信息网络安全概论

1、信息网络安全概论广州市公安局公共信息网络安全监察处卢 韦学习的必要性随着信息技术的发展，各行各业对信息网络的依赖程度越来越高，这种高度依赖性使信息社会变得（显得）十分“脆弱”，使信息网络安全面临日益严峻的形势。安全和秩序是社会生活，包括经济生活和人们日常生活正常进行的前提和保障，在信息网络这个“虚拟社会”也不例外。 学习内容信息网络安全保护的三大组成部分安全法规；安全技术；安全管理。信息网络安全的概念“安全”的基本含义：客观上不存在威胁，主观上不存在恐惧。国际标准化组织（ISO）对“计算机安全”的定义：计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运

2、行。“信息网络安全”的定义：信息网络的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行，网络服务不发生中断。 有关概念的演变计算机信息系统安全；计算机信息网络安全；信息网络安全；信息安全。 这些演变说明 从强调“系统”到强调“网络”，反映出信息网络日益重要的地位；从强调“计算机网络”到强调“信息网络”，反映出“网络”的内涵的扩展；从强调“网络安全”到强调“信息安全”，反映出人们对安全保护的最终目的认识的加深；把握“安全”的核心是“网络”和“信息”。信息网络安全的要求 信息的保密性；信息的完整性；信息的可用性；信息的可控性；信息行为的不可否认性。影响信息网络

3、安全的因素 自然因素；人为因素；技术因素。影响信息网络安全的人为因素动机：主动故意、被动疏忽；领域：政治、军事、经济等等；形式：病毒、黑客、垃圾及有害信息等等；手段：技术手段、非技术手段。 影响信息网络安全的技术因素 软件工程的复杂性和多样性，使得软件产品不可避免地存在各种漏洞；存储器的容量非常大；电子数据的非物质特性；电磁辐射也可能泄露有用信息；网络环境下电子数据的可访问性对信息的潜在威胁比对传统信息的潜在威胁大得多；不安全的网络通信信道和通信协议；技术依赖性。导致构筑一个安全系统难度的原因系统软件，包括操作系统正变得越来越复杂，使得系统漏洞的存在是理所当然的；随着联网需求的日益增长，将来自

4、系统外部的服务请求完全隔离是不可能的；组成信息网络的某些关键技术并非安全。 对信息网络安全的正确认识 绝对安全是不存在的；达到某种安全程度是可能的；安全是动态的管理过程；在安全性和实用性、经济性之间取得平衡。信息网络安全保护的概念 保障信息网络及其相关设备、设施的安全；保障运行环境的安全；保障信息的安全；保障信息网络的运行安全。信息网络安全保护的环节 物理安全和逻辑安全；静态安全和动态安全；人员安全。信息网络安全保护的两个方面 国家实施的安全监督管理；信息网络使用单位自身的保护措施。信息网络安全模型 预警；保护；检测；响应；恢复；反击。信息网络安全策略 概念：在某个安全区域内，用于所有与安全相

5、关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施。三个方面：安全策略目标；机构安全策略；系统安全策略。内容：资源的安全级别；可能存在的威胁；保护的措施。信息网络安全保护的三大组成部分 安全法规；安全管理；安全技术。信息网络安全法规 法规；政策；技术规范。信息网络安全标准简介美国的“可信计算机系统评估准则（TCSEC）”；欧洲信息技术评估准则（ITSEC）；加拿大可信计算机产品评估准则（CTCPEC）；美国联邦准则（FC）；联合公共准则（CC）；ISO安全体系结构标准（ISO7498-2）；我国国家标准计算机信息系统安全保护等级划分准则（GB

6、17859-1999）。 信息网络安全管理 组织建设；制度建设；人员教育。信息网络安全技术 事前检查；事中防护、监测、控制；事后取证。网络中所采用的安全机制加密和隐蔽；认证和身份鉴别；审计；完整性保护；权力控制和存取控制；业务填充；路由控制；公证；冗余和备份。几种信息网络安全技术简介 防火墙；VPN（Virtual Private Networking，虚拟专用网）；PKI（Public Key Infrastructure，公开密钥基础设施）；IDS（入侵检测系统）。信息网络安全保护的逻辑层次 信息；安全软件；安全硬件；安全物理环境；法律规范纪律；职业道德；人。公共信息网络安全监察中华人民共

7、和国计算机信息系统安全保护条例第六条：“公安部主管全国计算机信息系统安全保护工作。”；中华人民共和国人民警察法第六条：“公安机关的人民警察按照职责分工，依法履行下列职责：（十二）监督管理计算机信息系统的安全保护工作；”。公共信息网络安全监察的性质 公安工作的一个重要组成部分；预防各种危害的重要手段；行政管理的重要手段；打击犯罪的重要手段。公共信息网络安全监察的一般原则预防与打击相结合；专门机关监管与社会力量相结合；纠正与制裁相结合；教育与处罚相结合。公共信息网络安全监察的任务 依法加大对国际互联网安全管理力度，强化安全管理的基础工作；加大对互联网上违法犯罪活动的打击力度，保障社会稳定，维护社会治安秩序和广大网民的合法权益；加