網(wǎng)絡(luò)與信息安全教程

網(wǎng)絡(luò)與信息安全教程優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）

第一章信息安全基礎(chǔ)網(wǎng)絡(luò)與信息安全教程優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）第一節(jié)信息安全基礎(chǔ)知識(shí)一、網(wǎng)絡(luò)信息安全的由來20世紀(jì)，人類在科學(xué)技術(shù)領(lǐng)域內(nèi)最大的成就是發(fā)明制造了電子計(jì)算機(jī)。為了不斷提高其性能，擴(kuò)大計(jì)算機(jī)的功能和應(yīng)用范麗，全球科學(xué)家和技術(shù)人員一直在孜孜不倦地進(jìn)行試驗(yàn)和改進(jìn)。在計(jì)算機(jī)更新?lián)Q代的改進(jìn)過程中，電子化技術(shù)、數(shù)字技術(shù)、通信技術(shù)以及網(wǎng)絡(luò)技術(shù)不斷融合和被廣泛應(yīng)用，從而使得以計(jì)算機(jī)為負(fù)載主體的互聯(lián)網(wǎng)技術(shù)得以突破時(shí)空限制而普及全球，并由此開創(chuàng)了一個(gè)以電子信息交流為標(biāo)志的信息化時(shí)代。隨著科學(xué)技術(shù)特別是信息技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及我國信息化進(jìn)程的不斷推進(jìn)，各種信息化系統(tǒng)已經(jīng)成為國家的關(guān)鍵基礎(chǔ)設(shè)施，它們支持著網(wǎng)絡(luò)通信、電子商務(wù)、電子政務(wù)、電子金融、電子稅務(wù)、網(wǎng)絡(luò)教育以及公安、醫(yī)療、社會(huì)福利保障等各個(gè)方面的應(yīng)用。相對(duì)于傳統(tǒng)系統(tǒng)而言，數(shù)字化網(wǎng)絡(luò)的特點(diǎn)使得這些信息系統(tǒng)的運(yùn)作方式，在信息采集、儲(chǔ)存、數(shù)據(jù)交換、數(shù)據(jù)處理、信息傳送上都有著根本的區(qū)別。無論是在計(jì)算機(jī)上的儲(chǔ)存、處理和應(yīng)用，還是在通信網(wǎng)絡(luò)上交換、傳輸，信息都可能被非法授權(quán)訪問而導(dǎo)致泄密，被篡改破壞而導(dǎo)致不完整，被冒充替換而不被承認(rèn)，更可能因?yàn)樽枞麛r截而無法存取，這些都是網(wǎng)絡(luò)信息安全上的孜命弱點(diǎn)。二、網(wǎng)絡(luò)信息安全的定義信息安全的概念的出現(xiàn)遠(yuǎn)遠(yuǎn)早于計(jì)算機(jī)的誕生，但計(jì)算機(jī)的出現(xiàn)，尤其是網(wǎng)絡(luò)出現(xiàn)以后，信息安全變得更加復(fù)雜，更加“隱形”了?，F(xiàn)代信息安全區(qū)別于傳統(tǒng)意義上的信息介質(zhì)安全，是專指電子信息的安全。安全(Security)并沒有統(tǒng)一的定義，這里是指將信息面臨的威脅降到（機(jī)構(gòu)可以接受的）最低限度。同樣，信息安全(InformationSecurity)也沒有公認(rèn)和統(tǒng)一的定義。國內(nèi)外對(duì)于信息安全的概念都比較含糊和籠統(tǒng)，但都強(qiáng)調(diào)的一點(diǎn)是：離開信息體系和具體的信息系統(tǒng)來談?wù)撔畔踩菦]有意義的。因此人們通常從兩個(gè)角度來對(duì)信息安全進(jìn)行定義：一是從具體的信息技術(shù)系統(tǒng)來定義，二是從某一個(gè)特定信息體系（如金融信息系統(tǒng)、政務(wù)信息系統(tǒng)、商務(wù)信息系統(tǒng)等）的角度來定義。從學(xué)科和技術(shù)的角·1．____________________————————————————一公務(wù)員網(wǎng)絡(luò)與信息安全教程度來說，信息安全（學(xué)）是一門綜合性學(xué)科，它研究、發(fā)展的范圍很廣，包括信息人員的安全性、信息管理的安全性、信息設(shè)施的安全性、信息本身的保密性、信息傳輸?shù)耐暾浴⑿畔⒌牟豢煞裾J(rèn)性、信息的可控性、信息的可用性等。確保信息系統(tǒng)按照預(yù)期運(yùn)行且不做任何多余的事情，系統(tǒng)所提供的信息機(jī)密性可以得到適度的保護(hù)，系統(tǒng)、數(shù)據(jù)和軟件的完整性得到維護(hù)和統(tǒng)一，以防任何可能影響任務(wù)完成的非計(jì)劃的任務(wù)中斷。綜合起來說，就是要保障電子信息的“有效性”。隨著計(jì)算機(jī)應(yīng)用范圍的逐漸擴(kuò)大以及信息內(nèi)涵的不斷豐富，信息安全涉及的領(lǐng)域和內(nèi)涵也越來越廣。信息安全不僅是保證信息的機(jī)密性、完整性、可用性、可控性和可靠性，并且從主機(jī)的安全技術(shù)發(fā)展到網(wǎng)絡(luò)體系結(jié)構(gòu)的安全，從單一層次的安全發(fā)展到多層次的立體安全。目前，涉及的領(lǐng)域還包括黑客的攻防、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)犯罪取證等方面。因此在不會(huì)產(chǎn)生歧義時(shí)，常將計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全簡稱為網(wǎng)絡(luò)信息安全。一切影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素和保障計(jì)算機(jī)網(wǎng)絡(luò)安全的措施都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究內(nèi)容。信息安金是指信息在產(chǎn)生、傳輸、處理和儲(chǔ)存過程中不被泄漏或破壞'確保信息的可用性、保密性、完整性和不可否認(rèn)性，并保證信息系統(tǒng)的可靠性和可控性。網(wǎng)絡(luò)信息安全是一個(gè)關(guān)系國家安全和主權(quán)、社會(huì)穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問題，其重要性，正隨著全球信息化步伐的加快越來越重要。在社會(huì)經(jīng)濟(jì)領(lǐng)域中'主要是黨政機(jī)關(guān)的網(wǎng)絡(luò)安全問題，它關(guān)系到我國的政治穩(wěn)定和國計(jì)民生；國家經(jīng)濟(jì)領(lǐng)域內(nèi)的網(wǎng)絡(luò)安全問題，它對(duì)國家經(jīng)濟(jì)持續(xù)穩(wěn)定發(fā)展起著決定作用；國防和軍隊(duì)網(wǎng)絡(luò)安全問題，關(guān)系到國家安全和主權(quán)完整。在技術(shù)領(lǐng)域中，網(wǎng)絡(luò)安全包括實(shí)體安全，用來保證硬件和軟件本身的安全；運(yùn)行安全，用來保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作；信息安全，用來保障信息不會(huì)被非法閱讀、修改和泄露。因此，網(wǎng)絡(luò)信息安全是一門交叉科學(xué)，涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。三、網(wǎng)絡(luò)信息安全的屬性網(wǎng)絡(luò)信息安全的基本屬性有信息的完整性、可用性、機(jī)密性、可控性、可靠性相不可否認(rèn)性。1．完整性完整性是指信息在存儲(chǔ)、傳輸和提取的過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。一般通過訪問控制阻止篡改行為，通過信息摘要算法來檢驗(yàn)信息是否被篡改。完整性是數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，其目的是保證信息系統(tǒng)上的數(shù)據(jù)處于一種完整和未損的狀態(tài)。第一章信息安全基礎(chǔ)2．可用性信息可用性指的是信息可被合法用戶訪問并能按要求順序使用的特性，即在需要時(shí)就可取用所需的信息?？捎眯允切畔①Y源服務(wù)功能和性能可靠性的度量，是對(duì)信息系統(tǒng)總體可靠性的要求。目前要保證系統(tǒng)和網(wǎng)絡(luò)能提供正常的服務(wù)，除了備份和冗余配置外，沒有特別有效的方法。3機(jī)密性信息機(jī)密性又稱為信息保密性，是指信息不泄漏給非授權(quán)的個(gè)人和實(shí)體，或供其使用的特性。信息機(jī)密性針對(duì)信息被允許訪問對(duì)象的多少而不同。所有人員都可以訪問的信息為公用信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性或保密要求分為不同的密級(jí)，如國家根據(jù)秘密泄露對(duì)國家經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將國家秘密分為A（秘密級(jí)）、B（機(jī)密級(jí)）和C（絕密級(jí)）三個(gè)等級(jí)。秘密是不能泄漏給非授權(quán)用戶、不被非法利用的，非授權(quán)用戶就算得到信息也無法知曉信息的內(nèi)容。機(jī)密性通常通過訪問控制阻止非授權(quán)用戶獲得機(jī)密信息，通過加密技術(shù)阻止非授權(quán)用戶獲知信息內(nèi)容。4．可控性信息可控性是指可以控制授權(quán)范圍內(nèi)的信息流向以及行為方式，對(duì)信息的傳播及內(nèi)容具有控制能力。為保證可控性，通常通過握手協(xié)議和認(rèn)證對(duì)用戶進(jìn)行身份鑒別，通過謗問控制列表等方法來控制用戶的訪問方式，通過日志記錄對(duì)用戶的所有活動(dòng)進(jìn)行監(jiān)控、查詢和審計(jì)。5．可靠性可靠性是指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性（包括信息的迅速、準(zhǔn)確和連續(xù)地轉(zhuǎn)移等），但也有人認(rèn)為可靠性就是人們對(duì)信息系統(tǒng)而不是對(duì)信息本身的要求。6不可否認(rèn)性不可否認(rèn)性是指能保證用戶無法在事后否認(rèn)曾對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為，是針對(duì)通信各方面信息真實(shí)同一性的安全要求。一般用數(shù)字簽名和公證機(jī)制來保證不可否認(rèn)性。四、網(wǎng)絡(luò)信息安全的特征網(wǎng)絡(luò)信息安全具有整體的、動(dòng)態(tài)的、無邊界和發(fā)展的特征，是一種非傳統(tǒng)安全。信息安全涉及多個(gè)領(lǐng)域，是一個(gè)系統(tǒng)工程，需要全社會(huì)的共同努力和承擔(dān)責(zé)任及義務(wù)；網(wǎng)絡(luò)信息安全不是靜態(tài)的，它是相對(duì)和動(dòng)態(tài)的，經(jīng)歷了從最初純粹的物理安全問題到今天隨著信息技術(shù)的發(fā)展和普及，以及產(chǎn)業(yè)基礎(chǔ)、用戶認(rèn)識(shí)、投入產(chǎn)出而出現(xiàn)的·3．考慮。互聯(lián)網(wǎng)的全球性、快捷性、共享性、全天候性決定了網(wǎng)絡(luò)信息安全問題的新特征。信息基礎(chǔ)設(shè)施本身的脆弱性和攻擊手段的不斷更新，使網(wǎng)絡(luò)信息安全領(lǐng)域易攻難守。網(wǎng)上攻擊無論距離還是速度都突破了傳統(tǒng)安全的限制，具有多維、多點(diǎn)、多次實(shí)施隱蔽打擊的能力。由于網(wǎng)絡(luò)覆蓋全球，因而助長了犯罪分子的破壞能力和有恃無恐的犯罪心理，給世界帶來了更多的不穩(wěn)定因素。各國的民族文化和道德價(jià)值觀面臨前所未有的沖擊和顛覆，為此付出的巨大經(jīng)濟(jì)成本和時(shí)間精力難以計(jì)算。網(wǎng)絡(luò)信息安全問題日益嚴(yán)重，必將給人類發(fā)展、國家管理和社會(huì)穩(wěn)定帶來巨大盼危害。第二節(jié)研究網(wǎng)絡(luò)信息安全的必要性一、互聯(lián)網(wǎng)的發(fā)展和安全挑戰(zhàn)1．Any-to-Any的聯(lián)網(wǎng)革命網(wǎng)絡(luò)的主要功能就是互聯(lián)和共享。這里的互聯(lián)不僅僅是指將移動(dòng)設(shè)備、筆記本、臺(tái)式機(jī)聯(lián)網(wǎng)，也包括把規(guī)模增長的設(shè)備互聯(lián)起來(M2M,MachinetoMachine)’這些設(shè)備是人們?nèi)粘Ｉ钪斜夭豢缮俚模缛∨癄t、汽車或者風(fēng)扇。網(wǎng)絡(luò)的發(fā)展不僅要將這些傳統(tǒng)觀念上認(rèn)為不需要互聯(lián)的設(shè)備聯(lián)接起來，還要實(shí)現(xiàn)各種設(shè)備上的數(shù)據(jù)共享；網(wǎng)絡(luò)也將人和設(shè)備聯(lián)接起來(P2M,PeopletoMachine)，將人和人聯(lián)接起來(P2P,PeopletoPeople)a據(jù)估計(jì)，現(xiàn)在網(wǎng)絡(luò)所能連接的一切物理設(shè)備已經(jīng)達(dá)到500億個(gè)，這僅僅是可連接物體總量的1%。預(yù)計(jì)到2年，網(wǎng)絡(luò)連接的物體將達(dá)到13,311,666,640,184,600個(gè)！聯(lián)網(wǎng)的物體最終包含所有東西，從智能到家用取暖爐，從風(fēng)力發(fā)電機(jī)到汽車……可以肯定的是，當(dāng)網(wǎng)絡(luò)將任何東西都連接起來（any-to-any）的時(shí)候，互聯(lián)網(wǎng)狀態(tài)將發(fā)展成為。一切的互聯(lián)網(wǎng)”（IntemetofEverything）：是人(People)、數(shù)據(jù)（Data）、物體(Things)和處理(Process)的智能連接。這些元素的含義是：人(People)：社交網(wǎng)絡(luò)、人口中心、數(shù)字實(shí)體；數(shù)據(jù)(Data)：萬維網(wǎng)(worldwideweb)，信息；物體(Things)：物理世界，設(shè)備，物體；處理(Process)：系統(tǒng)，業(yè)務(wù)流程?！．第一章信息安全基礎(chǔ)Machine(M2Ml圖1—1IntemetofEverything思科(Cisco)公司的未來學(xué)家DavidEvans說：“不久的將來，你的汽車連接到這個(gè)網(wǎng)絡(luò)中，不過僅僅使聯(lián)網(wǎng)物體的數(shù)量增加了一個(gè)，但是卻帶來數(shù)不勝數(shù)的變化：你的汽車將聯(lián)接上其他汽車、聯(lián)接上交通燈、聯(lián)接上4s店、聯(lián)接上道路停車信號(hào)牌、聯(lián)接到道路警告標(biāo)志、聯(lián)接到家庭，甚至和地面聯(lián)通……”在Int。metofEverything中，人、數(shù)據(jù)、物體和處理的聚合以及增長將使得網(wǎng)絡(luò)聯(lián)接更加相互依賴、更有價(jià)值。最終網(wǎng)絡(luò)將產(chǎn)生新的能力、更豐富的經(jīng)驗(yàn)，為國家、商業(yè)和個(gè)人提供前所未有的經(jīng)濟(jì)機(jī)會(huì)。在互聯(lián)網(wǎng)革命性發(fā)展帶來機(jī)遇的同時(shí)，也必將創(chuàng)造出新的安全挑戰(zhàn)。在Intemet。fE，。，ything中，連接是最重要的。聯(lián)接的類型而不是連接的數(shù)量在聯(lián)網(wǎng)的元素中產(chǎn)生價(jià)值，主要是越來越多啟用lP的設(shè)備，外加全球可用帶寬的增加、引入IPv6協(xié)議，導(dǎo)致新聯(lián)接爆炸式增長。越來越多的聯(lián)網(wǎng)終端設(shè)備將人們拉近，將世界互聯(lián)，安全風(fēng)險(xiǎn)隨之而來，惡意用戶也將有更多的機(jī)會(huì)利用更多的攻擊危害客戶、f司絡(luò)和數(shù)據(jù)。因?yàn)樾碌倪B接會(huì)實(shí)時(shí)產(chǎn)生大量需要保護(hù)的數(shù)捃，例如企業(yè)持續(xù)收集、存儲(chǔ)和分析的膨脹增長的大數(shù)據(jù)。以思科(Cisco)公司為例說明網(wǎng)絡(luò)聯(lián)接的膨脹和對(duì)安全的挑戰(zhàn)。思科公司全球擁有70，ooo名員工，自從2021年開始實(shí)施“帶自己的設(shè)備上班”(bring-your-own-de-，i。。，BYOD)計(jì)劃以來，見證了公司內(nèi)部連續(xù)兩年使用移動(dòng)設(shè)備上網(wǎng)79%的增長率。“帶自己的設(shè)備上班”是思科朝著虛擬化企業(yè)轉(zhuǎn)變進(jìn)程的一部分，即花幾年的時(shí)間讓企業(yè)最大化地獨(dú)立于區(qū)域和服務(wù)，同時(shí)保證企業(yè)數(shù)據(jù)安全。2021年，整個(gè)公司網(wǎng)絡(luò)增加了11，000臺(tái)智能和平板電腦——平均每月新增1000多臺(tái)聯(lián)網(wǎng)設(shè)備。到2021年底，公司內(nèi)部近60，000部智能在使用——包括14，000臺(tái)ipad，而所有這些都是員工自帶設(shè)備(BringYourOwn，BYO)。使用的設(shè)備類型增長最快的是蘋果公司生產(chǎn)的ipad。不可思泌的是，iPad在三年前甚至還不存在，三年后卻被思科公司的員工日常使用著，用于私人或工作活動(dòng)中，雇員同時(shí)使用iPad和智能。思科·5-公務(wù)員網(wǎng)絡(luò)與信息安全教程____公司員工使用蘋果Iphone的數(shù)量，兩年時(shí)間增長了三倍接近28，600部。當(dāng)然BYOD計(jì)劃允許使用RIM黑莓、谷歌的安卓系統(tǒng)以及微軟Windows系統(tǒng)手機(jī)。員工自己選擇在安全協(xié)議下，使用個(gè)人設(shè)備訪問公司數(shù)據(jù)。例如員工在自己的設(shè)備上檢查公司郵件和日歷，就要遵守公司的安全策略，接受強(qiáng)制遠(yuǎn)程刷機(jī)、加密和設(shè)置口令?！皫ё约旱脑O(shè)備上班”的目標(biāo)是將來有一天，員工只用帶著自己的設(shè)備上班，在設(shè)備上安裝思科的身份服務(wù)引擎和公司協(xié)作軟件，包括網(wǎng)絡(luò)會(huì)議中心、web社交等功能。近期目標(biāo)是進(jìn)一步提高對(duì)所有員工活動(dòng)和設(shè)備的虛擬化和監(jiān)控，增強(qiáng)物理網(wǎng)絡(luò)和虛擬架構(gòu)的安全性，同時(shí)也提高用戶體驗(yàn)。用戶體驗(yàn)是IT個(gè)性化發(fā)展趨勢的核心。如果組織內(nèi)的雇員還在問“我能否在工作時(shí)間使用個(gè)人設(shè)備？”那么這個(gè)組織的互聯(lián)網(wǎng)觀念遠(yuǎn)落后于時(shí)代。思科員工會(huì)說，“我理解保證企業(yè)安全的重要性，但是不要干擾我的用戶體驗(yàn)”。因此“一切的互聯(lián)網(wǎng)”和上網(wǎng)體驗(yàn)帶來的安全問題，是每個(gè)組織必須要面對(duì)和解決的。2云計(jì)算云計(jì)算是新一代信息技術(shù)產(chǎn)業(yè)的重要組成部分，是繼個(gè)人計(jì)算機(jī)、互聯(lián)網(wǎng)之后的第三次信息技術(shù)浪潮，將引發(fā)信息產(chǎn)韭商業(yè)模式的根本性改變。云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。XenSystem，以及在國外已經(jīng)非常成熟的Intel和IBM，國內(nèi)的阿里巴巴云、360云、百度云……各種“云計(jì)算”的應(yīng)用服務(wù)范圍正日漸擴(kuò)大，影響力也無可估量。據(jù)IDC(IntemationalDataCorporation)報(bào)告，2021年公共云服務(wù)市場規(guī)模為566億美元，到2021年全球公共云計(jì)算市場規(guī)模約達(dá)到1270億美元，年復(fù)合增長率為23%，這是全球IT市場增長率的6倍。美國預(yù)測2021年世界人口將達(dá)到76億，思科公司預(yù)測一半人口將使用個(gè)人云空間。個(gè)人使用云存儲(chǔ)將顯著增長，平均每個(gè)用戶每月使用800M的流量，這是2021年的5倍。如何在更寬泛的范圍內(nèi)保證云端應(yīng)用、設(shè)備和客戶的安全，這是一個(gè)極大的挑戰(zhàn)。碎片化的安全解決方案，例如防火墻，已經(jīng)不能為在設(shè)備、網(wǎng)絡(luò)和云之間經(jīng)?；鲃?dòng)的數(shù)據(jù)提供安全保障。云計(jì)算和虛擬化帶來的訪問安全問題需要找們重新審視網(wǎng)絡(luò)信息安全模式，原有的網(wǎng)絡(luò)邊界安全、舊的訪問控制模式都需要改變以適應(yīng)新的模型——云計(jì)算。無論有多少安全問題出現(xiàn)，越來越多的組織正在擁抱云而不愿意使用私有數(shù)據(jù)中心。云給企業(yè)帶來的好處多多——節(jié)省成本、更好的協(xié)作、提高生產(chǎn)力、減少碳排放。企業(yè)將商業(yè)數(shù)據(jù)和業(yè)務(wù)搬到云端面臨的安全問題主要有：第一章信息安全基礎(chǔ)(1)虛擬機(jī)管理程序。如果遭到破壞，可能導(dǎo)致該軟件創(chuàng)建和運(yùn)行的虛擬機(jī)收到大規(guī)模黑客攻擊或多臺(tái)服務(wù)器數(shù)據(jù)泄漏，因?yàn)樘摂M化提供這些服務(wù)器相同的易于管理和訪問的安全措施，成就了黑客攻擊。被攻破的虛擬機(jī)管理程序（由“hyperjacking"采取的控制）可以完全控制服務(wù)器。(2)低準(zhǔn)入門檻。虛擬化降低r使用虛擬私有服務(wù)器的準(zhǔn)入門檻。和舊的基于硬件的數(shù)據(jù)中心相比，犯罪活動(dòng)也越來越多的使用這種迅速、廉價(jià)、易于得到的架構(gòu)。(3)虛擬應(yīng)用與硬件分離。因?yàn)樘摂M應(yīng)用程序和他們使用的硬件分離，所以企業(yè)實(shí)施傳統(tǒng)的安全措施非常困難。IT服務(wù)商讓企業(yè)根據(jù)需要移動(dòng)資源的成本越來越低。相反，安全服務(wù)尋求讓應(yīng)用資源放在更安全的地方，與不安全的因素隔離。二、我國網(wǎng)絡(luò)發(fā)展現(xiàn)狀在我國，隨著“寬帶中國”戰(zhàn)略推進(jìn)實(shí)施，互聯(lián)網(wǎng)升級(jí)全面提速，用戶規(guī)?？焖僭鲩L，移動(dòng)互聯(lián)網(wǎng)新型應(yīng)用層出不窮，4G網(wǎng)絡(luò)正式啟動(dòng)商用，虛擬運(yùn)營商牌照陸續(xù)發(fā)放，網(wǎng)絡(luò)化和信息化水平顯著提高，極大促進(jìn)傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)，帶動(dòng)信息消費(fèi)穩(wěn)步增長。截至2021年12月，中國網(wǎng)民規(guī)模達(dá)6,49億，全年共計(jì)新增網(wǎng)民3117萬人?；ヂ?lián)網(wǎng)普及率為47.9%，較2021隼底提升了2.1個(gè)百分點(diǎn)。其中中國網(wǎng)民規(guī)模達(dá)5.57億。同時(shí)，48.60/0的中國網(wǎng)民認(rèn)同我國網(wǎng)絡(luò)環(huán)境比較安全或非常安全；有54.5%的中國網(wǎng)民對(duì)互聯(lián)網(wǎng)上信息表示信任；60.0%的中國網(wǎng)民對(duì)于在互聯(lián)網(wǎng)上分享行為持積極態(tài)度；有43.8%的中國網(wǎng)民表示喜歡在互聯(lián)網(wǎng)上發(fā)表評(píng)論；53.1%的中國網(wǎng)民認(rèn)為自身比較或非常依賴互聯(lián)網(wǎng)。截至2021年12月，我國域名總數(shù)為2060萬個(gè)，其中“．CN"域名總數(shù)年增長為2.4%，達(dá)到1109萬，在中國域名總數(shù)中占比達(dá)53.8%；中國網(wǎng)站總數(shù)為335萬，年增長4.6%；國際出口帶寬為4，118，663Mbps，年增長20.9%。全國企業(yè)使用計(jì)算機(jī)辦公的比例為90.4%，使用互聯(lián)網(wǎng)的比例為78.7%，固定寬帶使用率為77.4%。同時(shí)，開展在線銷售、在線采購的比例分別為24.7010和22.8%，利用互聯(lián)網(wǎng)開展?fàn)I銷推廣活動(dòng)的比例為24.2%。我國企業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施普及工作已基本完成，在辦公中使用計(jì)算機(jī)的比例基本保持在90%左右的水平上，互聯(lián)網(wǎng)的普及率也保持在80%左右，在使用互聯(lián)網(wǎng)辦公的企業(yè)中，固定寬帶的接人率也連續(xù)多年超過95%。三、我國網(wǎng)絡(luò)信息安全觀狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況總體平穩(wěn)，但是仍然存在較多網(wǎng)絡(luò)攻擊和安全威脅，不·7．公務(wù)員網(wǎng)絡(luò)與信息安全教程僅影響廣大網(wǎng)民利益，妨礙行業(yè)健康發(fā)展，甚至對(duì)社會(huì)經(jīng)濟(jì)和國家安全造成威脅和挑戰(zhàn)。1．基礎(chǔ)信息網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)，域名系統(tǒng)依然是影響安全的薄弱環(huán)節(jié)2021年，我國基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)水平有較大提升，但仍然發(fā)現(xiàn)較多信息系統(tǒng)安全風(fēng)險(xiǎn)，尤其是域名系統(tǒng)作為互聯(lián)網(wǎng)運(yùn)行的關(guān)鍵基礎(chǔ)設(shè)施，面臨安全漏洞和拒絕服務(wù)攻擊等多種威脅，是影響網(wǎng)絡(luò)穩(wěn)定運(yùn)行的薄弱環(huán)節(jié)?；A(chǔ)網(wǎng)絡(luò)承載的互聯(lián)網(wǎng)業(yè)務(wù)類型日益增多，引發(fā)一些安全風(fēng)險(xiǎn)。基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)水平進(jìn)一步提高。2021年，在工業(yè)和信息化部指導(dǎo)下，基礎(chǔ)電信企業(yè)高度重視網(wǎng)絡(luò)安全防護(hù)工作，在全網(wǎng)開展網(wǎng)絡(luò)單元和業(yè)務(wù)系統(tǒng)的定級(jí)備案調(diào)整工作，對(duì)3000余個(gè)三級(jí)及以上網(wǎng)絡(luò)單元開展符合性評(píng)測和風(fēng)險(xiǎn)評(píng)估，各企業(yè)符合性評(píng)測達(dá)標(biāo)率均在97%以上，與2021年基本持平。在檢測中還側(cè)重加大對(duì)用戶個(gè)人信息保護(hù)工作的檢查力度，通過對(duì)安全隱患的測試和修復(fù)，有效降低了通信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)?；A(chǔ)網(wǎng)絡(luò)信息系統(tǒng)仍存在較多安全風(fēng)險(xiǎn)。2021年，國家信息安全漏洞共享平臺(tái)(CNVD)向基礎(chǔ)電信企業(yè)通報(bào)漏洞風(fēng)險(xiǎn)事件518起，較2021年增長超過一倍。按漏洞風(fēng)險(xiǎn)類型分類，其中通用軟硬件、信息泄露、權(quán)限繞過，SQL注入、弱口令等類型較多，分別占42.1%、15.3%、12.7010、12．o%和11.2%。這些漏洞風(fēng)險(xiǎn)事件涉及的信息系統(tǒng)達(dá)449個(gè)，其中基礎(chǔ)電信企業(yè)?。ㄗ樱┕舅鶎傩畔⑾到y(tǒng)占54.6%，集團(tuán)公司所屬信息系統(tǒng)占37,2%。對(duì)此，各企業(yè)均積極響應(yīng)，及時(shí)進(jìn)行修復(fù)加固處理。但是，2021年仍發(fā)現(xiàn)有部分企業(yè)的接人層網(wǎng)絡(luò)設(shè)備被攻擊控制，網(wǎng)絡(luò)單元穩(wěn)定運(yùn)行以及用戶數(shù)據(jù)安全受到威脅，我國基礎(chǔ)網(wǎng)絡(luò)整體防御國家級(jí)有組織攻擊風(fēng)險(xiǎn)的能力仍較為薄弱。域名系統(tǒng)依然是影響互聯(lián)網(wǎng)穩(wěn)定運(yùn)行的薄弱環(huán)節(jié)。域名解析服務(wù)是互聯(lián)網(wǎng)重要的基礎(chǔ)應(yīng)用服務(wù)，其安全問題直接影響網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。由于域名注冊服務(wù)機(jī)構(gòu)的域名管理系統(tǒng)存在漏洞，攻擊者能隨意篡改域名解析記錄，2021年曾發(fā)生多起由此引發(fā)的政府部門網(wǎng)站和提供互聯(lián)網(wǎng)服務(wù)的網(wǎng)站域名被劫持的事件，導(dǎo)致用戶訪問受到嚴(yán)重影響。此外，域名系統(tǒng)遭受拒絕服務(wù)攻擊的現(xiàn)象日益嚴(yán)重。2021年8月25日，黑客為攻擊一個(gè)以．CN結(jié)尾的網(wǎng)游私服網(wǎng)站，對(duì)我國．CN頂級(jí)域名系統(tǒng)發(fā)起大規(guī)模的拒絕服務(wù)攻擊，導(dǎo)致大量政府網(wǎng)站、新浪微博等重要網(wǎng)站無法訪問或訪問緩慢。同年8月，域名注冊服務(wù)機(jī)構(gòu)愛民網(wǎng)(22．cn)昀域名服務(wù)器在一周內(nèi)連續(xù)遭受數(shù)十CbiUs級(jí)的拒絕服務(wù)攻擊，數(shù)萬個(gè)域名受到影響。據(jù)CNCERT/CC監(jiān)測，2021年針對(duì)我國域名系統(tǒng)較大規(guī)模的拒絕服務(wù)攻擊事件日均約有58起。直接針對(duì)域名系統(tǒng)發(fā)起攻擊，不僅能使目標(biāo)網(wǎng)站癱瘓，還會(huì)導(dǎo)致大量無辜網(wǎng)站受到牽連，從而造成嚴(yán)重后果?！?．第一章信息安全基礎(chǔ)______________________.______——_———_———_——一．一對(duì)此,CNCERT/CC聯(lián)合基礎(chǔ)電信企業(yè)，積極配合政府部門，大力推進(jìn)虛假源地址流量整治工作，將我國互聯(lián)網(wǎng)虛假源地址流量占全部流量的比例控制在1010以內(nèi)，有效提高了攻擊源追溯能力，為國家．CN域名系統(tǒng)遭受攻擊等重大事件查處提供了有力支撐。但與此同時(shí)，監(jiān)測發(fā)現(xiàn)大量來自境外的虛假源地址攻擊流量，給事件處置和攻擊追溯帶來很大困難。2021年3月，國際反垃圾郵件組織Spamhaus遭受攻擊，攻擊峰值達(dá)300Cbit/s，堪稱互聯(lián)網(wǎng)史上最大流量的拒絕服務(wù)攻擊。攻擊者借助互聯(lián)網(wǎng)龐大的開放域名僻析服務(wù)器群，利用DNS反射技術(shù)發(fā)送大量偽造的DNS解析請求，使服務(wù)器向目標(biāo)網(wǎng)站發(fā)送大量長字節(jié)應(yīng)答包，從而對(duì)目標(biāo)網(wǎng)站形成放大約100倍的攻擊流量?；ヂ?lián)f目上大量存在的開放遞歸查詢域名服務(wù)器，有可能成為黑客實(shí)施攻擊的“軍火庫”?；A(chǔ)信息網(wǎng)絡(luò)承載的互聯(lián)網(wǎng)業(yè)務(wù)頻現(xiàn)安全問題。隨著基礎(chǔ)網(wǎng)絡(luò)設(shè)施不斷完善，其所承載的互聯(lián)網(wǎng)業(yè)務(wù)類型日益增多，引入新的安全風(fēng)險(xiǎn)。2021年7周22日，騰訊微信業(yè)務(wù)出現(xiàn)故障，全國多地有6000多萬用戶無法正常使用，用戶感知強(qiáng)烈。微信屬于目前較為流行的Orrr(OverTheTop)業(yè)務(wù)模式，通過基礎(chǔ)電信企業(yè)的網(wǎng)絡(luò)發(fā)展自己的音視頻和數(shù)據(jù)服務(wù)業(yè)務(wù)，但其安全保障水平和業(yè)務(wù)承載級(jí)別不匹配，一條線路的故障就能導(dǎo)致多家基礎(chǔ)電信企業(yè)的用戶受到影響。2021年，部分互聯(lián)網(wǎng)公司的網(wǎng)站域名在某些地區(qū)被劫持，甚至被強(qiáng)行插入廣告窗口，某些寬帶接人商在小區(qū)路由器上對(duì)部分網(wǎng)站進(jìn)行劫持跳轉(zhuǎn)等事件，嚴(yán)重影響用戶體驗(yàn)，損害互聯(lián)網(wǎng)企業(yè)和網(wǎng)民利益。CNCERT/CC接到上述事件投訴后，及時(shí)協(xié)調(diào)相關(guān)單位進(jìn)行處置?；ヂ?lián)f目業(yè)務(wù)的不斷創(chuàng)新導(dǎo)致安全問題不斷演化，如何及時(shí)、有效應(yīng)對(duì)，需要互聯(lián)網(wǎng)服務(wù)商和基礎(chǔ)電信企業(yè)共同努力。2．公共互聯(lián)網(wǎng)治理初見成效，打擊黑客地下產(chǎn)業(yè)鏈任當(dāng)?shù)肋h(yuǎn)網(wǎng)絡(luò)設(shè)備后門、個(gè)人信息泄露等事件頻繁出現(xiàn)，表明公共互聯(lián)網(wǎng)環(huán)境仍然存在較多安全問題。近年來我國境內(nèi)感染木馬僵尸網(wǎng)絡(luò)主機(jī)數(shù)量首次—降。據(jù)CNCERT/cc監(jiān)測,2021年我國境內(nèi)感染木馬僵尸網(wǎng)絡(luò)的主機(jī)為1135萬個(gè)，控制服務(wù)器為16萬個(gè)，分別較2021年下降22.5010和44.1010，為近5年首次出現(xiàn)T降。這反映出我國持續(xù)開展的木馬僵尸網(wǎng)絡(luò)專項(xiàng)治理行動(dòng)和日常處置工作已初見成效。2021年，在工業(yè)和信息化部組織開展的防范治理黑客地下產(chǎn)業(yè)鏈專項(xiàng)行動(dòng)中，CNCERT/CC會(huì)同基礎(chǔ)電信企業(yè)、域名注冊服務(wù)機(jī)構(gòu)共開展8次惡意程序?qū)ｍ?xiàng)打擊工作，清理木馬僵尸網(wǎng)絡(luò)控制服務(wù)器3.4萬余臺(tái)，受控主機(jī)近72萬臺(tái)，重點(diǎn)處理控制規(guī)模較大的僵尸網(wǎng)絡(luò)1455個(gè)，切斷了黑客對(duì)375萬余臺(tái)感染主機(jī)的控制，有力地凈化公共互聯(lián)網(wǎng)環(huán)境。雖然我國境內(nèi)感染的主機(jī)數(shù)量總體有所下降，但感染遠(yuǎn)程控制類木馬的主機(jī)數(shù)量較2021年小幅上漲4.4%，這類木馬能對(duì)用戶主機(jī)實(shí)施遠(yuǎn)程控制、竊取重要文件和敏感信息或發(fā)起網(wǎng)絡(luò)攻擊，具有極大的危害性。分析發(fā)現(xiàn)D-UNK等眾多網(wǎng)絡(luò)設(shè)備存在后門?！?．公務(wù)員網(wǎng)絡(luò)與信息安全教程——2021年，CNVD共收錄各類安全漏洞7854個(gè)，其中高危漏洞2607個(gè)，分別較2021年增長15.1%和6.8%。涉及通信網(wǎng)絡(luò)設(shè)備的軟硬件漏洞數(shù)量為505個(gè)，較2021年增長1.5倍，占CNVD收錄漏洞總數(shù)的比例由2021年的2-9%增長至6.4%。同時(shí)，CNVD分析驗(yàn)證D-LINK、Cisco、Linksys、Netgear、Tenda等多家廠商的路由器產(chǎn)品存在后門，黑客可由此直接控制路由器，進(jìn)一步發(fā)起DNS劫持、信息竊取、網(wǎng)絡(luò)釣魚等攻擊，直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲(chǔ)安全，使得相關(guān)產(chǎn)品變成隨時(shí)可被引爆的安全“地雷”。以D-LINK部分路由器產(chǎn)品為例，攻擊者利用后門可取得路由器的完全控制權(quán)，CNVD分析發(fā)現(xiàn)受該后門影響的D-LINK路由器在互聯(lián)網(wǎng)上對(duì)應(yīng)的lP地址至少有1.2萬個(gè)，影響大量用戶。CNVD及時(shí)向相關(guān)廠商通報(bào)威脅情況，向公眾發(fā)布預(yù)警信息。但截至2021年1月底，仍有部分廠商尚未提供安全解決方案或升級(jí)補(bǔ)丁。路由器等網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)公共出口，往往不引入注意，但其安全不僅影響網(wǎng)絡(luò)正常運(yùn)行，而且可能導(dǎo)致企業(yè)和個(gè)人信息泄露。個(gè)人信息泄露問題挑戰(zhàn)現(xiàn)有社會(huì)倍任機(jī)制。云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)等互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)正在改變個(gè)人信息的收集和使用方式，個(gè)人信息的可控性逐步削弱，姓名、住址、、身份證號(hào)、消費(fèi)記錄等重要生活信息越來越多地出現(xiàn)網(wǎng)絡(luò)泄露問題。2021年10月，“查開房”網(wǎng)站公開曝光2000萬條客戶酒店入住信息，據(jù)比對(duì)，該信息是往年泄露的，但其中涉及大量個(gè)人隱私信息，嚴(yán)重影響公眾生活。該事件發(fā)生后,CNCERT/CC立即聯(lián)系協(xié)調(diào)美國計(jì)算機(jī)應(yīng)急響應(yīng)組織(US-CERT)和相關(guān)域名注冊服務(wù)機(jī)構(gòu)對(duì)之進(jìn)行處置，有效阻止了信息進(jìn)一步泄露和擴(kuò)散。2021年7月，Ap。。h。Struts2被披露存在遠(yuǎn)程代碼執(zhí)行高危漏洞，可直接導(dǎo)致服務(wù)器被遠(yuǎn)程控制或數(shù)據(jù)被竊取，多家大型電商和互聯(lián)網(wǎng)企業(yè)以及大量政府、金融機(jī)構(gòu)網(wǎng)站受到影響，上億用戶信息面臨嚴(yán)重泄露風(fēng)險(xiǎn)。由于信息管理制度不完善，保險(xiǎn)訂單、航班訂單、網(wǎng)購訂單和快遞物流單據(jù)等包含的用戶個(gè)人信息被大量濫用，甚至公開售賣，也是個(gè)人信息泄露的重要原因之一。這些姓名、身份證號(hào)、等信息的真實(shí)性極高，被黑客廣泛用來實(shí)施欺詐和社會(huì)工程學(xué)攻擊，給現(xiàn)有社會(huì)信任機(jī)制帶來嚴(yán)重挑戰(zhàn)。3．移動(dòng)互聯(lián)網(wǎng)環(huán)境有所惡化，生態(tài)污染問題亟待鮮決移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量繼續(xù)大幅增長，惡意程序的制作、發(fā)布、預(yù)裝、傳播等初步形成一條完整的利益鏈條，移動(dòng)互聯(lián)網(wǎng)生態(tài)系統(tǒng)環(huán)境呈惡化趨勢，亟須加強(qiáng)管理。針對(duì)安卓平臺(tái)的惡意程序數(shù)量呈爆發(fā)式增長。2021年，CNCERT/CC通過自主監(jiān)測和交換捕獲的移動(dòng)互聯(lián)網(wǎng)惡意程序樣本達(dá)70.3萬個(gè)，較2021年增長3.3倍，其中針對(duì)安卓平臺(tái)的惡意程序占99.5%。按照惡意程序行為屬性統(tǒng)計(jì)，惡意扣費(fèi)類數(shù)量仍居第一-位，占71.5%，較2021年的39.80/。有大幅增路；其次是資費(fèi)消耗類（占15.1%）、系統(tǒng)破壞類（占3.2%）和隱私竊取類第一章信息安全基礎(chǔ)（占3.2%），與用戶經(jīng)濟(jì)利益密切相關(guān)的惡意扣費(fèi)類和資費(fèi)消耗類惡意程序占總數(shù)的85%以上，表明黑客在制作惡意程序時(shí)帶有明顯的逐利傾向。按惡意程序的危害等級(jí)分類，高危占10%，中危占29.0%，低危占70，o%。其中，高危惡意程序所占比例較2021年大幅下降，反映出黑客為降低風(fēng)險(xiǎn)，從制作惡意性明顯的木馬或病毒轉(zhuǎn)向制作惡意廣告、惡意第三方插件等灰色應(yīng)用，以達(dá)到既逃避監(jiān)管又獲取經(jīng)濟(jì)利益的目的。惡意程序傳播渠道多樣化。2021年CNCERT/CC監(jiān)測發(fā)現(xiàn)移動(dòng)互聯(lián)網(wǎng)惡意程序傳播次數(shù)達(dá)到1296萬余次，移動(dòng)互聯(lián)網(wǎng)惡意程序下載鏈接1207萬個(gè)，用于傳播移動(dòng)互聯(lián)網(wǎng)惡意程序的域名15247個(gè)、IP地址60976個(gè)，分別是2021年的23倍、33倍、32倍和11倍。這些域名包括移動(dòng)應(yīng)用商店、論壇、網(wǎng)盤、博客等眾多類型，其中僅移動(dòng)應(yīng)用商店的數(shù)量就超過300家。移動(dòng)應(yīng)用商店的審核機(jī)制不完善、安全檢測能力差等問題，使得惡意程序得以發(fā)布和擴(kuò)散，僅“安豐市場”就有數(shù)千個(gè)流行的移動(dòng)應(yīng)用被植入木馬程序，下載次數(shù)超過200萬次。2021年發(fā)現(xiàn)某電商出售的行貨，被第三方預(yù)置隱私竊取類病毒，能蔣默上傳號(hào)、IMEI號(hào)、聯(lián)網(wǎng)IP地址、位置信息、程序列表等，累計(jì)感染人數(shù)超過200萬。移動(dòng)應(yīng)用商店、經(jīng)銷商等移動(dòng)互聯(lián)網(wǎng)生態(tài)系統(tǒng)的上游環(huán)節(jié)被污染，導(dǎo)致下游用戶感染惡意程序的速度加劇。CNCERT按照工業(yè)和信息化部發(fā)布的《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機(jī)制》，組織開展了8次移動(dòng)互聯(lián)網(wǎng)惡意程序治理行動(dòng)，累計(jì)協(xié)調(diào)應(yīng)用商店下架惡意應(yīng)用軟件37507個(gè)。2021年，中國反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA)建立了“移動(dòng)互聯(lián)網(wǎng)應(yīng)用自律白名單”機(jī)制，組織安全企業(yè)和應(yīng)用商店成立白名單工作組和應(yīng)用商店自律組，形成有序的白名單審核流程和執(zhí)行機(jī)制，并公布了首批“移動(dòng)互聯(lián)網(wǎng)應(yīng)用自律白名單”，以幫助應(yīng)用商店、移動(dòng)應(yīng)用開發(fā)人員和廣大用戶推廣或使用安全可信的“白應(yīng)用”。4．經(jīng)濟(jì)信息安全威脅增加，信息消費(fèi)面臨跨平臺(tái)風(fēng)險(xiǎn)互聯(lián)網(wǎng)與金融行業(yè)深度融合，以余額寶、現(xiàn)金寶、理財(cái)通等為代表的互聯(lián)網(wǎng)金融產(chǎn)品市場火爆，在線經(jīng)濟(jì)活動(dòng)日趨活躍。但與此同時(shí)，釣魚攻擊呈現(xiàn)跨平臺(tái)發(fā)展趨勢，在線交易系統(tǒng)防護(hù)稍有不慎即可能引發(fā)連鎖效應(yīng)，影響金融安全和信息消費(fèi)，跨平臺(tái)釣魚攻擊出現(xiàn)并呈增長趨勢。2021年，在傳統(tǒng)互聯(lián)網(wǎng)的釣魚網(wǎng)站之外，黑客還結(jié)合移動(dòng)互聯(lián)網(wǎng)，利用傍冒移動(dòng)應(yīng)用、移動(dòng)互聯(lián)網(wǎng)惡意程序、偽基站等多種手段，實(shí)施跨平臺(tái)的釣魚欺詐攻擊，危害用戶經(jīng)濟(jì)利益。2021年，黑客利用安卓系統(tǒng)的“簽名驗(yàn)證繞過”高危漏洞，制作散播大量仿冒國內(nèi)主流銀行等金融機(jī)構(gòu)的移動(dòng)應(yīng)用，誘導(dǎo)用戶安裝，盜取用戶銀行賬戶信息：一些釣魚網(wǎng)站在盜取用戶銀行賬號(hào)和密碼等信息時(shí)，還大量傳播仿冒相應(yīng)銀行安全插件的惡意程序，劫持用戶收到的短信驗(yàn)證碼，從而使黑客進(jìn)一步完成網(wǎng)銀支付、轉(zhuǎn)賬等交易操作，牟取經(jīng)濟(jì)利益。此外，2021年利用偽基站進(jìn)行欺詐的活動(dòng)呈·11．--J-公務(wù)員網(wǎng)絡(luò)與信息安全教程——爆發(fā)趨勢，一類是仿冒金融機(jī)構(gòu)官方服務(wù)號(hào)碼向周圍用戶發(fā)送釣魚短信，致使一些大型銀行被迫調(diào)整部分銀行業(yè)務(wù)；另一類是冒充基礎(chǔ)電信企業(yè)客服或充值號(hào)碼聯(lián)系用戶，實(shí)施充值詐騙。此類事件不僅嚴(yán)重破壞企業(yè)形象，也對(duì)相關(guān)行業(yè)的健康發(fā)展造成不良影響。釣魚網(wǎng)站數(shù)量繼續(xù)迅速增長,2021年監(jiān)測發(fā)現(xiàn)針對(duì)我國銀行等境內(nèi)9月站的釣魚頁面30199個(gè)，涉及l(fā)P地址4240個(gè)，分別較2021年增長35。4%和64.60/0。CNCERT/CC全年接收到網(wǎng)絡(luò)釣魚類事件舉報(bào)10578起，處置事件10211起，分別較2021年增長11.8%和55.3%，為廣大網(wǎng)民挽回?cái)?shù)億元損失。在線交易系統(tǒng)安全問題易引發(fā)連鎖效應(yīng)?；ヂ?lián)網(wǎng)金融市場火爆，互聯(lián)網(wǎng)和移動(dòng)通信技術(shù)降低了使用門檻，在帶來便利的同時(shí)也產(chǎn)生了新的安全風(fēng)險(xiǎn)。2021年12月，支付寶錢包客戶端iOS版被披露存在手勢密碼漏洞，連續(xù)輸錯(cuò)5次手勢密碼后可導(dǎo)致密碼失效，使得攻擊者可以任意進(jìn)入支付寶賬戶，免密碼進(jìn)行小額支付。此后淘寶網(wǎng)被披露存在認(rèn)證漏洞，可登錄任意淘寶賬戶，給用戶資金安全造成威脅。此類互聯(lián)網(wǎng)公司通過所運(yùn)營的在線交易信息系統(tǒng)，掌捏大量用戶資金、真實(shí)身份、經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣等信息，系統(tǒng)出現(xiàn)安全問題后，風(fēng)險(xiǎn)隨之傳導(dǎo)至關(guān)聯(lián)的銀行、證券、電商等其他行業(yè)，產(chǎn)生連鎖反應(yīng)。2021年，CNCERT/CC監(jiān)測發(fā)現(xiàn)銀行、證券等行業(yè)聯(lián)網(wǎng)信息系統(tǒng)的安全漏洞、網(wǎng)站后門、網(wǎng)頁篡改等各類安全事件超過500起，存在交易信息被篡改、投資信息被泄露等諸多高危風(fēng)險(xiǎn)。此外，銀行信息系統(tǒng)本身的故障可能對(duì)經(jīng)濟(jì)活動(dòng)造成影響。2021年，國內(nèi)兩家主流銀行的信息系統(tǒng)先后出現(xiàn)全國性，（面積故障，導(dǎo)致柜面、ATM、網(wǎng)銀、語音系統(tǒng)等癱瘓，相關(guān)業(yè)務(wù)受到嚴(yán)重影響。5．政府網(wǎng)站面臨威脅依然嚴(yán)重，地方政府網(wǎng)站成為“重災(zāi)區(qū)”政府網(wǎng)站因其公信力高、影響力大，容易成為黑客攻擊目標(biāo)。我國政府網(wǎng)站被篡改和植入后門的情況嚴(yán)重，相對(duì)部委網(wǎng)站而言，地方政府網(wǎng)站是遭受攻擊的“重災(zāi)區(qū)”，影響政府形象及電子政務(wù)工作。地方政府網(wǎng)站是黑客攻擊的“重災(zāi)區(qū)”。據(jù)CNCERT/CC監(jiān)測，2021年，我國境內(nèi)被篡改網(wǎng)站數(shù)量為24034個(gè)，較2021年增長46.7%，其中政府網(wǎng)站被篡改數(shù)量為2430個(gè)，較2021年增長34.9%；我國境內(nèi)被植入后門的網(wǎng)站數(shù)量為76160個(gè)，較2021年增長45.6%，萁中政府網(wǎng)站2425個(gè)，較2021年下降19.6%。在被篡改和植入后門的政府網(wǎng)站中，超過90%是省市級(jí)以下的地方政府網(wǎng)站，超過75%的篡改方式是在網(wǎng)站首頁植入廣告黑鏈。由于地方政府網(wǎng)站存在技術(shù)和管理水平有限、網(wǎng)絡(luò)安全防護(hù)能力薄弱、人員和資金投入不足等問題，其網(wǎng)站服務(wù)器成為黑客控制的資源節(jié)點(diǎn)。2021年，CNCERT/CC共通報(bào)和處置超過1600起涉及政府部門的網(wǎng)站漏洞事件。一些部門收到CNCERT/CC預(yù)警通報(bào)后置之不理，導(dǎo)致安全威脅長期存在；另一些部門則只針對(duì)安全事件簡單清除，未對(duì)網(wǎng)站進(jìn)行詳細(xì)檢測和加固處理，導(dǎo)致反復(fù)多次遭受攻擊。相對(duì)于地方政府網(wǎng)·12．第一章信息安全基礎(chǔ)站，國務(wù)院部委門戶網(wǎng)站安全狀況較好，未監(jiān)測發(fā)現(xiàn)網(wǎng)頁篡改和網(wǎng)站后門事件，不過部分子站和業(yè)務(wù)系統(tǒng)仍然存在較多安全漏洞和風(fēng)險(xiǎn)點(diǎn)，可能成為黑客進(jìn)一步實(shí)施攻擊的跳板。境外黑客組織頻繁攻擊我國政府網(wǎng)站。2021年，境外“匿名者”、“阿爾及利亞黑客”等多個(gè)黑客組織曾對(duì)我國政府網(wǎng)站發(fā)起攻擊。其中，“反共黑客”組織較為活躍，持續(xù)發(fā)起針對(duì)我國境內(nèi)黨政機(jī)關(guān)、高校、企事業(yè)單位以及知名社會(huì)組織網(wǎng)站的攻擊，2021年該組織對(duì)我國境內(nèi)120余個(gè)政府網(wǎng)站實(shí)施篡改。據(jù)監(jiān)測，該組織利用網(wǎng)站漏洞預(yù)先植入后門，對(duì)網(wǎng)站實(shí)施控制后遂發(fā)起攻擊，目前至少入侵600余個(gè)境內(nèi)網(wǎng)站，并平均每三天在其社交網(wǎng)站發(fā)布一起篡改事件。另有“匿名者”、“阿爾及利亞黑客”等組織先后篡改我國187個(gè)政府網(wǎng)站。此外，還出現(xiàn)黑客為報(bào)復(fù)國家出臺(tái)的政策，對(duì)我國政府網(wǎng)站實(shí)施攻擊的新苗頭。2013年比特幣，要求國內(nèi)第三方支付機(jī)構(gòu)停止為比特幣交易平臺(tái)提供充值和支付服務(wù)之后，央行官方網(wǎng)站和新浪官方微博遭到黑客網(wǎng)絡(luò)攻擊，出現(xiàn)間歇性訪問困難和大量異常評(píng)論。6．國家級(jí)有組織攻擊頻發(fā)，我國面臨大量境外地址攻擊威脅國家級(jí)有紐織網(wǎng)絡(luò)攻擊行為給國家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)帶來嚴(yán)重威脅和挑戰(zhàn)。據(jù)CNCERT/CC監(jiān)測，我國面臨大量來自境外地址的網(wǎng)站后門、網(wǎng)絡(luò)釣魚、木馬和僵尸網(wǎng)絡(luò)等攻擊，具有國家背景的有組織攻擊頻發(fā)。2021年6月以來，斯諾登曝光“棱鏡計(jì)劃”等多項(xiàng)美國家安全局網(wǎng)絡(luò)監(jiān)控項(xiàng)目，披露美國情報(bào)機(jī)構(gòu)對(duì)多個(gè)國家和民眾長期實(shí)施監(jiān)聽和網(wǎng)絡(luò)滲透攻擊，引起國際社會(huì)強(qiáng)烈反響。根據(jù)曝光信息，美國投入巨額資金，分別通過互聯(lián)網(wǎng)、通信網(wǎng)、企業(yè)服務(wù)器等多種渠道以及采用網(wǎng)絡(luò)入侵手段，實(shí)施信息監(jiān)聽和收集，監(jiān)聽內(nèi)容包括互聯(lián)網(wǎng)元數(shù)據(jù)、互聯(lián)網(wǎng)通信內(nèi)容、社交網(wǎng)絡(luò)資料、和短信息等多種數(shù)據(jù)類型，監(jiān)控對(duì)象包括多國政要、外交系統(tǒng)、媒體網(wǎng)絡(luò)、大型企業(yè)網(wǎng)絡(luò)和國際組織等。我國屬于其重點(diǎn)監(jiān)聽和攻擊目標(biāo)，國家安全和互聯(lián)網(wǎng)用戶隱私安全面臨嚴(yán)重威脅。2021年，越來越多的有組織高級(jí)持續(xù)性威脅(APT)攻擊事件浮出水面，APT攻擊成為國家間網(wǎng)絡(luò)對(duì)抗的新型有力武器。2013年韓國多家廣播電視臺(tái)和銀行等金融機(jī)構(gòu)遭受歷史上最大規(guī)模的惡意代碼攻擊，導(dǎo)致系統(tǒng)癱瘓，一度引發(fā)韓國社會(huì)混亂。CNCERT/CC獲知消息后，第一時(shí)間與韓國計(jì)算機(jī)虛急響應(yīng)組織(KrCERT)聯(lián)系，并協(xié)助調(diào)查，及時(shí)消除攻擊來自中國的誤會(huì)。邁克菲公司、卡巴斯基實(shí)驗(yàn)室等先后曝光持續(xù)多年、具有極強(qiáng)隱蔽性的“特洛伊行動(dòng)”、“紅色十月”、“Icefog”等一系列APT攻擊，曾大量竊取政府部門、科研機(jī)構(gòu)和重點(diǎn)行業(yè)單位的重要敏感信息。我國同樣面臨嚴(yán)重的APT攻擊威脅，一些國家利用信息化技術(shù)優(yōu)勢，大力推動(dòng)研發(fā)計(jì)算機(jī)病毒武器，破解互聯(lián)網(wǎng)加密算法，或直接在標(biāo)準(zhǔn)算法·13·公務(wù)員網(wǎng)絡(luò)與信息安全教程中放置后門，持續(xù)對(duì)我國實(shí)施APl'攻擊。我國政府機(jī)構(gòu)、基礎(chǔ)電信企業(yè)、科研院所、大型商業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)遭受攻擊和滲透入侵。2021年，CNCERT/CC監(jiān)測發(fā)現(xiàn)我國境內(nèi)1.5萬臺(tái)主機(jī)被APT木馬控制，對(duì)我國關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全造成嚴(yán)重威脅。我國仍面臨大量來自境外地址的攻擊威脅。2021年，境外有3.1萬臺(tái)主機(jī)通過植入后門對(duì)境內(nèi)6.1萬個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制，雖然境外控制主機(jī)數(shù)量較2021年下降4.3%，但所控制的境內(nèi)網(wǎng)站數(shù)量卻大幅增長62.1010。從所控制的境內(nèi)網(wǎng)站數(shù)量看，位于美國的主機(jī)居首位，共有6215臺(tái)主機(jī)控制著境內(nèi)15349個(gè)網(wǎng)站，平均每個(gè)主機(jī)控制2.5個(gè)境內(nèi)網(wǎng)站，較2021年（約1.4個(gè)）增長78.60/0。其次是中國香港，控制境內(nèi)13116個(gè)網(wǎng)站，較2021年大幅增長179.5%。排名第三的是韓國，控制境內(nèi)7052個(gè)網(wǎng)站，較2021年下降11.1%。在網(wǎng)絡(luò)釣魚攻擊方面，針對(duì)我國的釣魚站點(diǎn)有90.2%位于境外，共有3823個(gè)境外IP地址承載29966個(gè)針對(duì)我國境內(nèi)網(wǎng)站的仿冒頁面，分別較2021年增長54.3%和27.8%。從承載的釣魚頁面數(shù)雖看，美國仍居首位，共有2043臺(tái)主機(jī)承載12573個(gè)釣魚頁面，中國香港和韓國列第二、三位，分別承載4500個(gè)和1093個(gè)釣魚頁面。在木馬僵尸網(wǎng)絡(luò)方面，我國境內(nèi)1090萬余臺(tái)主機(jī)被境外2.9萬余個(gè)控制服務(wù)器控制，其中位于美國的8807個(gè)控制服務(wù)器控制了我國境內(nèi)448,5萬余臺(tái)主機(jī)，控制主機(jī)數(shù)量占被境外控制主機(jī)總數(shù)的41.1%。從控制服務(wù)器占全部境外控制服務(wù)器的比例來看，美國占比由2021年的17.6%增長至30.2%，仍居首位；韓國和中國香港分列第二、三位，占比分別為7.8%和7.7%。就所控制的境內(nèi)主機(jī)數(shù)量而言，美國居首位，葡萄牙和韓國分列第二、三位，分別控制我國境內(nèi)398.8萬和83.9萬臺(tái)主機(jī)。CNCERT/CC不斷加強(qiáng)與國際CERT組織間的網(wǎng)絡(luò)安全合作，完善跨境網(wǎng)絡(luò)安全事件處置協(xié)作機(jī)制。截至2021年年底，已與59個(gè)國家和地區(qū)、127個(gè)組織建立聯(lián)系機(jī)制，全年共協(xié)調(diào)境外安全組織處理涉及境內(nèi)的安全事件5498起，較2021年增長35.3%。四、研究網(wǎng)絡(luò)信息安全的意義習(xí)近平總書記指出：“沒有網(wǎng)絡(luò)安全，就沒有國家安全”。以互聯(lián)網(wǎng)為核心的網(wǎng)絡(luò)空間已成為繼陸、海、空、天之后的第五大戰(zhàn)略空間．各國均高度重視網(wǎng)絡(luò)空間的安全問題。2021年，斯諾登披露的“棱鏡門”事件如同重磅炸彈，更是引發(fā)了國際社會(huì)和公眾對(duì)網(wǎng)絡(luò)安全的空前關(guān)注。維護(hù)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全，是保障各領(lǐng)域信息化工作持續(xù)穩(wěn)定發(fā)展的先決條件。我國政府相關(guān)部門、互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)和廣大網(wǎng)民對(duì)網(wǎng)絡(luò)安全的重視程度日益提高，不斷加強(qiáng)自身防護(hù)水平，加大網(wǎng)絡(luò)安全威脅治理力度，積極參與網(wǎng)絡(luò)安全國際合作，以期建立安全可信的網(wǎng)絡(luò)環(huán)境，確?；A(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)安全運(yùn)行，促進(jìn)產(chǎn)業(yè)經(jīng)濟(jì)穩(wěn)定發(fā)展?！?4·第一章信息安全基礎(chǔ)第三節(jié)網(wǎng)絡(luò)信息安全技術(shù)一、網(wǎng)絡(luò)信息安全技術(shù)發(fā)展趨勢在信息交換中，“安全”是相對(duì)的，而“不安全”是絕對(duì)的。隨著社會(huì)的發(fā)展和技術(shù)的進(jìn)步，信息安全標(biāo)準(zhǔn)不斷提升，因此信息安全問題永遠(yuǎn)是一個(gè)全新的問題?！鞍l(fā)展”和“變化”是信息安全的最主要特征，只有緊緊抓住這個(gè)特征才能正確地處理和對(duì)待信息安全問題，以新的防御技術(shù)來阻止新的攻擊方法。信息安全技術(shù)的發(fā)展呈現(xiàn)如下趨勢：1．信息安全越來越重要信息安全系統(tǒng)的保障能力是21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實(shí)力和民族生存能力的重要組成部分。因此，必須努力構(gòu)建一個(gè)建立在自主研究開發(fā)基礎(chǔ)之上的技術(shù)先進(jìn)、管理高效、安全可靠的國家信息安全體系，以有效地保障國家的安全、社會(huì)的穩(wěn)定和經(jīng)濟(jì)的發(fā)展。2．信息安全標(biāo)準(zhǔn)在不斷變化應(yīng)根據(jù)技術(shù)的發(fā)展和實(shí)際社會(huì)發(fā)展的需要不斷更新信息安全標(biāo)準(zhǔn)，科學(xué)合理的安全標(biāo)準(zhǔn)是保障信息安全的第一步，需要無限追求如何在設(shè)計(jì)制作信息系統(tǒng)時(shí)就具備保護(hù)信息安全的體系結(jié)構(gòu)，這是人們長期追求的目標(biāo)。3．信息安全概念在不斷擴(kuò)展安全手段需隨時(shí)更新。人類對(duì)信息安全的追求過程是一個(gè)漫長的深化過程。隨著社會(huì)信息化步伐的加快，信息安全至少需要“攻、防、測、控、管、評(píng)“等多方面的基礎(chǔ)理論和實(shí)施技術(shù)的研究。4．信息安全是一個(gè)復(fù)雜的巨大系統(tǒng)信息安全是現(xiàn)代信息系統(tǒng)發(fā)展應(yīng)用帶來的新問題，它的解決也需要現(xiàn)代高新技術(shù)的支撐，傳統(tǒng)意義的方法是不能解決問題的，所以信息安全新技術(shù)總是在不斷地涌現(xiàn)。信息安全領(lǐng)域?qū)⑦M(jìn)一步發(fā)展密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)絡(luò)技術(shù)、病毒與反病毒技術(shù)、數(shù)據(jù)庫安全技術(shù)、操作系統(tǒng)安全技術(shù)、物理安全與保密技術(shù)。二、信息安全的技術(shù)體系結(jié)構(gòu)信息網(wǎng)絡(luò)是基于互聯(lián)網(wǎng)基礎(chǔ)上發(fā)展而成的一個(gè)開放性系統(tǒng)互聯(lián)的結(jié)果，也就是多個(gè)獨(dú)立的系統(tǒng)通過網(wǎng)絡(luò)進(jìn)行連接，最終又可以成為—個(gè)新的獨(dú)立系統(tǒng)來為其他系·15-公務(wù)員網(wǎng)絡(luò)與信息安全教程統(tǒng)或用戶提供服務(wù)。這樣的開放性系統(tǒng)類似于國際標(biāo)準(zhǔn)化組織(ISO)為了解決不同系統(tǒng)的互聯(lián)而提出的OSI模型，即開放式系統(tǒng)互聯(lián)(OpenSystemInterconnect)，一般簡稱為OSI參考模型。OSI參考模型的安全體系結(jié)構(gòu)認(rèn)為一個(gè)安全的信息系統(tǒng)結(jié)構(gòu)應(yīng)該包括：五種安全服務(wù)，即身份認(rèn)證服務(wù)（Authentieationaervice）、訪問控制(Accesscon—trol)、數(shù)據(jù)完整性(Dataintegrity)、數(shù)據(jù)機(jī)密性(Datasecrecy)和抗拒絕服務(wù)(Anti-DoS)。八類安全技術(shù)和支持上述安全服務(wù)的安全技術(shù)。這八類安全技術(shù)是公證(Vali-dation)、路由控制(Routecontrol)、業(yè)務(wù)流填充（Trafficflowpadding）、數(shù)據(jù)交換(Dataswitch)、數(shù)據(jù)完整性(Dataintegrity)、訪問控制(Accesscontrol)、數(shù)字簽名(Digitalsig-nature)和數(shù)據(jù)加密(Dataencryption)。三種安全管理方法，即系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。網(wǎng)絡(luò)系統(tǒng)信息安全標(biāo)準(zhǔn)IS07498-2扶體系結(jié)構(gòu)的觀點(diǎn)上描述了ISO基本參考模型之間的安全通信必須提供的安全服務(wù)及安全機(jī)制，并說明了安全服務(wù)及相應(yīng)機(jī)制在安全體系結(jié)構(gòu)中的關(guān)系，從而建立了開放互聯(lián)系統(tǒng)的安全體系結(jié)構(gòu)框架。將安全技術(shù)與OS1七層結(jié)構(gòu)對(duì)應(yīng)起來，使用IATF的分層方法可以得出信息安全技術(shù)體系結(jié)構(gòu)如圖1-2所示：黔咽圖1-2信息安全技術(shù)體系結(jié)構(gòu)根據(jù)這個(gè)結(jié)構(gòu)圖，我國GA/T390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》將信息系統(tǒng)安全技術(shù)要求劃分為：物理安全技術(shù)要求、應(yīng)用系統(tǒng)技術(shù)要求、操作系統(tǒng)技術(shù)要求、網(wǎng)絡(luò)技術(shù)要求和數(shù)據(jù)庫管理技術(shù)要求五個(gè)方面。物理安全是相對(duì)于物理破壞而言的，也就是信息系統(tǒng)所有應(yīng)用硬件物理方面上的破損或毀壞。物理設(shè)備處于整個(gè)模型的最底層，它是整個(gè)模型得以順利運(yùn)行的物質(zhì)基礎(chǔ)，所以物理安全是整個(gè)信息網(wǎng)絡(luò)安全運(yùn)行的前提。物理安全一旦遭到破壞，系統(tǒng)將會(huì)變得不可用或不可信，在物理層上面的其他上層安全保護(hù)技術(shù)也將形同虛設(shè)。系統(tǒng)安全是相對(duì)于各種軟件系統(tǒng)而言的?？梢哉f，最基本、最重要的軟件系統(tǒng)就是操作系統(tǒng)，它能夠管理各種硬件資源，為用戶提供讀寫信息、使用外部設(shè)備和連接網(wǎng)絡(luò)的基本功能。系統(tǒng)是一個(gè)很廣泛的概念，住何對(duì)象都可以稱為系統(tǒng)。通常我們·16．離第一章信息安全基礎(chǔ)說的系統(tǒng)都是特指操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，目的是方便談?wù)摵脱芯?。信息網(wǎng)絡(luò)必然需要網(wǎng)絡(luò)環(huán)境的支持。按照OSI七層模型對(duì)網(wǎng)絡(luò)的劃分要求，網(wǎng)絡(luò)分為：物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。OSI模型對(duì)網(wǎng)絡(luò)安全的技術(shù)要求是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)以及管理的安全提供保護(hù)，保護(hù)計(jì)算機(jī)軟、硬件和數(shù)據(jù)不會(huì)因?yàn)榕既换驉阂獾脑蚨獾狡茐?、泄漏和更改。由此可以將網(wǎng)絡(luò)安全技術(shù)定義為：保護(hù)信息網(wǎng)絡(luò)依存的網(wǎng)絡(luò)環(huán)境的安全保障技術(shù)，通過這些技術(shù)的部署和實(shí)施，確保網(wǎng)絡(luò)中數(shù)據(jù)傳輸和交換不會(huì)受到外界因素的影響而出現(xiàn)增加、篡改、丟失或泄漏等現(xiàn)象。檢測和響應(yīng)上層協(xié)議和命令，為模型安全運(yùn)行提供基礎(chǔ)性支持，這是系統(tǒng)基礎(chǔ)性輔助設(shè)施的基本要求。通常所說的檢測、響應(yīng)技術(shù)如加密、PKI技術(shù)就是其中幾種比較重要的支持技術(shù)。這些基礎(chǔ)性安全技術(shù)并不是獨(dú)立的歸屬于具體某一個(gè)層次，而是整個(gè)模型中各層次都會(huì)用到的、依賴的技術(shù)。第四節(jié)網(wǎng)絡(luò)信息安全法律體系由于信息安全保障涉及信息安全、網(wǎng)絡(luò)安全、技術(shù)安全、管理安全、內(nèi)容安全、個(gè)人行為安全等多個(gè)層次和方面，因此，一個(gè)完整的信息安全保障體系要求產(chǎn)業(yè)部門、保密部門、機(jī)要都門、安全部門、公安部門、文化部門、宣傳部門等通力合作來一起管理。信息化不是一個(gè)局部簡稱，而是全社會(huì)一個(gè)新的社會(huì)形態(tài)，需要多方協(xié)助合作共同管理。在當(dāng)前世界形勢中，綜合國力競爭激烈、國際形勢瞬息萬變的情況下，一個(gè)國家支配信息的能力越強(qiáng)，就越有戰(zhàn)略主動(dòng)權(quán)。信息安全保障能力已經(jīng)是21世紀(jì)國家綜合國力、經(jīng)濟(jì)競爭力和國家生存發(fā)展能力的重要組成部分，因此，將信息安全納入并上升到國家和民族利益的高度，作為一項(xiàng)基本國策加以重視是十分必要的。一、我國立法情況2003年，中共中央辦公廳下發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）是目前我國信息安全保障方面的一個(gè)綱領(lǐng)性文件。強(qiáng)調(diào)加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系：規(guī)范和加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)。二、我國與網(wǎng)絡(luò)信息安全相關(guān)的法律主要有：《憲法》、《電子簽名法》、《全國人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《刑法》、《刑事訴訟法》、《人民警察法》、《治安管理處罰法》、《國家安全法》、·17．公務(wù)員網(wǎng)絡(luò)與信息安全教程《保守國家秘密法》、《行政處罰法》、《行政訴訟法》、《行政復(fù)議法》、《國家賠償法》、《海關(guān)法》、《郵政法》、《商標(biāo)法》、《專利法》、《著作權(quán)法》、《反不正當(dāng)競爭法》等。1．《憲法》第35條中華人民共和國公民有言論、出版、集會(huì)、結(jié)社、游行、示威的自由。第38條中華人民共和國公民的人格尊嚴(yán)不受侵犯。禁止用任何方法對(duì)公民進(jìn)行侮辱、誹謗和誣告陷害。第40條中華人民共和國公民的通信自由和通信秘密受法律的保護(hù)。除因國家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密。2．《全國人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》（2000年這是我國第一部關(guān)于互聯(lián)網(wǎng)安全的法律。該法分別從以下四個(gè)方面：(1)保障互聯(lián)網(wǎng)的運(yùn)行安全；(2)維護(hù)國家安全和社會(huì)穩(wěn)定；(3)維護(hù)社會(huì)主義市場經(jīng)濟(jì)秩序和社會(huì)管理秩序；(4)保護(hù)個(gè)人、法人和其他組織的人身、財(cái)產(chǎn)等合法權(quán)利共l5款，明確規(guī)定了對(duì)構(gòu)成犯罪的行為，依照刑法有關(guān)規(guī)定追究刑事責(zé)任。3．《電子簽名法》（2004年該法確立電子簽名的法待效力、規(guī)范電子簽名的行為、明確認(rèn)證機(jī)構(gòu)的法律地位及認(rèn)證程序、規(guī)定電子簽名的安全保障措施。適用于電子政務(wù)的問題，第35條規(guī)定，國務(wù)院或者國務(wù)院規(guī)定的部門可以依據(jù)本法制定政務(wù)活動(dòng)和其他社會(huì)活動(dòng)中使用電子簽名、數(shù)據(jù)電文的具體辦法。4．《刑法》（1997年根據(jù)《刑法》規(guī)定，大多數(shù)犯罪罪種（包括危害國家安全罪，危害公共安全罪、破壞社會(huì)主義市場經(jīng)濟(jì)秩序罪，侵犯公民人身權(quán)利、民主權(quán)利罪、侵犯財(cái)產(chǎn)罪，妨害社會(huì)管理秩序罪）都適用于利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的犯罪以外，還專門在第285條和第286條分別規(guī)定了非法入侵計(jì)算機(jī)信息系統(tǒng)罪和破壞計(jì)算機(jī)信息系統(tǒng)罪，共兩條四款：第285條違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。第286條違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，·18．第一章信息安全基礎(chǔ)造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑。違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳播的數(shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款處罰。故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款處罰。三、行政法規(guī)國務(wù)院為執(zhí)行憲法和法律而制定的網(wǎng)絡(luò)信息安全行政法規(guī)主要有：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理?xiàng)l例》、《中華人民共和國電信條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)軟件保護(hù)條例》、《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》等。1《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)每例》（1994年這是我國第一部涉及計(jì)算機(jī)信息系統(tǒng)安全的行政法規(guī)。《條例》賦予“公安部主管全國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作”的職能（包括監(jiān)督、檢查、指導(dǎo)權(quán)；計(jì)算機(jī)違法犯罪案件查處權(quán)；其他監(jiān)督職權(quán)；《條例》要求國家安全部、國家保密局和國務(wù)院其他有關(guān)部門，在國務(wù)院規(guī)定的職責(zé)范圍內(nèi)做好計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的有關(guān)工作。2.《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》規(guī)定了計(jì)算機(jī)信息網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)的原則：毖須使用郵電部國家公用電信網(wǎng)提供的國際出入口信道、接入網(wǎng)絡(luò)必須通過互聯(lián)網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)、用戶的計(jì)算機(jī)或計(jì)算機(jī)信息網(wǎng)絡(luò)必須通過接入網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)?！兑?guī)定》對(duì)互聯(lián)網(wǎng)接人單位實(shí)行國際聯(lián)網(wǎng)經(jīng)營許可證制度（經(jīng)營性）和審批制度（非經(jīng)營性），限定了接人單位的資質(zhì)條件、服務(wù)能力及其法律責(zé)任。3《計(jì)算機(jī)軟件保護(hù)條/vl》2002年軟件著作權(quán)的保護(hù)期由過去的25年提高到50年；增加出租權(quán)；增加網(wǎng)絡(luò)傳播侵權(quán)的行為的認(rèn)定；明確并加大了對(duì)侵權(quán)約法定賠償?shù)臄?shù)額；完善軟件著作權(quán)登記制度；界定了用戶使用未經(jīng)允許的軟件的法律性質(zhì)問題。4．《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》保護(hù)信息網(wǎng)絡(luò)傳播權(quán)、保護(hù)為保護(hù)權(quán)利人信息網(wǎng)絡(luò)傳播權(quán)采取的技術(shù)措施、保護(hù)用來說明作品權(quán)利歸屬或者使用條件的權(quán)利管理電子信息、建立處理侵權(quán)糾紛的“通知與刪除”簡便程序?！?9．公務(wù)員網(wǎng)絡(luò)與信息安全教程四、規(guī)章和規(guī)范性文件與信息安全相關(guān)的部門規(guī)章和規(guī)范性文件主要由各部辦委在本部門的權(quán)限范圍內(nèi)制定的法律規(guī)范，以及省、自治區(qū)、直轄市和較大的市的人民政府根據(jù)法律、行政法規(guī)和本省、自治區(qū)、直轄市的地方性法規(guī)制定的法律規(guī)范。公安部出臺(tái)有《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《關(guān)于開展計(jì)算機(jī)安全員培訓(xùn)工作的通知》等。1997年l2月11日國務(wù)院批準(zhǔn)、I997年12月30機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》，是我國第一部全面調(diào)整互聯(lián)網(wǎng)絡(luò)安全的行政法規(guī)，不僅對(duì)我國互聯(lián)網(wǎng)的初期發(fā)展起到了重要的保障作用，而且為后續(xù)有關(guān)信息網(wǎng)絡(luò)安全的法規(guī)、規(guī)章的出臺(tái)起到了重要的指導(dǎo)作用。四條禁則：(1)任何單位和個(gè)人不得利用國際聯(lián)網(wǎng)危害國家安全、泄露國家秘密，不得侵犯國家的、社會(huì)的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動(dòng)。(2)任何單位和個(gè)人不得利用國際聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播有害信息。(3、任何單位和個(gè)人不得從事危害計(jì)箅機(jī)信息網(wǎng)絡(luò)安全的活動(dòng)。(4)任何單位和個(gè)人不得違反法律規(guī)定，利用國際聯(lián)網(wǎng)侵犯用戶的通信自由和通信秘密。信息產(chǎn)業(yè)部出臺(tái)的部門規(guī)章和規(guī)范性文件主要有：互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法（信息產(chǎn)業(yè)部令第38號(hào)）；互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定（國務(wù)院新聞辦公室信息產(chǎn)業(yè)部令第37號(hào)）；電信服務(wù)規(guī)范（信息產(chǎn)業(yè)部令第36號(hào)）；電子認(rèn)證服務(wù)管理辦法（信息產(chǎn)業(yè)部令第35號(hào)）；互聯(lián)網(wǎng)IP地址備案管理辦法（信息產(chǎn)業(yè)部令第34號(hào)）；非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)備案管理辦法（信息產(chǎn)業(yè)部令第33號(hào)）；軍工電子裝備科研生產(chǎn)許可證管理辦法（信息產(chǎn)業(yè)部令第32號(hào)）；中國互聯(lián)網(wǎng)絡(luò)域名管理辦法（信息產(chǎn)業(yè)部令第30號(hào)）；國際通信設(shè)施建設(shè)管理規(guī)定（信息產(chǎn)業(yè)部令第23號(hào)）；國際通信出入口局管理辦法（信息產(chǎn)業(yè)部令第22號(hào)）；電信網(wǎng)間互聯(lián)爭議處理辦法（信息產(chǎn)業(yè)部令第15號(hào)）；軟件產(chǎn)品管理辦法（信息產(chǎn)業(yè)部令第5號(hào)）互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定（信息·20·第一章信息安全基礎(chǔ)產(chǎn)業(yè)部令第3號(hào)）以及通信建設(shè)項(xiàng)目招標(biāo)投標(biāo)管理暫行規(guī)定（信息產(chǎn)業(yè)部令第2號(hào)）。其他還有國務(wù)院新聞辦出臺(tái)的《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》，《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》（與信息產(chǎn)業(yè)部2005年部出臺(tái)的《中國教育和科研計(jì)算機(jī)網(wǎng)暫行管理辦法》、《教育網(wǎng)站和網(wǎng)校暫行管理辦法》；新聞出版署出臺(tái)的《電子出版物管理規(guī)定》；國家保密局出臺(tái)的《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》、《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《涉及國家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)審批暫行辦法》、《涉密計(jì)算機(jī)信息系統(tǒng)建設(shè)資質(zhì)審查和管理暫行辦法》、《關(guān)于加強(qiáng)政府上網(wǎng)信息保密管理的通知》等；由原郵電部出臺(tái)的《中國金橋信息網(wǎng)公眾多媒體信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)出入口信道管理辦法》、《中國公用計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理辦法》、《中國公眾多媒體通信管理辦法》、《專用網(wǎng)與公用網(wǎng)聯(lián)通的暫行規(guī)定》等；中國證監(jiān)會(huì)出臺(tái)了《網(wǎng)上證券委托暫行管理辦法》；國家廣電總局出臺(tái)有《關(guān)于加強(qiáng)通過信息網(wǎng)絡(luò)向公眾傳播廣播電影電視類節(jié)目管理的通告》；國家藥品監(jiān)督管理局出臺(tái)有《互聯(lián)網(wǎng)藥品信息腮務(wù)管理暫行規(guī)定》?！?1·第二章信息安全管理基礎(chǔ)第一節(jié)信息安全的管理體系一、信息安全管理體系的概念“堅(jiān)持管理與技術(shù)并重”是我國加強(qiáng)信息安全保障工作的主要原則。信息安全管理體系（InformationSecurityManagementSystem，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個(gè)新概念，是管理體系(ManagementSystem，MS)思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來，伴隨著ISMS國際標(biāo)準(zhǔn)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會(huì)及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。信息安全管理體系(ISMS)是組織機(jī)構(gòu)在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完善這些目標(biāo)所用的方法和手段所構(gòu)成的體系；ISMS是信息安全管理活動(dòng)的直接結(jié)果，表現(xiàn)為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合，是涉及人、程序和信息技術(shù)的系統(tǒng)。信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)一安全技術(shù)一信息安全管理體系要求》的要求進(jìn)行建立的，ISO/IEC27001櫟準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來。二、信息安全管理的內(nèi)容信息安全管理的內(nèi)容涉及到信息安全和管理兩大塊內(nèi)容，如圖2-1所示：·22．?dāng)?shù)據(jù)安全網(wǎng)絡(luò)安全系統(tǒng)安全設(shè)備安全人員安全應(yīng)急響應(yīng)信息安全{ISMS）管理體系InformationSecurityManagemmtSystem(ISMS信息安全管理體系)基FiSOfrEC27000系列國際標(biāo)準(zhǔn)族綜合信息安全管理和技術(shù)手段的種方法ISMS足管理體系(MS)家族的一個(gè)成員圖2-1信息安全管理的內(nèi)容管理體系方法管理體系要求認(rèn)證機(jī)構(gòu)和認(rèn)證審核和審核員國際互認(rèn)第二章信息安全管理基礎(chǔ)第二節(jié)信息安全管理實(shí)施過程-PDCA模型這是最早由美國質(zhì)量統(tǒng)計(jì)控制之父Shewhat(休哈特)提出的PDS(PlanDoSee)演化而來，由美國質(zhì)量管理專家戴明改進(jìn)成為PDCA模式，所以又稱為“戴明環(huán)”。PDCA的含義如下：P(Plan)-計(jì)劃；D(Design)-設(shè)計(jì)（原為Do，執(zhí)行）；C(Check)-檢查；A(Act)-修正，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，未解決的問題放到下一個(gè)PDCA循環(huán)里。以上四個(gè)過程不是運(yùn)行一次就結(jié)束，而是周而復(fù)始的進(jìn)行，一個(gè)循環(huán)完了，解決一些問題，未解決的問題進(jìn)入下一個(gè)循環(huán)，這樣階梯式上升。一、P-建立信息安全管理體系環(huán)境＆風(fēng)險(xiǎn)評(píng)估要啟動(dòng)PDCA循環(huán)，必須有“啟動(dòng)器”：提供必須的資源、選擇風(fēng)險(xiǎn)管理方法、確定評(píng)審方法、文件化實(shí)踐。設(shè)計(jì)策劃階段就是為了確保正確建立信息安全管理體系的范圍和詳略程度，識(shí)別并評(píng)估所有的信息安全風(fēng)險(xiǎn)，為這些風(fēng)險(xiǎn)制定適當(dāng)?shù)奶幚碛?jì)劃。策劃階段的所有重要活動(dòng)都要被文件化，以備將來追溯和控制更改情況。1．確定范圍和方針信息安全管理體系可以覆蓋組織的全部或者部分。無論足全部還是部分，組織都必須明確界定體系的范圍，如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息安全管理體系的范圍，信息安全管理體系范圍文件應(yīng)該涵蓋：確立信息安全管理體系范圍和體系環(huán)境所需的過程；戰(zhàn)略性和組織化的信息安全管理環(huán)境；組織的信息安全風(fēng)險(xiǎn)管理方法；信息安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)以及所要求的保證程度；信息資產(chǎn)識(shí)別的范圍，信息安全管理體系也可能在其他信息安全管理體系的控制范圍內(nèi)。在這種情況下，上下級(jí)控制的關(guān)系有下列兩種可能：下級(jí)信息安全管理體系不使用上級(jí)信息安全管理體系的控制：在這種情況下，上級(jí)信息安全管理體系的控制不影響下級(jí)信息安全管理體系的PDCA活動(dòng)；下級(jí)信息安全管理體系使用上級(jí)信息安全管理體系的控制：在這種情況下，上級(jí)信息安全管理體系的控制可以被認(rèn)為是下級(jí)信息安全管理體系策劃活動(dòng)的“外部控制”。盡管此類外部控制并不影響下級(jí)信息安全管理體系的實(shí)施、檢查、措施活動(dòng)，但是下級(jí)信息安全管理體系仍然有責(zé)任確認(rèn)這些外部控制提供了充分的保護(hù)。安全方針是關(guān)于在一個(gè)組織內(nèi)，指導(dǎo)如何對(duì)信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則、指示，是組織信息安全管理體系的基本法。組織的信息安全方針，描述信息安全茌組織內(nèi)的重要性，表明管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。·23·公務(wù)員網(wǎng)絡(luò)與信息安全教程2定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法確定信息安全風(fēng)險(xiǎn)評(píng)估方法，并確定風(fēng)險(xiǎn)等級(jí)準(zhǔn)則。評(píng)估方法應(yīng)該和組織既定的信息安全管理體系范圍、信息安全需求、法律法規(guī)要求相適應(yīng)，兼顧效果和效率。組織需要建立風(fēng)險(xiǎn)評(píng)估文件，解釋所選擇的風(fēng)險(xiǎn)評(píng)估方法、說明為什么該方法適合組織的安全要求和業(yè)務(wù)環(huán)境，介紹所采用的技術(shù)和工具，以及使用這些技術(shù)和工具的原因。評(píng)估文件還應(yīng)該規(guī)范下列評(píng)估細(xì)節(jié)：a．信息安全管理體系內(nèi)資產(chǎn)的估價(jià)，包括所用的價(jià)值尺度信息；b．威脅及薄弱點(diǎn)的識(shí)別；c．可能利用薄弱點(diǎn)的威脅的評(píng)估，以及此類事故可能造成的影響；d．以風(fēng)險(xiǎn)評(píng)估結(jié)果為基礎(chǔ)的風(fēng)險(xiǎn)計(jì)算，以及剩余風(fēng)險(xiǎn)的識(shí)別。3．識(shí)別風(fēng)險(xiǎn)識(shí)別信息安全管理體系控制范圍內(nèi)的信息資產(chǎn)；識(shí)別對(duì)這些資產(chǎn)的威脅；識(shí)別可能被威脅利用的薄弱點(diǎn)；識(shí)別保密性、完整性和可用性丟失對(duì)這些資產(chǎn)的潛在影響。4．評(píng)估風(fēng)險(xiǎn)根據(jù)資產(chǎn)保密性、完整性或可用性丟失的潛在影響，評(píng)估由于安全失?。‵ailure）可能引起的商業(yè)影響；根據(jù)與資產(chǎn)相關(guān)的主要威脅、薄弱點(diǎn)及其影響，以及目前實(shí)施的控制，評(píng)估此類失敗發(fā)生的現(xiàn)實(shí)可能性；根據(jù)既定的風(fēng)險(xiǎn)等級(jí)準(zhǔn)則，確定風(fēng)險(xiǎn)等級(jí)。5．識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方汝對(duì)于所識(shí)別的信息安全風(fēng)險(xiǎn)，組織需要加以分析，區(qū)別對(duì)待。如果風(fēng)險(xiǎn)滿足組織的風(fēng)險(xiǎn)接受方針和準(zhǔn)則，那么就有意的、客觀的接受風(fēng)險(xiǎn)；對(duì)于不可接受的風(fēng)險(xiǎn)組織可以考慮避免風(fēng)險(xiǎn)或者將轉(zhuǎn)移風(fēng)險(xiǎn)；對(duì)于不可避免也不可轉(zhuǎn)移的風(fēng)險(xiǎn)應(yīng)該采取適當(dāng)?shù)陌踩刂?，將其降低到可接受的水平?．為風(fēng)險(xiǎn)的處理選擇控制目標(biāo)與控制方式選擇并文件化控制目標(biāo)和控制方式，以將風(fēng)險(xiǎn)降低到可接受的等級(jí)。BS7799-2：2002附錄A提供了可供選擇的控制目標(biāo)與控制方式。不可能總是以可接受的費(fèi)用將風(fēng)險(xiǎn)降低到可接受的等級(jí)，那么需要確定是增加額外的控制，還是接受高風(fēng)險(xiǎn)。在設(shè)定可接受的風(fēng)險(xiǎn)等級(jí)時(shí)，控制的強(qiáng)度和費(fèi)用應(yīng)該與事故的潛在費(fèi)用相比較。這個(gè)階段還應(yīng)該策劃安全破壞或者違背的探測機(jī)制，進(jìn)而安排預(yù)防、制止、限制和恢復(fù)控制。在形式上，組織可以通過設(shè)計(jì)風(fēng)險(xiǎn)處理計(jì)劃來完成步驟5和6。風(fēng)險(xiǎn)處理計(jì)劃是組織針對(duì)所識(shí)別的每一項(xiàng)不可接受風(fēng)險(xiǎn)建立的詳細(xì)處理方案和實(shí)施時(shí)間表，是組織安全風(fēng)險(xiǎn)和控制措施的接口性文檔。風(fēng)險(xiǎn)處理計(jì)劃不僅可以指導(dǎo)后續(xù)的信息安全管理活動(dòng)，還可以作為與高層管理者、上級(jí)領(lǐng)導(dǎo)機(jī)構(gòu)、合作伙伴或者員工進(jìn)行信息安全事宜溝通的橋梁。這個(gè)計(jì)劃至少應(yīng)該為每一個(gè)信息妄全風(fēng)險(xiǎn)闡明以下內(nèi)容：組·24·第二章信息安全管理基礎(chǔ)織所選擇的處理方法；已經(jīng)到位的控制；建議采取的額外措施；建議的控制的實(shí)施時(shí)間框架。7．獲得最高管理者的授權(quán)批準(zhǔn)剩余風(fēng)險(xiǎn)(ResidualRisks)的建議應(yīng)該獲得批準(zhǔn)，開始實(shí)施和運(yùn)作信息安全管理體系需要獲得最高管理者的授權(quán)。二、D-實(shí)施并運(yùn)行PDCA循環(huán)中這個(gè)階段的任務(wù)是以適當(dāng)?shù)膬?yōu)先權(quán)進(jìn)行管理運(yùn)作，執(zhí)行所選擇的控制，以管理策劃階段所識(shí)別的信息安全風(fēng)險(xiǎn)。對(duì)于那些被評(píng)估認(rèn)為是可接受的風(fēng)險(xiǎn)，不需要采取進(jìn)一步的措施。對(duì)于不可接受風(fēng)險(xiǎn)，需要實(shí)施所選擇的控制，這應(yīng)該與策劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃同步進(jìn)行。計(jì)劃的成功實(shí)施需要有一個(gè)有效的管理系統(tǒng)，其中要規(guī)定所選擇方法、分配職責(zé)和職責(zé)分離，并且要依據(jù)規(guī)定的方式方法監(jiān)控這些活動(dòng)。在不可接受的風(fēng)險(xiǎn)被降低或轉(zhuǎn)移之后，還會(huì)有一部分剩余風(fēng)險(xiǎn)。應(yīng)對(duì)這部分風(fēng)險(xiǎn)進(jìn)行控制，確保不期望的影響和破壞被快速識(shí)別并得到適當(dāng)管理。本階段還需要分配適當(dāng)?shù)馁Y源（人員、時(shí)間和資金）運(yùn)行信息安全管理體系以及所有的安全控制。這包括將所有已實(shí)施控制的文件化，以及信息安全管理體系文件的積極維護(hù)。提高信息安全意識(shí)的目的就是產(chǎn)生適當(dāng)?shù)娘L(fēng)險(xiǎn)和安全文化，保證意識(shí)和控制活動(dòng)的同步．還必須安排針對(duì)信息安全意識(shí)的培訓(xùn)，并檢查意識(shí)培訓(xùn)的效果，以確保其持續(xù)有效和實(shí)時(shí)性。如有必要應(yīng)對(duì)相關(guān)方事實(shí)有針對(duì)性的安全培訓(xùn)，以支持組織的意識(shí)程序，保證所有相關(guān)方能按照要求完成安全任務(wù)。本階段還應(yīng)該實(shí)施并保持策劃了的探測和響應(yīng)機(jī)制。三、C-監(jiān)視并評(píng)審檢查階段：又叫學(xué)習(xí)階段，是PDCA循環(huán)的關(guān)鍵階段，是信息安全管理體系要分析運(yùn)行效果，尋求改進(jìn)機(jī)會(huì)的階段。如果發(fā)現(xiàn)一個(gè)控制措施不合理、不充分，就要采取糾正措施，以防止信息系統(tǒng)處于不可接受風(fēng)險(xiǎn)狀態(tài)。組織應(yīng)該通過多種方式檢查信息安全管理體系是否運(yùn)行良好，并對(duì)其業(yè)績進(jìn)行監(jiān)視，可能包括下列管理過程：(1)執(zhí)行程序和其他控制以快速檢測處理結(jié)果中的錯(cuò)誤；快速識(shí)別安全體系中失敗的和成功的破壞；能使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；按照商業(yè)優(yōu)先權(quán)確定解決安全破壞所要采取的措施；接受其他組織和組織自身的安全經(jīng)驗(yàn)。(2)常規(guī)評(píng)審信息安全管理體系的有效性；收集安全審核的結(jié)果、事故、以及來自所有股東和其他相關(guān)方的建議和反饋，定期對(duì)信息安全管理體系有效性進(jìn)行評(píng)審?！?5·公務(wù)員網(wǎng)絡(luò)與信息安全教程(3)評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)；注意組織、技術(shù)、商業(yè)目標(biāo)和過程的內(nèi)部變化，以及已識(shí)別的威脅和社會(huì)風(fēng)尚的外部變化，定期評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)等級(jí)的合理性。(4)審核是執(zhí)行管理程序、以確定規(guī)定的安全程序是否適當(dāng)、是否符合標(biāo)準(zhǔn)、以及是否按照預(yù)期的目的進(jìn)行工作。審核的就是按照規(guī)定的周期（最多不超過一年）檢查信息安全管理體系的所有方面是否行之有效。審核的依據(jù)包括BS7799-2:2002標(biāo)準(zhǔn)和組織所發(fā)布的信息安全管理程序，應(yīng)該進(jìn)行充分的審核策劃，以便審核任務(wù)能在審核期間內(nèi)按部就班的展開。信息安全方針仍然是業(yè)務(wù)要求的正確反映；正在遵循文件化的程序（信息安全管理體系范圍內(nèi)），并且能夠滿足其期望的目標(biāo)；有適當(dāng)?shù)募夹g(shù)控制（例如防火墻、實(shí)物訪問控制），被正確的配置，且行之有效；剩余風(fēng)險(xiǎn)已被正確評(píng)估，并且是組織管理可以接受的；前期審核和評(píng)審所認(rèn)同的措施已經(jīng)被實(shí)施；審核會(huì)包括對(duì)文件和記錄的抽樣檢查，以及口頭審核管理者和員工。正式評(píng)審：為確保范圍保持充分性，以及信息安全管理體系過程的持續(xù)改進(jìn)得到識(shí)別和實(shí)施，組織應(yīng)定期對(duì)信息安全管理體系進(jìn)行正式的評(píng)審（最少一年評(píng)審一次）。記錄并報(bào)眚能影響信息安全管理體系有效性或業(yè)績的所有活動(dòng)、事件。四、A-改進(jìn)經(jīng)過了策劃、實(shí)施、檢查之后，組織在措施階段必須對(duì)所策劃的方案予以結(jié)論，是應(yīng)該繼續(xù)執(zhí)行，還是應(yīng)該放棄重新進(jìn)行新的策劃？當(dāng)然該循環(huán)給管理體系帶來明顯的業(yè)績提升，組織可以考慮是否將成果擴(kuò)大到其他的部門或領(lǐng)域，這就開始了新一輪的PDCA循環(huán)。在這個(gè)過程中組織可能持續(xù)的進(jìn)行以下操作：測量信息安全管理體系滿足安全方針和目標(biāo)方面的業(yè)績。識(shí)別信息安全管理體系的改進(jìn)，并有效實(shí)施。采取適當(dāng)?shù)募m正和預(yù)防措施。溝通結(jié)果及活動(dòng)，并與所有相關(guān)方磋商，必要時(shí)修訂信息安全管理體系，確保修訂達(dá)到預(yù)期的目標(biāo)。在這個(gè)階段需要注意的是，很多看起來單純的、孤立的事件，如果不及時(shí)處理就可能對(duì)整個(gè)組織產(chǎn)生影響，所采取的措施不僅具有直接的效果，還可能帶來深遠(yuǎn)的影響。組織需要把措施放在信息安全管理體系持續(xù)改進(jìn)的大背景下，以長遠(yuǎn)的眼光來打算，確保措施不僅致力于眼前的問題，還要杜絕類似事故再發(fā)生或者降低其在發(fā)生的可能性。不符合、糾正措施和預(yù)防措施是本階段的重要概念。不符合：是指實(shí)施、維持并改進(jìn)所要求的一個(gè)或多個(gè)管理體系要素缺乏或者失效，或者是在客觀證據(jù)基礎(chǔ)上，信息安全管理體泵符合安全方針以及達(dá)到組織安全目標(biāo)的能力存在很大不確定性的情況。糾正措施：組織應(yīng)確定措施，以消除信息安全管理體系實(shí)施、運(yùn)作和使用過程中不符合的原因，防止再發(fā)生。組織的糾正措施的文件化程序應(yīng)該規(guī)定以下方面的要求：·26·第二章信息安全管理基礎(chǔ)識(shí)別信息安全管理體系實(shí)施、運(yùn)作過程中的不符合；確定不符合的原因；評(píng)價(jià)確保不符合不再發(fā)生的措施要求；取定并實(shí)施所需的糾正措施；記錄所采取措施的結(jié)果；評(píng)審所采取措施的有效性。預(yù)防措施：組織應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。預(yù)防措施的文件化程序應(yīng)該規(guī)定以下方面的要求：識(shí)別潛在不符合及其原因；確定并實(shí)施所需的預(yù)防措施；記錄所采取措施的結(jié)果；評(píng)審所采取的預(yù)防措施；識(shí)別已變化的風(fēng)險(xiǎn)，并確保對(duì)發(fā)生重大變化的風(fēng)險(xiǎn)予以關(guān)注。第三節(jié)信息安全管理標(biāo)準(zhǔn)和策略一、信息安全管理標(biāo)準(zhǔn)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)最新發(fā)布的《信息安全國家標(biāo)準(zhǔn)目錄》中，包括所有正式發(fā)布的信息安全國家標(biāo)準(zhǔn)信息，主要包括標(biāo)準(zhǔn)編號(hào)、名稱、對(duì)應(yīng)國際標(biāo)準(zhǔn)以及標(biāo)準(zhǔn)主