网络安全导论 课件 第二章 什么是网络安全

第二章什么网络安全

网络安全也称信息安全，是指采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

做好网络安全工作是维护网络空间主权和国家安全、社社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展的客观要求。导读保密性、

完整性、

不可否认性、

可用性等

导读

重点是概念讨论议题1

信息技术是一把双刃剑2什么是网络安全3

个人和组织的网络安全4

国家的网络安全5

网络安全学科4第1节

信息技术是一把双刃剑

1、正与反1、正面：人类将以更加精细和动态的方式管理生产和生活，从而使我们的生活更美好2、反面：苹果承认iPhone泄露用户隐私。3、反面：美国对微信、tiktok进行打压。百度被约谈案例1棱镜计划

美国国家安全局（NSA）和联邦调查局（FBI）于2007年启动了一个代号为“棱镜”的秘密监控项目，直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。2013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内美国政府多个秘密情报监视项目“曝光”案例2“滴滴出行”App存违规收集使用个人信息问题

2021年7月4日，国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。案例3从2010年9月开始，四川省乐山市开始进行杰出人才评选。截至2010年11月10日，20名候选人中有16人得票超过100万，7人得票超过160万，然而，乐山市当时的总人口只有350多万。对案例3的分析(1)保密性，即除了投票者自身，没有人能够知道该选票投的谁。(2)合法性，即只有合法的投票者可以投票；每个合法的投票者最多只能投一次票。(3)正确性，即必须对所有的选票正确的计数；所有的选票不能被修改、删除或者替换；不能增加非法的选票。(4)可验证性，即计数过程必须能接受任何个人、团体的检验。(5)不可强迫性，即投票者不能被强迫或收买；投票者不能向第三方证明自己确切的投票内容(以防贿选)。(6)稳健性，即任何小的团体不能破坏并中断选举。除设计者外，应当有可信赖的第三方机构对上述的系统功能符合性进行审核并出具审核报告；相关管理机构应依据可信赖第三方的审核报告做出是否允许该系统运行决定。目前看来，对软、硬件产品和系统进行可信性审核越来越显得重要，但由于涉及技术细节和开发企业的核心保密等问题，相关工作的进展非常不能令人满意。责任？设计者有什么责任？政府部门有什么责任？审查者有什么责任？今天爬虫与反爬虫是双刃剑的典型代表目前，整个互联网上大概有50%以上的流量是爬虫。深度伪造技术是大数据和人工智能时代又一把双刃剑网络与信息技术带来了新挑战如何更好地规范网络空间的秩序？如何在信息社会中更好地保证人们健康、有序、和谐地开发、传递和利用信息资源？如何阻止、防止、检测和纠正有关违反合理使用其信息资源规则的行为和意图？如何保证自己的隐私和合法权益？敌对双方都在思考如何获得信息优势，以达到制胜的目的？第2节

什么是网络安全

什么是网络?网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络的核心组成有三部分：

网络（信息）基础设施数据各种数据处理程序。网络面临的威胁什么是网络安全？是通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。如何理解？1、保护网络设施2、保护网络数据3、强调能力建设网络安全分层面网络安全国家层面网络安全组织层面网络安全个人层面网络安全信息安全信息安全技术信息安全管理第3节

个人和组织网络安全

用性来概括（1）真实性：信息系统发布的内容必须经过审核，真实无误。（2）保密性：信息与信息系统不能被非授权者所获取与使用。（3）完整性：信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改。（4）可用性：可用性是指保证信息与信息系统可被授权人正常使用。（5）可认证性：能够核实和信赖一个合法的传输、消息或消息源的真实性。（6）不可否认性：保证信息的发送者提供的交付证据和接收者提供的发送者的证据一致，使其以后不能否认信息过程。（7）可控性：能够阻止未授权的访问。可认证性（authenticity)能够核实和信赖一个合法的传输、消息或消息源的真实性的性质，以建立对其的信心。不可否认性（non-repudiation)保证信息的发送者提供的交付证据和接收者提供的发送者的证据一致，使其以后不能否认信息过程。信息安全的其它目标可控性（authenticityandaccesscontrol)不可否认性（non-repudiation)如何理解信息安全的目标不同业务和系统对信息安全各属性的要求可能不同。例如:网络投票系统对安全属性的需求(讨论)所谓“一个中心三重防护”，是指组织应当按照我国网络安全等级保护制度的要求进行方案设计，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的网络安全整体保障体系。“一个中心、三重防护”体系框架组织的网络安全靠策略来定义安全需求，靠规范来详细描述安全的具体含义，靠机制来实现安全要求，靠循环质量管理来评判和改进网络安全过程。策略：是安全目标的高层指南，是实施信息系统的组织机构对安全目标的认可。规范：是安全策略的细化，是对安全需求目标的专业化表述，这种表述一般要用数学模型来刻画，以防止歧义性。机制：是实现安全目标或上述规范的具体方法。循环质量管理：由美国管理学博士戴明(W.E.Deming)于20世纪50年代初提出，即规划（Plan）、执行（Do）、检查（Check）和行动（Action）的持续改进模型（简称PDCA模型），是进行质量管理的基本方法。逐渐的管理实践表明，PDCA循环管理模式是能使任何一项活动有效进行的一种合乎逻辑的工作程序，是管理学中的一个通用模型。策略、规范、机制、循环质量管理再强调安全责任信息的委托管理者应严格按照拥有者的意图和授权来管理相关信息，具有如下责任：（1）采用技术和管理方法来保护信息的完整性和可用性（防篡改技术、备份与容灾、风险评估、应急计划等）；（2）采用技术和管理方法来限定信息的使用范围和使用方式（认证、访问控制、加密等）；（3）采用技术和管理方法完成信息的更新和销毁；（4）承担违反拥有者意图所造成的后果，承担管理不善所造成的后果。第4节

国家层面网络安全信息时代的国家安全观有人认为有如下5个方面国家领土完整政治制度与文化意识形态的保持经济繁荣和科技的发展国家荣誉的维护和国家影响力的发挥未来生存的前景得到保障。构成国家安全利益的内在要素美国国家安全利益界定（美国国防部《四年防务评估报告》2001对国家利益做如下表述*确保美国的安全和行动自由——美国的主权、领土完整及自由——美国公民在国内外的安全保护美国的要害基础设施*履行国际承诺——盟国和友国的安全与繁荣——防止敌人主宰关键地区——西半球的和平与稳定*对经济繁荣做出贡献——全球经济活力和生产力——国际海域、空域以及信息交流通道的安全——进入关键市场和获得战略资源传统国家安全观主要是指国家的政治安全和军事安全。

-即国家的生存不受威胁。就国家外部安全而言，主要是指国家独立，主权和领土完整，不存在军事威胁和军事入侵。在经济全球化之前往往表现为：一个国家可以通过战争和军事威胁占领和控制其他国家的经济、社会、文化等一个国家也可以通过反侵略战争而保护自己的经济、社会、文化等的安全军事安全威胁呈现为国家安全的主要因素非传统国家安全观在经济全球化和信息网络化的时代，经济和信息在国家之间相互渗透并形成国家之间的利益相互制衡。国家之间特别是大国之间的军事制衡可能起到制约或避免战争的作用。军事安全仍然是对国家安全重要的威胁，但不是唯一的。除军事、政治和外交冲突以外的其他因素也对主权国家及人类整体生存与发展构成威胁。国土安全、经济安全、文化安全、信息安全、社会安全等从不同的角度构成直接对国家安全威胁的重要因素。网络安全在国家安全中占有极其重要的战略地位，从某种意义上说已经成为国家安全的基石和核心。网络安全在国家安全中的战略地位网络安全已经成为影响国家政治安全的重要因素网络安全是否有保障直接关系到国家主权能否得到有效维护。“网络政治动员”难以控制，挑战政府权威，损害政治稳定。“颠覆性宣传”防不胜防，直接威胁国家政权。国家形象更容易遭到歪曲和破坏。网络安全在国家安全中的战略地位信息安全是国家经济安全的重要前提信息安全关乎国家经济安全的全局。信息产业发展状况令人担忧，国家经济安全遭受直接损失。网络经济犯罪严重威胁国家经济利益。金融安全面临更大挑战。网络安全在国家安全中的战略地位网络安全是国家文化安全的关键网络文化霸权主义严重危害他国文化安全。国家民族传统文化的继承和发扬遭到挑战。社会意识形态遭受重大威胁。社会价值观念和道德规范遭受冲击。网络安全在国家安全中的战略地位网络安全是国家军事安全的重要保障“信息威慑”对军事安全的影响不容忽视。网络信息战将成为21是世纪典型的战争形态。黑客攻击与军事泄密危及军事安全。“制信息权”对战争胜负意义重大。网络安全在国家安全中的战略地位例：网络安全与军事美国著名未来学家阿尔温托尔勒说过“谁掌握了信息，控制了网络，谁将拥有整个世界。美国前总统克林顿说过“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出现，将从根本上改变战争的进行方式”。美国对“非对称威胁”的关注美国军队对非对称威胁的定义是：在利用美国弱点的同时，敌人使用大大不同于美国采取的传统军事行动模式，试图阻止或削弱美国的力量。美国战略专家认为，非对称威胁的类型有六种：——核打击——化学武器行动——信息武器行动——选择作战观念——恐怖主义行动。习总书记的高度概括国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。要坚持网络安全教育、技术、产业融合发展，形成人才培养、技术创新、产业发展的良性生态。要坚持促进发展和依法管理相统一，既大力培育人工智能、物联网、下一代通信网络等新技术新应用，又积极利用法律法规和标准规范引导新技术应用。要坚持安全可控和开放创新并重，立足于开放环境维护网络安全，加强国际交流合作，提升广大人民群众在网络空间的获得感、幸福感、安全感。我国安全保障体系建设信息安全保障工作是一项复杂的系统工程。涉及到安全策略、安全技术、安全管理等各个方面。应当把有关策略、技术、管理等有机地结合起来建立一个信息安全保障体系,使之成为一个整体的安全屏障。所谓信息安全保障体系，是由各个安全防范构件（单元）有机集成的，实现信息安全保障目标的架构。组织管理技术保障基础设施产业支撑人材培养环境建设国家信息安全保障体系框架网络安全保障体系网络安全保障体系由四部分构成：以信息系统安全等级保护和风险评估为手段的等级化安全管理体系，以密码技术为基础的网络信任体系，以纵横协调、部门协同为保障的信息安全监控体系，以提高响应力、处置力为目标的信息安全应急保障体系。我国网络安全等级保护制度保护对象级别重要性程度监督管理强度等级第一级一般系统自主保护级第二级一般系统指导保护级第三级重要系统/关键网络基础设施监督保护级第四级关键网络基础设施强制保护级第五级关键网络基础设施专控保护级第5节

网络安全学科五大方向方向1，网络空间安全基础，为其他方向的研究提供理论、架构和方法学指导；它主要研究网络空间安全数学理论、网络空间安全体系结构、网络空间安全数据分析、网络空间博弈理论、网络空间安全治理与策略、网络空间安全标准与评测等内容。方向2，密码学及应用，为后三个方向（系统安全、网络安全和应用安全）提供密码机制；它主要研究对称密码设计与分析、公钥密码设计与分析、安全协议设计与分析、侧信道分析与防护、量子密码与新型密码等内容。方向3，系统安全，保证网络空间中单元计算系统的安全；它主要研究芯片安全、系统软件安全、可信计算、虚拟化计算平台安全、恶意代码分析与防护、系统硬件和物理环境安全等内容。方向4，网络安全，保证连接计算机的中间网络自身的安全以及在网络上所传输的信息的安全；它主要研究通信