安全属性
保密性:最小授权原则、防暴露、信息加密、物理保密
完整性:安全协议、校验码、密码校验、数字证书、公证
可用性:IP过滤、业务流控制、路由选择控制、审计跟踪
不可抵赖性:数字签名
对称加密技术
加密和解密用的同一个密钥。缺陷:加密强度不高、密钥分发困难
DES:56位
3DES:两个56位
AES:密钥的长度最少支持为128、192、256
RC-5:使用可变参数的分组迭代密码体制
IDEA算法:128密钥
非对称加密技术
公钥加密,私钥解密。缺陷:加密速度慢
RSA:2048位(或1024)密钥
Elgamal
ECC
信息摘要
保障完整性,防篡改
常用算法:
MD5(128位)、SHA(160位)
数字签名
采用非对称加密算法
发送方用私钥签名(加密),接收方用发送方公钥验证(解密),一般选择对摘要签名。
数字信封
发送方将原文用对称密钥加密传输,对称密钥用接收方公钥加密发送给对方,接收方用自己的私钥解密信封,取出对称密钥解密得到原文。
数字证书
X.509证书包含证书版本、证书序列号、签名算法标识、证书有效期、发行商名称、证书主体名、主体公钥信息、发布者的数字签名。
无线网络安全
采用AES和临时密钥完整性协议TKIP两种加密算法
WPA:代替WEP
WPA-PSK:只能使用TKIP加密方式
WPA2:支持AES加密方式
WPA2-PSK:支持TKIP和AES两种加密方式
安全保障层次
身份认证:用户名+口令、数字证书、生物特征识别
访问控制:自主访问控制(DAC)、访问控制列表(ACL)、强制访问控制(MAC)、基于角色的访问控制模型(RBAC)、基于任务的访问控制(TBAC)
系统:PKI/CA
安全审计
作用:
震慑、警告
发现计算机的滥用情况
提供有效的追纠证据
帮助发现系统入侵和漏洞
帮助发现系统性能上的不足
网络安全
网络层次安全保障
应用层:PGP、https
传输层:TLS、SET
网络层:防火墙、IPSec
数据链路层:链路加密、PPTP、L2TP
物理层:隔离、屏蔽
网络威胁及攻击
重放攻击(ARP):篡改IP和MAC的映射
拒绝服务(DOS):合法访问被无条件阻止
窃听:窃取系统中的信息资源和敏感信息
业务流分析:对系统通信频度、信息流向、通信总量的变化等进行研究,发现有价值的信息和规律
特洛伊木马:一个察觉不出或无害的程序段,当它被执行时,会破坏用户的安全
陷阱门:当提供特定的输入数据时允许违反安全策略
防火墙
防外不防内
网络级(更高效,只检查包头):包过滤、状态检测
应用级(更安全,检查包内容):双穴主机、屏蔽主机(屏蔽路由器)、屏蔽子网(含有DMZ,两层防火墙)
入侵检测
包括事件产生器、事件数据库、事件分析器、响应单元
技术:特征检测、异常检测
方法:特征检测、统计检测、专家系统
计算机病毒
自我复制,破坏计算机功能或数据
宏病毒:美丽莎、中国台湾1号,感染Office,寄存在文档或模板的宏中病毒
蠕虫病毒:熊猫烧香,利用网络进行复制和传播
CIH病毒:破坏硬件,计算机系统硬件病毒
木马
后门程序,窃取资源
安全防范体系
物理安全
网络安全
系统安全
应用安全
领取专属 10元无门槛券
私享最新 技术干货