【正文】 。被動與主動攻擊的主要區(qū)別是什么？ 4. 簡述信息安全的研究內(nèi)容 5. 分析計算機(jī)及網(wǎng)絡(luò)系統(tǒng)中各自存在的主要安全威脅。 2 在防火墻內(nèi)側(cè)關(guān)鍵點(diǎn)部署入侵檢測系統(tǒng)，防護(hù)內(nèi)、外網(wǎng)絡(luò)攻擊，構(gòu)成第二道安全閘門； 3 設(shè)置防病毒服務(wù)器，全網(wǎng)各主機(jī)安裝防病毒系統(tǒng)； 4 配置漏洞掃描系統(tǒng)，對全網(wǎng)內(nèi)主機(jī)不定期進(jìn)行漏洞掃描，堵塞入侵漏洞； 5 用第二防火墻、涉密服務(wù)器隔離和控制對保密系統(tǒng)子網(wǎng)的訪問； 6 如有必要，可在接入路由器內(nèi) / 外側(cè)加裝密碼機(jī)； 7 安全管理：兩級機(jī)構(gòu)＋規(guī)章制度。特洛伊木馬能夠摧毀數(shù)據(jù)，有時偽裝成系統(tǒng)上已有的程序，有時創(chuàng)建新的用戶名和口令。代碼炸彈不必像病毒那樣四處傳播，程序員將代碼炸彈寫入軟件中，使其產(chǎn)生了一個不能輕易地找到的安全漏洞，一旦該代碼炸彈被觸發(fā)后，這個程序員便會被請回來修正這個錯誤，并賺一筆錢，這種高技術(shù)的敲詐的受害者甚至不知道他們被敲詐了，即便他們有疑心也無法證實(shí)自己的猜測。通過這種方式病毒可以進(jìn)行自我復(fù)制，并隨著它所附著的程序在機(jī)器之間傳播。 編輯口令： 編輯口令需要依靠操作系統(tǒng)漏洞，如果公司內(nèi)部的人建立了一個虛設(shè)的賬戶或修改了一個隱含賬戶的口令，這樣，任何知道那個賬戶的用戶名和口令的人便可以訪問該機(jī)器了。 算法考慮不周： 口令輸入過程必須在滿足一定條件下才能正常地工作，這個過程通過某些算法實(shí)現(xiàn)。實(shí)際上，第一次登錄并沒有失敗，它將登錄數(shù)據(jù)，如用戶名和口令寫入到這個數(shù)據(jù)文件中，留待使用。 53 身份鑒別威脅 口令圈套： 口令圈套是網(wǎng)絡(luò)安全的一種詭計，與冒名頂替有關(guān)。 不安全服務(wù)： 有時操作系統(tǒng)的一些服務(wù)程序可以繞過機(jī)器的安全系統(tǒng)，互聯(lián)網(wǎng)蠕蟲就利用了 UNIX系統(tǒng)中三個可繞過的機(jī)制。操作系統(tǒng)不允許一個用戶修改由另一個賬戶產(chǎn)生的數(shù)據(jù)。 ?一些安全性較高、功能較強(qiáng)的操作系統(tǒng)可以為計算機(jī)的每一位用戶分配賬戶。 ?同一計算機(jī)可以安裝幾種不同的操作系統(tǒng)。這種辦法實(shí)現(xiàn)起來并不容易，而且一般需要有機(jī)構(gòu)內(nèi)部的、了解網(wǎng)絡(luò)和操作過程的人參與。 撥號進(jìn)入： 擁有一個調(diào)制解調(diào)器和一個電話號碼，每個人都可以試圖通過遠(yuǎn)程撥號訪問網(wǎng)絡(luò)，尤其是擁有所期望攻擊的網(wǎng)絡(luò)的用戶賬戶時，就會對網(wǎng)絡(luò)造成很大的威脅。 – 屏蔽是防電磁泄漏的有效措施，屏蔽主要有電屏蔽、磁屏蔽和電磁屏蔽三種類型。 ?電磁發(fā)射包括輻射發(fā)射和傳導(dǎo)發(fā)射。這種行為對網(wǎng)絡(luò)數(shù)據(jù)構(gòu)成了巨大的威脅。 間諜行為： 是一種為了省錢或獲取有價值的機(jī)密、采用不道德的手段獲取信息。如果他們想偷的信息在計算機(jī)里，那他們一方面可以將整臺計算機(jī)偷走，另一方面通過監(jiān)視器讀取計算機(jī)中的信息。 網(wǎng)絡(luò)信息安全與保密的核心 是通過計算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和安全技術(shù)，保護(hù)在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲的消息的保密性、完整性、真實(shí)性、可靠性、可用性、不可抵賴性等。 （ 3）網(wǎng)絡(luò)上信息傳播的安全。 ? 網(wǎng)絡(luò)安全又分為 ： （ l）運(yùn)行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。 ? 恢復(fù)（ Restore）指一旦系統(tǒng)遭到破壞，盡快恢復(fù)系統(tǒng)功能，盡早提供正常的服務(wù)。 ? 檢測（ Detect）指提供工具檢查系統(tǒng)可能存在的黑客攻擊、白領(lǐng)犯罪和病毒泛濫等脆弱性。再引入 Et=暴露時間，則可以得到如下關(guān)系 – 如果 Pt Dt + Rt，那么 系統(tǒng)是安全的； – 如果 Pt ≤ Dt + Rt，那么 Et=（ Dt + Rt） ?Pt。 ?網(wǎng)絡(luò)上的各種威脅也是動態(tài)的。 ?系統(tǒng)建設(shè)是動態(tài)的，新應(yīng)用、新產(chǎn)品不斷應(yīng)用，設(shè)備、應(yīng)用系統(tǒng)和操作系統(tǒng)平臺的不斷升級和復(fù)雜化。 OSI安全體系的特定安全機(jī)制 38 OSI安全服務(wù)與安全機(jī)制之間的關(guān)系 鑒別服務(wù) 訪問控制 數(shù)據(jù)保密性 數(shù)據(jù)完整性 抗抵賴 加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 鑒別交換 通信業(yè)務(wù)填充 路由選擇控制 公證 39 ? 20世紀(jì) 60年代倡導(dǎo)通信保密措施，到了 20世紀(jì) 60到 70年代，逐步推行計算機(jī)安全，信息安全概念是 20世紀(jì) 80年代到 90年代才被廣泛提出的， 20世紀(jì) 90年代以后，開始倡導(dǎo)信息保障 ? 信息保障 （ IA ， Information Assurance ）的概念最早來自 1996年 12月 9日以美國國防部長的名義發(fā)表的 《 DoD Directive : Information Operation》 中。 8. 鑒別交換機(jī)制 – 鑒別信息：如口令、生物信息、身份卡等； – 密碼技術(shù)。 例如： – 當(dāng)檢測到持續(xù)的攻擊時，便指示網(wǎng)絡(luò)服務(wù)提供者經(jīng)別的路由建立連接； – 依據(jù)安全策略，可以禁止帶有某些安全標(biāo)記的數(shù)據(jù)通過某些子網(wǎng)絡(luò)、中繼站或鏈路； – 連接的發(fā)起者或無連接中數(shù)據(jù)的發(fā)送者，可以指定路由選擇說明，以請求回避某些特定的子網(wǎng)絡(luò)、中繼站或鏈路。 36 5. 通信業(yè)填充機(jī)制： 通信業(yè)填充機(jī)制是一種用于提供業(yè)務(wù)流機(jī)密性保護(hù)的反分析機(jī)制，它可以生成偽造的通信實(shí)例、偽造的數(shù)據(jù)單元或 /和數(shù)據(jù)單元中偽造的數(shù)據(jù)，使攻擊者難于從數(shù)據(jù)流量對通信業(yè)務(wù)進(jìn)行分析。 3. 訪問控制機(jī)制 – 數(shù)據(jù)機(jī)密性； – 數(shù)據(jù)完整性； – 可用性。 5. 抗抵賴服務(wù)（抗否認(rèn)性） – 有數(shù)據(jù)原發(fā)證明的抗抵賴：防止發(fā)送方抵賴； – 有數(shù)據(jù)交付證明的抗抵賴：防止接收方抵賴。 – 通信業(yè)務(wù)流機(jī)密性保護(hù)：提供機(jī)密性保護(hù)，并保護(hù)不能通過觀察通信業(yè)務(wù)流推斷出其中的機(jī)密信息。 – 無連接機(jī)密性保護(hù)：為單個無連接的Ｎ層服務(wù)數(shù)