1计算机安全概述..ppt

理解安全与不安全概念 讨论：举例说明什么是不安全？ 安全：没有危险；不受威胁；不出事故；没有损失； 计算机系统是由计算机及相关配套的设备、设施（含网络）构成的，并按应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 不安全的典型案例－病毒与网络蠕虫 1986年初在巴基斯坦，巴锡特(Basit）和阿姆杰德(Amjad）两兄弟编写的Pakistan病毒（即Brain） 1988年11月，美国康乃尔大学的学生Morris编制的名为蠕虫计算机病毒，造成经济损失约1亿美元 美丽杀手 1999年 ，经济损失超过12亿美元! 爱虫病毒 2000年5月，损失超过100亿美元以上 红色代码 2001年7月 ，直接经济损失超过26亿美元 2001年9月， 尼姆达蠕虫，约5.9亿美元的损失 2003年1月25日，“2003蠕虫王” ，对网络上的SQL数据库攻击 2003年8月12日“冲击波”爆发 典型案例－计算机犯罪 1996年7月9日，北京市海淀区法院。原告：北大心理学系93级研究生 薛燕戈。被告： 同班、同寝室、同乡张男。4月9日1.8万美元全奖/4月12日10:16冒名邮件。经调解赔偿精神与经济损失12000元。结局：薛燕戈 赴美成行（密执安大学）。张 男 “梦断北京”（丹佛大学） 1998年6月24日上海证卷交易所某营业部发现有人委托交易1亿股上海建工股票，却找不到营业部有任何人委托此笔交易，当即撤消此笔交易，但是已经成交2100股，损失2.6亿元 1998年9月21日晚，郝景文（扬州市工商行职员），通过假冒终端在11分钟内向16个活期帐户充值72万元。随后恢复线路的正常连接，并在1小时内从8个储蓄所提取26万元，心虚逃窜，现已缉拿归案，判处死刑。 2006年病毒排行之首熊猫烧香 典型案例－网络欺诈 网络钓鱼(Phishing) 假银行：如假中国银行域名，真；假中国工商银行，真 学历查询假网站 假中华慈善总会骗印度洋海啸捐款 假网上订票 假免费赠送QQ币 安全的关注点 通信保密 计算机安全 网络安全 信息保障 安全的概念 “安全”一词是指将服务与资源的脆弱性降到最低限度。脆弱性是指计算机系统的任何弱点。 国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 所谓计算机安全定义如下：研究如何预防和检测计算机系统用户的非授权行为。。 安全需求(属性） 可靠性 （Realibility) 可用性 （Availability） 保密性 （Confidentiality） 完整性（Integrity） 可控性 （Controllability） 不可抵赖性（Non—repudiation） 问责性（Accountability） 可靠性（Reliability) 指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。度量指标： 抗毁性 指系统在人为破坏下的可靠性 生存性 随机破坏下系统的可靠性 有效性 是基于业务性能的可靠性 可用性（Availability) 指信息可被授权实体访问并按需求使用的特性，是系统面向用户的安全性能。一般用系统正常使用时间和整个工作时间之比来度量。 【拒绝攻击服务】（denial of service DoS):阻止对资源的授权访问或者推迟时间关键的操作。 机密性(Confidentiality) 也称保密性，指信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。机密性是在可靠性和可用性基础上，保障信息安全的重要手段。 完整性(Integrity) 指网络信息未经授权不能进行改变的特性，既信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 不可抵赖性(Non-repudiation) 指在信息交互过程中，确信参与者的真实同一性，既所有参与者都不可能否认或抵赖曾经完成的操作和承诺。 分为：发送方不可否认和递送方不可否认。(也有接受方不可否认。) 可控性 （Controllability） 指对合法用户根据其权限限制其不同的对数据的操作范围，同时对非法用户进行监视、审计，对信息的使用、传播有控制力。使信息和信息系统时刻处于合法所有者或使用者的有效控制之下。 问责性（Accountability） 审计信息有选择地保存和保护，以便影响安全的行为可以被追溯到责任方。 其他安全需求 可审查性 真实性 认证 访问控制 … 不同的系统关注不同的需求（即不同的安全属性），如用户关注隐私，网