第七章 电子政务信息安全.pptVIP

第七章 电子政务信息安全 中国信息安全所面临的“严峻”形势 加快信息安全立法步伐，推动网络和信息安全管理由事件驱动向长效机制转变，以保证国家信息化发展战略的顺利实施。 网络和信息安全面临的挑战主要包括： 新技术带来新的安全挑战 基于IP技术的网络有其先天缺陷，开放的网络形式引入了IP技术特有的安全威胁，传统电信网封闭性受到破坏。 为了实现灵活的网络配置、降低成本，电信设备功能逐渐趋于软件化，很多传统电信设备功能被移植到计算机系统中，一些专用板卡和设备的功能被软件系统所替代。 ?随着3G网络IP化、宽带化建设进程的完成，使得移动网络也将面临与互联网类似的安全性问题。 加快信息安全立法是当务之急 强化自主创新、自主可控能力 信息安全概念 信息安全是一个广泛和抽象的概念。所谓信息安全就是关注信息本身的安全，而不管是否应用了计算机作为信息处理的手段。 信息安全可以分为数据安全和系统安全。 信息安全属性 信息安全和网络安全的区别 在对象范围方面，“信息安全”涵盖了“网络安全” ； 广义上来说，信息网络系统包括了“线”和“点”两类实体，也就是通常所说的网络资源和信息资源。 信息安全威胁 所谓的信息安全威胁就是指某个人、物或事件对信息资源的保密性、完整性、可用性或合法使用所造成的危险。 攻击就是对安全威胁的具体体现。 安全威胁 信息泄露 破坏信息的完整性 拒绝服务 非法使用（非授权访问） 窃听 业务流分析 假冒 旁路控制 授权侵犯 特洛伊木马 陷阶门 抵赖 重放 计算机病毒 人员不慎 媒体废弃 物理侵人 窃取 业务欺骗 对于信息系统来说威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面。 具体的信息系统威胁包括： 中断威胁 ：使在用信息系统毁坏或不能使用的攻击，破坏可用性（availability）。 具体的信息系统威胁包括： 截获威胁：一个非授权方介入系统的攻击，使得信息在传输中被丢失或泄露的攻击，破坏保密性(confidentiality)。 具体的信息系统威胁包括： 篡改威胁：以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操作而使信息的完整性(Integrity)受到破坏。 具体的信息系统威胁包括： 伪造威胁：一个非授权方将伪造的客体插入系统中，破坏信息真实性（authenticity）的攻击。 数据加密 加密是把数据（明文）变换为不可读形式（密文）的过程。 明文：未经过处理的原始数据，可以使文本或图片等。 密文：明文经过加密后所得的数据。 加密算法和解密算法：加密和解密时使用的一组变换规则，加密和解密的过程都是在一组密钥的控制下进行的。 密码的加密、解密算法是公开的 . 目前主流的加密算法有2大类，一是对称加密，二是非对称加密。 ★ 对称加密过程 对称密码体制的优点：安全性高，加密速度快。 缺点：密钥管理困难，无法解决消息确认问题，缺乏自动检测密钥泄露的能力。 公钥体制的优点：简化了密钥管理的问题，可以拥有数字签名等新功能。 缺点：算法一般比较复杂，加密速度慢。 哈希算法也叫报文摘要算法，最常用的哈希算法有MD5和SHA-1。 哈希算法可以接受任意长度的信息作为输入，都会产生固定长度的输出，这个输出叫做报文摘要。 * * ?★泄密窃密危害加大。 ★核心设备安全漏洞或后门难以防控。 ? ★病毒泛滥防不胜防。 ? ★网络攻击从技术炫耀转向利益驱动。 完整性 保密性 不可否认性 可控性 可用性 信息源 信息目的地 信息源 信息目的地 信息源 信息目的地 信息源 信息目的地 明文 密文 明文 密钥 解密 加密 *