【文章內容簡介】 一詞，是英文 hacker的音譯，而 hacker這個單詞源于動詞 hack，在英語中有 “ 亂砍、劈 ” 之意，還有一層意思是指 “ 受雇從事艱苦乏味工作的文人 ” 。 hack的一個引申的意思是指 “ 干了一件非常漂亮的事 ” 。在 20世紀 50年代麻省理工學院的實驗室里， hacker有 “ 惡作劇 ” 的意思。 第一章 信息安全概述 他們精力充沛，熱衷于解決難題，這些人多數以完善程序、完善網絡為己任，遵循計算機使用自由、資源共享、源代碼公開、不破壞他人系統等精神，從某種意義上說，他們的存在成為計算機發(fā)展的一股動力?？梢姡诳瓦@個稱謂在早期并無貶義。 20世紀 60年代，黑客代指獨立思考、奉公守法的計算機迷，他們利用分時技術允許多個用戶同時執(zhí)行多道程序，擴大了計算機及網絡的使用范圍。 20世紀 70年代，黑客倡導了一場個人計算機革命，打破了以往計算機技術只掌握在少數人手里的局面，并提出了計算機為人民所用的觀點。 第一章 信息安全概述 這一代黑客是電腦史上的英雄，其領頭人是蘋果公司的創(chuàng)建人史蒂夫 喬布斯。在這一時期，黑客們也發(fā)明了一些侵入計算機系統的基本技巧，如破解口令 (Passwordcracking)、開天窗 (TraPdoor)等。 20世紀 80年代，黑客的代表是軟件設計師，這一代黑客為個人電腦設計出了各種應用軟件。而就在這時，隨著計算機重要性的提高，大型數據庫也越來越多，信息又越來越集中在少數人手里，黑客開始為信息共享而奮斗，這時黑客就開始頻繁入侵各大計算機系統。 第一章 信息安全概述 但是，并不是所有的網絡黑客都遵循相同的原則。有些黑客，他們沒有職業(yè)道德的限制，坐在計算機前，試圖非法進入別人的計算機系統，窺探別人在網絡上的秘密。他們可能會把得到的軍事機密賣給別人獲取報酬 。 也可能在網絡上截取商業(yè)秘密要挾他人 。 或者盜用電話號碼，使電話公司和客戶蒙受巨大損失 。 也有可能盜用銀行帳號進行非法轉帳等。 第一章 信息安全概述 網絡犯罪也主要是這些人著手干的，可以說，網絡黑客已成為計算機安全的一大隱患。這種黑客已經違背了早期黑客的傳統，稱為 “ 駭客 ” (英文 “ cracker” 的音譯 )，就是“ 破壞者 ” 的意思。駭客具有與黑客同樣的本領，只不過在行事上有本質的差別。他們之間的根本區(qū)別是 : 黑客搞建設，駭客搞破壞?，F在，人們已經很難區(qū)分所謂惡意和善意的黑客了。黑客的存在，不再是一個純技術領域的問題，而是一個有著利益驅使、違背法律道德的社會問題。 第一章 信息安全概述 根據我國有關法律的規(guī)定，計算機犯罪的概念可以有廣義和狹義之分。廣義的計算機犯罪是指行為人故意直接對計算機實施侵入或破壞，或者利用計算機實施有關金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或其他犯罪行為的總稱 。 狹義的計算機犯罪僅指行為人違反國家規(guī)定，故意侵入國家事務、國防建設、尖端科學技術等計算機信息系統，或者利用各種技術手段對計算機信息系統的功能及有關數據、應用程序等進行破壞，制作、傳播計算機病毒，影響計算機系統正常運行且造成嚴重后果的行為。 第一章 信息安全概述 現在計算機犯罪呈現高智商、高學歷、隱蔽性強和取證難度大等特點，這使得計算機犯罪刑偵取證技術已發(fā)展成為信息安全的又一研究分支。 2. 信息安全管理缺失 目前，信息安全事件有快速蔓延之勢，大部分事件背后的真正原因在于利益的驅使和內部管理的缺失。在許多企業(yè)和機關單位，存在的普遍現象是 : 缺少系統安全管理員，特別是高素質的網絡管理員 。 缺少網絡安全管理的技術規(guī)范 。 缺少定期的安全測試與檢查，更缺少安全監(jiān)控。因此，信息安全不是一個純粹的技術問題，加強預防、監(jiān)測和管理非常 重要。 第一章 信息安全概述 信息安全是一個完整、系統的概念，它既是一個理論問題，又是一個工程實踐問題。 由于計算機網絡的開放性、復雜性和多樣性，使得網絡安全系統需要一個完整的、嚴謹的體系結構來保證。下面分別介紹 OSI安全體系結構、 TCP/IP安全體系結構和信息安全保障體系。 信息安全體系結構 第一章 信息安全概述 OSI安全體系結構 目前，人們對于網絡的安全體系結構缺乏一個統一的認識，比較有影響的是國際標準化組織 (ISO)對網絡的安全提出了一個抽象的體系結構，這對網絡系統的研究具有指導意義，但距網絡安全的實際需求仍有較大的差距。 第一章 信息安全概述 ISO制定了 開放系統互連參考模型 (Open System Interconnection Referencce Model， OSI模型 )，它成為研究、設計新的計算機網絡系統和評估改進現有系統的理論依據，是理解和實現網絡安全的基礎。 OSI安全體系結構是在分析對開放系統的威脅和其脆弱性的基礎上提出來的。 第一章 信息安全概述 1989年 2月 15日頒布的 ISO74982標準，確立了基于 OSI參考模型的七層協議之上的信息安全體系結構， 1995年 ISO在此基礎上對其進行修正，頒布了 ISO GB/T 標準，即五大類安全服務、八大種安全機制和相應的安全管理標準 ( “ 五 八 一 ” 安全體系 )。 OSI網絡安全體系結構如圖 141所示。 第一章 信息安全概述 圖 141 OSI網絡安全體系結構 第一章 信息安全概述 1. 五大類安全服務 五大類安全服務包括認證 (鑒別 )服務、訪問控制服務、數據保密性服務、數據完整性服務和抗否認性服務。 (1) 認證 (鑒別 )服務 : 提供對通信中對等實體和數據來源的認證 (鑒別 )。 (2) 訪問控制服務 : 用于防止未授權用戶非法使用系統資源，包括用戶身份認證和用戶權限確認。 第一章 信息安全概述 安全服務 就是加強數據處理系統和信息傳輸的安全性的一類服務，其目的在于利用一種或多種安全機制阻止安全攻擊。 (3) 數據保密性服務 : 為防止網絡各系統之間交換的數據被截獲或被非法存取而泄密，提供機密保護。同時，對有可能通過觀察信息流就能推導出信息的情況進行防范。 (4) 數據完整性服務 : 用于阻止非法實體對交換數據的修改、插入、刪除以及在數據交換過程中的數據丟失。 (5) 抗否認性服務 : 用于防止發(fā)送方在發(fā)送數據后否認發(fā)送和接收方在收到數據后否認收到或偽造數據的行為。 第一章 信息安全概述 訪問控制策略有如下三種類型。 1） 基于身份的策略 。即根據用戶或用戶組對目標的訪問權限進行控制的一種策略。形成 “ 目標 — 用戶 — 權限 ” 或“ 目標 — 用戶組 — 權限 ” 的訪問控制形式。 2） 基于規(guī)則的策略 。是將目標按照某種規(guī)則（如重要程度）分為多個密級層次，如絕密、秘密、機密、限制和無密級，通過分配給每個目標一個密級來操作。 3） 基于角色的策略 ?；诮巧牟呗钥梢哉J為是基于身份的策略和基于規(guī)則的策略的結合。 目的就是保證信息的可用性，即可被授權實體訪問并按需求使用，保證合法用戶對信息和資源的使用不會被不正當地拒絕，同進不能被無權使用的人使用或修改、破壞。 2. 八大種安全機制 八大種安全機制包括加密機制、數字簽名機制、訪問控制機制、數據完整性機制、認證機制、業(yè)務流填充機制、路由控制機制、公證機制。 (1) 加密機制 : 是確保數據安全性的基本方法，在 OSI安全體系結構中應根據加密所在的層次及加密對象的不同，而采用不同的加密方法。 第一章 信息安全概述 安全機制 是指用來保護系統免受偵聽、阻止安全攻擊及恢復系統的機制。 (2) 數字簽名機制 : 是確保數據真實性的基本方法，利用數字簽名技術可進行用戶的身份認證和消息認證，它具有解決收、發(fā)雙方糾紛的能力。 (3) 訪問控制機制 : 從計算機系統的處理能力方面對信息提供保護。訪問控制按照事先確定的規(guī)則決定主體對客體的訪問是否合法，當一主體試圖非法使用一個未經授權的資源 時，訪問控制將拒絕，并將這一事件報告給審計跟蹤系統，審計跟蹤系統將給出報警并記錄日志檔案。 第一章 信息安全概述 (4) 數據完整性機制 : 破壞數據完整性的主要因素有數據在信道中傳輸時受信道干擾影響而產生錯誤，數據在傳輸和存儲過程中被非法入侵者篡改，計算機病毒對程序和數據的 傳染等。糾錯編碼和差錯控制是對付信道干擾的有效方法。對付非法入侵者主動攻擊的有效方法是報文認證，對付計算機病毒有各種病毒檢測、殺毒和免疫方法。 (5) 認證機制 : 在計算機網絡中認證主要有用戶認證、消息認證、站點認證和進程認證等，可用于認證的方法有已知信息 (如口令 )、共享密鑰、數字簽名、生物特征 (如指紋 )等。 第一章 信息安全概述 (6) 業(yè)務流填充機制 : 攻擊者通過分析網絡中某一路徑上的信息流量和流向來判斷某些事件的發(fā)生，為了對付這種攻擊，一些關鍵站點間在無正常信息傳送時，持續(xù)傳送一些隨 機數據，使攻擊者不知道哪些數據是有用的，哪些數據是無用的，從而挫敗攻擊者的信息流分析。 (7) 路由控制機制 : 在大型計算機網絡中，從源點到目的地往往存在多條路徑，其