1、信 息 安 全 基 础 知 识1. 了 解 信 息 安 全 基 本 概 念信 息 安 全 是 指 信 息 网 络 的 硬 件 、 软 件 及 其 系 统 中 的 数 据 受 到 保 护 , 不 受 偶 然 的 或 者 恶 意 的 原 因 而 遭 到 破 坏 、 更 改 、泄 露 , 系 统 连 续 可 靠 正 常 地 运 行 , 信 息 服 务 不 中 断 。 信 息 安 全 是 一 门 涉 及 计 算 机 科 学 、 网 络 技 术 、 通 信 技 术 、 密 码 技 术 、 信 息 安 全 技 术 、 应 用 数 学 、 数 论 、 信 息 论 等 多种 学 科 的 综 合 性 学 科 。
2、 2. 了 解 网 络 安 全 主 要 概 念 及 意 义网 络 的 安 全 是 指 通 过 采 用 各 种 技 术 和 管 理 措 施 , 使 网 络 系 统 正 常 运 行 , 从 而 确 保 网 络 数 据 的 可 用 性 、 完 整 性 和 保 密性 。 网 络 安 全 的 具 体 含 义 会 随 着 “角 度 ”的 变 化 而 变 化 。 比 如 : 从 用 户 ( 个 人 、 企 业 等 ) 的 角 度 来 说 , 他 们 希 望 涉 及 个人 隐 私 或 商 业 利 益 的 信 息 在 网 络 上 传 输 时 受 到 机 密 性 、 完 整 性 和 真 实 性 的 保 护 。 网
3、 络 安 全 是 一 个 关 系 国 家 安 全 和 主 权 、 社 会 的 稳 定 、 民 族 文 化 的 继 承 和 发 扬 的 重 要 问 题 。 其 重 要 性 , 正 随 着 全 球 信息 化 步 伐 的 加 快 而 变 到 越 来 越 重 要 。 “家 门 就 是 国 门 ”, 安 全 问 题 刻 不 容 缓 。3.了解安全隐患的产生原因、类型区别(被动攻击,主动攻击等)产生安全隐患的产生原因:1.网 络 通 信 协 议 的 不 安 全2.计 算 机 病 毒 的 入 侵3.黑 客 的 攻 击4 操 作 系 统 和 应 用 软 件 的 安 全 漏 洞5.防 火 墙 自 身 带 来 的
4、 安 全 漏 洞分类:分为主动攻击 和被动攻击主 动 攻 击 包 含 攻 击 者 访 问 他 所 需 信 息 的 故 意 行 为 。 比 如 远 程 登 录 到 指 定 机 器 的 端 口 25 找 出 公 司 运 行 的 邮 件 服务 器 的 信 息 ; 伪 造 无 效 IP 地 址 去 连 接 服 务 器 , 使 接 受 到 错 误 IP 地 址 的 系 统 浪 费 时 间 去 连 接 哪 个 非 法 地 址 。 攻击 者 是 在 主 动 地 做 一 些 不 利 于 你 或 你 的 公 司 系 统 的 事 情 。 正 因 为 如 此 , 如 果 要 寻 找 他 们 是 很 容 易 发 现
5、的 。 主 动攻 击 包 括 拒 绝 服 务 攻 击 、 信 息 篡 改 、 资 源 使 用 、 欺 骗 等 攻 击 方 法 。被 动 攻 击 主 要 是 收 集 信 息 而 不 是 进 行 访 问 , 数 据 的 合 法 用 户 对 这 种 活 动 一 点 也 不 会 觉 察 到 。 被 动 攻 击 包 括 嗅 探 、信 息 收 集 等 攻 击 方 法 。从 攻 击 的 目 的 来 看 , 可 以 有 拒 绝 服 务 攻 击 (Dos)、 获 取 系 统 权 限 的 攻 击 、 获 取 敏 感 信 息 的 攻 击 ; 从 攻 击 的 切 入 点来 看 , 有 缓 冲 区 溢 出 攻 击 、
6、系 统 设 置 漏 洞 的 攻 击 等 ; 从 攻 击 的 纵 向 实 施 过 程 来 看 , 又 有 获 取 初 级 权 限 攻 击 、 提 升最 高 权 限 的 攻 击 、 后 门 攻 击 、 跳 板 攻 击 等 ; 从 攻 击 的 类 型 来 看 , 包 括 对 各 种 操 作 系 统 的 攻 击 、 对 网 络 设 备 的 攻 击 、对 特 定 应 用 系 统 的 攻 击 等4.了 解 安 全 分 类 ( 技 术 缺 陷 , 配 置 缺 陷 , 策 略 缺 陷 , 人 为 缺 陷 等 )技术缺陷: 现 有 的 各 种 网 络 安 全 技 术 都 是 针 对 网 络 安 全 问 题 的
7、某 一 个 或 几 个 方 面 来 设 计 的 , 它 只 能 相 应 地 在 一 定 程度 上 解 决 这 一 个 或 几 个 方 面 的 网 络 安 全 问 题 , 无 法 防 范 和 解 决 其 他 的 问 题 , 更 不 可 能 提 供 对 整 个 网 络 的 系 统 、有 效 的 保 护 。 如 身 份 认 证 和 访 问 控 制 技 术 只 能 解 决 确 认 网 络 用 户 身 份 的 问 题 , 但 却 无 法 防 止 确 认 的 用 户 之 间传 递 的 信 息 是 否 安 全 的 问 题 , 而 计 算 机 病 毒 防 范 技 术 只 能 防 范 计 算 机 病 毒 对 网
8、 络 和 系 统 的 危 害 , 但 却 无 法 识别 和 确 认 网 络 上 用 户 的 身 份 等 等 。 现 有 的 各 种 网 络 安 全 技 术 中 , 防 火 墙 技 术 可 以 在 一 定 程 度 上 解 决 一 些 网 络 安 全 问 题 。 防 火 墙 产 品 主 要 包 括 包过 滤 防 火 墙 , 状 态 检 测 包 过 滤 防 火 墙 和 应 用 层 代 理 防 火 墙 , 但 是 防 火 墙 产 品 存 在 着 局 限 性 。 其 最 大 的 局 限 性就 是 防 火 墙 自 身 不 能 保 证 其 准 许 放 行 的 数 据 是 否 安 全 。 同 时 , 防 火
9、墙 还 存 在 着 一 些 弱 点 : 一 、 不 能 防 御 来 自内 部 的 攻 击 : 来 自 内 部 的 攻 击 者 是 从 网 络 内 部 发 起 攻 击 的 , 他 们 的 攻 击 行 为 不 通 过 防 火 墙 , 而 防 火 墙 只 是 隔离 内 部 网 与 因 特 网 上 的 主 机 , 监 控 内 部 网 和 因 特 网 之 间 的 , 而 对 内 部 网 上 的 情 况 不 作 检 查 , 因 而 对 内 部 的 攻击 无 能 为 力 ; 二 、 不 能 防 御 绕 过 防 火 墙 的 攻 击 行 为 : 从 根 本 上 讲 , 防 火 墙 是 一 种 被 动 的 防 御
10、 手 段 , 只 能 守 株待 兔 式 地 对 通 过 它 的 数 据 报 进 行 检 查 , 如 果 该 数 据 由 于 某 种 原 因 没 有 通 过 防 火 墙 , 则 防 火 墙 就 不 会 采 取 任 何的 措 施 ; 三 、 不 能 防 御 完 全 新 的 威 胁 : 防 火 墙 只 能 防 御 已 知 的 威 胁 , 但 是 人 们 发 现 可 信 赖 的 服 务 中 存 在 新 的侵 袭 方 法 , 可 信 赖 的 服 务 就 变 成 不 可 信 赖 的 了 ; 四 、 防 火 墙 不 能 防 御 数 据 驱 动 的 攻 击 : 虽 然 防 火 墙 扫 描 分 析所 有 通 过
11、 的 信 息 , 但 是 这 种 扫 描 分 析 多 半 是 针 对 IP 地 址 和 端 口 号 或 者 协 议 内 容 的 , 而 非 数 据 细 节 。 这 样 一来 , 基 于 数 据 驱 动 的 攻 击 , 比 如 病 毒 , 可 以 附 在 诸 如 电 子 邮 件 之 类 的 东 西 上 面 进 入 你的系统中并发动攻击。 入 侵 检 测 技 术 也 存 在 着 局 限 性 。 其 最 大 的 局 限 性 就 是 漏 报 和 误 报 严 重 , 它 不 能 称 之 为 一 个 可 以 信 赖 的 安 全 工具 , 而 只 是 一 个 参 考 工 具 。 配置缺陷: 于 交 换 机
12、和 路 由 器 而 言 , 它 们 的 主 要 作 用 是 进 行 数 据 的 转 发 , 因 此 在 设 备 自 身 的 安 全 性 方 面 考 虑 的 就 不 是很 周 全 。 在 默 认 的 情 况 下 , 交 换 机 和 路 由 器 的 许 多 网 络 服 务 端 口 都 是 打 开 的 , 这 就 是 等 于 为 黑 客 预 留 了 进 入的 通 道策略缺陷:计算机信息安全问题主要在于信息技术和管理制度两个方面,所以相应的安全防范策略也必须从达两个方面人手,形成技术与管理、操作与监管并行的系统化安全保障体系。人为缺陷: 人为攻击是指通过 攻 击 系 统 的 弱 点 , 以 便 达 到
13、 破 坏 、 欺 骗 、 窃 取 数 据 等 目 的 , 使 得 网 络 信 息 的 保 密 性 、 完 整性 、 可 靠 性 、 可 控 性 、 可 用 性 等 受 到 伤 害 , 造 成 经 济 上 和 政 治 上 不 可 估 量 的 损 失 。人 为 攻 击 又 分 为 偶 然 事 故 和 恶 意 攻 击 两 种 。 偶 然 事 故 虽 然 没 有 明 显 的 恶 意 企 图 和 目 的 , 但 它 仍 会 使 信 息 受 到严 重 破 坏 。 恶 意 攻 击 是 有 目 的 的 破 坏 。恶 意 攻 击 又 分 为 被 动 攻 击 和 主 动 攻 击 两 种 。 被 动 攻 击 是 指
14、 在 不 干 扰 网 络 信 息 系 统 正 常 工 作 的 情 况 下 , 进 行 侦收 、 截 获 、 窃 取 、 破 译 和 业 务 流 量 分 析 及 电 磁 泄 露 等 。 主 动 攻 击 是 指 以 各 种 方 式 有 选 择 地 破 坏 信 息 , 如 修 改 、 删 除 、 伪 造 、 添 加 、 重 放 、 乱 序 、 冒 充 、 制 造 病 毒 等。5.了 解 网 络 安 全 的 实 现 目 标 和 主 要 技 术 措 施在 网 络 安 全 领 域 , 攻 击 随 时 可 能 发 生 , 系 统 随 时 可 能 崩 溃 , 因 此 必 须 一 年 365 天 、 一 天 2
15、4 小 时 地 监 视 网 络 系 统 的状 态 。 这 些 工 作 仅 靠 人 工 完 成 是 不 可 能 的 。 所 以 , 必 须 借 助 先 进 的 技 术 和 工 具 来 帮 助 企 业 完 成 如 此 繁 重 的 劳 动 , 以 保 证 计算 机 网 络 的 安 全 。 计 算 机 网 络 的 安 全 性 主 要 包 括 网 络 服 务 的 可 用 性 ( Availability) 、 网 络 信 息 的 保 密 性 ( Confidentiality) 和 网络 信 息 的 完 整 性 ( Intergrity) 。 下 面 把 与 之 相 关 的 几 个 重 要 的 网 络
16、安 全 技 术 做 一 下 介 绍 。 杀 毒 软 件 与 一 般 单 机 的 杀 毒 软 件 相 比 , 杀 毒 软 件 的 网 络 版 市 场 更 多 是 技 术 及 服 务 的 竞 争 。 其 特 点 表 现 在 : 首 先 , 杀 病 毒 技 术 的 发 展 日 益 国 际 化 。 世 界 上 每 天 有 13 种 到 50 种 新 病 毒 出 现 , 并 且 60%的 病 毒 均 通 过 Internet传 播 , 病 毒 发 展 有 日 益 跨 越 疆 界 的 趋 势 , 杀 病 毒 企 业 的 竞 争 也 随 之 日 益 国 际 化 。 其 次 , 杀 毒 软 件 面 临 多 平
17、 台 的 挑 战 。 一 个 好 的 企 业 级 杀 病 毒 软 件 必 须 能 够 支 持 所 有 主 流 平 台 , 并 实 现 软 件 安 装 、 升 级 、配 置 的 中 央 管 理 及 自 动 化 , 要 达 到 这 样 的 要 求 需 要 大 量 工 程 师 几 年 的 技 术 积 累 。 第 三 , 杀 毒 软 件 面 临 着 Internet 的 挑 战 。 好 的 企 业 级 杀 病 毒 软 件 要 保 护 企 业 所 有 的 可 能 病 毒 入 口 , 也 就 是 说 要 支 持所 有 企 业 可 能 用 到 的 Internet 协 议 及 邮 件 系 统 , 能 适 应
18、 并 且 及 时 跟 上 瞬 息 万 变 的 Internet 时 代 步 伐 。 现 今 60%以 上 的病 毒 是 通 过 Internet 传 播 , 可 以 说 Internet 的 防 毒 能 力 成 为 杀 病 毒 软 件 的 关 键 技 术 , 在 这 方 面 , 国 际 的 杀 毒 软 件 如 : Norton、 McAfee、 熊 猫 卫 士 走 到 了 前 面 , 它 们 均 可 以 支 持 所 有 的 Internet 协 议 , 辨 识 出 其 中 病 毒 。 当 前 国 内 正 从 杀 病 毒 软 件 的 单 机 应 用 逐 步 过 渡 到 企 业 级 的 防 护 ,
19、 企 业 防 病 毒 软 件 的 市 场 无 疑 将 越 来 越 大 。 企 业 级 用 户会 更 多 考 虑 如 何 保 护 自 身 的 数 据 、 程 序 , 对 技 术 、 服 务 和 管 理 的 要 求 比 较 高 。 国 内 大 部 分 的 杀 毒 软 件 目 前 在 价 格 和 对 本 土病 毒 的 查 杀 能 力 两 个 方 面 存 在 着 优 势 , 但 在 企 业 级 的 某 些 特 殊 性 能 上 存 在 差 距 。 例 如 管 理 方 面 , 一 个 企 业 要 管 理 1000台 机 器 , Norton 的 SRC 有 一 台 管 理 器 就 可 以 处 理 , 它
20、可 以 自 动 分 发 , 自 动 安 装 到 所 有 机 器 里 , 使 管 理 人 员 节 省 很 多 时 间 ,减 少 重 复 劳 动 。 另 外 , 企 业 级 需 要 更 安 全 的 保 护 , 现 在 政 府 上 网 、 企 业 上 网 都 会 遇 到 很 多 国 际 病 毒 , 国 内 部 分 厂 商 在 这 些方 面 尚 待 改 进 。 防 火 墙 网 络 安 全 中 系 统 安 全 产 品 使 用 最 广 泛 的 技 术 就 是 防 火 墙 技 术 , 即 在 Internet 和 内 部 网 络 之 间 设 一 个 防 火 墙 。 目 前在 全 球 连 入 Internet
21、 的 计 算 机 中 约 有 三 分 之 一 是 处 于 防 火 墙 保 护 之 下 。 对 企 业 网 络 用 户 来 说 , 如 果 决 定 设 定 防 火 墙 , 那 么 首 先 需 要 由 网 络 决 策 人 员 及 网 络 专 家 共 同 决 定 本 网 络 的 安 全 策 略 ,即 确 定 什 么 类 型 的 信 息 允 许 通 过 防 火 墙 , 什 么 类 型 的 信 息 不 允 许 通 过 防 火 墙 。 防 火 墙 的 职 责 就 是 根 据 本 单 位 的 安 全 策 略 ,对 外 部 网 络 与 内 部 网 络 之 间 交 流 的 数 据 进 行 检 查 , 符 合 的
22、 予 以 放 行 , 不 符 合 的 拒 之 门 外 。 防 火 墙 的 技 术 实 现 通 常 是 基 于 所 谓 “包 过 滤 “技 术 , 而 进 行 包 过 滤 的 标 准 通 常 就 是 根 据 安 全 策 略 制 定 的 。 在 防 火 墙 产品 中 , 包 过 滤 的 标 准 一 般 是 靠 网 络 管 理 员 在 防 火 墙 设 备 的 访 问 控 制 清 单 中 设 定 。 访 问 控 制 一 般 基 于 的 标 准 有 : 包 的 源 地 址 、包 的 目 的 地 址 、 连 接 请 求 的 方 向 ( 连 入 或 连 出 ) 、 数 据 包 协 议 ( 如 TCP/IP
23、等 ) 以 及 服 务 请 求 的 类 型 ( 如 ftp、 www 等 )等 。 除 了 基 于 硬 件 的 包 过 滤 技 术 , 防 火 墙 还 可 以 利 用 代 理 服 务 器 软 件 实 现 。 早 期 的 防 火 墙 主 要 起 屏 蔽 主 机 和 加 强 访 问 控 制的 作 用 , 现 在 的 防 火 墙 则 逐 渐 集 成 了 信 息 安 全 技 术 中 的 最 新 研 究 成 果 , 一 般 都 具 有 加 密 、 解 密 和 压 缩 、 解 压 等 功 能 , 这 些技 术 增 加 了 信 息 在 互 联 网 上 的 安 全 性 。 现 在 , 防 火 墙 技 术 的
24、研 究 已 经 成 为 网 络 信 息 安 全 技 术 的 主 导 研 究 方 向 。 当 然 , 网 络 的 安 全 性 通 常 是 以 网 络 服 务 的 开 放 性 、 便 利 性 、 灵 活 性 为 代 价 的 , 对 防 火 墙 的 设 置 也 不 例 外 。 防 火 墙 的 隔断 作 用 一 方 面 加 强 了 内 部 网 络 的 安 全 , 一 方 面 却 使 内 部 网 络 与 外 部 网 络 的 信 息 系 统 交 流 受 到 阻 碍 , 因 此 必 须 在 防 火 墙 上 附加 各 种 信 息 服 务 的 代 理 软 件 来 代 理 内 部 网 络 与 外 部 的 信 息
25、交 流 , 这 样 不 仅 增 大 了 网 络 管 理 开 销 , 而 且 减 慢 了 信 息 传 递 速 率 。针 对 这 个 问 题 , 近 期 , 美 国 网 屏 ( NetScreen) 技 术 公 司 推 出 了 第 三 代 防 火 墙 , 其 内 置 的 专 用 ASIC 处 理 器 用 于 提 供 硬 件的 防 火 墙 访 问 策 略 和 数 据 加 密 算 法 的 处 理 , 使 防 火 墙 的 性 能 大 大 提 高 。 需 要 说 明 的 是 , 并 不 是 所 有 网 络 用 户 都 需 要 安 装 防 火 墙 , 一 般 而 言 , 只 有 对 个 体 网 络 安 全
26、有 特 别 要 求 , 而 又 需 要 和Internet 联 网 的 企 业 网 、 公 司 网 , 才 建 议 使 用 防 火 墙 。 另 外 , 防 火 墙 只 能 阻 截 来 自 外 部 网 络 的 侵 扰 , 而 对 于 内 部 网 络 的 安全 还 需 要 通 过 对 内 部 网 络 的 有 效 控 制 和 管 理 来 实 现 。 加 密 技 术 网 络 安 全 的 另 一 个 非 常 重 要 的 手 段 就 是 加 密 技 术 , 它 的 思 想 核 心 就 是 既 然 网 络 本 身 并 不 安 全 可 靠 , 那 么 所 有 重 要 信 息就 全 部 通 过 加 密 处 理
27、。 加 密 的 技 术 主 要 分 两 种 : 单 匙 技 术 这 种 技 术 无 论 加 密 还 是 解 密 都 是 用 同 一 把 钥 匙 ( secret key) 。 这 是 比 较 传 统 的 一 种 加 密 方 法 。 发 信 人 用 某 把 钥 匙将 某 重 要 信 息 加 密 , 通 过 网 络 传 给 收 信 人 , 收 信 人 再 用 同 一 把 钥 匙 将 加 密 后 的 信 息 解 密 。 这 种 方 法 快 捷 简 便 , 即 使 传 输 信息 的 网 络 不 安 全 , 被 别 人 截 走 信 息 , 加 密 后 的 信 息 也 不 易 泄 露 。 但 这 种 方
28、法 也 存 在 一 个 问 题 , 即 如 果 收 信 者 和 发 信 者 不 在 同 一 地 理 位 置 , 那 么 他 们 必 须 确 保 有 一 个 安 全 渠 道 来 传 送 加密 钥 匙 。 但 是 如 果 确 实 存 在 这 样 一 个 安 全 渠 道 ( 如 通 过 信 差 、 长 途 电 话 等 等 ) , 他 们 又 何 必 需 要 加 密 呢 ? 后 来 出 现 的 双 匙技 术 解 决 了 这 个 难 题 。 双 匙 技 术 此 技 术 使 用 两 个 相 关 互 补 的 钥 匙 : 一 个 称 为 公 用 钥 匙 ( public key) , 另 一 个 称 为 私
29、人 钥 匙 ( secret key) 。 公 用钥 匙 是 大 家 被 告 知 的 , 而 私 人 钥 匙 则 只 有 每 个 人 自 己 知 道 。 发 信 者 需 用 收 信 人 的 公 用 钥 匙 将 重 要 信 息 加 密 , 然 后 通 过 网 络传 给 收 信 人 。 收 信 人 再 用 自 己 的 私 人 钥 匙 将 其 解 密 。 除 了 私 人 钥 匙 的 持 有 者 , 没 有 人 -即 使 是 发 信 者 -能 够 将 其 解 密 。公 用 钥 匙 是 公 开 的 , 可 以 通 过 网 络 告 知 发 信 人 ( 即 使 网 络 不 安 全 ) 。 而 只 知 道 公
30、 用 钥 匙 是 无 法 导 出 私 人 钥 匙 的 。 现 有 软 件如 Internet 免 费 提 供 的 PGP( Pretty Good Privacy) 可 直 接 实 现 这 些 功 能 。 加 密 技 术 主 要 有 两 个 用 途 , 一 是 加 密 信 息 , 正 如 上 面 介 绍 的 ; 另 一 个 是 信 息 数 字 署 名 , 即 发 信 者 用 自 己 的 私 人 钥 匙 将信 息 加 密 , 这 就 相 当 于 在 这 条 消 息 上 署 上 了 名 。 任 何 人 只 有 用 发 信 者 的 公 用 钥 匙 , 才 能 解 开 这 条 消 息 。 这 一 方
31、面 可 以 证 明这 条 信 息 确 实 是 此 发 信 者 发 出 的 , 而 且 事 后 未 经 过 他 人 的 改 动 ( 因 为 只 有 发 信 者 才 知 道 自 己 的 私 人 钥 匙 ) ; 另 一 方 面 也 确保 发 信 者 对 自 己 发 出 的 消 息 负 责 , 消 息 一 旦 发 出 并 署 了 名 , 他 就 无 法 再 否 认 这 一 事 实 。 如 果 既 需 要 保 密 又 希 望 署 名 , 则 可 以 将 上 面 介 绍 的 两 个 步 骤 合 并 起 来 。 即 发 信 者 先 用 自 己 的 私 人 钥 匙 署 名 再 用 收 信 者的 公 用 钥 匙
32、 加 密 , 再 发 给 对 方 。 反 过 来 收 信 者 只 需 用 自 己 的 私 人 钥 匙 解 密 , 再 用 发 信 者 的 公 用 钥 匙 验 证 签 名 。 这 个 过 程 说起 来 有 些 繁 琐 , 实 际 上 很 多 软 件 都 可 以 只 用 一 条 命 令 实 现 这 些 功 能 , 非 常 简 便 易 行 。 在 网 络 传 输 中 , 加 密 技 术 是 一 种 效 率 高 而 又 灵 活 的 安 全 手 段 , 值 得 在 企 业 网 络 中 加 以 推 广 。 目 前 , 加 密 算 法 有 多 种 ,大 多 源 于 美 国 , 但 是 大 多 受 到 美 国
33、 出 口 管 制 法 的 限 制 。 现 在 金 融 系 统 和 商 界 普 遍 使 用 的 算 法 是 美 国 数 据 加 密 标 准 DES。近 几 年 来 我 国 对 加 密 算 法 的 研 究 主 要 集 中 在 密 码 强 度 分 析 和 实 用 化 研 究 上 。 除 了 上 面 介 绍 的 几 种 之 外 , 还 有 一 些 被 广 泛 应 用 的 网 络 安 全 技 术 , 在 此 做 一 个 简 单 介 绍 。 身 份 验 证 身 份 验 证 是 一 致 性 验 证 的 一 种 , 验 证 是 建 立 一 致 性 证 明 的 一 种 手 段 。 身 份 验 证 主 要 包 括
34、 验 证 依 据 、 验 证 系 统 和 安 全 要求 。 身 份 验 证 技 术 是 在 计 算 机 中 最 早 应 用 的 安 全 技 术 , 现 在 也 仍 在 广 泛 应 用 , 它 是 互 联 网 上 信 息 安 全 的 第 一 道 屏 障 。 存 取 控 制 存 取 控 制 规 定 何 种 主 体 对 何 种 客 体 具 有 何 种 操 作 权 力 。 存 取 控 制 是 网 络 安 全 理 论 的 重 要 方 面 , 主 要 包 括 人 员 限 制 、数 据 标 识 、 权 限 控 制 、 类 型 控 制 和 风 险 分 析 。 存 取 控 制 也 是 最 早 采 用 的 安 全
35、 技 术 之 一 , 它 一 般 与 身 份 验 证 技 术 一 起 使 用 ,赋 予 不 同 身 份 的 用 户 以 不 同 的 操 作 权 限 , 以 实 现 不 同 安 全 级 别 的 信 息 分 级 管 理 。 数 据 完 整 性 完 整 性 证 明 是 在 数 据 传 输 过 程 中 , 验 证 收 到 的 数 据 和 原 来 数 据 之 间 保 持 完 全 一 致 的 证 明 手 段 。 检 查 是 最 早 采 用 数 据 完整 性 验 证 的 方 法 , 它 虽 不 能 保 证 数 据 的 完 整 性 , 只 起 到 基 本 的 验 证 作 用 , 但 由 于 它 的 实 现 非
36、 常 简 单 ( 一 般 都 由 硬 件 实 现 ) ,现 在 仍 广 泛 应 用 于 网 络 数 据 的 传 输 和 保 护 中 。 近 几 年 来 研 究 比 较 多 的 是 数 字 签 名 等 算 法 , 它 们 虽 可 以 保 证 数 据 的 完 整 性 ,但 由 于 实 现 起 来 比 较 复 杂 , 系 统 开 销 比 较 大 , 一 般 只 用 于 完 整 性 要 求 较 高 的 领 域 , 特 别 是 商 业 、 金 融 业 等 领 域 。 安 全 协 议 安 全 协 议 的 建 立 和 完 善 是 安 全 保 密 系 统 走 上 规 范 化 、 标 准 化 道 路 的 基 本
37、 因 素 。 一 个 较 为 完 善 的 内 部 网 和 安 全 保 密 系 统 ,至 少 要 实 现 加 密 机 制 、 验 证 机 制 和 保 护 机 制 。 需 要 强 调 的 是 , 网 络 安 全 是 一 个 系 统 工 程 , 不 是 单 一 的 产 品 或 技 术 可 以 完 全 解 决 的 。 这 是 因 为 网 络 安 全 包 含 多 个 层 面 ,既 有 层 次 上 的 划 分 、 结 构 上 的 划 分 , 也 有 防 范 目 标 上 的 差 别 。 在 层 次 上 涉 及 到 网 络 层 的 安 全 、 传 输 层 的 安 全 、 应 用 层 的 安全 等 ; 在 结
38、构 上 , 不 同 节 点 考 虑 的 安 全 是 不 同 的 ; 在 目 标 上 , 有 些 系 统 专 注 于 防 范 破 坏 性 的 攻 击 , 有 些 系 统 是 用 来 检 查 系统 的 安 全 漏 洞 , 有 些 系 统 用 来 增 强 基 本 的 安 全 环 节 ( 如 审 计 ) , 有 些 系 统 解 决 信 息 的 加 密 、 认 证 问 题 , 有 些 系 统 考 虑 的 是防 病 毒 的 问 题 。 任 何 一 个 产 品 不 可 能 解 决 全 部 层 面 的 问 题 , 这 与 系 统 的 复 杂 程 度 、 运 行 的 位 置 和 层 次 都 有 很 大 关 系
39、, 因 而一 个 完 整 的 安 全 体 系 应 该 是 一 个 由 具 有 分 布 性 的 多 种 安 全 技 术 或 产 品 构 成 的 复 杂 系 统 , 既 有 技 术 的 因 素 , 也 包 含 人 的 因 素 。用 户 需 要 根 据 自 己 的 实 际 情 况 选 择 适 合 自 己 需 求 的 技 术 和 产 品 。 按 照 前 面 提 到 的 计 算 机 网 络 的 安 全 性 内 容 , 整 个 网 络 安 全 产 品 可 划 分 为 系 统 安 全 产 品 和 数 据 安 全 产 品 。 其 中 系 统 安 全产 品 可 分 为 防 病 毒 类 产 品 ( 杀 毒 软 件
40、 ) 、 防 火 墙 类 产 品 和 其 他 防 攻 击 类 产 品 等 ; 而 数 据 安 全 产 品 可 分 为 密 码6.了 解 信 息 安 全 的 主 要 表 现 形 式 ( 蠕 虫 或 病 毒 扩 散 , 垃 圾 邮 件 泛 滥 , 黑 客 行为 , 信 息 系 统 脆 弱 性 , 有 害 信 息 的 恶 意 传 播 )电脑病毒电 脑 病 毒 的 种 类 电 脑 病 毒 一 般 分 类 如 下 : 开 机 磁 区 病 毒 档 案 型 病 毒 巨 集 病 毒 其 他 新 种 类 的 病 毒 资 料 由 香 港 特 别 行 政 区 政 府 资 讯 科 技 署 提 供 开 机 磁 区 病
41、毒在 九 十 年 代 中 期 以 前 , 开 机 磁 区 病 毒 是 最 常 见 的 病 毒 种 类 。 这 种 病 毒 藏 於 已 受 感 染 的 硬 磁 碟 机 的 主 开 机磁 区 , 或 磁 碟 操 作 系 统 开 机 磁 区 内 。 当 软 磁 碟 插 入 已 受 感 染 的 个 人 电 脑 时 , 病 毒 便 会 把 软 磁 碟 开 机 磁 区 感 染 ,藉 此 把 病 毒 扩 散 。 使 用 受 感 染 的 软 磁 碟 进 行 启 动 程 序 时 , 电 脑 便 会 受 到 感 染 。 在 启 动 电 脑 的 过 程 中 , 基 本 输 入 输 出 系 统 会执 行 驻 於 软
42、磁 碟 开 机 磁 区 的 病 毒 编 码 , 因 此 系 统 便 改 为 受 病 毒 控 制 。 病 毒 控 制 了 电 脑 系 统 后 , 便 会 把 病 毒 编码 写 入 硬 磁 碟 的 主 开 机 磁 区 。 之 后 , 便 会 恢 复 正 常 的 启 动 程 序 。 从 用 户 的 角 度 来 看 , 一 切 情 况 似 乎 与 正 常 无异 。 日 后 启 动 电 脑 时 , 驻 於 受 感 染 的 主 开 机 磁 区 的 病 毒 便 会 启 动 执 行 。 因 此 , 病 毒 会 进 入 记 忆 体 , 并 可 随 时感 染 其 他 经 使 用 的 软 磁 碟 。 主 开 机 磁
43、 区 是 硬 磁 碟 的 第 一 个 磁 区 , 这 个 磁 区 载 有 执 行 操 作 系 统 的 分 割 控 制 表 及 编 码 。 主 开 机 磁 区 后 的16 个 或 以 上 的 磁 区 通 常 是 空 置 不 用 的 。 硬 磁 碟 机 最 多 可 分 割 为 4 个 储 存 分 区 , 而 磁 碟 操 作 系 统 的 扩 展 分 区 可 细 分 为 多 个 逻 辑 驱 动 器 。 每 个 分 区 的 第 一 个 磁 区 便 是 开 机 磁 区 , 这 个 磁 区 包 含 载 入 分 区 的 操 作 系 统 的 资 料 及 编 码 。 软 磁 碟 没 有 主 开 机 磁 区 。 以
44、 标 准 磁 碟 操 作 系 统 格 式 进 行 格 式 化 后 的 软 磁 碟 , 在 结 构 上 与 硬 磁 碟 的 磁 碟 操作 系 统 分 区 相 同 。档 案 型 病 毒 档 案 型 病 毒 是 一 种 依 附 在 档 案 内 , 经 由 程 式 档 而 非 资 料 档 扩 散 的 病 毒 。 电 脑 在 执 行 受 感 染 的 程 式 时 , 便会 受 到 感 染 。 这 些 受 感 染 的 程 式 可 能 经 由 软 磁 碟 、 唯 读 光 碟 、 网 络 及 互 联 网 等 途 径 传 播 。 在 执 行 受 感 染 的 程式 后 , 随 附 的 病 毒 便 会 立 即 感 染
45、 其 他 程 式 , 或 可 能 成 为 一 个 常 驻 程 式 , 以 便 在 日 后 感 染 其 他 程 式 。 在 完 成 这些 步 骤 后 , 病 毒 便 会 恢 复 执 行 原 本 的 正 常 程 式 。 因 此 , 用 户 在 执 行 受 感 染 的 程 式 时 , 不 易 发 觉 有 任 何 异 常 的情 况 。档 案 型 病 毒 一 般 会 感 染 有 特 定 副 档 名 的 档 案 。 副 档 名 为 COM、 EXE 及 SYS 的 档 案 , 均 是 常 见 的 病 毒 感 染对 象 。巨 集 病 毒 一 九 九 五 年 七 月 , 一 种 新 的 电 脑 病 毒 被 人
46、 发 现 , 立 即 使 电 脑 界 大 感 震 惊 。 这 种 新 的 病 毒 称 为 巨 集 病 毒 ,它 与 一 直 以 来 出 现 的 病 毒 不 同 , 可 感 染 资 料 档 而 非 执 行 档 。 其 实 , 这 并 非 一 种 新 的 概 念 , 因 为 有 关 以 巨 集 语言 编 写 病 毒 的 可 行 性 的 研 究 , 始 於 八 十 年 代 后 期 。 在 Word 程 式 出 现 的 巨 集 病 毒 可 以 在 多 个 不 同 的 操 作 平 台活 动 , 而 且 , 只 要 电 脑 的 Word 程 式 是 支 援 Word 档 案 格 式 的 话 , 便 有 机
47、 会 受 到 感 染 。 换 言 之 , 无 论 使 用 的是 OS/2 或 Windows 版 本 的 Word 程 式 , 或 是 个 人 电 脑 或 麦 金 塔 (Macintosh)电 脑 , 也 可 能 受 到 巨 集 病 毒 的感 染 。 其 他 新 种 类 的 病 毒 病 毒 和 抗 御 病 毒 技 术 不 断 转 变 , 日 新 月 异 。 随 著 电 脑 用 户 使 用 新 的 操 作 平 台 电 脑 技 术 , 编 写 病 毒 的 人也 会 随 之 而 发 展 新 病 毒 , 再 作 扩 散 。 下 文 列 出 部 分 可 能 出 现 新 病 毒 种 类 的 新 操 作 平
48、 台 电 脑 技 术 : Java ActiveX Visual Basic (VB) Script HTML Lotus Notes Java Java 病 毒 一 直 是 一 个 富 争 议 的 话 题 : 究 竟 可 否 编 写 Java 病 毒 ? Java 病 毒 可 否 在 电 脑 之 间 或 经 由 互 联网 扩 散 ? 以 上 问 题 , 均 曾 在 不 同 的 新 闻 组 进 行 讨 论 。 由 於 Java 微 应 用 程 式 的 设 计 是 在 受 控 的 环 境 (称 为 sandbox ) 内 执 行 , 接 触 不 到 电 脑 的 档 案 或 网 络 的 接 驳 ,
49、 因 此 , Java 病 毒 在 电 脑 之 间 扩 散 的 可 能 性 极低 。 但 由 於 Java 亦 像 其 他 标 准 的 程 式 一 样 , 可 让 开 发 人 员 建 立 可 控 制 整 个 系 统 的 应 用 程 式 , 故 Java 病毒 有 其 产 生 及 存 在 的 空 间 。 第 一 种 被 发 现 以 Java 电 脑 程 式 开 发 语 言 为 本 的 病 毒 称 为 Java.StrangeBrew 。 首 次 发 现 日 期 是 一九 九 八 年 九 月 , 会 感 染 属 Java 类 别 的 档 案 。 但 这 种 病 毒 只 会 影 响 独 立 的 Java 应 用 程 式 档 案 , 以 微 应 用 程式 执 行 的 档 案 则 不 受 感 染 。 虽 然 Java 应 用 程 式 并 不 常 见 , Java.StrangeBrew 病 毒 的 扩 散 也 只 属 於 初步 阶 段 , 但 这 种 病 毒 的 影 响 实 在 不 容 忽 视 。 随 著 Java 应 用 程 式 日 趋 普 及 , 预 料 Java 病 毒 的 种 类 也 会 逐渐 增 加 。 ActiveX 跟 Java 的 情 况 一 样 , ActiveX 被 视 为 将 会 受 病 毒 入 侵 的 操 作 平 台 。 若 就
