信息安全技术复习资料1

信息安全定义：为防范计算机网络硬件、软件。数据偶然或蓄意破坏、篡改、窃听、假冒、泄漏、非法访问和保护网络系统持续有效工作的措施总和。目标：通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。侧重强调网络信息的保密性、完整性、有效性。模型：PPDR策略：（原则）均衡性原则、时效性原则、最小化原则；（内容）硬件物理安全、网络连接安全、操作系统安全、网络服务安全、数据安全、安全管理原则、网络用户安全责任。软件漏洞（脆弱性、隐错）：是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成安全隐患。有时效性特点网络协议漏洞：网络通信协议不完善而导致的安全隐患。安全管理漏洞：人为的，只要提高安全管理意识完全可以避免。（故障、性能、配置、记账、安全管理）信息安全威胁：对事件对信息资源的可靠性、保密性、完整性、有效性、可控性和拒绝否认性可能产生的危害。砸件故障：软件刼障：电源故磴；电琬干扰图1.5网络安全威胁分类及破坏目标

•表丄」信息安全评价标准发展历程信息安全标准名称颁布国家趣布年份美国可馆计算机系统评价标准TCSEC美国国防部19S5美国TCSEC修订版美国国防部1987鶴国计算机虫全评价标准德国悄息安全部19&8英国计算机克全评价折准英国贸易部和国茄部19S9僧息技术宾全评价标准ITSEC欧洲德、法*英、荷四国1991加拿大可僧计算机产品评价标准CTCPEC加拿犬政府1993僧息技术宾全评价联邦标准草案FC美国标准技术委员会和左全局1993僧息技术安全评价強女标准CX美、加、儒、袪、英、荷六国1996国羸军用标准军用计算机安全评估准则中国国防科学技术委员会1996国际标准佔O/IEC1弓4Q寻CCC)国际标准代组织1999计算机信息系统安全孫护等级划分准则中国国竄质呈技术监督局1999値息技术•安全技术•馆息技术安全评估准则中国国赢质屋技术监督局2001TCSEC:安全功能保障安全功能区域保护阴级结构保护曲级标记保护旳级控制保护也级自主保护C1安全功能保障安全功能区域保护阴级结构保护曲级标记保护旳级控制保护也级自主保护C1级验证保护A级图1.6 TCSEC标准各安全等级关系国际通用信息安全评价标准：《信息技术安全评价公共标准》（CC）能够对信息技术领域中的各种安全措施进行安全评价，但信息系统和产品的物理安全、行政管理、密码强度等间接安全措施不在评价范围之内，重点考虑人为因素导致的安全威胁。采用类（class）.族（family）组件（component）层次化方式定义TOE（评价目标）的安全功能。定义了7个评价保证等级。国家信息安全评价标准：中国国家质量技术监督局1999年颁布的《计算机信息系统安全保护等级划分准则》国家标准GB17859-1999,划分为用户自主保护、系统审计保护、安全标记保护、结构化保护和访问验证保护，对应TCSEC的C1〜B3。《信息技术-安全技术-信息技术安全性评估准则》GB/T18336-2001等同于iso/iec15408信息系统安全等级保护法规和标准：信息安全等级保护工作是我国为保障国家安全、社会秩序、公民利益以及公民、法人和其他组织合法权益强制实施的一项基本制度，根据信息和信息系统的重要程度以及遭受到破坏后对国家安全、社会秩序、公共利益以及合法权益的危害程度分5个等级。密码系统与加密标准1） 密码系统的基本概念密码系统是某种加密算法（密码）在密钥控制下实现的从明文到密文的映射目的是接受数据作为输入，产生密文件作为输出，以便隐藏数据的原始意义，使信息在传输过程中即便被窃取或被截获，窃取者也不能了解信息的内容从而保证信息传输的安全。密码系统由明文、密文、密码和密钥4个部分组成，应该具备机密性、完整性、认证性3个基本特征。2） 信息加密方式加密系统对信息加密方式按密钥方式划分分为对称加密和非对称加密，非对称加密也称公钥加密，加密和解密使用不同密钥，分别称为“公钥”和“私钥”，且必须配对使用，具有良好的保密性和完整性。保密程度划分：理论上保密的加密和实际上保密的加密按文明形态划分：模拟信息加密和数字信息加密数字签名是公钥加密的一种应用，在加密系统管理中实现身份认证。网络信息加密可分为链路加密和端点加密，链路加密有效，但安全漏洞和资源开销大影响了它的发展。目前，应用较为广泛的是端点加密。信息加密标准对与加密标准而言，无论对存储数据的加密还是对传输数据的加密，采用先进的加密标准和对称加密与非对称加密结合的方法可以提高安全性。PGB是常用的邮件或文档加密软件，PGB通过公钥加密和对称加密算法相结合，实现数字签名和密钥交换。PGB源代码是开放的。身份标识与鉴别：身份认证是指用户必须提供他是谁的证明，认证的目的就是要确认用户身份。身份标识则是指能够证明用户身份的用户独有生物特征或行为特征，或他所能提供的用于识别自己身份的信息，此特征要求具有唯一性。身份鉴别是对网络中的主体进行验证的过程。证实用户身份与其声称的身份是否相符身份认证的过程：身份认证的过程分为单向认证和双向认证，认证过程涉及认证的用户客户端和完成身份鉴别的服务器以及输入组件和传输组件。认证过程中需要第三方机构如KDC实现加密过程的密钥管理和分配身份认证的方法:根据身份认证的身份标识的不同形式和鉴别技术，身份认证的方法大体可分为基于信息秘密的身份认证、基于信任物体的身份认证和基于生物特征的身份认证。基于生物特征的身份认证都有一个特征识别和鉴别的过程，包括基于语音识别的生物行为特征的认证方法。身份认证的安全性：身份认证过程面临欺骗标识、篡改数据、拒绝承认、信息泄露、重放攻击的安全威胁，可以通过通过采用安全的身份认证方式和加强身份信息管理来有效的防止这些安全威胁，这些方式包括基于PKI的身份信息传输和加密存储、挑战/响应认证方式和时间戳方式、配套的数字签名认证方式和身份信息加强管理。口令认证的安全性：口令在网络中传输时是很容易被窃取或攻击的，这是口令认证的明显缺点。比较常见的攻击和窃取方式主要有：网络数据窃听、认证信息截取/重放、字典攻击。穷举攻击、窥探口令、骗取口令和垃圾搜索。因此，在设计、部署和使用用于身份认证的口令时要考虑设置的安全性，口令的传输和存储要加密。访问控制的概念：访问控制是通过某种途径准许或限制访问能力及范围的一种手段,是针对越权使用资源的防御措施，通常用于系统控制用户对服务器、目录、文件等网络资源的访问