信息保障与安全doc.docx

信息保障与安全doc.docx

《信息保障与安全doc.docx》由会员分享，可在线阅读，更多相关《信息保障与安全doc.docx（32页珍藏版）》请在冰豆网上搜索。

信息保障与安全doc

1.Thisbookfocusesontwobroadareas:

cryptographicalgorithmsandprotocols,whichhaveabroadrangeofapplications;andnetworkandInternetsecurity,whichrelyheavilyoncryptographictechniques.

这本书主要集中在两大领域：

加密算法与协议，具有广泛的应用范围；网络和网络安全，这很大程度上依赖于加密技术。

▪Cryptographicalgorithmsandprotocolscanbegroupedintofourmainareas:

加密算法与协议可以分为四个主要部分：

×Symmetricencryption:

Usedtoconcealthecontentsofblocksorstreamsofdataofanysize,includingmessages,files,encryptionkeys,andpasswords.

对称加密：

用来隐藏任何大小的数据块和数据流，包括消息、文件、加密密钥和密码。

×Asymmetricencryption:

Usedtoconcealsmallblocksofdata,suchasencryptionkeysandhashfunctionvalues,whichareusedindigitalsignatures.

非对称加密：

用来隐藏小数据块，如加密密钥和散列函数值，这是用于数字签名。

×Dataintegrityalgorithms:

Usedtoprotectblocksofdata,suchasmessages,fromalteration[,ɔ:

ltə‘reiʃən].

数据完整性算法：

通常保护数据块，比如信息的变化。

×Authenticationprotocols:

Theseareschemesbasedontheuseofcryptographicalgorithmsdesignedtoauthenticatetheidentityofentities.

认证协议：

这些都是基于密码算法设计实体的身份认证方案的使用。

10092.COMPUTERSECURITY:

TheNISTComputerSecurityHandbook[NIST95]definesthetermcomputersecurityasfollows:

Theprotectionaffordedtoanautomatedinformationsysteminordertoattaintheapplicableobjectivesofpreservingtheintegrity,availability,andconfidentialityofinformationsystemresources（includeshardware,software,firmware固件,information/data,andtelecommunications通信）.Thisdefinitionintroducesthreekeyobjectivesthatareattheheartofcomputersecurity:

计算机安全：

NIST计算机安全手册[nist95]计算机安全术语定义如下：

给一个自动保护信息系统以达到保存完整，适用的目标的可用性，保密的信息系统资源（包括硬件、软件、固件、信息、数据和通信）。

这个定义了计算机安全核心的三个关键目标：

1）Confidentiality（机密性，保密性）:

Preservingauthorizedrestrictionsoninformationaccessanddisclosure,includingmeansforprotectingpersonalprivacyandproprietaryinformation.Alossofconfidentialityistheunauthorizeddisclosureofinformation.

▪Thistermcoverstworelatedconcepts:

▪Dataconfidentiality:

Assuresthatprivateorconfidentialinformationisnotmadeavailableordisclosedtounauthorizedindividuals.

▪Privacy:

Assuresthatindividualscontrolorinfluencewhatinformationrelatedtothemmaybecollectedandstoredandbywhomandtowhomthatinformationmaybedisclosed.

1）保密性：

保存授权限制访问和公开信息，包括保护个人隐私和机密信息的方法。

保密性损失就是保密信息XX而被公开。

这个术语涵盖了两个相关的概念：

数据机密性：

确保私人或机密信息不可用或泄露给未授权的人。

隐私：

确保可以被收集和储存或者可能会被公开的涉及个人控制或影响的相关信息。

2）Integrity（完整性）[in‘teɡrəti]:

Guardingagainstimproperinformationmodificationordestruction破坏,includingensuringinformationnonrepudiationandauthenticity.确保消息的不可否认性和真实性.Alossofintegrityistheunauthorizedmodificationordestructionofinformation.

▪Thistermcoverstworelatedconcepts:

ØDataintegrity:

Assuresthatinformationandprogramsarechangedonlyinaspecifiedandauthorizedmanner.

ØSystemintegrity:

Assuresthatasystemperformsitsintendedfunctioninanunimpairedmanner,freefromdeliberateorinadvertentunauthorizedmanipulationofthesystem.

2）完整性：

防止不良信息的修改和破坏，包括确保信息不可否认性性和真实性。

损失完整性是信息的XX的修改或破坏。

这个术语涵盖了两个相关的概念：

数据完整性：

确保信息和程序只能在一个指定的授权方式下改变。

系统的完整性：

确保一个系统在一个未受损害的方式执行其预定的功能，免受有意或无意的XX的操作系统。

3）Availability[ə,veilə'biləti]（可用性，有效性）:

Ensuringtimelyandreliableaccesstoanduseofinformation.Alossofavailabilityisthedisruptionofaccesstooruseofinformationoraninformationsystem.

▪Assuresthatsystemsworkpromptlyandserviceisnotdeniedtoauthorizedusers.

ThesethreeconceptsformwhatisoftenreferredtoastheCIAtriad[‘traiəd];

Thethreeconceptsembodythefundamentalsecurityobjectivesforbothdataandforinformationandcomputingservices.

3）可用性：

确保及时、可靠地访问和使用信息。

损失有效性是访问或使用信息或信息系统的中断。

保证系统工作的及时和服务不拒绝授权的用户。

这三个概念的形式通常被称为CIA的三元组。

这三个概念体现了对数据和信息以及计算机安全的基本安全目标。

3.weusethreelevelsofimpactonorganizationsorindividualsshouldtherebeabreachofsecurity（i.e.,alossofconfidentiality,integrity,oravailability）.TheselevelsaredefinedinFIPSPUB199:

LowlevelModerate[ˈmɔdərit]levelHighlevel

▪weusethreelevelsofimpactonorganizationsorindividualsshouldtherebeabreachofsecurity（i.e.,alossofconfidentiality,integrity,oravailability）.

▪TheselevelsaredefinedinFIPSPUB199:

LowlevelModerate[ˈmɔdərit]levelHighlevel

我们使用三个级别的影响组织或者个人的违反安全的行为（破坏机密性、完整性、可获得性）。

这些级别在FIPSPUB199定义为：

低级、中级、高级

Lowlevel:

Thelosscouldbeexpectedtohavealimitedadverseeffectonorganizationaloperations,organizationalassets['æset]资产,orindividuals.

▪Alimitedadverseeffectmeansthat,forexample,thelossofconfidentiality,integrity,oravailability,might：

（i）causeadegradation[,degrə'deɪʃ（ə）n]inmissioncapabilitytoanextentanddurationthattheorganizationisabletoperformitsprimaryfunctions,buttheeffectivenessofthefunctionsisnoticeablyreduced;

▪（ii）resultinminor['maɪnə]damagetoorganizationalassets;

▪（iii）resultinminorfinancialloss;

▪or（iv）resultinminorharmtoindividuals.

低级：

低水平的损失可能会对机构的运行、机构资产或个体产生有限的不利影响；有限的不利影响，例如，保密性，完整性，可用性的损失，可能是：

引起完成任务的能力的程度和持续时间有所退化，组织能够执行其主要功能，但功能性明显减少；

导致少量组织资产损失；

导致小的经济损失；

或导致轻微的个人伤害。

Moderate:

Thelosscouldbeexpectedtohaveaserious[ˈsiəriəs]adverseeffectonorganizationaloperations,organizationalassets,orindividuals.Aseriousadverseeffectmeansthat,forexample,thelossmight：

▪（i）causeasignificantdegradation[degrə'deɪʃ（ə）n]inmissioncapabilitytoanextentanddurationthattheorganizationisabletoperformitsprimaryfunctions,buttheeffectivenessofthefunctionsissignificantlyreduced;

▪（ii）resultinsignificantdamagetoorganizationalassets;

▪（iii）resultinsignificantfinancialloss;

▪or（iv）resultinsignificantharmtoindividualsthatdoesnotinvolvelossoflifeorserious,life-threateninginjuries.

中级：

对机构的运行、机构资产或个体的有严重的不良效应。

这些影响就是，比如：

引起完成任务的能力的程度和持续时间有很大退化，机构能够完成其主要功能，但是功能性显著降低。

导致重大机构资产的损失；

导致重大经济损失；

或者导致重大个人损失，这不涉及人身安全或者危及生命的伤害。

▪High:

Thelosscouldbeexpectedtohaveasevere[sɪ'vɪə]orcatastrophicadverseeffectonorganizationaloperations,organizationalassets,orindividuals.Asevere[sɪ'vɪə]orcatastrophicadverseeffectmeansthat,forexample,thelossmight:

（i）causeasevere[sɪ'vɪə]degradationinorlossofmissioncapabilitytoanextentanddurationthattheorganizationisnotabletoperformoneormoreofitsprimaryfunctions;

▪（ii）resultinmajordamagetoorganizationalassets;

▪（iii）resultinmajorfinancialloss;

▪or（iv）resultinsevereorcatastrophicharmtoindividualsinvolvinglossoflifeorserious,life-threateninginjuries.

高级：

对机构的运行、机构资产或个体的有严重的或者灾难性的不利影响。

这些严重的或者灾难性的负面影响，比如：

引起完成任务能力的程度和持续时间按有严重的退化或丧失，机构不能够执行一个或者多个主要功能。

导致更加重大机构资产的损失；

导致更加重大经济损失；

或者导致更加重大个人损失，这会涉及人身安全或者受到生命威胁的伤害。

09一、Thebook《CryptographyandNetworkSecurity:

PRINCIPLESANDPRACTICE》isorganizedintofourbroadcategories，pleasegiveaintroductionaboutthemainareascovered.

Answer：

《密码学与网络安全：

原理与实践》这本书可以分成四大类，请给出有关的主要领域及内容。

回答：

1）•Cryptographicalgorithms:

Thisisthestudyoftechniquesforensuringthesecrecyand/orauthenticityofinformation.Thethreemainareasofstudyinthiscategoryare:

（1）symmetricencryption,

（2）asymmetricencryption,and

（3）cryptographichashfunctions,withtherelatedtopicsofmessageauthenticationcodesanddigitalsignatures.

1）加密算法：

这是保证信息的保密性和真实性的技术研究。

这类研究的三个主要领域是：

（1）对称加密

（2）非对称加密

（3）加密哈希函数，和与相关的消息认证码和数字签名。

2）•Mutualtrust:

Thisisthestudyoftechniquesandalgorithmsforprovidingmutualtrustintwomainareas.

First,keymanagementanddistributiondealswithestablishingtrustintheencryptionkeysusedbetweentwocommunicatingentities.

Second,userauthenticationdealswithestablishingtrustintheidentityofacommunicatingpartner.

3）•Networksecurity:

Thisareacoverstheuseofcryptographicalgorithmsinnetworkprotocolsandnetworkapplications.

4）•Computersecurity:

Inthisbook,weusethistermtorefertothesecurityofcomputersagainstintruders（e.g.,hackers）andmalicioussoftware（e.g.,viruses）.Typically,thecomputertobesecuredisattachedtoanetwork,andthebulkofthethreatsarisefromthenetwork.

2）交互互信：

这是在两个主要领域提供相互信任技术和算法的研究。

首先，密钥管理和分配是处理建立在两个通信实体之间使用加密密钥的信任。

第二，用户认证是处理建立在通信伙伴的身份信任。

3）网络安全：

涵盖网络协议和网络应用的加密算法的使用。

4）计算机安全：

在这本书中，我们用这个词来指计算机的安全防范入侵者（例如，黑客和恶意软件）（例如，病毒）。

通常情况下，计算机安全和网络有关，计算机的大部分威胁都是来自网络。

09二、CryptographicalgorithmshaveabroadrangeofapplicationsandInternetsecurityrelyheavilyonthesecryptographictechniques.Thecryptographicalgorithmscanbegroupedintofourmainareas,pleasemakeanexplanationaboutthesefoursides.

Answer:

加密算法具有广泛的应用，互联网的安全性依赖于这些加密技术。

加密算法可以分为四个主要领域，请对这四方面进行解释。

Cryptographicalgorithmsandprotocolscanbegroupedintofourmainareas:

加密算法与协议可以分为四个主要领域：

1）•Symmetricencryption:

Usedtoconcealthecontentsofblocksorstreamsofdataofanysize,includingmessages,files,encryptionkeys,andpasswords.Symmetricencryption,alsoreferredtoasconventionalencryptionorsingle-keyencryption,wastheonlytypeofencryptioninusepriortothedevelopmentofpublic-keyencryption..Ifbothsenderandreceiverusethesamekey,thesystemisreferredtoassymmetric,single-key,secret-key,orconventionalencryption.

keyencryptioninthe1970s.Itremainsbyfarthemostwidelyusedofthetwotypesof

1）对称加密：

用来隐藏任何尺寸的数据块和数据流，包括消息、文件、加密密钥和密码。

对称加密，也称为常规加密或单密钥加密，它是公共密钥加密技术被使用之前的唯一加密类型。

如果发送方和接收方使用相同的密钥，该系统被称为对称的、单密钥、密钥、或常规加密。

上世纪70年代密钥加密，它仍然是目前使用最广泛的两种类型之一。

2）•Asymmetricencryption:

Usedtoconcealsmallblocksofdata,suchasencryptionkeysandhashfunctionvalues,whichareusedindigitalsignatures.Ifthesenderandreceiverusedifferentkeys,thesystemisreferredtoasasymmetric,two-key,orpublic-keyencryption.Asymmetricencryptionisaformofcryptosysteminwhichencryptionanddecryptionareperforme