信息安全綜述侯延昭、陳宇（yu.chen@）

信息與通信工程學(xué)院11、引言：棱鏡門事件2、信息與信息安全3、信息安全面臨的威脅4、信息安全的需求與實(shí)現(xiàn)5、信息安全的發(fā)展過程及社會(huì)意義內(nèi)容提要2內(nèi)容提要

課程從棱鏡門事件說起，進(jìn)而講述信息安全的定義、信息安全的威脅、信息安全的需求以及信息安全如何實(shí)現(xiàn)，然后講述信息安全的發(fā)展過程及社會(huì)意義，最后給出課程總結(jié)和一些課外閱讀材料。3引言4INTERNET的美妙之處在于你和每個(gè)人都能相互連接INTERNET的可怕之處在于每個(gè)人都能和你相互連接5什么是棱鏡門？棱鏡計(jì)劃（PRISM）是一項(xiàng)由美國國家安全局（NSA）自2007年起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃，該計(jì)劃的正式名號(hào)為“US-984XN”。英國《衛(wèi)報(bào)》和美國《華盛頓郵報(bào)》2013年6月6日報(bào)道，美國國家安全局和聯(lián)邦調(diào)查局于2007年啟動(dòng)了一個(gè)代號(hào)為“棱鏡”的秘密監(jiān)控項(xiàng)目，直接進(jìn)入美國網(wǎng)際網(wǎng)路公司的中心服務(wù)器里挖掘數(shù)據(jù)、收集情報(bào)，包括微軟、雅虎、谷歌、蘋果等在內(nèi)的9家國際網(wǎng)絡(luò)巨頭皆參與其中。6事件主角

外文名：EdwardJosephSnowden中文名：愛德華·約瑟夫·斯諾登國籍：美利堅(jiān)合眾國出生地：北卡羅來納州、伊麗莎白市出生日期：1983年06月21日履歷1：美國陸軍軍人履歷2：美國中央情報(bào)局（CIA）前雇員職業(yè)：系統(tǒng)管理員主要成就：棱鏡計(jì)劃（PRISM）泄密者

7事件經(jīng)過2009年之前，斯諾登效力于美國中情局，負(fù)責(zé)系統(tǒng)管理以及電信系統(tǒng)的維護(hù)工作；2009年，在國家安全局設(shè)在夏威夷的博思艾倫咨詢公司擔(dān)任基礎(chǔ)設(shè)施分析師一職。該公司是美國首屈一指的國防承包商。斯諾登利用該公司為美國國家安全局服務(wù)的機(jī)會(huì)，接觸并復(fù)印了大量監(jiān)聽計(jì)劃的機(jī)密材料；2013年5月20日，據(jù)稱斯諾登帶著秘密情報(bào)影印件從夏威夷潛逃香港；8事件經(jīng)過6月初，斯諾登用代號(hào)Verax通過《衛(wèi)報(bào)》和《華盛頓郵報(bào)》披露美國的“外國情報(bào)監(jiān)視法庭”下達(dá)“頭號(hào)密令”授權(quán)搜集國內(nèi)通話記錄；6月9日，斯諾登公布身份。解密了美國國家安全局“棱鏡”計(jì)劃的內(nèi)部文件及詳情——該計(jì)劃可能包含一些從美國網(wǎng)絡(luò)公司采集來的國外人士相關(guān)數(shù)據(jù)料，且美國政府隨時(shí)可以讀取任何人的電郵；6月11日夜間，國家安全局、聯(lián)邦調(diào)查局、白宮和國務(wù)院的高官聚集國會(huì)山，向眾議院做閉門情況通報(bào)，國家安全局可能遭受了保護(hù)機(jī)密不力的炮轟；9國際社會(huì)對棱鏡門的看法英國在野黨共黨稱其令人“寒心”。要求政府調(diào)查英國同美國棱鏡項(xiàng)目的關(guān)系并給出一個(gè)全面的解釋。俄羅斯總統(tǒng)普京發(fā)言人比斯科夫則透過法新社表示，若斯諾登提出相關(guān)申請，俄羅斯政府會(huì)向其提供政治庇護(hù)。極度重視隱私權(quán)的日本，卻對國際輿論熱議的“監(jiān)視門”無甚共鳴。

歐洲議會(huì)自由黨團(tuán)主席、比利時(shí)前首相福斯達(dá)說，美國必須解釋如何使用“棱鏡”項(xiàng)目獲得數(shù)據(jù)，是否違反歐盟數(shù)據(jù)保護(hù)政策。還有議員表示，希望歐洲各國政府公開有關(guān)“棱鏡”項(xiàng)目的信息，包括是否知曉、是否參與等。10美國政府與民眾的看法奧巴馬在柏林宣稱：“我們不會(huì)篩查德國公民、美國公民、法國公民或其他任何人的電郵。這是一個(gè)受到約束的、適用范圍不大的系統(tǒng)，其目的是為了保護(hù)我們和我們的民眾……侵犯隱私的行為受到嚴(yán)格限制?！眾W巴馬在德國總理辦公室召開的新聞發(fā)布會(huì)上堅(jiān)稱，美國情報(bào)機(jī)構(gòu)監(jiān)聽電話通話，只是為了確認(rèn)是否有電話打給已知的可疑號(hào)碼，并且他們在監(jiān)聽電話前必須先向一名聯(lián)邦法官提交申請。奧巴馬表示，這類監(jiān)控的“適用范圍非常狹窄，只適用于我們在與恐怖主義或大規(guī)模殺傷性武器擴(kuò)散有關(guān)的問題上獲得的線索”。6月14日，美國紐約的一對父女手舉寫有“安全得讓我感到害怕”等標(biāo)語參加“占領(lǐng)華爾街”運(yùn)動(dòng)支持者組織的抗議活動(dòng)，譴責(zé)美國國家安全局進(jìn)行的電話和網(wǎng)絡(luò)秘密監(jiān)控項(xiàng)目。斯諾諾登登的的最最新新故故事事SnowdenandhardwarehackerAndrew““Bunnie””HuangDesignaDevicetoWarnifYouriPhone’’sRadiosAreSnitching在Amazon上沒沒有有見見到到1112國際際互互聯(lián)聯(lián)網(wǎng)網(wǎng)全全球球分分布布圖圖13國際際互互聯(lián)聯(lián)網(wǎng)網(wǎng)流流量量全全球球分分布布圖圖互聯(lián)聯(lián)網(wǎng)網(wǎng)流流量量中中心心為為:美國國，，香香港港，，日日本本。。以以美美國國和和亞亞洲洲之之間間的的流流量量為為最最多多。。中國國互互聯(lián)聯(lián)網(wǎng)網(wǎng)國國際際流流量量主主要要流流向向北北美美和和歐歐洲洲14“棱棱鏡鏡””背背后后的的全球球信息息危危機(jī)機(jī)Internet主要要由由兩兩大大基基本本架架構(gòu)構(gòu)組組成成：：路路由由器器構(gòu)構(gòu)成成Internet的主主干干，，DNS服務(wù)務(wù)器器將將域域名名解解析析為為IP地址址。。全球球共共有有13臺(tái)根根域域名名服服務(wù)務(wù)器器。。其其中中10臺(tái)設(shè)置置在在美美國國，，其其余余分分別別在在英英國國、、瑞瑞典典和和日日本本。。NSA入侵侵全全球球電電腦腦次次數(shù)數(shù)超超過過61000次，，其其中中對對香香港港和和中中國國內(nèi)內(nèi)地地目目標(biāo)標(biāo)入入侵侵?jǐn)?shù)數(shù)百百次次。。入入侵侵目目標(biāo)標(biāo)是是骨骨干干網(wǎng)網(wǎng)絡(luò)絡(luò)，，基基本本上上都都是是諸諸如如巨巨型型互互聯(lián)聯(lián)網(wǎng)網(wǎng)路路由由器器一一類類的的設(shè)設(shè)備備，，借借此此一一舉舉入入侵侵?jǐn)?shù)數(shù)十十萬萬臺(tái)臺(tái)電電腦腦，，無無需需逐逐個(gè)個(gè)侵侵入入。。美國國《外交交政政策策》網(wǎng)站站報(bào)報(bào)道道，，NSA1997年成成立立的的““定定制制入入口口組組織織””（（TailoredAccessOperations，TAO）的的秘秘密密機(jī)機(jī)構(gòu)構(gòu)，，在在過過去去15年內(nèi)內(nèi)，，已成成功功滲滲透透進(jìn)進(jìn)入入中中國國計(jì)計(jì)算算機(jī)機(jī)及及電電信信系系統(tǒng)統(tǒng)，，獲獲得得了了有有關(guān)關(guān)中中國國國國內(nèi)內(nèi)所所發(fā)發(fā)生生的的““最最好好的的、、最最可可靠靠的的情情報(bào)報(bào)””。15“棱棱鏡鏡””背背后后的的全球球信息息危危機(jī)機(jī)TAO的任任務(wù)務(wù)：：偷偷偷潛潛入入國國外外目目標(biāo)標(biāo)的的計(jì)計(jì)算算機(jī)機(jī)及及電電信信系系統(tǒng)統(tǒng)，，破破解解密密碼碼，，解解除除保保護(hù)護(hù)目目標(biāo)標(biāo)計(jì)計(jì)算算機(jī)機(jī)的的電電腦腦安安全全系系統(tǒng)統(tǒng)，，盜盜走走存存儲(chǔ)儲(chǔ)在在計(jì)計(jì)算算機(jī)機(jī)硬硬盤盤上上的的數(shù)數(shù)據(jù)據(jù)，，然然后后復(fù)復(fù)制制所所有有的的信信息息及及數(shù)數(shù)據(jù)據(jù)后后，，通通過過電電子子郵郵件件及及短短信信發(fā)發(fā)送送系系統(tǒng)統(tǒng)進(jìn)進(jìn)行行傳傳輸輸，，達(dá)達(dá)到到收收集集情情報(bào)報(bào)資資料料的的目目的的。。美國貨貨幾乎乎“控控制””了全全球，，數(shù)據(jù)據(jù)更令令人觸觸目驚驚心：：全球85.2%的PC微處理理器被被英特特爾壟壟斷；；Windows和蘋果果操作作系統(tǒng)統(tǒng)以97.21%絕對優(yōu)優(yōu)勢控控制著著全球球的電電腦終終端；；谷歌和和雅虎虎兩家家公司司占據(jù)據(jù)全球球搜索索引擎擎的份份額的的88.6%；思科更更是幾幾乎掌掌控了了中國各各大網(wǎng)網(wǎng)絡(luò)命命脈：政府府、海海關(guān)、、郵政政、金金融、、鐵路路、民民航、、醫(yī)療療、軍軍警等等要害害部門門，以以及中中國電電信、、中國國聯(lián)通通等電電信運(yùn)運(yùn)營商商的網(wǎng)網(wǎng)絡(luò)基基礎(chǔ)建建設(shè)。。信息與與信息息安全全本節(jié)提提示：：信息的的定義義香農(nóng)簡簡介信息安安全的的概念念信息安安全的的屬性性16信息與與能源源、物物質(zhì)并并列為為人類類社會(huì)會(huì)活動(dòng)動(dòng)的三三大要要素，，現(xiàn)代代社會(huì)會(huì)、人人類進(jìn)進(jìn)步的的突出出標(biāo)志志之一一就是是對信信息的的表達(dá)達(dá)、加加工以以及傳傳播手手段的的不斷斷革新新。從廣義義上講講，信信息是是任何何一個(gè)個(gè)事物物的運(yùn)運(yùn)動(dòng)狀狀態(tài)以以及運(yùn)運(yùn)動(dòng)狀狀態(tài)形形式的的變化化，它它是一一種客客觀存存在。。狹義的的信息息的含含義是是指信信息接接受主主體所所感覺覺到并并能理理解的的東西西。信息的的定義義171916年4月30日，出出生于于美國國密歇歇根州州，是是愛迪迪生的的遠(yuǎn)戚戚。1936年，畢畢業(yè)于于密歇歇根大大學(xué)，，獲得得數(shù)學(xué)學(xué)和電電子工工程學(xué)學(xué)士學(xué)學(xué)位.1940年，獲獲得麻麻省理理工學(xué)學(xué)院（MIT）數(shù)學(xué)博博士學(xué)學(xué)位和和電子子工程程碩士士學(xué)位位。1941年，加加入貝貝爾實(shí)實(shí)驗(yàn)室室，工工作到到1972年。1956年，成成為MIT的客座座教授授，1958年成為為終生生教授授，1978年成為為名譽(yù)譽(yù)教授授。2001年2月26日去世世，享享年84歲。香農(nóng)簡簡介181942年，香香農(nóng)與與人發(fā)發(fā)表了了關(guān)于于串并并聯(lián)網(wǎng)網(wǎng)絡(luò)的的雙終終端數(shù)數(shù)的論論文。。1948年創(chuàng)立立了信信息論論。在在漫長長的歲歲月，，除在在普林林斯頓頓高等等研究究院工工作過過一年年外，，主要要都在在MIT和BellLab度過。。在二戰(zhàn)戰(zhàn)時(shí)，，香農(nóng)農(nóng)也是是一位位著名名的密碼破破譯者者。BellLab的破譯譯團(tuán)隊(duì)隊(duì)主要要是追追蹤德德國飛飛機(jī)和和火箭箭，尤尤其是是在德德國火火箭對對英國國進(jìn)行行閃電電戰(zhàn)時(shí)時(shí)起了了很大大作用用。1948年香農(nóng)農(nóng)在BellSystemTechnicalJournal上發(fā)表表了《AMathematicalTheoryofCommunication》。該論論文由由香農(nóng)農(nóng)和威威沃共共同署署名。。1949年香農(nóng)農(nóng)發(fā)表表了另另外一一篇重重要論論文《CommunicationTheoryofSecrecySystems》(保密系系統(tǒng)的的通信信理論論)，正是是基于于這種種工作作實(shí)踐踐，它它的意意義是是使保保密通通信由由藝術(shù)術(shù)變成成科學(xué)學(xué)。香農(nóng)簡簡介（（續(xù)））19信息安安全的的概念念（續(xù)續(xù)）從信息息的角角度來來說信信息安安全可可以分分為數(shù)數(shù)據(jù)安安全和和系統(tǒng)統(tǒng)安全全。信信息安安全可可以從從兩個(gè)個(gè)層次次來看看:從消息層層次來看，，包括括信息息的完完整性性（Integrity）（即即保證證消息息的來來源、、去向向、內(nèi)內(nèi)容真真實(shí)無無誤））、保保密性性（Confidentiality）（即即保證證消息息不會(huì)會(huì)被非非法泄泄露擴(kuò)擴(kuò)散））、不不可否否認(rèn)性性（Non-repudiation）——也稱為為不可可抵賴賴性（（即保保證消消息的的發(fā)送送和接接受者者無法法否認(rèn)認(rèn)自己己所做做過的的操作作行為為）等等；從網(wǎng)絡(luò)層層次來看，，包括括可用用性（（即保保證網(wǎng)網(wǎng)絡(luò)和和信息息系統(tǒng)統(tǒng)隨時(shí)時(shí)可用用，運(yùn)運(yùn)行過過程中中不出出現(xiàn)故故障，，若遇遇意外外打擊擊能夠夠盡量量減少少并盡盡早恢恢復(fù)正正常））、可可控性性（Controllability）是對對網(wǎng)絡(luò)絡(luò)信息息的傳傳播及及內(nèi)容容具有有控制制能力力的特特性。。20信息安安全的的基本本屬性性主要要表現(xiàn)現(xiàn)在以以下幾幾個(gè)方方面：：完整性性（Integrity）--信息在在存儲(chǔ)儲(chǔ)或傳傳輸?shù)牡倪^程程中保保持未未經(jīng)授授權(quán)不不能改改變的的特性性；；保密性性（Confidentiality）--信息不不被泄泄露給給未經(jīng)經(jīng)授權(quán)權(quán)者的的特性性；可用性性（Availability）--信息可可被授授權(quán)者者訪問問并按按需求求使用用的特特性；；不可否否認(rèn)性性（Non-repudiation）--所有參參與者者都不不可能能否認(rèn)認(rèn)或抵抵賴曾曾經(jīng)完完成的的操作作和承承諾；；可控性性（Controllability）--對信息息的傳傳播及及內(nèi)容容具有有控制制能力力的特特性；；信息安安全的的任務(wù)務(wù)就是是要實(shí)實(shí)現(xiàn)信信息的的上述述五種種安全全屬性性。對于于攻擊擊者來來說，，就是是要通通過一一切可可能的的方法法和手手段破破壞信信息的的安全全屬性性。信息安安全的的屬性性21信息安安全面面臨的的威脅脅本節(jié)提提示：：信息安安全威威脅的的定義義信息安安全典典型案案例黑客簡簡介22信息安安全威威脅是是指某某個(gè)人人、物物、事事件或或概念念對信信息資資源的的保密密性、、完整整性、、可用用性或或合法法使用用所造造成的的危險(xiǎn)險(xiǎn)。攻擊是對對安全威威脅的具具體體現(xiàn)現(xiàn)。雖然人為為因素和和非人為為因素都都可以對對通信安安全構(gòu)成成威脅，，但是精精心設(shè)計(jì)計(jì)的人為為攻擊威威脅最大大。信息安全全威脅23信息安全全威脅的的分類信息安全威脅人為因素非人為因素?zé)o意識(shí)的威脅：操作失誤有意識(shí)的威脅內(nèi)部攻擊：蓄意破壞、竊取資料外部攻擊主動(dòng)攻擊：黑客、病毒被動(dòng)攻擊：竊取、流量分析自然災(zāi)害：地震、火災(zāi)等系統(tǒng)故障：硬件失效、電源故障技術(shù)缺陷：操作系統(tǒng)漏洞、應(yīng)用軟件瑕疵等信息安全全威脅的的分類2425移動(dòng)互聯(lián)聯(lián)網(wǎng)安全全威脅終端安全威脅脅：復(fù)制SIM卡，手機(jī)機(jī)惡意軟軟件等無線接入入及傳輸輸安全威威脅：偽造基站站，釣魚魚WiFi，RF干擾攻擊擊，F(xiàn)emto安全等網(wǎng)絡(luò)安全全威脅：：釣魚網(wǎng)站站，網(wǎng)站站拖庫，，高級(jí)長期威威脅（advancedpersistentthreat，APT）攻擊等新業(yè)務(wù)安安全威脅脅26移動(dòng)互聯(lián)聯(lián)網(wǎng)安全全威脅終端安全威無線接入入及傳輸輸安全威威脅：偽造基站站，釣魚魚WiFi，RF干擾攻擊擊，F(xiàn)emto安全等網(wǎng)絡(luò)安全全威脅：：釣魚網(wǎng)站站，網(wǎng)站站拖庫，，APT攻擊等新業(yè)務(wù)安安全威脅脅復(fù)制SIM卡27技術(shù)原理理：我們手機(jī)機(jī)SIM中有三組組數(shù)值是是關(guān)鍵的的：IMSI、ICCID、KI。其中IMSI、ICCID可以直接接讀取，，KI是加密的的。如果果通過技技術(shù)手段段把這三三組數(shù)值值寫到一一張?zhí)厥馐獾目ㄉ仙?，達(dá)到到復(fù)制的的目的。。KI是制卡的時(shí)時(shí)候就以以特殊工工藝燒進(jìn)進(jìn)SIM卡的一個(gè)個(gè)參數(shù)值值，由32個(gè)十六進(jìn)進(jìn)制的字字符組成。SIM卡掃描軟軟件的原原理是利利用Comp128算法的沖沖撞漏洞洞來計(jì)算算KI。理論上在在5小時(shí)內(nèi)就就有可能能破解KI值，復(fù)制制一張新新卡。最最多40小時(shí)就可可以跑完完所有KI組合并復(fù)制一張電話卡。。危害：短信和來電電的劫持。拿到克隆卡卡的人完完全可以以像原本本的合法法用戶那那樣去使使用這張張卡，比比如手機(jī)機(jī)找回密密碼、密密碼保護(hù)護(hù)之類的的措施，，只要我我們最后后向基站站建立連連接，就就可以收收到一些些驗(yàn)證碼碼、重設(shè)設(shè)密碼等等信息——因?yàn)楸唤俳俪至?。。我們甚甚至還可可以消費(fèi)這張張卡里的的話費(fèi)。CIH病毒(1998年6月)CIH病毒是由由臺(tái)灣一一位名叫叫陳盈豪豪的青年年編寫。。CIH病毒破壞壞了主板BIOS的數(shù)據(jù)，，使計(jì)算算機(jī)無法正常常開機(jī),并且CIH病毒還破破壞硬盤數(shù)據(jù)據(jù)。從1998年的4月26日開始，，4月26日成為一一個(gè)令電電腦用戶戶頭痛又又恐慌的的日子，，因?yàn)樵谠谀且惶焯霤IH病毒在全球球全面發(fā)作作。據(jù)媒體報(bào)道道，全球有有超過6000萬臺(tái)電腦被被破壞，隨隨后的2000年4月26日，CIH又在全球大大爆發(fā)，累累計(jì)造成的的損失超過過10億美元。計(jì)算機(jī)病毒毒282930“熊貓燒香香”病毒（（2006年）病毒作者李李?。?，，25歲，武漢新新洲區(qū)人）），他于2006年10月16日編寫了““熊貓燒香香”病毒并并在網(wǎng)上廣廣泛傳播。。熊貓燒香是是一種經(jīng)過過多次變種種的蠕蟲病毒。該病毒能能夠終止大大量的反病毒軟件件和防火墻軟件件進(jìn)程，感染染系統(tǒng)中exe、com、pif、src、html、asp等文件，刪刪除擴(kuò)展名名為gho的備份文件件。用戶電電腦中毒后后可能會(huì)出出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬硬盤中數(shù)據(jù)文件被破壞等現(xiàn)現(xiàn)象。由于中毒電電腦的可執(zhí)行文件件會(huì)出現(xiàn)“熊熊貓燒香””圖案，所所以也被稱稱為“熊熊貓燒香”病毒。計(jì)算機(jī)病毒毒（續(xù)）31計(jì)算機(jī)病毒毒（續(xù)）“熊貓燒香香”病毒（（2006年）3233移動(dòng)互聯(lián)網(wǎng)網(wǎng)安全威脅脅終端安全威脅：：復(fù)制SIM卡，手機(jī)惡惡意軟件等等無線接入及及傳輸安全全威脅：偽造基站，，釣魚WiFi，RF干擾攻擊，，F(xiàn)emto安全等網(wǎng)絡(luò)安全威威脅：釣魚網(wǎng)站，，網(wǎng)站拖庫庫，APT攻擊等新業(yè)務(wù)安全全威脅偽造基站34在2G中，只是網(wǎng)網(wǎng)絡(luò)對用戶戶進(jìn)行鑒權(quán)權(quán)，為單向向鑒權(quán)。而而在3G中(WCDMA和TD-SCDMA)一個(gè)重要的安安全特征就就是引入了了雙向認(rèn)證證。即不僅僅網(wǎng)絡(luò)對用用戶進(jìn)行鑒鑒權(quán)，同時(shí)時(shí)用戶也對對網(wǎng)絡(luò)進(jìn)行行鑒權(quán)。安全專家稱稱這種攻擊擊為“中介介者”攻擊擊，它可將將一個(gè)假基站安插插在手機(jī)和和真正的基基站之間，從中截取取它們通信信，而真基基站和手機(jī)機(jī)都無法獲獲知假基站站的存在。。釣魚WiFi35技術(shù)原理：：釣魚WIFI就是一個(gè)假的無無線熱點(diǎn)，，當(dāng)你的無無線設(shè)備連連接上去是是，會(huì)被對對方反掃描描，如果這這時(shí)你的手手機(jī)正好連連在什么網(wǎng)網(wǎng)站上進(jìn)行行了數(shù)據(jù)通通信，且涉涉及到了疑疑是用戶名名密碼等數(shù)數(shù)據(jù)，對方方就會(huì)獲得得你的用戶戶名和密碼碼。釣魚WIFI都可以將自自己的代碼碼嵌入數(shù)據(jù)據(jù)包中，再再返回給請請求者，導(dǎo)導(dǎo)致用戶訪訪問惡意網(wǎng)網(wǎng)頁或者執(zhí)執(zhí)行惡意代代碼。危害：竊取用戶密密碼。使用戶設(shè)備備中木馬、、病毒。RF干擾攻擊36技術(shù)原理：射頻干擾攻擊，國際上稱稱之為RFJammingAttack，在個(gè)別國國外文獻(xiàn)資資料中有時(shí)時(shí)也稱之為為RFDisruptionAttack，該攻擊指指攻擊方通過過發(fā)出干擾擾射頻達(dá)到到破壞正常常無線通信信的目的。RF，全稱為RadioFrequency，即射頻，，主要包括括無線信號(hào)號(hào)發(fā)射機(jī)及及收信機(jī)等等。全頻道阻塞塞干擾、瞄瞄準(zhǔn)式阻塞塞干擾等均為干擾擾的主要實(shí)實(shí)現(xiàn)方式。Femto安全37事件：安全研究組組織“TheHacker’sChoice”發(fā)出對VodafoneFemto服務(wù)安全性性的質(zhì)疑，，宣稱已經(jīng)經(jīng)破解了沃沃達(dá)豐接入入點(diǎn)設(shè)備的的root用戶密碼，并能夠使使用該設(shè)備備收集其他移移動(dòng)用戶的的個(gè)人信息息或者偽裝成為簽簽約用戶盜盜打電話。安全現(xiàn)狀：：與傳統(tǒng)運(yùn)營商商設(shè)備不同同，F(xiàn)emto是一個(gè)客戶端設(shè)備備，最終會(huì)會(huì)放置在用用戶的家中中，運(yùn)營商無法控制用戶對對其拆解或或者改裝等等，從而加加大了安全威脅。38LTE系統(tǒng)架構(gòu)的的演進(jìn)LTE系統(tǒng)架構(gòu)仍仍然分為兩兩部分：核核心網(wǎng)EPC(EvolvedPacketCorenetwork)（包含Serving-Gateway和MME）和接入網(wǎng)網(wǎng)E-UTRAN（僅由eNB(evolvedNodeB)組成）RNC:無線網(wǎng)絡(luò)控控制器SGSN:業(yè)務(wù)GPRS支撐節(jié)點(diǎn)GGSN:網(wǎng)管GPRS支撐節(jié)點(diǎn)MME:移動(dòng)性管理理實(shí)體Serving-Gateway：業(yè)務(wù)網(wǎng)關(guān)關(guān)X2接口:連接不同的的eNBS1接口:連接核心網(wǎng)網(wǎng)與接入網(wǎng)網(wǎng)主要特點(diǎn)：：扁平化、全全I(xiàn)P39移動(dòng)互聯(lián)網(wǎng)網(wǎng)安全威脅脅終端安全威脅：：復(fù)制SIM卡，手機(jī)惡惡意軟件等等無線接入及及傳輸安全全威脅：偽造基站，，釣魚WiFi，RF干擾攻擊，，F(xiàn)emto安全等網(wǎng)絡(luò)安全威威脅：釣魚網(wǎng)站，，網(wǎng)站拖庫庫，APT攻擊等新業(yè)務(wù)安全全威脅IP協(xié)議的安全全性40IPv4的目的只是是作為簡單的網(wǎng)絡(luò)絡(luò)互通協(xié)議議，因而其中中沒有包含安安全特性?，F(xiàn)有的安全全機(jī)制是在在應(yīng)用程序級(jí)級(jí)，如Email加密，HTTP和SSL等，不是從從IP層來保證的的。然而，隨著著IP網(wǎng)絡(luò)在商用用和消費(fèi)網(wǎng)網(wǎng)絡(luò)中的重重要性與日日俱增，攻攻擊所導(dǎo)致致的潛在的的危害具有有空前的破破壞性。IPv4典型漏洞1、分組泄露：由于在設(shè)設(shè)計(jì)時(shí)幾乎沒有安安全性考慮慮，分組承載載的數(shù)據(jù)信信息容易被被泄露，分分組的合法法性也無法法得到認(rèn)證證。2、偽造IP：由于IPv4地址有限，，而且分配配嚴(yán)重不平平衡，我國目前大大多采用NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址址轉(zhuǎn)換）方式，即終端用戶分分配到的一一般都是私私有地址，，這就使得偽偽造源IP地址進(jìn)行網(wǎng)網(wǎng)絡(luò)攻擊成成為可能，攻擊者可可以任意偽造源IP地址對目標(biāo)地址址進(jìn)行攻擊擊。這樣一旦有有非法信息息發(fā)布或者者病毒傳播播，是無法法追溯到源源地址的，，大大地加加劇了網(wǎng)絡(luò)絡(luò)安全問題題。3、分片漏洞：由于網(wǎng)絡(luò)絡(luò)中存在最大傳輸單單元的限制制，因此傳送送時(shí)數(shù)據(jù)包包可能要進(jìn)進(jìn)行分片，，由此會(huì)帶帶來安全上上的漏洞。。IPv4安全問題（（1）病毒和蠕蟲蟲在IPv4網(wǎng)絡(luò)上,蠕蟲和病毒毒不僅危及及主機(jī),還要消耗網(wǎng)網(wǎng)絡(luò)帶寬而而給路由器器和服務(wù)器器增加負(fù)擔(dān)擔(dān),可以使得服服務(wù)器癱瘓瘓。比如SQLSlammer病毒。在IPv4中經(jīng)常使用用三種方法法來防止病病毒的攻擊擊:及時(shí)打補(bǔ)丁丁、主機(jī)防防病毒、早早期的檢測測。IPv4安全問題（（2）網(wǎng)絡(luò)攻擊IPv4網(wǎng)絡(luò)另一大大問題是網(wǎng)網(wǎng)絡(luò)攻擊嚴(yán)嚴(yán)重，主要要包括：1.內(nèi)部攻擊內(nèi)部部攻攻擊擊既既可可以以是是由由于于網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)計(jì)計(jì)的的不不嚴(yán)嚴(yán)密密性性，，網(wǎng)網(wǎng)絡(luò)絡(luò)內(nèi)內(nèi)部部使使用用者者誤誤人人他他們們本本不不該該進(jìn)進(jìn)入入的的領(lǐng)領(lǐng)域域，，誤誤改改其其中中的的數(shù)數(shù)據(jù)據(jù)；；也也可可能能是是有有些些內(nèi)內(nèi)部部用用戶戶利利用用自自身身的的合合法法身身份份有有意意對對數(shù)數(shù)據(jù)據(jù)進(jìn)進(jìn)行行破破壞壞。。據(jù)據(jù)統(tǒng)統(tǒng)計(jì)計(jì)，，70％左右右的的安安全全問問題題來來源源于于內(nèi)內(nèi)部部攻攻擊擊。。2.網(wǎng)絡(luò)絡(luò)外外部部的的黑黑客客攻攻擊擊IPv6在安安全全性性上上的的改改進(jìn)進(jìn)IPv6的巨巨大大地地址址空空間間以以及及引引入入IPSec帶來來的的加密密和和認(rèn)認(rèn)證證機(jī)機(jī)制制，，使使其其在在網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全方方面面具具有有優(yōu)優(yōu)勢勢：：1.IPv6地址址資資源源豐豐富富：這這樣樣就就減減小小了了偽偽造造IP地址址進(jìn)進(jìn)行行攻攻擊擊的的可可能能性性。。2.與IPSec有機(jī)機(jī)結(jié)結(jié)合合：在在設(shè)設(shè)計(jì)計(jì)IPv6時(shí)，，協(xié)協(xié)議議安安全全作作為為一一個(gè)個(gè)重重要要的的方方面面進(jìn)進(jìn)行行考考慮慮，，將將IP安全全體體系系結(jié)結(jié)構(gòu)構(gòu)(IPSec)納入入了了協(xié)協(xié)議議整整體體之之中中，，成成為為協(xié)協(xié)議議的的一一個(gè)個(gè)有有機(jī)機(jī)組組成成部部分分。。3.數(shù)據(jù)據(jù)認(rèn)認(rèn)證證：IPv6使數(shù)數(shù)據(jù)據(jù)包包的的接接收收者者可可以以驗(yàn)驗(yàn)證證數(shù)數(shù)據(jù)據(jù)的的真真實(shí)實(shí)性性、、完完整整性性，，還還可可以以與與數(shù)數(shù)字字簽簽名名結(jié)結(jié)合合，，保保證證數(shù)數(shù)據(jù)據(jù)的的的的真真實(shí)實(shí)可可靠靠。。IPv6在安安全全性性上上的的改改進(jìn)進(jìn)IPv6允許許數(shù)數(shù)據(jù)據(jù)傳傳輸輸采采用用隧隧道道模模式式和和傳傳輸輸模模式式兩兩種種方方式式，，它它既既可可為為兩兩個(gè)個(gè)節(jié)節(jié)點(diǎn)點(diǎn)間間的的簡簡單單直直接接的的數(shù)數(shù)據(jù)據(jù)包包傳傳送送提供供身身份份驗(yàn)驗(yàn)證證和和保保護(hù)護(hù)，也也可可用用于于對對發(fā)發(fā)給給安安全全性性網(wǎng)網(wǎng)關(guān)關(guān)或或由由安安全全性性網(wǎng)網(wǎng)關(guān)關(guān)發(fā)發(fā)出出的的整整個(gè)個(gè)數(shù)數(shù)據(jù)據(jù)包包進(jìn)進(jìn)行行包包裝裝，，并并加加入入認(rèn)認(rèn)證證信信息息。。4.數(shù)據(jù)據(jù)加加密密：用用戶戶可可以以對對網(wǎng)絡(luò)絡(luò)層層的的數(shù)數(shù)據(jù)據(jù)進(jìn)行行加加密密并并對對IP報(bào)文文進(jìn)進(jìn)行行校校驗(yàn)驗(yàn)，這這極極大大的的增增強(qiáng)強(qiáng)了了網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全。。IPv6的安安全全缺缺陷陷網(wǎng)絡(luò)絡(luò)安安全全永永遠(yuǎn)遠(yuǎn)是是一一個(gè)個(gè)相相對對概概念念，，也也不不要要指指望望IPv6能夠夠徹徹底底所所有有的的網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全問問題題。。目目前前，，IPv6網(wǎng)絡(luò)絡(luò)仍仍然然存存在在加加多多缺缺陷陷。。1.保留留IPv4結(jié)構(gòu)構(gòu)：IPv6中仍仍保保留留著著IPv4的諸諸多多結(jié)結(jié)構(gòu)構(gòu)特特點(diǎn)點(diǎn)，，如如選選項(xiàng)項(xiàng)分分片片和和TTL等。。這這些些選選項(xiàng)項(xiàng)都都曾曾經(jīng)經(jīng)被被黑黑客客用用來來攻攻擊擊IPv4節(jié)點(diǎn)點(diǎn)。。目前前為為止止，，IPv6中使使用用的的安安全全策策略略都都是是在在IPv4下已已經(jīng)經(jīng)存存在在的的，，因因此此它它無無法法從從根根本本上上解解決決安安全全性性能能的的問問題題。。IPv6的安安全全缺缺陷陷2.應(yīng)用用層層安安全全性性差差：IPv6主要解解決的的是網(wǎng)網(wǎng)絡(luò)層層的身身份認(rèn)認(rèn)證、、數(shù)據(jù)據(jù)包完完整性性和加加密問問題。。因此此，一一些從從上層發(fā)發(fā)起的的攻擊擊如應(yīng)用用層的的緩沖沖區(qū)溢溢出攻攻擊和和傳輸輸層的的TCPSYNFLOOD攻擊等等在IPv6下仍然然存在在。3.網(wǎng)管不不成熟熟：針對IPv6的網(wǎng)管設(shè)設(shè)備和和網(wǎng)管管軟件件幾乎乎沒有有成熟熟產(chǎn)品品出現(xiàn)現(xiàn)．因此此缺乏乏對IPv6網(wǎng)絡(luò)進(jìn)進(jìn)行監(jiān)監(jiān)測和和管理理的手手段，，缺乏乏對大大范圍圍的網(wǎng)網(wǎng)絡(luò)故故障定定位和和性能能分析析的手手段。。IPSec技術(shù)定位：“Internet協(xié)議安安全性性(InternetProtocolSecurity)”是一種種開放放標(biāo)準(zhǔn)準(zhǔn)的框框架結(jié)結(jié)構(gòu)，，通過過使用用加密密的安安全服服務(wù)以以確保保在Internet協(xié)議(IP)網(wǎng)絡(luò)上上進(jìn)行行保密密而安安全的的通訊訊。原理：IPSec通過身份驗(yàn)驗(yàn)證頭頭(AH)與封裝安安全性性凈荷荷頭(ESP)相結(jié)合合，配配合相相關(guān)的的密鑰鑰管理理機(jī)制制，IPSec為網(wǎng)絡(luò)絡(luò)數(shù)據(jù)據(jù)和信信息內(nèi)內(nèi)容的的有效效性、、一致致性以以及完完整性性提供供了保保證。。優(yōu)勢：在IPv6里，由由于IPSec提高了了數(shù)據(jù)據(jù)傳輸輸?shù)陌舶踩孕?，大大部分分與數(shù)數(shù)據(jù)認(rèn)認(rèn)證、、數(shù)據(jù)據(jù)完整整性和和數(shù)據(jù)據(jù)機(jī)密密性有有關(guān)的的攻擊擊行為為將得得到緩緩解，，包括括IP欺騙、、重放放攻擊擊、反反射攻攻擊、、中間間人攻攻擊、、網(wǎng)絡(luò)絡(luò)偵聽聽等攻攻擊形形式將將得到到抑制制。IPSec技術(shù)但在實(shí)實(shí)際部部署IPv6網(wǎng)絡(luò)時(shí)時(shí)，由由于技技術(shù)能能力不不夠和和現(xiàn)有有安全全基礎(chǔ)礎(chǔ)設(shè)施施不足足等原原因，，IPSec在當(dāng)前前的IPv6網(wǎng)絡(luò)中中并未未得到到廣泛泛使用用。所所以，，目前前的IPv6網(wǎng)絡(luò)仍仍然是是不安安全的的。1.TypesofTrafficthatIPSecexamines2.Howtrafficissecuredanencrypted3.Theauthenticationmethod50移動(dòng)互互聯(lián)網(wǎng)網(wǎng)安全全威脅脅終端安全威威脅：：復(fù)制SIM卡，手手機(jī)惡惡意軟軟件等等無線接接入及及傳輸輸安全全威脅脅：偽造基基站，，釣魚魚WiFi，RF干擾攻攻擊，，F(xiàn)emto安全等等網(wǎng)絡(luò)安安全威威脅：：釣魚網(wǎng)網(wǎng)站，，網(wǎng)站站拖庫庫，APT攻擊等等新業(yè)務(wù)務(wù)安全全威脅脅手機(jī)惡惡意軟軟件51網(wǎng)秦發(fā)發(fā)布的的《2011年中國國大陸陸地區(qū)區(qū)手機(jī)機(jī)安全全報(bào)告告》顯示，，2011年網(wǎng)秦秦監(jiān)測測平臺(tái)臺(tái)查殺殺到手手機(jī)惡惡意軟軟件24794款，同同比增增長266%，中國國大陸陸地區(qū)區(qū)2011全年累累計(jì)感感染智智能手手機(jī)1152萬部，，同比比增長長44%。2011年度十十大手手機(jī)病病毒52安卓吸吸費(fèi)王王（MSO.PJApps）短信竊竊賊（（SW.Spyware）短信大大盜（（SW.SecurePhone）X臥底（（Spy.Flexispy）安卓竊竊聽貓貓（SW.Msgspy）電話吸吸費(fèi)軍軍團(tuán)（（BD.LightDD）電話殺殺手（（SW.PhoneAssis）跟蹤隱隱形人人（BD.TRACK）聯(lián)網(wǎng)殺殺手（（s.rogue.uFun）阿基德德鎖（（a.privacy.AckidBlocker）安卓吸吸費(fèi)王王53作為一一款典典型的的惡意意扣費(fèi)費(fèi)軟件件，其其原理理為利利用技技術(shù)手手段將將扣費(fèi)插插包批量嵌嵌入熱熱門應(yīng)應(yīng)用來來誘騙騙用戶戶下載載，裝入手由于其具備攔截中國移動(dòng)、中國聯(lián)通業(yè)務(wù)短信的行為，使得用戶極易在不知情的狀態(tài)下落入黑客設(shè)置的吸費(fèi)陷阱之中。一款名名為““歡樂樂斗地地主””手機(jī)機(jī)游戲戲手機(jī)被被強(qiáng)行行定制制一項(xiàng)項(xiàng)每月月自動(dòng)動(dòng)扣費(fèi)費(fèi)的SP業(yè)務(wù)跟蹤隱隱形人人54監(jiān)控人人下載此此應(yīng)用用，將其其植入到到試圖圖進(jìn)行行實(shí)時(shí)時(shí)定位位的被被監(jiān)控控人手手機(jī)之之中收到指定短短信指指令，軟件件自動(dòng)動(dòng)開啟啟手機(jī)機(jī)GPS定位功功能，，竊取取被監(jiān)監(jiān)控人人地理理位置置信息息病毒危危害1.隱藏在后后臺(tái)，提提供遠(yuǎn)程程操控手手機(jī)接口口，威脅脅用戶手手機(jī)；2.后臺(tái)聯(lián)網(wǎng)網(wǎng)，竊取取用戶地地理位置置信息，，泄露用用戶隱私私；3.后臺(tái)發(fā)送送短信，，消耗用用戶資費(fèi)費(fèi)。信息安全全的威脅脅者---黑客55黑客Hacker是那些檢檢查（網(wǎng)網(wǎng)絡(luò)）系系統(tǒng)完整性和和安全性性的人，他他們通常常非常精精通計(jì)算算機(jī)硬件件和軟件件知識(shí)，，并有能能力通過過創(chuàng)新的的方法剖剖析系統(tǒng)統(tǒng)?！昂诤诳汀蓖ㄍǔ?huì)去去尋找網(wǎng)網(wǎng)絡(luò)中漏漏洞，但但是往往往并不去去破壞計(jì)計(jì)算機(jī)系系統(tǒng)。入侵者Cracker只不過是是那些利利用網(wǎng)絡(luò)絡(luò)漏洞破破壞網(wǎng)絡(luò)絡(luò)的人，，他們往往往會(huì)通通過計(jì)算算機(jī)系統(tǒng)統(tǒng)漏洞來來入侵，，他們也也具備廣廣泛的電電腦知識(shí)識(shí)，但與與黑客不不同的是是他們以以破壞為為目的?！，F(xiàn)在Hacker和Cracker已經(jīng)混為為一談，，人們通通常將入入侵計(jì)算算機(jī)系統(tǒng)統(tǒng)的人統(tǒng)統(tǒng)稱為黑黑客。什么是56黑客在網(wǎng)網(wǎng)上的攻攻擊活動(dòng)動(dòng)每年以以十倍速速增長。。修改網(wǎng)頁頁進(jìn)行惡惡作劇、、竊取網(wǎng)網(wǎng)上信息息興風(fēng)作作浪。非法進(jìn)入入主機(jī)破破壞程序序、阻塞塞用戶、、竊取密密碼。串入銀行行網(wǎng)絡(luò)轉(zhuǎn)轉(zhuǎn)移金錢錢、進(jìn)行行電子郵郵件騷擾擾。黑客可能能會(huì)試圖圖攻擊網(wǎng)網(wǎng)絡(luò)設(shè)備備，使網(wǎng)網(wǎng)絡(luò)設(shè)備備癱瘓他們利用用網(wǎng)絡(luò)安安全的脆脆弱性，，無孔不不入！美國每年年因黑客客而造成成的經(jīng)濟(jì)濟(jì)損失近近百億美美元。黑客入侵侵和破壞壞的危險(xiǎn)險(xiǎn)5758Internet上有超過過30,000個(gè)黑客站站點(diǎn)：黑客咨詢詢站(deadlink)黑暗魔域域(deadlink)黑客專家家(deadlink)黑客工作作室(504GatewayTime-out)中國紅客客(deadlink)黑客俱樂樂部(Comingsoon)……黑客站點(diǎn)點(diǎn)5960信息安全全的需求求與實(shí)現(xiàn)現(xiàn)本節(jié)提示示：信息安全全的需求求信息安全全技術(shù)信息安全全與法律律6162信息安全全的需求求信息安全全研究涵涵蓋多樣樣內(nèi)容，，其中包包括網(wǎng)絡(luò)絡(luò)自身的的可用性性、網(wǎng)絡(luò)絡(luò)的運(yùn)營營安全、、信息傳傳遞的機(jī)機(jī)密性、、有害信信息傳播播控制等等大量問問題。然而通信信參與的的不同實(shí)實(shí)體對信信息安全全關(guān)心的的內(nèi)容不不同，對對網(wǎng)絡(luò)與與信息安安全又有有不同的的需求。。在這里按按照用戶戶、運(yùn)營營商、國國家以及及其他實(shí)實(shí)體描述述信息安安全需求求。63信息安全全的實(shí)現(xiàn)現(xiàn)信息安全全的實(shí)現(xiàn)現(xiàn)需要有有一定的的信息安安全策略略，它是是指為保保證提供供一定級(jí)級(jí)別的安安全保護(hù)護(hù)所必須須遵守的的規(guī)則。。實(shí)現(xiàn)信息息安全，，不但靠先先進(jìn)的技技術(shù)，而而且也得得靠嚴(yán)格格的安全全管理和和法律約約束。先進(jìn)的信信息安全全技術(shù)是是網(wǎng)絡(luò)安安全的根根本保證證嚴(yán)格的安安全管理理完善的法法律、法法規(guī)技術(shù)法律管理信息安信息加密密信息加密密使有用用的信息息變?yōu)榭纯瓷先o無用的亂亂碼，攻攻擊者無無法讀懂懂信息的的內(nèi)容從從而保護(hù)護(hù)信息。。密碼體制制的分類類對稱密碼碼(加解密使使用相同同密鑰)分組密碼碼：DES，3DES流密碼：：AES，RC4，RC5，RC6非對稱密密碼(加解密使使用不同同密鑰)RSA，DSA，DH64Yao還是yue在普通詞詞典上，，密鑰，，公鑰這這些詞被被標(biāo)注為為讀【yuèè】。技術(shù)詞詞典則相相反，通通常標(biāo)注注為【yàào】。65信息安全全技術(shù)信息加密密66明文數(shù)據(jù)據(jù)明文數(shù)據(jù)據(jù)加密運(yùn)算算解密運(yùn)算算傳輸信道道密鑰產(chǎn)生生器密鑰協(xié)商商密文密文開放，易易受竊聽聽加密與解解密過程程信息安全全技術(shù)（（續(xù)）數(shù)字簽名名數(shù)字簽名名是附加在數(shù)數(shù)據(jù)單元元上的一一些數(shù)據(jù)據(jù),或是對數(shù)數(shù)據(jù)單元元所作的的密碼變換換。它是對對電子形形式的消消息進(jìn)行行簽名的的一種方方法。數(shù)字簽名名機(jī)制決決定于兩兩個(gè)過程程：簽名過程程簽名過程程是利用用簽名者者的私有有信息作作為秘密密鑰，或或?qū)?shù)據(jù)據(jù)單元進(jìn)進(jìn)行加密密或產(chǎn)生生該數(shù)據(jù)據(jù)單元的的密碼校校驗(yàn)值。。驗(yàn)證過程程驗(yàn)證過程程是利用用公開的的規(guī)程和和信息來來確定簽簽名是否否是利用用該簽名名者的私私有信息息產(chǎn)生的的。67信息安全全技術(shù)（（續(xù)）數(shù)據(jù)完整整性數(shù)據(jù)完整整性保護(hù)護(hù)用于防防止非法法篡改，，利用密碼理論論的完整整性保護(hù)護(hù)能夠很好好地對付付非法篡篡改。完整性的的另一用用途是提提供不可可抵賴服服務(wù)，當(dāng)當(dāng)信息源源的完整整性可以以被驗(yàn)證證卻無法法模仿時(shí)時(shí)，收到到信息的的一方可可以認(rèn)定定信息的的發(fā)送者者，數(shù)字字簽名就就可以提提供這種種手段。68身份鑒別別鑒別是信信息安全全的基本本機(jī)制，，通信的雙雙方之間間應(yīng)互相相認(rèn)證對對方的身身份，以保證證賦予正正確的操操作權(quán)力力和數(shù)據(jù)據(jù)的存取取控制。。網(wǎng)絡(luò)也也必須認(rèn)認(rèn)證用戶戶的身份份，以保保證合法法的用戶戶進(jìn)行正正確的操操作并進(jìn)進(jìn)行正確確的審計(jì)計(jì)。通常有三種種方法驗(yàn)證證主體身份份。一是只只有該主體體了解的秘秘密，如口令、密鑰鑰；二是主體體攜帶的物物品，如智能卡和令令牌卡；三是只有有該主題具具有的獨(dú)一一無二的特特征或能力力，如指紋、聲音音、視網(wǎng)膜膜或簽字等。信息安全技技術(shù)（續(xù)））69訪問控制訪問控制的的目的是防防止對信息息資源的非授權(quán)訪問問和非授權(quán)權(quán)使用信息息資源。它允許用用戶對其常常用的信息息庫進(jìn)行適適當(dāng)權(quán)利的的訪問，限限制他隨意意刪除、修修改或拷貝貝信息文件件。訪問控控制技術(shù)還還可以使系系統(tǒng)管理員員跟蹤用戶戶在網(wǎng)絡(luò)中中的活動(dòng)，，及時(shí)發(fā)現(xiàn)現(xiàn)并拒絕““黑客”的的入侵。訪問控制采采用最小特特權(quán)原則：：即在給用用戶分配權(quán)權(quán)限時(shí)，根根據(jù)每個(gè)用用戶的任務(wù)務(wù)特點(diǎn)使其其獲得完成成自身任務(wù)務(wù)的最低權(quán)權(quán)限，不給給用戶賦予予其工作范范圍之外的的任何權(quán)力力。信息安全技技術(shù)（續(xù)））70安全數(shù)據(jù)庫庫數(shù)據(jù)庫系統(tǒng)統(tǒng)有數(shù)據(jù)庫和數(shù)數(shù)據(jù)庫管理理系統(tǒng)兩部分組成成。保證數(shù)數(shù)據(jù)庫的安安全主要在在數(shù)據(jù)庫管管理系統(tǒng)上上下功夫，，其安全措措施在很多多方面多類類似于安全全操作系統(tǒng)統(tǒng)中所采取取的措施。。安全數(shù)據(jù)庫庫的基本要要求可歸納納為：數(shù)據(jù)據(jù)庫的完整整性（物理理上的完整整性、邏輯輯上的完整整性和庫中中元素的完完整性）、、數(shù)據(jù)的保保密性（用用戶身份識(shí)識(shí)別、訪問問控制和可可審計(jì)性））、數(shù)據(jù)庫庫的可用性性（用戶界界面友好，，在授權(quán)范范圍內(nèi)用戶戶可以簡便便地訪問數(shù)數(shù)據(jù)）。信息安全技技術(shù)（續(xù)））71網(wǎng)絡(luò)控制技技術(shù)防火墻技術(shù)術(shù)：它是一種種允許接入入外部網(wǎng)絡(luò)絡(luò)，但同時(shí)時(shí)有能夠識(shí)識(shí)別和抵抗抗非授權(quán)訪訪問的安全全技術(shù)。防防火墻扮演演的是網(wǎng)絡(luò)絡(luò)中“交通通警察”角角色，指揮揮網(wǎng)上信息息合理有序序地安全流流動(dòng)，同時(shí)時(shí)也處理網(wǎng)網(wǎng)上的各類類“交通事事故”。防火墻可分分為外部防防火墻和內(nèi)內(nèi)部防火墻墻。前者在在內(nèi)部網(wǎng)絡(luò)絡(luò)和外部網(wǎng)網(wǎng)絡(luò)之間建建立起一個(gè)個(gè)保護(hù)層，，從而防止止“黑客””的侵襲；；后者將內(nèi)內(nèi)部網(wǎng)絡(luò)分分隔成多個(gè)個(gè)局域網(wǎng)，，從而限制制外部攻擊擊造成的損損失。信息安全技技術(shù)（續(xù)））72信息安全技技術(shù)（續(xù)））網(wǎng)絡(luò)控制技技術(shù)入侵檢測技技術(shù)：掃描當(dāng)前前網(wǎng)絡(luò)的活活動(dòng)，監(jiān)視和記錄錄網(wǎng)絡(luò)的流流量，根據(jù)定義義好的規(guī)則則來過濾從從主機(jī)網(wǎng)卡卡到網(wǎng)線上上的流量，，提供實(shí)時(shí)時(shí)報(bào)警。安全協(xié)議：整個(gè)網(wǎng)絡(luò)絡(luò)系統(tǒng)的安安全強(qiáng)度實(shí)實(shí)際上取決決于所使用用的安全協(xié)協(xié)議的安全全性。安全全協(xié)議的設(shè)設(shè)計(jì)和改進(jìn)進(jìn)有兩種方方式：對現(xiàn)有網(wǎng)絡(luò)絡(luò)協(xié)議（如如TCP/IP）進(jìn)行修改改和補(bǔ)充；；在網(wǎng)絡(luò)應(yīng)用用層和傳輸輸層之間增增加安全子層，如安全協(xié)協(xié)議套接字字層（SSL），安全超超文本傳輸輸協(xié)議（SHTTP）和專用通通信協(xié)議（（PCP）。73反病毒技術(shù)術(shù)由于計(jì)算機(jī)機(jī)病毒具有有傳染的泛泛濫性、病病毒侵害的的主動(dòng)性、、病毒程序序外形檢測測的難以確確定性、病病毒行為判判定的難以以確定性、、非法性與與隱蔽性、、衍生性、、衍生體的的不等性和和可激發(fā)性性等特性，，所以必須須花大力氣氣認(rèn)真加以以對付。實(shí)際上計(jì)算算機(jī)病毒研研究已經(jīng)成成為計(jì)算機(jī)機(jī)安全學(xué)的的一個(gè)極具具挑戰(zhàn)性的的重要課題題，作為普普通的計(jì)算算機(jī)用戶，，雖然沒有有必要去全全面研究病病毒和防止止措施，但但是養(yǎng)成““衛(wèi)生”的的工作習(xí)慣慣并在身邊邊隨時(shí)配備備新近的殺毒工具軟軟件是完全必要要的。信息安全技技術(shù)（續(xù)））74安全審審計(jì)安全審審計(jì)是是防止止內(nèi)部部犯罪罪和事事故后后調(diào)查取取證的基礎(chǔ)礎(chǔ)，通過對對一些些重要要的事事件進(jìn)進(jìn)行記記錄，從而而在系統(tǒng)統(tǒng)發(fā)現(xiàn)現(xiàn)錯(cuò)誤誤或受受到攻攻擊時(shí)時(shí)能定定位錯(cuò)錯(cuò)誤和和找到到攻擊擊成功功的原原因。安全全審計(jì)計(jì)是一一種很很有價(jià)價(jià)值的的安全全機(jī)制制。審計(jì)類類似于于飛機(jī)機(jī)上的的“黑匣子子”，它它為系系統(tǒng)進(jìn)進(jìn)行事事故原原因查查詢、、定位位、事事故發(fā)發(fā)生前前的預(yù)預(yù)測、、報(bào)警警以及及為事事故發(fā)發(fā)生后后的實(shí)實(shí)時(shí)處處理提提供詳詳細(xì)可可靠的的依據(jù)據(jù)或支支持。。安全審審計(jì)跟跟蹤的的存在在可以以對潛潛在的的安全全攻擊擊源的的攻擊擊起到到威懾懾作用用。信息安安全技技術(shù)（（續(xù)））75業(yè)務(wù)填填充所謂的的業(yè)務(wù)務(wù)填充充即使使在業(yè)務(wù)閑閑時(shí)發(fā)發(fā)送無無用的的隨機(jī)機(jī)數(shù)據(jù)據(jù)，增加加攻擊擊者通通過通通信流流量獲獲得信信息的的困難難，是是一種種制造造假的的通信信、產(chǎn)產(chǎn)生欺欺騙性性數(shù)據(jù)據(jù)單元元或在在數(shù)據(jù)據(jù)單元元中產(chǎn)產(chǎn)生數(shù)數(shù)據(jù)的的安全全機(jī)制制。該機(jī)制制可用用于提提供對對各種種等級(jí)級(jí)的保保護(hù)，，用來來防止止對業(yè)業(yè)務(wù)進(jìn)進(jìn)行分分析，，同時(shí)時(shí)也增增加了了密碼碼通訊訊的破破譯難難度。。發(fā)送送的隨隨機(jī)數(shù)數(shù)據(jù)應(yīng)應(yīng)具有有良好好的模模擬性性能，，能夠夠以假假亂真真。該該機(jī)制制只有有在業(yè)業(yè)務(wù)填填充受受到保保密性性服務(wù)務(wù)時(shí)才才有效效。信息安安全技技術(shù)（（續(xù)））76路由控控制機(jī)機(jī)制路由控控制機(jī)機(jī)制可可使信信息發(fā)發(fā)送者者選擇擇特殊的的路由由，以保保證連連接、、傳輸輸?shù)陌舶踩?。。其基基本功功能為為：路由選選擇路由可可以動(dòng)動(dòng)態(tài)選選擇，，也可可以預(yù)預(yù)定義義，以以便只只用物物理上上安全全的子子網(wǎng)、、中繼繼或鏈鏈路進(jìn)進(jìn)行連連接或或傳輸輸；路由連連接在監(jiān)測測到持持續(xù)的的操作作攻擊擊時(shí)安全策略攜帶某些安全標(biāo)簽的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼或路由。連接的發(fā)起者可以提出有關(guān)路由選擇的警告，要求回避某些特定的子網(wǎng)、中繼或鏈路進(jìn)行連接或傳輸。信息安安全技技術(shù)（（續(xù)））77公證機(jī)機(jī)制公證機(jī)機(jī)制是是在兩個(gè)或或多個(gè)個(gè)實(shí)體體間進(jìn)進(jìn)行通通信的數(shù)據(jù)據(jù)的性性能，，如完完整性性、來來源、、時(shí)間間和目目的地地等，，可有有公證證機(jī)構(gòu)構(gòu)加以以保證證，這這種保保證由由第三三方公公證者者提供供。通信實(shí)實(shí)體可可以采公證機(jī)制主要支持抗抵賴服務(wù)。信息息安安全全技技術(shù)術(shù)（（續(xù)續(xù)））78信息息安安全全與與法法律律79信息息安安全全的的工工作作目目標(biāo)標(biāo)通通俗俗地地說說可可以以歸歸結(jié)結(jié)為為下下面面的的““六六不不””:進(jìn)不來拿不走看不懂改不了逃不掉打不垮訪問問控制制機(jī)制制授權(quán)權(quán)機(jī)機(jī)制制加密密機(jī)機(jī)制制數(shù)據(jù)據(jù)完完整整性性機(jī)機(jī)制制審計(jì)計(jì)、、監(jiān)監(jiān)控?cái)?shù)據(jù)據(jù)備備份份與與災(zāi)災(zāi)難難恢恢復(fù)復(fù)機(jī)機(jī)制制信息息安安全全的的目目標(biāo)標(biāo)80信息息安安全全的的發(fā)發(fā)展展過過程程與與意意義義本節(jié)節(jié)提提示示：：信息息安安全全的的發(fā)發(fā)展展過過程程信息息安安全全的的社社會(huì)會(huì)意意義義8182信息息安全全自自古古以以來來就就是是受受到到人人們們關(guān)關(guān)注注的的問問題題，，但但在在不不同同的的發(fā)發(fā)展展時(shí)時(shí)期期，，信信息息安安全全的的側(cè)側(cè)重重點(diǎn)點(diǎn)和和控控制制方方式式是是有有所所不不同同的的。。大大致致說說來來，，信信息息安安全全在在其其發(fā)發(fā)展展過過程程中中經(jīng)經(jīng)歷歷了了三三個(gè)個(gè)階階段段：：第一一階階段段：早早在在20世紀(jì)紀(jì)初初期期，，通通信信技技術(shù)術(shù)還還不不發(fā)發(fā)達(dá)達(dá)，，面面對對電電話話、、電電報(bào)報(bào)、、傳傳真真等等信信息息交交換換過過程程中中存存在在的的安安全全問問題題，，人人們們強(qiáng)強(qiáng)調(diào)調(diào)的的主主要要是是信信息息的的保保密密性性，，對對安安全全理理論論和和技技術(shù)術(shù)的的研研究究也也只只側(cè)側(cè)重重于于密碼學(xué)學(xué)，這一一階段段的信信息安安全可可以簡簡單稱稱為通信安安全，即COMSEC（CommunicationSecurity）。信息安安全的的發(fā)展展過程程83第二階階段：20世紀(jì)60年代后后，半半導(dǎo)體體和集集成電電路技技術(shù)的的飛速速發(fā)展展推動(dòng)動(dòng)了計(jì)計(jì)算機(jī)機(jī)軟硬硬件的的發(fā)展展，計(jì)計(jì)算機(jī)機(jī)和網(wǎng)網(wǎng)絡(luò)技技術(shù)的的應(yīng)用用進(jìn)入入了實(shí)實(shí)用化化和規(guī)規(guī)?；A段段，人人們對對安全全的關(guān)關(guān)注已已經(jīng)逐逐漸擴(kuò)擴(kuò)展為為以保保密性性、完完整性性和可可用性性為目目標(biāo)的的信息安安全階階段，即INFOSEC（InformationSecurity），具有代代表性性的成成果就就是美美國的的TCSEC和歐洲洲的ITSEC測評標(biāo)標(biāo)準(zhǔn)。。信息安安全的的發(fā)展展過程程（續(xù)續(xù)）84第三階階段：20世紀(jì)80年代開開始，，由于于互聯(lián)聯(lián)網(wǎng)技技術(shù)的的飛速速發(fā)展展，信信息無無論是是對內(nèi)內(nèi)還是是對外外都得得到極極大開開放，，由此此產(chǎn)生生的信信息安安全問問題跨跨越了了時(shí)間間和空空間，，信息息安全全的焦焦點(diǎn)已已經(jīng)不不僅僅僅是傳傳統(tǒng)的的保密密性、、完整整性和和可用用性三三個(gè)原原則了了，由由此衍衍生出出了諸諸如可可控性性、抗抗抵賴賴性、、真實(shí)實(shí)性等等其他他的原原則和和目標(biāo)標(biāo)，信信息安安全也也從單單一的的被動(dòng)動(dòng)防護(hù)護(hù)向全全面而而動(dòng)態(tài)態(tài)的防防護(hù)、、檢測測、響響應(yīng)、、恢復(fù)復(fù)等整整體體體系建建設(shè)方方向發(fā)發(fā)展，，即所所謂的的信息保保障（InformationAssurance），這這一點(diǎn)點(diǎn)，在在美國國的IATF規(guī)范中中有清清楚的的表述述。信息安安全的的發(fā)展展過程程（續(xù)續(xù)）信息保保障的的核心心思想想是對對系統(tǒng)統(tǒng)或者者數(shù)據(jù)據(jù)的4個(gè)方面面的要要求：：保護(hù)護(hù)（Protect），檢檢測（（Detect），反反應(yīng)（（React）和恢恢復(fù)（（Restore）利用4個(gè)單詞詞首字字母表表示為為：PDRR，稱之之為PDRR保障體體系，，其中中：保護(hù)（（Protect）指采采用可可能采采取的的手段段來保保障信信息的的保密密性、、完整整性、、可用用性、、可控控性和和不可可否認(rèn)認(rèn)性；；檢測（（Detect）指提提供工工具檢檢查系系統(tǒng)可可能存存在的的黑客客攻擊擊、白白領(lǐng)犯犯罪和和病毒毒泛濫濫等脆脆弱性性；反應(yīng)（（React）指對對危及及安全全的事事件、、行為為、過過程及及時(shí)做做出響響應(yīng)處處理，，杜絕絕危害害的進(jìn)進(jìn)一步步蔓延延擴(kuò)大大，力力求系系統(tǒng)還還能提提供正正常服服務(wù)；；恢復(fù)（（Restore）指一一旦系系統(tǒng)遭遭到破破壞，，盡快快恢復(fù)復(fù)系統(tǒng)統(tǒng)功能能，盡盡早提提供正正常的的服務(wù)務(wù)。信息安安全的的發(fā)展展過程程（續(xù)續(xù)）85目前研研究信信息安安全已經(jīng)不不只為為了信信息和和數(shù)據(jù)據(jù)的安安全性性。信息息安全全已經(jīng)滲滲透到到國家家的政治治、經(jīng)經(jīng)濟(jì)、、文化化、軍軍事等領(lǐng)域域。信息安安全的的社會(huì)會(huì)意義義86信息安安全與與政治治目前政政府上上網(wǎng)已已經(jīng)大大規(guī)模模地發(fā)發(fā)展起起來，，電子子政務(wù)務(wù)工程程已經(jīng)經(jīng)在全全國啟啟動(dòng)。。政府府網(wǎng)絡(luò)絡(luò)的安安全直直接代代表了了國家家的形形象。。從2004以后，，網(wǎng)絡(luò)絡(luò)威脅脅呈現(xiàn)現(xiàn)多樣樣化，，除傳傳統(tǒng)的的病毒毒、垃垃圾郵郵件外外，危危害更更大的的間諜諜軟件件、廣廣告軟軟件、、網(wǎng)絡(luò)絡(luò)釣魚魚等紛紛紛加加入到到互聯(lián)聯(lián)網(wǎng)安安全破破壞者者的行行列，，成為為威脅脅計(jì)算算機(jī)安安全的的幫兇兇?，F(xiàn)現(xiàn)在，，軍隊(duì)隊(duì)以及及一些些政府府機(jī)關(guān)關(guān)的計(jì)計(jì)算機(jī)機(jī)是不不允許許接入入互聯(lián)聯(lián)網(wǎng)的的。由于互互聯(lián)網(wǎng)網(wǎng)發(fā)展展在地地域上上極不不平衡衡，信信息強(qiáng)強(qiáng)國對對于信信息弱弱國已已經(jīng)形形成了了戰(zhàn)略略上的的“信息位位勢差差”?！靶畔⒔颉辈辉偈鞘且詡鱾鹘y(tǒng)的的地緣緣、領(lǐng)領(lǐng)土、、領(lǐng)空空、領(lǐng)領(lǐng)海來來劃分分的，，而是是以帶帶有政政治影影響力力的信信息輻輻射空空間來來劃分分的。。87一個(gè)國國家信信息化化程度度越高高，整整個(gè)國國民經(jīng)經(jīng)濟(jì)和和社會(huì)會(huì)運(yùn)行行對信信息資資源和和信息息基礎(chǔ)礎(chǔ)設(shè)施施的依依賴程程度也也越高高。我我國計(jì)計(jì)算機(jī)機(jī)犯罪罪的增增長速速度超超過了了傳統(tǒng)統(tǒng)的犯犯罪，，1997年20多起，，1998年142起，1999年908起，2000年上半半年1420起，再再后來來就沒沒有辦辦法統(tǒng)統(tǒng)計(jì)了了。1999年4月26日，臺(tái)臺(tái)灣人人編制制的CIH病毒的的大爆爆發(fā)，，據(jù)統(tǒng)統(tǒng)計(jì)，，我國國受其其影響響的PC機(jī)總量量達(dá)36萬臺(tái)之之多。。有人人估計(jì)計(jì)在這這次事事件中中，經(jīng)經(jīng)濟(jì)損損失高高達(dá)12億元。。從1988年CERT（ComputerEmergencyResponseTeam，CERT）由于Morris蠕蟲事事件成成立以以來，，Internet安全威威脅事事件逐逐年上上升，，給Internet帶來巨巨大的的經(jīng)濟(jì)濟(jì)損失失。以以美國國為例例，其其每年年因?yàn)闉榘踩录斐沙傻慕?jīng)經(jīng)濟(jì)損損失超超過170億美元元。信息安安全與與經(jīng)濟(jì)濟(jì)88信息安安全與與文化化文化是是一個(gè)個(gè)國家家民族族精神神和智智慧的的長期期積淀淀和凝凝聚，，是民民族振振興發(fā)發(fā)展的的價(jià)值值體現(xiàn)現(xiàn)。在