在开展信息网络安全知识.doc

在开展信息网络安全知识 普及教育培训班上的讲话 近年来，随着我省经济社会信息化的深入发展，信息网络安全案件、事件时有发生，信息网络安全保障工作的重要性日益凸显。加强信息网络安全人才队伍建设，提高信息网络管理和使用单位安全管理、技术防范水平，是做好我省信息网络安全保障工作、推动经济社会发展的一项重要措施。随着信息社会的快速发展，我省教育系统网络建设一直保持快速发展势头。同时带来了不可忽视的网络与信息安全问题,对我省校园安全稳定、和谐海西建设构成严重威胁。省教育厅高度重视网络与信息安全,把它作为事关政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题,加强信息安全保障工作刻不容缓。(办班目的、全省教育系统信息网络建设、学校网络安全事件的例子等） 社会的发展，数字网络时代的到来，使人们生活的许多方面发生了改变。银行存款的通存通兑和异地存取款，上网冲浪，网上购物和网上交易等无不给人们的生活带来便利。但在计算机和网络带来方便和快捷的同时，它也附加了一些条件。如今人们口袋里的现金少了，各种各样的卡多了，如银行信用卡、医疗社保卡、工资卡等等。这些卡确实使我们方便了许多，但就因为这些卡方便到了在人们使用它们时计算机系统只认持卡人而不辩卡的真正主人的地步，为此我们为了卡上的信息的安全不得不为各种卡设置密码等。这就是一个信息的安全问题，我们设置各种密码就是为了我们的信息的安全。 随着互联网的发展和普及，网络病毒、网络攻击以及网络犯罪迅速达到空前猖獗的程度，今天的病毒已能在十几分钟内迅速传遍全球，能在瞬间扰乱全球经济。网络安全性已成为全球关注的焦点，黑客入侵和计算机病毒正威胁着各部门的正常运作。当人们日益依赖计算机网络时，却发现是如此脆弱。于是，信息安全日益得到全世界的重视，信息安全已经成为衡量一个信息系统是否完善的重要标志。 一、认清形势,提高网络与信息安全意识 1、什么是信息安全。 信息安全最薄弱的环节很可能是大意的人们，而不是软件的漏洞。黑客曾攻陷的许多极为繁复的网络，靠的不仅是高超的技术，更多的是利用人的弱点。只有把人的安全防范意识提升到一个相当高的地步，才能够从根本上降低信息安全的风险。 国际标准化组织(ISO)定义信息安全是“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。 信息安全主要包括以下四个方面：信息设备安全、数据安全、内容安全和行为安全。信息系统硬件结构的安全和操作系统的安全是信息系统安全的基础, 密码、网络安全等技术是关键技术。21 世纪是信息的时代。一方面，信息技术和产业高速发展，呈现出空前繁荣的景象。另一方面，危害信息安全的事件不断发生。形势是严峻的。信息安全事关国家安全和社会稳定，因此，要高度重视网络与信息安全工作。 21世纪最大的安全问题是信息安全,以及建立在信息安全基础上的经济安全、政治安全、军事安全、社会安全、科技安全、文化安全等。信息安全最薄弱的环节很可能是大意的人们，而不是软件的漏洞。骇客曾攻陷的许多极为繁复的网络，靠的不仅是高超的技术，更多的是利用人的弱点。只有把人的安全防范意识提升到一个相当高的地步，才能够从根本上降低信息安全的风险。 信息安全发展现状 信息安全在我国信息化建设的进程中可算是一个新兴产业，大体上，信息安全发展轨迹包括了三个阶段。 （一）萌芽阶段。2005年以前，国内各行业、各部门开始萌生信息安全的意识：从最初的“重视信息化建设”却“轻视安全体系的构建”，发展至“意识到安全的重要性”并且“希望实现信息安全”，但又认为信息安全很神秘，不知从何入手。在此阶段，各行业的客户都在有意识地学习和积淀信息安全知识，与这一领域的权威进行广泛的交流，了解其技术、理念、产品、服务。与此同时，一些企业、部门也出现了一些规模较小的、零星的信息安全建设，但并未实现规模化和系统化；而且这个时期政府对于信息安全在宏观政策上是呼吁的较多，具体推进的事务则比较少，虽然显得很热闹，但实际信息安全建设很少。 （二）爆发阶段。2005年以后，国内各行业、部门对于信息安全建设的需求由“自发”走向“自觉”。客户已基本了解了信息安全的建设内容与重要意义。很多行业部门开始对内部信息安全建设展开规划与部署，各行业领导高度重视，投资力度不断加大。由此，信息安全成为了这一阶段建设的重中之重。某种意义上，信息安全市场的需求爆发可说是多年来各行业在信息安全方面的“欠债”所造成的。 （三）普及阶段。当信息安全建设与各行业整体信息化建设融为一体的时候，信息安全作为IT建设的关键环节之一，它就像空气一样无比重要、无所不在，却又不易为人察觉。 2、全球正面临严峻的信息安全挑战：国家安全受到挑战（ 当前，网络恐怖是国家安全、国际政治与国际关系中一个新的突出问题。反恐专家警告说，恐怖活动已经蔓延到互联网，网络恐怖已成为信息时代恐怖分子的一种新手段。恐怖分子利用网络进行宣传、招募成员、筹集资金，利用网络发动心理战、制造政治阴谋。现实空间的恐怖袭击与网络空间的恐怖袭击已经紧密地结合起来，成为人类社会共同面临的新的恐怖威胁。同时，黑客对网络的恶意袭击也对国家安全造成事实上的威胁 ）、经济安全面临威胁（ 信息安全问题带给世界各国的经济损失是惨重的。自20世纪90年代出现黑客和计算机攻击以来，传统病毒曾一度横行网络，病毒通过电子邮件进行传播、在互联网上进行自我病毒扩散，盗窃用户名和密码等，这些病毒对全球企业和个人用户造成的破坏和损失，每年已达到数百亿美元之多 ）、社会安定遭到破坏（ 网络安全问题对整个社会的安定也带来严重损害。首先，影响人们的正常生活秩序。当今社会，人们的日常活动越来越离不开网络，网络系统的安全问题严重影响着人们的学习、工作和生活。此外，网络犯罪也使个人的隐私受到侵犯。计算机记录及储存的强大功能、国际网络的迅速兴起，使得个人数据的搜集与利用更为方便和快捷，但同时个人的隐私也逐渐暴露于公众面前，隐私被侵犯的可能性大大增加 ）、网络违法犯罪案件居高不下，传统领域的违法犯罪活动逐渐向互联网渗透（ 据统计，在国际刑法界列举的现代社会新型犯罪排行榜上，网络犯罪已名列榜首 ）。 3、各种新问题不断涌现，安全防范难度加大（ 随着网络技术的发展，我省信息网络应用不断拓展和深入，各种新技术、新应用不不断涌现，信息量呈几何级数增长。伴随着应用的发展，各系统暴露出来的网络与信息安全问题也随着增多，遭受木马、病毒等破坏的可能性增大 ）。 4、提高领导干部的信息安全意识、提高涉密人员的信息安全意识、提高专业技术人员的信息安全意识、提高全民信息安全意识。 （一）提高领导干部的信息安全意识.要提高信息安全意识，各级领导干部的信息安全素质尤为重要。因为只有领导提高信息安全意识，才能认真抓信息安全工作，严格落实各种法规和制度，严密组织实施信息安全检查，信息安全工作才能有成效、搞得好。同时，各级领导干部既是产生、传递、利用和贮存敏感信息的主体，也是窃取敏感信息的主攻目标。 （二）提高涉密人员的信息安全意识。涉密人员是秘密信息安全的重要管理者。担负着秘密信息的收发和保密责任，抓好涉密人员的队伍建设，提高其素质，是做好信息安全工作的关键。要提高素质，除了提高思想认识、培养科学严谨的作风、严守法纪和各项规章制度外，要进行高技术条件下信息安全保密的专业训练，使其掌握用现代技术工具管理文件档案的知识，熟悉本职业务，对可能造成失泄密的现象有较高的判断力和洞察力，以及掌握一定水平的反窃密技术等。 （三）提高专业技术人员的信息安全意识。专业技术人员是我国信息安全管理的生力军，是信息安全的运维者。专业技术人员要有足够的信息安全知识，充分理解相关的安全技术、操作系统和应用软件的安全性能，不断跟踪安全新闻动态、安全技术发展，养成良好的信息安全习惯。政府要积极推动我国信息化专业技术人员与国外在信息安全意识培养方面的交往。借鉴国外成功的经验，利用国外的研究成果，借助国外的教育力量，引进国外优秀的教材和有关理论，是迅速提高我国专业技术人员信息安全意识培养水平的捷径。 （四）提高全民信息安全意识。要增强国民的信息安全意识，提高国民信息安全的自觉性，必须要开展全民性的信息安全教育。要做到在任何情况下，确保党和国家秘密的安全，最根本的是搞好思想教育，提高全民的信息安全意识。要利用舆论、媒体宣传信息安全的重要性。编写信息安全知识手册，加强在信息安全方面的自我保护能力。建立一套安全培训制度，针对不同水平的用户进行分级培训，逐步提高计算机用户的技术水平。组织学习信息安全工作的法规，普及信息安全的常识，介绍信息安全的技术。只有全民的信息安全意识增强了，信息安全才会有充分的保证。 二、认真学习，掌握信息安全技术发展的主要特点 从目前全球的研究现状看，信息安全理论与技术研究有如下特点。 （一）信息安全理论研究 1、信息安全基础理论研究不断深入。在密码理论与技术方面，在安全体系结构理论方面的研究成果。 在密码理论与技术方面，基于数学的密码理论与技术快速发展，基于非数学的密码理论与技术包括信息隐藏、生物特征识别和量子密码的研究也在不断拓展，信息隐藏研究已引起高度重视；量子信息学则为信息科学的发展开创了新的领域。在安全体系结构理论方面，当前国际公认的安全体系结构标准是“信息技术安全评价通用准则”，它不仅综合了国际已有的评测准则和技术标准精华，同时也给出了安全框架和原则要求。体现整体安全思想的“可信计算、可信网络、可信应用”正成为安全体系结构理论发展的新趋势。 2、实用安全协议技术发展迅速。安全协议的研究包括对安全协议的安全性分析方法研究和各种实用安全协议的设计与分析。安全性分析方法包括攻击检验方法和形式化分析方法，其中形式化分析方法是目前的研究热点。实用安全协议研究的总趋势是标准化。其中对电子商务协议、IPSec协议、TLS协议的安全性分析是当前研究重点。 3、信息对抗技术是研究重点。信息对抗是信息安全技术的具体运用，主要包括：黑客防范体系，信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、计算机病毒、人工免疫系统在反病毒和抗入侵系统中的应用等。发达国家目前主导信息对抗理论的研究，网络攻击、入侵检测与防范、网络监听技术、智能代理理论和技术、网络安全监控管理等是研究热点。 （二）未来信息安全技术发展重点。随着信息产业的快速发展，信息安全问题已经成为我们必须面对的挑战。在提高安全意识和加强安全管理的同时，高技术产业领域更应重视信息安全技术本身的研发。应进一步加强对CPU和操作系统等信息安全关键技术的重点攻关研究，加强对急需的信息安全产品和系统的研究与开发。力争为信息安全保障体系建设提供技术支撑，全面提升信息网络基础设施和重点信息系统的安全保障能力。 1、网络安全体系结构。网络安全体系结构理论与技术的研究包括：安全体系模型的建立及形式化描述与分析，安全策略和机制的研究，检验和评估系统安全性的科学方法和准则的建立以及符合这些模型、策略和准则的系统的研制。应重视在系统应用环境较底层次上的应用研究，克服在完善性、规范性、实用性上的不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面缩小与国际水平的差距。 2、安全专用芯片。安全专用芯片的制造技术是信息安全产业的核心，加快密码专用安全芯片的研制对我国信息安全系统具有重要意义。应加强研制高强度、高性能和标准化的密码专用芯片，研发具有自主知识产权的CPU产品，研究智能安全芯片以及适用于高速宽带网络中的信息安全系统集成芯片（SOC）等。 3、安全操作系统和安全数据库。安全操作系统是信息安全的基础。安全操作系统为计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等多方面提供相应的安全技术保证。安全数据库是指数据库管理系统可以有效地管理数据库，并保障数据库的安全。数据库管理系统可对数据库管理系统存储、处理或传送的信息提供保护，阻止对信息的未授权访问，防止信息的泄漏、修改和破坏，对保障我国的信息安全具有重要意义。 4、无线网络通信安全技术。无线通信安全技术研究主要包括：无线网络安全体系结构研究，无线局域网安全技术研究，宽带无线接入网安全技术研究等。 5、新兴密码理论的探索与研究。重点发展PKI技术、量子密码和基于生物特征的识别理论与技术。PKI技术从技术上解决了网络通信安全的障碍，保障国家电子商务的安全运转。PKI关键技术包括PKI技术标准、信任及信任验证机制、选择和提出适合于安全服务平台的安全协议、密钥管理技术、研究开发证书管理技术等。量子密码原则上可提供不被窃听、不被破译的保密通信，主要探索网络密码原理，量子路由的寻址原理、方法、结构设计及其实现，量子密码网络系统的长期稳定性，量子密码网络技术与现有网络技术的结合，网络化的量子密钥分配原理和技术等。基于生物特征的识别理论与技术具有不易遗忘或丢失、防伪性能好、不易伪造或被盗、随身携带、随时随地可用等优点。主要研究在非理想采集条件和弹性形变下具有稳健性的特征提取和识别技术，序列图像的处理和特征识别技术，多模态生物特征识别的信息融合理论与方法等。目前该技术在电子商务领域最有应用前途。 6、应用于电子政务和电子商务的安全产品。除常用的防火墙、安全路由器、虚拟专用网和安全服务器等安全产品外，重点开发应用于电子政务和电子商务的新的安全产品。 三、加强管理，全力提升我省教育系统信息网络安全防范水平 1、抓教育，提高信息网络