信息安全概论课程学习总结

信息安全概论课程学习总结————————————————————————————————作者：————————————————————————————————日期: 信息安全概论课程学习总结本学期经过一学期的对于信息安全概论课程的学习，对于信息安全所涉及的领域、信息安全科目所包含的知识以及信息安全专业学习所需要的相关知识储备和相关发展方向有了简单程度上的相应了解。于此，对于本学期所学信息安全概论的课程进行梳理与详述。本学期信息安全概论课程内容大致可分为这几部分：信息安全概述、数字水印、僵尸网络、电子商务中的安全技术、操作系统基础知识、网络安全导论、密码学概论以及身份认证技术概述。信息安全概述信息安全之目的在于将信息系统之脆弱性降到最低，即将信息系统的任何弱点减小至最少。信息安全的属性为：机密性、完整性、可用性、不可否认性以及可控性。1.机密性，是指保护数据不受非法截获和未经授权浏览。此之于敏感数据之传输甚为紧要，对于通信网络中处理用户的私人信息是十分必须且关键的。2．完整性，是指保障数据在被传输、接受或者存储时的完整以及未发生篡改。此之于保证重要数据之精确性是必不可少的。3.可用性，是指当发生突发事件时，用户依然可以得到并使用数据且服务处于正常运转状态,例如发生供电中断以及相应地自然灾害与事故使。4.不可否认性，是指行为人不能否认其信息之行为。此之于可用于防止参与某次通信交换的一方在事后否认本次交换曾经发生过的情况。5.可控性，是指对于信息即信息系统实施安全监控。此之于可用于确保管理机制对信息之传播及内容具有控制能力。信息安全的研究内容包括:安全检测与风险评估、网络信任体系、可信计算、访问控制、身份认证、密码技术、内容安全、安全协议、恶意行为及恶意代码检测、信息隐藏、网络监控、入侵检测、防火墙、无线通信安全、嵌入式安全、云安全以及量子密码等。与信息安全相关的法规在世界各国也都有了长足的发展。美国于１998年5月２2日总统令《保护美国关键基础设施》,就围绕“信息保障”成立了多个组织,包括:全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构。19９8年美国国家安全局制定了《信息保障技术框架》,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的“深度防御策略”。而后，于200０年1月,发布《保卫美国计算机空间—保护信息系统的国家计划》。分析了美国关键基础设施所面临的威胁，制定出联邦政府关键基础设施保护计划，以及关键基础设施保障框架。与此同时,俄罗斯于1995年颁布《联邦信息、信息化和信息保护法》,明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。又于1９97年出台《俄罗斯国家安全构想》。明确提出“保障国家安全应把保障经济安全放在第一位”,而“信息安全又是经济安全的重中之重。而后的２0０0年普京总统批准了《国家信息安全学说》，明确了联邦信息安全建设的任务、原则和主要内容。第一次明确了俄罗斯在信息领域的利益是什么，受到的威胁是什么,以及为确保信息安全首先要采取的措施等。日本也紧跟步伐，出台《２1世纪信息通信构想》和《信息通信产业技术战略》,强调“信息安全保障是日本综合安全保障体系的核心”。加紧建立与信安全相关的政策和法律法规,发布了《信息通信网络安全可靠性基准》和《ＩT安全政策指南》。成立了信息安全措施促进办公室，综合安全保障阁僚会议、ＩT安全专家委员会和内阁办公室下的IT安全分局。在我国现已颁布《中华人民共和国计算机安全保护条例》、《中华人民共和国商用密码管理条例》、《计算机信息网络国际联网管理暂行办法》、《计算机信息网络安全保护管理办法》、《计算机信息系统安全等级划分标准》以及在《刑法》的修订过程中增加了有关于计算机犯罪的条款。我国的信息安全法律法规发展现在已经颇具规模。数字水印数字水印，是指将一些标识信息直接嵌入数字载体当中或是间接表示且不影响原载体的使用价值,也不容易被探知和再次修改，仍能被生产方识别和辨认的技术。数字水印技术是对抗盗版等不法行为的一种行之有效的防伪方式。三、僵尸网络僵尸网络，是指通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。被植入恶意程序的计算机就如同僵尸一般受控于攻击者，进而从事攻击破坏活动。构成僵尸网络的组成为：僵尸主控机、“僵尸”：被入侵的计算机、指挥和控制协定。现如今僵尸网络已成为会联网的主要威胁，因为大量的计算机被控制，展开猛烈的攻击、破坏、收集敏感数据和增加更多的被控制的计算机,网络允许受控计算机的运行。其攻击的方式为:DDｏS攻击、垃圾邮件、Cliｃｋｆruad、恶意传播、非法入侵、Manipulatingonｌiｎepolls。僵尸网络的主要目的还是金钱的驱使。电子商务中的安全技术1．应用背景2．加密技术３．在线支付协议操作系统基础知识第一部分，OS有关概念。1．计算机硬件组成。2.OS的目标及功能。３.操作系统的发展。按计算机换代李成划分:第一代(1945至1９55)——电子真空管和插件板,机器语言、没有OS、体积大速度慢。第二代(1955至196５）——晶体管和批处理，有Fｏｒｔrａn和汇编、按批处理作业，有了监控程序。第三代(1９65至19８0）——集成电路和多道程序，多道程序、联机即时外设操作,操作系统走向成熟。第四代（１９80至19９０）——个人机时代,大规模集成电路,有了成熟的操作系统产品MS-ｄos、Winｄows、ＵNIX。后第四代(90年以后）——网络OS、分布式OＳ。第二部分,OＳ研究的主要成就。创建了并行调度概念。形成了储存器管理理论。建立信息保护和信息安全机制。实现资源调度和资源管理。提出了ＯS构建理论。第三部分,典型OS分类介绍。批处理操作系统。分时操作系统。实时操作系统。多处理操作系统。网络操作系统。布式操作系统。个人计算机操作系统。第四部分,OS核心技术简述。并发性问题。存储管理技术。文件管理技术。I/O管理技术。系统安全与防范技术。第五部分,OS技术面临的挑战。网络安全导论网络安全，是指网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行，网络服务不中断的措施。1.攻击、服务和机制。2.网络安全模型。3.加密。4.身份验证和数字签名。5．IPＳｅc、S/MIME和SＳＬ。防火墙、IDＳ和蜜罐技术。七、密码学概论密码技术的发展历史:第一阶段（1949年前），古典密码学发展阶段。此阶段的发展情况为,采用隐写术,暗语、隐语、藏头诗等,而采用的变换方式为手工或者机械变换的方式来实现。具有代表性的密码有：单表代换密码：Capesａr密码、仿射密码;多表代换密码:Vｉgenere密码、Hill密码等；转轮密码:Eｎigma、Ｒed密码等。第二阶段（194９年至1976年),近代密码学阶段。1949年,Ｓhaｎnｏn发表了《保密系统的通信理论》,用信息论的观点分析了密码学的基本原理，奠定了密码学的理论基础。而后,196７年DavidKahｎ出版了《破译者》一书，促进了密码学的理论发展。第三阶段（19７6年至今）,现代密码学阶段。1976年,Diffie、Heｌlmaｎ发表《密码学新方向》,开辟了公钥密码学的新领域。同年,美国建立DＥS为联邦标准。现代密码学的主要发展方向为:混沌密码学、量子密码学、椭圆曲线密码学。八、身份认证技术概述1.身份认证，是指计算机及网络系统确认操作者身份的过程,其目的是使通信双方建立信任关系。在信息安全理论体系中,加密和认证是两个最重要的分支。2.身份认证的发展历史：第一阶段,最早的身份认证技术往往是以对罪犯的身份认证联系在一起的，由于古代技术的落后，身份认证主要借助于一些附加于人体的特征来进行身份认证。第二阶段,根据人体骨骼长度进行身份识别。第三阶段,指纹身份识别。随着计算机技术的发展,目前指纹技术已经成为一种成熟易用的技术,其应用领域已相当广泛。3.古代身份认证的方法:根据你所知道的信息来证明身份;根据你所拥有的东西来证明身份;根据你独一无二的身体特征来证明身份。然而这三种方法都存在一定缺陷，也许你知道的信息别人也知道，也学你所拥有的东西别人也拥有或者你的东西已丢失,对于特定身体特征的证明也存在一定的不便。４．数字身份认证技术：用户名/密码认证方式;数字证书;智能卡；生物特征认证;零知识身份认证。以上对本学期所学相关知识根据感兴趣情况进行了各有详略的概述,现在对本人较为感兴趣的单个方面进行较为具体的论述。由于本人经常网购,所以对于电子商务方面的安全问题较为感兴趣,对于课程所涉及的相关问题及知识进行一下较为详尽的论述。电子商务是指凭借电子手段而进行的商业活动。当前电子商务面临的主要问题为:付款、认证问题;商品投送保证问题；标准问题；税收问题；安全与法律问题。电子商务安全机制具有保密性、完整性、可靠性和不可否认性。保密性是指必须实现该信息对除特定收信人以外的任何人都是不可读取的。这样一来加密就显得尤为重要,加密是指通过密码算术对数据进行转化,使之成为没有正确密钥任何人都无法读懂的报文，而这些以无法读懂的形式出现的数据一般被称为密文。按照国际上通行的惯例,将这些方法按照双方收发的密钥是否相同的标准划分为两大类:第一，常规算法。加密密钥和解密密钥是相同或等价的。第二,公钥加密算法。可以适应网络的开放性要求，且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证,但算法复杂,加密数据的速率较低。现在进行进一步的论述。对称加密算法有很强的保密强度,且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。著名的对称加密算法有:美国的DES及其各种变形、欧洲的IDEA、日本的FEALＮ、LOＫI91、Skipjａck、RＣ４、RC5以及以代换密码和转轮密码为代表的古典密码等,其中影响最大的ＤES与AES。公钥密码可以适应网络的开放性要求，且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证，但算法复杂,加密数据的速率较低。ＤES是IBM公司１97７年为美国政府研制的一种算法,以56位密钥为基础的密码块加密。它的加密过程为:一次性把64位明文块打乱置换;把64位明文块拆成两个３2位块;用加密ＤＥS密钥把每个32位块打乱位置16次;使用初始置换的逆置换。但是DEＳ的安全性受到了很大的挑战，19９9年1月，EＦF和分散网络用不到一天的时间，破译了56位的DＥS加密信息,ＤES的统治地位受到了严重的影响。目前椭圆曲线加密技术（EEC）正在兴起,该技术具有安全性能高、计算量小处理速度快、储存空间占用小以及带宽要求低的特点，正在逐步受到人们的青睐。ECC的这些特点使它必将取代ＲＳＡ,成为通用的公钥加密算法。所有这些算法的安全性都基于密钥的安全性；而不是基于算法的细节的安全性。在在线电子商务中协议十分重要，在线支付协议有SＳL协议、ＳET协议。SSＬ是Ｎｅtscapｅ公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。SSL目前已成为Internet上保密通信的工业标准。现行Wｅｂ浏览器普遍将HTTP和SSＬ相结合,来实现安全通信。SＳL采用公开密钥技术,其目标是保证两个应用间通信的保密性和可靠性，可在服务器和客户机两端同时实现支持。它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证,还可选择对客户进行认证。SSL是对计算机之间整个会话进行加密的协议,采用了公开密钥和私有密钥两种加密方法。SSL在两个结点间建立安全的ＴCP连接,基于进程对进程的安全服务和加密传输信道,通过数字签名和数字证书可实现浏览器和Ｗeb服务器双方的身份验证，安全强度高。其主要工作流程为:网络连接建立;与该连接相关的加密方式和压缩方式选择；双方的身份识别;本次传输密钥的确定;加密的数据传输；网络连接的关闭。应用数据的传输过程:应用程序把应用数据提交给本地的ＳSL;发送端根据需要,使用指定的压缩算法,压缩应用数据;发送端使用散列算法对压缩后的数据进行散列,得到数据的散列值；发送端把散列值和压缩后的应用数据一起用加密算法加密；密文通过网络传给对方；接收方用相同的加密算法对密文解密，得到明文；接收方用相同的散列算法对明文中的应用数据散列；计算得到的散列值与明文中的散列值比较。SSL是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。ＳSL在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。SET是由ＶISA和MASTCARD于199７年5月联合开发的，为了在Intｅrnｅt上进行在线交易时保证用卡支付的安全而设立的一个开放的规范。由于得到了IBM、HＰ、Mｉｃrosoｆt、ＮeｔScaｐe、VerｉFｏnｅ、GTE、VeｒiＳｉgｎ等很多大公司的支持,它已形成了事实上的工业标准,目前它已获得IETＦ标准的认可。ＳET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书