信息安全--一: 绪言

来源：互联网发布：淘宝店铺导航设置透明编辑：程序博客网时间：2024/05/22 14:37

第一讲 绪言

当今社会是科学技术高度发展的信息社会，人类的一切活动都离不开信息，信息已成为推动社会前进的巨大资源。计算机和计算机网络是对信息进行收集、存储、分析、加工处理和传输的主要工具，因此计算机及计算机网络已经成为现代社会必不可少的组成部分，它已经渗透到社会生活的各个方面。特别是因特网（Internet）的出现促进了人类从工业社会向信息社会的转变，目前全球因特网的用户已超过一亿，入网的国家和地区近200个，并且还在高速地向全球扩展，可以说，计算机网络给全球技术，经济和社会生活的巨大影响，正是通过因特网来实现的，无论你在地球上的哪个角落，也无论什么时候，只要你轻轻点一下计算机鼠标，精彩的大千世界就会出现在你眼前，计算机网络使人类的生活、学习和工作方式发生了巨大的变化。计算机网络向人们提供了资源的共享性，对用户的开放性和可扩充性, 正是由于这些特点,增加了网络安全的脆弱性和复杂性。计算机处理的信息，很多是涉及国家军事、政治、经济、金融、工业等重要情报和敏感信息，一旦被非法窃取或篡改，将产生难以估量的损失。事实上，随着计算机网络的广泛应用，计算机犯罪案件迅速增加，必须采取强有力的措施来增强计算机系统的安全性，计算机系统的安全问题已成为社会普遍关注的问题。

一、 计算机信息系统所面临的安全威胁

信息系统由计算机系统和通信系统组成。

计算机信息系统是一个组织用来完成计算任务的硬件、软件、存储介质、数据以及人员的集合。即计算机信息系统是由计算机及其相关的和配套设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索人机系统。

信息系统可能遭受到各种各样的威胁，只有知道了系统将受到的威胁，才能对其进行有效的防范。为了对这些威胁进行有效的防范，必须采用各种安全技术来设计和实现安全的信息系统。

总的来说，系统面临的安全威胁主要有以下几种类型：

1． 中断：

系统的软、硬件资源由于各种各样的原因遭到破坏，使得程序的正常运行被中断或通信线路上数据的传送被中断。

2． 窃取：

未经允许的用户非法获得了对系统资源的访问权，从中窃取了对他有用的数据，或者骗取计算机为他提供了某种服务。

例如，非法用户窃取合法用户的口令就可以达到这种攻击的目的。另外在网络的传输链路上搭线窃听或利用通信设备产生的电磁波进行电磁窃听，也能对传送的信息进行非法截获和监听。

3． 篡改：

非法用户在获得了对某项信息的访问权后，可以对它进行篡改，例如修改程序使它完成非法操作者特定的功能，或者更改数据，使自己获利。在网络上传送的信息也可能遭到篡改、添加，使其结果对攻击者有利，而合法用户无法获得准确有用的信息。

4． 僞造：

攻击者在未经许可的情形下，在系统中产生出虚假的数据或虚假的服务，例如在电子商务中，攻击者可能希望在网络通信系统上加上一些假的交易，或在数据库中增加一此伪造的记录，另外在网络通信中重放以前过时的信息等，使网络使用者落入攻击者的陷井。

此外在网络通信过程中，还可能出现：。

5．冒充：假冒用户身份是一种常见的网络攻击手段，例如在甲、乙双方通信时，可能是丙在冒充乙的身份与甲通信，此时甲受到了欺骗，由此引起甲受到经济甚至政治上的损失。

6． 抵赖：

某些用户为了自己的利益，否认自己曾经发出的信息（如否认他发出的转帐信息）或者否认他自己收到了信息。

合法用户不能抵赖自己曾有过的行为，不能否认曾发出或接收到对方的信息，这在交易系统中是十分重要的。

造成网络安全保密问题日益突出的主要原因是：

1．网络的共享性资源共享是建立计算机网络的基本目的之一，但是这也为系统安全的攻击者利用共享的资源进行破坏活动提供机会，也为攻击者利用资源共享的访问路径对非共享资源进行攻击，提供了机会。

2．系统的复杂性 计算机网络是个复杂的系统，系统的复杂性使得网络的安全管理变得十分困难。

3．边界的不确定性网络可扩展性使得网络的边界具有不确定性，也导致对网络安全构成严重的威胁。

4．路径的不确定性一个节点到另一个节点可能存在多条路径，一份报文在从发送节点到达目标结点之间可能要经过若干个中间结点。起始节点和目标结点的安全保密性并不能保证中间结点的可靠性。

以上种种威胁，从威胁源来看可分为两类。一类是由合法用户的操作失误或系统中软硬件故障引起的，另一类则是敌对分子或不法分子有意制造的对信息系统的攻击，以达到个人的某种目的。后一类情形即通常所说的“计算机犯罪”。

二、 计算机犯罪

早在70年代计算机犯罪在西方已成为日益严重的一种社会犯罪现象，发案率迅速上升。据1995年的资料统计，1986年在我国发现首例计算机犯罪，到1990年已增加到130例，仅金融系统就已破获几十起利用计算机偷窃金钱的案件。犯罪学家们认为“未来信息化社会犯罪的形式将主要是计算机犯罪”。

“计算机犯罪”是指与计算机有关的犯罪，根据犯罪手段和方式可归纳为两种形式：

1． 以破坏计算机系统为目标的犯罪形式有：

①“硬”攻击手段：弹、燃烧物或其它工具直接毁坏计算机的另部件、元器件乃至整个系统，用断电、盗窃计算机中的部件等方法造成计算机无法正常工作。

②“软”攻击手段：者编制一些程序，对计算机中存放的程序、数据进行篡改、删除等破坏，有时甚至使整个系统瘫痪无法正常工作。这种软攻击造成的破坏和影响程度远比硬攻击大得多，而且隐蔽性很强，难以发现，它是目前和今后对计算机系统攻击和破坏的主要手段。例如，在计算机中施放计算机病毒就是这种攻击的一个例子。1988年11月，美国康奈尔大学研究生莫里斯制造的计算机病毒造成6000台与Internet网络系统连接的计算机，包括国家航空航天局，军事基地和主要大学的计算机停止运行，直接经济损失达9600万美元。

③使用强的电磁场干扰计算机的工作，销毁计算机磁性存储介质上存储的信息，如当高压输电线，电波发射搭或微波线路靠近计算机时都有可能产生电磁场的干扰。

2． 利用计算机系统作为犯罪工具

①窃取计算机中的机密数据，卖给对它感兴趣的团体或个人，然后从中获取经济利益。例如前西德有一个五人团伙，通过欧洲计算机网，经大西洋卫星，侵入美国国防部信息系统窃取机密，出卖给前苏联克格勃先后达25次。

②贪污和诈骗钱财。在金融系统，通过修改计算机中的转账程序或窃取系统的密码后将钱财转移。例如，1978年，美国洛杉矶太平洋安全银行的计算机技术顾问斯坦利．利普金在掌握了银行当天的通行密码字后，通过银行的自动转账系统，把1020万美元转到瑞士银行他的账户中，从此过上挥金如土的生活。后来由于他向一位律师炫耀自己的这一本领，被对方告发，当联邦调查局告诉该行副总经理时，后者竞一无所知。又如，美国某公司的一名计算机工作人员，在公司工资程序中，设计了一个一旦工资单中没有自已的名字（即被解雇时）便启动的程序，而该程序一旦启动，就会销毁计算机系统中的全部数据，从而使公司蒙受巨大损失，以此来迫使公司不得不以高薪继续聘用他。

③破坏计算机中的信息。计算机病毒可长期潜伏在计算机中，一旦病毒发作（被激活）它就可能破坏系统中的数据，删除文件，使硬盘中的数据读不出来，甚至使整个系统瘫痪，这种犯罪既是以破坏计算机系统为目标的犯罪，又是利用计算机系统作为工具的犯罪。又如,电脑黑客在自己的电脑上通过计算机网络入侵对方的电脑。据最近的资料报道，1998年2月份美国国防部所在地的五角大楼被黑客光顾，4个海军系统和7个空军系统的电脑网页遭入侵，便令人吃惊的是在美国国防部已经发现的情况下，黑客还继续进行了整整一周的“骚扰”。被入侵的系统资料虽然只是一些人员的名单和工资单，不属于绝密文件，但相关数据的破坏，很可能会引起军事指挥的混乱和误导，经美国警方调查破案，此为美国两名十五、六岁的少年和两名以色列的十七、八岁的青年所为，他们相互没有见过面，甚至连对方的真实身份都不知道，他们是在Internet网上聊天认识的，种种证据说明这只是青少年的好奇所为，是想检验自己的知识和技巧。

三、计算机犯罪的特点

计算机犯罪与传统的犯罪相比，具有以下特点：

1．计算机犯罪是一种高技能、高智能和专业性强的犯罪。把计算机作为一种犯罪工具

侵入计算机系统，决非一件易事，也不是一般人所能做到的。只有受过专业训练，熟练掌握计算机专业知识和技巧，对系统处理的业务了如指掌的人，才有可能为之。正因如此，所以，据资料统计，当今世界上发生的计算机犯罪，有70－80％是计算机行家所为。计算机专业知识和技能越高，作案的手段就越高明，越巧妙隐蔽，造成的损失越大，而且越难以发现和侦破。

2．计算机犯罪的罪犯大部分是系统内部的白领阶层。计算机系统中的各类专业技术人员、经理、管理人员、会计师和出纳等白领阶层，他们既掌握系统的专业知识，又了解系统的处理过程，更知道系统的弱点，所以这部分人具有作案的客观条件。据统计，在计算机犯罪者中，白领阶层占70－80％，其所造成的损失，与犯罪者的职位高低成正比。美国统计资料表明，经理人员造成的损失是出纳的2倍，是仓库保管人员的4倍。

3．计算机犯罪造成的损失严重，危害大，影响广，是一般常规犯罪无法相比的。经过

计算，每起计算机犯罪造成的损失平均高达160万美元。美国最大的一起计算机犯罪案诈骗的数额高达2000万美元。1988年11月，美国康奈尔大学研究生莫里斯制造的计算机病毒波及全美，造成直接经济损失近亿美元。

4．计算机犯罪难以发现和侦破。任何一个计算机信息系统，都是由极其复杂的硬件和

软件构成，它涉及计算机科学，通信科学、管理科学和系统工程以及应用部门的专业知识等，要使计算机信息系统运转正常，效益突出，要靠各类专业人员和管理人员共同努力，协同作战。同样，出了问题也不是一两个专家所能解决的。

计算机犯罪案件相对于通常的犯罪案件难于发现也难于搜集证据和难以破案，这主要是因为：

（1）计算机系统中的数据和程序都是以电信号的形式存储在各种存储介质中，如内存的RAM，ROM，外存的磁盘，磁带和光盘，它们极易被修改和删除，有的还进行了加密和压缩处理，使内容更具有隐蔽性，很难一眼看出来。

（2）计算机系统及网络的数据或信息的输入和输出来自四面八方，有的越省．越区．越国甚至越洲，地理上和时间上的限制已不能阻止这种犯罪。有的犯罪分子在家中或在办公室的终端面前，可操纵千里以外的计算机系统，把诈骗的钱财转到异国他乡。有时，犯罪分子在公司的办公室里当众进行犯罪活动，而同事或经理还以为他是在努力工作。例如前面提到的德国五人犯罪团伙，就是在德国操纵计算机到美国进行犯罪活动，很明显，对这种越国．越洲，越泮．的犯罪活动，靠传统的侦破方法和思维模式是根本无法破案的。

（3）计算机犯罪具有瞬时性和随机性的特点，计算机每秒可执行几百万．几千万甚至几亿条指令，运转速度极快。一个犯罪程序可能含几百条甚至几千条指令，对以极高速度运行的计算机来说，可在毫秒级或微秒级的时间内完成，可以说是瞬间即逝，不留任何蛛丝马迹。因此，要捕捉到计算机犯罪的罪迹相当困难。尤其是计算机系统和网络日益庞大，分布地域已扩展到全球，要发现这种犯罪并拿到真赁实据，就难上加难。

（4）计算机中数据和信息有的存在缩微片上，体积很小，携带方便，不易发现，而对贮存在磁性或半导体等介质媒体上的数据和信息进行复制，既不会对载体造成丝毫损害，也不会留下任何痕迹。目前大部分计算机犯罪发生在金融，这些部门从商业信誉考虑等原因，发现了计算机犯罪，往往隐瞒下来，不向执法部门报案，这样当然也就谈不上破案。

5．计算机犯罪的合谋性和罪犯的年经化。计算机系统和网络是一个宠大的人机复合系统，要想搞鬼，常常是经理．技术人员和业务人员上下勾结，串通一气，才能成事。例如日本大一家银行，在全国有13家分行，联成计算机网。该行负责关西地区业务的经理，与7个分行的经理一起，伪造1000笔账目，总额达10亿日元，合伙从中私吞了2亿日元。计算机犯罪者的年龄有越来越年轻的趋势。据美国的统计资料，大约80％的计算机犯罪，是刚刚参加工作不到5年的青年雇员干的，平均年龄为22—25岁。

6．计算机犯罪在很大程度上是一种跨国性国际犯罪，这就给侦破．取证和制裁带来很大不便和困难。

7．对计算机犯罪的惩处普遍较轻，例如1988年11月美国康尔大学计算机研究生莫里斯施放的计算机病毒，造成全美国防和科研系统6000多台计算机瘫痪，直接经济损失达1亿美元。在审理此案时，典论界特别是计算机界和辩护律师，非但不认为他有罪，反而认为他有功。捧他为发现美国国防计算机系统缺陷的英雄。况且他自己并没有从中受益，因此应无罪释放。根据美国1986年颁布的，《计算机欺诈和滥用法》和1987年颁布的《计算机安全法》本应判处莫里斯5年监禁和罚款25万美元。但最后，美国纽约希拉兹联邦法院仅判处莫里斯3年徒刑，缓刑3年，罚款1万美元和400小时的社区无偿公益劳动。在美国，甚至有不少公司、企业聘用计算机罪犯担任公司计算机系统的安全顾问，以便利用他们的知识和技术，协助防范和制止计算机犯罪。这真是以贼防贼。

四、信息战

由于社会信息化程度越来越高，信息与信息技术的重要战略地位已被世界各国日益深刻地理解和认识。有人预言，随着人类社会进入信息时代，信息战将成为战争的一种主要形式。，美国军界早已对信息战这种新兴的战争形式开展广泛的研究。另有资料报导，至少有30个以上的国家正在研究开发信息战技术。关于信息战，国家保密局和国务院发展研究中心国际技术经济研究所联合编写的“信息战与信息安全战略”一书作了全面的介绍和精辟的分析。书中指出所谓“信息战”就是以计算机为主要武器，以覆盖全球的计算网络（如Internet网）为主战场，以攻击敌方的信息系统为主要目标，运用高精尖的计算机技术（如计算机病毒），破坏敌方所有的信息系统，不仅破坏军事指挥和武器控制系统，而且广泛破坏敌方的银行、交通、商业、医疗、通信、电力等民用系统，这样，不仅造成军事行动的混乱和失败，而且造成全社会的恐慌和不安，甚至使整个国民经济处于瘫痪状态，从而达到付出极小代价，甚至不费一枪一弹，夺取战争胜利的目的。

早在1991年海湾战争时期，美国军方就已开始在实战中运用“信息战”这一新的战争手段。

据美国报刊报导，海湾战争爆发前，美国获悉伊拉克将从法国购买一批用于防空系统的新型计算机打印机，并且获悉该批设备将经由约旦首都安曼抵伊拉克。于是美国派遣潜伏在安曼的特工人员偷偷地把一套带有计算机病毒的芯片换装到这批打印机中去。这样，当伊拉克军方安装使用这批打印机后，计算机病毒就顺利地侵入了伊拉克防空指挥中心的主计算机。当海湾战争爆发、美国空军开始空袭伊拉克时，美军用无线遥控装置将隐藏在计算机中的病毒激活，致使伊拉克的防空系统陷入瘫痪，从而使美军长达40天的空袭行动大获成功。

海湾战争结束后不久，美国国防部的官员在庆贺信息战的胜利之余，不禁想到了美国自身的计算机网络系统的安全。他们问，如果敌方对美军发起类似的信息战，美军能经受得住吗？事实证明，美国国防部官员们的担心并非是杞人忧天。

据美国总审计局1996年的一份调查报告透露，1995年美国国防部计算机系统总共受到了25万次攻击，其中60％左右的攻击行动得逞，1994年1月至1995年6月期间，美国军方自动化系统安全事故支援小组在这18个月内接到了世界各地美国军事计算机网络操作人员2.8万次求援电话，他们也截获了数以千计的“黑客”程序。

又例如：1994年12月，美国海军学院的计算机系统被身份不明的攻击者“入侵”，入侵者来自英国、芬兰、加拿大、美国堪萨斯大学和阿拉巴马大学,在攻击行动中。

有24个服务器被非法访问，在其中8台服务器上安装了截取程序。

一个主要的网络路由器遭到破坏。

一个系统的名字和地址被更改，使合法用户无法访问系统。

有些系统的文件被删除，有六个系统处于瘫痪状态。

两个加密的口令文件遭到破坏，2000多个口令被更改。

美国海军的调查人员无法辩认这些攻击者是谁，这些攻击使海军学院的计算机处理能力和所存贮的敏感信息遭到相当严重的破坏。

1995年至1996年间，一名来自阿根廷的攻击者利用Internet网访问了一所美国大学的计算机系统，并从那里闯入了海军研究实验室，美国宇航局，国家实验室等处的网络，这些单位的系统中有敏感的研究信息，如飞机设计，雷达技术，卫星工程等方面的信息。这些信息最终将用于武器和指挥控制系统。海军尚不能确定哪些信息遭到了破坏，也无法估算此次事件造成的损失。

随着现代科学的发展，我国已在各个部门、行业广泛建立起数据库和网络系统，并且已实施了Internet网的互联工程，我国的科技人员、商贸企业工作人员和广大信息用户可以通过自己办公室或家中的电脑与全世界100多个国家的用户交流和共享信息。庞大的信息网络大大加快了我国现代化建设的步伐。然而，现代化的计算机信息网络也向我国信息安全工作提出了新的挑战。我们的安全保密工作不能还停留在原来传统的思维模式上和传统的工作方式上，在新兴的信息战面前，在新型的高科技犯罪手段面前，我们要研究信息时代的新特点，学习一些新的安全保密技术，特别是计算机及其网络系统中如何保护信息安全的有关的知识和技术。

五、计算机信息安全

计算机安全是指计算机系统的硬件、软件、数据（即信息）受到保护，系统能连续正常运行。不因偶然的或者恶意的原因而遭到破坏、更改和泄漏。计算机安全可分为物理安全和逻辑安全。物理安全是指计算机及相应的和配套的设备与设施(如网络中的通信线路)等的安全。它们应安装在安全可靠的地方，具有防火、防水、防震、防爆炸和防止坏人进行物理上的破坏和盗窃的防御措施。

应防止外介电磁场对计算机的干扰。它破坏计算机系统的正常运行，导致大量信息出错甚至丢失。计算机系统工作时能够辐射出电磁波，任何人都可以借助并不复杂的设备在一定的范围内收到它，从而造成信息泄漏。当处理特别机密信息的时候应采用低辐射的计算机。

逻辑安全是指计算机及网络系统中存储、传输及正在处理的信息的安全，要防止这些信息被窃取、破坏（篡改、丢失）和滥用。

为了保证计算机系统的安全，我们应采取：

①物理上的安全措施：恰当地选择计算机安装的外部环境。

②人事管理上的安全措施：要注意工作人员的忠实可靠，工作责任心强，并通过制定一些制度来规范工作人员的行为，防止非工作人员未经允许进入机房，如派专人警卫等。

③法律上的安全措施：针对计算机犯罪这一新的社会现象，在法律上对计算机犯罪进行立法，以惩罚计算机犯罪行为。

④技术上的安全对策。

总的来说计算机系统安全可概括为以下几个方面：

（1）保密性：是指信息必须按照系统或信息拥有者的要求保持一定的秘密性，只有得到系统或信息的拥有者的许可，其他人才能访问到有关的信息，也就是必须防止信息泄露给非授权的个人和实体。

（2）完整性：是指信息在存储和传输过程中保持不被修改，不被破坏，不丢失的特性，也就是要求信息的准确性和真实性。

（3）可用性：是指无论何时，只要合法用户需要，系统必须能为用户提供服务。

（4）可靠性：是指系统能在运行过程中，抗干扰（包括人为的和机器及网络故障）和保证正常工作的能力。即保持工作的连续性和正确性。
（5）可控性：对信息和信息系统实施安全监控防止为非法者所用。

（6）抗抵赖性：保证信息行为人不能否认自己的行为。

国际标准化组织ISO在网络安全体系的设计标准（ISO 07498-2）中，提出了层次型的安全体系结构，并定义了五大安全服务功能：身份认证服务，访问控制服务，数据保密服务，数据完整性服务，不可否认服务。

相对来说，实现计算机系统的外部安全较实现计算机系统的内部安全来得容易一些。为了维护计算机系统内信息的安全，除了物理上、人事管理上和立法上采取相应的对策外，在技术上还必须采取相应的措施，下面就如何从计算机系统安全保密的技术上来控制计算机的内部安全作一些介绍。

六、计算机系统信息安全的技术对策

1．身份鉴别

在用户进入（即使用）计算机系统之前，系统要对用户的身份进行鉴别，以判别该用户是否是系统的合法用户。其目的是防止非法用户进入系统。

在计算机系统中存放有一张表，称为“用户信息表”，它记录下所有可以使用这个系统的用户（称为这个系统的合法用户）的有关信息，如用户名和该用户的口令等。用户名往往是公开的，不同的用户有不同的用户名，但口令是秘密的，只有自己知道。当某个用户要进入系统时，他必须键入自己的用户名，作用是告诉计算机系统访问者是谁，计算机系统通过查用户信息表证实系统中是否有此用户，这个过程称为识别。另外，系统还需要对用户身份进行验证，即访问者声称自己的身份后，系统还要验证他是否就是自己所声称的人，以防假冒，用来验证用户身份的依据是口令，当用户输入口令后，系统在用户信息表中进行查对，如果输入的口令与用户信息表中该用户的口令相同，则该用户就是系统的合法用户。用户信息表一般用户不能访问，只有系统管理员才能访问，但系统管理员也看不到用户的口令，否则亦可冒充。

存放在用户信息表中的口令是以密文形式存放，验证过程是先将用户输入的口令以同样的方式加密，然后与信息表中该用户的口令的密文形式比较，这样作的目的也是为了安全。因为若用户信息表中存放的用户口令是明文形式，万一被某个用户看到，这个用户就可能冒允该用户的身份进入系统。

验证用户身份有如下几种方法：

1．验证用户知道什么（口令）；易泄漏

2．验证用户拥有什么（磁卡）；丢失、伪造

3．验证用户的生物特征（指纹、视网膜）；

4．验证用户的下意识的动作（静态：书写内容。动态：动作的节奏、倾斜角度、轻、重等）。

在网络上通信的两个实体，在进行实际的通信前必须进行身份鉴别，通过身份鉴别，用户可以确认对方的身份，确保不是在与一个假冒的对象进行通信。这种鉴别是双向的，即每一方均要通过对方提供的仅代表对方身份的特殊信息，来判断对方身份的真实性。这些用于鉴别身份的信息在传送的过程中应满足如下要求，即如果被第三方截取，第三方无法利用它来冒充任一方的身份，利用密码技术可以实现上述要求。

2．访问控制

防止合法用户对系统资源的非法访问（或非授权访问）。

一个经过计算机系统识别和验证后的用户（合法用户）进入系统后，并非意味着他具有对系统所有资源的访问权限。访问控制的任务就是要根据一定的原则对合法用户的访问权限进行控制，以决定他可以访问哪些资源以及以什么样的方式访问这些资源。例如，在一个关系数据库系统中，可能已建立了若干张表，每一张表中都存放许多的数据，用户对表中的数据一般来说可以进行如下几种操作，查询、插入（添加）、修改、删除，但在一个实际的应用系统中，并不是每一个用户对每一张表中的每一个数据都有以上这些操作的权限。用户对数据访问的权限必须受到一定的控制，有以下几种控制机制。

（1） 自主访问控制 （保护私有信息）

数据库中的数据可以是由各个不同的用户存入进去的，这些用户可以是代表个人也可以

代表某个团体或一级组织，存入某个数据的用户，我们称他为该数据的拥有者。

自主访问控制是指数据的拥有者有权决定系统中的哪些用户对他的数据具有访问权，以

及具有什么样的访问权。也就是说，系统中的用户要对某个数据进行某种方式的访问时，必须是经过该数据的拥有者授权了的。

例如，假设某所大学使用计算机系统进行日常工作的管理。人事处在系统中建立了一张

表，存入有每个老师的有关信息，如姓名、年龄、现任职称、担任职称的时间、工资，受过哪些奖励和处分等。人事处不允许每个人都能看到所有这些信息，他可能按这样一个原则来控制，每个教师可以看到自己的有关信息，但不允许看别人的，每个系的党总支书记可以随时查看自己系的教师的有关信息，但不能查看其他系教师的信息。并且人事处可限制人事处以外的所有用户不得修改这些信息，也不能插入和删除表中的信息，这些信息的拥有者是人事处。人事处可按照上述原则对系统中的用户（该大学的所有职工）进行授权。于是其他用户只能根据人事处的授权来对这张表进行访问。

在计算机中如何实现呢？根据人事处的授权规则，计算机中相应存放有一张表，将人事

处的授权情况记录下来，我们称它为授权表，以后当任何用户对人事处的数据要进行访问时，系统首先查这张表，检查人事处是否对他有授权，如果有，计算机就执行其操作；若没有，则拒绝执行。

自主访问控制是保护计算机系统资源不被非法访问的一个有效手段。这种自主性为用户

提供了很大的灵活性，但同时也带来了不安全的问题。从系统的整体利益出发，还必须采取更强有力的访问控制手段，这就是强访问控制。

（2） 强制访问控制 （保护组织的利益）

所谓强制访问控制是指计算机系统根据使用系统的机构事先确定的安全策略，对用户的访问权限进行强制性的控制。美国国防部提出的多级安全策略是军事安全策略的一种数学描述，以计算机能实现的形式定义，它就是一种强制访问控制。下面简要地介绍一下这种强制访问控制方法。

计算机系统对系统中每一个主体（用户或代表用户的进程）分配一个安全级（或称安全

属性），对用户访问的对象（亦称客体），如数据、存储器段、目录、网络节点等，也分配一个安全级。当主体对某客体进行访问时，系统要对这个主体和客体的安全级进行比较，来决定用户能否访问该客体。

主、客体的安全级由两部分组成：密级和部门属性。其访问规则可简单地描述为“向下

读，向上写”。即

1）仅当主体的安全级≥客体的安全级时，主体可读访问客体；

2）仅当主体的安全级≤客体的安全级时，主体可写访问客体。

这个策略的安全原则是信息只能由低安全级流向高安全级，而不能由高安全级流向低安

全级。这一安全策略特别适合于军事部门和政府办公部门。

举一例来具体说明。例如，某大学部分行政机构如下：

假设计算机系统中的数据的密级分为：一般、秘密、机密和绝密四个级别，人为地规定：

一般＜秘密＜机密＜绝密

对用户的密级规定为，校长可以看所有的数据，处长只能看机密及以下的数据，科长只能看秘密及以下的数据，一般工作人员只能看一般的数据。

现定义校长的安全级：密级为绝密，部门属性为所有的部门：

即C_校长＝（绝密，{人事处,教务处,财务处,设备处}）

人事处长的安全级C_人=(机密,{人事处})

财务处长的安全级C_财=(机密,{财务处})

财务二科长的定全级C_二财=(秘密,{财务处})

财务处工作人员的安全级C_工=(一般,{财务处})

假设财务二科长产生了一份工作文件A,文件A的安全级定义为与二科长的安全级相同,即C_A=(秘密,{财务处})

那么,对于文件A,只有校长和财务处长能看到.例如,人事处长不能看,尽管人事处长的密级是机密级,可以看秘密级的文件,但人事处长的部门属性仅是{人事处},他无权看财务处的登信息.比较安全级的详细过程,涉及一些数学概念,这里不再赘述.

在一个既具有自主访问控制,又具有强制访问控制的计算机系统中,当一个主体要访问某个客体时,他必须既通过自主访问控制的检查,又要通过强制访问控制的检查,只有这两道检查都通过了,他才能对这个客体进行访问.

(3)基于角色的访问控制

没有严格的等级概念，根据用户在系统中承担的职务或工作的职责，分配权限、进行控制。

在实际工作中,不同的用户可能具有相同的权限,如人事处档案科的工作人员可以阅读’处理档案的权限是相同的,但其他的人若不获得特别的批准,是不允许接近这些档案的.为了反映实际工作中的这种需要,可根据用户的工作职责设置若干角色,不同的用户可以具有相同的角色,在系统中享有相同的权力,同一个用户又可以同时具有多个不同的角色,在系统中行使多个角色的权力.

又例如,某医院有许多外科和内科医生,外科医生与内科医生的处方权限是有些不相同的,但所有内科医生或者所有外科医生的权限都是相同的,因此,我们可以在医疗系统中设置内科医生角色和外科医生角色。当工作职责变动时，可按新的角色进行重新授权。

角色控制既可以在自主访问控制中运用，也可以在强制访问控制中运用。

基于角色控制的优点是不需要对用户一个一个的进行授权，可以通过对某个角色授权，来实现对一组用户的授权，简化了系统的授权机制。另外，多级安全访问控制，严格地根据安全级的比较来控制主体对信息的访问权。不能完全反映现实工作中的模式，信息有时需要从高向低流，或横向流动。利用对“角色”授权的方式可以使强制访问控制实现起来较为灵活。

访问控制是系统安全控制的第二道防线，它阻止合法用户对其权限范围外的信息的非法访问。在访问控制中应遵循的一条很重要的安全原则是“最小特权原则”或称为“知所必需”，也就是说对于任何一个主体来说，他只应该具有为完成他的工作职责需要的最小的权力。

3． 信息流控制

在计算机系统中仅有访问控制是不够的，还必须有对信息流动的控制。例如上例中财务处长可以阅读文件A,人事处长无权阅读文件A，但若不加以控制的话，财务处长可能将文件A传给人事处长，使得人事处长超越自己的权限而非法得到了数据。因此在系统中必须控制信息只能沿着安全的方向（也就是系统允许的方向）流动。

4． 密码控制

对系统中所存放或传输的文件或数据进行加密，使之成为密文，在用户对其进行访问（查询插入、修改等）时，按其需要对数据实时地进行加／脱密。这是系统安全控制的第三道屏障。在系统的身份鉴别与访问控制这两道防线万一遭到破坏或用户绕过身份鉴别与访问控制，通过其他途径进入系统时，加密可以保护数据的机密性，并可发现数据的被修改。通俗地说，系统的身份鉴别与访问控制的作用是“拿不走”，加密的作用是，即使拿走了也“看不懂”。

采用什么样的密码体制来对数据进行加密是密码控制中一个很关键的问题。所选用的密码算法应有一定的强度，否则敌手很容易破译而解密出明文，这涉及系统的安全性。但另一方面，密码算法如果过于复杂，占用的时间太多，又势必影响系统运行的效率。因此，我们的目标是要设计出即有很强的密码强度，又对系统的运行效率（主要是时间效率）不致于有太大的影响的密码算法。

现代密码体制是将密码算法（或加／脱密方法）公开，而仅保持密钥（密码算法中的一个参数）的秘密，即一切秘密寓于密钥之中。例如，1977年美国国家标准局正式宣布采用的美国商用数据加密标准DES（Data Encryption Standard），作为一种数据加密算法一直在美国商界使用至今，世界上许多国家也使用了这一算法对数据进行加密，它的算法是公开的，谁都可以用这一算法对数据加密，仅需将加密算法中一个8字节长的密钥保持秘密。

这样一来，对数据进行加／脱密的密钥的安全成了整个密码控制技术的关键，因此在使用密码控制技术的系统中，密钥的生成、管理、更换和保护也是一个十分复杂和重要的问题。

在计算机信息安全与保密的领域中，密码技术是一项十分重要的技术，在很多场合下为了对信息实施保护都要用到密码技术。

例如：①在身份鉴别和对等实体的双向身份认证时，需要对用户的身份验证信息进行加密以防别人窃取。

②数据库中存放的数据虽然有访问控制保护，不让不该访问的用户非法访问，但仅有这一层防范措施是不够的，数据库中的敏感信息还需要加密存放，攻击者万一访问到数据他能看到的只是一堆乱码。

③数据在信道上传输时，必须是密文形式而不能是明文，这既可以防止攻击者在信息道上截收(收到的是密文)，又可以及时发现数据是否被篡改，因为若数据被篡改，那么在收方脱密还原时，不能得到正确的明文，很可能是一大堆乱七八糟的符号。到目前为止，人们认为，加密是网络通信中保护数据安全的最重要的方法。

④数字签名

5．推理控制：防止用户根据访问到的数据用逻辑推理的方法推导出他无权获得的数据。

6．隐通道的分析和限制：没有受安全策略控制的通道。

7．审计

审计是模拟社会监察机构在计算机系统中用来监视、记录和控制用户活动的一种机制，它使影响系统安全的访问和访问企图留下线索，以便事后分析和追查。现代安全计算机系统，除了要求有身份鉴别、访问控制、加密等安全措施外，还要求系统能对用户的行为进行有效的监控和记录，即要求有审计功能。

在计算机系统中如何对用户的行为进行记录和监控呢？

（1） 设置审计开关

若对某些数据要重点保护其安全性时，可对这些数据打开审计开关，这时系统就将用户对这些数据的所有操作及操作时间、操作结果收集起来。若对某个或某些用户有些不放心时，亦可对这些用户打开审计开关，这时系统将对这些用户所有行为进行收集。

（2）事件过滤

用户的操作十分频繁，而且并非所有的操作都危及系统安全，因此要对事件进行过滤，

将可能对系统安全具有危害的事件记录下来，记录下来的事件称为审计事件。例如，用户多次登录失败，可能是用户在猜口令。又如，本来用户对某一数据没有修改权限，但他多次企图修改，多次失败，这说明用户企图越权操作，这些事件都是与安全有关的事件，应记录下来。

（3）审计日志

为了日后追查的方便，审计事件的内容要按一定的格式记录下来，长期保存，并随时提供查询。审计日电的内容随着时间的推移会越来越多，因此每隔一段时期，要将审计日志倒入软盘或磁带，脱机保存。

（4）审计日志的查询

审计日志应能提供多种方式的查询。

① 按时间段查询：对指定的时间段，查询其间所发生的事件的审计内容。

② 按用户查询：对指定的用户，查询他的操作所引起的事件的审计内容。

③ 按数据客体查询：对指定的数据客体，查询其上的操作引起的事件的审计内容。

系统还应提供以上多种查询方式的联合查询功能。

（5）报警和惩罚

当用户在一定时间内出现的危害系统安全的事件达到某个数量时，审计子系统将向系统审计员和用户报警，以示警告。

当用户在一定时间内系统对其报警的次数达到某个数量时，审计子系统将对用户进行惩罚，将其逐出系统。

8．系统的安全管理

为了对计算机系统的资源和资源的安全进行管理，一个安全计算机系统除了一般的用户外，应具有如下三种特殊的用户：

（1）系统管理员：该用户对系统的资源进行管理和分配，具有创建用户、删除用户等权力。是自主访问控制的管理者。

（2）系统安全员：该用户对系统中主体的安全级和客体的安全级进行分配和维护，或对用户进行角色指派，对系统的角色进行维护。必要时可修改数据客体的安全级。是强制访问控制的管理者。

（3）系统审计员：该用户决定系统审计功能的开启和关闭，对审计开关进行修改，对审计日志进行查询。是审计功能的管理者。

以上三类特权用户，都对系统具有一定的特权。但他们相互制约和监督，这种参照现实生活中立法机构、执法机构和监察机构三权分立原则，对计算机系统的管理可增强系统的安全性。

9．制定可信计算机系统评准则