山东大学之网络信息安全管理研究.doc

山东政法学院王海军网络信息安全管理研究，山东省社科重点项目结项 成果加强网络信息安全管理研究、山东政法学院的学术文库大力推出的的精 品之作（山东大学出版社 2009 年版）。 P5下半部分到p6下半部分 内容比对 http// read-1080-1-1.html 浅谈网络安全的实际意义 浅谈网络安全的实际意义 网络安全是一个关系国家安全和主权、社会的稳定、民族文化的 继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家 门就是国门”，安全问题刻不容缓。 网络安全是一门涉及计算机科学、网络技术、通 信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原 因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全 从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完 整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 网络安 全的具体含义会随着“角度”的变化而变化。比如从用户（个人、企业等）的角度来说， 他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保 护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私， 访问 和破坏。 从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作 受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非 法控制等威胁，制止和防御网络黑客的攻击。 对安全保密部门来说，他们希望对非法 的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危 害，对国家造成巨大损失。 从社会教育和意识形态角度来讲，网络上不健康的内容， 会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。 P7整页内容比对信息安全与等级保护之间的关系 长春市计算机网络安全协会网站 http// 信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能 力、现金流、利润、守法及商业形象至关重要。 但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、 火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。 很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程 序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体 员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。 - 1 - 对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。 4、如何制定安全需求 识别出一个机构的安全需求是很重要的。安全需求有三个主要来源。 第一个来源是对机构面临的风险的评估。经过评估风险后，便可以找出对机构资产安全的威胁，对漏洞 及其出现的可能性以及造成多大损失有个估计。 第二个来源是机构与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文的要求。 第三个来源是机构为业务正常运作所特别制定的原则、目标及信息处理的规定。 P8内容比对信息系统安全与杜会责任信息系统安全与杜会 责任信息系..http//211.67.177.69/jpkc/userfiles/jsj/s n/hao/wangluoketang/10/101.pdf 保密性是指保证信息只让合法用户访问,信息不泄露给非授权的个人和实体. 信息的 保密性可以具有不同的保密程度或层次,所有人员都可以访问的信息为公开信息, 需要限制 访问的信息一般为敏感信息,敏感信息又可以根据信息的重要性及保密要求分为 不同的密 级,例如国家根据秘密泄露对国家经济,安全利益产生的影响,将国家秘密分为“秘 密“, “机密“和“绝密“三个等级,可根据信息安全要求的实际,在符合国家保密法的 前提 下将信息划分为不同的密级.对于具体信息的保密性还有时效性要求等如保密期 限到期了 即可进行解密等. 完整性是指保障信息及其处理方法的准确性,完全性.它一方面是指信息在利用, 传 输,存贮等过程中不被篡改,丢失,缺损等,另方面是指信息处理的方法的正确性.不 正 当的操作,有可能造成重要信息的丢失.信息完整性是信息安全的基本要求,破坏 信息的完 整性是影响信息安全的常用手段.例如,破坏商用信息的完整性可能就意味着整个 交易的失 败. 可用性是指有权使用信息的人在需要的时候可以立即获取.例如,有线电视线路被 中 - 2 - 断就是对信息可用性的破坏. 可控性是指对信息的传播及内容具有控制能力. http// 保密性信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性数据未经授权不能进行改变的特性。即信息在存储或传输过程中 保持不被修改、不被破坏和丢失的特性。 可用性可被授权实体访问并按需求使用的特性。即当需要时能否存取所 需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属 于对可用性的攻击； 可控性对信息的传播及内容具有控制能力。 可审查性出现的安全问题时提供依据与手段 P9-12连续四页内容比对自信息安全技术历史 http//z 2005年全球 IT 界的热点话题，这一方面是因为商业计算所面临的“安全形 势更严峻”，另一方面是由于客户对“高信度计算”的需求在不断升级。 （中间拼凑了一些数字后） 信息安全业在中国信息化建设的进程中可算是一个新兴产业，大体上，产业的发展轨迹包括 了三个阶段。 萌芽阶段2005 年之前这个阶段的特点是，国内各行业、各部门开始萌生信息安全的意 识从最初的“重视信息化建设”却“轻视安全体系的构建”，发展至“意识到安全的重要性” 并且“希望在企业内部实现安全”，但又认为信息安全很神秘，不知从何入手。在此阶段，各 行业的客户都在有意识地学习和积淀信息安全知识，与这一领域的权威企业广泛交流，了解 其技术、理念、产品、服务。与此同时，一些企业、部门也出现了一些规模较小的、零星的 信息安全建设，但并未实现规模化和系统化；而且这个时期政府对于信息安全在宏观政策上 的体现是呼吁较多，而具体的推进事务则比较少，虽然显得很热闹，但实际信息安全建设很 少。 爆发阶段2005-2009 年这个阶段的特点是，国内各行业、部门对于信息安全建设的需 求由“自发”走向“自觉”。企业客户已基本了解了信息安全的建设内容与重要意义很多行 业部门开始对内部信息安全建设展开规划与部署，企业领导高度重视，