《信息安全技术》课件第1章.ppt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 信息 安全技术 课件
- 资源描述:
-
1、1.1 信息安全概述1.2 信息安全需求1.3 网络不安全的根本原因1.4 信息安全体系结构小结习题我们经常在媒体上看到有关信息安全事件的报道,比如某大型网站遭到黑客攻击、某种新型病毒出现、犯罪分子利用计算机网络诈骗钱财等。无疑,信息安全的现状十分令人焦虑和不安。1.1 信息安全现状信息安全现状 1.1.1 信息安全的威胁信息安全的威胁现在谈论的信息安全,实际上是指面向网络的信息安全。Internet最初是作为一个国防信息共享的工具来开发的,这种连接的目的在于数据共享,并没有把信息的安全看做一个重要因素来考虑。随着Internet的扩张和壮大,特别是电子商务的应用,系统的脆弱性和安全漏洞不能完
2、全满足安全服务的需要,再加上商业信息时常被非法窃取、篡改、伪造或删除,因此,Internet受到的威胁不可避免。尽管目前学术界对信息安全威胁的分类没有统一的认识,但是,总体上可以分为人为因素和非人为因素两大类。1.人为因素人为因素人为因素的威胁分为无意识的威胁和有意识的威胁两种。无意识的威胁是指因管理的疏忽或使用者的操作失误而造成的信息泄露或破坏。有意识的威胁是指行为人主观上恶意攻击信息系统或获取他人秘密资料,客观上造成信息系统出现故障或运行速度减慢,甚至系统瘫痪的后果。有意识的威胁又分为内部攻击和外部攻击。外部攻击又可分为主动攻击和被动攻击。2.非人为因素非人为因素非人为因素的威胁包括自然灾
3、害、系统故障和技术缺陷等。自然灾害包括地震、雷击、洪水等,可直接导致物理设备的损坏或零部件故障,这类威胁具有突发性、自然性和不可抗拒性等特点。自然灾害还包括环境的干扰,如温度过高或过低、电压异常波动、电磁辐射干扰等,这些情况都可能造成系统运行的异常或破坏系统。系统故障指因设备老化、零部件磨损而造成的威胁。技术缺陷指因受技术水平和能力的限制而造成的威胁,如操作系统漏洞、应用软件瑕疵等。这里的划分是针对信息系统的使用者而言的。信息安全威胁的分类如图1-1-1所示。图 1-1-1 信息安全威胁的分类1.1.2 信息安全涉及的问题信息安全涉及的问题许多人一提到信息安全,自然会联想到密码、黑客、病毒等专
4、业技术问题。实际上,网络环境下的信息安全不仅涉及到这些技术问题,而且还涉及到法律、政策和管理问题,技术问题虽然是最直接的保证信息安全的手段,但离开了法律、政策和管理的基础,纵有最先进的技术,信息安全也得不到保障。1.信息安全与政治信息安全与政治近十年来,电子政务发展迅速,政府网站的安全代表着一个国家或一个地区的形象。电子政务中政府信息安全的实质是由于计算机信息系统作为国家政务的载体和工具而引发的信息安全。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可或缺的组成部分。由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”。“信息疆域”不再是以
5、传统的地缘、领土、领空、领海来划分的,而是以带有政治影响力的信息辐射空间来划分的。2.信息安全与经济信息安全与经济随着信息化程度的提高,国民经济和社会运行对信息资料和信息基础设施的依赖程度越来越高。然而,我国计算机犯罪的增长速度远远超过了传统意义犯罪的增长速度,计算机犯罪从1997年的20多起,发展到1998年的142起,再到1999年的908起。1999年4月26日,CIH病毒大爆发,据统计,我国受到影响的计算机总量达到36万台,经济损失可能达到12亿元。2008年公安部网监局调查了7起销售网络木马程序案件,每起案件的木马销售获利均超过1000万元。据公安机关的估算,7起案件实施的网络盗窃均
6、获利20亿元以上。3.信息安全与文化信息安全与文化文化是一个国家民族精神和智慧的长期积淀和凝聚,是民族振兴发展的价值体现。在不同文化相互交流的过程中,一些国家为了达到经济和政治上的目的,不断推行“文化殖民”政策,形成了日益严重的“文化帝国主义”倾向。同时,互联网上散布着一些虚假信息、有害信息,包括网络色情、赌博等不健康的信息,对青少年的价值观、文化观造成了严重的负面影响。4.信息安全与法律信息安全与法律要使网络安全运行、数据安全传递,仅仅靠人们的良好愿望和自觉意识是不够的,需要必要的法律建设,以法制来强化信息安全。这主要涉及网络规划与建设的法律问题、网络管理与经营的法律问题、用户(自然人或法人
7、)数据的法律保护、电子资金划转的法律认证、计算机犯罪与刑事立法、计算机证据的法律效力等。法律是信息安全的防御底线,也是维护信息安全的最根本保障,任何人都必须遵守,带有强制性。不难设想,若计算机网络领域没有法制建设,那么网络的规划与建设必然是混乱的,网络将没有规范、协调的运营管理,数据将得不到有效的保护,电子资金的划转将产生法律上的纠纷,黑客将受不到任何惩罚。但是,有了相关法律的保障,并不等于安全问题就解决了,还需要相应的配套政策,才能使保障信息安全的措施具有可操作性。5.信息安全与管理信息安全与管理在网络威胁多样化的时代,单纯追求技术方面的防御措施是不能全面解决信息安全问题的,计算机网络管理制
8、度是网络建设的重要方面。信息安全的管理包括三个层次的内容:组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设,也就是说,要建立健全安全管理机构。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面的内容,只靠一个机构是无法解决这些问题的,因此应在各信息安全管理机构之间,依照法律法规的规定建立相关的安全管理制度,明确职责,责任到人,规范行为,保证安全。明确了各机构的职责后,还需要建立切实可行的规章制度,如对从业人员的管理,需要解决任期有限、职责隔离和最小权限的问题。有了组织机构和相应的制度,还需要加强人员意识的培养。通过进行网络信息安全意
展开阅读全文