網(wǎng)絡安全基礎(chǔ) 第1章 概論

1、信息安全概論1課程要求.教學用書: 牛少彰主編,北京郵電大學出版社.考試方式:開卷2 第一章 概述 內(nèi)容提要 信息的定義、性質(zhì)和分類 信息技術(shù)小結(jié) 信息安全概述 信息安全威脅 信息安全的實現(xiàn) 小結(jié)3信息成為人類社會必須的重要資源信息安全是社會穩(wěn)定安全的必要前提條件信息安全 關(guān)注信息本身的安全，防止偶然的或未授權(quán)者對信息的惡意泄露、修改和破壞 最大限度地利用信息為我們服務，同時不招致信息損失或使損失最小。41.1 信息的定義、性質(zhì)和分類 本節(jié)內(nèi)容 1.1.1 信息的概念 1.1.2 信息的特征 1.1.3 信息的性質(zhì) 1.1.4 信息的功能 1.1.5 信息的分類51.1.1 信息的概念 192

2、8年哈特萊（L. V. R. Hartley）：選擇通信符號的方式，且用選擇的自由度來計量這種信息的大小 1948年，美國數(shù)學家仙農(nóng)（C. E. Shannon）：信息是用來減少隨機不定性的東西。 1948年維納（N. Wiener） ，認為“信息是人們在適應外部世界，并且這種適應反作用于外部世界的過程中，同外部世界進行互相交換的內(nèi)容的名稱”。 1975年，意大利學者朗高（G. Longo）認為“信息是反映事物的形式、關(guān)系和差別的東西，它包含在事物的差異之中，而不在事物本身” 1988年，我國信息論專家鐘義信教授在信息科學原理一書中把信息定義為：事物的運動狀態(tài)和狀態(tài)變化的方式。并通過引入約束條

3、件推導了信息的概念體系，對信息進行了完整和準確的描述。6信息的相關(guān)概念信息不同于消息，消息是信息的外殼，信息則是消息的內(nèi)核，也可以說：消息是信息的籠統(tǒng)概念，信息則是消息的精確概念。 信息不同于信號，信號是信息的載體，信息則是信號所載荷的內(nèi)容。 信息不同于數(shù)據(jù)，數(shù)據(jù)是記錄信息的一種形式，同樣的信息也可以用 文字或圖像來表述。當然，在計算機里，所有的多媒體文件都是用數(shù) 據(jù)表示的，計算機和網(wǎng)絡上信息的傳遞都是以數(shù)據(jù)的形式進行，此時 信息等同于數(shù)據(jù) 。信息不同于情報，情報通常是指秘密的、專門的、新穎的一類信息； 可以說所有的情報都是信息，但不能說所有的信息都是情報。 信息也不同于知識，知識是由信息抽象

4、出來的產(chǎn)物，是一種具有普遍 和概括性的信息，是信息的一個特殊的子集。也就是說：知識就是信息，但并非所有的信息都是知識。71.1.2 信息的特征信息最基本的特征為：信息來源于物質(zhì)，又不是物質(zhì)本身；它從物質(zhì)的運動中產(chǎn)生出來，又可以脫離源物質(zhì)而寄生于媒體物質(zhì)，相對獨立地存在。 信息與能量息息相關(guān) 信息是具體的，并且可以被人（生物、機器等）所感知、提取、識別，可以被傳遞、儲存、變換、處理、顯示檢索和利用 81.1.3 信息的性質(zhì)（1）普遍性（2）無限性 （3）相對性 （4）傳遞性（5）變換性（6）有序性 （7）動態(tài)性 （8）轉(zhuǎn)化性 91.1.4 信息的功能信息的基本功能在于維持和強化世界的有序性 信息

5、的社會功能則表現(xiàn)在維系社會的生存，促進人類文明的進步和人類自身的發(fā)展。信息的功能主要表現(xiàn)為： 信息是一切生物進化的導向資源。 信息是知識的來源。 信息是決策的依據(jù)。 信息是控制的靈魂。 信息是思維的材料。 信息是管理的基礎(chǔ)，是一切系統(tǒng)實現(xiàn)自組織的保證。101.1.5 信息的分類由于目的和出發(fā)點的不同，信息的分類也不同 從信息的性質(zhì)出發(fā)，信息可以分為：語法信息、語義信息和語用信息；從信息的過程出發(fā)，信息可以分為：實在信息、先驗信息和實得信息；從信息的地位出發(fā)，信息可以分為：客觀信息和主觀信息；從信息的作用出發(fā)，信息可以分為：有用信息、無用信息和干擾信息；從信息的邏輯意義出發(fā)，信息可以分為：真實信

6、息、虛假信息和不定信息； 11從信息的傳遞方向出發(fā)，信息可以分為：前饋信息和反饋信息；從信息的生成領(lǐng)域出發(fā)，信息可以分為：宇宙信息、自然信息、社會信息和思維信息等；從信息的應用部門出發(fā)，信息可以分為：工業(yè)信息、農(nóng)業(yè)信息、軍事信息、政治信息、科技信息、經(jīng)濟信息、管理信息等；從信息源的性質(zhì)出發(fā)，信息可以分為：語音信息、圖像信息、文字信息、數(shù)據(jù)信息、計算信息等；從信息的載體性質(zhì)出發(fā)，信息可以分為：電子信息、光學信息和生物信息等從攜帶信息的信號的形式出發(fā)，信息還可以分為：連續(xù)信息、離散信息、半連續(xù)信息等。描述信息的一般原則是：要抓住“事物的運動狀態(tài)”和“狀態(tài)變化的方式”這兩個基本的環(huán)節(jié)來描述。 121

7、.2信息技術(shù)本節(jié)提示信息技術(shù)的產(chǎn)生信息技術(shù)的內(nèi)涵 13信息技術(shù)的產(chǎn)生從信息的觀點來看，人類認識世界和改造世界的過程，就是一個不斷從外部世界的客體中獲取信息，并對這些信息進行變換、傳遞、存儲、處理、比較、分析、識別、判斷、提取和輸出，最終把大腦中產(chǎn)生的決策信息反作用于外部世界的過程。現(xiàn)代人類所利用的表征性資源是信息資源，表征性的科學技術(shù)是信息科學技術(shù)，表征性的工具是智能工具。 14生理的信息過程模型 15信息技術(shù)的內(nèi)涵 信息技術(shù)是指在計算機和通信技術(shù)支持下用以獲取、加工、存儲、變換、顯示和傳輸文字、數(shù)值、圖像、視頻、音頻以及語音信息，并且包括提供設(shè)備和信息服務兩大方面的方法與設(shè)備的總稱。也有人認

8、為信息技術(shù)(Information Technology)簡單地說就是3C，Computer（計算機）、Communication （通信）和Control（控制），即 IT = Computer + Communication + Control 16 信息技術(shù)的信息過程模型 171.3信息安全概述 本節(jié)提示信息安全概念 信息安全屬性 181.3.1信息安全概念所謂信息安全就是關(guān)注信息本身的安全，而不管是否應用了計算機作為信息處理的手段。信息安全的任務是保護信息財產(chǎn)，以防止偶然的或未授權(quán)者對信息的惡意泄露、修改和破壞，從而導致信息的不可靠或無法處理等。這樣可以使得我們在最大限度地利用信息為我

9、們服務的同時而不招致?lián)p失或使損失最小。信息安全問題目前已經(jīng)涉及到人們?nèi)粘Ｉ畹母鱾€方面。 191.3.2信息安全屬性信息安全的基本屬性主要表現(xiàn)在以下幾個方面 1完整性-信息在存儲或傳輸?shù)倪^程中保持未經(jīng)授權(quán)不能改變的特性 ，防止數(shù)據(jù)被非法用戶篡改。 2保密性-信息不被泄露給未經(jīng)授權(quán)者的特性 ,保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義。 3可用性-信息可被授權(quán)者訪問并按需求使用的特性,保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^。 4不可否認性-所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾.防止用戶否認其行為，這一點在電子商務中是極其重要的。 5可控性（Controllabil

10、ity）-對信息的傳播及內(nèi)容具有控制能力的特性 信息安全的任務就是要實現(xiàn)信息的上述五種安全屬性。對于攻擊者來說，就是要通過一切可能的方法和手段破壞信息的安全屬性。201.4信息安全威脅互聯(lián)網(wǎng)安全事件黑客21互聯(lián)網(wǎng)安全事件全世界傳媒關(guān)注的美國著名網(wǎng)站被襲事件： 雅虎、亞馬遜書店、eBay、ZDNet、有線電視新聞網(wǎng)CNN ；據(jù)美國軍方的一份報告透露，在1998年內(nèi)試圖闖入五角大樓計算機網(wǎng)絡的嘗試達25萬次之多，其中60%的嘗試達到了目的；每年美國政府的計算機系統(tǒng)遭非法入侵的次數(shù)至少有30萬次之多；微軟公司承認，有黑客闖入了該公司的內(nèi)部計算機網(wǎng)絡，并獲取了正在開發(fā)中的軟件藍圖，這起攻擊對微軟影響重

11、大。22歷史數(shù)據(jù)1998年9月22日，黑客入侵某銀行電腦系統(tǒng)，將72萬元注入其戶頭，提出26萬元。為國內(nèi)首例利用計算機盜竊銀行巨款案件。1999年11月14日至17日：新疆烏魯木齊市發(fā)生首起針對銀行自動提款機的黑客案件，被盜用戶的信用卡被盜萬元。2000年3月8日：山西日報國際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊，被迫關(guān)機，這是國內(nèi)首例黑客攻擊省級黨報網(wǎng)站事件23歷史數(shù)據(jù)(續(xù))2000年3月25日：重慶某銀行儲戶的個人帳戶被非法提走5萬余元。2000年6月7日：ISS安氏(中國)在國內(nèi)以及ISP的虛擬主機上的網(wǎng)站被中國黑客所攻擊，該公司總裁為克林頓網(wǎng)絡安全顧問，而ISS為全球最大的網(wǎng)絡安全公司。2000年

12、6月11、12日：中國香港特區(qū)政府互聯(lián)網(wǎng)服務指南主頁遭到黑客入侵，服務被迫暫停。242003年我國網(wǎng)絡安全事件報告大規(guī)模蠕蟲事件SQL SLAMMER 蠕蟲口令蠕蟲Sobig：蠕蟲病毒“大無極”（）?！按鬅o極”病毒的主要危害是亂發(fā)郵件，郵件內(nèi)容的一部分來自被感染機器中的資料，因此有可能泄漏用戶的機密文件，特別是對利用局域網(wǎng)辦公的企事業(yè)單位。 252003年我國網(wǎng)絡安全事件報告嚴重的拒絕服務攻擊事件（主觀控制）: 對信息或其他資源的合法訪問被無條件地阻止。 3月底，某亞洲地區(qū)業(yè)務量排名第二的商業(yè)網(wǎng)站受到有組織持續(xù)性拒絕服務攻擊5月14日，某市政府信息網(wǎng)絡遭攻擊，癱瘓8小時以上5月19日，某省信息

13、港網(wǎng)站受到拒絕服務攻擊，網(wǎng)絡業(yè)務受到重大影響。5月23日，某省廣播電視網(wǎng)遭有組織拒絕服務攻擊6月底，某著名政府新聞網(wǎng)站遭攻擊事件7月，博客中國遭攻擊事件8月，中國互聯(lián)網(wǎng)協(xié)會網(wǎng)站遭攻擊事件26篡改主頁事件2003年1月1日至5月20日，我國大陸地區(qū)有150個網(wǎng)頁被篡改，其中政府網(wǎng)站87；臺、港有534和60個5月19日，我國某市政府30個政府網(wǎng)頁被篡改后門事件5月發(fā)現(xiàn)境內(nèi)38603臺主機運行有Remote Admin程序攻擊企圖截止到2003年6月30日，通過互聯(lián)網(wǎng)對我國發(fā)起的攻擊次數(shù)近70萬次2003年1月1日至8月29日，投訴7451起27網(wǎng)絡安全成為全球化的問題2000年2月Yahoo!等

14、被攻擊案件2001年8月紅色代碼事件2001年9月尼姆達事件2003年1月SQL SLAMMER事件2003年3月口令蠕蟲事件2003年3月紅色代碼F變種事件2003年8月“沖擊波”蠕蟲事件28網(wǎng)絡安全威脅國家基礎(chǔ)設(shè)施安全漏洞危害在增大信息對抗的威脅在增加電力交通醫(yī)療金融工業(yè)廣播控制通訊因特網(wǎng)29安全威脅所謂的信息安全威脅就是指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險。攻擊就是對安全威脅的具體體現(xiàn)。雖然人為因素和非人為因素都可以對通信安全構(gòu)成威脅，但是精心設(shè)計的人為攻擊威脅最大。30常見的安全威脅 1信息泄露：信息被泄露或透露給某個非授權(quán)的實體。2破壞信息

15、的完整性：數(shù)據(jù)被非授權(quán)地進行增刪、修改或破壞而受到損失。3拒絕服務：對信息或其它資源的合法訪問被無條件地阻止。4非法使用（非授權(quán)訪問）：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。5竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信線路中傳輸?shù)男盘栠M行搭線監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。6業(yè)務流分析：通過對系統(tǒng)進行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進行研究，從而發(fā)現(xiàn)有價值的信息和規(guī)律。 7假冒：通過欺騙通信系統(tǒng)（或用戶）達到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目

16、的。黑客大多是采用假冒攻擊。31常見的安全威脅(續(xù))8旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應保密，但是卻又暴露出來的一些系統(tǒng)“特性”。利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。9授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其它非授權(quán)的目的，也稱作“內(nèi)部攻擊”。10特洛伊木馬：軟件中含有一個察覺不出的或者無害的程序段，當它被執(zhí)行時，會破壞用戶的安全。這種應用程序稱為特洛伊木馬（Torojan Horse）。11陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機關(guān)”，使得當提供特定的輸入數(shù)據(jù)

17、時，允許違反安全策略。12抵賴：這是一種來自用戶的攻擊，比如：否認自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。13重放：所截獲的某次合法的通信數(shù)據(jù)拷貝，出于非法的目的而被重新發(fā)送。32常見的安全威脅(續(xù))14計算機病毒：所謂計算機病毒，是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害的功能程序。一種病毒通常含有兩個功能：一種功能是對其它程序產(chǎn)生“感染”；另外一種或者是引發(fā)損壞功能，或者是一種植入攻擊的能力。它造成的危害主要表現(xiàn)在以下幾個方面：格式化磁盤，致使信息丟失；刪除可執(zhí)行文件或者數(shù)據(jù)文件；破壞文件分配表，使得無法讀用磁盤上的信息；修改或破壞文件中的數(shù)據(jù)；改變磁盤分配，造成數(shù)據(jù)寫入錯誤；病

18、毒本身迅速復制或磁盤出現(xiàn)假“壞”扇區(qū)，使磁盤可用空間減少；影響內(nèi)存常駐程序的正常運行；在系統(tǒng)中產(chǎn)生新的文件；更改或重寫磁盤的卷標等。計算機病毒是對軟件、計算機和網(wǎng)絡系統(tǒng)的最大威脅。隨著網(wǎng)絡化，特別是Internet的發(fā)展，大大加速了病毒的傳播。計算機病毒的潛在破壞力極大，正在成為信息戰(zhàn)中的一種新式進攻武器。33常見的安全威脅(續(xù))15人員不慎：一個授權(quán)的人為了錢或利益，或由于粗心，將信息泄露給一個非授權(quán)的人。16媒體廢棄：信息被從廢棄的磁的或打印過的存儲介質(zhì)中獲得。17物理侵入：侵入者通過繞過物理控制而獲得對系統(tǒng)的訪問；18竊取：重要的安全物品，如令牌或身份卡被盜；19業(yè)務欺騙：某一偽系統(tǒng)或系

19、統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息。34常見的安全威脅(續(xù))對于信息系統(tǒng)來說威脅可以是針對物理環(huán)境、通信鏈路、網(wǎng)絡系統(tǒng)、操作系統(tǒng)、應用系統(tǒng)以及管理系統(tǒng)等方面。物理安全威脅是指對系統(tǒng)所用設(shè)備的威脅。 自然災害 ,電源故障 ,操作系統(tǒng)引導失敗或數(shù)據(jù)庫信息丟失、設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄露 通信鏈路安全威脅 傳輸線路上安裝竊聽裝置或?qū)νㄐ沛溌愤M行干擾 35常見的安全威脅(續(xù))網(wǎng)絡安全威脅 互聯(lián)網(wǎng)的開放性、國際性與無安全管理性，對內(nèi)部網(wǎng)絡形成嚴重的安全威脅 操作系統(tǒng)安全威脅 對系統(tǒng)平臺最危險的威脅是在系統(tǒng)軟件或硬件芯片中的植入威脅，如“木馬”和“陷阱門”。 如BIOS有萬能密碼 .應

20、用系統(tǒng)安全威脅是指對于網(wǎng)絡服務或用戶業(yè)務系統(tǒng)安全的威脅。也受到“木馬”和“陷阱門”的威脅 .管理系統(tǒng)安全威脅 必須從人員管理上杜絕安全漏洞。 “安全是相對的，不安全才是絕對的” .36在因特網(wǎng)上，有一群曾經(jīng)年輕和仍然年輕的、最神秘莫測、最富于傳奇色彩的人物，人們通常把他們稱為“黑客”37“頭號電腦黑客”凱文 米特尼克Kevin Mitnick1964年出生。3歲父母離異，致性格內(nèi)向、沉默寡言。4歲玩游戲達到專家水平。13歲喜歡上無線電活動，開始與世界各地愛好者聯(lián)絡。編寫的電腦程序簡潔實用、傾倒教師。15歲闖入“北美空中防務指揮系統(tǒng)”主機，翻閱了美國所有的核彈頭資料、令大人不可置信。不久破譯了美

21、國“太平洋 公司”某地的改戶密碼，隨意更改用戶的 號碼。并與中央聯(lián)邦調(diào)查局的特工惡作劇。被電腦信息跟蹤機發(fā)現(xiàn)第一次被逮捕38“頭號電腦黑客”凱文 米特尼克Kevin Mitnick出獄后，又連續(xù)非法修改多家公司電腦的財務帳單。1988年再次入獄，被判一年徒刑。1993年（29歲）逃脫聯(lián)邦調(diào)查局圈套。1994年向圣地亞哥超級計算機中心發(fā)動攻擊，該中心安全專家下村勉決心將其捉拿歸案。期間米特尼克還入侵了美國摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統(tǒng)，盜走各種程序和數(shù)據(jù)（價4億美金）。下村勉(日籍計算機專家 )用“電子隱形化”技術(shù)跟蹤，最后準確地從無線 中找到行跡，并抄獲其住處

22、電腦39“頭號電腦黑客”凱文 米特尼克Kevin Mitnick1995年2月被送上法庭，“到底還是輸了”。2000年1月出獄，3年內(nèi)被禁止使用電腦、手機及互聯(lián)網(wǎng)。40羅伯特泰潘莫里斯1965年生，父為貝爾實驗室計算機安全專家。從小對電腦興趣，有自己賬號。初中時（16歲）發(fā)現(xiàn)UNIX漏洞，獲取實驗室超級口令并提醒其父。1983年入哈佛大學，一年級改VAX機為單用戶系統(tǒng)?？梢砸贿B幾個小時潛心閱讀2000多頁的UNIX手冊，是學校里最精通UNIX的人。學校為他設(shè)專線。1988年成為康奈爾大學研究生，獲“孤獨的才華橫溢的程序?qū)＜摇狈Q號。 美國人，是第一個散布在互聯(lián)網(wǎng)的電腦病毒作者，被譽為“病毒之母”

23、 現(xiàn)為麻省理工學院副教授 41羅伯特泰潘莫里斯1988年10月試圖編寫一個無害病毒，要盡可能染開。11月2日“莫里斯蠕蟲”病毒開始擴散，但一臺臺機器陷入癱瘓”，造成約6000個系統(tǒng)癱瘓，給這些用戶總共帶來約200萬到6000萬美元的損失。10%互聯(lián)網(wǎng)上的主機受影響，莫里斯受到控告，被判3年緩刑、1萬元罰金和400小時的社區(qū)服務，也停頓了康奈爾大學的學習。42什么是黑客 ？黑客（hacker）是那些檢查（網(wǎng)絡）系統(tǒng)完整性和安全性的人，他們通常非常精通計算機硬件和軟件知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)?！昂诳汀蓖ǔふ揖W(wǎng)絡中漏洞，但是往往并不去破壞計算機系統(tǒng)。 入侵者（Cracker）只不過

24、是那些利用網(wǎng)絡漏洞破壞網(wǎng)絡的人，他們往往會通過計算機系統(tǒng)漏洞來入侵，他們也具備廣泛的電腦知識，但與黑客不同的是他們以破壞為目的?，F(xiàn)在hacker和Cracker已經(jīng)混為一談，人們通常將入侵計算機系統(tǒng)的人統(tǒng)稱為黑客.43黑客守則不惡意破壞任何系統(tǒng),這樣做只會給你帶來麻煩。惡意破壞它人的軟件或系統(tǒng)將導致法律刑責,如果你只是使用電腦,那僅為非法使用絕不修改任何系統(tǒng)文件,除非你認為有絕對把握的文件，或者有絕對的必要。不要將你已破解的任何信息與人分享，除非此人絕對可以信賴。當你發(fā)送相關(guān)信息到BBS時，對于你當前所做的黑事盡可能說的含糊一些，以避免BBS受到警告。在BBS上Post文章的時候不要使用真名和

25、真實的 號碼。44黑客守則如果你黑了某個系統(tǒng)，絕不要留下任何蛛絲馬跡。不要侵入或破壞政府機關(guān)的主機。不在家庭 中談論你Hack的任何事情。將你的黑客資料放在安全的地方。想真正成為黑客，你必須真槍實彈去做黑客應該做的事情。你不能僅僅靠坐在家里讀些黑客之類的文章或者從BBS中扒點東西，就能成為黑客，這不是黑客的真正含義45黑客入侵和破壞的危險黑客在網(wǎng)上的攻擊活動每年以十倍速增長。修改網(wǎng)頁進行惡作劇、竊取網(wǎng)上信息興風作浪。非法進入主機破壞程序、阻塞用戶、竊取密碼。串入銀行網(wǎng)絡轉(zhuǎn)移金錢、進行電子郵件騷擾。黑客可能會試圖攻擊網(wǎng)絡設(shè)備，使網(wǎng)絡設(shè)備癱瘓他們利用網(wǎng)絡安全的脆弱性，無孔不入！美國每年因黑客而造成

26、的經(jīng)濟損失近百億美元46被黑的WEB頁面47黑客站點INTERNET 上有超過30,000 個黑客站點：黑客咨詢站 :/黑暗魔域 黑客專家 :/黑客工作室 :/中國紅客 黑客俱樂部 :/48如何成為一名黑客黑客的態(tài)度（黑客技術(shù)與網(wǎng)絡安全書）做一名黑客有很多樂趣，但卻是些要費很多氣力方能得到的樂趣，這些努力需要動力。一個問題不應該被解決兩次（共享信息）黑客們應該從來不會被愚蠢的重復性勞動所困擾黑客們是天生的反權(quán)威主義者。態(tài)度不能替代能力49如何成為一名黑客對操作系統(tǒng)有深入的研究得到一個開放源碼的Unix并學會使用、運行熟悉網(wǎng)絡協(xié)議，特別是精通TCP/IP協(xié)議學習如何編程Python, C, Pe

27、rl, and LISP學會如何使用WWW和寫HTML收集相關(guān)系統(tǒng)漏洞，對已知漏洞的分析能幫助發(fā)現(xiàn)新漏洞和提高防護能力501.5信息安全的實現(xiàn)一個完整的信息安全系統(tǒng)至少包含三類措施：技術(shù)方面的安全措施，管理方面的安全措施和相應的政策法律。 信息安全技術(shù)涉及到信息傳輸?shù)陌踩?、信息存儲的安全以及對網(wǎng)絡傳輸信息內(nèi)容的審計三方面，當然也包括對用戶的鑒別和授權(quán)。 51信息安全的實現(xiàn)本節(jié)提示信息安全技術(shù)信息安全管理信息安全與法律52信息安全技術(shù)1信息加密信息加密使有用的信息變?yōu)榭瓷先o用的亂碼，攻擊者無法讀懂信息的內(nèi)容從而保護信息。信息加密是保障信息安全的最基本、最核心的技術(shù)措施和理論基礎(chǔ)。信息加密也是現(xiàn)

28、代密碼學主要組成部分。 在實際應用中，人們通常是將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。 53信息安全技術(shù)(續(xù))2數(shù)字簽名數(shù)字簽名機制決定于兩個過程：簽名過程 簽名過程是利用簽名者的私有信息作為秘密鑰，或?qū)?shù)據(jù)單元進行加密或產(chǎn)生該數(shù)據(jù)單元的密碼校驗值；驗證過程 驗證過程是利用公開的規(guī)程和信息來確定簽名是否是利用該簽名者的私有信息產(chǎn)生的。54信息安全技術(shù)-數(shù)字簽名傳統(tǒng)簽名的基本特點:能與被簽的文件在物理上不可分割簽名者不能否認自己的簽名簽名不能被偽造容易被驗證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:能與所簽文件“綁定”簽名者不能否認自

29、己的簽名簽名不能被偽造容易被自動驗證55數(shù)字簽名分類以安全性分無條件安全的數(shù)字簽名計算上安全的數(shù)字簽名以可簽名次數(shù)分一次性的數(shù)字簽名多次性的數(shù)字簽名56信息安全技術(shù)(續(xù))3數(shù)據(jù)完整性數(shù)據(jù)完整性保護用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務，當信息源的完整性可以被驗證卻無法模仿時，收到信息的一方可以認定信息的發(fā)送者，數(shù)字簽名就可以提供這種手段。57信息安全技術(shù)(續(xù))4身份鑒別鑒別是信息安全的基本機制，通信的雙方之間應互相認證對方的身份，以保證賦予正確的操作權(quán)力和數(shù)據(jù)的存取控制。網(wǎng)絡也必須認證用戶的身份，以保證合法的用戶進行正確的操作并進行

30、正確的審計。通常有三種方法驗證主體身份。一是只有該主體了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主題具有的獨一無二的特征或能力，如指紋、聲音、視網(wǎng)膜或簽字等。58信息安全技術(shù)-訪問控制5訪問控制訪問控制的目的是防止對信息資源的非授權(quán)訪問和非授權(quán)使用信息資源。它允許用戶對其常用的信息庫進行適當權(quán)利的訪問，限制他隨意刪除、修改或拷貝信息文件。訪問控制技術(shù)還可以使系統(tǒng)管理員跟蹤用戶在網(wǎng)絡中的活動，及時發(fā)現(xiàn)并拒絕“黑客”的入侵。訪問控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時，根據(jù)每個用戶的任務特點使其獲得完成自身任務的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。59

31、信息安全技術(shù)-安全數(shù)據(jù)庫6安全數(shù)據(jù)庫數(shù)據(jù)庫系統(tǒng)有數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)兩部分組成。保證數(shù)據(jù)庫的安全主要在數(shù)據(jù)庫管理系統(tǒng)上下功夫，其安全措施在很多方面多類似于安全操作系統(tǒng)中所采取的措施。安全數(shù)據(jù)庫的基本要求可歸納為：數(shù)據(jù)庫的完整性（物理上的完整性、邏輯上的完整性和庫中元素的完整性）、數(shù)據(jù)的保密性（用戶身份識別、訪問控制和可審計性）、數(shù)據(jù)庫的可用性（用戶界面友好，在授權(quán)范圍內(nèi)用戶可以簡便地訪問數(shù)據(jù)）。60信息安全技術(shù)-網(wǎng)絡控制技術(shù)7網(wǎng)絡控制技術(shù)防火墻技術(shù)：它是一種允許接入外部網(wǎng)絡，但同時有能夠識別和抵抗非授權(quán)訪問的安全技術(shù)。防火墻扮演的是網(wǎng)絡中“交通警察”角色，指揮網(wǎng)上信息合理有序地安全流動，同時

32、也處理網(wǎng)上的各類“交通事故”。防火墻可分為外部防火墻和內(nèi)部防火墻。前者在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立起一個保護層，從而防止“黑客”的侵襲，其方法是監(jiān)聽和限制所有進出通信，擋住外來非法信息并控制敏感信息被泄露；后者將內(nèi)部網(wǎng)絡分隔成多個局域網(wǎng)，從而限制外部攻擊造成的損失。61信息安全技術(shù)-網(wǎng)絡控制技術(shù)(續(xù))入侵檢測技術(shù)：掃描當前網(wǎng)絡的活動，監(jiān)視和記錄網(wǎng)絡的流量，根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。大多數(shù)的入侵監(jiān)測系統(tǒng)可以提供關(guān)于網(wǎng)絡流量非常詳盡的分析。 62信息安全技術(shù)-網(wǎng)絡控制技術(shù)(續(xù))安全協(xié)議：整個網(wǎng)絡系統(tǒng)的安全強度實際上取決于所使用的安全協(xié)議的安全性。安全協(xié)議的設(shè)計和

33、改進有兩種方式：對現(xiàn)有網(wǎng)絡協(xié)議（如TCP/IP）進行修改和補充；在網(wǎng)絡應用層和傳輸層之間增加安全子層，如安全協(xié)議套接字層（SSL），安全超文本傳輸協(xié)議（SHTTP）和專用通信協(xié)議（PCP）。安全協(xié)議實現(xiàn)身份鑒別、密鑰分配、數(shù)據(jù)加密、防止信息重傳和不可否認等安全機制。63信息安全技術(shù)-反病毒技術(shù)8反病毒技術(shù)由于計算機機病毒具有傳染的泛濫性、病毒侵害的主動性、病毒程序外形檢測的難以確定性、病毒行為判定的難以確定性、非法性與隱蔽性、衍生性、衍生體的不等性和可激發(fā)性等特性，所以必須花大力氣認真加以對付。實際上計算機病毒研究已經(jīng)成為計算機安全學的一個極具挑戰(zhàn)性的重要課題，作為普通的計算機用戶，雖然沒有必

34、要去全面研究病毒和防止措施，但是養(yǎng)成“衛(wèi)生”的工作習慣并在身邊隨時配備新近的殺毒工具軟件是完全必要的。64信息安全技術(shù)-安全審計9安全審計安全審計是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)，通過對一些重要的事件進行記錄，從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。安全審計是一種很有價值的安全機制，可以通過事后的安全審計來檢測和調(diào)查安全策略執(zhí)行的情況以及安全遭到破壞的情況。安全審計需要記錄與安全有關(guān)的信息，通過指明所記錄的與安全有關(guān)的事件的類別，安全審計跟蹤信息的收集可以適應各種安全需要。審計技術(shù)是信息系統(tǒng)自動記錄下機器的使用時間、敏感操作和違紀操作等。審計類似于飛機上的“黑匣子”，

35、它為系統(tǒng)進行事故原因查詢、定位、事故發(fā)生前的預測、報警以及為事故發(fā)生后的實時處理提供詳細可靠的依據(jù)或支持。審計對用戶的正常操作也有記載，因為往往有些“正常”操作（如修改數(shù)據(jù)等）恰恰是攻擊系統(tǒng)的非法操作。安全審計信息應具有防止非法刪除和修改的措施。安全審計跟蹤的存在可以對潛在的安全攻擊源的攻擊起到威懾作用。65信息安全技術(shù)-業(yè)務填充10業(yè)務填充所謂的業(yè)務填充即使在業(yè)務閑時發(fā)送無用的隨機數(shù)據(jù)，增加攻擊者通過通信流量獲得信息的困難，是一種制造假的通信、產(chǎn)生欺騙性數(shù)據(jù)單元或在數(shù)據(jù)單元中產(chǎn)生數(shù)據(jù)的安全機制。該機制可用于提供對各種等級的保護，用來防止對業(yè)務進行分析，同時也增加了密碼通訊的破譯難度。發(fā)送的隨

36、機數(shù)據(jù)應具有良好的模擬性能，能夠以假亂真。該機制只有在業(yè)務填充受到保密性服務時才有效。66信息安全技術(shù)-路由控制機制11路由控制機制 路由控制機制可使信息發(fā)送者選擇特殊的路由，以保證連接、傳輸?shù)陌踩?。其基本功能為?（1）路由選擇 路由可以動態(tài)選擇，也可以預定義，以便只用物理上安全的子網(wǎng)、中繼或鏈路進行連接和/或傳輸； （2）路由連接 在監(jiān)測到持續(xù)的操作攻擊時，端系統(tǒng)可能同網(wǎng)絡服務提供者另選路由，建立連接； （3）安全策略 攜帶某些安全標簽的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼或鏈路。連接的發(fā)起者可以提出有關(guān)路由選擇的警告，要求回避某些特定的子網(wǎng)、中繼或鏈路進行連接和/或傳輸。67信息安全

37、技術(shù)-公證機制 12公證機制公證機制是在兩個或多個實體間進行通信的數(shù)據(jù)的性能，如完整性、來源、時間和目的地等，可有公證機構(gòu)加以保證，這種保證由第三方公證者提供。公證者能夠得到通信實體的信任并掌握必要的信息，用可以證實的方式提供所需要的保證。通信實體可以采用識字簽名、加密和完整性機制以適應公證者提供的服務。在用到這樣一個公證機制時，數(shù)據(jù)便經(jīng)由受保護的通信實體和公證者在各通信實體之間進行通信。公證機制主要支持抗抵賴服務。681.5.2 信息安全管理專家指出信息安全是“七分管理，三分技術(shù)” 為實現(xiàn)安全管理，應有專門的安全管理機構(gòu)；有專門的安全管理人員；有逐步完善的管理制度；有逐步提供的安全技術(shù)設(shè)施。信息安全管理主要涉及以下幾個方面：人事管理；設(shè)備管理；場地管理；存儲媒體管理；軟件管理；網(wǎng)絡管理；密碼和密鑰管理。691.5.3 信息安全與法律政策上:完備的法律法規(guī)和安全標準技術(shù)上:計算機網(wǎng)絡和信息安全的體系結(jié)構(gòu)70我國的信息安全相關(guān)法規(guī)國內(nèi)的相關(guān)法規(guī)中華人民共和國計算機安全保護條例中華人民共和國商用密碼條例中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)