通信保密技术
1. 简述计算机安全的三种类型
1、实体安全
计算机系统实体是指计算机系统的硬件部分,应包括计算机本身的硬件和各种接口、各种相应的外部设备、计算机网络的通讯设备、线路和信道等。
而计算机实体安全是指为了保证计算机信息系统安全可靠运行,确保在对信息进行采集、处理、传输和存储过程中,不致受到人为或自然因素的危害,而使信息丢失、泄密或破坏,对计算机设备、设施(包括机房建筑、供电、空调等)、环境、人员等采取适当的安全措施。
是防止对信息威胁和攻击的第一步,也是防止对信息威胁和攻击的天然屏障,是基础。主要包括以下内容:
环境安全。主要是对计算机信息系统所在环境的区域保护和灾难保护。要求计算机场地要有防火、防水、防盗措施和设施,有拦截、屏蔽、均压分流、接地防雷等设施;有防静电、防尘设备,温度、湿度和洁净度在一定的控制范围等等。
设备安全。主要是对计算机信息系统设备的安全保护,包括设备的防毁、防盗、防止电磁信号辐射泄漏、防止线路截获;对UPS、存储器和外部设备的保护等。
媒体安全。主要包括媒体数据的安全及媒体本身的安全。目的是保护媒体数据的安全删除和媒体的安全销毁,防止媒体实体被盗、防毁和防霉等。
2、运行安全
系统的运行安全是计算机信息系统安全的重要环节,因为只有计算机信息系统的运行过程中的安全得到保证,才能完成对信息的正确处理,达到发挥系统各项功能的目的。包括系统风险管理、审计跟踪、备份与恢复、应急处理四个方面内容。
风险分析是指用于威胁发生的可能性以及系统易于受到攻击的脆弱性而引起的潜在损失步骤,是风险管理程序的基础,其最终目的是帮助选择安全防护并将风险降低到可接受的程度。
计算机信息系统在设计前和运行前需要进行静态分析,旨在发现系统的潜在安全隐患;其次对系统进行动态分析,即在系统运行过程中测试,跟踪并记录其活动,旨在发现系统运行期的安全漏洞;最后是系统运行后的分析,并提供相应的系统脆弱性分析报告。
常见的风险有后门/陷阱门、犯大错误、拒绝使用、无法使用、伪造、故意对程序或数据破坏、逻辑炸弹、错误传递、计算机病毒和超级处理等。常见分析工具有自动风险评估系统ARESH、Bayesian判决辅助系统、Livermore风险分析法等。
审计跟踪是利用对计算机信息系统审计的方法,对计算机信息系统工作过程进行详尽的审计跟踪,记录和跟踪各种系统状态的变化,如用户使用系统的时间和日期及操作,对程序和文件的使用监控等,以保存、维护和管理审计日志,实现对各种安全事故的定位。
也是一种保证计算机信息系统运行安全的常用且有效的技术手段。
备份与恢复是对重要的系统文件、数据进行备份,且备份放在异处,甚至对重要设备也有备份,以确保在系统崩溃或数据丢失后能及时准确进行恢复,保障信息处理操作仍能进行。可采取磁盘镜像、磁盘冗余阵列等技术。
应急处理主要是在计算机信息系统受到损害、系统崩溃或发生灾难事件时,应有完善可行的应急计划和快速恢复实施应急措施,基本做到反应紧急、备份完备和恢复及时,使系统能正常运行,以尽可能减少由此而产生的损失。
3、信息安全
计算机信息系统的信息安全是核心,是指防止信息财产被故意或偶然的泄漏、更改、破坏或使信息被非法系统辨识、控制,确保信息的保密性、完整性、可用性和可控性。针对计算机信息系统中的信息存在形式和运行特点,信息安全可分为操作系统安全、数据库安全、网络安全、病毒防护、访问控制和加密。
操作系统安全。是指操作系统对计算机信息系统的硬件和软件资源进行有效控制,对程序执行期间使用资源的合法性进行检查,利用对程序和数据的读、写管理,防止因蓄意破坏或意外事故对信息造成的威胁,从而达到保护信息的完整性、可用性和保密性。
操作系统安全可通过用户认证、隔离、存取控制及完整性等几种方法来实现。用户认证就是系统有一个对用户识别的方法,通过用户名和口令实现,口令机制有口令字、IC卡控制、指纹鉴别和视网膜鉴别等。
隔离技术是在电子数据处理成份的周围建立屏障,以使该环境中实施存取规则,可通过物理隔离、时间隔离、逻辑隔离和密码技术隔离来实现。
存取控制是对程序执行期间访问资源的合法性进行检查,并通过控制对数据和程序的读、写、修改、删除和执行等操作进行保护,防止因事故和有意破坏造成对信息的威胁。系统完整性涉及到程序和数据两方面,程序完整性要在整个程序设计活动中严格控制;数据完整性由错误控制进行保护。
数据库安全。数据库系统中的数据的安全性包括:完整性——只有授权用户才能修改信息,不允许用户对信息进行非法修改;可用性——当授权用户存取其有权使用的信息时,数据库系统一定能提供这些信息;保密性——只有授权用户才能存取信息。
实现数据库安全可通过用户认证、身份鉴别、访问控制和数据库内外加密等方法来实现。用户认证通过在操作系统用户认证基础上,要求用户对通行字、日期和时间检查认证。身份鉴别是数据库系统具备的独立的用户身份鉴别机制。
访问机制,运用安全级元素的确定、视图技术等方法,确保用户仅能访问已授权的数据,并可保证同一组数据的不同用户被授予不同访问权限。
数据库外加密是操作系统完成的,如采用文件加密方法等,把数据形成存储块送入数据库;数据库内加密是对数据库以数据元素、域或记录形式加密,常用加密方法有DES加密、子密钥数据库加密和秘密同态加密技术等。
访问控制。是系统安全机制的核心,对处理状态下的信息进行保护,对所有直接存取活动进行授权;同时,对程序执行期间访问资源的合法性进行检查,控制对数据和程序的读、写、修改、删除、执行等操作,防止因事故和有意破坏对信息的威胁,主要包括授权、确定存取权限和实施权限三个内容。
通过最小授权、存取权分离、实体权限的时效性和对存取访问的监督检查、访问控制表、访问控制矩阵和能力表等方法来实现。
密码技术。计算机数据信息的加密基本上属于通信加密的类型,但又不同于一般的通信保密技术,被加密的明文往往是程序或其他处理的原始数据或是运行结果,而形成的密文是静态的,一般不是执行中的程序,仅用以存储或作为通信输出。
一般密码系统包括明文、密文、加密、解密和密钥五部分,常见密码加密有换位加密、矩阵移位加密、定长置换加密、替代密码和DES加密、RAS加密、PKI和MD5等算法。
计算机网络安全。在计算机网络中传递的信息普遍面临着主动攻击的危害,主动攻击中最主要的方法就是对信息进行修改,比如对信息的内容进行更改、删除、添加;改变信息的源或目的地;改变报文分组的顺序或将同一报文反复;篡改回执等。
而在计算机网络信息系统中,信息的交换是其存在的基础。而从安全角度上考虑,就必须保证这些交换过程的安全和内容的有效性及合法性。对于网络安全的实用技术有:身份验证;报文验证;数字签名;防火墙。
计算机病毒。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。其本质是一种具有自我复制能力的程序,具有复制性、传播性和破坏性。
计算机病毒不同于生物医学上的“病毒”,计算机病毒不是天然存在的,是人故意编制的一种特殊的计算机程序。计算机病毒对信息系统有极大的危害性,轻者可以增加系统开销,降低系统工作效率;重者可使程序、数据丢失,甚至系统崩溃,无法工作,更甚者造成计算机主板毁坏,如CIH病毒等。
(1)通信保密技术扩展阅读
常用防护策略
1、安装杀毒软件
对于一般用户而言,首先要做的就是为电脑安装一套杀毒软件,并定期升级所安装的杀毒软件,打开杀毒软件的实时监控程序。
2、安装个人防火墙
安装个人防火墙(Fire Wall)以抵御黑客的袭击,最大限度地阻止网络中的黑客来访问你的计算机,防止他们更改、拷贝、毁坏你的重要信息。防火墙在安装后要根据需求进行详细配置。
3、分类设置密码并使密码设置尽可能复杂
在不同的场合使用不同的密码,如网上银行、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码,以免因一个密码泄露导致所有资料外泄。对于重要的密码(如网上银行的密码)一定要单独设置,并且不要与其他密码相同。
设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码,最好采用字符、数字和特殊符号混合的密码。建议定期地修改自己的密码,这样可以确保即使原密码泄露,也能将损失减小到最少。
4、不下载不明软件及程序
应选择信誉较好的下载网站下载软件,将下载的软件及程序集中放在非引导分区的某个目录,在使用前最好用杀毒软件查杀病毒。
不要打开来历不明的电子邮件及其附件,以免遭受病毒邮件的侵害,这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件,如果下载或运行了它的附件,就会受到感染。同样也不要接收和打开来历不明的QQ、微信等发过来的文件。
5、防范流氓软件
对将要在计算机上安装的共享软件进行甄别选择,在安装共享软件时,应该仔细阅读各个步骤出现的协议条款,特别留意那些有关安装其他软件行为的语句。
6、仅在必要时共享
一般情况下不要设置文件夹共享,如果共享文件则应该设置密码,一旦不需要共享时立即关闭。共享时访问类型一般应该设为只读,不要将整个分区设定为共享。
7、定期备份
数据备份的重要性毋庸讳言,无论你的防范措施做得多么严密,也无法完全防止“道高一尺,魔高一丈”的情况出现。如果遭到致命的攻击,操作系统和应用软件可以重装,而重要的数据就只能靠你日常的备份了。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患!
计算机安全管理制度
为加强组织企事业单位计算机安全管理,保障计算机系统的正常运行,发挥办公自动化的效益,保证工作正常实施,确保涉密信息安全,一般需要指定专人负责机房管理,并结合本单位实际情况,制定计算机安全管理制度,提供参考如下:
1、计算机管理实行“谁使用谁负责”的原则。爱护机器,了解并熟悉机器性能,及时检查或清洁计算机及相关外设。
2、掌握工作软件、办公软件和网络使用的一般知识。
3、无特殊工作要求,各项工作须在内网进行。存储在存储介质(优盘、光盘、硬盘、移动硬盘)上的工作内容管理、销毁要符合保密要求,严防外泄。
4、不得在外网或互联网、内网上处理涉密信息,涉密信息只能在单独的计算机上操作。
5、涉及到计算机用户名、口令密码、硬件加密的要注意保密,严禁外泄,密码设置要合理。
6、有无线互联功能的计算机不得接入内网,不得操作、存储机密文件、工作秘密文件。
7、非内部计算机不得接入内网。
8、遵守国家颁布的有关互联网使用的管理规定,严禁登陆非法网站;严禁在上班时间上网聊天、玩游戏、看电影、炒股等。
9、坚持“安全第一、预防为主”的方针,加强计算机安全教育,增强员工的安全意识和自觉性。计算机进行经常性的病毒检查,计算机操作人员发现计算机感染病毒,应立即中断运行,并及时消除。确保计算机的安全管理工作。
10、下班后及时关机,并切断电源。
2. 自学信息安全!!!
天津市高等教育自学考试课程考试大纲
课程名称:
信息安全
课程代码:7172
第一部分
课程性质与目标
一、课程性质与特点
《信息安全》是高等教育自学考试软件工程专业的一门专业课程。通过本课程的学习,使学生对信息安全的重要性和与信息安全有关的基本概念、方法和技术有一个全面的了解并将其运用到实践中去。
本课程主要讲述信息安全的理论及应用,包括密码学的基本理论及应用、网络攻击及防护、WEB安全威胁及防范、计算机病毒的防范以及电子商务的安全。
本大纲是根据高等教育自学考试软件工程专业(独立本科段)的指导思想和培养目标编写的,立足于培养将信息安全技术应用于本领域、本行业的复合型应用人才。大纲内容尽可能简明实用,便于教师操作和学生掌握。
二、课程目标与基本要求
通过本课程的学习和考试,使学生对信息安全方面的知识有全面的了解,并能将信息安全方面的知识和技术运用于实践中。课程的基本要求包括:
1、了解计算机安全的基本概念以及相关的标准;
2、掌握计算机病毒的基本结构和防治的基本办法;
3、了解密码学的基本概念及古典密码学的加密与分析方法、shannon密码学理论和序列密码的基本概念;
4、掌握现代加密方法,包括DES、Rijndael、RSA等算法;
5、掌握密码技术在信息安全中的应用;
6、掌握网络安全技术、网络系统安全策略与设计、网络操作系统安全、数据库安全、虚拟专用网安全及防火墙技术等;
7、了解Web面临的安全威胁和防范技术及电子商务安全等。
三、与本专业其他课程的关系
信息安全涉及多学科知识,在学习本课程之前应先行学习本专业的计算机网络技术,并应有一定的计算机操作系统、高等数学方面的知识。
第二部分 考核内容与考核目标
第一章
绪论
一、学习目的与要求
通过本章学习,了解信息安全的基本概念及网络信息安全的标准,对信息安全的重要性及研究内容有一个初步了解。
二、考核知识点与考核目标
(一)信息安全基本概念(重点)
识记:信息安全基本概念、信息安全面临的威胁、网络信息安全特征与保护技术、网络信息安全与保密学。
(二)网络信息安全(重点)
识记:网络信息安全体系结构框架、网络信息安全机制及安全标准。
第二章 计算机病毒概述
一、学习目的与要求
通过本章的学习,对计算机病毒的概念、特点及反病毒技术有一个了解,掌握计算机病毒的检测与防范方法。
二、考核知识点与考核目标
(一)计算机病毒的发生和发展(一般)
识记:计算机病毒的起源与发展历史。
(二)计算机病毒产生的原因(次重点)
识记:计算机病毒产生的原因、典型病毒及特点、防治病毒的基本技术。
(三)计算机病毒的检测与消除(重点)
识记:计算机病毒的检测类型及检测方法。
应用:计算机病毒消除方法。
第三章 密码学概论
一、学习目的与要求
通过本章的学习,掌握信息加密的基本概念和传统密码学的加密方法与分析方法,了解shannon密码学理论和序列密码、Hill密码、一次一密方案的基本概念。
二、考核知识点与考核目标
(一)信息加密的基本概念(重点)
识记:信息加密的基本概念。
(二)传统密码学(重点)
识记:单表代换密码、多表代换密码、多字母代换密码、一次一密方案的概念。
应用:单表代换密码、多表代换密码、多字母代换密码的加密方法与分析方法。
(三)shannon理论(一般)
识记:信息量和熵的定义及有关定理,完善保密性与实际保密性的概念。
(四)序列密码(一般)
识记:序列密码的概念和分类、密钥流概念。
(五)仿射密码(重点)
识记:Hill密码概念、加法密码、乘法密码、仿射密码。
理解:Hill密码体制。
应用:Hill加密与解密。
第四章 加密算法
一、学习目的与要求
通过本章学习,了解对称密码算法和公开密钥密码算法、数据加密标准DES算法和Rijndael算法,以及RSA等加密算法。
二、考核知识点与考核目标
(一)分组密码(次重点)
识记:分组密码概念及设计原则,分组密码中常用函数与S盒设计。
理解:分组密码的工作方式。
(二)DES与Rijndael算法(重点)
识记:DES与Rijndael等算法的特点。
理解:DES算法和Rijndael算法的加密与解密的实现。
(三)密码攻击方法(次重点)
识记:密码攻击的概念。
理解:密码攻击形式、统计分析破译法、已知明文攻击破译法。
(四)双钥密码体制(重点)
识记:双钥密码体制的基本概念与特点、公钥密码背景。
理解:RSA密码体制与EIGamal密码体制。
第五章 密码应用
一、学习目的与要求
通过本章学习,了解密码技术在信息安全中的应用,掌握密码与安全协议概念、数字签名和身份认证方法以及CA与公钥密码基础实施的相关概念及应用。
二、考核知识点与考核目标
(一)数字签名体制(重点)
识记:RSA签名的概念,几种特殊的数字签名,常规密码安全协议与高级安全密码协议。
理解:RSA签名体制与数字签名标准,不可否认数字签名方案。
(二)hash函数(一般)
识记:生日攻击概念。
理解:MD与SHA算法。
(三)身份识别协议(重点)
识记:身份识别的概念和作用。
理解:schnonr身份识别方案及信息隐藏技术。
(四)CA与数字证书(重点)
识记:CA的基本概念、申请与撤消证书的流程。
(五)公开密钥基础设施(次重点)
识记:证书的类型和证书内容,CA、证书主体、证书用户之间的关系、强身份认证与不可否认的概念、X.509证书系统概念及内容。
第六章 计算机网络系统集成安全技术
一、学习目的与要求
通过本章学习,掌握网络安全策略与设计以及防火墙和入侵检测技术,了解网络操作系统安全、数据库安全。
二、考核知识点与考核目标
(一)网络系统安全策略与设计(重点)
识记:网络的安全体系与安全设计。
理解:网络系统实体安全与网络安全措施、PPDR-A模型。
(二)网络操作系统安全(重点)
识记:网络操作系统的安全问题及安全访问控制、安全操作系统设计与实施、数据库安全防护、PKI技术内容。
理解:Windows
NT安全、UNIX安全、Linux安全、VPN安全技术、PKI工程。
(三)防火墙技术(重点)
识记:黑客攻击特征与防范技术、防火墙概念及作用,防火墙的局限性,网络测试工具。
理解:防火墙的体系结构及组合形式、几种主要的防火墙技术。
(四)入侵检测(重点)
识记:入侵检测的概念,入侵检测系统的分类。
应用:入侵检测的过程与技术,入侵检测系统的选择和评价。
(五)网络安全防护(重点)
应用:多层次网络安全防护及网络安全策略。
第七章 网络通信安全保密技术
一、学习目的与要求
通过本章学习,了解网络通信保密技术类型、保密通信技术要求及类型、网络通信加密安全措施、网络通信访问与接入控制、电子邮件安全、IP安全、Web安全。
二、考核知识点与考核目标
(一)网络通信保密技术(次重点)
识记:保密通信基本要求、网络通信信息流控制与通信保密技术。
(二)Web安全(次重点)
识记:Web安全基本问题。
理解:SSL安全技术、HTTP/SHTTP的安全性。
(三)网络通信加密安全措施(次重点)
识记:加密密钥的分配管理、链路加密、端—端加密概念。
理解:网络通信加密形式、链路加密和端—端加密原理及特点。
(四)网络通信访问与接入控制(次重点)
识记:通信访问安全机制、接入访问安全控制。
(五)电子邮件安全(一般)
识记:PGP加密方案、PGP公钥管理。
(六)电子商务安全(次重点)
识记:电子商务安全问题、典型电子交易协议。
理解:电子支付系统与SET安全技术、电子商务安全策略。
(七)IP安全(次重点)
识记:IP安全主要内容
理解:IP安全技术
第三部分 有关说明与实施要求
一、考核目标的能力层次表述
本课程的考核目标共分为三个能力层次:识记、理解、应用,它们之间是递进等级的关系,后者必须建立在前者基础上。其具体含义为:
识记:能知道有关的名词、概念、知识的含义,并能正确认识和表述,是低层次的要求。
理解:在识记的基础上,能全面把握基本概念、基本原理、基本方法,能掌握有关概念、原理、方法的区别与联系,是较高层次的要求。
应用:在理解的基础上,能运用基本概念、基本原理、基本方法联系学过的多个知识点分析和解决有关的理论问题和实际问题,是最高层次的要求。
二、教材
《网络与信息安全教程》
林柏钢编著 机械工业出版社 2004年7月第1版
三、自学方法指导
1、在开始阅读指定教材某一章之前,先翻阅大纲中有关这一章的考核知识点及对知识点的能力层次要求和考核目标,以便在阅读教材时做到心中有数、突出重点、有的放矢。
2、在了解考试大纲内容的基础上,根据考核知识点和考核要求,在阅读教材时,要逐段细读,逐句推敲,集中精力,吃透每一个知识点,对基本概念必须深刻理解,对基本理论必须彻底弄清,对基本方法必须牢固掌握,并融会贯通,在头脑中形成完整的知识体系。
3、在自学过程中,既要思考问题,也要做好阅读笔记,把教材中的基本概念、原理、方法等加以整理,这可从中加深对问题的认识、理解和记忆,以利于突出重点,并涵盖整个内容,可以不断提高自学能力。同时,在自学各章内容时,能够在理解的基础上加以记忆,且勿死记硬背。
4、完成书后作业和适当的辅导练习是理解、消化和巩固所学知识,培养分析问题、解决问题及提高能力的重要环节。在做练习之前,应认真阅读教材,按考核目标所要求的不同层次,掌握教材内容,在练习过程中多所学知识进行合理的回顾与发挥,注重理论联系实际和具体问题具体分析,解题时应注意培养逻辑性,针对问题围绕相关知识点进行层次(步骤)分明的论述或推导,明确各层次(步骤)间的逻辑关系。
四、对社会助学的要求
1、应熟知考试大纲对课程提出的总要求和各章的知识点。
2、应掌握各知识点要求达到的能力层次,并深刻理解对各知识点的考核目标。
3、辅导应以考试大纲为依据,指定教材为基础,不要随意增删内容,以免与大纲脱节。
4、辅导时,应对学习方法进行指导。提倡“认真阅读教材,刻苦钻研教材,主动争取帮助,依靠自己学通”的方法。
5、辅导时,要注意突出重点,对考生提出的问题,不要有问即答,要积极启发引导。
6、注意对应考者能力的培养,特别是对自学能力的培养,要引导学生逐步学会独立学习,在自学过程中善于提出问题、分析问题、解决问题的能力。
7、要使考生了解试题的难易与能力层次高低两者不完全是一回事,在各个能力层次中存在不同难度的试题。
8、助学学时:本课程共4学分,建议总学时72学时,课时分配如下:
章
次
内
容
学
时
第一章
绪论
2
第二章
计算机病毒概述
8
第三章
密码学概论
12
第四章
加密算法
12
第五章
密码应用
12
第六章
计算机网络系统集成安全技术
12
第七章
网络通信安全保密技术
14
总学时
72
五、关于考试命题的若干规定
1、本大纲各章所提到的内容和考核目标都是考试内容。试题覆盖到章,适当突出重点。
2、试卷中对不同能力层次的试题比例大致是:“识记”为10%、“理解”为30%、“应用”为60%。
3、试题难易程度要合理:易、较易、较难、难比例为2:3:3:2。
4、每份试卷中,各类考核点所占比例约为:重点占65%、次重点占25%、一般占10%。
5、本课程命题采用的基本题型包括名词解释、单项选择题、填空题、简答题、应用题、计算题等。
6、考试采用闭卷笔试,考试时间150分钟,采用百分制评分,60分为合格。
六、题型示例
(一)填空
计算机病毒由引导模块、传染模块和
模块构成。
(二)单选题
差分密码分析是采用
方法攻击选优分组密码的。
A、已知密文攻击
B、已知明文攻击
C、选择明文攻击
D、选择密文攻击
(三)名词解释
超级冲杀
ARP欺骗
(四)简答题
1、说明双重签名的实现方法?
2、说明SET协议的主要目标?
(五)计算题
已知公开密钥为e=5,n=35,密文c=10,求明文。
(六)应用题
写出利用SET协议实现用户双方认证的过程。
天津市高等教育自学考试课程考试大纲
课程名称:信息安全
课程代码:7172