信息安全基本概念介绍

1、信息安全基本概念介绍一.什么是信息安全？信息安全本身包括的范围很大。大到国家军事政治等机密安全，小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。随着时代的发展带来了各方面信息量的急剧增加，并要求大容量、高效率地传输这些信息。为了适应这一形势，信息技术发生了前所未有的爆炸性发展。目前，除有线通信外，短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时，国外敌对势力为了窃取我国

2、的政治、军事、经济、科学技术等方面的秘密信息，信息安全变成了任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。总的来说，信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要包括保证信息的保密性、完整性和可用性等。其根本目的就是使内部信息不受外部威胁，因此信息通常要加密。为保障信息安全，要求有信息源认证、访问控制，不能有非法操作。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。二.什么是信息安

3、全事件？根据国家标准信息安全技术信息安全事件分类分级指南GB/Z209862007的描述，信息安全事件是指由于自然或人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。此外，该指南还将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。有害程序事件（MalwareIncidents，MI）是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件是指蓄意制造、传播有害程序

4、，或是因受到有害程序的影响而导致的信息安全事件。网络攻击事件（NetworkAttacksIncidents，NAI）是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。信息破坏事件（InformationDestroyIncidents，IDI）是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息内容安全事件（InformationContentSecurityIncidents，ICSI）是指利用信息网络发布、传播危害国家安全

5、、社会稳定和公共利益的内容的安全事件。设备设施故障（FacilitiesFaults，FF）是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。灾害性事件（DisasterIncidents，DI）是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件，包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。其他事件（OtherIncidents，OI）是指不能归为以上6个基本分类的信息安全事件。信息安全技术信息安全事件分类分级指南指出，根据信息系统自身的重要程度、系统损失和社会影响，

6、将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。三.信息安全主要威胁有哪些？（一）自然灾害及物理环境威胁地震、雷击、洪灾、火灾以及其他不可抗的突发事件，对信息系统的安全有着致命影响。这种不可抗的自然灾难一旦发生，某个信息系统可能会被彻底摧毁，所有数据信息将会彻底丢失。除了各种自然灾害和不可抗的突发事件，信息系统物理环境安全也至关重要。例如机房的防尘、防静电以及通信线路安全等，影响着信息系统的正常运行与工作。为此，对计算机机房的建设应遵循严格要求。例如，机房必须有较高的抗震级别、良好的三防设计、防意外断电与消防措施、防雷击与防静电装置等，尽量避免因自然威胁而导致的数据丢

7、失、泄露和设备损毁等情况发生。（二）信息系统自身脆弱性信息系统自身脆弱性是指信息系统采用的信息技术以及软、硬件设备自身存在的缺陷、漏洞等,是信息系统面临的安全威胁中最为重要的因素之一。例如，存储设备因长时间使用而导致老化，可能会造成存储数据的丢失与破坏；在电磁环境中进行信息传递，因通信技术机制等缺陷，电磁辐射会导致信息泄露，外界电磁干扰可能会破坏信息等等。随着信息化建设应用的逐步深化，信息系统日益复杂化、巨型化，当面对品种繁多的技术手段、庞杂海量的研发任务、参差不齐的技术人员时，信息系统在设计建造过程中很难做到“完美无缺”。设计建造时技术人员的一个疏忽或失误，都可能成为信息系统的巨大安全隐患，

8、甚至会导致重大错误。即使在设计建造时趋于完美的信息系统，也会因信息技术发展、信息安全形势的变化而产生隐患和漏洞。而这些隐患和漏洞一旦被恶意攻击者发现并利用，会对信息系统安全造成巨大威胁。（三）系统设置或用户操作不当在实际工作中，人们普遍关注信息系统自身脆弱性或外在恶意攻击等安全威胁，往往容易忽略系统设置与用户操作等内部管理行为，其实，恰恰相反，内部管理行为的不当对保障信息系统安全起着至关重要的作用，它往往能公开暴露出信息系统自身脆弱性并吸引外来的恶意攻击，从而引发信息系统安全事件。例如，安装或启用了附带高级访问权限的系统服务、自定义登录用户时设置空口令或简单口令、使用默认配置的防火墙软件、合法

9、用户的误操作、内部人员有意或无意的泄露与破坏等。许多信息安全事件的发生，分析其原因时发现并非信息系统采用的信息技术不够安全、信息安全设备不够齐备，而是系统设置与用户使用习惯存在很大问题。一些信息安全产品功能性能十分强大，但由于用户设置规则不合理，使得安全产品形同虚设，未能发挥对信息系统的安全保护作用。（四）恶意程序与网络攻击泛滥恶意程序与网络攻击是信息系统外部安全威胁的主要表现形式。根据这些威胁的性质，基本上可以归结为以下几个方面：（1）信息泄露：保护的信息被泄露或透露给某个非授权的实体。（2）破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。（3）拒绝服务：信息使用者对信息或其

10、他资源的合法访问被不正常的阻止。（4）非法使用（非授权访问）：某一资源被某个非授权的人，或以非授权的方式使用。（5）窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。（6）业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。（7）假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。（8）旁路控制：攻击者

11、利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”，利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。（9）授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。（10）抵赖：这是一种来自用户的攻击，涵盖范围比较广泛，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。（11）计算机病毒：这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序，行为类似病毒，故称作计算机病毒。（12）信息安全法律法规不完善：由于当前约束操作信息行为的法律法

12、规还很不完善，存在很多漏洞，很多人打法律的擦边球，这就给信息窃取、信息破坏者以可趁之机。四.什么是信息安全等级保护？为有效抵御网络与信息系统面临的安全威胁，国内外信息安全领域一直进行探索和研究，制定了一系列网络与信息安全政策与标准，其中重要的一项内容就是按照信息安全保护强度划分为不同安全等级，从而指导不同领域不同重要程度信息系统的安全保障工作。信息安全等级保护是信息系统安全管理中一种基本的工作制度和管理方法，是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本管理制度。信息安全等级保护的主要内容是对国家秘

13、密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。依据信息安全等级保护管理办法（公通字200743号，简称为管理办法），信息安全等级保护工作主要分为定级备案、安全建设整改、等级测评、监督检查等环节。信息系统安全保护定级工作按照自主定级、专家评审、主管部门审批、公安机关监督的流程进行。信息系统运营使用单位按照管理办法和信息系统安全等级保护定级指南（GB/T22240-2008），自主确定信息系统的安全保护等级。在具体确定安全保护等级时，主要从信息系

14、统遭到破坏后侵害的客体及对客体的侵害程度综合进行确定。信息系统安全保护等级分为五级：第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。该级信息系统运营、使用单位依据国家有关管理规范和技术标准进行自我保护。第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该级信息系统信息安全等级保护工作，由国家信息安全监管部门进行指导。第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。该级信息系统信息安全等级保护工作，由国家信息安全监管部

15、门进行监督、检查。第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。该级信息系统信息安全等级保护工作，由国家信息安全监管部门进行强制监督、检查。第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。该级信息系统信息安全等级保护工作，由国家指定专门部门进行专门监督、检查。为保证信息系统定级准确，信息系统运营使用单位应组织相关专家进行评审。有上级主管部门的，应当经上级主管部门审批，跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。公安机关负责对整个定级工作进行监督，确保定级工作顺利进行和定级准确性。五.什么是信息安全风险评估？信

16、息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的一系列过程。通过评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息安全风险评估工作按照“严密组织、规范操作、讲求科学、注重实效”的原则开展。重视和加强对信息安全风险评估工作的组织领导，完善相应的评估制度，形成预防为主、持续改进的信息安全风险评估机制。保证信息安全风险评估工作的科学性、规范性和客观性。风险评估分为自评估和检查评估两种形式。自评估是指，信息系统拥有、运营或使用单位发起的对本

17、单位信息系统进行的风险评估。自评估是由组织自身发起，依据国家有关法规与标准，对信息系统及其管理进行的风险评估活动。信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。检查评估是指，信息系统上级管理部门组织或国家有关职能部门依法开展，依据国家有关法规与标准，对信息系统及其管理进行具有强制性的检查活动。检查评估可以由信息化主管部门依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行。六.什么是信息安全应急响应？信息安全应急响应是应对信息安全事件而做出的及时、准确的响应处理，为有效应对信息安全突发事件，在应急响应过

18、程中，主要有四方面工作：一是控制事态防止蔓延。尽快协调安排信息安全应急技术支援队伍，采取必要技术措施，尽快控制信息安全事态；同时，组织和协调有关单位对该突发事件进行有针对性的预防，防止事态蔓延至其他信息系统。二是做好处置消除隐患，恢复系统运行。在控制事态基础上，对事件起因进行认真分析，有针对性地采取措施对信息系统可能的安全隐患进行修复和整改；同时，协调通信运营商以及系统软硬件设备厂商等，制定技术方案并积极、稳妥地组织实施，在确保安全可靠的前提下尽快恢复受损坏信息系统的正常运行。三是及时开展调查取证。在应急响应过程中，工作人员及相关技术操作保留相关证据。对于涉嫌认为破坏活动的，协调公安机关、国家

19、安全机关介入并开展侦查调查工作。四是信息对外发布。信息公开是应急响应工作的一项重要内容，特别是当信息系统涉及社会公众利益的，组织做好信息对外发布工作将更为迫切、紧要。各级指挥协调机构会首先统一信息发布渠道，未经许可不得发布相关信息；其次，做到及时公布信息安全事件进展情况，并对受影响的公众进行提醒、解释和疏导，以避免社会负面情绪的进一步扩大。信息安全法律法规常识一、我国已发布的涉及到信息安全的法律主要有哪些？我国信息安全立法工作始于20世纪90年代，起步相对较晚。经过20多年的发展，法律法规数量已经形成一定规模，国家法律法规、司法解释、部门规章与地方性条例，共同构成了我国信息安全法律法规体系。目

20、前，我国涉及网络信息安全的法律主要有3部：1中华人民共和国刑法在1979年的刑法中并没有相关的计算机犯罪的罪名。为预防和惩治计算机违法犯罪行为，1997年修订的中华人民共和国刑法在第285条、第286条、第287条增加了涉及计算机犯罪的4项条款：非法侵入计算机信息系统罪，破坏计算机信息系统功能罪，破坏计算机信息系统数据、应用程序罪和制作、传播计算机病毒等破坏性程序罪，为预防和打击计算机犯罪活动提供了法律依据。2009年，在刑法修正案七中对计算机犯罪相关条款进行了必要调整。2关于维护互联网安全的决定2000年12月，为进一步保障网络环境下信息的安全，全国人民代表大会常务委员会颁布实施了关于维护互

21、联网安全的决定。这是我国针对互联网应用过程出现的运行安全和信息安全专门制定的法律，该单行法律的出台对于促进我国互联网的健康发展，保障互联网络的安全具有重要意义。该法规定了损害互联网运行安全、破坏国家安全和社会稳定、扰乱社会主义市场经济秩序和社会管理秩序、侵犯个人、法人和其他组织的人身、财产等合法权利等4项犯罪行为，将依照刑法有关规定追究刑事责任。关于维护互联网安全的决定是我国目前为止直接规范网络信息安全的效力最高的法律文件，在更深入地扩充了保护对象的内涵和外延的同时，还明确了利用互联网实施的尚不构成犯罪的违法行为，将按照有关规章、条例承担行政和民事责任，这也是对信息安全违法行为及其惩处措施的有

22、力补充。3中华人民共和国电子签名法2004年8月28日，第十届全国人大常委会第十一次会议通过中华人民共和国电子签名法并于2005年4月1日起实施。该法是我国首部真正意义上的信息网络环境下的单行法律，围绕我国网络信任体系建设的关键内容，从确定电子签名的法律效力、规范电子签名的行为、明确认证机构的法律地位以及电子签名的安全保障措施等多个方面做出了具体规定。该法在我国首次赋予电子签名与文本签名具有同等的法律效力，同时明确了电子认证服务市场准入制度，维护和保障电子交易安全，进一步促进国内电子商务和电子政务的健康发展。二、我国已发布的涉及到信息安全的行政法规主要有哪些？1计算机信息系统安全保护条例199

23、4年2月28日，国务院颁布了中华人民共和国计算机信息系统安全保护条例，这是我国第一部保护计算机信息系统安全的专门法规，第一次对计算机信息系统等相关计算机术语做出明确定义，还规定了对计算机系统实行安全等级保护等管理制度。2计算机信息网络国际联网管理暂行规定及其实施办法国务院1997年5月颁布了计算机信息网络国际联网管理暂行规定从法律层面规定了国际联网、互联网络、接入网络等信息技术术语。该规定指出，国家将对国际联网统筹规划、统一标准、分级管理，由国务院信息化工作领导小组负责协调、解决有关国际联网工作中的重大问题。为落实暂行规定相关事项，国务院信息化工作领导小组于1998年3月6日发布了计算机信息网

24、络国际联网管理暂行规定实施办法，增加了如用户、国际出入口信道等专业术语的解释，对暂行规定做出进一步的细化，例如规定对于未领取国际联网经营许可证从事国际联网经营活动的，由公安机关给予警告并限期办理经营许可证，限期内不办理的才责令停止联网等。3中华人民共和国电信条例国务院2000年9月25日出台中华人民共和国电信条例，在信息安全方面主要是强调对通信网络功能、数据和应用程序的法律保护，对禁止以计算机病毒或者其他方式攻击通信设施，危害网络安全和信息安全等行为进行了详细规定。4互联网信息服务管理办法该办法于2000年9月由国务院发布实施，主要对利用互联网提供信息服务的单位或个人的相关行为进行了规范。对经

25、营性互联网信息服务的行为加以资质限制和经营许可认证，对非经营性互联网信息服务的行为加强备案管理。其目的是为了更好地规范互联网信息服务活动，促进互联网信息服务健康、有序发展。5互联网上网服务营业场所管理条例2002年8月14日，国务院第62次常务会议通过了互联网上网服务营业场所管理条例，以加强对互联网上网服务营业场所的管理，规范经营者的经营行为，维护公众和经营者的合法权益，保障互联网上网服务经营活动健康发展。6信息网络传播权保护条例2006年5月10日，国务院135次常务会议通过了信息网络传播保护条例，全面地保护了著作权人、表演者以及录音录像制作者的信息网络传播权。7相关司法解释除上述法规外，我

26、国还出台了一些相关的司法解释，如下表所示。三、我国公开发布涉及信息安全的部门规章主要有哪些？我国信息安全保护的相关规章相对较多，主要涉及域名管理、信息服务、证券委托、保密管理等方面。比较有代表性的部门规章如下表所示四、我国个人信息保护立法情况是怎样的？个人信息保护一直是信息安全保障工作的重要内容。近年来, 由于商业利益的驱使，个别违规单位及不法个人，在用户完全不知情的情况下，过度采集、擅自披露、交换共享甚至非法买卖用户信息，对用户的合法权益造成了巨大侵犯。2011年年底，我国互联网遭遇了史上最大规模的用户信息泄露事件，多家大型网站的用户数据被泄露，几千万用户账号和密码信息被公开，严重影响了社会

27、秩序和公众利益,个人信息保护立法也越来越受到社会的广泛关注。2009年，我国通过刑法修正案（七），其中第253条规定，出售或者非法提供公民个人信息，窃取或以其他方法非法获取公民个人信息，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金。这是我国首次将公民个人信息纳入刑法保护范畴，明确“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等罪名。刑法修正案（七）被认为是我国个人信息立法的标志性事件之一。2012年4月份，我国评审通过了信息安全技术 公共及商用服务信息系统个人信息保护指南国家标准，作为技术指导文件，为企业处理个人信息指定了行为准则,为开展行业自律提供了很好的工作参考。

28、该指南对个人信息的处理包括收集、加工、转移和删除四个主要环节，提出了个人信息保护的原则,主要包括有目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。其中，“最少使用”原则是指获取一个人的信息时，只要能满足使用的目的就行；“安全保障”原则是指个人信息管理者一旦收集了个人信息，就应当承担建立相应机制、保护个人信息免遭泄露的管理义务。目前，我国暂时仍没有关于个人信息保护的专项法律，在民事、行政领域以及行业自律方面仍缺乏配套措施与明确规定。不过，工业和信息化部等国家部委正在积极推动个人信息保护法的制定与出台，将及时填补我国在个人信息保护领域的法律空白，为有效保障个人

29、信息权利、科学认定和惩处信息侵权行为提供法律依据。五、我国刑法和治安管理处罚法涉及信息安全有关条款、中华人民共和国刑法（摘录）第285条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第286条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常

30、运行，后果严重的，依照第一款的规定处罚。第287条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。、中华人民共和国治安管理处罚法（摘录）第29条有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：（一）违反国家规定，侵入计算机信息系统，造成危害的；（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。信息安全常见

31、攻击技术介绍一、什么是恶意程序？恶意程序是未经授权运行的、怀有恶意目的、具有攻击意图或者实现恶意功能的所有软件的统称，其表现形式有很多：计算机病毒、特洛伊木马程序、蠕虫、僵尸程序、黑客工具、漏洞利用程序、逻辑炸弹、间谍软件等。大多数恶意程序具有一定程度的破坏性、隐蔽性和传播性，难以被用户发现，但会造成信息系统运行不畅、用户隐私泄露等后果，严重时甚至导致重大安全事故和巨额财产损失等。恶意程序可能会带来不同程度的影响与破坏。轻则影响系统正常运行、消耗主机CPU、硬盘等资源，重则可能导致传播违法图像和信息、窃取或破坏用户数据、造成信息系统服务中断等严重安全事件，有些恶意程序可以穿透和破坏反病毒软件和

32、防火墙软件，甚至对受感染计算机进行远程控制以进行危害更严重的攻击和破坏。可以说，日益泛滥的恶意程序已经成为了当前信息安全工作中最为突出的问题之一。恶意程序存在和产生的原因很多，除了其背后巨大的商业利益驱动以外，仅从技术角度而言，其主要根源是当前信息系统普遍存在设计与实现方面的缺陷。有的是系统整体设计有缺陷，有的是对新技术新发展而带来的安全威胁估计不足，有的是研发过程中存在的疏忽与遗漏，甚至还有一些情况是，软件研发单位为方便运维管理而故意留下的后门程序被恶意利用。由于以上各种技术或非技术原因，近年来，恶意程序的数量规模飞速增长，危害程度与破坏性也日趋加剧。2012年初，信息安全厂商卡巴斯基公司公

33、开透露，平均每天检测到的感染网银木马的计算机数量为2000台，平均每天新添加到卡巴斯基实验室反病毒数据库的针对敏感金融信息的恶意程序特征高达780个，占卡巴斯基产品每天检测到的恶意软件总数的1.1。虽然恶意程序的传播目的、表现形式、各不相同，但其传播途径往往具有较大相似性。各种系统与网络协议漏洞、移动存储介质、论坛附件、电子邮件附件以及多媒体播放等，是恶意程序进行传播的主要途径。最近几年，恶意程序普遍采用伪装欺骗技术（如伪装成IE快捷方式、文件夹、图片、系统文件等），用以躲避反病毒、木马等软硬件设备的查杀。二、什么是木马？特洛伊木马的概念源自于荷马史诗：古希腊大军围攻特洛伊城，长年围攻不下。后

34、来希腊人仿作神祗于城外建造了一只巨型木马，其实在马腹中藏匿了众多希腊战士。当希腊人假装撤退时，特洛伊人将木马作为战利品拖入城中。于是，藏匿在木马中的希腊人与城外部队里应外合，一举攻下了特洛伊城。该故事在信息安全领域也得到了广泛应用，在目标计算机上植入程序，通过“里应外合”来实现对目标计算机的完全控制。该程序即被称为特洛伊木马程序，俗称木马。木马程序往往由服务端和客户端两部分组成，具有较强的通信能力、交互能力和远程控制能力。木马一般可以分为良性和恶性两种，良性木马可被网络管理员用作远程管理工具，而恶性木马则被用窃取私密信息、来破坏信息系统资源、甚至利用受害计算机作为跳板以攻击其他计算机等。与计算

35、机病毒类似，木马程序一般也采用隐藏技术避免被反木马软件查杀。一般来说，木马程序不能自行传播，但是可以借助于计算机病毒进行木马的传播，或者伪装成合法软件程序欺骗用户下载和使用。应该说，木马程序是良性还是恶性，并不取决于程序本身，而是取决于如何使用。例如“冰河”、“灰鸽子”、“黑洞”等木马，如果进行合理使用，管理员可以很方便地实现对目标计算机的远程管理，但如果被黑客或者恶意用户掌握，将对用户隐私和网络安全造成严重威胁。三、什么是网络攻击，常见的网络攻击主要有哪些？网络攻击，是指根据信息系统存在的漏洞和安全缺陷，通过外部对信息系统的硬件、软件及数据进行攻击行为。当前，网络攻击是信息安全对抗的主要技术

36、手段，严重威胁、影响着信息系统的安全、平稳运行。网络攻击的技术与方法有很多种类型，通常从攻击对象入手，可以分为针对主机、协议、应用和信息等攻击。针对主机的攻击、针对主机的攻击大多数网络攻击的最终目的是破坏目标主机系统（包括终端PC、网络服务器等），攻击时主要是非法窃取或破坏用户文件、非法修改注册表和BIOS等关键配置信息、开启特定系统服务与端口、释放病毒、安装木马程序与后门，或者将目标主机系统作为跳板以发起更大危害的攻击。恶意攻击者对目标主机进行初步信息收集和端口扫描后，基本可以判断攻击入口以及攻击成功的可能性。收集的信息包括目标主机是运行的操作系统类型，开放了哪些端口和服务，安装了哪些应用程

37、序以及版本号，然后进一步判断该主机可能有哪些漏洞，然后有针对性地实施攻击。、针对通信协议的攻击通信协议是网络和信息系统的运行和使用的基础，针对通信协议进行攻击，会严重影响网络与信息系统的可用性，甚至可以破坏信息系统直至瘫痪。常见的针对通信协议的攻击有拒绝服务式攻击、ARP欺骗、DNS欺骗、会话劫持、IMAP和SMTP攻击等。、针对应用的攻击虽然操作系统或者网络协议的安全缺陷与漏洞的危害较大，但是操作系统和网络协议往往设计和维护的力量较强，漏洞相对较少，并且修补速度较快。与之相反，用户使用的很多应用程序和各种第三方插件种类繁多，相应的安全检测不够全面，存在的漏洞相对较多，近几年由应用程序引发的攻

38、击越来越多。这类攻击如果被黑客充分掌握和利用，同样会对系统造成较大的破坏和危害，必须给予足够的重视。针对应用的攻击种类繁多，常见的应用型攻击，包括针对Web网站的攻击、对办公软件进行的攻击、对数据库进行的攻击以及利用媒体播放器和电子邮件进行的攻击等等。、针对信息的攻击针对信息的攻击主要是指通过各种技术方法，直接破坏信息自身的保密性、完整性和不可否认性等安全属性。针对信息的攻击主要包括信息窃听、篡改、伪造、身份假冒、行为否认等。关于信息窃听，木马程序就是其中一种技术方法。木马程序不仅可以被安装用户计算机上以实现用户隐私信息的监听和窃取，而且可以被安装在网络核心节点服务器或路由器上，而对该网络上的

39、所有网络通信进行监听和窃取均被。虽然大多数网络应用程序对通信过程进行了加密处理，在一定程度上保护了信息的安全，但是黑客仍然可以对应用程序自身的解密功能进行提取利用，用于监听、篡改或伪造通信内容。在现实生活中，身份假冒攻击和行为否认等行为时常发生，在网络社会中也是如此。前面介绍的ARP欺骗和会话劫持攻击等就属于典型的身份假冒攻击，即攻击者通过技术手段窃取合法用户的身份，然后以该用户的身份与服务器进行交互的攻击过程。行为否认是指对不承认自己已经进行并成为事实的操作。由于部分信息系统中的安全机制设计不合理，容易被攻击者获取用户私钥等关键信息，那么攻击者利用用户私钥进行数字签名或篡改已经签名的信息，进

40、行身份假冒或行为否认等操作，此类攻击后果将十分严重。四、常见的网络攻击步骤是什么？ 网络攻击的一般过程如下图所示。攻击者首先是寻找到目标主机并进行分析探测，尝试发现其存在的安全漏洞；其次是采取各种技术手段对安全漏洞加以利用以获得目标主机的控制权；然后，攻击者对目标主机实施破坏操作，包括窃取隐私信息、删除并破坏用户文件以及实施其他非法行为；最后，攻击者为避免被发现和责任追究，往往采取清除日志、删除备份文件等方式来隐藏自己的网络攻击痕迹，甚至安装后门程序，以方便再次进入并利用该目标主机。、攻击的准备阶段攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的，即给对方造成什么样的后果。确定攻

41、击目的之后，攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本，目标系统开放了那些端口，提供哪些服务，查看是否有能被利用的服务。进行信息收集，可以用手工进行，也可以利用扫描器等工具来完成。、 攻击的实施阶段当攻击者收集到足够的信息，了解到系统安全弱点之后就会发动攻击行动。根据不同的攻击目的或不同信息系统结构等因素，攻击者采用的攻击手段也是不同的。如果是破坏性攻击，只需利用工具发动攻击即可。而大部分攻击是入侵性攻击，往往要利用收集到的信息，找到其系统漏洞，然后利用该漏洞获取一定的权限，窃取或破坏目标系统的信息等。、攻击的巩固阶段为了保证攻击的顺利完成，

42、攻击者必须保持连接的时间足够长。虽然攻击者到达这一阶段也就意味已成功地规避了系统的安全控制措施，但是利用一些系统安全漏洞获取的不一定是最高权限，而往往只是一个普通用户的权限，通常达不到攻击者的目标，只有获得了最高的管理员权限之后，才可以做诸如网络监听、打扫痕迹之类的事情。攻击者往往进一步利用本地漏洞来把获得的权限进行扩大，通常会设法扩大至系统的管理员权限。、攻击的后续处理如果攻击者完成攻击后就立刻离开系统而不做任何后续处理工作，那么他的行踪将很快被系统管理员发现，因为所有的网络操作系统一般都提供日志记录功能，会把系统上发生的动作记录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自己在日志中留下

43、的痕迹。五、什么是拒绝服务攻击？拒绝服务攻击（DoS）即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。常见的造成网络带宽的耗尽，使合法用户无法正常访问服务器资源的攻击，也只是拒绝服务攻击的一部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加

44、大。此时，分布式的拒绝服务攻击手段（DDoS）就应运而生，攻击者利用更多的主机来发起进攻，以更大的规模来进攻受害者，使被攻击的主机不正正常工作。六、什么是网络钓鱼？网络钓鱼，又名钓鱼法或钓鱼式攻击，是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。网络钓鱼网站被仿冒的大都是电子商务网站、金融机构网站、第三方在线支

45、付站点、社区交友网站。 如在2010年春节前期，一些不法分子通过飞信、聊天工具以及垃圾邮件大量传播假冒央视“非常 6+1栏目”的钓鱼网站信息，由于此次事件发生时正值春节临近，不法分子借用“中奖”、“送礼品”等幌子进行网络欺诈，极易使用户受到蒙骗，造成重大的经济损失。根据 CNCERT 掌握的情况，当时假冒“非常 6+1栏目”的钓鱼网站多达数十个。网络钓鱼属于是“社会工程攻击”的一种形式。七、什么是僵尸网络？僵尸网络是互联网上受到黑客集中控制的一群计算机，这些计算机被感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络，而被感染的主机将通过一个控制信道接收攻

46、击者的指令，组成一个僵尸网络。这个僵尸网络往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码等也都可被黑客窃取。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的

47、用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。信息安全防护常用技术1.密码技术密码学是一门古老的科学，大概自人类社会出现战争时起便出现了密码。在 1949 年之前，密码技术更多地只能称为艺术而不是科学，密码的设计和分析是凭直觉和经验来进行的，而不是靠严格的理论证明。而随着电子计算机的诞生以及香农 (Shannon) 发表了保密系统的通信理论一文，密码学的研究才真正进入现代科学研究的范畴。密码学又是一门年轻的科学，随着科学技术的进步，密码学的研究也日新月异。首先，密码学越来越依赖于数学知识，现代密码学离开数学几乎是不可想象的。其次，密码学还与别的学科相互渗透。如量子力学、光

48、学、生物学等自古以来，密码主要应用于军事、政治、外交等机要部门，因而密码学的研究工作本身也是秘密进行的。然而随着计算机科学、通信技术、微电子技术的发展，计算机网络的应用进入了人们的日常生活和工作中，从而产生了保护隐私、敏感甚至秘密信息的需求。而且这样的需求在不断扩大，于是密码学的应用和研究逐渐公开化。研究密码编制的科学称为密码编制学，研究密码破译的科学称为密码分析学，它们共同组成了密码学。密码技术的基本思想就是伪装信息，即对信息做一定的数学变换，使不知道密钥的用户不能解读其真实的含义。变换之前的原始数据称为明文，变换之后的数据称为密文，变换的过程就叫做加密，而通过逆变换得到原始数据的过程就称为

49、解密。2.什么是认证？常见的认证有哪些？在密码技术的应用中，认证通常包括两个方面的内容：（1）身份认证，即通信的对象是合法有效的；（2）信息认证，即确认信息是来自其自称的来源，同时也确认消息传输过程中没有被调换或篡改。身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，HYPERLINK /view/1014826.htm t

50、 _blank身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。常见的身份认证技术包括：用户名/口令认证方式、智能卡（IC卡）/动态口令认证方式、USB Key认证方式、生物特征认证方式等。常见的信息认证技术包括：信息认证码（MAC）和安全散列函数（SHA）。3.什么是数字签名？数字签名是通过密码技术运算生成一系列符号或代码，来代替书写签名或印章。这种方法被广泛运用于电子政务、电子商务领域。在传统的商务、政治和外交活动中，为了保证交易、手续的真实有效，一份书面合同或是公文必须由双方当事人签字、盖章以示认可，便于让交易双方查验和备案。但在电子商务（E-C

51、overnance）和电子政务（E-Governance）中，合同和文件是以电子文档的方式保存和传递的，无法进行传统的签字和盖章，为能实现电子文件签字、盖章功能，人们基于非对称密码技术研究出“电子签名”。电子签名可进行技术验证，以保证文件处理的安全性和当事人的不可抵赖性。数字签名大致包括签署和验证两个过程。在签署阶段，签署方对信息采用摘要算法生成摘要，并使用私钥对照要信息加密，附在原始信息后面；在验证阶段，接收方分离出加密的摘要报文，用公钥解密，同时使用摘要算法进行摘要计算，比对所得的摘要信息与计算机生成摘要信息的一致性，以确认信息来源。4.什么是防火墙？防火墙技术，最初是针对 Interne

52、t 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络 HYPERLINK /view/200012.htm t _blank 用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护 HYPERLINK /view/21848.htm t _blank 内部网免受非法用户的侵入。防火墙，广义的说并不专指某种设备，而是一套安全性策略的总称，是网络安全的第一道防线，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成

53、。它可以是一个路由器、一台计算机，或者是一组设备。一般部署防火墙时可以参考以下原则：（1）限制他人进入内部网络，过滤掉不安全服务和非法用户。（2）防止入侵接近防御设施。（3）限制用户访问特殊站点。（4）监视Internet安全，提供方便。5.防火墙主要有哪些类型？防火墙从软、硬件形式上可分为软件防火墙、硬件防火墙和纯硬件防火墙。按防火墙对流经数据的处理方法可分为包过滤防火墙和代理技术防火墙。（1）软件防火墙软件防火墙通过软件实现防火墙的功能，需要在计算机上安装防火墙软件并做好配置工作。（2）硬件防火墙硬件防火墙基于普通的PC架构，运行经过裁剪和简化的现有操作系统，如Unix、Linux和Fre

54、eBSD系统，其安全性会受到操作系统本身的影响。（3）纯硬件防火墙纯硬件防火墙基于专门的硬件平台，包括专有的ASIC芯片，采用专用的操作系统。其中，专用的ASIC芯片具有更高的处理速度、更强的处理能力；而专用的操作系统漏洞比较少，安全性能高。当然，纯硬件防火墙的价格也相对比较高。硬件防火墙和纯硬件防火墙都是具有防火墙功能的硬件产品，它们的区别在于是否基于专用的硬件平台，是否采用专用的操作系统。6.什么是入侵检测系统？有什么功能？入侵检测（Intrusion Detection）是识别未经授权的系统访问或操作的监督过程。网络管理员日常的系统检测、日志审核工作，事实上就是在进行入侵检测。入侵检测系

55、统（IDS）是根据已有的检测规则，对计算机网络进行入侵检测的软件或硬件系统。它可以智能化地完成入侵检测任务，减轻网络管理员的工作负担，防范具体的安全事件，给网络安全管理提供了一个集中、方便、有效的工具。入侵检测系统能够识别口令破解、协议攻击、缓冲区溢出、恶意命令、漏洞扫描、未授权的文件操作、恶意代码、拒绝服务攻击等入侵行为，并进行记录形成日志。入侵检测日志可以帮助管理员明确网络攻击来源、评估入侵损失、判断入侵部位、完善网络安全管理。入侵检测系统主要基于主机和基于网络两类。基于主机的入侵检测系统在重要的系统服务器、工作站或用户机器上运行，他根据审计数据监视、寻找系统中的可疑活动。这类系统需要定义

56、那些属于不合法的活动，然后将这种安全策略转换为入侵检测规则。基于网络的入侵检测系统则是被动地在网络上监听整个网段上的信息流，通过捕获网络数据包来进行分析，从而检测出网络中发生的入侵现象。7.什么是虚拟专用网？虚拟专用网(VPN)是对企业内部网（Intranet）的扩展，是指通过一个公用网络（通常是Internet）建立一个临时的、安全的专用的连接，是建立在公用网络基础上的安全、稳定的专用数据通信网络隧道。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术等四项安全保证技术，可以从用户和运营商角度根据网络通信的需求方便地进行管理。VPN通过建立一个隧道，利用加密技术对传输

57、数据进行加密，以保证数据的私有和安全性，VPN可以不同要求提供不同等级的服务质量保证（QoS）。此外，VPN具有可扩充性和灵活性的特点，支持通过Internet和Extranet的任何类型的数据流。8.什么是漏洞扫描？如何减少系统漏洞？系统漏洞是指操作系统的缺陷或编写错误，这个缺陷或错误可能会被黑客攻击，从而窃取电脑中的重要信息，甚至破坏系统。漏洞扫描就是探测系统中是否存在潜在的漏洞，通常是指基于漏洞数据库，通过扫描等手段，对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。对于一般用户来说，减少系统漏洞的最有效方法是及时下载安装漏洞补丁。以Wi

58、ndows系统为例，漏洞一旦被发现，微软公司会将相关信息和防范措施及时公布在网上，用户应及时下载安装，可以通过“360安全卫士”的“修复系统漏洞”功能自动进行系统漏洞的检测和修复。对网络管理员而言，可以在网络中搭建微软WSUS服务器或SMS服务器对全网提供终端补丁下载，也可以布置终端准入系统强制终端升级补丁。9.什么是安全审计？安全审计是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。安全审计能帮助安全人员审计系统的可靠性和安全性；对妨碍系统运行的明显企图及时报告给安全控制台，及时采取措施。一般

59、要在网络系统中建立安全保密检测控制中心，负责对系统安全的监测、控制、处理和审计。所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。终端计算机主要隐患及防范1.操作系统升级有什么作用？ 无论是什么操作系统，都会存在系统漏洞，而病毒、木马等恶意程序很容易通过漏洞破坏用户的计算机，破坏程序和数据等等。及时对操作系统升级或是打补丁，是防止黑客攻击和恶意程序破坏的有效手段，通常，对操作系统的升级或打补丁最基本的方式有两种：其一是在线方式，其二是手工方

60、式。一般来说，操作系统（如微软Windows）都可以通过设置自动更新，当计算机连接到Internet时，操作系统自动更新程序会在后台查找，在操作系统发行重要更新时立即自动下载并安装。手工对系统或打补丁时，通常是到官方网站上查找升级或补丁程序，然后阅读相关说明信息，点击链接下载并安装下载的补丁程序。对于对安全性要求较高而要与互联网隔离的计算机，应该采用手工方式升级或打补丁。常是通过一台计算机在网上下载计算机的补丁程序，而在另一台计算机上安装。需要提醒的是，因为补丁程序也是可执行的程序，从非官方或权威网上下载的补丁可能会包含恶意代码，所以在安装补丁程序时需要确保补丁不是来自可疑的网站。. 常用的口