网络与信息安全知识点总结

网络与信息安全知识点总结（精选8篇）

网络与信息安全知识点总结 篇1

1.计算机病毒最本质的特点 破坏性

2.一个密文块损坏会造成连续两个明文块损坏的DES工作模式

密码分组链接CBC

3.为了避免访问控制表过于庞大的方法 分类组织成组

4.公钥密码算法不会取代对称密码的原因

公钥密码算法复杂，加解密速度慢，不适合加密大量数据 5.入侵检测系统的功能部件

事件生成器，事件分析器，事件数据库，响应单元，目录服务器 6.访问控制实现方法

访问控制矩阵，列：访问控制表，行：访问能力表 7.PKI的组成

权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）

8.公钥密码的两种基本用途 数据加密、数字签名

9.SHA-1算法的输出为多少比特的消息摘要 160比特

10.Kerberos的设计目标

解决分布式网络下，用户访问网络使得安全问题，阻止非授权用户获得其无权访问的服务或数据。11.PKI管理对象

证书、密钥、证书撤销列表 12.防火墙的基本技术

包过滤技术，代理服务技术，状态检测技术，自适应代理技术。13.防止行为抵赖，属于什么的研究范畴 数字签名

14.完整的数字签名过程包括哪两个过程 签名过程、验证签名过程 15.用户认证的依据主要包括哪些

用户所知道的东西：如口令、密码；

用户所拥有的东西：如智能卡、身份证；

用户所具有的生物特征：如指纹、声音、DNA。16.入侵检测的分类

根据信息来源分为：基于主机的IDS、基于网络的IDS 根据检测方法分为：异常入侵检测、误用入侵检测 17.访问控制的分类 自主访问控制、强制访问控制、基于角色的访问控制 18.PKI的信任模型哪些

层次模型、交叉模型、混合模型 19.数字签名的分类

按照签名方式：直接数字签名、仲裁数字签名

按照安全性：无条件安全的数字签名、计算上安全的数字签名 按照可签名次数：一次性数字签名、多次性数字签名 20.密码分析攻击分为哪几种，各有什么特点？

已知密文攻击、已知明文攻击、选择明文攻击、选择密文攻击 21.为什么说“消息鉴别无法处理内部矛盾，而数字签名可以”？

消息鉴别通过验证消息的完整性和真实性，可以保证不受第三方攻击，但不能处理通信双方内部的相互攻击。数字签名相当于手写签名，可以防止相互欺骗和抵赖。

22.有哪几种访问控制策略？各有什么特点、优缺点？

1、自主访问控制（由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源）特点：（1）基于对主体及主体所在组的识别来限制对客体的访问（2）比较宽松，主体访问权限具有传递性

缺点：通过继承关系，主体能获得本不应具有的访问权限

2、强制访问控制

为所有主体和客体指定安全级别

不同级别标记了不同重要程度和能力的实体

不同级别的实体对不同级别的客体的访问是在强制的安全策略下实现 访问策略：下读/上写

3、基于角色的访问控制 特点：（1）提供了三种授权管理的控制途径（2）改变客体的访问权限（3）改变角色的访问权限（4）改变主体所担任的角色

（5）系统中所有角色的关系结构层次化，易管理（6）具有较好的提供最小权利的能力，提高安全性（7）具有责任分离的能力 实现：

访问控制矩阵

列——访问控制表（Access Control List）行——访问能力表（Access Capabilities List）23.论述异常检测模型和误用检测模型的区别？ 24.对经凯撒密码加密的密文“XXX_XX_XXX_XXXXXX”解密，写出明文。据此说明替换密码的特征。（空格用符号“_”表示）Caesar密码是k=3时的移位替换密码，密文=明文右移3位，明文=密文左移3位 25.论述数字签名与手写签名的异同点。相同点：

（1）签名者不能否认自己的签名

（2）签名不能伪造，且接受者能够验证签名（3）签名真伪有争议时能够得到仲裁 不同点：

（1）传统签名与被签文件在物理上不可分；数字签名则不是，需要与被签文件进行绑定。

（2）传统签名通过与真实签名对比进行验证；数字签名用验证算法。（3）传统签名的复制品与原件不同；数字签名及其复制品是一样的。26.下图描述的是基于对称密码体制的中心化密钥分配方案，请补充完整图中编号①～⑤的消息表达式，并详细描述一下每个步骤的具体内容。

27.网银转账操作过程中转账金额被非法篡改，这破坏了信息的什么安全属性 完整性

28.安全散列函数的计算步骤

29.高级数据加密标准的前身 Rijndael对称分组密码算法

30.攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为什么攻击 回放攻击

31.数字证书的组成

数字证书是一段包含用户身份信息、公钥信息及CA数字签名的数据。X.509证书格式：

版本号1、2、3，证书序列号、签名算法表示符、颁发者名称、有效期、主体、主体公钥信息、颁发者唯一标识符、主体唯一标识符、扩展域、颁发者签名 32.数字签名要预先使用单向Hash函数进行处理的原因

缩小签名密文的长度，加快数字签名和验证签名的运算速度。33.包过滤防火墙是在网络模型的哪一层对数据包进行检查 网络层

34.在身份认证的方式中，最安全的是哪种 数字证书

35.Kerberos最严重的问题 严重依赖于时钟同步

36.设哈希函数H有128个可能的输出(即输出长度为128位)，如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5，则k约等于多少 2^64 37.MAC码可以在不安全的信道中传输的原因 因为MAC码的生成需要密钥 38.消息鉴别的分类

直接鉴别、基于MAC（消息鉴别码）的鉴别、基于散列函数的鉴别 39.实现混淆和扩散的常用手段

乘积、迭代、合理选择轮函数、经过若干次迭代 40.一次一密的安全性取决于什么 密钥的随机性

41.DES算法的密钥长度

密钥长度64比特，每8比特为一奇偶校验位，有效密钥长度56比特，存在弱密钥和半弱密钥，子密钥48位。42.RSA算法的安全性基于什么 大整数素因子分解困难问题

43.从技术上讲，密码体制的安全性取决于什么 密码算法的保密强度

44.若Alice发送给Bob的消息表达式为XXXXXXXXXXXX，则

a)请画出Alice生成此消息，以及Bob检验消息的完整流程。b)请说明在这个流程中可以实现哪些安全服务及其原因。

c)在这个流程中不可以实现哪些安全服务，如果要加上这些安全服务，请给出你的设计方案并说明原因。

45.OTP在实际使用中的难点？

使用与消息一样长且无重复的随机密钥来加密消息，另外，密钥只对一个消息进行加解密，之后丢弃不用。每一条新消息都需要一个与其等长的新密钥。一次一密提供安全性存在两个基本难点：（1）、产生大规模随机密钥有实际困难。（2）、更令人担忧的是密钥的分配和保护。对每一条发送的消息，需要提供给发送方和接收方等长度的密钥。

因为上面这些困难，一次一密实际很少使用，主要用于安全性要求很高的低带宽信道。

46.阐述消息认证码MAC的基本概念、原理和作用 【基本概念】消息鉴别码（MessageAuthenticationCode）也叫密码校验和（cryptographic checksum），鉴别函数的一种。密码学中，通信实体双方使用的一种验证机制，保证消息数据完整性的一种工具。构造方法由M.Bellare提出，安全性依赖于Hash函数，故也称带密钥的Hash函数。消息认证码是基于密钥和消息摘要所获得的一个值，可用于数据源发认证和完整性校验。【原理】将任意长的消息M，经共享密钥K控制下的函数C作用后，映射到一个简短的定长数据分组，并将它附加在消息M后，成为MAC，MAC=Ck（M）。接收方通过重新计算MAC进行消息鉴别，如果ReceivedMAC=ComputedMAC，则接收者可以确信消息M为被改变。接收者可以确信消息来自其共享密钥的发送者。如果消息中含有序列号（如HDLC，X.25，TCP），则可以保证正确的消息顺序。

【作用】消息鉴别码（MAC）只能鉴别，仅仅认证消息M的完整性（不会被篡改）和可靠性（不会是虚假的消息或伪造的消息），并不负责信息M是否被安全传输。

47.什么是数字证书？现有的数字证书由谁颁发，遵循什么标准，有什么特点？ 数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。

认证中心颁发的数字证书均遵循X.509 V3标准。X.509 V3标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全，其中包括IPSec（IP安全）、SSL、SET、S/MIME。数字证书特点：（1）、数字证书确保了公钥的最安全有效分配。（2）、向持证人索要公钥数字证书，并用CA的公钥验证CA的签名，便可获得可信公钥。（3）、数字证书的可信依赖于CA的可信。48.防火墙应满足的基本条件是什么？

作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件如下：（1）、所有从内到外和从外到内的通信量都必须经过防火墙。（2）、只有被认可的通信量，被访问控制策略授权后，才允许传递。（3）、防火墙本身具有高可靠性。49.用置换矩阵E=〔0123412304〕对明文XXX_XX_XX加密，并给出其解密矩阵及求出可能的解密矩阵总数。（10分）

50.RSA的两种用法是什么？RSA为什么能实现数字签名？ 数据加密和数字签名

数字签名用于发送方身份认证和验证消息的完整性，要求具有唯一性、不可抵赖、不可伪造等特性。

RSA的私钥是仅有的使用者知道的唯一密钥，具有唯一性：使用该密钥加密消息（即数字签名）加密者无法抵赖，具有不可抵赖性；RSA加密强度保证了私钥破译计算不可行，因而难于伪造，具有保密性。因而RSA符合数字签名的要求，能够实现数字签名。

网络与信息安全知识点总结 篇2

1 基本知识

1.1 网络不安全的原因

1)网络自身的安全缺陷：协议本身泄漏口令;服务器本身需要读写特权(可能造成本地用户或者远程用户获得非授权文件的读写权力);密码保护措施不强(个人的生日、电话号码等);某些协议经常运行一些无关的程序(windows会启动一些对当前用户无用的协议)。

2)网络的开放性：业务基于公开的协议(Internet/intranet使用的TCP/IP协议以及FTP、E-mail、RPC、NFS等都包含许多不安全因素，存在许多漏洞);

远程访问使得各种攻击无需到现场就能得手(通过一些扫描工具、远程攻击软件进行攻击);

连接是基于主机上的用户彼此信任的原则(在网络上共享文件是基于彼此之间的信任);

3)黑客攻击：黑客攻击的主要方法有：口令攻击、网络监听、缓冲区溢出、电子邮件攻击和其它攻击方法。

1.2 常见不安全因素

威胁企业网络信息安全、导致系统故障的原因很多，主要分为自然因素、非自然因素两大类，自然因素主要指自然灾害，如地震、火灾、水灾、雷击等，这类因素往往不以人的意志为转移，防不胜防;非自然因素主要分为硬件故障、人为因素两大类，具体包括：

1)硬件故障：计算机硬件如磁盘、内存、网卡、电源、主板等，网络设备如路由器、交换机、传输设备等，任何一种硬件故障，都可能丢失信息，甚至导致整个系统的瘫痪。

2)人为因素

(1)非授权访问：指未经允许对网络设备及信息资源使用或越权使用，或利用非手段获得合法用户的使用权限，达到占用合法用户资源的目的;

(2)破坏数据的完整性：指人为删除、修改某些重要数据，如系统文件、数据文件等，造成系统进行障碍;

(3)干扰系统正常运行：指故意改变系统的正常运行方式，如：减慢系统响应时间、系统无法得到正常响应等;

(4)病毒传播：指通过网络传播病毒，病毒的危害，往往令人措手不及;

(5)线路窃听：指利用通信介质的电磁泄露、搭线窃听等手段非法获取网络信息;

(6)误操作：网络使用者或系统管理员不小心误删系统文件、数据文件、系统目录等;

1.3 常见的攻击

1)口令破解：攻击者通过获取口令文件，运用口令破解工具获得口令，也可以通过猜测或窃听的方式获得口令。

2)服务拒绝：攻击者可以直接发动攻击，也可通过控制其他主机发起攻击使目标瘫痪，如发送大量的数据洪流阻塞目标。反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求，造成死机，无法响应正常的服务请求。

3)数据篡改：攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性。由于操作系统的漏洞，导致攻击者乘虚而入。例如网站主页被篡改，个人计算机上IE的主页被篡改等等。

4)地址欺骗：攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任。

5)恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞进而发动攻击。Windows操作系统有很多的漏洞，容易被攻击，所以要安装补丁分发程序，堵住漏洞。

6)数据驱动攻击：攻击者可通过施放病毒、木马、数据炸弹等方式破坏或遥控目标。主要是木马、后门，就像别人配了一把你家门的钥匙一样，可以随意进出。

1.4 安全防护

1)信息网络安全的任务：保障各种网络资源稳定、可靠的运行，受控、合法的使用;保障信息的机密性、完整性、可用性

2)信息网络安全需要保护的对象

硬件：路由器、交换机、工作站、服务器、数据设备;

软件：操作系统、应用程序、源代码;

数据：办公自动化、业务系统、电子邮件、WEB。

2 信息网络安全技术措施

2.1 数据备录系统

企业最为宝贵的是数据。存储是网络的核心，数据是网络的精神。系统数据丢失不仅会导致系统文件、数据库文件等相关数据的丢失，而且会使整个企业的业务瘫痪，造成不堪设想的后果。因此，有效的保护现有数据，使得企业的业务稳定运行显得尤为重要。当人为因素(如：误操作)、硬件故障及其它不可预见因素造成数据丢失、系统瘫痪时;或者是不可抗力的灾难(如火灾、水灾)发生时，保证及时有效的恢复系统和数据，使企业的业务得以正常运转，将损失减小到最低，则是企业关心的问题。

解决上述问题最为根本的的办法就是数据备份。因此，数据备份已成为信息系统中不可或缺的重要组成部分。一般来说，各种操作系统所附带的备份程序都有着这样或那样的缺陷，所以若想对数据进行可靠的备份，必须选择专门的备份软、硬件，并制定相应的备份及恢复方案。在一些企业中，几乎每一个网络都会配置专用的外部存储设备，而这些设备也在不少灾难性的数据丢失事故中发挥了应有的作用。

2.2 网络防病毒系统

病毒与网络的发展几乎是同步的———网络速度提高了，病毒传播的速度也加快了;网络规模扩大了，病毒传播的范围也广泛了;网络安全增强了，病毒种类的复杂度和“聪明”度也加强了。目前的防病毒工作的意义早已脱离了各自为战的状况，技术也不仅仅局限在单机的防病毒。

首先应当构建控管中心集中管理架构，保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新，同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被系统管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。其次应当构建全方位、多层次的防毒体系，结合企业实际网络防毒需求，构建了多层次病毒防线，分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面布控。这样的病毒防范体系，才能够称得上是一个完整的、现代化的网络病毒防御体系。

2.3 防火墙

防火墙可以对每一个穿越防火墙的TCP会话进行检查，按照事先制定的策略决定数据包是否可以通过，并将不合法的数据包过滤掉。通过其URL地址限定功能限制对某些站点的访问，防止内部网络对外部网络进行不安全的访问。

一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等种类相对集中的网络。防火墙已经成为控制对网络系统访问的非常流行的方法。

2.4 入侵检测系统

入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

入侵检测主要执行如下任务：

(1)监视、分析用户及系统活动。

(2)识别反映已知进攻的活动模式并报警。

(3)识别用户违反安全策略的行为。

2.5 漏洞扫描系统

系统设置配置不当使得普通用户权限过高;管理员由于操作不当使得系统被安装了后门程序;系统本身或应用程序存在可被利用的漏洞，这几点都是网络的薄弱之处，很容易被黑客利用来入侵系统。

漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。

2.6 补丁分发系统

信息网络工作站及服务器绝大多数采用的是微软的WINDOWS操作系统。虽然安装了防病毒软件和防火墙，也普遍部署了病毒防御机制，但还是经常遭受病毒感染而使得信息系统运作受到干扰。造成困境的原因，一方面当然是由于现有防御体系的缺陷，是由于入侵检测和防病毒系统从原理上就决定了其不擅长对付基于漏洞进行感染的病毒，单单具备这些措施，不足以遏制病毒的泛滥。另一方面，也是由于基于漏洞进行感染的病毒传播速度极快，以至来不及采取措施，病毒就已经大规模爆发了。最好办法是在病毒前面就消灭漏洞隐患，杜绝病毒传播的可能，补丁分发系统就是对软件进行修补从而根本上消灭漏洞，杜绝了病毒利用漏洞的可能。

2.7 UPS

稳定、可靠的电力供应是信息网络安全的基础，不能保证网络设备的电力供应，一切安全防范措施都是空谈。任何时刻的电力供应中断，都会造成网络瘫痪，带来巨大的经济损失。所以UPS被广泛的应用在信息网络，不仅给网络上的关键设备(服务器、数据备录系统)提供可靠保护，而且给整个网络路径(交换机、路由器)的通畅提供电力保证。

2.8 应急响应

“应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标，可以把安全事件定义为破坏信息或信息处理系统的行为。

3 结束语

总而言之，信息网络的安全是一个复杂的课题，不可能靠某一种措施就能保证网络的安全。没有那个网络是绝对安全的，但是如果我们了解了造成网络不安全的各种威胁，就能采取对应的策略来保护网络，将由此造成的损失降到最小。

摘要：随着信息网络的快速发展,信息安全问题日益凸显。了解了造成网络不安全的各种威胁,就能采取对应的策略来保护网络,将由此造成的损失降到最小。

关键词：信息网络安全,技术措施

参考文献

[1]Norton P,Stockkman M.网络安全指南[M].潇湘工作室,译.北京:人民邮电出版社,2000.

网络与信息安全知识点总结 篇3

关键词：个人信息；知识产权；网络技术

一、问题的提出

随着科学技术和信息网络的发展，个人信息也随着信息技术的广泛应用和互联网的不断普及而在经济社会发展中的地位日益凸显。个人信息的合理利用不管是在商业的利用还是在政府行政管理过程中的利用都有着其重要的作用。然而，个人信息遭受个人信息合理拥有者的非法披露或者泄露的事件时有发生，侵害了信息主体的权益。社会公众对于个人信息保护的呼声不断增加，然而，个人信息的保护却面临着许多的问题亟待解决。例如，如果基于保护知识产权等是由，在网络环境下网络服务商在被第三方要求提供用户的个人信息，其是否可以向第三方披露用户的个人信息？这涉及到两种私权的利益平衡问题。本文将借鉴欧盟法院关于该问题的判决来论述该问题。以期对该问题有个浅显的认识。

二、知识产权保护与个人信息保护的冲突成因

大数据、云计算等技术的应用，提升了商业机构对于个人信息的利用与处理，为了增加与商业对手竞争的优势，个性化服务成为了商业机构的一个重要的手段。例如亚马孙、高级酒店个人性化服务等等。这都需要利用个人信息才能提供更好更优质服务。并且我们可以知道商家收集这些信息也都得到过消费者的同意，否则我们享受这些服务就会觉得不舒服。

网络技术的发展给人们的生活带来了便利，业已成为人们生活不可或缺的一部分，然而给信息传播带来巨大便利的同时，也给知识产权的保护带来了的挑战。网络环境中会存在这样一种关系，网络平台也即网络服务商，网络资源提供者，第三人形成一种三方的关系。这就好比在淘宝中购物一样。淘宝是一个平台，商家是一方。买家是一方。正是因为有着这样的关系可能存在着个人信息保护与知识产权保护的冲突问题。欧盟法院的Promusicae案判决可以更好的解释这一冲突产生的原因。

在Promusicae案中①，原告Promusicae组织（西班牙一家非营利的音乐和视听产品的出版机构）也即上文所提到的网络资源提供者，被告网络服务商（ISP）Telefónica公司提起诉讼，要求被告披露其某些用户（也即上文所述的第三人）的身份和地址（即用户的个人信息），其起诉的理由是，这些使用网络服务的一种KazaA程序来共享原告会员拥有知识产权的某些音乐资料，侵犯了原告的知识产权；而被告知悉这些用户的IP地址和登录时间，可以识别出这些特定的用户，我们知道个人信息具有识别性。因此，原告认为：被告构成了不正当竞争和侵犯知识产权，向马德里商业法院提起了诉讼。

马德里商业法院遂依据相关裁判程序，提请欧盟法院对欧盟的有关指令进行解释。2008年，欧盟法院对该案作出了判决。欧盟法院根据2002年相关指令的规定②认为，成员国应当对知识产权进行保护，但是不应当以牺牲个人信息权为代价；并且对于与提供邮件、文件传输协议（FTP）、文件共享等服务、或对服务享有事实上或法律上的控制权的服务商不同，欧盟法院根据相关指令认为：仅提供网络接入服务的网络服务商，其作为“中介者（intermediaries）”，不承担向版权人提供其用户的个人信息的义务。这一判决的结果就是说网络服务商在一定的条件下可以拒绝向版权人提供其用户的个人信息。

从该案中我可以看到欧盟对于个人信息的保护与知识产权的保护更侧重于对个人信息的保护。笔者赞同这样的观点。个人信息作为一种个人的人格利益它属于个人人格尊严的一部分，因此个人信息在性质上属于人格权范畴。所以相较于知识产权偏向与财产权来说，个人的人格权应当高于个人的财产权。

三、解决冲突的几点思考

个人信息保护不但要保护处于被侵害的情形下的个人信息如（非法泄露、处理等）而且在合理利用下也要保护。然而现实是合理情形下的个人信息保护会产生个人信息保护与版权的冲突问题，这些问题的产生可能是由多方面的原因而造成的，但是我们在面对信息化的发展过程中而产生新的问题必须要直面这些问题，分析这些问题，最终解决这些问题。

（一）完善相关的法律法规

我国早在2007年就已经启动个人信息保护的立法工作。然而由于各种原因而没有形成。我国现行立法中，确有部分法律、行政规章已涉及对个人信息的保护，目前，但是没有统一的立法对于个人信息的保护，主要分布在各个部门法当中。例如《刑法修正案七》③2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》④2013年《电信和互联网用户个人信息保护规定》中规定了在电信和互联网中对于个人信息的保护。

这些法律文件对其所调整领域的个人信息零星地列出了一些保护性规定，但是问题在于：这些法律规定是零散和个别性的，没有系统性，对于未涉及的大量其他领域的个人信息则无能为力；并且这些极为有限的立法大多是原则性规定，缺乏可操作性，无法有效地解决上述问题，对于上述问题的发生也没有可以适用的条款。因此，制定一部全面保护个人信息的立法迫在眉睫。并且借鉴欧盟的指令的相关条款。如针对上文提到的问题可以在个人信息保护法中提及在于其他权益相冲突时的解决，该解决方式需要按照利益平衡来进行。同时需要考虑到版权相对于个人信息权的地位加以考虑。

（二）明确网络服务提供者信息传播责任和义务

网络服务提供者作为拥有公民的个人信息的主要用户，其为了更好的提供网络服务必然知悉大量的公民的个人信息，比如邮箱注册账号、手机号码、消费习惯、上网记录、IP地址等等。但是由于没有相关的法律法规对其在出现个人信息保护与知识产权冲突情形时其义务与责任，这就使得其有可能违背第三人的意志而提供第三人的个人信息。因此很有必要对其责任与义务进行明确，并且应该做到，第一，应当明确把用户个人信息的保护作为网站的法定责任，将其作为网络个人信息权保护规范的一个重要基础；第二，规定网络服务提供者在收集、使用公民个人电子信息时，应遵循合合法、透明、公正的原则，明示收集、使用信息的目的、方式和范围，并明确未经被收集者同意，不得收集和处理个人信息。第三，明确赋予网络服务商在什么条件下在法律法规未规定的情形可以向第三人提供个人信息。这样一来，有了对于网络服务商法律规定，其在保护信息主体的个人信息也有了底气。（作者单位：西北政法大学）

注解：

①石佳友：《网络环境下的个人信息保护立法》，载《苏州大学学报》2012年第6期

②指令第5条第一款，成员国的国内法“尤其应当禁止用户之外的人，在未获得用户同意的情况下，对通信和相关的信息传输进行监听、储存或其他的截听和监督”除指令第15条第一款规定之外，15条规定是成员国可以通过国内法对指令的有关权利设定限制。

③参见刑法253条的规定

④其第四条规定网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

参考文献：

[1]石佳友：网络环境下的个人信息保护立法[J].苏州大学学报2012（6）.

[2]吴汉东.著作权合理使用制度研究[M].北京：中国人民大学出版社，2013.

网络与信息安全管理工作总结 篇4

学校信息化设施设备的管理与维护工作。做好学校网络基础设施及中心机房管理。定期巡视和检查校园网络线路设备的连接及运行情况，维护校同网络设施正常运行，确保网络畅通，出现重大故障及时向分管领导反映。配合学校后勤做好中心机房和设备专用室的防水、防尘、防静电、防鼠害等工作，严格执行网络中心机房出入制度。

做好网络服务器系统安全及校内网络安全管理。负责服务器操作系统维护和升级工作，定期升级防病毒、防黑客入侵、不良网站过滤等软件，定期更改超级管理员密码，确保服务器系统安全。可以根据需要采取检测、制止等措施，防止校内网络及联网的计算机进行违法或违规的活动。

网络用户建立、权限管理及IP地址管理。负责全校教师在校内的教育信息中心网站和学校网站的用户注册、权限分配等管理。及时调整因工作调动等变化的用户增删等管理。负责本校入网计算机IP地址的申请、发配、登记和管理等工作。

校园网站建设及信息管理。负责网站页面的更新、维护等网站建设工作，在条件许可的情况下进行网站功能升级；每天检查校园网站运行正常情况，检查是否受到攻右，检査网站上是否有反动、违法等不良信息，做好检查记录。发现情况及时向分管领导汇报，并及时进行处理；及时审核本校通讯员、教师或学生发布的学校重要工作、重大活动、班级活动等新闻报道、教案论文、师生作品、最新公告、网站留言等信息，并做好记录和数据汇总工作。

网络与信息安全知识点总结 篇5

接到《关于印发《XX市卫生行业网络与信息安全检查行动工作方案》的通知》的通知后，我院领导高度重视，立即召开相关科室负责人会议，深入学习和认真贯彻落实文件精神，充分认识到开展网络与信息安全自查工作的重要性和必要性，对自查工作做了详细部署，由主管院长负责安排、协调相关检查部门、监督检查项目，由信息科负责具体检查和自查工作，并就自查中发现的问题认真做好相关记录，及时整改，完善。

长期以来，我院在信息化建设过程中，一直非常重视网络与信息安全工作，并采取目前国内较先进的安全管理规范、有效的安全管理措施。自8月21日起，全院开展网络与信息安全工作自查，根据互联网安全和院内局域网安全的相应特点，逐项排查，消除安全隐患，现将我院信息安全工作情况汇报如下。

信息安全工作情况

一、网络安全管理：我院的网络分为互联网和院内局域网，两网络实现物理隔离，以确保两网能够独立、安全、高效运行。重点抓好“三大安全”排查。

1.硬件安全，包括防雷、防火、防盗和UPS电源连接等。医院HIS服务器机房严格按照机房标准建设，工作人员坚持每天巡查，排除安全隐患。HIS服务器、多口交换机、路由器都有UPS电源保护，可以保证短时间断电情况下，设备运行正常，不至于因突然断电致设备损坏。此外，局域网内所有计算机USB接口施行完全封闭，这样就有效地避免了因外接介质（如U盘、移动硬盘）而引起中毒或泄密的发生。

2.网络安全:包括网络结构、密码管理、IP管理、互联网行为管理等；网络结构包括网络结构合理，网络连接的稳定性，网络设备（交换机、路由器、光纤收发器等）的稳定性。HIS系统的操作员，每人有自己的登录名和密码，并分配相应的操作员权限，不得使用其他人的操作账户，账户施行“谁使用、谁管理、谁负责” 的管理制度。互联网和院内局域网均施行固定IP地址，由医院统一分配、管理，不允许私自添加新IP，未经分配的IP均无法实现上网。为保障医院互联网能够满足正常的办公需要，通过路由器对于P2P等应用软件进行了屏蔽，有效地阻止了有人利用办公电脑在上班期间在线看视频、玩游戏等，极大地提高了互联网的办公利用率。

二、数据库安全管理：我院目前运行的数据库为金卫HIS数据库，是医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础，为确保医院各项业务正常、高效运行，数据库安全管理是极为有必要的。数据库系统的安全特性主要是针对数据的技术防护而言的，包括数据安全性、并发控制、故障恢复、数据库容灾备份等几个方面。我院对数据安全性采取以下措施：（1）将数据库中需要保护的部分与其他部分相隔。（2）采用授权规则，如账户、口令和权限控制等访问控制方法。（3）对数据进行加密后存储于数据库；如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，在修改存入数据库之前如有其它用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性；数据库管理系统提供一套方法，可及时发现故障和修复故障，从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障，可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等；数据库容灾备份是数据库安全管理中极为重要的一部分，是数据库有效、安全运行的最后保障，也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份，每天凌晨备份整个数据库，包含用户表、系统表、索引、视图和存储过程等所有数据库对象。在备份数据的过程中，主、从服务器正常运行，各客户端的业务能正常进行，也即是热备份。

三、软件管理：目前我院在运行的软件主要分为三类：HIS系统、常用办公软件和杀毒软件。HIS系统是我院日常业务中最主要的软件，是保障医院诊疗活动正常进行的基础，自2006年上线以来，运行很稳定，未出现过重大安全问题，并根据业务需要，不断更新充实。对于新入职的员工，上岗前会进行一次培训，向其讲解HIS系统操作流程、规范，也包括安全知识，确保其在使用过程中不会出现重大安全问题。常用办公软件均由医院信息科统一安装，维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。所有电脑，均安装了正版杀毒软件（瑞星杀毒软件和360安全卫士），并定期更新病毒库，以保证杀毒软件的防御能力始终保持在很高的水平。

四、应急处置：我院HIS系统服务器运行安全、稳定，并配备了大型UPS电源，可以保证大面积断电情况下，服务器坚持运行八小时。虽然医院的HIS系统长期以来，运行良好，服务器未发生过长时间宕机时间，但医院仍然制定了应急处置预案，并对收费操作员和护士进行过培训，如果医院出现大面积、长时间停电情况，HIS系统无法正常运行，将临时开始手工收费、记账、发药，以确保诊疗活动能够正常、有序地进行，待到HIS系统恢复正常工作时，再补打发票、补记收费项目。

总体来说，我院的网络与信息安全工作做得很成功的，从未发生过重大的安全事故，各系统运转稳定，各项业务能够正常运行。但自查中也发现了不足之处，如目前医院信息技术人员少，信息安全力量有限；信息安全意识还不够，个别科室缺乏维护信息安全的主动性和自觉性。今后要加强信息技术人员的培养，更进一步提高信息安全技术水平；加强全院职工的信息安全教育，提高维护信息安全的主动性和自觉性；加大对医院信息化建设投入，提升计算机设备配置，进一步提高工作效率和系统运行的安全性。

中心校安全知识网络竞赛活动总结 篇6

***在接到米易县教育局转发的四川省教育厅《关于举办全省中小学校安全知识网络竞赛的通知》（川教函【2011】78号）后，高度重视，精心组织开展此次安全知识网络竞赛活动。

一、加强领导，健全组织。

学校成立了以中心学校长陈康同志为组长，党支部书记张亮明为副组长，各班班主任为成员的领导小组。

二、深入宣传，广泛动员。

由班主任利用班会课的时间组织全体学生共同学习校园安全相关知识，让全体师生充分认识开展安全知识竞赛活动的重要意义，了解安全知识，增强安全意识，提高安全防范能力，为此次活动营造了良好的氛围。

三、认真组织，积极参赛。

通过全体师生学习，全校师生积极参加，成立了三个小组：教师组、1—3年级组、4—6年级组。各班学生在班主任的精心组织下踊跃报名参加，学校在每班选取2-3名学生参加比赛。

四、以人为本、反复演练。

竞赛活动开始前，教务处组织人员认真检查、维护和调试网络考试设备设施。

在学校统一部署下组织了校园安全知识讲座及紧急逃生演练，学生认真听讲，积极配合演练，使此次活动达到了良好的效果。

五、总结经验、巩固成果。

学校号召全体同学在学习校园安全知识的基础上进一步搜集有关校园安全的各方面的知识内容，并将搜集到的材料积极在班会上进行交流，让同学们了解更多相关校园安全的知识，增强同学们的安全意识。

通过此次活动，学生的安全知识得到了充实，安全意识得到了提高，对安全防范知识得到了加深，提高了广大学生的安全防范意识和危急情况的处置能力

****

网络与信息安全知识点总结 篇7

一、信息系统开发与知识产权概念界定及相互关系

信息系统开发是各个企业所面临的问题, 知识产权作为无形资产是企业的生命, 知识产权保护无疑是企业经营管理的重要内容。

1、信息系统开发

信息系统开发 (ISD) 是在一定的开发环境下, 系统开发人员使现行系统向目标系统转化的过程。简单地说, 信息系统开发就是一个如何去认识对象以及如何开发出一个实际系统的问题。信息系统在技术上除具有涉及的数据量大, 数据具有持久性和共享性特点外, 还可向用户提供信息检索、统计报表、事务处理、规划、设计、指挥、控制、决策、报警、提示、咨询等信息服务。这都决定了信息系统在开发过程具有的特殊性。

2、知识产权

知识产权, 又称智力成果权或无形财产权, 通常指法律主体对其从事智力活动创造出的智力成果所享有的权利。随着信息社会的发展, 知识产权所涵盖的范围也呈逐渐扩大的态势。知识产权主要有专有性、地域性及时间性三个特征, 即在授予知识产权的国域内, 并在其保护期限内, 知识产权是是法律主体所享有的一种独占权或专有权。

3、信息系统开发与知识产权保护的关系

(1) 二者的目的一致。信息系统开发与知识产权保护的客体都是知识信息, 共同目的是传播科学文化知识与发展生产力。具体而言, 知识产权法律保护的目的是为了知识的创新和传播, 旨在保护知识所有者的知识产权。信息系统的开发以信息共享为目标, 信息共享的最终目标则是最大限度满足特定用户或网络成员对网络环境中信息资源的充分利用。

(2) 二者之间的矛盾。由于知识产权是法律规定的人们对自己制造的精神产品所享有的权利, 它归权利人所有, 他人不得随意使用, 具有“排它性”。而信息资源共享的目的在于充分发挥现有信息资源的作用, 使共享网络内成员都有权使用, 它讲求“共享性”。因此, 必须正确处理“排他性”与“共享性”所产生的一些矛盾。

(3) 知识产权保护对信息系统开发的影响。一方面, 原来意义上的知识产权保护方式对权利人无法实施有效保护;另一方面, 如果一味强调知识产权人的利益, 利用技术保护措施严格控制信息系统的使用, 又会损害广大用户的利益, 导致知识产权与信息共享理念的大碰撞。因此, 知识产权保护制度对信息资源共享所起的正负效应是并存的, 但从长远看促进作用占主导地位。

二、信息系统开发中知识产权保护的现状

随着科学技术的进步, 人们对知识产权问题认识的提高, 我国在网络知识产权保护问题上已取得了可喜的成就, 但是仍存在不少亟待解决的问题。

1、我国知识产权保护已经取得的成就

我国在知识产权保护方面虽然起步较晚, 但在短短几十年间取得了长足的进步, 知识产权保护体系从无到有并不断完善, 成绩是有目共睹的。如我国已经建立了比较健全的知识产权保护法律体系, 以保证公民的著作权、专利权、商标专用权、发现权、发明权和其他科技成果权。另外, 我国司法部门建设和网络知识产权保护的监管系统也在不断的完善。

2、信息系统开发中存在的知识产权保护问题

虽然我国在知识产权保护问题上已经取得了不小的成就, 但是, 对我国大多数企业来说, 目前在信息系统开发中的知识产权问题上仍存在很多问题。

(1) 网络上对知识产权的监控难度大。由于网络环境下信息传递与传播的特殊性, 导致网络上对知识产权的监控难度增大了很多。网上对知识产权监控的主要目的是两方面的。一是尽量避免自己的网站侵犯别人的知识产权。对IC P而言, 它的信息很多都是网友粘贴或上传的, 很难保证其所有信息不会出现版权纠纷;二是防止自己的知识产权被他人侵犯。由于互联网漫无边际、传播迅捷, 网上内容被任意使用与传播、网页被抄袭、被设置埋置链等侵权行为难以被发现。

(2) 系统开发过程中存在的专利权问题。专利权使其持有者有权利在一定时期内决定一项发明的使用和收取源于该发明的特许使用费。与网络相关的专利性问题包括:关于计算机程序的可专利性问题;关于网上资料压缩技术、信息处理以及网上使用的软件的可专利性问题。特别是在软件获得专利以后, 其保护力度远远大于版权法的保护。随着硬件和软件技术的发展, 全球网络专利权的纠纷案件与日俱增。著名的计算机软件发明专利诉讼案件Stac Electronic告微软公司侵犯其专利权一案, 最终微软赔偿Stac Electronic公司1.2亿美元, 这大大增强了Stac公司的竞争力。

(3) 系统开发过程中的著作权问题。在网络环境下, 极易出现著作权侵权行为。与网络相关的著作权有:未经许可将数字化后的作品上载到网络上;未经许可将传统著作权作品进行数字化, 制作成为数据库或在网络上传输;网站的网页或广告中使用受著作权保护的图像或音乐等等。系统开发过程中侵犯著作权的案件也是屡见不鲜。比如腾讯计算机系统有限公司状告北京掌中无限信息技术有限公司侵犯其Q Q系统著作权、财产权一案, 经法院裁定, 掌中无限公司一次性赔偿腾讯公司经济损失200万元。这些侵权行为都给企业发展带来了极其不利的影响, 务必要引起我们的高度重视。

3、信息系统开发中知识产权侵权的原因

经济利益的驱使和制度的不完善是导致知识产权侵权的主要原因。

(1) 经济原因。由于不法经营者获利心切, 不惜代价侵害他人知识产权, 严重打击了一些研究开发人员的积极性。例如, 计算机软件、电影C D是可为不法复制者们带来很大利益的商品, 它的成本极低但具有很高的经济价值, 而这些经济价值来自于软件开发者和电影制作者们投入的大量的资金和脑力劳动。据调查, 微软为推出“W indow 98”投资的金额为34亿美元, 其开发人员分布全世界超过400万名。与之相比这些不法复制者们的投入费用可以说接近于0。这些非法复制品在中国有着较高占有率的原因就在于其价格低廉, 消费者可以低价格享受较高的文化生活。据中国经济景气监测中心调查, 65.5%的被调查者认为价格低廉是购买非法复制商品的主要原因。

(2) 制度原因。除了经济因素外, 知识产权制度的不完善也是造成网络侵权的原因。符合社会需要的管理方式和社会经济管理制度很好地为经济的发展作出贡献, 但是这些效果并不是自然形成的。由于社会经济制度和生产力等社会经济的各个要素正在不断变化着, 所以社会中的各项经济管理制度也要与时俱进。社会经济制度和经济管理体制如处在不同水平上、不符合社会经济发展的需求, 特别是在发生经济变革的情况下, 经济制度和经济管理体制会崩溃, 新的制度和体制也会残缺不全。这种情况为犯罪提供了适当的条件。国家对经济的可视管理和企业内部存在着的不合理的要素会增加生产成本, 这些都会导致知识产权侵权犯罪的产生。

三、信息系统开发中保护知识产权的策略

1、在发展中不断完善立法

在信息系统网络开发的知识产权保护方面仅靠自律是不够的, 要将知识经济时代新发展的要求反映到知识产权法律制度之中, 尽量减少漏洞。因此, 在将网络开发中知识产权保护纳入法律管制的范畴的基础上, 还要制定出专门性的系统网络开发操作规范性法律, 强调网络开发过程中对知识产权的法律保护。在完善立法时, 要着重考虑以下因素, 我国信息系统开发的实际情况;国际上的立法现状和通行的做法;网络的技术特性;权利与义务的平等问题。

2、完善管理体制, 实行知识产权的集中管理

完善管理体制主要体现在信息系统建设中, 需要成立专门的知识产权集中管理组织部门, 通过该部门与有关方面的沟通、协调, 从而解决信息数字化过程中的知识产权问题。管理体制是信息资源开发活动全过程的一个必不可少的环节, 而集体组织的形式又可以及时与有关方面协商解决出现的有关知识产权方面的矛盾和争端, 一方面使作者的著作权得到有效的保护, 另一方面也免去了各环节使用者的麻烦, 同时也可以有力地保护信息资源体系自身的知识产权。

3、用技术手段保护

对知识产权的保护还可以采用技术手段。这些技术手段包括加密、水印技术或者建立检测识别和跟踪系统等其它手段。比如由于网络上对知识产权的监控难度大可以建立互联网侵权盗版监管系统;利用现代的先进技术进行远程的监控和远程的取证, 降低行政检查的成本;建立了一个数字的监管平台并成立一个专门的课题组研究有效监管网络的侵权问题。

4、国家应尽快建立、健全经济措施保护知识产权

行为人侵犯他人的知识产权, 主要是为了获得经济上的利益。可采用一些有效的经济措施来保护知识产权。如运用适当的分配制度来保护知识产权, 运用一些经济手段使侵权人无利可图。这些都有助于减少侵权行为的发生。另外, 还可以通过宣传、教育来培养人们的知识产权保护意识, 增强人们的职业道德、学术道德来保护知识产权。

世界各国在网络环境下知识产权保护制度的建立都还处于探索阶段, 其建全还需要一个较长的研究实践过程。而且, 伴随着网络技术的发展, 新兴技术及系统开发所引发的知识产权问题将会不断出现。我们只有从网络系统开发的特点出发, 了解它的发展趋势、引发知识产权的原因及具体问题所在, 才能有效的避免侵权的再次发生, 否则, 整个系统开发建设就会无从谈起。随着我国经济、技术的发展和法制建设的进一步深入, 有理由相信信息系统建设过程中的知识产权保护问题一定会得到圆满的解决。

摘要：信息系统开发作为全球性的浪潮, 正对社会的各个方面产生越来越大的影响。本文分析了信息系统开发中涉及的常见的知识产权问题, 并提出了相应的对策。

关键词：信息系统开发,知识产权保护,网络环境,侵权行为

参考文献

[1]刘华英:网络环境下信息资源共建共享所涉知识产权问题浅析[J].情报杂志, 2003 (12) .

[2]袁爱玲、乔立新:网络环境下知识产权保护特征的变异[J].商业研究, 2005 (2) .

[3]李家清:我国文献资源共享中存在的问题及对策研究[J].中国图书馆学报, 2002 (1) .

网络信息安全状况与可信计算 篇8

关键词:网络信息安全状况;漏洞;网络信息安全技术;可信计算

中图分类号:TP393文献标识码:A文章编号:1000-8136(2009)21-0155-03

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率;信息安全则是指对信息的精确性、真实性、机密性、完整性、可用性和效用性的保护。网络信息安全是网络赖以生存的根基,只有安全得到保障,网络才能充分发挥自身的价值。

然而,随着互联网的迅速发展和广泛应用,计算机病毒、木马数量也在呈现爆炸式增长。据金山毒霸“云安全”中心监测数据显示,2008年,金山毒霸共截获新增病毒、木马13 899 717个,与2007年相比增长48倍,全国共有69 738 785台计算机感染病毒,与07年相比增长了40%。在新增的病毒、木马中,新增木马数达7 801 911个,占全年新增病毒、木马总数的56.13%;黑客后门类占全年新增病毒、木马总数的21.97%;而网页脚本所占比例从去年的0.8%跃升至5.96%,成为增长速度最快的一类病毒。该中心统计数据还显示,90%的病毒依附网页感染用户,这说明,人类在尽情享受网络信息带来的巨大财富和便捷的同时,也被日益严峻的网络信息安全问题所困扰。

1病毒木马数量呈几何级数增长,互联网进入木马病毒经济时代

造成病毒木马数量呈几何级数增长的原因,经济利益的驱使首当其冲,木马比病毒危害更大,因为病毒或许只是开发者为了满足自己的某种心理,而木马背后却隐藏着巨大的经济利益,木马病毒不再安于破坏系统,销毁数据,而是更加关注财产和隐私。电子商务便成为了攻击热点,针对网络银行的攻击也更加明显,木马病毒紧盯在线交易环节,从虚拟价值盗窃转向直接金融犯罪。

财富的诱惑,使得黑客袭击不再是一种个人兴趣,而是越来越多的变成一种有组织的、利益驱使的职业犯罪。其主要方式有:网上教授病毒、木马制作技术和各种网络攻击技术;网上交换、贩卖和出租病毒、木马、僵尸网络;网上定制病毒、木马;网上盗号(游戏账号、银行账号、QQ号等)、卖号;网上诈骗、敲诈;通过网络交易平台洗钱获利等。攻击者需要的技术水平逐渐降低、手段更加灵活,联合攻击急剧增多。木马病毒、病毒木马编写者、专业盗号人员、销售渠道、专业玩家已经形成完整的灰色产业链。

借助互联网的普及,木马病毒进入了经济时代。艾瑞的一项调查显示,央视“3•15”晚会曝光木马通过“肉鸡”盗取用户钱财后,超过八成潜在用户选择推迟使用网上银行和网上支付等相关服务。木马产业链背后的巨大经济利益,加上传统杀毒软件的不作为、银行对安全的不重视、刑法的漏洞等都是病毒木马日益猖獗的根源。

另一方面,病毒木马的机械化生产加速了新变种的产生,大量出现的系统及第三方应用程序漏洞为病毒木马传播提供了更广泛的途径。病毒制造的模块化、专业化,以及病毒“运营”模式的互联网化已成为当前中国计算机病毒发展的三大显著特征。

2由漏洞引发的网络信息安全问题

漏洞也叫脆弱性(Vulnerability),是计算机系统在硬件、软件、协议的具体实现或系统安全策略设计和规划时存在的缺陷和不足,从而使攻击者能够在未被合法授权的情况下,访问系统资源或者破坏系统的完整性与稳定性。漏洞除了系统(硬件、软件)本身固有的缺陷之外,还包括用户的不正当配置、管理、制度上的风险,或者其它非技术性因素造成的系统的不安全性。

2.1漏洞的特征

2.1.1漏洞的时间局限性

任何系统自发布之日起,系统存在的漏洞会不断地暴露出来。虽然这些漏洞会不断被系统供应商发布的补丁软件所修补,或者在新版系统中得以纠正。但是,在纠正了旧版漏洞的同时,也会引入一些新的漏洞和错误。随着时间的推移,旧的漏洞会消失,但新的漏洞也将不断出现,所以漏洞问题也会长期存在。因此,只能针对目标系统的系统版本、其上运行的软件版本,以及服务运行设置等实际环境,来具体谈论其中可能存在的漏洞及其可行的解决办法。

2.1.2漏洞的广泛性

漏洞会影响到很大范围的软、硬件设备,包括操作系统本身及其支撑软件平台、网络客户和服务器软件、网络路由器和安全防火墙等。

2.1.3漏洞的隐蔽性

安全漏洞是在对安全协议的具体实现中发生的错误,是意外出现的非正常情况。在实际应用的系统中,都会不同程度地存在各种潜在安全性错误,安全漏洞问题是独立于系统本身的理论安全级别而存在的。

2.1.4漏洞的被发现性

系统本身并不会发现漏洞,而是由用户在实际使用、或由安全人员和黑客在研究中发现的。攻击者往往是安全漏洞的发现者和使用者。由于攻击的存在,才使存在漏洞的可能会被发现,从某种意义上讲,是攻击者使系统变得越来越安全。

2.2漏洞的生命周期

漏洞生命周期,是指漏洞从客观存在到被发现、利用,到大规模危害和逐渐消失的周期。漏洞所造成的安全问题具备一定的时效性,每一个漏洞都存在一个和产品类似的生命周期概念。只有对漏洞生命周期进行研究并且分析出一定的规律,才能达到真正解决漏洞危害的目的。随着系统漏洞、软件漏洞、网络漏洞发现加快,攻击爆发时间变短,在所有新攻击方法中,64%的攻击针对一年之内发现的漏洞,最短的大规模攻击距相应漏洞被公布的时间仅仅28天。

2.3漏洞的攻击手段

黑客入侵的一般过程:首先,攻击者随机或者有针对性地利用扫描器去发现互联网上那些有漏洞的机器。然后,选择作为攻击目标利用系统漏洞、各种攻击手段发现突破口,获取超级用户权限、提升用户权限。最后,放置后门程序,擦除入侵痕迹,清理日志,新建账号,获取或修改信息、网络监听(sniffer)、攻击其他主机或者进行其他非法活动。漏洞威胁网络信息安全的主要方式有:

2.3.1IP欺骗技术

突破防火墙系统最常用的方法是IP地址欺骗,它同时也是其它一系列攻击方法的基础。即使主机系统本身没有任何漏洞,仍然可以使用这种手段来达到攻击的目的,这种欺骗纯属技术性的,一般都是利用TCP/IP协议本身存在的一些缺陷。攻击者利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站点的分组过滤器,系统发现发送的地址在其定义的范围之内,就将该分组按内部通信对待并让其通过,这种类型的攻击是比较危险的。

2.3.2拒绝服务攻击(DDoS)

当黑客占领了一台控制机,除了留后门擦除入侵痕迹基本工作之外,他会把DDoS攻击用的程序下载,然后操作控制机占领更多的攻击机器。开始发动攻击时,黑客先登录到做为控制台的傀儡机,向所有的攻击机发出命令。这时候攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致受害主机死机或是无法响应正常的请求。有经验的攻击者还会在攻击的同时用各种工具来监视攻击的效果,随时进行调整。由于黑客不直接控制攻击傀儡机,这就导致了DDoS攻击往往难以追查。

2.3.3利用缓冲区溢出攻击

缓冲区溢出攻击是互联网上最普通,也是危害最大的一种网络攻击手段。缓冲区溢出攻击是一种利用目标程序的漏洞,通过往目标程序的缓冲区写入超过其长度的内容,造成缓冲区的溢出,破坏程序的堆栈,使程序转而执行指定代码,从而获取权限或进行攻击。

2.3.4特洛伊木马

木马实质上只是一个网络客户/服务程序,是一种基于远程控制的黑客工具,不需要服务端用户的允许就能获得系统的使用权。木马程序体积比较小,执行时不会占用太多的资源,很难停止它的运行,并且不会在系统中显示出来,而且在每次系统的启动中都能自动运行。木马程序一次执行后会自动更换文件名、自动复制到其他的文件夹中,实现服务端用户无法显示执行的动作,让人难以察觉,一旦被木马控制,你的电脑将毫无秘密可言。

2.3.5数据库系统的攻击

通过非授权访问数据库信息、恶意破坏、修改数据库、攻击其它通过网络访问数据库的用户、对数据库不正确的访问导致数据库数据错误等方式对数据库进行攻击。主要手法有:口令漏洞攻击、SQL Server扩展存储过程攻击、SQL注入(SQL Injection)、窃取备份等。

2.3.6网页挂马

通过获取系统权限、利用应用系统漏洞,对脚本程序发帖和提交信息的过滤不严格,从而可以将一些HTML或者脚本代码段作为文本提交,但是却能被作为脚本解析或者通过ARP欺骗,不改动任何目标主机的页面或者是配置,在网络传输的过程中直接插入挂马的语句,利用被黑网站的流量将自己的网页木马进行传播,以达到无人察觉的目的。常见方式有:框架挂马、js文件挂马、js变形加密、body挂马、css挂马、隐蔽挂马、Java挂马、图片伪装、伪装调用、高级欺骗等。

2.3.7无线网络、移动手机成为新的安全重灾区

在无线网络中被传输的信息没有加密或者加密很弱,很容易被窃取、修改和插入,存在较严重的安全漏洞。随着3G时代的到来,智能手机和移动互联网越来越为普及,一部强大的智能手机的功能,并不逊于一部小型电脑。随着手机的处理能力日益强大,互联网连接带宽越来越高,手机病毒开始泛滥,病毒所带来的危害也会越来越大。手机病毒利用普通短信、彩信、上网浏览、下载软件与铃声等方式传播,还将攻击范围扩大到移动网关、WAP服务器或其它的网络设备。

2.3.8内部网络并不代表安全

随着经济的快速发展和企业对网络应用依赖程度的逐步提升,内部网络已经成为企业改善经营和管理的重要技术支撑。企业内部网络系统与外界的联系越来越紧密,而且数据的价值也越来越高,内部网络不安全已经成为影响企业进一步发展的重要威胁。常见的安全威胁有:内外勾结。内部人员向外泄露重要机密信息,外部人员攻击系统监听、篡改信息,内部人员越权访问资源,内部人员误操作或者恶意破坏系统等。

有关部门的调查数据显示,2004-2006年,内部攻击的比例在8%左右,2007年这个比例是5%,而到了2008年已经上升到23%。企业内部网络安全问题十分突出,存在较为严重的隐患,成为制约企业网发展与应用的重要因素。

3可信计算概述

在IT产业迅速发展、互联网广泛应用和渗透的今天,各种各样的威胁模式也不断涌现。信息领域犯罪的隐蔽性、跨域性、快速变化性和爆发性给信息安全带来了严峻的挑战。面对信息化领域中计算核心的脆弱性,如体系结构的不健全、行为可信度差、认证力度弱等,信息安全的防护正在由边界防控向源头与信任链的防控转移,这正是可信计算出台的背景。

可信计算(Trusted Computing,TC)是指在PC硬件平台引入安全芯片架构,通过其提供的安全特性来提高终端系统的安全性,从而在根本上实现了对各种不安全因素的主动防御。简单地说,可信计算的核心就是建立一种信任机制,用户信任计算机,计算机信任用户,用户在操作计算机时需要证明自己的身份,计算机在为用户服务时也要验证用户的身份。这样的一种理念来自于我们所处的社会。我们的社会之所以能够正常运行,就得益于人与人之间的信任机制,如:商人与合作伙伴之间的信任;学生与教师之间的信任;夫妻之间的信任等等。只有人与人之间建立了信任关系,社会才能和谐地正常运转。可信计算充分吸收了这种理念,并将其运用到计算机世界当中。

由于信息安全风险评估不足,导致安全事件不断发生。因此,现在的大部分信息安全产品以及采取的安全措施都不是从根本上解决问题,都是在修补漏洞,效果可想而知。可信计算则是从本源上解决信息安全问题,就是要发放“通行证”。并且,“通行证”可以从技术上保证不会被复制,可以随时验证真实性。可信计算因此成为信息安全的主要发展趋势之一,也是IT产业发展的主要方向。

3.1可信平台模块

把可信作为一种期望,在这种期望下设备按照特定的目的以特定的方式运转。并以平台形式制订出了一系列完整的规范,包括个人电脑、服务器、移动电话、通信网络、软件等等。这些规范所定义的可信平台模块(Trusted Platform Module,TPM)通常以硬件的形式被嵌入到各种计算终端,在整个计算设施中建立起一个验证体系,通过确保每个终端的安全性,提升整个计算体系的安全性。从广义的角度上,可信计算平台为网络用户提供了一个更为宽广的安全环境,它从安全体系的角度来描述安全问题,确保用户的安全执行环境,突破被动防御漏洞打补丁方式。可信平台模块实现目的包括两个层面的内容:一方面,保护指定的数据存储区,防止敌手实施特定类型的物理访问。另一方面,赋予所有在计算平台上执行的代码,

以证明它在一个未被篡改环境中运行的能力。

3.2可信计算的关键技术

与社会关系所不同的是,建立信任的具体途径,社会之中的信任是通过亲情、友情、爱情等纽带建立起来的,但是在计算机世界里,一切信息都以比特串的形式存在,建立可信计算信任机制,就必须使用以密码技术为核心的关键技术。可信计算包括以下5个关键技术概念:

3.2.1Endorsement key 签注密钥

签注密钥是一个2048位的RSA公共和私有密钥对,它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里,而公共密钥用来认证及加密发送到该芯片的敏感数据。

3.2.2Secure input and output 安全输入输出

安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。当前,电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。

3.2.3Memory curtaining 储存器屏蔽

储存器屏蔽拓展了一般的储存保护技术,提供了完全独立的储存区域。例如,包含密钥的位置。即使操作系统自身也没有被屏蔽储存的完全访问权限,所以入侵者即便控制了操作系统信息也是安全的。

3.2.4Sealed storage 密封储存

密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。例如,某个用户在他们的电脑上保存一首歌曲,而他们的电脑没有播放这首歌的许可证,他们就不能播放这首歌。

3.2.5Remote attestation 远程认证

远程认证准许用户电脑上的改变被授权方感知。例如,软件公司可以避免用户干扰他们的软件以规避技术保护措施。它通过让硬件生成当前软件的证明书。随后电脑将这个证明书传送给远程被授权方来显示该软件公司的软件尚未被干扰。

3.3可信计算的应用现状

在国际上,可信计算架构技术发展很快,一些国家(如美国、日本等)在政府采购中强制性规定要采购可信计算机。中国的可信计算还属于起步阶段,但正在向更高水平发展。据了解,现在市场上已经销售了数十万带有可信计算芯片的电脑,这些电脑已经广泛应用于包括政府、金融、公共事业、教育、邮电、制造,以及广大中、小企业在内的各行各业中。而且,不少政府部门已经认可产品,并将带有可信计算芯片的产品采购写入标书。但是,无论是国内还是国外,可信技术从应用角度讲都还仅仅处于起步阶段。可信计算还停留在终端(客户端)领域,还要进一步向服务器端(两端要互相认证),中间件、数据库,网络等领域发展,建立可信计算平台和信任链。当前,可信计算的应用领域主要有:数字版权管理、身份盗用保护、防止在线游戏防作弊、保护系统不受病毒和间谍软件危害、保护生物识别身份验证数据、核查远程网格计算的计算结果等。应用环境的局限性也是可信计算产业发展的一大障碍,目前的应用还处于很有限的环境中,应用的广泛性还得依靠人们对于可信计算、网络信息安全在认识和意识上的提高。

参考文献

1 刘晓辉主编.网络安全管理实践(网管天下)[M].北京:电子工业出版社,2007.3

2 [美]DavidChallener、RyanCatherman等.可信计算(Apractical

GuidetoTrustedComputing)[M].北京:机械工业出版社,2009

3 李毅超、蔡洪斌、谭浩等译.信息安全原理与应用(第四版)[M].北京:电子工业出版社,2007.11

4 齐立博译.信息安全原理(第二版)[M].北京:清华大学出版社,2006.3

5 金山毒霸官网.2008年中国电脑病毒疫情及互联网安全报告.

http://news.duba.net/contents/2009-02/04/6235.html

Network Information Security and Trusted Computing

Li Zhi

Abstract:As network developed rapidly and widely used, while it brings people big wealth and convenience, it also brings serious network information security problem. Network information security problem mainly is un-authorization access, masquerading legal user, damaging data integrity, interfering system normal operation, spreading virus trojan through network, line monitoring and so on. This article analysing network information security circumstance, it expounds information security problems from holes and introduces the future research direction of network information security skill.