信息安全与国家安全课件

第第2章章 信息安全与国家安全信息安全与国家安全2.1 什么是信息安全2.2 信息安全与国家安全2.3 我国信息安全保障体系建设与等级保护制度思考题实验2 构建攻防平台 第2章 信息安全与国家安全2.1 什么是信息安全2.1 什么是信息安全什么是信息安全安全是指远离危险的状态或特征，是关于人员或财产的保护，即通过持续的危险识别和风险管理过程，将人员伤害或财产损失的风险降低并保持在可接受的水平或其以下。现代社会人们对信息资源的依赖性越来越强，而信息资源在使用过程中面临很多威胁，这些威胁大致可分成图2-1所示的几类。2.1 什么是信息安全安全是指远离危险的状态或特征，是图2-1 威胁的分类图2-1 威胁的分类信息安全主要考虑对信息资源的保护。信息安全的概念有广义和狭义两种，广义的信息安全是指一个国家或地区的信息化状态和信息技术体系不受威胁和侵害；狭义的信息安全是指信息系统(包括信息网络)的硬件、软件及其数据、内容等不被破坏或泄露，不被非法更改，信息系统保持连续可靠运行，信息服务不中断的一种状态。这种广义和狭义的区别，主要体现在相关人员或团体所承担的任务和责任层面上。对于普通单位和个人来说，其信息安全的任务往往更侧重于后者。信息安全主要考虑对信息资源的保护。信息安全的概念有广义和对于单位和个人而言，不同的业务所面临的威胁和对安全的要求是不相同的，读者可通过对投票系统与邮件系统作一个对比来体会这一点。尽管如此，下面的几个安全目标，往往会同时或部分地体现在各类业务的安全要求中。(1)机密性：指保证信息与信息系统不被非授权者所获取与使用。(2)完整性：指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改。对于单位和个人而言，不同的业务所面临的威胁和对安全的要(3)可认证性：能够核实和信赖一个合法的传输、消息或消息源的真实性。(4)不可否认性：保证信息发送者提供的交付证据和接收者提供的发送者的证据一致，使其以后不能否认信息过程。(5)可控性：能够阻止未授权的访问。(6)可用性：指保证信息与信息系统可被授权人正常使用。(3)可认证性：能够核实和信赖一个合法的传输、消息或消人们对信息安全这一概念的理解和认识具有明显的时代特征。20世纪80年代以前，信息安全往往是指通信保密；80到90年代，随着计算机应用的展开，人们更多提到的是信息保护；20世纪90年代后，随着Internet的发展，人们认识到单纯被动的保护不能适应全球化网络数字环境的安全需求，提出了信息保障(IA)的概念和“保护检测响应恢复”的纵深防御思想。人们对信息安全这一概念的理解和认识具有明显的时代特征。2分层防御是做好信息安全工作的客观要求。它不但明确了相关主管部门的层次结构和责任，还指出信息安全是由计算机和数据安全、网络安全、安全策略、安全信息管理等内容组成，同时也说明信息安全技术和信息安全管理也有层次性要求。图2-2分别给出了信息安全、信息安全技术和信息安全管理的层次性要求。分层防御是做好信息安全工作的客观要求。它不但明确了相关主信息安全与国家安全课件图2-2 信息安全内涵的层次性图2-2 信息安全内涵的层次性2.2 信息安全与国家安全信息安全与国家安全2.2.1 信息时代的国家安全观信息时代的国家安全观一般认为构成国家安全利益的内在要素有5个方面：国家领土完整；政治制度与文化意识形态的保持；经济繁荣和科技的发展；国家荣誉的维护和国家影响力的发挥；未来生存的前景得到保障。2.2 信息安全与国家安全2.2.1 信息时代的国家安全2010年版美国国防部四年防务评估报告指出，美国利益和国际秩序的完整性、稳定性是相关联的，其重要内容是安全、繁荣和对普遍价值的广泛尊重，以及能够促进合作行动的国际秩序。2001年的报告中对国家利益的表述为：确保美国的安全和行动自由(美国的主权、领土完整及自由，美国公民在国内外的安全，保护美国的要害基础设施)；履行国际承诺(盟国和友国的安全与繁荣，防止敌人主宰关键地区，西半球的和平与稳定)；对经济繁荣做出贡献(全球经济活力和生产力，国际海域、空域以及信息交流通道的安全，进入关键市场和获得战略资源)。2010年版美国国防部四年防务评估报告指出，美国利益美国对“非对称威胁”非常关注，美国军队对非对称威胁的定义是：在利用美国弱点的同时，敌人使用大大不同于美国采取的传统军事行动模式，试图阻止或削弱美国的力量。美国战略专家认为，非对称威胁的类型有六种，即核打击、化学武器行动、信息武器行动、选择作战观念和恐怖主义行动。美国对“非对称威胁”非常关注，美国军队对非对称威胁的定义传统国家安全观主要是指国家的政治安全和军事安全，即国家的生存不受威胁。就国家外部安全而言，主要是指国家独立，主权和领土完整，不存在军事威胁和军事入侵。在经济全球化和信息网络化的时代，经济和信息在国家之间相互渗透并使国家之间的利益相互制衡。国家之间特别是大国之间的军事制衡可能起到制约或避免战争的作用。军事安全仍然是对国家安全的重要威胁，但不是唯一的。除军事、政治和外交冲突以外的其他因素也对主权国家及人类整体生存与发展构成威胁。国土安全、经济安全、文化安全、信息安全、社会安全等都从不同的角度直接对国家安全构成威胁。传统国家安全观主要是指国家的政治安全和军事安全，即国家的2.2.2 信息安全在国家安全中的战略地位信息安全在国家安全中的战略地位在信息社会中，信息安全在国家安全中占有极其重要的战略地位，从某种意义上说已经成为国家安全的基石和核心。第一，信息安全已经成为影响国家政治安全的重要因素。信息安全是否有保障直接关系到国家主权能否得到有效维护。“网络政治动员”难以控制，不仅挑战政府权威，而且损害政治稳定；“颠覆性宣传”防不胜防，直接威胁国家政权，国家形象在信息环境下也更容易遭到歪曲和破坏。2.2.2 信息安全在国家安全中的战略地位第二，信息安全是国家经济安全的重要前提。信息产业在国民经济中的比重越来越大，金融安全面临更大的挑战，网络经济犯罪严重威胁国家经济利益，信息安全关乎国家经济安全的全局。第三，信息安全是国家文化安全的关键。网络文化霸权主义严重危害他国文化安全，国家民族传统文化的继承和发扬遭到挑战，社会意识形态遭受重大威胁，社会价值观念和道德规范遭受冲击。第二，信息安全是国家经济安全的重要前提。信息产业在国民经第四，信息安全是国家军事安全的重要保障。“信息威慑”对军事安全的影响不容忽视，网络信息战将成为21世纪典型的战争形态，黑客攻击与军事泄密危及军事安全，“制信息权”对战争胜负意义重大。美国前陆军参谋长沙利文上将说过“信息时代的出现，将从根本上改变战争的进行方式”。第四，信息安全是国家军事安全的重要保障。“信息威慑”对军2011年4月15日，美国白宫新闻办公室正式发布了网络空间可信身份国家战略，此战略阐述了美国政府意图在现有技术和标准的基础上，建立“身份生态系统”，实现相互信任的网络环境，促进网络健康发展。2011年7月14日，美国国防部发布首份网络空间行动战略，表明美军已经将网络空间的威慑和攻击能力提升到更重要的位置。美军在网络空间的扩张可能导致网络空间军事化，并引发网络军备竞赛。胡锦涛在2007年1月23日中共中央政治局举行第三十八次集体学习时发表讲话指出，能否积极利用和有效管理互联网，关系到国家文化信息安全和国家长治久安，关系到中国特色社会主义事业的全局。2011年4月15日，美国白宫新闻办公室正式发布了网络2.2.3 信息安全在国家信息化发展战略中的信息安全在国家信息化发展战略中的体现体现 制定国家信息化的发展战略，是应对国际信息化竞争、加强信息安全、构建社会主义和谐社会的客观需要。2006年，中共中央办公厅、国务院办公厅印发了20062020年国家信息化发展战略。该战略明确指出，到2020年，我国信息化发展的战略目标是，综合信息基础设施基本普及，信息技术自主创新能力显著增强，信息产业结构全面优化，国家信息安全保障水平大幅提高，国民经济和社会信息化取得明显成效，新型工业化发展模式初步确立，国家信息化发展的制度环境和政策体系基本完善，国民信息技术应用能力显著提高，为迈向信息社会奠定坚实基础。2.2.3 信息安全在国家信息化发展战略中的我国信息化发展的战略重点分九个方面：推进国民经济信息化；推行电子政务；建设先进网络文化；推进社会信息化；完善综合信息基础设施；加强信息资源的开发利用；提高信息产业竞争力；建设国家信息安全保障体系；提高国民信息技术应用能力，造就信息化人才队伍。我国信息化发展的战略重点分九个方面：推进国民经济信息上述第项和第项战略重点即是有关加强信息安全工作的内容。另外，在其中的信息化发展保障措施中，也提到了推进信息化法制建设、加强互联网治理等有关信息安全措施。上述第项和第项战略重点即是有关加强信息安全工作的内容2011年5月16日，美国发布以接触与合作为基调的互联网国际战略，列出日后它将在网络世界着力推进的七大政策重点：在经济领域加强接触，确保互联网为全球繁荣和科技创新做出贡献，并加大保护知识产权；在网络安全领域增进合作，增强美国及全球互联网的安全性、可靠性及灵活性；在执法领域加强网络立法和执行力度，提高全球打击网络犯罪的能力；在军事领域与盟友通力合作，提高盟友应对网络威胁的能力，并确保美国军用网络的安全；在互联网管理领域加强各国间的沟通交流，保障全球网络系统、包括域名系统的稳定和安全；在国际发展领域援助合作伙伴构建“数字基础设施”，帮助他们提高抵御网络威胁的能力；在网络自由方面加强保护隐私，促进网络表达自由、集会自由及结社自由。2011年5月16日，美国发布以接触与合作为基调的互联网2.3 我国信息安全保障体系建设与我国信息安全保障体系建设与等级保护制度等级保护制度2.3.1 国家信息安全保障体系建设国家信息安全保障体系建设信息安全保障工作是一项复杂的系统工程，涉及到安全策略、安全技术、安全管理等各个方面。该工作应当把有关策略、技术、管理等有机地结合起来建立一个信息安全保障体系，使之成为一个整体的安全屏障。所谓信息安全保障体系，是由各个安全防范构件(单元)有机集成的实现信息安全保障目标的架构。2.3 我国信息安全保障体系建设与等级保护制度2.3.我国信息安全保障体系由四部分构成，分别是：以信息系统安全等级保护和风险评估为手段的等级化安全管理体系，以密码技术为基础的网络信任体系，以纵横协调、部门协同为保障的信息安全监控体系和以提高响应力、处置力为目标的信息安全应急保障体系。我国信息安全保障体系由四部分构成，分别是：以信息系统安全要实现上述保障体系的建设任务，需要认真做好如下几个方面的工作。(1)实行信息安全等级保护制度：风险与成本、资源优化配置、安全风险评估。(2)基于密码技术的网络信任体系建设：密码管理体制、身份认证、授权管理、责任认定。(3)建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力。(4)重视信息安全应急处理工作：指挥、响应、协调、通报、支援、抗毁、灾备。要实现上述保障体系的建设任务，需要认真做好如下几个方面的(5)推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务。(6)信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体系、规范网络行为。(7)信息安全人材培养与增强安全意识：学科、培训、意识、技能、自律、守法等。(8)信息安全组织建设：信息安全协调小组、责任制、依法管理。(5)推动信息安全技术研发与产业发展：关键技术、自主创我国信息安全保障体系建设的目标是着力提升如下四项安全能力：(1)基础支撑能力。如建设好信息安全测评中心、信息系统保密技术监督管理中心、计算机网络应急技术处理协调中心、电子证书认证中心、容灾备份中心、电子政务内网违规外联安全监管平台、互联网安全监管平台和信息安全攻防实验室等信息安全基础设施。(2)防护对抗能力。按照积极防范、综合防御的要求，探索形成“以防为主、攻防并举”的管理工作思路。我国信息安全保障体系建设的目标是着力提升如下四项安全能力(3)应急容灾能力。确保事件发生时的及时响应、合理处置和快速恢复。增强重要信息系统容灾能力。(4)自主可控能力。自主可控能力，包括促进信息安全产业发展，积极推广应用国产信息产品，积极发展信息安全服务，开展信息安全标准规范建设等内容。(3)应急容灾能力。确保事件发生时的及时响应、合理处置我国信息安全保障体系框架如图2-3所示。我国信息安全保障体系框架如图2-3所示。目前，我国信息安全保障的重点主要涉及到保护国家关键基础设施和维护社会稳定，其中国家关键基础设施包括基础信息网络(公共电信网络、广电传输网络、互联网等)、党政机关、国防、税务、海关、银行、证券、电力、民航、铁路、能源等物理基础设施和国家关键基础设施所依赖的重要信息系统。维护社会稳定是维护国家安全的重要任务。加强信息内容安全的管理、创建安全健康的网络环境，是维护社会稳定工作的重要部分。目前，我国信息安全保障的重点主要涉及到保护国家关键基础设2.3.2 我国信息安全等级保护制度我国信息安全等级保护制度对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；对信息系统按业务安全应用区域实行分级保护是国际惯行做法。与系统等级相关的国外资料有FIPS 199(根据信息系统所处理信息的机密性、完整性和可用性以及被破坏的影响确定等级)、IATF(根据信息价值与威胁确定系统强健度等级)、DITSCAP(根据互联模式、处理模式、业务依赖、不可否认性等七个方面确定系统认证级)等。2.3.2 我国信息安全等级保护制度为切实加强重要领域信息系统安全的规范化建设和管理，全面提高国家信息系统安全保护的整体水平，我们必须建立起既与国际接轨，又适合我国国情，便于操作又能切实解决问题的计算机信息系统安全等级保护标准体系。1999年9月发布的GB 178591999计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级管理的重要标准。为推进安全登记管理工作稳健迅速发展，我国已经或正在着手制定一系列的相关的配套标准。其中包括计算机信息系统安全等级保护技术要求系列标准、计算机信息系统安全等级保护评测系列标准、计算机信息系统安全等级保护管理要求、计算机信息系统安全等级保护工程实施要求和计算机信息系统安全等级保护实施管理办法。为切实加强重要领域信息系统安全的规范化建设和管理，全面提这些标准的制定和实施有利于计算机信息系统建设的安全性，有利于防范和打击不法分子的网上破坏和犯罪、有利于我国自主信息产业的发展，也为相关系统及产品的评估标准奠定了基础。这些标准将直接应用于计算机信息系统的开发和建设和计算机产品的设计、开发、测试等。另外一些计算机信息系统安全等级保护的系列标准将相继发布，它们将使我们的计算机信息系统安全保护工作走向规范化、标准化。我国信息系统等级确定的原则有全局性原则、业务为核心原则、满足监管要求原则和合理性原则。计算机信息系统安全保护等级划分准则规定了计算机系统安全保护能力的五个等级：这些标准的制定和实施有利于计算机信息系统建设的安全性，有第一级：信息系统所承载的业务涉及到公民、法人和其他组织的权益，受到破坏后会对公民、法人和其他组织的权益造成一定损害。该业务的开展在一定程度上依托于信息系统，系统受到破坏后对业务正常开展产生一定影响。第二级：信息系统所承载的业务直接关系到公民、法人和其他组织的权益，受到破坏后会对公民、法人和其他组织的权益造成严重损害。该业务的开展主要依托于信息系统，系统受到破坏后会影响业务正常开展。第一级：信息系统所承载的业务涉及到公民、法人和其他组织的第三级：信息系统所承载的业务涉及到国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成损害。该业务的开展主要依托于信息系统，系统受到破坏后会影响业务正常开展。第四级：信息系统所承载的业务直接关系到国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成严重损害；该业务的开展完全依托于信息系统，系统受到破坏后业务会无法开展。第五级：信息系统所承载的业务受到破坏后，会直接对国家安全造成严重损害。第三级：信息系统所承载的业务涉及到国家、社会和公共利益，图2-4 计算机系统安全等级的划分流程图2-4 计算机系统安全等级的划分流程计算机系统安全等级的划分流程如图2-4所示。计算机系统安全等级的划分流程如图2-4所示。思思 考考 题题(1)如何理解信息安全的广义与狭义之分，信息安全的基本要求有哪些？(2)如何理解信息安全中的分层防御思想？(3)谈谈信息安全在国家安全中的作用。(4)信息安全保障体系的建设内容有哪些？(5)列出我国出台的有关加强互联网安全的重要法规和标准。(6)信息安全等级保护制度的主要内容是什么？思 考 题(1)如何理解信息安全的广义与狭义之分，实验实验2 构建攻防平台构建攻防平台一、实验目的一、实验目的(1)熟悉常用的网络服务及服务端口。(2)认识网络平台漏洞对安全的危害，学会下载补丁修复漏洞。(3)熟悉TCP/IP数据包的结构。(4)掌握网络监听软件Sniffer的安装与使用方法。实验2 构建攻防平台一、实验目的二、实验准备二、实验准备(1)Internet信息服务简称IIS。IIS中包含的服务有WWW服务、FTP服务、SMTP服务、NNTP服务，其中WWW服务可以完成Web站点的发布和管理；FTP服务可以完成文件的上传和下载；SMTP服务提供了一个简单的邮件传输代理，可以用它发送邮件；NNTP服务是指网络新闻传输服务。各类服务使用不同的应用层协议实现通信。本地操作系统会给各服务进程分配不同的协议端口。不光接受数据包的进程需要开启它自己的端口，发送数据包的进程也需要开启，以便接受方能顺利地将数据包回传到这个端口。要求查阅资料，列出相关网络服务端口。二、实验准备(2)掌握IP和TCP数据包的结构是深入理解TCP/IP协议和Internet攻防的基础。请查阅有关资料，明确包结构中每一项的含义。IP数据包结构如图2-5所示。(2)掌握IP和TCP数据包的结构是深入理解TCP/I图2-5 IP数据包结构图2-5 IP数据包结构TCP报文格式如图2-6所示。图2-6 TCP报文格式TCP报文格式如图2-6所示。图2-6 TCP报文格式(3)网络扫描是整个目标网络或单台主机全面、快速、准确获取信息的必要手段。通过网络扫描发现对方，获取对方的信息是进行网络攻防的前提。通过主机漏洞扫描可发现目标主机存在的漏洞，通过端口扫描可发现目标主机的开放端口和服务，通过操作系统类型扫描可判断目标主机的操作系统类型。查阅有关资料，了解网络扫描的原理。(4)Sniffer软件是NAI公司推出的功能强大的协议分析软件。该软件可以监视网络的状态、数据流动情况以及网络上传输的信息。这些数据可以是用户的账号和密码，也可以是一些商用机密数据等。Sniffer pro版可以运行在各种Windows平台上。(3)网络扫描是整个目标网络或单台主机全面、快速、准确三、实验内容三、实验内容(1)组建一个小型网络。要求：网络与Internet 相联；具有1台服务器，两台客户机，客户机可通过有线和无线联网。(2)搜寻Microsoft站点，下载并安装最新补丁。方法一：从网站按链接逐步搜寻：http:/；IT Professionals；IT Solutions；Security；More Hot Topics；Protect yourself from 三、实验内容方法二：用搜索引擎直接搜寻。(3)认真阅读Sniffer软件的相关说明，完成相关软件的安装。(4)运行Snifferpro，捕获数据包：选择MonitorMatrix命令，此时可看到网络中的Traffic Map 视图。选择CaptureDefine Filter命令，然后在Advanced选项卡中选中IP，定义要捕捉的数据包类型。回到Traffic Map视图中，选中要捕捉主机的IP地址，然后单击鼠标右键，选择Capture命令，sniffer则开始捕捉指定IP地址主机的数据包。方法二：用搜索引擎直接搜寻。(5)分析捕获的数据包。从Capture Panel中看到捕获的数据包达到一定数量后，停止捕捉，单击Stop and Display按钮，停止捕获包。查看窗口中列出的捕捉到的数据，选中某一条数据后，下面会显示出相应的数据分析和原始数据包。单击窗口中的某一条数据，可以看到下面相应地方的背景变成灰色，表明这些数据与之对应。(6)使用Snifferpro捕获两机之间的FTP数据，并获得传输密码。(7)使用Sniffer Detector检测网络中的嗅探节点。(5)分析捕获的数据包。四、实验报告四、实验报告1.通过实验回答下列问题(1)查阅有关资料，写出常用网络服务的端口。(2)利用Sniffer抓取Ping指令传递的数据包，查看结果后填写下表四、实验报告信息安全与国家安全课件(3)从本机通过telnet命令登陆FTP服务器，然后使用dir命令查看对方C盘根目录下的文件系统结构，最后使用exit命令退出。使用Sniffer截取操作中的通信数据。分析从目的机返回到本机的数据帧中的TCP数据报并填写下表。(3)从本机通过telnet命令登陆FTP服务器，然后信息安全与国家安全课件2.简答题(1)常用的Web服务器软件和FTP服务器软件有哪些？(2)为什么Sniffer捕获数据之前需选择网卡？(3)嗅探器在共享式以太网和交换式以太网中的工作方式有没有区别，区别在哪里？(4)请画出TCP数据包的结构。(5)IP数据包在v4和v6下有何不同？(6)什么是“三次握手”？2.简答题