网络安全

 

n 网络安全是信息安全学科的重要组成部分。信息安全是一门交叉学科，广义上，信息安全涉及多方面的理论和应用知识，除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。狭义上，也就是通常说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。

 

 

网络信息安全面临的威胁来自很多方面，并且随着时间的变化而变化。总体说来，这些威胁可以宏观地分为人为威胁和自然威胁（见图1-1）。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些事件有时会直接威胁网络安全，影响信息的存储媒介

 

n 身份鉴别造成威胁包括四个面：口令圈套、口令破解、算法考虑不周和编辑口令。

1、口令圈套

n 口令圈套是网络安全的一种诡计，与冒名顶替有关。常用的口令圈套通过一个编译代码模块实现，它运行起来和登录屏幕一模一样，被插入到正常有登录过程之前，最终用户看到的只是先后两个登录屏幕，第一次登录失败了，所以用户被要求再输入用户名和口令。实际上，第一次登录并没有失败，它将登录数据，如用户名和口令写入到这个数据文件中，留待使用。

 

n 病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式病毒可以进行自我复制，并随着它所附着的程序在机器之间传播。

 

2、代码炸弹

n 代码炸弹是一种具有杀伤力的代码，其原理是一旦到达设定的日期或钟点，或在机器中发生了某种操作，代码炸弹就被触发并开始产生破坏性操作。代码炸弹不必像病毒那样四处传播，程序员将代码炸弹写入软件中，使其产生了一个不能轻易地找到的安全漏洞，一旦该代码炸弹被触发后，这个程序员便会被请回来修正这个错误，并赚一笔钱，这种高技术的敲诈的受害者甚至不知道他们被敲诈了，即便他们有疑心也无法证实自己的猜测。

 

、特洛伊木马

n 特洛伊木马程序一旦被安装到机器上，便可按编制者的意图行事。特洛伊木马能够摧毁数据，有时伪装成系统上已有的程序，有时创建新的用户名和口令。

 

n DNA 杂志及印度全国软件合服务企业协会 (Nasscom) 与孟买警方开展互联网安全周活动时，回顾了历史上的著名黑客事件

n 即使被认为固若金汤的系统在黑客攻击面前也显得不堪一击

n 信息安全恐怖事件并非危言耸听

 

n 蠕虫王：互联网的“ 911”

n 2003 年 1 月 25 日，互联网遭到全球性的病毒攻击

n 病毒名： wind32.SQLExp.Worm

n 病毒体及其短小，具有极强的传播力

n 利用 Microsoft SQL Server 的漏洞进行传播，导致全球范围内互联网瘫痪

n 中国 80% 网民由此不能上网；美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国的互联网也受到严重感染

n 26 日“蠕虫王”才得到控制

n 是继红色代码、尼姆达和求职信病毒后又一起极速传播的案例

n 全球经济损失 12 亿美圆

 

n 网络安全策略通常是根据网络需求确定并建立起的最高一级的安全规范。其表现形式通常为有关管理、保护和发布敏感信息的法律、规定等。通俗地说，安全策略提出了网络安全系统要达到什么样的安全目标，根据该目标，在该系统的安全范围中，什么操作是允许的，什么是不允许的。

n 网络安全策略 , 包括物理安全策略、访问控制策略、攻击防范策略、加密认证策略和安全管理策略等内容。

 

n 网络安全策略通常是根据网络需求确定并建立起的最高一级的安全规范。其表现形式通常为有关管理、保护和发布敏感信息的法律、规定等。通俗地说，安全策略提出了网络安全系统要达到什么样的安全目标，根据该目标，在该系统的安全范围中，什么操作是允许的，什么是不允许的。

n 网络安全策略 , 包括物理安全策略、访问控制策略、攻击防范策略、加密认证策略和安全管理策略等内容。