1、网络与信息安全技术,目录第一章:网络安全概述第二章:信息安全技术第三章:网络安全的发展趋势第四章:安全保密行政管理,第一章:网络安全概述,网络及信息安全网络安全面临的威胁信息安全网络安全的基本需求网络安全机制安全管理策略计算机网络安全等级主要解决途径网络与信息安全的关系国际网络与信息安全动态网络信息安全动态及现状,1.网络与信息安全,(1)涉及电子、通讯、计算机、应用数据、数论、信息论等现代技术(2)各种民间商业活动的增加,给网络安全带来严峻形势。(3)特点:技术含量高,应用范围广,市场前景广阔。安全需求独特、复杂、难度大。处理速度快,准确性,实时性要求高,2、网络安全面临的威胁,非人为因素
2、自然灾害,设备老化、断电、电磁泄露,存储损坏人为因素 无意失误和恶意攻击不明或综合因素 安全漏洞、后门、复杂事件,3.信息安全,信息系统中的主要安全问题:1.网络可靠性问题 (备份,网络管理,计费等)。2.系统本身的缺陷(芯片、操作系统,数据库后门等)3.恶意攻击和破坏(黑客攻击,病毒破坏等)4.信息安全问题(信息窃取,假冒,抵赖等),4、网络安全的基本需求,(1)保密性(2)完整性(3)可用性(4)可控性,5、网络安全机制,数据加密机制访问控制机制数据完整性机制数字签名机制交换鉴别机制流量填充机制路由控制机制公证机制,6、安全管理策略,分配权限,明确责任。加强内部管理,建立审计和跟踪系统加强
3、网络安全教育,提高整体安全意识。,7、计算机网络安全等级,美国将计算机系统的安全等级分为7级: 由低到高:D、C(C1、C2)、B(B1、B2、B3)、A我国将计算机信息系统安全保护分为5级: 用户自主级、系统审计保护级、安全标记保护级、结构化保护级、安全域级保护级。,8.主要解决途径,1.容错技术,镜像技术,双机热备份,日志,审计等措施。2.给系统找漏洞,打补丁3.防火墙,杀病毒4.密码技术,加密,签名认证。,9.网络与信息安全的关系,一.网络为信息安全提供了更大的用武之地.二.保证信息安全是进行网络应用及电子商务的基础.三.网络技术与信息安全共同发展.,10.国际网络与信息安全动态,一.产
4、业界迅猛发展二.政府大力扶植三.标准化,规范化四.学术界活跃五.媒体热情关注,11.我国网络信息安全现状,一.与国际同步二.保护国家利益三.扶植民族产业四.严格管理,制定了大量的法律,法规,条例.五.规范化(安全系统检测,认定等),第二章:信息安全技术,信息安全问题:防窃,加密技术防伪(篡改,伪造,假冒,抵赖),信息的完整性技术访问控制(权限),数字签名与认证技术安全管理(密钥,用户的管理)统称密码技术,第三章.信息安全技术发展趋势,机遇和挑战并存新的产业,可占领全球市场参与国际竞争,主要是美国国内状况比较混乱媒体热情过高,1.电子商务安全模型,1.建立可信的认证中心(CA),向社会公开其公钥
5、,对其私钥进行严格保护.2.建立权威的登记机构(RA),负责对用户真实身份的验证3.建立严格的法律仲裁机构,对从事电子商务的纠纷进行裁决.4.所有用户在RA登记后,产生自己的密钥,将其公钥提交给CA,由CA进行数字签名,作为证书颁发给用户,用户必须妥善保存自己的私钥, 如使用IC卡.5.任意两个用户之间进行的交易都需要数字签名和加密保护,并妥善保存有关证据,以备仲裁使用.,2.电子商务模式,B2B:企业企业B2C:企业消费者B2G:企业政府C2G:消费者政府,3.电子商务安全系统的重点问题,1.增强安全意识2.引进与自力更生并举,安全及密码技术必须自主研制3.开发自主版权的电子商务系统4.建立
6、我国独立的安全标准5.扶植民族产业6.建立适合电子商务的法律体系7.培养高水平的信息安全人才8.高效、可靠、可信的送货体系,4.电子商务中的其他问题,1.各部门建立的CA的兼容性2.使用国外SSL,SET等系统的安全隐患3.建立比RSA安全性更高的认证体系4.黑名单处理5.基于CA的电子商务应用系统的开发6.国际兼容性,第四章:安全保密行政管理,网络安全保密关乎国家的安危、民族的兴衰,许多国家把它作为国家安全战略的重大课题,列入发展规划,投入了大量的人力、物力和财力。我国也建立了相应的机构,作出了战略部署。,(一)安全保密行政管理主要内容,坚持两手抓:一手抓技术防范,一手抓行政管理。1、要确保
7、计算机信息系统的操作和维护人员纯洁可靠;2、计算机信息系统正式启用前要进行安全保密检查;3、严格划分系统的密级;4、采取必要的屏蔽、干扰措施;5、对秘密信息的读取和传输采取认证和加密措施;6、加强教育、建立健全法规制度。,(二)当前安全保密存在的主要问题,四个问题:1、安全保密意识淡薄,重建设、轻防护的现象比较突出;2、主要软、硬件依赖进口,泄密隐患严重;3、安全保密技术落后,防护能力低下;4、组织管理跟不上,缺乏宏观规划,规章制度也不健全、不严格。,(三)目前信息系统面临的主要安全问题,四个方面:1、网络信息的安全问题。主要威胁有特洛伊木马程序、拒绝服务攻击、入侵、网络欺骗、信息窃取和病毒等
8、。2、关键设备依赖进口的问题。隐含有后门。3、电磁辐射问题。4、保密意识问题。WWW、BBS等泄密,介质丢失、被盗泄密等。,(四)提高计算机在网络上的安全性,在联网的计算机上工作,操作者必须养成一些良好的安全习惯,否则很容易成为黑客或者一些人测试黑客工具的实验品。1)不要随便运行不太了解的程序。如“特洛伊木马”类黑客程序就需要骗你运行后,才能起到窃密作用。2)密码设置尽可能使用字母数字混排。保护重要信息的密码最好经常更换。3)不要随便运行黑客程序,有时会泄露你的密码信息。4)在使用过程中,如遇到系统的提交警告或要求提供密码等情况,要特别谨慎,最好先查看源代码,因为这很可能提一个黑客模拟的,目的
9、是骗取你的密码。,1)对计算机机房、终端室、数据库、控制中心应加强安全保卫,并设报警系统。2)对计算机房屏蔽,或配备干扰器,防止计算机的电磁波辐射和外来的干扰。3)对使用计算机的用户活动情况进行登记。特别是所使用的终端、上机时间、处理数据等,便于分析发现异常的情况。4)对重要的数据、文件应有备份,一旦发生窃密事件,可及时恢复原始数据。5)对在通讯线路上传播和在库中贮存的秘密数据进行加密,可由软件或硬件来实现。6)加强磁介质的抹除技术,防止数据被抹去后仍然从残存的信号中提取复原。对记录有重要信息的磁介质不得重新使用,应随数据一起销毁。,(五)计算机信息系统的安全保密措施,(六)网络信息系统安全保
10、密工作应坚持的原则,一是同步建设。统一规划,统一设计,同步实施,同步发展。二是分级保护。做到“上网微机不涉密,涉密微机不上网”。三是综合治理。一手抓技术,一手抓管理。四是统筹兼顾。网络建设与应用,必须考虑安全保密。,(七)网络信息系统安全保密的目标,按照“先进、科学、可靠、适用”的标准,以“非法用户进不来,秘密信息取不走,网络基础摧不垮”为目标。,(八)网络相关法律法规,(1)1989年,公安部发布了计算机病毒控制规定(草案);(2)1991年,国务院常委会议通过计算机软件保护条例;(3)1994年2月18日,国务院发布中华人民共和国计算机信息系统安全保护条例;(4)1996年2月1日,国务院
11、发布中华人民共和国计算机信息网络国际联网管理暂行规定;(5)1997年5月20日,国务院信息化工作领导小组制定了中华人民共和国计算机信息网络国际联网管理暂行规定实施办法;(6)1997年,国务院信息化工作领导小组发布中国互联网络域名注册暂行管理办法、中国互联网络域名注册实施细则;(7)1997年公安部发布计算机信息网络国际联网安全保护管理办法;(8)2000年,互联网信息服务管理办法正式实施;(9)2000年11月,国务院新闻办公室和信息产业部联合发布互联网站从事登载新闻业务管理暂行规定;(10)2000年11月,信息产业部发布互联网电子公告服务管理规定。,(九)总结,1.信息安全理论和技术是先进的2.我国软件开发实力是雄厚的3.开发人员不稳定4.硬件芯片不过关5.完善和制订相关法律法规。,