安全性基础知识

本文涉及的产品
数据安全中心,免费版
云防火墙,500元 1000GB
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 安全性基础知识

1.计算机安全概述

计算机安全可包括安全管理、通信与网络安全、密码学、安全体系及模型、容错与容灾、涉及安全的应用程序及系统开发、法律、犯罪及道德规范等领域。

信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。


机密性。确保信息不暴露给未受权的实体或进程。

完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。

可用性。得到授权的实体在需要时可访问数据。

可控性。可以控制授权范围内的信息流向及行为方式。

可审查性。对出现的安全问题提供调查的依据和手段。

影响数据安全的因素有内部和外部两类。


内部因素。可采用多种技术对数据加密;制定数据安全规划:建立安全存储体系,包括容量、容错数据保护和数据备份等;建立事故应急计划和容灾措施:重视安全管理,制定数据安全管理规范。

外部因素。可将数据分成不同的密级,规定外部使用员的权限。设置身份认证、密码、设置口令、设置指纹和声纹笔迹等多种认证。设置防火墻,为计算机建立一道屏障,防止外部入侵破坏数据。建立入侵检测、审计和追踪,对计算机进行防卫。同时,也包括计算机物理环境的保障、防辐射、防水和防火等外部防灾措施。

2.网络攻击

被动攻击:指攻击者从网络上窃听他人的通信内容,通常把这类攻击称为截获。


流量分析:是通过持续检测现有网络中的流量变化趋势,从而得到相应信息的一种被动攻击方式。

主动攻击:是指通过一系列的方法,主动地获取向被攻击对象实施破坏的一种攻击方式。


篡改:攻击者故意篡改网络上传送的报文,也包括彻底中断传送的报文。

恶意程序:种类繁多,威胁较大的有计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹。

拒绝服务:指攻击者向因特网上的某个服务器不停地发送大量分组,使因特网服务器无法提供正常服务。如DOS、DDOS。

保密性:为用户提供安全可靠的保密通信是计算机网络安全最为重要的内容。


网络的保密机制也是许多其他安全机制的基础,如访问控制中登录口令的设计,以及数字签名的设计等。

安全协议的设计:主要是针对具体的攻击(如假冒)设计安全的通信协议。


一种是用形式方法来证明,另一种是用经验来分析协议的安全性。

访问控制:也叫做存取控制或接入控制,必须对接入网络的权限加以控制,并规定每个用户的接入权限。

3.两类密码体制

1)对称密钥密码体制(对称加密算法)


所谓对称密钥密码体制,即加密密钥和解密密钥是相同的秘密。


常见对称密钥加密算法:


数据加密标准DES:替换+移位、56位密钥、64位数据块、密钥易产生。

3DES(三重DES):两个56位密钥K1、K2;加密:K1加密->K2解密->K1加密;解密:K1解密->K2加密->K1解密。

RC-5:RSA数据安全公司的很多产品都使用了RC-5。

IDEA算法:128位密钥、64位数据块、比DES的加密性好、对计算机功能要求相对低。

AES算法:高级加密标准,又称Rijndael加密法,是美国政府采用的一种区块加密标准。

缺点:加密强度不高,但效率高;密钥分发困难;适合大文件。


2)公钥密码体制(非对称加密算法)


公钥密码体制就是加密密钥和解密密钥是不同的密码体制,在公钥密码体制中,加密密钥是向公众公开的,而解密密钥则是需要保密的。加密算法E和解密算法D也都是公开的。


常见非对称密钥加密算法:


RSA体制:是一种基于数论中的大数分解问题的体制。2048位(或1024位)密钥、计算量极大、难破解。

Elgamal:基于有限域上离散对数问题的公钥密码体制,有较好的安全性,同一明文在不同时刻会产生不同的密文。

缺点:加密速度慢,适合小文件。


4.数字签名与消息摘要

在网络的应用中,鉴别是网络安全中的一个很重要的问题。认证和加密并不相同。认证是要验证通信的双方的确是自己所要通信的对象,而不是其他的冒充者。


实体认证是识别通信对方的身份,防止假冒。数字签名。

消息认证是所收到的报文的确是报文的发送者所发送的,而不是其他人伪造的或篡改的。报文摘要或消息摘要。

1)数字签名

image.png

缺少保密性。


2)具有保密性的数字签名

image.png

加密与解密;签名与核实签名。就算截获到报文,但还是要B的私钥才能解密。


3)消息摘要


对很长的报文进行数字签名会使计算机增加很大的负担(需要进行很长时间的运算),因此,我们传送不需要加密的报文时,应当使接收者能用很简单的方法鉴别报文的真伪。


报文摘要(信息摘要)是进行报文认证的简单方法。

常用的算法有MD5(消息摘要算法),SHA(安全散列算法)等,市场上广泛使用的MD5、SHA算法的散列值分别为128和160位,由于SHA通常采用的密钥长度较长,因此安全性高于MD5,但计算起来要慢些。

消息摘要是主要的数字签名算法,它是利用散列(Hash)函数(哈希函数、杂凑函数)进行数据的加密,防止发送的报文被篡改。


单向Hash函数提供了这样一个计算过程:输入一个长度不固定的字符串,返回一串定长的字符串,这个返回的字符串称为消息摘要,也称Hash值或散列值。

消息摘要的特点:


首先,在某一特定时间内,无法查找经Hash操作后生成特定Hash值的原消息,也就是不可逆;

其次,无法查找两个经Hash操作后生成相同Hash值的不同消息,也就是不同的原消息一定生成不同的Hash值。

这样,在数字签名中就可以解决验证签名、用户身份认证和不可抵赖性的问题。

优点:仅对短得多的定长报文摘要H进行数字签名要比对整个长报文进行数字签名要简单得多,所耗费的计算资源也小得多。


4)数字信封

image.png


5)PKI


PKI:公钥基础设施(Public Key Infrastructure),主要是验证身份。


CA(证书颁发机构)

数字证书

证书实现的安全保证,机密性、不可否认性、完整性、鉴别。

数字证书的格式遵循X.509国际标准,主要内容包括:


版本号:用于区分不同版本。

序列号:由同一发行者CA发放,是唯一的。

签名算法:签署证书所用的算法及参数。

发行者:指建立和签署证书的CA名字。

有效期:包括证书有效期的起始时间和结束时间。

主体名:指证书持有者的名称及有关信息。

公钥:有效的公钥以及其使用方法。

发行者ID:任选的名字唯一地标识证书的发行者。

主体ID:任选的名字唯一标识证书的持有者。

扩展域:添加的扩充信息。

证书机构的签名:用CA私钥对证书的签名。

数字证书应用过程:


消息接收者。接收者生成密钥对。

传递。接收者在CA注册自己的公钥。

CA认证机构。CA用自己的私钥对接收者的公钥施加数字签名并生成证书。

传递。发送者得到带有CA的数字签名的接收者的公钥(证书);

消息发送者。发送者使用CA公钥验证数字签名,确认接收者的公钥的合法性。

5.网络安全

1)防火墙技术


防火墙通常分为内网、外网DMZ三个区域,按照受保护程度,从高到低是内网、DMZ和外网。


网络级防火墙。一般有包过滤防火墙和状态检测防火墙。主要是屏蔽路由器。


应用级防火墙。一般有双穴主机防火墙、屏蔽主机防火墙(屏蔽路由器和堡垒主机)和屏蔽子网防火墙(被屏蔽子网外有包过滤防火墙和堡垒机)。


2)入侵检测系统


入侵检测系统的功能:


实时监视网络上正在进行通信的数据流,分析网络通信反映连接状态。

通过内置已知网络攻击模式数据,查询网络事件,进行相应的响应。

能够根据所发生的网络安全事件,启用配置好的报警方式。

提供网络数据流量统计功能,为事后分析提供依据。

默认预设了很多的网络安全事件,保障客户基本的安全需要。

提供全面的内容恢复,支持多种常见协议。

提供黑名单快速查看功能。

支持分布式结构。

3)计算机病毒


计算机病毒是编织活着在计算机程序中插入的破坏计算机功能活着破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。


病毒是破坏者,他的特性:潜伏性、传染性、隐蔽性、破坏性、多样性、条件触发性。


木马是盗窃者,他的特性:不产生图标、伪装成“系统服务”的方式、自动运行、具备自动恢复、能自动开启端口,建立网络连接。


常见的病毒与木马:


系统病毒:前缀Win32、PE、W32,如KCOM–Win32.KCOM。

蠕虫病毒:利用网络进行复制和传播,传染途径是通过网络和店址邮件。如恶鹰 Worm.BBeagle。

木马病毒、黑客病毒:如QQ消息尾巴木马–Trjan.QQ3344。

脚本病毒:红色代码–Script.Redlof。

宏病毒:美丽莎–Macro.Melissa。

后门病毒:灰鸽子–Backdoor.Win32.Huigezi。

病毒种植程序病毒:冰河播种者–Dropper.BingHe2.2C。

破坏性程序病毒:杀手命令–Harm.Command.Killer。

玩笑病毒:女鬼–Joke.Girl ghost。

捆绑机病毒:捆绑QQ–Binder.QQPass.QQBin。

4)常见的防病毒软件


常见的防病毒软件:Symantec、ESET NOD32、金山毒霸、卡巴斯基、瑞星、McAfee、江民KV等等。

5)网络安全协议


因特网使用的安全协议:


物理层:屏蔽和隔离。

数据链路层:L2TP、PPTP、链路加密。

网路层:IPSec、防火墙。

传输层:TLS、SET、SSL。

会话层:SSL。

表示层:SSL。

应用层:PGP、Https、SSL。

应用层安全协议:


HTTPS:端口号443,HTTP+SSL。

PGP:优良保密协议,电子邮件事实标准,是一个IDEA的邮件加密软件,可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名,从而使收信人可以确认邮件发送者。

SSL:安全套接字层,用在Internet上传送机密文件,SSL协议由握手协议,记录协议和警报协议组成。

SET:安全电子交易协议,是信用卡上交易的国际标准,是指为例实现更加完善的即时电子支付应运而生的,具有保证交易数据的完整性,交易的不可抵赖性等。

网络层安全协议:


IPsec:IP安全协议,是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信避免遭窃听和篡改,可以有效抵御网络攻击。

防火墙:一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低这类安全威胁所带来的安全风险。

数据链路层协议:


链路加密:使用链路加密装置能为某链路上的所有报文提供传输服务。接收方是传送路径上的各台结点机,信息在每台结点机内都要被解密和再加密,依次进行,直到达目的地。

PPTP:点对点隧道协议,是一种支持多协议虚拟专用网络的网络技术,工作在第二层。

L2TP:第二层隧道协议,是一种虚拟隧道协议,通常用于虚拟专用网。

相关文章
|
3月前
|
存储 安全 算法
解密现代密码学:从基础到实战
在数字时代,保护信息安全变得至关重要。本文将带你深入探索密码学的奥秘,从基础的加密算法到现代的加密技术,揭示如何在日常开发中实现数据的安全传输和存储。我们将一起学习加密的基本原理,探讨常见的加密技术,并提供实用的代码示例,帮助你在项目中实施强大的安全措施。
|
3月前
|
存储 监控 安全
网络安全基础知识
【9月更文挑战第2天】
156 26
|
7月前
|
机器学习/深度学习 算法 Java
【专栏】理解各种范式的优缺点对开发者适应技术环境和解决问题至关重要。
【4月更文挑战第27天】本文探讨了两种主要编程范式——面向对象编程(OOP)和函数式编程(FP)。OOP通过对象和类实现软件设计,强调封装、继承和多态,但过度继承可能导致复杂性。FP基于数学函数,注重无副作用和不可变性,提供高阶函数等特性,简化并发处理,但学习曲线较陡峭。选择编程范式应考虑项目需求和技术背景,现代语言趋向融合多种范式,如Java和Scala。理解各种范式的优缺点对开发者适应技术环境和解决问题至关重要。
134 2
|
7月前
|
存储 安全 API
构建安全可靠的系统:第一章到第五章
构建安全可靠的系统:第一章到第五章
272 0
|
4月前
|
安全 Java 测试技术
深入探讨Java安全编程的最佳实践,帮助开发者保障应用的安全性
在网络安全日益重要的今天,确保Java应用的安全性成为了开发者必须面对的课题。本文介绍Java安全编程的最佳实践,包括利用FindBugs等工具进行代码审查、严格验证用户输入以防攻击、运用输出编码避免XSS等漏洞、实施访问控制确保授权访问、采用加密技术保护敏感数据等。此外,还强调了使用最新Java版本、遵循最小权限原则及定期安全测试的重要性。通过这些实践,开发者能有效提升Java应用的安全防护水平。
55 2
|
4月前
|
安全 网络安全 数据安全/隐私保护
探索Python中的异步编程:从基础到高级网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【8月更文挑战第26天】在Python的世界中,异步编程是提高效率和性能的关键。本文将引导你了解异步编程的核心概念,通过实际代码示例深入探讨异步IO、协程、任务和异步库的使用。我们将一起构建一个简单的异步Web爬虫,并学习如何优化其性能。无论你是初学者还是有经验的开发者,这篇文章都将为你打开一扇通往高效异步编程世界的大门。
|
5月前
|
安全 Java 网络安全
Java网络编程:高级应用与安全性探讨
Java网络编程:高级应用与安全性探讨
|
7月前
|
存储 监控 安全
理解并实现网络安全的基本概念
【5月更文挑战第24天】本文探讨了网络安全的基本概念,包括保密性、完整性和可用性。防火墙、IDS/IPS、加密、访问控制和安全审计是实现安全的关键措施。最佳实践包括定期更新系统、使用强密码、备份数据、限制网络访问和采用多因素认证。网络安全强调技术与人员意识并重,通过持续学习和适应,以抵御不断演变的威胁。
|
7月前
|
JSON 安全 Go
加密通信秘籍:网络安全不容忽视
加密通信秘籍:网络安全不容忽视
65 0
|
自然语言处理 算法 安全
《计算机系统与网络安全》 第四章 密码学基础
《计算机系统与网络安全》 第四章 密码学基础
109 0
下一篇
DataWorks