信息安全水平初级教程

 网络空间概念的诞生，使得互联网自由、开放的概念被颠覆，网络空间成为继陆地、海洋、天空、太空之后的“第五空间”。互联网与现实世界的紧密结合，业务对信息系统的高度依赖，使得网络空间安全问题影响着每一个人、每一个企业。没有了信息系统，人们的生活会受到极大的影响，交通、电力等各种基础设施会因此停止运转或极大降低效率，移动互联网、电子支付等都无法提供服务……这些都可能对现实社会造成致命的伤害。2021年5月，美国的燃油管道运营商科洛尼尔管道运输公司疑似受到勒索软件攻击影响，被迫暂停输送业务，对美国东海岸燃油供应造成了严重影响，导致美国政府宣布国家进入紧急状态。这个真实的案例说明，网络空间安全问题已经与每个人息息相关，任何人都无法置身其外。
 网络空间安全保障中依靠的核心要素是人，习近平总书记在2016年4月19日召开的网络安全和信息化工作座谈会中明确提出：“网络空间的竞争，归根结底是人才竞争。”“网络安全是共同的而不是孤立的。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。”人员的信息安全意识缺乏是很多信息安全问题发生的根源，只有提高人员的信息安全意识，才能真正提高信息安全保障水平。我们每一个人既是网络空间的用户，也是维护网络空间安全的参与者，只有每一个人都掌握了一定的网络安全知识和技能，具备良好的信息安全意识，才能真正构筑起网络空间安全的钢铁长城。
 《中华人民共和国网络安全法》第十九条规定：“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。”自该法实施以来，国家在信息安全人才培养方面加大了投入，培养各类信息安全专业人才，并且每年举办网络安全周等主题活动，进行信息安全意识宣贯。
 为了落实书记讲话的指示精神和《中华人民共和国网络安全法》的相关要求，网安世纪科技有限公司在十多年信息安全职业教育经验基础上，按照国家信息安全水平考试（NISP）一级考试大纲要求，组织国内著名信息安全专家和讲师编写了本书，作为NISP（一级）培训教材。本书包括信息安全基础知识、网络安全基础技术、网络与网络安全设备、计算机终端安全、互联网应用与隐私保护、网络攻击与防护6个章节，基本覆盖了作为网络空间安全一员在日常信息系统使用中所需要掌握的知识，帮助读者在日常工作中形成良好的信息安全意识，避免由于缺乏对信息安全的了解而产生的安全问题。
 本书在编写的过程中得到了许多专家、讲师的支持，特此感谢。感谢各位老师为本书的编写及审定而付出的努力。
 由于水平有限，书中难免存在疏漏或不妥之处，恳请广大读者批评指正。

 在信息系统安全保障工作中，人是核心、活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的基本要素之一。《信息安全水平初级教程》总结了十多年的信息安全职业培训经验，结合各行业对工作人员信息安全意识、知识和技能的要求，从信息安全基础知识、网络安全基础技术、网络与网络安全设备、计算机终端安全、互联网应用与隐私保护、网络攻击与防护6个方面对信息安全相关知识进行介绍，基本覆盖了日常工作中需要了解的信息安全知识，帮助读者在日常工作中形成良好的信息安全意识，避免由于缺乏对信息安全的了解而产生的安全问题。

温哲，男，45岁，长期从事国家信息安全相关工作，有多年网络安全保障领域工作经验，注册信息安全专业人员（CISP）培训教材作者之一，为推动我国信息安全人才培养工作深入开展做出较大贡献。参与《注册信息安全专业人员培训教材》等图书的编写。
张晓菲，女，47岁，长期从事信息安全人才培养工作，是注册信息安全专业人员（CISP）培训教材作者之一。参与多项国家信息安全标准编写及项目研发工作。参与《信息安全保障导论》《信息安全技术》等图书的编写。
谢斌华，男，58岁，网安世纪科技有限公司董事长，2000年开始从事信息技术培训，曾任北京师范大学培训考试基地主任、考试中心全国信息技术高级人才水平考试管理中心主任。具备丰富的信息技术培训项目管理经验，参与了国家信息安全水平考试NISP品牌建立工作，后任中国信息安全测评中心NISP运营中心主任，负责国家信息安全水平考试（NISP）运营管理工作，曾参与主持NISP知识体系规划，为社会培养了大量信息安全专业人才。
冷清桂，男，59岁，网安世纪科技有限公司总裁，高级会计师，主编《网络生活新时尚》《黑客来了》，参与《中外合资企业会计》编写。
康楠，女，40岁，长期从事信息安全人才培养工作，负责国家信息安全水平考试（NISP）管理、培训知识体系研究等相关工作。

第1章 信息安全基础知识 1
1.1 信息安全与网络空间安全 1
1.1.1 信息与信息安全 1
1.1.2 信息安全属性 3
1.1.3 信息安全发展阶段 4
1.1.4 网络空间安全 8
1.2 网络安全法律法规 9
1.2.1 我国立法体系 10
1.2.2 《网络安全法》 11
1.2.3 《网络安全法》配套法律法规 15
1.2.4 其他网络安全相关法律及条款 18
1.3 网络空间安全政策与标准 21
1.3.1 国家网络空间安全战略 21
1.3.2 信息安全标准 23
1.3.3 我国信息安全标准体系 27
1.3.4 网络安全等级保护政策与标准 28
1.3.5 道德约束与职业道德准则 31
1.4 信息安全管理 33
1.4.1 信息安全管理基础 33
1.4.2 信息安全管理体系建设 36
1.4.3 信息安全管理体系建设过程 40
1.4.4 信息安全管理实用规则 43
第2章 网络安全基础技术 46
2.1 密码学基础 46
2.1.1 密码学基本概念 46
2.1.2 对称密码算法 49
2.1.3 非对称密码算法 50
2.1.4 哈希函数与数字签名 50
2.1.5 公钥基础设施 52
2.2 身份鉴别与访问控制 53
2.2.1 身份鉴别的概念 53
2.2.2 基于实体所知的鉴别 55
2.2.3 基于实体所有的鉴别 58
2.2.4 基于实体特征的鉴别 59
2.2.5 访问控制基本概念 61
2.2.6 访问控制模型 63
2.3 网络安全协议 65
2.3.1 OSI七层模型 65
2.3.2 TCP/IP体系架构及安全风险 67
2.3.3 TCP/IP安全架构与安全协议 69
2.4 新技术领域安全 70
2.4.1 云计算安全 70
2.4.2 大数据安全 72
2.4.3 移动互联网安全 74
2.4.4 物联网安全 75
2.4.5 工业互联网安全 77
第3章 网络与网络安全设备 80
3.1 计算机网络与网络设备 80
3.1.1 计算机网络基础 80
3.1.2 网络互连设备 83
3.1.3 网络传输介质 85
3.2 防火墙 87
3.2.1 防火墙的概念 87
3.2.2 防火墙的典型技术 87
3.2.3 防火墙企业部署 90
3.3.4 防火墙的局限性 92
3.3 边界安全防护设备 93
3.3.1 入侵防御系统 93
3.3.2 网闸 93
3.3.3 上网行为管理产品 94
3.3.4 防病毒网关 95
3.3.5 统一威胁管理系统 96
3.4 网络安全管理设备 97
3.4.1 入侵检测系统 97
3.4.2 网络安全审计系统 99
3.4.3 漏洞扫描系统 100
3.4.4 虚拟专用网络 100
3.4.5 堡垒主机 101
3.4.6 安全管理平台 101
第4章 计算机终端安全 103
4.1 Windows终端安全 103
4.1.1 安全安装 103
4.1.2 保护账户安全 104
4.1.3 本地安全策略设置 104
4.1.4 安全中心 107
4.1.5 系统服务安全 109
4.1.6 其他安全设置 110
4.1.7 获取安全软件 111
4.2 Windows终端数据安全 111
4.2.1 系统备份与还原 111
4.2.2 数据备份 112
4.2.3 数据粉碎 113
4.2.4 数据加密 113
4.3 移动智能终端安全 115
4.3.1 移动智能终端的重要性 115
4.3.2 移动智能终端的安全威胁及应对 116
4.3.3 移动智能终端的安全使用 122
第5章 互联网应用与隐私保护 124
5.1 Web浏览安全 124
5.1.1 Web应用基础 124
5.1.2 浏览器的安全威胁 125
5.1.3 Web浏览安全意识 126
5.1.4 浏览器的安全使用 129
5.2 互联网通信安全 131
5.2.1 电子邮件安全 131
5.2.2 即时通信应用安全 133
5.3 个人隐私和组织机构敏感信息保护 135
5.3.1 数据泄露与隐私保护 135
5.3.2 信息的泄露途径 135
5.3.3 个人隐私信息保护 137
5.3.4 组织机构敏感信息保护 138
第6章 网络攻击与防护 139
6.1 安全漏洞与网络攻击 139
6.1.1 安全漏洞 139
6.1.2 网络攻击 141
6.2 口令破解 148
6.2.1 口令安全问题 148
6.2.2 口令破解攻击 150
6.2.3 口令破解防御 153
6.2.4 口令安全使用及管理 155
6.3 社会工程学攻击 156
6.3.1 社会工程学攻击的概念 156
6.3.2 社会工程学利用的人性“弱点” 157
6.3.3 社会工程学攻击方式及案例 158
6.3.4 社会工程学攻击防范 160
6.4 恶意代码 161
6.4.1 恶意代码的概念 161
6.4.2 恶意代码的发展历程 162
6.4.3 恶意代码的传播方式 164
6.4.4 恶意代码防护 165
参考资料 168
英文缩略语 169