一、信息安全技术概论

1.网络安全的重要作用

在互联网普及的初期,人们更关注单纯的连接性,以不受任何限制地建立互联网为最终目的。正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的侵害、信息泄露、网络欺诈等利用互联网的犯罪行为日益增多。

2.信息安全的内涵

网络出现前:主要面向数据的安全,对信息的机密性、完整性和可用性的保护,即CIA三元组;网络出现后,还涵盖了面向用户的安全,即鉴别,授权,访问控制,抗否认性和可服务性,以及对于内容的个人隐私、知识产权等的保护。

基本特征

  • 保密性:信息不泄露给非授权的个人、实体和过程
  • 完整性:信息未经授权不能被破坏,插入,乱序或丢失
  • 可用性:合法用户在需要时可以访问到信息及相关资产
  • 可控性:授权机构对信息的内容及传播具有控制能力
  • 可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为

3.网络参考模型和安全体系结构

安全体系结构

(1)安全服务
认证、访问控制、数据保密性、数据完整性
(2)安全机制
加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制、公证机制
(3)安全管理
系统安全管理、安全机制管理、安全服务管理

4.信息安全保障体系的建设

(1)信息保障的三要素:人、技术、操作,信息保障源于人员执行技术支持的操作,因此,要满足信息保障的目的,就要达到人、技术和操作三者之间的平衡。
(2)信息保障技术框架
一个中心、三重防御:安全管理中心,安全计算环境,安全区域边界,安全通信网络。
(3)P2DR安全模型
策略、防护、检测、防御。
(4)纵深防御的基本思路
多处设防、多层保卫。

二、密码技术

1、密码技术概述

(1)密码学包括密码编码学和密码分析学
(2)密码体制的组成

  • 全体明文集合M
  • 全体密文集合C
  • 全体密钥集合K
  • 加密算法E
  • 解密算法D

以上描述的五元组称为一个密码体制,香农1949年奠定了密码学的理论基础。

(3)密码技术的作用
基本作用
保密性:使非法用户无法知道信息的真实内容

其他作用
鉴别:信息接受者能够确认信息的真实来源
完整性:信息的接受者能够验证信息在传输过程中没有发生改变
不可否认:信息的发送方不能否认已经发送过的信息

(4)计算复杂性理论
密码技术的安全性
可证明安全性:理论证明破解某个密码系统的代价不低于求解某个已知的数学难题。

计算安全性:用已知的最好算法和利用现有的最大计算资源,仍然不能在合理的时间内完成破译该系统所需要的计算。
可证明安全性和计算安全性统称为实际安全性。

2、对称密码技术

优点:实现速度快,密文紧凑,算法公开,应用广泛,固化成本低。

缺点:密钥的分发与管理非常复杂,代价高,不能实现数字签名。
典型技术:DES AES IDEA

3、非对称密码技术

优点:

  • 密钥分发简单
  • 需要密钥保存的密钥量少
  • 互不相识的人之间也能进行保密对话
  • 可以进行数字签名

缺点:

  • 执行效率低,比同等强度的对称密码技术要慢10倍到100倍
  • 密文不紧凑,密文长度大于最初的明文长度

主要技术:RSA,离散对数和ECC

4、密钥分配和管理技术

密钥分配:

对称密钥分配:

(1)集中式密钥分配方案
由密钥分配中心KDC或者一组节点组成的层次结构负责密钥的分配给通信双方
优点:用户不需要保存大量的会话密钥,只需要保存同KDC通信的加密密钥
缺点:通信量大,要求具有较好的鉴别功能以鉴别KDC和通信方式。

(2)分布式密钥分配
各个通信方具有相同的地位,它们之间的密钥分配取决于它们之间的写上
缺点:需要n(n-1)/2个主密钥。
不适合规模较大的网络应用。

非对称密钥分配

(1)公钥的分配。
【1】公开发布,缺点:伪造公钥,冒充他人。
【2】公用目录,由一个可信任的系统或组织简历和管理维护公用目录,缺点:公用目录自身的安全性(一旦得到其私钥,就可以伪造公钥进行欺骗)。
【3】公钥机构,由公钥管理结构来为各个用户简历、维护和控制动态的公用目录。
【4】公钥证书,由授权中心CA颁发的,其中的数据项包括与该用户的私钥相匹配的公钥及用户的身份和时间戳等,所有数据经过CA用自己的私钥签字后形成证书。
基于公钥证书的密钥分配方式。

密钥管理技术:

(1)密钥生成(随机数发生器)
(2)密钥使用(严防密钥泄漏,及时更换密钥)
(3)密钥存储(【1】无介质,【2】记录介质,【3】物理介质)
(4)密钥的备份和恢复
(5)密钥的销毁

公钥基础设施PKI技术

PKI是一个利用公钥密码理论和技术,在开放的Internet网络环境中建立起来的提供数据加密以及数字签名信息安全服务的基础设施。
PKI的组成:软件系统+硬件系统+安全策略
PKI系统包括:
【1】权威认证机构CA
【2】数字证书库
【3】密钥备份及恢复系统
【4】证书作废系统
【5】应用接口API

授权管理基础设施PMI技术

PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。
功能:向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,使用属性证书,表示和容纳权限信息。
AC:属性证书 AA 属性权威。

5、数字签名技术

(1)最简单的数字签名,直接用私钥加密。
(2)保密性的数据签名,采用双重公私钥加密机制。
(3)基于数字指纹的解决方案,对指纹进行加密。

数字签名算法:RSA DSA。

6、信息隐藏技术

利用人类感觉器官对数字信号的感觉冗余,将一个消息隐藏在另一个消息之中,实现隐藏通信和隐蔽标志。
信息隐藏的分类:

【1】隐藏信道,那些既不打算用来传输信息也不是专门设计的通信信道被成为隐藏信道,比如BMP描述像素的第四个字节
【2】隐写术:一种将要加密的信息隐藏在大量其他信息之中的技术
【3】匿名通信:指通信时隐蔽通信信息的主体(信息的信源和信宿)
【4】版权标志:包括防伪标志和鲁棒的版权标志
数字隐写术分类:

【1】替换系统,使用秘密信息隐藏宿主的冗余信息部分
【2】变换域技术:在信号的变换域中嵌入秘密信息
【3】扩展频谱技术:利用信息扩频通信的原理来实现信息隐藏
【4】失真技术:通过信号处理过程中的失真来保存信息,在机密时通过测量与原始信息载体的偏差以恢复秘密信息
【5】载体生成方法:通过对信息进行编码以声称用于秘密通信的伪装载体,以隐蔽信息
【6】统计方法:通过改装伪装载体的若干统计特性对信息进行编码,并在提取过程中使用假设检验发来达到恢复秘密信息。

数字水印:

是永久镶嵌在其他数据中具有可鉴别性的数字信号或模式,而且并不影响宿主数据的可用性。
【1】空间域数字水印:通过改变某些像素的灰度,将需要隐蔽的信息嵌入其中,将数字水印直接加载到数据上
特点:算法简单,速度快,易实现。几乎可以无损的恢复载体图像和水印信息,水印容易被移去,鲁棒性不强
【2】变换域数字水印:通过改变频域的一些系统的值,采用类似扩频图像的技术来隐藏水印信息,可以嵌入大量数据而不会导致不可察觉的缺陷
特点:有利于保证水印的不可见性;更方便有效地进行水印的编码;频域法可以与国际数据压缩标准兼容。

三、访问控制&防火墙技术

1、访问控制技术

对系统资源的保护要求每一个访问请求都在控制下进行,保证只有合法授权的访问才能发生,这个过程称之为访问控制。
访问控制的作用:机密性和完整性、可用性
(1)两个基本理论模型

【1】引用监控器

访问控制依赖引用监控器进行主体对客体访问的控制,以决定主题是否有权对客体进行操作和进行何种操作。引用监控器查询授权数据库,根据系统安全策略进行访问控制的判断,同时将相应活动记录在审计数据库中。

【2】访问矩阵
访问矩阵模型描述了访问控制策略
三元组(S,O,A) S是主体的集合,O是客体的集合,A是访问矩阵,矩阵A[S,O]是主体s在o上实施的操作
访问矩阵的三种方法:访问控制列表,能力列表,授权表

访问控制系统由主体、客体以及主客体属性组成。访问控制就是通过比较系统内主客体的相关属性来决策的

(2)访问控制策略

【1】自主访问控制DAC
【2】强制访问控制
【3】基于角色的访问控制

(3)DAC和MAC的区别

策略不同,自主访问控制策略中的主体一般是指用户,强制策略中的主体和用户之间是有区别的
DAC存在的问题:
【1】自主授权给用户权限管理带来隐患
【2】没有严格区分已授权用户和执行授权的行为主体
【3】授权管理工作量大,对用户权利的监控难度大
【4】不利于在大规模应用总实施
MAC的特点
【1】相对DAC,更安全
【2】不适合处理访问控制力度细的应用,适用于操作系统但不适用于数据库

2、防火墙技术基础

(1)防火墙的类型

【1】数据包过滤路由器
深入到系统的网络层和数据链路层之间,通过检查模块,防火墙能拦截和检查所有出站的数据
优点:
关键位置设置一个数据包过滤路由器就可以保护整个网络
对网络管理员和应用程序的透明度较高
多数路由器具有包过滤功能,网络管理员可以方便地在路由器中实现包过滤
缺点:
过滤规则比较复杂,缺乏规则的正确性自动检测工具
过滤规则的增加会导致分析计算量的增加
抗欺骗性能力不强
【2】代理服务器
让所有用户通过一台单一的设备访问外部网络,这台单一的设备就是代理服务器
(2)不同防火墙的对比

【1】工作层面
包过滤:网络层
应用层网关:应用层
电路层网关:会话层与应用层
包状态检查:网络层
【2】对非法包的判断能力
工作层次越高,对数据包的理解能力越好,对非法报的判断能力越高

3、防火墙安全设计策略

(1)传统边界防火墙技术的不足

【1】网络应用收到结构性限制
【2】内部安全隐患依然存在
【3】效率较低,故障率高,由于边界式防火墙把检查机制集中在网络边界处的单点之上,造成网络的瓶颈和单点失效的隐患
(2)分布式防火墙的优势

【1】增强了系统安全性
【2】提高了系统性能
【3】提高了系统可扩展性
【4】实施主机策略
【5】应用更为广泛,支持VPN通信

4、防火墙发展的新方向

5、防火墙选择原则与常见产品

四、入侵检测技术

1、入侵检测的重要性和发展进程

网络入侵是指任何视图破坏资源完整性、机密性和可用性的行为,包括用户对系统资源的误用

2、入侵检测方法

3、入侵检测系统

入侵检测系统是对防火墙的必要补充,作为重要的网络安全工具,它可以对系统或网络资源进行实时监测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。
(1)几种入侵检测系统的优缺点
【1】集中型入侵检测系统
优点:可以检测系统内部发生的攻击行为和可以活动,可管理性好,简单,易于实现
缺点:网络负荷重,扩展性和鲁棒性差
【2】层次化入侵检测系统
优点:可实现对分布式入侵的检测,可管理型号,一定程度上提高了系统的可扩展性
缺点:网络符合重,鲁棒性较差
【3】完全分布式入侵检测系统
优点:数据在本地处理,降低了网络符合,检测实时性好,可扩展性和鲁棒性好
缺点:可管理性差,各个检测节点间的协作问题复杂,对分布式入侵检测的实施过程比较复杂

4、入侵检测技术存在的问题

(1)误报率、漏报率高
(2)没有通用的构造方法
(3)执行效率低
(4)自身结构上存在安全隐患,鲁棒性和容错性不强
(5)自我更新能力不强,规则集维护困难,系统缺乏灵活性
(6)缺乏好的测试手段
(7)对入侵的理解能力有限
(8)系统响应能力有限

5、新技术的研究与应用

6、未来研究方向

7、安全审计

(1)CC准则中定义的安全审计
【1】安全审计自动响应
【2】安全审计数据生成
【3】安全审计分析
【4】安全审计浏览
【5】安全审计时间存储
【6】安全审计时间选择

五、黑客与病毒防范技术

“头号电脑黑客”–凯文 米特尼克

1、计算机病毒的特征

【1】人为的特制程序
【2】具有自我复制能力
【3】很强的感染性
【4】一定的潜伏性
【5】特定的触发性
【6】较强的破坏性
【7】不可预见性

2、如何有效防范黑客和病毒攻击

【1】安装自动补丁系统,及时给系统打补丁
【2】安装杀毒软件,并及时更新
【3】定期扫描系统
【4】良好的网络访问和系统使用习惯
【5】不要访问无名和不熟悉的网站

网络信息安全的重要性相关推荐

  1. 大数据背景下网络信息安全分析探讨

    大数据背景下网络信息安全分析探讨 刘松溢 (华北理工大学 河北省唐山市曹妃甸区华北理工大学063210) 摘要:在经济快速发展的今天,大数据技术已被广泛地运用于社会生活中,这些技术的应用给人类的生产和 ...

  2. 投资130亿全国首个网络信息安全产业园落户成都

    互联网时代,网络信息安全即与个人利益息息相关,也是国家信息安全战略需要.基于网络信息安全的重要性以及行业发展前景的考虑,昨日(4月13日),中国电科(成都)网络信息安全产业园奠基仪式在成都双流举行. ...

  3. 华胜天成收购中天安泰10%股权 出手网络信息安全

    5月17日晚,华胜天成发布了收购公告称,公司以现金方式收购中天安泰(北京)信息技术有限公司司(以下称"中天安泰")10%的股权,交易对价为3000万元. 资料显示,中天安泰是一家创 ...

  4. 小学计算机网络信息安全教案,黑教版信息技术五年级上册第十五课《网络信息安全》教案.doc...

    黑教版信息技术五年级上册第十五课<网络信息安全>教案.doc 文档编号:535180 文档页数:2 上传时间: 2019-01-10 文档级别: 文档类型:doc 文档大小:33.00KB ...

  5. 我国计算机信息系统安全保护工作的重点是,网络信息安全知识:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的()的安全。...

    相关题目与解析 1994年2月18日<中华人民共和国计算机信息系统安全保护条例>颁布,我国公共信息网络安全监察工 重要领域计算机信息系统安全保护工作是指公安机关公共信息网络安全监察部门对_ ...

  6. 软考信息安全工程师+2021-01-30 1.网络信息安全概述+重点

    第一章 网络信息安全概述 1.网络发展现状与重要性认识 1.1重要文件 (1)2016年国家发布了<国家网络安全空间战略> (2) 2017年6月1日,<中华人民共和国网络安全法&g ...

  7. 《信息安全工程师教程》——网络信息安全概述

    网络发展现状与重要性认识 计算机网络演变成人类活动的新空间,即网络空间,它是国家继陆.海.空.天后的第五个疆域. 网络信息安全相关概念 网络信息安全的发展历经了通信保密.计算机安全.信息保障.可信计算 ...

  8. 《NJUPT》网络信息安全_期末PPT整理笔记

    零.基础知识 信息安全包括:信息安全管理.物理场所安全.设备的硬件安全.软件安全(操作系统/其他系统软件应用软件).网络信息安全(TCP/IP ).密码学的应用.信息隐藏.其他不常见技术 不同的研究方 ...

  9. 筑起网络信息安全防护

    近年来,随着数字化在带来种种便利的同时,也加大了信息泄露风险.从网络偷窥.非法获取个人信息.网络诈骗等违法犯罪活动,到网络攻击.网络窃密等危及国家安全行为,伴随万物互联而生的风险互联,给社会生产生活带 ...

最新文章

  1. 由动态规划计算编辑距离引发的思考
  2. DevOps 和SRE 的十大开源项目
  3. python2.7多线程的批量操作远程服务器
  4. 访问动态页面很慢 PHP,PHP动态网页程序优化及高效提速问题
  5. 如何玩转CSS列表样式?速查!
  6. ThinkPHP 3.1 404页面的设置
  7. 【英语学习】【Daily English】U12 E-World L01 Do you have Wi-Fi here?
  8. Android 4 开发环境配置中的诸多陷阱
  9. 循环首次适应算法_数据结构与算法之2——排序问题
  10. java udp 线程,Java中的UDP DatagramSocket线程的高CPU使用率
  11. linux 汽车仪表软件架构,基于嵌入式Linux的汽车全数字仪表界面的设计
  12. ReactNative 仿造 ofo 共享单车快速开发的app
  13. 《Unix编程艺术》笔记(一)
  14. ios模拟器安装app
  15. 安卓(android)毕业设计各种app项目
  16. DialogFragment自动弹出软键盘,消失时关闭软键盘
  17. About Redistribute
  18. 执一不二 跬步千里-王子密码10月份月会心得(四)
  19. 小程序开发教程,深入解析android核心组件和应用框架,附面试题答案
  20. 2023最新SSM计算机毕业设计选题大全(附源码+LW)之java青岛恒星科技学院机房管理系统0k0u9

热门文章

  1. 二维码与条形码的生成和识别使用
  2. 【CS231n】斯坦福大学李飞飞视觉识别课程笔记(五):图像分类笔记(下)
  3. Android 通过shape画线,1条线2种颜色,左边线条和背景色一致,右边线条为divider颜色
  4. 在线IP到地理位置解析的API接口,IP到地理位置、所属组织名、AS号、域名反查
  5. c++基础题:判断奇偶数
  6. vmware创建win7虚拟机
  7. unity 捏脸相关
  8. 程序退出,段错误segment default问题定位
  9. 解决电视盒子占用wifi带宽问题
  10. BitLocker驱动器