【体系分析师】-安全体系

考点综述
   (1)综合知识:包罗加密密钥和公开密钥算法:计算机病毒及防治技术计算机犯罪根本概念与防范步伐、入侵检测与防范、体系访问控制技术;信息删除、修改、插入和丢失;伪造与重放攻击的防止;SHA、MD5;私有信息保护。
  
  (2)案例:根据具体案例，分析在网络与分布式环境下的分布式应用体系在安全性方面必要思量的因素。
  
  (3)论文:包罗入侵检测、VPN、安全协议(IPSec、SSL、PGP、HTTPSSSL)、病毒防护、加密标准(DES、IDEA、RSA、3DES)、认证(数字签名、身份认证)、完整性(SHA、MD5)、访问控制(存取权限、口令)、容灾。
  1、信息体系安全

5个根本要素：
   (1)机密性:确保信息不袒露给未授权的实体或进程。
  (2)完整性:只有得到答应的人才可以或许修改数据，并可以或许判别数据是否已被窜改。
  (3)可用性:得到授权的实体在必要时可访问数据。
  (4)可控性:可以控制授权范围内的信息流向和活动方式
  (5)可审查性:对出现的安全问题提供观察的依据和手段。
  
1.1、安全体系结构

1.1.1、安全服务

计算机网络提供的安全防护步伐
1）认证服务
确保某个实体身份的可靠

• 认证明体本身的身份，确保其真实性，称为实体认证。实体的身份一旦得到确认就可以和访问控制表中的权限关联起来，决定是否有权进行访问。如：口令认证
  
• 证明某个信息是否来自于某个特定的实体，这种认证叫做数据源认证。如：数据签名
  

2）访问控制
防止对任何资源的非授权访问，确保只有颠末授权的实体才能访问受保护的资源。
3）数据机密性服务
确保只有颠末授权的实体才能理解受保护的信息。

• 数据机密性服务：数据加密
  
• 业务流机密性服务：要使监听者很难从网络流量的厘革上推出敏感信息。流量添补
  

4）数据完整性服务
防止对数据未授权的修改和破坏。
完整性服务使消息的接收者可以或许发现消息是否被修改，是否被攻击者用假消息换掉。
5）不可否认服务
防止对数据源以及数据提交的否认。
数据发送的不可否认性和数据接收的不可否认性。如数字签名

1.1.2、特定的安全机制

加密：包管机密性
数字签名：包管完整性与不可否认
访问控制：权限认证
数据完整性：数字摘要
认证交换：通过交换标识信息使通信双方相互信托。
流量添补：针对的是对网络流量进行分析的攻击。
路由控制：指定数据通过网络的路径。
公正机制：由通信各方都信托的第三方提供。由第三方来确保数据完整性、数据源、时间及目的地的正确。

1.1.3、广泛性的安全机制

1）事件检测：
与安全有关的事件检测包罗对安全明显事件的检测，也可以包罗对“正常”事件的检测，如，一次成功的访问(或注册)。
2）安全审计跟踪
3）安全恢复
4）安全标记

1.2、安全保护登记

1）用户自主保护级：
实用于普通内联网用户。
2）体系审计保护级
实用于通过内联网或国际网进行商务运动，必要保密的非重要单位。
3）安全标记保护级
实用于地方各级国家构造、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建立等单位。
4）结构化保护级
实用于中央级国家构造、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业团体、国家重点科研机构和国防建立等部门。
5）访问验证保护级
实用于国防关键部门和依法必要对计算机信息体系实施特殊隔离的单位。

2、数据安全与保密

2.1、加密体系

1）对称加密
DES：密钥长度56
3DES：128位
IDEA：128位

2）非对称加密
RSA：密钥512位

2.2、数字摘要

MD5
SHA-1
此中TLS（传输层安全协议）、SSL（安全套接字层）、PGP、SSH、S/MIME（邮件扩展）、IPSec（IP协议安全）
2.3、PKI与数字签名

PKI包罗由认证中心、证书库、密钥备份及恢复体系、证书作废处置处罚体系及客户端证书处置处罚体系5大体系组成。
数字签名范例：Hash签名、DSS签名、RSA签名
Hash 数字签名把 Hash 函数和公钥算法结合起来，可以在提供数据完整性的同时也可以包管数据的真实性。其原理如下:
   (1)发送者起首将原文用Hash函数生成128位的消息摘要
  
  (2)发送者用自己的私钥对摘要再加密，形成数字签名，把加密后的数字签名附加在要发送的原文后面。
  
  (3)发送者将原文和数字签名同时传给对方。
  
  (4)接收者对收到的信息用 Hash 函数生成新的摘要，用发送者的公开密钥对消息摘要解密。
  
  (5)将解密后的摘要与新摘要对比，如两者一致，则分析传送过程中信息没有被破坏或窜改。
   2.4、数字信封

数字信封则采用暗码技术包管了只有规定的接收人才能阅读信息的内容。
数字信封中采用了私钥暗码体制和公钥暗码体制。
根本原理是将原文用对称密钥加密传输，而将对称密钥用接收方公钥加密发送给对方。收方收到电子信封，用自己的私钥解密信封，取出对称密钥解密得原文。
其具体过程如下:
   (1)发送方A将原文信息进行 Hash 运算，得一消息摘要 MD。
  (2)发送方A用自己的私钥 PVA，采用RSA算法，对 MD进行加密，即得数字签名 DS。
(3)发送方A用DES的对称密钥 SK对原文信息、DS 及发送方A证书的公钥 PBA进行加密，得到加密信息E。
(4)发送方用接收方B的公钥PBB;采用RSA算法对 SK加密，形成数字信封 DE就好像将 SK 装到了一个用接收方公钥加密的信封里。
(5)发送方A将E和DE一起发送给接收方B。
(6)接收方B接收到 DE后，起首用自己的私钥PVB 解密数字信封，取出对称密钥
SK
(7)接收方B用对称密钥 SK通过 DES 算法解密加密信息E,还原出原文信息、SD和 PBA。
(8)接收方B验证数字签名，先用发送方A的公钥解密数字签名，得到MD;接收方 B同时将原文信息用同样的 Hash 运算，求得一个新的数字摘要 MD'。
(9)接收方将两个数字摘要 MD和 MD’进行比较，验证原文是否被修改。假如二者相称，分析数据没有被窜改，是保密传输的，签名是真实的;否则拒绝该签名。
  2.5、PGP

一个基于RSA 公钥加密体系的邮件加密软件。
一份 PGP 证书包罗(但不但限于)以下信息。
   (1)PGP版本号 :指出创建与证书相关联的密钥利用了哪个PGP版本。
  (2)证书持有者的公钥: 这是密钥对的公开部门，并且还有密钥的算法。
  (3)证书持有者的信息: 包罗用户的身份信息，例如姓名、用户D、照片等
  (4)证书拥有者的数字签名: 也称为自签名，这是用与证书中的公钥相关的私钥生成的签名。
  (5)证书的有用期 :证书的起始日期/时间和终止日期/时间，指明证书何时失效。
  (6)密钥首选的对称加密算法: 指明证书拥有者首选的信息加密算法。
  一份X.509证书包含以下数据。
   (1)证书版本:指出该证书利用了哪种版本的X.509标准，版本号会影响证书中的
一些特定信息。
  (2)证书的序列号:创建证书的实体(组织或个人)有责任为该证书指定一个独一无二的序列号
(3)签名算法标识:指明CA签订证书所利用的算法。
  (4)证书有用期:证书起始日期和时间以及终止日期和时间，指明证书何时失效。
  (5)证书发行商名字:这是签发该证书实体的唯一名字，通常是CA。利用该证书意味着信托签发证书的实体。(注意:在某些环境下，例如根或顶级CA证书，发布者自己签发证书)。
(6)证书主体名:证书持有人唯一的标识符
(7)主体公钥信息:包罗证书持有人的公钥，算法(指明密钥属于哪种暗码体系)的标示符和其他相关的密钥参数。
(8)发布者的数字签名:这是利用发布者私钥生成的签名
  2.6、数字水印

安全、潜伏、鲁棒、水印容量

3、计算机网络安全

单点登录技术SSO：利用Kerberos机制
防火墙：建立在表里网络边界上的过滤封锁机制
入侵检测：对机密性、完整性、可用性的活动
捏造专用网VPN：通过公用网络对企业内部专用网络进行远程访问，PPTP安全隧道技术
IPSec：保护TCP/IP的通信免遭窃听和串改。保护数据包和抵抗网络攻击
   Sniffer、数据窜改、身份诱骗、中间人攻击、Ddos
  
4、电子商务安全

SSL：传输层，数据加密
SET：安全电子交易。应用层
HTTPS：HTTP + SSL，利用443端口
认证中心：CA作为电子商务的核心。
通常 CA 中心会采用“统一建立，分级管理”的原则，
   统一建立注册中心(Registration.Authority，RA)体系，用户的证书申请考核
  5、安全管理

1、安全体系
病毒和木马扫描：应用程序
安全扫描：计算机体系及网络端口
日志审计体系
安全审计
个人信息控制
安全管理制度
   知识点巩固、刷题，可以利用  软考真题 APP ，直接在应用市场搜索即可下载
  6、计算机操作安全


7、体系备份与恢复





免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。