第1章 網(wǎng)絡(luò)安全概述

《網(wǎng)絡(luò)與信息安全實(shí)用教程》配套課件網(wǎng)絡(luò)與信息安全網(wǎng)絡(luò)與信息安全課程教學(xué)信息授課專業(yè)授課班級課次授課時間星期節(jié)次授課地點(diǎn)授課教師

課程教學(xué)信息章節(jié)目錄第一章網(wǎng)絡(luò)安全概述第二章操作系統(tǒng)安全配置第三章密碼學(xué)技術(shù)基礎(chǔ)第四章VPN技術(shù)第五章防火墻技術(shù)第六章惡意代碼分析與防范第七章網(wǎng)絡(luò)攻擊與防范第八章入侵檢測技術(shù)第九章應(yīng)用層服務(wù)的安全第十章數(shù)據(jù)庫安全第一章網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述教學(xué)任務(wù):1.掌握信息安全定義2.掌握網(wǎng)絡(luò)安全定義

3.熟悉網(wǎng)絡(luò)安全防護(hù)體系知識目標(biāo)：通過對本章的學(xué)習(xí)，掌握信息安全和網(wǎng)絡(luò)安全的基本概念，初步了理解解網(wǎng)絡(luò)安全的防護(hù)體系、評價(jià)標(biāo)準(zhǔn)和法律法規(guī)能力目標(biāo)：培養(yǎng)對網(wǎng)絡(luò)安全防護(hù)體系的理解能力重點(diǎn)：信息安全、網(wǎng)絡(luò)安全定義難點(diǎn)：網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)成、評價(jià)標(biāo)準(zhǔn)信息安全概述網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全的評價(jià)標(biāo)準(zhǔn)123網(wǎng)絡(luò)安全的法律法規(guī)4本章內(nèi)容生活在今天的人們，常常能聽到關(guān)于黑客的故事。例如：一位少年黑客通過互聯(lián)網(wǎng)闖入美國五角大樓，竊取原子彈核心技術(shù)資料，引起恐慌；一名黑客將美國司法部主頁上的“美國司法部”改成了“美國不公正部”。引例引例最近發(fā)生的具有代表性的黑客事件是2013年2月6日，美聯(lián)儲發(fā)布聲明稱其內(nèi)部網(wǎng)站被入侵。4000余位銀行高管的個人信息被自稱匿名者的黑客竊取并公布在網(wǎng)上。匿名者黑客組織的典型形象如圖1.1所示。引例2013年4月24日，美聯(lián)社的官方推特(Twitter)賬號遭黑客入侵并發(fā)布白宮發(fā)生兩起爆炸、奧巴馬總統(tǒng)受傷的假新聞，這條假消息令美股盤中大幅波動，美股在穩(wěn)定上漲的情況下猛然下挫，道指2分鐘重挫140余點(diǎn)。為什么現(xiàn)在信息安全事故頻發(fā)？思考：1.1信息安全概述信息安全概述幾個概念

1、什么是安全安全是指不受威脅、沒有危險(xiǎn)、危害、損失。人類的整體與生存環(huán)境資源的和諧相處，互相不傷害，不存在危險(xiǎn)、危害的隱患,是免除了不可接受的損害風(fēng)險(xiǎn)的狀態(tài)。在生產(chǎn)過程中，安全是將系統(tǒng)的運(yùn)行狀態(tài)對人類的生命、財(cái)產(chǎn)、環(huán)境可能產(chǎn)生的損害控制在人類能接受水平以下的狀態(tài)。2、什么是信息信息是事物存在方式或運(yùn)動狀態(tài)，對這種方式或狀態(tài)直接或間接的表述信息是為了滿足用戶決策的需要而經(jīng)過加工處理的數(shù)據(jù)。簡單地說，信息是經(jīng)過加工的數(shù)據(jù)，或者說，信息是數(shù)據(jù)處理的結(jié)果。信息安全概述幾個概念

3、信息技術(shù)信息技術(shù)是主要用于管理和處理信息所采用的各種技術(shù)的總稱。它主要是應(yīng)用計(jì)算機(jī)科學(xué)和通信技術(shù)來設(shè)計(jì)、開發(fā)、安裝和實(shí)施信息系統(tǒng)及應(yīng)用軟件。它也常被稱為信息和通信技術(shù)。主要包括傳感技術(shù)、計(jì)算機(jī)技術(shù)和通信技術(shù)。信息安全概述到目前為止，國際上仍沒有一個權(quán)威、公認(rèn)的有關(guān)“信息安全”的標(biāo)準(zhǔn)定義。以下例舉三種常見的定義：定義1：維基百科中，信息安全是指為保護(hù)信息及信息系統(tǒng)免受未經(jīng)授權(quán)的進(jìn)入、使用、披露、破壞、修改、檢視、記錄及銷毀；定義2：美國國家安全電信和信息系統(tǒng)安全委員會（NSTISSC）定義信息安全是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護(hù)，是所采取的相關(guān)政策、認(rèn)識、培訓(xùn)和教育以及技術(shù)等必要手段；信息安全概述定義3：這種定義將信息安全所涉及的內(nèi)容具體化，認(rèn)為信息安全是確保存儲或傳送中的數(shù)據(jù)不被他人有意或無意地竊取和破壞，這種定義將信息安全分解為四個方面，分別是信息設(shè)施及環(huán)境安全、數(shù)據(jù)安全、程序安全以及系統(tǒng)安全。

信息安全與計(jì)算機(jī)安全和信息保障等術(shù)語的區(qū)別？思考：CIA完整性Integrity可用性Availability

保密性Confidentiality信息安全的基本要求信息安全的基本要求信息安全的通俗表述進(jìn)不來、看不懂、改不了、拿不走、賴不掉、可追蹤。信息安全的知識需求：

信息安全學(xué)科涉及數(shù)學(xué)（密碼學(xué)，數(shù)理邏輯）、計(jì)算機(jī)、通信、物理、法律、管理等學(xué)科的專業(yè)知識，屬于一個交叉學(xué)科。信息安全的發(fā)展數(shù)據(jù)安全階段這一階段是計(jì)算機(jī)的基本安全要求，依賴的基本技術(shù)是密碼。例如：DES、RSA、ECC、MD及SHA等。第一個蠕蟲病毒制造者RobertMorris網(wǎng)絡(luò)信息安全階段這是網(wǎng)絡(luò)時代最基本安全要求，依賴的基本技術(shù)是防護(hù)技術(shù)。

例如：安全漏洞掃描器、安全路由器、防火墻、入侵檢測系統(tǒng)（IDS）等。交易安全階段這是網(wǎng)絡(luò)電子交易時代最基本的安全要求，以可信性為主，實(shí)施的是自愿型保障策略。信息保障（IA）依賴于人、技術(shù)及運(yùn)作三者去完成任務(wù)，還需要掌握技術(shù)與信息基礎(chǔ)設(shè)施。要獲得健壯的信息保障狀態(tài)，需要通過組織機(jī)構(gòu)的信息基礎(chǔ)設(shè)施的所有層次的協(xié)議去實(shí)現(xiàn)政策、程序與技術(shù)。1.1信息安全概述1.2網(wǎng)絡(luò)安全概述信息安全與網(wǎng)絡(luò)安全的區(qū)別？網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。信息安全與網(wǎng)絡(luò)安全的區(qū)別？信息安全與網(wǎng)絡(luò)安全的區(qū)別

思考：名稱涵蓋范圍區(qū)別信息安全網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、物理安全和安全管理相關(guān)的策略管理、業(yè)務(wù)管理、人員管理、安全法律法規(guī)等。信息安全更宏觀，包括網(wǎng)絡(luò)安全。信息安全是包括人員、技術(shù)和管理三要素的系統(tǒng)工程。而網(wǎng)絡(luò)安全理偏重于網(wǎng)絡(luò)層面的安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備安全、連接線路安全等網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全模型是動態(tài)網(wǎng)絡(luò)安全過程的抽象描述。為了達(dá)到安全防范的目標(biāo)，需要建立合理的網(wǎng)絡(luò)安全模型。

1.基本模型如何進(jìn)行購物？2.P2DR模型

網(wǎng)絡(luò)安全模型你是怎樣防病毒的？如何進(jìn)行安全生產(chǎn)？3.PDRR模型網(wǎng)絡(luò)安全模型根據(jù)艾瑞咨詢2012年對網(wǎng)民調(diào)研的結(jié)果，越來越多的網(wǎng)民已經(jīng)意識到網(wǎng)絡(luò)安全的重要性，70%的網(wǎng)民對網(wǎng)絡(luò)安全表示擔(dān)心，其中33.3%持非常擔(dān)心態(tài)度，因此，需要構(gòu)建完善的網(wǎng)絡(luò)安全防護(hù)體系。網(wǎng)絡(luò)安全防護(hù)體系通過對網(wǎng)絡(luò)安全模型的了解，可以發(fā)現(xiàn)網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程，它不是一些網(wǎng)絡(luò)安全產(chǎn)品的簡單堆疊，網(wǎng)絡(luò)安全包括了硬件、軟件、網(wǎng)絡(luò)、人以及之間相互關(guān)系和接口等多個組成部分。網(wǎng)絡(luò)安全防護(hù)體系示意圖網(wǎng)絡(luò)安全防護(hù)體系防護(hù)體系的邏輯關(guān)系圖防護(hù)體系環(huán)節(jié)對應(yīng)典型產(chǎn)品評估隱患掃描、安全調(diào)查防護(hù)防火墻、防病毒、系統(tǒng)安全配置檢測入侵檢測恢復(fù)雙機(jī)熱備、還原備份響應(yīng)阻斷、反攻擊安全不是產(chǎn)品，更不是結(jié)果，而是一個過程！安全防護(hù)體系對應(yīng)的典型產(chǎn)品網(wǎng)絡(luò)安全工程實(shí)現(xiàn)模型網(wǎng)絡(luò)安全工程實(shí)現(xiàn)模型訪問控制模型訪問控制模型1、BLP模型

BLP模型給出了下讀上寫的保密性安全規(guī)則，即（1）簡單安全規(guī)則：只有當(dāng)主體的保密身份級別大于等于客體保密級別時（(s)(o)）[為主體或客體的安全級別函數(shù)]，主體s才可讀客體o。(2)*安全規(guī)則：只有當(dāng)主體的保密身份級別小于等于客體的保密級別時（

(s)(o)）,主體s才可寫客體o。

2、BIBA模型BIBA模型給出了上讀下寫的完整性安全規(guī)則，即（1）簡單完整性規(guī)則：只有當(dāng)主體的完整身份級別小于等于客體的完整級別時（(s)(o)）[為主體或客體的完整級別函數(shù)]，主體才可讀客體。（2）*完整性規(guī)則：只有當(dāng)主體完整身份級別大于客體的完整性級別時（(s)(o)），主體才可寫客體。

訪問控制模型RBACRBAC的基本思想是：將訪問權(quán)限分配給角色；通過賦予用戶不同的角色，授予用戶角色所擁有的訪問權(quán)限。RBAC的基本概念：為用戶分配角色，為角色配置權(quán)限，用戶通過其所擔(dān)任的角色獲得相關(guān)的訪問權(quán)限。網(wǎng)絡(luò)安全的社會意義根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第31次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截止2012年12月，中國網(wǎng)民規(guī)模已達(dá)到5.64億，互聯(lián)網(wǎng)普及率攀升至42.1%。

根據(jù)賽門鐵克2013年4月18日發(fā)布的第十八期《互聯(lián)網(wǎng)安全威脅報(bào)告》，2012年針對性攻擊的數(shù)量較上一年激增了42%，100%的被調(diào)查企業(yè)曾出現(xiàn)過數(shù)據(jù)丟失問題，75%的企業(yè)遭受過網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)安全已經(jīng)成為一個關(guān)系國家安全和主權(quán)、社會的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問題。其重要性，正隨著全球信息化步伐的加快而變到越來越重要。1.1信息安全概述1.2網(wǎng)絡(luò)安全概述1.3網(wǎng)絡(luò)安全評價(jià)標(biāo)準(zhǔn)國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與政策現(xiàn)狀國際安全標(biāo)準(zhǔn)的發(fā)展歷程國際性的標(biāo)準(zhǔn)化組織主要包括：國際標(biāo)準(zhǔn)化組織（ISO）、國際電器技術(shù)委員會（IEC）和國際電信聯(lián)盟（ITU）所屬的電信標(biāo)準(zhǔn)化組（ITU-TS）。組安全級別定

義1A1可驗(yàn)證安全設(shè)計(jì)。提供B3級保護(hù)，同時給出系統(tǒng)的形式化隱秘通道分析，非形式化代碼一致性驗(yàn)證2B3安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，提供系統(tǒng)恢復(fù)過程B2結(jié)構(gòu)化安全保護(hù)。建立形式化的安全策略模型，并對系統(tǒng)內(nèi)的所有主體和客體實(shí)施自主訪問和強(qiáng)制訪問控制B1標(biāo)記安全保護(hù)。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，并對標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制3C2受控訪問控制。實(shí)際上是安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)，存取控制以用戶為單位C1只提供了非常初級的自主安全保護(hù)，能實(shí)現(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制，數(shù)據(jù)的保護(hù)以用戶組為單位D最低級別，保護(hù)措施很小，沒有安全功能美國TCSEC桔皮書歐洲ITSEC

不把保密措施直接與計(jì)算機(jī)功能相聯(lián)系，只敘述技術(shù)安全要求，把完整性、可用性與保密性作為同等重要因素。

ITSEC定義了從E0級（不滿足品質(zhì)）到E6級（形式化驗(yàn)證）七個安全等級，對于每個系統(tǒng)，安全功能可分別定義。

ITSEC預(yù)定義了十種功能，其中前五種與桔皮書中的C1～B3級非常相似。CTCPEC和FC加拿大CTCPEC

該標(biāo)準(zhǔn)將安全需求分為四個層次：機(jī)密性、完整性、可靠性和可說明性。

美國聯(lián)邦準(zhǔn)則FC

該標(biāo)準(zhǔn)參照CTCPEC和TCSEC，其目的是提供TCSEC的升級版本，同時保護(hù)已有投資，但FC有很多缺陷，它只是一個過渡標(biāo)準(zhǔn)，后來結(jié)合ITSEC發(fā)展為聯(lián)合公共準(zhǔn)則。

CC和ISO安全體系結(jié)構(gòu)標(biāo)準(zhǔn)聯(lián)合公共準(zhǔn)則CC

CC的目的是想把已有的安全準(zhǔn)則結(jié)合成統(tǒng)一的標(biāo)準(zhǔn)。CC結(jié)合了FC及ITSEC的主要特征，它強(qiáng)調(diào)將安全的功能與保障分離，并將功能需求分為9類63族，將保障分為7類29族。

功能需求：審計(jì)（FAU）、密碼支持（FCS）、通信（FCO）、用戶數(shù)據(jù)保護(hù)（FDP）、識別和鑒權(quán)（FIA）、安全管理（FMT）、隱私（FPR）、TSF保護(hù)（FPT）、資源利用（FRU）、TOE訪問（FTA）和可信路徑/通道（FTP）保障需求：保護(hù)輪廓評估（APE）、安全目標(biāo)評估（ASE）、配置管理（ACM）、交付和運(yùn)行（ADO）、開發(fā)（ADV）、指導(dǎo)性文檔（AGD）、生命周期支持（ALC）、測試（ATE）、脆弱性評估（AVA）和保障維護(hù)（AMA

CC和ISO安全體系結(jié)構(gòu)標(biāo)準(zhǔn)

ISO安全體系結(jié)構(gòu)標(biāo)準(zhǔn)

在安全體系結(jié)構(gòu)方面，ISO制定了國際標(biāo)準(zhǔn)ISO7498-2-1989《信息處理系統(tǒng)-開放系統(tǒng)互聯(lián)-基本模型第2部分：安全體系結(jié)構(gòu)》。它為開放系統(tǒng)互聯(lián)描述了基本參考模型，為協(xié)調(diào)開發(fā)現(xiàn)有的與未來的系統(tǒng)互聯(lián)標(biāo)準(zhǔn)建立了一個框架，其任務(wù)是為安全服務(wù)和安全機(jī)制提供一般的描述。ISO7498-2安全標(biāo)準(zhǔn)ISO7498-2安全標(biāo)準(zhǔn)ISO7498-2安全標(biāo)準(zhǔn)SSE-CMM

由美國國防部支持研究的系統(tǒng)安全工程能力成熟模型（SSE-CMM），定義了系統(tǒng)安全集成過程中的一系列規(guī)范，SSE-CMM模型本身不是安全技術(shù)，但它可指導(dǎo)安全工程經(jīng)歷一個能力成熟的過程，從單一的安全設(shè)備設(shè)置向考慮地解決安全工程的管、組織和設(shè)計(jì)、實(shí)施、驗(yàn)證等問題。BS7799標(biāo)準(zhǔn)最早于1993年由英國貿(mào)易工業(yè)部立項(xiàng)，并于1995年首次出版，經(jīng)過多次修訂，最新的BS7799標(biāo)準(zhǔn)頒布于2005年，其內(nèi)容框架如表1-5所示。安全策略Securitypolicy信息安全組織Organizationofinformationsecurity資產(chǎn)管理Assetmanagement人力資源安全Humanresourcesecurity物理與環(huán)境安全Physicalandenvironmental通信與操作管理Communicationsandoperations信息系統(tǒng)獲取、開發(fā)和維護(hù)Informationsystemsacquisition,developmentandmaintenance訪問控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement業(yè)務(wù)連續(xù)性管理Businesscontinuitymanagement符合性ComplianceBS7799標(biāo)準(zhǔn)國內(nèi)安全標(biāo)準(zhǔn)、政策制定和實(shí)施情況我國一直高度關(guān)注網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)化工作，從20世紀(jì)80年代就開始網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)的研究，現(xiàn)在已正式發(fā)布相關(guān)國家標(biāo)準(zhǔn)60多個。2012年12月28日，全國人大審議通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，首次專門為網(wǎng)絡(luò)信息保護(hù)立法，明確規(guī)定國家保護(hù)能夠識別公民個人身份和涉及公民個人隱私的電子信息，為互聯(lián)網(wǎng)用戶的個人信息保護(hù)奠定了重要基石。目前，制定我國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、政策的機(jī)構(gòu)主要包括：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會以及中國通信標(biāo)準(zhǔn)化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會，這些標(biāo)準(zhǔn)和政策的制定和實(shí)施，為推動網(wǎng)絡(luò)與信息安全技術(shù)在各行業(yè)的應(yīng)用和普及發(fā)揮了積極的作用。國內(nèi)安全標(biāo)準(zhǔn)、政策制定和實(shí)施情況國內(nèi)安全標(biāo)準(zhǔn)、政策制定和實(shí)施情況計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則：

第一級：用戶自主保護(hù)級

第二級：系統(tǒng)審計(jì)保護(hù)級

第三級：安全標(biāo)記保護(hù)級

第四級：結(jié)構(gòu)化保護(hù)級

第五級：訪問驗(yàn)證保護(hù)級國內(nèi)安全標(biāo)準(zhǔn)、政策制定和實(shí)施情況計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則：

第一級：用戶自主保護(hù)級

第二級：系統(tǒng)審計(jì)保護(hù)級

第三級：安全標(biāo)記保護(hù)級

第四級：結(jié)構(gòu)化保護(hù)級

第五級：訪問驗(yàn)證保護(hù)級國內(nèi)安全標(biāo)準(zhǔn)、政策制定和實(shí)施情況計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則：用戶自主保護(hù)級：完全由用戶自己來決定如何對資源進(jìn)行保護(hù)，以及采用何種方式進(jìn)行保護(hù)。系統(tǒng)審計(jì)保護(hù)級：本級的安全保護(hù)機(jī)制受到信息系統(tǒng)等級保護(hù)的指導(dǎo)，支持用戶具有更強(qiáng)的自主保護(hù)能力，特別是具有訪問審計(jì)能力。即能創(chuàng)建、維護(hù)受保護(hù)對象的訪問審計(jì)跟蹤記錄，記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶和事件類型等信息，所有和安全相關(guān)的操作都能夠被記錄下來，以便當(dāng)系統(tǒng)發(fā)生安全問題時，可以根據(jù)審計(jì)記錄，分析追查事故責(zé)任人，使所有的用戶對自己行為的合法性負(fù)責(zé)。國內(nèi)安全標(biāo)準(zhǔn)、政策制定和實(shí)施情況計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則：安全標(biāo)記保護(hù)級：除具有第二級系統(tǒng)審保護(hù)級的所有功能外，還它要求對訪問者和訪問對象實(shí)施強(qiáng)制訪問控制，并能夠進(jìn)行記錄，以便事后的監(jiān)督、審計(jì)。通過對訪問者和訪問對象指定不同安全標(biāo)記，監(jiān)督、限制訪問者的權(quán)限，實(shí)現(xiàn)對訪問對象的強(qiáng)制訪問控制。結(jié)構(gòu)化保護(hù)級：將前三級的安全保護(hù)能力擴(kuò)展到所有訪問者和訪問對象，支持形式化的安全保護(hù)策略。其本身構(gòu)造也是結(jié)構(gòu)化的，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分強(qiáng)制性地直接控制訪問者對訪問對象的存取，使之具有相當(dāng)?shù)目節(jié)B透能力。本級的安全保護(hù)機(jī)制能夠使信息系統(tǒng)實(shí)施一種系統(tǒng)化的安全保護(hù)。國內(nèi)安全標(biāo)準(zhǔn)、政策制定和實(shí)施情況計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則：訪問驗(yàn)證保護(hù)級：這一個級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動，仲裁訪問者能否訪問某些對象從而對訪問對象實(shí)行?？?，保護(hù)信息不能被非授權(quán)獲取。因此，本級的安全保護(hù)機(jī)制不易被攻擊、被篡改，具有極強(qiáng)的抗?jié)B透的保護(hù)能力。1.1信息安全概述1.2網(wǎng)絡(luò)安全概述1.3網(wǎng)絡(luò)安全評價(jià)標(biāo)準(zhǔn)1.4網(wǎng)絡(luò)安全法律法規(guī)世界上第一例有案可查的涉及計(jì)算機(jī)犯罪的案例于1958年發(fā)生在美國的硅谷。

我國第一例涉及計(jì)算機(jī)的犯罪（利用計(jì)算機(jī)貪污）的案例發(fā)生于1986年，而被破獲的第一例純粹的計(jì)算機(jī)犯罪（制造計(jì)算機(jī)病毒案）則是發(fā)生在1996年11月2日。

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，計(jì)算機(jī)在社會中應(yīng)用領(lǐng)域急劇擴(kuò)大，對人類社會生活逐漸滲透，從首例計(jì)算機(jī)犯罪被發(fā)現(xiàn)至今，涉及計(jì)算機(jī)的犯罪無論從犯罪類型還是領(lǐng)域以及發(fā)案率來看都在不斷地增加和擴(kuò)展，逐漸開始由以計(jì)算機(jī)為犯罪工具的犯罪向以計(jì)算機(jī)信息系統(tǒng)為犯罪對象的犯罪發(fā)展。計(jì)算機(jī)犯罪作為一種高智能型犯罪不斷呈現(xiàn)出新態(tài)勢，其造成的損失也相當(dāng)驚人。網(wǎng)絡(luò)安全立法由此可見，法律在解決網(wǎng)絡(luò)安全問題中起著非常重要的作用，它是一種強(qiáng)制性的規(guī)范體系，它是信息網(wǎng)絡(luò)安全的制度保證，它可以有效的對信息網(wǎng)絡(luò)安全技術(shù)和管理人員進(jìn)行約束。法律對信息網(wǎng)絡(luò)安全措施的規(guī)范主要體現(xiàn)在：1、對各種計(jì)算機(jī)網(wǎng)絡(luò)提出相應(yīng)的安全要求；2、對安全技術(shù)標(biāo)準(zhǔn)、安全產(chǎn)品的生產(chǎn)和選擇作出規(guī)定；3、賦予信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)一定的權(quán)利和義務(wù)，規(guī)定違反義務(wù)的應(yīng)當(dāng)承擔(dān)的責(zé)任；將行之有效的信息網(wǎng)絡(luò)安全技術(shù)和安全管理的原則規(guī)范化等。網(wǎng)絡(luò)安全立法網(wǎng)絡(luò)安全的相關(guān)法規(guī)1.國外的相關(guān)法律法規(guī)自1973年瑞典率先在世界上制定第一部含有計(jì)算機(jī)犯罪處罰內(nèi)容的《瑞典國家數(shù)據(jù)保護(hù)法》，迄今已有數(shù)十個國家相繼制定、修改或補(bǔ)充了懲治計(jì)算機(jī)犯罪的法律，這其中既包括已經(jīng)邁入信息社會的美歐日等發(fā)達(dá)國家，也包括正在邁向信息社會的巴西、韓國、馬來西亞等發(fā)展中國家。例如：1998年5月22日，美國政府頒發(fā)了《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令（PDD-63）1998年美國國家安全局（NSA）又制定了《信息保障技術(shù)框架》（IATF），1997年俄羅斯出臺的《俄羅斯國家安全構(gòu)想》，2000年普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》。2.國內(nèi)的相關(guān)法律法規(guī)一般性法律規(guī)定例如，《中華人民共和國人民警察法》第六條第十二款明確規(guī)定，公安機(jī)關(guān)的人民警察依法“履行監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”職責(zé)。規(guī)范和懲罰網(wǎng)絡(luò)犯