让我们看看这个学期的网安课给了我们啥。
法律法规
2010 10.1《中华人民共和国保守国家秘密法》
2016.11《中华人民共和国网络安全法》
2019.10.26 《中华人民共和国密码法》
介绍
安全的定义:一个系统,应用或协议的安全通常与一个包含期望属性的集合,一个有特定能力的对手相关。
C.I.A模型:
Confidentiality 保密性:
信息安全的首要重点是保密性,保密性是指避免未授权的信息披露。强调数据保护,为有权限的提供访问,同时禁止未授权的进行信息获取。
保密方法:
加密:使用密钥进行信息的转换,获取信息必须持有密钥。
访问控制:针对保密信息的限制规则。
身份验证:校验角色权限,基于持有信息,所知信息,身份信息。
授权:基于访问控制。
物理安全:对保护机密资源的物理隔离,保密柜,保密室。
Integrity 完整性,不可修改性:
信息具有不被未授权方式修改的属性。
完整性方法:备份,校验,纠错码
Availability 有效性:
信息可以被授权的人及时进行访问和修改的属性。
有效性方法:
物理保护:使用保持信息在物理变更后仍有效的基础设施
计算冗余:可以进行回滚操作恢复信息的计算机或存储设备
A.A.A 模型:
Authenticity 真实性:
判断人或系统所发出的声明,政策,权限是真实的能力
方法:数字签名
Assurance 保证性:
指计算机系统中信任管理提供的方法
信任管理依赖于:规则,授权,保护
Anonymity 匿名性:
某些记录或事务不能归属于个人的属性。
方法:
聚合:来自许多个人的数据的组合,使得公开的总数或平均数不能与任何个人联系在一起。
混合:以一种无法追溯到任何个人的方式将事务、信息或通信交织在一起。
代理:信任的代理,愿意以一种无法追溯到那个人的方式为一个人采取行动。
假名:可以在通信和事务中填入真实身份的虚构身份,但其他情况下只对受信任的实体知道。
攻击和威胁:
窃听 Eavesdropping:在通讯发生的传输信道上进行信息拦截
修改 Alteration:未授权对信息修改,如中间人攻击,拦截信息修改后再传输。
拒绝服务 Denial-of-service:数据服务和信息访问的中断和退化,如垃圾邮件,邮件炸弹攻击
伪造 Masquerading:伪造信息来源
否认 Repudiation:拒绝承认或数据接收,通常用于尝试退出需要数据接收方返回确认信息的协议。
关联和追踪 Correaltion adn traceback:集成多个数据源和数据流以确认某一特定数据流或者信息片段的源。
十大安全法则:
1.机制经济性
2.故障安全默认
3.完全仲裁
4.设计开放
5.特权分离
6.最小特权
7.最少公共机制
8.心理可接受
9.工作因素
10.危害记录
访问控制
访问控制矩阵:定义权限的一张表,每行是一个角色,每列是一个可访问对象
访问控制列表:定义每个可访问对象的可执行权限
密码系统组成:
可能的明文的集合
可能的密文的集合
加密密钥的集合
解密密钥的集合
加密密钥和解密密钥之间的对应关系
使用的加密算法
使用的解密算法
凯撒密码 给偏移量,进行基于字母顺序的移位
对称密钥:加解密使用的密钥一致,n个角色进行两两保密通讯需要n(n-1)/2个对称密钥。
公钥密码学:公钥加密,私钥解密
数字信封:使用会话密钥加密一次明文,再用对端的公钥加密一次会话密钥,对端获取两个信息后,用自身私钥解密会话密钥,再用解密出来的会话密钥解密密文。(若公钥是通过公钥证书获取的,则认为是有效的公钥。)
数字签名:为了保证一个信息的权威性,发布方先对该消息进行消息摘要,发布方使用自身持有的私钥对消息摘要进行加密,然后发送该密文。倘若能用发布方发布的公钥进行解密,得到实际获取信息一致的消息摘要,那么可以说明信息是完整有效的且权威的。
加密哈希函数(SHA-1,SHA-256):对一消息的校验,有如下特点:
单向,容易自消息计算出哈希值,但难以逆运算计算出原文。
碰撞抵抗,难以找到一个碰撞消息使其哈希值与原消息哈希值相同。
社会工程学内容:
Petexing 假托:引诱受害者暴露其信息
Baiting 诱饵:欺诈性使用户或代理进行不安全行为
Quid pro quo 相等补偿:提供一个行为或服务期待回馈