Weaknesses）、安全漏洞（Holes）。 ? 物理安全、操作系統(tǒng)、應(yīng)用軟件、TCP/IP網(wǎng)絡(luò)協(xié)議和人

　　? 可以說一個(gè)安全事件（Security Event）的發(fā)生是由于外 在的威脅（Threat）和內(nèi)部的脆弱點(diǎn)（Vulnerability） 所決定的。

　　? 在這里討論信息安全的概念時(shí)，沒有直接提及攻擊（ Attack），因?yàn)橄鄬τ诒硐缶唧w的攻擊，安全事件更具有 一般性。本章案例中的“棱鏡”計(jì)劃的泄露算不上是斯諾 登發(fā)起的一次網(wǎng)絡(luò)攻擊，它這次的機(jī)密信息的泄露的確算 得上是一個(gè)安全事件。

　　? 基于以上的分析，我們很難對什么是“安全”給出一個(gè)完 整的定義，但是不妨我們從反面給出什么是“不安全”。 例如：

　　九游體育平臺(tái)app 九游體育網(wǎng)址

　　? 系統(tǒng)不及時(shí)打補(bǔ)??； ? 使用弱口令，例如使用“1234”甚至是“password”

　　作為賬戶的口令； ? 隨意地從網(wǎng)絡(luò)下載應(yīng)用程序； ? 打開不熟悉用戶發(fā)來的電子郵件的附件； ? 使用不加密的無線

　　? 對信息系統(tǒng)的威脅是指：潛在的、對信息系統(tǒng)造成危害的 因素。對信息系統(tǒng)安全的威脅是多方面的，目前還沒有統(tǒng) 一的方法對各種威脅加以區(qū)別和進(jìn)行準(zhǔn)確的分類，因?yàn)椴?同威脅的存在及其重要性是隨環(huán)境的變化而變化的。

　　等）訪問，使信息不泄漏給未授權(quán)的實(shí)體。 ? 這里所指的信息不但包括國家秘密，而且包括各種社會(huì)團(tuán)

　　九游體育平臺(tái)app 九游體育網(wǎng)址

　　體、企業(yè)組織的工作秘密及商業(yè)秘密，個(gè)人的秘密和個(gè)人 隱私（如瀏覽習(xí)慣、購物習(xí)慣等）。

　　? 如果我們計(jì)算機(jī)的操作系統(tǒng)打過了補(bǔ)丁（Patch）是不是 就可以說這臺(tái)機(jī)器就是安全的？

　　? 0 day漏洞就是指在系統(tǒng)商不知曉或是尚未發(fā)布相關(guān)補(bǔ)丁 前就被掌握或者公開的漏洞信息。

　　? （2）脆弱點(diǎn) ? 3）網(wǎng)絡(luò)和通信協(xié)議 ? TCP/IP協(xié)議棧在設(shè)計(jì)時(shí)，只考慮了互聯(lián)互通和資源共享

　　的問題，并未考慮也無法同時(shí)解決來自網(wǎng)絡(luò)的大量安全問 題。 ? 例如電子郵件沒有認(rèn)證和加密。

　　? （1）CIA安全需求模型 ? 1）保密性（Confidentiality） ? 保密性是指確保信息資源僅被合法的實(shí)體（如用戶、進(jìn)程

　　? 由于“信息”、“網(wǎng)絡(luò)”、“安全”這幾個(gè)概念的內(nèi)涵 與外延一直呈現(xiàn)不斷擴(kuò)大和變化的趨勢，對于“信息安 全”，目前還沒有一個(gè)統(tǒng)一的定義。

　　? 為此，本節(jié)接下來從對信息安全的感性認(rèn)識、安全事件 的發(fā)生機(jī)理、以及從安全的幾大需求等多個(gè)角度來帶領(lǐng) 大家認(rèn)識信息安全。

　　? 如果我們的計(jì)算機(jī)從互聯(lián)網(wǎng)完全斷開是不是就可以確保我 們計(jì)算機(jī)的安全？

　　? 即使我們的計(jì)算機(jī)完全與互聯(lián)網(wǎng)斷開，機(jī)器的硬件仍有被 竊或是遭受自然災(zāi)害等破壞的風(fēng)險(xiǎn)。

　　的因素等各個(gè)方面都存在已知或未知的脆弱點(diǎn)，它們?yōu)榘?全事件的發(fā)生提供了條件。

　　? （2）脆弱點(diǎn) ? 1）物理 ? 計(jì)算機(jī)系統(tǒng)物理方面的安全主要表現(xiàn)為物理可存取、電磁

　　泄露等方面的問題。此外，物理安全問題還包括設(shè)備的環(huán) 境安全、位置安全、限制物理訪問、物理環(huán)境安全和地域 因素等。 ? 移動(dòng)存儲(chǔ)器小巧易攜帶、即插即用、容量大等特性實(shí)際上 也是這類設(shè)備的脆弱性。 ? 例如機(jī)房安排的設(shè)備數(shù)量超過了空調(diào)的承載能力

　　? （2）脆弱點(diǎn) ? 2）軟件系統(tǒng) ? 計(jì)算機(jī)軟件可分為操作系統(tǒng)軟件、應(yīng)用平臺(tái)軟件（如數(shù)據(jù)

　　庫管理系統(tǒng)）和應(yīng)用業(yè)務(wù)軟件三類，以層次結(jié)構(gòu)構(gòu)成軟件 體系。 ? 可以說，任何一個(gè)軟件系統(tǒng)都會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、 開發(fā)中的一個(gè)不規(guī)范等原因而存在漏洞。

　　? 如果我們的郵箱賬戶使用了強(qiáng)的口令（Password）是不 是可以說郵箱就是安全的？

　　? 即使使用了強(qiáng)口令，但是用戶對于口令保管不善，例如遭 受欺騙而泄露，或是被偷窺

　　? 另一方面，由于網(wǎng)站服務(wù)商管理不善，明文保存用戶口令 并泄露用戶口令，均會(huì)造成強(qiáng)口令失效。

　　? （2）脆弱點(diǎn) ? 4）人的脆弱點(diǎn) ? 人是信息活動(dòng)的主體，人的因素其實(shí)是影響信息安全問題

　　的最主要因素，例如下面3種情況。 ? 人為的無意失誤。 ? 人為的惡意攻擊。 ? 管理上的因素。