1、信息安全的基本概念
信息安全
保护可用信息或信息来源不会受到未授权访问,攻击,盗取或数据损坏。
a、负责的个人和机构必须保护他们的机密信息。
b、所有形式的数据都必须加以保护。
c、将商业风险和丢失关键数据造成的其他影响降到最低。
信息安全目标
预防、检测、恢复(tip:PDRR{防护、检测、响应、恢复}+安全管理)
防止信息被非授权泄露、更改、破坏或被非法的系统辨识与控制,确保信息的保密性、完整性、可用性、可控性和不可否认性。
风险
面临损坏或丢失的可能性的概念,并说明了发生灾难或重大威胁的概率。
漏洞
信息系统或应用设计时存在的缺陷,信息系统或应用的脆弱性。
威胁
可能对资产造成损害的任何事件或行动。
eg:截取,中断,篡改,伪造,重放,否认。
攻击
在未经授权的情况下,利用应用程序或物理计算机系统中漏洞的技术。
2、基本的安全控制
控制
为避免,缓解或抵消由威胁或攻击引起的安全风险而必须部署的应对策略。
CIA(Confidentiality,Integrity,Availability)
安全管理和控制的三个原则:机密性、完整性、可用性。
机密性:信息不泄露给非授权用户;
完整性:信息在传输,交换,存储和处理过程中不被破坏或修改、不丢失;
可用性:信息资源可被授权实体正常获取;
可控性:指网络系统和信息在传输范围和存放空间内的可控程度;
不可否认性:通信双方不可否认或抵赖自身的真实身份。
3、基本的认证和授权概念
授权
确定特定实体拥有哪些权限。
身份识别-》认证-》授权
最小权限原则
规定用户和软件只能被赋予执行任务所必须的最低访问级别的原则。
特权管理
使用认证和授权机制提供用户和组访问控制的集中式或分散式管理。
SSO:单点登录,特权管理的一个方面,为用户提供多种资源,服务器或站点的一次性登录。
密码
匹配-》认证通过。
不匹配-》认证拒绝。
口令
存储了认证信息的物理或虚拟对象,例如智能卡,ID徽章和数据包。
PIN+用户信息+密码=》口令(唯一)
生物识别
根据个人的物理特征来确定个人身份的认证机制。
指纹、视网膜、面部、声音等等。
地理定位
IP、WI-FI位置、GPS
击键认证
在计算机或其他电子设备中键入信息时,根据按键被解压和释放时精确的信息进行验证。
4、基本的加密概念
密码学
密码编码学和密码分析学的统称。
密码编码学:变换消息使信息保密;
密码分析学:破译密文。
a、只有拥有解密信息的授权方才能读取被加密文件;
b、单向加密表示不能进行解密;
c、双向加密表示可以进行解密。