第十章 信息安全
第十章信息安全
§10-1 信息安全概述(P282)
1、信息安全涉及的技术:计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等。
2、信息安全是涉及技术、管理、法律的综合学科。
3、信息安全的技术特征:系统的可靠性、可用性、保密性、完整性、确认性、可控性等。P250-1,
⑴.可靠性是指网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。P251-1-1,
⑵.保密性是指网络信息不被泄露给非授权有用户、实体或过程,或不能被其使用的特性。P251-1-2,
⑶.完整性是指网络信息未经授权不能加以改变的特性。P251-2-1,
信息安全的综合性又表现在,它是一门以人生为主,涉及技术、管理和法律的综合学科,同时还与个人道德、意识等方面紧密相关。
一、信息安全意识(P282)
㈠、建立对信息安全的正确认识(P282)
信息安全关系到企业、政府的业务能否持续、稳定地运行,关系到个人、国家安全的保证。所以信息安全是我国信息化战略中一个十分重要的方面。
㈡、掌握信息安全的基本要素和惯例(P282)
1、信息安全的四大要素:技术、制度、流程、人。P243-1-1,
2、信息安全公式
信息安全=先进技术+防患意识+完美流程+严格制度+优秀执行团队+法律保障㈢、清楚可能面临的威胁和风险(P283)
信息安全面临的威胁:自然威胁、人为威胁。P244-1-4,
自然威胁:自然灾害、恶劣环境、电磁辐射、电磁干扰、网络设备自然老化等。往往是不可抗的。P250-2,P251-2-2,
人为威胁:偶然事故、恶意攻击。偶然事故虽然没有明显的恶意企图和目的,但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。
1、人为攻击:指通过攻击系统的弱点,以达到破坏、欺骗、窃取数据等目的,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成经济上和政治上不可估量的损失。
人为攻击分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的,但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。P251-1-3,
恶意攻击又分为被动攻击和主动攻击两种。被动攻击指在不干扰网络系统正常工作的情况下,进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。主动攻击指以各种方式有选择地破坏信息,如修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。P243-1-2,P244-1-5,
被动攻击难以检测,应以预防为主。主动攻击后果明显,应以检测为主。
2、安全缺陷:如果网络信息系统本身没有任何安全缺陷,那么人为攻击者即使本事再大,也不会对网络信息安全构成威胁。但现在所有的网络信息系统都不可避免地存在着一些安全缺陷,有些安全缺陷可以通过努力加以避免或者改进,而有些安全缺陷是各种折中付出的代价。
3、软件漏洞:由于软件程序的复杂性和编程的多样性,在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。软件漏洞同样会影响网络信息的安全。以下介绍有代表性的软件安全漏洞。
⑴.陷门:陷门是在程序开发时插入的一小段程序,目的可能是测试这个模块,或是为了连接将来的更改和升级程序,也可能是为了将来发生故障后,为程序员提供方便。通常应在程序开发后期去掉这些陷门,但是由于各种原因,陷门可能被保留,一旦被利用将会带来严重的后果。P243-2-1,
⑵.数据库的安全漏洞:某些数据库将原始数据以明文形式存储,这是不够安全的。实际上,入侵者可能从计算机系统的内存中导出所需的信息,或者采用某种方式进入系统,从系统的后备存储器上窃取数据或篡改数据,因此,必要时应该对存储数据进行加密保护。
⑶.TCP/IP协议的安全漏洞:TCP/IP协议在设计初期并没有考虑安全问题。现在,用户和网络管理员没有足够的精力专注于网络安全控制,操作系统和应用程序越来越复杂,开发人员不可能测试出所
有的安全漏洞,因而连接到网络的计算机系统受到外界的恶意攻击和窃取的风险越来越大。
另外,还可能存在操作系统的安全漏洞、网络软件与网络服务、口令设置等方面的漏洞。
4、结构隐患:结构隐患一般指网络拓扑结构的隐患和网络硬件的安全缺陷。网络的拓扑结构本身有可能给网络的安全带来问题。作为网络信息系统的躯体,网络硬件的安全隐患也是网络结构隐患的重要方面。
基于各国的不同国情,信息系统存在的其他安全问题也不尽相同。对于我国而言,由于我国还是一个发展中国家,网络信息安全系统除了具有上述普遍存在的安全缺陷之外,还存在因软、硬件核心技术掌握在别人手中而造成的技术被动等方面的安全隐患。
㈣、养成良好的安全习惯(P284)
良好的安全习惯和安全意识,有利于避免或降低不必要的损失。
1、良好的密码设置习惯
2、网络和个人计算机安全
3、电子邮件安全
4、打印机和其他媒介安全
5、物理安全
二、网络礼仪与道德(P284)
㈠、网络道德概念及涉及内容(P285)
㈡、网络的发展对道德的影响(P285)
1、淡化了人们的道德意识
2、冲击了现实的道德规范
3、导致道德行为的失范
㈢、网络信息安全对网络道德提出了新的要求(P285)
1、要求人们的道德意识更加强烈,道德行为更加自主自觉
2、要求网络道德既要立足于本国,又要面向世界
3、要求网络道德既要着力于当前,又要面向未来
㈣、加强网络道德建设对维护网络信息安全的作用(P286)
1、网络道德可以规范人们的信息行为
2、加强网络道德建设,有利于加快信息安全立法的进程
3、加强网络道德建设,有利于发挥信息安全技术的作用
三、计算机犯罪(P286)
㈠、计算机犯罪的概念(P286)
计算机犯罪:指行为人以计算机作为工具或以计算机资产作为攻击对象实施的严重危害社会的行为。P251-1-4,
㈡、计算机犯罪的特点(P287)
计算机犯罪的特点:犯罪智能化、犯罪手段隐蔽、跨国性、犯罪目的多样化、犯罪分子低龄化、犯罪后果严重。P250-3,
1、犯罪智能化:计算机犯罪主体多为具有专业知识的技术熟练的掌握核心机密的人。他们犯罪的破坏性比一般人的破坏性要大得多。
2、犯罪手段隐蔽:由于网络的开放性、不确定性、虚拟性和超越时空性等特点,使得犯罪分子作案时可以不受时间、地点的限制,也没有明显的痕迹,犯罪行为难以被发现、识别和侦破,增加了计算机犯罪的破案难度。
3、跨国性:犯罪分子只要拥有一台计算机,就可以通过因特网对网络上任何一个站点实施犯罪活动,这种跨国家、跨地区的行为更不易侦破,危害也更大。
4、犯罪目的多样化:计算机犯罪作案动机多种多样,从最先的攻击站点以泄私愤,到早期的盗用电话线,破解用户账号非法敛财,再到如今入侵政府网站的政治活动,犯罪目的不一而足。
5、犯罪分子低龄化:计算机犯罪的作案人员年龄普遍较低。
6、犯罪后果严重:据估计,仅在美国因计算机犯罪造成的损失每年就有150多亿美元,德国、英国的年损失额也有几十亿美元。
㈢、计算机犯罪的手段(P287)
1、制造和传播计算机病毒:计算机病毒是隐藏在可执行程序或数据文件中,在计算机内部运行的一种干扰程序。计算机病毒已经成为计算机犯罪者的一种有效手段。它可能会夺走大量的资金、人力和计算机资源,甚至破坏各种文件及数据,造成机器的瘫痪,带来难以挽回的损失。
2、数据欺骗:数据欺骗是指非法篡改计算机输入、处理和输出过程中的数据或输入假数据,从而实现犯罪目的的手段。这是一种比较简单但很普遍的犯罪手段。P251-2-4,
3、特洛伊木马:特洛伊木马是在计算机中隐藏作案的计算机程序,在计算机仍能完成原有任务的前提下,执行非授权的功能。特洛伊木马程序不依附于任何载体而独立存在,而病毒须依附于其他载体
而存在并且具有传染性。P243-1-3,
4、意大利香肠战术:意大利香肠战术是指行为人通过逐渐侵吞少量财产的方式来窃取大量财产的犯罪行为。这种方法就像吃香肠一样,每次偷吃一小片,日积月累就很可观了。
5、超级冲杀(Superzap):超级冲杀是大多数IBM计算机中心使用的公用程序,是一个仅在特殊情况下(如停机、故障等)方可使用的高级计算机系统干预程序。如果被非授权用户使用,就会构成对系统的潜在威胁。
6、活动天窗:活动天窗是指程序设计者为了对软件进行测试或维护故意设置的计算机软件系统入口点。通过这些入口,可以绕过程序提供的正常安全性检查而入软件系统。
7、逻辑炸弹:逻辑炸弹是指在计算机系统中有意设置并插入的某些程序编码,这些编码只有在特定的时间或在特定的条件下才自动激洗,从而破坏系统功能或使系统陷入瘫痪状态。逻辑炸弹不是病毒,不具有病毒的自我传播性。
8、清理垃圾:清理垃圾是指有目的、有选择地从废弃的资料、磁带、磁盘中搜寻具有潜在价值的数据、信息和密码等,用于实施犯罪行为。
9、数据泄露:数据泄露是一种有意转移或窃取数据的手段。如有的罪犯将一些关键数据混杂在一般性报表之中,然后予以提取。有的罪犯在系统的中央处理器上安装微型无线电发射机,将计算机处理的内容传送给几公里以外的接收机。
10、电子嗅探器:电子嗅探器是用来截取和收藏在网络上传输的信息的软件或硬件。它不仅可以截取用户的账号和口令,还可以截获敏感的经济数据(如信用卡号)、秘密信息(如电子邮件)和专有信息并可以攻击相邻网络。
除以上作案手段外,还有社交方法、电子欺骗技术、浏览、顺手牵羊和对程序、数据集、系统设备的物理破坏等犯罪手段。
㈣、黑客(P288)
1、黑客:黑客一词源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的人。目前,黑客已成为一个广泛的社会群体,其主要观点是:所有信息都应该免费共享;信息无国界,任何人都可以在任何时间地点获取任何他人为有必要了
解的信息;通往计算机的路不止一条;打破计算机集权;反对国家和政府部门对信息的垄断和封锁。黑客的行为会扰乱网络的正常运行,甚至会演变为犯罪。P243-2-2,
2、黑客行为特征
黑客行为特征:恶作剧型、隐蔽攻击型、定时炸弹型、制造矛盾型、职业杀手型、窃密高手型、业余爱好型。P250-6,
⑴.恶作剧型:喜欢进入他人网站,以删除和修改某些文字或图像,篡改主页信息来显示自己高超的网络侵略技巧。
⑵.隐蔽攻击型:躲在暗处以匿名身份对网络发动攻击行为,或者干脆冒充网络合法用户,侵入网络“行黑”。该种行为由于是在暗处实施的主动攻击,因此对社会危害极大。
⑶.定时炸弹型:故意在网络上布下陷阱或在网络维护软件内安插逻辑炸弹或后门程序,在特定时间或特定的条件下,引发一系列具有连锁反应性质的破坏行动。
⑷.制造矛盾型:非法进入他人网络,窃取或修改其电子邮件的内容或厂商签约日期等,破坏甲乙双主交易,或非法介入竞争。有些黑客还利用政府上网的机会,修改公众信息,制造社会矛盾和动乱。
⑸.职业杀手型:经常以监控方式将他人网站的资料迅速清除,使得网站使用者无法获取最新资料。或者将计算机病毒植入他人网络内,使其网络无法正常运行。更有甚者,进入军事情报机关的内部网络,干扰军事指挥系统的正常工作,从而导致严重后果。
⑹.窃密高手型:出于某些集团利益的需要或者个人的私利,窃取网络上的加密信息,使高度敏感信息泄密。
⑺.业余爱好型:某些爱好者受好奇心驱使,在技术上“精益求精”,丝毫未感到自己的行为对他人造成的影响,属于无意性攻击行为。
3、防止黑客攻击要注意的问题
⑴.提高安全意识,如不要随便打开来历不明的邮件。
⑵.使用防火墙,是抵御黑客程序入侵的非常有效的手段。
⑶.尽量不要暴露自己的IP地址。
⑷.要安装杀病毒软件,并及时进行升级。
⑸.作好数据备份。
总之,我们应当认真制定有针对性的策略,明确安全对象,设置强有力的安全保障体系。在系统中层层设防,使每一层都成为一道关
卡,从而让攻击者无隙可钻、无计可施。
四、信息安全技术(P289)
目前信息安全技术主要有:密码技术、防火墙技术、虚拟专用网(VPN)技术、病毒与反病毒技术以及其他安全保密技术。
㈠、密码技术(P289)
1、密码技术的基本概念
密码技术是信息安全与保密的核心和关键。P243-2-3,
通过密码技术的变换或编码,可以将机密、敏感的信息变换成难以读懂的乱码型文字,以此达到两个目的:其一,使不知道如何解密的“黑客”不可能从其截获的乱码中得到任何有意义的信息;其二,使“黑客”不可能伪造或篡改任何乱码型的信息。
研究密码技术的学科,称为密码学。密码学包括两个分支,即密码编码学和密码分析学。前者旨在对信息进行编码实现隐蔽,后者研究分析破译密码的学问。二者相互对立,又相互促进。
采用密码技术可以隐藏和保护需要发送的消息,使未授权者不能提取信息。发送方发送的消息,称为明文。明文被变换成看似无意义的随机消息,称为密文。这一过程,称为加密。加密的反过程,由合法接收者从密文恢复出明文的过程称为解密,而由非法接收者试图从密文分析明文的过程,称为破译。对明文进行加密时采用的一组规则称为加密算法;对密文解密时采用的一组规则称为解密算法。加密算法和解密算法是在一组仅有合法用户知道的秘密信息控制下进行的,该密码信息称为密钥,加密和解密过程中使用的密钥分别称为加密密钥和解密密钥。P243-4,P250-7,P250-8,P251-2-9,
2、单钥加密与双钥加密
传统密码体制所用的加密密钥和解密密钥相同,或从一个可以推出另一个,称为单钥或对称密码体制。若加密密钥和解密密钥不相同,从一个难以推出另一个,则称为双钥或非对称密码体制。
单钥密码的优点是加、解密速度快,缺点是随着网络规模的扩大,密钥的管理成为一个难点,无法解决消息确认问题,缺乏自动检测密钥泄露的能力。
双钥体制的优点是密钥一个是可以公开的,可以像电话号码一样进行注册公布;另一个则是秘密的,因此双钥体制又称作公钥体制。由于双钥密码体制仅需保密解密密钥,所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。双钥密
码的缺点是算法一般比较复杂,加、解密速度慢。
3、著名密码算法介绍
分组密码算法和公钥密码算法是两种比较有代表性的密码算法。P251-1-9,
数据加密标准(DES)是迄今为止世界上最为广泛使用的一种分组密码算法。它的产生被认为是20世纪70年代信息加密技术发展史上的两大里程碑之一。DES是一种单钥密码算法,它是一种典型的按分组方式工作的密码。其基本思想是将二进制序列的明文分成64位一组,用长为56位的密钥对其进行16轮代换和换位加密,最后形成密文。其他分组密码算法还有IDEA密码算法、LOKI算法、Rijndael 算法等。P243-5,
最著名的公钥密码体制是RSA算法。它是一种用数论构造的、也是迄今为止理论上最为成熟完善的一种公钥密码体制,该体制已得到广泛应用。它的安全性基于“大数分解和素性检测”这一已知的著名数论难题基础。著名的公钥密码算法还有Diffie-Hellman密钥分配密码体制、Elgamal公钥体制、Knapsack体制等。
㈡、防火墙技术(P290)
详见第二节。
㈢、虚拟专用网(VPN)技术(P290)
虚拟专用网是虚拟私有网络(VPN,Virtual Private Network)的简称,它是一种利用公用网络来构建的私有专用网络。目前,能够用于构建VPN的公用网络包括Internet和服务提供商(ISP)提供的DDN(Digital Data Network Leased Line)专线、帧中继(Frame Relay)、ATM等,构建在这些公共网络上的VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。“虚拟”的概念是相对传统私有专用网络的构建方式而言的,对于广域网连接,传统的组网方式是通过远程拨号和专线连接来实现的,而VPN是利用ISP所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接其远地办事机构、出差工作人员以及业务合作伙伴。
1、VPN的三种类型:访问虚拟专用网(Access VPN)、企业内部虚拟专用网(Intranet VPN)、扩展的企业内部虚拟专用网(Extranet VPN)。
2、VPN的优点:对ISP来说,通过向企业提供VPN增值服务,可以与企业建立更加紧密的长期合作关系;同时充分利用现有网络资
源,提高业务量。
对VPN用户而言,利用Internet组建私有网,将节省大笔专线经费;而且企业甚至不必维护自己的广域网系统,交由专业的ISP帮助完成;VPN用户的网络地址可由企业内部统一分配,VPN组网的灵活、方便等特性将大大方便企业的网络管理;另外,在VPN应用中,通过远端用户验证以及遂道数据加密等技术使得通过公用网络传输的私有数据的安全性得到了很好的保证。
㈣、病毒与反病毒技术(P290)
计算机病毒的发展历史悠久,从20世纪80年代中后期广泛传播开来至今,据统计世界上已存在的计算机病毒有5000余种,并且每月以平均几十种的速度增加。
计算机病毒是具有自我复制能力的计算机程序,它能影响计算机软件、硬件的正常运行,破坏数据的正确性与完整性,造成计算机或计算机网络瘫痪,给人们的经济和社会生活造成巨大的损失,并且呈上升趋势。P251-2-6,
计算机病毒的危害不言而喻,人类面临这一世界性的公害采取了许多行之有效的措施,如加强教育和立法,从产生病毒源头上杜绝病毒;加强反病毒技术的研究,从技术上解决病毒传播和发作。
㈤、其他安全与保密技术(P290)
1、实体及硬件安全技术:实体及硬件安全是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(包括电磁污染等)破坏的措施和过程。实体安全是整个计算机系统安全的前提,如果实体安全得不到保证,则整个系统就失去了正常工作的基本环境。另外,在计算机系统的故障现象中,硬件的故障也占到很大的比例。正确分析故障原因,快速排除故障,可以避免不必要的故障检测工作,使系统得以正常运行。
2、数据库安全技术:数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,关系到企业兴衰、国家安全,因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研究的重要课题之一。
网络系统层次、宿主操作系统层次、数据库管理系统层次。
§10-2 防火墙(P291)
防火墙是近年发展起来的一种保护计算机网络安全的访问控制技术。它是一个用以阻止网络中的黑客访问某个机构网络的屏障,在网络边界上,通过建立起网络通信监控系统来隔离内部和外部网络,以阻挡通过外部网络入侵。
一、防火墙的概念(P291)
防火墙是用于在企业内部网和因特网之间实施安全策略的一个系统或一组系统。它决定网络内部服务中哪些可被外界访问,外界的哪些人可以访问哪些内部服务,同时还决定内部人员可以访问哪些外部服务,所有来自和去往因特网的业务流都必须接受防火墙的检查。防火墙必须只允许授权的业务流通过,并且防火墙本身也必须能够抵抗渗透攻击,因为攻击者一旦突破或绕过防火墙系统,防火墙就不能提供任何保护。P244-1-1,
1、防火墙的基本功能:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和警告。P244-1-2,P244-2-4,
2、防火墙存在的缺陷:不能防范不经由防火墙的攻击;不能防止感染了病毒的软件或文件的传输;不能防止数据驱动式攻击。
二、防火墙的类型(P291)
按照防火墙保护网络使用方法的不同分为三类:网络层防火墙、应用层防火墙、链路层防火墙。P250-9,P251-2-10,
1、网络层防火墙:是一种典型的屏蔽路由器或是一种特别的计算机,它是通过检查数据包地址来决定是否允许数据包进入本地网。数据包中包含发送者和接收者的IP地址及关于数据包的其他一些信息,防火墙就是使用数据包的这些信息来管理数据包的权限的。P244-2-5,
2、应用层防火墙:通常是运行代理服务器软件的主机。所谓代理,指的是进行存取控制和过滤的程序,是位于客户机与服务器之间的中介。代理系统通常包括两部分:代理服务程序和客户程序。代理服务程序在客户程序和真正的服务器程序之间起到一个中间节点的作用,客户程序与这个中间节点连接,然后中间节点与真正的服务器连接。内外网之间无直接连接。P244-2-1,P244-2-2,
3、链路层防火墙:在作为代理服务器方面与应用层防火墙类似。不同的是,链路层防火墙并不要求使用专门代理客户应用程序。另外,链路层防火墙只使用单一的代理服务器,单一的代理服务器比多代理
服务器更容易维护。
三、防火墙的体系结构(P292)
防火墙的体系结构多种多样。当前流行的体系结构有三种:双宿网关、屏蔽主机、屏蔽子网。P244-1-3,P251-3-10,
㈠、双宿网关防火墙(P292)
双宿网关防火墙,又称双重宿主主机防火墙。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。如一个接口接到外部不可信任的网络上,另一个接口接到内部可信任的网络上。这种防火墙最大的特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。P244-2-3,P244-3-5,双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障,如果入侵者得到了双重宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双重宿主主机应具有强大的身份认证系统,才能阻挡来自外部不可信网络的非法登录。
㈡、屏蔽主机防火墙(P292)
屏蔽主机防火墙强迫所有的主机与一个堡垒主机(一种被强化的可防御进攻的计算机)相连接,而不上它们直接与内部主机相连。屏蔽主机防火墙由包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务),入侵者在破坏内部网络的安全怀之前,必须首先渗透两种不同的安全系统。P244-3-4,
在采用屏蔽主机防火墙的情况下,过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格的保护,否则如果路由表遭到破坏,则数据包就不会被路由到堡垒主机上,从而使外部访问越过堡垒主机进入内网。
因为屏蔽主机这种体系结构中,堡垒主机与其他内部主机之间没有任何保护网络安全的东西存在,所以一旦堡垒主机被攻破,内部网将完全暴露。为了改进这一缺点,可以使用屏蔽子网。
㈢、屏蔽子网防火墙(P292)
屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这种防火墙系统最安全,它定义了“非军事区”网络,支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组以及其他公用服务器放在“非军事区”网络中。“非军事区”网络很小,处于因特网和内部网络之间。
堡垒主机往往是受侵袭的对象,堡垒主机很坚固,不易被入侵者控制,万一堡垒主机被控制,如果采用了屏蔽子网体系结构,入侵者仍然不能直接侵袭内部网络,因为内部网络仍受到内部过滤路由器的保护。
如果没有“非军事区”,那么入侵者控制了堡垒主机后,就可以监听整个内部网络的对话。把堡垒主机放在“非军事区”网络上,即使入侵者控制了堡垒主机,他也只能侦听到有限的内容,即只能侦听到周边网络的数据,而不能侦听到内部网上的数据。虽然内部网络上的数据包在内部网上是广播式的,但内部过滤路由器会阻止这些数据包流入“非军事区”网络。
§10-3 计算机病毒(P293)
计算机病毒(Virus)是一组人为设计的程序,这些程序侵入到计算机系统中,通过自我复制来传播,满足一定条件即被激活,从而给计算机系统造成一定损害甚至严重破坏。这种程序的活动方式与生物学上的病毒相似,所以被称为计算机“病毒”。现在的计算机病毒已经不单单中计算机学术问题,而成为一个严重的社会问题。P251-1-5,
一、病毒的定义与特点(P293)
1、计算机病毒的定义(1994年《中华人民共和国计算机安全保护条例》):计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2、计算机病毒的特点
计算机病毒有:可执行性、破坏性、传染性、潜伏性、针对性、衍生性、抗反病毒软件性7个特点。P250-4,
⑴.可执行性:计算机病毒可以直接或间接地运行,可以隐藏在可执行程序和数据文件中运行而不易被察觉。病毒程序在运行时与合法程序争夺系统的控制权和资源,从而降低计算机的工作效率。
⑵.破坏性:计算机病毒的破坏性主要有两个方面,一是占用系统资源,影响系统正常运行;二是干扰或破坏系统的运行,破坏或删除程序或数据文件。P245-1-3,
⑶.传染性:病毒传染性是指带病毒的文件将病毒传染给其他文
件,新感染病毒的文件继续传染给其他文件,这样一来,病毒会很快传染到整个系统、整个局域网,甚至整个广域网。
⑷.潜伏性:计算机系统被病毒感染之后,病毒的触发是由病毒表现及破坏部分的判断条件来确定的。病毒在触发条件满足前没有明显的表现症状,不影响系统的正常运行,一旦触发条件具备就会发作,给计算机系统带来不良的影响。P245-1-2,
⑸.针对性:一种计算机病毒并不能传染所有的计算机系统或程序,通常病毒的设计具有一定的针对性。例如,有传染PC机的,也有传染Macintosh机的;有传染.COM文件的,也有传染.DOC文件夹的等。P245-1-1,
⑹.衍生性:计算机病毒由安装部分、传染部分、破坏部分等组成,这种设计思想使病毒在发展、演化过程中允许对自身的几个模块进行修改,从而产生不同于原版本的新病毒,又称病毒变种,这就是计算机病毒的衍生性,这种变种病毒造成的后果可能比原版本病毒严重得多。P245-2-3,
⑺.抗反病毒软件性:有些病毒具有反病毒软件的功能,这种病毒的变种可能使检测、消除该变种源病毒的反病毒软件失去效能。
二、病毒的传播途径(P294)
计算机病毒一般通过发下几种途径进行繁殖和传播。
⑴.通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少,但破坏却极强,目前没有较好的监测手段。
⑵.通过移动存储设备来进行传播,这些设备包括软盘、优盘、移动硬盘等。光盘使用不当,也会成为计算机病毒传播和寄生的“温床”。
⑶.通过计算机网络进行传播。现代网络技术的巨大发展空间已使空间距离不再遥远,“相隔天涯,如在咫尺”,但也为计算机病毒的传播提供了新的“高速公路”。传统的计算机病毒可以随着正常文件通过网络进入一个又一个系统,而新型的病毒不需要通过宿主程序便可以独立存在而传播千里。毫无疑问,网络是目前病毒传播的首要途径,从网上下载文件、浏览网页、收看电子邮件等,都有可能会中毒。
⑷.通过点对点通信系统和无线通道传播。比如最近发现的QQ 连发器病毒,能够通过QQ这种点对点的聊天程序进行传播。
三、病毒的类型(P294)
分为:引导区型病毒、文件型病毒、混合型病毒(具有引导型、文件型两种特点)、宏病毒(寄存在Office文档上)4类。P250-5,P251-2-7,
1、引导区型病毒:主要通过软盘在操作系统中传播,感染软盘的引导区。当已感染了病毒的软盘被使用时,就会传染硬盘的主引导区。一旦硬盘中的引导区被病毒感染,病毒就试图感染每一个插入计算机的软盘的引导区。
2、文件型病毒:是寄生病毒,运行在计算机存储器中,通常感染扩展名为.exe、.com、.sys等类型的文件。每一次激活时,感染文件把自身复制到其他文件中,并能在存储器中保留很长时间。P245-1-5,
3、混合型病毒:具有引导区型病毒和文件型病毒两者的特点。P251-1-6,
4、宏病毒:一般是指用Basic书写病毒程序,并寄存在Office 文档中的宏代码,影响对文档的各种操作。当打开Office文档时,宏病毒程序就被自动执行,这时宏病毒处于活动状态,当条件满足时,宏病毒开始传染、表现和破坏。P251-1-7,
由于Office应用的普遍性,宏病毒已成为计算机病毒的主体,在计算机防病毒历史上它是发展最快的病毒。宏病毒与其他类型的病毒不同,它能通过电子邮件、软盘、网络下载、文件传输等很容易地得以蔓延。
四、几种常见的计算机病毒(P294)
㈠、蠕虫病毒(Worm)
蠕虫病毒是一类常见的计算机病毒,源自第一种在网络上传播的病毒。1988年,22岁的康奈尔大学研究生罗伯特·莫里斯(Robert Morris)通过网络发送了一种专为攻击Unix系统缺陷、名为“蠕虫”的病毒。蠕虫造成了6000个系统瘫痪,估计损失达到6000万美元。
蠕虫病毒是一个程序或程序系列,它采取截取口令并试图在系统中做非法动作的方式直接攻击计算机。P251-2-5,
蠕虫病毒的传染机理是利用网络进行复制和传播,传染途径是网络和电子邮件。2003年的“冲击波”病毒、2004年的“震荡波”病毒、2005年上半年的“性感烤鸡”病毒都属于蠕虫病毒。近几年危害很大的“尼姆亚”病毒也是蠕虫病毒的一种,这一病毒利用了微软Windows操作系统的漏洞,计算机感染了这一病毒后,会不断自动拨
号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。P251-12,
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并及时更新病毒库,同时注意不要轻易打开不熟悉的邮件附件。
㈡、木马病毒
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名。木马病毒的特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息。一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而黑客正是利用“控制器”进入运行了“服务器”的电脑。被植入木马的电脑能够被黑客所监控,轻者,把你的键盘操作记录下来,于注册表中收集重要的信息和口令,并把信息文件转换成邮件格式将之发送到黑客邮箱;严重者,木马制作者可以像操作自己的机器一样控制你的机器,甚至可以远程监控用户的所有操作。P251-2-11,
木马病毒的传播方式主要有两种:一种是通过E-mail,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。P245-2-1,
对于木马病毒的防范措施主要有:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件不要随意打开。
㈢、熊猫烧香病毒
2006年网络病毒中最有名的大概就是“熊猫烧香”(又称“武汉男生”)了,是由一武汉男孩在2006年9月编写出来的,11月网上发现首例“熊猫烧香”病毒感染,并在较短时间内泛滥成灾,多家著名网站遭到此类病毒攻击而相继被植入病毒,很多企业业务因此停顿,造成的直接和间接损失无法估量。
“熊猫烧香”其实是一种蠕虫病毒的变种,是蠕虫和木马的结合体,而且是经过多次变种而来的。由于中毒电脑的可执行文件会出现“熊猫烧香”图标,所以被称为“熊猫烧香”病毒。用户电脑中毒后,可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏、浏览器会莫名其妙地开启或关闭等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。P245-1-4,
该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备(如U盘)等途径感染,其中网络共享和文件感染的风险系数较高,而通过Web和移动存储感染的风险相对较低。该病毒会自行启动安装,生成注册列表和病毒文件。
对于“熊猫烧香”病毒的防范措施有:加强基本的网络安全防范知识,培养良好的上网习惯;及时更新系统补丁;为系统管理账户设置复杂无规律的密码;关掉一些不需要却存在安全隐患的端口(如139、445等);同时关闭非系统必须的“自动播放”功能等。
五、病毒的预防(P295)
预防计算机病毒,应该从管理和技术两方面进行。P251-2-8,
1、从管理上预防病毒
计算机病毒的传染是通过一定途径来实现的,为此必须重视制定措施、法规,加强职业道德教育,不得传播更不能制造病毒。另外,还应采取一些有效方法来预防和抑制病毒的传染。
⑴.谨慎地使用公用软件或硬件。
⑵.任何新使用的软件或硬件(如磁盘)必须先检查有无病毒。
⑶.定期检测计算机上的磁盘和文件,并及时消除病毒。
⑷.对系统中的数据和文件要定期备份。
⑸.对所有系统盘和文件等关键数据要进行写保护。
2、从技术上预防病毒
从技术上对病毒的预防有硬件保护和软件预防两种方法。P245-2-2,
硬件保护:任何计算机病毒对系统的入侵都是利用RAM提供的自由空间及操作系统所提供的相应的中断功能来达到传染的目的。因此,可以通过增加硬件设备来保护系统,此硬件设备既能监视RAM中的常驻程序,又能阻止对外存储器的异常写操作,这样就能达到预防计算机病毒的目的。P245-2-5,
目前普遍使用的RAM检测硬件就是一种防病毒的硬件保护手段,将它插在主机板的I/O插槽上,在系统的整个运行过程中密切监视系统的异常状态。P251-1-8,
软件预防:使用计算机病毒疫苗。计算机病毒疫苗是一种可执行程序,它能够监视系统的运行,当发现某些病毒入侵时可防止病毒入侵,当发现非法操作时及时警告用户或直接拒绝这种操作,使病毒无法传播。P245-2-4,
六、病毒的清除(P296)
若发现计算机感染了病毒,应立即清除。通常用人工处理或反病毒软件方式进行清除。
1、人工处理:用正常的文件覆盖被病毒感染的文件,删除被病毒感染的文件,重新格式化磁盘等。这种方法有一定的危险性,容易造成对文件的破坏。
2、用反病毒软件处理:常用的反病毒软件有瑞星、KV、NORTON 等。注意对反病毒软件及时升级更新。
§10-4 电子商务和电子政务安全(P296)
电子商务和电子政务是现代信息技术、网络技术的应用,它们都以计算机网络为运行平台,在现代社会建设中发挥着越来越重要的作用。它们综合利用了通信技术、网络技术、安全技术等先进技术,为个人、企业和事业单位以及政府提供便利服务。
一、电子商务安全(P296)
㈠、电子商务概述(P296)
电子商务出现于20世纪90年代,发展的时间并不长,但一传统商务相比,电子商务具有快速、便捷、高效的特点。世界贸易组织(WTO)给电子商务下的定义:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。P245-3-1,
随着Internet的发展,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的问题。
㈡、电子商务的安全性要求(P297)
与传统商务相比,电子商务的特点是:其一,电子商务是在公开环境下进行的交易,其可以在全球范围内进行交易;其二,在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确;其三,借助于网络,电子商务能够提供快速、便捷、高效的交易方式。从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少有下面几个问题需要解决。
⑴.交易前交易双方身份的认证问题。电子商务是建立在互联网平台上的虚拟空间中的商务活动,交易的当事人并不直接见面,交易
的当事人再也无法用传统商务中的方法来保障交易的安全。
⑵.交易中电子合同的法律效力问题以及完整性、保密性问题。电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
⑶.交易后电子记录的证据问题。在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至没有将其单列出来作为证据的一种。
㈢、电子商务采用的主要安全技术(P297)
电子商务采用的主要安全技术:加密技术、数字签名、认证中心(CA)、安全电子交易规范(SET)、虚拟专用网(VPN)、Internet电子邮件的安全协议。P251-1-11,
⑴.加密技术。保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些对称密钥加密(如DES、3DES、IDEA、RC4和RC5)和公钥加密(如RSA、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。P251-1-10,
⑵.数字签名。数字签名是公开密钥加密技术的另一类应用。通过数字签名能够实现对原始提出报文的鉴别和为可抵赖性。ISO、IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是“信息技术安全技术带附件的数字签名方案”,它由概述和基本身份的机制两部分构成。
⑶.认证中心(CA,Certificate Authority)。实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全性,控制交易的风险,从而推动电子商务的发展。P245-3-5,P251-14,
⑷.安全电子交易规范(SET)。SET向基于信用卡进行电子化交易的应用提供了实现安全措施规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。
⑸.虚拟专用网(VPN)。这是用于Internet交易的一种专用网
络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。P245-3-2,
⑹.Internet电子邮件的安全协议。电子邮件是Internet上主要的信息传输手段,也是电子商务应用的主要途径之一,但它并不具备很强的安全防范措施。Internet工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范。
二、电子政务安全(P298)
㈠、电子政务概述(P298)
电子政务是一国的各级政府机关或者有关机构借助电子信息技术而进行的政务活动,其实质是通过应用信息技术,转变政府传统的集中管理、分层结构运行模式,以适应数字化社会的需求。电子政务主要由政府部门内部的数字化办公、政府部门之间通过计算机网络而进行的信息共享和适时通信、政府部门通过网络与公众进行的双向交流三部分组成。P245-3-4,
㈡、电子政务的安全问题(P298)
电子政务的安全问题备受人们关注,安全性问题是电子政务的首要问题。电子政务安全是一个复杂的系统工程。仅从安全威胁的来源来看,可以分为内、外两部分。所谓“内”,是指政府机关内部;而“外”,则是指社会环境。国务院办公厅明确把信息网络分为内网(涉密网)、外网(非涉密网)和因特网三类,而且明确内网和外网要物理隔离。P245-3-3,P251-13,
一般说来,电子政务安全中普遍存在着以下几种安全隐患。
⑴.窃取信息。由于未彩加密措施,调制解调器之间的信息以明文形式传送,入侵者使用相同的调制解调器就可以截获传送的信息。
⑵.篡改信息。当入侵者掌握了信息的格式和规律之后,通过各种方式,在原网络的调制解调器之间增加两个相同类型的调制解调器,将通过的数据在中间修改,然后发向另一端,这便严重地破坏了原信息的完整性志有效性。
⑶.冒名顶替。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户送假冒或者主动获取信息,而远端用户通常很难分辨。同时,由于内部权限分配不明或者滥用其他人名义实施违法活动,极有可能造成“栽赃嫁祸”。
⑷.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入两边的网络内部,
其后果是非常严重的。如果政府内部人员与外部不法分子勾结或由于发泄私愤,从而破坏重要信息的数据库或其他硬件,后果更是不堪设想。P251-2-6,
⑸.失误操作。由于缺乏明确的操作规程和必要的备份措施,加之部分工作人员的安全意识不强和安全技术有限,一旦出现失误操作,重要的信息将无法恢复。
㈢、电子政务安全的对策(P298)
根据国家信息化领导小组提出的“坚持积极防御、综合防范”的方针,建议从以下三个方面解决好我国电子政务的安全问题,即“一个基础(法律制度),两根支柱(技术、管理)“。
电子政务的安全技术可以区别地借鉴电子商务在此方面的成功经验,加密技术、数字签名、认证中心、安全认证协议等安全技术同样适用于电子政务。在电子政务的安全建设中,管理的作用至关重要,重点在于人和策略的管理,人是一切策略的最终执行者。
信息安全要靠技术,更要靠管理,要把技术和管理相结合,要以人为本,提高安全意识,才能增强信息安全的保障。当然,所有这些都必须建立在各种法律制度的基础之上,才会得到切实的保障。
§10-5 信息安全政策与法规(P298)
随着信息化时代的到来、信息化程度的日趋深化以及社会各行各业计算机应用的广泛普及,计算机犯罪也越来越猖獗。面对这一严峻形势,为有效地防止计算机犯罪,且在一定程度上确保计算机信息系统安全地运行,我们不仅要从技术上采取一些安全措施,还要在行政管理方面采取一些安全手段。因此,制定和完善信息安全法律法规,制定及宣传信息安全伦理道德规范就显得非常必要和重要。
一、信息系统安全法规的基本内容与作用(P299)
计算机信息系统安全立法为信息系统安全提供了法律的依据和保障,有利于促进计算机产业、信息服务业和科学技术的发展。信息系统的安全法律法规是建立在信息安全技术标准和社会实际基础之上的,它所具有的宏观性、科学性、严密性以及强制性的公正性,其目标无非在于明确责任,制裁违法犯罪,保护国家、单位及个人的正当合法权益。P246-2,
⑴.计算机违法与犯罪惩治。显然是为了震慑犯罪,保护计算机
信息安全数学基本第一阶段知识归纳
信息安全数学基础第一阶段知识总结 第一章 整数的可除性 一 整除的概念和欧几里得除法 1 整除的概念 定义1 设a 、b 是两个整数,其中b ≠0如果存在一个整数 q 使得等式 a=bq 成立,就称b 整除a 或者a 被b 整除,记作b|a ,并把b 叫作a 的因数,把a 叫作b 的倍数.这时,q 也是a 的因数,我们常常将q 写成a /b 或 否则,就称b 不能整除a 或者a 不能被b 整除,记作a b. 2整除的基本性质 (1)当b 遍历整数a 的所有因数时,-b 也遍历整数a 的所有因数. (2)当b 遍历整数a 的所有因数时,a/b 也遍历整数a 的所有因数. (3)设b ,c 都是非零整数, (i)若b|a ,则|b|||a|. (ii)若b|a ,则bc|ac. (iii)若b|a ,则1<|b|≤|a|. 3整除的相关定理 (1) 设a ,b ≠0,c ≠0是三个整数.若c|b ,b|a ,则c|a. (2) 设a ,b ,c ≠0是三个整数,若c|a ,c|b ,则c|a ±b (3) 设a ,b ,c 是三个整数.若c|a ,c|b 则对任意整数s ,t ,有c|sa+tb. (4) 若整数a 1 , …,a n 都是整数c ≠0的倍数,则对任意n 个整数s 1,…, a b n n a s a s ++ 11
s n,整数是c的倍数 (5) 设a,b都是非零整数.若a|b,b|a,则a=±b (6) 设a, b , c是三个整数,且b≠0,c ≠0,如果(a , c)=1,则(ab , c)=(b , c) (7) 设a , b , c是三个整数,且c≠0,如果c|ab , (a , c) = 1, 则c | b. (8) 设p 是素数,若p |ab , 则p |a或p|b (9) 设a1 , …,a n是n个整数,p是素数,若p| a1…a n,则p一定整除某一个a k 二整数的表示 主要掌握二进制、十进制、十六进制等的相互转化. 三最大公因数和最小公倍数 (一)最大公因数 1.最大公因数的概念 定义:设是个整数,若使得,则称为的一个因数.公因数中最大的一个称为的最大公因数.记作. 若,则称互素. 若,则称两两互素. 思考:1.由两两互素,能否导出 2.由能否导出两两互素? 2.最大公因数的存在性 (1)若不全为零,则最大公因数存在并且
网络与信息安全管理措施
网络与信息安全管理措施 网络与信息安全不仅关系到学校的开展,还将影响到国家的安全、社会的稳定。我校将认真的开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,对有毒有害的信息进行过滤、确保网络与信息安全。 一、网站安全保障措施 1、主控室设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网络正常运行。 2、对计算机病毒、有害电子邮件进行有效的防范措施,防止有害信息对网络系统的干扰和破坏。 3、做好日志的记录。内容包括IP地址,对应的IP地址情况等。 4、关闭网络系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 5、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 6、学校机房按照机房标准建设,内有必备的防静电地板、,定期进行电力、防火、防潮、检查。 二、信息安全保密管理制度 1、信息监控制度: (1)、网络信息必须标明来源;(即有关转载信息都必须
标明转载的地址) (2)、相关责任人定期或不定期检查网络系统安全,实施有效监控,做好安全监督工作; (3)、不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理; A、反对宪法所确定的基本原则的; B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; C、损害国家荣誉和利益的; D、煽动民族仇恨、民族歧视、破坏民族团结的; E、破坏国家宗教政策,宣扬邪教和封建迷信的; F、散布谣言,扰乱社会秩序,破坏社会稳定的; G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; H、侮辱或者诽谤他人,侵害他人合法权益的; 含有法律、行政法规禁止的其他内容的。 2、组织结构: 设置专门的网络安全管理员,并由其上级进行监督、对学校网络系统管理实行责任制,对网络系统的管理人员,以及领导明确各级人员的责任,管理网络系统的正常运行,严格抓管理工作,实行谁管理谁负责。
信息安全技术各章节期末试题
信息安全技术各章节期末复习试题 1 信息安全概述 1.1单选题 1.网络安全的特征包含保密性,完整性,(D )四个方面。第9章 A可用性和可靠性 B 可用性和合法性C可用性和有效性D可用性和可控性 3.可以被数据完整性机制防止的攻击方式是(B) A 假冒B抵赖C数据中途窃取D数据中途篡改 4.网络安全是在分布网络环境中对(D )提供安全保护。第9章 A.信息载体 B.信息的处理.传输 C.信息的存储.访问 D.上面3项都是 5.ISO 7498-2从体系结构观点描述了5种安全服务,以下不属于这5种安全服务的是(B )。 A.身份鉴别 B.数据报过滤 C.授权控制 D.数据完整性 6.ISO 7498-2描述了8种特定的安全机制,以下不属于这8种安全机制的是(A )。 A.安全标记机制 B.加密机制 C.数字签名机制 D.访问控制机制 7.用于实现身份鉴别的安全机制是(A)。第10章 A.加密机制和数字签名机制 B.加密机制和访问控制机制 C.数字签名机制和路由控制机制 D.访问控制机制和路由控制机制 8.在ISO/OSI定义的安全体系结构中,没有规定(D )。 A.数据保密性安全服务 B.访问控制安全服务 C.数据完整性安全服务 D.数据可用性安全服务 9.ISO定义的安全体系结构中包含(B )种安全服务。 A.4 B.5 C.6 D.7 10.(D)不属于ISO/OSI安全体系结构的安全机制。 A.通信业务填充机制 B.访问控制机制 C.数字签名机制 D.审计机制 11.ISO安全体系结构中的对象认证服务,使用(B )完成。 A.加密机制 B.数字签名机制 C.访问控制机制 D.数据完整性机制 12.CA属于ISO安全体系结构中定义的(D)。第10章 A.认证交换机制 B.通信业务填充机制 C.路由控制机制 D.公证机制 13.数据保密性安全服务的基础是(D )。第2章 A.数据完整性机制 B.数字签名机制 C.访问控制机制 D.加密机制 14.可以被数据完整性机制防止的攻击方式是(D )。 A.假冒源地址或用户的地址欺骗攻击 B.抵赖做过信息的递交行为 C.数据中途被攻击者窃听获取 D.数据在途中被攻击者篡改或破坏
网络及信息安全管理组织机构设置及工作职责.docx
网络与信息安全管理组织机构设置及工作职责一、网络与信息安全责任人: 1. 网络与信息安全第一责任人:企业 法定代表人姓名;工作职责为:对机构内的信息安全工作负有领 导责任;联系方式:电话及邮箱。(联系电话应为本人常用、真实 有效的手机号码,可抽测。) 2.网络与信息安全责任人:分管信息安全工作的负责人姓名;工作职责为:对企业内信息安全工作负有直接领导责任。联系方式:电话及邮箱。(联系电话应为本人常用、真实有效的手机号码,可抽测。)(上述两项请全部填写)二、网络与信息安全管理组织机 构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全 相关工作;企业网络与信息安全管理组织架构:包括主管部门、相关 配合部门; 2.网络与信息安全管理机构职责(包括但不限于下述内容,要对公 司实际制度建立和管理情况进行简述):( 1)建立健全网络与信息 安全规章制度,以及各项规章制度执行情况监督检查;( 2)开展网 络与信息安全风险监测预警和评估控制、隐患排查整改工作;( 3) 建立健全网络与信息安全事件应急处置和上报制度,以及组 织开展应急演练;( 4)建立健全从业人员网络与信息安全教育培 训以及考核制度;( 5)违法有害信息监测处置制度和技术手段建 设;( 6)建立健全用户信息保护制度。 3.对于申请 IDC/ISP( 开展网站接入业务的)企业,在许可证申请 完成后,开展业务前,企业的 IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接,并且按照《工业和信息化部办 公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法 (试行)》(工信厅网安(2016)135 号)要求,制定本企业 IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全一、网络与信息安全管理人员配备情况及相应资质请按照下表内容在系统管理人员配备情上填写相关文字信息: 况及相应资质网络与信息安全管理人员配备情况表 责任人 第一责任人( 公司法人 /总经理)姓名身份联系归属工作全职/资质证号方式部门内容兼职情况 (手 机)
1-信息安全工作总体方针和安全策略
信息安全工作 总体方针和安全策略
第一章总则 第二章 第一条为加强和规范技术部及各部门信息系统安全工作,提高技术部信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为技术部信息系统安全管理提供一个 总体的策略性架构文件。该文件将指导技术部信息系统的安全管理体系的建立。安全管理体系的建立是为技术部信息系统的安全管理工作提供参照,以实现技术部统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第三章适用范围 第四章 第三条本文档适用于技术部信息系统资产和信息技术人员的 安全管理和指导,适用于指导公司信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于公司安全管理体系中安全管理措施的选择。 第五章引用标准及参考文件 第六章 第四条本文档的编制参照了以下国家、中心的标准和文件 第五条一《中华人民共和国计算机信息系统安全保护条例》第六条二《关于信息安全等级保护建设的实施指导意见》
信息运安〔2009〕27 号 第七条三《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008 四《信息安全技术信息系统安全管理要求》GB/T 20269—2006 五《信息系统等级保护安全建设技术方案设计要求》报批 稿 六《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号 第七章总体方针 第八条企业信息服务平台系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。 第八章总体目标 第九章 第九条信息系统安全总体目标是确保企业信息服务平台系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。
网络及信息安全管理制度
网络与信息安全管理制度 根据《中华人民共和国计算机信息安全管理条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》和有关法律、法规的规定,为落实网络与信息安全工作,学校通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,坚持“安全第一,预防为主”的方针,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全,努力打造“平安校园网络”,特制定本办法。 一、学校党政领导要加强对学校网络应用的监督、检查,发现问题及时处理。 二、不得利用国际互联网制作、复制、发布和传播下列信息: 1、反对宪法所确定的基本原则的; 2、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; 3、损害国家荣誉和利益的; 4、煽动民族仇恨、民族歧视、破坏民族团结的; 5、破坏国家宗教政策,宣扬邪教和封建迷信的; 6、散布谣言,扰乱社会秩序,破坏社会稳定的; 7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; 8、侮辱或者诽谤他人,侵害他人合法权益的; 9、含有法律、行政法规禁止的其他内容的。 三、学校建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 四、学校建立健全学校网络安全保护管理制度,提高网络安全防范手段,网络管理员经常检查网络安全保护管理以及技术指施的落实情况。网络管理中心在组织安全检查时,对检查中发现的问题,应当提出改进意见,作出详细记录,存档备查。 五、学校网络信息发布的内容需经过学校相关部门的严格审批和登记,并建立相应的信息管理制度。 六、学校网页不得擅自连接境外的新闻网站,不得擅自登载境外新闻媒体和互联网站发布的新闻。 七、根据校园网络运行的实际情况并结合上级部门的有关规定,本办法将适时予以修订。 八、在学生中广泛开展教育活动,提倡师生文明上网,开展健康文明的网络文化活动。
网络与信息安全概论,第十四章 作业
网络与信息安全概论14章课后习题 一、思考题: 14.1 列出在两个通信方之间分发密钥的方法? 答:1. A选择一个密钥后一物理的方式传递给B。 2. 第三方选择密钥后物理地传递给A和B。 3. 如果A和B先前或者最近使用过一个密钥,则乙方可以将新密钥用旧密钥加密后发送给另一方。 4. 如果A和B到第三方C有加密连接,则C可以在加密连接上传送密钥给A和B。 14.2 会话密钥和主密钥之间有什么不同? 答:主密钥是被客户机和服务器用于产生会话密钥的一个密钥。这个主密钥被用于产生客户端读密钥,客户端写密钥,服务器读密钥,服务器写密钥。主密钥能够被作为一个简单密钥块输出。 会话密钥是指:当两个端系统希望通信,他们建立一条逻辑连接。在逻辑连接持续过程中,所以用户数据都使用一个一次性的会话密钥加密。在会话和连接结束时,会话密钥被销。 14.3 什么是临时交互号? 答:用户A向KDC发送包请求一个会话密钥来保护到B的逻辑安全,其中包括A、B的身份以及该次传输的唯一标识N1,并称其为临时交互号。 14.4 什么是密钥分发中心? 答:负责为用户分发密钥,且用户和密钥分发中心共享唯一密钥。 14.5 基于公钥加密的两种不同的密钥分发方法是什么? 答:公钥授权和公钥证书。
14.6 列出四种公钥分发模式的类型? 答:公开发布、公开可访问的目录、公钥授权和公钥证书。 14.7 公钥目录的必要要素是什么? 答:一是目录管理员的私钥安全,二是目录管理员保存的记录安全。 14.8 什么是公钥证书? 答:双方使用证书来交换密钥而不是通过公钥管理员。证书包含公钥和公钥拥有者的标志,整个数据块有可信的第三方进行签名。 14.9 公钥证书的使用有哪些要求? 答: 1. 任何通信方可以读取证书并确定证书拥有者的姓名和公钥。 2. 任何通信方可以验证该证书出自证书管理员,而不是伪造的。 3. 只有证书管理员可以产生并更新证书。 4. 任何通信方可以验证证书的时效性。 14.10 X.509标准的用途是什么? 答:X.509标准是一个广为接受的方案,用来规范公钥证书的格式。X.509证书在大部分网络安全应用中都有使用,包括IP 安全、传输层安全(TLS)和S/MIME。 14.11 什么是证书链? 答:数字证书由颁发该证书的CA签名。多个证书可以绑定到一个信息或交易上形成证书链,证书链中每一个证书都由其前面的数字证书进行鉴别。最高级的CA必须是受接受者信任的、独立的机构。
第十章信息安全及风险控制要求-中国移动
中国移动通信集团福建有限公司VR业务内容合作管理办法 中国移动通信集团福建有限公司 2018年7月
目录 第一章总则 (3) 第二章资质要求 (3) 第三章引入原则 (5) 第四章引入流程 (6) 第五章商务模式 (7) 第六章合同管理 (8) 第七章考核管理 (9) 第八章结算管理 (10) 第九章退出管理 (11) 第十章信息安全及风险控制要求 (12) 第十一章附则 (13) 附录 (13)
第一章总则 第一条为规范中国移动通信集团福建有限公司(以下简称福建移动)智慧家庭云VR业务内容合作与管理,促进VR业务快速、健康、有序发展,根据总部下发的《中国移动数据业务个人及家庭产品管理办法》规定,特制定本管理办法。 第二条本管理办法依据福建移动智慧家庭云VR业务建设目标,对合作伙伴的资质要求、信息安全、引入流程、商务模式、考核、结算、退出等相关流程进行了规定,更加系统、科学、规范地指导合作伙伴的引入和管理工作。 第三条福建移动智慧家庭云VR业务内容的引入遵循“多家选择、公平竞争、公开公正、诚实信用”的原则。建立科学的引入流程和评估机制。业务内容合作伙伴引入结果的决策遵循“高效务实、分级负责、集体决策”的原则。 第四条本制度用于指导为福建移动开展智慧家庭云VR业务提供VR内容的合作伙伴的管理。 第五条福建移动省公司市场部负责牵头组织VR内容引入工作,市场部、政企分公司、信息技术部、综合部、品质管理部组成专家组负责VR内容申请引入的评审工作。 第二章资质要求 第六条福建移动VR内容合作伙伴包括为智慧家庭云VR业务平
台上提供VR内容的合作伙伴(以下简称“CP”)以及提供VR应用的合作伙伴(以下简称“AP”)。 第七条CP/AP需满足以下基本资质要求: (一)必须具有合法有效的企业法人营业执照(或组织机构代码证)、银行开户许可证、税务登记证。 (二)必须为具有独立法人资格的公司。公司注册成立时间需满一年;公司注册资金不低于100万元人民币;合资公司的中资合作公司注册资金不低于100万元人民币,外资股份比例不得超过50%。 (三)提供具有竞争力的产品,具备VR业务内容运营经验,技术服务等能力。 (四)合作伙伴主要管理人员(包括但不限于公司的法人代表、总经理、市场、客服、网络技术的主要管理人员)应具有相近行业一年以上的管理经验,能够深入理解中国移动颁布的各项管理办法,并熟悉各项合作伙伴合作流程。 (五)若该合作伙伴与福建移动已有相近业务合作,则在申报当月前连续三个月在省公司的月度考核得分都必须在70分(含)以上,不足三个月则每月月度考核得分均要求在70(含)分以上。 (六)未列入中国移动不良信用记录,在全网或其他省运营过程中没有出现重大违约事件。 第八条CP/AP需满足以下专业资质要求: (一)符合国家相关管理规定,具备国家监管部门(工业和信息化部、文化部、新闻出版总署等)要求的相关资质等资料。
信息安全三级知识点
信息安全三级知识点 第一章:信息安全保障基础1:信息安全大致发展经历3 个主要阶段:通信保密阶段,计算机安全阶段和信息安全保障阶段2:现代信息安全主要包含两层含义(1)运行系统的安全(2)完整性,机密性,可用性,可控制性,不可否认性。 3:信息安全产生的根源(1)内因:信息系统的复杂性,包括组成网络通信和信息系统的自身缺陷,互联网的开放性(2)外因:人为因素和自然环境的原因4:信息安全保障体系框架(1)生命周期:规划组织,开发采购,实施交付,运行维护,废弃(2)安全特征:保密性,完整性,可用性(3)保障要素:技术,管理,工程,人员5: P2DR 安全模型 Pt Dt+Rt Pt表示系统为了保护安全气目标设置各种保护后的防护时间,或者理解为在这样的保护方式下,黑客攻击安全目标所花费的时间; Dt代表从入侵者开始发动入侵开始,到系统能够检测到入侵行为所花费的时间 Rt代表从发现入侵行为开始,到系统能够做出足够的响应,讲系统调整到正常状态的时间 Et=Dt+Rt ( Pt =0) Dt 和 Rt的和安全目标系统的暴露时间Et, Et越小系统越安全6:信息安全技术框架( IATF):核心思想是纵深防御战略,即采用多层次的,纵深的安全措施来保障用户信息及信息系统的安全。核心因素是人员,技术,操作。 7: IATF4 个技术框架焦点域:本地计算环境,区域边界,网络及基础设施,支撑性基础设施。 8:信息系统安全保障工作的内容包括:确保安全需求,设计和实施安全方案,进行信息安全评测和实施信息安全监控与维护。 第二章:信息安全基础技术与原理1:数据加密标准 DES;高级加密标准AES;数字签名标准 DSS;2:对称密钥的优点:加密解密处理速度快,保密度高,缺点:密钥管理和分发复杂,代价高,数字签名困难3:对称密钥体制:分组密码和序列密码常见的分组密码算法: DES,IDEA,AES 公开的序列算法主要有 RC4, SEAL4:攻击密码体制方法(1)
网络与信息安全管理组织机构设置及工作职责[001]
精心整理 精心整理 网络与信息安全管理组织机构设置及工作职责 一、网络与信息安全责任人:1.网络与信息安全第一责任人:企业法定代表人姓名;工作职责为:对机构内的信息安全工作负有领导责任;联系方式:电话及邮箱。(联系电话应为本人常用、真实有效的手机号码,可抽测。) 2.网络与信息安全责任人:分管信息安全工作的负责人姓名;工作职责为:对企业内信息安全工作负有直接领导责任。联系方式:电话及邮箱。(联系电话应为本人常用、真实有效的手机号码,可抽测。)(上述两项请全部填写)二、网络与信息安全管理组织机构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全相关工作;企业网络与信息安全管理组织架构:包括主管部门、相关配合部门; 2.网络与信息安全管理机构职责(包括但不限于下述内容,要对公司实际制度建立和管理情况进行简述):(1)建立健全网络与信息安全规章制度,以及各项规章制度执行情况监督检查;(2)开展网络与信息安全风险监测预警和评估控制、隐患排查整改工作;(3)建立健全网络与信息安全事件应急处置和上报制度,以及组织开展应急演练;(4)建立健全从业人员网络与信息安全教育培训以及考核制度;(5)违法有害信息监测处置制度和技术手段建设;(6)建立健全用户信息保护制度。 3.对于申请IDC/ISP(开展网站接入业务的)企业,在许可证申请完成后,开展业务前,企业的IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接,并且按照《工业和信息化部办公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法(试行)》(工信厅网安(2016)135号)要求,制定本企业IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全管理人员配备情况及相应资质 一、网络与信息安全管理人员配备情况及相应资质请按 照下表内容在系统上填写相关文字信息: 网络与信息安全管理人员配备情况表 责任人 姓名 身份证号 联系方式(手机) 归属部门 工作内容 全职/兼职 资质情况 第一责任人(公司法人/
最新。信息安全数学基础习题答案
信息安全数学基础习题答案 第一章整数的可除性 1.证明1:因为2|n 所以n=2k , k1Z 5|n 所以5|2k ,又(5,2)=1,所以5|k 即k=5 k1,k11Z 7|n 所以7|2*5 k1 ,又(7,10)=1,所以7| k1即k1=7 k2,k21Z 所以n=2*5*7 k2即n=70 k2, k21Z 因此70|n 证明2:n是2、5、7的公倍数,所以[2,5,7]|n,又知2、5、7互素,所以[2,5,7]=2*5*7=70,即70|n。 2.证明:因为a3-a=(a-1)a(a+1) 当a=3k,k22(mod) a b p ≡Z 3|a 则3|a3-a 当a=3k-1,k p a b -Z 3|a+1 则3|a3-a 当a=3k+1,k p a b +Z 3|a-1 则3|a3-a 所以a3-a能被3整除。 3.证明:任意奇整数可表示为2 k0+1, k022(mod) ≡Z a b p (2 k0+1)2=4 k02+4 k0+1=4 k0 (k0+1)+1 由于k0与k0+1为两连续整数,必有一个为偶数,所以k0 (k0+1)=2k 所以(2 k0+1)2=8k+1 得证。 4.证明:设三个连续整数为a-1,a,a+1 则(a-1)a(a+1)= a3-a 由第二题结论3|(a3-a)即3|(a-1)a(a+1) 又三个连续整数中必有至少一个为偶数,则2|(a-1)a(a+1) 又(3,2)=1 所以6|(a-1)a(a+1) 得证。 5.证明:构造下列k个连续正整数列: (k+1)!+2, (k+1)!+3, (k+1)!+4,……, (k+1)!+(k+1), k p a b -Z 对数列中任一数 (k+1)!+i=i[(k+1)k…(i+1)(i-1)…2*1+1], i=2,3,4,…(k+1) 所以i|(k+1)!+i 即(k+1)!+i为合数 所以此k个连续正整数都是合数。 6.证明:因为1911/2<14 ,小于14的素数有2,3,5,7,11,13 经验算都不能整除191 所以191为素数。 因为5471/2<24 ,小于24的素数有2,3,5,7,11,13,17,19,23 经验算都不能整除547 所以547为素数。 由737=11*67 ,747=3*249 知737与747都为合数。 8.解:存在。eg:a=6,b=2,c=9 9.证明:反证,设n/p是合数,n/p= k1k2, k1>p, k2>p,则n=p k1k2> n3,所以p< n1/3,矛盾。 10.证明:p1 p2 p3|n,则n= p1 p2 p3k,k p a b +N+ 又p1≤ p2≤p3,所以n= p1 p2 p3k≥p13 即p13≤n1/3 p1为素数则p1≥2,又p1≤ p2≤p3,所以n= p1 p2 p3k≥2 p2 p3≥2p22 即p2≤(n/2)1/2得证。 11.解:小于等于5001/2的所有素数为2,3,5,7,11,13,17,19,依次删除这些素数的倍数可得所求素数: 12.证明:反证法 假设3k+1没有相同形式的素因数,则它一定只能表示成若干形如3k-1的素数相乘。 (3 k1+1)(3 k2+1)=[( 3 k1+1) k2+ k1]*3+1 显然若干个3k+1的素数相乘,得到的还是3k+1的形式,不能得出3k-1的数,因此假设不成立,结论得证。 同理可证其他。 13.证明:反证法 假设形如4k+3的素数只有有限个,记为p1, p2,…, p n 因为4k+3=4k`-1=4k-1 构造N=4*p1*p2*…*p n-1≥3*p1*p2*…*p n 所以N>p i (i=1,2,…,n) N为4k-1形式的素数,即为4k+3的形式,所以假设不成立。
网络及信息安全管理制度汇编
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
网络及信息安全管理意见
网络安全管理制度(意见) 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条非政府工作人员不允许在本网络内上网查询信息。严禁工作人员访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非政府工作人员操纵电脑,禁止不合法的登录情况出现。 第五条局域网内要采取安全管理措施。每台电脑需装杀毒软件,每周定时查杀病毒和木马,并自动修复系统漏洞。建议使用360杀毒软件或金山卫士(此两款软件均免费)。养成良好的操作习惯,经常备份重要资料。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络服务和破坏网络设备的活动。
第七条局域网应统一规划、建设,未经许可,不得私自将陌生的计算机接入局域网,不得将涉密电脑接入局域网。 第八条不得向其它非本部门工作人员透露内部网登录用户名和密码,做好各个应用系统的用户名和密码的保密工作。 第九条存储介质(包含:U盘、移动硬盘、光盘)在与计算机连接前,确保被计算机内安装有防木马和病毒的软件。如果杀毒软件提示有病毒存在,请做杀毒处理。不得在发现病毒的情况下强行拷贝数据。 第十条在发现某台计算机中毒后,请拔出网线,进行单机杀毒或重装系统,以免造成网络内部感染,导致网络崩溃。
数据、资料和信息的安全管理制度 第一条机房及使用计算机的单位都要设立专人负责文字及磁介质资料的安全管理工作。 第二条各单位要建立资料管理登记簿,详细记录资料的分类、名称、用途、借阅情况等,便于查找和使用。 第三条各项技术资料应集中统一保管,严格借阅制度。 第四条应用系统和操作系统需用磁带、光盘备份。对重要的动态数据应定时清理、备份,并报送有关部门存放。 第五条存放税收业务应用系统及重要信息的磁带光盘严禁外借,确因工作需要,须报请有关领导批准。 第六条对需要长期保存的数据磁带、磁盘,应在一年内进行转储,以防止数据失效造成损失。 第七条对有关电脑文件、数据进行加密处理。为保密需要,应定期或不定期地更换不同保密方法或密码口令。若须查阅保密信息,须经有关领导批准,才能查询、打印有关保密资料。对保密信息应严加看管,不得遗失、私自传播。 第八条及时关注电脑界病毒防治情况和提示,根据要求调整计算机参数或安装防毒软件,避免电脑病毒侵袭。 第九条对于联入局域网的计算机,任何人在未经批准的情况下,不得向局域网内拷入软件或文档。 第十条任何微机需安装软件时,由各单位提出申请,
第10章信息安全
第10章信息安全 10.1 信息安全概述 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 10.1.1 信息安全意识 1.建立对信息安全的正确认识 2.掌握信息安全的基本要素和惯例 信息安全包括四大要素:技术、制度、流程和人。 信息安全公式: 信息安全=先进技术+防患意识+完美流程+严格制度+优秀执行团队+法律保障 3.清楚可能面临的威胁和风险 分为自然威胁和人为威胁 1)人为攻击 人为攻击是指通过攻击系统的弱点,以便达到破坏、欺骗、窃取数据等目的。 人为攻击又分为偶然事故和恶意攻击两种。 恶意攻击又分为被动攻击和主动攻击两种。 2)安全缺陷 现在所有的网络信息系统都不可避免地存在着一些安全缺陷。 3)软件漏洞 由于软件程序的复杂性和编程的多样性,在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞。 4)结构隐患 结构隐患一般指网络拓扑结构的隐患和网络硬件的安全缺陷。
4.养成良好的安全习惯 1)良好的密码设置习惯 2)网络和个人计算机安全 3)电子邮件安全 4)打印机和其他媒介安全 5)物理安全 10.1.2 网络礼仪与道德 1.网络道德概念及涉及内容 计算机网络道德是用来约束网络从业人员的言行,指导他们的思想的一整套道德规范。计算机网络道德可涉及到计算机工作人员的思想意识、服务态度、业务钻研、安全意识、待遇得失及其公共道德等方面。 2.网络的发展对道德的影响 1)淡化了人们的道德意识 2)冲击了现实的道德规范 3)导致道德行为的失范 3.网络信息安全对网络道德提出新的要求 1)要求人们的道德意识更加强烈,道德行为更加自主自觉 2)要求网络道德既要立足于本国,又要面向世界 3)要求网络道德既要着力于当前,又要面向未来 4.加强网络道德建设对维护网络信息安全有着积极的作用 1)网络道德可以规范人们的信息行为 2)加强网络道德建设,有利于加快信息安全立法的进程 3)加强网络道德建设,有利于发挥信息安全技术的作用 10.1.3 计算机犯罪 计算机犯罪包括利用计算机实施的犯罪行为和把计算机资产作为攻击对象的犯罪行为。
信息安全数学基础答案第一二三四五六七八章2
第一章 (1)5,4,1,5. (2)100=22*52, 3288=23*3*137. (4)a,b可以表示成多个素因子的乘积a=p1p2––p r, b=q1q2––q s,又因为(a, b)=1,表明a, b 没有公共(相同)素因子. 同样可以将a n, b n表示为多个素因子相乘a n=(p1p2––p r)n, b n=(q1q2––q s)n明显a n, b n也没有公共(相同)素因子. (5)同样将a, b可以表示成多个素因子的乘积a=p1p2––p r, b=q1q2––q s, a n=(p1p2––p r)n, b n=(q1q2––q s)n,因为a n| b n所以对任意的i有, p i的n次方| b n, 所以b n中必然含有a的所有素因子, 所以b中必然含有a的所有素因子, 所以a|b. (6)因为非零a, b, c互素,所以(a, b)=(a, c)=1,又因为a=p1p2––p r, b=q1q2––q s, ab=p1p2––p r q1q2––q s, 又因为a, b, c互素, 所以a, b, c中没有公共(相同)素因子, 明显ab和c 也没有公共(相同)素因子.所以(ab, c)= (a, b)(a, c). (7)2,3,5,7,11,13,17,19,23,29,31,37,41,43,47,53,59,61,67,71,73,79,83,89,97,101,103,107, 109, 113, 127,131,137,139,149,151,157,163,167,173,179,181,191,193,197,199. (11)对两式进行变形有21=0(mod m), 1001=0(mod m),可以看出要求满足的m即使求21和1001的公约数, 为7和1. (12)(70!)/(61!)= 62*63*––*70=(-9)*(-8)*––*(-1)=-9!=-362880=1(mod 71). 明显61!与71互素, 所以两边同乘以61!, 所以70!=61!(mod 71). (13)当n为奇数时2n=(-1)n=-1=2(mod 3), 两边同时加上1有2n+1=0(mod 3), 所以结论成立. 当n为偶数时2n=(-1)n=1(mod 3), 两边同时加上1有2n+1=2(mod 3), 所以结论成立. (14)第一个问:因为(c,m)=d, m/d为整数.假设ac=k1m+r, bc=k2m+r,有ac=k1d(m/d)+r, bc=k2d(m/d)+r所以ac=bc(mod m/d),因为(c,m/d)=1,所以两边可以同除以一个c, 所以结论成立. 第二个问题:因为a=b(mod m), 所以a-b=k i*m i,a-b是任意m i的倍数,所以a-b是m i公倍数,所以[m i]|a-b.(利用式子:最小公倍数=每个数的乘积/最大公约数, 是错误的, 该式子在两个数时才成立) (15)将整数每位数的值相加, 和能被3整除则整数能被3整除, 和能被9整除则整数能被9整除, (1)能被3整除, 不能被9整除,(2)都不能,(3)都不能,(4)都不能 第二章 (5)证明:显然在群中单位元e满足方程x2=x, 假设存在一个元素a满足方程x2=x, 则有a2=a, 两边同乘以a-1有a=e. 所以在群中只有单位元满足方程x2=x. (6)证明:因为群G中每个元素都满足方程x2=e, 所以对群中任意元素a,b有aa=e, bb=e, (ab)2=abab=e. 对abab=e, 方程两边左乘以a, 右乘以b有aababb=(aa)ba(bb)=ba=aeb=ab, 有ab=ba, 所以G是交换群. (7)证明:充分性:因为在群中对任意元素a,b有(ab)2=a2b2即abab=aabb, 方程两边左乘以a的逆元右乘以b的逆元, 有a-1ababb-1= a-1aabbb-1, 有ab=ba, 所以G是交换群. 必要性:因为群G是交换群, 所以对任意元素a,b有ab=ba, 方程两边左乘以a右乘以b有abab=aabb, 有(ab)2=a2b2. (8)证明:因为xaaba=xbc,所以x-1xaxbaa-1b-1=x-1xbca-1b-1,所以存在唯一解x=a-1bca-1b-1
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
网络与信息安全管理体系
网络与信息安全管理工作体系制度 总则 依据《网络信息机构业务活动管理暂行办法》第十八条、第二十一条、第二十二条、第二十三条的相关规定,规范公司的信息安全、网络安全的管理工作,确保公司的系统运行安全、网络运行安全以及客户信息、项目信息的保护,特制订本制度。 本管理办法适用于公司所有涉及信息、安全与重要岗位的管理。 信息安全领导小组 1,公司成立信息安全领导小组,就是信息安全的最高决策机构。 2,信息安全领导小组负责研究重大事件,落实方针政策与制定总体策略等。职责主要包括: (1)根据国家与行业有关信息安全的策略、法律与法规,批准公司信息安全总体策略规划、管理规范与技术标准; (2)监督、督导公司整体信息安全工作的落实与执行情况; (3)制订相关信息安全、网络安全、以及信息、网络的应急管理的制度; 3,信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组,作为日常工作执行机构。 4,信息安全领导小组组长由公司负责人担任,副组长由公司科技部门领导担任,各部门负责人自动成为信息安全领导小组成员。 信息安全工作组 1,信息安全工作组由信息技术部门负责人担任组长,成员由信息安全
2,信息安全工作组的主要职责包括: (一)、贯彻执行公司信息安全领导小组的决议,协调与规范公司信息安全工作; (二)、根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; (三)、组织对重大的信息安全工作制度与技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行; (四)、负责协调、督促各职能部门与有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; (五)、组织信息安全工作检查,分析信息安全总体状况,提出分析报告与安全风险的防范对策; (六)、负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施; (七)、及时向信息安全工作领导小组与上级有关部门、单位报告信息安全时间。 (八)、跟踪先进的信息安全技术,组织信息安全知识的培训与宣传工作。 (九)、信息安全领导小组授权开展的其她信息安全工作。 应急处理工作组 1,应急处理工作组组长由信息技术部门负责人担任,成员由信息安全