信息安全强调信息(数据)本身的安全属性。 主要包括如下:
- 私密性 信息不被未授权者知晓的
- 完整性 信息正确真实 未被篡改 完整无缺
- 可用性 信息可以随时正常使用
针对信息系统,安全可以划分为以下四个层次:
-
设备安全
- 稳定性 设备一定时间内不出故障的概率
- 可靠性 设备能在一定时间内正常执行任务的概率
- 可用性 设备随时可以正常使用的概率
-
数据安全 (私密性 完整性 可用性, 上面已讲过,数据泄露 数据篡改 都是数据安全问题)
-
内容安全 (政治上健康 符合法律 符合道德)
-
行为安全
信息安全等级保护:
《信息安全等级保护管理办法》 将信息系统的安全保护等级分为以下五级: 第一级:受到损坏后 ,会对公民 法人 和其他组织的合法权益收到损害
第二级:受到破坏后,会对公民 法人 其他组织 严重损害, 或者 对 社会秩序 公共利益造成损害。
第三级:受到损坏后, 会对社会秩序和公共利息造成严重损害, 或者对国家安全造成损害
第四级:受到损坏后, 会对社会秩序和公共秩序造成特别严重损害,或者对国家安全造成严重损害 第五级: 受到损坏后, 会对国家安全造成特别严重损害。
GB17859-1999中 对计算机系统安全防护能力的5个等级:
- 用户自主保护级
- 系统审计保护级
- 安全标记保护级
- 结构化保护级
- 访问验证保护级
加解密与常用算法:
信息认证:
数字签名的概念: 完善的数字签名体系应满足以下三个条件:
- 签名者时候不能抵赖自己的签名
- 任何其他人不能伪造签名
- 如果当事双方对真伪有争执,可以在公正的仲裁面前通过验证签名来确认真伪。
利用RSA密码可以同时实现数字签名 和 数据加密。
认证和签名的区别:
认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性。 而数字签名用于验证签名的数据是公开的 认证允许收发双方验证真实性, 不允许第三方验证, 数字签名允许收发双方和第三方验证。 数字签名具备发送方不能抵赖,接收方不能伪造,具有公证人前解决纠纷的能力, 而认证不一定具备。