- 对电子数据的攻击形式
- 明文、密文、信道、加密算法、解密算法的基本概念是什么
- 对称密钥密码体制和典型的算法有哪些
- 非对称加密算法有哪些
- 散列函数算法是什么
- 数字签名与数字水印是什么
- 密钥分配中心和公钥基础设施是什么
- 访问控制包含什么
- 安全协议有哪些,分别是什么
- 数据备份简介
- 计算机病毒简介
- 计算机病毒免疫原理简介
- 安全管理技术有哪些
- 信息安全保障体系的构建从什么地方入手
1.对电子数据的攻击形式
答:主要有两种,一种是被动攻击,非法地从传输信道上截取信息或从存储载体上偷窃、复制信息。第二种是主动攻击,对传输或存储的数据进行恶意的删除、篡改等。
2.明文、密文、信道、加密算法、解密算法的基本概念是什么
答:明文是没有加密的消息;密文是加密后的消息;信道是传输消息的通道;加密算法是将明文变换为密文的算法;解密算法是将密文转换为明文的算法。
3.对称密钥密码体制和典型的算法有哪些
答:对称算法,有时也称为传统密码算法,在大多数对称算法中,加密密钥和解密密钥是相同的。对称算法的安全性依赖密钥,泄露密钥意味着任何人都可以对他们发送或接收的消息解密。对称加密优点在于算法实现的效率高、速度快;缺点在于密钥的管理过于复杂。
DES是一种对称加密算法,是一种分组加密算法,以64位为分组对数据进行加密。密钥长度为56为,密钥可以是任意的56为的数,且在任意时候改变。
IDEA是一种对称加密算法,分组程度64b,密钥长度为128b,运算简单,只需要异或等简单运算,所有运算都是基于16b数运行,速度比DES快,相对密文空间比DES的密文空间大。
4.非对称加密算法有哪些
答:不对称密码体制也称为双密钥和公钥密码体制,它有两个密钥,一个密钥是私钥,另一个密钥是公钥。私钥归个人或者私密单位使用,公钥归公共单位使用。
RSA密码体制是一个非常常用的非对称密码体制,既可以用于数据加密也可以用于数字签名的算法。RSA的安全性依赖于大素数分解,公钥和私钥都是两个大素数的函数。由于RSA安全性依赖于大数分解,使用大数计算,所以运行效率最快为DES的百分之一,因此RSA只适合少量数据加密。
在选择具体加密算法的时候需要考虑业务场景。
5.散列函数算法是什么
答:散列函数是一种公开的数学函数,散列函数运算输入的信息叫做报文,运算后得到的结果叫做散列码或者消息摘要。接收者对收到的报文用于发送者相同的散列函数进行运算,如果得到相同的散列码则认为报文没有被篡改,否则报文不可信。
常用的散列算法有MD5、SHA、HMAC等。
6.数字签名与数字水印是什么
答:数字签名可以解决否认、伪造、篡改、冒充等问题。凡是需要对用户的身份进行判断的情况,都可以使用数字签名。数字签名方案一般包括三个过程 :系统初始化过程、签名产生过程、签名验证过程。实现数字签名的方法是基于对称加密、非对称加密、散列算法等机制上实现的。
数字水印是实现版权保护的有效办法,该技术通过在原始数据中嵌入秘密信息水印来证实数据的所有权。数字水印技术必须具有较强的鲁棒性、安全性、透明性。数字水印的主要应用领域有:版权保护、加指纹、标题与注释、篡改提示、使用控制。典型数字水印算法有空域算法、变换域算法、压缩域算法、NEC算法、生理模型算法等。
7.密钥分配中心和公钥基础设施是什么
答:密钥分配中心(KDC)是一种非常有效的密钥自动分配方案。在KDC方案中,每一个用户只保存自己的私钥和KDC的公钥,在通信时再从KDC获得其他用户的公钥或者仅仅在某一次通信中可以使用的对称密钥加密算法的临时密钥。
数字签名和公钥加密都是基于不对称加密技术的,公开密钥持有者的身份验证和大规模信息系统环境下公开密钥的处理有赖于数字证书和公开密钥基础设施(PKI)。数字证书提供了一个在公钥和拥有私钥的时间之间建立关系的机制,目前格式由ITU-T X.509 V3版本定义。数字证书是用户在系统中确认身份的证据。公钥基础设施(PKI)的目标是向广大的信息系统用户和应用程序提供公开密钥管理服务。PKI的结构模型有三类实体:管理实体、端实体、证书库。管理实体是PKI的核心,是服务提供者;端实体是PKI的用户,是服务的使用者;证书库是一个分布式的数据库,用于证书和CRL的存放和检索。
CA和RA是两种管理实体。CA是框架中唯一能发布和撤销证书的实体,维护证书的生命周期;RA负责处理用户请求。CA和RA以证书方式向端实体提供公开密钥的分发服务。持有者和验证者是两种端实体。PKI操作分为存取操作和管理操作两类,存取操作包括管理实体或端实体把证书和CRL存放到证书库、从证书库中读取证书和CRL;管理操作是管理实体与端实体之间或管理实体与管理实体之间的交互,完成证书的各项管理任务和建立证书链。
8.访问控制包含什么
答:访问控制是通过某种途径限制和允许对资源访问能力及范围的一种方法。访问控制机制不能取代身份认证,它是建立在身份认证的基础上。
识别用户的身份有两种不同的形式,一种是身份认证,要求对用户所有权限角色或自身的身份进行认证;一种是身份鉴证,要求对使用者本身身份进行检查。身份认证的具体方法有三大类:第一类是根据用户知道什么判断,如口令、密码等;第二类是根据用户拥有什么判断,如私钥或令牌等;第三类是根据用户是什么来判断,如生物识别技术认证、瞳孔、指纹等。
用户名和口令认证方式的认证有三种不同的处理形式:验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数据,安全强度和处理复杂度依次增高。
使用令牌认证,进行验证的密钥存在于令牌中。令牌的实现分为质询响应令牌和时间戳令牌,目前使用较多的是时间戳令牌。质询响应令牌的工作原理是用户进行身份认证时,认证服务器首先发送一个随机数到客户机的登录程序,用户将这个随机数读出输入令牌并输入令牌的PIN码, 得以访问令牌。令牌对输入的随机数用存储的私钥进行签名,将签名用Base64编码输出,用具将签名结果输入到客户机的验证程序中,数据传输到认证的服务端进行验证,返回验证结果。这种方式下私钥采用令牌存储的方式解决了私钥自身安全的问题。令牌是一个可移动设备并且有PIN码保护,对令牌非法访问一定次数之后,令牌会死锁。实际生活中的例子是银行卡办卡是给的数字安全证书和农行的K宝。时间戳令牌解决了质询响应令牌中随机数问题,以时间戳代替随机数,只需要输入PIN码就可以。目前在安全性要求较高的系统中多采用这种方式,具体例子是手机验证码。
生物识别是基于生物识别技术的认证,主要根据认证者的图像、指纹、声音等进行认证数据。
三因素认证是目前强认证中使用最多的手段,在安全性较高的系统中一般结合使用上面三种认证方式。
根据控制手段和具体目的不同,通常将访问控制技术划分为:入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器的安全控制等。
9.安全协议有哪些,分别是什么
答: IPSec在IP层对数据包进行高强度的安全处理提供数据源验证、无连接数据完整性、数据机密性、抗重播、有限通信流机密性等安全服务。IPSec通过使用两种通信安全协议来为数据包提供高质量的安全性:认证头(AH)协议、封装安全载荷(ESP)协议、像Internet密钥交换(IKE)的密钥管理过程和协议。AH协议提供数据源认证、无连接的完整性、一个可选的抗重放服务。ESP协议提供数据的保密性、有限的数据流保密性、数据源验证、无连接的完整性、抗重放服务。IPSec允许系统或网络用户控制安全服务提供的粒度。IPSec的安全服务是由通信双方建立的安全关联(SA)来提供的。IPSec位于传输层之下,对应用程序和最终用户是透明的,可以跨越网络边界保证安全性。
SSL协议是一种网络安全协议,在传输过程通信协议TCP/IP上实现的一种安全协议。在SSL中采用公开密钥和私有密钥两种加密方式,对计算机之间整个会话进行加密。SSL的基本目标是在通信双方之间建立安全的连接,运行在任何可靠的通信协议之上应用层协议之下。
PGP是针对电子邮件在Internet上通信的安全问题而设计的一种混合加密系统。PGP包含四个密码单元,即单钥密码(IDEA)、双钥密码(RSA)、单向杂凑密码(MD-5)、一个随机数生成算法。PGP的用户拥有一张公钥列表,列出所有要通信用户及其公钥。PGP具有速度快、效率高、移植性好的特点,其安全性随着链式信任网扩大而下降。
10.数据备份简介
答:数据备份包括完全备份、差异备份、增量备份、按需备份这四种类型。异地备份是容灾系统的核心技术,异地性可以保证因地理空间上减少损失。自动备份软件有自动备份精灵、GHOST自动备份、DiskWin自动备份。自动备份精灵是支持网络备份和本机自动备份,也可以定时备份手动备份,具有很好的灵活性;GHOST自动备份就是克隆硬盘;DiskWin自动备份是对企业的备份软件,将员工机器的文件备份到服务器上。
一个优秀的备份解决方案应满足:最大限度降低对应用数据流量的影响,保证通信性能;最大限度降低服务器负载,保证服务器心梗;优化备份资源使用。根据这些要求,新型的备份方案有网络备份模式、存储网络备份、从磁带到磁带之间直接传输数据备份。网络备份是在业务负载下降或者空闲的时候利用闲置的带宽进行备份,备份时会增加服务器延迟和性能,可再用SCSI扩展复制命令的备份方法解决;存储网络备份,利用专用的SAN网络和闲置的带宽进行备份,不能降低服务器cpu的负载;从磁带到磁带之间直接传输数据的模式是进行数据的复制,对服务器CPU压力较轻的一种方案。
11.计算机病毒简介
答:计算机病毒是一种程序,通过修改其他程序使之含有该程序本身或者它的一个变体。计算机病毒具有感染力,可借助其使用者的权限感染他们的程序,在一个计算机系统或网络中得以繁殖、传播。每个被感染的个体也像病毒一样可以感染其他程序。
计算机病毒的特征有:感染性、潜伏性、可触发性、破坏性、人为性、衍生性。
从病毒的工作机制上划分,计算机病毒可以分为引导区病毒、文件感染病毒、宏病毒、特洛伊木马、蠕虫病毒。
12.计算机病毒免疫原理简介
答:计算机病毒的传染模块一般包括传染条件和实施传染两个部分,在病毒被激活的状态下,病毒程序通过判断传染条件以决定是否对目标进行传染。一般情况下,病毒程序在传染完成一个对象之后,给被传染对象加上传染标识,这个标识就是传染条件判断的依据。不是所有的病毒都会有这种做法,有的病毒是可以反复传染程序的。
第一种病毒免疫方法是根据病毒传染标识进行处理的,在文件中加入某种病毒的传染标识免疫病毒攻击。这种做法并不是一直都可靠,当病毒发生变异、出现多种病毒就变得比较无效,同时也没有办法阻止病毒的破坏行为。
第二种是针对文件的病毒免疫方法,具体做法是在可执行程序增加一个免疫外壳,同时在免疫外壳中记录关于恢复自身的信息。免疫外壳占1到3K,执行程序时先执行免疫外壳检查程序状态,没有异常才可以执行。这种做法也有不足,免疫外壳要占据额外的空间、对覆盖式文件型病毒无效、某些文件不支持免疫外壳、一些校验码算法不能满足防病毒的需要。如果病毒被免疫外壳包裹了,这种情况下免疫机制无法生效,病毒可以光明正大的传播。
13.安全管理技术有哪些
答:安全管理技术是监督、组织、控制网络通信服务和信息处理所必需的各种技术手段和措施的总称,主要目的是保证计算机网络持续运行,在运行中出现异常时能及时响应和排除故障。安全管理是系统化的处理方案,涉及安全设备管理、安全策略管理、安全分析控制、安全审计等方面的信息。
安全管理主要解决的问题有:集中化安全策略管理(CSPM)、实时安全监视(RTSA)、安全联动机制(CM)、配置与补丁管理、统一权限管理。
14.信息安全保障体系的构建从什么地方入手
答:建立一个完整的信息安全保障体系需要从建立统一的身份认证体系、建立统一的信息安全管理体系、建立规范的信息安全保密体系、建立完善的网络边界防护体系入手。