版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ComputerSecurityFall2013/Lecture11计算机系统安全
Lecture1
课程概览ComputerSecurityFall2013/Lecture12教材及参考资料《计算机安全学-安全的艺术与科学》《UNIX环境高级编程》《SecurityEnginerring》pdf《IntroductiontoComputerSecurity》ByMattBishopchm《CounterHackReloaded,SecondEdition》chm《计算机安全学》DieterGollmann著张小松译机械工业出版社2008年…ComputerSecurityFall2013/Lecture13计算机的不安全因素?计算机会遭到攻击,并会受损攻击者是谁?犯罪分子,有计划的犯罪组织,流氓政府,工业间谍,愤怒的员工,…他们为什么要攻击?好奇,出名,利益,…计算机系统就是金钱ComputerSecurityFall2013/Lecture14计算机安全的问题计算机蠕虫E.g.,莫里斯蠕虫(1988),梅丽莎蠕虫(1999)计算机病毒分布式拒绝服务攻击非法闯入计算机垃圾邮件E.g.,Nigerianscam,推荐股票窃取身份僵尸网络重要系统中的知名安全缺陷电子投票机间谍软件ComputerSecuritySpring2010/Lecture15Howbigisthesecurityproblem:OneDataPoint/stats/CERTVulnerabilitiesreportedComputerSecuritySpring2010/Lecture16为什么发生这么多安全问题?大量有bug的软件,以及错误的配置...知晓是主要的问题主要的安全因素计算机安全的课程非常少编程教材不强调安全几乎没有安全审计不安全的编程语言粗心的程序员消费者不太关心安全安全会使得应用不方便,甚至难以实用安全意味着困难、昂贵、花费很多时间ComputerSecuritySpring2010/Lecture17这门课程讲授什么?建立防御攻击的意识、限制攻击后果没有坚固的银弹;人们构建的复杂系统会有很多错误;错误可能会被利用攻击方式众多可根据特定的目的制定多种攻击方法、也可收集多种工具做事时会思考安全问题学习并理解应用安全原则ComputerSecuritySpring2010/Lecture18安全目标机密性Confidentiality(secrecy,privacy)授权用户具有读权限完整性Integrity仅被授权实体可按所授权限进行修改可用性Availability仅被授权实体可访问ComputerSecuritySpring2010/Lecture19术语脆弱性、弱点Vulnerabilities(weaknesses)威胁Threats(potentialscenarioofattack)攻击Attacks控制措施Controls(securitymeasures)ComputerSecuritySpring2010/Lecture110防御方法防止Prevention阻碍Hindrance震慑,制止Deterrence偏斜,偏差Deflection检测Detection恢复RecoveringComputerSecuritySpring2010/Lecture111安全原则最弱链接原则适当保护原则安全目标不是最大化安全,而是最大化实用性,限制风险的花费控制在可接受范围内有效性原则必须使用控制措施;控制措施要适当、有效;措施要充分、适合、容易使用用户心理能接受深度防御晦涩的安全是不起作用的ComputerSecuritySpring2010/Lecture112计算机系统的层次划分计算机系统可划分为多个层次硬件操作系统系统软件:数据库等应用层通过网络连接的互连的计算机系统计算机系统是供人所用的系统的安全需求银行空军基地医院家庭ComputerSecuritySpring2010/Lecture113银行的安全需求-1安全保护客户的帐户主文件以及每天交易记录文件帐簿式的防御过程已经演化升级、许同不停地补充新的措施系统的主要威胁来源于银行员工员工在休假期间不能访问、登陆银行系统当交易金额比较大时需要2-3个授权人共同完成需要有告警系统查询是否有不合理的交易量、非法交易模式ComputerSecuritySpring2010/Lecture114银行的安全需求-2自动取款机的安全交易过程中通过密码和PIN鉴别,防止来自外部和内部的攻击—做起来比想象的难得多ComputerSecuritySpring2010/Lecture115银行的安全需求-
3银行的电子系统本质上是高价值的信息系统银行间转移数量巨大金额时的安全交易的安全性;信用保证机制;信用卡的保护措施防御措施要包含密码的管理、访问控制、交易记录过程管理ComputerSecuritySpring2010/Lecture116空军基地的安全需求电子化的战争系统要具有复杂功能,主要目标是阻塞敌人雷达侦察自己,同时防止自己被阻塞反制措施,反-反制措施,等等一系列未被发现和使用的欺骗措施要具有专用于战争中的洞察力ComputerSecuritySpring2010/Lecture117医院的需求-1医院采用的是基于Web的技术,面临一些新的保障性问题需保证药品目录不被修改、医生给病人的诊断记录不被修改医生在家里通过Web访问病人的医疗记录,需要适当的电子鉴别措施和加密机制ComputerSecuritySpring2010/Lecture118医院的需求-2医疗系统应保证病人隐私,仅部分人员可以访问所有病人的记录护士可在任意时间访问本科室所护理的病人90天内的纪录护士调换科室后的访问控制基于角色的访问控制ComputerSecuritySpring2010/Lecture119医院的需求-3患者的病历可被医学研究以匿名形式使用,但保证匿名性是比较困难的仅加密病人的名字是不够充分的,查询示例,“查看59岁、男性、在1966年9月15日锁骨折断的记录”该查询可锁定某领导人的信息当匿名措施不充分时,需要进一步、更严格的规则保障ComputerSecuritySpring2010/Lecture120ComputerSecuritySpring2010/Lecture121安全信息的道德使用我们讨论脆弱性和攻击大多数脆弱性已被加固一些攻击可造成损害不要恶意使用目标学会防御恶意攻击能将所学的知识应用于适当的场合ComputerSecuritySpring2010/Lecture122恶意攻击会违反法律DavidSmithMelissa梅丽莎病毒制造者:服刑20个月EhudTenenbaum(“TheAnalyzer”)闯入USDoD计算机系统被判1年半有期徒刑,入狱8个月后出狱DmitrySklyarov非法进入Adobeebooks被FBI逮捕,违反了数据拷贝版权法入狱20天ComputerSecuritySpring2010/Lecture123本节阅读资料CounterHackReloadedChapter1:IntroductionSecurityEngineeringChapter1:
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025死亡赔偿协议书格式
- 黑素瘤病因介绍
- 协议书汽车转让模板
- 合同战略合作协议
- 代理合作协议范本大全
- 公司保密协议案例
- 颅内静脉血栓形成病因介绍
- 2023夫妻结婚前协议书七篇
- 关于采购协议
- 中医药健康知识讲座
- 2023年报告文学研究(自考)(重点)题库(带答案)
- 国军淞沪会战
- 2023年湖南体育职业学院高职单招(语文)试题库含答案解析
- GB/T 39314-2020铝合金石膏型铸造通用技术导则
- 装饰装修施工质量检查评分表
- 非开挖施工技术讲稿课件
- 单绒毛膜双羊膜囊双胎2022优秀课件
- 《思想道德与法治》 课件 第四章 明确价值要求 践行价值准则
- 北师大版八年级上数学竞赛试卷
- 幼儿园讲座:课程游戏化、生活化建设的背景与目的课件
- 地理信息系统(GIS)公开课(课堂)课件
评论
0/150
提交评论