7 对计算机信息系统的安全威胁手段.ppt

* 几个相关的概念 计算机信息系统 计算机信息系统是由计算机及其相关的和配套设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输等处理的人机系统。 * 计算机信息系统的脆弱性 计算机信息系统的脆弱性主要表现为： ①硬件设施的脆弱性：温度、湿度、灰尘、电磁场等硬件资源的物理损坏 ②软件的脆弱性：非法访问（包括未授权访问和越权访问），非法修改数据和软件，涉密数据泄漏 ③网络通信的脆弱性：网络传输中的泄漏与欺骗，网络功能崩溃 ④管理失误 * ⑤事故后果：攻击者一旦获得对资源的访问权，就可以随意对数据和文件进行修改、拒绝服务等活动。 如，破坏信息：任何对存储(或传输)中数据、文件的非授权修改 公布信息：将信息散发到不该获得该信息的人手中 盗取信息：获得不该获得的信息 盗用服务：非法盗用系统的服务，有时会影响系统为其他合法用户提供正常服务 拒绝服务：攻击的直接后果就是将系统的服务性能降低或使其完全瘫痪 * 对计算机信息系统的安全威胁手段 从计算机犯罪角度来看，其手段可分为： （1）以破坏计算机系统资源为目标的有： ①“硬”攻击手段， ②“软”攻击手段， ③以强的电磁场干扰计算机的工作 （2）利用计算机系统作为犯罪工具，①窃取计算机中有价值的数据，②贪污和诈骗，③破坏计算机中的信息 * 对计算机信息系统的安全威胁进行分类有：①窃取：:对数据和服务的窃取，②篡改:对数据和服务的篡改，③拒绝服务，④伪造：伪造虚假数据，⑤重放，⑥冒充：冒充身份，⑦抵赖 对计算机信息系统的安全威胁手段 * 对计算机信息系统的安全威胁手段 计算机信息系统可能面临的安全威胁可从以下层面进行归类： ①物理安全：机房毁坏、电磁泄漏、线路中断、电力中断、设备毁坏、设备损坏、媒体损坏 ②网络与系统安全：网络互联的安全隐患、搭线窃取的隐患、病毒侵袭的隐患、网页篡改的隐患、操作系统安全隐患、数据库系统安全隐患、应用系统安全隐患、恶意攻击和非法访问 * 对计算机信息系统的安全威胁手段 ③应用安全：身份假冒、非授权访问、数据失泄密、数据被修改、否认操作 ④安全管理：安全管理组织不健全、缺乏安全管理手段、人员安全意识淡薄、管理制度不完善、缺少标准规范、缺乏安全服务 * 信息安全 计算机信息系统是为用户提供安全的信息服务，其核心是信息安全。计算机信息系统安全是指Computer System的硬件、软件、数据受到保护，系统能连续正常地运行，不因偶然或者恶意的原因而遭到破坏和泄漏，包括外部安全、内部安全、物理安全、防火防盗、人事管理安全、法律安全和技术上的安全等。它主要包括以下几个方面： * 信息安全 (1)保密性: 信息必须按照系统或信息拥有者的要求保持的秘密性 (2)完整性: 信息在存储和传输过程中保持不被修改, 不被破坏 ,不丢失 的特性 (3)可用性: 无论何时,只要合法用户需要,系统必须能为用户提供服务 * 信息安全 (4)可靠性: 系统在运行过程终抗干扰和保证正常工作的能力,即工作的连续性和正确性 (5)可控性: 对信息和信息系统实施监控,防止为非法者使用 (6)抗抵赖性: 保证信息行为人不能否认自己的行为 * 身份鉴别方法 物理方法、数学方法、协议方法 身份鉴别协议 单向认证协议、双向认证协议 身份鉴别实现 拨号认证协议、Kerberos认证协议X.509认证协议 身份鉴别 * 计算机信息系统 计算机信息系统的脆弱性 对计算机信息系统的安全威胁手段 信息安全 计算机信息系统的安全服务技术 几个相关的概念 * 计算机信息系统的安全服务技术 计算机信息系统的安全服务主要包括下述技术和对策： （1）身份鉴别：防止非法用户进入系统 （2）访问控制：防止非法用户对系统资源的非法访问 （3）信息流控制：控制信息只能沿着安全的方向流动 * 计算机信息系统的安全服务技术 （4）密码技术：数据形式的有意变形 （5）推理控制：防止用户利用访问到的数据用逻辑推理的方法推断出他无法获得的数据 （6）隐通道的分析和限制：隐通道是指没有受安全策略控制的通道 * 计算机信息系统的安全服务技术 （7）审计：在Computer系统中模拟社会监察机构监视,记录和控制用户行为的一种机制 （8）系统的安全管理：主要由系统管理员:（管理注册、登录）、系统安全员（实施安全机制相关的）和系统审计员:（管理审计的）实施。 （9）制定Computer系统安全评估标准TCSES