信息安全-身份认证技术与应用
信息安全技术及应用
————————身份认证技术与应用
当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作
的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。
1.身份认证技术简介
相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。
身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。
如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。
所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
2. 常用身份认证技术
信息系统中,对用户的身份认证手段也大体可以分为这三种,仅通过一个条件的符合来证明一个人的身份称之为单因子认证,由于仅使用一种条件判断用户的身份容易被仿冒,可以通过组合两种不同条件来证明一个人的身份,称之为双因子认证。
身份认证技术从是否使用硬件可以分为软件认证和硬件认证,从认证需要验证的条件来看,可以分为单因子认证和双因子认证。从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。现在计算机及网络系统中常用的身份认证方式主要有以下几种:
1、用户名/密码方式
用户名/密码是最简单也是最常用的身份认证方法,它是基于“你知道什么”的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。然而实际上,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。即使能保证用户密码不被泄漏,由于密码是静态的数据,并且在验证过程中需要在计算机内
存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种极不安全的身份认证方式。可以说基本上没有任何安全性可言。
2、IC卡认证
IC卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据, IC卡由专门的厂商通过专门的设备生产,可以认为是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。IC卡认证是基于“你有什么”的手段,通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据还是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。因此,静态验证的方式还是存在根本的安全隐患。
3、动态口令
动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份的确认。由于每次使用的密码必须由动态令牌来产生,只有合法用
户才持有该硬件,所以只要密码验证通过就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
动态口令技术采用一次一密的方法,有效地保证了用户身份的安全性。但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步,就可能发生合法用户无法登陆的问题。并且用户每次登录时还需要通过键盘输入一长串无规律的密码,一旦看错或输错就要重新来过,用户的使用非常不方便。
4、生物特征认证
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。
生物特征认证基于生物特征识别技术,受到现在的生物特征识别技术成熟度的影响,采用生物特征认证还具有较大的局限性。首先,生物特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤病或污渍的影响,往往导致无法正常识别,造成合法用户无法登陆的情况。其次,由于研发投入较大和产量较小的原因,生物特征认证系统的成本非常高,目前只适合于一些安全性要求非常高的场合如银行、部队等使用,还无法做到大面积推广。
5、USB Key认证
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术,它采用软硬件相结合一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/相应的认证方式,二是基于PKI体系的认证方式。
(1)基于冲击/响应的双因子认证方式
当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为冲击)。客户端将收到的随机数通过USB接口提供给ePass,由ePass使用该随机数与存储在ePass中的密钥进行MD5-HMAC运算并得到一个结果作为认证证据传给服务器(此为响应)。与此同时,服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行MD5-HMAC运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
密钥运算分别在ePass硬件和服务器中运行,不出现在客户端内存中,也不在网络上传输,由于MD5-HMAC算法是一个不可逆的算法,就是说知道密钥和运算用随机数就可以得到运算结果,而知道随机数
和运算结果却无法计算出密钥,从而保护了密钥的安全,也就保护了用户身份的安全。
(2)基于PKI体系的认证方式
随着PKI技术日趋成熟,许多应用中开始使用数字证书进行身份认证与数字加密。数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性(详见本站文章:PKI体系介绍)。
USB Key作为数字证书的存储介质,可以保证数字证书不被复制,并可以实现所有数字证书的功能。
3 。802.1X认证协议及应用
16.3.1 概述
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局
域网来说“端口”就是一条信道)。
3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
16.3.2 802.1X认证体系结构
802.1X认证体系分为三部分结构:
1、Supplicant System,客户端(PC/网络设备)
2、Authenticator System,认证系统
3、Authentication Server System,认证服务器
16.3.3 认证过程
1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL 的802.1X认证报文;
2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来自用户的信息,比如VLAN、优先级、用户的访问控制列表等等;
3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
4、Supplicant System-Client(客户端)是—台接入LAN,及享受switch 提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端
必须运行802.1X客户端软件,如:802.1X-complain、Windows XP 等。
16.3.4 配置实例
在具有802.1X协议的CISCO交换机上,配置如下:
1、先配置switch到radius server的通讯
全局启用802.1x身份验证功能
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥
switch(config)#radius-server host ip_add key string
2、在port上起用802.1x
Switch# configure terminal
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end
4 .基于USB KEY的身份认证解决方案
下面以北京飞天公司的ePass1000为例,说明使用USB Key进行身份认证的过程。ePass1000内置单向散列算法(MD5),预先在
ePass1000和服务器中存储着一个证明用户身份的密钥(共享秘密),当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为冲击)。客户端将收到的随机数提供给插在客户端USB接口上的ePass1000,由ePass1000使用该随机数与存储在ePass1000中的密钥进行带密钥的单向散列运算(HMAC-MD5)并得到一个结果作为认证证据传给服务器(此为响应)。与此同时,服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
冲击响应模式可以保证用户身份不被仿冒,却无法保护用户数据在网络传输过程中的安全。而基于PKI(Public Key Infrastructure 公钥基础设施)构架的数字证书认证方式可以有效保证用户的身份安全和数据安全。数字证书是由可信任的第三方认证机构颁发的一组包含用户身份信息(密钥)的数据结构,PKI体系通过采用密码学算法构建了一套完善的流程和保证了只有数字证书的持有人的身份和数
据安全。然而,数字证书本身也是一种数字身份,还是存在被复制的危险,于是,USB Key作为数字证书存储介质称为实现PKI体系安全的保障。使用USB Key可以保证用户数字证书无法被复制,所有密钥运算由USB Key实现,用户密钥不在计算机内存出现也不在网络中传播。只有USB Key的持有人才能够对数字证书进行操作。
由于USB Key具有安全可靠,便于携带、使用方便、成本低廉的优点,加上PKI体系完善的数据保护机制,使用USB Key存储数字证书的认证方式已经成为目前以及未来最具有前景的主要认证模式。
未来,身份认证技术将朝着更加安全、易用,多种技术手段相结合的方向发展。USB Key会成为身份认证硬件的主要发展方向,USB Key 的运算能力及易用性也将不断提高。北京飞天诚信科技有限公司本月就推出了国内第一个内置32位智能卡芯片的无驱型USB Key——ePass3000就代表了这个方向。生成RSA密钥对运算的平均时间是USB Key性能的一项重要指标,目前市场上的8位USB Key生成RSA密钥对平均时间普遍在10-15秒左右,而ePass3000生成RSA 密钥对平均时间仅为4秒左右。ePass3000的出现,标志着USB Key 的运算能力提高到了一个新的量级。
每个USB Key硬件都具有用户PIN码保护,以实现双因子认证功能,未来,随着指纹识别技术的成熟和成本降低,USB Key 将会使用指纹识别来保证硬件本身的安全性。
大家熟悉的如防火墙、入侵检测、VPN、安全网关、安全目录等,与身份认证系统有什么区别和联系呢?我们从这些安全产品实现的
功能来分析就明白了:防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议;入侵检测系统能够发现未经授权用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网
段,安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理,他们解决了那个数字身份对应能干什么的问题。而身份认证解决了用户的物理身份和数字身份相对应的问题,给他们提供了权限管理的依据如果把信息安全体系看作一个木桶,那么这些安全产品就是组成木桶的一块块木板,则整个系统的安全性取决于最短的一块木板。这些模块在不同的层次上阻止了未经授权的用户访问系统,这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶底,由它来保证物理身份和数字身份的统一,如果桶底是漏的,那桶壁上的木板再长也没有用。因此,身份认证是整个信息安全体系最基础的环节,身份安全是信息安全的基础。
5 . 基于生物特征的身份认证技术及应用
声纹识别技术以其特有准确性、方便性进行身份认证,在公安、军队、金融、证券等部门有着重要作用。它和通信技术相结合,实现远程身份认证,为案件侦破、证券交易、网络安全等提供准确、快捷、经济的手段。
声纹、指纹、掌纹等身体特征具有唯一性、稳定性特点,即每个人的这些特征都与别人不同、且终生不变。由于身体特征不可复制,基于这些特征应运而生多种生物识别身份手段,如声纹识别、指纹识别、掌纹识别等,并广泛用于诸多领域。其中,声纹识别以其特有准确性、方便性、经济性倍受瞩目,成为重要且普及的身份验证方式,
它主要根据声音波形中反映讲话人生理及行为特征参数进行身份识别。特别是它与通信技术相结合,能有效实现身份认证,在诸多领域有着极其广泛的用途。
16.5.1 声纹识别技术
声纹是借助声谱仪绘出的声音图像。研究表明:年龄、语言习惯、发音器官等的差异会导致声纹各不相同,且声纹从十几岁到五十几岁基本不变。据此,构成声纹识别基础,即通过分析声纹唯一性作为识别身份的手段。而声纹识别是基于生理学和行为特征的说话者嗓音、语言模式的运用。根据应用环境不同,分为说话人辨识和说话人确认。前者指识别说话人是否已注册,是哪个注册人,其辨识结果要好于说话人确认;后者指识别说话人的身份与其声明的是否一致,刑侦工作中更具实际价值。声纹识别系统包括声纹特征提取和声纹模式匹配。前者提取唯一表现说话人身份的有效且稳定可靠的特征;后者对训练和识别时的特征模式做相似性匹配。
5.1.1声纹提取
声纹提取即提取声音信号中表征人身份的基本特征,该特征能有效区分不同的说话人,且对同一人的变化保持相对稳定。考虑到训练样本数量、声纹特征可量化性、声纹识别系统性能评价等因素,目前主要对较低层次的声纹特征进行识别。说话人声纹特征大体归为以下几类:
(1)基音轮廓、共振峰频率带宽及其轨迹。基于发声器官生理结构提取的特征参数。
(2)谱包络参数。声音通过滤波器组输出,并以合适的速率对输出抽样作为声纹识别特征。
(3)听觉特性参数。模拟人耳对声音频率感知特性而提出的,如美倒谱系数、感知线性预测等。
(4)线性预测系数。线性预测与声道参数模型相符合,由它导出的各种参数,如反射系数、自相关系数、线性预测系数等作为识别特征,效果较好。
此外,还可通过对不同特征参量的组合来提高识别系统性能。特别是组合参量间相关性不大时,由于它们分别反映声音信号不同特征,因而效果更好。
5.1.2 声纹匹配
声纹研究的重点是对各种声学参数线性、非线性处理及新的模式匹配方法。主要包括:
(1)矢量量化。通过把每个人的特定文本编成码本,识别时将测试文本按此码本进行编码,以量化产生的失真度作为判决标准。其识别精度较高,判断速度较快。
(2)概率统计。考虑到短时间内声音信息相对平稳,通过对稳态特征如基音、声门增益、低阶反射系数的统计分析,利用均值、方差等统计量和概率密度函数进行判决。其优点是不用对特征参量在时域上进行规整,适合文本无关的说话人识别。
(3)动态时间规整。声纹信息既有发声习惯、发音器官结构等稳定因素,又有语速、语调、重音、韵律等时变因素。将识别模板与参
考模板进行时间对比,并按照某种距离测定得出两模板间的相似程度。常用方法是基于最近邻原则的动态时间规整DTW。
(4)人工神经网络。这种分布式并行处理结构的网络模型在某种程度上模拟生物感知特性,具有自组织和自学习能力、很强的复杂分类边界区分能力、及对不完全信息的鲁棒性,其性能近似理想的分类器。缺点是训练时间长、动态时间规整能力弱,且网络规模可能随说话人数目增加到难以训练的程度。
(5)隐马尔可夫模型。这种基于转移概率和传输概率的随机模型,最早被美国的IBM公司用于声音识别。它把声音看成由可观察到的符号序列组成的随机过程,该序列是发声系统状态序列的输出。识别时,为每个说话人建立发声模型,通过训练得到状态转移概率矩阵和符号输出概率矩阵。具体应用时,计算未知声音在状态转移过程中最大概率,根据最大概率对应的模型进行判决。它不需时间规整,可节约判决的计算时间和存储量。这是目前广泛采用的一种技术,其缺点是训练时的计算量较大。
实际应用中,常将上述方法有机组合,显著提高声纹识别准确率。如NTT实验室的S. Furui 和T. Matsui使用倒谱、差分倒谱、基音和差分基音,采用VQ与HMM混和的方法使说话人确认率达到99.3%。而美国空军为加强基地安全性,所采用的极其先进的声纹识别系统,准确率更高达99.5%。
5.2 身份认证
5.2.1 认证方式
身份认证系统主要由用户、通信网络、用户数据库、认证管理服务器等构成。系统基于声纹识别和音频通信两方面,通过语音通信系统与用户交流,在人机语音交流过程中实现身份认证,认证系统采用的信息主要有用户声纹特征和合法用户资料。
系统识别用户身份时,通常需用户提供一段语音。根据所选择发音材料内容的差异,分为与文本有关、与文本无关两种。前者要求用户按规定内容发音,并根据特定发音内容建立精确模型,识别效果较好,但需要用户配合。如发音内容与规定的不符,则无法正确识别其身份;后者不规定用户发音内容,因而建立精确模型较为困难,身份识别效果存在一定的局限性,但在案件侦破等方面的应用更为普遍。
声纹识别技术作为身份认证重要手段,无论是否与文本有关,系统都面临无法区分所识别声音是现场实时发音还是录音回放的问题。对此,可采用随机等方式生成提示文本,使对方无法事先录音,从而显著提高用户身份识别准确性。可靠的用户身份识别系统应具备以下几点:不易被他人模仿并能较好地解决被模仿问题;在声学环境变化时能够保持良好稳定性,即抗噪声性能好;能有效区分对方,对同一对象要能保持相对稳定,允许感冒等情况时其语音发生的变化。5.2.2 认证应用
近年来,声纹识别技术的迅猛发展使得其应用领域日趋广泛,由于声纹这一人体生物特征的特殊性,通过声纹进行身份认证迅速走向实用化。特别是该技术与通信技术想结合,实现远程认证,已展现极其巨大的市场潜力。在基于通信技术的身份识别中,如案件侦破、证
券交易、网络安全等,与其他生物识别技术相比,远程声纹识别具有准确、快捷、经济可靠、可扩展性好等独特优势,且用户无须添加硬件设备,显著降低推广成本。同时,该方案一般不涉及对方隐私问题,接受程度高、无心理障碍。
(1)案件侦破。近年来,电话勒索、绑架、人身攻击等案件日益增多,采用传统技术手段侦破此类案件存在相当难度。利用声纹识别技术进行远程身份认证可发挥特有的作用,警方可据此推断出犯罪嫌疑人年龄、职业、出生地,为案件侦破提供极有价值的线索。世界上最早将该技术应用于案件侦破是1963年4月发生在东京的“幼儿拐卖案”。该案唯一线索就是犯罪嫌疑人电话威胁的声音。声纹专家通过对其声纹的分析,确定犯罪嫌疑人后,将电话录音和嫌疑人的声纹进行比较,参加声纹鉴定的专家一致对该犯进行同一认定,据此侦破了这桩轰动一时的案件。此后,声纹认证技术在司法部门研究、应用逐步扩展到世界各地。其特有的准确性、方便性成为确认犯罪分子有效手段。需要指出,国内司法界长期对这项技术持怀疑、甚至否定态度。直到80年代才开始在公安院校的教学中演示,90年代才承认该技术。国内司法部门引入该技术主要有两方面目的:为办案提供辅助性证据;建立审判支持系统,提高办案人员的信心。实际使用中,民事案件约62%,刑事案件约38%,总有效率86%。目前,国内进行声纹鉴定的主要有公安部物证鉴定中心、最高人民检察院检察技术研究所、北京市法庭科学技术鉴定研究所。
(2)证券交易。随着电话银行、远程炒股等的不断增加,这些业
务对用户身份认证主要是静态口令方式。它方便、简洁,但存在诸多缺点,如易被偷窥泄密、用户为方便记忆而设置的口令易破译等,安全性、可靠性较差。虽然可通过频繁更改密码等措施来提高认证可靠性,但很不方便。如采用远程身份认证技术并结合传统的静态口令,能有效实现合法用户的身份认证,且该技术的采用不会增加用户任何负担。同时,远程声纹认证是一种非常方便、自然的识别方式,其简洁的登录过程使用户与系统的交流非常自然流畅、易学易用。
(3)网络安全。静态口令作为计算机用户主要安全措施,其缺陷显而易见。除上述缺点外,还存在传输过程中可能被截取、非法用户根据其只能单向认证特点伪装成系统骗取口令等缺点。采用声纹识别技术,每次登录时都由随机产生的提示文本来控制,有效防止复制、剽窃。显然,融通信技术、声纹识别技术于一体的远程身份认证技术与其他生物识别技术相比有着较为显著的优势,可以为迅猛发展的电子商务、网络银行、网上贸易等敏感行业保驾护航,且操作方便、简洁,极易为计算机用户接受。这样,用户登录访问远程数据库时,不再受时间、空间限制。由于该认证过程对用户而言基本透明,一定程度上抑制了恶意攻击、伪装登录等。
[技术管理,计算机网络,信息]计算机网络信息安全技术管理与应用
计算机网络信息安全技术管理与应用 摘要:在互联网高度发达的今天,网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生,给信息时代的人们敲响了警钟。互联网技术的广泛应用,给人们的工作、学习和生活带来了极大的便利,提高了工作效率,降低了活动成本,使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨,分析了当前计算机网络信息安全发展现状及存在的主要问题,介绍了主要的网络信息安全防范技术,希望能够帮助人们更好地了解网络信息安全知识,规范使用计算机,提高网络信息安全水平。 关键词:网络;信息安全;黑客;计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现,深深改变了人类社会生产、生活方式,对人们的思想和精神领域也产生了重大影响。随着互联网的出现,人类社会已经步入信息时代,网络上的海量信息极大地改善了人们工作条件,原本困难的任务变得简单,人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时,也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显,已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用,避免网络信息安全事故发生,保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点,正是这三种特性,赋予了互联网旺盛的生命力和发展动力。但同时,这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点,大肆进行信息破坏,由于互联网安全管理体制机制尚不完善,用户的计算机使用行为还很不规范,缺乏安全防范意识等,这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客,是指利用计算机知识、技术通过某种技术手段入侵目标计算机,进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员,其对计算机的内部结构、安全防护措施等都较为了解,进而能够通过针对性的措施突破计算机安全防护,在不经允许的情况下登录计算机。目前就世界范围而言,黑客数量众多,规模庞大,有个人行为,也有组织行为,通过互联网,能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛,黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件,它能够自我复制,进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的,由于计算机病毒种类繁多,且具有极强的
2014年信息技术与信息安全考试新题汇总
2014年信息技术与信息安全公需科目考试7月新考题分类版 一、单选题 1.(2分)一颗静止的卫星的可视距离达到全球表面积的(A)左右。 A.40% B.50% C.30% D.20% 2.(2分)数字签名包括(B)。 A.以上答案都不对 B.签署和验证两个过程 C.验证过程 D.签署过程 3.(2分)关于信息安全应急响应,以下说法是错误的(B)? A.信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所做的准备以及在事件发生后所采取的措施,其目的是避免、降低危害和损失,以及从危害中恢复。 B.信息安全应急响应工作流程主要包括预防预警、事件报告与先期处置、应急处置、应急结束。 C.我国信息安全事件预警等级分为四级:Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重和Ⅳ级(一般),依次用红色、橙色、黄色和蓝色表示。 D.当信息安全事件得到妥善处置后,可按照程序结束应急响应。应急响应结束由处于响应状态的各级信息安全应急指挥机构提出建议,并报同级政府批准后生效。 4、(2分)为了减少输入的工作量,方便用户使用,很多论坛、邮箱和社交网络 都提供了“自动登录”和“记住密码”功能,使用这些功能时用户要根据实际 情况区分对待,可以在(B)使用这些功能。 A.实验室计算机 B.用户本人计算机 C.网吧计算机 D.他人计算机 5.(2分)具有大数据量存储管理能力,并与ORACLE数据库高度兼容的国产数据库系统是(A)。 A.达梦数据库系统 B.金仓数据库系统 C.神通数据库系统 D.甲骨文数据库系统 6.(2分)防范网络监听最有效的方法是(C)。 A.进行漏洞扫描 B.采用无线网络传输 C.对传输的数据信息进行加密 D.安装防火墙 7.(2分)无线网络安全实施技术规范的服务集标识符(SSID)最多可以有(D)个字符? A.16 B.128 C.64 D.32 8.(2分)蠕虫病毒爆发期是在(D)。 A.2001年 B.2003年 C.2002年 D.2000年 9.(2分)如果某个网站允许用户能上传任意类型的文件,黑客最可能进行的攻击是(C)。 A.拒绝服务攻击 B.口令破解 C.文件上传漏洞攻击 D.SQL注入攻击 10.(2分)通过U盘在涉密计算机与互联网计算机之间交叉使用窃取涉密信息、资料的是什么程序?(D)
信息安全-身份认证技术与应用
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
《信息安全技术与应用》试题2AD-A4
考试方式:闭卷Array ××××大学信息安全技术与应用试卷(A) I. 选择题(从四个选项中选择一个正确答案,每小题2分,共40分) 1. 信息未经授权不能改变的安全特性称为。 a.保密性 b. 有效性 c. 可控性 d. 完整性 2. 网络安全涉及的保护范围比信息安全。 a. 大 b. 相同 c. 小 d. 无关 3. 软件产品通常在正式发布之前,一般都要相继发布α版本、β版本和γ版本供反复测试使用,主要目的是为了尽可能。 a. 提高软件知名度 b. 改善软件易用性 c. 完善软件功能 d. 减少软件漏洞 4. 因特网安全系统公司ISS提出的著名PPDR网络安全模型指。 a. 策略、评估、设计和履行 b. 法律、法规、管理和技术 c. 策略、保护、检测和响应 d. 法律、法规、管理和教育 5.具有原则的网络安全策略是提高安全投资回报和充分发挥网络效能的关键。 a. 最小化 b. 均衡性 c. 易用性 d. 时效性 第 1 页共6 页
6. 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统违反了。 a. 中华人民共和国治安管理处罚条理 b. 中华人民共和国刑法 c. 中华人民共和国保守国家秘密法 d. 中华人民共和国电子签名法 7. 下列那个机构专门从事安全漏洞名称标准化工作。 a. ITU b. IEEE c. CERT d. CVE 8. 《国际通用信息安全评价标准ISO/IEC 15408》在安全保证要求中定义了7个评价保证等级,其中的安全级别最低。 a. EAL7 b. EAL6 c. EAL4 d. EAL5 9.收发双方使用相同密钥的加密体制称为。 a. 公钥加密 b. 非对称式加密 c. 对称式加密 d. 数字签名 10. 从主体出发表达主体访问客体权限的访问控制方法称为。 a. 访问控制列表 b. 访问能力表 c. 自主访问控制 d. 授权关系表 11. 通过抢占目标系统资源使服务系统过载或崩溃的攻击称为。 a. 缓冲区溢出攻击 b. 拒绝服务攻击 c. 漏洞扫描攻击 d. 获取用户权限攻击 12. 当入侵检测监视的对象为主机审计数据源时,称为。 a. 网络入侵检测 b. 数据入侵检测 c. 主机入侵检测 d. 误用入侵检测 第 2 页共6 页
网络身份认证技术的应用及其发展
网络身份认证技术的应用及其发展 随着全球化经济模式的出现以及科学技术的高速发展,网络技术应用越来越广泛。随着网民数量越来越多,网络越来越普及,出现网络安全问题也随之增多,怎样保证网民个人信息安全和保证网络数据的机密性、完整性等,是我们必须要重点解决的问题。而网络技术的不断发展进步,也让网络安全受到更多的关注,在安全系统中重点技术就是使用身份认证技术。本文主要分析了几种身份认证的技术和方式,目的在于让广大读者了解网络安全系统中的身份认证技术应用及其发展。 如今全球信息化的速度越来越快,全球的信息产业越来越重视信息安全,特别是现在信息网络化正是发达的时期,信息产业的发展离不开网络安全,如何在网络环境中建立起一个完善的安全系统,身份认证技术就成为了在网络安全中首先要解决的问题。 身份认证技术就是通过计算机网络来确定使用者的身份,重点是为了解决网络双方的身份信息是否真实的问题,使通讯双方在进行各种信息交流可以在一个安全的环境中。在信息安全里,身份认证技术在整个安全系统中是重点,也是信息安全系统首要“看门人”。因此,基本的安全服务就是身份认证,另外的安全服务也都需要建立在身份认证的基础上,使身份认证系统具有了十分重要的地位,但也最容易受到攻击。
一、身份认证的含义 身份认证技术简单意义上来讲就是对通讯双方进行真实身份鉴别,也是对网络信息资源安全进行保护的第一个防火墙,目的就是验证辨识网络信息使用用户的身份是否具有真实性和合法性,然后给予授权才能访问系统资源,不能通过识别用户就会阻止其访问。由此可知,身份认证在安全管理中是个重点,同时也是最基础的安全服务。 (一)身份认证技术的应用 信息安全中身份认证是最重要的一门技术,也是在网络安全里的第一道防线,可以很好的识别出访问的用户是否具有访问的权限,允许通过识别的用户进行访问操作,并进行一定的监督,防止出现不正当的操作情况,同时也是保护计算机不受病毒和黑客入侵的一个重要方法。使用者在进入网络安全系统的时候,先需要让身份认证系统识别出自己的身份,通过了身份认证系统识别以后,再依据使用者的权限、身份级别来决定可以访问哪些系统资源和可以进行哪些系统操作权限。与此同时,进入安全系统时,检测系统需要进行登记,包括记录、报警等,对用户的行为和请求进行记录,并识别出是否入侵了安全系统。 (二)基于网络的身份认证 身份认证系统在安全系统中非常重要,虽然它是最基础的安全服务,但是另外的安全服务都需要它才能完成,只要身份认证系统受到攻击入侵,就会导致系统里的安全措施都无法产生作用,而黑客入侵的首要目标一般都是先攻破身份认证系统。但是因为网络连接具有复
信息技术与信息安全公需科目考试第1套试题(满分通过)
信息技术与信息安全公需科目考试第1套试题(满分通过)
考生考试时间:09:58 - 10:25 得分:100分通过情况:通过信息技术与信息安全公需科目考试考试结果 1.(2分) 根据国际上对数据备份能力的定义,下面不属于容灾备份类型?() A. 系统级容灾备份 B. 存储介质容灾备份 C. 数据级容灾备份 D. 业务级容灾备份 你的答案: A B C D 得分: 2分 2.(2分) 网页恶意代码通常利用()来实现植入并进行攻击。 A. 拒绝服务攻击 B. 口令攻击 C. U盘工具 D. IE浏览器的漏洞 你的答案: A B C D 得分: 2分 3.(2分) 信息安全风险评估根据评估发起者的不同,可以分为()。 A. 第三方评估和检查评估 B. 自评估和检查评估 C. 以上答案都不对 D. 自评估和第三方评估 你的答案: A B C D 得分: 2分 4.(2分) 不属于被动攻击的是()。 A. 窃听攻击 B. 欺骗攻击 C. 拒绝服务攻击 D. 截获并修改正在传输的数据信息 你的答案: A B C D 得分: 2分 5.(2分) 系统攻击不能实现()。 A. 口令攻击 B. IP欺骗 C. 进入他人计算机系统 D. 盗走硬盘 你的答案: A B C D 得分: 2分 6.(2分) 以下几种电子政务模式中,属于电子政务基本模式的是()。 A. 政府与政府雇员之间的电子政务(G2E) B. 政府与企业之间的电子政务(G2B) C. 政府与公众之间的电子政务(G2C) D. 政府与政府之间的电子政务(G2G) 你的答案: A B C D 得分: 2分
7.(2分) 无线局域网的覆盖半径大约是()。 A. 5m~50m B. 8m~80m C. 10m~100m D. 15m~150m 你的答案: A B C D 得分: 2分 8.(2分) 恶意代码传播速度最快、最广的途径是()。 A. 安装系统软件时 B. 通过网络来传播文件时 C. 通过U盘复制来传播文件时 D. 通过光盘复制来传播文件时 你的答案: A B C D 得分: 2分 9.(2分) 覆盖地理范围最大的网络是()。 A. 城域网 B. 国际互联网 C. 无线网 D. 广域网 你的答案: A B C D 得分: 2分 10.(2分) 在网络安全体系构成要素中“恢复”指的是()。 A. 恢复网络 B. 恢复系统和恢复数据 C. 恢复数据 D. 恢复系统 你的答案: A B C D 得分: 2分 11.(2分) 目前,针对计算机信息系统及网络的恶意程序正逐年成倍增长,其中最为严重的是()。 A. 蠕虫病毒 B. 木马病毒 C. 僵尸网络 D. 系统漏洞 你的答案: A B C D 得分: 2分 12.(2分) 以下关于智能建筑的描述,错误的是()。 A. 智能建筑强调用户体验,具有内生发展动力。 B. 建筑智能化已成为发展趋势。 C. 随着建筑智能化的广泛开展,我国智能建筑市场已接近饱和。 D. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 你的答案: A B C D 得分: 2分 13.(2分) 下列关于ADSL拨号攻击的说法,正确的是()。
信息安全技术与应用试题2ADA4
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. (10)安全解决方案的经费预算。 IV. 根据表1所示的端口扫描分组信息回答下列问题(共10分)。 表1 协议分析软件捕获的部分端口扫描分组 Source Destination Protocol Info 219.226.87.79219.226.87.78TCP2921 > 233 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP233 > 2921 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2922 > 5405 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP5405>2922 [SYN, ACK] Seq=0 Ack=1 Win=17520 Len=0 MSS=1460 219.226.87.79219.226.87.78TCP2922 > 5405 [RST] Seq=1 Ack=1 Win=0 Len=0 219.226.87.79219.226.87.78TCP2923 > 2032 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP2032 > 2923 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2924 > 32786 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP32786 > 2924 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2925 > 35 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP35 > 2925 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 1. 指出端口扫描类型(4分) TCP SYN 扫描 2. 指出开放的端口号或服务(3分) 5405 3. 指出被扫描的主机IP地址(3分)
2014年信息技术与信息安全公需科目考试 7月新考题保过版
2014年信息技术与信息安全公需科目考试7月新考题 保过版 一、单选题 1.(2分) 一颗静止的卫星的可视距离达到全球表面积的( A )左右。 A. 40% B. 50% C. 30% D. 20% 2.(2分) 数字签名包括( B )。 A. 以上答案都不对 B. 签署和验证两个过程 C. 验证过程 D. 签署过程 3.(2分) 关于信息安全应急响应,以下说法是错误的( B )? A. 信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所做的准备以及在事件发生后所采取的措施,其目的是避免、降低危害和损失,以及从危害中恢复。 B. 信息安全应急响应工作流程主要包括预防预警、事件报告与先期处置、应急处置、应急结束。 C. 我国信息安全事件预警等级分为四级:Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)和Ⅳ级 (一般),依次用红色、橙色、黄色和蓝色表示。 D. 当信息安全事件得到妥善处置后,可按照程序结束应急响应。应急响应结束由处于响应状态的各级信息安全应急指挥机构提出建议,并报同级政府批准后生效。 4.(2分) 为了减少输入的工作量,方便用户使用,很多论坛、邮箱和社交网络都提供了“自动登录”和“记住密码”功能,使用这些功能时用户要根据实际情况区分对待,可以在( B )使用这些功能。 A. 实验室计算机 B. 用户本人计算机 C. 网吧计算机 D. 他人计算机 5.(2分) 具有大数据量存储管理能力,并与ORACLE数据库高度兼容的国产数据库系统是( A )。 A. 达梦数据库系统 B. 金仓数据库系统 C. 神通数据库系统 D. 甲骨文数据库系统 6.(2分) 防范网络监听最有效的方法是( C )。 A. 进行漏洞扫描 B. 采用无线网络传输 C. 对传输的数据信息进行加密 D. 安装防火墙 7.(2分) 无线网络安全实施技术规范的服务集标识符(SSID) 最多可以有( D )个字符?
信息安全技术及应用
信息安全技术及应用文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
信息安全技术及应用· 浅谈网络信息安全及其防范技术 刘 辉 (天津滨海职业学院信息工程系,天津300451) 摘要:介绍网络信息安全的内容及其特性,分析了影响网络安全的主要因素,针对目前常见的网络安全隐患提出了有效的防范技术. 关键词:网络信息安全;防范技术 中图分类号:TP309.2 文献标识码:A Simply Discussion of the Network Information Security and Precautionary Technology UU Hui (Department of Information E.sineering,Tianjin Coastal Polytechnic Imtitute,Tianjin Key words:Network information security;Precautionary technology 300451) 计算机网络是通过某种通信手段,把地理上分散的计算机连接起来实现资源共享的系统. 因此在计算机网络的设计过程中,人们总是过多地考虑如何能够方便地实现资源共享,但 在实际应用中,资源共享总是在一个局部或者某些特定用户之间进行的,超越了这个范围,就会造成信息泄密,信息破坏等危害网络安全的现象,这是所有设计者和使用者都不希望 出现的,因此必须通过采用各种技术和管理措施,使网络系统正常运行.从而确保网络数 据的可用性,完整性和保密性.确保经过网络传输和交换的数据不会发生增加,修改,丢失 和泄露等现象.
信息技术与信息安全考试题库及答案(全)
2014广西公需科目信息技术与信息安全考试试卷4 考试时间:150分钟总分:100分 1.(2分) GSM是第几代移动通信技术?(B ) A. 第三代 B. 第二代 C. 第一代 D. 第四代 2.(2分) 无线局域网的覆盖半径大约是(A )。 A. 10m~100m B. 5m~50m C. 8m~80m D. 15m~150m 3.(2分) 恶意代码传播速度最快、最广的途径是(C )。 A. 安装系统软件时 B. 通过U盘复制来传播文件时 C. 通过网络来传播文件时 D. 通过光盘复制来传播文件时 4.(2分) 以下关于智能建筑的描述,错误的是(A )。 A. 随着建筑智能化的广泛开展,我国智能建筑市场已接近饱和。 B. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 C. 建筑智能化已成为发展趋势。 D. 智能建筑强调用户体验,具有内生发展动力。 5.(2分) 广义的电子商务是指(B)。 A. 通过互联网在全球范围内进行的商务贸易活动 B. 通过电子手段进行的商业事务活动 C. 通过电子手段进行的支付活动 D. 通过互联网进行的商品订购活动 6.(2分) 证书授权中心(CA)的主要职责是(C)。
A. 颁发和管理数字证书 B. 进行用户身份认证 C. 颁发和管理数字证书以及进行用户身份认证 D. 以上答案都不对 7.(2分) 以下关于编程语言描述错误的是(B)。 A. 高级语言与计算机的硬件结构和指令系统无关,采用人们更易理解的方式编写程序,执行速度相对较慢。 B. 汇编语言适合编写一些对速度和代码长度要求不高的程序。 C. 汇编语言是面向机器的程序设计语言。用助记符代替机器指令的操作码,用地址符号或标号代替指令或操作数的地址,一般采用汇编语言编写控制软件、工具软件。 D. 机器语言编写的程序难以记忆,不便阅读和书写,编写程序难度大。但具有运行速度极快,且占用存储空间少的特点。 8.(2分) 云计算根据服务类型分为(A )。 A. IAAS、PAAS、SAAS B. IAAS、CAAS、SAAS C. IAAS、PAAS、DAAS D. PAAS、CAAS、SAAS 9.(2分) 统一资源定位符是(A )。 A. 互联网上网页和其他资源的地址 B. 以上答案都不对 C. 互联网上设备的物理地址 D. 互联网上设备的位置 10.(2分) 网站的安全协议是https时,该网站浏览时会进行(B)处理。 A. 增加访问标记 B. 加密 C. 身份验证 D. 口令验证 11.(2分) 涉密信息系统工程监理工作应由(D )的单位或组织自身力量承担。
身份认证技术的发展与展望
身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。
将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问
信息安全身份认证需技术创新
信息安全身份认证需技术创新 在2016年第三届“4.29首都网络安全日”网络与信息博览会上,作为中国信息安全的创业公司代表,上海众人网络安全技术有限公司首席战略官周强表示,中国互联网信息安全一直被关注至今,网络安全公司必须从互联网的幕后走到台前,用自主研发的安全技术来维护互联网安全。 安全技术需自主研发 网络信息安全行业不是普通行业,是关系到国家安全的特殊行业,中国国产企业在从事信息安全行业时,需要有强烈的爱国主义情怀和刻苦研发技术的实干精神。 周强表示,中国的信息安全更应重视核心技术的自主研发能力。在电子银行与移动支付兴起的今天,金融业务中电子银行和证券等领域面临着网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。众人科技研发的‘iKEY多因素动态密码身份认证系统’正是针对信息安全问题所研发的认证系统。 记者了解到,“iKEY多因素动态密码身份认证系统”是基于时间同步技术的多因素认证系统,该系统已获得了国家密码管理局颁发的国内首张动态口令产品证书,相关的专用安全芯片也获得了国内产品型号证书。
去介质下的认证技术 最新数据显示,截止2015年底,全国网民数规模已达到6.88亿人,手机网民数达到6.2亿人,占网民总数的90.1%,其中网购用户规模达到4.13亿,比例高达六成;截至2015年12月,网上支付用户规模达4.16亿人,手机网上支付用户规模达3.58亿人,增长率为64.5%。网民手机网上支付的比例由2014年底的39.0%提升至57.7%。 庞大的网民逐渐使用起网上支付这种便捷移动的方式,但背后却有着巨大的网络安全隐患。就中国而言,每年造成805亿资金损失,人均124元。其中约4500万网民近一年遭受经济损失在1000元以上,全球范围内的网络犯罪掘金已高达3万亿美金。 周强推测,随着支付、存款、转账、理财、信贷等金融服务的线上化,未来金融服务不再依赖于实体的银行卡,银行物理网点也将转型并逐渐消失,未来银行的介质是可以多元化的,比如虹膜、指纹等,甚至银行卡实体会“消失”或者虚拟化。 基于这些实际情况,上海众人网络安全技术有限公司的研发团队最新发明了移动互联网创新密码技术――SOTP,即“多因素动态可重构的确定真实性认证技术”,实现了密钥和算法的融合,在无需增加硬件的前提下,采用软件方式解决移动设备中存储密钥的关键性问题。周强表示:“该项技
信息技术与信息安全试答案五
信息技术与信息安全公需科目考试5 1.(2分)网页恶意代码通常利用()来实现植入并进行攻击。 A. 拒绝服务攻击 B. 口令攻击 C. IE浏览器的漏洞 D. U盘工具 你的答案:A B C D得分:2分 2.(2分)涉密信息系统工程监理工作应由()的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门 D. 涉密信息系统工程建设不需要监理 你的答案:A B C D得分:2分 3.(2分)全球著名云计算典型应用产品及解决方案中,亚马逊云计算服务名称叫()。 A. AWS B. SCE C. Azure D. Google App 你的答案:A B C D得分:2分 4.(2分)在信息安全风险中,以下哪个说法是正确的?() A. 风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。在对这些要素的评估过程中,需要充分考虑与这些基本要素相关的各类属性。 B. 安全需求可通过安全措施得以满足,不需要结合资产价值考虑实施成本。 C. 风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。在对这些要素的评估过程中,不需要充分考虑与这些基本要素相关的各类属性。 D. 信息系统的风险在实施了安全措施后可以降为零。 你的答案:A B C D得分:2分 5.(2分)在网络安全体系构成要素中“恢复”指的是()。 A. A和B B. 恢复数据 C. 恢复系统 D. 恢复网络 你的答案:A B C D得分:2分 6.(2分)目前,针对计算机信息系统及网络的恶意程序正逐年成倍增长,其中最为严重的是()。 A. 木马病毒 B. 系统漏洞
信息安全试题答案(题库)
题库 一、选择 1. 密码学的目的是(C)。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 2. 从攻击方式区分攻击类型,可分为被动攻击和主动攻击。被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。 A. 阻止,检测,阻止,检测 B. 检测,阻止,检测,阻止 C. 检测,阻止,阻止,检测 D. 上面3项都不是 3. 数据保密性安全服务的基础是(D)。 A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制 4. 数字签名要预先使用单向Hash函数进行处理的原因是(C)。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度,加快数字签名和验 证签名的运算速度 D. 保证密文能正确还原成明文 5. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是(C)。 A. 公钥认证 B. 零知识认证 C. 共享密钥认证 D. 口令认证 6. 为了简化管理,通常对访问者(A),以避免访问控制表过于庞大。 A. 分类组织成组 B. 严格限制数量 C. 按访问时间排序,删除长期没有访问的用户 D. 不作任何限制 7. PKI管理对象不包括(A)。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 8. 下面不属于PKI组成部分的是(D)。 A. 证书主体 B. 使用证书的应用和系统 C. 证书权威机构 D. AS 9. IKE协商的第一阶段可以采用(C)。 A. 主模式、快速模式 B. 快速模式、积极模式 C. 主模式、积极模式 D. 新组模式 10.AH协议和ESP协议有(A)种工作模式。 A. 二 B. 三 C. 四 D. 五 11. (C)属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 12. 包过滤型防火墙原理上是基于(C)进行分析的技术。
【技术】信息安全技术与应用试题2ADA4
【关键字】技术 I. 选择题(从四个选项中选择一个正确答案,每小题2分,共40分) 1. 信息未经授权不能改变的安全特性称为。 a. 保密性 b. 有效性 c. 可控性 d. 完整性 2. 网络安全涉及的保护范围比信息安全。 a. 大 b. 相同 c. 小 d. 无关 3. 软件产品通常在正式发布之前,一般都要相继发布α版本、β版本和γ版本供反复测试使用,主要目的是为了尽可能。 a. 提高软件知名度 b. 改善软件易用性 c. 完善软件功能 d. 减少软件漏洞 4. 因特网安全系统公司ISS提出的著名PPDR网络安全模型指。 a. 策略、评估、设计和履行 b. 法律、法规、管理和技术 c. 策略、保护、检测和响应 d. 法律、法规、管理和教育 5. 具有原则的网络安全策略是提高安全投资回报和充分发挥网络效能的关键。 a. 最小化 b. 均衡性 c. 易用性 d. 时效性 6. 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统违反了。 a. 中华人民共和国治安管理处罚条理 b. 中华人民共和国刑法 c. 中华人民共和国保守国家秘密法 d. 中华人民共和国电子签名法 7. 下列那个机构专门从事安全漏洞名称标准化工作。 a. ITU b. IEEE c. CERT d. CVE 8. 《国际通用信息安全评价标准ISO/IEC 15408》在安全保证要求中定义了7个评价保证等级,其中的安全级别最低。 a. EAL7 b. EAL6
c. EAL4 d. EAL5 9. 收发双方使用相同密钥的加密体制称为。 a. 公钥加密 b. 非对称式加密 c. 对称式加密 d. 数字签名 10. 从主体出发表达主体访问客体权限的访问控制方法称为。 a. 访问控制列表 b. 访问能力表 c. 自主访问控制 d. 授权关系表 11. 通过抢占目标系统资源使服务系统过载或崩溃的攻击称为。 a. 缓冲区溢出攻击 b. 拒绝服务攻击 c. 漏洞扫描攻击 d. 获取用户权限攻击 12. 当入侵检测监视的对象为主机审计数据源时,称为。 a. 网络入侵检测 b. 数据入侵检测 c. 主机入侵检测 d. 误用入侵检测 13. 误用入侵检测的主要缺点是。 a. 误报率高 b. 占用系统资源多 c. 检测率低 d. 不能检测知攻击 14. IEEE 802.11系列无线局域网采用协议解决多用户同享无线信道的冲突问题。 a. CSMA/CD b. WEP c. CSMA/CA d. WPA 15. 为了在全球范围推广IEEE 802.16标准并加快市场化进程,支持IEEE 802.16标准的生产厂商自发成立了联盟。 a. Wi-Fi b. SIG c. H2GF d. WiMAX 16. 下列那一个IEEE 标准是面向无线个人区域网的标准? a. IEEE b. IEEE c. IEEE 802.16 d. IEEE 802.15 17. WEP加密使用了24位初始向量IV,其目地是。
信息安全技术的应用
编订:__________________ 审核:__________________ 单位:__________________ 信息安全技术的应用 Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8562-79 信息安全技术的应用 使用备注:本文档可用在日常工作场景,通过对目的、要求、方式、方法、进度等进行具体的部署,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 1. [1]数学的发展与创新思维数学是一种思维方式,表现了人类思维的本质和特征。几何学的公理化体系具有逻辑严谨性和对象抽象性从而又具有应用广泛性而素称思维的体操,这一点已得到大家的公认。 数学思维更是当前学术界的常用词,它不仅指数学中的逻辑思维,还特指与数学密切相关的思维方式。数学家将这种思维分为左脑管辖的抽象思维、形式化和公理化,右脑管辖的探索性思维、形象思维和直觉思维。目前正在研究左右脑思维的配合,以期将数学发展成为一种高效率的思维科学。[2]由此不难发现,如果数学科学家缺乏创新思维,它必阻滞数学家发明或创造新的数学方法、思想和原理,这是千百年来数学发展规律的历史经验总结。因此要回答数学被发现还是被
信息技术与信息安全答案1
考试时间: 150分钟考生:总分:100分考生考试时间: 10:29 - 11:48 得分:92分通过情况:通过 信息技术与信息安全公需科目考试考试结果 1.(2分) 特别适用于实时和多任务的应用领域的计算机是()。 A. 巨型机 B. 大型机 C. 微型机 D. 嵌入式计算机 你的答案: A B C D 得分: 2分 2.(2分) 负责对计算机系统的资源进行管理的核心是()。 A. 中央处理器 B. 存储设备 C. 操作系统 D. 终端设备 你的答案: A B C D 得分: 2分 3.(2分) 2013年12月4日国家工信部正式向中国移动、中国联通、中国电信发放了()4G牌照。 A. WCDMA B. WiMax C. TD-LTE D. FDD-LTE 你的答案: A B C D 得分: 2分 4.(2分) 以下关于盗版软件的说法,错误的是()。 A. 若出现问题可以找开发商负责赔偿损失 B. 使用盗版软件是违法的 C. 成为计算机病毒的重要来源和传播途径之一 D. 可能会包含不健康的内容 你的答案: A B C D 得分: 2分 5.(2分) 涉密信息系统工程监理工作应由()的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门 D. 涉密信息系统工程建设不需要监理 你的答案: A B C D 得分: 0分正确答案:B 6.(2分) 以下关于智能建筑的描述,错误的是()。 A. 智能建筑强调用户体验,具有内生发展动力。 B. 随着建筑智能化的广泛开展,我国智能建筑市场已接近饱和。 C. 建筑智能化已成为发展趋势。
身份认证技术
身份认证技术百科名片 动态口令牌身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种:(1) 根据你所知道的信息来证明你的身份(what you know ,你知道什么) ;(2) 根据你所拥有的东西来证明你的身份(what you have ,你有什么) ;(3) 直接根据独一无二的身体特征来证明你的身份(who you are ,你是谁) ,比如指纹、面貌等。在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 以下罗列几种常见的认证形式: 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制如论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。 智能卡(IC卡) 一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。它利用what you have方法。 短信密码 短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。具有以下优点:(1)安全性由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。(2)普及性只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。(3)易收费由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。(4)易维护由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期