日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

及時篇信息安全與可信計算

第 1章信息安全概論

國家安全以國民安全為核心，以領土、政治、軍事、經濟等多方面安全為保障條件。隨著信息技術( Information Technology，IT)的廣泛應用，信息化已滲透到國民生活的各個領域，信息安全問題已成為影響國民安全的重要內容之一。本章主要介紹信息安全的現狀、信息安全問題存在的原因、信息安全的內涵及其發展趨勢等方面的內容。

1.1 信息安全現狀

信息技術的迅速發展把人類推進到信息革命的歷史潮流，信息革命成為人類第三次昀偉大的生產力革命，信息產業超過鋼鐵、機械、石油、汽車、電力等傳統產業，成為世界及時大產業。信息已成為當今昀具活力的生產要素和昀重要的戰略資源，以計算機網絡為核心的信息系統成為國家重要的基礎設施。

任何事物都具有兩面性，一方面信息技術的發展給人類帶來方便；另一方面危害信息安全的事件不斷發生，如敵對勢力的破壞、惡意軟件的入侵、黑客攻擊、利用計算機犯罪等，對信息安全構成了極大的威脅。

好萊塢電影《國家公敵》中有這樣一個情節：網民的信息被人操控，然而這樣駭人的場景竟成為現實— —隨著"棱鏡"事件的充分暴露，世界各地的網民絕不會想到他們在使用谷歌、 Facebook、蘋果等知名公司的網絡產品進行社交、辦公或存儲信息時，他們屏幕的背后正隱藏著美國情報部門的身影。換句話說，人們在網上的一舉一動都可能被美國情報部門看在"眼"里，記在"芯"上。

如果說"棱鏡"計劃還只是信息竊取事件，那么之前伊朗核設施被"震網"病毒破壞已經不再是竊密，而是毀壞基礎設施。對于我國，信息安全形勢的嚴峻性更在于我國對外國品牌的電子產品、信息技術產品過分依賴，例如， CPU芯片、計算機操作系統、數據庫、路由器等核心技術，在涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等國家關鍵信息基礎設施的建設中，頻頻出現美國"八大金剛"(思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟)的影子，導致我國信息安全失去了自主可控的基礎，這無疑對我國信息安全構成了潛在威脅。

"棱鏡"事件表明，那些提供信息技術設備與服務的美國公司往往會按照美國情報部門的要求行事。要想使用它們而又不被此類計劃監控，恐怕只能是癡心妄想。信息技術設備應能自主可控，在此基礎上，再努力加強信息安全防護，這樣才有可能保障國家信息安全。

因此，信息的獲取、存儲、傳輸、處理和安全保障能力已成為一個國家綜合國力和經濟競爭力的重要組成部分，信息安全已成為影響國家安全、社會穩定和經濟發展的決定性因素之一。

為了保障我國的信息安全和信息化建設， 2014年 2月我國成立了中央網絡安全和信息化領導小組，中共中央總書記、國家主席、中央軍委主席任組長。指出：沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化，網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題，要從國際國內大勢出發，總體布局、統籌各方、創新發展，努力把我國建設成為網絡強國。

信息安全已成為世人關注的社會問題和信息科學與技術領域的熱點研究問題。信息安全是信息時代永恒的需求，是確保人們賴以生存的社會和信息空間和諧繁榮的重要因素之一。

1.2 信息安全問題存在的原因

信息安全問題如此嚴重，從技術角度分析主要包括以下幾方面。

1.個人計算機的安全結構設計簡單 [1-2]

在 20世紀 70年代，隨著集成電路技術的發展，出現了微型計算機(簡稱微機)，隨后個人計算機( Personal Computer，PC)逐漸普及。由于定位為個人計算機，而不是公用計算機，所以在設計時為了降低成本舍去了很多安全機制，如存儲器的隔離保護機制、程序安全保護機制等。其中，程序的執行可以不經過認證，程序和系統區域的數據可以被隨意修改，這樣就可能導致病毒、木馬、蠕蟲等惡意代碼的泛濫。隨著網絡技術的發展和應用，個人計算機通過網絡連接而變為網絡中的一個組成部分，在連接上突破了地理位置的限制，信息的交互和處理擴大到整個網絡，面對這種環境，個人計算機的安全防御能力就顯得比較弱。

2.互聯網的開放性

互聯網是開放式體系結構，這種特性加速了互聯網的發展，但同時因缺少整體的規劃，使得當前很多協議的制定是為了彌補之前的設計漏洞、藍圖的缺失帶來的計算機網絡基礎設施和協議中的各種風險。

網絡基礎設施和協議的設計者遵循著一條原則——盡可能創造用戶友好性、透明性高的接口，使得網絡能夠為盡可能多的用戶提供服務，但這樣也帶來了另外的問題：一方面用戶容易忽視系統的安全狀況，另一方面也滿足了不法分子利用網絡的漏洞來滿足個人需求的目的。

3.系統漏洞

系統漏洞指計算機系統在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，它可以使攻擊者能夠在未授權的情況下訪問或破壞系統。在計算機安全領域，安全漏洞( security hole)通常又稱為脆弱性( vulnerability)。計算機漏洞普遍存在，在不同種類的軟硬件設備、同種設備的不同版本之間、由不同設備構成的不同系統之間，以及同種系統在不同的設置條件下，可能都會存在各自不同的安全漏洞問題。

簡單地說，計算機漏洞是系統的一組特性，攻擊者或者攻擊程序能夠利用這組特性，通過已授權的手段和方式獲取對資源的未授權訪問，或者對系統造成損害。

操作系統是計算機昀主要的系統軟件，是計算機資源的管理者，因此，操作系統是保障計算機系統安全的基礎之一。然而，現在的操作系統設計太復雜、太龐大。例如，2008年 10月的 2.6.27版本的 Linux內核代碼庫的代碼量已經超過 1000萬行， Windows Vista系統則達到 5000萬行，而 Windows 7和 Windows 8系統則更多。研究表明，典型的產品級軟件每千行就會有一個與安全相關的漏洞，可以據此推算當前主流的系統軟件可能隱藏的安全漏洞的數量。除操作系統外，數據庫系統和其他應用軟件也都存在安全漏洞。

總之，隨著軟件規模的逐漸增大，軟件開發、集成和演化變得越來越復雜，而相關的可信軟件構造、評測、確保等技術工作嚴重滯后，使得軟件產品總會含有很多已知或未知的漏洞，這些缺陷對軟件系統安全、地運行構成了嚴重威脅。

漏洞問題與時間緊密相關。一個系統從之日起，隨著用戶的深入使用，系統中存在的漏洞會不斷暴露出來，這些早先被發現的漏洞也會不斷被系統供應商的補丁軟件修補，或在以后的新版系統中得以糾正。新版系統在糾正舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現，漏洞問題會長期存在。其中部分漏洞可能會被攻擊者利用，從而造成嚴重的信息安全問題。

4.網絡基礎設施和通信協議的缺陷

互聯網是一個數據包網絡，數據在傳輸的時候首先要被分為很多小的數據包，然后每一個數據包各自在網絡中傳輸。在接收方，數據包又被重新組合構成原來的消息。為了能夠正常工作，數據包網絡需要在傳輸節點之間存在一個信任關系。

由于在傳輸過程中，數據包需要被拆分、傳輸和重組，所以必須保障每一個數據包以及中間傳輸單元的安全。然而，目前的網絡協議并不能做到這一點。

網絡中的服務器主要有用戶數據報協議( User Datagram Protocol，UDP)和傳輸控制協議(Transmission Control Protocol，TCP)兩個主要的通信協議，都使用端口號識別高層的服務。客戶端上的每個服務利用的端口號向服務器請求服務，服務器利用端口號識別客戶所請求的服務。服務器的一個重要的安全規則就是當服務沒有被使用的時候關閉其所對應的端口號，如果服務器不提供相應的服務，那么端口就一直不能打開。即使服務器提供相應的服務，也只有當服務被合法使用的時候端口號才能被打開。

客戶端和服務器進行通信之前，要通過三次握手過程建立 TCP連接。首先，客戶端向服務器發送一個同步( Synchronous，SYN)數據包；然后，服務器響應一個確認位( Acknowledgement，ACK)和 SYN位置位的數據包；昀后，客戶端響應一個 ACK位置位的數據包。圖 1.1給出了三次握手的過程。三次握手過程存在著半打開( half-open)問題，由于服務器對之前發起握手的客戶端存在信任關系，所以會使端口一直處于打開狀態以等待客戶端的通信，而這個特性往往會被惡意攻擊者利用。

1.3 信息安全的內涵

傳統的信息安全強調信息本身的安全屬性，主要包含：①信息的機密性，信息不泄露給未授權者的特性；②信息的完整性，保護信息正確、完整和未被篡改的特性；③信息的可用性，信息可被授權用戶訪問，并按其要求運行的特性。

信息不能脫離載體而獨立存在，同樣，也不能脫離信息系統而孤立地談論信息安全。從信息系統的角度來看，信息安全主要包括四個層面 [1-2]：設備安全、數據安全、內容安全和行為安全。其中數據安全對應傳統的信息安全。

1.設備安全

信息系統的設備安全是信息系統安全的首要問題，包括設備的穩定性、設備的性、設備的可用性。

2.數據安全

數據安全是指確保數據免遭未授權者泄露、篡改和毀壞，包括數據的機密性、數據的完整性、數據的可用性。

圖 1.1三次握手過程

3.內容安全

內容安全是信息安全在政治、法律、道德層次上的要求，包括信息內容在政治上是健康的，信息內容符合國家法律、法規，符合民族的優良道德規范。

4.行為安全

數據安全本質上是一種靜態安全，在信息系統中許多程序要進行某種處理，處理的過程稱為行為。因此，程序在運行中表現出來的是一系列行為。所以除了要確保靜態的數據安全，還要確保動態的行為安全，包括以下幾方面內容。

(1)

行為的機密性：行為的過程和結果不能危害數據的機密性，必要時，行為的過程和結果也應保障機密性。

(2)

行為的完整性：行為的過程和結果不能危害數據的完整性，行為的過程和結果是可預期的。

(3)行為的可控性：當行為的過程和預期偏離時，能夠發現、控制和糾正。

信息系統的硬件系統安全和操作系統安全是信息系統安全的基礎，密碼和網絡安全等技術是信息系統安全的關鍵技術。確保信息系統安全是一個系統工程，只有從信息系統的硬件和軟件的底層做起，從整體上采取措施，才能比較有效地確保信息系統的安全。

為了表述簡單，在不產生歧義時，可以直接將信息系統安全簡稱為信息安全。

1.4 信息安全的發展趨勢

1.4.1 信息安臨的挑戰

隨著云計算、物聯網、移動互聯網、大數據、虛擬化和可穿戴智能設備的廣泛應用，信息安全正面臨著不斷增多的新挑戰，隱私安全問題更加突出。"禍兮福之所倚，福兮禍之所伏"，人們在充分享受互聯網帶來的各種便利時，也必然面臨越來越嚴峻的互聯網安全風險。在互聯網廣泛滲透于政治、經濟、文化等社會生活各個方面的今天，信息安全與個人、國家、社會的命運息息相關，正如所說："網絡和信息安全牽涉國家安全和社會穩定，是我們面臨的新的綜合性挑戰 [3]。"

隨著信息技術和應用的迅猛發展，信息安全技術發展面臨的挑戰主要包括 [4-5]下面幾方面內容。

1.信息技術應用環境復雜多樣

隨著云計算、物聯網、移動互聯網、大數據等高新技術的應用與發展，網絡環境更加復雜、多樣，此時信息安全技術將面臨更多挑戰，形式更加嚴峻。例如，云計算可以實現跨地域、虛擬化服務模式，這會帶來大規模數據跨境流動引發的安全監管、隱私保護、司法取證等問題。隨著"強后臺 +瘦客戶端"的"云 +端"模式成為趨勢，跨國企業很容易獲取國家敏感信息和數據，潛在威脅巨大。在工業控制領域，物聯網的普及應用給數據采集監控、分布式控制系統、過程控制系統等工業控制系統帶來諸多安全隱患。我國工業控制系統在安全領域缺乏底層解決方案，其信息安全評估和認證還處于起步階段。核設施、鋼鐵、化工、石油石化、電力、天然氣、水利樞紐、鐵路、城市軌道交通等領域廣泛應用工業控制系統，一旦這些系統出現信息安全漏洞，將給工業生產運行和國家經濟安全帶來重大損失。

2.通用計算設備的計算能力越來越強

當前的信息安全技術特別是密碼技術與計算機技術密切相關，其安全性取