2019年信息保障和安全.pptVIP

信息保障和安全; 参考书 ★ [1] Charles P. Pfleeger, Shari Lawrence Pfleeger, Security in Computing, Fourth Edition, Prentice-Hall, 2006 [2] William Stallings, Cryptography and Network Security, Fourth Edition, Prentice-Hall, 2005 [3] Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone, Handbook of Applied Cryptography, CRC Press, 1997 [4] 胡道元, 闵京华, 网络安全, 清华大学出版社, 2008;第1章 计算中的安全问题;本章要点;1.1 “安全”意味着什么?;1.1.2 计算机入侵的特点;1.1.2 计算机入侵的特点(续);1.2 攻击;1.2.1 脆弱点、威胁、攻击和控制(续); 1.2.1 脆弱点、威胁、攻击和控制(续) 可将威胁分为以下4类： 截取(interception)指某未授权方获得了访问资源的权利。 中断(interruption)指系统资源丢失、不可得或不可用。 篡改(modification)指未授权方不仅访问了资源而且修改了其内容。 伪造(fabrication)未授权方可能在计算系统中创建假冒对???。;1.2.1 脆弱点、威胁、攻击和控制(续);1.2.2 方法、机会和动机;1.3 计算机安全的含义;1.3.1 安全目标(续); 1.3.1 安全目标(续) 机密性：机密性是我们最为了解的安全性质，与现实生活中的机密保护有很多相似之处，但保护机密性也是困难的。 完整性：一项是完整的常指该项：精确的、准确的、未被修改的，只能以允许的方式修改、只能被授权用户修改、只能被授权过程修改，一致的、内部一致的、有意义和可用的。完整性具有三个特殊方面：被授权行为；资源分离和保护；以及错误的检测和纠正。; 1.3.1 安全目标(续) 可用性：可用性可用于数据和服务，它很复杂，不同的人对可用性的要求是不同的。如果对我们的请求及时响应、公平分配资源不存在特惠用户、服务和系统遵循容错原理，当软硬件故障时，服务以可接受的方式终止而不是突然崩溃和信息丢失、服务和系统便于使用、支持同时访问、死锁管理和独占式访问，那么我们说一个数据项、服务或系统可用。可用性的全面实现是安全的下一个巨大挑战。;1.3.2 脆弱点;1.3.2 脆弱点(续);1.3.2 脆弱点(续);1.3.2 脆弱点(续);1.3.2 脆弱点(续);1.3.2 脆弱点(续);1.3.2 脆弱点(续);1.3.2 脆弱点(续);1.3.2 脆弱点(续);1.3.2 脆弱点(续);1.4 计算机犯罪;1.4.1 业余爱好者;1.4.2 破译者或恶意黑客;1.4.3 职业罪犯;1.4.4 恐怖分子;1.5 防御方法;1.5.1 控制;1.5.1 控制(续);1.5.1 控制(续);1.5.1 控制(续);1.5.2 控制的有效性;1.5.2 控制的有效性(续);1.5.2 控制的有效性(续);1.6 后续内容; 1.6.1 密码学精讲 第2章将了解密码学的基本术语，目标，主流算法，应用。从而理解一个密码系统如何为商业应用、政府数据或个人私有信息提供足够的安全保障。 1.6.2 软件和硬件安全 第3章将介绍的是程序安全问题。这里，我们将讨论病毒、其他恶意代码以及如何对它们进行控制。; 1.6.2 软件和硬件安全(续) 第4章将单独讨论通用操作系统，操作系统在提供安全特性的同时，也可能引入安全漏洞。 第5章着眼于可信操作系统，研究特定的数据和功能如何仅被合法用户浏览和操作。 第6章将讨论数据库安全，数据库管理系统是一类特殊程序，它们允许多用户共享访问公共数据。 第7章将涉及有关计算机网络和通信介质的安全问题及其解决方案。; 1.6.3 安全中的人为控制 第8章将讲述安全的管理。从安全规划和其中扮演重要角色的风险分析开始。这章也阐述物理安全机制，并解释安全策略是安全计划的核心，还将讨论灾难恢复。 第9章将着眼于计算机安全的经济问题。安全决不可能成为系统诸多需求的主角，通常处于次要角色，甚至被忽略。这一章讨论如何证明安全开销是适度的，如何论证对安全的投资可以得到回报。 ; 1.6.3 安全中的人为控制(续) 第10章将讨论隐私问题，这是计算机中人为方面的另一部分。由于众多的数据来源于许多人，因