目錄

一、信息安全的概念

1.1 信息安全的基本要素和范圍

1.2 信息存儲(chǔ)安全

1.3?網(wǎng)絡(luò)安全

二、信息安全系統(tǒng)的組成框架

2.1 技術(shù)體系??

2.2 組織機(jī)構(gòu)體系

2.3 管理體系

三、?信息加解密技術(shù)

3.1 數(shù)據(jù)加密

3.2?對(duì)稱加密技術(shù)

3.3 非對(duì)稱加密算法

3.4 數(shù)字信封

3.5 信息摘要

3.6 數(shù)字簽名

3.7 公鑰基礎(chǔ)設(shè)施PKI

四、歷年真理練習(xí)

---

????????歷年真題考情：本章節(jié)每年單項(xiàng)選擇考5分左右。

????????主要學(xué)習(xí)信息安全基礎(chǔ)知識(shí)、信息安全系統(tǒng)的組成框架、信息加解密技術(shù)、密鑰
管理技術(shù)、訪問(wèn)控制及數(shù)字簽名技術(shù)、信息安全的抗攻擊技術(shù)、信息安全的保障體系與評(píng)估方
法等內(nèi)容。很少涉及超綱題。

一、信息安全的概念

1.1 信息安全的基本要素和范圍

????????信息安全包括5個(gè)基本要素：機(jī)密性、完整性、可用性、可控性與可審查性。

????????????????1.機(jī)密性(保密性)：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。
? ? ? ? ????????2.完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。
? ? ? ? ????????3.可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙
授權(quán)者的工作。
? ? ? ? ????????4.可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。
? ? ? ? ????????5.可審查性：對(duì)出現(xiàn)的信息安全問(wèn)題提供調(diào)查的依據(jù)和手段。

????????信息安全的范圍包括：設(shè)備安全、數(shù)據(jù)安全、內(nèi)容安全和行為安全。

????????????????1.設(shè)備安全：信息系統(tǒng)設(shè)備的安全是信息系統(tǒng)安全的首要問(wèn)題，是信息系統(tǒng)安全的物質(zhì)基礎(chǔ)，它包括3個(gè)方面：設(shè)備的穩(wěn)定性、可靠性、可用性。
? ? ? ????????? 2.數(shù)據(jù)安全：數(shù)據(jù)信息可能泄露，可能被篡改，數(shù)據(jù)安全即采取措施確保數(shù)據(jù)免受未授權(quán)的泄露、篡改和毀壞，它包括3個(gè)方面：數(shù)據(jù)的秘密性、完整性、可用性。
? ? ? ????????? 3.內(nèi)容安全：內(nèi)容安全是信息安全在政治、法律、道德層次上的要求，它包括3個(gè)方面：信息內(nèi)容在政治上是健康的、符合國(guó)家的法律法規(guī)、符合中華民族優(yōu)良的道德規(guī)范。
????????????????4.行為安全：信息系統(tǒng)的服務(wù)功能是指最終通過(guò)行為提供給用戶，確保信息系統(tǒng)的行為安全，才能最終確保系統(tǒng)的信息安全。行為安全的特性包括：行為的秘密性、完整性、可控性。

1.2 信息存儲(chǔ)安全

????????信息的存儲(chǔ)安全包括信息使用的安全、系統(tǒng)安全監(jiān)控、計(jì)算機(jī)病毒防治、數(shù)據(jù)的加密和防止非法的攻擊等。

????????1.信息使用的安全：用戶的標(biāo)識(shí)與驗(yàn)證、用戶存取權(quán)限限制、安全問(wèn)題跟蹤等。

????????2.系統(tǒng)安全監(jiān)控：系統(tǒng)必須建立一套安全監(jiān)控系統(tǒng)，全面監(jiān)控系統(tǒng)的活動(dòng)，并隨時(shí)檢查系統(tǒng)的使用情況，一旦有非法入侵者進(jìn)入系統(tǒng)，能及時(shí)發(fā)現(xiàn)并采取相應(yīng)措施，確定和填補(bǔ)安全及保密的漏洞。還應(yīng)當(dāng)建立完善的審計(jì)系統(tǒng)和日志管理系統(tǒng)，利用日志和審計(jì)功能對(duì)系統(tǒng)進(jìn)行安全監(jiān)控。

????????3.計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器必須加裝網(wǎng)絡(luò)病毒自動(dòng)檢測(cè)系統(tǒng)，以保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，防范計(jì)算機(jī)病毒的侵襲，并且必須定期更新網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng)。

1.3?網(wǎng)絡(luò)安全

????????網(wǎng)絡(luò)安全隱患體現(xiàn)在：在物理安全性、軟件安全漏洞、不兼容使用安全漏洞等方面。

????????網(wǎng)絡(luò)安全威脅：在非授權(quán)訪問(wèn)、信息泄露或丟失、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、利用網(wǎng)絡(luò)傳播病毒等方面。

????????安全措施的目標(biāo)：訪問(wèn)控制、認(rèn)證、完整性、審計(jì)、保密。

????????

二、信息安全系統(tǒng)的組成框架

????????信息系統(tǒng)安全系統(tǒng)框架通常由技術(shù)體系、組織機(jī)構(gòu)體系和管理體系共同構(gòu)建。

2.1 技術(shù)體系??

????????從實(shí)現(xiàn)技術(shù)上來(lái)看，信息安全系統(tǒng)涉及基礎(chǔ)安全設(shè)備、計(jì)算機(jī)網(wǎng)絡(luò)安全、操作系統(tǒng)安全、
數(shù)據(jù)庫(kù)安全、終端設(shè)備安全等多方面技術(shù)。
? ? ? ?1.基礎(chǔ)安全設(shè)備：包括密碼芯片、加密卡、身份識(shí)別卡等，此外還涵蓋運(yùn)用到物理安全
的物理環(huán)境保障技術(shù)，建筑物、機(jī)房條件及硬件設(shè)備條件滿足信息系統(tǒng)的機(jī)械防護(hù)安全，通過(guò)
對(duì)電力供應(yīng)設(shè)備以及信息系統(tǒng)組件的抗電磁干擾和電磁泄漏性能的選擇性措施達(dá)到相應(yīng)的安全
目的。
? ? ? ? 2.計(jì)算機(jī)網(wǎng)絡(luò)安全：指信息在網(wǎng)絡(luò)傳輸過(guò)程中的安全防范，用于防止和監(jiān)控未經(jīng)授權(quán)破壞、
更改和盜取數(shù)據(jù)的行為。通常涉及物理隔離，防火墻及訪問(wèn)控制，加密傳輸、認(rèn)證、數(shù)字簽名、
摘要，隧道及VPN 技術(shù)，病毒防范及上網(wǎng)行為管理，安全審計(jì)等實(shí)現(xiàn)技術(shù)。
? ? ? ? 3.操作系統(tǒng)安全：指操作系統(tǒng)的無(wú)錯(cuò)誤配置、無(wú)漏洞、無(wú)后門、無(wú)特洛伊木馬等，能防
止非法用戶對(duì)計(jì)算機(jī)資源的非法存取，一般用來(lái)表達(dá)對(duì)操作系統(tǒng)的安全需求。操作系統(tǒng)的安全
機(jī)制包括標(biāo)識(shí)與鑒別機(jī)制、訪問(wèn)控制機(jī)制、最小特權(quán)管理、可信通路機(jī)制、運(yùn)行保障機(jī)制、存
儲(chǔ)保護(hù)機(jī)制、文件保護(hù)機(jī)制、安全審計(jì)機(jī)制，等等。
? ? ? ? 4.數(shù)據(jù)庫(kù)安全：可粗略劃分為數(shù)據(jù)庫(kù)管理系統(tǒng)安全和數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)安全兩個(gè)部分，主要
涉及物理數(shù)據(jù)庫(kù)的完整性、邏輯數(shù)據(jù)庫(kù)的完整性、元素安全性、可審計(jì)性、訪問(wèn)控制、身份認(rèn)
證、可用性、推理控制、多級(jí)保護(hù)以及消除隱通道等相關(guān)技術(shù)。
? ? ? ? 5.終端安全設(shè)備：從電信網(wǎng)終端設(shè)備的角度分為電話密碼機(jī)、傳真密碼機(jī)、異步數(shù)據(jù)密碼
機(jī)等。

2.2 組織機(jī)構(gòu)體系

????????組織機(jī)構(gòu)體系是信息系統(tǒng)安全的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事機(jī)構(gòu)三個(gè)模塊構(gòu)成一
個(gè)體系。機(jī)構(gòu)的設(shè)置分為3個(gè)層次：決策層、管理層和執(zhí)行層。

2.3 管理體系

????????管理是信息系統(tǒng)安全的靈魂。信息系統(tǒng)安全的管理體系由法律管理、制度管理和培訓(xùn)管理
3個(gè)部分組成。所謂“三分技術(shù)，七分管理”。

? ? ? ?1.法律管理是根據(jù)相關(guān)的國(guó)家法律、法規(guī)對(duì)信息系統(tǒng)主體及其與外界關(guān)聯(lián)行為的規(guī)范和約束。

???????2.制度管理是信息系統(tǒng)內(nèi)部依據(jù)系統(tǒng)必要的國(guó)家、團(tuán)體的安全需求制定的一系列內(nèi)部規(guī)
章制度。

? ? ? ? 3.培訓(xùn)管理是確保信息系統(tǒng)安全的前提。

三、?信息加解密技術(shù)

3.1 數(shù)據(jù)加密

????????數(shù)據(jù)加密是防止未經(jīng)授權(quán)的用戶訪問(wèn)敏感信息的手段，保障系統(tǒng)的機(jī)密性要素，這就是人們通常理解的安全措施，也是其他安全方法的基礎(chǔ)。數(shù)據(jù)加密有對(duì)稱加密算法、非對(duì)稱加密算法兩種。

????????

????????從圖中可以看出：
? ? ? ? ? ? ? ? 1.發(fā)送端把明文P 用加密算法E 和密鑰 K 加密，變換成密文C , 即C=E
(K,P);
? ? ? ? ? ? ? ? 2.接收端利用解密算法D 和密鑰K 對(duì)C 解密得到明文P,即P=D(K,C)。
????????這里加/解密函數(shù)E 和D 是公開的，而密鑰K (加解密函數(shù)的參數(shù))是秘密的。在傳送過(guò)程中偷聽者得到的是無(wú)法理解的密文，而他又得不到密鑰，這就達(dá)到了對(duì)第三者保密的目的。

3.2?對(duì)稱加密技術(shù)

????????數(shù)據(jù)的加密和解密的密鑰(密碼)是相同的，屬于不公開密鑰加密算法。其缺且密鑰分發(fā)困難(因?yàn)槊荑€還需要傳點(diǎn)是加密強(qiáng)度不高(因?yàn)槊荑€位數(shù)少)輸給接收方，也要考慮保密性等問(wèn)題)。優(yōu)點(diǎn)是加密速度快，適合加密大數(shù)據(jù)。

????????常見的對(duì)稱密鑰加密算法如下:
? ? ? ? ? ? ? ? 1.DES：替換+移位、56位密鑰、64位數(shù)據(jù)塊、速度快，密鑰易產(chǎn)生。

? ? ? ? ? ? ? ? 2.3DES：三重DES，112位密鑰，兩個(gè)56位密鑰K1、K2。
????????????????????????加密：K1加密>K2解密->K1加密
????????????????????????解密：K1解密->K2加密->K1解密

????????????????3.AES：是美國(guó)聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)用來(lái)替代原先的DES.對(duì)其的要求是“至少像3DES一樣安全”，支持 128 位、192 位和 256 位 3 種密鑰長(zhǎng)度。

????????????????4.RC-5：RSA數(shù)據(jù)安全公司的很多產(chǎn)品都使用了RC-5。

????????????????5.IDEA：128位密鑰，64位數(shù)據(jù)塊，比DES的加密性好，對(duì)計(jì)算機(jī)功能要求相對(duì)低，已經(jīng)成為全球通用的加密標(biāo)準(zhǔn)。

? ? ? ? ? ? ? ? 6.SM4：分組長(zhǎng)度和密鑰長(zhǎng)度都是 128 位。

????????????????

3.3 非對(duì)稱加密算法

????????數(shù)據(jù)的加密和解密的密鑰是不同的，分為公鑰和私鑰。其缺點(diǎn)是加密速度慢。優(yōu)點(diǎn)是安全性高，不容易破解。

????????非對(duì)稱技術(shù)的原理是：發(fā)送者發(fā)送數(shù)據(jù)時(shí)，使用接收者的公鑰作加密，接收者使用接受者密鑰私鑰作解密，這樣只有接收者才能解密密文得到明文。安全性更高，因?yàn)闊o(wú)需傳輸密鑰。但無(wú)法保證完整性。如下:

????????常見的非對(duì)稱加密算法如下：

? ? ? ? ? ? ? ? 1.RSA：512位(或1024位)密鑰，計(jì)算機(jī)量極大，難破解。

? ? ? ? ? ? ? ? 2.SM2：國(guó)密算法，密鑰長(zhǎng)度為256位，基于ECC(橢圓曲線算法)，在相同安全程度的要求下，密鑰長(zhǎng)度和計(jì)算規(guī)模都比 RSA 小得多。

? ? ? ? ? ? ? ? 3.其他：Elgamal、ECC(橢圓曲線算法)、背包算法、Rabin、D-H等。

3.4 數(shù)字信封

????????相比較可知，對(duì)稱加密算法密鑰一般只有56位，因此加密過(guò)程簡(jiǎn)單，適合加密大數(shù)據(jù)，也因此加密強(qiáng)度不高；而非對(duì)稱加密算法密鑰有1024位，相應(yīng)的解密計(jì)算量龐大，難以破解，卻不適合加密大數(shù)據(jù)，一般用來(lái)加密對(duì)稱算法的密鑰，這樣，就將兩個(gè)技術(shù)組合使用了，這也是數(shù)字信封的原理。
????????數(shù)字信封原理：信是對(duì)稱加密的密鑰，數(shù)字信封就是對(duì)此密鑰進(jìn)行非對(duì)稱加密。
????????具體過(guò)程：
? ? ? ? ? ? ? ? 1.發(fā)送方將數(shù)據(jù)用對(duì)稱密鑰加密傳輸，而將對(duì)稱密鑰用接收方公鑰加密(非對(duì)稱加密)發(fā)送給對(duì)方。
? ? ? ? ? ? ? ? 2.接收方收到數(shù)字信封，用自己的私鑰解密(非對(duì)稱加密)信封，取出對(duì)稱密鑰解密得原文。

????????數(shù)字信封運(yùn)用了對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)，本質(zhì)是使用對(duì)稱密鑰加密數(shù)據(jù)，非對(duì)稱密鑰加密對(duì)稱密鑰，解決了對(duì)稱密鑰的傳輸問(wèn)題。

3.5 信息摘要

????????所謂信息摘要，就是一段數(shù)據(jù)的特征信息，當(dāng)數(shù)據(jù)發(fā)生了改變，信息摘要也會(huì)發(fā)生改變，發(fā)送方會(huì)將數(shù)據(jù)和信息摘要一起傳給接收方，接收方會(huì)根據(jù)接收到的數(shù)據(jù)重新生成一個(gè)信息摘要，若此摘要和接收到的摘要相同，則說(shuō)明數(shù)據(jù)正確。信息摘要是由哈希函數(shù)生成的。

????????信息摘要的特點(diǎn)：不管數(shù)據(jù)多長(zhǎng)，都會(huì)產(chǎn)生固定長(zhǎng)度的信息摘要；任何不同的輸入數(shù)據(jù)，都會(huì)產(chǎn)生不同的信息摘要；單向性，即只能由數(shù)據(jù)生成信息摘要不能由信息摘要還原數(shù)據(jù)。

????????信息摘要算法：MD5(產(chǎn)生128位的輸出)、SHA-1(安全散列算法，產(chǎn)生160位的輸出，安全性更高)。

3.6 數(shù)字簽名

????????數(shù)字簽名：唯一標(biāo)識(shí)一個(gè)發(fā)送方。

????????發(fā)送者發(fā)送數(shù)據(jù)時(shí)，使用發(fā)送者的私鑰進(jìn)行加密，接收者收到數(shù)據(jù)后，只能使用發(fā)送者的公鑰進(jìn)行解密，這樣就能唯一確定發(fā)送方，這也是數(shù)字簽名的過(guò)程但無(wú)法保證機(jī)密性。如下：
?

? ? ? ? 因?yàn)槠渌艘材芙邮?#xff0c;所以無(wú)法保證機(jī)密性。
?

3.7 公鑰基礎(chǔ)設(shè)施PKI

???????公鑰基礎(chǔ)設(shè)施（PKI，Public Key Infrastructure）是以不對(duì)稱密鑰加密技術(shù)為基礎(chǔ)，以數(shù)據(jù)機(jī)密性、完整性身份認(rèn)證和行為不可抵賴性為安全目的，來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。

????????數(shù)字證書：一個(gè)數(shù)據(jù)結(jié)構(gòu)，是一種由一個(gè)可信任的權(quán)威機(jī)構(gòu)簽署的信息集合。在不同的應(yīng)用中有不同的證書。如X.509證書必須包含下列信息：(1)版本號(hào)(2)序列號(hào)(3)簽名算法標(biāo)識(shí)符(4)認(rèn)證機(jī)構(gòu)(5)有效期限(6)主題信息(7)認(rèn)證機(jī)構(gòu)的數(shù)字簽名(8)公鑰信息。

????????公鑰證書主要用于確保公鑰及其與用戶綁定關(guān)系的安全。這個(gè)公鑰就是證書所標(biāo)識(shí)的那個(gè)主體的合法的公鑰。任何一個(gè)用戶只要知道簽證機(jī)構(gòu)的公鑰，就能檢查對(duì)證書的簽名的合法性。如果檢查正確，那么用戶就可以相信那個(gè)證書所攜帶的公鑰是真實(shí)的，而且這個(gè)公鑰就是證書所標(biāo)識(shí)的那個(gè)主體的合法的公鑰。例如駕照。

????????簽證機(jī)構(gòu)CA：負(fù)責(zé)簽發(fā)證書、管理和撤銷證書。是所有注冊(cè)用戶所信賴的權(quán)威機(jī)構(gòu)，CA在給用戶簽發(fā)證書時(shí)要加上自己的數(shù)字簽名，以保證證書信息的真實(shí)性。任何機(jī)構(gòu)可以用CA的公鑰來(lái)驗(yàn)證該證書的合法性。

四、歷年真理練習(xí)

? ? ? ? 7.1數(shù)字簽名首先需要生成消息摘要，然后發(fā)送方用自己的私鑰對(duì)報(bào)文摘要進(jìn)行加密， 接收方用發(fā)送方的公鑰驗(yàn)證真?zhèn)?。生成消息摘要的目的?①)，對(duì)摘要進(jìn)行加密的目的是(②)。
????????①A.防止竊聽? ? ? ? B.防止抵賴? ? ? ? C.防止篡改? ? ? ? D.防止重放
????????②A.防止竊聽? ? ? ? B.防止抵賴? ? ? ? C.防止篡改? ? ? ? D.防止重放

? ? ? ? 7.2在進(jìn)行軟件系統(tǒng)安全性分折時(shí)，( ①)保證信息不泄露給未授權(quán)的用戶、實(shí)體或過(guò)程;完整性保證信息的完整和準(zhǔn)確，防止信息被非法修改;( ②)保證對(duì)信息的傳播及內(nèi)容具有控制的能力，防止為非法者所用。
????????①A.完整性????????B.不可否認(rèn)性? ? ? ? C.可控性????????D.機(jī)密性
????????②A.完整性????????B.安全審計(jì)? ? ? ? ? ??C.加密性????????D.可控性

人工分割線-答案

? ? ? ? 7.1 C、B? ? ? ? 解析：報(bào)文摘要用于對(duì)發(fā)送的報(bào)文生成一個(gè)非常小的摘要信息。這個(gè)摘要信息保證原報(bào)文的完整性，即原報(bào)文只要有一位被改變，則摘要信息就會(huì)不匹配(防止篡改)。用私鑰對(duì)摘要做加密，不僅保證了摘要的私可以防止抵賴。因?yàn)橹挥衅ヅ涞墓€能夠解開。也就是說(shuō)，如果用某人的公鑰能夠解開報(bào)文，說(shuō)明就是某人做的。

? ? ? ? 7.2 D、D
????????