信息安全与网络信任体系课件.ppt

1、信息安全与网络信任体系网络时代的信息系统网络时代的信息系统2022-9-271Outline信息安全1.当前信息安全现状2.大规模业务网络安全系统建设3.网络通信的安全要求4.网络中常见的攻击5.网络设计应考虑的安全措施网络信任体系1.背景2.内容3.涉及问题 数字签名 CA 网络伦理2022-9-272Internet 技术的飞速增长Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间当前信息安全现状当前信息安全现状2022-9-273黑客的发展趋势1980 1985 1990 1995 2001 2003时间（年）时间（年

2、）高高各种攻击者的综合威胁各种攻击者的综合威胁程度程度低低对攻击者技术知识和技巧对攻击者技术知识和技巧的要求的要求黑客攻击越来越容易实现，威胁程度越来越高黑客攻击越来越容易实现，威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益网络系统日益复杂，复杂，安全隐患急剧安全隐患急剧增加增加2022-9-274CNCERT的报告（国家计算机网络应急技术处理协调中心）年1999200020012002攻击事件9,85921,75652,65882,094报告的攻击事件的发展趋势：（年增长率报告的攻击事件的发展趋势：（年增长率100%100%左右）左右）系统漏洞的发展趋势：（年增长率超过系统漏

3、洞的发展趋势：（年增长率超过100%100%左右）左右）年1999200020012002系统漏洞4171,0902,4374,1292022-9-275网络存在的安全威胁 网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫2022-9-276造成安全威胁的主要根源 网络建设之初忽略了安全问题；仅仅建立了物理安全机制；TCP/IP协议族软件本身缺乏安全性；操作系统本身及其配置的安全性；安全产品配置的安全性；来自内部网用户的安全威胁；缺乏有

4、效的手段监视、评估网络的安全性；电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件；应用服务的访问控制、安全设计存在漏洞。2022-9-277网络信息安全的发展阶段三个阶段：通信保密阶段：以密码学研究为主计算机系统安全阶段：以单机操作系统安全研究为主网络信息系统安全阶段：开始进行信息安全体系研究2022-9-278网络信息安全的内容（1）网络信息安全网络系统的硬件、软件及其系统中的信息受到保护保护在通信网络中传输、交换和存储的信息的机密性、完整信和真实性对信息的传播及内容具有控制能力不受偶然的或者恶意的原因而遭到破坏、更改、泄露系统连续可靠的运行网络服务不中断2022-9-279

5、（2）用户（企业、个人）的角度 涉及个人隐私或商业利益的信息机密性、完整性、真实性 避免其他人或对手的损害和侵犯窃听、冒充、篡改、抵赖 不受其他用户的非法访问非授权访问、破坏2022-9-2710（3）网络运行和管理者 对本地网络信息的访问、读写等操作受到保护和控制 避免出现“后门”、病毒、非法存取、拒绝服务、网络资源非法专用、非法控制 制止和防御网络“黑客”的攻击2022-9-2711（4）安全保密部门 非法的、有害的或涉及国家机密的信息进行过滤和防堵 避免通过网络泄漏 避免信息的泄密对社会的危害、对国家造成巨大的损失2022-9-2712（5）文化安全（内容安全）作用点：有害信息的传播对我

6、国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。外显行为：黄色、反动信息泛滥，敌对的意识形态信息涌入，互联网被利用作为串联工具，传播迅速，影响范围广。防范措施：设置因特网关，监测、控管。2022-9-2713个人用户的防范策略 网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：1购合适的杀毒软件 2.经常升级病毒库 3提高防杀毒意识 不要轻易去点击陌生的站点，当运行IE时，点击“工具Internet选项安全 Internet区域的安全级别”，把安全级别 由“中”改为“高”。4不随意查看陌生邮件 2022-9-27142.大规模业务网

7、络特点开放性与公网互联，直接对话。大规模性规模庞大，节点众多。复杂性多种应用，大数据量，使用人员身份复杂。因为如上的众多特点，大规模业务网络存在着众多安全风险因为如上的众多特点，大规模业务网络存在着众多安全风险!2022-9-2715大规模业务网络中需要保护的资源各类服务器各类服务器工作站工作站网络设备网络设备网络安全设备网络安全设备操作系统操作系统服务器系统服务器系统业务应用系统业务应用系统Internet公共软件公共软件数据库系统数据库系统自主开发的软件自主开发的软件网管软件等网管软件等数据库服务器中数据数据库服务器中数据应用服务器数据应用服务器数据邮件数据邮件数据网络监控数据网络监控数据

8、设备日志设备日志工作人员用户工作人员用户应用系统用户应用系统用户操作系统用户操作系统用户访问服务器用户访问服务器用户远程登陆用户远程登陆用户远程管理用户远程管理用户硬件资源硬件资源数据资源数据资源软件资源软件资源用户资源用户资源2022-9-2716大规模业务网络常见的安全事件网站被黑网站被黑数据被篡改数据被篡改数据被偷窃数据被偷窃秘密泄漏秘密泄漏越权浏览越权浏览非法删除非法删除被病毒感染被病毒感染系统自身故障系统自身故障2022-9-2717大规模业务网络安全隐患 物理物理风险风险无意错无意错误风险误风险有意有意破坏破坏管理管理风险风险内网安全风险内网安全风险内网安全风险内网安全风险边界安全

9、风险边界安全风险链路传输安全风险链路传输安全风险横横 向向纵纵 向向其它其它风险风险如自然灾害，电力供应突然中如自然灾害，电力供应突然中 断，静电、强磁场破坏硬件设断，静电、强磁场破坏硬件设备以及设备老化等引起的风险。备以及设备老化等引起的风险。指由于人为或系统错误而影响信指由于人为或系统错误而影响信息的完整性、机密性和可用性。息的完整性、机密性和可用性。指内部和外部人员有意通过物理手段指内部和外部人员有意通过物理手段破坏信息系统而影响信息的机密性、破坏信息系统而影响信息的机密性、完整性、可用性和可控性。比如：有完整性、可用性和可控性。比如：有意破坏基础设施、扩散计算机病毒、意破坏基础设施、扩

10、散计算机病毒、电子欺骗等。电子欺骗等。这种风险带来的破坏一般而言是巨大这种风险带来的破坏一般而言是巨大的。严重时会引起整个系统的瘫痪和的。严重时会引起整个系统的瘫痪和不可恢复不可恢复它是指因为口令和密钥管它是指因为口令和密钥管理不当、制度遗漏，岗理不当、制度遗漏，岗位、职责设置不全面等因位、职责设置不全面等因素引起信息泄露、系统无素引起信息泄露、系统无序运行等。序运行等。是指除上述所列举是指除上述所列举的一些风险外，一的一些风险外，一切可能危及信息系切可能危及信息系统的机密性、完整统的机密性、完整性、可用性、可控性、可用性、可控性和系统正常运行性和系统正常运行的风险。的风险。2022-9-27

11、18标准安全产品架构 Internet 防火墙和防火墙和VPNVPN体系体系入侵检测系统入侵检测系统病毒防护系统病毒防护系统风险评估系统风险评估系统备份恢复系统备份恢复系统网络综合安全管理系统网络综合安全管理系统2022-9-2719防火墙及VPN策略 Internet 部署防火墙和部署防火墙和VPNVPN在网在网络边界处，对进出边界络边界处，对进出边界的信息做访问控制，同的信息做访问控制，同时采用时采用VPNVPN对网络中传对网络中传输的信息进行加密处理，输的信息进行加密处理，以保证数据在传输过程以保证数据在传输过程中的安全性中的安全性利用防火墙的包过滤、应利用防火墙的包过滤、应用代理、用代

12、理、NATNAT、访问控制、访问控制等技术对网络边界进行安等技术对网络边界进行安全防护。全防护。利用利用VPNVPN的加密方式对信的加密方式对信息做加密，再传输到网络息做加密，再传输到网络中，可采用网关中，可采用网关网关或网关或网关到客户端两种模式。网关到客户端两种模式。0101010101001010101010!$!#%$%4!$!#%$%40101010101010101010101012022-9-2720ServerClient 防火墙（Firewall）注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔注解：防火墙类似一堵城墙，将服务器与客户主机进行物理隔离，并在此基础上实现服

13、务器与客户主机之间的授权互访、互离，并在此基础上实现服务器与客户主机之间的授权互访、互通等功能。通等功能。2022-9-2721防火墙概念 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。2022-9-2722防火墙特征 保护脆弱和有缺陷的网络服务 集中化的安全管理 加强对网络系统的访问控制 加强隐私 对网络存取和访问进行监控审计2022-9-2723 从总体上看，防火墙应具有以下

14、五大基本功能：1.过滤进、出网络的数据；2.管理进、出网络的访问行为；3.封堵某些禁止的业务；4.记录通过防火墙的信息内容和活动；5.对网络攻击的检测和告警。防火墙功能2022-9-2724VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络专用(P)：只有企业自己的用户才可以联入企业自己的网络网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降

15、低网络的使用成本 什么是什么是VPNVPN2022-9-2725 VPN（VPNVPN的用途的用途2022-9-2726VPN的隧道协议 VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性 通常使用的方法有：使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装使用IP安全协议IPSec在网络层实现数据封装使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议 2022-9-2727病毒防护策略 Internet 在全网部署病毒防护系统采用全在全网部署病毒防护系统采用全网统一的病毒防护策略，对于网统一的病

16、毒防护策略，对于网内传播的病毒进行及时的查杀，网内传播的病毒进行及时的查杀，实现全网统一升级，保持病毒库实现全网统一升级，保持病毒库版本的一致性，同时针对重点的防版本的一致性，同时针对重点的防范点可采用防病毒网关进行防护。范点可采用防病毒网关进行防护。具体防护包括具体防护包括:内联网和外联网病毒防护策略内联网和外联网病毒防护策略操作系统病毒防护策略操作系统病毒防护策略应用系统病毒防护策略应用系统病毒防护策略服务器机群病毒扩护策略服务器机群病毒扩护策略工作站病毒防护策略工作站病毒防护策略2022-9-27283.网络通信的安全要求 通信的保密性 要求通信双方的通信内容是保密的。这一方面要求通信的

17、内容不能被第三方所窃取；也要求万一被别人窃取后，也不能得到信息的具体内容。2022-9-2729网络通信的安全要求 数据的完整性 要保证接收到的信息是完整的。这不是指收到的信息是不是有完整的意义，而是说在传输的过程中数据没有被修改。要求接收到的信息或数据和发送方所发出的信息是完全一致的。如果发出的信息是“请付给甲100元”，收到的信息是“请付给甲10000元”，数据的完整性就被破坏了。2022-9-2730网络通信的安全要求 身份的确认性 在网络的通信中如何确定通信者的身份也是一个重要的问题。打电话可以从语音识别身份，写信可以从笔迹识别身份，网络通信中如何识别身份？如果收到总经理的邮件：“请付

18、给乙方10000元”。如何确认此信一定是总经理发来的？2022-9-2731网络通信的安全要求 通信的不可抵赖性 网络通信全部是电子形式的文档。收到的信息经打印机打印出来后和和一般的文档没有什么不同。甲给乙一份邮件，“请发货100件”。等乙发完货向甲收款时，甲说我没有要你发货。有什么办法使甲不能抵赖所发的信息？2022-9-27324.网络中常见的攻击 特洛伊木马（Trojan horse）一种执行超出程序定义之外的程序。如一个编译程序除了执行编译任务以外，还把用户的源程序偷偷地copy下来，这种编译程序就是一种特洛伊木马。2022-9-2733网络中常见的攻击 逻辑炸弹（logic bomb

19、）一种当运行环境满足某种特定条件时执行其他特殊功能的程序。如近期流行的CIH，每当系统时间为26日的时候，便在BIOS中写入一大堆垃圾信息，造成系统瘫痪。逻辑炸弹是计算机病毒的一种。计算机病毒（computer virus），一种会“传染”和起破坏作用的程序。2022-9-2734网络中常见的攻击 主机欺骗黑客可以发送虚假的路由信息到他想进行欺骗的一台主机，如主机A。这种假冒的信息也将发送到目标主机A的路径上的所有网关。主机A和这些网关收到的虚假路由信息经常表示到网络上的一台不工作或没有使用的主机，如主机B。这样，任何要发送到主机B的信息都会转送到黑客的计算机，而主机A和网关还认为信息是流向了

20、主机B。一旦黑客成功地将他或她的计算机取代了网络上的一台实际主机，就实现了主机欺骗。2022-9-27351.什么是传统机械按键设计？传统的机械按键设计是需要手动按压按键触动PCBA上的开关按键来实现功能的一种设计方式。传统机械按键设计要点：1.合理的选择按键的类型，尽量选择平头类的按键，以防按键下陷。2.开关按键和塑胶按键设计间隙建议留0.050.1mm，以防按键死键。3.要考虑成型工艺，合理计算累积公差，以防按键手感不良。传统机械按键结构层图：按键开关键PCBA网络中常见的攻击 Java和ActiveX攻击黑客会将“特洛伊木马”程序插入到Java对象库。当一个用户的浏览器下载Java对象库

21、时，隐藏的“特洛伊木马”程序就会和类库一起进入用户的系统并伺机发作。当某种键入的组合或鼠标点击的组合发生时，“特洛伊木马”程序就会发作和起作用。一旦“特洛伊木马”窃取了用户的口令并将他传送到黑客所在的机器2022-9-2737网络中常见的攻击 使用探视软件几 乎 有 网 络 路 由 器 的 地 方 都 有 探 视 程 序（Sniffer Program）。探视程序是一种分析网络流量的网络应用程序。一般来说，这种软件收集的数据太多，对黑客不是很有用。但是，这种软件对黑客仍然是有吸引力的，因为黑客可以再加一个应用程序接口（API）。通过这个API，可以控制探视程序只是收集和管理具有某种格式的数据，

22、例如口令。2022-9-2738网络中常见的攻击 死亡之Ping这是黑客使用的一种使服务瘫痪的策略。如果它们不能窃取你的信息，或者不能访问有价值的计算机资源，另外一件他们最喜欢做的事就是让你的系统瘫痪。黑客发现如果发送的ping消息的长度大于64位，有可能使连接到Internet的计算机不工作。也就是瘫痪了。连续地进行这种攻击就使得服务连续地瘫痪2022-9-2739网络中常见的攻击 SMTP攻击：缓冲器过载（buffer overrun）攻击。缓冲器过载是一种常见的email攻击，此时，有些人的电子邮件信箱会塞满垃圾邮件，直到系统瘫痪。秘密命令攻击（Backdoor Command Raid

23、s）通常是通过邮件的附件来发动的。特洛伊木马程序将秘密地隐藏在电子邮件中，当你双击邮件列表时，此特洛伊木马将从附件中滑出2022-9-27405.网络设计应考虑的安全措施 物理安全 在设计一个网络的时候，应该考虑以下两个方面的危害：一是人为对网络的损害一个是网络对使用者的危害 针对这两方面的危害，设计网络时应注意其物理安全：如尽量采用结构化布线来安装网络，做好网络的绝缘、接地和屏蔽工作等。2022-9-2741网络设计应考虑的安全措施 物理控制原则 物理控制的原则有九点：1、所有的网络节点（包括交换机、集线器、主机、网络打印机等）都要有物理保护，不能随意让人接触。2、重要的主机和网络设备配备电

24、源保护和备份电源。3、室外的网络电缆要深埋，并加以标识；室内采用结构化布线，尽量减少外露的电缆和接头。2022-9-2742网络设计应考虑的安全措施4、机房要设有水灾、烟雾自动报警装置，常备灭火器等设施。5、机房的保护地安装要符合有关标准。6、所有的入网主机和设备都要编有统一编号。7、所有的系统备份磁带都要保存在主机房以外的安全地方。8、主服务器要加带口令的屏幕保护及键盘锁。9、对网络操作人员定期进行安全教育和培训，出问题要严格追究有关人员责任。2022-9-2743网络设计应考虑的安全措施 访问安全 访问控制识别并验证用户，并将用户限制于已授权的活动和资源，网络的访问控制可以从以下几个方面来

25、考虑规划。1、口令识别2、网络资源属主、属性和访问权限 3、网络安全监视2022-9-2744网络设计应考虑的安全措施 口令受到攻击的途径 （1）在输入口令时被人偷窃 （2）被口令破解程序破解 （3）被网络分析仪或其它工具窃听 （4）误入LOGIN的特洛伊木马陷阱，使口令被窃取 2022-9-2745网络设计应考虑的安全措施 口令安全原则 1、采用不易猜测，无规律的口令，字符数不能少于6个。2、不同的系统采用不同的口令。3、定期更换口令，最长不超过半年。4、采用加密的方式保存和传输口令。5、对每次的登录失败作记录并认真查找原因。6、系统管理员经常检查系统的登录文件及登录日志。2022-9-27

26、46网络设计应考虑的安全措施 访问权限访问权限是一个通用概念，主要指对资源的存取动作，如读写、删除、执行。一个用户访问一个网络资源的能力主要由上述的资源属主、资源属性来决定。所以，控制对资源的访问，可以通过改变资源的属主及资源的属性来实现。如：为防止某一类用户破坏文件，将文件设为该类用户只读；为防止某一类用户看见文件，将文件设为该类用户不可见；为授予某一类用户修改和使用文件的权力，将文件设为该类用户可读写与可执行。2022-9-2747网络设计应考虑的安全措施 加密技术 （1）对称加密技术：传统的加密技术以数据的发送者和接收者知道并使用相同的密钥为基础，发送者用一个密钥将数据加密，接收者则使用

27、相同的密钥将数据解密。它的主要问题在于密钥传送的安全性。2022-9-2748网络设计应考虑的安全措施（2）公开密钥技术：这种技术使用一对密钥，分别称为公开的和私有的，公开密钥被公开，数据在传输之前用接收者的公开密钥进行加密，接收者用自己的私有密钥进行解密。其主要优点是增加了密钥的安全性，另外还可提供一种数字签名的方法。主要缺点：它的速度较慢。而且还不能认为它是绝对安全的。2022-9-2749二.网络信任体系1.提出背景2.内容3.涉及问题2022-9-2750二.网络信任体系 1.提出背景信息安全的重要性日益突出，已经上升到国家安全的高度，成为国家安全的重要组成部分。2003年9月7日，中

28、央办公厅下发了一个国家信息化领导小组关于加强信息安全保障工作的意见，中办发2003 27号。（温家宝主持的会议）明确的提出加强信息安全保障工作的要求和主要原则还从安全等级保护，网络建设，安全监控体系，安全应急处理，安全技术研发，安全产业发展，安全法制建设，安全人才培养以及安全管理责任制等等方面提出了具体的要求，2022-9-2751 国家网络与信息安全协调小组召开了第二次会议。贯彻落实27号文件，对有关部门作出的具体安排，其中关于网络及信任体系建设问题，明确由信息产业部和国家民办管理局牵头，汇同有关部门提出意见。2004年初到2004年11月，组成了起草工作组和专家组，先起草的一个网络信任体系

29、指导意见的初稿。电子签名法于2004年8月28日正式公布，2005年4月正式实行 2005年5月到12月，对网络信任体系建设有关问题做了深入研究，经过专家的讨论，起草了网络信任体系建设的若干意见（征求意见稿）。2022-9-2752 2006年2月23日，“关于网络信任体系建设的若干意见”国务院办公厅以国办发2006 11号文件正式下发。2022-9-27532。内 容 主要包括三个方面，身份认证授权管理责任认定2022-9-2754 电子认证是网络信任体系建设的重要内容，涉及政策、管理、技术、标准等各个环节，必须加强宏观指导、规划管理”电子签名法立法目的：一是为了规范电子签名行为，二是为了确

30、立电子签名的法律效力，三是为了维护有关各方的合法权益”。2022-9-27553.涉及问题 数字签名 CA认证 网络伦理2022-9-2756数字签名 数字签名不是仅仅要把签名人的姓名数字化，而是要把相关的文件都进行数字化。它有如下优点：1.可以在远距离以外签署文件。2.所签文件很难被篡改。3.签名人不能否认自己所签的文件。4.所签文件具有完整性，难以断章取义。简言之，数字签名具有快捷、完整、可靠和不能反悔等优点。美、日、韩、新加坡和欧盟等已相继通过了关于数字签名的法律。我国人大也已于2004年8月通过了中华人民共和国电子签名法。2022-9-2757是电子签名的一种 计算机口令、数字签名、生

31、物技术、指纹、掌纹、视网膜纹、声音等，这些签名方式我们就把它统称为电子签名。2022-9-2758数字签名的通俗解释2.数字签名的通俗解释数字签名不是把某人的姓名改为数字去签名。先看一个例子：假数字签名不是把某人的姓名改为数字去签名。先看一个例子：假设吴晓明在西安，他的代理人樊育在香港替他办事，吴晓明让樊设吴晓明在西安，他的代理人樊育在香港替他办事，吴晓明让樊育去找张鸿。他通过育去找张鸿。他通过E-mailE-mail给张鸿写了短信如下：给张鸿写了短信如下：张鸿先生：请把我寄存在你处的皮箱交给樊育。又，请先支付给张鸿先生：请把我寄存在你处的皮箱交给樊育。又，请先支付给樊育港币七万元，我下个月去

32、香港时当面还给你。樊育港币七万元，我下个月去香港时当面还给你。吴晓明吴晓明 20052005年年4 4月月1010日日要对例要对例5 5中的信息进行数字签名并不是要把中的信息进行数字签名并不是要把“吴晓明吴晓明”这个姓名改这个姓名改为数字，而是要把整个消息都数字化后发送给张，使张有办法确为数字，而是要把整个消息都数字化后发送给张，使张有办法确认消息的真实性，从而敢于照办。所以认消息的真实性，从而敢于照办。所以“数字签名数字签名”不如改称为不如改称为“数字签文数字签文”更合适写些。更合适写些。2022-9-2759数字签名的通俗解释2.数字签名的通俗解释(续)数字签名是将相关的内容数字签名是将相

33、关的内容(称为消息称为消息x x)进行只有签进行只有签名人甲才知道的方法打乱为名人甲才知道的方法打乱为y y，并公布如何将打乱的，并公布如何将打乱的y y进行还原的方法进行还原的方法(从还原方法推不出打乱方法从还原方法推不出打乱方法),),然后甲然后甲把把(x,yx,y)一并发给接收消息人乙。乙收到一并发给接收消息人乙。乙收到(x,yx,y)后用大家后用大家都知道的还原方法将都知道的还原方法将y y作还原，如果得出的结果等于作还原，如果得出的结果等于x x,乙就相信乙就相信x x的确是甲发给他的消息。的确是甲发给他的消息。2022-9-2760关于CA 电子签名法中规定：电子签名需要第三方认证

34、，即由依法设立的电子认证服务提供者提供认证服务。电子签名法所说的认证全称应该叫电子签名认证，其含义是特指为配合电子签名的使用，以电子认证服务机构为中心，依照法律规定，审验电子签名人的身份，确保电子签名人与使用人之间的唯一关系的法律制度，2022-9-2761CA 什么叫电子认证服务？管理办法第二条的解释是，电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的公共服务活动。顾名思义，所谓电子认证服务业也就是指，由相关组织和个人组成，以从事电子认证服务为职业的一个行业。从行业特性来讲，是专门从事电子认证服务的，从行业构成来看，是以电子认证服务机构为中心，还有直接和间接从事电子认证服务的组织和

35、个人。2022-9-2762 电子认证服务业的管理一是确立了电子认证服务的市场准入制度，对电子认证服务机构的设立实行行政许可。二是明确了行政许可的实施机构。三是赋予了国务院信息产业主管部门在电子认证服务业管理方面的明确的责任、权利和义务。2022-9-2763CA现状 全国140余家CA机构中，仅17家拥有国家电子认证服务许可证，其他120多家依旧在无牌照经营，这些不够资质的CA机构搅乱了市场，破坏了整个行业的信誉，使得竞争无序。一些地方、行业CA是产业发展的主要阻力。事实上，包括获得牌照的17家CA在内，国内CA很多是工商、税务等行业主管部门或地方政府建立的，在很长时间内，这些CA霸占某一行

36、政部门或者行业，就能活得很好。2022-9-2764 各家CA之间的交叉认证同样是一个大问题。不同的CA机构在发放证书上存在审批程序和业务应用限制的区别，之间的互联互通一直得不到解决。国内最大的CA一年发出证书不过几十万张，而VeriSign这种国外CA一年个人证书发放就超过了1000万张，培育市场应该成为行业的头等大事，缺乏市场基数作支撑的产业很难有大发展。2022-9-2765政府的角色 管理还是参与？输导还是保护2022-9-27663.网络伦理 网络伦理，是指人们在网络空间中应该遵守的行为道德准则和规范；或者是指在计算机信息网络专门领域调节人与人、人与社会特殊利益关系的道德价值观念和行

37、为规范。2022-9-2767网络伦理包括了由浅到深的三个层次的内容 第一层为网络礼仪，是指在网络上通过电子媒体而体现的、规定的社会行为和方式，它是网络交往中人们所能找到的能使网络社会正常运行的系列规则和行为方式；第二层为网络规范，是指在网络社会中，人们约定俗成或明文规定的行为标准，是网络礼仪的升华，是网络道德评价的标准；第三层即最高层为网络原则，是网络礼仪和网络规范的集中概括，是网络伦理关系的集中体现，网络原则包括全民利益原则、平等互利原则和自律原则。网络伦理带有明显的民族性、地域性，也带有鲜明的文化烙印。2022-9-2768网络伦理不规范造成的危害 社会危害道德虚无主义的思想意识滋长蔓延

38、，使得各种伦理道德问题在虚拟空间中存在并且在某种程度上加以放大，也使得人际关系呈现出“面具性”；传统的社会道德规范受到挑战和冲击，主要是由于新的网络伦理不健全、不完善导致的网上行为既不受旧规范的约束，有无新法可依的道德真空状况；在网络中存在大量的不道德的行为，如网络犯罪猖獗、信息污染严重、网络文化侵略、网络欺骗、非法交易等等。2022-9-2769对网络发展的危害 垃圾邮件浪费了宝贵的网络资源 安全问题削弱了人们对网络的信赖 流氓软件使用户忍无可忍流氓软件”是介于病毒和正规软件之间的软件。具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。种类广告、间谍、非法共享、非法驻留、改变主机结构等等2022-9-2770谢谢大家 祝全体学员 国庆、仲秋快乐！2022-9-2771