[系统架构设计师]信息安全技术基础知识(三)
[系统架构设计师]信息安全技术基础知识(三)
一.信息安全基础知识
1.信息安全
基本要素: 机密性,完整性,可用性,可控性,可审查性
范围:设备安全,数据安全,内容安全,行为安全
数据安全: 秘密性,完整性,可用性
2.网络安全
安全措施目标:访问控制,认证,完整性,审计和保密
二.信息安全系统的组成框架
1.技术体系
基础安全设备,计算机网络安全,操作系统安全,数据库安全,终端设备安全
2.组织机构体系
决策层,管理层,执行层
3.管理体系
法律管理,制度管理,培训管理
三.信息加解密技术
1.数据加密:机密性
2.对称加密算法
DES: 56位密钥64位密文
三重DES:密钥长度112位,两把56位密钥对明文做三次DES
IDEA:密钥长度128位
AES:128位,192位,256位密钥长度
SM4:128位密钥长度
3.非对称密钥加密算法
RSA
SM2
四.密钥管理技术
1.密钥使用控制
控制密钥安全性:密钥标签,控制矢量
密钥分配:物理方式,加密方式,第三发加密方式(KDC)
2.公钥加密体制的密钥管理
方式:直接公开发布(如PGP),公用目录表,公钥管理机构,公钥证书。证书管理机构为CA
五.访问控制及数字签名技术
1.要素:
主体,客体,控制策略
2.访问控制
认证,控制策略实现,审计
3.数字签名
公钥加密技术与数字摘要技术。条件:可信,不可伪造,不可重用,不可改变,不可抵赖
六.信息安全的抗攻击技术
1.密钥选择
概念:数据加密密钥(DK),密钥加密密钥(KK)
密钥生成:增大密钥空间,选择强钥,密钥的随机性
2.拒绝服务攻击
侵犯系统的可用性要素
DoS防御:特征识别,防火墙,通信数据量的统计,修正问题和漏洞
3.欺骗攻击与防御
ARP欺骗防范方法:固化ARP表,使用ARP服务器,双向绑定,安装防护软件
DNS欺骗检测:被动监听检测,虚假报文检测,交叉检查查询
IP欺骗
4.端口扫描
全TCP连接,半打开式扫描(SYN),FIN扫描,第三方扫描
5.针对TCP/IP堆栈的攻击方式
同步包风暴(SYN Flooding),ICMP攻击,SNMP攻击
6.系统漏洞扫描
基于网络的漏洞扫描
基于主机的漏洞扫描优点:扫描的漏洞数量多,集中化管理,网络流量负载小
七.信息安全的保障体系与评估方法
1.安全协议
SSL协议:保密性通信,点对点身份认证,可靠性通信
互联网安全协议IPSec
SET协议
HTTPS协议
2.风险评估
风险评估基本要素:脆弱性,资产,威胁,风险,安全措施