网络和计算机安全.pptVIP

网络和计算机安全 信息安全概述 Internet中的信息安全 Internet中的信息系统越来越不安全 高度互联的Internet Internet安全性问题的根源是信任假设的改变（ATM） World Wide Web和Wild and Woolly West (M.Jakobsson和M.Yung ) 信用卡泄密事件 案例 美4000万信用卡泄密，波及中国卡 2005年6月21日报道，美国4000万信用卡资料泄露的事件最终还是波及到了中国。根据万事达（Mastercard）昨日发布的澄清声明，被波及的中国万事达信用卡数量为5560张以内。Visa国际则表示，相关的数据正在统计中，将在稍晚发布。因为这次事件中美国所有的信用卡品牌均被波及，万事达卡只占“外泄卡”总数的35%，所以中国“外泄卡”　　总数很可能过万。 本次遭到黑客入侵的公司，是在美专为银行、会员机构、特约商店处理卡片交易资料之外包厂商CardSystems。此公司在美负责处理大约105000家中小企业业务，目前并未处理中国内地银行的信用卡业务。 但由于其代理的万事达和Visa两大全球信用卡公司，均已在中国开展业务多年。所以，万事达卡的“外泄卡”中，也有0.04%（大约5600张）在中国内地，0.07%（大约10000张）在香港。万事达卡表示，侦测发现此次事件之后，立即主动发出预警通知所有银行、金融机构，呼吁所有单位须更加小心保护自身权益。另外，万事达卡国际组织也已彻底要求CardSystems限期改善，立即补强安全漏洞。Visa国际表示将尽快发布紧急声明。Visa国际中国区总经理熊安平昨日在接受记者独家专访时表示， Visa国际定期在全球收集有关欺诈嫌疑的商户，还会针对珠宝店之类高风险的商户实行特别监控，并针对网上交易等实行“保证金”制度，确保持卡人权益不受侵害。未受波及的中国银联也不敢掉以轻心。因为在国内拥有最大的银行卡网络，且与CardSystems的业务有部分的重合，中国银联发言人表示将很快发布对于此事件的官方声明。 信用卡事件图例 思考题 本次泄密事件的泄密机制是怎么样的？ 本次泄密事件的主要原因是什么？ 如何防范这种泄密？ 这种信用卡盗窃事件破坏了（信用卡）信息的什么属性？ CERT报告的安全性问题 CERT (Computer Emergency Response Team) 报告的安全性问题总体呈现上升趋势 分为两个报告： 报告的漏洞 安全事件 1995-2004年报告的漏洞数目统计 (CERT) 1988-2003年报告的安全事件统计 (CERT) 安全问题的重要性 系统原来越不安全 系统的安全性取决于不同的方面 本课程的主要着力点在于安全软件的设计问题上讲解安全的原理 什么是安全 安全的概念 橘皮书 C. I. A. 信息安全领域的划分 安全的矛盾性 安全定义的发展 影响安全的技术因素 橘皮书 橘皮书的历史 橘皮书定义了三类、六个基本需求 第一类：策略 需求1 － 安全策略 (Security Policy) 需求2 － 标定 (Marking) 第二类：审计 需求3 － 可标识 (Identification) 需求4 － 可审计 (Accountability) 第三类：保障 需求5 － 保障 (Assurance) 需求6 － 持续防护 (Continuous Protection) 信息安全的定义 信息安全是一个十分广泛而又复杂的话题 美国国家电信和信息安全委员会 (NSTISSC) 信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。但是要保护信息及其相关系统，诸如策略、认识、培训和教育以及技术手段都是必要的。 微软公司 M. Howard, D. LeBlance 一个安全的产品应该是指在信息所有者或者系统管理员控制下能够保护客户数据的机密性、完整性和可用性，能够保护资源处理过程的完整性和有效性。 机密性 (Confidentiality)、完整性 (Integrity) 和可用性 (Availability) 的组合 机密性 机密性是指保证计算机相关的有价值财产（信息）只能被授权过的用户所访问。 机密性的保护 认证和访问控制 加密 完整性 完整性是指这些计算机相关的有价值财产（信息）只能被授权过的用户所修改，或者通过授权过的过程所修改。 完整性的保护 认证和访问控制 加密 可用性 可用性是指这些有价值的财产（信息）在需要的时候必须能够被授权的用户访问或者修改。 可用性的破坏 DOS: Denial Of Service 可用性破坏案例 SYN Flood的基本原理 SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协