第11章個人、企業及

國家信息安全

海軍工程大學電子工程學院

信息安全系：周學廣教授

2007年11月

擊第〃章個人、企業及國家傍昊獎全

＞主要內容

1.個人信息安全防護策略

2.企業信息安全解決方案

3.國家信息安全

4.信息安全發展

5.小結

z*x

擊第〃章個人、企業及國家傍昊獎全

1.個人信息安全防護策略

海軍工程大學

信息安全系

周學廣教授

*第〃章個人、企業及國家傍嵬獎全

＞原因：

?黑客的攻擊或有組織

的群體的入侵

■系統內部人員的不規范

使用和惡意破壞

*第〃章個人、企業及國家傍嵬獎全

＞根源：

■1988年11月發生的“蠕蟲”事件

.2000年2月的DoS攻擊

?2006年中國的“熊貓燒香”蠕蟲事件

擊第〃章個人、企業及國家傍嵬獎全

1.1個人信息安全隱患

*第〃章個人、企業及國家傍嵬騫全

＞類型：

?信息的截獲和竊取

■信息的篡改

■信息假冒

?交易抵賴

.信息損毀

擊第〃章個人、企業及國家傍嵬獎全

1.2個人信息安全防護技術

*第〃章個人、企業及國家傍嵬獎全

＞相關技術

.網絡殺毒軟件

■防火墻

,加密技術

I身份認證

■存取控制

.數據完整性

B安全協議

*第〃章個人、企業及國家傍嵬獎全

＞網絡殺毒軟件

特點：

■首先，殺病毒技術的發展日益國際化。

■其次，殺毒軟件面臨多平臺的挑戰。

?第三，殺毒軟件面臨著Internet的挑戰。

*第〃章個人、企業及國家傍嵬獎全

＞防火墻

目前使用最廣泛的技術：在全球

連入Internet的計算機中約有三分之一

是處于防火墻保護之下。

*第〃章個人、企業及國家傍嵬獎全

職責：

根據本單位的安全策略，對外部

網絡與內部網絡之間交流的數據進行

檢查，符合的予以放行，不符合的拒

之門外。

z*x

擊第〃章個人、企業及國家傍昊獎全

技術實現：

-基于所謂“包過濾”技術

■利用代理服務器軟件

*第〃章個人、企業及國家傍嵬獎全

建議：

對個體網絡安全有特別要求，而

又需要和Internet聯網的用戶，建議使

用防火墻。

*第〃章個人、企業及國家傍嵬獎全

注意：

防火墻只能阻截來自外部網絡的

侵擾，而對于內部網絡的安全還需要

通過對內部網絡的有效控制和管理來

實現。

*第〃章個人、企業及國家傍嵬獎全

＞加密技術

加密技術的思想核心就是既然網

絡本身并不安全可靠，那么所有重要

信息就全部通過加密處理。

z*x

擊第〃章個人、企業及國家傍昊獎全

類型：

-單鑰技術

■雙鑰技術

z*x

擊第〃章個人、企業及國家傍昊獎全

用途：

■加密信息

?數字簽名

*第〃章個人、企業及國家傍嵬獎全

＞身份認證

是一致性驗證的一種，對確保信息

系統和數據的信息安全極為重要，是

互聯網上信息安全的第一道屏障。

*第〃章個人、企業及國家傍嵬獎全

目的：

識別用戶的合法性，從而阻

止非法（越權）用戶訪問系統。

*第〃章個人、企業及國家傍嵬獎全

種類：

■口令驗證

■磁卡和智能卡驗證

■生理特征識別和驗證

.通過零知識證明驗證

z*x

擊第〃章個人、企業及國家傍昊獎全

＞存取控制

規定何種主體對何種客體

具有何種操作權力

*第〃章個人、企業及國家傍嵬獎全

內容：

■人員限制

■數據標識

■權限控制

■類型控制

，風險分析

*第〃章個人、企業及國家傍嵬獎全

＞數據完整性

完整性證明是在數據傳輸過程中，

驗證收到的數據和原來數據之間保持

完全一致的證明手段。

*第〃章個人、企業及國家傍嵬獎全

近幾年來研究比較多的是數字簽名

等算法，但由于實現起來比較復雜，

系統開銷比較大，一般只用于完整性

要求較高的領域，特別是商業、金融

業等領域。

*第〃章個人、企業及國家傍嵬獎全

＞安全協議

安全協議的建立和完善是安全保密

系統走上規范化、標準化道路的基本因

素。一個較為完善的內部網和安全保密

系統，至少要實現加密機制、驗證機制

和保護機制。

擊第〃章個人、企業及國家傍嵬獎全

1.3個人信息安全策略

第〃章個人、企業及國家傍嵬建全

＞謹防特洛伊木馬

計算機安全的最大威脅

之一來自特洛伊木馬。

*第〃章個人、企業及國家傍嵬獎全

對付方法：

1不要輕易接受來歷不明的軟件

-用國內殺毒軟件提供的清除特洛

伊木馬的功能進行檢查和清除

z*x

擊第〃章個人、企業及國家傍昊獎全

-當發現上網速度奇慢無比時，如

“已發送字節”變為1k?3kbps時,

應立即掛斷網絡，然后對硬盤進行

認真徹底的檢查

*第〃章個人、企業及國家傍嵬獎全

＞借助ISP或Modem

的防火墻功能

目前國內許多ISP提供了防火

墻功能，一些調制解調器生產廠

家也提供了自己的防火墻軟件。

*第〃章個人、企業及國家傍嵬獎全

＞關閉“共享”

Windows的網絡鄰居，在給用戶

帶來方便的同時也帶來了隱患，使得

一些特殊的軟件可以搜索到網上的

“共享”目錄而直接訪問對方的硬盤,

從而使別有用心的人控制您的機器。

z*x

擊第〃章個人、企業及國家傍昊獎全

如果必須運行“共享”服務應

明確哪些內容可以共享，盡量不要

將您的整個驅動器共享出來。

z*x

擊第〃章個人、企業及國家傍昊獎全

?不厭其煩地

安裝補丁程序

任何一種軟件都在不停地進

行升級，這主要是因為軟件都有

不完善之處，包括存在一些安全

漏洞

z*x

擊第〃章個人、企業及國家傍昊獎全

因此，安裝軟件開發商提供的

補丁程序是十分必要的，只要我們

連網后，在“開始”菜單下，運行

"WindowsUpdate”，就可以及時

得到最新的系統和瀏覽器安全補丁

程序。

z*x

擊第〃章個人、企業及國家傍昊獎全

＞盡量關閉不需要

的組件和服務程序

在默認設置下，系統往往允許

使用很多不必要而且很可能暴露安

全漏洞的端口、服務和協議。

z*x

擊第〃章個人、企業及國家傍昊獎全

為確保安全，可在Windows系

統設置上，刪除那些包括NetBEUI

和IPX/SPX等平常不使用的協議。

*第〃章個人、企業及國家傍嵬獎全

具體操作：

?選擇“查看”下的“Internet選項”

?點擊“高級”標簽

■找到“安全”下的黃色“！”標志

■選擇“接受Cookie之前提示”或

“禁止所有的Cookie使用”。

*第〃章個人、企業及國家傍嵬獎全

＞使用代理服務器

它相當于您和您訪問的Web頁

的一個緩沖，您可以通過代理服務

器正常地瀏覽有關站點，但別人卻

看不到您上網的計算機。

*第〃章個人、企業及國家傍嵬獎全

設置方法：

■選擇“工具”中的“Internet選項”中的

“連接”

■選擇“使用代理服務器”選項

■輸入代理服務器的IP地址或域名

?輸入HTTP協議對應的端口號（如8080）。

*第〃章個人、企業及國家傍嵬獎全

＞屏蔽ActiveX控件

由于ActiveX控件可以被嵌入到

HTML頁面中，并下載到瀏覽器端加

以執行，因此會給瀏覽器端造成一定

程度的安全威脅。

*第〃章個人、企業及國家傍嵬獎全

此外，還有一些新技術，如

ASP(ActiveserverPages)技術，由于

用戶可以為ASP的輸出隨意增加客戶

腳本、ActiveX控件和動態HTML,因

此在ASP腳本中同樣也都存在著一定

的安全隱患。

*第〃章個人、企業及國家傍嵬獎全

具體操作：

■單擊“工具”菜單項選擇“Internet選

項”

■在“安全”標簽中單擊“自定義級別”

按鈕

■在“安全設置”中找到關于ActiveX控

件的設置

.選擇“禁用”或“提示”。

z*x

擊第〃章個人、企業及國家傍昊獎全

＞定期清除緩存、歷史記錄

以及臨時文件夾中的內容

我們在上網瀏覽信息時，瀏覽器

會把我們在上網過程中瀏覽的信息保

存在瀏覽器的相關設置中

*第〃章個人、企業及國家傍嵬獎全

＞不隨意透露任何個人信息

在網上瀏覽信息時，經常會發現

需要用戶注冊自己個人信息資料的表

單。不要輕易把自己真實的信息提交

給他們，特別是不要向任何人透露你

的密碼。

z*x

擊第〃章個人、企業及國家傍昊獎全

2.企業信息安全解決方案

海軍工程大學

信息安全系

周學廣教授

*第〃章個人、企業及國家傍嵬獎全

Internet的強勁旋風以驚人的速度

滲透到各行各業。伴隨網絡的普及，

安全問題日益成為影響網絡效能的瓶

頸，企業的網絡安全已經成為企業信

息化進程中首先要考慮的事情之一。

擊第〃章個人、企業及國家傍嵬獎全

2.1企業信息安全風險

*第〃章個人、企業及國家傍嵬獎全

來源：

.網絡設施物理特性的安全

.網絡系統平臺的安全

■網上交易的安全

-數據存儲的安全

*第〃章個人、企業及國家傍嵬獎全

＞物理安全風險

物理安全風險包括：

■由于水災、火災、雷擊、粉塵、靜電

等突發性事故和環境污染造成網絡設施

工作停滯。

■人為引起設備被盜、被毀或外界的電

磁干擾使通信線路中斷。

z*x

擊第〃章個人、企業及國家傍昊獎全

■電子、電力設備本身固有缺

陷和弱點及所處環境容易在人

員誤操作或外界誘發下發生

故障。

z*x

擊第〃章個人、企業及國家傍昊獎全

＞系統安全風險

■網絡系統

■操作系統

-應用系統

*第〃章個人、企業及國家傍嵬獎全

具體體現：

■網絡系統在設計實施不夠完善

■網絡操作系統

(Windows\Unix\Netware)的開

發商都留有后門(backdoor)

*第〃章個人、企業及國家傍嵬獎全

-內部人員不安全使用計算機造成口令

失竊、文電丟失泄密；不同地區、不

同部門在與外界進行郵件往來時存在

病毒和黑客進入計算機的隱患

*第〃章個人、企業及國家傍嵬獎全

應用系統威脅來源:

-內、外界對業務系統非授權訪問

?系統管理權限喪失

■使用不當或外界攻擊引起系統崩潰

?網絡病毒的傳播

■其他原因造成系統損壞

.系統開發遺留的安全漏洞

*第〃章個人、企業及國家傍嵬獎全

＞網上交易的安全風險

■采用相似的名稱和外觀仿冒企業網站

和服務器，用于騙取企業客戶的數據信

息。

.仿冒客戶身份進行交易委托和查詢。

■在網上傳輸的指令、數據有可能被截

取、篡改、重發。

*第〃章個人、企業及國家傍嵬獎全

■由于網絡交易的非接觸性，交易雙方

可能對交易結果進行抵賴。

■在網上的數據傳輸可能因通信繁忙出

現延遲。

■網上發布的企業交易行情信息可能滯

后，與真實情況不完全一致。

*第〃章個人、企業及國家傍嵬獎全

A數據的安全風險

■因內、外因素造成數據庫系統管理失

控或破壞使用戶的個人信息和業務數據

遭到偷竊、復制、泄密、丟失，并且無

法得到恢復。

.網絡病毒的傳播或其他原因造成存儲

數據的丟失和損壞。

*第〃章個人、企業及國家傍嵬獎全

-網站發布的信息數據（包括產品、供

貨、訂購、交易信息）有可能被更改、

刪除，給企業帶來損失。

擊第〃章個人、企業及國家傍嵬獎全

2.2企業信息安全解決方案

*第〃章個人、企業及國家傍嵬獎全

企業網絡的安全體系涉及到網絡

物理安全和系統安全的各個層面。通

常應該從網絡安全、操作系統、應用

系統、交易安全、數據安全、安全服

務和安全目標等方面尋求解決方案。

*第〃章個人、企業及國家傍嵬獎全

綜合考慮：

■安全體系：按照安全策略的要求及風

險分析的結果，整個企業網絡安全措施

應根據不同的行業特點，按照網絡安全

的整體構想來建立。

z*x

擊第〃章個人、企業及國家傍昊獎全

?物理安全：保證計算機信息系統各種

設備的物理安全是整個計算機信息安

全系統的前提。

■系統安全：系統安全主要關注網絡系

統、操作系統和應用系統三個層次。

*第〃章個人、企業及國家傍嵬獎全

采用技術：

■網絡隔離技術

■訪問控制技術

＞加密技術

.鑒別技術

■數字簽名技術；

擊第〃章個人、企業及國家傍嵬獎全

■入侵檢測技術

■信息審計技術

■安全評估技術

■病毒防治技術

-備份與恢復技術

*第〃章個人、企業及國家傍嵬獎全

＞安全體系

■因內、外因素造成數據庫系統管理失

控或破壞使用戶的個人信息和業務數據

遭到偷竊、復制、泄密、丟失，并且無

法得到恢復。

.網絡病毒的傳播或其他原因造成存儲

數據的丟失和損壞。

*第〃章個人、企業及國家傍嵬獎全

＞數據的安全風險

具體的安全控制系統按照企業網絡

安全結構和安全體系分別由以下幾方面

組成，如圖所示：

*第〃章個人、企業及國家傍昊獎全

Z_________/

//_

數據安全

安全技術體系

/

/

/

交易安全

/

/

/

系統安全安全管理體系安全保障體系

/

/

/

物理安全

/

*第〃章個人、企業及國家傍嵬獎全

＞物理安全

物理安全是整個計算機信息安全系

統的前提，是保護計算機網絡設備、設

施以及其它媒體免遭地震、水災、火災

等環境事故以及人為操作失誤或錯誤及

各種計算機犯罪行為導致的破壞過程。

擊第〃章個人、企業及國家管嵬察全

內容包括：

1環境安全

■設備安全

.媒體安全

*第〃章個人、企業及國家傍嵬獎全

＞系統安全

如下圖所示，網絡的各個層面都可

能對系統安全構成威脅，通常，系統安

全主要關注網絡系統、操作系統、應用

系統的安全，注重交易安全和數據安全。

第II章個人、企業及國家倍建要全

應用層攻擊Wek>rFTF和箕它月艮務，病毒攻擊

表示層破解使用由鑰加密的佶輸

會話層盜取聲西r對非法訪的系統

傳輸層

<更改TCP/工尸地址，拒絕服務的攻擊-

7其它協議棧上易受到的各種攻擊

1

網絡層

n

數據鏈路層

,網絡探測翡r特洛伊木馬程序

物理層J

z*x

擊第〃章個人、企業及國家傍昊獎全

采用技術和手段：

■冗余技術

■網絡隔離技術

■訪問控制技術

擊第〃章個人、企業及國家傍嵬獎全

■身份鑒別技術

■加密技術

.監控審計技術

■安全評估技術

z*x

擊第〃章個人、企業及國家傍昊獎全

+網絡系統：

網絡的開放性、無邊界性

和自由性是造成網絡系統不安

全的主要因素。

擊第〃章個人、企業及國家管嵬察全

解決方式：

■網絡冗余

■系統隔離

-訪問控制

*第〃章個人、企業及國家管嵬察全

■身份鑒別

■加密

?安全檢測

?網絡掃描

*第〃章個人、企業及國家傍嵬獎全

+操作系統：

操作系統是管理計算機資源的

核心系統，負責信息發送，管理設

備存儲空間和各種系統資源的調度，

它作為應用系統的軟件平臺具有通

用性和易用性。

*第〃章個人、企業及國家傍嵬獎全

操作系統安全性直接關系到應用

系統的安全，操作系統安全分為應用

安全和安全漏洞掃描。

*第〃章個人、企業及國家傍嵬獎全

應用安全

面向應用選擇可靠的操作系統并

按正確的操作流程使用計算機系統，

杜絕使用來歷不明的軟件，安裝操作

系統保護與恢復軟件并作相應的備份。

*第〃章個人、企業及國家傍嵬獎全

系統掃描

企業網絡管理人員通過掃描操作

系統，對掃描漏洞自動修補并形成報

告，保護系統應用程序和數據免受盜

用和破壞。

z*x

擊第〃章個人、企業及國家傍昊獎全

+應用系統：

企業應用系統大體分為辦公系

統和業務系統，企業應用系統安全

除采用通用的安全手段外主要根據

企業自身經營及管理需求來開發。

*第〃章個人、企業及國家傍嵬獎全

+交易安全：

交易方式

■營業部柜臺交易

■電話交易

I網上交易

*第〃章個人、企業及國家傍嵬獎全

前兩種交易方式安全系數較高，

而網上交易主要通過公網完成交易的

全過程，由于公網的開放性和復雜性,

使網上交易風險大大高于前者。

*第〃章個人、企業及國家傍嵬獎全

內容

?交易安全標準

■交易安全基礎體系

.交易安全的實現

t第〃章個人、企業及國家傍是液全

+數據安全：

數據安全牽涉到數據庫的安全

和數據本身安全，針對兩者應有相

應的安全措施。

*第〃章個人、企業及國家傍嵬獎全

數據庫安全

企業的數據庫一般采用具有一定

安全級別的SYBASE或ORACLE大型

分布式數據庫。

*第〃章個人、企業及國家傍嵬獎全

鑒于數據庫的重要性，還應在此

基礎上開發一些安全措施，增加相應

控件，對數據庫分級管理并提供可靠

的故障恢復機制，實現數據庫的訪問、

存取、加密控制。

擊第〃章個人、企業及國家傍嵬獎全

實現方法:

■安全數據庫系統

■數據庫保密系統

■數據庫掃描系統

*第〃章個人、企業及國家傍嵬獎全

數據安全

指存儲在數據庫數據本身的安全，

相應的保護措施有安裝反病毒軟件，

建立可靠的數據備份與恢復系統，對

股民的個人信息和交易數據按安全等

級劃分存儲，某些重要數據甚至可以

采取加密保護。

*第〃章個人、企業及國家傍嵬獎全

A安全管理

面對網絡安全的脆弱性，除了運用

先進的網絡安全技術和安全系統外，完

善的網絡安全管理將是信息系統建設重

要組成部分，許多不安全的因素恰恰反

映在組織資源管理上，安全管理應該貫

穿在安全的各個層次上。

*第〃章個人、企業及國家傍嵬獎全

原則：

■多人負責原則

■任期有限原則

■職責分離原則

z*x

擊第〃章個人、企業及國家傍昊獎全

安全管理的實現：

■安全制度管理

■安全目標管理

B技術管理目標

■資源管理目標

.客戶管理目標

*第〃章個人、企業及國家傍嵬獎全

安全服務：

建立網絡安全保障體系不能僅

僅依靠現有的安全機制和設備，

更重要的是提供全方位的安全服

務。

*第〃章個人、企業及國家傍嵬獎全

完善的安全服務應包括全方位的安

全咨詢，整體系統安全的策劃、設計，

優質的工程實施、細致及時的售后服務

和技術培訓。

*第〃章個人、企業及國家傍嵬獎全

止匕外，定期的網絡安全風險評估,

幫助客戶制定特別事件應急響應方案

擴充了安全服務的內涵。

*第〃章個人、企業及國家傍嵬獎全

安全目標：

-靜態安全目標——包括整個企業

信息系統的物理環境、系統硬、

軟件結構和可用的信息資源，保

證企業交易系統實體平臺安全。

*第〃章個人、企業及國家傍嵬獎全

?動態安全目標—提升企業信息系統

的安全軟環境，包括安全管理、安全

服務、安全思想意識和人員的安全專

業素質。

擊第〃章個人、企業及國家傍嵬獎全

2.3企業信息安全

典型應用案例

擊第〃章個人、企業及國家傍嵬獎全

下圖是某證券公司信息安全解決

方案的應用實例，是典型的總部模式,

具體如下：

第〃章個人、企業及國家傍是獎全

*第〃章個人、企業及國家傍嵬獎全

■防火墻作為基礎安全設備設立在公司

總部及營業部入口，通過訪問控制可

防止非法入侵并能做內部的安全代理。

.通過IP層加密構建企業虛擬專用網

(VPN),保證證券公司總部與各營

業部之間信息傳輸的機密性。

*第〃章個人、企業及國家傍嵬獎全

.安全控制中心主要用作證券公司網絡

監控預警系統，具有主動、實時的特

性。它是由入侵檢測系統、網絡掃描

系統、系統掃描系統、網絡防病毒系

統、信息審計系統等構成的綜合安全

體系。

*第〃章個人、企業及國家傍嵬獎全

■證券公司的Web服務器、郵件服務

器等應用系統的保護由頁面保護系統、

安全郵件系統完成。

?基于SSL協議的應用加密系統保證股

民交易安全。

*第〃章個人、企業及國家傍嵬獎全

.建立公司的數字證書中心（CA）,

向股民發放相應的數字證書。

■交易、行情服務器采用負載均衡和容

錯備份系統。

*第〃章個人、企業及國家傍嵬獎全

■數據庫采用相應安全控件組成安全數

據庫，定期進行數據庫漏洞掃描和數

據備份。

■衛星加密系統用于證券公司與深、滬

兩市數據安全交換。

■文電辦公加密系統用于辦公文件（郵

件）加密傳輸、存儲。

擊第〃章個人、企業及國家傍嵬獎全

2.4企業防黑策略

*第〃章個人、企業及國家傍嵬獎全

黑客常用手段

目的

■獲取目標系統的非法訪問，獲得不

該獲得的訪問權限。

■獲取所需信息，包括科技情報、個

人信息、金融賬戶、技術成果、系統

信息等等。

*第〃章個人、企業及國家傍嵬獎全

-篡改有關數據，篡改信息，達到非法

目的。

■利用有關資源，包括利用這臺機器的

資源對其他目標進行攻擊，發布虛假

信息，占用存儲空間。

*第〃章個人、企業及國家傍嵬獎全

攻擊方式：

.遠程攻擊——指外部黑客通過各種

手段，從該子網以外的地方向該子網

或者該子網內的系統發動攻擊。

*第〃章個人、企業及國家傍嵬獎全

遠程攻擊的時間一般發生在目標

系統當地時間的晚上或者凌晨時分，

遠程攻擊發起者一般不會用自己的機

器直接發動攻擊，而是通過跳板的方

式，對目標進行迂回攻擊，以迷惑系

統管理員，防止暴露真實身份。

*第〃章個人、企業及國家傍嵬獎全

■本地攻擊指本單位的內部人員，

通過所在的局域網，向本單位的其他

系統發動攻擊，在本機上進行非法越

權訪問也是本地攻擊。本地攻擊不排

除使用跳板的可能。

*第〃章個人、企業及國家傍嵬獎全

.偽遠程攻擊——指內部人員為了掩

蓋攻擊者的身份，從本地獲取目標的

一些必要信息后，攻擊過程從外部遠

程發起，造成外部入侵的現象，從而

使追查者誤以為攻擊者是來自外單位。

*第〃章個人、企業及國家信昊獎全

途徑：

■管理漏洞——如兩臺服務器用同一

個用戶和密碼，則入侵了A服務器后,

B服務器也不能幸免。

*第〃章個人、企業及國家傍嵬獎全

■軟件漏洞——如Sun系統上常用的

NetscapeEnterpriseServer月艮務，只需

輸入一個路徑，就可以看到Web目錄下

的所有文件清單；又如很多程序只要接

收到一些異常或者超長的數據和參數，

就會導致緩沖區溢出。

*第〃章個人、企業及國家傍嵬獎全

■結構漏洞——比如在某個重要網段由

于交換機、集線器設置不合理，造成黑

客可以監聽網絡通信流的數據；又如防

火墻等安全產品配置不合理，有關安全

機制不能發揮作用，麻痹技術管理人員

而釀成黑客入侵事故。

z*x

擊第〃章個人、企業及國家傍昊獎全

■信任漏洞——比如本系統過分信

任某個外來合作伙伴的機器，一旦

這臺合作伙伴的機器被黑客入侵，

則本系統的安全受嚴重威脅。

z*x

擊第〃章個人、企業及國家傍昊獎全

綜上所述：

一個黑客要成功入侵系統，

必須分析各種與該目標系統相關

的技術因素、管理因素和人員因

素。

*第〃章個人、企業及國家傍嵬獎全

＞黑客網絡攻擊的四個層次

?單元分析：單一目標的系統技術分析。

■網絡分析：與目標有關的網絡系統的

技術分析。

■組織分析：與目標有關的組織分析。

■人物分析：與目標有關的人物分析。

*第〃章個人、企業及國家傍嵬獎全

如下圖所示，對于外部的黑客而

言，在所用到的四個攻擊層次中單元

系統分析所占的比例最大，它是黑客

攻擊的最主要途徑。其他三個層次的

分析，都是走迂回路線。

*第〃章個人、企業及國家傍昊獎全

*第〃章個人、企業及國家傍嵬獎全

如下圖所示，對于內部黑客而言，

在組織分析和人物分析，甚至是網絡

分析方面，都有著得天獨厚的優勢。

對于內部黑客而言，反而是單元系統

分析的難度較大。

擊第〃章個人、企業及國家傍昊獎全

單元分析網絡分析組織分析人物分析

*第〃章個人、企業及國家傍嵬獎全

＞三種常見的黑客攻擊方法

了解企業面臨的主要安全

威脅并防患于未然是企業保持

競爭力的基礎條件之一。在所

有的安全威脅中，以下三種是

最為嚴重的。

*第〃章個人、企業及國家管嵬察全

+訪問攻擊

攻擊方式：

拒絕服務(DenialofService,

DoS)是一種比較簡單而且正

在日益流行的攻擊。

*第〃章個人、企業及國家傍嵬獎全

攻擊者只要向被攻擊的服務器發

送信息洪流，就能使Web服務器、主

機、路由器和其他網絡設備淹沒于洪

流之中，使用戶、客戶和合作伙伴無

法訪問網絡。

*第〃章個人、企業及國家傍嵬獎全

安全對策：

首先要確認攻擊的來源，然后對

來自這些站點的交易不予接受。最好

的反擊是有一個事先制定的應急事件

反應計劃，該計劃一般應該包括三個

關鍵元素。

擊第〃章個人、企業及國家傍嵬獎全

■技術對策

■事后的法律訴訟

-公共關系反應

*第〃章個人、企業及國家傍嵬獎全

+偷竊專利信息

攻擊方式：

有兩種形式的信息偷竊行為：智

能資產偷竊（商業機密、銷售預報、

職員信息、會計信息等）和工業間諜

（受雇于他人的高級專業間諜、外國

政府間諜和目標是針對某一組織實施

攻擊的犯罪企業聯合體）。

*第〃章個人、企業及國家傍嵬獎全

攻擊者可能拷貝或刪除企業內部

數據資源中的重要信息，或者把這些

重要信息據為己有、出賣或者用來勒

索錢財。

*第〃章個人、企業及國家傍嵬獎全

安全對策：

-在線防盜警報器是一種對防火墻起

補充作用的入侵檢測系統，它實時

監控網絡的運行過程，捕獲和分析

信息包的標題和內容。

*第〃章個人、企業及國家傍嵬獎全

■入侵檢測和響應系統提供了基礎層面

的防衛。這些應用系統可以對攻擊或

各種誤操作行為做出實時響應，包括

報警、記錄或者終止攻擊人的網絡連

接。

z*x

擊第〃章個人、企業及國家傍昊獎全

?外購信息安全服務是另一種可選方案,

其優點是客戶只購買最急需的信息安

全服務。

U第〃章個人、企業及國家傍是獎全

+破壞硬件、軟件和數據

攻擊方式：

這類攻擊的目的是破壞硬件、

應用程序或數據資源。

*第〃章個人、企業及國家傍嵬獎全

目前已經有一些軟件能顯示出攻

擊的來源，確定攻擊是由可信任的內

部職員、承包人還是由嚴重危害信息

安全基礎設施的入侵者發動的。

*第〃章個人、企業及國家傍嵬獎全

攻擊人為了永久地改變或刪除這

些軟件，必須進行物理型訪問。

企業常用的數據庫也為不懷好意

的攻擊提供了機會。

*第〃章個人、企業及國家傍嵬獎全

安全對策：

?注意誰訪問了重要的服務器和網絡基

礎設施

■確保把包含有價值信息的可移動設備

和備份介質存放在安全的地方，這些設

備和介質只有經過授權的職員才能拿到

*第〃章個人、企業及國家傍嵬獎全

-將拷貝副本存放其他地方

■可以考慮不在工作站上裝備可移動的

存儲設備

■適當地審查職員和承包人，限制未經

授權人員的訪問權

*第〃章個人、企業及國家傍嵬獎全

＞構筑立體防御體系

防止內外黑客入侵破壞系統，

要想防止內外黑客入侵破壞系統，

必須從系統漏洞、網絡漏洞、組

織管理漏洞和人員安全素質各方

面著手。

*第〃章個人、企業及國家傍嵬獎全

安全專家針對重要系統，金融、政

府和電信領域的網絡業務，提出了在動

態網絡安全條件下的動態網絡安全解決

方案。該方案是一個面向企業的（而非面

向社會的）系統工程，是相對時間而言的

立體三維結構防御體系，如下圖所示：

第II章個人、企業及國家倍建要全

網ts安全系虹fl!CNNSmi靖梅

z*x

擊第〃章個人、企業及國家傍昊獎全

3.國家信息安全

海軍工程大學

信息安全系

周學廣教授

*第〃章個人、企業及國家傍嵬獎全

安全，是人類有序存在的前提條件,

它構成了國家存在的最重要的理由。

信息，是人類社會寶貴的智力資源,

也是國家的關鍵戰略資源。

在國家和國防都依重信息體系的當

代，必須保證信息安全。

擊第〃章個人、企業及國家傍嵬獎全

3.1國家信息安全意義

*第〃章個人、企業及國家傍嵬獎全

眾所周知，信息之所以要保密，

是因為它具有機密性或敏感性，信息

的保密與安全，與世界各國的國防建

設和國計民生息息相關，它直接影響

國家安危、戰爭勝負、外交斗爭的成

敗、經濟競爭的輸贏。

z*x

擊第〃章個人、企業及國家傍昊獎全

具體例子：

+政治上，美國的“水門事件”

*第〃章個人、企業及國家傍嵬獎全

+外交上，第一次世界大戰中的英國

海軍，由于破譯了德國外長建議墨西

哥對美宣戰的密電而向美國通報了密

電內容，五周內即促成原來中立的美

國對德宣戰。

*第〃章個人、企業及國家傍嵬獎全

?軍事上，日本由于密碼被破譯，中

途島一戰損失280架飛機和四艘航空母

艦，成了太平洋戰區的轉折點；美國

的信息偵察優勢也使伊拉克軍隊在海

灣戰爭中失去還手之力。

*第〃章個人、企業及國家傍嵬獎全

+在經濟領域內，美國因計算機犯罪

平均每年損失數十億美元；英國每年

都要因計算機濫用與欺詐而損失5至10

億英磅；法國每年發生此類案件幾萬

起；意大利近年來因計算機詐騙而失

竊幾千億里拉……

*第〃章個人、企業及國家傍嵬獎全

綜上所述:

信息安全，就是技術的競爭，就

是保衛財富，保衛祖國。誰要想在政

治、外交、軍事、經濟等競爭中獲勝,

誰就必須妥善地保護自己信息的安全,

同時盡可能多地探知對手的信息秘密。

擊第〃章個人、企業及國家傍嵬獎全

3.2國家信息安全作用

*第〃章個人、企業及國家傍嵬獎全

對國家的存在和發展所起的作用:

.國家安全的內涵不斷擴展、內容不斷

豐富，使信息社會中的信息安全上升為

國家安全的一個最重要的方面

■“科學技術是第一生產力”，“信息

是最重要的戰斗力”

*第〃章個人、企業及國家傍嵬獎全

■信息已成為人類最寶貴的資源，社會

和經濟的發展對信息資源、信息技術

和信息產業的依賴程度與日俱增

■未來高技術戰爭特別是信息戰爭屬

“智能型”、“技巧型”戰爭

*第〃章個人、企業及國家傍嵬獎全

總之：

信息安全已經肩負一個國家

的民族創新、技術領先、經濟騰

飛、國防現代化的艱巨任務。

擊第〃章個人、企業及國家傍嵬獎全

3.3我國信息安全現狀

*第〃章個人、企業及國家傍嵬獎全

在《國民經濟和社會發展第十一

個五年規劃綱要》中明確提出要強化

信息安全保障工作，要積極防御、綜

合防范，提高信息安全保障能力。我

國信息安全將進入一個新的發展空間。

*第〃章個人、企業及國家傍嵬獎全

＞我國信息安全現狀

-初步建成了國家信息安全組織保

障體系

-制定和引進了一批重要的信息安

全管理標準

*第〃章個人、企業及國家傍嵬獎全

-制定了一系列必須的信息安全的

法律法規

■信息安全風險評估工作已經得到

重視和開展

*第〃章個人、企業及國家傍嵬獎全

我國信息安全目前

存在的一些問題

■實際管理力度不夠，政策的執

行和監督力度不夠

■缺乏具有中國特色的信息安全

管理體系

*第〃章個人、企業及國家傍嵬獎全

?信息安全意識缺乏，產品的研究與開

發還很落后

■我國自己制定的信息安全管理標準太

少

*第〃章個人、企業及國家傍嵬獎全

＞國家信息安全工作對策

總體要求:

以科學發展觀為指導，緊密圍繞27

號文件和國家信息安全戰略提出的各項

任務，穩步推進信息安全建設，切實加

強互聯網的安全管理。

*第〃章個人、企業及國家傍嵬獎全

建議展開的工作：

■在領導體系方面，建立“國家信息安

全委員會”

■以開放、發展、積極防御的方式取代

過去的以封堵、隔離、被動防御為主

的方式

*第〃章個人、企業及國家傍嵬獎全

B進一步完善國家互聯網應急響應管理

體系的建設

?加快信息安全立法和實施監督工作

■開展信息安全登記保護

-開展網絡信息體系建設

z*x

擊第〃章個人、企業及國家傍昊獎全

4.信息安全發展

海軍工程大學

信息安全系

周學廣教授

擊第〃章個人、企業及國家傍嵬獎全

4.1信息安全內容發展

z*x

擊第〃章個人、企業及國家傍昊獎全

＞信息安全概念發展

信息安全概念發展進程包括

信息保密、信息安全和信息保障

三個階段。發展進程如下圖：

*第〃章個人、企業及國家傍嵬獎全

信息保密信息安全信息保障

實現信息實現信息保通過確保信息和信息系統的

機密性保密、完整、可用性、完整性、可驗證性、

護可用、可控保密性和不可抵賴性來保護

和不可否認信息和信息系統的信息作戰

的靜態保護行動，包括綜合利用保護、

檢測和反應能力以恢復系統

的動態保護

*第〃章個人、企業及國家傍嵬獎全

＞信息安全策略調整

.從追求部件的絕對保密，修正為

求得系統的相對安全；

■從保證縱向“管式”的信息安全,

轉變為保障縱橫信息網絡互通的安

全；

*第〃章個人、企業及國家傍嵬獎全

-高效運行、互操作、保密、用得起，

是近年來世界各國遵守的信息安全原

貝I」；

?“三分技術，七分管理”，管用并舉,

重在管理；

*第〃章個人、企業及國家傍嵬獎全

-頂層設計、綜合開發，統籌安排設計

的安全框架、安全結構和安全協議，

使開發的信息系統高效運行、安全互

通互操作；

*第〃章個人、企業及國家傍嵬獎全

-保密是信息安全的根本目的所在，也

是采用安全措施的基本原則。鑒于技

術的不斷發展，保密原則再怎么強調

也不過分。

擊第〃章個人、企業及國家傍嵬獎全

4.2信息安全模型發展

*第〃章個人、企業及國家傍嵬獎全

信息安全的模型反映了人們的信

息安全觀念和認識，人們對信息安全

的認識也是隨著時間和網絡的發展有

一個從簡單到復雜、從單機到網絡的

過程。

*第〃章個人、企業及國家傍嵬獎全

目前國外對現有的信息安全模型提出如下

的見解：

■傳統安全模型對系統的復雜性認識不

足，而安全最麻煩的敵人是復雜性，

安全問題實際上是人的問題。這是著

名的信息安全專家BruceSchneier的觀

點。

*第〃章個人、企業及國家傍嵬獎全

■歐洲在信息安全上的失誤是忙于建防

火墻、堵安全漏洞，沒有在整體性、

協同性的安全觀指導下構建一個安全

環境。

*第〃章個人、企業及國家傍嵬獎全

■分析近幾年來國內外信息安全理論和

實踐的發展，不難發現：人們對

Internet安全的認識方法，是把與安全

相關的眾多方面在不同的視角下進行

比較、對照、鑒別和選擇。

*第〃章個人、企業及國家傍嵬獎全

+人、網結合模型

網絡的兩大因素——結點和連

接是很不均勻的，在用戶點擊行為

偏好、通信價格規模效應等人——

網的交互作用下，Internet在競爭

*第〃章個人、企業及國家傍嵬獎全

演化中形成了少數結點（路由器或

Web頁面）集中了大量的連接（線路

或URL）,往往成萬上兆，而絕大多

數的其它結點只有少數幾個連接。這

是非指數型的拓撲結構。

*第〃章個人、企業及國家傍嵬獎全

注意：

.網絡的脆弱性將長期存在，并會

隨著Internet應用的快速發展與日俱

增。

■人的安全意識對Internet的安全具

有決定作用。

*第〃章個人、企