保密技术及管理期末知识点汇总

保密技术及管理期末知识点汇总《保密技术管理》期末考试范围知识点总结第一章绪论1、保密技术概念是指保护秘密信息安全，防止秘密信息失窃和泄漏的所有相关保障性技术。从广义上讲，指所有防止秘密信息泄漏的技术。这里所说的秘密信息不仅仅指国家秘密，还可以指商业秘密、工作秘密，甚至个人隐私。2、保密技术与信息安全技术关系（1）保密技术与信息安全技术具有共同的核心内容，即确保信息保密性。（2）保密技术与信息安全技术在安全需求、保护对象和保护等级等方面不尽相同，发展至今成为既相互关联，又各自独立的两门技术学科。（3）总之，保密技术与信息安全技术既有共同的基础性技术，也有互相不能覆盖的技术领域，保密的目标有赖于二者共同的基础支撑和保障作用。3、保密技术发展历程第一阶段：通信保密发展时期（20世纪40年代-70年代）第二阶段：计算机及网络保密发展时期（20世纪80年代-90年代）第三阶段：信息保障与全方位保障技术阶段（20世纪90年代以后）4、保密技术分类（从信息安全的角度）物理安全保密技术：防窃听、防窃照、防复印、信息清除、涉密物品管控等平台安全保密技术：身份鉴别、信息认证、访问控制等数据安全保密技术：加密、容灾恢复、信息隐藏、数据备份等通信安全保密技术：猝发通信、通信干扰等网络安全保密技术：防火墙、入侵检测系统、网络隔离等5、保密技术体系框架（文字描述，不用画图）（1）保密技术可以根据技术对保密的支撑作用和功能特点划分成保密防护技术和保密检查技术两大类，直接体现了保密技术的对抗性特点。同时构成体系框架图中的最底层。（2）保密技术可以根据应用对象进一步细分，划分为网络保密技术、通信保密技术、物理安全保密技术、TEMPEST、保密检测技术。在体系框架图中的构成保密防护技术和保密检查技术的上一层。（3）网络保密技术和通信保密技术都以密码技术、信息隐藏技术作为基础技术，同时网络保密技术还包括身份认证、访问控制、监控审计、边界防护和主机安全等技术。通信保密技术可以划分为有线通信保密技术和无线通信保密技术。（4）物理安全技术包括防复印技术、防窃照技术、防窃听技术、涉密载体信息消除技术、涉密物品管控技术等。（5）TEMPEST技术可以划分为TEMPEST防护技术和TEMPEST检测技术两大类。（6）保密检测技术包括对计算机及其网络、办公自动化设备以及涉密场所的保密检查技术、网络攻击技术、泄密取证技术等。（7）涉密信息系统分级保护在框图左侧，由于涉密信息系统分级保护是指对涉及处理国家秘密的网络分等级进行保护，因而直接与网络保密技术相连。（8）国家保密标准在框图右侧，由于国家保密标准包括技术、管理等多个方面，并贯穿在保密技术的各个部分，因而横向箭头表示右侧“国家保密标准”与整个体系架构的贯穿关系。6、保密技术的基本特性技术对抗性、技术多样性、技术秘密性第二章国家保密标准1、国家保密标准概念是指一套特殊的国家强制性标准，是由国家保密行政管理部门制定、发布和管理的，在国家秘密产生、储存、处理、传递和载体销毁的全过程都要严格执行的标准。2、我国国家保密标准体系我国国家保密标准体系可以分为技术标准、管理标准、检查和测评标准技术标准：涉密信息系统技术标准、安全保密产品技术标准、电磁泄漏发射防护技术标准、综合保密标准；管理标准：涉密信息系统管理标准、设备设施管理标准、安全保密服务标准、综合管理标准；测评和检查标准：保密检查标准、涉密信息系统测评标准、安全保密产品测评标准、电磁泄漏发射防护测评标准、综合测评标准。第三章涉密信息系统分级保护1、涉密信息系统分级（分几级）秘密、机密、绝密2、涉密信息系统分级保护实施过程有哪些？系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评和检查、系统废止3、涉密信息系统分级保护要求（1）基本要求：物理隔离、安全保密产品选择、安全域间边界防护、密级标志（2）物理安全：环境安全、设备安全、介质安全（3）运行安全：备份与恢复、计算机病毒与恶意代码防护、应急响应、运行管理（4）信息安全保密：身份鉴别、访问控制、密码保护措施、电磁泄漏发射防护、信息完整性校验（5）系统安全性能检测：抗抵赖、安全审计、边界安全防护、操作系统安全4、涉密信息系统测评（过程）资料审查、现场考察、制定测评方案、现场检测、检测结果分析、专家评估、给出检测结论和分数5、风险的基本要素威胁、脆弱性、资产、价值、风险、残余风险、安全需求、安全保障措施、使命第四章密码技术1、常用对称密码（DES、AES）安全性比较（1）DES的加密长度是64位，对于数据传输来说太小；而AES的加密长度是32位的倍数，最小的是128位，最大的可以达到256位；（2）DES的密钥长度是64位，但有效密钥长度为56位；而AES的密钥长度是32位的倍数，最小的是128位，最大的可以达到256位；（3）DES在迭代中使用的密钥是通过递推得到的，这种密钥的相关性降低了密码体制的安全性，在现代的技术下，很容易通过穷举破解；而AES可以很好的对抗穷举攻击；（4）DES不能对抗差分分析和线性密码分析；而AES可以解决这个问题。2、常用的公钥密码（RSA公钥密码、ELGamal公钥密码、ECC公钥密码）算法安全性比较（1）RSA公钥密码的优点是：其原理简单，易于使用，尤其是密钥公开的特性使得用户在数据传输之前不用交换密钥，即使与多个用户秘密通信，也不用记忆太多密钥。其缺点是：算法的实现有赖于计算机的速度和容量，效率低，速度慢，在最好的情况下也要比DES慢上好几倍，这使得其只能加密少量数据，常用于加密密钥和数字签名。（2）ELGamal公钥密码的缺点是：第一，其安全性依赖于p和g，如果选取不当，则会签名容易被伪造。第二，其在计算中将密文成倍拓展，这增加了计算处理的存储开销，即使计算速度比RSA快，但是目前接受度很差。（3）ECC公钥密码的优点是：在数字签名的产生和认证过程中的速度比DES和RSA都要快，并且ECDES创造了很多商业价值。与RSA相比，其优势在于：安全性能高、计算量小、存储空间小、处理速度快、带宽要求低。3、对称密码与公钥密码相比，有何优缺点？（1）对称密码：优点：可以保证信息的完整性，加解密速度快，适合加解密大量信息；缺点：密钥交换困难，密钥量大，难于管理，没有解决抗抵赖和数字签名认证问题。（2）公钥密码：优点：解决了密钥的分配和管理问题，解决了数字签名问题；缺点：算法多是基于数学难题，计算量大，加解密效率低，存在公钥假冒问题。4、杂凑函数在数字签名中的作用实现数字签名的单项不可逆性。杂凑函数，又称散列函数或哈希函数，用于对发送信息进行变换，生成消息摘要，比较消息摘要确保信息未经修改，确保信息完整性。5、几种古典密码的算法（1）凯撒密码(移位密码)：加密函数:C=E(M)=(M+K)mod26；例：k=1,computer（2）仿射密码（扩展移位密码）：加密函数：C=(K*M+B)mod26（3）维吉尼亚密码：加密函数:C=（C1，C2，…,Cn）=(M1+K1,M2+K2,…,Mn+Kn)；例：密钥best，datasecurity（4）希尔密码（矩阵密码）：例：july（11,8,3,7）（5）置换密码：例：明文：COMPUTERDATASECURITY第五章信息隐藏技术1、信息隐藏概念,与传统密码技术有什么不同？（1）信息隐藏是集多学科的技术和理论于一身的新兴技术领域，利用人的感觉器官对于数字信号的感觉冗余，将一个信息隐藏到另一个信息中，由于信息隐藏后外部表现的只是遮掩信息的外部特征，因此不改变遮掩信息的基本特征和使用价值。（2）“隐写”与“加密”的区别：加密是将信息变成不可读的密文状态，掩蔽了信息本身，但是往往不可识别的密文更容易引起攻击者的注意；隐写是将多媒体信息作为载体，嵌入要传递的信息，这样攻击者就不能辨别出哪个媒体含有真正的信息，难以截获信息。（3）“水印”与“加密”的区别：信息在从发送者到接受者的传输信道中，可以得到传统加密技术的保护，但是信息一旦被解密就会完全变成明文。因此，如果想在数字产品整个生命周期内发挥保护作用，就有必要将版权信息与数字作品的内容相结合起来，这正是数字水印的特征。2、数字水印所面临的主要攻击有哪些（1）信号去除攻击：特定攻击、共谋攻击、覆写攻击、基本攻击，数字水印不能提取或提取错误。（2）同步攻击：几何攻击、马赛克攻击，水印信号还存在，但是已经错位。（3）解释攻击：协议攻击、ORACLE攻击、拷贝攻击。（4）合法性攻击：利用法律上一些条款的漏洞达到攻击的目的。3、信息隐藏技术主要应用领域（1）隐蔽通信：替音电话，要求高安全性、高透明性；（2）设备控制与拷贝控制：DVD数据拷贝控制；（3）广播监视：广播信息是否按照合同播出；（4）“指纹”识别与版权追踪：数字指纹；（5）内容真实性保护：防止数字作品被篡改；（6）版权保护：版权信息水印，要求高鲁棒性；（7）防伪印刷：数字水印（防止货币、支票、驾照伪造），要求高鲁棒性、高安全性。4、信息隐藏技术的基本原理和原理图若A想给B发送秘密信息m，A需要从载体信息源中随意选取一个无关紧要的消息，当这个消息公开传递时，不会引起人们的怀疑，这样的消息成为载体对象C。把秘密信息m隐藏到载体对象C中，就形成了伪造对象C1.载体对象c是正常的，并且伪造对象c1与载体对象c无论是从感官上，还是计算机分析上，都是不可以区别的，并且伪装对象c1的正常处理不会破坏隐藏的秘密信息m，这样就实现了信息隐藏。在信息隐藏中涉及信息嵌入算法和信息提取算法两种算法。而伪造密钥k在嵌入过程中可能用到也可能用不到。5、数字水印技术的基本原理和原理图根据不同的需求，将需要隐藏的信息统称为消息，将消息经过特殊的水印序列生成过程，成为待嵌入的水印。同时将载体内容通过信号分析过程，寻常适合嵌入水印的分量，再通过适当的水印嵌入算法，将水印嵌入分量中。还可以将感官特性与之结合起来，以取得更好的隐蔽性能。之后执行信号综合过程，得到携带水印信息的多媒体数据。第六章身份认证1、口令的鉴别技术哪两类？二者之间区别？（1）基于静态口令的身份鉴别、基于动态口令的身份鉴别。（2）密码是静态的数据，例如生日、电话号码等；口令是动态的数据，即加入不确定因素，如时间、用户名称等，登陆密码=E(用户名+密码+时间戳)，避免了口令泄密带来的安全隐患。产生动态口令的方式有：共享一次性口令表、口令序列、挑战/应答方式登陆、时间-事件同步机制。主要的认证方式有：动态口令牌、短信密码、USBKey。2、PKI系统的组成（1）CA认证中心（含RA注册机构）:负责管理PKI结构下的用户证书，包括证书的发放、更新、废止、认证等工作，还包括管理策略、运作制度等。（2）证书库：发布、存储数字证书，查询、获取其他用户数字证书，下载黑名单等。（3）Web安全通信平台：提供数据机密性、完整性和身份认证等服务。（4）最终实体：PKI产品或服务的最终使用者，可以是个人、组织或设备等。3、身份认证方式（1）基于口令的身份认证方式：静态、动态；（2）基于令牌的身份认证方式：身份证、学生证，普通磁卡、IC卡、智能卡等；（3）基于生理特征的身份认证方式：静态特征（容貌、肤色、身材、指纹、唇印、脚印、虹膜、掌纹、视网膜、DNA等）、动态特征（口音、脚步声、笔迹、打字韵律、外界刺激下的反应等）第七章访问控制1、自主访问控制特点是什么？（1）自主访问控制策略：在访问控制矩阵中，用矩阵的行表示一个主体所拥有的所有权限，用矩阵的列表示一个客体所拥有的所有权限。矩阵中的元素表示元素所在行的主体对元素所在列的客体的访问权限。（2）自主访问控制是一种较为宽松的控制，一个主体的访问权限具有传递性。这种传递性造成了安全隐患，这是因为一个主体通过继承其他主体的权限而获得了本身不应该拥有访问权限，就可能破坏系统的安全性，这是自主访问控制的一个缺点。（3）自主访问控制的最大的特性就是自主性，即资源的拥有者对资源的访问策略具有决策权，因此是一种控制比较弱的访问控制策略，这种方式给用户带来灵活性的同时，也带来了安全隐患。2、强制访问控制