【文章內(nèi)容簡(jiǎn)介】 設(shè)網(wǎng)絡(luò)安全 保障 體 系 F注重 信息安全技術(shù) 標(biāo)準(zhǔn)化 和安全 產(chǎn)品評(píng)估 體 系 的 建 設(shè) ，積極推動(dòng) 信息安全 產(chǎn) 業(yè) 。 28 信息安全概況 計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展 信息安全現(xiàn)狀 信息安全面臨問(wèn)題 信息安全管理保障體系 29 ? 安全問(wèn)題根源 安全威脅究其存在根源，大體有以下幾種： – 物理安全問(wèn)題 ：包括物理設(shè)備本身的安全、環(huán)境安全和物理設(shè)備所在的地域等因素； – 方案設(shè)計(jì)缺陷 ：方案設(shè)計(jì)者的安全理論與實(shí)踐水平不夠，設(shè)計(jì)出來(lái)的方案就必然存在安全隱患； – 系統(tǒng)安全漏洞 ：系統(tǒng)的安全漏洞：隨著軟件系統(tǒng)規(guī)模的不斷增大，信息系統(tǒng)中的安全漏洞和“后門(mén)”也不可避免的存在。包括操作系統(tǒng)安全漏洞、網(wǎng)絡(luò)安全漏洞、應(yīng)用系統(tǒng)安全漏洞等。 – 人為因素 ：人的因素是網(wǎng)絡(luò)安全問(wèn)題的重要因素，包括人為的無(wú)意義的失誤，人為的惡意攻擊，管理上的漏洞等。 總之，信息安全的實(shí)質(zhì)，就是要保障信息系統(tǒng)中的人、設(shè)備、軟件、數(shù)據(jù)等要素免受各種偶然和人為的破壞和攻擊，使它們發(fā)揮正常，保障信息系統(tǒng)能安全可靠地工作。 30 信息安全 領(lǐng)域面臨嚴(yán)峻挑 戰(zhàn) 系統(tǒng)太脆弱，太容易受攻擊； 被攻擊時(shí)很難及時(shí)發(fā)現(xiàn)和制止； 信息安全意識(shí)薄弱； 網(wǎng)上犯罪形勢(shì)不容樂(lè)觀； 有害信息污染嚴(yán)重； 網(wǎng)絡(luò)病毒的 蔓延 和 破壞 ； 網(wǎng)上黑客 無(wú)孔 不入； 機(jī) 要 信息 流失與 信息 間諜潛 入； 網(wǎng)絡(luò)安全 產(chǎn)品 的 自控權(quán) ； 信息 戰(zhàn) 的 陰影 不 可忽視 ； 31 信息安全概況 計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展 信息安全現(xiàn)狀 信息安全面臨問(wèn)題 信息安全管理保障體系 32 國(guó)家重 視 信息化建設(shè) F 黨 的 十五屆五中 全 會(huì)提出了 大 力推進(jìn)國(guó)民 經(jīng)濟(jì) 和 社會(huì)信息化 的 戰(zhàn)略舉措。 F 在黨 的 十六 大 報(bào)告中再一次強(qiáng) 調(diào) 了要 繼續(xù) 深 化國(guó)家信息化建設(shè) 。 33 國(guó)家重 視 信息安全 體系 建設(shè) F2022年 7月 ， 前 總 書(shū)記 江 澤 民 曾 在中 央 舉 辦 的法 制 講座 中 指示 ： 要 “ 大 力推 進(jìn)信息化進(jìn)程 ，高 度重 視 信息網(wǎng)絡(luò)安全 ” 。 F2022年 7月 ， 前 總理 朱镕 基 主 持召開(kāi) 國(guó) 家信息化領(lǐng)導(dǎo)小組第二 次會(huì) 議 ， 提出 “ 以 電子政務(wù)帶動(dòng) 國(guó)家信息化建設(shè) ” ， 強(qiáng) 調(diào) 要 高度 重 視 信息安全 體 系的 建設(shè) ， 堅(jiān)持 一 手抓 信息 化 ， 一 手 抓 網(wǎng)絡(luò)信息的安全 ,要 改 進(jìn)技術(shù) 手段 ，全 面 強(qiáng) 化 管理，建立 健 全信息安全 保障 體 系和 防范 機(jī)制， 維護(hù)信息網(wǎng)絡(luò)的安全 。 34 35 ? 信息安全保證體系六大要素 我國(guó)信息安全保障應(yīng)具備信息安全 防護(hù)能力 、安全隱患 發(fā)現(xiàn)能力 、安全事故發(fā)生后的應(yīng)急 反應(yīng)能力 、安全攻擊發(fā)生時(shí)的 對(duì)抗能力 。 具備這四種能力，是我國(guó)信息安全保證體系建設(shè)所要達(dá)到的目標(biāo)。要達(dá)到這一目標(biāo)，我們要從以下六個(gè)方面加以努力： ① 組織建設(shè)：組織管理體系的建設(shè)，是信息化安全保障體系的建設(shè)的重點(diǎn)，有一套從領(lǐng)導(dǎo)管理、技術(shù)實(shí)現(xiàn)的個(gè)各層次人員，猶如信息化安全保障的基礎(chǔ)建設(shè)。 ② 標(biāo)準(zhǔn)規(guī)范和法律建設(shè)：這也是信息安全保障體系建設(shè)的一個(gè)重要方面。我國(guó)第一部信息化法律《電子簽名法》于 2022年出臺(tái)?！侗Ｃ芊ā?， 中華人民共和國(guó)主席 令第二十八號(hào) 《 中華人民共和國(guó)保守國(guó)家秘密法 》 已由中華人民共和國(guó)第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十四次會(huì)議于 2022年 4月 29日修訂通過(guò)，現(xiàn)將修訂后的 《 中華人民共和國(guó)保守國(guó)家秘密法 》 公布，自 2022年 10月 1日起施行。 《國(guó)家信息安全法》、《個(gè)人數(shù)據(jù)保護(hù)法》、《網(wǎng)上知識(shí)產(chǎn)權(quán)保護(hù)法》等一系列法律法規(guī)正在制定之中。 36 ③ 技術(shù)保障：技術(shù)保障是信息安全保障體系的重要環(huán)節(jié)。重點(diǎn)應(yīng)做到以下幾點(diǎn)： a) 在重點(diǎn)、核心技術(shù)上通過(guò)技術(shù)創(chuàng)新，擁有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品； b) 做到信息關(guān)鍵技術(shù)可控； c) 強(qiáng)調(diào)建立基礎(chǔ)性技術(shù)體系； d) 重視系統(tǒng)的物理安全技術(shù)的研究； e) 關(guān)注具有前瞻性的高新技術(shù)的發(fā)展。 ④ 產(chǎn)業(yè)支撐環(huán)境的發(fā)展：我國(guó)的信息安全保障體系，必須搭建在我國(guó)自主知識(shí)產(chǎn)權(quán)產(chǎn)品的基礎(chǔ)之上。強(qiáng)大的產(chǎn)業(yè)支撐是安全的根本保障。 37 ⑤ 重視信息安全的基礎(chǔ)設(shè)施建設(shè)： a. 數(shù)字證書(shū)的認(rèn)證體系架設(shè)； b. 信息安全產(chǎn)品和信息評(píng)測(cè)產(chǎn)品的開(kāi)發(fā)； c. 信息安全的應(yīng)急支援體系； d. 信息系統(tǒng)的災(zāi)難恢復(fù)的建設(shè)； e. 病毒及網(wǎng)絡(luò)攻擊的防范體系建設(shè)； f. 網(wǎng)絡(luò)監(jiān)控和預(yù)警機(jī)制的建設(shè)。 ⑥ 人才教育和培養(yǎng)：信息安全保障體系的建設(shè)，人才是關(guān)鍵因素。我們需要大量的高技術(shù)復(fù)合型人才。 38 ?有關(guān) 信息的 定義沒(méi)有統(tǒng)一 的 標(biāo)準(zhǔn)。 ?信息 是客觀世界中各種事物 的變 化 和特征 的 反映，是客觀事物之間聯(lián)系 的特 征，也是客觀事物狀態(tài)經(jīng)過(guò)傳遞后 的 再現(xiàn)。 ?信息 是主觀直接聯(lián)系客觀世界 的 橋梁。 ?本課程 的信息 是 指存在 計(jì) 算機(jī) 和網(wǎng)絡(luò) 中的數(shù) 據(jù)資源 。 信息安全的目標(biāo) 39 信息安全 ： 即關(guān)注信息本身的安全，而不管是否應(yīng)用了計(jì)算機(jī)作為信息處理的手段。信息安全的任務(wù)是保護(hù)信息財(cái)產(chǎn)，以防止偶然的或未被授權(quán)者對(duì)信息的惡意泄漏、修改和破壞，從而導(dǎo)致信息的不可靠或無(wú)法處理等。 信息安全技術(shù)： 信息安全技術(shù)是一門(mén)綜合的學(xué)科，它涉及信息論、計(jì)算機(jī)科學(xué)和密碼學(xué)等多方面的知識(shí)， 它研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護(hù)方法，以實(shí)現(xiàn)系統(tǒng)內(nèi)信息的安全、保密、真實(shí)、完整。 信息安全的目標(biāo)： 保護(hù)信息的機(jī)密性、完整性、抗否認(rèn)性和可用性；也有的認(rèn)為是機(jī)密性、完整性和可用性，即 CIA（ Confidentiality， Integrity，Availability）。 40 （ Confidentiality ） 機(jī)密性 是保證信息不被非授權(quán)訪問(wèn)；即使非授權(quán)用戶得到信息也無(wú)法知曉信息的內(nèi)容，因而不能使用。 措施： 訪問(wèn)控制， 加密變換 2. 完整性（ Integrity） 完整性 是指維護(hù)信息的一致性，即信息在生成、傳輸、存儲(chǔ)和使用過(guò)程中不應(yīng)發(fā)生人為的非授權(quán)篡改。 措施： 通過(guò) 訪問(wèn)控制 阻止篡改行為，通過(guò) 消息摘要算法來(lái)檢驗(yàn)信息是否被篡改。 （ Nonrepudiation） 抗否認(rèn)性是指能保障用戶無(wú)法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為，是針對(duì)通信各方信息真實(shí)同一性的安全要求。 措施： 數(shù)字簽名 41 （ Availabi