网络安全新技术计算机系统安全概述概论.ppt

计算机系统安全概述;课程内容; ISO的定义： 为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。;确保以电磁信号为主要形式的，在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、环境有关的技术和管理规程的有机集合。 ——戴宗坤 罗万伯 《信息系统安全》;信息安全的发展历史;方滨兴院士;方滨兴院士;方滨兴院士;信息安全内容;ISO/IEC 17799 ;ISO/IEC TR 13335-1 ;ISO 7498-2 ;方滨兴院士;方滨兴院士;保证机密信息不会泄露给非授权的人或实体，或供其使用的特性 案例;防止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿 案例;保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其它人为因素造成的系统拒绝服务，或为敌手可用，信息系统能够在规定的条件下和规定的时间内完成规定的功能 案例;能对通信实体身份的真实性进行鉴别 案例;能够控制使用资源的人或实体的使用方式 案例; 建立有效的责任机制，防止实体否认其行为 案例; 对出现的网络安全问题提供调查的依据和手段 案例;安全要素： 资产 弱点 威胁 风险 安全控制;信息安全风险管理:以资产为核心;信息安全管理：以风险管理为基础;ISO/IEC 15408：安全概念;信息安全风险评估指南：安全概念;NIST SP800-33;安全目标的依赖关系;安全服务模型;可用性服务;完整性服务;保密性服务;可追踪性服务;保证服务;课程内容;攻击过程示例;演示1;攻击过程总结;？;可能破坏？;攻击分析;攻击者;动机;攻击风险;能力和机会;攻击种类;攻击对策;课程内容;基于时间的PDR安全模型;安全 策略;保护Protect;WPDRRC模型;模型的价值;小结;课程内容;风险管理;风险管理过程;风险评估;风险;风险评估步骤;风险减缓;课程内容;ISO7498-2：信息安全体系结构;五大类安全服务;八类安全机制;机制与实现的安全服务;机制与实现的安全服务（续）;安全服务与层之间的关系;安全服务与层之间的关系（续）;IATF;深层防御战略（Defense-In-Depth）;;;深层防御战略的含义;课程内容;标准的重要性;彩虹系列;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;ISO/IEC 15408;ISO/IEC 15408的历史;ISO/IEC 15408的背景;ISO/IEC 15408的相关组织;ISO/IEC 15408标准的组成;ISO/IEC 15408的作用;要求和规范的导出;ISO/IEC 17799;ISO/IEC 17799的背景;ISO/IEC 17799;ISO/IEC 17799版本对比;ISO/IEC 2700X系列标准;ISO/IEC 2700X系列标准;过程方法;ISMS的PDCA模型;ISO/IEC 2700X要求;ISO/IEC 2700X安全控制目标;ISO/IEC TR 13335;ISO/IEC TR 13335的背景;ISO/IEC TR 13335;SSE-CMM;SSE-CMM的背景;SSE-CMM的相关组织;能力成熟模型;NIST SP800;FISMA LegislationOverview;National Policy;FISMA Tasks for NIST;小结