网络与信息安全产业学院

美国网络信息安全产业格局分析

导读：孙子兵法云“知己知彼，百战不殆”。在中美网络安全领域“斗而不破”的遏制与反遏制、打压与反打压博弈中，对美方的战略、能力、产业、技术等进行全面综合的了解至关重要。但遗憾的是，过去中方的视角长久的放在关键基础技术领域，放在微软、英特尔、谷歌、苹果等厂商身上，却忽略了美国产业体系中一股强大而独立的力量，其信息安全企业星群，他们也同样是美国全球战略能力的基石。

在网络信息攻与防的双方向上，美国均拥有着全球最顶级的巨大威慑力和他国看似无法企及的战略优势，而来自中国的观察者易于犯的错误是——既伴着内心深深的忧惧，对这种战略优势进行着轻率地道义层面批判，却缺少对其核心支撑点——信息安全产业的深入而系统地分析。

美国信息安全产业并不是一台生冷而高耸的巨型兵工厂或商业机器，而是一组生动、富有理想与活力的企业符号。长期以来，国内对这些企业符号充满了疑问和不解，一方面，是其传统的巨头Symantec、McAfee等始终屹立不倒；另一方面则是新兴企业与新兴技术此起彼伏。

巨头型厂商厚重全面的解决方案与独立安全厂商的新概念、新产品交相辉映，令观者应接不暇，更令把美国当作信息化和信息安全建设标尺的各国政府和行业用户茫然无措。

但如果我

第一章 网络安全概述 ζ安全的基本含义:客观上不受威胁，主观上不存在恐惧.

`网络信息安全概念：通俗的说，网络信息安全主要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，网络信息安全的技术特征主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等方面。

网络信息安全的核心及其本质：网络信息安全的核心是通过计算机、网络、密码技术和安全技术，保护在公用网络信息系统中传输、交换和存储消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等。

ζ（开放系统互连）OSI安全体系结构：它定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制。5类安全服务：鉴别，访问控制，数据机密性，数据完整性，抗否性（不可抵赖性）；8种安全机制：加密、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择控制机制、公证机制。

ζ网络信息安全面临的主要威胁：1.人为或自然威胁 2.安全缺陷 3.软件漏洞 4.病毒和黑客入侵

ζ网络安全模型：P2DR安全模型：（1）策略.（2）保护.（3）检测.（4）响应

网络扫描技术

网络扫描技术刘鹏 北京大学信息科学技术学院软件研究所 网络和信息安全研究室

网络扫描技术

内容TCP/IP基础 网络信息收集目标探测 网络扫描

查点从系统中获取有效账号或资源名

网络监听截获网络上的数据包

网络扫描技术

安全层次应用安全 系统安全 网络安全 安全协议 安全的密码算法

网络扫描技术

TCP/IP基础 基础网络体系架构 重要协议的数据包格式IP、ICMP TCP、UDP

TCP连接 一些上层协议

网络扫描技术

网络体系架构OSI参考模型 TCP/IP模型

网络扫描技术

TCP/IP协议栈 协议栈

网络扫描技术

协议栈各层数据包结构

网络扫描技术

IP数据包格式 数据包格式

网络扫描技术

IP首部说明 首部说明版本号，目前取值4 首部长度，4个字节为单位，取值范围5~15 服务类型，指定传输的优先级、传输速度、可靠性和吞 吐量等 报文总长度，最大长度为65535字节 报文标识，唯一标识一个数据报，如果数据报分段，则 每个分段的标识都一样 标志，最高位未使用，定义为0,其余两位为DF(不分 段)和MF(更多分段) 段偏移量，以8个字节为单位，指出该分段的第一个数 据字在原始数据报中的偏移位置9

网络扫描技术

IP首部说明(续) 首部说明( 首部说明生存时间，取值0

网络扫描技术

网络扫描技术刘鹏 北京大学信息科学技术学院软件研究所 网络和信息安全研究室

网络扫描技术

内容TCP/IP基础 网络信息收集目标探测 网络扫描

查点从系统中获取有效账号或资源名

网络监听截获网络上的数据包

网络扫描技术

安全层次应用安全 系统安全 网络安全 安全协议 安全的密码算法

网络扫描技术

TCP/IP基础 基础网络体系架构 重要协议的数据包格式IP、ICMP TCP、UDP

TCP连接 一些上层协议

网络扫描技术

网络体系架构OSI参考模型 TCP/IP模型

网络扫描技术

TCP/IP协议栈 协议栈

网络扫描技术

协议栈各层数据包结构

网络扫描技术

IP数据包格式 数据包格式

网络扫描技术

IP首部说明 首部说明版本号，目前取值4 首部长度，4个字节为单位，取值范围5~15 服务类型，指定传输的优先级、传输速度、可靠性和吞 吐量等 报文总长度，最大长度为65535字节 报文标识，唯一标识一个数据报，如果数据报分段，则 每个分段的标识都一样 标志，最高位未使用，定义为0,其余两位为DF(不分 段)和MF(更多分段) 段偏移量，以8个字节为单位，指出该分段的第一个数 据字在原始数据报中的偏移位置9

网络扫描技术

IP首部说明(续) 首部说明( 首部说明生存时间，取值0

网络信息安全论文：

网络信息安全浅析

摘要：在当今社会，信息、物质、能源一起构成三大支柱资源，而其中的信息资源，对人们来说已不再陌生。随着社会的发展，信息越来越显得重要，信息是一种财富，对经济的繁荣、科技的进步，社会的发展都起着非常重要的作用。同样，对信息的保护也是一件很重要的工作。

关键词：信息资源；信息安全 1.网络信息安全概述

信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护，以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁，必须考虑信息的安全这个至关重要的问题。

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件；运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。

1.1 网络信息安全的内容

1.1.1 硬件安全。即网络硬件和存储媒体的安全。要保护

1. （）作为安全保护策略有两方面的含义：一是让事物简单便于理解；二是复杂化会为所有的安全带来隐藏的漏洞，直接威胁网络安全。 (单选 )

A动态化

B普遍参与

C纵深防御

D简单化

2. （）是指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象，从而使追查者误以为攻击者是来自外单位。 (单选 )

A被动攻击

B伪远程攻击

C远程攻击

D本地攻击

3. 为了实现（），所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。 (单选 )

A编写正确的代码

B非执行的缓冲区技术

C程序指针完整性检查

D数组边界检查

4. 现代密码中的公共密钥密码属于（）。 (单选 )

A对称式密码

B非对称式密码

C静态的密码

D不确定的密码

5. 通常的拒绝服务源于以下几个原因（）。 (多选 )

A资源毁坏

B资源耗尽和资源过载

C配置错误

D软件弱点

6. 防火墙的主要功能有（）。 (多选 )

A访问控制

B防御功能

C用户认证

D安全管理

7. 目前针对数据库的攻击主要有（）。 (多选 )

A密码攻击

B物理攻击

C溢出攻击

DSQL注入攻击

8. 定级是一项专业性较强的基础性

第一部分 判断题（共100题）

1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。 2.由于传输的不同，电力线可以与网络线同槽铺设。 3.机房供电线路和电力、照明用电可以用同一线路。

4.有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。 5.数据备份按数据类型划分可以分成系统数据备份和用户数据备份。 6.如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。 7.增量备份是备份从上次进行完全备份后更改的全部数据文件。

8.公钥密码体制算法用一个密钥进行加密，而用另一个不同但是有关的密钥进行解密。 9.对信息的这种防篡改、防删除、防插入的特性称为数据完整性保护。

10.PKI是利用公开密钥技术所构建的、解决网络安全问题的、普遍适用的一种基础设施。 11.操作系统在概念上一般分为两部分：内核（Kernel）以及壳（Shell），有些操作系统的内核与壳完全分开（如MicrosoftWindows、UNIX、Linux等）；另一些的内核与壳关系紧密（如UNIX、Linux等），内核及壳只是操作层次上不同而已。

12.如果向某个组分配了权限，则作为该组成员的用户也具有这一权限。例如，如果BackupOperators组有此

1. （）作为安全保护策略有两方面的含义：一是让事物简单便于理解；二是复杂化会为所有的安全带来隐藏的漏洞，直接威胁网络安全。 (单选 )

A动态化

B普遍参与

C纵深防御

D简单化

2. （）是指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象，从而使追查者误以为攻击者是来自外单位。 (单选 )

A被动攻击

B伪远程攻击

C远程攻击

D本地攻击

3. 为了实现（），所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。 (单选 )

A编写正确的代码

B非执行的缓冲区技术

C程序指针完整性检查

D数组边界检查

4. 现代密码中的公共密钥密码属于（）。 (单选 )

A对称式密码

B非对称式密码

C静态的密码

D不确定的密码

5. 通常的拒绝服务源于以下几个原因（）。 (多选 )

A资源毁坏

B资源耗尽和资源过载

C配置错误

D软件弱点

6. 防火墙的主要功能有（）。 (多选 )

A访问控制

B防御功能

C用户认证

D安全管理

7. 目前针对数据库的攻击主要有（）。 (多选 )

A密码攻击

B物理攻击

C溢出攻击

DSQL注入攻击

8. 定级是一项专业性较强的基础性

第一部分 判断题（共100题）

1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。 2.由于传输的不同，电力线可以与网络线同槽铺设。 3.机房供电线路和电力、照明用电可以用同一线路。

4.有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。 5.数据备份按数据类型划分可以分成系统数据备份和用户数据备份。 6.如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。 7.增量备份是备份从上次进行完全备份后更改的全部数据文件。

8.公钥密码体制算法用一个密钥进行加密，而用另一个不同但是有关的密钥进行解密。 9.对信息的这种防篡改、防删除、防插入的特性称为数据完整性保护。

10.PKI是利用公开密钥技术所构建的、解决网络安全问题的、普遍适用的一种基础设施。 11.操作系统在概念上一般分为两部分：内核（Kernel）以及壳（Shell），有些操作系统的内核与壳完全分开（如MicrosoftWindows、UNIX、Linux等）；另一些的内核与壳关系紧密（如UNIX、Linux等），内核及壳只是操作层次上不同而已。

12.如果向某个组分配了权限，则作为该组成员的用户也具有这一权限。例如，如果BackupOperators组有此

.

网络与信息安全保障措施

一. 组织机构设置 1. 公司成立网络与信息安全领导小组，是网络与信息安全的最高决策机构，下设办公室，负责日常事务。 2. 网络与信息安全责任人： 网络与信息安全第一责任人：企业法定代表人姓名； 工作职责为：对机构内的信息安全工作负有领导责任； 网络与信息安全责任人：分管信息安全工作的负责人姓名； 工作职责为：对企业内信息安全工作负有直接领导责任。 3. 网络与信息安全领导小组下设两个工作组：网络与信息安全工作组、应急处理工作组。组长分别由-------、------担任。 网络与信息安全管理组织机构设置及工作职责 二. 工作职责 （一）网络与信息安全领导小组主要职责包括： 1. 根据国家和行业有关政策、法律和法规，批准公司网络与信 息安全总体策略规划、管理规范和技术标准； 2. 确定公司网络与信息安全各有关部门工作职责，指导、监督 信息安全工作。 （二）网络与信息安全工作组的主要职责包括： 1. 贯彻执行公司网络与信息安全领导小组的决议，协调和规范 公司网络与信息安全工作； 2. 根据网络与信息安全领导小组的工作部署，对网络与信息安 全工作进行具体安排、落实； 3. 组织对重大的网络与信息安全