网站安全存储方案的设计与实现 文献翻译.docVIP

单位代码 学 号 分 类 号 密 级 文献翻译 计算机安全概述 院(系)名 称 专 业 名 称 学 生 姓 名 指 导 教 师 2012年月日英文译文 计算机安全概述 摘 要 计算机安全主要包括用于检测和组织的防御方法组织任何可能的入侵者。计算机安全的原则因此在各种有威胁的入侵者的压力下产生。首先给出现有的已知存在于系统中的安全威胁的例子。第二部分介绍了安全威胁的分类，最后一节提出来一些保护机制和技术来确保一个计算机系统的安全。本文没有涉及硬件安全，通信安全的问题，也没有涉及到一些敏感的信息。 也许最公开的威胁是一个入侵者猜测用户的密码。随着个人电脑，拨号调制解调器和代理服务器的出现，这成了一个大问题。穿甲弹通常有一个常用的密码列表，然后他们可以尝试在个人电脑的帮助下使用他们解密。另外，如果密码太短他们很容易找到一份详细的搜索。还有标准的账户，默认的密码总是系统分配的，而且可能没有更改。 另一种威胁是所谓的欺骗。这是通过通过与用户交谈进行欺骗，导致信息的外泄。例如，欺骗程序可以让一个毫无戒心的用户访问该网站，通过漏斗欺骗程序的机器，让欺骗程序，检查受害者的所有活动，包括任何密码或受害人的存款数目。欺骗程序也可能导致虚假或误导数据以受害人的名义进入网站服务器，反之以网站服务器的名义对受害人。总之，攻击者观察和控制所有工作在网站服务器上的受害者。另外一个例子也可以用来举例，欺骗程序可能会显示在终端的登陆界面，这使得终端的现实为空闲。然后，当一毫无戒心的用户开始通信终端，欺骗程序录入登录名并要求用户的密码。在获得信息之后，欺骗程序显示一个再试一次的消息或者其他东西，并返回他先前获得的所有权。 另一个威胁是用户对敏感信息的浏览，这发生在一个合法的可用的所有文件和手机的点点滴滴的有用的信息。例如，一个浏览器可能会在不经意间找到一个公共可读的文件留下的密码。 一个更复杂的威胁，通常被认为是已知的特洛伊木马，是一个比打算做的更多或者是一个以为用来做好事的程序，而实际上它是在后台做一些讨厌的。例如，一个背景程序或者一些软件可能会被公开。然后，当没有检测到这个程序时，特洛伊木马，以用户的访问权利和自己的执行文件暗中读取用户的文件，甚至还邮寄给游戏的创造者，如果用户用户自己登录到了网络。最近，我们看到了被誉为互联网网站荣誉的分布式拒绝服务攻击。黑客利用这些木马策划攻击。 另一个威胁是一个狡猾疲惫的共享资源用户，这样的结果使得合法的用户无法完成工作。例如，一个网络前端的用户可以利用现有的信息所有的缓冲区使合法用户不可能完成任何有用的工作。故意造成崩溃的所有工作提高到一个停止系统是这种类型的威胁一个更深的例子。 另一类威胁是一个能够从由数据库返回的非敏感信息和敏感数据推断统计数据库用户的结果。例如，如果RAM是只有在一个特定班级心理学一个主要可以推断出平均成绩的等级课程和在班级中的所有非心理学专业学生的平均成绩。 读者可能会问，“如果有这么多的计算机犯罪，为什么我没有听说过呢？”统计显示，所有的计算机犯罪中大约1%被发现，7%被检测出来的犯罪被报道过。33个报道的罪犯中有一个被定罪，22000个人中有一个蹲监狱。犯罪不被报道的原因之一是因为一次成功的攻击经常显示出一些如电可以被其他潜在的黑客攻击。此外，他们的犯罪也经常被视作恶作剧，当人们发现了之后也不会引起足够重视来报警。 本节尝试进行给中威胁的分类，这种分类等级曾经被邓宁使用过。 浏览介绍了主要和次要存储器通过搜索方法搜索残余信息。浏览器通常是不找什么特别的，但警惕可能有用的信息。浏览器可能会发现包含敏感信息的文件或包含有助于访问其他敏感信息的信息。最有用的威慑是组织浏览时控制、限制用户只能使用中获取信息但也阻碍了浏览使用。泄露是信息一个未经授权的用户在用户传输的过程中访问。大众步步高游戏就是这种类型的威胁。 根据推论威胁存在可能一个用户从非敏感数据中推断出敏感信息。这种通常是关于个人群体相关信息，来获取有关个人信息。推论控制在下一节介绍时用来对付这种类型的威胁。 篡改是指未经过允许对那些存储在计算机中有价值的信息作出改变的过程。一个例子是一个学生在篡改他的分数在年级文件中。篡改可以避免如果只允许用户修改它们自己的文件。加密检查总结，可用于检测篡改。这种方法使用密码块链接，如加密技术，以生成每个文件的检验和。这种方法使用检测技术，比如加密技术，以生成每个文件的检验和。这种技术只能检测出来改变，但不能阻止它们。 数据的意外破坏虽然是无辜的，但是代价却很昂贵。意外破坏可能是软件和硬件缺陷。例如，有缺陷的软件可以允许程序写入超出其数据空间，并覆盖其他用户的数据。访问控制技术可以用来限制覆盖到用户的空间，自己的数据