系統(tǒng)安全-1課程概覽_第1頁
系統(tǒng)安全-1課程概覽_第2頁
系統(tǒng)安全-1課程概覽_第3頁
系統(tǒng)安全-1課程概覽_第4頁
系統(tǒng)安全-1課程概覽_第5頁
已閱讀5頁,還剩19頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

ComputerSecurityFall2013/Lecture11計(jì)算機(jī)系統(tǒng)安全

Lecture1

課程概覽ComputerSecurityFall2013/Lecture12教材及參考資料《計(jì)算機(jī)安全學(xué)-安全的藝術(shù)與科學(xué)》《UNIX環(huán)境高級(jí)編程》《SecurityEnginerring》pdf《IntroductiontoComputerSecurity》ByMattBishopchm《CounterHackReloaded,SecondEdition》chm《計(jì)算機(jī)安全學(xué)》DieterGollmann著張小松譯機(jī)械工業(yè)出版社2008年…ComputerSecurityFall2013/Lecture13計(jì)算機(jī)的不安全因素?計(jì)算機(jī)會(huì)遭到攻擊,并會(huì)受損攻擊者是誰?犯罪分子,有計(jì)劃的犯罪組織,流氓政府,工業(yè)間諜,憤怒的員工,…他們?yōu)槭裁匆?好奇,出名,利益,…計(jì)算機(jī)系統(tǒng)就是金錢ComputerSecurityFall2013/Lecture14計(jì)算機(jī)安全的問題計(jì)算機(jī)蠕蟲E.g.,莫里斯蠕蟲(1988),梅麗莎蠕蟲(1999)計(jì)算機(jī)病毒分布式拒絕服務(wù)攻擊非法闖入計(jì)算機(jī)垃圾郵件E.g.,Nigerianscam,推薦股票竊取身份僵尸網(wǎng)絡(luò)重要系統(tǒng)中的知名安全缺陷電子投票機(jī)間諜軟件ComputerSecuritySpring2010/Lecture15Howbigisthesecurityproblem:OneDataPoint/stats/CERTVulnerabilitiesreportedComputerSecuritySpring2010/Lecture16為什么發(fā)生這么多安全問題?大量有bug的軟件,以及錯(cuò)誤的配置...知曉是主要的問題主要的安全因素計(jì)算機(jī)安全的課程非常少編程教材不強(qiáng)調(diào)安全幾乎沒有安全審計(jì)不安全的編程語言粗心的程序員消費(fèi)者不太關(guān)心安全安全會(huì)使得應(yīng)用不方便,甚至難以實(shí)用安全意味著困難、昂貴、花費(fèi)很多時(shí)間ComputerSecuritySpring2010/Lecture17這門課程講授什么?建立防御攻擊的意識(shí)、限制攻擊后果沒有堅(jiān)固的銀彈;人們構(gòu)建的復(fù)雜系統(tǒng)會(huì)有很多錯(cuò)誤;錯(cuò)誤可能會(huì)被利用攻擊方式眾多可根據(jù)特定的目的制定多種攻擊方法、也可收集多種工具做事時(shí)會(huì)思考安全問題學(xué)習(xí)并理解應(yīng)用安全原則ComputerSecuritySpring2010/Lecture18安全目標(biāo)機(jī)密性Confidentiality(secrecy,privacy)授權(quán)用戶具有讀權(quán)限完整性Integrity僅被授權(quán)實(shí)體可按所授權(quán)限進(jìn)行修改可用性Availability僅被授權(quán)實(shí)體可訪問ComputerSecuritySpring2010/Lecture19術(shù)語脆弱性、弱點(diǎn)Vulnerabilities(weaknesses)威脅Threats(potentialscenarioofattack)攻擊Attacks控制措施Controls(securitymeasures)ComputerSecuritySpring2010/Lecture110防御方法防止Prevention阻礙Hindrance震懾,制止Deterrence偏斜,偏差Deflection檢測(cè)Detection恢復(fù)RecoveringComputerSecuritySpring2010/Lecture111安全原則最弱鏈接原則適當(dāng)保護(hù)原則安全目標(biāo)不是最大化安全,而是最大化實(shí)用性,限制風(fēng)險(xiǎn)的花費(fèi)控制在可接受范圍內(nèi)有效性原則必須使用控制措施;控制措施要適當(dāng)、有效;措施要充分、適合、容易使用用戶心理能接受深度防御晦澀的安全是不起作用的ComputerSecuritySpring2010/Lecture112計(jì)算機(jī)系統(tǒng)的層次劃分計(jì)算機(jī)系統(tǒng)可劃分為多個(gè)層次硬件操作系統(tǒng)系統(tǒng)軟件:數(shù)據(jù)庫等應(yīng)用層通過網(wǎng)絡(luò)連接的互連的計(jì)算機(jī)系統(tǒng)計(jì)算機(jī)系統(tǒng)是供人所用的系統(tǒng)的安全需求銀行空軍基地醫(yī)院家庭ComputerSecuritySpring2010/Lecture113銀行的安全需求-1安全保護(hù)客戶的帳戶主文件以及每天交易記錄文件帳簿式的防御過程已經(jīng)演化升級(jí)、許同不停地補(bǔ)充新的措施系統(tǒng)的主要威脅來源于銀行員工員工在休假期間不能訪問、登陸銀行系統(tǒng)當(dāng)交易金額比較大時(shí)需要2-3個(gè)授權(quán)人共同完成需要有告警系統(tǒng)查詢是否有不合理的交易量、非法交易模式ComputerSecuritySpring2010/Lecture114銀行的安全需求-2自動(dòng)取款機(jī)的安全交易過程中通過密碼和PIN鑒別,防止來自外部和內(nèi)部的攻擊—做起來比想象的難得多ComputerSecuritySpring2010/Lecture115銀行的安全需求-

3銀行的電子系統(tǒng)本質(zhì)上是高價(jià)值的信息系統(tǒng)銀行間轉(zhuǎn)移數(shù)量巨大金額時(shí)的安全交易的安全性;信用保證機(jī)制;信用卡的保護(hù)措施防御措施要包含密碼的管理、訪問控制、交易記錄過程管理ComputerSecuritySpring2010/Lecture116空軍基地的安全需求電子化的戰(zhàn)爭(zhēng)系統(tǒng)要具有復(fù)雜功能,主要目標(biāo)是阻塞敵人雷達(dá)偵察自己,同時(shí)防止自己被阻塞反制措施,反-反制措施,等等一系列未被發(fā)現(xiàn)和使用的欺騙措施要具有專用于戰(zhàn)爭(zhēng)中的洞察力ComputerSecuritySpring2010/Lecture117醫(yī)院的需求-1醫(yī)院采用的是基于Web的技術(shù),面臨一些新的保障性問題需保證藥品目錄不被修改、醫(yī)生給病人的診斷記錄不被修改醫(yī)生在家里通過Web訪問病人的醫(yī)療記錄,需要適當(dāng)?shù)碾娮予b別措施和加密機(jī)制ComputerSecuritySpring2010/Lecture118醫(yī)院的需求-2醫(yī)療系統(tǒng)應(yīng)保證病人隱私,僅部分人員可以訪問所有病人的記錄護(hù)士可在任意時(shí)間訪問本科室所護(hù)理的病人90天內(nèi)的紀(jì)錄護(hù)士調(diào)換科室后的訪問控制基于角色的訪問控制ComputerSecuritySpring2010/Lecture119醫(yī)院的需求-3患者的病歷可被醫(yī)學(xué)研究以匿名形式使用,但保證匿名性是比較困難的僅加密病人的名字是不夠充分的,查詢示例,“查看59歲、男性、在1966年9月15日鎖骨折斷的記錄”該查詢可鎖定某領(lǐng)導(dǎo)人的信息當(dāng)匿名措施不充分時(shí),需要進(jìn)一步、更嚴(yán)格的規(guī)則保障ComputerSecuritySpring2010/Lecture120ComputerSecuritySpring2010/Lecture121安全信息的道德使用我們討論脆弱性和攻擊大多數(shù)脆弱性已被加固一些攻擊可造成損害不要惡意使用目標(biāo)學(xué)會(huì)防御惡意攻擊能將所學(xué)的知識(shí)應(yīng)用于適當(dāng)?shù)膱?chǎng)合ComputerSecuritySpring2010/Lecture122惡意攻擊會(huì)違反法律DavidSmithMelissa梅麗莎病毒制造者:服刑20個(gè)月EhudTenenbaum(“TheAnalyzer”)闖入U(xiǎn)SDoD計(jì)算機(jī)系統(tǒng)被判1年半有期徒刑,入獄8個(gè)月后出獄DmitrySklyarov非法進(jìn)入Adobeebooks被FBI逮捕,違反了數(shù)據(jù)拷貝版權(quán)法入獄20天ComputerSecuritySpring2010/Lecture123本節(jié)閱讀資料CounterHackReloadedChapter1:IntroductionSecurityEngineeringChapter1:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論