- 4.1.1 信息安全的概念
- 信息安全包括5个基本要素
- 机密性:确保信息不暴露给未授权的实体或进程。
- 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
- 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
- 可控性:可以控制授权范围内的信息流向及行为方式。
- 可审查性:对出现的信息安全问题提供调查的依据和手段。
- 信息安全的范围包括
- 设备安全
- 数据安全
- 内容安全
- 行为安全
- 信息安全包括5个基本要素
- 4.1.2 信息存储安全
- 信息使用的安全
- 用户的标识与验证
- 用户存取权限限制
- 隔离控制法
- 限制权限法
- 系统安全监控
- 计算机病毒防治
- 信息使用的安全
- 4.1.3 网络安全
- 网络安全漏洞
- 网络安全威胁
- 非授权访问
- 信息泄露或丢失
- 破坏数据完整性
- 拒绝服务功能
- 利用网络传播病毒
- 安全措施的目标
- 访问控制。确保会话对方(人或计算机)有权做它所声称的事情。
- 认证。确保会话对方的资源(人或计算机)与它声称的一致。
- 完整性。确保接收到的信息与发送的一致。
- 审计。确保任何发生的交易在事后可以被证实,发信者和收信者都认为交换发生过,即所谓的不可抵赖性。
- 保密。确保敏感信息不被窃听。
- 4.3.1 技术体系
- 基础安全设备
- 计算网络安全
- 操作系统安全
- 数据库安全
- 终端设备安全
- 4.3.2 组织机构体系
- 4.3.3 管理体系
- 4.4.1 数据加密
- 4.4.2 对称密钥加密算法
- 对称加密算法中加密密钥和解密密钥是相同的。
- DES
- IDEA
- AES
- SM4
- 对称加密算法中加密密钥和解密密钥是相同的。
- 4.4.3 非对称密钥加密算法
- 非对称加密算法中使用的加密密钥和解密密钥是不同的。
- RSA
- SM2
- 非对称加密算法中使用的加密密钥和解密密钥是不同的。
- 4.5.1 对称密钥的分配与管理
- 密钥的使用控制
- 密钥的分配
- 4.5.2 公钥加密体制的密钥管理
- 公开发布
- 公用目录表
- 公钥管理机构
- 公钥证书
- 4.5.3 公钥加密分配单钥密码体制的密钥
- 4.6.1 访问控制技术
- 访问控制的基本模型
- 访问控制是指主体依据某些控制测量或权限对客体本身或是其资源进行的不同授权访问。
- 访问控制的实现技术
- 访问控制矩阵
- 访问控制表
- 能力表
- 授权关系表
- 访问控制的基本模型
- 4.6.2 数字签名
- 数字签名的条件
- 签名是可信的。
- 签名不可伪造。
- 签名不可重用。
- 签名的文件是不可改变的。
- 签名是不可抵赖的。
- 对称密钥签名
- 公开密钥签名
- 数字签名的条件
- 4.7.1 密钥的选择
- 密钥在概念上被分成两大类
- 数据加密密钥(DK)
- 直接对数据进行操作
- 密钥加密密钥(KK)
- 用于保护密钥
- 数据加密密钥(DK)
- 密钥生成需要考虑3个方面的因素
- 增大密钥空间
- 选择强钥
- 密钥的随机性
- 密钥在概念上被分成两大类
- 4.7.2 拒绝服务攻击与防御
- 拒绝服务攻击的防御方法
- 加强对数据包的特征识别
- 设置防火墙监视本地主机端口的使用情况
- 对通信数据量进行统计也可获得有关攻击系统的位置和数量信息
- 尽可能的修正已经发现的问题和系统漏洞
- 拒绝服务攻击的防御方法
- 4.7.3 欺骗攻击与防御
- ARP欺骗
- DNS欺骗
- IP欺骗
- 4.7.4 端口扫描
- 4.7.5 强化TCP/IP堆栈以抵御拒绝服务攻击
- 同步包风暴(SYN Flooding)
- ICMP攻击
- SNMP攻击
- 4.7.6 系统漏洞扫描
- 基于网络的漏洞扫描
- 基于主机的漏洞扫描
- 扫描的漏洞数量多。
- 集中化管理。
- 网络流量负载小。
- 4.8.1 计算机信息系统安全保护等级
- 第1级:用户自主保护级
- 第2级:系统审计保护级
- 第3级:安全标记保护级
- 第4级:结构化保护级
- 第5级:访问验证保护级
- 4.8.2 安全风险管理