《网络安全建设与网络社会治理ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全建设与网络社会治理ppt课件.ppt(71页珍藏版)》请在三一办公上搜索。
1、网络安全建设与网络社会治理,何路,内容,网络安全问题安全概念简介网络信息安全建设网络违法犯罪网络政务商务安全管理建设网络社会治理网络社会舆论治理网络不良信息治理专业技术人员的网络身心建设,2,网络安全事件回顾,1983年,凯文米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网,并通过该网进入了美国五角大楼的电脑,而被判在加州的青年管教所管教6个月。 1988年,凯文米特尼克被执法当局逮捕,原因是:DEC指控他从公司网络上盗取了价值100万美元的软件,并造成了400万美元损失。 1995年,来自俄罗斯的黑客“弗拉季米尔列宁”在互联网上上演了精彩的偷天换日,他是历史上第一个通过
2、入侵银行电脑系统来获利的黑客,1995年,他侵入美国花旗银行并盗走一千万元,之后,他把账户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。 1999年,梅利莎病毒使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,它是首个具有全球破坏力的病毒,该病毒的编写者戴维史密斯在编写此病毒时仅30岁。戴维史密斯被判处5年徒刑。,3,2000年,年仅15岁,绰号黑手党男孩的黑客在2000年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器,他成功阻止服务器向用户提供服务,他于当年被捕。 2001年,中美撞机事件发生后,中美黑客之间发生的网络大战愈演愈
3、烈。自4月4日以来,美国黑客组织PoizonBox不断袭击中国网站。对此,我国的网络安全人员积极防备美方黑客的攻击。中国一些黑客组织则在“五一”期间打响了“黑客反击战”。 2002年,英国著名黑客加里麦金农伦被指控侵入美国军方90多个电脑系统,造成约140万美元损失,美方称此案为史上“最大规模入侵军方网络事件”。2009年英法院裁定准许美方引渡麦金农。,4,2008年,一个全球性的黑客组织,利用ATM 欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。最关键的是,目前FBI 还没破案,甚至据说连一个嫌疑人还没找到。 2009年,7月7日,韩国总统府、国会、国情院和国防部等国家机关,
4、以及金融界、媒体和防火墙企业网站遭到黑客的攻击。9日韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开。这是韩国遭遇的有史以来最强的一次黑客攻击。2013年2月16日,Apple、Facebook 和 Twitter 等科技巨头都公开表示被黑客入侵,其中 Twitter 被黑后泄露了 25 万用户的资料。后经披露证实是黑客在某网站的 HTML 中内嵌的木马代码利用 Java 的漏洞侵入了这些公司员工的电脑。,5,2013年3月1日,著名黑客组织“匿名者”再次放出重磅炸弹,该组织已经在一个名为Par-AnoIA的网站上公布了包括美国银行、汤森路透、Cle
5、arForest、彭博社、TEKSystems在内多家“重型企业”的内部文件(包括客户资料),数据的链接和说明都可以在网页上找到,据悉这些机密数据总量达到了14GB。2013年12月7日,Google安全博客发表声明,他们在12月3日发现一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商向多个Google域名发行了伪造的CA证书。根据分析称,ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件,在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量,劫持Google的加密网络服务,例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻
6、击、内容欺骗和中间人攻击。,6,一、什么是网络安全,计算机安全:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。网络安全指:互联网的各个传送功能的安全问题,包括互联网基础设施的物理性安全和系统安全、互联网资源的安全以及数据信息的传送安全和存储安全。还包括由此引发的政治、经济、社会、文化等其它所有安全问题。网络运行系统的安全网络上系统信息的安全网络上信息传播的安全,7,网络安全的特征,技术层面可控性:网络主体对流通在网络社会系统中的信息传播以及具体内容能够实现有效控制可用性:对网络空间内的价值信息可被授权的人或实体正确访问完整性
7、:网络信息在传输、交换、存储和处理中保持非修改、免受他人破坏及非丢失残缺的特性保密性:不被非授权人/实体读取、使用不可否认性:网络通信双方在交互过程中都能确信对方的真实性,不能否认或抵赖发送或接收的信息社会层面高技术性类型复杂多样危害巨大难以预测跨国性,8,网络安全问题对社会的影响,影响经济安全影响政治安全影响文化安全影响军事安全影响社会安全,9,网络安全的重要性,网络安全是社会安全的重要部分网络安全是一种整体安全木桶原理网络安全是一种积极性的安全互相对抗:世界头号黑客的凯文*米特尼克的案例网络安全是一种战略性安全2011年美国成立网络司令部中国也有相应机构,10,网络安全关乎每个人,我国80
8、%的安全事件是由于弱口令造成的网络窃取信息、钱财,大多是浏览不良网站肉机缺乏基本的安全软件,11,二、安全概念简介,病毒蠕虫木马僵尸网络拒绝服务攻击DoS安全保障模型APPDRR模型,12,设置安全策略,密码必须符合复杂性要求密码长度至少有 6 个字符。密码至少包含以下 5 类字符中的 3 类字符:英语大写字母 (A - Z)英语小写字母 (a - z)10 个基数数字 (0 - 9)非字母数字(例如:!、$、# 或 %)Unicode 字符密码不得包含三个或三个以上来自用户帐户名中的字符。,13,计算机病毒,计算机病毒是一个指令序列,它能够把自身的拷贝插入到其他宿主程序中;计算机病毒是隐藏在
9、计算机系统的数据资源中,利用系统数据资源进行繁殖并生存,并能影响计算机系统正常运行的并通过系统数据共享进行传染的程序。我国:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”,14,什么是蠕虫病毒,1982年由XeroxPARC的JohnF.Shoch等人指出计算机蠕虫病毒应具备的两个最基本特征:可以从一台计算机移动到另一台计算机。可以自我复制。,1988年Morris蠕虫爆发后,EugeneH.Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫程序可以独立运行,并能把自身的一个包含所
10、有功能的版本传播到另外的计算机上。,15,蠕虫病毒的危害,16,网络蠕虫,计算机病毒:是一段代码,能把自身加到其他程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它。网络蠕虫:网络蠕虫是通过网络传播,无须用户干预能够独立地或者依赖文件共享主动攻击的恶意代码。网络蠕虫强调自身的主动性和独立性。网络蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。,17,特洛伊木马,词源特洛伊木马Trojan Horse来源于古希腊的神话故事“木马记”在计算机领域,特洛伊木马被认为是隐藏在系统中一段具有特殊功能的恶意代码。,18,僵
11、尸网络起源和发展,僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。早在2001年,国内一些安全爱好者就开始研究僵尸程序(只作为研究) 。2003年3月8日,在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可以视为僵尸网络 。2004年末爆发的一场浩荡的僵尸网络攻击事件,就将这个埋藏在中国数年之久的隐患释放 。,19,僵尸网络飞速发展,2009年5月1日至31日,CNCERT/CC对僵尸网络的活动状况进行了抽样监测,发现国内外1212个IP地址对应的主机被利用
12、作为僵尸网络控制服务器 。就全球感染情况来说,目前,英国是感染Bot最多的国家。如表所示,已知感染Bot 的计算机中有32%来自英国,19%来自美国,7%来自中国,我国的Bot感染率赫然名列第三。,20,我国僵尸网络增长情况,安卓恶意软件惊人增长 控制安卓的僵尸网络出现,21,DoS概念,DoS的英文全称是Denial of Service即 “拒绝服务”的意思。 DoS攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资源,使得被攻击的计算机或网络无法正常提供服务,直至系统停止响应甚至崩溃的攻击方式,即攻击者通过某种手段,导致目标机器或网络停止向合法用户提供正常的服务或资源访
13、问。,22,不同类别病毒比例图,23,APPDRR模型,24,三、网络信息安全建设,中华人民共和国计算机信息系统安全保护条例:保障计算机及其相关的和配套的设备、设施的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全,25,网络安全的表现形式,从社会层面舆论导向:散布谣言、煽动分裂社会行为:违法犯罪,如散播病毒、诈骗、网络盗窃技术环境:关键技术装备依赖进口、系统自身漏洞从造成的威胁计算机病毒垃圾邮件黑客行为信息系统自身的脆弱性有害信息被恶意传播,26,我国网络安全现状,政府网站篡改事件不断遭受境外攻击持续增多网上银行钓鱼威胁愈演愈烈工业控制系统安全事件呈现
14、增长态势手机恶意程序大幅增加木马和僵尸网络越发猖獗应用软件漏洞迅猛增长DDoS攻击仍然猖獗,27,钓鱼攻击,2004年7月联想集团和腾讯公司联合赠送QQ币 http:/ http:/,如真实的工行网站为,针对工行的钓鱼网站则有可能为,28,钓鱼网站识别,钓鱼网站结构很简单,只有一个或几个页面URL和真实网站有细微差别切勿在电子邮件、即时消息或弹出窗口中提供个人信息。 请勿单击来自陌生人的电子邮件和即时消息中的链接或所有看上去可疑的链接。因为即便是来自朋友和家人的消息也可能是伪造的,因此请与发送者确认他们是否真的发送了消息。仅使用提供了隐私声明或有关他们将如何使用您个人信息的信息的网站。 经常性
15、地核对财务对帐单和信用历史记录,并报告任何可疑的活动。 保持 Windows 和 Internet Explorer 为最新。开启IE的仿冒网站筛选,或360浏览器,29,智能手机系统安全,手机病毒的危害个人隐私泄露消费发送垃圾信息破坏手机软硬件,30,Android安全机制,权限机制:以XML的形式在AndroidManifest.xml文件中进行注册申请,该程序在安装时,Android会读取其申请的权限,只有获得了系统的批准才能拥有相应的访问权限沙箱机制:每个应用程序被分配一个特定的User Id,在各自独立的Dalvik虚拟机中运行,拥有独立的地址空间和资源。问题:系统把资源访问权限授予
16、应用程序之后无法收回,只能通过卸载应用程序取消其访问权限;权限授予机制缺乏灵活性:系统要么同意应用程序申请的全部权限,要么拒绝该应用程序的安装,无法同意部分权限申请。,31,我国信息安全的成就与问题,成就信息安全产业发展迅速信息安全立法工作突出互联网信息监管越来越强问题信息安全法律体系不健全互联网信息管理不到位基础设施相关核心技术仍为外国垄断网络普及日益拓展,,32,网络信息安全建设的策略,加大研发具有自主知识产权的核心技术加大网络信息安全技术的研发力度给予信息安全产业优惠政策加快建立自己的根域名服务器完善网络信息安全的法律制度健全完善网络信息安全法律体系把立法纳入国际法律体系中加强国际合作尊
17、重和借鉴互联网发展过程中形成的“习惯法”健全国家网络信息安全的管理体制从国家层面上制订战略计划加强网络信息安全产品的监管加强对专业技术人员的管理加大宣传,提高网络用户的安全防范意识加强互联网行业组织的作用,提倡行业自律加强网络道德建设,33,四、网络违法犯罪的治理,网络违法犯罪三大类型:传统违法犯罪与互联网相结合以互联网为工具,通过互联网实施的传统违法犯罪行为以互联网为直接的侵犯对象,危害互联网安全的违法犯罪行为,34,网络违法犯罪的特点与趋势,高智的新型违法犯罪隐蔽性极强,破案取证困难社会危害性大,涉及面广跨时空性犯罪主体的犯罪动机与目标日益多样化犯罪的主体多元化、低龄化犯罪的客体多样化犯罪
18、的成本低、风险小,35,网络违法犯罪的表现形式,网络诈骗QQ盗号诈骗网络色情色情交易网络盗窃电子银行盗窃虚拟物品也具有现实价值网络赌博非法入侵、破坏计算机信息系统,36,我国网络违法犯罪的现状,互联网财产性违法犯罪日益频发经济利益争斗病毒、木马等“工具”日益蔓延也是为了经济利益利用网络传播有害信息频发利用网络造谣跨地域、跨国违法犯罪高发犯罪隐蔽、难以彻查青少年的网络违法犯罪增多法律意识淡薄,37,我国网络违法犯罪的发展趋势,威胁国家安全的网络违法犯罪将更加突出窃取商业机密和个人信息的网络违法犯罪将更加突出网络引发的社会矛盾案件将更加突出,38,网络违法犯罪的成因,主观原因经济利益法律意识、安全
19、意识、社会责任意识淡薄道德观念缺乏客观原因互联网立法滞后、不健全技术给网络违法犯罪的防治带来挑战网络违法犯罪的侦破困难网络自身所具有的开放性,39,网络违法犯罪的预防与治理,完善网络违法犯罪的相关立法立法模式网络违法犯罪的主体提高网络违法犯罪刑罚度、增加刑罚种类健全电子证据制度提高防范水平加强监管力度网上警务室和网络警察队伍的建设联网单位、场所的监管针对性严打多发的网络违法犯罪加强网络道德、文化建设加快建立网络道德规范体系加强青少年教育加强打击网络违法犯罪的国际合作,40,五、网络政务,电子政务:运用计算机、网络和通信等现代信息技术手段,实现政府组织结构和工作流程的优化重组,超越时间、空间和部
20、门分隔的限制,建成一个精简、高效、廉洁、公平的政府运作模式,以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。网络政务的安全管理国家强制角度的管理应用系统使用单位自身的管理,41,我国网络政务安全管理的问题,网络政务安全领域存在大量的立法空白网络安全管理机构缺乏统一性和责任性缺乏最高权威的统一机构、各自为政网络安全基础设施管理薄弱、应急处理能力差网络政务安全具体运行管理还不成熟网络政务安全项目建设不完善,42,专业技术人员与网络政务安全管理,不断提高对网络政务安全管理的意识和积极的安全观加强网络安全基础设施的建设和安全保障完善网络政务安全管理流程、优化管理运行程序完善网络政务安
21、全管理制度,以制度为保障,43,网络商务安全,电子商务:过电子手段进行的商业事务活动。通过使用互联网等电子工具,使公司内部、供应商、客户和合作伙伴之间,利用电子业务共享信息,实现企业间业务流程的电子化,配合企业内部的电子化生产管理系统,提高企业的生产、库存、流通和资金等各个环节的效率。涉及:可信交易移动支付网络电子票据商贸流通物流配送,44,电子商务面临的安全问题,技术层面泄露篡改伪造信用威胁病毒、木马社会层面诚信安全支付安全电子合同安全网络知识产权安全,45,专业技术人员与网络商务安全,宏观层面完善规范电子商务的法律与政策,发挥应急响应组织的作用建立整体的电子商务网络安全架构微观层面建设电子
22、商务诚信体系规范网络支付服务治理网络知识产权侵权,46,六、网络社会治理,网络社会网络舆论网络不良信息网络社会治理的国际经验美国:加强互联网管理立法法国:互联网发展管理体制俄罗斯:信息网络安全纳入国家安全战略韩国:网络实名制日本:强化网络空间危机管理欧洲:重处恶性政治网站及政治性言论,47,七、网络社会舆论治理,网络社会舆论:指网民和公众在网络上对流行的社会问题,发表意见而形成一种看法或言论,具有一定的影响力和倾向性。它反映着网民和公众的情绪和意见,混杂着网民和公众理性与非理性的成份,在一定时间内具有持续性和一致性。,48,“二级传播”理论:大众传媒往往是通过民间“意见领袖”的中介作用,才能影
23、响公众。这种现象在互联网平台上更为突出。2013年,全国103家微博客网站的用户账号总数已达12亿个,其中新浪微博用户账号5.36亿个,腾讯微博用户账号5.4亿个。微信用户已达5亿,海外用户超过1亿新浪微博、腾讯微博中,拥有10万以上粉丝(听众)的超过1.9万个,100万以上的超过3300个,1000万以上的超过200个。,49,我国网络舆论的特点,参与主体的广泛化与复杂化互动参与性时效性监督性对信任冲击性独立性,50,51,52,网络舆论的形成,舆论形成的模式:产生话题-话题持续存活-形成网络舆论-网络舆论发展-网络舆论平息我国网络舆论现状微博大行其道社交网站的社会动员潜力论坛/BBS丧失网
24、络舆论霸主地位移动互联崭露头角博客不温不火,轻博消失,53,网络社会舆论的引导,完善互联网法律制度加强政府网络舆论引导能力调整引导策略:变“堵”为“疏”加强新闻网站、政府网站等主流网络媒体的建设培养专门的网络舆论引导人才:澄清谣言、消除误解、化解矛盾,正确引导网络舆论建立科学、及时、有效的网络舆论预警机制明确网络舆论应急处理重点:抓住根本原因,不能依赖灌输式引导提高网络舆论监控的技术手段,54,加强网络媒体建设治理虚假新闻媒体关注新闻的角度不正确:新闻不核实、不准确、不公正、随意猜测、片面报道、低级庸俗负面报道过量造成安全感缺失有偿新闻、人情稿件,55,八、网络不良信息治理,网络不良信息:违反
25、国家法律、法规与政策,违背社会传统道德伦理与核心价值观,对国家、社会及个人会产生有害影响。我国法律的界定:pp141-142,56,互联网不良信息的分类,根据信息的性质违法法律的信息违反社会道德的信息破坏信息安全的信息:网站中木马挂马、僵尸程序根据信息的内容暴力及暴力倾向信息淫秽色情信息虚假信息诱赌信息网络垃圾信息小道消息厌世信息,57,互联网不良信息的特点,一般特点广泛性:全社会的参与、人人享有参与交流匿名性来源渠道多样性独有特点社会危害面大传播方便、传播速度更快,58,互联网不良信息的危害,危害国家安全扰乱社会秩序诱发犯罪行为危害经济社会道德缺失危害文化发展危害青少年,59,互联网不良信息
26、泛滥的原因,网络社会自身特点:虚拟、开放、平等、交互经济利益驱使网民自身问题:道德素质、心理素质、猎奇心理法律不完善治理技术不成熟社会监管难以有效实施国际合作难以协调,60,我国对不良信息治理的措施,法律规制刑法、民法通则、。行政监管工信部通信保障局、文化部文化市场司网络文化处 、公安部公共信息网络安全监督局、教育部思想政治工作司思想政治教育处、国务院新闻办、新闻出版总署、国家广电总局自律管理不良信息举报中心、。技术控制,61,我国不良信息治理存在的问题,法制不健全行政管理不到位行业自律性不高技术发展滞后,62,网络不良信息综合治理的趋势,完善互联网法律法规加强对互联网不良信息的监管将专项治理
27、制度化和常态化设立专门的行政监管部门提高互联网监管执法人员的业务水平加大对互联网信息源的监控加强互联网行业的自律性大力开展互联网道德教育加快新技术的研发与应用加强国际交流合作,63,九、专业技术人员的网络身心建设,正确的网络管理理念法制统一理念维护网络自由与多元化监管理念利益平衡理念与技术协同发展理念可操作性理念公众参与理念,64,网络道德建设,网络道德:是社会道德的延伸,以网络社会为依托,是网络社会的一种反映。是现实道德的新体现现实道德包含网络道德网络道德不可能脱离、突破现实道德特点:自主性、自律性、开放性,65,网络道德的原则,全民原则公正平等原则兼容原则:参与主体间的一致性、互相认同互惠
28、原则无害原则自由原则:不对他人造成不良影响的前提下诚信原则,66,网络道德问题产生的原因,网络自身的缺陷网络社会的虚拟性网络社会的开放性网络社会的隐蔽性网络主体的主观原因道德素质低下缺失对网络行为道德判断的能力缺乏自我约束的道德意识网络社会的客观原因立法滞后市场经济导致价值趋向多元化过分追逐经济利益意识形态斗争网络化网络监控技术不完善家庭、学校和社会教育存在问题,67,社会的网络道德建设,确立网络道德建设的指导思想加强网络主体的道德修养加强网络道德规范建设、健全网络道德规范体系,68,专业技术人员网络安全意识的培养,全面提升自身的网络道德水平完善我国网络安全政策法规提出建议推动关键网络信息设施安全保障工作全面提升网络新兴技术安全风险防范能力,69,专业技术人员的自律建设,提高自身法律意识充分发挥网络舆论“意见领袖”的作用加强自律建设,70,总结,网络世界不是理想王国:不存在绝对的自由监管、技术、法规、道德综合才能有效营建洁净的网络环境提高防范意识、加强自律、提高辨识能力避免遭受网络侵害,71,
