信息安全基础知识

信息安全基础知识
信息安全基础知识
1. 了解信息安全基本概念
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

2. 了解网络安全主要概念及意义
网络的安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。

网络安全的具体含义会随着“角度”的变化而变化。

比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。

网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。

其重要性，正随着全球信息化步伐的加快而变到越来越重要。

“家门就是国门”，安全问题刻不容缓。

3.了解安全隐患的产生原因、类型区别（被动攻击，主动攻击等）
产生安全隐患的产生原因:
1.网络通信协议的不安全
2.计算机病毒的入侵
3.黑客的攻击
4操作系统和应用软件的安全漏洞
5.防火墙自身带来的安全漏洞
分类：分为主动攻击和被动攻击
主动攻击包含攻击者访问他所需信息的故意行为。

比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息；伪造无效IP 地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个
非法地址。

攻击者是在主动地做一些不利于你或你的公司系统的事情。

正因为如此，如果要寻找他们是很容易发现的。

主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。

被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。

被动攻击包括嗅探、信息收集等攻击方法。

从攻击的目的来看，可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等
4.了解安全分类（技术缺陷，配置缺陷，策略缺陷，人为缺陷等）
技术缺陷：
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的，它只能相应地在一定程度上解决这一个或几个方面的网络安全问题，无法防范和解决其他的问题，更不可能提供对整个网络的
系统、有效的保护。

如身份认证和访问控制技术只能解决确认网络用户身份的问题，但却无法防止确认的
用户之间传递的信息是否安全的问题，而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害，
但却无法识别和确认网络上用户的身份等等。

现有的各种网络安全技术中，防火墙技术可以在一定程度上解决一些网络安全问题。

防火墙产品主要包括
包过滤防火墙，状态检测包过滤防火墙和应用层代理防火墙，但是防火墙产品存在着局限性。

其最大的局
限性就是防火墙自身不能保证其准许放行的数据是否安全。

同时，防火墙还存在着一些弱点：一、不能防
御来自内部的攻击：来自内部的攻击者是从网络内部发起攻击的，他们的攻击行为不通过防火墙，而防火
墙只是隔离内部网与因特网上的主机，监控内部网和因特网之间的，而对内部网上的情况不作检查，因而
对内部的攻击无能为力；二、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手
段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙
就不会采取任何的措施；三、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖
的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了；
四、防火墙不能防御数据驱动的攻击：
虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，
而非数据细节。

这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入
你的系统中并发动攻击。

入侵检测技术也存在着局限性。

其最大的局限性就是漏报和误报严重，它不能称之为一个可以信赖的安全
工具，而只是一个参考工具。

配置缺陷：
于交换机和路由器而言，它们的主要作用是进行数据的转发，因此在设备自身的安全性方面考虑的就不
是很周全。

在默认的情况下，交换机和路由器的许多网络服务端口都是打开的，这就是等于为黑客预留了
进入的通道
策略缺陷：
计算机信息安全问题主要在于信息技术和管理制度两个方面，所以相应的安全防范策略也必须从达两个方面人手，形成
技术与管理、操作与监管并行的系统化安全保障体系。

人为缺陷：
人为攻击是指通过攻击系统的弱点，以便达到破坏、欺骗、窃取
数据等目的，使得网络信息的保密性、完整
性、可靠性、可控性、可用性等受到伤害，造成经济上和政治上不可估量的损失。

人为攻击又分为偶然事故和恶意攻击两种。

偶然事故虽然没有明显的恶意企图和目的，但它仍会使信息受
到严重破坏。

恶意攻击是有目的的破坏。

恶意攻击又分为被动攻击和主动攻击两种。

被动攻击是指在不干扰网络信息系统正常工作的情况下，进行
侦收、截获、窃取、破译和业务流量分析及电磁泄露等。

主动攻击是指以各种方式有选择地破坏信息，如
修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。

5.了解网络安全的实现目标和主要技术措施
在网络安全领域，攻击随时可能发生，系统随时可能崩溃，因此必须一年365天、一天24小时地监视网络系统的状态。

这些工作仅靠人工完成是不可能的。

所以，必须借助先进的技术和工具来帮助企业完成如此繁重的劳动，以保证计算机网络的安全。

计算机网络的安全性主要包括网络服务的可用性（Availability）、网络信息的保密性（Confidentiality）和网络信息的完整性（Intergrity）。

下面把与之相关的几个重要的网络安全技术做一下介绍。

杀毒软件
与一般单机的杀毒软件相比，杀毒软件的网络版市场更多是技术及服务的竞争。

其特点表现在：
首先，杀病毒技术的发展日益国际化。

世界上每天有13种到50种新病毒出现，并且60%的病毒均通过Internet传播，病毒发展有日益跨越疆界的趋势，杀病毒企业的竞争也随之日益国际化。

其次，杀毒软件面临多平台的挑战。

一个好的企业级杀病毒软件必须能够支持所有主流平台，并实现软件安装、升级、配置的中央管理及自动化，要达到这样的要求需要大量工程师几年的技术积累。

第三，杀毒软件面临着Internet的挑战。

好的企业级杀病毒软件要保护企业所有的可能病毒入口，也就是说要支持所有企业可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐。

现今60%以上
的病毒是通过Internet传播，可以说Internet的防毒能力成为杀病毒软件的关键技术，在这方面，国际的杀毒软件如：Norton、McAfee、熊猫卫士走到了前面，它们均可以支持所有的Internet协议，辨识出其中病毒。

当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护，企业防病毒软件的市场无疑将越来越大。

企业级用户会更多考虑如何保护自身的数据、程序，对技术、服务和管理的要求比较高。

国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势，但在企业级的某些特殊性能上存在差距。

例如管理方面，一个企业要管理1000台机器，Norton的SRC有一台管理器就可以处理，它可以自动分发，自动安装到所有机器里，使管理人员节省很多时间，减少重复劳动。

另外，企业级需要更安全的保护，现在政府上网、企业上网都会遇到很多国际病毒，国内部分厂商在这些方面尚待改进。

防火墙
网络安全中系统安全产品使用最广泛的技术就是防火墙技术，即在Internet和内部网络之间设一个防火墙。

目前在全球连入Internet 的计算机中约有三分之一是处于防火墙保护之下。

对企业网络用户来说，如果决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略，即确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过防火墙。

防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外。

防火墙的技术实现通常是基于所谓"包过滤"技术，而进行包过滤的标准通常就是根据安全策略制定的。

在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。

访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向
（连入或连出）、数据包协议（如TCP/IP等）以及服务请求的类型（如ftp、www 等）等。

除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现。

早期的防火墙主要起屏蔽主机和加强访问控制的作用，现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。

现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。

当然，网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的，对防火墙的设置也不例外。

防火墙的隔断作用一方面加强了内部网络的安全，一方面却使内部网络与外部网络的信息系统交流受到阻碍，因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流，这样不仅增大了网络管理开销，而且减慢了信息传递速率。

针对这个问题，近期，美国网屏（NetScreen）技术公司推出了第三代防火墙，其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理，使防火墙的性能大大提高。

需要说明的是，并不是所有网络用户都需要安装防火墙，一般而言，只有对个体网络安全有特别要求，而又需要和Internet联网的企业网、公司网，才建议使用防火墙。

另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。

加密技术
网络安全的另一个非常重要的手段就是加密技术，它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息就全部通过加密处理。

加密的技术主要分两种：
单匙技术
这种技术无论加密还是解密都是用同一把钥匙（secret key）。

这是比较传统的一种加密方法。

发信人用某把钥匙将某重要信息加密，通过网络传给收信人，收信人再用同一把钥匙将加密后的信息解密。

这种方法快捷简便，即使传输信息的网络不安全，被别人截走信息，加密后的信息也不易泄露。

但这种方法也存在一个问题，即如果收信者和发信者不在同一地理位置，那么他们必须确保有一个安全渠道来传送加密钥匙。

但是如果确实存在这样一个安全渠道（如通过信差、长途电话等等），他们又何必需要加密呢？后来出现的双匙技术解决了这个难题。

双匙技术
此技术使用两个相关互补的钥匙：一个称为公用钥匙（public key），另一个称为私人钥匙（secret key）。

公用钥匙是大家被告知的，而私人钥匙则只有每个人自己知道。

发信者需用收信人的公用钥匙将重要信息加密，然后通过网络传给收信人。

收信人再用自己的私人钥匙将其解密。

除了私人钥匙的持有者，没有人--即使是发信者--能够将其解密。

公用钥匙是公开的，可以通过网络告知发信人（即使网络不安全）。

而只知道公用钥匙是无法导出私人钥匙的。

现有软件如Internet免费提供的PGP（Pretty Good Privacy）可直接实现这些功能。

加密技术主要有两个用途，一是加密信息，正如上面介绍的；另一个是信息数字署名，即发信者用自己的私人钥匙将信息加密，这就相当于在这条消息上署上了名。

任何人只有用发信者的公用钥匙，才能解开这条消息。

这一方面可以证明这条信息确实是此发信者发出的，而且事后未经过他人的改动（因为只有发信者才知道自己的私人钥匙）；另一方面也确保发信者对自己发出的消息负责，消息一旦发出并署了名，他就无法再否认这一事实。

如果既需要保密又希望署名，则可以将上面介绍的两个步骤合并起来。

即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密，再发给对方。

反过来收信者只需用自己的私人钥匙解密，再用发信者的公用钥匙验证签名。

这个过程说起来有些繁琐，实际上很多软件都可以只用一条命令实现这些功能，非常简便易行。

在网络传输中，加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。

目前，加密算法有多种，大多源于美国，
但是大多受到美国出口管制法的限制。

现在金融系统和商界普遍使用的算法是美国数据加密标准DES。

近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。

除了上面介绍的几种之外，还有一些被广泛应用的网络安全技术，在此做一个简单介绍。

身份验证
身份验证是一致性验证的一种, 验证是建立一致性证明的一种手段。

身份验证主要包括验证依据、验证系统和安全要求。

身份验证技术是在计算机中最早应用的安全技术，现在也仍在广泛应用，它是互联网上信息安全的第一道屏障。

存取控制
存取控制规定何种主体对何种客体具有何种操作权力。

存取控制是网络安全理论的重要方面, 主要包括人员限制、数据标识、权限控制、类型控制和风险分析。

存取控制也是最早采用的安全技术之一，它一般与身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息分级管理。

数据完整性
完整性证明是在数据传输过程中，验证收到的数据和原来数据之间保持完全一致的证明手段。

检查是最早采用数据完整性验证的方法，它虽不能保证数据的完整性，只起到基本的验证作用，但由于它的实现非常简单（一般都由硬件实现），现在仍广泛应用于网络数据的传输和保护中。

近几年来研究比较多的是数字签名等算法，它们虽可以保证数据的完整性，但由于实现起来比较复杂，系统开销比较大，一般只用于完整性要求较高的领域，特别是商业、金融业等领域。

安全协议
安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。

一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。

需要强调的是，网络安全是一个系统工程，不是单一的产品或技术可以完全解决的。

这是因为网络安全包含多个层面，既有层次上的
划分、结构上的划分，也有防范目标上的差别。

在层次上涉及到网络层的安全、传输层的安全、应用层的安全等；在结构上，不同节点考虑的安全是不同的；在目标上，有些系统专注于防范破坏性的攻击，有些系统是用来检查系统的安全漏洞，有些系统用来增强基本的安全环节（如审计），有些系统解决信息的加密、认证问题，有些系统考虑的是防病毒的问题。

任何一个产品不可能解决全部层面的问题，这与系统的复杂程度、运行的位置和层次都有很大关系，因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统，既有技术的因素，也包含人的因素。

用户需要根据自己的实际情况选择适合自己需求的技术和产品。

按照前面提到的计算机网络的安全性内容，整个网络安全产品可划分为系统安全产品和数据安全产品。

其中系统安全产品可分为防病毒类产品（杀毒软件）、防火墙类产品和其他防攻击类产品等；而数据安全产品可分为密码
6.了解信息安全的主要表现形式（蠕虫或病毒扩散，垃圾邮件泛滥，黑客行
为，信息系统脆弱性，有害信息的恶意传播）
电脑病毒
电脑病毒的种类
电脑病毒一般分类如下：
开机磁区病毒
档案型病毒
巨集病毒
其他新种类的病毒
资料由香港特别行政区政府资讯科技署提供
开机磁区病毒
在九十年代中期以前，开机磁区病毒是最常见的病毒种类。

这种病毒藏於已受感染的硬磁碟机的主开机磁区，或磁碟操作系统开机磁区内。

当软磁碟插入已受感染的个人电脑时，病毒便会把软磁碟开机磁区感染，藉此把病毒扩散。

使用受感染的软磁碟进行启动程序时，电脑便会受到感染。

在启动电脑的过程中，基本输入输出系统会执行驻於软磁碟开机磁区的病毒编码，因此系统便改为受病毒控制。

病毒控制了电脑系统后，便会把病毒编码写入硬磁碟的主开机磁区。

之后，便会恢复正常的启动程序。

从用户的角度来看，一切情况似乎与正常无异。

日后启动电脑时，驻於受感染的主开机磁区的病毒便会启动执行。

因此，病毒会进入记忆体，并可随时感染其他经使用的软磁碟。

[主开机磁区是硬磁碟的第一个磁区，这个磁区载有执行操作系统的分割控制表及编码。

主开机磁区后的16个或以上的磁区通常是空置不用的。

硬磁碟机最多可分割为4个储存分区，而磁碟操作系统的扩展分区可细分为多个逻辑驱动器。

每个分区的第一个磁区便是开机磁区，这个磁区包含载入分区的操作系统的资料及编码。

软磁碟没有主开机磁区。

以标准磁碟操作系统格式进行格式化后的软磁碟，在结构上与硬磁碟的磁碟操作系统分区相同。

档案型病毒
档案型病毒是一种依附在档案内，经由程式档而非资料档扩散的病毒。

电脑在执行受感染的程式时，便会受到感染。

这些受感染的程式可能经由软磁碟、唯读光碟、网络及互联网等途径传播。

在执行受感染的程式后，随附的病毒便会立即感染其他程式，或可能成为一个常驻程式，以便在日后感染其他程式。

在完成这些步骤后，病毒便会恢复执行原本的正常程式。

因此，用户在执行受感染的程式时，不易发觉有任何异常的情况。

档案型病毒一般会感染有特定副档名的档案。

副档名为COM、EXE及SYS的档案，均是常见的病毒感染对象。

巨集病毒
一九九五年七月，一种新的电脑病毒被人发现，立即使电脑界大感震惊。

这种新的病毒称为巨集病毒，它与一直以来出现的病毒不同，可感染资料档而非执行档。

其实，这并非一种新的概念，因为有关以
巨集语言编写病毒的可行性的研究，始於八十年代后期。

在Word程式出现的巨集病毒可以在多个不同的操作平台活动，而且，只要电脑的Word程式是支援Word 档案格式的话，便有机会受到感染。

换言之，无论使用的是OS/2或Windows版本的Word程式，或是个人电脑或麦金塔(Macintosh)电脑，也可能受到巨集病毒的感染。

其他新种类的病毒
病毒和抗御病毒技术不断转变，日新月异。

随著电脑用户使用新的操作平台／电脑技术，编写病毒的人也会随之而发展新病毒，再作扩散。

下文列出部分可能出现新病毒种类的新操作平台／电脑技术：Java
ActiveX
Visual Basic (VB) Script
HTML
Lotus Notes
Java
Java 病毒一直是一个富争议的话题：究竟可否编写Java 病毒？Java 病毒可否在电脑之间或经由互联网扩散？以上问题，均曾在不同的新闻组进行讨论。

由於Java微应用程式的设计是在受控的环境(称为「sandbox」) 内执行，接触不到电脑的档案或网络的接驳，因此，Java病毒在电脑之间扩散的可能性极低。

但由於 Java 亦像其他标准的程式一样，可让开发人员建立可控制整个系统的应用程式，故Java 病毒有其产生及存在的空间。

第一种被发现以Java电脑程式开发语言为本的病毒称为「Java.StrangeBrew」。

首次发现日期是一九九八年九月，会感染属Java类别的档案。

但这种病毒只会影响独立的Java应用程式档案，以微应用程式执行的档案则不受感染。

虽然Java应用程式并不常见，「Java.StrangeBrew」病毒的扩散也只属於初步阶段，但这种病毒的影响实在不容忽视。

随著Java 应用程式日趋普及，预料Java 病毒的种类也会逐渐增加。

ActiveX
跟Java的情况一样，ActiveX 被视为将会受病毒入侵的操作平台。

若就设计方面将两者比较，在ActiveX 扩散病毒的机会较Java为大。

基本上，ActiveX 是 Object Linking and Embedding (OLE) 的精简版本，会直接接触电脑的Windows 系统，因此可连接到任何的系统功能。

此外，ActiveX 的用户并非只局限於MS Internet Explorer的用户；现在，Netscape Navigator的附加程式(plug-in)也可使用这种技术。

相比之下，Java是在「受控的环境」下执行，或经由一个名为「Java Virtual Machine」的程式才可执行，因此可使Java与操作系统的各项服务隔开。

Visual Basic (VB) Script
过去，编写病毒的人若要成功编写一种可感染其他电脑的病毒，必须对电脑的基本操作具备相当程度的知识。

但随著Microsoft Office 内巨集的出现，编写病毒的工具已准备就绪，而编写的人毋须具备很多资讯科技知识也能胜任。

同样，VB Script 病毒所发挥作用的操作环境很快便会普及，扩散也甚为容易。

VB Script 病毒已对电脑用户构成真正威胁。

微软公司的原意是包括一种功能强大而易於使用的语言以便轻易取用 Windows 98／NT 系统内的资源。

VB Script 是以人类可阅读的方式编写，所以易於明白。

正是这个原因，很多并没有具备高深资讯科技知识的编写病毒的人也可侵入这个领域。

以 VB Script 编写的程式的第一代病毒藏在以 HTML 编写的网页内，经由互联网扩散开去。

现时散播力强的 VB Script 编写的病毒通常以寄发电子邮件的方式扩散，按用户地址册所列的电邮地址把病毒程式一同寄出。

用户执行附件中的程式时，便会帮助病毒扩散。

超文本标示语言（英文简称「HTML」）
藉由HTML 扩散的病毒是另一个在互联网上引起广泛讨论的话题。

有人甚至声称／宣告已发明／发现首只属 HTML 种类的病毒。

HTML 是一种控制网页设计的编写语言。

本来，纯 HTML 是不会受到感染，因此，只支援HTML 的浏览器也不会有受病毒感染的危险。

所谓「HTML 病毒」出现的机会实在微乎其微。

因此，真正的威胁并。