信息安全基礎ppt第一頁，共四十五頁，編輯于2023年，星期六內容提要◎信息的定義以及信息技術的研究內容◎信息安全的學科內容，研究層次以及安全威脅◎研究信息安全的社會意義，相關道德標準以及黑客行為學研究內容◎信息安全評價標準第二頁，共四十五頁，編輯于2023年，星期六信息技術的概念信息是人類社會必須的重要資源，信息安全是社會穩定安全的必要條件。信息是一切生物進化的導向資源，信息是知識的來源、是決策的依據、是控制的靈魂、是思維的材料、是管理的基礎。第三頁，共四十五頁，編輯于2023年，星期六信息的定義信息是一種以特殊的物質形態存在的實體，1928年哈特萊（L.V.R.Hartley）認為信息是選擇通信符號的方式，且用選擇自由度來計量這種信息的大小。1948年，美國數學家仙農（C.E.Shannon）認為信息是用來減少隨機不定性的東西。1948年，維納（N.Wiener）認為信息是人們在適應外部世界和這種適應反作用于外部世界的過程中，同外部世界進行互相交換的內容名稱。1975年，意大利學者朗高（G.Longo）認為信息是反映了事物的形式、關系和差別，它包含在事物的差異之中，而不在事物本身。1988年，我國信息論專家鐘義信教授在《信息科學原理》一書中把信息定義為事物的運動狀態和狀態變化的方式。并通過引入約束條件推導了信息的概念體系，對信息進行了完整和準確的描述。第四頁，共四十五頁，編輯于2023年，星期六信息技術的概念人類的一切活動都可以歸結為認識世界和改造世界。從信息的觀點來看，人類認識世界和改造世界的過程，就是一個不斷從外部世界的客體中獲取信息，并對這些信息進行變換、傳遞、存儲、處理、比較、分析、識別、判斷、提取和輸出，最終把大腦中產生的決策信息反作用于外部世界的過程。現代（大體從20世紀中期算起）人類所利用的表征性資源是信息資源，表征性的科學技術是信息科學技術，表征性的工具是智能工具。信息技術是指在計算機和通信技術支持下用以獲取、加工、存儲、變換、顯示和傳輸文字、數值、圖像、視頻、音頻以及語音信息，并且包括提供設備和信息服務兩大方面的方法與設備的總稱。也有人認為信息技術(InformationTechnology)簡單地說就是3C，Computer（計算機）、Communication（通信）和Control（控制），即IT=Computer+Communication+Control。第五頁，共四十五頁，編輯于2023年，星期六信息安全的概念信息安全學關注信息本身的安全，而不管是否應用了計算機作為信息處理的手段。信息安全的任務是保護信息財產，以防止偶然的或未授權者對信息的惡意泄露、修改和破壞，從而導致信息的不可靠或無法處理等。這樣可以使得我們在最大限度地利用信息為我們服務的同時而不招致損失或使損失最小。信息安全可以分為數據安全和系統安全。信息安全可以分成兩個層次：1.從消息的層次來看，包括信息的完整性（Integrity），即保證消息的來源、去向、內容真實無誤；保密性（Confidentiality），即保證消息不會被非法泄露擴散；不可否認性（Non-repudiation），也稱為不可抵賴性，即保證消息的發送和接受者無法否認自己所做過的操作行為。2.從網絡層次來看，包括可用性（Availability），即保證網絡和信息系統隨時可用，運行過程中不出現故障，若遇意外打擊能夠盡量減少并盡早恢復正常；可控性（Controllability）是對網絡信息的傳播及內容具有控制能力的特性。第六頁，共四十五頁，編輯于2023年，星期六信息安全學科內容信息安全是一門交叉學科。廣義上，信息安全涉及多方面的理論和應用知識，除了數學、通信、計算機等自然科學外，還涉及法律、心理學等社會科學。狹義上，也就是通常說的信息安全，只是從自然科學的角度介紹信息安全的研究內容。信息安全各部分研究內容及相互關系如圖1-1所示。第七頁，共四十五頁，編輯于2023年，星期六信息安全學科內容信息安全研究大致可以分為基礎理論研究、應用技術研究、安全管理研究等。基礎研究包括密碼研究、安全理論研究；應用技術研究則包括安全實現技術、安全平臺技術研究；安全管理研究包括安全標準、安全策略、安全測評等。信息安全的研究內容主要包括：信息加密、數字簽名、數據完整性、身份鑒別、訪問控制、安全數據庫和反病毒技術等。第八頁，共四十五頁，編輯于2023年，星期六信息安全學科內容1.信息加密信息加密將有用的信息變為看上去無用的亂碼，攻擊者無法讀懂信息的內容從而保護信息。信息加密是保障信息安全的最基本、最核心的技術措施和理論基礎，也是現代密碼學的主要組成部分。2.數字簽名數字簽名機制包括兩個過程：簽名過程和驗證過程。簽名過程是利用簽名者的私有信息作為密鑰，或對數據單元進行加密或產生該數據單元的密碼校驗值；驗證過程是利用公開的規程和信息來確定簽名是否是利用該簽名者的私有信息產生的。第九頁，共四十五頁，編輯于2023年，星期六信息安全學科內容3.數據完整性數據完整性保護用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務，當信息源的完整性可以被驗證卻無法模仿時，收到信息的一方可以認定信息的發送者。4.身份鑒別鑒別是信息安全的基本機制，通信的雙方之間應互相認證對方的身份，以保證賦予正確的操作權力和數據的存取控制。網絡也必須認證用戶的身份，以保證合法的用戶進行正確的操作并進行正確的審計。通常有三種方法驗證主體身份。一是利用只有該主體才了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主體具有的獨一無二的特征或能力，如指紋、聲音、視網膜或簽字等。第十頁，共四十五頁，編輯于2023年，星期六信息安全學科內容5.訪問控制訪問控制的目的是防止對信息資源的非授權訪問和非授權使用信息資源。允許用戶對其常用的信息庫進行適當權利的訪問，限制他隨意刪除、修改或拷貝信息文件。訪問控制技術還可以使系統管理員跟蹤用戶在網絡中的活動，及時發現并拒絕“黑客”的入侵。訪問控制采用最小特權原則：即在給用戶分配權限時，根據每個用戶的任務特點使其獲得完成自身任務的最低權限，不給用戶賦予其工作范圍之外的任何權力。6.安全數據庫數據庫系統有數據庫和數據庫管理系統兩部分組成。保證數據庫的安全主要在數據庫管理系統上下功夫，其安全措施在很多方面多類似于安全操作系統中所采取的措施。安全數據庫的基本要求可歸納為：數據庫的完整性（物理上的完整性、邏輯上的完整性和庫中元素的完整性）、數據的保密性（用戶身份識別、訪問控制和可審計性）、數據庫的可用性（用戶界面友好，在授權范圍內用戶可以簡便地訪問數據）。第十一頁，共四十五頁，編輯于2023年，星期六信息安全學科內容7.網絡控制技術網絡控制技術主要包括防火墻技術、入侵檢測技術和安全協議。防火墻技術是一種允許接入外部網絡，但同時又能夠識別和抵抗非授權訪問的安全技術。防火墻扮演的是網絡中“交通警察”的角色，指揮網上信息合理有序地安全流動，同時也處理網上的各類“交通事故”。防火墻可分為外部防火墻和內部防火墻。前者在內部網絡和外部網絡之間建立起一個保護層，從而防止“黑客”的侵襲，其方法是監聽和限制所有進出通信，擋住外來非法信息并控制敏感信息被泄露；后者將內部網絡分隔成多個局域網，從而限制外部攻擊造成的損失。入侵檢測技術主要目標是掃描當前網絡的活動，監視和記錄網絡的流量，根據定義好的規則來過濾從主機網卡到網線上的流量，提供實時報警。大多數的入侵監測系統可以提供關于網絡流量非常詳盡的分析。第十二頁，共四十五頁，編輯于2023年，星期六信息安全學科內容安全協議決定整個網絡系統的安全強度。安全協議的設計和改進有兩種方式：（1）對現有網絡協議（如TCP/IP）進行修改和補充；（2）在網絡應用層和傳輸層之間增加安全子層，如安全協議套接字層，安全超文本傳輸協議（目前國內的網上銀行都采用這種安全機制）和專用通信協議。安全協議可以實現身份鑒別、密鑰分配、數據加密、防止信息重傳和不可否認等安全機制。第十三頁，共四十五頁，編輯于2023年，星期六信息安全學科內容8.反病毒技術由于計算機病毒具有傳染的泛濫性、病毒侵害的主動性、病毒程序外形檢測的難以確定性、病毒行為判定的難以確定性、非法性與隱蔽性、衍生性和可激發性等特性，所以必須花大力氣認真加以對付。計算機病毒研究已經成為計算機安全學的一個極具挑戰性的重要課題，作為普通的計算機用戶，雖然沒有必要去全面研究病毒和防止措施，但是養成“衛生”的工作習慣并在身邊隨時配備新近的殺毒工具軟件是完全必要的。第十四頁，共四十五頁，編輯于2023年，星期六信息安全研究層次信息安全從總體上可以分成5個層次：安全的密碼算法，安全協議，網絡安全，系統安全以及應用安全，層次結構如圖1-2所示。第十五頁，共四十五頁，編輯于2023年，星期六信息安全研究層次信息安全的目標是保護信息的機密性、完整性、抗否認性和可用性，也有的觀點認為是機密性、完整性和可用性，即CIA（ConfidentialityIntegrityAvailability）。機密性Confidentiality，機密性是指保證信息不能被非授權訪問，即使非授權用戶得到信息也無法知曉信息內容，因而不能使用。通常通過訪問控制阻止非授權用戶獲得機密信息，通過加密變換阻止非授權用戶獲知信息內容。完整性Integrity，完整性是指維護信息的一致性，即信息在生成、傳輸、存儲和使用過程中不應發生人為或非人為的非授權篡改。一般通過訪問控制阻止篡改行為，同時通過消息摘要算法來檢驗信息是否被篡改。信息的完整性包括兩個方面：（1）數據完整性：數據沒有被未授權篡改或者損壞；（2）系統完整性：系統未被非法操縱，按既定的目標運行。第十六頁，共四十五頁，編輯于2023年，星期六信息安全研究層次可用性Availability，可用性是指保障信息資源隨時可提供服務的能力特性，即授權用戶根據需要可以隨時訪問所需信息。可用性是信息資源服務功能和性能可靠性的度量，涉及到物理、網絡、系統、數據、應用和用戶等多方面的因素，是對信息網絡總體可靠性的要求。除了這三方面的要求，信息還要求真實性，即個體身份的認證，適用于用戶、進程、系統等；要求可說明性，即確保個體的活動可被跟蹤；要求可靠性，即行為和結果的可靠性、一致性。第十七頁，共四十五頁，編輯于2023年，星期六信息安全的發展當代信息安全學起源于20世紀60年代倡導的通信保密，到了20世紀60到70年代，開始逐步推行計算機安全的概念，而信息安全的概念是20世紀80年代到90年代才被廣泛提出的，20世紀90年代以后，開始倡導信息保障（IA，InformationAssurance）。信息保障的核心思想是對系統或者數據的4個方面的要求：保護（Protect），檢測（Detect），反應（React）和恢復（Restore），結構如圖1-3所示。第十八頁，共四十五頁，編輯于2023年，星期六信息安全的發展利用4個單詞首字母表示為：PDRR，稱之為PDRR保障體系，其中：保護（Protect）指采用可能采取的手段來保障信息的保密性、完整性、可用性、可控性和不可否認性。檢測（Detect）指提供工具檢查系統可能存在的黑客攻擊、白領犯罪和病毒泛濫等脆弱性。反應（React）指對危及安全的事件、行為、過程及時做出響應處理，杜絕危害的進一步蔓延擴大，力求系統還能提供正常服務。恢復（Restore）指一旦系統遭到破壞，盡快恢復系統功能，盡早提供正常的服務。第十九頁，共四十五頁，編輯于2023年，星期六信息安全的威脅信息安全威脅是指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險。攻擊是對安全威脅的具體體現。雖然人為因素和非人為因素都可以對通信安全構成威脅，但是精心設計的人為攻擊威脅最大。主要的信息安全威脅包括如下的內容：1.信息泄露：信息被泄漏或透露給某個非授權的實體。2.破壞信息的完整性：數據被非授權地進行增刪、修改或破壞而受到損失。3.拒絕服務：對信息或其它資源的合法訪問被無條件地阻止。4.非法使用（非授權訪問）：某一資源被某個非授權的人使用，或以非授權的方式使用。5.竊聽：用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信線路中傳輸的信號進行搭線監聽，或者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。第二十頁，共四十五頁，編輯于2023年，星期六信息安全的威脅6.業務流分析：通過對系統進行長期監聽，利用統計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數進行研究，從而發現有價值的信息和規律。7.假冒：通過欺騙通信系統（或用戶）達到非法用戶冒充成為合法用戶，或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是采用假冒攻擊。8.旁路控制：攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如，攻擊者通過各種攻擊手段發現原本應保密，但是卻又暴露出來的一些系統“特性”。利用這些“特性”，攻擊者可以繞過防線守衛者侵入系統的內部。9.授權侵犯：被授權以某一目的使用某一系統或資源的某個人，卻將此權限用于其它非授權的目的，也稱作“內部攻擊”。10.特洛伊木馬：軟件中含有一個察覺不出的或者無害的程序段，當它被執行時，會破壞用戶的安全。這種應用程序稱為特洛伊木馬（TrojanHorse）。第二十一頁，共四十五頁，編輯于2023年，星期六信息安全的威脅11.陷阱門：在某個系統或某個部件中設置的“機關”，使得當提供特定的輸入數據時，允許違反安全策略。12.抵賴：這是一種來自用戶的攻擊，比如：否認自己曾經發布過的某條消息、偽造一份對方來信等。13.重放：所截獲的某次合法的通信數據拷貝，出于非法的目的而被重新發送。14.計算機病毒：15.人員不慎：一個授權的人為了錢或利益，或由于粗心，將信息泄露給一個非授權的人。16.媒體廢棄：信息被從廢棄的磁介質的或打印過的存儲介質中獲得。第二十二頁，共四十五頁，編輯于2023年，星期六研究信息安全的社會意義目前研究網絡安全已經不只為了信息和數據的安全性。網絡安全已經滲透到國家的經濟、軍事等領域。信息安全與政治目前政府上網已經大規模地發展起來，電子政務工程已經在全國啟動。政府網絡的安全直接代表了國家的形象。1999年到2001年，我國一些政府網站遭受了4次大的黑客攻擊事件。第1次在1999年1月份左右，美國黑客組織“美國地下軍團”聯合了波蘭、英國的黑客組織及其他的黑客組織，有組織地對我國的政府網站進行了攻擊。第2次是在1999年7月，臺灣李登輝提出兩國論的時候。第3次是在2000年5月8號，美國轟炸我國駐南聯盟大使館后。第4次是在2001年4月到5月，美機撞毀王偉戰機并侵入我國海南機場后。從2004以后，網絡威脅呈現多樣化，除傳統的病毒、垃圾郵件外，危害更大的間諜軟件、廣告軟件、網絡釣魚等紛紛加入到互聯網安全破壞者的行列，成為威脅計算機安全的幫兇。間諜軟件的危害甚至超越傳統病毒，成為互聯網安全最大的威脅。因此到現在，軍隊以及一些政府機關的計算機是不允許接入互聯網的。第二十三頁，共四十五頁，編輯于2023年，星期六信息安全與經濟信息安全與經濟一個國家信息化程度越高，整個國民經濟和社會運行對信息資源和信息基礎設施的依賴程度也越高。我國計算機犯罪的增長速度超過了傳統的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后來就沒有辦法統計了。利用計算機實施金融犯罪已經滲透到了我國金融行業的各項業務。近幾年已經破獲和掌握的犯罪案件100多起，涉及的金額達幾個億。2000年2月黑客攻擊的浪潮，是互聯網問世以來最為嚴重的黑客事件。1999年4月26日，臺灣人編制的CIH病毒的大爆發，據統計，我國受其影響的PC機總量達36萬臺之多。有人估計在這次事件中，經濟損失高達12億元。從1988年CERT（ComputerEmergencyResponseTeam，CERT）由于Morris蠕蟲事件成立以來，Internet安全威脅事件逐年上升，近年來的增長態勢變得尤為迅猛，從1998年到2006年，平均年增長幅度達50％左右，使這些安全事件的主要因素是系統和網絡安全脆弱性（Vulnerability）層出不窮，這些安全威脅事件給Internet帶來巨大的經濟損失。以美國為例，其每年因為安全事件造成的經濟損失超過170億美元。第二十四頁，共四十五頁，編輯于2023年，星期六信息安全與社會穩定互聯網上散布的虛假信息、有害信息對社會管理秩序造成的危害，要比現實社會中一個謠言大得多。1999年4月，河南商都熱線的一個BBS上，一張說交通銀行鄭州支行行長攜巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，一天提款十多億。2001年2月8日正是春節，新浪網遭受攻擊，電子郵件服務器癱瘓了18個小時，造成了幾百萬用戶無法正常聯絡。網上不良信息腐蝕人們靈魂，色情資訊業日益猖獗。截止1997年5月，瀏覽過色情網站的美國人占了美國網民的28.2%。河南鄭州剛剛大專畢業的楊某和何某，在商丘信息港上建立了一個個人主頁，用50多天的時間建立的主頁存了1萬多幅淫穢照片、100多部小說和小電影。不到54天的時間，訪問這個主頁的用戶達到了30萬。為了保證網上內容健康，2006年4月9日北京千龍網，新浪網等聯合向全國互聯網界發出文明辦網倡議書，倡議互聯網界文明辦網，把互聯網站建設成為傳播先進文化的陣地、虛擬社區的和諧家園。第二十五頁，共四十五頁，編輯于2023年，星期六信息安全與軍事在第二次世界大戰中，美國破譯了日本人的密碼，幾乎全殲山本五十六的艦隊，重創了日本海軍。目前的軍事戰爭更是信息化戰爭，下面是美國三位知名人士對目前網絡的描述。美國著名未來學家阿爾溫·托爾勒說過“誰掌握了信息，控制了網絡，誰將擁有整個世界”。美國前總統克林頓說過“今后的時代，控制世界的國家將不是靠軍事，而是靠信息能力走在前面的國家”。美國前陸軍參謀長沙利文上將說過“信息時代的出現，將從根本上改變戰爭的進行方式”。第二十六頁，共四十五頁，編輯于2023年，星期六信息安全的威脅者——黑客概述通過黑客準則和黑客道德的特征分析，就能判斷一個人屬于哪個類型的黑客。黑客是英文“hacker”的音譯，指技術上的行家或熱衷于解決問題克服限制的人。從文化角度上看，“黑客”（Hacker）源于英語動詞hack，意為“劈砍”，引申為干一件非常漂亮的工作。在早期麻省理工學院的校園俚語中，“黑客”則有“惡作劇”之意，尤其指那種手法巧妙、技術高明的惡作劇。而日本的《新黑客詞典》中，把黑客定義為：“喜歡探索軟件程序奧秘，并從中增長了其個人才干的人。他們不像絕大多數使用者那樣，只規規矩矩地了解別人指定了解的狹小部分知識。”全球著名的微軟公司在其出版的1996年百科全書（光盤版）里曾對黑客描述為：從20世紀80年代開始，黑客這個詞作為對一些人的稱謂出現在計算機軟件和計算機技術里。可以通過這些定義歸納出黑客的定義：黑客是利用技術手段進入其權限以外的計算機系統。首先，黑客是利用技術手段而不是通過非技術手段，如色情等；其次，進入其權限以外的計算機系統，還有一點應該注意到，進入計算機系統做了些什么？這里并沒有說明，因此，黑客本身應該是一個中性詞，如果做了破壞，可能就是另外一類人。如果不作這樣的區分，不掌握黑客的特征，就會誤用這個詞。第二十七頁，共四十五頁，編輯于2023年，星期六黑客簡史早在1878年，貝爾電話公司成立的消息迅速引來一群愛戲弄人的少年，他們用自制的交換機中斷電話或者胡亂接駁線路來欺騙電話公司，非法利用各種電子裝置，做到不付錢打電話，說得好聽一點可以把他們叫做“電話玩家”，不好聽的話就是“電話竊賊”,他們則喜歡自稱“電話飛客”，自詡為“電話愛好者”，酷愛“探索電話系統的奧秘”以“向自己的智力挑戰”。近年來，電話網絡的機械部件越來越快地被計算機所取代，為這些“電話愛好者”們打開了一個更新、也更具魔力的天地。隨著電話與計算機之間的界線日益模糊，電話竊賊也大多轉為“電腦搗亂分子”，即后來人們所稱的黑客。第二十八頁，共四十五頁，編輯于2023年，星期六中國黑客的發展中國黑客起源于1994年到1996年，那時候使用的是最為初級的BBS站，軟件的破解是最為熱門的話題。1997年初，“黑客”這個詞已經開始深入到廣大網友之中，當時初級黑客所掌握的最高技術僅僅是使用郵箱炸彈。1998年，美國“死牛崇拜”黑客小組公布了一款名叫“BackOrifice”的黑客軟件，并將源代碼一起發布。這個軟件掀起了全球性的計算機網絡安全問題，并推進了“特洛伊木馬”黑客軟件的飛速發展。也就在這一年著名的CIH病毒誕生和大規模發作，這個有史以來第一個以感染主板BIOS為主要攻擊目標的病毒給中國經濟帶來了巨大的損失。1998年7月到8月，在印度尼西亞爆發了大規模的屠殺、強奸、殘害印尼華人的排華事件。這件事激怒了中國黑客，他們向印尼政府網站的信箱中發送垃圾郵件，用Ping的方式攻擊印尼網站。第二十九頁，共四十五頁，編輯于2023年，星期六中國黑客的發展1999年5月8日，美國悍然轟炸我駐南聯盟大使館。在中國大使館被炸后的第二天，第一個中國紅客網站誕生了，同時也創造出了一個新的黑客分支——紅客，以宣揚愛國主義紅客精神為主導。那次黑客戰爭中，全世界的華人首次團結一致，眾多美國網站被攻擊，大規模的垃圾郵件也使得美國眾多郵件服務器癱瘓失靈。同年七月，臺灣李登輝突然拋出了兩國論，海峽兩岸局勢頓時緊張。中國黑客依靠由對美網絡反擊戰中總結出的經驗，迅速的攻擊了臺灣行政院等網站，并給許多臺灣服務器安裝了木馬程序，導致很多鼓吹臺獨的網站服務器長時間癱瘓。此戰中使用的木馬冰河也成為了中國黑客最為鐘愛的木馬程序。2000年初“東史郎南京大屠殺”事件的敗訴再次激起一些黑客的民族主義情緒，國內部分黑客發動了針對日本網站的攻擊，也對一些臺灣網站發起攻擊。跨入新的世紀后之后，日本的排華情緒日益囂張，三菱事件、日航事件、教科書事件等激怒了中國黑客。由國內幾個黑客網站牽頭，組織了幾次大規模的對日黑客行動，這個時期一些傻瓜型黑客軟件也涌現出來，最為著名的當數孤獨劍客的“中國男孩”。技術門檻的降低致使很多青少年黑客出現。第三十頁，共四十五頁，編輯于2023年，星期六黑客的行為特征從歷史上發生的黑客事件來看，真正的黑客一般具有以下幾個行為特征：熱衷挑戰。如果能發現大公司機構或安全公司的問題，也就能證明了自己的能力。崇尚自由。這種自由是一種無限的自由，可以說是自由主義者、無政府主義的理念，是在美國六十年代的反主流的文化中形成的。主張信息的共享。信息將會成為新的生產資料，最有價值的生產資料是信息，信息的共享是可能的。反叛精神。年輕人的最大特點之一就是富有反叛精神，他們藐視傳統與權威，有熱情又有沖勁。而目前國內的黑客基本分成三種類型，一種是以中國紅客為代表，略帶政治性色彩與愛國主義情結的黑客，此類黑客很多時候政治熱情遠高于對信息安全技術的熱情。另外一種是所謂的“藍客”，他們更熱衷于純粹的互聯網安全技術，對于其它問題不關心。還有一種就是完全追求黑客文化原始本質精神，不關心政治，對技術也不瘋狂的追捧的文化黑客，后兩種黑客結合起來才是真正意義上的黑客。第三十一頁，共四十五頁，編輯于2023年，星期六知名黑客介紹這里介紹兩個歷史上知名的黑客，他們的人生具有傳奇的色彩。“頭號電腦黑客”當屬凱文·米特尼克（KevinMitnick），他1964年出生，3歲父母離異，性格內向沉默寡言。4歲玩游戲達到專家水平。13歲時喜歡上無線電活動，開始與世界各地愛好者聯絡，他編寫的電腦程序簡潔實用。15歲闖入“北美空中防務指揮系統”主機，翻閱了美國所有的核彈頭資料，不久破譯了美國“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號碼，并與中央聯邦調查局的特工惡作劇，被電腦信息跟蹤機發現第一次被逮捕。出獄后，又連續非法修改多家公司電腦的財務賬單，1988年再次入獄，被判一年徒刑。他1994年向圣地亞哥超級計算機中心發動攻擊，期間米特尼克還入侵了美國摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統，盜走各種程序和數據（價值4億美金）。美國聯邦調查局用“電子隱形化”技術跟蹤，最后準確地從無線電話中找到行跡，并抄獲其住處電腦。1995年2月他被送上法庭，他在法庭上說了一句警醒后人的話“到底還是輸了”。2000年1月出獄，并被勒令要求3年內被禁止使用電腦、手機及互聯網。第三十二頁，共四十五頁，編輯于2023年，星期六另一個著名的黑客是羅伯特·泰潘·莫里斯，1965年生，其父為貝爾實驗室計算機安全專家。他從小對電腦興趣，初中時發現UNIX漏洞，并破解實驗室超級口令并提醒其父。1983年入哈佛大學，大學一年級的時候改VAX機為單用戶系統。他學習能力驚人，可以一連幾個小時潛心閱讀2000多頁的UNIX手冊，是學校里最精通UNIX的人。1988年他考取康奈爾大學研究生，獲“孤獨的才華橫溢的程序專家”稱號。1988年10月試圖編寫一個能傳染的無害病毒，11月2日病毒開始擴散，一臺臺機器陷入癱瘓！10%互聯網上的主機受影響，莫里斯受到控告，被判3年緩刑、1萬元罰金和400小時的社區服務，也終止了康奈爾大學的研究生學習。第三十三頁，共四十五頁，編輯于2023年，星期六信息安全的評價標準信息系統安全的評價標準中比較流行的是1985美國國防部指定的可信任計算機標準評價準則，各國根據自己的國情也都制定了相關的標準。1.5.1我國評價標準1999年10月經過國家質量技術監督局批準發布的《計算機信息系統安全保護等級劃分準則》GB17859將計算機安全保護劃分為以下5個級別。第1級為用戶自主保護級（GB1安全級）：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。第2級為系統審計保護級（GB2安全級）：除具備第一級所有的安全保護功能外，要求創建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。第3級為安全標記保護級（GB3安全級）：除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制保護。第4級為結構化保護級（GB4安全級）：在繼承前面安全級別安全功能的基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統的抗滲透能力。第5級為訪問驗證保護級（GB5安全級）：這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。我國是國際標準化組織的成員國，信息安全標準化工作在各方面的努力下正在積極開展之中。從20世紀80年代中期開始，自主制定和采用了一批相應的信息安全標準。但是，應該承認，標準的制定需要較為廣泛的應用經驗和較為深入的研究背景。這兩方面的差距，使我國的信息安全標準化工作與國際已有的工作相比，覆蓋的范圍還不夠大，宏觀和微觀的指導作用也有待進一步提高。第三十四頁，共四十五頁，編輯于2023年，星期六美國國防部評價標準根據美國國防部開發的計算機安全標準——可信任計算機標準評價準則（TrustedComputerStandardsEvaluationCriteria，TCSEC），即網絡安全橙皮書，一些計算機安全級別被用來評價一個計算機系統的安全性。自從1985年橙皮書成為美國國防部的標準以來，就一直沒有改變過，多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統（如數據庫和網絡）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別，如表1-1所示。第三十五頁，共四十五頁，編輯于2023年，星期六類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構，較好的抗滲透能力B3安全區域存取監控、高抗滲透能力AA驗證設計形式化的最高級描述和驗證第三十六頁，共四十五頁，編輯于2023年，星期六D級是最低的安全級別，擁有這個級別的操作系統就像一個門戶大開的房子，任何人都可以自由進出，是完全不可信任的。對于硬件來說，沒有任何保護措施，操作系統容易受到損害，沒有系統訪問限制和數據訪問限制，任何人不需任何賬戶都可以進入系統，不受任何限制可以訪問他人的數據文件。屬于這個級別的操作系統有DOS和Windows98等。C1是C類的一個安全子級。C1又稱選擇性安全保護（DiscretionarySecurityProtection）系統，它描述了一個典型的用在UNIX系統上安全級別。這種級別的系統對硬件又有某種程度的保護，如用戶擁有注冊賬號和口令，系統通過賬號和口令來識別用戶是否合法，并決定用戶對程序和信息擁有什么樣的訪問權，但硬件受到損害的可能性仍然存在。用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性，從而對不同的用戶授予不通的訪問權限。第三十七頁，共四十五頁，編輯于2023年，星期六C2級除了包含C1級的特征外，應該具有訪問控制環境（ControlledAccessEnvironment）權力。該環境具有進一步限制用戶執行某些命令或者訪問某些文件的權限，而且還加入了身份認證等級。另外，系統對發生的事情加以審計，并寫入日志中，如什么時候開機，哪個用戶在什么時候從什么地方登錄，等等，這樣通過查看日志，就可以發現入侵的痕跡，如多次登錄失敗，也可以大致推測出可能有人想入侵系統。審計除了可以記錄下系統管理員執行的活動以外，還加入了身份認證級別，這樣就可以知道誰在執行這些命令。審計的缺點在于它需要額外的處理時間和磁盤空間。使用附加身份驗證就可以讓一個C2級系統用戶在不是超級用戶的情況下有權執行系統管理任務。授權分級使系統管理員能夠給用戶分組，授予他們訪問某些程序的權限或訪問特定的目錄。能夠達到C2級別的常見操作系統有如下幾種：（1）UNIX系統；（2）Novell3.X或者更高版本；（3）WindowsNT，Windows2000和Windows2003。B級中有三個級別，B1級即標志安全保護（LabeledSecurityProtection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處于強制性訪問控制之下的對象，系統不允許文件的擁有者改變其許可權限。第三十八頁，共四十五頁，編輯于2023年，星期六安全級別存在秘密和絕密級別，這種安全級別的計算機系統一般在政府機構中，比如國防部和國家安全局的計算機系統。B2級，又叫結構保護（StructuredProtection）級別，它要求計算機系統中所有的對象都要加上標簽，而且給設備（磁盤、磁帶和終端）分配單個或者多個安全級別。B3級，又叫做安全域（SecurityDomain）級別，使用安裝硬件的方式來加強域的安全，例如，內存管理硬件用于保護安全域免遭無授權訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統上。A級，又稱驗證設計（VerifiedDesign）級別，是當前橙皮書的最高級別，它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。安全級別設計必須從數學角度上進行驗證，而且必須進行秘密通道和可信任分布分析。可信任分布（TrustedDistribution）的含義是：硬件和軟件在物理傳輸過程中已經受到保護，以防止破壞安全系統。橙皮書也存在不足，TCSEC是針對孤立計算機系統，特別是小型機和主機系統。假設有一定的物理保障，該標準適合政府和軍隊，不適合企業，這個模型是靜態的。第三十九頁，共四十五頁，編輯于2023年，星期六歐洲評價標準90年代初西歐四國（英、法、荷、德）聯合提出了信息技術安全評價標準（ITSEC，InformationTechnologyStandardsEvaluationCriteria）。除了吸收TCSEC的成功經驗外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術的高度上來認識。他們的工作成為歐共體信息安全計劃的基礎，并對國際信息安全的研究、實施帶來深刻的影響。ITSEC定義了七個安全級別：E6：形式化驗證；E5：形式化分析；E4：半形式化分析；E3：數字化測試分析；E2：數字化測試；E1：功能測試；E0：不能充分滿足保證。第四十頁，共四十五頁，編輯于2023年，星期六通用評價準則美國為了保持他們在制定準則方面的優勢，不甘心TCSEC的影響被ITSEC取代，他們采取聯合其他國家共同提出新的評估準則的辦法體現其領導作用。1991年1月宣布了制定通用安全評價準則（CC，CommonCriteria）的計劃，它的全稱是CommonCrite