返回
信息安全技术导论chap12

信息安全技术导论chap12

ID:40102289

大小:376.00 KB

页数:26页

时间:2019-07-21

信息安全技术导论chap12_第1页
信息安全技术导论chap12_第2页
信息安全技术导论chap12_第3页
信息安全技术导论chap12_第4页
信息安全技术导论chap12_第5页
资源描述:

《信息安全技术导论chap12》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第十二章信息安全工程学基本概念生命周期模型风险分析安全策略方案的设计与实施安全管理第十二章信息安全工程学1概念安全工程学是关于建立安全系统的学科,安全系统在面对人为攻击、出错和突发灾难的情况下仍能保持其可靠性。作为一门学科,安全工程关注的是设计、实现、测试整个系统和使之适应环境发展的流程和方法。有观点认为,软件工程学是保证一定事件的发生(比如“某人可以读取这个文件”),而安全工程学不仅要保证一定事件要发生,还要保证一定事件的不发生(比如“某人不能读取这个文件”)。(1)银行业务的核心通常是一个有分支的簿记系统。(2)银行对外的窗口是

2、它的自动取款机。(3)后台有一些很高价值的消息系统。(4)大部分银行分支机构还有一个安全的保险库。(5)银行建立了自己的互联网站点和设施,并为客户管理账户提供了在线服务。安全工程需要的保护类型银行的例子保密是一个技术词汇,用来指代一种机制的效果,这种机制用来限制可以访问信息的主体的数量,实现方法可以是密码技术或计算机访问控制。隐私是一种能力或者权利,用于保护个人的秘密。隐私的定义可以扩展到面向家庭,但是不能面向法人,如公司。正确性和完整性的含义也有细微的不同。在有关安全协议的理论文献中,正确性表示为完整性加上时效性,即确定是在和一个

3、真实的主体对话而不是对以前过期消息的回复。常用术语基本概念生命周期模型风险分析安全策略方案的设计与实施安全管理第十二章信息安全工程学2信息安全工程的生命周期模型生命周期(1)风险分析。对企业网络中需保护的资产、需达到的安全目标、面临的威胁、存在的漏洞等进行评估,获取安全风险的客观数据。(2)安全策略。指导企业实施安全系统的行为规范,明确地表达出想要达到的安全保护目的,确定保护内容和保护机制。(3)方案设计与实施。参照风险评估结果,依据安全策略,进行安全方案设计,然后按照设计实施安全方案。(4)安全管理。按照安全策略及安全方案进行日常

4、的安全管理与维护,保持系统的正常、安全运作。(5)稽核检查。定期对企业网络的安全记录、安全策略复审,必要时开始新的风险分析,进入新一轮的生命周期。基本概念生命周期模型风险分析安全策略方案的设计与实施安全管理第十二章信息安全工程学3风险分析基本概念生命周期模型风险分析安全策略方案的设计与实施安全管理第十二章信息安全工程学4规范概要规范概要是若干规则的集合,制定规范概要就是罗列出实施一个信息安全工程时的安全规则。有人认为,这些罗列的规则看起来像一堆废话,这种看法是不正确的,因为这些规则看起来可能很简单,但却相当于实施一个信息安全工程的法

5、律规范。有了它,安全工程的实施才可以做到“有法可依,有法必依”。Bell-LaPadula安全策略模型1.数据安全等级与用户许可权2.强制安全机制NRU安全属性。没有一个进程可以读安全等级比它高的数据,也称不向上读(NRU)。NWD安全属性。没有一个进程可以把数据写到比它安全等级低的文档中,也称不向下写(NWD)。3.对Bell-LaPadula模型的批评基本概念生命周期模型风险分析安全策略方案的设计与实施安全管理第十二章信息安全工程学5一些失败的安全协议偷听风险:密码被偷听会产生很大的风险。例如,有一种可以记录汽车锁车门密码并在以

6、后重放的设备,在1995年左右出现在市场中。这种设备使埋伏在停车场的窃贼能够记录锁车门用的密码,然后当车主离开后,窃贼回放密码并打开车门。中间人攻击访问控制访问控制一向是计算机安全的重点,也是安全工程师最初研究计算机科学的原因之一。访问控制需要解决管理哪些主体(人,处理器,机器,……),可以访问哪些系统内的资源,包括他们可以阅读哪些文件,可以执行哪些程序,以及如何与别的用户共享数据,等等。访问控制矩阵覆盖内存攻击访问控制小结访问控制在一个系统的几个层次上工作,从应用软件到通过操作系统的硬件。操作系统中访问控制的功能是限制特定的组、用

7、户或程序偶然或恶意地破坏系统。这个领域中最重要的例子是UNIX和WindowsNT,在很多方面这两个操作系统很相似。访问控制对于设计SmartCard或其他加密硬件同样很重要。有关读、写和执行权限等访问控制最基本的概念会在访问控制的实践中反复出现。分布式系统1.并发2.死锁3.安全时间基本概念生命周期模型风险分析安全策略方案的设计与实施安全管理第十二章信息安全工程学6信息安全管理的作用(1)使系统管理者全面考虑各种因素,人为的、技术的、制度的、操作规范的,等等,并且将这些因素综合考虑,全面识别各种影响信息安全工程运行连续性的风险,执

8、行信息安全工程所制定的安全策略,从而达到信息安全工程希望达到的目标。(2)通过总结信息安全管理中出现的问题和遇到的新的威胁,使信息安全工程生命周期中进一步的风险分析成为可能。信息安全管理的范围(1)安全策略的管理。(2)安全审计管理。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。