信息安全概述

1.1信息安全概述1.2信息安全需求1.3網(wǎng)絡(luò)不安全的根本原因1.4信息安全體系結(jié)構(gòu)小結(jié)習題第一章信息安全概述“計算機信息系統(tǒng)的安全保護，應(yīng)當保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。”《中華人民共和國計算機信息系統(tǒng)安全保護條例》第三條課程要求了解信息安全方面存在的基本問題和解決方法。掌握加強計算機信息安全的基本技術(shù)。掌握信息安全工程與管理的基本概念。了解有關(guān)信息安全方面的基本法規(guī)。信息安全的三個方面計算機安全

信息處理、存儲設(shè)備的安全信息安全

信息本身處理和使用的安全網(wǎng)絡(luò)安全

信息傳輸設(shè)備與過程的安全以上方面又是相互交織、相互影響的！安全技術(shù)≠安全工程安全技術(shù)（面向設(shè)備）維護數(shù)據(jù)機密性、完整性、可用性、可記錄性、私有性等的技術(shù)手段安全工程（面向企業(yè)或組織）涉及系統(tǒng)和應(yīng)用的開發(fā)、集成、操作管理、維護和進化過程中信息安全性的組織措施信息安全≠網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全信息傳輸設(shè)備與過程的安全信息安全全面考慮信息存儲、處理、傳輸和使用中的安全性，其范疇大于網(wǎng)絡(luò)安全

例如：后續(xù)學習的數(shù)字水印技術(shù)，他屬于信息安全技術(shù)范疇但是超出網(wǎng)絡(luò)安全范疇，而路由器估計的目的是破壞網(wǎng)絡(luò)傳輸能力，但與信息本身關(guān)系不大。我們經(jīng)常在媒體上看到有關(guān)信息安全事件的報道，比如CCTV在重大節(jié)假日前后發(fā)布公安部網(wǎng)監(jiān)病毒木馬數(shù)據(jù)（病毒、木馬的區(qū)別。）比如某大型網(wǎng)站遭到黑客攻擊、某種新型病毒出現(xiàn)、犯罪分子利用計算機網(wǎng)絡(luò)詐騙錢財?shù)取o疑，信息安全的現(xiàn)狀十分令人焦慮和不安。

1.1信息安全現(xiàn)狀第一章信息安全概述1.1.1信息安全的威脅

現(xiàn)在談?wù)摰男畔踩?，實際上是指面向網(wǎng)絡(luò)的信息安全。Internet最初是作為一個國防信息共享的工具來開發(fā)的，這種連接的目的在于數(shù)據(jù)共享，并沒有把信息的安全看做一個重要因素來考慮。隨著Internet的擴張和壯大，特別是電子商務(wù)的應(yīng)用，系統(tǒng)的脆弱性和安全漏洞不能完全滿足安全服務(wù)

的需要，再加上商業(yè)信息時常被非法竊取、篡改、偽造或刪除，因此，Internet受到的威脅不可避免。

盡管目前學術(shù)界對信息安全威脅的分類沒有統(tǒng)一的認識，但是，總體上可以分為人為因素和非人為因素兩大類。第一章信息安全概述

1.人為因素

人為因素的威脅分為無意識的威脅和有意識的威脅兩種。無意識的威脅是指因管理的疏忽或使用者的操作失誤而造成的信息泄露或破壞。有意識的威脅是指行為人主觀上惡意

攻擊信息系統(tǒng)或獲取他人秘密資料，客觀上造成信息系統(tǒng)出現(xiàn)故障或運行速度減慢，甚至系統(tǒng)癱瘓的后果。有意識的威脅又分為內(nèi)部攻擊和外部攻擊。外部攻擊又可分為主動攻擊

和被動攻擊。第一章信息安全概述

2.非人為因素

非人為因素的威脅包括自然災害、系統(tǒng)故障和技術(shù)缺陷等。自然災害包括地震、雷擊、洪水等，可直接導致物理設(shè)備的損壞或零部件故障，這類威脅具有突發(fā)性、自然性和不可抗拒性等特點。自然災害還包括環(huán)境的干擾，如溫度過高或過低、電壓異常波動、電磁輻射干擾等，這些情況都可能造成系統(tǒng)運行的異?；蚱茐南到y(tǒng)。系統(tǒng)故障指因設(shè)備老化、零部件磨損而造成的威脅。技術(shù)缺陷指因受技術(shù)水平和能力的限制而造成的威脅，如操作系統(tǒng)漏洞、應(yīng)用軟件瑕疵等。這里的劃分是針對信息系統(tǒng)的使用者而言的。

信息安全威脅的分類如圖1-1-1所示。第一章信息安全概述圖1-1-1信息安全威脅的分類第一章信信息息安全概概述1.1.2信息安全全涉及的的問題許多人一一提到信信息安全全，自然然會聯(lián)想想到密碼碼、黑客客、病毒毒等專業(yè)業(yè)技術(shù)問問題。實實際上，，網(wǎng)絡(luò)環(huán)環(huán)境下的的信息安安全不僅僅涉及到到這些技技術(shù)問題題，而且且還涉及及到法律律、政策策和管理理問題，，

技術(shù)術(shù)問題雖雖然是最最直接的的保證信信息安全全的手段段，但離離開了法法律、政政策和管管理的基基礎(chǔ)，縱縱有最先先進的技技術(shù)，信信息安全全也得不不到保障障。第一章信信息息安全概概述1.信息安全全與政治治近十年來來，電子子政務(wù)發(fā)發(fā)展迅速速，政府府網(wǎng)站的的安全代代表著一一個國家家或一個個地區(qū)的的形象。。電電子政政務(wù)中政政府信息息安全的的實質(zhì)是是由于計計算機信信息系統(tǒng)統(tǒng)作為國國家政務(wù)務(wù)的載體體和工具具而引發(fā)發(fā)的信息息安全。。電子政政務(wù)中的的政府信信息安全全是國家家安全的的重要內(nèi)內(nèi)容，是是保障國國家信息息安全全所不可可或缺的的組成部部分。由由于互聯(lián)聯(lián)網(wǎng)發(fā)展展在地域域上極不不平衡，，信息強強國對于于信息弱弱國已經(jīng)經(jīng)形成了了戰(zhàn)略上上的“信息位勢勢差”?！靶畔⒔蛴颉辈辉偈且砸詡鹘y(tǒng)的的地緣、、領(lǐng)土、、領(lǐng)空、、領(lǐng)海來來劃分的的，而是是以帶有有政治影影響力的的信息輻輻射空間間來劃分分的。第一章信信息息安全概概述2.信息安全全與經(jīng)濟濟隨著信息息化程度度的提高高，國民民經(jīng)濟和和社會運運行對信信息資料料和信息息基礎(chǔ)設(shè)設(shè)施的依依賴程度度越來越越高。然然而，我我國計算算機犯罪罪的增長長速度遠遠遠超過過了傳統(tǒng)統(tǒng)意義犯犯罪的增增長速度度，計算算機犯罪罪從1997年的20多起，發(fā)發(fā)展到1998年的142起，再到到1999年的908起。1999年4月26日，CIH病毒大爆爆發(fā)，據(jù)據(jù)統(tǒng)計，，我國受受到影響響的計算算機總量量達到36萬臺，經(jīng)經(jīng)濟損失失可能達達到12億元。2008年公安部部網(wǎng)監(jiān)局局調(diào)查了了7起銷售網(wǎng)網(wǎng)絡(luò)木馬馬程序案案件，每每起案件件的木馬馬銷售獲獲利均超超過1000萬元。據(jù)據(jù)公安機機關(guān)的估估算，7起案件實實施的網(wǎng)網(wǎng)絡(luò)盜竊竊均獲利利20億元以上上。第一章信信息息安全概概述3.信息安全全與文化化文化是一一個國家家民族精精神和智智慧的長長期積淀淀和凝聚聚，是民民族振興興發(fā)展的的價值體體現(xiàn)。在在不同文文化相互互交流的的過程中中，一些些國家為為了達到到經(jīng)濟和和政治上上的目的的，不斷斷推行“文化殖民民”政策，形形成了日日益嚴重重的“文化帝國國主義”傾向。同同時，互互聯(lián)網(wǎng)上上散布著著一些虛虛假信息息、有害害信息，，包括網(wǎng)網(wǎng)絡(luò)色情情、賭博博等不健健康的信信息，對對青少年年的價值值觀、文文化觀造造成了嚴嚴重的負負面影響響。第一一章章信信息息安安全全概概述述4.信息息安安全全與與法法律律要使使網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全運運行行、、數(shù)數(shù)據(jù)據(jù)安安全全傳傳遞遞，，僅僅僅僅靠靠人人們們的的良良好好愿愿望望和和自自覺覺意意識識是是不不夠夠的的，，需需要要必必要要的的法法律律建建設(shè)設(shè)，，以以法法制制來來強強化化信信息息安安全全。。這這主主要要涉涉及及網(wǎng)網(wǎng)絡(luò)絡(luò)規(guī)規(guī)劃劃與與建建設(shè)設(shè)的的法法律律問問題題、、網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理與與經(jīng)經(jīng)營營的的法法律律問問題題、、用用戶戶(自然然人人或或法法人人)數(shù)據(jù)據(jù)的的法法律律保保護護、、電電子子資資金金劃劃轉(zhuǎn)轉(zhuǎn)的的法法律律認認證證、、計計算算機機犯犯罪罪與與刑刑事事立立法法、、計計算算機機證證據(jù)據(jù)的的法法律律效效力力等等。。第一一章章信信息息安安全全概概述述法律律是是信信息息安安全全的的防防御御底底線線，，也也是是維維護護信信息息安安全全的的最最根根本本保保障障，，任任何何人人都都必必須須遵遵守守，，帶帶有有強強制制性性。。不不難難設(shè)設(shè)想想，，若若計計算算機機網(wǎng)網(wǎng)絡(luò)絡(luò)領(lǐng)領(lǐng)域域沒沒有有法法制制建建設(shè)設(shè)，，那那么么網(wǎng)網(wǎng)絡(luò)絡(luò)的的規(guī)規(guī)劃劃與與建建設(shè)設(shè)必必然然是是混混亂亂的的，，網(wǎng)網(wǎng)絡(luò)絡(luò)將將沒沒有有規(guī)規(guī)范范、、協(xié)協(xié)調(diào)調(diào)的的運運營營管管理理，，數(shù)數(shù)據(jù)據(jù)將將得得不不到到有有效效的的保保護護，，電電子子資資金金的的劃劃轉(zhuǎn)轉(zhuǎn)將將產(chǎn)產(chǎn)生生法法律律上上的的糾糾紛紛，，黑黑客客將將受受不不到到任任何何懲懲罰罰。。但但是是，，有有了了相相關(guān)關(guān)法法律律的的保保障障，，并并不不等等于于安安全全問問題題就就解解決決了了，，還還需需要要相相應(yīng)應(yīng)的的配配套套政政策策，，才才能能使使保保障障信信息息安安全全的的措措施施具具有有可可操操作作性性。。第一一章章信信息息安安全全概概述述5.信息息安安全全與與管管理理在網(wǎng)網(wǎng)絡(luò)絡(luò)威威脅脅多多樣樣化化的的時時代代，，單單純純追追求求技技術(shù)術(shù)方方面面的的防防御御措措施施是是不不能能全全面面解解決決信信息息安安全全問問題題的的，，計計算算機機網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理制制度度是是網(wǎng)網(wǎng)絡(luò)絡(luò)建建設(shè)設(shè)的的重重要要方方面面。。信信息息安安全全的的管管理理包包括括三三個個層層次次的的內(nèi)內(nèi)容容:組織織建建設(shè)設(shè)、、制制度度建建設(shè)設(shè)和和人人員員意意識識。。組組織織建建設(shè)設(shè)是是指指有有關(guān)關(guān)信信息息安安全全管管理理機機構(gòu)構(gòu)的的建建設(shè)設(shè)，，也也就就是是說說，，要要建建立立健健全全安安全全管管理理機機構(gòu)構(gòu)。。第一一章章信信息息安安全全概概述述信息息安安全全的的管管理理包包括括安安全全規(guī)規(guī)劃劃、、風風險險管管理理、、應(yīng)應(yīng)急急計計劃劃、、安安全全教教育育培培訓訓、、安安全全系系統(tǒng)統(tǒng)評評估估、、安安全全認認證證等等多多方方面面的的內(nèi)內(nèi)容容，，只只靠靠一一個個機機構(gòu)構(gòu)是是無無法法解解決決這這些些問問題題的的，，因因此此應(yīng)應(yīng)在在各各信信息息安安全全管管理理機機構(gòu)構(gòu)之之間間，，依依照照法法律律法法規(guī)規(guī)的的規(guī)規(guī)定定建建立立相相關(guān)關(guān)的的安安全全管管理理制制度度，，明明確確職職責責，，責責任任到到人人，，規(guī)規(guī)范范行行為為，，保保證證安安全全。。第一一章章信信息息安安全全概概述述明確確了了各各機機構(gòu)構(gòu)的的職職責責后后，，還還需需要要建建立立切切實實可可行行的的規(guī)規(guī)章章制制度度，，如如對對從從業(yè)業(yè)人人員員的的管管理理，，需需要要解解決決任任期期有有限限、、職職責責隔隔離離和和最最小小權(quán)權(quán)限限的的問問題題。。有有了了組組織織機機構(gòu)構(gòu)和和相相應(yīng)應(yīng)的的制制度度，，還還需需要要加加強強人人員員意意識識的的培培養(yǎng)養(yǎng)。。通通過過進進行行網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息安安全全意意識識的的教教育育和和培培訓訓，，增增強強全全民民的的網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全意意識識和和法法制制觀觀念念，，以以及及對對信信息息安安全全問問題題的的重重視視，，尤尤其其是是對對主主管管計計算算機機應(yīng)應(yīng)用用工工作作的的領(lǐng)領(lǐng)導導和和計計算算機機系系統(tǒng)統(tǒng)管管理理員員、、操操作作員員要要通通過過多多種種渠渠道道進進行行計計算算機機及及網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全法法律律法法規(guī)規(guī)和和安安全全技技術(shù)術(shù)知知識識培培訓訓與與教教育育，，使使主主管管領(lǐng)領(lǐng)導導增增強強計計算算機機安安全全意意識識，，使使計計算算機機應(yīng)應(yīng)用用人人員員掌掌握握計計算算機機安安全全知知識識，，知知法法、、懂懂法法、、守守法法。。第一一章章信信息息安安全全概概述述6.信息息安安全全與與技技術(shù)術(shù)目前前，，出出現(xiàn)現(xiàn)的的許許多多信信息息安安全全問問題題，，從從某某種種程程度度上上講講，，可可以以說說是是由由技技術(shù)術(shù)上上的的原原因因造造成成的的，，因因此此，，對對付付攻攻擊擊也也最最好好采采用用技技術(shù)術(shù)手手段段。。如如:加密密技技術(shù)術(shù)用用來來防防止止公公共共信信道道上上的的信信息息被被竊竊取取;完整整性性技技術(shù)術(shù)用用來來防防止止對對傳傳輸輸或或存存儲儲的的信信息息進進行行篡篡改改、、偽偽造造、、刪刪除除或或插插入入的的攻攻擊擊;認證證技技術(shù)術(shù)用用來來防防止止攻攻擊擊者者假假冒冒通通信信方方發(fā)發(fā)送送假假信信息息;數(shù)字字簽簽名名技技術(shù)術(shù)用用于于防防否否認認和和抗抗抵抵賴賴。。第一一章章信信息息安安全全概概述述1.1.3信息息安安全全的的困困惑惑不論論采采取取何何種種安安全全措措施施，，一一個個計計算算機機系系統(tǒng)統(tǒng)很很難難保保證證不不會會受受到到計計算算機機病病毒毒、、黑黑客客的的攻攻擊擊。。人人們們不不禁禁要要問問，，什什么么樣樣的的計計算算機機系系統(tǒng)統(tǒng)才才算算是是安安全全的的系系統(tǒng)統(tǒng)？？1.嚴格格意意義義下下的的安安全全性性無危危為為安安，，無無損損為為全全。。安安全全就就是是指指人人和和事事物物沒沒有有危危險險，，不不受受威威脅脅，，完完好好無無損損。。對對人人而而言言，，安安全全就就是是使使人人的的身身心心健健康康免免受受外外界界因因素素干干擾擾和和威威脅脅的的一一種種狀狀態(tài)態(tài)，，也也可可看看做做是是人人和和環(huán)環(huán)境境的的一一種種協(xié)協(xié)調(diào)調(diào)平平衡衡狀狀態(tài)態(tài)。。一一旦旦打打破破這這種種平平衡衡，，安安全全就就不不存存在在了了。。據(jù)據(jù)此此原原則則，，現(xiàn)現(xiàn)實實生生活活中中，，安安全全實實際際上上是是一一個個不不可可能能達達到到的的目目標標，，計計算算機機網(wǎng)網(wǎng)絡(luò)絡(luò)也也不不例例外外。。事事實實上上，，即即使使采采取取必必要要的的網(wǎng)網(wǎng)絡(luò)絡(luò)保保護護措措施施，，信信息息系系統(tǒng)統(tǒng)也也會會出出現(xiàn)現(xiàn)故故障障和和威威脅脅，，從從這這個個角角度度講講，，計計算算機機網(wǎng)網(wǎng)絡(luò)絡(luò)的的絕絕對對安安全全是是不不可可能能實實現(xiàn)現(xiàn)的的。。第一一章章信信息息安安全全概概述述2.適當當?shù)牡陌舶踩孕赃m當當?shù)牡陌舶踩孕裕?，是是計計算算機機網(wǎng)網(wǎng)絡(luò)絡(luò)世世界界理理性性的的選選擇擇，，也也是是網(wǎng)網(wǎng)絡(luò)絡(luò)環(huán)環(huán)境境現(xiàn)現(xiàn)存存的的狀狀態(tài)態(tài)。。從從經(jīng)經(jīng)濟濟利利益益的的角角度度來來講講，，所所謂謂適適當當?shù)牡陌舶踩?，，是是指指安安全全性性的的選選擇擇應(yīng)應(yīng)建建立立在在所所保保護護的的資資源源和和服服務(wù)務(wù)的的收收益益預預期期大大于于為為之之付付出出的的代代價價的的基基礎(chǔ)礎(chǔ)之之上上，，或或者者說說，，我我們們采采取取控控制制措措施施所所降降低低的的風風險險損損失失要要大大于于付付出出的的代代價價，，如如果果代代價價大大于于損損失失就就沒沒有有必必要要了了。。因因此此，，面面對對這這個個有有缺缺陷陷的的網(wǎng)網(wǎng)絡(luò)絡(luò)，，采采取取安安全全防防護護措措施施是是必必要要的的，，但但應(yīng)應(yīng)權(quán)權(quán)衡衡得得失失，，不不能能矯矯枉枉過過正正。。第一一章章信信息息安安全全概概述述所謂謂信信息息安安全全需需求求，，是是指指計計算算機機網(wǎng)網(wǎng)絡(luò)絡(luò)給給我我們們提提供供信信息息查查詢詢、、網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)時時，，保保證證服服務(wù)務(wù)對對象象的的信信息息不不受受監(jiān)監(jiān)聽聽、、竊竊取取和和篡篡改改等等威威脅脅，，以以滿滿足足人人們們最最基基本本的的安安全全需需要要(如隱密性、、可用性等等)的特性。下下面先介紹紹信息安全全在不同層層面的含義義，然后從從不同角度度分析信息息安全的需求。1.2信息安全需需求第一章信信息安全全概述1.2.1信息安全的的含義1.信息安全的的相對概念念從用戶(個人或企業(yè)業(yè))的角度來講講，他們希希望:(1)在網(wǎng)絡(luò)上傳傳輸?shù)膫€人人信息(如銀行帳號號和上網(wǎng)登登錄口令等等)不被他人發(fā)發(fā)現(xiàn)，這就就是用戶對對網(wǎng)絡(luò)上傳傳輸?shù)男畔⑾⒕哂斜Ｃ苊苄缘囊笄?(2)在網(wǎng)絡(luò)上傳傳輸?shù)男畔⑾]有被他他人篡改，，這就是用用戶對網(wǎng)絡(luò)絡(luò)上傳輸?shù)牡男畔⒕哂杏型暾缘牡囊?(3)在網(wǎng)絡(luò)上發(fā)發(fā)送的信息息源是真實實的，不是是假冒的，，這就是用用戶對通信信各方的身身份提出的的身份認證證的要求;第一章信信息安全全概述(4)信息發(fā)送者者對發(fā)送過過的信息或或完成的某某種操作是是承認的，，這就是用用戶對信息息發(fā)送者提提出的不可可否認的要要求。從從網(wǎng)絡(luò)絡(luò)運行和管管理者的角角度來講，，他們希望望本地信息息網(wǎng)正常運運行，正常常提供服務(wù)務(wù)，不受網(wǎng)網(wǎng)外攻擊，，未出現(xiàn)計計算機病毒毒、非法存存取、拒絕絕服務(wù)、網(wǎng)網(wǎng)絡(luò)資源非非法占用和和非法控制制等

威脅脅。第一章信信息安全全概述從安全保密密部門的角角度來講，，他們希望望對非法的的、有害的的、涉及國國家安全或或商業(yè)機密密的信息進進行過濾和和防堵，避避免通過網(wǎng)網(wǎng)絡(luò)泄露關(guān)關(guān)于國家安安全或商業(yè)業(yè)機密的信信息，避免免對社會造造成危害害，對企業(yè)業(yè)造成經(jīng)濟濟損失。從從社社會教育和和意識形態(tài)態(tài)的角度來來講，我們們應(yīng)避免不不健康內(nèi)容容的傳播，，正確引導導積極向上上的網(wǎng)絡(luò)文文化。第一章信信息安全全概述2.信息安全的的狹義解釋釋信息安全在在不同的應(yīng)應(yīng)用環(huán)境下下有不同的的解釋。針針對網(wǎng)絡(luò)中中的一個運運行系統(tǒng)而而言，信息息安全就是是指信息處處理和傳輸輸?shù)陌踩?。。它包括硬硬件系統(tǒng)的的安全可靠靠運行、操操作系統(tǒng)和和應(yīng)用軟件件的安全全、數(shù)據(jù)庫庫系統(tǒng)的安安全、電磁磁信息泄露露的防護等等。狹義的的信息安全全，就是指指信息內(nèi)容容的安全，，包括信息息的保密性性、真實性性和完整性性。第一章信信息安全全概述3.信息安全的的廣義解釋釋廣義的信息息安全是指指網(wǎng)絡(luò)系統(tǒng)統(tǒng)的硬件、、軟件及其其系統(tǒng)中的的信息受到到保護。它它包括系統(tǒng)統(tǒng)連續(xù)、可可靠、正常常地運行，，網(wǎng)絡(luò)服務(wù)務(wù)不中斷，，系統(tǒng)中的的信息不因因偶然的或或惡意的行行為而遭到到破壞、、更改和泄泄露。網(wǎng)網(wǎng)絡(luò)安安全側(cè)重于于網(wǎng)絡(luò)傳輸輸?shù)陌踩?，，信息安全全?cè)重于信信息自身的的安全，可可見，這與與其所保護護的對象有有關(guān)。第一章信信息安全全概述1.2.2基本服務(wù)需需求1.保密性保密性是指指網(wǎng)絡(luò)中的的信息不被被非授權(quán)實實體(包括用戶和和進程等)獲取與使用用。這些信信息不僅包包括國家機機密，也包包括企業(yè)和和社會團體體的商業(yè)機機密和工作作機密，還還包括個人人信息。人人們

在應(yīng)應(yīng)用網(wǎng)絡(luò)時時很自然地地要求網(wǎng)絡(luò)絡(luò)能提供保保密性服務(wù)務(wù)，而被保保密的信息息既包括在在網(wǎng)絡(luò)中傳傳輸?shù)男畔⑾?，也包括括存儲在計計算機系統(tǒng)統(tǒng)中的信息息。就像電電話可以被被竊聽一樣樣，網(wǎng)絡(luò)傳傳輸信息也也

可以被被竊聽，解解決的辦法法就是對傳傳輸信息進進行加密處處理。存儲儲信息的機機密性主要要通過訪問問控制來實實現(xiàn)，不同同用戶對不不同數(shù)據(jù)擁擁有不同的的權(quán)限。第一章信信息安全全概述2.完整性完整性是指指數(shù)據(jù)未經(jīng)經(jīng)授權(quán)不能能進行改變變的特性，，即信息在在存儲或傳傳輸過程中中保持不被被修改、不不被破壞和和丟失的特特性。數(shù)據(jù)據(jù)的完整性性的目的是是保證計算算機系統(tǒng)上上的數(shù)據(jù)和和信息處于于一種完完整和未受受損害的狀狀態(tài)，這就就是說數(shù)據(jù)據(jù)不會因為為有意或無無意的事件件而被改變變或丟失。。

除了數(shù)據(jù)據(jù)本身不能能被破壞外外，數(shù)據(jù)的的完整性還還要求數(shù)據(jù)據(jù)的來源具具有正確性性和可信性性，也就是是說需要首首先驗證數(shù)數(shù)據(jù)是真實實可信的，，然后再驗驗證數(shù)據(jù)是是否被破壞壞。影影響數(shù)據(jù)據(jù)完整性的的主要因素素是人為的的蓄意破壞壞，也包括括設(shè)備的故故障和自然然災害等因因素對數(shù)據(jù)據(jù)造成的破破壞。第一章信信息安全全概述3.可用性可用性是指指對信息或或資源的期期望使用能能力，即可可授權(quán)實體體或用戶訪訪問并按要要求使用信信息的特性性。簡單地地說，就是是保證信息息在需要時時能為授權(quán)權(quán)者所用，，防止由于于主、客觀觀因素造成成的系統(tǒng)拒拒絕服務(wù)。。例如，網(wǎng)網(wǎng)絡(luò)環(huán)境下下的拒絕服服務(wù)、破壞壞網(wǎng)絡(luò)和有有關(guān)系統(tǒng)的的正常運行行等都屬于于對可用性性的攻擊。。Internet蠕蟲就是依依靠在網(wǎng)絡(luò)絡(luò)上大量復復制并且傳傳播，占用用大量CPU處理時間，，導致系統(tǒng)統(tǒng)越來越慢慢，直到網(wǎng)網(wǎng)絡(luò)發(fā)生崩崩潰，用戶戶的正常數(shù)數(shù)據(jù)請求不不能得到處處理，這就就是一個典典型的“拒絕服務(wù)”攻擊。當然然，數(shù)據(jù)不不可用也可可能是由軟軟件缺陷造造成的，如如微軟的Windows總是有缺陷陷被發(fā)現(xiàn)。。第一章信信息安全全概述4.可控性可控性是人人們對信息息的傳播路路徑、范圍圍及其內(nèi)容容所具有的的控制能力力，即不允允許不良內(nèi)內(nèi)容通過公公共網(wǎng)絡(luò)進進行傳輸，，使信息在在合法用戶戶的有效掌掌控之中。。5.不可否認性性不可否認性性也稱不可可抵賴性。。在信息交交換過程中中，確信參參與方的真真實同一性性，即所有有參與者都都不能否認認和抵賴曾曾經(jīng)完成的的操作和承承諾。簡單單地說，就就是發(fā)送信信息方不能能否認發(fā)送送過信息，，信息的接接收方不能能否認接收收過信息。。利用信息息源證據(jù)可可以防止發(fā)發(fā)信方否認認已發(fā)送過過信息，利利用接收證證據(jù)可以防防止接收方方事后否認認已經(jīng)接收收到信息。。數(shù)據(jù)簽名名技術(shù)是解解決不可否否認性的重重要手段之之一。第一章信信息安全全概述引起網(wǎng)絡(luò)不不安全的原原因有內(nèi)因因和外因之之分。內(nèi)內(nèi)因因是指網(wǎng)絡(luò)絡(luò)和系統(tǒng)的的自身缺陷陷與脆弱性性，外因是是指國家、、政治、商商業(yè)和個人人的利益沖沖突。歸納納起來，導導致網(wǎng)絡(luò)不不安全的根根本原因是是系統(tǒng)漏洞洞、協(xié)議的的開放性和和人為因素素。系統(tǒng)漏漏洞又稱為為陷阱，它它通常是由由操作系統(tǒng)統(tǒng)開發(fā)者設(shè)設(shè)置的，這這樣他們就就能在用戶戶失去了對對系統(tǒng)的所所有訪問權(quán)權(quán)時仍能進進入系統(tǒng)，，這就像汽汽車上的安安全門一樣樣，平時不不用，在發(fā)發(fā)生災難或或正常門被被封的情況況下，人們們可以使用用安全門逃逃生。人為為因素包括括黑客攻擊擊、計算機機犯罪和信信息安全管管理缺失。。網(wǎng)絡(luò)的管管理制度和和相關(guān)法律律法規(guī)的不不完善也是是導致網(wǎng)絡(luò)絡(luò)不安全的的重要因素素。1.3網(wǎng)絡(luò)不安全全的根本原原因第一章信信息安全全概述1.3.1系統(tǒng)漏洞從安全專家家的角度來來看，Internet從建立開始始就缺乏安安全的總體體構(gòu)想和設(shè)設(shè)計，主要要體現(xiàn)在計計算機系統(tǒng)統(tǒng)的脆弱性性和數(shù)據(jù)庫庫管理系統(tǒng)統(tǒng)(DBMS)的脆弱性上上。1.計算機系統(tǒng)統(tǒng)的脆弱性性目前常用的的操作系統(tǒng)統(tǒng)Windows2000/XP/2003、UNIX、Linux等都存在不不少漏洞。。第一章信信息安全全概述首先，無論論哪一種操操作系統(tǒng)，，其體系結(jié)結(jié)構(gòu)本身就就是一種不不安全的因因素。系統(tǒng)統(tǒng)支持繼承承和擴展能能力便給自自身留下了了一個漏洞洞，操作系系統(tǒng)的程序序可以動態(tài)態(tài)連接，包包括I/O的驅(qū)動程序序

與系統(tǒng)統(tǒng)服務(wù)都可可以用打補補丁的方法法升級和進進行動態(tài)連連接，這種種方法雖然然給系統(tǒng)的的擴展和升升級提供了了方便，但但同時也會會被黑客利利用，這種種使用打補補丁與滲透透開發(fā)的操操作系統(tǒng)是是不可能從從根本上上解決安全全問題的。。第一章信信息安全全概述其次，系統(tǒng)統(tǒng)支持在網(wǎng)網(wǎng)絡(luò)上傳輸輸文件，這這也為病毒毒和黑客程程序的傳播播提供了方方便;系統(tǒng)支持創(chuàng)創(chuàng)建進程，，特別是支支持在網(wǎng)絡(luò)絡(luò)的節(jié)點上上進行遠程程的創(chuàng)建與與激活，被被創(chuàng)建的進進程還具有有

繼承創(chuàng)創(chuàng)建進程的的權(quán)力，這這樣黑客可可以利用這這一點進行行遠程控制制并實施破破壞行為。。再再者，系統(tǒng)統(tǒng)存在超級級用戶，如如果入侵者者得到了超超級用戶口口令，則整整個系統(tǒng)將將完全受控控于入侵者者。第一章信信息安全全概述2.數(shù)據(jù)庫管理理系統(tǒng)的脆脆弱性數(shù)據(jù)庫管理理系統(tǒng)在操操作系統(tǒng)平平臺上都是是以文件形形式管理數(shù)數(shù)據(jù)庫的，，入侵者可可以直接利利用操作系系統(tǒng)的漏洞洞來竊取數(shù)數(shù)據(jù)庫文件件，或直接接利用操作作系統(tǒng)工具具非法偽造造、篡改數(shù)數(shù)據(jù)庫文件件內(nèi)容。。因此，DBMS的安全必須須與操作系系統(tǒng)的安全全配套，這這無疑是DBMS先天的不足足。第一章信信息安全全概述1.3.2協(xié)議的開放放性計算機網(wǎng)絡(luò)絡(luò)的互通互互連基于公公開的通信信協(xié)議，只只要符合通通信協(xié)議，，任何計算算機都可以以接入Internet。網(wǎng)網(wǎng)絡(luò)間的連連接是基于于主機上的的實體彼此此信任的原原則，而彼彼此信任的的原則在現(xiàn)現(xiàn)代社會本本身就受到到挑戰(zhàn)。在在網(wǎng)絡(luò)的節(jié)節(jié)點上可以以進行遠程程進程的創(chuàng)創(chuàng)建與激活活，而且被被創(chuàng)建的進進程還具有有繼續(xù)創(chuàng)創(chuàng)建進程的的權(quán)力，這這種遠程訪訪問功能使使得各種攻攻擊無需到到現(xiàn)場就能能得手。TCP/IP協(xié)議是在可可信環(huán)境下下為網(wǎng)絡(luò)互互連專門設(shè)設(shè)計的，但但缺乏安全全措施的考考慮。TCP連接可能被被欺騙、截截取、操操縱;IP層缺乏認證證和保密機機制。FTP、SMTP、NFS等協(xié)議也存存在許多漏漏洞。UDP易受IP源路由和拒拒絕服務(wù)的的攻擊。在在應(yīng)用層，，普遍存在在認證、訪訪問控制、、完整性、、保密性等等安全問問題。第一章信信息安全全概述1.3.3人為因素據(jù)有關(guān)部門門統(tǒng)計，在在所有的信信息安全事事件中，約約有52%是人為因素素造成的。。黑客攻擊擊與計算機機犯罪以及及信息安全全管理缺失失是引起網(wǎng)網(wǎng)絡(luò)安全問問題至關(guān)重重要的因素素。1.黑客攻擊與與計算機犯犯罪“黑客”一詞，是英英文hacker的音譯，而而hacker這個單詞源源于動詞hack，在英語中中有“亂砍、劈”之意，還有有一層意思思是指“受雇從事艱艱苦乏味工工作的文人人”。hack的一個引申申的意思是是指“干了一件非非常漂亮的的事”。在20世紀50年代代麻麻省省理理工工學學院院的的實實驗驗室室里里，，hacker有“惡作作劇劇”的意意思思。。第一一章章信信息息安安全全概概述述他們們精精力力充充沛沛，，熱熱衷衷于于解解決決難難題題，，這這些些人人多多數(shù)數(shù)以以完完善善程程序序、、完完善善網(wǎng)網(wǎng)絡(luò)絡(luò)為為己己任任，，遵遵循循計計算算機機使使用用自自由由、、資資源源共共享享、、源源代代碼碼公公開開、、不不破破壞壞他他人人系系統(tǒng)統(tǒng)等等精精神神，，從從某某種種意意義義上上說說，，他他們們的的存存在在成成為為計計算算機機發(fā)發(fā)展展的的一一股股動動力力。?？煽梢娨?，，黑黑客客這這個個稱稱謂謂在在早早期期并并無無貶貶義義。。20世紀60年代，黑黑客代指指獨立思思考、奉奉公守法法的計算算機迷，，他們利利用分時時技術(shù)允允許多個個用戶同同時執(zhí)行行多道程程序，擴擴大了計計算機及及網(wǎng)絡(luò)的的使用范范圍。20世紀70年代，黑黑客倡導導了一場場個人計計算機革革命，打打破了以以往計算算機技術(shù)術(shù)只掌握握在少數(shù)數(shù)人手里里的局面面，并提提出了計計算機為為人民所所用的觀觀點。第一章信信息息安全概概述這一代黑黑客是電電腦史上上的英雄雄，其領(lǐng)領(lǐng)頭人是是蘋果公公司的創(chuàng)創(chuàng)建人史史蒂夫·喬布斯。。在這一一時期，，黑客們們也發(fā)明明了一些些侵入計計算機系系統(tǒng)的基基本技巧巧，如破破解口令令(Passwordcracking)、開天窗窗(TraPdoor)等。20世紀80年代，黑黑客的代代表是軟軟件設(shè)計計師，這這一代黑黑客為個個人電腦腦設(shè)計出出了各種種應(yīng)用軟軟件。而而就在這這時，隨隨著計算算機重要要性的提提高，大大型數(shù)據(jù)據(jù)庫也越越來越多多，信息息又越來來越集中中在少數(shù)數(shù)人手里里，黑客客開始為為信息共共享而奮奮斗，這這時黑客客就開始始頻繁入入侵各大大計算機機系統(tǒng)。。第一章信信息息安全概概述但是，并并不是所所有的網(wǎng)網(wǎng)絡(luò)黑客客都遵循循相同的的原則。。有些黑黑客，他他們沒有有職業(yè)道道德的限限制，坐坐在計算算機前，，試圖非非法進入入別人的的計算機機系統(tǒng)，，窺探別別人在網(wǎng)網(wǎng)絡(luò)上的的秘密。。他們可可能會把把得到的的軍事機機密賣給給別人獲獲取報酬酬;也可能在在網(wǎng)絡(luò)上上截取商商業(yè)秘密密要挾他他人;或者盜用用電話號號碼，使使電話公公司和客客戶蒙受受巨大損損失;也有可能能盜用銀銀行帳號號進行非非法轉(zhuǎn)帳帳等。第一章信信息息安全概概述網(wǎng)絡(luò)犯罪罪也主要要是這些些人著手手干的，，可以說說，網(wǎng)絡(luò)絡(luò)黑客已已成為計計算機安安全的一一大隱患患。這種種黑客已已經(jīng)違背背了早期期黑客的的傳統(tǒng)，，稱為“駭客”(英文“cracker”的音譯)，就是“破壞者”的意思。。駭客具具有與黑黑客同樣樣的本領(lǐng)領(lǐng)，只不不過在行行事上有有本質(zhì)的的差別。。他們之之間的根根本區(qū)別別是:黑客搞建建設(shè)，駭駭客搞破破壞。現(xiàn)現(xiàn)在，人人們已經(jīng)經(jīng)很難區(qū)區(qū)分所謂謂惡意和和善意的的黑客了了。黑客客的存在在，不再再是一個個純技術(shù)術(shù)領(lǐng)域的的問題，，而是一一個有著著利益驅(qū)驅(qū)使、違違背法律律道德的的社會問問題。第一章信信息息安全概概述根據(jù)我國國有關(guān)法法律的規(guī)規(guī)定，計計算機犯犯罪的概概念可以以有廣義義和狹義義之分。。廣義的的計算機機犯罪是是指行為為人故意意直接對對計算機機實施侵侵入或破破壞，或或者利用用計算機機實施有有關(guān)金融融詐騙、、盜竊、、貪污、、挪用公公款、竊竊取國家家秘密或或其他犯犯罪行為為的總稱稱;狹義的計計算機犯犯罪僅指指行為人人違反國國家規(guī)定定，故意意侵入國國家事務(wù)務(wù)、國防防建設(shè)、、尖端科科學技術(shù)術(shù)等計算算機信息息系統(tǒng)，，或者利利用各種種技術(shù)手手段對計計算機信信息系統(tǒng)統(tǒng)的功能能及有關(guān)關(guān)數(shù)據(jù)、、應(yīng)用程程序等進進行破壞壞，制作作、傳播播計算機機病毒，，影響計計算機系系統(tǒng)正常常運行且且造成嚴嚴重后果果的行為為。第一章信信息息安全概概述現(xiàn)在計算算機犯罪罪呈現(xiàn)高高智商、、高學歷歷、隱蔽蔽性強和和取證難難度大等等特點，，這使得得計算機機犯罪刑刑偵取證證技術(shù)已已發(fā)展成成為信息息安全的的又一研研究分支支。2.信息安全全管理缺缺失目前，信信息安全全事件有有快速蔓蔓延之勢勢，大部部分事件件背后的的真正原原因在于于利益的的驅(qū)使和和內(nèi)部管管理的缺缺失。在在許多企企業(yè)和機機關(guān)單位位，存在在的普遍遍現(xiàn)象是是:缺少系統(tǒng)統(tǒng)安全管管理員，，特別是是高素質(zhì)質(zhì)的網(wǎng)絡(luò)絡(luò)管理員員;缺少網(wǎng)絡(luò)絡(luò)安全管管理的技技術(shù)規(guī)范范;缺少定期期的安全全測試與與檢查，，更缺少少安全監(jiān)監(jiān)控。因因此，信信息安全全不是一一個純粹粹的技術(shù)術(shù)問題，，加強預預防、監(jiān)監(jiān)測和管管理非常常

重要要。第一章信信息息安全概概述信息安全全是一個個完整、、系統(tǒng)的的概念，，它既是是一個理理論問題題，又是是一個工工程實踐踐問題。。由由于計計算機網(wǎng)網(wǎng)絡(luò)的開開放性、、復雜性性和多樣樣性，使使得網(wǎng)絡(luò)絡(luò)安全系系統(tǒng)需要要一個完完整的、、嚴謹?shù)牡捏w系結(jié)結(jié)構(gòu)來保保證。下下面分別別介紹OSI安全體系系結(jié)構(gòu)、、TCP/IP安全體系系結(jié)構(gòu)和和信息安安全保障障體系。。1.4信息安全全體系結(jié)結(jié)構(gòu)第一章信信息息安全概概述1.4.1OSI安全體系系結(jié)構(gòu)目前，人人們對于于網(wǎng)絡(luò)的的安全體體系結(jié)構(gòu)構(gòu)缺乏一一個統(tǒng)一一的認識識，比較較有影響響的是國國際標準準化組織織(ISO)對網(wǎng)絡(luò)的的安全提提出了一一個抽象象的體系系結(jié)構(gòu)，，這對網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的研究究具有指指導意義義，但距距網(wǎng)絡(luò)安安全的實實際需求求仍有較較大的差差距。第一章信信息息安全概概述ISO制定了開放系統(tǒng)統(tǒng)互連參參考模型型(OpenSystemInterconnectionReferencceModel，OSI模型)，它成為為研究、、設(shè)計新新的計算算機網(wǎng)絡(luò)絡(luò)系統(tǒng)和和評估改改進現(xiàn)有有系統(tǒng)的的理論依依據(jù)，是是理解和和實現(xiàn)網(wǎng)網(wǎng)絡(luò)安全全的基礎(chǔ)礎(chǔ)。OSI安全體系系結(jié)構(gòu)是是在分析析對開放放系統(tǒng)的的威脅和和其脆弱弱性的基基礎(chǔ)上提提出來的的。第一章信信息息安全概概述1989年2月15日頒布的的ISO7498-2標準，確確立了基基于OSI參考模型型的七層層協(xié)議之之上的信信息安全全體系結(jié)結(jié)構(gòu)，1995年ISO在此基礎(chǔ)礎(chǔ)上對其其進行修修正，頒頒布了ISOGB/T9387.2-1995標準，即即五大類類安全服服務(wù)、八八大種安安全機制制和相應(yīng)應(yīng)的安全全管理標標準(簡稱“五-八-一”安全體系系)。OSI網(wǎng)絡(luò)安全全體系結(jié)結(jié)構(gòu)如圖圖1-4-1所示。第一章信信息息安全概概述圖1-4-1OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)第一章信信息息安全概概述1.五大類安安全服務(wù)務(wù)五大類安安全服務(wù)務(wù)包括認認證(鑒別)服務(wù)、訪訪問控制制服務(wù)、、數(shù)據(jù)保保密性服服務(wù)、數(shù)數(shù)據(jù)完整整性服務(wù)務(wù)和抗否否認性服服務(wù)。(1)認證(鑒別)服務(wù):提供對通通信中對對等實體體和數(shù)據(jù)據(jù)來源的的認證(鑒別)。(2)訪問控制制服務(wù):用于防止止未授權(quán)權(quán)用戶非非法使用用系統(tǒng)資資源，包包括用戶戶身份認認證和用用戶權(quán)限限確認。。第一章信信息息安全概概述安全服務(wù)務(wù)就是加強強數(shù)據(jù)處處理系統(tǒng)統(tǒng)和信息息傳輸?shù)牡陌踩孕缘囊活愵惙?wù)，，其目的的在于利利用一種種或多種種安全機機制阻止止安全攻攻擊。(3)數(shù)據(jù)保密密性服務(wù)務(wù):為防止網(wǎng)網(wǎng)絡(luò)各系系統(tǒng)之間間交換的的數(shù)據(jù)被被截獲或或被非法法存取而而泄密，，提供機機密保護護。同時時，對有有可能通通過觀察察信息流流就能推推導出信信息的情情況進行行防范。。(4)數(shù)據(jù)完整整性服務(wù)務(wù):用于阻止止非法實實體對交交換數(shù)據(jù)據(jù)的修改改、插入入、刪除除以及在在數(shù)據(jù)交交換過程程中的數(shù)數(shù)據(jù)丟失失。(5)抗否認性性服務(wù):用于防止止發(fā)送方方在發(fā)送送數(shù)據(jù)后后否認發(fā)發(fā)送和接接收方在在收到數(shù)數(shù)據(jù)后否否認收到到或偽造造數(shù)據(jù)的的行為。。第一章信信息息安全概概述訪問控制制策略有有如下三三種類型型。1）基于身份份的策略略。即根據(jù)據(jù)用戶或或用戶組組對目標標的訪問問權(quán)限進進行控制制的一種種策略。。形成“目標—用戶—權(quán)限”或“目標—用戶組—權(quán)限”的訪問控控制形式式。2）基于規(guī)則則的策略略。是將目目標按照照某種規(guī)規(guī)則（如如重要程程度）分分為多個個密級層層次，如如絕密、、秘密、、機密、、限制和和無密級級，通過過分配給給每個目目標一個個密級來來操作。。3）基于角色色的策略略?；诮墙巧牟卟呗钥梢砸哉J為是是基于身身份的策策略和基基于規(guī)則則的策略略的結(jié)合合。目的就是是保證信信息的可可用性，，即可被被授權(quán)實實體訪問問并按需需求使用用，保證證合法用用戶對信信息和資資源的使使用不會會被不正正當?shù)鼐芫芙^，同同進不能能被無權(quán)權(quán)使用的的人使用用或修改改、破壞壞。2.八大種安安全機制制八大種安安全機制制包括加加密機制制、數(shù)字字簽名機機制、訪訪問控制制機制、、數(shù)據(jù)完完整性機機制、認認證機制制、業(yè)務(wù)務(wù)流填充充機制、、路由控控制機制制、公證證機制。。(1)加密機制制:是確保數(shù)數(shù)據(jù)安全全性的基基本方法法，在OSI安全體系系結(jié)構(gòu)中中應(yīng)根據(jù)據(jù)加密所所在的層層次及加加密對象象的不同同，而采采用不同同的加密密方法。。第一章信信息息安全概概述安全機制制是指用來來保護系系統(tǒng)免受受偵聽、、阻止安安全攻擊擊及恢復復系統(tǒng)的的機制。。(2)數(shù)字簽名名機制:是確保數(shù)數(shù)據(jù)真實實性的基基本方法法，利用用數(shù)字簽簽名技術(shù)術(shù)可進行行用戶的的身份認認證和消消息認證證，它具具有解決決收、發(fā)發(fā)雙方糾糾紛的能能力。(3)訪問控制制機制:從計算機機系統(tǒng)的的處理能能力方面面對信息息提供保保護。訪訪問控制制按照事事先確定定的規(guī)則則決定主主體對客客體的訪訪問是否否合法，，當一主主體試圖圖非法使使用一個個未經(jīng)授授權(quán)的資資源時時，訪問問控制將將拒絕，，并將這這一事件件報告給給審計跟跟蹤系統(tǒng)統(tǒng)，審計計跟蹤系系統(tǒng)將給給出報警警并記錄錄日志檔檔案。第一章信信息息安全概概述(4)數(shù)據(jù)完整整性機制制:破壞數(shù)據(jù)據(jù)完整性性的主要要因素有有數(shù)據(jù)在在信道中中傳輸時時受信道道干擾影影響而產(chǎn)產(chǎn)生錯誤誤，數(shù)據(jù)據(jù)在傳輸輸和存儲儲過程中中被非法法入侵者者篡改，，計算機機病毒對對程序和和數(shù)據(jù)的的

傳染染等。糾糾錯編碼碼和差錯錯控制是是對付信信道干擾擾的有效效方法。。對付非非法入侵侵者主動動攻擊的的有效方方法是報報文認證證，對付付計算機機病毒有有各種病病毒檢測測、殺毒毒和免疫疫方法。。(5)認證機制制:在計算機機網(wǎng)絡(luò)中中認證主主要有用用戶認證證、消息息認證、、站點認認證和進進程認證證等，可可用于認認證的方方法有已已知信息息(如口令)、共享密密鑰、數(shù)數(shù)字簽名名、生物物特征(如指紋)等。第一章信信息息安全概概述(6)業(yè)務(wù)流填填充機制制:攻擊者通通過分析析網(wǎng)絡(luò)中中某一路路徑上的的信息流流量和流流向來判判斷某些些事件的的發(fā)生，，為了對對付這種種攻擊，，一些關(guān)關(guān)鍵站點點間在無無正常信信息傳送送時，持持續(xù)傳送送一些隨隨

機數(shù)數(shù)據(jù)，使使攻擊者者不知道道哪些數(shù)數(shù)據(jù)是有有用的，，哪些數(shù)數(shù)據(jù)是無無用的，，從而挫挫敗攻擊擊者的信信息流分分析。(7)路由控制制機制:在大型計計算機網(wǎng)網(wǎng)絡(luò)中，，從源點點到目的的地往往往存在多多條路徑徑，其中中有些路路徑是安安全的，，有些路路徑是不不安全的的，路由由控制機機制可根根據(jù)信息息發(fā)送者者的申請請選擇安安全路路徑，以以確保數(shù)數(shù)據(jù)安全全。第一章信信息息安全概概述(8)公證機制制:在大型計計算機網(wǎng)網(wǎng)絡(luò)中，，并不是是所有的的用戶都都是誠實實可信的的，同時時也可能能由于設(shè)設(shè)備故障障等技術(shù)術(shù)原因造造成信息息丟失、、延遲等等，用戶戶之間很很可能引引起責任任糾紛，，為了解解

決這這個問題題，就需需要有一一個各方方都信任任的第三三方以提提供公證證仲裁，，仲裁數(shù)數(shù)字簽名名技術(shù)就就是這種種公證機機制的一一種技術(shù)術(shù)支持。。第一章信信息息安全概概述3.安全管理理標準到目前為為止，信信息安全全管理的的標準有有英國信信息安全全管理標標準BS7799和國際標標準化組組織的ISO-17799管理標準準。BS7799作為英國國的信息息安全標標準于1995年頒布。。為了適適應(yīng)電子子商務(wù)和和移動計計算機的的發(fā)展需需求，1999年又進行行了修訂訂和更新新。它為為負責開開發(fā)、實實施和維維護組織織內(nèi)部信信息安全全的人員員提供了了一個參參考文檔檔。第一章信信息息安全概概述參考文檔檔由兩部部分組成成:第一部分分是一個個基于建建議的實實現(xiàn)指南南，建議議實施機機構(gòu)“最好做什什么”;第二部分分是一個個基于要要求的審審計指南南，它要要求組織織機構(gòu)“應(yīng)該做什什么”。這個標標準被用用于評價價和構(gòu)建建完善的的信息安安全框架架，實現(xiàn)現(xiàn)了信息息安全概概念的具具體化。。ISO-17799被ISO于2000年12月接納為為國際標標準，涉涉及內(nèi)容容包括業(yè)業(yè)務(wù)連續(xù)續(xù)性規(guī)劃劃、系統(tǒng)統(tǒng)開發(fā)和和維護、、物理和和環(huán)境安安全、遵遵守法規(guī)規(guī)、人事事安全、、安全組組織、計計算機和和網(wǎng)絡(luò)管管理、資資產(chǎn)保密密和控制制以及安安全策略略等。第一章信信息息安全概概述1.4.2TCP/IP安全體系系結(jié)構(gòu)TCP/IP是互聯(lián)網(wǎng)網(wǎng)的參考考模型，，在其應(yīng)應(yīng)用領(lǐng)域域中有著著強大的的生命力力。TCP/IP的安全體體系建立立在這個個參考模模型上，，在其四四個分層層上分別別增加安安全措施施。各層層協(xié)議及及其安全全協(xié)議如如圖1-4-2所示。第一章信信息息安全概概述圖1-4-2TCP/IP網(wǎng)絡(luò)安全體系框架第一章信信息息安全概概述1.網(wǎng)絡(luò)接口口層安全全網(wǎng)絡(luò)接口口層大致致對應(yīng)OSI的數(shù)據(jù)鏈鏈路層和和物理層層，它負負責接收收IP數(shù)據(jù)包，，并通過過網(wǎng)絡(luò)傳傳輸介質(zhì)質(zhì)發(fā)送數(shù)數(shù)據(jù)包。。網(wǎng)絡(luò)接接口層的的安全通通常是指指鏈路級級的安全全。假設(shè)設(shè)在兩個個主機或或路由器器之間構(gòu)構(gòu)建一條條專用的的通信鏈鏈路，采采用加密密技術(shù)確確保傳輸輸?shù)臄?shù)據(jù)據(jù)不被竊竊聽而泄泄密，可可在通信信鏈路的的兩端安安裝鏈路路加密機機來實現(xiàn)現(xiàn)，這種種加密與與物理層層相關(guān)，，對傳輸輸?shù)碾姎鈿夥柋缺忍亓鬟M進行加密密。第一章信信息息安全概概述2.網(wǎng)絡(luò)層安安全網(wǎng)絡(luò)層的的功能是是負責數(shù)數(shù)據(jù)包的的路由選選擇，保保證數(shù)據(jù)據(jù)包能順順利到達達指定的的目的地地。因此此，為了了防止IP欺騙、源源路由攻攻擊等，，在網(wǎng)絡(luò)絡(luò)層實施施IP認證機制制;為了確保保路由表表不被篡篡改，還還可實施施完整性性機制。。新一代代的互聯(lián)聯(lián)網(wǎng)協(xié)議議IPv6在網(wǎng)絡(luò)層層提供了了兩種安安全機制制，即認認證頭(AuthenticationHeader，AH)協(xié)議和封封裝安全全負荷(EncapsulatingSecurityPayload,ESP)協(xié)議，這這兩個協(xié)協(xié)議確保保在IP層實現(xiàn)安安全目標標。IPSec是“IPSecurity”的縮寫，，指IP層安全協(xié)協(xié)議，這這是Internet工程任務(wù)務(wù)組(InternetEngineeringTaskForce，IETF)公開的一一個開放放式協(xié)議議框架，，是在IP層為IP業(yè)務(wù)提供供安全保保證的安安全協(xié)議議標準。。第一章信信息息安全概概述3.傳輸層安安全傳輸層的的功能是是負責實實現(xiàn)源主主機和目目的主機機上的實實體之間間的通信信，用于于解決端端到端的的數(shù)據(jù)傳傳輸問題題。它提提供了兩兩種服務(wù)務(wù):一種是可可靠的、、面向連連接的服服務(wù)(由TCP協(xié)議完成成);一種是無無連接的的數(shù)據(jù)報報服務(wù)(由UDP協(xié)議完成成)。傳輸層層安全協(xié)協(xié)議確保保數(shù)據(jù)安安全傳輸輸，常見見的安全全協(xié)議有有安全套套接層(SecuritySocketLayer，SSL)協(xié)議和傳傳輸層安安全(TransportLayerSecuritty，TLS)協(xié)議。第一章信信息息安全概概述SSL協(xié)議是Netscape公司于1996年推出的的安全協(xié)協(xié)議，首首先被應(yīng)應(yīng)用于Navigator瀏覽器中中。該協(xié)協(xié)議位于于TCP協(xié)議和應(yīng)應(yīng)用層協(xié)協(xié)議之間間，通過過面向連連接的安安全機制制，為網(wǎng)網(wǎng)絡(luò)應(yīng)用用客戶/服務(wù)器之之間的安安全通信信提供了了可認證證性、保保密性和和完整性性的服務(wù)務(wù)。目前前大部分分Web瀏覽器器(如Microsoft的IE等)和NTIIS都集成成了SSL協(xié)議。。后來來，該該協(xié)議議被IETF采納，，并進進行了了標準準化，，稱為為TLS協(xié)議。。第一章章信信息息安全全概述述4.應(yīng)用層層安全全應(yīng)用層層的功功能是是負責責直接接為應(yīng)應(yīng)用進進程提提供服服務(wù)，，實現(xiàn)現(xiàn)不同同系統(tǒng)統(tǒng)的應(yīng)應(yīng)用進進程之之間的的相互互通信信，完完成特特定的的業(yè)務(wù)務(wù)處理理和服服務(wù)。。應(yīng)用用層提提供的的服務(wù)務(wù)有電電子郵郵件、、文件件傳輸輸、虛虛擬終終端和和遠程程數(shù)據(jù)據(jù)輸入入等。。網(wǎng)絡(luò)絡(luò)層的的安全全協(xié)議議為網(wǎng)網(wǎng)絡(luò)傳傳輸和和連接接建立立安全全的通通信管管道，，傳輸輸層的的安全全協(xié)議議保障障傳輸輸?shù)臄?shù)數(shù)據(jù)可可靠、、安全全地到到達目目的地地，但但無法法根據(jù)據(jù)所傳傳輸?shù)牡牟煌瑑?nèi)容容的安安全需需求予予以區(qū)區(qū)別對對待。。靈活活處理理具體體數(shù)據(jù)據(jù)不同同的安安全需需求方方案就就是在在應(yīng)用用層建建立相相應(yīng)的的安全全機制制。第一章章信信息息安全全概述述例如，，一個個電子子郵件件系統(tǒng)統(tǒng)可能能需要要對所所發(fā)出出的信信件的的個別別段落落實施施數(shù)字字簽名名，較較低層層的協(xié)協(xié)議提提供的的安全全功能能不可可能具具體到到信件件的段段落結(jié)結(jié)構(gòu)。。在應(yīng)應(yīng)用層層提供供安全全服務(wù)務(wù)采取取的做做法是是對具具體應(yīng)應(yīng)用進進行修修改和和擴展展，增增加安安全功功能。。如IETF規(guī)定了了私用用強化化郵件件PEM來為基基于SMTP的電子子郵件件系統(tǒng)統(tǒng)提供供安全全服務(wù)務(wù);免費電電子郵郵件系系統(tǒng)PGP提供了了數(shù)字字簽名名和加加密的的功能能;S-HTTP是Web上使用用的超超文本本傳輸輸協(xié)議議的安安全增增強版版本，，提供供了文文本級級的安安全機機制，，每個個文本本都可可以設(shè)設(shè)置成成保密密/數(shù)字簽簽名狀狀態(tài)。。第一章章信信息息安全全概述述1.4.3信息安安全保保障體體系1.4.1和1.4.2兩節(jié)的的內(nèi)容容更多多的是是從技技術(shù)層層面進進行剖剖析，，提出出網(wǎng)絡(luò)絡(luò)安全全體系系的結(jié)結(jié)構(gòu)。。本節(jié)節(jié)將全全面闡闡述信信息安安全保保障體體系問問題。。網(wǎng)絡(luò)絡(luò)信息息系統(tǒng)統(tǒng)安全全問題題的解解決既既借助助于技技術(shù)手手段，，又又借助助于管管理和和法律律手段段。管管理理是網(wǎng)網(wǎng)絡(luò)信信息系系統(tǒng)安安全的的靈魂魂，“三分技技術(shù)，，七分分管理理”說的就就是這這個道道理。。因此此，信信息安安全保保障體體系框框架由由管理理體系系、組組織機機構(gòu)體體系和和技術(shù)術(shù)體系系組成成，其其框架架圖如如圖1-4-3所示。。第一章章信信息息安全全概述述圖1-4-3信息安全保障體系框架第一章章信信息息安全全概述述在信息息安全全保障障體系系中，，管理理體系系由法法律管管理、、制度度管理理和培培訓管管理三三部分分組成成。法法律律管理理是根根據(jù)相相關(guān)的的國家家法律律、法法規(guī)對對信息息系統(tǒng)統(tǒng)主體體及其其與外外界關(guān)關(guān)聯(lián)行行為的的規(guī)范范和約約束;制度管管理是是信息息系統(tǒng)統(tǒng)內(nèi)部部依據(jù)據(jù)國家家、團團體必必要的的安全全需求求制定定的一一系列列內(nèi)部部規(guī)章章制度度;培訓管管理是是確保保信息息系統(tǒng)統(tǒng)安全全的前前提。。第一章章信信息息安全全概述述管理體體系管理是是信息息系統(tǒng)統(tǒng)安全全的靈靈魂。。信息息系統(tǒng)統(tǒng)安全全的管管理體體系由由法