柳州正规网站建设加盟,定制营销的成功案例,内网网站建设方案,惠安县住房和城乡建设局网站【原文链接】系统架构设计师#xff08;第二版#xff09;学习笔记----信息加解密技术 文章目录 一、信息安全系统的组成框架1.1 信息安全系统组成框架1.2 信息安全系统技术内容1.3 常用的基础安全设备1.4 网络安全技术内容1.5 操作系统安全内容1.6 操作系统安全机制1.7 数据…【原文链接】系统架构设计师第二版学习笔记----信息加解密技术 文章目录 一、信息安全系统的组成框架1.1 信息安全系统组成框架1.2 信息安全系统技术内容1.3 常用的基础安全设备1.4 网络安全技术内容1.5 操作系统安全内容1.6 操作系统安全机制1.7 数据库安全技术1.8 信息安全系统的组织体系1.9 信息安全系统的管理体系 二、、加密技术2.1 保密通信模型2.2 对称加密算法含义2.3 常用的堆成加密算法2.4 非对称加密算法的含义 三、访问控制及数字签名技术3.1 访问控制的基本模型3.2 访问控制的内容3.3 访问控制的实现技术3.4 数字签名的条件 四、信息安全的抗攻击技术4.1 秘钥的选择4.2 传统拒绝服务攻击类型4.3 常见针对资源的决绝服务攻击类型4.4 分布式拒绝服务供给DDos现象4.5 DDos三级控制模型4.6 拒绝服务攻击的防御方法4.6 ARP欺骗的防范措施4.7 DNS欺骗的检测4.8 端口扫描的目的4.9 端口扫描原理分类4.10 TCP/IP 堆栈的攻击方式4.11 系统漏洞扫描的类型4.12 基于网络的漏洞扫描器的组成4.13 基于网络漏洞扫描的优点4.14 基于主机的漏洞扫描优点 五、信息安全的保证体系预评估方法5.1 计算机信息提供安全保护等级5.2 安全风险管理5.3 风险评估的基本要素5.4 风险评估各要素关系图5.5 风险计算的过程 一、信息安全系统的组成框架
1.1 信息安全系统组成框架
技术体系组织体系管理体系
1.2 信息安全系统技术内容
基础安全设备计算机网络安全操作系统安全数据库安全终端设备安全
1.3 常用的基础安全设备
密码芯片加密卡身份识别卡
1.4 网络安全技术内容
物理隔离防火墙及访问控制加密传输认证数字签名摘要隧道及VPN技术病毒防范及上网行为管理安全设计
1.5 操作系统安全内容
无错误配置无漏洞无后门无特洛伊木马
1.6 操作系统安全机制
标识与鉴别机制访问控制机制最小特权管理可信通路机制运行保障机制存储保护机制文件保护机制安全审计机制
1.7 数据库安全技术
物理数据库的完整性逻辑数据库的完整性元素安全性可审计性访问控制身份认证可用性推理控制多级保护消除隐通道
1.8 信息安全系统的组织体系
决策层管理层执行层
1.9 信息安全系统的管理体系
法律管理制度管理培训管理
二、、加密技术
2.1 保密通信模型 2.2 对称加密算法含义
堆成秘钥加密算法中加密秘钥和解密秘钥是相同的成为共享秘钥算法或者堆成秘钥算法
2.3 常用的堆成加密算法
DESData Encryption StandardIDEA (International Data Encryption Algorithm)AESAdvance Encryption Standard
2.4 非对称加密算法的含义
非对称加密算法总使用的加密秘钥和解密密钥是不同的成为不共享秘钥算法或非对称秘钥算法
三、访问控制及数字签名技术
3.1 访问控制的基本模型
主体客体控制策略
3.2 访问控制的内容
认证控制策略审计
3.3 访问控制的实现技术
访问控制矩阵访问控制表能力表授权关系表
3.4 数字签名的条件
签名是可信的签名不可伪造签名不可重用签名的文件是不可改变的签名是不可抵赖的
四、信息安全的抗攻击技术
4.1 秘钥的选择
增大秘钥空间选择强钥秘钥的随机性
4.2 传统拒绝服务攻击类型
消耗资源破坏或更改配置信息物理破坏或改变网络部件利用服务程序中的处理错误使服务失效
4.3 常见针对资源的决绝服务攻击类型
针对网络连接的拒绝服务攻击消耗磁盘空间消耗CPU资源和内存资源
4.4 分布式拒绝服务供给DDos现象
被攻击主机上有大量等待的TCP连接大量达到的数据分组并不是网站服务连接的一部分往往指向机器的任意端口网络中欧充斥着大量的数据包原地址为假制造高流量的无用数据造成网络拥塞使受害者主机无法正常和外界通信利用受害主机提供的服务和传输协议上的却下发福发出服务请求使受害者主机无法及时处理所有正常请求严重时造成死机
4.5 DDos三级控制模型 4.6 拒绝服务攻击的防御方法
加强对数据包的特征识别设置防火墙监控本地主机端口的使用情况对通信数据量进行统计也可以获得有关攻击系统的位置和数量信息尽可能的修正已发现的问题和系统纰漏
4.6 ARP欺骗的防范措施
固化ARP表防止ARP欺骗使用ARP服务器采用双向绑定的方法解决并且防止ARP欺骗ARP防护软件-ARP Guard
4.7 DNS欺骗的检测
被动监听检测虚假报文检测交叉检查查询
4.8 端口扫描的目的
判断目标主机上开放了哪些服务判断目标主机的操作系统
4.9 端口扫描原理分类
全TCP连接半打开式扫描SYN扫描FIN扫描第三方扫描
4.10 TCP/IP 堆栈的攻击方式
同步报风暴SYN FloodingICMP攻击SNMP攻击
4.11 系统漏洞扫描的类型
基于网络的漏洞扫描基于主机的漏洞扫描
4.12 基于网络的漏洞扫描器的组成
漏洞数据库模块用户配置控制台模块扫描引擎模块当前活动的扫描知识模块结果存储器和报告生成工具
4.13 基于网络漏洞扫描的优点
基于网络的漏洞扫描器的价格相对来说比较便宜基于网络的漏洞扫描器在操作过程中不需要设计目标系统的管理员基于网络的漏洞扫描器在检测过程中不需要在目标系统上安装任何东西维护简便
4.14 基于主机的漏洞扫描优点
扫描的漏洞数量多集中化管理网络流量负载小
五、信息安全的保证体系预评估方法
5.1 计算机信息提供安全保护等级
第1级用户自主保护级对应TESEC的C1级第2级系统审计保护级对应TCSEC的C2级第3级安全标记保护级对应TESEC的B1级第4级结构化保护级对应TESEC的B2级第5级访问验证保护级对应TCSEC的B3级
5.2 安全风险管理
确定分线评估的范围确定风险评估的目标建立适当的组织结构建立系统性的风险评估方法获得最高管理者对风险评估策划的批准
5.3 风险评估的基本要素
脆弱性资产威胁风险安全措施
5.4 风险评估各要素关系图 5.5 风险计算的过程
对信息资产进行识别并对资产赋值对威胁进行分析并对威胁发生的可能性赋值识别信息资产的脆弱性并对弱点的严重程度赋值根据威胁和脆弱性计算安全事件发生的可能性结合信息资产的重要性和发生安全事件的可能性计算信息资产的风险值
