安全性知识

信息安全体系

• 机密性：确保信息不暴露给未授权的实体或进程。
• 完整性：只有得到允许的人才能修改数据，并能够判别数据是否已被篡改。
• 可用性：得到授权的实体在需要时可访问数据。
• 可控性：可以控制授权信息内的信息流向和行为方式
• 可审查性：对出现的安全问题提供调查的依据和手段。

安全系统体系结构

1 安全服务是指计算机网络提供的安全防护措施，包括认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。

• 认证服务

确保某个实体身份的可靠性。

有两种类型：

一种是实体认证，直接确保实体身份的真实性，比较常见的是口令认证。

一种是数据源认证，证明某个信息是否来自于某个特定的实体，常见的有电子银行数字证书——U盾。

• 访问控制

防止对任何资源的非授权访问，确保只有经过授权的实体才能访问受保护的资源。

 

• 数据机密性服务

确保只有经过授权的实体才能理解受保护的信息。

 

• 数据完整性服务

 

防止对数据未授权的修改和破坏。

 

• 不可否认服务

 

 

防止对数据源以及数据提交的否认。主要运用了数字签名技术。

2 特定的安全机制

用来实施安全服务的机制。

• 加密机制：用于保护数据的机密性。完全依赖于现在密码学理论。加密的安全性在于密匙的安全性和强度。
• 数字签名机制：保证数据完整性以及不可否认性。
• 访问控制机制
• 数据完整性机制：可以使用一种单向的不可逆函数（如散列函数）来计算出消息摘要，并对消息摘要进行数字签名。
• 认证交换机制：通过交换标识信息使通信双方相互信任。
• 流量填充机制：针对网络流量进行分析的攻击。
• 路由控制机制：指定数据通过网络的路径来确保安全服务。
• 公证机制：由通信各方都信任的第三方提供，由第三方来确保数据完整性、数据源、时间和目的地的正确。

3 普通的安全机制

• 可信功能度
• 安全标记
• 事件检测
• 安全审计跟踪
• 安全恢复

安全保护等级

《计算机信息系统安全保护等级划分准则》(GB17859-1999)规定：

 

1. 用户自主保护级：适用于普通内联网用户。
2. 系统审计保护级：适用于内联网或国际网进行商务活动。
3. 安全标记保护级：适用于地方各级国家机关、金融机构等。
4. 结构化保护级：适用于中央机关、国防建设部门等。
5. 访问验证保护级：适用于国防关键部门和依法对计算机系统进行特殊隔离需要的单位。

 

信息安全保障系统

 

1. MIS+S(Management Information System + Security)：初等安全，应用基本不变；硬件与系统软件通用；安全设备基本不带密码。
2. S-MIS(Security - Management Information System)：标准信息安全保障系统，建立在PKI/CA标准上。硬件与软件系统通用；PKI/CA安全保障系统必须带密码；应用系统必须根本改变。
3. S^2-MIS(Super Security Management Information System)：超安全信息安全保证系统。硬件与系统软件都是专用的；PKI/CA安全保障系统必须带密码；应用系统必须根本改变；主要的硬件和系统软件需要PKI/CA认证。

可信计算机系统准则(Trusted Computer Systen Evaluation Criteria,TCSEC)

(4等级，7标准)

 

1. D类安全等级：D1，安全等级最低，只为文件和用户提供安全保护。本地操作系统或完全没保护的网络就是D1等级。
2. C类安全等级：C1和C2，能够提供审慎的保护。C1系统中，将用户和数据分开，C1中所有的文档都具有相同的机密性。C2要求用户对自己的行为负责。
3. B类安全等级：B1，B2，B3。具有强制的保护功能。
4. A类安全等级：A1。系统管理员负责一切安全措施。

 

数据安全和保密

 

• 加密体制

 

数据加密即是对明文按照某种加密算法进行处理，而形成的难以理解的密文。

（1）对称密码体制

私密密匙体制，加密和解密采用相同的密匙，速度快。

DES（Data Encryption Standard）。

三重DES+双密匙加密:用2个56位的密钥K1，K2，发送方用K1加密，K2解密，再用K1加密。接收方用K1解密，K2加密，K1解密。

IDEA（International Data Encryption Algorithm）了，相当于三重DES。

（2）非对称密码体制

公钥密码体制，加密和解密采用不同的密钥。一个是公开的，一个是保密的。加密速度慢。

典型的公钥加密算法是RSA,其保密性取决于数学上将一个大数分解为两个素数的难度。

主要运用在数字签名（Digital Signature，DS）中。