1计算机安全概述-PPT课件

14
可控性 （Controllability）

指对合法用户根据其权限限制其不同的 对数据的操作范围，同时对非法用户进 行监视、审计，对信息的使用、传播有 控制力。使信息和信息系统时刻处于合 法所有者或使用者的有效控制之下。
15
问责性（Accountability）

审计信息有选择地保存和保护，以便影 响安全的行为可以被追溯到责任方。





1986年初在巴基斯坦，巴锡特(Basit）和阿姆杰德 (Amjad）两兄弟编写的Pakistan病毒（即Brain） 1988年11月，美国康乃尔大学的学生Morris编制的名 为蠕虫计算机病毒，造成经济损失约1亿美元 美丽杀手 2019年 ，经济损失超过12亿美元! 爱虫病毒 2000年5月，损失超过100亿美元以上 红色代码 2019年7月 ，直接经济损失超过26亿美元 2019年9月， 尼姆达蠕虫，约5.9亿美元的损失 2019年1月25日，“2019蠕虫王” ，对网络上的SQL 数据库攻击 2019年8月12日“冲击波”爆发
3
典型案例－计算机犯罪



2019年7月9日，北京市海淀区法院。原告：北大心理 学系93级研究生 薛燕戈。被告： 同班、同寝室、同乡 张男。4月9日1.8万美元全奖/4月12日10:16冒名邮件。 经调解赔偿精神与经济损失12000元。结局：薛燕戈 赴美成行（密执安大学）。张 男 “梦断北京”（丹 佛大学） 2019年6月24日上海证卷交易所某营业部发现有人委 托交易1亿股上海建工股票，却找不到营业部有任何人 委托此笔交易，当即撤消此笔交易，但是已经成交 2100股，损失2.6亿元 2019年9月21日晚，郝景文（扬州市工商行职员）， 通过假冒终端在11分钟内向16个活期帐户充值72万元。 随后恢复线路的正常连接，并在1小时内从8个储蓄所 提取26万元，心虚逃窜，现已缉拿归案，判处死刑。
16
17
其他安全需求



可审查性 真实性 认证 访问控制 …
不同的系统关注不同的需求（即不同的安全属性），如用户关注隐 私，网警关注可控；有的系统要求不可否认（电子交易），有的 要求可否认（匿名BBS）。
18
计算机系统安全涉及的内容



物理安全：环境安全、设备安全、媒体 安全 运行安全：风险分析、审计跟踪、备份 与恢复、应急响应 信息安全：操作系统安全、数据库安全、 网络安全、病毒防护、访问控制、加密 与鉴别
指网络信息未经授权不能进行改变 的特性，既信息在存储或传输过程中保 持不被偶然或蓄意地删除、修改、伪造、 乱序、重放、插入等破坏和丢失的特性。
13
不可抵赖性(Non-repudiation)
指在信息交互过程中，确信参与者 的真实同一性，既所有参与者都不可能 否认或抵赖曾经完成的操作和承诺。 分为：发送方不可否认和递送方不可否认。 (也有接受方不可否认。)
4Hale Waihona Puke Baidu
2019年病毒排行之首熊猫烧香
5
典型案例－网络欺诈

网络钓鱼(Phishing)




假银行：如假中国银行域名bank-off-china， 真bank-of-china；假中国工商银行1cbc，真 icbc 学历查询假网站 假中华慈善总会骗印度洋海啸捐款 假网上订票 假免费赠送QQ币
6
安全的关注点

通信保密 计算机安全 网络安全 信息保障
7
安全的概念



“安全”一词是指将服务与资源的脆弱性降到 最低限度。脆弱性是指计算机系统的任何弱点。 国际标准化组织（ISO）对计算机系统安全的 定义是：为数据处理系统建立和采用的技术和 管理的安全保护，保护计算机硬件、软件和数 据不因偶然和恶意的原因遭到破坏、更改和泄 露。 所谓计算机安全定义如下：研究如何预防和检 测计算机系统用户的非授权行为。。
计算机安全
虞闯
沈阳理工大学计算机科学与工程学院
1
理解安全与不安全概念

讨论：举例说明什么是不安全？

安全：没有危险；不受威胁；不出事故；没有损失； 计算机系统是由计算机及相关配套的设备、设施（含 网络）构成的，并按应用目标和规则对信息进行采集、 加工、存储、传输、检索等处理的人机系统。
2
不安全的典型案例－病毒与网络蠕虫
9
可靠性（Reliability)
指信息系统能够在规定条件下和规定的时间 内完成规定的功能的特性。度量指标： 抗毁性 指系统在人为破坏下的可靠性 生存性 随机破坏下系统的可靠性 有效性 是基于业务性能的可靠性
10
可用性（Availability)
指信息可被授权实体访问并按需求 使用的特性，是系统面向用户的安全性 能。一般用系统正常使用时间和整个工 作时间之比来度量。

2. 设计中的问题

Internet网络协议的安全机制存在先天不足，另 外协议还具有许多安全漏洞。
8
安全需求(属性）



可靠性 （Realibility) 可用性 （Availability） 保密性 （Confidentiality） 完整性（Integrity） 可控性 （Controllability） 不可抵赖性（Non—repudiation） 问责性（Accountability）
【拒绝攻击服务】（denial of service DoS):阻止对资源的授权访问 或者推迟时间关键的操作。
11
机密性(Confidentiality)
也称保密性，指信息不被泄露给非 授权的用户、实体或过程，或供其利用 的特性。机密性是在可靠性和可用性基 础上，保障信息安全的重要手段。
12
完整性(Integrity)
19
20
安全问题
初级入侵者使 用原始工具 系统 弱点 开发出自动的
扫描/探询工具
自动扫描/探询工 具被广泛使用 入侵者开始使用 新的探询工具
原始的探询 漏洞的工具 被分发 高级入侵者 发现新漏洞
时间 21
安全问题(续)

1. 应用中的安全威胁

所有的软件都存在漏洞。比如常用的操作系统 Windows或者UNIX及其他各种应用软件：各种 WWW服务器、浏览器、FTP服务器、邮件服务器 等；一些安全产品，如防火墙、VPN等都存在大 量安全漏洞。