- 對電子數據的攻擊形式
- 明文、密文、信道、加密算法、解密算法的基本概念是什麼
- 對稱密鑰密碼體制和典型的算法有哪些
- 非對稱加密算法有哪些
- 散列函數算法是什麼
- 數字簽名與數字水印是什麼
- 密鑰分配中心和公鑰基礎設施是什麼
- 訪問控制包含什麼
- 安全協議有哪些,分別是什麼
- 數據備份簡介
- 計算機病毒簡介
- 計算機病毒免疫原理簡介
- 安全管理技術有哪些
- 信息安全保障體系的構建從什麼地方入手
1.對電子數據的攻擊形式
答:主要有兩種,一種是被動攻擊,非法地從傳輸信道上截取信息或從存儲載體上偷竊、複製信息。第二種是主動攻擊,對傳輸或存儲的數據進行惡意的刪除、篡改等。
2.明文、密文、信道、加密算法、解密算法的基本概念是什麼
答:明文是沒有加密的消息;密文是加密後的消息;信道是傳輸消息的通道;加密算法是將明文變換爲密文的算法;解密算法是將密文轉換爲明文的算法。
3.對稱密鑰密碼體制和典型的算法有哪些
答:對稱算法,有時也稱爲傳統密碼算法,在大多數對稱算法中,加密密鑰和解密密鑰是相同的。對稱算法的安全性依賴密鑰,泄露密鑰意味着任何人都可以對他們發送或接收的消息解密。對稱加密優點在於算法實現的效率高、速度快;缺點在於密鑰的管理過於複雜。
DES是一種對稱加密算法,是一種分組加密算法,以64位爲分組對數據進行加密。密鑰長度爲56爲,密鑰可以是任意的56爲的數,且在任意時候改變。
IDEA是一種對稱加密算法,分組程度64b,密鑰長度爲128b,運算簡單,只需要異或等簡單運算,所有運算都是基於16b數運行,速度比DES快,相對密文空間比DES的密文空間大。
4.非對稱加密算法有哪些
答:不對稱密碼體制也稱爲雙密鑰和公鑰密碼體制,它有兩個密鑰,一個密鑰是私鑰,另一個密鑰是公鑰。私鑰歸個人或者私密單位使用,公鑰歸公共單位使用。
RSA密碼體制是一個非常常用的非對稱密碼體制,既可以用於數據加密也可以用於數字簽名的算法。RSA的安全性依賴於大素數分解,公鑰和私鑰都是兩個大素數的函數。由於RSA安全性依賴於大數分解,使用大數計算,所以運行效率最快爲DES的百分之一,因此RSA只適合少量數據加密。
在選擇具體加密算法的時候需要考慮業務場景。
5.散列函數算法是什麼
答:散列函數是一種公開的數學函數,散列函數運算輸入的信息叫做報文,運算後得到的結果叫做散列碼或者消息摘要。接收者對收到的報文用於發送者相同的散列函數進行運算,如果得到相同的散列碼則認爲報文沒有被篡改,否則報文不可信。
常用的散列算法有MD5、SHA、HMAC等。
6.數字簽名與數字水印是什麼
答:數字簽名可以解決否認、僞造、篡改、冒充等問題。凡是需要對用戶的身份進行判斷的情況,都可以使用數字簽名。數字簽名方案一般包括三個過程 :系統初始化過程、簽名產生過程、簽名驗證過程。實現數字簽名的方法是基於對稱加密、非對稱加密、散列算法等機制上實現的。
數字水印是實現版權保護的有效辦法,該技術通過在原始數據中嵌入祕密信息水印來證實數據的所有權。數字水印技術必須具有較強的魯棒性、安全性、透明性。數字水印的主要應用領域有:版權保護、加指紋、標題與註釋、篡改提示、使用控制。典型數字水印算法有空域算法、變換域算法、壓縮域算法、NEC算法、生理模型算法等。
7.密鑰分配中心和公鑰基礎設施是什麼
答:密鑰分配中心(KDC)是一種非常有效的密鑰自動分配方案。在KDC方案中,每一個用戶只保存自己的私鑰和KDC的公鑰,在通信時再從KDC獲得其他用戶的公鑰或者僅僅在某一次通信中可以使用的對稱密鑰加密算法的臨時密鑰。
數字簽名和公鑰加密都是基於不對稱加密技術的,公開密鑰持有者的身份驗證和大規模信息系統環境下公開密鑰的處理有賴於數字證書和公開密鑰基礎設施(PKI)。數字證書提供了一個在公鑰和擁有私鑰的時間之間建立關係的機制,目前格式由ITU-T X.509 V3版本定義。數字證書是用戶在系統中確認身份的證據。公鑰基礎設施(PKI)的目標是向廣大的信息系統用戶和應用程序提供公開密鑰管理服務。PKI的結構模型有三類實體:管理實體、端實體、證書庫。管理實體是PKI的核心,是服務提供者;端實體是PKI的用戶,是服務的使用者;證書庫是一個分佈式的數據庫,用於證書和CRL的存放和檢索。
CA和RA是兩種管理實體。CA是框架中唯一能發佈和撤銷證書的實體,維護證書的生命週期;RA負責處理用戶請求。CA和RA以證書方式向端實體提供公開密鑰的分發服務。持有者和驗證者是兩種端實體。PKI操作分爲存取操作和管理操作兩類,存取操作包括管理實體或端實體把證書和CRL存放到證書庫、從證書庫中讀取證書和CRL;管理操作是管理實體與端實體之間或管理實體與管理實體之間的交互,完成證書的各項管理任務和建立證書鏈。
8.訪問控制包含什麼
答:訪問控制是通過某種途徑限制和允許對資源訪問能力及範圍的一種方法。訪問控制機制不能取代身份認證,它是建立在身份認證的基礎上。
識別用戶的身份有兩種不同的形式,一種是身份認證,要求對用戶所有權限角色或自身的身份進行認證;一種是身份鑑證,要求對使用者本身身份進行檢查。身份認證的具體方法有三大類:第一類是根據用戶知道什麼判斷,如口令、密碼等;第二類是根據用戶擁有什麼判斷,如私鑰或令牌等;第三類是根據用戶是什麼來判斷,如生物識別技術認證、瞳孔、指紋等。
用戶名和口令認證方式的認證有三種不同的處理形式:驗證數據的明文傳送、利用單向散列函數處理驗證數據、利用單向散列函數和隨機數處理驗證數據,安全強度和處理複雜度依次增高。
使用令牌認證,進行驗證的密鑰存在於令牌中。令牌的實現分爲質詢響應令牌和時間戳令牌,目前使用較多的是時間戳令牌。質詢響應令牌的工作原理是用戶進行身份認證時,認證服務器首先發送一個隨機數到客戶機的登錄程序,用戶將這個隨機數讀出輸入令牌並輸入令牌的PIN碼, 得以訪問令牌。令牌對輸入的隨機數用存儲的私鑰進行簽名,將簽名用Base64編碼輸出,用具將簽名結果輸入到客戶機的驗證程序中,數據傳輸到認證的服務端進行驗證,返回驗證結果。這種方式下私鑰採用令牌存儲的方式解決了私鑰自身安全的問題。令牌是一個可移動設備並且有PIN碼保護,對令牌非法訪問一定次數之後,令牌會死鎖。實際生活中的例子是銀行卡辦卡是給的數字安全證書和農行的K寶。時間戳令牌解決了質詢響應令牌中隨機數問題,以時間戳代替隨機數,只需要輸入PIN碼就可以。目前在安全性要求較高的系統中多采用這種方式,具體例子是手機驗證碼。
生物識別是基於生物識別技術的認證,主要根據認證者的圖像、指紋、聲音等進行認證數據。
三因素認證是目前強認證中使用最多的手段,在安全性較高的系統中一般結合使用上面三種認證方式。
根據控制手段和具體目的不同,通常將訪問控制技術劃分爲:入網訪問控制、網絡權限控制、目錄級安全控制、屬性安全控制、網絡服務器的安全控制等。
9.安全協議有哪些,分別是什麼
答: IPSec在IP層對數據包進行高強度的安全處理提供數據源驗證、無連接數據完整性、數據機密性、抗重播、有限通信流機密性等安全服務。IPSec通過使用兩種通信安全協議來爲數據包提供高質量的安全性:認證頭(AH)協議、封裝安全載荷(ESP)協議、像Internet密鑰交換(IKE)的密鑰管理過程和協議。AH協議提供數據源認證、無連接的完整性、一個可選的抗重放服務。ESP協議提供數據的保密性、有限的數據流保密性、數據源驗證、無連接的完整性、抗重放服務。IPSec允許系統或網絡用戶控制安全服務提供的粒度。IPSec的安全服務是由通信雙方建立的安全關聯(SA)來提供的。IPSec位於傳輸層之下,對應用程序和最終用戶是透明的,可以跨越網絡邊界保證安全性。
SSL協議是一種網絡安全協議,在傳輸過程通信協議TCP/IP上實現的一種安全協議。在SSL中採用公開密鑰和私有密鑰兩種加密方式,對計算機之間整個會話進行加密。SSL的基本目標是在通信雙方之間建立安全的連接,運行在任何可靠的通信協議之上應用層協議之下。
PGP是針對電子郵件在Internet上通信的安全問題而設計的一種混合加密系統。PGP包含四個密碼單元,即單鑰密碼(IDEA)、雙鑰密碼(RSA)、單向雜湊密碼(MD-5)、一個隨機數生成算法。PGP的用戶擁有一張公鑰列表,列出所有要通信用戶及其公鑰。PGP具有速度快、效率高、移植性好的特點,其安全性隨着鏈式信任網擴大而下降。
10.數據備份簡介
答:數據備份包括完全備份、差異備份、增量備份、按需備份這四種類型。異地備份是容災系統的核心技術,異地性可以保證因地理空間上減少損失。自動備份軟件有自動備份精靈、GHOST自動備份、DiskWin自動備份。自動備份精靈是支持網絡備份和本機自動備份,也可以定時備份手動備份,具有很好的靈活性;GHOST自動備份就是克隆硬盤;DiskWin自動備份是對企業的備份軟件,將員工機器的文件備份到服務器上。
一個優秀的備份解決方案應滿足:最大限度降低對應用數據流量的影響,保證通信性能;最大限度降低服務器負載,保證服務器心梗;優化備份資源使用。根據這些要求,新型的備份方案有網絡備份模式、存儲網絡備份、從磁帶到磁帶之間直接傳輸數據備份。網絡備份是在業務負載下降或者空閒的時候利用閒置的帶寬進行備份,備份時會增加服務器延遲和性能,可再用SCSI擴展複製命令的備份方法解決;存儲網絡備份,利用專用的SAN網絡和閒置的帶寬進行備份,不能降低服務器cpu的負載;從磁帶到磁帶之間直接傳輸數據的模式是進行數據的複製,對服務器CPU壓力較輕的一種方案。
11.計算機病毒簡介
答:計算機病毒是一種程序,通過修改其他程序使之含有該程序本身或者它的一個變體。計算機病毒具有感染力,可藉助其使用者的權限感染他們的程序,在一個計算機系統或網絡中得以繁殖、傳播。每個被感染的個體也像病毒一樣可以感染其他程序。
計算機病毒的特徵有:感染性、潛伏性、可觸發性、破壞性、人爲性、衍生性。
從病毒的工作機制上劃分,計算機病毒可以分爲引導區病毒、文件感染病毒、宏病毒、特洛伊木馬、蠕蟲病毒。
12.計算機病毒免疫原理簡介
答:計算機病毒的傳染模塊一般包括傳染條件和實施傳染兩個部分,在病毒被激活的狀態下,病毒程序通過判斷傳染條件以決定是否對目標進行傳染。一般情況下,病毒程序在傳染完成一個對象之後,給被傳染對象加上傳染標識,這個標識就是傳染條件判斷的依據。不是所有的病毒都會有這種做法,有的病毒是可以反覆傳染程序的。
第一種病毒免疫方法是根據病毒傳染標識進行處理的,在文件中加入某種病毒的傳染標識免疫病毒攻擊。這種做法並不是一直都可靠,當病毒發生變異、出現多種病毒就變得比較無效,同時也沒有辦法阻止病毒的破壞行爲。
第二種是針對文件的病毒免疫方法,具體做法是在可執行程序增加一個免疫外殼,同時在免疫外殼中記錄關於恢復自身的信息。免疫外殼佔1到3K,執行程序時先執行免疫外殼檢查程序狀態,沒有異常纔可以執行。這種做法也有不足,免疫外殼要佔據額外的空間、對覆蓋式文件型病毒無效、某些文件不支持免疫外殼、一些校驗碼算法不能滿足防病毒的需要。如果病毒被免疫外殼包裹了,這種情況下免疫機制無法生效,病毒可以光明正大的傳播。
13.安全管理技術有哪些
答:安全管理技術是監督、組織、控制網絡通信服務和信息處理所必需的各種技術手段和措施的總稱,主要目的是保證計算機網絡持續運行,在運行中出現異常時能及時響應和排除故障。安全管理是系統化的處理方案,涉及安全設備管理、安全策略管理、安全分析控制、安全審計等方面的信息。
安全管理主要解決的問題有:集中化安全策略管理(CSPM)、實時安全監視(RTSA)、安全聯動機制(CM)、配置與補丁管理、統一權限管理。
14.信息安全保障體系的構建從什麼地方入手
答:建立一個完整的信息安全保障體系需要從建立統一的身份認證體系、建立統一的信息安全管理體系、建立規範的信息安全保密體系、建立完善的網絡邊界防護體系入手。