网络支付与电子商务.docVIP

目录 第一章 信息系统安全基础知识 第二章 信息加密技术与应用 第三章 数字签名技术与应用 第四章 数字证书与公钥基础设施 第五章 身份认证与访问控制 第六章 TCP/IP与WWW安全 第七章 防火墙技术 第八章 计算机病毒及其防治技术 第九章 网络攻击与防御 第一章 信息系统安全基础知识 1.1 信息系统安全概述 1.1.1计算机信息处理过程和基础 计算机基础：硬件+软件+网络 1.1.2信息系统安全问题及其根源 信息传输安全（问题思考） 信息被泄密、篡改或假冒 网络运行安全（问题思考） 网络的缺陷 管理的欠缺 非法攻击 传统攻击方法 网络系统运行安全结构 系统安全 系统软件的漏洞和后门 系统故障、崩溃 根源：自身缺陷 + 网络开放性 + 管理问题 1.1.3信息系统安全特征及其防范技术 基本特征 1、保密性 确保信息不暴露给未授权的实体或进程 2、完整性 只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改 3、可用（访问）性 得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作 其他特征 4、不可否认性 防止通信或交易双方对已进行业务的否认 5、认证性 信息发送者或系统登陆者身份的确认 6、可控性 可以控制授权范围内的信息流向及行为方式 7、可审查性 对出现的网络安全问题提供调查的依据和手段 8、合法性 各方的业务行为存在可适用的法律和法规 信息传输 网络运行 系统安全 安全防范技术 保密性 × 防止电磁泄漏、加密技术 完整性 × 单向加密、备份 可用性 × × 容错、容灾、防攻击 可控性 × × 防火墙、监测、权限、审计 认证性 × × 数字签名、身份认证 不可否认性× 数字签名 1.2信息系统安全保障 1.2.1 信息系统安全层次与安全技术环 物理层面 网络层面 系统层面 应用层面 安全管理（线） 计算机场地 节点安全 操作系统 信息保密性 安全政策制度 防雷保安器 链路安全 数据库系统 信息完整性 管理的权限 电磁泄漏 网络协议安全 B/S开发平台 身份确认 和级别划分 电磁兼容 广域网安全 中间件 访问控制 资源的合理 配置和调度 电器安全 数据传输安全 路由安全 功能的实现 1.2.2安全环境（目标） 信息安全的目标要求 1、20世纪90年代以前——通信保密（COMSEC）时代。该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。 2、20世纪90年代——信息安全（I FOSEC）时代。数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。 3、90年代后期起——信息安全保障（IA）时代。该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型 1.2.3安全策略 物理安全策略 保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击； 2、防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 3、确保计算机系统有一个良好的电磁兼容和防止电磁泄漏（即TEMPEST技术）的工作环境； 网络安全控制策略 网络安全防范和保护的主要任务是保证网络资源不被非法使用和