計算機信息安全概述

計算機信息安全概述第1章計算機信息安全概述

1.1威脅計算機信息安全的因素1.2計算機信息安全研究的內(nèi)容1.3OSI信息安全體系1.4計算機系統(tǒng)的安全策略1.5計算機系統(tǒng)的可靠性

第2頁,共25頁，2024年2月25日，星期天

1.1威脅計算機信息安全的因素

對計算機信息系統(tǒng)的威脅三個方面：

1．直接對計算機系統(tǒng)的硬件設(shè)備進行破壞；

2．對存放在系統(tǒng)存儲介質(zhì)上的信息進行非法獲取、篡改和破壞等；

3．在信息傳輸過程中對信息非法獲取、篡改和破壞等。

第3頁,共25頁，2024年2月25日，星期天

影響計算機信息安全的因素：

1．自然環(huán)境

2．人為失誤

3．人為惡意破壞

4．軟件設(shè)計等不完善。

第4頁,共25頁，2024年2月25日，星期天

1.2計算機信息安全研究的內(nèi)容１．計算機外部安全；２．計算機信息在存儲介質(zhì)上的安全；３．計算機信息在傳輸過程中的安全，即計算機網(wǎng)絡(luò)安全。

第5頁,共25頁，2024年2月25日，星期天

1.2.1計算機外部安全

計算機外部安全包括計算機設(shè)備的物理安全、與信息安全有關(guān)的規(guī)章制度的建立和法律法規(guī)的制定等。它是保證計算機設(shè)備的正常運行，確保系統(tǒng)信息安全的前提。

第6頁,共25頁，2024年2月25日，星期天

1.安全規(guī)章制度

安全規(guī)章制度是計算機安全體系的基礎(chǔ)。

2.設(shè)備的物理安全

包括對計算機設(shè)備和工作環(huán)境的防護措施,如防火、防盜、防水、防塵、防地震等措施。

3.防電磁波輻射

（1）計算機系統(tǒng)受到外界電磁場的干擾，使得計算機系統(tǒng)不能正常工作；第7頁,共25頁，2024年2月25日，星期天

（2）計算機系統(tǒng)本身向外界所產(chǎn)生的包含有用信號的電磁波，造成信息泄漏，為攻擊者提供了信息竊取的可能性。

TEMPEST技術(shù)的主要目的是防止計算機系統(tǒng)中因電磁輻射而產(chǎn)生的信息泄密。

TEMPEST包括抑源法、電磁屏蔽法和噪聲干擾法。

第8頁,共25頁，2024年2月25日，星期天

1.2.2計算機內(nèi)部安全

計算機內(nèi)部安全是計算機信息在存儲介質(zhì)上的安全，包括計算機軟件保護、軟件安全、數(shù)據(jù)安全等。研究的內(nèi)容包括軟件的防盜版，操作系統(tǒng)的安全性問題，磁盤上的數(shù)據(jù)防破壞、防竊取以及磁盤上的數(shù)據(jù)恢復(fù)與拯救技術(shù)等問題。第9頁,共25頁，2024年2月25日，星期天

計算機的信息安全還可以從信息的完整性、可用性、保密性等屬性加以說明。

1．完整性技術(shù)是保護計算機系統(tǒng)內(nèi)軟件和數(shù)據(jù)不被偶然或人為蓄意地破壞、篡改、偽造等。

2．可用性技術(shù)是在用戶授權(quán)的條件下，信息必須是可用的。

3．保密性技術(shù)是防止信息失竊和泄露的技術(shù)，信息必須按照信息擁有者的要求保持一定的秘密性。第10頁,共25頁，2024年2月25日，星期天

1.2.3計算機網(wǎng)絡(luò)安全

計算機網(wǎng)絡(luò)安全是指信息在通過網(wǎng)絡(luò)系統(tǒng)交換數(shù)據(jù)時確保信息的完整性、可靠性和保密性。從建立網(wǎng)絡(luò)信息安全保障體系來看，可以從邊界防衛(wèi)、入侵檢測和安全反應(yīng)等環(huán)節(jié)進行。第11頁,共25頁，2024年2月25日，星期天

1．邊界防衛(wèi)技術(shù)通常將安全邊界設(shè)在需要保護的信息周邊，重點阻止諸如病毒入侵、黑客攻擊等試圖“越界”的行為。

2．入侵檢測技術(shù)是對網(wǎng)絡(luò)系統(tǒng)運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種企圖攻擊行為和攻擊結(jié)果，并及時作出反應(yīng)的技術(shù)。

3．安全反應(yīng)技術(shù)是將破壞所造成的損失降低到最小限度的技術(shù)。第12頁,共25頁，2024年2月25日，星期天

1.3OSI信息安全體系

ISO7498-2標(biāo)準(zhǔn)包括了五類安全服務(wù)以及提供這些服務(wù)所需要的八類安全機制。1.3.1安全服務(wù)

1．鑒別服務(wù)鑒別服務(wù)可以鑒別參與通信的對等實體和數(shù)據(jù)源的合法性。

2．訪問控制服務(wù)訪問控制服務(wù)能夠防止未經(jīng)授權(quán)而利用OSI可訪問的資源。

第13頁,共25頁，2024年2月25日，星期天

3．?dāng)?shù)據(jù)保密性這種安全服務(wù)是防止數(shù)據(jù)未經(jīng)授權(quán)而泄露或被截獲。

4．?dāng)?shù)據(jù)完整性這種安全服務(wù)是用來防止在系統(tǒng)之間交換數(shù)據(jù)時，數(shù)據(jù)被修改、插入，或造成數(shù)據(jù)丟失。

5．禁止否認(rèn)服務(wù)這種安全服務(wù)是防止通信雙方否認(rèn)發(fā)送或接收數(shù)據(jù)的行為。

第14頁,共25頁，2024年2月25日，星期天

1.3.2安全機制

1．加密機制加密機制包括加密的保密性、加密算法、密鑰管理等。

2.數(shù)字簽名機制數(shù)字簽名主要用來解決通信雙方發(fā)生否認(rèn)、偽造、篡改和冒充等問題。

3．訪問控制機制訪問控制機制是按照事先制定的規(guī)則決定主體對客體的訪問是否合法，防止未經(jīng)授權(quán)的用戶非法訪問系統(tǒng)資源。

第15頁,共25頁，2024年2月25日，星期天

4.鑒別交換機制這種機制是以交換信息的方式來確認(rèn)對方身份的機制?？捎糜阼b別交換的技術(shù)有口令、密碼技術(shù)、實體的特征或占有物、時鐘標(biāo)志和同步時鐘、雙向和三向握手（分別用于單方和雙方鑒別）、數(shù)字簽名或公證機構(gòu)等。

5．?dāng)?shù)據(jù)完整性機制（1）單個的數(shù)據(jù)單元或字段的完整性；（2）數(shù)據(jù)單元串或字段串的完整性，即要求數(shù)據(jù)編號的連續(xù)性和時間標(biāo)記的正確性等。第16頁,共25頁，2024年2月25日，星期天

6．業(yè)務(wù)填充機制通過造假通信實例，產(chǎn)生欺騙性數(shù)據(jù)單元，用來抵抗在通信線路監(jiān)聽數(shù)據(jù)并對其業(yè)務(wù)流量和流向進行分析。

7．路由控制機制路由控制機制是使發(fā)送信息者可以選擇特殊安全的線路發(fā)送信息。

8．公證機制多個實體間進行通信時，數(shù)據(jù)的安全性都由公證機制來保證。

第17頁,共25頁，2024年2月25日，星期天

1.4計算機系統(tǒng)的安全策略

1.4.1安全策略計算機系統(tǒng)的安全策略是指在特定的環(huán)境下，為保證一定級別的安全要求所提出的一系列條例、規(guī)則和方法。安全策略可分為政策法規(guī)層、安全管理層、安全技術(shù)層三個層次。

1．政策法規(guī)層是為建立安全規(guī)章制度和合理使用安全技術(shù)提供的法律保護，同時通過立法和政策導(dǎo)向來提高人的職業(yè)道德，對人進行倫理教育，凈化社會環(huán)境。

第18頁,共25頁，2024年2月25日，星期天

2．安全管理層將涉及到具體單位和個人，為實施安全技術(shù)提供具體保護。包括組織管理機構(gòu)、人事管理和計算機系統(tǒng)管理。

3．安全技術(shù)層可以通過物理方法和邏輯方法（或軟件方法）來實現(xiàn)。（1）物理安全策略是保護計算機等硬件實體免受破壞和攻擊；（2）邏輯方法是通過訪問控制、加密、防火墻等方法以阻擋非法侵入。

第19頁,共25頁，2024年2月25日，星期天

1.4.2人、制度和技術(shù)之間的關(guān)系

規(guī)章制度是計算機安全體系的基礎(chǔ)，是安全的最重要的因素。

第二個重要因素就是人，任何保護措施沒有人的參與都是毫無意義的。從這個意義上來說，人是對計算機信息安全最大的威脅。安全技術(shù)的本身實際上只是用來幫助人們實現(xiàn)安全防護的手段，提高安全防護的能力。它確實沒有比強化規(guī)章制度執(zhí)行，提高人們的安全防范意識，提高人們的道德水準(zhǔn)更重要。

第20頁,共25頁，2024年2月25日，星期天

1.5計算機系統(tǒng)的可靠性

計算機系統(tǒng)的可靠性是指在給定的時間內(nèi)，在一定的條件下，計算機系統(tǒng)能完成應(yīng)有功能的能力。從宏觀上來說可靠性可以分為硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。就硬件來說，使用時間越長，“磨損”越大，就越容易出故障。軟件則相反，使用時間越長越可靠，軟件沒有“磨損”等問題。

第21頁,共25頁，2024年2月25日，星期天

1.5.1避錯和容錯

提高計算機系統(tǒng)的可靠性可以采取避錯和容錯兩項措施。

避錯是由產(chǎn)品的生產(chǎn)商通過元器件的精選、嚴(yán)格的工藝和精心的設(shè)計來提高產(chǎn)品的硬件的質(zhì)量，減少故障的發(fā)生。容錯是指在計算機系統(tǒng)內(nèi)部出現(xiàn)故障的情況下，利用冗余的資源，使計算機系統(tǒng)仍能正確地運行，提供可靠的服務(wù)。容錯系統(tǒng)工作過程包括自動檢測、自動切換和自動恢復(fù)部分。

第22頁,共25頁，2024年2月25日，星期天

1.5.2容錯設(shè)計

容錯主要依靠冗余資源設(shè)計來實現(xiàn)系統(tǒng)的可靠性。冗余設(shè)計技術(shù)分為：

1.硬件冗余設(shè)計通過增加硬件資源來獲得容錯能力的。

2．信息冗余設(shè)計在數(shù)據(jù)中外加一部分信息位來檢測或糾正信息在運算或傳輸中的錯誤而達(dá)到容錯功能。

3．軟件冗余設(shè)計用多個不同軟件，采用不同的算法，執(zhí)行同一功能，及時發(fā)現(xiàn)程序設(shè)計錯誤，提高系統(tǒng)的可靠性。

第23頁,共25頁，2024年2月25日，星期天

1.5.3故障恢復(fù)策略

故障恢復(fù)策略有前向恢復(fù)和后向恢復(fù)兩種。前向恢復(fù)是指在發(fā)生故障時，當(dāng)前的任務(wù)繼續(xù)進行，同時把系統(tǒng)恢復(fù)成連貫的正確狀態(tài)，彌補當(dāng)前狀態(tài)的不連貫情況，這種方法適合實時處理。后向恢復(fù)是指在發(fā)生故障時，系統(tǒng)