7. 信息安全 笔记

发表于 分类于

信息安全的基本概念

  • 信息安全的重要性
    • 随着计算机、互联网和移动互联网技术的发展,信息安全问题日益严重。
    • 安全威胁包括病毒、木马、垃圾邮件、网络钓鱼、黑客攻击等。
  • 信息安全与计算机、网络安全的关系
    • 传统上依靠物理和行政手段保护数据。
    • 计算机广泛应用后,数据和计算机安全成为关注焦点。
    • 计算机网络时代,网络安全措施成为必需。
    • 信息安全、计算机安全和网络安全概念逐渐融合。
  • 信息安全的基本概念
    • 亲密性:仅发送方和接收方能够理解传输内容。
    • 身份认证:双方应确认对方身份。
    • 完整性:信息在传输中保持非修改、非破坏。
    • 不可否认性:通讯行为不可抵赖。
    • 可用性:合法用户能及时获取信息和服务。
    • 可控性:信息传输和使用在一定范围内可控。
  • 主动防御技术
    • 密码技术:通过加密保护数据安全。
    • 存取控制:规定数据操作权限。
    • 权限设置:规定用户对资源的操作权限。
    • 虚拟专用网(VPN):通过公共网络建立安全连接。
  • 被动防御技术
    • 防火墙:阻止未授权访问。
    • 入侵检测:实时监控和检测可能的入侵行为。
    • 安全扫描器:自动检测网络安全漏洞。
    • 口令验证:检测不安全的口令。
    • 审计跟踪:记录系统运行状态,发现安全弱点。
    • 物理保护及安全管理:规范物理和信息系统的管理,减少人为因素的负面影响。
  • 信息安全的管理
    • 任何安全措施的成功都离不开有效的管理和培训。
    • 强调“三分技术,七分管理”的信息安全治理原则。

密码技术及应用

  • 密码技术的重要性
    • 保护信息安全的实用方法
    • 古老的话题,历史悠久,从罗马时代开始应用
    • 20世纪70年代后期,现代密码学发展的重要时期
  • 密码技术的基本概念
    • 密码与密文
      • 加密算法将明文转换为密文,保护信息不被非授权访问
    • 密钥
      • 加密和解密过程中使用的关键信息,分为对称密钥和公开密钥
    • 数字签名
      • 保证消息的真实性和完整性,防止篡改和否认
  • 密码技术的分类
    • 对称密钥密码技术
      • 特点
        • 收发双方使用相同的密钥
        • 密钥的保密性是关键
      • 应用
        • 主要用于数据的加密和解密
    • 公开密钥密码技术
      • 特点
        • 使用一对密钥,公钥和私钥
        • 加密和解密分别使用不同的密钥
      • 优点
        • 密钥管理简单,便于网络通信
      • 缺点
        • 加密速度较慢
  • 密码技术的应用
    • 数据加密
      • 网络中的数据加密
        • OSI模型中的多层加密,包括链路加密和端到端加密
        • 混合加密方式的使用,结合链路加密和端到端加密的优势
    • 数字签名
      • 保证消息的完整性和身份认证
      • 数字签名的应用场景
        • 防止消息篡改和否认
        • 在网络通信中证明消息来源的真实性和消息内容的完整性
  • 总结
    • 密码技术是保护信息安全的关键,包括数据的保密性、完整性和身份认证
      • 密码技术的发展经历了从简单的对称密钥到复杂的公开密钥系统
      • 现代密码技术的应用范围广泛,包括计算机网络数据加密和数字签名等

防火墙技术

  • 防火墙概述
    • 应用广泛:网络安全技术中最广泛应用的技术
    • 定义:由硬件和软件构成的系统,部署在两个网络之间
    • 作用:网络的第一道安全防线,实现内外网隔离,仅允许被安全策略批准的数据流动
  • 防火墙主要功能
  • 防火墙类型
    • 包过滤防火墙
      • 技术特点:对接收的每个数据包进行检查,基于IP数据包报头信息
      • 实现方式:通常由路由器完成,根据过滤规则确定数据包是否通过
      • 优点:保护整个网络,与应用层无关,路由器速度高
      • 缺点:无法满足特定应用需求
    • 应用层网关防火墙
      • 部署位置:在应用层起监视和过滤作用
      • 工作原理:采用代理技术,根据安全规则检查访问内容
      • 优点:能够满足特定应用需求
      • 缺点:速度比路由器慢,需为不同服务安装不同数据处理
    • 复合型防火墙
      • 实现方案
        • 屏蔽主机防火墙体系结构:利用包过滤路由器和堡垒主机隔离内外网络
        • 屏蔽子网防火墙体系结构:使用屏蔽子网隔绝内外网络,包括堡垒主机和两个包过滤路由器
      • 特点:综合包过滤和代理技术,提供全方位安全处理
  • 防火墙局限性
    • 仅提供边界安全防护,不能防止内部人员滥用
      • 需要经常更新配置以防范新类型的攻击
  • 总结
    • 防火墙是网络安全的重要组成部分,通过不同类型的防火墙,可以实现多层次的安全防护,但同时需要注意其局限性,并及时更新配置。

恶意软件

  • 恶意程序定义与分类
    • 定义:以破坏为目的,在软件中造成不期望结果的程序。
    • 分类方法:
      • 按是否依赖宿主程序:病毒、逻辑炸弹、特洛伊木马、蠕虫、僵尸、宗杯等。
      • 按是否进行自我复制:分为不可复制的(特洛伊木马等)和可自我复制的(蠕虫等)。
  • 恶意程序详解
    • 特洛伊木马
      • 来源:希腊神话中的特洛伊战争。
      • 特点:隐藏有用或有趣外表下,有隐蔽的恶意功能。
    • 逻辑炸弹
      • 嵌入合法程序中,特定事件出现时破坏。
    • 县门/后门
      • 秘密入口,绕过安全检查。
    • 僵尸
      • 计算机被控制,成为黑客的工具。
    • 计算机病毒
      • 生命周期:潜伏、感染、触发、执行。
      • 分类:按感染对象(寄生性、引导扇区、宏病毒)和隐藏方式(常驻内存、隐蔽性、多态性)。
  • 解决方法
    • 预防:实时检测病毒、安装防病毒软件、网络接口卡上安装防病毒芯片、服务器安装杀毒软件。
    • 观察异常症状:程序运行时间变长、系统内存减少、磁盘空间减少、不明程序出现等。
  • 其他
    • 恶意软件的危害:严重时可导致数据丢失、系统瘫痪等。
    • 重要性:用户需定期更新软件和系统,安装和更新防病毒软件,提高网络安全意识。

入侵检测技术

    1. 入侵检测系统的背景
    • 安全问题
      • 用户和软件的恶意入侵
      • 内部人员发动的攻击,占比高达80%以上
    • 解决方法
      • 实时检测网络,需要入侵检测系统
    1. 入侵检测系统的基本概念
    • 功能
      • 监视网络活动,识别恶意或可疑事件
      • 及时发现、阻止入侵,分析入侵原因,修补系统漏洞
    • 与防火墙的区别
      • 静态防御 vs 动态监测
      • 需要正确配置安全策略
    1. 入侵者分类
    • 假冒者
      • 未经授权使用计算机的外部使用者
    • 非法者
      • 授权用户寻求非法获取高级权限,通常是内部人员
    • 秘密用户
      • 想夺取系统控制权并逃避审计和访问控制,可能是内外部人员
    1. 入侵检测系统的一般原理
    • 组成部分
      • 感应器:检测关键位置的数据
      • 分析器:分析数据,识别异常行为
      • 管理器:采取控制措施,如报警
    • 安全策略
      • 包括检测内容、分类审计、匹配规则等
    • 入侵检测的类型
      • 基于主机型 (HIDS)
      • 基于网络型 (NIDS)
      • 分布式入侵检测系统
    1. 入侵检测方法
    • 异常检测
      • 建立正常主体活动档案,将异常活动识别为入侵行为
    • 误用检测
      • 通过比较当前捕捉到的特征与入侵特征库,检测已知攻击
      • 对新出现的攻击方法无能为力
    1. 入侵检测系统面临的挑战
    • 难以检测新攻击
      • 需要实时更新特征库和检测策略
    • 误报和漏报
      • 需要精确的检测算法和合理的安全策略
    1. 入侵检测系统的应用
    • 实时监控
      • 监视网络和系统运行状态,及时发现异常
    • 安全防护补充
      • 对防火墙等静态安全技术的补充,提供动态防御能力