#边学边记 第三章 信息系统安全、服务管理与规划之信息系统安全技术
本章從2022年9月14日上午10時開始,通過視頻學(xué)習(xí)第一遍,共分為六個章節(jié),分別是信息系統(tǒng)安全技術(shù)、信息化發(fā)展與應(yīng)用、信息系統(tǒng)服務(wù)管理、信息系統(tǒng)規(guī)劃、企業(yè)首席信息官及其職責(zé) 5個小節(jié)。
信息安全的有關(guān)概念
- 秘密性:信息不被未授權(quán)者知曉的屬性;
- 完整性:信息是正確的、真實(shí)的、未被篡改的、完整無缺的屬性;
- 可能用:信息可以隨時正常使用的屬性。
安全層次
- 設(shè)備安全
(1)設(shè)備的穩(wěn)定性:設(shè)備在一定時間內(nèi)不出故障的概率。
(2)設(shè)備的可靠性:設(shè)備能在一定時間內(nèi)正常執(zhí)行任務(wù)的概率。
(3)設(shè)備的可用性:設(shè)備隨時可以正常使用的概率。 - 數(shù)據(jù)安全
其安全屬性包括秘密性、完整性和可用性,如數(shù)據(jù)泄露、數(shù)據(jù)篡改等。 - 內(nèi)容安全
內(nèi)容安全是信息安全在政治、法律、道德層次上的要求。
(1)信息內(nèi)容在政治上是健康的。
(2)信息內(nèi)容符合國家的法律法規(guī)。
(3)信息內(nèi)容符合中華民族優(yōu)良的道德規(guī)范。 - **行為安全 **
數(shù)據(jù)安全的本質(zhì)是一種靜態(tài)的安全,而行為安全是一種動態(tài)安全。
(1)行為的秘密性:行為的過程和結(jié)果不能危害數(shù)據(jù)的秘密性。必要時,行為的過程和結(jié)果也是秘密的。
(2)行為的完整性:行為的過程和結(jié)果不能危害數(shù)據(jù)的完整性,行為的過程和結(jié)果是預(yù)期的。
(3)行為的可控性:當(dāng)行為的過程出現(xiàn)偏離預(yù)期時,能夠發(fā)現(xiàn)、控制或糾正。 **行為安全強(qiáng)調(diào)的是過程安全 **,體系在組成信息系統(tǒng)的硬件設(shè)備、軟件設(shè)備和應(yīng)用系統(tǒng)協(xié)調(diào)工作的程序(執(zhí)行序列)符合系統(tǒng)設(shè)計的預(yù)期,這樣才能保證信息系統(tǒng)的『安全可控』
信息安全等級保護(hù)
《信息安全等級保護(hù)管理辦法》分為五個等級:
- 第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
- 第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或?qū)ι鐣刃蚝凸怖嬖斐蓳p害,但不損害國家安全。
- 第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害或者對國家安全造成損害;
- 第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別大損害,或者對國家安全造成嚴(yán)重?fù)p害。
- 第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害
信息加密、解決與常用算法
信息加密概念
- 加密技術(shù)包括兩個元素:算法和密鑰;
- 密鑰加密技術(shù)的密碼體制分為:對稱密鑰體制和非對稱密鑰體制;
- 對稱加密以**數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)**算法為典型代表,非對稱加密常以RSA算法為代表;
| 對稱加密技術(shù) | 非對稱加密技術(shù) | |
|---|---|---|
| 定義 | 文件加密和解密使用相同的密鑰 | 一對密鑰由公鑰和私鑰組成(可以使用很多密鑰)。私鑰解密公鑰加密數(shù)據(jù),公鑰解密私鑰加密數(shù)據(jù)(私鑰公鑰可以互相加密解密)。私鑰只能由一方保管,不能外泄。公鑰可以交給任何請求方。 |
| 優(yōu)點(diǎn) | 使用起來簡單快捷,密鑰較短,且破譯困難 | 安全 |
| 缺點(diǎn) | 秘鑰被泄露后加密信息也就不安全 | 速度較慢 |
| 常用算法 | DES、AES | RSA |
Hash函數(shù)
Hash函數(shù)將任意長的報文M映射為定長的Hash碼h。Hash函數(shù)的目的就是要產(chǎn)生文件、報文或其他數(shù)據(jù)塊的『指紋』——Hash碼。
- Hash碼也稱報文摘要,它是所有報文位的函數(shù)。
- Hash碼具有錯誤檢測能力,即改變報文的任何一位或多位,都會導(dǎo)致Hash碼的改變;
- Hash函數(shù)可提供保密性、報文認(rèn)證以及數(shù)字簽名功能,是區(qū)塊鏈的核心技術(shù)之一。
數(shù)字簽名
- 簽名是證明當(dāng)事者的身份和數(shù)據(jù)真實(shí)性的一種信息。
- 數(shù)字簽名是指在以信息化環(huán)境下,以網(wǎng)絡(luò)為信息傳輸基礎(chǔ)的事物處理中及事物處理各方應(yīng)采用電子形式的簽名。利用RSA密碼可以同時實(shí)現(xiàn)數(shù)字簽名和數(shù)據(jù)加密。
- 完善的數(shù)字簽名體系應(yīng)滿足以下三個條件:
(1)名稱者事后不能抵賴自己的簽名;
(2)任何其他人不能偽造簽名;
(3)如果當(dāng)事的雙方關(guān)于簽名真?zhèn)伟l(fā)生爭執(zhí),能夠在公正的仲裁者面前通過驗證簽名來確認(rèn)其真?zhèn)巍?/li>
認(rèn)證
- 認(rèn)證又稱鑒別、確認(rèn),它是證實(shí)某事是否名副其實(shí)或是否有效的一個過程;
- 認(rèn)證和加密的區(qū)別在于:
- 加密用以確確保數(shù)據(jù)的保密性,阻止對手的被動攻擊,如截取、竊聽等;
- 認(rèn)證用以確保報文發(fā)送者和接收者的真實(shí)性以及報文完整性,阻止對手的 攻擊,如冒充、篡改、重播等。
認(rèn)證往往是許多應(yīng)用系統(tǒng)中安全保護(hù)的第一道設(shè)防,因而極為重要。
- 認(rèn)證和數(shù)字簽名技術(shù)的區(qū)別。
- 認(rèn)證基于保密數(shù)據(jù)來認(rèn)證被鑒別對象的真實(shí)性,而數(shù)字簽名中用于驗證簽名的數(shù)據(jù)是公開的。
- 認(rèn)證不許第三者驗證,而數(shù)字簽名允許收發(fā)雙方和第三者都能驗證。
- 數(shù)字簽名具有發(fā)送方不能抵賴、接收方不能偽造和在公證人前解決 ,而認(rèn)證則不一定具備。
信息系統(tǒng)安全
計算機(jī)設(shè)備安全
- 計算機(jī)設(shè)備安全包括計算機(jī)實(shí)體及其信息的完整性、機(jī)密性、抗否認(rèn)性、可用性、可審計性、可靠性等幾個關(guān)鍵因素;
(1)抗否認(rèn)性:是指能保障用戶無法在事后否認(rèn)曾經(jīng)對信息進(jìn)行的生成、簽發(fā)、接收等行為的特性。一般通過數(shù)字簽名來提供抗否認(rèn)服務(wù)。
(2)可審計性:利用審計方法,可以對計算機(jī)信息系統(tǒng)的工作過程進(jìn)行詳盡的審計跟蹤,同時保存審計記錄和審計日志,從中可以發(fā)現(xiàn)問題。
(3)可靠性:是指計算機(jī)在規(guī)定的條件下和給定的時間內(nèi)完成預(yù)定功能的概率。 - 計算機(jī)設(shè)備安全包括物理安全、設(shè)備安全、存儲介質(zhì)安全和可靠性技術(shù)
網(wǎng)絡(luò)安全
- 常見的網(wǎng)絡(luò)威脅包括:
- 網(wǎng)絡(luò)監(jiān)聽
- 口令攻擊
- 拒絕服務(wù)攻擊(DDOS)
- 漏洞攻擊,例如利用WEP安全漏洞和OpenSSL安全漏洞實(shí)施攻擊;
- 僵尸網(wǎng)絡(luò)
- 網(wǎng)絡(luò)釣魚
- 網(wǎng)絡(luò)欺騙,主要有ARP欺騙、DNS欺騙、IP欺騙、Web欺騙、Email欺騙等;
- 網(wǎng)站安全威脅,主要有SQL注入攻擊、跨站攻擊、旁注攻擊等。
網(wǎng)絡(luò)安全防御技術(shù)——防火墻
防火墻是阻擋對網(wǎng)絡(luò)的非法訪問和不安全數(shù)據(jù)的傳遞,使得本地系統(tǒng)和網(wǎng)絡(luò)免于受到這么多網(wǎng)絡(luò)安全威脅。
在網(wǎng)絡(luò)安全中,防火墻主要用于邏輯隔離外部網(wǎng)絡(luò)與受保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻主要是實(shí)現(xiàn)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)策略,而這種策略是預(yù)先定義好的,所以是一種靜態(tài)安全技術(shù)。在策略中涉及的網(wǎng)絡(luò)訪問行為可以實(shí)施有效管理,而策略之外的網(wǎng)絡(luò)訪問行為則無法控制.
網(wǎng)絡(luò)安全防御技術(shù)——入侵檢測與防護(hù)
入侵檢測與防護(hù)的技術(shù)主要有兩種:入侵檢測系統(tǒng)(IDS)和入侵防護(hù)系統(tǒng)(IPS)。
入侵檢測系統(tǒng)IDS
注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管,通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源,尋找違反安全策略的行為或攻擊跡象并發(fā)出報警。因此多數(shù)的IDS是被動的。
入侵防護(hù)系統(tǒng)IPS
傾向于提供主動防護(hù),注重對入侵行為的控制。設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成損失。
網(wǎng)絡(luò)安全防御技術(shù)——VPN
VPN(虛擬專用網(wǎng)絡(luò)),它是依靠ISP和其他NSP,在公用網(wǎng)絡(luò)中建立專用的、安全的數(shù)據(jù)通信通道的技術(shù)。VPN可以認(rèn)為是加密和認(rèn)證技術(shù)在網(wǎng)絡(luò)傳輸中的應(yīng)用。
VPN網(wǎng)絡(luò)連接由客戶機(jī)、傳輸介質(zhì)和服務(wù)器三部分組成,采用『隧道』技術(shù),包括:點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)、第二層隧道協(xié)議L2TP和IP安全協(xié)議IPSec。
網(wǎng)絡(luò)安全防御技術(shù)——安全掃描
安全掃描包括漏洞掃描、端口掃描、密碼類掃描(發(fā)現(xiàn)弱口令密碼)等。安全掃描可以應(yīng)用被稱為掃描器的軟件來完成,掃描器是最有效的網(wǎng)絡(luò)安全檢測工具之一,它可以自動檢測遠(yuǎn)程或本地主機(jī)、網(wǎng)絡(luò)系統(tǒng)的安全弱點(diǎn),以及所存在可能被利用的系統(tǒng)漏洞。
網(wǎng)絡(luò)安全防御技術(shù)——網(wǎng)絡(luò)蜜罐技術(shù)
蜜罐(Honeypot)技術(shù)是一種主動防御技術(shù),是入侵檢測技術(shù)的一個重要發(fā)展方向,也是一個『誘捕』攻擊者的陷井。蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng),它通過模擬 一個或多個易受攻擊的主機(jī)和服務(wù),給攻擊者提供一個容易攻擊的目標(biāo)。攻擊者往往在蜜罐上浪費(fèi)時間,延緩對真正目標(biāo)的攻擊。由于蜜罐技術(shù)的特性和原理,使得它可以對入侵的取證提供重要的信息和有用的線索,便于研究入侵者的攻擊行。
操作系統(tǒng)安全
- 操作系統(tǒng)安全是指對操作系統(tǒng)無錯誤配置、無漏洞、無特洛伊木馬等,能防止非法用戶對計算機(jī)資源的非法存取 。
- 針對操作系統(tǒng)安全威脅按照行為方式劃分,通常有以下4種:
- 切斷 這是對可用性的威脅。系統(tǒng)的資源被破壞或變得不可用或不能用,如破壞硬盤、切斷通信線路或使文件管理失效。
- 截取,這是對機(jī)密性的威脅.未經(jīng)授權(quán)的用戶、程序或計算機(jī)系統(tǒng)獲得了對某資源的訪問、切斷通信線路或使文件管理失效。
- 篡改,這是對完整性的攻擊。未經(jīng)授權(quán)的用戶不僅獲得了對某資源的訪問,而且進(jìn)行了篡改,如修改數(shù)據(jù)文件中的值,修改網(wǎng)絡(luò)中正在傳送的消息內(nèi)容。
- 偽造,這是對合法性的威脅。未經(jīng)授權(quán)的用戶將領(lǐng)先的對象插入系統(tǒng),如非法用戶把偽造的消息加到網(wǎng)絡(luò)中或向當(dāng)前文件加入記錄。
按照安全威脅的表現(xiàn)形式來分,操作系統(tǒng)面臨的安全威脅主要有以下幾種: - 計算機(jī)病毒
- 邏輯炸彈
- 特洛伊木馬
- 后門
- 隱蔽通道
針對以上威脅,采取 以下措施加強(qiáng)安全: - 身份認(rèn)證機(jī)制;
- 訪問控制機(jī)制;
- 數(shù)據(jù)保密性;
- 數(shù)據(jù)完整性;
- 系統(tǒng)的可用性審計。
數(shù)據(jù)庫系統(tǒng)安全
數(shù)據(jù)庫安全涉及以下問題:
- 物理數(shù)據(jù)庫的完整性
- 邏輯數(shù)據(jù)庫的完整性
- 元素安全性
- 可審計性
- 訪問控制
- 身份認(rèn)證
- 可用性
- 推理控制
- 多級保護(hù)
為解決以上安全目標(biāo),數(shù)據(jù)庫安全在技術(shù)上采取:** 數(shù)據(jù)庫訪問控制技術(shù)**、數(shù)據(jù)庫加密技術(shù)、多級安全數(shù)據(jù)庫技術(shù)、數(shù)據(jù)庫的推理控制問題和數(shù)據(jù)庫的備份與恢復(fù)等。
應(yīng)用系統(tǒng)安全
Web威脅防護(hù)技術(shù)主要包括以下:
- Web訪問控制技術(shù);
- 單點(diǎn)登錄SSO技術(shù);
- 網(wǎng)頁防篡改技術(shù)(包括時間輪詢技術(shù)、核心內(nèi)嵌技術(shù)、事件觸發(fā)技術(shù)、文件過濾驅(qū)動技術(shù)等)
- Web內(nèi)容安全。
總結(jié)
以上是生活随笔為你收集整理的#边学边记 第三章 信息系统安全、服务管理与规划之信息系统安全技术的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 物流一站式查询之顺丰接口篇
- 下一篇: union翻译成中文_union什么意思