3第二章信息安全基础06.pptVIP

  1. 1、本文档共44页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
2009-3-10 信息保障与安全06级 第二章 信息安全基础 2.1 信息不安全因素 下面每组内的两项信息处理工作应分开 (1)计算机操作与计算机编程 (2)机密资料的接收和传送 (3)安全管理和系统管理 (4)应用程序和系统程序的编制 (5)访问证件的管理与其他工作 (6)计算机操作与信息处理系统使用媒介的保管等 2.2 信息攻击 2.2.1 口令攻击 攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能够猜测或者确定用户的口令,就能获得机器或者网络的访问权限,并能访问到用户能到的任何资源。 口令猜测前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,主要有以下几种: (1)利用目标主机的Finger功能 (2)利用目标主机的X.500服务 (3)从电子邮件地址中收集 (4)查看主机是否有习惯性的帐号 2.2.6 对于域名系统等基础设施的破坏 1.基本的网站欺骗 2.中间人攻击 3.URL重写 2.2.7 利用Web破坏数据库 Web数据库是基于Internet /Intranet的应用系统,由于互联网的开放性和通信协议的安全缺陷,以及在网络环境中数据存储和对其访问与处理的分布性特点,网上传输的数据很容易受到破坏、窃取、篡改、转移和丢失。另外,用户在操作、管理以及对系统的安全设置上的失误,同样给网络安全带来危害。 2.3 信息安全需求分析 2.3.1 防护安全 防护安全在现今的企业体制中已经不可缺少,如何运用最少的人力物力完成最大的防护效能,才是考虑的重点。对于防护系统的建设,应考虑以下几个因素: (1)全方位的防护功能,能够考虑到所有可能的入侵通道 (2)具有多层架构的防护机制 (3)易于集中管理及维护,具有自动更新升级的能力 (4)中央控管的防护规则,完全不需使用者设定,提高信息人员的效率 (5)具有防护统计报告能力,易于掌握整个防护计划 4.安全管理本身涉及信息的安全 这一类安全管理的功能将选择适当的安全服务和安全机制来确保安全管理协议和信息获得足够的保护. 2.3.4 安全评估 1.可信计算机系统评估标准(TCSEC) (1)可信计算机系统评估标准原则(P25) 安全策略 客体标记 主体识别 可检查性 保证 连续保护 (2)评估标准的安全等级 ①D类 ②C类 ③B类 ④A类 信息安全标准 标准的重要性 信息社会的信息安全是建立在信息系统互连、互通、互操作意义上的安全需求,因此需要技术标准来规范系统的建设和使用。 没有标准就没有规范,没有规范就不能形成规模化信息安全产业,生产出足够的满足社会广泛需要的产品。没有标准也不能规范人们安全防范行为。 国际上的信息安全标准涉及到有关密码应用和信息系统安全两大类。 制定标准的机构有国际标准化组织,某些国家的标准化机关和一些企业集团。他们的工作推动了信息系统的规范化发展和信息安全产业的形成。 标准是科研水平、技术能力的体现,反映了一个国家的综合实力。 标准也是进入WTO的国家保护自己利益的重要手段。 国际标准的发展 国际上著名的标准化组织及其标准化工作 ISO,NIST 密码标准 DES AES NESSIE(New European Schemes for Signature, Integrity, and Encryption) 140-2 (NIST FIPS PUB 密码模块) 可信计算机系统评价准则 TCSEC-ITSEC-CC 管理标准 ISO 17799 权威的传统评估标准 美国国防部在1985年公布 可信计算机安全评估准则 Trusted Computer Security Evaluation Criteria (TCSEC) 为安全产品的测评提供准则和方法 指导信息安全产品的制造和应用 传统评估标准的演变 美国DoD DoD85 TESEC TCSEC网络解释(TNI 1987) TCSEC数据库管理系统解释(TDI 1991) 彩虹系列Rainbow series 欧洲 – ITSEC 美国、加拿大、欧洲等共同发起Common Criteria(CC) TC

文档评论(0)

jdy261842 + 关注
实名认证
文档贡献者

分享好文档!

1亿VIP精品文档

相关文档