【系统分析师】系统安全性分析与设计

---

【系统分析师-系列文章目录 】

---

1、信息系统安全体系

1.1 系统安全的分类

1.2 系统安全体系结构

1.3 安全保护的等级

1. 用户自动保护级：普通内联网用户
2. 系统审计保护级：通过内联网或国际网进行商务活动，需要保密的非重要单位。
3. 安全标记保护级：地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
4. 结构化保护级：中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。
5. 访问验证保护级：国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

1.4 保障层次

2、数据安全与保密

见数据库文章

对称加密

DES-56
3DES-112
IDEA
RC -5
AES

SM1-4-7

非对称加密

RSA
ECC
ECDSA

SM-2-9

信息摘要

MD5 128位
SHA 160位
SHA-1 160位
SM-3

数字签名

防抵赖

信息安全基本要素

1、保密性：确保信息不暴露给未授权的实体
	包括：
	（1）最小授权原则
	（2）防暴露
	（3）信息加密
	（4）物理保密
2、完整性：保证数据传输过程中是正确无误的，接受和发送的数据相同。
	包括：
	（1）安全协议
	（2）校验码
	（3）密码校验
	（4）数字签名
	（5）公证
3、可用性：保证合法的用户能以合法的手段来访问数据。
	包括：综合保障
	（1）IP过滤
	（2）业务流控制
	（3）路由选择控制
	（4）审计跟踪
4、可控性：控制授权范围内的信息流向及行为模式，整个网络处于可控状态下
5、不可抵赖性：信息数据参与者不能否认自己发送的数据，参与者身份真实有效

3、通信与网络安全技术

3.1 防火墙

3.1.1 防火墙功能

3.1.2 防火墙分类

• 网络级防火墙：一般只检验网络包外在属性[起始地址、状态]是否异常
• 应用级防火墙：会将包拆开，具体检查里面的数据是否有问题

3.1.3 防火墙的体系结构

屏蔽子网模式 略重点

3.1.4 防火墙的局限

• 对于来自网络内部的攻击无能为力。
• 防火墙不能防范不经过防火墙的攻击。如：内部网用户通过SLIP和PPP直接进入Internet。
• 防火墙对用户不完全透明。可能带来传输延迟、瓶颈和单点失效等。
• 防火墙不能完全防止受病毒感染的文件或软件传输。由于病毒的种类繁多，如果在防火墙完成对所有病毒代码的检查，防火墙的效率会极低。

3.2 虚拟专用网-VPN

待完善

3.3 安全协议

1、物理层主要使用物理手段，隔离、屏蔽物理设备等
2、其他层都是靠协议来保证传输的安全

1、SSL协议用于网银交易

1. 三方面的服务：用户和服务器的合法性验证、加密数据以隐藏被传输的数据、保护数据的完整性
2. SSL被设计为加强Web安全传输[http/https]的协议[smtp/nntp]
3. SSH被设计为加强Telnet/FTP安全的传输协议

2、PGP协议

1. 安全电子邮件服务
2. PGP提供两种服务：数据加密和数字签名

3、SET安全电子交易协议

主要用于B2C[电子商务]模式中保障支付信息的安全性

4、IPSec协议

1. 保护和认证IP数据包
2. 提供了信息的机密性、数据的完整性、用户的验证和防重放保护
3. 集 隧道技术、加密技术、认证技术、密钥管理技术 于一体

3.4 网络攻击和威胁

---

---

2.5 无线网络安全

---

---

4、计算机病毒与木马

4.1 定义

4.2 实例