网络空间安全与治理.ppt

2009年6月30日，重庆渝北区市民董XX在中国工商银行办了一张银行卡，该卡仅办理存取款等业务，未开通网银及其他金融业务 储户被盗刷40多万，工行称“无责任”拒不赔付 （2012年08月16日新华网） 网络安全讲座 2011年12月26日晚，董XX在重庆一餐厅刷卡消费时被告知余额不足，查询余额，发现卡中的455377.92元早已不翼而飞 银行卡被盗刷事件 用户立即拨打95588并前往银行查询，被告知该笔存款于2011年12月26日17：02在澳门经他人通过购买珠宝首饰刷POS机划走。 在此期间，用户从没有离开重庆，该银行卡一直随身携带，密码从没有泄露给他人，也没有进行过大额的取款和交易 网络安全讲座 银行卡被盗刷事件 记者调查发现，市场及网络上有专门出售“银行卡复制器”的销售人员向记者介绍复制银行卡的两种方法：一是将其安装在POS机上，当消费者用银行卡消费时，记录下消费者的信息；二是将其安装在自动取款机上，当消费者使用该机器时，记录下消费者的信息这些信息通过电脑读取后，再复制到一张空白银行卡上，就成为“克隆版”银行卡。 网络安全讲座 银行卡被盗刷事件 网络安全讲座 据调查，窃取银行卡资料的犯罪工具可在网上随意购买，如摄像头、磁卡数据采集器、空白卡、写卡器等工具。 资料显示，一套复制、制作银行卡的设备仅需3000元左右，三分钟就可复制好一张银行卡。只要磁卡从读取槽内划过，资料就被完整地保存下来，然后再利用配套的写卡器将卡内资料刷入空白卡便制成伪卡，即可随意盗刷。 银行卡被盗刷事件 更为复杂的信息安全 新技术、新应用以及新服务带来新的安全风险 关键基础设施及工业控制系统渐成目标 有组织团体的“网上行动能力”增强 网络犯罪猖獗 网络安全问题与其他传统安全的相互交织 工业控制系统 社交网络 网络支付 网络安全讲座 * 需要更为全面的信息安全 “网络”的安全 “应用”的安全 “数据”的安全 信息安全是一项系统工程，从信息的空间分布、生命周期及流向的每一个环节，都可能成为影响信息安全的威胁点。 网络安全讲座 * 网络安全统计 网络安全讲座 2014年监测统计： * 网络安全统计 据CNCERT/CC监测统计： 网络安全讲座 * 据CNCERT/CC监测统计： 网络安全讲座 网络安全统计 * 网络安全统计 据CNCERT/CC监测统计： 网络安全讲座 二、安全的概念及体系 * 网络安全讲座 * 为什么会有信息安全问题？ - 根源： - 计算机及网络信息系统的复杂性和脆弱性（内因）； - 自然灾害与利益矛盾（外因）。 网络安全讲座 * 二、安全概念与安全体系 安全是一个具有广泛普遍性的客观存在！ - 对于人来说：有人身安全、财产安全、首脑安全、群众安全、人类安全等等; - 对于社会来说：有公共安全、国家安全、地区安全、全球安全等等; - 对于生产生活来说：有生产安全、交通安全、居住安全等等; - 对于自然界来说：有生态安全、环境安全、物种安全等等; - 对于信息时代：出现了网络安全、信息安全等等 。 网络安全 信息安全 文化安全 物理安全 网络安全讲座 * 什么是信息 科学家说： 信息是不确定性的减少，是负熵 老百姓说： 信息是让你知道些什么的东西 安全专家说： 信息是一种资产，它意味着一种风险 老百姓说： 不怕贼偷，就怕贼惦记 网络安全讲座 * * * 什么是信息安全？ 信息安全是使信息资源（信息、信息系统、通信）避免一系列威胁，采取一定的技术及管理措施（三分技术，七分管理），保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报。涉及的是机密性、完整性、可用性等基本特征。 ——信息安全管理体系要求标准（BS7799） （英国标准协会(British Standards Institute,BSI) 网络安全讲座 * 此外，信息安全还具有不可否认性、可控性、可审查性、可靠性等特征。 - 不可否认性（undeniablity）：是指数据的生成者和发送者不能对自己做过的事情抵赖；当发送者对发送过的消息进行否认时，第三方能够对发送者的行为进行判断、裁决等。 - 可控性（Controlability）：可控性是指授权机构对信息的内容及传播具有控制能力的特性，可以控制授权范围内的信息流向以及方式。 - 可审查性（Auditability）：在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。 - 可靠性（Re