【正文】 (8) 公證機(jī)制 : 在大型計算機(jī)網(wǎng)絡(luò)中，并不是所有的用戶都是誠實(shí)可信的，同時也可能由于設(shè)備故障等技術(shù)原因造成信息丟失、延遲等，用戶之間很可能引起責(zé)任糾紛，為了解 決這個問題，就需要有一個各方都信任的第三方以提供公證仲裁，仲裁數(shù)字簽名技術(shù)就是這種公證機(jī)制的一種技術(shù)支持。糾錯編碼和差錯控制是對付信道干擾的有效方法。同時，對有可 (4) 數(shù)據(jù)完整性服務(wù) : 用于阻止非法實(shí)體對交換數(shù)據(jù)的修 (5) 抗否認(rèn)性服務(wù) : 用于防止發(fā)送方在發(fā)送數(shù)據(jù)后否認(rèn)發(fā) 第 1章 信息安全概述 2. 八大種安全機(jī)制包括加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、業(yè)務(wù)流填充機(jī)制、路 (1) 加密機(jī)制 : 是確保數(shù)據(jù)安全性的基本方法，在 OSI安全體系結(jié)構(gòu)中應(yīng)根據(jù)加密所在的層次及加密對象的不同，而 第 1章 信息安全概述 (2) 數(shù)字簽名機(jī)制 : 是確保數(shù)據(jù)真實(shí)性的基本方法，利用數(shù)字簽名技術(shù)可進(jìn)行用戶的身份認(rèn)證和消息認(rèn)證，它具有解 (3) 訪問控制機(jī)制 : 從計算機(jī)系統(tǒng)的處理能力方面對信息提供保護(hù)。 OSI安全體系結(jié)構(gòu)是在分析對開放系統(tǒng)的威脅和其脆弱性的基礎(chǔ)上提出來的。 由于計算機(jī)網(wǎng)絡(luò)的開放性、復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全系統(tǒng)需要一個完整的、嚴(yán)謹(jǐn)?shù)捏w系結(jié)構(gòu)來保證。因此，信息安全不是一個純粹的技術(shù)問題，加強(qiáng)預(yù)防、監(jiān)測和管理非常 重要。 缺少網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范 。 狹義的計算機(jī)犯罪僅指行為人違反國家規(guī)定，故意侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)等計算機(jī)信息系統(tǒng)，或者利用各種技術(shù)手段對計算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)、應(yīng)用程序等進(jìn)行破壞，制作、傳播計算機(jī)病毒，影響計算機(jī) 第 1章 信息安全概述 現(xiàn)在計算機(jī)犯罪呈現(xiàn)高智商、高學(xué)歷、隱蔽性強(qiáng)和取證難度大等特點(diǎn)，這使得計算機(jī)犯罪刑偵取證技術(shù)已發(fā)展成為 2. 目前，信息安全事件有快速蔓延之勢，大部分事件背后的真正原因在于利益的驅(qū)使和內(nèi)部管理的缺失。黑客的存在，不再是一個純技術(shù)領(lǐng)域的問題，而是一 第 1章 信息安全概述 根據(jù)我國有關(guān)法律的規(guī)定，計算機(jī)犯罪的概念可以有廣義和狹義之分。他們之間的根本區(qū)別是 : 黑客搞建設(shè)，駭客搞破壞。這種黑客已經(jīng)違背了早期黑客的傳統(tǒng)，稱為“駭客” (英文“ cracker”的音譯 )，就是“破壞者”的意思。 也有可能盜用銀行帳號進(jìn)行非法轉(zhuǎn)帳等。 也可能在網(wǎng)絡(luò)上截取商業(yè)秘密要挾他人 。有些黑客，他們沒有職業(yè)道德的限制，坐在計算機(jī)前，試圖非法進(jìn)入別人的計算機(jī)系統(tǒng)，窺探別人在網(wǎng)絡(luò)上的秘密。而就在這時，隨著計算機(jī)重要性的提高，大型數(shù)據(jù)庫也越來越多，信息又越來越集中在少數(shù)人手里，黑客開始為信息共享而奮斗，這時黑客就開始頻繁入侵各大計算機(jī)系統(tǒng)。在這一時期，黑客們也發(fā)明了一些侵入計算機(jī)系統(tǒng)的基本技巧，如破解口令 (Passwordcracking)、開天窗 (TraPdoor)等。 第 1章 信息安全概述 這一代黑客是電腦史上的英雄，其領(lǐng)頭人是蘋果公司的創(chuàng)建人史蒂夫 20世紀(jì) 60年代，黑客代指獨(dú)立思考、奉公守法的計算機(jī)迷，他們利用分時技術(shù)允許多個用戶同時執(zhí)行多道程序，擴(kuò)大了計算機(jī)及網(wǎng)絡(luò)的使用范圍。 第 1章 信息安全概述 他們精力充沛，熱衷于解決難題，這些人多數(shù)以完善程序、完善網(wǎng)絡(luò)為己任，遵循計算機(jī)使用自由、資源共享、源代碼公開、不破壞他人系統(tǒng)等精神，從某種意義上說，他們的存在成為計算機(jī)發(fā)展的一股動力。 hack的一個引申的意思是指“干了一件非常漂亮的事”。在應(yīng)用層，普遍存在認(rèn)證、訪問控制、完整性、保密性 第 1章 信息安全概述 據(jù)有關(guān)部門統(tǒng)計，在所有的信息安全事件中，約有 52%是人為因素造成的。 FTP、 SMTP、 NFS等協(xié)議也存在許多漏洞。 TCP連接可能被欺騙、 截取、操縱 。在網(wǎng)絡(luò)的節(jié)點(diǎn)上可以進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活，而且被創(chuàng)建的進(jìn)程還具 有繼續(xù)創(chuàng)建進(jìn)程的權(quán)力，這種遠(yuǎn)程訪問功能使得各種攻擊無需到現(xiàn)場就能得手。因此， DBMS的安全必須與操作系統(tǒng)的安全配套，這無疑是 DBMS先天的不足。系統(tǒng)支持繼承和擴(kuò)展能力便給自身留下了一個漏洞，操作系統(tǒng)的程序可以動態(tài)連接，包括 I/O的驅(qū)動程序 與系統(tǒng)服務(wù)都可以用打補(bǔ)丁的方法升級和進(jìn)行動態(tài)連接，這種方法雖然給系統(tǒng)的擴(kuò)展和升級提供了方便，但同時也會被黑客利用，這種使用打補(bǔ)丁與滲透開發(fā)的操作系統(tǒng)是不可能 第 1章 信息安全概述 其次，系統(tǒng)支持在網(wǎng)絡(luò)上傳輸文件，這也為病毒和黑客程序的傳播提供了方便 。網(wǎng)絡(luò)的管理制度和相關(guān)法律法規(guī)的不完善也是導(dǎo)致網(wǎng)絡(luò)不安全的重要因素。系統(tǒng)漏洞又稱為陷阱，它通常是由操作系統(tǒng)開發(fā)者設(shè)置的，這樣他們就能在用戶失去了對系統(tǒng)的所有訪問權(quán)時仍能進(jìn)入系統(tǒng)，這就像汽車上的安全門一樣，平時不用，在發(fā)生災(zāi)難或正常門被封的情況下，人們可以使用安全門逃生。 內(nèi)因是指網(wǎng)絡(luò)和系統(tǒng)的自身缺陷與脆弱性，外因是指國家、政治、商業(yè)和個人的利益沖突。利用信息源證據(jù)可以防止發(fā)信方否認(rèn)已發(fā)送過信息，利用接收證據(jù)可以防止接收方事后否認(rèn)已經(jīng)接收到信息。在信息交換過程中，確信參與方的真實(shí)同一性，即所有參與者都不能否認(rèn)和抵賴曾經(jīng)完成的操作和承諾。 Inter蠕蟲就是依靠在網(wǎng)絡(luò)上大量復(fù)制并且傳播，占用大量 CPU處理時間，導(dǎo)致系統(tǒng)越來越慢，直到網(wǎng)絡(luò)發(fā)生崩潰，用戶的正常數(shù)據(jù)請求不能得到處理，這就是一個典型的“拒絕服務(wù)”攻擊。簡單地說，就是保證信息在需要時能為授權(quán)者所用，防止由于主、客觀因素造成的系統(tǒng)拒絕服務(wù)。數(shù)據(jù)的完整性的目的是保證計算機(jī)系統(tǒng)上的數(shù)據(jù)和信息處 于一種完整和未受損害的狀態(tài)，這就是說數(shù)據(jù)不會因?yàn)橛幸饣驘o意的事件而被改變或丟失。就像電話可以被竊聽一樣，網(wǎng)絡(luò)傳輸信息也 可以被竊聽，解決的辦法就是對傳輸信息進(jìn)行加密處理。這些信息不僅包括國家機(jī)密，也包括企業(yè)和社會團(tuán)體的商業(yè)機(jī)密和工作機(jī)密，還包括個人信息。狹義的信息安全，就是指信息內(nèi)容的安全，包括信息的保密性、 第 1章 信息安全概述 3. 廣義的信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的信息受到保護(hù)。針對網(wǎng)絡(luò)中的一個運(yùn)行系統(tǒng)而言，信息安全就是指信息處理和傳輸?shù)陌踩? (3) 在網(wǎng)絡(luò)上發(fā)送的信息源是真實(shí)的，不是假冒的，這就是用戶對通信各方的身份提出的身份認(rèn)證的要求 。下面先介紹信息安全在不同層面的含義，然后從 第 1章 信息安全概述 1. 從用戶 (個人或企業(yè) )的角度來講，他們希望 : (1) 在網(wǎng)絡(luò)上傳輸?shù)膫€人信息 (如銀行帳號和上網(wǎng)登錄口令等 )不被他人發(fā)現(xiàn)，這就是用戶對網(wǎng)絡(luò)上傳輸?shù)男畔⒕哂斜Ｃ苄缘囊?。從經(jīng)濟(jì)利益的角度來講，所謂適當(dāng)?shù)陌踩侵赴踩缘倪x擇應(yīng)建立在所保護(hù)的資源和服務(wù)的收益 預(yù)期大于為之付出的代價的基礎(chǔ)之上，或者說，我們采取控制措施所降低的風(fēng)險損失要大于付出的代價，如