第1章-安全与必威体育官网网址-改选读.ppt

* 第一章完 * 常见的安全攻击 泄漏：消息的内容被泄露或透露给某个非授权的实体。例如在通信线路中，通过电磁辐射侦截传输中的必威体育官网网址信息。 流量分析（Traffic Analysis）：利用统计分析方法对通信双方的标识、通信频度、消息格式等参数进行研究，从中发现有价值的信息和规律。 篡改：指对合法用户之间的通信消息进行修改或者改变消息的顺序。 伪装：指一个实体冒充另一个实体。例如非法用户冒充成系统的合法用户，对系统信息进行访问。 重放（Replay Attack）：将窃取的信息修改或排序后重放，从而造成信息重复和混乱。 拒绝服务（DOS,Denial of Service）：指阻止对信息或其它资源的合法访问。 病毒：是指编制或在计算机系统中插入破坏计算机功能或数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。它直接威胁计算机系统和数据文件，破坏信息系统的正常运行。 * 1.1.3 信息系统安全及其目标1、信息系统安全 国际标准化组织ISO对“计算机安全”的定义：是指为信息处理系统建立和采取的技术上的和管理上的安全保护措施，保护系统中硬件、软件及数据，不因偶然或恶意的原因而遭受破坏、更改或泄漏。 “计算机安全”一词一直处在不断的演变之中，从最初的保证硬件的安全到保证信息系统及信息资源的安全，使得计算机安全的内容变得愈加复杂。 * 从定义可见： ①由于信息系统是以计算机为工具，对信息进行采集、存储、加工、分析和传输的，因此计算机安全又可称为信息系统安全。 ②1983年Sun公司提出的“网络就是计算机”，即将网络作为一种系统加以推广。网络安全是计算机安全概念在网络环境下的扩展和延伸，它的目标是保证网络中的硬件、软件和数据免遭破坏、更改和泄漏。 * 2、信息系统的安全目标 安全目标（Security Goal）是指能够满足一个组织或者个人的所有安全需求，通常包括必威体育官网网址性、完整性和可用性。 必威体育官网网址性(Confidentiality)：防止非授权访问信息。 完整性(Integrity)： 防止非法篡改和破坏信息。 可用性(Availability)： 防止系统拒绝服务。 * 1.2.1 信息系统安全模型 信息系统安全的内容主要包括安全技术、安全管理和安全法规。 信息系统安全模型是一个层次结构，如图1-2所示。 * 信息系统安全层次模型 图1-2 信息系统安全层次模型 各层次之间相互依赖，下层向上层提供支持，上层依赖于下层的功能，最终实现信息系统的安全。 * （1）第一层是法律制度与道德规范。是指由政府部门所制定的一系列有关计算机犯罪的法令和法规，用于规范和制约人们的思想与行为，将信息安全纳入规范化、法制化和科学化的轨道。 如必威体育官网网址法、数据保护法、计算机安全法、计算机犯罪法、计算机系统安全标准、数据和信息安全标准等（指“社会规范”和“技术规范”两方面）。 * 信息系统安全层次模型 图1-2 信息系统安全层次模型 * （2）第二层是管理制度的建立与实施。是指保证信息系统安全所制定的安全管理制度和规定，是实现信息系统安全的重要保证。 主要包括安全管理人员的教育培训、制度落实、职责的检查等内容。例如某部门或某单位的计算机信息系统安全管理条例。 * 信息系统安全层次模型 图1-2 信息系统安全层次模型 * （3）第三、四层是物理实体的安全与硬件系统保护。计算机物理上安全与硬件系统的保护是信息系统安全不可缺少的重要环节。 一是必须对自然灾害加强防护，如防火、防水、防雷击等； 二是采取必要的措施防止计算机设备被盗，如添加锁、设置警铃、刻上标签、购置机柜等； 三是尽量减少对硬件的损害，例如消除静电、系统接地、键盘安全套、杜绝电磁干扰信号（攻击者可能利用计算机硬件设备的电子辐射了解系统的内部信息，因此要对计算机系统进行屏蔽，防电子辐射）； 四是配置不间断电源UPS（Uninterruptible Power Supply）。在遇到停电时，UPS能立即切换到内部电池供电，并提供一个临时电源，以便坚持到供电恢复。 * 信息系统安全层次模型 图1-2 信息系统安全层次模型 * （4）第五层至第七层是网络、软件和信息安全。通信网络、软件系统和信息安全必威体育官网网址技术是信息系统安全的关键，是信息安全技术研究的主要内容。 由信息系统安全层次模型可知，信息系统安全的内容包括安全技术、安全管理和安全法规。 * 1.3 信息系统安全体系结构 国际标准化组织ISO（International Standand Organization），于1989年在OSI参考模型的七层协议基础之上，提出了OSI（Open System Interconnetion）安全体系结构，定义了5种安全服务和实现这些安