- 1、本文档共27页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
组织中完整的安全系统元件(续) 安全漏洞所造成的损失 黃明祥 信息与网络安全概论(第三版) 黃明祥 信息与网络安全简介(An Overview of Information and Network Security) 本章內容 1.1 信息安全的威胁 1.2 信息安全的基本要求 1.3 信息安全的范围 1.4 信息系统的安全分析 1.5 安全的信息系统架构 1.6 法律观点 * * 1.1 信息安全的威胁 信息安全的目的—在于保护所有信息系统资源 防止未经授权者得到有价值的信息。 防止未经授权者偷窃或复制软件。 避免计算机资源(例如打印机、内存等)被盗用。 避免计算机设备受到灾害的侵袭。 * 信息安全的威胁 天然或人为 - 天然的威胁原因:天然灾害 - 人为的威胁原因:管理人員的疏忽 蓄意或无意 - 蓄意的威胁原因:企图破坏系统安全 - 无疑的威胁原因:系统管理不良 主动或被动 - 被动的威胁原因:不会更改计算机系统资料 - 主动的威胁对象:计算机系统上资料会被篡改 实体或逻辑 - 实体的威胁对象:实际存在的硬件设备 - 逻辑的威胁对象:计算机系统上的资料 1.2 信息安全的基本需求 * 信息安全 基本需求 机密性 审核 访问控制 不可否认性 验证性 可用性 完整性 * 确保信息的机密,防止机密信息泄露給未经授权的用户。机密性数据內容不能被而仅能被授权者所访问 。未经授权者所窃取, 存取包括读出、浏览及列印。另外「数据是否存在于系统」也是一项很重要信息。 可通过资料加密程序来达到数据的必威体育官网网址性或机密性。 必威体育官网网址性或机密性 * 完整性 数据内容仅能被合法授权者所更改,不能被未经授权者所篡改或伪造。 数据完整性必须确保数据传输时不会遭受篡改,以保证数据传输內容的完整性。 “数字签名”可用来确保数据在传输过程中不会被黑客篡改及伪造,从而保证数据的完整性 。 * 验证性 验证性包括身份验证(Entity Authentication)及数据或消息来源验证(Data or Message Authentication)。 信息来源的验证 是要能确认数据信息的传输来源,以避免有恶意的传送者假冒原始传送者传送不安全的信息内容。 。 一般均利用数字签名或数据加密等方式来解决信息的来源验证问题 。 身份验证 对于用户身份的识别而言,系统必须快速且正确地验证身份。 。 为了预防暴力攻击者的恶意侵犯,对于用户身份验证的时效性比信息验证要严谨。 。 * 可用性 确保信息系统运行过程的正确性,以防止恶意行为导致信息系统毁坏(Destroy)或延迟(Prolong) 。 * 不可否认性 在信息安全需求中,对于传送方或接收方,都不能否认曾进行数据传输、接收和交易等行为,即传送方不得否认曾传送过某份数据,而接收方也无法否认未曾接收到某信息数据。 数字签名及公开密钥基础设施(Public Key Infrastructure,PKI)对用户身份及信息来源做身份验证(User Authentication)及数据来源验证(Message Authentication),并可再与用户在系统上的活动进行连接,从而实现权责分明及不可否认性。 * 访问控制 信息系统内每位用户依其服务等级而有不同的使用权限。服务等级越高者其权限越大,相反的,服务等级越小者其权限越小 。 访问控制主要是根据系统的授权策略,对用户做授权验证,以确认其是否为合法授权者,防止未经授权者访问计算机系统及网络资源。 * 审核 信息系统不可能达到绝对安全,也就是百分之百的安全。 因此,必须通过审核记录(Audit Log)来追踪非法用户,一旦发生入侵攻击事件,就可以尽快找到发生事件的原因,以作为恢复系统(Recovery)并预防此类入侵的手法,从而防止系统再一次被入侵。 * 信息安全的领域相当广泛,所有可确保信息系统正常运行并确保机密数据的必威体育官网网址性及完整性的机制都涵盖在内。 1.3 信息安全的范围 * 信息管理系统架构 数据库管理系统 计算机操作系统 管理信息系统 国际网络 网际网络 * 组织中完整的安全系统元件 用户 系统的用户可能是组织中的员工或顾客。 操作介面 对于不同等级的用户,必须提供不同的页面。 后端处理程序 负责处理回应用户所要求的服务,若用户要取得数据库中的数据,也必须通过此系统元件存取,后端程序可说是系統中的灵魂。 数据库 负责保存重要数据与一般数据。依据不同需求,有不同的数据格式与存储方式 。 * 1.4 信息系統的安全分析 * 弱点分析 对整个系统架构进行了解及测试,系统架设了哪些硬件,例如路由器(Router)、桥接器(Bridg
您可能关注的文档
- 信息学科导论 教学课件 作者 施荣华 张祖平 第2章微电子与信号处理.ppt
- 信息学科导论 教学课件 作者 施荣华 张祖平 第3章通信科学与技术.ppt
- 信息学科导论 教学课件 作者 施荣华 张祖平 第6章光信息科学与技术.ppt
- 信息学科导论 教学课件 作者 施荣华 张祖平 第7章数字图像处理.ppt
- 信息与通信工程专业英语 教学课件 作者 徐秀兰 徐劲 李程 信息与通信工程专业英语01.ppt
- 信息与通信工程专业英语 教学课件 作者 徐秀兰 徐劲 李程 信息与通信工程专业英语02part1.ppt
- 信息与通信工程专业英语 教学课件 作者 徐秀兰 徐劲 李程 信息与通信工程专业英语02part02.ppt
- 信息与网络安全概论(第三版) 教学课件 作者 978 7 302 21524 0k CHD2.ppt
- 信息与网络安全概论(第三版) 教学课件 作者 978 7 302 21524 0k CHD3.ppt
- 信息与网络安全概论(第三版) 教学课件 作者 978 7 302 21524 0k CHD4.ppt
最近下载
- 幼儿绘本故事:鸭子叔叔的时钟—时间.pptx VIP
- 《GBT9417-1988-汽车产品编号规则》.pdf
- 2022学年第一学期杭州市高三年级教学质量检测语文参考答案及评分标准.pdf VIP
- 路基换填专项施工方案.docx VIP
- 行政诉讼法课件.ppt VIP
- 08D800-3民用建筑电气设计与施工-变配电所.pdf
- DELTA台达-HMI人机界面与 Delta AS Series PLC (Standard Modbus)联机手册 操作说明书.pdf
- TIME时代 NB-500(PC60-500) 弧焊电源使用说明书.pdf
- 一例维持性血液透析患者导管感染的护理查房.ppt
- GB 50150-2016 电气装置安装工程电气设备交接试验标准.docx
文档评论(0)