1、 信息系统面临的主要威胁:【总体】窃取、篡改、伪造、拒绝服务、重放、冒充、抵赖。【威胁源】由合法用户的操作失误或系统中的软硬件故障引起的;敌对分子(不法分子)有意制造的对信息系统的攻击,以达到个人的某种目的。
通常称为“计算机犯罪”:①以计算机系统资源为破坏对象的犯罪。②以计算机系统为工具的犯罪。
2、 窃取:威胁源未经许可或间接获得了对系统资源的访问权,从中窃取有用的数据或骗取某种服务。篡改:
威胁源虽然未经许可,但成功地获得了对系统某项资源的访问权,并更改该项资源。 伪造:威胁源在未经许可的情形下,在系统中产生出虚假的数据或服务。
拒绝服务:威胁源使系统的资源受到破坏或不能使用,从而使得数据的流动或所提供的服务被终止。 重放:
在网络通信中重放以前截收到的过时信息,使收方落入陷阱。冒充:一个实体假冒另一个实体的身份进行通信。
抵赖:在网络通信中,用户可能为了自身利益,否认自己曾经有过的行为。
3、 信息系统的脆弱性:硬件设施的脆弱性、软件系统的脆弱性、网络通信的脆弱性。
4、 信息系统的安全是指对于系统中的硬、软件及数据进行保护,防止它们因偶然或恶意的原因而遭到破坏、更改或泄漏。
5、 外部安全指构成信息系统的计算机硬件、外部设备以及网络通信设备的安全。
6、 内部安全指信息系统中程序、数据和服务的安全,使其不被破坏、更改和泄漏。
7、 从保护方法上考虑信息系统的安全:物理安全、人事安全、法律安全、技术安全【保密性、完整性、可用性、可控性、抗抵赖性、可靠性】。
8、 信息安全的主要技术:身份鉴别、信息流控制、访问控制、数据加密、推理控制、隐通道的分析和控制、审计、安全管理。
9、 身份鉴别方式:根据用户知道什么/拥有什么/的生物特征/的下意识动作验证身份。
10、 自主访问控制(discretionary access control):对某个客体具有拥有权的主体能够将对该客体的一种访问权或多种访问权自住的授予其他主体,并在随后的任何时刻将这些授权予以撤销的一种控制方式。【3种方式:
基于能力表/授权表/控制表的自主访问控制】
11、 强制访问控制(mandatory access control):在一个实施了强制访问控制的系统中,一个主体对那些客体被允许进行访问以及可以进行什么样的访问,都必须事先经过系统对该主体授权,否则其访问会遭到拒绝。
12、 安全策略是为了描述系统的安全需求而制定的对用户行为进行约束的一套严谨的规则。【军事安全策略:向下读、向上写】
13、 角色:角色对应组织机构里的一个工作岗位或一个职务,系统给每一个角色分配不同的操作权限,根据用户在组织机构中担任的职务为其指派相应的角色,用户通过所分配的角色获得相应的访问权限,实现对资源的访问。
14、 角色是rbac机制中的核心,它一方面是用户的集合,另一方面又是访问权限的集合,作为中间媒介将用户与访问权限联系起来。
15、 审计子系统的功能:事件收集功能、事件过滤功能、对事件的分析和控制功能、日志维护和查询功能审计信息安全性保护功能。
16、 设计一个安全的数据库应用必须考虑:①保密性:不允许未经授权的用户读取数据;②完整性:
不允许未经授权的用户修改和删除数据;③可用性:系统不应拒绝被授权用户对数据的访问。【授权grant **revoke】
17、 数据库的加密应满足的基本要求:①加密算法应有足够的密码强度;②应尽可能减少由于数据加密所造成的存储空间的增加;③数据库的功能不受影响;④加、脱密的速度应当足够快,不会大幅度降低数据库的时间效率;⑤应有一套安全、灵活的密钥管理机制。
18、 数据库的加密粒度可以分为表级、元组(或属性)级和数据项级三种方式。【表级加密方式】对表中所有数据采用同一个密钥加密,遭到攻击可能性大、效率很低,简单。【元组级】效率低,相对受到攻击可能性小些。
【数据项级】处理灵活、方便、效率高,密钥数量太大。
19、 网络安全的基本含义:是指使网络系统的硬、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改和泄露。
20、 防火墙是一个或一组在两个网络之间执行访问控制策略的系统。
21、 【包过滤防火墙】结构最简单的,用一台过滤路由器来实现,22、 ipsec是iete以rfc形式公布的一组安全ip协议集,是在ip包级为ip业务提供保护的安全协议标准。作用:把安全机制引入ip协议,通过使用现代密码学的方法支持机密和认证服务,使用户能有选择的使用,并得到所期望的安全服务。
23、 tcsec的定义:隐通道是一个通信通道,它使得一个进程能以违反系统安全策略的方式传递信息。
24、 信息安全评估标准:1985美国tcsec、1991西欧四国itsec、1993加拿大ctcpec。
1、 密码学(cryptology)包括密码编码学和密码分析学两部分。在密码学中,消息(message)被称为明文(plaintext)。用某种方法伪装消息以隐藏它的内容的过程称为加密(encryption),被加密的消息称为密文(ciphertext),而把密文转变为明文的过程称为解密(decryption)。
2、 密码分析者攻击密码的方法:穷举攻击、统计分析攻击、数学分析攻击。
3、 破译密码的类型:惟密文攻击、已知明文攻击、选择明文攻击。
4、 des(数据加密标准)使用64位的密钥(除去8位奇偶校验码,实际密钥长度为56位),对64位二进制数进行分组加密,经过16轮的迭代、乘积变换、压缩变换等处理,产生64位密文数据。
5、 rsa加密密钥的产生基本过程 ①选两个保密的大素数p和q (保密)。
②计算n=p·q(公开),φn)= p-1)(q-1) (保密)。
随机选取一整数e,满足1 ④计算d,满足d·e ≡ 1(mod φ(n)) 保密)。
说明:d是e在模φ(n)下的乘法逆元。因为e与φ(n)互素,所以其乘法逆元一定存在。 ⑤得到一对密钥:公开加密钥:,秘密加密钥。
应用举例。① 选择两个素数p = 7,q = 17。
② 计算n = p·q = 7×17 = 119。
计算n的欧拉函数。
n) =p - 1)(q - 1) =6×16 = 96。
③ 从[0,95]间选一个与96互质的数e = 5,根据式。
5·d = 1 mod 96
④ 解出d = 77,因为。
e·d = 5×77 = 385 = 4×96 + 1 = 1 mod 96。
⑤得到公钥pk = e,n) =密钥sk =
信息安全复习
cia 机密性 针对的是防止对信息进行未授权的 读 完整性 面对的是防止或者至少是检测出未授权的 写 可用性 确保经授权的用户在需要信息时可以获得信息资源。访问控制 1 身份认证 你是否就是你所声称的那个人 2 授权 可以允许你做什么。理想的生物特征技术要素 1 通用性 生物特征应能够适用于现实中的...
信息安全复习
1 信息安全的四项要求 p2 机密性,真实性,完整性,抗抵赖性。机密性由加密 对称密钥算法 非对称密钥算法 保证。真实性 抗抵赖性由数字签名保证。完整性由单向散列函数保证。2 凯撒密码 p16 是一种简单易行的单字母替换密码。3 对称密钥密码算法的两种类型 p18 分组密码 流密码 序列密码 4 密...
信息安全复习
信息安全基本属性 1.保密性 confidentiality 2.完整性 integrity 3.可用性 ailability 4.可认证性 authentication 5.抗否认性 6.可控性。7,可靠性。网络层 ipsec 传输层 tcp udp 应用层 ftp smtp 对称加密 aes 1...