信息安全技术主要围绕AAA管理,层次包括Authentification认证,Authorization授权/Access Control访问控制,Auditing审计,对于系统安全,应用安全,网络安全等方面进行信息安全保障的工作。
首先是应用现代密码学知识。这里牵涉到密码的原理,数学知识。密码一般分为对称密码体制,即编码解码是对称的;非对称密码体制,即公钥体制,编码是公开的作为公钥,解码是秘密的作为私钥。
对称密码的分配与管理难点在于,双方通信及对称密码的保密性。
而公钥密码体制对密码的管理,难点在于选择数学难题NP程度甚至NPC完全难解的,例如大质数分解难题,椭圆曲线求解难题。将两个数乘积求得大质数这个方向是容易解决,因此可作为公钥,公开可知。但逆向求解出它的因式分解是相当困难的,可作为私钥,只需要在算法时间内不可计算即可称为是计算上安全的。
而数字签名,消息认证,等也通过密码学知识技术实现。
系统安全包括,操作系统安全,数据库安全。
应用安全包括,应用的使用。
网络安全包括,网络通信的威胁,网络TCP/IP协议族的安全协议体系。
除此之外,还介绍了信息安全的体系构建,模型,对人员、场景、设施等的要求。