《02计算机系统安全概述2》.ppt

计算机系统安全概述 李晓勇 课程内容 信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准 信息安全概念 ISO的定义： 为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。 信息系统安全概念 确保以电磁信号为主要形式的，在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、环境有关的技术和管理规程的有机集合。 ——戴宗坤 罗万伯 《信息系统安全》 信息安全的发展历史 信息安全的发展经历了三个历史时期： 通信安全（COMSEC） 必威体育官网网址性。 信息安全（INFOSEC） 必威体育官网网址性、完整性、可用性。 信息保障（IA） 必威体育官网网址性、完整性、可用性、可控性、不可否认性 方滨兴院士 方滨兴院士 方滨兴院士 信息安全内容 不统一： ISO/IEC17799 ISO/IEC 15408 ISO/IEC TR13335 ISO7498-2 。。。 ISO/IEC 17799 信息安全内容: 必威体育官网网址性（Confidentiality) 完整性（Integrity) 可用性（Availability) ISO/IEC TR 13335-1 安全内容: Confidentiality (必威体育官网网址性) Integrity (完整性) Availability (可用性) Non-repudiation (不可抵赖性) Accountability (可追踪性) Authentity Reliability (真实性和可靠性) ISO 7498-2 信息安全服务: 认证 访问控制 必威体育官网网址性 完整性 不可否认性 方滨兴院士 方滨兴院士 必威体育官网网址性 保证机密信息不会泄露给非授权的人或实体，或供其使用的特性 案例 完整性 防止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿 案例 可用性 保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其它人为因素造成的系统拒绝服务，或为敌手可用，信息系统能够在规定的条件下和规定的时间内完成规定的功能 案例 身份真实性 能对通信实体身份的真实性进行鉴别 案例 系统可控性 能够控制使用资源的人或实体的使用方式 案例 不可抵赖性 建立有效的责任机制，防止实体否认其行为 案例 可审查性 对出现的网络安全问题提供调查的依据和手段 案例 信息安全认识 安全要素： 资产 弱点 威胁 风险 安全控制 ISO/IEC 15408：安全概念 信息安全风险评估指南：安全概念 NIST SP800-33 安全目标 可用性 完整性 必威体育官网网址性 可追踪性 保证性 安全服务模型 可用性服务 完整性服务 必威体育官网网址性服务 可追踪性服务 保证服务 课程内容 信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准 攻击过程示例 攻击过程总结 踩点 攻击 留下暗门 消灭踪迹（没做好） ../../../../信息安全储备/攻防/服务器安全技巧：Unix系统的攻击和防范%20%20DOSERV_com%20服务器在线.htm ？ 演示3 可能破坏？ 讨论 攻击分析 攻击者 动机 能力和机会 攻击种类 攻击者 恶意 国家 黑客 恐怖分子/计算机恐怖分子 有组织犯罪 其它犯罪成员 国际新闻社 工业竞争 不满雇员 非恶意 粗心或未受到良好培训的雇员 动机 获取机密或敏感数据的访问权 跟踪或监视目标系统的运行（跟踪分析） 破坏目标系统的运行 窃取钱物、产品或服务 获取对资源的免费使用 使目标陷入窘境 攻克可击溃安全机制的技术挑战 攻击风险 暴露其进行其它类型攻击的能力 打草惊蛇，尤其是当可获取的攻击利益巨大时引起目标系统的防范 遭受惩罚（如罚款、坐牢等） 危及生命安全 能力和机会 能力因素 施展攻击的知识和技能 能否得到所需资源 机会 系统的漏洞、错误配置、未受保护环境 安全意识薄弱 攻击种类 被动攻击 主动攻击 临近攻击 内部人员攻击 分发攻击 攻击对策 课程内容 信息安全历史、概念和关系 安全攻击分析 安全模型 风险管理 安全体系 重要安全标准 基于时间的PDR安全模型 P—Protection、D—Detection、R—React WPDRRC模型 模型的价值 用户： 提高安全认识 厂商: 围绕利益 小结 安全概念 安全认识 安全模型 课程内容 信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准 风险