信息安全概論第一部分信息安全基礎國家示范軟件學院主講：趙洋E-mail：zhaoyang@2024/5/11主講：趙洋課程：信息安全概論2內容提要信息安全的概念1信息安全的社會意義2黑客概述3信息安全的評價標準4信息安全的概念2024/5/11主講：趙洋課程：信息安全概論4什么是信息？廣義的說，信息就是消息。一切存在都有信息。信息信息的特性：可以存儲、交流和使用。2024/5/11主講：趙洋課程：信息安全概論5信息的嚴格定義信息是一種以特殊的物質形態存在的實體，1928年哈特萊（L.V.R.Hartley）認為信息是選擇通信符號的方式，且用選擇自由度來計量這種信息的大小。1948年，美國數學家仙農（C.E.Shannon）認為信息是用來減少隨機不定性的東西。1948年，維納（N.Wiener）認為信息是人們在適應外部世界和這種適應反作用于外部世界的過程中，同外部世界進行互相交換的內容名稱。1975年，意大利學者朗高（G.Longo）認為信息是反映了事物的形式、關系和差別，它包含在事物的差異之中，而不在事物本身。1988年，我國信息論專家鐘義信教授在《信息科學原理》一書中把信息定義為事物的運動狀態和狀態變化的方式。并通過引入約束條件推導了信息的概念體系，對信息進行了完整和準確的描述。2024/5/11主講：趙洋課程：信息安全概論6信息技術的概念信息技術是指在計算機和通信技術支持下用以獲取、加工、存儲、變換、顯示和傳輸文字、數值、圖像、視頻、音頻以及語音信息，包括提供設備和信息服務兩大方面的方法與設備的總稱。信息技術簡單地說就是3C，Computer、Communication和Control，即IT=Computer+Communication+Control。++2024/5/11主講：趙洋課程：信息安全概論7信息安全的概念信息安全的任務是保護信息財產，以防止偶然的或未授權者對信息的惡意泄露、修改和破壞，從而導致信息的不可靠或無法處理等。這樣可以使得我們在最大限度地利用信息為我們服務的同時而不招致損失或使損失最小。信息安全學關注信息本身的安全，而不管是否應用了計算機作為信息處理的手段。2024/5/11主講：趙洋課程：信息安全概論8信息安全學科信息安全是一門交叉學科。廣義上，信息安全涉及多方面的理論和應用知識，除了數學、通信、計算機等自然科學外，還涉及法律、心理學等社會科學。狹義上，也就是通常說的信息安全，只是從自然科學的角度介紹信息安全的研究內容。信息安全各部分研究內容及相互關系如圖所示。2024/5/11主講：趙洋課程：信息安全概論9信息安全學科內容基礎理論密碼研究安全理論研究應用技術安全實現技術安全平臺技術研究安全管理安全標準安全策略安全測評2024/5/11主講：趙洋課程：信息安全概論10信息安全的主要研究內容1、信息加密信息加密將有用的信息變為看上去無用的亂碼，攻擊者無法讀懂信息的內容從而保護信息。信息加密是保障信息安全的最基本、最核心的技術措施和理論基礎，也是現代密碼學的主要組成部分。2、數字簽名數字簽名機制包括兩個過程：簽名過程和驗證過程。簽名過程是利用簽名者的私有信息作為密鑰，或對數據單元進行加密或產生該數據單元的密碼校驗值；驗證過程是利用公開的規程和信息來確定簽名是否是利用該簽名者的私有信息產生的。2024/5/11主講：趙洋課程：信息安全概論11信息安全學科內容3、數據完整性數據完整性保護用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務，當信息源的完整性可以被驗證卻無法模仿時，收到信息的一方可以認定信息的發送者。4、身份鑒別鑒別是信息安全的基本機制，通信的雙方之間應互相認證對方的身份，以保證賦予正確的操作權力和數據的存取控制。網絡也必須認證用戶的身份，以保證合法的用戶進行正確的操作并進行正確的審計。通常有三種方法驗證主體身份。一是利用只有該主體才了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主體具有的獨一無二的特征或能力，如指紋、聲音、視網膜或簽字等。2024/5/11主講：趙洋課程：信息安全概論12信息安全學科內容5、訪問控制訪問控制的目的是防止對信息資源的非授權訪問和非授權使用信息資源。訪問控制采用最小特權原則：即在給用戶分配權限時，根據每個用戶的任務特點使其獲得完成自身任務的最低權限，不給用戶賦予其工作范圍之外的任何權力。6、安全數據庫數據庫系統有數據庫和數據庫管理系統兩部分組成。安全數據庫的基本要求可歸納為：數據庫的完整性（物理上的完整性、邏輯上的完整性）、數據的保密性（用戶身份識別、訪問控制和可審計性）、數據庫的可用性（用戶界面友好，在授權范圍內用戶可以簡便地訪問數據）。2024/5/11主講：趙洋課程：信息安全概論13信息安全學科內容7、網絡控制技術防火墻技術是一種允許接入外部網絡，但同時又能夠識別和抵抗非授權訪問的安全技術。入侵檢測技術主要目標是掃描當前網絡的活動，監視和記錄網絡的流量，根據定義好的規則來過濾從主機網卡到網線上的流量，提供實時報警。大多數的入侵監測系統可以提供關于網絡流量非常詳盡的分析。安全協議安全協議可以實現身份鑒別、密鑰分配、數據加密、防止信息重傳和不可否認等安全機制。2024/5/11主講：趙洋課程：信息安全概論14信息安全學科內容8、反病毒技術由于計算機病毒具有傳染的泛濫性、病毒侵害的主動性、病毒程序外形檢測的難以確定性、病毒行為判定的難以確定性、非法性與隱蔽性、衍生性和可激發性等特性，所以必須研究相應的防治措施。2024/5/11主講：趙洋課程：信息安全概論15信息安全研究層次信息安全從總體上可以分成5個層次：安全的密碼算法，安全協議，網絡安全，系統安全以及應用安全，其中密碼算法是研究的關鍵點，層次結構如圖所示。2024/5/11主講：趙洋課程：信息安全概論16信息安全的目標信息安全的目標是保護信息的機密性、完整性、抗否認性和可用性，也有的觀點認為是機密性、完整性和可用性，即CIA（ConfidentialityIntegrityAvailability）。機密性Confidentiality，機密性是指保證信息不能被非授權訪問。完整性Integrity，完整性是指維護信息的一致性，即信息在生成、傳輸、存儲和使用過程中不應發生人為或非人為的非授權篡改。信息的完整性包括兩個方面：1）數據完整性：數據沒有被未授權篡改或者損壞；2）系統完整性：系統未被非法操縱，按既定的目標運行?？捎眯訟vailability，可用性是指保障信息資源隨時可提供服務的能力特性，即授權用戶根據需要可以隨時訪問所需信息?？捎眯允切畔①Y源服務功能和性能可靠性的度量，涉及到物理、網絡、系統、數據、應用和用戶等多方面的因素，是對信息網絡總體可靠性的要求。2024/5/11主講：趙洋課程：信息安全概論17信息安全的發展發展過程通信安全（CommunicationSecurity）：強調的主要是信息的保密性，對安全理論和技術的研究也只側重于密碼學。信息安全（InformationSecurity）：關注已經逐漸擴展為以保密性、完整性和可用性。信息保障（IA，InformationAssurance）：考慮諸如可控性、抗抵賴性、真實性等其他的原則和目標，信息安全也轉化為從整體角度考慮其體系建設。2024/5/11主講：趙洋課程：信息安全概論18信息安全的發展PDRR保障體系：保護（Protect）指采用可能采取的手段來保障信息的保密性、完整性、可用性、可控性和不可否認性。檢測（Detect）指提供工具檢查系統可能存在的黑客攻擊、白領犯罪和病毒泛濫等脆弱性。反應（React）指對危及安全的事件、行為、過程及時做出響應處理，杜絕危害的進一步蔓延擴大，力求系統還能提供正常服務?；謴停≧estore）指一旦系統遭到破壞，盡快恢復系統功能，盡早提供正常的服務。2024/5/11主講：趙洋課程：信息安全概論19信息安全的威脅信息安全威脅是指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險。攻擊是對安全威脅的具體體現。雖然人為因素和非人為因素都可以對通信安全構成威脅，但是精心設計的人為攻擊威脅最大。主要的信息安全威脅包括如下的內容：1.信息泄露：信息被泄漏或透露給某個非授權的實體。2.破壞信息的完整性：數據被非授權地進行增刪、修改或破壞而

受到損失。3.拒絕服務：對信息或其它資源的合法訪問被無條件地阻止。4.非法使用（非授權訪問）：某一資源被某個非授權的人使用，

或以非授權的方式使用。5.竊聽：用各種可能的合法或非法的手段竊取系統中的信息資源

和敏感信息。例如對通信線路中傳輸的信號進行搭線監聽，或

者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。2024/5/11主講：趙洋課程：信息安全概論20信息安全的威脅6.業務流分析：通過對系統進行長期監聽，利用統計分析方法對

諸如通信頻度、通信的信息流向、通信總量的變化等參數進行

研究，從而發現有價值的信息和規律。7.假冒：通過欺騙通信系統（或用戶）達到非法用戶冒充成為合

法用戶，或者特權小的用戶冒充成為特權大的用戶的目的。黑

客大多是采用假冒攻擊。8.旁路控制：攻擊者利用系統的安全缺陷或安全性上的脆弱之處

獲得非授權的權利或特權。例如，攻擊者通過各種攻擊手段發

現原本應保密，但是卻又暴露出來的一些系統“特性”。利用

這些“特性”，攻擊者可以繞過防線守衛者侵入系統的內部。9.授權侵犯：被授權以某一目的使用某一系統或資源的某個人，

卻將此權限用于其它非授權的目的，也稱作“內部攻擊”。10.特洛伊木馬：軟件中含有一個察覺不出的或者無害的程序段，

當它被執行時，會破壞用戶的安全。這種應用程序稱為特洛伊

木馬（TrojanHorse）。2024/5/11主講：趙洋課程：信息安全概論21信息安全的威脅11.陷阱門：在某個系統或某個部件中設置的“機關”，使得當提

供特定的輸入數據時，允許違反安全策略。12.抵賴：這是一種來自用戶的攻擊，比如：否認自己曾經發布過

的某條消息、偽造一份對方來信等。13.重放：所截獲的某次合法的通信數據拷貝，出于非法的目的而

被重新發送。14.計算機病毒：在計算機系統中能實現傳染和侵害的功能程序。15.人員不慎：一個授權的人為了錢或利益，或由于粗心，將信息

泄露給一個非授權的人。16.媒體廢棄：信息被從廢棄的磁介質的或打印過的存儲介質中獲

得。研究信息安全的社會意義2024/5/11主講：趙洋課程：信息安全概論23信息安全與政治目前政府上網已經大規模地發展起來，電子政務工程已經在全國啟動。政府網絡的安全直接代表了國家的形象。1999年到2001年，我國一些政府網站遭受了4次大的黑客攻擊事件。第1次在1999年1月份左右，美國黑客組織“美國地下軍團”聯合了波蘭、英國的黑客組織及其他的黑客組織，有組織地對我國的政府網站進行了攻擊。第2次是在1999年7月，臺灣李登輝提出兩國論的時候。第3次是在2000年5月8號，美國轟炸我國駐南聯盟大使館后。第4次是在2001年4月到5月，美機撞毀王偉戰機并侵入我國海南機場后。從2004以后，網絡威脅呈現多樣化，除傳統的病毒、垃圾郵件外，危害更大的間諜軟件、廣告軟件、網絡釣魚等紛紛加入到互聯網安全破壞者的行列，成為威脅計算機安全的幫兇。間諜軟件的危害甚至超越傳統病毒，成為互聯網安全最大的威脅。因此到現在，軍隊以及一些政府機關的計算機是不允許接入互聯網的。2024/5/11主講：趙洋課程：信息安全概論24信息安全與經濟信息安全與經濟一個國家信息化程度越高，整個國民經濟和社會運行對信息資源和信息基礎設施的依賴程度也越高。我國計算機犯罪的增長速度超過了傳統的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后來就沒有辦法統計了。利用計算機實施金融犯罪已經滲透到了我國金融行業的各項業務。近幾年已經破獲和掌握的犯罪案件100多起，涉及的金額達幾個億。2000年2月黑客攻擊的浪潮，是互聯網問世以來最為嚴重的黑客事件。1999年4月26日，臺灣人編制的CIH病毒的大爆發，據統計，我國受其影響的PC機總量達36萬臺之多。有人估計在這次事件中，經濟損失高達12億元。從1988年CERT（ComputerEmergencyResponseTeam，CERT）由于Morris蠕蟲事件成立以來，Internet安全威脅事件逐年上升，近年來的增長態勢變得尤為迅猛，從1998年到2006年，平均年增長幅度達50％左右，使這些安全事件的主要因素是系統和網絡安全脆弱性（Vulnerability）層出不窮，這些安全威脅事件給Internet帶來巨大的經濟損失。以美國為例，其每年因為安全事件造成的經濟損失超過170億美元。2024/5/11主講：趙洋課程：信息安全概論25信息安全與社會穩定信息安全與社會穩定互聯網上散布的虛假信息、有害信息對社會管理秩序造成的危害，要比現實社會中一個謠言大得多。1999年4月，河南商都熱線的一個BBS上，一張說交通銀行鄭州支行行長攜巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，一天提款十多億。2001年2月8日正是春節，新浪網遭受攻擊，電子郵件服務器癱瘓了18個小時，造成了幾百萬用戶無法正常聯絡。2024/5/11主講：趙洋課程：信息安全概論26信息安全與軍事信息安全與軍事在第二次世界大戰中，美國破譯了日本人的密碼，幾乎全殲山本五十六的艦隊，重創了日本海軍。目前的軍事戰爭更是信息化戰爭，下面是美國三位知名人士對目前網絡的描述。美國著名未來學家阿爾溫·托爾勒說過“誰掌握了信息，控制了網絡，誰將擁有整個世界”。美國前總統克林頓說過“今后的時代，控制世界的國家將不是靠軍事，而是靠信息能力走在前面的國家”。美國前陸軍參謀長沙利文上將說過“信息時代的出現，將從根本上改變戰爭的進行方式”。黑客概述2024/5/11主講：趙洋課程：信息安全概論28什么是黑客？

黑客是英文“hacker”的音譯，指技術上的行家或熱衷于解決問題克服限制的人。從文化角度上看，“黑客”（Hacker）源于英語動詞hack，意為“劈砍”，引申為干一件非常漂亮的工作。黑客是利用技術手段進入其權限以外的計算機系統。首先，黑客是利用技術手段而不是通過非技術手段，如色情等；其次，進入其權限以外的計算機系統，還有一點應該注意到，進入計算機系統做了些什么？這里并沒有說明，因此，黑客本身應該是一個中性詞，如果做了破壞，可能就是另外一類人。2024/5/11主講：趙洋課程：信息安全概論29黑客簡史60年代中期，起源于MIT的“黑客文化”開始彌散到美國其他校園，逐漸向商業滲透，黑客們進入或建立電腦公司。他們中最著名的有貝爾實驗室的鄧尼斯·里奇和肯·湯姆森，他倆在小型電腦PDP-11/20編寫出UNIX操作系統和C語言，推動了工作站電腦和網絡的成長。MIT的理查德·斯托爾曼后來發起成立了自由軟件基金會，成為國際自由軟件運動的精神領袖。他們都是第二代“黑客”的代表人物。2024/5/11主講：趙洋課程：信息安全概論30黑客簡史1975年，愛德華·羅伯茨發明第一臺微型電腦“牛郎星”。美國很快出現了一個電腦業余愛好者在汽車庫里組裝微電腦的熱潮，并組織了一個“家庭釀造電腦俱樂部”，相互交流組裝電腦的經驗。以“家釀電腦俱樂部”為代表的“黑客”屬于第三代，他們發動了一場個人電腦的革命。史蒂夫·喬布斯、比爾·蓋茨等人創辦了蘋果和微軟公司，后來都成了重量級的IT企業。2024/5/11主講：趙洋課程：信息安全概論31黑客簡史80年代初，計算機地下組織開始形成，出現了早期的計算機竊賊。1984年德國漢堡出現了名叫“混沌”的計算機俱樂部（CCC），其成員竟然通過網絡將10萬美元從漢堡儲蓄銀行轉到CCC賬號上。1987年，CCC的成員攻入了美國宇航局的SPAN網絡。1984年，美國黑客戈德斯坦創辦著名的黑客雜志2600：TheHackerQuarterly；10年后，這份雜志已有可觀的發行量，1995年達到了2萬冊。2024/5/11主講：趙洋課程：信息安全概論32黑客簡史1982年，當時年僅15歲的凱文·米特尼克闖入了“北美空中防務指揮系統”，這是首次發現的從外部侵襲的網絡事件。他后來連續進入到美國多家大公司的電腦網絡，把一些重要合同涂改得面目全非。1994年，他向圣迭戈超級計算機中心發動攻擊，將整個互聯網置于危險的境地。米特尼克曾多次入獄，指控他偷竊了數以千計的文件以及非法使用2萬多個信用卡。他是著名的“世界頭號黑客”。2024/5/11主講：趙洋課程：信息安全概論33黑客簡史1988年11月2日，美國康奈爾大學23歲學生羅伯特·莫里斯，向互聯網絡釋放了“蠕蟲病毒”，美國軍用和民用電腦系統同時出現了故障，至少有6200臺受到波及，約占當時互聯網絡電腦總數的10%以上，用戶直接經濟損失接近1億美元，造成了美國高技術史上空前規模的災難事件。1995年，俄羅斯黑客列文在英國被捕。他被控用筆記本電腦從紐約花旗銀行非法轉移至少370萬美元到世界各地由他和他的同黨控制的賬戶。2024/5/11主講：趙洋課程：信息安全概論34黑客簡史1999年3月，美國黑客戴維·史密斯制造了“梅利莎”病毒，通過因特網在全球傳染數百萬臺計算機和數萬臺服務器。2000年2月，全世界黑客們聯手發動了一場“黑客戰爭”，接連襲擊了因特網最熱門的八大網站，包括亞馬遜、Yahoo和微軟，造成這些網站癱瘓長達數小時。FBI僅發現一個名為“黑手黨男孩”的黑客參與了襲擊事件，對他提出的56項指控只與其中幾個被“黑”網站有關，估計造成了達17億美元的損失。2000年5月，菲律賓學生奧內爾·古茲曼炮制出“愛蟲”病毒，因電腦癱瘓所造成的損失高達100億美元。全世界反黑客、反病毒的斗爭呈現出越來越激烈的趨勢。2024/5/11主講：趙洋課程：信息安全概論35十大超級老牌黑客電話大盜德拉浦自由軟件之父斯托爾曼蘋果電腦創建者沃茲尼克Unix之父利奇和湯普生Linux之父

李納斯電子前線基金創始人卡普爾美國通緝頭號黑客米特尼克蠕蟲制造者

莫里斯自由軟件理論旗手雷蒙德2024/5/11主講：趙洋課程：信息安全概論36電話大盜：德拉浦主要成就:發現了使用(“嘎吱嘎吱船長”牌的)麥片盒里作為獎品的哨子(向電話話筒吹聲)可以免費打(長途)電話。Cap‘nCrunch給幾代黑客引入了“盜用電話線路”打(長途)電話的輝煌思想。目前的狀況:約翰.德雷珀開了他自己的安全公司。他最近還在開發"Crunchbox"。"Crunchbox"是一個防火墻系統，它能抑止電腦病毒的傳播。2024/5/11主講：趙洋課程：信息安全概論37自由軟件之父斯托爾曼主要成就:斯托曼創立了自由軟件基金，打破了軟件是私有財產的概念。目前的狀況:理查德.斯托曼由GNU出版社出了一本新書《FreeSoftware,FreeSociety:SelectedEssaysofRichardM.Stallman》（《自由的軟件，自由的社會：理查德.斯托曼文選》）。2024/5/11主講：趙洋課程：信息安全概論38蘋果電腦創建者沃茲尼克主要成就：

2001年，美國“洛杉磯時報”評選出了“本世紀經濟領域50名最有影響力人物”，貢獻主要表現為“創辦蘋果電腦，蘋果I和蘋果II的出現帶動了全球個人電腦普及應用浪潮?！蹦壳暗默F狀：他的正式工作是加州LosGatos校區的計算機教師。教5-8年級的小學生。2024/5/11主講：趙洋課程：信息安全概論39Unix之父丹尼斯·利奇和肯·湯普生主要成就:貝爾實驗室著名的計算機科學工作組的創造力的推進劑。里奇和湯普森在1969年創造了UNIX,UNIX是小型機上的一個一流的開放操作系統,它能幫助用戶完成普通計算、文字處理、聯網。1999年4月27日，兩人獲得全美技術勛章，這是對他們成就的最高評價。目前的狀況:丹尼斯·里奇目前是朗訊科技的系統軟件研究部的領頭人,肯·湯普森已經退出貝爾實驗室和黑客事業。2024/5/11主講：趙洋課程：信息安全概論40Linux之父：李納斯主要成就：李納斯·托沃茲（LinusTorvalds），當今世界最著名的電腦程序員之一。Linux內核的發明人及該計劃的合作者。利用個人時間及器材創造出了這套當今全球最流行的操作系統內核之一。使自由軟件從產業思想運動演變成為市場商業運動，從此改變了軟件產業，乃至IT產業的面貌。目前的狀況：在一家開發基于微處理器軟件的公司（Transmeta）工作，已婚，有兩個女兒。2024/5/11主講：趙洋課程：信息安全概論41電子前線基金創建者米切爾·卡普爾

主要成就：在80年代中期，卡普爾與蓋茨是美國軟件業的雙子星。1982年創辦Lotus公司，并擔任CEO。普爾發起創辦的電子前線基金會（EFF），維護黑客利益，被稱為是計算機業的美國公民自由協會（ACLU）?？ㄆ諣栆惨虼顺蔀?0年代和90年代最具影響力的計算機人物和黑客界最具影響力的人物之一。目前的狀況：不詳。2024/5/11主講：趙洋課程：信息安全概論42美國通緝頭號黑客凱文·米特尼克主要成就：15歲時，米特尼克闖入了“北美空中防務指揮系統”的主機內，和另外一些朋友翻遍了美國指向前蘇聯及其盟國的所有核彈頭的數據資料。他是第一個在美國聯邦調查局“懸賞捉拿”海報上露面的黑客。目前的狀況：凱文·米特尼克出演了在2001年黑客大會上播放的記錄片《釋放凱文》。他還在美國廣播公司的化名節目中擔任了一名中央情報局的計算機專家：在扮演這個角色的時候，他只被允許使用道具計算機。2002年重獲上網的權力，并完成了一本暢銷書《欺騙的藝術》。2024/5/11主講：趙洋課程：信息安全概論43蠕蟲制造者羅伯特·莫里斯主要成就：這位美國國家計算機安全中心（隸屬于美國國家安全局NSA）首席科學家的兒子，康奈爾大學的高材生，在1988年的第一次工作過程中戲劇性地散播出了網絡蠕蟲病毒后，“Hacker”一詞開始在英語中被賦予了特定的含義。在此次的事故中成千上萬的電腦收到了影響，并導致了部分電腦崩潰。目前的狀況：羅伯特.莫里斯現在是MIT的助理教授。他是1988年在這里發布他的蠕蟲病毒的。2024/5/11主講：趙洋課程：信息安全概論44自由軟件理論旗手雷蒙德主要成就：軟件精神領袖，在自由軟件啟蒙階段，埃里克·雷蒙德以如椽之筆呼嘯而出，其核心著作被業界成為“五部曲”：《黑客道簡史》（ABriefHistoryofHackerdom）、《大教堂和市集》（TheCathedralandtheBazaar）、《如何成為一名黑客》（HowToBecomeAHacker）、《開拓智域》（HomesteadingtheNoosphere）、《魔法大鍋爐》（TheMagicCauldron）。其中最著名的當然還是《大教堂和市集》，它在自由軟件運動中的地位相當于基督教的《圣經》。目前的狀況：依然從事黑客倫理以及黑客文化的研究。2024/5/11主講：趙洋課程：信息安全概論45國內黑客的簡介我國最早一批黑客大約出現在1994年，代表性的組織就是GOODWELL(龔蔚)等五人組織的綠色兵團（/）。據稱，極盛時期注冊會員達到3000多人，成員遍布全國各地。謝朝霞、彭哥、PP(彭泉)、天行(陳偉山)、黃鑫是第一代黑客中的頂級高手。他們的特點是，自己深入研究網絡安全技術，有自己的理論和產品。2024/5/11主講：趙洋課程：信息安全概論46黑客的行為特征真正的黑客一般具有以下幾個行為特征：熱衷挑戰。崇尚自由。主張信息的共享。反叛精神。目前國內的黑客基本分成三種類型紅客：略帶政治性色彩與愛國主義情結的黑客，此類黑客很多時候政治熱情遠高于對信息安全技術的熱情。藍客：他們更熱衷于純粹的互聯網安全技術，對于其它問題不關心。文化黑客：就是完全追求黑客文化原始本質精神，不關心政治，對技術也不瘋狂的追捧的文化黑客，后兩種黑客結合起來才是真正意義上的黑客。信息安全的評價標準2024/5/11主講：趙洋課程：信息安全概論48美國國防部評價標準根據美國國防部開發的計算機安全標準——可信任計算機標準評價準則（TrustedComputerStandardsEvaluationCriteria，TCSEC），即網絡安全橙皮書，一些計算機安全級別被用來評價一個計算機系統的安全性。自從1985年橙皮書成為美國國防部的標準以來，就一直沒有改變過，多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統（如數據庫和網絡）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別，如表1-1所示。2024/5/11主講：趙洋課程：信息安全概論49TCSEC標準類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構，較好的抗滲透能力B3安全區域存取監控、高抗滲透能力AA驗證設計形式化的最高級描述和驗證2024/5/11主講：趙洋課程：信息安全概論50TCSEC標準D級是最低的安全級別，擁有這個級別的操作系統就像一個門戶大開的房子，任何人都可以自由進出，是完全不可信任的。對于硬件來說，沒有任何保護措施，操作系統容易受到損害，沒有系統訪問限制和數據訪問限制，任何人不需任何賬戶都可以進入系統，不受任何限制可以訪問他人的數據文件。屬于這個級別的操作系統有DOS和Windows98等。C1是C類的一個安全子級。C1又稱選擇性安全保護（DiscretionarySecurityProtection）系統，它描述了一個典型的用在UNIX系統上安全級別。這種級別的系統對硬件又有某種程度的保護，如用戶擁有注冊賬號和口令，系統通過賬號和口令來識別用戶是否合法，并決定用戶對程序和信息擁有什么樣的訪問權，但硬件受到損害的可能性仍然存在。用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性，從而對不同的用戶授予不通的訪問權。限。2024/5/11主講：趙洋課程：信息安全概論51TCSEC標準C2級除了包含C1級的特征外，應該具有訪問控制環境權力。該環境具有進一步限制用戶執行某些命令或者訪問某些文件的權限，而且還加入了身份認證等級。能夠達到C2級別的常見操作系統有如下幾種：（1）UNIX系統；（2）Novell3.X或者更高版本；（3）WindowsNT，Windows2000和Windows2003。B級中有三個子級別，B1級即標志安全保護（LabeledSecurityProtection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處于強制性訪問控制之下的對象，系統不允許文件的擁有者改變其許可權限。2024/5/11主講：趙洋課程：信息安全概論52TCSEC標準B2級，又叫結構保護（StructuredProtection）級別，它要求計算機系統中所有的對象都要加上標簽，而且給設備（磁盤、磁帶和終端）分配單個或者多個安全級別。B3級，又叫做安全域（SecurityDomain）級別，使用安裝硬件的方式來加強域的安全，例如，內存管理硬件用于保護安全域免遭無授權訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統上。A級，又稱驗證設計（VerifiedDesign）級別，是當前橙皮書的最高級別，它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。橙皮書也存在不足，TCSEC是針對孤立計算機系統，特別是小型機和主機系統。假設有一定的物理保障，該標準適合政府和軍隊，不適合企業，這個模型是靜態的。2024/5/11主講：趙洋課程：信息安全概論53我國信息安全的評價標準1999年10月經過國家質量技術監督局批準發布的《計算機信息系統安全保護等級劃分準則》GB17859將計算機安全保護劃分為以下5個級別。第1級為用戶自主保護級（GB1安全級）：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。第2級為系統審計保護級（GB2安全級）：除具備第一級所有的安全保護功能外，要求創建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。第3級為安全標記保護級（GB3安全級）：除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制保護。第4級為結構化保護級（GB4安全級）：在繼承前面安全級別安全功能的基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統的抗滲透能力。第5級為訪問驗證保護級（GB5安全級）：這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。2024/5/11主講：趙洋課程：信息安全概論54歐洲評價標準90年代初西歐四國（英、法、荷、德）聯合提出了信息技術安全評價標準（ITSEC，InformationTechnologyStandardsEvaluationCriteria）。除了吸收TCSEC的成功經驗外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術的高度上來認識。他們的工作成為歐共體信息安全計劃的基礎，并對國際信息安全的研究、實施帶來深刻的影響。ITSEC定義了七個安全級別：E6：形式化驗證；E5：形式化分析；E4：半形式化分析；E3：數字化測試分析；E2：數字化測試；E1：功能測試；E0：不能充分滿足保證。2024/5/11主講：趙洋課程：信息安全概論55通用評價準則美國為了保持他們在制定準則方面的優勢，不甘心TCSEC的影響被ITSEC取代，他們采取聯合其他國家共同提出新的評估準則的辦法體現其領導作用。1991年1月宣布了制定通用安全評價準則（CC，CommonCriteria）的計劃，它的全稱是CommonCriteriaforITsecurityEvaluation。制定的國家涉及到六國七方，他們是美國的國家標準及技術研究所（NIST）和國家安全局（NSA），歐洲的四個國家為荷、法、德、英以及北美的加拿大。CC評價準則基礎是歐洲的ITSEC，美國的包括TCSEC在內的新的聯邦評價標準，加拿大的CTCPEC，以及國際標準化組織ISO:SC27WG3的安全評價標準。1995年頒布0.9版，1996年1月出版了1.0版。1997年8月頒布2.0Beta版，2.0版于1998年5月頒布。其中1998年11月15日發布的版本成為ISO/IEC15408信息技術-安全技術-IT安全評價準則。2024/5/11主講：趙洋課程：信息安全概論56通用評價準則CC評價準則包括3個部分：第一部分介紹和總體模型，對CC評價準則的介紹。定義IT安全評價和描述模型的一般概念和原則，提出選擇和定義說明產品和系統IT安全客體的明確的組織的安全要求。第二部分安全功能要求，用標準化的方法對評價目標建立一個明確的安全要求的部件功能集合。功能集合分類為部件（Components）、族（Families）和類（Classes）。第三部分安全保證要求，用標準化的方法對評價目標建立一個明確的安全要求的保證部件的集合。對保護方案和安全目標進行定義，并且對安全評價目標提出安全評價保證級別（EAL）。CC標準將安全等級劃分為1-7安全等級，EAL1：功能測試；EAL2：結構測試；EAL3：方法測試與檢驗；EAL4：方法設計措施與評審；EAL5：半形式化設計與測試；EAL6：半形式化驗證設計與測試；EAL7：形式化驗證和測試。2024/5/11主講：趙洋課程：信息安全概論57評估標準間的關系TCSEC主要規范了計算機操作系統和主機的安全要求，側重于對保密性的要求。該標準至今對評估計算機安全仍然具有現實意義