下载掌阅APP,畅读海量书库
立即打开
信息安全涉及的范围很广,大到国家政治、军事等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞都可能威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
信息安全威胁来自方方面面,如计算机病毒、信息泄露、信息完整性被破坏、非法使用、拒绝服务、窃听、假冒、授权侵犯、抵赖、业务流被分析、旁路控制、信息安全法律法规不完善等不胜枚举。归结起来包括以下几个方面。
内部泄密指由于不严谨的企业内部管理,导致内部信息被企业内部人员有意或无意泄露,它是企业数据外泄的最主要原因。互联网已成为企业信息泄露的巨大威胁。在利益的驱动下,员工点击鼠标,复制数据,通过E-mail即可将信息传出。
网络监听工具可以监视和截获网络状态、数据流程以及网络上信息传输。如果黑客获取超级用户权限,登录主机,即可监控网络设备并截获数据。网络窃听指非法用户在未经授权的情况下,通过Sniffer等窃听软件,侦听网络传输信道或服务器、路由器等关键网络设备,通过窃听数据的方法来获得敏感信息。
计算机病毒是一组计算机指令或者程序代码,它通过自我复制对计算机的功能和数据进行破坏,影响计算机的正常运转甚至导致计算机系统瘫痪。计算机病毒因其破坏性而对计算机系统产生巨大威胁。
黑客攻击是通过一定的技术手段进入内部网络,通过扫描系统漏洞,利用系统中安全防护的薄弱环节或系统缺陷,攻击目标主机或窃取其中存储的敏感信息。网络监听、拒绝服务、密码破解、后门程序、信息炸弹等都是黑客常用的攻击方式。
非授权访问指未经系统授权就使用网络或计算机资源,通过各种手段规避系统的访问控制机制,越权对网络设备及资源进行的访问。假冒、身份攻击和非法用户进入网络系统进行非法操作等,这些都是非授权访问的几种常见手段。
病毒感染或者黑客攻击都会导致文件被删除和数据被破坏,从而造成关键信息丢失。信息数据面临的安全威胁来自多个方面。通过对信息数据安全威胁的分析可以知道,造成信息数据丢失的原因主要有软件系统故障(操作系统故障、应用系统故障)、硬件故障、误操作、病毒、黑客、计算机犯罪、自然灾害等。
目前,信息安全还没有统一的定义,不同学者和部门有不同的定义。
有人认为,在技术层次上,信息安全的含义就是保证在客观上杜绝对信息安全属性的安全威胁,使得信息的主人在主观上对其信息的本源性放心。
还有人认为,信息安全是指秘密信息在生产、传输、使用、存储过程中不被泄露或破坏。信息安全所面临的威胁主要包括:利用网络的开放性,采取病毒和黑客入侵等手段渗入计算机系统,进行干扰、篡改、窃取或破坏;利用在计算机CPU芯片或在操作系统、数据库管理系统、应用程序中预先安置从事情报收集、受控激发破坏的程序,来破坏系统或收集和发送敏感信息;利用计算机及其外围设备电磁泄漏,拦截各种情报资料等。
美国国家安全电信和信息系统安全委员会(NSTISSC)对信息安全给出的定义是,对信息、系统以及使用、存储和传输信息硬件的保护。但是要保护信息及其相关系统,如政策、人事、培训和教育以及技术等手段都是必要的。
目前,国内外有关方面的论述大致分为两类:一类是指具体的信息技术系统的安全;另一类则是指某一特定信息体系的安全。但有人认为这两种定义均过于狭窄,信息安全定义应该为:一个国家的社会信息化状态不受外来的威胁与侵害,一个国家的信息技术体系不受外来的威胁与侵害。原因是:信息安全首先应该是一个国家宏观的社会信息化状态是否处于自主控制之下,是否稳定的问题;其次才是信息技术安全的问题。
总之,信息安全是指保护信息网络中的硬件、软件及其系统中的数据,使之不受偶然的或者恶意的原因而遭到破坏、更改和泄露,保证系统可靠、不间断地正常运行,信息服务不中断。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。
信息安全是涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的一门综合性学科。
信息安全的发展与信息技术的发展和用户的需求密不可分,它大致分为通信安全、信息安全和信息保障(Information Assurance, IA)3个发展阶段,即保密→保护→保障3个发展阶段。
(1)通信安全(COMSEC)。本阶段开始于20世纪40年代,主要目的是保障传递信息的安全,防止信源、信宿以外的对象查看到信息。1948年,香农发表了具有划时代意义的论文——《通信的数学理论》( A Mathematical Theory of Communication )。香农指出,所有的通信信息都可以编码成数字1和0传输出去,接收后再进行解码,也就是说,任何信息都可以将其数字化,信息一旦数字化就可以实现通信的无损传输。香农的这一理论描绘了信息数字化的蓝图,奠定了现代通信工程学的基础。
(2)信息安全(INFOSEC)。20世纪70年代以后,计算机软硬件技术、网络技术快速发展,这种环境下的信息安全可以归纳为对信息系统的保护,是针对信源、信宿之间的传递活动进行的。随着信息数字化的急速发展,信息的传播速度和信息传播的容量得到极快的提高,但同时也给人们带来了前所未有的问题与困惑,如黑客问题、信息战、病毒的传播等。
(3)信息保障(IA)。这是世界各国信息安全发展的最新阶段。进入20世纪90年代,随着互联网的飞速发展,安全不再局限于对信息的静态保护,而需要对整个信息和信息系统进行保护和防御。我国信息安全国家重点实验室对“信息保障”给出了以下定义:“信息保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。它运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力,在信息和系统生命周期全过程的各状态下,保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、保密性、可控性、不可否认性等安全属性,从而保障应用服务的效率和效益,促进信息化的可持续健康发展。”由此可见,信息保障是主动、持续的手段和方法。
信息安全的基本属性主要包括以下5个方面。
保密性就是保证信息为授权者享用而不泄露给未经授权者。保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄露给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。常用的保密技术包括防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、信息加密(在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)和物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露)。
完整性就是保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成以及正确存储和传输。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击、计算机病毒等。保障网络信息完整性的主要方法:一是协议,即通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段;二是纠错编码方法,由此完成检错和纠错功能,最简单和常用的纠错编码方法是奇偶校验法;三是密码校验和方法,它是抗篡改和传输失败的重要手段;四是数字签名,即保障信息的真实性;五是公证,即请求网络管理或中介机构证明信息的真实性。
可用性就是保证信息和信息系统随时为授权者提供服务,保证合法用户对信息和资源的使用不会被不合理地拒绝。可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的,有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性应满足以下要求,包括身份识别与确认、访问控制(对用户的权限进行控制,只能访问相应权限的资源,防止或限制经隐蔽通道的非法访问,如自主访问控制和强制访问控制)、业务流控制(利用均分负荷方法,防止业务流量过度集中而引起网络阻塞)、路由选择控制(选择那些稳定可靠的子网、中继线或链路等)和审计跟踪(把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中,以便分析原因,分清责任,及时采取相应的措施。审计跟踪的信息主要有事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息)。
可控性就是出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯。可控性的实施需要明确几个条件:一是可知性,即当事人有权知道将发生什么;二是可预测性,有某种方法可以预测结果;三是可操作性,即当事人有方法控制并调节对象;四是时间性,即在某一时期对象是可控的,而在另一时期对象可能就是不可控的;五是空间性,即在某一空间范围内对象是可控的,而在另一空间范围内对象可能就是不可控的;六是等级性,即在某一等级对象是不可控的,如果在上一级,对象可能就是可控的;七是授权性,即当事人必须给予一定的权利,也就是要干什么、管理什么、负责什么;八是明确性,即对象可确定、可计量、可操作,当事人的权限也可界定等。
不可否认性就是人要为自己的信息行为负责,提供保证社会依法管理需要的公证、仲裁信息证据。不可否认性又称为抗抵赖性,即由于某种机制的存在人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在互联网电子环境下,可以通过数字证书机制进行的数字签名和时间戳,保证信息的抗抵赖。不可否认性的目的是为解决有关事件或行为是否发生过纠纷,而对涉及被声称事件或行为不可辩驳的证据进行收集、维护和使其可用,并且证实。与其他安全服务一样,不可否认性服务只对特定应用在一个确定的安全策略上下文背景下才能被提供。与不可否认相联系的事件序列可分为5个不同的行动阶段,即服务请求、证据产生、证据传递储存、证据验证和纠纷解决。
总之,信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。除了上述信息安全的5个属性外,还有信息安全的可审计性、可鉴别性等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。
本节将介绍信息安全体系结构、信息安全管理体系、信息安全测评认证体系和信息安全研究体系。
ISO 7498标准是目前国际上普遍遵循的计算机信息系统互连标准,1989年12月ISO颁布了该标准的第二部分,即ISO 7498-2标准,并首次确定了开放系统互连(OSI)参考模型的信息安全体系结构。我国将其作为国家标准,并予以执行。下面就来详细介绍ISO 7498标准,其中包括了五大类安全服务以及提供这些服务所需要的八大类安全机制。
安全服务是由参与通信的开放系统的某一层所提供的服务,它确保了该系统或数据传输具有足够的安全性。ISO 7498-2确定了五大类安全服务,即鉴别、访问控制、数据保密性、数据完整性和不可否认。
(1)鉴别。这种安全服务可以鉴别参与通信的对等实体和数据源,包括对等实体鉴别和数据源鉴别。
(2)访问控制。这种安全服务提供的保护,能够防止未经授权而利用通过OSI可访问的资源。这些资源可能是通过OSI协议可访问的OSI资源或非OSI资源。这种安全服务可用于对某个资源的各类访问(通信资源的利用,信息资源的阅读、书写或删除,处理资源的执行等)或用于对某个资源的所有访问。
(3)数据保密性。这种安全服务能够提供保护,以防止数据未经授权而泄露,包括连接保密性、无连接保密性、选择字段保密性和业务流保密性。
(4)数据完整性。这种安全服务用于对付主动威胁,包括带恢复的连接完整性、不带恢复的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。
(5)不可否认。其包括带数据源证明的不可否认和带递交证明的不可否认。
ISO 7498-2确定了八大类安全机制,即加密、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制。
(1)加密。其包括保密性、加密算法和密钥管理几个部分。
(2)数字签名机制。这种安全机制决定于两个过程,即对数据单元签名和验证已签名的数据单元。第一个过程可以利用签名者私有的(即独有和保密的)信息,第二个过程则要利用公之于众的规程和信息,但通过它们并不能推出签名者的私有信息。
(3)访问控制机制。确定访问权,建立多个限制手段,访问控制在数据源或任何中间点用于确定发信者是否被授权与收信者进行通信,或被授权可以利用所需要的通信资源。
(4)数据完整性机制。一是数据完整性机制的两个方面,即单个的数据单元或字段的完整性以及数据单元串或字段串的完整性;二是确定单个数据单元的完整性;三是编序形式;四是保护形式。
(5)鉴别交换机制。这种安全机制是通过信息交换以确保实体身份的一种机制。
(6)业务填充机制。这是一种制造假的通信实例、产生欺骗性数据单元或在数据单元中产生假数据的安全机制。该机制可用于提供对各种等级的保护,以防止业务分析。该机制只有在业务填充受到保密性服务保护时才有效。
(7)路由控制机制。其包括路由选择、路由连接和安全策略。
(8)公证机制。保证由第三方公证人提供,公证人能够得到通信实体的信任,而且可以掌握按照某种可证实方式提供所需保证的必要信息。每个通信场合都可以利用数字签名、加密和完整性机制以适应公证人所提供的服务。在用到这样一个公证机制时,数据便经由受保护的通信场合和公证人在通信实体之间进行传送。
信息安全的建设是一个系统工程,它需要对整个网络中的各个环节进行统一的综合考虑,规划和构架,并要时时兼顾组织内不断发生的变化。任何单个环节上的安全缺陷都会对系统的整体安全构成威胁。据权威机构统计表明,信息安全事件中有70%以上的问题都是由管理方面的原因造成的,这正应了人们常说的“三分技术,七分管理”的箴言。
信息安全=信息安全技术+信息安全管理体系
1995年ISO制定了《信息安全管理体系标准》,2000年12月国际标准化组织将其第一部分正式转化为国际标准。该标准提供了127种安全控制指南,并对计算机网络与信息安全的控制措施做出了详尽的描述。具体说来,该标准的内容主要包括信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等。
信息安全管理框架的搭建必须按照下面的程序来进行:
①定义信息安全政策。
②定义信息安全管理体系的范围。
③进行信息安全风险评估。
④信息安全风险管理。
⑤确定管制目标和选择管制措施。
⑥准备信息安全适用性声明。
信息安全管理体系管理框架的建设只是建设信息安全管理体系的第一步。在具体实施信息安全管理体系的过程中,还必须充分考虑其他方方面面的因素,如实施的各项费用因素、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。
在信息安全管理体系建设和实施的过程中,还必须建立起各种相关的文档、文件,如信息安全管理体系管理范围中所规定的文档内容、对管理框架的总结、在信息安全管理体系管理范围内规定的管制采取过程、信息安全管理体系管理和具体操作过程等。文档可以以各种形式保存,但必须划分为不同的等级或类型。同时,为了今后信息安全认证工作的顺利进行,文档还必须能够非常容易地被指定的第三方访问和理解。
必须对实施信息安全管理体系(ISMS)过程中发生的各种与信息安全有关的事件进行全面记录。安全事件的记录对高效实现ISMS具有很重要的作用,它为组织进行信息安全政策的定义、安全管制措施的选择等修正提供了现实的依据。安全事件记录还必须清晰,并进行适当保存以及加以维护,使得当记录被破坏、损坏或丢失时能够容易地挽救。
信息技术安全性评估通用准则,通常简称为通用准则(CC),它是评估信息技术产品和系统安全特性的基础准则。此标准是现阶段最完善的信息技术安全性评估标准,我国也将采用这一标准对产品、系统和系统方案进行测试、评估和认可。通用准则内容分为3部分:第1部分是“简介和一般模型”;第2部分是“安全功能要求”;第3部分是“安全保证要求”。
1995年,CC项目组成立了代国际互认工作组,该工作组于1997年制定了过渡性CC互认协定。同年10月,美国的NSA和NIST、加拿大的CSE以及英国的CESG签署了该协定。1998年5月德国的GISA、法国的SCSSI也签署了此协定。由于当时是依照了CC1.0版,因此互认的范围也就限于评估保证级1~3。
1999年10月澳大利亚和新西兰的DSD也加入了CC互认协定。此时互认范围已发展为评估保证级1~4,但证书发放机构还限于政府机构。
2000年,荷兰、西班牙、意大利、挪威、芬兰、瑞典和希腊等国也加入了该互认协定,日本、韩国、以色列等国也正在积极准备加入此协定。目前的证书发放机构已不再限于政府机构,非政府的认证机构也可以加入此协定,但必须有政府机构的参与或授权。
从目前已建立的CC信息安全测评认证体系的有关国家来看,每个国家都具有自己的国家信息安全测评认证体系,而且基本上都成立了专门的信息安全测评认证机构,并由认证机构管理通过了实验室认可的多个CC评估/测试实验室,认证机构一般受国家安全或情报部门和国家标准化部门控制。归纳起来,常见的组织结构如图2-1所示。在这样的组织结构中,认证机构在国家安全主管部门的监管和国家技术监督主管部门的认可/授权下,负责对安全产品实施评估和认证,并颁发认证证书。认证机构作为公正的第三方,它的存在对于规范信息安全市场、强化产品生产者和使用者的安全意识都将起到积极的作用。
图2-1 信息安全测评认证机构
目前,基于CC的信息安全测评认证体系如图2-2所示。
图2-2 信息安全测评认证体系
2002年4月3日,国家信息安全测评认证体系工作组成立暨第一次工作会议在北京召开,16个部门的专家和领导参加了会议。这标志着国家信息安全认证体系的建立。随后,研究小组的成员讨论并初步确定了国家信息安全认证体系框架初稿。
中国国家信息安全测评认证中心是经国家授权,依据国家认证的法律、法规和信息安全管理的政策,并按照国际通用准则建立的中立技术机构。它代表国家对信息技术、信息系统、信息安全产品以及信息安全服务的安全性实施测试、评估和认证,为社会提供相关的技术服务,为政府有关主管部门的信息安全行政管理和行政执法提供必要的技术支持。“中华人民共和国国家信息安全证”是国家对信息安全技术、产品或系统安全质量的最高认可。中国国家信息安全测评认证中心开展4种认证业务,即产品型号认证、产品认证、信息系统安全认证及信息安全服务认证。
信息安全领域人们所关注的焦点主要有以下几个方面,即密码理论与技术、安全协议理论与技术、安全体系结构理论与技术、信息对抗理论与技术以及网络安全与安全产品。
密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形、量子密码、基于生物特征的识别理论与技术)。
安全协议研究主要包括两方面内容,即安全协议的安全性分析方法研究和各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类:一类是攻击检验方法;另一类是形式化分析方法。其中形式化分析是安全协议研究中最关键的研究问题之一。
安全体系结构理论与技术主要包括:安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,符合这些模型、策略和准则系统的研制(如安全操作系统、安全数据库系统等)。
信息对抗理论与技术主要包括黑客防范体系、信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、计算机病毒、人工免疫系统在反病毒和抗入侵系统中的应用等。
网络安全是信息安全中的重要研究内容之一,也是当前信息安全领域中的研究热点。研究内容包括网络安全整体解决方案的设计与分析、网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护,免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它涉及网络、操作系统、数据库、应用系统、人员管理等方面。
密码学是一个古老的学科,其历史可以追溯到公元前5世纪希腊城邦为对抗奴役和侵略,与波斯发生多次冲突和战争。由于军事和国家安全的需要,密码学的研究从未间断。
很久以前人们便想尝试通过秘密的文字来传递信息,最早的安全事件出现在当时的凯撒时期,当时由于通信泄露导致军队的溃败成为史料记载的第一次信息安全事件,随后凯撒发布了自己的加密方法,即使用单表加密体制,这被称为密码学的第一个起源,之后由于单表密码通过概率的方式极其容易就被破解,16世纪时,亨利3世改进了单表加密的凯撒密码体制,形成了维吉尼亚密码体制,这以后密码正式进入了多表密码体制的时代。
在美国南北战争时期,多表替代体制大放异彩,Vigenere密码和Beaufort密码是多表代替密码的典型例子。与此同时,密码破译技术也在飞速进步,W.Firedman在1918年所做的使用重合指数破译多表密码成为密码学上的里程碑,随后各国军方对此进行深入研究,一度使得当时世界的密码体制遭到冲击,在1949年C.Shannon的《保密系统的通信理论》发表在了《贝尔系统》杂志上,一方面把密码学从艺术提升到了科学,另一方面也标志着表替代体制密码的结束。在C.Shannon的文章发表之后的25年内,密码学的公开研究几乎是空白,整个信息安全界的发展也只有军方在秘密进行。
20世纪40-60年代初,电子计算机出现后,因为其体积较大,不易安置,碰撞或搬动过程中容易受损。因此,人们较关心其硬件安全。
直到20世纪70年代中期密码学才开始真正蓬勃发展起来。另外,互联网的崛起也刺激了网络安全的研究。这个时期的研究包括以下几个方面。
(1)在密码理论与技术研究方面。1976年公钥密码思想被提出,比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。在20世纪70年代中期Diffie-Hellman率先提出公钥密码的构想,他认为一个密钥进行加解密的这种方式安全性远远不能达到之后人们的需求,之后由Ron Rivest、Adi Shamir和Len Adleman三人开创了RSA算法为公钥密码体制打下了坚实的基础。
(2)在安全体系结构理论与技术研究方面。20世纪70年代,ARPANET开始流行并投入使用,并且其使用呈无序的趋势。1973年12月,Robert M.Bob Metcalfe指出ARPANET存在的几个基本问题,单独的远程用户站点没有足够的控制权和防卫措施来保护数据免受授权的远程用户的攻击。20世纪70年代安全体系结构理论的计算机保密模型(Bell-La Padula模型)被提出。
(3)20世纪70-80年代为标志《可信计算机评估准则》(TCSEC)。在20世纪60年代后,人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段,主要保证动态信息在传输过程中不被窃取,即使窃取了也不能读出正确的信息;还要保证数据在传输过程中不被篡改,让读取信息的人能够看到正确无误的信息。1977年美国国家标准局(NBS)公布的国家数据加密标准(DES)和1983年美国国防部公布的可信计算机系统评价准则(Trusted Computer System Evaluation Criteria, TCSEC,俗称橘皮书,1985年再版)标志着解决计算机信息系统保密性问题的研究和应用迈上了历史的新台阶。
20世纪80年代末,国际互联网的逐渐普及,安全保密事件频频发生,既有“硬破坏”,也有“软破坏”。因而,这一阶段的计算机安全不但重视硬件,而且也重视软件和网络;不但注重系统的可靠性和可用性,而且因使用者多数是涉密的军事和政府部门,因此也非常关注系统的保密性。这个时期的研究和关注点包括以下几个方面。
(1)在密码理论与技术研究方面。20世纪80年代后期,认证码研究在其构造和界的估计等方面取得了长足的发展。身份识别研究有两类:一类是1984年Shamir提出的基于身份的识别方案;另一类是1986年Fiat等人提出的零知识身份识别方案。80年代中期到90年代初,序列密码研究成为热点,在序列密码的设计与生成以及分析方面出现了一大批有价值的成果。
(2)在安全协议理论与技术研究方面。80年代初安全协议的形式化分析方法起步,随着各种有效方法及思想的不断涌现,目前这一领域在理论上正在走向成熟。研究成果主要集中在基于推理知识和信念的模态逻辑、基于状态搜索工具和定理证明技术、基于新的协议模型发展证明正确性理论等3个方面。
(3)在安全体系结构理论与技术研究方面。80年代中期,美国国防部制定了“可信计算机系统安全评价准则”(TCSEC),其后又对网络系统、数据库等方面做出了系列安全解释,形成了安全信息系统体系结构的最早原则。
(4)在信息对抗理论与技术研究方面。1988年“蠕虫事件”和计算机系统Y2k问题让人们开始重视信息系统的安全。
20世纪90年代,伴随着计算机及其网络的广泛应用,诸多安全事件暴露了计算机系统的缺陷,这使计算机科学家和生产厂商意识到,如果不堵住计算机及网络自身的漏洞,犯罪分子将乘虚而入,不但造成财产上的损失,而且将严重阻碍计算机技术的进一步发展和应用。这个时期的研究和关注点包括以下几个方面。
(1)在密码理论与技术研究方面。法国是第一个制定数字签名法的国家,其他国家也正在实施之中。1993年美国提出的密钥托管理论和技术、国际标准化组织制定的X.509标准以及麻省理工学院开发的Kerberos协议等。美国在1977年制定了数据加密标准,但1997年6月17日被攻破。随后制定和评估新一代数据加密标准(称为AES)。欧洲和日本也启动了相关标准的征集和制定工作。
(2)在安全协议理论与技术研究方面。目前,已经提出了大量的实用安全协议,如电子商务协议、IPSec协议、TLS协议、简单网络管理协议(SNMP)、PGP协议、PEM协议、S-HTTP协议以及S/MIME协议等。
(3)在安全体系结构理论与技术研究方面。20世纪90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC),但是该准则中并没有给出综合解决以上问题的理论模型和方案。六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出“信息技术安全评价通用准则”(CC for ITSEC)。CC标准于1999年7月通过国际标准化组织认可,编号为ISO/IEC 15408。
(4)在信息对抗理论与技术研究方面。黑客利用分布式拒绝服务方法攻击大型网站,导致网络服务瘫痪。计算机病毒和网络黑客攻击技术已经成为新一代军事武器。
进入21世纪,密码理论研究有了一些突破,安全体系结构理论更加完善,信息对抗理论的研究尚未形成系统,网络安全与安全产品丰富多彩。这个时期的研究包括以下几个方面。
(1)在密码理论与技术研究方面。目前国际上对非数学的密码理论与技术(包括信息隐形、量子密码、基于生物特征的识别理论与技术等)非常关注。信息隐藏将在未来网络中保护信息免于破坏起到重要作用,信息隐藏是网络环境下把机密信息隐藏在大量信息中不让对方发觉的一种方法。特别是图像叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引起人们的重视。近年来,英、美、日等国的许多大学和研究机构竞相投入到量子密码的研究之中,更大的计划在欧洲进行。西方国家不仅在密码基础理论方面的研究做得很好,而且在实际应用方面也做得非常好。制定了一系列的密码标准,特别是规范。
(2)在安全体系结构理论与技术研究方面。至今美国已研制出达到TCSEC要求的安全系统(包括安全操作系统、安全数据库、安全网络部件)多达100多种,但这些系统仍有其局限性,还没有真正达到形式化描述和证明的最高级安全系统。
(3)在信息对抗理论与技术研究方面。该领域正处在发展阶段,理论和技术都还很不成熟,也比较零散。但它的确是一个研究热点。目前的成果主要是一些产品(如IDS、防范软件、杀病毒软件等)。除攻击程序和黑客攻击外,当前该领域最引人瞩目的问题是网络攻击,美国在防网络攻击方面处于国际领先地位。该领域的另一个比较热门的问题是入侵检测与防范。这方面的研究相对比较成熟,也形成了系列产品。
(4)在网络安全与安全产品研究方面。目前,在市场上比较流行且又能够代表未来发展方向的安全产品大致有:防火墙、安全路由器、虚拟专用网、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统(IDS)、安全数据库及安全操作系统。
(5)进入21世纪的信息安全保障时代,其主要标志是建立并出版了《信息保障技术框架》(IATF)。如果说对信息的保护主要还是处于从传统安全理念到信息化安全理念的转变过程中,那么面向业务的安全保障就完全是从信息化的角度来考虑信息安全了。体系性的安全保障理念,不仅是关注系统的漏洞,而且是从业务的生命周期着手对业务流程进行分析,找出流程中的关键控制点,从安全事件出现的前、中、后3个阶段进行安全保障。面向业务的安全保障不是只建立防护屏障,而是建立一个深度防御体系,通过更多的技术手段把安全管理与技术防护联系起来,不再是被动地保护自己,而是主动地防御攻击。也就是说,面向业务的安全防护已经从被动走向主动,安全保障理念从风险承受模式走向安全保障模式。信息安全阶段也转化为从整体角度考虑其体系建设的信息安全保障时代。
早年我国的密码学应用研究主要集中在军事领域和国家安全部门。20世纪80年代中期,有些部门开始注意计算机电磁辐射造成泄密问题,并将国外“计算机安全(Computer Security)”一词引入我国。
1986年中国计算机学会计算机安全专业委员会正式开始活动,以及1987年国家信息中心信息安全处的成立,都从一个侧面反映了中国计算机安全事业的起步。
这个阶段的典型特征是国家尚没有相关的法律法规,没有较完整意义的专门针对计算机系统安全方面的规章,安全标准也少,还谈不上国家的统一管理,只是在物理安全及保密通信等个别环节上有些规定;广大应用部门也基本上没有意识到计算机安全的重要性,只在个别部门和部门的少数有计算机安全的意识的人开始在实际工作中进行摸索。
在此阶段计算机安全的主要内容就是实体安全;20世纪80年代后期开始了防计算机病毒及计算机犯罪的工作,但都没有形成规模。
20世纪90年代初,世界信息技术革命使许多国家把信息化作为国策,美国“信息高速公路”等政策也让中国意识到了信息化的重要性,在此背景下我国信息化开始进入较快发展期,中国的计算机安全事业开始起步。
我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段。安全体系的构建和评估,通过学习、吸收、消化TCSEC准则进行了安全操作系统、多级安全数据库的研制。另外,国内一些部门开发研制防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描等方面软件,但还与国外产品存在很大差距。
在这个阶段,一个典型的标志就是关于计算机安全的法律法规开始出现——1994年公安部颁布了《中华人民共和国计算机信息系统安全保护条例》。另一个中国安全产业起步的重要标志是,在这个时期中,许多企事业单位开始把信息安全作为系统建设中的重要内容之一来对待,加大了投入,开始建立专门的安全部门来开展信息安全工作。
从90年代开始,一些学校和研究机构开始将信息安全作为大学课程和研究课题,安全人才的培养开始起步,这也是中国安全产业发展的重要标志。
20世纪90年代后期到21世纪,我国信息安全的研究发展很快,但还很不平衡。有些方面达到了世界先进水平,有些方面依然存在很大的距离。
(1)在密码理论与技术研究方面。我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究的一个热点,包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。我国学者在序列密码方面的研究很不错。在密钥管理方面也做了一些跟踪研究,按照X.509标准实现了一些CA。在认证码方面的研究也很出色。在密码基础理论的某些方面的研究做得很好,但在实际应用方面与国外的差距较大,没有自己的标准,也不规范。目前我国在密码技术的应用水平方面与国外还有一定的差距。
(2)在安全协议理论与技术研究方面。虽然在理论研究方面和国际上已有协议的分析方面做了一些工作,但在实际应用方面与国际先进水平还有一定的差距。
(3)在安全体系结构理论与技术研究方面。我国与先进国家和地区存在很大差距。近几年来,在我国进行了安全操作系统、安全数据库、多级安全机制的研究。大部分有关的工作都以美国1985年的TCSEC标准为主要参照系。1999年10月发布了《计算机信息系统安全保护等级划分准则》。
(4)在信息对抗理论与技术研究方面。国内在入侵检测与防范方面的研究很不错,并形成了相应的产品。我国民间和研究机构就攻击程序和黑客攻击进行了一些非系统零散的研究。网络攻击研究刚刚起步,与国际水平尚有差距。
(5)在网络安全与安全产品研究方面。网络安全的解决是一个综合性问题,涉及诸多因素,包括技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品,但由于出口政策和自主性等原因,不能直接用于解决我国自己的网络安全问题,因此我国的网络安全只能借鉴这些先进技术和产品自行解决。可喜的是,目前国内已有一些网络安全解决方案和产品,不过这些解决方案和产品与国外同类产品相比尚有一定的差距。
2-1 什么是信息安全威胁?
2-2 什么是信息安全?
2-3 信息安全有哪几个属性?
2-4 信息安全发展经过几个阶段?
2-5 中国信息安全经过几个阶段?
1936年,阿兰·图灵提出了一种抽象的计算模型——图灵机(Turing Machine),见图3-1。图灵的基本思想是用机器来模拟人们用纸笔进行数学运算的过程,他把这样的过程构造出一台假想的机器,该机器由以下几个部分组成。
图3-1 图灵模型
(1)一条无限长的纸带(Tape)。纸带被划分为一个接一个的小格子,每个格子上包含一个来自有限字母表的符号,字母表中有一个特殊的符号,表示空白。纸带上的格子从左到右依次被编号为0,1,2,…,纸带的右端可以无限伸展。
(2)一个读写头(Head)。该读写头可以在纸带上左右移动,它能读出当前所指格子上的符号,并能改变当前格子上的符号。
(3)一套控制规则(Table)。它根据当前机器所处的状态以及当前读写头所指格子上的符号来确定读写头下一步的动作,并改变状态寄存器的值,令机器进入一个新的状态。
(4)一个状态寄存器。它用来保存图灵机当前所处的状态。图灵机的所有可能状态的数目是有限的,并且有一个特殊的状态,称为停机状态。
这个机器的每一部分都是有限的,但它有一个潜在的无限长的纸带,因此这种机器只是一个理想的设备。图灵认为,这样的一台机器就能模拟人类所能进行的任何计算过程。
20世纪30年代中期,美籍科学家冯·诺依曼大胆地提出:抛弃十进制,采用二进制作为数字计算机的数制基础。同时,他还说预先编制计算程序,然后由计算机来按照人们事前制定的计算顺序来进行数值计算工作。人们把冯·诺依曼的这个理论称为冯·诺依曼体系结构,也称为普林斯顿体系结构。从ENIAC到当前最先进的计算机都采用的是冯·诺依曼体系结构。所以冯·诺依曼是当之无愧的“电子计算机之父”。
冯·诺依曼结构处理器具有以下几个特点:①必须有一个存储器;②必须有一个控制器;③必须有一个运算器,用于完成算术运算和逻辑运算;④必须有输入设备和输出设备,用于进行人机通信。另外,程序和数据统一存储并在程序控制下自动工作。
为了完成上述功能,计算机必须具备五大基本组成部件,包括:输入数据和程序的输入设备;记忆程序和数据的存储器;完成数据加工处理的运算器;控制程序执行的控制器;输出处理结果的输出设备。
计算机系统包括硬件系统和软件系统两大部分。硬件是指组成计算机的各种物理设备,由五大功能部件组成,即运算器、控制器、存储器、输入设备和输出设备,如图3-2所示。这五大部分相互配合,协同工作。
图3-2 五大功能部件
其工作原理为:首先由输入设备接收外界信息(程序和数据),控制器发出指令将数据送入(内)存储器,然后向内存储器发出取指令命令。在取指令命令下,程序指令逐条送入控制器。控制器对指令进行译码,并根据指令的操作要求向存储器和运算器发出存数、取数命令和运算命令,经过运算器计算并把计算结果存储在存储器内。最后在控制器发出的取数和输出命令的作用下,通过输出设备输出计算结果。
主机指计算机用于放置主板及其他主要部件的容器(Mainframe),通常包括CPU、内存、硬盘、光驱、电源以及其他输入输出控制器和接口,如USB控制器、显卡、网卡、声卡等。位于主机箱内的部件通常称为内设,而位于主机箱之外的部件通常称为外设(如显示器、键盘、鼠标、外接硬盘、外接光驱等),见图3-3。
计算机主机的组成部分如下。
(1)机箱,装主机配件的箱子,没有机箱不影响使用。
(2)电源,主机供电系统,没有电源不能使用。
(3)主板,连接主机各个配件的主体,没有主板主机不能使用。
(4)CPU,主机的心脏,负责数据运算。不可缺少,属于重要设备。
图3-3 计算机主机
(5)内存,存储主机调用文件,不可缺少。
(6)硬盘,主机的存储器,独立主机不可缺少。
(7)声卡,某些主板集成。
(8)显卡,某些主板集成,显示器控制。
(9)网卡,某些主板集成,没有网卡计算机无法访问网络,是联络其他主机的渠道。
(10)光驱,没有光驱,主机无法读取光碟上的文件。
(11)一些不常用设备,如视频采集卡、电视卡、SCSI卡等。
外部设备简称“外设”,是指连在计算机主机以外的硬件设备。对数据和信息起着传输、转送和存储的作用,是计算机系统中的重要组成部分。按照功能的不同,大致可以分为输入设备、显示设备、打印设备等,见图3-4。
图3-4 外部设备
(1)键盘、鼠标,是人或外部与计算机进行交互的一种装置,用于把原始数据和处理这些数据的程序输入到计算机中。
(2)显示器,是计算机的输出设备之一,它可以显示操作和计算结果。目前计算机显示设备主要有CRT显示器、LCD显示、等离子显示器和投影机。
(3)打印机,也是计算机的输出设备之一,它将计算机的运算结果或中间结果以人所能识别的数字、字母、符号和图形等,依照规定的格式印在纸上的设备。
系统总线,又称内总线或板级总线,是用来连接微机各功能部件而构成一个完整微机系统。系统总线上传送的信息包括数据信息、地址信息、控制信息。因此,系统总线包含有3种不同功能的总线,即数据总线(Data Bus, DB)、地址总线(Address Bus, AB)和控制总线(Control Bus, CB),见图3-5。
图3-5 系统总线
CPU通过系统总线对存储器的内容进行读、写,同样通过总线,实现将CPU内数据写入外设或由外设读入CPU。总线就是用来传送信息的一组通信线。微型计算机通过系统总线将各部件连接到一起,实现了微型计算机内部各部件间的信息交换。一般情况下,CPU提供的信号需经过总线形成电路形成系统总线。系统总线按照传递信息的功能来分,可分为地址总线、数据总线和控制总线。这些总线提供了微处理器(CPU)与存储器、输入输出接口部件的连接线。可以认为,一台微型计算机就是以CPU为核心,其他部件全“挂接”在与CPU相连接的系统总线上。
(1)数据总线DB。用于传送数据信息。数据总线是双向三态形式的总线,既可以把CPU的数据传送到存储器或输入输出接口等其他部件,也可以将其他部件的数据传送到CPU。数据总线的位数是微型计算机的一个重要指标,通常与微处理器的字长相一致。例如,Intel 8086微处理器字长16位,其数据总线宽度也是16位。需要指出的是,数据的含义是广义的,它可以是真正的数据,也可以指令代码或状态信息,有时甚至是一个控制信息,因此,在实际工作中数据总线上传送的并不一定仅仅是真正意义上的数据。
(2)地址总线AB。它是专门用来传送地址的,由于地址只能从CPU传向外部存储器或输入输出端口,所以地址总线总是单向三态的,这与数据总线不同。地址总线的位数决定了CPU可直接寻址的内存空间大小,比如8位微机的地址总线为16位,则其最大可寻址空间为2 16 =64KB,16位微型机的地址总线为20位,其可寻址空间为2 20 =1MB。
(3)控制总线CB。用来传送控制信号和时序信号。控制信号中,有的是微处理器送往存储器和输入输出接口电路的,如读/写信号、片选信号、中断响应信号等;也有的是其他部件反馈给CPU的,如中断申请信号、复位信号、总线请求信号、设备就绪信号等。因此,控制总线的传送方向由具体控制信号而定,一般是双向的,控制总线的位数要根据系统的实际控制需要而定。实际上,控制总线的具体情况主要取决于CPU。
中央处理器(Central Processing Unit, CPU)是一台计算机的运算核心和控制核心。CPU、内部存储器和输入输出设备是电子计算机三大核心部件。其功能主要是解释计算机指令以及处理计算机软件中的数据。CPU由运算器、控制器和寄存器及实现它们之间联系的数据、控制及状态的总线构成。几乎所有的CPU的运作原理可分为4个阶段,即提取(Fetch)、解码(Decode)、执行(Execute)和写回(Writeback)。CPU从存储器或高速缓冲存储器中取出指令,放入指令寄存器,并对指令译码、执行指令。计算机的可编程性主要是指对CPU的编程。
CPU从存储器或高速缓冲存储器中取出指令,放入指令寄存器,并对指令译码。它把指令分解成一系列的微操作,然后发出各种控制命令,执行微操作系列,从而完成一条指令的执行。指令是计算机规定执行操作的类型和操作数的基本命令。指令是由一个字节或者多个字节组成,其中包括操作码字段、一个或多个有关操作数地址的字段以及一些表征机器状态的状态字和特征码。有的指令中也直接包含操作数本身。
CPU包括运算逻辑部件、寄存器部件和控制部件,见图3-6。
(1)运算逻辑部件,可以执行定点或浮点的算术运算操作、移位操作及逻辑操作,也可执行地址的运算和转换。
(2)寄存器部件,包括通用寄存器、专用寄存器和控制寄存器。
(3)控制部件,主要负责对指令译码,并且发出为完成每条指令所要执行的各个操作的控制信号。
图3-6 CPU结构
存储器(Memory)是计算机系统中的记忆设备,用来存放程序和数据。计算机中全部信息,包括输入的原始数据、计算机程序、中间运行结果和最终运行结果都保存在存储器中。它根据控制器指定的位置存入和取出信息。有了存储器,计算机才有记忆功能,才能保证正常工作。按用途存储器可分为主存储器(内存)和辅助存储器(外存),也有分为外部存储器和内部存储器的分类方法。外存通常是磁性介质或光盘等,能长期保存信息。内存指主板上的存储部件,用来存放当前正在执行的数据和程序,但仅用于暂时存放程序和数据,关闭电源或断电数据会丢失。
构成存储器的存储介质,目前主要采用半导体器件和磁性材料。存储器中最小的存储单位就是一个双稳态半导体电路或一个CMOS晶体管或磁性材料的存储元,它可存储一个二进制代码。由若干个存储元组成一个存储单元,然后再由许多存储单元组成一个存储器。一个存储器包含许多存储单元,每个存储单元可存放一个字节(按字节编址)。每个存储单元的位置都有一个编号,即地址,一般用十六进制表示。一个存储器中所有存储单元可存放数据的总和称为存储容量。假设一个存储器的地址码由20位二进制数(即5位十六进制数)组成,则可表示为2 20 ,即1M个存储单元地址。每个存储单元存放一个字节,则该存储器的存储容量为1MB。
存储器的主要功能是存储程序和各种数据,并能在计算机运行过程中高速、自动地完成程序或数据的存取。存储器是具有“记忆”功能的设备,它采用具有两种稳定状态的物理器件来存储信息。这些器件也称为记忆元件。在计算机中采用只有两个数码(“0”和“1”)的二进制来表示数据。记忆元件的两种稳定状态分别表示为“0”和“1”。日常使用的十进制数必须转换成等值的二进制数才能存入存储器中。计算机中处理的各种字符,如英文字母、运算符号等,也要转换成二进制代码才能存储和操作。
根据存储器在计算机系统中的作用,可分为主存储器、辅助存储器、高速缓冲存储器、控制存储器等。为了解决对存储器要求容量大、速度快、成本低三者之间的矛盾,目前通常采用多级存储器体系结构,即使用高速缓冲存储器、主存储器和外存储器,见图3-7。
图3-7 多级存储器体系结构
高速缓存:高速存取指令和数据存取速度快,但存储容量小。
主存储器:内存存放计算机运行期间的程序和数据,其存取速度快,存储容量不大。
外存储器:外存存放系统程序和大型数据文件及数据库,存储容量大,成本低。
按照与CPU的接近程度,存储器分为内存储器与外存储器,简称内存与外存。内存储器又常称为主存储器(简称主存),属于主机的组成部分;外存储器又常称为辅助存储器(简称辅存),属于外部设备。CPU不能像访问内存那样直接访问外存,外存要与CPU或I/O设备进行数据传输,必须通过内存进行。在80386以上的高档微机中,还配置了高速缓冲存储器(Cache),这时内存包括主存与高速缓存两部分。对于低档微机,主存即为内存。
(1)硬盘,是计算机主要的存储介质之一,由一个或者多个铝制或者玻璃制的碟片组成。这些碟片外覆盖有铁磁性材料。绝大多数硬盘都是固定硬盘,被永久性地密封固定在硬盘驱动器中。其物理结构为:磁头是读写合一的电磁感应式磁头;磁道是当磁盘旋转时,磁头若保持在一个位置上,则每个磁头都会在磁盘表面划出一个圆形轨迹;扇区是磁盘上的每个磁道被等分为若干个弧段,每个扇区可以存放512B的信息,磁盘驱动器在向磁盘读取和写入数据时以扇区为单位;每个盘面都被划分为数目相等的磁道,并从外缘的“0”开始编号,具有相同编号的磁道形成一个圆柱,即磁盘柱面。
(2)光盘,以光信息作为存储物的载体,用来存储数据,采用聚焦的氢离子激光束处理记录介质的方法存储和再生信息。激光光盘分不可擦写光盘(如CD-ROM、DVD-ROM等)和可擦写光盘(如CD-RW、DVD-RAM等)。高密度光盘(Compact Disc)是近代发展起来不同于磁性载体的光学存储介质。常见的CD光盘非常薄,只有1.2mm厚,分为5层,包括基板、记录层、反射层、保护层、印刷层等。
(3)U盘,全称“USB闪存盘”,英文名“USB flash disk”。它是一个USB接口的无需物理驱动器的微型高容量移动存储产品,可以通过USB接口与计算机连接,实现即插即用。使用USB接口连到计算机的主机后,U盘的资料可与计算机交换。U盘最大的优点就是小巧便于携带、存储容量大、价格便宜、性能可靠。U盘容量有1GB、2GB、4GB、8GB、16GB、32GB、64GB等。
(4)ROM,是只读内存(Read-Only Memory)的简称,是一种只能读出事先所存数据的固态半导体存储器。其特性是一旦储存资料就无法再将之改变或删除。通常用在不需经常变更资料的电子或计算机系统中,资料不会因为电源关闭而消失。
(5)RAM(随机存取存储器,Random Access Memory),其存储单元的内容可按需随意取出或存入,且存取的速度与存储单元的位置无关的存储器。这种存储器在断电时将丢失其存储内容,故主要用于存储短时间使用的程序。按照存储信息的不同,随机存储器又分为静态随机存储器(Static RAM, SRAM)和动态随机存储器(Dynamic RAM, DRAM)。
1)程序查询方式
这种方式是在程序控制下由CPU与外设之间交换数据。CPU通过I/O指令询问指定外设当前的状态,如果外设准备就绪,则进行数据的输入或输出;否则CPU等待,循环查询。
程序查询方式是一种程序直接控制方式,这是主机与外设间进行信息交换的最简单方式,输入和输出完全是通过CPU执行程序来完成的。一旦某一外设被选中并启动后,主机将查询这个外设的某些状态位,看其是否准备就绪?若外设未准备就绪,主机将再次查询;若外设已准备就绪,则执行一次I/O操作。
这种方式控制简单,但外设和主机不能同时工作,各外设之间也不能同时工作,系统效率很低。因此,仅适用于外设的数目不多,对I/O处理的实时要求不高,CPU的操作任务比较单一且并不很忙的情况。
这种方式的优点是结构简单,只需要少量的硬件电路即可;缺点是由于CPU的速度远远高于外设,因此通常处于等待状态,工作效率很低。
2)中断方式
中断是主机在执行程序过程中,遇到突发事件而中断程序的正常执行,转去对突发事情的处理,待处理完成后返回源程序继续执行。中断过程如下:中断请求、中断响应、中断处理和中断返回。
计算机中有多个中断源,有可能在同一时刻有多个中断源向CPU发出中断请求,这种情况下CPU按中断源的中断优先级顺序进行中断响应。
中断处理方式的优点是显而易见的,它不但为CPU省去了查询外设状态和等待外设就绪所花费的时间,提高了CPU的工作效率,还满足了外设的实时性要求。缺点是对系统的性能要求较高。
3)直接存储器访问方式(DMA)
图3-8 直接存储器访问方式
DMA方式指高速外设与内存之间直接进行数据交换,不通过CPU并且CPU不参加数据交换的控制。工作过程如下:外设发出DMA请求,CPU响应DMA请求,把总线让给DMA控制器,在DMA控制器的控制下通过总线实现外设与内存之间的数据交换,见图3-8。DMA最明显的一个特点是它不是用软件而是采用一个专门的控制器来控制内存与外设之间的数据交流,无须CPU介入,大大提高了CPU的工作效率。
1)输入设备
常用的输入设备有键盘、鼠标、扫描仪等。
(1)键盘的分类。按键盘的键数分,键盘可分为83键、101键盘、104键盘、107键盘等;按键盘的形式分,键盘可分为有线键盘、无线键盘、带托键盘和USB键盘等。
(2)鼠标的分类。按照工作原理,鼠标可分为机械式鼠标、光电式鼠标两类。按鼠标的形式分,鼠标可分为有线鼠标和无线鼠标。
(3)扫描仪的分类。扫描仪通过光源照射到被扫描的材料上来获得材料的图像。扫描仪常用的有台式、手持式和滚筒式3种。分辨率是扫描仪很重要的特征,常见扫描仪的分辨率有300×600、600×1200等。
2)输出设备
常用的输出设备有显示器、打印机等。
(1)显示器。按使用的器件分类可分为阴极射线管显示器(CRT)、液晶显示器(LCD)和等离子显示器;按显示颜色可分为彩色显示器和单色显示器。显示器的主要性能指标有像素、分辨率、屏幕尺寸、点间距、灰度级、对比度、帧频、行频和扫描方式。
(2)打印机。打印机分为针式打印机、喷墨打印机、激光打印机、热敏打印机4种。
3)其他输入输出设备
包括数码相机DC、数码摄像机DV、手写笔、投影机、扫描仪、绘图仪等。
1)接口的功能
使主机和外设能够按照各自的形式传输信息,见图3-9。
图3-9 I/O接口
2)几种接口
(1)显示卡:主机与显示器之间的接口。
(2)硬盘接口:IDE接口、EIDE接口、ULTRA接口和SCSI接口等。
(3)串行接口:COM端口,也称为串行通信接口。
(4)并行接口:是一种打印机并行接口标准。
物理安全是为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密性、完整性、可用性带来的安全威胁,从系统的角度采取的适当安全措施。
物理安全也称为实体安全,是系统安全的前提。硬件设备的安全性能直接决定了信息系统的保密性、完整性、可用性,信息系统所处物理环境的优劣直接影响信息系统的可靠性,系统自身的物理安全问题也会对信息系统的保密性、完整性、可用性带来安全威胁。
物理安全是以一定的方式运行在一些物理设备之上的,是保障物理设备安全的第一道防线。因为物理安全会导致系统存在风险。比如:环境事故造成的整个系统毁灭;电源故障造成的设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄露;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足或失灵可能造成的事故等。
设备安全技术主要指保障构成信息网络的各种设备、网络线路、供电连接、各种媒体数据本身及其存储介质等安全的技术,主要包括设备的防盗、防电磁泄露、防电磁干扰等,是对可用性的要求。
物理环境安全是物理安全的最基本保障,是整个安全系统不可缺少和忽视的组成部分。环境安全技术主要是指保障信息网络所处环境安全的技术,主要技术规范是对场地和机房的约束,强调对于地震、水灾、火灾等自然灾害的预防措施,包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等。
(1)狭义物理安全。传统意义的物理安全包括设备安全、环境安全/设施安全以及介质安全。设备安全的技术要素包括设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性等方面。环境安全的技术要素包括机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗防毁、供配电系统、空调系统、综合布线、区域防护等方面。介质安全的安全技术要素包括介质自身安全以及介质数据安全。以上是狭义物理安全观,也是物理安全的最基本内容。
(2)广义物理安全。广义的物理安全还应包括由软件、硬件、操作人员组成的整体信息系统的物理安全,即包括系统物理安全。信息系统安全体现在信息系统的保密性、完整性、可用性3个方面,从物理层面出发,系统物理安全技术应确保信息系统的保密性、可用性、完整性,如通过边界保护、配置管理、设备管理等等级保护措施保护信息系统的保密性,通过容错、故障恢复、系统灾难备份等措施确保信息系统可用性,通过设备访问控制、边界保护、设备及网络资源管理等措施确保信息系统的完整性。
(1)信息系统物理安全。为了保证信息系统安全可靠地运行,确保信息系统在对信息进行采集、处理、传输、存储过程中,不致受到人为或自然因素的危害,而使信息丢失、泄露或破坏,对计算机设备、设施(包括机房建筑、供电、空调)、环境人员、系统等采取适当的安全措施。
(2)设备物理安全。为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全风险,对硬件设备及部件所采取的适当安全措施。
(3)环境物理安全。为保证信息系统的安全可靠运行所提供的安全运行环境,使信息系统得到物理上的严密保护,从而降低或避免各种安全风险。
(4)介质物理安全。为保证信息系统的安全可靠运行所提供的安全存储的介质,使信息系统的数据得到物理上的保护,从而降低或避免数据存储的安全风险。
物理安全威胁指物理设备及配套部件的安全威胁,而不是软件逻辑上的威胁。物理设备运行在某一个物理环境中。环境不好,对物理设备有威胁,自然会影响其运行效果。物理环境安全是物理安全的最基本保障,是整个安全系统不可缺少和忽视的组成部分。环境安全技术主要是保障物联网系统安全的相关技术。其技术规范是物联网系统运行环境内外(场地和机房)的约束。其环境分为自然环境威胁和人为干扰。自然环境威胁包括地震、水灾、火灾等自然灾害。人为干扰包括静电、雷击、电磁、线路破坏和盗窃等。
1)自然环境威胁
(1)地震。地震灾害具有突发性和不可预测性,并产生严重次生灾害,对机器设备会产生很大影响。但是,破坏性地震发生之前,人们对地震有没有防御,防御工作做得好坏将会大大影响到经济损失的大小和人员伤亡的多少。防御工作做得好,就可以有效地减轻地震的灾害损失。
(2)水灾。水灾指洪水、暴雨、建筑物积水和漏雨等对设备造成的灾害。水灾不仅威胁人民生命安全,也会造成设备的巨大财产损失,并对物联网系统运行产生不良影响。对付水灾,可采取工程和非工程措施以减少或避免其危害和损失。
(3)雷击。雷电会对人和建筑造成危害,而电磁脉冲主要影响电子设备,主要是受感应作用所致。雷击防范的主要措施是,根据电器、微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护;根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多层保护。
(4)火灾。火灾是指在时间和空间上失去控制的燃烧所造成的灾害。在各种灾害中,火灾是最经常、最普遍地威胁公众安全和社会发展的主要灾害之一。机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。
2)人为干扰威胁
(1)盗窃。盗窃指以非法占有为目的,秘密窃取他人占有的数额较大的公私财物或者多次窃取公私财物的行为。物联网的很多设备和部件都价值不菲,这也是偷窃者的目标。因为偷窃行为所造成的损失可能远远超过其本身的价值,因此必须采取严格的防范措施,以确保计算机设备不会丢失。
(2)人为损坏。人为损坏包括故意的和无意的设备损坏。无意的设备损坏多半是操作不当造成的;而有意破坏则是有预谋的破坏。这两种情况都存在。预防的方法是,对于重要的设备,要加强外部的物理保护,如专用间、围栏、保护外壳等。
(3)静电。静电是由物体间的相互摩擦、接触而产生的。静电产生后,由于未能释放而保留在物体内,会有很高的电位(能量不大),从而产生静电放电火花,造成火灾。还可能使大规模集成电路损坏,这种损坏可能是不知不觉造成的。
(4)电磁泄漏。电子设备工作时要产生电磁发射。电磁发射包括辐射发射和传导发射。这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成计算机的信息泄露。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽3种类型。
机房是各类信息设备的中枢,机房工程必须保证网络和计算机等高级设备能长期而可靠地运行。其质量的优劣直接关系到机房内整个信息系统是否能稳定、可靠地运行,是否能保证各类信息通信畅通无阻。机房的环境必须满足计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪声干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。机房的物理环境受到了严格控制,主要包括温度、电源、地板、监控等几个方面。
(1)温度。“数据处理环境热准则”建议温度为20~25℃(68~75℉),湿度为40%~55%,适宜数据中心环境的最大露点温度是17℃。在数据中心电源会加热空气,除非热量被排除出去;否则环境温度就会上升,导致电子设备失灵。通过控制空气温度,服务器组件能够保持制造商规定的温度/湿度范围内。空调系统通过冷却室内空气下降到露点帮助控制湿度,湿度太大,水可能在内部部件上开始凝结。如果在干燥的环境中,辅助加湿系统可以添加水蒸气,因为如果湿度太低,可能导致静电放电,会损坏元器件。
(2)电源。机房电源由一个或多个不间断电源(UPS)和/或柴油发电机组成备用电源。对关键服务器来说,最好同时连接到两个电源,以实现 N +1冗余系统的可靠性。静态开关有时用来确保在发生电力故障时瞬间从一个电源切换到另一个电源。为了保证设备用电质量和用电安全,电源应至少有两路供电,并应有自动转换开关。当一路供电有问题时,可迅速切换到备用线路供电。应安装备用电源,如UPS,停电后可供电8h或更长时间。关键设备应有备用发电机组和应急电源。同时为防止、限制瞬态过压和引导浪涌电流,应配备电涌保护器(过压保护器)。为防止保护器的老化、寿命终止或雷击时造成的短路,在电涌保护器的前端应有诸如熔断器等过电流保护装置。
(3)地板。机房的地板相对瓷砖地板要提升60cm,这个高度现在变得更高了,是80~100cm,以提供更好的气流均匀分布。这样空调系统可以把冷空气也灌到地板下,同时也为地下电力线布线提供更充足的空间,现代数据中心的数据电缆通常是经由高架电缆盘铺设的,但仍然有些人建议出于安全考虑还是应将数据线铺设到地板下,并考虑增加冷却系统。小型数据中心里没有提升的地板可以不用防静电地板。计算机机柜往往被安装到一个热通道中,以便使空气流通效率最好。
(4)监控报警。按照国家有关标准设计实施,机房应具备消防报警、安全照明、不间断供电、温湿度控制系统和防盗报警,以保护系统免受水、火、有害气体、地震、静电的危害。针对重要的机房或设备应采取防盗措施,如应用视频监视系统能对系统运行的外围环境、操作环境实施监控。电源管理排查干扰,包括排除电源线的中断、异常、电压瞬变、冲击、噪声、突然失效事件。
如果机房的防静电、防火防水、接地防雷、室内温湿度有保障,可有效提高机房的物理安全性。机房应该符合国家标准和国家有关规定。其中,D级信息系统机房应符合《计算机场地安全要求》(GB 9361-88)的B类机房要求;B级和C级信息系统机房应符合《计算机场地安全要求》(GB 9361-88)的A类机房要求。机房建设最好进行以下设计:①机房装饰,包括抗静电地板铺设、棚顶墙体装修、天棚及地面防尘处理、门窗等;②供配电系统,包括供电系统、配电系统、照明、应急照明、UPS电源;③空调新风系统,包括机房精密空调、新风换气系统;④消防报警系统,包括消防报警、手提式灭火器;⑤防盗报警系统,如红外报警系统;⑥防雷接地系统,包括电源防雷击抗浪涌保护、等电位连接、静电泄放等、接地系统;⑦安防系统,包括门禁、视频等;⑧机房动力环境监控系统。
设备安全技术指保障构成信息网络的各种设备、网络线路、供电连接、各种媒体数据本身及其存储介质等安全的技术,主要包括设备的防盗、防电磁泄漏、防电磁干扰等,是对可用性的要求。
1)设备安全问题
这里的设备指系统中的物理设备或一个子系统,不是指小的元器件。它指由集成电路、晶体管、电子管等电子元器件组成,应用电子技术(包括)软件发挥作用的设备等。设备安全主要是指设备被盗、设备被干扰、设备不能工作、人为损坏、设备过时等问题。
2)设备安全策略
(1)设备改造。它是对由于新技术出现,在经济上不宜继续使用的设备进行局部的更新,即对设备的第二种无形磨损的局部补偿。
(2)设备更换。它是设备更新的重要形式,分为原型更新和技术更新。原型更新即简单更新,用结构相同的新设备更换因为严重有形磨损而在技术上不宜继续使用的旧设备。这种更换主要解决设备的损坏问题,不具有技术进步的性质。
(3)技术更新。用技术上更先进的设备去更换技术陈旧的设备。它不仅能恢复原有设备的性能,而且使设备具有更先进的技术水平,具有技术进步的性质。
(4)备份机制。即两台设备一起工作。也称双工,指两台或多台服务器均为活动,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。双机双工模式是目前群集的一种形式。
(5)监控报警。监控报警是安全报警与设备监控的有效融合。监控报警系统包括安全报警和设备监控两个部分。当设备出现问题时,监控报警系统可以迅速发现问题,并及时通知责任人进行故障处理。
1)线路安全威胁
线路物理安全指为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对通信线路的安全可靠运行带来的安全风险,对线路所采取的适当安全措施。线路的物理安全按不同的方法分类。比如,可以分为自然安全威胁和人为安全威胁,也可以分为线路端和线路间的安全威胁,还可以分为被破坏程度的安全威胁。线路的物理安全风险主要有:地震、水灾、火灾等自然环境事故带来的威胁;线路被盗、被毁、电磁干扰、线路信息被截获、电源故障等人为操作失误或错误。
2)线路安全对策
通信线路的物理安全是网络系统安全的前提。由于通信线路属于弱电,耐压值很低。因此,在其设计和施工中必须优先考虑保护线路和端口设备不受水灾、火灾、强电流、雷击的侵害。必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。在布线时要考虑可能的火灾隐患,线路要铺设到一般人触摸不到的高度,而且要加装外保护盒或线槽,避免线路信息被窃听。要与照明电线、动力电线、暖气管道及冷热空气管道之间保持一定距离,避免被伤害或被电磁干扰。充分考虑线路的绝缘、线路的接地与焊接的安全。线路端的接口部分要加强外部保护,避免信息泄露或线路损坏。
3-1 简述图灵模型。
3-2 简述冯·诺依曼模型。
3-3 简述计算机系统组成。
3-4 简述微型计算机的结构。
3-5 有几种系统总线?它们的功能分别是什么?
3-6 CPU由几个部分组成?
3-7 存储器怎么分类?
3-8 什么是物理安全?
3-9 物理安全有哪几方面的威胁?怎样防范?
3-10 设备环境安全有哪几方面的威胁?怎样防范?