信息安全基础知识

信息安全基础

信息安全的概念

信息存储安全

网络安全

例：
在进行系统安全性分析时，（机密性）保证信息不泄露给未授权的用户、实体或过程；
完整性保证信息的完整和准确，防止信息被非法修改；
（可控性）保证对信息的传播及内容具有控制的能力，防止为非法者所用。

例：
安全性是根据系统可能受到的安全威胁的类型来分类的。其中（可用性）保证得到授权的实体在需要时可访问数据；（完整性）保证信息的完整和准确，防止信息被篡改。

信息安全系统的组成框架

技术体系

信息加解密技术

数据加密

对称加密技术

非对称加密技术

数字签名

公钥基础设施PKI

例：
在安全通信中，S将所发送的信息使用（发送方的私钥）进行数字签名，T收到该消息后可利用（发送方的公钥）验证该消息的真实性。

例：
某Web网站向CA申请了数字证书。用户登录过程中可通过验证（CA的签名）确认该数字证书的有效性，以（验证该网站的真伪）。

访问控制技术

信息安全的抗攻击技术

密钥的选择

拒绝服务攻击与防御

欺骗攻击与防御

端口扫描

强化TCP/IP堆栈以抵御拒绝服务攻击

系统漏洞扫描

例：
SYN Flooding攻击的原理是（利用TCP三次握手，恶意造成大量TCP半连接，耗尽服务器资源，导致系统拒绝服务）

信息安全的保障体系与评估方法

计算机信息系统安全保护等级

安全风险管理

例：
《计算机信息系统安全保护等级划分准则》把计算机信息安全划分为了5个等级，其中安全保护等级最高的是（访问验证保护级）