《信息与网络安全管理案例分析》实践考核指南

《信息与网络安全管理案例分析》实践考核指南

第一部分 考核说明

一、课程地位和目标

《信息与网络安全管理案例分析》实践课是我省高等教育自学考试电子政务专业的一门专业必修课程。本课程旨在培养应考者系统地学习网络信息安全方面的案例，具体了解和掌握世界信息和网络安全的发展概况，剖析和总结信息与网络安全防护的成功案例，通过对不同案例中信息与网络安全技术和理论应用的分析,着重探讨有益于我国网络安全建设的经验和启迪，从而指导我国信息化建设健康、快速和有序地发展。

二、课程的基本要求

通过本课程的学习，应考者应达到以下要求：

1．了解世界及我国信息和网络安全的背景和现状；

2．理解并掌握信息与网络安全的技术发展、体系构建和实际应用等。

3．掌握电子政务和电子商务领域的信息与网络安全防护措施。

4．综合分析评价信息与网络安全案例。

三、教材

《网络安全概论》，郑连清主编，清华大学、北京交通大学出版社2004年版。

1

第二部分 考核内容

一、考核方式

写一篇3000字左右的信息与网络安全案例分析或调查报告。

二、典型案例

以下共有六个信息与网络安全相关案例，考生可从中选择其中一个案例，按照后面的问题进行分析回答，字数3000字左右。

一、中国电子政务网络安全隐患案例

2004年举行的中国政府采购电子政务与网络安全论坛上指出，我国电子政务网络安全方面暴露问题比较突出的有五个方面：计算机病毒泛滥；木马程序带来安全保密方面的隐患；易受黑客攻击特别是洪流攻击；垃圾邮件阻塞网络；网络安全的威胁开始蔓延到应用的环节，其中windows占70%，lunix占30%。

国家信息安全评测中心主任吴世忠指出，80%的电子政务网络都有木马程序，电子政务信息安全保障不单是技术问题，更是业务问题，要和业务紧密结合。电子政务信息安全保障是一个综合的复杂的问题，不能脱离部门的工作，脱离部门对安全的需求。要保证电子政务正常运行的信息网络安全，建设以内网安全为核心的新型网络就显得至关重要。

针对目前电子政务信息安全保障问题，威视科技总经理江明家提出“网络安全整体解决方案”的概念，他认为：从技术上，网络安全取决于：网络设备的硬件和软件，网络安全由网络设备的软件和硬件互相配合来实现。电子政务安全的关键是要有自主的知识产权和关键技术，从根本上摆脱对外国技术的依赖。在安全技术不断发展的同时，全面加强安全技术的应用也是网络安全发展的一个重要内

2

容。作为网络安全厂商，不应当简单为用户提供产品，而应当有能力根据用户需求，有针对性地为用户设计、提供网络安全整体解决方案。

问题：试论中国电子政务系统网络安全的现状。

二、网络信息安全调查案例

近年来，关于网上银行、网络游戏密码账号被盗的案例不胜枚举，网上密码安全问题已经成为目前最大的网络安全隐患。日前一项关于网络密码信息安全状况的调查结果显示，四成网民有过密码被盗的经历。

调查数据显示，39.43%的网民有过密码被盗的经历，60.57%的网民没有密码被盗经历。“网银大盗”“证券大盗”“传奇窃贼”“天堂杀手”等专门盗号的木马、黑客正是给网民带来损失的网上“杀手”。

目前网上盗窃犯罪现象屡屡发生，与网民的防范意识不强有关。调查显示，近五成网民对于网络密码信息没有采取有效保护措施。数据显示，34.50%的网民没有采取任何密码保护措施，13.61%网民表示采取过密码保护措施但仍然被盗，51.89%网民表示采取过密码保护措施。

在密码被盗后，有近六成网民认为主要原因是中了木马病毒，24.19%的网民认为主要是因为自我保护意识差，14.27%的网民认为主要原因是密码太简单被暴力破解。

网民对于杀毒软件仍然期待很高，数据显示，九成以上的网民认为杀毒软件应该具有密码保护功能，只有9.05%的网民认为杀毒软件应该专注杀毒，不应该去做密码保护。

(问题：试论网络信息安全的保护。)

3

三、计算机网络安全规划案例

计算机网络安全规划可以帮助你决定哪些东西需要保护，在保护时愿意投资多少，由谁来负责执行该保护等。威胁评估：制定一个有效的网络安全规划，第一步是评估系统连接中所表现出的各种威胁。与网络相关的主要有：非授权访问、信息泄露、拒绝服务；分布式控制：实现网络安全的一种方法，是将一个大型网络中的各段责任和控制权分配给单位内部的一些小组。这种责任的层次结构从高到低包括网络管理员、子网管理员、系统管理员和用户，在该层次结构的每一点都有人负责和具体执行；编写网络安全策略：编写一个网络安全策略文件，明确地阐明要求达到什么目的和要求谁来执行是很重要的。一个网络安全策略文件包括如下内容：系统管理员的安全责任、正确地利用网络资源、检测到安全问题时的对策、网络用户的安全责任等。

一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、网络反病毒技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。在实施网络安全防范措施时要考虑以下几点：要加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；利用数据存储技术加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

问题：试论计算机网络安全体系的构建。

四、防火墙的选择案例

4

网络安全产品主要细分产品包括防火墙、入侵检测系统、信息加密以及安全认证等。据赛迪网统计，2004年上半年，中国网络安全产品市场的销售总额达13.34亿元，比2003年上半年增长43.3%， 其中防火墙软件以46.20%的份额，成为2004年上半年中国网络安全产品市场中主力军。

如何选择一个好的防火墙呢？ 一、自身的安全性。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。二、系统的稳定性。由于种种原因，有些系统尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断；三、是否高效。一般来说，防火墙加载上百条规则，其性能下降不应超过 5~10 ％（指包过滤防火墙）；四、是否可靠。有较高的生产标准和设计冗余度能提高系统可靠性的；五、是否功能灵活、强大。例如对普通用户，只要对 IP 地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。六、是否配置方便。七、是否可以抵抗拒绝服务攻击。在当前的网络攻击中，拒绝服务攻击是使用频率最高的方法。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击；八、是否可扩展、可升级。

问题：试论防火墙在网络信息安全中的应用。

五、电子商务安全要素分析

电子商务主要的安全要素有以下几个：

1、有效性。EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

5

2、机密性。EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。

3、完整性。EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

4、可靠性、不可抵赖性、鉴别。 EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的\"白纸黑字\"。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

5、审查能力。根据机密性和完整性的要求,应对数据审查的结果进行记录。

问题：试论电子商务安全问题。

六、吉林省社保网络安全防范案例

一、背景

6

近年来，随着我国的互联网络迅猛发展，互联网络已经深入到各行各业当中，在我国的经济生活中发挥着日益重要的作用。吉林省社保网络我国最庞大的网络系统之一，关系着吉林省全省人民的切身利益，网络安全就成了首要的问题。一直以来，吉林省社保公司都在不断的加强全省的社保网络安全保护设施，以保证整个网络的信息安全。2003年是病毒频发的一年，安全问题尤其突出，吉林省社保网络多次面临各种病毒和恶意程序的袭击。为了彻底杜绝网络病毒的侵害，保证全省社保事业的正常健康运行，吉林省社保总公司决定采用交大铭泰的网路病毒解决方案。

二、方案实施过程

1、安装东方卫士管理员

在东方卫士中小企业版中，包含了允许网络管理员从一个单独的工作站上管理整个网络的东方卫士病毒保护程序。该工具名为东方卫士网络管理员。通过东方网络管理员，可进行安装、卸载、设置、扫描及更新工作站或服务器上的任何杀毒软件。

2、安装东方卫士服务器端

服务器端是专门为网络服务器设计的防病毒子系统。它承担着对当前服务器上病毒的实时监控、检测和清除任务。服务器还是整个卫士中小企业版网络防病毒系统的信息管理和病毒防护的自动控制核心。它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。同时，根据控制台的设置，实现对整个防护系统的自动控制。其他子系统只有在服务器工作后，才可实现各自的网络防护功能。它必须先于其它子系统安装到符合条件的服务器上。服务器支持多级子服务器，分层管理，这样方便了大中型网络和扩展性强的网络结构。

3、安装东方卫士客户端（WEB方式）

7

客户端是专门为网络工作站（客户机）设计的防病毒子系统。它承担着对当前工作站上病毒的实时监控、检测和清除任务，同时自动向卫士中小企业版系统中心报告病毒监测情况。

本次客户端分发给技术人员留下了很深的印象，在无网段限制十分简洁和安全东发卫士所提供的这项服务以及成功实施的事实成为选型时非常重要的一条参考标准。

三、应用效果

整个系统的在实施过程中保持了流畅和平稳，基本上没有影响到既有网络系统的正常运行。安装的防病毒产品稳定性非常好，没有影响到其它应用的功能。防病毒系统的升级和功能应全自动化，整个系统具有及时更新的能力，能对整个防毒系统进行监控，并能集中生成报告。

问题：吉林省社保网络实现网络安全的成功经验有哪些？

三、论文、调查报告参考选题

考生也可在以下选题中任选一题作答，字数3000字左右。

1．试论我国网络安全中存在的问题

2．试论广州电子政务网络安全体系

3．电子政务与电子商务网络安全的比较分析

4．浅析网络信息传递中的安全防护

5．试论防火墙技术在网络安全中的作用

8

6．试析我国信息与网络安全立法的完善

7．信息加密及其在网络安全中的实际应用

8．试论我国网络信息安全制度建设

9．国外网络安全防范措施及其对我国的借鉴意义

10．试论网络攻击及其应对

9