用手机建网站,长治建设工程交易网,传统小型企业做网站的好处,wordpress 前台 上传15、信息安全技术
1、信息安全和信息系统安全
信息安全系统的体系架构 X轴是“安全机制”#xff0c;为提供某些安全服务#xff0c;利用各种安全技 术和技巧#xff0c;所形成的一个较为完善的机构体系。 Y轴是“OSI网络参考模型”。 Z轴是“安全服务”。就是从网络中的各…15、信息安全技术
1、信息安全和信息系统安全
信息安全系统的体系架构 X轴是“安全机制”为提供某些安全服务利用各种安全技 术和技巧所形成的一个较为完善的机构体系。 Y轴是“OSI网络参考模型”。 Z轴是“安全服务”。就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。 由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。 随着网络逐层扩展这个空间不仅范围逐步加大安全的 内涵也就更丰富达到具有认证、权限、完整、加密和不可否认五大要素也叫作“安全空间”的五大属性。 信息安全含义及属性: 保护信息的保密性、完整性、可用性另外也包括其他 属性如:真实性、可核查性、不可抵赖性和可靠性。 ◆保密性:信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。 包括:(1)最小授权原则(2)防暴露(3)信息加密(4)物理保密
◆完整性:信息未经授权不能改变的特性。影响完整性的主要因素有设备故障、误码、人为攻击和计算机病毒等。
保证完整性的方法包括: (1)协议:通过安全协议检测出被删除、失效、被修改的字段。 (2)纠错编码方法:利用校验码完成检错和纠错功能。 (3)密码校验和方法。 (4)数字签名:能识别出发送方来源。 (5)公证:请求系统管理或中介机构证明信息的真实性
◆可用性:需要时授权实体可以访问和使用的特性。一般用系统正常使用时间和整个工作时间之比来度量。
其他属性 ◆真实性:指对信息的来源进行判断能对伪造来源的信息予以鉴别。 ◆可核查性:系统实体的行为可以被独一无二的追溯到该实体的特性这个特性就是要求该实体对其行为负责为探测和调查安全违规事件提供了可能性。 不可抵赖性:是指建立有效的责任机制防止用户否认其行为这一点在电子商务中是极其重要的。 ◆可靠性:系统在规定的时间和给定的条件下无故障地完成规定功能的概率。
安全需求 ◆可划分为物理线路安全、网络安全、系统安全和应用安全;从各级安全需求字面上也可以理解: 物理线路就是物理设备、物理环境; 网络安全指网络上的攻击、入侵 系统安全指的是操作系统漏洞、补丁等; 应用安全就是上层的应用软件包括数据库软件。 2、信息安全技术(了解)
◆加密技术 一个密码系统通常简称为密码体制(Cryptosystem)由五部 分组成: (1)明文空间M它是全体明文的集合 (2)密文空间C它是全体密文的集合。 (3)密钥空间K它是全体密钥的集合。其中每一个密钥K均由加密密钥Ke和解密密钥Kd 组成即KKeKd. (4)加密算法E它是一组由M 至C的加密变换, (5)解密算法D它是一组由C到M 的解密变换, ◆对于明文空间M 中的每一个明文M加密算法E在密钥Ke 的控制下将明文M 加密成密文C:CE(M,Ke) ◆而解密算法D 在密钥Kd的控制下将密文C解密出同一明文M:MD (C, Kd ) D (E (M, Ke),Kd) ◆对称加密技术会考 数据的加密和解密的密钥(密码)是相同的属于不公开密钥加密算法。其缺点是加密强度不高(因为密钥位数少)且密钥分发困难(因为密钥还需要传输给接收方也要考虑保密性等问题)。优点是加密速度快适合加密大数据 ◆常见的对称密钥加密算法如下:
DES:替换移位、56位密钥、64位数据块、速度快密钥易产生。
3DES:三重DES两个56位密钥K1、K2。 加密:K1加密-K2解密-K1加密。 解密:K1解密-K2加密-K1解密
AES:是美国联邦政府采用的一种区块加密标准这个标准用来替代原先的DES.对其的要求是“至少像3DES一样安全”
RC-5:RSA数据安全公司的很多产品都使用了RC-5。
IDEA:128位密钥64位数据块比DES的加密性好对计算机功能要求相对低。
◆非对称加密技术 数据的加密和解密的密钥是不同的分为公钥和私钥。是公开密钥加密算法。 其缺点是加密速度慢。优点是安全性高不容易破解。
◆非对称技术的原理是:发送者发送数据时使用接收者的公钥作加密密钥私钥作解密密钥这样只有接收者才能解密密文得到明文。安全性更高因为无需传输密钥。但无法保证完整性。如下: ◆常见的非对称加密算法如下: RSA:512位(或1024位)密钥计算机量极大难破解 Elgamal、ECC(椭圆曲线算法)、背包算法、Rabin、D-H等。
非对称加密技术公开的是公钥而秘钥只有接收者、自己有、永不公开。
◆相比较可知对称加密算法密钥一般只有56位因此加密过程简单适合加密大数据也因此加密强度不高;而非对称加密算法密钥有1024位相应的解密计算量庞大难以破解却不适合加密大数据一般用来加密对称算法的密 钥这样就**将两个技术组合使用了这也是数字信封的原理**即用对称加密算法加密数据用非对称加密算法给对称加密的秘钥 加密。
信息摘要就是哈希函数
所谓信息摘要就是一段数据的特征信息当数据发生了改变信息摘要也会发生改变发送方会将数据和信息摘要一起传给接收方接收方会根据接收到的数据重新生成一个信息摘要若此摘要和接收到的摘要相同则说明数据正 确。信息摘要是由哈希函数生成的。 ◆信息摘要的特点:不算数据多长都会产生固定长度的信息摘要;任何不同的输入数据都会产生不同的信息摘要;单向性即只能由数据生成信息摘要不能由信息摘要还原数据。 ◆信息摘要算法:MD5(产生128位的输出)、SHA-1(安全散列算法产生160位的输出安全性更高)
◆数字签名:唯一标识一个发送方。 发送者发送数据时使用发送者的私钥进行加密接收者收到数据后只能使用发送者的公钥进行解密这样就能唯一确定发送方这也是数字签名的过程。 但无法保证机密性。如下: 自己的私钥可以唯一标识一个人。
数字签名可以保证完整性、不可抵赖性但没有保密性因为公钥是公开的都可以解密。
◆公钥基础设施PK:是以不对称密钥加密技术为基础以数据机密性、完整性 、身份认证和行为不可抵赖性为安全目的来实施和提供安全服务的具有普适性的安全基础设施。 (1)数字证书:一个数据结构是一种由一个可信任的权威机构签署的信息集 合。在不同的应用中有不同的证书。如x.509证书必须包含下列信息:(1)版本 号(2)序列号 (3)签名算法标识符(4)认证机构(5)有效期限(6)主题信息(7)认证机构的数字签名(8)公钥信息 公钥证书主要用于确保公钥及其与用户绑定关系的安全。这个公钥就是证书所标识的那个主体的合法的公钥。任何一个用户只要知道签证机构的公钥就能检查对证书的签名的合法性。如果检查正确那么用户就可以相信那个证书所携带的公钥是真实的而且这个公钥就是证书所标识的那个主体的合法的公钥。 例如驾照。 (2)签证机构CA:负责签发证书、管理和撤销证书。是所有注册用户所信赖的 权威机构CA在给用户签发证书时要加上自己的数字签名以保证证书信息的真实性。任何机构可以用CA的公钥来验证该证书的合法性。
类似于驾照
驾照涉及三方驾照的持有人、驾照本身、公安局用于签发驾照。
只有公安局办法的驾照才是合法的只有驾照的持有人拿着的是自己的经过公安局颁发的驾照才是合法的。持有人拿着假驾照、持有人拿着公安局颁发的其他人的驾照都是不合法的
驾照的 签证机构 CA 是 公安局。
工商银行 相当于 驾照持有人
数字证书 相当于 驾照是公开的是需要别人认证的。数字证书将用户和公钥绑定了起来比如工商银行拥有自己的公钥。数字证书证明了该公钥与工商银行是唯一对应的而签证机构 CA 证明了这种对应的合法有效的
签证机构 CA 相当于 公安局公安签证机构CA可以唯一确定驾照数字证书是否是真的。数字证书是由签证机构颁发的。
确定了数字证书是真的还要确定的当前数字证书和持有该证书的人工商银行是否是对应的、合法的。即是不是工商银行的数字证书而数字证书是绑定了工商银行的公钥的。
而公钥证书则确保公钥及其与用户绑定关系的安全。
任何人用 签证机构 CA 的公钥 来验证 数字证书如果成功验证表明证书是经过 CA 签名的、颁发的。
3、网络安全技术
◆防火墙是在内部网络和外部因特网之间增加的一道安全防护措施分为网络级防火墙和应用级防火墙。
对于计算机的防火墙来说整个计算机就相当于一个内网而外网就是外部的因特网。
◆网络级防火墙层次低但是效率高因为其使用包过滤和状态监测手段一般只检验网络包外在(起始地址、状态)属性是否异常若异常则过滤掉 不与内网通信因此对应用和用户是透明的。 ◆但是这样的问题是如果遇到伪装的危险数据包就没办法过滤此时就要依靠**应用级防火墙层次高效率低**因为应用级防火墙会将网络包拆开具体检查里面的数据是否有问题会消耗大量时间造成效率低下但是安全强度高。
防火墙可以鉴别什么样的数据包可以进出组织内部网络。
◆入侵检测系统IDS **防火墙技术主要是分隔来自外网的威胁却对来自内网的直接攻击无能为力 此时就要用到入侵检测IDS技术位于防火墙之后的第二道屏障**作为防火墙技术的补充。 ◆原理:**监控当前系统/用户行为**使用入侵检测分析引擎进行分析这里包含 一个知识库系统囊括了历史行为、特定行为模式等操作将当前行为和知识库进行匹配就能检测出当前行为是否是入侵行为如果是入侵则记录证据并上报给系统和防火墙交由它们处理。 ◆不同于防火墙**IDS入侵检测系统是一个监听设备没有跨接在任何链路上无须网络流量流经它便可以工作。**因此对IDS的部署唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。因此IDS在交换式网络中的位置一般选择在:(1)尽可能靠近攻击源(2)尽可能靠近受保护资源
以下三个没有考过了解即可
◆入侵防御系统IPS IDS和防火墙技术都是在入侵行为已经发生后所做的检测和分析而IPS是能够提前发现入侵行为在其还没有进入安全网络之前就防御。 在安全网络之前的链路上挂载入侵防御系统IPS可以实时检测入侵行为并直接进行阻断这是与IDS的区别要注意。 ◆杀毒软件 用于检测和解决计算机病毒与防火墙和IDS要区分计算机病毒要靠杀毒软件防火墙是处理网络上的非法攻击。 ◆蜜罐系统 **伪造一个蜜罐网络引诱黑客攻击**蜜罐网络被攻击不影响安全网络并且可以借此了解黑客攻击的手段和原理从而对安全系统进行升级和优化。
防火墙相当于一个大门
入侵检测系统IDS相当于家里的门内的摄像头。这个摄像头应该放在可以监控到的重要的地方比如保险柜靠近受保护的资源
入侵防御系统 IPS 相当于 可以触发的机关比如检测到危险能主动发射毒箭等。
1、网络攻击和威胁
分为被动攻击和主动攻击。
被动攻击可以理解为我攻击了你但是你不知道。(比如给窃听数据给数据加了个监听摄像头不拦截、也不修改数据只是窃听、监听等非法登录比如窃取了用户名密码偷偷登录系统获取一些资料等) 主动攻击可以理解为是破坏性攻击攻击后你就知道你被攻击了。比如 假冒身份本来是 A 给 B 发消息结果 C 假冒了B得到了 A 的消息抵赖比如 A 给B发消息结果A却否认发过消息
**重放攻击可能会考**拦截信息并利用这些信息重新发送。
假如客户端给服务器发送消息消息为用户名、密码比如用户名、密码是加密的了一般来说需要解密才能知道但是第三方解惑后不用解密因为它知道了这是用户名、密码的信息还用这些加密后的信息伪装成客户去登录重发用户名、密码给服务器。此时服务器拿到加密的用户名、密码并不知道这是伪装的因为用户名、密码都是对的。这就是重放攻击。
解决重放攻击的方法也很简单就是在信息里加上时间戳比如真正的发消息的时间是1点重放攻击的发消息的时间是2点这个时候服务器就可以验证那个时间点的消息是真实的请求、发送。
拒绝服务DOS重要、可能会考
网站都是有一个负载的也就是访问次数。不能无限制的访问的。
因此如果是正常的用户访问但是是大量的正常用户同时访问首先访问本身是合法的但访问被限制了甚至拒绝了服务这就是拒绝服务DOS。
所以拒绝服务DOS攻击就是一瞬间或短时间同时用大量比如上百万的用户同时访问进行的攻击导致服务器没有负载了网站就崩溃了。这个时候真正的用户去访问的时候也无法访问了。
流量分析属于被动攻击。
2、计算机病毒和木马
病毒:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 ◆木马:是一种后门程序常被黑客用作控制远程计算机的工具隐藏在被控制电脑上的一个小程序监控电脑一切操作并盗取信息。 ◆代表性病毒实例 蠕虫病毒(感染EXE文件):熊猫烧香罗密欧与朱丽叶恶鹰尼姆达冲击 波欢乐时光。 木马:QQ消息尾巴木马特洛伊木马x卧底。 宏病毒(感染word、excel等文件中的宏变量):美丽沙台湾1号。 CIH病毒:史上唯一破坏硬件的病毒。 红色代码:蠕虫病毒木马。
4、网络安全协议
物理层主要使用物理手段隔离、屏蔽物理设备等其它层都是靠协议来保证传输的安全具体如下图所示了解即可 ◆SSL协议:安全套接字协议被设计为加强Web安全传输(HTTP/HTTPS/)的协议安全性高和HTTP结合之后形成HTTPS安全协议端口号为443.
◆SSH协议:安全外壳协议被设计为加强Telnet/FTP安全的传输协议。
◆SET协议:安全电子交易协议主要应用于B2C模式(电子商务)中保障支付信 息的安全性。SET协议本身比较复杂设计比较严格安全性高它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现同时也在不断升级和完善如SET2.0将支持借记卡电子交易。
◆Kerberos协议:是一种网络身份认证协议该协议的基础是基于信任第三方它提供了在开放型网络中进行身份认证的方法认证实体可以是用户也可以是用户服务。这种认证不依赖宿主机的操作系统或计算机的IP地址不需要保证网络上所有计算机的物理安全性并且假定数据包在传输中可被随机窃取和篡改。
◆PGP协议(安全电子邮件协议):使用RSA公钥证书进行身份认证使用IDEA(128位密钥)进行数据加密使用MD5进行数据完整性验证。 发送方A有三个密钥:A的私钥、B的公钥、A生成的一次性对称密钥 接收方B有两个密钥:B的私钥、A的公钥。 散列就是哈希的意思。
用自己的私钥加密就是数字签名。
数字签名一般是针对数据摘要的因为它是非对称加密。
对原始数据的加密使用一次性秘钥加密即对称加密。
数字信封技术即非对称加密。
数字信封发送方采用接收方的公钥来加密对称庙后所得的数据。 提供共安全电子偶见服务的时PGP、S/MIME
第三方认证服务的两种体制分别是 Kerberos 和 KPI
Kerberos 认证服务中保存数字证书的服务器交 KDC
PKI 体制中保存数字证书的服务器叫 CA
网络管理员通过命令方式对路由器进行管理要确保 ID、口令和会话的保密性应采取的访问方式是 SSHSSH 即 Shell
