自考“信息资源管理”复习提纲(16)
5.3 计算机软件的安全
一、威胁软件安全的主要形式
1、以软件为手段,获取未以授权或授权以外的信息。
2、以软件为手段,阻碍信息系统的正常运行或其他用户的正常作用。
3、以软件为对象,破坏软件完成指定功能。
4、以软件为对象,复制软件。
二、软件安全的基本要求:
是指导软件保护,即要禁止非法的拷贝和使用以及防止非法阅读和修改。这里所说的软件是指系统软件和应用软件中的可执行文件,即。exe 和 .com 文件。
软件产品是软件开发者智慧的结晶,作为一种知识产权,其权益需要保护。
三、操作系统的安全
在信息系统中,为了保护软件的安全,软件控制无疑是一种最重要的、发展最快的安全技术措施。软件控制从技术上讲主要有四种基本方法:访问控制、隔离控制、加密变换、审计控制。访问控制和隔离控制可以防止对被保护对象的未以许可的接触;加密变换可以防止对被保护对象内容的了解;审计控制是使得一旦发现破坏安全的事件的话,有记录可查。
1、操作系统的安全控制
●操作系统中采用的安全控制方法主要是隔离控制和访问控制。
(1)隔离控制:
隔离控制主要有:①物理隔离,②时间隔离,③加密隔离,④逻辑隔离
(2)访问控制方式:
操作系统安全控制最核心的问题就是访问控制。
从访问控制方式来说,它可以分为以下四种:
①自主访问控制
②强制访问控制
③有限型访问控制
④共享/独占型访问控制
2、操作系统对存储器的保护
对于操作系统的安全来说,存储器的保护是一个最基本的要求。单用户系统,只需要防止用户进程不影响系统运行就可以了;多任务系统中,还需要隔离多进程的内存区。
存储器保护的目标是保证系统内各任务互不干扰。
●操作系统对内存的保护主要采用逻辑隔离方法,具体有以下几种:
①基址/边界寄存器
②内存标志
③分段技术
④锁保护
(注意:“操作系统的安全控制和操作系统对存储器的保护”具体的方法看书P187—188)
四、可信计算机系统
绝对保证安全的操作系统是不存在的。
“可信计算机系统评审准则(TCSEC)”1985年美国国防部国家计算机安全中心修订发表。
可信计算机系统最初就是一种安全操作系统。
1、制定安全评价标准的重要性
评价准则是一个重要,其重要性在于以下三方面:
(1)操作系统的安全是系统安全的根本。
(2)用户为了考虑系统的安全,必须首先根据自己应用的安全级别,选用评定了安全等级的操作系统,然后才能在此基础上采取措施。
(3)建立其他的系统安全标准,如网络、数据等安全标准,必须配合、适应操作系统,以实现更完善的性能。
2、可信计算机系统评审准则
(1)安全策略:系统实施访问的规则说明。
(2)标记:标记系统控制的每一客体与访问控制数据有关的需求。
(3)识别:准确识别欲访问系统客体的主体身份的需求。
(4)责任:保存与安全有关时间记录的需求。
(5)保证:对安全机制独立评估,以便为满足系统需求提供保证。
(6)连续保护:保证安全实施机制不被恶意修改,以避免降低安全性。
3、可信计算机系统评审准则安全等级
TCSEC标准按可靠程度将计算机系统分为DCBA四个等级,每个等级又分若干级别,它的结构是层次性能的,下层的系统必须满足上层的要求。
D级:最小保护
C级:任意保护
C1级:任意安全保护
C2级:受控存取保护
B级:强制保护
B1级:标记安全保护
B2级:结构保护
B3级:安全域
A级:经过验证的保护
A1级:以过验证的设计
A2级:A1级之外的系统
D级计算机基本上是不安全的,所有个人计算机都只能被评为D级。
C层计算机的操作系统要求要能保护其自身不被修改,而且对用户设置口令。目前,大多数只能过到C1级,银行、企业、邮电部门是C2级。
B1、 B2、B3 级计算机除了要满足C层计算机的所有要求外,还要求实施强制存取控制。
A型计算机要求用数字来验证其设计过程,目前还做不到这点,所以不存在这样的产品。
五、应用软件的安全
1、应用软件的安全
在计算机系统中软件具有双重性:一方面是安全措施要保护的对象,另一方面它可充当安全的工具。
鉴于第二个特性,程序在计算机中会引起两方面的安全问题:一方面程序可以替那些用户截获、修改系统中的数据;另一方面因程序引起系统工作出现漏洞,导致非法用户访问系统,或系统拒绝为合法用户服务。
(1)对数据安全的威胁
(2)对系统服务的威胁
2、应用软件开发的安全问题
在应用软件的开发过程中,需要注意以下三个问题。
(1)在软件开发过程(任务设计、编程、调试)中控制程序中的不安全因素,使软件减少有意的或无意的差错,容易检查,容易测试。
(2)在软件开发初始,结合安全设计,使得安全设计作为系统设计的一部分,避免在系统开发结束时才把安全控制作为一种事后的添加。
(3)应用软件的安全设计有其特殊性,除了一般安全性外,要特别注意人机接口,人机交互界面的设计。(实践表明,使用中大多数问题出在用户的作用不当。)
六、软件产品的保护:两种方式:法律保护方式和技术保护式。
1、法律保护(知识产权和版权)
2、软件的技术保护。
技术保护方式是法律保护方式的必要补充。
技术保护的目的有两个:一是防止对软件的非法复制、发行和使用;二是防止对软件本身的跟踪分析解读和修改。
软件的技术保护方法一般有软件措施、硬件措施、软硬件结合措施三种。大体上有以下几种:
(1)在主机内或扩充槽里装入特殊硬件装置。
(2)采用特殊标记的磁盘。
(3)“软件指纹”
(4)限制技术
(5)软件加密
(6)反动态跟踪技术。
软件的技术保护方法很多,一般来说,软硬件结合的方法比软件方法可靠。
软件技术保护既要保护软件开发者的权益,同时变要兼顾合法软件用户的方便使用。
【自考“信息资源管理”复习提纲(16)】相关文章:
热点推荐:
理学
- 2020-11-17【理学】“数据库原理”课程学习方法
- 2020-11-17【理学】2012年自考“人力资源管理(一)”串讲笔记(第2章)
- 2020-11-17【理学】2012年自考“组织行为学”分题复习资料(1)
- 2020-11-17【理学】2012年自考“组织行为学”分题复习资料(20)
- 2020-11-17【理学】2012年自考“组织行为学”分题复习资料(21)
- 2020-11-17【理学】2012年自考“组织行为学”分题复习资料(22)
- 2020-11-17【理学】2012年自考“组织行为学”分题复习资料(23)
- 2020-11-17【理学】2012年自考“人力资源管理(一)”串讲笔记(第8章)
其他最新资讯
- 2023-12-29【自考政策】广西自考网络助学平台新增61门课程
- 2020-12-04【免考问题】哪些证书可以免考自考相关课程?
- 2020-12-04【免考问题】自考免考有哪些条件?
- 2020-12-04【综合问题】自考本科文凭有用吗?
- 2020-12-04【综合问题】自考本科需要考多少门课?
- 2020-11-17【综合问题】江苏省高等教育自学考试网上报名常见问题及解答
- 2020-11-17【经济学】2012年自考“中国税制”笔记串讲(8)
- 2020-11-17【自考政策】全国自考办领导:未来自考将大力发展网络助学
网友关注
- 【公共课】自考《政治经济学(财经类)》真题练习:国际货币市场
- 【公共课】自考《英语(一)》真题练习:阅读理解
- 【公共课】自考《高等数学(工专)》真题练习:不等式计算
- 【公共课】自考《思想道德修养与法律基础》真题练习:经济形式
- 【公共课】自考《概率论与数理统计(经管类)》真题练习:随机变量分布律
- 【公共课】自考《大学语文》真题练习:具有讽刺意味的传记文章
- 【公共课】自考《毛邓三重要思想概论》真题练习:毛泽东思想活的灵魂
- 【公共课】自考《思想道德修养与法律基础》真题练习:集体主义原则
网友关注视频
- 沪教版牛津小学英语(深圳用) 五年级下册 Unit 7
- 【部编】人教版语文七年级下册《过松源晨炊漆公店(其五)》优质课教学视频+PPT课件+教案,江苏省
- 化学九年级下册全册同步 人教版 第25集 生活中常见的盐(二)
- 第五单元 民族艺术的瑰宝_16. 形形色色的民族乐器_第一课时(岭南版六年级上册)_T1406126
- 北师大版数学四年级下册3.4包装
- 沪教版牛津小学英语(深圳用) 四年级下册 Unit 3
- 第4章 幂函数、指数函数和对数函数(下)_六 指数方程和对数方程_4.7 简单的指数方程_第一课时(沪教版高一下册)_T1566237
- 外研版英语七年级下册module3 unit2第二课时