信息与安全概论课程学习体会

通过信息与安全概论课程的学习，我对信息与安全的概念、研究方法、保护范围、安全技术手段、访问控制技术等有了更加深入地了解和掌握，受益匪浅，主要收获有以下几个方面。

一是明确了网络安全与信息安全的概念与研究范围。信息安全是为了建立信息处理系统而采取的技术上和管理上的安全保护，实现电子信息的保密性、完整性、可用性和可控性。在当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁，必须考虑信息的安全这个至关重要的问题。
　　网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件；运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。网络信息安全研究的主要内容有：1、硬件安全，网络硬件和存储媒体的安全，保护硬件设施不受损害，正常工作。2、软件安全，计算机及其网络中各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效。不被非法复制。3、运行服务安全，网络中的各个信息系统能够正常运行并能正常地通过网络交流信息，通过对网络系统中的各种设备运行状况的监测，发现不安全因素能及时报警并采取措施改变不安全状态，保障网络系统正常运行。4、数据安全，网络中存储及流通数据的安全。保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等，是保障网络安全最根本的目的。
    二是学习了网络信息安全技术措施的防范和部署。网络安全从技术上说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术、访问控制、 身份认证、入侵检测、 漏洞扫描,、安全审计、安全管理等。

（一）防火墙，是一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网与重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。 

（二）数据加密技术，与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。 1、对称加密技术，是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。 2、非对称加密/公开密钥加密，在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。

（三）PKI技术，PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。1、认证机构，CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。2、注册机构，RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。3、密钥备份和恢复，为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。4、证书管理与撤消系统，证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。

网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。 

三是树立了网络安全体系结构的思想。网络安全体系结构主要是根据所要保护的信息资源，对资源攻击者的假设及其攻击的目的、技术手段以及造成的后果来分析所受到的已知的、可能的和有关的威胁，并且考虑到构成的各部件的缺陷和隐患共同形成的风险，建立的起的安全需求。从管理和技术上保证安全策略得以完整准确地实现，安全需求全面准确地得以满足，包括确定必需的安全服务、安全机制和技术管理以及对它们的合理部署和关系配置。安全体系框架，包括物理保障和运行环境，以及法律管理、组织体系和技术体系及其制约关系。常见的不安全因素有物理因素, 网络因素, 系统因素, 应用因素, 管理因素等。安全需求分析的内容有   防护安全, 运行安全, 管理安全, 安全评估等。ISO认为的安全威胁有假冒, 非法连接, 非授权访问, 拒绝服务, 抵赖, 信息泄露, 通信业务流分析, 篡改报文流, 篡改或破坏数据, 推断信息, 非法篡改程序等。

根据网络信息安全的学习，我对如何做好本单位网络信息安全工作进行了以下四个方面的思考。

一是进行必要的网络信息安全风险评估。安全管理在网络信息安全中是非常重要的一环，要实现较完善的安全管理，必须分析、评估安全需求，建立满足需求的计划，实施这些计划并对之进行日常维护和管理。因此，十分有必要对网络建立一个全局安全的目标，然后将其整合到机构的安全政策中，实现这一要求的关键步是对风险的评估，将风险减少到可以接受的水平。

首先要确立网络的安全威胁。按照安全威胁是出于自然的还是人为的，是无意的还是有间的，是直接的还是间接的，对安全威胁进行分类，根据其发生的概率、造成的损失大小来评估鉴定。

其次关注网络中的弱点和薄弱环节，对有可能造成的破坏和损失做出适当的评估。薄弱环节包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等的弱点，这些都可能被各种安全威胁利用来侵害有关资产及系统。

最后注意评估的过程和方法。确定初步的评估分析，详细进行风险评估分析，选择合适的安全防护措施，对网络边界进行界定，制定安全防范措施，进行风险评估的总结。对风险进行管理，并制定可控、可操作性的计划。

二是建立本单位网络安全策略。随着信息化普及范围的越来越广，网络所受到的威胁也随之越来越多，而且越来越复杂化。安全管理工作的难度和复杂性的增加，需要我们在制定安全措施时必须考虑一套科学、系统的安全策略，目的是防患于未然，使信息系统犯罪、不正当行为、个人信息泄漏以及灾害造成的损失降低到最低限度，当犯罪发生时能确保与相关部门取得联系，从而确保网络系统的安全，维护信息社会的正常秩序。

计划对网络采取以下策略：1、监视日志。读取日志，日志的内容至少可以确定访问者的情况；对日志进行定期检查，确保日志的安全；2、对不正当访问的检测，当出现不正当访问时应设置能够将其查出并通知风险管理者的检测功能，设置对网络及主机等工作状态的监控功能，发现异常情况时，能够使网络、主机等停止工作；3、口令，用户必须设定口令，并努力做到保密；口令设定时，应指导他们尽量避免设定易于猜测的词语，并在系统上设置拒绝这种口令的机制；指导用户每隔适当时间更换口令；限制口令的输入次数，采取措施使他人难于推测口令等方法；4、用户身份识别管理，对长期未进行登记的用户进行通知，对因退职、调动、长期出差等不需要或长期党代表物用户进行注销；5、加密，进行通信时根据需要对数据实行加密，做好密钥的保管并采取相应的保管措施；6、数据交换，进行数据交换前，对欲进行通信的对象进行必要的认证，以数字签名等形式确认数据的完整性，设定能够证明数据发出和接收以及可以防止欺骗的功能。7、灾害策略，为防止因灾害、事故造成线路中断，有必要做成热备份线路。

三是加强物理安全防范。在网络信息安全中，物理安全是基础，如果物理安全得不到保证，那么其他的一切安全措施都是空中楼阁。要保证网络及节点放置在一个安全的物理环境，对接触网络的人员有一套完善的技术控制手段，且充分考虑到自然事件可能对网络造成的威胁并加以规避。

包括对机房、机房场地环境条件、设备布放、电源、围墙和门禁、钥匙和锁、网络节点设备、通讯线路、人员、监视系统、访问记录等等进行控制，以加强安全防范。

四是建立安全组织，加强网络管理员和操作人员的培训。网络信息系统的建设和运用离不开各级机构具体实施操作的人，人不仅是网络信息系统建设和应用的主体，同时也是安全管理的对象。要加强和确保网络信息的安全，必须加强人员的安全管理。单靠一个人或几个人的高技术是无法保障网络信息安全的，并且大多数的攻击或破坏来自内部人员，因此，必须建立组织机构，完善管理制度，建立有效的工作机制，做到事有人管，职责分工明确，尤为重要的是，要对内部人员进行有组织的业务培训、安全教育、规范行为、制定章程等。

随着网络和计算机技术日新月异地飞速发展，新的网络安全问题不断产生和变化。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障，同时要加快网络信息安全技术手段的研究和创新，从而使网络的信息能安全可靠地为广大用户服务。

第二篇：信息安全导论学习心得

本学期我选修了信息安全导论这门课，自从上了第一堂课，我的观念得到了彻底的改观。首先，老师不是生搬硬套，或者只会读ppt的reader，而是一位真正在传授自己知识的学者，并且老师语言生动幽默，给了人很大的激励去继续听下去。其次，在课堂上了解到了保护自己信息安全的重要性，而且知道了不良分子窃取信息的诸多荫蔽方法，不禁让人有些后怕，以前从来没有注意到过这类事情，尽管也没有什么特别有价值的文献资料之类的东西，但是对自己的隐私还是十分看重的。此外，看到老师提出的关于期末考试成绩优秀有奖品的事实也十分吸引人，上了2年选修课还从来没有遇到过这种事情，自小的争胜心告诉我，我一定要好好学习这门课，期末得到那个最好的公仔。

信息安全顾名思义，是指所掌握的信息不被他人窃取的安全属性。由于现代社会科技高速发展，信息的数量以指数级别增加，而科技的进步也催生出很大窃取信息的技术方法，给我们信息安全带来了极大的威胁，不光说我们的个人隐私我发得到合理的保障，甚至一些商业机密乃至国家机密也都收到了潜在盗窃者的威胁。因此，如何防范信息的窃取正确的有效的保护自己信息隐私的安全性，如何处理信息被盗所造成的损失，如何亡羊补牢都是亟待解决的问题。信息安全概论这门课正是给我们提供了这样一个学习交流的平台，给了我们应对新时期信息安全问题一条出路。

现在的上网环境可谓是“布满荆棘”，正如老师上课时举的例子所说，一项实验，不开杀毒软件的电脑“裸奔”上网，2小时之内就

会陷入崩溃，足见上网环境的恶劣，这中间可能是因为访问某个网站时给自己电脑中上了木马、修改了注册表、沾染了病毒，还可能是因为从某个网站上下载的应用软件中自带了木马、病毒，在你不知不觉中已经使电脑陷入了危险，这些病毒有一部分会占用你的资源，破坏你的系统，属于完全是没事找抽型的破坏性病毒，但是另外一些病毒和大部分木马却是居心不良，有些可以监视你键盘的动作，也就是说你在键盘上的输入会及时的别人所监视，同时也有的会强迫打开你的摄像头（前提是你有摄像头并且安装了驱动）来偷窥你所有的动作，我们经常会在一些视频网站或者新闻上看到这样的报道，一对夫妻在房内被另一个城市的无耻网友通过安装木马自动打开摄像头偷拍并被敲诈勒索的事件，这就是这类木马做的坏事。还有的木马会通过你的电脑再次传播，比如老师上课所讲的植入木马成为僵尸电脑，进而被控制攻击其它电脑，还有就是我们最常见的qq“尾巴”，首先在qq的对话框中给你说什么我在http://*****.com上看到了一段视频（这类视频前面一般加一些吸引人的定语，如我跳舞的视频，美女视频等等）然后建议你也去看一下，我敢说凡是头一次遇到这种情况的qq使用者80%都会去点开这个网站，于是不点不要紧，点了之后你也会中木马并肆意传播，我就是受害者之一，所以对它更是深恶痛绝（不是抵不住诱惑，每个人心里都有好奇心，所以就点开了）。

就算不上网也有信息被盗取的可能性。首先，是最常见的U盘盗取，有的时候电脑不上网但是需要用U盘或者移动硬盘拷贝一些资料或者其他什么信息，这时候如果有人事先在电脑中给你植入了一类荫蔽的木马，类似我们见到的autorun.exe之类的，直接感染到电脑硬盘，然后偷偷地从你电脑中copy信息，等到下次在此插入U盘时带走，或者有些是你上网时就通过互联网悄悄的传输出去。其次，现在

很多磁存储设备删除信息过程中可能留下痕迹，然后被某些居心不良的人用一些特殊技术就可以还原过来，比如数码相机中的照片，硬盘中的文档等等，这样在已经确认删除的情况下一般会放松警惕进而被钻空子，信息被窃取。最后，问题可能处在我们自己身上，换言之，我们自己的保密意识不强也会导致信息被窃取，很多时候我们的电脑并不设臵访问密码，任何人只要在我们不在的时候都可以访问，这样岂不是给某些不良分子行了方便。还有就是我们对某些重要的文档信息进行加密时过于疏忽，我就曾经遇到过这类事情，我对某个文件夹用超级兔子的文件伪装功能进行了加密，只要输入密码不正确怎么都不会打得开，后来过了段时间我自己把密码给忘了，于是抱着试一试的心里在百度中搜了一下“超级兔子文件解密”，结果发现很多绕过密码打开文件的方法，其中一种竟然可以利用winrar直接暴力修改文件后缀，达到完全去除密码设臵的功能，还好是我自己发现，不然隐私岂不是有可能被人窃取？！另外一个例子就是有些人相册或者qq空间设臵了访问限制，不输入密码或者不是主人好友禁止访问，这时候上网搜一下“相册密码破解”“qq空间破解”又会发现N多的破解方法，当然我没有那么无聊去偷看别人的什么东西，但是网上时常报料出一些新闻还是不得不引起我们的注意，如前段时间曝光的“伊莱克斯经理X照”就是别人破解了相册空间把照片窃取出来的，我们姑且不从伦理道德的角度对照片上的人做什么评论，单单就这个事情已经让我们毛骨悚然了，不知道以后还有谁敢发一些比较私密的照片到互联网上去。另外一个例子就是最近时常出现于报端的“网络暴民”，这些人通过在互联网上发布“通缉令”之类的方法，对他人展开人身攻击，我知道的最出名的就是mop的“人肉搜索”，也就是根据“暴民”提供的一些个人信息，搜到被通缉人的各类私人信息诸

如住址、身份证号、电话号码、真实姓名、家属姓名、工作单位等等，最著名的例子就是mop上的“虐猫事件”直接找到了视频中女性的工作单位，还有“铜须门事件”也是公布了当事人的照片和所在学校，给当事人造成了极大的伤害，这些隐藏在互联网后面的“网络暴民”企图想绕过法律给他人造成巨大伤害，如果我们没有一个很好的保护自己信息安全、自己在互联网上隐私的方法，也许下一个被通缉的人就是我们之中的谁。

为了很好的保护自己的信息安全，我认为应该做到以下几点： 第一、在自己电脑上安装能够实时更新的杀毒软件。最好是性能比较高的杀毒软件，诸如卡巴斯基、诺顿、瑞星之类的，虽然这类软件会收取一定的使用费用，但考虑到我们电脑可能受到的潜在威胁，这些钱花的也是值得的。有了杀毒软件之后一定要定期进行杀毒，而且上网时一定要保证杀毒软件的开启状态，有些人在玩游戏或者使用大型软件的时候为了避免占用内存而把杀毒软件关闭，如果不能及时开启我们电脑还是可能受到威胁的。如果时间允许我认为还可以在安全模式下进行查杀处理，这样有效杀出病毒的几率会大大提高。有了杀毒软件也不能肆无忌惮的上网，最好能够上一些有一定声誉、安全性高的网站。

第二、在安装从网上下载的软件时一定要一步步来，看清楚各个选项。现在很多软件为了自身盈利的需要而夹杂了流氓软件，流氓软件又是极不容易卸载的，这些流氓软件可能会修改你的注册表，修改你的主页，定期打开某一网页，在IE中增加令人感到恶心的工具条等等，造成了我们使用电脑时的极大不便，这些软件还会记录下我们上网的偏好，随时给我们发过来垃圾广告。所以安装软件一定要慎重。

第三、慎用U盘、移动硬盘之类的存储设备。姑且就某些破坏性

的病毒可能导致移动存储设备损坏不说。单说安全性上我们通过上文的论述也可以看出，使用移动存储设备带来的信息被窃取的威胁有多大，有些公司为了防止商业机密被窃取甚至直接要求员工把电脑中的USB接口封死，利用光盘刻录的方法进行相互之间资料信息的传播，可谓是用心良苦。我们在使用U盘之类的存储设备时也要小心谨慎，打开U盘时尽量不要双击打开，这样很可能会激活存在于里面的木马，使用打开前最好能够先杀一遍毒，甚至我们可以专门去网上搜取U盘木马专杀来预防电脑再次被感染。

第四、尽量不要在互联网上公布详细的个人信息。除非是万不得已，否则不可公布自己任何详细的信息，以防被不良分子利用。另外在网上不要随意公布自己的邮箱，因为邮箱是一个十分便利的切入口来搜取你的个人信息，我们在各个网站注册时一般都会被要求留下邮箱，这样在这个过程中或多或少我们都会偷漏一些个人信息，如果通过搜取邮箱的方法获得你在各个网站上公布的个人信息经过综合整理很可能是自己更多的信息被公布出来。慎发照片，当然不是开玩笑地说长得丑不是你的错，出来吓人就是你的不对了。更多的我们考虑的自身安全问题，公布照片不仅是我们信息安全得不到保护，甚至现实中我们人身安全也可能因为一张照片而受到威胁。