密码学/信息加密
密码工具箱
窃听(机密性)
对称密码(提高效率,存在配送问题)
一次性密码本:让明文与一串随机数进行XOR运算(无法判断哪个解译结果是正确的)
Data Encryption Standard(64位,每个七位会设置一个校验位,实际是56位,超过需要迭代):攻击手段CPA选择明文攻击(线性分析/差分分析:分析明文和密文变化的关系)
3DES(56*3=168位,加密,解密,加密):向下兼容DES
Advanced Encryption Standard:Rijindael(128,192,256位)
分组密码模式
CBC、CFB、OFB、CTR
ECB(不推荐使用,无法抵御重放攻击)
Diffie-Hellman(解决配送问题,在不交换密钥的情况下实现密钥共享)
非对称密码(公钥密码,解决密钥配送问题)
RSA(大数质因数分解、求离散对数):中间人攻击/选择密文攻击
EIGamal
Rabin
基于口令的密码(PBE)
篡改(完整性)
单向散列函数(无法辨别伪装,生日攻击/暴力破解)
算法
MD4、MD5(128位,不具备强抗碰撞性)
SHA-1(160位,不具备强抗碰撞性)
SHA-2
SHA-224
SHA-256
SHA-512/224
SHA-512/256
SHA-384
SHA-512
RIPEMD-160
RIPEMD:160位,不具备强抗碰撞性
RIPEMD-128
RIPEMD-160:比特币使用的算法
RIPEMD-256
RIPEMD-320
场景
检查软件是否被更改
基于口令的加密
消息认证码
数字签名
伪随机生成器
一次性口令
伪装(认证)
消息认证码(对第三方证明/防止否认,因为使用的是同一个密钥)
场景
IPSEC
SWIFT(环球银行金融电信协会)
SSL/TLS
攻击(重放攻击/暴力破解/生日攻击)
公钥合法性
证书(给公钥加上数字签名)
证书标准规范X.509
PKI(公钥基础设施)
攻击
在公钥注册之前进行攻击
注册相似人名进行攻击
身份确认和认证业务准则(class1-3,邮箱,第三方数据库,当面)
窃取认证机构的私钥
伪装成认证机构进行攻击
钻CRL的空子进行攻击
实际应用
PGP(https://www.jianshu.com/p/91c98a27fd16)
SSL V3/TLS(前向安全):指的是长期使用的主密钥泄漏不会导致过去的会话密钥泄漏。前向安全能够保护过去进行的通讯不受密码或密钥在未来暴露的威胁
密码与信息安全常识
不要使用保密的密码算法
密码算法得秘密早晚会公诸于世
开发高强度的密码算法是非常困难的
使用低强度的密码比不进行任何加密更危险
任何密码总有一天都会被破解
密码只是信息安全的一部分(社会工程学攻击)
注册信息系统审计师(CISA)
注册信息安全经理(CISM)
企业IT治理认证(CGEIT)
风险及信息系统控制认证(CRISC)
IT的审计流程
按照IS审计标准执行基于风险的审计策略,以确保关键风险领域得到审计
计划具体审计工作,确定信息系统是否得到保护和控制,并为组织赋予价值
按照IS审计标准执行审计,以实现规划的审计目标
通过会议和审计报告向关键利益相关方传达审计结果并提出建议,以根据需要推动变革
执行设计后续工作,以确定管理层是否及时采取了适当的措施
IT的治理与管理
对IT战略及该战略的制定,审批,实施和维护过程进行评估,确定它是否符合组织的战略和目标
对IT治理结构的有效性进行评估,以确定IT决策,方向和执行是否支持组织的战略和目标
对IT组织结构和人力资源管理情况进行评估,以确定它是否符合组织的战略和目标提供支持
对组织的IT政策,标准,流程及其制定,审批,颁布/发布,实施和维护过程进行评估,以确定它是否支持IT战略并符合法律法规的要求
对IT资源管理,包括投资,确定优先级,分配和使用进行评估,以确定它们是否符合组织的战略和目标
对IT组合管理,包括投资,确定优先级和分配进行评估,以确定它们是否符合组织的战略和目标
对风险管理实践进行评估,以确定组织内IT相关的风险是否得到确定,评估,监控,报告和管理
对IT管理和控制的监控进行评估,以确保他们符合组织的政策,标准和流程
对关键绩效指标的监控和报告进行评估,以确定管理层是否收到充分和及时的信息
评估组织的业务持续计划,包括IT灾难恢复计划与BCP是否协调一致,以确定组织在IT中断期继续基本业务运营的能力
系统的购置,开发和实施
评估在信息系统的购置,开发,维护及后期退役方面进行建议投资的业务案例,以确定它是否符合业务目标
评估IT供应商选择和合同管理流程,确保符合组织的服务级别和购置控制
对项目管理框架和控制进行评估,以确定在管理组织的风险时是否以具有成本效益的方式达到业务要求
进行审查,以确定进行中的项目是否与项目计划保持一致,具有充分的文档支持,并且具有及时,准确的状态报告
对需求,购置,开发和测试阶段的信息系统控制进行评估,以确保符合组织的政策,标准,程序及相应外部要求
对信息系统的生产实施和迁移就绪情况机械能评估,以确定它是否满足项目交付成果,控制及组织的要求
对系统执行实施后审查,以确定其是否满足项目交付成果,控制及组织的要求
系统的操作,维护和服务
对IT服务管理框架和实务进行评估,以确定是否达到组织所期望的控制和服务水平,以及是否满足战略目标
定期审查信息系统,以确定其是否在企业架构内持续满足组织目标
对IT操作进行评估,以确定其是否得到有效控制并持续支持组织的目标
对IT维护进行评估,以确定其是否得到有效控制并持续支持组织的目标
对数据库管理实务进行评估,以确定数据库的完整性和最优化情况
对数据质量和生命周期管理实务进行评估,以确定其是否持续满足战略目标
对问题和事故管理实务进行评估,以确定问题和事故是否及时得到预防,侦测,分析,记录和解决,从而支持组织的目标
对变更和发布管理实务进行评估,以确定是否能充分控制对系统和应用程序做出的变更,并将这些变更记录在案
对最终用户计算进行评估,以确定最终用户计算的流程是否得到有效控制并支持组织的目标
对IT连续性和恢复能力进行评估,以确定其是否持续满足战略目标
信息资产的保护
评估信息安全和隐私政策,标准和流程的完整性,与公认实务的一致性以及对相应外部要求的依从性
评估物理和环境控制的设计,实施,维护,监控和报告,以确定信息资产是否得到充分保护
评估系统和逻辑安全控制的设计,实施,维护,监控和报告,以验证信息的机密性,完整性及可用性
评估数据分类过程和流程的设计,实施,监控,以确保他们符合组织的政策,标准,流程及相应外部要求
评估用于存储,检索,传输和处置资产的流程与程序,以确保信息资产是否得到充分保护
评估信息安全计划,以确定其有效性及与组织战略和目标的一致性
