标签:1.1 信息系统 信息安全 信息 安全 网络空间 NISP 数据
1 信息与信息安全
1.1 什么是信息
1.1.1 关于信息的定义
- 有价值的内容——ISO9000
- 通信系统传输和处理的对象,一般指时间或资料数据——现代汉语词典
1.1.2 信息的存在形式
- 信息是无形的
- 借助媒体以多种形式存在
- 存储在计算机、磁带、纸张等介质中
- 记忆在人的大脑里
1.2 信息的价值
- 信息都是有价值的
- 对于个人来说,最有价值的信息就是个人隐私
- 对于组织机构来说,借助媒体存在的信息就是组织的信息资产,例如:银行中的数据、客户资料、OA中的数据……
- 信息资产才是企业最有价值的资产
1.3 什么是信息安全
- 国际标准化组织对信息安全定义
- 为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然或恶意的原因而收到破坏、更改、泄漏。
- 进不来、拿不走、改不了、看不懂、跑不了、可查询
1.4 信息安全问题
- 狭义的信息安全概念
- 建立在以IT技术为基础上的安全范畴
- 也被成为计算机安全或网络安全
- 广义的信息安全问题
- 一个跨学科领域的安全问题
- 安全的根本目的是保证组织业务可持续运行
- 信息安全应该建立在整个生命周期中所关联的人、事、物的基础上,综合考虑人、技术、管理和过程控制,使得信息安全不是一个局部而是一个整体
1.5 信息安全问题的根源
- 内因:信心系统复杂性导致漏洞的存在不可避免:过程复杂、结果复杂和应用复杂。
- 外因:威胁与破坏
- 人为因素:员工误操作、外部攻击(个人、团体、网络战部队)
- 环境因素:雷击、地震、火灾、洪水等自然灾害和极端天气
2. 信息安全属性
2.1 信息安全基本目标
- 信息安全基本属性(CIA三元组):机密性、完整性、可用性
- 信息安全其他属性:真实性、可问责性、不可否认性、可靠性、可控制性
2.2 信息安全基本属性
2.2.1 机密性(也称保密性)
- 机密性的定义:防止信息遭到有意或无意的非授权泄漏
- 信息的机密性应得到应有的重视:国家秘密、商业机密、个人隐私
- 机密保护需要考虑的问题
- 信息系统的使用是否有控制,而不是任何人都可接触到系统?
- 信息系统中的数据是否都有表示,说明重要程度?
- 信息系统中的数据访问是否有权限控制?
- 信息系统中的数据访问是否有记录?
2.2.2 完整性
-
完整性的定义:保证信息系统中的数据处于完整状态,没有遭受篡改和破坏。三防:防篡改、防删除、防插入
-
完整性保护需要考虑的问题
- 什么样的数据可能被篡改?
- 被篡改的数据可能产生什么样的影响?影响到信息系统运转、影响到单位名誉、影响到个人……
- 对数据是都划分清了不同的权限?
- 对数据的操作是否有记录?
2.2.3 可用性
- 可用性的定义:确保数据和系统在需要时可用
- 可用性需要考虑的问题
- 如何确保信息系统随时能提供需要的功能
- 如果系统由于某种原因无法使用,如何应对?修复?备份?手工接替?
2.3 信息安全其他属性
2.3.1 真实性
- 真实性的定义:实体是他所声称的属性,也可以理解为能对信息的来源进行判断,能对伪造来源的信息予以鉴别。
- 真实性需要考虑的问题
- 信息的来源是否可靠,来源可靠才能确保提供的数据可靠。
- 是否能对伪造的信息进行鉴别。
2.3.2 可问责性
- 可问责性的定义:可问责性也称为可审核性,作为治理的一个方面,问责是承认和承担行为、产品、决策和政策的责任,包括在角色或就业岗位范围内的行政,治理和实施以及报告、解释并对所造成的后果负责。
- 可问责性需要考虑的问题
- 是否明确相关责任
- 对数据的操作是否能记录以便于审核责任
2.3.3 不可否认性
- 不可否认性的定义:证明要求保护的时间或动作以及发起实体的行为。在法律上、不可否认意味这交易的一方不能拒绝已经接收到交易,另一方也不能拒绝已经发送的交易。
- 不可否认性需要考虑的问题
- 如何证明行为的发生
- 如何证明行为的发生不可被伪造
2.3.4 可靠性
- 可靠性的定义:可靠性是信息系统能够在规定条件下,规定时间内完成规定功能的特性。
- 可靠性需要考虑的问题
- 对可靠性要求的程度
2.3.5 可控制性
3. 网络安全发展阶段
3.1 通信安全
- 主要时间:20世纪40年代~70年代
- 主要关注:传输过程中的数据保护
- 安全威胁:搭线窃听、密码学分析
- 核心思想:通过密码技术解决通信保密,保证数据的保密性和完整性
- 安全措施:加密
3.2 计算机安全
- 主要时间:20世纪70~90年代
- 主要关注:数据处理和存储时的数据保护
- 安全威胁:非法访问、恶意代码、脆弱口令等
- 核心思想:防御、检查和减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。
- 安全措施:通过操作系统的访问控制技术来防止非授权用户的访问。
3.3 信息系统安全
- 主要时间:20世纪90年代后
- 主要关注:信息系统整体安全
- 安全威胁:网络入侵、病毒破坏、信息对抗等
- 核心思想:重点在于保护比“数据”更精炼的“信息”
- 安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等。
3.4 信息安全保障
3.4.1 信息安全保障概念
- 1996年,美国国防部DODD 5-3600.1首次提出信息安全保障概念:关注信息、信息系统对组织业务及使命的保障。如今信息安全概念延伸,实现全面安全
3.4.2 我国信息安全保障工作
- 总体要求:积极防御、综合防范
- 主要原则:技术与管理并重,正确处理安全与发展的关系
- 三个支柱:技术、法律法规、管理
3.4.3 信息系统安全保障
- 生命周期、保障要素、安全特征
把信息系统安全从技术扩展到管理,从静态扩展到动态,通过技术、管理、工程等措施的总和融合至信息化中,形成对信息、信息系统乃至业务使命的保障
4. 网络空间安全保障
4.1 网络空间安全
- 背景
- 信息化发展已经进入到网络空间阶段
- 互联网已经将传统的虚拟世界与物理世界相互连接,形成网络空间
- 网络空间成为继海洋、陆地、天空、外太空之外的第五空间
- 2008年,美国第54号总统令对网络空间(Cyberspace)正式定义
- 2009年,网络空间政策评估发布,新技术的出现使得网络空间安全问题更加复杂
- 2010年,网络空间安全纳入美国国家安全
- 2011年,网络空间纳入美军作战空间
- 新技术领域融合带来新的安全风险:工业控制系统、“云大移物智”(云计算、大数据、物联网、移动互联网、人工智能)
- 核心思想:强调威慑概念
将防御、威慑和利用结合称三位一体的网络空间安全保障
4.2 网络空间安全上升到国家安全高度
- 没有网络安全就没有国家安全
- 万物互联时代,还有什么是不在线的?
- 攻击者已经无处不在,因为互联网“国家”太容易越过。
4.3 网络空间安全影响每一企业,每一个人
- 业务对信息系统的以来程度增加
- 想象以下没有令信息系统,业务运转如何、我们的生活会变得如何?
- 事件
- 数据泄漏事件平凡发生
- 委内瑞拉全国大停电这样的事情也可能发生在中国
4.4 网络站已经从概念变成了现实
- 网络战:一个民族、国家为了造成损害或破坏而渗透另一个国家的计算机或网络的行动。网络战作为国家整体军事战略的一个组成部分已经成为趋势。
4.5 国家网络空间安全战略
- 2016年12越,我国发布了《国家网络空间安全战略》,提出网络空间的发展是机遇也是挑战。
- 网络渗透危害政治安全
- 网络攻击威胁经济安全
- 网络有害信息寝室文化安全
- 网络恐怖和违法犯罪破坏社会安全
- 网络空间的国际竞争方兴未艾
- 网络空间机遇和挑战并存,机遇大于挑战
4.6 网络空间安全战略
- 目标:实现建设网络强国
- 强调:维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展
- 任务:
- 捍卫网络空间主权、
- 坚决维护国家安全、
- 保护关键信息基础建设、
- 加强网络文化建设、
- 打击网络恐怖和违法犯罪、
- 完善网络治理体系、
- 夯实网络安全基础、
- 提升网络空间防护能力、
- 强化网络空间国际合作
4.7 国家关键基础信息设施
- 什么是关键信息基础设施
- 其关系国家安全、国计民生,一旦数据泄漏、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的基础设施
- 哪些是关键信息基础设施(关基)
- 基础信息网络、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统
标签:1.1,信息系统,信息安全,信息,安全,网络空间,NISP,数据 来源: https://blog.csdn.net/qq_40785722/article/details/123141483
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。