信息與安全概論課程學(xué)習(xí)體會(huì)

信息與安全概論課程學(xué)習(xí)體會(huì)通過(guò)信息與安全概論課程的學(xué)習(xí)，我對(duì)信息與安全的概念、研究方法、保護(hù)范圍、安全技術(shù)手段、訪問(wèn)控制技術(shù)等有了更加深入地了解和掌握，受益匪淺，主要收獲有以下幾個(gè)方面。一是明確了網(wǎng)絡(luò)安全與信息安全的概念與研究范圍。信息安全是為了建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護(hù)，實(shí)現(xiàn)電子信息的保密性、完整性、可用性和可控性。在當(dāng)今信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽，致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。面對(duì)侵襲網(wǎng)絡(luò)安全的種種威脅，必須考慮信息的安全這個(gè)至關(guān)重要的問(wèn)題。

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件；運(yùn)行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。網(wǎng)絡(luò)信息安全研究的主要內(nèi)容有：1、硬件安全，網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全，保護(hù)硬件設(shè)施不受損害，正常工作。2、軟件安全，計(jì)算機(jī)及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效。不被非法復(fù)制。3、運(yùn)行服務(wù)安全，網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過(guò)網(wǎng)絡(luò)交流信息，通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測(cè)，發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。4、數(shù)據(jù)安全，網(wǎng)絡(luò)中存儲(chǔ)及流通數(shù)據(jù)的安全。保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改、非法增刪、復(fù)制、解密、顯示、使用等，是保障網(wǎng)絡(luò)安全最根本的目的。

二是學(xué)習(xí)了網(wǎng)絡(luò)信息安全技術(shù)措施的防范和部署。網(wǎng)絡(luò)安全從技術(shù)上說(shuō),主要由防病毒、防火墻等多個(gè)安全組件組成,一個(gè)單獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)、訪問(wèn)控制、身份認(rèn)證、入侵檢測(cè)、漏洞掃描,、安全審計(jì)、安全管理等。（一）防火墻，是一個(gè)由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間,限制外界用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶(hù)訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。當(dāng)一個(gè)網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶(hù)的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)與重點(diǎn)網(wǎng)段的隔離,從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

（二）數(shù)據(jù)加密技術(shù)，與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開(kāi)放的網(wǎng)絡(luò)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù),對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊,雖無(wú)法避免,但卻可以有效地檢測(cè);而對(duì)于被動(dòng)攻擊,雖無(wú)法檢測(cè),但卻可以避免,實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類(lèi):即對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。

1、對(duì)稱(chēng)加密技術(shù)，是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個(gè)推知另一個(gè),這種加密方法可簡(jiǎn)化加密處理過(guò)程,信息交換雙方都不必彼此研究和交換專(zhuān)用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得以保證。目前,廣為采用的一種對(duì)稱(chēng)加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)DES,DES的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中。

2、非對(duì)稱(chēng)加密/公開(kāi)密鑰加密，在非對(duì)稱(chēng)加密體系中,密鑰被分解為一對(duì)(即公開(kāi)密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰通過(guò)非保密方式向他人公開(kāi),而另一把作為私有密鑰加以保存。公開(kāi)密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開(kāi)密鑰可廣泛公布,但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱(chēng)加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。（三）PKI技術(shù)，PKI(PublieKeyInfrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸,因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題。一個(gè)實(shí)用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操作性和可擴(kuò)展性。1、認(rèn)證機(jī)構(gòu)，CA(CertificationAuthorty)就是這樣一個(gè)確保信任度的權(quán)威實(shí)體,它的主要職責(zé)是頒發(fā)證書(shū)、驗(yàn)證用戶(hù)身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶(hù)電子身份證明—證書(shū),任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶(hù)。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書(shū)被偽造或篡改。2、注冊(cè)機(jī)構(gòu)，RA(RegistrationAuthorty)是用戶(hù)和CA的接口,它所獲得的用戶(hù)標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書(shū)的基礎(chǔ)。RA不僅要支持面對(duì)面的登記,也必須支持遠(yuǎn)程登記。要確保整個(gè)PKI系統(tǒng)的安全、靈活,就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。3、密鑰備份和恢復(fù)，為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。4、證書(shū)管理與撤消系統(tǒng)，證書(shū)是用來(lái)綁定證書(shū)持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書(shū)的整個(gè)生命周期里是有效的。但是,有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書(shū)不再有效的情況,這就需要進(jìn)行證書(shū)撤消。證書(shū)撤消的理由是各種各樣的,可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因。證書(shū)撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書(shū)或采用在線(xiàn)查詢(xún)機(jī)制,隨時(shí)查詢(xún)被撤消的證書(shū)。網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問(wèn)題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問(wèn)題,而不是萬(wàn)能的。因此只有嚴(yán)格的保密政策、明晰的安全策略才能完好、實(shí)時(shí)地保證信息的完整性和確證性,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。

三是樹(shù)立了網(wǎng)絡(luò)安全體系結(jié)構(gòu)的思想。網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要是根據(jù)所要保護(hù)的信息資源，對(duì)資源攻擊者的假設(shè)及其攻擊的目的、技術(shù)手段以及造成的后果來(lái)分析所受到的已知的、可能的和有關(guān)的威脅，并且考慮到構(gòu)成的各部件的缺陷和隱患共同形成的風(fēng)險(xiǎn)，建立的起的安全需求。從管理和技術(shù)上保證安全策略得以完整準(zhǔn)確地實(shí)現(xiàn)，安全需求全面準(zhǔn)確地得以滿(mǎn)足，包括確定必需的安全服務(wù)、安全機(jī)制和技術(shù)管理以及對(duì)它們的合理部署和關(guān)系配置。安全體系框架，包括物理保障和運(yùn)行環(huán)境，以及法律管理、組織體系和技術(shù)體系及其制約關(guān)系。常見(jiàn)的不安全因素有物理因素,網(wǎng)絡(luò)因素,系統(tǒng)因素,應(yīng)用因素,管理因素等。安全需求分析的內(nèi)容有防護(hù)安全,運(yùn)行安全,管理安全,安全評(píng)估等。ISO認(rèn)為的安全威脅有假冒,非法連接,非授權(quán)訪問(wèn),拒絕服務(wù),抵賴(lài),信息泄露,通信業(yè)務(wù)流分析,篡改報(bào)文流,篡改或破壞數(shù)據(jù),推斷信息,非法篡改程序等。根據(jù)網(wǎng)絡(luò)信息安全的學(xué)習(xí)，我對(duì)如何做好本單位網(wǎng)絡(luò)信息安全工作進(jìn)行了以下四個(gè)方面的思考。一是進(jìn)行必要的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估。安全管理在網(wǎng)絡(luò)信息安全中是非常重要的一環(huán)，要實(shí)現(xiàn)較完善的安全管理，必須分析、評(píng)估安全需求，建立滿(mǎn)足需求的計(jì)劃，實(shí)施這些計(jì)劃并對(duì)之進(jìn)行日常維護(hù)和管理。因此，十分有必要對(duì)網(wǎng)絡(luò)建立一個(gè)全局安全的目標(biāo)，然后將其整合到機(jī)構(gòu)的安全政策中，實(shí)現(xiàn)這一要求的關(guān)鍵步是對(duì)風(fēng)險(xiǎn)的評(píng)估，將風(fēng)險(xiǎn)減少到可以接受的水平。首先要確立網(wǎng)絡(luò)的安全威脅。按照安全威脅是出于自然的還是人為的，是無(wú)意的還是有間的，是直接的還是間接的，對(duì)安全威脅進(jìn)行分類(lèi)，根據(jù)其發(fā)生的概率、造成的損失大小來(lái)評(píng)估鑒定。其次關(guān)注網(wǎng)絡(luò)中的弱點(diǎn)和薄弱環(huán)節(jié)，對(duì)有可能造成的破壞和損失做出適當(dāng)?shù)脑u(píng)估。薄弱環(huán)節(jié)包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等的弱點(diǎn)，這些都可能被各種安全威脅利用來(lái)侵害有關(guān)資產(chǎn)及系統(tǒng)。最后注意評(píng)估的過(guò)程和方法。確定初步的評(píng)估分析，詳細(xì)進(jìn)行風(fēng)險(xiǎn)評(píng)估分析，選擇合適的安全防護(hù)措施，對(duì)網(wǎng)絡(luò)邊界進(jìn)行界定，制定安全防范措施，進(jìn)行風(fēng)險(xiǎn)評(píng)估的總結(jié)。對(duì)風(fēng)險(xiǎn)進(jìn)行管理，并制定可控、可操作性的計(jì)劃。二是建立本單位網(wǎng)絡(luò)安全策略。隨著信息化普及范圍的越來(lái)越廣，網(wǎng)絡(luò)所受到的威脅也隨之越來(lái)越多，而且越來(lái)越復(fù)雜化。安全管理工作的難度和復(fù)雜性的增加，需要我們?cè)谥贫ò踩胧r(shí)必須考慮一套科學(xué)、系統(tǒng)的安全策略，目的是防患于未然，使信息系統(tǒng)犯罪、不正當(dāng)行為、個(gè)人信息泄漏以及災(zāi)害造成的損失降低到最低限度，當(dāng)犯罪發(fā)生時(shí)能確保與相關(guān)部門(mén)取得聯(lián)系，從而確保網(wǎng)絡(luò)系統(tǒng)的安全，維護(hù)信息社會(huì)的正常秩序。計(jì)劃對(duì)網(wǎng)絡(luò)采取以下策略：1、監(jiān)視日志。讀取日志，日志的內(nèi)容至少可以確定訪問(wèn)者的情況；對(duì)日志進(jìn)行定期檢查，確保日志的安全；2、對(duì)不正當(dāng)訪問(wèn)的檢測(cè)，當(dāng)出現(xiàn)不正當(dāng)訪問(wèn)時(shí)應(yīng)設(shè)置能夠?qū)⑵洳槌霾⑼ㄖL(fēng)險(xiǎn)管理者的檢測(cè)功能，設(shè)置對(duì)網(wǎng)絡(luò)及主機(jī)等工作狀態(tài)的監(jiān)控功能，發(fā)現(xiàn)異常情況時(shí)，能夠使網(wǎng)絡(luò)、主機(jī)等停止工作；3、口令，用戶(hù)必須設(shè)定口令，并努力做到保密；口令設(shè)定時(shí)，應(yīng)指導(dǎo)他們盡量避免設(shè)定易于猜測(cè)的詞語(yǔ)，并在系統(tǒng)上設(shè)置拒絕這種口令的機(jī)制；指導(dǎo)用戶(hù)每隔適當(dāng)時(shí)間更換口令；限制口令的輸入次數(shù)，采取措施使他人難于推測(cè)口令等方法；4、用戶(hù)身份識(shí)別管理，對(duì)長(zhǎng)期未進(jìn)行登記的用戶(hù)進(jìn)行通知，對(duì)因退職、調(diào)動(dòng)、長(zhǎng)期出差等不需要或長(zhǎng)期黨代表物用戶(hù)進(jìn)行注銷(xiāo)；5、加密，進(jìn)行通信時(shí)根據(jù)需要對(duì)數(shù)據(jù)實(shí)行加密，做好密鑰的保管并采取相應(yīng)的保管措施；6、數(shù)據(jù)交換，進(jìn)行數(shù)據(jù)交換前，對(duì)欲進(jìn)行通信的對(duì)象進(jìn)行必要的認(rèn)證，以數(shù)字簽名等形式確認(rèn)數(shù)據(jù)的完整性，設(shè)定能夠證明數(shù)據(jù)發(fā)出和接收以及可以防止欺騙的功能。7、災(zāi)害策略，為防止因?yàn)?zāi)害、事故造成線(xiàn)路中斷，有必要做成熱備份線(xiàn)路。三是加強(qiáng)物理安全防范。在網(wǎng)絡(luò)信息安全中，物理安全是基礎(chǔ)，如果物理安全得不到保證，那么其他的一切安全措施都是空中樓閣。要保證網(wǎng)絡(luò)及節(jié)點(diǎn)放置在一個(gè)安全的物理環(huán)境，對(duì)接觸網(wǎng)絡(luò)的人員有一套完善的技術(shù)控制手段，且充分考慮到自然事件可能對(duì)網(wǎng)絡(luò)造成的威脅并加以規(guī)避。包括對(duì)機(jī)房、機(jī)房場(chǎng)地環(huán)境條件、設(shè)備布放、電源、圍墻和門(mén)禁、鑰匙和鎖、網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備、通訊線(xiàn)路、人員、監(jiān)視系統(tǒng)、訪問(wèn)記錄等等進(jìn)行控制，以加強(qiáng)安全防范。四是建立安全組織，加強(qiáng)網(wǎng)絡(luò)管理員和操作人員的培訓(xùn)。網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運(yùn)用離不開(kāi)各級(jí)機(jī)構(gòu)具體實(shí)施操作的人，人不僅是網(wǎng)絡(luò)信息系統(tǒng)建設(shè)和應(yīng)用的主體，同時(shí)也是安全管理的對(duì)象。要加強(qiáng)和確保網(wǎng)絡(luò)信息的安全，必須加強(qiáng)人員的安全管理。單靠一個(gè)人或幾個(gè)人的高技術(shù)是無(wú)法保障網(wǎng)絡(luò)信息