信息安全与保密.ppt

.目 录第四章第四章 访问控制访问控制第五章第五章 审审 计计 第一章第一章 信息安全概论信息安全概论第二章 密 码 学第三章第三章 数据的完整性保护数据的完整性保护.一、计算机系统的脆弱性：n n 电磁泄露n n 数据的可访问性n n 数据存储的高密度n n 磁性介质的剩磁效应n n 信息的聚生性n n 不易查觉性n n 通信与网络的弱点.二、对计算机系统安全的主要威胁 1、中断（interruption）：是指威胁源使系统的资源受到破坏或不能是指威胁源使系统的资源受到破坏或不能使用，从而使得数据的流动或所提供的服务被使用，从而使得数据的流动或所提供的服务被中止。中止。2、窃取 (interception)：威胁源未经许可，但却获得了对系统资源威胁源未经许可，但却获得了对系统资源的访问权，从中窃取的访问权，从中窃取 了有用的数据或骗取了某了有用的数据或骗取了某种服务。种服务。.3、更改 (modification)：威胁源虽然未经许可，但却成功地获得了对威胁源虽然未经许可，但却成功地获得了对系统某项资源的访系统某项资源的访 问权，并更改了该项资源。问权，并更改了该项资源。4、伪造 (fabrication)：威胁源在未经许可的情况下，在系统中产生威胁源在未经许可的情况下，在系统中产生出虚假的数据或服务。出虚假的数据或服务。5、重放 (replay)：在网络通信中重放以前截收到的过时的信息，在网络通信中重放以前截收到的过时的信息，使收方落入陷阱。使收方落入陷阱。6、冒充 (impersonation)：一个实体假冒另一个实体的身份是一种常一个实体假冒另一个实体的身份是一种常见的网络攻击手段。见的网络攻击手段。.7、抵赖：在网络通信中,用户可能为了自身的利益,否认自己曾经有过的行为。计算机犯罪（计算机犯罪（Computer Crime）：）：广义地说，计算机犯罪是指“一切与计算机有关的犯罪”。.三、信息系统的安全：对信息系统安全防护方法可分为四类 ：1、物理安全 2、人事安全 3、法律安全 4、技术安全 .四、信息安全的主要技术：信信息息主要是指存放在信息系统中的数据和程序。信信息息安安全全则是指这些数据和程度在被存储、处理、执行和传输中的安全，主要包括以下几个方面。1、保 密 性 信息的保密性是指信息不能被未得到授权的用户所获取。即信息在非授权情况下的泄露，保密性是否安全的一个主要标志。.2、完 整 性 信息的完整性是指信息在任何情况下保持不被篡改，不被破坏和不被丢失的特性。即保持原型。3、可 用 性 信息的可用性是指当需要时，能访问到所需要的信息资源，避免出现拒绝服务的现象。.4、可 控 性 可控性是指可以在授权范围内控制信息的流向及行为方式，对信息的传播及内容具有控制的能力。5、抗 抵 赖 性 抗抵赖性是指信息的行为人要对自己的行为负责，不能抵赖自己曾有过的行为。.6、可 靠 性 可靠性是指系统在运行过程中，抗干扰（包括人为、机器及网络故障）和保持正常工作的能力，即保持工作的连续性和正确性的能力。.1、访问控制：基本任务：防止非法用户进入系统及合法用户防止非法用户进入系统及合法用户对系统资源的非法使用。对系统资源的非法使用。解决的问题：解决的问题：识别、确认访问系统的用户，决识别、确认访问系统的用户，决定该用户对某一系统资源可进行何种类型的访定该用户对某一系统资源可进行何种类型的访问。问。访问控制的一般方法：1）身份鉴别 2）自主访问控制3）强制访问控制 4）基于角色的访问控制 下面简要介绍在信息系统中保护信息安全的几种基本技术。.2、信息流控制 仅有访问控制还不足以限制用户的访问权，仅有访问控制还不足以限制用户的访问权，因为有权访问的用户可以把访问到的数据传递因为有权访问的用户可以把访问到的数据传递给无权访问的用户。因此在系统中还必须使信给无权访问的用户。因此在系统中还必须使信息沿着能保证信息安全的方向流动，这就需要息沿着能保证信息安全的方向流动，这就需要对信息流进行控制。对信息流进行控制。3、数据加密：通过编码技术来改变所要保护的信息的形通过编码技术来改变所要保护的信息的形式，使得除了指定的接式，使得除了指定的接 收者外，其它人无法读收者外，其它人无法读懂。懂。.4、审 计：审计是模拟社会监查机构在计算机系统中审计是模拟社会监查机构在计算机系统中用来监视、记录和控制用户活动的一种机制。用来监视、记录和控制用户活动的一种机制。它对涉及系统安全的操作做完整的记录，以使它对涉及系统安全的操作做完整的记录，以使违反系统安全的访问和访问企图留下线索，以违反系统安全的访问和访问企图留下线索，以便事后分析和查处便事后分析和查处。5、隐通道的分析和限制 隐通道是指两进程以违反系统安全策略的隐通道是指两进程以违反系统安全策略的方式传输信息的隐蔽通道，它可以造成严重的方式传输信息的隐蔽通道，它可以造成严重的信息漏洞。在操作系统和数据库系统中都可能信息漏洞。在操作系统和数据库系统中都可能存在隐通道，分析并搜索出系统中存在的隐通存在隐通道，分析并搜索出系统中存在的隐通道，对其加以清除或限制是计算机系统安全设道，对其加以清除或限制是计算机系统安全设计中的一个难点计中的一个难点.6、安全管理计算机信息系统是一个结构复杂、动态变计算机信息系统是一个结构复杂、动态变化的人机系统，仅仅依靠系统提供的安全服务化的人机系统，仅仅依靠系统提供的安全服务（它可能是多种安全技术的结合）的支持是不（它可能是多种安全技术的结合）的支持是不够的。要想有效地保护信息系统的安全，最大够的。要想有效地保护信息系统的安全，最大限度地减少面临的安全风险，还必须有对信息限度地减少面临的安全风险，还必须有对信息系统严密的安全管理。系统严密的安全管理。.