第9章 信息安全

主要内容 网络信息安全的基础知识 网络信息安全的关键技术 常用网络工具的使用方法 网络信息安全的相关法律法规

9.1 网络信息安全基础知识 网络信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），其中任何一个安全漏洞便可以威胁全局安全。

9.1.1 信息安全定义 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 信息安全其根本目的就是使内部信息不受外部威胁，因此通常要通过防火墙技术、数据加密技术和身份认证技术等手段来保证数据的安全。

9.1.2 信息安全涉及的主要问题 1.安全漏洞与安全对策问题 信息安全涉及的主要问题有以下几个方面： 安全漏洞指的是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。漏洞是硬件、软件或使用策略上的缺陷，他们会使计算机遭受病毒和黑客攻击。

2.网络攻击与攻击检测、防范问题 网络攻击指的是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。一般通过口令入侵、放置特洛伊木马程式、电子邮件和网络监听等手段进行网络攻击。

3.个人信息安全保密问题 这里所说的个人信息，特指存储于个人计算机或网络上一切与个人利益有关的数字信息。一般说来，用户在网络上经常使用和产生的个人信息，通常可分为以下几类。 一、个人基本资料，如姓名、年龄等。二、个人联系方式，如手机号码、通信地址、QQ等等。三、个人财务账号，如网银账号、游戏账号、网上股票交易账号等与经济利益有关的账号。

四、个人计算机特征，如个人计算机使用的操作系统版本、上网ID、论坛ID、本机IP地址等。五是个人网上活动痕迹，即用户在使用网络过程中产生的活动踪迹，如网页浏览记录、网上交易记录等。六是个人文件数据，即用户不愿被公开浏览、复制、传递的私人文件，如照片、录像、各类文档等。

4.防病毒问题 防病毒指的是根据系统特性，为抵御和防范病毒侵入而采取的系统安全措施。防病毒具有被动意义，主要是预防和防范，没有病毒时做好预防工作，病毒到来时则被动防范。 5.数据备份问题 数据备份是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘复制到其它的存储介质的过程。

9.2 网络信息安全的关键技术 9.2.1 防火墙技术 防火墙技术是近年发展起来的重要网络安全技术，其主要作用是在网络入口处检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯。在网络出口处安装防火墙后，内部网络与外部网络进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全有了很大的提高。

1.防火墙的功能 防火墙是由软件或硬件设备构成的网络安全系统，用来在两个网络之间实施访问控制。一个好的防火墙系统应该具备以下几个主要功能。 （1）通过源地址过滤，拒绝外部非法IP地址，有效避免外部网络上主机的越权访问； （2）防火墙可以只保留有用的服务，将其他不需要的服务关闭，这样做可以将系统受攻击的可能性降低到最小限度，使黑客无机可乘；

（3）防火墙可以制定访问策略，只有被授权的外部主机可以访问内部网络的有限IP地址，保证外部网络只能访问内部网络中的必要资源； （4）由于外部网络对内部网络的所有访问都要经过防火墙，所以防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为。

2．防火墙的技术 防火墙可根据技术的不同，分为四种：包过滤型、网络地址转换型、应用代理型和状态检测型。 （1）包过滤型 包过滤方式是防火墙的初级产品，是最简单的一种防火墙。包过滤防火墙一般作用在网络层（IP层），它在网络层截获网络数据包，根据数据包源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。

只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 （2）网络地址转换型 网络地址转换是一种在IP数据包通过路由器或防火墙时重写源IP地址或目的地址的技术。这种技术被普遍应用在公有IP地址较少，且主机众多的网络结构中。但是，它的使用会让主机之间的通讯变得复杂，导致通信效率的降低。

（3）应用代理型 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 （4）状态检测型 状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤型的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。

9.2.2 数据加密技术 所谓数据加密技术是指将一个信息（或称明文）经过加密钥匙及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密钥匙还原成明文。加密技术是网络安全技术的基石。 1．密钥的概念　 数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加密解密，这就是所谓的密钥。

2．密钥的分类 密钥的值是从大量的随机数中选取的，根据加密密钥和解密密钥是否相同，可将现有的加密体制分为两种: 一种是对称加密体制，这种体制的加密密钥和解密密钥相同；另一种是公钥或非对称加密体制，这种体制的加密密钥和解密密钥不相同，并且从其中一个很难推出另一个。加密密钥可以公开，而解密密钥可由用户自己秘密保存。

（1）私钥或对称加密 私钥加密又称对称加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息，随报文一起发送报文摘要或报文散列值来实现。其典型代表是美国的数据加密标准(DES)。

（2）公钥或非对称加密 公钥加密又称非对称加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。其典型代表是RSA算法。

9.2.3 身份认证技术 身份认证是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。

常用的身份认证方式： 1.用户名/密码 2.IC卡认证 3.生物特征认证 4.USB Key认证 5.动态口令

9.2.4 虚拟专用网 虚拟专用网络(Virtual Private Network简称VPN)指的是专用网络的延伸，它包含了类似 Internet 的共享或公共网络链接。通过 VPN 可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。现在大多都用在企业的远程连接上,保证了连接的安全性和稳定性。

使用VPN的优点： 1.使用VPN可降低成本 2.传输数据安全可靠 3.连接方便灵活 4.使用ISP的设施和服务

9.3 常用网络工具使用安全 9.3.1 如何安全使用邮件 目前，发送电子邮件已经成为我们日常生活中很平常的一个行为，相信每个上网的人都有一个或多个电子邮箱，我们在享受着科技带来便捷的同时，我们的个人信息也可能受到泄露的威胁。电子邮件的安全使用对我们的影响也越来越重要，如何正确地使用电子邮箱正是我们要讨论的问题。

1. 不要轻易公布邮箱和打开垃圾邮件 2. 回避钓鱼攻击 3. 时刻警惕邮件病毒的袭击 4. 采用过滤功能 5 1.不要轻易公布邮箱和打开垃圾邮件 2.回避钓鱼攻击 3.时刻警惕邮件病毒的袭击 4.采用过滤功能 5.遇到攻击时向自己所在的ISP求援 6.不在网络上同他人发生争执 7.写邮件时加上合适的邮件主题

9.3.2 如何防止QQ密码被盗 QQ是目前使用最为频繁的聊天软件，QQ的密码安全也是大家比较关心的问题，下面介绍用户如何保证自己的QQ密码不被盗用。 1.在设置自己的QQ密码时一定要把它设置得足够长并且足够复杂，尽量不用生日或者电话号码等简单的数字作为自己的密码。

2. 申请QQ密码保护。密码保护功能可以保障您的QQ号码更安全，当密码发生问题时，更能帮您方便及快捷地取回新密码。 3. 经常更换密码。 4 2.申请QQ密码保护。密码保护功能可以保障您的QQ号码更安全，当密码发生问题时，更能帮您方便及快捷地取回新密码。 3.经常更换密码。 4.输入登录密码时，要用上QQ提供的软键盘。在网吧等公共场所上QQ，登录模式请选择“网吧模式”。

5. 使用其他一些软件如“QQ保镖”等，手动清除使用QQ后遗留下来的密码、聊天记录等信息，从而保护QQ密码。 6 5.使用其他一些软件如“QQ保镖”等，手动清除使用QQ后遗留下来的密码、聊天记录等信息，从而保护QQ密码。 6.不要随意下载来路不明的软件。 7.尽量将QQ软件升级到安全性更完善的最新版本。 8.使用的计算机要安装杀毒软件和防火墙，并经常更新软件的版本 。

9.3.3 保护IE的使用安全 IE（Internet Explorer）是Windows系统自带的网页浏览器，为了保证用户能够正常浏览网页文件，我们要采取相应的方法来保护IE的安全性。 1. 安装使用最高版本的IE，并打上所有IE补丁 2. 安全级别设定 3．禁用自动完成功能 4. 清除IE历史记录　 5. 使用IE保护小工具

9.3.4 关闭不必要的端口确保网络安全 端口就像网络世界中的一扇窗户，要想进行网络互通就必须开放某些端口。然而对有些不常用的端口，如果一直处于打开状态，就有可能给入侵者留下机会。因此，关闭一些不必要的端口有助于电脑安全性。

9.4 网络信息的安全威胁及相关法规 9.4.1 网络信息面临的主要安全威胁 网络信息所面临的安全的威胁来自方方面面，根据这些威胁的特性，可以归结为以下几个方面： 1.信息泄露:保护的信息被泄露或透露给其他人员。 2.恶意破坏：由于攻击者可以接入网络，则可能对网络中的信息和数据进行修改和破坏。

3. 拒绝服务：信息使用者对信息或其他资源的访问被无条件地阻止。 4. 非法访问：信息资源被其他人员非法使用。 5 3.拒绝服务：信息使用者对信息或其他资源的访问被无条件地阻止。 4.非法访问：信息资源被其他人员非法使用。 5.窃听：用各种非法的手段窃取系统中的信息资源。 6.假冒：通过欺骗使非法用户成为合法用户，或者特权小的用户冒充成为特权大的用户。 7.旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非法特权。

8.计算机病毒：在计算机程序中插入或编写能够自我复制并影响计算机使用的一组计算机指令或者程序代码，它能够破坏计算机的功能和数据并传染和侵害计算机，类似于病毒，故称作计算机病毒。 9.信息安全法律法规不完善：由于当前约束操作信息行为的法律法规还很不完善，存在很多漏洞，这就给非法人员留下可趁之机。

9.4.2 法律法规 我国网络安全从法律、行政法规到地方性法规、规范性文件等多个层次均有涉及。 相关法律法规条文： 1.《刑法》在第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。

2.《全国人大常委会关于维护互联网安全的决定》（2000年12月28），这是我国第一部关于互联网安全的法律，该法律分别从保障互联网的运行安全；维护国家安全和社会稳定；维护社会主义市场经济秩序和社会管理秩序；保护个人、法人和其他组织的人身、财产等合法权利等四个方面，共15款，明确规定了对构成犯罪的行为，依照刑法有关规定追究刑事责任。

3. 《中华人民共和国人民警察法》第六条第十二款明确规定，公安机关的人民警察依法有履行监督管理计算机信息系统的安全保护工作的职责。 4 3.《中华人民共和国人民警察法》第六条第十二款明确规定，公安机关的人民警察依法有履行监督管理计算机信息系统的安全保护工作的职责。 4.《中华人民共和国计算机信息系统安全保护条例》（1994年2月18日），这是我国第一部涉及计算机信息系统安全的行政法规。《条例》赋予了公安部主管全国计算机信息系统安全保护工作的职能。

5. 国务院令147号：《中华人民共和国计算机信息系统安全保护条例》 6 5.国务院令147号：《中华人民共和国计算机信息系统安全保护条例》 6.国务院令195号：《中华人民共和国计算机信息网络国际联网管理暂行规定》 7.国务院令33号：《计算机信息网络国际联网安全保护管理办法》 8.国务院令292号：《互联网信息服务管理办法》

本章小结 本章介绍了信息安全的关键技术，常用网络工具如何使用以及相关的法律法规。重点掌握常用网络工具的安全使用方法。