IT 安全

一.安全系统及体系

 

::: 安全系统的三维空间:  X轴:---> 安全机制       Y:--->安全服务     Z:---> ISO 网络参考模型

 

::: 安全空间的5大要素: 认证---权限---加密---完整---不可否认

 

::: 三种体系结构图:  

 

A> MIS+S----------    MIS+安全措施/防范;

B> S-MIS ----------    PKI/CA -MIS 专用的安全软件;

C>S2-MIS----------    PKI/CA -MIS保密专用的软件及硬件;

 

 ::: 企业安全防范体系

 

 

 

二.安全风险评估

 

:::风险的种类:

----> 按性质分: 静态/动态

----> 按结果分: 纯淬风险/投机风险

----> 按风险源分: 自然/人为.......

 

:::病毒(感染.exe文件的代码)/木码(单独自动执行的程序,破坏操作)/儒虫(不需要宿主的程序)

 

 

 

三.安全策略

 

:::安全策略的七定:

 

>>> 定方案--- 定岗---定位---定员---定目标---定制度---定工作流程

 

:::信息安全保护等级的概念: 共5个级别

 

1级: 自主保护级(企业内部) --- 2级: 系统审计级保护级(企业)---3级:安全标记保护级(地方各级国家机关)---4级:结构化保护级(国家级)---5级:访问验证保护级(军队隔离级)

 

---> 电子商务:  至少要达到: 2级水平;;;;;;;;;;;;;;;;;

 

 

 

四.安全技术

 

1. 基础是密码学;

 

2.对称(DES/RC4)和不对称加密(RSA/ECC):

实际应用中常常是2者混合使用; ----> 用对称加密技术加密信息原文,用非对称技术加密(密钥:对称加密产生的密钥);

 

3.哈希算法:

hash值:也称为 ----信息摘要MD/信息块/数字指纹 ---标识: MD

 

4.数字时间戳:----- DTS(digital time stampe services) 加上收发时间及数字签名的凭证;

 

5.密码等级及安全管理等级

---- 4个级别:

 

6.VPN(虚拟专用网)/VLAN(虚拟子网)

 

IPsec VPN: 基于设备的

MPLS VPN: 基于连接的

 

---------------------------------------------------------------------------- 

7.WLAN 无线局域网 (wireless )

 

::: 标准: IEEE 802.X;

基于802.11b 的无线网卡带宽:11Mbps;

802.11g :54Mbps

 

 

 

::: WLAN 2种类型:

 

--A> P2P方式:

--B> AP方式(access point 网络桥接器):

 

 Qos(quality of service):::::::: 服务质量;  服务质量是指网络提供更高优先服务的一种能力，包括专用带宽、抖动控制和延迟（用于实时和交互式流量情形）、丢包率的改进以及不同 WAN、LAN 和 MAN 技术下的指定网络流量等，同时确保为每种流量提供的优先权不会阻碍其它流量的进程。

 

 

=== WLAN 安全机制 :::::

 

A> WEP (wire Equivalent prorocol)

WEP是Wired Equivalent Privacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式;

 

B> WPA (Wi-Fi Protected Access) WPA是一种基于标准的可互操作的WLAN安全性增强解决方案;

 

C> WAPI (Wireless LAN Authentication and Privacy Infrastructure) (无线局域网鉴别和保密基础结构）的英文缩写，是一种安全协议，同时也是中国无线局域网安全强制性标准。

 

五.PKI/CA

 public key infrastructure: 公钥基础设施; 采用RSA 非对称加密技术;

 PKI 体系结构包括:信任服务体系/密钥管理中心----> CA

 

 CA:certification authortiy 认证权威/中心 --------> PKI 的核心要素;

 RA:regrest authortiy 数字证书注册机构;

 

 X.509 标准: ---- 提供了数字证书标准格式 CRL;

 

 LDAP:Lightweight Directory Access Protocol，是轻量目录访问协议，windows 活动目录的应用

 

 LDAP其实是一电话簿，类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络 目录，也类似于你在花园中所看到的树木。

 

 

六.PMI

 

1.PMI: privilege managemnet infrastructure: 权限管理基础设施; 实现----> 访问控制;

 

2.访问控制包括:鉴别和授权

 

3.访问控制机制:  A> 强制访问控制(MAC)/ B>自主访问控制DAC (自己可以授权)

 

4.PMI 模型:

   A> bell-LaPadula : 上读(NRU)/下写(NWD)

   B> Biba:  下读/上写

 

5.基于角色的访问控制----> RBAC (Role-Based Access control)

 

6.PMI 证书是属性(权限)证书; PKI: 公钥证书; PMI 采用RBAC 访问控制;

 

 

七.安全审计 Aduit

1.国际安全审计准则: TSSEC 规定 4大类, 7个等级; ---> C2及以上级具有审计功能; A级最高;

 

2.我国的安全等级 5级:

 (A)自主保护级--内部网络(B)系统审计级--一般电子商务应用(C)安全标记级---地方国家机关系统(D)结构化保护级---国家机关(E)验证保护级---军用级别;

 

 3.安全审计 decurity aduit:

访问和使用情况进行记录及审查;以保证安全规则被正确执行; 是一种------>>>> 过程记录评估;为分析安全事故提供依据;

 

4.CC 标准的审计功能: 6部分

(1)自动响应功能:

(2)自动生成功能: 审计数据自动生成;

(3)分析功能: 日志分析

(4)浏览功能: 审计数据提供查阅;

(5)事件选择功能:

(6)事件存储功能

 

5. 信息审计或安全审计的标准 COBIT

 

 

八.信息安全系统工程 ISSE-CMM

 

1.信息安全的三大目标: 可用性--- 保密性---完整性

2.与MIS一样的用于安全管理的系统

3.ISSE-CMM 安全信息工程能力成熟度模型

4.ISSE 是系统工程+安全工程+系统获取在信息系统安全方面的具体表现

5.ISSE-CMM 将信息安全工程实施过程分为: <<<<风险过程+工程过程+保证过程>>>