【正文】 個(gè)方面：乘虛而入、不安全服務(wù)和配置和初始化錯(cuò)誤。 ? 乘虛而入：用戶 A停止了與 X系統(tǒng)的通信，但仍使 X系統(tǒng)上的一個(gè)端口處于激活狀態(tài)；此時(shí)用戶 B利用這個(gè)端口與 X系統(tǒng)通信， B就不必通過任何申請(qǐng)使用端口的安全檢查。 ? 不安全服務(wù)：操作系統(tǒng)的有些服務(wù)程序可以繞過機(jī)器的安全系統(tǒng)；互聯(lián)網(wǎng)蠕蟲就利用了 UNIX系統(tǒng)中三個(gè)可繞過的機(jī)制。 ? 配置和初始化錯(cuò)誤：當(dāng)不得不關(guān)掉一臺(tái)服務(wù)器進(jìn)行維修，幾天后重啟動(dòng)服務(wù)器時(shí)，如果用戶的抱怨說(shuō)文件丟失了或被篡改了，就可能是在系統(tǒng)重新初始化時(shí)，安全系統(tǒng)沒有正確的初始化，存在安全漏洞容易被人利用。木馬程序修改了系統(tǒng)的安全配置文件會(huì)發(fā)生類似問題。 29 身份鑒別威脅 ? 身份鑒別造成威脅包括四個(gè)面：口令圈套、口令破解、算法考慮不周和編輯口令。 ? 口令圈套 : 口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì)。常用的口令圈套通過將一個(gè)運(yùn)行時(shí)和登錄屏幕一模一樣的編譯代碼模塊，插入到正常有登錄過程之前，用戶看到是先后兩個(gè)登錄屏幕；第一次登錄失敗了，用戶被要求再輸入用戶名和口令。實(shí)際上，第一次登錄并沒有失敗，登錄數(shù)據(jù)被寫入到一個(gè)數(shù)據(jù)文件中留待使用。 ? 口令破解 : 破解口令就如猜測(cè)密碼鎖的數(shù)字組合一樣；在該領(lǐng)域中已有許多高成功率的技巧。 ? 算法考慮不周 : 口令輸入過程某些算法必須在滿足一定條件下才能正常地工作。在攻擊入侵案例中，入侵者采用超長(zhǎng)的字符串破壞口令算法，成功地進(jìn)入系統(tǒng)。 ? 編輯口令 : 利用操作系統(tǒng)漏洞；如公司內(nèi)部建立了一個(gè)虛設(shè)的賬戶或一個(gè)隱含賬戶的口令，任何知道那個(gè)賬戶的用戶名和口令的人便可以訪問該機(jī)器了。 30 線纜連接威脅 ? 線纜連接造成的威脅包括三個(gè)方面：竊聽、撥號(hào)進(jìn)入和冒名頂替。 ? 竊聽：對(duì)通信過程進(jìn)行竊聽可達(dá)到收集信息的目的，這種電子竊聽不一定需要竊聽設(shè)備一定安裝在電纜上，可以通過檢測(cè)從連線上發(fā)射出來(lái)的電磁輻射就能拾取所要的信號(hào)，為了使機(jī)構(gòu)內(nèi)部的通信有一定的保密性，可以使用加密手段來(lái)防止信息被解密。 ? 撥號(hào)進(jìn)入：擁有一個(gè)調(diào)制解調(diào)器和一個(gè)電話號(hào)碼，每個(gè)人都可以試圖通過遠(yuǎn)程撥號(hào)訪問網(wǎng)絡(luò)，尤其是擁有所期望攻擊的網(wǎng)絡(luò)的用戶賬戶時(shí)，就會(huì)對(duì)網(wǎng)絡(luò)造成很大的威脅。 ? 冒名頂替：通過使用別人的密碼和賬號(hào)時(shí)，獲得對(duì)網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用能力。這種辦法實(shí)現(xiàn)起來(lái)并不容易，而且一般需要有機(jī)構(gòu)內(nèi)部的、了解網(wǎng)絡(luò)和操作過程的人參與。 31 有害程序威脅 ? 有害程序造成的威脅包括三個(gè)方面：病毒、代碼炸彈和特洛伊木馬。 ? 病毒 ：病毒是一種把自己的拷貝附著于機(jī)器中的另一程序上的一段代碼。通過這種方式病毒可以進(jìn)行自我復(fù)制，并隨著它所附著的程序在機(jī)器之間傳播。 ? 代碼炸彈：代碼炸彈是一種具有殺傷力的代碼；其原理是一旦到達(dá)設(shè)定的日期或鐘點(diǎn)，或在機(jī)器中發(fā)生了某種操作，代碼炸彈就被觸發(fā)并開始產(chǎn)生破壞性操作。代碼炸彈不必像病毒那樣四處傳播，程序員將代碼炸彈寫入軟件中，使其產(chǎn)生了一個(gè)不能輕易地找到的安全漏洞，一旦該代碼炸彈被觸發(fā)后，這個(gè)程序員便會(huì)被請(qǐng)回來(lái)修正這個(gè)錯(cuò)誤，并賺取利益，被敲詐者甚至不知原委，即便他們有疑心也無(wú)證據(jù)。 ? 特洛伊木馬：特洛伊木馬程序一旦被安裝到機(jī)器上，便可按編制者的意圖行事。特洛伊木馬能夠摧毀數(shù)據(jù)，有時(shí)偽裝成系統(tǒng)上已有的程序，有時(shí)創(chuàng)建新的用戶名和口令。 32 研究網(wǎng)絡(luò)安全的社會(huì)意義 ? 目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。 ? 網(wǎng)絡(luò)安全已經(jīng)滲透到國(guó)家的經(jīng)濟(jì)、軍事等領(lǐng)域。 33 網(wǎng)絡(luò)安全與政治 ? 政府網(wǎng)絡(luò)已經(jīng)大規(guī)模的應(yīng)用，電子政務(wù)工程已經(jīng)在全國(guó)啟動(dòng)并在北京試點(diǎn)。政府網(wǎng)絡(luò)的安全直接代表了國(guó)家的形象。 1999年到 2022年，一些政府網(wǎng)站，遭受了四次大的黑客攻擊事件： ? 第一次在 1999年 1月份左右，美國(guó)黑客組織 “ 美國(guó)地下軍團(tuán) ” 聯(lián)合了波蘭的、英國(guó)的黑客組織以及世界上的黑客組織，有組織地對(duì)我們國(guó)家的政府網(wǎng)站進(jìn)行了攻擊。 ? 第二次， 1999年 7月份，當(dāng)臺(tái)灣李登輝提出了兩國(guó)論的時(shí)候。 ? 第 三次是在 2022年 5月 8號(hào)，美國(guó)轟炸我國(guó)駐南聯(lián)盟大使館后。 ? 第四次是在 2022年 4月到 5月，美機(jī)撞毀王偉戰(zhàn)機(jī)侵入我海南機(jī)場(chǎng)。 34 網(wǎng)絡(luò)安全與經(jīng)濟(jì) ? 國(guó)家信息化程度越高，整個(gè)國(guó)民經(jīng)濟(jì)和社會(huì)運(yùn)行對(duì)信息資源和信息基礎(chǔ)設(shè)施的依賴程度也越高。 ? 我國(guó)計(jì)算機(jī)犯罪的增長(zhǎng)速度超過了傳統(tǒng)的犯罪， 1997年 20多起， 1998年 142起， 1999年 908起， 2022年上半年 1420起，再后來(lái)就多得難于統(tǒng)計(jì)了。利用計(jì)算機(jī)的 金融犯罪已經(jīng)滲透到了的各項(xiàng)業(yè)務(wù)。近幾年已經(jīng)破獲和掌握的 100多起，涉及的金額幾個(gè)億。 ? 2022年 2月份黑客攻擊的浪潮，是互連網(wǎng)問世以來(lái)最為嚴(yán)重的黑客事件。 ? 1999年 4月 26日，臺(tái)灣人編制的 CIH病毒的大爆發(fā)，有統(tǒng)計(jì)說(shuō)我國(guó)大陸受其影響的 PC機(jī)總量達(dá) 36萬(wàn)臺(tái)之多；估計(jì)經(jīng)濟(jì)損失高達(dá)近 12億元。 ? 1996年 4月 16日，美國(guó)金融時(shí)報(bào)報(bào)道，接入 Inter的計(jì)算機(jī)，達(dá)到了平均每 20秒鐘被黑客成功地入侵一次的新記錄。 35 網(wǎng)絡(luò)安全與社會(huì)穩(wěn)定 ? 互連網(wǎng)上散布一些虛假信息、有害信息對(duì)社會(huì)管理秩序造成的危害，要比現(xiàn)實(shí)社會(huì)中一個(gè)造謠要大的多。 ? 1999年 4月，河南商都熱線一個(gè) BBS，說(shuō)交通銀行鄭州支行行長(zhǎng)協(xié)巨款外逃的帖子，造成了社會(huì)的動(dòng)蕩，三天十萬(wàn)人上街排隊(duì)，一天提了十多億。 ? 2022年 2月 8日正是春節(jié)，新浪網(wǎng)遭受攻擊，電子郵件服務(wù)器癱瘓了18個(gè)小時(shí)，造成了幾百萬(wàn)的用戶無(wú)法正常的聯(lián)絡(luò)。 ? 網(wǎng)上不良信息腐蝕人們靈魂，色情資訊業(yè)日益猖獗。 ? 1997年 5月去過色情網(wǎng)站瀏覽過的美國(guó)人，占了美國(guó)網(wǎng)民的 %。 ? 河南鄭州剛剛大專畢業(yè)的楊某和何某，在商丘信息港上建立了一個(gè)個(gè)人主頁(yè)，用五十多天的時(shí)間建立的主頁(yè)存了一萬(wàn)多幅淫穢照片的網(wǎng)站、 100多部小說(shuō)和小電影。不到 54天的時(shí)間，訪問他的人到了30萬(wàn)。 36 網(wǎng)絡(luò)安全與軍事 ? 在第二次世界大戰(zhàn)中，美國(guó)破譯了日本人的密碼，將山本五十六的艦隊(duì)幾乎全殲，重創(chuàng)了日本海軍。 ? 目前的軍事戰(zhàn)爭(zhēng)更是信息化戰(zhàn)爭(zhēng)，下面是美國(guó)三位知名人士對(duì)目前網(wǎng)絡(luò)的描述。 ? 美國(guó)著名未來(lái)學(xué)家阿爾溫 托爾勒說(shuō)過 “ 誰(shuí)掌握了信息，控制了網(wǎng)絡(luò)，誰(shuí)將擁有整個(gè)世界。 ? 美國(guó)前總統(tǒng)克林頓說(shuō)過 “ 今后的時(shí)代，控制世界的國(guó)家將不是靠軍事，而是信息能力走在前面的國(guó)家 ” 。 ? 美國(guó)前陸軍參謀長(zhǎng)沙利文上將說(shuō)過 “ 信息時(shí)代的出現(xiàn)，將從根本上改變戰(zhàn)爭(zhēng)的進(jìn)行方式 ” 。 37 我國(guó)立法情況 ? 目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫入中華人民共和國(guó)憲法。 ? 于 1982年 8月 23日寫入中華人民共和國(guó)商標(biāo)法 ? 于 1984年 3月 12日寫入中華人民共和國(guó)專利法 ? 于 1988年 9月５日寫入中華人民共和國(guó)保守國(guó)家秘密法 ? 于 1993年 9月 2日寫入中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法。 38 國(guó)際立法情況 ? 美國(guó)和日本是計(jì)算機(jī)網(wǎng)絡(luò)安全比較完善的國(guó)家，一些發(fā)展中國(guó)家和第三世界國(guó)家的計(jì)算機(jī)網(wǎng)絡(luò)安全方面的法規(guī)還不夠完善。 ? 歐洲共同體是一個(gè)在歐洲范圍內(nèi)具有較強(qiáng)影響力的政府間組織。 ? 為在共同體內(nèi)正常地進(jìn)行信息市場(chǎng)運(yùn)做，該組織在諸多問題上建立了一系列法律， ? 具體包括： ? 競(jìng)爭(zhēng)（反托拉斯）法；產(chǎn)品責(zé)任、商標(biāo)和廣告規(guī)定；知識(shí)產(chǎn)權(quán)保護(hù)；保護(hù)軟件、數(shù)據(jù)和多媒體產(chǎn)品及在線版權(quán)；數(shù)據(jù)保護(hù)；跨境電子貿(mào)易；稅收；司法問題等。這些法律若與其成員國(guó)原有國(guó)家法律相矛盾，則必須以共同體的法律為準(zhǔn)。 39 我國(guó)評(píng)價(jià)標(biāo)準(zhǔn) ? 在我國(guó)根據(jù) 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ，1999年 10月經(jīng)過國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計(jì)算機(jī)安全保護(hù)劃分為以下五個(gè)級(jí)別 ? 第一級(jí)為用戶自主保護(hù)級(jí)：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫破壞。 ? 第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)：除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄，使所有的用戶對(duì)自己的行為的合法性負(fù)責(zé)。 ? 第三級(jí)為安全標(biāo)記保護(hù)級(jí)：除繼承前一個(gè)級(jí)別的安全功能外，還要求以訪問對(duì)象標(biāo)記的安全級(jí)別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制保護(hù)。 ? 第四級(jí)為結(jié)構(gòu)化保護(hù)級(jí)：在繼承前面安全級(jí)別安全功能的基礎(chǔ)上，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分直接控制訪問者對(duì)訪問對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力 ? 第五級(jí)為訪問驗(yàn)證保護(hù)級(jí)：這一個(gè)級(jí)別特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng)。 40 國(guó)際評(píng)價(jià)標(biāo)準(zhǔn) ? 美國(guó)國(guó)防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn) ——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則（ Trusted Computer Standards Evaluation Criteria： TCSEC），也稱為 “ 網(wǎng)絡(luò)安全橙皮書 ” ，定義了計(jì)算機(jī)系統(tǒng)的安全級(jí)別，用來(lái)評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的安全性。 ? 橙皮書自 1985年成為美國(guó)國(guó)防部的標(biāo)準(zhǔn)，就一直沒有改變過；一直是評(píng)估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。 ? 其他子系統(tǒng)（如數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)）也一直用橙皮書來(lái)解釋和評(píng)估。橙皮書把安全的級(jí)別從低到高分成 4個(gè)類別：D類、 C類、 B類和 A類，每類又分幾個(gè)級(jí)別， 41 安全級(jí)別 類別 級(jí)別 名稱 主要特征 D D 低級(jí)保護(hù) 沒有安全保護(hù) C C1 自主安全保護(hù) 自主存儲(chǔ)控制 C2 受控存儲(chǔ)控制 單獨(dú)的可查性，安全標(biāo)識(shí) B B1 標(biāo)識(shí)的安全保護(hù) 強(qiáng)制存取控制，安全標(biāo)識(shí) B2 結(jié)構(gòu)化保護(hù) 面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力 B3 安全區(qū)域 存取監(jiān)控、高抗?jié)B透能力 A A 驗(yàn)證設(shè)計(jì) 形式化的最高級(jí)描述和驗(yàn)證 42 安全級(jí)別 ? D級(jí)是最低的安全級(jí)別，擁有這個(gè)級(jí)別的操作系統(tǒng)就像一個(gè)門戶大開的房子，任何人都可以自由進(jìn)出，是完全不可信任的。 ? 對(duì)于硬件來(lái)說(shuō)，是沒有任何保護(hù)措施的，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問他人的數(shù)據(jù)文件。 ? 屬于這個(gè)級(jí)別的操作系統(tǒng)有： ? DOS和 Windows98等。 43 安全級(jí)別 ? C1是 C類的一個(gè)安全子級(jí)。 C1又稱選擇性安全保護(hù)（ Discretionary Security Protection）系統(tǒng)，它描述了一個(gè)典型的用在 Unix系統(tǒng)上安全級(jí)別 ? 這種級(jí)別的系統(tǒng)對(duì)硬件又有某種程度的保護(hù)，如用戶擁有注冊(cè)賬號(hào)和口令，系統(tǒng)通過賬號(hào)和口令來(lái)識(shí)別用戶是否合法，并決定用戶對(duì)程序和信息擁有什么樣的訪問權(quán)，但硬件受到損害的可能性仍然存在。 ? 用戶擁有的訪問權(quán)是指對(duì)文件和目標(biāo)的訪問權(quán)。文件的擁有者和超級(jí)用戶可以改變文件的訪問屬性，從而對(duì)不同的用戶授予不通的訪問權(quán)限。 44 安全級(jí)別 ? 使用附加身份驗(yàn)證就可以讓一個(gè) C2級(jí)系統(tǒng)用戶在不是超級(jí)用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級(jí)使系統(tǒng)管理員能夠給用戶分組，授予他們?cè)L問某些程序的權(quán)限或訪問特定的目錄。 ? 能夠達(dá)到 C2級(jí)別的常見操作系統(tǒng)有： ? （ 1）、 Unix系統(tǒng) ? （ 2）、 Novell ? （ 3）、 Windows NT、 Windows 2022和 Windows 2022 45 安全級(jí)別 ? B級(jí)中有三個(gè)級(jí)別： B1， B2， B3 ? B1級(jí)即標(biāo)志安全保護(hù)（ Labeled Security Protection），是支持多級(jí)安全（例如：秘密和絕密）的第一個(gè)級(jí)別，這個(gè)級(jí)別說(shuō)明處于強(qiáng)制性訪問控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。 ? 安全級(jí)別存在保密、絕密級(jí)別，這種安全級(jí)別的計(jì)算機(jī)系統(tǒng)一般在政府機(jī)構(gòu)中，比如國(guó)防部和國(guó)家安全局的計(jì)算機(jī)系統(tǒng)。 46 安全級(jí)別 ? B2級(jí)，又叫結(jié)構(gòu)保護(hù)級(jí)別（ Structured Protection），它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備（磁盤、磁帶和終端）分配單個(gè)或者多個(gè)安全級(jí)別。 ? B3級(jí)，又叫做安全域級(jí)別（ Security Domain），使用安裝硬件的方式來(lái)加強(qiáng)域的安全，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無(wú)授權(quán)訪問或更改其他安全域的對(duì)象。該級(jí)別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。 47 安全級(jí)別 ? A級(jí)，又稱驗(yàn)證設(shè)計(jì)級(jí)別（ Verified Design），是當(dāng)前橙皮書的最高級(jí)別，它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。該級(jí)別包含了較低級(jí)別的所有的安全特性 ? 設(shè)計(jì)必須從數(shù)學(xué)角度上進(jìn)行驗(yàn)證，而且必須進(jìn)行秘密通道和可信任分布分析?？尚湃畏植迹?Trusted Distribution）的含義是：硬件和軟件在物理傳輸過程中已經(jīng)受到保護(hù)，以防止破壞安全系統(tǒng)。 ? 橙皮書也存在不足。 TCSEC是針對(duì)孤立計(jì)算機(jī)系統(tǒng)，特別是小型機(jī)和主機(jī)系統(tǒng)。假設(shè)有一定的物理保障，該標(biāo)準(zhǔn)適合政府和軍隊(duì)，不適合企業(yè)，這個(gè)模型是靜態(tài)的。 48 環(huán)境配置