【文章內(nèi)容簡介】 設(shè)網(wǎng)絡(luò)安全 保障 體 系 F注重 信息安全技術(shù) 標準化 和安全 產(chǎn)品評估 體 系 的 建 設(shè) ，積極推動 信息安全 產(chǎn) 業(yè) 。 28 信息安全概況 計算機和網(wǎng)絡(luò)的發(fā)展 信息安全現(xiàn)狀 信息安全面臨問題 信息安全管理保障體系 29 ? 安全問題根源 安全威脅究其存在根源，大體有以下幾種： – 物理安全問題 ：包括物理設(shè)備本身的安全、環(huán)境安全和物理設(shè)備所在的地域等因素； – 方案設(shè)計缺陷 ：方案設(shè)計者的安全理論與實踐水平不夠，設(shè)計出來的方案就必然存在安全隱患； – 系統(tǒng)安全漏洞 ：系統(tǒng)的安全漏洞：隨著軟件系統(tǒng)規(guī)模的不斷增大，信息系統(tǒng)中的安全漏洞和“后門”也不可避免的存在。包括操作系統(tǒng)安全漏洞、網(wǎng)絡(luò)安全漏洞、應(yīng)用系統(tǒng)安全漏洞等。 – 人為因素 ：人的因素是網(wǎng)絡(luò)安全問題的重要因素，包括人為的無意義的失誤，人為的惡意攻擊，管理上的漏洞等。 總之，信息安全的實質(zhì)，就是要保障信息系統(tǒng)中的人、設(shè)備、軟件、數(shù)據(jù)等要素免受各種偶然和人為的破壞和攻擊，使它們發(fā)揮正常，保障信息系統(tǒng)能安全可靠地工作。 30 信息安全 領(lǐng)域面臨嚴峻挑 戰(zhàn) 系統(tǒng)太脆弱，太容易受攻擊； 被攻擊時很難及時發(fā)現(xiàn)和制止； 信息安全意識薄弱； 網(wǎng)上犯罪形勢不容樂觀； 有害信息污染嚴重； 網(wǎng)絡(luò)病毒的 蔓延 和 破壞 ； 網(wǎng)上黑客 無孔 不入； 機 要 信息 流失與 信息 間諜潛 入； 網(wǎng)絡(luò)安全 產(chǎn)品 的 自控權(quán) ； 信息 戰(zhàn) 的 陰影 不 可忽視 ； 31 信息安全概況 計算機和網(wǎng)絡(luò)的發(fā)展 信息安全現(xiàn)狀 信息安全面臨問題 信息安全管理保障體系 32 國家重 視 信息化建設(shè) F 黨 的 十五屆五中 全 會提出了 大 力推進國民 經(jīng)濟 和 社會信息化 的 戰(zhàn)略舉措。 F 在黨 的 十六 大 報告中再一次強 調(diào) 了要 繼續(xù) 深 化國家信息化建設(shè) 。 33 國家重 視 信息安全 體系 建設(shè) F2022年 7月 ， 前 總 書記 江 澤 民 曾 在中 央 舉 辦 的法 制 講座 中 指示 ： 要 “ 大 力推 進信息化進程 ，高 度重 視 信息網(wǎng)絡(luò)安全 ” 。 F2022年 7月 ， 前 總理 朱镕 基 主 持召開 國 家信息化領(lǐng)導(dǎo)小組第二 次會 議 ， 提出 “ 以 電子政務(wù)帶動 國家信息化建設(shè) ” ， 強 調(diào) 要 高度 重 視 信息安全 體 系的 建設(shè) ， 堅持 一 手抓 信息 化 ， 一 手 抓 網(wǎng)絡(luò)信息的安全 ,要 改 進技術(shù) 手段 ，全 面 強 化 管理，建立 健 全信息安全 保障 體 系和 防范 機制， 維護信息網(wǎng)絡(luò)的安全 。 34 35 ? 信息安全保證體系六大要素 我國信息安全保障應(yīng)具備信息安全 防護能力 、安全隱患 發(fā)現(xiàn)能力 、安全事故發(fā)生后的應(yīng)急 反應(yīng)能力 、安全攻擊發(fā)生時的 對抗能力 。 具備這四種能力，是我國信息安全保證體系建設(shè)所要達到的目標。要達到這一目標，我們要從以下六個方面加以努力： ① 組織建設(shè)：組織管理體系的建設(shè)，是信息化安全保障體系的建設(shè)的重點，有一套從領(lǐng)導(dǎo)管理、技術(shù)實現(xiàn)的個各層次人員，猶如信息化安全保障的基礎(chǔ)建設(shè)。 ② 標準規(guī)范和法律建設(shè)：這也是信息安全保障體系建設(shè)的一個重要方面。我國第一部信息化法律《電子簽名法》于 2022年出臺?！侗Ｃ芊ā罚?中華人民共和國主席 令第二十八號 《 中華人民共和國保守國家秘密法 》 已由中華人民共和國第十一屆全國人民代表大會常務(wù)委員會第十四次會議于 2022年 4月 29日修訂通過，現(xiàn)將修訂后的 《 中華人民共和國保守國家秘密法 》 公布，自 2022年 10月 1日起施行。 《國家信息安全法》、《個人數(shù)據(jù)保護法》、《網(wǎng)上知識產(chǎn)權(quán)保護法》等一系列法律法規(guī)正在制定之中。 36 ③ 技術(shù)保障：技術(shù)保障是信息安全保障體系的重要環(huán)節(jié)。重點應(yīng)做到以下幾點： a) 在重點、核心技術(shù)上通過技術(shù)創(chuàng)新，擁有自主知識產(chǎn)權(quán)的產(chǎn)品； b) 做到信息關(guān)鍵技術(shù)可控； c) 強調(diào)建立基礎(chǔ)性技術(shù)體系； d) 重視系統(tǒng)的物理安全技術(shù)的研究； e) 關(guān)注具有前瞻性的高新技術(shù)的發(fā)展。 ④ 產(chǎn)業(yè)支撐環(huán)境的發(fā)展：我國的信息安全保障體系，必須搭建在我國自主知識產(chǎn)權(quán)產(chǎn)品的基礎(chǔ)之上。強大的產(chǎn)業(yè)支撐是安全的根本保障。 37 ⑤ 重視信息安全的基礎(chǔ)設(shè)施建設(shè)： a. 數(shù)字證書的認證體系架設(shè)； b. 信息安全產(chǎn)品和信息評測產(chǎn)品的開發(fā)； c. 信息安全的應(yīng)急支援體系； d. 信息系統(tǒng)的災(zāi)難恢復(fù)的建設(shè)； e. 病毒及網(wǎng)絡(luò)攻擊的防范體系建設(shè)； f. 網(wǎng)絡(luò)監(jiān)控和預(yù)警機制的建設(shè)。 ⑥ 人才教育和培養(yǎng)：信息安全保障體系的建設(shè)，人才是關(guān)鍵因素。我們需要大量的高技術(shù)復(fù)合型人才。 38 ?有關(guān) 信息的 定義沒有統(tǒng)一 的 標準。 ?信息 是客觀世界中各種事物 的變 化 和特征 的 反映，是客觀事物之間聯(lián)系 的特 征，也是客觀事物狀態(tài)經(jīng)過傳遞后 的 再現(xiàn)。 ?信息 是主觀直接聯(lián)系客觀世界 的 橋梁。 ?本課程 的信息 是 指存在 計 算機 和網(wǎng)絡(luò) 中的數(shù) 據(jù)資源 。 信息安全的目標 39 信息安全 ： 即關(guān)注信息本身的安全，而不管是否應(yīng)用了計算機作為信息處理的手段。信息安全的任務(wù)是保護信息財產(chǎn)，以防止偶然的或未被授權(quán)者對信息的惡意泄漏、修改和破壞，從而導(dǎo)致信息的不可靠或無法處理等。 信息安全技術(shù)： 信息安全技術(shù)是一門綜合的學(xué)科，它涉及信息論、計算機科學(xué)和密碼學(xué)等多方面的知識， 它研究計算機系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護方法，以實現(xiàn)系統(tǒng)內(nèi)信息的安全、保密、真實、完整。 信息安全的目標： 保護信息的機密性、完整性、抗否認性和可用性；也有的認為是機密性、完整性和可用性，即 CIA（ Confidentiality， Integrity，Availability）。 40 （ Confidentiality ） 機密性 是保證信息不被非授權(quán)訪問；即使非授權(quán)用戶得到信息也無法知曉信息的內(nèi)容，因而不能使用。 措施： 訪問控制， 加密變換 2. 完整性（ Integrity） 完整性 是指維護信息的一致性，即信息在生成、傳輸、存儲和使用過程中不應(yīng)發(fā)生人為的非授權(quán)篡改。 措施： 通過 訪問控制 阻止篡改行為，通過 消息摘要算法來檢驗信息是否被篡改。 （ Nonrepudiation） 抗否認性是指能保障用戶無法在事后否認曾經(jīng)對信息進行的生成、簽發(fā)、接收等行為，是針對通信各方信息真實同一性的安全要求。 措施： 數(shù)字簽名 41 （ Availabi