《网络安全与法规》ppt课件

主讲教师：陈盈 联系电话：611117 电子邮箱：ychen222163.com,网络安全 与法规,Page 2,前言,为什么要学习这门课程？ 怎样学好这门课程？ 考查形式？,Page 3,为什么要学习网络安全与法规？,网络安全与法规是为经常接触电子商务的非计算机专业学生在相对缺少网络安全知识而又需要频繁使用计算机网络的背景下开设的一门讲授网络安全和相关信息法律法规的课程。 告别“裸网”。,Page 4,怎样学好这门课程？,目的明确，态度端正。 两认真三多： 认真听，掌握基本理论 认真看，学习方法技巧 多实践，加强动手能力 多思考，积累使用经验 多讨论，取长避短，总结心得。,Page 5,考查形式？,考查课 平时30%：点到，提问，纪律 ，作业。 期末70% 。,Page 6,课程概论,预备知识 IE的使用 文件和文件夹操作 局域网的使用 搜索引擎的使用,Page 7,知识框架 第一部分：网络安全概述 第二部分：信息安全法律法规 第三部分：信息安全标准 第四部分：安全认证和评估 第五部分：网络安全实践,Page 8,教学目的 1了解信息、计算机网络基本概念； 2. 理解网络安全的概念； 3熟悉信息安全涉及的法律问题。,第一章 网络安全概述,Page 9,信息与计算机网络,信息； 计算机网络；,Page 10,什么是信息？,信息是描述客观事物运动状态及运动方式的数据 科学上所说的信息应该是从原始的、含糊不清的概念中加以概括、提炼、提高和开拓后得到的。 对信息的定义有很多，一般只是在某一方面对其的理解 控制论的创始人维纳从控制论的角度出发描述信息 信息论创始人仙农认为，信息是用以消除不确定性的东西 美国书伯斯特词典的解释：信息是知识和情报的通信和接受，是通过调查、研究或要求而得到的知识，是情报、消息、新闻、事实和数据等。 不同的解释从不同的侧面、不同的层次揭示了信息的特征与性质，但同时也都存在着这样或那样的局限性。 人类社会中，语言、文字、书刊、报纸、文章、信件、广告等都是信息的表达形式。,Page 11,信息的基本属性,事实性 信息应以事实为依据，能真实反映客观现实的信息是真实信息。对真实信息的处理才有可能产生正确的结果。 等级性 信息的等级，反映了信息的安全层次和安全级别。 滞后性 由于信息是加工后的数据，而数据的采集和处理需要一定的时间，因此信息相对于事实有一段时间的延迟。 时效性 即信息的新旧程度。在某一时刻得到的信息（例如股市情），将可以随着时间的推移，失去原有的价值。,Page 12,信息的表现形式,各种文字、图像、图形、声音等是信息的表现形式，也是计算机处理、存储的对象。 1数字：指用数表示的信息，如商场销售统计数据 2文本：指各种文字性信息，如书刊 3图表：表示各种情况和注有各种数字的图和表的总称。如股市行情分析图。 4语音：指语言的声音，如来自于广播的信息。 5图形：一般是指图绘形象，它描画出物体的轮廓、形状或外部的界限，如几何图形。 6图像：一般是指绘制、摄制或印制的形象，如照片 7视频：指电视、摄像等的画面，是一些可以感觉到相对时间、位置、方向和速度的活动的影像。,Page 13,信息传输形式,按携带信息的信号形式可以将信息分为连续信息和离散信息。 信号是携带信息的形式，通过它们能传达消息或信息、情报、声音和图像等。 信号在信道中进行传送。所谓信道是指传送信息的物理通道。 按照信道中传送的不同信号的形式，将信号分为模拟信号和数字信号。 传送信号的通信系统的一般由发送端、信道和接收端构成，其基本模型如图。,Page 14,信息的地位,联合国教科文组织把信息化社会的知识结构描述为多层次的金字塔结构： 信息知识智慧。 信息是知识的源泉 智慧是指经过客观现实验证 而得到充实的知识,Page 15,信息技术,就信息技术的主体而言，最重要的部分是以微电子技术为基础的“计算机”、“通信”和“控制”技术， 有人认为信息技术(IT，Information Technology)简单地说就是3C Computer（计算机） Communication （通信） Control（控制）,Page 16,信息的发展历史,人类处理信息的历史大致分为4个阶段。 原始阶段 最初人们通过语言来传播知识和信息。 后来出现绳结语、画图或刻画标记、算筹等方法和工具来记事和计算，开始扩展自己的信息器官。 手工阶段 文字的出现和使用扩展了人们大脑的功能，并使信息长久保留 造纸术和印刷术等的出现，对信息的传播和继承产生了很大作用。 机电阶段 1776年第一台瓦特蒸汽机的投产使用，开始了以蒸汽技术为动力、以机器制造业为龙头的工业化运动。 随后出现了机械式计算机、无线电报的传送、有线电话、雷达等，这些技术与设备使人类处理信息的能力有了进一步提高。 现代阶段 指近几十年来迅速发展并普及的一系列技术 其核心是计算机技术、现代通信技术和控制技术。,Page 17,信息技术的前景,电子商务 远程教育 远程医疗 虚拟现实技术 计算机辅助技术 嵌入式系统 网格与集群 数据挖掘 ,Page 18,计算机发展的必然结果-计算机网络,计算机在当今社会中给人们带来的影响是巨大的。,信息处理的主要工具-计算机,计算机网络在现代社会已经不可或缺。,Page 19,计算机网络概述,以信息传输和资源共享为目的，通过传输介质和网络设备，把地理位置不同的，独立自主的计算机相互连接在一起，称为计算机网络。 在网络交换中必然存在不安全因素。,Page 20,什么是信息安全？,信息安全是指对于信息或信息系统的安全保障，以防止其在未经授权情况下的使用、泄露或破坏。 简单来讲，有关信息安全的内容可以简化为下列三个基本点： 机密性（Confidentiality） 完整性（Integrity） 可用性（Availability）,Page 21,信息安全技术,对信息安全的认识经历了的数据安全阶段（强调保密通信）、网络信息安全时代（强调网络环境）和目前的信息保障时代（强调不能被动地保护，需要有保护检测反应恢复四个环节）。 安全技术严格地讲仅包含3类：隐藏、访问控制和密码学。 典型的安全应用有： 数字水印属于隐藏； 网络防火墙属于访问控制； 数字签名属于密码学。,Page 22,网络安全的概念,网络安全是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力拒绝服务或被非授权使用和篡改。 目前最为典型的攻击，DoS/DDoS。,Page 23,网络安全的属性,网络安全具有三个基本属性-信息安全的基本属性。 机密性 完整性 可用性,Page 24,网络安全层次结构,国际标准化组织在开放系统互连标准中定义了个层次的网络参考模型，它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。,Page 25,网络安全层次图,Page 26,网络安全模型,报文从源站经网络（Internet）送至目的站，源站和目的站是处理的两个主体，它们必须协同处理这个交换。建立逻辑信息通道的目的是确定从源站经Internet到目的站的路由以及两个主体协同使用诸如TCP/IP的通道协议。,Page 27,网络安全的历史回顾,随着社会和技术的进步，信息安全也有一个发展的过程，了解信息安全的发展历史，可使人们更全面地解决当前遇到的各种信息安全问题。粗略地，可把信息安全分成3个阶段，即通信安全（comsec）、计算机安全（compusec）和网络安全（netsec）。,Page 28,计算机安全,随着计算机技术及其应用的发展，各个单位的大部分信息资产以电子形式移植到计算机上。计算机的使用愈来愈方便，更多的人用交互会话的方式访问信息。计算机系统上的信息对任何访问系统的人都是可访问的。 在20世纪70年代，David Bell和Leonard La Padula开发了一个安全计算机的操作模型。该模型是基于政府概念的各种级别分类信息（一般、秘密、机密、绝密）和各种许可级别。如果主体的许可级别高于文件（客体）的分类级别，则主体能访问客体。如果主体的许可级别低于文件（客体）的分类级别，则主体不能访问客体。,Page 29,可信计算系统评估准则,计算机操作模型的概念进一步发展，于1983年导出了美国国防部标准5200.28可信计算系统评估准则（the Trusted Computing System Evaluation Criteria， TCSEC），即桔皮书。TCSEC共分为如下4类7级： （1） D级，安全保护欠缺级。 （2） C1级，自主安全保护级。 （3） C2级，受控存取保护级。 （4） B1级，标记安全保护级。 （5） B2级，结构化保护级。 （6） B3级，安全域保护级。 （7） A1级，验证设计级。,Page 30,网络安全处理,防病毒软件 访问控制 防火墙 智能卡 仿生网络安全 入侵检测 策略管理 漏洞扫描 密码 物理安全机制,Page 31,网络安全处理过程,网络安全处理过程是一个周而复始的连续过程， 包含5个关键的阶段。,Page 32,1. 评估阶段,网络安全处理过程始于评估阶段。评估阶段要回答以下几个基本问题： （1） 一个组织的信息资产的价值。 （2） 对资产的威胁及网络系统的漏洞。 （3） 风险对该组织的重要性。 （4） 如何将风险降低到可接受的水平。,Page 33,2. 策略制定阶段,在评估基础上要确定安全策略及其过程。该阶段要确定该组织期望的安全状态以及实施期间需要做的工作。没有正确的安全策略，就不可能制定有效的设计和实施网络安全的计划。,Page 34,3. 实施阶段,安全策略的实施包括技术工具、物理控制，以及安全职员招聘的鉴别和实施。在实施阶段需要改变系统的配置，因此安全程序的实施也需介入系统和网络管理员。,Page 35,4. 培训阶段,为了保护一个组织的敏感信息，需要该组织内全体员工介入。而培训是为员工提供必需的安全信息和知识的机制。培训有多样形式，如短期授课、新闻报导以及在公共场所张贴有关安全信息等。,Page 36,5. 审计阶段,审计是网络安全过程的最后阶段。该阶段是要保证安全策略规定的所有安全控制是否得到正确的配置。,Page 37,保障网络信息安全的三大手段,1. 技术 2. 法律法规 3.标准,Page 38,1.3 信息安全涉及的法律问题,犯罪 计算机犯罪,Page 39,犯罪,中华人民共和国刑法第十三条对犯罪的定义是：一切危害国家主权、领土完整和安全，分裂国家、颠覆人民民主专政的政权和推翻社会主义制度，破坏社会秩序和经济秩序，侵犯国有财产或者劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都是犯罪，但是情节显著轻微危害不大的，不认为是犯罪。”但不同国家有犯罪的不同概念，有些行为在某国是犯罪但在他国不是犯罪。中华人民共和国的刑法关于犯罪的定义是一个形式加实质的定义，前一部分是形式定义，“危害社会的行为”是对犯罪的实质定义。 犯罪是一般是指法律上的罪，不全同于道德、宗教、习俗的罪恶。犯罪之人，在中华人民共和国称为犯人或犯罪分子。,Page 40,犯罪的分类,法律上一般将犯罪先以所侵害之法益略分为“侵害国家法益”、“侵害社会法益”和“侵害个人法益”之罪，在侵害个人法益之罪的部份再细分为“侵害生命法益”、“侵害自由法益”、“侵害财产法益”等。 大陆刑法一般把犯罪分为故意犯罪和过失犯罪。,Page 41,计算机犯罪,是指利用计算机为工具所实施的犯罪行为。 例如最近比较流行的“网络钓鱼”就是一种利用计算机与网络来实施的犯罪行为。 一般来说，犯罪分子使用互联网来实施犯罪手段来，如进