《信息安全》信息安全概述

信息安全概述概述信息化社會，計算機(jī)網(wǎng)絡(luò)在政治軍事，金融，商業(yè)，交通，電信，文教等方面的作用日益增大，社會對計算機(jī)網(wǎng)絡(luò)的依賴也日益提高，人類社會的一些機(jī)密和財富高度集中于計算機(jī)中。Internet的出現(xiàn)，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。隨著網(wǎng)絡(luò)上各種新興業(yè)務(wù)的興起，例如，網(wǎng)上購物、網(wǎng)上炒股、視頻會議、遠(yuǎn)程教育，電子政務(wù)、網(wǎng)絡(luò)銀行、數(shù)字圖書館，以及各種專用網(wǎng)絡(luò)的建設(shè)，使網(wǎng)絡(luò)與信息安全問題受到了前所未有的關(guān)注和重視。概述網(wǎng)絡(luò)與信息系統(tǒng)的開放性，和潛藏的商業(yè)經(jīng)濟(jì)軍事利益，給網(wǎng)絡(luò)黑客、計算機(jī)犯罪人員，國外敵對勢力和恐怖分子等創(chuàng)造了大量可乘之機(jī)?？植婪肿?、犯罪集團(tuán)也在利用網(wǎng)絡(luò)組織和實施恐怖犯罪活動。黑客組織直接以網(wǎng)絡(luò)為目標(biāo)進(jìn)行惡意攻擊，敵對勢力對意識形態(tài)領(lǐng)域的滲透和對政府、軍隊秘密信息的竊取，給國家主權(quán)、國家安全，和社會穩(wěn)定帶來極大的威脅。概述更令人擔(dān)憂的是，我國信息化規(guī)模的高速發(fā)展是建立在大規(guī)模引進(jìn)國外新興信息技術(shù)基礎(chǔ)之上，中央處理器和操作系統(tǒng)幾乎完全建立在美國公司產(chǎn)品的基礎(chǔ)上。在大型設(shè)備和通信設(shè)備方面，運(yùn)行在其上的系統(tǒng)軟件、支撐軟件也大多數(shù)是國外的產(chǎn)品，一旦我們所依賴的國外核心技術(shù)得不到保證，或存在嚴(yán)重的安全隱患，勢必對我國的信息安全和國家安全造成嚴(yán)重后果。因此，對信息安全知識和動態(tài)的學(xué)習(xí)和研究無論是對個人、企業(yè)還是國家都是非常必要的。1.1現(xiàn)實中的信息安全問題

1.1.1信息安全與國家政治1.1.2網(wǎng)絡(luò)部隊與軍事戰(zhàn)爭1.1.3信息安全與經(jīng)濟(jì)金融1.1.4信息安全與個人隱私及企業(yè)機(jī)密1.1.1信息安全與國家政治【案例】斯諾登與“棱鏡門”事件【案例】斯諾登與“棱鏡門”事件

2013年6月，前中情局（CIA）職員愛德華·斯諾登將兩份絕密資料交給英國《衛(wèi)報》和美國《華盛頓郵報》，該資料稱美國國家安全局有一項代號為"棱鏡"（PRISM）的秘密項目，是一項由美國國家安全局（NSA）自2007年起開始實施的絕密電子監(jiān)聽計劃。該項目要求電信巨頭威瑞森公司必須每天上交數(shù)百萬用戶的通話記錄。美國國家安全局和聯(lián)邦調(diào)查局還通過進(jìn)入微軟、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、蘋果九大網(wǎng)絡(luò)巨頭的服務(wù)器，監(jiān)控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。個人隱私VS國家安全報道刊出后外界嘩然。保護(hù)公民隱私組織予以強(qiáng)烈譴責(zé)，抗議這些項目都侵犯了公民基本權(quán)利。斯諾登也稱，他是出于對隱私權(quán)的擔(dān)心才采取爆料行為的。他表示：“我不想生活在一個做那些事情的社會里，我不想生活在一言一行都被記錄的世界里?！倍鴬W巴馬表示棱鏡項目在防止恐怖襲擊方面發(fā)揮了重要作用，至少有50起恐怖圖謀是因為“棱鏡”監(jiān)控項目的存在而破產(chǎn)的。他說：“很重要的一點，是要認(rèn)識到你不可能有百分之百的安全，也不可能有百分之百的隱私?！痹诨ヂ?lián)網(wǎng)時代的今天，“棱鏡”給政府、企業(yè)及個人上了一堂現(xiàn)實版的信息諜戰(zhàn)課。1.1.2信息安全與軍事戰(zhàn)爭未來網(wǎng)絡(luò)空間將成為國家間競爭和博弈的新戰(zhàn)場。從2010年開始，就已出現(xiàn)國家間網(wǎng)絡(luò)空間安全對抗的態(tài)勢。網(wǎng)絡(luò)安全已成為一個國際性問題，“網(wǎng)絡(luò)軍事化”已漸漸走到臺前來。五大戰(zhàn)爭領(lǐng)域無處不在的網(wǎng)絡(luò)甚至成了無所不能的代表。整個地球變成了一個巨大的網(wǎng)絡(luò)空間。網(wǎng)絡(luò)部隊2009年6月，美國創(chuàng)建網(wǎng)絡(luò)戰(zhàn)司令部，對美軍現(xiàn)有的網(wǎng)絡(luò)作戰(zhàn)力量進(jìn)行整合，是一個將空間、信息對抗和進(jìn)攻打擊能力有機(jī)結(jié)合在一起執(zhí)行空間和全球打擊、全球范圍內(nèi)防止大規(guī)模殺傷性武器擴(kuò)散等任務(wù)的一個機(jī)構(gòu)。網(wǎng)絡(luò)部隊日本自衛(wèi)隊組建“網(wǎng)絡(luò)部隊”：日本在2011年度建立了由5000人組成的“網(wǎng)絡(luò)空間防衛(wèi)隊”，研制開發(fā)的網(wǎng)絡(luò)作戰(zhàn)“進(jìn)攻武器”和網(wǎng)絡(luò)防御系統(tǒng)，目前已經(jīng)具備了較強(qiáng)的網(wǎng)絡(luò)進(jìn)攻作戰(zhàn)實力。韓國軍方于2010年成立網(wǎng)絡(luò)司令部，韓國軍方表示是為了積極應(yīng)對朝軍的網(wǎng)絡(luò)戰(zhàn)威脅和執(zhí)行未來網(wǎng)絡(luò)戰(zhàn)任務(wù)，韓國軍方要達(dá)到美國網(wǎng)絡(luò)部隊作戰(zhàn)的水平。伊朗網(wǎng)絡(luò)部隊終于“露臉”。據(jù)悉，美國國防部下屬的機(jī)構(gòu)“防御科技局”，將伊朗列為世界上五個最厲害的黑客國家之一。

英國擬建英版網(wǎng)絡(luò)司令部。英國政府官員多次強(qiáng)調(diào)英軍加強(qiáng)應(yīng)對網(wǎng)絡(luò)戰(zhàn)的必要性。戴維·卡梅倫政府宣布投入額外6.5億英鎊(約合10億美元)用于保障國家網(wǎng)絡(luò)安全、發(fā)展軍事電子防務(wù)。印度招募黑客組建網(wǎng)絡(luò)部隊。印度投入大量人力物力，力求在網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、芯片技術(shù)以及操作系統(tǒng)方面自成體系。俄羅斯2002年推出《俄聯(lián)邦信息安全學(xué)說》，將網(wǎng)絡(luò)信息戰(zhàn)比作未來的“第六代戰(zhàn)爭”。俄羅斯已經(jīng)擁有了眾多的網(wǎng)絡(luò)精英，反病毒技術(shù)更是走在了世界的前列，在遇到威脅或有需要時，這些人才和技術(shù)將能很快地轉(zhuǎn)入軍事用途。以色列在1998年就將成功入侵美國國防部的青年招入部隊，并開始加大對網(wǎng)絡(luò)作戰(zhàn)的研究力度。在巴以沖突、黎以沖突中，以色列利用網(wǎng)絡(luò)進(jìn)攻的方式篡改網(wǎng)頁、攻擊電視臺，以達(dá)到影響輿論導(dǎo)向的目的；侵入軍方電腦竊取機(jī)密，以確定火力打擊的重點目標(biāo)和精確坐標(biāo)；阻斷敵人通信指揮系統(tǒng)，以掌握最佳的作戰(zhàn)時機(jī)，這一切都是以軍進(jìn)行網(wǎng)絡(luò)戰(zhàn)真實寫照。網(wǎng)絡(luò)部隊中國也已組建“網(wǎng)絡(luò)藍(lán)軍”，以捍衛(wèi)軍隊網(wǎng)絡(luò)安全。與西方國家的網(wǎng)絡(luò)戰(zhàn)部隊相比，我國的網(wǎng)絡(luò)藍(lán)軍目前處于初級階段。中國現(xiàn)在對網(wǎng)絡(luò)的依賴性越來越大，但中國沒有一臺根服務(wù)器。此外，中國網(wǎng)絡(luò)的硬件，包括很多軟件的生產(chǎn)商基本上都是美國。從這個意義上來說，中國只是計算機(jī)的“用戶”，網(wǎng)絡(luò)安全很脆弱。在這樣的環(huán)境下，中國組建一支保障網(wǎng)絡(luò)安全的部隊是十分有必要的。但在中國軍方證實“網(wǎng)絡(luò)藍(lán)軍”存在的消息后，西方媒體卻質(zhì)疑中國網(wǎng)絡(luò)藍(lán)軍有“黑客”之嫌。網(wǎng)絡(luò)戰(zhàn)爭著名軍事家詹姆斯·亞當(dāng)斯在其著作《下一場世界戰(zhàn)爭》中曾預(yù)言：在未來的戰(zhàn)爭中，計算機(jī)本身就是武器，前線無所不在，奪取作戰(zhàn)空間控制權(quán)的不是炮彈和子彈，而是計算機(jī)網(wǎng)絡(luò)里流動的比特和字節(jié)。如今，這一預(yù)言正在變成現(xiàn)實。每一次敲擊鍵盤，就等于槍擊一發(fā)子彈；每一塊CPU，就是一架戰(zhàn)略轟炸機(jī)。網(wǎng)絡(luò)戰(zhàn)爭美國第一次運(yùn)用網(wǎng)絡(luò)戰(zhàn)，可以追溯到1991年海灣戰(zhàn)爭期間。美國總統(tǒng)奧巴馬也曾承認(rèn)對伊朗核設(shè)施電腦系統(tǒng)發(fā)動過“震網(wǎng)”病毒攻擊。2008年北京奧運(yùn)會期間。一場戰(zhàn)爭卻在高加索地區(qū)爆發(fā)，“俄格沖突”中的網(wǎng)絡(luò)戰(zhàn)爭?！?/p>

1.1.3信息安全與經(jīng)濟(jì)金融信息安全是維護(hù)國家利益、保障經(jīng)濟(jì)安全、服務(wù)民生的重要基礎(chǔ)。金融信息與網(wǎng)絡(luò)安全事關(guān)金融穩(wěn)定和國家經(jīng)濟(jì)安全，一旦出現(xiàn)問題，不僅是經(jīng)濟(jì)安全問題，更是社會政治穩(wěn)定問題?！景咐啃畔踩c經(jīng)濟(jì)金融【比特幣交易站受攻擊破產(chǎn)】2014年2月，全球最大的比特幣交易平臺Mt.Gox由于交易系統(tǒng)出現(xiàn)漏洞，75萬個比特幣以及Mt.Gox自身賬號中約10萬個比特幣被竊，損失估計達(dá)到4.67億美元，被迫宣布破產(chǎn)。這一事件凸顯了互聯(lián)網(wǎng)金融在網(wǎng)絡(luò)安全威脅面前的脆弱性?！緮y程漏洞事件】2014年3月22日，有安全研究人員在第三方漏洞收集平臺上報了一個題目為“攜程安全支付日志可遍歷下載導(dǎo)致大量用戶銀行卡信息泄露（包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin）”的漏洞。上報材料指出攜程安全支付日志可遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露，并稱已將細(xì)節(jié)通知廠商并且等待廠商處理中。一石激起千層浪，該漏洞立即引發(fā)了關(guān)于“電商網(wǎng)站存儲用戶信用卡等敏感信息，并存在泄漏風(fēng)險”等問題的熱議。1.1.4信息安全與個人隱私及企業(yè)機(jī)密

隱私權(quán)作為一種基本人格權(quán)利，是指自然人享有的私人生活安寧與私人信息秘密依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、收集、利用和公開的一種人格權(quán)，而且權(quán)利主體對他人在何種程度上可以介入自己的私生活，對自己是否向他人公開隱私以及公開的范圍和程度等具有決定權(quán)。信息社會中，大量的個人信息、企業(yè)數(shù)據(jù)在網(wǎng)聯(lián)網(wǎng)中輸入，存儲，傳遞，由于自己的疏忽或別有用心的個人或組織的惡意蓄謀導(dǎo)致了大量的個人隱私、企業(yè)數(shù)據(jù)泄露的安全事件，給個人或企業(yè)帶來巨大的損失?！景咐總€人隱私、企業(yè)數(shù)據(jù)泄露【索尼影業(yè)公司被黑客攻擊】2014年12月，索尼影業(yè)公司被黑客攻擊。攝制計劃、明星隱私、未發(fā)表的劇本等敏感數(shù)據(jù)都被黑客竊取，并逐步公布在網(wǎng)絡(luò)上，甚至包括到索尼影業(yè)員工的個人信息。預(yù)計索尼影業(yè)損失高達(dá)1億美元，僅次于2011年被黑客攻擊的損失?！?2306用戶數(shù)據(jù)泄露含身份證及密碼信息】2014年12月25日，烏云漏洞報告平臺報告稱，大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳，內(nèi)容包括用戶帳號、明文密碼、身份證號碼、手機(jī)號碼和電子郵箱等。這次事件是黑客首先通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄露的用戶名和密碼信息，然后通過撞庫的方式利用12306的安全機(jī)制的缺欠來獲取了這13萬多條用戶數(shù)據(jù)。【案例500萬谷歌賬戶信息被泄露】2014年9月，大約有500萬谷歌的賬戶和密碼的數(shù)據(jù)庫被泄露給一家俄羅斯互聯(lián)網(wǎng)網(wǎng)絡(luò)安全論壇。這些用戶大多使用了Gmail郵件服務(wù)和美國互聯(lián)網(wǎng)巨頭的其他產(chǎn)品?！景咐袊爝f1400萬信息泄露】2014年4月，國內(nèi)某黑客對國內(nèi)兩個大型物流公司的內(nèi)部系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊，非法獲取快遞用戶個人信息1400多萬條，并出售給不法分子。而有趣的是，該黑客販賣這些信息僅獲利1000元。根據(jù)媒體報道，該黑客僅是一名22歲的大學(xué)生，正在某大學(xué)計算機(jī)專業(yè)讀大學(xué)二年級。1.1現(xiàn)實中的信息安全問題

總結(jié)通過以上從國家、政治、經(jīng)濟(jì)、隱私等方面出現(xiàn)的信息安全案例，我們發(fā)現(xiàn)網(wǎng)絡(luò)安全已經(jīng)不是新問題。影響著大到國家安全，社會穩(wěn)定，小至個人財產(chǎn)損失、個人隱私泄露等方方面面。我們應(yīng)該清醒的認(rèn)識到：中國的信息安全在以思科為代表的美國“八大金剛”（思科、IBM、Google、高通、英特爾、蘋果、Oracle、微軟）面前形同虛設(shè)。在我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)方面，思科占據(jù)了70%以上的份額，并占據(jù)著所有超級核心節(jié)點。而微軟、Google和蘋果則掌握了中國的操作系統(tǒng)份額，微軟是office辦公軟件領(lǐng)域絕對的老大，在國內(nèi)也是出于統(tǒng)治地位。反觀中國企業(yè)在美國的遭遇，典型的華為和中興始終無法打開美國市場主要因為網(wǎng)絡(luò)安全問題的隱憂。美國眾議院情報委員會發(fā)表報告稱，美國電信運(yùn)營商不應(yīng)和華為、中興兩家公司進(jìn)行合作，因為這兩家公司“可能對美國國家安全構(gòu)成威脅”。1.2信息安全概念及內(nèi)涵從本質(zhì)上講，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)上存在的安全問題及解決方案，屬于信息安全的一部分。它是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連接可靠、正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。廣義上講,凡是涉及到網(wǎng)絡(luò)上信息保密性、完整性、可用性、可控性、不可否認(rèn)性、真實性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。1.2.1信息安全概念

可用性

可用性是指信息可被合法用戶訪問并能按要求順序使用的特性，即在需要時就可以取用所需的信息?！乐袛鄼C(jī)密性

能夠確保敏感或機(jī)密數(shù)據(jù)的傳輸和存儲不遭受非授權(quán)的個人和實體的瀏覽或使用，甚至可以做到不暴露保密通信的事實。——防泄密完整性

能夠保障被傳輸、接收或存儲的數(shù)據(jù)是未被篡改、未被破壞、未被插入、未延遲、未亂序和未丟失的，在被篡改的情況下能夠發(fā)現(xiàn)篡改的事實或者篡改的位置。

——防篡改非否認(rèn)性

能夠保證信息系統(tǒng)的操作者或信息的處理者不能否認(rèn)其行為或者處理結(jié)果，這可以防止參與某次操作或通信的一方事后否認(rèn)該事件曾發(fā)生過。非否認(rèn)性可以防止抵賴，交易中非常重要的環(huán)節(jié)。如電子商務(wù)中電子合同和電子郵件?！赖仲囌鎸嵭?/p>

真實性也稱可認(rèn)證性，能夠確保實體（如人、進(jìn)程或系統(tǒng)）身份或信息、信息來源的真實性，特別是身份識別。

——防詐騙可控性

能夠保證掌握和控制信息與信息系統(tǒng)的基本情況，可對信息和信息系統(tǒng)的使用實施可靠的授權(quán)、審計、責(zé)任認(rèn)定、傳播源追蹤和監(jiān)管等控制?！朗Э?/p>

合法性

從事信息活動，特別是互聯(lián)網(wǎng)上信息活動必須符合國家的法律法規(guī)?！婪阜?.2.1信息安全概念信息安全工作的目的：1.2.2信息安全研究的發(fā)展通信保密

信息安全的初級階段，人們似乎更關(guān)注信息通信的機(jī)密性，通常采用一些簡單的替代或置換來保護(hù)信息。信息安全

這一階段的信息安全包括在信息系統(tǒng)的物理層、運(yùn)行層，以及對信息自身的保護(hù)（數(shù)據(jù)層）及攻擊（內(nèi)容層）的層面上，所反映出的對信息自身與信息系統(tǒng)在機(jī)密性、可用性與真實性方面的保護(hù)與攻擊等內(nèi)容。信息保障

目前，國際研究前沿已將信息安全上升到信息保障的高度，提出了計算環(huán)境安全，通信網(wǎng)安全，邊界安全及安全支撐環(huán)境和條件的概念，并開始研究信息網(wǎng)絡(luò)的生存性等課題，美國國家安全局（NSA）提出了深度防御的概念，把信息安全上升到信息保障的高度，并提出了人（People）、技術(shù)(Technology)操作(Operation)三方面并舉的核心策略。1.2.3研究信息安全的必要性

網(wǎng)絡(luò)自身的脆弱性分析網(wǎng)絡(luò)信息安全威脅分析(一)網(wǎng)絡(luò)自身的脆弱性分析開放性的網(wǎng)絡(luò)環(huán)境

電磁輻射和電磁泄漏

協(xié)議和軟件本身的缺陷

操作系統(tǒng)的漏洞

(二)網(wǎng)絡(luò)信息安全威脅分析網(wǎng)絡(luò)威脅來源威脅主體類型威脅主體描述國家以國家安全為目的，由專業(yè)信息安全人員實現(xiàn)，如信息戰(zhàn)士黑客以安全技術(shù)挑戰(zhàn)為目的，主要出于安全興趣，有不同安全技術(shù)熟練程度的人員組成恐怖分子以強(qiáng)迫或恐嚇手段，企圖實現(xiàn)不當(dāng)愿望網(wǎng)絡(luò)犯罪以非法獲取經(jīng)濟(jì)利益為目的，非法進(jìn)入網(wǎng)絡(luò)系統(tǒng)，出賣信息或修改信息記錄商業(yè)競爭對手以市場競爭為目的，主要收集商業(yè)情報或損害對手的市場影響力新聞機(jī)構(gòu)以搜集新聞信息為目的，從網(wǎng)上非法獲取有關(guān)新聞事件中的人員信息或背景材料不滿的內(nèi)部工作人員以報復(fù)、泄憤為目的，破壞網(wǎng)絡(luò)安全設(shè)備或干擾系統(tǒng)運(yùn)行粗心的內(nèi)部工作人員因工作不專心或技術(shù)不熟練而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)受到危害，如誤配置、誤操作(二)網(wǎng)絡(luò)信息安全威脅分析根據(jù)威脅主體的自然屬性，主要包括自然威脅和人為威脅。自然威脅有：地震、雷擊、洪水、火災(zāi)、靜電、鼠害和電力故障等。人為威脅有：盜竊類型的威脅破壞類型的資源處理類型的威脅操作錯誤和疏忽類型的威脅(二)網(wǎng)絡(luò)信息安全威脅分析網(wǎng)絡(luò)信息安全威脅對象：物理安全威脅

網(wǎng)絡(luò)通信威脅網(wǎng)絡(luò)服務(wù)威脅網(wǎng)絡(luò)管理威脅1.3信息安全模型隨著信息安全技術(shù)的發(fā)展，信息安全行業(yè)流行著各種信息安全體系模型，比如OSI安全體系結(jié)構(gòu)、PDR安全保護(hù)模型、IATF信息保障技術(shù)框架和WPDRRC信息安全模型等。信息安全模型在信息系統(tǒng)安全建設(shè)中起著重要的指導(dǎo)作用，精確而形象地描述信息系統(tǒng)的安全屬性，準(zhǔn)確地描述安全的重要方面與系統(tǒng)行為的關(guān)系，能夠提高對成功實現(xiàn)關(guān)鍵安全需求的理解層次，并且能夠從中開發(fā)出一套安全性評估準(zhǔn)則和關(guān)鍵的描述變量。1.3.1PDRR信息安全模型

防護(hù)（P）檢測（D）響應(yīng)（R）恢復(fù)（R）安全策略1.3.1PDRR信息安全模型

P-防護(hù)

D-檢測R-響應(yīng)

R-恢復(fù)1.3.2WPDRRC信息安全模型1.3.2WPDRRC信息安全模型WPDRRC信息安全模型是我國“八六三”信息安全專家組提出的適合中國國情的信息系統(tǒng)安全保障體系建設(shè)模型。WPDRRC模型有6個環(huán)節(jié)。6個環(huán)節(jié)包括預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)和反擊，它們具有較強(qiáng)的時序性和動態(tài)性，能夠較好地反映出信息系統(tǒng)安全保障體系的預(yù)警能力、保護(hù)能力、檢測能力、響應(yīng)能力、恢復(fù)能力和反擊能力。WPDRRC模型有3大要素包括人員、策略和技術(shù)，人員是核心，策略是橋梁，技術(shù)是保證，落實在WPDRRC6個環(huán)節(jié)的各個方面，將安全策略變?yōu)榘踩F(xiàn)實