网络安全威胁的类型有哪些?
互联网网络安全是我们每个人都关心的话题,其实网络威胁是建立在网络安全缺陷基础上的,骇客往往利用网络安全缺陷攻击你的网络,这常常会导致主机被非授权访问、机密泄露、网络资源消耗、数据资料被盗或被破坏等。我们常见的网络安全威胁主要有以下几方面:
1、窃听
这个主要发生在广播式网络系统中,利用网络监听传输线路上的传输数据即可读取网络中传输的信息。广播式网络系统允许监视器兽兽网上传输的所有数据而不考虑数据传输的目的地,这使得监听或非授权访问非常容易且很难被发现。
2、假冒
骇客让入侵主机假扮成网络中另外一个主机向网络中发送数据。
3、流量分析
通过对网上发送的信息进行观察分析并推断出网上传输的对自己有用的信息,例如邮箱的账号密码等。
4、数据破坏
有意或无意的修改或破坏信息系统,对网络传输的数据进行修改。
5、拒绝服务
当一个正常的主机不能获得网络资源访问权限或紧急操作被延时,就会产生拒绝服务。
6、资源非授权使用
在没有被授权的情况下使用相应的功能。
7、陷阱和木马
通过替换正常程序或者在正常的程序中插入恶意代码,实现非授权进程,进行非法操作。
8、病毒
对计算机软硬件进行破坏,随着计算机依赖程度的增加,病毒已成为计算机系统和网络安全的重要威胁。
9、诽谤
利用计算机网络匿名散布错误非法信息,以达到某种目的。
10、重放
复制并重复一份报文或报文的一部分,产生被授权的效果。
2016年11月全国人大常委会表决通过了《中华人民共和国网络安全法》(以下简称“网络安全法”),于2017年6月1日起正式施行。
首先,小编带大家
一张图看懂
《中华人民共和国网络安全法》
一、解读《网络安全法》
《网络安全法》是中国第一部有关网络安全的基础性、“大纲性”的法律,它本身并不完善,因此需要一系列的法律规范与之配套适用,包括:《电信和互联网用户个人信息保护规定》、《关键信息基础设施安全保护条例(征求意见稿)》、《国家网络安全事件应急预案》、《网络关键设备和网络安全专用产品目录(第一批)》、《互联网新闻信息服务管理规定》、《互联网信息内容管理行政执法程序规定》。除此之外,还有一些其他法律法规正在筹划中,这些法律规范结合起来将成为一个较为完善的网络安全法体系。现小编结合已出台部分规范对《网络安全法》进行初步解读。
1、框架解读
第一章确定了网络安全保护范围,包括两个层次:第一层次,网络安全的内在保护,包括网络建设、运营、维护、使用及监督;第二层次,网络安全的外在保护,即保护关键信息基础设施。
第二章确定了网络安全保护方法,首先国家设立网络安全标准;相关企业、机构开展具体安全保障措施;其他各行各业帮助网络安全宣传及为网络安全技术发展助力。
第三章规定了各类主体(网络运营者、网络产品服务提供者、关键信息基础设施的运营者)应当采取哪些措施保护网络安全。
第四章就网络信息安全对网络运营者提出来的一系列要求:合法收集、使用个人信息;监督用户信息发布,阻断非法信息;接受个人的监督,完善网络安全投诉、举报制度;接受网信部门的监督,阻断非法信息。
第五章规定了网信部门及其他相关部门对网络安全监测预警,并就不同等级的网络安全事件进行相应的应急处置措施。
第六章规定了违反本法将要承担的相应行政责任。首先是“责令改正,给予警告”,其次是“罚款”。
2、重点条文解读
《网络安全法》明确了六点:
(1)网络安全法明确了网络空间主权的原则;
第七十五条境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任。
明确了网络是国家主权范围,需要进行管辖。明确网络空间主权至少已经从最基础的层面提出国家对网络空间行使权力的问题。
(2)明确了网络产品和服务提供者的安全义务;
第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
其中“相关国家标准的强制性要求”在《网络产品和服务安全审查办法》中规定,网络产品和服务由国家依法认定网络安全审查第三方机构进行安全审查。
(3)明确了网络运营者的安全义务;
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
其中网络安全等级保护制度尚未出台。
(4)进一步完善了个人信息保护规则;
第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
在此之前,《电信和互联网用户个人信息保护规定》、《刑法》及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》均规定了个人信息保护。而网络安全法在强调了个人信息保护重要性的基础上,规定了如何落实相关信息保护制度。
(5)建立了关键信息基础设施安全保护制度;
第三十一条规定“关键信息基础设施的具体范围和安全保护办法由国务院制定。”
第七十五条境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
国家互联网信息办公室起草了《关键信息基础设施安全保护条例(征求意见稿)》,指出关键信息基础设施,是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,并对其具体范围和安全保护办法作出规定。
(6)确立了关键信息基础设施重要数据跨境传输的规则。
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
二、网络安全法的相关法律法规
《网络安全法》不是光杆司令,配套的法律法规都会相继到来。实际上目前已有相关法律法规也开始施行了。包括:
1、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》:《刑法》中提到侵犯公民个人信息罪的入罪要件是“情节严重”,而这则解释就明确了什么是“情节严重”,包括行踪轨迹信息、内容信息、征信信息、财产信息——非法获取、出售或提供50条以上即为情节严重。白帽子需要在意这一解释。
2、《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》:这则解释明确了非法获取计算机信息系统数据、非法控制计算机信息系统罪及提供侵入、非法控制计算机信息系统的程序、工具罪中的“情节严重”。
3、《国家网络安全事件应急预案》:明确了网络安全法第五章“检测预警和应急方案”的具体实践方案。将网络安全事件分为四级,对应四级预警等级和四级应急响应。为了保证预案实时性,预案原则上每年评估一次,根据实际情况适时修订。修订工作由中央网信办负责。
4、《网络关键设备和网络安全专用产品目录(第一批)》明确了《网络安全法》第二十三条的“网络关键设备和网络安全专用产品”。
5、《网络产品和服务安全审查办法(试行)》:着力于提高网络产品和服务安全可控水平。
6、《互联网新闻信息服务管理规定》、《互联网信息内容管理行政执法程序规定》《互联网新闻信息服务许可管理实施细则》等:这一细则进一步明确,通过互联网、公众帐号、即时通讯工具、网络直播、论坛等提供互联网信息服务的,需要取得互联网新闻信息服务许可,且服务提供者转载新闻信息,应注明新闻信息来源、原作者、原标题、编辑真实姓名等,不得歪曲、篡改标题原意和新闻信息内容,并保证新闻信息来源可追溯。