目录
一、系统安全体系结构
作为全方位的、整体的系统安全防范体系也是分层次的,不同层次反映了不同的安全问题,根据网络的应用现状情况和结构,可以将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
1、物理环境的安全性
物理层的安全包括通信线路、物理设备和机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件和传输介质)、软硬件设备的安全性(替换设备、拆卸设备、增加设备)、设备的备份、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)和不间断电源保障等。
2、操作系统的安全性
系统层的安全问题来自计算机网络内使用的操作系统的安全,例如,Windows Server和UNIX等。主要表现在3个方面,
- 一是由操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制和系统漏洞等;
- 二是对操作系统的安全配置问题;
- 三是病毒对操作系统的威胁。
3、网络的安全性
网络层的安全问题主要体现在计算机网络方面,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等。
4、应用的安全性
应用层的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统和DNS等。此外,还包括病毒对系统的威胁。
5、管理的安全性
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个计算机网络的安全,严格的安全管理制度、明确的部门安全职责划分与合理的人员角色配置,都可以在很大程度上降低其他层次的安全漏洞。
试题分析
数据库属于应用系统,又与操作系统相关,因此属于系统安全和应用安全。
参考答案:D
二、数据加密技术
1、对称加密算法-DES、IDEA
对称加密算法也称为私钥加密算法,是指加密密钥和解密密钥相同,或者虽然不同,但从其中的任意一个可以很容易地推导出另一个。
其优点是具有很高的保密强度,但密钥的传输需要经过安全可靠的途径。
对称加密算法有两种基本类型,分别是分组密码和序列密码。
- 分组密码是在明文分组和密文分组上进行运算,
- 序列密码是对明文和密文数据流按位或字节进行运算。
常见的对称加密算法包括瑞士的国际数据加密算法(International Data Encryption Algorithm, IDEA)和美国的数据加密标准(Date Encryption Standard, DES)。
DES是一种迭代的分组密码,明文和密文都是64位,使用一个56位的密钥以及附加的8位奇偶校验位。
攻击DES的主要技术是穷举法,由于DES的密钥长度较短,为了提高安全性,就出现了使用112位密钥对数据进行三次加密的算法(3DES),即用两个56位的密钥K1和K2,发送方用K1加密,K2解密,再使用K1加密;接收方则使用K1解密,K2加密,再使用K1解密,其效果相当于将密钥长度加倍。
IDEA是在DES的基础上发展起来的,类似于3DES。IDEA的明文和密文都是64位,密钥长度为128位。
2、非对称加密算法-RSA
非对称加密算法也称为公钥加密算法,是指加密密钥和解密密钥完全不同,其中一个为公钥,另一个为私钥,并且不可能从任何一个推导出另一个。
它的优点在于可以适应开放性的使用环境,可以实现数字签名与验证。
最常见的非对称加密算法是RSA,该算法的名字以发明者的名字命名:Ron Rivest, AdiShamir和Leonard Adleman。RSA算法的密钥长度为512位。RSA算法的保密性取决于数学上将一个数分解为两个素数的问题的难度,根据已有的数学方法,其计算量极大,破解很难。但是加密/解密时要进行大指数模运算,因此加密/解密速度很慢,主要用在数字签名中。
试题分析
DES加密是一种对称加密算法,加密与解密秘钥相同。
由于DES的密钥长度较短,为了提高安全性,就出现了使用112位密钥对数据进行三次加密的算法(3DES),即用两个56位的密钥K1和K2,发送方用K1加密,K2解密,再使用K1加密;接收方则使用K1解密,K2加密,再使用K1解密,其效果相当于将密钥长度加倍。
参考答案:(1)A (2)B
三、认证技术
认证(authentication)又称为鉴别或确认,它是证实某事物是否名符其实或是否有效的一个过程。认证和加密的区别在于,加密用于确保数据的保密性,阻止对手的被动攻击,例如,截取和窃听等;而认证用于确保数据发送者和接收者的真实性和报文的完整性,阻止对手的主动攻击,例如,冒充、篡改和重放等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
1、数字签名-RSA
数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如,接收者)进行伪造。基于对称加密算法和非对称加密算法都可以获得数字签名,但目前主要是使用基于非对称加密算法的数字签名,包括普通数字签名和特殊数字签名。
普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Des/DSA、椭圆曲线数字签名算法和有限自动机数字签名算法等,特殊数字签名算法有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名和具有消息恢复功能的签名等,它与具体应用环境密切相关。
数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
不管使用哪种算法,数字签名必须保证以下三点:
- (1)接收者能够核实发送者对数据的签名,这个过程称为鉴别。
- (2)发送者事后不能抵赖对数据的签名,这称为不可否认。
- (3)接收者不能伪造对数据的签名,这称为数据的完整性。
2、杂凑算法
杂凑算法是主要的数字签名算法,它是利用散列(Hash)函数(哈希函数、杂凑函数)进行数据的加密。
单向Hash函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长的字符串,这个返回的字符串称为消息摘要(Message Digest, MD),也称为Hash值或散列值。Hash函数主要可以解决以下两个问题:
- 首先,在某一特定的时间内,无法查找经Hash操作后生成特定Hash值的原消息;
- 其次,无法查找两个经Hash操作后生成相同Hash值的不同消息。
这样,在数字签名中就可以解决验证签名、用户身份验证和不可抵赖性的问题。
(1)消息摘要算法-MD5
消息摘要算法(Message Digest algorithm 5, MD5)用于确保信息传输完整一致,经MD2、MD3和MD4发展而来。
它的作用是让大容量信息在用数字签名软件签署私人密钥前被“压缩”成一种保密的格式,即将一个任意长度的字节串变换成一个定长的大数)。
不管是MD2、MD4还是MD5,它们都需要获得一个随机长度的信息并产生一个128位的消息摘要。MD5以512位分组来处理输入的信息,且每个分组又被划分为16个32位子分组,经过一系列的处理后,算法的输出由4个32位分组组成,将这4个32位分组级联后,将生成一个128位的散列值。
(2)安全散列算法-SHA
安全散列算法(Secure Hash Algorithm, SHA)能计算出一个数字信息所对应的长度固定的字符串(消息摘要),它对长度不超过264位的消息产生160位的消息摘要。
这些算法之所以称作“安全”,是基于以下两点:
- 第一,由消息摘要反推原输入信息,从计算理论上来说是很困难的;
- 第二,想要找到两组不同的信息对应到相同的消息摘要,从计算理论上来说也是很困难的;任何对输入信息的变动&
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
