信息网络安全概述

信息网络安全概述第一页，共六十三页，2022年，8月28日信息网络安全概述信息网络安全与计算机信息系统信息网络面临的威胁及其脆弱性信息网络安全保护信息网络安全监察网络职业道德与社会责任第二页，共六十三页，2022年，8月28日一、信息网络安全与计算机信息系统

（一）计算机信息系统（信息网络）概念：由计算机及其相关配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。第三页，共六十三页，2022年，8月28日（二）信息网络安全信息网络安全是一门涉及计算机科学、网络技术、应用数学、信息论等多种学科的综合性学科，其实质就是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，网络服务不中断。第四页，共六十三页，2022年，8月28日信息网络安全的目标保护网络信息的保密性、完整性、可用性、不可抵赖性。网络安全指的是保护网络信息系统，使其没有危险，不受威胁，不出事故。第五页，共六十三页，2022年，8月28日进不来拿不走改不了看不懂跑不掉不可抵赖性机密性完整性可用性第六页，共六十三页，2022年，8月28日1．可用性可用性指信息或者信息系统可被合法用户访问，并按其要求运行的特性。如图所示，“进不来”、“改不了”和“拿不走”都实现了信息系统的可用性。人们通常采用一些技术措施或网络安全设备来实现这些目标。例如：使用防火墙，把攻击者阻挡在网络外部，让他们“进不来”。即使攻击者进入了网络内部，由于有加密机制，会使他们“改不了”和“拿不走”关键信息和资源。第七页，共六十三页，2022年，8月28日2．机密性机密性将对敏感数据的访问权限控制在那些经授权的个人，只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息，或防止信息被加工。如图所示，“进不来”和“看不懂”都实现了信息系统的机密性。人们使用口令对进入系统的用户进行身份鉴别，非法用户没有口令就“进不来”，这就保证了信息系统的机密性。即使攻击者破解了口令，而进入系统，加密机制也会使得他们“看不懂”关键信息。例如，甲给乙发送加密文件，只有乙通过解密才能读懂其内容，其他人看到的是乱码。由此便实现了信息的机密性。第八页，共六十三页，2022年，8月28日3．完整性完整性指防止数据未经授权或意外改动，包括数据插入、删除和修改等。为了确保数据的完整性，系统必须能够检测出未经授权的数据修改。其目标是使数据的接收方能够证实数据没有被改动过。如图所示，“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制，可以保证信息系统的完整性，攻击者无法对加密信息进行修改或者复制。第九页，共六十三页，2022年，8月28日4．不可抵赖性不可抵赖性也叫不可否认性，即防止个人否认先前已执行的动作，其目标是确保数据的接收方能够确信发送方的身份。例如，接受者不能否认收到消息，发送者也不能否认发送过消息。如图所示，“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者进行了非法操作，系统管理员使用审计机制或签名机制也可让他们无处遁形。第十页，共六十三页，2022年，8月28日二、信息网络面临的威胁及脆弱性（一）网络系统的脆弱性（二）网络系统面临的威胁（三）产生威胁的原因第十一页，共六十三页，2022年，8月28日操作系统的脆弱性计算机系统本身的脆弱性电磁泄漏数据的可访问性通信系统和通信协议的脆弱性数据库系统的脆弱性存储介质的脆弱（一）网络系统的脆弱性（漏洞）第十二页，共六十三页，2022年，8月28日1、操作系统的脆弱性

NOS体系结构本身就是不安全的--操作系统程序的动态连接性。操作系统可以创建进程，这些进程可在远程节点上创建与激活，被创建的进程可以继续创建进程。

NOS为维护方便而预留的无口令入口也是黑客的通道。第十三页，共六十三页，2022年，8月28日

2、计算机系统本身的脆弱性硬件和软件故障：硬盘故障、电源故障、芯片主板故障、操作系统和应用软件故障。存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。第十四页，共六十三页，2022年，8月28日3、电磁泄漏计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射，从而造成有用信息甚至机密信息泄漏。第十五页，共六十三页，2022年，8月28日4、数据的可访问性进入系统的用户可方便地拷贝系统数据而不留任何痕迹；网络用户在一定的条件下，可以访问系统中的所有数据，并可将其拷贝、删除或破坏掉。第十六页，共六十三页，2022年，8月28日5、通信系统与通信协议的脆弱性通信系统的弱点：网络系统的通信线路面对各种威胁就显得非常脆弱,TCP/IP及FTP、E-mail、WWW等都存在安全漏洞，如FTP的匿名服务浪费系统资源，E-mail中潜伏着电子炸弹、病毒等威胁互联网安全，WWW中使用的通用网关接口程序、JavaApplet程序等都能成为黑客的工具，黑客采用TCP预测或远程访问直接扫描等攻击防火墙。第十七页，共六十三页，2022年，8月28日6、数据库系统的脆弱性由于DBMS对数据库的管理是建立在分级管理的概念上的，因此，DBMS存在安全隐患。另外，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处。黑客通过探访工具可强行登录和越权使用数据库数据；数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。第十八页，共六十三页，2022年，8月28日7、存储介质的脆弱性软硬盘中存储大量的信息，这些存储介质很容易被盗窃或损坏，造成信息的丢失。介质的剩磁效应：废弃的存储介质中往往残留有关信息。第十九页，共六十三页，2022年，8月28日（二）信息网络系统面临的威胁非授权访问：是指没有预先经过同意，就使用网络或计算机资源，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。非授权访问主要有以下几种形式：假冒身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。第二十页，共六十三页，2022年，8月28日（二）信息网络系统面临的威胁信息泄露或丢失：指敏感数据在有意或无意中被泄露出去或丢失。它通常包括：信息在传输中丢失或泄露（如“黑客”们利用电磁泄露或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息），信息在存储介质中丢失或泄露，通过建立隐蔽隧道等窃取敏感信息等。第二十一页，共六十三页，2022年，8月28日（二）信息网络系统面临的威胁破坏数据完整性：是指以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。拒绝服务攻击：是指不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序，使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络或不能得到相应的服务。利用网络传播病毒：是通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。第二十二页，共六十三页，2022年，8月28日影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；还可能是外来黑客对网络系统资源的非法使用。归结起来，产生网络不安全的原因有以下几个方面：（三）产生威胁的原因第二十三页，共六十三页，2022年，8月28日（1）人为的无意失误如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。（三）产生威胁的原因第二十四页，共六十三页，2022年，8月28日(2)人为的恶意攻击这是计算机网络面临的最大威胁。敌人的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。（三）产生威胁的原因第二十五页，共六十三页，2022年，8月28日（3）软件漏洞网络信息系统由硬件和软件组成，由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。软件漏洞显然会影响网络信息的安全与保密。如操作系统的安全漏洞（现在大多数病毒都是针对操作系统的漏洞编写的）、数据库的安全漏洞、协议的安全漏洞、网络服务的漏洞、远程登录、电子邮件、口令设置的漏洞、结构隐患等。（三）产生威胁的原因第二十六页，共六十三页，2022年，8月28日（4）网桥的安全隐患网桥是独立于协议的互连设备，工作在OSI参考模型的第二层。它完成数据桢的转发，主要目的是在连接的网络间提供透明的通信。网桥的转发依据数据桢中源地址和目的地址来判断一个数据桢是否应转发到哪个端口。桢中的地址为“MAC”地址或“硬件”地址，一般就是网卡自带地址。（三）产生威胁的原因第二十七页，共六十三页，2022年，8月28日网络上的设备看不到网桥的存在，设备之间的通信就如同在一个网络上。由于网桥是在数据桢上转发的，因而只能连接相同或相似的网络（如以太网之间、以太网与令牌网之间的互连），只能转发相同或相似的数据桢。对于不同类型的网络（如以太网与X.25之间）或不同的数据桢结构，网桥就失去了作用。（三）产生威胁的原因第二十八页，共六十三页，2022年，8月28日（5）路由器的安全隐患路由器工作于OSI网络模型的第三层（网络层）。路由器管基本功能可概括为路由和交换。所谓路由，是指信息传送会选择最佳路径，以提高通信速度，减轻网络负荷，使网络系统发挥最大的效益；所谓交换是指路由器能够连接不同结构、不同协议的多种网络，在这些网络之间传递信息。第二十九页，共六十三页，2022年，8月28日由于路由器要处理大量的信息，并且其任务繁重（路由选择、信息及协议转换、网络安全功能的实现、信息的加密和压缩处理、优先级控制、信息统计等），因而它比网桥要慢，而且可能会影响到信息量。路由器共有两种选择方式，即静态路由选择和动态路由选择。第三十页，共六十三页，2022年，8月28日与之相应，路由表有静态路由表和动态路由表。动态路由表具有可修改性，可能会给网络安全带来危害。若一个路由器的路由表被恶意修改或遭受破坏，则可能会给网络的整体或局部带来灾难性的后果。此外，某些局域网可能会采用IP过滤技术，利用路由器的IP过滤对来自网络外部的非授权用户进行控制，但由于IP的冒用，往往不能达到维护网络安全的目的，而且此法可能会引起网络黑客对路由表的攻击。（三）产生威胁的原因第三十一页，共六十三页，2022年，8月28日信息网络安全概述信息网络安全与计算机信息系统信息网络面临的威胁及其脆弱性信息网络安全保护信息网络安全监察网络社会责任与职业道德第三十二页，共六十三页，2022年，8月28日三、信息网络安全保护（一）我国信息网络安全目前存在的问题（二）制约我国信息网络安全的因素（三）信息网络安全的管理策略第三十三页，共六十三页，2022年，8月28日（一）我国信息网络安全目前存在的问题

(1)计算机系统遭受病毒感染和破坏的情况相当严重(2)电脑黑客活动已形成严重威胁(3)信息基础设施面临网络安全的挑战(4)网络政治颠覆活动频繁第三十四页，共六十三页，2022年，8月28日我国信息网络安全目前存在的问题第三十五页，共六十三页，2022年，8月28日我国信息网络安全目前存在的问题第三十六页，共六十三页，2022年，8月28日我国信息网络安全目前存在的问题第三十七页，共六十三页，2022年，8月28日缺乏自主的计算机网络和软件核心技术安全意识淡薄运行管理机制的缺陷制度化的防范机制需进一步完善（二）制约我国信息网络安全的因素第三十八页，共六十三页，2022年，8月28日（三）信息网络安全的管理策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。网络安全策略模型包括了建立安全环境的三个重要组成部分：威严的法律、先进的技术、严格的管理。第三十九页，共六十三页，2022年，8月28日（三）信息网络安全的管理策略威严的法律：安全的基石是社会法律、法规与手段，通过建立一套安全管理的标准和方法，即通过建立与网络信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。第四十页，共六十三页，2022年，8月28日（三）信息网络安全的管理策略先进的技术：先进的安全技术是网络信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。第四十一页，共六十三页，2022年，8月28日（三）信息网络安全的管理策略严格的管理：各网络使用机构、企业和单位应建立相应的严格的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体的信息安全意识。第四十二页，共六十三页，2022年，8月28日三要素技术管理法规（三）信息网络安全的管理策略第四十三页，共六十三页，2022年，8月28日（三）信息网络安全的管理策略第四十四页，共六十三页，2022年，8月28日（三）信息网络安全的管理策略第四十五页，共六十三页，2022年，8月28日制定网络安全管理策略要注意的问题（1）确定网络安全管理要保护什么在网络安全策略中要确定网络安全管理要保护什么，其具体的描述原则是“没有明确表述为允许的都被认为是被禁止的”。对于网络安全策略，一般都采用上述原则来加强对网络安全的限制。第四十六页，共六十三页，2022年，8月28日（2）确定网络资源的职责划分网络安全策略要根据网络资源的职责确定哪些人允许使用某一设备，对每一台网络设备要确定哪些人能够修改它的配置；更进一步要明确的是授权给某人使用某网络设备和某资源的目的是什么，他可以在什么范围内使用；并确定对每一设备或资源，谁拥有它的管理权，即他可以为其他人授权，使之能够正常使用该设备或资源，并制定授权程序。制定网络安全管理策略要注意的问题第四十七页，共六十三页，2022年，8月28日(3)确定用户的权利与责任在网络安全策略中要指明用户计算机网络的使用规则。其中包括是否允许用户将账号转借给他人；用户应当将他们自己的口令保密到什么程度；用户应在多长时间内更改他们的口令；希望是用户自身提供备份还是由网络服务提供者提供；确定在什么情况下管理员可以读用户的文件，在什么情况下网络管理员有权检查网络上传送的信息。网络使用的类型限制。定义可接受的网络应用或不可接受的网络应用，要考虑对不同级别的人员给予不同级别的限制。网络安全策略都会声明每个用户都要对他们在网络上的言行负责。所有违反安全策略、破坏系统安全的行为都是被禁止的。制定网络安全管理策略要注意的问题第四十八页，共六十三页，2022年，8月28日（4）确定系统管理员的责任在网络安全策略中要明确系统管理员的责任。制定对用户授权的过程设计，以防止对授权职责的滥用。确定每个资源的系统级管理员。在网络的使用中，难免会遇到用户需要特殊权限的时候。原则为“够用即可”。制定网络安全管理策略要注意的问题第四十九页，共六十三页，2022年，8月28日（5）明确当安全策略遭到破坏时所采取的策略对于发生在本网络内部的安全问题，要从主干网向子网逐级过滤、隔离。子网要与主干网形成配合，防止破坏蔓延。对于来自整个网络以外的安全干扰，除了必要的隔离与保护外，还要与对方所在网络进行联系，确定消除掉安全隐患。每一个网络安全问题都要有文档记录，包括对它的处理过程，并将其送至全网各有关部门，以便预防和留作今后进一步完善网络安全策略的资料。制定网络安全管理策略要注意的问题第五十页，共六十三页，2022年，8月28日(6)明确本网络对其他相连网络的职责包括本网络对其他相连网络的职责，如出现某个网络告知有威胁来自我方网络。在这种情况下，一般不会给予对方权利，而是在验证对方身份的同时，自己对本方网络进行调查监控，做好相互配合。制定网络安全管理策略要注意的问题第五十一页，共六十三页，2022年，8月28日四、信息网络安全监察（一）公安机关负责监督管理信息网络安全1994年2月18日，国务院发布实施了《中华人民共和国计算机信息系统安全保护条例》，第六条具体规定了“公安部主管全国计算机信息系统安全保护工作”的职能，第17条规定公安机关对计算机信息系统安全保护工作的监督和管理职权。第五十二页，共六十三页，2022年，8月28日(1)监督、检查、指导计算机信息系统安全保护工作；(2)查处危害计算机信息系统安全的违法犯罪案件；(3)履行计算机信息系统安全保护工作的其他监督职责。（二）公安机关的监督职权第五十三页，共六十三页，2022年，8月28日(1)宣传计算机信息系统安全保护法律、法规和规章；(2)检查计算机信息系统安全保护工作；(3)管理计算机病毒和其他有害数据的防治工作；(4)监督、检查计算机信息系统安全专用产品销售活动；(5)查处危害计算机信息系统安全的违法犯罪案件；(6)依法履行其他职责。（三）具体职责第五十四页，共六十三页，2022年，8月28日1995年我国新颁布的《人民警察法》中明确规定了警察在“监督管理计算机信息系统安全保卫工作”方面的职权，并在省、市、县三级公安机关内部设立了公共信息网络安全监察管理机构（网络警察），负责信息安全和计算机犯罪等方面的工作。（四）网络警察第五十五页，共六十三页，2022年，8月28日情报信息打击犯罪管理防范1、网络警察的主要工作第五十六页，共六十三页，2022年，8月28日网络警察的主要工作情报信息网警部门通过发现、掌握各种网上色情、淫秽、反动等有害信息，掌握社情民意的网上反映，为清除网上有害信息提供线索，为领导及相关部门决策提供参考的一项重要工作，互联网情报信息是公安情报信息的重要组成部分，是公安机关掌握政情和社情信息的重要来源。第五十七页，共六十三页，2022年，8月28日打击犯罪网警部门施展职能的重要体现。网警部门按照国家赋予的法定职责和公安部及省厅确定的案件管辖分工原则，综合运用各种手段，针对非法侵入、破坏计算机信息系统或利用信息网络危害