信息安全技术复习资料13章.docVIP

信息安全 定义：为防范计算机网络硬件、软件。数据偶然或蓄意破坏、篡改、窃听、假冒、泄漏、非法访问和保护网络系统持续有效工作的措施总和。 目标：通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。侧重强调网络信息的保密性、完整性、有效性。 模型：PPDR 策略：（原则）均衡性原则、时效性原则、最小化原则；（内容）硬件物理安全、网络连接安全、操作系统安全、网络服务安全、数据安全、安全管理原则、网络用户安全责任。 软件漏洞（脆弱性、隐错）：是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成安全隐患。有时效性特点 网络协议漏洞：网络通信协议不完善而导致的安全隐患。 安全管理漏洞：人为的，只要提高安全管理意识完全可以避免。（故障、性能、配置、记账、安全管理） 信息安全威胁：对事件对信息资源的可靠性、保密性、完整性、有效性、可控性和拒绝否认性可能产生的危害。 TCSEC: 国际通用信息安全评价标准： 《信息技术安全评价公共标准》（CC）能够对信息技术领域中的各种安全措施进行安全评价，但信息系统和产品的物理安全、行政管理、密码强度等间接安全措施不在评价范围之内，重点考虑人为因素导致的安全威胁。 采用类（class）.族（family）组件（component）层次化方式定义TOE（评价目标）的安全功能。定义了7个评价保证等级。 国家信息安全评价标准： 中国国家质量技术监督局1999年颁布的《计算机信息系统安全保护等级划分准则》国家标准GB17859-1999,划分为用户自主保护、系统审计保护、安全标记保护、结构化保护和访问验证保护，对应TCSEC 的C1~B3。《信息技术-安全技术-信息技术安全性评估准则》GB/T18336-2001等同于iso/iec 15408 信息系统安全等级保护法规和标准： 信息安全等级保护工作是我国为保障国家安全、社会秩序、公民利益以及公民、法人和其他组织合法权益强制实施的一项基本制度，根据信息和信息系统的重要程度以及遭受到破坏后对国家安全、社会秩序、公共利益以及合法权益的危害程度分5个等级。 密码系统与加密标准 1） 密码系统的基本概念 密码系统是某种加密算法（密码）在密钥控制下实现的从明文到密文的映射目的是接受数据作为输入，产生密文件作为输出，以便隐藏数据的原始意义，使信息在传输过程中即便被窃取或被截获，窃取者也不能了解信息的内容从而保证信息传输的安全。密码系统由明文、密文、密码和密钥4个部分组成，应该具备机密性、完整性、认证性3个基本特征。 2） 信息加密方式 加密系统对信息加密方式分为对称加密和非对称加密，非对称加密也称公钥加密，具有良好的保密性和完整性。 数字签名是公钥加密的一种应用，在加密系统管理中实现身份认证。网络信息加密可分为链路加密和端点加密，链路加密有效，但安全漏洞和资源开销大影响了它的发展。目前，应用较为广泛的是端点加密。 3） 信息加密标准 对与加密标准而言，无论对存储数据的加密还是对传输数据的加密，采用先进的加密标准和对称加密与非对称加密结合的方法可以提高安全性。 PGB是常用的邮件或文档加密软件，PGB通过公钥加密和对称加密算法相结合，实现数字签名和密钥交换。PGB源代码是开放的。 身份认证的方法 ： 根据身份认证的身份标识的不同形式和鉴别技术，身份认证的方法大体可分为基于信息秘密的身份认证、基于信任物体的身份认证和基于生物特征的身份认证。基于生物特征的身份认证都有一个特征识别和鉴别的过程，包括基于语音识别的生物行为特征的认证方法。 身份认证的安全性：身份认证过程面临欺骗标识、篡改数据、拒绝承认、信息泄露、重放攻击的安全威胁，可以通过通过采用安全的身份认证方式和加强身份信息管理来有效的防止这些安全威胁，这些方式包括基于PKI的身份信息传输和加密存储、挑战/响应认证方式和时间戳方式、配套的数字签名认证方式和身份信息加强管理。 口令认证的安全性：口令在网络中传输时是很容易被窃取或攻击的，这是口令认证的明显缺点。比较常见的攻击和窃取方式主要有：网络数据窃听、认证信息截取/重放、字典攻击。穷举攻击、窥探口令、骗取口令和垃圾搜索。因此，在设计、部署和使用用于身份认证的口令时要考虑设置的安全性，口令的传输和存储要加密。 访问控制的关系描述：访问的授权关系主要通过以下四种方式：访问控制矩阵、访问能力表、访问控制表和授权关系表设计描述，从而根据设计描述建立访问授权。