计算机信息安全概述
篇一:计算机信息安全概述
摘要:伴随着社会经济的发展,对金融电子化的需求呈增加的发展趋势。本文从金融科技风险概述出发,针对现有的金融科技风险存在的问题,对计算机安全管理在防范金融科技风险的作用进行了探讨。该研究对我国金融科技风险的防范有一定的参考价值。
关键词:计算机安全 科技风险 金融电子
伴随着计算机应用技术的发展,电子金融市场面临着机遇的同时也面临着挑战,金融科技风险的发生成了金融业不得不面对的问题。在这种背景下,计算机安全管理在防范金融科技风险中的作用得到了越来越多的关注[1]。本文结合现有的金融科技风险的实际情况,对计算机安全管理在防范金融科技风险中的作用进行探讨。
一、金融科技风险概述
金融科技风险通常又被称作金融计算机风险,指的是金融行业在实施技术创新与金融电子化进程中所应用的计算机与网络通信等技术所带来的风险,这是由于计算机硬件、计算机软件以及计算机的操作系统缺少计算机安全管理制度的有效规范,潜伏中存在诸多不安全因素容易造成潜在的或者已经出现的各类风险。金融行业的计算机信息系统作为技术密集结合体,有着人――机――环境的复杂系统,该系统在正常运作过程中有着一定的脆弱性,容易遭受攻击。传统金融行业的银行与金库,通常都管理严格,外人很难潜人,金融机构内部的不同业务部门之间也设置一定的物理方式的分隔措施[2]。但金融行业电子化以后,特别是计算机联网实施以后,银行传统的边界已经逐步消失,进而导致金融计算机信息系统存在一定程度的易受攻击,在自然灾害与人为破坏方面的防护能力不强,整个系统在运营过程中容易出现问题,如可能会遇到不法分子通过国外的计算机网络进人到银行的数据库,进而导致损害的发生。
二、金融科技风险分析
从现有金融科技风险的情况来看,主要的金融科技风险主要表现在以下几个方面:
首先,计算机安全管理意识淡薄而导致的金融科技风险。金融行业在防范金融科技风险方面水平的高低与组织人员,尤其是管理人员安全意识的强弱有着密切的联系。以基层银行的计算机安全管理工作为例,我国现有的多数县支行仅仅配备一名计算机方面的专业技术人员,同时对这些人员的薪酬管理存在着不规范的行为,导致这些人员的安全意识低,工作积极性差,进而影响到金融科技风险的防范工作有效性的提升[3]。又如一些营业网点的员工由于自身的安全意识比较淡薄,因而经常会让无关人员进入到网点的工作区,进而让这些人员接触到计算机设备,进而为不法分子进行计算机方面的犯罪提供了便利。
其次,银行等机构的内控制度不健全。如银行的一些营业网点在计算机的应用中没有贯彻分级授权的管理原则,存在着操作系统管理与主管操作员的口令都在记账员手里的情况,严重的甚至超级用户与数据库管理系统的口令也由记账员掌握,这就使得记账员有修改数据的可能性,进而为金融科技风险的产生留下伏笔。
同时,计算机非法用户以及计算机病毒侵入给金融科技也带来一定的风险,一些计算机非法用户通过高科技方式的应用,窃取到银行等金融机构的用户密码后,以合法身份联入到银行等金融机构的计算机网络系统中进行破坏,进而导致金融科技风险的出现。
除此以外,银行等金融机构的工作人员在计算机安全操作方面的水平较低,导致违章操作的情况较多,尤其是在计算机等操作技术快速提升的背景下,工作人员操作水平低的情况容易导致金融科技风险的出现[4]。简而言之,导致金融科技风险存在的原因是多方面的,表现形式也呈多元化的发展趋势,因而有必要加强计算机安全管理在防范金融科技风险方面作用的发挥。
三、计算机安全管理在防范金融科技风险的作用
本文结合计算机安全管理在防范金融科技风险中的现有情况,对计算机安全管理在防范金融科技风险的作用做如下探讨:
(一)计算机安全管理在防范金融科技风险中的重要性
银行等金融机构通过计算机安全管理工作水平的提升,有利于促进金融行业的整体发展,进而有效的处理银行等金融机构在电子化发展过程中面临的诸多安全风险方面的问题,进而实现金融行业的净化,提升金融行业的综合发展能力。伴随着金融行业的发展,尤其是人们个性化金融需求水平不断提高的背景下,银行等金融机构在关注市场风险、信用风险、以及流动风险等行业所面临的风险上,更应关注金融科技给自身带来的风险。这是因为金融科技风险的出现,不但会影响到金融机构正常业务的办理,严重的会影响到金融行业整体的发展,正因为如此,应关注计算机安全管理在防范金融科技风险中作用的发挥[5]。
(二)基于计算机安全管理的金融科技风险防范途径
从现有的计算机安全管理在防范金融科技风险作用的发挥来看,主要集中于以下几个途径:
1.提高软件系统的安全性
软件是否可靠对金融机构的数据资料与客户资金的安全有着重要的影响。这就决定了在计算机安全管理中,在软件引入时应关注软件应有的安全性,合理的应用加密技术。同时,还应在应用过程中设置分级保密制度,将进入口令与密码做到分人保管,进而有效的提高技术防范金融科技风险的能力。
2.合理的配备硬件环境
计算机硬件环境的配置对防范金融科技风险有着重要的作用。应对电磁进行屏蔽,避免不法人员利用电磁机会入侵金融机构的计算机。合理的配备硬件环境可以采取的方法是铺设防止静电的地板;在没有强磁场的地方进行计算机的安放;对于控制主要业务的计算机应尽可能的配备两台计算机,进而有效的确保系统的正常运行。
3.提高避免病毒与黑客入侵的工作力度
从以往的金融科技风险方面的案例来看,其中计算机病毒以及黑客侵入的比例较高。这就决定了金融机构在计算机安全管理方面应加强对网络信息安全的监管,严格控制非金融结构工作人员登录系统,对用户的权限进行合理的限制,提高对系统中各类意外事件的跟踪能力与分析能力,进而有效的提高避免病毒与黑客入侵的工作水平。 4.提纲金融计算机安全防范技术
计算机安全管理作用的发挥需要安全防范技术水平的不断提高作为保障。从这个层面出发,计算机厂商应在计算机硬件与软件技术应用方面,不断提高计算机安全防范技术的水平[6]。厂商在编制与设计计算机程序时应严格依照制度的要求来进行,通过责任制的实施来确立编制与设计人员之间能够进行相互制约与相互监督,避免工作人员存在弄虚作假的行为。在具体的计算机操作中,确保计算机能够同步进行自动记录,避免删除、修改以及非法使用行为的存在。要开发专门的监控软件对计算机系统实施监控,对破坏计算机系统程序的行为进行识别与消除。提高对系统数据通信所作的加密措施的工作力度,不断提高加密技术、防火墙技术以及滤波技术,进而避免金融科技风险的出现。
(三)基于计算机安全管理的金融科技风险防范保障途径
计算机安全管理在防范金融科技风险的作用发挥,也需要相应的风险防范保障途径,如应提高监管理理念、转变我国在金融科技风险控制方面的法律理念以及加强对计算机安全管理专业人员的培养等等。这是由金融科技风险产生受多因素制约的特点决定的[7]。我国应从自身的实际情况出发,建立起国家、金融行业、金融机构以及金融行业从业人员等等多主体参与的防范金融科技风险的体系,进而促进计算机安全管理在金融行业应用水平的提高。
综上所述,计算机安全管理在防范金融科技风险方面作用的发挥,需要多方面的紧密配合才能实现。因而需要金融行业应在自身的发展过程中,不断的提高防范金融科技风险的水平,尤其加强计算机安全管理在金融科技风险中作用的发挥,进而有效的确保金融机构应有的安全。
参考文献
[2]刘骐源,黄虹妮.浅谈计算机技术在风险管理和金融监管中的利用[J].现代商业.2010(09):64.
[3]马辉.计算机技术与金融风险的对策分析[J].科技风.2010(17):53.
[4]苏向阳.金融信息管理与现代计算机技术关系研究[J].信息与电脑(理论版).2011(03):157-159.
[6] 苏向阳.计算机安全管理对金融机构影响的研究[J].软件导刊. 2011(07):139-140.
[7] 李刚.对金融机构计算机安全管理的思考[J]. 硅谷. 2009(09) :50.
篇二:计算机与信息安全概论
天津市高等教育自学考试课程考试大纲
课程名称:计算机与信息安全概论 课程代码:3078
编 写 弁 言
《中华人民共和国高等教育法》第二十一条规定“国家实行高等教育自学考试制度,经考试合格的,发给相应的学历证书或其它学业证书。”
高等教育自学考试的开考专业根据经济建设和社会发展的需要设置。当前,中国高等职业技术教育正处于发展时期。发展职业技术教育是促进经济、社会发展和社会主义精神文明建设的重要途径。作为高等教育事业的重要组成部分,高等教育自学考试开展职业技术教育,对调整教育结构、广开成才之路,对普及义务教育、提高教育整体效益,对促进素质教育、增强教育与经济的紧密结合都具有重要的作用。
高等职业技术教育培养的是活跃在生产、管理、服务第一线,掌握专业知识、成熟技术和管理规范,具有完成职业任务能力的应用人才。高等职业技术教育的专业设置与社会需求密切结合,强调知识、技能、态度和价值等素质的整合及其在具体工作环境中的应用。其课程是依据社会经济发展对劳动力的需求,在以职业为导向的整合能力本位思想指导下开发的。高等职业技术专业的课程标准(大纲)是职业活动、学科知识和学习经验的综合反映,在课程内容和课程内容的构造方式上,具有针对性、应用性和综合性的特点。
1999年4月全国高等教育自学考试指导委员会批准天津市开展高等教育自学考试职业技术专业的试点工作。尔后,又批准了应用电子技术等十二个职业技术专业的专业考试计划。
天津市高等教育自学考试委员会根据全国高等教育自学考试指导委员会《关于天津市开展高教自学考试职业技术专业试点的批复》(考委[1999]7号)、《关于天津市申请开设计算机技术与应用等高职专业的批复》(考委[1999]24号)的意见和《天津市高等教育自学考试职业技术专业课程考试大纲编写要求》组织编制了试点专业有关课程的考试大纲。这些课程考试大纲尽力体现了前述特点。今后,还将继续修订,以臻完善。
《计算机与信息安全概论自学考试大纲》由焦树海、李勤、王保旗、王津涛、陈志来、陈志来等编写,焦树海执笔。
《计算机与信息安全概论自学考试大纲》经计算机技术与应用专业委员会审定,天津市高等教育自学考试委员会批准,自2001年9月1日起试行。
天津市高等教育自学考试委员会
2001年9月
第一部分 课程性质与设置目的
一、课程性质与特点
《计算机与信息安全概论》是高等教育自学考试“计算机技术与应用”专业的必修课。它系统全面地介绍了计算机系统安全方面的基础理论知识及技术工具手段,其中包括物理防护、访问控制、加密技术,计算机病毒与防治、防火墙以及计算机安全立法问题等。
二、课程目标与基本要求
本课程的目标是使学生掌握计算机安全方面的基本知识,了解该领域的发展方向,通过本课程的学习,可使学习者了解计算机安全知识,提高和强化计算机安全意识和法律意识,提高计算机安全管理水平,这对于促进我国计算机信息系统的应用发展,保护计算机信息系统安全具有十分重要的意义。具体要求如下:
1、了解计算机系统的弱点和面临的威胁。
2、掌握计算机安全防护的分层体系。
3、掌握物理防护的一般手段,如:场地的选择与防护,电源系统的配置要求,通讯线路的防护方法等。
4、掌握访问控制的一般方法,了解常用软件的访问控制实现机制。
5、掌握加密技术的作用及相关概念,如:加密、解密、密钥、DES、RSA。
6、了解DES、RSA加密机制,掌握传统的换位、替换加密方法并能简单运用。
7、掌握计算机病毒的相关知识,了解计算机病毒的工作机理。
8、掌握常用查毒杀毒方法,并能运用简单的工具为互主引导纪录。
9、掌握防火墙的相关概念,了解常用的防火墙技术和防火墙组成。
10、了解计算机安全领域的有关法律法规。
三、本课程与相关课程的关系
本课程属于专业知识综合应用的课程,学习本课程前需要具备操作系统,C语言与数据结构,常用软件使用等方面的知识。
第二部分 课程内容与考核目标
第一章 计算机安全概论
一、学习目的与要求
本章对计算机安全的内涵、研究内容、计算机系统安全防护模型与安全评估等问题加以概述,力求学生对计算机安全问题的基础知识有一概括的了解,为本课程以后几章的学习打下基础。本章在深度上不做要求。
二、考核知识点与考核目标
(一)计算机安全研究的背景(一般)
识记:历史上两次重要的互联网安全事件。
(二)计算机系统的脆弱性(一般)
识记:计算机系统的脆弱性。
(三)计算机系统面临的威胁(重点)
识记:计算机犯罪;黑客;有害程序;后门。
理解:黑客行为的利与弊,黑客行为与计算机犯罪的区别,后门与漏洞的区别。
(四)计算机系统的安全防范体系(重点)
识记:计算机系统的分层保护体系。
理解:计算机安全防护体系中各层的作用。
(五)计算机安全研究的内容与评估(一般)
识记:实体安全;软件安全;运行安全;数据安全;可信计算机系统评估准则的七个
安全等级。
第二章 物理防护
一、学习目的与要求
本章主要介绍了计算机硬件方面、环境方面以及网络通讯线路方面的安全防护措施,使
学生了解计算机系统安全防护的“硬”的措施。本章的要求是在广度上掌握较多的知识点,在深度上没有较高要求。
二、考核知识与考核目标
(一)物理环境的防护(重点)
识记:物理环境安全的因素。
理解:空调系统的作用;计算机场地的防火。
(二)电源(重点)
识记:电源保护装置。
理解:电源对计算机系统安全的影响。
(三)接地(一般)
识记:接地线种类及安全标准;接地体种类及安全标准。
(四)硬件保护(次重点)
识记:计算机设备的安全设置;计算机外设的安全;数据备份。
理解:电磁辐射对计算机系统安全的影响及防护措施。
(五)通讯线路(一般)
识记:通讯线路防护措施。
第三章 访问控制
一、学习目的与要求
本章主要介绍了计算机软件方面的访问控制安全防护措施,使学生了解计算机系统安全防护的“软”的措施,包括身份认证技术和权限管理等。本章的要求是在广度上掌握较多的知识点,在深度上没有较高要求。
二、考核知识点与考核目标
(一)用户鉴别(一般)
识记:鉴别依据;鉴别方式。
理解:鉴别过程。
(二)用户注册(一般)
识记:用户注册;一次注册;使用当地工作站注册;第三方注册。
(三)口令(重点)
识记:猜口令的方法;口令的保护。
理解:口令的安全性。
应用:设置开机口令;Internet注册。
(四)权限管理(重点)
识记:主体;客体Bell&lapadula模型;访问授权;自主访问控制;强制访问控制;
隐蔽信道。
理解:访问控制矩阵(ACM);访问控制表(ACL);权能表。
(五)UNIX授权机制(一般)
识记:UNIX的授权机制。
(六)Windows NT的安全机制(重点)
识记:Windows NT中的对象;工作组、域、域控制器;Windows NT的安全模型;NTFS
文件系统
理解:Windows NT的安全机制;Windows NT的登录机制;Windows NT的访问控制机
制;Windows NT域与域委托关系。
第四章 加密技术
一、学习目的与要求
加密与维护是计算机信息安全的重要部分。本章主要介绍了数据加密技术、信息认证技术、数据完整性维护的一般概念以及数据压缩的概念与实用工具,软件加密技术。本章的要求是在广度上掌握较多的知识点,在深度上没有较高要求。
二、考核知识点与考核目标
(一)数据加密(重点)
识记:明文;密文;加密;解密;密匙;现代密码学理论;替代密码;换注密码;单
钥密码体制;双钥密码体制;加密技术在电子上商务的应用;PGP。
理解:DES加密算法;RSA加密算法;公开密钥体制;数字签名;公开密钥体制的安
全性。
应用:替代密码算法;换注密码算法。
(二)数据压缩(次重点)
识记:压缩文件;压缩格式;压缩比率;解压;多卷压缩;自解压。
应用:ARJ Winzip的使用。
(三)软件的加密(一般)
识记:软件加密的必要性;软件加密技术;软件加密的方式
第五章 计算机病毒与防治
一、学习目的与要求
通过本章的学习,使学生掌握计算机病毒的定义和基本特征,了解计算机病毒的分类、表现和危害,了解当代计算机病毒的发展过程、现状和发展趋势,了解计算机病毒和反病毒程序的作用机理,并掌握两种以上防病毒软件的使用方法。
二、考核知识点与考核目标
(一)计算机病毒概述(重点)
识记:计算机病毒;计算机病毒的基本特征;计算机病毒的分类;计算机病毒的结构;
计算机病毒的寄生机制;计算机病毒的传染机制;计算机病毒的表现与危害;
计算机病毒的发展过程。
理解:计算机病毒的典型特征。
(二)病毒防治基础知识(次重点)
识记:计算机系统的启动过程。
(三)病毒与反病毒技术(一般)
识记:反病毒技术的发展过程;反病毒软件常用技术;反病毒技术的发展方向。 理解:特征码扫描法及优缺点。
(四)典型病毒介绍(重点)
识记:引导型病毒特点;引导型病毒常见实例;CIH病毒表现与危害;电子邮件类病
毒实例。
理解:宏病毒定义;特点及运行机制;引导型病毒的防治技术;邮件类病毒特点及危
害。
应用:宏病毒的手工防制方法;CIH病毒的预防措施;邮件类病毒的预防。
(五)蠕虫与木马(一般)
识记:蠕虫的概念;蠕虫与病毒的区别;蠕虫的危害;特洛伊木马;典型木马程序。 理解:木马的工作原理;木马的危害。
应用:木马清除方法。
(六)常用反病毒软件(一般)
识记:KV3000特点;瑞星“世纪版”特点。
应用:使用KV3000和瑞星世纪版进行设置,并查杀病毒。
(七)计算机病毒的特点与发展趋势(一般)
识记:网络时代病毒的特点;发展趋势。
(八)计算机病毒的综合防治(一般)
识记:病毒综合防治的一般对策;病毒防治的技术措施。
第六章 防火墙
一、学习目的与要求
本章讲述防火墙的概念、防火墙技术、防火墙组成,使学生了解防火墙设置的必要性及作用,掌握防火墙设计原则。本章的要求是在广度上掌握较多的知识点,在深度上没有较高要求。
二、考核知识点与考核目标
(一)防火墙概念(重点)
识记:防火墙;防火墙的组成。
理解:防火墙设置的必要性及作用。
(二)防火墙技术(次重点)
识记:地址翻译技术;状态检查技术;内容检查技术。
理解:包过滤技术;代理技术。
(三)防火墙的的构成类型(次重点)
识记:被屏蔽主机;被屏蔽子网;堡垒主机。
理解:筛选路由器;多宿主主机。
第七章 计算机安全管理与立法
一、学习目的与要求
本章主要从法律、道德、管理措施等非技术角度讨论计算机系统安全性问题。通过这一章的学习,使学生对软件保护和知识产权有初步的认识;了解计算机安全方面的法律、法规;了解“黑客”与计算机犯罪的概念;培养学生知法、守法、用法。并能运用法律保护自己的权益和系统的安全。
二、考核知识点与考核目标
(一)计算机软件保护问题(一般)
识记:软件保护的内容;软件受保护的条件;软件著作人的权限;合法用户的使用权。
(二)计算机安全立法(次重点)
识记:计算机安全的常用法律法规。
(三)计算机安全教育(一般)
识记:计算机安全教育的主要内容。
第三部分 有关说明与实施要求
(来自:www.Zw2.cn 爱 作文 网:计算机信息安全概述)一、考核目标的能力层次表述
该大纲中规定的能力层次为;识记、理解、应用,具体含义如下:
识记:能知道有关的名词、概念、知识的含义,并能正确认识和表述,是低层的要求。 理解:在识记的基础上,能全面把握基本概念、基本原理、基本方法,能掌握有关概念、
篇三:信息安全概论课程学习总结
信息安全概论课程学习总结
本学期经过一学期的对于信息安全概论课程的学习,对于信息安全所涉及的领域、信息安全科目所包含的知识以及信息安全专业学习所需要的相关知识储备和相关发展方向有了简单程度上的相应了解。于此,对于本学期所学信息安全概论的课程进行梳理与详述。
本学期信息安全概论课程内容大致可分为这几部分:信息安全概述、数字水印、僵尸网络、电子商务中的安全技术、操作系统基础知识、网络安全导论、密码学概论以及身份认证技术概述。
一、信息安全概述
信息安全之目的在于将信息系统之脆弱性降到最低,即将信息系统的任何弱点减小至最少。信息安全的属性为:机密性、完整性、可用性、不可否认性以及可控性。
1. 机密性,是指保护数据不受非法截获和未经授权浏览。此之于敏感数据之传输甚为紧要,对于通信网络中处理用户的私人信息是十分必须且关键的。
2. 完整性,是指保障数据在被传输、接受或者存储时的完整以及未发生篡改。此之于保证重要数据之精确性是必不可少的。
3. 可用性,是指当发生突发事件时,用户依然可以得到并使用数据且服务处于正常运转状态,例如发生供电中断以及相应地自然灾害与事故使。
4. 不可否认性,是指行为人不能否认其信息之行为。此之于可用于防止参与某次通信交换的一方在事后否认本次交换曾经发生过的情况。
5. 可控性,是指对于信息即信息系统实施安全监控。此之于可用于确保管理机制对信息之传播及内容具有控制能力。
信息安全的研究内容包括:安全检测与风险评估、网络信任体系、可信计算、访问控制、身份认证、密码技术、内容安全、安全协议、恶意行为及恶意代码检测、信息隐藏、网络监控、入侵检测、防火墙、无线通信安全、嵌入式安全、云安全以及量子密码等。
与信息安全相关的法规在世界各国也都有了长足的发展。
美国于1998年5月22日总统令《保护美国关键基础设施》,就围绕“信息保障”成立了多个组织,包括:全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构。1998年美国国家安全局制定了《信息保障技术框架》,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的“深度防御策略”。而后,于2000年1月,发布《保卫美国计算机空间—保护信息系
统的国家计划》。分析了美国关键基础设施所面临的威胁,制定出联邦政府关键基础设施保护计划,以及关键基础设施保障框架。
与此同时,俄罗斯于1995年颁布《联邦信息、信息化和信息保护法》,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。又于1997年出台《俄罗斯国家安全构想》。明确提出“保障国家安全应把保障经济安全放在第一位”,而“信息安全又是经济安全的重中之重。而后的2000年普京总统批准了《国家信息安全学说》,明确了联邦信息安全建设的任务、原则和主要内容。第一次明确了俄罗斯在信息领域的利益是什么,受到的威胁是什么,以及为确保信息安全首先要采取的措施等。
日本也紧跟步伐,出台《21世纪信息通信构想》和《信息通信产业技术战略》,强调“信息安全保障是日本综合安全保障体系的核心”。加紧建立与信安全相关的政策和法律法规,发布了《信息通信网络安全可靠性基准》和《IT安全政策指南》。成立了信息安全措施促进办公室,综合安全保障阁僚会议、IT安全专家委员会和内阁办公室下的IT安全分局。
在我国现已颁布《中华人民共和国计算机安全保护条例》、《中华人民共和国商用密码管理条例》、《计算机信息网络国际联网管理暂行办法》、《计算机信息网络安全保护管理办法》、《计算机信息系统安全等级划分标准》以及在《刑法》的修订过程中增加了有关于计算机犯罪的条款。我国的信息安全法律法规发展现在已经颇具规模。
二、数字水印
数字水印,是指将一些标识信息直接嵌入数字载体当中或是间接表示且不影响原载体的使用价值,也不容易被探知和再次修改,仍能被生产方识别和辨认的技术。数字水印技术是对抗盗版等不法行为的一种行之有效的防伪方式。
三、僵尸网络
僵尸网络,是指通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。被植入恶意程序的计算机就如同僵尸一般受控于攻击者,进而从事攻击破坏活动。
构成僵尸网络的组成为:僵尸主控机、“僵尸”:被入侵的计算机、指挥和控制协定。
现如今僵尸网络已成为会联网的主要威胁,因为大量的计算机被控制,展开猛烈的攻击、破坏、收集敏感数据和增加更多的被控制的计算机,网络允许受控计算机的运行。其攻击的方式为:DDoS 攻击、垃圾邮件、Clickfruad、恶意传播、非法入侵、Manipulating online polls。僵尸网络的主要目的还是金钱的驱使。
四、电子商务中的安全技术
1.应用背景
2.加密技术
3.在线支付协议
五、操作系统基础知识
第一部分,OS有关概念。
1.计算机硬件组成。
2.OS的目标及功能。
3.操作系统的发展。按计算机换代李成划分:
第一代(1945至1955)——电子真空管和插件板,机器语言、没有OS、体积大速度慢。
第二代(1955至1965)——晶体管和批处理,有Fortran和汇编、按批处理作业,有了监控程序。
第三代(1965至1980)——集成电路和多道程序,多道程序、联机即时外设操作,操作系统走向成熟。第四代(1980至1990)——个人机时代,大规模集成电路,有了成熟的操作系统产品MS-dos 、Windows、UNIX。后第四代(90年以后)——网络OS、分布式OS。
第二部分,OS研究的主要成就。
1. 创建了并行调度概念。
2. 形成了储存器管理理论。
3. 建立信息保护和信息安全机制。
4. 实现资源调度和资源管理。
5. 提出了OS构建理论。
第三部分,典型OS分类介绍。
1. 批处理操作系统。
2. 分时操作系统。
3. 实时操作系统。
4. 多处理操作系统。
5. 网络操作系统。
6. 布式操作系统。
7. 个人计算机操作系统。
第四部分,OS核心技术简述。
1. 并发性问题。
2. 存储管理技术。
3. 文件管理技术。
4. I/O管理技术。
5. 系统安全与防范技术。
第五部分,OS技术面临的挑战。
六、网络安全导论
网络安全,是指网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。
1.攻击、服务和机制。
2.网络安全模型。
3.加密。
4.身份验证和数字签名。
5.IPSec、S/MIME和SSL。
6. 防火墙、IDS和蜜罐技术。
七、密码学概论
密码技术的发展历史:
第一阶段(1949年前),古典密码学发展阶段。此阶段的发展情况为,采用隐写术,暗语、隐语、藏头诗等,而采用的变换方式为手工或者机械变换的方式来实现。具有代表性的密码有:单表代换密码:Capesar密码、仿射密码;多表代换密码:Vigenere密码、Hill密码等;转轮密码:Enigma、Red密码等。
第二阶段(1949年至1976年),近代密码学阶段。
1949年,Shannon发表了《保密系统的通信理论》,用信息论的观点分析了密码学的基本原理,奠定了密码学的理论基础。而后,1967年David Kahn出版了《破译者》一书,促进了密码学的理论发展。
第三阶段(1976年至今),现代密码学阶段。
1976年,Diffie、Hellman发表《密码学新方向》,开辟了公钥密码学的新领域。同年,美国建立DES为联邦标准。现代密码学的主要发展方向为:混沌密码学、量子密码学、椭圆曲线密码学。
八、身份认证技术概述
1.身份认证,是指计算机及网络系统确认操作者身份的过程,其目的是使通信双方建立信任关系。在信息安全理论体系中,加密和认证是两个最重要的分支。
2.身份认证的发展历史:
第一阶段,最早的身份认证技术往往是以对罪犯的身份认证联系在一起的,由于古代技术的落后,身份认证主要借助于一些附加于人体的特征来进行身份认证。
第二阶段,根据人体骨骼长度进行身份识别。
第三阶段,指纹身份识别。随着计算机技术的发展,目前指纹技术已经成为一种成熟易用的技术,其应用领域已相当广泛。
3.古代身份认证的方法:根据你所知道的信息来证明身份;根据你所拥有的东西来证明身份;根据你独一无二的身体特征来证明身份。然而这三种方法都存在一定缺陷,也许你知道的信息别人也知道,也学你所拥有的东西别人也拥有或者你的东西已丢失,对于特定身体特征的证明也存在一定的不便。
4.数字身份认证技术:用户名/密码认证方式;数字证书;智能卡;生物特征认证;零知识身份认证。以上对本学期所学相关知识根据感兴趣情况进行了各有详略的概述,现在对本人较为感兴趣的单个方面进行较为具体的论述。由于本人经常网购,所以对于电子商务方面的安全问题较为感兴趣,对于课程所涉及的相关问题及知识进行一下较为详尽的论述。
电子商务是指凭借电子手段而进行的商业活动。当前电子商务面临的主要问题为:付款、认证问题;商品投送保证问题;标准问题;税收问题;安全与法律问题。电子商务安全机制具有保密性、完整性、可靠性和不可否认性。保密性是指必须实现该信息对除特定收信人以外的任何人都是不可读取的。这样一来加密就显得尤为重要,加密是指通过密码算术对数据进行转化,使之成为没有正确密钥任何人都无法读懂的报文,而这些以无法读懂的形式出现的数据一般被称为密文。按照国际上通行的惯例,将这些方法按照双方收发的密钥是否相同的标准划分为两大类:第一,常规算法。加密密钥和解密密钥是相同或等价的。第二,公钥加密算法。可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证,但算法复杂,加密数据的速率较低。
现在进行进一步的论述。对称加密算法有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。著名的对称加密算法有:美国的DES及其各种变形、欧洲的IDEA、日本的FEALN、LOKI 91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等,其中影响最大的DES与AES。公钥密码可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证,但算法复杂,加密数据的速率较低。DES是IBM公司1977年为美国政府研制的一种算法,以56位密钥为基础的密码块加密。它的加密过程为:一次性把64位明文块打乱置换;把64位明文块拆成两个32位块;用加密DES密钥把每个32位块打乱位置16次;使用初始置换的逆置换。但是DES的安全性受到了很大的挑战,1999年1月,EFF和分散网络用不到一天的时间,破译了56位的DES加密信息,DES的统治地位受到了严重的影响。目前椭圆曲线加密技术(EEC)正在兴起,
推荐访问:信息安全专业 地大的信息安全研究生 计算机三级 网络信息安全特征