網(wǎng)絡(luò)安全基礎(chǔ)PPT完整全套教學(xué)課件

網(wǎng)絡(luò)安全基礎(chǔ)第11章隱私保護(hù)第1章網(wǎng)絡(luò)安全概述第2章網(wǎng)絡(luò)安全法第3章網(wǎng)絡(luò)安全等級保護(hù)第4章網(wǎng)絡(luò)安全管理第5章密碼學(xué)基礎(chǔ)第6章網(wǎng)絡(luò)防攻技術(shù)第7章防火墻第8章IP、VPN與Web安全第9章計(jì)算機(jī)病毒與防范第10章數(shù)字版權(quán)保護(hù)第一章網(wǎng)絡(luò)安全概述本章學(xué)習(xí)要點(diǎn)：1.1網(wǎng)絡(luò)安全的概念1.2網(wǎng)絡(luò)安全的重要性1.3網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題1.1網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的概念1.1.1網(wǎng)絡(luò)信息安全1.1.2網(wǎng)絡(luò)運(yùn)行安全1.1.3網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)安全的概念1.1.1網(wǎng)絡(luò)信息安全概念：

網(wǎng)絡(luò)信息安全是一個廣泛而抽象的概念。所謂網(wǎng)絡(luò)信息安全就是關(guān)注信息本身的安全，而不管是否應(yīng)用了計(jì)算機(jī)作為信息處理的手段。任務(wù)：

保護(hù)信息財(cái)產(chǎn)，以防止偶然的或未授權(quán)者對信息的惡意泄露、修改和破壞，從而導(dǎo)致信息的不可靠或無法處理等。網(wǎng)絡(luò)安全的概念1.1.1網(wǎng)絡(luò)信息安全日常生活中的網(wǎng)絡(luò)安全問題：網(wǎng)上交易釣魚平臺等等廣泛的領(lǐng)域網(wǎng)絡(luò)安全的概念1.1.1網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全可以從兩個層次來看：從消息層次：完整性(Integrity)，即保證消息的來源、去向、內(nèi)容真實(shí)無誤；保密性(Confidentiality)，即保證消息不會被非法泄露擴(kuò)散；不可否認(rèn)性(Nonrepudiation)，也稱為不可抵賴性，即保證消息的發(fā)送和接受者無法否認(rèn)自己所做過的操作行為等。網(wǎng)絡(luò)安全的概念1.1.1網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全可以從兩個層次來看：從網(wǎng)絡(luò)層次：可用性(Availability)，即保證網(wǎng)絡(luò)和信息系統(tǒng)隨時可用，運(yùn)行過程中不出現(xiàn)故障，若遇意外打擊能夠盡量減少損失并盡早恢復(fù)正常；可控性(Controllability)，即對網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。網(wǎng)絡(luò)安全的概念1.1.1網(wǎng)絡(luò)信息安全基礎(chǔ)研究：密碼學(xué)研究：包括數(shù)據(jù)加密、數(shù)字簽名、消息摘要、密鑰管理等網(wǎng)絡(luò)信息安全基礎(chǔ)理論研究：包括身份認(rèn)證、訪問控制、審計(jì)追蹤、安全協(xié)議等網(wǎng)絡(luò)安全的概念1.1.1網(wǎng)絡(luò)信息安全1.1.2網(wǎng)絡(luò)運(yùn)行安全1.1.3網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)安全的概念概念：

網(wǎng)絡(luò)安全運(yùn)行管理系統(tǒng)是為了協(xié)助在信息和網(wǎng)絡(luò)系統(tǒng)整個生命周期中，實(shí)現(xiàn)人、技術(shù)和流程的合理結(jié)合。功能：

在網(wǎng)絡(luò)安全管理體系的PDCA(Plan、Directed、Check、Ameliorate)循環(huán)中，為其計(jì)劃(P)階段提供風(fēng)險(xiǎn)評估和安全策略功能；為執(zhí)行(D)階段提供安全對象風(fēng)險(xiǎn)管理及流程管理功能；為監(jiān)察(C)階段提供系統(tǒng)安全監(jiān)控、事件審計(jì)、殘余風(fēng)險(xiǎn)評估功能；為改進(jìn)(A)階段提供安全事件管理功能。1.1.2網(wǎng)絡(luò)運(yùn)行安全網(wǎng)絡(luò)安全的概念1.1.2網(wǎng)絡(luò)運(yùn)行安全網(wǎng)絡(luò)安全的概念1.1.2網(wǎng)絡(luò)運(yùn)行安全主要功能：安全策略管理：包括安全策略制訂、發(fā)布、存儲、修改及對安全策略的符合性檢查等。安全事件管理：包括安全事件采集、過濾、匯聚、關(guān)聯(lián)分析以及安全事件統(tǒng)計(jì)、分析等。網(wǎng)絡(luò)安全的概念1.1.2網(wǎng)絡(luò)運(yùn)行安全主要功能：安全預(yù)警管理：包括漏洞預(yù)警、病毒預(yù)警、時間預(yù)警以及預(yù)警分發(fā)等。安全對象風(fēng)險(xiǎn)管理：包括安全對象、威脅管理、漏洞管理、安全基線、安全風(fēng)險(xiǎn)管理等。網(wǎng)絡(luò)安全的概念1.1.2網(wǎng)絡(luò)運(yùn)行安全主要功能：流程管理：主要是對各種安全預(yù)警、安全事件、安全風(fēng)險(xiǎn)進(jìn)行反映，工單是流程的一種承載方式，包括產(chǎn)生工單、工單流轉(zhuǎn)及工單處理與經(jīng)驗(yàn)積累等。知識管理：安全工作應(yīng)以安全知識管理為基礎(chǔ)，包括:威脅庫、病毒庫、漏洞庫、安全經(jīng)驗(yàn)等，網(wǎng)絡(luò)安全運(yùn)行管理系統(tǒng)應(yīng)能支持分布式部署，并能實(shí)現(xiàn)分安全域級別進(jìn)行管理。網(wǎng)絡(luò)安全的概念1.1.1網(wǎng)絡(luò)信息安全1.1.2網(wǎng)絡(luò)運(yùn)行安全1.1.3網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)安全的概念概念：

網(wǎng)絡(luò)安全的目標(biāo)主要表現(xiàn)在系統(tǒng)的可用性、可靠性、機(jī)密性、完整性、不可抵賴性及可控性等方面?？捎眯裕菏蔷W(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性?？煽啃裕菏侵妇W(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時間內(nèi)，實(shí)現(xiàn)規(guī)定功能的特性。1.1.3網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)安全的概念機(jī)密性：是網(wǎng)絡(luò)信息不被泄露給非授權(quán)用戶和實(shí)體或供其利用的特性。完整性：是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。1.1.3網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)安全的概念不可抵賴性：是指通信雙方在通信過程中，對自己所發(fā)送或接收的消息不可抵賴，即發(fā)送者不能否認(rèn)其發(fā)送過消息的事實(shí)和消息的內(nèi)容，接收者也不能否認(rèn)其接收到消息的事實(shí)和內(nèi)容?？煽匦裕菏菍W(wǎng)絡(luò)信息的內(nèi)容及其傳播具有控制能力的特性。1.1.3網(wǎng)絡(luò)安全目標(biāo)1.2網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的發(fā)展：網(wǎng)絡(luò)發(fā)展的早期，人們更多地強(qiáng)調(diào)網(wǎng)絡(luò)的方便性和可用性，而忽略了網(wǎng)絡(luò)的安全性。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)克服了地理上的限制，把分布在一個地區(qū)、一個國家，甚至全球的分支機(jī)構(gòu)聯(lián)系起來。網(wǎng)絡(luò)黑客的攻擊、網(wǎng)絡(luò)病毒的泛濫和各種網(wǎng)絡(luò)業(yè)務(wù)的安全要求已經(jīng)構(gòu)成了對網(wǎng)絡(luò)安全的迫切需求。網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全重要的原因：計(jì)算機(jī)存儲和處理的信息也許有關(guān)國家安全的政治、經(jīng)濟(jì)、軍事、國防的情況及一些部門、機(jī)構(gòu)、組織的機(jī)密信息或是個人的敏感信息、隱私，因此成為敵對勢力、不法分子的攻擊目標(biāo)。隨著計(jì)算機(jī)系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來越復(fù)雜，系統(tǒng)規(guī)模越來越大，軟件規(guī)?？涨芭蛎?，任何隱含的缺陷、失誤都能造成巨大損失。網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全重要的原因：人們對計(jì)算機(jī)系統(tǒng)的需求在不斷擴(kuò)大，這類需求在許多方面都是不可逆轉(zhuǎn)，不可替代的，而計(jì)算機(jī)系統(tǒng)使用的場所正在轉(zhuǎn)向比機(jī)房惡劣的各種環(huán)境，出錯率和故障的增多必將導(dǎo)致可靠性和安全性的降低。隨著計(jì)算機(jī)系統(tǒng)的廣泛應(yīng)用，各類應(yīng)用人員隊(duì)伍迅速發(fā)展壯大，教育和培訓(xùn)卻往往跟不上知識更新的需要，相關(guān)人員的失誤或缺乏經(jīng)驗(yàn)都會造成系統(tǒng)的安全功能不足。網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全重要的原因：計(jì)算機(jī)網(wǎng)絡(luò)安全問題涉及許多學(xué)科領(lǐng)域。就計(jì)算機(jī)系統(tǒng)的應(yīng)用而言，安全技術(shù)涉及各種技術(shù)，因此是一個非常復(fù)雜的綜合問題，并且其技術(shù)、方法和措施都要隨著系統(tǒng)應(yīng)用環(huán)境的變化而不斷變化。社會中存在著重應(yīng)用，輕安全、法律意識淡薄的普遍現(xiàn)象。計(jì)算機(jī)系統(tǒng)的安全是相對不安全而言的，許多危險(xiǎn)、隱患和攻擊都是隱蔽的、潛在的、難以明確卻又廣泛存在的。1.3網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題1.3.1網(wǎng)絡(luò)安全漏洞1.3.2醫(yī)療網(wǎng)絡(luò)面臨的安全威脅網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題漏洞的概念：

從廣義上講，漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略以及人為因素上存在的缺陷，從而可以使攻擊者能夠在未經(jīng)系統(tǒng)合法用戶授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞產(chǎn)生的原因：

由于系統(tǒng)設(shè)計(jì)人員、制造人員、檢測人員或管理人員的疏忽或過失而隱藏在系統(tǒng)中的。1.3.1網(wǎng)絡(luò)安全漏洞漏洞的類型：

根據(jù)漏洞的載體(網(wǎng)絡(luò)實(shí)體)類型，漏洞主要分為操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、數(shù)據(jù)庫漏洞和網(wǎng)絡(luò)服務(wù)漏洞等。操作系統(tǒng)漏洞操作系統(tǒng)后門輸入輸出的非法訪問訪問控制的混亂不完全的中介1.3.1網(wǎng)絡(luò)安全漏洞網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題漏洞的類型：網(wǎng)絡(luò)協(xié)議漏洞：TCP/IP的目標(biāo)是保證通信和傳輸。TCP/IP沒有內(nèi)在的控制機(jī)制支持源地址的鑒別，這是TCP/IP存在漏洞的根本原因。數(shù)據(jù)庫漏洞：數(shù)據(jù)庫管理系統(tǒng)(DBMS)作為操作系統(tǒng)的應(yīng)用程序，數(shù)據(jù)庫的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，但并不是有了安全的操作系統(tǒng)，就能絕對保證數(shù)據(jù)庫的安全。1.3.1網(wǎng)絡(luò)安全漏洞網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題漏洞的類型：網(wǎng)絡(luò)服務(wù)漏洞匿名FTP電子郵件域名服務(wù)(DNS)Web服務(wù)1.3.1網(wǎng)絡(luò)安全漏洞網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題1.3.1網(wǎng)絡(luò)安全漏洞1.3.2醫(yī)療網(wǎng)絡(luò)面臨的安全威脅未來長時間內(nèi)醫(yī)療行業(yè)將會面對的六大安全威脅：勒索軟件竊取病人資料內(nèi)部威脅網(wǎng)絡(luò)釣魚加密比特幣劫持入侵物聯(lián)網(wǎng)設(shè)備1.3.2醫(yī)療網(wǎng)絡(luò)面臨的安全威脅網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)和問題網(wǎng)絡(luò)安全基礎(chǔ)第二章網(wǎng)絡(luò)安全法本章學(xué)習(xí)要點(diǎn)：2.1網(wǎng)絡(luò)安全法概述2.2網(wǎng)絡(luò)安全法的基本內(nèi)容2.3網(wǎng)絡(luò)安全法的法律關(guān)系2.1網(wǎng)絡(luò)安全法概述網(wǎng)絡(luò)安全法概述2.1.1網(wǎng)絡(luò)安全立法背景2.1.2立法的必要性2.1.3網(wǎng)絡(luò)安全法的基本原則2.1.4網(wǎng)絡(luò)安全法的重大意義網(wǎng)絡(luò)安全法概述2.1.1網(wǎng)絡(luò)安全立法背景

《網(wǎng)絡(luò)安全法》是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑，是依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律重器，是讓互聯(lián)網(wǎng)在法治軌道上健康運(yùn)行的重要保障。

《網(wǎng)絡(luò)安全法》將近年來一些成熟的好做法制度化，并為將來可能的制度創(chuàng)新做了原則性規(guī)定，為網(wǎng)絡(luò)安全工作提供切實(shí)法律保障。

網(wǎng)絡(luò)安全法概述2.1.1網(wǎng)絡(luò)安全立法背景2.1.2立法的必要性2.1.3網(wǎng)絡(luò)安全法的基本原則2.1.4網(wǎng)絡(luò)安全法的重大意義2.1.2立法的必要性第一，網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊等非法活動嚴(yán)重威脅著能源、電信、交通、金融以及國防軍事、行政管理等重要領(lǐng)域的信息基礎(chǔ)設(shè)施的安全，大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用面臨著更為復(fù)雜的網(wǎng)絡(luò)安全環(huán)境。第二，非法獲取、泄露甚至倒賣公民個人信息，侮辱誹謗他人、侵犯知識產(chǎn)權(quán)等違法活動在網(wǎng)絡(luò)上時有發(fā)生，嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益。網(wǎng)絡(luò)安全法概述2.1.2立法的必要性第三，宣揚(yáng)恐怖主義、極端主義，煽動顛覆國家政權(quán)、推翻社會主義制度，以及淫穢色情等違法信息，借助網(wǎng)絡(luò)傳播、擴(kuò)散，嚴(yán)重危害國家安全和社會公共利益。網(wǎng)絡(luò)安全已成為關(guān)系國家安全和發(fā)展，關(guān)系人民群眾切身利益的重大問題。

網(wǎng)絡(luò)安全法概述網(wǎng)絡(luò)安全法概述2.1.1網(wǎng)絡(luò)安全立法背景2.1.2立法的必要性2.1.3網(wǎng)絡(luò)安全法的基本原則2.1.4網(wǎng)絡(luò)安全法的重大意義網(wǎng)絡(luò)安全法概述2.1.3網(wǎng)絡(luò)安全法的基本原則網(wǎng)絡(luò)空間主權(quán)原則；網(wǎng)絡(luò)安全與信息化發(fā)展并重原則；共同治理原則。網(wǎng)絡(luò)安全法概述2.1.1網(wǎng)絡(luò)安全立法背景2.1.2立法的必要性2.1.3網(wǎng)絡(luò)安全法的基本原則2.1.4網(wǎng)絡(luò)安全法的重大意義網(wǎng)絡(luò)安全法概述2.1.4網(wǎng)絡(luò)安全法的重大意義構(gòu)建我國首部網(wǎng)絡(luò)空間管轄基本法；提供維護(hù)國家網(wǎng)絡(luò)主權(quán)的法律依據(jù)；服務(wù)于國家網(wǎng)絡(luò)安全戰(zhàn)略和網(wǎng)絡(luò)強(qiáng)國建設(shè)；在網(wǎng)絡(luò)空間領(lǐng)域貫徹落實(shí)依法治國精神；成為網(wǎng)絡(luò)參與者普遍遵守的法律準(zhǔn)則和依據(jù)。2.2網(wǎng)絡(luò)安全法的基本內(nèi)容網(wǎng)絡(luò)安全法的基本內(nèi)容2.2.1相關(guān)概念2.2.2法律框架2.2.3懲罰措施2.2.1相關(guān)概念《網(wǎng)絡(luò)安全法》給出了相關(guān)術(shù)語的概念：網(wǎng)絡(luò)：是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)。網(wǎng)絡(luò)安全：是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

網(wǎng)絡(luò)安全法的基本內(nèi)容2.2.1相關(guān)概念《網(wǎng)絡(luò)安全法》給出了相關(guān)術(shù)語的概念：網(wǎng)絡(luò)運(yùn)營者：是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。是網(wǎng)絡(luò)安全法中的關(guān)鍵義務(wù)主體或核心義務(wù)主體。公民個人信息：個人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

網(wǎng)絡(luò)安全法的基本內(nèi)容2.2.1相關(guān)概念《網(wǎng)絡(luò)安全法》給出了相關(guān)術(shù)語的概念：關(guān)鍵信息基礎(chǔ)設(shè)施：國家需要對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。網(wǎng)絡(luò)安全法的基本內(nèi)容2.2.1相關(guān)概念2.2.2法律框架2.2.3懲罰措施網(wǎng)絡(luò)安全法的基本內(nèi)容2.2.2法律框架 《網(wǎng)絡(luò)安全法》全文共七章七十九條，包括：總則、網(wǎng)絡(luò)安全支持與促進(jìn)、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全、監(jiān)測預(yù)警與應(yīng)急處置、法律責(zé)任以及附則。從主體對象角度，可將各條款分為10大類。網(wǎng)絡(luò)安全法的目標(biāo)和范圍國家角度網(wǎng)絡(luò)用戶角度網(wǎng)絡(luò)運(yùn)營者角度關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者角度網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者角度國家網(wǎng)信部門角度有關(guān)部門角度公安部門角度個人信息角度網(wǎng)絡(luò)安全法的基本內(nèi)容2.2.1相關(guān)概念2.2.2法律框架2.2.3懲罰措施網(wǎng)絡(luò)安全法的基本內(nèi)容2.2.3懲罰措施 《網(wǎng)絡(luò)安全法》在第六章規(guī)定了詳盡的法律責(zé)任，大致規(guī)定了14種懲罰手段，分別是約談、斷網(wǎng)、改正、警告、罰款、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證、吊銷營業(yè)執(zhí)照、拘留、職業(yè)禁入、民事責(zé)任、刑事責(zé)任。網(wǎng)絡(luò)安全法的基本內(nèi)容2.3網(wǎng)絡(luò)安全法的法律關(guān)系網(wǎng)絡(luò)安全法的法律關(guān)系2.3.1網(wǎng)絡(luò)安全法與相關(guān)法律部門的關(guān)系2.3.2網(wǎng)絡(luò)安全法律關(guān)系的構(gòu)成要素2.3.1網(wǎng)絡(luò)安全法與相關(guān)法律部門的關(guān)系 《網(wǎng)絡(luò)安全法》是我國第一部網(wǎng)絡(luò)安全領(lǐng)域的法律，也是我國第一部保障網(wǎng)絡(luò)安全的基本法?！毒W(wǎng)絡(luò)安全法》與現(xiàn)有《國家安全法》、《保密法》、《反恐怖主義法》、《反間諜法》、《刑法修正案(九)》、《治安管理處罰法》《電子簽名法》等屬同等地位的法律。網(wǎng)絡(luò)安全法的法律關(guān)系2.3.1網(wǎng)絡(luò)安全法與相關(guān)法律部門的關(guān)系2.3.2網(wǎng)絡(luò)安全法律關(guān)系的構(gòu)成要素網(wǎng)絡(luò)安全法的法律關(guān)系2.3.2網(wǎng)絡(luò)安全法律關(guān)系的構(gòu)成要素

網(wǎng)絡(luò)安全法律的構(gòu)成要素是網(wǎng)絡(luò)安全法律關(guān)系的主體、網(wǎng)絡(luò)安全法律關(guān)系的客體、網(wǎng)絡(luò)安全法律關(guān)系的內(nèi)容。三個構(gòu)成要素共同構(gòu)成網(wǎng)絡(luò)安全法律關(guān)系，缺一不可。網(wǎng)絡(luò)安全法的法律關(guān)系網(wǎng)絡(luò)安全基礎(chǔ)第三章網(wǎng)絡(luò)安全等級保護(hù)本章學(xué)習(xí)要點(diǎn)：3.1體系標(biāo)準(zhǔn)3.2網(wǎng)絡(luò)安全等級保護(hù)的基本內(nèi)容3.3網(wǎng)絡(luò)安全等級保護(hù)的實(shí)施3.4做好等級保護(hù)2.0時代醫(yī)療行業(yè)網(wǎng)絡(luò)安全3.1體系標(biāo)準(zhǔn)3.1.1等級保護(hù)1.0標(biāo)準(zhǔn)體系3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化3.1.2等級保護(hù)2.0標(biāo)準(zhǔn)體系3.1.4主要標(biāo)準(zhǔn)的框架體系標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)3.1.1等級保護(hù)1.0標(biāo)準(zhǔn)體系概念：

2007年，《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)文件的正式發(fā)布標(biāo)志著等級保護(hù)1.0的正式啟動。等級保護(hù)1.0規(guī)定了等級保護(hù)需要完成的“規(guī)定動作”，即定級備案、建設(shè)整改、等級測評和監(jiān)督檢查。

3.1.1等級保護(hù)1.0標(biāo)準(zhǔn)體系等級保護(hù)1.0時期的主要標(biāo)準(zhǔn)如下：信息安全等級保護(hù)管理辦法(43號文件)；計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB17859-1999)；信息系統(tǒng)安全等級保護(hù)實(shí)施指南(GB/T25058-2008)；信息系統(tǒng)安全保護(hù)等級定級指南(GB/T22240-2008)；信息系統(tǒng)安全等級保護(hù)基本要求(GB/T22239-2008)；信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求(GB/T25070-2010)；信息系統(tǒng)安全等級保護(hù)測評要求(GB/T28448-2012)；信息系統(tǒng)安全等級保護(hù)測評過程指南(GB/T28449-2012)。

體系標(biāo)準(zhǔn)3.1.1等級保護(hù)1.0標(biāo)準(zhǔn)體系3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化3.1.2等級保護(hù)2.0標(biāo)準(zhǔn)體系3.1.4主要標(biāo)準(zhǔn)的框架體系標(biāo)準(zhǔn)3.1.2等級保護(hù)2.0標(biāo)準(zhǔn)體系概念：

隨著信息技術(shù)的發(fā)展，等級保護(hù)對象已經(jīng)從狹義的信息系統(tǒng)，擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等，基于新技術(shù)和新手段提出新的分等級的技術(shù)防護(hù)機(jī)制和完善的管理手段是等保2.0標(biāo)準(zhǔn)必須考慮的內(nèi)容。

體系標(biāo)準(zhǔn)等級保護(hù)2.0時期的主要標(biāo)準(zhǔn)如下：網(wǎng)絡(luò)安全等級保護(hù)條例；計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB17859-1999)；網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南(GB/T25058-2019)；網(wǎng)絡(luò)安全等級保護(hù)定級指南(GB/T22240-2020)；網(wǎng)絡(luò)安全等級保護(hù)基本要求(GB/T22239-2019)；網(wǎng)絡(luò)安全等級保護(hù)設(shè)計(jì)技術(shù)要求(GB/T25070-2019)；網(wǎng)絡(luò)安全等級保護(hù)測評要求(GB/T28448-2019)；網(wǎng)絡(luò)安全等級保護(hù)測評過程指南(GB/T28449-2018)。

3.1.2等級保護(hù)2.0標(biāo)準(zhǔn)體系體系標(biāo)準(zhǔn)關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)體系框架如下：關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例(征求意見稿)；關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求(征求意見稿)；關(guān)鍵信息基礎(chǔ)設(shè)施安全控制要求(征求意見稿)；關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評估方法(征求意見稿)。

3.1.2等級保護(hù)2.0標(biāo)準(zhǔn)體系體系標(biāo)準(zhǔn)3.1.1等級保護(hù)1.0標(biāo)準(zhǔn)體系3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化3.1.2等級保護(hù)2.0標(biāo)準(zhǔn)體系3.1.4主要標(biāo)準(zhǔn)的框架體系標(biāo)準(zhǔn)支撐網(wǎng)絡(luò)安全等級保護(hù)2.0的新標(biāo)準(zhǔn)具有如下3個特點(diǎn)：等保2.0標(biāo)準(zhǔn)在等保1.0標(biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行了優(yōu)化，同時針對云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)及大數(shù)據(jù)等新技術(shù)和新應(yīng)用領(lǐng)域提出新要求，形成了安全通用要求+新應(yīng)用安全擴(kuò)展要求構(gòu)成的標(biāo)準(zhǔn)要求內(nèi)容。等保2.0標(biāo)準(zhǔn)統(tǒng)一了標(biāo)準(zhǔn)架構(gòu)，采用了“一個中心，三重防護(hù)”的防護(hù)理念和分類結(jié)構(gòu)，強(qiáng)化了建立縱深防御和精細(xì)防御體系的思想。

3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化體系標(biāo)準(zhǔn)支撐網(wǎng)絡(luò)安全等級保護(hù)2.0的新標(biāo)準(zhǔn)具有如下3個特點(diǎn)：等保2.0標(biāo)準(zhǔn)強(qiáng)化了密碼技術(shù)和可信計(jì)算技術(shù)的使用，把可信驗(yàn)證列入各個級別并逐級提出各個環(huán)節(jié)的主要可信驗(yàn)證要求，強(qiáng)調(diào)通過密碼技術(shù)、可信驗(yàn)證、安全審計(jì)和態(tài)勢感知等建立主動防御體系的期望。3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化體系標(biāo)準(zhǔn)新標(biāo)準(zhǔn)的主要變化為以下4個方面：為適應(yīng)網(wǎng)絡(luò)安全法，配合落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度，標(biāo)準(zhǔn)的名稱由原來的《信息系統(tǒng)安全等級保護(hù)基本要求》改為《網(wǎng)絡(luò)安全等級保護(hù)基本要求》。等級保護(hù)對象由原來的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)(含采用移動互聯(lián)技術(shù)的系統(tǒng))、云計(jì)算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化體系標(biāo)準(zhǔn)新標(biāo)準(zhǔn)的主要變化為以下4個方面：將原來各個級別的安全要求分為安全通用要求和安全擴(kuò)展要求，其中安全擴(kuò)展要求包括云計(jì)算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求以及工業(yè)控制系統(tǒng)安全擴(kuò)展要求。安全通用要求是不管等級保護(hù)對象形態(tài)如何必須滿足的要求。3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化體系標(biāo)準(zhǔn)新標(biāo)準(zhǔn)的主要變化為以下4個方面：原來基本要求中各級技術(shù)要求的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全和備份與恢復(fù)修訂為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心。各級管理要求的安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理修訂為安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理。3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化體系標(biāo)準(zhǔn)新標(biāo)準(zhǔn)的主要變化為以下4個方面：取消了原來安全控制點(diǎn)的S、A、G標(biāo)注，增加一個附錄A“關(guān)于安全通用要求和安全擴(kuò)展要求的選擇和使用”，描述等級保護(hù)對象的定級結(jié)果和安全要求之間的關(guān)系，說明如何根據(jù)定級的S、A結(jié)果選擇安全要求的相關(guān)條款，簡化了標(biāo)準(zhǔn)正文部分的內(nèi)容。增加附錄C描述等級保護(hù)安全框架和關(guān)鍵技術(shù)、增加附錄D描述云計(jì)算應(yīng)用場景、附錄E描述移動互聯(lián)應(yīng)用場景、附錄F描述物聯(lián)網(wǎng)應(yīng)用場景、附錄G描述工業(yè)控制系統(tǒng)應(yīng)用場景、附錄H描述大數(shù)據(jù)應(yīng)用場景。3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化體系標(biāo)準(zhǔn)3.1.1等級保護(hù)1.0標(biāo)準(zhǔn)體系3.1.3標(biāo)準(zhǔn)體系的主要特點(diǎn)和變化3.1.2等級保護(hù)2.0標(biāo)準(zhǔn)體系3.1.4主要標(biāo)準(zhǔn)的框架體系標(biāo)準(zhǔn)安全通用要求的框架結(jié)構(gòu)：3.1.4主要標(biāo)準(zhǔn)的框架體系標(biāo)準(zhǔn)安全通用要求的框架結(jié)構(gòu)：等保2.0標(biāo)準(zhǔn)在等保1.0標(biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行了優(yōu)化，同時針對云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)及大數(shù)據(jù)等新技術(shù)和新應(yīng)用領(lǐng)域提出新要求，形成了安全通用要求+新應(yīng)用安全擴(kuò)展要求構(gòu)成的標(biāo)準(zhǔn)要求內(nèi)容。等保2.0標(biāo)準(zhǔn)統(tǒng)一了標(biāo)準(zhǔn)架構(gòu)，采用了“一個中心，三重防護(hù)”的防護(hù)理念和分類結(jié)構(gòu)，強(qiáng)化了建立縱深防御和精細(xì)防御體系的思想。

3.1.4主要標(biāo)準(zhǔn)的框架體系標(biāo)準(zhǔn)3.2主要標(biāo)準(zhǔn)的框架主要標(biāo)準(zhǔn)的框架3.2.1五個安全保護(hù)等級3.2.2安全通用要求3.2.1五個安全保護(hù)等級網(wǎng)絡(luò)安全等級保護(hù)的概念：

網(wǎng)絡(luò)安全等級保護(hù)是指對單位內(nèi)的秘密信息和專有信息以及可以公開的信息進(jìn)行分級保護(hù)，對信息系統(tǒng)中的防火墻進(jìn)行分級設(shè)置，對產(chǎn)生的網(wǎng)絡(luò)安全事件建立不同的響應(yīng)機(jī)制。這種保護(hù)制度共分為五個級別：自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)、?？乇Ｗo(hù)。

主要標(biāo)準(zhǔn)的框架3.2.1五個安全保護(hù)等級等級保護(hù)對象的概念：

等級保護(hù)對象是指網(wǎng)絡(luò)安全等級保護(hù)工作中的對象，通常是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)(IoT)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。

主要標(biāo)準(zhǔn)的框架3.2.1五個安全保護(hù)等級等級保護(hù)對象的分級：

等級保護(hù)對象根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個安全保護(hù)等級。主要標(biāo)準(zhǔn)的框架3.2.1五個安全保護(hù)等級等級保護(hù)對象的概念：

根據(jù)等級保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級分為以下五級。主要標(biāo)準(zhǔn)的框架3.2.1五個安全保護(hù)等級3.2.2安全通用要求主要標(biāo)準(zhǔn)的框架3.2.2安全通用要求概念：

安全通用要求針對共性化保護(hù)需求提出，無論等級保護(hù)對象以何種形式出現(xiàn)，需要根據(jù)安全保護(hù)等級實(shí)現(xiàn)相應(yīng)級別的安全通用要求。

主要標(biāo)準(zhǔn)的框架安全通用要求：3.2.2安全通用要求主要標(biāo)準(zhǔn)的框架安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理3.3網(wǎng)絡(luò)安全等級的實(shí)施網(wǎng)絡(luò)安全等級的實(shí)施3.3.1實(shí)施等級保護(hù)的基本原則3.3.2角色和職責(zé)3.3.3實(shí)施基本流程3.3.1實(shí)施等級保護(hù)的基本原則安全等級保護(hù)實(shí)施過程中應(yīng)遵循以下基本原則：自主保護(hù)原則：等級保護(hù)對象運(yùn)營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定等級保護(hù)對象的安全保護(hù)等級，自行組織實(shí)施安全保護(hù)。重點(diǎn)保護(hù)原則：根據(jù)等級保護(hù)對象的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級的等級保護(hù)對象，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的等級保護(hù)對象。網(wǎng)絡(luò)安全等級的實(shí)施3.3.1實(shí)施等級保護(hù)的基本原則安全等級保護(hù)實(shí)施過程中應(yīng)遵循以下基本原則：同步建設(shè)原則：等級保護(hù)對象在新建、改建、擴(kuò)建時應(yīng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)網(wǎng)絡(luò)安全設(shè)施，保障網(wǎng)絡(luò)安全與信息化建設(shè)相適應(yīng)。動態(tài)調(diào)整原則：應(yīng)跟蹤定級對象的變化情況，調(diào)整安全保護(hù)措施。由于定級對象的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級需要變更的，應(yīng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定定級對象的安全保護(hù)等級，根據(jù)其安全保護(hù)等級的調(diào)整情況，重新實(shí)施安全保護(hù)。網(wǎng)絡(luò)安全等級的實(shí)施3.3.2角色和職責(zé)等級保護(hù)對象實(shí)施網(wǎng)絡(luò)安全等級保護(hù)過程中涉及的各類角色和職責(zé)如下：網(wǎng)絡(luò)安全等級的實(shí)施等級保護(hù)管理部門主管部門運(yùn)營、使用單位網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)安全等級測評機(jī)構(gòu)網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商3.3.1實(shí)施等級保護(hù)的基本原則安全等級保護(hù)工作實(shí)施的基本流程：

對等級保護(hù)對象實(shí)施等級保護(hù)的基本流程包括等級保護(hù)對象定級與備案階段、總體安全規(guī)劃階段、安全設(shè)計(jì)與實(shí)施階段、安全運(yùn)行與維護(hù)階段和定級對象終止階段。網(wǎng)絡(luò)安全等級的實(shí)施3.4做好等保2.0時代醫(yī)療行業(yè)網(wǎng)絡(luò)安全

等保2.0時代在等保1.0的基礎(chǔ)上增加了云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)的安全合規(guī)要求。近年來，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動互聯(lián)等新興技術(shù)不斷與傳統(tǒng)醫(yī)療業(yè)務(wù)深化融合，為醫(yī)療服務(wù)提供便利的同時也引入新的安全風(fēng)險(xiǎn)。原國家食品藥品管理總局已經(jīng)發(fā)布《醫(yī)療器械網(wǎng)絡(luò)安全的注冊技術(shù)審查指導(dǎo)原則》并于2018年1月1日實(shí)施，該指導(dǎo)原則目的是醫(yī)療器械全生命周期過程中保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全，從而保證其安全性和有效性。做好等保2.0時代醫(yī)療行業(yè)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全基礎(chǔ)第四章網(wǎng)絡(luò)安全管理本章學(xué)習(xí)要點(diǎn)：4.1網(wǎng)絡(luò)安全管理體系4.2網(wǎng)絡(luò)安全建設(shè)管理4.3網(wǎng)絡(luò)安全運(yùn)維管理4.4網(wǎng)絡(luò)安全應(yīng)急管理 4.1網(wǎng)絡(luò)安全管理體系網(wǎng)絡(luò)安全管理體系4.1.1安全管理策略4.1.2信息安全模型概念：安全管理策略是制定的降低信息安全風(fēng)險(xiǎn)的計(jì)劃。上到國家層面，下到某個具體組織，都應(yīng)該制定恰當(dāng)?shù)陌踩芾聿呗?，來指?dǎo)信息安全保護(hù)，解決信息安全問題。隨著世界科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，特別是我國國民經(jīng)濟(jì)和社會信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息安全已經(jīng)成為國家安全的重要組成部分。4.1.1安全管理策略網(wǎng)絡(luò)安全管理體系概念：近年來，在黨中央、國務(wù)院的領(lǐng)導(dǎo)下，我國信息安全保障工作取得了明顯成效，建設(shè)了一批信息安全基礎(chǔ)設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容安全管理，為維護(hù)國家安全與社會穩(wěn)定、保障和促進(jìn)信息化建設(shè)健康發(fā)展發(fā)揮了重要作用。4.1.1安全管理策略網(wǎng)絡(luò)安全管理體系網(wǎng)絡(luò)安全管理體系4.1.1安全管理策略4.1.2信息安全模型PDR模型概念：源自美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的自適應(yīng)網(wǎng)絡(luò)安全模型ANSM（AdaptiveNetworkSecurityModel），是一個可量化、可數(shù)學(xué)證明、基于時間的安全模型PDR代表的分別是：Protection（防護(hù)）、Detection（檢測）、Response（響應(yīng)）。4.1.2信息安全模型-PDR網(wǎng)絡(luò)安全管理體系PDR模型理論的基本思想：信息安全相關(guān)的所有活動，無論是攻擊行為、防護(hù)行為、檢測行為還是響應(yīng)行為都要消耗時間，因而可以用時間尺度來衡量一個體系的能力和安全性。要實(shí)現(xiàn)安全，必須讓防護(hù)時間（Pt）大于檢測時間（Dt）加上響應(yīng)時間（Rt）。Pt：攻擊成功所需時間被稱作安全體系能夠提供的防護(hù)時間；Dt：在攻擊發(fā)生的同時，檢測系統(tǒng)發(fā)揮作用，攻擊行為被檢測出來需要的時間；Rt：檢測到攻擊之后，系統(tǒng)會作出應(yīng)有的響應(yīng)動作，所需時間被稱作響應(yīng)時間。網(wǎng)絡(luò)安全管理體系4.1.2信息安全模型-PDRPDR模型作用：在這一模型的推動下，以及漏洞掃描、入侵檢測（IDS）等產(chǎn)品廠商的宣傳下，不少企業(yè)意識到信息系統(tǒng)安全性問題，并且也開始慢慢接受了信息安全這一只有投入沒有產(chǎn)出的職能作為公司不可缺少的一部分。此階段是殺毒軟件、防火墻等網(wǎng)絡(luò)防護(hù)工具以及備份軟件和磁帶機(jī)大力發(fā)展的時代。網(wǎng)絡(luò)安全管理體系4.1.2信息安全模型-PDRPPDR模型概念：PPDR模型由四個主要部分組成：策略（Policy）、防護(hù)（Protection）、檢測（Detection）和響應(yīng)（Response）。PPDR模型是在整體的安全策略的控制和指導(dǎo)下，綜合運(yùn)用防護(hù)工具（如防火墻、身份認(rèn)證、加密等）的同時，利用檢測工具（如漏洞評估入侵檢測系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻憫?yīng)將系統(tǒng)調(diào)整到一個比較安全的狀態(tài)。防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)。網(wǎng)絡(luò)安全管理體系4.1.2信息安全模型-PPDR4.2網(wǎng)絡(luò)安全建設(shè)管理網(wǎng)絡(luò)安全建設(shè)管理4.2.1風(fēng)險(xiǎn)評估4.2.2系統(tǒng)獲取、開發(fā)和維護(hù)管理概念：信息系統(tǒng)的安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的影響。信息系統(tǒng)安全風(fēng)險(xiǎn)評估，則是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價過程。4.2.1風(fēng)險(xiǎn)評估網(wǎng)絡(luò)安全建設(shè)管理信息系統(tǒng)風(fēng)險(xiǎn)評估相關(guān)要素：4.2.1風(fēng)險(xiǎn)評估網(wǎng)絡(luò)安全建設(shè)管理資產(chǎn)威脅脆弱性風(fēng)險(xiǎn)可能性影響安全措施殘余風(fēng)險(xiǎn)可接受風(fēng)險(xiǎn)風(fēng)險(xiǎn)評估流程：4.2.1風(fēng)險(xiǎn)評估網(wǎng)絡(luò)安全建設(shè)管理資產(chǎn)評估威脅評估脆弱性評估安全措施識別風(fēng)險(xiǎn)識別風(fēng)險(xiǎn)等級的劃分及定義：4.2.1風(fēng)險(xiǎn)評估網(wǎng)絡(luò)安全建設(shè)管理網(wǎng)絡(luò)安全建設(shè)管理4.2.1風(fēng)險(xiǎn)評估4.2.2系統(tǒng)獲取、開發(fā)和維護(hù)管理信息系統(tǒng)的安全要求：信息系統(tǒng)安全管理強(qiáng)調(diào)按照“三同步”原則進(jìn)行，即同步設(shè)計(jì)、同步建設(shè)、同步運(yùn)行。信息安全要求的識別可以通過綜合多個方面的要求來達(dá)到，包括要求符合政策和法規(guī)進(jìn)行威脅建模、事件評審或利用脆弱性閾值來評估等。4.2.2系統(tǒng)獲取、開發(fā)和維護(hù)管理網(wǎng)絡(luò)安全建設(shè)管理開發(fā)和支持過程中的安全性：

部門和組織應(yīng)該確保信息系統(tǒng)開發(fā)的生命周期中設(shè)計(jì)和實(shí)施的信息安全。安全開發(fā)的策略開發(fā)環(huán)境的安全。軟件開發(fā)生命周期中的安全指南：軟件開發(fā)方法的安全。每種使用的編程語言的安全編碼指南。4.2.2系統(tǒng)獲取、開發(fā)和維護(hù)管理網(wǎng)絡(luò)安全建設(shè)管理開發(fā)和支持過程中的安全性：安全開發(fā)的策略設(shè)計(jì)階段的安全要求。項(xiàng)目里程碑內(nèi)的安全檢查點(diǎn)。安全資料庫。安全的版本控制措施。所需的應(yīng)用程序的安全知識。開發(fā)人員避免、發(fā)現(xiàn)和修復(fù)漏洞的能力。4.2.2系統(tǒng)獲取、開發(fā)和維護(hù)管理網(wǎng)絡(luò)安全建設(shè)管理開發(fā)和支持過程中的安全性：系統(tǒng)變更控制管理

應(yīng)將正式的變更控制規(guī)程文件化，并強(qiáng)制實(shí)施，以確保從最初設(shè)計(jì)至后續(xù)維護(hù)中系統(tǒng)應(yīng)用和產(chǎn)品的整體性。

引入新系統(tǒng)和對已有系統(tǒng)進(jìn)行大的變更可以按照從文件、規(guī)范、測試、質(zhì)量控制到實(shí)施管理這個正式的過程進(jìn)行。這個過程包括風(fēng)險(xiǎn)評估、變更影響分析和所需的安全控制措施規(guī)范。4.2.2系統(tǒng)獲取、開發(fā)和維護(hù)管理網(wǎng)絡(luò)安全建設(shè)管理開發(fā)和支持過程中的安全性：系統(tǒng)安全測試和驗(yàn)收測試應(yīng)在開發(fā)過程中開展安全功能測試。應(yīng)對新的信息系統(tǒng)、升級的信息系統(tǒng)和新版本的信息系統(tǒng)建立驗(yàn)收測試程序和相關(guān)標(biāo)準(zhǔn)。

系統(tǒng)驗(yàn)收測試應(yīng)包括信息安全要求測試和遵守安全系統(tǒng)開發(fā)實(shí)踐測試。4.2.2系統(tǒng)獲取、開發(fā)和維護(hù)管理網(wǎng)絡(luò)安全建設(shè)管理4.3網(wǎng)絡(luò)安全運(yùn)維管理網(wǎng)絡(luò)安全運(yùn)維管理4.3.1安全管理組織4.3.2人員安全管理信息安全管理組織架構(gòu)和職能：信息安全管理是實(shí)施系統(tǒng)安全，進(jìn)行安全管理的必要保證。內(nèi)部信息安全管理組織包括：4.3.1安全管理組織網(wǎng)絡(luò)安全運(yùn)維管理安全審查和決策機(jī)構(gòu)安全主管機(jī)構(gòu)安全運(yùn)行維護(hù)機(jī)構(gòu)安全審計(jì)機(jī)構(gòu)安全培訓(xùn)機(jī)構(gòu)安全人員外部信息安全管理組織包括：國家職能監(jiān)管機(jī)構(gòu)外部合作組織專家顧問組信息安全外部協(xié)調(diào)：國家職能監(jiān)管機(jī)構(gòu)；公共基礎(chǔ)設(shè)施；外部合作組織和專家顧問。信息安全管理人員責(zé)任：信息安全管理組織的每個人員都有自身的安全責(zé)任。但通常有一些關(guān)鍵崗位與信息安全關(guān)系密切，如信息安全主管、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、應(yīng)用開發(fā)管理員、安全管理員等4.3.1安全管理組織網(wǎng)絡(luò)安全運(yùn)維管理網(wǎng)絡(luò)安全運(yùn)維管理4.3.1安全管理組織4.3.2人員安全管理錄用管理：

根據(jù)我國信息安全等級保護(hù)要求和IOS/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》，人員安全管理是信息安全管理中的一個重要方面，安全審查是人員錄用管理的重要環(huán)節(jié)。4.3.2人員安全管理網(wǎng)絡(luò)安全運(yùn)維管理在崗管理：崗位設(shè)置：組織應(yīng)合理地設(shè)立分權(quán)崗位，建立包括物理的和邏輯的系統(tǒng)訪問權(quán)限管理制度，根據(jù)人員職責(zé)分配不同的訪問權(quán)限。安全保密管理：所有進(jìn)入網(wǎng)絡(luò)和信息系統(tǒng)工作的人員，必須簽訂保密協(xié)議，承諾其對網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)盡的安全保密義務(wù)，保證在崗工作期間和離崗后的一定時期內(nèi)，均不違反保密協(xié)議，不泄漏系統(tǒng)秘密。4.3.2人員安全管理網(wǎng)絡(luò)安全運(yùn)維管理在崗管理：安全教育與培訓(xùn)：安全教育與培訓(xùn)是人員安全管理的重要內(nèi)容，通過持續(xù)有效的安全教育，培訓(xùn)和考核提高相關(guān)人員的安全能力和專業(yè)技能。崗位安全考核：人員安全管理部門要定期對網(wǎng)絡(luò)和信息系統(tǒng)所有的工作人員從思想政治和業(yè)務(wù)表現(xiàn)兩方面進(jìn)行考核。4.3.2人員安全管理網(wǎng)絡(luò)安全運(yùn)維管理離崗管理：

組織應(yīng)該建立技術(shù)人員離崗的安全管理制度，在人員離崗的同時收回鑰匙、移交工作更換系統(tǒng)口令、撤銷賬號，并向離崗人員重新申明其保密義務(wù)。4.3.2人員安全管理網(wǎng)絡(luò)安全運(yùn)維管理4.4網(wǎng)絡(luò)安全應(yīng)急管理網(wǎng)絡(luò)安全應(yīng)急管理4.4.1網(wǎng)絡(luò)安全通報(bào)預(yù)警和應(yīng)急處置4.4.2應(yīng)急預(yù)案管理網(wǎng)絡(luò)與信息安全信息通報(bào)預(yù)警機(jī)制：在網(wǎng)絡(luò)安全防護(hù)工作中，社會公眾在了解網(wǎng)絡(luò)安全事件或威脅的基本情況，判斷嚴(yán)重程度方面存在困難，對網(wǎng)絡(luò)安全事件或威脅缺乏科學(xué)評估；另一方面，重要信息系統(tǒng)運(yùn)營使用單位、網(wǎng)絡(luò)安全企業(yè)和科研機(jī)構(gòu)多僅從技術(shù)層面判斷網(wǎng)絡(luò)安全事件和威脅的影響。針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，需要提前或及時發(fā)出安全警示4.4.1網(wǎng)絡(luò)安全通報(bào)預(yù)警和應(yīng)急處置網(wǎng)絡(luò)安全應(yīng)急管理網(wǎng)絡(luò)安全預(yù)警分級：由網(wǎng)絡(luò)安全保護(hù)對象重要程度與網(wǎng)絡(luò)安全保護(hù)對象可能受到損害的程度確定的網(wǎng)絡(luò)安全預(yù)警級別：4.4.1網(wǎng)絡(luò)安全通報(bào)預(yù)警和應(yīng)急處置網(wǎng)絡(luò)安全應(yīng)急管理網(wǎng)絡(luò)安全保護(hù)對象的重要程度網(wǎng)絡(luò)安全保護(hù)對象可能受到損害的程度特別嚴(yán)重嚴(yán)重較大一般特別重要紅色預(yù)警（I級）橙色預(yù)警（II級）黃色預(yù)警（III級）黃色預(yù)警（III級）重要橙色預(yù)警（II級）黃色預(yù)警（III級）黃色預(yù)警（III級）藍(lán)色預(yù)警（IV級）一般黃色預(yù)警（III級）黃色預(yù)警（III級）藍(lán)色預(yù)警（IV級）藍(lán)色預(yù)警（IV級）網(wǎng)絡(luò)安全預(yù)警分級：預(yù)警過程：預(yù)警的發(fā)布預(yù)警的響應(yīng)與處置預(yù)警的升級或降級預(yù)警的解除4.4.1網(wǎng)絡(luò)安全通報(bào)預(yù)警和應(yīng)急處置網(wǎng)絡(luò)安全應(yīng)急管理應(yīng)急處置：

公安機(jī)關(guān)重點(diǎn)指導(dǎo)本地關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的運(yùn)營者制定、完善網(wǎng)絡(luò)安全事件應(yīng)急處置預(yù)案，定期開展應(yīng)急演練，完善內(nèi)部應(yīng)急處置機(jī)制，并依托網(wǎng)絡(luò)安全等級保護(hù)工作和信息通報(bào)機(jī)制，健全完善與相關(guān)單位的網(wǎng)絡(luò)安全事件通報(bào)、報(bào)告制度。4.4.1網(wǎng)絡(luò)安全通報(bào)預(yù)警和應(yīng)急處置網(wǎng)絡(luò)安全應(yīng)急管理網(wǎng)絡(luò)安全應(yīng)急管理4.4.1網(wǎng)絡(luò)安全通報(bào)預(yù)警和應(yīng)急處置4.4.2應(yīng)急預(yù)案管理網(wǎng)絡(luò)安全預(yù)警分級：為了減少信息安全事件對組織和業(yè)務(wù)的影響，應(yīng)制訂有效的信息安全應(yīng)急響應(yīng)計(jì)劃，并形成預(yù)案。應(yīng)急預(yù)案管理方面，我國有GBT24363-2009《信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》。信息安全應(yīng)急響應(yīng)計(jì)劃的制訂是一個周而復(fù)始、持續(xù)改進(jìn)的過程。該計(jì)劃包括應(yīng)急預(yù)案編制；應(yīng)急預(yù)案的測試、培訓(xùn)和演練；應(yīng)急的處置；應(yīng)急預(yù)案的管理和維護(hù)。4.4.2應(yīng)急預(yù)案管理網(wǎng)絡(luò)安全應(yīng)急管理網(wǎng)絡(luò)安全基礎(chǔ)第五章密碼學(xué)基礎(chǔ)本章學(xué)習(xí)要點(diǎn)：5.1密碼學(xué)概述5.2對稱密碼體制5.3非對稱密碼5.4數(shù)字簽名與數(shù)字證書5.5數(shù)據(jù)完整性認(rèn)證5.6國產(chǎn)密碼算法5.7其他新型密碼技術(shù)5.1密碼學(xué)概述5.1.1密碼學(xué)簡介5.1.2密碼學(xué)的基本術(shù)語5.1.3加密算法分類密碼學(xué)概述概念：密碼學(xué)起源于保密通信技術(shù)，是結(jié)合數(shù)學(xué)、計(jì)算機(jī)、信息論等學(xué)科的一門綜合性、交叉性學(xué)科。密碼學(xué)包括密碼編碼學(xué)（Cryptography）和密碼分析學(xué)（Cryptanalysis）兩部分，這兩部分相互對立，但也相互促進(jìn)，相輔相成。密碼編碼學(xué)研究的是通過編碼技術(shù)來改變被保護(hù)信息的形式，實(shí)現(xiàn)對信息的隱藏。密碼分析學(xué)研究的是如何攻破一個密碼系統(tǒng)，恢復(fù)被隱藏起來的信息的本來面目。5.1.1密碼學(xué)簡介密碼學(xué)概述5.1.1密碼學(xué)簡介5.1.2密碼學(xué)的基本術(shù)語5.1.3加密算法分類密碼學(xué)概述信息加密與解密的過程：5.1.2密碼學(xué)的基本術(shù)語密碼學(xué)概述加密：把信息從一個可理解的明文形式變換成一個錯亂的、不可理解的密文形式的過程。解密：將密文還原為明文的過程。明文：原來的信息（報(bào)文）、消息。密文：經(jīng)過加密后得到的信息。密鑰：是在加密或解密時算法的參數(shù)。加密和解密都需要使用密鑰。加密算法：也叫加密函數(shù)，是用于加密和解密的數(shù)學(xué)函數(shù)。一般情況下，加密函數(shù)由兩個相關(guān)的函數(shù)組成，一個用于加密，一個用于解密。加密系統(tǒng)：加密和解密的信息處理系統(tǒng)。加密過程：通過某種算法并使用密鑰來完成的信息變換。相關(guān)術(shù)語密碼學(xué)概述5.1.1密碼學(xué)簡介5.1.2密碼學(xué)的基本術(shù)語5.1.3加密算法分類密碼學(xué)概述按照密鑰是否相同或類似：加密算法可以分為對稱密鑰密碼體制（也稱為單鑰密碼體制）和非對稱密鑰密碼體制（也稱為雙鑰密碼體制）兩類。按照加密模式的不同：加密算法可以分為序列密碼（也稱為流密碼）和分組密碼兩大類。序列密碼：是每次加密1位或1字節(jié)的明文；分組密碼：是將明文分成固定長度的組，用同一密鑰和算法對每一組加密，輸出也是固定長度的密文。5.1.3加密算法分類密碼學(xué)概述5.2對稱密碼體制對稱密碼體制5.2.43DES算法5.2.5AES算法5.2.6RC4算法5.2.1對稱密碼的基本原理5.2.2對稱加密算法概述5.2.3DES算法概念：對稱密碼體制又稱為常規(guī)密鑰密碼體制、單鑰密碼體制、秘密密鑰密碼體制或私有密鑰密碼體制。使用單一的密鑰加密和解密信息，即加密密鑰與解密密鑰是相同或相似的。對稱加密算法是為了解密純文本而設(shè)計(jì)的，這就要求對于密鑰的嚴(yán)格保密，如果攻擊者想要解密信息，只要獲得密鑰即可。5.2.1對稱密碼的基本原理對稱密碼體制特點(diǎn)：對稱密碼體制加密和解密處理效率高，密鑰長度相對較短，一般情況下加密后密文和明文長度相同。但是為了對密鑰進(jìn)行嚴(yán)格保密，需要安全通道分發(fā)密鑰，當(dāng)保密通信的用戶數(shù)量多時密鑰量難于管理、難以解決不可否認(rèn)性。對稱密碼體制：5.2.1對稱密碼的基本原理對稱密碼體制5.2.43DES算法5.2.5AES算法5.2.6RC4算法5.2.1對稱密碼的基本原理5.2.2對稱加密算法概述5.2.3DES算法對稱密碼體制對稱加密算法主要有以下兩種模式：流加密：對明文的每一個數(shù)位（如比特或字符）進(jìn)行逐一加密。加密后的輸出會在加密周期內(nèi)有所變化。流密碼一般分為同步流密碼和自同步流密碼兩種。RC4是一種最常見的同步流密碼體制。分組加密：分組加密也稱為塊加密，是將明文分成固定比特的數(shù)據(jù)塊，再以“塊”為單位進(jìn)行加密，加密后的輸出在加密周期內(nèi)不會發(fā)生變化。最常見的分組加密算法包括DES、3DES和AES。5.2.2對稱加密算法概述對稱密碼體制對稱加密算法兩種模式的特點(diǎn)：

流密碼和塊密碼都有各自的優(yōu)缺點(diǎn)。當(dāng)明文較短時，流密碼運(yùn)行很快；但若明文較長時，流密碼運(yùn)行時間則較長。此外，流密碼容易被攻擊，而塊密碼則認(rèn)為更安全。5.2.2對稱加密算法概述對稱密碼體制5.2.43DES算法5.2.5AES算法5.2.6RC4算法5.2.1對稱密碼的基本原理5.2.3DES算法5.2.2對稱加密算法概述對稱密碼體制DES算法描述：簡介 DES算法是典型16輪的Feistel型結(jié)構(gòu)密碼。DES算法的分組長度64比特，它所使用的密鑰也是64比特，密鑰中有8比特為奇偶校驗(yàn)位。因此，有效密鑰長度只有56比特。5.2.3DES算法DES加密算法主要思想：對稱密碼體制DES算法安全性： DES算法加密解密速度快，適用于加密大量數(shù)據(jù)的場合。但由于DES算法是公開的，且其加密與解密的密鑰一樣，因此其保密性主要取決于密鑰的保密。但是DES算法的密鑰較短，只有56位，即密鑰有256種可能的取值。隨著現(xiàn)代計(jì)算機(jī)水平的提高，若用性能較高的電腦進(jìn)行搜索，則預(yù)期的搜尋時間最快可為21分鐘。5.2.3DES算法對稱密碼體制5.2.43DES算法5.2.5AES算法5.2.6RC4算法5.2.1對稱密碼的基本原理5.2.2對稱加密算法概述5.2.3DES算法對稱密碼體制來源： DES不安全的主要原因?yàn)槊荑€較短，針對該問題，為了防止密鑰被暴力破解，三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)（TripleDES，3DES）被開發(fā)出來。主要思想3DES使用三個密鑰，密鑰總長度為168比特，是DES的三倍，為同一數(shù)據(jù)塊進(jìn)行了兩次加密和一次解密計(jì)算。3DES是最為推薦的DES加密環(huán)境的替代品。5.2.43DES算法對稱密碼體制加密過程： 3DES的加密過程可以描述為“加密—>解密—>加密”。第一步是使用第一個密鑰k1對明文執(zhí)行DES加密；第二步利用第二個密鑰K2對第一步的加密結(jié)果進(jìn)行解密；第三步利用第三個密鑰K3對第二步的結(jié)果進(jìn)行DES加密，得到最終的密文。5.2.43DES算法對稱密碼體制5.2.5AES算法5.2.6RC4算法5.2.1對稱密碼的基本原理5.2.2對稱加密算法概述5.2.3DES算法5.2.43DES算法對稱密碼體制AES密碼概述：AES使用可變的數(shù)據(jù)塊長度（如128、192或256比特）和密鑰長度（128、192或256比特）。與DES一樣，AES是一種迭代分組密碼，使用了多輪置換和替換操作，且操作是可逆的。但與DES不同的是，AES算法不是Feistel密碼結(jié)構(gòu)。5.2.5AES算法對稱密碼體制5.2.6RC4算法5.2.1對稱密碼的基本原理5.2.2對稱加密算法概述5.2.3DES算法5.2.43DES算法5.2.5AES算法對稱密碼體制簡介： RC4是RonRivest在1987年為RSASecurity公司設(shè)計(jì)的流密碼，是一種對稱加密算法。但不同于DES算法的是，RC4不是對明文進(jìn)行分組處理，而是字節(jié)流的方式依次加密明文或解密明文中的每一個字節(jié)。特點(diǎn)： RC4算法的特點(diǎn)是算法簡單，運(yùn)行速度快，而且密鑰長度是可變的，可變范圍為1-256字節(jié)(8-2048比特)。5.2.6RC4算法體系標(biāo)準(zhǔn)RC4算法非常簡單，也很容易理解。關(guān)鍵變量如下：密鑰流：RC4算法的關(guān)鍵是根據(jù)明文和密鑰生成相應(yīng)的密鑰流，密鑰流的長度和明文的長度是對應(yīng)的，也就是說明文的長度是500字節(jié)，那么密鑰流也是500字節(jié)。當(dāng)然，加密生成的密文也是500字節(jié)；狀態(tài)向量S：長度為256，S[0],S[1].....S[255]，每個單元都是一個字節(jié)。算法運(yùn)行的任何時候，S都包括0-255的8比特?cái)?shù)的排列組合，只不過值的位置發(fā)生了變換；5.2.6RC4算法對稱密碼體制RC4算法非常簡單，也很容易理解。關(guān)鍵變量如下：臨時向量T：長度也為256，每個單元也是一個字節(jié)。密鑰K：長度為1-256字節(jié)，注意密鑰的長度keylen與明文長度、密鑰流的長度沒有必然關(guān)系，通常密鑰的長度取為16字節(jié)（128比特）。5.2.6RC4算法對稱密碼體制主要步驟：初始化狀態(tài)向量S。S的元素設(shè)為0~255的升序值。創(chuàng)建臨時向量T。對狀態(tài)向量S進(jìn)行置換操作。密鑰流的產(chǎn)生。加密或解密：使用密鑰流K與明文進(jìn)行異或操作則得到密文；將密鑰流與密文異或則能解密獲得原文。5.2.6RC4算法對稱密碼體制5.3非對稱密碼非對稱密碼體制即使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。該密碼體制也稱為公鑰密碼體制。公鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€方面的原因，一是由于對稱密鑰密碼體制的密鑰分配問題，另一是由于對數(shù)字簽名的需求。非對稱密碼5.3.1公鑰密碼的基本原理5.3.2RSA算法5.3.3對稱密碼體制與非對稱密碼體制對比非對稱密碼公鑰與私鑰：在非對稱密碼體制中，密鑰被分解為一對，即公開密鑰（PublicKey，簡稱公鑰）和私有密鑰（PrivateKey，簡稱私鑰）。公開密鑰作為加密密鑰，通過非保密的方式向他人公開；而另外一把作為私有密鑰（或稱為專用密鑰）用來解密密文；這兩種合在一起成為密鑰對。5.3.1公鑰密碼的基本原理非對稱密碼舉例：

如果用戶A想要給用戶B發(fā)送一個數(shù)據(jù)，用戶A會先找到用戶B所擁有的私鑰SKB對應(yīng)的一個公開密鑰PKB，然后使用PKB對明文P加密生成密文C，并發(fā)送到網(wǎng)絡(luò)中傳輸。用戶B收到密文C后，通過自己的密鑰SKB對密文C進(jìn)行解密，恢復(fù)明文P。由于只有用戶B持有SKB，所有其他用戶即使截獲該密文，也無法將其讀懂，從而保證了通信的保密。5.3.1公鑰密碼的基本原理非對稱密碼非對稱密碼體制使用場景：通信保密：這種方式可用于公共網(wǎng)絡(luò)的保密通信。消息認(rèn)證：該方式可用于數(shù)字簽名。密鑰交換：通信雙方交換會話密鑰，以加密通信雙方后續(xù)連續(xù)所傳輸?shù)男畔ⅰ?.3.1公鑰密碼的基本原理非對稱密碼非對稱密碼算法特點(diǎn)：用公開密鑰（PK）對明文P加密后得到密文C，再用私有密鑰（SK）對密文C進(jìn)行解密，可恢復(fù)出明文P；加密密鑰不能用來解密，即，。公鑰與私鑰一一對應(yīng)，即用SK加密的信息只能用PK解密，而用PK加密的信息只能用SK解密。從已知的PK無法推導(dǎo)出SK。加密和解密的原酸可以對調(diào)，即EPK（DSK（P））=ESK（DPK（P））=P。5.3.1公鑰密碼的基本原理非對稱密碼5.3.1公鑰密碼的基本原理5.3.2RSA算法5.3.3對稱密碼體制與非對稱密碼體制對比非對稱密碼簡介：

非對稱密碼系統(tǒng)最經(jīng)典的例子是由麻省理工學(xué)院的RomRivest，AdiShamir和LenAdleman開發(fā)的RSA系統(tǒng)。該方法基于“大數(shù)分解和素?cái)?shù)檢測”的數(shù)論理論基礎(chǔ)上。5.3.2RSA算法非對稱密碼5.3.1公鑰密碼的基本原理5.3.2RSA算法5.3.3對稱密碼體制與非對稱密碼體制對比非對稱密碼對稱密碼體制加密、解密速度快，缺點(diǎn)是需要安全通道分發(fā)密鑰、保密通信的用戶數(shù)量多時密鑰量難于管理、難以解決不可否認(rèn)性等問題。非對稱密碼體制解決了對稱密碼體制的固有缺陷，密鑰的分發(fā)和管理很簡單。不僅保障信息的機(jī)密性，還可以對信息進(jìn)行數(shù)字簽名，具有認(rèn)證行和抗否認(rèn)性的功能。其缺點(diǎn)是一般都是基于尖端的數(shù)學(xué)難題，因此計(jì)算較復(fù)雜，因此加密和解密的效率低。在達(dá)到相同安全強(qiáng)度時，非對稱密鑰通常所需要的密鑰位數(shù)較多，并且加密產(chǎn)生的密文長度通常會大于明文長度。5.3.3對稱密碼體制與非對稱密碼體制對比非對稱密碼5.4數(shù)字簽名與數(shù)字證書數(shù)字簽名的概念：

數(shù)字簽名就是通過密碼技術(shù)對電子文檔形成的簽名，主要將公鑰密碼體制（非對稱密碼體制）應(yīng)用于數(shù)字簽名。數(shù)字簽名必須滿足以下幾點(diǎn)要求：接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名；發(fā)送者事后不能抵賴對報(bào)文的簽名；接收者不能偽造對報(bào)文的簽名；接受者不能對發(fā)送者的報(bào)文進(jìn)行部分篡改。網(wǎng)絡(luò)中的其他用戶不能冒充成為報(bào)文的接收者或發(fā)送者。數(shù)字簽名與數(shù)字證書數(shù)字證書的簡介：

數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)識通信各方身份信息的一串很長的數(shù)學(xué)編碼，提供了一種在Internet上驗(yàn)證身份的方式，相當(dāng)于個人、單位或公司在Internet上的身份證。

數(shù)字證書一般是由CA認(rèn)證中心簽發(fā)，證書申請者獲得CA認(rèn)證中心簽發(fā)的證書后即成為證書主體。數(shù)字證書主要包括證書所有者的信息、證書所有者的公開密鑰和證書頒發(fā)機(jī)構(gòu)的簽名及證書有效期等內(nèi)容。數(shù)字簽名與數(shù)字證書5.5數(shù)據(jù)完整性認(rèn)證數(shù)據(jù)完整性認(rèn)證簡介：

目前，對于動態(tài)傳輸?shù)男畔?，許多協(xié)議確保信息完整性的方法大多是收錯重傳、丟棄后續(xù)包的辦法，但黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容，所以應(yīng)采取有效的措施來進(jìn)行完整性控制。報(bào)文鑒別校驗(yàn)和加密校驗(yàn)和消息完整性編碼MIC(MessageIntegrityCode)數(shù)據(jù)完整性認(rèn)證5.6國產(chǎn)密碼算法國家密碼算法簡介：國密即國家密碼局認(rèn)定的國產(chǎn)密碼算法，即商用密碼。商用密碼，是指能夠?qū)崿F(xiàn)商用密碼算法的加密、解密和認(rèn)證等功能的技術(shù)。商用密碼技術(shù)是商用密碼的核心，國家將商用密碼技術(shù)列入國家秘密，任何單位和個人都有責(zé)任和義務(wù)保護(hù)商用密碼技術(shù)的秘密。國家密碼算法各種算法：為了保障商用密碼安全，國家商用密碼管理辦公室制定了一系列密碼標(biāo)準(zhǔn)，包括SSF33、SM1（SCB2）、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法等等。發(fā)展：為進(jìn)一步擴(kuò)大我國密碼技術(shù)、產(chǎn)品的影響力，增強(qiáng)我國密碼技術(shù)國際競爭力，提升國際話語權(quán)，在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會和密碼行業(yè)標(biāo)準(zhǔn)技術(shù)委員會等相關(guān)單位的大力推動下，我國在密碼算法標(biāo)準(zhǔn)國際化進(jìn)程中也取得重要進(jìn)展。國家密碼算法5.7其他新型密碼技術(shù)隨著科學(xué)技術(shù)與密碼學(xué)的發(fā)展，誕生了一系列新的密碼技術(shù)包括：量子加密技術(shù)：是以量子不可克隆和量子糾纏定理為基礎(chǔ)，利用光子的相位特性編碼。混沌加密技術(shù)：利用混沌的偽隨機(jī)性和相對初始條件的確定性，可以把信息信號經(jīng)過混沌信號處理后發(fā)出，在接收端用混沌同步方法將信息提取出來。其他新型密碼技術(shù)隨著科學(xué)技術(shù)與密碼學(xué)的發(fā)展，誕生了一系列新的密碼技術(shù)包括：格密碼：是一類備受關(guān)注的抗量子計(jì)算攻擊的公鑰密碼體制。DNA密碼技術(shù)：是新生的密碼技術(shù)，是傳統(tǒng)密碼技術(shù)的潛在替代途徑之一，其特點(diǎn)是以DNA為信息載體，以現(xiàn)代生物學(xué)技術(shù)為實(shí)現(xiàn)工具，挖掘DNA固有的高存儲密度、高并行性等優(yōu)點(diǎn)，實(shí)現(xiàn)加密、認(rèn)證、簽名等密碼學(xué)功能。其他新型密碼技術(shù)網(wǎng)絡(luò)安全基礎(chǔ)第六章網(wǎng)絡(luò)攻防技術(shù)本章學(xué)習(xí)要點(diǎn)：6.1網(wǎng)絡(luò)攻擊概述6.2常見網(wǎng)絡(luò)攻防方法6.3網(wǎng)絡(luò)安全掃描系6.4網(wǎng)絡(luò)監(jiān)聽6.1網(wǎng)絡(luò)攻擊概述背景隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)給我們的生活帶來了極大的便利，我們的日常生活也與網(wǎng)絡(luò)緊密聯(lián)系在了一起。而人們享受計(jì)算機(jī)網(wǎng)絡(luò)帶來的便利的同時，也要面臨網(wǎng)絡(luò)攻擊帶來的網(wǎng)絡(luò)安全問題。概念：網(wǎng)絡(luò)攻擊（Cyberattack）也稱為網(wǎng)絡(luò)入侵（networkintrusion），指的是網(wǎng)絡(luò)系統(tǒng)內(nèi)部發(fā)生的任何違反安全策略的事件，這些事件可能來自于系統(tǒng)內(nèi)部也可能是外部，可能是故意也可能是無意偶發(fā)。網(wǎng)絡(luò)攻擊概述靈活的攻擊方法：從攻擊的目的來看：拒絕服務(wù)攻擊（Dos/DDos）、獲取系統(tǒng)權(quán)限的攻擊、獲取敏感信息的攻擊；從攻擊的切入點(diǎn)來看，有緩沖區(qū)溢出攻擊、系統(tǒng)設(shè)置漏洞的攻擊等；從攻擊的縱向?qū)嵤┻^程來看，有獲取初級權(quán)限攻擊、提升最高權(quán)限攻擊、后門攻擊、跳板攻擊等。從攻擊的實(shí)施對象來看分為對各種操作系統(tǒng)的攻擊、對網(wǎng)絡(luò)設(shè)備的攻擊、對特定應(yīng)用系統(tǒng)的攻擊等。按照攻擊者與被攻擊者的物理位置關(guān)系分為物理攻擊(localattack)、主動攻擊(server-sideattack)、被動攻擊(client-sideattack)和中間人攻擊(man-in-middleattack)。網(wǎng)絡(luò)攻擊概述通常，一個完整的、有預(yù)謀的網(wǎng)絡(luò)攻擊主要包括以下幾個步驟：信息收集：其主要任務(wù)與目的是盡可能多的收集目標(biāo)的相關(guān)信息，為后續(xù)的“精確”攻擊打下基礎(chǔ)。權(quán)限獲?。浩渲饕蝿?wù)與目的是獲取目標(biāo)系統(tǒng)的讀、寫、執(zhí)行等權(quán)限。安裝后門：其主要任務(wù)與目的是在目標(biāo)系統(tǒng)中安裝后門程序，以更加方便、更加隱蔽的方式對目標(biāo)系統(tǒng)進(jìn)行操控。擴(kuò)大影響：其主要任務(wù)與目的是以目標(biāo)系統(tǒng)為“跳板”，對目標(biāo)所屬網(wǎng)絡(luò)的其他主機(jī)進(jìn)行攻擊，最大程度的擴(kuò)大攻擊的影響。消除痕跡：其主要任務(wù)與目的是清除攻擊的痕跡，以盡可能長久的對目標(biāo)進(jìn)行控制，并防止被識別、追蹤。網(wǎng)絡(luò)攻擊概述6.2常見網(wǎng)絡(luò)攻防方法常見的網(wǎng)絡(luò)攻擊方法主要有以下幾種：網(wǎng)絡(luò)掃描：使用網(wǎng)絡(luò)掃描軟件對特定目標(biāo)進(jìn)行各種試探性通信，以獲取目標(biāo)信息的行為。口令攻擊：口令的獲取主要分為三種方法：弱口令掃描，是最簡單的口令攻擊方法，入侵者通過掃描大量主機(jī)，從中找出一兩個存在弱口令的主機(jī)。簡單口令猜解，很多用戶使用自己或家人的名字、生日等作為口令，攻擊者可以通過猜想可以很容易破解密碼。暴力破解，嘗試所有字符的組合方式，獲取密碼只是時間問題?？诹畋O(jiān)聽，即通過嗅探器軟件來監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包從而得到用戶口令。社會工程學(xué)，即通過欺詐手段或人際關(guān)系獲取密碼。常見網(wǎng)絡(luò)攻防方法常見的網(wǎng)絡(luò)攻擊方法主要有以下幾種：特洛伊木馬程序：特洛伊木馬程序是指寄宿在計(jì)算機(jī)里的一種非授權(quán)的遠(yuǎn)程控制程序，可以直接入侵用戶的電腦并進(jìn)行破壞。WWW的欺騙技術(shù)：在網(wǎng)上用戶可以利用IE等瀏覽器進(jìn)行各種各樣的WEB站點(diǎn)的訪問，如購物、瀏覽新聞等。拒絕服務(wù)攻擊：攻擊者可以通過某種手段，有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者使用服務(wù)質(zhì)量降低。常見網(wǎng)絡(luò)攻防方法常見的網(wǎng)絡(luò)攻擊方法主要有以下幾種：電子郵件攻擊：電子郵件攻擊主要表現(xiàn)兩種方式：電子郵件轟炸和電子郵件“滾雪球”，即通常所說的郵件炸彈。電子郵件欺騙。攻擊者偽裝成系統(tǒng)管理員，使用與系統(tǒng)管理員完全相同的郵件地址，給用戶發(fā)送需要修改口令的郵件，或者在郵件附件中添加病毒或者木馬程序等。通過一個節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)：為了隱蔽攻擊者的入侵路徑，避免留下蛛絲馬跡，攻擊者往往在突破一臺主機(jī)后，以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)。常見網(wǎng)絡(luò)攻防方法常見的網(wǎng)絡(luò)攻擊方法主要有以下幾種：網(wǎng)絡(luò)監(jiān)聽：網(wǎng)絡(luò)監(jiān)聽也稱為網(wǎng)絡(luò)嗅探，是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接受方是誰。尋找系統(tǒng)漏洞：許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs），其中某些是操作系統(tǒng)或應(yīng)用軟件本身具有的；還有一些漏洞是由于系統(tǒng)管理員配置錯誤引起的。偷取特權(quán)：利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導(dǎo)致緩沖區(qū)溢出的程序進(jìn)行攻擊。常見網(wǎng)絡(luò)攻防方法6.3網(wǎng)絡(luò)安全掃描概念：網(wǎng)絡(luò)安全掃描作為一種安全評估工具，是系統(tǒng)管理員保障系統(tǒng)安全的有效工具。但網(wǎng)絡(luò)安全也是一把雙刃劍，網(wǎng)絡(luò)入侵者同樣可以利用網(wǎng)絡(luò)漏洞掃描收集信息。網(wǎng)絡(luò)安全掃描即采用模擬黑客攻擊技術(shù)來測試主機(jī)或網(wǎng)絡(luò)的安全性，它檢測主機(jī)當(dāng)前可用的服務(wù)及其開放端口，查找可能被遠(yuǎn)程試圖惡意訪問者攻擊的大量眾所周知的漏洞、隱患及安全脆弱點(diǎn)。網(wǎng)絡(luò)安全掃描主要功能：是掃描目標(biāo)主機(jī)識別其工作狀態(tài)，如處于開機(jī)還是關(guān)機(jī)狀態(tài)；識別目標(biāo)主機(jī)端口的狀態(tài)；識別目標(biāo)主機(jī)系統(tǒng)及服務(wù)程序的類型和版本；根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點(diǎn)；生成掃描結(jié)果報(bào)告。根據(jù)掃描方式的不通過，可以把安全掃描的主要技術(shù)分為四大類：主機(jī)掃描技術(shù)：目的是確定在目標(biāo)網(wǎng)絡(luò)上主機(jī)是否可達(dá)，這是收集信息的初始階段，其效果直接影響到后續(xù)的掃描。端口掃描技術(shù)：就是通過連接目標(biāo)系統(tǒng)的TCP或UDP端口，來確定哪些端口開放，哪些服務(wù)正在運(yùn)行。網(wǎng)絡(luò)安全掃描根據(jù)掃描方式的不通過，可以把安全掃描的主要技術(shù)分為四大類：操作系統(tǒng)探測掃描技術(shù)：操作系統(tǒng)探測也是網(wǎng)絡(luò)安全掃描中的一個重要組成部分，它是網(wǎng)絡(luò)攻防研究的重點(diǎn)內(nèi)容之一。漏洞掃描技術(shù)：漏洞掃描技術(shù)是建立在端口掃描技術(shù)基礎(chǔ)之上的。漏洞掃描技術(shù)主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：漏洞庫匹配。插件技術(shù)。網(wǎng)絡(luò)安全掃描6.4網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽6.4.1網(wǎng)絡(luò)監(jiān)聽的技術(shù)和原理6.4.2網(wǎng)絡(luò)監(jiān)聽的防范措施共享式局域網(wǎng)和交換式局域網(wǎng)下網(wǎng)絡(luò)監(jiān)聽的主要工作原理：共享式局域網(wǎng)下的網(wǎng)絡(luò)監(jiān)聽：共享式局域網(wǎng)采用的是廣播信道，局域網(wǎng)內(nèi)的每一臺主機(jī)所發(fā)出的幀都會被全網(wǎng)內(nèi)所有主機(jī)接收。一般網(wǎng)卡具有四種工作模式：廣播模式（BroadCastModel）、多播模式（MultiCastModel）、直接模式（DirectModel）和混雜模式（PromiscuousModel）。6.4.1網(wǎng)絡(luò)監(jiān)聽的技術(shù)和原理網(wǎng)絡(luò)監(jiān)聽共享式局域網(wǎng)和交換式局域網(wǎng)下網(wǎng)絡(luò)監(jiān)聽的主要工作原理：交換式局域網(wǎng)下的網(wǎng)絡(luò)監(jiān)聽：共享式局域網(wǎng)主要的網(wǎng)絡(luò)設(shè)備是是集線器，也就是hub，主要工作在物理層。與共享式局域網(wǎng)不同，交換式局域網(wǎng)主要的網(wǎng)絡(luò)設(shè)備是交換機(jī)，主要工作在數(shù)據(jù)鏈路層。6.4.1網(wǎng)絡(luò)監(jiān)聽的技術(shù)和原理網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽6.4.1網(wǎng)絡(luò)監(jiān)聽的技術(shù)和原理6.4.2網(wǎng)絡(luò)監(jiān)聽的防范措施針對網(wǎng)絡(luò)監(jiān)聽也存在一些相應(yīng)的防范措施，以保證網(wǎng)絡(luò)或數(shù)據(jù)的安全：從邏輯或物理上對網(wǎng)絡(luò)分段：網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。以交換式集線器代替共享式集線器：對局域網(wǎng)的中心交換機(jī)進(jìn)行分段后，局域網(wǎng)監(jiān)聽的危險(xiǎn)仍然存在。6.4.2網(wǎng)絡(luò)監(jiān)聽的防范措施網(wǎng)絡(luò)監(jiān)聽針對網(wǎng)絡(luò)監(jiān)聽也存在一些相應(yīng)的防范措施，以保證網(wǎng)絡(luò)或數(shù)據(jù)的安全：使用，加密技術(shù)：數(shù)據(jù)經(jīng)過加密后，通過監(jiān)聽仍然可以得到信息的傳送，但顯示的是亂碼。使用加密技術(shù)的缺點(diǎn)是影響數(shù)據(jù)傳輸速度以及對加密技術(shù)要求較高。劃分虛擬局域網(wǎng)（VLAN）：運(yùn)用VLAN技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。其他的防范手段還包括使用靜態(tài)ARP表，取消局域網(wǎng)對MAC地址、ARP協(xié)議的依賴，而采用基本IP地址的交換。共享式局域網(wǎng)下的可通過偽造數(shù)據(jù)包進(jìn)行主動防范。6.4.2網(wǎng)絡(luò)監(jiān)聽的防范措施網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)安全基礎(chǔ)第七章防火墻本章學(xué)習(xí)要點(diǎn)：7.1防火墻基礎(chǔ)7.2

防火墻安全配置實(shí)例7.3入侵檢測技術(shù)7.4入侵防御技術(shù)7.5入侵誘騙技術(shù)7.1防火墻基礎(chǔ)防火墻基礎(chǔ)7.1.1防火墻的定義7.1.2防火墻的功能7.1.3防火墻的分類7.1.4防火墻的部署7.1.5防火墻的優(yōu)缺點(diǎn)7.1.6防火墻的發(fā)展方向防火墻基礎(chǔ)7.1.1防火墻的定義定義：防火墻原意是指，在商用和民用建筑結(jié)構(gòu)中，防止火災(zāi)從建筑物的一部分蔓延到另一部分的混凝土或石墻。網(wǎng)絡(luò)防火墻是指由硬件設(shè)備與軟件系統(tǒng)共同構(gòu)成的，位于外網(wǎng)與內(nèi)網(wǎng)之間、公共網(wǎng)與專用網(wǎng)之間的保護(hù)屏障。簡而言之，防火墻技術(shù)是基于網(wǎng)絡(luò)的訪問控制技術(shù)，可以阻止大多數(shù)的網(wǎng)絡(luò)攻擊。防火墻基礎(chǔ)7.1.1防火墻的定義防火墻必須具有以下特性：(1)防火墻本身不受各種攻擊的影響；(2)所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻；(3)所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)與授權(quán)；(4)利用防火墻能保護(hù)站點(diǎn)不被任意連接;(5)人機(jī)界面良好，用戶配置使用方便，易管理。防火墻基礎(chǔ)7.1.1防火墻的定義7.1.2防火墻的功能7.1.3防火墻的分類7.1.4防火墻的部署7.1.5防火墻的優(yōu)缺點(diǎn)7.1.6防火墻的發(fā)展方向防火墻基礎(chǔ)7.1.2防火墻的功能不同種類的防火墻都應(yīng)具有以下具有六大基本功能：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)監(jiān)視網(wǎng)絡(luò)安全性并報(bào)警增強(qiáng)保密性集中安全性防火墻基礎(chǔ)7.1.1防火墻的定義7.1.2防火墻的功能7.1.3防火墻的分類7.1.4防火墻的部署7.1.5防火墻的優(yōu)缺點(diǎn)7.1.6防火墻的發(fā)展方向防火墻基礎(chǔ)7.1.3防火墻的分類

目前，常見的防火墻包括網(wǎng)關(guān)和過濾式防火墻，兩種不同的防火墻技術(shù)有著各自的特點(diǎn)和優(yōu)勢，在實(shí)際使用的過程中根據(jù)實(shí)際情況進(jìn)行選擇。

一般情況下，在使用防火墻產(chǎn)品時．對使用較為頻繁、信息可共享性高的服務(wù)可以采用應(yīng)用層代理；而對于實(shí)時性要求高、使用不頻繁及用戶自定義的服務(wù)可以采用數(shù)據(jù)包過濾機(jī)制。防火墻基礎(chǔ)7.1.3防火墻的分類

1.包過濾防火墻

包過濾是指完成分析、選擇和過濾的工作，通常作用在網(wǎng)絡(luò)層。該技術(shù)作為一種數(shù)據(jù)安全保護(hù)機(jī)制，主要功能是實(shí)現(xiàn)監(jiān)測、限制和修改數(shù)據(jù)流，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，對外部網(wǎng)絡(luò)實(shí)施屏蔽內(nèi)部網(wǎng)的信息和維護(hù)管理。防火墻基礎(chǔ)7.1.3防火墻的分類2.代理服務(wù)防火墻

代理服務(wù)是