搜索
第一章计算机安全概论随着计算机在社会各个领域的广泛应用和迅速普及,人类社会业已步入信息时代。信息已经成了人类的一种重要资源,人们生产和生活的质量将愈来愈多的取决于对知识信息的掌握和运用的程度。面对汪洋大海般的信息,计算机成了信息处理必不可少的强有力工具。在计算机系统中,信息是指存储于计算机及其外部设备上的程序和数据。由于计算机系统中的信息涉及到有关国家安全的政治、经济、军事的情况以及一些部门、机构、组织与个人的机密,因此极易受到敌对势力以及一些非法用户、别有用心者的威胁和攻击。加之几乎所有的计算机系统都存在着不同程度的安全隐患,所以,计算机系统的安全、保密问题越来越受到人们的重视。1-1计算机安全研究的重要性1-1-1计算机系统面临的威胁1.对实体的威胁和攻击所谓实体,是指实施信息收集、传输、存储、加工处理、分发、利用的计算机及其外部设备和网络。对实体的威胁和攻击是对计算机本身和外部设备以及网络和通信线路而言的。这些威胁主要有:各种自然灾害、人为的破坏、设备故障、操作失误、场地和环境的影响、电磁干扰、电磁泄漏、各种媒体的被盗及数据资料的损失等。2.对信息的威胁和攻击由于计算机信息有共享和易于扩散等特性,使得它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。威胁和攻击可细分为两类,即信息泄漏和信息破坏。3.计算机犯罪计算机犯罪是指行为人运用所掌握的计算机专业知识,以计算机为工具或以计算机资产为攻击对象,给社会造成严重危害的行为。其中,计算机资产包括硬件、软件、计算机系统中存储、处理或传输的数据及通讯线路。4.计算机病毒计算机病毒是由破坏者精心设计和编写的,能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。计算机病毒的破坏行为体现了病毒的杀伤能力。1-1计算机安全研究的重要性1-1-2计算机系统的脆弱性1.操作系统安全的脆弱性操作系统是一切软件运行的基础,也是唯一紧靠硬件的基本软件。作为信息系统最基础、最核心的部分,各种操作系统却又都存在着这样或那样的安全隐患。操作系统的不安全是计算机不安全的根本原因。2.网络安全的脆弱性计算机网络尤其是互连网络,由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性,而使计算机网络存在很多严重的脆弱点。它们是网络安全的严重隐患。3.数据库安全的脆弱性由于数据库系统具有共享性、独立性、一致性、完整性和可访问控制性等诸多优点,因而得到了广泛应用,现已成为了计算机系统存储数据的主要形式。与此同时,数据库应用在安全方面的考虑却很少,容易造成存储数据的丢失、泄漏或破坏。4.防火墙的局限性防火墙可以根据用户的要求隔断或连通用户的计算机与外界的连接,避免受到恶意的攻击,但防火墙不能保证计算机系统的绝对安全,它也存在许多的局限性。1-1计算机安全研究的重要性1-1-3计算机系统安全的重要性随着人们对计算机信息系统依赖程度的越来越大,应用面的越来越广,计算机系统安全的重要性也越来越突出。1-2计算机系统的安全技术1-2-1计算机安全技术的发展过程在上世纪50年代,由于计算机应用的范围很小,安全问题并不突出,计算机系统的安全在绝大多数人的印象中是指实体及硬件的物理安全。自上世纪70年代,数据的安全逐渐成为计算机安全技术的主题。国际标准化组织(ISO)在1984年公布了信息处理系统参考模型,并提出了信息处理系统的安全保密体系结构(ISO-7498-2)。进入20世纪90年代,计算机系统安全研究出现了新的侧重点。一方面,对分布式和面向对象数据库系统的安全保密进行了研究;另一方面,对安全信息系统的设计方法、多域安全和保护模型等进行了探讨。目前,计算机安全技术正经历着前所未有的快速发展,并逐渐完善、成熟,形成了一门新兴的学科。1-2计算机系统的安全技术1-2-2计算机安全技术的研究内容1.实体硬件安全2.软件安全3.数据安全4.网络安全5.病毒防治6.防计算机犯罪1-2计算机系统的安全技术1-2-3计算机安全系统的设计原则(1)木桶原则(2)整体性原则(3)有效性与实用性原则(4)安全性评价原则(5)动态化原则(6)设计为本原则(7)有的放矢、各取所需原则1-3计算机系统安全评估1-3-1计算机系统安全评估的重要性计算机系统的安全评估其过程本身就是对系统安全性的检验和监督。系统安全评估包括了构成计算机系统的物理网络和系统的运行过程、系统提供的服务以及这种过程与服务中的管理、保证能力的安全评价,大致来说包括:1.明确该系统的薄弱环节。2.分析利用这些薄弱环节进行威胁的可能性。3.评估如果每种威胁都成功所带来的后果。4.估计每种攻击的代价。5.估算出可能的应付措施的费用。6.选取恰当的安全机制。1-3计算机系统安全评估1-3-2计算机系统的安全标准20世纪70年代,美国国防部就已经发布了诸如“自动数据处理系统安全要求”等一系列的安全评估标准。1983年又发布了“可信计算机评价标准”,即所谓的桔皮书、黄皮书、红皮书和绿皮书。并于1985年对此标准进行了修订。在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》。我国从20世纪80年代开始,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,使我国信息安全技术得到了很大的发展。有关的信息安全标准如:《计算机信息系统安全专用产品分类原则》、《计算机信息系统安全保护等级划分准则》、《商用密码管理条理》、《中华人民共和国计算机信息系统安全保护条理》等。1-3计算机系统安全评估1-3-3计算机系统的安全等级常见的计算机系统安全等级的划分有两种:一种是依据美国国防部发表的评估计算机系统安全等级的桔皮书,将计算机安全等级划分为四类八级,即A2A1B3B2B1C2C1D级;另一种是依据我国颁布的《计算机信息系统安全保护等级划分准则》(GB17859_1999),将计算机安全等级划分为五级。1-4计算机安全法规1-4-1计算机安全立法的必要性法律是信息安全的第一道防线,建立健全计算机安全法律体系能够为计算机系统创造一个良好的社会环境,对保障计算机安全意义重大。计算机安全法律是在计算机安全领域内调整各种社会关系的法律规范的总称。主要涉及系统规划与建设的法律,系统管理与经营的法律,系统安全的法律,用户(自然人或法人)数据的法律保护,电子资金划转的法律认证,计算机犯罪与刑事立法,计算机证据的法律效力等法律问题。应该不断制定和完善计算机安全方面的法律、法规,加强计算机安全执法力度,保证计算机及信息系统的安全。1-4计算机安全法规1-4-2计算机安全法规简介我国1991年颁布了《计算机软件保护条例》,1994年2月又颁布了《中华人民共和国计算机信息系统安全保护条例》,它揭开了我国计算机安全工作新的一页。是我国计算机安全领域内第一个全国性的行政法规,它标志着我国的计算机安全工作开始走上规范化的法律轨道。我国颁布的计算机安全法规还有:《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《中国公用计算机Internet国际联网管理办法》、《计算机信息系统国际联网保密管理规定》、《商用密码管理条例》、《计算机病毒防治管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《电子出版物管理规定》等等。1-5计算机安全技术的发展方向与市场分析1.越来越多的安全标准将被日益广泛的采用及应用。2.认证、认可将成为一种制度。3.安全策略越来越合理化。4.安全体系升级换代。5.安全管理。6.生物识别技术。7.灾难恢复技术。