第1章信息安全概述

信息安全技術(shù)與應(yīng)用《信息安全技術(shù)與應(yīng)用》教學(xué)目的全面了解信息安全基本概念及國家信息安全保護(hù)相關(guān)政策、法津、法規(guī)和標(biāo)準(zhǔn)；初步掌握信息安全基礎(chǔ)理論、工作原理與工程技術(shù)應(yīng)用；根據(jù)信息安全保護(hù)等級需求，綜合利用信息安全知識和技術(shù)構(gòu)建安全解決方案，具備選擇、集成、配置、評估、維護(hù)、管理和開發(fā)信息安全保障系統(tǒng)的工程技能信息安全技術(shù)與應(yīng)用《信息安全技術(shù)與應(yīng)用》教學(xué)要求在成本、環(huán)境、風(fēng)險及技術(shù)等約束條件下；依據(jù)國家信息安全保護(hù)相關(guān)政策、法津、法規(guī)和標(biāo)準(zhǔn)；綜合應(yīng)用信息安全知識和技術(shù)；分析、構(gòu)造、設(shè)計(jì)、實(shí)施和運(yùn)行信息安全保障系統(tǒng)的工程技能。信息安全技術(shù)與應(yīng)用第1章信息安全概述信息安全技術(shù)與應(yīng)用1.1信息安全基本概念信息安全定義信息安全是為防范計(jì)算機(jī)網(wǎng)絡(luò)硬件、軟件、數(shù)據(jù)偶然或蓄意破環(huán)、篡改、竊聽、假冒、泄露、非法訪問和保護(hù)網(wǎng)絡(luò)系統(tǒng)持續(xù)有效工作的措施總和；信息安全保護(hù)范圍信息安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)系統(tǒng)安全和密碼安全涉及的保護(hù)范圍不同；信息安全技術(shù)與應(yīng)用信息安全保護(hù)范圍密碼安全系統(tǒng)安全網(wǎng)絡(luò)安全信息安全信息安全技術(shù)與應(yīng)用信息安全側(cè)重點(diǎn)研究關(guān)注從理論上采用數(shù)學(xué)方法精確描述安全屬性；工程技術(shù)成熟的信息安全解決方案和新型信息安全產(chǎn)品；評估與測評關(guān)注信息安全測評標(biāo)準(zhǔn)、安全等級劃分、安全產(chǎn)品測評方法與工具、網(wǎng)絡(luò)信息采集以及網(wǎng)絡(luò)滲透技術(shù)；網(wǎng)絡(luò)或信息安全管理關(guān)心信息安全管理策略、身份認(rèn)證、訪問控制、入侵檢測、網(wǎng)絡(luò)與系統(tǒng)安全審計(jì)、信息安全應(yīng)急響應(yīng)、計(jì)算機(jī)病毒防治等安全技術(shù)；信息安全技術(shù)與應(yīng)用信息安全側(cè)重點(diǎn)公共安全熟悉熟悉國家和行業(yè)部門頒布的常用信息安全監(jiān)察法律法規(guī)、信息安全取證、信息安全審計(jì)、知識產(chǎn)權(quán)保護(hù)、社會文化安全等技術(shù)軍事關(guān)心信息對抗、信息加密、安全通信協(xié)議、無線網(wǎng)絡(luò)安全、入侵攻擊、網(wǎng)絡(luò)病毒傳播等信息安全綜合技術(shù)；信息安全技術(shù)與應(yīng)用信息安全目標(biāo)最終目標(biāo)通過各種技術(shù)與管理手段實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性；可靠性指信息系統(tǒng)能夠在規(guī)定的條件與時間內(nèi)完成規(guī)定功能的特性；可控性指信息系統(tǒng)對信息內(nèi)容和傳輸具有控制能力的特性；拒絕否認(rèn)性指通信雙方不能抵賴或否認(rèn)已完成的操作和承諾；信息安全技術(shù)與應(yīng)用保密性保密性指信息系統(tǒng)防止信息非法泄露的特性，信息只限于授權(quán)用戶使用；保密性主要通過信息加密、身份認(rèn)證、訪問控制、安全通信協(xié)議等技術(shù)實(shí)現(xiàn)；信息加密是防止信息非法泄露的最基本手段。信息安全技術(shù)與應(yīng)用完整性和有效性完整性指信息未經(jīng)授權(quán)不能改變的特性；完整性強(qiáng)調(diào)信息在存儲和傳輸過程中不能被偶然或蓄意修改、刪除、偽造、添加、破壞或丟失；信息在存儲和傳輸過程中必須保持原樣；只有完整的信息才是可信任的信息。有效性指信息資源容許授權(quán)用戶按需訪問的特性信息安全技術(shù)與應(yīng)用信息安全模型安全解決方案一個涉及法律、法規(guī)、管理、技術(shù)和教育等多個因素的復(fù)雜系統(tǒng)工程；安全只具有相對意義；絕對的安全只是一個理念；任何安全模型都不可能將所有可能的安全隱患都考慮周全；理想的信息安全模型不存在。信息安全技術(shù)與應(yīng)用PPDR信息安全模型安全策略保護(hù)檢測響應(yīng)信息安全技術(shù)與應(yīng)用信息安全策略信息安全策略是保障機(jī)構(gòu)信息安全的指導(dǎo)文件；信息安全策略包括總體安全策略和安全管理實(shí)施細(xì)則；總體安全策略包括分析安全需求、分析安全威脅、定義安全目標(biāo)、確定安全保護(hù)范圍、分配部門責(zé)任、配備人力物力、確認(rèn)違反策略的行為和相應(yīng)的制裁措施；安全管理細(xì)則規(guī)定了具體的實(shí)施方法和內(nèi)容；信息安全技術(shù)與應(yīng)用信息安全策略總則均衡性原則在安全需求、易用性、效能和安全成本之間保持相對平衡；時效性原則影響信息安全的因素隨時間變化，信息安全問題具有顯著的時效性；最小化原則系統(tǒng)提供的服務(wù)越多，安全漏洞和威脅也就越多；關(guān)閉安全策略中沒有規(guī)定的網(wǎng)絡(luò)服務(wù)；以最小限度原則配置滿足安全策略定義的用戶權(quán)限；信息安全技術(shù)與應(yīng)用安全策略內(nèi)容硬件物理安全網(wǎng)絡(luò)連接安全操作系統(tǒng)安全網(wǎng)絡(luò)服務(wù)安全數(shù)據(jù)安全安全管理責(zé)任網(wǎng)絡(luò)用戶安全責(zé)任信息安全技術(shù)與應(yīng)用1.2信息安全漏洞與威脅軟件漏洞指在設(shè)計(jì)與編制軟件時沒有考慮對非正常輸入進(jìn)行處理或錯誤代碼而造成的安全隱患;軟件漏洞是任何軟件存在的客觀事實(shí);軟件產(chǎn)品通常在正式發(fā)布之前，一般都要相繼發(fā)布α版本、β版本和γ版本供反復(fù)測試使用，目的就是為了盡可能減少軟件漏洞信息安全技術(shù)與應(yīng)用

軟件漏洞與攻擊事件趨勢攻擊事件趨勢軟件漏洞趨勢信息安全技術(shù)與應(yīng)用網(wǎng)絡(luò)協(xié)議漏洞指網(wǎng)絡(luò)通信協(xié)議不完善而導(dǎo)致的安全隱患；Internet使用的TCP/IP協(xié)議族所有協(xié)議都發(fā)現(xiàn)存在安全隱患；截止到2012年6月，專門從事安全漏洞名稱標(biāo)準(zhǔn)化的公共漏洞披露機(jī)構(gòu)CVE（commonvulnerabilityandexposures）已發(fā)布了53623個不同的安全漏洞；新的安全漏洞仍在不斷披露信息安全技術(shù)與應(yīng)用安全管理漏洞安全技術(shù)只是保證信息安全的基礎(chǔ)；信息安全管理才是發(fā)揮信息安全技術(shù)的根本保證；信息安全問題不是一個純技術(shù)問題；從安全管理角度看，信息安全首先是管理問題；如常見的系統(tǒng)缺省配置、脆弱性口令和信任關(guān)系轉(zhuǎn)移等；信息安全是相對的，是建立在信任基礎(chǔ)之上的，絕對的信息安全不存在。信息安全技術(shù)與應(yīng)用信息安全威脅來源指事件對信息資源的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性可能產(chǎn)生的危害；自然因素：硬件故障、軟件故障、電源故障、電磁干擾、電磁輻射和自然災(zāi)害人為因素意外損壞：刪除文件、格式化硬盤、帶電拔插、系統(tǒng)斷電等各種操作失誤；蓄意攻擊：網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒、特洛伊木馬、網(wǎng)絡(luò)竊聽、郵件截獲、濫用特權(quán)等信息安全技術(shù)與應(yīng)用信息安全威脅來源網(wǎng)絡(luò)安全威脅自然因素人為因素硬件故障；軟件故障；電源故障；電磁干擾電磁輻射意外損壞蓄意攻擊刪除文件；格式化硬盤自然災(zāi)害網(wǎng)絡(luò)攻擊；計(jì)算機(jī)病毒；濫用特權(quán)特洛伊木馬；網(wǎng)絡(luò)竊聽；郵件截獲帶電拔插；系統(tǒng)斷電破壞保密性破壞完整性和有效性破壞保密性、完整性和有效性安全威脅分類及破壞目標(biāo)信息安全技術(shù)與應(yīng)用信息安全威脅來源主動攻擊主要來自網(wǎng)絡(luò)黑客（hacker）、敵對勢力、網(wǎng)絡(luò)金融犯罪分子和商業(yè)競爭對手；黑客指獨(dú)立思考、智力超群、精力充沛、熱衷于探索軟件奧秘和顯示個人才干的計(jì)算機(jī)迷；白帽黑客協(xié)助廠商解決安全問題；灰帽黑客發(fā)現(xiàn)安全漏洞后，在群體內(nèi)發(fā)布的同時也通知廠商；黑帽黑客無視國家法律和法規(guī)，針對安全漏洞研究漏洞利用攻擊機(jī)制，并遵守漏洞利用共享規(guī)范信息安全技術(shù)與應(yīng)用1.3

信息安全評價標(biāo)準(zhǔn)中國國家質(zhì)量技術(shù)監(jiān)督局頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》美國國防部頒布的《可信計(jì)算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)》；歐洲德國、法國、英國、荷蘭四國聯(lián)合頒布的《信息技術(shù)安全評價標(biāo)準(zhǔn)》；加拿大頒布的《可信計(jì)算機(jī)產(chǎn)品評價標(biāo)準(zhǔn)》；美國、加拿大、德國、法國、英國、荷蘭六國聯(lián)合頒布的《信息技術(shù)安全評價通用標(biāo)準(zhǔn)》；信息安全技術(shù)與應(yīng)用美國可信計(jì)算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)TCSEC根據(jù)計(jì)算機(jī)系統(tǒng)采用的安全策略、提供的安全功能和安全功能保障的可信度將安全級別劃分為D、C、B、A四大類七個等級；其中D類安全級別最低，A類安全級別最高；無安全保護(hù)D類自主安全保護(hù)C類強(qiáng)制安全保護(hù)B類驗(yàn)證安全保護(hù)A信息安全技術(shù)與應(yīng)用美國可信計(jì)算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)安全功能無保護(hù)D級自主保護(hù)C1級TCSEC標(biāo)準(zhǔn)各安全等級關(guān)系安全功能保障控制保護(hù)C2級標(biāo)記保護(hù)B1級結(jié)構(gòu)保護(hù)B2級區(qū)域保護(hù)B3級驗(yàn)證保護(hù)A級信息安全技術(shù)與應(yīng)用國際通用信息安全評價標(biāo)準(zhǔn)評價的信息系統(tǒng)或技術(shù)產(chǎn)品及其相關(guān)文檔在CC中稱為評價目標(biāo)TOE（targetofevaluation）；CC標(biāo)準(zhǔn)采用類（class）、族（family）、組件（component）層次結(jié)構(gòu)化方式定義TOE的安全功能；CC標(biāo)準(zhǔn)定義安全保證（securityassurance）同樣采用了類、族和組件層次結(jié)構(gòu)信息安全技術(shù)與應(yīng)用CC標(biāo)準(zhǔn)定義的安全功能類序號類名類功能1FAU安全審計(jì)（securityaudit）2FCO通信（communication）3FCS密碼支持（cryptographicsupport）4FDP用戶數(shù)據(jù)保護(hù)（userdataprotection）5FIA身份認(rèn)證（identificationandauthentication）6FMT安全管理（securitymanagement）7FPR隱私（privacy）8FPTTOE安全功能保護(hù)（protectionofTOEsecurityfunction9FRU資源利用（resourceutilization）10FTATOE訪問（TOEaccess）11FTP可信通路（trustedpath）

信息安全技術(shù)與應(yīng)用CC標(biāo)準(zhǔn)定義的安全保證類序號類名類功能1ACM配置管理（configurationmanagement）2ADO提交與操作（deliveryandoperation）3ADV開發(fā)（development）4AGD指導(dǎo)文擋（guidancedocuments）5ALC生命周期支持（lifecyclesupport）6ATE測試（tests）7AVA脆弱性評估（vulnerabilityassessment）8AMA保證維護(hù)（maintenanceofassurance）9APE資源利用（protectionprofileevaluation）10ASE安全對象評價（securitytargetevaluation）信息安全技術(shù)與應(yīng)用國家信息安全評價標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)國家GB17859-1999國家GB/T18336-2001美國TCSECDEAL1EAL1EAL2用戶自主保護(hù)EAL2C1EAL3系統(tǒng)審計(jì)保護(hù)EAL3C2EAL4安全標(biāo)記保護(hù)EAL4B1EAL5結(jié)構(gòu)化保護(hù)EAL5B2EAL6訪問驗(yàn)證保護(hù)EAL6B3EAL7EAL7ACC及國家標(biāo)準(zhǔn)與TCSEC標(biāo)準(zhǔn)的對應(yīng)關(guān)系

信息安全技術(shù)與應(yīng)用1.4

國家信息安全保護(hù)制度信息安全技術(shù)標(biāo)準(zhǔn)的實(shí)施必須通過信息安全法規(guī)來保障;1994年2月18日，中華人民共和國國務(wù)院發(fā)布了第147號令《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》;信息系統(tǒng)建設(shè)和應(yīng)用制度應(yīng)當(dāng)遵守法律、行政法規(guī)和國家其他有關(guān)規(guī)定;無論是擴(kuò)建、改建或新建信息系統(tǒng)，還是設(shè)計(jì)、施工和驗(yàn)收，都應(yīng)當(dāng)符合國家、行業(yè)部門或地方政府制定的相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)信息安全技術(shù)與應(yīng)用信息安全等級保護(hù)制度計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù);《信息系統(tǒng)安全保護(hù)等級定級指南》;《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級保護(hù)基本要求》;《信息系統(tǒng)安全等級保護(hù)測評要求》;《信息系統(tǒng)安全等級保護(hù)測評過程指南》;《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》信息安全技術(shù)與應(yīng)用國際聯(lián)網(wǎng)備案與媒體進(jìn)出境制度進(jìn)行國際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)，由計(jì)算機(jī)信息系統(tǒng)的使用單位報省級以上人民政府公安機(jī)關(guān)備案;運(yùn)輸、攜帶、郵寄計(jì)算機(jī)信息媒體進(jìn)出境的，應(yīng)當(dāng)如實(shí)向海關(guān)申報;中國互聯(lián)網(wǎng)絡(luò)協(xié)會和各地公安機(jī)關(guān)相繼建立了不良信息公眾舉報網(wǎng)站，例如，公安部網(wǎng)絡(luò)違法案件舉報網(wǎng)站（），中國互聯(lián)網(wǎng)絡(luò)協(xié)會主辦的違法和不良信息舉報中心（）。信息安全技術(shù)與應(yīng)用安全管理與計(jì)算機(jī)犯罪報告制度計(jì)算機(jī)信息系統(tǒng)的使用單位應(yīng)當(dāng)建立健全安全管理制度，負(fù)責(zé)本單位計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作;《中華人民共和國刑法》非法侵入計(jì)算機(jī)信息系統(tǒng)罪;破壞計(jì)算機(jī)信息系統(tǒng)罪;打擊計(jì)算機(jī)犯罪的關(guān)鍵是獲取真實(shí)、可靠、完整和符合法律規(guī)定的電子證據(jù);計(jì)算機(jī)取證目前已成為網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點(diǎn)。信息安全技術(shù)與應(yīng)用計(jì)算機(jī)病毒與有害數(shù)據(jù)防治制度計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼；《2011年全國信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)及移動終端病毒疫情調(diào)查分析報告》；計(jì)算機(jī)病毒感染率為48.87%；計(jì)算機(jī)病毒主要通過電子郵件、網(wǎng)絡(luò)下載或?yàn)g覽、局域網(wǎng)及移動存儲介質(zhì)等途徑傳播；有67.43%的移動終端感染過病毒。信息安全技術(shù)與應(yīng)用安全專用產(chǎn)品銷售許可證制度國家對計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的銷售實(shí)行許可證制度；《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進(jìn)入市場銷售之前，必須申領(lǐng)《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》我國的測評認(rèn)證體系由國家信息安全測評認(rèn)證管理委員會、國家信息安全測評認(rèn)證中心（）和授權(quán)分支機(jī)構(gòu)組成；信息安全技術(shù)與應(yīng)用1.5信息安全等級保護(hù)法規(guī)和標(biāo)準(zhǔn)信息安全等級保護(hù)工作是我國為保障國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權(quán)益強(qiáng)制實(shí)施的一項(xiàng)基本制度；信息系統(tǒng)安全等級保護(hù)法規(guī)《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》；《信息安全等級保護(hù)管理辦法》；《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》；《信息安全等級保護(hù)備案實(shí)施細(xì)則》；《公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范》；《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》信息安全技術(shù)與應(yīng)用信息安全等級保護(hù)的實(shí)施信息安全等級保護(hù)意義；信息安全等級保護(hù)原則；對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督；信息安全等級保護(hù)內(nèi)容第一級至第五級分別稱為自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)和?？乇Ｗo(hù)等級信息安全等級保護(hù)職責(zé)分工信息安全技術(shù)與應(yīng)用信息安全等級保護(hù)劃分第一級：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益；第二級：…，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全；第