首页 > 其他分享 >信管知识梳理(五)信息系统安全技术

信管知识梳理(五)信息系统安全技术

时间:2024-01-17 10:06:53浏览次数:29  
标签:信管 加密 信息系统 数字签名 技术 认证 安全 密钥 梳理

一、信息安全的有关概念

1.1 信息安全属性

  1. 秘密性:指信息不被未授权者知晓的属性
  2. 完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性
  3. 可用性:信息能够随时正常使用的属性

1.2 信息系统安全的层次

  1. 设备安全
    • 设备的稳定性:不出故障的概率
    • 设备的可靠性:正常执行任务的概率
    • 设备的可用性:随时可以正常使用的概率
  2. 数据安全:秘密性、完整性和可用性。数据安全是传统的信息安全
  3. 内容安全:符合国家法律法规,内容保密、知识产权和隐私保护等。
  4. 行为安全:是一种动态安全。包括行为的秘密性、完整性和可控性

1.3 信息系统安全保护等级

  1. 第一级:危害企业及公民,但是不危害国家和社会
  2. 第二级:严重危害企业及公民或对社会有危害,但是不危害国家
  3. 第三级:严重危害社会或对国家有危害【以这一级为基础,依次上下类推】
  4. 第四级:特别严重危害社会或严重危害国家
  5. 第五级:特别严重危害国家

1.4 计算机系统安全保护能力等级

  1. 第一级-用户自主保护级:适用于普通内联网用户
  2. 第二级-系统审计保护级:适用于通过内联网或国际网进行商务活动,需要保密的非重要单位
  3. 第三级-安全标记保护级:适用于地方各级国家机关、金融、邮电、能源、交通运输、重点工程建设等单位
  4. 第四级-结构化保护级:适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门
  5. 第五级-访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位

【记忆口诀】主审机构访问

二、信息加密、解密与常用算法

2.1 信息加密、解密的概念

2.1.1 信息加密

信息加密是指利用加密技术伪装信息,使未授权者不能理解它的真实含义。加密前的原始数据称为明文,加密后的数据称为密文,从明文到密文的过程称为加密(Encryption)。用于对数据加密的一组数学变化称为加密算法,加密在加密密钥的控制下进行。对数据加密的技术主要分为两类:

  • 对称加密(私人密钥加密):以数据加密标准(Data Encryption Standard,DES)为代表
  • 非对称加密(公开密钥加密):以RSA(三个人名首字母)算法为代表
  1. 对称加密

    对称密码编码技术,特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥。主要有以下几种算法:

    • 数据加密标准DES(1998年废止)
    • 国际数据加密算法IDEA
    • 数据加密标准算法AES
  2. 非对称加密

    将传统密码的密钥一分为二,分为加密钥和解密钥。加密钥控制加密,解密钥控制解密。

    • 基于大合数因子分解困难性的公开密钥密码RSA

2.2 数字签名

签名是证明当前者的身份和数据真实性的一种信息。数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串,就发送者发送信息真实性的一个有效证明。数字签名是非对称密钥加密技术与数字摘要技术的应用。此外,数字签名也可以验证数据完整性。

完善的数字签名体系应该满足以下条件:

  • 签名者事后不能抵赖自己的签名
  • 任何其他人不能伪造签名
  • 能够在公正的仲裁者面前通过验证签名来确认其真伪

2.3 认证

认证是证实某事是否名副其实或者是否有效的一个过程(身份是否合法)。认证与加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,而认证是用以确保报文发送者和接收者的真实性。认证往往是许多应用系统中安全保护的第一道设防。

认证和数字签名的区别:

  • 认证基于收发双方共享的保密数据来认证,而数字签名中用于验证签名的数据是公开的
  • 认证允许收发双方互相验证其真实性,不准许第三者验证,而数字签名允许收发双方和第三者都能验证
  • 数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力,而认证则不一定具备

三、信息系统安全

信息系统一般是由计算机系统、网络系统、操作系统、数据库系统和应用系统组成。所以对应的信息安全主要包括计算机设备安全、网络安全、操作系统安全、数据库系统安全和应用系统安全。

3.1 计算机设备安全

主要包括物理、设备、存储介质安全和可靠性技术等

  1. 物理安全:保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故及人为操作失误或错误及各种计算机行为导致的破坏。物理安全是整个计算机信息系统安全的前提。
  2. 设备安全:设备的防盗和防毁,防止电磁信息泄漏,防止线路截获、抗电磁干扰以及电源的保护
  3. 存储介质安全:介质本身和介质上存储数据的安全
  4. 可靠性技术:一般采用容错系统实现,容错主要依靠冗余设计来实现

3.2 网络安全

网络作为信息的主要收集、存储、分配、传输、应用的载体,其安全对整个信息的安全起着至关重要甚至是决定性作用

3.2.1 网络威胁

常见的网络威胁包括:

  1. 网络监听
  2. 口令攻击
  3. 拒绝服务攻击(Dos):让目标机器停止提供服务
  4. 漏洞攻击
  5. 僵尸网络
  6. 网络钓鱼
  7. 网络欺骗
  8. 网站安全威胁:SQL注入攻击、跨站攻击、旁注攻击等

3.2.2 网络安全防御技术

  1. 防火墙
  2. 入侵检测与防护
    • 入侵检测系统(Intrusion Detection System, IDS)通过监视网络或资源,找迹象发报警,属于被动防御
    • 入侵防护系统(Intrusion Prevention System, IPS)可预先拦截,属于主动防御
  3. VPN(Virtual Private Network)虚拟专用网络,在公用网络中建立专用的、安全的数据通信通道的技术。是加密和认证技术在网络传输中的应用
  4. 安全扫描
    • 漏洞扫描
    • 端口扫描
    • 密码类扫描(发现弱口令密码)
  5. 蜜罐(Honeypot):属于一种主动防御技术,是入侵检测技术的一个重要发展方向,也是一个“诱捕”攻击者的陷进

3.3 操作系统安全

操作系统的安全威胁按照行为方式划分有以下几种:

  1. 切断:对可用性的威胁,如破坏硬盘、切断通信线路或使文件管理失效
  2. 截取:对机密性的威胁,未经授权的用户、程序或计算机系统获得了对某资源的访问
  3. 篡改:对完整性的攻击,未经授权的用户对获得的某资源进行了篡改,如修改网络中正在传送的消息内容
  4. 伪造:对合法性的威胁,未经授权的用户将伪造的对象插入系统中,如把伪造的消息加到网络中或向当前文件加入记录

按照安全威胁的表现形式来分,有以下几种:

  1. 计算机病毒
  2. 逻辑炸弹
  3. 特洛伊木马
  4. 后门:指的是嵌在操作系统的一段非法代码
  5. 隐蔽通道:系统中不受安全策略控制的、违反安全策略、非公开的信息泄漏路径

3.4 数据库系统安全

数据库安全主要指数据库管理系统安全,数据库安全涉及:

  1. 物理数据库的完整性:保证数据库系统中的数据不因各种自然或者物理因素而被破坏
  2. 逻辑数据库的完整性:对数据库的结构化特征提供保证,确保数据库系统结构、模式、数据不被非法修改
  3. 元素安全性:确保数据库各种存储元素满足机密性、完整性、可用性等限制
  4. 可审计性:记录数据库中所有事务和操作,保留详细的审计和日志记录,提供时候追查、分析和取证工具
  5. 访问控制:确保只有授权用户或授权程序可以访问哪些允许它们访问的数据元素,同时保证对不同用户限制使用不同的控制策略并允许灵活设置
  6. 身份认证:
  7. 可用性
  8. 推理控制
  9. 多级保护:将数据划分为不同密级的集合

3.5 应用系统安全

确保应用系统自身执行程序和配置文件的合法性、完整性是及其重要的安全保证措施

应用系统主要面临的威胁有:

  1. 可信任站点的漏洞
  2. 浏览器和插件漏洞
  3. 终端用户的安全策略不健全
  4. 携带恶意软件的移动存储设备
  5. 网络钓鱼
  6. 僵尸网络
  7. 带有键盘记录程序的木马

应用系统威胁防护技术主要包括有:

  1. Web访问控制技术:主要任务是保证网络资源不被非法访问者访问

  2. 单点登录(SSO)技术:单点登录为应用系统提供集中统一的身份认证,实现“一点登录、多点访问”。采用基于数字证书的加密和数字签名技术,基于统一的策略的用户身份认证和授权控制功能,对用户实行集中统一的管理和身份认证。

  3. 网页防篡改技术

    • 时间轮询技术
    • 核心内嵌技术
    • 事件触发技术
    • 文件过滤驱动技术
  4. Web内容安全

    • 电子邮件过滤
    • 网页过滤
    • 反间谍软件

    这些技术不仅对内容安全市场发展起到决定性推动作用,而且对于互联网的安全起到至关重要的保障作用

参考资料

《信息系统项目管理师—教程 第三版》

标签:信管,加密,信息系统,数字签名,技术,认证,安全,密钥,梳理
From: https://blog.51cto.com/u_16202392/9284672

相关文章

  • 数字中国产业链梳理全景图
    ......
  • 如何做好一个信息系统项目经理,一个项目经理的个人体会和经验总结(一)
    作为一个信息系统项目经理,最要紧的就是要明白什么是因地制宜、因势利导,只有最合适的,没有什么叫对的,什么叫错的;最忌讳的就是完美主义倾向,凡事都要寻找标准答案和最优答案,既耽误了项目进度,也迷茫了自己。以下是本人一些做信息系统项目的个人体会和经验总结,写出来供大家指点,在讨论过......
  • 解密Prompt系列23.大模型幻觉分类&归因&检测&缓解方案脑图全梳理
    上一章我们主要聊聊RAG场景下的幻觉检测和解决方案,这一章我们单独针对大模型的幻觉问题,从幻觉类型,幻觉来源,幻觉检测,幻觉缓解这四个方向进行整理。这里就不细说任意一种方法了,因为说不完根本说不完,索性用脑图概览式地看下整个大模型幻觉领域。主要参考以下两篇论文ASurveyonHa......
  • 基于SSM的流浪动物领养信息系统设计
    现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集中处理数据信息的管理方式。本流浪动物领养信息系统就是在这样的大环境下诞生,其可以帮助管理者在短时间内处理完毕庞大的数据信息,使用这种软件工具可以帮助管理人员提高事务处理效率,达到事......
  • go的并发梳理
    Golang不可不知的7个并发概念原创 俞凡DeepNoMind DeepNoMind 2024-01-0613:10 发表于上海 3人听过并发性支持是Golang最重要的原生特性之一,本文介绍了Golang中和并发性相关的7个概念。原文: Golang:7must-knowconcurrencyrelatedconcepts[1]并发是Go编程......
  • 2024年1月软考高级信息系统项目管理师报名指南,快来看看
    信息系统项目管理师是全国计算机技术与软件专业技术资格(水平)考试(简称软考)项目之一,是由国家人力资源和社会保障部、工业和信息化部共同组织的国家级考试,既属于国家职业资格考试,又是职称资格考试。信息系统项目管理师,属于软考三个级别中的“高级”。 【报考要求】 不设学历与资历条......
  • 已确认:软考教材2024年改版!信息系统管理工程师 会改版吗?
    2024年软考教材已确认改版,改版的消息已经正式公布。其中,系统集成项目管理工程师和信息系统监理师新书1月出版!上个月,我们发布过改版信息:软考教材即将改版,软考哪些科目会改版?如果你想了解哪些科目还可能会改版,可以点击:24年软考教材改版,这些科目会改吗?根据查询中国国家版本馆数据:系统......
  • 24年软考教材改版,信息系统监理师会改吗?
    前几天我们举办了一场技术类的公开课,不少考生都非常关心软考教材的改版问题。24年 信息系统监理师的教材会改版么?软考各科目最新资料免费领取>>>软考免费刷题:点此进入>>>01历年教材改版趋势软考涉及科目众多,很多教材已过多次改版,但从公开的渠道我们很难找到相关教材改版的汇总数......
  • k8s主要概念大梳理!
    k8s已经成为了绝对热门的技术,一个上点规模的公司,如果不搞k8s,都不好意思出去见人。安装k8s要突破种种网络阻碍,但更大的阻碍还在后面...我发现,很多k8s的文章,根本不说人话,包括那要命的官网。要弄明白k8s的细节,需要知道k8s是个什么东西。它的主要功能,就是容器的调度--也就是把部署......
  • 基于SpringBoot+Vue的流浪动物领养信息系统设计实现(源码+lw+部署文档+讲解等)
    (文章目录)前言:heartpulse:博主介绍:✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战✌:heartpulse:......