From 2b1e60830dbaa59f7b966b778eb579d77ea88643 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=E4=B8=9C=E6=97=AD?= <7712100+wx_2adec867b0@user.noreply.gitee.com> Date: Fri, 19 Jun 2020 17:05:38 +0800 Subject: [PATCH] =?UTF-8?q?20190974=E8=B5=B5=E4=B8=9C=E6=97=AD?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../.keep" | 0 ...74\350\265\265\344\270\234\346\227\255.md" | 219 ++++++++++++++++++ 2 files changed, 219 insertions(+) create mode 100644 "20190974\350\265\265\344\270\234\346\227\255/.keep" create mode 100644 "20190974\350\265\265\344\270\234\346\227\255/20190974\350\265\265\344\270\234\346\227\255.md" diff --git "a/20190974\350\265\265\344\270\234\346\227\255/.keep" "b/20190974\350\265\265\344\270\234\346\227\255/.keep" new file mode 100644 index 0000000..e69de29 diff --git "a/20190974\350\265\265\344\270\234\346\227\255/20190974\350\265\265\344\270\234\346\227\255.md" "b/20190974\350\265\265\344\270\234\346\227\255/20190974\350\265\265\344\270\234\346\227\255.md" new file mode 100644 index 0000000..dfde24e --- /dev/null +++ "b/20190974\350\265\265\344\270\234\346\227\255/20190974\350\265\265\344\270\234\346\227\255.md" @@ -0,0 +1,219 @@ +什么是信息安全 +主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面,介绍 +了一些最基本的信息安全概念,既为保护信息及信息系统免受未经授权的进入、使用、披露、 +破坏、修改、检视、记录及销毁。为保障信息安全,要求有信息源认证、访问控制,不能有 +非法软件驻留,不能有未授权的操作等行为。我们讨论了与信息安全和生产率截然相反的信 +息安全概念等。 + 身份验证介绍 +身份验证的信息安全原则,识别讨论为是确定特定方身份的过程。身份是区别于其他个体的 +一种标识。我们谈论使用认证作为验证身份主张是否真实的手段,还包括多因素身份验证以 +及使用生物识别和硬件令牌来增强身份验证过程中的保证,身份认证技术是信息安全理论与 +技术的一个重要方面,访问控制和审计系统都要依赖于身份认证系统所提供的用户的身份。 +可见身份认证在安全系统中的地位极其重要,是最基本的安全服务。 + 授权和访问控制讨论授权和访问控制的使用。 +授权是我们努力以允许实体访问资源的下一步。我们介绍了在组合系统时使用的各种访问控 +制模型。讨论授权和访问控制的使用。授权是我们努力以允许实体访问资源的下一步。 +四、四章:审计与问责在本章中讨论审计和问责制的使用。当我们提供对我们业务 +所基于的资源或敏感性质的个人信息的访问权时,我们谈论需要追究其他责任,审计问责制 +的实行有利于人们增强责任意识,在行使权力时有一种责任心和压力感,从而减少和避免因 +内控制度不完善而带来的损失。 +密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。 +密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换,随着通信技术的发展,对语音、图像、数据等都可实施加、脱密变换。 +进行明密变换的法则,称为密码的体制。指示这种变换的参数,称为密钥。它们是密码编制的重要组成部分。密码体制的基本类型可以分为四种:错乱--按照规定的图形和线路,改变明文字母或数码等的位置成为密文;代替--用一个或多个代替表将明文字母或数码等代替为密文;密本--用预先编定的字母或数字密码组,代替一定的词组单词等变明文为密文;加乱--用有限元素组成的一串序列作为乱数,按规定的算法,同明文序列相结合变成密文。以上四种密码体制,既可单独使用,也可混合使用 ,以编制出各种复杂度很高的实用密码。 +数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。网络安全使用密码学来辅助完成在传递敏感信息的的相关问题。 + + 机密性 + 保密是类似于但不相同的概念。机密性是隐私的必要组成部分,是指我们保护我们的数据免受未经授权查看的人的能力。机密性是可以在过程的多个级别上实施的概念。 例如,如果我们考虑某人从 ATM 取款的情况,则该人可能会寻求保持个人识别码(PIN)的机密性, + 以使其与 ATM 卡结合使用来自 ATM 的资金。此外,ATM 的拥有者将希望对帐号,余额和与从中提取资金的银行进行通信所需的任何其他信息保持机密。提款后,银行将保持与 ATM 进行交易的机密性,并在帐户中更改余额。如果在交易的任何时候都承诺要保密,那么结果对个人,自动柜员机的所有者和银行都是不利的, 丢失包含数据的笔记本电脑,在输入密码时有人看着我们的肩膀,将电子邮件附件发送给错误的人, + 攻击者渗透我们的系统或类似问题,可能会损害机密性。 + 完整性 + 完整性是指防止我们的数据以未经授权或不希望的方式更改的能力。这可能意味着未经授权就更改或删除了我们的数据或部分数据,也可能意味着对我们的数据进行了授权但不希望的更改或删除。为了保持完整性,我们不仅需要拥有防止对我们的数据进行未经授权的更改的手段,而且还需要具有撤消需要撤消的授权更改的能力。 我们可以看到一个很好的机制示例,该机制使我们能够控制许多现代操作系统(例如 Windows 和 Linux)的文件系统中的完整性。为了防止未经授权的更改,此类系统通常实施权限,以限制未经授权的用户可以对给定的用户执行的操作文件。此外,某些此类系统以及许多应用程序(例如数据库)可以允许我们撤消或回滚不希望的更改。 当我们讨论为其他决策提供基础的数据时,完整性尤其重要。如果攻击者要更改包含医学检验结果 + 的数据,我们可能会看到处方错误的治疗方法,有可能导致患者死亡。 + 可用性 + CIA 三要素的最后一站就是可用性。可用性是指在需要时访问我们的数据的能力。可用性损失可能意味着链中任何地方都有各种各样的中断,使我们可以访问数据。此类问题可能是由断电,操作系统或应用程序问题,网络攻击,系统受损或其他问题引起的。当此类问题是由外部方(例如攻击者)引起的时,通常将其称为拒绝服务(DoS)攻击。 + 电子商务安全威胁及防范措施有哪些? + +1、未进行操作系统相关安全配置 + +不论采用什么操作系统,在缺省安装的条件下都会存32313133353236313431303231363533e78988e69d8331333431373264在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。 + +2、未进行CGI程序代码审计 + +如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。 + +3、拒绝服务(DoS,Denial of Service)攻击 + +随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。 + +4、安全产品使用不当 + +虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。 + +5、缺少严格的网络安全管理制度 + +网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 + +6、窃取信息 + +由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 + +7、篡改信息 + +当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。 + +8、假冒 + +由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。 + +9、恶意破坏 + +由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。 + + + +安全对策 + +1、保护网络安全。 + +保护网络安全的主要措施如下:全面规划网络平台的安全策略,制定网络安全的管理措施,使用防火墙,尽可能记录网络上的一切活动,注意对网络设备的物理保护,检验网络平台系统的脆弱性,建立可靠的识别和鉴别机制。 + +2、保护应用安全。 + +应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。 + +3、保护系统安全。 + +在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。建立详细的安全审计日志,以便检测并跟踪入侵攻击等。 + +4、加密技术 + +加密技术为电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。 + +5、认证技术。 + +用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。 + +6、电子商务的安全协议。 + +电子商务的运行还有一套完整的安全协议,有SET、SSL等。 + + + +**扩展资料** + +从电子商务的含义及发展历程可以看出电子商务具有如下基本特征: + +1、普遍性。电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。 + +2、方便性。在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等,同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中,有大量的人脉资源开发和沟通,从业时间灵活,完成公司要求,有钱有闲。 + +3、整体性。电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用率,也可以提高系统运行的严密性。 + +4、安全性。在电子商务中,安全性为一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,这与传统的商务活动有着很大的不同。 + +5、协调性。商业活动本身为一种协调过程,它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中,它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作,电子商务的全过程往往是一气呵成的。 + + 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 + +安全审计 + +1、 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; + + 2、 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信 息; + + 3、 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 + +入侵防范 + +1、 应遵循最小安装的原则, 仅安装需要的组件和应用程序; + + 2、应关闭不需要的系统服务、默认共享和高危端口; + +3、 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; + + 4、应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设 定要求; + +5、应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 + +密码学 + +密码学又叫加密。加密是所有步骤的基础。 + +加密可以解决保密和完整的问题。 + +未加密的数据称为明文,加密的数据称为密文。 + +对称密钥密码术(也称为私钥密码术)利用单个密钥来对明文进行加密和对密文进行解密。密钥本身必须在发送方和接收方之间共享,这个过程称为密钥交换。 + +![image-20200605104941462](C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20200605104941462.png) + + + +在电脑上打开网址https:www.ip138.com/asill// + +输入你要发送内容 + +![image-20200605111334754](C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20200605111334754.png) +然后对下面进行加密 + + + +数字签名 + +/*-*发方:写一段明文,并利用自己的密钥进行加密,形成密文,再用对方的秘要进行第二次加密,形成数字签名的密文,发给对方 + +收方:先用对方的秘钥揭秘对方发来的密文,确认可信是对方发来的密文,再用自己的秘钥解密,然后阅读解密的内容 + +用户体验日回家顾客教育厅 + + + +\u7528\u6237\u4f53\u9a8c\u65e5\u56de5\u5bb6\u987e\u5ba2\u6559\u80b2\u5385 + +集体加3A + + 甤2戴1体d骄6旣F囔8宴0顴8宣c敔3肳c厃F + +集体减3A + +\u75242\u62341\u4f53d\u9a846\u65e3F\u56d48\u5bb40\u98748\u5ba3c\u65543\u80b3c\u5383f + + + + + +证书 + +在电脑上点击开始 + +搜索网址certmgr.msc + +然后点击进去 + + + +3A认证 + +AAA ,认证(Authentication):验证用户的身份与可使用的[网络服务](https://baike.baidu.com/item/网络服务/9498645);授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。 + + + +3A认证,即AAA认证 + +AAA:分别为Authentication、Authorization、Accounting + +认证(Authentication):验证用户的身份与可使用的网络服务; + +授权(Authorization):依据认证结果开放网络服务给用户; + +计帐(Accounting):记录用户对各种[网络服务](https://baike.baidu.com/item/网络服务)的用量,并提供给[计费系统](https://baike.baidu.com/item/计费系统)。 + +AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。当组合认证模式使用不认证时,不认证(none)必须放在最后。 + +授权方案与授权模式 + +AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。当组合授权模式使用直接授权的时候,直接授权必须在最后。。例如:authorization-mode hwtacacs local none。RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。 + +计费方案与计费模式 + +AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。 -- Gitee