信息安全的六个基本属性:可用性A,机密性C,完整性I,非否认性N,真实性(可认证性)A,可控性C。即A2C2IN。
availability就是保证啥时候数据都是可用的,不是说打仗了数据被人破坏了你就不能用了,你得保证数据关键时候能用,要不要你信息安全干啥。
authentication就是你得确保你获得的信息是真实的,“权威”认可吧,要不间谍弄个虚假消息你都不知道消息真假,你还玩什么。
confidentiality就很简单了,保密嘛,核心。有些消息数据不能被一般人知道,得授权,授权懂不,咱就是保证不是啥人都能获得机密消息。
controllability,这个属性是后加的,保密形势不好啊,咱得完善机制,那授权,监管数据也得算信息安全的吧,上有基本保密数据通信,下有数据审计和追踪,一条龙才好嘛。
integrity,信息咱肯定要保证其完整性,抛开可用性availability不谈,万一数据被人篡改了咱得知道。
non-reputation,这个大家都明白,谁做坏事不能让别人背黑锅,不能抵赖。
攻击种类:
咱们一般都受到那些威胁呢:
信息泄露:机密性没了;篡改:完整性和真实性没了;重放、假冒和非授权:可控性和真实性没了;否认:非否认性呗。
;恶意代码:破坏的多了去了;这种破坏:完整性和可用性没了
其实只要有威胁,每种都不只破坏那么点属性,也就是说对信息造成的伤害更惨烈。主动攻击和被动攻击区别就在于改不改数据。
所以咱们得针对这些威胁展现男儿本色啊:
信息安全技术体系核心基础安全技术:密码技术,信息隐藏技术
安全基础设施技术:标识与认证技术,授权访问与控制技术
基础设施安全技术:主机系统安全技术,网络系统安全技术
应用安全技术:网络与系统攻击技术,网络与系统安全防护与应急响应技术,安全审计与责任认定技术,恶意代码检测与防范技术,内容安全技术
于是就到正主了,密码学。
密码学简史就不说了,哪天专门弄一个文章,挺有意思的。
密码学分密码编码学和密码分析学。通俗新手理解,前者研究加密,后者研究解密。
那咱一般研究啥呢?密码算法,密码协议,密钥管理,密码分析