信息安全綜述侯延昭、陳宇（yu.chen@）

信息與通信工程學院11、引言：棱鏡門事件2、信息與信息安全3、信息安全面臨的威脅4、信息安全的需求與實現(xiàn)5、信息安全的發(fā)展過程及社會意義內(nèi)容提要2內(nèi)容提要

課程從棱鏡門事件說起，進而講述信息安全的定義、信息安全的威脅、信息安全的需求以及信息安全如何實現(xiàn)，然后講述信息安全的發(fā)展過程及社會意義，最后給出課程總結(jié)和一些課外閱讀材料。3引言4INTERNET的美妙之處在于你和每個人都能相互連接INTERNET的可怕之處在于每個人都能和你相互連接5什么是棱鏡門？棱鏡計劃（PRISM）是一項由美國國家安全局（NSA）自2007年起開始實施的絕密電子監(jiān)聽計劃，該計劃的正式名號為“US-984XN”。英國《衛(wèi)報》和美國《華盛頓郵報》2013年6月6日報道，美國國家安全局和聯(lián)邦調(diào)查局于2007年啟動了一個代號為“棱鏡”的秘密監(jiān)控項目，直接進入美國網(wǎng)際網(wǎng)路公司的中心服務器里挖掘數(shù)據(jù)、收集情報，包括微軟、雅虎、谷歌、蘋果等在內(nèi)的9家國際網(wǎng)絡巨頭皆參與其中。6事件主角

外文名：EdwardJosephSnowden中文名：愛德華·約瑟夫·斯諾登國籍：美利堅合眾國出生地：北卡羅來納州、伊麗莎白市出生日期：1983年06月21日履歷1：美國陸軍軍人履歷2：美國中央情報局（CIA）前雇員職業(yè)：系統(tǒng)管理員主要成就：棱鏡計劃（PRISM）泄密者

7事件經(jīng)過2009年之前，斯諾登效力于美國中情局，負責系統(tǒng)管理以及電信系統(tǒng)的維護工作；2009年，在國家安全局設在夏威夷的博思艾倫咨詢公司擔任基礎設施分析師一職。該公司是美國首屈一指的國防承包商。斯諾登利用該公司為美國國家安全局服務的機會，接觸并復印了大量監(jiān)聽計劃的機密材料；2013年5月20日，據(jù)稱斯諾登帶著秘密情報影印件從夏威夷潛逃香港；8事件經(jīng)過6月初，斯諾登用代號Verax通過《衛(wèi)報》和《華盛頓郵報》披露美國的“外國情報監(jiān)視法庭”下達“頭號密令”授權(quán)搜集國內(nèi)通話記錄；6月9日，斯諾登公布身份。解密了美國國家安全局“棱鏡”計劃的內(nèi)部文件及詳情——該計劃可能包含一些從美國網(wǎng)絡公司采集來的國外人士相關(guān)數(shù)據(jù)料，且美國政府隨時可以讀取任何人的電郵；6月11日夜間，國家安全局、聯(lián)邦調(diào)查局、白宮和國務院的高官聚集國會山，向眾議院做閉門情況通報，國家安全局可能遭受了保護機密不力的炮轟；9國際社會對棱鏡門的看法英國在野黨共黨稱其令人“寒心”。要求政府調(diào)查英國同美國棱鏡項目的關(guān)系并給出一個全面的解釋。俄羅斯總統(tǒng)普京發(fā)言人比斯科夫則透過法新社表示，若斯諾登提出相關(guān)申請，俄羅斯政府會向其提供政治庇護。極度重視隱私權(quán)的日本，卻對國際輿論熱議的“監(jiān)視門”無甚共鳴。

歐洲議會自由黨團主席、比利時前首相福斯達說，美國必須解釋如何使用“棱鏡”項目獲得數(shù)據(jù)，是否違反歐盟數(shù)據(jù)保護政策。還有議員表示，希望歐洲各國政府公開有關(guān)“棱鏡”項目的信息，包括是否知曉、是否參與等。10美國政府與民眾的看法奧巴馬在柏林宣稱：“我們不會篩查德國公民、美國公民、法國公民或其他任何人的電郵。這是一個受到約束的、適用范圍不大的系統(tǒng)，其目的是為了保護我們和我們的民眾……侵犯隱私的行為受到嚴格限制?！眾W巴馬在德國總理辦公室召開的新聞發(fā)布會上堅稱，美國情報機構(gòu)監(jiān)聽電話通話，只是為了確認是否有電話打給已知的可疑號碼，并且他們在監(jiān)聽電話前必須先向一名聯(lián)邦法官提交申請。奧巴馬表示，這類監(jiān)控的“適用范圍非常狹窄，只適用于我們在與恐怖主義或大規(guī)模殺傷性武器擴散有關(guān)的問題上獲得的線索”。6月14日，美國紐約的一對父女手舉寫有“安全得讓我感到害怕”等標語參加“占領(lǐng)華爾街”運動支持者組織的抗議活動，譴責美國國家安全局進行的電話和網(wǎng)絡秘密監(jiān)控項目。斯諾諾登登的的最最新新故故事事SnowdenandhardwarehackerAndrew““Bunnie””HuangDesignaDevicetoWarnifYouriPhone’’sRadiosAreSnitching在Amazon上沒沒有有見見到到1112國際際互互聯(lián)聯(lián)網(wǎng)網(wǎng)全全球球分分布布圖圖13國際際互互聯(lián)聯(lián)網(wǎng)網(wǎng)流流量量全全球球分分布布圖圖互聯(lián)聯(lián)網(wǎng)網(wǎng)流流量量中中心心為為:美國國，，香香港港，，日日本本。。以以美美國國和和亞亞洲洲之之間間的的流流量量為為最最多多。。中國國互互聯(lián)聯(lián)網(wǎng)網(wǎng)國國際際流流量量主主要要流流向向北北美美和和歐歐洲洲14“棱棱鏡鏡””背背后后的的全球球信息息危危機機Internet主要要由由兩兩大大基基本本架架構(gòu)構(gòu)組組成成：：路路由由器器構(gòu)構(gòu)成成Internet的主主干干，，DNS服務務器器將將域域名名解解析析為為IP地址址。。全球球共共有有13臺根根域域名名服服務務器器。。其其中中10臺設置置在在美美國國，，其其余余分分別別在在英英國國、、瑞瑞典典和和日日本本。。NSA入侵侵全全球球電電腦腦次次數(shù)數(shù)超超過過61000次，，其其中中對對香香港港和和中中國國內(nèi)內(nèi)地地目目標標入入侵侵數(shù)數(shù)百百次次。。入入侵侵目目標標是是骨骨干干網(wǎng)網(wǎng)絡絡，，基基本本上上都都是是諸諸如如巨巨型型互互聯(lián)聯(lián)網(wǎng)網(wǎng)路路由由器器一一類類的的設設備備，，借借此此一一舉舉入入侵侵數(shù)數(shù)十十萬萬臺臺電電腦腦，，無無需需逐逐個個侵侵入入。。美國國《外交交政政策策》網(wǎng)站站報報道道，，NSA1997年成成立立的的““定定制制入入口口組組織織””（（TailoredAccessOperations，TAO）的的秘秘密密機機構(gòu)構(gòu)，，在在過過去去15年內(nèi)內(nèi)，，已成成功功滲滲透透進進入入中中國國計計算算機機及及電電信信系系統(tǒng)統(tǒng)，，獲獲得得了了有有關(guān)關(guān)中中國國國國內(nèi)內(nèi)所所發(fā)發(fā)生生的的““最最好好的的、、最最可可靠靠的的情情報報””。15“棱棱鏡鏡””背背后后的的全球球信息息危危機機TAO的任任務務：：偷偷偷潛潛入入國國外外目目標標的的計計算算機機及及電電信信系系統(tǒng)統(tǒng)，，破破解解密密碼碼，，解解除除保保護護目目標標計計算算機機的的電電腦腦安安全全系系統(tǒng)統(tǒng)，，盜盜走走存存儲儲在在計計算算機機硬硬盤盤上上的的數(shù)數(shù)據(jù)據(jù)，，然然后后復復制制所所有有的的信信息息及及數(shù)數(shù)據(jù)據(jù)后后，，通通過過電電子子郵郵件件及及短短信信發(fā)發(fā)送送系系統(tǒng)統(tǒng)進進行行傳傳輸輸，，達達到到收收集集情情報報資資料料的的目目的的。。美國貨貨幾乎乎“控控制””了全全球，，數(shù)據(jù)據(jù)更令令人觸觸目驚驚心：：全球85.2%的PC微處理理器被被英特特爾壟壟斷；；Windows和蘋果果操作作系統(tǒng)統(tǒng)以97.21%絕對優(yōu)優(yōu)勢控控制著著全球球的電電腦終終端；；谷歌和和雅虎虎兩家家公司司占據(jù)據(jù)全球球搜索索引擎擎的份份額的的88.6%；思科更更是幾幾乎掌掌控了了中國各各大網(wǎng)網(wǎng)絡命命脈：政府府、海海關(guān)、、郵政政、金金融、、鐵路路、民民航、、醫(yī)療療、軍軍警等等要害害部門門，以以及中中國電電信、、中國國聯(lián)通通等電電信運運營商商的網(wǎng)網(wǎng)絡基基礎建建設。。信息與與信息息安全全本節(jié)提提示：：信息的的定義義香農(nóng)簡簡介信息安安全的的概念念信息安安全的的屬性性16信息與與能源源、物物質(zhì)并并列為為人類類社會會活動動的三三大要要素，，現(xiàn)代代社會會、人人類進進步的的突出出標志志之一一就是是對信信息的的表達達、加加工以以及傳傳播手手段的的不斷斷革新新。從廣義義上講講，信信息是是任何何一個個事物物的運運動狀狀態(tài)以以及運運動狀狀態(tài)形形式的的變化化，它它是一一種客客觀存存在。。狹義的的信息息的含含義是是指信信息接接受主主體所所感覺覺到并并能理理解的的東西西。信息的的定義義171916年4月30日，出出生于于美國國密歇歇根州州，是是愛迪迪生的的遠戚戚。1936年，畢畢業(yè)于于密歇歇根大大學，，獲得得數(shù)學學和電電子工工程學學士學學位.1940年，獲獲得麻麻省理理工學學院（MIT）數(shù)學博博士學學位和和電子子工程程碩士士學位位。1941年，加加入貝貝爾實實驗室室，工工作到到1972年。1956年，成成為MIT的客座座教授授，1958年成為為終生生教授授，1978年成為為名譽譽教授授。2001年2月26日去世世，享享年84歲。香農(nóng)簡簡介181942年，香香農(nóng)與與人發(fā)發(fā)表了了關(guān)于于串并并聯(lián)網(wǎng)網(wǎng)絡的的雙終終端數(shù)數(shù)的論論文。。1948年創(chuàng)立立了信信息論論。在在漫長長的歲歲月，，除在在普林林斯頓頓高等等研究究院工工作過過一年年外，，主要要都在在MIT和BellLab度過。。在二戰(zhàn)戰(zhàn)時，，香農(nóng)農(nóng)也是是一位位著名名的密碼破破譯者者。BellLab的破譯譯團隊隊主要要是追追蹤德德國飛飛機和和火箭箭，尤尤其是是在德德國火火箭對對英國國進行行閃電電戰(zhàn)時時起了了很大大作用用。1948年香農(nóng)農(nóng)在BellSystemTechnicalJournal上發(fā)表表了《AMathematicalTheoryofCommunication》。該論論文由由香農(nóng)農(nóng)和威威沃共共同署署名。。1949年香農(nóng)農(nóng)發(fā)表表了另另外一一篇重重要論論文《CommunicationTheoryofSecrecySystems》(保密系系統(tǒng)的的通信信理論論)，正是是基于于這種種工作作實踐踐，它它的意意義是是使保保密通通信由由藝術(shù)術(shù)變成成科學學。香農(nóng)簡簡介（（續(xù)））19信息安安全的的概念念（續(xù)續(xù)）從信息息的角角度來來說信信息安安全可可以分分為數(shù)數(shù)據(jù)安安全和和系統(tǒng)統(tǒng)安全全。信信息安安全可可以從從兩個個層次次來看看:從消息層層次來看，，包括括信息息的完完整性性（Integrity）（即即保證證消息息的來來源、、去向向、內(nèi)內(nèi)容真真實無無誤））、保保密性性（Confidentiality）（即即保證證消息息不會會被非非法泄泄露擴擴散））、不不可否否認性性（Non-repudiation）——也稱為為不可可抵賴賴性（（即保保證消消息的的發(fā)送送和接接受者者無法法否認認自己己所做做過的的操作作行為為）等等；從網(wǎng)絡層層次來看，，包括括可用用性（（即保保證網(wǎng)網(wǎng)絡和和信息息系統(tǒng)統(tǒng)隨時時可用用，運運行過過程中中不出出現(xiàn)故故障，，若遇遇意外外打擊擊能夠夠盡量量減少少并盡盡早恢恢復正正常））、可可控性性（Controllability）是對對網(wǎng)絡絡信息息的傳傳播及及內(nèi)容容具有有控制制能力力的特特性。。20信息安安全的的基本本屬性性主要要表現(xiàn)現(xiàn)在以以下幾幾個方方面：：完整性性（Integrity）--信息在在存儲儲或傳傳輸?shù)牡倪^程程中保保持未未經(jīng)授授權(quán)不不能改改變的的特性性；；保密性性（Confidentiality）--信息不不被泄泄露給給未經(jīng)經(jīng)授權(quán)權(quán)者的的特性性；可用性性（Availability）--信息可可被授授權(quán)者者訪問問并按按需求求使用用的特特性；；不可否否認性性（Non-repudiation）--所有參參與者者都不不可能能否認認或抵抵賴曾曾經(jīng)完完成的的操作作和承承諾；；可控性性（Controllability）--對信息息的傳傳播及及內(nèi)容容具有有控制制能力力的特特性；；信息安安全的的任務務就是是要實實現(xiàn)信信息的的上述述五種種安全全屬性性。對于于攻擊擊者來來說，，就是是要通通過一一切可可能的的方法法和手手段破破壞信信息的的安全全屬性性。信息安安全的的屬性性21信息安安全面面臨的的威脅脅本節(jié)提提示：：信息安安全威威脅的的定義義信息安安全典典型案案例黑客簡簡介22信息安安全威威脅是是指某某個人人、物物、事事件或或概念念對信信息資資源的的保密密性、、完整整性、、可用用性或或合法法使用用所造造成的的危險險。攻擊是對對安全威威脅的具具體體現(xiàn)現(xiàn)。雖然人為為因素和和非人為為因素都都可以對對通信安安全構(gòu)成成威脅，，但是精精心設計計的人為為攻擊威威脅最大大。信息安全全威脅23信息安全全威脅的的分類信息安全威脅人為因素非人為因素無意識的威脅：操作失誤有意識的威脅內(nèi)部攻擊：蓄意破壞、竊取資料外部攻擊主動攻擊：黑客、病毒被動攻擊：竊取、流量分析自然災害：地震、火災等系統(tǒng)故障：硬件失效、電源故障技術(shù)缺陷：操作系統(tǒng)漏洞、應用軟件瑕疵等信息安全全威脅的的分類2425移動互聯(lián)聯(lián)網(wǎng)安全全威脅終端安全威脅脅：復制SIM卡，手機機惡意軟軟件等無線接入入及傳輸輸安全威威脅：偽造基站站，釣魚魚WiFi，RF干擾攻擊擊，F(xiàn)emto安全等網(wǎng)絡安全全威脅：：釣魚網(wǎng)站站，網(wǎng)站站拖庫，，高級長期威威脅（advancedpersistentthreat，APT）攻擊等新業(yè)務安安全威脅脅26移動互聯(lián)聯(lián)網(wǎng)安全全威脅終端安全威無線接入入及傳輸輸安全威威脅：偽造基站站，釣魚魚WiFi，RF干擾攻擊擊，F(xiàn)emto安全等網(wǎng)絡安全全威脅：：釣魚網(wǎng)站站，網(wǎng)站站拖庫，，APT攻擊等新業(yè)務安安全威脅脅復制SIM卡27技術(shù)原理理：我們手機機SIM中有三組組數(shù)值是是關(guān)鍵的的：IMSI、ICCID、KI。其中IMSI、ICCID可以直接接讀取，，KI是加密的的。如果果通過技技術(shù)手段段把這三三組數(shù)值值寫到一一張?zhí)厥馐獾目ㄉ仙希_到到復制的的目的。。KI是制卡的時時候就以以特殊工工藝燒進進SIM卡的一個個參數(shù)值值，由32個十六進進制的字字符組成。SIM卡掃描軟軟件的原原理是利利用Comp128算法的沖沖撞漏洞洞來計算算KI。理論上在在5小時內(nèi)就就有可能能破解KI值，復制制一張新新卡。最最多40小時就可可以跑完完所有KI組合并復制一張電話卡。。危害：短信和來電電的劫持。拿到克隆卡卡的人完完全可以以像原本本的合法法用戶那那樣去使使用這張張卡，比比如手機機找回密密碼、密密碼保護護之類的的措施，，只要我我們最后后向基站站建立連連接，就就可以收收到一些些驗證碼碼、重設設密碼等等信息——因為被劫劫持了。。我們甚甚至還可可以消費這張張卡里的的話費。CIH病毒(1998年6月)CIH病毒是由由臺灣一一位名叫叫陳盈豪豪的青年年編寫。。CIH病毒破壞壞了主板BIOS的數(shù)據(jù)，，使計算算機無法正常常開機,并且CIH病毒還破破壞硬盤數(shù)據(jù)據(jù)。從1998年的4月26日開始，，4月26日成為一一個令電電腦用戶戶頭痛又又恐慌的的日子，，因為在在那一天天CIH病毒在全球球全面發(fā)作作。據(jù)媒體報道道，全球有有超過6000萬臺電腦被被破壞，隨隨后的2000年4月26日，CIH又在全球大大爆發(fā)，累累計造成的的損失超過過10億美元。計算機病毒毒282930“熊貓燒香香”病毒（（2006年）病毒作者李李?。校?，25歲，武漢新新洲區(qū)人）），他于2006年10月16日編寫了““熊貓燒香香”病毒并并在網(wǎng)上廣廣泛傳播。。熊貓燒香是是一種經(jīng)過過多次變種種的蠕蟲病毒。該病毒能能夠終止大大量的反病毒軟件件和防火墻軟件件進程，感染染系統(tǒng)中exe、com、pif、src、html、asp等文件，刪刪除擴展名名為gho的備份文件件。用戶電電腦中毒后后可能會出出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬硬盤中數(shù)據(jù)文件被破壞等現(xiàn)現(xiàn)象。由于中毒電電腦的可執(zhí)行文件件會出現(xiàn)“熊熊貓燒香””圖案，所所以也被稱稱為“熊熊貓燒香”病毒。計算機病毒毒（續(xù)）31計算機病毒毒（續(xù)）“熊貓燒香香”病毒（（2006年）3233移動互聯(lián)網(wǎng)網(wǎng)安全威脅脅終端安全威脅：：復制SIM卡，手機惡惡意軟件等等無線接入及及傳輸安全全威脅：偽造基站，，釣魚WiFi，RF干擾攻擊，，F(xiàn)emto安全等網(wǎng)絡安全威威脅：釣魚網(wǎng)站，，網(wǎng)站拖庫庫，APT攻擊等新業(yè)務安全全威脅偽造基站34在2G中，只是網(wǎng)網(wǎng)絡對用戶戶進行鑒權(quán)權(quán)，為單向向鑒權(quán)。而而在3G中(WCDMA和TD-SCDMA)一個重要的安安全特征就就是引入了了雙向認證證。即不僅僅網(wǎng)絡對用用戶進行鑒鑒權(quán)，同時時用戶也對對網(wǎng)絡進行行鑒權(quán)。安全專家稱稱這種攻擊擊為“中介介者”攻擊擊，它可將將一個假基站安插插在手機和和真正的基基站之間，從中截取取它們通信信，而真基基站和手機機都無法獲獲知假基站站的存在。。釣魚WiFi35技術(shù)原理：：釣魚WIFI就是一個假的無無線熱點，，當你的無無線設備連連接上去是是，會被對對方反掃描描，如果這這時你的手手機正好連連在什么網(wǎng)網(wǎng)站上進行行了數(shù)據(jù)通通信，且涉涉及到了疑疑是用戶名名密碼等數(shù)數(shù)據(jù)，對方方就會獲得得你的用戶戶名和密碼碼。釣魚WIFI都可以將自自己的代碼碼嵌入數(shù)據(jù)據(jù)包中，再再返回給請請求者，導導致用戶訪訪問惡意網(wǎng)網(wǎng)頁或者執(zhí)執(zhí)行惡意代代碼。危害：竊取用戶密密碼。使用戶設備備中木馬、、病毒。RF干擾攻擊36技術(shù)原理：射頻干擾攻擊，國際上稱稱之為RFJammingAttack，在個別國國外文獻資資料中有時時也稱之為為RFDisruptionAttack，該攻擊指指攻擊方通過過發(fā)出干擾擾射頻達到到破壞正常常無線通信信的目的。RF，全稱為RadioFrequency，即射頻，，主要包括括無線信號號發(fā)射機及及收信機等等。全頻道阻塞塞干擾、瞄瞄準式阻塞塞干擾等均為干擾擾的主要實實現(xiàn)方式。Femto安全37事件：安全研究組組織“TheHacker’sChoice”發(fā)出對VodafoneFemto服務安全性性的質(zhì)疑，，宣稱已經(jīng)經(jīng)破解了沃沃達豐接入入點設備的的root用戶密碼，并能夠使使用該設備備收集其他移移動用戶的的個人信息息或者偽裝成為簽簽約用戶盜盜打電話。安全現(xiàn)狀：：與傳統(tǒng)運營商商設備不同同，F(xiàn)emto是一個客戶端設備備，最終會會放置在用用戶的家中中，運營商無法控制用戶對對其拆解或或者改裝等等，從而加加大了安全威脅。38LTE系統(tǒng)架構(gòu)的的演進LTE系統(tǒng)架構(gòu)仍仍然分為兩兩部分：核核心網(wǎng)EPC(EvolvedPacketCorenetwork)（包含Serving-Gateway和MME）和接入網(wǎng)網(wǎng)E-UTRAN（僅由eNB(evolvedNodeB)組成）RNC:無線網(wǎng)絡控控制器SGSN:業(yè)務GPRS支撐節(jié)點GGSN:網(wǎng)管GPRS支撐節(jié)點MME:移動性管理理實體Serving-Gateway：業(yè)務網(wǎng)關(guān)關(guān)X2接口:連接不同的的eNBS1接口:連接核心網(wǎng)網(wǎng)與接入網(wǎng)網(wǎng)主要特點：：扁平化、全全IP39移動互聯(lián)網(wǎng)網(wǎng)安全威脅脅終端安全威脅：：復制SIM卡，手機惡惡意軟件等等無線接入及及傳輸安全全威脅：偽造基站，，釣魚WiFi，RF干擾攻擊，，F(xiàn)emto安全等網(wǎng)絡安全威威脅：釣魚網(wǎng)站，，網(wǎng)站拖庫庫，APT攻擊等新業(yè)務安全全威脅IP協(xié)議的安全全性40IPv4的目的只是是作為簡單的網(wǎng)絡絡互通協(xié)議議，因而其中中沒有包含安安全特性?，F(xiàn)有的安全全機制是在在應用程序級級，如Email加密，HTTP和SSL等，不是從從IP層來保證的的。然而，隨著著IP網(wǎng)絡在商用用和消費網(wǎng)網(wǎng)絡中的重重要性與日日俱增，攻攻擊所導致致的潛在的的危害具有有空前的破破壞性。IPv4典型漏洞1、分組泄露：由于在設設計時幾乎沒有安安全性考慮慮，分組承載載的數(shù)據(jù)信信息容易被被泄露，分分組的合法法性也無法法得到認證證。2、偽造IP：由于IPv4地址有限，，而且分配配嚴重不平平衡，我國目前大大多采用NAT（NetworkAddressTranslation，網(wǎng)絡地址址轉(zhuǎn)換）方式，即終端用戶分分配到的一一般都是私私有地址，，這就使得偽偽造源IP地址進行網(wǎng)網(wǎng)絡攻擊成成為可能，攻擊者可可以任意偽造源IP地址對目標地址址進行攻擊擊。這樣一旦有有非法信息息發(fā)布或者者病毒傳播播，是無法法追溯到源源地址的，，大大地加加劇了網(wǎng)絡絡安全問題題。3、分片漏洞：由于網(wǎng)絡絡中存在最大傳輸單單元的限制制，因此傳送送時數(shù)據(jù)包包可能要進進行分片，，由此會帶帶來安全上上的漏洞。。IPv4安全問題（（1）病毒和蠕蟲蟲在IPv4網(wǎng)絡上,蠕蟲和病毒毒不僅危及及主機,還要消耗網(wǎng)網(wǎng)絡帶寬而而給路由器器和服務器器增加負擔擔,可以使得服服務器癱瘓瘓。比如SQLSlammer病毒。在IPv4中經(jīng)常使用用三種方法法來防止病病毒的攻擊擊:及時打補丁丁、主機防防病毒、早早期的檢測測。IPv4安全問題（（2）網(wǎng)絡攻擊IPv4網(wǎng)絡另一大大問題是網(wǎng)網(wǎng)絡攻擊嚴嚴重，主要要包括：1.內(nèi)部攻擊內(nèi)部部攻攻擊擊既既可可以以是是由由于于網(wǎng)網(wǎng)絡絡設設計計的的不不嚴嚴密密性性，，網(wǎng)網(wǎng)絡絡內(nèi)內(nèi)部部使使用用者者誤誤人人他他們們本本不不該該進進入入的的領(lǐng)領(lǐng)域域，，誤誤改改其其中中的的數(shù)數(shù)據(jù)據(jù)；；也也可可能能是是有有些些內(nèi)內(nèi)部部用用戶戶利利用用自自身身的的合合法法身身份份有有意意對對數(shù)數(shù)據(jù)據(jù)進進行行破破壞壞。。據(jù)據(jù)統(tǒng)統(tǒng)計計，，70％左右右的的安安全全問問題題來來源源于于內(nèi)內(nèi)部部攻攻擊擊。。2.網(wǎng)絡絡外外部部的的黑黑客客攻攻擊擊IPv6在安安全全性性上上的的改改進進IPv6的巨巨大大地地址址空空間間以以及及引引入入IPSec帶來來的的加密密和和認認證證機機制制，，使使其其在在網(wǎng)網(wǎng)絡絡安安全全方方面面具具有有優(yōu)優(yōu)勢勢：：1.IPv6地址址資資源源豐豐富富：這這樣樣就就減減小小了了偽偽造造IP地址址進進行行攻攻擊擊的的可可能能性性。。2.與IPSec有機機結(jié)結(jié)合合：在在設設計計IPv6時，，協(xié)協(xié)議議安安全全作作為為一一個個重重要要的的方方面面進進行行考考慮慮，，將將IP安全全體體系系結(jié)結(jié)構(gòu)構(gòu)(IPSec)納入入了了協(xié)協(xié)議議整整體體之之中中，，成成為為協(xié)協(xié)議議的的一一個個有有機機組組成成部部分分。。3.數(shù)據(jù)據(jù)認認證證：IPv6使數(shù)數(shù)據(jù)據(jù)包包的的接接收收者者可可以以驗驗證證數(shù)數(shù)據(jù)據(jù)的的真真實實性性、、完完整整性性，，還還可可以以與與數(shù)數(shù)字字簽簽名名結(jié)結(jié)合合，，保保證證數(shù)數(shù)據(jù)據(jù)的的的的真真實實可可靠靠。。IPv6在安安全全性性上上的的改改進進IPv6允許許數(shù)數(shù)據(jù)據(jù)傳傳輸輸采采用用隧隧道道模模式式和和傳傳輸輸模模式式兩兩種種方方式式，，它它既既可可為為兩兩個個節(jié)節(jié)點點間間的的簡簡單單直直接接的的數(shù)數(shù)據(jù)據(jù)包包傳傳送送提供供身身份份驗驗證證和和保保護護，也也可可用用于于對對發(fā)發(fā)給給安安全全性性網(wǎng)網(wǎng)關(guān)關(guān)或或由由安安全全性性網(wǎng)網(wǎng)關(guān)關(guān)發(fā)發(fā)出出的的整整個個數(shù)數(shù)據(jù)據(jù)包包進進行行包包裝裝，，并并加加入入認認證證信信息息。。4.數(shù)據(jù)據(jù)加加密密：用用戶戶可可以以對對網(wǎng)絡絡層層的的數(shù)數(shù)據(jù)據(jù)進行行加加密密并并對對IP報文文進進行行校校驗驗，這這極極大大的的增增強強了了網(wǎng)網(wǎng)絡絡安安全全。。IPv6的安安全全缺缺陷陷網(wǎng)絡絡安安全全永永遠遠是是一一個個相相對對概概念念，，也也不不要要指指望望IPv6能夠夠徹徹底底所所有有的的網(wǎng)網(wǎng)絡絡安安全全問問題題。。目目前前，，IPv6網(wǎng)絡絡仍仍然然存存在在加加多多缺缺陷陷。。1.保留留IPv4結(jié)構(gòu)構(gòu)：IPv6中仍仍保保留留著著IPv4的諸諸多多結(jié)結(jié)構(gòu)構(gòu)特特點點，，如如選選項項分分片片和和TTL等。。這這些些選選項項都都曾曾經(jīng)經(jīng)被被黑黑客客用用來來攻攻擊擊IPv4節(jié)點點。。目前前為為止止，，IPv6中使使用用的的安安全全策策略略都都是是在在IPv4下已已經(jīng)經(jīng)存存在在的的，，因因此此它它無無法法從從根根本本上上解解決決安安全全性性能能的的問問題題。。IPv6的安安全全缺缺陷陷2.應用用層層安安全全性性差差：IPv6主要解解決的的是網(wǎng)網(wǎng)絡層層的身身份認認證、、數(shù)據(jù)據(jù)包完完整性性和加加密問問題。。因此此，一一些從從上層發(fā)發(fā)起的的攻擊擊如應用用層的的緩沖沖區(qū)溢溢出攻攻擊和和傳輸輸層的的TCPSYNFLOOD攻擊等等在IPv6下仍然然存在在。3.網(wǎng)管不不成熟熟：針對IPv6的網(wǎng)管設設備和和網(wǎng)管管軟件件幾乎乎沒有有成熟熟產(chǎn)品品出現(xiàn)現(xiàn)．因此此缺乏乏對IPv6網(wǎng)絡進進行監(jiān)監(jiān)測和和管理理的手手段，，缺乏乏對大大范圍圍的網(wǎng)網(wǎng)絡故故障定定位和和性能能分析析的手手段。。IPSec技術(shù)定位：“Internet協(xié)議安安全性性(InternetProtocolSecurity)”是一種種開放放標準準的框框架結(jié)結(jié)構(gòu)，，通過過使用用加密密的安安全服服務以以確保保在Internet協(xié)議(IP)網(wǎng)絡上上進行行保密密而安安全的的通訊訊。原理：IPSec通過身份驗驗證頭頭(AH)與封裝安安全性性凈荷荷頭(ESP)相結(jié)合合，配配合相相關(guān)的的密鑰鑰管理理機制制，IPSec為網(wǎng)絡絡數(shù)據(jù)據(jù)和信信息內(nèi)內(nèi)容的的有效效性、、一致致性以以及完完整性性提供供了保保證。。優(yōu)勢：在IPv6里，由由于IPSec提高了了數(shù)據(jù)據(jù)傳輸輸?shù)陌舶踩孕?，大大部分分與數(shù)數(shù)據(jù)認認證、、數(shù)據(jù)據(jù)完整整性和和數(shù)據(jù)據(jù)機密密性有有關(guān)的的攻擊擊行為為將得得到緩緩解，，包括括IP欺騙、、重放放攻擊擊、反反射攻攻擊、、中間間人攻攻擊、、網(wǎng)絡絡偵聽聽等攻攻擊形形式將將得到到抑制制。IPSec技術(shù)但在實實際部部署IPv6網(wǎng)絡時時，由由于技技術(shù)能能力不不夠和和現(xiàn)有有安全全基礎礎設施施不足足等原原因，，IPSec在當前前的IPv6網(wǎng)絡中中并未未得到到廣泛泛使用用。所所以，，目前前的IPv6網(wǎng)絡仍仍然是是不安安全的的。1.TypesofTrafficthatIPSecexamines2.Howtrafficissecuredanencrypted3.Theauthenticationmethod50移動互互聯(lián)網(wǎng)網(wǎng)安全全威脅脅終端安全威威脅：：復制SIM卡，手手機惡惡意軟軟件等等無線接接入及及傳輸輸安全全威脅脅：偽造基基站，，釣魚魚WiFi，RF干擾攻攻擊，，F(xiàn)emto安全等等網(wǎng)絡安安全威威脅：：釣魚網(wǎng)網(wǎng)站，，網(wǎng)站站拖庫庫，APT攻擊等等新業(yè)務務安全全威脅脅手機惡惡意軟軟件51網(wǎng)秦發(fā)發(fā)布的的《2011年中國國大陸陸地區(qū)區(qū)手機機安全全報告告》顯示，，2011年網(wǎng)秦秦監(jiān)測測平臺臺查殺殺到手手機惡惡意軟軟件24794款，同同比增增長266%，中國國大陸陸地區(qū)區(qū)2011全年累累計感感染智智能手手機1152萬部，，同比比增長長44%。2011年度十十大手手機病病毒52安卓吸吸費王王（MSO.PJApps）短信竊竊賊（（SW.Spyware）短信大大盜（（SW.SecurePhone）X臥底（（Spy.Flexispy）安卓竊竊聽貓貓（SW.Msgspy）電話吸吸費軍軍團（（BD.LightDD）電話殺殺手（（SW.PhoneAssis）跟蹤隱隱形人人（BD.TRACK）聯(lián)網(wǎng)殺殺手（（s.rogue.uFun）阿基德德鎖（（a.privacy.AckidBlocker）安卓吸吸費王王53作為一一款典典型的的惡意意扣費費軟件件，其其原理理為利利用技技術(shù)手手段將將扣費插插包批量嵌嵌入熱熱門應應用來來誘騙騙用戶戶下載載，裝入手由于其具備攔截中國移動、中國聯(lián)通業(yè)務短信的行為，使得用戶極易在不知情的狀態(tài)下落入黑客設置的吸費陷阱之中。一款名名為““歡樂樂斗地地主””手機機游戲戲手機被被強行行定制制一項項每月月自動動扣費費的SP業(yè)務跟蹤隱隱形人人54監(jiān)控人人下載此此應用用，將其其植入到到試圖圖進行行實時時定位位的被被監(jiān)控控人手手機之之中收到指定短短信指指令，軟件件自動動開啟啟手機機GPS定位功功能，，竊取取被監(jiān)監(jiān)控人人地理理位置置信息息病毒危危害1.隱藏在后后臺，提提供遠程程操控手手機接口口，威脅脅用戶手手機；2.后臺聯(lián)網(wǎng)網(wǎng)，竊取取用戶地地理位置置信息，，泄露用用戶隱私私；3.后臺發(fā)送送短信，，消耗用用戶資費費。信息安全全的威脅脅者---黑客55黑客Hacker是那些檢檢查（網(wǎng)網(wǎng)絡）系系統(tǒng)完整性和和安全性性的人，他他們通常常非常精精通計算算機硬件件和軟件件知識，，并有能能力通過過創(chuàng)新的的方法剖剖析系統(tǒng)統(tǒng)?！昂诤诳汀蓖ㄍǔトふ揖W(wǎng)網(wǎng)絡中漏漏洞，但但是往往往并不去去破壞計計算機系系統(tǒng)。入侵者Cracker只不過是是那些利利用網(wǎng)絡絡漏洞破破壞網(wǎng)絡絡的人，，他們往往往會通通過計算算機系統(tǒng)統(tǒng)漏洞來來入侵，，他們也也具備廣廣泛的電電腦知識識，但與與黑客不不同的是是他們以以破壞為為目的?！，F(xiàn)在Hacker和Cracker已經(jīng)混為為一談，，人們通通常將入入侵計算算機系統(tǒng)統(tǒng)的人統(tǒng)統(tǒng)稱為黑黑客。什么是56黑客在網(wǎng)網(wǎng)上的攻攻擊活動動每年以以十倍速速增長。。修改網(wǎng)頁頁進行惡惡作劇、、竊取網(wǎng)網(wǎng)上信息息興風作作浪。非法進入入主機破破壞程序序、阻塞塞用戶、、竊取密密碼。串入銀行行網(wǎng)絡轉(zhuǎn)轉(zhuǎn)移金錢錢、進行行電子郵郵件騷擾擾。黑客可能能會試圖圖攻擊網(wǎng)網(wǎng)絡設備備，使網(wǎng)網(wǎng)絡設備備癱瘓他們利用用網(wǎng)絡安安全的脆脆弱性，，無孔不不入！美國每年年因黑客客而造成成的經(jīng)濟濟損失近近百億美美元。黑客入侵侵和破壞壞的危險險5758Internet上有超過過30,000個黑客站站點：黑客咨詢詢站(deadlink)黑暗魔域域(deadlink)黑客專家家(deadlink)黑客工作作室(504GatewayTime-out)中國紅客客(deadlink)黑客俱樂樂部(Comingsoon)……黑客站點點5960信息安全全的需求求與實現(xiàn)現(xiàn)本節(jié)提示示：信息安全全的需求求信息安全全技術(shù)信息安全全與法律律6162信息安全全的需求求信息安全全研究涵涵蓋多樣樣內(nèi)容，，其中包包括網(wǎng)絡絡自身的的可用性性、網(wǎng)絡絡的運營營安全、、信息傳傳遞的機機密性、、有害信信息傳播播控制等等大量問問題。然而通信信參與的的不同實實體對信信息安全全關(guān)心的的內(nèi)容不不同，對對網(wǎng)絡與與信息安安全又有有不同的的需求。。在這里按按照用戶戶、運營營商、國國家以及及其他實實體描述述信息安安全需求求。63信息安全全的實現(xiàn)現(xiàn)信息安全全的實現(xiàn)現(xiàn)需要有有一定的的信息安安全策略略，它是是指為保保證提供供一定級級別的安安全保護護所必須須遵守的的規(guī)則。。實現(xiàn)信息息安全，，不但靠先先進的技技術(shù)，而而且也得得靠嚴格格的安全全管理和和法律約約束。先進的信信息安全全技術(shù)是是網(wǎng)絡安安全的根根本保證證嚴格的安安全管理理完善的法法律、法法規(guī)技術(shù)法律管理信息安信息加密密信息加密密使有用用的信息息變?yōu)榭纯瓷先o無用的亂亂碼，攻攻擊者無無法讀懂懂信息的的內(nèi)容從從而保護護信息。。密碼體制制的分類類對稱密碼碼(加解密使使用相同同密鑰)分組密碼碼：DES，3DES流密碼：：AES，RC4，RC5，RC6非對稱密密碼(加解密使使用不同同密鑰)RSA，DSA，DH64Yao還是yue在普通詞詞典上，，密鑰，，公鑰這這些詞被被標注為為讀【yuèè】。技術(shù)詞詞典則相相反，通通常標注注為【yàào】。65信息安全全技術(shù)信息加密密66明文數(shù)據(jù)據(jù)明文數(shù)據(jù)據(jù)加密運算算解密運算算傳輸信道道密鑰產(chǎn)生生器密鑰協(xié)商商密文密文開放，易易受竊聽聽加密與解解密過程程信息安全全技術(shù)（（續(xù)）數(shù)字簽名名數(shù)字簽名名是附加在數(shù)數(shù)據(jù)單元元上的一一些數(shù)據(jù)據(jù),或是對數(shù)數(shù)據(jù)單元元所作的的密碼變換換。它是對對電子形形式的消消息進行行簽名的的一種方方法。數(shù)字簽名名機制決決定于兩兩個過程程：簽名過程程簽名過程程是利用用簽名者者的私有有信息作作為秘密密鑰，或或?qū)?shù)據(jù)據(jù)單元進進行加密密或產(chǎn)生生該數(shù)據(jù)據(jù)單元的的密碼校校驗值。。驗證過程程驗證過程程是利用用公開的的規(guī)程和和信息來來確定簽簽名是否否是利用用該簽名名者的私私有信息息產(chǎn)生的的。67信息安全全技術(shù)（（續(xù)）數(shù)據(jù)完整整性數(shù)據(jù)完整整性保護護用于防防止非法法篡改，，利用密碼理論論的完整整性保護護能夠很好好地對付付非法篡篡改。完整性的的另一用用途是提提供不可可抵賴服服務，當當信息源源的完整整性可以以被驗證證卻無法法模仿時時，收到到信息的的一方可可以認定定信息的的發(fā)送者者，數(shù)字字簽名就就可以提提供這種種手段。68身份鑒別別鑒別是信信息安全全的基本本機制，，通信的雙雙方之間間應互相相認證對對方的身身份，以保證證賦予正正確的操操作權(quán)力力和數(shù)據(jù)據(jù)的存取取控制。。網(wǎng)絡也也必須認認證用戶戶的身份份，以保保證合法法的用戶戶進行正正確的操操作并進進行正確確的審計計。通常有三種種方法驗證證主體身份份。一是只只有該主體體了解的秘秘密，如口令、密鑰鑰；二是主體體攜帶的物物品，如智能卡和令令牌卡；三是只有有該主題具具有的獨一一無二的特特征或能力力，如指紋、聲音音、視網(wǎng)膜膜或簽字等。信息安全技技術(shù)（續(xù)））69訪問控制訪問控制的的目的是防防止對信息息資源的非授權(quán)訪問問和非授權(quán)權(quán)使用信息息資源。它允許用用戶對其常常用的信息息庫進行適適當權(quán)利的的訪問，限限制他隨意意刪除、修修改或拷貝貝信息文件件。訪問控控制技術(shù)還還可以使系系統(tǒng)管理員員跟蹤用戶戶在網(wǎng)絡中中的活動，，及時發(fā)現(xiàn)現(xiàn)并拒絕““黑客”的的入侵。訪問控制采采用最小特特權(quán)原則：：即在給用用戶分配權(quán)權(quán)限時，根根據(jù)每個用用戶的任務務特點使其其獲得完成成自身任務務的最低權(quán)權(quán)限，不給給用戶賦予予其工作范范圍之外的的任何權(quán)力力。信息安全技技術(shù)（續(xù)））70安全數(shù)據(jù)庫庫數(shù)據(jù)庫系統(tǒng)統(tǒng)有數(shù)據(jù)庫和數(shù)數(shù)據(jù)庫管理理系統(tǒng)兩部分組成成。保證數(shù)數(shù)據(jù)庫的安安全主要在在數(shù)據(jù)庫管管理系統(tǒng)上上下功夫，，其安全措措施在很多多方面多類類似于安全全操作系統(tǒng)統(tǒng)中所采取取的措施。。安全數(shù)據(jù)庫庫的基本要要求可歸納納為：數(shù)據(jù)據(jù)庫的完整整性（物理理上的完整整性、邏輯輯上的完整整性和庫中中元素的完完整性）、、數(shù)據(jù)的保保密性（用用戶身份識識別、訪問問控制和可可審計性））、數(shù)據(jù)庫庫的可用性性（用戶界界面友好，，在授權(quán)范范圍內(nèi)用戶戶可以簡便便地訪問數(shù)數(shù)據(jù)）。信息安全技技術(shù)（續(xù)））71網(wǎng)絡控制技技術(shù)防火墻技術(shù)術(shù)：它是一種種允許接入入外部網(wǎng)絡絡，但同時時有能夠識識別和抵抗抗非授權(quán)訪訪問的安全全技術(shù)。防防火墻扮演演的是網(wǎng)絡絡中“交通通警察”角角色，指揮揮網(wǎng)上信息息合理有序序地安全流流動，同時時也處理網(wǎng)網(wǎng)上的各類類“交通事事故”。防火墻可分分為外部防防火墻和內(nèi)內(nèi)部防火墻墻。前者在在內(nèi)部網(wǎng)絡絡和外部網(wǎng)網(wǎng)絡之間建建立起一個個保護層，，從而防止止“黑客””的侵襲；；后者將內(nèi)內(nèi)部網(wǎng)絡分分隔成多個個局域網(wǎng)，，從而限制制外部攻擊擊造成的損損失。信息安全技技術(shù)（續(xù)））72信息安全技技術(shù)（續(xù)））網(wǎng)絡控制技技術(shù)入侵檢測技技術(shù)：掃描當前前網(wǎng)絡的活活動，監(jiān)視和記錄錄網(wǎng)絡的流流量，根據(jù)定義義好的規(guī)則則來過濾從從主機網(wǎng)卡卡到網(wǎng)線上上的流量，，提供實時時報警。安全協(xié)議：整個網(wǎng)絡絡系統(tǒng)的安安全強度實實際上取決決于所使用用的安全協(xié)協(xié)議的安全全性。安全全協(xié)議的設設計和改進進有兩種方方式：對現(xiàn)有網(wǎng)絡絡協(xié)議（如如TCP/IP）進行修改改和補充；；在網(wǎng)絡應用用層和傳輸輸層之間增增加安全子層，如安全協(xié)協(xié)議套接字字層（SSL），安全超超文本傳輸輸協(xié)議（SHTTP）和專用通通信協(xié)議（（PCP）。73反病毒技術(shù)術(shù)由于計算機機病毒具有有傳染的泛泛濫性、病病毒侵害的的主動性、、病毒程序序外形檢測測的難以確確定性、病病毒行為判判定的難以以確定性、、非法性與與隱蔽性、、衍生性、、衍生體的的不等性和和可激發(fā)性性等特性，，所以必須須花大力氣氣認真加以以對付。實際上計算算機病毒研研究已經(jīng)成成為計算機機安全學的的一個極具具挑戰(zhàn)性的的重要課題題，作為普普通的計算算機用戶，，雖然沒有有必要去全全面研究病病毒和防止止措施，但但是養(yǎng)成““衛(wèi)生”的的工作習慣慣并在身邊邊隨時配備備新近的殺毒工具軟軟件是完全必要要的。信息安全技技術(shù)（續(xù)））74安全審審計安全審審計是是防止止內(nèi)部部犯罪罪和事事故后后調(diào)查取取證的基礎礎，通過對對一些些重要要的事事件進進行記記錄，從而而在系統(tǒng)統(tǒng)發(fā)現(xiàn)現(xiàn)錯誤誤或受受到攻攻擊時時能定定位錯錯誤和和找到到攻擊擊成功功的原原因。安全全審計計是一一種很很有價價值的的安全全機制制。審計類類似于于飛機機上的的“黑匣子子”，它它為系系統(tǒng)進進行事事故原原因查查詢、、定位位、事事故發(fā)發(fā)生前前的預預測、、報警警以及及為事事故發(fā)發(fā)生后后的實實時處處理提提供詳詳細可可靠的的依據(jù)據(jù)或支支持。。安全審審計跟跟蹤的的存在在可以以對潛潛在的的安全全攻擊擊源的的攻擊擊起到到威懾懾作用用。信息安安全技技術(shù)（（續(xù)））75業(yè)務填填充所謂的的業(yè)務務填充充即使使在業(yè)務閑閑時發(fā)發(fā)送無無用的的隨機機數(shù)據(jù)據(jù)，增加加攻擊擊者通通過通通信流流量獲獲得信信息的的困難難，是是一種種制造造假的的通信信、產(chǎn)產(chǎn)生欺欺騙性性數(shù)據(jù)據(jù)單元元或在在數(shù)據(jù)據(jù)單元元中產(chǎn)產(chǎn)生數(shù)數(shù)據(jù)的的安全全機制制。該機制制可用用于提提供對對各種種等級級的保保護，，用來來防止止對業(yè)業(yè)務進進行分分析，，同時時也增增加了了密碼碼通訊訊的破破譯難難度。。發(fā)送送的隨隨機數(shù)數(shù)據(jù)應應具有有良好好的模模擬性性能，，能夠夠以假假亂真真。該該機制制只有有在業(yè)業(yè)務填填充受受到保保密性性服務務時才才有效效。信息安安全技技術(shù)（（續(xù)））76路由控控制機機制路由控控制機機制可可使信信息發(fā)發(fā)送者者選擇擇特殊的的路由由，以保保證連連接、、傳輸輸?shù)陌舶踩?。。其基基本功功能為為：路由選選擇路由可可以動動態(tài)選選擇，，也可可以預預定義義，以以便只只用物物理上上安全全的子子網(wǎng)、、中繼繼或鏈鏈路進進行連連接或或傳輸輸；路由連連接在監(jiān)測測到持持續(xù)的的操作作攻擊擊時安全策略攜帶某些安全標簽的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼或路由。連接的發(fā)起者可以提出有關(guān)路由選擇的警告，要求回避某些特定的子網(wǎng)、中繼或鏈路進行連接或傳輸。信息安安全技技術(shù)（（續(xù)））77公證機機制公證機機制是是在兩個或或多個個實體體間進進行通通信的數(shù)據(jù)據(jù)的性性能，，如完完整性性、來來源、、時間間和目目的地地等，，可有有公證證機構(gòu)構(gòu)加以以保證證，這這種保保證由由第三三方公公證者者提供供。通信實實體可可以采公證機制主要支持抗抵賴服務。信息息安安全全技技術(shù)術(shù)（（續(xù)續(xù)））78信息息安安全全與與法法律律79信息息安安全全的的工工作作目目標標通通俗俗地地說說可可以以歸歸結(jié)結(jié)為為下下面面的的““六六不不””:進不來拿不走看不懂改不了逃不掉打不垮訪問問控制制機制制授權(quán)權(quán)機機制制加密密機機制制數(shù)據(jù)據(jù)完完整整性性機機制制審計計、、監(jiān)監(jiān)控數(shù)據(jù)據(jù)備備份份與與災災難難恢恢復復機機制制信息息安安全全的的目目標標80信息息安安全全的的發(fā)發(fā)展展過過程程與與意意義義本節(jié)節(jié)提提示示：：信息息安安全全的的發(fā)發(fā)展展過過程程信息息安安全全的的社社會會意意義義8182信息息安全全自自古古以以來來就就是是受受到到人人們們關(guān)關(guān)注注的的問問題題，，但但在在不不同同的的發(fā)發(fā)展展時時期期，，信信息息安安全全的的側(cè)側(cè)重重點點和和控控制制方方式式是是有有所所不不同同的的。。大大致致說說來來，，信信息息安安全全在在其其發(fā)發(fā)展展過過程程中中經(jīng)經(jīng)歷歷了了三三個個階階段段：：第一一階階段段：早早在在20世紀紀初初期期，，通通信信技技術(shù)術(shù)還還不不發(fā)發(fā)達達，，面面對對電電話話、、電電報報、、傳傳真真等等信信息息交交換換過過程程中中存存在在的的安安全全問問題題，，人人們們強強調(diào)調(diào)的的主主要要是是信信息息的的保保密密性性，，對對安安全全理理論論和和技技術(shù)術(shù)的的研研究究也也只只側(cè)側(cè)重重于于密碼學學，這一一階段段的信信息安安全可可以簡簡單稱稱為通信安安全，即COMSEC（CommunicationSecurity）。信息安安全的的發(fā)展展過程程83第二階階段：20世紀60年代后后，半半導體體和集集成電電路技技術(shù)的的飛速速發(fā)展展推動動了計計算機機軟硬硬件的的發(fā)展展，計計算機機和網(wǎng)網(wǎng)絡技技術(shù)的的應用用進入入了實實用化化和規(guī)規(guī)?；A段段，人人們對對安全全的關(guān)關(guān)注已已經(jīng)逐逐漸擴擴展為為以保保密性性、完完整性性和可可用性性為目目標的的信息安安全階階段，即INFOSEC（InformationSecurity），具有代代表性性的成成果就就是美美國的的TCSEC和歐洲洲的ITSEC測評標標準。。信息安安全的的發(fā)展展過程程（續(xù)續(xù)）84第三階階段：20世紀80年代開開始，，由于于互聯(lián)聯(lián)網(wǎng)技技術(shù)的的飛速速發(fā)展展，信信息無無論是是對內(nèi)內(nèi)還是是對外外都得得到極極大開開放，，由此此產(chǎn)生生的信信息安安全問問題跨跨越了了時間間和空空間，，信息息安全全的焦焦點已已經(jīng)不不僅僅僅是傳傳統(tǒng)的的保密密性、、完整整性和和可用用性三三個原原則了了，由由此衍衍生出出了諸諸如可可控性性、抗抗抵賴賴性、、真實實性等等其他他的原原則和和目標標，信信息安安全也也從單單一的的被動動防護護向全全面而而動態(tài)態(tài)的防防護、、檢測測、響響應、、恢復復等整整體體體系建建設方方向發(fā)發(fā)展，，即所所謂的的信息保保障（InformationAssurance），這這一點點，在在美國國的IATF規(guī)范中中有清清楚的的表述述。信息安安全的的發(fā)展展過程程（續(xù)續(xù)）信息保保障的的核心心思想想是對對系統(tǒng)統(tǒng)或者者數(shù)據(jù)據(jù)的4個方面面的要要求：：保護護（Protect），檢檢測（（Detect），反反應（（React）和恢恢復（（Restore）利用4個單詞詞首字字母表表示為為：PDRR，稱之之為PDRR保障體體系，，其中中：保護（（Protect）指采采用可可能采采取的的手段段來保保障信信息的的保密密性、、完整整性、、可用用性、、可控控性和和不可可否認認性；；檢測（（Detect）指提提供工工具檢檢查系系統(tǒng)可可能存存在的的黑客客攻擊擊、白白領(lǐng)犯犯罪和和病毒毒泛濫濫等脆脆弱性性；反應（（React）指對對危及及安全全的事事件、、行為為、過過程及及時做做出響響應處處理，，杜絕絕危害害的進進一步步蔓延延擴大大，力力求系系統(tǒng)還還能提提供正正常服服務；；恢復（（Restore）指一一旦系系統(tǒng)遭遭到破破壞，，盡快快恢復復系統(tǒng)統(tǒng)功能能，盡盡早提提供正正常的的服務務。信息安安全的的發(fā)展展過程程（續(xù)續(xù)）85目前研研究信信息安安全已經(jīng)不不只為為了信信息和和數(shù)據(jù)據(jù)的安安全性性。信息息安全全已經(jīng)滲滲透到到國家家的政治治、經(jīng)經(jīng)濟、、文化化、軍軍事等領(lǐng)域域。信息安安全的的社會會意義義86信息安安全與與政治治目前政政府上上網(wǎng)已已經(jīng)大大規(guī)模模地發(fā)發(fā)展起起來，，電子子政務務工程程已經(jīng)經(jīng)在全全國啟啟動。。政府府網(wǎng)絡絡的安安全直直接代代表了了國家家的形形象。。從2004以后，，網(wǎng)絡絡威脅脅呈現(xiàn)現(xiàn)多樣樣化，，除傳傳統(tǒng)的的病毒毒、垃垃圾郵郵件外外，危危害更更大的的間諜諜軟件件、廣廣告軟軟件、、網(wǎng)絡絡釣魚魚等紛紛紛加加入到到互聯(lián)聯(lián)網(wǎng)安安全破破壞者者的行行列，，成為為威脅脅計算算機安安全的的幫兇兇。現(xiàn)現(xiàn)在，，軍隊隊以及及一些些政府府機關(guān)關(guān)的計計算機機是不不允許許接入入互聯(lián)聯(lián)網(wǎng)的的。由于互互聯(lián)網(wǎng)網(wǎng)發(fā)展展在地地域上上極不不平衡衡，信信息強強國對對于信信息弱弱國已已經(jīng)形形成了了戰(zhàn)略略上的的“信息位位勢差差”。“信息疆疆域”不再是是以傳傳統(tǒng)的的地緣緣、領(lǐng)領(lǐng)土、、領(lǐng)空空、領(lǐng)領(lǐng)海來來劃分分的，，而是是以帶帶有政政治影影響力力的信信息輻輻射空空間來來劃分分的。。87一個國國家信信息化化程度度越高高，整整個國國民經(jīng)經(jīng)濟和和社會會運行行對信信息資資源和和信息息基礎礎設施施的依依賴程程度也也越高高。我我國計計算機機犯罪罪的增增長速速度超超過了了傳統(tǒng)統(tǒng)的犯犯罪，，1997年20多起，，1998年142起，1999年908起，2000年上半半年1420起，再再后來來就沒沒有辦辦法統(tǒng)統(tǒng)計了了。1999年4月26日，臺臺灣人人編制制的CIH病毒的的大爆爆發(fā)，，據(jù)統(tǒng)統(tǒng)計，，我國國受其其影響響的PC機總量量達36萬臺之之多。。有人人估計計在這這次事事件中中，經(jīng)經(jīng)濟損損失高高達12億元。。從1988年CERT（ComputerEmergencyResponseTeam，CERT）由于Morris蠕蟲事事件成成立以以來，，Internet安全威威脅事事件逐逐年上上升，，給Internet帶來巨巨大的的經(jīng)濟濟損失失。以以美國國為例例，其其每年年因為為安全全事件件造成成的經(jīng)經(jīng)濟損損失超超過170億美元元。信息安安全與與經(jīng)濟濟88信息安安全與與文化化文化是是一個個國家家民族族精神神和智智慧的的長期期積淀淀和凝凝聚，，是民民族振振興發(fā)發(fā)展的的價值值體現(xiàn)現(xiàn)。在