信息安全
- 信息都是有价值的。信息安全(ISO定义):为保护硬件,软件,数据不因偶然的或者恶意的原因受到破坏,更改,泄露。
- 对于信息安全来说,最好的情况是——进不来,拿不走,改不了,看不懂,跑不了,可查询。
- 狭义的信息安全概念:建立以IT技术基础上的安全范畴。广义的信息安全概念:那就多了,懒得写了。
信息安全基本目标
·信息安全基本属性(CIA三元组)
·机密性
·完整性
·可用性
·其他属性
·真实性 ·可问责性 ·不可否认性 ·可靠性
机密性
- 定义:防止遭到有意或无意的非授权泄露
- 应该重视机密性。机密性还有国家机密,商业机密,秘密,个人隐私等。
- 机密性需要考虑的问题:
·信息系统的使用是否还有控制,而不是任何人都可接触到的系统。
·信息系统中的数据是否都有标识,说明重要程度。
·信息系统中的数据访问是否有权限控制。
·信息系统数据访问是否有记录。
完整性
- 定义:保证信息系统中的数据处于完整状态,没有遭受篡改和破坏。
- 完整性需要考虑的问题:
·什么样的数据可能被篡改。
·被篡改的数据可能有什么样的影响。
·对数据是否划分清了不同的权限。
·对数据的操作是否有记录。
可用性
- 定义:确保数据和系统在需要时可用。
- 可用性需要考虑的问题:
·如何确保信息系统随时能提供需要的功能。
·如果系统由于某种原因无法使用如何应对?
信息安全的发展阶段(c:世纪s:年代)
20c 40s——70s
主要关注传输过程中的数据保护,通过密码技术解决加密
20c 70——90s
主要关注数据处理和存储时的数据保护
- 安全威胁:非法访问,恶意代码,脆肉口令等。
- 核心思想:预防,检测和减少计算机系统用户执行的未授权活动所造成的后果。
- 安全措施:通过操作系统的访问控制技术来防止非授权的用户访问。
20c 90s——>以后
主要关注信息系统整体安全
- 网络入侵,病毒破坏,信息对抗。
- 保护比数据更精炼的信息
- 防火墙,防病毒,漏洞扫描,入侵检测,PKI,VPN。
网络空间安全
网络空间:虚拟世界与物理世界相连接
核心思想:强调“威慑”概念将防御,威慑和利用结合成三位一体的网络空间安全保障。
2016年12月我国发布《国家网络空间安全战略》表明在这一领域对我国时机遇也是挑战。
我国信息安全保障工作总体要求:积极防御,综合防范。
信息安全法律法规
国家立法体系
立法是网络安全治理的基础工作
网络安全法解析
《网络安全》2016.11.7发布——落实国家总体安全观的重要举措,维护网络安全的客观需要,维护人民群众切身利益吧的迫切需要。
一些基本概念:
网络;一种对信息进行收集,存储,传输,交换,处理的系统。
《网络安全法》:中的网络实质上是网络空间,不仅包含传统IT领域的计算机网络,还包含相关处理信息的服务器和各种其他硬件。
网络安全:通过采取必要的措施,防范对网络进行攻击,入侵,干扰,破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性,保密性,可用性的能力
第一章——总则
确立网络空间主权原则,明确网络安全管理体制及职责分工,明确特定情况下的域外效力。
第二章——网络安全支持与促进
第三章——网络运行安全
明确要求落实网络安全等级保护制度:
- 制定内部管理规程,确定负责人。
- 采取防范的技术。
- 采取监测,记录网络日志,不少于六个月。
- 采取数据分类加密等措施。
- 其他义务:国家网信部门统筹协调关键信息基础设施采取保护措施。关键信息基础设施建设要求——安全技术措施同步规划,同步建设,同步使用,三同步原则。
《网络产品和服务安全审查办法(试行)》与《网络安全法》还有《互联网信息内容管理执行程序规定》2017.6.1一同实施。
第四章——网络空间安全政策与标准
原则:合法,正当,必要
·网络安全国家战略
《信息安全技术个人信息安全规范》2018年出台5月生效
《中华人民共和国密码法》2019.10.26通过,2020.1.1生效
《数据安全法》2019.9.1施行
·国家指导政策
等级保护要求五个级别:用户自主保护,系统审计保护,安全标记保护,结构化保护, 访问验证保护。
明确提出我国实行网络安全等级保护制度
国内:2014年成立中央网络安全和信息化领导小组
2018年改为中央网络安全和信息化委员会
2016.12.27发布我国《国家网络空间安全战略》
计算机犯罪
从无意识到有组织:APT攻击Access processing Point 持续性攻击
标准化组织
Internet工程任务组(IETF)互联网的很多协议都是它制定的
我国的标准化组织:全国信息安全标准化技术委员会(TC260)
·GB 强制性国家标准
·GB/T 推荐性国家标准
·GB/Z 国家标准指导性技术文件
等级保护工作流程
·顶级 ·备案 ·差距分析 ·建设整改 ·验收测评 ·定期复查
等级保护核心思想
基本原则:1.自主保护原则 2.重点保护原则 3.同步建设原则 4.动态调整原则
信息安全管理
信息安全管理体系(ISMS) 我国信息安全标准 GB/T 22080
PDCA进程方法 plan(计划)Do(实施)Check(检查)Act(行动)
文档化与文件控制:
一级文件:由高级管理层发布,适用整个组织
二级文件:有组织管理者代表签署发布
三级文件:员工具体执行所需的手册指南和作业指导书
四级文件:为了有效支撑文件的执行文件包含记录
密码学
1976年提出非对称密钥密码算法(DH)
古典密码学1949以前
近代密码学1949~1975
现代密码学1976以后至今
1949香农将信息论引入密码,从此密码学成为了一门科学
机密性
科尔霍夫原则(kerchholf):密钥保密
对称密码算法:算法简单,计算量小,加密亏啊,加密效率高。加密密钥=解密密钥
缺点:无法解决对消息的篡改,否认问题
包括有:DES,3DES,IDEA,AES,RC4,RC5,Twofish,CAST-256,MARS
非对称密码算法:加密密钥不等于解密密钥 也叫公钥加密
公钥加密对应的公钥(公开),对应的私钥解密(保密)
公钥加密算法特点:
·公钥私钥成对出现 ·公钥加密私钥解密——机密性 ·私钥加密公钥解 密——数字签名
优点:解决密钥传递问题 缺点:计算复杂,耗用量大,密文变长
公钥密码典型算法:Merkle—Hellwan,RSA,ECC
哈希与数字签名:哈希—>单向散列函数 主要用途:消息完整性检测和数字签名。
安全的哈希特性:单向性 强/弱抗对抗性
目前常用的Hash:MDS算法 SHA—1算法
数字签名:对某一些单元做变换,接收者能确认这些来源,防止被人伪造
基本特性:不可伪造性,不可否认性,保证完整性
PKT架构——公钥基础设施
CA:管理生成,发放,更新。(最核心的部分)
RA:是申请,审核和注册的中心。
数字证书:有CA签名,有拥有者信息和公钥
实体所有:验证实体拥有什么,如物品
实体所知:验证实体所知什么,如一个秘密的口令或PIN码。
实体特征:验证实体不可变的特性,指纹,虹膜等。
暴力破解防范:使用安全的密码,系统应用安全策略(阻止攻击者反复尝试)