简述网络信息安全防护体系——朱节中
中国移动网络与信息安全总纲
中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
中国移动 [注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
前言 (22)目录 (33)总则 (99)1.网络与信息安全的基本概念 (99)2.网络与信息安全的重要性和普遍性 (99)3.中国移动网络与信息安全体系与安全策略 (1010)4.安全需求的来源 (1111)5.安全风险的评估 (1212)6.安全措施的选择原则 (1212)7.安全工作的起点 (1212)8.关键性的成功因素 (1313)9.安全标准综述 (1313)10.适用范围 (1616)第一章组织与人员 (1717)第一节组织机构 (1717)1.领导机构 (1717)2.工作组织 (1717)3.安全职责的分配 (1818)4.职责分散与隔离 (1919)5.安全信息的获取和发布 (1919)6.加强与外部组织之间的协作 (2020)7.安全审计的独立性 (2020)第二节岗位职责与人员考察 (2020)1.岗位职责中的安全内容 (2020)2.人员考察 (2020)3.保密协议 (2121)4.劳动合同 (2121)5.员工培训 (2121)第三节第三方访问与外包服务的安全 (2121)1.第三方访问的安全 (2121)2.外包服务的安全 (2222)第四节客户使用业务的安全 (2323)第二章网络与信息资产管理 (2525)第一节网络与信息资产责任制度 (2525)1.资产清单 (2525)2.资产责任制度 (2525)第二节资产安全等级及相应的安全要求 (2727)1.信息的安全等级、标注及处置 (2727)2.网络信息系统安全等级 (2929)第三章物理及环境安全 (3030)第一节安全区域 (3030)1.安全边界 (3030)2.出入控制... 错误!未定义书签。
网络安全法知识点
网络安全法知识点在当今信息化社会,网络安全问题备受关注。
为了规范网络安全行为,维护网络安全和社会秩序,我国于2017年6月1日正式实施了《中华人民共和国网络安全法》,下面我们来了解一下网络安全法的一些主要知识点。
一、基本原则网络安全法是我国网络空间安全的基本法律。
它以维护国家安全、社会秩序,保护公民、法人和其他组织的合法权益为宗旨,遵循法治原则,以网络基础设施和关键信息系统的安全为重点,规定了网络安全的基本要求和安全保护措施。
二、主要内容1.网络基础设施安全保护:网络运营者应当建立健全网络安全管理制度,采取技术措施和其他必要措施,防止网络安全事件的发生。
关键信息基础设施的运营者应当进行安全评估,落实安全保护措施。
2.个人信息保护:网络运营者收集个人信息必须合法、正当、必要,明示个人信息的收集、使用、存储等目的、方式和范围,并经个人同意。
同时,个人信息的泄露、篡改、销毁等行为需及时通知用户。
3.网络安全事件的应对:网络运营者发现可能影响网络安全的事件时,应当立即采取补救措施,并向有关部门报告。
网络安全事件的调查和处理要保护用户隐私,不得泄露个人信息。
4.网络产品和服务的安全:网络产品和服务的提供者应当确保产品和服务符合国家标准,并提供必要的技术支持和服务。
对于采用加密技术的产品和服务,必须符合国家规定的要求。
5.网络安全监管:国家网络安全监管部门负责组织实施网络安全检查和评估,加强对关键信息基础设施的监管。
网络安全事件的通报和协助调查也是其重要职责。
三、法律责任根据《网络安全法》,违反网络安全法的行为将受到相应的法律责任。
对于网络安全事件未尽到保护义务,导致损失的,应当承担赔偿责任。
同时,对于违反法律法规盗取、泄露、篡改他人个人信息等行为,将受到行政处罚或被追究刑事责任。
综上所述,网络安全法是我国网络安全领域的重要法律,它强调了网络基础设施和个人信息的保护,明确了网络安全事件的应对措施和法律责任。
防火墙实验报告
南京信息工程大学实验(实习)报告实验(实习)名称防火墙实验(实习)日期2012.10.12指导教师朱节中专业10软件工程年级三班次 2 班姓名曾艺学号20102344070 得分一.实验目的:1. 了解防火墙的相关知识2. 防火墙的简单实验二.实验步骤:1. 了解防火墙的概念,类型及作用2. 防火墙的实验三.实验内容:1.防火墙的概念防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
由计算机硬件或软件系统构成防火墙,来保护敏感的数据部被窃取和篡改。
防火墙是设置在可信任的企业内部和不可信任的公共网或网络安全域之间的以系列部件的组合,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
2防火墙的类型技术上看,防火墙有三种基本类型:包过滤型、代理服务器型和复合型。
它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。
包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。
包过滤型防火墙工作在网络层,基于单个IP包实施网络控制。
它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。
这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。
代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。
网络信息安全的体系架构与应用
网络信息安全的体系架构与应用网络信息技术的不断发展和普及,方便了我们的生活和工作,但同时也带来了越来越多的安全风险。
从个人信息到商业机密,一旦被黑客攻击或泄露,就会对相应的个人或组织带来不可挽回的损失。
因此,网络信息安全问题已经逐渐成为互联网领域中不可忽视的重要问题,亟需建立完善的体系结构和技术手段进行防范和保护。
一、网络信息安全的体系结构网络信息安全体系结构是保证网络信息安全所必须的基础。
它包括三个层次,分别是物理层、网络层和应用层。
其中,多层安全防护技术的应用是保证网络信息安全的关键。
1.物理层安全防护技术物理层安全防护技术主要是针对网络设备和数据中心的。
保证网络设备和数据中心的物理安全性是构建网络信息安全体系结构的首要任务。
实施物理层安全防护技术可以减少因人为因素造成的信息泄漏和黑客攻击。
2.网络层安全防护技术网络层安全防护技术主要针对网络通信,防范网络攻击和网络病毒。
网络层安全防护技术可以加密和验证网络通信数据,使得网络通信变得更加安全可靠。
3.应用层安全防护技术应用层安全防护技术主要针对网络服务和网络应用,如电子商务、网上银行等等。
应用层安全防护技术可以保证网络服务和网络应用的安全性,杜绝黑客攻击和病毒攻击。
二、网络信息安全的应用网络信息安全技术的应用是保证网络信息安全的重要保障。
下面列出网络信息安全技术的应用,包括不限于应用。
1.防火墙技术防火墙技术是普及和应用比较广泛的网络信息安全技术。
通过防火墙技术的应用可以筛选出不安全的网络流量,在外部网络与内部网络之间建立一个安全的防护屏障,实现网络的安全性。
2.加密技术加密技术是网络信息安全领域最基础的技术之一。
加密技术可以对通信数据进行保护和加密,在传输过程中不容易被黑客截获或篡改。
3.身份认证技术身份认证技术可以识别和验证网络用户的身份信息,防止黑客攻击和网络诈骗。
4.入侵检测技术入侵检测技术可以对网络中的流量进行实时监测,并发现违规和攻击行为,减少网络信息泄露和侵害。
国家网络安全知识内容
国家网络安全知识内容国家网络安全意识内容包括网络安全基础知识、网络风险和威胁、网络安全法律法规、个人防护措施等。
下面将详细介绍。
一、网络安全基础知识1. 网络安全的定义:指在计算机网络中,保护网络中的计算机资源和用户信息不被非法使用、破坏或泄漏的一系列措施。
2. 防火墙:是指设置在网络与外网之间的一道防线,用于过滤和监控网络流量,保护内部网络免受来自外部的不良流量攻击。
3. 漏洞:指系统或软件中存在的错误或缺陷,使得黑客可以利用这些漏洞进行攻击。
4. 密码强度:指密码的复杂程度,包括密码长度、字符种类、组合方式等,强密码可以提高账户的安全性。
5. 信息安全:涉及到保护信息的保密性、完整性和可用性,包括加密、防火墙、访问控制等技术措施。
二、网络风险和威胁1. 病毒和恶意软件:通过电子邮件、下载文件或点击链接等方式传播,会破坏计算机系统、盗取个人信息等。
2. 垃圾邮件和钓鱼网站:通过发送大量的垃圾邮件或设置虚假的网站,诱导用户泄漏个人信息。
3. 社交工程:利用社交网络获取用户的个人信息,通过冒充身份进行欺骗或攻击。
4. DDoS攻击:通过占用大量资源向目标服务器发送请求,导致服务器系统崩溃。
5. 数据泄露:指个人或公司的敏感信息被非法获取并公布或商业利用。
三、网络安全法律法规1. 中国网络安全法:于2016年6月1日实施,主要涉及网络基础设施安全、个人信息保护、网络安全事件报告等方面的规定。
2. 个人信息保护法:保护个人信息的安全和隐私,规定了个人信息的保护、处理和使用等方面的要求。
3. 电子商务法:涉及网络交易的安全、支付方式的安全、商家和消费者的权益保护等内容。
4. 通信保密法:规定了通信内容的保密、网络服务提供者的义务等。
四、个人防护措施1. 定期更新操作系统和软件补丁,及时修复系统漏洞。
2. 使用强密码,定期更改密码,并不同网站使用不同密码。
3. 维护电脑的网络安全软件,及时检测、拦截和清除病毒、木马等恶意软件。
四级安全网络
四级安全网络
随着互联网的发展,网络犯罪也愈演愈烈。
为保障网络的安全,加强网络防护已成为亟待解决的问题。
目前,国家制定了网络安全
四级防护标准,即4C、3C、2C、1C四级安全网络。
4C级别的安全网络是指企业的安全基础设施,包括安全监测、安全管理、安全设备、安全服务等。
企业需要对其网络进行全面审查,并配备全面的技术手段,确保网络安全。
3C级别的安全网络是指针对网络威胁的防护方案,包括风险
评估、完整性保障、入侵防护、反病毒防护、攻击检测与响应等综
合措施。
2C级别的安全网络是指针对重大活动的安全防护,包括重大
活动前后的网络防护、现场安全等措施。
这是保障政治、经济、文
化活动安全的重要措施。
1C级别的安全网络是指国家重要信息基础设施的安全防护。
这是保障国家安全重要领域的重要措施。
在构建四级安全网络的过程中,企业需要做好组织和人员的配备、技术手段的应用、安全策略的制定与实施等工作。
同时,企业
应定期开展漏洞测试和隐患排查工作,保证网络安全的稳定和可靠。
四级安全网络的建设对于网络安全具有重要意义,是企业安全
保障的基础。
在加强网络安全防护的同时,还需要不断加强技术研
发和人才储备,构筑更为安全、可靠的网络环境。
信息系统安全防护知识点
信息系统安全防护知识点在当今数字化时代,信息系统已经成为企业、组织乃至个人生活中不可或缺的一部分。
从在线购物到金融交易,从社交互动到工作协作,我们几乎无时无刻不在依赖信息系统。
然而,随着信息系统的广泛应用,其面临的安全威胁也日益严峻。
了解和掌握信息系统安全防护的知识,对于保护我们的个人隐私、企业机密以及社会的稳定与安全都具有至关重要的意义。
信息系统安全防护涵盖了众多方面,包括但不限于网络安全、数据安全、应用安全、终端安全等。
下面我们将分别对这些方面进行探讨。
一、网络安全网络是信息系统的基础架构,网络安全是信息系统安全的第一道防线。
网络安全主要包括以下几个关键知识点:1、防火墙防火墙是一种位于计算机和它所连接的网络之间的硬件或软件。
它可以根据预设的规则,对进出网络的流量进行过滤和控制,阻止未经授权的访问和恶意流量的进入。
2、入侵检测与预防系统(IDS/IPS)IDS 用于监测网络中的异常活动和潜在的入侵行为,而 IPS 不仅能检测还能主动阻止这些入侵。
它们通过分析网络流量、系统日志等信息来发现威胁。
3、 VPN(虚拟专用网络)VPN 可以在公共网络上创建一个安全的、加密的通信通道,使得远程用户能够安全地访问企业内部网络资源。
4、网络访问控制通过设置访问权限,如用户认证、授权和访问策略,确保只有合法的用户能够访问特定的网络资源。
二、数据安全数据是信息系统的核心资产,数据安全的重要性不言而喻。
以下是一些关于数据安全的重要知识点:1、数据加密对敏感数据进行加密,使其在传输和存储过程中即使被窃取也难以被解读。
常见的加密算法包括 AES、RSA 等。
2、数据备份与恢复定期备份数据,并确保备份数据的安全性和可恢复性,以应对数据丢失或损坏的情况。
3、数据脱敏在数据使用和共享过程中,对敏感数据进行脱敏处理,如隐藏部分字段或对数据进行变形,以保护用户隐私。
4、数据分类与分级对数据进行分类和分级,根据其重要性和敏感性采取不同的安全措施。
中国移动网络与信息安全总纲
中国移动网络与信息安全总纲精品资料网()25万份精华管理资料,2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
中国移动[注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
前言 (2)目录 (3)总则 (13)1.网络与信息安全的基本概念 (13)2.网络与信息安全的重要性和普遍性 (13)3.中国移动网络与信息安全体系与安全策略 (14)4.安全需求的来源 (16)5.安全风险的评估 (17)6.安全措施的选择原则 (18)7.安全工作的起点 (18)8.关键性的成功因素 (19)9.安全标准综述 (20)10.适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261.领导机构 (26)2.工作组织 (27)3.安全职责的分配 (28)4.职责分散与隔离 (29)5.安全信息的获取和发布 (30)6.加强与外部组织之间的协作 (30)7.安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311.岗位职责中的安全内容 (31)2.人员考察 (32)3.保密协议 (33)4.劳动合同 (33)5.员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341.第三方访问的安全 (34)2.外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381.资产清单 (38)2.资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421.信息的安全等级、标注及处置 (42)2.网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461.安全边界 (46)2.出入控制 (47)3.物理保护 (48)4.安全区域工作规章制度 (49)5.送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511.设备安置及物理保护 (51)2.电源保护 (52)3.线缆安全 (53)4.工作区域外设备的安全 (54)5.设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551.可移动存储媒介的管理 (55)2.存储媒介的处置 (55)3.信息处置程序 (56)4.系统文档的安全 (57)第四节............................................... 通用控制措施581.屏幕与桌面的清理 (58)2.资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601.规范操作细则 (60)2.设备维护 (61)3.变更控制 (62)4.安全事件响应程序 (62)5.开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641.系统规划和设计 (64)2.审批制度 (64)3.系统建设和验收 (65)4.设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701.维护作业计划管理 (70)2.数据与软件备份 (70)3.操作日志 (72)4.日志审核 (72)5.故障管理 (73)6.测试制度 (74)7.日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761.信息与软件交换协议 (76)2.交接过程中的安全 (76)3.电子商务安全 (77)4.电子邮件的安全 (78)5.电子办公系统的安全 (79)6.信息发布的安全 (80)7.其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841.用户注册 (84)2.超级权限的管理 (85)3.口令管理 (87)4.用户访问权限核查 (88)第三节..................................................... 用户职责881.口令的使用 (88)2.无人值守的用户设备 (89)第四节............................................... 网络访问控制901.网络服务使用策略 (91)2.逻辑安全区域的划分与隔离 (91)3.访问路径控制 (92)4.外部连接用户的验证 (93)5.网元节点验证 (93)6.端口保护 (94)7.网络互联控制 (94)8.网络路由控制 (95)9.网络服务的安全 (95)第五节...................................... 操作系统的访问控制951.终端自动识别 (96)2.终端登录程序 (96)3.用户识别和验证 (97)4.口令管理系统 (97)5.限制系统工具的使用 (98)6.强制警报 (99)7.终端超时关闭 (99)8.连接时间限制 (100)第六节............................................... 应用访问控制1001.信息访问限制 (100)2.隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011.事件记录 (102)2.监控系统使用情况 (102)第八节............................................ 移动与远程工作1041.移动办公 (104)2.远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091.输入数据验证 (109)2.内部处理控制 (110)3.消息认证 (111)4.输出数据验证 (112)第三节............................................ 系统文件的安全1121.操作系统软件的控制 (112)2.系统测试数据的保护 (113)3.系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151.变更控制程序 (115)2.软件包的变更限制 (116)3.后门及特洛伊代码的防范 (117)4.软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181.加密技术使用策略 (119)2.使用加密技术 (119)3.数字签名 (120)4.不可否认服务 (121)5.密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241.及时发现与报告 (125)2.分析、协调与处理 (125)3.总结与奖惩 (127)第二节............................................ 业务连续性管理1271.建立业务连续性管理程序 (127)2.业务连续性和影响分析 (128)3.制定并实施业务连续性方案 (129)4.业务连续性方案框架 (130)5.维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341.识别适用的法律法规 (134)2.保护知识产权 (135)3.保护个人信息 (135)4.防止网络与信息处理设施的不当使用 (136)5.加密技术控制规定 (136)6.保护公司记录 (137)7.收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381.独立审计原则 (139)2.控制安全审计过程 (139)3.保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1:安全体系第二层项目清单(列表) (143)总则1.网络与信息安全的基本概念网络与信息安全包括下列三个基本属性:➢机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
滨江学院网络信息安全课程论文题目简述网络信息安全防护体系院系计算机系专业软件工程学生姓名王二麻学号 20122344900学期 2014-2015(1)指导教师朱节中职称副教授二O一四年十二月九日简述网络结构安全防护体系一、引言计算机网络是由硬件网络、通信软件以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。
通过使用路由器、集线器、交换机、网线等网络设备,用户可以搭建自己所需要的通信网络,对于小范围的无线局域网而言,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,目前广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以讲驱动程序看作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。
网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络得到可持续的稳定运行,信息能够完整的传送,并得到很好的保密。
因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。
网络安全防护体系是基于安全技术集成的基础之上,依据一定的安全策略建立起来的。
二、需求与安全网络本身的开放性、无界性等特性,在给工作、学习、生活带来巨大便利的同时,也带来了了一些不容忽视的问题,网络安全就是其中最为显著的问题之一。
2.1 信息信息是资源,信息是财富。
信息化的程度已经成为衡量一个国家,一个单位综合技术水平,综合能力的主要标志。
从全球范围来看,发展信息技术和发展信息产业也是当今竞争的一个制高点。
计算机信息技术的焦点集中在网络技术,开放系统,小型化,多媒体这四大技术上。
2.2安全Internet的发展将会对社会、经济、文化和科技带来巨大推动和冲击。
但同时,Internet 在全世界迅速发展也引起了一系列问题。
由于Internet强调它的开放性和共享性,其采用的TCP/IP、SNMP等技术的安全性很弱,本身并不为用户提供高度的安全保护,Internet自身是一个开放系统,因此是一个不设防的网络空间。
随着Internet网上用户的日益增加,网上的犯罪行为也越来越引起人们的重视。
对信息安全的威胁主要包括:(1)内部泄密:内部工作人员将内部保密信息通过E-Mail发送出去或用FTP的方式送出去。
(2)“黑客”入侵:“黑客”入侵是指黑客通过非法连接、非授权访问、非法得到服务、病毒等方式直接攻入内部网,对其进行侵扰。
这可直接破坏重要系统、文件、数据,造成系统崩溃、瘫痪,重要文件与数据被窃取或丢失等严重后果。
(3)电子谍报:外部人员通过业务流分析、窃取,获得内部重要情报。
这种攻击方式主要是通过一些日常社会交往获取有用信息,从而利用这些有用信息进行攻击。
如通过窃听别人的谈话,通过看被攻击对象的公报等获取一些完整或不完整的有用信息,再进行攻击。
(4)途中侵扰:外部人员在外部线路上进行信息篡改、销毁、欺骗、假冒。
(5)差错、误操作与疏漏及自然灾害等。
2.3信息战信息系统面临的威胁大部分来源于上述原因。
对于某些组织,其威胁可能有所变化。
全球范围内的竞争兴起,将我们带入了信息战时代。
现代文明越来越依赖于信息系统,但也更易遭受信息战。
信息战是对以下方面数据的蓄意攻击:机密性和占有性、完整性和真实性、可用性与占用性。
信息战将危及个体、团体、政府部门和机构、国家和国家联盟组织。
信息战是延伸进和经过Cyberspace进行的战争新形式。
如果有必要的话,也要考虑到信息战对网络安全的威胁。
一些外国政府和有组织的恐怖分子、间谍可能利用“信息战”技术来破坏指挥和控制系统、公用交换网和其它国防部依靠的系统和网络以达到破坏军事行动的目的。
造成灾难性损失的可能性极大。
从防御角度出发,不仅要考虑把安全策略制定好,而且也要考虑到信息基础设施应有必要的保护和恢复机制。
2.4经费的投资信息系统是指社会赖以对信息进行管理、控制及应用的计算机与网络。
其信息受损或丢失的后果将影响到社会各个方面。
在管理中常常视安全为一种保障措施,它是必要的,但又令人讨厌。
保障措施被认为是一种开支而非一种投资。
相反地,基于这样一个前提,即系统安全可以防止灾难。
因此它应是一种投资,而不仅仅是为恢复所付出的代价。
三、风险评估建网定位的原则是维护国家利益、企业(团体)利益以及个人利益。
从网络安全威胁看,网络的风险主要包括外部的攻击和入侵、内部的攻击或误用、内部的病毒传播,以及安全管理漏洞等方面。
3.1建网建网的信息安全的级别可分为:最高级为安全不用、秘密级(绝密、机密、秘密)、内部以及公开。
建网的安全策略,应以建网定位的原则和信息安全级别选择的基础上制定。
网络安全策略是网络安全计划的说明,是设计和构造网络的安全性,以防御来自内部和外部入侵者的行动计划及阻止网上泄密的行动计划。
保险是对费用和风险的一种均衡。
首先,要清楚了解你的系统对你的价值有多大,信息值须从两方面考虑:它有多关键,它有多敏感。
其次,你还须测定或者经常的猜测面临威胁的概率,才有可能合理地制定安全策略和进程。
3.2风险分析风险分析法可分为两类:定量风险分析和定性风险分析。
定量风险分析是建立在事件的测量和统计的基础上,形成概率模型。
定量风险分析最难的部分是评估概率。
我们不知道事件何时发生,我们不知道这些攻击的代价有多大或存在多少攻击;我们不知道外部人员造成的人为威胁的比重为多少。
最近,利用适当的概率分布,应用Monte Carlo (蒙特卡罗)仿真技术进行模块风险分析。
但实用性不强,较多的使用定性风险。
风险分析关心的是信息受到威胁、信息对外的暴露程度、信息的重要性及敏感度等因素,根据这些因素进行综合评价。
风险得分= ( 威胁×透明) + ( 重要性×敏感度)网络安全策略开发必须从详尽分析敏感性和关键性上开始。
风险分析,在信息战时代,人为因素也使风险分析变得更难了。
四、网络安全策略网络安全策略是网络安全系统的灵魂与核心,是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则集合。
网络安全策略的提出,是为了实现各种网络安全技术的有效集成,构建可靠地网络安全系统。
网络安全策略主要包含五个方面的策略。
(1)物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害及人为破坏;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制和各种偷窃、破坏活动的发生。
(2)访问控制策略访问控制策略是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它也是维护网络系统安全,保护网络资源的重要手段。
(3)防火墙控制防火墙是用以阻止网络中的黑客访问某个机构网络的一道屏障,也可以称之为控制进、出两个方向通信的门槛。
在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的入侵。
(4)信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,以及保护网上传输的数据。
(5)网络安全管理策略在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括确定安全管理等级和安全管理范围,制定有关网络操作使用规程和人员出入机房管理的制度,制定网络系统的维护制度和应急措施。
五、网络安全体系网络安全体系是由网络安全技术体系、网络安全组织体系和网络安全管理体系三部分组成的。
三者相辅相成,只有协调好三者的关系,才能有效地保护网络的安全。
5.1 网络安全技术体系通过对网络的全面了解,按照安全策略的要求,整个网络安全技术体系由以下几个方面组成:物理安全、计算机系统平台安全、通信安全、应用系统安全。
(1)物理安全通过机械强度标准的控制,使信息系统所在的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全;通过采用电磁屏蔽机房、光通信接入或相关电磁干扰措施降低或消除信息系统硬件组件的电磁发射造成的信息泄露;提高信息系统组件的接收灵敏度和滤波能力,使信息系统组件具有抗击外界电磁辐射或噪声干扰的能力而保持正常运行。
物理安全除了包括机械防护、电磁防护安全机制外,还包括限制非法接入、康摧毁、报警、恢复、应急响应等多种安全机制。
(2)计算机系统平台安全它是指计算机系统能够提供的硬件安全服务与操作系统安全服务。
计算机系统在硬件上主要通过存储器安全机制、运行安全机制和I/O安全机制提供一个可信的硬件环境,实现其安全目标。
操作系统的安全是指通过身份识别、访问控制、完整性控制与检查、病毒防护、安全审计等机制的综合使用,为用户提供可信的软件计算环境。
(3)通信安全ISO发布的ISO7498-2是一个开放互联系统的安全体系结构。
它定义了许多术语和概念,并建立了一些重要的结构性准则。
OSI安全防护体系通过技术管理将安全机制提供的安全服务分别或同时对应到OSI协议层的一层或多层上,为数据、信息内容和通信连接提供机密性、完整性安全服务,为通信实体、通信连接和通信进程提供身份鉴别安全服务。
(4)应用系统安全应用级别的系统千变万化,而且各种新的应用在不断推出,相应地,应用级别的安全也不像通信或计算机系统安全体系那样,容易统一到一些框架结构之下。
对应用而言,将采用一种新的思路,把相关系统分解为若干事务来实现,从而使事务安全成为应用安全的基本组件。
通过实现通用事务的安全协议组件,以及提供特殊事务安全所需要的框架和安全运算支撑,推动在不同应用中采用同样的安全技术。
先进的网络安全技术是安全的根本保证。
用户对自身面临的威胁进行风险评估,决定所需要的安全服务种类,并选择相应的安全机制,再集成先进的安全技术,从而形成一个可信赖的安全系统。
5.2 网络安全管理体系面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。
网络安全管理体系由法律管理、制度管理和培训管理三部分组成。
(1)法律管理法律管理是指根据相关的国家法律、法规对信息系统主体及其与外界的关联行为进行规范和约束。
法律管理具有对信息系统主体行为的强制性约束力,并且有明确的管理层次性。
与安全有关的法律法规是信息系统安全的最高行为准则。
(2)制度管理制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度,主要内容包括安全管理和执行机构的行为规范、岗位设定及其操作规范、岗位人员的素质要求及行为规范、内部关系与外部关系的行为规范等。