1.2 信息安全的威胁

随着Internet的发展，信息系统本身所具有的脆弱性日益显现出来。在世界各地，都出现过信息系统被非授权用户非法侵入的事件发生。他们通常对系统进行非法访问，这种访问使系统中存储的数据、信息的完整性、保密性受到了威胁。这些行为可能导致信息由于被破坏而不能继续使用，或是使系统中有价值和私密的信息被非法窃取、篡改、伪造或删除从而给使用者造成巨大的经济损失。另外，信息系统还容易遭受各种不可抗拒的自然灾害的破坏，这同样需要我们给予足够的重视。

尽管目前学术界对信息安全威胁的分类还没有统一的认识，但是，总体上可以分为自然威胁和人为的威胁两类。

1.2.1 自然威胁

自然威胁是指自然环境对计算机网络设备与设施的影响，这类威胁一般具有突发性、自然性、非针对性、不可抗拒性的特点。自然威胁通常表现为直接作用于系统中物理设施的破坏，由自然威胁造成的破坏其影响范围通常较大、损坏程度较为严重。自然威胁包括：地震、风暴、洪水、雷击、磁暴，等等。

自然威胁又可以分为对物理设备的直接损坏或环境对设备正常工作的干扰两类。

地震、火灾、撞击都会直接导致物理设备的损坏，造成不可挽回的损失。环境的干扰包括：温度过高或低、电压异常波动、电磁辐射干扰，等等。这些情况都可能造成系统运行的异常或破坏。

1.2.2 人为威胁

人为威胁可以分为无意识和有意识两种。无意识的威胁是指由于管理和使用者的操作失误造成的信息泄露或破坏。有意识的威胁是指某些组织或个人，出于各自的目的或利益直接破坏各种设备、窃取及盗用有价值的数据信息、制造及散播病毒或改变系统功能等。这种有意识的威胁是最应该引起重视的，也是本书讨论的重点。

另外，有意识的威胁又可以分为主动威胁和被动威胁两类。主动威胁与被动威胁的区别主要在于后者只对信息进行监听，并不修改数据；而后者会对信息进行恶意的篡改。

1. 对手

首先，需要弄清到底是什么人正在对信息安全系统造成威胁，即我们的对手是些什么样的人。总体来讲，可以把对手分为以下6类：

（1）黑客

最早的计算机于1946年在宾夕法尼亚大学出现，而最早的黑客出现于20世纪50年代的麻省理工学院，贝尔实验室也有。最初的黑客一般都是一些高级的技术人员，他们热衷于挑战、崇尚自由并主张信息的共享。在人们眼中，黑客是一群聪明绝顶，精力旺盛的年轻人，一门心思地破译各种密码，以便偷偷地、未经允许地打入政府、企业或他人的计算机系统，窥视他人的隐私。

20世纪90年代以来，因特网在全球的迅猛发展为人们提供了方便、自由的网络环境。在政治、军事、经济、科技、教育、文化等各个方面，都变得越来越网络化，因特网逐渐成为了人们生活中不可缺少的一部分。可以说，信息时代已经到来，信息已成为物质和能量以外维持人类社会的第三资源，它是未来生活中的重要介质。随着计算机的普及和因特网技术的迅速发展，黑客也随之出现了。

黑客（hacker），源于英语动词hack，是指专门研究和发现计算机及网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而成长。黑客们普遍对计算机有着狂热的兴趣和执着的钻研精神，他们不断地研究计算机和网络知识，试图发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到缺陷，然后向管理员提出解决和修补漏洞的方法。由此可见，“黑客”在一定程度上能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。

黑客不干涉政治，不受政治利用，他们的出现推动了计算机和网络的发展与完善。黑客所做的不是恶意破坏，他们追求共享、免费，提倡自由、平等。黑客的存在是由于计算机技术的不健全，从某中意义上来讲，计算机的安全需要更多黑客去维护。

还有另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作，如：用暴力法破解口令等，他们也具备广泛的计算机知识，但与黑客不同的是他们以破坏为目的。对这些人正确的叫法应该是cracker，有人也翻译成“骇客”，也正是由于这些人的出现玷污了“黑客”一词。

但是，多数黑客所做的行为是违法的，要是觉得黑客只是想征服系统不会造成危害，那么就错了。有些系统很脆弱，黑客在无意之中就会对系统造成破坏，还有一些黑客为了证明自己的成功，也会在系统中更改数据以便留下标记。此外，一旦有未经授权的人侵入了系统，就很难让使用者相信他的安全性了，没有人知道闯入者在系统中究竟做了什么。毕竟，我们很难将善良的黑客和破坏网络的骇客区分开来。

（2）国家情报机关

国家情报机关是最重量级的对手，他们由政府主导，有良好的组织和充足的财力。通常利用国外的服务引擎来收集敌对国的信息。美国的中央情报局（CIA）、国家安全局（NSA），俄罗斯的克格勃，英国的MI5、MI6，法国的DGSE，德国的联邦情报局（BND），以色列的摩萨德，等等。他们通常被认为是军方的一部分，因此资金来源相当充足，并且组织严密。这是一个专业的、强大的对手。

国家情报机关也会使用黑客工具，甚至雇用黑客为其服务。由于要负起保护整个国家安全的任务，国家安全机构的技术种类繁多，并且极为有效。

（3）有恶意的内部员工

怀有恶意的员工是非常危险的对手。这是由于大多数信息安全措施都是为了对付来自于系统外部的攻击，如：防火墙、入侵检测等，而这些措施对于来自于信息安全系统内部的攻击就显得束手无策了。对于内部人员来说，他已经处于要攻击的系统内部，因此可以轻松的绕过系统周边的防范措施。他可能拥有更高级的路径，也可能已经得到目标系统的信任。更糟的是，内部员工通常对系统本身存在的缺陷非常了解。他们熟悉系统地组织结构，也熟悉系统的应对措施，并且能轻易地利用该系统的资源转而对付系统自身。

总之，虽然内部人员对系统进行攻击的几率会低于外部人员攻击的几率，但是对内部人员来说，安全系统要脆弱得多。

（4）恐怖分子

恐怖分子或组织经常被民族宗教或政治所驱使，通过使用暴力或威胁使用暴力以迫使政府或社会同意其条件。他们攻击的目的通常不是收集信息，而是制造混乱和灾难，因此他们攻击所采取的策略是利用技术导致服务瘫痪和完全破坏。由于恐怖分子或组织的资金状况通常比较紧张，因此他们经常会犯一些较低级的错误。

（5）商业间谍

商业间谍的攻击行为通常都具有非常明确的动机，即通过窃取竞争对手的商业机密在商业竞争中获得优势地位。由于进行间谍活动公司投入的资金会得到相当丰厚的回报，因此商业间谍背后都有强大的资金支持。为了窃取竞争对手的技术和信息，即使花费再多的金钱也在所不惜，因为与进行研发所需的资金相比，进行间谍活动的经费就显得微不足道了。

（6）新闻媒体

与前面介绍的商业间谍略有不同，新闻媒体窃取信息的动机不是为了商业利益，而是为了获得独家新闻，赢得观众和读者的关注。新闻机构可以动用各种资源对某一事件进行调查。通常，他们资金雄厚，有能力雇用专家获取信息，并且不惜冒险。

在表1-1中总结了我们所要面对的威胁信息安全的几类主要对手。

2. 常见的安全威胁

目前，面向网络的信息系统所面临的安全威胁主要集中在以下几个方面：

（1）非授权访问

非授权访问是指事先没有获得系统相应的授权，就访问网络或计算机的资源。即：设法避开系统的访问控制机制，对网络中的各种资源进行非法的使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

（2）信息泄露

信息泄露是指有价值的或敏感数据在有意或无意中被泄露出去或丢失，它通常包括，信息在传输中泄露或在存储介质中丢失或泄露。由于网络本身就是以广播方式传递信息的，IP协议中的路由器也能取得使用者传送的资料。目前多数网络仍以安全性较差的方式提供服务，广泛使用的收信协议，使用者账号、密码、邮件等资料，全都可以使用监听方式取得。“黑客”们能够利用各种方式截获机密信息，或通过对信息的分析，得到有用价值的信息，如用户口令、账号，等等。

（3）破坏数据完整性

破坏数据完整性是指以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。

（4）拒绝服务攻击

拒绝服务的目的在于瘫痪系统，并可能取得伪装系统的身份。拒绝服务通常是利用系统提供特定服务时的设计缺陷，消耗掉大量服务能力，若系统设计不完善，也可能造成系统崩溃。通常情况下，实施攻击者不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，导致系统难以或不可能继续执行任务，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。而分布式的拒绝服务，则进一步利用其他遭侵入的系统同时要求大量的服务。拒绝服务攻击发生时，系统通常并不会遭到破解，但该服务会丧失有效性。拒绝服务攻击是指它具有很强的破坏性，例如“电子邮件炸弹”就是一个很典型的例子。

（5）恶意代码

这类攻击可能会使系统执行特定的程序，引发严重的灾情，主要包括病毒、蠕虫、木马及其他后门程序等。计算机病毒是目前威胁网络安全的重大祸首。计算机病毒的侵入在严重的情况下会使网络系统瘫痪，重要数据无法访问甚至丢失。目前，计算机病毒已成为很多黑客入侵的先导。通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。