第9章管理信息系統(tǒng)安全學習目標-2-1．理解信息安全的基本內(nèi)容2．熟悉信息安全的主流技術(shù)3．了解信息安全的法律和法規(guī)9.1信息安全的基本概念9.3信息安全法律和法規(guī)9.2信息安全技術(shù)信息安全是指保證信息系統(tǒng)資源不受自然和人為等有害因素的威脅和危害由于管理信息系統(tǒng)既是一個技術(shù)系統(tǒng)，又是一個社會系統(tǒng)，因此，其安全問題不僅涉及到技術(shù)，還涉及到社會人文環(huán)境，如法律法規(guī)建設(shè)、社會道德、倫理、文化管理等多方面的問題9.1.1信息安全的基本概念管理信息系統(tǒng)安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷管理信息系統(tǒng)的安全包括有兩部分的內(nèi)容系統(tǒng)自身的安全系統(tǒng)的安全保護9.1.1信息安全的基本概念管理信息系統(tǒng)安全管理的目標：信息的真實性：系統(tǒng)的信息資源真實、可靠信息的保密性：信息資源必須按照擁有者的要求保密，防止信息在沒有授權(quán)的情況下被訪問信息的完整性：信息在存儲和傳輸過程中，不能被非法地篡改、破壞，也不能被偶然、無意地修改信息的可用性：指在任何情況下，經(jīng)過授權(quán)的用戶能存取所需的信息，并能夠享受到系統(tǒng)提供的服務(wù)，保證合法用戶對信息資源的使用不會被不正當?shù)鼐芙^不可否認性：信息的發(fā)送方不能否認已發(fā)送的信息，接收方不能否認已接收到的信息信息的可控制性：信息的可控制性是指對信息的傳播及內(nèi)容具有控制能力信息的可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段9.1.1信息安全的基本概念影響管理信息系統(tǒng)安全的因素環(huán)境、自然條件的影響：如水災(zāi)、火災(zāi)、地震、雷電、強磁場、強電子脈沖等危害通信網(wǎng)絡(luò)的原因：搭線竊聽，遠程監(jiān)控、攻擊破壞，有可能來自與網(wǎng)絡(luò)相通的任何地點、任何終端信息技術(shù)本身的不完善信息技術(shù)犯罪手段日趨先進敵對勢力的攻擊9.1.1信息安全的基本概念個人信息安全是指公民身份、財產(chǎn)等個人信息的安全狀況。個人信息主要包括以下類別：基本信息：為了完成大部分網(wǎng)絡(luò)行為，消費者會根據(jù)服務(wù)商要求提交包括姓名、性別、年齡、身份證號碼、電話號碼、Email地址及家庭住址等在內(nèi)的個人基本信息，有時甚至會包括婚姻、信仰、職業(yè)、工作單位、收入等相對隱私的個人基本信息設(shè)備信息：消費者所使用的各種計算機終端設(shè)備（包括移動和固定終端）的基本信息，如位置信息、WiFi列表信息、Mac地址、CPU信息、內(nèi)存信息、SD卡信息、操作系統(tǒng)版本等賬戶信息：包括網(wǎng)銀帳號、第三方支付帳號，社交帳號和重要郵箱帳號等隱私信息：包括通訊錄信息、通話記錄、短信記錄、IM應(yīng)用軟件聊天記錄、個人視頻、照片等社會關(guān)系信息：包括好友關(guān)系、家庭成員信息、工作單位信息等網(wǎng)絡(luò)行為信息：上網(wǎng)行為記錄，消費者在網(wǎng)絡(luò)上的各種活動行為，如上網(wǎng)時間、上網(wǎng)地點、輸入記錄、聊天交友、網(wǎng)站訪問行為、網(wǎng)絡(luò)游戲行為等個人信息9.1.2信息系統(tǒng)與個人信息安全加密技術(shù)是實現(xiàn)信息保密性的一種重要手段，目的是防止合法接受者之外的人獲取信息系統(tǒng)的機密信息。所謂信息加密技術(shù)就是采用數(shù)學方法對原始信息（明文M）進行重新編碼（加密），使得加密后的信息在網(wǎng)上公開傳輸?shù)膬?nèi)容對于非法接收者是一種不可理解的形式（密文Mˊ）。而對于合法接收者可用掌握的正確密鑰對密文進行加密逆運算過程（解密），即將密文還原成原始信息（明文）。9.2.1信息加密技術(shù)加密技術(shù)包括兩個元素：算法和密鑰。算法（如：T(M，K)）是將明文（M）加密或解密的一步一步的過程。這個過程需要一串數(shù)字的結(jié)合，這串數(shù)字就是密鑰（如：K）。算法和密鑰在加密和解密過程中缺一不可。由于設(shè)計加密算法是很困難的，不可能給出大量的加密算法，但是我們可以通過密鑰的變化來達到向多個信息接收方發(fā)送密文的需要，也就是說加密技術(shù)的關(guān)鍵是密鑰。如果密文被破譯，也只需換一個密鑰就能解決問題。9.2.1信息加密技術(shù)密碼體制分類私鑰加密系統(tǒng)又稱為對稱密鑰系統(tǒng)，即私鑰加密的加密密鑰和解密密鑰是相同，加密算法與解密算法互為逆運算。私鑰加密體制的典型代表是美國的數(shù)據(jù)加密標準（DataEncryptionStandard，DES）。9.2.1信息加密技術(shù)密碼體制分類公鑰和私鑰加密系統(tǒng)（又稱為非對稱密鑰系統(tǒng)）。該系統(tǒng)使用兩個鑰匙，其中一個用于加密（稱為公鑰），另一個用于解密（稱為私鑰）。非對稱加密算法以RSA算法最為代表性，是由Rivest、Shamir、Ad1eman發(fā)明的。非對稱的密鑰是成對出現(xiàn)的兩個巨大的質(zhì)數(shù)，用其中的一個質(zhì)數(shù)（公鑰）與原信息相乘，對信息加密形成密文?？梢杂昧硪粋€質(zhì)數(shù)（私鑰）與收到的信息（密文）相乘來解密。而任何一個人都不能由一個質(zhì)數(shù)求出另一個質(zhì)數(shù)，也就是說非對稱算法是不可逆的。9.2.1信息加密技術(shù)認證與認證系統(tǒng)是為了防止消息被篡改、刪除、重放和偽造的一種有效方法，使接收者能夠識別和確認消息的真?zhèn)握J證是信息安全的一個重要方面，加密保證了交易信息的機密性，認證則保證了信息的真實性、完整性和不可否認性一個安全的認證系統(tǒng)應(yīng)滿足防偽造、防抵賴、防竊聽、防篡改的要求9.2.2認證技術(shù)用戶的身份認證可以通過三種基本方式或其組合的方式來實現(xiàn)個人所掌握的密碼、口令等。個人的身份證、護照、信用卡、鑰匙等個人特征：包括容貌、膚色、發(fā)質(zhì)、身材、姿勢、手印、指紋、腳印、唇印、顱相、口音、腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、習慣性簽字、打字韻律，以及在外界刺激下的反應(yīng)等9.2.2認證技術(shù)信息摘要技術(shù)信息摘要方法也稱安全Hash編碼法或MD5，用來驗證信息的完整性信息摘要是單向Hash加密算法對一個信息作用的結(jié)果，它有固定的長度，且是唯一對應(yīng)該消息的值發(fā)送端將信息和摘要一同發(fā)送，接收端收到后，用Hash函數(shù)對收到的信息加密產(chǎn)生一個摘要，再與收到的摘要對比，若相同，則說明收到的信息是完整的，在傳送的過程中沒有被修改，否則，就是被修改過，不是原信息9.2.2認證技術(shù)數(shù)字簽名技術(shù)數(shù)字簽名必須保證以下三點：接收者能夠核實發(fā)送者對報文的簽名；發(fā)送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要，然后用Hash函數(shù)對收到的原文產(chǎn)生一個摘要，與解密的摘要對比，若相同，則說明收到的信息是完整的，在傳送的過程中沒有被修改，否則，就是被修改過，不是原信息。同樣，也證明發(fā)送者不能否認自己發(fā)送了信息9.2.2認證技術(shù)數(shù)字時間戳技術(shù)交易文件中，時間和簽名一樣是十分重要的證明文件有效性的內(nèi)容數(shù)字時間戳就是用來證明消息的收發(fā)時間的數(shù)字時間戳的形成過程是：首先用戶將需要加時間戳的文件用Hash函數(shù)加密生成摘要，然后將摘要發(fā)送到專門提供數(shù)字時間戳服務(wù)的權(quán)威機構(gòu)，該機構(gòu)對原摘要加上時間后進行數(shù)字簽名（用私鑰加密），并發(fā)送給原用戶9.2.2認證技術(shù)數(shù)字證書技術(shù)認證中心（CA）：認證中心構(gòu)建一套由公開密鑰技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)和關(guān)于公開密鑰的安全策略基本成分共同組成的安全技術(shù)系統(tǒng)，這套系統(tǒng)稱之為公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）。PKI采用數(shù)字證書管理公鑰，它把用戶的公鑰和用戶的其它標記信息捆綁在一起，在Internet上驗證用戶的身份認證中心的數(shù)字認證系統(tǒng)主要由以下三部分組成：在客戶端面向證書用戶的數(shù)字證書申請、查詢和下載系統(tǒng)；在注冊審批（RA）部門由RA管理員對證書申請進行審批的證書授權(quán)系統(tǒng)；在認證部門的控制臺，簽發(fā)用戶證書的證書簽發(fā)系統(tǒng)。數(shù)字認證中心具有五種基本功能：證書的頒發(fā)、更新、查詢、歸檔和作廢，解決網(wǎng)上用戶身份認證和信息安全傳輸?shù)膯栴}9.2.2認證技術(shù)數(shù)字證書數(shù)字證書又稱為數(shù)字標識，是標識證書持有者信息的一系列數(shù)據(jù)。它提供了一種在互聯(lián)網(wǎng)上身份驗證的方式，是用來標志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。通俗地講，數(shù)字證書就是個人或單位在互聯(lián)網(wǎng)的身份證。數(shù)字證書包含以下的內(nèi)容：證書擁有者的姓名證書擁有者的公鑰公鑰的有效期頒發(fā)數(shù)字證書的單位頒發(fā)數(shù)字證書的單位的簽名數(shù)字證書序列號9.2.2認證技術(shù)按照數(shù)字證書的頒發(fā)對象不同，數(shù)字證書主要分為：個人數(shù)字證書：僅僅為某個用戶提供憑證，以幫助其個人在網(wǎng)絡(luò)上進行安全交易操作。個人數(shù)字證書主要用于標識證書所有人的身份，包含了個人的身份信息及其公鑰，如用戶姓名、證件號碼、身份類型等，可用于個人在網(wǎng)上進行合同簽定、定單、錄入審核、操作權(quán)限、支付信息等活動機構(gòu)數(shù)字證書：用于標識數(shù)字證書機構(gòu)所有者的身份，包含機構(gòu)的相關(guān)信息及其公鑰，如：企業(yè)名稱、組織機構(gòu)代碼等，可用于機構(gòu)在電子商務(wù)、電子政務(wù)應(yīng)用中進行合同簽訂、網(wǎng)上支付、行政審批、網(wǎng)上辦公等各類活動設(shè)備數(shù)字證書：用于在網(wǎng)絡(luò)應(yīng)用中標識網(wǎng)絡(luò)設(shè)備的身份，主要包含了設(shè)備的相關(guān)信息及其公鑰，如：域名、網(wǎng)址等，可用于VPN服務(wù)器、WEB服務(wù)器等各種網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)通訊中標識和驗證設(shè)備身份軟件（開發(fā)者）數(shù)字證書：它是簽發(fā)給軟件提供者的數(shù)字證書，包含了軟件提供者的身份信息及其公鑰，主要用于證明軟件發(fā)布者所發(fā)行的軟件代碼來源于一個真實軟件發(fā)布者，可以有效防止軟件代碼被篡改9.2.2認證技術(shù)為了保護企業(yè)內(nèi)部信息資源的安全，一般如下三方面采取措施：防止外部入侵，控制和監(jiān)督外部用戶對企業(yè)的內(nèi)部網(wǎng)的非法訪問控制、監(jiān)督和管理企業(yè)內(nèi)部對外部Internet的訪問檢測、記錄網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動9.2.3防火墻技術(shù)防火墻技術(shù)就是用來保護內(nèi)部的網(wǎng)絡(luò)不受來自外界的侵害，主要用來實現(xiàn)網(wǎng)絡(luò)路由的安全性。網(wǎng)絡(luò)路由的安全性包括兩個方面：限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，從而保護內(nèi)部網(wǎng)特定資源免受非法侵害。限制內(nèi)部網(wǎng)對外部網(wǎng)的訪問，主要是針對一些不健康信息及敏感信息的訪問。防火墻，是指一個由軟件和硬件設(shè)備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的一個保護層，并強制所有的連接都必須在這個保護層上進行檢查和連接。9.2.3防火墻技術(shù)防火墻可以劃分為兩種類型：一種是基于包過濾，另一種是基于代理服務(wù)包過濾防火墻：包過濾防火墻可以動態(tài)檢查流過的TCP/IP報文頭，檢查報文頭中的報文類型、源IP地址、目的IP地址、源端口號等域，根據(jù)規(guī)則決定哪些報文允許通過，哪些報文禁止通過9.2.3防火墻技術(shù)代理服務(wù)型防火墻：代理服務(wù)型防火墻使用一個客戶程序與特定的中間結(jié)點（防火墻）連接，然后中間結(jié)點與服務(wù)器進行連接，在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個物理屏障。9.2.3防火墻技術(shù)復合型防火墻：這種防火墻是把前兩類防火墻結(jié)合起來，形成新的產(chǎn)品，以發(fā)揮各自的優(yōu)勢，克服各自的缺點，來滿足更高安全性的要求。防火墻技術(shù)的優(yōu)點保護那些易受攻擊的服務(wù)控制對特殊站點的訪問集中化的安全管理對網(wǎng)絡(luò)訪問進行記錄9.2.3防火墻技術(shù)美國：1946年《原子能法》1947年《國家安全法》1966年《信息自由法》2000年《關(guān)于保護信息系統(tǒng)的國家計劃》2009年《美國網(wǎng)絡(luò)安全評估》2011年《可信網(wǎng)絡(luò)空間身份標識國家戰(zhàn)略》（正式稿）和《網(wǎng)絡(luò)空間國際戰(zhàn)略》9.3.1國外相關(guān)法律與法規(guī)日本：2010年《保衛(wèi)國民信息安全戰(zhàn)略2010-2013》歐盟：通過立法強調(diào)防范恐怖襲擊和網(wǎng)絡(luò)犯罪，保護信息基礎(chǔ)設(shè)施等俄羅斯：明確建立信息安全保障體系，在國際上協(xié)同相關(guān)國家制定信息安全國際規(guī)則韓國：《國家網(wǎng)絡(luò)安全總體規(guī)劃》要求建立“三線防御體系”。聯(lián)合國：從國際安全層面關(guān)注信息安全，成立政府專家組，強調(diào)各國的協(xié)同合作。9.3.1國外相關(guān)法律與法規(guī)相關(guān)法律2000年《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》2016年《中華人民共和國網(wǎng)絡(luò)安全法》2018年《中華人民共和國電子商務(wù)法》2019年《中華人民共和國電子簽名法》（2019年修正）9.3.2國內(nèi)相關(guān)法律與法規(guī)行政法規(guī)《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》《中華人民共和國無線電管制規(guī)定》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《計算機軟件保護條例》《信息網(wǎng)絡(luò)傳播權(quán)保護條例》《中華人民共和國電信條例》《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》9.3.2國內(nèi)相關(guān)法律與法規(guī)閱讀案例：信息系統(tǒng)安全案例根據(jù)提供的背景資料，收集相關(guān)數(shù)據(jù)和資料，對下面的問題的進行分析。1．查閱相關(guān)資料，分析信息系統(tǒng)運行安全威脅來自那些方面？2．從技術(shù)和非技術(shù)兩方面分析產(chǎn)生信息安全威脅的原因。3．查閱相關(guān)資料，分析和匯總當前防范信息系統(tǒng)安全的措施有哪些？我們應(yīng)當如何應(yīng)對信息系統(tǒng)的安全問題？4.部分網(wǎng)站要求你同意同意或接受其Cookie的使用，你如何看待Cookie？5.根據(jù)案例談?wù)勀銓€人信息安全的認識，如何