身份认证例子
就像进公司要刷卡(门禁卡),这就是身份认证。刷卡后系统确认你是员工才让你进入。
6.2 信息安全的主要技术和措施
一、教学目标
Section titled “一、教学目标”掌握身份认证、访问控制、入侵检测、防火墙、网闸、防病毒、数据加密等主要信息安全技术的原理和应用。
二、核心讲解
Section titled “二、核心讲解”1. 身份认证
Section titled “1. 身份认证”分类:
- 用户与主机间的认证
- 主机与主机之间的认证
认证措施:
| 认证方式 | 说明 |
|---|---|
| 静态密码 | 传统的用户名+密码组合 |
| 智能卡 | 物理卡片认证 |
| 短信密码 | 通过短信发送验证码 |
| 动态口令 | 定期变化的密码 |
| USB Key | USB硬件设备认证 |
| 生物识别 | 指纹、虹膜、人脸识别等生物特征进行身份认证 |
| 双因素认证 | 两种认证方式结合(如密码+短信验证码) |
2. 访问控制
Section titled “2. 访问控制”基本概念: 防止对任何资源进行未授权的访问,用户是主体,文件是客体,读取文件操作是请求。
访问控制机制:
| 机制类型 | 控制方式 | 灵活性 | 安全性 | 记忆要点 |
|---|---|---|---|---|
| 自主访问控制(DAC) | 让客体的所有者来定义访问控制规则 | 高 | 中 | 所有者决定 |
| 基于角色的访问控制(Role-BAC) | 将主体划分为不同的角色,然后对每个角色的权限进行定义 | 中 | 高 | 角色管理 |
| 基于规则的访问控制(Rule-BAC) | 制定某种规则,将主体、请求和客体的信息结合起来进行判定 | 中 | 高 | 规则判定 |
| 强制访问控制(MAC) | 一种基于安全级别标签的访问控制策略 | 低 | 最高 | 强制执行 |
3. 入侵检测系统(IDS)
Section titled “3. 入侵检测系统(IDS)”分类:
- 实时入侵检测:在网络连接过程中进行,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复
- 事后入侵检测:由具有网络安全专业知识的网络管理人员定期或不定期进行,不具有实时性
4. 防火墙
Section titled “4. 防火墙”定义: 由软件和硬件设备组合而成的,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
组成:服务访问规则、验证工具、包过滤、应用网关
防火墙分类:
- 基于路由器的防火墙
- 用户化的防火墙工具组件
- 建立在通用操作系统上的防火墙
- 具有安全操作系统的防火墙
基本特性:
- 所有网络数据流都必须经过防火墙
- 只有符合安全策略的数据流才能通过防火墙
- 自身应具有非常强的抗攻击免疫力
- 应用层防火墙具备更细致的防护能力
- 数据库防火墙具有针对数据库恶意攻击的阻断能力
5. 网闸(网络隔离技术)
Section titled “5. 网闸(网络隔离技术)”定义: 网络隔离技术,由两套各自独立的系统分别连接安全和非安全的网络,两套系统之间通过网闸进行信息摆渡,保证两套系统之间没有直接的物理通路。
产品方案:
| 方案类型 | 说明 |
|---|---|
| 独立网络方案 | 内部网络和外部网络物理断开。两个网络之间如有数据交换需要,则采用人工操作 |
| 终端级解决方案 | 双主板,双硬盘型;单主板,双硬盘型;单主板,单硬盘型 |
6. 防病毒
Section titled “6. 防病毒”防病毒策略:
- 拒绝访问能力
- 病毒检测能力
- 控制病毒传播的能力
- 清除能力
- 恢复能力
- 替代操作
7. 数据加密技术
Section titled “7. 数据加密技术”加密原理: 将一个信息(明文)经过加密钥匙及加密函数转换,变成无意义的密文,接收方经过解密函数、解密钥匙还原成明文。
加密算法分类:
| 算法类型 | 说明 | 典型算法 |
|---|---|---|
| 专用密钥(对称密钥) | 加密和解密时使用同一个密钥 | DES、Kerberos |
| 公开密钥(非对称密钥) | 加密和解密时使用两个不同的密钥 | RSA |
数字签名:
- 作用:解决伪造、抵赖、冒充和篡改等问题
- 技术:采用非对称加密技术(如RSA)
访问控制四机制
DAC(自主)+ Role-BAC(角色)+ Rule-BAC(规则)+ MAC(强制)
三、通俗例子
Section titled “三、通俗例子”访问控制例子
就像图书馆的管理系统:
- 普通学生只能借阅普通书籍(自主访问控制)
- 研究生可以进入研究生阅览室(基于角色的访问控制)
- 只有管理员可以进入书库(强制访问控制)
防火墙例子
就像小区的大门,保安(防火墙)检查每个进出的人:
- 外来人员需要登记(数据包过滤)
- 送货员只能送到门口不能进小区(应用层控制)
网闸例子
就像两个独立房间,中间有一个传递窗口,房间A的人和房间B的人不能直接接触,只能通过窗口传递物品。
对称加密例子
就像用同一把钥匙锁门和开门,简单快捷但钥匙丢了就危险了。
非对称加密例子
就像邮箱系统,每个人有公钥(公开的邮箱地址)和私钥(只有自己知道的密码),别人用你的公钥发邮件,你用私钥解密。
四、知识点速记
Section titled “四、知识点速记”| 知识点 | 关键要点 | 记忆口诀 |
|---|---|---|
| 身份认证两类型 | 用户与主机、主机与主机 | 两认证 |
| 访问控制四机制 | DAC、Role-BAC、Rule-BAC、MAC | 四机制 |
| IDS两类型 | 实时检测、事后检测 | 两检测 |
| 防火墙四组成 | 服务访问规则、验证工具、包过滤、应用网关 | 四组成 |
| 网闸两方案 | 独立网络方案、终端级解决方案 | 两方案 |
| 加密两类型 | 对称加密(DES、Kerberos)、非对称加密(RSA) | 两加密 |
| 数字签名 | 解决伪造、抵赖、冒充、篡改问题 | 签名 |
| 防病毒六策略 | 拒绝访问、检测、控制传播、清除、恢复、替代操作 | 六策略 |
| 主体-客体关系 | 用户(主体)访问文件(客体) | 关系 |
| 防火墙三特性 | 必经之路、策略控制、强抗攻击性 | 三特性 |
五、课后作业
Section titled “五、课后作业”课堂测验(真题模拟版)
Section titled “课堂测验(真题模拟版)” 练习
某公司要求对所有员工的电脑进行硬盘加密,防止电脑丢失后数据泄露。同时要求员工在发送机密邮件给合作伙伴时,使用合作伙伴的公钥进行加密,合作伙伴收到后用自己的私钥解密。这种场景中分别使用了( )技术。
练习
在一个高安全级别的军事系统中,系统规定:'绝密级'用户可以读取'绝密级'和'秘密级'的文件,但不能写入'秘密级'文件(防止高密低泄);'秘密级'用户不能读取'绝密级'文件。这种强制性的访问控制策略属于( )
练习
为了实现内外网的物理隔离,同时又能进行必要的数据交换(如从外网采集数据传入内网数据库),最合规的设备是( )
练习
在数字签名技术中,发送方使用( )对消息摘要进行加密,接收方使用( )进行解密验证,从而确保消息的真实性和不可否认性。
六、重点总结
Section titled “六、重点总结”本节必记考点 ⭐⭐⭐⭐⭐
Section titled “本节必记考点 ⭐⭐⭐⭐⭐”- 身份认证方式:静态密码、智能卡、短信密码、动态口令、USB Key、生物识别、双因素认证
- 访问控制四机制:DAC、Role-BAC、Rule-BAC、MAC
- 防火墙基本特性:必经之路、策略控制、强抗攻击性
- 加密两类型:对称加密(DES)、非对称加密(RSA)
- 数字签名:解决伪造、抵赖、冒充、篡改问题
- 防病毒六策略:拒绝访问、检测、控制传播、清除、恢复、替代操作
- 网闸特点:两套系统之间没有直接的物理通路