信息安全技术授课教案.pdf

信 息 安 全 技 术 授 课 教 案 第 1讲 信 息 与 信 息 安 全 风 险 在 信 息 化 社 会 中，信 息 已 提 升 为 制 约 社 会 发 展、推 动 社 会 进 步 的 关 键 因 素 之 一，人 们 对 信 息 和 信 息 技 术 的 依 赖 程 度 越 来 越 高，甚 至 有 些 行 为 方 式 也 受 信 息 技 术 的 约 束，自 然 人 之 间 的 交 流 也 日 趋 机 器 化。本 章 从 信 息 的 概 念 发 展 出 发，介 绍 信 息 的 作 用、信 息 技 术 对 人 类 生 活 的 影 响，描 述 信 息 面 临 的 风 险 与 威 胁，最 后 引 出 信 息 安 全 的 目 标。主 要 内 容：1.1 信 息 与 信 息 技 术 1.2 信 息 安 全 的 重 要 性 与 严 峻 性 1.3 信 息 安 全 问 题 的 起 源 和 常 见 威 胁 1.4 信 息 安 全 的 目 标 重 点：1.信 息、信 息 技 术 与 信 息 安 全 的 关 系 2.信 息 安 全 目 标 和 模 型 难 点：信 息 安 全 目 标 和 模 型 学 时 分 配：2学 时 教 学 手 段：板 书 与 多 媒 体 演 示 结 合 教 学 方 法：课 堂 讲 授、演 示。教 学 过 程：(-)复 习 与 导 入：当 前 热 点 问 题:股 民 帐 户 被 控 艳 照 事 件 熊 猫 烧 香 事 件 通 过 这 些 事 例，介 绍 目 前 面 临 的 信 息 安 全 问 题，引 出 开 设 本 课 程 的 目 的。本 讲 的 主 要 内 容：介 绍 信 息 的 特 性、安 全 形 势，介 绍 弱 点，引 出 信 息 安 全 的 目 标。(二)新 课 讲 授：第 1讲 信 息 与 信 息 安 全 风 险 在 信 息 化 社 会 中，信 息 已 提 升 为 制 约 社 会 发 展、推 动 社 会 进 步 的 关 键 因 素 之 一，人 们 对 信 息 和 信 息 技 术 的 依 赖 程 度 越 来 越 高，甚 至 有 些 行 为 方 式 也 受 信 息 技 术 的 约 束，自 然 人 之 间 的 交 流 也 日 趋 机 器 化。本 章 从 信 息 的 概 念 发 展 出 发，介 绍 信 息 的 作 用、信 息 技 术 对 人 类 生 活 的 影 响，描 述 信 息 面 临 的 风 险 与 威 胁，最 后 引 出 信 息 安 全 的 目 标。1.1信 息 与 信 息 技 术 1.1.1 信 息 的 概 念 1948年，信 息 论 创 始 人 香 农(C.E.Shannon)在 通 信 的 数 学 理 论 一 文 中，认 为“信 息 是 用 以 消 除 不 确 定 性 的 东 西”，推 导 出 了 信 息 测 度 的 数 学 公 式，提 出 香 农 定 理，描 述 了 有 限 带 宽、有 随 机 热 噪 声 信 道 的 最 大 传 输 速 率 与 信 道 带 宽、信 号 噪 声 功 率 比 之 间 的 关 系，在 此 基 础 上 发 明 了 信 息 编 码 的 三 大 定 理，为 现 代 通 信 技 术 的 发 展 奠 定 了 理 论 基 础。但 香 农 同 样 没 有 考 虑 信 息 的 内 容 与 价 值。1948年,在 香 农 创 建 信 息 论 的 同 时,控 制 论 的 创 始 人 维 纳(N.Wiener)在 专 著 控 制 论 动 物 和 机 器 中 的 通 信 与 控 制 问 题 中，认 为 信 息 是 人 们 在 适 应 外 部 世 界，并 使 这 种 适 应 反 作 用 于 外 部 世 界 的 过 程 中，同 外 部 世 界 进 行 交 换 的 内 容 的 名 称”，他 还 认 为，“接 收 信 息 和 使 用 信 息 的 过 程，就 是 我 们 适 应 外 部 世 界 环 境 的 偶 然 性 变 化 的 过 程，也 是 我 们 在 这 个 环 境 中 有 效 地 生 活 的 过 程。”这 一 定 义 包 含 了 信 息 的 内 容 与 价 值，从 动 态 的 角 度 揭 示 了 信 息 的 功 能 与 范 围。决 策 学 的 代 表 人 物 西 蒙 则 提 出，“信 息 是 影 响 人 们 改 变 对 决 策 方 案 的 期 待 或 评 价 的 外 界 刺 激。”1988年，中 国 学 者 钟 义 信 在 信 息 科 学 原 理 一 书 中，认 为“信 息 是 事 物 运 动 的 状 态 与 方 式，是 事 物 的 一 种 属 性。”，通 过 引 入 约 束 条 件，推 导 了 信 息 的 概 念 体 系，对 信 息 进 行 了 完 整 而 准 确 的 论 述。这 一 定 义 具 有 最 大 的 普 遍 性，涵 盖 了 所 有 其 他 的 信 息 定 义，并 通 过 约 束 条 件 实 现 与 其 他 定 义 的 转 换。1.1.2 信 息 的 性 质 信 息 来 源 于 物 质，但 又 不 是 物 质 本 身；信 息 也 来 源 于 精 神 世 界，但 又 不 限 于 精 神 领 域；信 息 是 物 质 的 普 遍 属 性，是 物 质 运 动 的 状 态 与 方 式。信 息 的 物 质 性 决 定 了 它 的 一 般 属 性，主 要 包 括 普 遍 性、客 观 性、无 限 性、相 对 性、抽 象 性、依 附 性、动 态 性、异 步 性、共 享 性、可 传 递 性、可 交 换 性、可 处 理 性 和 可 伪 性 等。其 中 与 信 息 安 全 相 关 的 性 质 有 以 下 儿 个。(1)依 附 性(2)动 态 性(3)可 处 理 性(4)共 享 性(5)可 传 递 性(6)异 步 性(7)可 交 换 性(8)可 伪 性 信 息 安 全 将 处 理 与 信 息 的 依 附 性、动 态 性、可 处 理 性、共 享 性、可 传 递 性、异 步 性、可 交 换 性 和 可 伪 性 等 相 关 的 问 题。1.1.3 信 息 的 功 能 信 息 的 功 能 是 信 息 属 性 的 体 现，主 要 可 分 为 两 个 层 次：基 本 功 能 和 社 会 功 能。基 本 功 能 在 于 维 持 和 强 化 世 界 的 有 序 性。社 会 功 能 则 表 现 为 维 系 社 会 的 生 存、促 进 人 类 文 明 的 进 步 和 自 身 的 发 展。信 息 的 功 能 主 要 表 现 在 以 下 几 个 方 面。1)信 息 是 一 切 生 物 进 化 的 导 向 资 源。2）信 息 是 知 识 的 来 源。3）信 息 是 决 策 的 依 据。4）信 息 是 控 制 的 灵 魂。5）信 息 是 思 维 的 材 料。信 息 安 全 的 任 务 就 是 确 保 信 息 功 能 的 正 确 实 现。1.1.4 信 息 技 术 与 与 信 息 安 全 现 代 信 息 技 术 一 般 是 指 近 几 十 年 刚 刚 发 展 起 来 的 现 代 信 息 技 术，它 是 指 在 计 算 机 和 通 信 技 术 支 持 下 用 以 获 取、加 工、存 储、变 换、显 示 和 传 输 文 字、数 值、图 像、视 频、音 频 以 及 语 音 信 息，并 且 包 括 提 供 设 备 和 信 息 服 务 两 大 方 面 的 方 法 与 设 备 的 总 称。具 体 来 讲，信 息 技 术 主 要 包 括 以 下 几 个 方 面。（1）感 测 与 识 别 技 术（2）信 息 传 递 技 术（3）信 息 处 理 与 再 生 技 术（4）信 息 施 用 技 术 信 息 安 全 关 注 的 是 信 息 在 各 种 信 息 技 术 的 施 用 过 程 中 信 息 是 否 能 维 持 它 的 基 本 性 质，信 息 的 功 能 是 否 能 正 确 实 现 这 些 问 题。1.1.5 信 息 系 统 与 信 息 安 全 信 息 系 统 是 指 基 于 计 算 机 技 术 和 网 络 通 信 技 术 的 系 统，是 人、规 程、数 据 库、硬 件 和 软 件 等 各 种 设 备、工 具 的 有 机 集 合。信 息 系 统 的 发 展 经 历 了 电 子 数 据 处 理 系 统（EDPS）、管 理 信 息 系 统（MIS）、决 策 支 持 系 统（DSS）、办 公 自 动 化 系 统（OAS）和 多 媒 体 信 息 系 统（MMIS）等 儿 个 阶 段。在 管 理 科 学 和 方 法 的 指 导 下，同 统 计 理 论 和 方 法、计 算 机 技 术、通 信 技 术 等 相 互 渗 透、相 互 促 进，迅 速 形 成 一 个 专 门 的 应 用 领 域。在 信 息 安 全 领 域，重 点 关 注 的 是 与 信 息 处 理 生 命 周 期 相 关 的 各 个 环 节，包 括 信 息 本 身 在 整 个 生 命 周 期 中 的 存 在 形 式、存 储 处 理 相 关 的 设 备、传 递 交 换 所 用 的 通 信 网 络、相 应 的 计 算 机 软 件 和 协 议 等。1.2信 息 安 全 的 重 要 性 与 严 峻 性 1.2.1 信 息 安 全 的 重 要 性 1946年，世 界 第 一 台 电 子 计 算 机 ENIAC在 美 国 诞 生 后，经 过 近 60年 的 发 展，作 为 社 会 发 展 三 要 素 的 物 质、能 源 和 信 息 的 关 系 发 生 了 深 刻 的 变 化。在 计 算 机 技 术 和 通 信 技 术 的 推 动 下，信 息 要 素 已 成 为 支 配 人 类 社 会 发 展 进 程 的 决 定 性 力 量 之 一，信 息 关 系 到 一 个 人 的 成 长、一 个 单 位 的 业 务 发 展，甚 至 一 个 国 家 的 生 死 存 亡。可 以 这 么 说，我 们 的 社 会 已 经 开 始 从 工 业 化 社 会 逐 渐 进 入 到 信 息 化 社 会。微 型 计 算 机 和 大 容 量 存 储 技 术 的 发 展 和 应 用，推 动 了 信 息 处 理 的 电 子 化；通 信 技 术 和 通 信 协 议 的 发 展 推 动 了 信 息 的 高 速 传 输 和 信 息 资 源 的 广 泛 共 享。20世 纪 80年 代，特 别 是 90年 代 中 后 期 开 始 的 互 联 网 狂 潮，彻 底 改 变 了 人 们 获 取 知 识、了 解 信 息 的 习 惯，互 联 网 已 经 成 为 了 一 个 继 电 视、电 台、报 刊 之 后 的 第 四 媒 体，是 我 们 获 取 信 息、传 播 信 息 的 重 要 载 体，互 联 网 的 使 用 已 经 深 入 到 政 治、军 事、文 化、商 务、学 习 和 日 常 生 活 等 各 个 领 域 和 方 面，深 刻 影 响 着 社 会 各 阶 层、个 人、政 体，甚 至 国 家 内 部 及 相 互 之 间 关 系 的 思 维 方 式、行 为 方 式 和 观 念 的 变 化。（1）社 会 信 息 化 提 升 了 信 息 的 地 位（2）社 会 对 信 息 技 术 的 依 赖 性 增 强（3）虚 拟 的 网 络 财 富 日 益 增 长（4）信 息 安 全 已 经 成 为 社 会 的 焦 点 问 题 1.2.2 信 息 安 全 的 严 峻 性 针 对 信 息 的 保 护 与 反 保 护 等 行 为 一 直 伴 随 着 信 息 的 整 个 发 展 历 程。进 入 21世 纪 后，信 息 安 全 面 临 着 更 严 峻 的 考 验。中 国 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心（CNCERT/CC,网 址：http:/年 度 网 络 安 全 报 告 显 示，网 络 安 全 总 体 状 况 非 常 严 峻，具 体 表 现 在：1.系 统 的 安 全 漏 洞 不 断 增 加 2.黑 客 攻 击 搅 得 全 球 不 安 3.计 算 机 病 毒 肆 虐 4.网 络 仿 冒 危 害 巨 大5.“僵 尸 网 络”(BOTNET)使 得 网 络 攻 击 规 模 化 6.木 马 和 后 门 程 序 泄 漏 秘 密 7.以 利 益 驱 动 的 网 络 犯 罪 发 展 迅 猛 8.信 息 战 阴 影 威 胁 数 字 化 和 平 9.白 领 犯 罪 造 成 巨 大 商 业 损 失 1.3信 息 安 全 问 题 的 起 源 和 常 见 威 胁 虚 拟 的 网 络 环 境、虚 拟 的 信 息 世 界，如 何 确 保 信 息 的 真 实 和 正 确？如 何 确 保 信 息 能 合 法 地 被 使 用？如 何 利 用 信 息 创 造 价 值，维 护 社 会 稳 定 和 推 动 社 会 发 展，而 不 是 制 造 恐 慌？要 保 证 信 息 的 安 全，实 现 信 息 的 功 能，首 先 必 须 了 解 信 息 在 整 个 处 理 生 命 周 期 中 可 能 面 临 的 风 险，从 而 分 析 确 定 相 应 的 安 全 需 求，最 后 才 能 制 定 和 实 施 相 应 的 安 全 策 略。1.3.1 信 息 安 全 问 题 的 起 源 信 息 安 全 问 题 是 一 个 系 统 问 题,而 不 是 单 一 的 信 息 本 身 的 问 题，因 此 要 从 信 息 系 统 的 角 度 来 分 析 组 成 系 统 的 软 硬 件 及 处 理 过 程 中 信 息 可 能 面 临 的 风 险。一 般 认 为，系 统 风 险 是 系 统 脆 弱 性 或 漏 洞，以 及 以 系 统 为 目 标 的 威 胁 的 总 称。系 统 脆 弱 性 和 漏 洞 是 风 险 产 生 的 原 因，威 胁 或 攻 击 是 风 险 的 结 果。计 算 机 网 络 是 目 前 信 息 处 理 的 主 要 环 境 和 信 息 传 输 的 主 要 载 体，特 别 是 互 联 网 的 普 及，给 我 们 的 信 息 处 理 方 式 带 来 了 根 本 的 变 化。互 联 网 的“无 序、无 界、匿 名”三 大 基 本 特 征 也 决 定 了 网 络 信 息 的 不 安 全。如 何 使 我 们 的 网 络“有 序、有 界、真 实”是 每 一 个 国 家、每 一 个 单 位 或 集 体、每 一 个 技 术 人 员 的 责 任 和 理 想。综 合 起 来 说，信 息 安 全 的 风 险 主 要 来 自 以 下 几 个 方 面：物 理 因 素、系 统 因 素、网 络 因 素、应 用 因 素 和 管 理 因 素。1.3.2 物 理 安 全 风 险 计 算 机 本 身 和 外 部 设 备 乃 至 网 络 和 通 信 线 路 面 临 各 种 风 险，如 各 种 自 然 灾 害、人 为 破 坏、操 作 失 误、设 备 故 障、电 磁 干 扰、被 盗 和 各 种 不 同 类 型 的 不 安 全 因 素 所 致 的 物 质 财 产 损 失、数 据 资 料 损 失 等。如，1999年 8 月，吉 林 省 某 电 信 业 务 部 门 的 通 信 设 备 被 雷 击 中，造 成 惊 人 的 损 失；还 有 某 铁 路 计 算 机 系 统 遭 受 雷 击，造 成 设 备 损 坏、铁 路 运 输 中 断 等。1.3.3 系 统 风 险 组 件 的 脆 弱 性 从 安 全 的 角 度 看，冯?诺 依 曼 模 型 是 造 成 安 全 问 题 的 根 源，因 为 二 进 制 编 码 对 识 别 恶 意 代 码 造 成 很 大 困 难，其 信 号 脉 冲 又 容 易 被 探 测、截 获；面 向 程 序 的 思 路 使 数 据 和 代 码 混 淆，使 病 毒、特 洛 伊 木 马 等 很 容 易 入 侵（1949年，他 自 己 就 意 识 到 程 序 可 在 其 体 系 结 构 中 自 我 复 制）；底 层（硬 件）固 定 化、普 适 性 的 模 型 和 多 用 户、网 络 化 应 用 的 发 展，迫 使 人 们 靠 加 大 软 件 来 适 应 这 种 情 况，导 致 软 件 复 杂 性 呈 指 数 型 增 加。1.硬 件 组 件 信 息 系 统 硬 件 组 件 的 安 全 隐 患 多 来 源 于 设 计，由 于 生 产 工 艺 或 制 造 商 的 原 因，计 算 机 硬 件 系 统 本 身 有 故 障（如 电 路 短 路、断 线）、接 触 不 良 引 起 系 统 的 不 稳 定、电 压 波 动 的 干 扰 等。由 于 这 种 问 题 是 固 有 的，一 般 除 在 管 理 上 强 化 人 工 弥 补 措 施 外，采 用 软 件 程 序 的 方 法 见 效 不 大。因 此 在 自 制 硬 件 和 选 购 硬 件 时 应 尽 可 能 减 少 或 消 除 这 类 安 全 隐 患。2.软 件 组 件 软 件 的“后 门”是 软 件 公 司 的 程 序 设 计 人 员 为 了 自 便 而 在 开 发 时 预 留 设 置 的，一 方 面 为 软 件 调 试、进 一 步 开 发 或 远 程 维 护 提 供 了 方 便，但 同 时 也 为 非 法 入 侵 提 供 了 通 道。这 些“后 门”一 般 不 被 外 人 所 知，但 一 旦“后 门”洞 开，其 造 成 的 后 果 将 不 堪 设 想。此 外，软 件 组 件 的 安 全 隐 患 来 源 于 设 计 和 软 件 工 程 中 的 问 题。软 件 设 计 中 的 疏 忽 可 能 留 下 安 全 漏 洞；软 件 设 计 中 不 必 要 的 功 能 冗 余 以 及 软 件 过 长 过 大，不 可 避 免 地 存 在 安 全 脆 弱 性；软 件 设 计 不 按 信 息 系 统 安 全 等 级 要 求 进 行 模 块 化 设 计，导 致 软 件 的 安 全 等 级 不 能 达 到 所 声 称 的 安 全 级 别；软 件 工 程 实 现 中 造 成 的 软 件 系 统 内 部 逻 辑 混 乱，导 致 垃 圾 软 件，这 种 软 件 从 安 全 角 度 看 是 绝 对 不 可 用 的。据 统 计，每 写 一 千 行 语 句 总 会 有 6 3 0行 差 错，而 一 个 软 件 常 常 有 百 万 甚 至 千 万 行 语 句，这 就 意 味 着 一 个 软 件 可 能 有 几 万 个 差 错，但 即 使 百 分 之 几 有 害，也 有 几 千 个 漏 洞。软 件 组 件 可 分 为 操 作 平 台 软 件、应 用 平 台 软 件 和 应 用 业 务 软 件。这 三 类 软 件 以 层 次 结 构 构 成 软 件 组 件 体 系。操 作 平 台 软 件 处 于 基 础 层，它 维 系 着 系 统 组 件 运 行 的 平 台，因 此 平 台 软 件 的 任 何 风 险 都 可 能 直 接 危 及 或 被 转 移 到 或 延 伸 到 应 用 平 台 软 件。对 信 息 系 统 安 全 所 需 的 操 作 平 台 软 件 的 安 全 等 级 要 求，不 得 低 于 系 统 安 全 等 级 要 求，特 别 是 信 息 系 统 的 安 全 服 务 组 件 的 操 作 系 统 安 全 等 级 必 须 至 少 高 于 系 统 安 全 一 个 等 级，因 此 强 烈 建 议 安 全 服 务 组 件 的 操 作 系 统 不 得 直 接 采 用 商 业 级 或 普 遍 使 用 的 操 作 系 统。应 用 平 台 软 件 处 于 中 间 层 次，它 是 在 操 作 平 台 支 撑 下 运 行 的 支 持 和 管 理 应 用 业 务 的 软 件。一 方 面 应 用 平 台 软 件 可 能 受 到 来 自 操 作 平 台 软 件 风 险 的 影 响；另 一 方 面，应 用 平 台 软 件 的 任 何 风 险 可 直 接 危 及 或 传 递 给 应 用 业 务 软 件。因 此，应 用 平 台 软 件 的 安 全 特 性 至 关 重 要，在 提 供 自 身 安 全 保 护 的 同 时，应用 平 台 软 件 还 必 须 为 应 用 软 件 提 供 必 要 的 安 全 服 务 功 能。应 用 业 务 软 件 处 于 顶 层，直 接 与 用 户 或 实 体 打 交 道。应 用 业 务 软 件 的 任 何 风 险，都 直 接 表 现 为 信 息 系 统 的 风 险，因 此 其 安 全 功 能 的 完 整 性 以 及 自 身 的 安 全 等 级，必 须 大 于 系 统 安 全 的 最 小 需 求。一 般 来 说，外 购 的 商 业 化 应 用 业 务 软 件 比 自 制 应 用 业 务 软 件 更 安 全 些。3.网 络 和 通 信 协 议 在 当 今 的 网 络 通 信 协 议 中，局 域 网 和 专 用 网 络 的 通 信 协 议 具 有 相 对 封 闭 性，因 为 它 不 能 直 接 与 异 构 网 络 连 接 和 通 信。这 样 的“封 闭”网 络 本 身 基 于 两 个 原 因 比 开 放 式 的 互 联 网 的 安 全 特 性 好：一 是 网 络 体 系 的 相 对 封 闭 性，降 低 了 从 外 部 网 络 或 站 点 直 接 攻 入 系 统 的 可 能 性，但 信 息 的 电 磁 泄 露 性 和 基 于 协 议 分 析 的 搭 线 截 获 问 题 仍 然 存 在；二 是 专 用 网 络 自 身 具 有 较 完 善、成 熟 的 身 份 鉴 别，访 问 控 制 和 权 限 分 割 等 安 全 机 制。安 全 问 题 最 多 的 还 是 基 于 TCP/IP协 议 簇 的 互 联 网 及 其 通 信 协 议。TCP/IP协 议 簇 原 本 只 考 虑 互 通 互 连 和 资 源 共 享 的 问 题，并 未 考 虑 也 无 法 兼 容 解 决 来 自 网 络 中 和 网 际 间 的 大 量 安 全 问 题。TCP/IP协 议 最 初 设 计 的 应 用 环 境 是 美 国 国 防 系 统 的 内 部 网 络，这 网 络 环 境 是 互 相 信 任 的，当 其 推 广 到 全 社 会 的 应 用 环 境 后，信 任 问 题 发 生 了。概 括 起 来，互 联 网 网 络 体 系 存 在 着 如 下 几 种 致 命 的 安 全 隐 患。(1)缺 乏 对 用 户 身 份 的 鉴 别 TCP/IP协 议 的 机 制 性 安 全 隐 患 之 一 是 缺 乏 对 通 信 双 方 真 实 身 份 的 鉴 别 机 制。由 于 TCP/IP协 议 使 用 IP地 址 作 为 网 络 节 点 的 唯 一 标 识，而 IP地 址 的 使 用 和 管 理 又 存 在 很 多 问 题，因 而 可 导 致 下 列 两 种 主 要 安 全 隐 患。1)IP地 址 是 由 InterNIC分 发 的，其 数 据 包 的 源 地 址 很 容 易 被 发 现，且 IP地 址 隐 含 了 所 使 用 的 子 网 掩 码，攻 击 者 据 此 可 以 画 出 目 标 网 络 的 轮 廓。因 此，使 用 标 准 IP地 址 的 网 络 拓 扑 对 互 联 网 来 说 是 暴 露 的。2)IP地 址 很 容 易 被 伪 造 和 被 更 改，且 TCP/IP协 议 没 有 对 IP包 中 源 地 址 真 实 性 的 鉴 别 机 制 和 保 密 机 制。因 此，互 联 网 上 任 一 主 机 都 可 以 产 生 一 个 带 有 任 意 源 IP地 址 的 IP包，从 而 假 冒 另 一 个 主 机 进 行 地 址 欺 骗。(2)缺 乏 对 路 由 协 议 的 鉴 别 认 证 TCP/IP在 IP层 上 缺 乏 对 路 由 协 议 的 安 全 认 证 机 制，对 路 由 信 息 缺 乏 鉴 别 与 保 护,因 此 可 以 通 过 互 联 网 利 用 路 由 信 息 修 改 网 络 传 输 路 径，误 导 网 络 分 组 传 输。(3)TCP/UDP 的 缺 陷 TCP/IP协 议 规 定 了 TCP/UDP是 基 于 IP协 议 上 的 传 输 协 议，TCP分 段 和 UDP数 据 包 是 封 装 在 IP包 中 在 网 上 传 输 的，除 可 能 面 临 IP层 所 遇 到 的 安 全 威 胁 外，还 存 在 TCP/UDP实 现 中 的 安 全 隐 患。1）建 立 一 个 完 整 的 TCP连 接，需 要 经 历“三 次 握 手”过 程，在 客 户 机/服 务 器 模 式 的“三 次 握 手”过 程 中，假 如 客 户 的 IP地 址 是 假 的，是 不 可 达 的，那 么 TCP不 能 完 成 该 次 连 接 所 需 的“三 次 握 手”，使 TCP连 接 处 于“半 开”状 态，攻 击 者 利 用 这 一 弱 点 可 实 施 如 TCP/SYN Flooding攻 击 的“拒 绝 服 务”攻 击。2）TCP提 供 可 靠 连 接 是 通 过 初 始 序 列 号 和 鉴 别 机 制 来 实 现 的。个 合 法 的 TCP连 接 都 有 一 个 客 户/服 务 器 双 方 共 享 的 唯 一 序 列 号 作 为 标 识 和 鉴 别。初 始 序 列 号 一 般 由 随 机 数 发 生 器 产 生，但 问 题 出 在 很 多 操 作 系 统（如 UNIX）在 实 现 TCP连 接 初 始 序 列 号 的 方 法 中，所 产 生 的 序 列 号 并 不 是 真 正 随 机 的，而 是 一 个 具 有 一 定 规 律、可 猜 测 或 计 算 的 数 字。对 攻 击 者 来 说，猜 出 了 初 始 序 列 号 并 掌 握 了 目 标 IP地 址 后，就 可 以 对 目 标 实 施 IP Spoofing攻 击，而 IP Spoofing攻 击 很 难 检 测，因 此 此 类 攻 击 危 害 极 大。3）由 于 UDP是 一 个 无 连 接 控 制 协 议，极 易 受 IP源 路 由 和 拒 绝 服 务 型 攻 击。在 TCP/IP协 议 层 结 构 中，应 用 层 位 于 最 顶 部，因 此 下 层 的 安 全 缺 陷 必 然 导 致 应 用 层 安 全 出 现 漏 洞 甚 至 崩 溃；各 种 应 用 层 服 务 协 议（如 Finger、FTP、TelnetEmail.DNS、SNMP等）本 身 也 存 在 许 多 安 全 隐 患，这 些 隐 患 涉 及 鉴 别、访 问 控 制、完 整 性 和 机 密 性 等 多 个 方 面，极 易 引 起 针 对 基 于 TCP/IP应 用 服 务 协 议 和 程 序 方 面 安 全 缺 陷 的 攻 击 并 获 得 成 功。1.3.4 网 络 与 应 用 风 险 威 胁 和 攻 击 信 息 安 全 的 目 标 是 保 护 信 息 的 安 全 性。如 何 从 网 络 中 获 取 有 用 的 数 据 和 信 息 是 网 络 攻 击 的 根 本 目 标，而 目 前 的 应 用 系 统 主 要 的 工 作 模 式 都 是 采 取 工 作 站/服 务 器 模 式（C/S结 构）或 浏 览 器/服 务 器 模 式（B/S结 构）。因 此，在 这 里 我 们 将 网 络 安 全 与 应 用 安 全 结 合 在 一 起 进 行 风 险 分 析。1.威 胁 与 攻 击 分 类（1）威 胁 对 数 据 通 信 系 统 的 威 胁 包 括：对 通 信 或 网 络 资 源 的 破 坏；对 信 息 的 滥 用、讹 用 或 篡 改；信 息 或 网 络 资 源 的 被 窃、删 除 或 丢 失；信 息 的 泄 露；服 务 的 中 断 和 禁 止。可 以 将 威 胁 分 为 偶 发 性 与 故 意 性 两 类，也 可 以 用 主 动 或 被 动 方 式 对 威 胁 进 行 分 类。1）偶 发 性 威 胁。2）故 意 性 威 胁。3）被 动 性 威 胁。4）主 动 性 威 胁。（2）几 种 特 定 类 型 的 攻 击 1）冒 充。2）重 放。3）篡 改。4）拒 绝 服 务。5）内 部 攻 击。6）外 部 攻 击。7）陷 井 门。8）特 洛 伊 木 马。2.威 胁 和 攻 击 的 来 源（1）内 部 操 作 不 当（2）内 部 管 理 不 严 造 成 系 统 安 全 管 理 失 控（3）来 自 外 部 的 威 胁 和 犯 罪 从 外 部 对 信 息 系 统 进 行 威 胁 和 攻 击 的 实 体 主 要 有 以 下 三 种。1）黑 客。2）信 息 间 谍。3）计 算 机 犯 罪。对 信 息 系 统 进 行 威 胁 和 攻 击 的 这 三 种 情 况 是 最 主 要 和 最 危 险 的。因 为 这 三 种 情 况 中 有 一 个 共 同 点，就 是 攻 击 者 具 有 对 信 息 系 统 脆 弱 性 和 漏 洞 的 知 识 以 及 有 针 对 性 攻 击 的 足 够 方 法 和 技 能。在 攻 击 者 看 来，基 于 TCP/IP协 议 簇 的 网 络，特 别 是 利 用 公 共 通 信 基 础 设 施 与 外 部 连 接 的 网 络，是 完 全 暴 露 的，通 过 外 部 网 络 利 用 TCP/IP协 议 的 安 全 脆 弱 性，可 从 多 方 面 攻 入 信 息 系 统 或 阻 挠 其 正 常 运 行。1.3.5 管 理 风 险安 全 大 师 Bruce Schneier说：“安 全 是 一 个 过 程(Process),而 不 是 一 个 产 品(Product)”0也 就 是 说，单 纯 依 靠 安 全 设 备 是 不 够 的，它 是 一 个 汇 集 了 硬 件、软 件、网 络、人 以 及 他 们 之 间 的 相 互 关 系 和 接 口 的 系 统。网 络 与 信 息 系 统 的 实 施 主 体 是 人，安 全 设 备 与 安 全 策 略 最 终 要 依 靠 人 才 能 应 用 与 贯 彻。多 数 单 位 存 在 安 全 设 备 设 置 不 合 理、使 用 管 理 不 当、没 有 专 门 的 信 息 安 全 人 员、系 统 密 码 管 理 混 乱 等 现 象，防 火 墙、入 侵 检 测、VPN等 设 备 起 不 了 应 有 的 作 用。1.4信 息 安 全 的 目 标 1.4.1信 息 安 全 的 一 般 目 标 信 息 安 全 的 基 本 目 标 应 该 是 保 护 信 息 的 机 密 性、完 整 性、可 用 性、可 控 性 和 不 可 抵 赖 性。(1)机 密 性 机 密 性 是 指 保 证 信 息 不 被 非 授 权 访 问，即 使 非 授 权 用 户 得 到 信 息 也 无 法 知 晓 信 息 的 内 容，因 而 不 能 使 用。(2)完 整 性 完 整 性 是 指 维 护 信 息 的 一 致 性，即 在 信 息 生 成、传 输、存 储 和 使 用 过 程 中 不 应 发 生 人 为 或 非 人 为 的 非 授 权 篡 改。(3)可 用 性 可 用 性 是 指 授 权 用 户 在 需 要 时 能 不 受 其 他 因 素 的 影 响，方 便 地 使 用 所 需 信 息。这 一 目 标 是 对 信 息 系 统 的 总 体 可 靠 性 要 求。(4)可 控 性 可 控 性 是 指 信 息 在 整 个 生 命 周 期 内 都 可 由 合 法 拥 有 者 加 以 安 全 的 控 制。(5)不 可 抵 赖 性 不 可 抵 赖 性 是 指 保 障 用 户 无 法 在 事 后 否 认 曾 经 对 信 息 进 行 的 生 成、签 发、接 收 等 行 为。1.4.2 PDRR 模 型事 实 上，安 全 是 一 种 意 识，一 个 过 程，而 不 是 某 种 技 术 就 能 实 现 的。进 入 21世 纪 后，信 息 安 全 的 理 念 发 生 了 巨 大 的 变 化，目 前 倡 导 一 种 综 合 的 安 全 解 决 方 法：针 对 信 息 的 生 存 周 期，以 信 息 保 障”模 型 作 为 信 息 安 全 的 目 标，即 信 息 的 保 护 技 术、信 息 使 用 中 的 检 测 技 术、信 息 受 影 响 或 攻 击 时 的 响 应 技 术 和 受 损 后 的 恢 复 技 术 为 系 统 模 型 的 主 要 组 成 元 素，简 称 PDRR模 型，如 图 1-8所 示。在 设 计 信 息 系 统 的 安 全 方 案 时，综 合 使 用 多 种 技 术 和 方 法，以 取 得 系 统 整 体 的 安 全 性。图 1-8 信 息 安 全 的 PDRR模 型 1.4.3 信 息 安 全 整 体 解 决 方 案 从 技 术 的 角 度 看，PDRR模 型 已 经 包 含 了 信 息 安 全 的 各 个 方 面，在 信 息 生 命 周 期 的 各 个 环 节 都 能 对 信 息 起 到 安 全 保 障 的 作 用。但 除 技 术 因 素 之 外，前 面 我 们 提 到，管 理 因 素，特 别 是 人 的 因 素，是 信 息 安 全 过 程 中 不 可 忽 视 的 因 素，如 著 名 的“社 会 工 程 学”攻 击，就 是 利 用 人 的 因 素 来 危 害 信 息 安 全 的。在 此，我 们 提 出 信 息 安 全 整 体 解 决 方 案：在 PDRR技 术 保 障 模 型 的 前 提 下，综 合 信 息 安 全 管 理 措 施，实 施 立 体 化 的 信 息 安 全 防 护。即 整 体 解 决 方 案=PDRR模 型+安 全 管 理。小 结 本 章 从 信 息 概 念 的 发 展 开 始，介 绍 信 息、信 息 技 术、信 息 系 统 与 信 息 安 全 的 关 系,分 析 信 息 安 全 的 重 要 性 和 形 势 的 严 峻 性，总 结 信 息 安 全 风 险 和 威 胁，最 后 结 合 需 要，给 出 了 信 息 安 全 的 基 础 目 标，信 息 安 全 技 术 保 障 模 型 和 信 息 安 全 综 合 解 决 方 案，确 保 信 息 的 机 密 性、完 整 性、可 用 性、可 控 性 和 不 可 抵 赖 性。习 题 1.1 信 息 的 基 本 性 质 有 哪 些？如 何 理 解 与 信 息 安 全 的 关 系？1.4 简 述 信 息 安 全 的 目 标。1.6 信 息 安 全 综 合 解 决 方 案 有 什 么 特 色？七、教 后 记：第 2讲 网 络 攻 击 行 为 分 析 网 络 信 息 安 全 技 术 与 黑 客 攻 击 技 术 都 源 于 同 一 技 术 核 心，即 网 络 协 议 和 底 层 编 程 技 术，不 同 的 是 怎 么 使 用 这 些 技 术。很 多 软 件 或 设 备 可 以 为 网 络 管 理 和 安 全 提 供 保 障，但 当 被 别 有 用 心 的 人 所 利 用 时，就 成 了 黑 客 工 具，就 象 刀 具，是 基 本 生 活 用 具，又 可 成 为 杀 人 凶 器。我 们 要 做 到“知 己 知 彼”，才 能“百 战 不 殆”，对 黑 客 的 攻 击 手 段、途 径、方 法 和 工 具 了 解 得 越 多，越 有 利 于 保 护 网 络 和 信 息 的 安 全。在 介 绍 信 息 安 全 技 术 以 前，本 章 先 来 分 析 与 黑 客 攻 击 相 关 的 知 识。主 要 内 容：2.1 影 响 信 息 安 全 的 人 员 分 析 2.2 网 络 攻 击 的 层 次 2.3 网 络 攻 击 的 一 般 步 骤 2.4 网 络 入 侵 技 术 2.5 网 络 防 御 与 信 息 安 全 保 障 重 点：1.网 络 攻 击 步 骤 2.网 络 入 侵 技 术 难 点：网 络 入 侵 技 术 学 时 分 配：4 学 时 教 学 手 段:板 书 与 多 媒 体 演 示 结 合 教 学 方 法：课 堂 讲 授、演 示。教 学 过 程：(-)复 习 与 导 入：从 上 次 课 介 绍 的 漏 洞 入 手，介 绍 当 前 流 行 的 各 种 网 络 攻 击 手 段，引 出 安 全 工 作 的 重 要 性