侧边栏
1.信息化与信息系统:信息系统安全技术
1、信息安全安全属性包括: (掌握)(20下12)
①秘密性:信息不被未授权者知晓的属性。
②完整性:信息是正确的、真实的、未被复改的、完整无缺的属性。(21上13)③可用性:信息可以随时正常使用的属性。
2、安全可以划分为四个层次:设备安全、安全、内容安全、行为安全。其中数据安全即是传统的信息安全。(掌握)(17下16)(19 上15)(19下11)
3、设备的安全包括: (掌握)(21下13)
①设备的稳定性:设备在一定时间内不出故障的概率。(18上15)
②设备的可靠性:设备能在一定时间内正常执行任务的概率。
③设备的可用性:设备随时可以正常使用的概率。
4、数据安全的安全属性包括秘密性、完整性和可用性。(掌握)
5、内容安全包括:政治上健康、符合国家法律法规、符合道德规范,广义还包括内容保密、知识产权保护、信息隐藏和隐私保护等。(掌握)
6、行为安全: (掌握)
①行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时,行为的过程和结果也应是秘密的。
②行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。
③行为的可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。
7、我国信息安全的法律体系可分为四个层面:
(1)一般性法律规定:如宪法、国家安全法、国家秘密法、治安管理处罚条例等的法律法规并没有专门对信息安全进行规定,但是这些法律法规所规范和约束的对象包括涉及信息安全的行为。(21下14)
(2)规范和惩罚信息网络犯罪的法律: 《刑法》《全国人大常委会关于维护互联网安全的决定》。
(3)直接针对信息安全的特别规定: 《计算机信息系统安全保护条例》《计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网安全保护管理办法》《电信条例》等。
(4)具体规范信息安全技术、信息安全管理等方面的规定:《商用密码管理条例》《计算机病毒防治管理办法》《计算机软件保护条例》《计算机信息系统国际联网保密管理规定》《电子签名法》《金融机构计算机信息系统安全保护工作暂行规定》等。
8、《信息安全等级保护管理办法》将信息系统的安全保护等级分为5级【多个为或关系】
| 级别 | 个人合法权益 | 社会利益 | 国家安全 |
|---|---|---|---|
| 1 | 损害 | ||
| 2 | 严重损害 | 损害 | |
| 3 | 严重损害 | 损害 | |
| 4 | 特别严重损害 | 严重损害 | |
| 5 | 特别严重损害 |
9、计算机系统安全保护能力的五个等级,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。(户籍全解放)(掌握)
10、加密技术(掌握)(07 下25) (08 下5)(10上15)(12上15) (12 下15、16)
(1)加密技术包括两个元素:算法和密钥。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES)算法为典型代表,非对称加密通常以RSA_算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。(21下15)
(2)对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,对称加密算法使用起来简单快捷,密钥较短,破译相对容易。除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DES的加密性好,另外,还有数据加密标准算法AES,其中DES密钥长度56位,3DES是112位,IDEA是128位, AES密钥长度则可以是128, 192或256比特;
(3)非对称加密技术:公开密钥密码的基本思想是将传统密码的密钥K一分为二,分为加密钥Ke和解密钥Kd,用加密钥Ke控制加密,用解密钥Kd控制解密。RSA密码,既可用于加密,又可用于数字签名,安全、易懂,因此RSA密码已成为目前应用最广泛的公开密钥密码。现在的大部分加密,都由RSA算法完成,它基于一个非常简单的数论事实:将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。(21上14)
| 对称密钥算法 | SDBI、 IDEA (128 位)、RC4、 DES (64位)、3DES (128位) | 加密和解密采用相同的密钥,加密速度快,一般用来加密大批量数据 |
| 非对称密钥算法 | RSA | 加密和解密采用不同的密码,发送者用接收者的公钥(可以公开的密钥)加密,接收者收到信息后要用自己的私钥解密。加密速度较慢,一般用在少量数据的加密中 |
| HASH算法 | SDH,SHA,MD5 | Hash函数将任意长的报文M映射为定长的Hasli码h,Hash函数可提供保密性、报文认证以及数字签名功能。 |
11、签名是证明当事者的身份和数据真实性的一种信息。(掌握) 12、完善的数字签名体系应满足以下3个条件: (掌握) ①签名者事后不能抵赖自己的签名。 ②任何其他人不能伪造签名。 ③如果当事的双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪。 16、认证和数字签名技术都是确保数据真实性的措施,区别: (掌握)(18上16)①认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性,而数字签名中 用于验证签名的数据是公开的。 ②认证允许收发双方互相验证其真实性,不准许第三者验证,而数字签名允许收发双方和第三者都能验证。 ③数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力,而认证则不一定具备。 17、计算机设备安全要包括计算机实体及其信息的完整性、机密性、抗否认性、可用性、可审计性、可靠性等几个关键因素。(掌握) 18、物理安全包括:场地安全(环境安全);指系统所在环境的安全,主要是场地与机房。(了解)19、设备安全包括设备的防盗和防毁,防止电磁信息泄漏,防止线路截获、抗电磁干扰以及电源的保护。(了解) 20、存储介质安全是指介质本身和介质上存储数据的安全。存储介质本身的安全包括介质的防盗;介质的防毁,如防霉和防砸等。(了解) 21、计算机的可靠性工作,一般采用容错系统实现。容错主要依靠冗余设计来实现,以增加资源换取可靠性。典型的冗余技术有磁盘阵列、双机热备系统、集群系统等。(掌握)
22、防火墙是一种较早使用、实用性很强的网络安全防御技术,它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术。在策略中涉及的网络访问行为可以实施有效管理,而策略之外的网络访问行为则无法控制。防火墙的安全策略由安全规则表示。(掌握)(17下17) (19上17)(19下12)
23、入侵检测与防护的技术主要有两种:入侵检测系统和入侵防护系统。(掌握)
入侵检测系统(IDS):注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。绝大多数IDS系统都是被动的。(掌握)(18上17)
入侵防护系统(IPS):则倾向于提供主动防护,注重对入侵行为的控制。IDS本身包括数据的收集,分析,处理和事件数据库,所以不需要安全审计系统;其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。(掌握)(09 下27)(12上17) (12 下18) (13 上18)(14 下18)(16 上18)
24、VPN (虚拟专用网络)连接由客户机、传输介质和服务器三部分组成, VPN的连接不是采用物理的传输介质,而是使用称之为“隧道”的技术作为传输介质,这个隧道是建立在公共网络或专用网络基础之上的。常见的隧道技术包括:点对点隧道协议(PPTP)、第2层隧道 协议(L2TP)_和IP安全协议(IPSec)。(掌握)
25、安全扫描包括漏洞扫描、端口扫描、密码类扫描(发现弱口令密码)等。(掌握)
26、安全扫描可以应用被称为扫描器的软件来完成,扫描器是最有效的网络安全检测工具之可以自动检测远程或本地主机、网络系统的安全弱点以及所存在可能被利用的系统漏洞。(掌握)27、蜜罐技术是一种主动防御技术,是入侵检测技术的一个重要发展方向,也是一个“诱捕”攻击者的陷阱。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。攻击者往往在蜜罐上浪费时间,延缓对真正目标的攻击。由于蜜罐技术的特性和原理,使得它可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。(掌握)
28、常见的无线网络安全技术包括;无线公开密钥基础设施(WPKI)、有线对等加密协议(WEP)、Wi-Fi网络安全接入(WPA/WPA2、无线局域网鉴别与保密体系(WAPI)、802.11i(802.11工作组为新一代WLAN制定的安全标准)等。(掌握)(20 下13)
29、针对操作系统的安全威胁按照行为方式划分,通常有下面四种:(掌握)
①切断,这是对可用性的威胁。系统的资源被破坏或变得不可用或不能用,如破坏硬盘、切断通信线路或使文件管理失效。
②截取,这是对机密性的威胁。未经授权的用户、程序或计算机系统获得了对某资源的访问,如在网络中窃取数据及非法拷贝文件和程序。(13上11)
③复改,这是对完整性的攻未经授权的用户不仅获得了对某资源的访问,而且进行复改,如修改数据文件中的值,修改网络中正在传送的消息内容。(17下18)
④伪造,这是对合法性的威胁。未经授权的用户将伪造的对象插入到系统中,如非法用户把伪造的消息加到网络中或向当前文件加入记录。
30、操作系统安全威胁:①计算机病毒②逻辑炸弹③特洛伊木马④后门⑤隐蔽通道(掌握)④后门:嵌在操作系统中的一段非法代码,渗透者可以利用这段代码侵入系统。安装后门就是为了渗透,
⑤隐蔽通道:系统中不受安全策略控制的、违反安全策略、非公开的信息泄露路径。
31、操作系统安全性具体包括如下几个方面。(掌握)
①身份认证机制:实施强认证方法,比如口令、数字证书等。
②访问控制机制:实施细粒度的用户访问控制,细化访问权限等。
③数据保密性:对关键信息,数据要严加保密。
④数据完整性:防止数据系统被恶意代码破坏,对关键信息进行数字签名技术保护。⑤系统的可用性:操作系统要加强应对攻击的能力,比如防病毒,防缓冲区溢出攻击等。
⑤审计:审计是一种有效的保护措施,它可以在一定程度上阻止对计算机系统的威胁,并对系统检测,故障恢复方面发挥重要作用。
32、数据库安全主要指数据库管理系统安全,其安全问题可以认为是用于存储而非传输的数据的安全问题。为了解决以上的安全目标,数据库安全在技术上采取了一系列的方法,具体包括:数据库访问控制技术、数据库加密技术、多级安全数据库技术、数据库的推理控制问题和数据库的备份与恢复等。(掌握)
33、应用系统安全是以计算机设备安全、网络安全和数据库安全为基础的。同时,采取有效的防病毒、防复改和版本检查审计,确保应用系统自身执行程序和配置文件的合法性、完整性是极其重要的安全保证措施。(掌握)
互联网环境下,应用系统主要的应用模式是B/S或者C/S,基本都是基于TCP/IP网络协议和数据库系统的,因此应用系统安全是以计算机设备安全、网络安全和数据库安全为基础的。在B/S应用模式下,应用系统的数据管理、业务处理逻辑、结果展现控制、并发处理等都是由服务器端完成的,而服务器端面向应用的主要服务基本是基于Web的,因此围绕Web的安全管理是应用系统安全最重要的内容之一。(21下17
34、Web 威胁防护技术主要包括: ①Web访问控制技术、②单点登录(SSO)技术、③网页防复改技术、④Web内容安全(掌握) (1)访问控制:访问Web站点要进行用户名、用户口令的识别与验证、用户账号的缺省限制检查。Web服务器一般提供了:通过IP地址、子网或域名;通过用户名/口令;通过公钥 加密体系PKI (CA认证)等访问控制方法。 (2)单点登录:为应用系统提供集中统一的身份认证,实现“一点登录、多点访问”;单点登录系统采用基于数字证书的加密和数字签名技术,基于统一的策略的用户身份认证和授权控制功能,对用户实行集中统一的管理和身份认证。 (3)网页防复改技术:包括时间轮询技术、核心内嵌技术、事件触发技术、文件过滤驱动技术等。(18上18)(19上18) (4) Web 内容安全:内容安全管理分为电子邮件过滤、网页过滤、反间谋软件三项技术
1.信息化与信息系统/信息系统安全技术.txt · 最后更改: 2022/04/29 12:39 由 pwbty
除额外注明的地方外,本维基上的内容按下列许可协议发布: CC Attribution-Share Alike 4.0 International
