大学计算机基础第10.pptVIP

——大学IT—— 第 十 章 信 息 安 全 第10章 信息安全 10.1 信息安全概述 10.2 防火墙 10.3 计算机病毒 10.4 电子商务和电子政务安全 10.5 信息安全政策与法规 10.1 信息安全概述 近年来，我国信息化进程不断推进，信息系统在政府和大型行业、企业组织中得到了日益广泛的应用。随着各部门对其信息系统依赖性的不断增长，信息系统的脆弱性日益暴露。由于信息系统遭受攻击使得其运转及运营受负面影响事件不断出现，信息系统安全管理已经成为政府、行业、企业管理越来越关键的部分，信息系统安全建设成为信息化建设所面临的一个迫切问题。 信息安全概述 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。国际标准化组织已明确将信息安全定义为“信息的完整性、可用性、保密性和可靠性”。从技术角度来讲，信息安全的技术特征主要表现在系统的可靠性、可用性、保密性、完整性、确认性、可控性等方面。 同时，信息安全的综合性又表现在，它是一门以人为主，涉及技术、管理和法律的综合学科，同时还与个人道德、意识等方面紧密相关。 10.1 某些方面信息安全概述 10.1.1 信息安全意识 10.1.2 网络礼仪与道德 10.1.3 计算机犯罪 10.1.3 信息安全技术 10.1.1 信息安全意识 1．建立对信息安全的正确认识 当今，信息产业的规模越来越大，网络基础设施越来越深入到社会的各个方面、各个领域，信息技术应用已成为我们工作、生活、学习、国家治理和其他各个方面必不可少的关键的组件，信息安全的重要性也日益突出，这关系到企业、政府的业务能否持续、稳定地运行，关系到个人安全的保证，也关系到我们国家安全的保证。所以信息安全是我们国家信息化战略中一个十分重要的方面。 信息安全意识 信息安全包括四大要素：技术、制度、流程和人。合适的标准、完善的程序、优秀的执行团队，是一个企业单位信息化安全的重要保障。技术只是基础保障，技术不等于全部，很多问题不是装一个防火墙或者一个IDS就能解决的。制定完善的安全制度很重要，而如何执行这个制度更为重要。如下信息安全公式能清楚地描述出他们之间关系： 信息安全＝先进技术＋防患意识＋完美流程＋严格制度＋优秀执行团队＋法律保障 3．清楚可能面临的威胁和风险 信息安全所面临的威胁来自于很多方面。这些威胁大致可分为自然威胁和人为威胁。自然威胁指那些来自于自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等的威胁。自然威胁往往带有不可抗拒性，因此这里主要讨论人为威胁。 信息安全所面临的人为威胁 1） 人为攻击 人为攻击是指通过攻击系统的弱点，以便达到破坏、 欺骗、窃取数据等目的，使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成经济上和政治上不可估量的损失。 人为攻击又分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的，但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。 人为攻击—恶意攻击 恶意攻击又分为被动攻击和主动攻击两种。 （1）被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。 （2）主动攻击是指以各种方式有选择地破坏信息，如修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。 被动攻击因不对传输的信息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防而非检测。 绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要措施是检测，以及对攻击造成的破坏进行恢复。 信息安全所面临的人为威胁 2）安全缺陷 如果网络信息系统本身没有任何安全缺陷，那么人为攻击者即使本事再大也不会对网络信息安全构成威胁。但是，遗憾的是现在所有的网络信息系统都不可避免地存在着一些安全缺陷。有些安全缺陷可以通过努力加以避免或者改进，但有些安全缺陷是各种折衷必须付出的代价。 信息安全所面临的人为威胁 3）软件漏洞 由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。软件漏洞同样会影响网络信息的安全。 一些有代表性的软件安全漏洞 （1）陷门：陷门是在程序开发时插入的一小段程序，目的可能是测试这个模块，或是为了连接将来的更改和升级程序，也可能是为了将来发生故障后，为程序员提供方便。通常应在程序开发后期去掉这些陷门，但是由于各种原因，