1.12什么是信息安全 与信息一样,对于信息安全也没有统一的定义。 从信息安全研究的内容来看,主要涉及两大类: 般信息技术系统的安全,特定信息体系的安 全(如银行信息系统,军事指挥系统)。 信息安全,应该确保信息的完整性( integrity), 可用性 availability)y 保密性( confidentiality) 可控性( controlability)和可靠性。信息系统安 全的内在含义就是采用一切可能方法和手段, 确保信息的上述五性
• 1.1.2 什么是信息安全 • 与信息一样,对于信息安全也没有统一的定义。 • 从信息安全研究的内容来看,主要涉及两大类: 一般信息技术系统的安全,特定信息体系的安 全 (如银行信息系统,军事指挥系统 ) 。 • 信息安全,应该确保信息的完整性(integrity), 可用性(availability),保密性(confidentiality), 可控性(controlability)和可靠性。信息系统安 全的内在含义就是采用一切可能方法和手段, 确保信息的上述五性
完整性:是指信息在存储或传输过程中不被修 改、破坏、插入、延迟、乱序和丢失。破坏信 息的完整性是对信息系统发动攻击的最终目标。 计算机病毒也会破坏信息的完整性。 可用性是指信息可被合法用户访问并按要求顺 序使用。对可用性的攻击就是阻断信息的使用, 如破坏网络系统的正常运行等。计算机病毒的 入侵是对可用性的一大挑战。 保密性是指信息不泄露给非授权的个人和实体, 或不供其使用。这里需要借助密码技术
• 完整性:是指信息在存储或传输过程中不被修 改、破坏、插入、延迟、乱序和丢失。破坏信 息的完整性是对信息系统发动攻击的最终目标。 计算机病毒也会破坏信息的完整性。 • 可用性是指信息可被合法用户访问并按要求顺 序使用。对可用性的攻击就是阻断信息的使用, 如破坏网络系统的正常运行等。计算机病毒的 入侵是对可用性的一大挑战。 • 保密性是指信息不泄露给非授权的个人和实体, 或不供其使用。这里需要借助密码技术
可控性是指授权机构可以随时控制信息 的机密性,密钥托管、密钥恢复等措施 就是实现信息安全可控性的手段。 ·可靠性是指信息系统以用户认可的质量 连续服务于用户。这涉及硬件和软件两 方面的可靠性问题
• 可控性是指授权机构可以随时控制信息 的机密性,密钥托管、密钥恢复等措施 就是实现信息安全可控性的手段。 • 可靠性是指信息系统以用户认可的质量 连续服务于用户。这涉及硬件和软件两 方面的可靠性问题
有些信息安全问题与程序设计开发者有 关 程序设计缺陷或疏忽造成 (1)缓冲区溢出 攻击者通常会设法造成溢出到系统空间, 由此替换系统空间中的代码,这样在其 过程调用返回时就可以替换一些指令从 而控制操作系统
• 有些信息安全问题与程序设计开发者有 关 • 程序设计缺陷或疏忽造成 • (1)缓冲区溢出 • 攻击者通常会设法造成溢出到系统空间, 由此替换系统空间中的代码,这样在其 过程调用返回时就可以替换一些指令从 而控制操作系统
http://www.somesite.com/subpage/userinput&par mal=(808)-555-1212&parm2=2004jan02 这里 userinput页面收到了两个参数,值为:(808)-555 1212和2004jan02 调用者的浏览器将接受用户从表格中填写的数值,并 加密后传送给服务器。 攻击者若输入一个非常长的电话号码,例如500位。 开发者通常只分配了15或20个字节。 ·若500位后,是否会由此造成程序的崩溃?如果崩溃 将是怎样的?是否可以被按照预定的崩溃的方式进行? 攻击者通常是利用溢出先造成系统的崩溃,然后制造 出可控制的故障,从而导致了系统的严重安全隐患 设计时应该对输入有控制
• http://www.somesite.com/subpage/userinput&par ma1=(808)-555-1212&parm2=2004jan02 • 这里userinput页面收到了两个参数,值为:(808)-555- 1212 和2004jan02 • 调用者的浏览器将接受用户从表格中填写的数值,并 加密后传送给服务器。 • 攻击者若输入一个非常长的电话号码,例如500位。 • 开发者通常只分配了15 或20个字节。 • 若500位后,是否会由此造成程序的崩溃?如果崩溃, 将是怎样的?是否可以被按照预定的崩溃的方式进行? • 攻击者通常是利用溢出先造成系统的崩溃,然后制造 出 可控制的故障,从而导致了系统的严重安全隐患。 • 设计时应该对输入有控制