网络与信息安全技术 目录 第一章：网络安全概述 第二章：信息安全技术 第三章：网络安全的发展趋势 第四章：安全保密行政管理 第一章:网络安全概述 网络及信息安全 网络安全面临的威胁 信息安全 网络安全的基本需求 网络安全机制 安全管理策略 计算机网络安全等级 主要解决途径 网络与信息安全的关系 国际网络与信息安全动态 网络信息安全动态及现状 1.网络与信息安全 （1）涉及电子、通讯、计算机、应用数据 、数论、信息论等现代技术 （2）各种民间商业活动的增加，给网络安 全带来严峻形势。 （3）特点：技术含量高，应用范围广，市 场前景广阔。安全需求独特、复杂、难 度大。处理速度快,准确性,实时性要求高 2、网络安全面临的威胁 非人为因素 自然灾害，设备老化、断电、电磁泄露，存储 损坏 人为因素 无意失误和恶意攻击 不明或综合因素 安全漏洞、后门、复杂事件 3.信息安全 信息系统中的主要安全问题: 1.网络可靠性问题 (备份,网络管理，计费 等)。 2.系统本身的缺陷(芯片、操作系统,数据 库后门等) 3.恶意攻击和破坏(黑客攻击,病毒破坏等) 4.信息安全问题(信息窃取,假冒,抵赖等) 4、网络安全的基本需求 （1）保密性 （2）完整性 （3）可用性 （4）可控性 5、网络安全机制 数据加密机制 访问控制机制 数据完整性机制 数字签名机制 交换鉴别机制 流量填充机制 路由控制机制 公证机制 6、安全管理策略 分配权限，明确责任。 加强内部管理，建立审计和跟踪系统 加强网络安全教育，提高整体安全意识 。 7、计算机网络安全等级 美国将计算机系统的安全等级分为7级： 由低到高：D、C（C1、C2）、B（B1、B2、B3 ）、A 我国将计算机信息系统安全保护分为5级 ： 用户自主级、系统审计保护级、安全标记保护 级、结构化保护级、安全域级保护级。 8.主要解决途径 1.容错技术,镜像技术，双机热备份，日 志,审计等措施。 2.给系统找漏洞，打补丁 3.防火墙，杀病毒 4.密码技术，加密，签名认证。 9.网络与信息安全的关系 一.网络为信息安全提供了更大的用武之 地. 二.保证信息安全是进行网络应用及电子 商务的基础. 三.网络技术与信息安全共同发展. 10.国际网络与信息安全动态 一.产业界迅猛发展 二.政府大力扶植 三.标准化,规范化 四.学术界活跃 五.媒体热情关注 11.我国网络信息安全现状 一.与国际同步 二.保护国家利益 三.扶植民族产业 四.严格管理,制定了大量的法律,法规,条 例. 五.规范化(安全系统检测,认定等) 第二章:信息安全技术 信息安全问题： 防窃,加密技术 防伪(篡改,伪造,假冒,抵赖),信息的完整性 技术 访问控制(权限),数字签名与认证技术 安全管理(密钥,用户的管理) 统称密码技术 第三章.信息安全技术发展趋势 机遇和挑战并存 新的产业,可占领全球市场 参与国际竞争,主要是美国 国内状况比较混乱 媒体热情过高 1.电子商务安全模型 1.建立可信的认证中心(CA),向社会公开其公钥,对其私钥 进行严格保护. 2.建立权威的登记机构(RA),负责对用户真实身份的验证 3.建立严格的法律仲裁机构,对从事电子商务的纠纷进行 裁决. 4.所有用户在RA登记后,产生自己的密钥,将其公钥提交 给CA,由CA进行数字签名,作为证书颁发给用户,用户必 须妥善保存自己的私钥, 如使用IC卡. 5.任意两个用户之间进行的交易都需要数字签名和加密 保护,并妥善保存有关证据,以备仲裁使用. 2.电子商务模式 B2B：企业企业 B2C：企业消费者 B2G：企业政府 C2G：消费者政府 3.电子商务安全系统的重点问题 1.增强安全意识 2.引进与自力更生并举,安全及密码技术必须自 主研制 3.开发自主版权的电子商务系统 4.建立我国独立的安全标准 5.扶植民族产业 6.建立适合电子商务的法律体系 7.培养高水平的信息安全人才 8.高效、可靠、可信的送货体系 4.电子商务中的其他问题 1.各部门建立的CA的兼容性 2.使用国外SSL,SET等系统的安全隐患 3.建立比RSA安全性更高的认证体系 4.黑名单处理 5.基于CA的电子商务应用系统的开发 6.国际兼容性 第四章：安全保密行政管理 网络安全保密关乎国家的安危、民族的 兴衰，许多国家把它作为国家安全战略 的重大课题，列入发展规划，投入了大 量的人力、物力和财力。我国也建立了 相应的机构，作出了战略部署。 （一）安全保密行政管理主要内容 坚持两手抓：一手抓技术防范，一手抓行政管理。 1、要确保计算机信息系统的操作和维护人员纯洁可靠 ； 2、计算机信息系统正式启用前要进行安全保密检查； 3、严格划分系统的密级； 4、采取必要的屏蔽、干扰措施； 5、对秘密信息的读取和传输采取认证和加密措施； 6、加强教育、建立健全法规制度。 （二）当前安全保密存在的主要问题 四个问题： 1、安全保密意识淡薄，重建设、轻防护的现象比 较突出； 2、主要软、硬件依赖进口，泄密隐患严重； 3、安全保密技术落后，防护能力低下； 4、组织管理跟不上，缺乏宏观规划，规章制度也 不健全、不严格。 （三）目前信息系统面临的主要安全问题 四个方面： 1、网络信息的安全问题。主要威胁有特洛伊木马 程序、拒绝服务攻击、入侵、网络欺骗、信息窃 取和病毒等。 2、关键设备依赖进口的问题。隐含有后门。 3、电磁辐射问题。 4、保密意识问题。WWW、BBS等泄密，介质丢失、 被盗泄密等。 （四）提高计算机在网络上的安全性 在联网的计算机上工作，操作者必须养成一些良好的 安全习惯，否则很容易成为黑客或者一些人测试黑客工 具的实验品。 1）不要随便运行不太了解的程序。如“特洛伊木马”类黑客 程序就需要骗你运行后，才能起到窃密作用。 2）密码设置尽可能使用字母数字混排。保护重要信息的密 码最好经常更换。 3）不要随便运行黑客程序，有时会泄露你的密码信息。 4）在使用过程中，如遇到系统的提交警告或要求提供密码 等情况，要特别谨慎，最好先查看源代码，因为这很可 能提一个黑客模拟的，目的是骗取你的密码。 1）对计算机机房、终端室、数据库、控制中心应加强安全 保卫，并设报警系统。 2）对计算机房屏蔽，或配备干扰器，防止计算机的电磁波 辐射和外来的干扰。 3）对使用计算机的用户活动情况进行登记。特别是所使用 的终端、上机时间、处理数据等，便于分析发现异常的 情况。 4）对重要的数据、文件应有备份，一旦发生窃密事件，可 及时恢复原始数据。 5）对在通讯线路上传播和在库中贮存的秘密数据进行加密 ，可由软件或硬件来实现。 6）加强磁介质的抹除技术，防止数据被抹去后仍然从残存 的信号中提取复原。对记录有重要信息的磁介质不得重 新使用，应随数据一起销毁。 （五）计算机信息系统的安全保密措施 （六）网络信息系统安全保密工作应坚持的原则 一是同步建设。统一规划，统一设计，同步实施 ，同步发展。 二是分级保护。做到“上网微机不涉密，涉密微 机不上网”。 三是综合治理。一手抓技术，一手抓管理。 四是统筹兼顾。网络建设与应用，必须考虑安全 保密。 （七）网络信息系统安全保密的目标 按照“先进、科学、可靠、适用”的标 准，以“非法用户进不来，秘密信息取不 走，网络基础摧不垮”为目标。 （八）网络相关法律法规 （1）1989年，公安部发布了计算机病毒控制规定（草案）； （2）1991年，国务院常委会议通过计算机软件保护条例； （3）1994年2月18日，国务院发布中华人民共和国计算机信息系统 安全保护条例； （4）1996年2月1日，国务院发布中华人民共和国计算机信息网络 国际联网管理暂行规定； （5）1997年5月20日，国务院信息化工作领导小组制定了中华人民 共和国计算机信息网络国际联网管理暂行规定实施办法； （6）1997年，国务院信息化工作领导小组发布中国互联网络域名 注册暂行管理办法、中国互联网络域名注册实施细则； （7）1997年公安部发布计算机信息网络国际联网安全保护管理办 法； （8）2000年，互联网信息服务管理办法正式实施； （9）2000年11月，国务院新闻办公室和信息产业部联合发布互联 网站从事登载新闻业务管理暂行规定； （10）2000年11月，信息产业部发布互联网电子公告服务管理规定 。 （九）总结 1.信息安全理论和技术是先进的 2.我国软件开发实力是雄厚的 3.开发人员不稳定 4.硬件芯片不过关 5.完善和制订相关法律法规。