这只是一篇笔记

一、密码相关内容

skytale密码、凯撒密码、几何图形密码、轮子密码机

古典密码学（替代密码、凯撒密码、置换密码）、近代密码学、现代密码学（解决密钥分发）

信息安全的主要属性：机密性（明文变密文）、完整性、可鉴别性、不可否认性、授权与访问控制

密码——对称加密：加密密钥等于解密密钥；流密码和分组密码

ECB模式的加密：明文分组加密形成密文分组

CBC模式的加密：引入初始化向量

CFB模式的加密：初始化向量进行加密

CTR模式的加密：计数器模式每次加一累积

密码——非对称加密：公钥和私钥（密钥对）

加密：接收方的公钥加密私钥解密

数字签名：发送方用私钥加密（生成签名），接收方用公钥解密（验证签名）

认证：哈希，消息-单项散列函数-散列值（固定长度值）

哈希函数保证完整性

消息认证码保证完整性和认证：通过计算的MAC值对比（共享密码）

盐（随机生成）

口令+盐生成单项散列函数

PKI的组成要素：认证机构，证书（用户的公钥加机构的数字签名）

2015年电子签名法：CA，电子签名需第三方认证

2020.1.1《密码法》：商用密码算法SM1/4

密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

密码分为核心密码、普通密码和商用密码。

核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

二、商用密码技术及应用

密码技术基础：口令不是密码，是一种认证手段

密码算法是密码的核心，加密算法、解密算法、数字签名算法、杂凑算法

密钥是密码安全的根本。

密码协议是密码应用的交互规则。

密码是保障网络与信息安全的核心技术；

1）保证信息的机密性：保证信息不被泄露给非授权的个人、计算机等实体

2）保证信息的真实性：保证信息来源可靠、没有被伪造和篡改

3）保证数据的完整性：数据没有收到非授权的篡改或破坏的性质（杂凑算法）

4）不可否认性：一个已经发生的操作行为无法否认，也称抗抵赖性（数字签名）

对称密码算法：序列密码ZUC，RC4；分组密码：SM4，AES

公钥密码（非对称）算法：公钥加密算法：SM2,SM9,RSA,ECC；数字签名算法：SM2,SM9

杂凑算法：SM2,SHA256（任意长度消息变成定长杂凑值）

我国自主设计的商用密码算法体系：分组密码算法SM4、序列密码算法祖冲之（ZUC）、椭圆曲线公钥密码算法SM2、密码杂凑算法SM3、标识密码算法SM9

商用密码应用技术支撑

商用密码产品：

按形态分类：软件（信息保密软件、密码算法软件等）、芯片（算法芯片、密码SOC芯片）、模块（加解密模块，安全控制模块等）、板卡（IC卡、USBKey）、整机（网络密码机、服务器密码机）、系统(安全认证系统、密钥系统等）；

按功能分类：密码算法类（提供基础密码运算功能，密码芯片）、数据加解密类（服务器密码机（部署在应用服务器端））、认证鉴别类（认证网关（部署在用户与服务器之间）高强度身份认证）、证书管理类（证书认证系统（对数字（公钥）证书进行全过程管理））、密钥管理类（数字证书密钥管理系统密码防伪类（电子印章系统）、综合类（电子商务安全平台）

电子认证服务为电子签名相关各方提供真实性、可靠性验证等服务。

商用密码服务是指基于密码专业技术、技能和设施，为他人提供集成、运营、监理等商用密码支持和保障的活动。

商用密码的应用：银行业中应用、非银支付中应用

2020.3.20

医疗行业网络安全风险较高：隐患普遍存在、遭受勒索病毒攻击严重

安全防护水平相对落后：缺乏必要的防护设备、缺少必要的系统防护及数据保护措施（缺少必要的网络准入机制）

医疗信息泄露事件高发：

医疗行业网络安全主要存在的问题：身份认证环节薄弱（弱口令、单因素认证、固定口令），网络未分区分域（未按功能物理划分、未按保护等级划分、未采取逻辑隔离措施），网络链路无冗余（通信线路、通信设备），网络安全产品配备不足（仅按照杀毒软件和防火墙），信息数据无备份，数据加密措施未落实（明文存储、明文传输、弱加密算法），网络安全管理不到位（管理制度、机构不完善，缺乏运维人员和应急预案）

提高医疗行业网络安全水平的建议：

1、建设安全机房：使用专用的房间建设机房

2、建设安全网络架构：安全划分子网、控制访问粒度、提高安全设备防护能力

3、安全计算环境：强制使用复杂口令、注重安全审计

4、数据安全保护：加密存储与传输数据（SSH、HTTPS协议），加强数据备份与恢复，注重数据脱敏与分级保护

5、安全管理：加强医疗行业网络安全人才建设，完善医疗行业应急预案与响应机制

如何开展医疗行业网络安全等保2.0工作：

基于等保2.0标准体系全国医院信息化建设标准与规范