1、安全三要素
CIA
(1)保密性:confidentiality
(2)完整性:integrity
(3)可用性:availability
逆向安全三要素:
(1)泄密:disclosure
(2)篡改:alteration
(3)中断:disruption
2、风险管理
· 风险分析
· 脆弱性:系统缺陷、bug
· 威胁:蓄意利用脆弱性的个人和蠕虫病毒
· 风险:被攻击造成的损失概率
· 暴露:已被攻击
· 风险控制
· 降低:对策消除缺陷和威胁、降低风险
· 转移:转移到保险公司
· 接受:接受一定的风险
· 忽略:不明智的行为
3、访问控制和身份管理
· 身份:你是谁?username
· 认证:证明你自己?password
· 授权:你能做什么?
· 审计:你做个什么?
4、密码学
密码学对可用性无帮助
密码学不能提供授权和审计
实施者必须正确使用密码学技术(WEP错误的使用了一个带有公认缺陷的密码学算法)
· 对称加密
· 使用同一密钥(共享密钥或会话密钥)
· AES、DES、3DES、RC4
· 密钥分发
· 带内:DH(Diffie-hellman)算法、MS-CHAPv2、传输层安全(TLS)
· 带外:其他渠道告诉
· 哈希函数(hashing function)
· 雪崩效应
· 不可逆
· 不等长输入,等长输出
· message--hash-->
· 哈希消息认证码(HMAC)
· key+message--hash-->
· 完整性+数据源认证
· 非对称加密系统
· RSA
· 加密:公钥加密
· 签名:私钥加密
· 密钥的分发和证书
· CA
· PKI
· 针对加密系统的攻击
· 暴力攻击:尝试所有可能的密钥
· 字典攻击
· 密码分析
· 中间人攻击
· DoS攻击
