第章网络信息安全.pptVIP

计算机文化基础(下) 聊城大学 理工学院 曹银杰 caoyinjie@ 第10章 信息安全 10.1 信息安全概述 10.2 防 火 墙 10.3 计算机病毒 10.4 信息政策与法规 10.1 信息安全概述 10.1.0 信息安全定义 10.1.1 信息安全意识 10.1.2 网络道德 10.1.3 计算机犯罪 10.1.3 信息安全技术 10.1.0 信息安全定义 ISO(国际标准化组织)定义:信息的完整性、可用性、保密性和可靠性。 通俗地说，信息安全主要是指保护信息系统，使其没有危险、不受威胁、不出事故地运行。 从技术角度，信息安全的技术特征主要表现在系统的可靠性、可用性、保密性、完整性、确认性、可控性等方面。 从综合性又表现在，它是一门以人为主，涉及技术、管理和法律的综合学科，同时还与个人道德、意识等方面紧密相关。 信息安全定义 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 信息安全的两个方面： 系统安全:包括操作系统管理的安全、数据存储的安全、对数据访问的安全等。 网络安全:则涉及信息传输的安全、网络访问的安全认证和授权、身份认证、网络设备的安全等。 10.1.1 信息安全意识 1．建立对信息安全的正确认识 信息安全这关系到企业、政府的业务能否持续、稳定地运行，关系到个人安全的保证，也关系到我们国家安全的保证。 所以信息安全是国家信息化战略中一个十分重要的方面。 信息安全意识 2．掌握信息安全的基本要素和惯例 信息安全四大要素：技术、制度、流程和人。 合适的标准、完善的程序、优秀的执行团队，是一个企业单位信息化安全的重要保障。 技术只是基础保障，技术不等于全部，很多问题不是装一个防火墙或者一个IDS（Intrusion Detection System，即入侵检测系统 ）就能解决的。 制定完善的安全制度很重要，而如何执行这个制度更为重要。 信息安全＝先进技术＋防患意识＋完美流程＋严格制度 ＋优秀执行团队＋法律保障 信息安全意识 3．清楚可能面临的威胁和风险 美国前总统克林顿曾说过：“网络和计算机是一把双刃剑。它给世界带来了巨大的利益，但同时也会成为‘黑客’和恐怖分子威力巨大的武器。” 网络信息安全面临的威胁有恶劣环境的影响、偶然故障和错误、人为的攻击破坏。 对计算机的人为的攻击破坏具有明显的目的和主动性，这是计算机安全保密面临的最主要、最危险的威胁。 我们主要讨论人为的攻击。 网络不安全的原因： 人为攻击+安全缺陷 + 软件漏洞 + 结构隐患 网络不安全的原因 结构隐患-----网络开放性 网络拓扑结构的隐患和网络硬件的安全缺陷 业务基于公开的协议。 远程访问使得各种攻击无需到现场就能得手。 连接是基于主机上的社团彼此信任的原则。 安全缺陷 如果网络信息系统本身没有任何安全缺陷，那么人为攻击者即使本事再大也不会对网络信息安全构成威胁。 遗憾的是所有的网络信息系统都不可避免地存在着一些安全缺陷。 有些安全缺陷可以通过努力加以避免或者改进，但有些安全缺陷是各种折衷必须付出的代价。 网络不安全的原因 软件漏洞：程序的复杂性和编程的多样性，容易有意或无意地留下一些不易被发现的安全漏洞。 陷门：陷门是在程序开发时插入的一小段程序，目的可能是测试这个模块，或是为了连接将来的更改和升级程序，也可能是为了将来发生故障后，为程序员提供方便。一旦被利用将会带来严重的后果。 数据库的安全漏洞：某些数据库将原始数据以明文形式存储，这是不够安全的。应该对存储数据进行加密保护。 TCP/IP协议的安全漏洞：TCP/IP协议在设计初期并没有考虑安全问题。 还可能存在操作系统的安全漏洞以及网络软件与网络服务、口令设置等方面的漏洞。 人为攻击 人为攻击----黑客（HACKER) 在无所不在的网络世界里，无网不入的“黑客”是网络安全最大也是最严重的威胁。 定义：“非法入侵者”；起源： 60年代。 目的： 基于兴趣入侵，基于利益入侵，信息战等。 人为攻击方法 非法访问：非法登录系统，非法读取系统的数据，窃听网络通信数据 信息泄漏：数据泄漏，状态泄漏； 破坏数据：破坏系统配置数据，破坏通信数据（插入、删除、篡改）。 欺骗：IP地址欺骗、身份欺骗； 抵赖：源抵赖、目的抵赖； 系统可用性：占用资源攻击，拒绝服务攻击； 人为攻击 谁是攻击者 大专院校的学生和青少年 单位工作人员 竞争者 计算机地下组织的侵袭者 职业窃贼和工业间谍 成就感者 无所事事者 军事目的 间谍 信息安全意识 4．养成良好的安全习惯 1）良好的密码设置习惯 2）网络和个人计算机安全 3）电子邮件安全 4）打印机和其他媒介安全 5）物理安全 10.1.2 网络道德