信息安全的体系结构精选PPT.ppt

《信息安全的体系结构精选PPT.ppt》由会员分享，可在线阅读，更多相关《信息安全的体系结构精选PPT.ppt（116页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、关于信息安全的体系结构第1页，讲稿共116张，创作于星期日第2页，讲稿共116张，创作于星期日1.1信息定义概念体系：什么是信息？确切地说至今无定义，但它是一个人人皆知的概念，大约有100多种定义；从不同的侧面，不同层次揭示信息的特征与性质。（分广义和狭义两大类）第3页，讲稿共116张，创作于星期日信息信息爆炸（一种消息）。信息信息是事物运动状态和方式（广义信息）。1975年，意大利Lango“客体间的差别”有差异就有信息。第4页，讲稿共116张，创作于星期日香农信息香农信息：通信的数学理论消除的随机不确定性的东西。缺少物质的世界缺少能量的世界缺少信息的世界空虚的世界空虚的世界死寂的世界死寂的

2、世界混乱的世界混乱的世界第5页，讲稿共116张，创作于星期日1.2信息性质和特征普遍性和可识别性普遍性和可识别性普遍性和可识别性普遍性和可识别性：利用感官或仪器：利用感官或仪器存储性和可处理性存储性和可处理性存储性和可处理性存储性和可处理性：信息载体的多样性：信息载体的多样性时效性和可共享性时效性和可共享性时效性和可共享性时效性和可共享性：价值随时衰减：价值随时衰减增值性和可开发性增值性和可开发性增值性和可开发性增值性和可开发性：资源最佳配置，有限：资源最佳配置，有限的资源发挥最大的作用。开发利用新能的资源发挥最大的作用。开发利用新能源。源。第6页，讲稿共116张，创作于星期日转换性、可传递性

3、、可继承性。转换性、可传递性、可继承性。转换性、可传递性、可继承性。转换性、可传递性、可继承性。信息信息信息信息的社会功能：资源功能、教育功能、的社会功能：资源功能、教育功能、启迪功能、方法论功能、娱乐功能和舆启迪功能、方法论功能、娱乐功能和舆论功能。论功能。第7页，讲稿共116张，创作于星期日第8页，讲稿共116张，创作于星期日2.1信息安全定义“安全”：客观上不存在威胁，主观上不存在恐惧。“信息安全”：具体的信息技术系统的安全；某一特定信息体系（银行、军事系统）的安全。（狭义）第9页，讲稿共116张，创作于星期日一个国家的信息化状态不受外来的威胁与侵害，一个国家的信息技术体系不受外来的威胁

4、与侵害。信息安全，首先应该是一个国家宏观的社会信息化状态是否处于自主控制之下，是否稳定，其次才是信息技术安全问题。第10页，讲稿共116张，创作于星期日2.2信息安全属性完整性（integrity）：存储或传输中不被修改可用性（availability）：DoS攻击保密性（confidentiality）：军用信息（保密），商用信息（完整）可控制性（controlability）：授权机构随时控制。第11页，讲稿共116张，创作于星期日可靠性（reliability）：对信息系统本身而言。第12页，讲稿共116张，创作于星期日2.3信息安全分类监察安全监控查验发现违规确定入侵定位损害监控威胁犯

5、罪起诉起诉量刑纠偏建议第13页，讲稿共116张，创作于星期日管理安全技术管理安全安多级安全鉴别术管理多级安全加密术管理密钥管理术的管理行政管理安全人员管理系统应急管理安全应急措施入侵自卫与反击第14页，讲稿共116张，创作于星期日技术安全实体安全环境安全建筑安全网络与设备安全软件安全软件的安全开发与安装软件的复制与升级软件加密软件安全性能测试第15页，讲稿共116张，创作于星期日技术安全数据安全数据加密数据存储安全数据备份运行安全访问控制审计跟踪入侵告警与系统恢复第16页，讲稿共116张，创作于星期日立法安全有关信息安全的政策、法令、法规认知安全办学、办班奖惩与杨抑信息安全宣传与普及教育第17

6、页，讲稿共116张，创作于星期日第18页，讲稿共116张，创作于星期日3.1ISO7498-2标准国际普遍遵循的计算机信息系统互联标准，首次确定了开放系统互连（OSI）参考模型的信息安全体系结构。我国将其作为GB/T9387-2标准，并予以执行。第19页，讲稿共116张，创作于星期日物理物理链路链路网络网络传输传输会话会话表示表示应用应用OSI参考模型参考模型1234567加加密密数数字字签签名名访访问问控控制制数数据据完完整整性性认认证证交交换换业业务务流流填填充充路路由由控控制制公公证证安全机制安全机制访问控制服务访问控制服务鉴别服务鉴别服务数据保密服务数据保密服务数据完整性服务数据完整性

7、服务抗抵赖服务抗抵赖服务安全服务安全服务安全构架三维图安全构架三维图第20页，讲稿共116张，创作于星期日在ISO7498-2中描述了开放系统互联安全的体系结构，提出设计安全的信息系统的基础架构中应该包含5种安全服务（安全功能）、能够对这5种安全服务提供支持的8类安全机制和普遍安全机制，以及需要进行的5种OSI安全管理方式。第21页，讲稿共116张，创作于星期日其中5种安全服务为：鉴别服务、访问控制、数据完整性、数据保密性、抗抵赖性；8类安全机制：加密、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制、公证；第22页，讲稿共116张，创作于星期日3.2安全服务安全服务是由参与通信

8、的开放系统的某一层所提供的服务，确保该系统或数据传输具有足够的安全性。ISO7498-2确定了五大类安全服务。第23页，讲稿共116张，创作于星期日鉴别单向或双向实体鉴别：防治假冒（在连接或数据传输期间的某些时刻使用）数据源鉴别：但不提供防治数据单元复制或窜改的保护。第24页，讲稿共116张，创作于星期日访问控制防止未授权而利用OSI可访问的资源。（数据库的访问控制）第25页，讲稿共116张，创作于星期日数据保密性连接保密性：请求中的数据不适合加密。无连接保密性：选择字段保密性：业务流保密性：防止流量分析第26页，讲稿共116张，创作于星期日数据完整性对付主动威胁（窜改、插入、删除、重放攻击）

9、第27页，讲稿共116张，创作于星期日不可否认带数据源证明的不可否认：向数据接收者提供数据来源的证明。（防止发信者欺诈）带递交证明的不可否认：向数据发送者提供递交的证明。（防止收信者事后否认）第28页，讲稿共116张，创作于星期日3.3安全机制ISO7498-2确定了八大类安全机制：加密、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制。第29页，讲稿共116张，创作于星期日加密保密性：向数据或业务流信息提供保密性。加密算法：分两大类对称加密以及非对称加密。（可逆与不可逆）第30页，讲稿共116张，创作于星期日数字签名机制对数据单元签名验证签过名的

10、数据单元签名只有利用签名者的私有信息才能产生出来，这样在签名得到验证之后，就可在任何时候向第三方证明：只有秘密信息的惟一拥有者才能够产生那个签名。第31页，讲稿共116张，创作于星期日访问控制机制确定访问权：拒绝访问未授权的资源访问控制手段：1、访问控制信息库。2、口令机制。3、权标：拥有或出示，不可伪造。4、路由。5、持续时间。第32页，讲稿共116张，创作于星期日数据完整性机制两个方面：单个数据单元或字段完整性（附加校验码）；数据单元串或字段串的完整性。偏序形式。（防扰乱、丢失、重演）第33页，讲稿共116张，创作于星期日鉴别交换机制通过信息交换以确保实体身份的一种机制。技术：鉴别信息，如

11、通行字；密码技术；实体的特征或占有物。对等实体鉴别：第34页，讲稿共116张，创作于星期日业务填充机制制造假的通信实例，产生欺骗性的数据单元或防止业务分析。第35页，讲稿共116张，创作于星期日路由控制机制路由选择：动态或事先固定（以便利用子网、中继站）。安全策略：携带某些安全标签的数据可能被禁止通行。第36页，讲稿共116张，创作于星期日公证机制公证人能够得到通信实体的信任，而且可以掌握按照某种可证实方式提供所需保证的必要信息。第37页，讲稿共116张，创作于星期日3.4安全服务与安全机制关系一种安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供，而且一种安全机制还可以用于

12、提供一种或多种安全服务。第38页，讲稿共116张，创作于星期日P2DR模型P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型，也是动态安全模型的雏形。P2DR模型包括四个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。第39页，讲稿共116张，创作于星期日第40页，讲稿共116张，创作于星期日P2DR模型是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”

13、的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。第41页，讲稿共116张，创作于星期日该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。第42页，讲稿共116张，创作于星期日作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt；在入侵发生的同时，检测系统也在发挥作用，检测到入侵行为也要花费时间检测时间Dt；在检测到入侵后，系统会做出应有的响应动作，这也要花费时间响应时间Rt。

14、第43页，讲稿共116张，创作于星期日公式1：PtDt+Rt。Pt代表系统为了保护安全目标设置各种保护后的防护时间。Dt代表从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间。Rt代表从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。那么，针对于需要保护的安全目标，如果上述数学公式满足防护时间大于检测时间加上响应时间，也就是在入侵者危害安全目标之前就能被检测到并及时处理。第44页，讲稿共116张，创作于星期日公式2：Et=Dt+Rt，如果Pt=0。公式的前提是假设防护时间为0。Dt代表从入侵者破坏了安全目标系统开始，系统能够检测到破坏行为所花费的时间。Rt代表从

15、发现遭到破坏开始，系统能够做出足够的响应，将系统调整到正常状态的时间。比如，对WebServer被破坏的页面进行恢复。那么，Dt与Rt的和就是该安全目标系统的暴露时间Et。针对于需要保护的安全目标，如果Et越小系统就越安全。第45页，讲稿共116张，创作于星期日通过上面两个公式的描述，实际上给出了安全一个全新的定义：“及时的检测和响应就是安全”，“及时的检测和恢复就是安全”。而且，这样的定义为安全问题的解决给出了明确的方向：提高系统的防护时间Pt，降低检测时间Dt和响应时间Rt。第46页，讲稿共116张，创作于星期日P2DR模型也存在一个明显的弱点，就是忽略了内在的变化因素如人员的流动、人员的

16、素质和策略贯彻的不稳定性实际上，安全问题牵涉面广，除了涉及到防护、检测和响应，系统本身安全的免疫力的增强、系统和整个网络的优化，以及人员这个在系统中最重要角色的素质的提升，都是该安全系统没有考虑到的问题第47页，讲稿共116张，创作于星期日第48页，讲稿共116张，创作于星期日技术：网络系统自身的安全脆弱性，TCP/IP协议的不完善，操作系统的漏洞。管理：内部管理制度，安全意识，黑客入侵，内部人员误操作引起的后果。第49页，讲稿共116张，创作于星期日1995年英国标准协会（BSI）制定信息安全管理体系标准，现已成为国际标准。规定了127种安全控制指南，对计算机网络与信息安全的控制措施做了详尽

17、的描述。第50页，讲稿共116张，创作于星期日网络与信息安全信息安全技术信息安全管理体系（ISMS）第51页，讲稿共116张，创作于星期日4、1信息安全管理体系构建遵循国际通行的并适合中国国情的ISMS：1）建立信息安全管理框架：安全政策、范围、风险评估、风险管理2）在ISMS基础上建立相关的文档、文件。3）安全事件记录，反馈。第52页，讲稿共116张，创作于星期日第53页，讲稿共116张，创作于星期日相关的国际标准化组织国际标准化组织ISO(InternationalOrganizationStandardization)，ISO中涉及信息安全的机构主要任务分工有：SCl4(电子数据交换(E

18、DI)安全，SCl7(标识卡和信用卡安全)，SC22(操作系统安全)，SC27(信息技术安全)，ISO/TC46(信息系统安全)，ISO/TC68(银行系统安全)等；第54页，讲稿共116张，创作于星期日相关的国际标准化组织国际电信联盟ITU(InternationalelecommunicationUnion)原称国际电报和电话咨询委员会CCITT(ConsultativeCommitteeInternationalTelegraphandTelephone)。其中x.400和x.500对信息安全问题有一系列表述.第55页，讲稿共116张，创作于星期日相关的国际标准化组织电气和电子工程师学会

19、IEEE(InstituteofElectricalandElectronicEngineers)，近年来关注公开密钥密码标准化工作，如P1363；第56页，讲稿共116张，创作于星期日相关的国际标准化组织Internet体系结构委员会IAB(InternetArchitectureBoard)，在报文加密和鉴别，证书的密钥管理，算法模块和识别，密钥证书和相关服务方面提出不少建议，如RFC1421-RFC1424，其中包括MD5、DES、RC5、PGP等密码用法建议第57页，讲稿共116张，创作于星期日相关的国际标准化组织美国国家标准局NBS(NationalBureauofStandards

20、)第58页，讲稿共116张，创作于星期日相关的国际标准化组织美国国家技术研究所NIST(NationalInstituteofStandardandTechnology)，NBS和NIST隶属于美国商业部。他们制定的信息安全规范和标准很多，涉及方面有：访问控制和认证技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理、电信、联邦信息处理标准等.第59页，讲稿共116张，创作于星期日相关的国际标准化组织美国电子工业协会EIA(ElectronicIndustriesAssociation)：美国国防部DOD(DepartmentOfDefence)：第60页，讲稿共116张，创作

21、于星期日相关的国际标准化组织中国信息安全产品测评认证中心、国家保密局、公安部计算机管理中心、国家技术监督局等单位正在联手合作，制定相关的电子信息安全产品的有关标准和规范性文件。第61页，讲稿共116张，创作于星期日5、1信息安全度量基准美国是信息安全测评认证的发源地。1985年美国国防部正式公布了可行计算机系统评估准则（TCSEC），即桔皮书，开始作为军用标准，后来延伸到民用。第62页，讲稿共116张，创作于星期日TCSEC安全级别由高到低分为A、B、C、D四类，每类之下又分为A1、B1、B2、B3、C1、C2、D七级。第63页，讲稿共116张，创作于星期日欧洲评估标准ITSEC结合法国、英国

22、、德国等开发成果。第64页，讲稿共116张，创作于星期日ISO着手国际标准由于全球IT市场发展，国际标准可以减少各国开支，推动全球信息化发展。1999年12月ISO正式将CC2.0ISO15408发布。第65页，讲稿共116张，创作于星期日通用准则CC评估信息技术产品和系统安全特性的基础准则。建立信息技术安全性评估的通用准则库，就能使其评估结果能被更多人所理解和信任，并让各种独立的安全评估结果具有可比性，从而达到相互认证的目的。第66页，讲稿共116张，创作于星期日1991欧洲ITSEC1985美国TCSEC1990加拿大CTCPEC1996国际通用准则CC1999国际标准ISO1540819

23、91美国联邦准则FC第67页，讲稿共116张，创作于星期日目前，我国共制定了50多个与信息安全有关的标准，例如：(1)GB4943-2001信息技术设备的安全。(2)GB17859-1999计算机信息系统安全保护等级划分准则。第68页，讲稿共116张，创作于星期日通用准则的内容分三部分简介和一般模型安全功能要求安全保证要求我国也将采用这一标准对产品、系统和系统方案进行测试、评估和认可。第69页，讲稿共116张，创作于星期日国际互认1999年，CC项目组成立CC国际互认工作组。美国NSA和NIST、加拿大CSE和英国CESG随后加入。目前非政府的认证机构也可以加入CC认证协定。第70页，讲稿共1

24、16张，创作于星期日ISO着手国际标准由于全球IT市场发展，国际标准可以减少各国开支，推动全球信息化发展。1999年12月ISO正式将CC2.0ISO15408发布。第71页，讲稿共116张，创作于星期日5、2国家信息安全测评认证体系组织结构：专门的测评认证机构（国家安全或情报部门控制），管理多个CC评估/测试实验室。第72页，讲稿共116张，创作于星期日国家标准化部门国家标准化部门国家安全国家安全/情报部门情报部门政府授权的认证政府授权的认证机构机构CC评估评估/测试实验测试实验室室监管监管授权授权提交提交报告报告技术技术监督监督第73页，讲稿共116张，创作于星期日信息安全测评认证体系目前

25、基于CC的信息安全测评体系一般具有下图所示的形式。第74页，讲稿共116张，创作于星期日测评认证测评认证机构机构CC及其通用及其通用评估方法评估方法政府授权的认证政府授权的认证机构机构CC评估评估/测试实验测试实验室室ISO导导则则25要要求求IT产品产品评估结评估结果果技术技术监督监督实验室实验室认证报告认证报告产品产品实验室认实验室认可机构可机构评估发起评估发起者者技术支技术支持持方案需方案需求求第75页，讲稿共116张，创作于星期日5、3中国信息安全测评认证中心国家技术监督局1999年2号公告发布，开展以下四种认证业务：1）产品信号认证：认证的基础形式。2）产品认证：从产品检验到质量保证

26、第76页，讲稿共116张，创作于星期日3）信息系统安全认证：对网络运行安全、管理安全和控制安全的综合认证4）信息安全服务认证：对服务提供者的实力、服务能力、资质条件认证第77页，讲稿共116张，创作于星期日5.4攻击评估在对攻击事件进行评估时，Seanconvery提供了一个很好的评估方案，该方案从四个方面定义了攻击类型的评估。1检测难度检测难度是指网管员是否能够检测到这些攻击的近似难度。例如有些端口扫描器扫描频率过高将会被很多IDS检测到，而SQL注入等则相对难以察觉。第78页，讲稿共116张，创作于星期日攻击评估2攻击难度攻击难度是指可以在公共场合随意使用的攻击相对来说攻击难度较低采用一些

27、0day漏洞的脚本攻击难度也非常低，而像精妙构造SQL语句则成为难度较高的一种攻击方式。第79页，讲稿共116张，创作于星期日攻击评估3频度频度是指攻击的频率。端口扫描几乎每天都会发生，而SQL注入、ARP欺骗等发生的频率则相对低得多。4影响要评估网络安全问题爆发后产生的影响。DDoS攻击可能对电子商务、政务系统等带来极大的影响和经济损失，而对于国防、军事等重要系统，它的影响则来自数据的丢失和机密的泄露等。第80页，讲稿共116张，创作于星期日攻击评估通过对以上四方面按5分制打分后，可以通过如下公式计算出总体评价：总体评价=检测难度+攻击难度2+频度3+影响4如果总体评价低于10，则可以不用过

28、多担心这类威胁；如果总体评价高于35则需要关注这类攻击；如果高于40，则属于高危漏洞，需要及时弥补。SeanConveFy对常见攻击作了如表所示的评价。第81页，讲稿共116张，创作于星期日攻击评估攻击类型攻击类型检测难度 攻击难度 频度 影响 总体评价 缓冲溢出缓冲溢出 435545身份欺骗身份欺骗 434542拨号式扫描拨号式扫描 543542病毒蠕虫木马病毒蠕虫木马 345442直接访问直接访问 255339远程控制远程控制 443437刺探、扫描刺探、扫描 455237Rootkit 424436第82页，讲稿共116张，创作于星期日攻击评估攻击类型攻击类型检测难度 攻击难度 频度 影

29、响 总体评价 监听监听 553336TCP欺骗欺骗 511530应用程序泛洪应用程序泛洪 355236UDP欺骗欺骗 543334无赖设备无赖设备 322533Web应用应用 334333数据整理数据整理 545132中间人中间人 421531第83页，讲稿共116张，创作于星期日攻击评估攻击类型攻击类型检测难度 攻击难度 频度 影响 总体评价 分布式拒绝服分布式拒绝服务务(DDoS)223431ARP欺骗和重欺骗和重定向定向 341430TCP SYN泛洪泛洪 353230IP欺骗欺骗 345130IP重定向重定向 222428Smurf 242328传输重定向传输重定向 432328MAC

30、泛洪泛洪 351328第84页，讲稿共116张，创作于星期日攻击评估攻击类型攻击类型检测难度 攻击难度 频度 影响 总体评价 MAC欺骗 351328STP重定向重定向 331220第85页，讲稿共116张，创作于星期日第86页，讲稿共116张，创作于星期日6、1网络立法的现状仍然处于探索阶段探索阶段。一方面，在具体的立法上已经走出了可喜的一步。（属于行政管理，“低级别低级别”的法律）另一方面，理论上的探索和研究，处于立法的前期准备阶段。第87页，讲稿共116张，创作于星期日6、2网络立法的内容三个方面的内容：第一部分是公法的内容：对网络依法进行行政管理第88页，讲稿共116张，创作于星期日第

31、二部分是私法内容：民法角度，对网络主体的权利与义务第三部分网络利用的法律问题：既有公法又有私法部分。第89页，讲稿共116张，创作于星期日6、3网络立法的形式建立类似于著作权法、商标法的独立的法律。在一些基本法中补充一些有关网络内容的规定。建立配套的行政法规和部门规章，对网络法还要作出实施细则。第90页，讲稿共116张，创作于星期日立法形式总结以网络法为核心、由基本法的相关内容为配套的、由行政法规和行政规章作补充的、由最高司法机关的司法解释作为法律实施说明的一套完整的法律体系。第91页，讲稿共116张，创作于星期日6、4计算机记录的法律价值什么是敏感数据没有统一分类；对于远距离犯罪用谁的法律去

32、判定？计算机取证困难，不能使用传统的取证手段；计算机犯罪的损失评估的困难性。第92页，讲稿共116张，创作于星期日举证责任的转移通常，举证责任在于原告。但是目前，已经有许多国家倾向于将举证责任转移到提供计算机网络服务的这一方，因为他们有更多的机会赖获得证据，而用户没有足够的技术力量和经济能力提供备份或记录。第93页，讲稿共116张，创作于星期日6、5用户行为规范一对一通信：电子邮件一对多通信：邮件分发和电子新闻信息服务提供：WWW和FTP第94页，讲稿共116张，创作于星期日几点规范不发送垃圾邮件不在网上进行人身攻击，讨论敏感话题不在学术问题讨论组内发布广告不转发可疑邮件第95页，讲稿共116

33、张，创作于星期日案例:十万水军网海捞金网络公关公司在背后领航被称为头号网络黑社会的某网络营销机构，被央视报道号称“短平快、5万块”的网络公关公司，该公司营销总监称“5万块可影响法院判决”。第96页，讲稿共116张，创作于星期日无道德底线无道德底线 给钱啥事都干给钱啥事都干在这群水军背后，正在兴起的网络公关公司是真正的“领航人”，他们充当推手，将需要推广、推销的目标推向公众。现在的网络热闻，背后很可能是一场炒作，而这种炒作先需要策划点子、向媒体购买入口文字链、焦点图、将水军分组进行疯狂顶帖。第97页，讲稿共116张，创作于星期日网络水军是“中国特色”网络水军被冠以“网络黑社会”的称号。人们对其的

34、反感一是他们虚拟了民意，二是他们制造了大量的网络垃圾。在这些浩荡水军背后，网络公关公司是那只看不见的手。而随着行业完善和技术发展，网络水军将成为历史第98页，讲稿共116张，创作于星期日业内资深人士刘韧在博客里透露，并不是只有中小公司才雇佣“网络打手”，一知名跨国公司CEO曾在公开场合疾呼停止网络暴力，但私底下他也雇佣论坛打手回骂“骂他的人”。第99页，讲稿共116张，创作于星期日随着互联网的发展，越来越多的传统企业也开始了互联网营销，如10XX、XX华夏、陈X公关之类的公司已开始涉足500强企业的公关项目。一些传统的公关公司如蓝色光标、奥美、迪思等知名公关企业也开始增加网络公关的业务。第10

35、0页，讲稿共116张，创作于星期日随着灌水机的发展，水军地位也受到威胁。灌水机即自动发帖机器人，是个几百K的小软件。水军人工操作成本高，灌水软件可有效控制成本，最大程度散布广告帖，还有刷点击、自动注册ID等功能。谢先生说，随着中国互联网的发展完善，水军终将成为历史。第101页，讲稿共116张，创作于星期日第102页，讲稿共116张，创作于星期日案例2人肉搜索七年来，“人肉搜索”已经成为在网络上风行的一个词汇。人肉搜索引擎最早起源于猫扑网，是指利用人工参与来提纯搜索引擎提供信息的一种机制，实际上就是通过其他人来搜索自己搜不到的东西，与知识搜索的概念差不多，只是更强调搜索过程的互动而已。第103页

36、，讲稿共116张，创作于星期日虐猫事件2006年2月28日，网民“碎玻璃渣子”在网上公布了一组虐猫视频截图。不久，网友“12ookie_hz”把有关“踩猫”事件的网址放在“猫扑”网，网友“黑暗执政官”在“天涯社区”上贴出了踩猫女人的照片，做成一张“宇宙通缉令”，让天下网友举报。不少网友发愿捐出猫币、人民币悬赏捉拿凶手，连猫扑网官方也将赏金从1000元涨到5000元。2006年3月2日上午10点20分，网友“我不是沙漠天使”在猫扑上发帖:“这个女人是在黑龙江的一个小城”，他的帖子让事件出现关键性转变。3月4日中午12点，虐猫事件的三个嫌疑人基本确定，距离“碎玻璃渣子”在网上贴虐猫组图不过6天时间

37、，其效率之高可能不亚于警方的办案速度。第104页，讲稿共116张，创作于星期日天价理发事件天价理发事件2008年3月两名14岁女生在“保罗国际”店里剪发后，被要价1.2万元，两人借了十几个同学的生活费才交上这笔钱。4月1日，全国各大媒体对此跟进报道。新闻在网络上发布后，网友启动“人肉搜索”，公布出保罗国际的注册信息，固定电话和手机号码，以及汽车牌照等，进而发展为到店门口聚集并打出标语等。4月2日中午12时许，郑州市地税局稽查局执法人员来到保罗国际，依法将其经营账目暂扣。4月3日，保罗国际被郑州有关部门责令停业整顿。第105页，讲稿共116张，创作于星期日辽宁女事件辽宁女事件2008年5月21日

38、，国外最大视频网YouTube上出现一段长4分40秒的视频，在视频中一名女子身处网吧，用很轻蔑的口气大谈对四川地震和灾区难民的看法。随后不到1个小时，该视频被中国网民链接到了天涯、猫扑等国内大型论坛上，网民开始震怒。一个“号召13亿人一起动手把她找出来”的“搜索令”发起。第106页，讲稿共116张，创作于星期日QQ密码被网友攻破，半小时不到，有匿名网友发帖称得知该女子的详细信息，她的身份证号、家庭成员、具体地址、工作地点，甚至父母亲和哥哥的电话全被“挖”了出来。21日下午1时，沈阳市公共安全专家局苏家屯区分局根据网上提供的该女子的信息资料，在一家网吧将其抓获，后将其拘留。警方称，该女因对网吧停

39、止游戏娱乐活动不满而录制了辱骂视频。她已对自己的言论表示忏悔和道歉。第107页，讲稿共116张，创作于星期日随着网民队伍的不断壮大，在某些网络有意无意的将开发支持“人肉搜索”，作为推动网站发展的原动力之后，“人肉搜索”，在短短的几年之内便成了互联网上最火爆、最为人称道又最为人诟病的一种“网民行为”。“他成名了，他出事了，因为他被人肉搜索上了”。第108页，讲稿共116张，创作于星期日人肉搜索导致肇事人的姓名，身份，家庭地址等个人资料被广泛公布。因其侵犯隐私权，而常与所在国的法律相抵触，因此受到一些人的批评;但有时也是法律过于落后，民众自力救济的现象。通过人肉搜索能使由机器搜索得到的信息进一步有

40、序化，信息指向更为精确。徐州曾在2009年1月立法通过禁止人肉搜索，但遭遇9成网民反对，最后当局让步表示揭示官员贪腐不在此限。第109页，讲稿共116张，创作于星期日人肉搜索被称为最恐怖的社会搜索。“网络通缉令”时常有发错的时候：在最近的一起“网络通缉令”事件中，其不幸者就由于被网友误当做被通缉者。更是因此接到大量骚扰电话，生活受到了极大干扰，需要通过法律途径解决。虽然人肉搜索的力量大，但结果弊大于利。一方面是惩恶扬善，但更多的一方面是违反法律的行为。第110页，讲稿共116张，创作于星期日双刃剑2008年4月17日，一名女白领的“死亡博客”引发网友对其丈夫王菲及父母、第三者的“人肉搜索”，将

41、王菲及其家人个人信息披露于网络。不堪忍受压力的王菲将大旗网、天涯社区和“北飞的候鸟”网站以侵犯了自己的名誉权为由告上法院，也使“人肉搜索”由网络现象正式上升为法律问题，成为全国反“人肉搜索第一案”。第111页，讲稿共116张，创作于星期日6、6我国信息安全相关政策法规中华人民共和国计算机信息网络国际联网管理暂行规定中国互联网络域名注册实施细则商用密码管理条例计算机软件保护条例中华人民共和国国家安全法第112页，讲稿共116张，创作于星期日课外题1:阅读CC标准文档2:阅读我国制定的信息安全标准.第113页，讲稿共116张，创作于星期日谢谢！2004年4月23日谢谢谢谢第114页，讲稿共116张，创作于星期日安全论坛上海交大http:/