返回
信息与网络安全简介

信息与网络安全简介

ID:36716048

大小:863.50 KB

页数:27页

时间:2019-05-10

信息与网络安全简介_第1页
信息与网络安全简介_第2页
信息与网络安全简介_第3页
信息与网络安全简介_第4页
信息与网络安全简介_第5页
资源描述:

《信息与网络安全简介》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息与网络安全简介(AnOverviewofInformationandNetworkSecurity)本章內容1.1信息安全的威胁1.2信息安全的基本要求1.3信息安全的范围1.4信息系统的安全分析1.5安全的信息系统架构1.6法律观点231.1信息安全的威胁信息安全的目的—在于保护所有信息系统资源防止未经授权者得到有价值的信息。防止未经授权者偷窃或复制软件。避免计算机资源(例如打印机、内存等)被盗用。避免计算机设备受到灾害的侵袭。4信息安全的威胁天然或人为-天然的威胁原因:天然灾害-人为的威胁原因:管理人員的疏忽蓄意

2、或无意-蓄意的威胁原因:企图破坏系统安全-无疑的威胁原因:系统管理不良主动或被动-被动的威胁原因:不会更改计算机系统资料-主动的威胁对象:计算机系统上资料会被篡改实体或逻辑-实体的威胁对象:实际存在的硬件设备-逻辑的威胁对象:计算机系统上的资料1.2信息安全的基本需求5信息安全基本需求机密性审核访问控制不可否认性验证性可用性完整性6确保信息的机密,防止机密信息泄露給未经授权的用户。机密性数据內容不能被而仅能被授权者所访问。未经授权者所窃取,存取包括读出、浏览及列印。另外「数据是否存在于系统」也是一项很重要信息。可通过资料

3、加密程序来达到数据的保密性或机密性。保密性或机密性7完整性数据内容仅能被合法授权者所更改,不能被未经授权者所篡改或伪造。数据完整性必须确保数据传输时不会遭受篡改,以保证数据传输內容的完整性。“数字签名”可用来确保数据在传输过程中不会被黑客篡改及伪造,从而保证数据的完整性。8验证性验证性包括身份验证(EntityAuthentication)及数据或消息来源验证(DataorMessageAuthentication)。信息来源的验证是要能确认数据信息的传输来源,以避免有恶意的传送者假冒原始传送者传送不安全的信息内容。。一

4、般均利用数字签名或数据加密等方式来解决信息的来源验证问题。身份验证对于用户身份的识别而言,系统必须快速且正确地验证身份。。为了预防暴力攻击者的恶意侵犯,对于用户身份验证的时效性比信息验证要严谨。。9可用性确保信息系统运行过程的正确性,以防止恶意行为导致信息系统毁坏(Destroy)或延迟(Prolong)。10不可否认性在信息安全需求中,对于传送方或接收方,都不能否认曾进行数据传输、接收和交易等行为,即传送方不得否认曾传送过某份数据,而接收方也无法否认未曾接收到某信息数据。数字签名及公开密钥基础设施(PublicKeyI

5、nfrastructure,PKI)对用户身份及信息来源做身份验证(UserAuthentication)及数据来源验证(MessageAuthentication),并可再与用户在系统上的活动进行连接,从而实现权责分明及不可否认性。11访问控制信息系统内每位用户依其服务等级而有不同的使用权限。服务等级越高者其权限越大,相反的,服务等级越小者其权限越小。访问控制主要是根据系统的授权策略,对用户做授权验证,以确认其是否为合法授权者,防止未经授权者访问计算机系统及网络资源。12审核信息系统不可能达到绝对安全,也就是百分之百的

6、安全。因此,必须通过审核记录(AuditLog)来追踪非法用户,一旦发生入侵攻击事件,就可以尽快找到发生事件的原因,以作为恢复系统(Recovery)并预防此类入侵的手法,从而防止系统再一次被入侵。13信息安全的领域相当广泛,所有可确保信息系统正常运行并确保机密数据的保密性及完整性的机制都涵盖在内。1.3信息安全的范围14信息管理系统架构数据库管理系统计算机操作系统管理信息系统国际网络网际网络15组织中完整的安全系统元件用户系统的用户可能是组织中的员工或顾客。操作介面对于不同等级的用户,必须提供不同的页面。后端处理程序负

7、责处理回应用户所要求的服务,若用户要取得数据库中的数据,也必须通过此系统元件存取,后端程序可说是系統中的灵魂。组织中完整的安全系统元件(续)数据库负责保存重要数据与一般数据。依据不同需求,有不同的数据格式与存储方式。171.4信息系統的安全分析18弱点分析对整个系统架构进行了解及测试,系统架设了哪些硬件,例如路由器(Router)、桥接器(Bridge)、网关(Gateway)及防火墙(Firewall)等;使用了哪一种操作系统,例如Linux、WinNT及NovellNetwork;使用了哪些通信协议,例如TCP/IP

8、、Ethernet及ISDN等;安装了哪些应用软件,例如FTP、WWW及工资管理信息系统等;哪些人会使用本系统,授权了哪些权限给用户等。管理者了解这些信息后,进而分析系统的弱点在哪里,哪些人有可能会来攻击,他们的目的是什么,以及要攻击哪些地方。19威胁分析了解系统的弱点之后,接着要分析系统可能会遭受到的安全威胁及攻击

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。