2024软件设计师备考讲义——（6）

信息安全与网络安全

一、信息与信息系统安全

1.信息安全含义及属性

• 含义是保密性、完整性、可用性
• 其他属性如：真实性、可核查性、不可抵赖性、可靠性

2.安全需求

• 物理安全：物理设备和环境
• 网络安全：网络攻击和入侵
• 系统安全：操作系统漏洞和补丁
• 应用安全：应用软件的安全

二、信息安全技术

1.加密技术

• 对称加密:DES/3DES/AES/RC-5/IDEA

  • 加密解密密钥相同
  • 不公开密钥
  • 加密强度不高(位数少)，密钥分发困难
  • 速度快，适合加密大数据

• 非对称加密：RSA/Elgamal/ECC/背包算法/Rabin/D-H

  • 加密和解密的密钥不同，分公钥和私钥
  • 公开密钥的加密算法
  • 加密速度慢，但安全性高，不易被破解

• 应用：数字信封

  • 使用【对称加密】来加密【数据信息】
  • 使用【非对称加密】来加密【对称加密】的密钥

2.安全技术

• 信息摘要：MD5/SHA-1

  • 由哈希函数生成
  • 生成固定长度的信息

• 数字签名：唯一标识一个发送方

  • 使用非对称加密技术
  • 使用私钥加密(签名)后，对方用你的公钥解密(配对验证)

• 公钥基础设施PKI

  • 数字签名（像驾照与一个用户绑定）
  • 签证机构CA（权威机构，像交管/公安，验证驾照的合法性）

三、网络安全技术

1.防御技术

• 防火墙
• 入侵检测系统IDS，监控系统或用户行为
• 入侵防御系统IPS，检测和阻断
• 杀毒软件
• 蜜罐系统

2.网络攻击和威胁

• 被动攻击
  • 窃听
  • 业务流分析
  • 非法登录
• 主动攻击
  • 假冒身份、抵赖、旁路控制
  • 重放攻击：截获通信数据，重新发送
  • 拒绝服务DOS

3.病毒和木马

• 病毒会直接破坏数据
• 木马是一个后门程序，窃取信息

四、网络安全协议

1.SSL协议

• 安全套接字协议
• 设计为加强web安全传输
• 与HTTP结合后形成HTTPS安全协议，端口号443

2.SSH协议

• 安全外壳协议
• 加强Telnet和FTP的安全传输协议

3.SET协议

• 安全电子交易协议
• 主要用于B2C电子商务，保证支付安全性

4.Kerberos协议

• 网络身份认证协议
• 服务器是KDS

5.S/MIME协议

• 提供安全电子邮件服务