信息系统安全属性
- 保密性:最小授权原则、防暴露、信息加密、物理保密
- 完整性:安全协议、校验码、密码校验、数字签名、公证
- 可用性:综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪)
- 不可抵赖性:数字签名
对称加密技术
加密和解密的时候,用的完全一样的密钥
优点
- 加密速度快
- 效率高
缺点:
- 加密强度不高
- 密匙分发困难
非对称加密技术
- 加密用公钥,解密用私钥
或者加密用私钥,解密用公钥 - 甲的公钥只能用甲的私钥解,甲的私钥只有自己有,乙的私钥只有乙有,但公钥是满天飞的 都有
缺点
- 加密速度慢,不适合加密大数据信息
信息摘要
单向散列函数(单向Hash函数)、固定长度的散列值
常用的消息摘要算法有MD5,SHA等, 市场上广泛使用的MD5,SHA算法的散列值分别为128和160位,由于SHA通 常采用的密钥长度较长,因此安全性高于MD5。
数字签名
A用私钥加密签名,B用A的公钥解密,所以没有保密性
一般与摘要一起传输
数字信封与PGP
发送方将原文用对称密钥加密传输,而将对称密钥用接收方公钥加密发送给对方。
接收方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得原文。
- PGP可用于电子邮件,也可以用于文件存储。采用了杂合算法,包括IDEA、RSA、MD5、ZIP数据压缩算法。
- PGP承认两种不同的证书格式:PGP证书和X.509证书。
- PGP证书包含PGP版本号、证书持有者的公钥、证书持有者的信息、证书拥有者的数字签名、证书的有效期、密钥首选的对称加密算法。
- X.509证书包含证书版本、证书的序列号、签名算法标识、证书有效期、以下数据:证书发行商名字、证书主体名、主体公钥信息、发布者的数字签名。
练习
设计邮件加密系统
要求邮件以加密方式传输,邮件最大附件内容可达500MB,发送者不可抵赖,若邮件被第三方截获,第三方无法篡改。
- 以加密方式传输:加密解密技术
- 内容可达500MB:对称加密
- 发送者不可抵赖:数字签名
- 第三方无法篡改:信息摘要技术
网络安全
各个网络层次的安全保障
可能问哪个协议属于哪一层
网络威胁与攻击
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务,如果一群地痞流氓要DOS餐馆的话,手段会很多,比如霸占着餐桌不结账,堵住餐馆的大门不让路,骚扰餐馆的服务员或厨子不能干活,甚至更恶劣…
SYN Flooding攻击便是Dos攻击的典型代表,该攻击以多个随机的源主机地址向目的路由器发送SYN包,而在收到目的路由器的SYNACK后并不回应,这样,目的路由器就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务,甚至导致路由器崩渍。服务器要等待超时(Time Out)才能断开已分配的资源。
防火墙
- 网络层防火墙效率比较高,只检查IP报头
- 应用层防火墙效率比较低,要检查里面的文件
主要掌握屏蔽子网:
这种方法是在内部网络和外部网络之间建立一个被隔离的子网 ,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。
如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。
屏蔽子网防火墙能够帮助建立一个非防护区,这种类型防火墙利用堡垒主机夹在两个路由器中间是最安全的防火墙系统。