【正文】 非法篡改圖 11 信息傳輸受到的攻擊 6 ? 信息存儲過程中的威脅 存儲于計算機(jī)系統(tǒng)中的信息，易于受到與通信線路同樣的威脅。 – 流量分析（ Traffic Analysis）：通過分析通信雙方的標(biāo)識、通信頻度、消息格式等信息，從中發(fā)現(xiàn)有價值的信息和規(guī)律。 信息系統(tǒng)常見的安全攻擊 8 ? 信息系統(tǒng)安全 “ 計算機(jī)安全是指為信息處理系統(tǒng)建立和采取的技術(shù)的和管理的安全保護(hù)措施，保護(hù)系統(tǒng)中硬件、軟件及數(shù)據(jù)，不因偶然或惡意的原因而遭受破壞、更改或泄漏。 – 完整性 (Integrity)： 防止非法篡改和破壞信息。如保密法、數(shù)據(jù)保護(hù)法、計算機(jī)安全法、計算機(jī)犯罪法、計算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)、數(shù)據(jù)和信息安全標(biāo)準(zhǔn)等（指 “ 社會規(guī)范 ” 和 “ 技術(shù)規(guī)范 ” 兩方面）。在遇到停電時， UPS能立即切換到內(nèi)部電池供電，并提供一個臨時電源，以便堅持到供電恢復(fù)。成功的密鑰分析可能會直接破譯明文和密鑰。因此研究保護(hù)操作系統(tǒng)的方法、設(shè)計安全操作系統(tǒng)，對整個計算機(jī)系統(tǒng)的安全至關(guān)重要。 16 國際標(biāo)準(zhǔn)化組織 ISO（ International Standand Organization），于 1989年在 OSI參考模型的七層協(xié)議基礎(chǔ)之上，提出了 OSI（ Open System Interconion）安全體系結(jié)構(gòu)，定義了 5種安全服務(wù)和實(shí)現(xiàn)這些安全服務(wù)的 8類安全機(jī)制，如圖 14所示。主要包括連接保密性、無連接保密性、選擇字段保密性、業(yè)務(wù)流保密性。安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€或更多安全服務(wù)的過程。 – 軟件 (包括網(wǎng)絡(luò)軟件，應(yīng)用軟件和相關(guān)的軟件 )正常。 政策法規(guī) 25 立法立足點(diǎn) ? 計算機(jī)安全戰(zhàn)略應(yīng)當(dāng)是： 運(yùn)用政策、法律、管理和技術(shù)手段，保護(hù)計算機(jī)資產(chǎn)免受自然和人為有害因素的威脅和危害，把計算機(jī)安全事件發(fā)生率和可能造成的政治、經(jīng)濟(jì)損失降低到最小限度。 – 任何個人、社會團(tuán)體及政府部門，凡需建立有關(guān)私人情況的文件或處理這方面的文件，都必須事先得到數(shù)據(jù)監(jiān)察局的許可，根據(jù)政府或議會命令而建立文件，也要事先征求監(jiān)察局的意見。 ? 1997年 05月 20日 國務(wù)院關(guān)于修改 《 中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 》 ? 2023年 04月 26 日 計算機(jī)病毒 防治管理辦法 ? 2023年 12月 20 日 計算機(jī)軟件保護(hù)條例 ? 行政法規(guī)： – 《 計算機(jī)軟件保護(hù)條例 》 – 《 計算機(jī)病毒控制條例 》 （試行） – 《 計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 – 《 計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 》 等 政策法規(guī) 31 計算機(jī)安全評價標(biāo)準(zhǔn) ? 安全評價的目的是制訂適合出 —定范圍的系統(tǒng)一致的評估方法，避免同一系統(tǒng)、同一應(yīng)用的多重評價 ? 它主要適用范圍是硬件和操作系統(tǒng)，也可用于應(yīng)用系統(tǒng)評價 政策法規(guī) 32 計算機(jī)安全評價標(biāo)準(zhǔn) ? 制定安全標(biāo)準(zhǔn)的策略應(yīng)從以下幾方由來考慮： – 與計算機(jī)系統(tǒng)的實(shí)際環(huán)境相結(jié)合 – 與國際環(huán)境相適應(yīng) – 具有一定程度的模糊性 – 具有一定范圍的適應(yīng)性 政策法規(guī) 33 可信計算機(jī)系統(tǒng)評估準(zhǔn)則 ? 《 可信計算機(jī)系統(tǒng)評估準(zhǔn)則 》 （ TCSECTrusted Computer System Evaluation Criteria，俗稱橘皮書）是美國國防部于 1985年發(fā)表的一份技術(shù)文件 ? 制定 《 準(zhǔn)則 》 的目的 : – 向制造商提供一個標(biāo)準(zhǔn)，即指導(dǎo)制造商如何在他們新開發(fā)的、并將廣泛使用的商用產(chǎn)品中采用安全部件來滿足敏感應(yīng)用的可信要求。 :22:2623:22:26March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 :22:2623:22Mar238Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , March 8, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 2023年 3月 8日星期三 11時 22分 26秒 23:22:268 March 2023 ? 1一個人即使已登上頂峰，也仍要自強(qiáng)不息。 :22:2623:22Mar238Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 :22:2623:22:26March 8, 2023 ? 1意志堅強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 。為制定規(guī)范時的安全需求提供一個基準(zhǔn)。 – 監(jiān)察局在發(fā)給許可證時，要對建立文件的日期，文件組成、數(shù)據(jù)處理、使用何種設(shè)備等方面作一些指示，必要時還要發(fā)布命令，有關(guān)方面必須遵守。 ? 它規(guī)定 – 利用計算機(jī)收取非法利益； – 非法取得計算機(jī)信息系統(tǒng)服務(wù)； – 用非法手段侵入計算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)進(jìn)行盜竊、破壞、篡改數(shù)據(jù)流文件，或擾亂系統(tǒng)功能； – 利用計算機(jī)或計算機(jī)知識竊取金融證券、現(xiàn)金、程序、信息、情報等行為的 ? 為計算機(jī)犯罪。 – 系統(tǒng)資源和信息資源使用合法 政策法規(guī) 24 立法立足點(diǎn) ? 計算機(jī)安全需要以下五個機(jī)制： – 威懾 :提醒人們不要做有害于計算機(jī)的事，否則將受到法律的制裁。 19 ? 安全服務(wù)與安全機(jī)制關(guān)系 安全服務(wù)是加強(qiáng)