- 1如何使用adb控制手机_adb 连接手机_adb连接手机
- 2中文多模态大模型基准8月榜单发布!8大维度30个测评任务,3个模型超过70分_internvl2
- 3[人工智能] AI浪潮下Sora对于普通人的机会
- 4JakartaEE servlet_jakarta.servlet
- 5联邦学习目前的热门研究方向_联邦学习研究的热点方向有哪些
- 603 pytorch 验证指标工具 torchmetrics_torchmetrics安装包
- 7FPGA Verilog 控制CAN接收发送数据帧(标准/扩展),遥控帧(标准/扩展)_修改 can-fpga
- 8第三章: AIGC的应用领域_aigc技术根据教学大纲和学习目标,自动生成课程内容,
- 9.gitignore忽略文件不生效_.gitignore文件不生效
- 10使用CTEX生成中文pdf_ctex怎么生成pdf
软考—信息项目管理师(信息系统安全技术)_对称加密从根本上克服了传统密码在密钥分配上的困难
赞
踩
一、有关概念
当前,较为常见的信息安全问题主要表现为:计算机病毒泛滥、恶意软件的入侵、黑客攻击、利用计算机犯罪、网络有害信息泛滥、个人隐私泄露。钓鱼网站、电信诈骗、社交软件诈骗等犯罪活动,已经成为直接骗取民众钱财的常见形式;网上有害信息泛滥,个人隐私泄露严重,严重危害网民的身心健康,危害社会的安定团结。1.信息安全概念
信息安全强调信息(数据)本身的安全属性,主要包括一下内容。
- 秘密性(Confiidentiality):信息不被未授权者知晓的属性。
- 完整性(Integrity):信息时正确的、真实的、未被篡改的、完整无缺的属性。
- 可用性(Availability):信息可以随时正常使用的属性。
信息必须依赖其存储、传输、处理及应用的载体(媒介)而存在,因此针对信息系统,安全可以划分为以下四个层次:设备安全、数据安全、内容安全、行为安全。其中数据安全即是传统的信息安全。
1)设备安全
信息系统设备的安全是信息系统安全的首要问题,这里主要包括三个方面:
- 设备的稳定性:设备在一定时间内不出故障的概率。
- 设备的可靠性:设备能在一定时间内正常执行任务的概率。
- 设备的可用性:设备随时可以正常使用的概率。
信息系统的设备安全是信息系统安全的物质基础。除了硬件设备外,软件系统也是一种设备,也要确保软件设备的安全。
2)数据安全
其安全属性包括秘密性、完整性和可用性。
很多情况下,即使信息系统设备没有收到破坏,但其数据安全也可能已经收到危害,如数据泄露、数据篡改等。由于危害数据安全的行为具有较高的隐蔽性,数据应用用户往往并不知情,因此,危害性很高。
3)内容安全
内容安全是信息安全在政治、法律、道德层次上的要求。
- 信息内容在政治上是健康的。
- 信息内容符合国家的法律法规。
- 信息内容符合中华民族优良的道德规范。
除此之外,广义的内容安全还包括信息内容保密、知识产权保护、信息隐藏和隐私等诸多方面。
如果数据中充斥着不健康的、违法的、违背道德的内容,即使它是保密的、未被篡改的,也不能说是安全的。因为这会危害国家安全、危害社会稳定、危害精神文明。因此,必须在确保信息系统设备安全和数据安全的基础上,进一步确保信息内容的安全。
4)行为安全
数据安全本质上是一种静态的安全,而行为安全是一种动态安全。
- 行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时,行为的过程和结果也应是秘密的。
- 行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。
- 行为的可控性:当行为的过程出现偏离预期时,能够发现、控制和纠正。
行为安全强调的是过程安全,体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序(执行序列)符合系统设计的预期,这样才能保证信息系统的“安全可控”。
2.信息安全技术
保障信息安全的技术包括:硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、而已软件防治技术、信息隐藏技术、信息设备可靠性技术等。其中,硬件系统安全和操作系统安全是信息系统安全的基础,密码和网络安全等是关键技术。网络安全技术主要包括防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离等。
3.信息安全法律法规
确保信息安全是复杂的系统工程,仅仅靠技术措施是不够的的,还应有健全的法律体系,完善的信息系统安全管理制度,另外对信息行业的从业人员的职业道德要求及培训也是非常重要的,信息系统用户也要有很强的信息安全意识。
我国信息安全的法律体系可分为四个层面:
(1)一般性法律法规。
(2)规范和惩罚信息网络犯罪的法律。
(3)直接针对信息安全的特别规定。
(4)具体规范信息安全技术、信息安全管理等方面的规定。
国务院于1994年2月18日颁布《中华人民共和国计算机信息系统安全保护条例》,这是一个标志性、基础性的法规。
4.信息安全等级保护
信息系统的安全保护等级应当根据信息系统在国家安全、、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:(或者关系)
| 公民、法人和其他组织 | 公共利益 | 社会秩序 | 国家安全 | ||
|---|---|---|---|---|---|
| 第一级 | 造成损害 | 不损害 | 不损害 | 不损害 | 用户自主保护级 |
| 第二级 | 严重损害 | 造成损害 | 造成损害 | 不损害 | 系统审计保护级 |
| 第三级 | 严重损害 | 严重损害 | 造成损害 | 安全标记保护级 | |
| 第四级 | 严重损害 | 严重损害 | 严重损害 | 结构化保护级 | |
| 第五级 | 严重损害 | 访问验证保护级 |
GB 17859-1999标准规定了计算机系统安全保护能力的五个等级,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。 计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
二、信息加密、解密与常用算法
1.信息加密概念
为了保证信息的安全性(即秘密性、完整性和可用性)需要采用信息加密技术对信息进行伪装,使得信息非法窃取者无法理解信息的真实含义;需要采用加密算法提取信息的特征码(校验码)或特征矢量,并与有关信息封装在一起,信息的合法拥有者可以利用特征码对信息的完整性进行校验;需要采用加密算法对信息使用者的身份进行认证、识别和确认,以对信息的使用进行控制。
2.对称加密技术
对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难。
3.非对称加密技术
公开密钥密码的基本思想是将传统密码的密钥K一分为二,分为加密钥Ke和解密钥Kd,用加密钥Ke控制加密,用解密钥Kd控制解密,而且由计算负责性确保由加密钥Ke在计算上不能推出解密钥Kd。这样,即使是将Ke公开也不会暴露Kd,也不会损害密码的安全。于是便可将Ke公开,而只对Kd保密。由于Ke是公开的,只有Kd是保密的,所以变从根本上克服了传统密码在密钥分配上的困难。
4.Hash函数的概念
Hash函数将任意长的报文M映射为定长Hash码h。Hash函数的目的就是要产生文件、报文或其他数据块的“指纹”——Hash码。Hash码也称为报文摘要,它是所有报文位的函数。它具有错误检测能力,即改变报文的任何一位或多位,都会导致Hash码的改变。在实现认证过程中发送方将Hash码附于要发送的报文之后发送给接收方,接收方通过重新计算Hash码来认证报文。Hash函数可提供可保密性、报文认证以及数字签名功能。
5.数字签名的概念
签名是证明当事者的身份和数据真实性的一种信息。在以信息化环境下,以网络为信息传输基础的事物处理中,事物处理各方应采用电子形式的签名,即数字签名。目前,数字签名已得到一些国家的法律支持。完善的数字签名体系应满足以下三个条件:
(1)签名者时候不能抵赖自己的签名。
(2)任何其他人必能伪造签名。
(3)如果当时的双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪。
利用RSA密码可以同时实现数字签名和数据加密。
6.认证的概念
认证又称鉴别、确认,它是正式某事是否名副其实或是否有效的一个过程。
认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如载取、窃听等;而认证用以确保报文发送者和接受者的真实性以及 报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
