一、密码相关内容
skytale密码、凯撒密码、几何图形密码、轮子密码机
古典密码学(替代密码、凯撒密码、置换密码)、近代密码学、现代密码学(解决密钥分发)
信息安全的主要属性:机密性(明文变密文)、完整性、可鉴别性、不可否认性、授权与访问控制
密码——对称加密:加密密钥等于解密密钥;流密码和分组密码
ECB模式的加密:明文分组加密形成密文分组
CBC模式的加密:引入初始化向量
CFB模式的加密:初始化向量进行加密
CTR模式的加密:计数器模式每次加一累积
密码——非对称加密:公钥和私钥(密钥对)
加密:接收方的公钥加密私钥解密
数字签名:发送方用私钥加密(生成签名),接收方用公钥解密(验证签名)
认证:哈希,消息-单项散列函数-散列值(固定长度值)
哈希函数保证完整性
消息认证码保证完整性和认证:通过计算的MAC值对比(共享密码)
盐(随机生成)
口令+盐生成单项散列函数
PKI的组成要素:认证机构,证书(用户的公钥加机构的数字签名)
2015年电子签名法:CA,电子签名需第三方认证
2020.1.1《密码法》:商用密码算法SM1/4
密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
密码分为核心密码、普通密码和商用密码。
核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
二、商用密码技术及应用
密码技术基础:口令不是密码,是一种认证手段
密码算法是密码的核心,加密算法、解密算法、数字签名算法、杂凑算法
密钥是密码安全的根本。
密码协议是密码应用的交互规则。
密码是保障网络与信息安全的核心技术;
1)保证信息的机密性:保证信息不被泄露给非授权的个人、计算机等实体
2)保证信息的真实性:保证信息来源可靠、没有被伪造和篡改
3)保证数据的完整性:数据没有收到非授权的篡改或破坏的性质(杂凑算法)
4)不可否认性:一个已经发生的操作行为无法否认,也称抗抵赖性(数字签名)
对称密码算法:序列密码ZUC,RC4;分组密码:SM4,AES
公钥密码(非对称)算法:公钥加密算法:SM2,SM9,RSA,ECC;数字签名算法:SM2,SM9
杂凑算法:SM2,SHA256(任意长度消息变成定长杂凑值)
我国自主设计的商用密码算法体系:分组密码算法SM4、序列密码算法祖冲之(ZUC)、椭圆曲线公钥密码算法SM2、密码杂凑算法SM3、标识密码算法SM9
商用密码应用技术支撑
商用密码产品:
按形态分类:软件(信息保密软件、密码算法软件等)、芯片(算法芯片、密码SOC芯片)、模块(加解密模块,安全控制模块等)、板卡(IC卡、USBKey)、整机(网络密码机、服务器密码机)、系统(安全认证系统、密钥系统等);
按功能分类:密码算法类(提供基础密码运算功能,密码芯片)、数据加解密类(服务器密码机(部署在应用服务器端))、认证鉴别类(认证网关(部署在用户与服务器之间)高强度身份认证)、证书管理类(证书认证系统(对数字(公钥)证书进行全过程管理))、密钥管理类(数字证书密钥管理系统密码防伪类(电子印章系统)、综合类(电子商务安全平台)
电子认证服务为电子签名相关各方提供真实性、可靠性验证等服务。
商用密码服务是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码支持和保障的活动。
商用密码的应用:银行业中应用、非银支付中应用
2020.3.20
医疗行业网络安全风险较高:隐患普遍存在、遭受勒索病毒攻击严重
安全防护水平相对落后:缺乏必要的防护设备、缺少必要的系统防护及数据保护措施(缺少必要的网络准入机制)
医疗信息泄露事件高发 :
医疗行业网络安全主要存在的问题:身份认证环节薄弱(弱口令、单因素认证、固定口令),网络未分区分域(未按功能物理划分、未按保护等级划分、未采取逻辑隔离措施),网络链路无冗余(通信线路、通信设备),网络安全产品配备不足(仅按照杀毒软件和防火墙),信息数据无备份,数据加密措施未落实(明文存储、明文传输、弱加密算法),网络安全管理不到位(管理制度、机构不完善,缺乏运维人员和应急预案)
提高医疗行业网络安全水平的建议:
1、建设安全机房:使用专用的房间建设机房
2、建设安全网络架构:安全划分子网、控制访问粒度、提高安全设备防护能力
3、安全计算环境:强制使用复杂口令、注重安全审计
4、数据安全保护:加密存储与传输数据(SSH、HTTPS协议),加强数据备份与恢复,注重数据脱敏与分级保护
5、安全管理:加强医疗行业网络安全人才建设,完善医疗行业应急预案与响应机制
如何开展医疗行业网络安全等保2.0工作:
基于等保2.0标准体系 全国医院信息化建设标准与规范
测评工作流程:前期准备(启动、信息收集与分析、工具和表单准备)-方案编制-现场测评-建设整改-分析与报告编制