## 计算机安全
第一章 概论
1、计算机安全的定义
保证信息系统资产的机密性、完整性和可用性的措施和控制方法。(CIA 三元组)
机密性:数据机密性、隐私性。
完整性:数据完整性、系统完整性。
2、计算机系统资产分类:
硬件;
软件;
数据;
通信设施和网络;
3、安全功能要求:
访问控制;
意识与培训;
审计和可说明性;
认证、信赖和安全评估;
配置管理;
应急规划;
识别与认证;
事故相应;
维护;
介质保护;
物理和环境保护;
规划;
人员安全;
风险评估;
系统和服务获取;
系统和通信保护;
系统和信息完整性。
4、基本安全设计原则:
1、经济机制原则;
2、安全缺省设计原则;
3、绝对中介原则;
4、开放设计原则;
5、特权分离原则;
6、最小特权原则;
7、最小公用机制原则;
8、心理可接受性原则;
9、隔离原则;
10、封装原则;
11、模块化原则;
12、分层原则;
13、最小惊动原则。
5、攻击面:
网络攻击面;
软件攻击面;
人为攻击面。
6、计算机安全策略
规范/策略
实施/机制
正确性/保证