【正文】 第 6章 信息與網(wǎng)絡(luò)安全 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 2 ? 隨著互聯(lián)網(wǎng)的飛速發(fā)展，信息作為一種無(wú)形的資源，被廣泛應(yīng)用于政治、軍事、經(jīng)濟(jì)、科研等各行各業(yè)，其重要性與日俱增。然而隨之所帶來(lái)的安全性問(wèn)題也越來(lái)越多。 ? 根據(jù)美國(guó)國(guó)家科學(xué)基金會(huì) (US Nation Science Foundation)的統(tǒng)計(jì)，從 1998年到2022年， Inter的用戶數(shù)從 30000萬(wàn)增加 10億以上。這種情況就為今天的計(jì)算機(jī)犯罪的產(chǎn)生和發(fā)展提供了溫床。 ? 以下是幾個(gè)計(jì)算機(jī)犯罪的例子： ? 1988年 11月 2日，美國(guó)康乃爾大學(xué)的學(xué)生羅伯特 莫里斯釋放多個(gè)蠕蟲(chóng)病毒，造成Inter網(wǎng)上近 6000臺(tái)主機(jī)癱瘓，據(jù)稱損失高達(dá)幾千萬(wàn)美元。 ? 1989年 3月 2日凌晨， 3名德國(guó)黑客因涉嫌向前蘇聯(lián)出售機(jī)密情報(bào)被捕，他們?cè)趦赡甓嗟臅r(shí)間內(nèi)，闖入了許多北約和美國(guó)的計(jì)算機(jī)系統(tǒng)，竊取了許多高度機(jī)密的信息。 ? 1996年 9月，美國(guó)中央情報(bào)局的主頁(yè)被一群遠(yuǎn)在瑞典的少年黑客改為中央笨蛋局。 ? 2022年 10月，黑客入侵微軟公司并獲取微軟新開(kāi)發(fā)產(chǎn)品的機(jī)密源代碼事件披露，震動(dòng)了微軟公司高層，其中包括比爾 蓋菠本人。有的媒體冠以“黑客太黑，微軟太軟”的大標(biāo)題，諷刺微軟這樣的著名公司都無(wú)法擋住黑客兇猛的攻擊。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 3 ? “安全”一詞的基本含義為：“遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性”，或“主觀上不存在威脅，主觀上不存在恐懼”。 ? 信息安全是一個(gè)廣泛而抽象的概念。所謂信息安全就是關(guān)注信息本身的安全，而不管是否應(yīng)用了計(jì)算機(jī)作為信息處理的手段。 ? 信息安全的任務(wù)是保護(hù)信息資源，以防止偶然的或未授權(quán)者對(duì)信息的惡意泄露、修改和破壞，從而導(dǎo)致信息的不可靠或無(wú)法處理等。 ? 信息安全之所以引起人們的普遍關(guān)注，是由于信息安全問(wèn)題目前已經(jīng)涉及到人們?nèi)粘Ｉ畹母鱾€(gè)方面。 ? 信息安全研究所涉及的領(lǐng)域相當(dāng)廣泛。隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，人們?cè)絹?lái)越依賴網(wǎng)絡(luò)，人們對(duì)信息資源的使用更多的是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的，在計(jì)算機(jī)網(wǎng)絡(luò)上信息的處理是以數(shù)據(jù)的形式進(jìn)行，在這種情況下，數(shù)據(jù)就是信息。 ? 信息安全可以分為數(shù)據(jù)安全和系統(tǒng)安全。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 4 信息安全屬性 ? ① 完整性 (Integrity)是指信息在存儲(chǔ)或傳輸?shù)倪^(guò)程中，保持未經(jīng)授權(quán)不能改變的特性，即對(duì)抗主動(dòng)攻擊，保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶修改或破壞。對(duì)信息安全主動(dòng)攻擊的最終目的是破壞信息的完整性。 ? ②保密性 (Confidentiality)是指信息不被泄露給未經(jīng)授權(quán)者的特性，即對(duì)抗被動(dòng)攻擊，以保證機(jī)密信息不會(huì)泄露給非法用戶。 ? ③可用性 (Availability)是指信息可被授權(quán)者訪問(wèn)并按需求使用的特性，即保證合法用戶對(duì)信息和資源的使用不會(huì)被不合理地拒絕。對(duì)可用性的攻擊就是阻斷信息的合理使用。 ? ④可靠性 (Reliability)是指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性 (包括信息的迅速、準(zhǔn)確和連續(xù)地轉(zhuǎn)移等 )，但也有人認(rèn)為可靠性是人們對(duì)信息系統(tǒng)而不是對(duì)信息本身的要求。 ? ⑤可控性 (Controllability)是指對(duì)信息的傳播及內(nèi)容具有控制能力的特性。授權(quán)機(jī)構(gòu)可以隨時(shí)控制信息的機(jī)密性，能夠?qū)π畔?shí)施安全監(jiān)控。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 5 信息安全的威脅 ? 信息安全的威脅是指某個(gè)人、物、事件或概念對(duì)信息資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。 ? 攻擊就是對(duì)安全威脅的具體體現(xiàn)。 ? 目前還沒(méi)有統(tǒng)一的方法來(lái)對(duì)各種威脅進(jìn)行分類，也沒(méi)有統(tǒng)一的方法來(lái)對(duì)各種威脅加以區(qū)別。 ? 信息安全所面臨的威脅與環(huán)境密切相關(guān)，不同威脅的存在及重要性是隨環(huán)境的變化而變化的。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 6 一些常見(jiàn)的安全威脅 ? 服務(wù)于擾： 以非法手段竊得對(duì)信息的使用權(quán)， ? 惡意訪問(wèn)： 沒(méi)有預(yù)先經(jīng)過(guò)授權(quán)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作惡意訪問(wèn)。 ? 自身失誤： 網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限，利用這些權(quán)限破壞網(wǎng)絡(luò)安全的可能性也是存在的。 ? 信息泄露： 信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。 ? 破壞信息的完整性： 數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。 ? 拒絕服務(wù)： 對(duì)信息或其他資源的合法訪問(wèn)被無(wú)緣無(wú)故拒絕。 ? 非法使用： 某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。 ? 竊聽(tīng)： 用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。 ? 業(yè)務(wù)流分析： 通過(guò)對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽(tīng)，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信問(wèn)題的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。 ? 假冒： 通過(guò)欺騙通信系統(tǒng)達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。 ? 旁路控制： 攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。 ? 內(nèi)部攻擊： 被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)個(gè)人，卻將一些權(quán)限用于其他非授權(quán)的目的。 ? 特洛伊木馬： 軟件中含有一個(gè)察覺(jué)不出的或者無(wú)害的程序段，當(dāng)其被執(zhí)行時(shí)，會(huì)破壞用戶的安全。 ? 陷阱門(mén)： 在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時(shí)，允許違反安全策略。 ? 抵賴： 這是一種來(lái)自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過(guò)的某條消息、偽造一份對(duì)方來(lái)信等。 ? 重放： 出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，并重新發(fā)送。 ? 計(jì)算機(jī)病毒： 它是一種人為編制的特定程序。它可以在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中實(shí)現(xiàn)傳染和侵害功能。 ? 員工泄露： 一個(gè)授權(quán)的人，為了金錢或某種利益，或由于粗心，將信息泄露給一個(gè)非授權(quán)的人。 ? 媒體廢棄： 信息被從廢棄的磁盤(pán)、光盤(pán)或紙張等存儲(chǔ)介質(zhì)中獲得。 ? 物理侵入： 侵入者繞過(guò)物理控制而獲得對(duì)系統(tǒng)的訪問(wèn)。 ? 竊?。?重要的安全物品，如身份卡等被盜用。 ? 業(yè)務(wù)欺騙： 某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 7 信息安全的實(shí)現(xiàn) ? 為了保護(hù)信息的安全所采用的方法也稱作安全機(jī)制，所有的安全機(jī)制都是針對(duì)某一個(gè)或一些安全攻擊威脅而設(shè)計(jì)的。 ? 它可以按不同的力式單獨(dú)或組合使用。 ? 合理地使用一些安全機(jī)制會(huì)在有限的資金投入下最大限度地降低安全風(fēng)險(xiǎn)。 ? 信息安全系統(tǒng)并不是僅僅有信息的加密等安全技術(shù)措施。 ? 一個(gè)完整的信息安全系統(tǒng)包含 3類措施： ? 技術(shù)方面的安全措施 ? 管理方面的安全措施 ? 以及相應(yīng)的政策和法律 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 8 (1) ? (1)數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過(guò)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來(lái)保障其安全性，這是一種主動(dòng)安全防御策略，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。加密是一種限制對(duì)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問(wèn)權(quán)的技術(shù)。原始數(shù)據(jù) (也稱為明文， Plaintext)被加密設(shè)備 (硬件或軟件 )和密鑰加密而產(chǎn)生的經(jīng)過(guò)編碼的數(shù)據(jù)稱為密文 (Cipher text)。將密文還原為原始明文的過(guò)程稱為解密，它是加密的反向處理，但解密者必須利用相同類型的加密設(shè)備和密鑰對(duì)密文進(jìn)行解密。 ? (2)數(shù)字簽名技術(shù) 簽名是證明當(dāng)事者身份的一種信息。數(shù)字簽名是以電子形式存儲(chǔ)的一種消息，可以在通信網(wǎng)絡(luò)中傳輸。由于數(shù)字簽名是利用密碼技術(shù)進(jìn)行的，所以其安全性取決于所采用的密碼體制的安全程度。 ? (3)數(shù)據(jù)完整性技術(shù) 數(shù)據(jù)完整性控制技術(shù)是指能識(shí)別有效數(shù)據(jù)的一部分或全部信息被篡改的技術(shù)。數(shù)據(jù)完整性控制包括文件系統(tǒng)完整性控制及網(wǎng)絡(luò)傳輸信息的完整性控制。 ? (4)身份認(rèn)證 認(rèn)證就是將特定實(shí)體，從任意實(shí)體的集合中識(shí)別出來(lái)的行為。它以交換信息的方式來(lái)確認(rèn)實(shí)體的身份。它是進(jìn)行存取控制必不可少的條件，因?yàn)槿绻恢烙脩羰钦l(shuí)，也就無(wú)法判斷用戶的存取是否合法。 ? (5)訪問(wèn)控制技術(shù) 在計(jì)算機(jī)系統(tǒng)中，安全機(jī)制的核心是訪問(wèn)控制。訪問(wèn)控制技術(shù)按照事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法。它要確定合法用戶對(duì)哪些系統(tǒng)資源享有何種權(quán)限、可進(jìn)行什么類型的訪問(wèn)操作，防止非法用戶進(jìn)入計(jì)算機(jī)系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 9 (2) ? (6)數(shù)據(jù)庫(kù)系統(tǒng)安全 數(shù)據(jù)庫(kù)系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫(kù)管理系統(tǒng)。如果數(shù)據(jù)庫(kù)管理系統(tǒng)安全機(jī)制強(qiáng)大，則數(shù)據(jù)庫(kù)系統(tǒng)的安全性能就較好。目前市場(chǎng)上流行的大多是關(guān)系式數(shù)據(jù)庫(kù)管理系統(tǒng)，其安全性功能很弱，這就導(dǎo)致數(shù)據(jù)庫(kù)系統(tǒng)的安全性存在一定的威脅。 ? (7)網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全技術(shù)種類繁多，而且還相互交叉。雖然沒(méi)有完整統(tǒng)一的理論基礎(chǔ)，但是在不同的場(chǎng)合下，為了不同的目的，許多網(wǎng)絡(luò)控制技術(shù)確實(shí)能夠發(fā)揮出色的功效。如防火端技術(shù)、入侵檢測(cè)技術(shù)、安全協(xié)議、 VPN技術(shù)、 Ipsec技術(shù)等。 ? (8)反病毒技術(shù) 反病毒技術(shù)包括預(yù)防滴毒、檢測(cè)病毒和殺毒 3種技術(shù)。 ? (9)安全漏洞掃描技術(shù) 漏洞是指任意地允許非法用戶未經(jīng)授權(quán)獲得訪問(wèn)或提高其訪問(wèn)層次的硬件或軟件特征。漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)，它通過(guò)對(duì)系統(tǒng)當(dāng)前的狀況進(jìn)行掃描和分析，找出系統(tǒng)中存在的各種脆弱性，在此基礎(chǔ)上進(jìn)一步考慮脆弱性的修補(bǔ)與消除。 ? (10)安全審計(jì) 安全審計(jì)可以創(chuàng)建用戶活動(dòng)的事件記錄，通過(guò)這些記錄可檢查系統(tǒng)不平?；蚩梢傻幕顒?dòng)。安全審計(jì)是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)，通過(guò)對(duì)一些重要事件的記錄，從而在系統(tǒng)發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)定位錯(cuò)誤和找到攻擊的原因。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 10 ? 信息安全問(wèn)題不是單靠安全技術(shù)就可以解決的，專家們指出信息安全是“七分管理，三分技術(shù)”。 ? 所謂管理，就是在群體的活動(dòng)中為了完成某一任務(wù)，實(shí)現(xiàn)既定的目標(biāo)，針對(duì)特定的對(duì)象，遵循確定的原則，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒ㄟM(jìn)行有計(jì)劃、有組織、有指揮、協(xié)調(diào)和控制等活動(dòng)。 ? 安全管理是信息安全中具有能動(dòng)性的組成部分，大多數(shù)安全事件和安全隱患的發(fā)生，并非完全是技術(shù)上的原因．而往往是由于管理不善而造成的。 ? 為實(shí)現(xiàn)安全管理，應(yīng)有專門(mén)的安全管理機(jī)構(gòu)，設(shè)有專門(mén)的安全管理人員，有完善的管理制度和完備的安全技術(shù)設(shè)施。 ? 信息安全管理主要涉及以下幾個(gè)方面：人事管理、設(shè)備管理、場(chǎng)地管理、存儲(chǔ)媒體管理、軟件管理、網(wǎng)絡(luò)管理、密碼和密鑰管理等。 2022/2/9 遼寧