#边学边记 第三章 信息系统安全、服务管理与规划之信息系统安全技术
本章從2022年9月14日上午10時開始,通過視頻學習第一遍,共分為六個章節,分別是信息系統安全技術、信息化發展與應用、信息系統服務管理、信息系統規劃、企業首席信息官及其職責 5個小節。
信息安全的有關概念
- 秘密性:信息不被未授權者知曉的屬性;
- 完整性:信息是正確的、真實的、未被篡改的、完整無缺的屬性;
- 可能用:信息可以隨時正常使用的屬性。
安全層次
- 設備安全
(1)設備的穩定性:設備在一定時間內不出故障的概率。
(2)設備的可靠性:設備能在一定時間內正常執行任務的概率。
(3)設備的可用性:設備隨時可以正常使用的概率。 - 數據安全
其安全屬性包括秘密性、完整性和可用性,如數據泄露、數據篡改等。 - 內容安全
內容安全是信息安全在政治、法律、道德層次上的要求。
(1)信息內容在政治上是健康的。
(2)信息內容符合國家的法律法規。
(3)信息內容符合中華民族優良的道德規范。 - **行為安全 **
數據安全的本質是一種靜態的安全,而行為安全是一種動態安全。
(1)行為的秘密性:行為的過程和結果不能危害數據的秘密性。必要時,行為的過程和結果也是秘密的。
(2)行為的完整性:行為的過程和結果不能危害數據的完整性,行為的過程和結果是預期的。
(3)行為的可控性:當行為的過程出現偏離預期時,能夠發現、控制或糾正。 **行為安全強調的是過程安全 **,體系在組成信息系統的硬件設備、軟件設備和應用系統協調工作的程序(執行序列)符合系統設計的預期,這樣才能保證信息系統的『安全可控』
信息安全等級保護
《信息安全等級保護管理辦法》分為五個等級:
- 第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
- 第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或對社會秩序和公共利益造成損害,但不損害國家安全。
- 第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害或者對國家安全造成損害;
- 第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別大損害,或者對國家安全造成嚴重損害。
- 第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害
信息加密、解決與常用算法
信息加密概念
- 加密技術包括兩個元素:算法和密鑰;
- 密鑰加密技術的密碼體制分為:對稱密鑰體制和非對稱密鑰體制;
- 對稱加密以**數據加密標準(DES)**算法為典型代表,非對稱加密常以RSA算法為代表;
| 對稱加密技術 | 非對稱加密技術 | |
|---|---|---|
| 定義 | 文件加密和解密使用相同的密鑰 | 一對密鑰由公鑰和私鑰組成(可以使用很多密鑰)。私鑰解密公鑰加密數據,公鑰解密私鑰加密數據(私鑰公鑰可以互相加密解密)。私鑰只能由一方保管,不能外泄。公鑰可以交給任何請求方。 |
| 優點 | 使用起來簡單快捷,密鑰較短,且破譯困難 | 安全 |
| 缺點 | 秘鑰被泄露后加密信息也就不安全 | 速度較慢 |
| 常用算法 | DES、AES | RSA |
Hash函數
Hash函數將任意長的報文M映射為定長的Hash碼h。Hash函數的目的就是要產生文件、報文或其他數據塊的『指紋』——Hash碼。
- Hash碼也稱報文摘要,它是所有報文位的函數。
- Hash碼具有錯誤檢測能力,即改變報文的任何一位或多位,都會導致Hash碼的改變;
- Hash函數可提供保密性、報文認證以及數字簽名功能,是區塊鏈的核心技術之一。
數字簽名
- 簽名是證明當事者的身份和數據真實性的一種信息。
- 數字簽名是指在以信息化環境下,以網絡為信息傳輸基礎的事物處理中及事物處理各方應采用電子形式的簽名。利用RSA密碼可以同時實現數字簽名和數據加密。
- 完善的數字簽名體系應滿足以下三個條件:
(1)名稱者事后不能抵賴自己的簽名;
(2)任何其他人不能偽造簽名;
(3)如果當事的雙方關于簽名真偽發生爭執,能夠在公正的仲裁者面前通過驗證簽名來確認其真偽。
認證
- 認證又稱鑒別、確認,它是證實某事是否名副其實或是否有效的一個過程;
- 認證和加密的區別在于:
- 加密用以確確保數據的保密性,阻止對手的被動攻擊,如截取、竊聽等;
- 認證用以確保報文發送者和接收者的真實性以及報文完整性,阻止對手的 攻擊,如冒充、篡改、重播等。
認證往往是許多應用系統中安全保護的第一道設防,因而極為重要。
- 認證和數字簽名技術的區別。
- 認證基于保密數據來認證被鑒別對象的真實性,而數字簽名中用于驗證簽名的數據是公開的。
- 認證不許第三者驗證,而數字簽名允許收發雙方和第三者都能驗證。
- 數字簽名具有發送方不能抵賴、接收方不能偽造和在公證人前解決 ,而認證則不一定具備。
信息系統安全
計算機設備安全
- 計算機設備安全包括計算機實體及其信息的完整性、機密性、抗否認性、可用性、可審計性、可靠性等幾個關鍵因素;
(1)抗否認性:是指能保障用戶無法在事后否認曾經對信息進行的生成、簽發、接收等行為的特性。一般通過數字簽名來提供抗否認服務。
(2)可審計性:利用審計方法,可以對計算機信息系統的工作過程進行詳盡的審計跟蹤,同時保存審計記錄和審計日志,從中可以發現問題。
(3)可靠性:是指計算機在規定的條件下和給定的時間內完成預定功能的概率。 - 計算機設備安全包括物理安全、設備安全、存儲介質安全和可靠性技術
網絡安全
- 常見的網絡威脅包括:
- 網絡監聽
- 口令攻擊
- 拒絕服務攻擊(DDOS)
- 漏洞攻擊,例如利用WEP安全漏洞和OpenSSL安全漏洞實施攻擊;
- 僵尸網絡
- 網絡釣魚
- 網絡欺騙,主要有ARP欺騙、DNS欺騙、IP欺騙、Web欺騙、Email欺騙等;
- 網站安全威脅,主要有SQL注入攻擊、跨站攻擊、旁注攻擊等。
網絡安全防御技術——防火墻
防火墻是阻擋對網絡的非法訪問和不安全數據的傳遞,使得本地系統和網絡免于受到這么多網絡安全威脅。
在網絡安全中,防火墻主要用于邏輯隔離外部網絡與受保護的內部網絡。防火墻主要是實現網絡安全的網絡策略,而這種策略是預先定義好的,所以是一種靜態安全技術。在策略中涉及的網絡訪問行為可以實施有效管理,而策略之外的網絡訪問行為則無法控制.
網絡安全防御技術——入侵檢測與防護
入侵檢測與防護的技術主要有兩種:入侵檢測系統(IDS)和入侵防護系統(IPS)。
入侵檢測系統IDS
注重的是網絡安全狀況的監管,通過監視網絡或系統資源,尋找違反安全策略的行為或攻擊跡象并發出報警。因此多數的IDS是被動的。
入侵防護系統IPS
傾向于提供主動防護,注重對入侵行為的控制。設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失。
網絡安全防御技術——VPN
VPN(虛擬專用網絡),它是依靠ISP和其他NSP,在公用網絡中建立專用的、安全的數據通信通道的技術。VPN可以認為是加密和認證技術在網絡傳輸中的應用。
VPN網絡連接由客戶機、傳輸介質和服務器三部分組成,采用『隧道』技術,包括:點對點隧道協議(PPTP)、第二層隧道協議L2TP和IP安全協議IPSec。
網絡安全防御技術——安全掃描
安全掃描包括漏洞掃描、端口掃描、密碼類掃描(發現弱口令密碼)等。安全掃描可以應用被稱為掃描器的軟件來完成,掃描器是最有效的網絡安全檢測工具之一,它可以自動檢測遠程或本地主機、網絡系統的安全弱點,以及所存在可能被利用的系統漏洞。
網絡安全防御技術——網絡蜜罐技術
蜜罐(Honeypot)技術是一種主動防御技術,是入侵檢測技術的一個重要發展方向,也是一個『誘捕』攻擊者的陷井。蜜罐系統是一個包含漏洞的誘騙系統,它通過模擬 一個或多個易受攻擊的主機和服務,給攻擊者提供一個容易攻擊的目標。攻擊者往往在蜜罐上浪費時間,延緩對真正目標的攻擊。由于蜜罐技術的特性和原理,使得它可以對入侵的取證提供重要的信息和有用的線索,便于研究入侵者的攻擊行。
操作系統安全
- 操作系統安全是指對操作系統無錯誤配置、無漏洞、無特洛伊木馬等,能防止非法用戶對計算機資源的非法存取 。
- 針對操作系統安全威脅按照行為方式劃分,通常有以下4種:
- 切斷 這是對可用性的威脅。系統的資源被破壞或變得不可用或不能用,如破壞硬盤、切斷通信線路或使文件管理失效。
- 截取,這是對機密性的威脅.未經授權的用戶、程序或計算機系統獲得了對某資源的訪問、切斷通信線路或使文件管理失效。
- 篡改,這是對完整性的攻擊。未經授權的用戶不僅獲得了對某資源的訪問,而且進行了篡改,如修改數據文件中的值,修改網絡中正在傳送的消息內容。
- 偽造,這是對合法性的威脅。未經授權的用戶將領先的對象插入系統,如非法用戶把偽造的消息加到網絡中或向當前文件加入記錄。
按照安全威脅的表現形式來分,操作系統面臨的安全威脅主要有以下幾種: - 計算機病毒
- 邏輯炸彈
- 特洛伊木馬
- 后門
- 隱蔽通道
針對以上威脅,采取 以下措施加強安全: - 身份認證機制;
- 訪問控制機制;
- 數據保密性;
- 數據完整性;
- 系統的可用性審計。
數據庫系統安全
數據庫安全涉及以下問題:
- 物理數據庫的完整性
- 邏輯數據庫的完整性
- 元素安全性
- 可審計性
- 訪問控制
- 身份認證
- 可用性
- 推理控制
- 多級保護
為解決以上安全目標,數據庫安全在技術上采取:** 數據庫訪問控制技術**、數據庫加密技術、多級安全數據庫技術、數據庫的推理控制問題和數據庫的備份與恢復等。
應用系統安全
Web威脅防護技術主要包括以下:
- Web訪問控制技術;
- 單點登錄SSO技術;
- 網頁防篡改技術(包括時間輪詢技術、核心內嵌技術、事件觸發技術、文件過濾驅動技術等)
- Web內容安全。
總結
以上是生活随笔為你收集整理的#边学边记 第三章 信息系统安全、服务管理与规划之信息系统安全技术的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 物流一站式查询之顺丰接口篇
- 下一篇: union翻译成中文_union什么意思