信息 安全

一、信息安全

划分特点例子****物理安全物理设置、环境和人身安全机房安全网络安全网络体系结构安全、通信和网络技术安全、互联网技术和服务安全入侵检测系统安全系统硬件平台、操作系统、各种应用软件相互关联漏洞补丁管理应用安全针对特定应用建立的防护措施数据库

信息系统安全属性

保密性

    最小授权原则(给与工作所需的最小权限不给予多余权限)，防暴露，信息加密，物理保密.

完整性

    未经授权不可改变。即保障传输信息的完整，可使用安全协议，校验码，密码校验。数字签名，公正。

可用性

    即保障服务器可以正常为用户提供服务，综合保障（IP过滤，业务流控制、路由器选择空着、审计跟踪）。

不可抵赖性

    即用数字签名确认发送者的身份。

二、对称加密和非对称加密

对称加密技术（又称分组加密技术、共享密钥加密）

    对称加密是指对信息进行加密和解密时使用的是完全一致的密钥；此外日常生活中对压缩包、文件等设置打开密码的行为由于设置与开启的密码完全一致所以属于对称加密。

优缺点

    加密速度快、效率高。加密强度不高、密钥分发困难（直接传输密钥极易被获取，暴露文件内容）

常见对称密钥加密算法

对称加密特性DES替换（明文密文一对一替换）+移位（移动原文排列顺序等）56位密钥，64位数据块，速度快，密钥容易产生。
3DES

(3重DES)

两个56位的密钥K1,K2

加密：K1加密--K2解密--K1加密

解密：K1解密--K2加密--K1解密
AES 高级加密标准Rijndae加密法，美国联邦政府采用的一种区块加密标准，此标准用来代替原先的DES，对其要求是至少与3DES一样安全。RC-5 RSA数据安全公式的很多产品都使用lRC-5IDEA128位密钥、64位数据块、比DES加密性好、对计算机功能要求相对较低

非对称加密技术（又称公开密钥加密）

    加密和解密使用的密钥是不一样的，个人手里私钥保密，公钥公开，想要给对方发送加密文件直接用对方公开的公钥加密后发送给对方，对方拿到加密文件之后会使用自己的私钥解密。

例如：

甲手中有自己的私钥a，且只有甲有，甲的私钥a所对应的公钥A是公开的，任何人都可以知道；

用A加密过的文件只有a能解；

乙手中有自己的私钥b，且只有乙有；乙的私钥b所对应的公钥B是公开的，任何人都可以知道；

用B加密过的文件只有b能解；

    因此甲想要发送加密文件给乙可以直接使用公开的密钥B进行加密，然后发送给乙，乙拿到加密文件之后用自己的私钥b进行解密就可以得到源文件。    

缺点

密钥位数太多，加密速度慢，如果是大文件基本不可实现。

常见非对称密钥加密算法

非对称加密特点RSA512位（或1024）位密钥、计算量极大、难破解Elgamal基础是Diffie-Hellman密钥交换算法ECC椭圆曲线算法背包算法RabinD-H

应用

    实际应用中，常常使用对称加密技术加密大内容传输文件，用非对称加密技术加密所传输的大内容传输文件的密钥。

三、信息摘要

    信息摘要其实是从信息里面提取出的特征值，如果原文信息发生变化特征值会跟着发生较大改变。

应用场景

老板甲给员工乙发送信息，信息内容是给客户丙转账10万元作为合同款；

此时信息被丙截获并进行篡改，将10万元改为100万元，（此种情况称之为信息的完整性遭到破坏）给公司造成损失 ；

为了避免此类情况发生，提出信息摘要；

老板甲发送前先给信息生成信息摘要，然后将摘要和原信息分别发送给员工乙；

员工乙收到信息之后生成摘要，再与原来收到的摘要进行比对；

如果一致则说明信息未被篡改，如果不一致说明信息被篡改。

信息摘要函数

    算法采用单向散列函数（单项Hash（哈希）函数）摘要是采取破坏性手法从原文中取得特征值，无法根据摘要推得原文。

常用信息摘要算法

信息摘要算法特性MD5市场上使用较为广泛，摘要位数是128位SHA摘要位数是160位比MD5长，因此安全性高于MD5
如果在上述应用场景中，客户丙截获了信息并且截获了信息摘要，对二者都进行篡改，改为一致状态，那么乙收到信息和信息摘要之后仍然无法发现是否被篡改，因此引出概念数字签名。

四、数字签名

可以将数字签名技术理解为不对称加密。

数字签名的作用：

    接收方验证消息来源于发送方，且发送方不能否认发送过消息。接收方也无法篡改发送方发送的消息。

例如：

私钥a是由甲拥有的，且只有甲拥有，私钥a对应的公钥A是公开的；

私钥b是由乙拥有的，且只有乙拥有，私钥b对应的公钥B是公开的；

甲需要发送文件给乙；

甲首先让文件产生信息摘要，然后用私钥a对信息摘要进行加密；（甲对文件的数字签名过程）

然后将文件和加密后的信息摘要传输给乙；

乙用甲的私钥a所对应的公钥A可以对文件进行解密；（数字签名的验证过程）

因此乙可以确定此文件是由甲发送的，也就是甲对该文件进行了数字签名。

注：此处的公钥私钥没有任何保密作用，只有数字签名及认证的作用。

** 之所以对信息摘要进行加密是因为不对称加密技术难以对较大的文件进行加密。**

五、数字信封

数字信封

发送方将原文件用对称加密技术进行加密，将对称加密密钥用接收方公钥加密发送给对方；

接收方接收到加密文件和加密的对称加密密钥，用自己的私钥解密出加密后的对称加密密钥，然后利用对称加密密钥解密出原文；

数字证书

    个人的密钥与个人信息结合起来，类似于人的身份证，用于更好的确定密钥的归属与个人身份，谨防造假，数字证书由专业的机构颁发并附有颁发机构的数字签名。

PGP协议

PGP可以用作电子邮件加密，也可以用作文件存储。采用杂合算法IDEA、RSA、MD、ZIP数据压缩算法

PGP承认两种不同的证书格式，PGP证书和X.509证书：

PGP证书包含

    PGP版本号、证书持有者的公钥、证书持有者的信息、证书持有者的数字签名、证书有效期、密钥首选的对称加密算法。

X.509证书包含

** **证书版本、证书序列号、签名算法标识、证书有效期、证书发行商名字、证书主题名、主体公钥信息、发布者的数字签名。

互信

    假若A、B分别在S1、S2两个CA处取得了各自的证书，那么A、B互信的前提是S1、S2两个CA交换公钥确定合法性。

六、加密技术应用

例题：

要求邮件以加密技术进行传输，邮件最大附件内容可达500MB，发送者不可抵赖，若邮件被第三方截获，第三方无法篡改。

分析：

邮件以加密技术进行传输----------（对称加密技术解密技术、非对称加密解密技术）

内容可达500MB----------（文件容量大考虑使用对称加密技术加密原文）

对称加密技术加密原文会产生对应的密钥，暂将密钥命名为密钥K，并且密钥K需要进行传输

密钥K传输同样需要加密----------（数据量小可以使用非对称加密）

发送者不可抵赖----------（数字签名技术）

若被截获第三方无法篡改----------（信息摘要技术）

七、网络安全

七层网络模型各层安全保障

注：主要考察方式是区分安全保障属于那一层，能区分开就会好。
应用层SSL横跨多个层次，用于在Internet上传送机密文件PGP基于RAS的邮件加密Https（http协议不加密https是http的加密版）表示层会话层传输层TLS通信应用程序之间提供保密性和数完整性SET（面向电子商务）网络层防火墙（有单纯软件性质、软硬件结合性质）IPSec（针对IP包进行加密后传输，有两种加密形式：直接对整个包进行加密，附加包头发出；把包拆开对包内数据加密后封好）数据链路层链路加密PPTP（隧道，隧道内会对数据进行加密，通过隧道传输非常安全）L2TP（隧道，隧道内会对数据进行加密，通过隧道传输非常安全）物理层隔离（单独设置线路不共用）屏蔽（在地域外围设置屏蔽设备隔绝内外信息交流）

网络威胁与攻击

注：能根据描述判断威名称或者根据名称知道其工作方式。
威胁名称描述重放攻击（ARP）所截获的某次合法的通信数据拷贝出于非法目的被重新发送；因为有欺骗计算机的嫌疑故又称（欺骗ARP）时间戳可以防止重放攻击拒绝服务（DOS）对信息或其他资源的合法访问被无条件地阻止（破坏系统可用性合法用户无法正常使用）窃听非法或合法（权限之外的合法方式）的手段进行窃听业务流分析长期监听或窃听，并对所得的信息进行统计分析从而得到有价值的信息信息泄露信息被泄露或透露给某个非授权的实体破坏信息的完整性数据被非授权地进行增删改或破坏而受到损失非授权访问某一资源被某个非授权的人或以非授权的方式使用（绕开授权使用资源）假冒通过欺骗系统或用户，冒充合法用户，或者授权小的用户冒充授权大的用户旁路控制利用系统本身漏洞获取权限授权侵犯因某一目的被授权的人将得到的权限用作其用途又称内部攻击特洛伊木马软件中含有觉察不出的无害程序段，当该程序被执行时会窃取信息，又称间谍程序陷阱门在某个系统或部件设置机关，使得当提供给特定输入数据时允许违反安全策略抵赖否认自己发布过的信息、伪造对方来信是一种来自用户的攻击

防火墙

    防火墙的基本功能是控制数据流、提供流量日志和审计、隐藏内部IP以及网络结构细节等。例如ALC(访问控制列表)被广泛的应用于路由器和三层交换机，是老式防火墙的功能。入侵检测是防火墙的合理补充。

特点：

    防外不防内，如果从外部发起攻击，防火墙会将其过滤掉，如果在内部文件里存在病毒木马等，那么他根本不会经过防火墙。

网络级

    只检查头部信息，对指定来源进行屏蔽，将该来源的IP包拒收，如果头部信息不是指定来源的不会被拒收。       

优缺点

    网络级检查方式较为简单（工作层次低），所以网络级检查的速度快效率高。相对而言不够严谨，安全率较低。

应用级

    将信息拆解查看内部。

优缺点

   信息查验详细，安全率高.。但逐个查验方式较为繁琐（工作层次高） ，速度慢效率低。

例

A地区发生猪流感B地区进行防范；

网络级检验手段：

     B地区设置检疫站对载生猪的车辆进行查验，判断车辆出发地是不是A地区，只要是A地区来的通通不要。

应用级检验手段：

    例如一俩从A地区来的车将自己的来源伪装成C地区来的只是经过A地区，那么他是可以入内的，因为没有规定C地区来源的车辆不准入内。

    B地区设置检疫站对载生猪的车辆进行查验，不论是不是从A地区来的一律开箱查验，有猪流感拒收，没有猪流感放行。

防火墙分类

屏蔽子网

    屏蔽子网结构比较复杂，由两道防火墙构成，靠近内部网络有一道防火墙，靠近外部网络也有一道防火墙，其中堡垒主机还可以算作第三道防火墙，涵盖也较为全面。

    屏蔽子网在外网和内网之间做了隔离区，又称屏蔽子网区或DMZ（非军事区），此区域不属于内部网络也不属于外部网络。

    此区域存放对外提供服务的服务器，例如web服务器或者邮件服务器，内部网络访问这些服务器需要经过一层防火墙，外部网如果攻破了一层防火墙，还有另一层防火墙做保障，因此上图的防火墙中，屏蔽子网安全性是最高的。

八、其他

Windows系统用户权限

由高到低分别是：Administratoors、power users、Users、Everyone。

安全防护策略

分为：安全日志、入侵检测、漏洞扫描。

加密和认证

加密用来确保数据的保密性，可以阻止被动攻击；

认证用来确保报文发送者和接收者的真实性以及报文的完整性，可阻止主动攻击。

IE浏览器安全级别

由高到低分别是：受限制站点、可信任站点、本地Internet、Internet。

访问控制

授权、确定访问权限、实施存取权限。

攻击分类

主动：主动向被攻击对象实施破坏，涉及修改或创建数据，包括重放、假冒、篡改、与拒绝服务等。

被动：只是窥探、窃取、分析数据，但不影响网络、服务器的正常工作，系统干涉便是被动攻击。

病毒特性

隐蔽性、传染性、潜伏性、触发性、破坏性。

病毒种类

病毒名称特点系统病毒前缀：Win32、Win95、W32、W95、PE等，可感染.exe,.dll文件并通过此类文件传播蠕虫病毒前缀：Worm，通过网络或系统漏洞进行传播，可向外发送带毒邮件或阻塞网络，例如：震网木马、黑客病毒木马前缀：Trojan；黑客前缀Hack；传播一般通过消息或者游戏脚本病毒前缀：Script；使用脚本语言编写，通过网页进行传播宏病毒是脚本病毒的一种，前缀：Macro，第二前缀：Word、Excel，留在Normal后门病毒前缀：Backdoor；通过网络传播给系统开后门病毒种植程序病毒
运行时会释放新病毒，由新病毒造成破坏，如冰河播种者，射手等
破坏性程序病毒前缀：Harm；通常以好看的图标吸引用户点击，点击即可造成破坏玩笑病毒前缀：Joke；以好看的图标吸引点击，点击后吓唬用户对计算机无实质伤害捆绑机病毒前缀：Binder；一般与常用应用程序捆绑，运行应用程序时病毒也在悄悄运行对系统造成破坏

销售方式

B2B企业对企业销售。

B2C企业对个人销售方式

C2C个人对个人销售方式

B2G企业到政府

O2O电子商务与线下实体有机结合