【正文】 (2) ? (6)數(shù)據(jù)庫系統(tǒng)安全 數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)。訪問控制技術(shù)按照事先確定的規(guī)則決定主體對(duì)客體的訪問是否合法。它是進(jìn)行存取控制必不可少的條件，因?yàn)槿绻恢烙脩羰钦l，也就無法判斷用戶的存取是否合法。 ? (4)身份認(rèn)證 認(rèn)證就是將特定實(shí)體，從任意實(shí)體的集合中識(shí)別出來的行為。 ? (3)數(shù)據(jù)完整性技術(shù) 數(shù)據(jù)完整性控制技術(shù)是指能識(shí)別有效數(shù)據(jù)的一部分或全部信息被篡改的技術(shù)。數(shù)字簽名是以電子形式存儲(chǔ)的一種消息，可以在通信網(wǎng)絡(luò)中傳輸。將密文還原為原始明文的過程稱為解密，它是加密的反向處理，但解密者必須利用相同類型的加密設(shè)備和密鑰對(duì)密文進(jìn)行解密。加密是一種限制對(duì)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)的技術(shù)。 ? 信息安全系統(tǒng)并不是僅僅有信息的加密等安全技術(shù)措施。 ? 它可以按不同的力式單獨(dú)或組合使用。 ? 業(yè)務(wù)欺騙： 某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等。 ? 物理侵入： 侵入者繞過物理控制而獲得對(duì)系統(tǒng)的訪問。 ? 員工泄露： 一個(gè)授權(quán)的人，為了金錢或某種利益，或由于粗心，將信息泄露給一個(gè)非授權(quán)的人。 ? 計(jì)算機(jī)病毒： 它是一種人為編制的特定程序。 ? 抵賴： 這是一種來自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對(duì)方來信等。 ? 特洛伊木馬： 軟件中含有一個(gè)察覺不出的或者無害的程序段，當(dāng)其被執(zhí)行時(shí)，會(huì)破壞用戶的安全。 ? 旁路控制： 攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。 ? 業(yè)務(wù)流分析： 通過對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信問題的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。 ? 非法使用： 某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。 ? 破壞信息的完整性： 數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。 ? 自身失誤： 網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限，利用這些權(quán)限破壞網(wǎng)絡(luò)安全的可能性也是存在的。 ? 信息安全所面臨的威脅與環(huán)境密切相關(guān)，不同威脅的存在及重要性是隨環(huán)境的變化而變化的。 ? 攻擊就是對(duì)安全威脅的具體體現(xiàn)。授權(quán)機(jī)構(gòu)可以隨時(shí)控制信息的機(jī)密性，能夠?qū)π畔?shí)施安全監(jiān)控。 ? ④可靠性 (Reliability)是指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性 (包括信息的迅速、準(zhǔn)確和連續(xù)地轉(zhuǎn)移等 )，但也有人認(rèn)為可靠性是人們對(duì)信息系統(tǒng)而不是對(duì)信息本身的要求。 ? ③可用性 (Availability)是指信息可被授權(quán)者訪問并按需求使用的特性，即保證合法用戶對(duì)信息和資源的使用不會(huì)被不合理地拒絕。對(duì)信息安全主動(dòng)攻擊的最終目的是破壞信息的完整性。 ? 信息安全可以分為數(shù)據(jù)安全和系統(tǒng)安全。 ? 信息安全研究所涉及的領(lǐng)域相當(dāng)廣泛。 ? 信息安全的任務(wù)是保護(hù)信息資源，以防止偶然的或未授權(quán)者對(duì)信息的惡意泄露、修改和破壞，從而導(dǎo)致信息的不可靠或無法處理等。 ? 信息安全是一個(gè)廣泛而抽象的概念。有的媒體冠以“黑客太黑，微軟太軟”的大標(biāo)題，諷刺微軟這樣的著名公司都無法擋住黑客兇猛的攻擊。 ? 2022年 10月，黑客入侵微軟公司并獲取微軟新開發(fā)產(chǎn)品的機(jī)密源代碼事件披露，震動(dòng)了微軟公司高層，其中包括比爾 ? 1989年 3月 2日凌晨， 3名德國(guó)黑客因涉嫌向前蘇聯(lián)出售機(jī)密情報(bào)被捕，他們?cè)趦赡甓嗟臅r(shí)間內(nèi)，闖入了許多北約和美國(guó)的計(jì)算機(jī)系統(tǒng)，竊取了許多高度機(jī)密的信息。 ? 以下是幾個(gè)計(jì)算機(jī)犯罪的例子： ? 1988年 11月 2日，美國(guó)康乃爾大學(xué)的學(xué)生羅伯特 ? 根據(jù)美國(guó)國(guó)家科學(xué)基金會(huì) (US Nation Science Foundation)的統(tǒng)計(jì)，從 1998年到2022年， Inter的用戶數(shù)從 30000萬增加 10億以上。第 6章 信息與網(wǎng)絡(luò)安全 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 2 ? 隨著互聯(lián)網(wǎng)的飛速發(fā)展，信息作為一種無形的資源，被廣泛應(yīng)用于政治、軍事、經(jīng)濟(jì)、科研等各行各業(yè)，其重要性與日俱增。然而隨之所帶來的安全性問題也越來越多。這種情況就為今天的計(jì)算機(jī)犯罪的產(chǎn)生和發(fā)展提供了溫床。莫里斯釋放多個(gè)蠕蟲病毒，造成Inter網(wǎng)上近 6000臺(tái)主機(jī)癱瘓，據(jù)稱損失高達(dá)幾千萬美元。 ? 1996年 9月，美國(guó)中央情報(bào)局的主頁被一群遠(yuǎn)在瑞典的少年黑客改為中央笨蛋局。蓋菠本人。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 3 ? “安全”一詞的基本含義為：“遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性”，或“主觀上不存在威脅，主觀上不存在恐懼”。所謂信息安全就是關(guān)注信息本身的安全，而不管是否應(yīng)用了計(jì)算機(jī)作為信息處理的手段。 ? 信息安全之所以引起人們的普遍關(guān)注，是由于信息安全問題目前已經(jīng)涉及到人們?nèi)粘Ｉ畹母鱾€(gè)方面。隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，人們?cè)絹碓揭蕾嚲W(wǎng)絡(luò)，人們對(duì)信息資源的使用更多的是通過計(jì)算機(jī)網(wǎng)絡(luò)來實(shí)現(xiàn)的，在計(jì)算機(jī)網(wǎng)絡(luò)上信息的處理是以數(shù)據(jù)的形式進(jìn)行，在這種情況下，數(shù)據(jù)就是信息。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 4 信息安全屬性 ? ① 完整性 (Integrity)是指信息在存儲(chǔ)或傳輸?shù)倪^程中，保持未經(jīng)授權(quán)不能改變的特性，即對(duì)抗主動(dòng)攻擊，保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶修改或破壞。 ? ②保密性 (Confidentiality)是指信息不被泄露給未經(jīng)授權(quán)者的特性，即對(duì)抗被動(dòng)攻擊，以保證機(jī)密信息不會(huì)泄露給非法用戶。對(duì)可用性的攻擊就是阻斷信息的合理使用。 ? ⑤可控性 (Controllability)是指對(duì)信息的傳播及內(nèi)容具有控制能力的特性。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 5 信息安全的威脅 ? 信息安全的威脅是指某個(gè)人、物、事件或概念對(duì)信息資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。 ? 目前還沒有統(tǒng)一的方法來對(duì)各種威脅進(jìn)行分類，也沒有統(tǒng)一的方法來對(duì)各種威脅加以區(qū)別。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 6 一些常見的安全威脅 ? 服務(wù)于擾： 以非法手段竊得對(duì)信息的使用權(quán)， ? 惡意訪問： 沒有預(yù)先經(jīng)過授權(quán)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作惡意訪問。 ? 信息泄露： 信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。 ? 拒絕服務(wù)： 對(duì)信息或其他資源的合法訪問被無緣無故拒絕。 ? 竊聽： 用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。 ? 假冒： 通過欺騙通信系統(tǒng)達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。 ? 內(nèi)部攻擊： 被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)個(gè)人，卻將一些權(quán)限用于其他非授權(quán)的目的。 ? 陷阱門： 在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時(shí)，允許違反安全策略。 ? 重放： 出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，并重新發(fā)送。它可以在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中實(shí)現(xiàn)傳染和侵害功能。 ? 媒體廢棄： 信息被從廢棄的磁盤、光盤或紙張等存儲(chǔ)介質(zhì)中獲得。 ? 竊取： 重要的安全物品，如身份卡等被盜用。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 7 信息安全的實(shí)現(xiàn) ? 為了保護(hù)信息的安全所采用的方法也稱作安全機(jī)制，所有的安全機(jī)制都是針對(duì)某一個(gè)或一些安全攻擊威脅而設(shè)計(jì)的。 ? 合理地使用一些安全機(jī)制會(huì)在有限的資金投入下最大限度地降低安全風(fēng)險(xiǎn)。 ? 一個(gè)完整的信息安全系統(tǒng)包含 3類措施： ? 技術(shù)方面的安全措施 ? 管理方面的安全措施 ? 以及相應(yīng)的政策和法律 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 8 (1) ? (1)數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障其安全性，這是一種主動(dòng)安全防御策略，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。原始數(shù)據(jù) (也稱為明文， Plaintext)被加密設(shè)備 (硬件或軟件 )和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文 (Cipher text)。 ? (2)數(shù)字簽名技術(shù) 簽名是證明當(dāng)事者身份的一種信息。由于數(shù)字簽名是利用密碼技術(shù)進(jìn)行的，所以其安全性取決于所采用的密碼體制的安全程度。數(shù)據(jù)完整性控制包括文件系統(tǒng)完整性控制及網(wǎng)絡(luò)傳輸信息的完整性控制。它以交換信息的方式來確認(rèn)實(shí)體的身份。 ? (5)訪問控制技術(shù) 在計(jì)算機(jī)系統(tǒng)中，安全機(jī)制的核心是訪問控制。它要確定合法用戶對(duì)哪些系統(tǒng)資源享有何種權(quán)限、可進(jìn)行什么類型的訪問操作，防止非法用戶進(jìn)入計(jì)算機(jī)系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。如果數(shù)據(jù)庫管理系統(tǒng)安全機(jī)制強(qiáng)大，則數(shù)據(jù)庫系統(tǒng)的安全性能就較好。 ? (7)網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全技術(shù)種類繁多，而且還相互交叉。如防火端技術(shù)、入侵檢測(cè)技術(shù)、安全協(xié)議、 VPN技術(shù)、 Ipsec技術(shù)等。 ? (9)安全漏洞掃描技術(shù) 漏洞是指任意地允許非法用戶未經(jīng)授權(quán)獲得訪問或提高其訪問層次的硬件或軟件特征。 ? (10)安全審計(jì) 安全審計(jì)可以創(chuàng)建用戶活動(dòng)的事件記錄，通過這些記錄可檢查系統(tǒng)不平常或可疑的活動(dòng)。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 10 ? 信息安全問題不是單靠安全技術(shù)就可以解決的，專家們指出信息安全是“七分管理，三分技術(shù)”。 ? 安全管理是信息安全中具有能動(dòng)性的組成部分，大多數(shù)安全事件和安全隱患的發(fā)生，并非完全是技術(shù)上的原因．而往往是由于管理不善而造成的。 ? 信息安全管理主要涉及以下幾個(gè)方面：人事管理、設(shè)備管理、場(chǎng)地管理、存儲(chǔ)媒體管理、軟件管理、網(wǎng)絡(luò)管理、密碼和密鑰管理等。 ? 要正確評(píng)估所面臨的安全風(fēng)險(xiǎn)，在安全性與經(jīng)濟(jì)性、安全性與方便性、安全性與工作效率之間選取折中的方案。 ? 另外，為了保證信息安全的重要作用，法律是保護(hù)信息安全的第一道防線。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 12 網(wǎng)絡(luò)安全 ? 網(wǎng)絡(luò)安全是一個(gè)關(guān)系國(guó)家安全與主權(quán)、社會(huì)的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問題?！凹议T就是國(guó)門”，安全問題刻不容緩。 ? 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 13 網(wǎng)絡(luò)安全的特征 ? ① 保密性 ? 信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。即當(dāng)需要時(shí)能否存取所需的信息。 2022/2/9 遼寧