备课时间:
教学课题:                    信息安全概论
教学目标
1、了解信息安全的概念
2、了解网络的安全现状
3生活中常见的数据库应用、认识到信息安全的重要性
教学重点
认识到信息系统的脆弱性
教学难点
网络的安全性
教学过程
一、谈话,导入课题
二、教授新课
1、安全综述
所谓网络信息安全就是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2、为什么要讨论信息安全?
  因为我们受到伤害和威胁!
  因为生存和发展受到威胁!
  全球经济化形成一个开放的世界
  各种文化、经济、意识形态等通过媒体和网络表现出来,网络逐渐介入社会、生活、政治的各个方面。
3、计算机安全的历史
过去:计算机安全
    实体安全、系统安全,系统可靠性
现在:网络安全
    多机系统、开放式系统互连、通信与数据传输、系统完整性
将来:信息安全
    数据、信息、社会、心理、生存环 境,信息战争
4、解决网络信息安全与保密问题刻不容缓
A、网络用户飞速发展
中国的因特网上网用户一九九七年底为六十二万户,一九九八年底为二百一十万户,到一九九九年底发展到八百九十万户,平均每六个月翻一番。
2002年,因特网用户已有3亿,2003年,全球因特网用户总数达6亿,截至2004年12月30日,上网用户总人数为 9400 万 .其中
专线上网用户数: 3050万
拨号上网用户数: 5240万
ISDN上网用户数:640万
宽带上网用户数:4280万
B、应用信息系统
电子商务、电子政务、电子税务、电子银行、电子海关、电子证券、网络书店、网上拍卖、网络购物、网络防伪、CTI(客户服务中心)、网上交易、网上选举……………,总之, 网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。
C、日益严重的安全问题
网络与信息系统在变成”金库”,当然就会吸引大批合法或非法的”掏金者”,所以网络信息的安全与保密问题显得越来越重要。
现在,几乎每天都有各种各样的“黑客”故事。
1996年8月17日
美国司法部的网络服务器遭到“黑客”入侵,并将“美国司法部”的主页改为“美国不公正部”,将司法部部长的照片换成了阿道夫·希特勒,将司法部徽章换成了纳粹党徽,并加上一幅情女郎的图片作为所谓司法部部长的助手。
1996年12月29日
黑客侵入美国空军的全球网网址并将其主页肆意改动,迫使美国国防部一度关闭了其他80多个军方网址。
1996年12月29日
美国空军的全球网页完全变了样,其中空军介绍、新闻发布等内容被替换成一段简短的黄
录象,且声称美国政府所说的一切都是谎言。
2002年的5月1-7日
中美黑客发生了一场声势浩大的黑客大战,美国和中国都有许多知名网站、政府主页受到了黑客的攻击,轻者主页被“善意”修改,重者服务器上的数据被窃取、修改、删除,甚至整个网站瘫痪,被迫中断服务数小时。
D、安全事件造成的经济损失
99年4月26日,台湾人编制的CIH病毒的大爆发,有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中,经济损失高达近12亿元。
据美国加利福尼亚州的名为“电脑经济”的研究机构发布的初步统计数据,“爱虫”大爆发两天之后,全球约有4500万台电脑被感染,造成的损失已经达到26亿美元。在以后几天里,“爱虫”病毒所造成的损失以每天10亿美元到15亿美元的速度增加。
1995年计算机安全杂志在全球抽样调查了300家典型的公司,69%的公司报告上年度遇到过计算机网络安全问题,59%的公司报告,上述安全问题造成的损失超过1万美元。
E、信息化与国家安全—社会稳定
99年4月,河南商都热线一个BBS,一张说交通银行郑州支行行长协巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,挤提了十个亿。
2001年2月8日正是春节,新浪网遭受攻击,服务器瘫痪了18个小时。造成了几百万的用户无法正常的联络。
广东163免费邮箱,黑客进去以后进行域名修改,打开邮箱就向美国去了,造成400多万用户不能使用。
F、信息化与国家安全—信息战
信息战指双方为争夺对于信息的获取权、控制权和使用权而展开的斗争。是以计算机网络为战场,计算机技术为核心、为武器,是一场智力的较量,以攻击敌方的信息系统为主要手段,破坏敌方核心的信息系统,是现代战争的“第一个打击目标”。
G、安全事件的统计数字
50~60%的安全事件出自使用不当,使用者缺乏经验、系统维护不到位
15~20%的安全事件出自内部人员所为,如以前的雇员、系统管理员
10~15%的安全事件出自灾害,水灾、雷击、火灾...
3~5%的安全事件出自外部攻击
  如业余爱好者、黑客、竞争对手、有组织的智能犯
H、信息安全的严峻形势
相当多的网络入侵或攻击并没有被发现。即使被发现了,由于这样或那样的原因,人们并不愿意公开它,以免公众作出强烈的惊慌失措的反应。绝大多数涉及数据安全的事件从来就没有被公开报道过。
事实上,我们听到的关于通过网络的入侵只是实际所发生的事例中非常微小的一部分。
据统计,商业信息被窃取的事件以每月260% 的速率在增加。
然而,据专家估计,每公开报道一次网络入侵,就有近500例是不被公众所知晓的。
3、总结
网络安全从其本质上来讲就是网络上的信息安全,信息安全的根本目的是使一个国家的信息技术体系不受外来的威胁和侵害。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
四、练习
查有关信息不安全的事例
课后笔记:
备课时间:
教学课题:                    信息安全不安全的因素
教学目标
1、了解危害信息安全的因素
2、了解信息安全的基本要求
3、了解危害信息安全的形式
教学重点
了解危害信息安全的因素
教学难点
网络的安全性
教学过程
1、复习上节课内容
2、导入课题
三、教授新课
1、危害信息安全的因素
信息领域的"危害"有两层含义,一是各种因素对信息造成的危害,二是利用信息产生危害。与其他危害相比,信息领域的危害包含有较强的技术性,是一种新的危害形式,由此造成的后果也更为严重。
2、危害信息安全的形式
危害信息安全的表现形式多种多样,危害后果和抑制手段也不尽相同,这里归类列出常
见的几种,旨在帮助大家认识危害的严重性,提高信息安全防护意识。
A、自然灾害
例如:辽宁某铁路局控制机房因缺乏雷电防护设施曾 3 次遭受雷击,致使控制系统和一些终端设备损坏,严重影响了正常编组运输。日本东京电信局在电缆维护时,工人操作不慎造成火灾,由于缺乏有效的火灾控制手段,大火持续 16 小时,烧毁了大量的通信设备,导致数家银行和邮局的计算机通信系统中断,银行分布在各地的自动付款机被迫停机,邮局的一些业务只能暂停。
B、系统漏洞
例如:微软公司曾在 IE 浏览器安全建议书中证实,IE 浏览器存在安全漏洞,由此可能引起零位指针失效或内存失效等错误。思科曾承认它的 Internetwork 操作系统存在处理 IPv6 包的漏洞,若向受影响的思科设备发送特制的 IPv6 包,有可能迫使设备重新启动,导致 DoS 攻击。
C、操作失误
例如:由于美国防空司令部指挥中心计算机操作员输入数据错误,引起防空警报,最高指挥部随即命令 1000 枚核导弹进入待发状态,核战争一触即发。香港联合交易所工作人员在停 电后按停警钟时,意外地按下后备电源的"紧急停止掣",截断了大堂及自动对盘系统主机的电源,停电使系统停止工作 4 分 58 秒,结果导致收市延误,在延误收市的 4 分 58 秒期间,额外交易 1099 宗,成交额约 1 亿多元。
D、病毒侵袭
台湾大学生陈盈豪制造的"CIH"病毒,首次发作就使全球约  6000  万台计算机受害。
美国的莫里斯在互联网上传播"蠕虫"病毒,导致美国 6000 多个系统瘫痪,直接损失 9600万美元。"爱虫"病毒发作,全球损失约 100 亿美元。某省财政厅财务管理系统感染病毒,破坏了 3 年的财务数据,造成无法挽回的巨大损失。
E、违法、违纪
人为恶意的攻击、破坏是威胁信息安全的重要原因,也是最难控制和防范的危害因素。此种危害的表现形式很多,有对着计算机撒尿、浇油漆的物理破坏,有放置逻辑的应用系统破坏,有格式化磁盘的信息破坏,有篡改信息、盗窃程序数据的个人牟利行为,也有侵入重要、机密信息系统严重危害国家安全的重大事件。
3、发生危害信息安全事件的诱因
危害信息安全事件的发生数量居高不下,且逐年增加,说明危害信息安全有较为特殊的诱发原因,值得深究,认清发生危害信息安全事件的实质有助于开展防范工作。
A、信息系统本身的缺陷是诱发危害事件的主要原因
①信息系统的脆弱性
②信息系统管理的复杂性
B、信息的重要性使之成为攻击目标
计算机应用环境逐渐增多,使存储其中的信息量和信息重要程度相应增加,许多信息和财富直接关联,有些计算机中存储的数据和信息的价值远远超过计算机系统本身,因此,大量危害安全事件的指向是计算机信息系统中的信息。
C、低风险的诱惑
高回报低风险的利益驱动,是许多人甘愿冒险从事危害信息安全活动的主要原因。
D、道德理念的差异
人类长期形成的道德观念与计算机技术不协调,也是诱发危害信息安全的一个原因。
4、信息安全的基本要求
A、 信息安全的基本内容
信息安全不仅涉及技术问题、管理问题,还涉及法律学、犯罪学、心理学等问题,是一门由多学科综合形成的新学科。
B、信息安全涉及的方面
计算机信息系统是由计算机实体、信息、人组成的人机系统,安全问题也应包括实体安全、信息安全、运行安全和安全管理等几个方面。内容涉及安全技术、安全管理、安全评价、安全产品、安全法律、安全监察等。
信息安全主要涉及信息存储安全、信息传输安全、信息应用安全 3 个方面,包括操作系统安全、数据库安全、网络安全、访问控制、病毒防护、加密、鉴别  7  类技术问题,可以通过保密性、完整性、真实性、可用性、可控性 5 种特性进行表述。
保密性,是信息不会泄露给非授权对象的特性。
完整性,是信息本身完整,且不会在未授权时发生变化的特性。
真实性,是保证信息内容及处理过程真实可靠的特性。
可用性,是合法对象能有效使用信息资源的特性。
可控性,是对信息资源能进行有效控制的特性。
C、信息安全控制层次
信息安全控制应在以下 4 个层次上考虑。