【正文】 劃、安全教育培訓(xùn)、安全系統(tǒng)評(píng)估、安全認(rèn)證等多方面的內(nèi)容，只靠一個(gè)機(jī)構(gòu)是無(wú)法解決這些問(wèn)題的，因此應(yīng)在各信息安全管理機(jī)構(gòu)之間，依照法律法規(guī)的規(guī)定建立相關(guān)的安全管理制 度，明確職責(zé)，責(zé)任到人，規(guī)范行為，保證安全。 第 1章 信息安全概述 3. 文化是一個(gè)國(guó)家民族精神和智慧的長(zhǎng)期積淀和凝聚，是民族振興發(fā)展的價(jià)值體現(xiàn)。實(shí)際上，網(wǎng)絡(luò)環(huán)境下的信息安全不僅涉及到這些技術(shù)問(wèn)題，而且還涉及到法律、政策和管理問(wèn)題， 技術(shù)問(wèn)題雖然是最直接的保證信息安全的手段，但離開(kāi)了法律、政策和管理的基礎(chǔ)，縱有最先進(jìn)的技術(shù)，信息安全也得 第 1章 信息安全概述 1. 近十年來(lái)，電子政務(wù)發(fā)展迅速，政府網(wǎng)站的安全代表著 電子政務(wù)中政府信息安全的實(shí)質(zhì)是由于計(jì)算機(jī)信息系統(tǒng)作為國(guó)家政務(wù)的載體和工具而引發(fā)的信息安全。有意識(shí)的威脅是指行為人主觀上惡意 攻擊信息系統(tǒng)或獲取他人秘密資料，客觀上造成信息系統(tǒng)出現(xiàn)故障或運(yùn)行速度減慢，甚至系統(tǒng)癱瘓的后果。Inter最初是作為一個(gè)國(guó)防信息共享的工具來(lái)開(kāi)發(fā)的，這種連接的目的在于數(shù)據(jù)共享，并沒(méi)有把信息的安全看做一個(gè)重要因素來(lái)考慮。系統(tǒng)故障指因設(shè)備老化、零部件磨損而造成的威脅。 1999年 4月 26日， CIH病毒大爆發(fā)，據(jù)統(tǒng)計(jì)，我國(guó)受到影響的計(jì)算機(jī)總量達(dá)到 36萬(wàn)臺(tái)，經(jīng)濟(jì)損失可能達(dá)到12億元。但是，有了相關(guān)法律的保障，并不等于安 全問(wèn)題就解決了，還需要相應(yīng)的配套政策，才能使保障信息 第 1章 信息安全概述 5. 在網(wǎng)絡(luò)威脅多樣化的時(shí)代，單純追求技術(shù)方面的防御措施是不能全面解決信息安全問(wèn)題的，計(jì)算機(jī)網(wǎng)絡(luò)管理制度是網(wǎng)絡(luò)建設(shè)的重要方面。如 : 加密技術(shù)用來(lái)防止公共信道上的信息被竊 取 。據(jù)此原則，現(xiàn)實(shí)生活中，安全實(shí)際上是一個(gè)不可能達(dá)到的目標(biāo)，計(jì)算機(jī)網(wǎng)絡(luò)也不例外。針對(duì)網(wǎng)絡(luò)中的一個(gè)運(yùn)行系統(tǒng)而言，信息安全就是指信息處理和傳輸?shù)陌踩?。?shù)據(jù)的完整性的目的是保證計(jì)算機(jī)系統(tǒng)上的數(shù)據(jù)和信息處 于一種完整和未受損害的狀態(tài)，這就是說(shuō)數(shù)據(jù)不會(huì)因?yàn)橛幸饣驘o(wú)意的事件而被改變或丟失。利用信息源證據(jù)可以防止發(fā)信方否認(rèn)已發(fā)送過(guò)信息，利用接收證據(jù)可以防止接收方事后否認(rèn)已經(jīng)接收到信息。系統(tǒng)支持繼承和擴(kuò)展能力便給自身留下了一個(gè)漏洞，操作系統(tǒng)的程序可以動(dòng)態(tài)連接，包括 I/O的驅(qū)動(dòng)程序 與系統(tǒng)服務(wù)都可以用打補(bǔ)丁的方法升級(jí)和進(jìn)行動(dòng)態(tài)連接，這種方法雖然給系統(tǒng)的擴(kuò)展和升級(jí)提供了方便，但同時(shí)也會(huì)被黑客利用，這種使用打補(bǔ)丁與滲透開(kāi)發(fā)的操作系統(tǒng)是不可能 第 1章 信息安全概述 其次，系統(tǒng)支持在網(wǎng)絡(luò)上傳輸文件，這也為病毒和黑客程序的傳播提供了方便 。 FTP、 SMTP、 NFS等協(xié)議也存在許多漏洞。 20世紀(jì) 60年代，黑客代指獨(dú)立思考、奉公守法的計(jì)算機(jī)迷，他們利用分時(shí)技術(shù)允許多個(gè)用戶同時(shí)執(zhí)行多道程序，擴(kuò)大了計(jì)算機(jī)及網(wǎng)絡(luò)的使用范圍。有些黑客，他們沒(méi)有職業(yè)道德的限制，坐在計(jì)算機(jī)前，試圖非法進(jìn)入別人的計(jì)算機(jī)系統(tǒng)，窺探別人在網(wǎng)絡(luò)上的秘密。他們之間的根本區(qū)別是 : 黑客搞建設(shè)，駭客搞破壞。因此，信息安全不是一個(gè)純粹的技術(shù)問(wèn)題，加強(qiáng)預(yù)防、監(jiān)測(cè)和管理非常 重要。糾錯(cuò)編碼和差錯(cuò)控制是對(duì)付信道干擾的有效方法。這個(gè)標(biāo)準(zhǔn)被用于評(píng)價(jià)和構(gòu)建完善的信息安全框架，實(shí)現(xiàn)了信息安 ISO17799被 ISO于 2023年 12月接納為國(guó)際標(biāo)準(zhǔn)，涉及內(nèi)容包括業(yè)務(wù)連續(xù)性規(guī)劃、系統(tǒng)開(kāi)發(fā)和維護(hù)、物理和環(huán)境安全、遵守法規(guī)、人事安全、安全組織、計(jì)算機(jī)和網(wǎng)絡(luò)管理、資產(chǎn) 第 1章 信息安全概述 TCP/IP TCP/IP是互聯(lián)網(wǎng)的參考模型，在其應(yīng)用領(lǐng)域中有著強(qiáng)大的生命力。 IPSec是“ IP Security”的縮寫，指 IP層安全協(xié)議，這是 Inter工程任務(wù)組(Inter Engineering Task Force， IETF)公開(kāi)的一個(gè)開(kāi)放式協(xié)議框架，是在 IP層為 IP業(yè)務(wù)提供安全保證的安全協(xié)議標(biāo)準(zhǔn)。后來(lái)，該協(xié)議被 IETF采納，并進(jìn)行了標(biāo)準(zhǔn)化，稱為 TLS 第 1章 信息安全概述 4. 應(yīng)用層的功能是負(fù)責(zé)直接為應(yīng)用進(jìn)程提供服務(wù)，實(shí)現(xiàn)不同系統(tǒng)的應(yīng)用進(jìn)程之間的相互通信，完成特定的業(yè)務(wù)處理和服務(wù)。 SHTTP是 Web上使用的超文本傳輸協(xié)議的安全增強(qiáng)版本，提供了文本級(jí)的安全機(jī)制，每個(gè)文本都可以設(shè)置成保密 /數(shù)字簽 第 1章 信息安全概述 ，提出網(wǎng)絡(luò)安全體系的結(jié)構(gòu)。 人事機(jī)構(gòu)是根據(jù)管理機(jī)構(gòu)設(shè)定的崗位，對(duì)在職、待職和離職的雇員進(jìn)行素質(zhì)教育、業(yè)績(jī)考核和安全監(jiān)管的機(jī)構(gòu)。 第 1章 信息安全概述 圖 144 物理安全的結(jié)構(gòu) 第 1章 信息安全概述 2. 網(wǎng)絡(luò)安全主要由系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和子網(wǎng) (局域網(wǎng) )安全三部分組成，其結(jié)構(gòu)如圖 145 3. 信息安全主要涉及信息傳輸安全、信息存儲(chǔ)安全以及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì) 3個(gè)方面，其結(jié)構(gòu)如圖 146所示。人為因素包括黑客攻擊、計(jì)算機(jī)犯罪和信息安 小 第 1章 信息安全概述 (4) 保密性、完整性、可用性、可控性和不可否認(rèn)性是從用戶的角度提出的最基本的信息服務(wù)需求，也稱為信息安 (5) ISO基于 OSI參考互連模型提出了抽象的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，定義了五大類安全服務(wù) (認(rèn)證 (鑒別 )服務(wù)、訪問(wèn)控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和抗否認(rèn)性服務(wù) )、 八大種安全機(jī)制 (加密機(jī)制、數(shù)字簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、業(yè)務(wù)流填充機(jī)制、路由控制機(jī)制和公證機(jī)制 ) 第 1章 信息安全概述 (6) 信息安全既涉及高深的理論知識(shí)，又涉及工程應(yīng)用實(shí)踐。 防御信息被抵賴的安全措施是 。技術(shù)體系可劃分為物理安全、網(wǎng)絡(luò)安全、信息安全、應(yīng)用安全和管理安全五個(gè)層次，全面揭 第 1章 信息安全概述 1. 信息安全受到的威脅有人為因素的威脅和非人為因素威脅，非人為因素的威脅包括 、 、 。 5. 安全管理包括安全技術(shù) (如安全策略等 )和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。技術(shù)機(jī)制又由運(yùn)行環(huán)境及系統(tǒng)安全技術(shù)和 OSI安全技術(shù)組成。網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題的解決既借助于技術(shù)手段， 管理是網(wǎng)絡(luò)信息系統(tǒng)安全的靈魂，“三分技術(shù)，七分管理”說(shuō)的就是這個(gè)道理。網(wǎng)絡(luò)層的安全協(xié)議為網(wǎng)絡(luò)傳輸和連接建立安全的通信管道，傳輸層的安全協(xié)議保障傳輸?shù)臄?shù)據(jù)可靠、安全地到達(dá)目的地，但無(wú)法根據(jù)所傳輸?shù)牟煌瑑?nèi)容的安全需求予以區(qū)別對(duì)待。它提供了兩種服務(wù) : 一種是可靠的、面向連接的服務(wù) (由 TCP協(xié)議完成 )。各層協(xié)議及其安全協(xié)議如圖142 第 1章 信息安全概述 圖 142 TCP/IP網(wǎng)絡(luò)安全體系框架 第 1章 信息安全概述 1. 網(wǎng)絡(luò)接口層大致對(duì)應(yīng) OSI的數(shù)據(jù)鏈路層和物理層，它負(fù)責(zé)接收 I