信息安全相关知识.docVIP

1：网络安全服务包括哪些？ 对等实体认证服务：网络通信必须保证双方或多方间身份，特别对等实体身份的相互确认，这是网络间有效通信的前提；对等实体主要指用户应用实体； 数据源点认证服务：高安全级别的网络通信需要对数据源点进行认证，以阻止各种可能的恶意攻击行为。这里，数据源点主要指主机标识， 数据保密服务：信息不泄露给非授权的用户、实体或过程，或供其利用的特性； 数据完整性服务：数据未经授权不能进行改变的特性。即信息在存储或传输过程中不被修改、不被破坏和丢失的特性； 访问控制服务：通信双方应该能够对通信、通信的内容具有不同强度的控制能力，这是有效和高效通信的保障； 可用性：可被授权实体访问并按需求使用的特性。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都是对可用性的攻击。 3：分组密码与流密码 对称密码与非对称密码 按加密方式的不同可分为分组密码与流密码： 流密码（Stream Cipher）（或称序列密码）和分组密码（Block Cipher） 区别是：流密码是将明文消息按字符逐位加密；分组密码是将明文消息先进行分组，再逐组加密。 按密钥的特点分为对称密码和非对称密码： 对称密码体制（Symmetric Cryptosystem）：单钥（One-Key）体制或私钥（Private Key）体制或传统密码体制（Classical Cryptosystem）；加密解密密码相同；密钥必须保密存放；通信前，收发双方必须实现密钥共享；主要应用于数据加解密、可以实现数据保密性、认证等安全服务。 非对称密码体制（Asymmetric Cryptosystem）：双钥（Two-Key）或公钥（Public Key）密码体制。 加密解密密码不同；私钥保密存放，公钥公开存放；通信前，收发双方无需实现密钥共享；可应用于数据加解密、数字签名、密钥交换等方面，实现数据保密、认证、数据完整性、不可否认性等安全服务。 4：保证密码系统安全就是要保证密码算法的安全性，这种说法是否错误，并解释。 说法错误，系统的保密性不依赖于对加密体制或算法的保密，而仅依赖于密钥的安全性。PKI，Public Key Infrastructure是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征； 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。 Discretionary Access Control） 基本思想： 对象（object）的创建者为其所有者（owner），可以完全控制该对象 对象所有者有权将对于该对象的访问权限授予他人（grantee） 不同的DAC模型： Strict DAC: grantee不能授权他人 Liberal DAC: grantee可以授权他人 根据grantee可以继续授权的深度可以分为一级的和多级的 存在的问题：不易控制权限的传递；容易引起权限的级联吊销； 强制访问控制（Mandatory Access Control） 强制访问控制是系统独立于用户行为强制执行访问控制，它也提供了客体在主体之间共享的控制，但强制访问控制机制是通过对主体和客体的安全级别进行比较来确定授予还是拒绝用户对资源的访问，从而防止对信息的非法和越权访问，保证信息的保密性。与自主访问控制不同的是，强制访问控制由安全管理员管理，由安全管理员根据一定的规则来设置，普通数据库用户不能改变他们的安全级别或对象的安全属性；自主访问控制尽管也作为系统安全策略的一部分，