信息安全基础知识培训
网络信息安全基础知识培训
网络信息安全基础知识培训在当今数字化的时代,网络已经成为我们生活和工作中不可或缺的一部分。
然而,随着网络的普及和应用的不断拓展,网络信息安全问题也日益凸显。
从个人隐私泄露到企业商业机密被窃取,从网络诈骗到黑客攻击,网络信息安全威胁无处不在。
因此,了解和掌握网络信息安全基础知识,对于保护我们自身、企业和社会的利益至关重要。
一、网络信息安全的概念网络信息安全,简单来说,就是保护网络系统中的硬件、软件以及其中的数据不因偶然或恶意的原因而遭到破坏、更改、泄露,保障系统连续可靠正常地运行,网络服务不中断。
它涵盖了多个方面,包括网络设备的安全、数据的安全、应用程序的安全、用户的安全等。
网络信息安全的目标是确保信息的保密性、完整性、可用性、可控性和不可否认性。
二、常见的网络信息安全威胁1、病毒和恶意软件病毒是一种能够自我复制并传播的程序,它会破坏计算机系统的正常运行,删除或篡改文件。
恶意软件则包括间谍软件、广告软件、勒索软件等,它们可能会窃取用户的个人信息、监控用户的行为,甚至锁定用户的设备并索要赎金。
2、网络钓鱼网络钓鱼是一种通过伪装成合法的网站或电子邮件来获取用户敏感信息的手段。
例如,攻击者可能会发送一封看似来自银行的电子邮件,要求用户登录并更新账户信息,实际上链接指向的是一个伪造的网站。
3、黑客攻击黑客可以通过各种手段入侵计算机系统,获取未经授权的访问权限,窃取数据、破坏系统或者控制设备。
常见的黑客攻击方式包括 SQL 注入、DDoS 攻击等。
4、数据泄露由于系统漏洞、人为疏忽或者恶意行为,导致大量的用户数据被泄露到互联网上,给用户带来巨大的损失。
5、无线网络安全威胁在使用公共无线网络时,如果没有采取适当的加密措施,攻击者可能会拦截用户的通信数据,获取用户名、密码等敏感信息。
三、网络信息安全的防护措施1、安装杀毒软件和防火墙杀毒软件可以实时监测和清除计算机中的病毒和恶意软件,防火墙则可以阻止未经授权的网络访问。
信息安全基础知识培训教材
信息安全基础知识培训教材第一章:信息安全概述1.1 信息安全的定义及重要性1.1.1 信息安全的定义1.1.2 信息安全的重要性1.2 信息安全的威胁1.2.1 黑客攻击1.2.2 病毒和恶意软件1.2.3 社交工程1.2.4 数据泄露和盗窃1.3 信息安全法律法规1.3.1 国家相关法律法规1.3.2 个人隐私保护相关法规第二章:密码学基础2.1 密码学概述2.1.1 密码学的定义2.1.2 密码学的分类2.2 对称加密算法2.2.1 DES算法2.2.2 AES算法2.2.3 RC4算法2.3 非对称加密算法2.3.1 RSA算法2.3.2 ECC算法2.4 密钥交换算法2.4.1 DH算法2.4.2 ECDH算法第三章:网络安全基础3.1 网络安全概述3.1.1 网络安全的定义3.1.2 网络安全的威胁类型3.2 防火墙3.2.1 防火墙的作用3.2.2 防火墙的工作原理3.2.3 常见的防火墙类型3.3 入侵检测与防御3.3.1 入侵检测系统(IDS) 3.3.2 入侵防御系统(IPS)3.4 VPN技术3.4.1 VPN的定义及作用3.4.2 VPN的工作原理3.4.3 常用的VPN协议第四章:用户安全教育4.1 用户安全意识培养4.1.1 用户安全意识的重要性 4.1.2 用户安全教育的方法4.2 密码设置与管理4.2.1 强密码的要求4.2.2 密码管理的注意事项4.3 社交工程防范4.3.1 社交工程的手段4.3.2 防范社交工程攻击的方法第五章:应急预案和恢复5.1 信息安全事件的分类5.1.1 安全事件的定义5.1.2 常见的安全事件类型5.2 信息安全事件处理流程5.2.1 安全事件的报告与识别5.2.2 安全事件的分析与定级5.2.3 安全事件的处置与恢复5.3 应急预案和演练5.3.1 应急预案的编制5.3.2 应急演练的重要性5.3.3 应急演练的步骤结语通过本教材的学习,您将掌握信息安全的基础知识,了解信息安全的重要性,掌握密码学的基本原理,了解网络安全的防护措施,学会用户安全教育的方法,以及掌握信息安全事件的处理流程和应急预案的编制。
网络与信息安全培训(2023版)
网络与信息安全培训网络与信息安全培训⒈背景介绍⑴信息安全的重要性⑵网络安全的意义⑶为什么需要网络与信息安全培训⒉网络与信息安全基础知识⑴网络安全概述⑵常见网络攻击类型⑶常见安全漏洞与防范措施⑷加密与解密技术⑸安全策略与安全措施⒊网络与信息安全法律法规⑴国家网络安全法⑵个人信息保护法⑶数据保护与隐私法律⑷电子商务法⑸知识产权保护法律⒋企业安全管理与策略⑴安全管理框架与模型⑵保密与信息权限管理⑶网络与服务器安全管理⑷内部与外部威胁分析与处理⑸应急预案与事件响应⒌网络与信息安全技术⑴防火墙与入侵检测系统⑵安全漏洞扫描与修复⑶虚拟私人网络与代理技术⑷网络流量分析与监控⑸安全审计与日志管理⒍社交工程与网络攻击防范⑴社交工程概述⑵钓鱼攻击与防范⑶与恶意软件防范⑷黑客攻击手法与对策⑸网络入侵检测与防范⒎云安全与移动安全⑴云计算安全⑵移动应用安全⑶移动设备管理与安全⑷远程访问与身份认证⑸互联网物联网安全⒏网络与信息安全培训实践⑴安全意识与培训计划⑵模拟网络攻击与防范演练⑶安全实验室建设⑷网络与信息安全培训的测评与评估⑸培训结束总结与展望【附件】本文档附带教材、培训笔记、案例分析等相关资料。
【法律名词及注释】网络安全法:指中华人民共和国国家网络安全法规定的法律法规,用于维护网络安全和保护国家安全和公共利益的合法权益。
个人信息保护法:指个人信息保护法规定的法律法规,用于规范个人信息的收集、处理和保护行为,保护个人信息的隐私权和安全。
数据保护与隐私法律:指数据保护与隐私法律法规,用于规定个人和企业在处理个人数据时需要遵守的安全措施和隐私保护原则。
电子商务法:指电子商务法规定的法律法规,用于规范电子商务活动中的网络安全和个人信息保护等问题。
知识产权保护法律:指知识产权保护法规定的法律法规,用于保护知识产权的合法权益,包括网络上的知识产权侵权行为。
信息安全基础培训
信息安全基础培训目录CONTENTS•信息安全概述•信息安全基础知识•信息安全意识培养•信息安全技能培训•信息安全法律法规与标准•信息安全实践案例分析01信息安全概述信息安全的定义与重要性信息安全的定义信息安全是指保护信息系统免受未经授权的访问、使用、泄露、破坏、修改,或因其他未授权行为导致其完整性、可用性、保密性受到破坏的措施。
信息安全的重要性随着信息化程度的提高,信息安全已成为国家安全、社会稳定、企业利益和个人隐私的重要保障。
保护信息安全可以防止数据泄露、系统瘫痪、恶意攻击等风险,保障业务的正常运行和数据的保密性、完整性、可用性。
仅授权最小权限给用户,确保每个用户只能访问其工作所需的最小信息。
将信息与信息处理者分开,确保信息不被非授权人员获取。
定期更新和修补系统漏洞,确保系统的安全性和稳定性。
定期备份重要数据,确保在发生意外情况时能够及时恢复数据。
最小化原则分离原则更新与维护原则备份与恢复原则云计算安全随着云计算的普及,云服务提供商和用户都需要加强云端数据的安全保护。
大数据安全大数据技术的快速发展使得数据安全保护面临新的挑战,需要加强数据隐私保护和访问控制。
物联网安全物联网设备数量的增加使得物联网安全成为新的关注点,需要加强设备认证、数据加密和访问控制等方面的保护。
02信息安全基础知识1 2 3密码学是研究如何保护信息的机密性、完整性和可用性的科学。
密码学定义与目的介绍常见的加密算法,如对称加密算法(如AES)和非对称加密算法(如RSA)。
加密算法解释数字签名的工作原理和身份认证的重要性。
数字签名与身份认证密码学基础网络安全基础网络攻击类型介绍常见的网络攻击类型,如拒绝服务攻击、恶意软件攻击和社交工程攻击。
防火墙与入侵检测系统解释防火墙和入侵检测系统的工作原理和作用。
网络安全协议介绍常见的网络安全协议,如TCP/IP协议和HTTPS协议。
03安全配置与管理提供一些常见的操作系统安全配置和管理建议,如禁用不必要的服务、使用强密码等。
2024版网络信息安全知识培训(最新版)
网络信息安全知识培训(2024最新版)目录•网络信息安全概述•常见网络攻击手段及防范策略•密码安全与身份认证技术•数据保护与隐私泄露风险防范•网络安全设备配置及使用指南•企业内部网络安全管理规范制定•总结回顾与未来展望CONTENTSCHAPTER01网络信息安全概述定义与重要性网络信息安全定义网络信息安全是指通过采取必要的技术、管理和法律手段,保护网络系统和信息数据不受未经授权的访问、攻击、破坏或篡改,确保网络系统的正常运行和信息数据的机密性、完整性和可用性。
重要性随着互联网的普及和数字化进程的加速,网络信息安全已成为国家安全、社会稳定和经济发展的重要保障。
网络攻击和数据泄露事件频发,给个人、企业和国家带来巨大损失,因此加强网络信息安全意识和技能培训至关重要。
发展趋势云计算、大数据和人工智能等新技术广泛应用,推动网络信息安全向智能化、自动化方向发展。
零信任安全、安全即服务等新理念不断涌现,引领网络信息安全领域的创新变革。
挑战网络攻击手段不断翻新,高级持续性威胁(APT)等新型攻击方式防不胜防。
数据泄露事件频发,个人隐私和企业商业秘密受到严重威胁。
网络信息安全人才短缺,难以满足日益增长的安全需求。
01020304法律法规《中华人民共和国网络安全法》是我国网络信息安全领域的基本法律,规定了网络运营者、个人和组织在网络安全保护方面的权利和义务。
《数据安全管理办法》等法规对数据安全保护提出了具体要求,包括数据分类、加密存储和传输、数据备份和恢复等方面。
合规性要求企业应建立完善的信息安全管理制度和应急预案,定期开展安全风险评估和演练活动。
企业和个人应遵守相关法律法规和政策要求,加强网络信息安全管理和技术防护措施。
个人应提高网络信息安全意识,妥善保管个人信息和账号密码等重要信息。
CHAPTER02常见网络攻击手段及防范策略掌握常见恶意软件和病毒的特征及危害学习如何有效预防和应对恶意软件和病毒攻击,如安装杀毒软件、定期更新操作系统补丁等了解恶意软件和病毒的定义、分类及传播途径恶意软件与病毒防范了解钓鱼网站和邮件的原理及常见手段掌握识别钓鱼网站和邮件的方法,如不轻易点击可疑链接、仔细核对网站域名和邮件发件人等学习如何应对钓鱼网站和邮件攻击,如及时报告、修改密码、启用双重认证等钓鱼网站和邮件识别与应对漏洞利用和攻击原理剖析了解漏洞的定义、分类及危害掌握常见的漏洞利用方式和攻击原理,如SQL 注入、跨站脚本攻击等学习如何有效防范漏洞利用和攻击,如定期漏洞扫描、及时修补漏洞、加强应用程序安全等了解社交工程攻击的原理及常见手段,如冒充身份、诱导泄露信息等掌握识别社交工程攻击的方法,如保持警惕、不轻信陌生人等学习如何应对社交工程攻击,如加强个人信息保护、提高安全意识、及时报警等社交工程攻击及防范方法CHAPTER03密码安全与身份认证技术密码学是研究如何隐藏信息的科学,涉及加密、解密、密钥管理等核心概念。
信息安全培训内容
信息安全培训内容信息安全是当今社会中一个重要的议题,随着互联网的普及和信息技术的快速发展,保护个人和机构的信息安全变得尤为重要。
为了提高公众的信息安全意识和技能,信息安全培训成为了必不可少的一项工作。
本文将详细介绍信息安全培训的内容,包括基础知识、网络安全、数据隐私保护和社交工程防范等方面。
一、基础知识首先,在信息安全培训中,学员需要了解基础知识,包括常见的安全威胁、攻击方式和安全防护措施。
学员应该熟悉密码学的基本原理,包括对称加密和非对称加密算法的了解,了解数字签名和数字证书的作用。
此外,学员还需要了解访问控制、身份认证、安全审计等基本概念。
二、网络安全网络安全是信息安全培训中的重要一环。
学员需要了解常见的网络攻击方式,如病毒、木马、钓鱼和社交工程等。
他们还需要了解网络防护的基本原理和方法,包括防火墙的使用、入侵检测系统和入侵防御系统的工作原理等。
此外,学员还需要学习如何安全使用互联网,避免上当受骗或泄露个人信息。
三、数据隐私保护保护数据隐私是信息安全培训中不可或缺的一部分。
学员需要了解个人数据的重要性,并学习如何保护个人数据的安全。
这包括使用安全密码、定期备份重要数据、定期更新操作系统和应用程序等。
此外,学员还需要学习如何识别和防范数据泄露的风险,了解跨境数据传输的安全问题,并掌握常见的数据加密和解密技术。
四、社交工程防范社交工程是一种利用社会和心理学手段获取信息的攻击方式。
在信息安全培训中,学员需要了解常见的社交工程手段,如钓鱼邮件、假冒网站和伪造短信等。
他们需要学习如何识别和防范这些攻击,并掌握相关的安全策略和技巧。
此外,学员还需要加强安全意识,避免在社交网络中泄露个人信息,谨慎对待陌生人的友好请求。
五、其他相关内容除了以上内容,信息安全培训还可以涉及其他相关内容,如移动安全、云安全和物联网安全等。
随着技术的不断发展,新的安全威胁也在不断涌现,因此,信息安全培训应该保持与时俱进,及时更新内容,以满足学员的需求。
信息安全培训提纲
信息安全培训提纲一、信息安全概述
1. 什么是信息安全
2. 信息安全的原因和重要性
3. 信息安全面的威胁和风险
4. 信息安全管理的基本原则
二、密码学基础知识
1. 对称加密算法原理与应用
2. 非对称加密算法原理与应用
3. 数字签名和证书的概念
4. 哈希算法原理与应用
三、网络安全
1. 防火墙配置与管理
2. 入侵检测系统配置与管理
3. 网络连接与数据传输的安全性问题
4. 网络攻击手段及防御对策
四、操作系统安全
1. 权限管理基本知识
2. 常见系统漏洞分析
3. 系统更新与补丁管理
4. 主流操作系统的安全设置
五、应用安全
1. 应用常见漏洞
2. 注入和攻击
3. 网站防火墙与
4. 应用代码安全编写规范
六、电子邮件安全
1. 电子邮件危害类型概述
2. 防止邮件病毒和钓鱼邮件
3. /加密邮件与/签名
4. 域名策略与邮件安全
如上是一个信息安全培训的提纲内容,列出了主要知识点,侧重信息安全的基础理论知识和常见技术手段,供参考修改使用。
ISO27001信息安全管理体系培训基础知识
什么是信息
什么是信息
信息一般指消息、情报、数据和知识等,在 ISO/IEC27001原则中信息是指对组织具有主要价值, 能够经过多媒体传递和存储旳一种资产。
• 什么是信息 • 什么是信息安全 • 为何实施信息安全管理 • 怎样实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)原则简介 • 信息安全管理体系(ISMS)实施控制要点
• 信息安全事故旳管理:报告信息安全事件和弱点,及时采用纠正措
ISMS控制大项阐明 施,确保使用连续有效旳措施管理信息安全事故。
• 业务连续性管理:目旳是为了降低业务活动旳中断,使关键业务过 程免受主要故障或天灾旳影响,并确保他们旳及时恢复。
• 符合性:信息系统旳设计、操作、使用和管理要符正当律法规旳要 求,符合组织安全方针和原则,还要控制系统审核,使系统审核过 程旳效力最大化、干扰最小化。
• 什么是信息 • 什么是信息安全 • 为何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)原则简介 • 信息安全管理体系(ISMS)实施控制要点
ISMS原则体系-ISO/IEC27000族简介
ISO/IEC27000族
27000 --信息安全管理体系 综述与术语 27001-信息安全管理体系 要求 27002--信息安全管理体系 实践规范 27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量 27005--信息安全管理体系信息安全风险管理 27006--信息安全管理体系认证机构要求 27007信息安全管理体系 审核指南
什么是信息安全—信息旳完整性
什么信是息信旳完息整性安是全指要—确信保息信息旳使完用整和性处理措施旳正确
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7/13/2013 27
安全审计
根据审计对象,安全审计可以分成三个层次 •网络层安全审计 •系统安全审计 •信息内容安全审计,属高层审计 安全审计的主要功能 •通过事后的安全审计来检测和调查安全策略执行的 情况以及安全遭到破坏的情况 •监督可疑用户,取消可疑用户的权限,调用更强的 保护机制,去掉或修复故障网络以及系统的某个或某 些失效部件
7/13/2013
8
现阶段——信息安全保障
提出了“信息安全保障”的概念和要求,是一种立体的保 障7Fra bibliotek13/2013
9
信息安全的内涵
信息安全经典模型(CIA模型)
保密性
C
Confidentiality
完整性
I
Integrity
可用性
A
Availability
7/13/2013 10
信息安全的内涵
7/13/2013
19
信息系统安全保障模型
P2DR3模型
安全防护 实时监测
安全策略
应急响应
风险评估
灾难恢复
7/13/2013
20
信息系统安全保障模型要素之一
安全策略 •根据风险评估的结果来设计系统安全的整体保障方 案
•按照等级保护的要求,确定系统的防护等级
•根据信息安全保障强度,合理划分网络与系统中不 同的信息安全域 •按照分级、分域、分层的思想确定相应的防护措施
证书目录服务
B的证书
数字签名验证 有效性检查
7/13/2013
35
防病毒
计算机病毒:编制或者在计算机程序中插入的破坏计算 机功能或者毁坏数据,影响计算机使用,并能自我复制 的一组计算机指令或者程序代码 计算机病毒的特点 •影响面广、危害大。
•病毒产生速度快(已经出现病毒制造机)
•数量巨大(已经达到数万种) •传播速度快(通过Internet)
初级阶段:通信保密阶段 • 上世纪八十年代前,人们认为信息安全就是通信保密 ,采用的保障措施就是加密和基于计算机规则的访问 控制
中级阶段:计算机系统安全阶段(静态信息防护) • 本世纪前,对主机安全的关注及网络攻击的防护是信 息安全的核心内容
现阶段:信息安全保障阶段 • 人们关心的是信息及信息系统的保障,如何建立完整 的保障体系,以便保障信息及信息系统的正常运行
23
信息系统安全保障模型要素之二
安全防护 •在统一的安全策略的指导下,进行有针对性的防护: •使用网闸进行物理隔离 •使用防火墙对外部进行访问控制 •使用入侵检测分析网内的数据包 •使用安全审计监控记录用户的行为操作 •采用认证技术对用户进行身份鉴别(PKI) •部署防病毒软件来防范恶意代码的传播 •使用漏洞扫描技术对系统进行安全加固 •使用防水墙防止内部信息的泄漏 •采用防篡改软件保障网页安全 •采用容错软件来保障系统的高可用性
7/13/2013
14
几个基本概念
信息安全指保护信息和信息系统不被未经授权的访问、使 用、泄露、中断、修改和破坏,为信息和信息系统提供保 密性、完整性、可用性、可控性和不可否认性。
信息安全保障是保证信息与信息系统的保密性、完整性、 可用性、可控性和不可否认性的信息安全保护和防御过程 。它要求加强对信息和信息系统的保护,加强对信息安全 事件和各种脆弱性的检测,提高应急反应能力和系统恢复 能力。 信息安全保障体系是实施信息安全保障的法制、组织管理 和技术等层面有机结合的整体,是信息社会国家安全的基 本组成部分,是保证国家信息化顺利进行的基础。
7/13/2013
29
安全审计
系统的安全审计:主要是利用各种操作系统和应用软件 系统的审计功能实现。包括 •用户访问时间 •操作记录 •系统运行信息 •资源占用 •系统事件
7/13/2013
30
安全审计
内容的安全审计 通过定义的审计规则,如关键字、语句等,对信息的内 容进行审核 根据审计规则,监视、记录或阻断通信的内容 如邮件审查,对所有邮件及附件内容进行控制。
•技术手段越来越先进
7/13/2013 36
漏洞扫描
漏洞扫描,就是对重要网络信息系统进行检查,发现其 中可能被攻击者利用的漏洞。系统安全漏洞扫描是一种 事先检查型安全工具 扫描设定网络内的服务器、路由器、交换机、防火墙等 安全设备的漏洞,并可设定模拟攻击,以测试系统的防 御能力 从操作系统的角度监视专用主机的整个安全性。如 password文件,目录和文件权限,共享文件系统,敏感 服务,软件,系统漏洞等
7/13/2013
21
安全策略的重要性
ISO 9000 质量管理 ISO 27000 安全管理
7/13/2013
22
安全策略
各种细化的安全策略 1、身份鉴别策略 2、访问控制策略 3、数据加密策略 4、安全审计策略 5、安全管理策略 6、安全传输策略 7、备份恢复策略 等等。。。
7/13/2013
7/13/2013
7
现阶段——信息安全保障
重点需要保护信息,确保信息在产生、存储、处理、传输 过程中及信息系统不被破坏,确保合法用户的服务和限制非 授权用户的服务,以及必要的防御攻击的措施。 强调信息的保密性、完整性、可用性 主要安全威胁是人为破坏、网络入侵、病毒破坏、信息对 抗 主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵 检测、PKI、VPN等 特点:涉及与信息系统相关的各类要素。
7/13/2013
28
安全审计
网络的安全审计 •在网络的边界设臵信息审计系统,通过对进出网络 通信内容的还原、备份与审计,可在一定程度上防止 网内机密信息的流出和网外不良信息的流入,并为网 上泄密事件的追查提供有力的技术手段 •同时根据系统设定的规则,对违规行为进行智能分 析和判断并对其采取相应的动作 •例如:防火墙、入侵检测的审计功能。
7/13/2013 24
防火墙
防火墙技术的基本功能 •控制信息的出入 •保护内部网络免遭某些基于路由的攻击 •对网络存取和访问进行监控审计 •防止内部网络信息的泄漏 防火墙技术的其他功能 •强化网络安全策略 •隐藏内部网络结构细节 •保密通信功能
7/13/2013 25
身份鉴别
身份验证(Identification)是用户向系统出示自己身份 证明的过程。口令认证、数字证书认证是比较普遍采用 的身份验证方式 提供的内容:你有什么?你知道什么?你是什么? •一是只有该主体了解的秘密,如口令、密钥 •二是主体携带的物品,如智能卡和令牌卡 •三是只有该主体具有的独一无二的特征或能力,如 指纹、声音、视网膜或签字等 鉴别的方式:口令、数字证书、Keberos、动态密码
7/13/2013
5
中级阶段——计算机系统安全
70~80年代 •重点是确保计算机系统中硬件、软件及正在处理、存 储、传输信息的机密性、完整性和可控性 •主要安全威胁扩展到非法访问、恶意代码、弱口令等
•主要保护措施是安全操作系统涉及技术(TCB)
主要标志 1985年美国国防部公布的可信计算机系统评估准则( TCSEC)
7/13/2013
4
初级阶段——通信保密
40~70年代 •重点是通过密码技术解决通信保密,保证数据的保密性 与完整性 •主要安全威胁是搭线窃听、密码学分析 •主要保护措施是加密 重要标志: •1949年shannon发表的《保密通信的信息原理》 •1977年美国国家标准局公布的数据加密标准(DES) ,对称算法 •1976年由Diffie、Hellman提出公钥密码体制,非对称 算法
7/13/2013
31
PKI公共密钥体系
公共密钥基础设施(Public Key Infrastructure) •是应用公钥概念和公钥密码技术提供信息安全及信 任服务的基础设施 利用PKI/CA可以实现 •加密传输 •数字认证 •数字签名 •抗抵赖 基于非对称算法
7/13/2013
32
PKI公共密钥体系
功能 •认证(鉴别) •我不认识你! --你是谁? •我怎么相信你就是你? --要是别人冒充你怎么办 •授权 •我能干什么? --我有什么权利? •你能干这个,不能干那个。 •保密性 •我与你说话时,别人能不能偷听? •完整性 •收到的传真不太清楚? •传送过程中别人篡改过没有? •抗抵赖 •我收到货后,不想付款,想抵赖,怎么样? •我将钱寄给你后,你不给发货,想抵赖,如何?
7/13/2013
26
身份鉴别
两种高安全强度的鉴别机制 •智能卡:访问不但需要口令,也需要使用物理智能 卡。在允许其进入系统之前检查是否允许其访问系统
•智能卡大小形如信用卡,一般由微处理器、存储 器及输入、输出设施构成。微处理器可计算该卡 的一个唯一数(ID)和其它数据的加密形式 •为防止智能卡遗失或被窃,许多系统需要卡和身 份识别码(PIN)同时使用
7/13/2013 33
PKI公共密钥体系
数字证书:用户身份的表征 •数字证书:内容包括用户的公钥, 用户姓名及用户 的其他信息 •数字证书解决了公钥发放问题,公钥的拥有者是身 份的象征,对方可以据此验证身份 •CA中心对含有公钥的证书进行数字签名,使证书无 法伪造
7/13/2013
34
PKI公共密钥体系 验证数字证书的合法性
信息安全基础知识培训
2010年7月15日
目录 一、信息安全基础知识 二、证券行业面临的安全威胁 三、公司安全防护体系 四、公司信息安全标准
7/13/2013
2
一、信息安全基础知识
信息安全发展史
信息安全的内涵 信息系统安全保障体系的基本内容
等级保护有关背景情况介绍
7/13/2013