计算机文化基础第10章98705.pptVIP

——大学IT—— 第 10 章 信 息 安 全 第 10 章 信 息 安 全 10.1 信息安全概述 10.2 防 火 墙 10.3 计算机病毒 10.4 信息政策与法规 10.1 信息安全概述 信息安全的需求主要表现在两个方面：系统安全和网络安全。 系统安全包括操作系统管理的安全、数据存储的安全、对数据访问的安全等 而网络安全则涉及信息传输的安全、网络访问的安全认证和授权、身份认证、网络设备的安全等。如果不能很好地解决信息安全这个基本问题，必将阻碍信息化发展的进程。 信息安全概述 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 “信息的完整性、可用性、保密性和可靠性”。通俗地说，信息安全主要是指保护信息系统，使其没有危险、不受威胁、不出事故地运行。从技术角度来讲，信息安全的技术特征主要表现在系统的可靠性、可用性、保密性、完整性、确认性、可控性等方面。 信息安全的综合性又表现在，它是一门以人为主，涉及技术、管理和法律的综合学科，同时还与个人道德、意识等方面紧密相关。 10.1 某些方面信息安全概述 10.1.1 信息安全意识 10.1.2 网络道德 10.1.3 计算机犯罪 10.1.3 信息安全技术 10.1.1 信息安全意识 1．建立对信息安全的正确认识 当今，信息产业的规模越来越大，网络基础设施越来越深入到社会的各个方面、各个领域，信息技术应用已成为我们工作、生活、学习、国家治理和其他各个方面必不可少的关键的组件，信息安全的重要性也日益突出，这关系到企业、政府的业务能否持续、稳定地运行，关系到个人安全的保证，也关系到我们国家安全的保证。所以信息安全是我们国家信息化战略中一个十分重要的方面。 信息安全意识 2．掌握信息安全的基本要素和惯例 信息安全包括四大要素：技术、制度、流程和人。合适的标准、完善的程序、优秀的执行团队，是一个企业单位信息化安全的重要保障。技术只是基础保障，技术不等于全部，很多问题不是装一个防火墙或者一个IDS就能解决的。制定完善的安全制度很重要，而如何执行这个制度更为重要。如下信息安全公式能清楚地描述出他们之间关系： 信息安全＝先进技术＋防患意识＋完美流程＋严格制度＋优秀执行团队＋法律保障 信息安全意识 3．清楚可能面临的威胁和风险 信息安全所面临的威胁来自于很多方面。这些威胁大致可分为自然威胁和人为威胁。自然威胁指那些来自于自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等的威胁。自然威胁往往带有不可抗拒性，因此这里主要讨论人为威胁。 信息安全意识 1）人为攻击 人为攻击是指通过攻击系统的弱点，以便达到破坏、 欺骗、窃取数据等目的，使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成经济上和政治上不可估量的损失。 人为攻击又分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的，但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。 恶意攻击又分为被动攻击和主动攻击两种。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。主动攻击是指以各种方式有选择地破坏信息，如修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。 信息安全意识 被动攻击因不对传输的信息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防而非检测。 绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要措施是检测，以及对攻击造成的破坏进行恢复。 2）安全缺陷 如果网络信息系统本身没有任何安全缺陷，那么人为攻击者即使本事再大也不会对网络信息安全构成威胁。但是，遗憾的是现在所有的网络信息系统都不可避免地存在着一些安全缺陷。有些安全缺陷可以通过努力加以避免或者改进，但有些安全缺陷是各种折衷必须付出的代价。 信息安全意识 3）软件漏洞 由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。软件漏洞同样会影响网络信息的安全。 下面介绍一些有代表性的软件安全漏洞。 （1）陷门：陷门是在程序开发时插入的一小段程序，目的可能是测试这个模块，或是为了连接将来的更改和升级程序，也可能是为了将来发生故障后，为程序员提供方便。通常应在程序开发后期去掉这些陷门，但是由于各种原因，陷门可能被保留，一旦被利用将会带来严重的后果。