第六章 信息安全和网络安全

考2-4分，基本无超纲，必须要拿到手的分数。主要考信息安全属性、加密解密数字摘要、数字签名、PKI体系

1.信息安全和信息系统安全

1.1.信息安全属性

• 机密性（保密性）：传输过程中信息不被暴露给未授权实体
• 完整性：未授权的实体不可以修改，并且可以判断出信息是否被修改
• 可用性：被授权的实体在需要的时候可以使用
• 可控性：可以控制授权范围内的信息流向以及行为方式
• 可审查性：提供调查的依据，必然是日志

1.2.信息安全的范围

• 设备安全（物理安全）：是信息系统安全的首要问题。是信息系统的物质基础。
• 数据安全：保护数据免受未授权的泄露、篡改和损坏
• 内容安全：数据的内容是合法的，合规的
• 行为安全：用户操作信息系统的行为要是合法的

PS：注意：信息安全的范围里面没有网络安全

1.3. 信息的存储安全

• 信息使用安全：被合法用户去合理的使用
• 系统安全监控：系统内部建立一套监控系统
• 计算机病毒防治：计算机网络必须要加装病毒自动检测系统
• 数据的加密和防止非法攻击（后面信息安全技术会仔细说）

1.4. 网络安全

• 网络安全隐患：物理安全、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理
• 网络安全威胁：非授权访问、信息泄露或者丢失、破坏数据完整性、拒绝服务攻击(dos攻击)、利用网络传播病毒
• 安全措施的目标：访问控制、认证、完整性、审计、保密

2. 技术体系

2.1. 信息安全系统的组成框架

2.1.1. 技术体系

1. 基础安全设备
   1. 密码芯片
   2. 加密卡
   3. 身份识别卡
2. 计算机网络安全
   1. 信息在网络传输中的安全防范，一般使用物理隔离、防火墙以及访问控制，加密传输、认证、数字签名、摘要、隧道以及VPN等技术
3. 操作系统安全
   1. 指操作系统无错误配置、无漏洞、无后门、无特洛伊木马等
   2. 防止手段：鉴别机制、访问控制机制、最小特权管理、可信通路机制等
4. 数据库安全
   1. 一般划分为数据库管理系统和数据库应用系统
5. 终端安全设备
   1. 从电信网终端设备的角度分为密码机

3.信息安全技术

3.1.加密技术

加密技术保证了保密性。

	对称加密	非对称加密
常见算法	DES、3DES、AES、RC-5、IDEA	RSA等
优点	效率高：对称加密的加解密速度快，适用于大量数据的加密和解密。 实现简单：对称加密算法通常比非对称加密算法更容易实现和部署。 适用性广泛：对称加密可以用于保护数据的机密性和隐私性。	安全性：非对称加密算法提供了更高的安全性。非对称加密使用一对相关联的密钥，即公钥和私钥。公钥用于加密数据，而私钥用于解密数据或生成数字签名。私钥保持机密，只有密钥的所有者可以解密数据或生成数字签名，从而保护了数据的机密性。 密钥交换：非对称加密算法可用于安全地交换对称密钥。非对称加密算法通过使用对方的公钥来加密对称密钥，可以安全地将对称密钥传输给通信方，从而避免了这个风险。 灵活性：非对称加密算法在密钥管理和分发方面更加灵活。由于公钥可以公开分享，使得密钥的分发更加便捷，适用于多方通信和复杂的网络环境。
缺点	密钥分发和管理：发送方和接收方需要事先共享相同的密钥，且密钥的安全性和保密性非常重要。 安全性限制：对称加密算法的安全性依赖于密钥的安全性，如果密钥泄露，可能会导致数据的机密性被破坏。 双方通信：对称加密适用于两个相互信任的通信方，但如果需要实现多方通信，密钥的分发和管理将变得更加困难。	计算复杂性：相比对称加解密算法，非对称加解密算法的计算复杂性更高。由于使用了大数运算和复杂的数学算法，非对称加解密需要更多的计算资源和时间。 处理速度较慢：由于计算复杂性的增加，非对称加解密的处理速度较慢。相对于对称加解密算法，在相同的硬件环境下，非对称加解密需要更长的时间来完成加解密操作。 密钥长度较长：为了保证足够的安全性，非对称加解密所使用的密钥长度通常较长。长密钥长度会增加密钥的存储和传输的开销，对于资源受限的设备或网络通信中可能带来不便。 密钥管理困难：非对称加解密需要管理和保护两个相关联的密钥，即公钥和私钥。对于大规模应用或者复杂的网络环境，密钥的生成、分发、存储和撤销等管理过程相对较为复杂。 安全性依赖私钥保护：非对称加解密的安全性依赖于私钥的保护。如果私钥被泄露、遗失或者被破解，将会对系统的安全性产生重大威胁。
区别	加密密钥和解密密钥是一样的	区分了公钥、私钥

因对称加密效率较高，适合对数据量较大的信息进行加密

3.2.数字信封

数字信封保证了保密性。

图来源于以下引用博客

1. 用对称加密 加密信息
2. 对非对称加密 加密 对称加密的密钥

哈哈哈哈哈，好拗口。简单来说就是数字信封就是把对称加密和非对称加密放在一起使用

3.3.信息摘要

信息摘要就是原数据通过某个算法生成的一个固定长度的单向Hash散列值，常用来生成信息摘要的算法有MD5与SHA算法。

 信息摘要的特点：当一大串数据内容中即使很小的一个字符发生变化，都会引起信息摘要发生很大的变化。因此可以通过信息摘要来判断原始数据是否被篡改。

3.4.数字签名

采用发送者的私钥来进行加密，接收方收到之后用发送方的公钥来解密，故而保证了不可抵赖性和完整性，但是不保证其机密性。

图来源于以下引用博客

3.5.公钥基础设施PKI

以不对称加密技术位基础，保证数据的机密性、完整性、不可抵赖性。

• PKI是安全基础设施
• 数字证书：数字证书是一个可信任的权威机构签署的信息集合，主要作用是将公钥和用户进行绑定
• 签证机构CA：负责签发证书、管理和撤销证书

3.6.访问控制

简而言之就是控制访问权限

• 访问控制的三个要素：
  • 主体
  • 客体
  • 控制策略
• 访问控制的三个内容：
  • 认证
  • 控制策略
  • 审计
• 访问控制的实现技术：
  • 访问控制矩阵（ACM）——文件系统
  • 访问控制表（ACL）——按列存取
  • 能力表——按行存取、授权关系表

3.信息安全的抗攻击技术

大家知道了解这些攻击技术是什么，怎么攻击就好

3.1. 密钥生成需要考虑的三个因素

• 增大密钥空间、选择强钥、密钥的随机性

3.2. DOS攻击

是什么？——长时间占用而导致其他用户不能使用，不可响应，破坏可用性。

3.3. DDOS攻击

分布式拒绝服务攻击

3.4. 拒绝服务攻击的防御方法

方法：都是修改注册表

• 加强对数据包的特征识别
• 设置防火墙监视本地端口的使用情况
• 对通信数据进行统计可以获得攻击系统的位置和数量信息
• 尽可能修正已经发现的问题和系统漏洞

3.5.欺骗技术

• ARP欺骗
• DNS欺骗

3.6. 端口扫描

3.6.1. 扫描原理

1. 全TCP连接：使用三次握手
2. 半打开式扫描（SYN扫描）：只进行三次握手的前两次
   1. 回答SYN——活端口
   2. 回答RST——死端口
3. FIN扫描：不适用TCP
   1. 回答RST——死端口
   2. 不回答——活端口
4. 第三方扫描：分布式

6.3.2. 攻击方法

6.3.2.1. 同步包风暴

伪造大量TCP连接，三次握手，只进行两次，不进行第三次握手。

6.3.2.2. ICMP攻击

伪装’交警‘

6.3.2.3. SNMP攻击

SNMP可以控制设备和产品，重定向通行流，改变数据包的优先级，完全接管你的网络

5.网络安全技术

记忆关键字

• 第一级 用户自主保护级：自主安全
• 第二级 系统审计保护级：粒度更细
• 第三级 安全标记保护级：标记
• 第四级 结构化保护级：扩展到所有主体和客体
• 第五级 访问验证保护级：

6.网络安全协议

1. SSL：套接字，加强Web的传输
2. SSH：安全外壳协议，加强Telent/FTP
3. SET：用于电子交易
4. Kerberos:网络身份认证协议，一般会和PKI一起考查
5. PGP：安全电子邮箱协议

6.1. 防火墙

1. 网络层防火墙
2. 应用及防火墙

6.2. IDS入侵检测系统

IDS是一个监听设备

6.3.蜜罐系统

陷阱

7.网络攻击和威胁

参考过的博客：

数据加密技术——对称加密和非对称加密-CSDN博客

数字信封-CSDN博客

什么是信息摘要？-CSDN博客

什么是数字签名？（数字签名与信息摘要又有什么关系？）_数字前面和数字摘要的关系-CSDN博客