第一節(jié)　信息系統(tǒng)實(shí)體安全

一、信息系統(tǒng)安全概念

多年來，國內(nèi)外對信息系統(tǒng)安全的概念眾說紛紜，包括國際信息處理聯(lián)合會（IFIP）、計(jì)算機(jī)安全技術(shù)委員會（TC11）在內(nèi)的不少具有一定權(quán)威的學(xué)術(shù)技術(shù)組織機(jī)構(gòu)，一直未能就此統(tǒng)一看法。我國公安部在國內(nèi)外眾多說法的基礎(chǔ)上，提出了信息系統(tǒng)安全的概念。

信息系統(tǒng)安全是指信息系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，系統(tǒng)能連續(xù)正常運(yùn)行，不因偶然的或惡意的原因而遭到破壞、更改、顯露。反過來，信息系統(tǒng)的不安全則稱為信息系統(tǒng)危害。對照信息系統(tǒng)安全的概念，信息系統(tǒng)危害的概念就是：信息系統(tǒng)的硬件、軟件、數(shù)據(jù)未受到保護(hù)，因偶然的或意外的原因而遭到破壞、更改、顯露，系統(tǒng)不能連續(xù)正常運(yùn)行。

上述定義，既說清了計(jì)算機(jī)安全的本質(zhì)和核心，又顧及了安全所涉及的方面。從定義可知，安全的核心對象是信息系統(tǒng)。定義中所提到的信息系統(tǒng)，指的是信息賴以存在的實(shí)體和依賴于計(jì)算機(jī)實(shí)體所生成及運(yùn)行的信息系統(tǒng)。

所謂信息系統(tǒng)實(shí)體，應(yīng)包括計(jì)算機(jī)本身的硬件、軟件、數(shù)據(jù)和各種接口，也應(yīng)包括各種相應(yīng)的外部設(shè)備以及形成計(jì)算機(jī)網(wǎng)絡(luò)時(shí)應(yīng)有的通信設(shè)備、線路和信道。信息系統(tǒng)之所以有用，是在信息形成了系統(tǒng)之后。信息系統(tǒng)實(shí)體本身再昂貴也是有價(jià)的；而形成的信息系統(tǒng)則是無價(jià)的，它所遭受的損害往往是無法彌補(bǔ)、難以挽回的。

“系統(tǒng)能連續(xù)正常運(yùn)行”的安全定義進(jìn)一步闡明信息系統(tǒng)的動態(tài)安全，所以一定要保證信息系統(tǒng)能正常運(yùn)轉(zhuǎn)，為我所用，發(fā)揮應(yīng)有的效益。

“保護(hù)”的終極目標(biāo)是信息系統(tǒng)的安全。為此，必須保護(hù)信息系統(tǒng)實(shí)體及其所在的環(huán)境。所謂環(huán)境，不僅指機(jī)房等物理環(huán)境，也包括系統(tǒng)所處的社會人文環(huán)境。

安全對抗的核心因素是人。信息系統(tǒng)、物理環(huán)境和社會人文環(huán)境，皆為人所控制，各種計(jì)算機(jī)危害除了難以預(yù)知和抗拒的天災(zāi)外，皆為人所致。人是最為活躍、能動的核心因素。唯有依靠人，采取技術(shù)的、管理的和法律的得力措施，才能把計(jì)算機(jī)危害抑制到最低限度。從這個(gè)意義上講，計(jì)算機(jī)安全治理的核心問題是人的技術(shù)和職業(yè)道德教育。

二、信息系統(tǒng)面臨的威脅和攻擊

由于信息系統(tǒng)涉及有關(guān)國家安全的政治、經(jīng)濟(jì)和軍事情況以及一些工商企業(yè)單位與私人的機(jī)密及敏感信息，因此它已成為敵對國家和組織以及一些非法用戶或別有用心者威脅和攻擊的主要對象。所以信息系統(tǒng)的安全越來越受到人們的廣泛重視。

信息系統(tǒng)所面臨的威脅和攻擊，大體上可以分為兩類：一類是對實(shí)體的威脅和攻擊；另一類是對信息的威脅和攻擊。計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒則包括了對信息系統(tǒng)實(shí)體和信息兩個(gè)方面的威脅和攻擊。

1．對實(shí)體的威脅和攻擊

對實(shí)體的威脅和攻擊主要是指對計(jì)算機(jī)機(jī)器外部設(shè)備與網(wǎng)絡(luò)的威脅和攻擊，如各種自然災(zāi)害與人為的破壞、設(shè)備故障、場地和環(huán)境因素的影響、電磁場的干擾或電磁泄露、戰(zhàn)爭的破壞、各種媒體的被盜和失散等。這些因素所造成的損失的大小姑且不論，單就設(shè)備故障所造成的損失已使人們觸目驚心。

對信息系統(tǒng)實(shí)體的威脅和攻擊，不僅會造成國家財(cái)產(chǎn)的重大損失，而且會使信息系統(tǒng)的機(jī)密信息嚴(yán)重泄露和破壞。因此，對信息系統(tǒng)實(shí)體的保護(hù)是防止對信息威脅和攻擊的首要一步，也是防止對信息威脅和攻擊的天然屏障。

2．對信息的威脅和攻擊

對信息的威脅和攻擊主要有兩種：一種是信息的泄露；另一種是信息的破壞。

（1）信息泄露：所謂信息泄露，就是偶然地或故意地獲得（偵收、截獲、竊取或分析破譯）目標(biāo)系統(tǒng)中的信息，特別是敏感信息，造成泄露事件。

（2）信息破壞：信息破壞是指由于偶然事故或人為破壞，使信息的正確性、完整性和可用性受到破壞，使得系統(tǒng)的信息被修改、刪除、添加、偽造或非法復(fù)制，造成大量的信息被修改或丟失。

人為破壞有以下幾種情況：

●利用系統(tǒng)本身的脆弱性。

●濫用特權(quán)身份。

●不合法地使用。

●修改或非法復(fù)制系統(tǒng)中的數(shù)據(jù)。

偶然事故有以下幾種情況：

●軟硬件的故障引起安全策略失效。

●工作人員的誤操作使系統(tǒng)出錯，使信息嚴(yán)重破壞或無意中讓別人看到了機(jī)密信息。

●自然災(zāi)害的破壞，如洪水、地震、風(fēng)暴、泥石流，使信息系統(tǒng)受到嚴(yán)重破壞。

●環(huán)境因素的突然變化，如高溫或低溫、各種污染破壞了空氣潔凈度，電源突然斷電或受沖擊而造成系統(tǒng)信息出錯、丟失或破壞。

對信息的人為威脅稱為攻擊。對信息的攻擊，可歸納為被動攻擊和主動攻擊兩類。

被動攻擊是指一切竊密的攻擊。它是在不干擾系統(tǒng)正常工作的情況下進(jìn)行偵收、截獲、竊取系統(tǒng)信息，以便破譯分析；利用觀察信息、控制信息的內(nèi)容來獲得目標(biāo)系統(tǒng)的位置、身份；利用研究機(jī)密信息的長度和傳遞的頻度獲得信息的性質(zhì)。被動攻擊不容易被用戶察覺出來，因此它的攻擊持續(xù)性和危害性都很大。

被動攻擊的方法有：

●直接偵收。利用電磁傳感器或隱藏的收發(fā)信息設(shè)備直接偵收或搭線偵收信息系統(tǒng)的中央處理機(jī)、外圍設(shè)備、終端設(shè)備、通信設(shè)備或線路上的信息。

●截獲信息。系統(tǒng)及設(shè)備在運(yùn)行時(shí)，散射的電磁信號容易被截獲。如離計(jì)算機(jī)顯示終端百米左右，輻射信息強(qiáng)度可達(dá)30dBuV以上，因此可以在那里接受到穩(wěn)定、清晰可辨的信息圖像。此外，短波、超短波、微波和衛(wèi)星等無線電通信設(shè)備也有相當(dāng)大的輻射面，市話線路、長途架空明線等電磁輻射也相當(dāng)嚴(yán)重，因此可利用系統(tǒng)設(shè)備的電磁輻射截獲信息。

●合法竊取。利用合法用戶身份，設(shè)法竊取未被授權(quán)的信息。

●破譯分析。對于已經(jīng)加密的機(jī)要信息，利用各種破譯分析手段，獲得機(jī)密信息。

●從遺棄的媒體中分析獲取信息。如從信息中心遺棄的打印紙、各種記錄和統(tǒng)計(jì)報(bào)表、丟失的軟盤中獲得有用的信息。

主動攻擊：指篡改信息的攻擊。它不僅能竊密，而且威脅到信息的完整性和可靠性。它是用各種各樣的方式，有選擇地修改、刪除、添加、偽造和重排信息內(nèi)容，造成信息破壞。

主動攻擊包括：

●竊取并干擾通信線路中的信息。

●返回滲透。有選擇地截取系統(tǒng)重要處理機(jī)的通信，然后將偽信息返回系統(tǒng)用戶。

●線間插入。當(dāng)合法用戶已占用信道，但是終端設(shè)備還沒有動作時(shí)，插入信息進(jìn)行竊聽或信息破壞活動。

●非法冒充。采取非常規(guī)的方法和手段，竊取合法用戶的標(biāo)識符，冒充合法用戶進(jìn)行竊取或信息破壞。

●系統(tǒng)人員的竊密和毀壞系統(tǒng)數(shù)據(jù)、信息的活動等。

3．計(jì)算機(jī)犯罪

計(jì)算機(jī)犯罪是利用暴力和非暴力形式，故意泄漏或破壞信息系統(tǒng)中的機(jī)密信息，以及危害系統(tǒng)實(shí)體和信息安全的不法行為。暴力形式是對計(jì)算機(jī)設(shè)備和設(shè)施進(jìn)行物理破壞，如使用武器摧毀計(jì)算機(jī)設(shè)備，炸毀計(jì)算機(jī)中心建筑等。而非暴力形式是利用計(jì)算機(jī)技術(shù)進(jìn)行犯罪活動。

三、信息系統(tǒng)的脆弱性

信息系統(tǒng)本身因?yàn)榇嬖谥恍┐嗳跣?，所以常被非授?quán)用戶不斷利用。他們對信息系統(tǒng)進(jìn)行非法訪問，這種非法訪問使系統(tǒng)中存儲的信息的完整性受到威脅，使信息被修改或破壞而不能繼續(xù)使用，更為嚴(yán)重的是系統(tǒng)中有價(jià)值的信息被非法篡改、偽造、竊取或刪除而不留任何痕跡。另外，計(jì)算機(jī)還易受到各種自然災(zāi)害和各種誤操作的破壞。認(rèn)識了信息系統(tǒng)的這種脆弱性，可以幫助我們找出有效的措施，來保證信息系統(tǒng)的安全。

信息系統(tǒng)的脆弱性主要表現(xiàn)在以下幾個(gè)方面。

1．信息的高密度存儲

在一張軟盤或磁帶中可以存儲大量的信息，而它們又很容易放在口袋中帶出去。這些存儲介質(zhì)也很容易受到意外損壞。不管哪種情況，都會造成大量信息的丟失。另外，存儲介質(zhì)還具有剩磁特點(diǎn)，存儲介質(zhì)中的信息如擦除不干凈或不能完全擦除掉，會留下可讀信息的痕跡，一旦被利用，就會泄密，同時(shí)大多數(shù)系統(tǒng)中，文件的刪除僅僅是刪除文件名，釋放存儲空間，并不是真正將信息全部擦除，利用這一特點(diǎn)，就可以竊得信息。

2．?dāng)?shù)據(jù)的易訪問性

數(shù)據(jù)信息可以很容易地被拷貝下來而不留下任何痕跡，一臺遠(yuǎn)程的終端上的用戶可以通過計(jì)算機(jī)網(wǎng)絡(luò)連接到信息中心的計(jì)算機(jī)上。在一定的條件下，終端用戶可以訪問到系統(tǒng)中的所有數(shù)據(jù)，并可以方便地將其復(fù)制、刪改或破壞。

3．信息的聚集性

當(dāng)信息以小塊的分離的形式出現(xiàn)時(shí)，它的價(jià)值往往不大，但當(dāng)大量信息聚集在一起時(shí)則顯出它的重要性。信息系統(tǒng)的特點(diǎn)之一就是能將大量信息收集在一起，進(jìn)行自動高效的處理，產(chǎn)生很有價(jià)值的結(jié)果，信息的這種聚集性與安全密切相關(guān)。信息系統(tǒng)的目的就是為用戶提供所需要的信息，一些別有用心的人利用這一特點(diǎn)，就會突破系統(tǒng)保護(hù)數(shù)據(jù)所設(shè)置的關(guān)卡，非法取得信息。

4．電磁的泄露性

計(jì)算機(jī)的設(shè)備工作時(shí)，會輻射出電磁波，可以借助一些儀器在一定的范圍里接收到這些電磁波。

5．通信網(wǎng)絡(luò)的弱點(diǎn)

連接信息系統(tǒng)的網(wǎng)絡(luò)有不少弱點(diǎn)，比如通過未受到保護(hù)的外部線路可以竊聽和破壞傳到系統(tǒng)的內(nèi)部數(shù)據(jù)。

四、影響信息系統(tǒng)安全的因素

影響計(jì)算機(jī)安全的因素，可以分為自然因素和人為因素兩大類。

1．自然因素

自然因素是指會對信息系統(tǒng)產(chǎn)生影響的各種自然力，它可以破壞信息系統(tǒng)的實(shí)體，也可以破壞信息。自然因素可以分為自然災(zāi)害、自然損壞、環(huán)境干擾等因素。

自然災(zāi)害：包括失火、地震、風(fēng)暴、洪水、雷擊、靜電等災(zāi)害。

自然損壞：指因系統(tǒng)本身的脆弱性而造成的威脅。例如，元器件失效、設(shè)備故障、軟件故障、設(shè)計(jì)問題、保護(hù)功能差和整個(gè)系統(tǒng)不協(xié)調(diào)等。

環(huán)境干擾：如高低溫沖擊、電壓降低、過壓或過載、震動沖擊、電磁波干擾和輻射干擾等因素。

2．人為因素

人為因素分為無意損壞和有意破壞兩種。

無意損壞：無意損壞是過失性的，是因人的疏忽大意造成的。例如，操作失誤、錯誤理解、無意造成的信息泄露或破壞。

有意破壞：有意破壞是指直接破壞信息系統(tǒng)的設(shè)施或設(shè)備、盜竊資料及信息、非法使用資源、釋放計(jì)算機(jī)病毒、篡改系統(tǒng)功能等。

另外，我們還可以從計(jì)算機(jī)安全治理的角度來劃分，影響計(jì)算機(jī)安全的因素可以分為：自然災(zāi)害、故障、失誤、違紀(jì)、違法、犯罪等。

五、信息系統(tǒng)的安全需求

信息系統(tǒng)的安全需求包括保密性、安全性、完整性、可靠性和可用性以及信息的有效性和合法性。

1．保密性

保密性就是利用密碼技術(shù)對信息進(jìn)行加密處理，以防信息被不合法的用戶使用。信息系統(tǒng)能對信息的存儲、傳輸進(jìn)行加密保護(hù)，所采用的加密算法要有足夠的保密強(qiáng)度，并有有效的密鑰管理措施，在密鑰的產(chǎn)生、存儲、分配、更換、保管、使用和銷毀過程中，密鑰要難以被竊取，即使被竊取也沒有關(guān)系。此外，還要能防止因電磁泄露而造成的信息泄密。

2．安全性

安全性指的是系統(tǒng)的程序和數(shù)據(jù)的安全程度，即防止非法使用和訪問的程度。它分為內(nèi)部安全和外部安全。內(nèi)部安全是信息系統(tǒng)內(nèi)部實(shí)現(xiàn)的，外部安全是在信息系統(tǒng)之外實(shí)現(xiàn)的。

3．完整性

完整性指程序和信息的完整程度，指程序和數(shù)據(jù)是否可以滿足預(yù)定的要求。它是防止系統(tǒng)的程序和數(shù)據(jù)不被非法刪改、復(fù)制和破壞，并保證其真實(shí)性和有效性的一種技術(shù)手段。完整性通常分為軟件完整性和數(shù)據(jù)完整性。

（1）軟件完整性：指軟件要具有唯一標(biāo)識，要拒絕跟蹤；為了防止修改，軟件要有抗分析能力和完整性檢驗(yàn)手段，軟件要進(jìn)行加密處理。

（2）數(shù)據(jù)完整性：是指保證存儲或傳輸?shù)臄?shù)據(jù)不被非法篡改或不被意外事件所破壞，從而使數(shù)據(jù)完整。

4．可靠性和可用性

可靠性即保證系統(tǒng)硬件和軟件無故障或差錯，具有完成指定任務(wù)的能力?？捎眯约幢ＷC合法用戶能正確使用而不出現(xiàn)拒絕訪問或使用，并且要防止非法用戶進(jìn)入系統(tǒng)訪問、竊取系統(tǒng)資源和破壞系統(tǒng)，也要防止合法用戶對系統(tǒng)的非法操作或使用。因此，要使用可靠性保證和故障診斷技術(shù)、識別技術(shù)和訪問控制技術(shù)等。

5．信息的有效性和合法性

信息的接收方應(yīng)能證實(shí)它所收到信息的內(nèi)容和順序都是真實(shí)的，應(yīng)能檢驗(yàn)接收到的信息是否錯誤或是某種信息的重播。信息交換的雙方應(yīng)能對對方的身份進(jìn)行鑒別，以保證收到的信息是由確認(rèn)的對方送過來的。信息的發(fā)送方可以要求對方提供回執(zhí)，但不能否認(rèn)從未發(fā)送過何種信息，信息的接收方不能對收到的信息進(jìn)行任意修改或偽造，也不能抵賴所收到的信息。

六、安全系統(tǒng)的設(shè)計(jì)原則

為了保證信息系統(tǒng)的安全，防止非法入侵對系統(tǒng)進(jìn)行威脅和攻擊，要根據(jù)系統(tǒng)需求進(jìn)行安全設(shè)計(jì)，美國著名的信息系統(tǒng)安全顧問C·C·沃德提出了23條設(shè)計(jì)原則，可作為設(shè)計(jì)依據(jù)和參考。

（1）成本效率原則：追求系統(tǒng)效率最高而成本最低，除軍事設(shè)備外，不應(yīng)用“大炮”去打“蚊子”。

（2）簡單性原則：簡單易行的控制比復(fù)雜控制更有效和更可靠，也更受人歡迎，而且省錢。

（3）超越控制原則：一旦控制失靈（緊急情況下）時(shí)，要采取預(yù)定的控制措施和方法步驟。

（4）公開設(shè)計(jì)與操作原則：保密并不是強(qiáng)有力的安全方式，過分依賴可能會導(dǎo)致控制失靈。對控制的公開設(shè)計(jì)和操作，反而會使信息保護(hù)得以增強(qiáng)。

（5）最小特權(quán)原則：只限于需要才基于這部分特權(quán)，但應(yīng)限定其他系統(tǒng)特權(quán)。

（6）分工獨(dú)立原則：控制、負(fù)責(zé)設(shè)計(jì)、執(zhí)行和操作不應(yīng)該是同一個(gè)人。

（7）設(shè)置陷阱原則：在訪問控制中設(shè)置一種易入的“孔穴”，易引誘某些人進(jìn)行非法訪問，然后將其抓獲。

（8）環(huán)境控制原則：對于環(huán)境控制這類問題，應(yīng)予重視，而不能忽視。

（9）接受能力原則：如果各種控制手段不能為用戶或受這種控制影響的人所接受，控制則無法實(shí)現(xiàn)。因此，采取的控制措施應(yīng)使用戶能夠接受。

（10）承受能力原則：應(yīng)該把各種控制設(shè)計(jì)成可對付最大多數(shù)的威脅，同時(shí)也能對付那些很少遇到威脅的系統(tǒng)。

（11）檢查能力原則：要求各種控制手段能產(chǎn)生充分的證據(jù)，以顯示已完成的操作是正確無誤的。

（12）防御層次原則：要建立多重控制的強(qiáng)有力系統(tǒng)，如信息加密、訪問控制和審計(jì)跟蹤等。

（13）記賬能力原則：無論誰進(jìn)入系統(tǒng)后，對其所作所為一定要負(fù)責(zé)，且系統(tǒng)要予以詳細(xì)登記。

（14）分割原則：把需要保護(hù)的東西分割為幾個(gè)部分，并一一加以保護(hù)，以增強(qiáng)其安全性。

（15）環(huán)狀結(jié)構(gòu)原則：采用環(huán)狀結(jié)構(gòu)的控制方式最保險(xiǎn)。

（16）外圍控制原則：重視“籬笆”和“圍墻”的控制作用。

（17）規(guī)范化原則：控制設(shè)計(jì)要規(guī)范化，建設(shè)成為“可論證的安全系統(tǒng)”。

（18）錯誤拒絕原則：當(dāng)控制出錯時(shí)，必須能完全關(guān)閉系統(tǒng)，以防止受到攻擊。

（19）參數(shù)化原則：使控制方式能隨著環(huán)境的改變予以調(diào)節(jié)。

（20）敵對環(huán)境原則：系統(tǒng)要建設(shè)成為可以抵御最壞的用戶企圖、容忍最差的用戶能力及其他的用戶錯誤。

（21）人為干預(yù)原則：在緊急關(guān)頭或作出重大決策時(shí)，為慎重起見，必須有人為干預(yù)。

（22）隱蔽性原則：對職員和受控對象要隱蔽控制手段或操作的詳情。

（23）安全印象原則：在公眾面前應(yīng)保持一種安全、平靜的形象。

這些安全設(shè)計(jì)原則，對于任何一個(gè)信息系統(tǒng)的開發(fā)、使用、維護(hù)和管理都是十分重要的，具體實(shí)現(xiàn)這些原則，可以通過具體的安全技術(shù)方面來考慮并實(shí)現(xiàn)。

信息系統(tǒng)的安全技術(shù)主要包括以下幾個(gè)方面：

●系統(tǒng)實(shí)體安全。

●系統(tǒng)操作系統(tǒng)安全。

●系統(tǒng)數(shù)據(jù)庫安全。

●系統(tǒng)網(wǎng)絡(luò)安全。