...依据《中华人民共和国网络安全法》 、《GBT 24363-2009 信息安全信息安全应急响应计划规范》、《GB\T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB\Z 20...
  • 近年来,随着互联网应用的普及和大数据产业的发展,确实给生活带来很多便利,与此同时,个人信息安全也面临着严重威胁,个人信息被非法收集、泄露与滥用等。 2020年3月6日,国家市场监督管理总局、国家标准化管理...
  • 物联网信息安全概述

    千次阅读 2019-04-16 17:26:15
    物联网信息安全 物联网信息安全 据《硅谷》杂志2012年第22期刊文称,物联网在各个领域的推广应用也把原来的网络安全威胁扩大到物质世界,增加防范和管理难度,根据物联网的三个层次,分析物联网的安全特性,特别...
  • SEED Labs信息安全实验

    万次阅读 2018-07-04 11:44:50
    1.1 SEED Labs 介绍 SEED Labs是一套完整的信息安全实验,涵盖本科信息安全教学中的大部分基本原理,可用于提高学生体验式学习的实验室练习。项目组2002年由杜文亮教授创建,目前开发了30个实验,涵盖了各种计算机...
  • 计算机三级信息安全知识点

    万次阅读 2021-03-26 19:23:04
    信息安全的五个基本属性 机密 可用 可控 不可否认 完整性 信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全 保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略 ...
  • 信息内容安全包括两部分:合法信息的保护和非法信息的监管; 信息隐藏和信息加密: 加密是把信息内容保护加密保护起来,不被旁人看到;而隐藏是将隐匿信息信息中,同时保证信息的可用性,保护的是版权; 内容保护...
  • 网络信息安全的重要性

    万次阅读 2018-08-15 11:39:01
    一、信息安全技术概论 1.网络安全的重要作用 在互联网普及的初期,人们更关注单纯的连接性,以不受任何限制地建立互联网为最终目的。正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的...
  • 个人信息安全管理条例解释

    千次阅读 2019-11-06 19:45:56
    给人们生活带来便利的同时,也出现了对个人信息的 非法收集、滥用、泄露 等问题,个人信息安全面临严重威胁。 为了保护公民个人隐私数据不被肆意收集、滥用、泄漏甚至非法售卖,各国政府纷纷出台相关法律政策文件,...
  • 网络信息安全知识框架

    万次阅读 多人点赞 2018-12-30 22:10:32
    如需要下列知识的详细内容,欢迎评论或私信联系我。 第0章 基础概述 1.网络信息安全的原则(包括...1.1 网络安全的概念 (信息安全的4个层面、信息安全所涉及学科、研究信息安全的重要性、网络安全的概念) 1.2 ...
  • 信息安全技术(俞承杭)期末复习

    千次阅读 2021-01-15 14:13:08
    第一章 信息安全概述 对于信息的功能特征,它的基本功能在于维持和强化世界的有序性动态性 对于信息的功能特征, 它的社会功能表现为维系社会的生存、 促进人类文明的进步和自身的发展 信息技术主要分为感测与识别...
  • 两个信息安全标准的相同点 都是为了保护信息安全;都采用了过程方法,前一个过程的输出作为后一个过程的输入;都采用了PDCA的模型,实现持续安全建设;都发布了基本要求,27000信息安全管理体系提供了14个控制域的...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • 信息安全导论复习(1-5章)

    万次阅读 2017-06-01 01:32:54
    第1章 信息化发展与信息安全 目录 1.1 信息化发展 1.1.1 信息化对我国的重要影响 1.1.2 信息化发展对信息安全的需求 1.2 信息安全的基本属性 1.2.1 保密性 1.2.2 完整性 1.2.3 可用性 1.3 信息安全概念的演变 1.3.1 ...
  • 信息安全习题(含答案)

    万次阅读 多人点赞 2018-07-06 16:21:37
    信息安全技术教程习题及答案第一章 概述一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√2. 计算机场地可以选择在公共区域人流量比较大的地方。×3. 计算机场地可以选择在化工厂生产车间...
  • 网络信息安全综述

    万次阅读 2017-11-14 21:23:30
    一、信息安全技术概论 1.网络在当今社会中的重要作用 2.信息安全的内涵 网络出现前:主要面向数据的安全,对信息的机密性、完整性和可用性的保护,即CIA三元组 网络出现后,还涵盖了面向用户的安全,即鉴别,授权,...
  • 常见信息安全威胁与经典案例

    万次阅读 2020-04-15 18:35:05
    文章目录震网病毒威胁发展历程安全威胁分类网络安全威胁应用安全威胁数据传输与终端安全威胁 震网病毒 威胁发展历程 安全威胁分类 网络安全威胁 应用安全威胁 数据传输与终端安全威胁 ...
  • C++的安全类型转换的讨论

    千次阅读 2013-11-24 11:12:38
    关于强制类型转换的问题,很多书都讨论过,写的最详细的是C++ 之父的《C++的设计和演化》。最好的解决方法就是不要使用C风格的强制类型转换,而是使用标准C++的类型转换符:static_cast, dynamic_cast。标准C++中有...
  • 了解信息安全管理体系的基本思路

    千次阅读 2018-03-26 10:34:39
    为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。1 信息也是资产,值得或...
  • 信息安全概论期末复习知识点

    千次阅读 2018-06-30 16:49:27
    信息安全定义 1 信息安全的定义:在技术上和管理上为数据处理系统建立的安全保护,保护信息系统的硬件、软件及相关数据不因偶然或者恶意的原因遭到破坏、更改及泄露。 1 威胁类型 1)信息泄露 2)信息伪造 3)...
  • SAEJ3061汽车信息安全指南文档

    千次阅读 多人点赞 2018-04-09 15:27:58
    基本原理更多智能汽车信息安全信息,请关注博大汽车信息安全 公众号BodaSecurity。网络物理车载系统在整个开发生命周期进程中,需要提供一个网络安全进程框架和指导,帮助企业识别和评估网络安全威胁和设计网络安全...
  • 信息安全常见名词解释

    万次阅读 多人点赞 2016-10-06 10:17:36
    信息安全意义上的 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 18.网页挂马:黑客入侵了一些门户网站后,将自己编写的网页木马嵌入被黑门户网站的主页中,利用被黑网站的流量将...
  • 2019中国信息安全自主可控行业政策盘点及网络安全行业分析一、盘点中国信息安全自主可控行业政策法规二、中国网络安全行业产品分类全景图**三、国产化信息技术网络安全自主可控行业现状深度剖析****1、信息战凸显...
  • 一、互联网安全协议概述1.1 互联网协议体系TCP/IP协议的体系结构IP数据报格式及TCP/UDP报文段格式 Web技术构成:HTTP协议、HTML标记语言。 TCP/IP协议栈中安全机制的相对位置:网络层、运输层和应用层。1.2 互联网...
  • 信息安全导论复习(6-8章)

    千次阅读 2017-06-01 16:24:47
    第6章 信息安全等级保护 目录 6.1 信息安全等级保护综述 6.1.1 等级保护的原则 6.1.2 等级划分 6.1.3 等级保护相关法规标准 6.2 等级保护安全设计技术要求 6.2.1 等级保护安全设计技术框架 6.2.2 第一级信息系统的...
  • 信息安全事件分类分级指南

    万次阅读 2019-02-15 17:24:26
    一、信息安全事件分类: 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件和其他信息安全事件 二、信息安全事件分级: 分级考虑要素:信息系统的重要程度、系统损失和社会...
  • redis中string类型的二进制安全

    千次阅读 2017-05-26 15:30:26
    二进制安全是指,在传输数据时,保证二进制数据的信息安全,也就是不被篡改、破译等,如果被攻击,能够及时检测出来。二进制安全包含了密码学的一些东西,比如加解密、签名等。举个例子,你把数据11110000加密成...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 986,432
精华内容 394,572
关键字:

信息安全的类型