NISP一级学习笔记-第一章:信息安全概述

1.1信息与信息安全

信息奠基人香农认为:信息是用来消除随机不确定性的东西。

信息是事物运动状态或存在方式的不确定性的描述。

信息是具体的,并且可以被人(生物、机器)所感知、提取、识别,可以被传递、储存、变换、处理、显示检索和利用的。

信息来源于物质,又不是物质本身;它从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立的存在。

信息的定义:

信息是有意义的数据,它具有一定的价值,是一种需要适当保护的资产。数据是反映客观事物属性的记录,是信息的具体表现形式。数据经过加工处理之后,就成为信息;而信息需要经过数字化处理转变成数据才能存储和传输。

 

信息的功能:

反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事物的不确定性。

 

信息的表达:

信息本身是无形的,借助于信息媒体以多种形式存在或传播。它可以存储在计算机、磁带、纸张等介质中,也可以记忆在人的大脑里,还可以通过网络等方式进行传播。

 

信息与消息:

信息不同于消息,消息是信息的外壳,信息则是消息的内核,也可以说:消息是信息的笼统概念,信息则是消息的精确概念。

 

信息与数据:

信息不同于数据,数据是信息的符号表示,或称载体;信息是数据的内涵,是数据的语义解释。数据是信息存在的一种形式,只有通过解释或处理才能成为有用的信息。数据可用不同形式表示,而信息不会随数据不同的形式而改变。

 

信息技术:

信息技术(Information Technology,IT)是用于管理和处理信息所采用的的各种技术的总称。

主要是利用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。

信息处理是获取信息并对它进行变换,使之成为有用信息并发布出去的过程,主要包括信息的获取、储存、加工、发布和表示等环节。

目前,信息收集和处理已经成为人们社会工作的一个重要组成部分了。

 

信息技术包括生成和应用两个方面

信息技术生产主要体现在信息技术产业本身,包括计算机软件、计算机硬件、设备制造、微电子电路等。

信息技术应用体现在信息技术的扩散上,包括信息服务、信息管理系统等。

 

信息技术的发展阶段

微电子、通信、计算机和网络是信息系统的核心技术,其发展进程大致可分为以下四个阶段

第一阶段:电讯(电子通讯)技术的发明

信息技术的起源可追溯到19世纪30年代,其标志性事件是电话电报的出现。

电讯技术新时代

1835年,美国人莫尔斯发明电报

1837年,莫尔斯电磁式有线电报问世

1886年,马可尼发明无线电报机

1876年,贝尔发明电话机

1906年,美国物理学家费森登成功研究出无线电广播

1912年,美国Emerson公司制造出世界上第一台收音机

1925年,约翰贝德发明世界上第一台电视机

 

第二阶段:计算机技术的发展

进入20世界30年代,计算机理论与技术迅速发展,信息技术进入计算机阶段

20世纪50年代末,第一代电子管计算机出现,用于军事科研信息处理

60年代中期,第二代晶体管计算机逐渐在民用企业中使用

60年代末,集成电路(Integrated Circuit,IC)和大规模集成电路计算机接踵而至,并开始在社会普及应用。

 

第三阶段:互联网的使用

20世纪60年代末。美国出现了第一个用于军事目的的计算机网络ARPANET。ARPANET的重要意义在于它使连接到网络上的计算机能够相互交流信息

20世纪90年代,计算机网络发展成全球性网络—因特网,网络技术和网络应用迅猛发展。此外,这一阶段电话、计算机等设备也实现了互联互通,信息和数据的传输更加容易。信息技术在这一阶段的飞速发展,深刻的影响着人民的工作和生活方式。

 

第四阶段:网络社会

20世纪末,以Internet为核心的信息技术进一步发展,人们的工作、生活和学习越来越离不开网络,国家的经济、社会治理也与网络密不可分。

高度发展的信息网络,一方面通过现实社会投射,构成了虚拟“网络社会”;另一方面通过网络信息渗透,融合了各种已经存在的社会实体网络,使“网络社会”成为整个现实社会的结构形态。至此,信息技术步入一个崭新的阶段—网络社会阶段

在这一阶段,云计算、物联网和大数据技术进入人们的生活,信息和数据的保存、传输更加容易。

 

信息安全

信息安全一般指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)收到保护,不受偶然的或者恶意原因的影响而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断,最终实现业务连续性。信息安全的根本目的是使信息不受内部、外部、自然等因素的威胁。所谓信息安全就是关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段。

在我国信息安全标准化委员会发布的GB/T 25069-2010《信息安全技术术语》中,信息安全是指保持、维持信息的保密性、完整性和可用性,也包括真实性、可核查性、抗抵赖性和可靠性等性质。

 

信息安全的目标:

保证信息上述安全属性得到保持,不被破坏,从而对组织业务运行能力提供支撑。

信息安全的任务:

保护信息资产(信息及信息系统)免受未授权的访问使用、披露、破坏、修改、查看、记录及销毁。

 

从消息的层次来看,信息安全的属性有:

机密性:机密性也称为保密性,控制信息资源的开放范围,确保信息在存储、使用、传输过程中不会泄露给非授权用户、实体和进程,或被其利用。

完整性:确保信息在存储、使用、传输过程中保持未经授权不能改变的特性,即对抗主动攻击,保持数据一致,防止数据被非法用户修改和破坏。

不可否认性:又称抗抵赖性,即建立有效的责任机制,防止用户否认其发送信息的行为和信息的内容。

 

 

从网络的层次来看,信息安全的属性有:

可用性:确保授权用户、实体和进程对信息及资源的正常使用不会被不合理拒绝,允许其可靠而及时的访问信息及资源。

可控性:对信息的传播范围及内容具有控制能力,防止非法利用信息和信息系统。

 

相对性:安全是相对的、动态的,没有绝对安全的系统。所以需要及时对系统安全问题进行跟踪处理,定期进行整体安全评估,及时发现问题并加以解决。

时效性:安全不能一劳永逸,需要根据安全风险,及时制定应对策略。

相关性:在更改配置等操作时,需要对系统重新进行评估和同步更新安全措施。

不确定性:攻击发起的时间、地点、攻击者和攻击目标都具有不确定性,在制定安全应对措施时,要尽可能考量所有潜在的安全威胁。

复杂性:信息安全是一项系统工程,涉及到安全管理、教育、培训、立法、国际合作等领域。

 

 

与传统安全相比,信息安全具有4个鲜明的特征:

系统性:系统地从技术、管理、工程和标准法规等各层面综合保障信息安全。

动态性:对信息安全不能抱有一劳永逸的思想,应该根据风险的变化,在信息系统的整个生命周期中采取相应的安全措施来控制风险。

无边界性:信息系统安全威胁超越了现实地域和现实行业的限制。

非传统性:与军事安全、政治安全等传统安全相比,信息安全涉及的领域和影响范围十分广泛。

 

 

 

1.2信息安全威胁

我国面临的信息安全威胁

从受威胁的对象,可以将我国面临的信息安全威胁分为3类:

  1. 国家威胁
  2. 组织威胁
  3. 个人威胁

 

国家威胁

一是恐怖组织通过网络大肆发布恐怖信息,渲染暴力活动。

二是邪教组织通过网络极力宣扬种族歧视,煽动民族仇恨,破坏民族团结,宣扬邪教理念,破坏国家宗教政策,煽动社会不满情绪,甚至暴力活动。

三是西方势力通过网络传播他们的意识形态、价值观念和生活方式,进行文化渗透、侵略。

四是其他国家情报机构收集我国政治、军事

经济等情报信息。

 

组织威胁

主要针对企业或组织受保护的财产、专有技术

具体表现为:

网络恐怖分子破坏公共秩序、制造社会混乱等

通过工业间谍掠夺竞争优势、打击竞争对手,使企业或组织蒙受经济或声誉损失。

 

个人威胁

一是对知识产权的威胁

二是侵犯、破坏个人计算机系统中的信息,通过互联网对财产权进行侵犯,对E-mail系统进行破坏,影响人们正常的工作、学习和生活。

信息安全问题产生的根源

内因:系统自身的脆弱性

外因:人为威胁、环境威胁

 

 

内在复杂-结构:

1.工作站中存在信息数据

2.员工

3.移动介质

4.网络中其他系统

5.网络中其他资源

6.访问Internet

7.访问其他局域网

8.到Internet的其他路由器

9.电话和调制解调器

10.开放的网络端口

11.远程用户

12.厂商和合同方的访问外部资源

13.公共信息服务

14.运行维护环境

复杂性导致了脆弱性

 

外因实例

 

1.3信息安全发展阶段与形势

1.信息安全的发展阶段

通信安全、计算机安全、信息系统安全、信息安全保障

 

通信安全:

20世纪,40年代-70年代

核心思想:通过密码技术解决通信保密,保障数据的保密性和完整性。主要关注传输过程中的数据保护。

安全威胁:搭线窃听、密码学分析

安全措施:加密

计算机安全

20世纪。70年代-90年代

核心思想:确保信息系统的保密性、完整性和可用性

安全威胁:非法访问、恶意代码、弱口令等

安全措施:安全操作系统设计技术TCB

 

信息系统安全

20世纪,90年代后

核心思想:确保信息在存储、处理和传输过程中免受偶然或恶意的泄密、非法访问或破坏

安全威胁:网络入侵、病毒破坏、信息对抗等

安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等。

 

信息安全保障

核心思想:动态安全,保障信息系统的业务正常、稳定的运行。综合技术、管理、过程、人员。

安全威胁:黑客、恐怖分子、信息战、自然灾难、电力中断等

安全措施:技术安全保障体系、安全管理体系、人员意识/培训/教育。

 

我国信息安全的形势

2013年,“棱镜门”事件在全球持续发酵,隐藏在互联网背后的国家力量和无处不在的“监控”之手,引起了舆论哗然和网络空间的连锁反应。全球范围内陡然上升的网络攻击威胁,导致各国对信息安全的重视程度急剧提高,越来越多的国家将信息安全列为国家核心安全;利益。网络安全进一步成为大国竞争的战略基点,较量和博弈逐步深化升级。

我国信息安全环境日趋复杂,网络安全问题对互联网的健康发展带来日益严峻的挑战,网络安全事件的影响力和破坏程度不断扩大。

针对网络信息的破坏活动日益增多,对信息安全构成严重威胁。

黑客攻击、恶意代码对重要信息系统安全造成严重影响。

1.4信息安全保障

1.信息安全保障含义

信息安全保障是指采用技术、管理等综合手段,保护信息和信息系统能够安全运行的防护性行为。

它通过保证信息和信息系统的可用性、完整性、机密性和不可否认性来保护并防御信息和信息系统的操作,包括通过综合保护、检测和响应等能力为信息系统提供修复。

防止信息泄露、修改和破坏。

检测入侵行为,计划和部署针对入侵行为的防御措施。

采用安全措施和容错机制在遭受攻击的情况下保证机密性、私密性、完整性、抗抵赖性、真实性、可用性和可靠性。

修复信息和信息系统所遭受的破坏。

 

信息安全保障是一种立体保障

与信息安全、信息系统安全的区别

信息安全保障的概念更加广泛

(1)信息安全的 重点是保护和防御,而安全保障的重点是保护、检测和响应综合。

(2)信息安全不太关注检测和响应,但是信息安全保障非常关注这两点。

(3)攻击后的修复不在传统信息安全的概念范围之内,但它是信息安全保障的重要组成部分。

(4)信息安全的目的是为了防止攻击的发生,而信息安全保障的目的是为了保证信息系统始终能保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性。

 

 

2.信息安全保障模型

信息安全保障模型能准确描述安全的重要方面与系统行为的关系,提高对成功实现关键安全需求的理解层次,计划-执行-检查-改进(PDCA)模型和信息保障技术框架是信息安全管理和信息安全保障技术实施过程遵循的方法和思想。

防护-检测-响应(PDR)模型

策略-防护-检测-响应(P2DR/PPDR)模型

 

 

防护-检测-响应(PDR)模型的基本思想是承认信息系统中存在漏洞,正视系统面临的威胁,通过适度防护并加强检测,落实安全事件响应,建立威胁源威慑,保障系统安全。该模型认为,任何安全防护措施都是基于时间的,超过该时间段,这种防护措施就可能被攻破。PDR模型直观、实用,但对系统的安全隐患和安全措施采取相对固定的假设前提,难以适应网络安全环境的快速变化。

 

P2DR/PPDR模型,即策略-防护-检测-响应,该模型的核心是信息系统所有防护、检测和响应都是依据安全策略实施的。

3.信息安全保障的作用

由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为广大民众提供越来越多有益信息及其他信息服务的同时,也存在着一些虚假和错误导向信息,以及直接危害公众利益、民族团结、国家统一、社会稳定和国家安全的违法与有害信息及活动。构建更加安全可靠、更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务。

  • 在实施国家信息化发展战略中,要高度重视信息安全保障体系建设,实现信息化与信息安全 协调发展
  • 国家基础信息网络、重要信息系统以及政府、企业和公民的信息活动的安全若不能得到切实保障,信息化带来的巨大紧急与社会效益就难以有效发挥,信息化发展也会受到严重制约。
  • 加强信息安全保障的目的,就是要保障和促进信息化发展,而不是以牺牲信息化发展来换取信息安全。
  • 采取不上网、不共享、不互联互通等传统封闭的方式保安全。会严重影响甚至阻碍信息化发展,也不可能从根本上解决信息安全保障问题
  • 只有继续大力推动信息化建设,全面提高信息化发展水平,才能为应对各种信息安全问题提高强有力的物质和技术保障
  • 全面推进信息化,只有高度重视信息安全保障建设,才能形成健康有序、安全稳定的信息网络秩序,才能确保信息化进程稳步、快速发展。
  • 构建更加安全可靠、更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务。
  • 由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为为广大民众提供越来越多有益信息及其他信息服务的同时,也存在着一些虚假和错误导向信息,以及直接危害公众利益、民族团结、国家统一、社会稳定和国家安全的违法与有害信息及活动。
  • 为有效开展互联网治理工作,我国政府提出了互联网管理的基本原则,即积极促进互联网发展,并依法进行管理,鼓励行业自律和公众监督,旨在形成一个可信和安全的互联网信息空间。

 

 

1.5信息系统安全保障

1.信息系统

信息系统是具有集成性的系统,每一个组织中信息流动的总和构成一个信息系统。信息系统是根据一定的需要进行输入、系统控制、数据处理、数据存储与输出等活动而涉及到的所有因素的综合体。

2.信息系统安全保障的含义

信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。

信息系统安全保障相关概念和关系:

风险:

信息安全风险产生的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源,通过使用各种攻击方法,利用信息系统的各种脆弱性,对信息系统造成一定的不良影响,由此引发信息安全事件和问题。

保障:

为了降低信息安全风险,信息安全保障就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略,在策略指导下,设计并实现信息安全保障结构或模型,采取技术、管理等安全保障措施,将风险控制到可接受分范围和程度,从而实现其业务使命。

 

使命:

描述了信息系统从设计、开发、测试、部署、维护、废弃整个生命周期中运行的需求和目标。信息系统的使命与其安全保障密不可分,需要通过信息系统安全措施来保障目标正确执行。随着信息系统面临的威胁及运行环境的变化,安全保障也需要提供相应的保障措施,从而保障信息系统的正确运行。

 

3.信息系统安全保障模型

 

评论 (2)

  • Austsact| 四月 28, 2019

    Windsor Canada Online Pharmacy Amoxil De Haute Qualite canadian pharmacy cialis Amoxicillin Recommended Adult Doses Generic Viagra Sample Pack

  • Austsact| 五月 5, 2019

    Viagra Ipertensione Arteriosa Levitra Indicazioni Terapeutiche levitra naturel Mifepristone Et Misoprostol

  • 发表评论

    电子邮件地址不会被公开。