信息與信息安全風(fēng)險(xiǎn)

第一頁，共四十四頁，2022年，8月28日課堂考勤和紀(jì)律要求作業(yè)完成要求實(shí)驗(yàn)完成要求第二頁，共四十四頁，2022年，8月28日課程定位本課程是一門理論與實(shí)踐結(jié)合很緊密的課程，是相關(guān)基礎(chǔ)課的綜合，內(nèi)容繁雜，涉及知識面廣，主要內(nèi)容是網(wǎng)絡(luò)和信息技術(shù)，從中能反映出來計(jì)算機(jī)技術(shù)領(lǐng)域的新發(fā)展和新應(yīng)用。課程對理論知識和實(shí)踐環(huán)節(jié)的要求都較高。通過本課程的學(xué)習(xí)，要掌握計(jì)算機(jī)網(wǎng)絡(luò)與信息安全的基本概念，熟悉常見的網(wǎng)絡(luò)信息安全威脅，具備分析各種安全威脅原因的基本方法，初步掌握排除安全隱患的基本方法與技巧。本課程的任務(wù)主要有：培養(yǎng)學(xué)生對網(wǎng)絡(luò)安全和信息安全概念的理解、掌握分析各種安全威脅原因基本方法和技巧，為做好計(jì)算機(jī)網(wǎng)絡(luò)和信息安全維護(hù)提供必要的理論知識和基礎(chǔ)實(shí)踐經(jīng)驗(yàn)。第三頁，共四十四頁，2022年，8月28日問題1、什么是“網(wǎng)絡(luò)”

？2、什么是“信息”

？3、“信息”與網(wǎng)絡(luò)的各類安全隱患？4、網(wǎng)絡(luò)（信息）安全？第四頁，共四十四頁，2022年，8月28日本課程學(xué)習(xí)內(nèi)容要點(diǎn)（1）實(shí)體硬件安全（2）軟件系統(tǒng)安全（3）網(wǎng)絡(luò)安全防護(hù)（4）數(shù)據(jù)信息安全（5）病毒防治技術(shù)（6）網(wǎng)絡(luò)站點(diǎn)安全第五頁，共四十四頁，2022年，8月28日

第一章

信息與信息安全風(fēng)險(xiǎn)第六頁，共四十四頁，2022年，8月28日基本內(nèi)容在信息化社會中，信息已提升為制約社會發(fā)展、推動(dòng)社會進(jìn)步的關(guān)鍵因素之一，人們對信息和信息技術(shù)的依賴程度越來越高，甚至有些行為方式也受信息技術(shù)的約束，自然人之間的交流也日趨機(jī)器化。本章從信息的概念發(fā)展出發(fā)，介紹信息的作用、信息技術(shù)對人類生活的影響，描述信息面臨的風(fēng)險(xiǎn)與威脅，最后引出信息安全的目標(biāo)。第七頁，共四十四頁，2022年，8月28日1.1信息與信息技術(shù)1.1.1信息的概念信息論創(chuàng)始人香農(nóng)：“信息是用以消除不確定性的東西”，推導(dǎo)出了信息測度的數(shù)學(xué)公式。控制論的創(chuàng)始人維納：“信息是人們在適應(yīng)外部世界，并使這種適應(yīng)反作用于外部世界的過程中，同外部世界進(jìn)行交換的內(nèi)容的名稱”。中國學(xué)者鐘義信：“信息是事物運(yùn)動(dòng)的狀態(tài)與方式，是事物的一種屬性”。信息的定義：信息是事物運(yùn)動(dòng)的狀態(tài)和狀態(tài)的變化方式第八頁，共四十四頁，2022年，8月28日1.1.2信息的性質(zhì)依附性：用“符號”表示；依附于一定的物理介質(zhì)動(dòng)態(tài)性：信息只有及時(shí)、新穎才有價(jià)值可處理性：內(nèi)容可以識別，形式可以轉(zhuǎn)換或變換共享性：信息可無限擴(kuò)散可傳遞性：在時(shí)間和空間上都具有傳遞性異步性：以存儲方式來接收，在任何時(shí)間使用可交換性：可在兩個(gè)主體間實(shí)現(xiàn)信息的交換可偽性：信息是可以偽造的

1.1信息與信息技術(shù)第九頁，共四十四頁，2022年，8月28日1.1.3信息的功能基本功能：在于維持和強(qiáng)化世界的有序性動(dòng)態(tài)性社會功能：表現(xiàn)為維系社會的生存、促進(jìn)人類文明的進(jìn)步和自身的發(fā)展1.1信息與信息技術(shù)第十頁，共四十四頁，2022年，8月28日1.1.4信息技術(shù)信息技術(shù)是指人們處理信息的相關(guān)技術(shù)，包括信息的感測與識別、信息的傳遞、信息的處理和再生及各類信息施用技術(shù)；

感測與識別技術(shù)信息傳遞技術(shù)信息處理與再生技術(shù)信息施用技術(shù)1.1信息與信息技術(shù)第十一頁，共四十四頁，2022年，8月28日信息技術(shù)（IT：InformationTechnology）的內(nèi)涵IT＝Computer＋Communication＋Control信息傳遞（通信）信息認(rèn)知－>信息再生（計(jì)算機(jī)）信息傳遞（通信）信息實(shí)效（控制）信息獲?。ǜ袦y）外部世界信息技術(shù)第十二頁，共四十四頁，2022年，8月28日1.1.5信息系統(tǒng)信息系統(tǒng)是指基于計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的系統(tǒng)，是人、規(guī)程、數(shù)據(jù)庫、硬件和軟件等各種設(shè)備、工具的有機(jī)集合。在信息安全領(lǐng)域，重點(diǎn)關(guān)注的是與信息處理生命周期相關(guān)的各個(gè)環(huán)節(jié)，包括信息本身在整個(gè)生命周期中的存在形式、存儲處理相關(guān)的設(shè)備、傳遞交換所用的通信網(wǎng)絡(luò)、相應(yīng)的計(jì)算機(jī)軟件和協(xié)議等。1.1信息與信息技術(shù)第十三頁，共四十四頁，2022年，8月28日1.2信息安全的重要性與嚴(yán)峻性1.2.1信息安全的重要性社會發(fā)展三要素的物質(zhì)、能源和信息的關(guān)系發(fā)生了深刻的變化。信息要素已成為支配人類社會發(fā)展進(jìn)程的決定性力量之一。互聯(lián)網(wǎng)已經(jīng)成為了一個(gè)繼電視、電臺、報(bào)刊之后的第四媒體。社會信息化提升了信息的地位社會對信息技術(shù)的依賴性增強(qiáng)虛擬的網(wǎng)絡(luò)財(cái)富日益增長信息安全已經(jīng)成為社會的焦點(diǎn)問題第十四頁，共四十四頁，2022年，8月28日1.2信息安全的重要性與嚴(yán)峻性截至2010年6月底，中國網(wǎng)民數(shù)量已達(dá)4.2億，網(wǎng)民規(guī)模居世界第一位。第十五頁，共四十四頁，2022年，8月28日1.2信息安全的重要性與嚴(yán)峻性1.2.2信息安全的嚴(yán)峻性系統(tǒng)的安全漏洞不斷增加黑客攻擊攪得全球不安計(jì)算機(jī)病毒肆虐網(wǎng)絡(luò)仿冒危害巨大“僵尸網(wǎng)絡(luò)”（BOTNET）使得網(wǎng)絡(luò)攻擊規(guī)模化木馬和后門程序泄漏秘密以利益驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪發(fā)展迅猛

信息戰(zhàn)陰影威脅數(shù)字化和平白領(lǐng)犯罪造成巨大商業(yè)損失第十六頁，共四十四頁，2022年，8月28日1.2信息安全的重要性與嚴(yán)峻性第十七頁，共四十四頁，2022年，8月28日1.2信息安全的重要性與嚴(yán)峻性第十八頁，共四十四頁，2022年，8月28日1.2信息安全的重要性與嚴(yán)峻性網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴(yán)峻的安全威脅。2007年各種網(wǎng)絡(luò)安全事件與2006年相比都有顯著增加。在地下黑色產(chǎn)業(yè)鏈的推動(dòng)下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟(jì)利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號木馬、后門病毒等，并結(jié)合社會工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號、網(wǎng)銀賬號和密碼、網(wǎng)銀數(shù)字證書等。信息系統(tǒng)軟件的安全漏洞仍然是互聯(lián)網(wǎng)安全的關(guān)鍵問題，安全漏洞問題變得越來越復(fù)雜和嚴(yán)重。第十九頁，共四十四頁，2022年，8月28日1、操作系統(tǒng)安全的脆弱性

1）操作系統(tǒng)結(jié)構(gòu)體制本身的缺陷。2）在網(wǎng)絡(luò)上傳輸文件，加載與安裝程序，包括可執(zhí)行的文件。3）在于創(chuàng)建進(jìn)程，甚至可以在網(wǎng)絡(luò)的節(jié)點(diǎn)上進(jìn)行遠(yuǎn)程的創(chuàng)建和激活。4）操作系統(tǒng)中有一些守護(hù)進(jìn)程，實(shí)際上是一些系統(tǒng)進(jìn)程，它們總是在等待一些條件的出現(xiàn)。5）操作系統(tǒng)都提供遠(yuǎn)程過程調(diào)用（RPC）服務(wù)，而提供的安全驗(yàn)證功能卻很有限。第二十頁，共四十四頁，2022年，8月28日2、操作系統(tǒng)安全的脆弱性

6）操作系統(tǒng)提供網(wǎng)絡(luò)文件系統(tǒng)（NFS）服務(wù)，NFS系統(tǒng)是一個(gè)基于RPC的網(wǎng)絡(luò)文件系統(tǒng)。7）操作系統(tǒng)的debug和wizard功能。8）操作系統(tǒng)安排的無口令入口，是為系統(tǒng)開發(fā)人員提供的邊界入口，但這些入口也可能被黑客利用。9）操作系統(tǒng)還有隱蔽的信道，存在著潛在的危險(xiǎn)。10）盡管操作系統(tǒng)的缺陷可以通過版本的不斷升級來克服，但系統(tǒng)的某一個(gè)安全漏洞就會使系統(tǒng)的所有安全控制毫無價(jià)值。第二十一頁，共四十四頁，2022年，8月28日3、網(wǎng)絡(luò)安全的脆弱性

使用TCP/IP協(xié)議的網(wǎng)絡(luò)所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素，存在著許多漏洞。同時(shí)，網(wǎng)絡(luò)的普及，使信息共享達(dá)到了一個(gè)新的層次，信息被暴露的機(jī)會大大增多。特別是Internet網(wǎng)絡(luò)就是一個(gè)不設(shè)防的開放大系統(tǒng)。另外，數(shù)據(jù)處理的可訪問性和資源共享的目的性之間是一對矛盾。它造成了計(jì)算機(jī)系統(tǒng)保密性難。第二十二頁，共四十四頁，2022年，8月28日4、數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性

當(dāng)前，大量的信息存儲在各種各樣的數(shù)據(jù)庫中，然而，這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少。而且，數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套。例如，DBMS的安全級別是B2級，那么操作系統(tǒng)的安全級別也應(yīng)該是B2級，但實(shí)踐中往往不是這樣做的。第二十三頁，共四十四頁，2022年，8月28日5、防火墻的局限性

盡管利用防火墻可以保護(hù)安全網(wǎng)免受外部黑客的攻擊，但它只是能夠提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)絕對安全。事實(shí)上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。第二十四頁，共四十四頁，2022年，8月28日6、其他方面的原因

1）計(jì)算機(jī)領(lǐng)域中重大技術(shù)進(jìn)步都對安全性構(gòu)成新的威脅。

2）安全性的地位總是列在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)規(guī)劃的最后面，勿略了網(wǎng)絡(luò)系統(tǒng)的安全。

3）易受環(huán)境和災(zāi)害的影響。

4）電子技術(shù)基礎(chǔ)薄弱，抵抗外部環(huán)境較弱。

5）剩磁效應(yīng)和電磁泄漏的不可避免。第二十五頁，共四十四頁，2022年，8月28日1.3安全問題的起源和常見威脅1.3.1信息安全問題的起源信息安全問題是一個(gè)系統(tǒng)問題計(jì)算機(jī)網(wǎng)絡(luò)是目前信息處理的主要環(huán)境和信息傳輸?shù)闹饕d體互聯(lián)網(wǎng)的“無序、無界、匿名”三大基本特征也決定了網(wǎng)絡(luò)信息的不安全第二十六頁，共四十四頁，2022年，8月28日攻擊與防范安全服務(wù)信息攻擊者計(jì)算機(jī)系統(tǒng)安全需求與策略安全機(jī)制第二十七頁，共四十四頁，2022年，8月28日1.3安全問題的起源和常見威脅1.3.2物理安全風(fēng)險(xiǎn)計(jì)算機(jī)本身和外部設(shè)備乃至網(wǎng)絡(luò)和通信線路面臨各種風(fēng)險(xiǎn)，如各種自然災(zāi)害、人為破壞、操作失誤、設(shè)備故障、電磁干擾、被盜和各種不同類型的不安全因素所致的物質(zhì)財(cái)產(chǎn)損失、數(shù)據(jù)資料損失等。第二十八頁，共四十四頁，2022年，8月28日1.3安全問題的起源和常見威脅1.3.3系統(tǒng)風(fēng)險(xiǎn)——組件的脆弱性硬件組件：設(shè)計(jì)、生產(chǎn)工藝或制造商軟件組件：“后門”、設(shè)計(jì)中的疏忽、不必要的功能冗余、邏輯混亂及其他不按信息系統(tǒng)安全等級要求進(jìn)行設(shè)計(jì)的安全隱患網(wǎng)絡(luò)和通信協(xié)議：TCP/IP協(xié)議簇先天不足缺乏對用戶身份的鑒別缺乏對路由協(xié)議的鑒別認(rèn)證TCP/UDP的缺陷第二十九頁，共四十四頁，2022年，8月28日1.3安全問題的起源和常見威脅1.3.4網(wǎng)絡(luò)與應(yīng)用風(fēng)險(xiǎn)——威脅和攻擊對數(shù)據(jù)通信系統(tǒng)的威脅包括：對通信或網(wǎng)絡(luò)資源的破壞對信息的濫用、訛用或篡改信息或網(wǎng)絡(luò)資源的被竊、刪除或丟失信息的泄露服務(wù)的中斷和禁止威脅和攻擊的來源

內(nèi)部操作不當(dāng)內(nèi)部管理不嚴(yán)造成系統(tǒng)安全管理失控來自外部的威脅和犯罪第三十頁，共四十四頁，2022年，8月28日AttackVsThreat攻擊（Attack）任何危及到信息安全的行為攻擊一定是已經(jīng)發(fā)生攻擊的類型是多種多樣的，因而是難以預(yù)測的威脅（Threat）信息或信息系統(tǒng)潛在的安全漏洞威脅不一定會發(fā)生威脅是潛在的，因而在被利用前是很難發(fā)現(xiàn)的第三十一頁，共四十四頁，2022年，8月28日AttackVsThreat攻擊&威脅攻擊往往要利用一個(gè)或多個(gè)威脅利用漏洞實(shí)際發(fā)生的、違背信息安全的行為稱之為攻擊有時(shí)攻擊和威脅不作區(qū)分第三十二頁，共四十四頁，2022年，8月28日攻擊的種類《信息保障技術(shù)框架（IATF）》3.0版中將攻擊分為以下5類：被動(dòng)攻擊主動(dòng)攻擊物理臨近攻擊內(nèi)部人員攻擊軟硬件配裝攻擊第三十三頁，共四十四頁，2022年，8月28日被動(dòng)攻擊是在未經(jīng)用戶同意和認(rèn)可的情況下將信息或數(shù)據(jù)文件泄露給系統(tǒng)攻擊者，但不對數(shù)據(jù)信息做任何修改常見手段：搭線監(jiān)聽無線截獲其他截獲

特點(diǎn)：不易被發(fā)現(xiàn)重點(diǎn)在于預(yù)防，如使用虛擬專用網(wǎng)（VPN）、采用加密技術(shù)保護(hù)網(wǎng)絡(luò)以及使用加保護(hù)的分布式網(wǎng)絡(luò)等

第三十四頁，共四十四頁，2022年，8月28日主動(dòng)攻擊涉及某些數(shù)據(jù)流的篡改或虛假流的產(chǎn)生通常分為：假冒重放篡改消息拒絕服務(wù)特點(diǎn)：容易被檢測出來不易有效地防止，具體措施包括自動(dòng)審計(jì)、入侵檢測和完整性恢復(fù)等

第三十五頁，共四十四頁，2022年，8月28日威脅的種類泄漏（Disclosure）:unauthorizedaccesstoinformationSnooping欺騙（Deception）:acceptanceoffalsedataModification,masquerading/spoofing,repudiationoforigin,denialofreceipt破壞（Disruption）:interruption/preventionofcorrectoperationModification篡改（Usurpation）:unauthorizedcontrolofasystemcomponentModification,masquerading/spoofing,delay,denialofservice第三十六頁，共四十四頁，2022年，8月28日威脅的種類安全威脅包括：資源及其脆弱性（ResourcesandtheirVulnerabilities）脆弱性及攻擊（VulnerabilityandAttacks）安全威脅（SecurityThreads）攻擊分類（AttackClassification）第三十七頁，共四十四頁，2022年，8月28日安全威脅分級在安全威脅分析方面，國際上建立了安全威脅等級劃分準(zhǔn)則，即按照威脅的破壞程度，分為三個(gè)等級：C級威脅：個(gè)體信息犯罪，也就是信息攻擊者是個(gè)體，單點(diǎn)攻擊，采用一些簡單攻擊。雖然這種攻擊可以逐步事實(shí)自動(dòng)化、平臺化，但是攻擊點(diǎn)是一點(diǎn)，作用有限，通常攻擊的是標(biāo)準(zhǔn)化網(wǎng)絡(luò)和系統(tǒng)。B級威脅：有組織的分布式協(xié)同攻擊，多點(diǎn)、多技術(shù)和協(xié)同攻擊，相互掩護(hù)，危害大，難以對付。能夠攻擊一些專用網(wǎng)絡(luò)、非標(biāo)準(zhǔn)網(wǎng)絡(luò)。A級威脅：該威脅是戰(zhàn)爭威脅，它是比B級威脅更大范圍的攻擊，使用的攻擊技術(shù) 更全面，危害更大?？梢圆捎靡磺心壳耙阎羰侄?，包括可控計(jì)算機(jī)病毒、信息炸彈、信息炮彈、網(wǎng)絡(luò)安裝軟件、使用網(wǎng)絡(luò)攻擊平臺、實(shí)施一定的戰(zhàn)術(shù)方案等。第三十八頁，共四十四頁，2022年，8月28日1.3安全問題的起源和常見威脅1.3.5管理風(fēng)險(xiǎn)安全大師BruceSchneier：“安全是一個(gè)過程(Process），而不是一個(gè)產(chǎn)品（Product）”。單純依靠安全設(shè)備是不夠的，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人以及他們之間的相互關(guān)系和接口的系統(tǒng)。網(wǎng)絡(luò)與信息系統(tǒng)的實(shí)施主體是人，安全設(shè)備與安全策略最終要依靠人才能應(yīng)用與貫徹。第三十九頁，共四十四頁，2022年，8月28日1.4信息安全的目標(biāo)1.4.1基本目標(biāo)信息安全的基本目標(biāo)應(yīng)該是保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可抵賴性。（1）機(jī)密性：指保證信息不被非授權(quán)訪問，即使非授權(quán)用戶得到信息也無法知曉信息的內(nèi)容，因而不能使用。（2）完整性：指維護(hù)信息的一致性，即在信息生成、傳輸、存儲和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改。（3）可用性：指授權(quán)用戶在需要時(shí)能不受其他因素的影響，方便地使用所需信息。這一目標(biāo)是對