文章目录
第一节:信息系统安全属性
安全属性:
- 保密性:最小授权原则(给某个角色授权是应遵循最小授权原则,即为了保证它能顺利工作,至少需要哪些权限就授予哪些权限,不要给过多的授权)、防暴露(隐藏数据或文件等)、信息加密、物理保密
- 完整性:安全协议、校验码、密码校验、数字签名、公证
- 可用性:综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪)
- 不可抵赖性:数字签名
第二节:对称加密和非对称加密技术
对称加密技术:
在加密和解密时,使用的密钥完全一样。
优点:
- 加密速度快
- 加密效率高
缺陷:
- 加密强度不高
- 密钥分发困难
常见加密算法:
- DES:有密码表,用替换加移位的方式,将明文和译文对应起来。
- 3DES(三重DES):DES的复杂化,将度更高。
- AES
- RC-5
- IDEA算法
非对称加密技术:
加密和解密所用的密钥不同。如果是公钥加密,则用私钥解;如果是私钥加密。则用公钥解。
缺陷:
- 加密速度慢
- 不适合加密大信息量数据,常用加密密钥
常见加密算法:
- RSC:1024位密钥,计算量极大、难破解
- Elgamal
- ECC
- 背包算法、Rabin、D-H
第三节:信息摘要
概述:
信息摘要是一段信息的特征值,是单向散列函数(单向hash函数,即信息摘要不能还原为明文)、固定长度的散列值。原始信息发生变化,特征值也会发生变化。
作用:
将明文和信息摘要一起传送,使得信息摘要和明文可以做对比,防止信息被篡改。
常用的信息摘要的算法:
MD5、SHA。市面上广泛使用MD5,SHA算法的散列值分别为128和160位,由于SHA通常采用的密钥长度较长,因此安全性高于MD5。
第四节:数字签名
数字签名技术是一种防抵赖的技术。用数字化的方式来给发送者在信息上填上发送者的名字,接收者可以知道是由谁发送的,并且发送者无法抵赖。
图中为了便于理解,将数字签名过程类比为私钥加密过程,将数字签名的验证过程类比为公钥解密过程。
需要注意的是,数字签名并没有加密的作用,只起到身份识别的作用。
我们常常将信息摘要和数字签名技术结合起来,达到身份识别的功能。
第五节:数字信封与PGP
数字信封:
发送方将原文用对称密钥加密传输(对称密钥适合加密大的信息量),而将对称密钥用接收方公钥加密发送给对方(非对称密钥适合加密小的信息量)。
接收方收到电子信封,用自己的私钥解密信封,取出对称密钥,解密得到原文。
PGP:
- PGP可用于电子邮件,也可用于文件存储。采用了杂合算法,包括IDEA、RSA、MD5、ZIP数据压缩算法。
- PGP承认两种不同的证书格式:PGP证书和X.509证书。
- PGP证书包含PGP版本号、证书持有者的公钥、证书持有者信息、证书拥有者的数字签名、证书的有效期、密钥首选的对称加密算法。
- X.509证书包含证书版本、证书序列号、签名算法标识、证书有效期、证书发行商名字、证书主体名、主体公钥信息、发布者的数字签名。
第六节:网络安全
1. 各个网络层次的安全保障
除去物理层之外的其他层通过实行协议保障安全。
IPSec:是对IP包进行加密的协议
SSH:是建立在应用层基础上的安全协议,SSH是目前较为可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题
SSL:SSL是为网络通信提供安全及数据完整性的一种安全协议,在传输层对网络连接进行加密,目前被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
2. 网络威胁与攻击
3. 防火墙技术
网络级的防火墙层次较低,但效率比较高,主要做法是拒绝接受指定IP段的信息,不管其内容;
应用级防火墙则是层次较高,效率较低,主要做法是:不论信息的来源而直接将信息开箱进行检查,若有问题则拒绝接收;
屏蔽子网防火墙则是在外网和内网间设立了屏蔽子网区(隔离区),这个隔离区既不属于内部网络,也不属于外部网络,其目的是为了防止防火墙内部的攻击、外部攻击在攻破外部防火墙时还需要经过隔离区(提高安全性)。
参考视频:https://www.bilibili.com/video/BV1yU4y1371J?p=70