系统安全分析与设计

安全属性

保密性:最小授权原则、防暴露、信息加密、物理保密

完整性:安全协议、校验码、密码校验、数字证书、公证

可用性:IP过滤、业务流控制、路由选择控制、审计跟踪

不可抵赖性:数字签名

对称加密技术

加密和解密用的同一个密钥。缺陷:加密强度不高、密钥分发困难

DES:56位

3DES:两个56位

AES:密钥的长度最少支持为128、192、256

RC-5:使用可变参数的分组迭代密码体制

IDEA算法:128密钥

非对称加密技术

公钥加密,私钥解密。缺陷:加密速度慢

RSA:2048位(或1024)密钥

Elgamal

ECC

信息摘要

保障完整性,防篡改

常用算法:

MD5(128位)、SHA(160位)

数字签名

采用非对称加密算法

发送方用私钥签名(加密),接收方用发送方公钥验证(解密),一般选择对摘要签名。

数字信封

发送方将原文用对称密钥加密传输,对称密钥用接收方公钥加密发送给对方,接收方用自己的私钥解密信封,取出对称密钥解密得到原文。

数字证书

X.509证书包含证书版本、证书序列号、签名算法标识、证书有效期、发行商名称、证书主体名、主体公钥信息、发布者的数字签名。

无线网络安全

采用AES和临时密钥完整性协议TKIP两种加密算法

WPA:代替WEP

WPA-PSK:只能使用TKIP加密方式

WPA2:支持AES加密方式

WPA2-PSK:支持TKIP和AES两种加密方式

安全保障层次

身份认证:用户名+口令、数字证书、生物特征识别

访问控制:自主访问控制(DAC)、访问控制列表(ACL)、强制访问控制(MAC)、基于角色的访问控制模型(RBAC)、基于任务的访问控制(TBAC)

系统:PKI/CA

安全审计

作用:

震慑、警告

发现计算机的滥用情况

提供有效的追纠证据

帮助发现系统入侵和漏洞

帮助发现系统性能上的不足

网络安全

网络层次安全保障

应用层:PGP、https

传输层:TLS、SET

网络层:防火墙、IPSec

数据链路层:链路加密、PPTP、L2TP

物理层:隔离、屏蔽

网络威胁及攻击

重放攻击(ARP):篡改IP和MAC的映射

拒绝服务(DOS):合法访问被无条件阻止

窃听:窃取系统中的信息资源和敏感信息

业务流分析:对系统通信频度、信息流向、通信总量的变化等进行研究,发现有价值的信息和规律

特洛伊木马:一个察觉不出或无害的程序段,当它被执行时,会破坏用户的安全

陷阱门:当提供特定的输入数据时允许违反安全策略

防火墙

防外不防内

网络级(更高效,只检查包头):包过滤、状态检测

应用级(更安全,检查包内容):双穴主机、屏蔽主机(屏蔽路由器)、屏蔽子网(含有DMZ,两层防火墙)

入侵检测

包括事件产生器、事件数据库、事件分析器、响应单元

技术:特征检测、异常检测

方法:特征检测、统计检测、专家系统

计算机病毒

自我复制,破坏计算机功能或数据

宏病毒:美丽莎、中国台湾1号,感染Office,寄存在文档或模板的宏中病毒

蠕虫病毒:熊猫烧香,利用网络进行复制和传播

CIH病毒:破坏硬件,计算机系统硬件病毒

木马

后门程序,窃取资源

安全防范体系

物理安全

网络安全

系统安全

应用安全

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180504G1VPQZ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券