資源描述:
《信息與網(wǎng)絡(luò)安全簡介》由會員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1���、信息與網(wǎng)絡(luò)安全簡介(AnOverviewofInformationandNetworkSecurity)本章內(nèi)容1.1信息安全的威脅1.2信息安全的基本要求1.3信息安全的范圍1.4信息系統(tǒng)的安全分析1.5安全的信息系統(tǒng)架構(gòu)1.6法律觀點(diǎn)231.1信息安全的威脅信息安全的目的—在于保護(hù)所有信息系統(tǒng)資源防止未經(jīng)授權(quán)者得到有價值的信息。防止未經(jīng)授權(quán)者偷竊或復(fù)制軟件��。避免計算機(jī)資源(例如打印機(jī)����、內(nèi)存等)被盜用。避免計算機(jī)設(shè)備受到災(zāi)害的侵襲�。4信息安全的威脅天然或人為-天然的威脅原因:天然災(zāi)害-人為的威脅原因:管理人員的疏忽蓄意
2、或無意-蓄意的威脅原因:企圖破壞系統(tǒng)安全-無疑的威脅原因:系統(tǒng)管理不良主動或被動-被動的威脅原因:不會更改計算機(jī)系統(tǒng)資料-主動的威脅對象:計算機(jī)系統(tǒng)上資料會被篡改實(shí)體或邏輯-實(shí)體的威脅對象:實(shí)際存在的硬件設(shè)備-邏輯的威脅對象:計算機(jī)系統(tǒng)上的資料1.2信息安全的基本需求5信息安全基本需求機(jī)密性審核訪問控制不可否認(rèn)性驗(yàn)證性可用性完整性6確保信息的機(jī)密,防止機(jī)密信息泄露給未經(jīng)授權(quán)的用戶��。機(jī)密性數(shù)據(jù)內(nèi)容不能被而僅能被授權(quán)者所訪問�。未經(jīng)授權(quán)者所竊取��,存取包括讀出����、瀏覽及列印。另外「數(shù)據(jù)是否存在于系統(tǒng)」也是一項很重要信息�����?���?赏ㄟ^資料
3、加密程序來達(dá)到數(shù)據(jù)的保密性或機(jī)密性��。保密性或機(jī)密性7完整性數(shù)據(jù)內(nèi)容僅能被合法授權(quán)者所更改���,不能被未經(jīng)授權(quán)者所篡改或偽造���。數(shù)據(jù)完整性必須確保數(shù)據(jù)傳輸時不會遭受篡改,以保證數(shù)據(jù)傳輸內(nèi)容的完整性?!皵?shù)字簽名”可用來確保數(shù)據(jù)在傳輸過程中不會被黑客篡改及偽造,從而保證數(shù)據(jù)的完整性�����。8驗(yàn)證性驗(yàn)證性包括身份驗(yàn)證(EntityAuthentication)及數(shù)據(jù)或消息來源驗(yàn)證(DataorMessageAuthentication)��。信息來源的驗(yàn)證是要能確認(rèn)數(shù)據(jù)信息的傳輸來源��,以避免有惡意的傳送者假冒原始傳送者傳送不安全的信息內(nèi)容���。�����。一
4��、般均利用數(shù)字簽名或數(shù)據(jù)加密等方式來解決信息的來源驗(yàn)證問題��。身份驗(yàn)證對于用戶身份的識別而言�����,系統(tǒng)必須快速且正確地驗(yàn)證身份�����。�。為了預(yù)防暴力攻擊者的惡意侵犯,對于用戶身份驗(yàn)證的時效性比信息驗(yàn)證要嚴(yán)謹(jǐn)�。。9可用性確保信息系統(tǒng)運(yùn)行過程的正確性��,以防止惡意行為導(dǎo)致信息系統(tǒng)毀壞(Destroy)或延遲(Prolong)����。10不可否認(rèn)性在信息安全需求中�,對于傳送方或接收方,都不能否認(rèn)曾進(jìn)行數(shù)據(jù)傳輸�����、接收和交易等行為�����,即傳送方不得否認(rèn)曾傳送過某份數(shù)據(jù)���,而接收方也無法否認(rèn)未曾接收到某信息數(shù)據(jù)�。數(shù)字簽名及公開密鑰基礎(chǔ)設(shè)施(PublicKeyI
5、nfrastructure���,PKI)對用戶身份及信息來源做身份驗(yàn)證(UserAuthentication)及數(shù)據(jù)來源驗(yàn)證(MessageAuthentication)����,并可再與用戶在系統(tǒng)上的活動進(jìn)行連接����,從而實(shí)現(xiàn)權(quán)責(zé)分明及不可否認(rèn)性。11訪問控制信息系統(tǒng)內(nèi)每位用戶依其服務(wù)等級而有不同的使用權(quán)限���。服務(wù)等級越高者其權(quán)限越大���,相反的,服務(wù)等級越小者其權(quán)限越小�。訪問控制主要是根據(jù)系統(tǒng)的授權(quán)策略,對用戶做授權(quán)驗(yàn)證�����,以確認(rèn)其是否為合法授權(quán)者��,防止未經(jīng)授權(quán)者訪問計算機(jī)系統(tǒng)及網(wǎng)絡(luò)資源�����。12審核信息系統(tǒng)不可能達(dá)到絕對安全,也就是百分之百的
6�����、安全���。因此����,必須通過審核記錄(AuditLog)來追蹤非法用戶���,一旦發(fā)生入侵攻擊事件,就可以盡快找到發(fā)生事件的原因�����,以作為恢復(fù)系統(tǒng)(Recovery)并預(yù)防此類入侵的手法��,從而防止系統(tǒng)再一次被入侵����。13信息安全的領(lǐng)域相當(dāng)廣泛���,所有可確保信息系統(tǒng)正常運(yùn)行并確保機(jī)密數(shù)據(jù)的保密性及完整性的機(jī)制都涵蓋在內(nèi)。1.3信息安全的范圍14信息管理系統(tǒng)架構(gòu)數(shù)據(jù)庫管理系統(tǒng)計算機(jī)操作系統(tǒng)管理信息系統(tǒng)國際網(wǎng)絡(luò)網(wǎng)際網(wǎng)絡(luò)15組織中完整的安全系統(tǒng)元件用戶系統(tǒng)的用戶可能是組織中的員工或顧客����。操作介面對于不同等級的用戶,必須提供不同的頁面����。后端處理程序負(fù)
7、責(zé)處理回應(yīng)用戶所要求的服務(wù)�����,若用戶要取得數(shù)據(jù)庫中的數(shù)據(jù)����,也必須通過此系統(tǒng)元件存取,后端程序可說是系統(tǒng)中的靈魂�����。組織中完整的安全系統(tǒng)元件(續(xù))數(shù)據(jù)庫負(fù)責(zé)保存重要數(shù)據(jù)與一般數(shù)據(jù)���。依據(jù)不同需求���,有不同的數(shù)據(jù)格式與存儲方式��。171.4信息系統(tǒng)的安全分析18弱點(diǎn)分析對整個系統(tǒng)架構(gòu)進(jìn)行了解及測試�����,系統(tǒng)架設(shè)了哪些硬件�,例如路由器(Router)�、橋接器(Bridge)、網(wǎng)關(guān)(Gateway)及防火墻(Firewall)等�;使用了哪一種操作系統(tǒng),例如Linux�、WinNT及NovellNetwork;使用了哪些通信協(xié)議�,例如TCP/IP
8���、�、Ethernet及ISDN等����;安裝了哪些應(yīng)用軟件,例如FTP��、WWW及工資管理信息系統(tǒng)等;哪些人會使用本系統(tǒng)��,授權(quán)了哪些權(quán)限給用戶等��。管理者了解這些信息后�,進(jìn)而分析系統(tǒng)的弱點(diǎn)在哪里,哪些人有可能會來攻擊���,他們的目的是什么�����,以及要攻擊哪些地方����。19威脅分析了解系統(tǒng)的弱點(diǎn)之后���,接著要分析系統(tǒng)可能會遭受到的安全威脅及攻擊
