本博客地址：https://security.blog.csdn.net/article/details/136331705

一、信息安全基础

1、信息安全的基本要素有机密性、完整性、可用性、可控性与可审查性。信息安全的范围包括设备安全、数据安全、内容安全和行为安全。其中数据安全即采取措施确保数据免受未授权的泄露、篡改和毁坏，包括秘密性、完整性和可用性 3 个方面。

2、信息存储安全的范围：信息使用的安全、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

3、网络安全漏洞和隐患表现在：物理安全性、软件安全漏洞、不兼容使用安全漏洞等方面。网络安全威胁表现在：非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒等方面。安全措施的目标包括：访问控制、认证、完整性、审计和保密等 5 个方面。

二、信息安全系统的组成框架

1、信息安全系统框架通常由：技术体系、组织机构体系和管理体系共同构建

2、从技术体系看，信息安全系统涉及：基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术。

3、信息系统安全的组织机构分为：决策层、管理层和执行层 3 个层次。

4、信息系统安全的管理体系由：法律管理、制度管理和培训管理 3 个部分组成。

三、信息加解密技术

1、数据加密是防止未经授权的用户访问敏感信息的手段，保障系统的机密性要素。数据加密有对称加密算法、非对称加密算法两种。

2、对称加密算法主要有：
● DES：明文切分为 64 位的块（即分组），由 56 位的密钥控制变换成 64 位的密文。
● 3DES：使用两把 56 位的密钥对明文做三次 DES加解密，密钥长度为 112 位。
● IDEA：分组长度 64 位，密钥长度 128 位，已经成为全球通用的加密标准。
● AES：分组长度 128 位，支持 128 位、192 位和 256 位 3 种密钥长度。
● SM4 国密算法：分组长度和密钥长度都是 128 位

3、非对称加密算法可以分为：
● RSA：安全性基于大素数分解的困难性，密钥的长度可以选择，但目前安全的密钥长度已经高达 2048 位。RSA 的计算速
度比同样安全级别的对称加密算法慢 1000 倍左右。
● SM2 国密算法：基于椭圆曲线离散对数问题，在相同安全程度的要求下，密钥长度和计算规模都比 RSA 小得多。

4、控制密钥的安全性主要有：密钥标签和控制矢量两种技术。

5、密钥的分配发送有：物理方式、加密方式和第三方加密方式。该第三方即密钥分配中心（KDC）。

6、公钥加密体制的密钥管理有：直接公开发布（如 PGP）、公用目录表、公钥管理机构和公钥证书 4 种方式。

7、密钥在概念上被分成数据加密密钥（DK）和密钥加密密钥（KK）两大类。为对抗攻击，密钥生成需要考虑增大密钥空间、选择强钥和密钥的随机性 3 个方面的因素。

四、访问控制及数字签名

1、访问控制技术包括 3 个要素：主体、客体和控制策略。访问控制包括：认证、控制策略实现和审计 3 方面的内容。审计的目的是防止滥用权力。

2、访问控制的实现技术：访问控制矩阵（ACM）、访问控制表（ACL）、能力表、授权关系表

3、数字签名是公钥加密技术与数字摘要技术的应用。数字签名的条件是：可信、不可伪造、不可重用、不可改变和不可抵赖。实际应用时先对文件做摘要，再对摘要签名，这样可以大大提升数字签名的速度。同时摘要的泄露不影响文件保密。

五、常见攻击

1、拒绝服务攻击侵犯系统的可用性要素，传统拒绝服务攻击的分类有消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程 序中的处理错误使服务失效等 4 种模式。DDoS 工具一般采用 Client（客户端）、Handler（主控端）、Agent（代理端）三级结构。DoS 的防御包括特征识别、防火墙、通信数据量的统计、修正问题和漏洞 4 种方法。

2、防范ARP 欺骗的方法有：固化 ARP 表、使用 ARP 服务器、双向绑定和安装防护软件。

3、检测DNS 欺骗的方法有：被动监听检测、虚假报文探测和交叉检查查询 3 种方法。

4、端口扫描有：全TCP 连接、半打开式扫描（SYN 扫描）、FIN 扫描、第三方扫描等分类。

5、针对 TCP/IP 堆栈的攻击方式：同步包风暴（SYN Flooding）、ICMP 攻击、SNMP 攻击。

6、系统漏洞扫描分为：基于网络的漏洞扫描、基于主机的漏洞扫描。基于主机的漏洞扫描有扫描的漏洞数量多、集中化管理、网络流量负载小等优点。

六、信息安全保障

1、安全保密技术主要有：数据泄露防护（DLP）、数字水印。

2、常用的安全协议有：
● SSL 协议：是介于应用层和 TCP 层之间的安全通信协议，提供保密性通信、点对点身份认证、可靠性通信 3 种安全通信服务。
● PGP：是一种加密软件，应用了多种密码技术，广泛地用于电子邮件安全。
● 互联网安全协议（IPSec）：是工作在网络层的安全协议，
● SET 协议：用于保证支付信息的机密、支付过程的完整、商户和持卡人身份合法性及可操作性。
● HTTPS 协议

3、风险评估是对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，是信息安全保障体系建立过程中重要的评价方法和决策机制。风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施。

4、风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。