【正文】 對通信對等實體或數(shù)據(jù)源的認(rèn)證。在一個安全系統(tǒng)中，數(shù)據(jù)或資源應(yīng)該標(biāo)注安全標(biāo)記。在安全策略中包含有對“什么構(gòu)成授權(quán)”的說明。 66 PDRR安全模型 (續(xù) ) ? 提出了人、政策（包括法律、法規(guī)、制度、管理）和技術(shù)三大要素； ? 歸納了網(wǎng)絡(luò)安全的主要內(nèi)涵，即鑒別、保密、完整性、可用性、不可抵賴性、責(zé)任可核查性和可恢復(fù)性； ? 提出了信息安全的幾個重點領(lǐng)域，即關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全（包括電信、油氣管網(wǎng)、交通、供水、金融等）、內(nèi)容的信息安全（包括反病毒、電子信箱安全和有害內(nèi)容過濾等）和電子商務(wù)的信息安全； ? 認(rèn)為密碼理論和技術(shù)是核心，安全協(xié)議是橋梁，安全體系結(jié)構(gòu)是基礎(chǔ)，安全的芯片是關(guān)鍵，監(jiān)控管理是保障，攻擊和評測的理論和實踐是考驗。 ? （ 4）響應(yīng)（ Response） ? 在檢測到安全漏洞之后必須及時做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)；對于危及安全的事件、行為、過程，及時做出處理，杜絕危害進(jìn)一步擴(kuò)大，使系統(tǒng)力求提供正常的服務(wù)。如，什么級別的信息應(yīng)該采取什么保護(hù)強度、針對不同級別的風(fēng)險能承受什么樣的代價等問題都應(yīng)該制定策略。策略體系的建立包括安全策略的制訂、評估、執(zhí)行等。（基于假設(shè)的安全，即有條件的安全，沒有絕對的安全） ? 安全具有動態(tài)性 。 ? （九）網(wǎng)絡(luò)和信息安全技術(shù) 重點發(fā)展安全處理芯片和系統(tǒng)級芯片、安全操作系統(tǒng)、安全數(shù)據(jù)庫、信息隱藏、身份認(rèn)證、安全隔離、信息內(nèi)容安全、入侵檢測、網(wǎng)絡(luò)容災(zāi)、病毒防范等產(chǎn)品。 ? 根據(jù)國家的需求和信息領(lǐng)域科技發(fā)展的趨勢，信息技術(shù)領(lǐng)域設(shè)立了四個主題： ? 計算機軟硬件技術(shù)主題 ? 通信技術(shù)主題 ? 信息獲取與處理技術(shù)主題 ? 信息安全技術(shù)主題 49 863計劃（續(xù)） ? 信息安全技術(shù)主題的主要目標(biāo) ? 是通過對信息安全基礎(chǔ)、核心和關(guān)鍵技術(shù)的研究攻關(guān)以及對急需的信息安全產(chǎn)品和系統(tǒng)的研究開發(fā)，為我國信息化建設(shè)的安全保障體系提供關(guān)鍵核心技術(shù)和平臺，增強對國家信息基礎(chǔ)設(shè)施和重點信息資源的安全保障能力，基本滿足國家和重要部門的信息安全需求。自然和人為兩類。 ? 4. 管理中的問題 ? 網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機構(gòu)及用戶免受攻擊的重要保障。 36 不可抵賴性 (Nonrepudiation) 指在信息交互過程中，確信參與者的真實同一性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。一般用系統(tǒng)正常使用時間和整個工作時間之比來度量 。 ? 國際標(biāo)準(zhǔn)化組織（ ISO）對計算機系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。網(wǎng)絡(luò)（系統(tǒng)）管理員通過技術(shù)監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的占 %，比去年增加了約13％，成為主要發(fā)現(xiàn)手段，說明網(wǎng)絡(luò)（系統(tǒng)）管理員安全技術(shù)水平有所提高。 奧運期間，全國互聯(lián)網(wǎng)安全狀況基本平穩(wěn)，未出現(xiàn)重大網(wǎng)絡(luò)安全事件。最初接觸電腦是在 1995年。隨后恢復(fù)線路的正常連接，并在 1小時內(nèi)從 8個儲蓄所提取 26萬元，心虛逃竄，現(xiàn)已緝拿歸案，判處死刑。 4月 9日 元全獎 /4月 12日 10:16冒名郵件。 ? 農(nóng)村網(wǎng)民規(guī)模增長迅速，網(wǎng)民規(guī)模達(dá)到 8460 萬人，較 2023 年增長 %，增速遠(yuǎn)遠(yuǎn)超過城鎮(zhèn)（ %）。（手機病毒問題） 8 理解安全與不安全概念 ? 安全：沒有危險；不受威脅；不出事故 9 中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告 ? 截至 2023 年 12 月 31 日，中國網(wǎng)民規(guī)模達(dá)到 億人，普及率達(dá)到 %，超過全球平均水平；網(wǎng)民規(guī)模較 2023 年增長 8800 萬人，年增長率為%。 5 討論：舉例說明什么是不安全？ ? 案例 3 某一天下著大雨，突然“霹靂”一聲，微機室的靠窗戶的一排電腦突然全部斷線了，經(jīng)查是連接那排電腦的一臺交換機被擊壞了。軟件學(xué)院 1 教材及參考資料 ? 教材： 計算機系統(tǒng)安全 (第二版 )，曹天杰等 .高等教育出版社 ,. ? 參考教材 1： 《計算機信息安全技術(shù)》，步山岳，張有東 .高等教育出版社， . ? 參考教材 2： Mao Wenbo， Modern Cryptography: Theory and Practice ， 電子工業(yè)出版社， 2023. ? 參考教材 3： 信息安全理論與技術(shù) .楊義先等 . 郵電出版社， . 2 聯(lián)系方式 ? 電話： 66886122 ? 郵箱： ? 辦公地點： 2111107 3 第一講 信息安全概況 4 理解安全與不安全概念 ? 討論：舉例說明什么是不安全？ ? 案例 1 不知你遇到過這種事情沒有？上網(wǎng)正在興頭上時，突然 IE窗口不停地打開，最后直到資源耗盡死機？ ? 案例 2 前幾天 , 我的一位同事的 被盜在淘寶網(wǎng)上拍賣了 150元錢，最后同事費盡周折，利用密碼保護(hù)才要回了自己心愛的 號。原來老高收到一條看似平常的信息，當(dāng)她打開這條短信時，手機就開始不停地試圖連接網(wǎng)絡(luò)，而且無法終止，只能關(guān)機。 ? 手機上網(wǎng)網(wǎng)民規(guī)模達(dá)到 11760 萬人，較 2023 年增長了 133%。被告： 同班、同寢室、同鄉(xiāng)張男。張 男 “夢斷北京”（丹佛大學(xué)） 12 典型案例－計算機犯罪 ? 1998年 6月 24日上海證卷交易所某營業(yè)部發(fā)現(xiàn)有人委托交易 1億股上海建工股票，卻找不到營業(yè)部有任何人委托此筆交易，當(dāng)即撤消此筆交易，但是已經(jīng)成交 2100股，損失 ? 1998年 9月 21日晚，郝景文（揚州市工商行職員），通過假冒終端在 11分鐘內(nèi)向 16個活期帳戶充值 72萬元。 ? 徐某，僅是個技校畢業(yè)生，而且所學(xué)專業(yè)還是車工。 18 信息網(wǎng)絡(luò)安全狀況調(diào)查結(jié)果 ? 調(diào)查結(jié)果顯示，我國信息網(wǎng)絡(luò)安全事件發(fā)生比例繼前 3年連續(xù)增長后，今年略有下降， 信息網(wǎng)絡(luò)安全事件發(fā)生比例為 %，比去年下降了 3％；計算機病毒感染率也出現(xiàn)下降，為 ％，比去年減少了 6％。 2023 年 5 月至 2023 年 5 月是否發(fā)生過網(wǎng)絡(luò)安全事件31%17%13%32%7%沒有1 次2 次3 次以上不清楚發(fā)生的網(wǎng)絡(luò)安全事件類型554620391734 16496739726320100020233000400050006000感染病毒/蠕蟲/木馬程序/惡意代碼等 遭到端口掃描、網(wǎng) 絡(luò)攻擊或未授權(quán)訪問（使用）網(wǎng)絡(luò)網(wǎng)頁被篡改垃圾郵件內(nèi)部人員破壞或濫用網(wǎng)絡(luò)資源網(wǎng)絡(luò)詐騙和盜竊、網(wǎng)絡(luò)釣魚其他答卷數(shù)22 (二 )網(wǎng)絡(luò)安全事件情況 在發(fā)生的安全事件中，攻擊或傳播源涉及內(nèi)部人員的達(dá)到 54%，比去年激增了 15％；涉及外部人員的卻銳減了 18％。脆弱性是指計算機系統(tǒng)的任何弱點。度量指標(biāo)： ? 抗毀性 指系統(tǒng)在人為破壞下的可靠性 ? 生存性 隨機破壞下系統(tǒng)的可靠性 ? 有效性 是基于業(yè)務(wù)性能的可靠性 33 可用性（ Availability) 指信息可被授權(quán)實體訪問并按需求使用的特性，是系統(tǒng)面向用戶的安全性能。 35 完整性 (Integrity) 指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。由于維護(hù)人員沒有審核這些設(shè)置、限制這些用戶的權(quán)限、更改默認(rèn)的口令，以及關(guān)閉不必要的服務(wù)端口等，往往會被攻擊者利用，造成網(wǎng)絡(luò)癱瘓或機密被竊取。 ? 威脅來自多個方面。 ? （ 2）從攻擊者的行為上看可以分成主動威脅和被動威脅 ? （ 3）從威脅的動機上看分為偶發(fā)性威脅與故意性威脅 46 威