資源描述:
《信息與網(wǎng)絡安全簡介》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、信息與網(wǎng)絡安全簡介(AnOverviewofInformationandNetworkSecurity)本章內(nèi)容1.1信息安全的威脅1.2信息安全的基本要求1.3信息安全的范圍1.4信息系統(tǒng)的安全分析1.5安全的信息系統(tǒng)架構(gòu)1.6法律觀點231.1信息安全的威脅信息安全的目的—在于保護所有信息系統(tǒng)資源防止未經(jīng)授權(quán)者得到有價值的信息。防止未經(jīng)授權(quán)者偷竊或復制軟件�。避免計算機資源(例如打印機、內(nèi)存等)被盜用����。避免計算機設備受到災害的侵襲。4信息安全的威脅天然或人為-天然的威脅原因:天然災害-人為的威脅原因:管理人員的疏忽蓄意
2���、或無意-蓄意的威脅原因:企圖破壞系統(tǒng)安全-無疑的威脅原因:系統(tǒng)管理不良主動或被動-被動的威脅原因:不會更改計算機系統(tǒng)資料-主動的威脅對象:計算機系統(tǒng)上資料會被篡改實體或邏輯-實體的威脅對象:實際存在的硬件設備-邏輯的威脅對象:計算機系統(tǒng)上的資料1.2信息安全的基本需求5信息安全基本需求機密性審核訪問控制不可否認性驗證性可用性完整性6確保信息的機密�,防止機密信息泄露給未經(jīng)授權(quán)的用戶��。機密性數(shù)據(jù)內(nèi)容不能被而僅能被授權(quán)者所訪問。未經(jīng)授權(quán)者所竊取�,存取包括讀出、瀏覽及列印����。另外「數(shù)據(jù)是否存在于系統(tǒng)」也是一項很重要信息?��?赏ㄟ^資料
3��、加密程序來達到數(shù)據(jù)的保密性或機密性�。保密性或機密性7完整性數(shù)據(jù)內(nèi)容僅能被合法授權(quán)者所更改��,不能被未經(jīng)授權(quán)者所篡改或偽造�����。數(shù)據(jù)完整性必須確保數(shù)據(jù)傳輸時不會遭受篡改�����,以保證數(shù)據(jù)傳輸內(nèi)容的完整性�����?����!皵?shù)字簽名”可用來確保數(shù)據(jù)在傳輸過程中不會被黑客篡改及偽造���,從而保證數(shù)據(jù)的完整性�����。8驗證性驗證性包括身份驗證(EntityAuthentication)及數(shù)據(jù)或消息來源驗證(DataorMessageAuthentication)����。信息來源的驗證是要能確認數(shù)據(jù)信息的傳輸來源����,以避免有惡意的傳送者假冒原始傳送者傳送不安全的信息內(nèi)容。����。一
4��、般均利用數(shù)字簽名或數(shù)據(jù)加密等方式來解決信息的來源驗證問題��。身份驗證對于用戶身份的識別而言��,系統(tǒng)必須快速且正確地驗證身份���。。為了預防暴力攻擊者的惡意侵犯��,對于用戶身份驗證的時效性比信息驗證要嚴謹�。。9可用性確保信息系統(tǒng)運行過程的正確性���,以防止惡意行為導致信息系統(tǒng)毀壞(Destroy)或延遲(Prolong)���。10不可否認性在信息安全需求中,對于傳送方或接收方�,都不能否認曾進行數(shù)據(jù)傳輸、接收和交易等行為��,即傳送方不得否認曾傳送過某份數(shù)據(jù)��,而接收方也無法否認未曾接收到某信息數(shù)據(jù)��。數(shù)字簽名及公開密鑰基礎(chǔ)設施(PublicKeyI
5��、nfrastructure,PKI)對用戶身份及信息來源做身份驗證(UserAuthentication)及數(shù)據(jù)來源驗證(MessageAuthentication)�,并可再與用戶在系統(tǒng)上的活動進行連接,從而實現(xiàn)權(quán)責分明及不可否認性���。11訪問控制信息系統(tǒng)內(nèi)每位用戶依其服務等級而有不同的使用權(quán)限。服務等級越高者其權(quán)限越大���,相反的�����,服務等級越小者其權(quán)限越小����。訪問控制主要是根據(jù)系統(tǒng)的授權(quán)策略����,對用戶做授權(quán)驗證,以確認其是否為合法授權(quán)者�����,防止未經(jīng)授權(quán)者訪問計算機系統(tǒng)及網(wǎng)絡資源�。12審核信息系統(tǒng)不可能達到絕對安全,也就是百分之百的
6�����、安全。因此���,必須通過審核記錄(AuditLog)來追蹤非法用戶��,一旦發(fā)生入侵攻擊事件��,就可以盡快找到發(fā)生事件的原因��,以作為恢復系統(tǒng)(Recovery)并預防此類入侵的手法�,從而防止系統(tǒng)再一次被入侵����。13信息安全的領(lǐng)域相當廣泛,所有可確保信息系統(tǒng)正常運行并確保機密數(shù)據(jù)的保密性及完整性的機制都涵蓋在內(nèi)�����。1.3信息安全的范圍14信息管理系統(tǒng)架構(gòu)數(shù)據(jù)庫管理系統(tǒng)計算機操作系統(tǒng)管理信息系統(tǒng)國際網(wǎng)絡網(wǎng)際網(wǎng)絡15組織中完整的安全系統(tǒng)元件用戶系統(tǒng)的用戶可能是組織中的員工或顧客���。操作介面對于不同等級的用戶�,必須提供不同的頁面。后端處理程序負
7����、責處理回應用戶所要求的服務,若用戶要取得數(shù)據(jù)庫中的數(shù)據(jù)��,也必須通過此系統(tǒng)元件存取���,后端程序可說是系統(tǒng)中的靈魂�����。組織中完整的安全系統(tǒng)元件(續(xù))數(shù)據(jù)庫負責保存重要數(shù)據(jù)與一般數(shù)據(jù)。依據(jù)不同需求��,有不同的數(shù)據(jù)格式與存儲方式��。171.4信息系統(tǒng)的安全分析18弱點分析對整個系統(tǒng)架構(gòu)進行了解及測試����,系統(tǒng)架設了哪些硬件,例如路由器(Router)�、橋接器(Bridge)、網(wǎng)關(guān)(Gateway)及防火墻(Firewall)等�;使用了哪一種操作系統(tǒng),例如Linux、WinNT及NovellNetwork���;使用了哪些通信協(xié)議���,例如TCP/IP
8、����、Ethernet及ISDN等;安裝了哪些應用軟件���,例如FTP��、WWW及工資管理信息系統(tǒng)等�;哪些人會使用本系統(tǒng)��,授權(quán)了哪些權(quán)限給用戶等��。管理者了解這些信息后��,進而分析系統(tǒng)的弱點在哪里�,哪些人有可能會來攻擊,他們的目的是什么�����,以及要攻擊哪些地方。19威脅分析了解系統(tǒng)的弱點之后�����,接著要分析系統(tǒng)可能會遭受到的安全威脅及攻擊
