信息网络安全
主要内容
u
基础概述
u
风险威胁
u
建设应用
u
安全管理
第一部分
信息网络基础概述
虚拟世界
虚拟世界:高科技的网络信息时代,把意识形态中的社会结构以数字
化形式展示出来。
虚拟世界:数字空间、网络空间、信息空间。
现实世界与虚拟世界的不同:
交往方式不同,(面对面,视距;点对点,非视距)
生存基础不同(自然,科技)
实体形态不同(原子,比特)
自由空间不同(心灵空间,网络空间)
科技是第七种生命形态
人类已定义的生命形态仅包括
植物、动物、原生生物、真菌、原细菌、真细菌,人造物表现得越来越像生命体;生命变得越来越工程化。
失控——全人类的最终命运和结局
信息的及时传输和处理技术变成当代社会的生产力、竞争力和发展成功的关键。
一、基本概念
信息
定义1:信息是事物现象及其属性标识的集合。
定义2:以适合于通信、存储或处理的形式来表示的知识或消息。
信息构成是由:
(1)信息源(2)内容(3)载体(4)传输(5)接受者
信息一般有4种形态:①数据
②文本
③声音
④图像
人类信息活动经历:
1、语言的获得
2、文字的创造
人类四大古文字体系:
①古埃及圣书文字
②苏美尔楔形文字(伊拉克东南部幼发拉底河和底格里斯河下游)
③印地安人玛雅文字
④中国甲古文
3、印刷术的发明
唐朝有印刷;宋代毕升创造活字印刷术;元代王祯创造木活字,又发明转轮排字盘;明代铜活字出现;再到油印,发展到现在利用磁的性质来复印。
4、摩尔斯电报技术的应用
5、计算机网络的应用
网络
一、概念
定义1:由具有无结构性质的节点与相互作用关系构成的体系。
定义2:在物理上或/和逻辑上,按一定拓扑结构连接在一起的多个节点和链路的集合。
★
计算机信息系统
指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。(94年国务院147号令)
信息网络是一个人机系统。
基本组成:网络实体、信息和人。
★
信息网络安全
保护计算机信息系统免遭拒绝服务,未授权(意外或有意)泄露、修改和数据破坏的措施和控制。
信息网络安全包括:①
实体安全
②
信息安全
③
运行安全
④人员安全
二、特点与属性
1、特点:①开放性
②互动性
③虚拟性
④便捷性
⑤全球性
⑥脆弱性
★2、属性:①保密性
②完整性
③可控性
④可用性
⑤不可否认性
如果有一条出现问题就不安全了
三、发展现状
网民
5.13亿互联网普及率为38.3%
手机网民
3.56亿
微博用户达2.5亿
第二部分
信息网络风险威胁
中国面临的威胁
1、来自外部威胁:政治军事上、经济上、思想文化上、自然资源和生态环境上等
2、潜藏在内部的威胁:信仰和价值取向的偏失;国民整个心态失衡;腐败的威胁;贫富分化日益严重的威胁;大部分甚至绝大部分地区和人民仍然面临基本温饱和生存的表面繁荣;东西部和南北方在经济和文化诸方面差距越来越大的威胁等。
3、非传统威胁:金融安全、环境安全、信息安全、流行疾病、人口安全、民族分裂主义等。
网络安全从其本质上来讲就是网络上的信息安全。
从国家安全、社会稳定角度
从社会教育和意识形态角度
从单位组织和用户角度
⑴从国家安全、社会稳定角度:
n
美国利用互联网对我”西化””分化”和遏制的战略图谋更加突出
n
境外敌对势力的网上煽动破坏活动更加突出
n
群体性事件从网上发端的情况更加突出
n
网络违法犯罪活动更加突出
n
互联新技术新应用对我工作挑战更加突出
建立隐形网络(带天线的手提箱基站、没有中央集线器的无线网络)
触犯他国法律(美国在触犯他国法律的时候却说,如果网络安全遭到爽破坏并导致严重后果,将动用高精度武器,包括巡航导弹)
打响新信息战(占领信息空间、掌握信息资源)
超级网络武器:
决定未来战争胜负
美军网络武器可分为四类
1、计算机病毒类:包括“逻辑炸弹”、“软件嗅探”、“蠕虫”等破坏性病毒。
2、电磁脉冲类:位于新墨西哥州的洛斯阿拉莫斯国家实验室,研制出一种手提箱大小、能产生高能量电磁脉冲的设备。
3、电子生物类:能吞噬计算机电子器件,并使电子线路绝缘,就像普通微生物吞噬垃圾
和石油废料一样;或对作战人员产生电子生物方面的干扰破坏,使之丧失战斗力。“神经电子”武器,产生神经性头痛,并损坏视觉细胞。
4、计算机黑客类:“无线空中监视平台”。能破解手机的PIN码,黑客能借此窃听手机通话,甚至假冒手机信号发射塔。
⑵从社会教育和意识形态角度
十七届六中全会:中共中央关于深化文化体制改革、推动社会主义文化大发展大繁荣若干重大问题的决定。①积极利用
②科学发展
③依法管理
④确保安全
加强互联网管理,必须依靠政府、业界、公众三方同努力,形成政府监管、行业自律与公众监督相结合的格局。法律规范
行政监管
利用网络进行意识形态渗透和文化侵略
美国的“三片”文化:
薯片
控制了我们的胃。通过胃感受到一种外来文化的重量。
大片
控制了我们视觉娱乐。东方审美欣赏的习惯已经被美国人改造了。
芯片
控制了我们的创造性和文化安全性。可以通过特殊技术把我们电
脑里所有的材料复制拿走
文化是什么?文化是一种社会现象,是人们长期创造形成的产物。同时又是一种历史现象,是社会历史的积淀物。确切地说,文化是指一个国家或民族的历史、地理、风土人情、传统习俗、生活方式、文学艺术、行为规范、思维方式、价值观念等。
中国具有向世界贡献“文明、公平、正义”价值观
①“礼”,即以文明方式行为是超越“自由”的价值观。
②“仁”
“公平”是比“平等”更高水平的社会进步。
③“义”
可译为“正义”或“道义”
⑶从单位和用户角度
★
安全威胁从方式上分类:
①殃及信息网:911事件等、雷击、断电等
②针对信息网络:如非法侵入他人的计算机系统、破坏计算机信息系统、在互联网上传输计算机病毒等等。
③利用信息网络:
主要包括:A、利用互联网危害国家安全和社会稳定的犯罪行为;B、利用互联网实施的破坏社会主要市场经济和社会管理秩序的犯罪,例如网上销售伪劣产品、侵害他人商业信誉、做虚假宣传、侵害金融秩序等等;C、利用计算机来实施侵害他人的人身权利或合法财产权利的行为,例如网上盗窃、诈骗、敲诈勒索、侮辱诽谤他人等等。
★恶意病毒“四大家族”
:①宏病毒
②CIH病毒
③蠕虫病毒
④木马病毒
计算机犯罪的种类及特征
分类标准
特点
常见形式
以互联网络作为生存空间
被动性质,引诱一般人进入
1、色情网站
2、六合彩站点
以互联网作为犯罪工具
针对特定目标进行侵害,使用网络作为犯罪工具
1、在网络上进行恐吓、诽谤
2、网络诈骗
3、传播有害信息
以互联网作为犯罪客体
对网络或计算机信息系统进行破坏、攻击
1、入侵网络
2、散布病毒
★系统的物理故障:
①硬件故障与软件故障
②计算机病毒
③人为的失误
④网络故障和设备环境故障
不属于安全策略所涉及的方面是:
①物理安全策略
②访问控制策略
③信息加密策略
④防火墙策略
第三部分
信息网络应用
实现网络应用的四个要素:
1.通信线路和通信设备2.有独立功能的计算机3.网络软件支持
4.实现数据通信与资源共享
⑴电子商务
⑵网络媒体
一定的组织或个人,在以计算机为核心的各种多媒体交互式数字化信息传输网络上,建立的提供各种新闻与信息服务的相对独立的站点。搜索引擎、门户网站、新闻网站、社交网站与视频网站正在构成网络媒体的主流。
⑶
物联网
物联网重点是物联
物联网三个特征:全面感知(感知层)、可靠传递(网络层)、智能处理(应用层)
广义物:人、物、工具、车辆、任务、过程等
⑷公安信息网络
一级网络公安部至各省级公安厅的主干网络。
二级网指连接公安厅、局至所辖地市的主干网络。
三级网连接市局至分、县局的主干网络。
四级网接入公安主干网的基层科、所、队的网络。
公安无线通信系统
以公安专用频率为载体,采取不同技术体制,实现无线网络通信功能的系统。
常规移动通信系统、集群移动通信系统、通信系统、微波通信系统等、基于公网实现的公安移动通信系统。
公安专用卫星通信网
公安卫星通信网是指利用卫星频率资源以公安部卫星主站为管理中心,提供语音、数据、图像等业务服务的公安专用卫星通信网络。主要用于公安应急通信、扩大公安信息通信网络覆盖范围和支持边远地区的信息化应用。
u
公安视频网络
u
电视电话会议系统
u
视频指挥系统
u
交通管理视频监控系统
u
治安视频报警与监控系统
u
警务督察视频管理系统
u
其它
公安四大技术:①刑侦技术
②技侦技术
③网侦技术
④图侦技术
安全技术防范:起步于入侵检测、发展于视频监控、完善于特征识别。
《计算机信息系统安全保护条例》规定,国家对计算机信息系统安全专用产品的销售实行
许可证制度。
大情报系统
公安“大情报”系统是一个以信息化应用为支撑,以情报信息分析研判为主要内容,以服务于警务决策为目标的工作体系,是一项涉及众多环节的综合性工作。
大情报系统可以把它简称为
“四有”:
有一个平台(情报信息综合应用平台)、有一支队伍(各级情报信息分析研判专业机构)、有一套制度(公安情报系统运行管理制度)、有一系列工作模型。
队伍+工具+工作机制+工作方法=大情报系统
大情报”系统基本架构特点
:
一是汇集大量信息
二是服务各个警种
三是具有强大的研判能力
四是部、省、市三级平台具有“纵向贯通、横向共享、互为一体”
公安信息网络防护
u
防火墙
u
防毒软件
u
PKI/PMI系统
u
一机两用监控
u
边界接入平台
u
其它
防火墙在逻辑上,是一个分离器,一个限制器,也是一个分析器。防火墙的重要行为
A准许
B限制
C日志记录
D问候访问者
建立有效计算机病毒防御体系所需要的技术措施
A
杀毒软件
B
补丁管理系统
C防火墙
D网络入侵检测
E漏洞扫描
公安网络泄密案件:
①计算机木马
②U盘泄密
③出卖内部文件
④翻墙上传文件
⑤入侵数据中心
1.2G丢失
⑥内部文件互联网发布
⑸互联网影响
第四部分
信息网络安全管理
网络安全体系结构
信息载体:系统、网络
信息本身:数据、数据内容
安全要从三个方面入手:①安全法规
②安全技术
③安全管理
一、安全法规
法
律:是指由全国人民代表大会及其常委会通过的法律规范。
行政法规:是指国务院为执行宪法和法律而制定的法灋律规范。
我国与网络安全相关的法律主要有:
《宪法》《人民警察法》《刑法》《治安管理处罚法》《刑事诉讼法》《国家安全法》
《保守国家秘密法》《行政处罚法》《行政诉讼法》《行政复议法》《国家赔偿法》
《立法法》《中华人民共和国电子签名法》《全国人大常委会关于维护互联网安全的决定》
与网络安全有关的行政法规主要有:
国务院令147号:《中华人民共和国计算机信息系统安全保护条例》
国务院令195号:《中华人民共和国计算机信息网络国际联网管理暂行规定》
公安部令33号:
《计算机信息网络国际联网安全保护管理办法》
国务院令273号:《商用密码管理条例》国务院令291号:《中华人民共和国电信条例》
国务院令292号:《互联网信息服务管理办法》国务院令339号:《计算机软件保护条例》
相关规章规定:
《公安计算机信息系统安全保护规定》《公安信息通信网运行管理规定》
《公安部关于禁止公安业务用计算机“一机两用”的通知》
《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》
《公安信息通信网联网设备及应用系统注册管理办法》
两高司法解释
司法解释是指司法机关在具体适用法律过程中对法律规范的内容和含义所作的解答和说明,或者是对法律规范的定义及所使用的概念、术语、定义的进一步说明。
法治理念:
依法治国(核心内容)执法为民(本质要求)公平正义(价值追求)服务大局(重要使命)
党的领导
(根本保证)
核心价值观:忠诚、为民、公正、廉洁
个人信息安全法未入立法程序
《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。
对个人信息的处理包括收集、加工、转移和删除四个主要环节,并提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。
“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。
个人信息保护指南正式报批
非强制标准效力待查
国家标准分为三种,强制性标准,推荐性标准,指导性技术文,标准可以作为参考。
让人担忧的是,这个指南标准不是强制性标准,甚至也不是推荐性标准,标准通过会对行业起到多大的规范效力,仍待观察。
二、安全技术
应用层面
系统层面
网络层面
物理层面
技术理念
第一绝对安全与可靠的信息系统并不存在。第二安全是一个过程而不是目的。
信息安全等级保护
指将安全策略、安全责任和安全保障等计算机信息网络安全需求划分不同的等级,国家、企业和个人依据不同等级的要求有针对性地保护信息网络安全。
关键技术:
1.防电磁辐射
2.访问控制技术
3.安全鉴别技术
4.权限控制
5.通信保密
6.数据完整性
7.实现身份鉴别
8.安全审计9.病毒防范及系统安全备份10.加密方法
11.网络的入侵检测和漏洞扫描12.应用系统安全13.文件传送安全14.邮件安全
难点问题
1、需要海量的客户端(云安全探针);
2、需要专业的反病毒技术和经验;
3、需要大量的资金和技术投入;
4、必须是开放的系统,而且需要大量合作伙伴的加入。
三、安全管理
社会是由人群组成,有人群就要管理。社会管理就是社会关系的调整。虚拟社会现实化管理
人过留名、雁过留声、网过留痕。管理理念:社会化、多元化、法治化、专业化
管理区别:
管理对象:(社会人,信息)
管理领域:(地域空间,数字空间)
管理手段不同(法律、道德,高科技术)
安全管理
实体层面
网络层面
系统层面
应用层面
管理层面
管理层面贯穿了其他几个层面
监控方式:不限时间、不限地域。可以是全部用户,也可以是重点用户。
监控内容:用户行踪、用户有关个人资料,使用的电子邮件、社交网站、聊天工具等信息。
监控分析:掌握监控对象的活动规律,关注的内容、行为特点等信息。
落实手机和笔记本电脑使用安全管理规定
严禁在通信中涉及涉密内容
严禁带入涉密场所
严禁使用无线上网功能处理、存储、传输涉密信息。
涉密笔记本电脑一律拆除无线上网设备。
要害部门严禁使用通过3G网卡、无线路由等方式连
接互联网,严禁使用无线鼠标、无线键盘、摄像头、麦克风等设备
强化保密检查
提高技术防范能力
加强保密教育
安全提示
手机可能泄露哪些信息?
回应:通信录、密码、短信、照片都可能被窃取。
手机泄密的渠道有哪些?
回应:手机木马与恶意软件最危险;隐私窃取木马会监听并上传通话录音;一些看似普通的软件可能读取私人短信。
公共场所使用免费wifi安全吗?
回应:未经加密处理的用户名和密码信息可能被窃取,手机网银等加密资料不易被窃。
禁止利用互联网等从事违法活动
根据《中华人民共和国宪法》和相关法律法规规定,在保护公民合法言论自由的同时,禁止利用互联网、通讯工具、媒体以及其他方式从事以下行为:
一、组织、煽动抗拒、破坏宪法和法律、法规实施的。
二、捏造或者歪曲事实,散布谣言,妨害社会管理秩序的。
三、组织、煽动非法集会、游行、示威,扰乱公共场所秩序的。
四、从事其他侵犯国家、社会、集体利益和公民合法权益的。
管理部门将依法严加监管上述行为并予以处理;对构成犯罪的,司法机关将追究刑事责任。
法律规定
刑法第一百零五条
组织、策划、实施颠覆国家政权、推翻社会主义制度的,对首要分子或者罪行重大的,处无期徒刑或者十年以上有期徒刑;对积极参加的,处三年以上十年以下有期徒刑;对其他参加的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利。
以造谣、诽谤或者其他方式煽动颠覆国家政权、推翻社会主义制度的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利;首要分子或者罪行重大的,处五年以上有期徒刑。
世界各国互联网监管消息
·德国:加强对互联网管理
打击网络违法行为
·法国:八国集团峰会将集中讨论互联网问题
·美国:参议员抛出新提案:授权总统紧急关闭互联网
·新加坡:互联网管理:法律规范和技术保障双管齐下
·日本:呼吁加强互联网监管
警惕美国网络帝国主义
·英国:互联网监管疏而不漏
倡导行业的自律和协调
·韩国:《电气通信事业法》危险通信信息为管制对象
·意大利:出台网站视频审查法令
上传视频需要审核
·澳大利亚:多“管”齐下治理互联网
·俄罗斯:让网民远离有害信息
微博
微博的媒体性质与社交功能混合,导致了诸多的不便以及虚伪的表演性。
把微博视为自媒体的,即发表个人观点尤其是时事评论为主。
由系统自动产生的关注“僵尸粉”、传播谣言和虚假信息、买卖‘粉丝’、利用网络进行欺诈等。例:油价哥
不讲脏话无话可说
政治谣言
微博实名制执行力度成关键
微博女王
受众超人民日报发行量的八倍
虚拟网络不能变成虚假网络
谣言传播的名言:“当真理还在穿鞋,谣言已经走遍了天下。”
德国纳粹戈培尔也曾说过,“重复是一种力量,谎言重复一百次就会
成为真理。”
谣言一旦见于网络,就像病毒的传播,无形而迅猛。
从“药家鑫不死则法律死”,到“张显不坐牢,全民学造谣”,舆论
前后呈现出冰火两重天的分化.死刑不是灵丹妙药,民意不能替代法官审判
用舆论的方式来判定一个人的生死,是人治赤裸裸的重现。
舆情不能反映真相,尽管网民在选择时是真诚的。
如:A美女盛装在镁光灯下飘过,B美女戴口罩站在黑糊糊的角落,观众百分之百真诚选A为冠军,其实说明的真相是镁光灯来错,口罩捂的严实。
舆情真实反映客观的三个前题:
讨论是否自由?
观念是否多元?
信息是否充分?
结语
组成:网络实体、信息和人
实质:信息安全
人是第一生产力
安全理念是最好的防火墙