- 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
安全的资讯系统架构电脑系统之六个安全性层次-淡江大学.ppt
資訊安全導論淡江大學 資訊管理系侯 永 昌.tw/~ychou .tw/Prof_Hou 前言 利用電腦來傳遞、存取、及處理資訊已是趨勢,要如何保護在網路中傳遞及儲存於電腦系統之資料,只允許經授權的人存取,免於遭受未經授權人員之竊取、篡改、偽造、及破壞等不法行為之威脅,則是資訊時代的當務之急 機密資料:指軍事、情報、以及有關國家安全之資料 敏感資料:指政府、機構、企業具敏感性之資料 正確資料:保護資料之正確性及有效性,禁止該資料被破壞、偽造及篡改 前言 資訊安全的目的—在於保護所有資訊系統資源 防止未經授權者得到有價值的資訊 防止未經授權者偷竊或拷貝軟體 避免電腦資源(例如,印表機、記憶體等)被盜用 避免電腦設備受到災害的侵襲 資訊系統之安全分析 弱點分析(Vulnerability analysis):對整個系統架構進行了解與測試,進而分析系統的弱點在哪裡,提供管理者相關資訊,進而加強安全防護 硬體(路由器、橋接器、閘道器、防火牆、…) 作業系統(Linux, Win NT, Novell Network, …) 通訊協定(TCP/IP, Ethernet, ISDN, …) 應用軟體(FTP, WWW, 薪資管理系統、…) 哪些人會使用本系統,授權了哪些權限給使用者 … 資訊系統之安全分析 威脅分析(Threat analysis):針對系統弱點,分析系統可能遭受的安全威脅及攻擊 電子郵件 Telnet遠端登入 病毒 竊取高權限的帳號 刪除或竊取檔案 … 系統管理員應隨時上網瀏覽必威体育精装版駭客入侵資訊,以防止安全危機的發生 資訊系統之安全分析 對策分析(Countermeasure analysis):針對系統弱點及所面對的安全威脅,研擬安全策略及所需的安全機制 存取控制 使用者認證 加密 數位簽章 … 應對所採用的安全機制做成本效益分析 資訊系統之安全分析 風險分析(Risk analysis):評估及分析系統風險,對於部份重要資料,我們必須採取進一步的安全防護 定期備份 回復處理 … 以確保重要資料的正確性,降低問題發生時所帶來的損失與風險 通常投資在資訊安全的費用約在發生損失時的10%~100%之間 資訊安全的威脅 天然或人為 天然:颱風、地震、水災、火災 人為:疏失、蓄意破壞 蓄意或無意 蓄意:從中獲取不當利益、測驗本身的功力 無意:系統管理不良、人為疏忽 主動或被動 主動:利用大量封包傳送癱瘓受害者的電腦、篡改傳送中封包的資料、傳送假資訊給受害人 被動:窺探機密資訊,以獲取不當利益或得知別人隱私 實體或邏輯 實體:對象為實際存在的硬體設備 邏輯:對象為資訊系統上的資料 資訊安全的基本需求(一) 資訊安全的基本需求(二) 必威体育官网网址性或機密性(Confidentiality) 確保資訊的機密,防止機密資訊洩漏給未經授權的使用者 「機密是否存在」也是一項重要訊息,必須加以必威体育官网网址 確保資料的機密性可透過加密的程序來達到 完整性(Integrity) 確保資訊內容僅能被合法授權者所更改,不能被未經授權者所篡改或偽造 數位簽章可用來確保資料在傳輸過程中,不會被駭客篡改或偽造 資訊安全的基本需求(三) 鑑別性或認證性(Authentication) 身分鑑別:根據使用者的身分可進一步執行存取控制,以限制使用者的執行權限,一般多使用帳號、密碼來解決身分鑑別的問題 資料來源鑑別:以避免他人假冒原始傳送者,傳來不安全的訊息內容,一般多使用數位簽章或資訊加密來解決資料來源鑑別的問題 資訊安全的基本需求(四) 可用性(Availability) 確保資訊系統運作過程的正確性,提供有效及正確的資料給合法的使用者 防止惡意行為導致資訊系統被破壞或作業延遲 一般多用存取控制的保護機制和完整性檢查來確保系統的可用性 不可否認性(Non-repudiation) 資訊的傳送方或接收方都不能否認曾經進行資料的傳送或接收,以釐清權責歸屬 可以利用數位簽章與公開金鑰架構對使用者身份及資料來源做驗證 資訊安全的基本需求(五) 存取控制(Access control) 根據系統之授權策略,對使用者做授權驗證,以確認該使用者是否擁有合法之使用權限 並不是所有的合法使用者均可使用系統的所有服務,必須依使用者是否被授權而定 一般多使用存取控制串列(Access Control List; ACL)來做授權驗證 稽核(Audit) 一旦發生入侵事件,可以藉由稽核系統日誌(Log)來追蹤非法使用者,找出前因後果,以回復系統(Recovery)及防止系統再一次被入侵 資訊安全的範疇 使用者 透過教育訓練,建立道德觀;簽訂契約並訂出罰則,以確保組織的權益 操作介面 不同等級的使用者必須提供不同的介面 後端處理程式 不同權限的使用者必須有不
您可能关注的文档
- XDT-98A通用电工、电子、电力拖动(带直流电机)实验室成套设备.doc
- XK-BFK型变压器风冷智能控制柜说明书-保定旭凯电气有限公司.PDF
- XKD99Z电磁流量计.cdr-上海星空自动化仪表有限公司.PDF
- XMT-3A系列PID智能数显调节仪使用说明-常州汇邦电子有限公司.PDF
- XPS的物理基础光电效应。.ppt
- XPT4068简介-深圳市矽普特科技有限公司.PDF
- X§3-5LTI系统的频域分析.ppt
- YD30系列集成加速度传感器.PDF
- YG021D---3型半自动单纱强力机-常州市双固顿达机电科技有限公司.doc
- Z15-1工程实践操作作业书(EE2电力电子与调速技术—A类).PDF
文档评论(0)