信息系统项目管理师 | 信息系统安全技术

信息系统安全技术

关注WX:CodingTechWork

信息安全概念

安全属性

  1. 秘密性:信息不被未授权者知晓。
  2. 完整性:信息是正确的、真实的、未被篡改的、完整无缺。
  3. 可用性:信息可以随时正常使用。

安全分层

设备安全

  1. 设备的稳定性:在一定时间内不出现故障的概率。
  2. 设备的可靠性:在一定时间内正常执行任务的概率。
  3. 设备的可用性:随时可以正常使用的概率。

数据安全

  1. 是一种静态安全,如数据泄漏、数据篡改

内容安全

  1. 是信息安全在政治、法律上、道德层次的要求

行为安全

  1. 是一种动态安全。
  2. 安全属性
    秘密性:行为的过程和结果不能危害数据的秘密性,必要时,行为的过程和结果也是秘密的。
    完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是余预期的。
    可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。

信息安全等级保护

定级要素

受侵害的客体和对客体的侵害程度

第一级

  1. 会对公民、法人和其他组织的合法权益造成损害。
  2. 但不损害国家安全、社会秩序和公共利益。(个人合法权益造成损害)

第二级

  1. 对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,
  2. 但不损害国家安全。(个人合法权益严重损害,或社会利益遭到损害)

第三级

  1. 对社会秩序和公共利益造成严重损害,
  2. 或者对国家安全造成损害。(对国家安全造成损害)

第四级

  1. 公共利益、国家利益都造成严重损害。
    (国家安全造成严重损害)

第五级

  1. 国家安全造成特别严重损害

安全保护能力的5个等级

用户自主保护级

  1. 普通内联网用户
  2. 系统审计保护级
  3. 该级适用通过内联网或国际网进行商务活动,需要保密的非重要单位。

安全标记保护级

  1. 该级适用于地方各级国家机关、金融单位机构、邮电通信、能源于水源供给部门、交通、大型工商与信息技术企业、重点工程建设等单位。

结构化保护级

  1. 该级适用于中央级国家机关、广播电视部门、重点物资存储单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门

访问验证保护级

  1. 该级适用于国家关键部门和依法需要对计算机信息系统实时特俗隔离的单位。

人员管理

  1. 首先要求加强人员审查。
  2. 信息安全教育对象
    与信息安全相关的所有人员。
    领导和管理人员,工程技术人员,一般用户。

对称加密和非对称加密

加密技术

对称加密

  1. 加密解密采用相同的密码
  2. 使用起来简单快捷、秘钥较短、破译困难
  3. DES、IDEA、AES

非对称加密

  1. 加密秘钥和解密秘钥不同
  2. 公钥用来加密,公开
  3. 私钥用来解密,非公开
  4. 算法:RSA,如将两个大素数的乘积公开作为加密秘钥,利用RSA密码可以同时实现数字签名和数字加密。
  5. 非对称加密从根本上客服了传统密码在密钥分配上的困难。

数字签名

作用

  1. 证明当事者的身份和数据真实性的一种信息,允许收发方互相验证真实性,允许第三方验证
  2. 数字签名是保证完整性的措施

条件

  1. 签名者事后不能抵赖自己的签名,发送方不能抵赖,接收方不能伪造。
  2. 任何其他人不能伪造签名。
  3. 如果当事的双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证码签名来确认其真伪。

方法

  1. 利用RSA密码可以同时实现数字签名和数据加密。

认证

定义

  1. 又称鉴别、确认;
  2. 是证实某事是否名副其实或是否有效的一个过程。

和加密区别

  1. 加密用以确保数据的保密性,阻止对手的被动攻击,如截取、窃听等。
  2. 认证用以确保发送者和接收者的真实性以及信息的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。

和数字签名区别

  1. 认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性,而数字签名中用于验证签名的数据是公开的。
  2. 认证允许收发双发互相验证其真实性,不准许第三者验证,而数字签名允许收发双方和第三者都能验证。
  3. 数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力,而认证则不一定具备。

计算机设备安全

设备安全内容

  1. 计算机实体
  2. 信息:完整性、机密性、抗否认性、可审计性、可靠性、可用性

按设备安全分类

  1. 物理安全:场地安全(环境安全)
  2. 设备安全:包括设备的防盗和防毁,防止电磁信息泄露,防止线路截获、抗电磁干扰以及电源的保护
  3. 存储介质安全:介质本身和介质上存储数据的安全
  4. 可靠性技术:采用容错系统实现,冗余设计来实现,以增加资源换取靠靠性。

防火墙

一种较早使用、实用性很强的网络安全防御技术,它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。

  1. 在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络。
  2. 防火墙主要是实现网络安全的安全策略,预先定义好,是一种静态安全技术。
  3. 在策略中涉及的网络访问行为可以实施有效管理,而策略之外的网络访问行为则无法控制。
  4. 防火墙的安全策略由安全规则表示。

入侵检测与防护

入侵检测系统(IDS)

  1. 注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出警告。
  2. 大多数IDS系统都是被动的。

入侵防护系统(IPS)

  1. 倾向于提供主动防护,注重对入侵行为的控制。
  2. 预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
  3. 通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包括异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中,有问题的数据报,以及所有来自同一数据流的后续数据包,都能够在IPS系统设备中被清洗掉。

VPN虚拟专用网络

  1. 在公用网络中建立专用的、安全的数据通信通道的基数。
  2. 可以认为是加密和认证技术在网络传输中的应用。
  3. 连接由客户机、传输介质和服务器三部分组成。
  4. 不是采用物理的传输介质,而是使用称为“隧道”的基数作为传输介质,建立在公共网络或专用网络基础之上的隧道。
  5. 常用的隧道技术:点对点隧道协议(PPTP),第2层隧道协议(L2TP)、IP安全协议(IPSec)

安全扫描、蜜罐技术

安全扫描

  1. 漏洞扫描、端口扫描、密码类扫描(发现弱口令密码)
  2. 扫描器的软件来完成,是最有效的网络安全检测工具之一,可以自动检测、远程或本地主机、网络系统的安全弱点以及所存在坑内利用的系统漏洞。

蜜罐技术

  1. 主动防御技术,是入侵检测技术的一个重要发展方向,也是一个诱捕”攻击者“的陷阱。
  2. 蜜罐系统是一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。
  3. 攻击者往往在蜜罐上浪费时间,延缓对真正目标的攻击

无线网络安全技术

  1. 无线公开密钥基础设施(WPKI)
  2. 有线对等加密协议(WEP)
  3. Wi-Fi网络安全接入(WPA/WPA2)
  4. 无线局域网鉴别与保密体系(WAPI)
  5. 802.11i(802.11工作组为新一代WLAN制定的安全标准)

操作系统安全

威胁分类

按行为分类

切断
  1. 对可用性的威胁
  2. 系统的资源被破坏或变得不可用或不能用,如破坏硬盘、切断通信线路或使文件管理失效。
截取
  1. 对机密性的威胁
  2. 未经授权的用户程序或计算机系统获得了对某资源的访问,如在网络中窃取数据及非法拷贝文件和程序。
篡改
  1. 对完整性的攻击
  2. 未经授权的用户不仅获得了对某资源的访问,而且进行篡改,如修改数据文件中的值,修改网络中正在传送的消息内容。
伪造
  1. 对合法性的威胁
  2. 未经授权的用户将伪造的对象插入到系统中,如非法用户把伪造的消息加到网络中或向当前文件加入记录。

按表现形式

  1. 计算机病毒
  2. 逻辑炸弹
  3. 特洛伊木马
  4. 后门
  5. 隐秘通道

防范手段

  1. 身份认证机制:实施强认证方法,如口令、数字证书的呢过。
  2. 访问控制机制:实施细粒度的用户访问控制,细化访问权限等。
  3. 数据保密性:对关键信息,数据要严加保密。
  4. 数据完整性:防止数据系统被恶意代码破坏,对关键信息进行数字签名技术保护。
  5. 系统的可用性:操作系统要加强对攻击的能力,比如防病毒,防缓冲区溢出攻击等。
  6. 审计:一种有效的保护措施,在一定程度上阻止对计算机系统的威胁,并对系统检测,故障恢复方面发挥重要作用。

数据库安全

可以认为是用于存储而非传输的数据的安全问题,方法:

  1. 数据库访问控制技术
  2. 数据库加密技术
  3. 多级安全数据库技术
  4. 数据库的控制问题
  5. 数据库的备份与恢复

应用系统安全

web威胁防护

威胁

以计算机设备安全、网络安全和数据库安全为基础的应用系统安全

  1. 可信任站点的漏洞;
  2. 浏览器和浏览器插件的漏洞;
  3. 终端用户的安全策略不健全;
  4. 携带恶意软件的移动存储设备;
  5. 网络钓鱼;
  6. 僵尸网络;
  7. 带有键盘记录程序的木马等

防护技术

web访问控制技术
  1. IP地址、子网或域名
  2. 用户名/口令
  3. 公钥加密体系PKI(CA认证)
单点登录技术(SSO)
  1. 一点登录、多点访问。
  2. 基于数字证书的加密和数字签名技术,基于统一的策略的用户身份认证和授权控制功能,对用户实行集中统一的管理和身份认证。
网页防篡改技术
  1. 时间轮询技术
  2. 核心内嵌技术
  3. 事件触发技术
  4. 文件过滤驱动技术
web内容安全
  1. 电子邮件过滤
  2. 网页过滤
  3. 反间谍软件

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/855351.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

openh264 Pskip 模式决策过程源码分析

skip模式 视频编码中的 “skip” 模式是一种优化技术,用于提高编码效率,减少不必要的编码工作。当编码器确定某个宏块(Macroblock, MB)在当前帧和参考帧之间没有显著的运动或变化时,可以采用skip模式。以下是skip模式的…

汽车IVI中控开发入门及进阶(二十七):车载摄像头vehicle camera

前言: 在车载IVI、智能座舱系统中,有一个重要的应用场景就是视频。视频应用又可分为三种,一种是直接解码U盘、SD卡里面的视频文件进行播放,一种是手机投屏,就是把手机投屏软件已视频方式投屏到显示屏上显示,另外一种就是对视频采集设备(主要就是摄像头Camera)的视频源…

leetcode144. 二叉树的前序遍历

一、题目描述: 给你二叉树的根节点 root ,返回它节点值的 前序 遍历。 二、输入输出实例: 示例 1: 输入:root [1,null,2,3] 输出:[1,2,3]示例 2: 输入:root [] 输出:[]…

移动app必须进行安全测试吗?包括哪些测试内容?

移动App已经成为我们日常生活中不可或缺的一部分,无论是社交娱乐还是工作学习,我们都离不开这些精心设计的应用程序。然而,随着移动App的广泛普及和使用,其安全性问题也逐渐浮出水面。为了确保用户数据的安全和减少潜在的风险&…

数智化浪潮下的零售品牌商品计划革新

在数字化和智能化交织的时代背景下,零售品牌的商品计划正在经历一场前所未有的革新。这场革新不仅改变了商品计划的方式和流程,更重塑了零售品牌的竞争格局和市场地位。 一、数智化:零售品牌的新引擎 在快速变化的市场环境中,零…

序列到序列模型中的注意力机制

目录 一、说明 二、编码器解码器架构中的问题:需要注意 2.1 编码器方面的问题: 2.2 解码器方面的问题: 三、什么是注意力机制? 3.1 计算 ci 值: 3.2 ci 的广义表示: 四、Bahdanau 注意 : 4.1. 兼…

Centos/Ubuntu等Linux系统下增加扩展4个串口以上配置操作

linux(Ubuntu、centos等)标准发行版系统默认是最多识别到4个COM串口设备,超过4个设备的串口则无法识别使用,想要载入使用则需要手动修改下grub配置文件,手动指定即可!可以参考如下步骤,有出入的地方大家可以…

yt-dlp:强大的跨平台视频下载器

一、引言 在当今数字时代,视频已成为我们获取信息和娱乐的重要途径。然而,由于版权和网络限制,我们常常无法直接在本地保存我们喜爱的视频。幸运的是,有一个名为yt-dlp的命令行程序,它可以帮助我们从YouTube.com和其他…

自动化测试岗位的标准化求职指南(0到1)

简介: 自动化测试是软件开发过程中的关键环节,对于企业来说,招聘一名合适的自动化测试工程师非常重要。本文将从零开始,为想要从事自动化测试工作的求职者提供一份详细且规范的求职指南,帮助他们在自动化测试领域找到…

猫头虎 分享已解决Bug || `Uncaught ReferenceError: x is not defined`✨

猫头虎 分享已解决Bug || Uncaught ReferenceError: x is not defined🚀✨ 摘要 ✨💡 大家好,我是猫头虎,一名全栈软件工程师,同时也是一位科技自媒体博主。今天我要和大家分享一些前端开发过程中常见的Bug以及详细的…

Java | Leetcode Java题解之第147题对链表进行插入排序

题目: 题解: class Solution {public ListNode insertionSortList(ListNode head) {if (head null) {return head;}ListNode dummyHead new ListNode(0);dummyHead.next head;ListNode lastSorted head, curr head.next;while (curr ! null) {if (…

配置OSPF认证(华为)

#交换设备 配置OSPF认证-基于华为路由器 OSPF(开放最短路径优先)是一种内部网关协议(IGP),用于在单一自治系统(AS)内决策路由。OSPF认证功能是路由器中的一项安全措施,它的主要用途…

深入理解Java中的synchronized关键字

目录 前言 一、什么是synchronized 二、synchronized的底层实现 三、synchronized与其他同步机制的比较 四、synchronized的使用方式 1. synchronized的重入 2.synchronized的异常 前言 Java是一种面向对象的编程语言,以其强大的并发处理能力而闻名。在多线程…

LLM 理论知识

LLM 理论知识 一.大型语言模型LLM1.1 大型语言模型 LLM 的概念1.2 常见的 LLM 模型1.2.1 闭源 LLM (未公开源代码)1.2.1.1 GPT 系列1.2.1.1.1 ChatGPT1.2.1.1.2 GPT-4 1.2.1.2 Claude 系列1.2.1.1.3 PaLM/Gemini 系列1.2.1.1.4 文心一言1.2.1.1.5 星火大模型 1.2.2. 开源 LLM1.…

threejs材质的贴图(四)

效果 代码实现 import ./style.css import * as THREE from three import { OrbitControls } from three/examples/jsm/controls/OrbitControls.js//相机轨道控制器 import { RGBELoader } from "three/examples/jsm/loaders/RGBELoader.js"//加载hdr文件作为环境贴…

排序模型的奥秘:如何用AI大模型提升电商、广告和用户增长的效果

摘要 排序模型是数字化营销中最重要的工具之一,它可以帮助我们在海量的信息中筛选出最符合用户需求和偏好的内容,从而提高用户的满意度和转化率。本文从产品经理的视角,介绍了常见的排序模型的原理和应用,包括基于规则的排序、基…

【ROS1转ROS2示例】

ROS1中的代码: 这是一个循环函数: ros::Rate loop_rate(10); // Adjust the publishing rate as neededwhile (ros::ok()){loop_rate.sleep();} 如果转ROS2,可以使用rclcpp::WallRate或者直接依赖于执行器(Executor)的循环来实现类似的功…

如何有效处理独立站遭受的网络攻击

随着电子商务的蓬勃发展,独立站成为了众多商家展示产品、吸引客户的重要平台。然而,这同时也吸引了不法分子的目光,使得独立站成为网络攻击的重灾区。本文将深入探讨独立站可能遭受的各种网络攻击类型,并提供一系列实用且可运行的…

【C语言初阶】分支语句

🌟博主主页:我是一只海绵派大星 📚专栏分类:C语言 ❤️感谢大家点赞👍收藏⭐评论✍️ 目录 一、什么是语句 二、if语句 悬空else 三、switch语句 default 四、switch语句与if-else语句性能对比如何&#xff1f…

分布式技术导论 — 探索分析从起源到现今的巅峰之旅(消息队列)

探索分析从起源到现今的巅峰之旅 分布式队列 - Kafka架构特性可扩展性磁盘优化与顺序访问大容量存储与历史数据利用高效数据封装与压缩智能内存管理与OS缓存利用 Kafka发布/订阅模型Kafka架构分析Producer和Consumer接口交互Producer通过Topic发送数据Consumer通过Topic消费数据…