《计算机安全概述.pptx》由会员分享,可在线阅读,更多相关《计算机安全概述.pptx(57页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机平安技术计算机平安技术1考试方式及分数情况考试方式及分数情况n总学时:总学时:36+14n考试方式:考试方式:3+7n平时成绩:平时成绩:30分分n作业:作业:5分分n随堂测验:随堂测验:10分分n理论出勤:理论出勤:5分分n实验出勤:实验出勤:5分分n实验报告:实验报告:5分分n理论考试:理论考试:70分分2第第1章章 计算机平安概述计算机平安概述隋庆茹长春科技学院 信息工程学院3n随着计算机在社会各个领域的广泛应用和迅速普及,随着计算机在社会各个领域的广泛应用和迅速普及,人类社会业已步入信息时代。信息已经成为了人类的人类社会业已步入信息时代。信息已经成为了人类的一种重要资源,人们生产
2、和生活的质量将愈来愈多的一种重要资源,人们生产和生活的质量将愈来愈多的取决于对知识信息的掌握和运用的程度。面对汪洋大取决于对知识信息的掌握和运用的程度。面对汪洋大海般的信息,计算机成为了信息处理必不可少的强有海般的信息,计算机成为了信息处理必不可少的强有力工具。力工具。n在计算机系统中,信息是指存储于计算机及其外部设在计算机系统中,信息是指存储于计算机及其外部设备上的程序和数据。由于计算机系统中的信息涉及到备上的程序和数据。由于计算机系统中的信息涉及到有关国家平安的政治、经济、有关国家平安的政治、经济、事的情况以及一些部事的情况以及一些部门、机构、组织与个人的机密,因此极易受到敌对势门、机构、
3、组织与个人的机密,因此极易受到敌对势力以及一些非法用户、别有用心者的威胁和攻击。加力以及一些非法用户、别有用心者的威胁和攻击。加之几乎所有的计算机系统都存在着不同程度的平安隐之几乎所有的计算机系统都存在着不同程度的平安隐患,所以,计算机系统的平安、保密问题越来越受到患,所以,计算机系统的平安、保密问题越来越受到人们的重视。人们的重视。1-1 计算机平安研究的重要性计算机平安研究的重要性4理解平安与不平安概念理解平安与不平安概念n平安是什么?平安是什么?n计算机系统是由计算机及相关配套的设备、设施计算机系统是由计算机及相关配套的设备、设施含网络构成的,并按应用目标和规则对信息含网络构成的,并按应
4、用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人进行采集、加工、存储、传输、检索等处理的人机系统。机系统。没危险没危险没威胁没威胁没损失没损失没事故没事故5不平安的不平安的典型案例病毒与网络蠕虫典型案例病毒与网络蠕虫n1986年初在巴基斯坦,巴锡特年初在巴基斯坦,巴锡特(Basit和阿姆杰德和阿姆杰德(Amjad两兄弟编写的两兄弟编写的Pakistan病毒即病毒即Brainn1988年年11月,月,康乃尔大学的学生康乃尔大学的学生Morris编制的名为编制的名为蠕虫计算机病毒,造成经济损失约蠕虫计算机病毒,造成经济损失约1亿美元亿美元n美丽美丽 1999年年,经济损失超过,经济损失
5、超过12亿美元亿美元!n爱虫病毒爱虫病毒 2000年年5月,损失超过月,损失超过100亿美元以上亿美元以上 n红色代码红色代码 2001年年7月月,直接经济损失超过,直接经济损失超过26亿美元亿美元n2001年年9月,月,尼姆达蠕虫,约尼姆达蠕虫,约5.9亿美元的损失亿美元的损失n2003年年1月月25日,日,“2003蠕虫王蠕虫王,对网络上的,对网络上的SQL数据库攻击数据库攻击n2003年年8月月12日日“冲击波爆发冲击波爆发62006年病毒排行之首熊猫烧香7典型案例计算机犯罪典型案例计算机犯罪n1998年年6月月24日上海证卷交易所某营业部发日上海证卷交易所某营业部发现有人委托交易现有人
6、委托交易1亿股上海建工股票,却找不亿股上海建工股票,却找不到营业部有任何人委托此笔交易,当即撤消此到营业部有任何人委托此笔交易,当即撤消此笔交易,但是已经成交笔交易,但是已经成交2100股,损失股,损失2.6亿元亿元n1998年年9月月21日晚,郝景文扬州市工商行日晚,郝景文扬州市工商行职员,通过假冒终端在职员,通过假冒终端在11分钟内向分钟内向16个活个活期帐户充值期帐户充值72万元。随后恢复线路的正常连接,万元。随后恢复线路的正常连接,并在并在1小时内从小时内从8个储蓄所提取个储蓄所提取26万元,心虚万元,心虚逃窜,现已缉拿归案,判处死刑。逃窜,现已缉拿归案,判处死刑。8典型案例网络欺诈9
7、1-1 计算机平安研究的重要性计算机平安研究的重要性一、计算机系统面临的威胁一、计算机系统面临的威胁 1.对实体的威胁和攻击对实体的威胁和攻击n 所谓实体,是指实施信息收集、传输、存储、加工处理、分所谓实体,是指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络。发和利用的计算机及其外部设备和网络。n对实体的威胁主要有:对实体的威胁主要有:n自然灾害自然灾害n人为的破坏人为的破坏n设备故障设备故障n操作失误操作失误n场地和环境的影响场地和环境的影响n电磁干扰电磁干扰n电磁泄漏电磁泄漏n被盗及数据资料的损失被盗及数据资料的损失 101-1 计算机平安研究的重要性计算机平安研
8、究的重要性一、计算机系统面临的威胁一、计算机系统面临的威胁2.对信息的威胁和攻击对信息的威胁和攻击 n由于计算机信息有共享和易于扩散等特性,使得它在由于计算机信息有共享和易于扩散等特性,使得它在处理、存储、传输和使用上有着严重的脆弱性,很容处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丧失,甚至被泄露、窃取、易被干扰、滥用、遗漏和丧失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。篡改、冒充和破坏,还有可能受到计算机病毒的感染。n威胁和攻击可细分为两类,即信息泄漏和信息破坏。威胁和攻击可细分为两类,即信息泄漏和信息破坏。11一、计算机系统面临的威胁一、
9、计算机系统面临的威胁3.3.计算机犯罪计算机犯罪 n计算机犯罪是指行为人运用所掌握的计算机专业知计算机犯罪是指行为人运用所掌握的计算机专业知识,以计算机为工具或以计算机资产为攻击对象,识,以计算机为工具或以计算机资产为攻击对象,给社会造成严重危害的行为。给社会造成严重危害的行为。n计算机资产包括硬件、软件、计算机系统中存储、计算机资产包括硬件、软件、计算机系统中存储、处理或传输的数据及通讯线路。处理或传输的数据及通讯线路。1-1 计算机平安研究的重要性121-1 计算机平安研究的重要性计算机平安研究的重要性一、计算机系统面临的威胁一、计算机系统面临的威胁4.计算机病毒计算机病毒 n计算机病毒是
10、由破坏者精心设计和编写的,能够通计算机病毒是由破坏者精心设计和编写的,能够通过某种途径潜伏在计算机存储介质或程序里,过某种途径潜伏在计算机存储介质或程序里,当到达某种条件时即被激活的具有对计算机资源进当到达某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。计算机病毒的行破坏作用的一组程序或指令集合。计算机病毒的破坏行为表达了病毒的杀伤能力。破坏行为表达了病毒的杀伤能力。13黑客的分类黑客的分类n第一类:破坏者第一类:破坏者crackern第二类:红客国家利益高于一切第二类:红客国家利益高于一切n第三类:间谍为钱而工作的人第三类:间谍为钱而工作的人14全球头号黑客:凯文米特尼
11、克全球头号黑客:凯文米特尼克n小学时,闯入其他学校网络被退学小学时,闯入其他学校网络被退学n15岁的米特闯入了岁的米特闯入了“北美空中防护指挥系统的计算机主机同时另外北美空中防护指挥系统的计算机主机同时另外一些朋友翻遍了一些朋友翻遍了 指向前苏联及其盟国的所有核弹头的数据资料,然指向前苏联及其盟国的所有核弹头的数据资料,然后又悄然无息的溜了出来。这成为了黑客历史上一次经典之作。后又悄然无息的溜了出来。这成为了黑客历史上一次经典之作。n不久之后,他又进入了不久之后,他又进入了 著名的著名的“太平洋太平洋 公司的通信网络系统。他公司的通信网络系统。他更改了这家公司的电脑用户,包括一些知名人士的号码
12、和通讯地址。更改了这家公司的电脑用户,包括一些知名人士的号码和通讯地址。结果,太平洋公司不得不作出赔偿。结果,太平洋公司不得不作出赔偿。n攻击联邦调查局的网络系统,不久就成功的进入其中。一次米特尼克攻击联邦调查局的网络系统,不久就成功的进入其中。一次米特尼克发现联邦调查局正在调查一名发现联邦调查局正在调查一名“黑客黑客“,便翻开看,结果令他大吃一,便翻开看,结果令他大吃一惊惊这个这个“黑客是他自己。黑客是他自己。n联邦调查局请到了被称为联邦调查局请到了被称为“最出色的电脑平安专家的日裔美籍计最出色的电脑平安专家的日裔美籍计算机专家下村勉算机专家下村勉,终于在,终于在1995年发现了米特尼克的行
13、踪,并通知联年发现了米特尼克的行踪,并通知联邦调查局将其捉获。邦调查局将其捉获。1995年年2月,米特尼克再次被送上法庭。在法庭月,米特尼克再次被送上法庭。在法庭上,带着手铐的米特尼克看着第一次见面的下村勉,由衷地说:上,带着手铐的米特尼克看着第一次见面的下村勉,由衷地说:“你你好呀,下村,我很钦佩你的技术。好呀,下村,我很钦佩你的技术。n1999年米特尼克终于获准出狱。出狱后他便不断地在世界各地进行网年米特尼克终于获准出狱。出狱后他便不断地在世界各地进行网络平安方面的演讲。络平安方面的演讲。15黑客黑客-Hacker 与骇客与骇客-crackern早期黑客早期黑客Hackern黑客不干预政治
14、,不受政治利用,他们的出现黑客不干预政治,不受政治利用,他们的出现推动了计算机和网络的开展与完善。黑客所做推动了计算机和网络的开展与完善。黑客所做的不是恶意破坏,他们是一群纵横驰骋于网络的不是恶意破坏,他们是一群纵横驰骋于网络上的大侠,追求共享、免费,提倡自由、平等。上的大侠,追求共享、免费,提倡自由、平等。黑客的存在是由于计算机技术的不健全,从某黑客的存在是由于计算机技术的不健全,从某种意义上来讲,计算机的平安需要更多黑客去种意义上来讲,计算机的平安需要更多黑客去维护。维护。16黑客-Hacker 与骇客-crackern今天的黑客今天的黑客Crackern黑客一词已被用于泛指那些专门利用计
15、算机搞黑客一词已被用于泛指那些专门利用计算机搞破坏或恶作剧的家伙,对这些人的正确英文叫破坏或恶作剧的家伙,对这些人的正确英文叫法是法是Cracker,有人也翻译成,有人也翻译成“骇客或是骇客或是“入侵者,也正是由于入侵者的出现玷污了黑入侵者,也正是由于入侵者的出现玷污了黑客的声誉,使人们把黑客和入侵者混为一谈,客的声誉,使人们把黑客和入侵者混为一谈,黑客被人们认为是在网上到处搞破坏的人。黑客被人们认为是在网上到处搞破坏的人。17中国知名的黑客组织n绿色兵团已经解散绿色兵团已经解散n中国红客联盟中国红客联盟n飞鹰工作室飞鹰工作室n中国鹰派中国鹰派n第八第八 团团n华夏黑客同盟华夏黑客同盟n黑客基
16、地黑客基地18中国黑客组织的“战绩n中国红客联盟是中国大陆有政治积极行动主义的黑客组织。中国红客联盟是中国大陆有政治积极行动主义的黑客组织。n红客起源于红客起源于1999年的年的“五八事件,在五八事件,在 炸中国驻贝尔格莱德炸中国驻贝尔格莱德大使馆后,红客建立了一个联盟名为中国红客联盟大使馆后,红客建立了一个联盟名为中国红客联盟HUC,组织成员利用联合的黑客技能,为表达爱国主义和民族主义,组织成员利用联合的黑客技能,为表达爱国主义和民族主义,向一些向一些 网站,特别是政府网站,发出了几批攻击。网站,特别是政府网站,发出了几批攻击。红客们必须要明白以下几点:红客们必须要明白以下几点:1、我们的攻
17、防技术不是用来炫耀的,这不是红客的作法!、我们的攻防技术不是用来炫耀的,这不是红客的作法!2、我们的技术会向所有爱国的红客朋友们共享!、我们的技术会向所有爱国的红客朋友们共享!3、我们会不断地学习,并不断地研究新的功击技术与防护方、我们会不断地学习,并不断地研究新的功击技术与防护方法!法!4、我们必须熟悉掌握、我们必须熟悉掌握C语言,并掌握任意一门面向对象的语言!语言,并掌握任意一门面向对象的语言!5、我们必须是爱国的!、我们必须是爱国的!19n6、我们不但要懂得系统的常用漏洞的功防之道,而且、我们不但要懂得系统的常用漏洞的功防之道,而且还要懂得如何去挖掘系统的漏洞!还要懂得如何去挖掘系统的漏
18、洞!7、我们必须懂得如何使用、我们必须懂得如何使用Google,Baidu这两个非常这两个非常好的学习工具!好的学习工具!8、我们必须懂得如何去打破常规的思维方式!、我们必须懂得如何去打破常规的思维方式!“没有没有什么不可能,只要我们想得到,我们就能够做得到!什么不可能,只要我们想得到,我们就能够做得到!没有我们进不去没有我们进不去“房间,只要房间,只要“房间内能够进得房间内能够进得去空气,我们可以变成去空气,我们可以变成“空气进入房间!空气进入房间!“9、我们必须懂得如何去做人!、我们必须懂得如何去做人!学技术先学做人!学技术先学做人!10、我们必须懂得这些,才能够成为一名合格的红客!、我们
19、必须懂得这些,才能够成为一名合格的红客!201-1 计算机平安研究的重要性二、计算机系统的脆弱性二、计算机系统的脆弱性1.操作系统平安的脆弱性操作系统平安的脆弱性 n操作系统是一切软件运行的基础,也是唯一紧靠硬件的基本软件。操作系统是一切软件运行的基础,也是唯一紧靠硬件的基本软件。作为信息系统最基础、最核心的局部,各种操作系统却又都存在着作为信息系统最基础、最核心的局部,各种操作系统却又都存在着这样或那样的平安隐患。操作系统的不平安是计算机不平安的根本这样或那样的平安隐患。操作系统的不平安是计算机不平安的根本原因。原因。(如:如:2000的输入法漏洞的输入法漏洞)2.网网络络平安的脆弱性平安的
20、脆弱性 n计算机网络尤其是互连网络,由于网络分布的广域性、网络体系结计算机网络尤其是互连网络,由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性,而使计算机构的开放性、信息资源的共享性和通信信道的共用性,而使计算机网络存在很多严重的脆弱点。它们是网络平安的严重隐患网络存在很多严重的脆弱点。它们是网络平安的严重隐患。如:。如:获取口令、放置木马、电子邮件攻击、网络监听、寻找获取口令、放置木马、电子邮件攻击、网络监听、寻找漏洞等漏洞等 211-1 计算机平安研究的重要性二、计算机系统的脆弱性二、计算机系统的脆弱性3.数据数据库库平安的脆弱性平安的脆弱性 n由于数据库系统
21、具有共享性、独立性、一致性、由于数据库系统具有共享性、独立性、一致性、完整性和可访问控制性等诸多优点,因而得到了完整性和可访问控制性等诸多优点,因而得到了广泛应用,现已成为了计算机系统存储数据的主广泛应用,现已成为了计算机系统存储数据的主要形式。与此同时,数据库应用在平安方面的考要形式。与此同时,数据库应用在平安方面的考虑却很少,容易造成存储数据的丧失、泄漏或破虑却很少,容易造成存储数据的丧失、泄漏或破坏。坏。221-1 计算机平安研究的重要性二、计算机系统的脆弱性二、计算机系统的脆弱性4.防火墙的局限性防火墙的局限性 n防火墙可以根据用户的要求隔断或连通用户的计算机与外防火墙可以根据用户的要
22、求隔断或连通用户的计算机与外界的连接,防止受到恶意的攻击,但防火墙不能保证计算界的连接,防止受到恶意的攻击,但防火墙不能保证计算机系统的绝对平安,它也存在许多的局限性。机系统的绝对平安,它也存在许多的局限性。n局限性表现在:局限性表现在:n不能阻止来自内部网络用户的攻击;不能阻止来自内部网络用户的攻击;n不能阻止用户传送已经感染病毒的软件或文件;不能阻止用户传送已经感染病毒的软件或文件;n只能对的网络威胁起作用,不能防范新的网络平安问题;只能对的网络威胁起作用,不能防范新的网络平安问题;n不能防范数据驱动型攻击电子邮件中的附件带病毒不能防范数据驱动型攻击电子邮件中的附件带病毒231-1 计算机
23、平安研究的重要性三、三、计算机系统平安的重要性计算机系统平安的重要性n随着人随着人们对计们对计算机信息系算机信息系统统依依赖赖程度的越来越大,程度的越来越大,应应用面的越来越广,用面的越来越广,计计算机系算机系统统平安的重要性也越平安的重要性也越来越突出。来越突出。n平安需求属性平安需求属性可靠性可靠性 Realibility)可用性可用性 Availability保密性保密性 Confidentiality完整性完整性Integrity可控性可控性 Controllability不可抵赖性不可抵赖性Nonrepudiation问责性问责性Accountability24指信息系统能够在规定条
24、件下和规定的时间内完指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。度量指标:成规定的功能的特性。度量指标:n抗毁性抗毁性 指系统在人为破坏下的可靠性指系统在人为破坏下的可靠性n生存性生存性 随机破坏下系统的可靠性随机破坏下系统的可靠性n有效性有效性 是基于业务性能的可靠性是基于业务性能的可靠性可靠性可靠性Reliability)25可用性Availability)指信息可被授权实体访问并按需求使用的指信息可被授权实体访问并按需求使用的特性,是系统面向用户的平安性能。一特性,是系统面向用户的平安性能。一般用系统正常使用时间和整个工作时间般用系统正常使用时间和整个工作时间之比来度量
25、之比来度量。26机密性(Confidentiality)也称保密性,指信息不被泄露给非指信息不被泄露给非授权的用户、实体或过程,或供其利用授权的用户、实体或过程,或供其利用的特性。机密性是在可靠性和可用性基的特性。机密性是在可靠性和可用性基础上,保障信息平安的重要手段。础上,保障信息平安的重要手段。27完整性(Integrity)指网络信息未经授权不能进行改变指网络信息未经授权不能进行改变的特性,既信息在存储或传输过程中保的特性,既信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丧失的特性。乱序、重放、插入等破坏和丧失的特
26、性。28不可抵赖性(Non-repudiation)指在信息交互过程中,确信参与者指在信息交互过程中,确信参与者的真实同一性,既所有参与者都不可能的真实同一性,既所有参与者都不可能否认或抵赖曾经完成的操作和承诺。否认或抵赖曾经完成的操作和承诺。分为:发送方不可否认和递送方不可否认。分为:发送方不可否认和递送方不可否认。(也有接受方不可否认。也有接受方不可否认。)29可控性 Controllabilityn指对合法用户根据其权限限制其不同的指对合法用户根据其权限限制其不同的对数据的操作范围,同时对非法用户进对数据的操作范围,同时对非法用户进行监视、审计,对信息的使用、传播有行监视、审计,对信息的
27、使用、传播有控制力。使信息和信息系统时刻处于合控制力。使信息和信息系统时刻处于合法所有者或使用者的有效控制之下。法所有者或使用者的有效控制之下。30问责性问责性Accountabilityn审计信息有选择地保存和保护,以便影审计信息有选择地保存和保护,以便影响平安的行为可以被追溯到责任方。响平安的行为可以被追溯到责任方。31各种攻击所针对的平安属性各种攻击所针对的平安属性n截获/侦听 机密性n篡改 完整性n中断 可用性n假冒与伪造 可用性/可审查性n非授权访问/非法使用 可控性321-3 计算机系统平安评估计算机系统平安评估一、一、计算机平安技术的开展过程计算机平安技术的开展过程n在上世在上世
28、纪纪5050年代,由于年代,由于计计算机算机应应用的范用的范围围很小,平安很小,平安问题问题并不突出,并不突出,计计算机系算机系统统的平安在的平安在绝绝大多数人的印象中是指大多数人的印象中是指实实体及硬件的物理平安。体及硬件的物理平安。n自上世自上世纪纪7070年代,数据的平安逐年代,数据的平安逐渐渐成成为计为计算机平安技算机平安技术术的主的主题题。n国际标准化组织国际标准化组织(ISO)(ISO)在在19841984年公布了信息处理系统参考模型,并提出年公布了信息处理系统参考模型,并提出了信息处理系统的平安保密体系结构了信息处理系统的平安保密体系结构(ISO-7498-2)(ISO-7498
29、-2)。n进入进入2020世纪世纪9090年代,计算机系统平安研究出现了新的侧重点。年代,计算机系统平安研究出现了新的侧重点。n一方面,对分布式和面向对象数据库系统的平安保密进行了研究;一方面,对分布式和面向对象数据库系统的平安保密进行了研究;n另一方面,对平安信息系统的设计方法、多域平安和保护模型等进行另一方面,对平安信息系统的设计方法、多域平安和保护模型等进行了探讨。了探讨。n目前,计算机平安技术正经历着前所未有的快速开展,并逐渐完善、成目前,计算机平安技术正经历着前所未有的快速开展,并逐渐完善、成熟,形成了一门新兴的学科。熟,形成了一门新兴的学科。331-2 计算机系统的平安技术二、计算
30、机平安技术的二、计算机平安技术的研究内容研究内容实体硬件平安实体硬件平安软件平安软件平安数据平安数据平安网络平安网络平安病毒防治病毒防治防计算机犯罪防计算机犯罪34实体硬件平安 物理平安:物理平安:是保护计算机设备设备、设施设施含网络免遭地震免遭地震、水灾水灾、火灾火灾、有害气体有害气体和其他环境事故如电磁污染等破坏的其他环境事故如电磁污染等破坏的措施措施和过程过程。35软件平安操作平台平安 系统平台平安主要是保护主机上的操作系系统平台平安主要是保护主机上的操作系统与数据库系统的平安,它们是两类非常统与数据库系统的平安,它们是两类非常成熟的产品,平安功能较为完善。对于保成熟的产品,平安功能较为
31、完善。对于保证系统平台平安,总体思路是先通过平安证系统平台平安,总体思路是先通过平安加固解决企业管理方面平安漏洞,然后采加固解决企业管理方面平安漏洞,然后采用平安技术设备来增强其平安防护能力。用平安技术设备来增强其平安防护能力。36网络平安n网络平安最主要的任务是标准其连接方式,网络平安最主要的任务是标准其连接方式,加强访问控制,部署平安保护产品,建立加强访问控制,部署平安保护产品,建立相应的管理制度并贯彻实施。相应的管理制度并贯彻实施。37网络存在的平安威胁38网络平安一套完整的网络平安解决方案包括以下一些技一套完整的网络平安解决方案包括以下一些技术环节:术环节:n应用防病毒技术,建立全面的
32、网络防病毒体系;应用防病毒技术,建立全面的网络防病毒体系;n应用数据加密技术,保证数据的保密性和完整性应用数据加密技术,保证数据的保密性和完整性n应用防火墙技术,控制访问权限,实现网络平安集中管理应用防火墙技术,控制访问权限,实现网络平安集中管理n应用入侵检测技术保护主机资源,防止内外网攻击应用入侵检测技术保护主机资源,防止内外网攻击n应用平安漏洞扫描技术主动探测网络平安漏洞,进行定期应用平安漏洞扫描技术主动探测网络平安漏洞,进行定期网络平安评估与平安加固网络平安评估与平安加固n应用网络实时监控与恢复系统,实现网络平安可靠的运行,应用网络实时监控与恢复系统,实现网络平安可靠的运行,防范突发事件
33、;防范突发事件;391-2 计算机系统的平安技术计算机系统的平安技术三、三、计计算机平安系算机平安系统统的的设计设计原原则则管理和技管理和技术术方面方面1 1木桶原木桶原则则 2 2整体性原整体性原则则:提供平安防:提供平安防护护、监测监测和和应应急恢复急恢复 3 3有效性与有效性与实实用性原用性原则则:将平安运算减小或分:将平安运算减小或分摊摊,减少,减少记忆记忆及操作及操作 4 4平安性平安性评评价原价原则则:根据不同的:根据不同的环环境采取不同的措施境采取不同的措施 5 5动态动态化原化原则则 6 6设计为设计为本原本原则则:系:系统设计统设计与平安、保密与平安、保密设计结设计结合合 7
34、 7有的放矢、各取所需原有的放矢、各取所需原则则:量力而:量力而为为P10P10平安参平安参谋给谋给出的出的2323条条设计设计原原则则401-3 计算机系统平安评估一、一、计算机系统平安评估的重要性计算机系统平安评估的重要性 计计算算机机系系统统的的平平安安评评估估其其过过程程本本身身就就是是对对系系统统平平安安性性的的检验检验和和监监督。督。n系系统统平安平安评评估包括:估包括:1.明确明确该该系系统统的薄弱的薄弱环节环节。2.分析利用分析利用这这些薄弱些薄弱环节进环节进行威行威胁胁的可能性。的可能性。3.评评估如果每种威估如果每种威胁胁都成功所都成功所带带来的后果。来的后果。4.估估计计
35、每种攻每种攻击击的代价。的代价。5.估算出可能的估算出可能的应应付措施的付措施的费费用。用。6.选选取恰当的平安机制。取恰当的平安机制。n平平安安评评估估的的目目标标:使使攻攻击击所所花花的的代代价价足足够够高高,从从而而把把风险风险降低到可接受的程度。降低到可接受的程度。411-3 计算机系统平安评估计算机系统平安评估n在我们生活中有许多标准:在我们生活中有许多标准:n成绩及格、不及格成绩及格、不及格n择偶标准择偶标准n噪音标准:夜间噪音标准:夜间22时至次日时至次日6时噪声不时噪声不得超过得超过30分贝,白天分贝,白天6时至时至22时不得超时不得超过过40分贝分贝 421-3 计算机系统平
36、安评估计算机系统平安评估二、二、计算机系统的平安标准计算机系统的平安标准 2020世纪世纪7070年代,年代,国防部就已经发布了诸如国防部就已经发布了诸如“自动数据处理系统平自动数据处理系统平安要求等一系列的平安评估标准。安要求等一系列的平安评估标准。19831983年又发布了年又发布了“可信计算机评价可信计算机评价标准,即所谓的桔皮书、黄皮书、红皮书和绿皮书。并于标准,即所谓的桔皮书、黄皮书、红皮书和绿皮书。并于19851985年对此年对此标准进行了修订。标准进行了修订。在平安体系结构方面在平安体系结构方面,ISO,ISO制定了国际标准制定了国际标准ISO7498-2-1989ISO7498
37、-2-1989信息信息处理系统开放系统互连基本参考模型第处理系统开放系统互连基本参考模型第2 2局部平安体系结构。局部平安体系结构。我国从我国从2020世纪世纪8080年代开始,本着积极采用国际标准的原则,转化年代开始,本着积极采用国际标准的原则,转化了一批国际信息平安基础技术标准,使我国信息平安技术得到了很大的了一批国际信息平安基础技术标准,使我国信息平安技术得到了很大的开展。开展。有关的信息平安标准如:计算机信息系统平安专用产品分类有关的信息平安标准如:计算机信息系统平安专用产品分类原则、计算机信息系统平安保护等级划分准则、商用密码管理原则、计算机信息系统平安保护等级划分准则、商用密码管理
38、条理、条理、计算机信息系统平安保护条理等。计算机信息系统平安保护条理等。431-3 计算机系统平安评估计算机系统平安评估三、三、计算机系统的平安等级计算机系统的平安等级 n常见的计算机系统平安等级的划分有两种:一种是依常见的计算机系统平安等级的划分有两种:一种是依据据 国防部发表的评估计算机系统平安等级的桔皮国防部发表的评估计算机系统平安等级的桔皮书,将计算机平安等级划分为四类八级,即书,将计算机平安等级划分为四类八级,即A2 A1 A2 A1 B3 B2 B1 C2 C1 DB3 B2 B1 C2 C1 D级;级;n另一种是依据我国公布的计算机信息系统平安保护另一种是依据我国公布的计算机信息
39、系统平安保护等级划分准则等级划分准则(GB17859_1999)(GB17859_1999),将计算机平安等级,将计算机平安等级划分为五级。划分为五级。44国际评价标准国际评价标准类别类别级别级别名称名称主要特征主要特征DD非保非保护护整个整个计计算机系算机系统统是不可信任的,硬是不可信任的,硬 件和操作系件和操作系统统很容易被侵很容易被侵袭袭。MS-Dos、Windows95(不在工作不在工作组组方式中方式中)CC1自主平安保自主平安保护护要求硬件有一定的平安机制、用要求硬件有一定的平安机制、用户户在使用前必在使用前必须须登登录录到系到系统统。但。但不能控制不能控制进进入系入系统统的用的用户
40、访问级别户访问级别。用。用户户可将系可将系统统数据迁移数据迁移走。常走。常见见的的C1级级兼容兼容计计算机系算机系统统如如:UNIX 系系统统、Windows NT C2可控平安保可控平安保护护C2级级引引进进了受控了受控访访 问环问环境境(用用户权户权限限级别级别)的增的增强强特性。特性。BB1标记标记平安保平安保护护支持多支持多级级平安,多平安,多级级是指是指这这一平安保一平安保护护安装在不同安装在不同级别级别 的系的系统统中中(网网络络、应应用程序、工作站等用程序、工作站等),它,它对对敏感信息提供更高敏感信息提供更高级级 的的保保护护。B2结结构化保构化保护护B2 级级安安 全要求全要
41、求计计算机系算机系统统中所有中所有对对象加象加标签标签,而且,而且给设备给设备(如工如工作站、作站、终终端端 和磁和磁盘驱动盘驱动器器)分配平安分配平安级别级别。B3强强制平安区域制平安区域要求用要求用户户工作站或工作站或终终端通端通过过可信任途径可信任途径连连接网接网络络系系统统,这这一一 级级必必须须采用硬件来保采用硬件来保护护平安系平安系统统的存的存储储区。区。AA验证设计验证设计A级还级还附加一个平安系附加一个平安系统统受受监视监视的的设计设计要求、另外,必要求、另外,必须须采用采用严严格的形式化方格的形式化方 法来法来证证明明该该系系统统的平安性。而且在的平安性。而且在A级级,所有,
42、所有构成系构成系统统的部件的来源的部件的来源 必必须须平安保平安保证证,这这些平安措施些平安措施还还必必须须担保在担保在销销售售过过程中程中这这些部件不受些部件不受 损损害。害。45国内评价标准国内评价标准n第一级为用户自主保护级:它的平安保护机制使用户具备自主平安保护的能第一级为用户自主保护级:它的平安保护机制使用户具备自主平安保护的能力,保护用户的信息免受非法的读写破坏。力,保护用户的信息免受非法的读写破坏。n第二级为系统审计保护级:除具备第一级所有的平安保护功能外,要求创立第二级为系统审计保护级:除具备第一级所有的平安保护功能外,要求创立和维护访问的审计跟踪记录,使所有的用户对自己的行为
43、的合法性负责。和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。n第三级为平安标记保护级:除继承前一个级别的平安功能外,还要求以访问第三级为平安标记保护级:除继承前一个级别的平安功能外,还要求以访问对象标记的平安级别限制访问者的访问权限,实现对访问对象的强制保护。对象标记的平安级别限制访问者的访问权限,实现对访问对象的强制保护。n第四级为结构化保护级:在继承前面平安级别平安功能的基础上,将平安保第四级为结构化保护级:在继承前面平安级别平安功能的基础上,将平安保护机制划分为关键局部和非关键局部,对关键局部直接控制访问者对访问对护机制划分为关键局部和非关键局部,对关键局部直接控制访问
44、者对访问对象的存取,从而加强系统的抗渗透能力象的存取,从而加强系统的抗渗透能力n第五级为访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁第五级为访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。访问者对访问对象的所有访问活动。461-4 计算机平安法规计算机平安法规一、一、计算机平安立法的必要性计算机平安立法的必要性 法律是信息平安的第一道防线,建立健全计算机平安法律是信息平安的第一道防线,建立健全计算机平安法律体系能够为计算机系统创造一个良好的社会环境,对法律体系能够为计算机系统创造一个良好的社会环境,对保障计算机平安意义重大。保障计算机平安
45、意义重大。计算机平安法律是在计算机平安领域内调整各种社会计算机平安法律是在计算机平安领域内调整各种社会关系的法律标准的总称。主要涉及系统规划与建设的法律,关系的法律标准的总称。主要涉及系统规划与建设的法律,系统管理与经营的法律,系统平安的法律,用户系统管理与经营的法律,系统平安的法律,用户(自然人自然人或法人或法人)数据的法律保护,电子资金划转的法律认证,计数据的法律保护,电子资金划转的法律认证,计算机犯罪与刑事立法,计算机证据的法律效力等法律问题。算机犯罪与刑事立法,计算机证据的法律效力等法律问题。应该不断制定和完善计算机平安方面的法律、法规,加强应该不断制定和完善计算机平安方面的法律、法规
46、,加强计算机平安执法力度,保证计算机及信息系统的平安。计算机平安执法力度,保证计算机及信息系统的平安。471-4 计算机平安法规二、二、计算机平安法规简介计算机平安法规简介 我国我国19911991年公布了计算机软件保护条例,年公布了计算机软件保护条例,19941994年年2 2月又公布了月又公布了 计算机信息系统平安保护条例,它揭开了我国计算机平安工作新的一页。计算机信息系统平安保护条例,它揭开了我国计算机平安工作新的一页。是我国计算机平安领域内第一个全国性的行政法规,它标志着我国的计算是我国计算机平安领域内第一个全国性的行政法规,它标志着我国的计算机平安工作开始走上标准化的法律轨道。机平安
47、工作开始走上标准化的法律轨道。我我国国公公布布的的计计算算机机平平安安法法规规还还有有:计计算算机机信信息息网网络络国国际际联联网网管管理理暂暂行行规规定定、计计算算机机信信息息网网络络国国际际联联网网管管理理暂暂行行规规定定实实施施方方法法、中中国国公公用用计计算算机机InternetInternet国国际际联联网网管管理理方方法法、计计算算机机信信息息系系统统国国际际联联网网保保密密管管理理规规定定、商商用用密密码码管管理理条条例例、计计算算机机病病毒毒防防治治管管理理方方法法、计计算算机机信信息息系系统统平平安安专专用用产产品品检检测测和和销销售售许许可可证证管管理理方方法法、电子出版物
48、管理规定等等。电子出版物管理规定等等。481-5 计算机平安技术的开展方向与市场分析计算机平安技术的开展方向与市场分析 1.越来越多的平安标准将被日益广泛的采越来越多的平安标准将被日益广泛的采用及应用。用及应用。2.认证、认可将成为一种制度。认证、认可将成为一种制度。3.平安策略越来越合理化。平安策略越来越合理化。4.平安体系升级换代。平安体系升级换代。5.平安管理。平安管理。6.生物识别技术。生物识别技术。7.灾难恢复技术。灾难恢复技术。49n提出未来提出未来515年以下年以下15个领域开展的重点技术。个领域开展的重点技术。n九网络和信息平安技术九网络和信息平安技术 重点开展平安处理芯片重点
49、开展平安处理芯片和系统级芯片、平安操作系统、平安数据库、信息隐和系统级芯片、平安操作系统、平安数据库、信息隐藏、身份认证、平安隔离、信息内容平安、入侵检测藏、身份认证、平安隔离、信息内容平安、入侵检测、网络容灾、病毒防范等产品。、网络容灾、病毒防范等产品。n重点技术:重点技术:密码技术密码技术 平安处理芯片技术平安处理芯片技术 电子认证、责任认定、授权管理技术电子认证、责任认定、授权管理技术 计算环计算环境和终端平安处理技术境和终端平安处理技术 网络和通信边界平安技网络和通信边界平安技术术 应急响应和灾难恢复技术应急响应和灾难恢复技术 信息平安测评信息平安测评技术技术信息产业科技开展信息产业科
50、技开展“十一五规划和十一五规划和2023年中长期规划纲要年中长期规划纲要50n四、我国信息化开展的战略重点四、我国信息化开展的战略重点n八建设国家信息平安保障体系八建设国家信息平安保障体系 20062023年国家信息化开展战略20062023年国家信息化开展战略年国家信息化开展战略 信息平安问题仍比较突出。在全球范围内,计算机病毒、信息平安问题仍比较突出。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出,如应对不当,可能会息和网络违法犯罪等问题日渐突出,如应对不当,可能会给我国经济社会开