华南农业大学彭思喜电商安全教程2单元网络安全基础课件.pptVIP

2.5 安全评估标准 B： 强制安全保护类 要求实行强制型访问控制政策 B1 ：标记安全保护 B2： 结构安全保护 B3： 安全区域级保护 (4) A： 验证安全保护类 要求用形式化的方法证明系统的安全型 TCSEC 四类、七个级别 2.5 安全评估标准 第一级用户自主保护级 第二级系统审计保护级 第三级安全标记保护级 第四级结构化保护级 第五级访问验证级保护 我国的等级评估标准 SCAU Economic and Management College 主讲人：经济管理学院营销系　彭思喜 电子商务安全与必威体育官网网址 第2章：网络安全基础 本章主要内容 五、安全评估标准 一、网络安全问题的提出 二、计算机网络安全的威胁 三、什么是计算机网络安全 四、网络安全模型结构 2.1网络安全问题提出 在信息社会中，网络信息安全与必威体育官网网址是关系国家主权和安全、社会的稳定、民族文化的继承和发扬的重要问题。从技术角度看，网络信息安全与必威体育官网网址是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘综合性学科。 2.2 计算机网络安全的威胁 归纳起来，目前计算机网络安全的威胁除了来自各种自然灾害等不可抗拒的因素外，其他主要的威胁，来自以下几个方面： 来自外部的各种恶意攻击 系统本身的安全缺陷 各种应用软件漏洞 2.2 计算机网络安全的威胁 人为的恶意攻击是有目的的破坏。恶意攻击可以分为主动攻击和被动攻击。 主动攻击是指以各种方式有选择地破坏信息(如：添加、修改、删除、伪造、重放、乱序、毛虫、病毒等）。 被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦听、截获、窃取、破译和业务流量分析及电磁泄露等。 2.2.1　恶意攻击 2.2 计算机网络安全的威胁 人为的恶意攻击是具有明显企图，其危害性相当大，给国家安全、知识产权和个人信息带来巨大的威胁。人为恶意攻击具有以下特性： （1）智能性 从事恶意工具的人员大都具有相当高的专业技术和熟练的操作技能。文化程度比较高，攻击前经过了周密的预谋和精心策划。 恶意攻击的特性 2.2 计算机网络安全的威胁 （2）严重性 涉及到金融资产的网络信息系统的恶意攻击，资金损失巨大，导致金融机构、企业蒙受重大损失，甚至破产。同时也给社会稳定带来震荡。 （3）隐蔽性 人为恶意攻击的隐蔽性很强，不易引起怀疑，破案的技术难度大。 （4）多样性 恶意攻击的特性 2.2 计算机网络安全的威胁 （1）信息战 （2）商业间谍 （3）窃听 （4）流量分析 （5）破坏信息系统 （6）重发 有代表性的恶意攻击 2.2 计算机网络安全的威胁 （7）假冒 （8）拒绝服务 （9）资源的非授权使用 （10）干扰 （11）病毒 （12）诽谤 有代表性的恶意攻击 2.2 计算机网络安全的威胁 网络信息系统是计算机技术和通信技术的结合。计算机系统的安全缺陷和通信链路的安全缺陷构成了网络信息系统的安全缺陷。 计算机硬件资源易受自然灾害和人为破坏；软件资源和数据信息易受计算机病毒的侵扰，非授权用户的复制、篡改和毁坏。 通信链路也易受自然灾害和人为破坏，采用主动攻击和被动攻击可以窃听通信链路的信息并非法进入计算机网络获取有关敏感信息。 2.2.2 安全缺陷 2.2 计算机网络安全的威胁 1. 后门 后门是一个程序模块中秘密的未记入文档的入口。 一般后门是在程序开发时插入的一小段程序，其目的是测试这个模块，或是为了更改和升级程序，或者是为了将来发生故障后，为程序员提供方便等合法用途。通常在程序开发后期将去掉这些后门。但是由于各种有意或无意的原因，后门有可能被保留下来。 2.2.3 软件漏洞 2.2 计算机网络安全的威胁 后门实例： （1）逻辑炸弹 （2）遥控旁路 （3）远程维护 （4）非法通信 （5）贪婪程序 2.2.3 软件漏洞 2.2 计算机网络安全的威胁 2. 操作系统的安全漏洞 （1）输入/输出非法访问 （2）访问控制的混乱 （3）不完全的中介 （4）操作系统陷门 2.2.3 软件漏洞 2.2 计算机网络安全的威胁 3. 协议本身的安全漏洞