版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
ComputerSecurityFall2013/Lecture11計(jì)算機(jī)系統(tǒng)安全
Lecture1
課程概覽ComputerSecurityFall2013/Lecture12教材及參考資料《計(jì)算機(jī)安全學(xué)-安全的藝術(shù)與科學(xué)》《UNIX環(huán)境高級(jí)編程》《SecurityEnginerring》pdf《IntroductiontoComputerSecurity》ByMattBishopchm《CounterHackReloaded,SecondEdition》chm《計(jì)算機(jī)安全學(xué)》DieterGollmann著張小松譯機(jī)械工業(yè)出版社2008年…ComputerSecurityFall2013/Lecture13計(jì)算機(jī)的不安全因素?計(jì)算機(jī)會(huì)遭到攻擊,并會(huì)受損攻擊者是誰?犯罪分子,有計(jì)劃的犯罪組織,流氓政府,工業(yè)間諜,憤怒的員工,…他們?yōu)槭裁匆?好奇,出名,利益,…計(jì)算機(jī)系統(tǒng)就是金錢ComputerSecurityFall2013/Lecture14計(jì)算機(jī)安全的問題計(jì)算機(jī)蠕蟲E.g.,莫里斯蠕蟲(1988),梅麗莎蠕蟲(1999)計(jì)算機(jī)病毒分布式拒絕服務(wù)攻擊非法闖入計(jì)算機(jī)垃圾郵件E.g.,Nigerianscam,推薦股票竊取身份僵尸網(wǎng)絡(luò)重要系統(tǒng)中的知名安全缺陷電子投票機(jī)間諜軟件ComputerSecuritySpring2010/Lecture15Howbigisthesecurityproblem:OneDataPoint/stats/CERTVulnerabilitiesreportedComputerSecuritySpring2010/Lecture16為什么發(fā)生這么多安全問題?大量有bug的軟件,以及錯(cuò)誤的配置...知曉是主要的問題主要的安全因素計(jì)算機(jī)安全的課程非常少編程教材不強(qiáng)調(diào)安全幾乎沒有安全審計(jì)不安全的編程語言粗心的程序員消費(fèi)者不太關(guān)心安全安全會(huì)使得應(yīng)用不方便,甚至難以實(shí)用安全意味著困難、昂貴、花費(fèi)很多時(shí)間ComputerSecuritySpring2010/Lecture17這門課程講授什么?建立防御攻擊的意識(shí)、限制攻擊后果沒有堅(jiān)固的銀彈;人們構(gòu)建的復(fù)雜系統(tǒng)會(huì)有很多錯(cuò)誤;錯(cuò)誤可能會(huì)被利用攻擊方式眾多可根據(jù)特定的目的制定多種攻擊方法、也可收集多種工具做事時(shí)會(huì)思考安全問題學(xué)習(xí)并理解應(yīng)用安全原則ComputerSecuritySpring2010/Lecture18安全目標(biāo)機(jī)密性Confidentiality(secrecy,privacy)授權(quán)用戶具有讀權(quán)限完整性Integrity僅被授權(quán)實(shí)體可按所授權(quán)限進(jìn)行修改可用性Availability僅被授權(quán)實(shí)體可訪問ComputerSecuritySpring2010/Lecture19術(shù)語脆弱性、弱點(diǎn)Vulnerabilities(weaknesses)威脅Threats(potentialscenarioofattack)攻擊Attacks控制措施Controls(securitymeasures)ComputerSecuritySpring2010/Lecture110防御方法防止Prevention阻礙Hindrance震懾,制止Deterrence偏斜,偏差Deflection檢測(cè)Detection恢復(fù)RecoveringComputerSecuritySpring2010/Lecture111安全原則最弱鏈接原則適當(dāng)保護(hù)原則安全目標(biāo)不是最大化安全,而是最大化實(shí)用性,限制風(fēng)險(xiǎn)的花費(fèi)控制在可接受范圍內(nèi)有效性原則必須使用控制措施;控制措施要適當(dāng)、有效;措施要充分、適合、容易使用用戶心理能接受深度防御晦澀的安全是不起作用的ComputerSecuritySpring2010/Lecture112計(jì)算機(jī)系統(tǒng)的層次劃分計(jì)算機(jī)系統(tǒng)可劃分為多個(gè)層次硬件操作系統(tǒng)系統(tǒng)軟件:數(shù)據(jù)庫等應(yīng)用層通過網(wǎng)絡(luò)連接的互連的計(jì)算機(jī)系統(tǒng)計(jì)算機(jī)系統(tǒng)是供人所用的系統(tǒng)的安全需求銀行空軍基地醫(yī)院家庭ComputerSecuritySpring2010/Lecture113銀行的安全需求-1安全保護(hù)客戶的帳戶主文件以及每天交易記錄文件帳簿式的防御過程已經(jīng)演化升級(jí)、許同不停地補(bǔ)充新的措施系統(tǒng)的主要威脅來源于銀行員工員工在休假期間不能訪問、登陸銀行系統(tǒng)當(dāng)交易金額比較大時(shí)需要2-3個(gè)授權(quán)人共同完成需要有告警系統(tǒng)查詢是否有不合理的交易量、非法交易模式ComputerSecuritySpring2010/Lecture114銀行的安全需求-2自動(dòng)取款機(jī)的安全交易過程中通過密碼和PIN鑒別,防止來自外部和內(nèi)部的攻擊—做起來比想象的難得多ComputerSecuritySpring2010/Lecture115銀行的安全需求-
3銀行的電子系統(tǒng)本質(zhì)上是高價(jià)值的信息系統(tǒng)銀行間轉(zhuǎn)移數(shù)量巨大金額時(shí)的安全交易的安全性;信用保證機(jī)制;信用卡的保護(hù)措施防御措施要包含密碼的管理、訪問控制、交易記錄過程管理ComputerSecuritySpring2010/Lecture116空軍基地的安全需求電子化的戰(zhàn)爭(zhēng)系統(tǒng)要具有復(fù)雜功能,主要目標(biāo)是阻塞敵人雷達(dá)偵察自己,同時(shí)防止自己被阻塞反制措施,反-反制措施,等等一系列未被發(fā)現(xiàn)和使用的欺騙措施要具有專用于戰(zhàn)爭(zhēng)中的洞察力ComputerSecuritySpring2010/Lecture117醫(yī)院的需求-1醫(yī)院采用的是基于Web的技術(shù),面臨一些新的保障性問題需保證藥品目錄不被修改、醫(yī)生給病人的診斷記錄不被修改醫(yī)生在家里通過Web訪問病人的醫(yī)療記錄,需要適當(dāng)?shù)碾娮予b別措施和加密機(jī)制ComputerSecuritySpring2010/Lecture118醫(yī)院的需求-2醫(yī)療系統(tǒng)應(yīng)保證病人隱私,僅部分人員可以訪問所有病人的記錄護(hù)士可在任意時(shí)間訪問本科室所護(hù)理的病人90天內(nèi)的紀(jì)錄護(hù)士調(diào)換科室后的訪問控制基于角色的訪問控制ComputerSecuritySpring2010/Lecture119醫(yī)院的需求-3患者的病歷可被醫(yī)學(xué)研究以匿名形式使用,但保證匿名性是比較困難的僅加密病人的名字是不夠充分的,查詢示例,“查看59歲、男性、在1966年9月15日鎖骨折斷的記錄”該查詢可鎖定某領(lǐng)導(dǎo)人的信息當(dāng)匿名措施不充分時(shí),需要進(jìn)一步、更嚴(yán)格的規(guī)則保障ComputerSecuritySpring2010/Lecture120ComputerSecuritySpring2010/Lecture121安全信息的道德使用我們討論脆弱性和攻擊大多數(shù)脆弱性已被加固一些攻擊可造成損害不要惡意使用目標(biāo)學(xué)會(huì)防御惡意攻擊能將所學(xué)的知識(shí)應(yīng)用于適當(dāng)?shù)膱?chǎng)合ComputerSecuritySpring2010/Lecture122惡意攻擊會(huì)違反法律DavidSmithMelissa梅麗莎病毒制造者:服刑20個(gè)月EhudTenenbaum(“TheAnalyzer”)闖入U(xiǎn)SDoD計(jì)算機(jī)系統(tǒng)被判1年半有期徒刑,入獄8個(gè)月后出獄DmitrySklyarov非法進(jìn)入Adobeebooks被FBI逮捕,違反了數(shù)據(jù)拷貝版權(quán)法入獄20天ComputerSecuritySpring2010/Lecture123本節(jié)閱讀資料CounterHackReloadedChapter1:IntroductionSecurityEngineeringChapter1:
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《證券交易概論》課件
- 《信號(hào)的描述和分類》課件
- 酒渣鼻樣結(jié)核疹的臨床護(hù)理
- 選擇性lgA缺乏癥的臨床護(hù)理
- 單純性外陰炎的健康宣教
- 《機(jī)床電氣線路的安裝與調(diào)試》課件-第9章
- 奶稀的健康宣教
- 孕期抗磷脂抗體綜合征的健康宣教
- 子宮壁妊娠的健康宣教
- 小腿皮炎的臨床護(hù)理
- 圍墻拆除重建施工方案
- 國(guó)開(陜西)2024年秋《社會(huì)調(diào)查》形考作業(yè)1-4答案
- 2023年廣東省高等職業(yè)院校招收中等職業(yè)學(xué)校畢業(yè)生考試數(shù)學(xué)含答案
- 人力資源許可證制度(服務(wù)流程、服務(wù)協(xié)議、收費(fèi)標(biāo)準(zhǔn)、信息發(fā)布審查和投訴處理)
- 礦漿管道施工組織設(shè)計(jì)
- 大學(xué)美育-美育賞湖南智慧樹知到期末考試答案章節(jié)答案2024年湖南高速鐵路職業(yè)技術(shù)學(xué)院
- 犯罪學(xué)智慧樹知到期末考試答案章節(jié)答案2024年云南司法警官職業(yè)學(xué)院
- xxx軍分區(qū)安保服務(wù)項(xiàng)目技術(shù)方案文件
- 國(guó)家開放大學(xué)電大《11662會(huì)計(jì)信息系統(tǒng)(本)》期末終考題庫及標(biāo)準(zhǔn)參考答案
- 2023年高二組重慶市高中學(xué)生化學(xué)競(jìng)賽試題
- 物流配送合作協(xié)議書范本
評(píng)論
0/150
提交評(píng)論