目录10.1 信息安全基础10.2 信息加解密技术10.3 密钥管理技术10.4 访问控制技术10.5 信息摘要:10.6 数字签名10.7 计算机信息系统安全保护等级10.8 安全协议10.1信息安全基础信息安全包括5个基本要素机密性、完整性、可用性、可控性、可审查性信息安全的范围包括4个设备安全、数据安全、内容安全、行为安全机密性确保信息不暴露给未授权的实体或进程。完整性确保只有得到允许的人才能修改数据并且能够判别出数据是否已被篡改。可用性确保得到授权的实体在需要时可以访问数据即攻击者不能占用所有的资源而阻碍授权者的工作。可控性可以控制授权范围内的信息流向及行为方式可审查性对出现的网络安全问题提供调查的依据和手段。信息安全的技术措施主要有信息加密、数字签名、身份鉴别、访问控制、网络控制技术、反病毒技术、数据备份和灾难恢复。信息系统安全体系规划主要由技术体系、组织机构体系和管理体系三部分构成。10.2信息加解密技术对称加密【特点】1、加密强度不高但效率高易破解。2、密钥分发困难。非对称加密【特点】1、加密强度高但效率低极难破解。2、密钥分发容易。【游戏规则】任何人的【私钥】只有自己拥有任何人的【公钥】可以明文公开发送分组密码是在明文分组和密文分组上进行运算将明文按固定长度分组后逐组加密序列密码是对明文和密文教据流按位或字节进行运算逐位或逐字节地加密数据流。对称加密算法SM4国密算法分组长度和密钥长度都是128位。非对称加密算法SM2国密算法基于椭圆曲线离散对数问题在相同安全程度的要求下密钥长度和计算规模都比RSA小的多。10.3密钥管理技术数字证书内容证书的版本信息、证书的序列号证书所使用的签名算法、证书的发行机构名称、证书的有效期、证书所有人的名称、证书所有人的公开密钥、证书发行者对证书的签名。PKI公钥体系CA (Certificate Authority)认证中心RA(Registration Authority)注册审批机构证书受理点密钥管理中心-KMC公钥证书由证书管理机构CA用自己的私钥对用户的公钥、身份和时间戳等信息进行数字签名生成用户可以直接交换证书来获取对方公钥无需每次都联系CA。同时接收方可用CA的公钥验证证书真实性。密钥的选择和生成主要考虑三个因素增大密钥空间、选择强钥和密钥的随机性。密钥在概念上被分为两大类数据加密密钥DK)和密钥加密密钥(KK)数据加密密钥DK)直接对数据进行加密而密钥加密密钥(KK)用干保护密钥、使之通过加密而安全传递。在PKI系统体系中证书机构CA负责生成和签署数字证书注册机构RA负责验证申请数字证书用户的身份。10.4访问控制技术访问控制的3要素主体、客体、控制策略主体是可以对其他实体施加动作的主动实体包括用户组织、用户本身、计算机终端、应用服务程序或进程等。数据库文件是被动接受访问的实体属于客体。访问控制的实现技术访问控制矩阵(ACM)、访问控制列表ACL、能力表、授权关系表访问控制矩阵以主体为行索引、客体为列索引访问控制列表按列保存访问矩阵每个客体有一个访问控制表。能力表按行保存访问矩阵每个主体有一个能力表记录其对所有客体的访问权限。接权关系表中每一行表示主体和客体的一个授权关系对应访回矩阵中间个非空无素的实现技术适合采用关系数据库来实现。10.5信息摘要:单向散列函数【不可逆】、固定长度的散列值。摘要用途:确保信息【完整性】防篡改常用的消息摘要算法MD5SHA等MD5存在碰撞漏洞不同输入可能会生成相同的哈希值。哈希算法本质上无法解密因为它是单向的。从广义上有时将单向哈希视为加密的一种形式尽管它并不能解密。10.6数字签名数字签名可以解决完整性、身份认证不可否认性、由于信息以明文发送所以不可以解决机密性假设A给B发信息A用B的公钥对信息加密B收到信息后用B的私钥对信息解密A用A的私钥对信息的摘要进行签名B收到签名后用A的公钥验证签名10.7计算机信息系统安全保护等级记忆方法用系安结访GB 17859—1999 规定 5 个安全保护等级用户自主保护级、 系统审计保护级、 安全标记保护级、 结构化保护级、 访问验证保护级。10.8安全协议常见的安全协议有SSL协议、PGPPretty Good Privacy、互联网安全协议Internet Protocol SecurityIPSec、SET协议、HTTPS协议。