信息安全技术第1章——信息网络安全基本概念

课程介绍

  • 网络信息安全是医学信息工程专业的限选课。主要围绕计算机网络安全所涉及的主要问题进行讲解,内容包括:对称密码与公钥密码的基本原理、相关算法及应用。电子邮件的安全,IP安全,Web安全,恶意软件及防火墙等内容
  • 本课程侧重于对主流信息安全技术的全面介绍,扩大学生的知识面。

课程学时分配

目录

1.1 信息安全基础

1.1.1 计算机安全

目标

-包括保护信息免受授权的访问、中断和修改,同时为系统的预期用户保持系统的可用性。

定义

-为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

1.1.2 网络安全

研究对象

-整个网络,研究领域比计算机系统安全更为广泛

目标

-创造一个能够保证整个网络安全的环境,包括网络内的计算机资源、网络中传输及存储的数据和计算机用户。通过采用各种技术和管理措施,使网络系统正常运行,确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。

涉及的领域

-密码学设计,各种网络协议的通信以及安全实践等。

1.1.3 信息安全

定义

-信息安全是为防止意外事故和恶意攻击而对信息基础设施、应用服务和信息内容的保密性、完整性、可用性和不可否认性进行的安全保护。

目的

-信息安全作为一个更大的研究领域,对信息化的发展,信息安全包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面的安全需要。

1.2 信息安全面临的挑战

1.2.1 互联网体系结构的开放性

开放性带来的问题

-网络基础设施和协议的设计者遵循一条原则:尽可能创造用户友好性、透明性高的接口使得网络能够为尽可能多的用户提供服务,这样带来了另外的问题:一方面用户容易忽视系统的安全状况,另一方面引来了不法分子利用网络的漏洞来满足个人的目的。

1.2.2 网络基础设施和通信协议的缺陷

信任关系

-数据包网络需要在传输节点之间存在一个信任关系,来保证数据包在传输过程中拆分重组过程的正常工作。

-由于在传输过程中,数据包需要被拆分,传输和重组,所以必须保证每个数据包以及中间传输单元的安全。然而,目前的网络协议并不能做到这一点。

端口识别

-网络中的服务器主要有UDP和TCP两个主要的通信协议,都使用端口号来识别高层的服务。

-服务器的一个重要的安全规则就是当服务没有被使用的时候,要关闭其所对应的端口号,如果服务器不提供相应的服务,那么端口就一直不能打开。即使服务器提供相应的服务,也只有当服务被合法使用的时候端口号才能被打开。

三次握手

-客户端和服务器进行通信之前,要通过三次握手过程建立TCP连接。

1.2.3 网络应用高速发展

用户数量激增

-自从二十世纪60年代早期诞生之初,互联网经历了快速的发展,特别是最近10年时间,在用户使用数量和联网的电脑数量上有了爆炸式的增加。

互联网的易用性和低准入性

1.2.4 黑客

黑客定义

-通常把试图突破信息安全系统安全、侵入信息系统的非授权用户称为黑客。在计算机发展的早期,黑客通常指精于使用计算机的人。

黑客的范围

-窃取商业秘密的间谍;

-意在破坏对手网站的和平活动家;

-寻找军事秘密的间谍;

热衷于恶作剧的青少年。

1.2.5 恶意软件

定义

-恶意软件(Malware,“流氓软件”),广告软件(adware),间谍软件(spyware),恶意共享软件(malicious shareware)。这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。

-恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。

特点

-强制安装:指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端安装软件的行为。

-难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍活动程序的行为。

-浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。

-广告弹出:指未明确提示用户或未经用户许可的情况下,利用安装在用户计算机或其他终端上的软件弹出广告的行为。

–恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。

–恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载非恶意软件的行为。

–恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为

–其他侵犯用户知情权、选择权的恶意行为。

1.2.6 操作系统漏洞

每一款操作系统问世的时候本身都存在一些安全问题或技术缺陷。

操作系统的安全漏洞是不可避免的。

攻击者会利用操作系统的漏洞取得操作系统中高级用户的权限,进行更改文件,安装和运行软件,格式化硬盘等操作。

1.2.7 内部安全

•合法用户的背叛

–现在绝大多数的安全系统都会阻止恶意攻击者靠近系统,用户面临的更为困难的挑战是控制防护体系的内部人员进行破坏活动。

•不要给某一个人赋予过多的权利

–设计安全控制时应该注意不要给某一个人赋予过多的权利。

1.2.8 社会工程学

•社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪冒或口等心理陷阱进行诸如欺骗、伤害等危害手段。

•社会工程学通过搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。通常以交谈、欺骗、假语等方式,从合法用户中套取用户系统的秘密。

1.3 信息安全五性

1.3.1 保密性

•保密性服务

–当数据离开一个特定系统,例如网络中的服务器,就会暴露在不可信的环境中。

–保密性服务就是通过加密算法对数据进行加密确保其处于不可信环境中也不会泄露。

•嗅探者

–在网络环境中,对数据保密性构成最大威胁的是嗅探者。嗅探者会在通信信道中安装嗅探器,检查所有流经该信道的数据流量。而加密算法是对付嗅探器的最好手段。

•加密算法

–加密通过一个加密算法和一个密钥对数据进行处理,数据处理前称为明文,处理后称为密文。

–加密算法分为对称和非对称两种,对称加密算法中加密方与解密方有相同的密钥,在算法过程中,加密与解密共用一个相同密钥;而非对称加密算法有两个密钥:一个可公开的公钥和一个需要妥善保管的密钥,通信过程中,发送方使用接收方发布的公钥进行加密,加密后只有接收方的密钥才可以进行解密。

1.3.2 完整性

•完整性服务用于保护数据免受非授权的修改,因为数据在传输过程中会处于很多不可信的环境,其中存在一些攻击者试图对数据进行恶意修改。

•Hash算法

–Hash算法是保护数据完整性的最好方法,Hash算法对输入消息进行相应处理并输出一段代码,称为该信息的消息摘要。

–Hash函数具有单向性,所以在发送方发送信息之前会附上一段消息摘要,用于保护其完整性。

1.3.3 可用性

•可用性服务用于保证合法用户对信息和资源的使用不会被不正当地拒绝

•拒绝服务攻击

1.3.4 可控性

•可控性的关键

–对网络中的资源进行标识,通过身份标识达到对用户进行认证的目的。一般系统会通过使用“用户所知”或“用户所有”来对用户进行标识,从而验证用户是否是其声称的身份。

•认证因素

–视网膜:用户的眼睛对准一个电子设备,该电子设备可以记录用户的视网膜信息,根据该信息可以准确标识用户身份;

–物理位置:系统初始设置一个入口,只要求规定的位置的请求才可以进入。在网络环境中,可以检查被认证的客户端的IP地址来进行认证。

1.3.5 不可否认性

不可否认服务用于追溯信息或服务的源头

数字签名技术

通过数字签名,使其信息具有不可替代性,而信息的不可替代性可以导致两种结果:

在认证过程中,双方通信的数据可以不被恶意的第三方肆意更改;

在认证过程中,信息具有高认证性,并且不会被发送方否认。

1.4 信息安全风险分析

1.4.1 信息资产确定

•信息资产大致分为物理资产、知识资产、时间资产和名誉资产四类

物理资产:具有物理形态的资产,例如:服务器,网络连接设备,工作站等;

知识资产:其可以为任意信息的形式存在,例如:一些系统软件,数据库或者组织内部的电子邮件等;

时间资产:对于组织与企业来说,时间也属于一个宝贵的财产;

名誉资产:公众对于一个企业的看法与意见也可以直接影响其业绩,所以名誉也属于一种重要的资产需要被保护。

1.4.2 信息安全评估

•安全漏洞:安全漏洞即存在于系统之中,可以用于越过系统的安全防护。

•安全威胁:安全威胁是一系列可能被利用的漏洞。

•安全风险:当漏洞与安全威胁同时存在时就会存在安全风险。

1.4.3 风险管理

•风险管理分为四个部分:风险规避,风险最小化,风险承担,风险转移。

风险规避

此方法为最简单的风险管理方法,当资产收益远大于操作该方法所损失的收益时可使用。例如一个系统可能把员工与外界进行邮件交换视为一个不可接受的安全威胁,因为他们认为这样可能会把系统内的秘密信息发布到外部环境中,所以系统就直接禁用邮件服务。

风险最小化

对于系统来说,风险影响最小化是最为常见的风险管理方法,该方法的具体做法是管理员进行一些预防措施来降低资产面临的风险,例如,对于黑客攻击Web服务器的威胁,管理员可以在黑客与服务器主机之间建立防火墙来降低攻击发生的概率。

风险承担

管理者可能选择承担一些特定的风险并将其造成的损失当作运营成本,这一方法称为风险承担。

风险转移

常见例子:保险

1.5 习题

一、选择题

1.由于来自于系统外部或内部的攻击者冒充为网络的合法用户获得访问权限的攻击方法是下列哪一项?

  A. 黑客攻击

  B. 社会工程学攻击

  C. 操作系统攻击

  D. 恶意代码攻击

2. 在信息安全性中,用于提供追溯服务信息或服务源头的是哪一项?

  A. 不可否认性

  B. 认证性

  C. 可用性

  D. 完整性

二、问答题

1. 简述客户端和服务器进行通信时的三次握手过程。

2. 如何理解信息安全五性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/717362.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++ opencv 学习

文章目录 1、创建窗口2、读取图片3、视频采集4、Mat的使用5、异或操作6、通道分离,通道合并7、色彩空间转换8、最大值、最小值9、绘制图像10、多边形绘制11、随机数12、鼠标实时绘制矩形13、归一化14、resize操作15、旋转翻转16、视频操作17、模糊操作18、高斯模糊操…

SpringBoot整合MyBatis实现增删改查

✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉 🍎个人主页:Leo的博客 💞当前专栏: 循序渐进学SpringBoot ✨特色专栏: MySQL学习 🥭本文内容: SpringBoot整合MyBatis实现增删改查 📚个人知识库: Leo知识库,欢迎大家访…

Java进阶-IO(1)

进入java IO部分的学习,首先学习IO基础,内容如下。需要了解流的概念、分类还有其他一些如集合与文件的转换,字符编码问题等,这次先学到字节流的读写数据,剩余下次学完。 一、IO基础 1、背景 1.1 数据存储问题 变量…

代码随想录day11(1)字符串:反转字符串中的单词 (leetcode151)

题目要求:给定一个字符串,将其中单词顺序反转,且每个单词之间有且仅有一个空格。 思路:因为本题没有限制空间复杂度,所以首先想到的是用split直接分割单词,然后将单词倒叙相加。 但如果想让空间复杂度为O…

芯来科技发布最新NI系列内核,NI900矢量宽度可达512/1024位

参考:芯来科技发布最新NI系列内核,NI900矢量宽度可达512/1024位 (qq.com) 本土RISC-V CPU IP领军企业——芯来科技正式发布首款针对人工智能应用的专用处理器产品线Nuclei Intelligence(NI)系列,以及NI系列的第一款AI专用RISC-V处理器CPU IP…

网络爬虫部分应掌握的重要知识点

目录 一、预备知识1、Web基本工作原理2、网络爬虫的Robots协议 二、爬取网页1、请求服务器并获取网页2、查看服务器端响应的状态码3、输出网页内容 三、使用BeautifulSoup定位网页元素1、首先需要导入BeautifulSoup库2、使用find/find_all函数查找所需的标签元素 四、获取元素的…

基于springboot+vue的健身房管理系统

博主主页:猫头鹰源码 博主简介:Java领域优质创作者、CSDN博客专家、阿里云专家博主、公司架构师、全网粉丝5万、专注Java技术领域和毕业设计项目实战,欢迎高校老师\讲师\同行交流合作 ​主要内容:毕业设计(Javaweb项目|小程序|Pyt…

●139.单词拆分 ● 关于多重背包,你该了解这些! ●背包问题总结篇!

●139.单词拆分 物品:wordDict里面的单词;背包容量:s.size()。 1.dp[j]含义。dp[j]true表示字符串前j个可以拆分成字典中的单词。dp[s.size()] 就是最后的结果,整个字符串能(true)不能(false…

Docker 创建容器并指定时区

目录 1. 通过环境变量设置时区(推荐)2. 挂载宿主机的时区文件到容器中3. 总结 要在 Docker 容器中指定时区,可以通过两种方式来实现: 1. 通过环境变量设置时区(推荐) 在 Docker 运行时,可以通…

CentOS安装Docker(黑马学习笔记)

Docker 分为 CE 和 EE 两大版本。CE 即社区版(免费,支持周期 7 个月),EE 即企业版,强调安全,付费使用,支持周期 24 个月。 Docker CE 分为 stable test 和 nightly 三个更新频道。 官方网站上…

文件底层的理解之缓冲区

目录 一、缓冲区的初步认识 二、向文件中写数据的具体过程 三、缓冲区刷新的时机 一、缓冲区的初步认识 缓冲区其实就是一块内存区域,采用空间来换时间,可以提高使用者的效率。我们一直说的缓冲区其实是语言层面上的缓冲区,其实操作系统内部…

JVM 第一部分 JVM两种解释器 类加载过程和类加载器

JVM是跨平台跨语言的虚拟机,不直接接触硬件,位于操作系统的上一层 跟字节码文件直接关联,和语言没有关系 一次编译成字节码文件,多次执行 虚拟机可以分成三部分:类加载器,运行时数据区,执行引…

TDengine 在 DISTRIBUTECH 分享输配电数据管理实践

2 月 27-29 日,2024 美国国际输配电电网及公共事业展(DISTRIBUTECH International 2024)在美国-佛罗里达州-奥兰多国家会展中心举办。作为全球领先的年度输配电行业盛会,也是美洲地区首屈一指的专业展览会,该展会的举办…

【和鲸冬令营】通过数据打造爆款社交APP用户行为分析报告

【🐋和鲸冬令营】通过数据打造爆款社交APP用户行为分析报告 文章目录 【🐋和鲸冬令营】通过数据打造爆款社交APP用户行为分析报告1 业务背景2 数据说明3 数据探索性分析4 用户行为分析4.1 用户属性与行为关系分析4.2 转化行为在不同用户属性群体中的分布…

值类型和引用类型详解(C#)

可能你对值类型和引用类型还不太了解。 值类型和引用类型,是c#比较基础,也必须掌握的知识点,但是也不是那么轻易就能掌握,今天跟着我一起来看看吧。 典型类型 首先我们看看这两种不同的类型有哪些比较典型的代表。 典型值类型…

在Windows 10系统中启用快速启动功能

在Windows 10系统中启用快速启动功能,可以按照以下步骤进行: 方法一(通过设置应用): 点击任务栏左下角的“开始”按钮或者按键盘上的Win键打开“开始”菜单。在“开始”菜单中选择“设置”图标(齿轮形状&…

3.3日学习打卡----初学Redis(一)

3.3日学习打卡 目录: 3.3日学习打卡NoSQL为什么要用NoSQL什么是NoSQL?NoSQL的四大分类关系型数据库和非关系型数据及其区别NoSQL经典应用 RedisRedis是什么?Linux下安装RedisDocker下安装Redis基本知识 NoSQL 为什么要用NoSQL 单机Mysql的美好年代 在90年代&…

Sqlmap进行http头注入及流量分析

环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客 利用 SQLMap 进行 HTTP 头注入的方式对于 Less-19 注入点的注入 SQLMap 工具我使用kali中自带的 注入准备 先使用bp将Less-19靶场的包抓下来保存到 txt 文件中,输入账号 admin…

Ubuntu23.10禁用Wayland

禁用前 编辑custom.conf文件 sudo vim /etc/gdm3/custom.conf 去掉WaylandEnablefalse前的#号 保存退出 重启系统 生效: 成功转换为X11

【LeetCode题解】2809. 使数组和小于等于 x 的最少时间+2788. 按分隔符拆分字符串+410. 分割数组的最大值

文章目录 [2809. 使数组和小于等于 x 的最少时间](https://leetcode.cn/problems/minimum-time-to-make-array-sum-at-most-x/)思路: [2788. 按分隔符拆分字符串](https://leetcode.cn/problems/split-strings-by-separator/)思路: [410. 分割数组的最大…