《信息安全》信息安全概述

信息安全概述概述信息化社会，计算机网络在政治军事，金融，商业，交通，电信，文教等方面的作用日益增大，社会对计算机网络的依赖也日益提高，人类社会的一些机密和财富高度集中于计算机中。Internet的出现，网络的重要性和对社会的影响也越来越大。随着网络上各种新兴业务的兴起，例如，网上购物、网上炒股、视频会议、远程教育，电子政务、网络银行、数字图书馆，以及各种专用网络的建设，使网络与信息安全问题受到了前所未有的关注和重视。概述网络与信息系统的开放性，和潜藏的商业经济军事利益，给网络黑客、计算机犯罪人员，国外敌对势力和恐怖分子等创造了大量可乘之机。恐怖分子、犯罪集团也在利用网络组织和实施恐怖犯罪活动。黑客组织直接以网络为目标进行恶意攻击，敌对势力对意识形态领域的渗透和对政府、军队秘密信息的窃取，给国家主权、国家安全，和社会稳定带来极大的威胁。概述更令人担忧的是，我国信息化规模的高速发展是建立在大规模引进国外新兴信息技术基础之上，中央处理器和操作系统几乎完全建立在美国公司产品的基础上。在大型设备和通信设备方面，运行在其上的系统软件、支撑软件也大多数是国外的产品，一旦我们所依赖的国外核心技术得不到保证，或存在严重的安全隐患，势必对我国的信息安全和国家安全造成严重后果。因此，对信息安全知识和动态的学习和研究无论是对个人、企业还是国家都是非常必要的。1.1现实中的信息安全问题

1.1.1信息安全与国家政治1.1.2网络部队与军事战争1.1.3信息安全与经济金融1.1.4信息安全与个人隐私及企业机密1.1.1信息安全与国家政治【案例】斯诺登与“棱镜门”事件【案例】斯诺登与“棱镜门”事件

2013年6月，前中情局（CIA）职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》，该资料称美国国家安全局有一项代号为"棱镜"（PRISM）的秘密项目，是一项由美国国家安全局（NSA）自2007年起开始实施的绝密电子监听计划。该项目要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。美国国家安全局和联邦调查局还通过进入微软、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、苹果九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。个人隐私VS国家安全报道刊出后外界哗然。保护公民隐私组织予以强烈谴责，抗议这些项目都侵犯了公民基本权利。斯诺登也称，他是出于对隐私权的担心才采取爆料行为的。他表示：“我不想生活在一个做那些事情的社会里，我不想生活在一言一行都被记录的世界里。”而奥巴马表示棱镜项目在防止恐怖袭击方面发挥了重要作用，至少有50起恐怖图谋是因为“棱镜”监控项目的存在而破产的。他说：“很重要的一点，是要认识到你不可能有百分之百的安全，也不可能有百分之百的隐私。”在互联网时代的今天，“棱镜”给政府、企业及个人上了一堂现实版的信息谍战课。1.1.2信息安全与军事战争未来网络空间将成为国家间竞争和博弈的新战场。从2010年开始，就已出现国家间网络空间安全对抗的态势。网络安全已成为一个国际性问题，“网络军事化”已渐渐走到台前来。五大战争领域无处不在的网络甚至成了无所不能的代表。整个地球变成了一个巨大的网络空间。网络部队2009年6月，美国创建网络战司令部，对美军现有的网络作战力量进行整合，是一个将空间、信息对抗和进攻打击能力有机结合在一起执行空间和全球打击、全球范围内防止大规模杀伤性武器扩散等任务的一个机构。网络部队日本自卫队组建“网络部队”：日本在2011年度建立了由5000人组成的“网络空间防卫队”，研制开发的网络作战“进攻武器”和网络防御系统，目前已经具备了较强的网络进攻作战实力。韩国军方于2010年成立网络司令部，韩国军方表示是为了积极应对朝军的网络战威胁和执行未来网络战任务，韩国军方要达到美国网络部队作战的水平。伊朗网络部队终于“露脸”。据悉，美国国防部下属的机构“防御科技局”，将伊朗列为世界上五个最厉害的黑客国家之一。

英国拟建英版网络司令部。英国政府官员多次强调英军加强应对网络战的必要性。戴维·卡梅伦政府宣布投入额外6.5亿英镑(约合10亿美元)用于保障国家网络安全、发展军事电子防务。印度招募黑客组建网络部队。印度投入大量人力物力，力求在网络技术、密码技术、芯片技术以及操作系统方面自成体系。俄罗斯2002年推出《俄联邦信息安全学说》，将网络信息战比作未来的“第六代战争”。俄罗斯已经拥有了众多的网络精英，反病毒技术更是走在了世界的前列，在遇到威胁或有需要时，这些人才和技术将能很快地转入军事用途。以色列在1998年就将成功入侵美国国防部的青年招入部队，并开始加大对网络作战的研究力度。在巴以冲突、黎以冲突中，以色列利用网络进攻的方式篡改网页、攻击电视台，以达到影响舆论导向的目的；侵入军方电脑窃取机密，以确定火力打击的重点目标和精确坐标；阻断敌人通信指挥系统，以掌握最佳的作战时机，这一切都是以军进行网络战真实写照。网络部队中国也已组建“网络蓝军”，以捍卫军队网络安全。与西方国家的网络战部队相比，我国的网络蓝军目前处于初级阶段。中国现在对网络的依赖性越来越大，但中国没有一台根服务器。此外，中国网络的硬件，包括很多软件的生产商基本上都是美国。从这个意义上来说，中国只是计算机的“用户”，网络安全很脆弱。在这样的环境下，中国组建一支保障网络安全的部队是十分有必要的。但在中国军方证实“网络蓝军”存在的消息后，西方媒体却质疑中国网络蓝军有“黑客”之嫌。网络战争著名军事家詹姆斯·亚当斯在其著作《下一场世界战争》中曾预言：在未来的战争中，计算机本身就是武器，前线无所不在，夺取作战空间控制权的不是炮弹和子弹，而是计算机网络里流动的比特和字节。如今，这一预言正在变成现实。每一次敲击键盘，就等于枪击一发子弹；每一块CPU，就是一架战略轰炸机。网络战争美国第一次运用网络战，可以追溯到1991年海湾战争期间。美国总统奥巴马也曾承认对伊朗核设施电脑系统发动过“震网”病毒攻击。2008年北京奥运会期间。一场战争却在高加索地区爆发，“俄格冲突”中的网络战争。……

1.1.3信息安全与经济金融信息安全是维护国家利益、保障经济安全、服务民生的重要基础。金融信息与网络安全事关金融稳定和国家经济安全，一旦出现问题，不仅是经济安全问题，更是社会政治稳定问题。【案例】信息安全与经济金融【比特币交易站受攻击破产】2014年2月，全球最大的比特币交易平台Mt.Gox由于交易系统出现漏洞，75万个比特币以及Mt.Gox自身账号中约10万个比特币被窃，损失估计达到4.67亿美元，被迫宣布破产。这一事件凸显了互联网金融在网络安全威胁面前的脆弱性。【携程漏洞事件】2014年3月22日，有安全研究人员在第三方漏洞收集平台上报了一个题目为“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露（包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin）”的漏洞。上报材料指出携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，并称已将细节通知厂商并且等待厂商处理中。一石激起千层浪，该漏洞立即引发了关于“电商网站存储用户信用卡等敏感信息，并存在泄漏风险”等问题的热议。1.1.4信息安全与个人隐私及企业机密

隐私权作为一种基本人格权利，是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。信息社会中，大量的个人信息、企业数据在网联网中输入，存储，传递，由于自己的疏忽或别有用心的个人或组织的恶意蓄谋导致了大量的个人隐私、企业数据泄露的安全事件，给个人或企业带来巨大的损失。【案例】个人隐私、企业数据泄露【索尼影业公司被黑客攻击】2014年12月，索尼影业公司被黑客攻击。摄制计划、明星隐私、未发表的剧本等敏感数据都被黑客窃取，并逐步公布在网络上，甚至包括到索尼影业员工的个人信息。预计索尼影业损失高达1亿美元，仅次于2011年被黑客攻击的损失。【12306用户数据泄露含身份证及密码信息】2014年12月25日，乌云漏洞报告平台报告称，大量12306用户数据在互联网疯传，内容包括用户帐号、明文密码、身份证号码、手机号码和电子邮箱等。这次事件是黑客首先通过收集互联网某游戏网站以及其他多个网站泄露的用户名和密码信息，然后通过撞库的方式利用12306的安全机制的缺欠来获取了这13万多条用户数据。【案例500万谷歌账户信息被泄露】2014年9月，大约有500万谷歌的账户和密码的数据库被泄露给一家俄罗斯互联网网络安全论坛。这些用户大多使用了Gmail邮件服务和美国互联网巨头的其他产品。【案例中国快递1400万信息泄露】2014年4月，国内某黑客对国内两个大型物流公司的内部系统发起网络攻击，非法获取快递用户个人信息1400多万条，并出售给不法分子。而有趣的是，该黑客贩卖这些信息仅获利1000元。根据媒体报道，该黑客仅是一名22岁的大学生，正在某大学计算机专业读大学二年级。1.1现实中的信息安全问题

总结通过以上从国家、政治、经济、隐私等方面出现的信息安全案例，我们发现网络安全已经不是新问题。影响着大到国家安全，社会稳定，小至个人财产损失、个人隐私泄露等方方面面。我们应该清醒的认识到：中国的信息安全在以思科为代表的美国“八大金刚”（思科、IBM、Google、高通、英特尔、苹果、Oracle、微软）面前形同虚设。在我国网络基础设施建设方面，思科占据了70%以上的份额，并占据着所有超级核心节点。而微软、Google和苹果则掌握了中国的操作系统份额，微软是office办公软件领域绝对的老大，在国内也是出于统治地位。反观中国企业在美国的遭遇，典型的华为和中兴始终无法打开美国市场主要因为网络安全问题的隐忧。美国众议院情报委员会发表报告称，美国电信运营商不应和华为、中兴两家公司进行合作，因为这两家公司“可能对美国国家安全构成威胁”。1.2信息安全概念及内涵从本质上讲，网络安全是指网络上存在的安全问题及解决方案，属于信息安全的一部分。它是指网络系统的硬件、软件和系统中的数据受到保护，不受偶然的或恶意的攻击而遭到破坏、更改、泄露，系统连接可靠、正常运行，网络服务不中断。广义上讲,凡是涉及到网络上信息保密性、完整性、可用性、可控性、不可否认性、真实性的相关技术和理论都是网络安全所要研究的领域。1.2.1信息安全概念

可用性

可用性是指信息可被合法用户访问并能按要求顺序使用的特性，即在需要时就可以取用所需的信息。——防中断机密性

能够确保敏感或机密数据的传输和存储不遭受非授权的个人和实体的浏览或使用，甚至可以做到不暴露保密通信的事实。——防泄密完整性

能够保障被传输、接收或存储的数据是未被篡改、未被破坏、未被插入、未延迟、未乱序和未丢失的，在被篡改的情况下能够发现篡改的事实或者篡改的位置。

——防篡改非否认性

能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。非否认性可以防止抵赖，交易中非常重要的环节。如电子商务中电子合同和电子邮件。——防抵赖真实性

真实性也称可认证性，能够确保实体（如人、进程或系统）身份或信息、信息来源的真实性，特别是身份识别。

——防诈骗可控性

能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。——防失控

合法性

从事信息活动，特别是互联网上信息活动必须符合国家的法律法规。——防犯法1.2.1信息安全概念信息安全工作的目的：1.2.2信息安全研究的发展通信保密

信息安全的初级阶段，人们似乎更关注信息通信的机密性，通常采用一些简单的替代或置换来保护信息。信息安全

这一阶段的信息安全包括在信息系统的物理层、运行层，以及对信息自身的保护（数据层）及攻击（内容层）的层面上，所反映出的对信息自身与信息系统在机密性、可用性与真实性方面的保护与攻击等内容。信息保障

目前，国际研究前沿已将信息安全上升到信息保障的高度，提出了计算环境安全，通信网安全，边界安全及安全支撑环境和条件的概念，并开始研究信息网络的生存性等课题，美国国家安全局（NSA）提出了深度防御的概念，把信息安全上升到信息保障的高度，并提出了人（People）、技术(Technology)操作(Operation)三方面并举的核心策略。1.2.3研究信息安全的必要性

网络自身的脆弱性分析网络信息安全威胁分析(一)网络自身的脆弱性分析开放性的网络环境

电磁辐射和电磁泄漏

协议和软件本身的缺陷

操作系统的漏洞

(二)网络信息安全威胁分析网络威胁来源威胁主体类型威胁主体描述国家以国家安全为目的，由专业信息安全人员实现，如信息战士黑客以安全技术挑战为目的，主要出于安全兴趣，有不同安全技术熟练程度的人员组成恐怖分子以强迫或恐吓手段，企图实现不当愿望网络犯罪以非法获取经济利益为目的，非法进入网络系统，出卖信息或修改信息记录商业竞争对手以市场竞争为目的，主要收集商业情报或损害对手的市场影响力新闻机构以搜集新闻信息为目的，从网上非法获取有关新闻事件中的人员信息或背景材料不满的内部工作人员以报复、泄愤为目的，破坏网络安全设备或干扰系统运行粗心的内部工作人员因工作不专心或技术不熟练而导致网络系统受到危害，如误配置、误操作(二)网络信息安全威胁分析根据威胁主体的自然属性，主要包括自然威胁和人为威胁。自然威胁有：地震、雷击、洪水、火灾、静电、鼠害和电力故障等。人为威胁有：盗窃类型的威胁破坏类型的资源处理类型的威胁操作错误和疏忽类型的威胁(二)网络信息安全威胁分析网络信息安全威胁对象：物理安全威胁

网络通信威胁网络服务威胁网络管理威胁1.3信息安全模型随着信息安全技术的发展，信息安全行业流行着各种信息安全体系模型，比如OSI安全体系结构、PDR安全保护模型、IATF信息保障技术框架和WPDRRC信息安全模型等。信息安全模型在信息系统安全建设中起着重要的指导作用，精确而形象地描述信息系统的安全属性，准确地描述安全的重要方面与系统行为的关系，能够提高对成功实现关键安全需求的理解层次，并且能够从中开发出一套安全性评估准则和关键的描述变量。1.3.1PDRR信息安全模型

防护（P）检测（D）响应（R）恢复（R）安全策略1.3.1PDRR信息安全模型

P-防护

D-检测R-响应

R-恢复1.3.2WPDRRC信息安全模型1.3.2WPDRRC信息安全模型WPDRRC信息安全模型是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型。WPDRRC模型有6个环节。6个环节包括预警、保护、检测、响应、恢复和反击，它们具有较强的时序性和动态性，能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。WPDRRC模型有3大要素包括人员、策略和技术，人员是核心，策略是桥梁，技术是保证，落实在WPDRRC6个环节的各个方面，将安全策略变为安全现实