小白程序员必备轻松入门信息安全领域本文系统梳理了信息系统安全的核心要点涵盖加密解密、身份认证、访问控制、安全协议等关键技术。从安全体系架构机密性、完整性、可用性等五要素到数据安全对称/非对称加密、PKI与数字签名、数字信封等再到网络安全单点登录、防火墙、入侵检测、VPN等最后结合电子商务安全SSL、SET协议和安全管理实践为程序员小白提供了一套完整的学习框架助力快速掌握大模型安全领域的知识体系。一、本章要点1加密和解密、身份认证数字签名、密钥、口令、访问控制、安全保密管理防泄漏、数字水印、安全协议SSL、PGP、IPSec、系统备份与恢复、防治病毒信息系统安全法规与制度计算机防病毒制度保护私有信息规则。2系统的访问控制技术、数据的完整性、数据与文件的加密、通信的安全性、系统的安全性设计。二、信息系统安全体系信息安全的5个要素机密性、完整性、可用性、可控性和可审查性。1、安全系统架构1安全服务是指计算机网络提供的安全防护措施包括认证服务、访问控制、数据机密性服务、数据完整性服务和不可否认服务。2特定的安全机制是用来实施安全服务的机制包括加密机制、数据签名机制、访问控制机制、数据完整性机制、认证交换机制、流量填充机制、路由控制机制和公证机制。3普遍性的安全机制不是为任何特定的服务而特设的属于安全管理方面分为可信功能度、安全标记、事件检测、安全审计跟踪和安全恢复。2、安全保护等级1用户自主保护级2系统审计保护级3安全标记保护级4结构化保护级5访问验证保护级3、信息安全保障系统三种不同架构1MISSManagement Information System Security系统。初级基本的信息安全保障系统应用基本不变硬件和系统软件通用安全设备基本不带密码。2S-MISSecurity - Management Information System系统。标准安全信息安全保障系统建立在PKI/CA标准上硬件和系统软件通用PKI/CA安全保障系统必须带密码应用系统必须根本改变。3S2-MISSuper Security Management Information System系统。超安全的信息安全保障系统不仅使用PKI/CA标准同时硬件和系统软件都是用专用的安全产品硬件和系统软件都专用PKI/CA安全保障系统必须带密码应用系统必须根本改变主要的硬件和系统软件需要PKI/CA认证。4、可信计算机系统TCSECTrusted Computer System Evaluation Criteria可信计算机系统准则将计算机系统的安全划分为4个等级、7个级别。1D类安全等级。仅D1一个级别只为文件和用户提供安全保护。本地操作系统或完全没有保护的网络。2C类安全等级。C1和C2。C1系统的可信任运算基础体系通过将用户和数据分开来达到安全的目的系统内所有文档具有相同的机密性。C2比C1加强了可调的审慎控制通过登录过程、安全事件和资源隔离来增强这种控制。在连接到网络上时C2系统的用户分别为各自的行为负责。C2具有C1所有的安全性特征。3B类安全等级。B1、B2和B3。B类系统具有强制性保护功能意味着如果用户没有与安全等级相连系统就不会让用户存取对象。B2系统满足B1系统的所有要求且B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B3系统满足B2系统的所有要求且必须设有安全管理员。4A类安全等级。仅A1一个级别显著特点是系统的设计者必须按照一个正式的设计规范来分析系统。三、数据安全与保密1依次经历如下阶段手工密码、机械密码、机电密码、电子密码和计算机密码目前流行的是芯片密码。2当今密码体制建立在三个基本假设之上随机性假设、计算假设和物理假设。1、加密体制数据加密即是对明文按照某种加密算法进行处理而形成的难以理解的密文即使截获密文也难以解码。1对称密码体制。也称私钥密码体制加密和解密采用相同密钥。加密速度快用来加密大批量数据。FDEA、IDEA128和DES56、三重DES56*2。2非对称密码体制。也称公钥密码体制加密和解密使用不同密钥。分为三类大整数分解问题类、离散对数问题类和椭圆曲线类。RSA512主要用于数字签名。2、PKI与数字签名1PKI是CA安全认证体系的基础由认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统组成。2PKI可实现CA和证书的管理密钥的备份和恢复证书、密钥对的自动更换交叉认证加密密钥和签名密钥的分隔支持对数字签名的不可抵赖性密钥历史的管理等功能。3PKI技术主要借助数字签名技术实现以下功能1认证。是指对网络中信息传递的双方进行身份的确认。2机密性。是指保证信息不泄露给未经授权的用户或供其利用。3完整性。是指防止信息被未经授权的人篡改保证真实的信息从真实的信源无失真地传到真实的信宿。4抗抵赖性。是指保证信息行为人不能够否认自己的行为。4做数字签名能确认以下两点一是信息是由签名者发送的二是信息自签发到接收为止没作任何修改。5数字签名将Hash函数和公钥算法结合起来提供数据完整性的同时保证数据的真实性原理如下1发送者首先将原文用Hash函数生成128位的数字摘要。2发送者用自己的私钥对摘要再加密形成数字签名把加密后的数字签名附加在要发送的原文后面。3发送者将原文和数字签名同时传给对方。4接收者对收到的信息用Hash函数生成新的摘要同时用发送者的公开密钥对信息摘要解密。5将解密后的摘要与新摘要对比如两者一致则说明传送过程中信息没有被破坏或篡改。3、数字信封数字信封中采用了私钥密码体制和公钥密码体制。基本原理是将原文用对称密钥加密传输而将对称密钥用接收方的公钥加密发送给对方。对方收到电子信封用自己的私钥解密信封取出对称密钥解密得原文。详细过程如下1发送方A将原文信息进行Hash运算的一Hash值即数字摘要MDMessage Digest。2发送方A用自己的私钥PVA采用非对称RSA算法对数字摘要MD进行加密得数字签名DS。3发送方A用对称算法DES的对称密钥SK对原文信息、数字签名SD及发放A证书的公钥PBA采用对称算法加密的加密信息E。4发送方A用接收方B的公钥PBB采用RSA算法对对称密钥SK进行加密形成数字信封DE。5发送方A将加密信息E和数字信封DE一起发送给接收方B。6接收方B接收到数字信封DE后首先用自己的私钥PVB解密数字信封取出对称密钥SK。7接收方B用对称密钥SK通过DES算法解密加密信息E还原出原文信息、数字签名SD及发送方A证书的公钥PBA。8接收方B验证数字签名先用发送方A的公钥解密数字签名的数字摘要MD。9接收方B同时将原文信息用同样的Hash运算求得一个新的数字摘要MD‘。10接收方将两个数字摘要MD和MD’进行比较验证原文是否被修改。4、PGPPretty Good Privacy1是一个基于RSA公钥加密体系的邮件加密软件。2PGP采用了审慎的密钥管理是一种RSA和传统加密的杂合算法一个对称加密算法IDEA、一个非对称加密算法RSA、一个单向散列算法MD5以及一个随机数产生器还有一个良好的人机工程设计。3PGP承认两种不同格式的证书PGP证书和X.50九证书。5、数字水印1数字水印技术是将一些标识信息直接嵌入数字载体中但不影响原载体的使用价值也不容易被人的知觉系统觉察或注意到。2数字水印的特定安全性、隐蔽性、鲁棒性和水印容量。3空域算法、Patchwork算法、变换域算法、压缩域算法、NEC算法和生理模型算法。四、计算机网络安全1、网络安全设计网络安全防范体系在整体设计过程中应遵循以下9项原则1木桶原则。对信息进行均衡、全面的保护。2整体性原则。要求在网络发生被攻击、破坏事件的情况下必须尽可能地快速恢复网络信息中心的服务减少损失。3安全性评价与平衡原则。对任何网络绝对安全难以达到也不一定是必要的所以需要建立合理的实用安全性与用户需求评价及平衡体系。4标准化与一致性原则。5技术与管理相结合原则。6统筹规划分步实施原则。7等级性原则。指安全层次和安全级别。8动态发展原则。9易操作性原则。2、单点登录技术单点登录Single Sign-OnSSO技术是通过用户的一次性认证登录即可获得需要访问系统和应用软件的授权管理员不需要修改或干涉用户登录。1利用b机制。Kerberos v5是业界的标准网络身份认证协议它的安全机制在于首先对发出请求的用户进行身份验证确认其是否是合法用户如果是再审核该用户是否有权对他所请求的服务或主机进行访问。Kerberos系统在分布式计算机环境中得到了广泛应用具有以下优点1安全性高。对用户口令惊醒加密后作为用户的私钥。2透明性高。用户仅在登录时需要输入口令。3可扩展性好。为每一个服务提供认证确保应用安全。同时也有缺点1服务器不验证用户真实性假设仅合法用户拥有口令字易形成代码本攻击。2AS和TGS是集中式管理容易形成瓶颈系统的性能和安全也严重依赖于AS和TGS的性能及安全。3随用户数增加密钥管理较复杂。4不能保护一台计算机或者服务的可用性。5KDC是一个单一故障点。6密钥要暂时存放在用户的工作站上入侵者有可能获得这个密钥。7如果没有应用加密功能Kerberos不能保护网络流量。8当用户改变密码时Kerberos就改变了密钥KDC用户数据库需要进行更新。2外壳脚本机制。通过原始认证进入系统外壳然后外壳就会激发各种专用平台的脚本来激活目标平台的账号以及资源的访问。3一个理想的SSO产品具备以下特征和功能1常规特征。支持多种系统、设备和接口。2终端用户管理灵活性。3应用管理灵活性。4移动用户管理。5加密和认证。6访问控制。7可靠性和性能。3、无线设备的安全性Internet的安全性很难再无线电话和PDA上实施主要原因是这些设备的CPU、内存、带宽以及存储能力有限因此具有有限的计算能力。1认证性。对无线电话用户的认证时数字移动电话最重要的安全特征之一。SIM卡存储用户认证信息。2机密性。安全WAPwireless application protocol无线应用协议使用SSLsecure sockets layer安全套接字和WTLSwireless transport layer security无线传输层安全来保护有线连接部分和无线连接部分。4、防火墙防火墙是指建立在内外网络边界上的过滤封锁机制。1网络级防火墙也称为过滤型防火墙。事实上是一种具有特殊功能的路由器采用报文动态过滤技术能够动态地检查流过的TCP/IP报文或分组头根据企业所定义的规则决定禁止某些报文通过或者允许某些报文通过允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。包过滤方式的优点不用改动客户端和主机上的应用程序因为他工作在网络层和传输层与应用层无关。弱点1过滤的判别依据知识网络层和传输层的有限信息各种安全要求不能充分满足。2过滤规则数目有限数目的增加导致性能下降。3缺少上下文关联信息不能有效过滤UDP、RPC之类的协议。4缺少审计和报警机制不能验证用户身份易受地址欺骗型攻击。5对安全管理人员素质要求高。2应用级防火墙也称为应用网关型防火墙。目前大多采用代理服务机制即采用一个网关来管理应用服务在其上安装对应于每种服务的特殊代码代理服务程序在此网关上控制与监督各类应用层服务的网络连接。四种类型双穴主机网关、屏蔽主机网关、屏蔽子网网关和应用代理服务器。5、入侵检测1入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性行为的一种网络安全技术。2要解决的两个基本问题如何充分并可靠地提取描述行为特征的数据如何根据特征数据高效并准确地判断行为《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取文章来自网上侵权请联系博主