信息安全基础培训教材
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可 用性、真实性和可控性的相关技术和理论都是网络安全的研 究领域。
信息安全威胁
信息安全威胁: 是指某人、物、事件、方法或概念等因素对某信息资源
或系统的安全使用可能造成的危害。 一般把可能威胁信息安全的行为称为攻击。
常见的信息安全威胁: 泄密:信息被泄露给未授权的实体,如人、接触或系统; 篡改:攻击者可能改动原有的信息内容,但信息的使用者并不能识别
出被篡改的事实;
重放:攻击者可能截获并存储合法的通信数据,以后出于非法的目的
重新发送他们,而接受者可能仍然进行正常的受理,从而被攻击者所利 用;
假冒:指一个人或系统谎称是另一个人或系统,但信息系统或其管理
者可能并不能识别,这可能使得谎称者获得了不该获得的权限。
否认:指参与某次通信或信息处理的一方事后可能否认这次通信或相关
机密性(Confidentiality) :能够确保敏感或机密数据的传输 和存储不遭受未授权的浏览,甚至可以做到不暴露保密通信 的事实。
完整性(Integrity): 能够保障被传输、接受或存储的数据是 完整的和未被篡改的,在被篡改的情况下能够发现篡改的事 实或篡改的位置
非否认性(Non-repudiation):能够保证信息系统的操作者 或信息的处理者不能否认其行为或者处理结果,这可以防止 参与某次操作或通信的一方事后否认该事件曾发生过。
2
信息的特点:
时效性 新知性 不确定性
总结:信息是有价值的
2、信息化 电脑的不断普及 露天电影——家庭影院 银行业务 电话的改变 邮局业务 ——电子邮件 ——电子商务 ……
3、信息化出现的新问题 互联网经营模式的问题 网上信息可信度差 垃圾电子邮件 安全
研究密码技术的学科称为密码学。 密码学包含两个分支,既密码编码学和密码分析学。 密码编码学对信息进行编码实现信息隐蔽; 密码分析学研究分析破译密码的学问。两者相互对立, 而又相互促进。
采用密码方法可以隐蔽和保护机要消息,使未授权者 不能提取信息。
被隐蔽的消息称作明文,密码可将明文变换成另一种 隐蔽形式,称为密文。
用户A
用户B
传送给B的信息
明文 加密算法
加密密钥K1
密文 网络信道
B收到信息
解密算法 明文
解密密钥K2
C窃听到的信息!@#$%^
窃听者C
数据安全基于密钥 而不是算法的保密!!!
一个密码系统中包括密码算法、明文、密文、密 钥及其使用方法的总和,亦常被称为密码体制。
根据密钥使用方法的不同,可分为:
恶意代码 灾害、故障与人为破坏
信息安全技术体系
在互联网时代,信息系统跨越了公用网络和组织内部网络,信息安全的 内涵在扩展。保密通信和安全认证是解决机密性、真实性、非否认性和 完整性的主要手段,但可用性和可控性的要求不能完全依靠他们来解决。
信息安全技术的主要目标可以归纳为: 在不影响正常业务和通信的情况下,用攻击者有困难的
信息安全基础
什么是信息?
1、什么是信息? 数据(data):表征现实世界中实体属性的物理符号(数字、
符号、声音、图像、文字等)称为数据。 信息(information):信息是经过加工(获取、推理、分析、
计算、存储等)的特定形式数据。 知识(knowledge):许多相关信息集合起来,就形成了知识。
真实性(Authenticity):亦称可认证性,能够确保实体(如 人、进程或系统)身份或信息、信息来源的真实性。
可控性(Confidentiality):能够保证掌握和控制信息与信息 系统的基本情况,可对信息和信息系统的使用实施可靠的授 权、审计、责任认定、传播源跟踪和监管等控制。
网络安全从其本质上来讲就是网络上的信息安全。
病毒 攻击
……
4、信息安全: 信息系统抵御意外事件或恶意行为的能力,这些事件和
行为将危及所存储、处理或传输的数据,或由这些系统所提 供的服务的可用性、机密性、完整性、非否认性、真实性和 可控性。 以上这6个属性刻画了信息安全的基本特征和需求, 被认为是信息安全的基本属性。
可用性(Availability):即使在突发事件下,依然能够保障 数据和服务的正常使用。
的信息处理曾经发生过,这可能使得这类通信或信息处理的参与者不承 担应有的责任;
非授权使用:指信息资源被某个未授权的人或系统使用,也包括越权
使用的情况;
网络与系统攻击:攻击者利用网络或主机系统中的漏洞进行恶意的侵
入和破坏,或者通过对某一信息服务资源进行超负荷的使用或干扰,使 系统不能正常工作;
事去制约攻击者,使攻击者能够做到的事情不能构成信息安 全威胁。
攻击者能做的事:
攻击地点 数据截获 消息收发 利用漏洞和疏忽 分析和计算
攻击者有困难的事
数字猜测 破解密码 推知私钥 越权访问 截获安全信道
密码学基础
密码技术通过信息的变换或编码,将机密的敏感消息 变换成“黑客”难以读懂的乱码型文字,以此达到两个目 的: 其一,使不知道如何解密的“黑客”不可能由其截获的乱 码中得到任何有意义的信息; 其二,使“黑客”不可能伪造任何乱码型的信息。
由明文到密文的变换称为加密。由合法接收者从密文 恢复出明文的过程称为解密。非法接收者试图从密文分析 出明文的过程称为破译。
对明文进行加密时采用的一组规则称为加密算法。对 密文解密时采用的一组规则称为解密算法。加密算法和解 密算法是在一组仅有合法用户知道的安全参数(密钥)的 控制下进行的,加密和解密过程中使用的密钥分别称为加 密密钥和解密密钥。
私钥密码体制(对称密码体制、单钥密码体制) 公钥密码体制(非对称密码体制、双钥密码体制)
Байду номын сангаас
对称密码体制
对称密码体制就是加密密钥和解密密钥相同的密码体 制,又称私钥密码体制或单钥密码体制,它采用的解密算 法是加密算法的逆运算。
由于加密、解密使用同一个密钥,因此,该密码体制 的安全性就是密钥的安全。如果密钥泄露,则此密码系统 便被攻破。此时密钥需经过安全的密钥信道由发方传给收 方。
信息安全威胁
信息安全威胁: 是指某人、物、事件、方法或概念等因素对某信息资源
或系统的安全使用可能造成的危害。 一般把可能威胁信息安全的行为称为攻击。
常见的信息安全威胁: 泄密:信息被泄露给未授权的实体,如人、接触或系统; 篡改:攻击者可能改动原有的信息内容,但信息的使用者并不能识别
出被篡改的事实;
重放:攻击者可能截获并存储合法的通信数据,以后出于非法的目的
重新发送他们,而接受者可能仍然进行正常的受理,从而被攻击者所利 用;
假冒:指一个人或系统谎称是另一个人或系统,但信息系统或其管理
者可能并不能识别,这可能使得谎称者获得了不该获得的权限。
否认:指参与某次通信或信息处理的一方事后可能否认这次通信或相关
机密性(Confidentiality) :能够确保敏感或机密数据的传输 和存储不遭受未授权的浏览,甚至可以做到不暴露保密通信 的事实。
完整性(Integrity): 能够保障被传输、接受或存储的数据是 完整的和未被篡改的,在被篡改的情况下能够发现篡改的事 实或篡改的位置
非否认性(Non-repudiation):能够保证信息系统的操作者 或信息的处理者不能否认其行为或者处理结果,这可以防止 参与某次操作或通信的一方事后否认该事件曾发生过。
2
信息的特点:
时效性 新知性 不确定性
总结:信息是有价值的
2、信息化 电脑的不断普及 露天电影——家庭影院 银行业务 电话的改变 邮局业务 ——电子邮件 ——电子商务 ……
3、信息化出现的新问题 互联网经营模式的问题 网上信息可信度差 垃圾电子邮件 安全
研究密码技术的学科称为密码学。 密码学包含两个分支,既密码编码学和密码分析学。 密码编码学对信息进行编码实现信息隐蔽; 密码分析学研究分析破译密码的学问。两者相互对立, 而又相互促进。
采用密码方法可以隐蔽和保护机要消息,使未授权者 不能提取信息。
被隐蔽的消息称作明文,密码可将明文变换成另一种 隐蔽形式,称为密文。
用户A
用户B
传送给B的信息
明文 加密算法
加密密钥K1
密文 网络信道
B收到信息
解密算法 明文
解密密钥K2
C窃听到的信息!@#$%^
窃听者C
数据安全基于密钥 而不是算法的保密!!!
一个密码系统中包括密码算法、明文、密文、密 钥及其使用方法的总和,亦常被称为密码体制。
根据密钥使用方法的不同,可分为:
恶意代码 灾害、故障与人为破坏
信息安全技术体系
在互联网时代,信息系统跨越了公用网络和组织内部网络,信息安全的 内涵在扩展。保密通信和安全认证是解决机密性、真实性、非否认性和 完整性的主要手段,但可用性和可控性的要求不能完全依靠他们来解决。
信息安全技术的主要目标可以归纳为: 在不影响正常业务和通信的情况下,用攻击者有困难的
信息安全基础
什么是信息?
1、什么是信息? 数据(data):表征现实世界中实体属性的物理符号(数字、
符号、声音、图像、文字等)称为数据。 信息(information):信息是经过加工(获取、推理、分析、
计算、存储等)的特定形式数据。 知识(knowledge):许多相关信息集合起来,就形成了知识。
真实性(Authenticity):亦称可认证性,能够确保实体(如 人、进程或系统)身份或信息、信息来源的真实性。
可控性(Confidentiality):能够保证掌握和控制信息与信息 系统的基本情况,可对信息和信息系统的使用实施可靠的授 权、审计、责任认定、传播源跟踪和监管等控制。
网络安全从其本质上来讲就是网络上的信息安全。
病毒 攻击
……
4、信息安全: 信息系统抵御意外事件或恶意行为的能力,这些事件和
行为将危及所存储、处理或传输的数据,或由这些系统所提 供的服务的可用性、机密性、完整性、非否认性、真实性和 可控性。 以上这6个属性刻画了信息安全的基本特征和需求, 被认为是信息安全的基本属性。
可用性(Availability):即使在突发事件下,依然能够保障 数据和服务的正常使用。
的信息处理曾经发生过,这可能使得这类通信或信息处理的参与者不承 担应有的责任;
非授权使用:指信息资源被某个未授权的人或系统使用,也包括越权
使用的情况;
网络与系统攻击:攻击者利用网络或主机系统中的漏洞进行恶意的侵
入和破坏,或者通过对某一信息服务资源进行超负荷的使用或干扰,使 系统不能正常工作;
事去制约攻击者,使攻击者能够做到的事情不能构成信息安 全威胁。
攻击者能做的事:
攻击地点 数据截获 消息收发 利用漏洞和疏忽 分析和计算
攻击者有困难的事
数字猜测 破解密码 推知私钥 越权访问 截获安全信道
密码学基础
密码技术通过信息的变换或编码,将机密的敏感消息 变换成“黑客”难以读懂的乱码型文字,以此达到两个目 的: 其一,使不知道如何解密的“黑客”不可能由其截获的乱 码中得到任何有意义的信息; 其二,使“黑客”不可能伪造任何乱码型的信息。
由明文到密文的变换称为加密。由合法接收者从密文 恢复出明文的过程称为解密。非法接收者试图从密文分析 出明文的过程称为破译。
对明文进行加密时采用的一组规则称为加密算法。对 密文解密时采用的一组规则称为解密算法。加密算法和解 密算法是在一组仅有合法用户知道的安全参数(密钥)的 控制下进行的,加密和解密过程中使用的密钥分别称为加 密密钥和解密密钥。
私钥密码体制(对称密码体制、单钥密码体制) 公钥密码体制(非对称密码体制、双钥密码体制)
Байду номын сангаас
对称密码体制
对称密码体制就是加密密钥和解密密钥相同的密码体 制,又称私钥密码体制或单钥密码体制,它采用的解密算 法是加密算法的逆运算。
由于加密、解密使用同一个密钥,因此,该密码体制 的安全性就是密钥的安全。如果密钥泄露,则此密码系统 便被攻破。此时密钥需经过安全的密钥信道由发方传给收 方。