课题A:确定信息安全的概念
信息安全
信息安全(Information security)指的是保护可用信息或信息来源不会受到未授权访问,攻击,盗取或数据损坏。
信息安全的目标
在实施信息安全实践过程中,有三个主要目标或功能:预防(Prevention)、检测(Detection)、恢复(Recovery)。
风险
在信息系统领域中,风险(risk)表示的是面临损坏或丢失的可能性的概念。
漏洞
在大多数基础层面上,漏洞(vulnerability)即任何可能使信息系统遭受破坏的情况。漏洞可能以多种多样不同的形式展现出来:
- 不合理地配置或安装软硬件。
- 未及时应用和测试软件及固件补丁。
- 软件或操作系统中的错误。
- 软件或通讯协议的错误使用。
- 设计拙劣的网络。
- 糟糕的物理安全。
- 不安全的密码。
- 软件或操作系统中的设计缺陷。
- 未经检查的用户输入。
威胁
在计算机安全领域中,威胁(threat)是指可能对资产造成损害的任何事件或行动。计算机和网络的潜在威胁包括:
- 无意地或未经授权地访问或修改数据
- 服务的中断。
- 访问资产时中断。
- 硬件损坏。
- 未经授权地访问或损坏设施。
攻击
在计算机安全领域中,攻击(attack)是指在未经授权的其情况下,利用任意应用程序或物理计算机系统中漏洞的技术。计算机系统和网络安全中的攻击包括:
- 物理安全攻击。
- 基于软件的攻击。
- 社交工程攻击。
- 基于网络应用程序的攻击。
- 基于网络的攻击,包括无线网络。
控制
在计算机安全领域中,控制(control)是指为了避免,缓解抵消由威胁或攻击引起的安全风险而做出的相应策略。控制概括地被分为:预防控制(Prevention control)、检测控制(Detection control)、校正控制(Correction control)。
安全管理流程
安全管理流程包括识别、实施和监控安全控制。
课题B:确定基本的安全控制
CIA三位一体
信息安全致力于实现三种具体原则:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。这种性质被称为CIA三位一体(CIA triad)。
不可否认性
不可否认性(Non-repudiation)确保了发起传输或创建数据的一方保持与数据的连接且不能否认发送或创建过该数据。不可否认性是实现可追责性(accountability)的一种方法,可追责性是指确定特定活动或事件等等负责人过程。
身份识别
在安全术语中,身份识别(identification)是指对特定实体的性质声明所有权的过程
认证
认证(Authentication)是指验证特定实体或个人身份及其唯一证书的方法。认证的核心工作就是验证特定个体是否拥有进入系统或安全站点的正确证书。
认证因素
大多数认证机制是基于一种或多种认证因素。这些因素包括:
- 你本身具有的东西,包括物理特征,如指纹或视网膜图案。
- 你拥有的资源,如口令或准入卡。
- 你了解的信息,如密码。
- 你所处的位置或不在的位置,如许可ip地址或GPS地址。
- 你所做的行为,如已建立的击键模式。
授权
在安全术语中,授权(authorization)是指确定特定实体拥有哪些权利和权限的过程。
访问控制
访问控制(Access control)是指为不同资源,对象或数据确定并分配权限的过程。
计费和审计
在安全术语中,计费(accounting)是指跟踪并记录系统活动和资源访问的过程。审计(Auditing)是计费的一部分,安全专家会审核被记录下来的日志。
最小特权原则
最小特权(least privilege)原则规定用户和软件只能被赋予执行任务所必须的最低访问级别。
特权包围(privilege bracketing)是指仅在需要时才授予特权安,然后在任务完成时或不在需要时立即撤销。
特权管理
特权管理(Privilege management)是指使用认证和授权机制提供用户和组访问控制的集中式或分散式管理。在特权管理中,应当包含一个审计部分,用来跟踪特权使用和特权扩大。通过为用户提供浏览不同服务器或站点等资源的一次性认证,单点登录实现了特权管理功能。
课题C:确定基本的认证和授权的概念
密码
结合使用用户名和密码是一种最基本且广泛使用的认证机制之一。
口令
口令可以是物理的或虚拟的对象,如智能卡,身份徽章或存储了认证信息的数据包。口令可以存储个人身份识别号码(PIN),有关用户的信息或密码。
智能卡(smart card)是基于口令认证的一种常见例子。
生物识别
实物识别(Biometries)是通过被测者物理特征来确定个人身份的一种认证机制。这种机制包括指纹扫描仪,视网膜扫描仪,手形扫描仪或声音识别和面部识别软件。
定位
随着越来越多的物联网移动设备的出现,定位(Geolocation)从另外的层面上提供了用于认证的方式。
击键认证
击键认证(Keystroke authentication)是指在计算机或其他电子设备中键入信息时,根据按键被按压和释放时精确且详细的信息进行验证的认证类型
多因素认证
多因素认证(Multi-factor authentication)是指需要验证两种或多种认证因素的认证机制。
相互认证
相互认证(Mutual authentication)是指需要通讯中的每一方之间相互验证身份的安全机制。
课题D:确定基本的密码学概念
密码学
密码学(Cryptography)是一种隐藏信息的科学,最常用的方式就是对用于发送消息的密码代码进行编码和解码。
加密和解密
加密(Encryption)是一种密码学技术,是指将数据从明文(plaintext)形式转化为编码或密文(ciphertext)形式。解密(Decryption)就是将密文转化回明文的配套技术。
加密和安全目标
加密能够促进并支持许多不同的安全目标和技巧:
- 防止数据的未授权访问从而实现了机密性。
- 如果不知道被保密的解密密文,想要解密被加密数据是十分困难的,因此能够保障完整性。
- 只有知道加密机制才能加解密数据,因此实现了不可否认性。
- 大多数认证机制都运用了某些加密形式来保护密码。
- 加密还用在了许多访问控制机制中。
编码
编码(cipher)是一种用于加密或解密数据的算法。
密钥
加密密钥(key)是指与算法一起使用来执行加解密的特定信息段。对任何已知算法来说,密钥越长,加密强度越大;但是,一个RSA1024密钥安全性却不如ECC128密钥。
对称加密
对称加密(Symmetric encryption)是一种双向加密,其中加解密都使用相同的密钥。
非对称加密
与对称加密不同,非对称加密(asymmetric encryption)的核心在于使用公钥和私钥。
在双向加密过程中,私钥(private key)由其中一方尽心该保密。因为私钥是不能被共享的,就确保了一定的安全性。因此非对称密钥交换过程比对称密钥交换过程更容易和安全。
公钥(public key)可以被任何人获取。根据加密的应用过程,双方都能使用加密密钥。与之相对的另一个密钥用来解密。密钥对中的私钥可以解密使用相应公钥编码的数据。由于非对称加密算法使用更长的密钥,因此它的执行速度相对对称密钥算法来说通常更慢。
密钥生成(Key generation)是指通过使用特定应用程序产生一个公钥和私钥对的。
散列
散列算法(Hashing)是指将明文转换为无法直接解密的密文的过程或函数。散列算法的结果被叫做散列(hash),散列值(hash value)或消息摘要(message digest)。输入数据的长度可能不同,但散列值的长度是固定的。
散列算法的几种用法:
- 散列算法在多种密码认证机制中都有应用。被加密的密码数据就被叫做密码的一个散列。
- 散列值可以被嵌入到电子消息中,以支持数据的完整性和不可否认性。这就是数字签名的作用。
- 文件的一个散列可以用来验证文件经过传输后的完整性。
信息隐藏
信息隐藏(Steganography)是一种可选的加密技巧,是指通过将秘密消息装入图形、视频或声音等普通文件中进行隐藏