資訊保安技術複習
阿新 • • 發佈:2020-12-27
《資訊保安技術》複習
第1章 資訊保安概述
資訊保安屬性
- 1、機密性
- 確保敏感或機密資料在傳輸和儲存時不遭受
未授權的瀏覽。
- 確保敏感或機密資料在傳輸和儲存時不遭受
- 2、完整性
- 保障被傳輸、接收或儲存的資料是
完整和未被篡改的,在被篡改時能夠發現篡改的事實或者篡改的位置。
- 保障被傳輸、接收或儲存的資料是
- 3、可用性
- 即使在網路攻擊、計算機病毒感染、系統崩潰、戰爭破壞、自然災害等突發事件下,依然能夠保障資料和服務的任何時候都
正常可用。
- 即使在網路攻擊、計算機病毒感染、系統崩潰、戰爭破壞、自然災害等突發事件下,依然能夠保障資料和服務的任何時候都
- 4、真實性
- 能夠確保實體(如人、程序或系統)
身份或資訊、資訊來源的真實性。
- 能夠確保實體(如人、程序或系統)
- 5、不可否認性
- 保證資訊系統操作者或資訊的處理者
不能否認其行為或處理結果。
- 保證資訊系統操作者或資訊的處理者
- 6、可控性
- 能夠保證掌握和控制資訊與資訊系統基本情況,可對資訊和資訊系統的使用實施可靠的授權、審計、責任認定、傳播源追蹤和監管等控制。
安全攻擊
- 主動攻擊:更改資料流,或偽造假的資料流。
- 偽裝:即冒名頂替。一般而言,偽裝攻擊的同時往往還伴隨著其他形式的主動攻擊;
- 重放:先被動地竊取通訊資料,然後再有目的地重新發送;
- 篡改:即修改報文的內容。或者對截獲的報文延遲、重新排序;
- 拒絕服務:拒絕服務阻止或佔據對通訊設施的正常使用或管理。針對特定目標或是某個網路;
- 被動攻擊:對傳輸進行偷聽與監視,獲得傳輸資訊。
- 報文分析:竊聽和分析所傳輸的報文內容;
- 流量分析:分析通訊主機的位置、通訊的頻繁程度、報文長度等資訊;
安全服務
- 定義:由系統提供的對系統資源進行特定保護的處理或通訊服務。
- 目的:對抗安全攻擊
- 1、認證服務
- 最基本的安全服務,保證真實性。
- 認證可以分為:對等實體認證和資料來源認證
- 對等實體認證:在開放系統的兩個同層對等實體間建立連線和傳輸資料期間,為證實一個或多個連線實體的
身份而提供的服務; - 資料來源認證:對資料單元的
來源提供認證,需要確認某個資料是由某個傳送者傳送的;
- 對等實體認證:在開放系統的兩個同層對等實體間建立連線和傳輸資料期間,為證實一個或多個連線實體的
- 2、訪問控制服務
- 訪問控制用於防止對資源的未授權使用;
- 訪問控制服務的目標:
- 通過程序對資料、不同程序或其他計算機資源的訪問控制;
- 在一個安全域內的訪問或跨越一個或多個安全域的訪問控制;
- 按照其上下文進行的訪問控制。如根據試圖訪問的時間、訪問地點或訪問路由器等因素的訪問控制;
- 在訪問期間對授權更改做出反應的訪問控制;
- 3、資料保密性服務
- 保密性服務對資訊提供保護,使得資訊不洩露、不暴露給那些未授權的實體。
- 保密性可以分為以下四類:
- 連線保密:即對連線上的所有使用者資料提供保密;
- 無連線保密:即對無連線的資料報的所有使用者資料提供保密;
- 選擇欄位保密:即對一個協議資料單元中的使用者資料的一些經選擇的欄位提供保密;
- 資訊流安全:即對可能從觀察資訊流就能推匯出的資訊提供保密;
- 4、資料完整性服務
- 資料完整性保護資料在儲存和傳輸中的完整性(不會發生更改、插入、刪除或者重放)。
- 資料完整性有五種:
- 帶恢復的連線完整性:對連線中的資料流進行驗證,保證傳送資訊和接受資訊的一致性,可進行補救與恢復;
- 不帶恢復的連線完整性:同帶恢復的連線完整性,只是不做補救恢復。
- 選擇欄位的連線完整性:為連線上傳送的使用者資料中的選擇欄位提供完整性保護,確定被選擇欄位是否遭受了篡改、插入、刪除或不可用;
- 無連線完整性:為無連線的資料單元提供完整性保護,檢測接收到的資料是否被篡改,並在一定程式上提供對連線重放檢測;
- 選擇欄位無連線完整性:為無連線上的資料單元中的選擇欄位提供完整性保護,檢測被選擇欄位是否遭受了篡改;
- 5、不可否認服務
- 不可否認服務的目的是保護通訊實體免遭來自其他合法實體的威脅。
- OSI定義的不可否認服務有以下兩種型別:
- 有資料原發證明的不可否認性:為資料的接收者提供資料的原發證據,使傳送者不能否認這些資料的傳送或否認傳送內容;
- 有交付證明的不可否認性:為資料的傳送者提供資料交付證據,使接收者不能否認收到這些資料或否認接收內容;
安全機制
- 安全機制,是指用來檢測、預防或從安全攻擊中恢復的機制;
- 安全機制可以分為兩類:
- 一類是與安全服務有關,它們被用來實現安全服務,即特定的安全機制;
- 另一類與管理功能有關,它們被用於加強對安全系統的管理,即普遍的安全機制;
- 1、加密/解密
- 加密是提供資料保密的最常用方法,用加密的方法與其他技術相結合,可以提供資料的保密性和完整性;
- 2、資料完整性
- 資料完整性機制能夠保護資料的完整性;
- 資料單元序列的完整性是要求資料編號的連續性和時間標記的正確性,以防止假冒、丟失、重發、插入或修改資料;
- 資料完整性包括兩種形式:
- 一種是資料單元的完整性;
- 另一種是資料單元序列的完整性。
- 保證資料完整性的一般方法是:
- 傳送實體在一個數據單元上加一個標記,這個標記是資料本身的函式,如一個分組校驗,或密碼校驗函式,它本身是經過加密的。
- 接收實體產生一個對應的標記,並將所產生的標記與接收的標記相比較,以確定在傳輸過程中資料是否被修改過。
- 3、數字簽名
- 解決網路通訊中特有的安全問題的有效方法。特別是針對通訊雙方發生爭執時可能產生的如下安全問題:
- 否認:
傳送者事後不承認自己傳送過某份檔案。 - 偽造:接收者
偽造一份檔案,聲稱它發自傳送者。 - 冒充:網上的某個使用者
冒充另一個使用者接收或傳送資訊。 - 篡改:
接收者對收到的資訊進行部分篡改。
- 否認:
- 數字簽名的特性:
- 簽名是
可信的 - 簽名是
不可偽造的 - 簽名是
不可複製的 - 簽名的訊息是
不可改變的 - 簽名是
不可抵賴的
- 簽名是
- 數字簽名是附加在資料單元上的一些資料,這種附加資料可以起如下作用:
- 供接收者確認
資料來源。 - 供接收者確認
資料完整性。 - 保護資料,
防止他人偽造
- 供接收者確認
- 數字簽名需要確定以下兩個過程:
- 對資料單元簽名。使用簽名者
私有資訊。 - 驗證簽過名的資料單元。使用的過程和資訊是
公開的,但不能推斷出簽名者的私有資訊。
- 對資料單元簽名。使用簽名者
- 解決網路通訊中特有的安全問題的有效方法。特別是針對通訊雙方發生爭執時可能產生的如下安全問題:
- 4、認證交換
- 以交換資訊的方式來確認實體身份的機制。通過在對等實體間交換認證資訊,以檢驗和確認對等實體的合法性,是
實現訪問控制的先決條件。 - 用於交換認證的技術有:
- 口令:由發方實體提供,收方實體檢測。
- 密碼技術:將交換的資料加密,只有合法使用者才能解密,的出有意義的明文。在許多情況下,這種技術與下列技術一起使用:
- 時間標記和同步時鐘
- 雙方或三方“握手”
- 數字簽名和公證機構
- 利用實體的特徵或所有權。常採用的技術是指紋識別和身份卡等。
- 以交換資訊的方式來確認實體身份的機制。通過在對等實體間交換認證資訊,以檢驗和確認對等實體的合法性,是
- 5、訪問控制
- 訪問控制是一種實施對資源訪問或操作加以限制的策略,按事先確定的規則決定主體對客體的訪問是否合法。
- 訪問控制機制可以建立在下列手段上:
- 訪問控制資訊庫
- 認證資訊(如口令)
- 許可權
- 安全標記
- 試圖訪問的時間、路由、訪問持續期等
- 6、流量業務填充
- 對抗非法者線上路上監聽資料並對其進行流量和流向分析。
- 採用的具體方法一般由保密裝置在無資訊傳輸時,連續發出偽隨機序列,使得非法者不知哪些是有用資訊、哪些是無用資訊等。
- 7、路由控制
- 在一個大型網路中,從源節點到目的節點可能有多條線路,有些線路可能是安全的,而另一些線路是不安全的。
- 路由控制機制可使資訊傳送者選擇特殊的路由,以保證資料安全。
- 檢測到持續的攻擊,可以為端系統建立不同的路由的連線。
- 依據安全策略,使某些帶有安全標記的資料禁止通過某些子網、中繼或鏈路。
- 允許連線的發起者指定路由選擇,或迴避某些子網、中繼或鏈路。
- 8、公證機制
- 引入一個各方都信任的公證機構,提供公證服務,仲裁出現的問題。
- 一旦引入公證機制,通訊雙方進行資料通訊時必須經過這個機構來轉換,以確保公證機構能得到必要的資訊,供以後仲裁。
中華人民共和國網路安全法
- 實施時間:2017年6月1日
- 為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會資訊化健康發展,制定的法律。