[系统架构设计师]信息安全技术基础知识（三）

[系统架构设计师]信息安全技术基础知识（三）

一.信息安全基础知识

1.信息安全

基本要素: 机密性，完整性，可用性，可控性，可审查性

范围：设备安全，数据安全，内容安全，行为安全

数据安全： 秘密性，完整性，可用性

2.网络安全

安全措施目标：访问控制，认证，完整性，审计和保密

二.信息安全系统的组成框架

1.技术体系

基础安全设备，计算机网络安全，操作系统安全，数据库安全，终端设备安全

2.组织机构体系

决策层，管理层，执行层

3.管理体系

法律管理，制度管理，培训管理

三.信息加解密技术

1.数据加密：机密性

2.对称加密算法

DES： 56位密钥64位密文

三重DES：密钥长度112位，两把56位密钥对明文做三次DES

IDEA：密钥长度128位

AES:128位，192位，256位密钥长度

SM4：128位密钥长度

3.非对称密钥加密算法

RSA

SM2

四.密钥管理技术

1.密钥使用控制

控制密钥安全性：密钥标签，控制矢量

密钥分配：物理方式，加密方式，第三发加密方式（KDC）

2.公钥加密体制的密钥管理

方式：直接公开发布（如PGP），公用目录表，公钥管理机构，公钥证书。证书管理机构为CA

五.访问控制及数字签名技术

1.要素：

主体，客体，控制策略

2.访问控制

认证，控制策略实现，审计

3.数字签名

公钥加密技术与数字摘要技术。条件：可信，不可伪造，不可重用，不可改变，不可抵赖

六.信息安全的抗攻击技术

1.密钥选择

概念：数据加密密钥（DK），密钥加密密钥（KK)

密钥生成：增大密钥空间，选择强钥，密钥的随机性

2.拒绝服务攻击

侵犯系统的可用性要素

DoS防御：特征识别，防火墙，通信数据量的统计，修正问题和漏洞

3.欺骗攻击与防御

ARP欺骗防范方法：固化ARP表，使用ARP服务器，双向绑定，安装防护软件

DNS欺骗检测：被动监听检测，虚假报文检测，交叉检查查询

IP欺骗

4.端口扫描

全TCP连接，半打开式扫描（SYN)，FIN扫描，第三方扫描

5.针对TCP/IP堆栈的攻击方式

同步包风暴（SYN Flooding），ICMP攻击，SNMP攻击

6.系统漏洞扫描

基于网络的漏洞扫描

基于主机的漏洞扫描优点：扫描的漏洞数量多，集中化管理，网络流量负载小

七.信息安全的保障体系与评估方法

1.安全协议

SSL协议：保密性通信，点对点身份认证，可靠性通信

互联网安全协议IPSec

SET协议

HTTPS协议

2.风险评估

风险评估基本要素：脆弱性，资产，威胁，风险，安全措施