从电站受攻击谈网络安全

‘壹’ 如何利用大数据来处理网络安全攻击

“大数据”已经成为时下最火热的IT行业词汇，各行各业的大数据解决方案层出不穷。究竟什么是大数据、大数据给信息安全带来哪些挑战和机遇、为什么网络安全需要大数据，以及怎样把大数据思想应用于网络安全技术，本文给出解答。
一切都源于APT
APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。
现有技术为什么失灵
先看两个典型APT攻击案例，分析一下盲点在哪里：
1、 RSA SecureID窃取攻击
1) 攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件。邮件标题为“2011 Recruitment Plan”，寄件人是[email protected]，正文很简单，写着“I forward this file to you for review. Please open and view it.”;里面有个EXCEL附件名为“2011 Recruitment plan.xls”；
2) 很不幸，其中一位员工对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有，除了在一个表单的第一个格子里面有个“X”(叉)。而这个叉实际上就是内嵌的一个Flash；
3) 该主机被植入臭名昭着的Poison Ivy远端控制工具，并开始自BotNet的C&C服务器(位于 good.mincesur.com)下载指令进行任务；
4) 首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；
5) RSA发现开发用服务器(Staging server)遭入侵，攻击方随即进行撤离，加密并压缩所有资料(都是rar格式)，并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹；
6) 在拿到了SecurID的信息后，攻击者就开始对使用SecurID的公司(例如上述防务公司等)进行攻击了。
2、 震网攻击
遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此 为第一道攻击跳板，进一步感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个 0day漏洞，一点一点的进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。
以上两个典型的APT攻击案例中可以看出，对于APT攻击，现代安全防御手段有三个主要盲点：

1、0day漏洞与远程加密通信
支撑现代网络安全技术的理论基础最重要的就是特征匹配，广泛应用于各类主流网络安全产品，如杀毒、入侵检测/防御、漏洞扫描、深度包检测。Oday漏洞和远程加密通信都意味着没有特征，或者说还没来得及积累特征，这是基于特征匹配的边界防护技术难以应对的。
2、长期持续性的攻击
现代网络安全产品把实时性作为衡量系统能力的一项重要指标，追求的目标就是精准的识别威胁，并实时的阻断。而对于APT这种Salami式的攻击，则是基于实时时间点的检测技术难以应对的。
3、内网攻击
任何防御体系都会做安全域划分，内网通常被划成信任域，信任域内部的通信不被监控，成为了盲点。需要做接入侧的安全方案加固，但不在本文讨论范围。

大数据怎么解决问题
大数据可总结为基于分布式计算的数据挖掘，可以跟传统数据处理模式对比去理解大数据：
1、数据采样——>全集原始数据（Raw Data）
2、小数据+大算法——>大数据+小算法+上下文关联+知识积累
3、基于模型的算法——>机械穷举（不带假设条件）
4、精确性+实时性——>过程中的预测
使用大数据思想，可对现代网络安全技术做如下改进：
1、特定协议报文分析——>全流量原始数据抓取（Raw Data）
2、实时数据+复杂模型算法——>长期全流量数据+多种简单挖掘算法+上下文关联+知识积累
3、实时性+自动化——>过程中的预警+人工调查
通过传统安全防御措施很难检测高级持续性攻击，企业必须先确定日常网络中各用户、业务系统的正常行为模型是什么，才能尽早确定企业的网络和数据是否受到了攻击。而安全厂商可利用大数据技术对事件的模式、攻击的模式、时间、空间、行为上的特征进行处理，总结抽象出来一些模型，变成大数据安全工具。为了精准地描述威胁特征，建模的过程可能耗费几个月甚至几年时间，企业需要耗费大量人力、物力、财力成本，才能达到目的。但可以通过整合大数据处理资源，协调大数据处理和分析机制，共享数据库之间的关键模型数据，加快对高级可持续攻击的建模进程，消除和控制高级可持续攻击的危害。

‘贰’ 对当前网络安全的认识和对策

最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的机构面临着前所未有的风险，本文将对网络攻击的新动向进行分析，使读者能够认识、评估，并减小这些风险。

趋势一：自动化程度和攻击速度提高

攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段，在每个阶段都出现了新变化。

扫描可能的受害者。自1997年起，广泛的扫描变得司空见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。

损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。

传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。

攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

趋势二：攻击工具越来越复杂

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；动态行为，早期的攻击工具是以单一确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议，从入侵者那里向受攻击的计算机发送数据或命令，使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。

趋势三：发现安全漏洞越来越快

新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

趋势四：越来越高的防火墙渗透率

防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙，例如，IPP(Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

趋势五：越来越不对称的威胁

Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁的不对称性将继续增加。

趋势六：对基础设施将形成越来越大的威胁

基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。

拒绝服务攻击利用多个系统攻击一个或多个受害系统，使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块，电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成，并且Internet的安全性是高度相互依赖的，因此拒绝服务攻击十分有效。

蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同，蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞，会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷，另一些蠕虫病毒则具有动态配置功能。但是，这些蠕虫病毒的最大影响力是，由于它们传播时生成海量的扫描传输流，它们的传播实际上在Internet上生成了拒绝攻击，造成大量间接的破坏(这样的例子包括：DSL路由器瘫痪；并非扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器ISP网络全面超载)。

DNS是一种将名字翻译为数字IP地址的分布式分级全球目录。这种目录结构最上面的两层对于Internet运行至关重要。在顶层中有13个“根”名服务器。下一层为顶级域名(TLD)服务器，这些服务器负责管理“.com”、“.net”等域名以及国家代码顶级域名。DNS面临的威胁包括：缓存区中毒，如果使DNS缓存伪造信息的话，攻击者可以改变发向合法站点的传输流方向，使它传送到攻击者控制的站点上；破坏数据，攻击者攻击脆弱的DNS服务器，获得修改提供给用户的数据的能力；拒绝服务，对某些TLD域名服务器的大规模拒绝服务攻击会造成Internet速度普遍下降或停止运行；域劫持，通过利用客户升级自己的域注册信息所使用的不安全机制，攻击者可以接管域注册过程来控制合法的域。

路由器是一种指挥Internet上传输流方向的专用计算机。路由器面临的威胁有：将路由器作为攻击平台，入侵者利用不安全的路由器作为生成对其他站点的扫描或侦察的平台；拒绝服务，尽管路由器在设计上可以传送大量的传输流，但是它常常不能处理传送给它的同样数量的传输流，入侵者利用这种特性攻击连接到网络上的路由器，而不是直接攻击网络上的系统；利用路由器之间的信赖关系，路由器若要完成任务，就必须知道向哪里发送接收到的传输流，路由器通过共享它们之间的路由信息来做到这点，而这要求路由器信赖其收到的来自其他路由器的信息，因此攻击者可以比较容易地修改、删除全球Internet路由表或将路由输入到全球Internet路由表中，将发送到一个网络的传输流改向传送到另一个网络，从而造成对两个网络的拒绝服务攻击。尽管路由器保护技术早已可供广泛使用，但是许多用户没有利用路由器提供的加密和认证特性来保护自己的安全。

‘叁’ 关于网络安全的故事或事例

1、聊天陷阱

2006年2月24日晚上，上海“网虫”钱某终于见到了网上聊天认识的女网友“仇某”。然而，两人散步至一处花店附近时，突然冒出4名手持剪刀的青年男子。毫无准备的钱某不仅遭到一阵殴打，身上仅有的1部手机和300元人民币也被抢走。

3天以后，案情大白，犯罪嫌疑人裘某正是那位自称“仇某”的女网友。原来，两人在网上搭识以后，钱某经常出言不逊，裘某萌发报复念头，找到以前的男友抢劫钱某财物。

2、低价陷阱

2018年1月，徐某无意中进入一个买卖二手车的网址，发现其中一辆本田CRV车只要13000元。徐某心动不已，随即联系网站客服，按照对方要求填写信息并通过网银转账500元订金。2天后，对方告知押车员已将车子运送至天台县，要求徐某支付余款12500元。

徐某打款后兴冲冲等着去提车，结果对方又找各种理由要求他再付16870元，徐某这才恍然大悟自己是被骗了。

3、“支付宝”发邮件称需升级

小美在淘宝开了一家汽车用品店。一个“买家”来店里拍了一套汽车坐垫后发了一张截图，显示“本次支付失败”，并提示“由于卖家账号异常，已发邮件给卖家”。小美打开邮箱，果然有一封主题为“来自支付宝的安全提醒”的未读邮件。

小美没有多想就点击邮件里的链接，按提示一步步进行了“升级”，期间几次输入支付宝账号和密码。隔天，小美发现账户里的8000多元余额被人以支付红包的形式盗空。

4、代“刷信誉”先交“服务费”

阿珍在淘宝网上开了一家卖袜子的小店。去年5月，她在网上看到可以帮忙“刷信誉”的广告，便心动了。加QQ后，对方要求先付钱才能帮其代刷，阿珍就向对方账户汇了1500元“服务费”。没过多久对方又称，需要阿珍再付3000元“保证金”。

这下阿珍起了疑心，要求对方先刷一部分信誉再谈，对方却坚持要阿珍再汇款。阿珍越想越觉得可疑，要求对方退回1500元，对方却怎么都不理她了。阿珍这才明白，自己是被骗了。

5、“大客户”下单后要“回扣”

去年7月，小罗的汽车用品淘宝店来了一个“大客户”。这买家自称是公司的采购，想要长期合作，但希望小罗给“回扣”。一番沟通后，买家很快用另一个旺旺号拍下1万多元的宝贝并付款，随后要求小罗将说好的近2000元“回扣”转给他。

小罗转了回扣后，对方却申请了退款，因为“回扣”是通过支付宝直接转账的，无法申请退款，小罗因此损失近2000元。

‘肆’ 1、什么是计算机网络安全请列出常见的网络攻击方法及危害

一般有以下几种攻击方法
窃取口令
就我们所知，被用来窃取口令的服务包括FTP、TFTP、邮件系统、Finger和Telnet等等。换句话说，如果系统管理员在选择主机系统时不小心或不走运的话，攻击者要窃取口令文件就将易如反掌，所以防范的手段包括对软件的使用都要采取十分谨慎地态度，大家一定要记住：坏家伙只用成功一次就够了。
缺陷和后门
事实上没有完美无缺的代码，也许系统的某处正潜伏着重大的缺陷或者后门等待人们的发现，区别只是在于谁先发现它。只有本着怀疑一切的态度，从各个方面检查所输入信息的正确性，还是可以回避这些缺陷的。比如说，如果程序有固定尺寸的缓冲区，无论是什么类型，一定要保证它不溢出；如果使用动态内存分配，一定要为内存或文件系统的耗尽做好准备，并且记住恢复策略可能也需要内存和磁盘空间。
鉴别失败
即使是一个完善的机制在某些特定的情况下也会被攻破。例如：源地址的校验可能正在某种条件下进行（如防火墙筛选伪造的数据包），但是黑客可以用程序Portmapper重传某一请求。在这一情况下，服务器最终受到欺骗，报文表面上源于本地，实际上却源于其他地方。
协议失败
寻找协议漏洞的游戏一直在黑客中长盛不衰，在密码学的领域尤其如此。有时是由于密码生成者犯了错误，过于明了和简单。更多的情况是由于不同的假设造成的，而证明密码交换的正确性是很困难的事。
信息泄漏
大多数的协议都会泄漏某些信息。高明的黑客并不需要知道你的局域网中有哪些计算机存在，他们只要通过地址空间和端口扫描，就能寻找到隐藏的主机和感兴趣的服务。最好的防御方法是高性能的防火墙，如果黑客们不能向每一台机器发送数据包，该机器就不容易被入侵 拒绝服务
有的人喜欢刺破别人的车胎，有的人喜欢在墙上乱涂乱画，也有人特别喜欢把别人的机器搞瘫痪。很多网络攻击者对这种损人不利己的行为乐此不疲真是令人费解。这种捣乱的行为多种多样，但本质上都差不多，就是想将你的资源耗尽，从而让你的计算机系统瘫痪。尽管主动的过滤可以在一定的程度上保护你，但是由于这种攻击不容易识别，往往让人防不胜防。

‘伍’ 新能源电站有可能遭受黑客攻击，如何保障电站并网运行

目前光伏电站只有电量与电压的上传数据，无下行指令与远程控制。

‘陆’ 网络安全中网络易受攻击的几个主要原因

受攻击的原因有以下几点？第一，他要窃取资料，第二，他要让你的网络堵塞，无法访问

‘柒’ 光伏电站，关于网络安全突发事件和信息安全突发事件的应急预案

1、抢劫案件应急措施：（1）当酒店发生抢劫案件时，如劫匪持有武器（指枪械），在场员工应避免与匪徒发生正面冲突，保持镇静，并观察匪徒的面貌、身型、衣着、发型及口音等特征。决不可草率行事，以免造成不必要的伤亡。如监控中心发现酒店内发生劫案，应立即告知部门经理或总值班员，并按指示向110报警；（2）如劫匪乘车逃离现场，应记下其车牌号码、颜色、车款或牌子等，并记清人数。同时，可以乘的士或其他交通工具跟踪并用通讯工具向110报告方位和地点，以便警方组织力量设卡拦截。在跟踪的过程中要注意隐蔽，以确保自身安全；（3）保护好现场。劫匪遗留的兇器、作案工具等不要用手触摸，划出警戒范围，不要让无关人员进入现场；（4）如现场在交通要道、公共场所等无法将劫匪留下的证物留在原处的，应逐一收拾起来用塑料袋装好并用记号标注位置，交给警方处理；（5）配合公安机关访问目击群众，收集发生劫案的情况。同时，公安人员未勘查现场或未处理完毕之前，相关人员不要离开；（6）在场人员不可向报界或无关人员透露任何消息，不准拍摄照片；（7）如有伤者，要立即送往医院救治，并报告公安机关。2、绑架人质案件应急措施：（1）当酒店发生人质绑架案件时，服务人员应立即向部门经理、总值班员和安全部报告；（2）接报后应急处置小组须第一时间报警；（3）在警方到达之前应封锁消息,严禁向无关人员透露现场情况,以免引起客人惊慌和群众围观,导致劫匪铤而走险，危害人质安全；（4）尽量满足劫匪的一些合理要求,如送水、送食物，以稳定劫匪的情绪；（5）安保、工程人员在附近待命，以便配合公安人员的行动，并划出警戒范围。同时，疏散劫匪所在房间上下、左右房的客人，以防劫匪带有爆炸危险物品；（6）及时收集、准备好客房的登记入住、监控录像、工程图纸等资料，提供给警方。3、斗殴案件应急措施：（1）当酒店内发生斗殴事件时，应立即制止劝阻及劝散围观人群；（2）如双方不听制止，事态继续发展，场面有难以控制的趋势时，应迅速报告公安机关及通知酒店相关部门人员。安保员应在现场戒备，防止事态扩大；（3）如酒店物品有损坏，则应将斗殴者截留，要求赔偿。如有伤者则予以急救后交警方处理。现场须保持原状以便警方勘查，并协助警方辩认滋事者；（4）如斗殴者乘车逃离，应记下车牌号码、颜色、车型及人数等特征，交警方处理；（5）安保员协助警方勘查打斗现场，收缴各种打架斗殴工具。

‘捌’ 网络安全攻击的形式主要有哪些

• 网络信息系统所面临而对威胁来自很多方面，而且会随着时间的变化而变化。从宏观上看，这些威胁可分为人为威胁和自然威胁。

• 自然威胁来自与各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的的，但会对网络通信系统造成损害，危及通信安全。而人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比，精心设计的人为攻击威胁难防备、种类多、数量大。从对信息的破坏性上看，攻击类型可以分为被动攻击和主动攻击。

  
  

主动攻击

• 主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端（拒绝服务）。

  （1） 篡改消息

• 篡改消息是指一个合法消息的某些部分被改变、删除，消息被延迟或改变顺序，通常用以产生一个未授权的效果。如修改传输消息中的数据，将“允许甲执行操作”改为“允许乙执行操作”。

  （2）伪造

  伪造指的是某个实体（人或系统）发出含有其他实体身份信息的数据信息，假扮成其他实体，从而以欺骗方式获取一些合法用户的权利和特权。

  （3）拒绝服务

  拒绝服务即常说的DoS（Deny of Service），会导致对通讯设备正常使用或管理被无条件地终端。通常是对整个网络实施破坏，以达到降低性能、终端服务的目的。这种攻击也可能有一个特定的目标，如到某一特定目的地（如安全审计服务）的所有数据包都被组织。

  
  

  被动攻击

  被动攻击中攻击者不对数据信息做任何修改，截取/窃听是指在未经用户同一和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。

  （1）流量分析

• 流量分析攻击方式适用于一些特殊场合，例如敏感信息都是保密的，攻击者虽然从截获的消息中无法的到消息的真实内容，但攻击者还能通过观察这些数据报的模式，分析确定出通信双方的位置、通信的次数及消息的长度，获知相关的敏感信息，这种攻击方式称为流量分析。

  （2）窃听

• 窃听是最常用的首段。目前应用最广泛的局域网上的数据传送是基于广播方式进行的，这就使一台主机有可能受到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时，它就可以将网络上传送的所有信息传送到上层，以供进一步分析。如果没有采取加密措施，通过协议分析，可以完全掌握通信的全部内容，窃听还可以用无限截获方式得到信息，通过高灵敏接受装置接收网络站点辐射的电磁波或网络连接设备辐射的电磁波，通过对电磁信号的分析恢复原数据信号从而获得网络信息。尽管有时数据信息不能通过电磁信号全部恢复，但肯得到极有价值的情报。

• 由于被动攻击不会对被攻击的信息做任何修改，留下痕迹很好，或者根本不留下痕迹，因而非常难以检测，所以抗击这类攻击的重点在于预防，具体措施包括虚拟专用网VPN，采用加密技术保护信息以及使用交换式网络设备等。被动攻击不易被发现，因而常常是主动攻击的前奏。

• 被动攻击虽然难以检测，但可采取措施有效地预防，而要有效地防止攻击是十分困难的，开销太大，抗击主动攻击的主要技术手段是检测，以及从攻击造成的破坏中及时地恢复。检测同时还具有某种威慑效应，在一定程度上也能起到防止攻击的作用。具体措施包括自动审计、入侵检测和完整性恢复等。

‘玖’ 谈谈对网络安全的认识

网络空间安全专业是网络空间安全一级学科下的专业，学科代码为“083900”，授予“工学”学位，涉及到以信息构建的各种空间领域，研究网络空间的组成、形态、安全、管理等。网络空间安全专业，致力于培养“互联网+”时代能够支撑国家网络空间安全领域的具有较强的工程实践能力，系统掌握网络空间安全的基本理论和关键技术，能够在网络空间安全产业以及其他国民经济部门，从事各类网络空间相关的软硬件开发、系统设计与分析、网络空间安全规划管理等工作，具有强烈的社会责任感和使命感、宽广的国际视野、勇于探索的创新精神和实践能力的拔尖创新人才和行业高级工程人才。

‘拾’ 网络信息安全的重要性

截至2010年底，我国网民规模达到4.57亿, 手机网民超过3亿，已成为世界上互联网使用人数最多、发展速度最快的国家。互联网的迅速发展，在极大地推动经济社会发展、方便人们生产生活的同时，也带来了大量的网络信息安全问题，为政府部门实施社会管理、维护国家安全和利益带来了新的问题和挑战。
网络信息安全问题缘于信息技术的迅猛发展与广泛应用，但又超出了信息技术自身的范畴，它不仅表现为对信息技术发展的强烈依赖，而且从网络信息安全概念提出之日起，就自然地表现为对物理环境、人的行为的强烈依赖。从微观角度看，国家网络信息安全是一种融合了技术层面、物理环境和人的因素等多方面的综合安全；从宏观角度看，国家网络信息安全兼具“传统安全”与“非传统安全”的特征，体现为国家对网络信息技术、信息内容、信息活动和方式以及信息基础设施的控制力。
网络信息安全是一种基础安全。随着社会信息化程度的日益加深，无论是人们社会生产和生活的各种活动，还是国家机关、各种企业事业组织履行社会管理、提供社会服务以及自身的正常运转，都越来越紧密地与计算机、信息网络结合在一起；无论是经济社会发展，还是国家政治外交、国防军事等活动，都越来越依赖于庞大而脆弱的计算机网络信息系统。如今，网络信息系统已经成为一切政治、经济、文化和社会活动的基础平台和神经中枢，如果一个国家的金融通信、能源交通、国防军事等关系国计民生和国家核心利益的关键基础设施所依赖的网络信息系统遭到破坏，处于无法运转或失控状态，将可能导致国家金融体系瘫痪、通讯系统中断、国防能力严重削弱，甚至引起政治动荡、经济崩溃、社会秩序混乱、国家面临生存危机等严重后果。
2010年，伊朗布什尔核电站的网络系统遭到“震网”病毒攻击，一度无法正常运转，被称为世界上第一个针对现实世界中工业基础设施的病毒攻击。当“震网”被激活后，工业自动化系统会将生产线的相关数据传输到病毒设定的目的地，而核安全对一国国家安全的基础性和重要性不言而喻。可以说，在信息时代中，没有网络信息安全，国家的政治、经济、军事等安全都将无从谈起，网络信息安全已经成为国家安全的核心内容和关键要素，并日益成为整个社会所有安全的基础。
网络信息安全是一种整体安全。网络信息安全的整体性体现为网络中任何一个点、一个环节的安全都不可或缺。木桶理论是对网络信息安全的最好诠释：木桶的盛水量取决于木桶中最短的木板的高度，同理，网络中最薄弱的点、最薄弱环节的安全水平代表了网络信息安全的整体水平。
网络信息安全的整体性还体现为一种“共同责任”。在传统意义上，“安全”是一种重要的社会资源和公共产品，国家具有供给责任，是“国家安全”当然的供给主体。但在网络化、全球化时代，网络信息安全已将国家安全责任主体大大延伸和扩展，辐射至包括各种企业事业组织、公民个人在内的信息化链条上所有的非国家行为体。这些非国家行为体对网络信息安全供给责任的承担，不再是宣誓意义上的，而是体现为具体的参与行动。维护网络信息安全，不仅是网络信息安全主管机关、专门机构的责任，而且是网络信息安全管理者和被管理者的共同责任；不仅是国家责任，而且是全民、全社会的共同责任。同时，由于网络信息安全问题的跨国性，当一国无法“自扫门前雪”时，网络信息安全不仅是单一国家责任，而且是国际社会的共同责任。
网络信息安全是一种战略安全。网络信息安全问题具有隐蔽性，其引发的后果具有延时性。比如，我国信息技术在核心、关键领域的自主控制能力尚不强，在国家关键基础网络和重要信息系统中仍会一定程度上采用国外软件、硬件设备，甚至相关配套技术服务也由国外公司承担，而这些软、硬件设备中可能留有的技术后门和隐藏指令，虽然不会立即对我国家安全造成危害，但长远来看，难以避免在非常时期
有可能受制于人。
目前，网络信息安全观念已从传统的技术安全延伸至信息内容、信息活动和方式的安全，从被动的“消除威胁”发展到国家对相关方面的“控制力”和“影响力”。一些西方国家已经在国家战略层面，将信息网络作为推广其价值观、进行意识形态渗透和争夺的重要战场和平台。比如，美国一直高度重视推行“E外交”，特别是利用Facebook、Twitter、YouTube等平台传递外交政策信息。具有浓厚官方背景的兰德公司，多年前就已经开始研究被称为“蜂拥”的非传统政权更迭技术，即针对年轻人对互联网、手机等新通讯工具的偏好，通过短信、论坛、博客和大量社交网络使易受影响的年轻人联系、聚集在一起，听从更迭政权的命令。从国内外媒体报道看，近期在突尼斯、埃及等中东、北非国家发生的动荡和骚乱中，Facebook、Twitter等新兴网络媒体都扮演了重要角色。
网络信息安全是一种积极安全。首先，网络信息技术总是不断发展的，其日新月异的变化使任何安全都只是相对的。因此，国家网络信息安全只能是一种积极安全，只有不断进行科技创新，才能占领信息技术的制高点，任何消极应对的网络信息安全观，带来的“暂时安全”只能是未来的“不安全”。其次，网络信息安全问题的非对称性，使任何组织或个人都可以通过网络与国家对抗。网络犯罪行为的成本低，方式手段简单灵活，不受地域和国界限制，甚至一个人就可以制造一场影响广泛的网络信息安全事件。这种非对称性，使国家网络信息安全必须始终处于积极防御的态势，具有及时预警、快速反应和恢复的能力。再次，网络信息安全在一定意义上体现为网络话语权和信息制控权，其已颠覆了传统安全观中的国土安全概念，甚至延伸至国家主权管辖范围之外，既在被动意义上包含对各种破坏和侵扰行为的抵御，又在主动意义上涵盖了一国自身的信息传播力和影响力。