1. 信息安全属性
1. 基本含义———需掌握
- 1、保密性
- 指网络信息不被泄露给非授权的用户、实体或过程。即信息只为
授权用户使用
- 指网络信息不被泄露给非授权的用户、实体或过程。即信息只为
- 2、完整性
- 信息从一个节点发送到另一个节点,中间信息是
不能有变化的
- 信息从一个节点发送到另一个节点,中间信息是
- 3、可用性
- 指
合法用户可以以合法的方式,来用到相应资源
- 指
- 4、不可抵赖性
自己行为的不可抵赖及对行为发生的时间的不可抵赖.通过进行身份认证和数字签名可以避免对交易行为的抵赖,通过数字时间戳可以避免对行为发生的抵赖
2. 保障这些属性安全性时,采用的方法策略———需掌握
- 1、保密性方法策略
- 最小授权原则———给某个角色授权时,应该依据最小授权原则
- 防暴露———隐藏起来,提高安全性
- 信息加密———对信息进行加密,就算信息被截获,也无法了解信息的原始内容
- 物理保密———采用相应的物理设备,在发送前加好密,接收的时候自动解密
- 2、完整性方法策略
- 安全协议
- 校验码———通过校验码校验信息是否被篡改
- 密码校验
- 数字加密
- 公证
- 3、可用性方法策略
- 综合保障—IP过滤
- 业务流控制
- 路由选择控制
- 审计跟踪
- 4、不可抵赖性方法策略
- 数字签名
2. 对称加密和非对称加密———需要掌握对应算法有哪些
1. 对称加密技术———加解密使用同样的密钥
2. 非对称加密技术———加解密使用不同的密钥
3. 信息摘要
- 1、信息摘要的算法
- 采用单向散列函数(也称为单向Hash函数)———
正文通过摘要算法算出摘要的结果,反过来不能通过摘要的结果得到正文(因为摘要算法是破坏性算法)
- 采用单向散列函数(也称为单向Hash函数)———
4. 数字签名———没有保密性可言(所以没有保密的职能,只有识别身份的职能)
- 1、说明
- 通过
数字化的方式给发送者在信息上签署属于发送者的名字,从而接收者接收到信息之后就知道由谁发送的信息,同时发送者无法抵赖
- 通过
- 2、实现
- A使用A的私钥进行
数字签名 - B使用A的公钥进行
数字签名的验证过程
- A使用A的私钥进行
- 3、使用说明
- 首先对正文
产生摘要 - 对产生的
摘要进行数字签名———因为非对称体制中,不适合于对大信息量进行加解密的操作,所以对摘要签名 - 一般
数字签名和信息摘要结合使用
- 首先对正文
5. 数字信封与PGP
1. 数字信封(原文使用对称加密后传输,加密原文的对称密钥使用非对称加密后传输)
2. PGP———一种即可以用于电子邮件加密,也可以用于文件存储的加密的协议
- 1、解决问题———使用数字证书,将个人密钥和信息绑定起来,从而解决不能识别那个公钥是谁的,接收方无法识别是谁发送的信息的问题
- 2、
数字证书颁发机构(CA)———类似于公安局制作身份证 - 3、通过
验证颁发机构的签名,来了解该数字证书,是否为伪造的
6. 设计邮件加密系统(实例)———知识点综合考察(需掌握)
- 问题分析
- 0、主旨是
设计一个邮件加密系统 - 1、邮件以加密方式传输———需要
加密解密技术 - 2、最大内容附件内容可达500MB———需要对
大数据量进行加密操作(对称加密) - 3、发送者不可抵赖———需要
数字签名 - 4、第三方无法窜改———需要用到
信息摘要技术
- 0、主旨是
- 设计说明
- 1、
邮件正文使用对称加密技术产生随机密钥K(对称密钥),使用随机密钥K对邮件正文加密形成邮件密文,形成的邮件密文发送给接收方,接收方接收到发送方发送的邮件密文,此时需要使用随机密钥K打开———使用到了对称加密技术 - 2、
发送方使用接收方的公钥Eb对随机密钥K进行加密,发送给接收方,接收方使用接收方的私钥Db进行解密,得到随机密钥K,从而可以将第一步得到的邮件密文进行解密得到邮件正文———使用到了数字信封技术 - 3、
发送方使用信息摘要技术将邮件正文形成邮件摘要———使用到了信息摘要技术 - 4、使用
发送方的私钥Da对邮件摘要进行数字签名,形成摘要密文(即签名后的摘要),发送给接收方———使用到了数字签名技术 - 5、
接收方使用发送方的公钥Ea对第4步接收的摘要密文进行解密得到邮件摘要,再将第2步得到的邮件正文进行摘要,得到邮件摘要和解密得到邮件摘要进行比对,可以匹配起来,就说明整个过程中没有被篡改
- 1、
7. 各个网络层次的安全保障———考察形式(给出多个协议,判断是哪一层的协议)
- 1、物理层
- 基本手段———包括
隔离和屏蔽
- 基本手段———包括
- 2、数据链路层
- 实现手段———使用PPTP或L2TP隧道协议以及链路加密
- 隧道协议———开放的互联网之上开出两条安全的隧道,隧道中传输的数据比较安全(因为PPTP或L2TP会有加密机制)
- 实现手段———使用PPTP或L2TP隧道协议以及链路加密
- 3、网络层
- 实现手段———防火墙技术、IPSec
- 防火墙
- 类型———网络层级、应用层级等
- 分类———软件性质———直接装在本机、软硬件结合———硬件设备专为其防火墙软件策略支撑提供平台
- IPSec———针对IP包进行加密的一种协议
- 运作方式
- 1)对
普通未加密的包中的数据进行拆分加密,然后封包头发出 - 2)连着
包头信息一起加密后附加头发出
- 1)对
- 运作方式
- 防火墙
- 实现手段———防火墙技术、IPSec
- 4、传输层
- 实现手段
- TLS(标准传输层安全协议)
- SET(面向于电子商务的协议,集成了很多机制(通信过程中的安全保密、购物过程中的防抵赖措施等))
- SSL(跨越传输层、会话层、表示层、应用层)
- 实现手段
- 5、会话层
- 实现手段
- SSL(跨越传输层、会话层、表示层、应用层)
- 实现手段
- 6、表示层
- 实现手段
- SSL(跨越传输层、会话层、表示层、应用层)
- 实现手段
- 7、应用层
- 实现手段
- PGP———既可以用于邮件加密,也可以用于文件加密
- Https————HTTP+SSL
- SSL(跨越传输层、会话层、表示层、应用层)
- 实现手段
8. 网络威胁与攻击———需了解其中的基本描述
- 1、重访攻击———利用ARP协议漏洞进行,包含欺骗计算机的嫌疑(也叫ARP欺骗协议)
- 2、拒绝服务———破坏了系统的可用性(合法用户无法合法使用相应的资源)
- 3、窃听———和业务流分析区别对待,注意细节(
没有分析) - 4、业务流分析———和窃听区别对待,注意细节(
长期监听,并分析) - 5、信息泄露———把信息授权给
未授权实体 - 6、破坏信息的完整性———信息发生
过程中改变 - 7、非授权访问———
绕开了授权 - 8、假冒———
冒充合法用户 - 9、旁路控制———攻击者利用系统本身的漏洞获取相应权益
- 10、授权侵犯———也称内部攻击
- 11、特洛伊木马———间谍程序
- 12、陷阱门
- 13、抵赖
9. 防火墙技术———防火墙特点(防外不防内)
1. 网络级———工作层次比较低,效率高
- 1、工作机制
- 通过判断发送者是不是
指定来源(指定IP段)的,从而丢掉(检查的是头部信息)
- 通过判断发送者是不是
- 2、分类
- 包过滤———最基础的防火墙
- 状态检测———比如TCP/IP检测的时候,会有连接信息,就会进行状态信息的统计
2. 应用级———工作层次比较高,效率低
- 1、工作机制
- 需要拆出来信息,进行检查(开箱检查)
- 2、分类
- 双穴主机
- 屏蔽主机
- 屏蔽子网———
主要掌握- 说明———多道防火墙组成
- 基本思路———弥补防火墙已有的缺陷(防外不防内)
- 特点
- 在
外网和内网之间做了一个屏蔽子网区(隔离区、DMZ(非军事区)) 屏蔽子网区既不属于内部网络,也不属于外部网络屏蔽子网区一般放对外提供服务的服务器(web服务器、邮件服务器等),外部的入侵者进入内网需要攻破两道防火墙,内部访问这些服务器也需要访问一道防火墙
- 在
